用于数据完整性监管和数据保护系统中的存在证明的区块链技术

摘要

一种示例性方法包括：创建数据的备份；创建与所述备份相关联的元数据；对所述备份进行散列化以创建备份散列；从区块链中获得密钥；生成包括所述密钥以及所述备份散列的组合的聚合散列；以及将所述聚合散列传输到区块链网络。由于聚合散列当被存储在区块链中时不可修改，因此存在在创建特定备份时建立的不可变的记录。

说明书

技术领域

本发明的实施方式总体涉及数据保护。更具体地，本发明的至少一些实施方式涉及用于促进数据管理系统和过程的法规遵从以及数据保护系统中的存在证明的系统、硬件、软件、计算机可读介质和方法。

背景技术

存储系统和数据管理系统对用户数据的处理越来越受到各种法规要求的管辖，这些法规要求包括政府制定的关于安全和隐私的要求，例如欧盟(EU)发布的通用数据保护条例(GDPR)。并且，至少在某些情况下，用户数据的处理由诸如证券交易委员会(SEC)的组织控制。然而，其他机构还颁布了关于用户数据的处理的其他规则和条例。

这样的法规要求可能对涉及创建和处理数据的企业和其他实体和组织提出挑战。并且，这些要求在行业和纵向行业之间发生变化，在每个国家/州都不同，并且随着时间的推移不断变化。这进一步使企业的例如遵从和证明遵从适用条例的能力变得复杂。

举例来说，当今的数据保护系统保存数据的多个副本。在许多情况下，由于新条例(例如GDPR)，需要证明数据在某个时间点不存在或数据在某个时间点确实存在。更详细地说，如GDPR的新条例要求数据管理系统支持有时被称为“被遗忘权”的权利，即此类系统必须能够证实，即证明特定数据(例如，客户个人记录)已被删除。然而，目前无法做出这样的证实。

并且，无法证明诸如备份副本的数据未被篡改。例如，签名可以证明数据是真实的，但备份的时间仍然可以被篡改或更改，并且可以存储具有更改数据的新备份而不是旧备份。因此，如果恢复数据的供应商想要操作数据，则它可以这样做。例如，在诉讼的情况下，供应商可能需要证明在发出请求后立即删除了特定数据。然而，目前没有能力证明被恢复的数据没有被供应商篡改，并且确实是在所声称的时间创建的。

附图说明

为了描述可以获得本发明的至少一些优点和特征的方式，将参考在附图中示出的本发明的特定实施方式来更具体的描述本发明的实施方式。应理解，这些附图仅描绘了本发明的典型实施方式，并且因此不应被认为是对本发明的范围的限制，将通过使用附图用附加的特征和细节来描述和解释本发明的实施方式。

图1公开了用于本发明的一些实施方式的示例性操作环境的方面。

图2公开了示例性主机配置的方面。

图3是公开了用于创建记录的示例性方法的一些一般方面的流程图，该记录可用于证实数据何时被存储，和/或特定数据何时存在或不存在。

图4是公开了用于使用区块链记录来证实数据何时被存储，和/或特定数据何时存在或不存在的示例性方法的一些一般方面的流程图。

具体实施方式

本发明的实施方式总体涉及数据保护。更具体地，本发明的至少一些实施方式涉及用于促进数据管理系统和过程的法规遵从以及数据保护系统中的存在证明的系统、硬件、软件、计算机可读介质和方法。

总体上，本发明的示例性实施方式除其他之外包括将区块链技术整合到数据保护系统中以便能够在任何(一个或多个)时间点证明数据存在或不存在。一些实施方式可以附加地或替选地使用区块链技术到数据保护系统的整合，以便能够证明数据没有被篡改或以其他方式受到损害。本发明的实施方式可以与数据保护系统、硬件和软件一起使用或包括数据保护系统、硬件和软件，例如Dell-EMC数据保护产品，例如Avamar、Networker、企业拷贝数据管理(Enterprise Copy Data Management，ECDM)、集成数据保护设备(IntegratedData Protection Appliance，IDPA)和PowerProtect。然而，这些仅作为示例呈现，并且更一般地，本发明的实施方式可以与任何其他数据保护产品一起使用或包括任何其他数据保护产品。

在一些示例性实施方式中，诸如数据保护产品的数据管理单元的插件使数据管理单元能够充当区块链网络(诸如私有的企业区块链网络)的节点。区块链网络可以包括总账和管理员。当数据保护过程(例如备份过程)被执行时，或与该数据保护过程相关联，生成描述内容(即，数据和与备份相关的元数据)的散列值。可以使用任何合适的散列算法。一个示例是sha-1算法。存储在区块链中的散列值可以例如由执行备份过程的数据保护单元生成。全局密钥生成器会定期创建也存储在区块链中的密钥。存储作为在备份之前创建的最后一个密钥的与该备份相关联的密钥将证明备份是在生成密钥之后创建的。因为可以定期生成密钥(例如每分钟生成一次)，所以准确地显示例如创建备份的时间是相对简单的事情。此外，由于密钥存储在区块链中，因此无法更改由密钥的创建时间建立的备份创建时间的记录。

因此，例如，如果一方声称其数据未被从数据库中删除，则管理该数据的一方可以证明当该方声明该数据已被删除时该数据实际上已被删除。这可以通过恢复两个备份来完成，一个是在请求移除个人数据之前进行的备份，另一个是在请求移除个人数据之后进行的备份。

可以对恢复的第一备份进行散列化，并将得到的散列与存储在区块链中的用于该第一备份的散列进行比较。如果两个散列匹配，则可以安全地得出如下结论：恢复的数据与所备份的数据相同。可以对第二备份执行相同的过程。然后可以将两个恢复和验证的备份相互比较，以确定个人数据是否实际被删除。如果是这样，则个人数据将出现在第一个较早的备份中，但不会出现在第二个较晚的备份中。此外，存储备份的相对时间可以很容易地从存储在具有散列的区块链中的密钥确定。

于是，有利地，本发明的实施方式可以提供相对于常规硬件、系统和方法的各种益处和改进。举例来说，本发明的实施方式可以使管理数据的一方能够肯定地确定在该方的控制下特定数据被删除以及该特定数据被删除的时间。因此，更一般地，本发明的实施方式是有利的，因为它可以以高水平的确定性确定特定数据管理事务确实发生或没有发生。并且，实施方式可以使一方能够确定恢复的数据没有被篡改或以其他方式受到损害。此外，本发明的实施方式可以有效地在数据被存储之后确立和证明数据的完整性。本发明的实施方式可以通过在现有数据保护系统、方法、硬件和软件中整合新的数据完整性功能来改进这些数据保护系统、方法、硬件和软件的操作和有效性。

应当注意，各种实施方式的前述有利方面仅通过示例的方式呈现，并且本发明的示例性实施方式的各种其他有利方面将从本说明书中变得明显。还应注意，任何实施方式实现或能够实现本文公开的任何此类有利方面不是必需的。

A.示例性操作环境的方面

以下是对本发明的各种实施方式的示例性操作环境的方面的讨论。该讨论不旨在以任何方式限制本发明的范围或实施方式的适用性。除了以下讨论之外，在相关申请中公开了关于可以在其中实施本发明的实施方式的示例性操作环境的进一步细节。

一般而言，本发明的实施方式可以结合单独和/或共同实施和/或导致实施数据管理操作的系统、软件和组件来实施。此类数据管理操作可包括但不限于数据读/写/删除操作、数据备份操作、数据恢复操作、数据克隆操作、数据归档操作和灾难恢复操作。因此，虽然在某些方面中本文的讨论可以是针对数据保护环境和操作的讨论，但本发明的范围不限于此。更一般地，本发明的范围包括所公开的概念可以在其中有用的任何操作环境。作为说明而非限制，本发明的实施方式可以结合数据备份和恢复平台使用，例如Dell-EMCNetWorker和Avamar平台。

数据保护环境可以采用公共或私有云存储环境、本地存储环境和包括公共和私有元素的混合存储环境的形式，尽管本发明的范围也扩展到任何其他类型的数据保护环境。这些示例性存储环境中的任何一者都可以部分或完全虚拟化。存储环境可以包括数据中心或由数据中心组成，该数据中心可操作以服务由一个或多个客户端发起的读取和写入操作。

除了存储环境之外，操作环境还可以包括一个或多个主机设备(例如客户端)，每个主机设备主管一个或多个应用程序。如此，特定客户端可以使用一个或多个应用程序中的每个应用程序的一个或多个实例，或者与该一个或多个应用程序中的每个应用程序的一个或多个实例相关联。一般而言，客户端使用的应用程序不限于任何特定功能或功能类型。例如，一些示例性应用程序和数据包括电子邮件应用程序(例如MS Exchange)、文件系统以及数据库(例如Oracle数据库和SQL Server数据库)。客户端上的应用程序可生成期望被保护的新数据和/或经修改的数据。

根据本发明的各种实施方式，本文公开的任何设备或实体可以由一个或多个数据保护策略来保护。然而可以通过根据本发明的实施方式的数据保护策略来保护的设备的其他示例包括但不限于容器和VM。

操作环境中的任何设备(包括客户端、服务器和主机)都可以采用软件、物理机或虚拟机(VM)的形式、或这些的任意组合的形式，尽管任何实施方式均不需要特定的设备实现方式或配置。类似地，数据保护系统组件(例如数据库、存储服务器、存储卷(LUN)、存储磁盘、复制服务、备份服务器、恢复服务器、备份客户端和恢复客户端)例如同样可以采用软件、物理机或虚拟机(VM)的形式，尽管任何实施方式均不需要特定的组件实现。在使用VM的情况下，可以使用管理程序或其他虚拟机监视器(VMM)来创建和控制VM。

如本文所使用的，术语“数据”被规定为在范围上是广泛的。因此，该术语通过示例而非限制的方式包括数据段(例如可通过数据流分段过程而产生)、数据组块、数据块、原子数据、电子邮件、任何类型的对象、文件、联系人、目录、子目录、卷以及前述中的一者或多者的任意组。

本发明的示例性实施方式适用于能够存储和处理以模拟、数字或其他形式的各种类型的对象的任何系统。尽管可以通过示例的方式使用例如文档、文件、数据块或对象的术语，但是本发明的原理不限于表示和存储数据或其他信息的任何特定形式。而是，这些原理等同地适用于能够表示信息的任何对象。

现在特别关注图1，操作环境100可以包括数据保护环境或由数据保护环境组成。数据保护环境可以包括企业数据中心或云数据中心，或两者。例如，数据保护环境可以支持各种数据保护过程，包括数据复制、重复数据删除、克隆、数据备份和数据恢复。如本文所使用的，术语备份旨在被广泛解释，包括但不限于部分备份、增量备份、完整备份、克隆、快照、连续复制和任何其他类型的数据复制，以及上述的任何组合。上述任何一项都可能会或可能不会被删除重复数据。

总体上，图1中的示例性配置公开了用作存储有一个或多个记录204的分布式总账的企业区块链网络200。在图1的说明性示例中，且如下所讨论，区块链记录包括三个记录204a、204b和204c。区块链网络200连接各种数据管理单元302、304和306，数据管理单元302、304和306的示例包括但不限于数据存储系统、数据保护系统和数据管理系统。数据管理单元(DME)302、304和306可以分别包括可以采用区块链软件插件的形式的相应的适配器302a、304a和306a。包括适配器302a、304a和306a使得相应的DME 302、304和306能够充当区块链网络200的节点，并且DME 302、304和306与区块链网络的单元之间的通信可以通过相应的适配器302a、304a和306a进行。

一般而言，DME 302、304和306可以各自操作以实施某种类型的数据管理过程，例如数据保护过程，其示例包括备份过程、存档过程和恢复过程。其他示例性数据保护过程在本文别处以及相关申请中公开。如此，示例性DME包括但不限于备份服务器、备份和恢复服务器、克隆服务器、重复数据删除服务器和存档服务器。在某些情况下，多个功能可以组合在单个DME中。例如，备份服务器可以执行数据备份过程和重复数据删除过程两者。为了执行它们各自的数据保护功能，DME 302、304和306中的每一者可以包括一个或多个相应的数据保护(DP)应用程序，例如DP1 302b、DP2 304b和DP3 306b。因此，例如，DP1 302b可以是备份应用程序、或备份和恢复应用程序。

在至少一些实施方式中，DME 302、304和306中的一者或多者可以与存储设施400形式的数据保护环境通信，存储设施400的一个示例是云数据中心。在一个示例中，DME 302可以生成一个或多个备份，然后将其传输到存储设施400并存储。这些备份可以稍后从存储设施400恢复到一个或多个目标实体，例如与DME 302通信并且其数据由DME 302备份的客户端(未示出)。

B.一些示例性操作的一般方面

如上所述，DME 302、304和306中的一者或多者可以构成区块链网络200的节点，并且可以与区块链网络200结合操作。

一般而言，如以下讨论中所述，区块链网络可用作分布式总账，其是组织中所有数据管理事务的统一真实来源，用于审计、法规遵从性认证和验证数据存在或删除。例如，如果用户声称他的数据没有从数据库中删除，供应商可以通过恢复两个备份来证明不是这样，其中，一个备份是在请求移除个人数据之前的，另一个是在请求移除个人数据之后的。这将证明供应商确实在声称的时间删除了数据，因为至少在某些实施方式中，区块链是公开的，并且不能被篡改。

并且，本发明的实施方式包括还可以使用区块链中的备份散列来验证备份副本在声称被创建时确实被创建的系统和方法，该系统将证明该备份副本是在散列被存储到区块链之前创建的。利用存储在区块链中的聚合密钥，系统可以证明备份是在插入密钥后创建的，从而为备份的创建提供小窗口。

现在继续参考图1的讨论，现在提供关于诸如DME 302、304和306的DME结合诸如示例性区块链网络200的区块链网络的操作方面的进一步细节。除其他之外，本文公开的和相关申请中的区块链网络200和相关联过程提供了一种机制，实体可以通过该机制获得和存储数据管理遵从性信息。

除其他之外，结合所公开的操作环境和实体执行的示例性操作可以涉及证明特定数据或数据集存在或不存在的操作。并且，可以确定自特定时间特定数据或数据集是否存在。例如，可以证实特定数据在特定时间确实存在或不存在。

最初，例如，诸如备份服务器的DME可以使用备份应用程序来创建客户端和/或其他数据的备份。备份的创建还可以包括创建关于备份的元数据，其示例在相关申请中公开。术语“元数据”被规定为在范围上是广泛的，不仅包括关于备份数据本身的元数据，还包括事务元数据，即关于特定事务的信息，例如包括备份的信息，诸如包括备份的创建的信息。

在某些时候能够确定何时存储备份以及确定备份的内容可能是有用的。考虑到前一点，本发明的实施方式可以涉及密钥的周期性生成，例如每分钟生成一次密钥，或者在其他基础上生成密钥。密钥可以由区块链网络、DME或任何其他合适的实体生成。生成的密钥可以作为相应的数据块存储在由区块链网络维护的区块链中。

在DME已经创建了备份之后，该DME的适配器或另一单元可以生成备份数据的散列。适配器还可以检查区块链以识别区块链中的最新密钥。然后，适配器可以使用这些不同的信息，即备份数据的散列、最新密钥和备份元数据，来生成聚合散列值，然后将其作为数据块存储在区块链中。

在一些实施方式中，备份数据的散列和聚合密钥的创建/存储在备份已经生成之后立即自动执行。因此，可以保证聚合密钥准确反映备份创建时间。并且，上述过程可以以这样的方式实施，即它们的性能不会被人类用户直接或间接地延迟或以其他方式干扰。通过帮助确保聚合密钥准确反映备份创建时间，该方法可以有助于整个过程的完整性和过程输出。

这样，创建以聚合散列的形式的记录，该记录标识备份中的数据、创建备份的时间以及关于备份的元数据。由于区块链中的信息无法修改，因此该记录是备份内容不可更改的证明，也是备份创建时间的证明。

应当注意，出于性能考虑，可以基于可配置参数将多个备份事务聚合到单个区块链数据块。在相关申请中公开了此类聚合和参数的示例。

上面概述的示例性过程可以应用于任何数据保护过程，并且可以根据需要针对数据保护过程的多个实例重复，例如针对多个不同的备份重复。通过恢复与区块链的各个记录对应的备份，管理数据的实体可以证实存储数据的内容和数据备份的时间两者。并且，实体可以显示特定数据何时存在以及特定数据何时被删除。

举例来说，可以使用存储在区块链中的第一备份和第二备份各自的聚合散列来恢复第一备份和第二备份。可以对恢复的第一备份进行散列化，并将得到的散列与存储在区块链中的用于第一备份的散列进行比较。两个散列之间的匹配确定恢复的数据与备份的数据相同，因为如果恢复的数据与备份的数据不同，则散列将不匹配。也就是说，散列可以被认为类似于指纹，因为每个散列唯一地对应于从中导出该散列的特定数据集。可以对第二备份执行相同的过程。因此，此时，两个不同备份的内容已被验证为与两个恢复的备份相对应。因此，数据管理实体已确定两个备份的相应数据自其被存储以来未被修改。

然而，本发明的实施方式不限于建立数据完整性。因此，两个被恢复和验证的备份然后可以相互比较以确定特定数据是否实际被删除。如果数据管理实体声明感兴趣的特定数据已在特定时间删除，则该数据将出现在该特定时间之前的备份中，但该数据将不会出现在该特定时间之后创建的备份中。这样，数据管理实体可以确定特定数据在声明时间是否存在。

此外，特定数据存在或不存在时的(一个或多个)特定时间同样可以通过本发明的实施方式来确定。因此，数据管理实体可以肯定地确定自特定时间特定数据是存在还是不存在。这种保证是通过存储在区块链中的基于时间的密钥来实现的。由于每个密钥可以具有时间戳或其他指示密钥何时被创建和存储的元数据，因此分别对应于两个备份的聚合散列可用于相对地和/或绝对地确定两个备份何时创建。例如，如果具有特定数据的第一备份是在时间T1创建的，而没有该数据的第二备份是在稍后的时间T2创建的，则数据管理实体可以确定所涉及的数据自时间T2不存在，因此，是在T1和T2之间的某个时间被删除。

通过提供对连续密钥的创建之间的适当时间间隔的选择，本发明的实施方式还可以使得能够准确确定例如数据何时存在或不存在。举例来说，如果在时间T1创建的备份对应的密钥是在时间T2创建的备份对应的密钥之后一分钟创建的，则可以确定T1的备份中的数据被删除的时间，因为已知此类数据不在时间T2创建的备份中，因此是在T1和T2之间的某个时间被删除的。

如本发明因此清楚的那样，区块链网络200可以用作组织中所有数据管理事务的统一真实来源，以用于法规遵从性认证和/或其他目的。并且，在区块链网络200上存储数据保护操作利用区块链能力作为分布式总账技术的实现，分布式总账技术是安全、加密、不可变、即不可编辑且透明的。

C.示例性主机和服务器配置

现在简要参考图2，区块链网络200、数据管理单元302……306、适配器302a……306a、应用程序302b……306b和存储设施400中的任何一者或多者可以采用物理计算设备的形式，或包括物理计算设备，或在物理计算设备上实施，或由物理计算设备托管，物理计算设备的一个示例用500表示。并且，在上述单元中的任一者包括虚拟机(VM)或由虚拟机组成的情况下，该VM可以构成图2中公开的物理组件的任何组合的虚拟化。

在图2的示例中，物理计算设备500包括存储器502，其可以包括随机存取存储器(RAM)、非易失性随机存取存储器(NVRAM)504、只读存储器(ROM)、永久存储器、一个或多个硬件处理器506、非暂时性存储介质508、UI设备510和数据存储器512中的一者、一些或全部。物理计算设备500的一个或多个存储器组件502可以采用固态设备(SSD)存储器的形式。并且，提供包括可执行指令的一个或多个应用程序514。此类可执行指令可以采用各种形式，包括例如可执行以执行本文公开的任何方法或其一部分的指令，和/或可由任何存储站点(无论是在企业本地，还是在云存储站点、客户端、数据中心、备份服务器、区块链网络或区块链网络节点)/在任何存储站点处执行以执行本文公开的功能的指令。并且，此类指令可执行以执行本文公开的任何其他操作，包括但不限于读取、写入、备份、和恢复操作、和/或任何其他数据保护操作、审计操作、云服务操作、区块链操作、数据管理单元操作、区块链节点操作、和区块链总账操作。

D.示例性方法

现在关注图3，公开了示例性方法的方面。一种特定方法总体用600表示，并且涉及创建记录，该记录用于证实数据何时被存储，和/或特定数据何时存在或不存在。该方法的实施方式还可用于证实所存储数据的完整性。方法600可以由多个实体协作执行，多个实体例如DME和相关联的适配器、全局密钥生成器和区块链网络。然而，图3中指示的功能分配仅作为示例提供，并且在其他实施方式中，所公开的功能可以在各种实体之间被不同地分配。

还应当注意，与本文公开的和/或相关申请中公开的其他方法和过程一样，方法600中各个过程的顺序可以与所示出的顺序不同，并且所公开的过程不需要按照图中所示的顺序执行。举例来说，可以在对备份进行散列化之前获得密钥，而不是如当前图3所示那样在对备份进行散列化之后获得。最后，可以响应于任何一个或多个先前过程的执行来执行所公开的过程中的任何一个过程。例如，可以响应于备份的创建而生成元数据。

该方法可以开始于602，此时数据管理单元创建数据备份。结合备份的创建602，数据管理单元还可以创建元数据604，该元数据604涉及备份的内容以及涉及诸如创建备份的实体的身份和事务ID的信息。大约在同时，和/或在一个或多个其他时间，全局密钥生成器可以周期性地生成603密钥，然后将密钥存储605为区块链网络的区块链中的相应数据块。密钥在被存储到区块链中之前可以或可以不进行散列化。在一些实施方式中，以规则的、反复的时间间隔生成603密钥，例如每分钟一个密钥。然而，可以使用更短或更长的时间间隔。

在已经创建602备份并生成604对应的元数据之后，对备份进行散列化606。得到的散列唯一地标识备份的数据。然后方法600前进到608，在那里获得区块链的最后观察到的密钥的副本。密钥的副本可以由区块链网络提供610。

然后基于备份的散列、元数据和最后观察到的密钥生成612聚合散列。例如，可以基于以下元素的组合生成散列：备份的散列+元数据+最后观察到的密钥。在已经生成612聚合散列之后，可以将其传输614到区块链网络以作为区块链中的数据块存储。在至少一些实施方式中，过程606、608、612和614在尽可能短的时间跨度内共同执行。

现在关注图4，公开了另外的示例性方法的方面。一种特定方法总体用700表示，并且涉及区块链记录(这些区块链记录可以是聚合散列的形式)的使用，以证实数据何时被存储，和/或特定数据何时存在或不存在。该方法的实施方式还可用于证实所存储数据的完整性，即，确定数据在被存储之后未被篡改或未以其他方式受到损害。方法700可以由多个实体协作执行，多个实体例如DME和相关联的适配器、备份和恢复应用程序、散列生成器、全局密钥生成器和区块链网络。然而，图4中指示的功能分配仅作为示例提供，并且在其他实施发送中，所公开的功能可以在各种实体之间被不同地分配。

方法700可以开始于响应于对数据管理实体的审计或其他请求，以证实例如数据的完整性、特定数据是否已被删除、和/或特定数据何时被删除。在702处，可以例如从存储设施恢复多个不同的备份。仅出于说明的目的，假设第一备份和第二备份被恢复702。在至少一些实施方式中，恢复的第一备份是在请求删除特定数据之前进行的最后备份，并且恢复的第二备份是在该请求之后进行的第一个备份。创建两个备份之间的时间跨度可以是任意大小。

然后，例如通过散列算法和/或散列生成器，对每个恢复的备份进行散列化704。然后将由此创建704的两个散列分别与两个备份的聚合散列所基于的备份散列进行比较706。例如，如果确定708第一备份的新创建704的散列与第一备份的聚合散列所基于的备份散列不匹配，则审计失败710。也就是说，审计失败710，因为恢复的数据与备份的数据不匹配。从该结果可以得出结论，在创建备份之后的某个时间点，存储设施中的备份数据被篡改或以其他方式受到损害。也可以针对第二备份执行确定过程708。

另一方面，如果确定708恢复的备份的新创建的散列与区块链中的聚合散列所基于的散列匹配，则可以保证备份的数据自其被存储以来未被篡改。如果对于两个恢复的备份获得匹配的散列，则可将恢复的备份相互比较712以识别在创建第一备份的时间和创建第二备份的时间之间发生了什么变化(如果有的话)。这样的比较过程712可以对于确定在创建第二备份的时间之前的某个时间点是否删除了包括在第一备份中的特定数据是有用的。

作为比较过程712的结果，可以确定714第一备份中的特定数据是否从第二备份中丢失。因此，例如，如果比较712显示特定数据存在于两个备份中，那么如果执行了审计，则审计失败710，因为数据管理实体没有证实所讨论的特定数据在声明的时间、即创建第一备份的时间和创建第二备份的时间之间的时间被删除。

另一方面，如果确定714感兴趣的数据(例如个人数据、财务数据或任何其他数据)存在于第一备份中，但不存在于第二备份中，那么如果执行了审计，则审计通过716，因为数据管理实体已经证实所讨论的特定数据在声明时间被删除，或者至少在创建第一备份的时间和创建第二备份的时间之间的某个时间被删除。

最后，可以确定718所讨论的数据被删除的特定时间或至少时间范围。这可以例如通过使用相应的聚合密钥来识别第一备份的创建时间T1以及第二备份的创建时间T2来完成。因为所讨论的数据在T1存在，但在T2不存在，所以可以得出结论，该数据在T1和T2之间的某个时间被删除。在定期(例如每小时)创建备份的情况下，可以相对准确地确定数据何时被删除。

E.示例性计算设备和相关联的介质

本文所公开的实施方式可以包括使用包括各种计算机硬件或软件模块的专用或通用计算机，如下面更详细讨论的。计算机可以包括处理器和承载指令的计算机存储介质，所述指令在被处理器执行时和/或使得所述指令被处理器执行时，执行本文所公开的方法中的任一者或多者。

如上所述，在本发明的范围内的实施方式还包括计算机存储介质，所述计算机存储介质是用于承载或带有其上存储的计算机可执行指令或数据结构的物理介质。这种计算机存储介质可以是能够被通用或专用计算机访问的任何可用的物理介质。

以示例而不是限制的方式，这种计算机存储介质可以包括硬件存储器，所述硬件存储器诸如固态硬盘/设备(SSD)、RAM、ROM、EEPROM、CD-ROM、闪存、相变内存(“PCM”)、或者其他光盘存储器、磁盘存储器或其他磁存储设备、或者可用于存储以计算机可执行指令或数据结构的形式的程序代码的任何其他硬件存储设备，所述计算机可执行指令或数据结构可以被通用或专用计算机系统访问和执行以实现本发明所公开的功能。以上的组合也应该被包括在计算机存储介质的范围内。这些介质也是非暂时性存储介质的示例，非暂时性存储介质也包含基于云的存储系统和结构，然而本发明的范围未被限定到非暂时性存储介质的这些示例。

计算机可执行指令包括例如使得通用计算机、专用计算机、或专用处理设备执行某一功能或某一组功能的指令和数据。尽管已经用特定于结构特征和/或方法动作的语言描述了主题，应理解的是，所附权利要求中限定的主题不必限定到上述特定特征或动作。相反，本文所公开的特定特征和动作被公开作为实现权利要求的示例性形式。

如本文中所使用的，术语“模块”或“组件”可以指在计算系统上执行的软件对象或例程。本文描述的不同的组件、模块、引擎、和服务可以实现为例如作为单独的线程在计算系统上执行的对象或进程。尽管本文描述的系统和方法可以以软件实现，但是以硬件或者软件和硬件的组合实现也是可以的且可预期的。在本发明中，“计算实体”可以是如本文之前所限定的任何计算系统、或者在计算系统上运行的任何模块或模块组合。

在至少一些实例中，提供硬件处理器，该硬件处理器可操作成执行用于执行方法或过程(诸如本文所公开的方法和过程)的可执行指令。该硬件处理器可以包括或不包括其他硬件元件、诸如本文所公开的计算设备和系统。

在计算环境方面，本发明的实施方式可以在客户端-服务器环境(无论是网络环境还是本地环境)或任何其他合适的环境中执行。用于本发明的至少一些实施方式的合适的操作环境包括云计算环境，在云计算环境中，客户端、服务器、和其他机器中的一者或多者可以位于并操作在云环境中。

本发明可以以其他特定形式实现而不脱离其精神或实质特征。所描述的实施方式在所有方面均仅作为说明性的而非限制性的被考虑。因此，本发明的范围由所附权利要求而不是由之前的描述来指示。落入权利要求的等价含义和等价范围内的所有改变均被包含在权利要求的范围内。