WO2005101209A1

WO2005101209A1 - バックアップ方法ならびにバックアップシステム

Info

Publication number: WO2005101209A1
Application number: PCT/JP2004/019634
Authority: WO
Inventors: Atsushi Ito; Takeshi Teramura
Original assignee: Hitachi, Ltd.
Priority date: 2004-04-08
Filing date: 2004-12-28
Publication date: 2005-10-27
Also published as: JP2005301464A

Abstract

　暗号化データバックアップの際に差分計算のためのシグニチャを一緒にバックアップしておき、二回目以降はこのシグニチャを用いて差分を計算し、新たなシグニチャと共に、暗号化した差分をバックアップすることによって効率的な暗号化バックアップを実現する。また差分データとともにバージョン情報を管理し、サーバ間でバージョンの比較を行うことによりサーバ間データ同期を可能とする。

Description

明細書

バックアップ方法ならびにバックアップシステム参照による取り込み

[0001] 本出願は、 2004年 4月 8日に出願された日本特許出願第 2004— 113728号、の優先権を主張し、その内容を参照することにより本出願に取り込む。

技術分野

[0002] 本発明は、データのバックアップ方法に関し、特にデータを暗号ィ匕した状態でバックアップする際の効率のよいバックアップ方法及びシステムに関する。

背景技術

[0003] 近年ュビキタス社会の到来に伴い、ノートパソコン '携帯電話 'PDAなどいろいろなものにデータが散在し、一元的にバックアップしたいという要求が出てきている。このデータバックアップに際して情報の秘密性を保持した、と、う要求から、特開 2002— 351722号公報のようなユーザのデータをクライアントで暗号化しサーバにバックアツプする方法が提案されている。し力ゝし特開 2002-351722号公報の方法では、バックアップするデータをバックアップの度に丸ごと暗号ィ匕して送信して、るため、データ量が増えるに従って通信量が増え、通信時間や通信料金が増大することになる。

[0004] この問題を解決するために、特開 2001— 34580号公報では更新のあったデータのみバックアップする差分バックアップが提案されている。し力し特開 2001— 34580 号公報の方法は、ー且バックアップしてあるデータを全てダウンロードするため、全てのデータのダウンロードが必然でないケースでは通信量の削減にはあまり貢献していない。また、一時的にではあるが新旧ファイルが同時にクライアントに存在することになり、クライアントのデータ格納領域が大量に必要になる。

[0005] 上記課題を解決するために、 USP5, 765, 173ではシグ-チヤと呼ばれるデータのブロック毎の特徴値を利用する方法が提案されている。 USP5, 765, 173に記述されている第一の方法ではバックアップを実施した際に前記バックアップしたデータのシグ-チヤをクライアントで保存しておき、次回バックアップの際には前記保存してお!、たシグ-チヤと現在バックアップしようとして、るデータのシグ-チヤを比較し、効率よく差分情報を作成する方法が開示されている。また、 USP5, 765, 173に記述されて!/、る第二の方法では、バックアップされて、るデータのシグ-チヤをバックアツプサーバ側で計算してクライアントに送信し、クライアントは前記受信したシグ-チヤと現在バックアップしょうとしているデータのシグ-チヤを比較して効率よく差分情報を作成する方法が開示されて！ヽる。

[0006] し力し前記第一の方法では、クライアントにシグ-チヤを保管するデータ格納エリアが必要になり、携帯電話や PDAなどのデータ格納エリアに制限のあるデバイスで実装するためにはよりデータ量の少な、方法が求められて、る。またデータをフロッピ一 (登録商標)ディスクなどの媒体をもちいて他のクライアントにコピーした場合などには前記他のクライアントに以前バックアップした際のシグ-チヤがないため差分バックアップができな、などの課題があった。また前記第二の方法はサーバ側でシグ -チャの計算を行っているため、特開 2002-351722号公報に記述されているような暗号化バックアップにおいては利用できなかった。

[0007] なお USP5, 765, 173で利用されるシグ-チヤの例としては、 Andrew Tridgell 1999 Efficient Algorithms for sorting and Synchronization PhD thesis, The Australian National Universityで開示されて、る rsyncアルゴリズムが広く知られて!/ヽる。

[0008] また、 USP5, 765, 173の方式では全てのクライアントからのバックアップは 1つのノックアップサーバに集約されている。しかし、携帯電話、社内パソコン、 PDAなどさまざまな環境が混在する状況では必ずしも全てのクライアントが特定のサーバに接続可能ではなぐその時々に応じたネットワーク環境におけるバックアップサーバへバックアップしておき、前記複数のバックアップサーバ間でデータの同期を取ることが求められている。

発明の開示

[0009] 本発明の目的は、クライアントのデータ格納領域を圧迫せず、データの秘密性を守つたまま効率よく差分バックアップを行う方法を提供することにある。また本発明の別の目的は、データの秘密性を守ったまま複数のバックアップサーバ間で同期を取る方法を提供することにある。 [0010] 上記目的を実現するために、本発明におけるクライアント端末は初回バックアップを実施する際に、ノックアップするデータを暗号ィ匕したもの（暗号ィ匕データ）と一緒に、差分計算のためのシグ-チヤを計算して前記暗号ィヒデータとともにサーバへ送信する。二回目以降は、サーノから前回受信したシグ-チヤをクライアントに送信し、クライアントはそのシグ-チヤを利用して差分を計算するとともに、バックアップしたいデータのシグ-チヤを計算し、前記差分を暗号化したものと前記計算したシグ-チヤを現サーバへ送信する。

[0011] また上記別の目的を実現するために、ノックアップサーバにおいて暗号ィ匕差分デ一タとシダニチヤとともに、例えば日時などのデータのバージョンを特定するデータを一緒のレコードに格納しておき、第一のバックアップサーバは自分が持っているバージョンデータを第二のバックアップサーバに送信し、前記第二のバックアップサーバは前記受信したバージョンデータのうち、自分が持っていないものを要求するとともに、自分が持っているバージョンデータのうち、前記第一のバックアップサーバが持つていないデータを送信することによって、サーバ間の同期を実現する。

[0012] 本発明によれば、クライアントのデータ格納領域を圧迫せずにデータの秘密性を守つたまま効率よく差分バックアップを実現できる。

[0013] また複数のノックアップサーバ間の同期を実現することにより、パソコン、携帯電話など異なる環境からバックアップした場合にも正常にバックアップが取れることを保障する。

[0014] 本発明の他の目的、特徴及び利点は添付図面に関する以下の本発明の実施例の記載から明らかになるであろう。

発明を実施するための最良の形態

[0015] 以下本発明を実施する為の最良な形態を詳細に説明する。第 1図は本実施例におけるシステム構成である。ノックアップサーバ 110はデータ格納装置 111を有し、ネットワーク 160を介してクライアント 130と接続されており、またネットワーク 150を介してバックアップサーバ 120と接続されて!ヽる。バックアップサーバ 120も前記バックアツプサーバ 110と同様にデータ格納装置 121を有し、ネットワーク 170を介してクライアント 140と、ネットワーク 150を介してバックアップサーバ 110と接続されている。 [0016] クライアント 130は演算装置 132とデータ格納装置 131を有し、クライアント 140は演算装置 142とデータ格納装置 141を有している。例えばクライアント 130はパソコン、ネットワーク 160は社内 LAN、バックアップサーバ 110は社内サーノ、ネットワーク 150はインターネット、バックアップサーバ 120は携帯キャリア内のサーノ、ネットヮーク 170は携帯電話網、クライアント 140は携帯電話である。この例ではネットワーク 15 0、 160、 170は別々のネットワークであつたが必ずしもその必要はなぐ例えばすベてのサーバとクライアントがインターネットで接続されていたり、サーバ間のネットヮークだけが高速なストレージネットワークであったりすることも考えられる。

[0017] 図 2はバックアップ処理フローである。ステップ 210においてクライアント 130はバックアップするファイル名、最終更新日時、ファイルサイズなどを含むバックアップ開始要求メッセージを送信する。ステップ 220で前記バックアップ開始要求メッセージを受信したサーバ 110は、ステップ 230にお、てデータ格納装置 111に格納されて!、るデータに前記ファイルが存在するかどうか確認し、存在しな、場合にはステップ 240 の初期登録処理（図 3にて後述する。）を実行する。ステップ 230においてすでに存在した場合には、ステップ 250においてデータ格納装置 111に格納されたデータが送信されてきた最終更新日時より古いかどうか判定し、古い場合には更新が必要とみなしてステップ 260において差分更新処理（図 4にて後述する。）を実行する。ステップ 230にお、てデータ格納装置 111にあるデータがクライアント 130のデータ格納装置 131にあるデータと同じ力新、場合にはステップ 270にお、て更新不要処理（図 5にて後述する。）を実行して終了する。

[0018] 上記ではクライアント 130、サーバ 110を例に説明したがクライアント 140、サーバ 1 20の組み合わせでも同様である。また、上記説明ではバックアップ開始要求メッセ一ジにファイルサイズを含んで、るが、バックアップの実施には必ずしも必要でな!、。

[0019] 図 3はステップ 240の初期登録処理を詳細に説明した処理フローである。ステップ 2 30で初期登録が必要と判断したサーバ 110はステップ 310でクライアント 130に対して初期登録要求を送信する。ステップ 320で上記初期登録要求を受信したクライアント 130は、ステップ 330で上記バックアップするファイルのシグ-チヤを計算し、ステップ 340で上記バックアップするファイルを暗号化し、ステップ 350で前記暗号化したデータとシグ-チヤをサーバ 110へ送信する。ここで、ステップ 330とステップ 340の順番は逆でもよ、。ステップ 360で上記メッセージを受信したサーバ 110はステップ 3 70において上記受信したファイル名、最終更新日時、暗号化データ、シグ-チヤをデータ格納装置 111に格納する。

[0020] 図 4はステップ 260の差分更新処理を詳細に説明した処理フローである。ステップ 2 50で更新が必要と判断したサーバ 110はステップ 410でデータ格納装置 111に格納されて、るシグ-チヤを含む更新要求メッセージをクライアント 130へ送信する。ステツプ 420で上記更新要求メッセージを受信したクライアント 130は、ステップ 430で前記受信したシグ-チヤを元に差分を計算し、ステップ 440で前記計算した差分を暗号化し、ステップ 450でバックアップするファイルのシグ-チヤを計算して、ステップ 460で前記暗号ィ匕した差分と前記計算したシグ-チヤを送信する。ここで算出される差分はファイルのデータに追加、変更、削除の箇所がある場合の当該箇所を意味する。また、ステップ 450で算出されるシグ-チヤは、更新後のファイルをブロック単位に再計算されるものであり、 1つ前のシグ-チヤとは異なるシグ-チヤとなる。ここでステツプ 430— 440の差分暗号化の処理とステップ 450のシグ-チヤの計算との順番は逆でも良、。ステップ 470で上記メッセージを受信したサーバ 110はステップ 480において上記受信した最終更新日時、暗号化差分データ、シグニチヤをデータ格納装置 111に格納する。

[0021] 図 5はステップ 270の更新不要処理を詳細に説明した処理フローである。ステップ 2 50で更新が不要と判断したサーバ 110はステップ 510で更新不要通知を送信し、ステツプ 520で前記更新不要通知を受信したクライアント 130は上記該当するファイルのバックアップを終了する。

[0022] 図 6はデータ格納装置 111に格納されるバックアップデータのうち、特定のファイルに関するデータ構造を示した図である。図 6に示されるバックアップデータテーブルには最終更新日時 610、バックアップ前の更新日時 620、ファイルサイズ 630、データ部 640、シグ-チヤ 650などが含まれる。初回登録時には更新前日時 620は存在せず、データ部にはファイル全部を暗号ィ匕した暗号ィ匕初期データが格納される。それ以外の場合には更新前日時 620に差分の元になつたファイルの更新日時が記述され、データ部には上記ステップ 430、 440で計算された暗号ィ匕差分データが格納される。

[0023] 図 7はステップ 210でバックアップ開始要求を送信した後のクライアント 130の処理フローである。バックアップサーバ 110から受信したメッセージをステップ 710で判断し、初回登録要求だった場合ステップ 330でシグ-チヤを計算し、ステップ 340でファィル全体を暗号ィ匕し、ステップ 350でサーバに送信する。上記受信したメッセージが更新要求だった場合、ステップ 430で差分を計算し、ステップ 440で前記差分を暗号化し、ステップ 450でシグ-チヤを計算した後にステップ 460でサーバに送信する。上記受信したメッセージが更新不要通知だった場合は、クライアント 130は何もせず終了する。

[0024] 図 8は複数のバックアップサーバ間の同期の処理フローをあらわした図である。ステップ 810にお、てサーバ 110は対象ファイルに関して、データ格納装置 111内に存在するデータの更新日時のリストをサーバ 120へ送信する。ステップ 820で上記更新日時のリストを受信したサーバ 120は、ステップ 830でデータ格納装置 121内に存在する更新日時のリストと前記受信した更新日時のリストを比較し、ステップ 840において、データ格納装置 121に存在してデータ格納装置 111に存在しな、更新日時に対応するデータのリストと、データ格納装置 111に存在してデータ格納装置 121に存在しないデータを要求するための更新日時リストを送信する。ステップ 850で前記メッセージを受信したサーバ 110は、ステップ 860で前記受信した不足分データをデータ格納装置 111に格納し、ステップ 870で前記要求された更新日時リストに対応するデータを送信する。ステップ 880で前記メッセージを受信したサーバ 120はステップ 89 0で前記受信した不足分データを格納装置 121に格納する。

[0025] 図 9はステップ 830の過不足判定の方法を示した図である。サーバ 120はステップ 810で受信したバージョンリスト 910とデータ格納装置 121に格納されて、るバージョンリスト 920を比較し、同じ物が存在する 912と 922に関しては更新不要、 920にのみ存在する 921、 923に関してはサーバ 110へデータ送信し、 910にのみ存在する 911、 913に関してはサーバ 110へデータ要求を行う。

[0026] 図 9ではバックアップサーバにおいて全ての時点の差分データを保持しつづける場合を説明したが、最新のデータだけを保持すればいいようなケースでは以下に説明する方法によりデータベースのサイズとサーバ間通信データ量を削減することが可能である。図 10は最新のデータだけを保持すればいいケースにおけるステップ 830の過不足判定の方法を示した図である。図 10ではサーバ 120が保持するデータの方力サーバ 110が保持するデータよりも新しいので、サーバ 120が保持するデータを最新のものから順にサーバ 110が保持して、るものを検索して、く。すると差分データ 922に相当する差分データ 912が存在することがわ力るので、差分データ 922の更新日時とそれ以降の差分データ 923を送信する。ステップ 850で差分データ 922 の更新日時と、差分データ 923を受信したバックアップサーバ 110は、差分データ 9 22の更新日時を元に、差分データ 912より新しいデータは不要であることを認識して差分データ 913を削除し、前記受信した差分データ 923をデータ格納装置 111に格納する。サーバ 110に送信する差分データ 923は、差分データ 922 (サーバ 110の差分データ 912と同一内容）との差分であり、差分データ 913は不要であると判断できる。この場合、同期後にはサーバ 110には差分データ 911、 912 (922)、 923力またサーバ 120には差分データ 921、 922 (912)、 923力 S存在することになり、二つのサーバで保持するデータは必ずしも一致しないが、最新バージョンである 923を復元するという目的のためには問題ない。また図 10とは逆にサーバ 110が保持するデータの方が、サーバ 120が保持するデータよりも新しい場合には、サーバ 120はステップ 840で、サーバ 110が保持するデータのうちサーバ 120が保持する最大のデータの更新日時 (上記例における 922に相当)をサーバ 110に通知することによってサーバ 120にないデータを要求し、ステップ 890においてステップ 880で受信した不足データをデータ格納装置 121に格納するとともに、必要のな!、データを削除することも可能である。

[0027] 以上の例ではファイルの更新に枝分かれがない場合について説明した力パージヨン管理システムで一般的に用いられて、る枝分かれするような更新にっ、ても同様である。この場合には更新開始要求に枝名などが追加されるとともにデータ格納装置 111、 121に格納されるデータにも枝を識別するデータが追加されることになる。

[0028] されに以上の例では簡略化のためにデータのバックアップは 1つのデータごとに行つているが、通信回数の削減のために一度に複数のファイルについてバックアップすることち考免られる。

[0029] また、バックアップデータの暗号化のための鍵の管理や暗号化機能は ICカードなどのセキュリティが高、デバイスに格納することが望ま、。

産業上の利用可能性

[0030] 本発明に記載の方法によれば携帯電話、パソコン等に分散したデータをデータの守秘性を保持したままいつでもどこ力でもバックアップするサービスを実現することが可能になる。

[0031] 上記記載は実施例についてなされたが、本発明はそれに限らず、本発明の精神と添付の請求の範囲の範囲内で種々の変更および修正をすることができることは当業者に明らかである。

図面の簡単な説明

[0032] [図 1]本発明の一実施例におけるシステム構成図である。

[図 2]本発明の一実施例におけるバックアップ処理フローである。

[図 3]本発明の一実施例におけるバックアップ初期登録時の詳細処理フローである。

[図 4]本発明の一実施例における差分バックアップ時の詳細処理フローである。

[図 5]本発明の一実施例におけるバックアップ不要時の詳細処理フローである。

[図 6]本発明の一実施例においてバックアップサーバが保持するデータ項目を表した図である。

[図 7]本発明の一実施例におけるバックアップ時のクライアントの処理フローである。

[図 8]本発明の一実施例におけるサーバ間同期の処理フローである。

[図 9]本発明の一実施例におけるサーバ間同期時の過不足判断の処理を表した図である。

[図 10]本発明の一実施例におけるサーバ間同期時の過不足判断の処理の別の方式を表した図である。

Claims

請求の範囲

[1] ノックアップサーバと一つ以上のクライアントがネットワークを経由して接続されており、クライアントデータを暗号ィ匕した状態で前記バックアップサーバに送信し、暗号ィ匕されたままバックアップする方法にぉヽて、

クライアントはバックアップするデータを表す識別子と、前記データのバージョンを示す情報を前記バックアップサーバに送信し、

前記バックアップサーバは前記受信したバージョンを示す情報と現在バックアップサーバ内に格納されているデータのバージョンを比較し、

ノックアップサーバ内に該当データがバックアップされていない場合には、前記クライアントに初回登録要求を送信し、

前記初回登録要求を受信したクライアントは前記バックアップするデータを暗号ィ匕し、前記バックアップするデータの差分計算に用いる特徴値を演算処理部により計算し、前記暗号ィ匕されたデータと前記特徴値をバックアップサーバに送信し、ノックアツプサーバは前記受信したバージョン情報と前記暗号化されたデータと前記特徴値を格納し、

ノックアップサーバ内に該当データがバックアップされており、前記受信したパージョン情報より古、場合には、前記クライアントにバックアップされて、る差分計算に用いる特徴値を送信し、

前記クライアントは前記受信した特徴値を元に差分を計算し、前記差分を暗号化するとともに、前記バックアップするデータの差分計算に用いる特徴値を演算処理部により計算し、前記暗号化された差分データと前記特徴値をバックアップサーバに送信し、バックアップサーバは前記受信したバージョン情報と前記暗号化された差分データと前記特徴値を格納し、

ノックアップサーバ内の該当データが前記受信したバージョン情報と等しい場合には、前記クライアントに更新不要通知を送信する、

ことを特徴とする暗号化バックアップ方法。

[2] 通信手段と演算手段を備え、前記通信手段を通じてバックアップサーバと通信可能なクライアント装置において、ノックアップするデータの識別子とバージョン情報を送信する機能と、前記バックアップサーバからの応答を受信する機能と、

前記応答が初回登録要求だった場合には、前記バックアップするデータを暗号ィ匕し、前記バックアップするデータの差分を計算するための特徴値を計算し、前記暗号化したデータと前記特徴値を前記バックアップサーバに送信する機能と、

前記バックアップサーバからの応答が差分計算のための特徴値を含む更新要求の場合には、前記受信した特徴値を元に前記バックアップするデータの差分を計算し、暗号化し、前記バックアップするデータの差分を計算するための特徴値を計算し、前記暗号ィ匕した差分データと前記特徴値を前記バックアップサーバに送信する機能と前記バックアップサーノくからの応答が更新不要通知だった場合には、ノックアップ処理を終了する機能と、

を有することを特徴とするクライアント装置。

[3] 前記バージョン情報としてデータの更新日時を利用することを特徴とした請求項 2 に記載のクライアント装置。

[4] 前記差分のための特徴値が暗号ィ匕されて、ることを特徴とした請求項 2に記載のクライアント装置。

[5] 前記差分のための特徴値が暗号ィ匕されて、ることを特徴とした請求項 3に記載のクライアント装置。

[6] 暗号ィ匕のために分離可能デバイスを用いることを特徴とした請求項 2に記載のクライアント装置。

[7] 暗号化のために分離可能デバイスを用、ることを特徴とした請求項 3に記載のクライアント装置。

[8] 暗号化のために分離可能デバイスを用いることを特徴とした請求項 4に記載のクライアント装置。

[9] 暗号化のために分離可能デバイスを用、ることを特徴とした請求項 5に記載のクライアント装置。

[10] 通信手段と演算手段とデータ格納手段を備え、前記通信手段を通じてクライアントと通信可能なバックアップサーバにおいて、

データの識別子とバージョン情報を受信する機能と、

前記受信した識別子を元にデータ格納手段を検索し、データ格納手段に前記識別子に該当するデータが存在しない場合には初期登録要求を送信するステップと、暗号ィ匕データと特徴値を受信するステップと、前記受信した識別子とバージョン情報と暗号化データと特徴値を一緒に前記データ格納手段に格納する機能と、

前記受信した識別子に該当するデータが存在する場合には、該当するデータのバーン情報と前記受信したバージョン情報を比較し、前記受信したバージョン情報のほうが新しい場合には、前記検索したレコード内の特徴値を送信するステップと、暗号差分データと特徴値を受信するステップと、前記受信した識別子とバージョン情報と暗号化差分データと特徴値を一緒に前記データ格納手段に格納する機能と、前記受信した識別しに該当するデータが存在し、該当するデータのバージョン情報が前記受信したバージョン情報と等ヽか新ヽ場合には、更新不要通知を送信する機能と、

を有することを特徴とするバックアップサーバ。

通信手段とデータ格納手段と演算手段を有す第一のバックアップサーバと、通信手段とデータ格納手段と演算手段を有す第二のバックアップサーバとが、ネットワークで接続されて、るシステムにお、て

前記第一、第二のバックアップサーバのデータ格納手段には、少なくともデータを表す識別子と、バージョン情報と、暗号化されたデータまたは暗号化された差分データと、差分計算のための特徴値からなるレコードが複数存在し、

前記第一のバックアップサーバが、前記第一のデータ格納手段内に存在する、同期するデータの識別子に関するバージョン番号のリストを送信するステップと、前記第二のバックアップサーバが前記バージョン番号のリストを受信するステップと前記第二のバックアップサーバが前記受信したバージョン番号のリストと、概データの識別子に関する前記第二のデータ格納手段に存在するバージョン番号のリストとを比較するステップと、前記第二のバックアップサーバが前記比較結果に基づき必要なレコードを送信するステップと、前記第二のバックアップサーバが前記比較結果に基づき必要なレコードを要求するステップと、

前記第一のバックアップサーバは前記受信したレコードによってデータを更新するステップと、

前記第一のバックアップサーバは前記受信したレコード要求に応じたレコードを送信するステップと、

前記第二のバックアップサーバは前記受信したレコードを元にデータを更新するステツプと

を有するバックアップサーバの同期処理機能を有することを特徴とするバックアップシステム。