-
TECHNISCHES
GEBIET
-
Die
Erfindung bezieht sich auf eine Datenarchivvorrichtung und ein Datenarchivsystem,
die digitale Daten an einem vorgegebenen Ort unter Verwendung eines
Netzes sichern und sie extrahieren können, wenn dies notwendig ist.
Spezifischer bezieht sich die Erfindung auf ein Datenarchivsystem, das
eine Kopie wertvoller digitaler Daten an mehreren Orten in einem
Netz verteilen und sie für
Datensicherungszwecke halten kann.
-
TECHNISCHER
HINTERGRUND
-
Es
ist weit und breit ausgeführt
worden, eine Sicherungskopie von Daten, die z. B. durch einen Computer
erzeugt worden sind, vom Computer zu anderen Dateiservern oder dergleichen
zu übertragen,
die durch ein Netz verbunden sind, um die wertvollen Daten zu sichern.
Falls dieses Netz zu einem globalen weiträumigen Netz wie dem Internet
ausgedehnt wird, wird es möglich,
die Daten von jedem Ort in der Welt zu sichern und die gesicherten
Daten von jedem Ort in der Welt zu extrahieren, solange wie es eine
Umgebung gibt, die für
das Internet erreichbar ist. Obwohl sich jedoch die Bequemlichkeit
für die
Anwender proportional zur Vergrößerung des
Maßstabs eines
zu verwendenden Netzes verbessert, verringert sich umgekehrt die
Sicherheit. Die zu sichernden Daten enthalten normalerweise vertrauliche
Informationen über
Einzelpersonen, wobei deshalb eine zufriedenstellende Sicherheit
sichergestellt sein muss, so dass nur die fragliche Person, die
die Daten aufbewahrt hat, oder nur der Agent, der durch die Person
mit der Angelegenheit betraut worden ist, die Daten extrahieren
kann. Demzufolge besitzt das herkömmliche Datenarchivsystem,
das ein Netz verwendet, ein Problem, weil sich die Sicherheit umgekehrt proportional
zur Verbesserung der Bequemlichkeit des Aufbewahrens der Daten und
des Extrahierens der Daten von irgendeinem Ort verringert.
-
Die
Erfindung ist in Anbetracht dieses Problems gemacht worden. Es ist deshalb
eine Aufgabe der Erfindung, ein Datenarchivsystem zu schaffen, das
nur einer Person, die die Daten aufbewahrt hat, oder einer spezifischen
Person, der erlaubt worden ist, auf die Daten zuzugreifen, erlaubt,
sicher auf die aufbewahrten Daten von einem beliebigen Ort zuzugreifen,
und das nicht erfordert, dass die Server-Seite, die die Daten sichert,
spezielle Vorrichtungen und Software vorbereitet.
-
Weitere
Informationen bezüglich
des Standes der Technik können
in XP00220921, L.-F. Cabrera u. a., "Swift: Using Distributed Disk Striping
to Provide High I/O Data Rates",
Computing Systems, Bd. 4, Nr. 4, Herbst 1991, S. 405-436, gefunden
werden, das durch das Europäische
Patentamt als die Merkmale des Oberbegriffs des Anspruchs 1 offenbarend interpretiert
worden ist.
-
JP-11-134259
lehrt im Hinblick auf die Verbesserung der Sicherheit des Geheimnisschutzes oder
dergleichen durch die Verhinderung der Wiederherstellung der Informationen
ohne die Erlaubnis mehrerer Manager ein Managementverfahren und eine
Managementvorrichtung für
Informationen, bei der Quellinformationen mit der Notwendigkeit
des Geheimnisschutzes durch eine Teilungsvorrichtung entsprechend
einer vorgeschriebenen Regel in mehrere Stücke geteilter Informationen
geteilt werden. Sie werden jeweils in verschiedenen Medien gespeichert
und gehalten, wobei das Management der Medien jeweils durch verschiedene
Manager ausgeführt wird.
Im Fall der Wiederherstellung der Informationen wird die Erlaubnis
der Manager erhalten, werden die geteilten Informationen von den
entsprechenden Medien gelesen und werden sie entsprechend einer
ursprünglichen
Teilungsregel wiederhergestellt. Die Lehren dieses Dokuments sind
gleichermaßen
durch das Europäische
Patentamt als die Merkmale des Oberbegriffs des Anspruchs 1 offenbarend
interpretiert worden.
-
US-Patent
4,960,982 ist durch das Europäische
Patentamt als die folgenden Merkmale der Erfindung offenbarend interpretiert
worden: eine tragbare Karte, ein Teilen aller zu sichernden Daten
in Blöcke,
ein Chipspeicher, der für
alle Daten den Ort der Blöcke
speichert, wo sich die geteilten Daten in einem externen Massenspeicher
befinden, sowohl ein Aufzeichnen der Daten um der Einfachheit willen in
nicht benachbarte Blöcke,
um die Möglichkeit
des unerlaubten Zugriffs zu verringern, als auch eine optionale
Verschlüsselung
der Daten.
-
OFFENBARUNG
DER ERFINDUNG
-
Um
das obige Problem zu lösen,
bereitet die Erfindung eine verteilte Datenarchivvorrichtung vor, die
Verifikationsmittel zum Prüfen
der Authentizität eines
Anwenders, Teilungsmittel zum Teilen der zu sichernden Daten in
mehrere Teile, Zusammenfügungs-/Wiederherstellungsmittel
zum Wiederherstellern der geteilten/gesicherten Daten in eine ursprüngliche
einzige Datendatei, Netzkommunikationsmittel zum Übertragen
der geteilten Datendateien durch ein bestimmtes Kommunikationsprotokoll
zwischen den Datenservern, die die zu sichernden Daten halten, und
Datenmanagementmittel zum Aufzeichnen von Datenaufbewahrungsinformationen,
die eine Aufbewahrung der zu sichernden Daten anzeigen, und Datensicherungsprozedur-Informationen,
die ein Teilungsverfahren der zu sichernden Daten und dergleichen,
wenn die Datensicherung neu ausgeführt wird, anzeigen, umfasst,
bei der die zu sichernden Daten in mehrere Teile geteilt werden,
wenn die Daten gesichert werden, und die geteilten Teile jeder zu
mehreren Servern in einem Netz übertragen
und darin verteilt/gesichert werden, wobei, wenn die zu sichernden
Daten extrahiert werden, die zu sichernden Daten, die in die mehreren
Server im Netz verteilt worden sind und die darin gesichert worden
sind, entsprechend den Datenaufbewahrungsinformationen und den Datensicherungsprozedur-Informationen
extrahiert werden, die aufgezeichnet worden sind, wenn gesichert
worden ist, wobei die geteilten Teile in die ursprüngliche
Datei zusammengefügt
und wiederhergestellt werden, wobei sie einem Anwender bereitgestellt
wird. Es ist schwierig, die wertvollen Daten zu stehlen, wenn die
Daten geteilt und an mehreren Servern gesichert sind.
-
Um
das obige Problem zu lösen,
bereitet die Erfindung ferner eine verteilte Datenarchivvorrichtung
vor, die Lese/Schreib-Mittel zum Lesen/Schreiben digitaler Daten
von einem/auf ein tragbares Aufzeichnungsmedium, Verifikationsmittel
zum Prüfen der
Authentizität
eines Anwenders, Teilungsmittel zum Teilen der zu sichernden Daten
in mehrere Teile, Zusammenfügungs-/Wiederherstellungsmittel
zum Wiederherstellern der geteilten/gesicherten Daten in eine ursprüngliche
einzige Datendatei, Netzkommunikationsmittel zum Übertragen
der geteilten Datendateien durch ein bestimmtes Kommunikationsprotokoll
zwischen den Datenservern, die die zu sichernden Daten halten, und
Daten managementmittel zum Aufzeichnen von Datenaufbewahrungsinformationen,
die eine Aufbewahrung der zu sichernden Daten anzeigen, und Datensicherungsprozedur-Informationen,
die ein Teilungsverfahren der zu sichernden Daten und dergleichen
anzeigen, auf dem tragbaren Aufzeichnungsmedium, wenn die Datensicherung neu
ausgeführt
wird. Die Erfindung erzeugt ein verteiltes Datenarchivsystem, das
aus dieser verteilten Datenarchivvorrichtung, dem tragbaren Aufzeichnungsmedium,
einem Netz und mehreren Datenservern gebildet ist, bei dem, wenn
die Daten gesichert werden, die zu sichernden Daten entsprechend
den Datenaufbewahrungsinformationen und den Datensicherungsprozedur-Informationen,
die auf dem tragbaren Aufzeichnungsmedium aufgezeichnet worden sind,
in mehrere Teile geteilt werden, wobei die geteilten Teile jeder
zu den mehreren Servern im Netz übertragen
und darin verteilt/gesichert werden. Wohingegen, wenn die zu sichernden
Daten extrahiert werden, die zu sichernden Daten, die in die mehreren Server
im Netz verteilt worden sind und darin gesichert worden sind, entsprechend
den Datenaufbewahrungsinformationen und den Datensicherungsprozedur-Informationen,
die auf dem tragbaren Aufzeichnungsmedium aufgezeichnet worden sind,
extrahiert werden und die geteilten Teile zusammengefügt und in
die ursprüngliche
Datei wiederhergestellt werden, wobei sie einem Anwender bereitgestellt wird.
Gemäß diesem
System wird es möglich,
auf die gesicherten Daten von einer beliebigen verteilten Datenarchivvorrichtung,
die mit dem Netz verbunden ist, zuzugreifen, solange wie der Anwender
das tragbare Aufzeichnungsmedium bei sich hat. Falls z. B. der Anwender
ein Aufzeichnungsmedium, wie z. B. eine Diskette, bei sich hat,
die die Datenaufbewahrungsinformationen und die Datensicherungsprozedur-Informationen
aufzeichnet, kann der Anwender die gewünschten Archivdaten von jedem
Ort extrahieren, indem er sich in eine beliebige verteilte Datenarchivvorrichtung
einloggt, die mit dem Netz verbunden ist.
-
Ferner
wird eine deutliche Wirkung erzeugt, falls Mittel zum Verschlüsseln der
Daten hinzugefügt werden,
wobei mehrere geteilte Daten, die zu sichern sind, in einer derartigen
Weise gebildet werden, indem die Verschlüsselung ausgeführt wird,
nachdem die zu sichernden Daten durch die Teilungsmittel geteilt
worden sind, oder alternativ die Teilung ausgeführt wird, nachdem die zu sichernden
Daten verschlüsselt
worden sind, wobei die kryptographischen Schlüsselinformationen und dergleichen,
die für
die Verschlüsselung/Entschlüsselung
benötigt
werden, als Datensicherungsprozedur-Informationen durch die Datenmanagementmittel
aufgezeichnet werden, wobei entsprechend den aufgezeichneten Datensicherungsprozedur-Informationen
die Zusammenfügungs-/Wiederherstellungsmittel
die geteilten Daten in einer derartigen Weise in die ursprünglichen
Daten wiederherstellen, dass die Zusammenfügung ausgeführt wird, nachdem die gesicherten
einzelnen geteilten Daten entschlüsselt worden sind, oder alternativ die
Entschlüsselung
ausgeführt
wird, nachdem die geteilten Daten zusammengefügt worden sind. Die Verschlüsselung
der einzelnen geteilten Daten macht es schwierig, die ursprünglichen
Daten zu erkennen, wobei es deshalb im Wesentlichen kein Risiko
gibt, dass auf die Daten ein heimlicher Blick geworfen wird, selbst
wenn die Daten in einem offenen Netz wie dem Internet gehalten werden.
-
Falls
ferner, wenn die Daten gesichert werden, Blinddaten entsprechend
einer gegebenen Regel in jedem Schritt hinzugefügt werden, wenn die zu sichernden
Daten geteilt oder nach der Teilung verschlüsselt werden oder nach der
Verschlüsselung geteilt
werden, und die Regel zum Hinzufügen
von Blinddaten als Datensicherungsprozedur-Informationen durch die
Datenmanagementmittel aufgezeichnet werden, wohingegen, wenn die
Daten extrahiert werden, die Blinddaten, die hinzugefügt worden
sind, als die Daten gesichert worden sind, in einem vorgegebenen
Schritt entfernt werden, bei dem die gesicherten geteilten Daten
entsprechend den Datensicherungsprozedur-Informationen zusammengefügt oder
entschlüsselt
werden, kann eine vollständige Wiederherstellung
infolge der Einmischung der Blinddaten nicht erreicht werden, selbst
wenn die gesicherten Daten einem heimlichen Blick ausgesetzt werden
und entschlüsselt
werden, wobei deshalb die Sicherheit weiter verbessert ist, wenn
die gesicherten Daten gestohlen werden.
-
Falls
ferner die geteilten Daten in mehreren Datenservern gesichert werden,
während
sie mit einer Redundanz versehen werden, können die ursprünglichen
Daten nur aus den Daten der anderen normalen Server wiederhergestellt
werden, selbst wenn einer der Datenserver herunterfährt. In
Anbetracht der Tatsache, dass der Datenserver selbst herunterfährt, ist
dieses verteilte Datenarchivsystem sicherer.
-
Vorzugsweise
wird eine IC-Karte mit hoher Sicherheit als das obenerwähnte tragbare
Aufzeichnungsmedium verwendet. Dies macht es schwieriger, die Datenaufbewahrungsinformationen
oder die Datensicherungsprozedur-Informatio nen, die darauf aufgezeichnet
sind, zu lesen oder zu kopieren, wobei folglich nur der Inhaber
der IC-Karte auf die gesicherten Daten zugreifen kann.
-
Die
obenerwähnte
verteilte Datenarchivvorrichtung kann verwirklicht werden, indem
ein dediziertes Programm in einen Universalrechner eingebaut wird,
wobei ein derartiges dediziertes Programm verteilt werden kann,
indem es auf einem computerlesbaren Aufzeichnungsmedium aufgezeichnet
wird. Falls das dedizierte Programm in einen beliebigen Universalrechner
eingebaut wird, der über
das Netz mit den Datenservern verbunden werden kann, kann dieser
Universalrechner als die verteilte Datenarchivvorrichtung gemäß der Erfindung
verwendet werden, wobei es möglich
ist, im Wesentlichen von einem beliebigen Ort auf die gesicherten
Daten zuzugreifen, solange wie der Anwender das tragbare Aufzeichnungsmedium
bei sich hat.
-
KURZBESCHREIBUNG
DER ZEICHNUNG
-
1 ist
eine schematische allgemeine Zeichnung eines verteilten Datenarchivsystems,
das eine Ausführungsform
der Erfindung ist.
-
2 zeigt
ein Beispiel der Managementdaten, die auf dem tragbaren Aufzeichnungsmedium 10 aufgezeichnet
sind.
-
3 ist
ein Ablaufplan, der den Betriebsablauf einer verteilten Datenarchivvorrichtung 1 zeigt.
-
4 zeigt
ein Beispiel, in dem die Periodenbegrenzungsinformationen zu jeder
geteilten Datei hinzugefügt
sind, die in einem Datenserver zu halten ist.
-
5 zeigt
ein Beispiel, in dem die Sicherungszielinformationen zu jeder geteilten
Datei hinzugefügt
sind, die in einem Datenserver zu halten ist.
-
6 zeigt
ein Beispiel der Managementdaten mit den in 5 gezeigten
Sicherungszielinformationen.
-
DIE BESTE
ART ZUM AUSFÜHREN
DER ERFINDUNG
-
§1. Die grundlegende Ausführungsform
-
Zuerst
wird eine grundlegende Ausführungsform
der Erfindung beschrieben. 1 ist eine
schematische allgemeine Zeichnung eines verteilten Datenarchivsystems
gemäß der Erfindung.
Eine verteilte Datenarchivvorrichtung 1 ist eine, die als
ein Hauptelement dieses Archivsystems dient, wobei sie eine Funktion
besitzt, die gewünschten
Daten in mehreren Datenservern 2 (in 1 2a, 2b, 2c) über ein
Netz 3 zu halten. Ein tragbares Aufzeichnungsmedium 10 kann
in die verteilte Datenarchivvorrichtung 1 eingesetzt werden,
wobei, wenn die obenerwähnte
Funktion ausgeführt
wird, die verteilte Datenarchivvorrichtung 1 und das tragbare
Aufzeichnungsmedium 10 miteinander in Wechselbeziehung
stehend arbeiten. Wie in 1 gezeigt ist, ist die verteilte
Datenarchivvorrichtung 1 aus den Lese/Schreib-Mitteln 11,
den Verifikationsmitteln 12, den Teilungs-/Verschlüsselungsmitteln 13,
den Entschlüsselungs-/Zusammenfügungsmitteln 14,
den Datenmanagementmitteln 15 und den Netzkommunikationsmitteln 16 gebildet.
Die einzelnen Funktionen dieser Mittel werden später geschrieben. Damit ein
Anwender Daten unter Verwendung des in 1 gezeigten
Datenarchivsystem sichern kann, ist alles, was notwendig ist, die
zu sichernden Daten in der Form jeder Datei in die verteilte Datenarchivvorrichtung 1 zu
geben. 1 zeigt ein Beispiel, in dem drei die Dateien
F1, F2 und F3 als die zu sichernden Datendateien in die verteilte Datenarchivvorrichtung 1 gegeben
werden. Konkret kann die verteilte Datenarchivvorrichtung 1 verwirklicht
werden, indem ein dediziertes Softwareprogramm, durch das eine später beschriebene
Funktion ausgeführt
wird, in einen Universalrechner eingebaut wird, der mit einer Laufwerkseinheit
versehen ist, die für
ein tragbares Aufzeichnungsmedium 10 verwendet wird. Andererseits
sind die Datenserver 2 jeder aus einem Hauptserver 20 und
einem externen Speicher 21 gebildet. Die zu sichernden
Daten werden in mehreren Datenservern 2a, 2b und 2c über das
Netz 3 entsprechend einer vorgegebenen Datensicherungsprozedur
in der Form jeder einzelnen Datei gehalten.
-
Die
Managementdaten, die eine Datenaufbewahrung und eine Datensicherungsprozedur
anzeigen, sind für
jede Datei (F1, F2 und F3 in dem Beispiel der Figur), die in den
Datenservern 2a, 2b und 2c gesichert
worden ist, im tragbaren Aufzeichnungsmedium 10 gespeichert. 2 zeigt
ein Beispiel der Mana gementdaten, die auf dem tragbaren Aufzeichnungsmedium 10 aufgezeichnet
sind. Ein Managementordner, auf den zugegriffen werden kann, indem ein
vorgegebenes Kennwort eingegeben wird, ist in dem einen tragbaren
Aufzeichnungsmedium 10 gebildet, während ein Ordner zum Speichern
der Managementdaten für
jede Datei ferner im Managementordner gebildet ist. In dem Beispiel
nach 2 sind z. B. drei Ordner, die als der Ordner für F1, der
Ordner für
F2 und der Ordner für
F3 dargestellt sind, im Managementordner gebildet, wobei die für die Datei F1
verwendeten Managementdaten, die Managementdaten für die Datei
F2 und die Managementdaten für
die Datei F3 entsprechend in den Ordnern gespeichert sind. 2 zeigt
die Inhalte der Managementdaten für die Datei F1 unter diesen.
Alle Managementdaten sind aus den Datenaufbewahrungsinformationen,
die die Aufbewahrung der Daten zeigen, die jede Datei bilden, und
den Datensicherungsprozedur-Informationen, die die Sicherungsprozedur der
Daten zeigen, gebildet. In der Erfindung wird eine zu sichernde
Datendatei in mehrere Teile geteilt, die verteilt und in mehreren
Datenservern gesichert werden. Die Datenaufbewahrungsinformationen
sind jene, die die Orte der mehreren Datenserver zeigen, die jeder
ein Aufbewahrungsziel einer zu sichernden Datendatei sind. Spezifischer
sind die Datenaufbewahrungsinformationen durch eine Liste der Adressen
(d. h. des einheitlichen Fundstellenanzeigers, der im Folgenden
als URL bezeichnet wird) mehrerer Datenserver, die die Aufbewahrungsziele
sind, konstruiert.
-
Andererseits
sind in dem Beispiel der Figur die Datensicherungsprozedur-Informationen aus
Informationen (z. B. Identifikationszeichen, numerische Zeichen,
Bedingungsgleichungen usw.) gebildet, die die Elemente "Teilungsverfahren", "Verschlüsselungsverfahren", "Reihenfolge der Teilung/Verschlüsselung", "Redundanzspeicherverfahren" und "Verfahren zum Hinzufügen von
Blinddaten" zeigen.
Hierin ist das Element "Teilungsverfahren" ferner in die ausführlichen
Elemente "Dateiteilungsalgorithmus", "Größe der geteilten
Datei" und "Anzahl der geteilten Dateien" klassifiziert. Wenn
z. B. die zu sichernde Datendatei F1 gesichert wird, wird diese
Datendatei F1 in mehrere Dateien geteilt. Zu diesem Zeitpunkt werden
Informationen darüber,
wie zu teilen ist, im "Teilungsverfahren"-Element als Managementdaten gespeichert.
Ausführlicher
sind Informationen darüber,
welcher Typ des "Dateiteilungsalgorithmus" für die Teilung
verwendet wird, Informationen darüber, wie jede "Größe der geteilten
Datei" festgelegt
ist, und Informationen darüber,
wie hoch die "Anzahl
der geteilten Dateien" gestiegen
ist, in den entsprechenden ausführlichen
Ele menten gespeichert.
-
Wenn
die zu sichernde Datendatei F1 verschlüsselt ist, sind die Informationen,
die das Verfahren zeigen, entsprechend dem die Datei verschlüsselt worden
ist, im "Verschlüsselungsverfahren"-Element als Managementdaten
gespeichert. Die Informationen darüber, ob die verschlüsselten
Daten der Teilungsverarbeitung unterzogen worden sind, nachdem die
ursprüngliche
Datendatei F1, die noch nicht der Teilungsverarbeitung unterworfen
worden ist, verschlüsselt
worden ist, oder ob jede geteilte Datei der Verschlüsselung
unterzogen worden ist, nachdem die Teilungsverarbeitung abgeschlossen
worden ist, sind im "Teilungs-/Verschlüsselungsreihenfolge"-Element als Managementdaten
gespeichert.
-
Ferner
sind, wenn jede einzelne geteilte Datei gesichert und auf jedem
Datenserver gespeichert wird, während
sie mit einer Redundanz versehen wird, Informationen, die ein Redundanz-Speicherverfahren
zeigen, das verwendet worden ist, im "Redundanzspeicherverfahren"-Element als Managementdaten
gespeichert. Zwei Verfahren, d. h. ein Spiegelungsverfahren und
ein Verfahren der Bildung einer Paritätsdatei sind jedes als ein
allgemeines Redundanzspeicherverfahren bekannt. Falls das Spiegelungsverfahren
verwendet wird, wird jede geteilte Datei doppelt auf zwei verschiedenen
Datenservern gesichert, d. h. auf primären und sekundären Datenservern.
In dem Fall, in dem eine geteilte Datei verlorengeht, kann eine
Gefahr vermieden werden, solange wie die andere geteilte Datei verbleibt.
Falls andererseits das Verfahren der Bildung einer Paritätsdatei verwendet
wird, wird eine Paritätsdatei
so gebildet, dass z. B. ein Exklusiv-ODER für jedes Bit in Bezug auf ein
Paar von geteilten Dateien gebildet wird, deren Datenlänge völlig gleich
ist, wobei diese Paritätsdatei
und das Paar der geteilten Dateien jede in einem vorgegebenen Datenserver
gespeichert werden (was im Allgemeinen als ein RAID3-Verfahren bezeichnet
wird). In dem Fall, in dem eine des Paars der geteilten Dateien
verlorengeht, kann die geteilte Datei, die verlorengegangen ist,
wiederhergestellt werden, solange wie ein Exklusiv-ODER für jedes
Bit in Bezug auf die andere geteilte Datei des Paars und die Paritätsdatei
gebildet wird.
-
Falls
Blinddaten, die von den in der Datei F1 gespeicherten Daten unabhängig sind,
in einem Prozess des Teilens der zu sichernden Datendatei F1 hinzugefügt werden,
werden Informationen, die zeigen, wie die Blinddaten hinzuzufügen sind,
im Element "Verfahren
zum Hinzufügen
von Blinddaten" als Managementdaten
gespeichert. Es können
z. B. beliebige Zufallsdaten erzeugt werden, um sie als die Blinddaten
zu verwenden, oder es können
einige im Voraus erzeugte Daten als die Blinddaten verwendet werden.
Das Hinzufügen
derartiger Blinddaten macht es möglich,
die zu lesenden Inhalte zu stören,
selbst wenn die geteilte Datei durch illegale Mittel gelesen worden
ist, wobei deshalb die Sicherheit verbessert werden kann. Selbstverständlich können die
Blinddaten zu jedem Teil der ursprünglichen Daten hinzugefügt werden.
Es können
z. B. mehrere Bytes der Blinddaten zu einer spezifischen Stelle,
wie z. B. als ein Kopf oder als ein Fuß, jeder geteilten Datei hinzugefügt werden,
die durch das Teilen der zu sichernden Datendatei F1 erhalten wird,
oder es können
alternativ die Blinddaten an einigen Stellen der geteilten Datei
entsprechend einer derartigen spezifischen Regel, ein Byte der Blinddaten
in das dritte Byte vom Kopf einzufügen, hinzugefügt werden.
Die im Element "Verfahren
zum Hinzufügen
von Blinddaten" als Managementdaten
gespeicherten Informationen sind diejenigen, die zeigen, wie die
Blinddaten hinzugefügt
worden sind, und auf die Bezug genommen wird, um den Entfernungsprozess
der Blinddaten auszuführen,
wenn die ursprünglichen
Daten später
extrahiert werden.
-
In
den Datendateien F2 und F3, die in 2 nicht
gezeigt sind, sind die Managementdaten ebenso gebildet und in einem
Managementordner des tragbaren Aufzeichnungsmediums 10 gespeichert. Wenn
die drei Datendateien F1, F2 und F3 durch das Datenarchivsystem
der Erfindung gesichert werden, wird folglich jede der Datendateien
in mehrere geteilte Dateien geteilt, wobei jede der geteilten Dateien auf
irgendeinem der Datenserver gesichert wird. Falls z. B. die Datendatei
F1 in vier geteilte Dateien F11 bis F14 geteilt wird, werden diese
Dateien F11 bis F14 verteilt und auf irgendeinem der drei Datenserver 2a bis 2c nach 1 gesichert.
In diesem Fall sind die Informationen darüber, wie die ursprüngliche Datendatei
F1 geteilt worden ist, darüber,
wieviel Bytes die Größe jeder
geteilten Datei umfasst, und darüber,
wie viele geteilte Dateien insgesamt gebildet worden sind, auf dem
Managementordner nach 2 als Managementdaten (die Datensicherungsprozedur-Informationen)
der Datei F1 gespeichert. Falls zu diesem Zeitpunkt das Verschlüsselungsverfahren,
das Redundanzspeicherverfahren, das Verfahren zum Hinzufügen von
Blinddaten usw. verwendet werden, sind die Informationen über diese
Verfahren außerdem
als Managementdaten gespeichert. Die Informationen (d. h. die URL-Liste
der Datenserver), die den Datenserver zeigen, auf dem jede der vier
geteilten Dateien F11 bis F14 gesichert ist, sind auf dem Managementordner
nach 2 als Managementdaten (die Datenaufbewahrungsinformationen)
der Datei F1 gespeichert.
-
Es
wird ein eindeutiger Dateiname bestimmt, der jeder der geteilten
Dateien zu geben ist, die auf der Grundlage der zu sichernden Datendatei
entsprechend einer vorgegebenen Regel gebildet worden ist, wobei
bestimmt ist, dass die Korrelation der geteilten Dateien mit der
ursprünglichen
Datendatei erklärt
wird. In der obenerwähnten
Situation werden z. B., falls der Dateiname der zu sichernden Datendatei "F1" lautet, die Namen "F11" bis "F14" entsprechend der
Regel, dass die Ziffern 1 bis 4 jede zum Ende von "F1" hinzugefügt werden,
den geteilten Dateien gegeben, die aus dieser Datendatei "F1" gebildet worden
sind. Hierin ist z. B. der Ordnername des "Ordners für F1", der in 2 gezeigt
ist, völlig
gleich zu dem der Datendatei F1 als "F1" bezeichnet,
wobei eine Liste, in der der URL eines Datenservers, der das Aufbewahrungsziel
ist, jedem der Namen "F11" bis "F14" der geteilten Dateien
entspricht, (konkret eine Liste wie F11 → URL (2a), F12 → URL (2b),...),
in den Datenaufbewahrungsinformationen aufgezeichnet ist, die die
Managementdaten der Datei "F1" betreffen, die im
Ordner "F1" aufgezeichnet sind.
Falls dies so ist, kann die entsprechende Beziehung zwischen dem
Dateinamen "F1" der zu sichernden
Datendatei und den Dateinamen "F11" bis "F14" der geteilten Dateien
klar durch die Dateistruktur nach 2 beschrieben
werden. Normalerweise wird im Internet ein URL verwendet, der wie
http://www.(Serveridentifizierungscode)/(Dateiidentifizierungscode) formuliert
ist. Deshalb wird praktisch eine Bequemlichkeit geschaffen, falls
anstelle einer Liste, die eine entsprechende Beziehung wie F11 → URL (2a),
F12 → URL
(2b),... zeigt, eine URL-Liste wie http://www.(Datenserver 2a)(geteilte
Datei F11), http://www.(Datenserver 2b)(geteilte Datei
F12), ... als die Datenaufbewahrungsinformationen vorbereitet wird.
-
Deshalb
kann die entsprechend der obigen Prozedur gesicherte Datendatei
F1 jeder Zeit und von jedem Ort extrahiert werden, falls die Managementdaten
(d. h. die Datensicherungsprozedur-Informationen und die Datenaufbewahrungsinformationen)
der Datei F1, die im Managementordner gespeichert sind, vorbereitet
werden, um den Zugriff auf das Datenarchivsystem zu erlauben. Mit
anderen Worten, weil ein Datenserver, wo eine notwendige geteilte Datei
gesichert ist, unter Bezugnahme auf die Datenaufbewahrungsinformationen
(d. h. die URL-Liste des Datenservers) in den Managementdaten der
Datei F1 erkannt werden kann, können
alle geteilten Dateien, die für
die Wiederherstellung notwendig sind, gelesen werden. Außerdem macht
es die Bezugnahme auf die Datensicherungsprozedur-Informationen in
den Managementdaten der Datei F1 möglich, eine Wiederherstellungsprozedur
bezüglich
dessen zu erkennen, wie die geteilten Dateien, die gelesen worden
sind, entschlüsselt
werden sollten, welcher Teil der geteilten Dateien als Blinddaten
gelöscht
werden sollte und wie die geteilten Dateien der Dateizusammenfügung unterzogen
werden sollten, um die ursprüngliche
Datendatei F1 zu erhalten. Deshalb kann die ursprüngliche
Datendatei F1 wiederhergestellt werden, indem diese Wiederherstellungsprozedur befolgt
wird. Das heißt,
die Extraktionsverarbeitung der gesicherten Daten kann ausgeführt werden.
-
Die
Mittel 11 bis 16 der verteilten Datenarchivvorrichtung 1,
die in 1 gezeigt ist, besitzen eine Funktion, um die
Datendatei zu sichern, und eine Funktion, um die gesicherten Daten
zu extrahieren, wie oben erwähnt
worden ist. Das heißt,
die Lese/Schreib-Mittel 11 sind Mittel zum Zugreifen auf einen Managementordner
im tragbaren Aufzeichnungsmedium 10, wobei sie dazu dienen,
die Managementdaten jeder einzelnen Datei zu lesen und zu schreiben.
Die Verifikationsmittel 12 dienen dazu, die Authentizität des tragbaren
Aufzeichnungsmediums 10 selbst zu überprüfen, und sie dienen dazu, einen
Anwender zu authentisieren, indem die Kennworteingabe bestätigt wird,
die notwendig ist, um auf den Managementordner zuzugreifen. Die
Teilungs-/Verschlüsselungsmittel 13 dienen
dazu, eine zu sichernde spezifische Datendatei entsprechend einem
vorgegebenen Teilungsverfahren nach einer vorgegebenen Regel zu
teilen, wenn die Anweisungen zum Sichern gegeben werden, und sie
dienen dazu, die Verarbeitung für
die Verschlüsselung,
das Hinzufügen
von Blinddaten und die Redundanzspeicherung nötigenfalls auszuführen, um
einen Datenserver zu bestimmen, wo jede der geteilten Dateien gesichert
ist.
-
Andererseits
dienen die Entschlüsselungs-/Zusammenführungsmittel 14 dazu,
wenn die Anweisungen gegeben werden, eine gesicherte spezifische
Datendatei zu extrahieren, die Verarbeitung für die Zusammenfügung der
geteilten Dateien, die Entschlüsselung
und die Löschung
der Blinddaten anhand der Managementdaten auszuführen, die eine Verarbeitungsprozedur
der spezifischen Datendatei zeigen, wenn sie gesichert wird. Wenn
die Anweisungen gegeben werden, um die Sicherung auszuführen, dienen
die Datenmanagementmittel 15 dazu, die Managementdaten
(d. h. die Datensicherungsprozedur-Informationen und die Datenaufbewahrungsinformation)
zu erzeugen, die die Verarbeitungsprozedur, die durch die Teilungs-/Verschlüsselungsmittel 13 ausgeführt wird,
und das Aufbewahrungsziel jeder geteilten Datei zeigen, und dienen
sie dazu, die Managementdaten über
die Lese/Schreib-Mittel 11 auf den Managementordner des
tragbaren Aufzeichnungsmediums 10 zu schreiben. Wenn andererseits die
Anweisungen gegeben werden, um die Extraktion auszuführen, lesen
die Datenmanagementmittel 15 über die Lese/Schreib-Mittel 11 die
notwendigen Managementdaten aus dem Managementordner des tragbaren
Aufzeichnungsmediums 10 und senden sie sie zu den Entschlüsselungs-/Zusammenführungsmitteln 14 und
den Netzkommunikationsmitteln 16. Die Datenmanagementmittel 15 dienen
ferner dazu, über
die Lese/Schreib-Mittel 11 auf den Managementordner des
tragbaren Aufzeichnungsmediums 10 zuzugreifen und seine
Inhalte den Anwendern zu zeigen. Die Netzkommunikationsmittel 16,
die am Ende in der Figur gezeigt sind, dienen dazu, jede der geteilten
Dateien unter Verwendung eines Datenübertragungsprotokolls (das
im Folgenden als FTP bezeichnet wird), das eine Standardtechnik
des Internets ist, über
das Netz 3 zu einem vorgegebenen Datenserver zu übertragen
und sie zu speichern, oder sie dienen umgekehrt dazu, eine geteilte
Datei von einem vorgegebenen Datenserver zu lesen.
-
Falls
die aus diesen Mitteln 11 bis 16 gebildete verteilte
Datenarchivvorrichtung 1 überall im Netz 3 angeordnet
ist, kann ein Anwender, der das tragbare Aufzeichnungsmedium 10 bei
sich hat, jederzeit und irgendwo eine beliebige Datendatei sichern,
solange es ein Ort ist, an dem die Datenarchivvorrichtung 1 angeordnet
ist, wobei er die beliebige gesicherte Datendatei extrahieren kann.
Falls das Internet als das Netz 3 verwendet wird, kann
der Anwender von irgendwo in der Welt die Daten sichern und die
gesicherten Daten extrahieren, solange wie es ein Ort ist, an dem
die Datenarchivvorrichtung 1 angeordnet ist. Folglich ist
es ein primärer
Vorteil des Datenarchivsystems gemäß der Erfindung, dass eine Datendatei
irgendwo und jederzeit gesichert und extrahiert werden kann, solange
wie das tragbare Aufzeichnungsmedium 10 mitgeführt wird.
Dieser primäre
Vorteil führt
zur Verbesserung der Sicherheit der gesicherten Daten gegen Naturkatastrophen,
Unfälle usw.
Von den Versicherungsgesellschaften oder den Finanzinstituten wird
z. B. verlangt, Gegenmaßnahmen
zu ergreifen, um wertvolle Geschäftsdaten
sicher zu sichern. Die Verwendung des Systems gemäß der Erfindung
macht es möglich,
die zu sichernden Daten in jedem Teil der Welt zu verteilen und
sie zu sichern und außerdem
ein Datenarchivsystem mit hoher Beständigkeit gegen örtliche
Katastrophen oder Unfälle
zu verwirklichen.
-
Es
ist ein zweiter Vorteil des Datenarchivsystems der Erfindung, dass
eine zufriedenstellende Sicherheit ohne spezielle Gegenmaßnahmen
für die Datenserver-Seite
sichergestellt werden kann. Falls das Internet als das Netz 3 im
System nach 1 verwendet wird, wird die Bequemlichkeit
für die
Anwender besser. Die Sicherheit der Datenserver 2a bis 2c kann
jedoch in Anbetracht der Möglichkeit,
dass die auf jedem Datenserver gesicherten Daten infolge eines illegalen
Zugriffs gelesen werden, nicht notwendigerweise als vernünftig betrachtet
werden. Entsprechend dem Datenarchivsystem der Erfindung wird jedoch
die zu sichernde Datendatei in mehrere geteilte Dateien geteilt,
wenn sie gesichert wird, wobei die geteilten Dateien verteilt und
auf mehreren Datenservern gesichert werden. Deshalb kann jede einzelne
geteilte Datei nicht für
sich allein die ursprünglichen
Informationen bilden. Aus diesem Grund treten die Probleme bezüglich der
Sicherheit nicht auf, selbst wenn die auf jedem Datenserver gesicherte
einzelne geteilte Datei durch illegale Mittel gelesen wird. Wenn
eine Sicherungskopie von Geschäftsdaten
angefertigt wird, ist es normalerweise notwendig, zufriedenstellende
Sicherheits-Gegenmaßnahmen
für einen
Datenserver zu ergreifen, der das Ziel der Sicherungskopie ist.
Dies verursacht einen Anstieg der Kosten für die Datensicherung. Gemäß dem System
der Erfindung ist es jedoch möglich,
die Kosten der Datensicherung zu verringern, weil es keine Notwendigkeit
gibt, spezielle Sicherheits-Gegenmaßnahmen für die Datenserver-Seite zu
ergreifen.
-
Es
ist wahr, dass es ein Risiko gibt, dass einige wichtige Informationen
infolge eines illegalen Zugriffs durchsickern, falls eine einzelne
geteilte Datei eine beträchtliche
Datenlänge
besitzt, selbst wenn sie bruchstückhaft
ist. Deshalb ist es praktisch bevorzugt, zu verhindern, dass die
Inhalte der ursprünglichen
Datei in dem Fall wahrgenommen werden, in dem nur eine geteilte
Datei gelesen worden ist. Diese Wahrnehmung der Inhalte kann im
Ergebnis dessen verhindert werden, dass das Teilungsverfahren in
einer derartigen Weise konstruiert wird, dass z. B. eine geteilte
Datei mit Daten konstruiert wird, in der ein Byte jedes dritte Byte
genommen wird, falls drei geteilte Dateien gebildet werden. Um die
Sicherheit zu verbessern, ist es ferner bevorzugt, vor der Teilung oder
nach der Teilung die Verschlüsselung
anhand eines vorgegebenen Algorithmus auszuführen oder Blinddaten hinzuzufügen, wie
in der obigen Ausführungsform
beschrieben ist.
-
Die
Managementdaten jeder Datei, die im tragbaren Aufzeichnungsmedium 10 gespeichert sind,
sind die Informationen, die notwendig sind, um jede Datei zu extrahieren,
wobei die gesicherte Datendatei durch illegalen Zugriff extrahiert
wird, falls diese Managementdaten gestohlen werden. Deshalb ist
es praktisch bevorzugt, ein Medium, auf dessen aufgezeichnete Inhalte
nicht leicht illegal zugegriffen wird, als das tragbare Aufzeichnungsmedium 10 zu verwenden.
Falls spezifischer eine IC-Karte (die im Folgenden als Archivkarte
bezeichnet wird), die z. B. mit einer eingebauten CPU versehen ist,
als das tragbare Aufzeichnungsmedium 10 verwendet wird,
kann eine zufriedenstellende Sicherheit sichergestellt werden. Um
die Sicherheit weiter zu verbessern, ist es bevorzugt, eine Einstellung
so zu treffen, dass ein Kennwort erforderlich ist, um auf den Managementordner
des tragbaren Aufzeichnungsmediums 10 zuzugreifen, wie
in der obigen Ausführungsform
beschrieben ist.
-
§2. Die konkrete Betriebsprozedur
-
Als
Nächstes
wird eine Beschreibung eines Beispiels der Betriebsprozedur der
verteilten Datenarchivvorrichtung gemäß der Erfindung gegeben. 3 ist
ein Ablaufplan, der den Betriebsablauf der verteilten Datenarchivvorrichtung 1 zeigt.
Der Betrieb der verteilten Datenarchivvorrichtung 1 wird
im Folgenden unter Bezugnahme auf diesen Ablaufplan beschrieben.
In der folgenden Beschreibung wird angenommen, dass das tragbare
Aufzeichnungsmedium 10 eine IC-Karte (Archivkarte) mit
zufriedenstellender Sicherheit verwendet.
-
Zuerst
startet ein Anwender die verteilte Datenarchivvorrichtung 1.
Wie oben erwähnt
worden ist, wird in der Praxis die verteilte Datenarchivvorrichtung 1 verwirklicht,
indem ein Stück
der dedizierten Datenarchiv-Software in einen Universalrechner eingebaut wird,
der mit einer Ansteuereinheit für
eine IC-Karte versehen
ist. Deshalb ist die Startverarbeitung der verteilten Datenarchivvorrichtung 1 die
Operation, um die dedizierte Datenarchiv-Software im Universalrechner
zu starten. Wenn die verteilte Datenarchivvorrichtung 1 gestartet
wird, wird eine Nachricht, die auffordert, die Archivkarte 10 einzusetzen,
auf dem Anzeigeschirm angezeigt, wobei ein Bereitschaftszustand
andauert, bis die Archivkarte 10 eingesetzt wird. Wenn
der Anwender die Archivkarte 10 einsetzt, beginnen die
Lese/Schreib-Mittel 11 den Zugriff, um die für die Authen tifizierung
notwendigen Daten auszutauschen. Die Authentizität der verteilten Datenarchivvorrichtung 1 (d.
h. die Authentizität
der Lese/Schreib-Mittel 11) wird auf der Seite der Archivkarte 10 überprüft, während die
Authentizität
der Archivkarte 10 durch die Verifikationsmittel 12 überprüft wird.
Dies ist die Prozedur des Schrittes S1 im Ablaufplan nach 3.
Weil die Technik zum Prüfen
der Authentizität
einem Fachmann auf dem Gebiet wohlbekannt ist, ist ihre ausführliche
Beschreibung weggelassen.
-
Danach
geht im Schritt S2, falls ein negatives Authentifizierungsergebnis
erhalten wird, d. h., falls beurteilt wird, dass die eingesetzte
Archivkarte 10 nicht als eine authentische Archivkarte
anerkannt werden kann, oder entgegengesetzt, falls von der Seite
der Archivkarte 10 beurteilt wird, dass die Lese/Schreib-Mittel 11 illegal
sind, die Stufe zum Schritt S3 weiter, wobei die eingesetzte Archivkarte 10 ausgeworfen
wird. Die Stufe kehrt abermals zum Schritt S1 zurück, wobei
ein Bereitschaftszustand andauert, bis eine neue Archivkarte 10 eingesetzt
wird. Falls andererseits im Schritt S2 ein positives Authentifizierungsergebnis
erhalten wird, geht die Stufe zum Schritt S5 weiter, wobei es erforderlich
ist, dass ein Anwender ein Kennwort eingibt. Unter der Bedingung,
dass die Authentifizierung bezüglich
des fraglichen Anwenders ausgeführt
wird, werden die Inhalte des Managementordners in der Archivkarte 10 auf dem
Anzeigeschirm angezeigt. Ausführlicher
werden, nachdem bestätigt
worden ist, dass das durch den Anwender eingegebene Kennwort mit
dem Kennwort übereinstimmt,
das bezüglich
des in 2 gezeigten Managementordners festgelegt worden ist,
die Inhalte im Managementordner gelesen, wobei der Dateiname (die
drei Datendateien F1, F2 und F3 im Beispiel nach 2),
der unter Verwendung der Archivkarte 10 extrahiert werden
kann, angezeigt wird. Ein Operationsmenü, um die Betriebseingabe vom
Anwender zu akzeptieren, wird gleichzeitig angezeigt, wobei ein
Zustand des Wartens auf die interaktive Betriebseingabe (d. h. das
Auftreten eines Ereignisses) vom Anwender im Schritt S7 erreicht
wird.
-
Der
Anwender kann in dieser Ausführungsform
aus dem angezeigten Operationsmenü vier Arten von Betriebseingaben
auswählen,
wobei in Reaktion auf die Betriebseingabe eine Verzweigung vom Schritt
S7 zu jedem Schritt ausgeführt
wird. Ausführlich
kann der Anwender vier Arten von Betriebseingaben ausführen, d.
h. die Sicherungsverarbeitung, durch die die zu sichernden Daten
neu gesichert werden, die Extraktionsverarbeitung, durch die Daten, die bereits
gesichert worden sind, extrahiert werden, die Medienauswurfverarbeitung,
durch die eine eingesetzte Archivkarte 10 ausgeworfen wird,
und die Endverarbeitung, durch die die Operation der verteilten
Datenarchivvorrichtung 1 beendet wird (konkret die Verarbeitung,
durch die die dedizierte Datenarchiv-Software, die gegenwärtig ausgeführt wird,
beendet wird). Wenn irgendeine der vier angegeben wird, wird im
Schritt S7 erkannt, dass ein Ereignis aufgetreten ist, wobei ein
Sprung zu einem vorgegebenen Verzweigungsziel erfolgt.
-
Hierin
wird angenommen, dass der Anwender zuerst die Sicherungsverarbeitung
ausgewählt hat.
In diesem Fall wird zuerst die Verarbeitung zum Spezifizieren einer
zu sichernden Datei im Schritt S11 ausgeführt. Das heißt, weil
ein Fenster, das verwendet wird, um die zu sichernde Datei zu spezifizieren,
auf dem Anzeigeschirm angezeigt wird, spezifiziert der Anwender
die zu sichernde Datei aus dem Fenster. Wie oben erwähnt worden
ist, ist die verteilte Datenarchivvorrichtung 1 in dieser
Ausführungsform unter
Verwendung eines Universalrechners verwirklicht, wobei deshalb die
zu sichernde Datei in einer derartigen Weise vorbereitet werden
kann, dass sie auf einer Magnetplatte, einer optischen Platte oder einer
photomagnetischen Platte aufgezeichnet ist, auf die durch diesen
Computer zugegriffen werden kann. Selbstverständlich kann die zu sichernde
Datei in der verteilten Datenarchivvorrichtung 1 durch
das Netz 3 von außerhalb
gelesen werden. Hierin wird angenommen, dass z. B. die Datendatei
F1, die auf einem Festplattenlaufwerk des Computers gespeichert
ist, der die verteilte Datenarchivvorrichtung 1 bildet,
als die zu sichernde Datei spezifiziert wird (in diesem Fall sind
die "Managementdaten
der Datei F1", die
in 2 gezeigt sind, noch nicht gebildet worden).
-
Danach
wird im Schritt S13 das "Dateiteilungsverfahren" bestimmt. Ausführlicher
werden Bedingungen bezüglich
dessen festgelegt, wie die zu sichernde Datei F1 geteilt wird (d.
h. der Algorithmus), in welche Dateilänge die zu sichernde Datei
F1 geteilt wird (d. h. die Dateigröße), und in wie viele Dateien die
zu sichernde Datei F1 geteilt wird (d. h. die Anzahl der Dateien).
Diese Bedingungen können
durch den Anwender spezifiziert werden. Es ist jedoch praktisch bevorzugt,
dass die Bedingungen automatisch auf der Grundlage eines gegebenen
Programms bestimmt werden, das in der verteilten Datenarchivvorrichtung 1 vorbreitet
ist. Vorzugsweise hängen
die Bedingungen von jeder zu sichernden Datei ab, um die Sicherheit
zu verbessern. Falls ein allgemeiner Teilungsalgorithmus verwendet
wird, werden die "Größe der geteilten
Datei" und die "Anzahl der geteilten
Dateien", korrelative
Parameter, wobei deshalb die Bestimmung von einem der zwei zwangsläufig zur
Bestimmung des anderen führt.
Falls z. B. die Dateilänge
der zu sichernden Datei F1 100 MByte beträgt, führt die Bestimmung, dass die "Größe der geteilten
Datei" 20 MByte
beträgt,
zwangsläufig
zu der Bestimmung, dass die "Anzahl
der geteilten Dateien" 5
beträgt.
Ebenso führt
die Bestimmung, dass die "Anzahl
der geteilten Dateien" 10
beträgt, zwangsläufig zu
der Bestimmung, dass die "Größe der geteilten
Datei" 10 MByte
beträgt.
-
Im
obigen Beispiel ist der Teilungsalgorithmus festgelegt, entsprechend
dem eine gleiche Teilung ausgeführt
wird, so dass die geteilten Dateien eine zueinander gleiche Größe erhalten,
wobei jedoch der Dateiteilungsalgorithmus nicht auf die gleiche
Teilung eingeschränkt
ist. Es ist z. B. möglich,
einen beliebigen Teilungsalgorithmus festzulegen, entsprechend dem
die Länge "einer geteilten Datei,
die sich bei einer geraden Zahl befindet, so festgelegt ist, dass
sie das Doppelte der Dateilänge
einer geteilten Datei ist, die sich bei einer ungeraden Zahl befindet". Wenn ferner eine
Datei geteilt wird, ist nicht notwendigerweise ein Algorithmus notwendig,
entsprechend dem ein sequentieller Teil der ursprünglichen
Datei als eine geteilte Datei verwendet wird. Wenn z. B. die zu
sichernde Datei in zwei geteilte Dateien geteilt wird, ist nicht
nur ein Algorithmus, entsprechend dem die zu sichernde Datei in
eine erste geteilte Datei, die der erste halbe Teil der zu sichernden
Datei ist, und eine zweite geteilte Datei, die der letztere halbe
Teil von ihr ist, sondern außerdem
ein Algorithmus, entsprechend dem die zu sichernde Datei in eine
erste geteilte Datei, die durch ein Byte konstruiert ist, das sich
bei einer ungeraden Zahl befindet, und eine zweite geteilte Datei,
die durch ein Byte konstruiert ist, das sich bei einer geraden Zahl
befindet, wirksam. Praktisch ist es bevorzugt, den letzteren Teilungsalgorithmus
zu verwenden, um die Sicherheit sicherzustellen. Normalerweise sind
geteilte Dateien, die nur durch das Byte der ungeraden Zahl konstruiert
sind, oder geteilte Dateien, die nur durch das Byte der geraden
Zahl konstruiert sind, an sich vollständig sinnlos, wobei deshalb
verhindert werden kann, das wertvolle Informationen durchsickern,
selbst wenn illegal auf sie zugegriffen wird.
-
Es
ist selbstverständlich
möglich,
diesen Teilungsalgorithmus zu verwenden, wenn die ursprüngliche
Datei in drei Dateien oder mehr unterteilt wird. Im Allgemeinen
wird die zu sichernde Datei in n Dateien geteilt, wobei eine Zuordnung
so ausgeführt werden
kann, dass in der Reihenfolge von einem Kopf, der die zu sichernde
Datei bildet, das erste Byte der ersten geteilten Datei zugeordnet
wird, das zweite Byte der zweiten geteilten Datei zugeordnet wird, ...,
das n-te ("-te" stellt das Suffix
einer Ordnungszahl dar) Byte der n-ten geteilten Datei zugeordnet
wird, das (n + 1)-te Byte der ersten geteilten Datei zugeordnet
wird und das (n + 2)-te Byte der zweiten geteilten Datei zugeordnet
wird. Die sequentielle Zuordnung durch beliebige Bytes kann selbstverständlich anstelle
der Zuordnung durch ein Byte ausgeführt werden. In der Praxis gibt
es eine unendliche Menge von Algorithmen, wenn die Datei geteilt
wird, wobei irgendeiner von ihnen übernommen werden kann.
-
Danach
wird im Schritt S17 das Verschlüsselungsverfahren
bestimmt, wobei im nachfolgenden Schritt S19 das Verfahren zum Hinzufügen von
Blinddaten bestimmt wird, während
im Schritt S21 das Redundanzspeicherverfahren bestimmt wird. Praktisch ist
es bevorzugt, diese Verfahren automatisch entsprechend einem vorgegebenen
Algorithmus zu bestimmen, der in der verteilten Datenarchivvorrichtung 1 vorbereitet
ist, obwohl der Anwender diese Verfahren spezifizieren kann. Ferner
ist es bevorzugt, zu veranlassen, dass sich das Verschlüsselungsverfahren
oder das Verfahren zum Hinzufügen
von Blinddaten in Abhängigkeit
von jeder einzelnen zu sichernden Datei ändert, um die Sicherheit zu
verbessern, wobei es bevorzugt ist, ferner zu veranlassen, dass sich
ein derartiges Verfahren in Abhängigkeit
von jeder einzelnen geteilten Datei ändert.
-
Die
im Schritt S17 ausgeführte
Bestimmung ist nicht auf den Algorithmus, entsprechend dem die Verschlüsselung
ausgeführt
wird, oder die Daten eines kryptographischen Schlüssels, der
in einem Verschlüsselungsprozess
verwendet wird, eingeschränkt.
Dieser Schritt kann eine Bestimmung der Teilungs/Verschlüsselungsreihenfolge,
d. h. eine Bestimmung, ob die Verschlüsselung jeder geteilten Datei
ausgeführt
wird, eine Bestimmung, ob die Verschlüsselung jeder geteilten Datei
ausgeführt
wird, nachdem die Teilung abgeschlossen ist, oder eine Bestimmung,
ob die ursprüngliche
Datei in mehrere Dateien unterteilt wird, nachdem die Datei der
Verschlüsselung
unterzogen wird, ausführen.
-
Im
Schritt S19 wird das Verfahren zum Hinzufügen von Blinddaten, die von
den zu sichernden Daten unabhängig
sind, entsprechend einer gegebenen Regel in jeder Stufe, wenn die
zu sichernden Daten geteilt werden, oder wenn die Daten verschlüsselt werden,
nachdem die Daten geteilt worden sind, oder wenn die Daten geteilt
werden, nachdem die Daten verschlüsselt worden sind, bestimmt.
Falls die Verarbeitung des Hinzufügens derartiger Blinddaten
ausgeführt
wird, wie oben erwähnt
worden ist, wenn gesichert wird, macht es die Einmischung der Blinddaten
unmöglich,
die ursprünglichen
Daten vollständig wiederherzustellen,
selbst wenn die gesicherten Daten einem heimlichen Blick ausgesetzt
sind oder entschlüsselt
werden, wobei deshalb die Sicherheit weiter verbessert ist.
-
Andererseits
sollte eine durch den Schritt S21 ausgeführte Bestimmung eine sein,
ob das Spiegelungsverfahren als das Redundanzspeicherverfahren übernommen
wird oder ob das Verfahren der Bildung einer Paritätsdatei übernommen
wird, wie oben beschrieben worden ist.
-
Nachdem
bestimmt worden ist, was notwendig ist, um die Datensicherungsprozedur
auszuführen,
werden im Schritt S23 die Teilungs-/Verschlüsselungsmittel 13 aufgerufen,
wobei entsprechend den in jedem Schritt bestimmten Verfahren die
zu sichernde Datendatei F1 der Teilungsverarbeitung, der Verschlüsselungsverarbeitung
und der Verarbeitung des Hinzufügens
von Blinddaten unterworfen wird, um mehrere geteilte Dateien zu
erzeugen. Falls das Verfahren der Bildung einer Paritätsdatei
als das Redundanzspeicherverfahren ausgewählt wird, wird in dieser Stufe
außerdem
eine notwendige Paritätsdatei gebildet.
Danach wird ein Datenserver, der ein Aufbewahrungsziel jeder einzelnen
geteilten Datei ist (in dieser Beschreibung wird eine Paritätsdatei
als eine der geteilten Dateien betrachtet), bestimmt, wobei dies
geschrieben wird. Ausführlicher
wird zuerst ein Datenserver, der das Aufbewahrungsziel einer geteilten
Datei ist, im Schritt S29 bestimmt, wobei im Schritt S31 durch den
Betrieb der Netzkommunikationsmittel 16 diese geteilte
Datei zum Datenserver des Aufbewahrungsziels übertragen wird und auf den Datenserver
geschrieben wird. Diese Verarbeitung wird wiederholt ausgeführt, bis
durch den Schritt S35 die Anwendung auf alle geteilten Dateien abgeschlossen
wird. Falls zu diesem Zeitpunkt die Redundanzspeicherung gemäß dem Spiegelungsverfahren ausgeführt wird,
wird jede einzelne geteilte Datei zu zwei verschiedenen Datenservern übertragen
und dort gespeichert, d. h. zu einem primären Datenserver und zu einem
sekundären
Datenserver. Falls die Redundanzspeicherung gemäß dem Verfahren der Bildung
einer Paritätsdatei
ausgeführt
wird, wird die Paritätsdatei
zusammen mit jeder geteilten Datei zu einem vorgegebenen Server übertragen,
wobei sie darauf gespeichert werden.
-
Die
Dateiübertragungsverarbeitung
durch die Netzkommunikationsmittel 16 wird in Übereinstimmung
mit dem FTP ausgeführt,
wie oben erwähnt worden
ist. Ausführlicher
wird z. B. eine Konfigurationsdatei, in der die URL-Liste der Datenserver,
die die Aufbewahrungsziele sind, aufgezeichnet ist, vorbereitet,
wobei einer der Datenserver der URL-Liste dieser Konfigurationsdatei
geeignet ausgewählt
wird und eine geteilte Datei zu ihm übertragen wird. Falls sie zufriedenstellend übertragen
worden ist, kann die nächste
geteilte Datei zum nächsten
Datenserver der URL-Liste übertragen
werden. Falls die Übertragung aus
irgendeinem Grund fehlgeschlagen ist, wird das Ziel zum nächsten Datenserver
der URL-Liste geändert,
wobei die geteilte Datei abermals übertragen wird.
-
Schließlich werden
im Schritt S37 die Managementdaten bezüglich der zu sichernden Datei F1
durch die Funktion der Datenmanagementmittel 15 erzeugt,
wobei sie auf der Archivkarte 10 aufgezeichnet werden.
Ausführlich
werden die "Managementdaten
der Datei F1", die
die Datensicherungsprozedur-Informationen,
die aus den in 2 gezeigten Elementen gebildet
sind, und die Datenaufbewahrungsinformationen, die aus einer URL-Liste
der Datenserver, die die Aufbewahrungsziele der geteilten Dateien
sind, gebildet sind, enthalten, auf dem Ordner für die Datei F1 aufgezeichnet.
Die Sicherungsverarbeitung der Datei F1, die als eine zu sichernde
Datei spezifiziert worden ist, ist durch die obigen Schritte abgeschlossen,
wobei die Stufe abermals zum Schritt S5 zurückkehrt und ein Warten auf das
nächste
Ereignis andauert.
-
Als
Nächstes
wird ein Fall angenommen, in dem ein Anwender eine gegebene Datei
spezifiziert hat und die Extraktionsverarbeitung als ein im Schritt S7
auftretendes Ereignis ausgewählt
hat. In diesem Fall werden zuerst im Schritt 541 die Managementdaten
einer zu extrahierenden Datei durch die Funktion der Datenmanagementmittel 15 aus
der Archivkarte 10 gelesen. Der Anwender spezifiziert z.
B. die Datei F1, die bereits gesichert worden ist, wobei die in 2 gezeigten "Managementdaten der
Datei F1" aus der
Archivkarte 10 gelesen werden, falls die Extraktionsverarbeitung
ausgewählt
worden ist. Unter Bezugnahme auf die in den Managementdaten enthaltenen
Datenaufbewahrungsinformationen ist es möglich, den URL des Datenservers
zu erkennen, auf dem die einzelnen geteilten Dateien, die die zu extrahierende
Datei bilden, gesichert worden sind, wobei es unter Bezugnahme auf
die Datensicherungsprozedur-Informationen möglich ist, die Art zu erkennen,
in der die Teilungsverarbeitung, die Verschlüsselungsverarbeitung, die Redundanzspeicherverarbeitung
und die Verarbeitung zum Hinzufügen von
Blinddaten ausgeführt
worden sind, als gesichert worden ist.
-
Demzufolge
wird im Schritt S43 die Leseverarbeitung der einzelnen geteilten
Dateien, die die zu extrahierende Datei F1 bilden, ausgeführt, so
dass die einzelnen geteilten Dateien (und nötigenfalls die Paritätsdateien),
die in den vorgegebenen Datenservern gespeichert sind, durch die
Funktion der Netzkommunikationsmittel 16 auf der Grundlage
der Datenaufbewahrungsinformationen in die verteilte Datenarchivvorrichtung 1 gelesen
werden. Ferner wird im Schritt S47 die Entschlüsselungs-/Zusammenführungsverarbeitung
durch die Funktion der Entschlüsselungs-/Zusammenführungsmittel 14 auf
der Grundlage der Datensicherungsprozedur-Informationen auf die
gelesenen einzelnen geteilten Dateien angewendet, wobei die ursprüngliche
Datei F1 wiederhergestellt wird. Falls die Redundanzspeicherverarbeitung ausgeführt worden
ist, als gesichert worden ist, kann selbstverständlich die Datei durch eine
vorgegebene Wiederherstellungsprozedur wiederhergestellt werden,
selbst wenn ein gegebener Datenserver nicht in Ordnung ist. Falls
Blinddaten hinzugefügt
worden sind, als die ursprünglichen
Daten gesichert worden sind, werden die Blinddaten entfernt, wenn
die Verarbeitung des Schrittes S47 ausgeführt wird.
-
Schließlich wird
die zu extrahierende Datei F1, die in dieser Weise wiederhergestellt
worden ist, an einem vorgegebenen Aufzeichnungsort (d. h. dem spezifizierten
Ort, dessen Management nicht durch die Software ausgeführt wird,
die als die verteilte Datenarchivvorrichtung 1 arbeitet)
gesichert, der durch den Anwender spezifiziert worden ist. Im Ergebnis werden
die gesicherten Daten in der wiederhergestellten Form wieder zum
Anwender zurückgeleitet. Die
Informationen, die für
die obenerwähnte
Folge der Datenwiederherstellungsoperationen notwendig sind, sind
auf der Archivkarte 10 in der Form der Managementdaten
aufgezeichnet. Deshalb hat der Anwender sogar keinen Grund, der
Tatsache Beachtung zu schenken, dass die zu sichernde Datei in der Form
mehrerer geteilter Dateien gesichert ist, weil die verteilte Datenarchivvorrichtung 1 automatisch
die Datenwiederherstellungsoperationen auf der Grundlage der Managementdaten
ausführt.
-
Falls
der Anwender das "Ende" aus dem Menü als ein
Ereignis des Schrittes S7 auswählt, geht
die Stufe zum Schritt S53 weiter, wobei, falls Dateien, die bis
zur Gegenwart wiederhergestellt worden sind, in der verteilten Datenarchivvorrichtung 1 (d.
h. an dem Ort, dessen Management durch die Software ausgeführt wird,
die als die verteilte Datenarchivvorrichtung 1 arbeitet)
verbleiben, diese Dateien gelöscht
werden, wobei der Betrieb als die verteilte Datenarchivvorrichtung 1 beendet
wird (d. h. die Ausführung
der Software, die als die verteilte Datenarchivvorrichtung 1 arbeitet,
beendet wird). Falls der Anwender als ein Ereignis des Schrittes
S7 die Anweisungen gibt, die Archivkarte 10 aus den Lese/Schreib-Mitteln
11 auszuwerfen, wird die Karte im Schritt S3 ausgeworfen, wobei
die Stufe zum Schritt 51 zurückkehrt und ein Warten andauert,
bis die nächste
Karte eingesetzt wird.
-
Wie
oben beschrieben worden ist, werden gemäß der Erfindung wertvolle digitale
Daten geteilt, wobei die resultierenden Daten auf mehreren Datenservern
gesichert werden. Selbst wenn die gesicherten Daten von einem Server
gestohlen werden, wird folglich die Sicherheit aufrechterhalten,
weil die gestohlenen Daten nicht in die ursprünglichen Daten wiederhergestellt
werden können.
Weil eine IC-Karte mit einer sehr großen Sicherheit gegen die illegale Datenverfälschung
als die Archivkarte 10 verwendet werden kann, die notwendig
ist, wenn die Daten gesichert werden und wenn die Daten extrahiert
werden, gibt es kein Risiko, dass die gesicherten Daten gestohlen
werden, solange wie die IC-Karte nicht gestohlen wird. Weil ferner
die zu sichernden Daten nötigenfalls
verschlüsselt
und gesichert werden können,
tritt kein großer
Nachteil auf, selbst wenn ein heimlicher Blick auf die Daten des
Datenservers geworfen wird, wenn die Daten von ihm im Internet extrahiert
werden. Weil außerdem
alles, was für
die Datenserver notwendig ist, die die Daten sichern, mittels des
FTP anzuschließen
ist, was ein Standardprotokoll des Internets ist, ist keine spezielle
Vorrichtung notwendig, wobei das Aufbewahrungsziel sehr frei gewählt werden
kann. Es ist möglich,
sehr bequem von einer beliebigen verteilten Datenarchivvorrichtung,
die mit dem Netz verbunden ist, auf die gesicherten Daten zuzugreifen,
falls die Archivkarte 10 mitgeführt wird. Selbstverständlich ist
ein Protokoll, durch das die Dateien zwischen den Datenservern über das
Netz übertragen
werden, nicht auf das FTP eingeschränkt, wobei verschiedene Protokolle,
die von diesem verschieden sind, verwendet werden können.
-
§3. Verschiedene Modifikationen
und angewendete Beispiele
-
Als
Nächstes
werden Modifikationen und angewandte Beispiele der Erfindung beschrieben.
In der in 1 gezeigten Ausführungsform
sind die verteilte Datenarchivvorrichtung 1 und der Datenserver 2 (2a, 2b, 2c)
als Vorrichtungen beschrieben worden, die Funktionen besitzen, die
vollständig
voneinander verschieden sind, wobei jedoch beide Vorrichtungen zueinander
völlig
gleich sind, weil sie jede ein "Computer,
in dem eine vorgegebene Software aufgebaut ist," sind. In der Praxis ist eine mögliche Form
der Verwendung, dass ein Computer mit vollständig der gleichen Hardware-Konfiguration
einerseits als die verteilte Datenarchivvorrichtung 1 und
andererseits als der Datenserver 2 verwendet wird. Computer,
die vom Standpunkt der Hardware völlig gleich sind, können in
Abhängigkeit
von der einzubauenden Software als die verteilte Datenarchivvorrichtung 1 und
als der Datenserver 2 verwendet werden. Falls es ein Computer
ist, in dem die zwei Arten der Software gleichzeitig eingebaut sind,
kann der Computer selbstverständlich
in einer Weise unterschiedlich verwendet werden, so dass er in einer
Situation als die verteilte Datenarchivvorrichtung 1 arbeitet
und einer weiteren Situation als der Datenserver 2 arbeitet.
-
Ein
weiteres Beispiel der Form der Verwendung ist wie folgt. Es wird
angenommen, dass die Computer in drei Niederlassungen X, Y bzw.
Z angeordnet sind und dass die Computer über ein Netz miteinander verbunden
sind. Die Software, die verwendet wird, um als die verteilte Datenarchivvorrichtung 1 zu
arbeiten, und die Software, die verwendet wird, um als der Datenserver 2 zu
arbeiten, sind in jedem der Computer eingebaut, wobei die Daten
von einer der Niederlassungen in zwei Teile geteilt werden (es können z.
B. eine erste geteilte Datei, die durch das Byte konstruiert ist,
das sich bei einer ungeraden Zahl befindet, und eine zweite geteilte
Datei, die durch das Byte konstruiert ist, das sich bei einer geraden
Zahl befindet, gebildet werden), wobei sie auf den Computern der
anderen zwei Niederlassungen gesichert werden und auf den Computern
der anderen zwei Niederlassungen eine Sicherungskopie erzeugt wird.
Ausführlicher
kann, wenn die Datensicherung der Daten der Niederlassung X auf
den Computern der Niederlassungen Y und Z gesichert ist, der Computer
der Niederlassung X als die Datenarchivvorrichtung 1 verwendet
werden, während
die Computer der Niederlassungen Y und Z als der Datenserver 2 verwendet
werden können.
Wenn die Sicherungskopie der Daten der Niederlassung Y auf den Computern
der Niederlassungen X und Z gesichert ist, kann ebenso der Computer
der Niederlassung Y als die Datenarchivvorrichtung 1 verwendet
werden, während
die Computer der Niederlassungen X und Z als der Datenserver 2 verwendet
werden können. Wenn
die Sicherungskopie der Daten der Niederlassung Z auf den Computern
der Niederlassungen X und Y gesichert ist, kann der Computer der
Niederlassung Z als die Datenarchivvorrichtung 1 verwendet
werden, während
die Computer der Niederlassungen X und Y als der Datenserver 2 verwendet werden
können.
Demzufolge bedeuten die Namen der einen Bestandteil bildenden Elemente "Datenarchivvorrichtung 1" und "Datenserver 2" in der Erfindung
lediglich eine Rolle, die ausgeführt
wird, wenn eine Datei gesichert oder extrahiert wird. In der Praxis
können
einzelne Computer, die mit dem Netz verbunden sind, veranlasst werden,
als die "Datenarchivvorrichtung 1" und als der "Datenserver 2" zu arbeiten.
-
Obwohl
die in 2 gezeigten Managementdaten in der obigen Ausführungsform
direkt auf der Archivkarte 10 (dem tragbaren Aufzeichnungsmedium)
aufgezeichnet sind, müssen
die Managementdaten nicht notwendigerweise direkt darauf aufgezeichnet
sein. Es ist z. B. möglich,
eine Art zu verwenden, in der der ganze Managementordner, der in 2 gezeigt
ist, in den Datenserver 2a im Blockschaltplan nach 1 gesetzt
ist, wobei die Informationen, die notwendig sind, um auf diesen
Managementordner zuzugreifen (z. B. die Informationen, die den URL
des Datenservers 2a zeigen, die Informationen, die die
Adresse zeigen, wo die Managementdaten gespeichert sind, oder die
Informationen bezüglich
des Kennworts, das notwendig ist, um auf den Managementordner zuzugreifen),
auf der Archivkarte 10 aufgezeichnet sind. Falls diese
Art verwendet wird, wenn die Sicherungsverarbeitung der Daten ausgeführt wird,
können
die Datenmanagementmittel 15 die erzeugten Managementdaten
auf eine vorgegebene Adressenstelle im Datenserver 2a schreiben, wobei
sie die "Informationen,
die notwendig sind, um auf die Managementdaten zuzugreifen, die
auf den Datenserver 2a geschrieben sind," auf die Archivkarte 10 aufzeichnen
können,
anstatt die erzeugten Managementdaten direkt auf die Archivkarte 10 aufzuzeichnen.
Wenn andererseits die Extraktionsverarbeitung der Daten ausgeführt wird,
können
die Datenmanagementmittel 15 zuerst die "Informationen, die
notwendig sind, um auf die Managementdaten zuzugreifen, die auf
den Datenserver 2a geschrieben sind", die auf der Archivkarte 10 aufgezeichnet
sind, lesen, wobei sie unter Verwendung dieser Informationen die
Managementdaten vom Datenserver 2a lesen können, anstatt
die notwendigen Managementdaten direkt von Archivkarte 10 zu
lesen. Diese Art kann sozusagen als ein indirektes Aufzeichnungsverfahren
des Aufzeichnens der Managementdaten indirekt auf die Archivkarte 10 bezeichnet
werden.
-
Die
folgenden zwei Vorteile können
erhalten werden, indem das Verfahren des Aufzeichnens der Managementdaten
indirekt auf die Archivkarte 10 in dieser Weise verwendet
wird. Es ist ein erster Vorteil, dass die Begrenzungen der Aufzeichnungskapazität der Archivkarte 10 (des
tragbaren Aufzeichnungsmediums) gelockert werden können. Wie
das Beispiel nach 2 sind die Managementdaten jeder
Datei aus den Datensicherungsprozedur-Informationen und den Datenaufbewahrungsinformationen
gebildet, wobei sie eine bestimmte Datenmenge als Ganzes besitzen.
Weil andererseits die Archivkarte 10 ein kartenförmiges elektronisches
Informationsaufzeichnungsmedium ist, ist seine Aufzeichnungskapazität relativ
klein. Deshalb ist es unerwünscht,
die Managementdaten von vielen Dateien direkt auf die Archivkarte 10 aufzuzeichnen,
weil die eingeschränkte Aufzeichnungskapazität verschwendet
wird. Das Verfahren des Aufzeichnens der Managementdaten indirekt
auf die Archivkarte 10 macht es möglich, die Managementdaten
tatsächlich
auf Aufzeichnungsorten zu speichern, die von der Archivkarte 10 verschieden
sind, wobei alles, was notwendig ist, darin besteht, nur die Informationen
aufzuzeichnen, die notwendig sind, um auf diese Managementdaten
auf der Archivkarte 10 zuzugreifen. Deshalb kann die begrenzte
Aufzeichnungskapazität
effektiv verwendet werden.
-
Es
ist ein weiterer Vorteil des Verfahrens des Aufzeichnens der Managementdaten
indirekt auf die Archivkarte 10, dass eine Form der Verwendung,
wie z. B. mehreren Anwendern zu erlauben, die gesicherten Daten
gemeinsam zu benutzen, bewirkt werden kann. Die Archivkarten 10,
die eine gleiche Art besitzen, werden z. B. mehreren Anwendern gegeben,
die zur selben Gruppe gehören,
wobei die Informationen, die notwendig sind, um auf dieselben Managementdaten
zuzugreifen, die auf einem spezifischen Aufzeichnungsort gespeichert
sind, auf der gleichen Archivkarte 10 aufgezeichnet sind.
In diesem Fall kann jeder Anwender, der die gleiche Art der Archivkarte 10 besitzt,
auf dieselben Managementdaten zugreifen, wobei dieselben gesicherten
Daten auf der Grundlage derselben Managementdaten extrahiert werden
können.
-
Ferner
werden gemäß einem
weiteren Aspekt des Datenarchivsystems der Erfindung Periodenbegrenzungsinformationen,
die die Begrenzungen zeigen, die eine Periode betreffen, zu den
zu sichernden Daten hinzugefügt,
wobei die Daten verteilt und auf dem Datenserver gesichert werden,
wobei die auf diesen Periodenbegrenzungsinformationen beruhenden
Begrenzungen der Datenextraktionsverarbeitung auferlegt werden können. Spezifisch
können
wie im Beispiel nach 4 die Periodenbegrenzungsinformationen
z. B. zu jeder der geteilten Dateien F11, F12 und F13 in einem vorgegebenen
Format hinzugefügt
werden, um sie auf jedem Datenserver zu sichern. Die Begrenzungen
können
der Datenextraktion auferlegt werden, so dass die Datenextraktion
in Bezug auf eine geteilte Datei, für die die Periodenbegrenzungsinformationen,
die festlegen, dass die "Datenextraktion
bis Ende Juni 2001 verboten ist",
hinzugefügt
worden sind, ungeachtet der Anweisungen eines Anwenders für die Datenextraktion, falls
die Anweisungen während
einer Periode mit verbotener Extraktion gegeben werden, verboten
ist. Die Überprüfung hinsichtlich
dieser Periodenbegrenzung kann auf der Seite jedes Datenservers 2 ausgeführt werden,
oder sie kann auf der Seite der verteilten Datenarchivvorrichtung 1 ausgeführt werden,
oder sie kann in der Archivkarte 10 ausgeführt werden.
In Bezug auf die Periodenbegrenzungsinformationen kann die Begrenzung,
die zeigt, dass die "Datenextraktion nach
Juli 2001 verboten ist",
festgelegt werden, oder es kann die Begrenzung, die zeigt, dass
die "Datenextraktion
von Juli bis September 2001" verboten
ist, festgelegt werden. Aktive Anweisungen, die "lösche diese
Daten am 1. Juli 2001" zeigen,
können
außerdem
festgelegt werden, um die Daten auf der Datenserver-Seite zum Termin
automatisch zu löschen.
-
Ferner
werden gemäß einem
weiteren Aspekt des Datenarchivsystems der Erfindung Alternativzielinformationen,
die ein Alternativziel darlegen, das vom ursprünglichen Aufbewahrungsziel
verschieden ist, zu einzelnen geteilten Dateien zugeführt, die
verteilt und auf jedem Datenserver gesichert sind, wobei diese Alternativzielinformationen als
ein Teil der Managementdaten für
den Fall aufgezeichnet werden, in dem irgendeine Schwierigkeit in einem
Datenserver aufgetreten ist, der das ursprüngliche Aufbewahrungsziel ist.
Falls das zutrifft, kann veranlasst werden, dass die gesicherten
Daten alternativ einen weiteren Datenserver nehmen, der als ein Alternativziel
spezifiziert ist.
-
Es
wird z. B. angenommen, dass eine zu sichernde Datei F1 in drei geteilte
Dateien F11, F12 und F13 geteilt ist und dass diese geteilten Dateien auf
den Datenservern 2a, 2b bzw. 2c gesichert
sind. In diesem Fall werden die ur sprünglichen Aufbewahrungsziele
der geteilten Dateien F11, F12 und F13 die Datenserver 2a, 2b bzw. 2c.
Tatsächlich
werden die geteilten Dateien F11, F12 und F13 zu den Datenservern 2a, 2b bzw. 2c durch
FTP übertragen
und geschrieben. Die Alternativzielinformationen werden zu jeder
der geteilten Dateien F11, F12 und F13 hinzugefügt, wenn die geteilten Dateien übertragen
werden. Es wird z. B. angenommen, dass das Alternativziel der geteilten
Dateien F11 und F12 ein vierter Datenserver 2d ist, während angenommen
wird, dass das Alternativziel der geteilten Datei F13 ein fünfter Datenserver 2e ist.
Falls das zutrifft, können
die Alternativzielinformationen des URL (2d), die des URL (2d)
und die des URL (2e) zu den geteilten Dateien F11, F12
bzw. F13 wie im Beispiel nach 5 hinzugefügt werden.
(Hierin stellt der URL (xx) die Informationen dar, die den URL eines
Datenservers xx zeigen.) Andererseits werden die zu jeder geteilten
Datei zugefügten
Alternativzielinformationen zu den Managementdaten der zu sichernden
Datei F1 hinzugefügt.
Ausführlicher
werden die Datenaufbewahrungsinformationen (die URL-Liste der Datenserver),
wie z. B. die nach 6, erzeugt, wobei diese z. B.
auf der Archivkarte 10 als Managementdaten aufgezeichnet werden.
In dem Beispiel nach 6 sind die Stücke der
Informationen, die die ursprünglichen
Aufbewahrungsziele der geteilten Dateien F11, F12 und F13 zeigen,
der URL (2a), der URL (2b) bzw. der URL (2c),
wobei entsprechend einer normalen Verarbeitungsprozedur die geteilten
Dateien F11, F12 und F13 auf den Datenservern 2a, 2b bzw. 2c gespeichert
werden. Hierin sind die Informationen des URL (2d), die
des URL (2d) und die des URL (2e) als die Alternativziele
der geteilten Dateien F11, F12 bzw. F13 aufgezeichnet, wobei angegeben
ist, dass die Datenserver der Alternativziele die Datenserver 2d, 2d und 2e sind.
-
Hierin
wird ein Fall abgedeckt, in dem irgendeine Schwierigkeit bei dem
gewöhnlichen
Betreiben des ersten Datenservers 2a aufgetreten ist. Es
wird z. B. angenommen, dass eine Situation aufgetreten ist, in der
die Informationskapazität
des Datenservers 2a fast voll wird, wobei es deshalb ein
Risiko gibt, dass sich ernste Schwierigkeiten ergeben, wenn nicht
ein Teil der Daten, die gegenwärtig
gespeichert sind, zu anderen Datenservern bewegt wird, oder dass
es eine Notwendigkeit gibt, die Daten, die gegenwärtig gespeichert
sind, vorübergehend
zu anderen Datenservern zu bewegen, um die Wartung einer Festplatte
auszuführen,
die den Datenserver 2a bildet. In dieser Situation kann
der erste Datenserver 2a die Verarbeitung des Übertragens der
geteilten Datei F11 zu einem vierten Datenserver 2d eines
Alternativziels entsprechend diesen Alternativzielinformationen
ausführen,
weil die Alternativzielinformationen URL (2d) zur geteilten
Datei F11 hinzugefügt
worden sind, die auf dem ersten Datenserver 2a gesichert
ist, wie in 5 gezeigt ist.
-
Wenn
die Extraktionsverarbeitung der Datei F1 ausgeführt wird, nachdem die geteilte
Datei zur Alternative übertragen
worden ist, versucht die verteilte Datenarchivvorrichtung 1,
die notwendigen geteilten Dateien F11, F12 und F13 von den ursprünglichen
Datenservern zu lesen, die in der Aufbewahrungsziel-Spalte der in 6 gezeigten
Datenaufbewahrungsinformationen erwähnt sind. Danach wird die geteilte
Datei F12 vom Datenserver 2b gelesen und wird die geteilte
Datei F13 von Datenserver 2c gelesen. Ein Versuch, die
geteilte Datei F11 vom Datenserver 2a zu lesen, endet jedoch
in einem Misserfolg. Wenn ein Misserfolg beim Lesen der Datei vom ursprünglichen
Aufbewahrungsziel in dieser Weise verursacht wird, wird das Lesen
vom Alternativziel versucht. In diesem Fall wird hinsichtlich der
geteilten Datei F11 ein Versuch ausgeführt, um die geteilte Datei
F11 vom Datenserver 2d zu lesen, der in der Alternativziel-Spalte
der in 6 gezeigten Datenaufbewahrungsinformationen erwähnt ist.
Im Ergebnis kann die geteilte Datei F11 ohne jede Schwierigkeit gelesen
werden, obwohl die Alternative nicht das ursprüngliche Aufbewahrungsziel ist.
-
Wenn
der Grund, die Alternative zu nehmen, beseitigt ist, wird der geteilten
Datei F11 selbstverständlich
erlaubt, wie vorher zum Datenserver 2a zurückzukehren,
der das ursprüngliche
Aufbewahrungsziel ist. Falls die Alternativzielinformationen in dieser
Weise hinzugefügt
werden, wird die Extraktionsverarbeitung der Daten ohne jede Schwierigkeit ausgeführt, selbst
wenn sich eine Situation ergibt, in der die Daten die Alternative
zu einem weiteren Datenserver nehmen müssen.
-
Der
Anwender kann einen Datenserver spezifizieren, der als ein Alternativziel
verwendet wird, wenn die Datendateien gesichert werden. Es ist jedoch
praktisch bevorzugt, der verteilten Datenarchivvorrichtung 1 zu
erlauben, die Verarbeitung für
das automatische Bestimmen eines Alternativziels auszuführen. Alternativ
kann die Verarbeitung zum Senden einer Nachricht vom Datenserver
zur verteilten Datenarchivvorrichtung 1, die einen weiteren
Datenserver spezifiziert, der als ein Alternativziel zu verwenden
ist, ausgeführt
werden.
-
INDUSTRIELLE
ANWENDBARKEIT
-
Die
Datenarchivvorrichtung und das Datenarchivsystem gemäß der Erfindung
können
weit und breit verwendet werden, um beliebige digitale Daten zu
halten, wobei sie insbesondere für
die Verwendung für
die Datensicherung wertvoller digitaler Daten optimal sind, während ein
weiträumiges
Netz wie das Internet verwendet wird.