DE602004008727T2 - Löschen eines gespeicherten Datenmusters auf einem Speicherungsmedium - Google Patents

Löschen eines gespeicherten Datenmusters auf einem Speicherungsmedium Download PDF

Info

Publication number
DE602004008727T2
DE602004008727T2 DE602004008727T DE602004008727T DE602004008727T2 DE 602004008727 T2 DE602004008727 T2 DE 602004008727T2 DE 602004008727 T DE602004008727 T DE 602004008727T DE 602004008727 T DE602004008727 T DE 602004008727T DE 602004008727 T2 DE602004008727 T2 DE 602004008727T2
Authority
DE
Germany
Prior art keywords
shredding
data
primary
processes
overwriting
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
DE602004008727T
Other languages
English (en)
Other versions
DE602004008727D1 (de
Inventor
Johannes 5981 CH Kortenoeven
Jeroen J. 5953 LW Döpp
Jantinus 5912 SZ Woering
Johannes E. 4003 BH Spijkerbosch
Bas H. 5953 PZ Peeters
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Canon Production Printing Netherlands BV
Original Assignee
Oce Technologies BV
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Oce Technologies BV filed Critical Oce Technologies BV
Publication of DE602004008727D1 publication Critical patent/DE602004008727D1/de
Application granted granted Critical
Publication of DE602004008727T2 publication Critical patent/DE602004008727T2/de
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0602Interfaces specially adapted for storage systems specifically adapted to achieve a particular effect
    • G06F3/062Securing storage systems
    • G06F3/0623Securing storage systems in relation to content
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6209Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0628Interfaces specially adapted for storage systems making use of a particular technique
    • G06F3/0646Horizontal data movement in storage systems, i.e. moving data in between storage devices or systems
    • G06F3/0652Erasing, e.g. deleting, data cleaning, moving of data to a wastebasket
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F3/00Input arrangements for transferring data to be processed into a form capable of being handled by the computer; Output arrangements for transferring data from processing unit to output unit, e.g. interface arrangements
    • G06F3/06Digital input from, or digital output to, record carriers, e.g. RAID, emulated record carriers or networked record carriers
    • G06F3/0601Interfaces specially adapted for storage systems
    • G06F3/0668Interfaces specially adapted for storage systems adopting a particular infrastructure
    • G06F3/0671In-line storage system
    • G06F3/0673Single storage device
    • G06F3/0674Disk device
    • GPHYSICS
    • G11INFORMATION STORAGE
    • G11BINFORMATION STORAGE BASED ON RELATIVE MOVEMENT BETWEEN RECORD CARRIER AND TRANSDUCER
    • G11B5/00Recording by magnetisation or demagnetisation of a record carrier; Reproducing by magnetic means; Record carriers therefor
    • G11B5/02Recording, reproducing, or erasing methods; Read, write or erase circuits therefor
    • G11B5/024Erasing
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2143Clearing memory, e.g. to prevent the data from being stolen

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Human Computer Interaction (AREA)
  • Computer Security & Cryptography (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Storage Device Security (AREA)
  • Crushing And Pulverization Processes (AREA)
  • Storing Facsimile Image Data (AREA)
  • Traffic Control Systems (AREA)
  • Indexing, Searching, Synchronizing, And The Amount Of Synchronization Travel Of Record Carriers (AREA)
  • Electrically Operated Instructional Devices (AREA)
  • Credit Cards Or The Like (AREA)
  • Electrochromic Elements, Electrophoresis, Or Variable Reflection Or Absorption Elements (AREA)

Description

  • Die Erfindung betrifft ein Verfahren zum Löschen, in einer Verarbeitungsanlage für Dokumentdaten, eines Informationsmusters, das auf einem wiederbeschreibbaren Datenträger gespeichert ist, auf den durch eine Datenverarbeitungseinrichtung der Anlage zugegriffen werden kann, wobei die Verarbeitungsanlage aufweist
    • – einen primären Prozeß zur Verarbeitung von Dokumentdaten, bei dem Daten auf dem Datenträger gespeichert werden können, und
    • – einen sekundären Prozeß zum Löschen von gespeicherten Daten durch Überschreiben eines ausgewählten Speicherbereiches des Trägers mit einem Schreddermuster.
  • HINTERGRUND DER ERFINDUNG
  • Im Stand der Technik ist erkannt worden, daß magnetische Festplatten und andere mehr oder weniger ähnliche Speichereinrichtungen zunehmend durch das Lesen von darauf gespeicherten vertraulichen Daten verletzbar sind. Ein erster Typ eines Angriffs kann durch einen Hacker erfolgen, der über ein Datennetzwerk in die Einrichtung "einbricht". Solchen Angriffen kann durch relativ einfache Operationen begegnet werden, etwa durch Verschlüsseln der Daten vor der Speicherung derselben auf der internen Festplatte, Löschen des Eintrags der speziellen Datei in der Dateiverwaltung des Trägers oder – vorzugsweise – Überschreiben der Daten.
  • Ein ernsterer Typ eines Angriffs kann auftreten, nachdem eine Festplatte aus einem Personal-Computer, einer digitalen Zugriffssteuerung (Digital Access Controller) eines Druckgerätes oder dergleichen entfernt worden ist. Das Löschen der Dateiverwaltung des Trägers bringt dann keinen Nutzen.
  • Die Neuformatierung des Trägers oder das Überschreiben durch ein sogenanntes Schreddermuster bietet erhöhte Sicherheit, doch gibt es Techniken zur Erkennung von Bitmustern, die überschrieben worden sind. Ein einzelner Durchlauf zum "Datenschreddern" ist deshalb unzureichend, wenn das Löschen gewisser Daten wirklich wichtig ist.
  • Das Überschreiben von Daten mit einer Vielzahl von Schredderdurchläufen mit mehreren unterschiedlichen Bitmustern, die im folgenden als Schreddermuster bezeichnet werden sollen, wird allgemein als eine effektive Strategie angesehen, wobei der Aufbau der Schreddermuster dem angestrebten Maß an Sicherheit angemessen sein sollte.
  • Der Datenträger kann auf mehreren unterschiedlichen Schreib-/Speichertechnologien beruhen, etwa magnetisch, magnetooptisch, optisch, wie bei einer wiederbeschreibbaren CD, und anderen. Gewöhnlich basiert die geometrische Speicherorganisation auf eine Art von Spur, die ein Zylinder, eine Spirale, eine gerade Linie oder anderes sein kann. Die Physik der Speicherung basiert auf irgendeiner Art von Remanenzeigenschaft des Speichersubstrats.
  • Speziell beschreibt die veröffentlichte US-Patentanmeldung 2002/0181134 von Bunker et al. die Anwendung von benutzerwählbaren Schreddermustern. Die hiesigen Erfinder haben erkannt, daß diese herkömmliche Technologie genug Schutz gegen Verletzer bieten mag, daß jedoch die lange Zeit, die für das Schreddern insgesamt benötigt wird, die eigentliche Datenverarbeitung, z. B. das Drucken, während einer oftmals dringend benötigten Zeitspanne lahmlegt und deshalb die Leistung des Systems ernstlich beeinträchtigen kann.
  • Ein anonymes Dokument mit dem Titel: SecrDiskTM(Secure Disk) ReadMe.txt file", Program Documentation, 2. April 1999 (1999-04-02), XP002268981, das als der relevanteste Stand der Technik angesehen wird, beschreibt die Planung und automatische Ausführung von .BAT (Stapel-) und/oder .CMD (Befehls-)Dateien, die ein Schredderprogramm enthalten. Solche Prozesse laufen im Hintergrund. Die meisten Versionen von Microsoft Windows haben Einrichtungen, die dies erlauben. Die Ausführung von Schredderprogrammen zu vorgeplanten Zeiten, wenigstens einmal am Tag und vorzugsweise während "Ruhezeiten", wie sie in diesem Dokument vorgeschlagen wird, bietet den Vorteil, daß die Datenverarbeitung nicht gestört wird, doch werden die Dateien nicht sofort gelöscht, wenn sie "schredderbar" werden.
  • Weiterhin findet sich eine allgemeine Diskussion von Schredderoperationen und anderen diesbezüglichen Themen in P. Gutmann, "Secure Deletion of Data from Magnetic and Solid-State Memory", Sixth USENIX Security Symposium Proceedings, San Josè, CA, USA, 22. bis 25. Juli 1996, herunterladbar unter
    http://www.usenix.org/publicatons/library/proceedings/sec96/gutmann.html.
  • HINTERGRUND DER ERFINDUNG
  • Die Erfindung ist definiert, wie in dem Verfahrensanspruch 1 und dem Vorrichtungsanspruch 11 dargestellt ist.
  • Folglich ist es unter anderem eine Aufgabe der vorliegenden Erfindung, die Datenspeichereinrichtung in der Weise zwischen der eigentlichen Datenverarbeitung einerseits und der Schredderoperation andererseits aufzuteilen, daß die letztere Operation teilweise im Vordergrund und dann teilweise im Hintergrund der ersten Operation abläuft.
  • Demgemäß ist das Verfahren der vorliegenden Erfindung unter einem ihrer Aspekte dadurch gekennzeichnet, daß eine oder mehrere anfängliche Schredderdurchgänge eines sekundären Prozesses in bezug auf einen in einem ersten primären Prozeß verwendeten Speicherbereich synchron ausgeführt werden, d. h. indem der Start eines nächsten primären Prozesses im Anschluß an den ersten primären Prozeß verhindert wird, bis der anfängliche Schredderdurchgang abgeschlossen ist, und die verbleibenden Schredderdurchgänge asynchron ausgeführt werden, d. h. als ein Hintergrundprozeß. Im Grundsatz können primäre Prozesse ungeachtet des Abschlusses irgendeines laufenden sekundären (Hintergrund-)Prozesses gestartet werden.
  • In einer Ausführungsform wird nur ein anfänglicher Schredderdurchgang synchron ausgeführt.
  • Nach dem ersten Schredderdurchgang kann die Datei nicht mehr von dem System gelesen werden (obgleich es immer noch möglich wäre, das gespeicherte Datenmuster durch fortgeschrittene physikalische Analyse der Platte zu rekonstruieren). Dann geschieht der zeitraubenste Teil des Schredderns, das mehrfache Überschreiben, im Hintergrund, so daß es die Verarbeitung nachfolgender Aufträge nicht aufhält.
  • In einer speziellen Ausführungsform umfaßt das Verfahren gemäß der Erfindung die folgenden Schritte:
    • – Feststellen, daß ein ausgewählter Speicherbereich schredderbar ist,
    • – einen ersten Detektionsschritt zur Detektion eines Zeitintervalls zwischen Zugriffen auf den wiederbeschreibbaren Datenträger durch den primären Prozeß, und daraufhin Aktivierung des Überschreibens,
    • – einen zweiten Detektionsschritt zur Detektion entweder eines Abschlusses eines Überschreibungsprozesses oder eines bevorstehenden Endes des genannten Zeitintervalls und daraufhin erneute Freigabe des Zugriffs für einen primären Prozeß,
    • – und, soweit notwendig, zyklischer Rücksprung zu dem ersten Detektionsschritt.
  • Die Erfindung bezieht sich auch auf eine Vorrichtung, die dazu eingerichtet ist, das Verfahren gemäß der Erfindung auszuführen. Weitere vorteilhafte Aspekte der Erfindung sind in den abhängigen Ansprüchen angegeben.
  • KURZBESCHREIBUNG DER ZEICHNUNGEN
  • Diese und weitere Merkmale, Aspekte und Vorteile der Erfindung werden nachstehend näher erörtert, unter Bezugnahme auf die Beschreibung bevorzugter Ausführungsformen der Erfindung und insbesondere unter Bezugnahme auf die beigefügten Zeichnungen, in denen zeigen:
  • 1 ein System-Blockdiagramm für die vorliegende Erfindung;
  • 2 ein Operationsdiagramm ohne Schreddern;
  • 3 ein Operationsdiagramm mit synchronem Schreddern;
  • 4 ein Operationsdiagramm mit asynchronem Schreddern;
  • 5 ein Operationsdiagramm mit Schreddern in einem gemischten Modus;
  • 6 ein Flußdiagramm einer gemischten synchronen/asynchronen Schredderoperation;
  • 7 eine Tabelle von Schreddermustern;
  • 8A und 8B Fenster von Benutzerschnittstellen zur Steuerung der Datenlöschung gemäß der Erfindung;
  • 9 ein Fenster einer Benutzerschnittstelle für die Überwachung des Schredderprozesses.
  • DETAILLIERTE BESCHREIBUNG VON BEVORZUGTEN AUSFÜHRUNGSFORMEN
  • Im folgenden wird für das Löschen von auf einer Festplatte oder anderen wiederbeschreibbaren Speichermedien gespeicherten Datenmustern der Ausdruck "Schreddern" verwendet.
  • 1 zeigt ein Systemblockdiagramm für die vorliegende Erfindung. Die Figur ist allgemein symbolisch organisiert, so daß verschiedene jeweilige Blöcke eher Operationen als identifizierbare Hardwaremodule repräsentieren. Elemente 10 repräsentieren die relevanten Softwareprozesse der Steuereinrichtung einer Anlage, in der die Erfindung ausgeführt wird, etwa einem Drucker. Die Prozesse 10 machen von auftragsbezogenen Dateien 12 Gebrauch, die auf der internen Festplatte der Anlage gespeichert sind. Im Lauf der Prozesse 10 mögen einige der auftragsbezogenen Dateien nicht länger benötigt werden, und im Zusammenhang der vorliegenden Erfindung sollten diese Dateien wirksam gelöscht werden. Zu dem Zweck wird für jede solche Datei ein "Datei löschen" Prozeß installiert, wie durch das Bezugszeichen 14 angegeben ist. Das Löschen erfolgt in der Form eines Überschreibens der relevanten Datenspeicherplätze auf der Festplatte der Anlage, was im folgenden als Schreddern bezeichnet werden soll. Während des Schredderns werden die ursprünglichen Daten mit verschiedenen Bitmustern überschrieben, die von einfachen Sequenzen aus ausschließlich Nullen bis zu komplexen Mustern aus Nullen und Einsen reichen. Der Prozeß 14 "Datei löschen" wird durch einen Satz von benutzerdefinierten oder voreingestellten Parametern 16 gesteuert. Diese Parameter sind z. B.:
    • – synchrones, asynchrones oder kombiniertes Schreddern
    • – Anzahl und Auswahl der Schreddermuster
    • – Priorität des Schredderns.
  • Die hier benutzten Ausdrücke werden weiter unten in der Beschreibung erläutert werden.
  • Als Reaktion auf die Installation eines Prozesses 14 "Datei löschen" wird ein Schredderprozeß 18 für die angegebene Datei aktiviert (symbolisiert durch einen Pfeil 20), und zwar in Übereinstimmung mit den Löschungsparametern 16. Aktuelle Bitmuster für den Schredderprozeß sind in einer Liste 22 angegeben, auf die der Prozeß 18 Zugriff hat.
  • Bevor die eigentliche Ausführung des Schredderprozesses beschrieben wird, sollen nun zunächst mit Bezug auf 2, 3, 4 und 5 verschiedene unterschiedliche Schreddertechniken erläutert werden, wie sie hier benutzt werden. Dieses Beispiel zielt auf eine Druckeranwendung ab, kann jedoch sinngemäß auch auf andere Vorgänge der Dokumentverarbeitung angewandt werden, etwa Scannen und Kopieren.
  • Beim Drucken wird eine Druckdatei über ein Netzwerk empfangen und auf der Systemplatte der Druckereinrichtung oder des Druckers gespeichert. Die Datei kann im Falle sicheren Datentransports verschlüsselt sein, oder sie kann direkt nach Eingang verschlüsselt werden. Druckdateien warten in einer Druckerschlange, bis sie verarbeitet werden können. Wenn der Drucker bereit ist, einen Druckauftrag auszuführen, liest er die Druckdatei von der Platte, entschlüsselt sie, soweit notwendig, und verarbeitet die Druckdateien durch Rastern derselben und druckt anschließend die gerasterte Datei. In einer Standardsituation wäre die Datei danach fertig und brauchte an der Druckereinrichtung nicht länger benutzt zu werden.
  • 2 zeigt ein Operationsprogramm ohne Schreddern. Als ein Beispiel werden Druckaufträge durch Serien aus drei Druckbögen symbolisiert, doch versteht es sich, daß Aufträge in Wirklichkeit jede Anzahl von Bögen aufweisen können. Wie gezeigt ist, wird zunächst ein erster Druckauftrag "Job 1" verarbeitet, und darauf folgt ein zweiter Druckauftrag "Job 2".
  • 3 illustriert ein Operationsdiagramm mit sogenanntem synchronen Schreddern, wie es aus dem Stand der Technik bekannt ist. Der Einfachheit halber ist die gleiche Konfiguration von Aufträgen wie in 2 angenommen worden. Nun wird am Ende der Ausführung von Job 1 die zugehörige Datei als unbenutzt betrachtet. Daraufhin wird sofort das Schreddern von Job 1 bewirkt.
  • Anschließend wird die Ausführung von Job 2 bewirkt. Natürlich kann dann auch Job 2 zum Schreddern anstehen. Das Erfordernis, zu schreddern, kann auf der Grundlage eines angestrebten Sicherheitsniveaus bestimmt werden, das über die Aufträge uneinheitlich sein kann. In einer beispielhaften Ausführungsform werden nur die Dateien geschreddert, die durch einen PIN-Code geschützt sind (wird später erläutert). Die geschredderte Information kann die ursprüngliche Information sein und wird vorzugsweise auch etwaige zwischen- oder temporäre Dateien einschließen, die in dem Prozeß erzeugt wurden, sowie Daten, die durch Aktualisierung überholt sind, wie es in Anbetracht des angestrebten Sicherheitsniveaus allgemein als angemessen betrachtet wird. Im allgemeinen wird das eigentliche Betriebssystem wissen, wo solche Zwischendateien zu finden sind, selbst wenn die betreffende Anwendung auf der Ausführung fremder Software basiert. Offensichtlich kann bei der Ausführung von Job 2 eine Verzögerung eintreten, weil dem sofortigen oder synchronen Schreddern von Job 1 der Vorzug gegeben wird.
  • Im Gegensatz dazu illustriert 4 ein Operationsdiagramm mit sogenanntem "asynchronen" Schreddern gemäß der vorliegenden Erfindung. Sobald Job 1 beendet ist und die zugehörigen Dateien zum Schreddern anstehen, wird, unter der Voraussetzung, daß die Ausführung von Job 2 für eine gewisse Zeit ohne Speicherzugriff fortlaufen kann, das Schreddern von Job 1 tatsächlich gestartet. Wenn ein solcher Speicherzugriff notwendig wird, kann er auf der Grundlage irgendeines Präferenzkriteriums gegenüber der Schredderoperation den Vorzug erhalten. Das macht das Schreddern in Hinblick auf die Entscheidung "zu schreddern" asynchron. Das Schreddern wird auf der Grundlage gewisser Kriterien automatisch ausgelöst. Im Anschluß an die Unterbrechung kann das Schreddern wieder aufgenommen werden. Die Prozedur wird während der Ausführung von Job 3 in gleicher Weise bezüglich des Schreddern von Job 2 ausgeführt. Somit kann das Schreddern in einer über die Zeit verteilten Weise stattfinden.
  • In einer verwandten und besonders vorteilhaften Ausführungsform der vorliegenden Erfindung, die in 5 gezeigt ist, erfolgt das Schreddern in einer gemischten Weise: Zum Beispiel erfolgen die ersten paar (vorzugsweise nur der erste) Schredderdurchgänge sofort, automatisch und synchron, d. h. bevor der nächste Auftrag gestartet wird. Weitere Schredderdurchgänge würden dann asynchron ausgeführt. In dieser Ausführungsform kann die Datei nicht mehr von dem System gelesen werden (obgleich es immer noch möglich wäre, das gespeicherte Datenmuster durch Einsatz fortgeschrittener physikalischer Analysen an der Platte zu rekonstruieren). Dennoch erfolgt der zeitraubendste Teil des Schredderns, das mehrfache Überschreiben, im Hintergrund und wird die Verarbeitung der nachfolgenden Aufträge nicht aufhalten.
  • Nun, wieder mit Bezug auf 1 und im Zusammenhang mit dem oben beschriebenen gemischten Schreddermodus, entfernt der Schredderprozeß 18 die zu schreddernden Dateien aus der Dateiverwaltung 12, indem er sie umbenennt und die Zeiger zu einem anderen Speicherplatz 24 bewegt (eine Operation, die durch einen Pfeil 26 symbolisiert wird), der für das synchrone Schreddern vorgesehen ist. Die Datenplätze der Dateien werden sofort mit einem oder einer begrenzten Anzahl von Schreddermustern überschrieben.
  • Nach Abschluß der synchronen Schrädderoperation liefert der Schredderprozeß 18 eine "erledigt" Nachricht an den Prozeß 14 "Datei löschen" zurück (symbolisiert durch einen Pfeil 32), so daß der Prozeß 14 "Datei löschen" dem relevanten primären Prozeß signalisieren kann, daß er seinen Betrieb wieder aufnehmen kann, und bewegt die Zeiger auf die (geschredderten) Dateien zu einem nächsten Speicherplatz 28 (eine Operation, die durch einen Pfeil 30 symbolisiert wird), der für das asynchrone Schreddern vorgesehen ist. Die Datenplätze dieser Dateien werden nun in einem Hintergrundprozeß weiter überschrieben, der die primären Prozesse 10 für die eigentliche Verarbeitung der Dokumentdaten nicht aufhält.
  • Während des Schredderprozesses wird Statusinformation über den Prozeß von dem Schredderprozeß 18 an einen Anzeigeprozeß 36 kommuniziert, um einen Bediener über die Sicherheitssituation des Systems zu informieren, wie mit Bezug auf 9 näher erläutert werden wird.
  • Als eine Alternative zu dem oben erläuterten gemischten Schreddermodus kann für weniger wichtige Information auch ein vollständig asynchrones Schreddern ausgeführt werden. Dieser Modus kann einfach mit der gleichen Zusammenstellung von Prozessen und Strukturen ausgeführt werden wie sie in 1 gezeigt ist, mit der Ausnahme, daß zu schreddernde Dateien direkt zu dem Speicherplatz 28 bewegt werden, der für asynchrones Schreddern vorgesehen ist. Dies wird in 1 durch einen gestrichelten Pfeil 34 symbolisiert.
  • Eine besonders relevante Anwendung des asynchronen Schredderns tritt bei einer von mehreren Benutzern geteilten Druckereinrichtung auf, weil sich verschiedene unterschiedliche Personen und Gruppen einen solchen Drucker teilen können. In einem solchen Fall ist Sicherheit um so wichtiger. Insbesondere würde eine vorteilhafte Organisation gemäß der vorliegenden Erfindung auf Drucker angewandt werden, die ein Mailbox-Konzept verwenden, wie es bei etlichen Druckern und digitalen Kopierern, etwa solchen, die von der Firma Ocè vertrieben werden, der Fall ist: darin befinden sich alle noch nicht gedruckten Dateien in der Mailbox, und außerdem werden gedruckte Dateien dort für eine gewisse Zeit verbleiben, bis sie aktiv (oder automatisch, nach einem vorbestimmten Zeitintervall von beispielsweise 24 Stunden) entfernt werden. Die Mailbox ist als ein nichtflüchtiger Speicher, etwa als eine Festplatte implementiert. Wenn ein Benutzer eine Datei von der Mailbox löscht, wird sie deshalb nicht nur in der Dateiverwaltung gelöscht, sondern auch geschreddert. Auch in diesem Fall ist es ratsam, den ersten Schredderlauf in einer synchronen Weise auszuführen, d. h. sofort nach dem Löschbefehl. Natürlich sollten im Sinne einer optimalen Sicherheit alle Auftragsdateien in verschlüsselter Form gespeichert werden und nur dann entschlüsselt werden, wenn die Daten zum Drucken benötigt werden, wobei entschlüsselte Daten nur in flüchtigen Speichern gehalten werden.
  • Weiterhin kann die Erfindung in einer digitalen Kopierer- und Scanner-Umgebung eingesetzt werden. Digitales Kopieren und digitales Scannen sind notorisch datenintensiv. Dies steigert den Bedarf an einem effektiven Schreddern.
  • Es ist zu bemerken, daß in einer Situation wie in 4 oder 5 das effektive Schreddern für Job 1 über den Beginn von Job 3 hinaus andauern kann, so daß sich mehrere Aufträge gleichzeitig in dem Stadium befinden können, in dem sie geschreddert werden. Das wird es erfordern, eine gewisse Priorität unter den verschiedenen Schredderdurchgängen zu bestimmen, wie weiter unten erörtert werden wird.
  • Die obige Schredderprozedur ging von der Ebene der einzelnen Datei aus oder "bottom up". Eine andere Möglichkeit ist es, von der Systemebene auszugehen: friere die Gesamtoperationen ein und bestimme auf der Grundlage von Datei-Systemoperationen, ob gelöschte Dateien geschreddert werden sollten. Diese Prozedur wird einen Ansatz erfordern, der auf einer Sektoranalyse basiert. Gewöhnlich wird das Betriebssystem die Organisation auf der Sektorebene genau genug kennen.
  • 6 zeigt ein Flußdiagramm für eine gemischte synchrone und asynchrone Schredderoperation. In Block 40 beginnt die Operation, und die notwendigen Hardware- und Softwareeinrichtungen werden beansprucht. Diese Operation wird z. B. beim Einschalten des Gerätes stattfinden. In Block 42 entscheidet das System, das eine bestimmte Datei oder ein bestimmter Speicherbereich nicht mehr benötigt wird. Die Organisation einer entsprechenden Warteschleife ist nicht gezeigt worden. In Block 43 entscheidet das System, ob das Schreddern notwendig ist. Wenn nicht, springt das System zu Block 52. Wenn Schreddern notwendig ist, springt das System zu Block 44, um zu entscheiden, ob synchrones Schreddern erforderlich ist. Wenn nicht, geht das System zu Block 48. Wenn synchrones Schreddern erforderlich ist, geht das System zu Block 46, um das synchrone Schreddern auszuführen. Danach wird in Block 48 das asynchrone Schreddern ausgeführt.
  • Der Beginn des asynchronen Schredderns wird ausgelöst, wenn zwischen den normalen Datenverarbeitungsoperationen eine Lücke auftritt. Eine solche Lücke kann allein anhand Ihres Beginns detektiert werden oder durch die Feststellung, daß für eine bestimmte Lücke mindestens eine gewisse Länge vorhergesagt wird. In diesem letzteren Fall kann die Schredderoperation auf dieser unteren Ebene einen temporären Vorrang gegenüber der normalen Datenverarbeitung haben. Nach einem gewissen Umfang des Schredderns kann das System die Standard-Datenverarbeitung über ihren Bedarf an Speicherzugriffen befragen. Eine solche Hintergrundverarbeitung ist jedoch ein grund legender Mechanismus des speziellen Betriebssystems, und die genaue Implementierung ist nicht Teil der vorliegenden Erfindung.
  • Wenn Schredderoperationen an mehr als einer Datei in Arbeit sind, wird eine gewisse Organisation der Priorität aufrechterhalten. Eine erste Lösung dafür ist das Prinzip "first-come-first-take", so daß die Dateien in der Reihenfolge bearbeitet werden, in der sie als schredderbar festgestellt wurden, gewöhnlich getrennt von dem synchronen Teil der Schredderoperation. Ein zweiter Ansatz besteht darin, daß man die Rangnummer des Schreddermusters (siehe 7) die Priorität bestimmen läßt. Noch ein weiterer Ansatz besteht darin, daß man allen asynchronen Schredderoperationen, die zu einer bestimmten Datei gehören, ein Prioritätsniveau zuweist. In einer Druckeranweisung mögen Druckdateien gegenüber Protokolldateien den Vorrang haben.
  • Solange das Schreddern fortgesetzt werden muß, wird nun die Schleife aus den Blöcken 48 und 50 ("fertig?") durchlaufen. Wenn das Schreddern abgeschlossen ist, schreitet das System zu Block 52 fort, wo der betreffende Speicherbereich für erneuten Gebrauch durch das System freigegeben wird. Danach kehrt das System zu Block 42 zurück.
  • Der Einfachheit halber ist die Interaktion zwischen dem Schreddern und den übrigen Datenverarbeitungsoperationen nicht im Detail dargestellt worden, doch können verschiedene prioritätsgesteuerte Operationen ausgeführt werden. Solche Einzelheiten werden als im Griffbereich des Fachmanns liegend angesehen.
  • Weiterhin könnte eine kurze Verzögerungszeit unmittelbar nach der Beendigung der Datenverarbeitung für einen Dokumentauftrag eingeführt werden, bevor ein Schredderprozeß beginnen kann. Andernfalls dauert es, wenn ein Schredderprozeß die Platte beansprucht hat und ein neuer Auftrag zur Dokumentdatenverarbeitung startet, obgleich er Priorität gegenüber dem Schredderprozeß hat, eine gewisse Zeit, bis der Auftrag mit der höheren Priorität auf die geforderten Speicherplätze auf der Platte zugreifen kann.
  • Das Schreddern und insbesondere die weiteren Schredderdurchgänge nach einem synchronen anfänglichen Schredderdurchgang können auch off-line durchgeführt werden, etwa als ein Stapelprozeß unmittelbar vor dem Ab schalten des Systems oder bei Nacht oder während Ruhezeiten. In der Tat können die bei der Druckverarbeitung verwendeten Speicherbereiche in diesem Fall nach dem anfänglichen Schredderdurchgang erneut benutzt werden, und es wird nur ihre Benutzung protokolliert. Bei dem nächtlichen Stapel-Schreddern werden dann alle Dateien, für die protokolliert wurde, daß sie in den Druckprozessen während des Tages benutzt worden sind, durch Schreddern sorgfältig gelöscht, so daß man am Ende ein "sauberes" System erhält.
  • Das Ausmaß und die Effektivität des Datenschredderns ist von der Anzahl und dem Inhalt der verwendeten Schreddermuster abhängig. Jeder zusätzliche Schredderdurchgang macht die Rückgewinnung des ursprünglichen Bitmusters auf dem Speichermedium schwieriger, um so mehr, wenn sich die verwendeten Schreddermuster von Durchgang zu Durchgang unterscheiden. Es liegt deshalb im Rahmen der vorliegenden Erfindung, den Benutzern einstellbare Sicherheitsniveaus anzubieten.
  • In einer ersten Ausführungsform enthält das auf dem PC des Benutzers gezeigte Fenster 70 des Druckertreibers eine Einstelloption für das Sicherheitsniveau in der Form eines Schiebereglers, einer Folge von Radioknöpfen oder anderer geeigneter Mittel. Das Fenster des Druckertreibers hat eine Folge von Registerkarten, darunter eine (69), die hier mit "Erase Data" (Daten löschen) bezeichnet ist, bei der durch Anklicken eines geeigneten Knopfes ein Sicherheitsniveau gewählt werden kann, wie in 8a gezeigt ist. Jedes Sicherheitsniveau bezieht sich auf eine vordefinierte Kombination aus Schredderprozeduren und Bitmustern, wie weiter unten im Zusammenhang mit 7 näher erläutert werden wird.
  • Die Liste der Optionen in 8a umfaßt:
    • – "highest" (am höchsten), bei der die maximale Anzahl von Schreddermustern (siehe 7) in einer synchronen Weise benutzt wird,
    • – "high" (hoch), bei der auf einen anfänglichen synchronen Schredderdurchgang ein asynchroner Prozeß folgt, bei dem eine Auswahl von z. B. 15 Schreddermustern verwendet wird,
    • – "medium" (mittel), bei der nur ein asynchroner Schredderprozeß mit einer begrenzten Anzahl von Schreddermustern angewandt wird,
    • – "custom" (eigene), bei der ein Benutzer seine eigene Wahl für die Anzahl und Auswahlen der Schredderdurchgänge auswählen kann, einschließlich der Anwendung derselben als asynchrone oder synchrone Durchgänge. Natürlich sind im Rahmen der Erfindung auch andere Optionen möglich.
  • In dem Basisbildschirm des Druckertreibers, wie er in 8b gezeigt ist, gibt es ein Ankreuzfenster 71, mit dem der spezielle Druckauftrag als ein Sicherheitsauftrag definiert wird. Wenn der Benutzer dies tut, erscheint ein erzwungener Dialog (nicht gezeigt), in dem der Benutzer aufgefordert wird, einen PIN-Code einzugeben, nachdem er gefragt werden wird, wenn das Drukken des Auftrages an der Reihe ist. In andere mögliche Formen von Sicherheitsaufträgen fließen andere Sicherheitskennungen ein, die geeignet sind, einen Benutzer zu identifizieren oder sonstwie zu autorisieren, beispielsweise ein Fingerabdruck, ein Iris-Scan oder einer Codekarte. Die Definition eines Druckauftrages als ein Sicherheitsauftrag erzwingt in dem Drucker nach Beendigung des Auftrags automatisch das Löschen der Druckdaten durch Schreddern.
  • In einer alternativen Ausführungsform ist die Auswahl des Sicherheitsniveaus für einen höherrangigen Benutzer (auch als Schlüssel-Operator bekannt), oder den Systemadministrator reserviert, der mit Hilfe eines Auswahlfensters ähnlich dem in 8a gezeigten zwangsweise ein Sicherheitsniveau für alle Benutzer einrichten kann.
  • 7 zeigt eine Tabelle von Schreddermustern, die in der vorliegenden Erfindung verwendet werden können, wie sie von Gutmann in seinem in der Einleitung erwähnten Artikel vorgeschlagen werden. Die linke Spalte zeigt jeweilige Datendurchgänge oder Schredderläufe. Die zweite Spalte zeigt die verschiedenen Schreddermuster. Einige davon sind Zufallsmuster, die von einem nicht gezeigten Zufallsmustergenerator erzeugt werden. Andere werden durch eine Sequenz von mehreren Elementarmustern erzeugt, die durch geeignete Wiederholung von Bitmustern erzeugt werden, wie in der Spalte in einer Hexadezimalen Kurznotation gezeigt ist ("0x" zeigt hexadezimale Notation an). Zum Beispiel würde die siebte Zeile eine Wiederholung der Bitmuster 0 × 92, 0 × 49, 0 × 24 oder "10010010 01001001 00100100" erzeugen. Wie gezeigt ist, können bis zu 35 Schredderdurchgänge benötigt werden. Ein optimaler Fall wird erreicht, indem, wie gezeigt, 35 aufeinanderfolgende Durchgänge mit verschiedenen unterschiedlichen Mustern ausgeführt werden. Um eine Balance zwischen möglicher Leistungseinbuße und benötigter Sicherheit zu errei chen, kann die Anzahl der Löschmuster zwischen 0 und 35 gewählt werden. Bei 35 Durchgängen wird das gezeigte Schema verwendet. Wenn weniger Durchgänge angewandt werden, wird eine vorbestimmte Auswahl vorgenommen.
  • 9 zeigt ein Informationsfenster 100, das bei Betätigung einer Taste auf der Bedienungstafel (nicht gezeigt) auf das lokale Gerätedisplay projiziert werden kann. Dieses zeigt die aktuelle sicherheitsbezogene Situation der internen Festplatte des Gerätes in der Form von Angaben für "benutzte Daten" (ohne Systemdateien, die sich nicht auf Dokumentdaten beziehen), "Daten im Löschungsprozeß" und freier ("sauberer") Platz auf der Platte in Byte. Ein Anzeigesymbol 110 nach Art einer "Tankanzeige" ist hinzugefügt, um einen raschen Überblick über die Situation zu geben. In einer alternativen Ausführungsform werden nur Angabe für "benutzte Daten" einschließlich der zum Schreddern vorgesehenen, noch nicht vollständig gelöschten Daten gezeigt. Es wäre natürlich auch möglich, die genannte Information als Anzahl von Dateien anzuzeigen. Mit diesen Angaben auf der Geräteanzeige kann ein Benutzer sofort erkennen, ob die Daten, die entfernt werden sollen, in der Tat beseitigt sind. Die für die Erstellung der Anzeige nötige Information kann von dem in der Gerätesteuerung residierenden Betriebssystem einfach bereitgestellt werden und kann regelmäßig aktualisiert werden, damit man eine dynamische Situationsanzeige erhält. Das Anzeigefenster kann auch auf der Workstation des Systemadministrators gezeigt werden.
  • Die vorliegende Erfindung kann in sehr ähnlicher Weise vorteilhaft zum Scannen und Kopieren eingesetzt werden. Beim Scannen, auf einer spezialisierten Scaneinrichtung oder einem Multifunktionsgerät, muß ein Benutzer zunächst seinen Namen oder einen anderen Identifizierungscode eingeben, und er kann dann Dokumente einscannen. Die gescannten Daten werden dann auf der Systemplatte des Gerätes zusammen mit der Kennung des Benutzers gespeichert. Der Benutzer kann dann zu seiner Workstation zurückkehren, den Scanner aufrufen und seine Scandatei abholen. Gemäß der vorliegenden Erfindung werden die Scandaten dann von der Platte entfernt, und die verwendeten Plattensektoren werden durch Schreddern gelöscht.
  • Bei einem Kopiervorgang wird das Vorlagendokument mit einem Scanner abgetastet, die Scandaten werden auf der internen Platte des Kopiergerätes ge speichert, wonach der Drucker die Kopien von der Platte druckt. Das Schreddern des benutzten Platzes auf der Platte kann automatisch geschehen oder als Reaktion auf eine Einstellung, die von dem Bediener bei der Einstellung der Parameter für den Kopierauftrag vorgenommen wird.
  • In allen genannten Fällen wird eine Schredderprozedur gemäß der vorliegenden Erfindung ganz oder zumindest teilweise als ein Hintergrundprozeß ausgeführt und wird neue Druck-, Kopier- oder Scanaufträge nur geringfügig stören.
  • Die vorliegende Erfindung ist nun im Vorstehenden mit Bezug auf bevorzugte Ausführungsformen beschrieben worden. Der Fachmann wird erkennen, daß zahlreiche Modifikationen und Änderungen daran vorgenommen werden können, ohne daß der Rahmen der nachstehenden Ansprüche verlassen wird. Folglich sollten die Ausführungsformen nur als illustrativ betrachtet werden, und es sollten aus diesen Ausführungsformen keine Beschränkungen hergeleitet werden, die nicht in den Ansprüchen angegeben sind.

Claims (16)

  1. Verfahren zum Löschen, in einer Verarbeitungsanlage für Dokumentdaten, eines Informationsmusters, das auf einem wiederbeschreibbaren Datenträger gespeichert ist, auf den durch eine Datenverarbeitungseinrichtung der Anlage zugegriffen werden kann, wobei die Verarbeitungsanlage für Dokumentdaten umfaßt: – einen primären Prozeß (10), der sich auf die Datenverarbeitungseinrichtung bezieht und in dem Dokumentdaten auf dem Datenträger gespeichert werden können, und – einen sekundären Prozeß (18) zum Löschen der in dem primären Prozeß (10) gespeicherten Dokumentdaten durch Überschreiben eines ausgewählten Speicherbereiches der Dokumentdaten mit Schreddermustern in einer Folge von Schredderdurchgängen, wobei jeder Schredderdurchgang die Gesamtheit des ausgewählten Speicherbereiches löscht, wobei wenigstens ein Teil des sekundären Prozesses (18) asynchron ausgeführt wird, d. h. als ein Hintergrundprozeß, derart, daß primäre Prozesse (10) unabhängig von dem Abschluß etwa anhängiger sekundärer Prozesse (18) gestartet werden können, welches Verfahren dadurch gekennzeichnet ist, daß ein oder mehrere anfängliche Schredderdurchgänge des sekundären Prozesses (18) synchron ausgeführt werden, d. h. durch Verhinderung des Startes eines nächsten primären Prozesses, der auf den ersten primären Prozeß (10) folgt, bis zum Abschluß des anfänglichen Schredderdurchgangs, und die verbleibenden Schredderdurchgänge asynchron ausgeführt werden.
  2. Verfahren nach Anspruch 1, bei dem nur ein anfänglicher Schredderdurchgang des sekundären Prozesses synchron ausgeführt wird.
  3. Verfahren nach Anspruch 1, bei dem der sekundäre Prozeß (18) die folgenden Schritte umfaßt: – Bestimmen der Schredderbarkeit eines ausgewählten Speicherbereiches (43), – ersten Detektionsschritt zur Detektion eines Zeitintervalls zwischen Zugriffen auf auf den wiederbeschreibbaren Datenträger durch primäre Prozesse, und daraufhin Aktivieren des Überschreibens, – einen zweiten Detektionsschritt zur Detektion entweder eines Abschlus ses eines Überschreibprozesses (50) oder eines bevorstehenden Endes des genannten Intervalls, und daraufhin erneute Gewährung des Zugangs für einen primären Prozeß, – erforderlichenfalls zyklischen Rücksprung zu dem ersten Detektionsschritt.
  4. Verfahren nach Anspruch 1 oder 2, bei dem das Überschreiben auf der Grundlage eines beabsichtigten Sicherheitsniveaus im Hinblick auf den ausgewählten Speicherbereich implementiert wird.
  5. Verfahren nach Anspruch 1 oder 2, bei dem das Überschreiben für einen Sicherheitsauftrag, d. h. einen Auftrag, der nur nach Eingabe einer Sicherheitskennung wie etwa eines Paßwortes am Ort des Druckers gedruckt werden kann, automatisch bewirkt wird.
  6. Verfahren nach Anspruch 1 oder 2, bei dem die Datenverarbeitungseinrichtung ein Drucker, ein Scanner oder eine Kombination hieraus ist.
  7. Verfahren nach Anspruch 1 oder 2, bei dem der ausgewählte Speicherbereich die Speicherung von temporären Daten, Zwischendaten und anderen Daten einschließt, die während eines speziellen primären Prozesses von einem eigentlichen Betriebssystem benutzt werden.
  8. Verfahren nach Anspruch 1, bei dem ein Speicherbereich auf dem wiederbeschreibbaren Datenträger automatisch für das Überschreiben mit einem Schreddermuster zugewiesen wird, wenn in bezug auf diesen Speicherbereich Information über den Nichtgebrauch vorhanden ist.
  9. Verfahren nach Anspruch 1 oder 2, bei dem das Überschreiben durch jeweilige Prioritätsniveaus unter verschiedenen löschbaren Dateien geplant wird, wobei ein solches Prioritätsniveau durch den Rang eines speziellen Schredderdurchgangs unter mehreren Schredderdurchgängen, die auf eine bestimmte Datei anwendbar sind, gesteuert wird.
  10. Verfahren nach Anspruch 1, mit Anzeige des Gesamtfortschritts des sekundären Prozesses in der Anlage, um eine interne Datensicherheitssituation anzugeben.
  11. Vorrichtung zur Dokumentverarbeitung mit einer Datenverarbeitungseinrichtung und einem wiederbeschreibbaren Datenträger, auf den die Datenverarbeitungseinrichtung Zugriff hat, wobei die Dokumentverarbeitungseinrichtung unterhält: – einen primären Prozeß (10), der sich auf die Datenverarbeitungseinrichtung bezieht und bei dem Dokumentdaten auf dem Datenträger gespeichert werden können, und – einen sekundären Prozeß (18) zum Löschen der durch den ersten Prozeß (10) auf dem Datenträger gespeicherten Dokumentdaten durch Überschreiben eines ausgewählten Speicherbereiches der Dokumentdaten mit Schreddermustern in einer Folge von Schredderdurchgängen, wobei jeder Schredderdurchgang die Gesamtheit des ausgewählten Speicherbereiches löscht, welche Einrichtung weiterhin umfaßt: ein Planungssystem zum Planen primärer Prozesse und etwaiger sekundärer Prozesse in der Weise, daß wenigstens ein Teil der sekundären Prozesse asynchron ausgeführt wird, d. h. als ein Hintergrundprozeß, so daß primäre Prozesse (10) unabhängig von dem Abschluß etwa anhängiger sekundärer Prozesse (18) gestartet werden können, gekennzeichnet daß: die Planungseinrichtung etwaige sekundäre Prozesse (18) in der Weise plant, daß wenigstens ein anfänglicher Schredderdurchgang synchron ausgeführt wird, d. h. indem der Start eines nächsten primären Prozesses verhindert wird, bis dieser wenigstens eine anfängliche Schredderdurchgang abgeschlossen ist, und weitere Schredderdurchgänge asynchron ausgeführt werden.
  12. Vorrichtung zur Dokumentverarbeitung nach Anspruch 11, bei der die Planungseinrichtung etwaige sekundäre Prozesse (18) in der Weise plant, daß nur ein anfänglicher Schredderdurchgang synchron ausgeführt wird.
  13. Vorrichtung zur Dokumentenverarbeitung nach Anspruch 11, mit: – einer Bestimmungseinrichtung (14) zur Bestimmung der Schredderbarkeit eines ausgewählten Speicherbereiches, – einer Zeitdetektionseinrichtung, die durch die Schredderbarkeits-Bestimmungseinrichtung (14) ausgelöst wird, zur Detektion eines Zeitintervalls zwischen Zugriffen auf den wiederbeschreibbaren Datenträger durch primäre Prozesse (10), und daraufhin Aktivierung des Überschreibens durch den se kundären Prozeß (18), – einer Abschlußdetektionseinrichtung zur Detektion entweder eines Abschlusses eines Überschreibprozesses oder eines bevorstehenden Endes des genannten Intervalls, und daraufhin erneute Freigabe des Zugangs für einen primären Prozeß (10), – und einer Wiederholeinrichtung, um erforderlichenfalls zyklisch zu der ersten Zeitdetektionseinrichtung zurückzukehren.
  14. Vorrichtung nach Anspruch 11 oder 12, mit einer Einrichtung zur Prüfung einer Dokumentdatei auf das Vorhandensein eines Informationsmerkmals, das einen Sicherheitsauftrag angibt, wobei die Datenverarbeitungseinrichtung auf eine Datei, der dieses Informationsmerkmal hinzugefügt ist, nach Anwendung eines primären Prozesses auf diese Datei automatisch einen sekundären Prozeß anwendet.
  15. Vorrichtung nach Anspruch 11, mit einer Einrichtung zur Überwachung des Gesamtfortschritts eines sekundären Prozesses in der Vorrichtung und einer Einrichtung zur Anzeige dieses Fortschritts für einen Bediener, um eine Angabe über eine interne Datensicherheitssituation zu machen.
  16. Vorrichtung nach einem der Ansprüche 11 bis 15, bei der die Vorrichtung ein Drucker, Kopierer oder Scanner ist.
DE602004008727T 2003-12-19 2004-12-10 Löschen eines gespeicherten Datenmusters auf einem Speicherungsmedium Active DE602004008727T2 (de)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
EP03078991 2003-12-19
EP03078991 2003-12-19

Publications (2)

Publication Number Publication Date
DE602004008727D1 DE602004008727D1 (de) 2007-10-18
DE602004008727T2 true DE602004008727T2 (de) 2008-06-19

Family

ID=34717203

Family Applications (1)

Application Number Title Priority Date Filing Date
DE602004008727T Active DE602004008727T2 (de) 2003-12-19 2004-12-10 Löschen eines gespeicherten Datenmusters auf einem Speicherungsmedium

Country Status (8)

Country Link
US (2) US8018617B2 (de)
JP (2) JP4738802B2 (de)
KR (1) KR101096474B1 (de)
CN (1) CN100444129C (de)
AT (1) ATE372544T1 (de)
DE (1) DE602004008727T2 (de)
SG (1) SG112987A1 (de)
TW (1) TWI343531B (de)

Families Citing this family (22)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7456983B2 (en) * 2003-07-02 2008-11-25 Hewlett-Packard Development Company, L.P. System and method for preventing comprehension of a printed document
US20060155944A1 (en) * 2005-01-13 2006-07-13 Hitachi, Ltd. System and method for data migration and shredding
US7739462B2 (en) * 2005-02-23 2010-06-15 International Business Machines Corporation Policy based data shredding for storage controller
US8745011B2 (en) 2005-03-22 2014-06-03 International Business Machines Corporation Method and system for scrubbing data within a data storage subsystem
US7308543B2 (en) * 2005-03-22 2007-12-11 International Business Machines Corporation Method and system for shredding data within a data storage subsystem
WO2007044250A2 (en) * 2005-09-28 2007-04-19 Wisconsin Alumni Research Foundation Computer storage device providing implicit detection of block liveness
JP4857823B2 (ja) * 2006-03-06 2012-01-18 富士ゼロックス株式会社 情報処理装置及び画像処理装置
US20070288709A1 (en) * 2006-06-13 2007-12-13 Xerox Corporation Systems and methods for scheduling a device
JP4916487B2 (ja) 2008-06-18 2012-04-11 コニカミノルタビジネステクノロジーズ株式会社 情報処理装置及びプログラム
JP4769853B2 (ja) * 2008-09-19 2011-09-07 株式会社日立製作所 記憶制御装置及び記憶装置のデータ消去方法
US20100174865A1 (en) * 2009-01-06 2010-07-08 International Business Machines Corporation Dynamic data security erasure
US20100180183A1 (en) * 2009-01-12 2010-07-15 Macronix International Co., Ltd. Circuit for reducing the read disturbance in memory
CN102804129B (zh) * 2009-05-04 2015-12-16 惠普开发有限公司 具有可由请求方设备控制的控制字段的存储设备擦除命令
WO2011104742A1 (en) * 2010-02-23 2011-09-01 Hitachi, Ltd. Information processing device and data shredding method
WO2011125132A1 (en) * 2010-04-09 2011-10-13 Hitachi, Ltd. Information processing device and data shredding method for avoiding multiple shredding of a same data block
JP5234098B2 (ja) * 2010-12-16 2013-07-10 コニカミノルタビジネステクノロジーズ株式会社 プリントシステム、画像形成装置、画像形成方法および画像形成プログラム
KR20120096212A (ko) * 2011-02-22 2012-08-30 삼성전자주식회사 비휘발성 메모리 장치, 메모리 컨트롤러, 및 이들의 동작 방법
JP2013103371A (ja) * 2011-11-11 2013-05-30 Riso Kagaku Corp 画像形成装置及び画像形成システム
US8995071B2 (en) 2012-07-17 2015-03-31 International Business Machines Corporation Monitoring of residual encrypted data to improve erase performance on a magnetic medium
JP5752665B2 (ja) * 2012-10-31 2015-07-22 京セラドキュメントソリューションズ株式会社 画像形成装置及び画像形成方法
JP5925280B2 (ja) 2014-11-04 2016-05-25 インターナショナル・ビジネス・マシーンズ・コーポレーションInternational Business Machines Corporation テープに書き込されたファイルを消去する方法、プログラム、及びテープ装置
US10587590B2 (en) 2017-06-12 2020-03-10 Seagate Technology Llc Tracking of data erasures

Family Cites Families (35)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5251318A (en) * 1988-09-02 1993-10-05 Hitachi, Ltd. Multiprocessing system comparing information copied from extended storage before and after processing for serializing access to shared resource
CA1317678C (en) * 1989-03-20 1993-05-11 William Jaaskelainen Dynamic progress marking icon
NL8902516A (nl) * 1989-10-11 1991-05-01 Philips Nv Ontvanger van televisie signalen.
JPH04257916A (ja) * 1991-02-12 1992-09-14 Fujitsu Ltd データ出力処理方式
JPH07191944A (ja) * 1991-09-11 1995-07-28 Internatl Business Mach Corp <Ibm> 多重プロセッサによる多数の資源への命令におけるデッドロックを防止するためのシステムおよび方法
TW231343B (de) * 1992-03-17 1994-10-01 Hitachi Seisakusyo Kk
US5440321A (en) * 1992-05-15 1995-08-08 Hs Industries, Inc. Currency operated modular display device and method
US5375202A (en) 1993-01-04 1994-12-20 Xerox Corporation Dispatching and scheduling memory operations in an electronic printing system
JPH09223061A (ja) * 1996-02-15 1997-08-26 Canon Inc 情報処理方法及び装置
JP3116801B2 (ja) * 1996-02-16 2000-12-11 富士ゼロックス株式会社 画像処理装置
JP3743060B2 (ja) * 1996-07-22 2006-02-08 ヤマハ株式会社 自動録画装置
US5897658A (en) * 1996-11-26 1999-04-27 International Business Machines Corporation Method and apparatus for protecting portions of memory by providing access requests to a communications area for processing by a hidden server
JP3379411B2 (ja) 1997-11-10 2003-02-24 富士ゼロックス株式会社 プリンタサーバ、及びプリンタ
JP3729638B2 (ja) * 1998-04-22 2005-12-21 富士通株式会社 メモリデバイス
US6360220B1 (en) * 1998-08-04 2002-03-19 Microsoft Corporation Lock-free methods and systems for accessing and storing information in an indexed computer data structure having modifiable entries
US6639687B1 (en) * 1998-09-08 2003-10-28 International Business Machines Corporation Progress indicator for multiple actions
US7325052B1 (en) * 1998-10-06 2008-01-29 Ricoh Company, Ltd. Method and system to erase data after expiration or other condition
JP2000148594A (ja) * 1998-11-10 2000-05-30 Mitsubishi Electric Corp Romデータの読み出しプロテクト回路
US6430707B1 (en) * 1999-03-31 2002-08-06 International Business Machines Corporation Source-level debugging of client dump image in a computer network
US6598135B1 (en) * 2000-05-03 2003-07-22 Plasmon Ide System and method for defining rewriteable data storage media as write once data storage media
JP2001325139A (ja) * 2000-05-16 2001-11-22 Canon Inc 情報処理システム、情報処理装置、撮像システム、情報処理方法、記憶媒体
JP2002329396A (ja) * 2001-04-26 2002-11-15 Fujitsu Ltd バンク構成を変更可能なフラッシュメモリ
JP2003037719A (ja) 2001-05-17 2003-02-07 Sharp Corp 画像処理装置
JP2002351858A (ja) * 2001-05-30 2002-12-06 Fujitsu Ltd 処理装置
US6731447B2 (en) 2001-06-04 2004-05-04 Xerox Corporation Secure data file erasure
JP4125145B2 (ja) * 2002-02-13 2008-07-30 キヤノン株式会社 データ処理方法、プログラム及びデータ処理システム
JP3753666B2 (ja) * 2002-03-04 2006-03-08 株式会社Cspフロンティア研究所 データ消去システム、管理サーバ、データ消去方法およびプログラム
JP4387687B2 (ja) * 2002-04-26 2009-12-16 キヤノン株式会社 画像処理装置、制御方法、及びプログラム
JP3924227B2 (ja) * 2002-09-26 2007-06-06 シャープ株式会社 画像処理装置
JP3986950B2 (ja) * 2002-11-22 2007-10-03 シャープ株式会社 Cpuおよびこれを備えた情報処理装置、cpuの制御方法
US20040114265A1 (en) * 2002-12-16 2004-06-17 Xerox Corporation User-selectable automatic secure data file erasure of job after job completion
JP2006113882A (ja) * 2004-10-15 2006-04-27 Fujitsu Ltd データ管理装置
JP2006127106A (ja) * 2004-10-28 2006-05-18 Hitachi Ltd ストレージシステム及びその制御方法
JP4584044B2 (ja) * 2005-06-20 2010-11-17 ルネサスエレクトロニクス株式会社 半導体装置
US7472260B2 (en) * 2006-10-10 2008-12-30 P.A. Semi, Inc. Early retirement of store operation past exception reporting pipeline stage in strongly ordered processor with load/store queue entry retained until completion

Also Published As

Publication number Publication date
SG112987A1 (en) 2005-07-28
ATE372544T1 (de) 2007-09-15
JP4738802B2 (ja) 2011-08-03
KR20050062369A (ko) 2005-06-23
CN1641604A (zh) 2005-07-20
US20080030755A1 (en) 2008-02-07
JP2007328818A (ja) 2007-12-20
CN100444129C (zh) 2008-12-17
TWI343531B (en) 2011-06-11
KR101096474B1 (ko) 2011-12-20
JP2005182782A (ja) 2005-07-07
US20050154582A1 (en) 2005-07-14
TW200525378A (en) 2005-08-01
US8018617B2 (en) 2011-09-13
DE602004008727D1 (de) 2007-10-18

Similar Documents

Publication Publication Date Title
DE602004008727T2 (de) Löschen eines gespeicherten Datenmusters auf einem Speicherungsmedium
DE60033376T2 (de) Verteilte datenarchivierungsvorrichtung und system
DE60021465T2 (de) Sicherheitsverwaltungssystem, Datenverteilungsvorrichtung und tragbares Terminalgerät
DE69830382T2 (de) Sicheres Drucken
DE112010004931B4 (de) Mehrphasige Wiederherstellung von Dateisystemen mit Selektiver Bedarfsweiser Verfügbarkeit von Daten
DE3883733T2 (de) Bedienungsverfahren eines elektronischen Datenverarbeitungssystems zum Dokumententransfer zwischen Endbenutzern.
DE69724862T2 (de) Verfahren und Anordnung für die Zugangs- und Informationsverfälschungskontrolle in Rechnersystemen
DE69403192T2 (de) Vorrichtung und verfahren zur datensicherung von speichereinheiten in einem rechnernetzwerk
DE60314782T2 (de) Vorrichtung zum Generieren eines verschlüsselten Programms
DE69531077T2 (de) Verfahren und Vorrichtung mit Benutzereinwirkung der Art Erproben-und-Kaufen, die es ermöglicht, Software zu erproben
DE19803218A1 (de) Informationsspeichermedium und zugehöriges Schutzverfahren
DE112007003231B4 (de) Programmierbare Anzeigevorrichtung und Steuersystem
DE102005016938B4 (de) Elektronisches Dokumentenspeicher- und Referenzsystem sowie dessen Verwendung für ein Dokumententransferverfahren
DE19755798A1 (de) Verfahren und Vorrichtung für adaptive Computer-Directory- und File-Auswahl
DE602004002674T2 (de) Speichersystem und Verfahren zur Erfassung und Verwendung von Schnappschüssen
DE102006005876A1 (de) Flashspeicher-Steuervorrichtung, Vorrichtung zum Steuern eines Flashspeichers, Flashspeicher-System und Verfahren zum Verwalten von Abbildungsdaten eines Flashspeichers
EP1883906B1 (de) Tragbarer datenträger mit sicherer datenverarbeitung
DE602004010458T2 (de) Halbleiterspeicherkarte und rechnerlesbares programm
DE69126698T2 (de) Methode zur Dateienspeicherung eines elektronischen Systemes
DE10115722A1 (de) Effiziente Echtzeitverwaltung von Speicherbetriebsmitteln
DE69023770T2 (de) Verfahren zum betrieb eines datenverarbeitungssystems.
EP2915091B1 (de) Verfahren zum geschützten hinterlegen von ereignisprotokoll-daten eines computersystems, computerprogrammprodukt sowie computersystem
DE102004019681A1 (de) Verfahren zum Schreiben von Daten und Datenverarbeitungsgerät
DE602004005619T2 (de) Vorrichtung und verfahren zur bereitstellung von informationen aus einem ersten informationsspeicher- und abrufsystem für ein zweites informationsspeicher- und abrufsystem
DE10307304A1 (de) Netzwerkdateidrucken

Legal Events

Date Code Title Description
8364 No opposition during term of opposition