RU2804310C1 - Method of protection of information placed in external data storages - Google Patents
Method of protection of information placed in external data storages Download PDFInfo
- Publication number
- RU2804310C1 RU2804310C1 RU2022112550A RU2022112550A RU2804310C1 RU 2804310 C1 RU2804310 C1 RU 2804310C1 RU 2022112550 A RU2022112550 A RU 2022112550A RU 2022112550 A RU2022112550 A RU 2022112550A RU 2804310 C1 RU2804310 C1 RU 2804310C1
- Authority
- RU
- Russia
- Prior art keywords
- information
- bits
- bytes
- segment
- sequence
- Prior art date
Links
Abstract
Description
Область применения данного изобретения относится к некриптографическим способам защиты информации от несанкционированного доступа при хранении, передачи и обработки информации.The scope of this invention relates to non-cryptographic methods of protecting information from unauthorized access during storage, transmission and processing of information.
Технический уровеньTechnical level
Из патентного поиска известен следующий аналог: «Method of securing data in storage device and storage device thereof)) («Способ защиты данных с использованием внешнего и внутреннего запоминающего устройства))) (Патент US 8,930,623 В2; G06F 12/00 (2006.01); опубликован 6 января 2015)The following analogue is known from a patent search: “Method of securing data in storage device and storage device thereof)) (Patent US 8,930,623 B2; G06F 12/00 (2006.01); published January 6, 2015)
What is claimed is:What is claimed is:
1. A method of securing data in a storage device, comprising:1. A method of securing data in a storage device, comprising:
(a) confirming whether there is a removable security device connected to the storage device when a host attempts to store a file into the storage device;(a) confirming whether there is a removable security device connected to the storage device when a host attempts to store a file into the storage device;
(b) segmenting the file into a first segment and a second segment, determining a size ratio of the second segment to the first segment, and rendering the second segment a size according to the size ratio when the removable security device is confimed being connected to the storage device;(b) segmenting the file into a first segment and a second segment, determining a size ratio of the second segment to the first segment, and rendering the second segment a size according to the size ratio when the removable security device is confimed being connected to the storage device;
(c) storing the first segment into the storage device and relocating the second segment from the storage device into the removable security device; and(c) storing the first segment into the storage device and relocating the second segment from the storage device into the removable security device; and
(d) removing the removable security device from the storage device.(d) removing the removable security device from the storage device.
2. The method of claim 1, further comprising:2. The method of claim 1, further comprising:
(e) connecting the removable security device to the storage device when the host attempts to access the file;(e) connecting the removable security device to the storage device when the host attempts to access the file;
(f) loading the second segment from the removable security device; and(f) loading the second segment from the removable security device; and
(g) combining the second segment with the first segment to restore the file.(g) combining the second segment with the first segment to restore the file.
3. The method of claim 1, wherein the size ratio is calculated according to an available storage volume of the removable security device to that of the storage device.3. The method of claim 1, wherein the size ratio is calculated according to an available storage volume of the removable security device to that of the storage device.
4. The method of claim 1, further comprising:4. The method of claim 1, further comprising:
(h) directly storing the file into the storage device when the removable security device is confirmed not being connected to the storage device.(h) directly storing the file into the storage device when the removable security device is confirmed not being connected to the storage device.
5. A method of securing data in a storage device, comprising:5. A method of securing data in a storage device, comprising:
(a) segmenting a file into a first segment and a second segment, determining a size ratio of the second segment to the first segment, rendering the second segment a size according to the size ratio, and storing both the first segment and the second segment into the storage device when-a host attempts to store the file into the storage device;(a) segmenting a file into a first segment and a second segment, determining a size ratio of the second segment to the first segment, rendering the second segment a size according to the size ratio, and storing both the first segment and the second segment into the storage device when-a host attempts to store the file into the storage device;
(b) confirming whether there is a removable security device connecterd to the storage device after step (a);(b) confirming whether there is a removable security device connecterd to the storage device after step (a);
(c) relocating the second segment from the storage device into the removable security device when the removable security device is confirmed being connected to the storage device; and(c) relocating the second segment from the storage device into the removable security device when the removable security device is confirmed being connected to the storage device; and
(d) removing the removable security device from the storage device.(d) removing the removable security device from the storage device.
6. The method of claim 5, further comprising:6. The method of claim 5, further comprising:
(e) connecting the removable security device to the storage device when the host attempts to access the file;(e) connecting the removable security device to the storage device when the host attempts to access the file;
(f) loading the second segment from the removable security device; and(f) loading the second segment from the removable security device; and
(g) combining the second segment with the first segment to restore the file.(g) combining the second segment with the first segment to restore the file.
7. The method of claim 5, wherein the size ratio is calculated according to an available storage volume of the removable security device to that of the storage device.7. The method of claim 5, wherein the size ratio is calculated according to an available storage volume of the removable security device to that of the storage device.
8. The method of claim 5, further comprising:8. The method of claim 5, further comprising:
(h) detecting an available storage volume of the removable security device;(h) detecting an available storage volume of the removable security device;
andand
(i) if the size is larger than the available storage volume, modifying the size to be smaller than the available storage volume by moving part of the second segment back to combine with the first segment.(i) if the size is larger than the available storage volume, modifying the size to be smaller than the available storage volume by moving part of the second segment back to combine with the first segment.
9. A storage device, comprising:9. A storage device containing:
a first bus configured to be connected to a host device;a first bus configured to be connected to a host device;
a second bus configured to be connected to a removable security device;a second bus configured to be connected to a removable security device;
a memory; anda memory; and
a controller coupled to the first bus, the second bus, and the memory, the controller being configured to receive a file from the host device via the first bus, to confirm whether the removable security device is connected to the second bus, to segment the file into a first segment and a second segment, to determine a size ratio of the second segment to the first segment, to render the second segment a size according to the size ratio, and to store the first segment into the memory and to relocatethe second segment through the storage device into the removable security device when the removable security device is confirmed, by the controller, being connected to the second bus.a controller coupled to the first bus, the second bus, and the memory, the controller being configured to receive a file from the host device via the first bus, to confirm whether the removable security device is connected to the second bus, to segment the file into a first segment and a second segment, to determine a size ratio of the second segment to the first segment, to render the second segment a size according to the size ratio, and to store the first segment into the memory and to relocatethe second segment through the storage device into the removable security device when the removable security device is confirmed, by the controller, being connected to the second bus.
10. The storage device of claim 9, wherein when the host device attempts to store the file into the storage device, the controller is configured to segment the file into the first segment and the second segment when the removable security device is confirmed being connected to the second bus.10. The storage device of claim 9, wherein when the host device attempts to store the file into the storage device, the controller is configured to segment the file into the first segment and the second segment when the removable security device is confirmed being connected to the second bus.
11. The storage device of claim 10, wherein when the host device attempts to access the file, the controller is further to load the second segment from the removable security device and combine the second segment with the first segment to restore the file when the removable security device is confirmed being connected to the second bus.11. The storage device of claim 10, wherein when the host device attempts to access the file, the controller is further to load the second segment from the removable security device and combine the second segment with the first segment to restore the file when the removable security device is confirmed being connected to the second bus.
12. The storage device of claim 9, wherein the size ratio is calculated according to an available storage volume of the removable security device to that of the storage device.12. The storage device of claim 9, wherein the size ratio is calculated according to an available storage volume of the removable security device to that of the storage device.
13. The storage device of claim 9, wherein the controller is further configured to segment the file into the first segment and the second segment and to store both the first segment and the second segment into the memory when the file has been received by the storage device from the host device, and then to relocate the second segment from the memory to the removable security device when the removable security device is confirmed being connected to the second bus.13. The storage device of claim 9, wherein the controller is further configured to segment the file into the first segment and the second segment and to store both the first segment and the second segment into the memory when the file has been received by the storage device from the host device, and then to relocate the second segment from the memory to the removable security device when the removable security device is confirmed being connected to the second bus.
14. The storage device of claim 13, wherein when the host device attempts to access the file, the controller is further to load the second segment from the removable security device and combine the second segment with the first segment to restore the file when the removable security device is confirmed being connected to the second bus.14. The storage device of claim 13, wherein when the host device attempts to access the file, the controller is further to load the second segment from the removable security device and combine the second segment with the first segment to restore the file when the removable security device is confirmed being connected to the second bus.
15. The storage device of claim 13, wherein the size ratio is calculated according to an available storage volume of the removable security device to that of the storage device.15. The storage device of claim 13, wherein the size ratio is calculated according to an available storage volume of the removable security device to that of the storage device.
16. The storage device of claim 13, wherein the controller is further configured to detect an available storage volume of the removable security device, and to modify the size to be smaller than the available storage volume by moving part of the second segment back to combine with the first segment if the size is larger than the available storage volume.16. The storage device of claim 13, wherein the controller is further configured to detect an available storage volume of the removable security device, and to modify the size to be smaller than the available storage volume by moving part of the second segment back to combine with the first segment if the size is larger than the available storage volume.
To, что утверждается, является:What is claimed is:
1. Способ защиты данных в запоминающем устройстве, включающий:1. A method for protecting data in a storage device, including:
(a) подтверждение наличия съемного устройства безопасности, подключенного к устройству хранения, когда хост пытается сохранить файл в устройстве хранения;(a) confirming the presence of a removable security device connected to the storage device when the host attempts to save a file to the storage device;
(b) сегментирование файла на первый сегмент и второй сегмент, определение соотношения размеров второго сегмента к первому сегменту и придание второму сегменту размера в соответствии с соотношением размеров, когда съемное защитное устройство подключено к устройству хранения.;(b) segmenting the file into a first segment and a second segment, determining a size ratio of the second segment to the first segment, and sizing the second segment according to the size ratio when the removable security device is connected to the storage device;
(c) сохранение первого сегмента в запоминающее устройство и перемещение второго сегмента из запоминающего устройства в съемное защитное устройство; и(c) storing the first segment into a storage device and moving the second segment from the storage device to a removable security device; And
(d) извлечение съемного защитного устройства из запоминающего устройства.(d) removing the removable security device from the storage device.
2. Способ по п. 1, дополнительно включающий:2. The method according to claim 1, additionally including:
(e) подключение съемного защитного устройства к устройству хранения, когда хост пытается получить доступ к файлу;(e) connecting a removable security device to the storage device when the host attempts to access the file;
(f) загрузка второго сегмента со съемного устройства защиты; и(f) loading the second segment from the removable security device; And
(g) объединение второго сегмента с первым сегментом для восстановления файла.(g) merging the second segment with the first segment to recover the file.
3. Способ по п. 1, в котором соотношение размеров рассчитывается в соответствии с доступным объемом памяти съемного защитного устройства к объему запоминающего устройства.3. The method according to claim 1, wherein the size ratio is calculated in accordance with the available memory capacity of the removable protective device to the capacity of the storage device.
4. Способ по п. 1, дополнительно включающий:4. The method according to claim 1, additionally including:
(h) прямое сохранение файла в запоминающее устройство, когда подтверждается, что съемное защитное устройство не подключено к запоминающему устройству.(h) directly saving the file to the storage device when it is confirmed that the removable protective device is not connected to the storage device.
5. Способ защиты данных в запоминающем устройстве, включающий:5. A method for protecting data in a storage device, including:
(a) сегментирование файла на первый сегмент и второй сегмент, определение соотношения размеров второго сегмента к первому сегменту, придание второму сегменту размера в соответствии с соотношением размеров и сохранение как первого сегмента, так и второго сегмента в запоминающее устройство, когда хост пытается сохранить файл в запоминающее устройство;(a) segmenting the file into a first segment and a second segment, determining the size ratio of the second segment to the first segment, sizing the second segment according to the size ratio, and storing both the first segment and the second segment into a storage device when the host attempts to store the file in Memory device;
(b) подтверждение наличия съемного защитного устройства, подключенного к устройству хранения данных, после шага (а);(b) confirming the presence of a removable security device connected to the storage device after step (a);
(c) перемещение второго сегмента с запоминающего устройства в съемное защитное устройство, когда подтверждается, что съемное защитное устройство подключено к запоминающему устройству; и(c) moving the second segment from the storage device to the removable security device when it is confirmed that the removable security device is connected to the storage device; And
(d) удаление съемного защитного устройства из запоминающего устройства.(d) removing the removable security device from the storage device.
6. Способ по п. 5, дополнительно включающий:6. The method according to claim 5, additionally including:
(e) подключение съемного защитного устройства к устройству хранения, когда хост пытается получить доступ к файлу;(e) connecting a removable security device to the storage device when the host attempts to access the file;
(f) загрузка второго сегмента со съемного устройства защиты; и(f) loading the second segment from the removable security device; And
(g) объединение второго сегмента с первым сегментом для восстановления файла.(g) merging the second segment with the first segment to recover the file.
7. Способ по п. 5, в котором соотношение размеров рассчитывается в соответствии с доступным объемом памяти съемного защитного устройства к объему запоминающего устройства.7. The method according to claim 5, wherein the size ratio is calculated in accordance with the available memory capacity of the removable protective device to the capacity of the storage device.
8. Способ по п. 5, дополнительно включающий:8. The method according to claim 5, additionally including:
(h) обнаружение доступного объема хранилища съемного защитного устройства; и(h) detecting the available storage capacity of the removable protective device; And
(i) если размер больше, чем доступный объем хранилища, изменение размера на меньший, чем доступный объем хранилища, путем перемещения части второго сегмента назад для объединения с первым сегментом.(i) if the size is larger than the available storage capacity, resizing to be smaller than the available storage capacity by moving part of the second segment back to merge with the first segment.
9. Запоминающее устройство, содержащее:9. A storage device containing:
первую шину, сконфигурированную для подключения к главному устройству;a first bus configured to connect to a host device;
вторую шину, сконфигурированную для подключения к съемному устройству безопасности; память; а такжеa second bus configured to connect to a removable security device; memory; and
контроллер, подключенный к первой шине, второй шине и памяти, причем контроллер сконфигурирован для приема файла от главного устройства через первую шину, чтобы подтвердить, подключено ли съемное устройство безопасности ко второй шине, чтобы сегментировать файл в первый сегмент и второй сегмент, чтобы определить соотношение размеров второго сегмента к первому сегменту, чтобы отобразить размер второго сегмента в соответствии с соотношением размеров, и сохранить первый сегмент в памяти и переместить второй сегментировать через запоминающее устройство в съемное защитное устройство, когда контроллер подтверждает, что съемное защитное устройство подключается ко второй шине.a controller connected to a first bus, a second bus, and a memory, wherein the controller is configured to receive a file from a host device via the first bus to confirm whether a removable security device is connected to the second bus, to segment the file into a first segment and a second segment to determine a relationship sizes of the second segment to the first segment to display the size of the second segment according to the aspect ratio, and store the first segment in memory and move the second segment through the memory to the removable protective device when the controller confirms that the removable protective device is connected to the second bus.
10. Запоминающее устройство по п. 9, в котором, когда хост-устройство пытается сохранить файл в запоминающее устройство, контроллер сконфигурирован для разделения файла на первый сегмент и второй сегмент, когда подтверждается, что съемное защитное устройство подключено ко второй шине.10. The storage device of claim 9, wherein when the host device attempts to save a file to the storage device, the controller is configured to divide the file into a first segment and a second segment when it is confirmed that the removable security device is connected to the second bus.
11. Запоминающее устройство по п. 10, в котором, когда главное устройство пытается получить доступ к файлу, контроллер дополнительно загружает второй сегмент со съемного устройства безопасности и объединяет второй сегмент с первым сегментом для восстановления файла, когда съемное устройство безопасности подтверждается подключение ко второй шине.11. The storage device of claim 10, wherein when the host device attempts to access a file, the controller further loads a second segment from the removable security device and combines the second segment with the first segment to recover the file when the removable security device is confirmed to be connected to the second bus. .
12. Запоминающее устройство по п. 9, в котором соотношение размеров вычисляется согласно доступному объему хранения съемного защитного устройства и запоминающего устройства.12. The storage device according to claim 9, wherein the aspect ratio is calculated according to the available storage capacity of the removable security device and the storage device.
13. Запоминающее устройство по п. 9, в котором контроллер дополнительно сконфигурирован для сегментирования файла на первый сегмент и второй сегмент и для сохранения как первого сегмента, так и второго сегмента в памяти, когда файл был получен запоминающим устройством от хост-устройства, а затем для перемещения второго сегмента из памяти в съемное защитное устройство, когда подтверждено, что съемное защитное устройство подключено ко второй шине.13. The storage device of claim 9, wherein the controller is further configured to segment the file into a first segment and a second segment and to store both the first segment and the second segment in memory when the file has been received by the storage device from the host device, and then to move the second segment from memory to the removable protective device when it is confirmed that the removable protective device is connected to the second bus.
14. Запоминающее устройство по п. 13, в котором, когда хост-устройство пытается получить доступ к файлу, контроллер дополнительно загружает второй сегмент со съемного защитного устройства и объединяет второй сегмент с первым сегментом для восстановления файла, когда подтверждается, что съемное защитное устройство подключено ко второй шине.14. The storage device of claim 13, wherein when the host device attempts to access the file, the controller further loads a second segment from the removable security device and combines the second segment with the first segment to recover the file when the removable security device is confirmed to be connected to the second bus.
15. Запоминающее устройство по п. 13, в котором соотношение размеров рассчитывается в соответствии с доступным объемом памяти съемного защитного устройства к объему запоминающего устройства.15. The storage device according to claim 13, wherein the size ratio is calculated in accordance with the available memory capacity of the removable protective device to the capacity of the storage device.
16. Запоминающее устройство по п. 13, в котором контроллер дополнительно сконфигурирован для обнаружения доступного объема памяти съемного защитного устройства и для изменения размера, чтобы он был меньше, чем доступное хранилище16. The storage device of claim 13, wherein the controller is further configured to detect available storage capacity of the removable security device and resize it to be smaller than the available storage.
Сущность изобретения заключается в том, что исходный файл разделяется на 2 сегмента, из которых 1 сегмент помещается и хранится на внутреннем устройстве хоста для хранения, а 2 сегмент помещается на съемном устройстве безопасности для хранения. Причем соотношение размеров обоих файлов определяется в зависимости от свободного объема памяти в месте хранения. Затем, когда хост пытается получить доступ к исходному файлу, вставляется съемное устройство безопасности со 2 сегментом, происходит его загрузка и объединение с 1 сегментом, образуя при этом исходный файл.The essence of the invention is that the source file is divided into 2 segments, of which 1 segment is placed and stored on the internal host device for storage, and segment 2 is placed on a removable security device for storage. Moreover, the ratio of the sizes of both files is determined depending on the free amount of memory in the storage location. Then, when the host tries to access the source file, a removable security device with 2 segments is inserted, downloaded and merged with 1 segment, thus forming the source file.
Недостатки:Flaws:
• Сильная зависимость размера (объема) 2-го сегмента для записи на съемное устройство безопасности от памяти этого устройства, что может наложить ограничения на оперативное использование данного способа в повседневности.• Strong dependence of the size (volume) of the 2nd segment for recording on a removable security device on the memory of this device, which may impose restrictions on the operational use of this method in everyday life.
• При утрате съемного устройства безопасности, информация утрачивается безвозвратно.• If the removable security device is lost, the information is lost forever.
• Не используются преимущества хранения информации в различных местах хранения данных, в том числе географически удаленных.• The advantages of storing information in various data storage locations, including geographically remote ones, are not used.
• Обязательное хранение на хосте одного из сегментов.• Mandatory storage of one of the segments on the host.
• Теоретически возможна ситуация невозможности использования такого способа, при условии, если будет ограниченная память и на хосте (внутреннем устройстве хранения), и на съемном устройстве безопасности, таким образом, что нельзя будет адекватно сформировать 2 сегмента исходного файла для их хранения по данному способу.• It is theoretically possible that it will be impossible to use this method, provided that there is limited memory on both the host (internal storage device) and on the removable security device, such that it will not be possible to adequately form 2 segments of the source file for storing them using this method.
• В зависимости от формата исходного файла, а также если на съемном устройстве или на внутреннем устройстве хоста будет хранится столь незначительная часть исходного файла, что обладание другой значительно большей его частью, позволит с высокой вероятностью восстановить исходные данные. Такое возможно, т.к. патентом не предусмотрена защита информации в каждом сегменте.• Depending on the format of the source file, and also if such a small part of the source file is stored on a removable device or on the internal device of the host that having another much larger part of it will make it possible to restore the original data with a high probability. This is possible because The patent does not provide for the protection of information in each segment.
За главный прототип взят «Data distribution methods and systems)) («Методы и системы распределения данных») (Патент US 10,216,822 В2; G06F 17/30584 (2013.01); G06F 17/30135 (2013.01); G06F 17/30194 (2013.01); G06F 21/62 (2013.01); H04L 9/085 (2013.01); опубликован 26 февраля 2019)The main prototype was “Data distribution methods and systems”) (Patent US 10,216,822 B2; G06F 17/30584 (2013.01); G06F 17/30135 (2013.01); G06F 17/30194 (2013.01) ; G06F 21/62 (2013.01); H04L 9/085 (2013.01); published February 26, 2019)
DATA DISTRIBUTION METHODS AND SYSTEMSDATA DISTRIBUTION METHODS AND SYSTEMS
AbstractAbstract
Methods and related systems for secured and distributed data storage and communication are disclosed. For each byte of a given data set or file, data is split at the bit level and reassembled into a given number of meaningless data sets or files. One or more parity files are also generated to ensure availability and integrity of the data at all times. Each file is sent to a different and typically geographically distinct data storage location. When the information is required, the reverse process takes place. The only place where the information is reconstructed and accessible is at the point where it is required (the authorised users' computing devices or the organisation's network reassembly point). The source information is never stored or accessible in any single storage location, making it highly secured. The process can be embodied into a system through various forms, including software, firmware, hardware or combination thereof.Methods and related systems for secured and distributed data storage and communication are disclosed. For each byte of a given data set or file, data is split at the bit level and reassembled into a given number of meaningless data sets or files. One or more parity files are also generated to ensure availability and integrity of the data at all times. Each file is sent to a different and typically geographically distinct data storage location. When the information is required, the reverse process takes place. The only place where the information is reconstructed and accessible is at the point where it is required (the authorized users' computing devices or the organization's network reassembly point). The source information is never stored or accessible in any single storage location, making it highly secured. The process can be embodied into a system through various forms, including software, firmware, hardware or combination thereof.
МЕТОДЫ И СИСТЕМЫ РАСПРЕДЕЛЕНИЯ ДАННЫХDATA DISTRIBUTION METHODS AND SYSTEMS
Аннотацияannotation
Раскрыты способы и соответствующие системы для безопасного и распределенного хранения данных и связи. Для каждого байта данного набора данных или файла данные разбиваются на уровне битов и повторно собираются в заданное количество бессмысленных наборов данных или файлов. Один или несколько файлов четности также создаются для обеспечения доступности и целостности данных в любое время. Каждый файл отправляется в другое и обычно географически отличное место хранения данных. Когда требуется информация, происходит обратный процесс. Единственное место, где информация восстанавливается и доступна - это место, где она требуется (вычислительные устройства авторизованных пользователей или точка пересборки сети организации). Исходная информация никогда не хранится и не доступна в каком-либо одном месте хранения, что делает ее высоко защищенной. Процесс может быть воплощен в систему посредством различных форм, включая программное обеспечение, встроенное программное обеспечение, аппаратное обеспечение или их комбинацию.Methods and corresponding systems for secure and distributed data storage and communication are disclosed. For each byte of a given data set or file, the data is broken down at the bit level and reassembled into a given number of meaningless data sets or files. One or more parity files are also created to ensure data availability and integrity at all times. Each file is sent to a different and usually geographically different data storage location. When information is required, the reverse process occurs. The only place where information is recovered and accessible is the place where it is required (the computing devices of authorized users or the point of reassembly of the organization's network). The original information is never stored or accessed in any one storage location, making it highly secure. The process may be implemented in a system through various forms, including software, firmware, hardware, or a combination thereof.
The invention claimed is:The invention claimed is:
1. A computer-implemented method for partitioning a data set and storing dam set parts at different data storage locations, the data set comprising a plurality of bytes, each of the bytes comprising a plurality of bits, the method comprising;1. A computer-implemented method for partitioning a data set and storing dam set parts at different data storage locations, the data set comprising a plurality of bytes, each of the bytes comprising a plurality of bits, the method comprising;
a) for each pair of bytes in the data set:a) for each pair of bytes in the data set:
i) generating a first byte comprising a portion of the bits from one of the pair of bytes and a portion of the bits from the other of the pair of bytes, each of the portions of the bits being a predetermined sequence of bits ensuring that the first byte may not be used to determine the content, of the data set;i) generating a first byte comprising a portion of the bits from one of the pair of bytes and a portion of the bits from the other of the pair of bytes, each of the portions of the bits being a predetermined sequence of bits ensuring that the first byte may not be used to determine the content, of the data set;
ii) generating a second byte comprising the remaining bits from the one of the pair of bytes, and the remaining bits from the other of the pair of bytes, each of the portions of the bits being, a predetermined sequence of bits ensuring that the second byte may not be used to determine the content of the data set;ii) generating a second byte comprising the remaining bits from the one of the pair of bytes, and the remaining bits from the other of the pair of bytes, each of the portions of the bits being, a predetermined sequence of bits ensuring that the second byte may not be used to determine the content of the data set;
iii) generating a parity byte from the first byte and the second byte;iii) generating a parity byte from the first byte and the second byte;
b) generating a first data set part from, all the first bytes:b) generating a first data set part from, all the first bytes:
e) generating a second data set part from all the seconde) generating a second data set part from all the second
bytes;bytes;
d) generating a parity part from ail the parity bytes;d) generating a parity part from ail the parity bytes;
e) staring the first data set part at a first data storage location;e) staring the first data set part at a first data storage location;
g) storing the second data set part at a second data storage location;g) storing the second data set part at a second data storage location;
h) storing the parity part at a third data storage location; wherein ail three locations are different from each other, and wherein, for each pair of bytes in the data set, the portion, of the bits from the one of the pair of bytes comprises half the bits -from the one of the pair of bytes, the portion of the bits from the other of the pair of bytes comprises half the bits from the other of the pair of bytes, the remaining bits from the one of the pair of bytes comprise the remaining half of the bits from, the one of the pair of bytes, and the remaining bits from the other of the pair of bytes comprise the remaining half of the bits from the other of the pair of bytes.h) storing the parity part at a third data storage location; wherein ail three locations are different from each other, and wherein, for each pair of bytes in the data set, the portion, of the bits from the one of the pair of bytes comprises half the bits -from the one of the pair of bytes , the portion of the bits from the other of the pair of bytes comprises half the bits from the other of the pair of bytes, the remaining bits from the one of the pair of bytes comprise the remaining half of the bits from, the one of the pair of bytes, and the remaining bits from the other of the pair of bytes comprise the remaining half of the bits from the other of the pair of bytes.
2. A method as claimed m claim 1, wherein, for each pair of bytes in the data set, the half of the bits from the one of the pair of bytes comprises all odd bits from the one of the pair of bytes, the half of the bits from the other of the pair of bytes comprises all odd bits from the other of the pair of bytes the remaining half of the bits from the one of the pair of bytes comprises all even bits from the one of the pair of bytes, and the remaining 'half of the bits from the other of the pair of bytes comprises all even, bits from the other of the pair of bytes.2. A method as claimed m claim 1, wherein, for each pair of bytes in the data set, the half of the bits from the one of the pair of bytes comprises all odd bits from the one of the pair of bytes, the half of the bits from the other of the pair of bytes comprises all odd bits from the other of the pair of bytes the remaining half of the bits from the one of the pair of bytes comprises all even bits from the one of the pair of bytes, and the remaining 'half of the bits from the other of the pair of bytes comprises all even, bits from the other of the pair of bytes.
US 10,216,US 10,216,
11eleven
3. A computer-implemented system for partitioning a data set and storing data set parts at different data storage locations, the data set comprising a plurality of bytes, each of the bytes comprising a plurality of bits, the system comprising: 5 3. A computer-implemented system for partitioning a data set and storing data set parts at different data storage locations, the data set comprising a plurality of bytes, each of the bytes comprising a plurality of bits, the system comprising: 5
a) at least one processor:a) at least one processor:
b) for each pair of bytes in the data set?b) for each pair of bytes in the data set?
i) generating a first byte comprising a portion of the bits from, one of the pair of bytes and a portion of the bits from the other of the pair of bytes each of the portions of the bits being a predetermined sequence of bits ensuring that the first byte may not be used to determine the content of the data set;i) generating a first byte comprising a portion of the bits from, one of the pair of bytes and a portion of the bits from the other of the pair of bytes each of the portions of the bits being a predetermined sequence of bits ensuring that the first byte may not be used to determine the content of the data set;
ii) generating a second byte comprising the remaining bits from the one of the pair of bytes, and the remaining bits from, the other of the pair of bytes, each of the portions of the bits being a predetermined sequence of bits ensuring that the second byte may not be used to determine the content of the data set,ii) generating a second byte comprising the remaining bits from the one of the pair of bytes, and the remaining bits from, the other of the pair of bytes, each of the portions of the bits being a predetermined sequence of bits ensuring that the second byte may not be used to determine the content of the data set,
iii) generating a parity byte from the first byte and the second byte,iii) generating a parity byte from the first byte and the second byte,
b) generating a first data set part from all the first bytes;b) generating a first data set part from all the first bytes;
c) generating a second data set part from all the second bytes;c) generating a second data set part from all the second bytes;
d) generating a parity part from all the parity bytes:d) generating a parity part from all the parity bytes:
e) storing the first data set part at a first data storage location;e) storing the first data set part at a first data storage location;
f) storing the second data set part, at a second data storage location;f) storing the second data set part, at a second data storage location;
g) storing the parity part at a third data storage location; wherein all three locations are different from each other; wherein, for each pair of bytes ill the data set, the portion of the bit s from the one of the pair of bytes comprises half the bits from the one of the pair of bytes, the portion of the bits from the other of the pair of bytes comprises half the bits from the other of the pair of bytes, the remaining bits from the one of the pair of bytes comprise the remaining half of the bits from the one of the pair ofbytes, and the remaining bits from the other of the pair of bytes comprise the remaining half of the bits from the other of the pair of bytes.g) storing the parity part at a third data storage location; wherein all three locations are different from each other; wherein, for each pair of bytes ill the data set, the portion of the bit s from the one of the pair of bytes comprises half the bits from the one of the pair of bytes, the portion of the bits from the other of the pair of bytes comprise half the bits from the other of the pair of bytes, the remaining bits from the one of the pair of bytes comprise the remaining half of the bits from the one of the pair ofbytes, and the remaining bits from the other of the pair of bytes comprise the remaining half of the bits from the other of the pair of bytes.
4. A system as claimed, in claim 3, wherein, for each pair of bytes in the data set, the half of the bits from, the one of the pair of bytes comprises all odd bits from the one of the pair of bytes, the half of the bits from the other of the pair of bytes comprises all odd bits from the other of the pair of bytes, the remaining half of the bits from the one of the pair of bytes, comprises all even bits from the one of the pair of bytes, and the remaining half of the bits from the other of the pair of bytes comprises all even bits from the other of the pair of bytes.4. A system as claimed, in claim 3, wherein, for each pair of bytes in the data set, the half of the bits from, the one of the pair of bytes comprises all odd bits from the one of the pair of bytes, the half of the bits from the other of the pair of bytes comprises all odd bits from the other of the pair of bytes, the remaining half of the bits from the one of the pair of bytes, comprises all even bits from the one of the pair of bytes, and the remaining half of the bits from the other of the pair of bytes comprises all even bits from the other of the pair of bytes.
Заявленное изобретение:Claimed invention:
1. Реализованный компьютером способ разделения набора данных и сохранения частей набора данных в разных местах хранения данных, причем набор данных содержит множество байтов, каждый из байтов содержит множество битов, причем способ включает:1. A computer-implemented method of dividing a data set and storing portions of the data set in different data storage locations, the data set comprising a plurality of bytes, each of the bytes comprising a plurality of bits, the method comprising:
a) для каждой пары байтов в наборе данных:a) for each pair of bytes in the data set:
i) формирование первого байта, содержащего часть битов из одной пары байтов и часть битов из другой пары байтов, причем каждая из частей битов представляет собой заранее определенную последовательность битов, гарантирующую, что первый байт не может использоваться для определения содержимого набора данных;i) generating a first byte comprising a portion of bits from one pair of bytes and a portion of bits from another pair of bytes, each of the portions of bits being a predetermined sequence of bits ensuring that the first byte cannot be used to determine the contents of the data set;
ii) генерация второго байта, содержащего оставшиеся биты из одной пары байтов и оставшиеся биты из другой пары байтов, причем каждая из частей битов представляет собой заранее определенную последовательность битов, гарантирующую, что второй байт нельзя использовать для определения содержания набора данных;ii) generating a second byte containing the remaining bits from one pair of bytes and the remaining bits from the other pair of bytes, each of the bits being a predetermined sequence of bits ensuring that the second byte cannot be used to determine the contents of the data set;
iii) формирование байта четности из первого байта и второго байта;iii) forming a parity byte from the first byte and the second byte;
b) формирование первой части набора данных из всех первых байтов;b) forming the first part of the data set from all the first bytes;
c) формирование второй части набора данных из всех вторых байтов;c) forming the second part of the data set from all second bytes;
d) формирование части четности из всех байтов четности;d) forming a parity part from all parity bytes;
e) сохранение первой части набора данных в первом месте хранения данных;e) storing the first part of the data set in a first data storage location;
g) сохранение второй части набора данных во втором месте хранения данных;g) storing a second portion of the data set in a second data storage location;
h) сохранение части контроля четности в третьем месте хранения данных; где все три местоположения отличаются друг от друга, и где для каждой пары байтов в наборе данных часть битов из одной пары байтов включает половину битов из одной пары байтов, часть битов из другой пары байтов содержит половину битов из другой пары байтов, остальные биты из одной пары байтов составляют оставшуюся половину битов из одной пары байтов, байтов, а оставшиеся биты из другой пары байтов составляют оставшуюся половину битов из другой пары байтов.h) storing the parity portion in a third data storage location; where all three locations are different from each other, and where for each pair of bytes in the data set, some bits from one pair of bytes include half the bits from one pair of bytes, some bits from another pair of bytes contain half the bits from another pair of bytes, the remaining bits from one pairs of bytes make up the remaining half of the bits from one pair of bytes, bytes, and the remaining bits from another pair of bytes make up the remaining half of the bits from another pair of bytes.
2. Способ по п. 1, отличающийся тем, что для каждой пары байтов в наборе данных половина битов из одной пары байтов содержит все нечетные биты из одной пары байтов, половина биты из другой пары байтов включают все нечетные биты из другой пары байтов, оставшаяся половина битов из одной пары байтов включает все четные биты из одной пары байтов, и оставшаяся половина битов из другой пары байтов включает все четные биты из другой пары байтов.2. The method according to claim 1, characterized in that for each pair of bytes in the data set, half the bits from one pair of bytes contain all the odd bits from one pair of bytes, half the bits from the other pair of bytes include all odd bits from the other pair of bytes, the remaining half the bits from one pair of bytes include all the even bits from one pair of bytes, and the remaining half of the bits from the other pair of bytes include all the even bits from the other pair of bytes.
3. Реализованная компьютером система для разделения набора данных и хранения частей набора данных в разных местах хранения данных, причем набор данных содержит множество байтов, каждый из байтов содержит множество битов, причем система включает:3. A computer-implemented system for dividing a data set and storing portions of the data set in different data storage locations, the data set comprising a plurality of bytes, each of the bytes containing a plurality of bits, the system including:
a) не менее одного процессора;a) at least one processor;
b) для каждой пары байтов в наборе данных:b) for each pair of bytes in the data set:
i) формирование первого байта, содержащего часть битов из одной пары байтов и часть битов из другой пары байтов, причем каждая из частей битов представляет собой заранее определенную последовательность битов, гарантирующую, что первый байт не может использоваться для определения содержимого набора данных;i) generating a first byte comprising a portion of bits from one pair of bytes and a portion of bits from another pair of bytes, each of the portions of bits being a predetermined sequence of bits ensuring that the first byte cannot be used to determine the contents of the data set;
ii) формирование второго байта, содержащего оставшиеся биты из одного из пары байтов и оставшиеся биты из другого из пары байтов, причем каждая из частей битов представляет собой заранее определенную последовательность битов, гарантирующую, что второй байт нельзя использовать для определения содержания набора данных;ii) generating a second byte containing the remaining bits from one of the pair of bytes and the remaining bits from the other of the pair of bytes, each of the bits being a predetermined sequence of bits ensuring that the second byte cannot be used to determine the contents of the data set;
iii) формирование байта четности из первого байта и второго байта;iii) forming a parity byte from the first byte and the second byte;
b) формирование первой части набора данных из всех первых байтов;b) forming the first part of the data set from all the first bytes;
c) формирование второй части набора данных из всех вторых байтов;c) forming the second part of the data set from all second bytes;
d) формирование части четности из всех байтов четности;d) forming a parity part from all parity bytes;
e) сохранение первой части набора данных в первом месте хранения данных;e) storing the first part of the data set in a first data storage location;
f) сохранение второй части набора данных во втором месте хранения данных;f) storing a second portion of the data set in a second data storage location;
g) сохранение части контроля четности в третьем месте хранения данных; при этом все три местоположения отличаются друг от друга, при этом для каждой пары байтов в наборе данных часть битов из одной пары байтов включает половину битов из одной пары байтов, часть биты из другой пары байтов составляют половину битов из другой пары байтов, оставшиеся биты из одной пары байтов составляют оставшуюся половину битов из одной пары байтов, и оставшиеся биты из другой пары байтов составляют оставшуюся половину битов из другой пары байтов.g) storing the parity portion in a third data storage location; wherein all three locations are different from each other, wherein for each pair of bytes in the data set, some bits from one pair of bytes include half the bits from one pair of bytes, some bits from another pair of bytes include half the bits from another pair of bytes, the remaining bits from one pair of bytes makes up the remaining half of the bits from one pair of bytes, and the remaining bits from another pair of bytes make up the remaining half of the bits from the other pair of bytes.
4. Система по п. 3, в которой для каждой пары байтов в наборе данных половина битов из одной пары байтов включает все нечетные биты из одной пары байтов, половина биты из другой пары байтов включают все нечетные биты из другой пары байтов, оставшаяся половина битов из одной пары байтов включает все четные биты из одной пары байтов, и оставшаяся половина битов из другой пары байтов включает все четные биты из другой пары байтов.4. The system of claim 3, wherein for each pair of bytes in the data set, half the bits from one pair of bytes include all odd bits from one pair of bytes, half the bits from another pair of bytes include all odd bits from the other pair of bytes, the remaining half of the bits from one pair of bytes includes all the even bits from one pair of bytes, and the remaining half of the bits from the other pair of bytes includes all the even bits from the other pair of bytes.
Сущность изобретения состоит в том, что способ в соответствии с принципами настоящего изобретения радикально меняет общепринятую практику и парадигму, которая состоит в хранении информации в одном физическом и географическом местоположении или с одним конкретным поставщиком услуг. В своей основной форме способ в соответствии с принципами настоящего изобретения разбивает исходные данные (например, компьютерный файл) путем получения битов четности посредством сложения по модулю 2 (mod2), оно же исключающее «или» (XOR), обычно для каждого байта, на определенное количество обязательно равных частей, в привязке к файлам четности (т.е. если исходные данные разбиваются на 2 части, то файл четности 1, если на 3 части, то 2) и отправляет каждую из этих частей в другое местоположение (центр обработки данных, местоположение в сети, рабочая станция, локальный сервер, USB-накопитель и т.д.), в зависимости от требований пользователя или организации. Информация никогда не хранится в одном и том же месте, и, поскольку каждая часть организована таким образом, что делает ее бессмысленной, поставщик услуг или кто-либо другой, ориентирующийся на место хранения, никогда не сможет получить доступ к исходной информации. Файл четности позволяет при утрате одной из части исходных данных восстановить исходную информацию. А если частей было несколько и соответственно файлов четности 2 и более, то используя только файлы четности восстановить исходную информацию, даже если утрачены все ее первоначальные части.The essence of the invention is that the method in accordance with the principles of the present invention radically changes the common practice and paradigm of storing information in one physical and geographic location or with one specific service provider. In its basic form, the method in accordance with the principles of the present invention splits the original data (for example, a computer file) by obtaining parity bits through mod2 addition (or XOR), usually for each byte, into a certain the number of necessarily equal parts, in relation to the parity files (i.e. if the source data is divided into 2 parts, then the parity file is 1, if into 3 parts, then 2) and sends each of these parts to a different location (data processing center, network location, workstation, local server, USB drive, etc.), depending on the requirements of the user or organization. Information is never stored in the same place, and since each piece is organized in a way that makes it meaningless, the service provider or anyone else targeting the storage location will never be able to access the original information. The parity file allows you to restore the original information if one of the original data is lost. And if there were several parts and, accordingly, parity files of 2 or more, then using only parity files to restore the original information, even if all its original parts are lost.
Когда требуются исходные данные, способ выполняется в обратном порядке. Он будет извлекать каждую часть данных из различных мест и собирать их на уровне битов, обычно для каждого байта, для получения исходных данных. Единственное место, где информация полностью доступна и читаема, - это место, где она требуется (вычислительное устройство пользователя или точка повторной сборки сети организации).When original data is required, the method is performed in reverse order. It will retrieve each piece of data from different places and assemble it at the bit level, typically on a per-byte basis, to produce the raw data. The only place where information is fully accessible and readable is the place where it is required (the user's computing device or the organization's network reassembly point).
Поскольку одна или несколько из сгенерированных частей составлены из данных четности из других частей, доступность исходных данных, как правило, всегда гарантируется в случае, если одно или несколько местоположений становятся недоступными. Поскольку ни одно местоположение не имеет доступа к информации, и поскольку ни одно местоположение не является «существенным» для доступности и целостности информации, больше нет необходимости осуществлять все меры безопасности, которые обычно требуются для обеспечения высокого уровня защиты информации.Since one or more of the generated parts are composed of parity data from other parts, the availability of the original data is generally always guaranteed in the event that one or more locations become unavailable. Since no location has access to the information, and since no location is “essential” to the availability and integrity of the information, it is no longer necessary to implement all the security measures that are typically required to ensure a high level of information security.
Недостатки:Flaws:
• Неотъемлемой частью патента (US 10,216,822 В2) является получение битов четности путем сложения по модулю 2 (mod2), оно же исключающее «или» (XOR) (Фиг. 1-7; описание к фиг-м с. 3 (с 61 строки)-10; с. 10-12 (формула изобретения)). Это требует равенства длин битовых последовательностей, размещенных в разных хранилищах. Если злоумышленник получит доступ ко всем последовательностям, он путем несложного комбинирования легко восстановит исходное сообщение. При этом при 2-х последовательностях комбинаций только две. К примеру, по расщеплению на четный / нечетный порядок битовой последовательности (с.10 (строка 18)-12) формируются 2 потока, при наличии их обоих у злоумышленника количество комбинаций взлома только 2 (при данном варианте). Другие варианты, предложенные в патенте, не сильно усложняют дело.• An integral part of the patent (US 10,216,822 B2) is obtaining parity bits by adding modulo 2 (mod2), also known as exclusive “or” (XOR) (Fig. 1-7; description of Fig. p. 3 (from line 61 )-10; pp. 10-12 (claims)). This requires equal lengths of bit sequences located in different stores. If an attacker gains access to all the sequences, he can easily restore the original message by simple combination. Moreover, with 2 sequences, there are only two combinations. For example, by splitting the bit sequence into even/odd order (p. 10 (line 18)-12), 2 flows are formed; if both of them are present, the attacker has only 2 hacking combinations (with this option). The other options proposed in the patent do not complicate matters much.
• Так называемые «оnе or more parity files» «один или более файлы четности» повышают степень защиты информации, при утрате ее части или полной ее потере, но также создают дополнительные прецеденты риска, т.к. в частности во всех описаниях к фигурам 5-7 (патент US 10,216,822 В2, стр. 6, строки 41-55; стр. 7, строки 51-67; стр. 8-9, строки 63-67, 1-47) говорится, что в случае утраты части сообщения или их повреждения, первоначальное сообщение восстанавливается легко за счет файлов четности, которые также рассылаются в место или места хранения, и одного из фрагментов исходного файла. Но также отмечается, что при утрате всех фрагментов исходного файла, за счет файлов четности исходный файл может быть восстановлен. Данная особенность файлов четности позволяет злоумышленнику заполучив файл четности и 1 фрагмент исходного файла восстановить весь исходный файл, либо же заполучив все файлы четности, можно полностью восстановить исходный файл без знания хотя бы одного его фрагмента. К важным уязвимостям данного способа относится и то, что «файлы четности» требуют равенства длин битовых последовательностей, это приводит к тому, что, когда злоумышленник получил 1 фрагмент и «файл четности» или только файлы четности или все фрагменты (фигуры 5-7 патента US 10,216,822 В2, стр. 6, строки 41-55; стр. 7, строки 51-67; стр. 8-9, строки 63-67, 1-47), то он сможет получить исходные преобразованные бессмысленные файлы, как можно видеть на фиг. 1 в жирной рамке (примеч. - зачеркнут один из фрагментов, но за счет файла четности все фрагменты получаются, хотя пока и бессмысленные для злоумышленника), и так как они всегда равны, то скомбинировать исходный файл будет значительно легче, чем если бы они были разной длины, в том числе потому что способов равного разделения гораздо меньше, чем разделение исходного сообщения на файлы произвольной длины (это фиг. 5 из патента US 10,216,822 В2).• The so-called “one or more parity files” increase the degree of information protection in case of loss of part or complete loss, but also create additional risk precedents, because in particular, in all descriptions of figures 5-7 (US patent 10,216,822 B2, p. 6, lines 41-55; p. 7, lines 51-67; p. 8-9, lines 63-67, 1-47) it is said that if part of a message is lost or damaged, the original message is easily restored using parity files, which are also sent to the storage location or locations, and one of the fragments of the original file. But it is also noted that if all fragments of the original file are lost, the original file can be restored using parity files. This feature of parity files allows an attacker, having obtained a parity file and 1 fragment of the source file, to restore the entire source file, or, having obtained all the parity files, it is possible to completely restore the source file without knowing at least one of its fragments. Important vulnerabilities of this method include the fact that “parity files” require equal lengths of bit sequences, this leads to the fact that when an attacker receives 1 fragment and a “parity file” or only parity files or all fragments (figures 5-7 of the patent US 10,216,822 B2, page 6, lines 41-55; page 7, lines 51-67; page 8-9, lines 63-67, 1-47), then he will be able to get the original converted nonsense files, as can be seen in fig. 1 in a bold frame (note - one of the fragments is crossed out, but due to the parity file, all fragments are obtained, although still meaningless for an attacker), and since they are always equal, it will be much easier to combine the source file than if they were of different lengths, including because there are much fewer ways of equal division than dividing the original message into files of arbitrary length (this is Fig. 5 from US patent 10,216,822 B2).
• Способ по патенту US 10,216,822 В2 реализуется на "Virtual Online Data Distribution System and Method" «Виртуальная онлайновая система и способ распространения данных», сокращенно система VODD многократно фигурирует в описании фигур при использовании способа безопасного и распределенного хранения данных и связи. Это повышает риски, т.к. злоумышленник может не взламывать конкретное сообщение, а взломать систему VODD, где будет предоставлена вся база клиентов, их сообщения, места хранения и файлы четности (патент US 10,216,822 В2, стр. 4, строки 31-33). Здесь патентообладатели противоречат сами себе, т.к. в патенте US 10,216,822 В2 указывается, что в частности (патент US 10,216,822 В2, стр. 1, строка 51 - стр. 2, строка 5) привлекательность компании часто зависит от нормативно-правовой базы той страны, где юридически она находится. Поэтому, т.к. клиент может применять способ только через систему VODD, то это сохраняет все указанные риски в (патент US 10,216,822 В2, стр. 1, строка 60 - стр. 2, строка 5), а в (патент US 10,216,822 В2, стр. 1, строка 51 - 59) говорится о постоянном увеличении субподряда между поставщиками услуг, что повышает риски и снижает эффективность. Но при этом в самом патенте US 10,216,822 В2 предлагается увеличить эту цепочку еще за счет и системы VODD, а потребителю предлагается поверить на слово данной корпорации (VOD2 INC.) при предоставлении ее услуг и предоставлять ей свои личные данные на свой страх и риск.• The method according to US patent 10,216,822 B2 is implemented on the “Virtual Online Data Distribution System and Method”, abbreviated as the VODD system, which appears repeatedly in the description of figures when using a method for secure and distributed data storage and communication. This increases risks, because The attacker may not hack a specific message, but hack the VODD system, where the entire customer base, their messages, storage locations and parity files will be provided (US Patent 10,216,822 B2, p. 4, lines 31-33). Here patent holders contradict themselves, because US patent 10,216,822 B2 states that in particular (US patent 10,216,822 B2, page 1, line 51 - page 2, line 5) the attractiveness of a company often depends on the regulatory framework of the country where it is legally located. Therefore, because the client can apply the method only through the VODD system, then this retains all the specified risks in (US patent 10,216,822 B2, page 1, line 60 - page 2, line 5), and in (US patent 10,216,822 B2, page 1, line 51 - 59) talk about the constant increase in subcontracting between service providers, which increases risks and reduces efficiency. But at the same time, the US patent 10,216,822 B2 itself proposes to increase this chain through the VODD system, and the consumer is invited to take the word of this corporation (VOD2 INC.) when providing its services and provide it with their personal data at their own peril and risk.
Задачей является обеспечить высокий уровень защиты информации (например, конфиденциальности, целостности и доступности) при передаче, хранении и ее обработки в облачных сервисах и внешних хранилищах данных.The goal is to ensure a high level of information protection (for example, confidentiality, integrity and availability) during transmission, storage and processing in cloud services and external data storage.
Задача решается следующим образом:The problem is solved as follows:
п. 1. Способ защиты информации, размещаемой во внешних хранилищах данных заключается в том, что берут первичное информационное сообщение (файл), как последовательность минимальных единиц информации (битов, тритов и т.д. в зависимости от архитектуры ЭВМ), которые разносят по нескольким потокам обычно разной длины способом, известным только владельцу информации, так что каждый поток содержит лишь часть единиц первичного информационного сообщения, после чего потоки направляются в разные места хранения, в том числе географически удаленные, при необходимости эти потоки извлекаются из мест хранения и объединяются в исходное сообщения способом обратным разделению.clause 1. The method of protecting information placed in external data storage is to take the primary information message (file) as a sequence of minimal units of information (bits, trits, etc. depending on the computer architecture), which are distributed across several streams, usually of different lengths, in a manner known only to the owner of the information, so that each stream contains only part of the units of the primary information message, after which the streams are sent to different storage locations, including geographically distant ones; if necessary, these streams are extracted from storage locations and combined into the original message in the reverse way of splitting.
п. 2. Способ по п. 1, отличающийся тем, что дополнительно используют методы криптографической защиты информации на любом этапе процедуры.clause 2. The method according to clause 1, characterized in that they additionally use methods of cryptographic information protection at any stage of the procedure.
Предлагаемый способ поясняется чертежами на фигурах 2, 3, 4.The proposed method is illustrated by drawings in figures 2, 3, 4.
На Фигуре 2 представлен способ защиты информации, размещаемой во внешних хранилищах данных.Figure 2 shows a method for protecting information located in external data storage.
Обозначения на Фигуре 2:Legend in Figure 2:
1 - исходная последовательность минимальных единиц информации, далее для простоты именуемых «битами»;1 - the initial sequence of minimal units of information, hereafter referred to as “bits” for simplicity;
2 - инструкции, задающие количество и порядок формирования новых последовательностей битов известным только владельцу информации образом;2 - instructions specifying the number and order of formation of new bit sequences in a manner known only to the owner of the information;
3, 4, …, n - новые последовательности битов;3, 4, …, n - new bit sequences;
5, 6, …, m - облачные сервисы или внешние хранилища данных5, 6, …, m - cloud services or external data storage
Способ защиты информации, размещаемой во внешних хранилищах данных (Фигура 2), заключающийся в том, что биты первичного информационного сообщения (блок 1) формируются и преобразуются в несколько (две или более) (блоки 3, 4, n) новых последовательностей битов, согласно порядку, заданному инструкциями (блок 2), так, что в каждой новой последовательности битов (блоки 3, 4, n) без использования шифрования образуются байты (трайты и т.д. в зависимости от архитектуры ЭВМ, далее для простоты используется термин «байт»), отличные от байтов первичного информационного сообщения (блок 1). В результате при передаче полученных последовательностей (блоки 3, 4, …, n) по каналам связи или их размещения на внешних хранилищах данных (блоки 5, 6, …, n), восстановление первичного информационного сообщения или любой его части становится невозможным без знания всех последовательностей битов (блоки 3, 4, …, n) и знания инструкций (блок 2), описывающих порядок разделения битов исходной цифровой информации (блок 1).A method for protecting information located in external data storages (Figure 2), which consists in the fact that the bits of the primary information message (block 1) are formed and converted into several (two or more) (blocks 3, 4, n) new bit sequences, according to order specified by the instructions (block 2), so that in each new sequence of bits (blocks 3, 4, n) without using encryption, bytes are formed (traits, etc., depending on the computer architecture; hereafter, for simplicity, the term “byte” is used "), different from the bytes of the primary information message (block 1). As a result, when transmitting received sequences (blocks 3, 4, ..., n) via communication channels or placing them on external data storages (blocks 5, 6, ..., n), restoration of the primary information message or any part of it becomes impossible without knowledge of all sequences of bits (blocks 3, 4, ..., n) and knowledge of instructions (block 2) describing the order of division of the bits of the original digital information (block 1).
Обозначения на Фигуре 3:Legend in Figure 3:
Пример использования способ защиты информации, размещаемой во внешних хранилищах данных (Фигура 3), который заключается в том, что создается псевдослучайная последовательность из чисел (номеров потоков) 1, 2, 3 длиной L (блок 11) и эта последовательность накладывается на исходную последовательность двоичных битов из блока 12. Тогда биты исходной последовательности (блок 12) распределяются по трем потокам (блоки 13, 14, 15) согласно псевдослучайной последовательности (номеров потоков) (блок 11).An example of using a method for protecting information located in external data storages (Figure 3), which consists in creating a pseudo-random sequence of numbers (thread numbers) 1, 2, 3 of length L (block 11) and this sequence is superimposed on the original sequence of binary bits from block 12. Then the bits of the original sequence (block 12) are distributed over three streams (blocks 13, 14, 15) according to a pseudo-random sequence (stream numbers) (block 11).
Обозначения на Фигуре 4:Legend in Figure 4:
Пример к П. 1 использования способа защиты информации, размещаемой во внешних хранилищах данных для троичной логики (Фигура 4), который заключается в том, что создается псевдослучайная последовательность из чисел (номеров потоков) 1, 2, 3 длиной L (блок 21) и эта последовательность накладывается на исходную последовательность троичных единиц информации (тритов) из блока 22. Тогда триты исходной последовательности (блок 22) распределяются по трем потокам (блоки 23, 24, 25) согласно псевдослучайной последовательности (номеров потоков) (блок 21).An example for P. 1 of using a method for protecting information placed in external data storage for ternary logic (Figure 4), which consists in creating a pseudo-random sequence of numbers (thread numbers) 1, 2, 3 of length L (block 21) and this sequence is superimposed on the original sequence of ternary units of information (trits) from block 22. Then the trits of the original sequence (block 22) are distributed over three threads (blocks 23, 24, 25) according to a pseudo-random sequence (thread numbers) (block 21).
Порядок действий согласно формулы:The procedure according to the formula:
Предлагаемый способ защиты информации, размещаемой во внешних хранилищах данных реализуется следующей последовательностью действий (под битами по-прежнему понимается любая минимальная единица информации в зависимости от архитектуры ЭВМ: бит, трит и т.д.):The proposed method of protecting information located in external data storage is implemented by the following sequence of actions (bits still mean any minimal unit of information depending on the computer architecture: bit, trit, etc.):
1. Берется первичное информационное сообщение (файл)1. The primary information message (file) is taken
2. Формируется закон разнесения единиц информации по потокам, причем последовательность единиц в потоках может отличаться от их последовательности в исходном сообщении.2. A law is formed for distributing units of information across flows, and the sequence of units in flows may differ from their sequence in the original message.
3. При помощи программы, которая на основе битов первичного информационного сообщения формирует несколько (два или более) потока битов обычно разной длины так, что биты в каждом из сформированных потоков совпадают лишь с частью битов первичного информационного сообщения, и объединение этих битов потоков определенным образом в исходную последовательность, позволит восстановить первичного информационного сообщения (например, создается псевдослучайная последовательность из чисел (номеров потоков) 1, 2, 3 длиной L (блок 11) и эта последовательность накладывается на исходную последовательность битов из блока 12. Тогда биты исходной последовательности (блок 12) распределяются по трем потокам (блоки 13, 14, 15) согласно псевдослучайной последовательности (номеров потоков) (блок 11) (Фигура 3)).3. Using a program that, based on the bits of the primary information message, generates several (two or more) streams of bits, usually of different lengths, so that the bits in each of the generated streams coincide only with part of the bits of the primary information message, and combining these bits of the streams in a certain way into the original sequence, will allow you to restore the primary information message (for example, a pseudo-random sequence of numbers (thread numbers) 1, 2, 3 of length L (block 11) is created and this sequence is superimposed on the original sequence of bits from block 12. Then the bits of the original sequence (block 12) are distributed over three streams (blocks 13, 14, 15) according to a pseudo-random sequence (stream numbers) (block 11) (Figure 3)).
4. Байты, получающиеся из битов в каждом потоке, отправляются в облачные сервисы или внешние хранилища данных или в обоих вариантах (определяется пользователем).4. The bytes resulting from the bits in each stream are sent to cloud services or external data stores or both (user defined).
5. При необходимости воспользоваться первичным сообщением, байты вторичной информации изымаются из мест хранения и при помощи программы, которая разделяет эти потоки битов на биты и объединяет их по принципу обратному их формированию, восстанавливается битовая последовательность первичного сообщения.5. If it is necessary to use the primary message, the bytes of secondary information are removed from their storage locations and, using a program that divides these bit streams into bits and combines them according to the principle of their reverse formation, the bit sequence of the primary message is restored.
Т.к. патент US 10,216,822 В2 является главным прототипом и здесь рассматривается вопрос приоритетности «новизны» между предлагаемой заявкой на изобретение и патентом US 10,216,822 В2.Because patent US 10,216,822 B2 is the main prototype and the issue of priority of “novelty” between the proposed application for an invention and patent US 10,216,822 B2 is considered here.
Считается нужным рассмотреть существенные отличия предлагаемого изобретения:It is considered necessary to consider the significant differences of the proposed invention:
• Данный способ позволяет формировать и преобразовывать первичную цифровую информацию на две или более битовых последовательности обычно разной длины.• This method allows you to generate and convert primary digital information into two or more bit sequences, usually of different lengths.
• Предлагаемый способ позволяет формировать и преобразовывать первичную цифровую информацию произвольным или псевдослучайным образом.• The proposed method allows you to generate and transform primary digital information in an arbitrary or pseudo-random manner.
• Также способ реализуется самим пользователем напрямую с любого компьютера или подходящей для этого ЭВМ, преобразовывая и рассылая исходное сообщение в места хранения, без использования услуг третьих лиц.• Also, the method is implemented by the user himself directly from any computer or suitable computer, converting and sending the original message to storage locations, without using the services of third parties.
• Сам принцип формирования и преобразования первичной цифровой информации генерируется пользователем со своего компьютера или любого другого устройства.• The very principle of the formation and transformation of primary digital information is generated by the user from his computer or any other device.
• Зная все последовательности битов исходного сообщения без знания инструкций, по которым происходило разделение сообщения, восстановить исходную информацию практически невозможно.• Knowing all the bit sequences of the original message without knowing the instructions by which the message was divided, it is almost impossible to restore the original information.
• Предложенный способ не требует обязательного создания файла четности, и как следствие, разбиение исходного файла на равные по числу битов части.• The proposed method does not require the mandatory creation of a parity file, and as a result, the splitting of the source file into parts equal in the number of bits.
• В отличии от патента US 10,216,822 В2 в формуле предлагаемого способа получилось в строгих лексических формах выразить данную идею, новую парадигму в сфере информационной безопасности, чем существенно расширились притязания патентообладателей.• Unlike patent US 10,216,822 B2, in the formula of the proposed method it was possible to express this idea, a new paradigm in the field of information security, in strict lexical forms, which significantly expanded the claims of the patent holders.
• Также в патенте (US 10,216,822 В2) в реферате указано, что заявленный способ позволяет хранить данные в любом количестве хранилищ данных (например, в описании к фигурам 6 и 7 на стр. 7 строки 51-67 и на стр. 8 строки 63-67 указано 4 возможных мест хранения и предполагается большее их количество), но в формуле описано применение заявленный способа только для размещения исходной информации с полученным файлом четности (только одним) только в 3 местах хранения (соответственно 1 место хранения для файла четности и лишь 2 места хранения для 2-х измененных файлов исходной информации) (и несмотря на то, что в 3п. формулы на стр. 11-12 строки 1-3 говорится, что количество мест хранения может быть различное, но дальше в этом же предложении при перечислении того, что содержит в себе предлагаемая система, в пункте (b), где описывается технология предлагаемого способа указывается совершенно четко, что используется лишь 3 места хранения (строки стр. 11 строки 4-26 и стр. 12 строки 1-15)). Т.к. юридическую силу имеет лишь формула в патенте, можно считать это важным ограничением для реализации данного способа, потому что мест хранения может быть существенно больше без каких-либо потерь при использовании. Т.е. в патенте (US 10,216,822 В2) в формуле прописано ограничение на использование мест хранения (не более 2-х, если учитывать, что 3-е место хранения всегда отводится для файла четности).• Also in the patent (US 10,216,822 B2) in the abstract it is stated that the claimed method allows you to store data in any number of data storages (for example, in the description of figures 6 and 7 on page 7 lines 51-67 and on page 8 lines 63- 67 indicates 4 possible storage locations and a larger number is assumed), but the formula describes the use of the claimed method only for placing the original information with the received parity file (only one) in only 3 storage locations (respectively, 1 storage location for the parity file and only 2 locations storage for 2 modified files of source information) (and despite the fact that in paragraph 3 of the formula on pp. 11-12 lines 1-3 it is said that the number of storage locations may be different, but further in the same sentence when listing that , what the proposed system contains, in paragraph (b), which describes the technology of the proposed method, it is clearly indicated that only 3 storage locations are used (lines p. 11 lines 4-26 and p. 12 lines 1-15)). Because Only the formula in the patent has legal force; this can be considered an important limitation for the implementation of this method, because there can be significantly more storage locations without any losses during use. Those. in the patent (US 10,216,822 B2), the formula specifies a limitation on the use of storage locations (no more than 2, considering that the 3rd storage location is always allocated for the parity file).
• Принципиальным отличием предлагаемого способа согласно нашей формуле является разделение обратимым произвольным или псевдослучайным образом, при этом биты первичной цифровой информации помещают в две и более битовых последовательности обычно разной длины. Неотъемлемой частью патента (US 10,216,822 В2) является получение битов четности путем сложения по модулю 2 (mod2), оно же исключающее «или» (XOR) (Фиг. 1-7; описание к фиг-м с. 3 (с 61 строки)-10; с. 10-12 (формула изобретения)). Это требует равенства длин битовых последовательностей, размещенных в разных хранилищах. Если злоумышленник получит доступ ко всем последовательностям, он путем несложного комбинирования легко восстановит исходное сообщение (одна из причин этого утверждения указывалась в 1-м пункте недостатков данного патента). При этом при 2-х последовательностях комбинаций только две. К примеру, по расщеплению на четный / нечетный порядок битовой последовательности (с.10 (строка 18)-12) формируются 2 потока, при наличии их обоих у злоумышленника количество комбинаций взлома только 2. Другие варианты, предложенные в патенте, не сильно усложняют дело.• The fundamental difference of the proposed method, according to our formula, is the division in a reversible random or pseudo-random manner, while the bits of primary digital information are placed in two or more bit sequences, usually of different lengths. An integral part of the patent (US 10,216,822 B2) is obtaining parity bits by adding modulo 2 (mod2), also known as exclusive “or” (XOR) (Fig. 1-7; description of Fig. p. 3 (from line 61) -10; pp. 10-12 (claims)). This requires equal lengths of bit sequences located in different stores. If an attacker gains access to all the sequences, he can easily restore the original message by simple combination (one of the reasons for this statement was indicated in the 1st paragraph of the shortcomings of this patent). Moreover, with 2 sequences, there are only two combinations. For example, by splitting the bit sequence into even/odd order (p. 10 (line 18)-12), 2 streams are formed; if both of them are present, the attacker has only 2 hacking combinations. Other options proposed in the patent do not complicate the matter much .
• Стоит обратить внимание также на то, что в патенте (US 10,216,822 В2) предложен частный способ общего принципа (с. 10-12, с 18 строки), формулировка данной заявки на изобретение более общая. Указанная формулировка позволяет реализовать любой способ, включая и способ в патенте (US 10,216,822 В2) как частный случай. Эти отличия являются принципиальными.• It is also worth paying attention to the fact that the patent (US 10,216,822 B2) proposes a particular method of the general principle (p. 10-12, from line 18), the wording of this application for an invention is more general. This formulation allows you to implement any method, including the method in the patent (US 10,216,822 B2) as a special case. These differences are fundamental.
Claims (6)
Publications (1)
| Publication Number | Publication Date |
|---|---|
| RU2804310C1 true RU2804310C1 (en) | 2023-09-27 |
Family
ID=
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5485474A (en) * | 1988-02-25 | 1996-01-16 | The President And Fellows Of Harvard College | Scheme for information dispersal and reconstruction |
| RU2084953C1 (en) * | 1990-11-13 | 1997-07-20 | Интернэшнл Бизнес Машинз Корпорейшн | Parallel processor system |
| US20070079083A1 (en) * | 2005-09-30 | 2007-04-05 | Gladwin S Christopher | Metadata management system for an information dispersed storage system |
| US20090161870A1 (en) * | 2006-08-17 | 2009-06-25 | University Of Miami | Method for keyless protection of data using a local array of disks |
| US20110145638A1 (en) * | 2008-09-02 | 2011-06-16 | Extas Global Ltd. | Distributed storage and communication |
| US20150293986A1 (en) * | 2012-11-02 | 2015-10-15 | Vod2 Inc. | Data distribution methods and systems |
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5485474A (en) * | 1988-02-25 | 1996-01-16 | The President And Fellows Of Harvard College | Scheme for information dispersal and reconstruction |
| RU2084953C1 (en) * | 1990-11-13 | 1997-07-20 | Интернэшнл Бизнес Машинз Корпорейшн | Parallel processor system |
| US20070079083A1 (en) * | 2005-09-30 | 2007-04-05 | Gladwin S Christopher | Metadata management system for an information dispersed storage system |
| US20090161870A1 (en) * | 2006-08-17 | 2009-06-25 | University Of Miami | Method for keyless protection of data using a local array of disks |
| US20110145638A1 (en) * | 2008-09-02 | 2011-06-16 | Extas Global Ltd. | Distributed storage and communication |
| US20150293986A1 (en) * | 2012-11-02 | 2015-10-15 | Vod2 Inc. | Data distribution methods and systems |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110915164B (en) | Processing blockchain data based on smart contract operations performed in trusted execution environments | |
| US10860710B2 (en) | Processing and storing blockchain data under a trusted execution environment | |
| US11108555B2 (en) | Performing map iterations in a blockchain-based system | |
| WO2016010604A2 (en) | Systems and methods for security hardening of data in transit and at rest via segmentation, shuffling and multi-key encryption | |
| JPH0816104A (en) | Method and device for verifying information security with dispersed collator | |
| CA2890041C (en) | Data distribution methods and systems | |
| US11251969B2 (en) | Performing map iterations in a blockchain-based system | |
| US20150121073A1 (en) | Software fingerprinting | |
| CN108829899B (en) | Data table storage, modification, query and statistical method | |
| KR101428649B1 (en) | Encryption system for mass private information based on map reduce and operating method for the same | |
| RU2804310C1 (en) | Method of protection of information placed in external data storages | |
| CN114547653B (en) | Encryption method, decryption method, device, equipment and medium for development environment | |
| EP3557470A1 (en) | System and method for secure data handling | |
| CN111949738A (en) | Block chain-based data storage deduplication method, terminal device and storage medium | |
| JP2017027566A (en) | Confidentiality method and content distribution storage device in distribution retention storage | |
| Jiang et al. | Semi-shadow file system: An anonymous files storage solution | |
| Sousen et al. | A Three Layer Privacy Preserving Cloud Storage Scheme with FileDeduplication. | |
| US10198588B2 (en) | Asymmetric multi-apparatus electronic information storage and retrieval | |
| EP3557469A1 (en) | System, method and computer program for secure data exchange | |
| CN111931202A (en) | Encrypted storage method, terminal device and storage medium for distributed system | |
| CN117354018A (en) | Data encryption method, data decryption method, device, electronic equipment and medium | |
| Prakash | Confidential Data Dispersion using Thresholding |