DE19942141A1 - Verfahren und Vorrichtung zum Löschen von Daten nach einer Fälschung - Google Patents
Verfahren und Vorrichtung zum Löschen von Daten nach einer FälschungInfo
- Publication number
- DE19942141A1 DE19942141A1 DE1999142141 DE19942141A DE19942141A1 DE 19942141 A1 DE19942141 A1 DE 19942141A1 DE 1999142141 DE1999142141 DE 1999142141 DE 19942141 A DE19942141 A DE 19942141A DE 19942141 A1 DE19942141 A1 DE 19942141A1
- Authority
- DE
- Germany
- Prior art keywords
- data
- storage unit
- storage device
- volatile
- unit
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
- G06F21/80—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in storage media based on magnetic or optical technology, e.g. disks with sectors
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2143—Clearing memory, e.g. to prevent the data from being stolen
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Storage Device Security (AREA)
Abstract
Die Erfindung betrifft einen Lösungsansatz zum Speichern und Aufrechterhalten von Daten. Eine oder mehrere Sensoren sind vorgesehen, um einen nicht autorisierten Zugriff auf einen ersten nicht flüchtigen Speicher zu erfassen. Falls der nicht autorisierte Zugriff auf den ersten nicht flüchtigen Speicher detektiert wird, werden die Daten auf dem ersten nicht flüchtigen Speicher durch Überschreiben der Daten auf dem ersten nicht flüchtigen Speicher mit einem vorbestimmten Wert gelöscht, so daß die Daten nicht mehr zurückgewonnen werden können. Der erste nicht flüchtige Speicher wird mit einer Registrierungsautorität bzw. -berechtigung registriert, um eine Authentizität der Daten zur Verfügung zu stellen, die in dem ersten nicht flüchtigen Speicher aufrechterhalten werden.
Description
Die Erfindung bezieht sich auf ein Datenspeichersystem und insbesondere auf einen
Ansatz zum Speichern und Beibehalten von Daten, der eine Dateivollständigkeit und
-sicherheit sicherstellt, gemäß einem der Ansprüche 1, 8 bzw. 16.
Die meisten Computersysteme enthalten eine Art von nicht flüchtigem Speicher, um
Daten zu speichern und aufrecht zu erhalten. Nicht flüchtige Speicher stellen ein
Speichermedium zur Verfügung, dessen Inhalte zurückbehalten werden, wenn keine
Listung zugeführt wird. Allgemeine Beispiele von nicht flüchtigen Speichern enthalten
Disketten, Festplatten und Bänder.
Die meisten Arten von nicht flüchtigen Speichern bieten eine relativ hohe
Zuverlässigkeit, insbesondere wenn redundante Speicher verwendet werden. Die
Funktion von nicht flüchtigen Speichern variiert weithin zwischen verschiedenen Arten
von Speichern. Z. B. bieten Festplatten traditionell eine höhere Funktionalität,
ausgedrückt in den Zugriffsgeschwindigkeiten, als Festplatten oder Bänder. Die meisten
Arten von nicht flüchtigen Speichern können wieder verwendet werden, da das
Verfahren zum Speichern von Daten nicht zerstörerisch ist. Wenn Daten in der Form
von Datenfeldern gelöscht werden, werden häufig Informationen eines
Inhaltsverzeichnisses, die mit den Datenfeldern verknüpft sind, lediglich in dem nicht
flüchtigen Speicher aktualisiert, und das Datenfeld selbst bleibt unverändert. Z. B. wird
in vielen Computersystemen die Löschung eines Datenfeldes realisiert, indem der Name
des Feldes aus einem Feldinhaltsverzeichnis oder einer Feldzuordnungstabelle
entnommen, die die Plätze, die durch Datenfelder belegt werden, für andere Daten
verfügbar machen. Jedoch verbleibt das Datenfeld immer noch auf dem nicht flüchtigen
Speicher und kann solange zurückgewonnen werden, wie es nicht mit anderen Daten
überschrieben worden ist. Dieser Lösungsansatz macht es schwierig, zu wissen, ob eine
bestimmte Datenkopie eine Originalkopie ist und macht die Daten anfällig dafür, für
eine dritte Partei zugänglich zu werden.
Eine andere Art von nicht flüchtigem Speicher, ermöglicht es, Daten nur einmal
schreiben zu können, jedoch so häufig wie gewünscht lesbar zu sein. Auf diese Art von
nicht flüchtigem Speicher wird üblicherweise als einem einmal beschreibbaren, häufig
lesbaren Speichermedium Bezug genommen (WORM-Speichermedium). Ein
allgemeines Beispiel eines nicht flüchtigen WORM-Speichermediums ist eine optische
Scheibe bzw. CD. Diese Art von Speichermedium ist zur Archivierung von Daten
nützlich, z. B. für bestimmte Arten von medizinischen und geschäftlichen
Aufzeichnungen, die nur einmal geschrieben und mehrere Male gelesen werden. Dies
garantiert, daß eine bestimmte Art von Kopie von Daten eine Originalkopie ist, da die
Daten nicht aktualisiert oder überschrieben werden können.
Sowohl WORM-Systeme als auch herkömmliche Lese-/Schreibspeichersysteme leiden
unter dem Nachteil, daß sie gegenüber der Veränderung von Daten anfällig sind. Ein
Datennutzer ist nicht sicher, ob die Daten wegen der unbekannten Quellen, wenn die
Daten benutzt werden, ursprünglich oder modifiziert sind. Z. B. kann in einem
Plattenspeicher-Subsystem eine nicht autorisierte Person das Plattenlaufwerk entfernen
und ändern, fälschen oder die Informationen, die auf dem Plattenlaufwerk gespeichert
sind, kopieren.
Zusätzlich können Informationen, die in dem Speichersystem gespeichert sind,
unerwünscht werden, um nach Ablauf einer ausreichenden Zeit weiter gespeichert zu
werden. Deshalb ist es in einigen Zusammenhängen wünschenswert, einen Weg zur
Verfügung zu stellen, um alte Informationen aus einem Speichersystem verschwinden
zu lassen und nicht mehr verfügbar werden zu lassen. Ein solches Beispiel ist eine
Firmenaufzeichnung, die nach fünf Jahren gemäß der Firmenpolitik vernichtet werden
sollte.
Auf der Grundlage des Bedürfnisses, Daten sicher zu speichern und aufrecht zu erhalten
und der Beschränkungen der früheren Lösungsansätze, ist ein Lösungsansatz zum
Speichern und Aufrechterhalten von Daten, der eine relativ hohe Absicherung zur
Verfügung stellt, daß eine bestimmte Kopie von Daten eine Originalkopie ist, sehr
wünschenswert.
Die voranstehenden Bedürfnisse und Aufgaben und andere Notwendigkeiten und
Zielsetzungen, die aus der folgenden Beschreibung ersichtlich werden, werden durch
die vorliegende Erfindung erfüllt bzw. gelöst, die nach einem Gesichtspunkt ein
Verfahren zum Speichern und Aufrechterhalten von Daten umfaßt. Das Verfahren weist
die Schritte auf, Daten auf einer Speichereinheit zu speichern, ein Fälschungssignal zu
erfassen, das einen nicht autorisierten Zugriff auf die Speichereinheit anzeigt, und in
Reaktion auf die Erfassung des Fälschungssignals die Daten zu löschen, die auf der
Speichereinheit gespeichert sind, in dem die Daten mit einem vorbestimmten Wert
überschrieben werden.
Gemäß einem anderen Gesichtspunkt der Erfindung wird eine Datenspeichereinheit
zum Speichern und Aufrechterhalten von Daten zur Verfügung gestellt. Die
Datenspeichereinheit weist eine erste nicht flüchtige Speichereinrichtung und eine
Verarbeitungseinheit auf, die zur Kommunikation mit der ersten nicht flüchtigen
Speichereinrichtung gekoppelt ist, wobei die Verarbeitungseinheit aufgebaut ist, um zu
bestimmen, ob die Speichereinheit gefälscht worden ist, und falls dem so ist, die Daten
zu löschen, indem die Daten mit einem vorbestimmten Wert überschrieben werden.
Nachfolgend werden bevorzugte Ausführungsformen mit Merkmalen gemäß der
Erfindung beispielhaft unter Bezugnahme auf die nachfolgenden Darstellungen
beschrieben, wobei einerseits keine Beschränkungen vorgenommen werden und
andererseits gleiche Bezugsziffern auf gleiche oder funktionsgleiche Bestandteile Bezug
nehmen, in denen:
Fig. 1 eine Blockdarstellung ist, die ein System zum Speichern und Aufrechterhalten
von Daten darstellt;
Fig. 2A eine Blockdarstellung ist, die eine Speichereinheit darstellt, die in dem System
nach Fig. 1 enthalten ist;
Fig. 2B eine Blockdarstellung ist, die einen Abschnitt der Speichereinheit nach Fig.
2A darstellt;
Fig. 2C eine Blockdarstellung ist, die einen Abschnitt der Speichereinheit nach Fig.
2B darstellt;
Fig. 3 eine Blockdarstellung ist, die eine Prozesseinheit darstellt, die in der
Speichereinheit nach Fig. 2 enthalten ist;
Fig. 4A eine Blockdarstellung ist, die die Inhalte einer nicht flüchtigen
Speichereinrichtung darstellt, die in der Speichereinheit nach Fig. 2 enthalten ist;
Fig. 4B eine Darstellung eines registrierten Identifikationswertes ist;
Fig. 4C eine Darstellung einer Tabelle einer Registrationsbevollmächtigungsdatenba
sis ist;
Fig. 5A die Inhalte eines Inhaltsverzeichniseingangs darstellt, der in der nicht
flüchtigen Speichereinrichtung nach Fig. 4A enthalten ist;
Fig. 5B ein Flußdiagramm eines Löschungsprozesses ist;
Fig. 5C ein Flußdiagramm eines Prozesses ist, der bei einem Fehler zur Löschung
führt,
Fig. 5D ein Flußdiagramm eines Prozesses ist, der zur Löschung bei Fälschung führt;
und
Fig. 6 eine Blockdarstellung eines Computersystems ist, auf dem Ausführungsformen
realisiert werden können.
In der folgenden Beschreibung werden zu Zwecken der Erläuterungen bestimmte
Einzelheiten hervorgehoben, um ein sorgfältiges Verständnis der Erfindung zur
Verfügung zu stellen. Jedoch ist es ersichtlich, daß die Erfindung ohne diese speziellen
Einzelheiten realisiert werden kann. Bei einigen Beispielen sind wohl bekannte
Strukturen und Einrichtungen in der Form von Blockdarstellungen dargestellt, um es zu
vermeiden, daß die Erfindung unnötiger Weise unverständlich wird.
Ein Lösungsversuch zum Speichern, Aufrechterhalten und Zugreifen von Daten wird
zur Verfügung gestellt. Allgemein werden gemäß einem Gesichtspunkt Daten auf einer
Speichereinrichtung gespeichert und nach einer vorbestimmten Zeit gelöscht. Bei einem
anderen Gesichtspunkt werden die Daten gelöscht, falls eine nicht autorisierte
Fälschung der Speichereinheit auftritt. Bei einem weiteren Gesichtspunkt werden die
Daten in dem Fall eines Fehlers des nicht flüchtigen Speichers in der Speichereinheit
gelöscht. Ein anderer Lösungsansatz bezieht eine hardwaremäßige Speichereinheit ein,
wo die Daten dauerhaft gespeichert und autentifiziert werden können. Dieser
Lösungsansatz dient dazu, die Einrichtung zu erzeugen, die ihr eigenes Betriebssystem
mit einer sicheren Hardware- und Softwareschnittstelle hat. Die Schnittstelle stellt
sicher, daß die Veränderung der Daten nicht erlaubt wird. Die vorliegende Erfindung
kann auf derartigen Einrichtungen verwendet werden, wo die Autentizität der Daten
kritisch ist. Diese Gesichtspunkte werden nachfolgend in weiteren Einzelheiten
beschrieben.
Zunächst wird ein Überblick über das System gegeben. Die Fig. 1 stellt ein System
100 zum Speichern von Daten dar. Eine oder mehrere Stationen 102 sind über ein
Netzwerk 104 gekoppelt. Die Stationen 102 weisen jeweils einen Computer, eine
Workstation oder andere ähnliche Verfahrensmechanismen auf. Z. B. kann bei einer
Ausführungsform jede Station 102 ein Computersystem für allgemeine Zwecke der in
Fig. 6 gezeigten Art sein, die weiters unten beschrieben wird. Die Stationen 102
können jeweils einen Teilnehmer in einer Teilnehmer-/Server-Umgebung (Client-
/Server-Umgebung) darstellen. Unter Verwendung des Netzwerkes 104 kann eine
Station 102 mit irgendeiner anderen Station in Verbindung treten.
Eine oder mehrere Speichereinheiten 106 sind vorgesehen, um Daten zu speichern und
aufrecht zu erhalten. Speichereinheiten 106 können an das Netzwerk 104 über ein Link
108 angeschlossen sein, um mit anderen Einrichtungen betrieben zu werden, wie etwa
Stationen 102, die an das Netzwerk 104 angeschlossen sind. Das Verbindungsglied
bzw. Link 108 kann von irgendeiner Art von Kommunikationsmedium sein, um Daten
zwischen Speichereinheiten 106 und anderen Einrichtungen auszutauschen. Beispiele
von Verbindungsgliedern 108 umfassen Netzwerkanschlüsse, Ethernet, Lan- oder Wan-
Anschlüsse oder irgendeine Art von drahtlosem Übertragungsmedium. Alternativ
können Speichereinheiten 106 auch unmittelbar an eine bestimmte Station 102 unter
Verwendung eines lokalen Links bzw. Verbindungsgliedes 112 angeschlossen werden.
Speichereinheiten 106 können auch in anderen Konfigurationen verwendet werden, die
z. B. unmittelbar an eine bestimmte Anzahl von Stationen 102 angeschlossen sind, um
einen lokalen Speicher für die bestimmten Stationen 102 zur Verfügung zu stellen.
Verbindungsglieder 108 können auch eine Schnittstelle von einer Station zu einer
Speichereinrichtung aufweisen, wie etwa ein SCSI-Interface bzw. -Schnittstelle.
In dieser Anordnung kann jede Station 102 Informationen in einer Speichereinheit 106
über ein Verbindungsglied 108 speichern oder wiedergewinnen, in dem eine passende
Nachricht über das Netzwerk 104 übertragen wird.
Das System 100 enthält auch eine Registrationsautorität 110, die verbindungsmäßig an
das Netzwerk 104 angekoppelt ist und stellt die Registrierung von Speichereinheiten
106 zur Verfügung, wie es in weiteren Einzelheiten im folgenden beschrieben wird.
Nachfolgend werden die Speichereinheiten beschrieben. Die Fig. 2A ist eine
Blockdarstellung, die eine Speichereinheit 106 darstellt. Die Speichereinheit 106 enthält
eine oder mehrere nicht flüchtige Speichereinrichtungen 200 und 202. Bei einer
Ausführungsform gibt es zwei nicht flüchtige Speichereinrichtungen 200 und 202, die
einen redundanten Datenspeicher zur Verfügung stellen. Jedoch ist die Erfindung nicht
auf eine bestimmte Anzahl von Speichereinrichtungen 200, 202 beschränkt. Wie es in
Fig. 2B dargestellt ist, werden Daten sowohl in die nicht flüchtige Speichereinrichtung
200 als auch 202 hineingeschrieben. Folglich werden, wie in Fig. 2C dargestellt, falls
eine der nicht flüchtigen Speichereinrichtungen 200, 202 nicht verfügbar ist, z. B.
aufgrund eines Fehlers bzw. Fehlzugriffes, Daten in die andere nicht flüchtige
Speichereinrichtung 200 oder 202 geschrieben. Die nicht flüchtigen
Speichereinrichtungen 200 und 202 können von irgendeiner Art von nicht flüchtigem
Speicher sein, z. B. einer oder mehrerer magnetischer oder optischer Platten, Bänder
oder anderer Arten von nicht flüchtigen Speichern, in denen gespeicherte Daten
zurückbehalten werden, falls keine Energie bzw. Leistung zugeführt wird.
Die Speichereinheit 106 enthält einen oder mehrere Sensoren, die in Fig. 2 als S1 bis
S4 zu erkennen sind, um einen nicht autorisierten Zugriff auf die Speichereinheit 106 zu
erfassen. Die Sensoren S1 bis S4 sind Einrichtungen, die einen Eingriff in die
Speichereinheit 106, einen nicht autorisierten Zugriff auf die Speichereinheit oder eine
nicht autorisierte Fälschung mit oder Sperrung einer Speichereinheit erfassen. Die
Sensoren S1 bis S4 sind mechanische, elektromechanische oder elektronische
Einrichtungen, die ein Signal in Reaktion auf ein erfaßtes Ereignis erzeugen. Z. B. ist bei
einer Ausführungsform jeder der Sensoren S1 bis S4 ein Mikroschalter, der sich öffnet
oder schließt, wenn eine Umhüllung des Speichermediums geöffnet wird. Jeder Sensor
S1 bis S4 ist an eine Prozessoreinheit 204 über ein Verbindungsglied 208 angekoppelt.
Die Speichereinheit 106 enthält eine Verarbeitungseinheit 104, die den Fluß von Daten
zu und von der Speichereinheit 106 über das Verbindungsglied 108 steuert und andere
Verarbeitungsfunktionen durchführt. Die Verarbeitungseinheit 204 steuert auch den
Betrieb der nicht flüchtigen Speichereinrichtungen 200 und 202 einschließlich dem
Schreiben von Daten in die nicht flüchtigen Speichereinrichtungen 200 und 202 über
ein Verbindungsglied 208 und das Lesen von Daten von diesen. Die
Verarbeitungseinheit 204 ist verbindungstechnisch auch an die Sensoren S1 bis S4 über
ein Verbindungsglied 208 angeschlossen. Die Verbindungsglieder bzw. Links 206 und
208 können in dergleichen Weise wie die Verbindungsglieder 108 realisiert sein und
ermöglichen den Austausch von Daten zwischen der Verarbeitungseinheit 204 und den
nicht flüchtigen Speichereinrichtungen 200 und 202 und zwischen der
Verarbeitungseinheit 204 bzw. den Sensoren S1 und S4.
Die Speichereinheit 106 enthält optional auch Sicherungsleistungszufuhren bzw.
Reserveleistungszufuhren 210 und 212, die jeweils Energie für die Speichereinheit 106
und ihre Komponenten zur Verfügung stellen, einschließlich den nicht flüchtigen
Speichereinrichtungen 200 und 202, der Verarbeitungseinheit 204 und den Sensoren S1
bis S4. Die Reserveleistungszuführen 210 und 212 werden in einer idealen Weise so in
die Tat umgesetzt, daß entweder die Reserveenergiezufuhr 210 oder 212 einzeln
ausreichend Energie für die Speichereinheit 106 zur Verfügung stellen können, um in
dem Fall eines Energieverlustes den Betrieb übernehmen zu können. Z.B. können die
Reserveenergiezufuhren 210 und 212 unter Verwendung von Batterien bzw. Akkus oder
einer nicht unterbrechbaren Energiezufuhr (UPS) in die Tat umgesetzt werden.
Bevorzugt sind die Reserveenergiezufuhren eingebaute Batterien, die Reserveenergie
für die Verarbeitungseinheit 204 zur Verfügung stellen.
Nachfolgend wird die Prozesseinheit bzw. Verfahrenseinheit beschrieben. Die Fig. 3
ist eine Blockdarstellung, die eine Verfahrenseinheit 204 darstellt. Die
Verfahrenseinheit 204 enthält eine Kommunikationsschnittstelle 300, die die
Kommunikation bzw. Verbindung zwischen der Verfahrenseinheit 204 und anderen
Einrichtungen außerhalb der Speichereinheit 106 über ein Verbindungsglied 108
steuert, puffert und regelt. Z.B. kann die Kommunikationsschnittstelle 300 eine E-/A-
Steuerung, wie etwa eine SCSI, IEEE1394 oder eine Ethernet-Steuerung sein. Die
Verfahrenseinheit 204 enthält eine Sensorsteuerung 302, die als Schnittstelle dient und
eine Verbindung zwischen den Sensoren S1 bis S4 und der Verfahrenseinheit 204 über
das Link bzw. das Verbindungsglied 208 zur Verfügung stellt. Z. B. ist die
Sensorsteuerung eine analoge E-/A-Schnittstelle.
Die Verfahrenseinheit 204 enthält auch eine nicht flüchtige Speichersteuerung 304, die
die nicht flüchtigen Speichereinrichtungen 200 und 202 über ein Verbindungsglied 206
steuert. Z. B. ist die Speichersteuerung 204 eine Plattensteuerung. Die
Verfahrenseinheit 204 enthält auch einen Prozessor 306, der den Betrieb der
Verfahrenseinheit 204 und ihrer hier beschriebenen Komponenten steuert. Der
Prozessor 306 ist z. B. ein Mikroprozessor.
Die Prozessoreinheit 204 enthält einen flüchtigen Speicher 308, wie etwa einen RAM,
der Daten und Befehle für den Prozessor 306 enthält. Die Verfahrenseinheit 204 enthält
auch eine nicht flüchtigen Speicher 310, wie etwa einen ROM, einen PROM, einen
EPROM, eine Flash-Speicher oder andere nicht flüchtige Speicher.
Die Verbindungs- bzw. Kommunikationsschnittstelle 300, die Sensorsteuerung 302, die
nicht flüchtige Speichersteuerung 304, der Prozessor 306, der flüchtige Speicher 308
und der nicht flüchtige Speicher 310 sind verbindungstechnisch über ein
Verbindungsglied bzw. Link 312 gekoppelt, das eine Kommunikation zwischen diesen
Bestandteilen ermöglicht. Ein Beispiel des Verbindungsgliedes 312 ist ein
Kommunikationsbus oder die Kombination eines Adressbusses und eine Datenbusses.
Bevorzugt arbeitet die Verfahrenseinheit 204 unter der Steuerung eines Realzeit-
Betriebssystems (OS, wie etwa UNIX). Eines oder mehrere gespeicherte Programme,
die unter der Steuerung des OS betrieben werden, verwalten die Speichereinheiten und
die Prozesse, die ferner hierin beschrieben werden.
Nachfolgend wird der nicht flüchtige Speicher beschrieben. Die Fig. 4A stellt die
Inhalte der nicht flüchtigen Speichereinrichtungen 200 und 202 dar. Nicht flüchtige
Speichereinrichtungen 200 und 202 enthalten jeweils Speicher-
Identifikationsinformationen 400 oder speichern diese, die die nicht flüchtigen
Speichereinrichtungen 200 und 202 eindeutig identifizieren. Z.B. können die Speicher-
Identifikations(ID)-Informationen 400 eindeutige Seriennummern für nicht flüchtige
Speichereinrichtungen 200 und 202 enthalten. Die Speicher-ID-Informationen 400
spezifizieren auch Informationen, die während der Registrierung der Speichereinheit
306 erhalten werden können, die versendet werden, um die Speichereinheit 106 zu
autentizitieren bzw. zu berechtigen. Die Registrierung der Speichereinheiten wird im
folgenden in weiteren Einzelheiten beschrieben.
Die nicht flüchtigen Speichereinrichtungen 200 und 202 enthalten auch
Inhaltsinformationen 402, die Informationen über Daten 404 spezifizieren, die in den
nicht flüchtigen Speichereinrichtungen 200 und 202 enthalten sind. Gemäß einer
Ausführungsform enthalten Daten 404 mehrere Datenfelder und
Inhaltsverzeichnisinformationen 402 enthalten mehrere Inhaltsverzeichniseinträge bzw.
-eingänge 500, die Informationen über die Datenfelder in den Daten 404 entsprechen
und diese spezifizieren. Ein feldorientiertes Speichersystem ist nicht erforderlich. Die
Daten 404 können Informationen von irgendeiner Art speichern und die
Verzeichnisinformationen 402 können irgendwelche Meta-Daten sein, die die Daten
404 beschreiben.
Fig. 5A stellt die Inhalte eines Verzeichniseinganges bzw. -eintrages 500 gemäß einer
Ausführungsform dar. Der Verzeichniseintrag 500 spezifiziert den Namen des
entsprechenden Datenfeldes (Feldname 502), die Erzeugungsdaten für das
entsprechende Datenfeld (Erzeugungsdaten 504), das Verfallsdatum des entsprechenden
Datenfeldes (Verfallsdaten bzw. -datum 506) und andere
Feldverwaltungsinformationen 508, die in Abhängigkeit zu einer bestimmten
Anwendung variieren können z. B. sind die anderen Feldverwaltungsinformationen von
einem Feldtyp, einer verknüpften Anwendung, usw.
Der Verzeichniseintrag 500 spezifiziert auch Wiederherstellungsinformationen 510, die
einen oder mehrere Verzeichniseinträge 512 (R1, R2, . . ., RN) für Quellen des
Datenfeldes identifizieren, die mit dem Feld 502 verknüpft sind. Jedes Feld enthält die
vollständige Historie der Stammdaten mit dem Speicher-ID-Informationen,
Wiederherstellungsdaten und Verzeichnispfade zu der Speicher-ID. Der Feldname der
Daten wird von dem Original nicht geändert. Die Ablaufdaten werden ebenfalls kopiert.
Wie hierin verwendet bedeutet "Verfallsdatum" eine Zeit, einen Tag oder ein Datum zu
dem verknüpfte Daten ungültig oder unbrauchbar sind. Informationen in der
Speichereinrichtung werden durch die OS verwaltet.
Nachfolgend wird die Löschung nach dem Verfall bzw. Ablauf beschrieben. Gemäß
einer Ausführungsform werden Daten, die in nicht flüchtigen Speichereinrichtungen
200 und 202 gespeichert werden, nach einer bestimmten Zeitdauer gelöscht. Dieses
Verfahren ist Daten spezifisch, was bedeutet, daß verschiedene Daten in den nicht
flüchtigen Speichereinrichtungen 200 und 202 über verschiedene Zeitdauern verbleiben
können. Auch unterschiedliche Verfallsdaten können auf verschiedene Daten
anwendbar sein. Einige Daten können überhaupt nicht gelöscht werden und können
undefiniert bzw. unendlich in den nicht flüchtigen Speichereinrichtungen 200 und 202
verbleiben.
Bezugnehmend auf die Fig. 4A, die Fig. 5A und die Fig. 5B werden
Verzeichniseinträge 500, die von den Verzeichnisinformationen 402 umfaßt werden,
geprüft, um zu bestimmen, ob das Verfallsdatum 506 erreicht worden ist. Dies wird
durchgeführt, indem das Verfallsdatum 506 für einen bestimmten Verzeichniseintrag
500 mit dem gegenwärtigen Datum verglichen wird. Alternativ kann anstelle der
Aufrechterhaltung eines Verfallsdatums 506 in jedem Verzeichniseintrag 500 eine "Zeit
zur Aufbewahrung" in jedem Verzeichniseintrag aufrechterhalten werden und das
Verfallsdatum kann sowohl von dem Erzeugungsdatum und der "Zeit zur
Aufbewahrung" bestimmt werden. Ein alternativer Ansatz ist es, ein Mittel zu haben,
daß sämtliche der Einträge in sämtlichen der Verzeichnisse besucht, um die Zeit und das
Datum des Systems gegenüber dem Verfallsdatum der Einträge zu prüfen. Wenn das
Verfallsdatum abgelaufen ist, löscht das Mittel die Einträge.
Die Fig. 5B ist ein Flußdiagramm eines bevorzugten Verfahrens zum Löschen von
Daten. Im Block 520 wird ein gegenwärtiger Datums-/Zeitwert empfangen. Z. B. fordert
die Verfahrenseinheit 204 einen Datums-/Zeitwert und empfängt diesen, indem eine
Funktion eines Betriebssystemes aufgerufen wird, das den Betrieb der
Verfahrenseinheit steuert. Alternativ enthält die Verfahrenseinheit eine Uhr bzw. eine
Takteinrichtung, die unmittelbar durch den Prozessor 306 angefragt wird. Der
gegenwärtige Datums-/Zeitwert gibt dem gegenwärtigen Tag, das Datum oder die Zeit
der Ausführung des in Fig. 5D gezeigten Verfahrens wieder. Bevorzugt wird der Wert
des gegenwärtigen Datums/Zeit in einem temporären Blatt zur späteren Verwendung
gespeichert, wie etwa in einem CPU-Register, einem Notizblockspeicherbereich bzw.
schnellen Hilfsspeicherbereich, oder einem Hauptspeicher.
Im Block 522 wird ein Verzeichniseintrag 500 zur Verarbeitung ausgewählt. Bei einer
Ausführungsform bezieht der Block 522 die serielle Auswahl von sämtlichen der
Verzeichniseinträge 500 in den Speichereinrichtungen 200, 202 ein. Alternativ bezieht
der Block 522 die Auswahl eines Verzeichniseintrages auf der Grundlage eines
heuristischen Verfahrens ein, wie etwa einem zuletzt gegenwärtig Verwendungs(LRU)-
Algorithmus, der Wahrscheinlichkeit oder Statistiken.
Im Block 524 wird eine Bestimmung durchgeführt, ob Daten, die durch den
gegenwärtigen Verzeichniseintrag wiedergegeben werden zu löschen sind oder nicht.
Bei einer Ausführungsform bezieht der Block 524 die Prüfung ein, ob der gegenwärtige
Datum-/Zeitwert, der in dem Block 520 empfangen worden ist, größer als oder gleich
dem Verfallsdatumswert 506 ist, der in dem gegenwärtigen Verzeichniseintrag
gespeichert ist. Falls dem so ist, wird dann der gegenwärtige Verzeichniseintrag
gelöscht.
Sobald eine Bestimmung durchgeführt worden ist, daß bestimmte Daten zu löschen
sind, werden die Daten, die mit dem bestimmten Verzeichniseintrag verknüpft sind, von
Daten 404 gelöscht, wie es durch den Block 526 gezeigt ist. Ansonsten geht die
Steuerung auf den Block 534 über. Sobald die bestimmten Daten gelöscht worden sind,
wird der Verzeichniseintrag 500 gelöscht, wie es durch den Block 534 dargestellt ist.
Sämtliche identischen Kopien der bestimmten Daten werden auch von den Daten 404
gelöscht, da die Kopien das gleiche Verfallsdatum enthalten und auch geprüft werden.
Gemäß einer Ausführungsform wird die Löschung von Daten 404 und des
entsprechenden Verzeichniseintrags 500 aus der Verzeichnisinformation 402 in den
Blöcken 526, 530 und 534 durch Überschreiben der Daten und des Verzeichniseintrages
mit einem bestimmten Wert durchgeführt. Ein beispielhaft vorbestimmter Wert, der als
zweckmäßig ermittelt worden ist, ist 00H, obwohl andere vorbestimmte Werte auch
verwendet werden können. Einige frühere Lösungsansätze löschen lediglich den
Verzeichniseintrag ohne die Daten selbst zu löschen, was es ermöglicht, die Daten
wieder zurück zu gewinnen. Mit einem vorbestimmten Wert überschriebene Daten
werden als sichere angesehen, weil die überschriebenen Daten schwieriger zurück zu
gewinnen sind. Sobald die Daten von den Daten 404 gelöscht worden sind und der
entsprechende Verzeichniseintrag aus der Verzeichnisinformation 402 gelöscht worden
ist, können die überschriebenen Bereiche zum Speichern anderer Daten verwendet
werden.
Gemäß einer alternativen Ausführungsform werden verschiedene vorbestimmte Werte
verwendet, um verschiedene Daten zu überschreiben. Z. B. nehmen man an, das
Verfallsdatum für ein bestimmtes Datenfeld, das in der nicht flüchtigen
Speichereinrichtungen 200 enthalten ist, zeigt an, daß das bestimmte Datenfeld zu
löschen ist. Eine Kopie des bestimmten Datenfeldes wird in der nicht flüchtigen
Speichereinrichtung 202 aufrechterhalten. Das bestimmte Datenfeld in der nicht
flüchtigen Speichereinrichtung 200 kann mit einem ersten vorbestimmten Wert
überschrieben werden, während die Kopie des bestimmten Datenfeldes in der nicht
flüchtigen Speichereinrichtung 202 mit einem zweiten vorbestimmten Wert
überschrieben wird, der von dem ersten vorbestimmten Wert unterschiedlich ist.
Verschiedene vorbestimmte Werte können auch verwendet werden, um die
entsprechenden Verzeichniseinträge zu überschreiben.
Gemäß einer Ausführungsform wird das Verfahren nach Fig. 5B durch die
Verfahrenseinheit 204 durchgeführt. Insbesondere kann der Prozessor 306 dieses
Verfahren durchführen, indem eine oder mehrere Befehle ausgeführt werden, die in dem
flüchtigen Speicher 308 und dem nicht flüchtigen Speicher 310 aufrechterhalten
werden. Alternativ kann der Prozess zum Prüfen von Einträge in die
Verzeichnisinformationen 402 außerhalb der Speichereinheit 106 z. B. durch einen
anderen Prozess oder die Station 102, die an das Netzwerk 104 angeschlossen ist,
durchgeführt werden. In dieser Situation kann der andere Prozess oder die andere
Station 102 über das Verbindungsglied 108 die Speichereinheit 106 fragen, um
Verzeichnisinformation 402 zu erhalten.
Obwohl die Speicher-ID-Informationen 404, die Verzeichnisinformationen 402 und die
Daten 404 beschrieben und dargestellt worden sind, als wenn sie zusammen in den nicht
flüchtigen Speichereinrichtungen 200 und 202 aufrechterhalten werden, können einige
dieser Informationen getrennt an anderen Plätzen aufrechterhalten werden. Z. B. kann
ein Teil oder sämtliche der Verzeichnisinformationen 402 in dem flüchtigen Speicher
308 der Verfahrenseinheit 204 aufrechterhalten werden, wobei die Zeit verringert wird,
die erforderlich ist, um zu bestimmen, ob irgendwelche Datenfelder von den Daten 404
zu löschen sind.
Nachfolgend wird die Löschung nach einem Fehler bzw. Fehlschlag beim nicht
flüchtigen Speicher beschrieben.
Gemäß einer anderen Ausführungsform werden in dem Fall eines Fehlers bzw.
Fehlschlags entweder der nicht flüchtigen Speichereinrichtung 200 oder 202 sämtliche
Daten, die in den Daten 404 enthalten sind, und verzeichnet Einträge, die in den
Verzeichnisinformationen 402 enthalten sind, wie zuvor beschrieben, gelöscht. Die
andere Speichereinrichtung wird dann als die primäre Speichereinrichtung bestimmt
und wird fortgesetzt verwendet. Eine beispielhafte Situation, in der dies auftreten
könnte, ist wo eine Aktualisierung sowohl der nicht flüchtigen Speichereinrichtung 200
als auch 202 durchgeführt wird und ein Mediafehler bzw. -deffekt oder Versagen
verhindert, daß die Aktualisierung entweder bei der nicht flüchtigen
Speichereinrichtung 200 oder 202 durchgeführt wird. Da die nicht flüchtigen
Speichereinrichtungen 200 und 202 einen redundanten Speicher zur Verfügung stellen,
werden die Daten von den nicht flüchtigen Speichereinrichtungen 200 oder 202, die
mißraten sind, gelöscht, so daß die nicht flüchtigen Speichereinrichtungen 200 und 202
keine verschiedenen (und vorausgesetzter Weise gültigen) Daten enthalten.
Die Fig. 5C ist ein Flußdiagramm eines bevorzugten Verfahrens zum Löschen einer
Speichereinrichtung in dem Fall eines Fehlers bzw. Versagens. Im Block 540 wird ein
Fehler bzw. ein Versagen einer Speichereinrichtung erfaßt. Z. B. kann der Block 540 die
Schritte zum Erfassen bei einem Anlaufprogramm oder einem Bootstrap-
Ladeprogramm erfassen, das ein Energieversagen oder andere Fehler aufgetreten sind.
Gemäß einer Ausführungsform hat jede Speichereinrichtung 200, 202 einen bestimmten
Speicherplatz, der einen Markierungswert speichert. Der Markierungswert bzw.
Zeigerwert ist ein vorbestimmter Wert, der ein schonendes Herunterfahren bzw.
schonendes Ausschalten der Speichereinrichtung bedeutet. Wenn die
Speichereinrichtung schonend heruntergefahren wird, wird der vorbestimmte
Markierungs- bzw. Zeigerwert in dem bestimmten Speicherplatz gespeichert. Wenn die
Speichereinrichtung hochgefahren wird, wird der bestimmte Markierungswert bzw.
Zeigerwert geprüft und dann mit einem unterschiedlichen Wert überschrieben. Wenn
folglich ein unerwartetes Versagen bzw. ein unerwarteter Fehler auftritt, enthält der
bestimmte Speicherplatz den Markierungswert bzw. Zeigerwert nicht, und die
Speichereinrichtung erfaßt dadurch, daß ein Fehler bzw. ein Versagen aufgetreten ist.
Falls ein Fehler oder Versagen erfaßt worden ist, dann wird im Block 542 der nächste
Verzeichniseintrag unter den Verzeichniseinträgen 500 ausgewählt. Bei einer
Ausführungsform bezieht der Block 542 eine serielle Wahl von sämtlichen
Verzeichniseinträgen 500 in den Speichereinrichtungen 200, 202 ein. Alternativ bezieht
der Block 542 ein, daß ein Verzeichniseintrag auf der Grundlage eines heuristischen
Verfahrens ausgewählt wird, wie etwa einem zuletzt gegenwärtig Benutzungs(LRO)-
Algorithmus, Wahrscheinlichkeit oder Statistiken.
Im Block 544 werden sämtliche Daten, die mit dem gegenwärtigen Verzeichniseintrag
verknüpft sind, gelöscht, indem beispielsweise die Daten mit einem vorbestimmten
Wert überschrieben werden. Im Block 552 wird der gegenwärtige Verzeichniseintrag
gelöscht, indem er beispielsweise überschrieben wird. Falls nötig wird das Verzeichnis
selbst gelöscht.
Im Block 554 wird eine Bestimmung durchgeführt, ob zusätzliche Verzeichniseinträge
in den Verzeichnisinformationen der Speichereinrichtung sind. Falls dem so ist, werden
die Schritte der Blöcke 542 und 552 für jeden zusätzlichen Verzeichniseintrag
wiederholt.
Im wahlweisen vorhandenen Block 556 wird die andere Speichereinrichtung als die
primäre Speichereinrichtung der Speichereinheit bezeichnet. Eine solche Bezeichnung
bedeutet, daß die Speichereinheit weiter macht, mit Schreib-/Leseoperationen zu
arbeiten, die auf die nicht fehlerhafte bzw. nicht ausgefallene Speichereinrichtung
gerichtet sind. Auf diese Weise bleibt die Speichereinheit betreibbar, wobei jedoch eine
fehlerhafte Speichereinrichtung innerhalb der Speichereinheit unbrauchbar gemacht
wird. Sobald die Daten auf den fehlerhaften bzw. ausgefallenen nicht flüchtigen
Speichereinrichtungen 200 oder 202 gelöscht worden sind, kann die Einrichtung neu
initialisiert werden. Sobald eine Bestimmung durchgeführt worden ist, daß die
ausgefallene Einrichtung erfolgreich neu initialisiert worden ist, können die Daten, die
in den nicht flüchtigen Speichereinrichtungen 200 oder 202 enthalten sind, die nicht
ausgefallen sind, in die zurückgewonnenen nicht flüchtigen Speichereinrichtungen 200
oder 202 kopiert werden. In dem Fall, daß die fehlerhaften bzw. ausgefallenen nicht
flüchtigen Speichereinrichtungen 200 oder 202 nicht erfolgreich neu initialisiert werden
können, können die Daten von den nicht flüchtigen Speichereinrichtungen 200 oder
202, die nicht ausgefallen sind bzw. fehlerhaft sind, in eine nicht flüchtige
Speichereinrichtung in einer anderen Speichereinheit 106 kopiert werden.
Die Verwendung von redundanten nicht flüchtigen Speichereinrichtungen 200, 202
stellt eine bemerkenswert bessere Datenzuverlässigkeit zur Verfügung, weil es äußerst
unwahrscheinlich ist, daß beide nicht flüchtigen Speichereinrichtungen 200 und 202 zu
der gleichen Zeit ausfallen bzw. fehlerhaft sind. Um eine zusätzliche
Datenzuverlässigkeit zur Verfügung zu stellen, können andere Speichereinrichtungen
106, die jeweils redundante nicht flüchtige Speichereinrichtungen 200 und 202
enthalten, eingesetzt werden, um eine weitere Redundanz zur Verfügung zu stellen.
Nachfolgend wird der Schutz gegenüber einer Fälschung erörtert. Gemäß einer
Ausführungsform werden Speichereinheiten 106 gegenüber einer unautorisierten
Fälschung bzw. einem unautorisierten Zugriff geschützt. Die Sensoren S1 bis S4
werden durch Verfahrenseinheiten 204 über ein Link bzw. ein Verbindungsglied 208
überwacht, um ein Fälschen der Speichereinheit 106 zu erfassen. Die Auswahl und die
Einstellung der Sensoren S1 bis S4 wird durch die Erfordernisse einer bestimmten
Anwendung festgelegt, ist jedoch im allgemeinen dazu bestimmt, einen nicht
autorisierten Zugriff auf die Speichereinheit 106 über das Brechen von Siegeln bzw.
Abdichtungen, das Öffnen von gesiegelten bzw. abgedichteten Abteilen, oder einen
anderen gewalttätigen Eintritt in die Speichereinheit 106 zu erfassen.
In dem Fall, daß die Sensoren S1 bis S4 einen nicht autorisierten Zugriff auf die
Speichereinheit 106 erfassen, wird ein Fälschungssignal durch die Sensoren S1 bis S4
für die Verfahrenseinheit 204 zur Verfügung gestellt. In Reaktion auf das
Fälschungssignal löscht die Verfahrenseinheit 204 die Speicher-ID-Informationen 404,
Verzeichnisinformationen 402 und Daten 404 in der zuvor für die nicht flüchtigen
Speichereinrichtungen 200 und 202 beschriebenen Weise. Dies verhindert die nicht
autorisierte Verwendung von Daten, die in der Speichereinheit 106 gespeichert sind.
Die Fig. 5D ist ein Flußdiagramm eines bevorzugten Verfahrens zum Löschen einer
Speichereinrichtung in dem Fall der Fälschung mit der Speichereinrichtung. Im Block
560 wird eine Störung bei einer Speichereinrichtung, wie etwa das Fälschen mit der
Speichereinrichtung, ein Eingriff in die Speichereinrichtung, eine Öffnung der
Speichereinrichtung, usw., erfaßt. Z. B. kann der Block 560 die Schritte einbeziehen, das
erfaßt wird, daß einer oder mehrere der Sensoren S1 bis S4 aktiviert werden oder ein
Erfassungssignal erzeugen.
Falls ein Fälschungsereignis erfaßt wird, dann wird im Block 562 der nächste
Verzeichniseintrag unter den Verzeichniseinträgen 500 ausgewählt. Bei einer
Ausführungsform bezieht der Block 562 die serielle Auswahl sämtlicher
Verzeichniseinträge 500 in den Speichereinrichtungen 200, 202 ein. Alternativ bezieht
der Block 562 ein, daß ein Verzeichniseintrag auf der Grundlage eines heuristischen
Prozesses ausgewählt wird, wie etwa einem zuletzt gegenwärtig Benutzungs(LRO)-
Algoritmus, Wahrscheinlichkeit oder Statistiken.
Im Block 564 werden sämtliche Daten, die mit dem gegenwärtigen Verzeichniseintrag
verknüpft sind, gelöscht, in dem z. B. die Daten mit einem vorbestimmten Wert
überschrieben werden. Im Block 572 wird der gegenwärtige Verzeichniseintrag
gelöscht, indem er z. B. überschrieben wird. Falls nötig wird das Verzeichnis selbst
gelöscht.
In dem Block 574 wird eine Bestimmung durchgeführt, ob zusätzliche
Verzeichniseinträge in den Verzeichnisinformationen der Speichereinrichtung sind.
Falls dem so ist, werden die Schritte der Blöcke 562 bis 572 für jeden zusätzlichen
Verzeichniseintrag wiederholt.
Bei einer Ausführungsform beziehen der Block 562 oder andere Blöcke den Schritt zur
Erzeugung eines Alarms für eine autorisierte Person ein, um erkennbar zu machen, daß
ein Fälschen aufgetreten ist und die Löschungsoperationen durchgeführt worden sind.
Z. B. erzeugt im Block 562 die Verfahrenseinheit 204 eine Nachricht zu einer
vorbestimmten Station 102, daß die Station informiert, daß eine Fälschung erfaßt
worden ist und ein Löschen unterwegs ist.
Gemäß einer anderen Ausführungsform stellen in dem Fall eines Energieausfalls
Reserveenergiezufuhren 210 und 212 Energie für die Speichereinheit 106 einschließlich
den Sensoren S1 bis S4 zur Verfügung. Jedoch arbeiten nicht flüchtigen
Speichereinrichtungen 200 und 202 in einem Energiesparmodus. Wenn sie in
Energiesparmodus betrieben werden, sind normale Schreib- und Leseoperationen für
nicht flüchtige Speichereinrichtungen 200 und 202 gesperrt, um Energie zu sparen.
Sobald die Energie wieder vorhanden ist, werden Schreib- und Leseoperationen für die
nicht flüchtigen Speichereinrichtungen 200 und 202 fortgesetzt. Während jedoch die
Speichereinheit 106 im Energiesparmodus betrieben wird, wenn die Sensoren S1 bis S4
einen nicht autorisierten Zugriff auf die Speichereinheit 106 erfassen, wird die gesamte
verfügbare Energie verwendet, um die Speicher-ID-Informationen 400, die
Verzeichnisinformationen 402 und die Daten 404 aus den nicht flüchtigen
Speichereinrichtungen 200 und 202 zu löschen, wie zuvor beschrieben. Auf diese Weise
kann der Löschprozess lediglich umgangen werden, indem die Energie von einer
Speichereinheit weggenommen wird.
Nachfolgend wird die Registrierung einer Speichereinheit beschrieben. Gemäß einer
Ausführungsform werden Speichereinheiten 106 mit einer Registrierungsautorität 110
registriert, um eine Berechtigung bzw. Autentifikation der Speichereinheiten 106 zur
Verfügung zu stellen. Gemäß diesem Lösungsansatz wird jede Speichereinheit 106 mit
einer Registrierungsberechtigung 110 bzw. Registrierungsautorität registriert, indem ein
einzigartiger Identifikationswert für eine Speichereinheit für die Registrierungsautorität
110 bzw. die Registrierungsberechtigung 110 zur Verfügung gestellt wird. In Folge
wird ein registrierter Identifikationswert durch die Registrierungsberechtigung bzw.
-autorität 110 zur Verfügung gestellt und in der Speicher-ID-Information 400 in den
nicht flüchtigen Speichereinrichtungen 200 und 202 gespeichert. Sobald eine
Speichereinheit 106 in dieser Weise registriert ist, kann eine Station 102 verifizieren,
daß eine bestimmte Speichereinheit 106 mit der Registrierungsautorität bzw.
-berechtigung 110 registriert worden ist, indem die registrierte ID-Nummer von der
bestimmten Speichereinheit 106 angefordert wird und dann mit der
Registrierungsautorität bzw. -berechtigung 110 verglichen und überprüft wird, daß die
registrierte Speicher-ID-Nummer gültig ist. Dies stellt sicher, daß in einer bestimmten
Speichereinheit 106 enthaltene Daten ursprünglich und authentisch sind.
Die Fig. 4B ist eine Darstellung einer bevorzugten Ausführungsform des registrierten
Identifikationswertes 420, der ein Kopfsegment 422, ein Einrichtungsmarkierungs- bzw.
-zeigersegment 424 und ein Seriennummersegment 426 aufweist.
Das Kopfsegment 422 identifiziert die Registrierungsautorität bzw. -berechtigung 110.
Z. B. enthält das Kopfsegment einen vorbestimmten Wert, der einzigartig verknüpft ist
innerhalb des Kontextes der Speichereinheit oder des OS mit der Registrierungsautorität
bzw. -berechtigung 110. Das Einrichtungsmarkierungssegment 424 identifiziert den
Hersteller- oder Markennamen einer Speichereinheit in einzigartiger Weise. Das
Einrichtungsmarkierungs- bzw. -zeigersegment 424 kann ein Herstellername oder eine
Codenummer sein, die einen bestimmten Hersteller in einzigartiger Weise kenntlich
macht. Das Seriennummersegment 426 enthält die Seriennummer der Speichereinheit.
Die Fig. 4C ist ein Diagramm der Datenbasis 111. Bevorzugt weist die Datenbasis 111
zumindest eine Tabelle 460 auf, die eine oder mehrere Zeilen 462 hat. Jede Zeile 462
entspricht einer Speichereinheit 106. Die Tabelle 460 weist Spalten 464 bis 468 auf, die
Hersteller- oder Markennamenwerte, Seriennummerwerte und Zuordnungsdatenwerte
speichern. Jeder Zuordnungsdatenwert gibt das Datum zu erkennen, an dem eine Zeile,
die eine Speichereinrichtung darstellt, zu der Tabelle 460 hinzugefügt wurde.
Nachfolgend wird die Datenoriginalität bzw. -ursprünglichkeit erörtert. Unter einigen
Umständen kann es wünschenswert sein, die Ursprünglichkeit und die Einzigartigkeit
von bestimmten Daten sicher zu stellen, die in Dateneinheiten 106 gespeichert sind,
indem die bestimmten Daten nicht geändert oder gelöscht werden. Auf diese Weise
kann die Speichereinheit einem externen Prozess oder einer externen Einrichtung
"garantieren", daß bestimmte Daten ungeändert sind, seit sie ursprüngliche geschrieben
wurden.
Gemäß einer Ausführungsform wird ein Buchprüfungspfad erzeugt, wenn Daten von
einer Einrichtung zu einer anderen kopiert werden. Wie in Fig. 5A dargestellt,
spezifiziert jeder Parallel- bzw. Wiederholungseintrag (R1, R2, . . ., RM) ein
Parallelversuchs- bzw. Wiederherstellungsdatum 514 und Quelleninformationen, die
eine Speicher-ID 516 und einen Verzeichniseintrag 512 enthalten. Um Daten von einer
Quelleneinrichtung bzw. Sourceeinrichtung zu einer Zieleinrichtung zu replizieren bzw.
zu wiederholen, wird ein Wiederholungsbefehl zu der Zieleinrichtung unter
Spezifikation der Quelleneinrichtung zusammen mit den Feldinformationen
ausgegeben. Die Zieleinrichtung gibt dann einen speziellen Lesebefehl für die
Quelleneinrichtung aus, so daß die Daten verschlüsselt werden, um eine Veränderung
der Daten zu vermeiden, wenn sie von der Quelleneinrichtung zu der Zieleinrichtung
übertragen werden.
Deshalb wird gemäß einer Ausführungsform ein Lösungsansatz zur Verfügung gestellt,
um sicherzustellen, daß bestimmte Daten, die in einer Speichereinheit 106 gespeichert
sind, nur einmal geschrieben und niemals geändert werden, obwohl die bestimmten
Daten eine unbegrenzte Anzahl von Malen gelesen werden können (Nur-Lesezugriff).
Der Lösungsansatz ist datenspezifisch und erfordert nicht, daß sämtliche gespeicherten
Daten als nur lesbare Daten aufrechterhalten werden.
Gemäß einer Ausführungsform werden nachdem nur lesbare Daten in den nicht
flüchtigen Speichern 200 und 202 gespeichert sind, der Verzeichniseintrag 500, der mit
den nur lesbaren Daten verknüpft ist, aktualisiert, um wiederzugeben, daß die
verknüpften Daten nur lesbare Daten sind und niemals zu überschreiben oder zu ändern
sind. Die Aktualisierung wirkt als eine Erklärung für andere Einrichtungen oder
Prozesse, daß die gespeicherten Daten einzigartig und ungeändert sind. Nachdem z. B.
nur lesbare Daten in die nicht flüchtigen Speicher 200 und 202 geschrieben worden
sind, werden andere Feldverwaltungsinformationen 508 in dem Verzeichniseintrag 500,
die mit nur lesbaren Daten verknüpft sind, aktualisiert, um wiederzugeben, daß die
verknüpften Daten nur lesbar sind und nicht zu ändern sind. Wenn danach Daten der
nicht flüchtigen Speicher 200 und 202 zu ändern sind, wird der Verzeichniseintrag 500,
der mit den Daten verknüpft ist, geprüft, um zu bestimmen, ob die bestimmten Daten
nur lesbar sind. Falls nicht, werden die verknüpften Daten, wie hierin beschrieben,
geändert. Falls dem so ist, werden die verknüpften Daten und der Verzeichniseintrag
500 nicht geändert.
Ein anderes Verfahren zur Zusicherung der Ursprünglichkeit ist es, Schreibbefehle zu
beschränken, die auf einer bestimmten Einrichtung durchgeführt werden können. Z. B.
kann die Einrichtung in Situationen, in denen die Felder, die in der Einrichtung
gespeichert sind, als autentische Datenfelder aufrecht zu erhalten sind, um die
Ursprünglichkeit sicher zu stellen, einen speziellen Status zum Schreiben erfordern.
Ohne den speziellen Schreibstatus geht ein Schreibbefehl fehl, wenn der gleiche
Feldname in einer Einrichtung vorkommt.
Dieser Lösungsansatz ist für beliebige der Lösungsansätze anwendbar, die hier
beschrieben sind, einschließlich der Löschung nach Ablauf, der Löschung nach
Fälschung und der Löschung nach den Fehler- bzw. Betriebsstörungsansätzen, die
hierin beschrieben sind. Der Lösungsansatz stellt einen Weg zur Verfügung, um die
Gültigkeit der gespeicherten Daten unempfindlich zu machen oder zu garantieren, so
daß die gespeicherten Daten zuverlässiger sind, beispielsweise als gesetzlicher Beweis.
Die Inhalte und die Einzigartigkeit der Daten werden sichergestellt oder garantiert.
Nachfolgend wird das Computersystem im Überblick erläutert. Die Fig. 6 ist eine
Blockdarstellung, die ein Computersystem darstellt, das verwendet werden kann, um die
Gesichtspunkte der Erfindung in die Tat umzusetzen; z. B. eine alternative
Ausführungsform der Verfahrenseinheit 204. Die Verfahrenseinheit 204 enthält einen
Bus 602 oder andere Kommunikations- bzw. Verbindungsmechanismen, um
Informationen zu übertragen, und ein Prozessor 604 ist mit einem Bus 602 gekoppelt,
um Informationen zu verarbeiten. Die Verfahrenseinheit 204 enthält auch einen
Hauptspeicher 606, wie etwa einen Speicher mit wahlfreiem Zugriff (RAM) oder eine
andere dynamische Speichereinrichtung, die an den Bus 602 gekoppelt ist, um
Informationen und Befehle zu speichern, die durch den Prozessor 604 auszuführen sind.
Der Hauptspeicher 606 kann auch verwendet werden, um temporäre variable oder
andere Zwischeninformationen während der Ausführung der Befehle zu speichern, die
durch den Prozessor 604 auszuführen sind. Die Verfahrenseinheit 204 enthält ferner
einen Speicher mit ausschließlichem Lesezugriff (ROM) 608 oder eine andere statische
Speichereinrichtung, die an den Bus 602 angekoppelt ist, um statische Informationen
und Befehle für den Prozessor 604 zu speichern. Die Speichereinrichtung 610, wie etwa
eine magnetische Platte oder eine optische Platte, ist vorgesehen und an den Bus 602
angekoppelt, um Informationen und Befehle zu speichern.
Eine Verfahrenseinheit 204 kann über einen Bus 602 an eine Anzeige bzw. ein Display
612, wie etwa eine Katodenstrahlröhre (CRT) angekoppelt sein, um Informationen für
einen Computerbenutzer anzuzeigen. Eine Eingabeeinrichtung 614, die
alphanumerische und andere Tasten aufweist, ist an den Bus 602 angekoppelt, um
Informations- und Selektionen zu dem Prozessor 604 zu übertragen. Eine andere Art
von Benutzereingabeeinrichtung ist die Cursorsteuerung 616, wie etwa eine Maus, eine
Rollkugel oder Cursor-Richtungstasten, um Richtungsinformationen und
Befehlsselektionen zu dem Prozessor 604 zu übertragen und um eine Cursor-Bewegung
auf der Anzeige 612 zu steuern. Diese Eingabeeinrichtung hat typischerweise zwei
Freiheitsgrade in zwei Achsen, einer ersten Achse (z. B. x) und einer zweiten Achse
(z. B. y), die es der Einrichtung ermöglichen, Positionen in einer Ebene kenntlich zu
machen.
Die Erfindung ist auf die Verwendung der Speichereinheit 106 zum Speichern und
Aufrechterhalten von Daten bezogen. Gemäß einer Ausführungsform wird die
Speicherung und Aufrechterhaltung von Daten durch eine Verarbeitungseinheit 204 in
Reaktion darauf zur Verfügung gestellt, daß der Prozessor 604 eine oder mehrere
Abfolgen von einem oder mehreren Befehlen ausführt, die in dem Hauptspeicher 606
enthalten sind. Solche Befehle können in den Hauptspeicher 606 von einem anderen
Computer lesbaren Medium eingelesen werden, wie etwa einer Speichereinrichtung
610. Die Ausführung der Abfolgen von Befehlen, die in dem Hauptspeicher 606
enthalten sind, veranlassen den Prozessor 604, die Prozeßschritte, die hierin beschrieben
sind, durchzuführen. Eine oder mehrere Prozessoren in einer Mehrprozessoranordnung
können auch eingesetzt werden, um die Abfolgen von Befehlen, die in dem
Hauptspeicher 606 enthalten sind, auszuführen. In alternativen Ausführungsformen
können festverdrahtete Schaltungen anstelle oder in Kombination mit Softwarebefehlen
verwendet werden, um die Erfindung in die Tat umzusetzen. Folglich sind die
Ausführungsformen nicht auf bestimmte Kombinationen von Hardwareschaltungen und
Software beschränkt. Die Befehle können als Softwaremittel, Prozesse,
Unterprogramme oder Programm organisiert sein.
Der Ausdruck "Computer lesbares Medium", wie es hier verwendet wird, bezieht sich
auf irgendein Medium, das teilnimmt, um Befehle für den Prozessor 604 zur
Ausführung zur Verfügung zu stellen. Ein derartiges Medium kann viele Formen haben,
einschließlich nicht flüchtigen Medien, flüchtigen Medien und Übertragungsmedien,
wobei jedoch keine Beschränkung auf diese vorgenommen wird. Nicht flüchtige
Medien enthalten z. B. optische und magnetische Platten, wie etwa die
Speichereinrichtung 610. Flüchtige Medien enthalten dynamische Speicher, wie etwa
den Hauptspeicher 606. Übertragungsmedien enthalten koaxiale Kabel, Kupferdrähte
und optische Fasern, einschließlich der Drähte, die der Bus 602 aufweist.
Übertragungsmedien können auch die Form von akustischen Wellen oder Lichtwellen
haben, wie etwa jene, die durch Radiowellen und Infrarotdatenübertragungen erzeugt
werden.
Allgemeine Formen von Computer lesbaren Medien enthalten z. B. eine Diskette, eine
flexible Diskette, eine Festplatte, magnetisches Band oder irgendein anderes
magnetisches Medium, eine CD-Rom, irgendein anderes optisches Medium,
Lochkarten, Papierband oder andere physikalische Medien mit Mustern von Löchern,
ein RA, ein PROM und ein EPROM, ein FLASH-EPROM, irgendeine andere Art von
Chip oder Karte, eine Trägerwelle, wie hierin beschrieben, oder irgendein anderes
Medium, von dem ein Computer lesen kann.
Verschiedene Formen von Computer lesbaren Medien können dabei beteiligt sein, eine
oder mehrere Abfolgen von einem oder mehreren Befehlen zu dem Prozessor 604 zur
Ausführung zu übertragen. Z. B. können die Befehle anfangs auf eine magnetische Platte
eines entfernten Computers übertragen werden. Der entfernte Computer kann die
Befehle in seinem dynamischen Speicher laden und die Befehle über eine
Telefonleitung unter Verwendung eines Modems senden. Ein zu der
Verarbeitungseinheit 204 lokales Modem kann die Daten auf der Telefonleitung
empfangen und einen Infrarottransmitter verwenden, um die Daten in ein infrarotes
Signal zu wandeln. Ein Infrarotdetektor, der an den Bus 602 gekoppelt ist, kann die
Daten, die in dem Infrarotsignal getragen werden, empfangen und die Daten auf den
Bus 602 plazieren. Der Bus 602 überträgt die Daten zu dem Hauptspeicher 606, von
dem der Prozessor 604 die Befehle wiedergewinnt und ausführt. Die Befehle, die durch
den Hauptspeicher 606 empfangen werden, können wahlweise auf der
Speichereinrichtung 610 entweder vor oder nach der Ausführung durch den Prozessor
604 gespeichert werden.
Die Verarbeitungseinheit 204 enthält auch ein Kommunikationsinterface 618, das an
den Bus 602 gekoppelt ist. Das Kommunikationsinterface 618 stellt eine Zweiweg-
Datenübertragung zur Verfügung, wobei an ein Netzwerkverbindungsglied bzw. -link
620 angekoppelt wird, das an ein lokales Netzwerk 622 angeschlossen ist. Z. B. kann ein
Kommunikationsinterface 618 eine Karte eines integrierten digitalen Servicenetzwerks
(ISDN-Karte) oder ein Modem sein, um einen Datenkommunikationsanschluß zu einer
entsprechenden Art von Telefonleitung zur Verfügung zu stellen. Als ein anderes
Beispiel kann eine Kommunikationsschnittstelle 618 eine lokale Bereichsnetzwerkkarte
(LAN-Karte) sein, um eine Datenkommunikationsanschluß an ein kompatibles LAN
zur Verfügung zu stellen. Drahtlose Links bzw. Verbindungsglieder können auch in die
Tat umgesetzt werden. Bei sämtlichen solchen Verwirklichungen sendet das
Kommunikationsinterface bzw. die Kommunikationsschnittstelle 618 elektrische,
elektromagnetische oder optische Signale und empfängt diese, wobei diese digitale
Datenströme tragen, die verschiedene Arten von Informationen darstellen. Das
Netzwerkverbindungsglied 620 stellt typischerweise eine Datenkommunikation über
eines oder mehrere Netzwerke zu anderen Dateneinrichtungen zur Verfügung. Z. B.
kann das Netzwerk Link 620 eine Verbindung durch ein lokales Netzwerk 622 zu einem
Host-Computer 624 oder zu einer Datenanlage zur Verfügung stellen, die durch einen
Internet-Serviceprovider (ISP) 626 betrieben wird. Der ISP 622 stellt in Folge
Datenkommunikationsdienstleistungen über das weltweite Datenpaket-
Kommunikationsnetzwerk zur Verfügung, auf das nun allgemein als das "Internet" 628
Bezug genommen wird. Das lokale Netzwerk 622 und das Internet 628 verwenden
beide elektrische, elektromagnetische oder optische Signale, die digitale Datenströme
tragen. Die Signale durch die verschiedenen Netzwerke und die Signale auf dem
Netzwerkverbindungsglied 620 und über die Kommunikationsschnittstelle 618, die die
digitalen Daten zu und von der Verarbeitungseinheit 204 tragen, sind exemplarische
Arten von Trägerwellen, die Informationen befördern.
Die Verarbeitungseinheit 204 kann Nachrichten senden und Daten empfangen,
einschließlich einem Programmcode, über das Netzwerk (die Netzwerke), das
Netzwerklink bzw. -verbindungsglied 620 und das Kommunikations-Interface bzw.
-schnittstelle 618. Bei dem Beispiel mit dem Internet kann ein Server 630 einen
Anfragecode für ein Anwendungsprogramm über das Internet 628, den ISP 626, das
lokale Netzwerk 622 und das Kommunikationsinterface 618 übertragen. Eine derartige
heruntergeladene Anwendung stellt die Speicherung und Aufrechterhaltung von Daten,
wie hierin beschrieben, zur Verfügung.
Der empfangene Code kann durch den Prozessor 604 ausgeführt werden, wie er
empfangen ist, und/oder in der Speichereinrichtung 610 oder in einem anderen nicht
flüchtigen Speicher zur späteren Ausführung gespeichert werden. Auf diese Weise kann
die Verfahrenseinheit 204 einen Anwendungscode in der Form einer Trägerwelle
erhalten.
Die hierin beschriebenen Techniken stellen verschiedene Vorteile gegenüber früheren
Lösungsansätzen zum Speichern und Aufrechterhalten von Daten zur Verfügung.
Insbesondere der Ansatz zum Löschen von Daten von der Speichereinheit 106 durch
Überschreiben der Daten mit einem vorbestimmten Wert macht es schwieriger, Daten
zurückzugewinnen. Die Fälschungsüberwachung stellt einen weiteren Schutz vor einem
nicht autorisierten Zugriff auf die Speichereinheit 106 zur Verfügung. Die Verwendung
der Registrierungsautorität bzw. -berechtigung 110, um Speichereinheiten 106 zu
registrieren, macht die Daten, die in der Registrierungsberechtigung 110 gespeichert
sind, authentisch. Schließlich stellt der Ansatz zum Vorbehalten der Ursprünglichkeit
der Daten sicher, daß, wenn bestimmte Daten aus der Speichereinheit 106 gelesen
werden, das die bestimmten Daten einmal geschrieben wurden und nicht geändert
worden sind. Wenn gleichermaßen Daten von der Speichereinheit 106 gelöscht werden,
werden Daten, die als Daten nur zum Lesen benannt sind, nicht von der Speichereinheit
106 gelöscht.
Nachfolgend werden Alternativen und Abwandlungen beschrieben. In der
vorangehenden Beschreibung ist die Erfindung unter Bezugnahme auf deren bestimmte
Ausführungsformen beschrieben worden. Es ist jedoch erkennbar, daß verschiedene
Abwandlungen und Änderungen an dieser vorgenommen werden können, ohne den
breiteren Gedanken und den Schutzbereich der Erfindung zu verlassen. Die
Beschreibung und die Darstellungen sind entsprechend eher in einer darstellerischen als
in einer einschränkenden Weise anzusehen.
Die Erfindung betrifft einen Lösungsansatz zum Speichern und Aufrechterhalten von
Daten. Eine oder mehrere Sensoren sind vorgesehen, um einen nicht autorisierten
Zugriff auf einen ersten nicht flüchtigen Speicher zu erfassen. Falls der nicht
autorisierte Zugriff auf den ersten nicht flüchtigen Speicher detektiert wird, werden die
Daten auf dem ersten nicht flüchtigen Speicher durch Überschreiben der Daten auf dem
ersten nicht flüchtigen Speicher mit einem vorbestimmten Wert gelöscht, so daß die
Daten nicht mehr zurückgewonnen werden können. Der erste nicht flüchtige Speicher
wird mit einer Registrierungsautorität bzw. -berechtigung registriert, um eine
Authentizität der Daten zur Verfügung zu stellen, die in dem ersten nicht flüchtigen
Speicher aufrechterhalten werden.
Claims (22)
1. Verfahren zum Speichern und Aufrechterhalten von Daten, wobei das Verfahren
die Schritte aufweist:
Daten werden in einer Speichereinheit gespeichert; ein Fälschungssignal wird erfaßt, das einen nicht autorisierten Zugriff auf die Speichereinheit anzeigt; und
in Reaktion auf die Erfassung des Fälschungssignals werden die Daten, die in der Speichereinheit gespeichert sind, gelöscht, indem die Daten mit einem vorbestimmten Wert überschrieben werden.
Daten werden in einer Speichereinheit gespeichert; ein Fälschungssignal wird erfaßt, das einen nicht autorisierten Zugriff auf die Speichereinheit anzeigt; und
in Reaktion auf die Erfassung des Fälschungssignals werden die Daten, die in der Speichereinheit gespeichert sind, gelöscht, indem die Daten mit einem vorbestimmten Wert überschrieben werden.
2. Verfahren nach Anspruch 1, wobei der Schritt zum Erfassen eines
Fälschungssignal den Schrift enthält, ein Fälschungssignal von einem oder mehreren
Sensoren zu detektieren bzw. zu erfassen, die mit der Speichereinheit verbunden bzw.
verknüpft sind.
3. Verfahren nach Anspruch 1, wobei der Schritt zum Überschreiben der Daten mit
einem vorbestimmten Wert das Überschreiben der Daten mit dem Wert 00H enthält.
4. Verfahren nach Anspruch 3, wobei ferner der Schritt enthalten ist, einen oder
mehrere Feldverzeichniseinträge, die mit den Daten verknüpft sind, zu löschen.
5. Verfahren nach Anspruch 1, wobei die Speichereinheit eine oder mehrere nicht
flüchtige Speichereinrichtungen enthält, die Kopien der Daten enthalten, und wobei das
Verfahren ferner den Schritt enthält, das die Kopien der Daten auf der einen oder den
mehreren nicht flüchtigen Speichereinrichtungen gelöscht werden.
6. Verfahren nach Anspruch 1, das ferner den Schritt enthält, das in Reaktion auf
einen Energieausfall der Speichereinrichtung die Schritte durchgeführt werden, daß der
Speichereinheit von einer Reserveenergiezufuhr Energie zur Verfügung gestellt wird,
und daß es gesperrt wird, daß Daten in die Speichereinheit geschrieben oder aus dieser
gelesen werden.
7. Verfahren nach Anspruch 6, das ferner den Schritt enthält, daß, nachdem die
Energie wieder für die Speichereinheit zur Verfügung gestellt wird, es ermöglicht wird,
Daten in die Speichereinheit zu schreiben und darauf zu lesen.
8. Datenspeichereinheit zum Speichern und Aufrechterhalten von Daten, wobei die
Datenspeichereinheit aufweist:
eine erste nicht flüchtige Speichereinrichtung, die Daten darauf enthält; und
eine Verarbeitungseinheit, die kommunikativ an die erste nicht flüchtige Speichereinrichtung angekoppelt ist, wobei die Verfahrenseinheit konfiguriert ist, um zu bestimmen, ob die Speichereinheit gefälscht worden ist und falls dem so ist, die Daten durch Überschreiben der Daten mit einem vorbestimmten Wert löscht.
eine erste nicht flüchtige Speichereinrichtung, die Daten darauf enthält; und
eine Verarbeitungseinheit, die kommunikativ an die erste nicht flüchtige Speichereinrichtung angekoppelt ist, wobei die Verfahrenseinheit konfiguriert ist, um zu bestimmen, ob die Speichereinheit gefälscht worden ist und falls dem so ist, die Daten durch Überschreiben der Daten mit einem vorbestimmten Wert löscht.
9. Datenspeichereinheit nach Anspruch 8, die ferner aufweist, einen oder mehrere
Sensoren, die kommunikativ an die Verfahrenseinheit angekoppelt sind, um einen
Zugriff auf die Datenspeichereinheit zu erfassen, wobei der eine oder die mehreren
Sensoren konfiguriert sind, um ein Fälschungssignal bei der Erfassung eines Zugriffs
auf die Speichereinheit zur Verfügung zu stellen, wobei die Verfahrenseinheit ferner
aufgebaut ist, um die Daten von der ersten nicht flüchtigen Speichereinrichtung zu
löschen, indem die Daten auf der ersten nicht flüchtigen Speichereinrichtung mit einem
vorbestimmten Wert in Reaktion auf das Fälschungssignal überschrieben werden.
10. Datenspeichereinheit nach Anspruch 8, wobei die Verfahrenseinheit ferner
aufgebaut ist, um die Daten mit dem Wert 00H zu überschreiben.
11. Datenspeichereinheit nach Anspruch 8, wobei die Verfahrenseinheit ferner
aufgebaut ist, um einen oder mehrere Feldverzeichniseinträge zu löschen, die mit den
Daten verknüpft sind.
12. Datenspeichereinheit nach Anspruch 8, wobei die Speichereinheit eine oder
mehrere nicht flüchtige Speichereinrichtungen enthält, die Kopien der Daten enthalten,
und die Verfahrenseinheit ist ferner aufgebaut, um die Kopien der Daten auf der einen
oder den mehreren nicht flüchtigen Speichereinrichtungen zu löschen.
13. Datenspeichereinheit nach Anspruch 8, die ferner erste und zweite
Reserveenergiezufuhren aufweist, die aufgebaut sind, um Energie für die
Speichereinheit in dem Fall eines Energieausfalls bzw. Energieausfalls zur Verfügung
zu stellen.
14. Datenspeichereinheit nach Anspruch 8, die ferner eine zweite nicht flüchtige
Speichereinrichtung aufweist, die kommunikativ mit der Verfahrenseinheit verbunden
ist, wobei eine Duplikatkopie der Daten, die in der ersten nicht flüchtigen
Speichereinrichtung gespeichert sind, in der zweiten nicht flüchtigen
Speichereinrichtung aufrechterhalten werden, und wobei die Verfahrenseinheit ferner
aufgebaut ist, um zu bestimmen, ob ein Ausfall bzw. ein Fehler der ersten nicht
flüchtigen Speichereinrichtung aufgetreten ist, und falls dem so ist, die Daten der ersten
nicht flüchtigen Speichereinrichtung zu löschen, indem die Daten auf der ersten nicht
flüchtigen Speichereinrichtung mit einem vorbestimmten Wert überschrieben werden.
15. Datenspeichereinheit nach Anspruch 8, der ferner aufweist, ein
Sicherungsinterface bzw. Sicherungsschnittstelle, um eine nicht autorisierte
Veränderung der Daten zu verhindern, die in dem ersten nicht flüchtigen Speicher
gespeichert sind.
16. Computer lesbares Medium, das einen oder mehrere Abfolgen bzw. Sequenzen
von einem oder mehreren Befehlen trägt, um Daten zu speichern und aufrecht zu
erhalten, wobei die eine oder mehreren Abfolgen bzw. Sequenzen von einem oder
mehreren Befehlen Befehle enthalten, die, wenn sie durch einen oder mehrere
Prozessoren ausgeführt werden, den einen oder die mehreren Prozessoren dazu
veranlassen, die folgenden Schritt durchzuführen:
Daten werden in einer Speichereinheit gespeichert;
ein Fälschungssignal wird erfaßt, das einen nicht autorisierten Zugriff auf die Speichereinheit anzeigt; und
in Reaktion auf die Erfassung des Fälschungssignales werden die Daten, die in der Speichereinheit gespeichert sind, durch Überschreiben der Daten mit einem vorbestimmten Wert gelöscht.
Daten werden in einer Speichereinheit gespeichert;
ein Fälschungssignal wird erfaßt, das einen nicht autorisierten Zugriff auf die Speichereinheit anzeigt; und
in Reaktion auf die Erfassung des Fälschungssignales werden die Daten, die in der Speichereinheit gespeichert sind, durch Überschreiben der Daten mit einem vorbestimmten Wert gelöscht.
17. Computer lesbares Medium nach Anspruch 16, wobei der Schritt zum Erfassen
eines Fälschungssignals den Schritt enthält, ein Fälschungssignal von einem oder
mehreren Sensoren, die mit der Speichereinheit verknüpft bzw. verbunden sind, zu
erfassen.
18. Computer lesbares Medium nach Anspruch 16, wobei der Schritt zum
Überschreiben der Daten mit einem vorbestimmten Wert das Überschreiben der Daten
mit dem Wert 00H enthält.
19. Computer lesbares Medium nach Anspruch 18, das ferner den Schritt enthält,
einen oder mehrere Feldverzeichniseinträge, die mit den Daten verknüpft sind, zu
löschen.
20. Computer lesbares Medium nach Anspruch 16, wobei die Speichereinheit eine
oder mehrere nicht flüchtige Speichereinrichtungen, die Kopien der Daten enthalten,
enthält, und das Verfahren ferner den Schritt enthält, die Kopien der Daten auf der einen
oder den mehreren nicht flüchtigen Speichereinrichtungen zu löschen.
21. Computer lesbares Medium nach Anspruch 16, das ferner den Schritt enthält, in
Reaktion auf einen Energieausfall der Speichereinrichtung die Schritte durchzuführen,
der Speichereinrichtung von einer Reserveenergiezufuhr Energie zur Verfügung zu
stellen und das Schreiben von Daten in die Speichereinheit und das Lesen von dieser zu
sperren.
22. Computer lesbares Medium nach Anspruch 21, das ferner den Schritt enthält,
nachdem die Speichereinheit wieder hergestellt worden ist, es zu ermöglichen, daß
Daten in die Speichereinheit geschrieben und aus dieser gelesen werden.
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US16762998A | 1998-10-06 | 1998-10-06 |
Publications (2)
Publication Number | Publication Date |
---|---|
DE19942141A1 true DE19942141A1 (de) | 2000-04-13 |
DE19942141C2 DE19942141C2 (de) | 2003-12-04 |
Family
ID=22608137
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
DE1999142141 Expired - Fee Related DE19942141C2 (de) | 1998-10-06 | 1999-09-03 | Verfahren und Vorrichtung zum Löschen von Daten nach einer Fälschung |
Country Status (2)
Country | Link |
---|---|
JP (1) | JP4141069B2 (de) |
DE (1) | DE19942141C2 (de) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1316954A2 (de) * | 2001-11-30 | 2003-06-04 | Kabushiki Kaisha Toshiba | Aufzeichnungs- und Wiedergabegerät und Datenlöschverfahren zur Verwendung im Aufzeichnungs- und Wiedergabegerät |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20040044023A (ko) * | 2002-11-20 | 2004-05-27 | 엘지엔시스(주) | 메모리 데이터 관리장치 및 방법 |
US7171511B2 (en) * | 2004-03-24 | 2007-01-30 | Hitachi, Ltd. | WORM proving storage system |
JP2007058652A (ja) * | 2005-08-25 | 2007-03-08 | Nec System Technologies Ltd | ファイル破壊装置、情報処理装置、情報処理方法及びプログラム |
JP4675980B2 (ja) * | 2008-02-08 | 2011-04-27 | 日本電産サンキョー株式会社 | 不正行為防止方法 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
DE4135767C2 (de) * | 1991-10-30 | 2003-04-30 | Adp Gauselmann Gmbh | Verfahren zum Sichern von in datenspeichernden elektronischen Bauelementen gespeicherten Daten gegen einen unbefugten Zugriff und/oder Manipulation und Vorrichtung zur Durchführung des Verfahrens |
US5265159A (en) * | 1992-06-23 | 1993-11-23 | Hughes Aircraft Company | Secure file erasure |
FR2745112B1 (fr) * | 1996-02-16 | 1998-04-24 | Philippe Escal | Dispositif de protection de donnees sur supports magnetique ou magneto-optique |
-
1999
- 1999-09-03 DE DE1999142141 patent/DE19942141C2/de not_active Expired - Fee Related
- 1999-09-21 JP JP26781699A patent/JP4141069B2/ja not_active Expired - Fee Related
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP1316954A2 (de) * | 2001-11-30 | 2003-06-04 | Kabushiki Kaisha Toshiba | Aufzeichnungs- und Wiedergabegerät und Datenlöschverfahren zur Verwendung im Aufzeichnungs- und Wiedergabegerät |
EP1316954A3 (de) * | 2001-11-30 | 2004-05-26 | Kabushiki Kaisha Toshiba | Aufzeichnungs- und Wiedergabegerät und Datenlöschverfahren zur Verwendung im Aufzeichnungs- und Wiedergabegerät |
Also Published As
Publication number | Publication date |
---|---|
DE19942141C2 (de) | 2003-12-04 |
JP2000148597A (ja) | 2000-05-30 |
JP4141069B2 (ja) | 2008-08-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
DE19947827B4 (de) | Verfahren zum Speichern und Aufrechterhalten von Daten und Computer-Programm sowie Speichermedium damit | |
DE19964475B4 (de) | Verfahren und Vorrichtung zum Löschen von Daten nach Ablauf | |
US7152095B1 (en) | Method and apparatus for erasing data after tampering | |
DE60033376T2 (de) | Verteilte datenarchivierungsvorrichtung und system | |
DE69433471T2 (de) | Kartenartiges Speichermedium und Ausgabeapparat für kartenartiges Speichermedium | |
DE10084964B3 (de) | Verfahren zum sicheren Speichern, Übertragen und Wiedergewinnen inhaltsadresssierbarer Informationen | |
DE69733123T2 (de) | Verfahren und vorrichtung zur verhinderung eines unbefugten schreibzugriffes zu einem geschützten nichtflüchtigen speicher | |
DE69818978T2 (de) | Verfahren um die gültigkeit der beschreibung einer ausführbaredatei zu identifizieren | |
DE60021465T2 (de) | Sicherheitsverwaltungssystem, Datenverteilungsvorrichtung und tragbares Terminalgerät | |
DE60029567T2 (de) | Digitales datenverwaltungs-und abbildherstellungssystem und verfahren mit gesicherter datenmarkierung | |
US8214333B2 (en) | Storage system for managing a log of access | |
US20050015640A1 (en) | System and method for journal recovery for multinode environments | |
DE19960978A1 (de) | System für ein elektronisches Datenarchiv mit Erzwingung einer Zugriffskontrolle beim Suchen und Abrufen von Daten | |
EP0965076A1 (de) | Elektronische datenverarbeitungseinrichtung und -system | |
DE102007015385A1 (de) | Verfahren und Vorrichtung zur Wiedergewinnung von Speicherplatz in Speichern | |
DE3318101A1 (de) | Schaltungsanordung mit einem speicher und einer zugriffskontrolleinheit | |
DE19942141C2 (de) | Verfahren und Vorrichtung zum Löschen von Daten nach einer Fälschung | |
Hansen | Audit considerations in distributed processing systems | |
Seiden et al. | The Auditing Facility fora VMM Security Kernel | |
DE102007008293B4 (de) | Verfahren und Vorrichtung zum gesicherten Speichern und zum gesicherten Lesen von Nutzdaten | |
EP1912184A2 (de) | Vorrichtung und Verfahren zur Erzeugung von Daten | |
Cisco | Backup and Recovery Procedures | |
WO1999026182A2 (de) | Authentifizierungssystem für elektronische dateien | |
WO2002009100A1 (de) | Datenträger mit einem datenspeicher und einem zugriffszähler | |
EP1669903A2 (de) | Mobiles elektronisches Gerät mit Zugriffsschutz |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
OP8 | Request for examination as to paragraph 44 patent law | ||
8304 | Grant after examination procedure | ||
8364 | No opposition during term of opposition | ||
R119 | Application deemed withdrawn, or ip right lapsed, due to non-payment of renewal fee |