JP2010045670A - Network system - Google Patents
Network system Download PDFInfo
- Publication number
- JP2010045670A JP2010045670A JP2008209152A JP2008209152A JP2010045670A JP 2010045670 A JP2010045670 A JP 2010045670A JP 2008209152 A JP2008209152 A JP 2008209152A JP 2008209152 A JP2008209152 A JP 2008209152A JP 2010045670 A JP2010045670 A JP 2010045670A
- Authority
- JP
- Japan
- Prior art keywords
- information
- client terminal
- backup
- monitoring control
- encryption key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000012544 monitoring process Methods 0.000 claims abstract description 184
- 238000000034 method Methods 0.000 claims description 90
- 230000005540 biological transmission Effects 0.000 claims description 88
- 238000012545 processing Methods 0.000 claims description 52
- 206010048669 Terminal state Diseases 0.000 claims description 34
- 230000004044 response Effects 0.000 claims description 19
- 230000002441 reversible effect Effects 0.000 claims description 13
- 230000010076 replication Effects 0.000 claims description 10
- 238000004891 communication Methods 0.000 claims description 8
- 238000012790 confirmation Methods 0.000 description 40
- 230000004083 survival effect Effects 0.000 description 33
- 230000008569 process Effects 0.000 description 32
- 230000006870 function Effects 0.000 description 29
- 238000009826 distribution Methods 0.000 description 28
- 238000010586 diagram Methods 0.000 description 18
- 238000012546 transfer Methods 0.000 description 15
- 230000010354 integration Effects 0.000 description 13
- 239000011159 matrix material Substances 0.000 description 12
- 238000011084 recovery Methods 0.000 description 11
- 230000002159 abnormal effect Effects 0.000 description 10
- 238000005259 measurement Methods 0.000 description 10
- 238000004364 calculation method Methods 0.000 description 6
- 238000006467 substitution reaction Methods 0.000 description 6
- 230000008707 rearrangement Effects 0.000 description 4
- 230000000694 effects Effects 0.000 description 3
- 238000002360 preparation method Methods 0.000 description 3
- 239000006185 dispersion Substances 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 230000011218 segmentation Effects 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 238000006243 chemical reaction Methods 0.000 description 1
- 239000012141 concentrate Substances 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000006378 damage Effects 0.000 description 1
- 230000003111 delayed effect Effects 0.000 description 1
- 239000000463 material Substances 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000003362 replicative effect Effects 0.000 description 1
- 238000009827 uniform distribution Methods 0.000 description 1
Images
Abstract
Description
本発明は、ファイルバックアップ用のネットワークシステムに関し、特に、ディザスタリカバリ技術を用いて、バックアップファイルの復元に必要な情報の秘密分散技術に関する。 The present invention relates to a network system for file backup, and more particularly, to a secret sharing technique for information necessary for restoring a backup file using a disaster recovery technique.
現在、使用される社会インフラを構成するための各種システム構築に係る情報や各種の個人情報等のデータベース化が進んでいる。地方自治体や病院などの公共施設においても例外ではなく、住民の個人情報や医療情報といった各種のデータファイルを格納するデータベースを、災害時に迅速に復旧するためのバックアップが求められている。 Currently, a database of information related to the construction of various systems for constructing the social infrastructure to be used and various personal information is being developed. Public facilities such as local governments and hospitals are no exception, and a database for storing various data files such as personal information and medical information of residents is required to be backed up for quick recovery in the event of a disaster.
システムの障害がもたらす損失を減らすために、種々のバックアップシステムが提案されている。例えば、主及び副の2つのサイトを用意し、通信ネットワークを介して副サイトへデータファイルをバックアップするためのシステムや、GRID技術を用いて、大規模データファイルをバックアップするためのシステムである(例えば、特許文献1参照。)。
Various backup systems have been proposed to reduce the losses caused by system failures. For example, a system for preparing two main and secondary sites and backing up a data file to the secondary site via a communication network, or a system for backing up a large-scale data file using the GRID technology ( For example, see
一方、秘密情報分散の方式に関しては、Adi Shamirの(k,n)閾値秘密情報分散が知られている(例えば、非特許文献1参照。)。この方法は連立一次方程式を用いて次のように実現される。この方式では暗号鍵Kを秘密分散で配布することになる。 On the other hand, regarding the secret information sharing method, Adi Shamir's (k, n) threshold secret information sharing is known (for example, see Non-Patent Document 1). This method is realized as follows using simultaneous linear equations. In this method, the encryption key K is distributed by secret sharing.
まず初期設定として、十分大きな素数pに対して整数x1,x2,・・・,xn,K∈(Fp)*をランダムにとる。ここで、Kは暗号鍵である。また、Zを有理整数環として、Fp=Z/(p)、(Fp)*={x∈F|x≠0}とする。 First, as an initial setting, integers x1, x2,..., X n , K∈ (F p ) * are randomly taken for a sufficiently large prime p. Here, K is an encryption key. Also, let Z be a rational integer ring, and let F p = Z / (p), (F p ) * = {x∈F | x ≠ 0}.
次に、分散させる情報を作成する。ランダムにa1,a2,・・・,ak−1∈(Fp)*を選ぶ。多項式
最後に分散させた情報から暗号鍵Kの復元を行う。(i1,・・・,ik)のk人が集まって暗号鍵Kを復元する場合、次の連立一次方程式を解くと、K=a0として暗号鍵Kが復元される。
Shamirの方程式の特徴としては、大きなk,nに対しても閾値分散構造を定義できる。しかし素数pが200桁程度である場合、200桁の鍵Kに対する分散(xi,yi)は各400桁程度になるので、分散全体では400n桁のデータになる。また計算量も、数百桁の整数の連立一次方程式を解くので、O(k3)程度の演算回数を要し、リアルタイムに計算できるほど高速ではない。このため、データファイルのバックアップに用いることは、事実上不可能と考えられる。
従来のネットワークシステムでは、データファイルの復号に必要な情報が1台の監視制御装置に集中していた。そのため、監視制御装置に障害等が発生した場合の、当該情報の保全及びバックアップの方法を確立することが課題となる。また、悪意のある第三者が監視制御装置に侵入した場合には、データファイルの復号に必要な情報の漏洩及び破壊はもちろんのこと、バックアップ先に格納されている情報が復元される危険性も存在していた。 In a conventional network system, information necessary for decoding a data file is concentrated on one monitoring control device. Therefore, it becomes a problem to establish a method for maintaining and backing up the information when a failure or the like occurs in the monitoring control device. In addition, when a malicious third party intrudes into the monitoring and control device, there is a risk that information stored in the backup destination will be restored as well as leakage and destruction of information necessary for decrypting the data file Also existed.
そこで、本発明は、安全かつ高信頼性のファイルバックアップ用ネットワークシステムを構築することを目的とする。 Accordingly, an object of the present invention is to construct a safe and highly reliable network system for file backup.
上記目的を達成するために、本発明に係るネットワークシステムは、一台で構成されることを前提としていた監視制御装置に対して、データファイルの復号に必要な情報に応じて監視制御装置を分散配備することを特徴とする。機能分散化された監視制御装置のすべてが外部より侵入されない限り、データファイルの復元及び漏洩を防止することができる。 In order to achieve the above object, the network system according to the present invention distributes the monitoring control device according to the information necessary for decoding the data file, to the monitoring control device that is assumed to be configured as a single unit. It is characterized by deployment. As long as all the function-distributed supervisory control devices are not invaded from the outside, restoration and leakage of data files can be prevented.
具体的には、本発明に係るネットワークシステムは、少なくとも1つのマスターサーバと、複数の監視制御装置と、複数のクライアント端末と、が通信ネットワークを介して互いに接続されたネットワークシステムにおいて、
前記マスターサーバは、データファイルを第1の暗号鍵で暗号化し、暗号化した前記ファイルデータを複数の分割データに分割し、前記分割データを複製し、複製した前記分割データを第2の暗号鍵で暗号化して出力する秘匿化手段と、前記秘匿化手段の出力する暗号化済分割情報を前記複数のクライアント端末に送信する暗号化済分割情報送信手段と、前記第1の暗号鍵で暗号化した前記ファイルデータの分割から前記分割データを第2の暗号鍵で暗号化するまでの前記秘匿化手段の手順を記録したファイルシーケンス情報及び前記第1の暗号鍵をそれぞれ複製し、前記複数の監視制御装置のうちの異なる監視制御装置に送信する秘匿化情報送信手段と、を備え、
前記複数のクライアント端末は、前記暗号化済分割情報送信手段の送信する暗号化済分割情報を受信する暗号化済分割情報受信手段と、前記暗号化済分割情報受信手段の受信する前記暗号化済分割情報を格納する暗号化済分割情報格納手段と、を備え、
前記複数の監視制御装置は、前記秘匿化情報送信手段の送信する前記ファイルシーケンス情報又は前記第1の暗号鍵を受信する秘匿化情報受信手段と、前記秘匿化情報受信手段の受信する前記ファイルシーケンス情報又は前記第1の暗号鍵を格納する秘匿化情報格納手段と、を備えることを特徴とする。
Specifically, a network system according to the present invention is a network system in which at least one master server, a plurality of monitoring control devices, and a plurality of client terminals are connected to each other via a communication network.
The master server encrypts the data file with a first encryption key, divides the encrypted file data into a plurality of divided data, duplicates the divided data, and copies the duplicated divided data to a second encryption key. Encryption means for encrypting and outputting, encrypted division information transmission means for sending encrypted division information output by the anonymization means to the plurality of client terminals, and encryption using the first encryption key The file sequence information and the first encryption key, each of which records the procedure of the concealment means from the division of the file data to the encryption of the divided data with the second encryption key, are copied, and the plurality of monitoring A concealment information transmitting means for transmitting to a different monitoring control device among the control devices,
The plurality of client terminals include an encrypted division information receiving unit that receives the encrypted division information transmitted by the encrypted division information transmission unit, and the encrypted unit that is received by the encrypted division information reception unit. Encrypted division information storage means for storing division information, and
The plurality of monitoring control devices include: a concealment information receiving unit that receives the file sequence information or the first encryption key transmitted by the concealment information transmitting unit; and the file sequence received by the concealment information receiving unit. And concealment information storage means for storing information or the first encryption key.
データファイルを秘匿化して複数のクライアント端末に分散配備し、さらに、ファイルシーケンス情報及び第1の暗号鍵をそれぞれ異なる監視制御装置が格納するので、それぞれの監視制御装置が外部より侵入されない限り、データファイルの復元及び漏洩を防止することができる。また、秘匿化情報送信手段を備えることで、ファイルシーケンス情報及び第1の暗号鍵が、1台の監視制御装置又は1つの地域に集中しないように論理的に分散配備することができる。マスターサーバだけでなく監視制御装置も被災した場合であっても、被災していないクライアント端末及び監視制御装置に格納されている情報を収集することで、データファイルを復元することができる。 Since the data file is concealed and distributed to a plurality of client terminals, and the file sequence information and the first encryption key are stored in different monitoring control devices, the data is stored unless each monitoring control device is intruded from the outside. File restoration and leakage can be prevented. Further, by providing the concealment information transmitting means, the file sequence information and the first encryption key can be logically distributed and deployed so as not to concentrate on one monitoring control device or one area. Even when not only the master server but also the monitoring control device is damaged, the data file can be restored by collecting information stored in the client terminal and the monitoring control device that are not damaged.
本発明に係るネットワークシステムでは、前記監視制御装置と通信ネットワークを介して接続された複数のバックアップ装置をさらに備え、
前記監視制御装置は、前記秘匿化情報格納手段の格納する前記ファイルシーケンス情報又は前記第1の暗号鍵を、複数に分割して互いに可逆演算することで一体化し、秘密分散法を用いて複数のバックアップ情報に分散させる秘密分散処理手段と、前記秘密分散処理手段からの前記バックアップ情報を、前記複数のバックアップ装置のうちの異なるバックアップ装置に送信するバックアップ情報送信手段と、をさらに備え、
前記バックアップ装置は、前記バックアップ情報送信手段の送信する前記バックアップ情報を受信するバックアップ情報受信手段と、前記バックアップ情報受信手段の受信する前記バックアップ情報を格納するバックアップ情報格納手段と、をさらに備え、
前記秘密分散法は、前記秘密分散化情報送信手段が前記秘密分散化情報を送信する前記バックアップ装置の数をnとし、前記ファイルシーケンス情報又は前記第1の暗号鍵を復元するために必要な前記バックアップ装置の数をkとした場合に、完全置換系の表S(k,n,d)が、完全置換系の表S(k−1,n−1,d)の第n列に0を追加した表、及び、完全置換系の表S(k,n−1,d)の第n列に1を追加した表で表されることが好ましい。
The network system according to the present invention further comprises a plurality of backup devices connected to the monitoring control device via a communication network,
The monitoring control device integrates the file sequence information stored in the concealment information storage unit or the first encryption key by dividing the file sequence information into a plurality of pieces and performing a reversible calculation on each other, and using a secret sharing method Secret sharing processing means for distributing the backup information, and backup information transmitting means for transmitting the backup information from the secret sharing processing means to a different backup device among the plurality of backup devices,
The backup device further comprises backup information receiving means for receiving the backup information transmitted by the backup information transmitting means, and backup information storage means for storing the backup information received by the backup information receiving means,
In the secret sharing method, the number of backup devices to which the secret sharing information transmitting means transmits the secret sharing information is n, and the file sequence information or the first encryption key required to restore the file When the number of backup devices is k, the completely substituted table S (k, n, d) is set to 0 in the nth column of the completely substituted table S (k-1, n-1, d). It is preferable that the added table and the table in which 1 is added to the n-th column of the completely substituted table S (k, n-1, d).
また、監視制御装置のバックアップを行う際に、一体化及び秘密分散法を組み合わせて秘密情報分散し、機能的には同等である複数台の監視制御装置に対して、同時に分散配備を行うことにより、監視制御装置自体のバックアップ機能を実現することができる。この場合、同時に複数台の監視制御装置に侵入されない限りは、ファイルシーケンス情報及び第1の暗号鍵が漏洩することを防止でき、ネットワークシステムの安全性を飛躍的に向上させることができる。
さらに、本発明による秘密分散法は完全置換系の表S(k,n)を再帰的に求められるので、演算回数が少なく高速処理が可能である。このため、データファイルのバックアップにおいて実用可能な秘密情報分散法を提供することができる。さらに、演算負荷の少ない一体化処理を組み合わせることで、演算負荷が少なくかつ安全性の高い情報の秘匿化が可能となる。
Also, when backing up supervisory control devices, secret information is distributed by combining integration and secret sharing methods, and distributed deployment is simultaneously performed on multiple supervisory control devices that are functionally equivalent. The backup function of the monitoring control device itself can be realized. In this case, the file sequence information and the first encryption key can be prevented from leaking as long as they are not invaded into a plurality of monitoring control devices at the same time, and the security of the network system can be greatly improved.
Furthermore, since the secret sharing method according to the present invention can recursively obtain the completely permuted table S (k, n), the number of operations is small and high-speed processing is possible. For this reason, it is possible to provide a secret information distribution method that can be used in the backup of data files. Furthermore, it is possible to conceal information with a low calculation load and high safety by combining an integrated process with a low calculation load.
本発明に係るネットワークシステムでは、前記マスターサーバは、前記ファイルシーケンス情報を、複数に分割して互いに可逆演算することで一体化し、かつ、秘密分散法を用いて分散させるファイルシーケンス秘密分散処理手段と、前記第1の暗号鍵を、複数に分割して互いに可逆演算することで一体化し、かつ、秘密分散法を用いて分散させる暗号鍵秘密分散処理手段と、をさらに備え、
前記秘匿化情報送信手段は、前記ファイルシーケンス秘密分散処理手段及び前記暗号鍵秘密分散処理手段からの前記ファイルシーケンス情報及び前記第1の暗号鍵を送信し、
前記秘密分散法は、前記バックアップ装置の数をnとし、前記ファイルシーケンス情報又は前記第1の暗号鍵を復元するために必要な前記バックアップ装置の数をkとした場合に、完全置換系の表S(k,n,d)が、完全置換系の表S(k−1,n−1,d)の第n列に0を追加した表、及び、完全置換系の表S(k,n−1,d)の第n列に1を追加した表で表されることが好ましい。
In the network system according to the present invention, the master server includes a file sequence secret sharing processing unit that divides the file sequence information into a plurality of pieces and integrates them by performing a reversible operation with each other, and distributes the file sequence information using a secret sharing method. The first encryption key is further divided into a plurality of pieces and integrated by performing reversible operations on each other, and further comprising encryption key secret sharing processing means for distributing using the secret sharing method,
The concealment information transmitting means transmits the file sequence information and the first encryption key from the file sequence secret sharing processing means and the encryption key secret sharing processing means,
In the secret sharing method, when the number of the backup devices is n and the number of the backup devices necessary for restoring the file sequence information or the first encryption key is k, the table of the complete replacement system is used. S (k, n, d) is a table in which 0 is added to the n-th column of the fully substituted table S (k-1, n-1, d), and a completely substituted table S (k, n) -1, d) is preferably represented by a table in which 1 is added to the n-th column.
ファイルシーケンス情報及び第1の暗号鍵のバックアップを行う際に、一体化及び秘密分散法を組み合わせて秘密情報分散し、機能的には同等である複数台の監視制御装置に対して、同時に分散配備を行うことにより、監視制御装置自体で、バックアップ機能を実現することができる。この場合、同時に複数台の監視制御装置に侵入されない限りは、ファイルシーケンス情報及び第1の暗号鍵の漏洩によりデータファイルが漏洩することを防止でき、ネットワークシステムの安全性を飛躍的に向上させることができる。 When backing up the file sequence information and the first encryption key, the secret information is distributed by combining the integration and secret sharing methods, and distributed and deployed simultaneously to multiple monitoring and control devices that are functionally equivalent. By performing the above, a backup function can be realized by the monitoring control device itself. In this case, it is possible to prevent the data file from being leaked due to the leakage of the file sequence information and the first encryption key as long as they are not invaded into a plurality of monitoring control devices at the same time, and dramatically improve the security of the network system. Can do.
本発明に係るネットワークシステムでは、前記監視制御装置は、前記クライアント端末の状態を示すクライアント端末状態情報の送信を要求するクライアント端末状態報告要求を、前記複数のクライアント端末に送信するクライアント端末状態報告要求送信手段と、前記クライアント端末から送信された前記クライアント端末状態情報を受信するクライアント端末状態情報受信手段と、クライアント端末状態情報受信手段の受信する前記クライアント端末状態情報、及び、前記クライアント端末状態報告要求を送信してから前記クライアント端末状態情報を受信するまでの応答時間に基づいて、前記クライアント端末との間のスループットを測定するスループット等測定手段と、クライアント端末状態情報受信手段の受信する前記クライアント端末状態情報及び前記スループット等測定手段の測定したスループットをクライアント端末リストとして前記マスターサーバに送信するクライアント端末リスト送信手段と、をさらに備え、
前記クライアント端末は、前記クライアント端末状態報告要求送信手段の送信するクライアント端末状態報告要求を受信すると、クライアント端末の状態を検出してクライアント端末状態情報を出力するリソース情報伝達手段と、前記リソース情報伝達手段の出力するクライアント端末状態情報を、前記監視制御装置へ送信するクライアント端末状態情報送信手段と、を備え、
前記マスターサーバは、前記クライアント端末リスト送信手段の送信するクライアント端末リストに基づいて、前記秘匿化手段における分割数及び複製数を決定する分割複製数決定手段と、前記クライアント端末リスト送信手段の送信するクライアント端末リストに基づいて、前記暗号化済分割情報送信手段における前記暗号化済分割情報を送信する前記クライアント端末を決定する送信先決定手段と、をさらに備え、前記秘匿化手段は、前記分割複製数決定手段の決定する分割数及び複製数に分割及び複製し、前記暗号化済分割情報送信手段は、前記送信先決定手段の決定する前記クライアント端末に前記暗号化済分割情報を送信することが好ましい。
In the network system according to the present invention, the monitoring control device transmits a client terminal status report request for requesting transmission of client terminal status information indicating the status of the client terminal to the plurality of client terminals. A client terminal status information receiving means for receiving the client terminal status information transmitted from the client terminal; a client terminal status information received by the client terminal status information receiving means; and the client terminal status report request. A means for measuring the throughput between the client terminal and the client received by the client terminal status information receiving means based on a response time from when the client terminal status information is received to when the client terminal status information is received Further comprising a client terminal list transmitting means for transmitting to the master server the measured throughput of the terminal status information and the throughput or the like measuring device as a client terminal list, and
When the client terminal receives the client terminal status report request transmitted by the client terminal status report request transmitting means, the client terminal detects the status of the client terminal and outputs client terminal status information; and the resource information transmission Client terminal status information transmitting means for transmitting the client terminal status information output by the means to the monitoring control device,
The master server, based on a client terminal list transmitted by the client terminal list transmission unit, transmits a divisional copy number determination unit that determines a division number and a copy number in the concealment unit, and the client terminal list transmission unit transmits Further comprising: a transmission destination determination unit that determines the client terminal that transmits the encrypted division information in the encrypted division information transmission unit based on a client terminal list, and the concealment unit includes the division duplication Dividing and replicating into the number of divisions and the number of copies determined by the number determining means, and the encrypted division information transmitting means transmits the encrypted division information to the client terminal determined by the transmission destination determining means. preferable.
本発明により、監視制御装置は、データを試験的に送受信し、災害時のバックアップを効率的に行うためのクライアント端末群の優先順位を推定し、マスターサーバへ通知することができる。マスターサーバは、この情報を基に、あて先クライアント端末群及びクライアント端末を決定することで、ファイルデータのバックアップ時間の短縮化を行うことができる。また、地理的に均等に選択することにより地域分散させ、かつ、分散化された監視制御装置内のデータベースを、より安全にかつ高信頼性のある形態で保護することができる。 According to the present invention, the monitoring and control apparatus can transmit and receive data on a trial basis, estimate the priority order of client terminal groups for efficiently performing backup at the time of a disaster, and notify the master server. The master server can shorten the backup time of the file data by determining the destination client terminal group and the client terminal based on this information. In addition, it is possible to protect the database in the distributed monitoring and control apparatus in a safer and more reliable form by distributing geographically by selecting geographically equally.
本発明によれば、データファイルについては暗号化を行った後に分散配備し、データファイルの復号に必要な情報については情報の内容に応じて機能分散配備するので、一体化と暗号化又は秘密分散を組み合わせて分散配備するので、安全かつ高信頼性のファイルバックアップ用ネットワークシステムを構築することができる。 According to the present invention, the data file is distributed after being encrypted, and the information necessary for decrypting the data file is distributed according to the content of the information. Since these are distributed in combination, a safe and highly reliable file backup network system can be constructed.
添付の図面を参照して本発明の実施の形態を説明する。以下に説明する実施の形態は本発明の構成の例であり、本発明は、以下の実施の形態に制限されるものではない。
(実施形態1)
図1は、本実施形態に係るネットワークシステムの構成概略図である。本実施形態に係るネットワークシステムは、複数のクライアント端末10と、マスターサーバ20と、複数の監視制御装置30a、30b、30cと、複数のバックアップ装置40a、40b、40cと、を備え、互いに通信ネットワークで接続されている。本実施形態では、理解を容易にするため、図1ではクライアント端末10を1つのみ記載し、他を省略した。また、3つの監視制御装置30a、30b、30cの例について説明するが、監視制御装置は2つ以上のいずれであってもよい。
Embodiments of the present invention will be described with reference to the accompanying drawings. The embodiment described below is an example of the configuration of the present invention, and the present invention is not limited to the following embodiment.
(Embodiment 1)
FIG. 1 is a schematic configuration diagram of a network system according to the present embodiment. The network system according to the present embodiment includes a plurality of
本実施形態に係るネットワークシステムは、監視制御装置30a、30b、30cが機能別に分割されている。また、クライアント端末10の識別情報及び生存確認情報の格納されるデータベース、マスターサーバの記憶するデータファイルが暗号化される際に使用される第1の暗号鍵が格納されるデータベース、データファイルの暗号化後に、更に複数のファイルに分割して各々の分割ファイルに対して使用される第2の暗号鍵の格納されるデータベース等のデータベースを、監視制御装置30a、30b、30cをアクセス可能な端末から、ネットワークを通じてアクセスする手段を用い、複数の異なる地域に設置されたバックアップ装置40a、40b、40cに、データベース毎に分離し、かつ、複数の地域に設置されたバックアップ装置40a、40b、40cに冗長に複製して、転送することにより、監視制御装置側で必要となるデータベースの情報を、機能分散的に配備することを特徴とする。
In the network system according to the present embodiment, the
マスターサーバ20は、ファイルデータを秘匿化して暗号化済分割情報を生成し、複数のクライアント端末10に送信する。そして、マスターサーバ20は、秘匿化に関する情報を異なる監視制御装置30a及び30bに送信する。例えば、第1の暗号鍵を監視制御装置30aに、ファイルシーケンス情報を監視制御装置30bに送信する。第1の暗号鍵及びファイルシーケンス情報は、ファイルデータの復元のために必要な情報であるため、機能分散配備することで、安全性を高めることができる。
The
クライアント端末10は、マスターサーバ20からの暗号化済分割情報を受信し、格納する。災害復旧の迅速のため、複数のクライアント端末10は、地域的に分散していることが好ましい。そして、クライアント端末10は、生存確認情報及び自己の識別情報を、監視制御装置30cに送信することが好ましい。
The
複数の監視制御装置30a、30b、30cは、ファイルデータの復元のために必要な情報を受信して格納する。例えば、監視制御装置30aは、第1の暗号鍵を受信して格納する。監視制御装置30bは、ファイルシーケンス情報を受信して格納する。
The plurality of
また、複数の監視制御装置30a、30b、30cのうちの少なくとも1つの監視制御装置30cは、生存確認情報及び識別情報を、クライアント端末10から受信し、格納している。生存確認情報及び識別情報は、専門の監視制御装置30cが行うことが好ましい。さらに、監視制御装置30a、30b、30cは、秘匿化に関する情報を、バックアップ装置40a、40b、40cに分散して格納する。
In addition, at least one
複数のバックアップ装置40a、40b、40cは、監視制御装置30a、30b、30cに格納されている情報の複製を格納する。災害復旧の迅速のため、バックアップ装置40a、40b、40cは、それぞれ、複数の監視制御装置30a、30b、30cと地理的に異なる地域に配置されることが好ましい。
The plurality of
ここで、システムの安全のため、いずれのバックアップ装置40a、40b、40cにも、複数の監視制御装置30a、30b、30cに格納されている全ての情報が揃わないようになっていることが好ましい。例えば、バックアップ装置40aは、監視制御装置30aに格納されている情報の一部の複製と、監視制御装置30bに格納されている情報の一部の複製を、格納する。バックアップ装置40bは、監視制御装置30aに格納されている情報の一部の複製と、監視制御装置30cに格納されている情報の一部の複製を、格納する。バックアップ装置40cは、監視制御装置30bに格納されている情報の一部の複製と、監視制御装置30cに格納されている情報の一部の複製を、格納する。なお、各々の監視制御装置30a、30b、30cは、通信ネットワーク100を介して、複数のバックアップ装置40a、40b、40cのうちの少なくとも2つにより情報のバックアップが実施される例を示しているが、この例に限定されるものではなく、3つ以上のバックアップ装置により情報のバックアップが実施されてもよい。
Here, for the safety of the system, it is preferable that none of the information stored in the plurality of
マスターサーバ20が監視制御装置30a、30b、30cに送信する情報は、秘匿化情報送信手段(図2の符号24)を用いて、それぞれに該当する各種情報が、監視制御装置30a及び30bに向けて機能分散して転送され、かつ、配備される。なお、暗号化済分割情報は、暗号化済分割情報送信手段(図2の符号23)を用いて、クライアント端末10に転送され、その後、当該クライアント端末10からは、生存確認情報送信手段(図3の符号13)を用いて、当該クライアント端末10の生存確認情報を格納するための専用の監視制御装置30に転送され、ここで格納及び保持される。
The information transmitted by the
監視制御装置30aは、マスターサーバ20から秘匿化情報として第1の暗号鍵を受信し、監視制御装置30bはマスターサーバ20から秘匿化情報としてファイルシーケンス情報を受信する。監視制御装置30cはクライアント端末10から生存確認情報を受信する。クライアント端末10に分散配備された重要情報を回収した後に結合し、復号するためには、生存確認情報、ファイルシーケンス情報、第1の暗号鍵すべてがそろう必要があるため、3台の監視制御装置30a、30b、30cに保持されているデータベースのすべてにアクセスができない限り、当該重要情報の漏洩は起こらない。
The
データベースの複製を作成する手段としては、監視制御装置を、例えば2倍又は3倍に増設し、完全に同一機能単位で、同一のデータベース内容を保持する装置を、複数台設置する方法も考えられる。又は、当該データベースのバックアップ装置40a、40b、40cを、地理的に異なる地域に、複数台配備し、監視制御装置30a、30b、30cのデータベースの複製を実現する方法も考えられる。図1は、3台の監視制御装置30a、30b、30cに対して、3台のバックアップ装置40a、40b、40cを配備し、データベースのバックアップを、1台の監視制御装置30aに対して少なくとも2つのバックアップ装置40a、40b、1台の監視制御装置30bに対して少なくとも2つのバックアップ装置40a、40cを組み合わせて活用して実現するとともに、いずれのバックアップ装置40a、40b、40cにも、監視制御装置30a、30b、30cのデータベースが、すべてはそろわないように割り当てる。
As a means for creating a replica of the database, for example, a method of increasing the number of monitoring control devices, for example, twice or three times, and installing a plurality of devices that hold the same database contents in completely the same functional unit is also conceivable. . Alternatively, a method is also conceivable in which a plurality of
次に、各構成の詳細について、図1、図2、図3、図4、図5及び図6を用いて説明する。図2、図3、図4、図5及び図6は、それぞれ、本実施形態に係るマスターサーバ、クライアント端末、監視制御装置及びバックアップ装置の一例を示す概略構成図である。 Next, details of each configuration will be described with reference to FIGS. 1, 2, 3, 4, 5, and 6. 2, 3, 4, 5, and 6 are schematic configuration diagrams illustrating examples of a master server, a client terminal, a monitoring control device, and a backup device according to the present embodiment, respectively.
図2に示すマスターサーバ20は、情報格納手段21と、秘匿化手段22と、暗号化済分割情報送信手段と23、秘匿化情報送信手段24と、を備える。
The
情報格納手段21は、ファイルデータ、第1の暗号鍵、第2の暗号鍵、識別情報、ファイルシーケンス情報を格納する。ここで、ファイルシーケンス情報は、データファイルを復元するために必要な情報であり、例えば、分割手段22−3、複製手段22−4及び第2暗号化手段22−5の実行手順の記録である。ファイルシーケンス情報は、秘匿化手段22全体での実行手順の記録であってもよい。さらに、暗号化済分割情報送信手段23の実行手順の記録が組み合わせられていてもよい。上記実行手順の記録は、各構成がログとして出力する。例えば、分割手段22−3を用いて作成された分割情報、複製手段22−4を用いて作成された複製情報、第2暗号化手段22−5に使用された第2の暗号鍵、および暗号化済分割情報送信手段23が暗号化済分割情報を送信したクライアント端末の識別情報を組み合わせた情報である。本実施形態では一例として、監視制御装置に分散させる情報を第1の暗号鍵とファイルシーケンス情報として説明する。
The
秘匿化手段22は、情報格納手段21から読出したデータファイルを第1の暗号鍵で暗号化し、暗号化したファイルデータを複数に分割して互いに可逆演算することで一体化し、一体化したファイルデータを複数の分割データに分割し、分割データを複製し、複製した分割データを第2の暗号鍵で暗号化して、暗号化済分割情報を生成し、出力する。ここで、分割数及び複製数は、予め定められていてもよいし、ファイルデータの容量などに応じて異なる数であってもよい。第1の暗号鍵及び第2の暗号鍵は、情報格納手段21から読出してもよいし各暗号化手段にて生成してもよい。そして、暗号化済分割情報送信手段23は、秘匿化手段22の出力する暗号化済分割情報を複数のクライアント端末10に送信する。
The
秘匿化手段22は、例えば、第1の暗号化手段22−1と、一体化手段22−2と、分割手段22−3と、複製手段22−4と、第2の暗号化手段22−5と、を備える。この場合、第1の暗号化手段22−1は、データファイルを第1の暗号鍵で暗号化する。一体化手段22−2は、第1の暗号化手段22−1からのファイルデータを複数に分割して互いに可逆演算することで一体化する。分割手段22−3は、一体化手段22−2からのファイルデータを分割する。複製手段22−4は、分割手段22−3からの分割データを複製する。第2の暗号化手段22−5は、複製手段22−4からの複製した分割データを第2の暗号鍵で暗号化して、暗号化済分割情報を出力する。
The
図3は、マスターサーバの秘匿化手段の別の一例を示す概略構成図である。図3に示す秘匿化手段22では、一体化手段22−2を省略している。一般には秘匿化手段22が一体化手段22−2を備えることが好ましいが、第1の暗号化手段22−1で用いる第1の暗号鍵の強度が十分の場合には一体化手段22−2を省略してもよい。一体化手段22−2を省略することで処理速度を向上させることが可能である。この場合、秘匿化情報送信手段24は、第1の暗号鍵で暗号化したファイルデータの分割から分割データを第2の暗号鍵で暗号化するまでの秘匿化手段22の手順を記録したファイルシーケンス情報及び第1の暗号鍵を複製し、それぞれ複数の監視制御装置のうちの異なる監視制御装置に送信する。
FIG. 3 is a schematic configuration diagram illustrating another example of the concealment unit of the master server. In the concealment means 22 shown in FIG. 3, the integration means 22-2 is omitted. In general, it is preferable that the
秘匿化情報送信手段24は、一体化したファイルデータの分割から分割データを第2の暗号鍵で暗号化するまでの秘匿化手段22の手順を記録したファイルシーケンス情報及び第1の暗号鍵を複製し、それぞれ複数の監視制御装置のうちの異なる監視制御装置に送信する。ファイルシーケンス情報は、秘匿化手段22がデータファイルに行った秘匿化の手順の一覧であり、例えば、分割手段22−3、複製手段22−4、及び、第2の暗号化手段22−5のログである。
The concealment
図4に示すクライアント端末10は、暗号化済分割情報受信手段11と、情報格納手段12と、生存確認情報送信手段13と、を備える。暗号化済分割情報受信手段11は、暗号化済分割情報送信手段23の送信する暗号化済分割情報を受信する。情報格納手段12は、暗号化済分割情報格納手段としての機能を有する。暗号化済分割情報格納手段は、暗号化済分割情報受信手段11の受信する暗号化済分割情報を格納する。生存確認情報送信手段13は、クライアント端末10が稼動状態にあることを示す生存確認情報を、マスターサーバ20に送信する。
ここで、生存確認情報は、クライアント端末10が稼動状態にあることを示す情報である。「生存確認情報」の具体例としては、たとえば、監視制御装置30a、30b、30cが、UDPまたはTCP等のプロトコルを用い、宛先クライアント端末10への問い合わせ情報として、自信のIPアドレスとポート番号とを、宛先クライアント端末10へ通知した時には、宛先クライアント端末10は上記のアドレス情報を確認後に、予め、監視制御装置30a、30b、30cの中に登録されている、当該の宛先クライアント端末10のIPアドレスと、ポート番号とが、規定の時間内に返送されることにより、当該の宛先クライアント端末10が、正常に稼働している旨を監視制御装置30a、30b、30cが認識できる。この動作により、宛先クライアント端末の「生存確認」が実現できる。なお、宛先クライアント端末のクライアントプログラムは、監視制御装置30a、30b、30cへの応答時に、データ情報として、例えば、特定の文字列「KEEP Alive」や「IPアドレス」「ポート番号」等をメッセージの一部として含めるように構成することも同様に可能である。
The
Here, the survival confirmation information is information indicating that the
図5に示す監視制御装置30は、情報格納手段32にデータベースを格納し、ファイルシーケンス情報又は第1の暗号鍵をマスターサーバ20より受信する機能、及び受信したファイルシーケンス情報又は第1の暗号鍵を、データベースの複製を作成したバックアップ情報を送信する機能を備える。具体的には、監視制御装置30は、情報受信手段31と、情報格納手段32と、情報送信手段33と、を備える。
The
情報受信手段31は、秘匿化情報受信手段としての機能を有する。秘匿化情報受信手段は、秘匿化情報送信手段24の送信するファイルシーケンス情報又は第1の暗号鍵を受信する機能である。また、生存確認情報送信手段13の送信する生存確認情報を受信する。情報格納手段32は、秘匿化情報格納手段としての機能を有する。秘匿化情報格納手段は、情報受信手段31の受信するファイルシーケンス情報又は第1の暗号鍵を格納する機能である。また、情報格納手段32の受信する生存確認情報を格納する。情報送信手段33は、バックアップ情報送信手段としての機能を有する。バックアップ情報送信手段は、情報格納手段32の格納する秘匿化情報を、複数のバックアップ装置40に送信する機能である。
The
例えば、図1に示す監視制御装置30aであれば、情報受信手段31、情報格納手段32及び情報送信手段33は、それぞれ、第1の暗号鍵を、受信し、格納し、送信する。監視制御装置30bであれば、情報受信手段31、情報格納手段32及び情報送信手段33は、それぞれ、ファイルシーケンス情報を、受信し、格納し、送信する。監視制御装置30cであれば、情報受信手段31、情報格納手段32及び情報送信手段33は、それぞれ、生存確認情報を、受信し、格納し、送信する。
For example, in the
図6に示すバックアップ装置40は、監視制御装置30からデータベースのバックアップ情報を受信する機能と、バックアップ情報をデータベースに反映させる機能と、監視制御装置30からのデータベースのバックアップ情報を受信する機能と、バックアップ情報をデータベースに反映させる機能を備える。そして、複数の監視制御装置30a、30b、30cに格納されている情報のうちの一部、例えば2台の情報をバックアップする。具体的には、バックアップ装置40は、バックアップ情報受信手段41−1及び41−2と、バックアップ情報格納手段42−1及び42−2と、を備える。
The
バックアップ情報受信手段41−1及び41−2は、それぞれ、複数の監視制御装置30a、30b、30cから送信された異なる秘匿化情報を受信する。バックアップ情報格納手段42−1及び42−2は、それぞれ、バックアップ情報受信手段41−1及び41−2の受信する秘匿化情報を格納する。バックアップ情報格納手段41−1及び41−2は、共通の構成としてもよい。バックアップ情報格納手段42−1及び42−2は、2つのデータベースを格納する共通の情報格納手段としてもよい。
The backup information receiving units 41-1 and 41-2 receive different concealment information transmitted from the plurality of
例えば、図1に示す監視制御装置30aであれば、バックアップ情報受信手段41−1及びバックアップ情報格納手段42−1は、それぞれ、第1の暗号鍵を、受信し、格納する。バックアップ情報受信手段41−2及びバックアップ情報格納手段42−2は、それぞれ、ファイルシーケンス情報を、受信し、格納する。監視制御装置30bであれば、バックアップ情報受信手段41−1及びバックアップ情報格納手段42−1は、それぞれ、第1の暗号鍵を、受信し、格納する。バックアップ情報受信手段41−2及びバックアップ情報格納手段42−2は、それぞれ、生存確認情報を、受信し、格納する。監視制御装置30cであれば、バックアップ情報受信手段41−1及びバックアップ情報格納手段42−1は、それぞれ、ファイルシーケンス情報を、受信し、格納する。バックアップ情報受信手段41−2及びバックアップ情報格納手段42−2は、それぞれ、生存確認情報を、受信し、格納する。
For example, in the case of the
上述した構成例では、マスターサーバ20から送信された第1の暗号鍵は、まず、監視制御装置30aが受信し、監視制御装置30a内の情報格納手段32に格納されているデータベースが更新された後に、データベースの複製を作成するためのバックアップ情報を作成して、バックアップ装置40aとバックアップ装置40bに送信する。監視制御装置30aのデータベースのバックアップ情報を受信したバックアップ装置40aは、その情報を基に、バックアップ情報格納手段42−1のデータベースを更新する。同様に、監視制御装置30aのデータベースのバックアップ情報を受信したバックアップ装置40bは、その情報を基に、バックアップ情報格納手段42−1のデータベースを更新する。
In the configuration example described above, the first encryption key transmitted from the
上述したデータベースの更新処理は、マスターサーバ20からファイルシーケンス情報を監視制御装置30bが受信した場合、及び、クライアント端末10からの生存確認情報を監視制御装置30cが受信した場合にも、同様に実施される。これら一連の処理の結果、第1の暗号鍵、ファイルシーケンス情報及び生存確認情報は、3台の監視制御装置30a、30b、30cと3台のバックアップ装置40a、40b、40cを活用する場合においては、監視制御装置30a、30b、30cとバックアップ装置40a、40b、40cの情報共有関係は次のようになる。監視制御装置30aが第1の暗号鍵を格納し、監視制御装置30bがファイルシーケンス情報を格納し、監視制御装置30cが生存確認情報を格納する。バックアップ装置40aが第1の暗号鍵及びファイルシーケンス情報を格納し、バックアップ装置40bが第1の暗号鍵及び生存確認情報を格納し、バックアップ装置40cがファイルシーケンス情報及び生存確認情報を格納する。
The database update process described above is performed in the same manner when the file control information is received by the
上記の情報共有関係により、個々の情報は、監視制御装置30a、30b、30c及びバックアップ装置40a、40b、40cの中の3台に分散配備されているため、任意の2台が損壊した場合においても、重要情報を完全に回復することが可能となる。
また、上記の例では、悪意のある第三者の侵入等に対しても、監視制御装置30a、30b、30cは、重要情報のバックアップに係る必要情報を1種類持ち、バックアップ装置は、必要情報を2種類もつだけなので、監視制御装置30a、30b、30c又はバックアップ装置40a、40b、40cのいずれか1台に侵入された場合でも、クライアント端末10に分散配備された重要情報が漏洩する危険性を回避することができる。
Due to the information sharing relationship described above, individual information is distributed and distributed to three of the
In the above example, the
(実施形態2)
本実施形態に係るネットワークシステムは、図1に示すネットワークシステムにおいて、監視制御装置30a、30b、30cの格納するファイルシーケンス情報及び第1の暗号鍵を、監視制御装置30a、30b、30cから、通信ネットワーク100を通じてアクセスする手段を用い、一体化処理及び秘密分散法を用いて複数の秘密分散情報に変換した後、一つ一つの秘密分散情報を異なる地域に設置された、一つ若しくは複数を組み合わせたバックアップ装置40a、40b、40cに転送することにより、監視制御装置30a、30b、30c側で復元に必要となるデータベース情報を、閾値秘密分散配備することを特徴とする。例えば、図1において、監視制御装置30aに格納されているデータベースを(2,3)閾値秘密情報分散処理により3個の秘密分散情報を生成し、3台別々のバックアップ装置40a、40b、40cにバックアップする。
(Embodiment 2)
The network system according to the present embodiment communicates the file sequence information and the first encryption key stored in the
ここで、(2,3)閾値秘密情報とは、3台のうち任意の2台が正常であれば、監視制御装置30aに格納されているデータベースのバックアップが完全に表現されているときの表記法を意味している。本実施形態では、(2,3)閾値秘密情報分散処理の例を示すが、この場合に限定されるものではないことは言うまでもない。たとえば、(k,n)閾値秘密情報分散処理において、nは任意であり、kもn以下の任意の整数とすることができる。さらに、閾値秘密情報分散は、完全閾値秘密情報分散であってもよいし、不完全閾値秘密情報分散であってもよい。不完全閾値秘密情報分散は、例えば閾値ランプ型秘密分散である。完全閾値秘密情報分散は分散した情報のうち一定数が集まらなければ復元できないので、秘匿性を高めることができる。不完全閾値秘密情報分散は分散した情報のうち一定数が集まらない場合でも一部の秘密情報は解読可能となる。また、閾値秘密情報分散は、一体化や暗号化をしない完全置換系による秘密情報分散であってもよい。
Here, (2, 3) threshold secret information is a notation when the backup of the database stored in the
図7は、本実施形態に係る監視制御装置の一例を示す概略構成図である。本実施形態に係る監視制御装置30は、図5に示した実施形態1に係る監視制御装置30に秘密分散処理手段34をさらに備える。秘密分散処理手段34は、情報格納手段32と情報送信手段33の間に設けられ、ファイルシーケンス情報又は第1の暗号鍵を、複数に分割して互いに可逆演算することで一体化し、秘密分散法を用いて複数のバックアップ情報に分散させる。情報送信手段33は、秘密分散処理手段34の分散化したバックアップ情報を、バックアップ装置40a、40b、40cに送信する。例えば、図1に示す監視制御装置30aであれば、情報格納手段32を備え、第1の暗号鍵をマスターサーバ20より受信する機能、受信した第1の暗号鍵を情報格納手段32に格納する機能、情報格納手段32に格納された第1の暗号鍵に対して(2,3)閾値秘密分散処理を行い、3つのバックアップ情報を生成する機能、及び、生成されたバックアップ情報をそれぞれ異なったバックアップ装置40a、40b、40cに送信する機能を有する。
FIG. 7 is a schematic configuration diagram illustrating an example of a monitoring control device according to the present embodiment. The
図8は、本実施形態に係るバックアップ装置の一例を示す概略構成図である。本実施形態に係るバックアップ装置40は、図6に示した実施形態1に係るバックアップ装置40に、バックアップ情報受信手段41−3と、バックアップ情報格納手段42−3をさらに備える。バックアップ情報受信手段41−1、41−2、41−3は、実施形態1と同様に、それぞれ、複数の監視制御装置30a、30b、30cのうちの異なる監視制御装置から送信されたバックアップ情報を受信する。バックアップ情報格納手段42−1、42−2及び42−3は、バックアップ情報受信手段41−1、41−2及び41−3の受信する秘密分散化情報を格納する。
FIG. 8 is a schematic configuration diagram illustrating an example of a backup device according to the present embodiment. The
例えば、図1に示すバックアップ装置40aであれば、監視制御装置30aから秘密分散化された第1の暗号鍵を受信する機能と、受信した秘密分散化された第1の暗号鍵をデータベースに格納する機能と、監視制御装置30bから秘密分散化されたファイルシーケンス情報を受信する機能と、受信した秘密分散化されたファイルシーケンス情報をデータベース30bに格納する機能と、監視制御装置30cから秘密分散化された生存確認情報を受信する機能と、受信した秘密分散化された生存確認情報をデータベースに格納する機能を備える。3台のバックアップ装置40a、40b、40cで構成されたネットワークシステムで使用されるすべての情報種別に関しては、バックアップ装置40cに格納されている各種のデータベース情報と共通であることに注意する。
For example, in the case of the
図1の構成では、マスターサーバ20から送信された第1の暗号鍵の情報は、まず、監視制御装置30aが受信し、監視制御装置30a内部のデータベースに格納する。次に、監視制御装置30aは、データベースに新たに格納した、第1の暗号鍵を読み出して、(2,3)閾値秘密分散処理を行い、3つの秘密分散化された第1の暗号鍵を生成して、3台のバックアップ装置40a、40b、40cに1つずつ送信する。監視制御装置30aから秘密分散化された第1の暗号鍵を受信したバックアップ装置40aは、その秘密分散化された第1の暗号鍵をバックアップ装置40aの内部のデータベースに格納する。バックアップ装置40b及び40cについても同様に、監視制御装置30aから送信された秘密分散化されている第1の暗号鍵を、各々の装置内部のデータベースに格納する。同様の格納処理は、マスターサーバ20からファイルシーケンス情報を監視制御装置30bが受信した場合と、クライアント端末10から生存確認情報を監視制御装置30cが受信した場合においても行われる。
In the configuration of FIG. 1, the information on the first encryption key transmitted from the
上記一連の処理の結果、第1の暗号鍵、ファイルシーケンス情報、生存確認情報、及び各々が秘密分散処理された秘密分散化情報は、3台の監視制御装置30a、30b、30cと、3台のバックアップ装置40a、40b、40cにおいて配備される。(2,3)閾値秘密分散処理により生成されているため、3つのバックアップ装置40a、40b、40cに分散配備した3つの秘密分散化情報のうち、2つ以上を集めれば、データファイルを復元することができる。すなわち、同一地域に設置する監視制御装置30a、30b、30c及びバックアップ装置40a、40b、40cが2台までの範囲であれば、天災などにより、装置が同時に損壊した場合にも、重要情報のデータファイルの完全なバックアップが実現できる。また、悪意ある第三者の侵入に対しては、監視制御装置30a、30b、30c及びバックアップ装置40a、40b、40cのいずれか1台に侵入された場合でも、クライアント端末10に分散配備された暗号化済分割情報が漏洩することを同時に防止できる。この理由は、バックアップ装置40a、40b、40cは3つの情報をすべて備えているが、(2,3)秘密分散処理により、1台のバックアップ装置40a、バックアップ装置40b又はバックアップ装置40cの持つ情報だけでは秘密分散処理される前の情報には戻せないアルゴリズムを用いているからである。
As a result of the series of processes, the first encryption key, the file sequence information, the survival confirmation information, and the secret sharing information obtained by performing the secret sharing process on each of them are the three
本実施形態に係る秘密分散法の一例について説明する。本実施形態に係る秘密分散法では、完全置換系による(k,n)閾値秘密情報分散法に基づく。ここで、(k,n)は、秘密的に分散された解読用のn個の情報のうち、少なくともk個の情報が揃えば、メタデータが復元できることを意味している。すなわち、kは、復元のための閾値に対応しており、nは秘密分散するメンバーすなわち図1に示すバックアップ装置40a、40b、40cの総数と考えてよい。
An example of the secret sharing method according to this embodiment will be described. The secret sharing method according to the present embodiment is based on the (k, n) threshold secret information sharing method using a complete replacement system. Here, (k, n) means that metadata can be restored if at least k pieces of information among n pieces of information that are secretly distributed are arranged. That is, k corresponds to a threshold value for restoration, and n may be considered as the total number of secret sharing members, that is, the
図9は、秘密分散処理手段の動作の一例を示すフローチャートである。監視制御装置30が保有するメタデータ、すなわち第1の暗号鍵、ファイルシーケンス情報又は生存確認情報を一体化し、ネットワーク管理者またはユーザのデータのバックアップ上の信頼性に関わる条件等を勘案してk及びnを設定し、この情報を用いて、秘密分散を実現するための完全置換系の表S(k,n,d)を作成する。ここで、dは、記憶空間での所有の有無を表現する配列である。以下に具体的に説明する。
FIG. 9 is a flowchart showing an example of the operation of the secret sharing processing means. The metadata held by the
ステップS101では、メタデータを一体化する。一体化とは、メタデータを複数に分割して互いに可逆演算することであり、データの空間分散化ともいえる。可逆演算は、例えば、加算、減算又はEOR、あるいは、これらの組み合わせである。分割数は、例えば、秘密分散させる数nである。ステップS102では、完全置換系の表S(k,n,d)におけるk及びnを取得する。ステップS103では、ステップS102で取得したk及びnを用いて完全置換系の表S(k,n,d)を作成する。具体的には、S(3,4)の場合、表S(k,n,d)は次式で表される。
ステップS104では、ステップS101によって得た一体化後のメタデータBの分散B1,・・・,BNを作成する。ステップS103で作成される表S(k,n,d)はn行N列となるので、メタデータBを、次式で表されるN個に分割する。これによって秘密分散化したバックアップ情報を得る。
ステップS105では、ステップS104によって得たバックアップ情報を、メンバーすなわち図1に示すバックアップ装置40a、40b、40cに送信する。表S(k,n,d)において1の立っている情報種別番号のバックアップ情報が、ステップS105でメンバーに送付されることになる。例えば、情報種別番号2、3及び6のバックアップ情報を、3番目のメンバーへ送信する。
In step S105, the backup information obtained in step S104 is transmitted to the members, that is, the
上記ステップS103においては、情報送信手段33がバックアップ情報を送信するバックアップ装置の数をnとし、第1の暗号鍵又はファイルシーケンス情報を復元するために必要なバックアップ装置の数をkとした場合に、完全置換系の表S(k,n,d)が、完全置換系の表S(k−1,n−1,d)の第n列に0を追加した表d0、及び、完全置換系の表S(k,n−1,d)の第n列に1を追加した表d1で表されることが好ましい。以下、nが3の場合の完全置換系の表S(k,n,d)の作成例について説明する。 In step S103, when the number of backup devices to which the information transmission means 33 transmits backup information is n and the number of backup devices necessary for restoring the first encryption key or file sequence information is k. A completely substituted system table S (k, n, d) is obtained by adding 0 to the nth column of the completely substituted system table S (k-1, n-1, d), and a completely substituted system In Table S (k, n-1, d), it is preferably represented by Table d1 in which 1 is added to the nth column. Hereinafter, an example of creating a completely substituted table S (k, n, d) when n is 3 will be described.
図10は、完全置換系の表作成アルゴリズムの一例を示すフローチャートである。ステップS201では、入力されたkが1と等しいか否かを判定する。k=1であればステップS202へ移行し、k=1でなければステップS203へ移行する。ステップS202では、行列dとして、(1,1,・・・,1)の1行n列の行列を作成する。例えば、k=1の場合、行列dとして、
ステップS203では、入力されたkがnと等しいか否かを判定する。k=nであればステップS204へ移行し、k=nでなければステップS205へ移行する。ステップS204では、行列dとして、n行n列の単位行列を作成する。例えば、k=3の場合、行列dとして、
ステップS205では、完全置換系の表S(k−1,n−1,d)を作成する。
例えば、k=2の場合、S(k−1,n−1,d)すなわちS(1,2,d)を作成する。具体的には次式で表される。
For example, when k = 2, S (k-1, n-1, d), that is, S (1, 2, d) is created. Specifically, it is expressed by the following formula.
ステップS206では、S(k−1,n−1,d)における各行の第n列に0を追加する。例えば、k=2の場合、S(1,2,d)の第n列の各行に0を追加して、次式で表される。
ステップS207では、完全置換系の表S(k,n−1,d)を作成する。例えば、k=2の場合、S(k,n−1,d)すなわちS(2,2,d)を作成する。具体的には次式で表される。
ステップS208では、完全置換系の表S(k,n−1,d)における各行の第n列に1を追加し、行列d1とする。例えば、k=2の場合、S(2,2,d)の第n列の各行に1を追加して、次式で表される。
ステップS209では、ステップS204で得たd0の下に、ステップS206で得たd1を追加して、完全置換系の表S(k,n,d)の表としての行列dを作成する。d0は縦N0、横nの配列になっている。d1は縦N1、横nの配列になっている。
上記のステップS205からステップS209までの処理は、k=2、n=3の時の完全置換系の表S(2,3)を求める方法が、完全置換系の表S(1,2)及びS(2,2)によって求められることを意味する。完全置換系の表S(k,n)の一般的な求め方が、再帰的に求められることを意味する。 In the processing from step S205 to step S209, the method for obtaining the completely substituted table S (2,3) when k = 2 and n = 3 is the same as the table S (1,2) and the completely substituted table S It means that it is obtained by S (2, 2). This means that the general way of obtaining the fully substituted table S (k, n) is obtained recursively.
図11は、完全置換系の表作成アルゴリズムの説明図である。完全置換系の表S(2,3,d)であれば、完全置換系の表S(1,2)及びS(2,2)によって求められる。完全置換系の表S(2,4,d)であれば、完全置換系の表S(1,3)及びS(2,3)によって求められる。完全置換系の表S(3,4,d)であれば、完全置換系の表S(2,3)及び表S(3,3)によって求められる。完全置換系の表S(3,5,d)であれば、完全置換系の表S(2,4)及び表S(3,4)によって求められる。このように、完全置換系の表dは、完全置換系の表S(k−1,n−1,d)から得られる行列d0と、完全置換系の表S(k,n−1,d)から得られる行列d1とを用いて再帰的に求められる。このように、本実施形態に係る秘密分散法は、連立一次方程式を解く必要がないので、データファイルのバックアップにおける秘密分散法の利用を現実的なものとすることができる。 FIG. 11 is an explanatory diagram of a complete replacement system table creation algorithm. If the table S (2,3, d) is a fully substituted system, it is obtained from the tables S (1,2) and S (2,2) of the fully substituted system. If the table S (2,4, d) is a completely substituted system, it is obtained from the tables S (1,3) and S (2,3) of the fully substituted system. If it is Table S (3,4, d) of the complete substitution system, it is obtained from Table S (2,3) and Table S (3,3) of the complete substitution system. If it is Table S (3, 5, d) of the complete substitution system, it is obtained from Table S (2, 4) and Table S (3, 4) of the complete substitution system. Thus, the completely permuted table d includes the matrix d0 obtained from the completely permuted table S (k-1, n-1, d) and the completely permuted table S (k, n-1, d). ) Is recursively obtained using the matrix d1 obtained from (1). Thus, since the secret sharing method according to the present embodiment does not need to solve simultaneous linear equations, the use of the secret sharing method in data file backup can be made realistic.
本実施形態に係る秘密情報分散方式においては、Shamirの方式のようなことはなく、鍵データ(メタデータ)Kが200桁のとき分散が200桁以上になることはない。また実質的な演算は一体化演算のみなのでメタデータのサイズをmとするときO(m)程度であり、大きなKに対しても高速に計算できる。ただ、バックアップ情報は16バイト以上の大きさが必要であるので、k、nの値は大きくできない。n=20程度が実用的には限界と考えられる。 In the secret information distribution method according to the present embodiment, there is no Shamir method, and when the key data (metadata) K has 200 digits, the distribution does not exceed 200 digits. In addition, since the substantial calculation is only an integrated calculation, it is about O (m) when the size of the metadata is m, and a large K can be calculated at high speed. However, since the backup information needs to have a size of 16 bytes or more, the values of k and n cannot be increased. About n = 20 is considered a practical limit.
(実施形態3)
本実施形態に係るネットワークシステムは、図1に示す実施形態1に係るネットワークシステムにおいて、監視制御装置30a、30b、30cを複数の異なる地域に設置して、かつ、マスターサーバ20が、第1の暗号鍵、ファイルシーケンス情報を、秘密分散法を用いて複数の秘密情報に変換した後、一つ一つの秘密情報を異なる地域に設置された、一つもしくは複数を組み合わせた監視制御装置30a、30b、30cに転送することにより、監視制御装置30a、30b、30c自体を、閾値秘密分散配備することを特徴とする。
(Embodiment 3)
The network system according to the present embodiment is the same as the network system according to the first embodiment shown in FIG. 1 except that the
マスターサーバ20は、(2,3)閾値秘密情報分散処理により、秘密分散化した第1の暗号鍵、及びファイルシーケンス情報を、すべての監視制御装置30a、30b、30cに送信する。クライアント端末10から送信される生存確認情報は、監視制御装置30cにのみ送られ、監視制御装置30cは受信した生存確認情報を監視制御装置30aと監視制御装置30bに再送信することが好ましい形態であるが、特にこの場合に限られるものではない。
The
図12は、実施形態3に係るマスターサーバの一例を示す概略構成図である。実施形態3に係るマスターサーバ20は、図2に示す実施形態1に係るマスターサーバに、ファイルシーケンス秘密分散処理手段25−1と、暗号鍵秘密分散処理手段25−2と、をさらに備える。ファイルシーケンス秘密分散処理手段25−1及び暗号鍵秘密分散処理手段25−2は、それぞれ秘匿化手段22と秘匿化情報送信手段24との間に接続される。また、図12に示す秘匿化手段22は、一体化手段22−2を省略した図3の構成を用いることも可能である。
FIG. 12 is a schematic configuration diagram illustrating an example of a master server according to the third embodiment. The
ファイルシーケンス秘密分散処理手段25−1は、ファイルシーケンス情報を、複数に分割して互いに可逆演算することで一体化し、かつ、秘密分散法を用いて分散させる。暗号鍵秘密分散処理手段25−2は、第1の暗号鍵を、複数に分割して互いに可逆演算することで一体化し、かつ、秘密分散法を用いて分散させる。例えば、第1の暗号鍵は、主記憶またはハードディスクに記憶された後に、(2,3)閾値秘密情報分散処理により、3つの秘密分散情報に変換される。そして、3つの秘密分散化された第1の暗号鍵は、秘匿化情報送信手段24により、図1に示す相異なる3つの監視制御装置30a、30b、30cに送信される。ファイルシーケンス情報も同様に、(2,3)閾値秘密情報分散処理の後、相異なる3つの監視制御装置30a、30b、30cに送信される。
The file sequence secret sharing processing means 25-1 divides the file sequence information into a plurality of pieces and integrates them by performing a reversible operation with each other, and distributes them using the secret sharing method. The encryption key secret sharing processing unit 25-2 divides the first encryption key into a plurality of pieces and integrates them by performing a reversible operation, and distributes them using a secret sharing method. For example, after the first encryption key is stored in the main memory or the hard disk, it is converted into three pieces of secret sharing information by (2, 3) threshold secret information sharing processing. The three secret-decentralized first encryption keys are transmitted by the concealment
ここで、秘密分散法による分散は、実施形態2と同様の方法を用いることができる。ただし、本実施形態では、分散先が複数の監視制御装置30a、30b、30cであるため、秘密分散処理におけるメンバーをバックアップ装置40a、40b、40cから監視制御装置30a、30b、30cに替えて算出する。本実施形態では、(2,3)閾値秘密情報分散処理の例を示すが、この場合に限定されるものではないことは言うまでもない。また、実施形態2と同様に、閾値秘密情報分散は、完全閾値秘密情報分散であってもよいし、不完全閾値秘密情報分散であってもよい。閾値秘密情報分散は、一体化や暗号化をしない完全置換系による秘密情報分散であってもよい。
Here, for the sharing by the secret sharing method, the same method as in the second embodiment can be used. However, in this embodiment, since the distribution destinations are a plurality of
実施形態3に係る監視制御装置30a、30b、30cは、図5に示す情報受信手段31の受信するファイルシーケンス情報及び第1の暗号鍵が秘密分散化されている。情報受信手段31は、さらに、生存確認情報を、監視制御装置30cから受信することが好ましい。情報格納手段32は、3つのデータベースを備え、情報受信手段31の受信する秘密分散化されたファイルシーケンス情報、第1の暗号鍵及び生存確認情報を格納する。
In the
これらマスターサーバ20及び監視制御装置30による一連の処理の結果、ファイルシーケンス情報及び第1の暗号鍵は3台の監視制御装置30a、30b、30cにおいて、(2,3)閾値秘密情報分散処理された形式で保持され、生存確認情報は、3台の監視制御装置30a、30b、30cにおいて、3重化された複製を保持する。仮に監視制御装置30a、30b、30cの1台が故障または損壊しても、第1の暗号鍵と、ファイルシーケンス情報は、残りの2台の情報から、生存確認情報は、任意の1台の情報から回復することが可能であり、監視制御装置の再構成も可能となることは、(2,3)閾値秘密情報分散処理をされたことから明らかである。また、上記の例では、悪意のある第三者が、いずれか監視制御装置30a、30b、30cの1台に侵入した場合においても、生存確認情報のみ漏洩するが、第1の暗号鍵及びファイルシーケンス情報が解読できないことは、(2,3)閾値秘密情報分散処理されたことから明らかである。このことから、クライアント端末10に分散配備された重要情報が、漏洩する危険性も、回避することができる。
As a result of a series of processing by the
(実施形態4)
本実施形態に係るネットワークシステムは、図1に示す実施形態1に係るネットワークシステムにおいて、マスターサーバ20から、クライアント端末10が分散配置された各転送先に対して、地域ごと、またはクライアント端末10ごとの、暗号化済分割情報の分散配備する方法について、クライアント端末10の監視制御装置30a、30b、30cに対するスループット、または、応答遅延時間の計測結果等に基づいて、転送する宛先を適宜、選択して決定できるように、冗長転送することを特徴とする。
(Embodiment 4)
The network system according to the present embodiment is the same as the network system according to the first embodiment shown in FIG. 1, from the
図13は、本実施形態に係るネットワークシステムの一例を示す概略構成図である。本実施形態に係るネットワークシステムは、図5に示す監視制御装置30が、さらに、クライアント端末状態報告要求送信手段37−1と、クライアント端末状態情報受信手段37−2と、スループット等測定手段37−3と、クライアント端末リスト送信手段38を備え、情報格納手段32に新たな機能が加わっている。図4に示すクライアント端末10が、さらに、クライアント端末状態報告要求受信手段14−1と、リソース情報伝達手段15と、クライアント端末状態情報送信手段14−2を備える。図2に示すマスターサーバ20が、さらに、クライアント端末リスト受信手段26と、分割複製数決定手段27と、送信先決定手段28を備え、情報格納手段21に新たな機能が加わっている。
FIG. 13 is a schematic configuration diagram illustrating an example of a network system according to the present embodiment. In the network system according to the present embodiment, the
図13に示すクライアント端末状態報告要求送信手段37−1は、クライアント端末状態情報の送信を要求するクライアント端末状態報告要求を、それぞれのクライアント端末10に送信する。クライアント端末状態情報は、クライアント端末10の状態を示す情報であり、クライアント端末自身のリソース管理の状態を示す。クライアント端末状態報告要求受信手段14−1は、クライアント端末状態報告要求送信手段37−1の送信するクライアント端末状態報告要求を受信する。リソース情報伝達手段15は、クライアント端末状態報告要求受信手段14−1がクライアント端末状態報告要求を受信すると、クライアント端末10の状態を検出してクライアント端末状態情報を出力する。クライアント端末状態情報送信手段14−2は、リソース情報伝達手段15の出力するクライアント端末状態情報を、監視制御装置30へ送信する。
The client terminal status report transmission means 37-1 shown in FIG. 13 transmits a client terminal status report request for requesting transmission of client terminal status information to each
ここで、クライアント端末状態情報は、クライアント端末10が管理するリソース情報であり、例えば、クライアント端末ID、CPU使用管理情報、メモリ空き領域情報、ハードディスク空き領域情報である。各々のクライアント端末は、個別のクライアント端末ID情報をもち、これにより、監視制御装置は、各々のクライアント端末を識別する。各クライアント端末ID毎に、リソース管理情報として、自身のリソース管理の状態を管理する。ここで、リソース管理の状態は、例えば、CPUの使用率、メモリ空き領域、ハードディスクの空き領域である。CPUの使用率は%の単位で、メモリ空き領域はGB(ギガバイト)の単位で、ハードディスクの空き領域はGBギガバイトの単位で管理されることが好ましいが、この単位に限定されるものではない。リソース情報伝達手段15は、パソコンなどの一般的な情報端末に具備されている機能に該当する。クライアント端末10は、自身のリソース管理の状態を測定し、クライアント端末状態ファイルに書き込み、クライアント端末状態を示すリソース管理用のファイルをクライアント端末リストとして監視制御装置30に送信する。
Here, the client terminal state information is resource information managed by the
また、クライアント端末IDは、マスターサーバ20、監視制御装置30がクライアント端末10を識別する際に用いるIDである。クライアント端末IDは、クライアント端末IDの所持するIPアドレスと、通常は、1対1の関係をもつ。例えば、5桁の数字で表現されるクライアント端末IDのなかで、前半の2桁は地域の識別情報であり、後半の3桁は地域内でのクライアント端末を識別するためのクライアント端末の識別情報である。
The client terminal ID is an ID used when the
図13に示すクライアント端末状態情報受信手段37−2は、クライアント端末10から送信されたクライアント端末状態情報を受信する。スループット等測定手段37−3は、クライアント端末10との間のスループットを測定する。ここで、スループットは、例えば、クライアント端末状態報告要求送信手段37−1がクライアント端末状態報告要求を送信してから、クライアント端末状態情報受信手段37−2がクライアント端末状態情報を受信するまでの応答時間に基づいて測定する。この際、クライアント端末10から送信されたクライアント端末状態情報を考慮することが好ましい。情報格納手段32は、クライアント端末状態情報受信手段37−2の受信するクライアント端末状態情報と、スループット等測定手段37−3の測定したスループットを、クライアント端末リストの情報として情報格納手段32に格納する。監視制御装置30内のクライアント端末リスト送信手段38は、情報格納手段32に格納されているクライアント端末リストを、マスターサーバ20に送信する。
The client terminal state information receiving unit 37-2 illustrated in FIG. 13 receives the client terminal state information transmitted from the
例えば、監視制御装置30は、クライアント端末状態を、受信するのに要する時間を測定し、クライアント端末10−監視制御装置30間のスループット、応答時間などを測定する。もし、クライアント端末10のリソース管理状態が、予め想定された閾値を超えるものであることを監視制御装置30が判定した場合には、その旨を示す登録情報を監視制御装置内のデータベースに保持する(図14)。試験データなどのデータファイルの受信が、監視制御装置30において、不可能であった場合は、クライアント端末10は使用不可能であるとみなし、その旨を通知する。
For example, the
また、予め定めた規定タイミング内での応答が、当該クライアント端末10からない場合には、当該クライアント端末10は、使用不能である旨の登録処理を情報格納手段32を用いて実施する。また、予め定めた規定タイミング内での応答が、当該クライアント端末からあった場合には、当該クライアント端末のリソース使用状況を示す指標である、3つの条件が、当該クライアント端末からの返送データにより、すべて満足していることが明らかになった場合にのみ、当該クライアント端末が「正常」に使用可能であることを確認し、「正常」である旨の登録処理を、情報格納手段32を用いて実施する。3つの条件は、第1にCPU使用率は閾値以下であること、かつ、第2にメモリ空き領域は閾値以下であること、かつ、第3にハードディスク空き領域は十分であることである。上記3つの条件のいずれか、1つでも満足できない状況が、当該クライアント端末からの返送データにより、明らかになった場合には、当該クライアント端末が、異常であると確認し、「異常」状態にある旨の登録処理を、情報格納手段32を用いて実施する(図15)。
Further, when the response within the predetermined specified timing is not received from the
図13に示す情報格納手段32には、クライアント端末ごとのスループットを格納することが好ましい。例えば、スループット等測定手段37−3を用いてクライアント端末ID毎に取得できたデータに基づいて、使用可能である端末群の情報が情報格納手段32へ格納される。ここで、一般にクライアント端末10は複数の地域(例えば、J1,J2,・・・JN)に分散して配備される。監視制御装置30の中の情報格納手段32には、当該クライアント端末ID毎のスループットは、たとえばMb/sを単位として格納される。この結果、監視制御装置30は、どのクライアント端末10が使用可能であるかが判断できる。監視制御装置30は、上記の手順で取得したクライアント端末状態情報に基づいて、使用可能である端末群を選択し、さらに、暗号化済分割情報の受信可否を判断できるための、クライアント端末リストを作成し、マスターサーバ20へ送信する。
The information storage means 32 shown in FIG. 13 preferably stores the throughput for each client terminal. For example, based on the data acquired for each client terminal ID using the measuring means 37-3 such as the throughput, information on the usable terminal group is stored in the information storage means 32. Here, generally, the
ここで、クライアント端末リストとは、情報格納手段21に格納される、暗号化済分割情報のデータ転送先として適切な転送先端末リストであり、これは、地域グループID毎に分割され、地域グループ毎のクライアント端末群を示したリストであることが好ましい。具体的には、例えば、地域グループを#1、#2、・・・、#N(100未満)に分け、各々の地域の識別用に2桁の整数(01、02、・・・、N)を使用し、同一地域内の端末識別用には、たとえば3桁の整数を用いることができる。
Here, the client terminal list is a transfer destination terminal list that is stored in the
図13に示すクライアント端末リスト受信手段26は、クライアント端末リスト送信手段38の送信するクライアント端末リストを受信する。情報格納手段21は、クライアント端末リスト受信手段26の受信するクライアント端末リストを格納する。マスターサーバ20内の分割複製数決定手段27は、クライアント端末リスト送信手段38の送信するクライアント端末リストに基づいて、秘匿化手段22における分割数及び複製数を決定する。マスターサーバ20内の秘匿化手段22は、分割複製数決定手段の決定する分割数及び複製数に、分割及び複製する。マスターサーバ20内の送信先決定手段28は、クライアント端末リスト送信手段38の送信するクライアント端末リストに基づいて、暗号化済分割情報を送信するクライアント端末10を決定する。
The client terminal
ここで述べる分割データは、分割手段(図2に示す符号22−3)からの出力データを示す。分割データに付与されるファイル名は、例えば、2桁の数字で表現され、その2桁の数字により、データファイルを何番目に分割したものであるかが識別できる。また、分割複製データは、第2暗号化手段(図2に示す符号22−5)からの出力データすなわち暗号化済分割情報を示す。分割複製データのファイル名は、例えば、4桁の数字で表現され、前半の2桁が、データファイルを何番目に分割したものであるかを識別する分割番号を示し、後半の2桁が何番目に複製された分割データであるかを識別する複製データ番号を示す。例えば、分割数2、複製数2の時は、合計で4つの分割複製データが生成され、ファイル名は、それぞれ、0101、0102、0201、0202で表現できる。分割複製データはすべて異なる暗号鍵で暗号化されるため、見かけ上は、全く異なるファイルに見えることは言うまでもない。分割複製データには、分割番号が付与され、また、複製されたファイルに対しても、複製順の複製データ番号が付与され、これらの値は、互いに重複がないように、設定されるため、見かけ上は、1つの元ファイルに対して、(分割数)×(複製数)に対応する数の別個のファイルが生成され、さらに各々は、別別の異なる暗号鍵で、暗号化されている。 The divided data described here indicates output data from the dividing means (reference numeral 22-3 shown in FIG. 2). The file name given to the divided data is expressed by, for example, a two-digit number, and it can be identified by what number the data file is divided by the two-digit number. The divided duplicate data indicates output data from the second encryption means (reference numeral 22-5 shown in FIG. 2), that is, encrypted divided information. The file name of the divided replication data is expressed by, for example, a four-digit number, and the first two digits indicate the division number for identifying what number the data file is divided into, and what is the latter two digits? The duplicate data number for identifying whether the divided data is the second duplicated data. For example, when the number of divisions is 2 and the number of duplications is 2, a total of 4 pieces of divided replication data are generated, and the file names can be expressed as 0101, 0102, 0201, and 0202, respectively. It goes without saying that the divided duplicate data are all encrypted with different encryption keys, so that they appear to be completely different files. A division number is assigned to the divided duplicate data, and a duplicate data number is also assigned to the duplicated file, and these values are set so as not to overlap each other. Apparently, a number of separate files corresponding to (number of divisions) × (number of copies) are generated for one original file, and each is encrypted with another different encryption key. .
マスターサーバ20は、クライアント端末群リストの情報と、送信すべきデータファイルの容量等を総合的に判断して、スループットが一定値以下のクライアント端末10を、クライアント端末群リストから削除して、自身のデータベース内に保持することが好ましい。図16に、送信先決定手段28によるクライアント端末10の使用可否の登録を行うフローを示す。送信先決定手段28は、上記手順の結果、データ転送先として適切と考えられるクライアント端末リストを地域グループID毎に分割し、地域グループ毎のクライアント端末群リストを作成する。
The
この後、暗号化済分割情報を適切にシャフリングし、最終的なデータ転送用の分割複製データファイル名リストを作成する。ここで、シャフリングは、分割数が2、複製数が2であれば、4個の暗号化済分割情報が生成される。この場合、4種類の暗号化済分割情報の並べ方は4!通りあり、この中の1つの組み合わせが、暗号化済分割情報の更新の都度、任意に選択できる。図17に、一般的な、送信先決定手段28における暗号化済分割情報のランダム並べ替えのための実施例を示す。一例として、分割数αが10のときの文字列X(p)の設定例を述べる。 Thereafter, the encrypted division information is appropriately shuffled to create a final divided copy data file name list for data transfer. Here, in shuffling, if the number of divisions is 2 and the number of replicas is 2, four pieces of encrypted division information are generated. In this case, 4 types of encrypted division information are arranged 4! One of these combinations can be arbitrarily selected each time the encrypted divided information is updated. FIG. 17 shows an embodiment for random rearrangement of encrypted division information in the transmission destination determination means 28 in general. As an example, a setting example of the character string X (p) when the division number α is 10 will be described.
図13に示す送信先決定手段28において、暗号化済分割情報の送信先をランダムに並べてシャフリングするための実施例を以下に説明する。例えば、シャフリングするに当たって必要な各種のパラメータとしては、以下のパラメータが存在する。第1は分割数α、第2は複製数β、第3は乱数p、第4は乱数q、第5は乱数p用の種、第6は乱数q用の種、第7は文字列X、第8は文字列Y、第9は文字列Xと文字列Yを連結した文字列XYである。乱数pは、要素(1、2、3、・・・、α)の中からランダムに選択される。乱数qは、要素(1、2、3、・・・、β)の中からランダムに選択される。ここで、分割数、複製数の値を元に、分割複製データファイル名リストに順次、ファイルの生成が実施された順に登録処理を行う必要がある。例えば、分割数2、複製数2の時は、暗号化済分割情報として合計で4つのファイルが生成される。この場合、分割複製データ0101、0102、0201、0202の順に登録処理を行う。 An embodiment for shuffling the transmission destinations of the encrypted divided information at random in the transmission destination determination means 28 shown in FIG. 13 will be described below. For example, the following parameters exist as various parameters necessary for shuffling. The first is the division number α, the second is the replication number β, the third is the random number p, the fourth is the random number q, the fifth is the seed for the random number p, the sixth is the seed for the random number q, and the seventh is the character string X The eighth is a character string Y, and the ninth is a character string XY obtained by concatenating the character string X and the character string Y. The random number p is randomly selected from the elements (1, 2, 3,..., Α). The random number q is randomly selected from the elements (1, 2, 3,..., Β). Here, based on the values of the number of divisions and the number of replicas, it is necessary to perform registration processing in the order in which the files are generated sequentially in the split replica data file name list. For example, when the number of divisions is 2 and the number of replicas is 2, a total of four files are generated as encrypted division information. In this case, the registration processing is performed in the order of divided copy data 0101, 0102, 0201, and 0202.
生成・登録された分割複製データ転送先リストを地域グループ毎に分けられたクライアント端末リストに対応させる必要がある。この場合の上記のシャフリングの例として、例えば、クライアント端末リスト順番に配布する際の順番は、分割数が4、複製数が3の場合には、クライアント端末10に転送される対象となるファイル数は、合計12(=3×4)個、存在し、分割複製データファイル名リストから、分割複製データを1つずつ、抜き出し、地域グループ毎のクライアント端末群リストに順次、対応させ、分割複製データ転送先リストを作成する。このとき、生成順で表現された分割複製データの並べ方は、0101、0102、0103、0201、0202、0203、0301、0302、0303、0401、0402、0403であるが、この順序は、一例として、各地域に、次の更新時には、0302、0403、0102、0103、0203、0101、0401、0303、0402、0202、0201、0301となる。分割複製データ転送先リストの情報は、固定的に保持されるものではない。例えば、クライアント端末リストは監視制御装置30から随時送信される。時々刻々変化するクライアント端末リストの情報に基づいて、任意に変更できることは言うまでもない。
The divided / replicated data transfer destination list generated / registered needs to correspond to the client terminal list divided for each area group. As an example of the above shuffling in this case, for example, when distributing in the order of the client terminal list, when the division number is 4 and the replication number is 3, the file to be transferred to the
分割複製データファイル名リストの各々は、元ファイルデータの分割番号と複製データ番号の対とで構成され、これらが各地域毎に、登録される。従って、分割複製データ0302、0403、0102、0103、0203、0101、0401、0303、0402、0202、0201、0301の順序で、マスターサーバ20の暗号化済分割情報送信手段23を用いて各クライアント端末10へ送信され、安全性を高めることが可能となる。この時、マスターサーバ20は、データファイルを暗号化した際に用いた暗号鍵や、分割複製データ転送先リストを、シーケンス情報として、監視制御装置30へ、同時に秘匿化情報送信手段24を用いて、送信する。監視制御装置30が、元データファイルを復元する際には、分割複製データ転送先リストを参照し、クライアント端末10の選択を行うことにより、必要な暗号化済分割情が回収、復元できる。
Each of the divided duplicate data file name lists is composed of a pair of a division number and a duplicate data number of the original file data, and these are registered for each region. Accordingly, each client terminal uses the encrypted divided information transmission means 23 of the
図13に示す送信先決定手段28において、地域グループを考慮したクライアント端末への暗号化済分割情報の送信例について説明する。地域グループ数が4、各地域グループ内のクライアント端末数が、地域番号01、地域番号02、地域番号03、地域番号04のそれぞれに対して、4、1、3、2である場合を想定した例を示す。この場合、地域グループ内の端末の識別番号を3桁の数字で表示すると、地域番号01の4台のクライアント端末名は、それぞれ、01001、01002、01003、01004と表示できる。各地域番号対応に利用可能なクライアント端末は、事前に、監視制御装置30からの試験データ送信時の応答時間が、基準値を満足しているか、または、推定できる当該端末からのスループット値が、基準値を満足しているもののみが、地域毎のリストに、上位が高い優先転送先を示すように、登録される場合を想定する。優先順位の高い順番にリストを構成する並べ替えの手法は、一般的に使用されている、バブルソートや手法やクイックソート手法等の技術を適用すれば、容易に実現可能である。
A transmission example of the encrypted division information to the client terminal in consideration of the regional group in the transmission
地域毎に利用可能なクライアント端末は、通常は、各地域毎に、できるだけ、均等に暗号化済分割情報が、暗号化済分割情報送信手段23を用いて分散転送されることを想定する場合、各地域毎に転送されるファイル数の平均は3(=12÷4)である。例えば、分割複製データは、1番目に0302、2番目に0403、3番目に0102、4番目に0103、5番目に0203、6番目に0101、7番目に0401、8番目に0303、9番目に0402、10番目に0202、11番目に0201、12番目に0301、の順番で転送される。1、2、3、4番目は、順番に地域番号01、02、03、04に配布される。次は、5、6、7、8番目が同様に、地域番号01、02、03、04に配布される。最後に、9、10、11、12番目も同様に、地域番号01、02、03、04に配布される。
The client terminal that can be used for each region normally assumes that the encrypted division information is distributed and transferred as uniformly as possible for each region using the encrypted division
ここで、地域番号02、03及び04のように、同一の地域番号内で利用可能なクライアント端末数が少ない、3未満の場合には、1つのクライアント端末に、複数の暗号化済分割情報が転送される場合が発生する。従って、地域番号01では、分割複製データ0302、0203、0402が格納される。また、地域番号04に対応する場所では、利用可能なクライアント端末がクライアント端末04002、04001の2台が存在するため、最初の分割複製データ0103は4番目の順でクライアント端末04002へ転送され、その次に、同じ地域番号04に転送された分割複製データ0303は、8番目の順で、クライアント端末04001へ転送される。さらに、その次に同じ地域番号04に転送された分割複製データ0301は、12番目の順で、クライアント端末04002へ転送される。また、地域番号02には、利用可能な端末がクライアント端末02001の1台しかないので、分割複製データ0403、0101、0202が、それぞれ、2番目、6番目、10番目に分散転送される。 Here, when the number of client terminals that can be used in the same area number is small, such as the area numbers 02, 03, and 04, and less than 3, a plurality of encrypted division information is stored in one client terminal. When it is transferred. Accordingly, in the area number 01, the divided copy data 0302, 0203, 0402 are stored. In addition, since there are two client terminals 04002 and 04001 available at the location corresponding to the area number 04, the first divided duplicate data 0103 is transferred to the client terminal 04002 in the fourth order. Next, the divided duplicate data 0303 transferred to the same area number 04 is transferred to the client terminal 04001 in the eighth order. Further, the divided copy data 0301 transferred to the same area number 04 is transferred to the client terminal 04002 in the 12th order. In addition, since there is only one usable terminal of the client terminal 02001 in the area number 02, the divided copy data 0403, 0101, and 0202 are distributed and transferred to the second, sixth, and tenth, respectively.
この例では、地域間で、均等に分割する場合を想定した例を示したが、地域毎に、重みつけを変更して分散転送する方法も、同様に可能であることは言うまでもない。また、地域毎の分散転送する際のバランスを無視し、ランダムに分散転送する方法も、容易に実現可能である。また、分割複製総数(α・β)=400で、地域数が10の場合には各地域毎に40端末以上が利用可能であれば十分であり、産業利用上の実用性も十分に高いと考えられる。以上述べたように、クライアント端末名と、ランダムに並べ替えられた、分割複製データファイル名リストとは、対応付けを考慮して転送する必要がある。 In this example, an example in which the area is equally divided is shown. However, it is needless to say that a method of distributed transfer by changing the weight for each area is also possible. In addition, it is possible to easily realize a method of scatter-transferring at random, ignoring the balance at the time of distributed transfer for each region. Further, when the total number of divided replicas (α · β) = 400 and the number of regions is 10, it is sufficient that 40 or more terminals can be used for each region, and the practicality for industrial use is sufficiently high. Conceivable. As described above, the client terminal name and the divided and duplicated data file name list rearranged at random need to be transferred in consideration of the correspondence.
以上述べたように、クライアント端末と、ランダムに並べ替えられた分割複製データとは、対応付けを考慮して転送する必要がある。図18に、地域グループ内のクライアント端末への分割複製データの転送処理フローを示す。クライアント端末に優先順位毎に転送されることを想定している。実際の運用に当たっては、1つの地域グループ内に、暗号化済分割情報のすべてがそろわないようにする工夫は、当該の地域ごとに、分割されたデータファイルがどのように配備されているかのデータを参照することにより、容易に可能である。 As described above, it is necessary to transfer the client terminal and the divided copy data rearranged at random in consideration of the association. FIG. 18 shows a flow of processing for transferring divided duplicate data to client terminals in the regional group. It is assumed that data is transferred to the client terminal for each priority. In actual operation, the idea to prevent all of the encrypted division information from being collected in one regional group is data on how the divided data files are deployed for each region. It is easily possible by referring to.
以上、説明したように、第1の暗号化鍵及びファイルシーケンス情報やクライアント端末情報など、それぞれ、別の地域、あるいは、同一地域内の物理的に異なるサーバに、監視制御装置側からの、制御コマンド等により、分散配置することが、自由に制御できるネットワークメカニズムを具備することにより、グリッドコンピューティング技術を用いたディザスタリカバリシステムの安全性及び信頼性を飛躍的に向上することが可能となる。 As described above, the first encryption key, file sequence information, client terminal information, etc. are controlled from the monitoring control device side to different regions or physically different servers in the same region. By providing a network mechanism that can be freely controlled by a command or the like, it is possible to dramatically improve the safety and reliability of the disaster recovery system using the grid computing technology.
図14は、本実施形態に係る監視制御装置の動作の一例を示すフローである。
ステップS301では、クライアント端末状態報告要求送信手段37−1が、各クライアント端末10に対し、クライアント端末状態報告要求を送信する。ここで、クライアント端末状態報告要求は、リソース情報伝達手段15に格納されているクライアント端末状態を送信する旨の要求である。クライアント端末状態とは、クライアント端末10自身の状態示す情報であり、例えば、CPUの使用率、メモリ、ハードディスクの空き容量である。
ステップS302では、スループット等測定手段37−3が、規定時間以内にクライアント端末状態送信手段14−2からクライアント端末状態情報を受信したか否かを判断する。スループット等測定手段37−3が、規定時間以内にクライアント端末状態情報送信手段14−2からクライアント端末状態情報を受信したと判断した場合、ステップS303に移行する。一方、スループット等測定手段37−3が、規定時間以内にクライアント端末状態情報送信手段14−2からクライアント端末状態情報を受信しなかったと判断した場合、ステップS305に移行する。
FIG. 14 is a flowchart illustrating an example of the operation of the monitoring control device according to the present embodiment.
In step S <b> 301, the client terminal status report request transmission unit 37-1 transmits a client terminal status report request to each
In step S302, the throughput measuring unit 37-3 determines whether or not the client terminal state information is received from the client terminal state transmitting unit 14-2 within a specified time. If the measuring means 37-3 for throughput etc. determines that the client terminal status information is received from the client terminal status information transmitting means 14-2 within the specified time, the process proceeds to step S303. On the other hand, when the throughput measuring unit 37-3 determines that the client terminal state information is not received from the client terminal state information transmitting unit 14-2 within the specified time, the process proceeds to step S305.
ステップS303では、スループット等測定手段37−3が、ステップS301におけるクライアント端末状態報告要求の送信から、クライアント端末状態情報送信手段14−2からのクライアント端末状態情報の受信までの応答時間を測定する。
ステップS304では、スループット等測定手段37−3が、受信したクライアント端末状態情報及び測定した応答時間から、スループットを算出する。ここで、スループットは、例えば、スループット等測定手段37−3が送出した測定用データ量がX(bit)であり、この返信要求に対する応答までにY(秒)の応答時間を要した場合には、(X/Y)(bit/s)をスループット値として算出する。そして、スループット等測定手段37−3は、受信したクライアント端末状態情報、測定した応答時間及びスループットを、情報格納手段32に格納する。
ステップS305では、スループット等測定手段37−3が、クライアント端末状態情報送信手段14−2から規定時間以内にクライアント端末状態情報を受信しなかったことを確認し、クライアント端末10の使用不可能と決定する。ここで、確認は、例えばクライアント端末状態報告要求受信手段14−1において受信が正常に行われなかったことを認識することで行う。
ステップS306では、情報格納手段32に、クライアント端末10が使用「不能」である旨を登録する。ステップS305において規定時間内に当該ファイルを受信できない場合のほかに、次の手順によってクライアント端末10の「正常」、「不能」又は「異常」を確認してもよい。
In step S303, the throughput measuring unit 37-3 measures the response time from the transmission of the client terminal state report request in step S301 to the reception of the client terminal state information from the client terminal state information transmitting unit 14-2.
In step S304, the throughput measuring unit 37-3 calculates the throughput from the received client terminal state information and the measured response time. Here, the throughput is, for example, when the measurement data amount transmitted by the measuring means 37-3 such as the throughput is X (bit), and a response time of Y (seconds) is required until a response to this reply request. , (X / Y) (bit / s) is calculated as a throughput value. The throughput measuring unit 37-3 stores the received client terminal state information, the measured response time, and the throughput in the
In step S305, the throughput measurement unit 37-3 confirms that the client terminal state information has not been received within the specified time from the client terminal state information transmission unit 14-2, and determines that the
In step S306, the
図15は、スループット等測定手段37−3がクライアント端末の「正常」、「不能」又は「異常」を確認する動作の一例を示すフローチャートである。
ステップS401では、クライアント端末状態報告要求送信手段37−1が、クライアント端末状態報告要求受信手段14−1に、クライアント端末状態報告要求を送信する。
ステップS402では、スループット等測定手段37−3が、クライアント端末状態報告要求受信手段14−1から、規定タイミング内での応答があったか否かを判定する。応答があった場合ステップS403へ移行し、応答がなければステップS407へ移行する。
ステップS407では、スループット等測定手段37−3が、ステップS402において規定タイミング内での応答がなかった当該IDを持つクライアント端末10が使用「不能」であると決定し、その旨を当該IDに対して登録する。
FIG. 15 is a flowchart showing an example of an operation in which the throughput measuring means 37-3 confirms “normal”, “impossible”, or “abnormal” of the client terminal.
In step S401, the client terminal status report request transmitting unit 37-1 transmits the client terminal status report request to the client terminal status report request receiving unit 14-1.
In step S402, the throughput measuring unit 37-3 determines whether or not there is a response from the client terminal state report request receiving unit 14-1 within a specified timing. If there is a response, the process proceeds to step S403, and if there is no response, the process proceeds to step S407.
In step S407, the measurement means 37-3 such as the throughput determines that the
ステップS403では、スループット等測定手段37−3が、CPU使用率は閾値以下か否かを判定する。ここで、閾値は、クライアント端末10が高いCPU使用率のもとで、マスターサーバ20からの暗号化済分割情報を受信しないような状態を実現せしめるために適切な値を設定する。例えば、CPU使用率が20%以下であれば、他のプロセスの実行には大きな影響を与えないとの判断を行った場合、または、クライアント端末10からの要求条件がこの値であれば使用可能との別途の契約があった場合には、当該閾値として20%を設定する。
ステップS404では、スループット等測定手段37−3が、クライアント端末10が十分な空きメモリをもっているかどうかを判定することにより使用可能か否かの判断を行う。ここで、閾値は、クライアント端末10が少ない空きメモリ領域のもとで、マスターサーバ20からの暗号化済分割情報を受信し得ないような状態を実現せしめるために適切な値を設定する。例えば、全体で2GBのメモリを持つクライアント端末10が、空きメモリ領域として全体の50%である1GBをもっている場合には、メモリ空き領域が1GB以上であれば、他のプロセスの実行には大きな影響を与えないとの判断を行った場合、または、クライアント端末10からの要求条件が、この値であれば使用可能との別途の契約があった場合には、当該閾値として1GBを設定する。
ステップS405では、スループット等測定手段37−3が、クライアント端末10が十分なハードディスク空き領域をもっているかどうかを判定することにより使用可能か否かの判断を行う。ここで、十分かどうかは、例えば、全体で100GBのハードディスク領域を持つクライアント端末が、空きハードディスク空き領域として全体の80%である80GBをもっている場合には、ハードディスク空き領域が80GB以上であれば、他のプロセスの実行には大きな影響を与えないとの判断を行った場合、または、クライアント端末10からの要求条件が、この値であれば使用可能との別途の契約があった場合には、当該閾値として80GBで十分と判断する。
In step S403, the throughput measuring unit 37-3 determines whether or not the CPU usage rate is equal to or less than a threshold value. Here, the threshold value is set to an appropriate value in order to realize a state in which the
In step S404, the throughput measuring means 37-3 determines whether or not the
In step S405, the throughput measurement unit 37-3 determines whether the
ステップS406では、スループット等測定手段37−3が、ステップS403からステップS405での判断が正常であったことを「正常」と決定し、その旨を当該IDに対して登録する。
ステップS408では、スループット等測定手段37−3が、当該IDを持つクライアント端末に対して、ステップS403からステップS405までの判断のうち、いずれかが、満足されなかったことを「異常」と決定し、その旨を当該IDに対して登録する。ここで、確認は、スループット等測定手段37−3に返信されたメッセージの内容を照合することにより行う。また、登録処理では、情報格納手段32に、全てのクライアント端末10のIDに対して、「正常」、「異常」、「不能」の識別を行うと共に、関連する詳細情報(例えばリソース情報)を含めたリストを作成する。例えば、ステップS403〜S405での判断が正常であったことを確認できた場合には、当該クライアント端末10に対して正常登録処理が行われた旨の結果を格納する。
In step S406, the throughput etc. measuring means 37-3 determines that the judgment in steps S403 to S405 is normal, and registers that fact for the ID.
In step S408, the throughput measurement unit 37-3 determines that any of the determinations from step S403 to step S405 is not satisfied for the client terminal having the ID as “abnormal”. That fact is registered for the ID. Here, the confirmation is performed by collating the contents of the message returned to the throughput measuring means 37-3. In the registration process, “normal”, “abnormal”, and “impossible” are identified in the
図16は、クライアント端末10の使用可否の登録の一例を示すフローチャートである。
ステップS501では、データファイルの初期設定を行う。初期設定は、バックアップの対象となるデータファイルのファイルサイズ、クライアント端末10の故障率、依頼者が要求する暗号強度に応じた分割数、暗号化済分割情報の数に対応したバックアップ確率、利用可能となるクライアント端末数を、情報格納手段21から読み出し、総合的に判断して、ファイルの分割数、分割ファイルの複製数を決定する。
FIG. 16 is a flowchart illustrating an example of registration of availability of the
In step S501, the data file is initialized. Initial settings include the file size of the data file to be backed up, the failure rate of the
例えば、秘匿化手段22における、分割手段でのデータファイルの分割数がn、複製手段での分割ファイル当たりの複製数がm、クライアント端末10の故障率がp(<<1)である場合を想定し、クライアント端末10がランダムに故障すると仮定すると、マスターサーバ20が故障した時のファイルの復元確率は、回復率≒(1−Pm)n≒1−nPmとなる。したがって、仮に、合計100MBのデータファイルをバックアップする場合、利用可能クライアント端末10の数が200あり、かつ、クライアント端末10の故障率が20%(=1/5)であり、バックアップ依頼者の要求するディザスタ発生時の回復確率が、99.999%以上である場合を仮定する。この時、分割数nを20、複製数mを10と設定すると、回復率≒1−nPm=0.999998となり、バックアップ依頼者の要求条件を満足することができる。
For example, in the
ステップS502では、送信先決定手段28が、クライアント端末と監視制御装置間で必要となる実効的な回線速度の閾値に対する判断および設定を行う。ここで、閾値は、仮にディザスタがマスターサーバ20で発生した時の分割データの回収時間が大幅に遅れないようにするための必要十分な時間を、監視制御装置30が推定することによりマスターサーバ20(あるいは、場合によっては監視制御装置30)が設定する。
ステップS503では、送信先決定手段28が、監視制御装置30から転送された全クライアント端末リストのクライアント端末状態情報の読み出し及び確認を行う。ここで、クライアント端末リストは情報格納手段21から取得する。クライアント端末リストは、スループット、CPUの使用率、メモリ空き領域、ハードディスクの空き領域の大きさや、「正常」「異常」「使用不能」状態などが記されており、i行目を読み込むため、「正常」情報が格納されていることが好ましい。
In step S502, the transmission
In step S <b> 503, the transmission
ステップS504では、送信先決定手段28が、クライアント端末10の使用可否の登録を当該クライアント端末の応答時間またはスループットを読み出し、この値が予め設定された閾値を満足しているか否かの判断を行う。ここで、閾値は、クライアント端末10がバックアップ処理を実施することにより、他のプロセスの実行に影響を与えないことと、迅速なバックアップが実現できるように実行できることを可能とすることを目標として設定する。
ステップS505では、送信先決定手段28が、クライアント端末10が使用可能である旨を登録する。例えば、情報格納手段21に、「正常」すなわち使用可能な状態にある旨を表記する情報を格納する。「正常」の旨を表記する情報は、互いにクライアントID、CPU使用率、空きハードディスク容量、応答時間等と関連付けられていることが好ましい。
そして、ステップS503からステップS505までをiの値が2からNになるまで繰り返し、iの値がNになると終了する。
一方、ステップS506では、送信先決定手段28が、クライアント端末10が使用不可能である旨を登録する。例えば、情報格納手段21に、「異常」または「不能」の旨を表記する情報を格納する。「異常」または「不能」の旨を表記する情報は、互いにクライアントID、CPU使用率、空きハードディスク容量、応答時間等と関連付けられていることが好ましい。この登録の後、まだ、すべてのクライアントに対する処理が終了していない場合には、端末リスト番号を1追加して、クライアント端末リストのi行目の読み込みの処理(S503)に遷移する。
In step S504, the transmission
In step S505, the transmission
Steps S503 to S505 are repeated until the value of i changes from 2 to N, and the process ends when the value of i becomes N.
On the other hand, in step S506, the transmission
図17は、送信先決定手段28による暗号化済分割情報のランダム並べ替えのための実施例の一例を示すフローチャートである。
ステップS601では、前述した暗号化の強度や回復時間、利用可能端末数の情報に基づいて、分割数αおよび複製数βを設定する。ステップS602では、乱数の種S1及びS2を設定する。これにより、どの分散されたクライアント端末10に、適切にシャフリングして転送するかに関わる処理を行うことができる。ここで、乱数の種S1及びS2とは、ステップS603で生成させる乱数の種類であり、例えば、5桁程度の整数乱数発生アルゴリズムを用いて作成される。基本的には、周期性が容易に推定できない程度のものに選定されることで足りる。初期設定においても、周期性が推定できないような基準で行えばよい。例えば、現在の時刻を秒単位で表現したときの上位5桁などで足りる。
FIG. 17 is a flowchart showing an example of an embodiment for random rearrangement of encrypted division information by the transmission destination determination means 28.
In step S601, the division number α and the replication number β are set based on the information on the encryption strength, the recovery time, and the number of available terminals. In step S602, random number seeds S1 and S2 are set. Thereby, it is possible to perform processing related to which distributed
ステップS603では、暗号鍵となる文字列X(p)及び文字列Y(q)を生成するための前準備として、乱数p及びqを生成する。例えば、(0.1)の範囲内で、一様分布に従う乱数p及びqの生成を行う。ステップS604では、文字列X(p)、Y(q)の生成および連結を行う。例えば、分割数αが10であり、仮に、乱数pを0.33と仮定すると、文字列X(p)は、次式で求められる。
ここで、文字列X(p)を例えば、10進2桁の数値で表現すると仮定すると、文字列X(p)=”04”となる。実際には、分割数の大きさによって、3桁以上で表現する場合も同様に可能である。また、複製数βの設定により、文字列Y(q)も同様に決定することができ、X(p)及びY(q)を相互に組み合わせて連結することにより、最終的な文字列の組み合わせとしてX(p)及びY(q)を生成することができる。 Here, assuming that the character string X (p) is expressed by, for example, a two-digit decimal number, the character string X (p) = “04”. Actually, it can be similarly expressed in the case of expressing with three or more digits depending on the size of the division number. Also, the character string Y (q) can be determined in the same manner by setting the number of copies β, and the final character string combination can be obtained by combining X (p) and Y (q) in combination. X (p) and Y (q) can be generated as
ステップS605では、新しく生成されたX(p)及びY(q)が、既に生成されていた一連の組み合わせを参照し、新しい文字列X(p)及びY(q)が既に登録されているか否かを判定する。ステップS605において、文字列X(p)及び文字列Y(q)が既に登録されていればステップS609に移行し、登録されていなければステップS606に移行する。
ステップS606では、文字列X(p)及び文字列Y(q)を登録する。例えば、情報格納手段21又は送信先決定手段28に、文字列X(p)及び文字列Y(q)を格納する。
ステップS607では、登録の組み合わせ総数Nのカウントアップを行う。ステップS608では、登録の組み合わせ総数Nが必要数(α・β)に達しているかどうかの判断を行う。
ステップS609では、新たな乱数p、qを生成するために必要な、乱数の種S1及びS2の数値のカウントアップを行う。
In step S605, newly generated X (p) and Y (q) refer to a series of combinations that have already been generated, and whether or not new character strings X (p) and Y (q) have already been registered. Determine whether. In step S605, if the character string X (p) and the character string Y (q) are already registered, the process proceeds to step S609, and if not registered, the process proceeds to step S606.
In step S606, a character string X (p) and a character string Y (q) are registered. For example, the character string X (p) and the character string Y (q) are stored in the
In step S607, the total number N of registered combinations is counted up. In step S608, it is determined whether or not the total number N of registered combinations has reached the required number (α · β).
In step S609, the numerical values of random numbers S1 and S2 necessary for generating new random numbers p and q are counted up.
図18は、本実施形態に係る送信先決定手段28及び暗号化済分割情報送信手段23における動作の一例を示すフローチャートである。
ステップS701では、分割複製数決定手段27が、ファイルデータに対する分割数と複製数を設定する。ここで、設定は、前述した暗号化の強度や回復時間、利用可能端末数の情報を基準に行う。例えば、分割数は、データファイルを情報格納手段21から読出し、読み出したデータファイルの容量に応じて設定する。ステップS702では、秘匿化手段22がデータファイルを秘匿化し、その後で、送信先決定手段28が、どの分散されたクライアント端末10に、適切にシャフリングして転送するかに関わる処理を行うことで、分割複製データファイル名リストを作成する。
FIG. 18 is a flowchart showing an example of operations in the transmission
In step S701, the divided copy
ステップS703では、送信先決定手段28が、監視センタ30から転送された全クライアント端末リストのリソースに関する情報の読み出し・チェックを行う。クライアント端末リストは、情報格納手段21から取得する。情報格納手段21には、各クライアント端末10の識別情報とともに地域情報が格納されており、地域グループに属するか否かは、地域情報に基づいて判断する。
ステップS704では、暗号化済分割情報送信手段23が、ステップS703で対応付けたクライアント端末に対して、暗号化済分割情報を送信する。
ステップS705では、暗号化済分割情報送信手段23が、分割複製データファイル名リストに対応付けられたクライアント端末10の全てに対する送信が終了したか否かを判定する。送信が終了していない場合にはステップS704に移行し、再度ステップS704及びステップS705を繰り返す。一方、ステップS705において送信が終了した場合には、処理を終了する。
In step S <b> 703, the transmission
In step S704, the encrypted division
In step S705, the encrypted division
本発明は、通信ネットワークを用いて、データファイルをリカバリするために必要となるメタデータを含むデータベース情報を、超分散化し、かつネットワーク上に分散配備されるメタデータを含むデータベース用サーバに分散転送することにより、マスターサーバが管理する重要なデータファイルを安全かつ効率的にバックアップすることができるため、大規模かつ重要なデータベースを災害から保護し、画期的な安全と信頼性向上の効用の双方を、産業界に提供することができる。特に、分散されたPCを対象としてバックアップ手法以外に、携帯端末を、グリッドクライアントノードとしても、活用することにより、その産業界に与える効用は計り知れない。 The present invention uses a communication network to distribute database information including metadata necessary for data file recovery to a database server including metadata that is super-distributed and distributed on the network. As a result, important data files managed by the master server can be backed up safely and efficiently, protecting large-scale and important databases from disasters, and improving the safety and reliability of groundbreaking. Both can be provided to industry. In particular, in addition to the backup method for distributed PCs, the utility given to the industry by using portable terminals as grid client nodes is immeasurable.
10 クライアント端末
11 暗号化済分割情報受信手段
12 情報格納手段
13 生存確認情報送信手段
14−1 クライアント端末状態報告要求受信手段
14−2 クライアント端末状態情報送信手段
15 リソース情報伝達手段
20 マスターサーバ
21 情報格納手段
22−1 第1暗号化手段
22−2 一体化手段
22−3 分割手段
22−4 複製手段
22−5 第2暗号化手段
23 暗号化済分割情報送信手段
24 秘匿化情報送信手段
25−1 ファイルシーケンス秘密分散処理手段
25−2 暗号鍵秘密分散処理手段
26 クライアント端末リスト受信手段
27 分割複製数決定手段
28 送信先決定手段
30、30a、30b、30c 監視制御装置
31 情報受信手段
32 情報格納手段
33 情報送信手段
34 秘密分散処理手段
37−1 クライアント端末状態報告要求送信手段
37−2 クライアント端末状態情報受信手段
37−3 スループット等測定手段
38 クライアント端末リスト送信手段
40、40a、40b、40c バックアップ装置
41−1、41−2、41−3 バックアップ情報受信手段
42−1、42−2、42−3 バックアップ情報格納手段
100 通信ネットワーク
DESCRIPTION OF
Claims (4)
前記マスターサーバは、
データファイルを第1の暗号鍵で暗号化し、暗号化した前記ファイルデータを複数の分割データに分割し、前記分割データを複製し、複製した前記分割データを第2の暗号鍵で暗号化して出力する秘匿化手段と、
前記秘匿化手段の出力する暗号化済分割情報を前記複数のクライアント端末に送信する暗号化済分割情報送信手段と、
前記第1の暗号鍵で暗号化した前記ファイルデータの分割から前記分割データを第2の暗号鍵で暗号化するまでの前記秘匿化手段の手順を記録したファイルシーケンス情報及び前記第1の暗号鍵をそれぞれ複製し、前記複数の監視制御装置のうちの異なる監視制御装置に送信する秘匿化情報送信手段と、を備え、
前記複数のクライアント端末は、
前記暗号化済分割情報送信手段の送信する暗号化済分割情報を受信する暗号化済分割情報受信手段と、
前記暗号化済分割情報受信手段の受信する前記暗号化済分割情報を格納する暗号化済分割情報格納手段と、を備え、
前記複数の監視制御装置は、
前記秘匿化情報送信手段の送信する前記ファイルシーケンス情報又は前記第1の暗号鍵を受信する秘匿化情報受信手段と、
前記秘匿化情報受信手段の受信する前記ファイルシーケンス情報又は前記第1の暗号鍵を格納する秘匿化情報格納手段と、を備えることを特徴とするネットワークシステム。 In a network system in which at least one master server, a plurality of monitoring control devices, and a plurality of client terminals are connected to each other via a communication network,
The master server is
A data file is encrypted with a first encryption key, the encrypted file data is divided into a plurality of divided data, the divided data is copied, and the copied divided data is encrypted with a second encryption key and output. Concealment means,
Encrypted division information transmission means for transmitting the encrypted division information output by the concealment means to the plurality of client terminals;
File sequence information recording the procedure of the concealment means from the division of the file data encrypted with the first encryption key to the encryption of the divided data with the second encryption key, and the first encryption key Respectively, and concealment information transmitting means for transmitting to a different monitoring control device among the plurality of monitoring control devices,
The plurality of client terminals are:
Encrypted divided information receiving means for receiving encrypted divided information transmitted by the encrypted divided information transmitting means;
An encrypted division information storage means for storing the encrypted division information received by the encrypted division information reception means,
The plurality of monitoring and control devices include:
Concealment information receiving means for receiving the file sequence information or the first encryption key transmitted by the concealment information transmitting means;
A network system comprising: concealment information storing means for storing the file sequence information received by the concealment information receiving means or the first encryption key.
前記監視制御装置は、
前記秘匿化情報格納手段の格納する前記ファイルシーケンス情報又は前記第1の暗号鍵を、複数に分割して互いに可逆演算することで一体化し、秘密分散法を用いて複数のバックアップ情報に分散させる秘密分散処理手段と、
前記秘密分散処理手段からの前記バックアップ情報を、前記複数のバックアップ装置のうちの異なるバックアップ装置に送信するバックアップ情報送信手段と、をさらに備え、
前記バックアップ装置は、
前記バックアップ情報送信手段の送信する前記バックアップ情報を受信するバックアップ情報受信手段と、
前記バックアップ情報受信手段の受信する前記バックアップ情報を格納するバックアップ情報格納手段と、をさらに備え、
前記秘密分散法は、前記秘密分散化情報送信手段が前記秘密分散化情報を送信する前記バックアップ装置の数をnとし、前記ファイルシーケンス情報又は前記第1の暗号鍵を復元するために必要な前記バックアップ装置の数をkとした場合に、完全置換系の表S(k,n,d)が、完全置換系の表S(k−1,n−1,d)の第n列に0を追加した表、及び、完全置換系の表S(k,n−1,d)の第n列に1を追加した表で表されることを特徴とする請求項1に記載のネットワークシステム。 A plurality of backup devices connected to the supervisory control device via a communication network;
The monitoring and control device includes:
A secret that is divided into a plurality of pieces of backup information using a secret sharing method by dividing the file sequence information or the first encryption key stored in the concealment information storage unit into a plurality of pieces and integrating them by a reversible operation. Distributed processing means;
Backup information transmission means for transmitting the backup information from the secret sharing processing means to a different backup device among the plurality of backup devices, and
The backup device is
Backup information receiving means for receiving the backup information transmitted by the backup information transmitting means;
Backup information storage means for storing the backup information received by the backup information receiving means,
In the secret sharing method, the number of backup devices to which the secret sharing information transmitting means transmits the secret sharing information is n, and the file sequence information or the first encryption key required to restore the file When the number of backup devices is k, the completely substituted table S (k, n, d) is set to 0 in the nth column of the completely substituted table S (k-1, n-1, d). 2. The network system according to claim 1, wherein the network system is represented by an added table and a table in which 1 is added to the n-th column of the completely substituted table S (k, n−1, d).
前記ファイルシーケンス情報を、複数に分割して互いに可逆演算することで一体化し、かつ、秘密分散法を用いて分散させるファイルシーケンス秘密分散処理手段と、
前記第1の暗号鍵を、複数に分割して互いに可逆演算することで一体化し、かつ、秘密分散法を用いて分散させる暗号鍵秘密分散処理手段と、をさらに備え、
前記秘匿化情報送信手段は、前記ファイルシーケンス秘密分散処理手段及び前記暗号鍵秘密分散処理手段からの前記ファイルシーケンス情報及び前記第1の暗号鍵を送信し、
前記秘密分散法は、前記バックアップ装置の数をnとし、前記ファイルシーケンス情報又は前記第1の暗号鍵を復元するために必要な前記バックアップ装置の数をkとした場合に、完全置換系の表S(k,n,d)が、完全置換系の表S(k−1,n−1,d)の第n列に0を追加した表、及び、完全置換系の表S(k,n−1,d)の第n列に1を追加した表で表されることを特徴とする請求項1又は2に記載のネットワークシステム。 The master server is
File sequence secret sharing processing means for dividing the file sequence information into a plurality of pieces and integrating them by performing reversible operations on each other, and distributing using a secret sharing method;
The first encryption key is further divided into a plurality of pieces, integrated by performing reversible operations on each other, and further comprising encryption key secret sharing processing means for distributing using the secret sharing method,
The concealment information transmitting means transmits the file sequence information and the first encryption key from the file sequence secret sharing processing means and the encryption key secret sharing processing means,
In the secret sharing method, when the number of the backup devices is n and the number of the backup devices necessary for restoring the file sequence information or the first encryption key is k, the table of the complete replacement system is used. S (k, n, d) is a table in which 0 is added to the n-th column of the fully substituted table S (k-1, n-1, d), and a completely substituted table S (k, n) The network system according to claim 1 or 2, wherein the network system is represented by a table in which 1 is added to the n-th column of (-1, d).
前記クライアント端末の状態を示すクライアント端末状態情報の送信を要求するクライアント端末状態報告要求を、前記複数のクライアント端末に送信するクライアント端末状態報告要求送信手段と、
前記クライアント端末から送信された前記クライアント端末状態情報を受信するクライアント端末状態情報受信手段と、
クライアント端末状態情報受信手段の受信する前記クライアント端末状態情報、及び、前記クライアント端末状態報告要求を送信してから前記クライアント端末状態情報を受信するまでの応答時間に基づいて、前記クライアント端末との間のスループットを測定するスループット等測定手段と、
クライアント端末状態情報受信手段の受信する前記クライアント端末状態情報及び前記スループット等測定手段の測定したスループットをクライアント端末リストとして前記マスターサーバに送信するクライアント端末リスト送信手段と、をさらに備え、
前記クライアント端末は、
前記クライアント端末状態報告要求送信手段の送信するクライアント端末状態報告要求を受信すると、クライアント端末の状態を検出してクライアント端末状態情報を出力するリソース情報伝達手段と、
前記リソース情報伝達手段の出力するクライアント端末状態情報を、前記監視制御装置へ送信するクライアント端末状態情報送信手段と、を備え、
前記マスターサーバは、
前記クライアント端末リスト送信手段の送信するクライアント端末リストに基づいて、前記秘匿化手段における分割数及び複製数を決定する分割複製数決定手段と、
前記クライアント端末リスト送信手段の送信するクライアント端末リストに基づいて、前記暗号化済分割情報送信手段における前記暗号化済分割情報を送信する前記クライアント端末を決定する送信先決定手段と、をさらに備え、
前記秘匿化手段は、前記分割複製数決定手段の決定する分割数及び複製数に分割及び複製し、
前記暗号化済分割情報送信手段は、前記送信先決定手段の決定する前記クライアント端末に前記暗号化済分割情報を送信することを特徴とする請求項1から3のいずれかに記載のネットワークシステム。 The monitoring and control device includes:
Client terminal status report request transmitting means for transmitting a client terminal status report request for requesting transmission of client terminal status information indicating the status of the client terminal to the plurality of client terminals;
Client terminal state information receiving means for receiving the client terminal state information transmitted from the client terminal;
Based on the client terminal status information received by the client terminal status information receiving means, and the response time from the transmission of the client terminal status report request to the reception of the client terminal status information. Measuring means such as throughput for measuring the throughput of
A client terminal list transmitting means for transmitting the client terminal status information received by the client terminal status information receiving means and the throughput measured by the measuring means such as the throughput to the master server as a client terminal list; and
The client terminal is
When receiving the client terminal status report request transmitted by the client terminal status report request transmitting means, resource information transmitting means for detecting the status of the client terminal and outputting the client terminal status information;
Client terminal status information transmitting means for transmitting the client terminal status information output by the resource information transmitting means to the monitoring control device, and
The master server is
Based on the client terminal list transmitted by the client terminal list transmission means, the division replication number determination means for determining the division number and the replication number in the concealment means;
Based on a client terminal list transmitted by the client terminal list transmitting means, further comprising a transmission destination determining means for determining the client terminal for transmitting the encrypted divided information in the encrypted divided information transmitting means,
The concealment means divides and duplicates the number of divisions and the number of duplications determined by the division / duplication number decision means,
4. The network system according to claim 1, wherein the encrypted division information transmission unit transmits the encrypted division information to the client terminal determined by the transmission destination determination unit. 5.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008209152A JP4538585B2 (en) | 2008-08-15 | 2008-08-15 | Network system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2008209152A JP4538585B2 (en) | 2008-08-15 | 2008-08-15 | Network system |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2010045670A true JP2010045670A (en) | 2010-02-25 |
| JP4538585B2 JP4538585B2 (en) | 2010-09-08 |
Family
ID=42016650
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2008209152A Expired - Fee Related JP4538585B2 (en) | 2008-08-15 | 2008-08-15 | Network system |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4538585B2 (en) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2013524352A (en) * | 2010-03-31 | 2013-06-17 | セキュリティー ファースト コーポレイション | System and method for securing data in motion |
| JP2013235535A (en) * | 2012-05-11 | 2013-11-21 | Nippon Yunishisu Kk | Data management system and data management program |
| JP2016115036A (en) * | 2014-12-12 | 2016-06-23 | エヌ・ティ・ティ・ソフトウェア株式会社 | Data storage control device, data storage control method, and program |
| JP2022528578A (en) * | 2019-05-22 | 2022-06-14 | ミョータ インコーポレイテッド | Methods and systems for distributed data storage with enhanced security, resilience, and control |
| US11435988B2 (en) | 2018-09-20 | 2022-09-06 | Nec Corporation | Conversion apparatus, conversion method and program |
-
2008
- 2008-08-15 JP JP2008209152A patent/JP4538585B2/en not_active Expired - Fee Related
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2013524352A (en) * | 2010-03-31 | 2013-06-17 | セキュリティー ファースト コーポレイション | System and method for securing data in motion |
| JP2013525876A (en) * | 2010-03-31 | 2013-06-20 | セキュリティー ファースト コーポレイション | System and method for securing data in motion |
| JP2013235535A (en) * | 2012-05-11 | 2013-11-21 | Nippon Yunishisu Kk | Data management system and data management program |
| JP2016115036A (en) * | 2014-12-12 | 2016-06-23 | エヌ・ティ・ティ・ソフトウェア株式会社 | Data storage control device, data storage control method, and program |
| US11435988B2 (en) | 2018-09-20 | 2022-09-06 | Nec Corporation | Conversion apparatus, conversion method and program |
| JP2022528578A (en) * | 2019-05-22 | 2022-06-14 | ミョータ インコーポレイテッド | Methods and systems for distributed data storage with enhanced security, resilience, and control |
| AU2020279052B2 (en) * | 2019-05-22 | 2022-10-06 | Myota, Inc. | Method and system for distributed data storage with enhanced security, resilience, and control |
| JP7173646B2 (en) | 2019-05-22 | 2022-11-16 | ミョータ インコーポレイテッド | Methods and systems for distributed data storage with enhanced security, resilience and control |
Also Published As
| Publication number | Publication date |
|---|---|
| JP4538585B2 (en) | 2010-09-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11256558B1 (en) | Prioritized data rebuilding in a dispersed storage network based on consistency requirements | |
| AU2018236850B2 (en) | Storage and retrieval of crytographically-split data blocks to/from multiple storage devices | |
| EP3345360B1 (en) | Method for storing an object on a plurality of storage nodes | |
| Jiang et al. | A secure and scalable storage system for aggregate data in IoT | |
| JP6312344B2 (en) | Security device, method thereof, and program | |
| TWI291111B (en) | Method, system, and computer readable medium with related instructions recorded there on for data synchronization | |
| JP4296304B2 (en) | Disaster recovery apparatus, disaster recovery program, recording medium therefor, and disaster recovery system | |
| US20100161919A1 (en) | Block-level data storage using an outstanding write list | |
| JP4538585B2 (en) | Network system | |
| CN107210006A (en) | Mismatch detection method, inconsistent detecting system, inconsistent detection means and program | |
| JP2008250369A (en) | Management method of secrete data file, management system and proxy server therefor | |
| US20200052901A1 (en) | Secure audit scheme in a distributed data storage system | |
| US20100162004A1 (en) | Storage of cryptographically-split data blocks at geographically-separated locations | |
| US20100162003A1 (en) | Retrieval of cryptographically-split data blocks from fastest-responding storage devices | |
| US20190004727A1 (en) | Using a namespace to augment de-duplication | |
| WO2010068377A2 (en) | Simultaneous state-based cryptographic splitting in a secure storage appliance | |
| JP6617253B1 (en) | Document management system | |
| Kapusta et al. | Data protection by means of fragmentation in distributed storage systems | |
| CN108733516A (en) | Cloudy secure storage dynamic equilibrium backup method and system | |
| JP2012226544A (en) | Information processing system and data backup method | |
| Xu | Hydra: A platform for survivable and secure data storage systems | |
| Yoosuf et al. | Fogdedupe: A fog-centric deduplication approach using multi-key homomorphic encryption technique | |
| US20190007380A1 (en) | De-duplication of data streams | |
| Xu et al. | Hass: Highly available, scalable and secure distributed data storage systems | |
| US20220368757A1 (en) | Managing Error Recovery Data in a Dispersed Storage Network |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100512 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4538585 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130702 Year of fee payment: 3 |
|
| S531 | Written request for registration of change of domicile |
Free format text: JAPANESE INTERMEDIATE CODE: R313531 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130702 Year of fee payment: 3 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |