JP2008146517A - データ配布システムおよびインデクス保持装置 - Google Patents
データ配布システムおよびインデクス保持装置 Download PDFInfo
- Publication number
- JP2008146517A JP2008146517A JP2006335248A JP2006335248A JP2008146517A JP 2008146517 A JP2008146517 A JP 2008146517A JP 2006335248 A JP2006335248 A JP 2006335248A JP 2006335248 A JP2006335248 A JP 2006335248A JP 2008146517 A JP2008146517 A JP 2008146517A
- Authority
- JP
- Japan
- Prior art keywords
- data
- user
- identifier
- distributor
- holding
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/55—Detecting local intrusion or implementing counter-measures
- G06F21/56—Computer malware detection or handling, e.g. anti-virus arrangements
- G06F21/562—Static detection
- G06F21/565—Static detection by checking file integrity
Abstract
【課題】 ユーザ間でデータを交換するネットワークにおいて,データ取得者が,これから取得しようとしているデータが所望のデータであるかどうか,信憑性を事前に考慮することがまったくできない。したがって,データ取得者がそれと知らずに悪意あるデータを取得してしまう危険性が発生し,ネットワーク管理者はデータ取得者に安全を提供できない。
【解決手段】 ネットワーク管理者はデータ配布者に対し,あらかじめ割り当てた固有の配布者識別子をユーザに公開し,ユーザから悪意あるデータを配布したと通報を受けた配布者識別子を持つユーザのデータ配布を禁止することで,データ配布者の信頼性を確保する。また,データの拇印を用いて改ざんされたデータを検出し,これが再配布されることを阻止する。さらにデータを改ざんしたユーザを特定し,このユーザのネットワーク利用を禁止する。
【選択図】 図1
【解決手段】 ネットワーク管理者はデータ配布者に対し,あらかじめ割り当てた固有の配布者識別子をユーザに公開し,ユーザから悪意あるデータを配布したと通報を受けた配布者識別子を持つユーザのデータ配布を禁止することで,データ配布者の信頼性を確保する。また,データの拇印を用いて改ざんされたデータを検出し,これが再配布されることを阻止する。さらにデータを改ざんしたユーザを特定し,このユーザのネットワーク利用を禁止する。
【選択図】 図1
Description
本発明はユーザ間で相互にデータ転送を行う通信手法において,最初のデータ配布およびその後のデータ転送を管理する手法とその実現装置に関する。
1999年に米国で発表されたNapsterにより,多数のユーザ間で相互にデータ転送を行う,ピアツーピア(以下P2Pと呼ぶ)ソフトウェアが爆発的に普及した。主な普及の要因として,他のユーザが保持しているデータを直接取得することが可能になった点を挙げることができる。このとき,自分の欲しいデータを誰が保持しているか,検索できることが非常に重要となる。すなわち,データが存在していたとしても,その所在を検索できない限りそのデータの取得はできず,結果として存在していないのと同じことになる。
Napsterは中央サーバにおいてすべてのデータの所在情報を検索するため,このサーバに検索処理負荷が集中しシステム全体の性能を決定してしまうという弱点があった。また,中央サーバが故障してしまうとシステムが停止するという弱点もあった。この中央サーバが存在するP2PシステムはハイブリッドP2Pと呼ばれている。
これら弱点を解消するため,2000年に米国でGnutella(非特許文献1http://www9.limewire.com/developer/gnutella_protocol_0.4.pdf)が発表された。検索のための中央サーバを廃し,検索自身もユーザ間で相互にバケツリレーを行う方式を採用した。これによりNapsterの弱点はなくなったが,検索のための通信量が爆発的に増大してしまった。また,バケツリレー方式の検索は時間がかかり,実際の検索には時間的制約があるため,データは存在するにもかかわらず検索の結果発見できない場合がある,という新たな弱点を持つことになった。このGnutellaはデータの所在を検索するための中央サーバが必要ないため,ピュアP2Pと区分される。
日本においてP2Pソフトウェアは2002年に発表されたWinny(非特許文献2 Winnyの技術,ISBN4−7561−4548−5)によって広く一般に知られるようになった。WinnyはピュアP2Pに区分されるが,データ転送経路の途中の装置において,本来必要でないにもかかわらず,転送中のデータをキャッシュする機能を持っている。これによりデータ転送速度の向上が見込める。
他方,通常のクライアントサーバシステムでの常識に反し,人気があって取得する人の多いデータほど取得速度が向上する,という特徴を持つハイブリッドP2PソフトのBitTorrent(非特許文献3 http://www.bittorrent.org/protocol.html)が2001年に米国で発表された。これはデータを小さなピースに分割してお互いに足りない部分を持ち寄る,という仕組みであるため,人気のあるデータほど自分の足りないピースを保持するユーザが多くなり,結果として取得速度が向上する。特に,映像データなどデータ量が多いものほど取得速度向上の恩恵が得られるため,最近ではテレビドラマ等映像データの配布手段として商用サービスへの適用がはじまっている。
BitTorrentはハイブリッドP2Pであるが,Napsterと異なりデータの所在検索機能を持たないことで中央サーバが持つ弱点を回避している。つまりユーザは別の方法でデータを検索する必要があるが,その分中央サーバの処理負荷を減らしている。また,中央サーバを複数持つことにより,ひとつの中央サーバが停止することでシステム全体が停止する,ということを防いでいる。以下これについて簡単に説明する。
BitTorrentでは中央サーバをトラッカーと呼び,ここで各データの属性を保持し管理している。このトラッカーは,データを配布したいユーザが自由に設置できる。データの属性には,各ピースがデータ全体のどの部分にあたるか,各ピースのデータ量,各ピースの拇印,各ピースを保持する装置のIPアドレスの一覧,取得された回数等が含まれている。トラッカーは複数存在するが,あるデータに関する属性を保持するトラッカーは1つである。
データを取得するためにはどのトラッカーが所望のデータの属性を保持しているかを知る必要があるが,この情報を収めたファイルをトレントファイルと呼ぶ。すなわち,トレントファイルによりトラッカーのIPアドレスを知り,トラッカーにより所望のデータを保持する装置のIPアドレスを知ることができる。したがって,まずユーザがなすべきことは,所望のデータに関するトレントファイルを検索することである。
上記トレントファイルは通常webサイトで公開されている。したがって,キーワードさえあっていれば通常の検索でトレントファイルを発見できるので,特定のユーザ群にのみ公開したいデータを配布することは非常に困難である。また,ある特定のユーザ群以外に,データが存在すること自体を隠蔽することも非常に困難である。これに対し,特許文献1には,分散ハッシュという技術を用いたデータ検索を行なう場合に,ユーザ識別子を用いて検索する権限があるかどうか認証して解決する方法が開示されている。(特許文献1特開2006−236349)
データを取得する手順は,まず検索サイト等を利用してトレントファイルを探し,次にトラッカーへ接続して前記データを保持する装置のIPアドレスを入手する。その後入手したIPアドレスの装置からデータを取得し,閲覧してデータの内容を確認する。
データを取得する手順は,まず検索サイト等を利用してトレントファイルを探し,次にトラッカーへ接続して前記データを保持する装置のIPアドレスを入手する。その後入手したIPアドレスの装置からデータを取得し,閲覧してデータの内容を確認する。
以下,改ざんされたデータ,コンピュータウィルス等のことを悪意あるデータ,データを改ざんするユーザ,コンピュータウィルス等を配布するユーザを悪意あるユーザと呼ぶ。
BitTorrentをはじめとするP2Pソフトウェアによりユーザ間で自由にデータを交換し,ユーザの創作物を広く公開することができるようになった。しかしながら一方,ウィルス等被害を与えるデータも意図せず,しかも容易に取得できるようになった。例えば,BitTorrentにおいてはトレントファイルの信憑性,すなわち本当に所望のデータを取得できるのかどうかは,実際にトレントファイルを使用してデータを取得し,閲覧してみるまで確認できない。よって,閲覧してみたらウィルスであったり,改ざんされており役に立たないデータであったり,ということが起こり得る。また,各トラッカーは各データに関して,送信元の装置のIPアドレス,取得した装置のIPアドレスを記録することができるが,最初に前記データを配布したユーザ名,前記データを取得したユーザ名を記録することはできない。
したがって映像データの販売といった商用サービスへの利用を考えたとき,データ流通の安全性や制御の観点から次に述べる課題が発生する。
一度配布されたデータに関して,後からその取得を禁止する制御をネットワーク管理者が行うことができない。したがって,データ取得者が,悪意あるデータを誤って取得してしまうことが起こり得る。また,ネットワーク管理者が悪意あるユーザを特定することができないため,悪意あるユーザをネットワークから排除することができない。したがって,さらなる悪意あるデータの配布を許してしまう危険性がある。
一度配布されたデータに関して,後からその取得を禁止する制御をネットワーク管理者が行うことができない。したがって,データ取得者が,悪意あるデータを誤って取得してしまうことが起こり得る。また,ネットワーク管理者が悪意あるユーザを特定することができないため,悪意あるユーザをネットワークから排除することができない。したがって,さらなる悪意あるデータの配布を許してしまう危険性がある。
さらに,データ取得者が,これから取得しようとしているデータが所望のデータであるかどうか,信憑性を事前に考慮することがまったくできない。したがって,データ取得者がそれと知らずに悪意あるデータを取得してしまう危険性が発生し,ネットワーク管理者はデータ取得者に安全を提供できない。
また,データ配布者が特定のユーザ群にのみデータを配布すること,あるいは特定のユーザ群以外にはデータの存在自体を隠蔽することは非常に困難である。
また,データ配布者が特定のユーザ群にのみデータを配布すること,あるいは特定のユーザ群以外にはデータの存在自体を隠蔽することは非常に困難である。
本発明の目的は,これらの課題を解決し,ネットワーク管理者がユーザ間のデータ交換を制御して,データ配布者と取得者双方が安心して利用できるネットワークシステムを提供することである。
本発明によるデータ配布ネットワークのネットワーク管理者はデータ配布者に対し,固有の配布者識別子をあらかじめ割り当てる。また,データ配布装置において,配布するデータの属性をインデクス保持装置に配布者識別子を用いて登録する手段を備え,データ取得装置は,配布者識別子とデータ名を用いてデータの所在を検索し,データを取得する手段を備える。データ取得装置において,取得したデータが悪意あるデータであると判断した場合に,取得データの識別子をインデクス保持装置に通知する手段と,インデクス保持装置において,通知によって得られるデータの識別子を管理するデータブラックリストを保持する手段を備え,さらにインデクス保持装置において,前記データブラックリストに載っているデータへの検索に関してデータが存在しないと応答する手段を備える。
ユーザ間でデータを相互に交換するネットワークにおいて,配布された任意のデータに関し,配布ユーザ,取得ユーザ双方を特定することにより,ネットワーク管理者が特定データの転送禁止,特定ユーザに対してネットワーク利用停止等の措置をとることができる。これにより,ユーザに被害を与える悪意あるデータ,悪意あるユーザをネットワークから排除し,ユーザが安心して利用できるネットワークを提供できる。
以下図面に従い,本発明による実施形態の1つを説明する。まず説明に使用する記法について説明する。特に装置間処理シーケンスや装置内処理フローチャートの説明でメッセージの引数を記述する際は,例えば(vid,uid)のようにカッコ内にカンマで区切って必要とされる引数を記述する。
図1はネットワーク構成の全体図である。本発明によるデータ配布ネットワーク120は,データ取得装置110,データ配布装置111,インデクス保持ネットワーク121の3つより構成される。インデクス保持ネットワークは,複数のインデクス保持装置113より構成される。データ取得装置,データ配布装置,インデクス保持装置はネットワーク管理者の管理下にあるが,ネットワーク管理者が所有する装置はインデクス保持装置のみであり,他はユーザが所有する装置である。本ネットワーク120は大きくデータ配布,データ取得,データ属性の保持,の3つの機能,およびそれぞれに付随する機能を具備する。しかし,データ配布者が存在しているかどうかについての検索機能は具備しないため,データ取得の際には他の手段で所望のデータ配布者の存在情報を入手する必要がある。これは,例えばネットワーク管理者のwebサイトで公開するなどの手段が考えられる。
また,データ配布者はあらかじめネットワーク管理者に申請し,配布者識別子(以下vidと呼ぶ)を割り当てられているものとする。同様に,本データ配布ネットワークを利用するすべてのユーザは,本データ配布ネットワーク管理者から固有のユーザ識別子(以下uidと呼ぶ)をあらかじめ割り当てられているものとする。uidは本データ配布ネットワークを利用する際に必要で,ログオン処理で使用される。なりすまし等他ユーザによる悪用を防ぐため,uidは本人以外のユーザに非公開である。vidは本データ配布ネットワークを利用してデータを配布する際に必要で,データ登録処理で使用される。よって,vidは全ユーザに公開することが可能である。uidはユーザと一対一対応であるが,vidは一ユーザが複数保持でき,また,複数ユーザで一vidを共有し,さらには複数ユーザで複数vidを共有することができる。また,vidには会社名,ブランド名,芸名等ユーザ自身が好みのものを指定できるが,uidは本データ配布ネットワーク管理者が指定する。
ユーザ間でデータを交換する場合,データの身元,すなわち最初のデータ配布者を知ることは通常困難である。vidはデータ取得者に対してデータの身元を明らかにするとともに,データ配布者に対してはそのデータが己の著作物であると明示する,という2つの意味を持つ。データ取得者はvidでデータの信頼性を判断することができ,データ配布者がvidを信頼してもらえるように,データ配布に注意を払うようになると期待できる。一度被害にあったvidと同一のvidをもつデータを取得しようとするユーザは少ない,と考えられるからである。
また,vidを用いてデータ取得の利便性を向上させることもできる。例えば,同一vidをもつ全データを一度に指定し,取得することができる。この際,各データのデータ名を知る必要がなく,すなわちデータ名で検索する手間が必要ない。例えばシリーズものTV番組データを配布するに当たり,専用のvidを用意することで,いちいち各データ名を指定してデータを取得する必要がなくなる。さらに,ネットワークの安全性を向上させることもできる。例えば,あるvidを持つ複数のデータに改ざんが検出された際,このvidをもつデータを取得するユーザに対する監視を強化する等の行動が可能になる。
本データ配布ネットワークを利用するため,データ配布者およびデータ取得者は,まずネットワークへログオンする必要がある。このログオンする際のシーケンスが図28,データを取得する際のシーケンスが図2,データを配布する際のシーケンスが図3である。以下説明の都合上,データ取得,データ配布,ログオンの順に説明する。また,装置間処理シーケンス,装置内部構成,装置内処理フローチャートの順に説明する。
図2において,データ取得装置110(以下Gと呼ぶ)はユーザからデータ取得要求(vid,NAME)を受信する。ここでNAMEはデータ名である。まず,Gは前記データを保持する装置のIPアドレスを知るために,インデクス検索要求(vid,NAME,u1,g1)201をインデクス保持装置113(以下M1とする)に送信する。u1はGのuid、g1はGのIPアドレスである。GはM1のIPアドレスを知っている必要があるが,ここでは図5のようにあらかじめGにいくつか設定されており,その中から適当にM1を選択したものとする。
インデクス検索要求201を受信したM1は,インデクス保持ネットワーク内を検索し,前記データを保持する装置のIPアドレス(以下t1と呼ぶ)と前記データの拇印fを得る。このvid,NAMEで示されるデータを保持する可能性のある装置(以下Tと呼ぶ)としては,データ配布装置111(以下D1と呼ぶ)か,または別の異なるデータ取得装置(以下D2と呼ぶ)がある。ここで,D2は前記データをすでに取得しており,これを再配布できる状態にあるものとする。インデクス保持ネットワーク内検索の詳細はインデクス保持装置の処理フローチャート図21と図22で述べる。M1はt1,fをインデクス検索応答202でGに返信する。
M1はT(t1で指定する)に対して,データ転送要求(vid,NAME,g1)203を送信し,TはNAMEで示されるデータをGに送信(メッセージ204)する。Tは,データ送信が終了すると,M1にデータ転送終了通知205を送信する。このメッセージによって,図13に示されるインデクスが更新される。また,Gはfを用いて取得したデータが改ざんされていないことを確認する。これについては図7で詳細を説明する。もし改ざんされていることを検出した場合,GはM1にデータ改ざん通知(vid,NAME,t1)206を行う。M1では受信したメッセージからt1を取り出し,後で説明するユーザ情報表(図19)を参照してt1に対応するユーザ識別子u2を検索し,u2をユーザブラックリスト1503へ登録する。拇印fは取得したデータの改ざんを検出するために使用する重要なデータであるから,インデクス保持装置で管理する。またブラックリストにより,悪意あるユーザのサービス利用,また悪意あるデータの再配布を停止することができる。ブラックリストについては図12で後述する。
これらGでの処理の詳細は,図6,7で,Tでの処理は図11で,M1での処理は図8,20,23,24で述べる。
図3において,データ配布装置111(D1)はユーザからデータ配布要求(vid,NAME)を受信する。D1はM1に対して,データ登録要求(vid,NAME,u3,d1、f)を送信する。ここでfはD1において計算された拇印,u3はデータ配布者のユーザ識別子,d1はD1のIPアドレスである。D1もインデクス保持装置のIPアドレスを知っている必要があるが,ここでは図5のようにあらかじめD1にいくつか設定されており,その中から適当にインデクス保持装置M1を選択したものとする。M1はデータ登録要求を処理し,その結果をD1に通知する。このD1での処理の詳細は図10で,M1での処理の詳細はインデクス保持装置の処理フローチャートの図25,26,27で説明する。
図3において,データ配布装置111(D1)はユーザからデータ配布要求(vid,NAME)を受信する。D1はM1に対して,データ登録要求(vid,NAME,u3,d1、f)を送信する。ここでfはD1において計算された拇印,u3はデータ配布者のユーザ識別子,d1はD1のIPアドレスである。D1もインデクス保持装置のIPアドレスを知っている必要があるが,ここでは図5のようにあらかじめD1にいくつか設定されており,その中から適当にインデクス保持装置M1を選択したものとする。M1はデータ登録要求を処理し,その結果をD1に通知する。このD1での処理の詳細は図10で,M1での処理の詳細はインデクス保持装置の処理フローチャートの図25,26,27で説明する。
図28はGとD1のデータ配布ネットワークへのログオン処理シーケンスである。シーケンスは両者とも同一なので,ここでは両者をまとめてT2と呼び,そのIPアドレスをt2,ユーザ識別子をu5とする。装置起動後,ログオン要求(u5。t2)2901をM1に送信する。ログオン応答2902にてログオンが許可されると,T2はデータ格納領域412または912に存在するすべてのデータに関して,保持データ情報登録(vid,NAME,u5,t2)2903をM1に対して行う。M1では受信した保持データ情報を用いて,インデクス保持ネットワーク内インデクス登録を行う(2904と2905)。これによりインデクス保持ネットワークが保持する,図13で示されるインデクスが更新される。
図4はデータ取得装置110(G)の構成図である。主記憶内にデータ配布ネットワークへのログオン機能401,インデクス検索要求機能402,データ取得機能403があり,それぞれ図29,6,7のフローチャートで説明する。データ転送機能404はすでに取得済みでデータ格納領域412に存在するデータを,別のデータ取得装置からの要求に従って再配布する機能である。データ改ざん検出機能405はデータ取得機能403の一部分であり,取得したデータに関して,配布者が配布したデータと同一であるかどうか,確認する機能である。ハードディスク内にインデクス保持装置一覧411,データ格納領域412,メッセージバッファ413がある。ネットワークインタフェース421を介して他の装置と通信を行う。
図9はデータ配布装置111(D1)の内部構成図である。主記憶にデータ配布ネットワークへのログオン機能401,データ登録要求機能902,データ転送機能404がある。ハードディスク内に存在するものはGと同一である。また,ログオン機能とデータ転送機能は,データ取得装置と同一である。データ登録要求機能902は図10のフローチャートで説明する。ネットワークインタフェースの機能はGと同一である。
図12はインデクス保持装置113(M1)の内部構成図である。主記憶には検索応答機能1201,データ転送記録機能1202,データ登録応答機能1203,インデクス保持ネットワーク内インデクス検索機能1204,インデクス保持ネットワーク内インデクス登録機能1205,ログオン受付機能1206,インデクス公開機能1207がある。ハードディスクにはインデクス1211,インデクス保持装置IPアドレス表1212,ユーザ情報表1213,ブラックリスト1215,拇印保持装置IPアドレス表1216,拇印表1217,ユーザ統計表1218,メッセージバッファ413が存在する。ネットワークインタフェースの機能はGと同一である。インデクス公開機能は,図13のインデクスのうち,vidとNAMEのペアを全データ取得者に公開する機能である。公開方法は,例えばvidごとにページを作成し,NAMEの一覧を載せる等が考えられる。本機能は例えばapache等webサーバが該当する。公開するvidとNAMEはすべてのインデクス保持装置から収集し,ある少数の特定のインデクス保持装置が公開することが考えられる。この場合,図5のように少数のインデクス保持装置のIPアドレスをあらかじめデータ取得装置に保持しておく。または,全インデクス保持装置で公開してもよい。この場合,データ取得装置は図5から適当にIPアドレスを選択すればよい。すべてのインデクス保持装置から配布者識別子とデータ名を収集するためには,図14を参照し,ここにあるすべてのIPアドレスに対して配布者識別子とデータ名の通知を求めればよい。
図5はGまたはD1が保持しているインデクス保持装置一覧411の具体例である。ここにはあらかじめいくつかのインデクス保持装置のIPアドレスを保持しておき,インデクス検索要求機能402等で使用する。例えば,優先順の順に接続を試み,成功したものと通信を行う方法がある。
図13はM1が保持しているインデクス1211の具体例である。各インデクスエントリは各データの属性として,少なくとも検索キーとして配布者識別子(vid)とデータ名のハッシュ値(h)を含み,値として前記データ名(NAME),データ配布装置のIPアドレス,前記データの拇印(f),前記データを取得したユーザのユーザ識別子のリスト,前記データを取得し現在も保持しているデータ取得装置のIPアドレスのリスト,前記データの総取得回数,を含む。検索応答処理1201時にこの表を参照してデータを保持している装置のIPアドレスを検索する。複数のIPアドレスがあるときは,そのうちどれかひとつを選択して応答することも,すべてのIPアドレスのリストを応答することもできる。また,IPアドレスが存在しない場合にはデータ配布装置のIPアドレスを応答する。応答にはデータ名が含まれるので,検索要求側でデータ名が一致するか確認することもできる。拇印は検索要求者が該データを取得した際に,データの改ざんの有無を検出するために使用する。当該データを保持する装置のユーザが本データ配布ネットワークからログアウトした場合,そのIPアドレスは本表から削除される。該データを取得したユーザのユーザ識別子は,管理上の目的で,該データの転送経路を追跡したい場合等に使用する。vidを検索キーとすることで,ファイル名がわからなくともデータ配布者がわかっているとき,データを取得することが可能となる。また,データ取得回数は統計情報としてデータ配布者などに公開することで,ユーザのデータ取得の傾向分析など,マーケティングが可能となる。
図14はM1が保持しているインデクス保持装置IPアドレス表1212の例である。それぞれのインデクス保持装置のIPアドレスと,そのインデクス保持装置が管轄するインデクス情報の範囲を示している。検索応答処理1201において,この表を参照して前記インデクスを保持している,インデクス保持装置のIPアドレスを検索する。
図15はM1が保持しているブラックリスト1215の例である。ユーザブラックリストを参照し,インデクス保持装置113はログオン要求受付1206処理時に,ユーザのログオンを許可するか拒否するか判定する。これによりブラックリストに載っている悪意あるユーザを排除することができる。また,検索応答処理1201時にデータブラックリストに載っているデータについて,データが存在しないと応答する。これによりブラックリストに載っている,悪意あるデータなど再配布を禁止したいデータの取得を防ぐことができる。さらに,データ登録応答処理1203時に,配布者ブラックリストを参照して新規データ配布を許可するか拒否するか判定する。これは,ブラックリストに載っている悪意あるデータ配布ユーザによる,おそらくは悪意あるデータの配布を禁止するためである。これらブラックリストは最初空であり,本データ配布ネットワークを運用中に適宜追加される。また,いくつかの追加方法が図8に示される。ユーザブラックリストにユーザ識別子が追加された際には,同時に当該ユーザを強制的にログアウトさせ,本配布ネットワークから排除することも考えられる。
図16,図17はM1が保持している拇印保持装置IPアドレス表1216の例,拇印表1217の例である。これは,新規に配布しようとするデータがすでに配布されているかどうか確認するために使用する。すなわち,M1において,データ登録応答処理1203時に使用される。図17は,ある拇印をもつデータが存在しているかどうかを示す表であり,データ登録時に値が1とされる。あとで検索された時に,これが1であるデータはすでに存在すると判断する。実装によっては右欄がなく,左欄に拇印があることのみで該当データが存在するかどうか判断することもできる。図16はある値の範囲の拇印にたいして,該当する図17を保持するインデクス保持装置のIPアドレスを示す表である。拇印により,データがすでに登録されているかどうか判断することができ,例えば次のような効果がある。あるユーザが自分が過去に作成したデータの登録時に,すでに別人が登録していることに気がつくことができ,この別人に対して抗議を行なうことができる。
図18はM1が保持するユーザ統計表1218の例である。これはデータ取得者が,どのデータを取得したか,その履歴を記録するものである。通常この表はデータ配布者にユーザ識別子を伏せて公開される。データ配布者はこの履歴を分析し,どのデータが人気があるか,等のマーケティングを行なうことができる。
図19はM1が保持する,ユーザ情報表1213の例である。データ登録応答処理1203時に,データを配布しようとするユーザが,配布者識別子を事前に取得してその権利を持っているか,確認するために使用する。これは,uidをキーとしてvid,IPアドレス,データ取得可能な配布者識別子リストの対応を示したものであり,uidとvidは本データ配布ネットワークの管理者がユーザとのサービス契約時に設定するものである。IPアドレスは,ログオン要求受付1206処理時に登録される。また,データ取得可能な配布者識別子には該ユーザがデータを取得する前に,データ配布者から直接,あるいはシステム管理者を介して間接にデータ取得の許可をとった際に,該データ配布者の配布者識別子が設定される。この許可は,例えばwebサイトでvidと配布データの一覧を公開するページに,データ取得のためのユーザ登録を行うページへの誘導を付け加える等により与えることができる。これにより,データ配布者がデータ取得者を制限したい場合にデータ取得許可を与えるユーザを選択することができる。さらに,データ取得許可を与えたユーザ以外には,該当データが存在する,という情報を隠蔽することもできる。これについては図20で説明するが,vidとデータ名をwebで公開せずに,データ取得許可を与えたユーザに個別に通知する必要がある。なお,データ取得者をまったく制限しない場合には,該当欄を空欄にしておく,あるいは“*”等の特別な文字で代用することができる。
図6はGのデクス検索要求機能,図7はGのデータ取得機能のフローチャートである。
インデクス検索要求201においては,まずユーザからvid,NAMEを取得する(601)。図5の説明で述べたようにm1を選択し(602),vid,NAMEを含んだインデクス検索要求メッセージをメッセージバッファ413に作成する(603)。これをM1へ送信し(604),その応答を受信するまで待つ(605)。M1から応答メッセージを受信したら,内容を確認し(606),t1,fが存在した場合は,vidおよびNAMEとあわせて,データ取得機能403に入力する(607)。応答メッセージにIPアドレスが含まれない場合は,ユーザに該当データが存在しないと通知する(608)。
インデクス検索要求201においては,まずユーザからvid,NAMEを取得する(601)。図5の説明で述べたようにm1を選択し(602),vid,NAMEを含んだインデクス検索要求メッセージをメッセージバッファ413に作成する(603)。これをM1へ送信し(604),その応答を受信するまで待つ(605)。M1から応答メッセージを受信したら,内容を確認し(606),t1,fが存在した場合は,vidおよびNAMEとあわせて,データ取得機能403に入力する(607)。応答メッセージにIPアドレスが含まれない場合は,ユーザに該当データが存在しないと通知する(608)。
データ取得機能413においては,インデクス検索要求機能402から(vid,NAME,f,t1)を受信する(701)と,データを受信するのを待ち,データ格納領域へ保存する(702)。データ改ざん検出機能405により,改ざんの有無を確認(703)する。具体的には,受信したデータ全体から拇印f2を計算する。このときに必要なハッシュ関数は本データ配布ネットワーク120全体で1つであり,あらかじめ設定されているものとする。ハッシュ関数の例としては,SHA1(参考 ftp://ftp.rfc−editor.org/in−notes/rfc3174.txt)やMD5(参考 ftp://ftp.rfc−editor.org/in−notes/rfc1321.txt)などがある。次にfとf2を比較し,完全に一致する場合は改ざんがないと判定し,ユーザにデータ取得完了と通知する(704)。そうでない場合は改ざんがあったものと判定し,M1に対してデータ改ざん通知(vid,NAME,t1)を行う(705)。かつ,ユーザにデータ取得失敗を通知する(706)。
図11はTのデータ転送機能404のフローチャートである。データ転送要求213をGから受信(1101)すると,メッセージバッファからGのIPアドレスであるg1,vid,NAMEを読み出す(1102)。次にデータ格納領域412からNAMEで指定されるデータを読み出しGへ送信する(1103)。送信が終了すると,M1へデータ転送終了通知(vid,NAME,d1,g1)205を行う(1104)。
図20はM1における検索応答処理1201のフローチャートである。まずネットワークインタフェースでGからのインデクス検索要求201を受信するとメッセージバッファ1219へ格納する(2101)。メッセージバッファから配布者識別子(vid),データ名(NAME),検索を要求したユーザ識別子(u1),該ユーザ端末のIPアドレス(g1)を読み出しu1でユーザ情報表(図19)を検索する(2102)。得られた取得可能配布者識別子の中にvidが存在しない場合,検索要求者に対して,検索不可と応答する(2107)。これにより,データ取得許可のないユーザはデータの取得が不可能になる。この場合,もしvidとNAMEが公開されているのならばデータ取得者は別途データ取得許可を得ようと試みることができる。しかし,vidとNAMEを一般に公開しない場合には,たとえ該ユーザが意図的に検索したとしても,検索不可とすることで該当データが存在するかどうか,という情報を隠蔽することができる。
次にNAMEでブラックリスト1215を検索する(2103)。検索結果ヒットしなければ,vid,NAMEでインデクス保持ネットワーク内インデクス検索を実行する(2104)。この検索の詳細は図21,22で説明する。検索結果がOKだった場合,t1,fが得られる(2105)。次にメッセージバッファにvid,NAME,t1,fを書き込み,インデクス検索応答202を作成する(2106)。手順2103でデータブラックリストにヒットした場合,および手順2104で検索失敗した場合は,配布者識別子がvidである配布者はNAMEで示されるデータを配布していない,という内容のインデクス検索応答を返す(2108)。これにより,データが実在するとしてもデータ所在情報を得ることができず,ユーザは該当データを取得できないことになる。特にブラックリストに載っているデータは悪意あるデータなので,このように取得できない方が望ましい。また,所在情報を削除しない理由は,管理上の目的で該データを保持するユーザ端末を追跡する場合があるからである。次にメッセージバッファの内容をネットワークインタフェースからGに返信する(2109)。また,T1に対して,vidとNAMEで示されるデータをGへ送信するように指示するメッセージを作成し(2110),これを送信する(2111)。
図21,22はインデクス保持ネットワーク121におけるインデクス検索のフローチャートである。M1において,検索応答処理1201からvid,NAMEを受信する(2201)。NAMEをあらかじめ決められたハッシュ関数に入力して,ハッシュ値(以下hと呼ぶ)を得る(2202)。次にvid,hを用いてインデクス保持装置IPアドレス表1212を検索し,vid,hで示されるデータのインデクスエントリを管理する,インデクス保持装置(以下M2と呼ぶ)のIPアドレス(以下m2とする)を得る(2203)。このm2に対してインデクス検索要求(vid,h)を送信する(2204)。M2から得られた応答であるt1,fを検索応答処理1201に返却する(2205)。
M2において,M1からインデクス検索要求(vid,h)を受信すると(2301),vid,hでインデクス1211を検索する(2302)。検索がOKの場合,得られたt1,fをM1へ返却し(2303),NGの場合はNGとM1へ返却する(2304)。
図8はM1におけるブラックリスト1215の作成フローチャートである。Gからデータ改ざん通知(vid,NAME,t1)206を受信(801)した場合,t1でユーザ情報表(図19)を検索しユーザ識別子u2を得る。このu2をすべてのインデクス保持装置のユーザブラックリストへ登録する。このとき,u2に対応するvidが存在した場合,すべてのインデクス保持装置の配布者ブラックリストにvidを登録する(804)。次にvidでインデクスを検索し,関連するすべてのデータ名を収集する(805)。そして,これらのデータ名をすべてのインデクス保持ノードのデータブラックリストに登録する。ユーザブラックリストへ登録することにより,データを改ざんしたユーザ(ユーザ識別子u2)は次回ログオン時には本データ配布ネットワークから排除される。さらに配布者ブラックリストに登録することにより,即座にデータ配布を禁止することができる。そして,ユーザu2が過去にデータ配布者識別子vidを使って配布したすべてのデータ名をデータブラックリストへ登録することにより,別ユーザがそれらのデータを取得することを禁止できる。したがって,データを改ざんする悪意を持つユーザを排除するだけでなく,悪意あるデータである可能性が高い,該ユーザが過去に配布したデータについても排除することができる。以上について概略を図に示したものが図36である。ユーザDが配布したデータfooをユーザEが改ざんした場合,ユーザDとDが配布したデータxyzはネットワークから排除されるが,foo自体は排除されない。
また,データ配布者からの転送禁止要求(vid,NAME)があった場合(810),すべてのインデクス保持ノードのデータブラックリストにNAMEを登録する(811)。これにより,NAMEに対するインデクス検索要求に対し,検索応答(図23の2103)においてデータが存在しないと応答し該データの取得ができなくなるため,データ配布者からの転送禁止要求を満たすことができる。
さらに,ユーザが例えば,NAME=foo,vid=vであるデータがコンピュータウィルスであると通報してきた場合(820),すべてのインデクス保持装置の配布者ブラックリストにvを登録する(821)。次にインデクスをvで検索し,関連するデータ名をすべて収集する(822)。これらのデータ名をすべてのインデクス保持装置のデータブラックリストへ登録する(823)。これにより,fooというデータを配布したユーザのさらなるデータ配布を禁止し,また,すでに配布済みのデータについても,転送を禁止することができる。これについて概要を示した図が図37である。ユーザGがデータfooはコンピュータウィルスだと通報してきた場合,管理者はこれを確認した後,fooの転送,および,fooの配布者識別子“A,Inc.”を使ったさらなるデータ配布を禁止する。かつ,“A,Inc.”が過去に配布したデータbarも転送禁止する。このようにコンピュータウィルス等悪意あるデータを配布されたとしても,被害の拡大を防ぐことができ,ユーザに安心感を与えることができる。
図23,24はインデクス保持ネットワークへのデータ転送記録機能のフローチャートである。M1においてネットワークインタフェース421でTからのデータ転送終了通知(vid,NAME,g1)205を受信するとメッセージバッファに格納する(2401)。メッセージバッファからvid,NAMEを取り出し,あらかじめ決められたハッシュ関数にNAMEを代入してハッシュ値hを得る(2402)。次にインデクス保持装置IPアドレス表により,(vid,h)を管轄するインデクス保持装置のIPアドレスを検索する(2403)。ここではインデクス保持装置としてM2が選択され,そのIPアドレスはm2とする。着信先アドレスをm2としてデータ転送終了通知(vid,NAME,h,g1)を送信する(2404)。
M2では,M1からデータ転送終了通知(vid,NAME,h,g1)を受信し(2501),g1でユーザ情報表(図19)を検索し,u1を得る。vid,hを用いてインデクス1211を更新する(2503)。ここでインデクスには,取得したユーザ識別子の欄にu1が,保持装置のIPアドレスの欄にg1が追記され,総取得回数が1増やされる。図13の説明で述べたように,データ取得回数はマーケティングに利用できる。
図10はD1のデータ登録要求機能902のフローチャートである。まずユーザからvid,NAMEを受信する(1001)。このとき,ユーザが登録すべきデータをデータ格納領域412に設定する。次にあらかじめ設定されているハッシュ関数を用いて,データ全体から拇印fを計算する(1002)。インデクス保持装置一覧411からインデクス保持装置をひとつ選択し(ここではM1を選択したとする)(1003),M1のIPアドレス(m1)を着信先,vid,NAME,f,データ配布者のユーザ識別子(u3),データ配布装置のIPアドレス(d1)を含んだデータ登録要求301をデータバッファに作成する(1004)。これをM1へ送信し(1005),M1からの応答を待つ。ネットワークインタフェース421でデータ登録応答302を受信したらこれをメッセージバッファに格納し(1006),応答を調べる(1007)。登録がOKだったらユーザにデータ配布が成功したと通知し(1008),NGだったらユーザへデータ配布失敗と通知する(1009)。
図25はM1のデータ登録応答機能のフローチャートである。まずD1からデータ登録要求301を受信しメッセージバッファに格納する(2601)。メッセージバッファからvid,NAME,f,u3,d1を読み出す(2602)。次にu3を用いてユーザ情報表1213を検索,vidが一致して前記ユーザがデータを配布する権利を保持しているか確認する(2603)。OKの場合に,vidでブラックリスト1215を検索して,vidが配布者ブラックリストに載っていないことを確認する(2604)。手順2603でNGだった場合と手順2604でヒットした場合は,データ登録失敗とみなし図26の手順2707へ進む。これによりブラックリストに載っている,悪意あるユーザが所持するデータなど再配布を禁止したいデータの取得を防ぐことができる。次にあらかじめ決められたハッシュ関数にNAMEを代入し,hを得る(2605)。このhで拇印表1217を検索する(2606)。もしヒットした場合,前記データはすでに別人が登録している可能性があるため,登録保留としデータ配布者へ通知する(より具体的にはGUI上に警告として表示する)(2607)。図16の説明で述べたように,もし自分が過去に作成したデータの場合には,この警告により自分のデータが別ユーザに登録されたと気づくことができ,該当ユーザに抗議すること等ができる。ヒットしない場合は,vid,NAME,h,f,u3,d1をもってインデクスエントリを作成する(2608)。図13でいうと,vidは配布者識別子,NAMEはデータ名,hは検索キー,u3はユーザ識別子,d1はIPアドレス,fは拇印にあたる。登録直後なので,データを取得したユーザのユーザ識別子,データを取得した装置のIPアドレスは空,総取得回数は0である。そして,このインデクスエントリを用いてインデクス保持ネットワーク内インデクス登録303を実行する(2609)。これについては図26,27で説明する。
図26,27はインデクス保持ネットワーク内インデクス登録のフローチャートである。M1において,データ登録応答機能1203よりインデクスエントリを受信する(2701)とvid,hを用いてインデクス保持装置IPアドレス表1212を参照してvid,hを管轄するインデクス保持装置のIPアドレスを検索する(2702)。得られたIPアドレスがm1の場合,前記インデクスエントリをインデクス1211へ新規追加する(2703)。上記得られたIPアドレスがM2のIPアドレスであるm2の場合,m2を着信先IPアドレスとしてインデクスエントリを含むインデクス登録303をメッセージバッファに作成し(2704),ネットワークインタフェースから送信する(2705)。手順2707において,M2から応答メッセージ304を受信した(2706)場合は,内容をそのままにデータ登録応答302をメッセージバッファに作成する。また,手順2703を終了した場合は,その結果を内容としたデータ登録応答302をメッセージバッファに作成する。さらに,図25の手順2603においてNG,手順2604でヒットした場合はデータ登録を失敗としてデータ登録応答302をメッセージバッファに作成する。最後にこのメッセージをネットワークインタフェースからD1へ送信する(2708)。
M2においては,M1からインデクス登録を受信し,メッセージバッファへ格納する(2801)。メッセージバッファからインデクスエントリを取り出し(2802),インデクス1211へ追加する(2803)。着信先をm1としてインデクス登録応答304をメッセージバッファに作成し(2804),ネットワークインタフェースから送信する(2805)。
図29はデータ取得装置110またはデータ配布装置111(以下T2と呼ぶ)に共通な,データ配布ネットワーク120へのログオン機能のフローチャートである。装置起動直後,インデクス保持装置一覧411からひとつインデクス保持装置を選択する(3001)。ここではM1(IPアドレスはm1)を選択したものとする。このM1に対してログオン要求(u5)を送信する(3002)。ここでu5はログオンしようとするデータ取得者またはデータ配布者のユーザ識別子である。M1からOKのログオン応答2902を受信したら,データ格納領域に存在するすべてのデータについて,保持データ情報(vid,NAME,f,u5,t2)を作成する(3003)。ここでt2はT2のIPアドレスである。次にこれら保持データ情報をまとめて保持データ情報登録2903を作成し,M1に送信する(3004)。
図30はM1におけるログオン受付機能1206のフローチャートである。ログオン要求2901をT2から受信し(3101),u5をとりだし(3102),u5でブラックリスト1215を検索する(3103)。もしヒットしたら,ログオンを拒否するログオン応答2902を作成,t2へ返信する(3107)。ヒットしない場合はログオンを許可するログオン応答2902を作成,t2へ返信する(3104)。ブラックリストに載っている悪意あるユーザのログオンを拒否することで,さらなる被害を未然に防ぐことができる。T2から保持データ情報登録2903を受信する(3105)と,保持データ情報を用いて,インデクス保持ネットワーク内インデクス登録を実行する(3106)。この詳細は図26,27と同様である。これを保持データ情報の数だけ繰り返す。
以上説明してきた実施例では,データ取得者が,これから取得しようとしているデータが所望のデータであるかどうか,信憑性を事前に考慮することができる。したがって,データ取得者がそれと知らずに悪意あるデータを取得してしまう危険性がなく,ネットワーク管理者はデータ取得者に安全を提供できる。
本発明による第2の実施例は,図12で示されるインデクス保持装置が持つログオン機能を別装置とするものである。ログオン受付機能1206,ユーザ情報表1213,ブラックリスト1215のうちユーザブラックリスト1503を図32に示すユーザ管理装置3401に移設する。ネットワーク構成図を図33で示す。データ取得装置110,データ配布装置111にはこのユーザ管理装置のIPアドレスをあらかじめ設定しておく。この場合,図28のシーケンスは図34となり,2901,2902メッセージはユーザ管理装置が処理する。図29の3001,3002ステップではインデクス保持装置のかわりにユーザ管理装置を選択する。さらに図30の3101,3102,3103,3104,3107のステップはユーザ管理装置で処理する。また,図2の206ステップでは,図35で示すとおりデータ改ざん通知をユーザ管理装置へも行う。この実施例により,別のサービスと本データ配布ネットワーク利用サービスを連携させる場合等で,すでに存在するユーザ管理装置を利用することができるようになる。
図31は,本発明による第3の実施例における,インデクス1211である。本実施例では,配布するデータを2つのピースに分割する。この時図31にあるように,ピースごとに拇印,取得したユーザのユーザ識別子,データを取得した装置のIPアドレス,総取得回数を管理する。本実施例においては,ピースごとにデータ取得を実行する必要がある。すなわち,図2においてインデクス検索応答202には,2ピース分の取得先IPアドレスが含まる。したがって,データ転送要求203も2つの異なる取得先へ送信し,データ転送204も2つの取得先から受信する。また,データ改ざん通知206,データ転送終了通知もそれぞれ2ピース分送信される。一方配布データの登録は,ピース単位でなくデータ単位であるので,図3におけるシーケンスに変更はない。ただし,図31にあるインデクスの変更に従い,データ登録要求に含まれる拇印fは,ピース単位で計算し,ピースの数だけ存在する。データを2つのピースへ分割することによる変更は以上である。
また,以上の議論は分割するピース数が3以上に増えた場合も同様であり,データごとに分割数を変えることも可能である。本実施例のようにデータを複数のピースに分割することにより,同時に複数のピースを取得することができ,結果としてひとつのデータ取得にかかる時間を短縮することができる。
110 本発明によるデータ取得装置
111 本発明によるデータ配布装置
121 本発明によるインデクス保持装置
1211 各データの情報と所在を保持する表
1213 uidをキーとしてvid,IPアドレスおよび該ユーザが取得可能な配布者識別子リストの対応関係を示す表
1215 インデクス保持装置が保持するブラックリスト
1217 登録されて配布中であるデータの拇印を示す表
1218 ユーザのデータ取得回数などを示す表
1501 配布者ブラックリストの例
1502 データブラックリストの例
1503 ユーザブラックリストの例。
111 本発明によるデータ配布装置
121 本発明によるインデクス保持装置
1211 各データの情報と所在を保持する表
1213 uidをキーとしてvid,IPアドレスおよび該ユーザが取得可能な配布者識別子リストの対応関係を示す表
1215 インデクス保持装置が保持するブラックリスト
1217 登録されて配布中であるデータの拇印を示す表
1218 ユーザのデータ取得回数などを示す表
1501 配布者ブラックリストの例
1502 データブラックリストの例
1503 ユーザブラックリストの例。
Claims (20)
- データを保持する少なくとも一つのデータ配布装置と少なくとも一つのデータ取得装置,および前記データの所在情報を保持する単一または複数のインデクス保持装置からなり,前記データ取得装置間,または前記データ取得装置と前記データ配布装置間で相互にデータを交換するデータ配布システムにおいて,
前記データ配布装置は,あらかじめ割り当てられた固有の配布者識別子を含む,配布するデータの属性を前記インデクス保持装置に登録する手段を備え,
前記データ取得装置は,前記配布者識別子と前記データのデータ名を用いて前記データの所在の検索を要求し,前記検索されたデータを取得する手段を備え,
さらに,前記インデクス保持装置は,前記データ取得装置において,該取得したデータが悪意あるデータであると判断された場合に,該データを管理するデータブラックリストを保持する手段を備え,前記データブラックリストに載っているデータに対する検索に対して前記データが存在しないと応答することを特徴とするデータ配布システム。 - 前記インデクス保持装置において,
前記配布者識別子と前記データを配布する配布者のユーザ識別子との対応関係を保持する手段と,
前記配布されるデータの属性を登録する際に前記データ配布装置から送信される前記配布者識別子と前記ユーザ識別子の対応が,前記対応関係と一致するか否かを照合する手段と,
前記配布されたデータの所在情報を前記配布者識別子で管理する手段と,
前記配布されたデータの所在を検索する際に,前記配布者識別子と前記データ名で検索する手段と、を備えることを特徴とする請求項1記載のデータ配布システム。 - 前記データ取得装置は,
前記データ登録の際に前記データ配布装置から通知され前記インデクス保持装置に保持される前記データの拇印を取得する手段と,
前記取得したデータの拇印を作成する手段と,
前記2種類の拇印を比較する手段とを備え,
さらに前記2種類の拇印が異なっている場合に前記取得したデータを廃棄する手段と,
前記データの配布者を示す配布者識別子,前記データ識別子及び取得元のユーザ識別子を前記インデクス保持装置に通知する手段を備えることを特徴とする請求項1記載のデータ配布システム。 - 前記インデクス保持装置は、
前記通知によって得られる前記配布者識別子を管理する,配布者ブラックリストを保持する手段を備え,前記配布者ブラックリストに登録されている前記配布者識別子に対応するユーザによる,前記インデクス保持装置へのデータの登録を拒否する手段を備えることを特徴とする請求項3記載のデータ配布システム。 - 前記インデクス保持装置は、
前記通知によって得られる前記ユーザ識別子を管理する,ユーザブラックリストを保持する手段と,前記ユーザブラックリストに登録されているユーザの該データ配布システムへのログオンを拒否する手段を備えることを特徴とする請求項3記載のデータ配布システム。 - 前記データ配布装置および前記データ取得装置は保持しているデータを別のデータ取得装置に送信した場合に前記データの配布者識別子と前記データ名と送信相手の前記ユーザ識別子を前記インデクス保持装置に通知する手段を備え,
前記インデクス保持装置は,前記通知された前記配布者識別子を単位として前記データ識別子と前記ユーザ識別子と,前記データの転送が行われた回数を記録し保持する手段を備えることを特徴とする請求項6記載のデータ配布システム。 - 前記データ配布装置から通知された前記データ名についても前記データブラックリストに登録する手段を備えることを特徴とする請求項3記載のデータ配布システム。
- 前記配布するデータを2以上のピースに分割し,前記配布するデータの属性を前記ピース毎に前記インデクス保持装置に登録し,前記データ取得装置は該ピースごとに前記データ取得することを特徴とする請求項1記載のデータ配布システム。
- 前記データの属性は,少なくとも前記データ登録の際に前記データ配布装置から通知された拇印,該ピースを取得したユーザの前記ユーザ識別子および該ピースを取得した装置のIPアドレスを含むことを特徴とする請求項8記載のデータ配布システム。
- 前記データの属性に該ピースの伝送が行われた回数を含むことを特徴とする請求項9に記載のデータ配布システム。
- さらにユーザ管理装置を備え,
前記通知を前記ユーザ管理装置にも通知し,前記ユーザ管理装置において,前記通知によって得られる前記ユーザ識別子を管理するユーザブラックリストを保持する手段と,前記ユーザブラックリストに載っているユーザの該データ配布システムへのログオンを拒否する手段を備えることを特徴とする請求項3記載のデータ配布システム。 - データを保持する少なくとも一つのデータ配布装置および少なくとも一つのデータ取得装置と,前記データ取得装置間,または前記データ取得装置と前記データ配布装置間で相互にデータを交換するデータ配布ネットワークを介して接続される,前記データの所在情報を保持する単一または複数のインデクス保持装置であって,
前記データ配布装置から通知された、前記データ配布装置にあらかじめ割り当てられた固有の配布者識別子を含む,配布するデータの属性を保持する手段と,
前記データ取得装置から要求された前記配布者識別子と前記データ名を用いて前記データの所在の検索を要求し,前記検索されたデータの所在を前記データ取得装置に通知する手段とを備え,
さらに,前記データ取得装置において該取得したデータが悪意あるデータであると判断された場合に該データを管理するデータブラックリストを保持する手段を備え,
前記データブラックリストに登録されているデータに対する検索に対して前記データが存在しないと応答することを特徴とするインデクス保持装置。 - 前記配布者識別子と前記データを配布する配布者のユーザ識別子との対応関係を保持する手段と,
前記配布されるデータの属性を登録する際に前記データ配布装置から送信される前記配布者識別子と前記ユーザ識別子の対応が,前記対応関係と一致するかどうか照合する手段を備え,
さらに,前記配布されたデータの所在情報を前記配布者識別子で管理する手段を備え,
前記配布されたデータの所在を検索する際に,前記配布者識別子と前記データ名で検索する手段を備えることを特徴とする請求項12記載のインデクス保持装置。 - 前記データ登録の際に前記データ配布装置から通知された前記データの拇印を保持する手段と,
前記データ取得装置からの検索要求に対し前記拇印を通知するする手段と,
前記データ取得装置において,該拇印と取得したデータから作成された拇印とを比較し,前記2種類の拇印が異なっていると判断された場合に,前記データの配布者を示す配布者識別子,前記データ識別子と取得元の前記ユーザ識別子を保持する手段を備えることを特徴とする請求項12記載のインデクス保持装置。 - 前記通知によって得られる配布者識別子を管理する配布者ブラックリストを保持する手段と,
前記配布者ブラックリストに載っている前記配布者識別子に対応するユーザによる,前記データの登録を拒否する手段を備えることを特徴とする請求項14記載のインデクス保持装置。 - 前記通知によって得られる前記ユーザ識別子を管理するユーザブラックリストを保持する手段と,
前記ユーザブラックリストに登録されているユーザの該データ配布ネットワークへのログオンを拒否する手段を備えることを特徴とする請求項14記載のインデクス保持装置。 - 前記データ配布装置および前記データ取得装置において保持しているデータを別のデータ取得装置に送信した場合,前記データ配布装置および前記データ取得装置から通知された前記データの配布者識別子と前記データ名と送信相手の前記ユーザ識別子を,前記配布者識別子を単位として前記データ名と前記ユーザ識別子と,前記データの転送が行われた回数を記録し保持する手段を備えることを特徴とする請求項12記載のインデクス保持装置。
- 前記データ配布装置から通知された前記データ名についても前記データブラックリストに登録する手段を備えることを特徴とする請求項12記載のインデクス保持装置。
- データを保持する少なくとも一つのデータ配布装置、少なくとも一つのデータ取得装置,および前記データの所在情報を保持する単一または複数のインデクス保持装置を有し,前記データ取得装置間,または前記データ取得装置と前記データ配布装置間で相互に前記データを交換するデータ配布システムにおいて,
前記データ配布装置は,あらかじめ割り当てられた固有の配布者識別子を含む,配布するデータの属性を前記インデクス保持装置に登録する手段を備え,
前記データ取得装置は,前記配布者識別子と前記データのデータ名を用いて前記データの所在を検索し,前記検索された前記データを取得する手段を備え,
前記インデクス保持装置は,
前記データの取得が許可されたユーザの、各ユーザに割り当てられたユーザ識別子に対して前記配布者識別子を登録する配布者識別子リストを保持する手段と,
該データに対する検索要求に対し,該検索要求メッセージに含まれる前記ユーザ識別子に対応する前記配布者識別子が,前記配布者識別子リストに存在するか否かを確認する手段を備え,
前記配布者識別子リストに該検索要求メッセージに含まれる前記ユーザ識別子に対応する前記配布者識別子が存在しないと確認した場合に,前記検索を要求したユーザに検索不可能と応答することを特徴とするデータ配布システム。 - データを保持する少なくとも一つのデータ配布装置および少なくとも一つのデータ取得装置と,前記データ取得装置間,または前記データ取得装置と前記データ配布装置間で相互にデータを交換するデータ配布ネットワークを介して接続される,前記データの所在情報を保持する単一または複数のインデクス保持装置であって,
前記データ配布装置から通知された前記データ配布装置にあらかじめ割り当てられた固有の配布者識別子を含む,配布するデータの属性を保持する手段と,
前記データ取得装置から要求された前記配布者識別子と前記データ名を用いて前記データの所在を検索し,前記検索されたデータの所在を前記データ取得装置に通知する手段と、
さらに、前記データの取得が許可されたユーザの、各ユーザに割り当てられたユーザ識別子に対して前記配布者識別子を登録する配布者識別子リストを保持する手段と,
該データに対する検索要求に対し,該検索要求メッセージに含まれる前記ユーザ識別子に対応する前記配布者識別子が,前記配布者識別子リストに存在するか否かを確認する手段を備え、
前記配布者識別子リストに該検索要求メッセージに含まれる前記ユーザ識別子に対応する前記配布者識別子が存在しないと確認した場合に,前記検索を要求したユーザに検索不可能と応答することを特徴とするインデクス保持装置。
Priority Applications (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006335248A JP2008146517A (ja) | 2006-12-13 | 2006-12-13 | データ配布システムおよびインデクス保持装置 |
| CNA2007100849225A CN101202633A (zh) | 2006-12-13 | 2007-02-16 | 数据发布系统以及索引保持装置 |
| US11/707,087 US20080147861A1 (en) | 2006-12-13 | 2007-02-16 | Data distribution network and an apparatus of index holding |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2006335248A JP2008146517A (ja) | 2006-12-13 | 2006-12-13 | データ配布システムおよびインデクス保持装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2008146517A true JP2008146517A (ja) | 2008-06-26 |
Family
ID=39517616
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2006335248A Pending JP2008146517A (ja) | 2006-12-13 | 2006-12-13 | データ配布システムおよびインデクス保持装置 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20080147861A1 (ja) |
| JP (1) | JP2008146517A (ja) |
| CN (1) | CN101202633A (ja) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2012517629A (ja) * | 2009-02-10 | 2012-08-02 | アルカテル−ルーセント | トレントコンテンツメタデータを再構成する方法およびデバイス |
Families Citing this family (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9984369B2 (en) * | 2007-12-19 | 2018-05-29 | At&T Intellectual Property I, L.P. | Systems and methods to identify target video content |
| US9928349B2 (en) * | 2008-02-14 | 2018-03-27 | International Business Machines Corporation | System and method for controlling the disposition of computer-based objects |
| US9588827B2 (en) * | 2008-02-21 | 2017-03-07 | International Business Machines Corporation | Single program call message retrieval |
| CN101753572B (zh) * | 2009-12-23 | 2012-08-15 | 西北工业大学 | 基于抗黑名单机制的BitTorrent文件污染方法 |
| US8554872B2 (en) * | 2010-03-31 | 2013-10-08 | Bank Of America Corporation | Integration of different mobile device types with a business infrastructure |
| US8930498B2 (en) | 2010-03-31 | 2015-01-06 | Bank Of America Corporation | Mobile content management |
| US11418580B2 (en) * | 2011-04-01 | 2022-08-16 | Pure Storage, Inc. | Selective generation of secure signatures in a distributed storage network |
| WO2011103835A2 (zh) * | 2011-04-18 | 2011-09-01 | 华为技术有限公司 | 用户访问的控制方法、装置及系统 |
| CN103581254B (zh) * | 2012-08-01 | 2017-06-27 | 中国电信股份有限公司 | 下发内容的方法以及内容分发服务器 |
| US9245003B2 (en) * | 2012-09-28 | 2016-01-26 | Emc Corporation | Method and system for memory efficient, update optimized, transactional full-text index view maintenance |
| US20140282460A1 (en) * | 2013-03-15 | 2014-09-18 | Microsoft Corporation | Enterprise device unenrollment |
| CN106470150B (zh) * | 2015-08-21 | 2020-04-24 | 腾讯科技(深圳)有限公司 | 关系链存储方法及装置 |
| US10462166B2 (en) * | 2016-10-11 | 2019-10-29 | Arbor Networks, Inc. | System and method for managing tiered blacklists for mitigating network attacks |
| US11044258B2 (en) * | 2018-08-24 | 2021-06-22 | Kyocera Document Solutions Inc. | Decentralized network for secure distribution of digital documents |
| JP7230397B2 (ja) * | 2018-09-25 | 2023-03-01 | 富士フイルムビジネスイノベーション株式会社 | 制御装置、制御システム、及び制御プログラム |
| CN110351288A (zh) * | 2019-07-17 | 2019-10-18 | 河北源达信息技术股份有限公司 | 一种一个产品含有多个栏目的数据推送方法 |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20090216641A1 (en) * | 2000-03-30 | 2009-08-27 | Niration Network Group, L.L.C. | Methods and Systems for Indexing Content |
| US20040073617A1 (en) * | 2000-06-19 | 2004-04-15 | Milliken Walter Clark | Hash-based systems and methods for detecting and preventing transmission of unwanted e-mail |
| US20020007350A1 (en) * | 2000-07-11 | 2002-01-17 | Brian Yen | System and method for on-demand data distribution in a P2P system |
| US20050060535A1 (en) * | 2003-09-17 | 2005-03-17 | Bartas John Alexander | Methods and apparatus for monitoring local network traffic on local network segments and resolving detected security and network management problems occurring on those segments |
| US8365301B2 (en) * | 2005-02-22 | 2013-01-29 | Microsoft Corporation | Peer-to-peer network communication |
| US7849303B2 (en) * | 2005-02-22 | 2010-12-07 | Microsoft Corporation | Peer-to-peer network information storage |
| WO2007138653A1 (ja) * | 2006-05-25 | 2007-12-06 | Duaxes Corporation | 通信管理システム、通信管理方法、及び通信制御装置 |
| US9003056B2 (en) * | 2006-07-11 | 2015-04-07 | Napo Enterprises, Llc | Maintaining a minimum level of real time media recommendations in the absence of online friends |
| US8059646B2 (en) * | 2006-07-11 | 2011-11-15 | Napo Enterprises, Llc | System and method for identifying music content in a P2P real time recommendation network |
| JP5088969B2 (ja) * | 2006-09-06 | 2012-12-05 | アカマイ テクノロジーズ インコーポレイテッド | ハイブリッドcdn−p2pにおけるコンテンツ配信方法 |
| US7617322B2 (en) * | 2006-09-29 | 2009-11-10 | Microsoft Corporation | Secure peer-to-peer cache sharing |
| JP2009129386A (ja) * | 2007-11-28 | 2009-06-11 | Hitachi Ltd | 配信方法、サーバ及び受信端末 |
| JP4604253B2 (ja) * | 2007-12-21 | 2011-01-05 | Necビッグローブ株式会社 | ウェブページ安全性判定システム |
-
2006
- 2006-12-13 JP JP2006335248A patent/JP2008146517A/ja active Pending
-
2007
- 2007-02-16 US US11/707,087 patent/US20080147861A1/en not_active Abandoned
- 2007-02-16 CN CNA2007100849225A patent/CN101202633A/zh active Pending
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2012517629A (ja) * | 2009-02-10 | 2012-08-02 | アルカテル−ルーセント | トレントコンテンツメタデータを再構成する方法およびデバイス |
Also Published As
| Publication number | Publication date |
|---|---|
| US20080147861A1 (en) | 2008-06-19 |
| CN101202633A (zh) | 2008-06-18 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP2008146517A (ja) | データ配布システムおよびインデクス保持装置 | |
| US10691814B2 (en) | Method and system for improving security and reliability in a networked application environment | |
| CN103098070B (zh) | 用于监视网络服务中数据位置的方法、装置和系统 | |
| US7697520B2 (en) | System for identifying the presence of Peer-to-Peer network software applications | |
| US8341249B2 (en) | Synchronizing configuration information among multiple clients | |
| RU2487406C1 (ru) | Система и способ обнаружения вредоносных объектов, распространяемых через пиринговые сети | |
| KR101140475B1 (ko) | 피어 노드의 부정 행위 검출 방법 및 피어 투 피어(p2p) 네트워크 | |
| US8375425B2 (en) | Password expiration based on vulnerability detection | |
| EP3343841B1 (en) | Access relationships in a computer system | |
| CN109413000B (zh) | 一种防盗链方法及防盗链网关系统 | |
| CN111131176B (zh) | 资源访问控制方法、装置、设备及存储介质 | |
| US10812466B2 (en) | Using trusted platform module to build real time indicators of attack information | |
| CN114745145B (zh) | 业务数据访问方法、装置和设备及计算机存储介质 | |
| KR101775518B1 (ko) | 접근 권한 별로 분리된 브라우저 프로세스를 이용한 브라우저 제공 방법 및 이를 이용한 장치 | |
| CN113472831B (zh) | 一种服务访问方法、装置、网关设备及存储介质 | |
| CN110324298B (zh) | 用于在执行查询时路由数据的系统、方法和介质 | |
| Kurokawa et al. | Study on the distributed data sharing mechanism with a mutual authentication and meta database technology | |
| Brown et al. | SPAM: A secure package manager | |
| CN116760639B (zh) | 一种用于多租户的数据安全隔离与共享框架实现方法 | |
| KR102449417B1 (ko) | 위치정보 기반의 방화벽 시스템 | |
| JP2005044021A (ja) | ネットワークセキュリティー方法、ネットワークセキュリティープログラム、ネットワークセキュリティーシステム、及び情報管理装置 | |
| EP1955185B1 (en) | System for identifying the presence of peer-to-peer network software applications | |
| CN110324300B (zh) | 在统计资料收集期间路由数据的系统和方法 | |
| Dong et al. | PM-IUBC: A P2P and MongoDB based Intranet User Behavior Control System. | |
| USRE47628E1 (en) | System for identifying the presence of peer-to-peer network software applications |