セキュリティ保護されたデジタルデータのアーカイビング及びアクセス監査システム及び方法
アーカイブ・サーバ上で、セキュリティ保護された制御層が、アーカイビング・アプリケーションと格納装置ドライバとの間のアーカイブ・データ・ストリームに置かれる。セキュリティ保護された制御層は、ストリームにより移送されるデータ・セグメントの2段階暗号化処理を与える暗号化エンジンを含む。セキュリティ保護されたポリシー・コントローラは、セキュリティ保護された格納制御層に連結され、ストリームから取得した情報の識別に応じて、セキュリティ保護された格納リポジトリから暗号化キーの群を検索して、暗号化エンジンが選択的にデータ・セグメントを暗号化することを可能にし、又は、単一の暗号化キーを検索して、暗号化エンジンが、条件付きで選択したデータ・セグメントを暗号化解除することを可能にする。暗号化及び暗号化解除の両方において、ストリームの完全性が維持されて、セキュリティ保護された格納制御層の動作がアーカイビング・アプリケーション及び格納装置ドライバに対して機能的に透明になるようにする。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、一般に、デジタルデータのアーカイビング・システムに関し、具体的には、アクセス管理及び監査制御を受けるデジタルデータのセキュリティ保護されたアーカイビング及び検索を可能にするシステム及び方法に関する。
【背景技術】
【0002】
個人及びビジネスデータの長期保存に対する願望及び必要性は、今日まで十分に対処されてこなかった複雑な問題の組を生み出す。これらの問題は、連続ベースではないとしても毎日、かなりの量のデータを蓄積し、量の増加がますます進むことがさらに予測される種々のビジネス及び科学組織において特に深刻である。セキュリティ問題、特に、個人データ及び重要なビジネスデータ、及び法的な並びに保険の要求事項を含む他の要素が含まれる場合はいつでも、進行中の作成物及び大量のデータ・アーカイブの維持に対して重要な複雑さが課される。比較的控えめなサイズのアーカイブもまた、同じ管理要求事項を受け、したがって、すべてではなくても、ほとんど同じ複雑さに遭遇する。
【0003】
さらに、大量データの順序付けられた格納を組織化し制御する複雑性を越えて、本質的に恣意的な検索は、アーカイブの寿命における任意の点でサポートされなければならない。特にビジネス記録においては、アーカイブ・データ記録への信頼できるアクセスが、恐らく30年を超える期間に対して要求される。データは、完全に識別可能かつ回復可能であるだけでなく、作成時の場所で、特定のデータ記録に関連する特定のセキュリティ問題をもって、連続して維持され実施される必要がある。
【0004】
データ保持問題を考慮するだけであってもグローバルな視野に到達することが多い、ビジネス及び科学組織の大きさ及び構造的多様性が与えられるとすると、さらに、スケーラビリティ及びスループット性能をアーカイブするための根本的な要求事項がある。数時間でテラバイト及びそれ以上をアーカイブしなければならない場合、組織は、典型的には、大きいテープドライブのアレイへのデータのパラレル・ストライプをサポートする自動テープ・ライブラリ・システムを実施する。速度及び容量の要求事項が費用問題より重大である場合、ディスクトライブのアレイを使用するライブラリ・システムが、一般に用いられる。
【0005】
複雑で、独自のものであることが多いバックアップ・アプリケーション・プログラム及びドライバ・システムが、これらのライブラリを管理するのに用いられる。しかし、内在する問題は、データのセキュリティ及び検索可能性が固有のハードウェア又はソフトウェアに依存する場合には、そのハードウェア及びソフトウェアは、アーカイブ・データの全寿命において維持可能でなければならないことである。既知ではあるが、通常満たされることがないアーカイブ・データに対する要望は、データ・アーカイブの作成においてこれらのシステムにより最初に採用されたデータのセキュリティを犠牲にすることなく、こうした格納システムの依存性をなくすことである。
【0006】
特定の出版業、データ・マイニング、及び同様な業界においては特に、データ・アーカイブの種々のセグメントを、アーカイブの全寿命において、分析及び他の用途のために簡単にアクセスできるように維持されなければならない。これらの種類のデータ・リリースは、個々のデータ・リリース・トランザクションを監査、承認、及び安全に制御するための自動機構を使用できないために、除外されないとしても、制限されることが多い。
【0007】
アーカイブ・アクセス・トランザクションが許可される場合でも、関連する問題は、許可されるアクセスの範囲を安全に制御し、各々のアクセスの明確で詳細な監査跡を保持することである。セキュリティ保護されたアクセスキーが幾らかの容量で第3者にリリースされたときはいつでも、キーが、同じキーによりセキュリティ保護された他のデータにアクセスすることを防止する制限された制御がある。通常、セキュリティ保護されたキーは周期的に回転されて、セキュリティ保護されたデータの区分化を実施する。しかし、キーの回転は、データ・アーカイブに蓄積されたデータのすべてに対して正確及び安全にパスワード・キーを維持するという既に複雑な問題に付加的な負担を課す。異なるデータ態様の所有者を含む多数の異なるエンティティが与えられるとすると、レギュレータ、アフィリエート、可分データ権のライセンシー、及び種々のシステム・オペレータには、それらの用途に異なる詳細なアクセス制御が適用されるものであり、通常のセキュリティ保護されたシステムは、キーの回転をサポートし実施するさらに別の要望を実現しなくても、一般に、こうしたきめの細かいアクセスに対する別個のパスワード・キーを定義し維持することはできない。
【0008】
したがって、根本的に携帯型のデータ・アーカイブの作成及び長期管理をサポートする一貫したデータ・アーカイビング、セキュリティ、及び監査システムに対する根本的な必要性がある。
【発明の開示】
【0009】
したがって、本発明の一般的な目的は、セキュリティ保護された、携帯型の監査可能な方法で、アーカイブ・データを作成し、検索する効果的なシステム及び方法を提供することである。
【0010】
このことは、アーカイブ・サーバ上で、アーカイビング・アプリケーションと格納装置ドライバとの間のアーカイブ・データ・ストリームに置かれるセキュリティ保護された格納制御層を提供することにより、本発明において実現される。セキュリティ保護された格納制御層は、ストリームにより移送されるデータ・セグメントの暗号化処理を与える暗号化エンジンを含む。セキュリティ保護されたポリシー・コントローラは、セキュリティ保護された格納制御層に連結され、ストリームから取得された情報の識別に応じて、セキュリティ保護された格納リポジトリから暗号化キー群を検索して、暗号化エンジンが、選択的にデータ・セグメントを暗号化することを可能にし、又は、好ましくは、単一の暗号化キーを検索して、暗号化エンジンが、条件付きで選択したデータ・セグメントを暗号化解除することを可能にする。暗号化及び暗号化解除の両方において、ストリームの完全性が維持されて、セキュリティ保護された格納制御層の動作がアーカイビング・アプリケーション及び格納装置ドライバに対して機能的に透明になるようにする。
【0011】
2段階の暗号化が、データ単位上で動作するプロセスで、本発明において実施されることが好ましく、これは、アーカイブ・データ・ストリームの一部として転送される単位メタデータ・ヘッダ及びデータ・セグメントを含む。一連のアーカイブ・データ単位の各々について、プロセスは、所定のデータ単位に対応するセグメント暗号化キーを選択し、第1に、前述の所定のデータ単位の前述のデータ・セグメントを前述のセグメント暗号化キーにより暗号化して、暗号化データ・セグメントを生成し、第2に、一組のセキュリティ制御暗号化キーの各々により前述のセグメント暗号化キーを暗号化し、暗号化されたように、前述のセグメント暗号化キーをセキュリティ・メタデータ・ヘッダに格納し、単位メタデータ・ヘッダ、セキュリティ・メタデータ・ヘッダ、及び暗号化データ・セグメントをアーカイブ・データ・ストリームにおける前述の交換データ単位としてパッケージする、ステップを含む。
【0012】
アーカイブ・データへのアクセスは、セグメント暗号化キーの暗号化解除を可能にするセキュリティ保護された制御暗号化キーのいずれかの検索を選択的に制御することにより、安全に管理される。一連のアーカイブ・データ・ユニットの各々に対して、プロセスは、条件付で、対応するセキュリティ保護された制御暗号化キーを検索することができるユーザ群を判断するセキュリティ保護されたポリシーを受けるセキュリティ保護されたリポジトリからセキュリティ保護された制御暗号化キーを検索し、セキュリティ保護された制御暗号化キーを用いて、セキュリティ保護されたメタデータ・ヘッダから対応するセグメント暗号化キーを暗号化解除し、対応する暗号化データ・セグメントを暗号化解除し、単位メタデータ・ヘッダ及び暗号化解除されたデータ・セグメントを、アーカイブ・データ・ストリームにおける交換データ単位としてパッケージする、ステップを含む。
【0013】
本発明の利点は、アーカイブ・データは、アーカイビング・アプリケーション及び基になるアーカイブ・ドライバ並びに装置の特定の実施に対して効果的に透明な状態で、信頼性をもってセキュリティ保護されることである。したがって、アーカイブ・データの長期間維持を受けるアクセスを保証することができる。さらに、アーカイブ・データに対するアクセスを管理するセキュリティ保護された制御は融通性があり、多数のセキュリティ保護されたポリシー定義群によるアクセスを可能にする。
【0014】
本発明の別の利点は、本発明の実施は、高性能で拡張性があるデータ・アーカイビング・システム構造に簡単に適応可能で、これをサポートすることである。本発明により典型的に実施されるセキュリティ保護された制御ドライバ層は、確立した通常のアーカイビング・システム構造に容易にインストールされ、維持される。インストールされ、通常のポリシー管理維持を受けると、本発明の動作は、完全ではないにしても、非常に自動化に近いものになる。
【0015】
本発明のさらに別の利点は、システムが、セキュリティ保護されたポリシー定義キー管理制御をサポートし、実施することである。多数のセキュリティ保護されたキーを、本質的に格納ユニットごとに定義することができ、アーカイブ・データへのアクセス上できめの細かい、横断的な問題であるセキュリティ保護された制御の実施を可能にする。ポリシー定義キー管理制御は、さらに、すべてのキーに対して、自動的に、完全なキー回転を可能にし、又は、最小の集中したキー・ポリシーの管理を可能にする、
【0016】
本発明のさらに別の利点は、様々な実施構造がサポートされて、様々な構成における使用及び制御された使用が可能になることである。セキュリティ保護されたキー・リポジトリは、融通性をもって、ローカル又はリモートのソフトウェアをベースとしたモジュールとして又はセキュリティ保護された制御機器上で実施することができる。アーカイブ・データへのアクセスは、特定の認証ユーザ群又は認証識別子が与えられた定義されたユーザ群に制約される。後者の場合、付属のリーダ専用モードの使用がサポートされて、特定のユーザ識別がアーカイブ作成時には知られていなくても、既知の一般的なユーザ群が安全にアーカイブ・データにアクセスすることを可能にし、制御されたアクセスを可能にするために、セキュリティ保護されたポリシーにおいて、ユーザの明確な識別を後で要求することはない。ユーザ又は群のセキュリティ保護された識別の取り消しは、アーカイブ・データへのすべての後のアクセスを効果的に終わらせ、したがって、連続するセキュリティ保護された制御を保証する。
【0017】
本発明のさらに別の利点は、アーカイブ・データ・アクセスの完全な監査が、セキュリティ保護されたキー・リポジトリの要求される使用により自動的にサポートされることである。暗号化キーを取得するためのリポジトリに対する各々のアクセスは、セキュリティ保護されたポリシー評価、同時に、リポジトリ・サーバによる試行及び動作のログ記録を受ける。この監査は、アーカイブ・データ使用の包括的な試験及び管理を可能にする。
【発明を実施するための最良の形態】
【0018】
連続ベースではなくても、ルーチン的にアーカイブされることが通常要求されるデータ量が与えられるとすると、アーカイビング・システムのアーキテクチャ上の開発のほとんどは、迅速で、内在的に大型ではなくても大規模なアーカイブ装置ライブラリ及び対応する複雑で頻繁に独自のアーカイビング制御アプリケーションに向けられていた。テープ及びディスク・ライブラリは、オンライン・ストレージのテラバイト及び機械的にアクセス可能なペタバイトをサポートし、オフライン格納部は一般的ではない。アーカイブ・データの成長は、一般に、データにアクセスすることを可能にされたエンティティに対する将来のアクセス可能性、及び、セキュリティ保護された制御を補償することに対する増加する必要性により、適合される。
【0019】
通常のアーカイブ・データ・システムのアーキテクチャは、一般に、図1に示す形態10である。単一の又は平行するアーカイブ・サーバのアレイとして実施されるホストコンピュータ・システム12は、テープドライブ14及びディスクドライブ16の媒体ベースのライブラリの幾つかの組み合わせをサポートする。ライブラリのハードウェア・システム14、16は、典型的には、多チャネルのファイバ・チャネル・コントローラのような標準的なインターフェース18、及びベンダにより供給される装置ドライバ20を実施して、ホストコンピュータ・システム12との統合を可能にする。ハードウェア・システム14、16、さらにインターフェース18は独自のものとすることができるが、装置ドライバ20は、典型的には、アーカイビング・アプリケーション22に関して、標準的な又は少なくとも明確な自動化アーカイビング・システムをエミュレートするように構成される。典型的なエミュレーション目標は、StorageTek(登録商標)、Quantum(登録商標)、ADIC(登録商標)、HP(登録商標)、及び他の競合するアーカイブ・システム製造者からの種々の幅広く採用される自動化テープ・ライブラリを含む。
【0020】
VERITAS NetBackup(商標)、VERITAS Backup Exec(商標)、Legato NetWorker(商標)、CommVault(登録商標)Galaxy(商標)IBM(登録商標)Tivoli(登録商標)Storage Manager、Computer Associates BrightStor(登録商標)、及びBakBone(登録商標)NetVault(商標)のような第3者のアーカイビング・アプリケーション22は、典型的には、これらの事実上の標準テープ・ライブラリ装置ドライバの幾つかではなくても1つとインターフェースすることが可能である。これらのアーカイビング・アプリケーション22は、種々の形態で、典型的には、分散クライアントデータ・システム261-Nがアクセスされることを可能にする分散エージェント・モジュール241-Nをサポートし、アーカイビングのためにデータをホストコンピュータ・システム12に転送する。アーカイブされるデータは、典型的には、収集され、インターネット又はイントラネットのネットワーク接続上で、アーカイブ・アプリケーション22にストリームされる。
【0021】
図2に一般に表わされるように、アーカイブ・データ・ストリームは、少なくとも論理的に収集され、一連のアーカイブ・データセット又はセッションとして、アーカイブ装置14、16に残り続ける。各々のアーカイブ・セッションは、セッション・メタデータ・ヘッダ421-Nにより識別され、再び少なくとも論理的に、関連するアーカイブ・データ・コンテンツ441-Nが続く。アーカイブ・セッション・メタデータ・ヘッダ421-Nは、典型的には、アーカイブ・アプリケーション22により作成され定義されて、アーカイブ・データのソース、及び、対応するアーカイブ・データ・セッション40に収集されるアーカイブ・データ・コンテンツ441-Nの形態及び性質を記述する独自データ構造である。
【0022】
本発明の好ましい実施形態によれば、再び図1を参照すると、セキュリティ保護されたアーカイブ・ドライバ28が、アーカイブ・アプリケーションと、ベンダにより供給されたアーカイブ装置ドライバ20との間に置かれる制御層として実施される。典型的には、アーカイブ装置ドライバ20は、ホストコンピュータ・システム12により実施されるオペレーティング・システムのプログラミング・インターフェース・アーキテクチャと整合するカーネル・レジデント装置ドライバとして与えられる。セキュリティ保護されたアーカイブ・ドライバ28は、さらに、ありふれた周知のアーカイブ装置ドライバとしてアーカイブ・アプリケーション22に提示するオペレーティング・システム整合装置ドライバとして与えられることが好ましい。代替的な好ましい実施形態においては、セキュリティ保護されたアーカイブ・ドライバ28は、アーカイブ装置ドライバ20を、アーカイブ・アプリケーション22及び他のアプリケーションによる使用から効果的に隠し、潜在的にセキュリティ保護する、アーカイブ装置ドライバ20の周りのラッパとして実施することができる。現在好ましい実施形態においては、アーカイブ装置ドライバ20及びセキュリティ保護されたアーカイブ・ドライバ28の両方は、周知の種類の等しく使用可能なアーカイブ装置ドライバとして、アーカイブ・アプリケーション22に現れる。
【0023】
図3に一般に示されるように、セキュリティ保護されたアーカイブ・ドライバ28は、アーカイブ装置ドライバ20に依存するアーカイブ・データ処理プロキシとして機構して、実際に、アーカイブ・アプリケーション22により要求されるアーカイブ・データの格納及び検索動作を実行することが好ましい。すなわち、セキュリティ保護されたアーカイブ・ドライバ28のパブリック・インターフェースは、相対的に包括的なアーカイブ装置制御特徴の組を有する既知のアーカイブ装置ドライバのエミュレーション・インターフェースを表わす。したがって、通常の管理的なアーカイブ・アプリケーション22の構成により、アーカイブ・アプリケーション22の特定の第3者の実施とは効果的に独立して、アーカイブ・データ・ストリーム521-Nは、優先的に、セキュリティ保護されたアーカイブ・ドライバ28に向けられて処理される。さらに、アーカイブ装置ドライバ20の特定の第3者のベンダ実施により実施されるすべての特徴及び機能は、セキュリティ保護されたアーカイブ・ドライバ28により提示されるエミュレートされたアーカイブ装置ドライバ・インターフェースにより、プロキシを通過すること(パススルー)で、セキュリティ保護されたアーカイブ・ドアイバ28の存在の下でアクセス可能なままとなる。
【0024】
セキュリティ保護されたアーカイブ・ドライバ28の動作は、ポリシー施行マネージャ(PEM)30により制御されることが好ましい。セキュリティ保護されたアーカイブ・ドライバ28の基になる動作は、セキュリティ保護されたアーカイブ・ドライバ28により転送されたアーカイブ・データ・ストリームを選択的に暗号化し、暗号化解除することである。PEM30は、データの転送を観察し、必要に応じて、セキュリティ保護されたアーカイブ・ドライバ28により用いられるセキュリティ保護されたリポジトリ・サーバ32から暗号化キーを取得し、使用可能性に応じて、直接又は間接に、アーカイビング・アプリケーション22のユーザ又はオペレータ54を認証することを含む、セキュリティ保護されたアーカイブ・ドライバ28の暗号化動作を認定するように動作することが好ましい。本発明の好ましい実施形態においては、セキュリティ保護されたポリシー・サーバ32は、暗号化キーの組に対するアクセスを格納し認定するのに用いられる。セキュリティ保護されたポリシー・サーバ32は、図1に一般に示されるようにリモート・サーバ上で実施することができ、又は、ホストコンピュータ・システム12の大部分はソフトウェアをベースとするコンポーネントとして含むことができる。
【0025】
図4には、典型的には、最初に、処理のためにセキュリティ保護されたアーカイブ・ドライバ28に提示されるクリアテキスト・アーカイブ・データ・ストリーム60が示される。少なくとも論理フォーマットの順番で、アーカイブ・セッション・メタデータ・ヘッダ62は、最初に、アーカイブ・アプリケーション22により与えられる。アーカイブ・セッション・メタデータ・ヘッダ62は、典型的には、一般に、アーカイブ・アプリケーション22の作り及び形態、アーカイブ・セッション作成日、アーカイブ・データ・ソースのカタログ、クリアテキスト・データは圧縮されているか、アーカイブ装置はハードウェアをベースとしたデータ圧縮を実行すべきか、及び任意の適用可能なデータ圧縮アルゴリズムのパラメータを識別する独自データ構造体である。典型的には、セッション又はボリューム数、及び、アーカイブ・データ・ストリーム60を生成するアーカイブ動作の性質及び範囲を識別するのに十分な他のブックキーピング・メタデータが、さらに、アーカイブ・セッション・メタデータ・ヘッダ62に含まれる。アーカイブ動作22には典型的であるように、アーカイブ単位641-Nのストリーム・シーケンスに組織化されている各々の後のコンテンツ・ブロックは、アーカイブ単位・メタデータ・ヘッダ661-N及び対応するアーカイブ単位・コンテンツ・セグメント681-Nを含むように論理的に構成される。各々のアーカイブ単位・メタデータ・ヘッダ661-Nは、典型的には、リンキング・セッション又はボリューム識別名及びシーケンス番号を含んで、特定のアーカイブ・データ・ストリーム60における論理的参加、及びファイルデータを含むアーカイブ単位・コンテンツ・セグメント681-Nを記述するメタデータを識別する。
【0026】
本発明によれば、アーカイブ・データ・ストリーム60は、セキュリティ保護された制御識別子を組み込み、選択的にコンテンツ・セグメント68N-1を暗号化するように変更される。本発明の好ましい実施形態においては、セキュリティ保護された識別子を組み込むことは、通常アーカイブ・アプリケーション22により与えられる使用可能なセッション記述フィールドに識別子を含むことにより達成される。典型的には、セッション記述フィールドは、或いは別の場合には、アーカイブ・アプリケーション22により提供される空のテキスト・フィールドであり、管理者がカスタム・テキスト・ストリングを加えて、アーカイブ・セッションの種類及び例を記述することを可能にする。アーカイブ・アプリケーション22は、直接このテキスト・ストリングを、アーカイブ・セッション・メタデータ・ヘッダ62内の任意的に用いられるフィールド、又は、メタデータ・ヘッダ661-Nの各々、又はこれら両方に転記する。アーカイブ・アプリケーションの動作に関して、ストリングの有無又はコンテンツは、アーカイブ・アプリケーション22の動作機能に影響がないことにより、テキスト・ストリングは完全に機能せず、フィールドのコンテンツは、したがって、アーカイブ・アプリケーション22に対しては機能的に透明である。通常の記述フィールドが使用可能でない場合には、セッション・メタデータ・ヘッダ62又はメタデータ・ヘッダ661-Nに生じるあらゆる他の機能的に透明なフィールドを用いることができる。或いは、アーカイブ・アプリケーション22を本発明と併せて用いることを考慮して実施される場合には、専用のフィールドを、好ましくはセッション・メタデータ・ヘッダ62において、特に与えることができる。
【0027】
セキュリティ制御識別子は、PEM30の動作により生成されることが好ましい。好ましい実施形態においては、GUIをユーザ54に提示して、識別子の生成を助けることができる。生成されると、セキュリティ保護された制御識別子は、アーカイブ・アプリケーション22からセキュリティ保護されたアーカイブ・ドライバ28により受信される、好ましくはセッション・メタデータ・ヘッダ62、又は、メタデータ・ヘッダ661-N内の選択された記述フィールドに挿入される。一般に図5に示されるように、アーカイブ・データ・ストリームは、さらに、セキュリティ保護されたアーカイブ・ドライバ28により処理されて、セキュリティ保護された持続可能なストリーム70を与える。
【0028】
好ましい実施形態においては、個々のアーカイブ単位641-Nは、アーカイブ単位641-Nが属するセッションに指定されたセキュリティ保護された制御識別子、及び任意的は、アーカイブ単位641-Nの各々に含まれるアーカイブ・データのコンテンツ・ソースに依存するセキュリティ保護されたドライバ28により処理される。その結果、システム10は、本発明により実施されるシステム10は、耐性があるだけでなく、アーカイブ・アプリケーション22により、異なるアーカイブ・セッションに属するアーカイブ単位641-Nのあらゆるインターリービングも完全にサポートする。さらに、システム10は、典型的には、汎用資源識別子(URI)又はソース・ファイルシステムによりメタデータ・ヘッダ661-Nに定義される特定のデータ・ソースに基づいてアーカイブされたデータに適用されるセキュリティ保護された制御を潜在的に変化させることができる。
【0029】
セキュリティ保護されたアーカイブ・ドライバ28は、暗号化され、任意的には、アーカイブ単位641-Nに含まれるデータを圧縮することが好ましい。例えば、アーカイブ単位641-Nを代表するものとしてアーカイブ単位641を考慮すると、コンテンツ・セグメント681が暗号化され、暗号化メタデータ・ヘッダ721及び暗号化されたコンテンツ・セグメント741の組み合わせにより、アーカイブ・データ・ストリーム60において交換される。本発明の好ましい実施形態においては、対称的な暗号化キーがアーカイブ単位641に対して生成され、暗号化コンテンツ・セグメント741を作成するのに用いられる。この対称キーは、次いで、パブリック・キー暗号化キー対の群のパブリック暗号化キー・メンバを用いて暗号化される。暗号化コンテンツ・セグメント741に対する多数の暗号化された対称キーのコピー761(A-X)は、次いで、暗号化メタデータ・ヘッダ721に格納される。メタデータ・ヘッダ661、暗号化メタデータ・ヘッダ721及び暗号化コンテンツ・セグメント741は、次いで、交換アーカイブ単位641を構成する。アーカイブ単位642のような、処理されないと選択的に判断されたあらゆるものを含む交換アーカイブ単位641-Nは、セキュリティ保護されたアーカイブ・ドライバ28により置換されて、アーカイブ・データ・ストリーム70を作成する。
【0030】
本発明の好ましい実施形態においては、アーカイブ単位641-Nは個別に処理されて、アーカイブ・ストリームにおける異なるアーカイブ・セッションからのアーカイブ単位の潜在的なインターリービングを受け入れて、ソース・コンテンツ識別子又はアーカイブ単位・メタデータ・ヘッダ661-Nに含まれる他の認定情報に基づく区分暗号化制御を可能にする。図5に一般に示されるように、アーカイブ単位641及び64Nは同じセキュリティ保護された制御により、具体的には、潜在的には異なる対称キーをもつが、同じセキュリティ制御識別子により、暗号化される。アーカイブ単位643及び644は、異なるセキュリティ保護された制御識別子を有する異なるセッションに属するか、又は、対応するメタデータ・ヘッダ662,3のいずれか又は両方の異なるソース・コンテンツを参照するかのいずれかである、異なるセキュリティ保護された制御により暗号化される。
【0031】
アーカイブ単位641-Nの処理を可能にする目的のために、セキュリティ保護された制御識別子を分解するのに好ましいプロセス80は、一般に図6Aに示される。認証トークン又は等価データ82が、ユーザ又はオペレータ54から、又はホストコンピュータ・システム12により実施される、基になるオペレーティング・システムにより実施されるセキュリティ保護されたシステムから取得される。セキュリティ保護された制御識別子84は、典型的には、PEM30により表わされるGUIを通して、ユーザ又はオペレータ54から取得される。将来の参照のために、PEM30は、アーカイブ・アプリケーション22自体により与えられる管理GUIを用いて記述テキスト・ストリングとして単純に入力されたセキュリティ保護された制御識別子の等価なセキュリティ保護された制御識別子を持続させるように、アーカイブ・アプリケーション22により用いられる構成ファイルにデータを書き戻す。この場合、セキュリティ保護された制御識別子は、セキュリティ保護されたアーカイブ・ドライバ28により受信され、PEM30に渡される。
【0032】
本発明の好ましい実施形態においては、セキュリティ保護された制御識別子は、セキュリティ保護されたリポジトリ・サーバ上で予め定義されたセキュリティ保護された制御群の1つ又はそれ以上の名前のストリング・リストである。例えば、セキュリティ保護された制御識別子は、「corpA−admin01、corpA−division04」として定義することができ、ここでセキュリティ保護されたリポジトリ・サーバは、認証されたアクセスにより、識別子「corpA−admin01」に関連する暗号化キーの一群、及び識別子「corpA−admin04」に関連する暗号化キーの別の群を格納する。これらの群の各々は、1つ又はそれ以上の暗号化キーを含むことができる。
【0033】
所与のアーカイブ単位641-Nに対して、次いで、認証トークン82と、セキュリティ保護された制御識別子84と、任意的には、対応するメタデータ・ヘッダ661-Nから抽出され、PEM30に渡されるコンテンツ識別子86とが、次いで、セキュリティ保護されたリポジトリ・サーバ32に対する要求として提示される。認証トークン82がリポジトリ32により実施される認証規則により可能にされた場合には、セキュリティ保護された制御識別子84により参照される収集された暗号化キー88が戻される。これらの暗号化キー88は、PEM30により、非持続的にキャッシュすることができる。暗号化がこの所与のアーカイブ単位641-Nに対して可能にされたという暗黙の確認により、セキュリティ保護されたアーカイブ・ドライバ28は、対称キー90を生成する。対応するコンテンツ・セグメント681-Nは対称キー90により暗号化され、対応する暗号化メタデータ・ヘッダ661-Nが生成される。対称キー88は、戻されたキー88の群に含まれるキーの各々により暗号化され、対応する暗号化メタデータ・ヘッダ661-N内のスロット・データ構造体761-N(A-X)内に格納される。
【0034】
アーカイブ単位641-Nを反転処理する目的のために、セキュリティ保護された制御識別子を分解する好ましいプロセス100が一般に図6Bに示される。上述のものと同様な方法により、セキュリティ保護された認証トークン82がPEM30により取得される。セキュリティ保護された制御識別子84は、セキュリティ保護されたアーカイブ・ドライバ28により転送される各々のセッション・ストリームに対してセキュリティ保護されたアーカイブ・ドライバ28によって抽出される。受信された各々のアーカイブ単位641-Nに対して、コンテンツ識別子が任意的に抽出され、対応するセッションの識別をもってPEM30に渡される。この要求は、認証トークン82をもってセキュリティ保護されたリポジトリ・サーバ32に向けられる。認証トークン82により与えられる特定のユーザ又はオペレータ54の識別が与えられると、セキュリティ保護された制御識別子86により識別される暗号化キーの群が適合のために探索される。セキュリティ保護された適合が見出されるかどうかに応じて、選択的に暗号化解除キーを含む応答102が、セキュリティ保護されたアーカイブ・ドライバ28に戻される。暗号化解除キーがない場合には、対応するアーカイブ単位641-Nが、変更なしで、セキュリティ保護されたアーカイブ・ドライバを通して渡される。
【0035】
特に、セキュリティ保護されたデータ・セッションのコンテンツにアクセスするすべての試みは、アクセス要求が、リポジトリ・サーバ32にポストされて、分解されることを要求する。セキュリティ保護されたリポジトリ・サーバ32は、システムの初期化、シャットダウン、及び再スタート、異なるクライアント/サーバ・コンポーネント間のネットワーク接続及び切断、及びホスト、ポリシー、及びキーを含むクリティカル・セキュリティ・パラメータ(CPS)の動作要求をバックアップし回復させるといった一般的で管理的な動作情報を収集するためのアクセス要求ログを実施することが好ましい。さらに、要求時間、要求及び結果としてもたらされる応答を生じるシステムのネットワーク識別、及び要求されるバックアップ及び回復アーカイブ動作を含む個々の及びアクセス要求及びアクセス要求群に関する動作情報がログ記録される。各々のログ記憶イベントは、タイムスタンプ、イベント・タイプ識別子、セキュリティ保護された値、サブシステム識別子、成功値、動作の一部としてアクセスされるオブジェクト(キー、ポリシー、ホスト等)、及び任意的な動作記述と共に格納されることが好ましい。したがって、本発明は、成功した要求及び失敗した要求の両方を含む、すべてのセキュリティ保護されたデータ・アクセスに対して明確な監査機構を提供する。
【0036】
暗号化解除キーが戻されると102、セキュリティ保護されたアーカイブ・ドライバ28は、暗号化された対称キー761-N(A-X)の対応する1つを暗号化解除する。暗号化解除キーは、暗号化された対称キー761-N(A-X)に連続して適用されることが好ましく、暗号化解除はエンベロープ暗号化検証又は他の既知のテキスト検証技術を用いて検証されることが好ましい。対称キーの検証された暗号化が実現されると、対称キーは、対応するコンテンツ・セグメント681-Nを暗号化解除するのに用いられる。暗号化メタデータ・ヘッダ721-Nは廃棄され、結果としてもたらされるクリアテキスト・アーカイブ単位641-Nがアーカイブ・データ・ストリームに置換される。
【0037】
セッション・メタデータ・ヘッダの処理に対するセキュリティ保護されたアーカイブ・ドライバ28の好ましい実施110が図7に示される。制御及び構成プロセッサ112は、セキュリティ保護されたアーカイブ・ドライバ28内の一次制御モジュールとして実施されることが好ましい。アーカイブ単位・メタデータ・ヘッダ62が入力アーカイブ・データ・ストリーム60から受信されたとき、制御及び構成プロセッサ112は既知のアーカイブ・アプリケーション22セッション・ヘッダ識別子の内部カタログから、ヘッダ・フォーマットを識別する。アーカイブ単位・メタデータ62がアーカイブ・アプリケーション22から受信されると、制御及び構成プロセッサ112は、メタデータ・ヘッダ62をチェックして、典型的には、これが有効な制御識別子を含むように更新する。PEM30は、制御及び構成プロセッサ112の動作を監視して、PEM30内に固定的に維持されることが好ましい識別子格納部116にアクセスして、適当なセキュリティ保護された識別子を提供する。キー格納部166のコンテンツは、セキュリティ保護されたレポジトリ・サーバ32のコンテンツに対して、PEM30の動作により検証されることが好ましい。変更されたアーカイブ単位・メタデータ・ヘッダ62は、次いで、アウトバウンド・アーカイブ・データストリーム70に置換される118。
【0038】
図8は、アーカイブ単位641-Nの処理に関するセキュリティ保護されたアーカイブ・ドライバ28の好ましい実施120を示す。アーカイブ単位641-Nは、アーカイブ・アプリケーション22から受信され、メタデータ・ヘッダ661-Nは制御及び構成プロセッサ112により処理されて、セッション、及び、必要に応じてコンテンツ識別子112を抽出する。制御及び構成プロセッサ112は、PEM30内のセキュリティ保護されたキャッシュ格納部として維持されることが好ましい、キー・セット格納部124を通してキー群の要求をポストする。キー・セット格納部124のコンテンツは、セキュリティ保護されたリポジトリ・サーバ32により、PEM30の動作を通してバックされることが好ましい。1つ又はそれ以上のキー・セット、具体的には、セキュリティ保護されたアーカイブ・ドライバ28内に与えられた対称キーが、ランダムな対称キー生成器126から取得される。対称キーは、暗号化及び圧縮プロセッサ122に与えられる。圧縮が行われるかどうか判断するフラグを含む圧縮制御パラメータは、セキュリティ保護された制御識別子においてエンコードされるか、又は、好ましくは、暗号化キー群を伴う制御情報としてリポジトリ・サーバ32から戻される。制御及び圧縮プロセッサ112は、交換アーカイブ単位641-Nをアセンブルし、これらをアウトバウンド・アーカイブ・データ・ストリーム70に配置する役割のものである。アーカイブ単位641-Nが暗号化又は圧縮処理に対して識別されていない場合、制御及び構成プロセッサ112は、影響を受けたアーカイブ単位641-Nを直接アウトバウンド・アーカイブ・データ・ストリーム70に渡すように動作することが好ましい。
【0039】
セキュリティ保護されたアーカイブ・ドライバ28の好ましい実施形態によるアーカイブ単位641-Nの反転処理130が図9に示される。アーカイブ装置ドライバ20から受信されるアーカイブ・データ・ストリーム70のアーカイブ単位・メタデータ・ヘッダ661-N及び暗号化メタデータ・ヘッダ661-Nは、制御及び構成プロセッサ112により処理される。アーカイブ・メタデータ・ヘッダ661-Nからのセッション識別子の回復は、制御及び構成プロセッサ112が、適用可能なセッションのセキュリティ保護された識別子を、典型的には、以前にアーカイブ・データ・ストリーム70により処理されたアーカイブ単位・セッション・ヘッダ62から記録された識別子を参照することにより識別することを可能にする。適用性に応じて、コンテンツ識別子は、さらに、アーカイブ・メタデータ・ヘッダ661-Nから抽出される。コンテンツ・セグメント適用可能暗号化解除キーに対する要求は、PEM30のキー・セット格納部124にポストされる。候補暗号化解除キーが戻されると、制御及び構成プロセッサ112は、対応する暗号化メタデータ・ヘッダ661-N内に格納される対称暗号化キーのコピーを検証可能に暗号化解除する。回復された対称暗号化キーは、暗号化コンテンツ・セグメント741-Nからのクリアテキスト・コンテンツ・セグメント681-Nを構築するように、暗号化及び圧縮プロセッサ122により用いられる。圧縮パラメータは、さらに、暗号化メタデータ・ヘッダ661-Nから回復され、適用性に応じて、暗号化解除コンテンツ・セグメント741-Nを圧縮解除するように用いられる。以前のように、制御及び構成プロセッサ112は、交換アーカイブ単位641-Nをアセンブルし、これらをアウトバウンド・アーカイブ・データ・ストリーム60に配置する役割のものである。
【0040】
セキュリティ保護されたリポジトリ・サーバ32の好ましい実施形態が図10に示される。様々な動作シナリオの利便性ある使用を可能にするために、セキュリティ保護されたリポジトリ・サーバ32は、典型的には、図1に一般に示される、通常のネットワーク動作システムを実行する別のサーバ・コンピュータ・システムであるホストコンピュータ・システム12上で、又は、埋め込まれたネットワーク・オペレーティング・システムを用いて、同様に機器コンピュータ・システム上で、デーモン・プロセスとして実行可能なセキュリティ保護されたウェブ・サービス・モジュール142として実施されることが好ましい。実施は、カーネル・ベースではなく、デーモン・プロセス・アーキテクチャ上で、標準化することにより単純化される。同様に、標準的なウェブ・サービス・プロトコルを用いてアクセスを提供することは、システム管理及びネットワーク・プロキシ管理を単純化する。
【0041】
ウェブ・サービス要求の受信により、セキュリティ保護されたウェブ・サービス・デーモン142は、認証トークンに対する要求を認定する。本発明の好ましい実施形態においては、認証トークンはローカルでアクセス可能なスマートカード144、又は、同様なセキュリティ装置、又は、アクティブなディレクトリ又はLDAPセキュリティ・サービスを実施する外部のセキュリティ保護されたサーバ146のいずれかに対して検証される。認証トークンが検証されると、要求が考慮される。新規なアーカイブ・セッションを処理し、セキュリティ保護するために、ローカル・キー格納部144がアクセスされて、セキュリティ保護された制御識別子が判断した暗号化キーの群を検索する。セキュリティ保護されたアーカイブ・セッションを回復するために、認証トークンにより識別される暗号化キー対のプライベート・キー・メンバがローカル・キー格納部144から検索される。セキュリティ保護されたウェブ・サービス・デーモン142による初期要求及び最終的な応答の両方は、要求側PEM30とのセキュリティ保護されたネットワーク接続により転送される。
【0042】
本発明による使用のための暗号化キー群の準備は、セキュリティ保護されたリポジトリ・サーバ32をホストする、又は、セキュリティ保護されたリポジトリ・サーバ32に固定的に接続することができる、セキュリティ保護されたアーカイブ管理コンピュータ・システム上で実行されることが好ましい。図11に示されるように、管理プロセス150は、パブリック・キーの暗号化キー対を、管理的に定義されたキー群1561-Nに収集するのに用いられる。キー群1561-Nの各々は、独特なテキスト識別子1581-Nに割り当てられる。キーを群分けするための基準は、典型的には、アクセスニーズ及び権利の共通点に基づいて管理的に判断される。例えば、管理群は、典型的には、履歴的なアクセス可能性を保証するために、アーカイビング・エンティティ、会社又はビジネスにより用いられるマスターキーを含むように定義される。他のキー群は、典型的には、アーカイビング・データを読み取り、検査し、又は監査する権利を有すると指定される、アーカイブ・データ生成部門内部の又は外部のアーカイブ・データを生成した部門又はビジネス単位に対して、及び、組織又は他のエンティティに対して、定義される。結果として得られる個別のキー群1561-Nは、対応する独特なテキスト識別子1581-Nにより索引付けられるセキュリティ保護されたリポジトリ・サーバ32のローカル・キー格納部に格納される。
【0043】
本発明の好ましい実施形態においては、様々な情報をホストコンピュータ・システムから抽出し、個別のキー群1561-Nの使用を識別し認定するのに用いることができるデータストリーム60をアーカイブすることができる。ホストコンピュータ・システム12、アーカイブ・アプリケーション22、及びアーカイブ・データ・ストリーム60を識別する情報は、PEM30により直接取得されるか、又は、セキュリティ保護されたアーカイブ・ドライバ28により取得され、PEM30により処理して、セキュリティ保護されたリポジトリ・サーバ32に対する要求の一部として送られる属性セットを生成することができる。属性セットは、セキュリティ保護された制御識別子、認証トークン、アーカイブ・アプリケーションを稼動させるプロセス所有者のユーザ名又はID、ホストコンピュータ・システム12に割り当てられたIPアドレス及びDNS名、アーカイブ・アプリケーション22により指定された群ユーザID(GUID)及びハードウェア装置識別子、及び記述キーワード及びアーカイブされたコンテンツを識別するファイルシステムのメタデータを含む、アーカイブ・メタデータ・ヘッダ62及びアーカイブ単位・メタデータ・ヘッダ661-N内に存在するフィールドから抽出された情報を含むことが好ましい。属性セットは、さらに、アーカイブ・アプリケーション識別子、アーカイブ・アプリケーションを呼び出すのに用いられるコマンド・ライン・ストリングを含むことができる。
【0044】
アーカイブ・セッションの暗号化処理に用いられる、選択的検索暗号化キー群1561-Nの好ましいプロセス160が図12に示される。セキュリティ保護されたリポジトリ・サーバ32は、好ましくは、コンテンツ識別子86及び他の属性セットのデータによりさらに認定された、同時に与えられたセキュリティ保護された制御識別子84により識別されるキー群に関連する暗号化キー対を戻す要求に応じて動作する。これに応じて、セキュリティ保護されたリポジトリ・サーバ32は、ここでは少なくともキー群1562及び156Nを含むように示される対応するキー群を識別する162。本発明によれば、暗号化キー群1561-Nは、暗号化キー回転をサポートするために、暗号化キー群1561-Nのいずれか又はすべてに付加的な暗号化キー対を含むことができる。すなわち、例えば、部又は他のエンティティは、アーカイビング・データに用いられる2つ又はそれ以上の割り当てられたパブリック暗号化キーを有することができる。この回転サブグループに関連するアクセス権は、或いは、同一である。管理的に定義されたスケジュールに基づいたセキュリティ保護されたリポジトリ・サーバは、順番に、使用可能なパブリック暗号化キー対の1つを、対応するキー群1561-Nの代表メンバとして副選択し164、次いで、最初の要求に応じて、実際に戻される166。この方法によるキーの回転は、回転群における暗号化キーのいずれか1つが犠牲になるようなことがある場合には、セキュリティ保護された露出が減少される。
【0045】
本発明により構築されたセキュリティ保護されたアーカイビング・システムは、使用可能なリポジトリ・サーバ32の位置及び数に関して様々なモードで分散及び動作することができる。図13に一般に示されるように、セキュリティ保護されたアーカイビング・システム170のPEM30は、同じホストコンピュータ・システム12上に一緒に常駐し、実行されるローカルなセキュリティ保護されたリポジトリ・サーバ32と接続し、これを用いることができる。セキュリティ保護されたリポジトリ・サーバ32の好ましいウェブ・サービス実施と一致して、セキュリティ保護されたローカルなネットワークベースの接続が、PEM30とセキュリティ保護されたリポイトリ・サーバ32との間でサポートされる。
【0046】
これの代わりに又はこれに加えて、サーバ・コンピュータ・システム及び機器のあらゆる組み合わせにおいて実施されるリモート・システム1721-Nは、別個のセキュリティ保護されたリポジトリ・サーバ32をサポートすることができる。これらのリモート・システム1721-Nは、セキュリティ保護されたネットワーク接続174を通してアクセス可能であることが好ましい。好ましい実施形態においては、これらのリモート・システム1721-Nの各々は、同じ及び異なるキー群1561-Nの組を格納して、一般化された冗長性を与え、並びに、リモート・システム1721-Nの組み合わされたネットワークに対して管理的に適切であると判断された専門化を可能にすることができる。PEM30は、リモート・システム1721-Nの持続リストを維持し、潜在的に、リモート・システム1721-Nのいずれかに接続が行われたときはいつでも、リモート・システム1721-Nのいずれかから管理的に更新可能又は自動的に更新可能であることが好ましい。この構成は、PEM30が動作を可能にするのに必要な情報のための様々なセキュリティ保護されたリポジトリ・サーバ32を検索することを可能にする。
【0047】
別のセキュリティ保護されたアーカイビング・システム構成180が図14に示される。以前のように、セキュリティ保護されたアーカイビング・システム182には、ネットワーク174により、セキュリティ保護されたリポジトリ・サーバ32をホストするリモート・システム1721-Nへのアクセスが配備されている。さらに、1つ又はそれ以上の制限された又は付属のセキュリティ保護されたアーカイブ・リーダ・システム1841-Nもまた、リモート・システム1721-Nへのネットワーク・アクセスが与えられている。付属のシステム1841-Nの各々は、標準的なPEM30とは異なる制限されたPEM186を実施することが好ましい。好ましい実施形態における特定の差異は、制限されたPEM186が関連するセキュリティ保護されたアーカイブ・ドライバ28による処理を可能にするアーカイブ・データを制御する効果をもつ任意のものである。好ましい制限の組は、セキュリティ保護されたアーカイブ・ストリームの生成に対する制限を含み、これによって、読み取り専用動作を実施する。別の制限は、セキュリティ保護されたリポジトリ・サーバ32に対する要求に所定の認証トークンを用いることに対する限定であり、これによってセキュリティ保護されたアーカイブ・データへのアクセスを明確な組に制約する。この限定を実施することにより、管理者が、セキュリティ保護されたリポジトリ・サーバ32により格納されたキー群1561-Nを改変することによって、対応する付属のシステム1841-Nのアクセス特権を効果的に制御又は無効にすることを可能にする。さらに、個々の制限されたPEM186に割り当てられた付属のシステム1841-N又は独特な識別子のドメイン・アドレスに基づくキー群1561-Nへのアクセスに対する管理的な制限は、付属のシステム1841-Nの動作を選択的に制限するように確立することができる。アクセス可能なリモート・システム1721-Nのセキュリティ保護されたリポジトリ・サーバ32からのキー群1561-Nの除去は、すべてのアクセス権を全体的に無効にする。
【0048】
このように、セキュリティ保護されたデータのアーカイビングを提供するシステム及び方法が説明された。本発明は、特にテープ及びハード・ディスク・ベースの格納媒体に関して説明されたが、本発明は、他の形態の媒体及び対応する様々な媒体制御システムに等しく適用可能である。
【0049】
本発明の好ましい実施形態の上の説明により、開示される実施形態の多数の修正及び変更は、当業者により容易に理解されるであろう。したがって、特許請求の範囲内で、本発明は、特に上述されたものとは別の方法で実施することが理解される。
【図面の簡単な説明】
【0050】
【図1】本発明の好ましい実施形態を実施する分散アーカイビング・システムの構造的なブロック図である。
【図2】多数のアーカイビング・データ・セッションを組み込む論理的アーカイビングデータ・ストリームを示す単純化されたブロック図である。
【図3】本発明の好ましい実施形態によるアーカイブ・データ・ストリームのインターリービング取得を示す単純化されたブロック図である。
【図4】本発明の好ましい実施形態によるアーカイビング・アプリケーションにより生成されるインターリーブされたアーカイブ・データ・ストリームを示すブロック図を提供する。
【図5】アーカイブ単位データ・セグメントの選択的な暗号化のために与えられる本発明の好ましい実施形態により処理されたインターリーブされたアーカイブ・データ・ストリームのブロック図である。
【図6A】本発明の好ましい実施形態によるコンテンツ・データ・セグメントの暗号化及び暗号化解除を有効にし、可能にする好ましい処理を示す状態図を提供する。
【図6B】本発明の好ましい実施形態によるコンテンツ・データ・セグメントの暗号化及び暗号化解除を有効にし、可能にする好ましい処理を示す状態図を提供する。
【図7】本発明の好ましい実施形態によるアーカイブ・セッション・データ・ヘッダの処理のために提供されるアーカイブ・セキュリティ・コントローラのブロック図である。
【図8】本発明の好ましい実施形態によるセキュリティ保護されたアーカイブ単位を生成するようにアーカイブ単位を処理するために提供されるアーカイブ・セキュリティ・コントローラのブロック図である。
【図9】本発明の好ましい実施形態と関連して用いられるセキュリティ保護されたキー群を生成するための好ましい手順を示す単純化されたプロセス図である。
【図10】本発明の好ましい実施形態によるアーカイブ単位データ・セグメントのセキュリティ保護された回復可能な暗号化のために提供される好ましい方法を示す単純化されたプロセス図である。
【図11】本発明の好ましい実施形態によるクリアテキスト・アーカイブ単位を生成するセキュリティ保護されたアーカイブ単位の処理を提供するアーカイブ・セキュリティ・コントローラのブロック図である。
【図12】本発明の好ましい実施形態により実施されるセキュリティ保護されたリポジトリ・サーバのブロック図である。
【図13】本発明の好ましい実施形態によるローカル及びリモートのセキュリティ保護されたキー・リポジトリのいずれか又は両方の使用をサポートする配置構造を示すシステム・ブロック図である。
【図14】本発明の好ましい実施形態により実施される付属の又は読み取り専用アーカイブ・データ・アクセス・システムをサポートする配置構造を示すシステム・ブロック図である。
【技術分野】
【0001】
本発明は、一般に、デジタルデータのアーカイビング・システムに関し、具体的には、アクセス管理及び監査制御を受けるデジタルデータのセキュリティ保護されたアーカイビング及び検索を可能にするシステム及び方法に関する。
【背景技術】
【0002】
個人及びビジネスデータの長期保存に対する願望及び必要性は、今日まで十分に対処されてこなかった複雑な問題の組を生み出す。これらの問題は、連続ベースではないとしても毎日、かなりの量のデータを蓄積し、量の増加がますます進むことがさらに予測される種々のビジネス及び科学組織において特に深刻である。セキュリティ問題、特に、個人データ及び重要なビジネスデータ、及び法的な並びに保険の要求事項を含む他の要素が含まれる場合はいつでも、進行中の作成物及び大量のデータ・アーカイブの維持に対して重要な複雑さが課される。比較的控えめなサイズのアーカイブもまた、同じ管理要求事項を受け、したがって、すべてではなくても、ほとんど同じ複雑さに遭遇する。
【0003】
さらに、大量データの順序付けられた格納を組織化し制御する複雑性を越えて、本質的に恣意的な検索は、アーカイブの寿命における任意の点でサポートされなければならない。特にビジネス記録においては、アーカイブ・データ記録への信頼できるアクセスが、恐らく30年を超える期間に対して要求される。データは、完全に識別可能かつ回復可能であるだけでなく、作成時の場所で、特定のデータ記録に関連する特定のセキュリティ問題をもって、連続して維持され実施される必要がある。
【0004】
データ保持問題を考慮するだけであってもグローバルな視野に到達することが多い、ビジネス及び科学組織の大きさ及び構造的多様性が与えられるとすると、さらに、スケーラビリティ及びスループット性能をアーカイブするための根本的な要求事項がある。数時間でテラバイト及びそれ以上をアーカイブしなければならない場合、組織は、典型的には、大きいテープドライブのアレイへのデータのパラレル・ストライプをサポートする自動テープ・ライブラリ・システムを実施する。速度及び容量の要求事項が費用問題より重大である場合、ディスクトライブのアレイを使用するライブラリ・システムが、一般に用いられる。
【0005】
複雑で、独自のものであることが多いバックアップ・アプリケーション・プログラム及びドライバ・システムが、これらのライブラリを管理するのに用いられる。しかし、内在する問題は、データのセキュリティ及び検索可能性が固有のハードウェア又はソフトウェアに依存する場合には、そのハードウェア及びソフトウェアは、アーカイブ・データの全寿命において維持可能でなければならないことである。既知ではあるが、通常満たされることがないアーカイブ・データに対する要望は、データ・アーカイブの作成においてこれらのシステムにより最初に採用されたデータのセキュリティを犠牲にすることなく、こうした格納システムの依存性をなくすことである。
【0006】
特定の出版業、データ・マイニング、及び同様な業界においては特に、データ・アーカイブの種々のセグメントを、アーカイブの全寿命において、分析及び他の用途のために簡単にアクセスできるように維持されなければならない。これらの種類のデータ・リリースは、個々のデータ・リリース・トランザクションを監査、承認、及び安全に制御するための自動機構を使用できないために、除外されないとしても、制限されることが多い。
【0007】
アーカイブ・アクセス・トランザクションが許可される場合でも、関連する問題は、許可されるアクセスの範囲を安全に制御し、各々のアクセスの明確で詳細な監査跡を保持することである。セキュリティ保護されたアクセスキーが幾らかの容量で第3者にリリースされたときはいつでも、キーが、同じキーによりセキュリティ保護された他のデータにアクセスすることを防止する制限された制御がある。通常、セキュリティ保護されたキーは周期的に回転されて、セキュリティ保護されたデータの区分化を実施する。しかし、キーの回転は、データ・アーカイブに蓄積されたデータのすべてに対して正確及び安全にパスワード・キーを維持するという既に複雑な問題に付加的な負担を課す。異なるデータ態様の所有者を含む多数の異なるエンティティが与えられるとすると、レギュレータ、アフィリエート、可分データ権のライセンシー、及び種々のシステム・オペレータには、それらの用途に異なる詳細なアクセス制御が適用されるものであり、通常のセキュリティ保護されたシステムは、キーの回転をサポートし実施するさらに別の要望を実現しなくても、一般に、こうしたきめの細かいアクセスに対する別個のパスワード・キーを定義し維持することはできない。
【0008】
したがって、根本的に携帯型のデータ・アーカイブの作成及び長期管理をサポートする一貫したデータ・アーカイビング、セキュリティ、及び監査システムに対する根本的な必要性がある。
【発明の開示】
【0009】
したがって、本発明の一般的な目的は、セキュリティ保護された、携帯型の監査可能な方法で、アーカイブ・データを作成し、検索する効果的なシステム及び方法を提供することである。
【0010】
このことは、アーカイブ・サーバ上で、アーカイビング・アプリケーションと格納装置ドライバとの間のアーカイブ・データ・ストリームに置かれるセキュリティ保護された格納制御層を提供することにより、本発明において実現される。セキュリティ保護された格納制御層は、ストリームにより移送されるデータ・セグメントの暗号化処理を与える暗号化エンジンを含む。セキュリティ保護されたポリシー・コントローラは、セキュリティ保護された格納制御層に連結され、ストリームから取得された情報の識別に応じて、セキュリティ保護された格納リポジトリから暗号化キー群を検索して、暗号化エンジンが、選択的にデータ・セグメントを暗号化することを可能にし、又は、好ましくは、単一の暗号化キーを検索して、暗号化エンジンが、条件付きで選択したデータ・セグメントを暗号化解除することを可能にする。暗号化及び暗号化解除の両方において、ストリームの完全性が維持されて、セキュリティ保護された格納制御層の動作がアーカイビング・アプリケーション及び格納装置ドライバに対して機能的に透明になるようにする。
【0011】
2段階の暗号化が、データ単位上で動作するプロセスで、本発明において実施されることが好ましく、これは、アーカイブ・データ・ストリームの一部として転送される単位メタデータ・ヘッダ及びデータ・セグメントを含む。一連のアーカイブ・データ単位の各々について、プロセスは、所定のデータ単位に対応するセグメント暗号化キーを選択し、第1に、前述の所定のデータ単位の前述のデータ・セグメントを前述のセグメント暗号化キーにより暗号化して、暗号化データ・セグメントを生成し、第2に、一組のセキュリティ制御暗号化キーの各々により前述のセグメント暗号化キーを暗号化し、暗号化されたように、前述のセグメント暗号化キーをセキュリティ・メタデータ・ヘッダに格納し、単位メタデータ・ヘッダ、セキュリティ・メタデータ・ヘッダ、及び暗号化データ・セグメントをアーカイブ・データ・ストリームにおける前述の交換データ単位としてパッケージする、ステップを含む。
【0012】
アーカイブ・データへのアクセスは、セグメント暗号化キーの暗号化解除を可能にするセキュリティ保護された制御暗号化キーのいずれかの検索を選択的に制御することにより、安全に管理される。一連のアーカイブ・データ・ユニットの各々に対して、プロセスは、条件付で、対応するセキュリティ保護された制御暗号化キーを検索することができるユーザ群を判断するセキュリティ保護されたポリシーを受けるセキュリティ保護されたリポジトリからセキュリティ保護された制御暗号化キーを検索し、セキュリティ保護された制御暗号化キーを用いて、セキュリティ保護されたメタデータ・ヘッダから対応するセグメント暗号化キーを暗号化解除し、対応する暗号化データ・セグメントを暗号化解除し、単位メタデータ・ヘッダ及び暗号化解除されたデータ・セグメントを、アーカイブ・データ・ストリームにおける交換データ単位としてパッケージする、ステップを含む。
【0013】
本発明の利点は、アーカイブ・データは、アーカイビング・アプリケーション及び基になるアーカイブ・ドライバ並びに装置の特定の実施に対して効果的に透明な状態で、信頼性をもってセキュリティ保護されることである。したがって、アーカイブ・データの長期間維持を受けるアクセスを保証することができる。さらに、アーカイブ・データに対するアクセスを管理するセキュリティ保護された制御は融通性があり、多数のセキュリティ保護されたポリシー定義群によるアクセスを可能にする。
【0014】
本発明の別の利点は、本発明の実施は、高性能で拡張性があるデータ・アーカイビング・システム構造に簡単に適応可能で、これをサポートすることである。本発明により典型的に実施されるセキュリティ保護された制御ドライバ層は、確立した通常のアーカイビング・システム構造に容易にインストールされ、維持される。インストールされ、通常のポリシー管理維持を受けると、本発明の動作は、完全ではないにしても、非常に自動化に近いものになる。
【0015】
本発明のさらに別の利点は、システムが、セキュリティ保護されたポリシー定義キー管理制御をサポートし、実施することである。多数のセキュリティ保護されたキーを、本質的に格納ユニットごとに定義することができ、アーカイブ・データへのアクセス上できめの細かい、横断的な問題であるセキュリティ保護された制御の実施を可能にする。ポリシー定義キー管理制御は、さらに、すべてのキーに対して、自動的に、完全なキー回転を可能にし、又は、最小の集中したキー・ポリシーの管理を可能にする、
【0016】
本発明のさらに別の利点は、様々な実施構造がサポートされて、様々な構成における使用及び制御された使用が可能になることである。セキュリティ保護されたキー・リポジトリは、融通性をもって、ローカル又はリモートのソフトウェアをベースとしたモジュールとして又はセキュリティ保護された制御機器上で実施することができる。アーカイブ・データへのアクセスは、特定の認証ユーザ群又は認証識別子が与えられた定義されたユーザ群に制約される。後者の場合、付属のリーダ専用モードの使用がサポートされて、特定のユーザ識別がアーカイブ作成時には知られていなくても、既知の一般的なユーザ群が安全にアーカイブ・データにアクセスすることを可能にし、制御されたアクセスを可能にするために、セキュリティ保護されたポリシーにおいて、ユーザの明確な識別を後で要求することはない。ユーザ又は群のセキュリティ保護された識別の取り消しは、アーカイブ・データへのすべての後のアクセスを効果的に終わらせ、したがって、連続するセキュリティ保護された制御を保証する。
【0017】
本発明のさらに別の利点は、アーカイブ・データ・アクセスの完全な監査が、セキュリティ保護されたキー・リポジトリの要求される使用により自動的にサポートされることである。暗号化キーを取得するためのリポジトリに対する各々のアクセスは、セキュリティ保護されたポリシー評価、同時に、リポジトリ・サーバによる試行及び動作のログ記録を受ける。この監査は、アーカイブ・データ使用の包括的な試験及び管理を可能にする。
【発明を実施するための最良の形態】
【0018】
連続ベースではなくても、ルーチン的にアーカイブされることが通常要求されるデータ量が与えられるとすると、アーカイビング・システムのアーキテクチャ上の開発のほとんどは、迅速で、内在的に大型ではなくても大規模なアーカイブ装置ライブラリ及び対応する複雑で頻繁に独自のアーカイビング制御アプリケーションに向けられていた。テープ及びディスク・ライブラリは、オンライン・ストレージのテラバイト及び機械的にアクセス可能なペタバイトをサポートし、オフライン格納部は一般的ではない。アーカイブ・データの成長は、一般に、データにアクセスすることを可能にされたエンティティに対する将来のアクセス可能性、及び、セキュリティ保護された制御を補償することに対する増加する必要性により、適合される。
【0019】
通常のアーカイブ・データ・システムのアーキテクチャは、一般に、図1に示す形態10である。単一の又は平行するアーカイブ・サーバのアレイとして実施されるホストコンピュータ・システム12は、テープドライブ14及びディスクドライブ16の媒体ベースのライブラリの幾つかの組み合わせをサポートする。ライブラリのハードウェア・システム14、16は、典型的には、多チャネルのファイバ・チャネル・コントローラのような標準的なインターフェース18、及びベンダにより供給される装置ドライバ20を実施して、ホストコンピュータ・システム12との統合を可能にする。ハードウェア・システム14、16、さらにインターフェース18は独自のものとすることができるが、装置ドライバ20は、典型的には、アーカイビング・アプリケーション22に関して、標準的な又は少なくとも明確な自動化アーカイビング・システムをエミュレートするように構成される。典型的なエミュレーション目標は、StorageTek(登録商標)、Quantum(登録商標)、ADIC(登録商標)、HP(登録商標)、及び他の競合するアーカイブ・システム製造者からの種々の幅広く採用される自動化テープ・ライブラリを含む。
【0020】
VERITAS NetBackup(商標)、VERITAS Backup Exec(商標)、Legato NetWorker(商標)、CommVault(登録商標)Galaxy(商標)IBM(登録商標)Tivoli(登録商標)Storage Manager、Computer Associates BrightStor(登録商標)、及びBakBone(登録商標)NetVault(商標)のような第3者のアーカイビング・アプリケーション22は、典型的には、これらの事実上の標準テープ・ライブラリ装置ドライバの幾つかではなくても1つとインターフェースすることが可能である。これらのアーカイビング・アプリケーション22は、種々の形態で、典型的には、分散クライアントデータ・システム261-Nがアクセスされることを可能にする分散エージェント・モジュール241-Nをサポートし、アーカイビングのためにデータをホストコンピュータ・システム12に転送する。アーカイブされるデータは、典型的には、収集され、インターネット又はイントラネットのネットワーク接続上で、アーカイブ・アプリケーション22にストリームされる。
【0021】
図2に一般に表わされるように、アーカイブ・データ・ストリームは、少なくとも論理的に収集され、一連のアーカイブ・データセット又はセッションとして、アーカイブ装置14、16に残り続ける。各々のアーカイブ・セッションは、セッション・メタデータ・ヘッダ421-Nにより識別され、再び少なくとも論理的に、関連するアーカイブ・データ・コンテンツ441-Nが続く。アーカイブ・セッション・メタデータ・ヘッダ421-Nは、典型的には、アーカイブ・アプリケーション22により作成され定義されて、アーカイブ・データのソース、及び、対応するアーカイブ・データ・セッション40に収集されるアーカイブ・データ・コンテンツ441-Nの形態及び性質を記述する独自データ構造である。
【0022】
本発明の好ましい実施形態によれば、再び図1を参照すると、セキュリティ保護されたアーカイブ・ドライバ28が、アーカイブ・アプリケーションと、ベンダにより供給されたアーカイブ装置ドライバ20との間に置かれる制御層として実施される。典型的には、アーカイブ装置ドライバ20は、ホストコンピュータ・システム12により実施されるオペレーティング・システムのプログラミング・インターフェース・アーキテクチャと整合するカーネル・レジデント装置ドライバとして与えられる。セキュリティ保護されたアーカイブ・ドライバ28は、さらに、ありふれた周知のアーカイブ装置ドライバとしてアーカイブ・アプリケーション22に提示するオペレーティング・システム整合装置ドライバとして与えられることが好ましい。代替的な好ましい実施形態においては、セキュリティ保護されたアーカイブ・ドライバ28は、アーカイブ装置ドライバ20を、アーカイブ・アプリケーション22及び他のアプリケーションによる使用から効果的に隠し、潜在的にセキュリティ保護する、アーカイブ装置ドライバ20の周りのラッパとして実施することができる。現在好ましい実施形態においては、アーカイブ装置ドライバ20及びセキュリティ保護されたアーカイブ・ドライバ28の両方は、周知の種類の等しく使用可能なアーカイブ装置ドライバとして、アーカイブ・アプリケーション22に現れる。
【0023】
図3に一般に示されるように、セキュリティ保護されたアーカイブ・ドライバ28は、アーカイブ装置ドライバ20に依存するアーカイブ・データ処理プロキシとして機構して、実際に、アーカイブ・アプリケーション22により要求されるアーカイブ・データの格納及び検索動作を実行することが好ましい。すなわち、セキュリティ保護されたアーカイブ・ドライバ28のパブリック・インターフェースは、相対的に包括的なアーカイブ装置制御特徴の組を有する既知のアーカイブ装置ドライバのエミュレーション・インターフェースを表わす。したがって、通常の管理的なアーカイブ・アプリケーション22の構成により、アーカイブ・アプリケーション22の特定の第3者の実施とは効果的に独立して、アーカイブ・データ・ストリーム521-Nは、優先的に、セキュリティ保護されたアーカイブ・ドライバ28に向けられて処理される。さらに、アーカイブ装置ドライバ20の特定の第3者のベンダ実施により実施されるすべての特徴及び機能は、セキュリティ保護されたアーカイブ・ドライバ28により提示されるエミュレートされたアーカイブ装置ドライバ・インターフェースにより、プロキシを通過すること(パススルー)で、セキュリティ保護されたアーカイブ・ドアイバ28の存在の下でアクセス可能なままとなる。
【0024】
セキュリティ保護されたアーカイブ・ドライバ28の動作は、ポリシー施行マネージャ(PEM)30により制御されることが好ましい。セキュリティ保護されたアーカイブ・ドライバ28の基になる動作は、セキュリティ保護されたアーカイブ・ドライバ28により転送されたアーカイブ・データ・ストリームを選択的に暗号化し、暗号化解除することである。PEM30は、データの転送を観察し、必要に応じて、セキュリティ保護されたアーカイブ・ドライバ28により用いられるセキュリティ保護されたリポジトリ・サーバ32から暗号化キーを取得し、使用可能性に応じて、直接又は間接に、アーカイビング・アプリケーション22のユーザ又はオペレータ54を認証することを含む、セキュリティ保護されたアーカイブ・ドライバ28の暗号化動作を認定するように動作することが好ましい。本発明の好ましい実施形態においては、セキュリティ保護されたポリシー・サーバ32は、暗号化キーの組に対するアクセスを格納し認定するのに用いられる。セキュリティ保護されたポリシー・サーバ32は、図1に一般に示されるようにリモート・サーバ上で実施することができ、又は、ホストコンピュータ・システム12の大部分はソフトウェアをベースとするコンポーネントとして含むことができる。
【0025】
図4には、典型的には、最初に、処理のためにセキュリティ保護されたアーカイブ・ドライバ28に提示されるクリアテキスト・アーカイブ・データ・ストリーム60が示される。少なくとも論理フォーマットの順番で、アーカイブ・セッション・メタデータ・ヘッダ62は、最初に、アーカイブ・アプリケーション22により与えられる。アーカイブ・セッション・メタデータ・ヘッダ62は、典型的には、一般に、アーカイブ・アプリケーション22の作り及び形態、アーカイブ・セッション作成日、アーカイブ・データ・ソースのカタログ、クリアテキスト・データは圧縮されているか、アーカイブ装置はハードウェアをベースとしたデータ圧縮を実行すべきか、及び任意の適用可能なデータ圧縮アルゴリズムのパラメータを識別する独自データ構造体である。典型的には、セッション又はボリューム数、及び、アーカイブ・データ・ストリーム60を生成するアーカイブ動作の性質及び範囲を識別するのに十分な他のブックキーピング・メタデータが、さらに、アーカイブ・セッション・メタデータ・ヘッダ62に含まれる。アーカイブ動作22には典型的であるように、アーカイブ単位641-Nのストリーム・シーケンスに組織化されている各々の後のコンテンツ・ブロックは、アーカイブ単位・メタデータ・ヘッダ661-N及び対応するアーカイブ単位・コンテンツ・セグメント681-Nを含むように論理的に構成される。各々のアーカイブ単位・メタデータ・ヘッダ661-Nは、典型的には、リンキング・セッション又はボリューム識別名及びシーケンス番号を含んで、特定のアーカイブ・データ・ストリーム60における論理的参加、及びファイルデータを含むアーカイブ単位・コンテンツ・セグメント681-Nを記述するメタデータを識別する。
【0026】
本発明によれば、アーカイブ・データ・ストリーム60は、セキュリティ保護された制御識別子を組み込み、選択的にコンテンツ・セグメント68N-1を暗号化するように変更される。本発明の好ましい実施形態においては、セキュリティ保護された識別子を組み込むことは、通常アーカイブ・アプリケーション22により与えられる使用可能なセッション記述フィールドに識別子を含むことにより達成される。典型的には、セッション記述フィールドは、或いは別の場合には、アーカイブ・アプリケーション22により提供される空のテキスト・フィールドであり、管理者がカスタム・テキスト・ストリングを加えて、アーカイブ・セッションの種類及び例を記述することを可能にする。アーカイブ・アプリケーション22は、直接このテキスト・ストリングを、アーカイブ・セッション・メタデータ・ヘッダ62内の任意的に用いられるフィールド、又は、メタデータ・ヘッダ661-Nの各々、又はこれら両方に転記する。アーカイブ・アプリケーションの動作に関して、ストリングの有無又はコンテンツは、アーカイブ・アプリケーション22の動作機能に影響がないことにより、テキスト・ストリングは完全に機能せず、フィールドのコンテンツは、したがって、アーカイブ・アプリケーション22に対しては機能的に透明である。通常の記述フィールドが使用可能でない場合には、セッション・メタデータ・ヘッダ62又はメタデータ・ヘッダ661-Nに生じるあらゆる他の機能的に透明なフィールドを用いることができる。或いは、アーカイブ・アプリケーション22を本発明と併せて用いることを考慮して実施される場合には、専用のフィールドを、好ましくはセッション・メタデータ・ヘッダ62において、特に与えることができる。
【0027】
セキュリティ制御識別子は、PEM30の動作により生成されることが好ましい。好ましい実施形態においては、GUIをユーザ54に提示して、識別子の生成を助けることができる。生成されると、セキュリティ保護された制御識別子は、アーカイブ・アプリケーション22からセキュリティ保護されたアーカイブ・ドライバ28により受信される、好ましくはセッション・メタデータ・ヘッダ62、又は、メタデータ・ヘッダ661-N内の選択された記述フィールドに挿入される。一般に図5に示されるように、アーカイブ・データ・ストリームは、さらに、セキュリティ保護されたアーカイブ・ドライバ28により処理されて、セキュリティ保護された持続可能なストリーム70を与える。
【0028】
好ましい実施形態においては、個々のアーカイブ単位641-Nは、アーカイブ単位641-Nが属するセッションに指定されたセキュリティ保護された制御識別子、及び任意的は、アーカイブ単位641-Nの各々に含まれるアーカイブ・データのコンテンツ・ソースに依存するセキュリティ保護されたドライバ28により処理される。その結果、システム10は、本発明により実施されるシステム10は、耐性があるだけでなく、アーカイブ・アプリケーション22により、異なるアーカイブ・セッションに属するアーカイブ単位641-Nのあらゆるインターリービングも完全にサポートする。さらに、システム10は、典型的には、汎用資源識別子(URI)又はソース・ファイルシステムによりメタデータ・ヘッダ661-Nに定義される特定のデータ・ソースに基づいてアーカイブされたデータに適用されるセキュリティ保護された制御を潜在的に変化させることができる。
【0029】
セキュリティ保護されたアーカイブ・ドライバ28は、暗号化され、任意的には、アーカイブ単位641-Nに含まれるデータを圧縮することが好ましい。例えば、アーカイブ単位641-Nを代表するものとしてアーカイブ単位641を考慮すると、コンテンツ・セグメント681が暗号化され、暗号化メタデータ・ヘッダ721及び暗号化されたコンテンツ・セグメント741の組み合わせにより、アーカイブ・データ・ストリーム60において交換される。本発明の好ましい実施形態においては、対称的な暗号化キーがアーカイブ単位641に対して生成され、暗号化コンテンツ・セグメント741を作成するのに用いられる。この対称キーは、次いで、パブリック・キー暗号化キー対の群のパブリック暗号化キー・メンバを用いて暗号化される。暗号化コンテンツ・セグメント741に対する多数の暗号化された対称キーのコピー761(A-X)は、次いで、暗号化メタデータ・ヘッダ721に格納される。メタデータ・ヘッダ661、暗号化メタデータ・ヘッダ721及び暗号化コンテンツ・セグメント741は、次いで、交換アーカイブ単位641を構成する。アーカイブ単位642のような、処理されないと選択的に判断されたあらゆるものを含む交換アーカイブ単位641-Nは、セキュリティ保護されたアーカイブ・ドライバ28により置換されて、アーカイブ・データ・ストリーム70を作成する。
【0030】
本発明の好ましい実施形態においては、アーカイブ単位641-Nは個別に処理されて、アーカイブ・ストリームにおける異なるアーカイブ・セッションからのアーカイブ単位の潜在的なインターリービングを受け入れて、ソース・コンテンツ識別子又はアーカイブ単位・メタデータ・ヘッダ661-Nに含まれる他の認定情報に基づく区分暗号化制御を可能にする。図5に一般に示されるように、アーカイブ単位641及び64Nは同じセキュリティ保護された制御により、具体的には、潜在的には異なる対称キーをもつが、同じセキュリティ制御識別子により、暗号化される。アーカイブ単位643及び644は、異なるセキュリティ保護された制御識別子を有する異なるセッションに属するか、又は、対応するメタデータ・ヘッダ662,3のいずれか又は両方の異なるソース・コンテンツを参照するかのいずれかである、異なるセキュリティ保護された制御により暗号化される。
【0031】
アーカイブ単位641-Nの処理を可能にする目的のために、セキュリティ保護された制御識別子を分解するのに好ましいプロセス80は、一般に図6Aに示される。認証トークン又は等価データ82が、ユーザ又はオペレータ54から、又はホストコンピュータ・システム12により実施される、基になるオペレーティング・システムにより実施されるセキュリティ保護されたシステムから取得される。セキュリティ保護された制御識別子84は、典型的には、PEM30により表わされるGUIを通して、ユーザ又はオペレータ54から取得される。将来の参照のために、PEM30は、アーカイブ・アプリケーション22自体により与えられる管理GUIを用いて記述テキスト・ストリングとして単純に入力されたセキュリティ保護された制御識別子の等価なセキュリティ保護された制御識別子を持続させるように、アーカイブ・アプリケーション22により用いられる構成ファイルにデータを書き戻す。この場合、セキュリティ保護された制御識別子は、セキュリティ保護されたアーカイブ・ドライバ28により受信され、PEM30に渡される。
【0032】
本発明の好ましい実施形態においては、セキュリティ保護された制御識別子は、セキュリティ保護されたリポジトリ・サーバ上で予め定義されたセキュリティ保護された制御群の1つ又はそれ以上の名前のストリング・リストである。例えば、セキュリティ保護された制御識別子は、「corpA−admin01、corpA−division04」として定義することができ、ここでセキュリティ保護されたリポジトリ・サーバは、認証されたアクセスにより、識別子「corpA−admin01」に関連する暗号化キーの一群、及び識別子「corpA−admin04」に関連する暗号化キーの別の群を格納する。これらの群の各々は、1つ又はそれ以上の暗号化キーを含むことができる。
【0033】
所与のアーカイブ単位641-Nに対して、次いで、認証トークン82と、セキュリティ保護された制御識別子84と、任意的には、対応するメタデータ・ヘッダ661-Nから抽出され、PEM30に渡されるコンテンツ識別子86とが、次いで、セキュリティ保護されたリポジトリ・サーバ32に対する要求として提示される。認証トークン82がリポジトリ32により実施される認証規則により可能にされた場合には、セキュリティ保護された制御識別子84により参照される収集された暗号化キー88が戻される。これらの暗号化キー88は、PEM30により、非持続的にキャッシュすることができる。暗号化がこの所与のアーカイブ単位641-Nに対して可能にされたという暗黙の確認により、セキュリティ保護されたアーカイブ・ドライバ28は、対称キー90を生成する。対応するコンテンツ・セグメント681-Nは対称キー90により暗号化され、対応する暗号化メタデータ・ヘッダ661-Nが生成される。対称キー88は、戻されたキー88の群に含まれるキーの各々により暗号化され、対応する暗号化メタデータ・ヘッダ661-N内のスロット・データ構造体761-N(A-X)内に格納される。
【0034】
アーカイブ単位641-Nを反転処理する目的のために、セキュリティ保護された制御識別子を分解する好ましいプロセス100が一般に図6Bに示される。上述のものと同様な方法により、セキュリティ保護された認証トークン82がPEM30により取得される。セキュリティ保護された制御識別子84は、セキュリティ保護されたアーカイブ・ドライバ28により転送される各々のセッション・ストリームに対してセキュリティ保護されたアーカイブ・ドライバ28によって抽出される。受信された各々のアーカイブ単位641-Nに対して、コンテンツ識別子が任意的に抽出され、対応するセッションの識別をもってPEM30に渡される。この要求は、認証トークン82をもってセキュリティ保護されたリポジトリ・サーバ32に向けられる。認証トークン82により与えられる特定のユーザ又はオペレータ54の識別が与えられると、セキュリティ保護された制御識別子86により識別される暗号化キーの群が適合のために探索される。セキュリティ保護された適合が見出されるかどうかに応じて、選択的に暗号化解除キーを含む応答102が、セキュリティ保護されたアーカイブ・ドライバ28に戻される。暗号化解除キーがない場合には、対応するアーカイブ単位641-Nが、変更なしで、セキュリティ保護されたアーカイブ・ドライバを通して渡される。
【0035】
特に、セキュリティ保護されたデータ・セッションのコンテンツにアクセスするすべての試みは、アクセス要求が、リポジトリ・サーバ32にポストされて、分解されることを要求する。セキュリティ保護されたリポジトリ・サーバ32は、システムの初期化、シャットダウン、及び再スタート、異なるクライアント/サーバ・コンポーネント間のネットワーク接続及び切断、及びホスト、ポリシー、及びキーを含むクリティカル・セキュリティ・パラメータ(CPS)の動作要求をバックアップし回復させるといった一般的で管理的な動作情報を収集するためのアクセス要求ログを実施することが好ましい。さらに、要求時間、要求及び結果としてもたらされる応答を生じるシステムのネットワーク識別、及び要求されるバックアップ及び回復アーカイブ動作を含む個々の及びアクセス要求及びアクセス要求群に関する動作情報がログ記録される。各々のログ記憶イベントは、タイムスタンプ、イベント・タイプ識別子、セキュリティ保護された値、サブシステム識別子、成功値、動作の一部としてアクセスされるオブジェクト(キー、ポリシー、ホスト等)、及び任意的な動作記述と共に格納されることが好ましい。したがって、本発明は、成功した要求及び失敗した要求の両方を含む、すべてのセキュリティ保護されたデータ・アクセスに対して明確な監査機構を提供する。
【0036】
暗号化解除キーが戻されると102、セキュリティ保護されたアーカイブ・ドライバ28は、暗号化された対称キー761-N(A-X)の対応する1つを暗号化解除する。暗号化解除キーは、暗号化された対称キー761-N(A-X)に連続して適用されることが好ましく、暗号化解除はエンベロープ暗号化検証又は他の既知のテキスト検証技術を用いて検証されることが好ましい。対称キーの検証された暗号化が実現されると、対称キーは、対応するコンテンツ・セグメント681-Nを暗号化解除するのに用いられる。暗号化メタデータ・ヘッダ721-Nは廃棄され、結果としてもたらされるクリアテキスト・アーカイブ単位641-Nがアーカイブ・データ・ストリームに置換される。
【0037】
セッション・メタデータ・ヘッダの処理に対するセキュリティ保護されたアーカイブ・ドライバ28の好ましい実施110が図7に示される。制御及び構成プロセッサ112は、セキュリティ保護されたアーカイブ・ドライバ28内の一次制御モジュールとして実施されることが好ましい。アーカイブ単位・メタデータ・ヘッダ62が入力アーカイブ・データ・ストリーム60から受信されたとき、制御及び構成プロセッサ112は既知のアーカイブ・アプリケーション22セッション・ヘッダ識別子の内部カタログから、ヘッダ・フォーマットを識別する。アーカイブ単位・メタデータ62がアーカイブ・アプリケーション22から受信されると、制御及び構成プロセッサ112は、メタデータ・ヘッダ62をチェックして、典型的には、これが有効な制御識別子を含むように更新する。PEM30は、制御及び構成プロセッサ112の動作を監視して、PEM30内に固定的に維持されることが好ましい識別子格納部116にアクセスして、適当なセキュリティ保護された識別子を提供する。キー格納部166のコンテンツは、セキュリティ保護されたレポジトリ・サーバ32のコンテンツに対して、PEM30の動作により検証されることが好ましい。変更されたアーカイブ単位・メタデータ・ヘッダ62は、次いで、アウトバウンド・アーカイブ・データストリーム70に置換される118。
【0038】
図8は、アーカイブ単位641-Nの処理に関するセキュリティ保護されたアーカイブ・ドライバ28の好ましい実施120を示す。アーカイブ単位641-Nは、アーカイブ・アプリケーション22から受信され、メタデータ・ヘッダ661-Nは制御及び構成プロセッサ112により処理されて、セッション、及び、必要に応じてコンテンツ識別子112を抽出する。制御及び構成プロセッサ112は、PEM30内のセキュリティ保護されたキャッシュ格納部として維持されることが好ましい、キー・セット格納部124を通してキー群の要求をポストする。キー・セット格納部124のコンテンツは、セキュリティ保護されたリポジトリ・サーバ32により、PEM30の動作を通してバックされることが好ましい。1つ又はそれ以上のキー・セット、具体的には、セキュリティ保護されたアーカイブ・ドライバ28内に与えられた対称キーが、ランダムな対称キー生成器126から取得される。対称キーは、暗号化及び圧縮プロセッサ122に与えられる。圧縮が行われるかどうか判断するフラグを含む圧縮制御パラメータは、セキュリティ保護された制御識別子においてエンコードされるか、又は、好ましくは、暗号化キー群を伴う制御情報としてリポジトリ・サーバ32から戻される。制御及び圧縮プロセッサ112は、交換アーカイブ単位641-Nをアセンブルし、これらをアウトバウンド・アーカイブ・データ・ストリーム70に配置する役割のものである。アーカイブ単位641-Nが暗号化又は圧縮処理に対して識別されていない場合、制御及び構成プロセッサ112は、影響を受けたアーカイブ単位641-Nを直接アウトバウンド・アーカイブ・データ・ストリーム70に渡すように動作することが好ましい。
【0039】
セキュリティ保護されたアーカイブ・ドライバ28の好ましい実施形態によるアーカイブ単位641-Nの反転処理130が図9に示される。アーカイブ装置ドライバ20から受信されるアーカイブ・データ・ストリーム70のアーカイブ単位・メタデータ・ヘッダ661-N及び暗号化メタデータ・ヘッダ661-Nは、制御及び構成プロセッサ112により処理される。アーカイブ・メタデータ・ヘッダ661-Nからのセッション識別子の回復は、制御及び構成プロセッサ112が、適用可能なセッションのセキュリティ保護された識別子を、典型的には、以前にアーカイブ・データ・ストリーム70により処理されたアーカイブ単位・セッション・ヘッダ62から記録された識別子を参照することにより識別することを可能にする。適用性に応じて、コンテンツ識別子は、さらに、アーカイブ・メタデータ・ヘッダ661-Nから抽出される。コンテンツ・セグメント適用可能暗号化解除キーに対する要求は、PEM30のキー・セット格納部124にポストされる。候補暗号化解除キーが戻されると、制御及び構成プロセッサ112は、対応する暗号化メタデータ・ヘッダ661-N内に格納される対称暗号化キーのコピーを検証可能に暗号化解除する。回復された対称暗号化キーは、暗号化コンテンツ・セグメント741-Nからのクリアテキスト・コンテンツ・セグメント681-Nを構築するように、暗号化及び圧縮プロセッサ122により用いられる。圧縮パラメータは、さらに、暗号化メタデータ・ヘッダ661-Nから回復され、適用性に応じて、暗号化解除コンテンツ・セグメント741-Nを圧縮解除するように用いられる。以前のように、制御及び構成プロセッサ112は、交換アーカイブ単位641-Nをアセンブルし、これらをアウトバウンド・アーカイブ・データ・ストリーム60に配置する役割のものである。
【0040】
セキュリティ保護されたリポジトリ・サーバ32の好ましい実施形態が図10に示される。様々な動作シナリオの利便性ある使用を可能にするために、セキュリティ保護されたリポジトリ・サーバ32は、典型的には、図1に一般に示される、通常のネットワーク動作システムを実行する別のサーバ・コンピュータ・システムであるホストコンピュータ・システム12上で、又は、埋め込まれたネットワーク・オペレーティング・システムを用いて、同様に機器コンピュータ・システム上で、デーモン・プロセスとして実行可能なセキュリティ保護されたウェブ・サービス・モジュール142として実施されることが好ましい。実施は、カーネル・ベースではなく、デーモン・プロセス・アーキテクチャ上で、標準化することにより単純化される。同様に、標準的なウェブ・サービス・プロトコルを用いてアクセスを提供することは、システム管理及びネットワーク・プロキシ管理を単純化する。
【0041】
ウェブ・サービス要求の受信により、セキュリティ保護されたウェブ・サービス・デーモン142は、認証トークンに対する要求を認定する。本発明の好ましい実施形態においては、認証トークンはローカルでアクセス可能なスマートカード144、又は、同様なセキュリティ装置、又は、アクティブなディレクトリ又はLDAPセキュリティ・サービスを実施する外部のセキュリティ保護されたサーバ146のいずれかに対して検証される。認証トークンが検証されると、要求が考慮される。新規なアーカイブ・セッションを処理し、セキュリティ保護するために、ローカル・キー格納部144がアクセスされて、セキュリティ保護された制御識別子が判断した暗号化キーの群を検索する。セキュリティ保護されたアーカイブ・セッションを回復するために、認証トークンにより識別される暗号化キー対のプライベート・キー・メンバがローカル・キー格納部144から検索される。セキュリティ保護されたウェブ・サービス・デーモン142による初期要求及び最終的な応答の両方は、要求側PEM30とのセキュリティ保護されたネットワーク接続により転送される。
【0042】
本発明による使用のための暗号化キー群の準備は、セキュリティ保護されたリポジトリ・サーバ32をホストする、又は、セキュリティ保護されたリポジトリ・サーバ32に固定的に接続することができる、セキュリティ保護されたアーカイブ管理コンピュータ・システム上で実行されることが好ましい。図11に示されるように、管理プロセス150は、パブリック・キーの暗号化キー対を、管理的に定義されたキー群1561-Nに収集するのに用いられる。キー群1561-Nの各々は、独特なテキスト識別子1581-Nに割り当てられる。キーを群分けするための基準は、典型的には、アクセスニーズ及び権利の共通点に基づいて管理的に判断される。例えば、管理群は、典型的には、履歴的なアクセス可能性を保証するために、アーカイビング・エンティティ、会社又はビジネスにより用いられるマスターキーを含むように定義される。他のキー群は、典型的には、アーカイビング・データを読み取り、検査し、又は監査する権利を有すると指定される、アーカイブ・データ生成部門内部の又は外部のアーカイブ・データを生成した部門又はビジネス単位に対して、及び、組織又は他のエンティティに対して、定義される。結果として得られる個別のキー群1561-Nは、対応する独特なテキスト識別子1581-Nにより索引付けられるセキュリティ保護されたリポジトリ・サーバ32のローカル・キー格納部に格納される。
【0043】
本発明の好ましい実施形態においては、様々な情報をホストコンピュータ・システムから抽出し、個別のキー群1561-Nの使用を識別し認定するのに用いることができるデータストリーム60をアーカイブすることができる。ホストコンピュータ・システム12、アーカイブ・アプリケーション22、及びアーカイブ・データ・ストリーム60を識別する情報は、PEM30により直接取得されるか、又は、セキュリティ保護されたアーカイブ・ドライバ28により取得され、PEM30により処理して、セキュリティ保護されたリポジトリ・サーバ32に対する要求の一部として送られる属性セットを生成することができる。属性セットは、セキュリティ保護された制御識別子、認証トークン、アーカイブ・アプリケーションを稼動させるプロセス所有者のユーザ名又はID、ホストコンピュータ・システム12に割り当てられたIPアドレス及びDNS名、アーカイブ・アプリケーション22により指定された群ユーザID(GUID)及びハードウェア装置識別子、及び記述キーワード及びアーカイブされたコンテンツを識別するファイルシステムのメタデータを含む、アーカイブ・メタデータ・ヘッダ62及びアーカイブ単位・メタデータ・ヘッダ661-N内に存在するフィールドから抽出された情報を含むことが好ましい。属性セットは、さらに、アーカイブ・アプリケーション識別子、アーカイブ・アプリケーションを呼び出すのに用いられるコマンド・ライン・ストリングを含むことができる。
【0044】
アーカイブ・セッションの暗号化処理に用いられる、選択的検索暗号化キー群1561-Nの好ましいプロセス160が図12に示される。セキュリティ保護されたリポジトリ・サーバ32は、好ましくは、コンテンツ識別子86及び他の属性セットのデータによりさらに認定された、同時に与えられたセキュリティ保護された制御識別子84により識別されるキー群に関連する暗号化キー対を戻す要求に応じて動作する。これに応じて、セキュリティ保護されたリポジトリ・サーバ32は、ここでは少なくともキー群1562及び156Nを含むように示される対応するキー群を識別する162。本発明によれば、暗号化キー群1561-Nは、暗号化キー回転をサポートするために、暗号化キー群1561-Nのいずれか又はすべてに付加的な暗号化キー対を含むことができる。すなわち、例えば、部又は他のエンティティは、アーカイビング・データに用いられる2つ又はそれ以上の割り当てられたパブリック暗号化キーを有することができる。この回転サブグループに関連するアクセス権は、或いは、同一である。管理的に定義されたスケジュールに基づいたセキュリティ保護されたリポジトリ・サーバは、順番に、使用可能なパブリック暗号化キー対の1つを、対応するキー群1561-Nの代表メンバとして副選択し164、次いで、最初の要求に応じて、実際に戻される166。この方法によるキーの回転は、回転群における暗号化キーのいずれか1つが犠牲になるようなことがある場合には、セキュリティ保護された露出が減少される。
【0045】
本発明により構築されたセキュリティ保護されたアーカイビング・システムは、使用可能なリポジトリ・サーバ32の位置及び数に関して様々なモードで分散及び動作することができる。図13に一般に示されるように、セキュリティ保護されたアーカイビング・システム170のPEM30は、同じホストコンピュータ・システム12上に一緒に常駐し、実行されるローカルなセキュリティ保護されたリポジトリ・サーバ32と接続し、これを用いることができる。セキュリティ保護されたリポジトリ・サーバ32の好ましいウェブ・サービス実施と一致して、セキュリティ保護されたローカルなネットワークベースの接続が、PEM30とセキュリティ保護されたリポイトリ・サーバ32との間でサポートされる。
【0046】
これの代わりに又はこれに加えて、サーバ・コンピュータ・システム及び機器のあらゆる組み合わせにおいて実施されるリモート・システム1721-Nは、別個のセキュリティ保護されたリポジトリ・サーバ32をサポートすることができる。これらのリモート・システム1721-Nは、セキュリティ保護されたネットワーク接続174を通してアクセス可能であることが好ましい。好ましい実施形態においては、これらのリモート・システム1721-Nの各々は、同じ及び異なるキー群1561-Nの組を格納して、一般化された冗長性を与え、並びに、リモート・システム1721-Nの組み合わされたネットワークに対して管理的に適切であると判断された専門化を可能にすることができる。PEM30は、リモート・システム1721-Nの持続リストを維持し、潜在的に、リモート・システム1721-Nのいずれかに接続が行われたときはいつでも、リモート・システム1721-Nのいずれかから管理的に更新可能又は自動的に更新可能であることが好ましい。この構成は、PEM30が動作を可能にするのに必要な情報のための様々なセキュリティ保護されたリポジトリ・サーバ32を検索することを可能にする。
【0047】
別のセキュリティ保護されたアーカイビング・システム構成180が図14に示される。以前のように、セキュリティ保護されたアーカイビング・システム182には、ネットワーク174により、セキュリティ保護されたリポジトリ・サーバ32をホストするリモート・システム1721-Nへのアクセスが配備されている。さらに、1つ又はそれ以上の制限された又は付属のセキュリティ保護されたアーカイブ・リーダ・システム1841-Nもまた、リモート・システム1721-Nへのネットワーク・アクセスが与えられている。付属のシステム1841-Nの各々は、標準的なPEM30とは異なる制限されたPEM186を実施することが好ましい。好ましい実施形態における特定の差異は、制限されたPEM186が関連するセキュリティ保護されたアーカイブ・ドライバ28による処理を可能にするアーカイブ・データを制御する効果をもつ任意のものである。好ましい制限の組は、セキュリティ保護されたアーカイブ・ストリームの生成に対する制限を含み、これによって、読み取り専用動作を実施する。別の制限は、セキュリティ保護されたリポジトリ・サーバ32に対する要求に所定の認証トークンを用いることに対する限定であり、これによってセキュリティ保護されたアーカイブ・データへのアクセスを明確な組に制約する。この限定を実施することにより、管理者が、セキュリティ保護されたリポジトリ・サーバ32により格納されたキー群1561-Nを改変することによって、対応する付属のシステム1841-Nのアクセス特権を効果的に制御又は無効にすることを可能にする。さらに、個々の制限されたPEM186に割り当てられた付属のシステム1841-N又は独特な識別子のドメイン・アドレスに基づくキー群1561-Nへのアクセスに対する管理的な制限は、付属のシステム1841-Nの動作を選択的に制限するように確立することができる。アクセス可能なリモート・システム1721-Nのセキュリティ保護されたリポジトリ・サーバ32からのキー群1561-Nの除去は、すべてのアクセス権を全体的に無効にする。
【0048】
このように、セキュリティ保護されたデータのアーカイビングを提供するシステム及び方法が説明された。本発明は、特にテープ及びハード・ディスク・ベースの格納媒体に関して説明されたが、本発明は、他の形態の媒体及び対応する様々な媒体制御システムに等しく適用可能である。
【0049】
本発明の好ましい実施形態の上の説明により、開示される実施形態の多数の修正及び変更は、当業者により容易に理解されるであろう。したがって、特許請求の範囲内で、本発明は、特に上述されたものとは別の方法で実施することが理解される。
【図面の簡単な説明】
【0050】
【図1】本発明の好ましい実施形態を実施する分散アーカイビング・システムの構造的なブロック図である。
【図2】多数のアーカイビング・データ・セッションを組み込む論理的アーカイビングデータ・ストリームを示す単純化されたブロック図である。
【図3】本発明の好ましい実施形態によるアーカイブ・データ・ストリームのインターリービング取得を示す単純化されたブロック図である。
【図4】本発明の好ましい実施形態によるアーカイビング・アプリケーションにより生成されるインターリーブされたアーカイブ・データ・ストリームを示すブロック図を提供する。
【図5】アーカイブ単位データ・セグメントの選択的な暗号化のために与えられる本発明の好ましい実施形態により処理されたインターリーブされたアーカイブ・データ・ストリームのブロック図である。
【図6A】本発明の好ましい実施形態によるコンテンツ・データ・セグメントの暗号化及び暗号化解除を有効にし、可能にする好ましい処理を示す状態図を提供する。
【図6B】本発明の好ましい実施形態によるコンテンツ・データ・セグメントの暗号化及び暗号化解除を有効にし、可能にする好ましい処理を示す状態図を提供する。
【図7】本発明の好ましい実施形態によるアーカイブ・セッション・データ・ヘッダの処理のために提供されるアーカイブ・セキュリティ・コントローラのブロック図である。
【図8】本発明の好ましい実施形態によるセキュリティ保護されたアーカイブ単位を生成するようにアーカイブ単位を処理するために提供されるアーカイブ・セキュリティ・コントローラのブロック図である。
【図9】本発明の好ましい実施形態と関連して用いられるセキュリティ保護されたキー群を生成するための好ましい手順を示す単純化されたプロセス図である。
【図10】本発明の好ましい実施形態によるアーカイブ単位データ・セグメントのセキュリティ保護された回復可能な暗号化のために提供される好ましい方法を示す単純化されたプロセス図である。
【図11】本発明の好ましい実施形態によるクリアテキスト・アーカイブ単位を生成するセキュリティ保護されたアーカイブ単位の処理を提供するアーカイブ・セキュリティ・コントローラのブロック図である。
【図12】本発明の好ましい実施形態により実施されるセキュリティ保護されたリポジトリ・サーバのブロック図である。
【図13】本発明の好ましい実施形態によるローカル及びリモートのセキュリティ保護されたキー・リポジトリのいずれか又は両方の使用をサポートする配置構造を示すシステム・ブロック図である。
【図14】本発明の好ましい実施形態により実施される付属の又は読み取り専用アーカイブ・データ・アクセス・システムをサポートする配置構造を示すシステム・ブロック図である。
【特許請求の範囲】
【請求項1】
a)ホストコンピュータ・システム上で実行するように与えられたデータ格納スタック、
を含み、前記データ格納スタックは、アーカイビング・アプリケーションと、データ格納装置と、格納装置ドライバとを含み、前記アーカイビング・アプリケーションは、前記データ格納装置に関して、前記格納装置ドライバによりアーカイブ・セッション・データ・ストリームの制御された転送を与え、前記アーカイブ・セッション・データ・ストリームは、セッション・ヘッダと複数のデータ・セグメントとを含み、前記セッション・ヘッダは所定のデータを含んでおり、
b)前記アーカイビング・アプリケーションと前記格納装置ドライバとの間に置かれ、その間の前記アーカイブ・セッション・データ・ストリームの移送を与えるセキュリティ保護された格納制御層、
を含み、前記セキュリティ保護された格納制御層は、前記複数のデータ・セグメントの選択的な暗号化処理を与える暗号化エンジンを含んでおり、
c)前記セキュリティ保護された格納制御層に連結されたセキュリティ保護されたポリシー・コントローラ、
を含み、該コントローラは、セキュリティ保護された格納リポジトリから前記セキュリティ保護されたポリシー・コントローラにより検索可能な暗号化キーを識別する前記所定のデータに応答し、前記セキュリティ保護されたポリシー・コントローラは、前記暗号化キーを前記暗号化エンジンに与えるように動作する、
ことを特徴とするセキュリティ保護されたデータ・アーカイビング・システム。
【請求項2】
前記セッション・ヘッダは前記アーカイビング・アプリケーションにより定義される所定の構造体を有し、前記所定のデータは、前記アーカイビング・アプリケーションに対して機能的に透明な前記セッション・ヘッダ内に含まれ、持続することを特徴とするセキュリティ保護された請求項1に記載のデータ・アーカイビング・システム。
【請求項3】
前記セキュリティ保護されたポリシー・コントローラは、前記所定のデータをデコードして前記暗号化キーを識別するようにし、前記セキュリティ保護されたポリシー・コントローラは前記暗号化キーを用いる承認を判断するための手段をさらに含むことを特徴とする請求項2に記載のセキュリティ保護されたデータ・アーカイビング・システム。
【請求項4】
前記暗号化キーは、前記データ・セグメントの選択的な暗号化処理を可能にすることを特徴とする請求項3に記載のセキュリティ保護されたデータ・アーカイビング・システム。
【請求項5】
前記所定のデータは、セキュリティ保護されたリポジトリ内に持続される暗号化キーの所定の群を識別し、前記暗号化キーの所定の群は前記暗号化キーを含み、前記承認は、前記暗号化キーを、前記暗号化キーの所定の群の中の前記セキュリティ保護されたリポジトリから検索することを選択的に可能にすることを特徴とする請求項4に記載のセキュリティ保護されたデータ・アーカイビング・システム。
【請求項6】
アーカイブ・セッションを構成するデータ・セグメントがアーカイブ・アプリケーションとアーカイブ装置との間でストリームされる、多数のセキュリティ保護されたデータ・アクセスを受けるデータをアーカイビングするための方法であって、
a)所定のアーカイブ・セッション・ストリームから所定のアクセス制御群の識別子を抽出する
ステップを含み、前記所定のアクセス制御群は予め定義された暗号化キーの組を各々が含む複数の識別可能なアクセス制御群の1つであり、前記識別子は前記アーカイブ・アプリケーション及び前記アーカイブ装置に関して機能的に透明な前記所定のアーカイブ・セッション・ストリームに埋め込まれており、
b)前記所定のアクセス制御群にアクセスして、前記所定のアクセス制御群内に含まれる所定の暗号化キーを取得し、
c)前記所定の暗号化キーを前記アーカイブ・アプリケーションと前記アーカイブ装置との間に与えられる暗号化エンジンに適用し、
d)前記所定のアーカイブ・セッション・ストリームを前記暗号化エンジンにより処理する、
ステップを含むことを特徴とする方法。
【請求項7】
前記アクセスするステップは、前記所定のアクセス制御群に含まれる前記予め定義された暗号化キーの組を評価して、前記所定の暗号化キーの選択を安全に有効にするステップを含むことを特徴とする請求項6に記載の方法。
【請求項8】
前記処理するステップは、前記所定のアーカイブ・セッション・ストリームの所定の暗号化データ・セグメントに関して、前記所定の暗号化キーを用いて、前記暗号化データ・セグメントからのセグメント暗号化キーを暗号化解除する第1のステップと、前記セグメント暗号化キーを用いて、前記暗号化データ・セグメントからのセグメント・データを暗号化解除する第2のステップとを含むことを特徴とする請求項7に記載の方法。
【請求項9】
前記処理するステップは、前記所定のアーカイブ・セッション・ストリームの所定のクリアテキスト・データ・セグメントに関して、
a)所定のセグメント暗号化キーを用いて、前記所定のクリアテキスト・データ・セグメントを暗号化して、所定の暗号化データ・セグメントを生成し、
b)前記所定の暗号化キーを用いて、前記所定のセグメント暗号化キーを、前記所定のアーカイブ・セッション・ストリームにおける前記所定の暗号化データ・セグメントと関連付ける、
ステップを含むことを特徴とする請求項7に記載の方法。
【請求項10】
持続性格納媒体に連結されたセキュリティ保護された格納サーバ・コンピュータ上のシステム・コンポーネントの実行により実施されるセキュリティ保護されたデータ・アーカイビング・システムであって、
a)アーカイブ・セッションを制御するアーカイビング・アプリケーション
を含み、アーカイブ・データ・ストリームがアーカイブ装置と前記アーカイビング・アプリケーションとの間で転送され、前記アーカイビング・アプリケーションは、前記アーカイブ・セッションの一部としてセッション補助データの持続的な格納のために与えられるものであり、
b)前記アーカイブ・データ・ストリームに関して、前記アーカイビング・アプリケーションと前記アーカイブ装置との間に置かれたデータ・セキュリティ・ドライバ
を含み、前記データ・セキュリティ・ドライバは、前記アーカイブ・データ・ストリームからの前記セッション補助データの回復、及び、前記アーカイブ・データ・ストリーム内で転送されるデータ・セグメントの選択的な暗号化処理を与えるデータ・プロセッサを含んでおり、
c)前記データ・セキュリティ・ドライバに連結されて、前記セッション補助データを受信し、これに応答して、所定のポリシー管理制御に選択的に依存して、セッション暗号化キーを前記データ・セキュリティ・ドライバに与えるポリシー管理コントローラ、
を含むことを特徴とするセキュリティ保護されたデータ・アーカイビング・システム。
【請求項11】
前記セッション補助データは、前記アーカイビング・アプリケーションに関して非機能データであり、前記補助データは前記ポリシー管理コントローラにより処理されて、前記データストリーム内で転送された所定のデータ・セグメントに適用可能な暗号化キーのポリシー群を機能的に識別することを特徴とする請求項10に記載のセキュリティ保護されたアーカイビング・システム。
【請求項12】
複数の暗号化キーのポリシー群の持続的な格納を与えるセキュリティ保護されたリポジトリをさらに含み、前記複数のポリシー群の各々は、前記補助データの処理に応じて、前記ポリシー管理コントローラにより独特に識別可能であることを特徴とする請求項11に記載のセキュリティ保護されたアーカイビング・システム。
【請求項13】
前記ポリシー管理コントローラは、認証された識別子を取得するように動作し、前記認証識別子に応じて、さらに、所定の暗号化キーを前記セッション暗号化キーとして前記暗号化キーのポリシー群から選択するように動作し、前記セッション暗号化キーを前記データ・セキュリティ・ドライバに与え、前記データ・セキュリティ・ドライバは、前記セッション暗号化キーに関して、前記所定のデータ・セグメントの選択的な暗号化処理を可能にするように動作することを特徴とする請求項12に記載のセキュリティ保護されたアーカイビング・システム。
【請求項14】
前記データ・セキュリティ・ドライバは、前記セッション暗号化キーを前記所定のデータ・セグメントに適用することにより、前記所定のデータ・セグメントからのセグメント暗号化キーを暗号化解除するように動作することを特徴とする請求項13に記載のセキュリティ保護されたアーカイビング・システム。
【請求項15】
前記データ・セキュリティ・ドライバは、セグメント暗号化キーを用いて、前記所定のデータ・セグメントを暗号化するように動作し、前記データ・セキュリティ・ドライバは、さらに、前記所定のセッション暗号化キーを用いて暗号化し、暗号化されたように、前記セグメント暗号化キーを前記所定のデータ・セグメントに取り付けるように動作することを特徴とする請求項13に記載のセキュリティ保護されたアーカイビング・システム。
【請求項16】
a)アーカイブ・データ・ストリームをアーカイブ・データ格納装置に関して転送するように動作するアーカイビング・アプリケーションを含むサーバ・コンピュータ・システム
を含み、前記アーカイブ・データ・ストリームは、一連のアーカイブ・データ単位を含み、各々の前記アーカイブ・データ単位は第1のメタデータ単位とデータ・セグメントとを含み、
b)前記アーカイビング・アプリケーションと前記アーカイブ・データ格納装置との間に置かれたセキュリティ保護されたドライバ
を含み、前記セキュリティ保護されたドライバは、前記アーカイブ・データ・ストリームを選択的に処理するようにされた暗号化コントローラを含み、選択されたアーカイブ・データ単位に対して、前記暗号化コントローラは、前記選択されたアーカイブ・データ単位のデータ・セグメントを、所定の暗号化キーを用いて、第2のメタデータ単位及び前記選択されたアーカイブ・データ単位の前記データ・セグメントの暗号化により生成される暗号化されたデータ・セグメントと交換するように動作し、前記暗号化コントローラはさらに、前記所定の暗号化キーを前記第2のメタデータ単位にエンコードするように動作する、
ことを特徴とするセキュリティ保護されたデータ・アーカイビング・システム。
【請求項17】
前記暗号化コントローラは、さらに、前記所定の暗号化キーを前記第2のメタデータ単位に多重エンコードするように動作することを特徴とする請求項16に記載のキュリティ保護されたデータ・アーカイビング・システム。
【請求項18】
ポリシー・コントローラをさらに含み、前記暗号化コントローラは、前記ポリシー・コントローラに連結されて一組の暗号化キーを受信し、前記暗号化コントローラは、前記暗号化キーの組のそれぞれを用いて、前記所定の暗号化キーを前記第2のメタデータ単位にエンコードするように動作することを特徴とする請求項17に記載のキュリティ保護されたデータ・アーカイビング・システム。
【請求項19】
前記ポリシー・コントローラは、前記暗号化キーの組の検索を可能にするセキュリティ保護されたレポジトリに連結可能であることを特徴とする請求項18に記載のセキュリティ保護されたデータ・アーカイビング・システム。
【請求項20】
前記暗号化コントローラは、所定のポリシー情報を前記アーカイブ・データ・ストリームから抽出するように動作し、前記ポリシー・コントローラは前記所定のポリシー情報に応答して、前記暗号化キーの組の選択を前記セキュリティ保護されたリポジトリから求めることを特徴とする請求項19に記載のキュリティ保護されたデータ・アーカイビング・システム。
【請求項21】
コンピュータ・システムにより転送されるアーカイブ・データをセキュリティ保護するための方法であって、
a)アーカイビング・アプリケーションとアーカイブ装置との間の移行において、アーカイブ・データ・ストリームを遮る
ステップを含み、前記アーカイブ・データ・ストリームは一連のデータ単位を含み、各々の前記データ単位は、単位メタデータ・ヘッダ及びデータ・セグメントを含み、
前記一連のデータ単位を処理する
ステップを含み、所定のデータ単位に対して、前記処理するステップは、交換データ単位を、前記アーカイブ・データ・ストリームにおける前記所定のデータ単位に置換し、前記処理ステップは、
i)前記所定のデータ単位に対応するセグメント暗号化キーを選択し、
ii)第1に、前記所定のデータ単位の前記データ・セグメントを前記セグメント暗号化キーにより暗号化して、暗号化データ・セグメントを生成し、
iii)第2に、一組のセキュリティ制御暗号化キーの各々により前記セグメント暗号化キーを暗号化し、暗号化されたように、前記セグメント暗号化キーをセキュリティ・メタデータ・ヘッダに格納し、
iv)前記単位メタデータ・ヘッダ、前記セキュリティ保護されたメタデータ・ヘッダ、及び前記暗号化されたデータ・セグメントを前記交換データ単位としてパッケージする、
ステップを含むことを特徴とする方法。
【請求項22】
前記処理するステップは、前記セグメント暗号化キーを選択的に生成するステップをさらに含み、各々の前記セキュリティ制御暗号化キーの組は、非対称暗号化キー対のメンバであることを特徴とする請求項21に記載の方法。
【請求項23】
a)前記アーカイブ・データ・ストリームから一組の暗号化群の識別子を取得し、
b)前記一組の暗号化群の識別子に基づいて、前記一組のセキュリティ保護された制御暗号化キーを検索する、
ステップを含むことを特徴とする請求項22に記載の方法。
【請求項24】
前記検索するステップは、前記一組のセキュリティ保護された制御暗号化キーをセキュリティ保護されたリポジトリから検索することを与えることを特徴とする請求項23に記載の方法。
【請求項25】
a)データ・アーカイブ装置と、前記データ・アーカイブ装置に連結されたアーカイブ・ドライバと、サーバ・コンピュータ・システムにより実行されるデータ・アーカイビング・アプリケーション・プログラムとを含み、前記アーカイブ・ドライバにより、前記データ・アーカイビング・アプリケーションと前記データ・アーカイブ装置との間のデータストリームの転送を与えるサーバ・コンピュータ・システム
を含み、前記データストリームは、アーカイブ・セッション・ヘッダ及び一連のアーカイブ単位を有し、各々のアーカイブ単位は、メタデータ・ヘッダ及びペイロード・データ・セグメントを含んでおり、
b)前記アーカイブ・ドライバと前記アーカイビング・アプリケーション・プログラムとの間に連結されたアーカイブ・データのセキュリティ保護された層
を含み、前記アーカイブ・データのセキュリティ保護された層は、前記データストリーム内の前記アーカイブ・データ・セッションの前記ペイロード・データ・セグメントを選択的に暗号化するように動作し、前記暗号化コントローラはさらに、前記ペイロード・データ・セグメントを、前記データストリーム内の前記アーカイブ・データ・セッションに含まれる暗号化ヘッダに暗号化するのに用いられる所定の暗号化キーを安全にエンコードするように動作する、
ことを特徴とするセキュリティ保護されたデータ・アーカイビング・システム。
【請求項26】
前記アーカイブ・データ・セキュリティ層に連結されたポリシー実施モジュールをさらに含み、前記ポリシー実施モジュールはセキュリティ保護されたデータ・リポジトリに連結可能であり、前記ポリシー実施モジュールは、前記データ・アーカイビング・アプリケーションに対して機能的に透明な前記アーカイブ・セッション・ヘッダにおいてエンコードされる所定のセッション制御データに応答して、前記セキュリティ保護されたデータ・リポジトリからの暗号化キー群のポリシーの組の選択を判断し、前記暗号化コントローラは、前記群のポリシーの組のメンバ暗号化キーを用いて、前記所定の暗号化キーを前記暗号化ヘッダにそれぞれエンコードするように動作する、
ことを特徴とする請求項25に記載のセキュリティ保護されたデータ・アーカイビング・システム。
【請求項27】
a)データ・アーカイブ装置と、前記データ・アーカイブ装置に連結されたアーカイブ・ドライバと、サーバ・コンピュータ・システムにより実行されるデータ・アーカイビング・アプリケーション・プログラムとを含み、前記アーカイブ・ドライバにより、前記データ・アーカイビング・アプリケーションと前記データ・アーカイブ装置との間のデータストリームの転送を与えるサーバ・コンピュータ・システム
を含み、前記データストリームは、アーカイブ・セッション・ヘッダ及び一連のアーカイブ単位を有し、各々のアーカイブ単位は、メタデータ・ヘッダ及びペイロード・データ・セグメントを含んでおり、
b)前記アーカイブ・ドライバと前記アーカイビング・アプリケーション・プログラムとの間に連結されたアーカイブ・データのセキュリティ保護された層
を含み、前記アーカイブ・データのセキュリティ保護された層は、前記データストリーム内の前記アーカイブ・データ・セッションに含まれる暗号化ヘッダを読み取るように動作して、所定の暗号化キーを前記暗号化ヘッダからデコードし、前記暗号化コントローラはさらに、前記所定の暗号化キーを用いて、前記データストリーム内の前記アーカイブ・データ・セッションの前記ペイロード・データ・セグメントを選択的に暗号化解除するように動作する、
ことを特徴とするセキュリティ保護されたデータ・アーカイビング・システム。
【請求項28】
前記アーカイブ・データ・セキュリティ層に連結されたポリシー実施モジュールをさらに含み、前記ポリシー実施モジュールはセキュリティ保護されたデータ・リポジトリに連結可能であり、前記ポリシー実施モジュールは、前記データ・アーカイビング・アプリケーションに対して機能的に透明な前記アーカイブ・セッション・ヘッダにおいてエンコードされる所定のセッション制御データに応答して、前記セキュリティ保護されたデータ・リポジトリからの暗号化キー群のポリシーの組の選択を判断し、前記暗号化コントローラは、前記群のポリシーの組のメンバ暗号化キーの1つを用いて、前記暗号化ヘッダからの前記所定の暗号化キーを検証してデコードするように動作する、
ことを特徴とする請求項27に記載のセキュリティ保護されたデータ・アーカイビング・システム。
【請求項29】
データ・アーカイブに対するアクセスを選択的に制御するためのシステムであって、
a)媒体サーバ・コンピュータ・システムによりホストされ、アーカイブ・セッションとして論理的に組織化されたデータの持続的な格納を与えるアーカイブ
を含み、所定のアーカイブ・セッションは、セッション・メタデータと、第1の複数のアーカイブ・メタデータ・セグメントと、第2の複数のアーカイブ・データ・セグメントとを含み、前記アーカイブ・データ・セグメントは暗号化され、所与のアーカイブ・データ・セグメントに対して、データ・セグメント暗号化キーは、前記所与のアーカイブ・データ・セグメントに対して定められた対応を有する所与のアーカイブ・メタデータ・セグメントにおいてエンコードされ、
b)暗号化キーの組を格納するセキュリティ保護されたリポジトリ・サーバ
を含み、前記セキュリティ保護されたリポジトリ・サーバは、前記暗号化キーの組の対応する1つの選択に対するポリシー識別子に応答し、
c)クライアント・コンピュータ・システムによりホストされ、前記所定のアーカイブ・セッションに対するアクセスのために、前記媒体サーバ・コンピュータ・システムに連結可能なアーカイブ・データ・リーダ
を含み、前記アーカイブ・データ・リーダは、前記セッション・メタデータから取得された認証トークン及び前記ポリシー識別子を、前記セキュリティ保護されたリポジトリ・サーバに提示して、前記暗号化キーの組の前記対応する1つにアクセスし、前記アーカイブ・データ・リーダは、前記暗号化キーの組の前記対応する1つが与えられると、前記所与のアーカイブ・メタデータ・セグメントからの前記データ・セグメント暗号化キーをデコードして、前記所与のアーカイブ・データ・セグメントを暗号化解除するように動作する、
ことを特徴とするシステム。
【請求項30】
前記アーカイブ・リーダは、前記認証トークン及び前記ポリシー識別子に基づいて、所定の暗号化キーを前記暗号化キーの組の前記対応する1つから検索するように動作し、前記ポリシー・コントローラは、さらに、所定の使用制御を受ける前記所定の暗号化キーを過渡的に維持するように動作することを特徴とする請求項29に記載のシステム。
【請求項31】
前記ポリシー・コントローラは、前記所定の暗号化キーを、アーカイブ・データ読み取りセッションの持続時間だけ過渡的に維持することを特徴とする請求項30に記載のシステム。
【請求項32】
前記ポリシー・コントローラは、前記所定の暗号化キーを、所定の時間期間だけ過渡的に維持することを特徴とする請求項30に記載のシステム。
【請求項33】
前記ポリシー・コントローラは、前記所定の暗号化キーを、所定のアーカイブ・データ読み取りセッション数の持続期間だけ過渡的に維持することを特徴とする請求項30に記載のシステム。
【請求項34】
前記セキュリティ保護されたリポジトリ・サーバは、前記セキュリティ保護されたリポジトリ・サーバと等価に実行することができる複数のセキュリティ保護されたリポジトリ・サーバの1つであることを特徴とする請求項30に記載のシステム。
【請求項35】
前記複数のセキュリティ保護されたリポジトリ・サーバは、通信ネットワークにより前記アーカイブ・データ・リーダに連結可能であることを特徴とする請求項34に記載のシステム。
【請求項36】
前記アーカイブ・データ・リーダは、前記アーカイブ・データ・リーダと等価に実行することができる複数のアーカイブ・データ・リーダの1つであり、前記複数のアーカイブ・データ・リーダは、前記通信ネットワークにより前記媒体サーバ・システムに連結可能であることを特徴とする請求項35に記載のシステム。
【請求項37】
アーカイブ・データ・リーダ・コンピュータ・システムのユーザにより、アーカイブ・データ媒体サーバからのアーカイブ・データの読み取りを安全に制御するための方法であって、
a)複数のアーカイブ・データ・リーダ・ユーザのサブグループにより用いられる識別トークンを定義し、
b)アーカイブ・データ媒体サーバから要求側アーカイブ・データ・リーダ・コンピュータ・システムへのアーカイブ・データ・セッションを表わすアーカイブ・データ・ストリームの転送を可能にし、
c)定義された識別トークン及び前記アーカイブ・データ・ストリームから取得された群の識別の提示に応じて、暗号化キーをセキュリティ保護されたリポジトリ・サーバから検索し、
d)第1に、前記暗号化キーを用いて、前記アーカイブ・データ・ストリームからのセッション暗号化キーを暗号化解除し、
e)第2に、前記セッション暗号化キーを用いて、前記アーカイブ・データ・ストリームからのデータを暗号化解除する、
ステップを含み、
前記第1の暗号化解除ステップは、前記アーカイブ・データ・セッションが生成されたセキュリティ保護されたポリシーに応じた条件付きのものであることを特徴とする方法。
【請求項38】
前記群の識別子は、前記セキュリティ保護されたリポジトリ・サーバにより格納される予め定義された暗号化キーの群を選択し、前記予め定義された群に含まれる特定の暗号化キーは、前記セキュリティ保護されたポリシーにより判断され、前記方法は、前記暗号化キーが前記予め定義された暗号化キーの群に存在するかどうか判断して、前記第1の暗号化解除ステップが前記セキュリティ保護されたポリシーに基づいて選択的に阻止されるようにするステップをさらに含むことを特徴とする請求項37に記載の方法。
【請求項39】
前記セキュリティ保護されたリポジトリ・サーバにより、前記検索するステップと関連して前記セキュリティ保護されたリポジトリ・サーバに提示される所定の識別情報を記録して、前記アーカイブ・データ・セッションのアクセスが信頼性をもって監査可能であるようにするステップをさらに含むことを特徴とする請求項38に記載の方法。
【請求項1】
a)ホストコンピュータ・システム上で実行するように与えられたデータ格納スタック、
を含み、前記データ格納スタックは、アーカイビング・アプリケーションと、データ格納装置と、格納装置ドライバとを含み、前記アーカイビング・アプリケーションは、前記データ格納装置に関して、前記格納装置ドライバによりアーカイブ・セッション・データ・ストリームの制御された転送を与え、前記アーカイブ・セッション・データ・ストリームは、セッション・ヘッダと複数のデータ・セグメントとを含み、前記セッション・ヘッダは所定のデータを含んでおり、
b)前記アーカイビング・アプリケーションと前記格納装置ドライバとの間に置かれ、その間の前記アーカイブ・セッション・データ・ストリームの移送を与えるセキュリティ保護された格納制御層、
を含み、前記セキュリティ保護された格納制御層は、前記複数のデータ・セグメントの選択的な暗号化処理を与える暗号化エンジンを含んでおり、
c)前記セキュリティ保護された格納制御層に連結されたセキュリティ保護されたポリシー・コントローラ、
を含み、該コントローラは、セキュリティ保護された格納リポジトリから前記セキュリティ保護されたポリシー・コントローラにより検索可能な暗号化キーを識別する前記所定のデータに応答し、前記セキュリティ保護されたポリシー・コントローラは、前記暗号化キーを前記暗号化エンジンに与えるように動作する、
ことを特徴とするセキュリティ保護されたデータ・アーカイビング・システム。
【請求項2】
前記セッション・ヘッダは前記アーカイビング・アプリケーションにより定義される所定の構造体を有し、前記所定のデータは、前記アーカイビング・アプリケーションに対して機能的に透明な前記セッション・ヘッダ内に含まれ、持続することを特徴とするセキュリティ保護された請求項1に記載のデータ・アーカイビング・システム。
【請求項3】
前記セキュリティ保護されたポリシー・コントローラは、前記所定のデータをデコードして前記暗号化キーを識別するようにし、前記セキュリティ保護されたポリシー・コントローラは前記暗号化キーを用いる承認を判断するための手段をさらに含むことを特徴とする請求項2に記載のセキュリティ保護されたデータ・アーカイビング・システム。
【請求項4】
前記暗号化キーは、前記データ・セグメントの選択的な暗号化処理を可能にすることを特徴とする請求項3に記載のセキュリティ保護されたデータ・アーカイビング・システム。
【請求項5】
前記所定のデータは、セキュリティ保護されたリポジトリ内に持続される暗号化キーの所定の群を識別し、前記暗号化キーの所定の群は前記暗号化キーを含み、前記承認は、前記暗号化キーを、前記暗号化キーの所定の群の中の前記セキュリティ保護されたリポジトリから検索することを選択的に可能にすることを特徴とする請求項4に記載のセキュリティ保護されたデータ・アーカイビング・システム。
【請求項6】
アーカイブ・セッションを構成するデータ・セグメントがアーカイブ・アプリケーションとアーカイブ装置との間でストリームされる、多数のセキュリティ保護されたデータ・アクセスを受けるデータをアーカイビングするための方法であって、
a)所定のアーカイブ・セッション・ストリームから所定のアクセス制御群の識別子を抽出する
ステップを含み、前記所定のアクセス制御群は予め定義された暗号化キーの組を各々が含む複数の識別可能なアクセス制御群の1つであり、前記識別子は前記アーカイブ・アプリケーション及び前記アーカイブ装置に関して機能的に透明な前記所定のアーカイブ・セッション・ストリームに埋め込まれており、
b)前記所定のアクセス制御群にアクセスして、前記所定のアクセス制御群内に含まれる所定の暗号化キーを取得し、
c)前記所定の暗号化キーを前記アーカイブ・アプリケーションと前記アーカイブ装置との間に与えられる暗号化エンジンに適用し、
d)前記所定のアーカイブ・セッション・ストリームを前記暗号化エンジンにより処理する、
ステップを含むことを特徴とする方法。
【請求項7】
前記アクセスするステップは、前記所定のアクセス制御群に含まれる前記予め定義された暗号化キーの組を評価して、前記所定の暗号化キーの選択を安全に有効にするステップを含むことを特徴とする請求項6に記載の方法。
【請求項8】
前記処理するステップは、前記所定のアーカイブ・セッション・ストリームの所定の暗号化データ・セグメントに関して、前記所定の暗号化キーを用いて、前記暗号化データ・セグメントからのセグメント暗号化キーを暗号化解除する第1のステップと、前記セグメント暗号化キーを用いて、前記暗号化データ・セグメントからのセグメント・データを暗号化解除する第2のステップとを含むことを特徴とする請求項7に記載の方法。
【請求項9】
前記処理するステップは、前記所定のアーカイブ・セッション・ストリームの所定のクリアテキスト・データ・セグメントに関して、
a)所定のセグメント暗号化キーを用いて、前記所定のクリアテキスト・データ・セグメントを暗号化して、所定の暗号化データ・セグメントを生成し、
b)前記所定の暗号化キーを用いて、前記所定のセグメント暗号化キーを、前記所定のアーカイブ・セッション・ストリームにおける前記所定の暗号化データ・セグメントと関連付ける、
ステップを含むことを特徴とする請求項7に記載の方法。
【請求項10】
持続性格納媒体に連結されたセキュリティ保護された格納サーバ・コンピュータ上のシステム・コンポーネントの実行により実施されるセキュリティ保護されたデータ・アーカイビング・システムであって、
a)アーカイブ・セッションを制御するアーカイビング・アプリケーション
を含み、アーカイブ・データ・ストリームがアーカイブ装置と前記アーカイビング・アプリケーションとの間で転送され、前記アーカイビング・アプリケーションは、前記アーカイブ・セッションの一部としてセッション補助データの持続的な格納のために与えられるものであり、
b)前記アーカイブ・データ・ストリームに関して、前記アーカイビング・アプリケーションと前記アーカイブ装置との間に置かれたデータ・セキュリティ・ドライバ
を含み、前記データ・セキュリティ・ドライバは、前記アーカイブ・データ・ストリームからの前記セッション補助データの回復、及び、前記アーカイブ・データ・ストリーム内で転送されるデータ・セグメントの選択的な暗号化処理を与えるデータ・プロセッサを含んでおり、
c)前記データ・セキュリティ・ドライバに連結されて、前記セッション補助データを受信し、これに応答して、所定のポリシー管理制御に選択的に依存して、セッション暗号化キーを前記データ・セキュリティ・ドライバに与えるポリシー管理コントローラ、
を含むことを特徴とするセキュリティ保護されたデータ・アーカイビング・システム。
【請求項11】
前記セッション補助データは、前記アーカイビング・アプリケーションに関して非機能データであり、前記補助データは前記ポリシー管理コントローラにより処理されて、前記データストリーム内で転送された所定のデータ・セグメントに適用可能な暗号化キーのポリシー群を機能的に識別することを特徴とする請求項10に記載のセキュリティ保護されたアーカイビング・システム。
【請求項12】
複数の暗号化キーのポリシー群の持続的な格納を与えるセキュリティ保護されたリポジトリをさらに含み、前記複数のポリシー群の各々は、前記補助データの処理に応じて、前記ポリシー管理コントローラにより独特に識別可能であることを特徴とする請求項11に記載のセキュリティ保護されたアーカイビング・システム。
【請求項13】
前記ポリシー管理コントローラは、認証された識別子を取得するように動作し、前記認証識別子に応じて、さらに、所定の暗号化キーを前記セッション暗号化キーとして前記暗号化キーのポリシー群から選択するように動作し、前記セッション暗号化キーを前記データ・セキュリティ・ドライバに与え、前記データ・セキュリティ・ドライバは、前記セッション暗号化キーに関して、前記所定のデータ・セグメントの選択的な暗号化処理を可能にするように動作することを特徴とする請求項12に記載のセキュリティ保護されたアーカイビング・システム。
【請求項14】
前記データ・セキュリティ・ドライバは、前記セッション暗号化キーを前記所定のデータ・セグメントに適用することにより、前記所定のデータ・セグメントからのセグメント暗号化キーを暗号化解除するように動作することを特徴とする請求項13に記載のセキュリティ保護されたアーカイビング・システム。
【請求項15】
前記データ・セキュリティ・ドライバは、セグメント暗号化キーを用いて、前記所定のデータ・セグメントを暗号化するように動作し、前記データ・セキュリティ・ドライバは、さらに、前記所定のセッション暗号化キーを用いて暗号化し、暗号化されたように、前記セグメント暗号化キーを前記所定のデータ・セグメントに取り付けるように動作することを特徴とする請求項13に記載のセキュリティ保護されたアーカイビング・システム。
【請求項16】
a)アーカイブ・データ・ストリームをアーカイブ・データ格納装置に関して転送するように動作するアーカイビング・アプリケーションを含むサーバ・コンピュータ・システム
を含み、前記アーカイブ・データ・ストリームは、一連のアーカイブ・データ単位を含み、各々の前記アーカイブ・データ単位は第1のメタデータ単位とデータ・セグメントとを含み、
b)前記アーカイビング・アプリケーションと前記アーカイブ・データ格納装置との間に置かれたセキュリティ保護されたドライバ
を含み、前記セキュリティ保護されたドライバは、前記アーカイブ・データ・ストリームを選択的に処理するようにされた暗号化コントローラを含み、選択されたアーカイブ・データ単位に対して、前記暗号化コントローラは、前記選択されたアーカイブ・データ単位のデータ・セグメントを、所定の暗号化キーを用いて、第2のメタデータ単位及び前記選択されたアーカイブ・データ単位の前記データ・セグメントの暗号化により生成される暗号化されたデータ・セグメントと交換するように動作し、前記暗号化コントローラはさらに、前記所定の暗号化キーを前記第2のメタデータ単位にエンコードするように動作する、
ことを特徴とするセキュリティ保護されたデータ・アーカイビング・システム。
【請求項17】
前記暗号化コントローラは、さらに、前記所定の暗号化キーを前記第2のメタデータ単位に多重エンコードするように動作することを特徴とする請求項16に記載のキュリティ保護されたデータ・アーカイビング・システム。
【請求項18】
ポリシー・コントローラをさらに含み、前記暗号化コントローラは、前記ポリシー・コントローラに連結されて一組の暗号化キーを受信し、前記暗号化コントローラは、前記暗号化キーの組のそれぞれを用いて、前記所定の暗号化キーを前記第2のメタデータ単位にエンコードするように動作することを特徴とする請求項17に記載のキュリティ保護されたデータ・アーカイビング・システム。
【請求項19】
前記ポリシー・コントローラは、前記暗号化キーの組の検索を可能にするセキュリティ保護されたレポジトリに連結可能であることを特徴とする請求項18に記載のセキュリティ保護されたデータ・アーカイビング・システム。
【請求項20】
前記暗号化コントローラは、所定のポリシー情報を前記アーカイブ・データ・ストリームから抽出するように動作し、前記ポリシー・コントローラは前記所定のポリシー情報に応答して、前記暗号化キーの組の選択を前記セキュリティ保護されたリポジトリから求めることを特徴とする請求項19に記載のキュリティ保護されたデータ・アーカイビング・システム。
【請求項21】
コンピュータ・システムにより転送されるアーカイブ・データをセキュリティ保護するための方法であって、
a)アーカイビング・アプリケーションとアーカイブ装置との間の移行において、アーカイブ・データ・ストリームを遮る
ステップを含み、前記アーカイブ・データ・ストリームは一連のデータ単位を含み、各々の前記データ単位は、単位メタデータ・ヘッダ及びデータ・セグメントを含み、
前記一連のデータ単位を処理する
ステップを含み、所定のデータ単位に対して、前記処理するステップは、交換データ単位を、前記アーカイブ・データ・ストリームにおける前記所定のデータ単位に置換し、前記処理ステップは、
i)前記所定のデータ単位に対応するセグメント暗号化キーを選択し、
ii)第1に、前記所定のデータ単位の前記データ・セグメントを前記セグメント暗号化キーにより暗号化して、暗号化データ・セグメントを生成し、
iii)第2に、一組のセキュリティ制御暗号化キーの各々により前記セグメント暗号化キーを暗号化し、暗号化されたように、前記セグメント暗号化キーをセキュリティ・メタデータ・ヘッダに格納し、
iv)前記単位メタデータ・ヘッダ、前記セキュリティ保護されたメタデータ・ヘッダ、及び前記暗号化されたデータ・セグメントを前記交換データ単位としてパッケージする、
ステップを含むことを特徴とする方法。
【請求項22】
前記処理するステップは、前記セグメント暗号化キーを選択的に生成するステップをさらに含み、各々の前記セキュリティ制御暗号化キーの組は、非対称暗号化キー対のメンバであることを特徴とする請求項21に記載の方法。
【請求項23】
a)前記アーカイブ・データ・ストリームから一組の暗号化群の識別子を取得し、
b)前記一組の暗号化群の識別子に基づいて、前記一組のセキュリティ保護された制御暗号化キーを検索する、
ステップを含むことを特徴とする請求項22に記載の方法。
【請求項24】
前記検索するステップは、前記一組のセキュリティ保護された制御暗号化キーをセキュリティ保護されたリポジトリから検索することを与えることを特徴とする請求項23に記載の方法。
【請求項25】
a)データ・アーカイブ装置と、前記データ・アーカイブ装置に連結されたアーカイブ・ドライバと、サーバ・コンピュータ・システムにより実行されるデータ・アーカイビング・アプリケーション・プログラムとを含み、前記アーカイブ・ドライバにより、前記データ・アーカイビング・アプリケーションと前記データ・アーカイブ装置との間のデータストリームの転送を与えるサーバ・コンピュータ・システム
を含み、前記データストリームは、アーカイブ・セッション・ヘッダ及び一連のアーカイブ単位を有し、各々のアーカイブ単位は、メタデータ・ヘッダ及びペイロード・データ・セグメントを含んでおり、
b)前記アーカイブ・ドライバと前記アーカイビング・アプリケーション・プログラムとの間に連結されたアーカイブ・データのセキュリティ保護された層
を含み、前記アーカイブ・データのセキュリティ保護された層は、前記データストリーム内の前記アーカイブ・データ・セッションの前記ペイロード・データ・セグメントを選択的に暗号化するように動作し、前記暗号化コントローラはさらに、前記ペイロード・データ・セグメントを、前記データストリーム内の前記アーカイブ・データ・セッションに含まれる暗号化ヘッダに暗号化するのに用いられる所定の暗号化キーを安全にエンコードするように動作する、
ことを特徴とするセキュリティ保護されたデータ・アーカイビング・システム。
【請求項26】
前記アーカイブ・データ・セキュリティ層に連結されたポリシー実施モジュールをさらに含み、前記ポリシー実施モジュールはセキュリティ保護されたデータ・リポジトリに連結可能であり、前記ポリシー実施モジュールは、前記データ・アーカイビング・アプリケーションに対して機能的に透明な前記アーカイブ・セッション・ヘッダにおいてエンコードされる所定のセッション制御データに応答して、前記セキュリティ保護されたデータ・リポジトリからの暗号化キー群のポリシーの組の選択を判断し、前記暗号化コントローラは、前記群のポリシーの組のメンバ暗号化キーを用いて、前記所定の暗号化キーを前記暗号化ヘッダにそれぞれエンコードするように動作する、
ことを特徴とする請求項25に記載のセキュリティ保護されたデータ・アーカイビング・システム。
【請求項27】
a)データ・アーカイブ装置と、前記データ・アーカイブ装置に連結されたアーカイブ・ドライバと、サーバ・コンピュータ・システムにより実行されるデータ・アーカイビング・アプリケーション・プログラムとを含み、前記アーカイブ・ドライバにより、前記データ・アーカイビング・アプリケーションと前記データ・アーカイブ装置との間のデータストリームの転送を与えるサーバ・コンピュータ・システム
を含み、前記データストリームは、アーカイブ・セッション・ヘッダ及び一連のアーカイブ単位を有し、各々のアーカイブ単位は、メタデータ・ヘッダ及びペイロード・データ・セグメントを含んでおり、
b)前記アーカイブ・ドライバと前記アーカイビング・アプリケーション・プログラムとの間に連結されたアーカイブ・データのセキュリティ保護された層
を含み、前記アーカイブ・データのセキュリティ保護された層は、前記データストリーム内の前記アーカイブ・データ・セッションに含まれる暗号化ヘッダを読み取るように動作して、所定の暗号化キーを前記暗号化ヘッダからデコードし、前記暗号化コントローラはさらに、前記所定の暗号化キーを用いて、前記データストリーム内の前記アーカイブ・データ・セッションの前記ペイロード・データ・セグメントを選択的に暗号化解除するように動作する、
ことを特徴とするセキュリティ保護されたデータ・アーカイビング・システム。
【請求項28】
前記アーカイブ・データ・セキュリティ層に連結されたポリシー実施モジュールをさらに含み、前記ポリシー実施モジュールはセキュリティ保護されたデータ・リポジトリに連結可能であり、前記ポリシー実施モジュールは、前記データ・アーカイビング・アプリケーションに対して機能的に透明な前記アーカイブ・セッション・ヘッダにおいてエンコードされる所定のセッション制御データに応答して、前記セキュリティ保護されたデータ・リポジトリからの暗号化キー群のポリシーの組の選択を判断し、前記暗号化コントローラは、前記群のポリシーの組のメンバ暗号化キーの1つを用いて、前記暗号化ヘッダからの前記所定の暗号化キーを検証してデコードするように動作する、
ことを特徴とする請求項27に記載のセキュリティ保護されたデータ・アーカイビング・システム。
【請求項29】
データ・アーカイブに対するアクセスを選択的に制御するためのシステムであって、
a)媒体サーバ・コンピュータ・システムによりホストされ、アーカイブ・セッションとして論理的に組織化されたデータの持続的な格納を与えるアーカイブ
を含み、所定のアーカイブ・セッションは、セッション・メタデータと、第1の複数のアーカイブ・メタデータ・セグメントと、第2の複数のアーカイブ・データ・セグメントとを含み、前記アーカイブ・データ・セグメントは暗号化され、所与のアーカイブ・データ・セグメントに対して、データ・セグメント暗号化キーは、前記所与のアーカイブ・データ・セグメントに対して定められた対応を有する所与のアーカイブ・メタデータ・セグメントにおいてエンコードされ、
b)暗号化キーの組を格納するセキュリティ保護されたリポジトリ・サーバ
を含み、前記セキュリティ保護されたリポジトリ・サーバは、前記暗号化キーの組の対応する1つの選択に対するポリシー識別子に応答し、
c)クライアント・コンピュータ・システムによりホストされ、前記所定のアーカイブ・セッションに対するアクセスのために、前記媒体サーバ・コンピュータ・システムに連結可能なアーカイブ・データ・リーダ
を含み、前記アーカイブ・データ・リーダは、前記セッション・メタデータから取得された認証トークン及び前記ポリシー識別子を、前記セキュリティ保護されたリポジトリ・サーバに提示して、前記暗号化キーの組の前記対応する1つにアクセスし、前記アーカイブ・データ・リーダは、前記暗号化キーの組の前記対応する1つが与えられると、前記所与のアーカイブ・メタデータ・セグメントからの前記データ・セグメント暗号化キーをデコードして、前記所与のアーカイブ・データ・セグメントを暗号化解除するように動作する、
ことを特徴とするシステム。
【請求項30】
前記アーカイブ・リーダは、前記認証トークン及び前記ポリシー識別子に基づいて、所定の暗号化キーを前記暗号化キーの組の前記対応する1つから検索するように動作し、前記ポリシー・コントローラは、さらに、所定の使用制御を受ける前記所定の暗号化キーを過渡的に維持するように動作することを特徴とする請求項29に記載のシステム。
【請求項31】
前記ポリシー・コントローラは、前記所定の暗号化キーを、アーカイブ・データ読み取りセッションの持続時間だけ過渡的に維持することを特徴とする請求項30に記載のシステム。
【請求項32】
前記ポリシー・コントローラは、前記所定の暗号化キーを、所定の時間期間だけ過渡的に維持することを特徴とする請求項30に記載のシステム。
【請求項33】
前記ポリシー・コントローラは、前記所定の暗号化キーを、所定のアーカイブ・データ読み取りセッション数の持続期間だけ過渡的に維持することを特徴とする請求項30に記載のシステム。
【請求項34】
前記セキュリティ保護されたリポジトリ・サーバは、前記セキュリティ保護されたリポジトリ・サーバと等価に実行することができる複数のセキュリティ保護されたリポジトリ・サーバの1つであることを特徴とする請求項30に記載のシステム。
【請求項35】
前記複数のセキュリティ保護されたリポジトリ・サーバは、通信ネットワークにより前記アーカイブ・データ・リーダに連結可能であることを特徴とする請求項34に記載のシステム。
【請求項36】
前記アーカイブ・データ・リーダは、前記アーカイブ・データ・リーダと等価に実行することができる複数のアーカイブ・データ・リーダの1つであり、前記複数のアーカイブ・データ・リーダは、前記通信ネットワークにより前記媒体サーバ・システムに連結可能であることを特徴とする請求項35に記載のシステム。
【請求項37】
アーカイブ・データ・リーダ・コンピュータ・システムのユーザにより、アーカイブ・データ媒体サーバからのアーカイブ・データの読み取りを安全に制御するための方法であって、
a)複数のアーカイブ・データ・リーダ・ユーザのサブグループにより用いられる識別トークンを定義し、
b)アーカイブ・データ媒体サーバから要求側アーカイブ・データ・リーダ・コンピュータ・システムへのアーカイブ・データ・セッションを表わすアーカイブ・データ・ストリームの転送を可能にし、
c)定義された識別トークン及び前記アーカイブ・データ・ストリームから取得された群の識別の提示に応じて、暗号化キーをセキュリティ保護されたリポジトリ・サーバから検索し、
d)第1に、前記暗号化キーを用いて、前記アーカイブ・データ・ストリームからのセッション暗号化キーを暗号化解除し、
e)第2に、前記セッション暗号化キーを用いて、前記アーカイブ・データ・ストリームからのデータを暗号化解除する、
ステップを含み、
前記第1の暗号化解除ステップは、前記アーカイブ・データ・セッションが生成されたセキュリティ保護されたポリシーに応じた条件付きのものであることを特徴とする方法。
【請求項38】
前記群の識別子は、前記セキュリティ保護されたリポジトリ・サーバにより格納される予め定義された暗号化キーの群を選択し、前記予め定義された群に含まれる特定の暗号化キーは、前記セキュリティ保護されたポリシーにより判断され、前記方法は、前記暗号化キーが前記予め定義された暗号化キーの群に存在するかどうか判断して、前記第1の暗号化解除ステップが前記セキュリティ保護されたポリシーに基づいて選択的に阻止されるようにするステップをさらに含むことを特徴とする請求項37に記載の方法。
【請求項39】
前記セキュリティ保護されたリポジトリ・サーバにより、前記検索するステップと関連して前記セキュリティ保護されたリポジトリ・サーバに提示される所定の識別情報を記録して、前記アーカイブ・データ・セッションのアクセスが信頼性をもって監査可能であるようにするステップをさらに含むことを特徴とする請求項38に記載の方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6A】
【図6B】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【図2】
【図3】
【図4】
【図5】
【図6A】
【図6B】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図14】
【公表番号】特表2009−524153(P2009−524153A)
【公表日】平成21年6月25日(2009.6.25)
【国際特許分類】
【出願番号】特願2008−551455(P2008−551455)
【出願日】平成19年1月18日(2007.1.18)
【国際出願番号】PCT/US2007/001640
【国際公開番号】WO2007/084758
【国際公開日】平成19年7月26日(2007.7.26)
【出願人】(505140591)ヴォーメトリック インコーポレイテッド (4)
【Fターム(参考)】
【公表日】平成21年6月25日(2009.6.25)
【国際特許分類】
【出願日】平成19年1月18日(2007.1.18)
【国際出願番号】PCT/US2007/001640
【国際公開番号】WO2007/084758
【国際公開日】平成19年7月26日(2007.7.26)
【出願人】(505140591)ヴォーメトリック インコーポレイテッド (4)
【Fターム(参考)】
[ Back to top ]