WO2012149658A1 - Server memory system with elimination of redundant data encrypted on the client system from a and/or a plurality of client system(s) - Google Patents

Server memory system with elimination of redundant data encrypted on the client system from a and/or a plurality of client system(s) Download PDF

Info

Publication number
WO2012149658A1
WO2012149658A1 PCT/CH2012/000092 CH2012000092W WO2012149658A1 WO 2012149658 A1 WO2012149658 A1 WO 2012149658A1 CH 2012000092 W CH2012000092 W CH 2012000092W WO 2012149658 A1 WO2012149658 A1 WO 2012149658A1
Authority
WO
WIPO (PCT)
Prior art keywords
data
client system
server memory
client
memory system
Prior art date
Application number
PCT/CH2012/000092
Other languages
German (de)
French (fr)
Inventor
Patrik EIGENHEER
Original Assignee
Eigenheer Patrik
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Eigenheer Patrik filed Critical Eigenheer Patrik
Publication of WO2012149658A1 publication Critical patent/WO2012149658A1/en

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1402Saving, restoring, recovering or retrying
    • G06F11/1446Point-in-time backing up or restoration of persistent data
    • G06F11/1448Management of the data involved in backup or backup restore
    • G06F11/1453Management of the data involved in backup or backup restore using de-duplication of the data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/10File systems; File servers
    • G06F16/11File system administration, e.g. details of archiving or snapshots
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F16/00Information retrieval; Database structures therefor; File system structures therefor
    • G06F16/10File systems; File servers
    • G06F16/17Details of further file system functions
    • G06F16/174Redundancy elimination performed by the file system
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/104Peer-to-peer [P2P] networks
    • H04L67/1074Peer-to-peer [P2P] networks for supporting data block transmission mechanisms
    • H04L67/1078Resource delivery mechanisms
    • H04L67/108Resource delivery mechanisms characterised by resources being split in blocks or fragments
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1097Protocols in which an application is distributed across nodes in the network for distributed storage of data in networks, e.g. transport arrangements for network file system [NFS], storage area networks [SAN] or network attached storage [NAS]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F11/00Error detection; Error correction; Monitoring
    • G06F11/07Responding to the occurrence of a fault, e.g. fault tolerance
    • G06F11/14Error detection or correction of the data by redundancy in operation
    • G06F11/1402Saving, restoring, recovering or retrying
    • G06F11/1446Point-in-time backing up or restoration of persistent data
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/123Applying verification of the received information received data contents, e.g. message integrity

Abstract

The data files, data blocks or data streams (5) are divided into at least one or more data block(s) (7), (8), (9) on the client systems (1) themselves, and meta information (6) is created for each data file, data block or data stream (5) for the purpose of reconstructing the original data file, data block or data stream (5). All data blocks (7), (8), (9) are encrypted (11), (12), (13) by the client system encryption and instruction processor (4) on the client system (1) itself using the key (10), (14) of said client system, and a hash algorithm is used to create an explicit data block identification (15), (16), (17). Redundant data blocks (7), (8) are sent on the same client system to the server memory system (36) only once and are stored (41). The client system communication and authentication processor (19) registers with the server memory system access and authentication processor (37) via a network (35) and transmits nonredundant data blocks (28), (29), (30) and further meta data from the client system (18) to the server memory system (36). The server memory system (36) can use the identification hash (44), (45), (32), (33), (34) of each encrypted data block which is already on the server memory system (41), (42) or comes (28), (29), (30) afresh from a further client system (18) to recognize redundant encrypted data blocks (41), (28). New data blocks (28) which are (41) already present in redundant form on the server memory system are not stored additionally, but rather only the new client system meta information (49) which refers to the existing redundant data block (41) is stored with the necessary access rights. Redundant data blocks from individual client systems and/or from a plurality of client systems are stored on the server memory system only once and therefore in space-saving fashion.

Description

Server Speicher System mit eliminieren von redundanten auf dem Klient System verschlüsselten Daten von einem und/oder mehreren Klient Systems  Server memory system with eliminating redundant on the client system encrypted data from one and / or multiple client system
Gegenstand der Erfindung ist ein Digitales Computer Daten Sicherung System oder auch bekannt als Server Speicher System welches Daten von Klient Computer Systemen über ein Netzwerk sichert und redundante Daten von einem und/oder von mehreren Klient Computer System erkennt und noch auf dem Klient System verschlüsselt und nur einmal effektive auf dem Server Speicher System über ein Netzwerk ablegt. The invention relates to a digital computer data backup system or also known as a server memory system which secures data from client computer systems over a network and recognizes redundant data from one and / or more client computer system and yet encrypted on the client system and only once effective stores on the server storage system over a network.
Die vorliegende Erfindung Anmeldung bezieht sich auf eine noch auf dem Klient System Verschlüsselung von Daten Files, Daten Blöcke oder ein Daten Streams, Und The present invention relates to an even more on the client system encryption of data files, data blocks or data streams, and
anschliessender Datenspeicherung mit eliminieren von redundanten Daten-Blöcken von einem oder mehreren Klient Systems auf dem Server Speicher System, welches platzsparend wirkt. Eliminieren von, redundanten und verschlüsselten Daten ist bereits mehrmals vorgeschlagen worden, wobei das verschlüsseln der Daten erst auf dem Server Speicher System und/oder Speicher System stattfindet und somit die Klient System Daten auf dem Weg vom Klient System bis zum Server Speicher System über ein Netzwerk selber nicht verschlüsselt sind. Als Schutz zwischen Klient System und Server Speicher System wird heute oft die Verbindung vom Klient System zum Server Speicher System verschlüsselt, jedoch nicht die Daten selber. Das verschlüsseln der Klient System zum Server Speicher System Verbindung beinhaltet ein Risiko für unbefugte, unverschlüsselte Daten vor oder nach der Verbindung im Klar-Text zu kopieren und zu lesen. Zudem sind auch bereits Verfahren bekannt welche die Daten auf dem Klient System verschlüsseln, jedoch den privaten Klient System Schlüssel zum Server Speicher System senden, wodurch das Risiko entsteht, dass die Klient System Daten auf dem Storage Server System unbefugt entschlüsselt werden können. Anstelle einer Verschlüsselung Technologie (z.B. AES256) nach heutigem Standard welche als sicher gilt, ist auch bekannt, dass einfache Multiplikation oder Boolesche Operationen an den Daten vorgenommen werden und so die Daten nicht mehr direkt gelesen werden können. Da die Daten jedoch nicht mit einem sicheren und bekannten Algorithmus verschlüsselt wurden, sind diese Daten mit dem nötigen Aufwand rekonstruierbar für unbefugte und können so anschliessend im Klar-Text gelesen werden, zudem sind die Daten auch nicht sicher vor allen die, die Operationen kennen mit welchen die Daten versehen wurden, speziell sind dies der Hersteller der Lösung und/oder der Betreiber der Lösung. subsequent data storage with eliminating redundant data blocks from one or more client system on the server storage system, which saves space. Elimination of, redundant and encrypted data has already been proposed several times, whereby the encrypting of the data takes place only on the server storage system and / or storage system and thus the client system data on the way from the client system to the server storage system over a network itself are not encrypted. As a protection between client system and server storage system today often the connection from the client system to the server storage system is encrypted, but not the data itself. Encrypting the client system to the server storage system connection involves a risk of copying and reading unauthorized, unencrypted data before or after the connection in plain text. In addition, methods are already known which encrypt the data on the client system, but send the private client system key to the server storage system, thereby creating the risk of unauthorized decryption of the client system data on the storage server system. Instead of encryption Technology (eg AES256) according to the current standard which is considered safe, it is also known that simple multiplication or Boolean operations are performed on the data and so the data can not be read directly. However, since the data was not encrypted with a secure and well-known algorithm, this data can be reconstructed with the necessary effort for unauthorized and can then be read in plain text, moreover, the data are also not safe from all those who know operations with Specifically, these are the manufacturer of the solution and / or the solution provider.
Nebst derartigen Verfahren sind heute auch Verschlüsslungen von Daten bereits auf dem Klient System bekannt, welche jedoch ein anschliessendes direktes vergleichen und Erkennen von redundanten Daten auf dem Server Speicher System nicht mehr zulassen. Die selbe Datei mit zwei unterschiedlichen Schlüssel verschlüsselt ergibt auf Bit Ebene zwei unterschiedlich Daten, es kann somit durch direktes Bit-vergleichen auf dem Server Speicher System der beiden verschlüsselten Daten nicht erkannt werden, dass die beiden verschlüsselten Daten im unverschlüsselten zustand redundant sind. Die Daten sind in diesem Falle sicher, jedoch müssen die Daten redundant auf dem Server Speicher System abgelegt werden, dies bedarf Speicherkapazität für beide oder mehrere verschlüsselte Daten, obwohl diese im unverschlüsselten zustand redundant sind, kann der  Besides such methods, encryption of data is already known on the client system today, which, however, do not allow a subsequent direct comparison and no longer allow recognition of redundant data on the server memory system. The same file encrypted with two different keys yields two different data at bit level, thus it can not be detected by direct bit compare on the server memory system of the two encrypted data that the two encrypted data in the unencrypted state are redundant. The data is safe in this case, but the data must be stored redundantly on the server memory system, this requires storage capacity for both or more encrypted data, although these are redundant in the unencrypted state, the
Speicherbedarf nicht optimiert werden mit dem ablegen von lediglich einer verschlüsselten Datei. Memory requirements can not be optimized by storing only one encrypted file.
Aufgabe der vorliegenden Erfindung ist es ein Server Speicher System dahingehend weiter zu entwickeln, dass die Klient System Daten Files, Daten Block oder ein Daten Stream bereits auf dem Klient System verschlüsseln werden, dass die Daten Files, Daten Block oder ein Daten Stream lediglich vom Besitzer mit seinem eigenen Verschlüsselung The object of the present invention is to further develop a server memory system in such a way that the client system data files, data block or data stream are already encrypted on the client system, that the data files, data block or data stream is only from the owner with its own encryption
Schlüssel entschlüsselt werden können mit einem heute bekannten und als sicher eingestuften Algorithmus und Verfahren wie zum Beispiel einen AES256 Algorithmus. Um die Sicherheit der Klient Daten Files, Daten Block oder ein Daten Stream zu gewährleisten, besitzt lediglich das Klient System den Entschlüsselung Schlüssel für seine Daten. Da das Server Speicher System zu keinem Zeitpunkt den Klient System Entschlüsselung Keys can be decrypted with a currently known and considered safe algorithm and method such as an AES256 algorithm. To ensure the security of the client data files, data block or data stream, only the client system has the decryption key for its data. Since the server memory system at no time the client system decryption
Schlüssen besitzen darf, müssen die Klient System Daten zusätzlich gekennzeichnet werden, dass redundante Daten Files, Daten Block oder ein Daten Stream oder Teile davon eindeutig über diese Kennzeichnung identifiziert werden können. Die Kenzeichnung selbst darf keinen direkten Aufschluss über den Inhalt der Daten Files, Daten Block oder ein Daten Stream geben, lediglich als Redundanz Identifizierung dienen. Redundante und verschlüsselte Daten Files, Daten Block oder ein Daten Stream müssen somit auf dem Server Speicher System eindeutig über "die Kennzeichnung identifiziert werden können auch wenn die effektiven verschlüsselten Daten Files, Daten Block oder ein Daten Stream nicht direkt miteinander verglichen werden können. Redundante Daten Files, Daten Block oder ein Daten Stream müssen somit vom selben Klient System wie auch von In addition, the client system data must additionally be marked so that redundant data files, data block or a data stream or parts thereof can be uniquely identified by this identification. The marking itself must not give any direct information about the contents of the data files, data block or a data stream, merely serve as redundancy identification. Redundant and encrypted data files, data block or a data stream must thus be able to be uniquely identified on the server memory system via " the tag " even if the effective encrypted data files, data block or data stream can not be directly compared Files, data block or a data stream must therefore be from the same client system as well as from
unterschiedlichen Klient Systems auf dem Server Speicher System erkannt werden damit diese lediglich einmal effektive und somit platzsparend auf dem Server Speicher System abgelegt werden können und alle Klient System entsprechend auf denselben redundanten Daten Files, Daten Block oder ein Daten Stream referenzieren. different client system are recognized on the server storage system so that they can be stored only once effective and thus save space on the server storage system and refer all client system accordingly to the same redundant data files, data block or a data stream.
Die Aufgabe wird durch die Merkmale des Patentanspruchs 1 bis 6 gelöst. Vorteilhafte Weiterbildungen ergeben sich aus den abhängigen Patentansprüchen. Der Vorteil der Erfindung besteht darin, dass Daten Files, Daten Block oder ein Daten Stream noch auf dem Klient System verschlüsselt werden und nach dem Verlassen des Klient Systems, zum Beispiel über ein Netzwerk, nicht mehr lesbar sind für unbefugte und dennoch auf dem Server Speicher System redundante Daten Files, Daten Block oder ein Daten Stream identifiziert werden können und somit lediglich einmal auf dem Server Speicher System abgelegt werden können und alle Klient System entsprechend auf denselben redundanten Daten-Block lediglich referenzieren. Damit wird effektive weniger Daten Speicher beansprucht auf dem Server Speicher System und die Verschlüsselung und Sicherheit der Klient System Daten Files, Daten Blöcke oder ein Daten Streams ist dennoch gewährleistet. The object is solved by the features of patent claims 1 to 6. Advantageous developments emerge from the dependent claims. The advantage of the invention is that data files, data block or a data stream are still encrypted on the client system and after leaving the client system, for example over a network, are no longer readable for unauthorized and yet on the server memory System redundant data files, data block or a data stream can be identified and thus only once on the server memory system can be stored and refer all client system according to the same redundant data block only. Thus, effective less data storage is claimed on the server storage system and the encryption and security of client system data files, data blocks or data streams is still ensured.
Die Erfindung wird anhand eines Ausführungsbeispiels, welches in den Zeichnungen dargestellt ist, näher erläutert. Es zeigt: The invention will be explained in more detail with reference to an embodiment which is illustrated in the drawings. It shows:
Fig. 1 : Mehrere Klient System Daten Files, Daten Block oder ein Daten Stream Fig. 1: Several client system data files, data block or a data stream
Verschlüssen und nicht redundant ablegen auf einem Server Speicher System über ein Netzwerk. Locks and not redundant store on a server storage system over a network.
Fig. 2 : Einzelne Daten Files, Daten Block oder Daten Stream in Daten-Blöcke unterteilen. Fig. 2: Divide individual data files, data block or data stream into data blocks.
Fig. 3 : Daten-Blöcke in einem Daten Files, Daten Block oder Daten Stream mit Fig. 3: Data blocks in a data files, data block or data stream with
Referenzlinks auf Daten-Blöcke ersetzen Replace reference links to data blocks
Fig. 4 : Daten-Blöcke von verschiedenen Daten Files, Daten Blöcke oder Daten Streams referenzieren auf dieselben redundanten Daten-Blöcke. Fig. 4: Data blocks of different data files, data blocks or data streams refer to the same redundant data blocks.
Fig.' 5 : Verschlüsseln von Daten Files, Daten Block oder ein Daten Stream bereits auf dem Klient System und nicht redundanter Ablage auf dem Server Speicher System. Fig. '5: encrypting data files, data block or a data stream already on the client system, and non-redundant storage in the server storage system.
Fig. 6 : Lesen von vorschlüsselten Daten Files, Daten Block oder ein Daten Stream von dem Server Speicher System. Fig. 6: Read pre-encrypted data files, data block or data stream from the server memory system.
Einzelne Daten in Daten-Blocks unterteilen auf dem Klient System. Individual data is divided into data blocks on the client system.
Die einzelnen Daten Files, Daten Blöcke oder Daten Streams (101) auf dem Klient System werden zunächst in Daten-Blöcke (102)(103)(104)(105)(106) unterteilt. Die einzelnen Daten-Blöcke werden anschliessend zur kleinsten Einheit für die Erkennung von redundanten Daten-Blöcken von demselben und/oder verschiedenen Klient Systems. The individual data files, data blocks or data streams (101) on the client system are first divided into data blocks (102) (103) (104) (105) (106). The individual data blocks then become the smallest unit for the detection of redundant data blocks of the same and / or different client system.
Daten-Block Hash-Kennzeichnung auf dem Klient System. . Data block hash tag on the client system. ,
Damit die einzelnen Daten-Blöcke (4Ö8)(420)(430) eindeutig identifizierbar sind, wir einen Hash Algorithmus (437) (zum Beispiel ein SHA2) gerechnet von jedem Daten-Block (408)(420)(430). Mit dieser Referenz zwischen dem einzelnen Daten-Block  So that the individual data blocks (408) (420) (430) are uniquely identifiable, we construct a hash algorithm (437) (for example a SHA2) calculated from each data block (408) (420) (430). With this reference between the single data block
(408)(420)(430) und der Hash-Kennzeichnung (419)(422)(431 ) ist es somit möglich über die Hash-Kennzeichnung (419)(422)(431 ) redundante Daten-Blöcke (408)(420)(430) zu erkennen. (408) (420) (430) and the hash flag (419) (422) (431) it is thus possible via the hash flag (419) (422) (431) redundant data blocks (408) (420 ) (430).
Daten-Block Verschlüsselung auf dem Klient System.  Data Block Encryption on the client system.
Der einzelne Daten-Block (407)(417) wird auf dem Klient System (401 )(412) Verschlüsselt. Damit redundante Daten-Blöcke (407)(419) auch im verschlüsselten zustand redundant bleiben, werden die Daten-Blöcke mit ihrem eignen Hash (409)(421 ) als Schlüssel verschlüsselt. Die Verschlüsselung der Daten-Blöcke (408)(420) erfolgt mit einem symmetrischen Algorithmus (404)(416) und der Hash Wert (409)(421 ) welcher als  The single data block (407) (417) is encrypted on the client system (401) (412). So that redundant data blocks (407) (419) remain redundant even in the encrypted state, the data blocks are encrypted with their own hash (409) (421) as a key. The encryption of the data blocks (408) (420) is done with a symmetric algorithm (404) (416) and the hash value (409) (421) which as
Schlüssel dient wir mit dem Klient System publik Schlüssel (411 )(423) von einem asymmetrischen Algorithmus (404)(416) Verschlüsselt. Dies stellt sicher, dass lediglich der Besitzer des Daten-Blocks (407)(417) mit seinem privaten Schlüssel in der Lage ist den Daten-Block (408)(420) zu entschlüsseln und zu lesen. Key we use with the client system public key (411) (423) encoded by an asymmetric algorithm (404) (416). This ensures that only the owner of the data block (407) (417) with his private key is able to decrypt and read the data block (408) (420).
Identifizieren von Redundanten Daten-Blöcken auf dem Klient System.  Identify redundant data blocks on the client system.
Da es durchaus möglich ist, dass bereits auf demselben Klient System (1) redundante Daten-Blöcke (7)(8) vorhanden sind, werden zunächst auf dem Klient System (1 ) identische Daten-Blöcke (7)(8) gesucht durch direktes Bit vergleichen der beiden Daten- Blöcke (7)(8) oder durch vergleichen von allen Hash-Kennzeichnungen (15)(16). Weissen zwei Hash-Kennzeichnungen (15)(16) denselben Wert auf, kann indirekt darüber Since it is quite possible that redundant data blocks (7) (8) are already present on the same client system (1), identical data blocks (7) (8) are first searched for directly on the client system (1) Compare bits of the two data blocks (7) (8) or by comparing all hash tags (15) (16). white two hash labels (15) (16) have the same value, can indirectly over it
Rückschluss genommen werden, dass die beiden dazugehörigen verschlüsselten Daten- Blöcke (11 )(12) im unverschlüsselten zustand (7)(8) redundant sind. It can be concluded that the two associated encrypted data blocks (11) (12) in the unencrypted state (7) (8) are redundant.
Daten-Blöcke von einem Daten-Files, Daten Block oder ein Daten Stream mit  Data blocks from a data files, data block or a data stream with
Referenzlinks auf Daten-Blöcke ersetzen. Replace reference links to data blocks.
Normale Daten Files, Daten Block oder ein Daten Stream (202) bestehen aus mehreren Bytes und in unserem Falle werden die Daten in einzelne Daten-Blöcke  Normal data files, data block or a data stream (202) consist of several bytes and in our case the data is divided into individual data blocks
(204)(205)(206)(207) unterteilt welche grösser als ein Byte sind, zudem werden (204) (205) (206) (207) are subdivided which are larger than one byte, moreover
sogenannte Meta-Informationen (203) erstellt um sicher zu stellen, dass aus den einzelnen Daten-Blöcken (204)(205)(206)(207) das Daten Files, Daten Block oder ein Daten Stream (202) wieder rekonstruiert werden kann. In diesem Vorgang wir zu dem einzelnen Daten Files, Daten Block oder ein Daten Stream (208) eine weiter logische Schicht Eingebauen, indem in jedem einzelnen Daten Files, Daten Block oder ein Daten Stream (208) die beinhalteten Daten-Blöcke (214)(215)(216)(217) mit Referenzlinks (209)(210)(21 1 )(212) für jeden Daten-Block (214)(215)(216)(217) ersetzt werden. Die Referenzlinks so-called meta-information (203) is created to ensure that the data files, data block or a data stream (202) can be reconstructed from the individual data blocks (204) (205) (206) (207). In this process, we incorporate into the single data file, data block or data stream (208) a further logical layer by storing in each individual data file, data block or data stream (208) the data blocks (214) 215) (216) (217) are replaced with reference links (209) (210) (21 1) (212) for each data block (214) (215) (216) (217). The reference links
(209)(210)(21 1 )(212) referenzieren anschliessend auf die eigentlichen Daten-Blöcke (214)(215)(216)(217). Durch diese weitere logische Schicht ist es nun möglich, dass mehrere Daten Files, Daten Block oder ein Daten Stream (302)(308) welche einen oder mehrere redundante Daten-Blöcke (314)(317) haben mit einem Referenzlinks (209) (210) (21 1) (212) then refer to the actual data blocks (214) (215) (216) (217). By this further logical layer, it is now possible for a plurality of data files, data block or data stream (302) (308) which have one or more redundant data blocks (314) (317) with a reference link
(304,309)(307,312) auf denselben Daten-Block (314)(317) verweisen. Somit muss der eigentliche Daten-Block (314)(317) lediglich einmal abgelegt werden auf einem (304, 309) (307, 312) refer to the same data block (314) (317). Thus, the actual data block (314) (317) only needs to be stored once on one
Speichermedium und kann von einem oder mehreren Klient Systems und/oder einem oder mehreren Daten Files, Daten Block oder ein Daten Stream (302)(308) referenziert werden.Storage medium and may be referenced by one or more client systems and / or one or more data files, data block or data stream (302) (308).
Senden von Informationen vom Klient System zum Server. Sending information from the client system to the server.
Durch die Verschlüsselung (404)(416) der Daten-Blöcke (407)(417) können ohne den privaten Klient System Schlüssel die verschlüsselten Daten-Blöcke (408)(420) nicht im Klar-Text gelesen werden und können daher vom Klient System (401 )(413) zum Server Speicher System (426) gesendet werden (402)(414) über eine sichere SSL Verbindung oder eine unsichere WAN Verbindung (425) wie zum Beispiel das Internet. Sollten die , Daten-Blöcke von unbefugten abgefangen und kopiert werden, können diese dank der Verschlüsselung jedes einzelnen Daten-Blockes (408)(420)(430) nicht als Klar-Text gelesen werden und gelten somit als sicher, die Verschlüsselung (404)(416) der Daten- Blöcke (407)(419) erfolgt noch auf dem Klient System (401 )(413) System und spätestens wenn die Daten-Blöcke das Klient System (401 )(413) System verlässt. By encrypting (404) (416) the data blocks (407) (417), without the private client system key, the encrypted data blocks (408) (420) can not be read in plain text and therefore can be read by the client system (401) (413) are sent to the server storage system (426) (402) (414) via a secure SSL connection or an insecure WAN connection (425) such as the Internet. If the data blocks are intercepted and copied by unauthorized persons, these can be done thanks to the Encryption of each individual data block (408) (420) (430) can not be read as plain text and thus are considered secure, the encryption (404) (416) of the data blocks (407) (419) is still on the Client system (401) (413) system and at the latest when the data blocks leaves the client system (401) (413) system.
Identifizieren von redundanten Daten-Blöcken auf dem Server Speicher System von verschiedenen Klient Systems.  Identify redundant data blocks on the server storage system of different client system.
Da es möglich ist, dass zwei unterschiedliche Klient Systems (401 )(413) das identische Daten Files, Daten Block oder ein Daten Stream (405)(417) besitzen oder auch nur einzelne Daten-Blöcke (407)(419) davon, können auch redundante Daten-Blöcke  Since it is possible for two different client systems (401) (413) to have the identical data files, data block or data stream (405) (417) or even individual data blocks (407) (419) thereof also redundant data blocks
(407)(419) von verschiedenen Klient Systems (401 )(413) auf dem Server Speicher System (426) identifiziert werden und den Daten-Block (430) nur einmal auf einem Server Speicher System (426) abgelegt werden. Durch das vergleichen aller Hash-Kennzeichnungen (410)(422) der Daten-Blöcke (408)(420) von allen Klient Systems (401 )(413) auf dem Server Speicher System (426) werden redundante Daten-Blöcke (407)(419) von unterschiedlichen Klient Systems (401 )(413) identifiziert. Die Daten Files, Daten Block oder ein Daten Stream (405)(417) der beiden Klient Systems (401 )(413) welche durch die Hash (410)(422) identifizierte redundante Daten-Blöcke (408)(420) haben, können nun beide Klient Systems (401 )(413) auf denselben Daten-Block (430) referenzieren auf dem Server Speicher System (426). Somit muss der eigentliche Klient System Daten-Block (408)(420) lediglich einmal abgelegt werden auf einem Server Speicher System und kann von mehreren Daten Files, Daten Block oder ein Daten Stream (405)(417) und von mehreren Klient Systems (401 )(413) referenziert werden. (407) (419) are identified by different client system (401) (413) on the server storage system (426) and the data block (430) is stored only once on a server storage system (426). By comparing all of the hash tags (410) (422) of the data blocks (408) (420) of all client system (401) (413) on the server memory system (426), redundant data blocks (407) (407) (Fig. 419) from different client system (401) (413). The data files, data block or data stream (405) (417) of the two client system (401) (413) may have redundant data blocks (408) (420) identified by the hash (410) (422) Now refer both client system (401) (413) to the same data block (430) on the server storage system (426). Thus, the actual client system data block (408) (420) needs to be stored only once on a server storage system and may consist of multiple data files, data block or data stream (405) (417) and multiple client system (401 ) (413).
Zugriffrechtssystem von mehreren Klient Systems auf denselben redundanten Daten- Block.  Access system from multiple client systems to the same redundant data block.
Jedes Klient System (501 )(513) hat seinen eignen privaten (509)(519) und publik  Each client system (501) (513) has its own private (509) (519) and public
(525)(530) Schlüssel für die Verschlüsselung, mit welchem lediglich der eigentliche Klient System (501 )(512) mit dem privaten (509)(519) Schlüssel in der Lage ist den (525) (530) encryption key with which only the actual client system (501) (512) with the private (509) (519) key is capable of
Verschlüsselten Klar-Text Hash (509)(519) zu entschlüsseln und mit diesem Klar-Text Hash (510)(521 ) als Schlüssel den verschlüsselten Daten-Block (51 1 )(520) zu Encrypted plain-text hash (509) (519) and encrypted with this plain-text hash (510) (521) as key the encrypted data block (51 1) (520)
entschlüsseln und hat somit Zugriff auf den Klar-Text Daten-Block (512)(522). Bei redundanten Daten-Blöcken (512)(522) von unterschiedlichen Klient Systems (501 )(512), muss daher sichergestellt werden, dass der redundante Daten-Block (528) von jedem berechtigten Klient System (501 )(512) welcher auf diesen Daten-Block (528) zugriff hat und darauf referenziert auch wieder entschlüsselt werden kann. Der Daten-Block (528) muss daher mit einem unterschiedlichen privaten Klient System (507)(517) Schlüsseln wieder entschlüsselt werden können. Um dies zu erreichen wird der Daten-Block decrypt and thus has access to the plain text data block (512) (522). at redundant data blocks (512) (522) from different client system (501) (512), therefore, it must be ensured that the redundant data block (528) of each authorized client system (501) (512) which on this data -Block (528) has access and referenced it can also be decrypted again. The data block (528) must therefore be able to be decrypted with a different private client system (507) (517) keys. To achieve this, the data block
(512)(522) selber symmetrisch verschlüsselt (504)(515) und als Schlüssel dient der eigene Klar-Text Hash-Wert (510)(521 ) des Daten-Blockes (512)(522). Der Klar-Text Hash-Wert (510)(521 ) von dem Daten-Block (512)(522) wird somit zum Schlüssel um den (512) (522) itself symmetrically encrypted (504) (515) and as a key is its own plain text hash value (510) (521) of the data block (512) (522). The plain text hash value (510) (521) from the data block (512) (522) thus becomes the key around the
verschlüsselten Daten-Block (511 )(520) zu entschlüsseln. Der Daten-Block Klar-Text Hash-Wert (510)(521 ) wird daher für jeden Klient System (501 )(512) individual encrypted data block (511) (520). The data block plain text hash value (510) (521) therefore becomes individual for each client system (501) (512)
verschlüsselt (509)(519) mit dem publik Schlüssel (525)(530) von jedem Klient System (501 )(512). Jeder Klient System (501 )(512) kann somit lediglich mit seinem eigenen privaten Schlüssel (507)(517) den verschlüsselten Klar-Text Hash-Wert Encrypts (509) (519) with the public key (525) (530) from each client system (501) (512). Each client system (501) (512) thus has the encrypted plain-text hash value only with its own private key (507) (517)
(509)(519)(527)(532) wieder entschlüsseln und somit mit dem Klar-Text Hash (510)(521 ) daraus, welcher als Schlüssel gilt, für den symmetrisch verschlüsselten Daten-Block (51 1 )(520)(528), den Daten-Block entschlüsseln und hat somit Zugriff auf den redundanten Klar-Text Daten-Block (528). (509) (519) (527) (532) and thus with the plain text hash (510) (521) thereof, which is considered a key, for the symmetrically encrypted data block (51 1) (520) (520) 528) decrypts the data block and thus has access to the redundant plaintext data block (528).
Ist der Daten-Block (528) auf dem Server Speicher System (524) bereits redundant und somit im Verschlüsselten zustand vorhanden von einem Klient System (501 ), wird der neue Klient System (512) lediglich auf den bestehenden verschlüsselten Daten-Block (528) verwiesen. Der eigentlichen Daten-Block (520) muss somit nicht neu abgelegt werden auf dem Server Speicher System (524) und somit auch nicht neu vom Klient System (512) zum Server Speicher System (524) gesendet werden. Die Meta Informationen (518)(531 ) des neuen Klient System (512) werden somit lediglich vom Klient System (512) zum Server Speicher System (524) gesendet für diesen Daten-Block (520) und angepasst damit für diesen Daten-Block (520) lediglich auf den bereits bestehenden Daten-Block (528) auf dem Server Speicher System (524) referenziert wird. Damit der neue Klient System (512) Zugriff auf den bestehenden Daten-Block (528) hat, verschlüsselt (515) das neue Klient System (512) den Klar-Text Daten-Block Hast (521 ) mit seinem publik Schlüssel (530) und sendet den verschlüsselten Daten-Block Hast (519)(532) zum Server Speicher System (524) zur Ablage. Somit ist sichergestellt, dass beide Klient Systems (501 )(512) Zugriff haben auf den redundanten Daten-Block (528). Dieser Vorgang kann wiederholt werden, für jedes weitere Klient System (512) welches zusätzlich auf denselben Daten-Block (528) referenziert: If the data block (528) on the server storage system (524) is already redundant and thus present in the encrypted state by a client system (501), the new client system (512) will only access the existing encrypted data block (528) ). The actual data block (520) thus does not need to be re-stored on the server memory system (524) and thus not newly sent from the client system (512) to the server memory system (524). Thus, the meta information (518) (531) of the new client system (512) is merely sent from the client system (512) to the server storage system (524) for that data block (520) and adapted for that data block (520). 520) is referenced only to the already existing data block (528) on the server storage system (524). So that the new client system (512) has access to the existing data block (528), the new client system (512) encrypts (515) the plaintext data block hash (521) with its public key (530) and sends the encrypted data block Hast (519) (532) to the server memory system (524) Shelf. This ensures that both client systems (501) (512) have access to the redundant data block (528). This process can be repeated for each additional client system (512) which additionally references the same data block (528):

Claims

Patentansprüche claims
1. Server Speicher System dadurch gekennzeichnet, dass es redundante Daten Files, Daten Blöcke oder ein Daten Streams oder Teile davon auf dem Klient System entdeckt und noch auf dem Klient System verschlüsselte und auf dem Server Speicher System nur einmal verschlüsselte ablegt. Das Server Speicher System hat zudem zu keinem Zeitpunkt den Klient System Verschlüsselung Schlüssel und/oder die Daten Files, Daten Blöcke oder ein Daten Streams in Klar-Text.  1. Server memory system characterized in that it detects redundant data files, data blocks or data streams or parts thereof on the client system and still on the client system encrypted and on the server memory system stores only once encrypted. In addition, the server storage system at no time has the client system encryption key and / or the data files, data blocks or a data stream in plain text.
2. Server Speicher System nach Anspruch von 1 , welches redundante und  2. Server memory system according to claim 1, which redundant and
verschlüsselte Daten Files, Daten Blöcke oder ein Daten Streams über mehrere Klient System entdeckt und auf dem Server Speicher System von mehreren Klient Systems nur einmal verschlüsselte ablegt.  encrypted data files, data blocks or data streams discovered across multiple client system and stores on the server memory system of multiple client systems only once encrypted.
3. Server Speicher System nach Anspruch von 1 oder 2 dadurch gekennzeichnet, dass der Server und Klient System Teil in Software und/oder Hardware ausgearbeitet ist.  3. Server memory system according to claim 1 or 2, characterized in that the server and client system part is elaborated in software and / or hardware.
4. Server Speicher System nach Anspruch von 1 oder 2 dadurch gekennzeichnet, dass der Server und Klient System Teil in Software ausgearbeitet ist.  4. server memory system according to claim 1 or 2, characterized in that the server and client system part is elaborated in software.
5. Server Speicher System nach Anspruch von 1 oder 2 dadurch gekennzeichnet, dass der Server und Klient System Teil in Hardware ausgearbeitet ist. 5. server memory system according to claim 1 or 2, characterized in that the server and client system part is elaborated in hardware.
6. Server Speicher System nach Anspruch von 1 bis 6 dadurch gekennzeichnet, dass die Server zum Klient System Verbindung zusätzlich verschlüsselt wird. 6. server memory system according to claim 1 to 6, characterized in that the server is additionally encrypted to the client system connection.
PCT/CH2012/000092 2011-05-02 2012-04-28 Server memory system with elimination of redundant data encrypted on the client system from a and/or a plurality of client system(s) WO2012149658A1 (en)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
CH742/11 2011-05-02
CH00742/11A CH704886A1 (en) 2011-05-02 2011-05-02 Server storage system eliminating redundant on the client system encrypted data from one and / or multiple client system.

Publications (1)

Publication Number Publication Date
WO2012149658A1 true WO2012149658A1 (en) 2012-11-08

Family

ID=46419840

Family Applications (1)

Application Number Title Priority Date Filing Date
PCT/CH2012/000092 WO2012149658A1 (en) 2011-05-02 2012-04-28 Server memory system with elimination of redundant data encrypted on the client system from a and/or a plurality of client system(s)

Country Status (2)

Country Link
CH (1) CH704886A1 (en)
WO (1) WO2012149658A1 (en)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100313036A1 (en) * 2009-06-09 2010-12-09 Data Domain, Inc. Segment deduplication system with encryption of segments

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8635194B2 (en) * 2006-10-19 2014-01-21 Oracle International Corporation System and method for data compression
US9128882B2 (en) * 2007-08-08 2015-09-08 Qualcomm Incorporated Mobile client device driven data backup
US20090319772A1 (en) * 2008-04-25 2009-12-24 Netapp, Inc. In-line content based security for data at rest in a network storage system
US8311985B2 (en) * 2008-09-16 2012-11-13 Quest Software, Inc. Remote backup and restore system and method

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100313036A1 (en) * 2009-06-09 2010-12-09 Data Domain, Inc. Segment deduplication system with encryption of segments

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
STORER M W ET AL: "Secure Data Deduplication", 1 January 2008 (2008-01-01), pages 1 - 10, XP002602896, ISBN: 978-1-60558-299-3, Retrieved from the Internet <URL:http://doi.acm.org/10.1145/1456469.1456471> [retrieved on 20100929] *
SUMMER GARY: "The Next Generation in Data Deduplication", 9 July 2010 (2010-07-09), pages 1 - 7, XP055034936, Retrieved from the Internet <URL:http://infosyssec.tradepub.com/?p=w_aaaa390&w=d&email=bkoblitz@epo.org&key=FEWfNqReDfIcvGoXUzF7&ts=56289&u=1450641342421344355965&e=YmtvYmxpdHpAZXBvLm9yZw==> [retrieved on 20120807] *
TIM NUFIRE: "How to make strong encryption easy to use", 12 November 2008 (2008-11-12), pages 1 - 2, XP055034990, Retrieved from the Internet <URL:http://blog.backblaze.com/2008/11/12/how-to-make-strong-encryption-easy-to-use/> [retrieved on 20120808] *

Also Published As

Publication number Publication date
CH704886A1 (en) 2012-11-15

Similar Documents

Publication Publication Date Title
DE112017000220T5 (en) Effective secure data section encrypted with a secret key
DE112018000779T5 (en) Token deployment for data
EP2567501B1 (en) Method for cryptographic protection of an application
EP2735991B1 (en) Computer implemented method for replacing a data string
WO2019076574A1 (en) Bidirectionally linked blockchain structure
EP3552344B1 (en) Bidirectionally linked blockchain structure
DE102011001430A1 (en) Method of operating a cashbox with custom keys
DE102015103251B4 (en) Method and system for managing user data of a user terminal
EP3248324B1 (en) Decentralised operating on a produkt using centrally stored ecrypted data
WO2012149658A1 (en) Server memory system with elimination of redundant data encrypted on the client system from a and/or a plurality of client system(s)
DE102018005284A1 (en) Chip personalization of an embedded system by a third party
WO2015074745A1 (en) Method, apparatuses and system for online data backup
DE102018127529A1 (en) Electronic device and method for signing a message
WO2016005075A1 (en) Method and system for identifying manipulation of data records
EP2491513B1 (en) Method and system for making edrm-protected data objects available
AT520170B1 (en) Method for the secure administration of a lock, in particular for a safe, by means of a computer
EP3629516A1 (en) Decentralised identity management solution
US20190103963A1 (en) Zone based key version encoding
EP3251281B1 (en) Intrinsic authentication of program code
DE4420967C2 (en) Decryption device for digital information and method for carrying out the encryption and decryption of this using the decryption device
EP2308194B1 (en) Product security system
DE102009016419B4 (en) A method for securely storing records containing confidential data and associated identification data
EP3515033A1 (en) Method and device for transmitting a data set from a first to a second device
DE102018004935A1 (en) Method for the secure administration of a lock, in particular for a safe, by means of a computer
DE102019113485A1 (en) Method for encrypting files for security storage and computing facility

Legal Events

Date Code Title Description
121 Ep: the epo has been informed by wipo that ep was designated in this application

Ref document number: 12730776

Country of ref document: EP

Kind code of ref document: A1

NENP Non-entry into the national phase

Ref country code: DE

122 Ep: pct application non-entry in european phase

Ref document number: 12730776

Country of ref document: EP

Kind code of ref document: A1