-
Die
Erfindung betrifft ein Verfahren zum Löschen, in einer Verarbeitungsanlage
für Dokumentdaten,
eines Informationsmusters, das auf einem wiederbeschreibbaren Datenträger gespeichert
ist, auf den durch eine Datenverarbeitungseinrichtung der Anlage
zugegriffen werden kann, wobei die Verarbeitungsanlage aufweist
- – einen
primären
Prozeß zur
Verarbeitung von Dokumentdaten, bei dem Daten auf dem Datenträger gespeichert
werden können,
und
- – einen
sekundären
Prozeß zum
Löschen
von gespeicherten Daten durch Überschreiben
eines ausgewählten
Speicherbereiches des Trägers
mit einem Schreddermuster.
-
HINTERGRUND DER ERFINDUNG
-
Im
Stand der Technik ist erkannt worden, daß magnetische Festplatten und
andere mehr oder weniger ähnliche
Speichereinrichtungen zunehmend durch das Lesen von darauf gespeicherten
vertraulichen Daten verletzbar sind. Ein erster Typ eines Angriffs
kann durch einen Hacker erfolgen, der über ein Datennetzwerk in die
Einrichtung "einbricht". Solchen Angriffen
kann durch relativ einfache Operationen begegnet werden, etwa durch
Verschlüsseln
der Daten vor der Speicherung derselben auf der internen Festplatte,
Löschen
des Eintrags der speziellen Datei in der Dateiverwaltung des Trägers oder – vorzugsweise – Überschreiben
der Daten.
-
Ein
ernsterer Typ eines Angriffs kann auftreten, nachdem eine Festplatte
aus einem Personal-Computer, einer digitalen Zugriffssteuerung (Digital
Access Controller) eines Druckgerätes oder dergleichen entfernt
worden ist. Das Löschen
der Dateiverwaltung des Trägers
bringt dann keinen Nutzen.
-
Die
Neuformatierung des Trägers
oder das Überschreiben
durch ein sogenanntes Schreddermuster bietet erhöhte Sicherheit, doch gibt es
Techniken zur Erkennung von Bitmustern, die überschrieben worden sind. Ein
einzelner Durchlauf zum "Datenschreddern" ist deshalb unzureichend,
wenn das Löschen
gewisser Daten wirklich wichtig ist.
-
Das Überschreiben
von Daten mit einer Vielzahl von Schredderdurchläufen mit mehreren unterschiedlichen
Bitmustern, die im folgenden als Schreddermuster bezeichnet werden
sollen, wird allgemein als eine effektive Strategie angesehen, wobei der
Aufbau der Schreddermuster dem angestrebten Maß an Sicherheit angemessen
sein sollte.
-
Der
Datenträger
kann auf mehreren unterschiedlichen Schreib-/Speichertechnologien
beruhen, etwa magnetisch, magnetooptisch, optisch, wie bei einer
wiederbeschreibbaren CD, und anderen. Gewöhnlich basiert die geometrische
Speicherorganisation auf eine Art von Spur, die ein Zylinder, eine Spirale,
eine gerade Linie oder anderes sein kann. Die Physik der Speicherung
basiert auf irgendeiner Art von Remanenzeigenschaft des Speichersubstrats.
-
Speziell
beschreibt die veröffentlichte
US-Patentanmeldung 2002/0181134 von
Bunker et al. die Anwendung von benutzerwählbaren Schreddermustern. Die
hiesigen Erfinder haben erkannt, daß diese herkömmliche
Technologie genug Schutz gegen Verletzer bieten mag, daß jedoch
die lange Zeit, die für
das Schreddern insgesamt benötigt
wird, die eigentliche Datenverarbeitung, z. B. das Drucken, während einer
oftmals dringend benötigten
Zeitspanne lahmlegt und deshalb die Leistung des Systems ernstlich
beeinträchtigen
kann.
-
Ein
anonymes Dokument mit dem Titel: SecrDiskTM(Secure
Disk) ReadMe.txt file",
Program Documentation, 2. April 1999 (1999-04-02), XP002268981,
das als der relevanteste Stand der Technik angesehen wird, beschreibt
die Planung und automatische Ausführung von .BAT (Stapel-) und/oder
.CMD (Befehls-)Dateien, die ein Schredderprogramm enthalten. Solche
Prozesse laufen im Hintergrund. Die meisten Versionen von Microsoft
Windows haben Einrichtungen, die dies erlauben. Die Ausführung von
Schredderprogrammen zu vorgeplanten Zeiten, wenigstens einmal am
Tag und vorzugsweise während "Ruhezeiten", wie sie in diesem Dokument
vorgeschlagen wird, bietet den Vorteil, daß die Datenverarbeitung nicht
gestört
wird, doch werden die Dateien nicht sofort gelöscht, wenn sie "schredderbar" werden.
-
Weiterhin
findet sich eine allgemeine Diskussion von Schredderoperationen
und anderen diesbezüglichen
Themen in P. Gutmann, "Secure
Deletion of Data from Magnetic and Solid-State Memory", Sixth USENIX Security
Symposium Proceedings, San Josè,
CA, USA, 22. bis 25. Juli 1996, herunterladbar unter
http://www.usenix.org/publicatons/library/proceedings/sec96/gutmann.html.
-
HINTERGRUND DER ERFINDUNG
-
Die
Erfindung ist definiert, wie in dem Verfahrensanspruch 1 und dem
Vorrichtungsanspruch 11 dargestellt ist.
-
Folglich
ist es unter anderem eine Aufgabe der vorliegenden Erfindung, die
Datenspeichereinrichtung in der Weise zwischen der eigentlichen
Datenverarbeitung einerseits und der Schredderoperation andererseits
aufzuteilen, daß die
letztere Operation teilweise im Vordergrund und dann teilweise im Hintergrund
der ersten Operation abläuft.
-
Demgemäß ist das
Verfahren der vorliegenden Erfindung unter einem ihrer Aspekte dadurch
gekennzeichnet, daß eine
oder mehrere anfängliche Schredderdurchgänge eines
sekundären
Prozesses in bezug auf einen in einem ersten primären Prozeß verwendeten
Speicherbereich synchron ausgeführt werden,
d. h. indem der Start eines nächsten
primären
Prozesses im Anschluß an
den ersten primären Prozeß verhindert
wird, bis der anfängliche
Schredderdurchgang abgeschlossen ist, und die verbleibenden Schredderdurchgänge asynchron
ausgeführt werden,
d. h. als ein Hintergrundprozeß.
Im Grundsatz können
primäre
Prozesse ungeachtet des Abschlusses irgendeines laufenden sekundären (Hintergrund-)Prozesses
gestartet werden.
-
In
einer Ausführungsform
wird nur ein anfänglicher
Schredderdurchgang synchron ausgeführt.
-
Nach
dem ersten Schredderdurchgang kann die Datei nicht mehr von dem
System gelesen werden (obgleich es immer noch möglich wäre, das gespeicherte Datenmuster
durch fortgeschrittene physikalische Analyse der Platte zu rekonstruieren).
Dann geschieht der zeitraubenste Teil des Schredderns, das mehrfache Überschreiben,
im Hintergrund, so daß es
die Verarbeitung nachfolgender Aufträge nicht aufhält.
-
In
einer speziellen Ausführungsform
umfaßt das
Verfahren gemäß der Erfindung
die folgenden Schritte:
- – Feststellen, daß ein ausgewählter Speicherbereich
schredderbar ist,
- – einen
ersten Detektionsschritt zur Detektion eines Zeitintervalls zwischen
Zugriffen auf den wiederbeschreibbaren Datenträger durch den primären Prozeß, und daraufhin
Aktivierung des Überschreibens,
- – einen
zweiten Detektionsschritt zur Detektion entweder eines Abschlusses
eines Überschreibungsprozesses
oder eines bevorstehenden Endes des genannten Zeitintervalls und
daraufhin erneute Freigabe des Zugriffs für einen primären Prozeß,
- – und,
soweit notwendig, zyklischer Rücksprung zu
dem ersten Detektionsschritt.
-
Die
Erfindung bezieht sich auch auf eine Vorrichtung, die dazu eingerichtet
ist, das Verfahren gemäß der Erfindung
auszuführen.
Weitere vorteilhafte Aspekte der Erfindung sind in den abhängigen Ansprüchen angegeben.
-
KURZBESCHREIBUNG DER ZEICHNUNGEN
-
Diese
und weitere Merkmale, Aspekte und Vorteile der Erfindung werden
nachstehend näher
erörtert,
unter Bezugnahme auf die Beschreibung bevorzugter Ausführungsformen
der Erfindung und insbesondere unter Bezugnahme auf die beigefügten Zeichnungen,
in denen zeigen:
-
1 ein
System-Blockdiagramm für
die vorliegende Erfindung;
-
2 ein
Operationsdiagramm ohne Schreddern;
-
3 ein
Operationsdiagramm mit synchronem Schreddern;
-
4 ein
Operationsdiagramm mit asynchronem Schreddern;
-
5 ein
Operationsdiagramm mit Schreddern in einem gemischten Modus;
-
6 ein
Flußdiagramm
einer gemischten synchronen/asynchronen Schredderoperation;
-
7 eine
Tabelle von Schreddermustern;
-
8A und 8B Fenster
von Benutzerschnittstellen zur Steuerung der Datenlöschung gemäß der Erfindung;
-
9 ein
Fenster einer Benutzerschnittstelle für die Überwachung des Schredderprozesses.
-
DETAILLIERTE BESCHREIBUNG
VON BEVORZUGTEN AUSFÜHRUNGSFORMEN
-
Im
folgenden wird für
das Löschen
von auf einer Festplatte oder anderen wiederbeschreibbaren Speichermedien
gespeicherten Datenmustern der Ausdruck "Schreddern" verwendet.
-
1 zeigt
ein Systemblockdiagramm für die
vorliegende Erfindung. Die Figur ist allgemein symbolisch organisiert,
so daß verschiedene
jeweilige Blöcke
eher Operationen als identifizierbare Hardwaremodule repräsentieren.
Elemente 10 repräsentieren
die relevanten Softwareprozesse der Steuereinrichtung einer Anlage,
in der die Erfindung ausgeführt
wird, etwa einem Drucker. Die Prozesse 10 machen von auftragsbezogenen
Dateien 12 Gebrauch, die auf der internen Festplatte der
Anlage gespeichert sind. Im Lauf der Prozesse 10 mögen einige
der auftragsbezogenen Dateien nicht länger benötigt werden, und im Zusammenhang
der vorliegenden Erfindung sollten diese Dateien wirksam gelöscht werden.
Zu dem Zweck wird für
jede solche Datei ein "Datei
löschen" Prozeß installiert,
wie durch das Bezugszeichen 14 angegeben ist. Das Löschen erfolgt in
der Form eines Überschreibens
der relevanten Datenspeicherplätze
auf der Festplatte der Anlage, was im folgenden als Schreddern bezeichnet
werden soll. Während
des Schredderns werden die ursprünglichen
Daten mit verschiedenen Bitmustern überschrieben, die von einfachen
Sequenzen aus ausschließlich
Nullen bis zu komplexen Mustern aus Nullen und Einsen reichen. Der
Prozeß 14 "Datei löschen" wird durch einen
Satz von benutzerdefinierten oder voreingestellten Parametern 16 gesteuert.
Diese Parameter sind z. B.:
- – synchrones,
asynchrones oder kombiniertes Schreddern
- – Anzahl
und Auswahl der Schreddermuster
- – Priorität des Schredderns.
-
Die
hier benutzten Ausdrücke
werden weiter unten in der Beschreibung erläutert werden.
-
Als
Reaktion auf die Installation eines Prozesses 14 "Datei löschen" wird ein Schredderprozeß 18 für die angegebene
Datei aktiviert (symbolisiert durch einen Pfeil 20), und
zwar in Übereinstimmung mit
den Löschungsparametern 16.
Aktuelle Bitmuster für
den Schredderprozeß sind
in einer Liste 22 angegeben, auf die der Prozeß 18 Zugriff
hat.
-
Bevor
die eigentliche Ausführung
des Schredderprozesses beschrieben wird, sollen nun zunächst mit
Bezug auf 2, 3, 4 und 5 verschiedene
unterschiedliche Schreddertechniken erläutert werden, wie sie hier
benutzt werden. Dieses Beispiel zielt auf eine Druckeranwendung
ab, kann jedoch sinngemäß auch auf
andere Vorgänge der
Dokumentverarbeitung angewandt werden, etwa Scannen und Kopieren.
-
Beim
Drucken wird eine Druckdatei über
ein Netzwerk empfangen und auf der Systemplatte der Druckereinrichtung
oder des Druckers gespeichert. Die Datei kann im Falle sicheren
Datentransports verschlüsselt
sein, oder sie kann direkt nach Eingang verschlüsselt werden. Druckdateien
warten in einer Druckerschlange, bis sie verarbeitet werden können. Wenn
der Drucker bereit ist, einen Druckauftrag auszuführen, liest
er die Druckdatei von der Platte, entschlüsselt sie, soweit notwendig,
und verarbeitet die Druckdateien durch Rastern derselben und druckt anschließend die
gerasterte Datei. In einer Standardsituation wäre die Datei danach fertig
und brauchte an der Druckereinrichtung nicht länger benutzt zu werden.
-
2 zeigt
ein Operationsprogramm ohne Schreddern. Als ein Beispiel werden
Druckaufträge durch
Serien aus drei Druckbögen
symbolisiert, doch versteht es sich, daß Aufträge in Wirklichkeit jede Anzahl
von Bögen
aufweisen können.
Wie gezeigt ist, wird zunächst
ein erster Druckauftrag "Job
1" verarbeitet,
und darauf folgt ein zweiter Druckauftrag "Job 2".
-
3 illustriert
ein Operationsdiagramm mit sogenanntem synchronen Schreddern, wie
es aus dem Stand der Technik bekannt ist. Der Einfachheit halber
ist die gleiche Konfiguration von Aufträgen wie in 2 angenommen
worden. Nun wird am Ende der Ausführung von Job 1 die zugehörige Datei
als unbenutzt betrachtet. Daraufhin wird sofort das Schreddern von
Job 1 bewirkt.
-
Anschließend wird
die Ausführung
von Job 2 bewirkt. Natürlich
kann dann auch Job 2 zum Schreddern anstehen. Das Erfordernis, zu
schreddern, kann auf der Grundlage eines angestrebten Sicherheitsniveaus
bestimmt werden, das über
die Aufträge
uneinheitlich sein kann. In einer beispielhaften Ausführungsform
werden nur die Dateien geschreddert, die durch einen PIN-Code geschützt sind
(wird später
erläutert).
Die geschredderte Information kann die ursprüngliche Information sein und
wird vorzugsweise auch etwaige zwischen- oder temporäre Dateien
einschließen,
die in dem Prozeß erzeugt
wurden, sowie Daten, die durch Aktualisierung überholt sind, wie es in Anbetracht
des angestrebten Sicherheitsniveaus allgemein als angemessen betrachtet
wird. Im allgemeinen wird das eigentliche Betriebssystem wissen, wo
solche Zwischendateien zu finden sind, selbst wenn die betreffende
Anwendung auf der Ausführung fremder
Software basiert. Offensichtlich kann bei der Ausführung von
Job 2 eine Verzögerung
eintreten, weil dem sofortigen oder synchronen Schreddern von Job
1 der Vorzug gegeben wird.
-
Im
Gegensatz dazu illustriert 4 ein Operationsdiagramm
mit sogenanntem "asynchronen" Schreddern gemäß der vorliegenden
Erfindung. Sobald Job 1 beendet ist und die zugehörigen Dateien zum
Schreddern anstehen, wird, unter der Voraussetzung, daß die Ausführung von
Job 2 für
eine gewisse Zeit ohne Speicherzugriff fortlaufen kann, das Schreddern
von Job 1 tatsächlich
gestartet. Wenn ein solcher Speicherzugriff notwendig wird, kann
er auf der Grundlage irgendeines Präferenzkriteriums gegenüber der
Schredderoperation den Vorzug erhalten. Das macht das Schreddern
in Hinblick auf die Entscheidung "zu schreddern" asynchron. Das Schreddern wird auf
der Grundlage gewisser Kriterien automatisch ausgelöst. Im Anschluß an die
Unterbrechung kann das Schreddern wieder aufgenommen werden. Die
Prozedur wird während
der Ausführung
von Job 3 in gleicher Weise bezüglich
des Schreddern von Job 2 ausgeführt.
Somit kann das Schreddern in einer über die Zeit verteilten Weise stattfinden.
-
In
einer verwandten und besonders vorteilhaften Ausführungsform
der vorliegenden Erfindung, die in 5 gezeigt
ist, erfolgt das Schreddern in einer gemischten Weise: Zum Beispiel
erfolgen die ersten paar (vorzugsweise nur der erste) Schredderdurchgänge sofort,
automatisch und synchron, d. h. bevor der nächste Auftrag gestartet wird.
Weitere Schredderdurchgänge
würden
dann asynchron ausgeführt.
In dieser Ausführungsform
kann die Datei nicht mehr von dem System gelesen werden (obgleich
es immer noch möglich
wäre, das
gespeicherte Datenmuster durch Einsatz fortgeschrittener physikalischer
Analysen an der Platte zu rekonstruieren). Dennoch erfolgt der zeitraubendste
Teil des Schredderns, das mehrfache Überschreiben, im Hintergrund und
wird die Verarbeitung der nachfolgenden Aufträge nicht aufhalten.
-
Nun,
wieder mit Bezug auf 1 und im Zusammenhang mit dem
oben beschriebenen gemischten Schreddermodus, entfernt der Schredderprozeß 18 die
zu schreddernden Dateien aus der Dateiverwaltung 12, indem
er sie umbenennt und die Zeiger zu einem anderen Speicherplatz 24 bewegt
(eine Operation, die durch einen Pfeil 26 symbolisiert
wird), der für
das synchrone Schreddern vorgesehen ist. Die Datenplätze der
Dateien werden sofort mit einem oder einer begrenzten Anzahl von
Schreddermustern überschrieben.
-
Nach
Abschluß der
synchronen Schrädderoperation
liefert der Schredderprozeß 18 eine "erledigt" Nachricht an den
Prozeß 14 "Datei löschen" zurück (symbolisiert
durch einen Pfeil 32), so daß der Prozeß 14 "Datei löschen" dem relevanten primären Prozeß signalisieren
kann, daß er
seinen Betrieb wieder aufnehmen kann, und bewegt die Zeiger auf
die (geschredderten) Dateien zu einem nächsten Speicherplatz 28 (eine
Operation, die durch einen Pfeil 30 symbolisiert wird),
der für
das asynchrone Schreddern vorgesehen ist. Die Datenplätze dieser
Dateien werden nun in einem Hintergrundprozeß weiter überschrieben, der die primären Prozesse 10 für die eigentliche
Verarbeitung der Dokumentdaten nicht aufhält.
-
Während des
Schredderprozesses wird Statusinformation über den Prozeß von dem
Schredderprozeß 18 an
einen Anzeigeprozeß 36 kommuniziert, um
einen Bediener über
die Sicherheitssituation des Systems zu informieren, wie mit Bezug
auf 9 näher
erläutert
werden wird.
-
Als
eine Alternative zu dem oben erläuterten gemischten
Schreddermodus kann für
weniger wichtige Information auch ein vollständig asynchrones Schreddern
ausgeführt
werden. Dieser Modus kann einfach mit der gleichen Zusammenstellung
von Prozessen und Strukturen ausgeführt werden wie sie in 1 gezeigt
ist, mit der Ausnahme, daß zu
schreddernde Dateien direkt zu dem Speicherplatz 28 bewegt
werden, der für
asynchrones Schreddern vorgesehen ist. Dies wird in 1 durch
einen gestrichelten Pfeil 34 symbolisiert.
-
Eine
besonders relevante Anwendung des asynchronen Schredderns tritt
bei einer von mehreren Benutzern geteilten Druckereinrichtung auf,
weil sich verschiedene unterschiedliche Personen und Gruppen einen
solchen Drucker teilen können.
In einem solchen Fall ist Sicherheit um so wichtiger. Insbesondere
würde eine
vorteilhafte Organisation gemäß der vorliegenden
Erfindung auf Drucker angewandt werden, die ein Mailbox-Konzept
verwenden, wie es bei etlichen Druckern und digitalen Kopierern, etwa
solchen, die von der Firma Ocè vertrieben
werden, der Fall ist: darin befinden sich alle noch nicht gedruckten
Dateien in der Mailbox, und außerdem werden
gedruckte Dateien dort für
eine gewisse Zeit verbleiben, bis sie aktiv (oder automatisch, nach
einem vorbestimmten Zeitintervall von beispielsweise 24 Stunden)
entfernt werden. Die Mailbox ist als ein nichtflüchtiger Speicher, etwa als
eine Festplatte implementiert. Wenn ein Benutzer eine Datei von
der Mailbox löscht,
wird sie deshalb nicht nur in der Dateiverwaltung gelöscht, sondern
auch geschreddert. Auch in diesem Fall ist es ratsam, den ersten
Schredderlauf in einer synchronen Weise auszuführen, d. h. sofort nach dem
Löschbefehl.
Natürlich
sollten im Sinne einer optimalen Sicherheit alle Auftragsdateien in
verschlüsselter
Form gespeichert werden und nur dann entschlüsselt werden, wenn die Daten
zum Drucken benötigt
werden, wobei entschlüsselte
Daten nur in flüchtigen
Speichern gehalten werden.
-
Weiterhin
kann die Erfindung in einer digitalen Kopierer- und Scanner-Umgebung
eingesetzt werden. Digitales Kopieren und digitales Scannen sind
notorisch datenintensiv. Dies steigert den Bedarf an einem effektiven
Schreddern.
-
Es
ist zu bemerken, daß in
einer Situation wie in 4 oder 5 das effektive
Schreddern für Job
1 über
den Beginn von Job 3 hinaus andauern kann, so daß sich mehrere Aufträge gleichzeitig
in dem Stadium befinden können,
in dem sie geschreddert werden. Das wird es erfordern, eine gewisse
Priorität
unter den verschiedenen Schredderdurchgängen zu bestimmen, wie weiter
unten erörtert
werden wird.
-
Die
obige Schredderprozedur ging von der Ebene der einzelnen Datei aus
oder "bottom up". Eine andere Möglichkeit
ist es, von der Systemebene auszugehen: friere die Gesamtoperationen
ein und bestimme auf der Grundlage von Datei-Systemoperationen,
ob gelöschte
Dateien geschreddert werden sollten. Diese Prozedur wird einen Ansatz
erfordern, der auf einer Sektoranalyse basiert. Gewöhnlich wird das
Betriebssystem die Organisation auf der Sektorebene genau genug
kennen.
-
6 zeigt
ein Flußdiagramm
für eine
gemischte synchrone und asynchrone Schredderoperation. In Block 40 beginnt
die Operation, und die notwendigen Hardware- und Softwareeinrichtungen werden
beansprucht. Diese Operation wird z. B. beim Einschalten des Gerätes stattfinden.
In Block 42 entscheidet das System, das eine bestimmte
Datei oder ein bestimmter Speicherbereich nicht mehr benötigt wird.
Die Organisation einer entsprechenden Warteschleife ist nicht gezeigt
worden. In Block 43 entscheidet das System, ob das Schreddern
notwendig ist. Wenn nicht, springt das System zu Block 52. Wenn
Schreddern notwendig ist, springt das System zu Block 44,
um zu entscheiden, ob synchrones Schreddern erforderlich ist. Wenn
nicht, geht das System zu Block 48. Wenn synchrones Schreddern erforderlich
ist, geht das System zu Block 46, um das synchrone Schreddern
auszuführen.
Danach wird in Block 48 das asynchrone Schreddern ausgeführt.
-
Der
Beginn des asynchronen Schredderns wird ausgelöst, wenn zwischen den normalen
Datenverarbeitungsoperationen eine Lücke auftritt. Eine solche Lücke kann
allein anhand Ihres Beginns detektiert werden oder durch die Feststellung,
daß für eine bestimmte
Lücke mindestens
eine gewisse Länge
vorhergesagt wird. In diesem letzteren Fall kann die Schredderoperation
auf dieser unteren Ebene einen temporären Vorrang gegenüber der
normalen Datenverarbeitung haben. Nach einem gewissen Umfang des
Schredderns kann das System die Standard-Datenverarbeitung über ihren
Bedarf an Speicherzugriffen befragen. Eine solche Hintergrundverarbeitung
ist jedoch ein grund legender Mechanismus des speziellen Betriebssystems,
und die genaue Implementierung ist nicht Teil der vorliegenden Erfindung.
-
Wenn
Schredderoperationen an mehr als einer Datei in Arbeit sind, wird
eine gewisse Organisation der Priorität aufrechterhalten. Eine erste
Lösung dafür ist das
Prinzip "first-come-first-take", so daß die Dateien
in der Reihenfolge bearbeitet werden, in der sie als schredderbar
festgestellt wurden, gewöhnlich getrennt
von dem synchronen Teil der Schredderoperation. Ein zweiter Ansatz
besteht darin, daß man
die Rangnummer des Schreddermusters (siehe 7) die Priorität bestimmen
läßt. Noch
ein weiterer Ansatz besteht darin, daß man allen asynchronen Schredderoperationen,
die zu einer bestimmten Datei gehören, ein Prioritätsniveau
zuweist. In einer Druckeranweisung mögen Druckdateien gegenüber Protokolldateien
den Vorrang haben.
-
Solange
das Schreddern fortgesetzt werden muß, wird nun die Schleife aus
den Blöcken 48 und 50 ("fertig?") durchlaufen. Wenn
das Schreddern abgeschlossen ist, schreitet das System zu Block 52 fort,
wo der betreffende Speicherbereich für erneuten Gebrauch durch das
System freigegeben wird. Danach kehrt das System zu Block 42 zurück.
-
Der
Einfachheit halber ist die Interaktion zwischen dem Schreddern und
den übrigen
Datenverarbeitungsoperationen nicht im Detail dargestellt worden,
doch können
verschiedene prioritätsgesteuerte Operationen
ausgeführt
werden. Solche Einzelheiten werden als im Griffbereich des Fachmanns
liegend angesehen.
-
Weiterhin
könnte
eine kurze Verzögerungszeit
unmittelbar nach der Beendigung der Datenverarbeitung für einen
Dokumentauftrag eingeführt
werden, bevor ein Schredderprozeß beginnen kann. Andernfalls
dauert es, wenn ein Schredderprozeß die Platte beansprucht hat
und ein neuer Auftrag zur Dokumentdatenverarbeitung startet, obgleich
er Priorität
gegenüber
dem Schredderprozeß hat,
eine gewisse Zeit, bis der Auftrag mit der höheren Priorität auf die
geforderten Speicherplätze
auf der Platte zugreifen kann.
-
Das
Schreddern und insbesondere die weiteren Schredderdurchgänge nach
einem synchronen anfänglichen
Schredderdurchgang können
auch off-line durchgeführt
werden, etwa als ein Stapelprozeß unmittelbar vor dem Ab schalten
des Systems oder bei Nacht oder während Ruhezeiten. In der Tat können die
bei der Druckverarbeitung verwendeten Speicherbereiche in diesem
Fall nach dem anfänglichen
Schredderdurchgang erneut benutzt werden, und es wird nur ihre Benutzung
protokolliert. Bei dem nächtlichen
Stapel-Schreddern
werden dann alle Dateien, für
die protokolliert wurde, daß sie
in den Druckprozessen während
des Tages benutzt worden sind, durch Schreddern sorgfältig gelöscht, so
daß man
am Ende ein "sauberes" System erhält.
-
Das
Ausmaß und
die Effektivität
des Datenschredderns ist von der Anzahl und dem Inhalt der verwendeten
Schreddermuster abhängig.
Jeder zusätzliche
Schredderdurchgang macht die Rückgewinnung
des ursprünglichen
Bitmusters auf dem Speichermedium schwieriger, um so mehr, wenn
sich die verwendeten Schreddermuster von Durchgang zu Durchgang
unterscheiden. Es liegt deshalb im Rahmen der vorliegenden Erfindung,
den Benutzern einstellbare Sicherheitsniveaus anzubieten.
-
In
einer ersten Ausführungsform
enthält
das auf dem PC des Benutzers gezeigte Fenster 70 des Druckertreibers
eine Einstelloption für
das Sicherheitsniveau in der Form eines Schiebereglers, einer Folge
von Radioknöpfen
oder anderer geeigneter Mittel. Das Fenster des Druckertreibers
hat eine Folge von Registerkarten, darunter eine (69),
die hier mit "Erase
Data" (Daten löschen) bezeichnet
ist, bei der durch Anklicken eines geeigneten Knopfes ein Sicherheitsniveau
gewählt
werden kann, wie in 8a gezeigt ist. Jedes Sicherheitsniveau
bezieht sich auf eine vordefinierte Kombination aus Schredderprozeduren
und Bitmustern, wie weiter unten im Zusammenhang mit 7 näher erläutert werden
wird.
-
Die
Liste der Optionen in 8a umfaßt:
- – "highest" (am höchsten),
bei der die maximale Anzahl von Schreddermustern (siehe 7)
in einer synchronen Weise benutzt wird,
- – "high" (hoch), bei der
auf einen anfänglichen synchronen
Schredderdurchgang ein asynchroner Prozeß folgt, bei dem eine Auswahl
von z. B. 15 Schreddermustern verwendet wird,
- – "medium" (mittel), bei der
nur ein asynchroner Schredderprozeß mit einer begrenzten Anzahl von
Schreddermustern angewandt wird,
- – "custom" (eigene), bei der
ein Benutzer seine eigene Wahl für
die Anzahl und Auswahlen der Schredderdurchgänge auswählen kann, einschließlich der Anwendung
derselben als asynchrone oder synchrone Durchgänge. Natürlich sind im Rahmen der Erfindung
auch andere Optionen möglich.
-
In
dem Basisbildschirm des Druckertreibers, wie er in 8b gezeigt
ist, gibt es ein Ankreuzfenster 71, mit dem der spezielle
Druckauftrag als ein Sicherheitsauftrag definiert wird. Wenn der
Benutzer dies tut, erscheint ein erzwungener Dialog (nicht gezeigt),
in dem der Benutzer aufgefordert wird, einen PIN-Code einzugeben,
nachdem er gefragt werden wird, wenn das Drukken des Auftrages an
der Reihe ist. In andere mögliche
Formen von Sicherheitsaufträgen
fließen
andere Sicherheitskennungen ein, die geeignet sind, einen Benutzer
zu identifizieren oder sonstwie zu autorisieren, beispielsweise
ein Fingerabdruck, ein Iris-Scan oder einer Codekarte. Die Definition
eines Druckauftrages als ein Sicherheitsauftrag erzwingt in dem
Drucker nach Beendigung des Auftrags automatisch das Löschen der
Druckdaten durch Schreddern.
-
In
einer alternativen Ausführungsform
ist die Auswahl des Sicherheitsniveaus für einen höherrangigen Benutzer (auch
als Schlüssel-Operator
bekannt), oder den Systemadministrator reserviert, der mit Hilfe
eines Auswahlfensters ähnlich
dem in 8a gezeigten zwangsweise ein
Sicherheitsniveau für
alle Benutzer einrichten kann.
-
7 zeigt
eine Tabelle von Schreddermustern, die in der vorliegenden Erfindung
verwendet werden können,
wie sie von Gutmann in seinem in der Einleitung erwähnten Artikel
vorgeschlagen werden. Die linke Spalte zeigt jeweilige Datendurchgänge oder
Schredderläufe.
Die zweite Spalte zeigt die verschiedenen Schreddermuster. Einige
davon sind Zufallsmuster, die von einem nicht gezeigten Zufallsmustergenerator
erzeugt werden. Andere werden durch eine Sequenz von mehreren Elementarmustern
erzeugt, die durch geeignete Wiederholung von Bitmustern erzeugt
werden, wie in der Spalte in einer Hexadezimalen Kurznotation gezeigt
ist ("0x" zeigt hexadezimale
Notation an). Zum Beispiel würde
die siebte Zeile eine Wiederholung der Bitmuster 0 × 92, 0 × 49, 0 × 24 oder "10010010 01001001
00100100" erzeugen.
Wie gezeigt ist, können
bis zu 35 Schredderdurchgänge
benötigt
werden. Ein optimaler Fall wird erreicht, indem, wie gezeigt, 35
aufeinanderfolgende Durchgänge
mit verschiedenen unterschiedlichen Mustern ausgeführt werden.
Um eine Balance zwischen möglicher
Leistungseinbuße
und benötigter
Sicherheit zu errei chen, kann die Anzahl der Löschmuster zwischen 0 und 35
gewählt
werden. Bei 35 Durchgängen
wird das gezeigte Schema verwendet. Wenn weniger Durchgänge angewandt
werden, wird eine vorbestimmte Auswahl vorgenommen.
-
9 zeigt
ein Informationsfenster 100, das bei Betätigung einer
Taste auf der Bedienungstafel (nicht gezeigt) auf das lokale Gerätedisplay
projiziert werden kann. Dieses zeigt die aktuelle sicherheitsbezogene
Situation der internen Festplatte des Gerätes in der Form von Angaben
für "benutzte Daten" (ohne Systemdateien,
die sich nicht auf Dokumentdaten beziehen), "Daten im Löschungsprozeß" und freier ("sauberer") Platz auf der Platte
in Byte. Ein Anzeigesymbol 110 nach Art einer "Tankanzeige" ist hinzugefügt, um einen
raschen Überblick über die
Situation zu geben. In einer alternativen Ausführungsform werden nur Angabe
für "benutzte Daten" einschließlich der
zum Schreddern vorgesehenen, noch nicht vollständig gelöschten Daten gezeigt. Es wäre natürlich auch
möglich,
die genannte Information als Anzahl von Dateien anzuzeigen. Mit
diesen Angaben auf der Geräteanzeige
kann ein Benutzer sofort erkennen, ob die Daten, die entfernt werden
sollen, in der Tat beseitigt sind. Die für die Erstellung der Anzeige
nötige
Information kann von dem in der Gerätesteuerung residierenden Betriebssystem
einfach bereitgestellt werden und kann regelmäßig aktualisiert werden, damit
man eine dynamische Situationsanzeige erhält. Das Anzeigefenster kann
auch auf der Workstation des Systemadministrators gezeigt werden.
-
Die
vorliegende Erfindung kann in sehr ähnlicher Weise vorteilhaft
zum Scannen und Kopieren eingesetzt werden. Beim Scannen, auf einer
spezialisierten Scaneinrichtung oder einem Multifunktionsgerät, muß ein Benutzer
zunächst
seinen Namen oder einen anderen Identifizierungscode eingeben, und
er kann dann Dokumente einscannen. Die gescannten Daten werden dann
auf der Systemplatte des Gerätes
zusammen mit der Kennung des Benutzers gespeichert. Der Benutzer
kann dann zu seiner Workstation zurückkehren, den Scanner aufrufen und
seine Scandatei abholen. Gemäß der vorliegenden
Erfindung werden die Scandaten dann von der Platte entfernt, und
die verwendeten Plattensektoren werden durch Schreddern gelöscht.
-
Bei
einem Kopiervorgang wird das Vorlagendokument mit einem Scanner
abgetastet, die Scandaten werden auf der internen Platte des Kopiergerätes ge speichert,
wonach der Drucker die Kopien von der Platte druckt. Das Schreddern
des benutzten Platzes auf der Platte kann automatisch geschehen oder
als Reaktion auf eine Einstellung, die von dem Bediener bei der
Einstellung der Parameter für
den Kopierauftrag vorgenommen wird.
-
In
allen genannten Fällen
wird eine Schredderprozedur gemäß der vorliegenden
Erfindung ganz oder zumindest teilweise als ein Hintergrundprozeß ausgeführt und
wird neue Druck-, Kopier- oder Scanaufträge nur geringfügig stören.
-
Die
vorliegende Erfindung ist nun im Vorstehenden mit Bezug auf bevorzugte
Ausführungsformen
beschrieben worden. Der Fachmann wird erkennen, daß zahlreiche
Modifikationen und Änderungen daran
vorgenommen werden können,
ohne daß der Rahmen
der nachstehenden Ansprüche
verlassen wird. Folglich sollten die Ausführungsformen nur als illustrativ
betrachtet werden, und es sollten aus diesen Ausführungsformen
keine Beschränkungen
hergeleitet werden, die nicht in den Ansprüchen angegeben sind.