專利名稱:對(duì)數(shù)字編碼數(shù)據(jù)引入物理設(shè)備安全的方法和系統(tǒng)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及數(shù)據(jù)安全,并且特別涉及分條(striped)數(shù)據(jù)系統(tǒng)中的數(shù) 據(jù)安全。
背景技術(shù):
數(shù)字安全主務(wù)農(nóng)賴于例如PGP的軟件保護(hù)。所述系統(tǒng)典型被細(xì)分為數(shù) 字簽名和用戶名/口令解決方案。典型地,其本質(zhì)上是單一用戶。即,知道 所述口令和私鑰的任意用戶可以獲得對(duì)受保護(hù)信息的訪問(wèn)。由此,存在這樣的需求能夠保護(hù)信息,以致對(duì)該信息的訪問(wèn)要求個(gè) 體的集合(即多個(gè)個(gè)體)的實(shí)際、物理出現(xiàn),從而任何少于所有所述個(gè)體 的子集均不可以訪問(wèn)該信息。發(fā)明內(nèi)容通過(guò)這里描述的方法、系統(tǒng)和程序產(chǎn)品而消除了這些和其它問(wèn)題。具 體地,這里描述的發(fā)明提供了一種保護(hù)和訪問(wèn)數(shù)字?jǐn)?shù)據(jù)的方法。所述方法 通過(guò)用數(shù)字密鑰加密所述數(shù)字?jǐn)?shù)據(jù)來(lái)完成。接下來(lái),所述已加密數(shù)字?jǐn)?shù)據(jù) 跨多個(gè)物理數(shù)據(jù)存儲(chǔ)設(shè)備被分條(strip),其中,所述數(shù)字設(shè)備需要密鑰 來(lái)訪問(wèn)所述數(shù)字?jǐn)?shù)據(jù)。接下來(lái),當(dāng)所有的所述物理數(shù)據(jù)存儲(chǔ)設(shè)備同時(shí)出現(xiàn) 時(shí),所述數(shù)字密鑰^皮應(yīng)用以訪問(wèn)所述已加密數(shù)據(jù)。
本發(fā)明的各個(gè)方面在附圖中示出。圖1示出了本發(fā)明的高級(jí)流程圖,其具有以下步驟用數(shù)字密鑰加密
數(shù)據(jù);將所述已加密數(shù)據(jù)跨多個(gè)物理數(shù)據(jù)存儲(chǔ)設(shè)備分條,其中,所述物理 數(shù)據(jù)存儲(chǔ)設(shè)備需要所述數(shù)字密鑰來(lái)訪問(wèn)所存儲(chǔ)的數(shù)據(jù);以及,當(dāng)所有的所 述數(shù)字?jǐn)?shù)據(jù)存儲(chǔ)設(shè)備同時(shí)出現(xiàn)時(shí),應(yīng)用該數(shù)字密鑰來(lái)訪問(wèn)跨所有的所述物 理數(shù)據(jù)存儲(chǔ)設(shè)備的所述已加密數(shù)據(jù);圖2示出了分條的概念,其中,被示作文本數(shù)據(jù)的數(shù)據(jù)在這里僅通過(guò) 將該文本數(shù)據(jù)拆分為四字符的組來(lái)加密,以及然后將所述已加密數(shù)據(jù)存儲(chǔ) 到不同介質(zhì)中;以及圖3示出了本發(fā)明的系統(tǒng),其具有服務(wù)器、多個(gè)物理數(shù)據(jù)存儲(chǔ)i殳備以 及數(shù)據(jù)訪問(wèn)終端,其中,所述數(shù)據(jù)訪問(wèn)終端具有用于插入攜帶所述數(shù)字密 鑰的存儲(chǔ)介質(zhì)的裝置。
具體實(shí)施方式
本發(fā)明提供了一種保護(hù)和訪問(wèn)數(shù)字?jǐn)?shù)據(jù)的方法,如圖1中所示。所述 方法通過(guò)用數(shù)字密鑰加密所述數(shù)字?jǐn)?shù)據(jù)101來(lái)完成。接下來(lái),所述已加密 數(shù)字?jǐn)?shù)據(jù)跨多個(gè)物理數(shù)據(jù)存儲(chǔ)設(shè)備被分條103,其中,所述數(shù)字設(shè)備的每 個(gè)需要密鑰來(lái)訪問(wèn)所述數(shù)字?jǐn)?shù)據(jù)。最后,當(dāng)所有的所述物理數(shù)據(jù)存儲(chǔ)設(shè)備 同時(shí)出現(xiàn)以訪問(wèn)所述數(shù)據(jù)時(shí),所述數(shù)字密鑰被應(yīng)用以訪問(wèn)所述已加密數(shù)據(jù) 105。如圖2中所示,將巻分條是指該巻跨越多個(gè)存儲(chǔ)介質(zhì)(例如USB設(shè)備、 閃存、硬盤(pán)等),但在所述分條集合中,每個(gè)文件實(shí)際上散布磁盤(pán)上。如 圖2中所示,-故示作文本數(shù)據(jù)的數(shù)據(jù)201( Striping a volume means that the volume spans multiple hard disks but that each file is actually spread over the disks in the stripe set )在這里僅通過(guò)將該文本數(shù)據(jù)拆分為四字符的組來(lái) 加密(203),以及然后所述已加密數(shù)據(jù)被存儲(chǔ)到或?qū)懭氩煌奈锢頂?shù)據(jù)存 儲(chǔ)設(shè)備中(205和207)。這意味著,因?yàn)槲募煌瑫r(shí)讀取自并寫(xiě)入到多個(gè) 硬盤(pán)或閃存,性能可以顯著提高。例如,如果存在包括三個(gè)硬盤(pán)的分條集 合,則將在每個(gè)磁盤(pán)上存在所述文件的三分之一。所述多個(gè)物理數(shù)據(jù)存儲(chǔ) 設(shè)備的各個(gè)物理數(shù)據(jù)存儲(chǔ)設(shè)備是可單獨(dú)移除的。所述數(shù)字?jǐn)?shù)據(jù)本身跨所有的所述物理數(shù)據(jù)存儲(chǔ)設(shè)備散布。這樣,為使用戶訪問(wèn)所述數(shù)字?jǐn)?shù)據(jù),需要 所有的所述物理數(shù)據(jù)存儲(chǔ)設(shè)備出現(xiàn)并且有效。為訪問(wèn)所述數(shù)字?jǐn)?shù)據(jù),當(dāng)所 有的所述物理數(shù)據(jù)存儲(chǔ)設(shè)備同時(shí)出現(xiàn)時(shí),數(shù)字密鑰被同時(shí)應(yīng)用于所有的所 述物理數(shù)據(jù)存儲(chǔ)設(shè)備。圖3中示出的本發(fā)明的另一方面是數(shù)據(jù)存儲(chǔ)系統(tǒng)301,其具有服務(wù)器 311以及多個(gè)分離的、單獨(dú)的存儲(chǔ)設(shè)備321、 323和325。這些設(shè)備321、 323和325適用于已加密數(shù)字?jǐn)?shù)據(jù)的分條存儲(chǔ)。所述各個(gè)數(shù)據(jù)存儲(chǔ)設(shè)備321、 323和325被示作磁盤(pán),但也可以是USB設(shè)備、閃存、磁帶驅(qū)動(dòng)器等。所 述物理存儲(chǔ)設(shè)備321、 323和325是可單獨(dú)移除的。所述系統(tǒng)還包括例如終 端331和335的裝置,其用于當(dāng)所有的所述物理數(shù)據(jù)存儲(chǔ)設(shè)備321、 323 和325同時(shí)出現(xiàn)時(shí),例如手動(dòng)通過(guò)鍵盤(pán)或觸摸屏輸入或通過(guò)例如》茲卡或閃 存卡的簡(jiǎn)單存儲(chǔ)設(shè)備333和337來(lái)同時(shí)應(yīng)用數(shù)字密鑰以訪問(wèn)已加密數(shù)據(jù)。 讀取器、終端或其它訪問(wèn)和輸出設(shè)備331和335用于當(dāng)所有的所述物理 存儲(chǔ)設(shè)備同時(shí)出現(xiàn)時(shí)同時(shí)讀取所述已加密數(shù)據(jù)。所述系統(tǒng)用于跨所有的物理數(shù)據(jù)存儲(chǔ)設(shè)備對(duì)已加密數(shù)據(jù)的完全分條。 從而,僅當(dāng)所有的所述物理存儲(chǔ)設(shè)備同時(shí)出現(xiàn)時(shí),才將數(shù)字密鑰應(yīng)用于所 有的所述物理存儲(chǔ)設(shè)備來(lái)訪問(wèn)已加密數(shù)據(jù)。這通過(guò)硬件或軟件互鎖來(lái)完成,問(wèn)。本發(fā)明可以例如通過(guò)用于保護(hù)和訪問(wèn)數(shù)字?jǐn)?shù)據(jù)的系統(tǒng)來(lái)實(shí)現(xiàn),例如通 過(guò)用數(shù)字密鑰加密所述數(shù)字?jǐn)?shù)據(jù);跨多個(gè)物理數(shù)據(jù)存儲(chǔ)設(shè)備分條所述已 加密數(shù)據(jù),其中,所述物理數(shù)據(jù)存儲(chǔ)設(shè)備需要密鑰來(lái)訪問(wèn)所述數(shù)字?jǐn)?shù)據(jù); 以及當(dāng)所有的所述物理數(shù)據(jù)存儲(chǔ)設(shè)備同時(shí)出現(xiàn)時(shí),應(yīng)用所述數(shù)字密鑰來(lái)訪 問(wèn)所述已加密數(shù)據(jù)。這通過(guò)在專用處理器中或者在具有專用代碼的專用處 理器中執(zhí)行作為軟件應(yīng)用的方法來(lái)完成。所述代碼執(zhí)行機(jī)器可讀指令序列, 其中,所述機(jī)器可讀指令序列也可以稱為代碼。這些指令可以駐留在多種 類型的信號(hào)承載介質(zhì)中。在這方面,本發(fā)明的一方面涉及程序產(chǎn)品,其包 括一個(gè)或多個(gè)信號(hào)承載介質(zhì),其中,所述信號(hào)承栽介質(zhì)有形地包含了可由
數(shù)字處理裝置執(zhí)行以實(shí)施作為軟件應(yīng)用的、用于保護(hù)和訪問(wèn)數(shù)字?jǐn)?shù)據(jù)的方 法的機(jī)器可讀指令的程序。所述信號(hào)承栽介質(zhì)可以包括例如服務(wù)器中的存儲(chǔ)器。所述服務(wù)器中的 存儲(chǔ)器可以是非易失性存儲(chǔ)裝置、數(shù)據(jù)磁盤(pán)或甚至用于下載到處理器進(jìn)行 安裝的廠商服務(wù)器上的存儲(chǔ)器??蛇x地,所述指令可以被包含在例如光學(xué) 數(shù)據(jù)存儲(chǔ)磁盤(pán)的信號(hào)承載介質(zhì)中。可選地,所述指令可以被存儲(chǔ)在多種的一個(gè)或多個(gè)機(jī)器可讀數(shù)據(jù)存儲(chǔ)介質(zhì)的任一個(gè)上,其中,所述機(jī)器可讀數(shù)據(jù)存儲(chǔ)介質(zhì)可以包括例如"硬盤(pán)驅(qū)動(dòng)器"、RAID陣列、RAMAC、磁性數(shù) 據(jù)存儲(chǔ)盤(pán)(例如軟盤(pán))、磁帶、數(shù)字光帶、RAM、 ROM、 EPROM、 EEPROM、 閃存、磁光存儲(chǔ)裝置、紙質(zhì)打孔卡、或包括例如數(shù)字和/或模擬通信鏈路的 傳輸介質(zhì)的任何其它合適的信號(hào)承載介質(zhì),其中,所述通信鏈路可以是電、 光和/或無(wú)線的。作為示例,所述機(jī)器可讀指令可以包括編譯自例如"C++"、 Java、 Pascal、 ADA、匯編程序等語(yǔ)言的軟件目標(biāo)代碼。另外,所述程序代碼可以例如被壓縮、加密或同時(shí)壓縮和加密,并且 可以包括可執(zhí)4亍代碼、腳本代碼、以及以Zip代碼和cab代碼形式的用于 安裝的向?qū)?。如這里所使用的,術(shù)語(yǔ)"駐留在信號(hào)承載介質(zhì)之中或之上的 機(jī)器可讀指令或代碼"包括上面所有的遞送工具。
權(quán)利要求
1. 一種保護(hù)和訪問(wèn)數(shù)字?jǐn)?shù)據(jù)的方法,包括a) 用數(shù)字密鑰加密所述數(shù)字?jǐn)?shù)據(jù);b) 跨多個(gè)物理數(shù)據(jù)存儲(chǔ)設(shè)備分條所述已加密數(shù)據(jù),其中,所述物理 數(shù)據(jù)存儲(chǔ)設(shè)備需要所述密鑰來(lái)訪問(wèn)所述數(shù)字?jǐn)?shù)據(jù);以及c) 當(dāng)所有的所述物理數(shù)據(jù)存儲(chǔ)設(shè)備同時(shí)出現(xiàn)時(shí),應(yīng)用所述數(shù)字密鑰來(lái) 訪問(wèn)所述已加密數(shù)據(jù)。
2. 根據(jù)權(quán)利要求l所述的方法,其中,所述多個(gè)物理數(shù)據(jù)存儲(chǔ)設(shè)備是 可移除的。
3. 根據(jù)權(quán)利要求l所述的方法,其中,所述數(shù)字?jǐn)?shù)據(jù)跨所有的所述物 理數(shù)據(jù)存儲(chǔ)設(shè)備散布,由此,為訪問(wèn)所述數(shù)字?jǐn)?shù)據(jù),需要所有的所述物理 數(shù)據(jù)存儲(chǔ)設(shè)備。
4. 根據(jù)權(quán)利要求3所述的方法,包括當(dāng)所有的所述物理數(shù)據(jù)存儲(chǔ)設(shè) 備同時(shí)出現(xiàn)時(shí),對(duì)所有的所述物理數(shù)據(jù)存儲(chǔ)設(shè)備同時(shí)應(yīng)用所述數(shù)字密鑰來(lái) 訪問(wèn)所述已加密數(shù)據(jù)。
5. —種數(shù)據(jù)存儲(chǔ)系統(tǒng),包括用于已加密數(shù)字?jǐn)?shù)據(jù)的分條存儲(chǔ)的多個(gè) 分離的、單獨(dú)的存儲(chǔ)設(shè)備;a "干j 丁 s尸/r《的尸/r近物理數(shù)據(jù)存儲(chǔ)" 來(lái)訪問(wèn)所述已加密數(shù)據(jù)的裝置;以及b)用丁儀s尸/r, ^尸/r還柳埋雙游伃怖" 已加密數(shù)據(jù)的裝置。
6. 根據(jù)權(quán)利要求5所述的數(shù)據(jù)存儲(chǔ)系統(tǒng),其中,所述物理數(shù)據(jù)存儲(chǔ)設(shè)備是可單獨(dú)移除的。
7. 根據(jù)權(quán)利要求5所述的數(shù)據(jù)存儲(chǔ)系統(tǒng),所述系統(tǒng)適用于跨所有的所述物理數(shù)據(jù)存儲(chǔ)設(shè)備的已加密數(shù)據(jù)的完全分條。
8. 根據(jù)權(quán)利要求7所述的數(shù)據(jù)存儲(chǔ)系統(tǒng),所述系統(tǒng)適用于,當(dāng)所有的 所述物理數(shù)據(jù)存儲(chǔ)i殳備同時(shí)出現(xiàn)時(shí),對(duì)所有的所述物理數(shù)據(jù)存儲(chǔ)設(shè)備同時(shí) 應(yīng)用所述數(shù)字密鑰來(lái)訪問(wèn)所述已加密數(shù)據(jù)。
9. 一種可加栽到數(shù)字計(jì)算機(jī)的內(nèi)部存儲(chǔ)器中的計(jì)算機(jī)程序產(chǎn)品,包括 軟件代碼部分,用于當(dāng)所述產(chǎn)品運(yùn)行在計(jì)算機(jī)上時(shí)進(jìn)行實(shí)施,以實(shí)現(xiàn)如權(quán)利要求1到4中所要求保護(hù)的發(fā)明。
全文摘要
通過(guò)用數(shù)字密鑰加密數(shù)字?jǐn)?shù)據(jù)來(lái)保護(hù)和訪問(wèn)數(shù)字?jǐn)?shù)據(jù)。所述已加密數(shù)據(jù)跨多個(gè)物理數(shù)據(jù)存儲(chǔ)設(shè)備被分條。需要密鑰來(lái)訪問(wèn)所述數(shù)字?jǐn)?shù)據(jù)。這通過(guò)當(dāng)所有的所述物理數(shù)據(jù)存儲(chǔ)設(shè)備同時(shí)出現(xiàn)時(shí)應(yīng)用所述數(shù)字密鑰來(lái)訪問(wèn)所述已加密數(shù)據(jù)來(lái)實(shí)現(xiàn)。
文檔編號(hào)G06F21/00GK101147152SQ200680008980
公開(kāi)日2008年3月19日 申請(qǐng)日期2006年3月16日 優(yōu)先權(quán)日2005年3月22日
發(fā)明者K·B·羅名斯, M·J·維斯科波夫, M·L·威廉姆斯 申請(qǐng)人:國(guó)際商業(yè)機(jī)器公司