專(zhuān)利名稱(chēng):分布式數(shù)據(jù)存儲(chǔ)設(shè)備的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及一種分布式數(shù)據(jù)存儲(chǔ)設(shè)備,包括多個(gè)分別具有存儲(chǔ)裝置和訪問(wèn)控制 的存儲(chǔ)器單元、具有存儲(chǔ)裝置和驗(yàn)證設(shè)備的鑒權(quán)設(shè)備、具有流程控制模塊和訪問(wèn)檢查設(shè)備 的流程控制,其中流程控制與存儲(chǔ)器單元和鑒權(quán)設(shè)備以通信方式連接。
背景技術(shù):
在數(shù)據(jù)處理設(shè)備的領(lǐng)域中公知有多種不同的設(shè)備,以便存放數(shù)據(jù)或信息并且以后 可以訪問(wèn)所述數(shù)據(jù)或信息。在所謂的單個(gè)位置系統(tǒng)中,數(shù)據(jù)存儲(chǔ)器單元大多與訪問(wèn)控制檢 查一起被集成式地構(gòu)造,并且因此也大多允許使用者或流程控制直接訪問(wèn)所保存的數(shù)據(jù)。 但是如果對(duì)要管理的數(shù)據(jù)量的要求提高,或因此應(yīng)考慮多個(gè)使用者應(yīng)可以在最大程度上同 時(shí)訪問(wèn)所保存的數(shù)據(jù),則單個(gè)的數(shù)據(jù)存儲(chǔ)器單元大多不再能夠滿(mǎn)足提高的要求和提供足夠 的工作效率或處理速度。因此大多采用多個(gè)數(shù)據(jù)存儲(chǔ)器單元,并且將要存放的或要管理的 信息分配到各個(gè)存儲(chǔ)器單元上。在此情況下,中央訪問(wèn)控制承擔(dān)了對(duì)于各個(gè)存儲(chǔ)器單元的 訪問(wèn)的協(xié)調(diào)以及檢查和控制,并且因此確保分布式結(jié)構(gòu)對(duì)于使用者保持隱蔽。由于可將要管理的信息單元分配到多個(gè)存儲(chǔ)器單元上,所以需要預(yù)防措施,以便 示出和管理在這些存儲(chǔ)器單元之間的關(guān)系。為此,例如WO 95/22111公開(kāi)了一種分布式數(shù) 據(jù)庫(kù)系統(tǒng),該分布式數(shù)據(jù)庫(kù)系統(tǒng)具有多個(gè)互相連接的計(jì)算單元,這些計(jì)算單元管理數(shù)據(jù)庫(kù) 系統(tǒng)的各個(gè)數(shù)據(jù)庫(kù)。在此,每一個(gè)數(shù)據(jù)庫(kù)包括在其中保存有計(jì)算單元的全局結(jié)構(gòu)的關(guān)系的 數(shù)據(jù)組。附加地在局部分配規(guī)則中保存,在自身的計(jì)算單元中的各個(gè)數(shù)據(jù)單元被保存在何 處。因此借助于全局信息單元確定了數(shù)據(jù)存儲(chǔ)器單元的粗略結(jié)構(gòu),還通過(guò)局部信息單 元確定了每個(gè)存儲(chǔ)器單元的結(jié)構(gòu)。在分布式數(shù)據(jù)存儲(chǔ)設(shè)備中重要的是,保護(hù)所存放的信息免受未授權(quán)訪問(wèn)的問(wèn)題, 尤其是因?yàn)樵撔畔⒋娣旁诜植际较到y(tǒng)上,其中必要時(shí)地點(diǎn)上的分離也是可行的。因此應(yīng)確 保,只有在相應(yīng)的授權(quán)之后才可以訪問(wèn)所保存的信息。為此例如US 6,098,056 A公開(kāi)了用于在采用不對(duì)稱(chēng)加密系統(tǒng)的情況下在分布式 信息系統(tǒng)中控制和檢查訪問(wèn)權(quán)的一種系統(tǒng)和一種方法。網(wǎng)絡(luò)包括至少一個(gè)服務(wù)器,該服務(wù) 器與存儲(chǔ)器單元耦合和被構(gòu)造用于存放訪問(wèn)受限的文件。為此生成隨機(jī)的文件密鑰,該文 件密鑰被用服務(wù)器的公共密鑰進(jìn)行編碼,并作為元信息存放在數(shù)據(jù)容器中。在訪問(wèn)控制設(shè) 備的鑒權(quán)之后,用訪問(wèn)控制設(shè)備的公共密鑰將文件密鑰進(jìn)行編碼,由此確保只有訪問(wèn)控制 設(shè)備可以保存文件密鑰和訪問(wèn)內(nèi)容。隨后將文件的譯碼內(nèi)容顯示給客戶(hù)端處的使用者。US 2007/0289026 Al也公開(kāi)了一種在分布式系統(tǒng)中用于保護(hù)信息或用于信息交 換的系統(tǒng)。該系統(tǒng)包括數(shù)據(jù)存儲(chǔ)設(shè)備和安全的信息管理設(shè)備。在將信息單元傳輸給經(jīng)過(guò)鑒 權(quán)的客戶(hù)端之前,可將這些信息單元進(jìn)行編碼和數(shù)字式簽字。WO 2008/021075 A2公開(kāi)了一種用于在數(shù)據(jù)網(wǎng)絡(luò)中保護(hù)消息通信的方法。分布式 存放的安全保險(xiǎn)證書(shū)(Sicherheitspolizze)分別表明安全組,其中每個(gè)這樣的安全組包括至少一個(gè)本地的和一個(gè)遠(yuǎn)程的數(shù)據(jù)節(jié)點(diǎn)。如果應(yīng)將新的安全組接納到聯(lián)合體中,則由本地 的認(rèn)證機(jī)構(gòu)設(shè)置一系列的請(qǐng)求,以便對(duì)新的安全組中的本地節(jié)點(diǎn)進(jìn)行識(shí)別和鑒權(quán)。在此之 后,安全認(rèn)證機(jī)構(gòu)可以通過(guò)交換安全信息來(lái)保護(hù)在本地節(jié)點(diǎn)和遠(yuǎn)程節(jié)點(diǎn)之間的數(shù)據(jù)通信。從現(xiàn)有技術(shù)中公知的裝置或方法被構(gòu)造用于,在分布式網(wǎng)絡(luò)中保護(hù)對(duì)數(shù)據(jù)的訪 問(wèn),以及例如以所鑒權(quán)的安全組的形式來(lái)確定網(wǎng)絡(luò)中分布式節(jié)點(diǎn)之間的數(shù)據(jù)交換的界限。 在公知的裝置或方法中,主要注意力在于保護(hù)在各個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)之間的數(shù)據(jù)通信,或在于保 護(hù)對(duì)網(wǎng)絡(luò)節(jié)點(diǎn)的訪問(wèn)。對(duì)于高安全性的數(shù)據(jù)存儲(chǔ)設(shè)備,尤其是當(dāng)該數(shù)據(jù)存儲(chǔ)設(shè)備應(yīng)滿(mǎn)足金 融業(yè)的要求時(shí),不僅需要保護(hù)數(shù)據(jù)通信,而且尤其是數(shù)據(jù)本身的提高了的防護(hù)也是必要的。 尤其是在必要時(shí)由于冗余或負(fù)荷分布的原因也可以分配到多個(gè)位置的分布式數(shù)據(jù)存儲(chǔ)器 單元中,對(duì)每個(gè)單個(gè)的存儲(chǔ)器單元的保護(hù)獲得特別的重要性。特別重要的尤其是,即使在知 道數(shù)據(jù)存儲(chǔ)器單元的內(nèi)容時(shí),也不能訪問(wèn)或推斷出另外的數(shù)據(jù)存儲(chǔ)器單元的內(nèi)容。
發(fā)明內(nèi)容
本發(fā)明的任務(wù)在于,找出一種將數(shù)據(jù)單元存放在多個(gè)分布式存儲(chǔ)器單元上的數(shù)據(jù) 存儲(chǔ)設(shè)備,其中數(shù)據(jù)組到存儲(chǔ)器單元的分配和對(duì)存儲(chǔ)器單元訪問(wèn)的控制互相分開(kāi)地存放, 并且因此只有在對(duì)訪問(wèn)模塊進(jìn)行明確鑒權(quán)之后才能訪問(wèn)數(shù)據(jù)單元。本發(fā)明的任務(wù)還有將數(shù) 據(jù)存儲(chǔ)設(shè)備構(gòu)造為使得可以訪問(wèn)只有一個(gè)明確識(shí)別的訪問(wèn)模塊組的存儲(chǔ)器單元。本發(fā)明的任務(wù)尤其是通過(guò)如下方式解決在鑒權(quán)設(shè)備的存儲(chǔ)裝置中保存有至少一 個(gè)明確的電子密鑰。該構(gòu)造方案使得鑒權(quán)設(shè)備能夠承擔(dān)全部可能的允許的電子密鑰的集中 管理的任務(wù)。鑒于高的數(shù)據(jù)安全性,該特征所具有的很特別的優(yōu)點(diǎn)是鑒權(quán)設(shè)備和尤其是鑒 權(quán)設(shè)備的存儲(chǔ)裝置可以布置在高安全性的環(huán)境中,并因此具備所保存的電子密鑰的非常高 的保護(hù)。此外可以將鑒權(quán)設(shè)備構(gòu)造為使得不再能夠事后改變或更新所保存的電子密鑰,這 是另一重要的安全益處。在任何情況下,鑒權(quán)設(shè)備被構(gòu)造為使得只能通過(guò)尤其是由鑒權(quán)設(shè) 備監(jiān)控或控制的精確定義的通信路徑來(lái)訪問(wèn)存儲(chǔ)裝置。作為用于解決本發(fā)明任務(wù)的另外的特征,訪問(wèn)檢查設(shè)備具有訪問(wèn)控制模塊和存儲(chǔ) 裝置,使得也在這里確保了,即使對(duì)于流程控制的流程控制模塊也不能直接訪問(wèn)存儲(chǔ)裝置 并因此通過(guò)訪問(wèn)控制模塊來(lái)進(jìn)行或由該訪問(wèn)控制模塊來(lái)管理每一個(gè)訪問(wèn)。這里將訪問(wèn)控制 模塊理解為如下的技術(shù)設(shè)備該技術(shù)設(shè)備接收和相應(yīng)地整理通過(guò)通信連接進(jìn)入的請(qǐng)求并且 執(zhí)行用于從存儲(chǔ)裝置中提取相關(guān)信息單元所需要的技術(shù)步驟。所述信息單元然后被相應(yīng)地 整理并且被返回傳送給請(qǐng)求模塊。本發(fā)明的任務(wù)還通過(guò)一種特征來(lái)解決,按照該特征,在存儲(chǔ)器單元中保存有與鑒 權(quán)設(shè)備的所保存密鑰相對(duì)應(yīng)的明確的第一密鑰。因此確保了,存儲(chǔ)器單元和鑒權(quán)設(shè)備具有 共同的特征性的和尤其是明確的特征,通過(guò)該特征建立有在存儲(chǔ)器單元和鑒權(quán)設(shè)備之間的 明確的關(guān)系。由于鑒權(quán)設(shè)備已保存有電子密鑰,所以只有其密鑰與所保存的密鑰相對(duì)應(yīng)的 那個(gè)存儲(chǔ)器單元可以建立與鑒權(quán)設(shè)備之間的關(guān)系。在這里和在下文中可將密鑰視為電子密鑰的所有公知的構(gòu)造方案,這些構(gòu)造方案 使得能夠通過(guò)共同特征將兩個(gè)互相分開(kāi)的系統(tǒng)相互明確地分配。例如可以在兩個(gè)模塊中存 放一個(gè)密鑰,利用該密鑰覆蓋明確分配的基本要求。但是不對(duì)稱(chēng)的密鑰系統(tǒng)也是可能的,這 所具有的優(yōu)點(diǎn)是,該密鑰系統(tǒng)同時(shí)可利用于編碼任務(wù)。
5
在分布式數(shù)據(jù)存儲(chǔ)設(shè)備中要求,對(duì)各個(gè)數(shù)據(jù)單元之間的關(guān)系進(jìn)行管理,以便隨后 可以訪問(wèn)這些分布式數(shù)據(jù)單元。在已知的數(shù)據(jù)存儲(chǔ)設(shè)備中,總是與有用數(shù)據(jù)單元一起也在 存儲(chǔ)器單元中保存分配,這所具有的缺點(diǎn)是,在對(duì)存儲(chǔ)器單元的濫用訪問(wèn)時(shí),總是也可獲取 可用來(lái)訪問(wèn)其它存儲(chǔ)器單元的信息。因此,在訪問(wèn)檢查設(shè)備的存儲(chǔ)裝置中保存有分配表的 特征是特別重要的,因?yàn)橛纱藢?shí)現(xiàn)了數(shù)據(jù)單元和這些數(shù)據(jù)單元之間的關(guān)系的分開(kāi)。在保護(hù) 所保存數(shù)據(jù)的意義上,決定性重要的是,即使在知道存儲(chǔ)器單元的數(shù)據(jù)單元的內(nèi)容時(shí)也不 能訪問(wèn)另外存儲(chǔ)器單元的數(shù)據(jù)單元,并且尤其是也不能推斷出其它數(shù)據(jù)單元的內(nèi)容。該發(fā) 明特征現(xiàn)在以非常特別有利的方式確保了,可將本發(fā)明分布式數(shù)據(jù)存儲(chǔ)設(shè)備的存儲(chǔ)器單元 構(gòu)造為各個(gè)功能性的單元并且必要時(shí)也可以布置在不同的位置處。本發(fā)明數(shù)據(jù)存儲(chǔ)設(shè)備的非常重要的優(yōu)點(diǎn)也在于,可以針對(duì)性地控制或確定在各個(gè) 部件之間的通信。由于流程控制與存儲(chǔ)器單元和鑒權(quán)設(shè)備通信連接,也就是在各個(gè)存儲(chǔ)器 單元之間不存在直接的通信連接,所以基本上防止了一個(gè)存儲(chǔ)器單元對(duì)另一個(gè)存儲(chǔ)器單元 的直接訪問(wèn)。尤其是因此也可以針對(duì)性地控制訪問(wèn),因?yàn)榛旧贤ㄐ磐ㄟ^(guò)流程控制來(lái)進(jìn)行 并且該流程控制可以在必要時(shí)讓每一個(gè)訪問(wèn)附加地由鑒權(quán)設(shè)備來(lái)鑒權(quán)。因此可以在流程控 制中保存訪問(wèn)規(guī)則,但是鑒權(quán)設(shè)備也可以承擔(dān)對(duì)訪問(wèn)的控制或檢查。例如可以存在附加的監(jiān)控設(shè)備,該監(jiān)控設(shè)備監(jiān)控每一個(gè)訪問(wèn),并在出現(xiàn)與允許的 訪問(wèn)嘗試的偏差時(shí),例如觸發(fā)對(duì)正在進(jìn)行的訪問(wèn)的立即終止。這樣的監(jiān)控設(shè)備也可以監(jiān)控 各個(gè)模塊的整體性,以便因此識(shí)別操縱嘗試。以下的擴(kuò)展方案目標(biāo)在于相同的方向,在該擴(kuò)展方案中,訪問(wèn)檢查設(shè)備具有另一 存儲(chǔ)單元,在該另一存儲(chǔ)單元的存儲(chǔ)裝置中保存有實(shí)施指示。通過(guò)該擴(kuò)展方案實(shí)現(xiàn)了數(shù)據(jù) 單元、關(guān)系結(jié)構(gòu)、以及訪問(wèn)和實(shí)施控制的基本分開(kāi)。尤其是因此可以分開(kāi)地構(gòu)造本發(fā)明數(shù)據(jù) 存儲(chǔ)設(shè)備的每個(gè)單個(gè)的部件,由此實(shí)現(xiàn)防止對(duì)數(shù)據(jù)單元進(jìn)行未授權(quán)訪問(wèn)的最大保護(hù)。因此 潛在的侵犯者必須獲得通過(guò)多個(gè)單個(gè)的保險(xiǎn)部件的檢查,以便獲得對(duì)于其感興趣的或可以 濫用的數(shù)據(jù)單元。對(duì)于本發(fā)明分布式數(shù)據(jù)存儲(chǔ)設(shè)備的構(gòu)造和運(yùn)行來(lái)說(shuō),有利的是如下擴(kuò)展方案其 中存儲(chǔ)器單元和流程控制通過(guò)第一通信連接互相通信連接。該第一通信連接可以通過(guò)任意 的數(shù)據(jù)技術(shù)的通信網(wǎng)絡(luò)、例如通過(guò)內(nèi)部網(wǎng)或因特網(wǎng)來(lái)形成。該通信連接尤其是可以由點(diǎn)對(duì) 點(diǎn)連接來(lái)形成,這所具有的特別優(yōu)點(diǎn)是,在通信路徑上存在的中繼節(jié)點(diǎn)或轉(zhuǎn)發(fā)節(jié)點(diǎn)沒(méi)有能 夠以濫用的方式訪問(wèn)所傳輸信息或數(shù)據(jù)的可能性。但是該構(gòu)造方案尤其是也具有可以檢驗(yàn) 存儲(chǔ)器單元的運(yùn)行狀態(tài)的優(yōu)點(diǎn),這對(duì)于數(shù)據(jù)存儲(chǔ)設(shè)備的可靠性是特別重要的。例如可以由 固定連接的通信路徑或所謂的VPN連接來(lái)形成點(diǎn)對(duì)點(diǎn)連接。鑒于對(duì)在存儲(chǔ)器單元和流程控制之間的通信的保護(hù),如下的擴(kuò)展方案是有利 的其中存儲(chǔ)器單元和流程控制具有編碼模塊。將該編碼模塊構(gòu)造用于對(duì)存儲(chǔ)器單元 和流程控制之間的通信進(jìn)行保護(hù),使得可將原則上不安全的通信連接用于存儲(chǔ)器單元和 流程控制的通信耦合。編碼模塊例如可以基于公共密鑰系統(tǒng)來(lái)起作用,由此在密鑰伙伴 (Schlilsselpartner)之間的通信是簡(jiǎn)單地可能的,但是基本上防止了對(duì)所傳輸信息的濫用 偵聽(tīng)。當(dāng)然可采用根據(jù)權(quán)利要求的編碼模塊的其它已知的編碼方法。尤其是可以將編碼形 成為使得例用單獨(dú)的編碼系統(tǒng)來(lái)保護(hù)每一個(gè)通信連接。已知的編碼方法大多基于有時(shí)可被 侵犯者偵察出的偽隨機(jī)代碼,該侵犯者由此可以獲得對(duì)于所傳輸信息的訪問(wèn)。一種擴(kuò)展方案現(xiàn)在例如可以在于采用多級(jí)的編碼方法。在此在第一步驟中,建立通過(guò)偽隨機(jī)代碼保護(hù) 的連接。通過(guò)該連接,例如通過(guò)不對(duì)稱(chēng)的代碼確保了,對(duì)然后用于進(jìn)一步建立端對(duì)端編碼的 密鑰進(jìn)行交換。因此除了第一信道編碼之外,潛在的侵犯者也還必須對(duì)在交換密鑰時(shí)的同 步機(jī)制進(jìn)行操縱,以便獲得濫用訪問(wèn)的機(jī)會(huì)。通過(guò)該多重保護(hù),侵犯變得極其費(fèi)事,或用當(dāng) 今已知的譯碼方法在信息的相關(guān)時(shí)間內(nèi)不能實(shí)現(xiàn)。根據(jù)本發(fā)明,通過(guò)保存在存儲(chǔ)器單元中的明確的密鑰和保存在訪問(wèn)檢查設(shè)備中的 分配表,建立了在各個(gè)存儲(chǔ)器單元之間的關(guān)系。通過(guò)一種根據(jù)權(quán)利要求的擴(kuò)展方案,在該擴(kuò) 展方案中在存儲(chǔ)器單元中保存有與鑒權(quán)設(shè)備的所保存密鑰相對(duì)應(yīng)的明確的第二密鑰,現(xiàn)在 以有利的方式確保,除了存儲(chǔ)器單元互相之間的關(guān)系,建立有在存儲(chǔ)器單元和鑒權(quán)設(shè)備之 間的關(guān)系。因此,尤其是所謂的返回檢查也是可能的,也就是訪問(wèn)控制例如可以檢查流程控 制的真實(shí)性。根據(jù)本發(fā)明所采用的電子密鑰獲得很特別的重要性,因?yàn)檫@些電子密鑰必須實(shí)現(xiàn) 明確的分配,并且因此每一個(gè)密鑰或每一個(gè)密鑰組合必須是特別明確的,而且未授權(quán)者不 能猜出密鑰。因此鑒權(quán)設(shè)備具有用于生成電子密鑰的模塊是特別有利的。由于根據(jù)本發(fā)明 在鑒權(quán)設(shè)備的存儲(chǔ)裝置中保存有至少一個(gè)明確的電子密鑰,因此根據(jù)權(quán)利要求的擴(kuò)展方案 所具有的特別的優(yōu)點(diǎn)是,可以完全在鑒權(quán)設(shè)備上進(jìn)行電子密鑰的生成和隨后的保存,而不 用為此需要外部設(shè)備,這例如又意味著一個(gè)安全技術(shù)上的薄弱環(huán)節(jié)。因此可由中央設(shè)備來(lái) 生成和管理明確的電子密鑰。在本發(fā)明分布式數(shù)據(jù)存儲(chǔ)設(shè)備中采用多個(gè)密鑰,以便建立在數(shù)據(jù)存儲(chǔ)設(shè)備的各個(gè) 模塊之間的明確的關(guān)系。在此優(yōu)選將這些密鑰構(gòu)造為使得對(duì)于例如存儲(chǔ)器單元密鑰的模塊 密鑰,在密鑰存儲(chǔ)器中總是存在相對(duì)應(yīng)的密鑰。該對(duì)應(yīng)性尤其是意味著由這些密鑰本身來(lái) 建立所述關(guān)系。在一種構(gòu)造方案中,一個(gè)模塊密鑰可以分別與一個(gè)參考密鑰一致。但是也 可以從密鑰存儲(chǔ)器中的所謂的參考密鑰中推導(dǎo)出多個(gè)模塊密鑰,這些模塊密鑰在檢查時(shí)與 參考密鑰建立關(guān)系。優(yōu)選一種構(gòu)造方案,其中可將一個(gè)模塊密鑰明確分配給一個(gè)參考密鑰, 但是不能推斷出該參考密鑰。因此侵犯者不能生成偽造的模塊密鑰,以便用此獲得濫用的 訪問(wèn)。在密鑰存儲(chǔ)器中現(xiàn)在可以保存多個(gè)參考密鑰,在需要時(shí)從這些參考密鑰中生成模 塊密鑰。這具有可以特別保護(hù)密鑰存儲(chǔ)器的優(yōu)點(diǎn),例如防止對(duì)于存儲(chǔ)器的變化訪問(wèn)。如下的擴(kuò)展方案也是有利的,其中由數(shù)據(jù)庫(kù)系統(tǒng)形成存儲(chǔ)器單元的存儲(chǔ)裝置,因 為以很好的方式將這樣的數(shù)據(jù)庫(kù)系統(tǒng)構(gòu)造用于可以接收和管理大量的數(shù)據(jù)單元。這樣的存 儲(chǔ)裝置具有另一優(yōu)點(diǎn)這些存儲(chǔ)裝置被根據(jù)習(xí)慣構(gòu)造用于提供所存放數(shù)據(jù)的非常高的保存 安全性并且尤其是也提供非常高的供應(yīng)安全性。用于保存數(shù)據(jù)單元的該存儲(chǔ)裝置被優(yōu)選構(gòu) 造用于對(duì)大量信息單元的盡可能多的同時(shí)訪問(wèn)。用于保存分配表或?qū)嵤┲甘镜拇鎯?chǔ)裝置應(yīng) 優(yōu)選提供盡可能高的應(yīng)答速度,因?yàn)閷?duì)于其它存儲(chǔ)器單元的基本上所有其它的訪問(wèn)都與此 有關(guān)。因此也可以由大多提供特別高的處理速度的數(shù)據(jù)處理系統(tǒng)來(lái)形成這些存儲(chǔ)器單元的 存儲(chǔ)裝置。一種擴(kuò)展方案也可以在于,可以由鐵磁性存儲(chǔ)介質(zhì)、尤其是所謂的硬盤(pán)來(lái)形成物 理存儲(chǔ)介質(zhì),其中利用數(shù)據(jù)編碼來(lái)構(gòu)造該硬盤(pán)。在這樣的編碼情況下,以編碼方式在存儲(chǔ)介 質(zhì)上保存數(shù)據(jù),其中編碼和譯碼系統(tǒng)常駐地保存在訪問(wèn)控制中。因此侵犯者必須竊取整個(gè)存儲(chǔ)器單元,因?yàn)閱为?dú)從編碼的存儲(chǔ)介質(zhì)中不能獲悉有用信息。即使當(dāng)侵犯者克服了存儲(chǔ) 介質(zhì)的編碼,所獲得的信息收益也是極其小的,因?yàn)橥ㄟ^(guò)信息單元的分布式存放基本上防 止了對(duì)于其它信息單元的訪問(wèn)。侵犯者尤其是缺少關(guān)于存儲(chǔ)器單元之間的關(guān)聯(lián)的信息。例 如還可以如下來(lái)擴(kuò)展該數(shù)據(jù)編碼,使得只有在正在進(jìn)行的運(yùn)行中可以有效地訪問(wèn)所保存的 數(shù)據(jù),也就是侵犯者必須通過(guò)維持正在進(jìn)行的運(yùn)行來(lái)竊取存儲(chǔ)介質(zhì)。尤其是可將存儲(chǔ)裝置理解為專(zhuān)業(yè)人員用于保存信息單元所公知的所有設(shè)備。這里 也示例性地列舉半導(dǎo)體存儲(chǔ)器以及表格式的數(shù)據(jù)文件。根據(jù)按照權(quán)利要求的擴(kuò)展方案,在分配表的存儲(chǔ)器單元中或在實(shí)施指示的存儲(chǔ)器 單元中保存有與保存在鑒權(quán)設(shè)備中的密鑰相對(duì)應(yīng)的明確的第一密鑰和/或第二密鑰。該擴(kuò) 展方案的優(yōu)點(diǎn)已經(jīng)在上面予以說(shuō)明,尤其是可以以此檢查存儲(chǔ)器單元以及流程控制的真實(shí) 性。如果訪問(wèn)檢查設(shè)備被構(gòu)造為使得訪問(wèn)控制模塊和存儲(chǔ)器單元通過(guò)第二通信連接 互相通信連接,則獲得一種特別有利的擴(kuò)展方案。流程控制以及訪問(wèn)檢查設(shè)備的存儲(chǔ)器單 元是安全技術(shù)保護(hù)和對(duì)于數(shù)據(jù)單元的存儲(chǔ)器單元的訪問(wèn)保護(hù)的主要部件。因此這些單元優(yōu) 選布置在封閉的設(shè)備中,其中非常重視確保防止未授權(quán)的接入。通過(guò)優(yōu)選由點(diǎn)對(duì)點(diǎn)連接形 成的第二通信連接來(lái)進(jìn)行存儲(chǔ)器單元與訪問(wèn)檢查設(shè)備的訪問(wèn)控制模塊的通信連接,該點(diǎn)對(duì) 點(diǎn)連接根據(jù)構(gòu)造方案受到特別是防止濫用訪問(wèn)的保護(hù)。又可將每一個(gè)數(shù)據(jù)技術(shù)通信網(wǎng)絡(luò)用 作為用于構(gòu)成第二通信連接的通信介質(zhì),但是其中該通信網(wǎng)絡(luò)必須滿(mǎn)足有關(guān)保護(hù)第二通信 連接的特別的要求。該擴(kuò)展方案使得能夠構(gòu)造另一訪問(wèn)保護(hù),因?yàn)橛纱艘部梢源_定請(qǐng)求指令或事務(wù)的 通信路徑。因此也可以通過(guò)例如在部件上出現(xiàn)通過(guò)不允許通信路徑的請(qǐng)求來(lái)立即識(shí)別濫用 的侵犯嘗試。在已知的數(shù)據(jù)存儲(chǔ)設(shè)備中,在對(duì)訪問(wèn)權(quán)進(jìn)行了鑒權(quán)或檢查之后,由流程控制大多 直接訪問(wèn)存儲(chǔ)器單元并且尤其是訪問(wèn)所保存的數(shù)據(jù)單元。鑒于對(duì)數(shù)據(jù)的防止濫用的高度保 護(hù),該訪問(wèn)方式具有以下缺點(diǎn)潛在的侵犯者可能成功地在規(guī)避鑒權(quán)預(yù)防措施時(shí)能夠直接 訪問(wèn)所保存的數(shù)據(jù)單元。用一種在流程控制模塊中保存有多個(gè)分級(jí)結(jié)構(gòu)化的流程的根據(jù)權(quán) 利要求的擴(kuò)展方案,現(xiàn)在防止了這樣的直接訪問(wèn),因?yàn)橹挥薪柚4娴牧鞒滩趴梢栽L問(wèn) 存儲(chǔ)器單元,并且尤其是中斷對(duì)存儲(chǔ)器單元的直接訪問(wèn)。一種在分配表中保存有分級(jí)流程與存儲(chǔ)器單元的聯(lián)系的擴(kuò)展方案也用來(lái)保護(hù)所 保存的數(shù)據(jù),因?yàn)橛纱藰?gòu)成了另一安全層面。因此,利用根據(jù)權(quán)利要求的擴(kuò)展方案,可以 將分級(jí)流程的存儲(chǔ)器地點(diǎn)和實(shí)施地點(diǎn)完全分開(kāi),并因此對(duì)于潛在的侵犯者形成另一安全障 礙。按照其將鑒權(quán)設(shè)備、流程控制和存儲(chǔ)器單元構(gòu)造為第一安全區(qū)或?qū)⒘鞒炭刂?、?配表和實(shí)施指示構(gòu)造為第二安全區(qū)的根據(jù)權(quán)利要求的擴(kuò)展方案是特別重要的。這些安全區(qū) 是本發(fā)明分布式數(shù)據(jù)存儲(chǔ)設(shè)備的非常主要的概念方案,因?yàn)橛纱朔乐沽藵撛诘那址刚呖梢?通過(guò)操縱單個(gè)部件來(lái)獲得對(duì)整個(gè)系統(tǒng)的訪問(wèn)。這些安全區(qū)中的每一個(gè)例如可由監(jiān)控和檢查 設(shè)備持久地檢查,以便因此可以立即識(shí)別不允許的過(guò)程。潛在的侵犯者尤其是必須總是同 時(shí)和尤其是時(shí)間上同步地操縱安全區(qū)的至少兩個(gè)部件,以便可以掩飾濫用的訪問(wèn)嘗試。由 于在本發(fā)明數(shù)據(jù)存儲(chǔ)設(shè)備中也很主要地依靠訪問(wèn)順序,所以潛在的侵犯者必須擁有內(nèi)部關(guān)聯(lián)的極其準(zhǔn)確的細(xì)節(jié),以便用對(duì)多個(gè)部件的有針對(duì)性的和同步的侵犯來(lái)獲得成功的機(jī)會(huì)。通過(guò)對(duì)訪問(wèn)的檢查或控制,利用根據(jù)權(quán)利要求的擴(kuò)展方案例如也可以確保,基本 上阻止了第一安全區(qū)的模塊對(duì)第二安全區(qū)的模塊或其它模塊的直接訪問(wèn)。由于只有通過(guò)準(zhǔn) 確確定的通信路徑和通過(guò)遵守確定的流程才可以訪問(wèn),所以每一個(gè)偏離于此的訪問(wèn)嘗試可 以立即被識(shí)別為潛在的侵犯并借助相應(yīng)的反制措施來(lái)阻止。尤其是也可以循環(huán)地改變正確 的通信路徑的確定。例如可以確定與迄今為止發(fā)生的訪問(wèn)有關(guān)的算法和/或基于時(shí)間上的 關(guān)系來(lái)確定分別有效的通信路徑,這對(duì)于侵犯者是另一障礙,因?yàn)闀?huì)將通過(guò)無(wú)效的通信路 徑到達(dá)的請(qǐng)求識(shí)別為操縱嘗試。在一種擴(kuò)展方案中可以引入其它的保護(hù)區(qū),以便因此將諸如存儲(chǔ)器單元的各個(gè)技 術(shù)單元匯總在一個(gè)固有的保護(hù)區(qū)中。因此可以對(duì)于侵犯者重新提高要跨越的障礙,因?yàn)橐?跨越多個(gè)不同的保護(hù)系統(tǒng),但是這些保護(hù)系統(tǒng)全部由相對(duì)于彼此的依賴(lài)性互相交織并因此 防止了單個(gè)侵犯或使得可以很容易識(shí)別單個(gè)侵犯。本發(fā)明的任務(wù)還通過(guò)一種用于運(yùn)行分布式數(shù)據(jù)存儲(chǔ)設(shè)備的方法來(lái)解決。在第一方 法步驟中生成明確的電子密鑰,其中也可由密鑰對(duì)或一組明確互相從屬的密鑰來(lái)形成該密 鑰。與此有關(guān)地,其它的密鑰系統(tǒng)對(duì)于專(zhuān)業(yè)人員是公知的。該密鑰或部分密鑰被保存在存 儲(chǔ)器單元中以及鑒權(quán)設(shè)備中,并因此使得能夠明確地對(duì)存儲(chǔ)器單元進(jìn)行鑒權(quán)。在其它的步 驟中,在訪問(wèn)檢查設(shè)備中保存有分配表和實(shí)施指示。通過(guò)本發(fā)明的方法步驟確保了,將保存在存儲(chǔ)器單元中的數(shù)據(jù)單元與關(guān)于結(jié)構(gòu)或 關(guān)于數(shù)據(jù)單元之間的相關(guān)性的信息分開(kāi)地存放,并且此外還防止了對(duì)數(shù)據(jù)單元的直接訪 問(wèn)。侵犯者可能例如嘗試操縱存儲(chǔ)器單元,以便由此獲得對(duì)其它存儲(chǔ)器單元的訪問(wèn)。 為了防止這種情況,根據(jù)一種擴(kuò)展方案,在訪問(wèn)保存在存儲(chǔ)器單元的存儲(chǔ)裝置中的數(shù)據(jù)單 元之前,由鑒權(quán)設(shè)備檢查密鑰。只有當(dāng)所保存的密鑰與保存在鑒權(quán)設(shè)備中的密鑰一致時(shí),才 確保了當(dāng)前處于訪問(wèn)中的存儲(chǔ)器單元也對(duì)應(yīng)于原來(lái)所鑒權(quán)的存儲(chǔ)器單元。一種確保防止直接訪問(wèn)存儲(chǔ)器單元的擴(kuò)展方案在于,在訪問(wèn)請(qǐng)求的情況下查詢(xún)分 配表。由于數(shù)據(jù)單元分布式地存放在多個(gè)存儲(chǔ)器單元中,所以只有通過(guò)從分配表中讀出在 數(shù)據(jù)單元之間的或尤其是在存儲(chǔ)器單元之間的聯(lián)系才可建立在各個(gè)數(shù)據(jù)單元之間的關(guān)聯(lián)。一種在使用者或數(shù)據(jù)處理設(shè)備進(jìn)行訪問(wèn)請(qǐng)求的情況下查詢(xún)實(shí)施指示的擴(kuò)展方案, 也針對(duì)防止對(duì)在存儲(chǔ)器單元中所保存的數(shù)據(jù)的濫用的訪問(wèn)。該構(gòu)造方案是為防止未授權(quán)的 使用者可以直接訪問(wèn)存儲(chǔ)器單元中的數(shù)據(jù)組的另一特征。只有借助相應(yīng)的實(shí)施指示,而該 實(shí)施指示又只能通過(guò)訪問(wèn)檢查設(shè)備來(lái)讀出,才可以訪問(wèn)存儲(chǔ)器單元中的數(shù)據(jù)單元。根據(jù)一種有利的擴(kuò)展方案,在訪問(wèn)保存在存儲(chǔ)器單元的存儲(chǔ)裝置中的分配表之 前,由鑒權(quán)設(shè)備檢查電子密鑰。該構(gòu)造方案是另一安全性特征,因?yàn)橛纱艘部梢詸z查分配表 的真實(shí)性。由于通過(guò)該表還建立有數(shù)據(jù)單元之間的關(guān)系,所以特別重要的是分配表的內(nèi)容 是真實(shí)的。同樣的適用于一種擴(kuò)展方案,按照該擴(kuò)展方案,在訪問(wèn)保存在存儲(chǔ)器單元的存儲(chǔ) 裝置中的實(shí)施指示之前,由鑒權(quán)設(shè)備檢查電子密鑰。因此可以明確確保實(shí)施指示的真實(shí)性。如上面已經(jīng)說(shuō)明的那樣,一種由鑒權(quán)設(shè)備檢查保存在訪問(wèn)指示中的密鑰的擴(kuò)展方 案具有以下的優(yōu)點(diǎn)只有具有正確密鑰的訪問(wèn)指示才被鑒權(quán)設(shè)備接受并然后實(shí)現(xiàn)對(duì)存儲(chǔ)器單元的訪問(wèn)。同樣鑒于對(duì)訪問(wèn)的明確保護(hù),如下的一種擴(kuò)展方案是有利的在所述擴(kuò)展方案中 流程控制用正確保存的密鑰來(lái)相對(duì)于鑒權(quán)設(shè)備對(duì)自己進(jìn)行鑒權(quán)。通過(guò)該擴(kuò)展方案現(xiàn)在確保 了,僅僅通過(guò)正確識(shí)別和鑒權(quán)的流程控制也可以實(shí)施對(duì)存儲(chǔ)器單元的訪問(wèn)。因此潛在的侵 犯者也不能借助操縱的流程控制獲得對(duì)存儲(chǔ)器單元的訪問(wèn)。如果在檢查所呈現(xiàn)的密鑰時(shí)識(shí)別出與所保存的密鑰的不一致性,則根據(jù)權(quán)利要 求輸出報(bào)警消息,使得立即可以對(duì)錯(cuò)誤的鑒權(quán)作出反應(yīng)。然后優(yōu)選停止正在進(jìn)行的訪問(wèn),并 進(jìn)行對(duì)已導(dǎo)致報(bào)警消息的原因的詳細(xì)檢查。在此主要的是,對(duì)于對(duì)數(shù)據(jù)單元的訪問(wèn)必要時(shí) 檢查多個(gè)密鑰,并且只有在成功地檢查了所有密鑰時(shí)才批準(zhǔn)對(duì)數(shù)據(jù)單元的訪問(wèn)。如果潛在 的侵犯者操縱分布式數(shù)據(jù)存儲(chǔ)設(shè)備的部件,則密鑰與所保存的密鑰不再一致,并因此導(dǎo)致 報(bào)警觸發(fā)和防止進(jìn)一步的訪問(wèn)。如果存儲(chǔ)器單元的訪問(wèn)控制在流程控制的請(qǐng)求時(shí)將保存的第二電子密鑰與流程 控制的密鑰進(jìn)行比較,或如果由鑒權(quán)設(shè)備對(duì)所保存的第二電子密鑰進(jìn)行檢查,則獲得其它 有利的構(gòu)造方案。這些構(gòu)造方案如下地實(shí)現(xiàn)所謂的反向檢查,使得由此存儲(chǔ)器單元也可以 檢查進(jìn)行請(qǐng)求的流程控制是否是原來(lái)所鑒權(quán)的流程控制。潛在的侵犯者對(duì)流程控制進(jìn)行操 縱,并因此可能獲得對(duì)存儲(chǔ)器單元的訪問(wèn),這由根據(jù)權(quán)利要求的擴(kuò)展方案來(lái)防止。訪問(wèn)控制借助所傳送的實(shí)施指示訪問(wèn)數(shù)據(jù)單元的一種擴(kuò)展方案是特別重要的,因 為由此確保了防止或不能直接訪問(wèn)數(shù)據(jù)單元。已知的數(shù)據(jù)存儲(chǔ)設(shè)備大多允許直接訪問(wèn)數(shù)據(jù) 單元。因此,潛在的侵犯者通過(guò)所操縱的實(shí)施設(shè)備來(lái)獲得對(duì)數(shù)據(jù)單元的訪問(wèn)。在此,根據(jù)權(quán) 利要求的擴(kuò)展方案引入了另一安全性屏障,因?yàn)榍址刚吒郊拥剡€必須獲得實(shí)施指示,以便 獲得對(duì)數(shù)據(jù)單元的訪問(wèn)。
為了更好地理解本發(fā)明,借助以下的附圖詳細(xì)闡述本發(fā)明。分別以極為示意性地簡(jiǎn)化的示圖示出 圖1為本發(fā)明數(shù)據(jù)存儲(chǔ)設(shè)備的原理電路圖2為對(duì)數(shù)據(jù)單元的可能的訪問(wèn)的流程順序圖; 圖3為本發(fā)明數(shù)據(jù)存儲(chǔ)設(shè)備的安全方案的示例性示圖。
具體實(shí)施例方式作為引言應(yīng)該領(lǐng)會(huì),在不同說(shuō)明的實(shí)施形式中,相同的部分配備有相同的附圖標(biāo) 記或相同的組件名稱(chēng),其中包含在整個(gè)說(shuō)明書(shū)中的公開(kāi)內(nèi)容按照意義可以轉(zhuǎn)移到具有相同 附圖標(biāo)記或相同組件名稱(chēng)的相同部分上。在說(shuō)明書(shū)中所選擇的諸如上方、下方、側(cè)面等的位 置說(shuō)明也與直接說(shuō)明的以及示出的圖有關(guān),并且在位置變化時(shí)按照意義可轉(zhuǎn)移到新的位置 上。來(lái)自所示出和說(shuō)明的不同實(shí)施例的單個(gè)特征或特征組合同樣也可以是本身獨(dú)立的、發(fā) 明性的或根據(jù)本發(fā)明的解決方案。應(yīng)該將在對(duì)象描述中對(duì)于值范圍的所有說(shuō)明理解為,這些值范圍隨同包括了來(lái)自 其中的任意的和所有的部分范圍,例如應(yīng)將1至10的說(shuō)明理解為隨同包括了從下限1和上 限10出發(fā)的整個(gè)部分范圍,即以1或大于1的下限開(kāi)始并在10或小于10的上限處結(jié)束的整個(gè)部分范圍,例如1至1.7,或3. 2至8. 1,或5. 5至10。圖1示出分布式數(shù)據(jù)存儲(chǔ)設(shè)備1的原理電路圖,其中數(shù)據(jù)或信息50保存在多個(gè)存 儲(chǔ)器單元2中。存儲(chǔ)器單元2通過(guò)通信網(wǎng)絡(luò)3與流程控制4連接。流程控制4被構(gòu)造用于 處理使用者5的請(qǐng)求并且從存儲(chǔ)器單元2中調(diào)用相應(yīng)的信息和向使用者或其數(shù)據(jù)終端設(shè)備 5傳送。由于存儲(chǔ)器單元2在必要時(shí)可以分布式地布置,尤其是也可以布置在不同的位置, 因此將信息單元50分配到各個(gè)存儲(chǔ)器單元2上,使得即使在知道整個(gè)存儲(chǔ)器單元的內(nèi)容以 及保存在其中的信息單元的部分時(shí),也不能訪問(wèn)另一存儲(chǔ)器單元的內(nèi)容或不能查詢(xún)完整的 可利用的數(shù)據(jù)組。因此流程控制4具有至少由訪問(wèn)控制模塊7和至少一個(gè)存儲(chǔ)器單元8形 成的訪問(wèn)檢查設(shè)備6。現(xiàn)在重要的是,在訪問(wèn)檢查設(shè)備6的存儲(chǔ)器單元8,49中,保存有分配 表沈或?qū)嵤┲甘?7。通過(guò)該分布式布置確保了,在存儲(chǔ)器單元2中沒(méi)有保存數(shù)據(jù)單元50 之間的關(guān)系。對(duì)于所保存數(shù)據(jù)的安全性來(lái)說(shuō),進(jìn)一步特別重要的是,流程控制4與鑒權(quán)設(shè)備 9連接。鑒權(quán)設(shè)備9尤其是被構(gòu)造用于,檢查對(duì)存儲(chǔ)器單元2或存儲(chǔ)器單元8的每個(gè)訪問(wèn)的 可信性,并因此確保只能執(zhí)行擁有相應(yīng)的安全特征的那些訪問(wèn)。為了現(xiàn)在可以建立在存儲(chǔ)器單元2,8,49和流程控制4之間的關(guān)系,以便因此可以 防止濫用的訪問(wèn),在存儲(chǔ)器單元2,8,49中分別保存有明確的第一電子密鑰10。在密鑰存儲(chǔ) 器11中保存有與所保存的電子密鑰10相對(duì)應(yīng)的密鑰12,使得在第一電子密鑰10和所保 存的電子密鑰12之間總是有明確的關(guān)系。如果現(xiàn)在例如應(yīng)訪問(wèn)存儲(chǔ)器單元2,則由流程控 制4、尤其是由訪問(wèn)控制模塊7來(lái)讀出并由鑒權(quán)設(shè)備9來(lái)檢查存儲(chǔ)器單元2的第一電子密鑰 10。如果存在一致性,則允許對(duì)該存儲(chǔ)器單元的訪問(wèn)并根據(jù)所保存的分級(jí)流程48來(lái)執(zhí)行其 它的順序。在錯(cuò)誤的鑒權(quán)的情況下,可由鑒權(quán)設(shè)備9或由流程控制4觸發(fā)報(bào)警,由此激活安 全措施并且必要時(shí)也激活用于數(shù)據(jù)存儲(chǔ)設(shè)備的物理保護(hù)措施。第一密鑰10和第二密鑰M 優(yōu)選是互相獨(dú)立的,但是分別與所保存的密鑰12相對(duì)應(yīng)。每一個(gè)存儲(chǔ)器單元2具有訪問(wèn)控制14和存儲(chǔ)裝置15,其中訪問(wèn)控制14被構(gòu)造為 使得通過(guò)通信連接16到達(dá)的請(qǐng)求不能獲得對(duì)存儲(chǔ)裝置15的直接訪問(wèn)。存儲(chǔ)器單元8也優(yōu) 選具有訪問(wèn)控制17和存儲(chǔ)裝置18,使得在這里也防止對(duì)存儲(chǔ)裝置18的直接訪問(wèn)。對(duì)保存在密鑰存儲(chǔ)器11中的電子密鑰12提出關(guān)于其明確性的高的要求。尤其是 必須可以在保存在存儲(chǔ)裝置中的電子密鑰10J4與參考密鑰12之間建立明確的關(guān)系,其中 可以將該關(guān)系設(shè)計(jì)為使得從模塊密鑰10,M中不能推斷出參考密鑰12。在一種特別有利的 擴(kuò)展方案中,鑒權(quán)設(shè)備9具有用于生成明確的電子密鑰的模塊19。利用該模塊19,現(xiàn)在使 得鑒權(quán)設(shè)備9有可能在不需要外部的裝置或認(rèn)證機(jī)構(gòu)的情況下可以自動(dòng)生成明確的電子 密鑰。通過(guò)該構(gòu)造方案以有利的方式確保,在限定的和已知的安全環(huán)境中生成了電子密鑰 12,并因此在最大程度上防止外部影響或偽造密鑰的危險(xiǎn)。電子密鑰的安全性大多基于數(shù) 學(xué)方法,尤其是基于其計(jì)算或求解是極其復(fù)雜的方程組。主要的特征尤其是在于,可以很好 地估算用于求解方程組所需的計(jì)算能力以及因此所需的時(shí)間。因此可以將電子密鑰構(gòu)造為 使得用于規(guī)避密鑰所需的時(shí)間大于要探聽(tīng)信息的重要性。例如可由數(shù)據(jù)處理設(shè)備形成鑒權(quán) 設(shè)備9,但是也可以構(gòu)造為只能通過(guò)通信端子20來(lái)查詢(xún)并通過(guò)其也提供鑒權(quán)結(jié)果的模塊。由于效益和安全性原因,也可以空間上分布式地布置本發(fā)明的分布式數(shù)據(jù)存儲(chǔ)設(shè) 備1,使得在各個(gè)模塊之間一例如在鑒權(quán)設(shè)備9和流程控制4的存儲(chǔ)器單元2,8,49之間一 中間連接有通信網(wǎng)絡(luò)3,該通信網(wǎng)絡(luò)3原則上必須看作為不安全的通信網(wǎng)絡(luò)。該通信網(wǎng)絡(luò)例如可以是公共可用的和可接入的因特網(wǎng),從而必須考慮對(duì)通信連接16,21的濫用訪問(wèn)的危 險(xiǎn)。在一種有利的擴(kuò)展方案中現(xiàn)在可以保護(hù)每個(gè)通信連接,所通過(guò)的方式是在通信連接的 相應(yīng)端點(diǎn)處布置編碼模塊23。利用這樣的編碼模塊現(xiàn)在確保,在端點(diǎn)之間一例如在存儲(chǔ)器 單元2和流程控制4之間一對(duì)基于所謂的端對(duì)端編碼的通信連接16進(jìn)行保護(hù)。即使在對(duì) 通信連接16的濫用訪問(wèn)時(shí),也基本上不可能訪問(wèn)所傳輸?shù)臄?shù)據(jù)。通過(guò)保存第一電子密鑰10,可以建立在存儲(chǔ)器單元2,8,49之間的關(guān)系。因此流程 控制4可以尤其是借助鑒權(quán)設(shè)備9來(lái)確保,分別訪問(wèn)正確的存儲(chǔ)器單元。尤其是因此確保, 潛在的侵犯者不能將一個(gè)存儲(chǔ)器單元通過(guò)被操縱的存儲(chǔ)器單元來(lái)代替,以便因此獲得對(duì)分 布式數(shù)據(jù)單元的訪問(wèn)。因此,通過(guò)確定明確的通信路徑和訪問(wèn)情形(Zugriffsszenario),這 樣被操縱的存儲(chǔ)器單元不能獲得對(duì)另一個(gè)存儲(chǔ)器單元或另一個(gè)模塊的直接訪問(wèn)。濫用的訪 問(wèn)嘗試保持局限于該存儲(chǔ)器單元上,因?yàn)橛捎诔錾耐ㄐ怕窂?,其它模塊除了對(duì)于流程控 制以外對(duì)于被操縱的存儲(chǔ)器單元是不可見(jiàn)的。在一種擴(kuò)展方案中,現(xiàn)在在存儲(chǔ)器單元中保 存有兩個(gè)電子密鑰對(duì),這些電子密鑰M與流程控制4的密鑰25和/或與在鑒權(quán)設(shè)備9中 所保存的密鑰12相對(duì)應(yīng)。通過(guò)該擴(kuò)展方案,例如訪問(wèn)控制14,17現(xiàn)在能夠在有效性方面檢 查流程控制4、尤其是訪問(wèn)控制模塊7的請(qǐng)求。在請(qǐng)求時(shí),所分配的密鑰25例如由流程控制 向訪問(wèn)控制14,17傳輸或由該訪問(wèn)控制14,17查詢(xún)。訪問(wèn)控制現(xiàn)在可以讓密鑰25由鑒權(quán) 設(shè)備9檢查,或訪問(wèn)控制可以自己用所保存的第二密鑰M來(lái)實(shí)施檢查。該擴(kuò)展方案現(xiàn)在確 保,每個(gè)存儲(chǔ)器單元可以自己檢查進(jìn)入的查詢(xún)要求是否也來(lái)源于有效的、尤其是允許的流 程控制4。為了在這樣構(gòu)造的分布式數(shù)據(jù)存儲(chǔ)設(shè)備1中以濫用方式獲得對(duì)所保存的數(shù)據(jù)單 元的訪問(wèn),潛在的侵犯者必須同時(shí)操縱多個(gè)電子密鑰以及鑒權(quán)設(shè)備。優(yōu)選在特別安全的環(huán) 境中運(yùn)行鑒權(quán)設(shè)備9并且必要時(shí)也運(yùn)行流程控制4,尤其是這些設(shè)備大多安放在數(shù)據(jù)中心 或金融機(jī)構(gòu)的高度安全區(qū)域內(nèi),由此對(duì)這些模塊的個(gè)人以及遠(yuǎn)程作用的訪問(wèn)在極高程度上 是不可能的。然而,由于這些模塊是本發(fā)明分布式數(shù)據(jù)存儲(chǔ)設(shè)備的核心部件并且尤其是承 擔(dān)鑒權(quán)任務(wù)和檢查任務(wù),因此也在最大程度上確保了在存儲(chǔ)器單元中所保存的數(shù)據(jù)單元的 安全。通過(guò)必要時(shí)也可以在空間上分開(kāi)構(gòu)造的分布式布置也確保了,濫用訪問(wèn)是極其困難 的,因?yàn)闉榱瞬涣⒓从|發(fā)報(bào)警,該濫用訪問(wèn)必須在時(shí)間上和地點(diǎn)上準(zhǔn)確協(xié)調(diào)地執(zhí)行,由此防 止了濫用訪問(wèn)嘗試。本發(fā)明數(shù)據(jù)存儲(chǔ)設(shè)備的另一主要特征在于,有用數(shù)據(jù)與有用數(shù)據(jù)之間的關(guān)系分開(kāi) 存放,并且不能直接訪問(wèn)有用數(shù)據(jù)。為此,在存儲(chǔ)器單元8中例如保存有分配表沈,其中可 以?xún)H通過(guò)該分配表來(lái)建立在存儲(chǔ)器單元的數(shù)據(jù)單元之間的有意義的聯(lián)系。在已知的分布式 數(shù)據(jù)存儲(chǔ)設(shè)備中,在存儲(chǔ)器單元中與數(shù)據(jù)組一起存放有這樣的分配表。因此,整個(gè)信息可供 潛在的侵犯者使用,以便可以從分布式存儲(chǔ)器單元中讀出數(shù)據(jù)組。在本發(fā)明分布式數(shù)據(jù)存儲(chǔ)設(shè)備中,不僅數(shù)據(jù)單元的存儲(chǔ)器單元2,而且分配表沈 的存儲(chǔ)器單元8和實(shí)施指示27的存儲(chǔ)器單元49,都必須相對(duì)于鑒權(quán)設(shè)備9正確自我識(shí)別自 己,以便開(kāi)啟訪問(wèn)。在已知的數(shù)據(jù)存儲(chǔ)設(shè)備中常見(jiàn)的也有,批準(zhǔn)流程控制4直接訪問(wèn)存儲(chǔ)器 單元2的存儲(chǔ)裝置15。與此相反地,在本發(fā)明數(shù)據(jù)存儲(chǔ)設(shè)備中引入另一安全區(qū),所通過(guò)的方 式是防止直接訪問(wèn)存儲(chǔ)裝置15,因?yàn)橹挥型ㄟ^(guò)預(yù)先規(guī)定的、經(jīng)過(guò)檢查和經(jīng)過(guò)鑒權(quán)過(guò)的實(shí)施 指示27才可訪問(wèn)存儲(chǔ)裝置15。一種特別有利的擴(kuò)展方案在于,在數(shù)據(jù)存儲(chǔ)設(shè)備內(nèi)構(gòu)造安全區(qū)60,61,其中這樣的
12安全區(qū)包括多個(gè)必要時(shí)也可以分布式布置的模塊。這些安全區(qū)是附加地用于有用信息和關(guān) 系信息的分開(kāi)而布置的第二安全層。由于這些安全區(qū)互相交疊,所以隨時(shí)可以互相檢查或 監(jiān)控正在進(jìn)行的事務(wù)和請(qǐng)求。例如檢查模塊62可以與流程控制連接,該檢查模塊62監(jiān)控安 全區(qū)中的流程并且在有差錯(cuò)時(shí)立即停止事務(wù)以及必要時(shí)輸出報(bào)警消息。這些安全區(qū)非常顯 著地增加了侵犯嘗試的困難,因?yàn)榍址刚咭虼吮仨殕?dòng)極其精確準(zhǔn)備的侵犯。在此,必須以 準(zhǔn)確確定的順序來(lái)操縱多個(gè)模塊,這在沒(méi)有對(duì)內(nèi)部構(gòu)造和流程非常準(zhǔn)確的認(rèn)識(shí)的情況下是 極其困難的。因此,逐步侵犯不會(huì)是主要目標(biāo),因?yàn)檫@樣的侵犯不能保持不被察覺(jué)。因此, 侵犯嘗試的工作量是很高的,這與很可能的失敗相結(jié)合帶來(lái)很高的威懾作用。在一種擴(kuò)展方案中,還可以存在附加地對(duì)所執(zhí)行的事務(wù)檢驗(yàn)其可信性的外部檢查 設(shè)備。因此例如可以將實(shí)際發(fā)生的流程與所保存的流程進(jìn)行比較,以便因此可以確定偏差。 還可以對(duì)事務(wù)進(jìn)行驗(yàn)證、也就是檢查到達(dá)模塊的請(qǐng)求是否與原來(lái)發(fā)出的請(qǐng)求一致,或者是 否在通信路徑上導(dǎo)致請(qǐng)求被操縱?,F(xiàn)在,這些有利的擴(kuò)展方案帶來(lái)了在分布式數(shù)據(jù)存儲(chǔ)設(shè)備中所保存數(shù)據(jù)單元的安 全性的顯著提高,而用于布置數(shù)據(jù)存儲(chǔ)設(shè)備的各個(gè)模塊的工作量并沒(méi)有顯著提高。尤其是 只有少數(shù)部件將被布置在高度安全的環(huán)境中,因?yàn)闈撛诘那址刚呒词估脤?duì)存儲(chǔ)器單元的 完整認(rèn)識(shí)也不能從所讀出的數(shù)據(jù)單元中獲得可利用的信息。因此,可以鑒于對(duì)運(yùn)行系統(tǒng)的 性能要求盡可能最佳地布置本發(fā)明數(shù)據(jù)存儲(chǔ)設(shè)備的模塊,而不會(huì)由此導(dǎo)致安全性的損失。在一種有利的擴(kuò)展方案中,例如可以將訪問(wèn)控制14,17構(gòu)造為使得它們可以自己 執(zhí)行鑒權(quán)的一部分。例如可由流程控制和/或鑒權(quán)設(shè)備向訪問(wèn)控制傳送部分編碼的結(jié)果, 該訪問(wèn)控制隨即用所保存的密鑰10,M執(zhí)行相同的部分編碼并檢驗(yàn)所接收到的結(jié)果。如果 所傳送的和所建立的結(jié)果一致,則批準(zhǔn)訪問(wèn),否則必要時(shí)觸發(fā)報(bào)警。該擴(kuò)展方案所具有的決 定性?xún)?yōu)點(diǎn)是,不必通過(guò)通信連接來(lái)傳輸所保存的密鑰,這是本發(fā)明數(shù)據(jù)存儲(chǔ)設(shè)備的另一重 要的安全特征。圖2示出訪問(wèn)分布式數(shù)據(jù)存儲(chǔ)設(shè)備中的數(shù)據(jù)單元的可能的流程順序圖。使用者或 數(shù)據(jù)處理設(shè)備觀在處理例如控制指示的過(guò)程的進(jìn)程中觸發(fā)數(shù)據(jù)查詢(xún)過(guò)程四。該數(shù)據(jù)查詢(xún) 過(guò)程被傳送給流程控制30并由該流程控制30整理31為相應(yīng)的子任務(wù)。子任務(wù)現(xiàn)在可以 是,從存儲(chǔ)器單元32中調(diào)用多個(gè)數(shù)據(jù)組或信息。為了可以訪問(wèn)相應(yīng)的數(shù)據(jù)組,流程控制必 須確定數(shù)據(jù)單元之間的相應(yīng)關(guān)系,以便可以訪問(wèn)正確的存儲(chǔ)器單元?,F(xiàn)在,本發(fā)明數(shù)據(jù)存儲(chǔ) 設(shè)備的主要安全方案在于,可以如下地檢驗(yàn)每個(gè)單個(gè)的部件該部件對(duì)于當(dāng)前啟動(dòng)的過(guò)程 是否是允許的。為此由流程控制30在第一步驟中從分配表33中讀出34所保存的明確的 密鑰。根據(jù)一種擴(kuò)展方案,也可以如下地構(gòu)造基于密鑰的安全系統(tǒng)不讀出密鑰本身,而是 生成可由流程控制30將其與參考密鑰進(jìn)行比較的密鑰結(jié)果。所讀出的密鑰或部分結(jié)果被 相應(yīng)地整理35并傳送給鑒權(quán)設(shè)備36。該鑒權(quán)設(shè)備36現(xiàn)在執(zhí)行37與所保存的密鑰的比較 檢查,以便由此檢查所呈現(xiàn)密鑰的真實(shí)性。在成功的檢查情況下,分配表33的真實(shí)性得到 確保,并且流程控制30可以隨即建立讀取請(qǐng)求并從分配表33中讀出38所需要的關(guān)系。由于本發(fā)明分布式數(shù)據(jù)存儲(chǔ)設(shè)備的另一安全特征在于,可以不直接訪問(wèn)存儲(chǔ)器單 元32,所以由流程控制30在下一個(gè)步驟中讀出訪問(wèn)控制指示。為此在第一步驟中讀出40、 必要時(shí)整理工作指示39的明確的密鑰,并且又向鑒權(quán)設(shè)備36傳送以用于檢查41。在成功 的檢查之后,生成相應(yīng)的請(qǐng)求并且隨后讀出42工作指示。不能肯定地排除對(duì)存儲(chǔ)器單元的直接的濫用訪問(wèn),所以特別有利的是,在這樣的訪問(wèn)時(shí)導(dǎo)致對(duì)于侵犯者沒(méi)有意義的可用的 信息收益。尤其是信息單元以不互相關(guān)聯(lián)的形式并且必要時(shí)被附加編碼地存在?,F(xiàn)在在這些方法步驟之后確保了,在數(shù)據(jù)單元之間的關(guān)系和訪問(wèn)指示是真實(shí)的。 利用這些數(shù)據(jù)組使得流程控制33現(xiàn)在可以生成相應(yīng)的存儲(chǔ)器請(qǐng)求43,以便隨即可以訪問(wèn) 一個(gè)或多個(gè)存儲(chǔ)器單元32并且讀出44相應(yīng)地要求的數(shù)據(jù)。所讀出的數(shù)據(jù)組由流程控制33 相應(yīng)地整理45并且被返回傳送給使用者或數(shù)據(jù)處理設(shè)備觀,在使用者或數(shù)據(jù)處理設(shè)備觀 處這些數(shù)據(jù)組在必要時(shí)被相應(yīng)地進(jìn)一步處理、整理或顯示46給使用者。本發(fā)明方法必要時(shí)還可以構(gòu)造另一安全功能,例如通過(guò)必須遵守特定的查詢(xún)情形 (Abfrageszenario)0在訪問(wèn)存儲(chǔ)器單元或在向鑒權(quán)設(shè)備請(qǐng)求檢查時(shí),例如在第一步驟中, 可以傳送不完整的請(qǐng)求或看來(lái)錯(cuò)誤的密鑰,跟隨其后的是正確格式化的請(qǐng)求。侵犯者可能 會(huì)忽視該第一錯(cuò)誤請(qǐng)求,并立即發(fā)送正確格式化的請(qǐng)求,由此可以識(shí)別濫用的訪問(wèn)嘗試。但是在一種擴(kuò)展方案中也可以與請(qǐng)求一起傳輸時(shí)間戳,其中對(duì)于正確的查詢(xún)情形 來(lái)說(shuō)必須遵守請(qǐng)求的特定時(shí)間順序。在沒(méi)有對(duì)時(shí)間關(guān)聯(lián)的認(rèn)識(shí)的情況下,侵犯者可能會(huì)在 時(shí)間上不協(xié)調(diào)地發(fā)送請(qǐng)求,由此又可以識(shí)別操縱嘗試。此外,時(shí)間差可以附加地具有偽隨機(jī) 的相關(guān)性,使得跟隨的請(qǐng)求必須用符合期待的時(shí)間戳出現(xiàn)。在此關(guān)聯(lián)中,不應(yīng)將時(shí)間戳理 解為絕對(duì)的時(shí)間說(shuō)明,因?yàn)橛捎谕ㄐ怕窂缴系牟煌倪\(yùn)行時(shí)間可能導(dǎo)致不能估算的時(shí)間延 遲。通過(guò)這些時(shí)間戳象征性地確定了為正確執(zhí)行事務(wù)所必須遵守的時(shí)間相關(guān)性。因此例如 發(fā)送模塊可以確定,以何種時(shí)間順序來(lái)發(fā)送請(qǐng)求。接收模塊然后可以借助時(shí)間戳確定,順序 到達(dá)的請(qǐng)求是否與原來(lái)確定的順序一致。因此,為了能夠掩飾操縱嘗試,潛在的侵犯者面對(duì) 要精確地同步克服的許多障礙。該圖示出本方法的一種可能的構(gòu)造方案,以便可以訪問(wèn)本發(fā)明分布式數(shù)據(jù)存儲(chǔ)設(shè) 備中的數(shù)據(jù)組。用于對(duì)各個(gè)模塊或設(shè)備之間的通信進(jìn)行編碼的附加安全步驟在該圖中沒(méi)有 示出。根據(jù)一種有利的擴(kuò)展方案,還可以在存儲(chǔ)裝置中保存第二電子密鑰,由此使得分 配表的訪問(wèn)控制或?qū)嵤┲甘镜脑L問(wèn)控制可以檢查流程控制的真實(shí)性。因此可以有利地對(duì)真 實(shí)性進(jìn)行雙重檢查,這顯著提高了潛在侵犯者的工作量,并因此確保了數(shù)據(jù)安全性的顯著 上升以及尤其是數(shù)據(jù)的完好無(wú)損性。與已知的數(shù)據(jù)存儲(chǔ)設(shè)備相反,本發(fā)明的構(gòu)造方案具有完全決定性的優(yōu)點(diǎn)關(guān)于有 用數(shù)據(jù)的結(jié)構(gòu)的信息與本來(lái)的有用數(shù)據(jù)分開(kāi),并且尤其是保存在分布式存儲(chǔ)器單元中。通 過(guò)必要時(shí)也可通過(guò)空間上和地點(diǎn)上的分開(kāi)來(lái)形成的該分開(kāi),可以很顯著地增加對(duì)所保存數(shù) 據(jù)的濫用訪問(wèn)的困難,因?yàn)闈撛谇址刚弑仨毻瑫r(shí)操縱多個(gè)設(shè)備,這在極高程度上是不可能 的,因?yàn)槊鎸?duì)系統(tǒng)管理者或面對(duì)自動(dòng)的安全機(jī)制,幾乎不能隱藏如此高的操縱工作量。尤其 是必要時(shí)也將各個(gè)模塊安放在高安全性的房間中,例如安放在金融機(jī)構(gòu)的計(jì)算中心中,這 顯著增加了對(duì)這些模塊訪問(wèn)的困難。尤其是通過(guò)分布式數(shù)據(jù)存儲(chǔ)設(shè)備的本發(fā)明構(gòu)造方案確 保了,潛在的侵犯者即使在完全知道存儲(chǔ)器單元時(shí),也不能從中獲得好處,因?yàn)樵撉址刚呷?少與另外的存儲(chǔ)器單元的關(guān)系和相應(yīng)的訪問(wèn)指示。圖3示例性示出本發(fā)明的分布式數(shù)據(jù)存儲(chǔ)設(shè)備的安全區(qū)60,61的概念方案。由于 檢查和訪問(wèn)信息的有用數(shù)據(jù)單元的根據(jù)本發(fā)明的分開(kāi),與每個(gè)訪問(wèn)的鑒權(quán)相結(jié)合地,對(duì)于 潛在侵犯者產(chǎn)生了多個(gè)障礙。為了圖解,該圖通過(guò)具有門(mén)、密鑰和鎖的類(lèi)比示圖來(lái)說(shuō)明訪問(wèn)保護(hù)。通過(guò)對(duì)部件的操縱,侵犯者51例如獲得密鑰52,以便以此打開(kāi)門(mén)53。該門(mén)例如可 以是分配表。由于該操縱,侵犯者獲得η個(gè)密鑰M并進(jìn)入具有m個(gè)門(mén)的房間。為了可以進(jìn) 一步獲得,侵犯者必須從現(xiàn)有的密鑰討中選出合適的密鑰56,以便可以打開(kāi)其它的門(mén)?,F(xiàn) 在主要的是,侵犯者也必須知道相應(yīng)的門(mén)57,因?yàn)樵诶鐬榱藝L試多個(gè)門(mén)而進(jìn)行的錯(cuò)誤的 訪問(wèn)嘗試時(shí),操縱會(huì)被立即識(shí)別出。如果侵犯者可以打開(kāi)門(mén)57,例如實(shí)施指示,則該侵犯者 獲得另一密鑰58,該密鑰58又打開(kāi)可能的門(mén)55中的一個(gè)。為了繼續(xù)進(jìn)展和獲得對(duì)相關(guān)數(shù) 據(jù)單元59的訪問(wèn),侵犯者又必須打開(kāi)許多可能的門(mén)中的特定的門(mén)60。采用錯(cuò)誤的密鑰或?qū)﹀e(cuò)誤的門(mén)的訪問(wèn)嘗試使得可以明確地識(shí)別操縱嘗試,對(duì)此可 以相應(yīng)地做出反應(yīng)。尤其是按照try-and-error (嘗試和錯(cuò)誤)原理的多次測(cè)試侵犯是不 可能的,因?yàn)橐淮螣o(wú)效訪問(wèn)嘗試已經(jīng)可以觸發(fā)報(bào)警消息。實(shí)施例示出分布式數(shù)據(jù)存儲(chǔ)設(shè)備的可能的實(shí)施變型方案,其中在此處要注明,本 發(fā)明不局限于同一發(fā)明的這些專(zhuān)門(mén)示出的實(shí)施變型方案,而是更確切地說(shuō),各個(gè)實(shí)施變型 方案的互相之間的不同組合也是可能的,并且該變型可能性根據(jù)技術(shù)交流準(zhǔn)則通過(guò)本發(fā)明 處于從事該技術(shù)領(lǐng)域的專(zhuān)業(yè)人員的能力范圍中。因此所有可以設(shè)想的實(shí)施變型方案也由保 護(hù)范圍隨同包括,這些實(shí)施變型方案通過(guò)組合所示出和說(shuō)明的實(shí)施變型方案的各個(gè)細(xì)節(jié)而 成為可能。圖2中示出分布式數(shù)據(jù)存儲(chǔ)設(shè)備的另一和必要時(shí)本身獨(dú)立的實(shí)施形式,其中如在 上面的圖中那樣又對(duì)于相同部分采用相同的附圖標(biāo)記或組件名稱(chēng)。為了避免不必要的重 復(fù),指明或參考上面的圖1中的詳細(xì)說(shuō)明。為了條理性,最后指明,為了更好地理解分布式數(shù)據(jù)存儲(chǔ)設(shè)備的構(gòu)造,部分地不按 尺寸比例和/或放大地和/或縮小地示出該分布式數(shù)據(jù)存儲(chǔ)設(shè)備或該分布式數(shù)據(jù)存儲(chǔ)設(shè)備 的組件。獨(dú)立的本發(fā)明解決方案所基于的任務(wù)可從說(shuō)明書(shū)中獲悉。特別地,在圖中所展示的各個(gè)實(shí)施方案可形成獨(dú)立的本發(fā)明解決方案的對(duì)象。與 此有關(guān)的本發(fā)明的任務(wù)和解決方案可從這些圖的詳細(xì)說(shuō)明中獲悉。
)]附圖標(biāo)記清單1分布式數(shù)據(jù)存儲(chǔ)設(shè)備32存儲(chǔ)器單元2存儲(chǔ)器單元33分配表3通信網(wǎng)絡(luò)34讀出密鑰4流程控制35整理5使用者36鑒權(quán)設(shè)備6訪問(wèn)檢查設(shè)備37檢查真實(shí)性7訪問(wèn)控制模塊38讀出關(guān)系8存儲(chǔ)器單元39工作指示9鑒權(quán)設(shè)備40讀出密鑰10第一電子密鑰41檢查真實(shí)性11密鑰存儲(chǔ)器42讀出指示12電子密鑰43存儲(chǔ)器請(qǐng)求13流程控制模塊44讀出數(shù)據(jù)14訪問(wèn)控制45數(shù)據(jù)整理15存儲(chǔ)裝置46顯示,進(jìn)一步處理,整理16通信連接47驗(yàn)證設(shè)備17訪問(wèn)控制48分級(jí)流程18存儲(chǔ)裝置49存儲(chǔ)器單元19密鑰生成模塊50數(shù)據(jù)單元20通信端子51侵犯者21通信連接52密鑰22通信連接53門(mén)23編碼模塊54密鑰24第二電子密鑰55門(mén)25密鑰56密鑰26分配表57門(mén)27實(shí)施指示58密鑰28使用者,數(shù)據(jù)處理設(shè)備59數(shù)據(jù)單元29數(shù)據(jù)查詢(xún)過(guò)程60第一安全區(qū)30流程控制61第二安全區(qū)31整理請(qǐng)求62檢查模塊
權(quán)利要求
1.一種分布式數(shù)據(jù)存儲(chǔ)設(shè)備(1 ),包括多個(gè)分別具有存儲(chǔ)裝置(15)和訪問(wèn)控制(14) 的存儲(chǔ)器單元(2 )、具有存儲(chǔ)裝置(11)和驗(yàn)證設(shè)備(47 )的鑒權(quán)設(shè)備(9 )、具有流程控制模塊 (13)和訪問(wèn)檢查設(shè)備(6)的流程控制(4),其中流程控制(4)與存儲(chǔ)器單元(2)和鑒權(quán)設(shè)備(9)通信連接,其特征在于,在鑒權(quán)設(shè)備(9)的存儲(chǔ)裝置(11)中保存有至少一個(gè)明確的電子 密鑰(12),訪問(wèn)檢查設(shè)備(6)具有訪問(wèn)控制模塊(7)和存儲(chǔ)器單元(8),在存儲(chǔ)器單元(2)中 保存有與鑒權(quán)設(shè)備(9)的所保存密鑰(12)對(duì)應(yīng)的明確的第一密鑰(10),并且在存儲(chǔ)器單元 (8)的存儲(chǔ)裝置(18)中保存有分配表(26)。
2.根據(jù)權(quán)利要求1的分布式數(shù)據(jù)存儲(chǔ)設(shè)備,其特征在于,訪問(wèn)檢查設(shè)備(6)具有另一存 儲(chǔ)器單元(49),在該另一存儲(chǔ)器單元(49)的存儲(chǔ)裝置(18)中保存有實(shí)施指示(27)。
3.根據(jù)權(quán)利要求1或2的分布式數(shù)據(jù)存儲(chǔ)設(shè)備,其特征在于,存儲(chǔ)器單元(2)和流程控 制(4 )通過(guò)通信連接(16 )互相通信連接。
4.根據(jù)權(quán)利要求1至3之一的分布式數(shù)據(jù)存儲(chǔ)設(shè)備,其特征在于,存儲(chǔ)器單元(2)的訪 問(wèn)控制(14)和流程控制(4)具有編碼模塊(23)。
5.根據(jù)權(quán)利要求1至4之一的分布式數(shù)據(jù)存儲(chǔ)設(shè)備,其特征在于,在存儲(chǔ)器單元(2)中 保存有與鑒權(quán)設(shè)備(9)的所保存密鑰(12)之一對(duì)應(yīng)的明確的第二電子密鑰(24)。
6.根據(jù)權(quán)利要求1至5之一的分布式數(shù)據(jù)存儲(chǔ)設(shè)備,其特征在于,鑒權(quán)設(shè)備(9)具有用 于生成電子密鑰(10,12,24,25)的模塊(19)。
7.根據(jù)權(quán)利要求1至6之一的分布式數(shù)據(jù)存儲(chǔ)設(shè)備,其特征在于,由數(shù)據(jù)庫(kù)系統(tǒng)形成存 儲(chǔ)器單元(2 )的存儲(chǔ)裝置(15 )和/或存儲(chǔ)器單元(8,49 )的存儲(chǔ)裝置(18 )。
8.根據(jù)權(quán)利要求1至7之一的分布式數(shù)據(jù)存儲(chǔ)設(shè)備,其特征在于,在存儲(chǔ)器單元(8)的 存儲(chǔ)裝置(18)中保存有與保存在鑒權(quán)設(shè)備(9)中的密鑰(12)對(duì)應(yīng)的明確的第一密鑰(10) 和/或第二密鑰(24)。
9.根據(jù)權(quán)利要求2至8之一的分布式數(shù)據(jù)存儲(chǔ)設(shè)備,其特征在于,在存儲(chǔ)器單元(49) 的存儲(chǔ)裝置(18)中保存有與保存在鑒權(quán)設(shè)備(9)中的密鑰(12)對(duì)應(yīng)的明確的第一密鑰(10)和/或第二密鑰(24)。
10.根據(jù)權(quán)利要求1至9之一的分布式數(shù)據(jù)存儲(chǔ)設(shè)備,其特征在于,訪問(wèn)控制模塊(7) 與存儲(chǔ)器單元(8 )和/或存儲(chǔ)器單元(49 )通過(guò)第二通信連接(21)互相通信連 接。
11.根據(jù)權(quán)利要求1至10之一的分布式數(shù)據(jù)存儲(chǔ)設(shè)備,其特征在于,在流程控制模塊 (13)中保存有多個(gè)分級(jí)結(jié)構(gòu)化的流程(48)。
12.根據(jù)權(quán)利要求1至11之一的分布式數(shù)據(jù)存儲(chǔ)設(shè)備,其特征在于,在分配表(26)中 保存有分級(jí)流程(48)與存儲(chǔ)器單元(2)的聯(lián)系。
13.根據(jù)權(quán)利要求1至12之一的分布式數(shù)據(jù)存儲(chǔ)設(shè)備,其特征在于,鑒權(quán)設(shè)備(9)、流 程控制(4)和存儲(chǔ)器單元(2)構(gòu)成第一安全區(qū)(60)。
14.根據(jù)權(quán)利要求1至13之一的分布式數(shù)據(jù)存儲(chǔ)設(shè)備,其特征在于,流程控制(4)、分 配表(26)和實(shí)施指示(27)構(gòu)成第二安全區(qū)(61)。
15.一種用于在分布式數(shù)據(jù)存儲(chǔ)設(shè)備、尤其是根據(jù)權(quán)利要求1至14之一的分布式數(shù)據(jù) 存儲(chǔ)設(shè)備中安全地存儲(chǔ)數(shù)據(jù)的方法,其中數(shù)據(jù)存儲(chǔ)設(shè)備(1)具有至少一個(gè)存儲(chǔ)器單元(2), 包括以下的步驟生成明確的電子密鑰(12);在存儲(chǔ)器單元(2)和鑒權(quán)設(shè)備(9)中保存密鑰 (10,12);在存儲(chǔ)器單元(8)中保存分配表(26);在存儲(chǔ)器單元(49)中保存實(shí)施指示(27)。
16.根據(jù)權(quán)利要求15的方法,其特征在于,在訪問(wèn)保存在存儲(chǔ)器單元(2)的存儲(chǔ)裝置 (15)中的數(shù)據(jù)單元(50)之前,由鑒權(quán)設(shè)備(9)檢查密鑰(10)。
17.根據(jù)權(quán)利要求15或16之一的方法,其特征在于,在使用者或數(shù)據(jù)處理設(shè)備(5)進(jìn) 行訪問(wèn)請(qǐng)求時(shí),查詢(xún)分配表(26 )。
18.根據(jù)權(quán)利要求15至17之一的方法,其特征在于,在使用者或數(shù)據(jù)處理設(shè)備(5)進(jìn) 行訪問(wèn)請(qǐng)求時(shí),查詢(xún)實(shí)施指示(27 )。
19.根據(jù)權(quán)利要求15至18之一的方法,其特征在于,在訪問(wèn)保存在存儲(chǔ)器單元(8)的 存儲(chǔ)裝置(18 )中的分配表(26 )之前,由鑒權(quán)設(shè)備(9 )檢查電子密鑰(10 )。
20.按照權(quán)利要求15至19之一的方法,其特征在于,在訪問(wèn)保存在存儲(chǔ)器單元(49)的 存儲(chǔ)裝置(18)中的實(shí)施指示(27)之前,由鑒權(quán)設(shè)備(9)檢查電子密鑰(10)。
21.根據(jù)權(quán)利要求15至20之一的方法,其特征在于,流程控制(4)用正確保存的密鑰 (25)來(lái)相對(duì)于鑒權(quán)設(shè)備(9)進(jìn)行自我鑒權(quán)。
22.根據(jù)權(quán)利要求15至21之一的方法,其特征在于,在尤其是由于無(wú)效的密鑰而出現(xiàn) 錯(cuò)誤鑒權(quán)的情況下,輸出報(bào)警消息。
23.根據(jù)權(quán)利要求15至22之一的方法,其特征在于,存儲(chǔ)器單元(2,8,49)的訪問(wèn)控制 (14,17),在流程控制(4)請(qǐng)求的情況下,將所保存的第二電子密鑰(24)與流程控制的密鑰 (25)進(jìn)行比較。
24.根據(jù)權(quán)利要求15至23之一的方法,其特征在于,存儲(chǔ)器單元(2,8,49)的訪問(wèn)控制 (14,17),在流程控制(4)請(qǐng)求的情況下,由鑒權(quán)設(shè)備(9)檢查所保存的第二電子密鑰(24)。
25.根據(jù)權(quán)利要求15至M之一的方法,其特征在于,訪問(wèn)控制(14)借助于所傳送的實(shí) 施指示來(lái)訪問(wèn)數(shù)據(jù)單元(50)。
全文摘要
本發(fā)明涉及一種分布式數(shù)據(jù)存儲(chǔ)設(shè)備(1),包括多個(gè)分別具有存儲(chǔ)裝置(15)和訪問(wèn)控制(14)的存儲(chǔ)器單元(2)、具有存儲(chǔ)裝置(11)和驗(yàn)證設(shè)備(47)的鑒權(quán)設(shè)備(9)、具有流程控制模塊(13)和訪問(wèn)檢查設(shè)備(6)的流程控制(4),其中流程控制(4)與存儲(chǔ)器單元(2)和鑒權(quán)設(shè)備(9)通信連接。在鑒權(quán)設(shè)備(9)的存儲(chǔ)裝置(11)中保存有至少一個(gè)明確的電子密鑰(12),訪問(wèn)檢查設(shè)備(6)具有訪問(wèn)控制模塊(7)和存儲(chǔ)器單元(8),在存儲(chǔ)器單元(2)中保存有與鑒權(quán)設(shè)備(9)的所保存密鑰(12)對(duì)應(yīng)的明確的第一密鑰(10),并且在存儲(chǔ)器單元(8)的存儲(chǔ)裝置(18)中保存有分配表(26)。本發(fā)明還涉及一種用于運(yùn)行分布式數(shù)據(jù)存儲(chǔ)設(shè)備(1)的方法。
文檔編號(hào)H04L9/00GK102067509SQ200980123802
公開(kāi)日2011年5月18日 申請(qǐng)日期2009年4月23日 優(yōu)先權(quán)日2008年4月23日
發(fā)明者基斯特斯 F. 申請(qǐng)人:人性化基本輸入輸出系統(tǒng)有限責(zé)任公司