JP2008250369A - Management method of secrete data file, management system and proxy server therefor - Google Patents
Management method of secrete data file, management system and proxy server therefor Download PDFInfo
- Publication number
- JP2008250369A JP2008250369A JP2007087149A JP2007087149A JP2008250369A JP 2008250369 A JP2008250369 A JP 2008250369A JP 2007087149 A JP2007087149 A JP 2007087149A JP 2007087149 A JP2007087149 A JP 2007087149A JP 2008250369 A JP2008250369 A JP 2008250369A
- Authority
- JP
- Japan
- Prior art keywords
- file
- data
- sub
- encryption key
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
本発明は、ユーザが使用する1以上の端末装置が内部ネットワークを介して接続されると共に、n台(n≧3)のファイル記憶装置が外部ネットワークを介して接続されるプロキシサーバによって機密データファイルを管理する方法、その方法を実行可能な管理システム及びプロキシサーバに関する。 The present invention provides a confidential data file by a proxy server to which one or more terminal devices used by a user are connected via an internal network and n (n ≧ 3) file storage devices are connected via an external network. The present invention relates to a management system, a management system capable of executing the method, and a proxy server.
従来より、地方自治体や企業が保有する個人情報などの機密情報を格納したデータベース(DB)の管理・運営を専門の外部団体や民間企業に委託することが多い。この場合に、不正行為による情報漏洩を防止するため、データの暗号化やDBサーバへのアクセス制限などの対策が採られている。 Conventionally, management and operation of a database (DB) storing confidential information such as personal information held by local governments and companies is often outsourced to specialized external organizations and private companies. In this case, in order to prevent information leakage due to fraud, measures such as data encryption and access restriction to the DB server are taken.
また、情報セキュリティの手法として、RAID(Redundant Arrays of Inexpensive Disks)によるデータの冗長分散が実用化されている。ただ、このRAIDは、データベースではなくファイルのレベルで処理するため、ファイルにアクセスすれば全データを読み取れる事になり機密保護の対策としては有効ではない。また、RAIDは同一拠点での冗長分散を前提にしており、ネットワークを経由すると実用的な性能を得られないため、広域での分散管理には不向きである。いわゆるミラーリング(RAID−1)においても同様の問題がある。 As an information security technique, redundant distribution of data using RAID (Redundant Arrays of Inexpensive Disks) has been put into practical use. However, since this RAID is processed at the file level, not the database, all data can be read if the file is accessed, and is not effective as a security measure. RAID is premised on redundant distribution at the same site, and practical performance cannot be obtained via a network, so it is not suitable for distributed management in a wide area. There is a similar problem in so-called mirroring (RAID-1).
さらに、物理ファイルを暗号化する仕組みも存在するが、ファイル全体を復号化してメモリ上に保存しないと個々のデータを処理できず、結果的にファイル単位で暗号化する必要があるため、個々のレコードや項目を扱うデータベースには不向きである。 In addition, there is a mechanism for encrypting physical files, but unless the entire file is decrypted and saved in memory, individual data cannot be processed, resulting in the need to encrypt individual files. It is not suitable for databases that handle records and items.
このような点に鑑みて、本出願人は、機密データの管理方法として、データの暗号化と分散化と冗長化とを組み合わせて強固なセキュリティを実現する仕組みを下記の特許文献1で提案した。この特許文献1の発明によれば、データベースを冗長的に分散配置する方法により、機密情報の漏洩を有効に防止することができる。すなわち、データベース全体ではなく、個々のレコードや項目を考慮して冗長分散を行うため、一部の記憶装置に対する不正アクセスやファイルサーバ管理者の不正行為などで個々のサブデータを盗聴されても復号化することは不可能である。また、仮に、一部のサブデータを復号化できたとしても、全てのサブデータを取得して復号化しなければファイル内容を解読することはできない。これにより、機密データのセキュリティを飛躍的に向上させることができるものである。
In view of these points, the present applicant has proposed a mechanism for realizing strong security by combining data encryption, decentralization, and redundancy as a method for managing confidential data in
この特許文献1以外にも、機密データの管理方法として、例えば以下の特許文献2、3が参考になる。
In addition to this
ところで、従来のデータ管理方法では、ファイル管理の委託者が作成した機密データファイルを、受託者のホストコンピュータに送信して冗長的に分散配置させる場合に、暗号化する前のデータ(平文)がインターネットなどのオープンネットワーク上に流れることになり、機密データが漏洩するおそれがある。この点については、委託者の端末装置や社内の管理用コンピュータと受託者のホストコンピュータとを専用回線で接続することも考えられる。 By the way, in the conventional data management method, when the confidential data file created by the file management consignor is sent to the host computer of the consignor and redundantly distributed, the data (plaintext) before encryption is stored. It may flow on an open network such as the Internet, and confidential data may be leaked. In this regard, it is conceivable to connect the terminal device of the consignor or the in-house management computer and the host computer of the consignor via a dedicated line.
しかし、ファイル管理の受託者は、多数の委託者から業務委託を受け付けているのが通常であるため、個々の委託者との間で個別に専用ネットワークを構築することはコストや管理の負荷の面で現実的でない。そもそも、機密情報の管理をオープンネットワーク上のストレージサービス事業者にアウトソーシングするメリットは、委託者社内での管理負荷やコストを低減することであるから、このような専用ネットワークを構築することは上記メリットを著しく減殺することになる。 However, since file management trustees usually accept business outsourcing from a large number of consignors, it is costly and management burden to build a dedicated network individually with each consignor. Not realistic in terms. In the first place, the merit of outsourcing management of confidential information to storage service providers on open networks is to reduce the management load and cost within the outsourcer. Will be significantly reduced.
また、受託者のホストコンピュータの管理者は、委託者から受け取った機密データファイルや暗号キーなどの情報を入手できることになるため、この管理者の不正行為によって機密データが漏洩する可能性もある。 In addition, since the administrator of the host computer of the trustee can obtain information such as the confidential data file and the encryption key received from the trustee, there is a possibility that the secret data may be leaked by the manager's fraud.
本発明は、このような課題を解決するためになされたもので、セキュリティが維持されていない外部ネットワーク上で提供されているストレージサービスを利用する場合でも、ネットワーク上の情報漏洩やサーバ管理者の不正行為による情報漏洩を有効に防止でき、機密データの管理負荷の低減とセキュリティの維持とを同時に実現できるデータ管理方法、データ管理システム及びサーバ装置を提供することを目的とする。 The present invention has been made to solve such problems, and even when using a storage service provided on an external network where security is not maintained, information leakage on the network and the server administrator's An object of the present invention is to provide a data management method, a data management system, and a server device that can effectively prevent information leakage due to fraud and can simultaneously reduce the management load of confidential data and maintain security.
本発明の第1の主要な観点によれば、特定のユーザが使用する1以上の特定の端末装置が内部ネットワークを介して接続されると共に、n台(n≧3)のファイル記憶装置がオープンな外部ネットワークを介して接続されるプロキシサーバによって機密データファイルを管理する方法であって、前記プロキシサーバが、内部ネットワークを介して、ユーザの端末装置から管理対象の機密データファイルを当該ユーザの情報と共に受け取る機密データファイル受取工程と、受け取ったユーザ情報を使用してファイル名暗号キーを生成し、この暗号キーで機密データファイルのファイル名を暗号化するファイル名暗号化工程と、機密データファイルを3以上のサブデータに冗長的に分割するファイル分割工程と、前記ファイル名暗号キーを使用してファイル内容暗号キーを生成するファイル内容暗号キー生成工程と、前記分割した複数のサブデータを前記ファイル内容暗号キーによって夫々暗号化するファイル内容暗号化工程と、外部ネットワークを介して、暗号化された複数のサブデータを暗号化されたファイル名に関連付けて前記複数のファイル記憶装置に夫々格納する分散格納工程とを実行することを特徴とする方法が提供される。 According to the first main aspect of the present invention, one or more specific terminal devices used by a specific user are connected via an internal network, and n (n ≧ 3) file storage devices are opened. A method for managing a confidential data file by a proxy server connected via an external network, wherein the proxy server sends a confidential data file to be managed from a user terminal device via the internal network to the user information A confidential data file receiving step received together with the received user information, generating a file name encryption key, and encrypting the file name of the confidential data file with this encryption key; and Using a file splitting process that splits redundantly into three or more sub-data and the file name encryption key A file content encryption key generating step for generating a file content encryption key, a file content encryption step for encrypting each of the plurality of divided sub-data with the file content encryption key, and encryption via an external network And a distributed storage step of storing a plurality of sub-data in association with the encrypted file name in the plurality of file storage devices, respectively.
また、本発明の第2の主要な観点によれば、ユーザが使用する1以上の端末装置が内部ネットワークを介して接続されるプロキシサーバと、このプロキシサーバに外部ネットワークを介して接続されるn台(n≧3)のファイル記憶装置とを備えた機密データファイルの管理システムであって、内部ネットワークを介して、ユーザの端末装置から管理対象の機密データファイルを当該ユーザの情報と共に受け取る機密データファイル受取手段と、受け取ったユーザ情報を使用してファイル名暗号キーを生成し、この暗号キーで機密データファイルのファイル名を暗号化するファイル名暗号化手段と、機密データファイルを3以上のサブデータに冗長的に分割するファイル分割手段と、前記ファイル名暗号キーを使用してファイル内容暗号キーを生成するファイル内容暗号キー生成手段と、前記分割した複数のサブデータを前記ファイル内容暗号キーによって夫々暗号化するファイル内容暗号化手段と、外部ネットワークを介して、暗号化された複数のサブデータを暗号化されたファイル名に関連付けて前記複数のファイル記憶装置に夫々格納する分散格納手段とを実行することを特徴とする機密データファイルの管理システムが提供される。 According to the second main aspect of the present invention, one or more terminal devices used by a user are connected via an internal network, and the proxy server is connected to the proxy server via an external network. A confidential data file management system having a file storage device (n ≧ 3), and receives confidential data files to be managed together with the user information from the user terminal device via the internal network A file receiving means, a file name encryption key for generating a file name encryption key using the received user information, and encrypting the file name of the confidential data file with this encryption key; File division means for redundantly dividing data, and file content encryption key using the file name encryption key A file content encryption key generating means for generating, a file content encryption means for encrypting the plurality of divided sub data with the file content encryption key, and a plurality of encrypted sub data via an external network. A confidential data file management system is provided that executes distributed storage means for storing each of the plurality of file storage devices in association with an encrypted file name.
また、本発明の第3の主要な観点によれば、ユーザが使用する1以上の端末装置が内部ネットワークを介して接続されると共に、外部ネットワークを介してn台(n≧3)のファイル記憶装置が接続される、機密データファイルの管理システム用のプロキシサーバであって、内部ネットワークを介して、ユーザの端末装置から管理対象の機密データファイルを当該ユーザの情報と共に受け取る機密データファイル受取手段と、受け取ったユーザ情報を使用してファイル名暗号キーを生成し、この暗号キーでファイル名を暗号化するファイル名暗号化手段と、機密データファイルを3以上のサブデータに冗長的に分割するファイル分割手段と、前記ファイル名暗号キーを利用してファイル内容暗号キーを生成するファイル内容暗号キー生成手段と、前記分割した複数のサブデータを前記ファイル内容暗号キーによって夫々暗号化するファイル内容暗号化手段と、外部ネットワークを介して、暗号化された複数のサブデータを暗号化されたファイル名に関連付けて前記複数のファイル記憶装置に夫々格納する分散格納手段とを備えたことを特徴とするプロキシサーバが提供される。 According to the third main aspect of the present invention, one or more terminal devices used by a user are connected via an internal network, and n (n ≧ 3) file storages via an external network. A confidential data file receiving unit, which is a proxy server for a confidential data file management system to which a device is connected, and receives a confidential data file to be managed together with information about the user from a user terminal device via an internal network A file name encryption unit that generates a file name encryption key using the received user information, encrypts the file name with this encryption key, and a file that redundantly divides the confidential data file into three or more sub-data Dividing means and file content encryption key generating means for generating a file content encryption key using the file name encryption key A file content encryption unit that encrypts each of the plurality of divided sub-data with the file content encryption key, and associates the plurality of encrypted sub-data with an encrypted file name via an external network. There is provided a proxy server comprising distributed storage means for storing each of the plurality of file storage devices.
上記のような構成によれば、セキュリティが維持された内部ネットワークに接続されるサーバ装置によって機密データを分割して暗号化してから外部ネットワーク上の複数の記憶装置(ファイルサーバ等)に分散配置すると共に、この場合の暗号キーを、ファイル名及びファイル内容に基づいて生成することにした。そのため、ファイルサーバの管理者などの第三者が、外部ネットワーク上で若しくはファイルサーバ等に不正アクセスすることで、暗号化されたファイル名及びファイルデータを取得したとしても、それを復号化することはできない。これにより、機密データの漏洩を有効に防止できる。 According to the above configuration, the confidential data is divided and encrypted by the server device connected to the internal network where security is maintained, and then distributed to a plurality of storage devices (file servers, etc.) on the external network. At the same time, the encryption key in this case is generated based on the file name and the file contents. Therefore, even if a third party such as a file server administrator obtains an encrypted file name and file data by unauthorized access to the file server or the like on an external network, it must be decrypted. I can't. Thereby, leakage of confidential data can be effectively prevented.
また、ユーザが分散配置されたデータを復元したい場合には、サーバ装置にファイル名を通知することで、暗号化されたファイル名をキーとして複数の記憶装置に分散配置された分割データが収集される。これらの分割データをファイル内容に基づく復号キーで復号化した上でマージすることで、元のデータを復元できる。このような一連の処理は、内部ネットワーク上のサーバ装置(プロキシサーバ等)が行うため、情報漏洩のおそれがない。 Also, when the user wants to restore the distributed data, the server device is notified of the file name, so that the divided data distributed in a plurality of storage devices is collected using the encrypted file name as a key. The The original data can be restored by decrypting these divided data with the decryption key based on the file contents and then merging them. Since such a series of processing is performed by a server device (such as a proxy server) on the internal network, there is no risk of information leakage.
さらに、内部ネットワーク上のサーバ装置には、暗号化されたファイル名などが格納されるだけで、機密データの内容はもとより、暗号キーなどの有意の情報は保存されない。そのため、サーバ装置に不正アクセスされて情報が漏洩したとしても、機密データが復元されることはない。 Furthermore, the server device on the internal network only stores the encrypted file name and the like, and not the content of the confidential data, nor significant information such as the encryption key. Therefore, even if information is leaked due to unauthorized access to the server device, confidential data is not restored.
本発明によれば、セキュリティが維持されていない外部ネットワーク上で提供されているストレージサービスを利用する場合でも、ネットワーク上の情報漏洩やサーバ管理者の不正行為による情報漏洩を有効に防止でき、機密データの管理負荷の低減とセキュリティの維持とを同時に実現できるデータ管理方法、データ管理システム及びサーバ装置を得ることができる。 According to the present invention, even when using a storage service provided on an external network where security is not maintained, information leakage on the network and information leakage due to a server administrator's fraud can be effectively prevented, and confidentiality is prevented. It is possible to obtain a data management method, a data management system, and a server device that can simultaneously reduce data management load and maintain security.
以下、本発明の実施の形態を図面に基づき説明する。
図1は、本発明の一実施形態のネットワーク構成図である。符号1で示すデータ管理システムは、企業や地方自治体などのユーザ2の内部ネットワークNiに接続可能なプロキシサーバ(サーバ装置)3と、このプロキシサーバ3に公衆回線網である外部ネットワークNoを通じて接続される複数のファイルサーバ(ファイル記憶装置)4、4とで構成され、前記プロキシサーバ3には、内部ネットワークNiを介して複数のユーザ端末装置(ユーザ端末)5、5が接続される。
Hereinafter, embodiments of the present invention will be described with reference to the drawings.
FIG. 1 is a network configuration diagram of an embodiment of the present invention. The data management system denoted by
以下においては、企業の従業員が作成した機密データを管理する例を想定して説明する。また、本明細書におけるユーザには、ストレージサービスの契約主体である企業自身と、機密データファイルを作成若しくは加工した社員本人(作成者ユーザ)と、機密データの社内の管理責任者であるプロキシサーバ3の管理者(サーバ管理者)と、作成者ユーザ若しくはサーバ管理者から一部又は全ての機密データの閲覧を許可された閲覧者(幹部社員、特定部門の社員、特定の他の企業の社員、警察機関や政府機関の関係者等。以下「閲覧者ユーザ」と称する)とを含む。個人ユーザの情報閲覧権限は、後述する閲覧権限テーブル26に機密データファイルごと若しくはユーザごとに登録される。 In the following, description will be made assuming an example of managing confidential data created by an employee of a company. In addition, the user in this specification includes the company that is the contractor of the storage service, the employee who created or processed the confidential data file (creator user), and the proxy server that is responsible for managing confidential data in the company. 3 administrators (server administrators) and viewers authorized by the creator user or server administrator to view some or all confidential data (executive employees, employees in specific departments, employees of specific other companies) , Police agencies, government agencies, etc., hereinafter referred to as “browser users”). The information browsing authority of an individual user is registered for each confidential data file or for each user in a browsing authority table 26 described later.
内部ネットワークNiは、LANや専用回線ネットワークで構成され、ネットワークの外部から端末装置5にアクセスする場合には、図示しないファイアウォールや後述するプロキシサーバ3の認証機能などによって厳格に接続権限が管理される。また、端末装置5から外部に機密データを送信することは原則として禁止される。このような社内の情報管理手法は従来周知であるため詳細説明は省略する。
The internal network Ni is configured by a LAN or a dedicated line network, and when accessing the
プロキシサーバ3は、各ユーザ端末5と社内の専用回線(内部ネットワークNi)を介して、所定のファイル転送プロトコルを使用して接続する機能を備えた、ファイル転送に特化した専用のコンピュータシステムである。このプロキシサーバ3は、さらに、外部ネットワークNoを介してファイルサーバ4に接続し、暗号化されたファイルを所定のファイル転送プロトコルを使用して送受信する機能も備えている。
The
プロキシサーバ3と各ユーザ端末5及びファイルサーバ4との間のファイル転送のプロトコルとしては、WEBDAV(Web-based Distributed Authoring and Versioning)、FTP(File Transfer Protocol)、SMB(Server Message Block)等を適宜使用できる。
As a protocol for file transfer between the
また、このプロキシサーバ3は、具体的には以下の各機能を備えている。
(1)基本データの管理機能
この機能は、以下の各機能を実現する前提として、ユーザ情報の管理(閲覧権限の認証等)、複数のファイルサーバ4の稼働状態の管理や監視、及びこのファイルサーバ4との通信を制御する機能である。
(2)機密データファイルの保存機能
ユーザの端末装置5からオンラインで機密データファイルを取得した場合に、取得したデータを分割する機能、暗号キーを生成する機能、分割したファイルを暗号キーで暗号化する機能、及びファイルサーバ4へデータを転送する機能である。
(3)機密データファイルの復元・出力機能
ユーザ端末5からユーザ情報(プロキシサーバ3へのログイン情報など)と出力対象のファイル名とを取得して出力依頼を受け付けた場合に、検索キーとなる暗号キーを生成する機能、検索キーに従って複数のファイルサーバ4から対象データを収集する機能、収集したサブデータをマージする機能、復号キーを生成してファイルを復号化して復元する機能、及び復元したファイルをユーザ端末5へ出力する機能である。
(4)障害対応機能
災害や通信障害等によって特定のファイルサーバ4が機能しなくなった(ダウンした)場合や、不正アクセス、ウィルスの侵入などが発見された特定のファイルサーバ4との通信を一時的に遮断した場合に、そのファイルサーバ4に保存した機密データに対して、停止中に実行された機密ファイルの修正などの処理の履歴情報を蓄積し、当該ファイルサーバ4が復帰した場合に、この履歴情報に基づいて、復帰したファイルサーバ4と正常に機能していた他のファイルサーバ4とのデータを同期させる機能である。この機能については、従来技術として挙げた特許文献1に詳細に説明してあるため、本明細書では概略のみ説明する。
Further, the
(1) Basic data management function This function is based on the premise of realizing the following functions: user information management (browsing authority authentication, etc.), operation status management and monitoring of a plurality of
(2) Function for saving confidential data file When a confidential data file is acquired online from the user's
(3) Function for Restoring / Outputting Confidential Data File This is a search key when the
(4) Failure response function When a
ここで、後述するように、このプロキシサーバ3には機密データファイルや暗号キーなどは保存されず、外部から不正アクセスが行われても機密データが漏洩するおそれはない。そのため、このプロキシサーバ3をユーザ企業の内部ネットワークNi内に設置したり、特定のユーザ端末5が兼用することもできる。
Here, as will be described later, no confidential data file, encryption key, or the like is stored in the
ファイルサーバ4は、オープンネットワーク上のストレージサービスを提供する事業者が設置した専用のサーバマシン(コンピュータシステム)で構成され、プロキシサーバ3からの指示に従って、データの保存や出力をコンピュータプログラムによって自動的に実行するものである。複数のユーザから委託された多数のデータを管理(共有)するという観点からすれば、このファイルサーバ4は、データベースサーバの機能も備えているものである。
The
ファイルサーバ4は、内蔵された大容量の補助記憶装置(HDDなど)の一部又は全部の記憶領域をサービスの契約者であるユーザ(企業)に割り当てている。なお、ファイル記憶装置の一部又は全部を、外付け記憶装置などの記録媒体で構成することもできる。また、複数のファイルサーバ4の一部をプロキシサーバ3やユーザ端末装置5が兼用してもよい。この場合、プロキシサーバ3等への不正アクセスによって機密データの一部が漏洩したとしても、後述するように、機密データは複数ファイルに分散(分割)された上で暗号化されているので、不正取得者が暗号キーを取得してファイルの内容を復号化し、ファイル全体の内容を解読することはほぼ不可能である。
The
また、複数のファイルサーバ4、4は、通信障害や災害時の対策として、物理的に離間した複数のエリアに設置される。例えば、地震などの災害やユーザ2の事業活動エリア、機密データの種別や属性等(機密保持の程度、個人情報か企業の営業秘密か、データ量、情報照会の頻度や想定される照会者の所在地、通信環境など)を考慮して、市町村などの都道府県内の複数エリアや、都道府県単位、地方単位(東北地方と関東地方と近畿地方など)で設定される。
The plurality of
また、ファイルサーバ4の設置数nは、後述するように、機密データの冗長分割や空白データを含めた分割処理を行うことから3以上に設定される。以下の説明においては、主として、4台のファイルサーバ4を設置し(n=4)、分割数(F:n−(ダウンを許容できるサーバの数:1台))を3に設定した例を説明する。すなわち、以下の例では、4台のサーバのうち1台が通信障害等でダウンしても、他の3台が正常に稼動していれば通常の運用を継続できる。
Further, the number n of
次に、プロキシサーバ3の具体的な構成を、図2の機能ブロック図を参照して説明する。上記したプロキシサーバ3の各機能は、プロキシサーバ(コンピュータ)3のハードウェア及びこのコンピュータの記憶装置(HDDやROMなど)にインストールされるソフトウェアが協働することで実現される。具体的には、このプロキシサーバ3に内蔵されたCPU11にシステムバス12を介してRAM13、ROM14やHDD15などの記憶装置(主記憶と補助記憶)及び入出力インタフェース(I/F)16が接続され、この入出力I/F16に、LEDディスプレイなどの出力装置17、キーボードやマウスなどの入力装置18、及びモデムなどの通信デバイス19が夫々接続されて構成される。前記記憶装置(13〜15)は、データ格納エリア21とプログラム格納エリア22が確保されている。
Next, a specific configuration of the
このようなハードウェア構成において、プロキシサーバ3の管理者が入力装置18を操作して各種の指令(外部コマンド等)を入力したり、ユーザ2がユーザ端末5から内部ネットワークNiを介して各種の指令を送信すると、このソフトウェアプログラムがCPU11によってRAM13のワークエリアに呼び出されて実行されることで、OS(オペレーションシステム)と協働してこの発明の機能を奏するようになっている。上記プログラムはCD−ROMやDVD−ROMなどのリムーバブル記録媒体から導入することもできる。また、OSの機能の一部を利用してもよい。
In such a hardware configuration, the administrator of the
データ格納エリア21は、プロキシサーバ3や各ファイルサーバ4に接続する際のログイン情報(ユーザID、パスワード)を登録するユーザ情報格納部25と、各ユーザが閲覧可能なファイル名のリストをユーザIDに関連付けて登録する閲覧権限テーブル26と、1以上の記憶装置(A)に障害が発生した場合に、その記憶装置(A)に格納すべき機密データの追加、修正及び削除の情報(更新情報)を一時的に格納する更新情報格納部27とを備えている。
The data storage area 21 includes a user
ここで、ファイルサーバ4へのログイン情報としては、契約主体であるユーザ企業に付与された共通の情報と、ファイルサーバ4への接続を許可された特定の個人ユーザ若しくはユーザ端末5の識別情報(社員IDや端末ID)、若しくはこれらの組み合わせの何れでもよい。本実施形態では、4台のファイルサーバ4に機密データファイルを分散配置しているため、ログイン情報は合計で5種類(1台のプロキシサーバと、4台のファイルサーバ)が登録される。
Here, as log-in information to the
一方で、閲覧権限テーブル26のユーザIDは、ユーザ企業全体で共通の閲覧権限を設定するとセキュリティが低下するおそれがあるので、この場合のユーザIDは、個人ユーザの識別情報(社員IDなど)で管理するのが好ましい。 On the other hand, since the user ID in the browsing authority table 26 may reduce security if the browsing authority common to the entire user company is set, the user ID in this case is identification information (employee ID, etc.) of an individual user. It is preferable to manage.
なお、実際は、このユーザ情報格納部25にはユーザIDとパスワードのハッシュ値の一覧を格納しておく。また、プロキシサーバ3には、ユーザ端末5から取得した機密データファイルや暗号キー、ファイル分割パターンなどは一切保存していない。これにより、プロキシサーバ3の設定ファイルだけ見ても、例えファイルサーバ4の管理者であっても、ファイルの暗号キーなどは解読できないため、プロキシサーバ3への不正アクセスやサーバ管理者の不正行為による機密データの流出を有効に防止できる。
In practice, the user
プログラム格納エリア22には、このプロキシサーバ3の上記した機能を実現するためのコンピュータプログラムがインストールされている。具体的には、リクエスト受付手段30(機密データファイル受取手段、ファイル出力要求受付手段)、ユーザ情報管理手段31(閲覧権限格納手段、認証手段)、ファイル分割手段32、暗号キー生成手段33(ファイル内容暗号キー生成手段、検索キー生成手段)、暗号化処理手段34(ファイル名暗号化手段、ファイル内容暗号化手段)、ファイル転送手段35(分散格納手段)、データ削除手段36、サブデータ検索手段37、ファイル復元処理手段38(ファイル復号化手段、ファイルマージ手段)、及び更新情報蓄積・書込手段39(更新情報格納手段、更新情報書込手段)を備えている。これらの各手段は、実際には、独立したコンピュータプログラム若しくはその中の特定のモジュールやサブルーチン(セグメント)などである。以下、各手段を順に説明する。
A computer program for realizing the above-described functions of the
まず、リクエスト受付手段30は、内部ネットワークNiを介して、作成者ユーザの端末装置5から管理対象の機密データファイルを当該ユーザの情報と共に受け取る機密データファイル受取り機能と、内部ネットワークNiを介して、作成者ユーザ若しくは閲覧者ユーザの端末装置5からユーザ情報とファイル名とを取得して、機密データファイル出力のリクエストを受け付けるファイル出力要求受付け機能とを備えている。ここで、このリクエスト受付手段30は、機密データファイルの取得時に、ユーザ情報として、プロキシサーバ3へのログイン情報及び複数のファイルサーバ4へのログイン情報を受け取る。これらの何れかの情報を受け取るようにしてもよい。
First, the
ユーザ情報管理手段31は、前記リクエスト受付手段30が機密データファイルの保存リクエストを受け付けた場合に、ユーザのサービス利用権限を認証する機能と、閲覧者ユーザのIDとファイルの名称とを作成者ユーザ若しくはユーザ企業の情報管理責任者から取得して前記閲覧権限テーブル26に格納する閲覧権限登録機能と、前記リクエスト受付手段30がファイル出力リクエストを受け付けた場合に、取得したユーザ情報及びファイル名を前記閲覧権限テーブル26と照合して閲覧権限の認証を行う機能とを備えている。
The user information management means 31 includes a function for authenticating a user's authority to use a service, a viewer user ID, and a file name when the request acceptance means 30 accepts a storage request for a confidential data file. Alternatively, the browsing authority registration function that is acquired from the information management manager of the user company and stored in the browsing authority table 26, and when the
ファイル分割手段32は、機密データファイルを分散配置する数(分散数:3〜n)と冗長度とに従って計算した所定の分散パターンに基づいて、この機密データファイルをn0種類(n>n0≧2)で3以上のサブデータに冗長的に分割するものである。本実施形態では、サブデータを4か所のファイルサーバ4に分散配置するとともに、後述するように、1か所のファイルサーバ4には、空データ若しくはNULLデータ(以下「空白データ」と称する)を保存させるため、分割数は3つとなる。また、3か所のファイルサーバ4に冗長配置させることから、サブデータは3種類になる。このような分散パターンは、ファイルサーバ4の総数や、そのうち空白データを保存させるサーバ4の数、サブデータの冗長度(何箇所のサーバからサブデータを取得すればファイルを復元できるか)などによって自動計算される。この分散パターンは、ファイルの属性から要求されるセキュリティの高さや管理コスト、ネットワーク環境などに応じて適宜設定される。なお、分散処理はファイル内容のみ実行し、ファイル名については実行しない。すなわち、暗号化されたファイル名は分割・分散配置せず、全てのファイルサーバ4に同一の暗号化済みファイル名を格納する。
The
前記暗号キー生成手段33は、作成者ユーザの端末5からファイル保存のリクエストを受け付けた場合に、このユーザのログイン情報のハッシュ値を計算してファイル名の暗号キーを生成する機能及びこのファイル名暗号キー及びファイル名のハッシュ値を計算してファイル内容暗号キーを生成する機能と、閲覧者ユーザの端末5からファイル出力のリクエストを受け付けた場合に、このユーザのログイン情報のハッシュ値を計算してサブデータの検索キーとなるファイル名の暗号キーを生成する機能及びこのファイル名暗号キー(検索キー)及びファイル名のハッシュ値を計算してファイル内容復号キーを生成する機能を備えている。ハッシュ関数は不可逆な一方向関数を含むため、算出されたハッシュ値から原文(ファイル名等)を再現することはできない。また、同じハッシュ値を持つ異なるデータを作成することは極めて困難であることから、ハッシュ値を暗号キーに採用することはセキュリティ維持の面で好適である。なお、生成されたキーは、暗/復号化の処理が完了するまではRAM13のデータエリアに記憶されているが、処理完了後は消去される。
The encryption
ここで、ファイル名暗号キーやサブデータの検索キーは、例えば、MD5、SHA−1、SHA−256、SHA−384、SHA−512、RIPEMD、Whirlpool、Tigerなどの公知のハッシュ関数に、4台のファイルサーバ4への接続用ユーザID(1111、2222…)及びパスワード(aaaa、bbbb・・・)と、プロキシサーバ3への接続用ユーザID(9999)とパスワード(zzzz)とを代入してハッシュ値を計算する。同様に、ファイル内容暗号キーやファイル内容復号キーは、ハッシュ関数に上記ログイン情報及びファイル名暗号キーやサブデータの検索キーを代入して計算する。
Here, the file name encryption key and the sub-data search key are, for example, four known hash functions such as MD5, SHA-1, SHA-256, SHA-384, SHA-512, RIPEMD, Whirlpool, and Tiger. Substituting the user ID (1111, 2222...) And password (aaaa, bbbb...) For connecting to the
また、作成者ユーザ以外のユーザ端末5からファイル出力のリクエストを受け付けた場合には、この暗号キー生成手段33は、前記閲覧権限テーブル26を参照してファイル出力リクエストに係るユーザの識別情報(社員IDなど)から作成者ユーザのログイン情報のハッシュ値を特定し、この作成者ユーザの情報を使用してファイル名暗号キーを生成する。
When a file output request is received from a
暗号化処理手段34(ファイル名暗号化手段、ファイル内容暗号化手段)は、機密データファイルの保存(分散配置)に際して、前記生成されたファイル名暗号キーで当該ファイルの名称を暗号化する機能と、前記分割された複数のサブデータを前記ファイル内容暗号キーによって暗号化する機能とを備えている。ファイル名及びファイル内容の暗号化の手法は何れも従来周知であるため、詳細説明は省略する。 The encryption processing unit 34 (file name encryption unit, file content encryption unit) has a function of encrypting the name of the file with the generated file name encryption key when the confidential data file is stored (distributed arrangement). And a function of encrypting the plurality of divided sub-data with the file content encryption key. Since both file name and file content encryption methods are well known in the art, a detailed description thereof will be omitted.
ファイル転送手段(分散格納手段)35は、外部ネットワークNoを介して、暗号化された複数のサブデータを暗号化されたファイル名と共に前記複数のファイルサーバ4に夫々送信して格納させるものである。上記したように、本実施形態では、3台のファイルサーバ4に、冗長的に分割され暗号化された3種類のサブデータを格納させると共に、他の1台のファイルサーバ4には前記空白データを格納するものである。
The file transfer means (distributed storage means) 35 transmits the plurality of encrypted sub-data together with the encrypted file names to the plurality of
ここで、冗長配置は、例えば4つのファイルサーバ4(n=4)の中で乱数を用いて任意の3つのサーバ4(n0=3)を選択する。4箇所から選ばれた任意の3箇所に異なる種類の分割データを夫々格納し、他の1箇所(n−n0=1)には空白データを格納する。 Here, in the redundant arrangement, for example, arbitrary three servers 4 (n 0 = 3) are selected using random numbers among the four file servers 4 (n = 4). Different types of divided data are stored in three arbitrary locations selected from four locations, and blank data is stored in the other one location (n−n 0 = 1).
データ削除手段36は、機密データファイルの保存時に、ファイルサーバ4に複数のサブデータが転送され分散格納処理が完了した後に、作成者ユーザの端末装置5から受け取った機密データファイル、生成されたファイル名暗号キーやファイル内容暗号キー、及び全てのサブデータをプロキシサーバの記憶装置(13〜15)から削除する機能と、機密データの出力時に、ユーザ端末5に復元ファイルが転送された後に、当該復元ファイル及び復号キーの情報をプロキシサーバ3の記憶装置から削除するものである。一般的な揮発性メモリ(RAM13等)であれば、プロキシサーバ3の電源を切れば記憶内容は自動的に消去されるが、プロキシサーバ3を長時間稼働させておく場合には、機密データが長時間消去されないためセキュリティの面で好ましくない。また、一部の不揮発性のメモリの場合は、このデータ削除手段36による電気的消去や紫外線消去などの積極的な消去処理が必要になる。
The data deleting means 36 stores the confidential data file and the generated file received from the
サブデータ検索手段37は、外部ネットワークNoを介して、n−n0台のファイルサーバ4に分散格納されたn−1個のサブデータを前記検索キーで夫々検索するものである。
The sub data search means 37 searches the n-1 sub data distributedly stored in n- 0
ファイル復元処理手段38(ファイル復号化手段、ファイルマージ手段)は、検索された全てのサブデータをOR条件で結合した仮想ファイルを基準にして、これらのサブデータを1のファイルに合成するものである。ここで、取得した複数のサブデータの中に空白データが含まれている場合は、これ以外のサブデータをマージして1のファイルに合成する機能と、前記生成されたファイル内容暗号キーを使用して、前記マージしたファイルを復号化する機能とを備えている。このようにして復元されたファイルは、前記ファイル転送手段35によって、ユーザの端末装置5に転送される。
The file restoration processing means 38 (file decryption means, file merge means) combines these sub-data into one file with reference to a virtual file obtained by combining all the searched sub-data with OR conditions. is there. Here, when blank data is included in a plurality of acquired sub-data, the function of merging other sub-data into one file and using the generated file content encryption key And a function of decrypting the merged file. The file restored in this way is transferred to the
最後に、障害対応機能を果たす更新情報蓄積・書込手段39は、1以上の記憶装置(A)に障害が発生した場合に、ユーザ端末5から取得した機密データの追加、修正及び削除の情報(更新情報)であってその記憶装置(A)に格納すべき情報を、当該機密データファイルの識別情報(ファイル名、シリアルナンバーなど)に関連付けて前記更新情報格納部27に格納すると共に、この記憶装置(A)が復帰した場合、若しくは代替の記憶装置(A')が設置された場合に、格納された更新情報を他の記憶装置(B、C・・・)に同期させて当該記憶装置(A又はA')に書き込むものである。
Finally, the update information storage /
(機密データファイルの分割と冗長化の例)
次に、前記ファイル分割手段32が機密データファイルを冗長的に分割する例を図3を参照して説明する。
まず、この例における機密データファイルの分割と冗長化処理の条件を以下に示す。
・分散単位は8ビット(1バイト)とする。リアルタイムの分散処理を容易にするためである。図3の各行が分散単位であり、1マスが1バイトを示す。
・分散パターンは、分散数3〜nと、冗長度とに従って自動計算する。図示の例では、分散数は4で、そのうち3箇所のファイルサーバからデータを収集すれば元のファイルを復元できるものとする(冗長度:3/4)。
(Example of dividing and redundancy of confidential data file)
Next, an example in which the
First, the conditions of the confidential data file division and redundancy processing in this example are shown below.
• The distribution unit is 8 bits (1 byte). This is to facilitate real-time distributed processing. Each row in FIG. 3 is a distribution unit, and one square indicates one byte.
The distribution pattern is automatically calculated according to the
このような条件に従って、以下のように分散処理を行う。なお、図3の行の上から順に分散処理を実行するものとする。
(1)1分散目(1行目)は、任意の4箇所(図3の表中に「*」で示す)のビットを取得して(1−1〜1−4)、残りの4ビットを0で埋める。
(2)2分散目(2行目)は、1分散目で選ばれた4ビット(1−1〜1−4)から任意の2ビット(2−1、2−2)を選択すると共に、1分散目で選ばれなかった(1行目に「0」が記録されている)4ビットから任意の2ビット(2−3、2−4)を選択する。
(3)3分散目(3行目)では、1分散目で選択された4ビットの中から任意の2ビット(3−1、3−2)を選択すると共に、1、2分散目の何れでも選ばれなかった(1、2行目の両方に「0」が記録されている)2ビット(3−3、3−4)を選択する。
(4)4分散目(4行目)では、1分散目〜3分散目で1回だけ選択されている4つのビット(4−1〜4−4)を選択する。
(5)以上の処理をバイト単位で繰り返し、機密データファイルの全体の分散処理を行う。
In accordance with such conditions, distributed processing is performed as follows. It is assumed that distributed processing is executed in order from the top of the row in FIG.
(1) The first distribution (first line) is obtained by acquiring bits at any four points (indicated by “*” in the table of FIG. 3) (1-1 to 1-4), and the remaining four bits Fill with zeros.
(2) The second dispersion (second line) selects arbitrary 2 bits (2-1, 2-2) from the 4 bits (1-1 to 1-4) selected in the first dispersion,
(3) In the third distribution (third line), any two bits (3-1, 3-2) are selected from the four bits selected in the first distribution, and any one of the first and second distributions is selected. However, 2 bits (3-3, 3-4) which are not selected ("0" is recorded in both the first and second rows) are selected.
(4) In the fourth dispersion (fourth line), four bits (4-1 to 4-4) selected only once in the first to third dispersion are selected.
(5) The above processing is repeated in units of bytes, and the entire confidential data file is distributed.
(ファイルのフォーマットの例)
次に、図4を参照して、ファイル名及びファイル内容のフォーマットを説明する。
(1)暗号化ファイル
図4Aに示すように、ファイル名を暗号化した状態では、ヘッダーには、固定長のファイル名のハッシュ値が記述され、ボディには、可変長の暗号化されたファイル名が記述される。
(Example of file format)
Next, the format of the file name and file contents will be described with reference to FIG.
(1) Encrypted file As shown in FIG. 4A, in a state where the file name is encrypted, a hash value of a fixed-length file name is described in the header, and a variable-length encrypted file is written in the body. Name is described.
次に、ファイル内容を暗号化した状態では、図4Bに示すように、ヘッダーには、Lengthヘッダーから第1の本体ブロックまでのハッシュ値で構成されるファイルハッシュヘッダーが記述され、ボディには、ファイルの長さによって可変長の暗号化されたファイルの内容が記述される。 Next, in a state where the file contents are encrypted, as shown in FIG. 4B, a file hash header composed of hash values from the Length header to the first body block is described in the header, and the body The contents of the encrypted file of variable length are described according to the length of the file.
ここで、ボディ部分は、図4Cに示すように構成される。すなわち、前記Lengthヘッダーには固定長の各ブロックの長さが記述され、元ファイル名情報には可変長の暗号化されたファイル名が記述され、第1の本体ブロックには可変長の暗号化された先頭nバイトのデータが記述され、第2の本体ブロックには同じく可変長の残りのデータが記述される。 Here, the body portion is configured as shown in FIG. 4C. That is, the length header describes the length of each fixed-length block, the original file name information describes the variable-length encrypted file name, and the first body block has variable-length encryption. The first n bytes of data are described, and the remaining variable-length data is also described in the second body block.
(2)分散されるサブデータ(図4D)
全てのサブデータにおいて、ヘッダーには「ヘッダーの分散結果」が記述され、ボディには「暗号化されたファイル内容の分散結果」が記述される。このサブデータが、3箇所のファイルサーバに夫々保存される。
(2) Sub-data to be distributed (FIG. 4D)
In all sub-data, “header distribution result” is described in the header, and “encrypted file content distribution result” is described in the body. This sub data is stored in three file servers.
(処理フロー)
次に、図5、図6のフローチャートを参照して、本実施形態のプロキシサーバ3の処理工程を詳細な機能と共に説明する。以下においては、機密データファイルの保存処理と出力処理とに分けて説明する。なお、障害対応機能については、上記した特許文献1に開示された処理と同様に実行できるため、詳細説明は省略する。
(Processing flow)
Next, processing steps of the
(機密データファイルの保存(転送)時のフロー)
この処理では、まず、プロキシサーバ3のリクエスト受付手段30が内部ネットワークNiを介して作成者ユーザの端末5からプロキシサーバ3及びファイルサーバ4へのログイン情報を取得して機密データの保存依頼を受け付けると(ステップS1)、ユーザ情報管理手段31が、このユーザのサービス利用権限の認証を行う(ステップS2)。ユーザ企業内で、プロキシサーバ3に接続できる権限を幹部社員や特定部門の社員などに制限している場合が考えられるため、プロキシサーバ3への接続権限の有無を判断する。肯定的な認証が得られれば、ユーザ端末5に認証結果を返信し、ユーザ端末5から保存対象の機密データファイルを取得する(ステップS3)。なお、認証が否定された場合は、この処理を終了する。
(Flow when storing (transferring) confidential data files)
In this process, first, the request receiving means 30 of the
次いで、前記暗号キー生成手段33が、ステップS1で取得したユーザのログイン情報(ID、パスワード)のハッシュ値を計算してリクエストに係るファイルの名称の暗号キーを生成し(ステップS4)、暗号化処理手段34がこの暗号キーを使用してファイル名を暗号化する(ステップS5)。そして、ファイル分割手段32が、このファイル内容を3つのサブデータに分割する(ステップS6)。また暗号キー生成手段33が、前記ファイル名称暗号キー及びファイル名のハッシュ値を計算してファイル内容暗号キーを生成する(ステップS7)。このファイル内容暗号キーを使用して、前記暗号化処理手段34が3つのサブデータを夫々暗号化する(ステップS8)。なお、ファイル分割処理は、ファイル名やファイル内容の暗号キー生成処理と並行して実行できる。
Next, the encryption
次いで、ファイル転送手段35が、暗号化された3つのサブデータと、1つの空白データとを、外部ネットワークNoを介して4箇所のファイルサーバ4に夫々転送すると共に(ステップS9)、ユーザ端末5に転送完了を通知する(ステップS10)。ここで、この作成者ユーザ若しくは管理者ユーザなどの端末5から、当該機密データファイルの閲覧が許可された他のユーザのIDを受信した場合には(ステップS11)、ユーザ情報管理手段31が、受け取った閲覧許可された全てのユーザの情報(ログイン情報や社員IDなどのハッシュ値)をファイル名に関連付けて前記閲覧権限テーブル26に格納する(ステップS12)。
Next, the
最後に、データ削除手段37が、機密データファイル、全てのサブデータ、ファイル名暗号キー、ファイル内容暗号キー、及び分散パターンの情報を、記憶装置(13〜15)から削除してこの処理を終了する(ステップS13)。
Finally, the
上記した処理により、ファイルサーバ4には、分割され暗号化されたサブデータがランダムな分散パターンで分散配置されることになるので、一部のファイルサーバ4からデータが漏洩したとしても、元のデータを復元したり意味を解析することは事実上不可能である。特に、1以上のファイルサーバ4には空白データが格納されるため、データの復元や解析は一層困難になる。また、暗号化する前の機密データファイルは、セキュリティが強固に維持された内部ネットワークNiだけにしか流れないので、暗号化される前の情報が外部に漏洩することはない。
As a result of the above processing, the divided and encrypted sub-data is distributed and arranged in a random distribution pattern in the
さらに、サブデータの暗号キーはユーザのログイン情報を使用して生成しているので、ユーザ毎に暗号キーが異なることになる。これにより、ファイル名が同一でもユーザが異なれば、異なるファイルとして管理できる。すなわち、暗号キーを、ファイル名とユーザID、パスワードから生成しているため、ユニーク性を向上させることができる。従って、ファイルサーバ4から暗号キーを入手することは不可能であり、ユーザのID、パスワードをファイルサーバの数だけ用意して管理する必要もない。さらに、プロキシサーバ3には、機密データファイルはもちろんのこと、分割したサブデータや暗号キー、及び分散パターンに関する情報は保存されないため、プロキシサーバ3への不正アクセスやサーバ管理者の不正行為によっても、機密データファイルの情報が漏洩することはない。
Furthermore, since the encryption key of the sub data is generated using the user login information, the encryption key is different for each user. Thereby, even if the file name is the same, if the user is different, it can be managed as a different file. That is, since the encryption key is generated from the file name, the user ID, and the password, the uniqueness can be improved. Therefore, it is impossible to obtain an encryption key from the
また、ファイル名及びファイル内容の暗号化と、複数のファイルサーバへの冗長分割とを同時に行うことにより、冗長性による緊急時対応とセキュリティの向上とを同時に実現できる。さらに、ファイルサーバ4とユーザ端末装置5の間に設置するプロキシサーバ3によるファイル管理方式であるので、現状のネットワーク環境を維持したまま、セキュリティを向上させたシステムへの移行を円滑に行える。
In addition, by simultaneously encrypting the file name and file contents and performing redundant division into a plurality of file servers, it is possible to simultaneously realize emergency response due to redundancy and improved security. Furthermore, since the file management method is based on the
(機密データファイルの出力(受信)時のフロー)
次に、図6を参照して、ユーザ端末5に機密データファイルを出力する際のフローを説明する。
この処理では、まず、リクエスト受付手段30が、閲覧者ユーザ若しくは作成者ユーザの端末5から出力対象のファイルの名称やユーザのログイン情報を取得してファイルの出力依頼を受け付けると(ステップS15)、ユーザ情報管理手段31が、取得した情報と閲覧権限テーブル26の情報とを照合して当該ファイルの閲覧権限の認証を実行する(ステップS16)。認証が肯定的であれば、暗号キー生成手段33がこのユーザ情報のハッシュ値を計算して暗号キーを生成する(ステップS17)。なお、閲覧者ユーザからの出力リクエストである場合には、ファイル名などから作成者ユーザのログイン情報を特定し、この作成者ユーザの情報を使用してファイル名暗号キーを生成する。一方、認証が否定された場合は、認証結果をユーザ端末5に返信してこの処理を終了する。
(Flow when outputting (receiving) confidential data files)
Next, with reference to FIG. 6, the flow at the time of outputting a confidential data file to the
In this process, first, when the
次いで、暗号化処理手段34が、前記ファイル名暗号キーでリクエストに係るファイル名を暗号化する(ステップS18)。これが、サブデータの検索キーとなる。この検索キーは前記サブデータ検索手段37に受け渡され、4箇所のファイルサーバ4からデータが収集される(ステップS19)。収集されたデータには、3つのサブデータと1つの空白データが含まれている。 Next, the encryption processing means 34 encrypts the file name related to the request with the file name encryption key (step S18). This is a search key for sub data. This search key is transferred to the sub data search means 37, and data is collected from the four file servers 4 (step S19). The collected data includes three sub data and one blank data.
また、前記暗号キー生成手段33が、ユーザ情報のハッシュ値を使用してサブデータの復号キーを生成する(ステップS20)。これと並行して、前記ファイル復元処理手段38が、空白データを除く3つのサブデータをOR条件で合成した仮想ファイルを基準にして1ファイルにマージする(ステップS21)。ファイルがマージされると、前記ファイル復元処理手段38が、暗号化ファイルを前記復号キーで復号化する(ステップS22)。復号化されたファイルは、ファイル転送手段35がユーザ端末5に転送する(ステップS23)。
Further, the encryption key generation means 33 generates a decryption key for sub-data using the hash value of the user information (step S20). In parallel with this, the file restoration processing means 38 merges the three sub-data excluding blank data into one file on the basis of the virtual file synthesized under the OR condition (step S21). When the files are merged, the file restoration processing means 38 decrypts the encrypted file with the decryption key (step S22). The decrypted file is transferred to the
最後に、データ削除手段36が、復号化された機密データファイル、収集された全てのサブデータ(空白データを含む)、生成されたファイル名暗号キー(検索キー)やファイル内容暗号キー、及び分散パターンの情報を、記憶装置(13〜15)から消去してこの処理を終了する(ステップS24)。 Finally, the data deleting means 36 decrypts the confidential data file, all collected sub-data (including blank data), the generated file name encryption key (search key), file content encryption key, and distribution The pattern information is erased from the storage devices (13 to 15), and this process is terminated (step S24).
このような構成により、外部ネットワークNoを通じてファイルサーバ4に格納したサブデータを収集する際に、暗号化された状態で取得するので、外部ネットワークNoを経由しても機密情報が漏洩するおそれはない。また、暗号化されたファイルの復号キーを作成者ユーザの情報に従って生成することにしたので、閲覧権限を広げても情報出力に支障はない。
With such a configuration, when collecting the sub-data stored in the
ここで、通信障害やサイト側の障害などで1のファイルサーバ4が使えない場合でも、他の3か所のサーバ4のデータを集積することで元データを復元することができる。すなわち、冗長配置を行っているため、収集したデータの1つが空データであっても、他の2か所から取得したデータによって元データを復元できる。同様の理由で、全てのファイルサーバ4a〜4dが正常に稼動している場合でも、任意の3か所のからデータを取得すれば検索対象データを復元することができる。なお、空白データに代えてダミーデータを格納しておく場合や、何らかの理由で1か所に誤ったデータが格納されている場合は、取得したデータの多数決によって元データを復元すればよい。
Here, even when one
こうしたデータの冗長化・分散化により、例えば、特定の1拠点(ファイルサーバ4)のデータを全て盗聴されても、個々の機密データファイルの意味を解析したり復元することは不可能であり、不正アクセスや媒体の持ち出しなどによる漏洩を有効に防ぐことができる。また、自然災害などで1拠点のファイルサーバがダウンした場合でも、他の拠点のデータを集積することで元データを復元できる。さらに、プロキシサーバ3に不正アクセスされても、元データや機密データの暗号キー、ファイルの分割パターンなどの有意の情報を格納していないので、機密データが漏洩することはない。プロキシサーバ3やユーザ端末5がファイルサーバ4を兼用する場合でも、分割及び暗号化された一部のデータしか保存していないので、同様に機密データのセキュリティは担保できる。
Due to such data redundancy / distribution, for example, even if all the data of one specific base (file server 4) is wiretapped, it is impossible to analyze or restore the meaning of individual confidential data files. Leakage due to unauthorized access or taking out of media can be effectively prevented. Even when a file server at one site goes down due to a natural disaster or the like, the original data can be restored by accumulating data at other sites. Further, even if the
(その他の機能)
上記以外に、本実施形態に係る発明は、ユーザ端末からファイル出力のリクエストを受け付けた時に、対象ファイルが改ざんされていないかをチェックするための以下のような機能を実装することもできる。例えば、サブデータをファイルサーバに保存した後に、ファイルサーバの管理者による不正行為や、ファイルサーバにサブデータを転送中にネットワークが乗っ取られた場合に、ファイルサーバに保存する(保存した)サブデータが改ざんされるおそれがあるため、このような改ざんを早期に発見する機能を備えることが有効である。
(Other features)
In addition to the above, the invention according to the present embodiment can also implement the following function for checking whether the target file has been tampered with when a file output request is received from the user terminal. For example, after saving the sub-data to the file server, if the network server is hijacked while the sub-data is being transferred to the file server, or the sub-data is saved (saved) Therefore, it is effective to have a function for detecting such tampering at an early stage.
(1)ファイル名の復号チェック機能
この機能は、上記した改ざんの痕跡が「ファイル名の暗号化」のフォーマットのヘッダー部分に存在している可能性があることを利用して、ファイルの出力時にファイル名を照合することで、改ざんを早期に発見する機能である。具体的には、「ABCD.doc」という名称の機密データファイルを複数のファイルサーバに分散保存していて、ユーザ端末5からこのファイル名を取得してデータ出力のリクエストを受け付けた場合に、プロキシサーバは、本機能を使用して、「ABCD.doc+各サーバのログイン情報」を使って当該ファイルの暗号化されたファイル名(ボディ部分)を作成しておく。そして、各ファイルサーバから、暗号化されたファイル名(ボディ部分)を含むサブデータファイルを取得する。この時、ファイルサーバから取得したファイル名のハッシュ部分と、前記生成した「ABCD.doc」のハッシュ値とを比較して改ざんチェックする。ファイルの改ざんを確認した場合には、ユーザ端末5やネットワーク管理責任者の端末、ファイルサーバ等にその旨のアラームを発信して対応を促すことができる。
(1) File name decryption check function This function uses the fact that the above-mentioned tampering trace may exist in the header portion of the “file name encryption” format. This is a function to detect falsification at an early stage by checking the file name. Specifically, when a confidential data file named “ABCD.doc” is distributed and stored in a plurality of file servers, the file name is obtained from the
(2)ファイル内容の復号チェック機能
この機能は、ファイルサーバから収集した複数のサブデータをマージして復号化する前に、上記したLengthヘッダー、元ファイル名情報、暗号化された第1の本体ブロックの先頭nバイトだけを先に復号化して、リクエストにかかるファイル名のハッシュ値等と照合することで、ファイル内容の改ざんをチェックする機能である。すなわち、両者のハッシュ内容が一致しない場合には、サーバ側でファイルの内容が改ざんされた可能性があるため、その場合はリクエスト対象のファイルを復号化せずに、ユーザ端末にファイル名を変更して「復号化に失敗しました」というエラーメッセージを出力し、ネットワーク管理責任者の端末等にアラームを出力する。対象ファイルのハッシュヘッダー部分と収集したサブデータの値とが一致した場合にだけファイルの復号成功、すなわち、改ざんされていないと判断する。これにより、ファイル改ざんを早期に発見できると共に、改ざん後のファイルを正規ファイルと誤解する逆スパイを防止できる。この機能は、ファイルサーバから収集した複数のサブデータをマージする前後の何れでも実行できるが、マージする前に実行する場合には、改ざんが行われたサーバを特定することもできる。この場合には、ファイルのヘッダー部分は分散せず、各ファイルサーバにあわせたボディ部分のハッシュ値を追加しておく必要がある。
(2) File content decryption check function This function is used to merge the above-described Length header, original file name information, and encrypted first body before merging and decrypting a plurality of sub-data collected from the file server. This is a function for checking the alteration of the file contents by decrypting only the first n bytes of the block first and comparing with the hash value of the file name of the request. In other words, if the hash contents of the two do not match, the file contents may have been tampered with on the server side. In that case, the file name is changed to the user terminal without decrypting the requested file. Then, an error message “Decoding failed” is output, and an alarm is output to the terminal of the person in charge of network management. Only when the hash header portion of the target file matches the value of the collected sub-data, it is determined that the file has been successfully decrypted, that is, has not been tampered with. As a result, file alteration can be detected at an early stage, and reverse spying that misunderstands a file after alteration as a regular file can be prevented. This function can be executed either before or after merging a plurality of sub-data collected from the file server, but when executed before merging, it is also possible to specify a server that has been tampered with. In this case, it is necessary to add a hash value of the body part suitable for each file server without distributing the header part of the file.
なお、この発明は上記の実施形態に限定されるものではなく、発明の要旨を変更しない範囲で種々変形可能である。 In addition, this invention is not limited to said embodiment, A various deformation | transformation is possible in the range which does not change the summary of invention.
例えば、ファイルサーバの数や分割数等は、上記の例によらず、機密データの種類や機密度、委託者と受託者との契約等によって種々変更可能である。暗号化や分割、検索等のアルゴリズムも種々変更可能である。 For example, the number of file servers, the number of divisions, and the like can be variously changed without depending on the above example, depending on the type and sensitivity of the confidential data, the contract between the consignor and the trustee, and the like. Various algorithms such as encryption, division, and search can be changed.
また、本発明を、近時、開発が進められているマルチパスルーティング技術と組み合わせることもできる。すなわち、機密データファイルを複数のサブデータに分割し、マルチパスルーティング技術によって各サブデータをファイルサーバに転送する通信ルートを変えて通信を行う。これにより、サブデータを盗聴するには、物理的に複数のルートで同時期にネットワーク上のデータを収集しなければならず、実質的に盗聴は不可能となる。 The present invention can also be combined with a multipath routing technology that has been developed recently. That is, the confidential data file is divided into a plurality of sub data, and communication is performed by changing a communication route for transferring each sub data to the file server by a multipath routing technique. As a result, in order to eavesdrop on the sub data, data on the network must be collected at the same time through a plurality of routes, and wiretapping becomes virtually impossible.
さらに、ファイル一覧取得時は、「ファイル名の暗号キー」でファイル名を個別に復号化したもののリストを端末装置に返すようにしてもよい。 Further, when the file list is acquired, a list of the file names individually decrypted with the “file name encryption key” may be returned to the terminal device.
Ni…内部ネットワーク
No…外部ネットワーク
1…データ管理システム
2…ユーザ
3…プロキシサーバ
4(4a〜4d)…ファイルサーバ
5…ユーザ端末装置
11…CPU
12…システムバス
13…RAM
14…ROM
15…HDD
16…入出力インタフェース(I/F)
17…出力装置
18…入力装置
19…通信デバイス
21…データ格納エリア
22…プログラム格納エリア
25…ユーザ情報格納部
26…閲覧権限テーブル
27…更新情報格納部
30…リクエスト受付手段
31…ユーザ情報管理手段
32…ファイル分割手段
33…暗号キー生成手段
34…暗号化処理手段
35…ファイル転送手段
36…データ削除手段
37…サブデータ検索手段
38…ファイル復元処理手段
39…更新情報蓄積・書込手段
Ni ... Internal network No ...
12 ...
14 ... ROM
15 ... HDD
16 ... I / O interface (I / F)
DESCRIPTION OF
Claims (21)
前記プロキシサーバが、
内部ネットワークを介して、ユーザの端末装置から管理対象の機密データファイルを当該ユーザの情報と共に受け取る機密データファイル受取工程と、
受け取ったユーザ情報を使用してファイル名暗号キーを生成し、この暗号キーで機密データファイルのファイル名を暗号化するファイル名暗号化工程と、
機密データファイルを3以上のサブデータに冗長的に分割するファイル分割工程と、
前記ファイル名暗号キーを使用してファイル内容暗号キーを生成するファイル内容暗号キー生成工程と、
前記分割した複数のサブデータを前記ファイル内容暗号キーによって夫々暗号化するファイル内容暗号化工程と、
外部ネットワークを介して、暗号化された複数のサブデータを暗号化されたファイル名に関連付けて前記複数のファイル記憶装置に夫々格納する分散格納工程と
を実行することを特徴とする方法。 One or more specific terminal devices used by a specific user are connected via an internal network, and n (n ≧ 3) file storage devices are confidential by a proxy server connected via an open external network. A method for managing data files,
The proxy server is
A confidential data file receiving step for receiving a confidential data file to be managed together with the information of the user from the terminal device of the user via the internal network;
Using the received user information to generate a file name encryption key, and encrypting the file name of the confidential data file with this encryption key;
A file dividing step for redundantly dividing the confidential data file into three or more sub-data;
A file content encryption key generating step for generating a file content encryption key using the file name encryption key;
A file content encryption step for encrypting each of the divided sub-data with the file content encryption key;
A distributed storage step of storing the plurality of encrypted sub data in the plurality of file storage devices in association with the encrypted file names via an external network, respectively.
さらに、前記プロキシサーバが、
内部ネットワークを介して、前記ユーザの端末装置からユーザ情報とファイル名とを取得して、機密データファイル出力のリクエストを受け付けるファイル出力要求受付工程と、
リクエストに係るファイル名を前記ファイル名暗号キーで暗号化して検索キーを生成する検索キー生成工程と、
外部ネットワークを介して複数のファイル記憶装置に接続し、これらのファイル記憶装置に分散格納された複数のサブデータを前記検索キーで夫々検索するサブデータ検索工程と、
検索された全てのサブデータをマージして1のファイルに合成するファイルマージ工程と、
前記ファイル名暗号キーとリクエストに係るファイル名とを利用してファイル内容暗号キーを生成し、このファイル内容暗号キーを使用して、前記マージしたファイルを復号化するファイル復号化工程と、
復号化したファイルを前記ユーザの端末装置に転送するファイル転送工程と
を備えたことを特徴とする方法。 The method of claim 1, wherein
Further, the proxy server is
A file output request receiving step for acquiring user information and a file name from the terminal device of the user via an internal network and receiving a request for confidential data file output;
A search key generation step of generating a search key by encrypting a file name related to the request with the file name encryption key;
A sub-data search step of connecting to a plurality of file storage devices via an external network and searching a plurality of sub-data distributed and stored in these file storage devices with the search key, respectively;
A file merging step of merging all the searched sub-datas into a single file;
A file decryption step of generating a file content encryption key using the file name encryption key and the file name associated with the request, and decrypting the merged file using the file content encryption key;
A file transfer step of transferring the decrypted file to the user terminal device.
さらに、前記プロキシサーバが、
前記機密データファイル受取工程において受け取った第1のユーザの情報(A)と、管理対象の機密データファイルの閲覧を許可された第2のユーザの情報(B)とを、当該機密データファイルの識別情報に関連付けて閲覧権限テーブルに格納する閲覧権限格納工程と、
機密データファイル出力のリクエストを受け付けた場合に、取得したユーザ情報(A又はB)及びファイル名を前記閲覧権限テーブルと照合して閲覧権限の認証を行う認証工程とを備え、
前記ファイル名暗号化工程は、認証が肯定的である場合に、前記閲覧権限テーブルから第1のユーザ情報(A)を特定し、この第1のユーザ情報(A)を使用してファイル名暗号キーを生成するものである
ことを特徴とする方法。 The method of claim 2, wherein
Further, the proxy server is
The first user information (A) received in the confidential data file receiving step and the second user information (B) permitted to view the confidential data file to be managed are identified with the confidential data file. A browsing authority storage step of storing in the browsing authority table in association with information;
An authentication step of authenticating browsing authority by comparing the acquired user information (A or B) and file name with the browsing authority table when a request for confidential data file output is received;
The file name encryption step specifies the first user information (A) from the browsing authority table when the authentication is positive, and uses the first user information (A) to encrypt the file name. A method characterized by generating a key.
前記ファイルマージ工程は、検索された全てのサブデータをOR条件で結合した仮想ファイルを基準にして、これらのサブデータを1のファイルに合成することを特徴とする方法。 The method of claim 2, wherein
The file merging step synthesizes the sub-data into one file on the basis of a virtual file obtained by combining all the sub-data retrieved by the OR condition.
前記ファイル分割工程は、機密データファイルをn0種類(n>n0≧2)のサブデータに冗長的に分割するものであり、
前記分散格納工程は、n0種類のサブデータを任意のn0台のファイル記憶装置に夫々格納すると共に、n−n0台の他のファイル記憶装置に空データ若しくはNULLデータ(以下「空白データ」と称する)を格納するものであり、
前記サブデータ検索工程は、n−n0台のファイル記憶装置に分散配置されたn−1個のサブデータを検索するものであり、
前記ファイルマージ工程は、取得した複数のサブデータに空白データが含まれている場合は、これ以外のサブデータをマージして1のファイルに合成するものである
を実行することを特徴とする方法。 The method of claim 2, wherein
The file dividing step redundantly divides the confidential data file into n 0 types (n> n 0 ≧ 2) of sub-data,
In the distributed storage step, n 0 types of sub-data are stored in any n 0 file storage devices, respectively, and empty data or NULL data (hereinafter “blank data”) is stored in n−n 0 other file storage devices. ”), And
The sub-data search step searches n−1 sub-data distributed in n−n 0 file storage devices.
The file merging step is to execute a process in which, when blank data is included in a plurality of acquired sub data, the other sub data is merged and combined into one file. .
前記ファイル分割工程は、分散数(3〜n)と冗長度とに従って計算した分散パターンに基づいて、機密データファイルを3以上のサブデータに分割するものであることを特徴とする方法。 The method of claim 1, wherein
The file dividing step divides the confidential data file into three or more sub-data based on a distribution pattern calculated according to the number of distributions (3 to n) and redundancy.
前記機密データファイル受取工程は、ユーザ情報として、プロキシサーバへのログイン情報及び複数の記憶装置へのログイン情報の少なくとも何れかを受け取るものであり、
前記ファイル名暗号化工程は、前記ログイン情報のハッシュ値を計算してファイル名暗号キーを得るものである
ことを特徴とする方法。 The method of claim 1, wherein
The confidential data file receiving step receives, as user information, at least one of login information to a proxy server and login information to a plurality of storage devices,
The file name encryption step calculates a hash value of the login information to obtain a file name encryption key.
さらに、前記プロキシサーバが、前記分散格納工程が完了するまでに、前記機密データファイル受取工程でユーザの端末装置から受け取った機密データファイル、前記ファイル名暗号化工程で生成したファイル名暗号キー、前記ファイル分割工程で分割した3以上のサブデータ、及び前記ファイル内容暗号キー生成工程で生成したファイル内容暗号キーを、このプロキシサーバの記憶装置から削除する工程を備えたことを特徴とする方法。 The method of claim 1, comprising:
Further, the proxy server receives the confidential data file received from the terminal device of the user in the confidential data file reception step before the distributed storage step is completed, the file name encryption key generated in the file name encryption step, A method comprising: deleting from the storage device of the proxy server the three or more sub-data divided in the file division step and the file content encryption key generated in the file content encryption key generation step.
さらに、前記プロキシサーバが、
1以上の記憶装置(A)に障害が発生した場合に、その記憶装置(A)に格納すべき機密データの追加、修正及び削除の情報(更新情報)を更新情報格納部に格納する更新情報格納工程と、
前記記憶装置(A)が復帰した場合、若しくは代替の記憶装置(A')が設置された場合に、格納された更新情報を他の記憶装置(B、C・・・)に同期させて当該記憶装置(A又はA')に書き込む更新情報書込工程と
を備えたことを特徴とする方法。 The method of claim 1, comprising:
Further, the proxy server is
Update information for storing, in the update information storage section, information (update information) on addition, correction and deletion of confidential data to be stored in the storage device (A) when a failure occurs in one or more storage devices (A) A storage process;
When the storage device (A) is restored or when an alternative storage device (A ′) is installed, the stored update information is synchronized with the other storage devices (B, C...) An update information writing step for writing to a storage device (A or A ′).
前記複数の記憶装置のうちの一部が、プロキシサーバ及び/若しくはユーザの端末装置に備えられていることを特徴とする方法。 The method of claim 1, comprising:
A part of the plurality of storage devices is provided in a proxy server and / or a user terminal device.
内部ネットワークを介して、ユーザの端末装置から管理対象の機密データファイルを当該ユーザの情報と共に受け取る機密データファイル受取手段と、
受け取ったユーザ情報を使用してファイル名暗号キーを生成し、この暗号キーで機密データファイルのファイル名を暗号化するファイル名暗号化手段と、
機密データファイルを3以上のサブデータに冗長的に分割するファイル分割手段と、
前記ファイル名暗号キーを使用してファイル内容暗号キーを生成するファイル内容暗号キー生成手段と、
前記分割した複数のサブデータを前記ファイル内容暗号キーによって夫々暗号化するファイル内容暗号化手段と、
外部ネットワークを介して、暗号化された複数のサブデータを暗号化されたファイル名に関連付けて前記複数のファイル記憶装置に夫々格納する分散格納手段と
を実行することを特徴とする機密データファイルの管理システム。 A confidential server comprising a proxy server to which one or more terminal devices used by a user are connected via an internal network, and n (n ≧ 3) file storage devices connected to the proxy server via an external network A data file management system,
A confidential data file receiving means for receiving a confidential data file to be managed together with the user's information from the user's terminal device via the internal network;
A file name encryption unit that generates a file name encryption key using the received user information and encrypts the file name of the confidential data file with the encryption key;
File dividing means for redundantly dividing the confidential data file into three or more sub-data;
File content encryption key generation means for generating a file content encryption key using the file name encryption key;
File content encryption means for encrypting each of the plurality of divided sub-data with the file content encryption key;
And a distributed storage means for storing the plurality of encrypted sub data in the plurality of file storage devices in association with the encrypted file names via an external network, respectively. Management system.
さらに、
内部ネットワークを介して、前記ユーザの端末装置からユーザ情報とファイル名とを取得して、機密データファイル出力のリクエストを受け付けるファイル出力要求受付手段と、
リクエストに係るファイル名を前記ファイル名暗号キーで暗号化して検索キーを生成する検索キー生成手段と、
外部ネットワークを介して、複数のファイル記憶装置に分散格納された複数のサブデータを前記検索キーで夫々検索するサブデータ検索手段と、
検索された全てのサブデータをマージして1のファイルに合成するファイルマージ手段と、
前記ファイル名暗号キーとリクエストに係るファイル名とを利用してファイル内容暗号キーを生成し、このファイル内容暗号キーを使用して、前記マージしたファイルを復号化するファイル復号化手段と、
復号化したファイルを、内部ネットワークを介して前記ユーザの端末装置に転送するファイル転送手段と
を備えたことを特徴とする機密データファイルの管理システム。 The system of claim 1, wherein
further,
File output request accepting means for obtaining user information and file name from the terminal device of the user via the internal network, and accepting a request for confidential data file output;
Search key generation means for generating a search key by encrypting a file name related to the request with the file name encryption key;
Sub data search means for searching a plurality of sub data distributedly stored in a plurality of file storage devices with the search key via an external network,
A file merging means for merging all the searched sub-data and combining them into one file;
File decryption means for generating a file content encryption key using the file name encryption key and the file name related to the request, and decrypting the merged file using the file content encryption key;
A confidential data file management system, comprising: a file transfer means for transferring the decrypted file to the user terminal device via an internal network.
さらに、
前記機密データファイル受取手段が受け取った第1のユーザの情報(A)と、管理対象の機密データファイルの閲覧を許可された第2のユーザの情報(B)とを、当該機密データファイルの識別情報に関連付けて閲覧権限テーブルに格納する閲覧権限格納手段と、
機密データファイル出力のリクエストを受け付けた場合に、取得したユーザ情報(A又はB)及びファイル名を前記閲覧権限テーブルと照合して閲覧権限の認証を行う認証手段とを備え、
前記ファイル名暗号化手段は、認証が肯定的である場合に、前記閲覧権限テーブルから第1のユーザ情報(A)を特定し、この第1のユーザ情報(A)を使用してファイル名暗号キーを生成するものである
ことを特徴とする機密データファイルの管理システム。 The system of claim 12, wherein
further,
The first user information (A) received by the confidential data file receiving means and the second user information (B) permitted to view the confidential data file to be managed are identified. Browsing authority storage means for storing in the browsing authority table in association with information;
An authentication means for authenticating browsing authority by comparing the obtained user information (A or B) and file name with the browsing authority table when a request for confidential data file output is received;
The file name encryption means specifies the first user information (A) from the browsing authority table when the authentication is positive, and uses the first user information (A) to encrypt the file name. A secret data file management system characterized by generating a key.
前記ファイルマージ手段は、検索された全てのサブデータをOR条件で結合した仮想ファイルを基準にして、これらのサブデータを1のファイルに合成することを特徴とする機密データファイルの管理システム。 The system of claim 12, wherein
The file merging means synthesizes these sub-data into one file on the basis of a virtual file obtained by combining all the searched sub-data with an OR condition.
前記ファイル分割手段は、機密データファイルをn0種類(n>n0≧2)のサブデータに冗長的に分割するものであり、
前記分散格納手段は、n0種類のサブデータを任意のn0台のファイル記憶装置に夫々格納すると共に、n−n0台の他のファイル記憶装置に空データ若しくはNULLデータ(以下「空白データ」と称する)を格納するものであり、
前記サブデータ検索手段は、n−n0台のファイル記憶装置に分散配置されたn−1個のサブデータを検索するものであり、
前記ファイルマージ手段は、取得した複数のサブデータに空白データが含まれている場合は、これ以外のサブデータをマージして1のファイルに合成するものである
ことを特徴とする機密データファイルの管理システム。 The system of claim 12, wherein
The file dividing means divides the confidential data file redundantly into n 0 types (n> n 0 ≧ 2) of sub-data,
The distributed storage means stores n 0 types of sub-data in arbitrary n 0 file storage devices, and also stores empty data or NULL data (hereinafter “blank data” in other n−n 0 file storage devices. ”), And
The sub-data search means is for searching n−1 sub-data distributed in n−n 0 file storage devices,
The file merging means merges the other sub-data into a single file when blank data is included in the acquired plurality of sub-data. Management system.
前記ファイル分割手段は、分散数(3〜n)と冗長度とに従って計算した分散パターンに基づいて、機密データファイルを3以上のサブデータに分割するものであることを特徴とする機密データファイルの管理システム。 The system of claim 11, wherein
The file dividing means divides the confidential data file into three or more sub-data based on the distribution pattern calculated according to the distribution number (3 to n) and the redundancy. Management system.
前記機密データファイル受取手段は、ユーザ情報として、プロキシサーバへのログイン情報及び複数の記憶装置へのログイン情報の少なくとも何れかを受け取るものであり、
前記ファイル名暗号化手段は、前記ログイン情報のハッシュ値を計算してファイル名暗号キーを得るものである
ことを特徴とする機密データファイルの管理システム。 The system of claim 11, wherein
The confidential data file receiving means receives, as user information, at least one of login information to a proxy server and login information to a plurality of storage devices,
The secret data file management system, wherein the file name encryption means obtains a file name encryption key by calculating a hash value of the login information.
さらに、前記分散格納手段によるサブデータの分散格納処理が完了するまでに、前記機密データファイル受取手段でユーザの端末装置から受け取った機密データファイル、前記ファイル名暗号化手段が生成したファイル名暗号キー、前記ファイル分割手段が分割した3以上のサブデータ、及び前記ファイル内容暗号キー生成手段が生成したファイル内容暗号キーを、プロキシサーバの記憶装置から削除する手段を備えたことを特徴とする機密データファイルの管理システム。 The system of claim 11, comprising:
Further, the secret data file received from the terminal device of the user by the secret data file receiving means until the distributed storage processing of the sub data by the distributed storage means is completed, and the file name encryption key generated by the file name encrypting means Confidential data comprising means for deleting from the storage device of the proxy server the three or more sub-data divided by the file dividing means and the file content encryption key generated by the file content encryption key generating means File management system.
さらに、
1以上の記憶装置(A)に障害が発生した場合に、その記憶装置(A)に格納すべき機密データの追加、修正及び削除の情報(更新情報)を格納する更新情報格納部と、
前記記憶装置(A)が復帰した場合、若しくは代替の記憶装置(A')が設置された場合に、格納された更新情報を他の記憶装置(B、C・・・)に同期させて当該記憶装置(A又はA')に書き込む更新情報書込手段と
を備えたことを特徴とする機密データファイルの管理システム。 The system of claim 11, comprising:
further,
An update information storage unit that stores information (update information) on addition, correction, and deletion of confidential data to be stored in the storage device (A) when a failure occurs in one or more storage devices (A);
When the storage device (A) is restored or when an alternative storage device (A ′) is installed, the stored update information is synchronized with the other storage devices (B, C...) An update information writing means for writing to a storage device (A or A ′).
前記複数の記憶装置のうちの一部が、プロキシサーバ及び/若しくはユーザの端末装置に備えられていることを特徴とする機密データファイルの管理システム。 The system of claim 11, comprising:
A confidential data file management system, wherein a part of the plurality of storage devices is provided in a proxy server and / or a user terminal device.
内部ネットワークを介して、ユーザの端末装置から管理対象の機密データファイルを当該ユーザの情報と共に受け取る機密データファイル受取手段と、
受け取ったユーザ情報を使用してファイル名暗号キーを生成し、この暗号キーでファイル名を暗号化するファイル名暗号化手段と、
機密データファイルを3以上のサブデータに冗長的に分割するファイル分割手段と、
前記ファイル名暗号キーを利用してファイル内容暗号キーを生成するファイル内容暗号キー生成手段と、
前記分割した複数のサブデータを前記ファイル内容暗号キーによって夫々暗号化するファイル内容暗号化手段と、
外部ネットワークを介して、暗号化された複数のサブデータを暗号化されたファイル名に関連付けて前記複数のファイル記憶装置に夫々格納する分散格納手段と
を備えたことを特徴とするプロキシサーバ。 A proxy for a confidential data file management system in which one or more terminal devices used by a user are connected via an internal network and n (n ≧ 3) file storage devices are connected via an external network A server,
A confidential data file receiving means for receiving a confidential data file to be managed together with the user's information from the user's terminal device via the internal network;
A file name encryption means for generating a file name encryption key using the received user information and encrypting the file name with this encryption key;
File dividing means for redundantly dividing the confidential data file into three or more sub-data;
File content encryption key generating means for generating a file content encryption key using the file name encryption key;
File content encryption means for encrypting each of the plurality of divided sub-data with the file content encryption key;
A proxy server, comprising: a distributed storage unit that stores a plurality of encrypted sub-data in association with an encrypted file name in the plurality of file storage devices via an external network.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007087149A JP2008250369A (en) | 2007-03-29 | 2007-03-29 | Management method of secrete data file, management system and proxy server therefor |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2007087149A JP2008250369A (en) | 2007-03-29 | 2007-03-29 | Management method of secrete data file, management system and proxy server therefor |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2008250369A true JP2008250369A (en) | 2008-10-16 |
Family
ID=39975296
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2007087149A Pending JP2008250369A (en) | 2007-03-29 | 2007-03-29 | Management method of secrete data file, management system and proxy server therefor |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2008250369A (en) |
Cited By (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2010129028A (en) * | 2008-12-01 | 2010-06-10 | Nec Corp | Gateway server, system for managing file, file management method, and program |
WO2012053886A1 (en) * | 2010-10-20 | 2012-04-26 | Mimos Berhad | A method and system for file encryption and decryption in a server |
WO2012053885A1 (en) * | 2010-10-20 | 2012-04-26 | Mimos Berhad | A method for creating and verifying digital signature in a server |
US20140304503A1 (en) * | 2009-11-25 | 2014-10-09 | Security First Corp. | Systems and methods for securing data in motion |
JP2015035199A (en) * | 2013-07-11 | 2015-02-19 | エンクリプティア株式会社 | Data communication system, communication terminal device, and communication program |
JP2015097095A (en) * | 2010-03-31 | 2015-05-21 | セキュリティー ファースト コープ. | Systems and methods for securing data in motion |
US9906500B2 (en) | 2004-10-25 | 2018-02-27 | Security First Corp. | Secure data parser method and system |
JP2018120365A (en) * | 2017-01-24 | 2018-08-02 | 三菱スペース・ソフトウエア株式会社 | File relay device and file relay program |
US10140460B2 (en) | 2013-12-11 | 2018-11-27 | Mitsubishi Electric Corporation | File storage system and user terminal |
KR101985905B1 (en) * | 2019-03-05 | 2019-06-04 | 디지테크정보 주식회사 | System link method and linked system using thereof |
CN110795745A (en) * | 2019-10-14 | 2020-02-14 | 山东药品食品职业学院 | Information storage and transmission system based on server and method thereof |
CN111984605A (en) * | 2020-07-14 | 2020-11-24 | 浙江大华技术股份有限公司 | Small file management method, electronic equipment and storage device |
CN112231717A (en) * | 2019-07-15 | 2021-01-15 | 珠海金山办公软件有限公司 | Encrypted file name processing method and device, electronic equipment and storage medium |
JP2021124878A (en) * | 2020-02-04 | 2021-08-30 | 株式会社エムケイシステム | Electronic application assist method, electronic application assist system, program for electronic application assist system, and recording medium therefor |
CN116192529A (en) * | 2023-03-10 | 2023-05-30 | 广东堡塔安全技术有限公司 | Third party server safety management system |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004201038A (en) * | 2002-12-18 | 2004-07-15 | Internatl Business Mach Corp <Ibm> | Data storage device, information processing apparatus mounted therewith, and data processing method and program thereof |
JP2004302818A (en) * | 2003-03-31 | 2004-10-28 | Clarion Co Ltd | Hard disk device, information processing method and program |
JP2005209181A (en) * | 2003-12-25 | 2005-08-04 | Sorun Corp | File management system and management method |
JP2006228202A (en) * | 2005-01-21 | 2006-08-31 | Sorun Corp | Management method and management system of secret data |
-
2007
- 2007-03-29 JP JP2007087149A patent/JP2008250369A/en active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2004201038A (en) * | 2002-12-18 | 2004-07-15 | Internatl Business Mach Corp <Ibm> | Data storage device, information processing apparatus mounted therewith, and data processing method and program thereof |
JP2004302818A (en) * | 2003-03-31 | 2004-10-28 | Clarion Co Ltd | Hard disk device, information processing method and program |
JP2005209181A (en) * | 2003-12-25 | 2005-08-04 | Sorun Corp | File management system and management method |
JP2006228202A (en) * | 2005-01-21 | 2006-08-31 | Sorun Corp | Management method and management system of secret data |
Non-Patent Citations (1)
Title |
---|
JPN6010040913, Eu−Jin Goh, Hovav Shacham, Nagendra Modadugu, and Dan Boneh, "SiRiUS: Securing Remote Untrusted Storage", The 10th Annual Network and Distributed System Security Symposium, 20030206, US, Internet Society * |
Cited By (24)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9906500B2 (en) | 2004-10-25 | 2018-02-27 | Security First Corp. | Secure data parser method and system |
US9992170B2 (en) | 2004-10-25 | 2018-06-05 | Security First Corp. | Secure data parser method and system |
US11178116B2 (en) | 2004-10-25 | 2021-11-16 | Security First Corp. | Secure data parser method and system |
US9985932B2 (en) | 2004-10-25 | 2018-05-29 | Security First Corp. | Secure data parser method and system |
US9935923B2 (en) | 2004-10-25 | 2018-04-03 | Security First Corp. | Secure data parser method and system |
JP2010129028A (en) * | 2008-12-01 | 2010-06-10 | Nec Corp | Gateway server, system for managing file, file management method, and program |
US20140304503A1 (en) * | 2009-11-25 | 2014-10-09 | Security First Corp. | Systems and methods for securing data in motion |
US9516002B2 (en) * | 2009-11-25 | 2016-12-06 | Security First Corp. | Systems and methods for securing data in motion |
US9589148B2 (en) | 2010-03-31 | 2017-03-07 | Security First Corp. | Systems and methods for securing data in motion |
JP2015097095A (en) * | 2010-03-31 | 2015-05-21 | セキュリティー ファースト コープ. | Systems and methods for securing data in motion |
US10068103B2 (en) | 2010-03-31 | 2018-09-04 | Security First Corp. | Systems and methods for securing data in motion |
WO2012053885A1 (en) * | 2010-10-20 | 2012-04-26 | Mimos Berhad | A method for creating and verifying digital signature in a server |
WO2012053886A1 (en) * | 2010-10-20 | 2012-04-26 | Mimos Berhad | A method and system for file encryption and decryption in a server |
JP2015035199A (en) * | 2013-07-11 | 2015-02-19 | エンクリプティア株式会社 | Data communication system, communication terminal device, and communication program |
US10140460B2 (en) | 2013-12-11 | 2018-11-27 | Mitsubishi Electric Corporation | File storage system and user terminal |
JP2018120365A (en) * | 2017-01-24 | 2018-08-02 | 三菱スペース・ソフトウエア株式会社 | File relay device and file relay program |
KR101985905B1 (en) * | 2019-03-05 | 2019-06-04 | 디지테크정보 주식회사 | System link method and linked system using thereof |
CN112231717A (en) * | 2019-07-15 | 2021-01-15 | 珠海金山办公软件有限公司 | Encrypted file name processing method and device, electronic equipment and storage medium |
CN110795745A (en) * | 2019-10-14 | 2020-02-14 | 山东药品食品职业学院 | Information storage and transmission system based on server and method thereof |
JP2021124878A (en) * | 2020-02-04 | 2021-08-30 | 株式会社エムケイシステム | Electronic application assist method, electronic application assist system, program for electronic application assist system, and recording medium therefor |
JP7361384B2 (en) | 2020-02-04 | 2023-10-16 | 株式会社エムケイシステム | Electronic application assistance method, electronic application assistance system, electronic application assistance system program and its recording medium |
CN111984605A (en) * | 2020-07-14 | 2020-11-24 | 浙江大华技术股份有限公司 | Small file management method, electronic equipment and storage device |
CN116192529A (en) * | 2023-03-10 | 2023-05-30 | 广东堡塔安全技术有限公司 | Third party server safety management system |
CN116192529B (en) * | 2023-03-10 | 2023-09-29 | 广东堡塔安全技术有限公司 | Third party server safety management system |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP2008250369A (en) | Management method of secrete data file, management system and proxy server therefor | |
US20220131696A1 (en) | Secure file sharing method and system | |
US9825927B2 (en) | Systems and methods for securing data using multi-factor or keyed dispersal | |
US8321688B2 (en) | Secure and private backup storage and processing for trusted computing and data services | |
RU2531569C2 (en) | Secure and private backup storage and processing for trusted computing and data services | |
US7827403B2 (en) | Method and apparatus for encrypting and decrypting data in a database table | |
JP5663083B2 (en) | System and method for securing data in motion | |
US7721345B2 (en) | Data security system and method | |
US7792300B1 (en) | Method and apparatus for re-encrypting data in a transaction-based secure storage system | |
AU2008299852B2 (en) | Systems and methods for managing cryptographic keys | |
JP4729683B2 (en) | Data distribution storage device, data configuration management server, client terminal, and business consignment system including data distribution storage device | |
US20160103770A1 (en) | Tape backup method | |
US20090092252A1 (en) | Method and System for Identifying and Managing Keys | |
US20120331088A1 (en) | Systems and methods for secure distributed storage | |
US20140101438A1 (en) | Structure preserving database encryption method and system | |
BRPI0618725A2 (en) | secure data analyzer method and system | |
TW201947406A (en) | Data exchange group system and a method thereof | |
JP2006228202A (en) | Management method and management system of secret data | |
JP2000286831A (en) | Method for managing key recovery right, its system and program recording medium | |
AU2013219149B2 (en) | Systems and Methods for Managing Cryptographic Keys | |
JP7086163B1 (en) | Data processing system | |
WO2023119554A1 (en) | Control method, information processing device, and control program | |
Kumar et al. | Data security framework for data-centers | |
TW202105220A (en) | Private key managing system | |
EP3346414A1 (en) | Data filing method and system |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100720 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20110125 |