JPH08254047A - 故障許容鍵管理装置及び方法 - Google Patents

故障許容鍵管理装置及び方法

Info

Publication number
JPH08254047A
JPH08254047A JP7339232A JP33923295A JPH08254047A JP H08254047 A JPH08254047 A JP H08254047A JP 7339232 A JP7339232 A JP 7339232A JP 33923295 A JP33923295 A JP 33923295A JP H08254047 A JPH08254047 A JP H08254047A
Authority
JP
Japan
Prior art keywords
primary
server
key
computer
data
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP7339232A
Other languages
English (en)
Inventor
Walter J Baker
ジェイ ベイカー ウォルター
Feliks Bator
バートー フェリクス
Chunhua Li
リ チュンフア
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Pitney Bowes Inc
Original Assignee
Pitney Bowes Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Pitney Bowes Inc filed Critical Pitney Bowes Inc
Publication of JPH08254047A publication Critical patent/JPH08254047A/ja
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2209/00Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
    • H04L2209/56Financial cryptography, e.g. electronic payment or e-cash

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Hardware Redundancy (AREA)
  • Multi Processors (AREA)

Abstract

(57)【要約】 【課題】 本発明は、鍵管理装置のための実時間ベース
でのデータの完全性及び利用可能性を確保すべく実行さ
れる低コストの装置及び方法を提供する。 【解決手段】 暗号鍵を生成し且つ維持するための本発
明の鍵管理装置は、鍵分配コンピュータと、第1インタ
ーフェースにより鍵分配コンピュータに接続された1次
鍵管理コンピュータと、第2インターフェースにより鍵
分配コンピュータに接続された2次鍵管理コンピュータ
とを有し、第2インターフェースが第1インターフェー
スに対し並列であり、1次及び2次鍵管理コンピュータ
に接続された1次サーバーコンピュータと、1次及び2
次鍵管理コンピュータに接続された2次サーバーコンピ
ュータとを更に有し、1次及び2次鍵管理コンピュータ
のうちの一方の鍵管理コンピュータが一度に作動し、1
次及び2次鍵管理コンピュータのうちの作動する方の鍵
管理コンピュータは、鍵分配コンピュータから受けた鍵
データを、1次及び2次サーバーコンピュータの各々の
アーカイブデータベースに書き込む。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、広くは暗号鍵管理
装置及び方法に関し、より詳しくは故障許容鍵管理(f
ault tolerant key managem
ent)装置及び方法に関する。
【0002】
【従来の技術】暗号鍵管理装置では、複数のエンドユー
ザに分配される鍵を維持する装置の信頼性は厳格であ
る。銀行で使用されるような慣用的な故障許容装置で
は、データベース決定は、一般に、データが記憶される
冗長サーバー(redundant servers)
内で行なわれる。従って、サーバーが消滅すると、情報
を記録(log)する決定は、第3サーバーが他の2つ
のサーバーにリンクされるまで行なわれない。ダウンサ
ーバーが作動状態に戻ると、慣用的な故障許容装置では
2つのサーバーのみによって手動介入を行わなくてはな
らない。このような手動介入は、実時間処理以外の場合
に生じる。このような慣用的な装置は、1つのサーバー
がダウンするときトランザクションの記録を確立し且つ
維持するクライアントを含まず、サーバーを実時間で再
同期化できる。このような慣用的な装置は、トランザク
ションをロールバックして、後で通知するに過ぎない。
一般に、再同期化は、実時間処理以外の場合に生じる。
【0003】
【発明が解決しようとする課題】本発明は、鍵管理装置
のための実時間ベースでのデータの完全性及び利用可能
性(アベイラビリティ)を確保すべく実行されるアプリ
ケーションである低コストの装置及び方法を提供する。
【0004】
【課題を解決するための手段】本発明によれば、故障許
容戦略(fault−tolerance strat
egy)が、クライアント−サーバー分配形装置として
構成される鍵管理装置に適用される。鍵管理装置(ke
y management system)は、本願明
細書においてしばしば「KMS」と呼ぶことにする。本
発明は、冗長クライアントコンピュータ及びサーバーコ
ンピュータを有し、これらの各コンピュータは他方のコ
ンピュータからの異なる物理的ロケーションで作動す
る。2つのコンピュータは、クライアントコンピュータ
のうちの作動するクライアントコンピュータにより実行
されるアプリケーションに従って互いにバックアップす
る。KMSの作動するクライアントは、両ローカルサー
バー、すなわち作動するクライアント及び遠隔サーバー
のトランザクションを実行する。一方のサーバーを利用
できない場合には、作動するクライアントが、残存して
いるサーバーのトランザクションを実行し且つこのトラ
ンザクションを残存するサーバーの記録表(log t
able)に記録する。故障したサーバーが再び利用可
能になると、作動しているクライアントが、記録表の情
報に基づいて2つのサーバーを再同期化する。
【0005】本発明の故障許容及び回復スキームは、K
MSデータの完全性及び利用可能性を実時間で提供す
る。このような実時間故障許容装置は、データベースが
記憶されているサーバーからデータベース決定を取り出
すことにより且つこの決定を、クライアントコンピュー
タを処理するアプリケーションに入れることにより達成
されることが判明している。このような構成では、故障
許容の達成に必要なサーバーの個数を少数にできる。本
発明によれば、暗号鍵の故障許容鍵管理方法が、暗号鍵
の故障許容鍵管理方法は、1次及び2次鍵管理コンピュ
ータのうちの作動する方の鍵管理コンピュータにより鍵
データの記憶を要求し、1次及び2次サーバーコンピュ
ータの各々の作動状態をモニタリングし、作動している
1次及び2次サーバーの各々のアーカイブデータベース
に鍵データを書き込み、1次及び2次サーバーのうちの
一方のサーバーが作動していないときに、1次及び2次
サーバーのうちの作動している方のサーバーの記録ファ
イルに鍵データを書き込み、1次及び2次サーバーのう
ちの作動していない方のサーバーの作動状態への復帰を
モニタリングし、1次及び2次サーバーコンピュータの
うちの作動している方のサーバーコンピュータの記録フ
ァイルに記憶された鍵データを、1次及び2次サーバー
コンピュータのうちの作動していない方のサーバーコン
ピュータのアーカイブデータベースに書き込むステップ
からなる。
【0006】
【発明の実施の形態】本発明の上記及び他の目的及び長
所は、添付図面に関連して述べる以下の詳細な説明から
明らかになるであろう。全図面を通じ、同じ番号は同類
の部品を示す。添付図面を参照して本発明を説明する。
図1は、本発明による故障許容鍵管理装置(その全体を
番号10で示す)のブロック図である。KMS10は鍵
分配コンピュータ20を有し、該鍵分配コンピュータ2
0は、1次及び2次鍵管理コンピュータ30、32、及
び1次及び2次サーバー40、42に接続されている。
1次鍵管理コンピュータは、オンラインを維持し且つネ
ットワーク通信により1次及び2次サーバー40、42
の両方と通信する。次の仮定が本発明の基礎を形成す
る。すなわち、1)手動操作を要するときにはオペレー
タに来てもらえること、2)両サーバー40、42間の
再同期化を要するとき、鍵管理装置10がその作動を中
止すること、3)鍵管理コンピュータ30、32にはい
かなるデータベースも記憶されていないこと、及び4)
何れのサーバーも利用できないときには、トランザクシ
ョンが完了しないことである。
【0007】正常作動の間、2次鍵管理コンピュータ3
2はウォームスタンバイに維持される一方、1次鍵管理
コンピュータ30は機能している。1次鍵管理コンピュ
ータ30は、クライアントアプリケーションコントロー
ルアルゴリズムを実行し且つ1次及び2次サーバー4
0、42の両方にトランザクションを記憶させる。しか
しながら、データは、1次サーバー40からのみ検索さ
れる。2次サーバー42がダウンすると、1次鍵管理コ
ンピュータ30による2次サーバー42のトランザクシ
ョンの記憶が完了されない。1次鍵管理コンピュータ3
0は、2次サーバー42がダウンしている間に、全ての
トランザクションを1次サーバー40に記録する。2次
サーバー42がオンラインに復帰すると、1次鍵管理コ
ンピュータ30はその正常な鍵生成すなわち検証を中止
し、この間、1次鍵管理コンピュータ30は2次サーバ
ー42と1次サーバー40とを再同期化させる。故障に
より、1次サーバー40又はネットワークリンク等との
再同期化を継続できない場合には、故障が直されるまで
1次鍵管理コンピュータ30の作動を停止できる。
【0008】1次鍵管理コンピュータ30の故障により
再同期化を継続できない場合には、2次鍵管理コンピュ
ータ32はオンライン状態になり且つ再同期化を引き継
ぎ、次に鍵管理作動を続ける。2次サーバーがダウンし
ており且つ1次鍵管理コンピュータ30が1次サーバー
40に記録している間に1次鍵管理コンピュータ30が
ダウンすると、鍵管理作動及び記録機能が2次鍵管理コ
ンピュータ32に切り換えられる。2次鍵管理コンピュ
ータ32は1次サーバー40を更新し且つ全てのトラン
ザクションを1次サーバー40に記録する。2次サーバ
ー42がバックすると、2次鍵管理コンピュータ32が
再同期化を開始する。何らかの理由で2次鍵管理コンピ
ュータ32が引き継ぐことができない場合には、鍵生成
作動すなわち検証作動が停止する。1次サーバー40が
ダウンすると、1次サーバー40へのトランザクション
の記憶が完了されない。1次鍵管理コンピュータ30
は、1次サーバー40がダウンしている間に、全てのト
ランザクションを2次サーバー42に記録する。この状
態では、全てのデータ検索が2次サーバー42から行な
われる。1次サーバーがバックすると、1次鍵管理コン
ピュータ30は、その鍵生成すなわち検証を中止し且つ
1次サーバー40と2次サーバー42とを再同期化す
る。
【0009】故障により再同期化を継続できない場合に
は、1次鍵管理コンピュータ30の作動は、故障が直る
まで停止する。1次鍵管理コンピュータ30の故障によ
り再同期化を継続できない場合には、2次鍵管理コンピ
ュータ32が再同期化を引き継ぎ、作動を継続する。1
次サーバー40がダウンし且つ1次鍵管理コンピュータ
30が2次サーバー42に記録している間、1次鍵管理
コンピュータ30はダウンする。この作動により2次鍵
管理コンピュータ32に切り換わり、該2次鍵管理コン
ピュータ32は2次サーバー42を更新し且つ全てのト
ランザクションを2次サーバー42に記録する。1次サ
ーバー40がオンラインに復帰すると、2次鍵管理コン
ピュータ32が再同期化を行なう。1次鍵管理コンピュ
ータ30が1次サーバー40又は2次サーバー42の何
れとも通信できない場合には、作動は2次鍵管理コンピ
ュータ32に切り換えられる。2次鍵管理コンピュータ
32は2次サーバー42を更新し且つ全てのトランザク
ションを2次サーバー42に記録する。通信が復元する
と、2次鍵管理コンピュータ32が再同期化を開始す
る。
【0010】KMSが正常作動をしている間、1次鍵管
理コンピュータ30はダウンする。2次鍵管理コンピュ
ータ32は、2次サーバー42からデータを検索するこ
とにより引き継ぎを行い且つデータを両サーバーに更新
する。上記のように、対称的な構成のため全ての故障及
び作動手順が同じになる。ここで図2を参照すると、鍵
管理コンピュータ30又は32(本願明細書では、クラ
イアントとも呼ぶ)の実施プロセスを示すフローチャー
トは、データがサーバー40、42のデータベースに書
き込まれるときに行なわれる作動を示す。下記のパラグ
ラフは、サーバー40、42の状態に基づいて、異なる
プロセス経路を説明するものである。1.1次及び2次サーバーが作動している状態 ステップ100では、鍵をサーバー40、42のデータ
ベースに記憶させるため、鍵管理コンピュータ30から
書込みレコードリクエストが受け入れられる。ステップ
102では、1次サーバー40が作動しているか否かの
決定がなされる。作動している場合には、ステップ10
4で、キーデータが1次サーバーのアーカイブに書き込
まれる。データ書込み後、ステップ108で、2次サー
バー42が作動しているか否かの決定がなされる。作動
している場合には、ステップ100で、同じキーデータ
が2次サーバーのアーカイブに書き込まれる。2次サー
バーのアーカイブへのデータ書込み後、ステップ112
で、1次サーバーがダウンしているか否かのチェックが
なされる。このパラグラフで説明するプロセスフローで
はこれは該当せず、従って、ステップ114で作動が首
尾良く完了する。両サーバーが作動している場合には、
1次サーバー40及び2次サーバー42の各々のアーカ
イブは同一である。
【0011】2.1次サーバーがダウンしており、2次
サーバーが作動している場合 ステップ102で、1次サーバー40がダウンしている
と決定された場合には、データが1次サーバーに書き込
まれることはなく、ステップ106で、1次サーバー4
0がダウンしていることを示すフラグが設定される。ス
テップ108で、2次サーバー42が作動しているか否
かの決定がなされる。作動している場合には、ステップ
110で、同じ鍵データが2次サーバーのアーカイブに
書き込まれる。データが2次サーバーのアーカイブに書
き込まれた後、ステップ112で、1次サーバー40が
ダウンしているか否かを見極めるチェックがなされる。
1次サーバーがダウンしているので、ステップ118
で、鍵データが2次サーバー42の記録ファイルに書き
込まれ、ステップ114で、作動が首尾良く完了する。
他方のサーバーがダウンしている場合にのみ、記録ファ
イル(log files)が一方のサーバーに創出さ
れ且つ維持される。3.1次サーバーが作動しており、2次サーバーがダウ
ンしている場合 ステップ102で、1次サーバー40が作動しているか
否かの決定がなされる。作動している場合には、ステッ
プ104で、鍵データが1次サーバーのアーカイブに書
き込まれる。データが書き込まれた後、ステップ108
で、2次サーバー42が作動しているか否かの決定がな
される。ステップ108で2次サーバー42がダウンし
ていると決定された場合には、データが2次サーバーに
書き込まれることはなく、ステップ120で、2次サー
バー40がダウンしていることを示すフラグが設定され
る。ステップ122で、1次サーバー40が作動してお
り且つ2次サーバーがダウンしているか否かの決定がな
される。1次サーバーがアップしているので、ステップ
124で、鍵データが1次サーバー42の記録ファイル
に書き込まれ、ステップ114で作動が首尾良く完了す
る。
【0012】4.1次サーバー及び2次サーバーがダウ
ンしている場合 ステップ102で、1次サーバー40がダウンしている
と決定された場合には、データが1次サーバーに書き込
まれることはなく、ステップ106で、1次サーバー4
0がダウンしていることを示すフラグが設定される。ス
テップ108で、2次サーバー42が作動しているか否
かの決定がなされる。ステップ108で、2次サーバー
42がダウンしていると決定された場合には、データが
2次サーバーに書き込まれることはなく、ステップ12
0で、2次サーバー40がダウンしていることを示すフ
ラグが設定される。ステップ122で、1次サーバー4
0が作動しており且つ2次サーバーがダウンしているか
否かの決定がなされる。両サーバーがダウンしているの
で、ステップ130では、ステップ100で鍵管理コン
ピュータ30により開始された書込みリクエストが処理
されることはない。本発明によれば、クライアントすな
わち鍵管理コンピュータは、サーバーのアーカイブへの
書込み及びサーバーの記録ファイルへの記録等のデータ
ベース決定を行なう。1次クライアントがダウンしてい
る場合には、2次クライアントは、ビート(beat)
を失うことなく引き継ぐ。作動しているクライアント
は、他方のサーバーがダウンしているとき、作動してい
る方のサーバーに記録を維持する。これにより、両サー
バーがオンラインに復帰すると、プロセスはサーバーの
アーカイブのデータを実時間で再同期化でき、従ってア
ーカイブは再び同じになる。
【0013】この点が、銀行で使用されているような慣
用的な故障許容装置(このような装置では、データベー
スの決定が、一般に、データが記憶される冗長サーバー
に生じる)とは異なっている。かくして、サーバーがダ
ウンすると、第3サーバーが他の2つのサーバーにリン
クされるまで、記録することの決定はなされない。慣用
的な故障許容装置における2つのみのサーバーでは、ダ
ウンサーバーが作動状態に戻るときに手動介入を行なわ
なくてはならない。このような手動介入は、実時間処理
以外の場合に生じる。このような慣用的な装置は、1つ
のサーバーがダウンしているときにトランザクションの
記録を確立し且つ維持するクライアントであって実時間
でサーバーを再同期化するクライアントを備えていな
い。このような慣用的装置は、単にトランザクションを
ロールバックして、該トランザクションを後で通知す
る。本発明では、クライアント30、32の一方が、デ
ータが1次及び2次サーバー40、42の両方に首尾良
く書き込まれたか否かを決定すべく応答できる。データ
が一方のサーバーに首尾良く書き込まれていない場合に
は、クライアントは、作動不能なサーバーに書き込まれ
ていないデータのトラックを維持する記録ファイルを維
持する。
【0014】本発明によれば、1次クライアントがダウ
ンしても、2次クライアントはオンライン状態になり且
つアップ状態にあるサーバーから記録ファイルを読取
り、次に、記録に書き込まれたデータに基づいて装置を
再同期化する。サーバーに書き込まれた鍵データも鍵分
配コンピュータ20に記憶されるため、本発明の故障許
容装置が必要になる。サーバーに記憶されたデータが鍵
分配コンピュータ20に記憶されたデータと同期しなけ
れば、装置が故障したことである。慣用的な故障許容装
置をこのような鍵管理装置に使用すると、全部で4つの
サーバーが必要になる。ここで図3を参照すると、クラ
イアントベース形サーバー再同期化プロセスのフローチ
ャートは、サーバーの1つに書き込まれなかったデータ
を回復するプロセスである。ステップ200で、1次ク
ライアント30又は2次クライアント32のうちの作動
している方のクライアントにおいて、サーバーの再同期
化が開始される。ステップ202で、クライアントアプ
リケーションは、データが1次サーバー40に収容され
た記録に存在するか否かを決定する。存在しない場合に
は、クライアントアプリケーションは、ステップ204
で、記録が2次サーバー42に存在するか否かを決定
し、存在しない場合には、ステップ206での再同期化
は不要である。データが1次サーバー40の記録に存在
する場合には、ステップ210で、1次記録ファイルか
らのデータが読み取られ、1次アーカイブに記憶された
アーカイブレコードを反映するデータベースインデック
スが抽出される。ステップ212で、データが1次アー
カイブファイルから得られ、記録ファイルからのデータ
ベースインデックスを用いて、2次サーバーがダウンし
たときに行われる作動についての決定がなされる。次
に、ステップ214で、2次アーカイブが、1次記録フ
ァイルから抽出されたデータベースインデックスに相当
する適当なレコードに更新される。ステップ216で、
付加的な記録データが存在するか否かの決定がなされ
る。付加的な記録データが存在する場合には、ステップ
210で、1次記録ファイルからこのような付加データ
が読み取られる。付加データが存在しない場合には、ス
テップ220で再同期化が行なわれる。
【0015】ステップ204で、データが2次記録に存
在する場合には、ステップ230で、2次記録ファイル
からのデータが読み取られ、2次アーカイブに記憶され
たアーカイブを反映するデータベースインデックスが抽
出される。ステップ232で、2次アーカイブファイル
からのデータが得られ、記録ファイルからのデータベー
スインデックスを使用して、1次サーバーがダウンした
ときに行なわれる作動についての決定がなされる。次
に、ステップ234で、1次アーカイブが、2次記録フ
ァイルから抽出されたデータベースインデックスに相当
する適当なレコードに更新される。ステップ236で、
付加的な記録データが存在するか否かの決定がなされ
る。付加的な記録データが存在する場合には、ステップ
230で、2次記録ファイルからこのような付加データ
が読み取られる。付加データが存在しない場合には、ス
テップ220で再同期化が行なわれる。再同期化プロセ
スは、クライアント(すなわち鍵管理コンピュータ)が
1つのサーバーへのデータ書込みを試み、且つ不意に、
両サーバーがアップ状態にあることを検出する正常なク
ライアント作動の間に生じる。次に、クライアントは再
同期化プロセスを自動的に開始する。
【0016】鍵生成作動中に不完全なトランザクション
が生じると、鍵分配コンピュータ20は別の鍵を要求す
る。鍵組込み検証(key installation
verification)中に不完全トランザクシ
ョンが生じると、鍵分配コンピュータ20は、検証のた
めにレコードを再び送る。不完全なトランザクションが
1次鍵管理コンピュータ30の故障又は通信の故障によ
る場合には、鍵分配コンピュータ20に故障が通報され
る。鍵分配コンピュータ20は、他の要求を2次鍵管理
コンピュータ32に送る。不完全トランザクションがト
ークン検証中に生じる場合には、検証作動は中止され
る。ここで図4を参照すると、作動が、前に作動不能と
して識別されたサーバーに復元しているか否かを決定す
るサーバー状態モニタープロセスが示されている。ステ
ップ300で、鍵分配コンピュータ20により、サーバ
ーの状態チェックが開始される。ステップ302で、1
次サーバー40がダウンしているか否かの決定が行なわ
れる。ダウンしている場合には、ステップ304で、1
次サーバーにアクセスする試みが行なわれる。ステップ
306で1次サーバーが応答する場合、サーバー再同期
化フラグが設定され、これにより図3に示す再同期化が
引き起こされる。次に、ステップ310で、このパスの
ためのサーバーの状態チェックが完了する。ステップ3
02で1次サーバーがダウンしていないと決定された場
合には、ステップ312で、2次サーバー42がダウン
しているか否かの決定が行なわれる。ダウンしている場
合には、2次サーバーにアクセスする試みが行なわれ
る。ステップ316で2次サーバーが応答する場合、サ
ーバー再同期化フラグが設定され、これにより図3に示
す再同期化が引き起こされる。次に、ステップ310
で、このパスのためのサーバーの状態チェックが完了す
る。ステップ316で2次サーバーが応答していないと
決定された場合には、ステップ310で、このパスのた
めのサーバーの状態チェックが完了する。
【0017】当業者には、本発明が2つのクライアント
コンピュータ及び2つのサーバーコンピュータに限定さ
れるものではないことが理解されよう。付加クライアン
トコンピュータ及び付加サーバーコンピュータを本発明
に使用できる。上記説明は、好ましい実施例のためのも
のである。以上、単一実施例に関連して本発明を説明し
たが、上記のように、本発明には種々の変更を施すこと
ができる。従って、特許請求の範囲の記載は、本発明の
精神及び範囲に包含される種々の変更をカバーするもの
である。
【図面の簡単な説明】
【図1】本発明による鍵管理装置を示すブロック図であ
る。
【図2】鍵管理コンピュータによる複写を示すプロセス
フローチャートである。
【図3】鍵管理コンピュータによる再同期化を示すプロ
セスフローチャートである。
【図4】サーバーの状態をモニタリングする鍵管理コン
ピュータのフローチャートである。
【符号の説明】
10 故障許容鍵管理装置 20 鍵分配コンピュータ 30 1次鍵管理コンピュータ 32 2次鍵管理コンピュータ 40 1次サーバー 42 2次サーバー
───────────────────────────────────────────────────── フロントページの続き (72)発明者 ウォルター ジェイ ベイカー アメリカ合衆国 コネチカット州 06497 ストラットフォード ノース エイブラ ム ストリート 378 (72)発明者 フェリクス バートー アメリカ合衆国 コネチカット州 06612 イーストン バーローズ ロード 89 (72)発明者 チュンフア リ アメリカ合衆国 コネチカット州 06473 ノース ヘヴン シュガー ヒル ロー ド 134

Claims (9)

    【特許請求の範囲】
  1. 【請求項1】 鍵分配コンピュータと、 第1インターフェースにより前記鍵分配コンピュータに
    接続された1次鍵管理コンピュータと、 第2インターフェースにより前記鍵分配コンピュータに
    接続された2次鍵管理コンピュータとを有し、前記第2
    インターフェースが前記第1インターフェースに対し並
    列であり、 前記1次及び2次鍵管理コンピュータに接続された1次
    サーバーコンピュータと、 前記1次及び2次鍵管理コンピュータに接続された2次
    サーバーコンピュータとを更に有し、 前記1次及び2次鍵管理コンピュータのうちの一方の鍵
    管理コンピュータが一度に作動し、前記1次及び2次鍵
    管理コンピュータのうちの前記作動する方の鍵管理コン
    ピュータは、前記鍵分配コンピュータから受けた鍵デー
    タを、前記1次及び2次サーバーコンピュータの各々の
    アーカイブデータベースに書き込むことを特徴とする暗
    号鍵を生成し且つ維持するための鍵管理装置。
  2. 【請求項2】 前記1次及び2次鍵管理コンピュータの
    うちの前記作動する方の鍵管理コンピュータは、前記1
    次及び2次サーバーコンピュータが前記鍵データを前記
    1次及び2次サーバーコンピュータの各々に書き込む前
    にそれぞれ作動できることを検証する複写アルゴリズム
    を実施することを特徴とする請求項1に記載の鍵管理装
    置。
  3. 【請求項3】 前記1次及び2次鍵管理コンピュータの
    うちの前記作動する方の鍵管理コンピュータは、前記1
    次サーバーコンピュータが作動せず且つ前記2次サーバ
    ーが作動するときには、前記鍵データを2次サーバーコ
    ンピュータの記録ファイルに書き込み、前記2次サーバ
    ーコンピュータが作動せず且つ前記1次サーバーが作動
    するときには、前記鍵データを1次サーバーコンピュー
    タの記録ファイルに書き込むことを特徴とする請求項2
    に記載の鍵管理装置。
  4. 【請求項4】 前記1次及び2次鍵管理コンピュータの
    うちの前記作動する方の鍵管理コンピュータは、前記1
    次及び2次サーバーコンピュータのうちの前記作動しな
    い方の鍵管理コンピュータの作動状態をモニタリングし
    且つ前記作動しない方のサーバーコンピュータが作動し
    始めるときに前記作動しない方のサーバーコンピュータ
    の前記アーカイブデータベースを更新する再同期化アル
    ゴリズムを実施し、これにより、その後に前記1次及び
    2次サーバーコンピュータの各々の前記アーカイブデー
    タベースが、引き続き鍵データベースをこれらに書き込
    むために同期化されることを特徴とする請求項3に記載
    の鍵管理装置。
  5. 【請求項5】 1次及び2次鍵管理コンピュータのうち
    の作動する方の鍵管理コンピュータにより鍵データの記
    憶を要求し、 1次及び2次サーバーコンピュータの各々の作動状態を
    モニタリングし、 作動している1次及び2次サーバーの各々のアーカイブ
    データベースに鍵データを書き込み、 前記1次及び2次サーバーのうちの一方のサーバーが作
    動していないときに、前記1次及び2次サーバーのうち
    の作動している方のサーバーの記録ファイルに鍵データ
    を書き込み、 前記1次及び2次サーバーのうちの前記作動していない
    方のサーバーの作動状態への復帰をモニタリングし、 前記1次及び2次サーバーコンピュータのうちの前記作
    動している方のサーバーコンピュータの前記記録ファイ
    ルに記憶された鍵データを、前記1次及び2次サーバー
    コンピュータのうちの前記作動していない方のサーバー
    コンピュータの前記アーカイブデータベースに書き込む
    ステップからなることを特徴とする暗号鍵の故障許容鍵
    管理方法。
  6. 【請求項6】 データ分配コンピュータと、 第1インターフェースにより前記データ分配コンピュー
    タに接続された1次データ管理コンピュータと、 第2インターフェースにより前記データ分配コンピュー
    タに接続された2次データ管理コンピュータとを有し、
    前記第2インターフェースが前記第1インターフェース
    に対し並列であり、 前記1次及び2次データ管理コンピュータに接続された
    1次サーバーコンピュータと、 前記1次及び2次データ管理コンピュータに接続された
    2次サーバーコンピュータとを更に有し、 前記1次及び2次データ管理コンピュータのうちの一方
    のデータ管理コンピュータが一度に作動し、前記1次及
    び2次データ管理コンピュータのうちの前記作動する方
    のデータ管理コンピュータは、前記データ分配コンピュ
    ータから受けたデータを、前記1次及び2次サーバーコ
    ンピュータの各々のアーカイブデータベースに書き込む
    ことを特徴とするデータの複写を同期化するための故障
    許容データ管理装置。
  7. 【請求項7】 前記1次及び2次データ管理コンピュー
    タのうちの前記作動する方のデータ管理コンピュータ
    は、前記1次及び2次サーバーコンピュータが前記デー
    タを前記1次及び2次サーバーコンピュータの各々のア
    ーカイブデータベースに書き込む前にそれぞれ作動でき
    ることを検証する複写アルゴリズムを実施することを特
    徴とする請求項6に記載の故障許容データ管理装置。
  8. 【請求項8】 前記1次及び2次データ管理コンピュー
    タのうちの前記作動する方のデータ管理コンピュータ
    は、前記1次サーバーコンピュータが作動せず且つ前記
    2次サーバーが作動するときには、前記鍵データを2次
    サーバーコンピュータの記録ファイルに書き込み、前記
    2次サーバーコンピュータが作動せず且つ前記1次サー
    バーが作動するときには、前記鍵データを1次サーバー
    コンピュータの記録ファイルに書き込むことを特徴とす
    る請求項7に記載の故障許容データ管理装置。
  9. 【請求項9】 前記1次及び2次データ管理コンピュー
    タのうちの前記作動する方のデータ管理コンピュータ
    は、前記1次及び2次サーバーコンピュータのうちの前
    記作動しない方のデータ管理コンピュータの作動状態を
    モニタリングし且つ前記作動しない方のサーバーコンピ
    ュータが作動し始めるときに前記作動しない方のサーバ
    ーコンピュータの前記アーカイブデータベースを更新す
    る再同期化アルゴリズムを実施し、これにより、その後
    に前記1次及び2次サーバーコンピュータの各々の前記
    アーカイブデータベースが、引き続き鍵データベースを
    これらに書き込むために同期化されることを特徴とする
    請求項8に記載の故障許容データ管理装置。
JP7339232A 1994-12-27 1995-12-26 故障許容鍵管理装置及び方法 Pending JPH08254047A (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US08/364,323 US5621795A (en) 1994-12-27 1994-12-27 System and method for fault tolerant key management
US08/364323 1994-12-27

Publications (1)

Publication Number Publication Date
JPH08254047A true JPH08254047A (ja) 1996-10-01

Family

ID=23433990

Family Applications (1)

Application Number Title Priority Date Filing Date
JP7339232A Pending JPH08254047A (ja) 1994-12-27 1995-12-26 故障許容鍵管理装置及び方法

Country Status (5)

Country Link
US (1) US5621795A (ja)
EP (1) EP0722236B1 (ja)
JP (1) JPH08254047A (ja)
CA (1) CA2165695C (ja)
DE (1) DE69533854T2 (ja)

Families Citing this family (29)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5684990A (en) * 1995-01-11 1997-11-04 Puma Technology, Inc. Synchronization of disparate databases
US5812666A (en) * 1995-03-31 1998-09-22 Pitney Bowes Inc. Cryptographic key management and validation system
US6163853A (en) * 1997-05-13 2000-12-19 Micron Electronics, Inc. Method for communicating a software-generated pulse waveform between two servers in a network
US6012059A (en) * 1997-08-21 2000-01-04 Dataxel Corporation Method and apparatus for replicated transaction consistency
JP3901806B2 (ja) * 1997-09-25 2007-04-04 富士通株式会社 情報管理システム及び二次サーバ
US6799224B1 (en) 1998-03-10 2004-09-28 Quad Research High speed fault tolerant mass storage network information server
US6260155B1 (en) 1998-05-01 2001-07-10 Quad Research Network information server
JP2002529012A (ja) 1998-10-23 2002-09-03 エル3 コミュニケーションズ コーポレイション 異質の暗号資産におけるキイの資料を管理する装置および方法
US6223231B1 (en) * 1998-11-12 2001-04-24 Sun Microsystems, Inc. Method and apparatus for highly-available processing of I/O requests while application processing continues
WO2001009701A1 (en) * 1999-08-03 2001-02-08 Amr Mohsen Network-based information management system for the creation, production, fulfillment, and delivery of prescription medications and other complex products and services
US6931549B1 (en) 2000-05-25 2005-08-16 Stamps.Com Method and apparatus for secure data storage and retrieval
US7263476B1 (en) * 2000-06-12 2007-08-28 Quad Research High speed information processing and mass storage system and method, particularly for information and application servers
US6886020B1 (en) * 2000-08-17 2005-04-26 Emc Corporation Method and apparatus for storage system metrics management and archive
US7051053B2 (en) * 2002-09-30 2006-05-23 Dinesh Sinha Method of lazily replicating files and monitoring log in backup file system
US7243088B2 (en) * 2003-08-06 2007-07-10 Oracle International Corporation Database management system with efficient version control
US7269588B1 (en) 2003-09-24 2007-09-11 Oracle International Corporation Neighborhood locking technique for increasing concurrency among transactions
US7555481B1 (en) 2003-10-28 2009-06-30 Oracle Corporation Method and apparatus for increasing transaction concurrency by early release of locks in groups
US7739244B2 (en) * 2004-10-14 2010-06-15 Oracle International Corporation Operating logging for online recovery in shared memory information systems
US8254577B2 (en) * 2008-02-20 2012-08-28 International Business Machines Corporation Validation of encryption key
US8335776B2 (en) 2008-07-02 2012-12-18 Commvault Systems, Inc. Distributed indexing system for data storage
US20100037056A1 (en) * 2008-08-07 2010-02-11 Follis Benjamin D Method to support privacy preserving secure data management in archival systems
US8266433B1 (en) * 2009-04-30 2012-09-11 Netapp, Inc. Method and system for automatically migrating encryption keys between key managers in a network storage system
US20100277273A1 (en) * 2009-04-30 2010-11-04 Ford Global Technologies, Llc System and method for assigning driver status to a spare key and for programming the spare key to a vehicle
US8918853B2 (en) * 2011-06-29 2014-12-23 Sharp Laboratories Of America, Inc. Method and system for automatic recovery from lost security token on embedded device
US10205594B1 (en) * 2016-03-30 2019-02-12 EMC IP Holding Company LLC Crypto-erasure resilient to network outage
US11196720B2 (en) * 2017-01-09 2021-12-07 Introspective Power, Inc. Secure storage and data exchange/sharing system using one time pads
EP3451626B1 (en) * 2017-08-31 2021-11-17 FIMER S.p.A. Method and system for data stream processing
CN109446684B (zh) * 2018-11-06 2023-04-07 航天海鹰机电技术研究院有限公司 管线矢量数据的自动校验方法
CN109898933B (zh) * 2019-02-18 2023-08-11 广州暨嘉智能设备有限公司 一种远程钥匙管理系统和方法

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS5730069A (en) * 1980-07-30 1982-02-18 Fuji Facom Corp Restoration system for duplex system
JPS63236137A (ja) * 1987-03-24 1988-10-03 Toyota Motor Corp 二重化コンピユ−タ
JPH04299435A (ja) * 1991-03-27 1992-10-22 Nec Corp データベース等価方式
JPH05225135A (ja) * 1992-02-10 1993-09-03 Hitachi Ltd 端末無中断オンラインシステム

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CA1160744A (en) * 1979-05-09 1984-01-17 Jesse T. Quatse Electronic postage meter having improved security and fault tolerance features
JPH01147727A (ja) * 1987-12-04 1989-06-09 Hitachi Ltd オンラインプログラムの障害回復方法
US4888801A (en) * 1988-05-02 1989-12-19 Motorola, Inc. Hierarchical key management system
JPH0360546A (ja) * 1989-07-28 1991-03-15 Mitsubishi Electric Corp 暗号通信システム
US5214698A (en) * 1991-03-20 1993-05-25 International Business Machines Corporation Method and apparatus for validating entry of cryptographic keys
JP3213766B2 (ja) * 1992-03-16 2001-10-02 株式会社日立製作所 レプリケートファイル更新システム

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS5730069A (en) * 1980-07-30 1982-02-18 Fuji Facom Corp Restoration system for duplex system
JPS63236137A (ja) * 1987-03-24 1988-10-03 Toyota Motor Corp 二重化コンピユ−タ
JPH04299435A (ja) * 1991-03-27 1992-10-22 Nec Corp データベース等価方式
JPH05225135A (ja) * 1992-02-10 1993-09-03 Hitachi Ltd 端末無中断オンラインシステム

Also Published As

Publication number Publication date
EP0722236A2 (en) 1996-07-17
US5621795A (en) 1997-04-15
CA2165695C (en) 1999-09-07
DE69533854T2 (de) 2005-12-22
EP0722236A3 (en) 1999-06-09
EP0722236B1 (en) 2004-12-15
DE69533854D1 (de) 2005-01-20
CA2165695A1 (en) 1996-06-28

Similar Documents

Publication Publication Date Title
JPH08254047A (ja) 故障許容鍵管理装置及び方法
US6658589B1 (en) System and method for backup a parallel server data storage system
US6823349B1 (en) Method and system for establishing, maintaining, and using a persistent fracture log
US7120824B2 (en) Method, apparatus and program storage device for maintaining data consistency and cache coherency during communications failures between nodes in a remote mirror pair
US7478263B1 (en) System and method for establishing bi-directional failover in a two node cluster
US6442551B1 (en) Method and apparatus for independent and simultaneous access to a common data set
JP4256153B2 (ja) バックアップと回復処理システムの方法と手段
US8554728B2 (en) Method and system for managing a distributed transaction process
JP3958795B2 (ja) マルチホスト意志決定支援システム
EP2521037B1 (en) Geographically distributed clusters
US6941490B2 (en) Dual channel restoration of data between primary and backup servers
US7925633B2 (en) Disaster recovery system suitable for database system
EP1782289B1 (en) Metadata management for fixed content distributed data storage
US7254740B2 (en) System and method for state preservation in a stretch cluster
JP3050510B2 (ja) イメージデータ管理装置
US20070220059A1 (en) Data processing node
US20030200275A1 (en) File transfer method and system
JP2005196683A (ja) 情報処理システム、情報処理装置、及び情報処理システムの制御方法
KR100450400B1 (ko) 안전 기억 장치가 없는 환경을 위한 이중화 구조의 주 메모리 상주 데이터베이스 관리시스템 및 그 데이터 일치성 제어방법
JP2007511008A (ja) ハイブリッドリアルタイムデータレプリケーション
US8527454B2 (en) Data replication using a shared resource
CN112380067A (zh) 一种Hadoop环境下基于元数据的大数据备份系统及方法
JP2003015933A (ja) 記憶装置のファイルレベルリモートコピー方法
JP2011253400A (ja) 分散ミラードディスクシステム、コンピュータ装置、ミラーリング方法およびそのプログラム
Zhao Highly Available Database Management Systems

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20050829

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20051114

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20051212