JP2013120515A - 電子データ管理システムおよび情報処理装置および電子データ管理プログラムならびに電子データ管理方法 - Google Patents

電子データ管理システムおよび情報処理装置および電子データ管理プログラムならびに電子データ管理方法 Download PDF

Info

Publication number
JP2013120515A
JP2013120515A JP2011268574A JP2011268574A JP2013120515A JP 2013120515 A JP2013120515 A JP 2013120515A JP 2011268574 A JP2011268574 A JP 2011268574A JP 2011268574 A JP2011268574 A JP 2011268574A JP 2013120515 A JP2013120515 A JP 2013120515A
Authority
JP
Japan
Prior art keywords
data
electronic data
electronic
distributed
partial
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2011268574A
Other languages
English (en)
Other versions
JP5778017B2 (ja
Inventor
Yutaka Hokura
豊 保倉
Sanji Kawashiro
三治 川城
Atsushi Sato
敦 佐藤
Soichi Saishu
壮一 最首
Toshifumi Shintani
敏文 新谷
Takeshi Kaneko
剛 金子
Hirohito Yoshioka
浩仁 吉岡
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
INTELLECTUAL PROPERTY CO Ltd
Nomura Research Institute Ltd
Original Assignee
INTELLECTUAL PROPERTY CO Ltd
Nomura Research Institute Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by INTELLECTUAL PROPERTY CO Ltd, Nomura Research Institute Ltd filed Critical INTELLECTUAL PROPERTY CO Ltd
Priority to JP2011268574A priority Critical patent/JP5778017B2/ja
Publication of JP2013120515A publication Critical patent/JP2013120515A/ja
Application granted granted Critical
Publication of JP5778017B2 publication Critical patent/JP5778017B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Abstract

【課題】電子データを分散管理する際に、証明局に部分データの一部を保管し、復元の際は、証明局に保管された部分データを必ず含む所定の数以上の部分データを集めれば元データを復元することができる電子データ管理システムを提供する。
【解決手段】ユーザ端末100は、電子データの保管の際に、秘密分散によりキーデータと部分データとを生成し、部分データに基づいて秘密分散によりn個の分散データを生成する分割部110と、復元の際に、k個以上の分散データに基づいて部分データを復元し、部分データとキーデータとから電子データを復元する復元部130と、保管の際には、キーデータを証明局200に供託し、n個の分散データをデータセンター300に分散保管し、復元の際には、キーデータを証明局200から取得し、k個の分散データをデータセンター300から取得し、キーデータと分散データを復元部130に受け渡す分散管理部120とを有する。
【選択図】図1

Description

本発明は、電子データの管理技術に関し、特に、重要データを秘密分散により複数の非重要データに分割して分散管理する電子データ管理システムおよび情報処理装置および電子データ管理プログラムならびに電子データ管理方法に適用して有効な技術に関するものである。
情報システムを有する企業等においては、情報漏洩などの情報セキュリティ事故を防止するため、機密性の高いデータなどの重要なデータを保護する手段を講じる必要がある。一方でこれらを実現するための様々な手段も提案されている。
重要データを保護するための手段として、例えば、企業等が重要データをセキュリティ対策が多重に施されたデータセンターに保管することが考えられる。しかしながら、外部からアクセス可能なプライベートなデータセンターを独自に構築・運用するのは技術面・コスト面等で多大な負荷を要し、中小企業等にとっては実現は困難である。
これに対して企業等が、第三者が運用してサービスとして外部に提供しているデータセンターを利用することも考えられる。しかし、第三者が運用管理するデータセンターに自社の重要データを保管することは、情報漏洩や情報破損などの高いリスクを伴う。ましてや近年利用が拡大しているクラウドコンピューティング環境における仮想データセンターや仮想サーバに重要データを保管することは、上記リスクに加えて、データの実際の保管場所の把握ができないため、保管場所が存在する地域のリスクや管理状態に対しての不安が残り、非常にリスクが高い。
一方、重要データを保管する際に、データを秘匿化したり改竄を防止したりする手段を講じて保管することも行われている。一般的には、暗号鍵を用いて重要データを暗号化して保管することが行われているが、この場合、暗号化されてはいるものの、重要データ内の全ての情報は暗号化データが保管された場所に存在していることになる。従って、例えば暗号化データが第三者に取得されたような場合、何らかの理由で当該第三者に暗号鍵も取得・解読された場合は容易に元データが復元されてしまう恐れがある。また、暗号鍵を取得されなくとも、暗号鍵が有限長であることから、理論上は有限回数の試行によって暗号化されたデータから元データが復元されてしまう可能性を有する。
これに対し、重要データを強固に秘匿化する手法として、いわゆる秘密分散の技術も用いられている。秘密分散では、重要データを分割・分散することで、分割されたデータ片だけでは意味のない(元データを復元・推測できない)非重要データにすることができる。これにより、一部の非重要データが第三者に取得された場合でも、第三者による元データの復元を理論上も不可能とすることができる。
秘密分散の手法としては種々のものが提案されている。例えば、特許第4039810号明細書(特許文献1)には、電子情報ファイルを複数の情報エレメントに分割し、分割された情報エレメントを選択し順序を変えて組み合わせることにより、2個以上の情報ブロックであって全ての情報ブロックを統合しなければ全ての情報エレメントを含むことにならないような情報ブロックを生成し、情報エレメントに分割した方法に係る分割情報と情報ブロックを生成した方法に係る形成情報を記録した分割抽出データを生成し、各情報ブロックと分割抽出データとのうち、少なくとも1つを証明局に保管し、他を分離して別々に保管することで電子情報の安全を確保する技術が開示されている。
一方、元データに対する部分データ(情報ブロック、非重要データ)を全て集めなくとも所定の個数以上集めれば元データを復元可能な秘密分散の手法として、例えば、非特許文献1に記載されたような多項式補間を用いた(k,n)閾値秘密分散法が従来から用いられている。この手法によれば、n個に分散した部分データのうち少なくともk個(k≦n)を集めれば元データを復元することができる。また、この手法をさらに改良した種々の閾値秘密分散法も提案されている。
これに関連して、例えば、特開2009−139990号公報(特許文献2)には、記憶装置に格納されたデータを、復元の際に基準個数の部分データが必要となる秘密分散法により、基準個数以上の所定の個数の部分データに分割する分割部と、部分データを他の情報処理装置に送信するとともに記憶装置から削除する送信部と、記憶装置へデータを復元する場合に、他の情報処理装置から部分データを取得して記憶装置に格納する取得部と、基準個数の部分データが記憶装置に格納されたことを条件にデータを復元する復元部とを備える情報処理装置が開示されている。
特許第4039810号明細書 特開2009−139990号公報
A.Shamir、"How to Share a Secret"、Communications of the ACM、vol.22 no.11 pp.612-613、1979.
特許文献1に記載された技術では、秘密分散された部分データ(情報ブロック)の全てを集めなければ元データを復元することができない。従って、部分データのうちの1つをいわゆる“信頼できる第三者機関("Trusted Third Party"、以下では単に「TTP」と記載する場合がある)”である証明局に供託しておくことで、元データの復元の際に必ず証明局を介在させることができ、セキュリティを向上させることができる。しかしながら、元データを復元する際には全ての部分データを集める必要があることから、部分データの紛失等、何らかの理由で部分データの少なくとも1つが取得不能となった場合は元データの復元が不可能になり、可用性に欠けるという課題がある。
一方、非特許文献1などに記載された閾値秘密分散法や、それらを用いた特許文献2に記載された技術では、秘密分散された全ての部分データを集めなくとも閾値以上の個数を集めれば元データを復元することができる。しかしながら、例えば、部分データの一部を上記のような証明局に供託することを考えた場合、残りの部分データを閾値以上の個数集めればそれだけで元データを復元することが可能となり、証明局のようなTTPを介在させてセキュリティを向上させることが困難であるという課題がある。
そこで本発明の目的は、電子データを秘密分散により複数の部分データに分割して分散管理する際に、TTPである証明局に部分データの一部を保管し、元の電子データの復元の際は、証明局に保管された部分データを必ず含む所定の数以上の部分データを集めれば元データを復元することができる電子データ管理システムおよび情報処理装置および電子データ管理プログラムならびに電子データ管理方法を提供することにある。本発明の前記ならびにその他の目的と新規な特徴は、本明細書の記述および添付図面から明らかになるであろう。
本願において開示される発明のうち、代表的なものの概要を簡単に説明すれば、以下のとおりである。
本発明の代表的な実施の形態による電子データ管理システムおよび当該システムを構成する情報処理装置および電子データ管理プログラムならびに当該電子データ管理システムにおける電子データ管理方法は、ユーザからセキュアな保管を指示された電子データについて、前記電子データを秘密分散により複数の非重要データに分割し、分割された前記各非重要データを分散保管するものであって、以下の特徴を有するものである。
すなわち、電子データ管理システムは、ネットワークに接続された、前記電子データを格納するユーザの情報処理装置と、信頼できる第三者機関の情報処理システムである証明局とを有する。
この前記情報処理装置は、前記電子データのセキュアな保管の際に、所定の条件に従って、前記電子データに基づいて、秘密分散により、全てを集めることによって前記電子データを復元することが可能でありかつ単独では前記電子データを復元および推測することが不可能な1つ以上のキーデータと1つ以上の部分データとを生成し、また、前記部分データに基づいて、秘密分散により、任意のk個以上を集めることによって前記部分データを復元することが可能でありかつ単独では前記部分データを復元および推測することが不可能なn個(k<n)の分散データを生成する分割部を有する。
また、前記電子データの復元の際に、少なくともk個の前記分散データに基づいて前記部分データを復元し、さらに復元した前記部分データと前記キーデータとから前記電子データを復元する復元部を有する。
また、前記電子データのセキュアな保管の際には、前記分割部によって生成された前記キーデータを前記証明局に供託し、さらに前記分割部によって生成されたn個の前記分散データを所定の条件に従って選択したn個の外部のデータセンターにそれぞれ別個に分散保管し、前記電子データの復元の際には、対応する前記キーデータを前記証明局からユーザ認証を経て取得し、さらに少なくともk個の前記分散データを所定の条件に従って選択したk個の前記データセンターから取得し、取得した前記キーデータと前記分散データを前記復元部に受け渡す分散管理部とを有することを特徴とするものである。
本願において開示される発明のうち、代表的なものによって得られる効果を簡単に説明すれば以下のとおりである。
本発明の代表的な実施の形態によれば、保管対象の電子データを、全てを集めなければ元の電子データを復元することができない2つ以上の部分データに分割し、その少なくとも1つをTTPである証明局にキーデータとして保管する。また、残余を(k,n)型の閾値秘密分散によりn個の分散データに分割して分散保管する。これにより、元の電子データの復元に際して証明局による認証を経てキーデータを取得することを義務付けることができ、セキュリティを向上させることができる。また、分散保管している分散データの一部が紛失や障害・災害等により欠損した場合であっても柔軟に元の電子データを復元してデータの可用性を向上させることが可能となる。
また、本発明の代表的な実施の形態によれば、分散保管する個々の分散データは非重要データであり、その一部または全部を第三者に取得されても元の電子データを復元することは不可能である。これにより、例えば、分散データを分散保管している外部のデータセンターの運用者等が悪意を持った場合であっても、元の電子データの情報が漏洩する心配はない。従って、外部のデータセンター等を分散保管に利用することが可能となり、電子データをセキュアに管理する手段を低コストで構築することが可能となる。
本発明の一実施の形態である電子データ管理システムの構成例の概要について示した図である。 本発明の一実施の形態における電子データの分散手法の例について概要を示した図である。 本発明の一実施の形態における部分データから分散データを得る手法の例について概要を示した図である。 本発明の一実施の形態における電子データの分散時の処理の流れの例を示したフローチャートである。 本発明の一実施の形態における電子データの復元時の処理の流れの例を示したフローチャートである。
以下、本発明の実施の形態を図面に基づいて詳細に説明する。なお、実施の形態を説明するための全図において、同一部には原則として同一の符号を付し、その繰り返しの説明は省略する。
本発明の一実施の形態である電子データ管理システムは、電子データをセキュリティを確保して保管する際に、秘密分散により当該電子データをそれだけでは意味のない(元の電子データを復元・推測できない)非重要データである部分データに分割し、これらをそれぞれ外部のデータセンターに分散保管する機能を有するコンピュータシステムである。
ここで、分割された部分データのうちの少なくとも1つは元の電子データを復元する際に必ず必要となるキーデータとし、これをTTPである証明局に供託する。これにより、元の電子データの復元に際して必ず証明局による認証を介在させてセキュリティを向上させることを可能とするものである。
また、キーデータ以外の部分データを外部のデータセンターに分散保管する際に、(k,n)型の閾値秘密分散により分散データを生成してこれらを分散保管する。これにより、データセンターに分散保管された分散データの一部(n−k個まで)が紛失や攻撃、障害・災害等により欠損した場合であっても柔軟に元の電子データを復元することを可能とするものである。
[システム構成]
図1は、本発明の一実施の形態である電子データ管理システムの構成例の概要について示した図である。図1において、電子データ管理システム1は、例えば、インターネット等のネットワーク400に接続された1台以上のユーザ端末100と、ネットワーク400に接続された証明局200とからなる。ネットワーク400には、ユーザ端末100からネットワーク400を介してアクセスすることが可能な外部の複数のデータセンター300が接続されている。
ユーザ端末100は、例えば、PC(Personal Computer)等によって構成され、図示しない記憶装置等に格納された電子データのうちユーザから指示されたものについて、秘密分散により部分データに分割し、証明局200およびデータセンター300に分散保管することでセキュアな保管を行う情報処理装置である。ユーザ端末100は、ソフトウェアプログラムによって実装された分割部110、分散管理部120、復元部130およびインタフェース部140の各部と、データベースやファイルテーブル等からなる分散状況121、および分散先情報151、設定情報152の各テーブルを有する。
分割部110は、後述するインタフェース部140を介してユーザからセキュアな保管を指示された電子データに基づいて、設定情報152の設定内容に従って秘密分散により証明局200に供託する1つ以上のキーデータおよびデータセンター300に分散保管する複数の分散データを生成する。これらの手順の詳細については後述する。
分散管理部120は、電子データの分散保管の際に、分割部110によって生成されたキーデータおよび分散データを、分散先情報151および設定情報152の内容に基づく所定の条件に従って証明局200およびデータセンター300に送信して分散保管するとともに、その状況を分散状況121に記録して管理する。また、後述する復元部130による電子データの復元の際に、分散状況121の内容に基づいて、証明局200およびデータセンター300からキーデータおよび必要な分散データを収集して復元部130に受け渡す。
復元部130は、インタフェース部140を介してユーザから参照や編集等の利用を指示された電子データについて、対応するキーデータおよび分散データを分散管理部120を介して取得し、取得したキーデータおよび分散データから元の電子データを復元する。これらの手順の詳細についても後述する。
インタフェース部140は、ユーザ端末100における画面表示等のユーザインタフェースやデータの送受信などの入出力機能を有する。ユーザは、例えば、一般的なOS(Operating System)が有するファイル管理用の画面等を利用して、電子データ管理システム1の機能を利用することができる。例えば、ファイル管理用の画面において重要情報を有する電子データを特定のフォルダ等にドラッグ&ドロップなどの簡易な操作により移動する。これをトリガとして、分割部110および分散管理部120は、自動的に当該電子データを秘密分散により分割し、証明局200およびデータセンター300にユーザに意識させずにセキュアに保管することができる。
また、例えば、ユーザは、ファイル管理用の画面において特定のフォルダにて管理され、セキュアに保管されている電子データを参照したり編集したり等の操作を行うことができる。これをトリガとして、分散管理部120および復元部130は、自動的に証明局200およびデータセンター300から必要なデータを収集し、元の電子データを当該フォルダに復元することができる。
証明局200は、信頼できる第三者機関(TTP)の情報処理システムであり、例えば、PCやサーバ等によって構成され、ユーザ端末100から送信されて供託されたキーデータを管理する。証明局200は、ソフトウェアプログラムによって実装された認証部210および管理部220の各部と、キーデータ管理221およびアクセスログ222の各データベースを有する。
認証部210は、ユーザ端末100からキーデータを取得する要求を受けた際に、要求の許否を判定するためにユーザID/パスワード等によるユーザ認証を行う。ユーザ認証を行うために、ユーザ端末100のインタフェース部140は、ユーザからセキュアに保管されている電子データの参照や編集の要求を受ける際に、ユーザID/パスワードの入力を要求する画面を表示するようにしてもよい。また、参照や編集等の電子データの復元時だけでなく、電子データをセキュアに保管する際にも、電子データから分割されたキーデータを証明局200に供託するためにユーザ認証を行うようにしてもよい。
管理部220は、ユーザ端末100から供託されたキーデータを、ユーザ(ユーザID)および元の電子データの識別情報(ファイル名やID等)と関連付けてキーデータ管理221によって管理する。すなわち、ユーザ端末100からの要求に基づいて、供託されたキーデータの情報をキーデータ管理221に記録したり、キーデータ管理221から対象のキーデータの情報を取得してキーデータをユーザ端末100に送信したりといった処理を行う。さらに、これらの処理の内容を履歴としてアクセスログ222に記録する。
データセンター300は、複数のサーバ群が運用・管理される施設であり、外部の運営者等により運営される、一般的なデータセンターとしての固定的な設備を備えた実データセンターであってもよいし、例えば“Amazon EC2(登録商標)”などを利用した、クラウドコンピューティング環境における仮想的なデータセンターであってもよい。なお、データセンター300に自社が運営するプライベートなデータセンターを含んでもよいことは当然である。また、本実施の形態では、証明局200を独立したサーバ等によって構成しているが、データセンター300のいずれかに証明局200を実装する構成としてもよい。また、証明局200を複数有する構成であってもよい。
[電子データの分散手法]
図2は、電子データ管理システム1における電子データの分散手法の例について概要を示した図である。ユーザ端末100では、インタフェース部140を介してユーザからセキュアな保管を指示された電子データについて、まず、秘密分散により2分割して、部分データ1(101)と部分データ2(102)の2つの部分データを生成する。
部分データ1(101)および部分データ2(102)は秘密分散により生成されるため、それぞれは単独では意味のない(元の電子データの内容を復元・推測できない)非重要データであり、全てを集めて初めて元の電子データが復元可能となるものである。秘密分散の手法は特に限定されず、例えば特許文献1に記載されているような手法により生成された情報ブロックであってもよいし、非特許文献1に記載されているような(k,n)閾値秘密分散法等を用いてk=n=2として生成されたものであってもよい。
部分データ1(101)および部分データ2(102)のうちのいずれか一方(図2の例では部分データ1(101))をキーデータ201として証明局200に供託する。このキーデータ201は、元の電子データを復元する際には必ず必要となるものである。なお、図2の例では、元の電子データを2つに分割し、その一方をキーデータ201として証明局200に供託しているが、元の電子データを2つ以上に分割し、キーデータ201を複数有するようにしてセキュリティをさらに強化してもよい。この場合は、複数のキーデータ201を別個の証明局200に供託するのが望ましい。また、キーデータ201としない部分データ2(102)のほうが複数生成されるように分割してもよい。
部分データ1(101)をキーデータ201とする一方で、他方の部分データ2(102)を、(k,n)型の閾値秘密分散(k<n)により秘密分散して分散データ103を生成する。これにより、任意のk個を集めれば部分データ2(102)を復元することが可能なn個の分散データ103を生成することができる(図2の例では、例えばk=3、n=4)。各分散データ103も秘密分散により生成されるため、各分散データ103は単独では意味のない非重要データである。
ここでも秘密分散の手法は特に限定されず、例えば、非特許文献1に記載されているような(k,n)閾値秘密分散法等を用いてk<nとして生成された分散データ103であってもよい。また、特許文献1に記載されているような手法においても(k,n)型の秘密分散を行って分散データ103を得ることが可能である。
図3は、特許文献1に記載されているような手法によって部分データ2(102)から分散データ103を得る手法の例について概要を示した図である。図3の例では、特許文献1に記載されているような手法により、部分データ2(102)をn−k+1個(図3の例では=6でありA〜Fの6個)の分割片(情報ブロックもしくは情報エレメント)に分割した状態を示している。ここで、各分割片を組み合わせることによって、任意のk個(図3の例では3個)を集めれば部分データ2(102)を復元することが可能となるn個(図3の例では4個)の分散データ103を生成する((k,n)=(3,4))。
このとき、本実施の形態では、各分割片がそれぞれ(n−k+1)個(図3の例では2個)の異なる分散データ103に、分割片毎に異なる組み合わせで含まれるように冗長化する。図3の表は、上記の条件を満たす分割片と分散データ103の組み合わせの一例を示している。これに基づいて、分割片A、B、Cを含むものと、分割片A、D、Eを含むものと、分割片B、D、Fを含むものと、分割片C、E、Fを含むものの4個の分散データ103を生成する。これにより、4個の分散データ103のうち任意の3個を集めれば、A〜Fの全ての分割片をそれぞれ少なくとも1個以上得ることができ、部分データ2(102)を復元することが可能となる。
生成したn個の分散データ103は、図2に示すように、それぞれ異なる外部のデータセンター300(図2の例では、データセンター300a、b、d、eの4つ)を選択して、これらに分散して保管する。分散データ103は、それぞれ単独では意味を持たない非重要データとなっているため、安心して外部のデータセンター300に保管することができる。また、第三者によって分散データ103をk個以上集められた場合であっても、これらからは部分データ2(102)しか復元することができない。元の電子データを復元するには証明局200から認証を経てキーデータ201を取得する必要があるため、さらに強固なセキュリティを確保することができる。
また、データセンター300に保管した分散データ103は、少なくともk個以上集めれば部分データ2(102)を復元することができる。すなわち、(n−k)個までであれば、紛失や攻撃等による欠損に耐えることができ、また、データセンター300の障害・災害等に対してシステムの切り替え等を行わずに元の電子データを復元することができる可用性を有する。従って、これらのデータセンター300をそれぞれ地域的に離散したロケーションに設けることによって、電子データ管理システム1は、電子データのセキュアな保管に加えて、いわゆるBCP(Business Continuity Plan:事業継続計画)を実現するためのディザスタリカバリシステムとして機能することも可能となる。
[分散時の処理フロー]
図4は、電子データ管理システム1における電子データの分散時の処理の流れの例を示したフローチャートである。ユーザ端末100において、インタフェース部140を介してユーザからセキュアな保管を指示された電子データについて、まず、分割部110が、上述したような手法により元の電子データを秘密分散により2分割して2つの部分データを生成する(S01)。
次に、分割部110は、部分データのいずれか一方(部分データ1(101))をキーデータ201として、インタフェース部140等を介して証明局200に送信して供託する(S02)。証明局200にアクセスするためのネットワークアドレスやホスト名等の情報は、例えば、ユーザ端末100の設定情報152に予め設定しておく。複数の証明局200から選択してキーデータ201を供託するようにしてもよい。
キーデータ201の供託を要求された証明局200は、認証部210によりユーザ端末100に対してユーザID/パスワード等の認証情報の入力を要求してもよい。認証が成功し、キーデータ201の供託を許可する場合は、管理部220により、キーデータ201の情報をユーザおよび元の電子データの識別情報と関連付けてキーデータ管理221に記録する。また、当該処理内容をアクセスログ222に履歴として記録する。
次に、分割部110は、キーデータ201としなかったもう一方の部分データ(部分データ2(102))を、上述したような(k,n)型の閾値秘密分散(k<n)の手法により秘密分散してn個の分散データ103を生成する(S03)。秘密分散に係るkおよびnのパラメータ値については、例えば、ユーザ端末100の設定情報152に予め設定しておく。これにより、ユーザが電子データをセキュアに保管する際にこれらの条件を意識する必要がなく、利便性を向上させることができる。なお、これらの設定内容をユーザにより変更可能としたり、ユーザが電子データをセキュアに保管する要求を行う際にオプションとして都度指定可能としたりすることで柔軟性を確保してもよい。
次に、分散管理部120が、分割部110によって生成されたn個の分散データ103を分散保管する先のデータセンター300を選択する(S04)。ここで、分散先となるデータセンター300の情報は、例えば、ユーザ端末100の分散先情報151に予め設定しておく。分散先情報151には、例えば、ユーザ毎にアクセス可能なデータセンター300のグループがリストとして優先順に設定されており、リスト中の上位からn個のデータセンター300を分散先として選択する。
リスト中の優先順位は、例えば、各データセンター300の稼働率(過去のアクセスの成功率)やアクセス時のレスポンスタイムなどのパフォーマンス情報に基づいて、良好なものから優先的にアクセスされるように動的に変更するようにしてもよい。アクセス可能なデータセンター300が追加された場合は、ユーザ端末100が当該データセンター300にアクセスした際などに都度分散先情報151のリストが更新されるようにしておく。
次に、分散管理部120は、n個の分散データ103を、分散先情報151から選択されたn個の分散先のデータセンター300にそれぞれ送信して保管する(S05)。各データセンター300では、分散データ103を通常通り保管するだけで特別な処理は要求されない。なお、分散先のデータセンター300から、例えば、サービス停止やディスクフル、タイムアウトなど、分散データ103の保管が不能である旨の応答が返された場合は、分散先情報151のリストにおける未選択のデータセンター300のうち、次順位のデータセンター300を選択して保管するものとする。
分散先情報151のリストに次順位のデータセンター300がなく、分散先のデータセンター300をn個確保できなかった場合は、当該電子データについてのセキュアな保管自体をエラーとしてこれまでの処理をロールバックし、インタフェース部140を介してユーザにその旨を通知する(ステップS04にて分散先のデータセンター300をn個選択できなかった場合も同様)。
ステップS05でn個の分散先のデータセンター300に分散データ103を保管した場合は、分散管理部120は、元の電子データの復元時に必要となる情報として、元の電子データに、キーデータ201と供託先の証明局200の情報、分散データ103に係るk、nのパラメータ値、および各分散データ103とそれぞれの分散先のデータセンター300の情報などを関連付けた分散管理情報を、分散状況121のエントリに追加して(S06)、処理を終了する。
このとき、元の電子データの内容については、ユーザ端末100の図示しない記憶装置等から削除するものとする。OSの管理下のファイルシステム上では、例えば、ファイル名のみの空のファイル等を保持するようにして、外部のデータセンター300に分散保管したことをユーザから隠蔽するようにしてもよい。なお、元の電子データを記憶装置等から削除せずに保持したままにしておいてもよく、その場合は、データセンター300への分散保管により、即時復元が可能な簡易バックアップとしての機能を実現することができる。
上記のフローチャートにおける処理順はこれに限ったものではなく、実装の制約等に応じて適宜変更することが可能である。例えば、ステップS02でのキーデータ201の証明局200への供託は、ステップS05での分散データ103のデータセンター300への分散保管と同じタイミングで行うようにしてもよい。また、例えば、ステップS04にて分散先のデータセンター300をn個選択してから、ステップS05で各データセンター300に分散保管するのではなく、分散先情報151のデータセンター300のリストから上位のものを順次取得して、当該データセンター300に分散データ103を逐次保管し、これをn回繰り返すようにしてもよい。
[復元時の処理フロー]
図5は、電子データ管理システム1における電子データの復元時の処理の流れの例を示したフローチャートである。ユーザ端末100において、ユーザにより、インタフェース部140を介して、セキュアに保管されている電子データを参照したり編集したり等の操作が要求された場合、まず、分散管理部120が、分散状況121から、対象の電子データに係る分散管理情報のエントリを取得する(S11)。
次に、分散管理部120は、取得した分散管理情報の内容に基づいて、証明局200から対象の電子データに対応するキーデータ201を取得する(S12)。キーデータ201の取得を要求された証明局200は、認証部210によりユーザ端末100に対してユーザID/パスワード等の認証情報の入力を要求する。認証が成功し、キーデータ201の取得を許可する場合は、管理部220により、キーデータ管理221を参照して対象の電子データに対応するキーデータ201を取得して、ユーザ端末100に送信する。また、当該処理内容をアクセスログ222に履歴として記録する。
また、分散管理部120は、対象の電子データに対応するn個の分散データ103のうちの少なくともk個以上を、分散先のデータセンター300から取得する(S13)。ここでは、ステップS11で取得した、対象の電子データに対応する分散管理情報の内容から復元の際の閾値kの値を取得する。さらに、分散管理情報にn個記録されている分散先のデータセンター300の情報からk個を選択して取得する。
取得したk個のデータセンター300の情報によって特定される各データセンター300から順次分散データ103を取得する。このとき、サービス停止やタイムアウト等によりアクセスできないデータセンター300がある場合は、分散管理情報に記録されている他のデータセンター300から取得するようにアクセス先を切り替える。n個のデータセンター300全てを対象としてもk個以上の分散データ103を取得できなかった場合は、復元処理のエラーとしてこれまでの処理をロールバックし、インタフェース部140を介してユーザにその旨を通知する。
分散管理部130が少なくともk個の分散データ103を取得した場合は、復元部130が、k個の分散データ103から部分データの一方(図2における部分データ2(102))を復元する(S14)。次に、復元部130は、ステップS12で証明局200から取得したキーデータ201と、ステップS14で復元した部分データ2(102)から元の電子データを復元し(S15)、ユーザ端末100上の所定のフォルダ等に格納する。このとき、分散管理部120を介して分散状況121から対象の分散管理情報のエントリを削除して(S16)、処理を終了する。なお、分散時の処理と同様に、上記の処理順はこれに限ったものではなく、実装の制約等に応じて適宜変更することが可能である。
以上に説明したように、本発明の一実施の形態である電子データ管理システム1によれば、セキュアな保管の対象となる電子データを、秘密分散により2つ以上の部分データに分割し、その少なくとも1つをTTPである証明局200にキーデータ201として供託する。また、残余の部分データを(k,n)型の閾値秘密分散によりn個の分散データ103に分割して分散保管する。これにより、元の電子データの復元に際して証明局200による認証を経たキーデータ201の取得を義務付けることができ、セキュリティを向上させることができる。また、分散保管している分散データ103の一部が欠損した場合であっても柔軟に元の電子データを復元してデータの可用性を向上させることが可能となる。
また、本実施の形態によれば、分散保管する分散データ103は非重要データであり、の一部または全部を第三者に取得されても元の電子データを復元することは不可能である。これにより、例えば、分散データ103を分散保管している外部のデータセンター300の運用者等が悪意を持った場合であっても、元の電子データの情報が漏洩する心配はない。従って、外部のデータセンター300等を分散保管に利用することが可能となり、電子データをセキュアに分散管理する手段を低コストで構築することが可能となる。
また、電子データの分割および分散保管の処理や、分散データ103の収集および元の電子データの復元の処理をユーザから隠蔽して行うことが可能であり、ユーザが電子データのセキュアな保管に際してこれらを意識することを不要とし、利便性を向上させることができる。
以上、本発明者によってなされた発明を実施の形態に基づき具体的に説明したが、本発明は前記実施の形態に限定されるものではなく、その要旨を逸脱しない範囲で種々変更可能であることはいうまでもない。
本発明は、重要データを秘密分散により非重要データに分割して分散管理する電子データ管理システムおよび情報処理装置および電子データ管理プログラムならびに電子データ管理方法に利用可能である。
1…電子データ管理システム、
100…ユーザ端末、101…部分データ1、102…部分データ2、103…分散データ、110…分割部、120…分散管理部、121…分散状況、130…復元部、140…インタフェース部、151…分散先情報、152…設定情報、
200…証明局、201…キーデータ、210…認証部、220…管理部、221…キーデータ管理、222…アクセスログ、
300、300a〜e…データセンター、
400…ネットワーク。

Claims (5)

  1. ユーザからセキュアな保管を指示された電子データについて、前記電子データを秘密分散により複数の非重要データに分割し、分割された前記各非重要データを分散保管する電子データ管理システムであって、
    ネットワークに接続された、前記電子データを格納するユーザの情報処理装置と、信頼できる第三者機関の情報処理システムである証明局とを有し、
    前記情報処理装置は、
    前記電子データのセキュアな保管の際に、所定の条件に従って、前記電子データに基づいて、秘密分散により、全てを集めることによって前記電子データを復元することが可能でありかつ単独では前記電子データを復元および推測することが不可能な1つ以上のキーデータと1つ以上の部分データとを生成し、また、前記部分データに基づいて、秘密分散により、任意のk個以上を集めることによって前記部分データを復元することが可能でありかつ単独では前記部分データを復元および推測することが不可能なn個(k<n)の分散データを生成する分割部と、
    前記電子データの復元の際に、少なくともk個の前記分散データに基づいて前記部分データを復元し、さらに復元した前記部分データと前記キーデータとから前記電子データを復元する復元部と、
    前記電子データのセキュアな保管の際には、前記分割部によって生成された前記キーデータを前記証明局に供託し、さらに前記分割部によって生成されたn個の前記分散データを所定の条件に従って選択したn個の外部のデータセンターにそれぞれ別個に分散保管し、前記電子データの復元の際には、対応する前記キーデータを前記証明局からユーザ認証を経て取得し、さらに少なくともk個の前記分散データを所定の条件に従って選択したk個の前記データセンターから取得し、取得した前記キーデータと前記分散データを前記復元部に受け渡す分散管理部とを有することを特徴とする電子データ管理システム。
  2. 請求項1に記載の電子データ管理システムにおいて、
    前記証明局は、
    前記情報処理装置から前記キーデータの供託および/または取得の要求を受けた際にユーザ認証を行う認証部と、
    前記情報処理装置から供託された前記キーデータを、前記電子データを保有する前記ユーザおよび前記電子データの識別情報と関連付けて管理し、さらに前記情報処理装置からの前記キーデータの供託および取得の処理の内容を履歴として記録する管理部とを有することを特徴とする電子データ管理システム。
  3. ユーザからセキュアな保管を指示された電子データについて、前記電子データを秘密分散により複数の非重要データに分割し、分割された前記各非重要データを分散保管する情報処理装置であって、
    前記電子データのセキュアな保管の際に、所定の条件に従って、前記電子データに基づいて、秘密分散により、全てを集めることによって前記電子データを復元することが可能でありかつ単独では前記電子データを復元および推測することが不可能な1つ以上のキーデータと1つ以上の部分データとを生成し、また、前記部分データに基づいて、秘密分散により、任意のk個以上を集めることによって前記部分データを復元することが可能でありかつ単独では前記部分データを復元および推測することが不可能なn個(k<n)の分散データを生成する分割部と、
    前記電子データの復元の際に、少なくともk個の前記分散データに基づいて前記部分データを復元し、さらに復元した前記部分データと前記キーデータとから前記電子データを復元する復元部と、
    前記電子データのセキュアな保管の際には、前記分割部によって生成された前記キーデータを信頼できる第三者機関の情報処理システムである証明局に供託し、さらに前記分割部によって生成されたn個の前記分散データを所定の条件に従って選択したn個の外部のデータセンターにそれぞれ別個に分散保管し、前記電子データの復元の際には、対応する前記キーデータを前記証明局からユーザ認証を経て取得し、さらに少なくともk個の前記分散データを所定の条件に従って選択したk個の前記データセンターから取得し、取得した前記キーデータと前記分散データを前記復元部に受け渡す分散管理部とを有することを特徴とする情報処理装置。
  4. ユーザからセキュアな保管を指示された電子データについて、前記電子データを秘密分散により複数の非重要データに分割し、分割された前記各非重要データを分散保管する情報処理装置としてコンピュータを機能させる電子データ管理プログラムであって、
    前記電子データのセキュアな保管の際に、所定の条件に従って、前記電子データに基づいて、秘密分散により、全てを集めることによって前記電子データを復元することが可能でありかつ単独では前記電子データを復元および推測することが不可能な1つ以上のキーデータと1つ以上の部分データとを生成し、また、前記部分データに基づいて、秘密分散により、任意のk個以上を集めることによって前記部分データを復元することが可能でありかつ単独では前記部分データを復元および推測することが不可能なn個(k<n)の分散データを生成する分割部と、
    前記電子データの復元の際に、少なくともk個の前記分散データに基づいて前記部分データを復元し、さらに復元した前記部分データと前記キーデータとから前記電子データを復元する復元部と、
    前記電子データのセキュアな保管の際には、前記分割部によって生成された前記キーデータを信頼できる第三者機関となる情報処理システムである証明局に供託し、さらに前記分割部によって生成されたn個の前記分散データを所定の条件に従って選択したn個の外部のデータセンターにそれぞれ別個に分散保管し、前記電子データの復元の際には、対応する前記キーデータを前記証明局からユーザ認証を経て取得し、さらに少なくともk個の前記分散データを所定の条件に従って選択したk個の前記データセンターから取得し、取得した前記キーデータと前記分散データを前記復元部に受け渡す分散管理部とを有することを特徴とする電子データ管理プログラム。
  5. ネットワークに接続された、電子データを格納するユーザの情報処理装置と、信頼できる第三者機関の情報処理システムである証明局とを有する電子データ管理システムにおいて、ユーザからセキュアな保管を指示された電子データについて、前記電子データを秘密分散により複数の非重要データに分割し、分割された前記各非重要データを分散保管する電子データ管理方法であって、
    前記情報処理装置が、
    前記電子データのセキュアな保管の際は、
    所定の条件に従って、前記電子データに基づいて、秘密分散により、全てを集めることによって前記電子データを復元することが可能でありかつ単独では前記電子データを復元および推測することが不可能な1つ以上のキーデータと1つ以上の部分データとを生成するステップと、
    前記キーデータを前記証明局に供託するステップと、
    前記部分データに基づいて、秘密分散により、任意のk個以上を集めることによって前記部分データを復元することが可能でありかつ単独では前記部分データを復元および推測することが不可能なn個(k<n)の分散データを生成するステップと、
    生成したn個の前記分散データを保管するn個の外部のデータセンターを所定の条件に従って選択するステップと、
    生成したn個の前記分散データを選択したn個の前記データセンターにそれぞれ別個に分散保管するステップとを実行し、
    前記電子データの復元の際は、
    前記電子データに対応する前記キーデータを前記証明局からユーザ認証を経て取得するステップと、
    少なくともk個の前記分散データを、所定の条件に従って選択したk個の前記データセンターから取得するステップと、
    取得した前記分散データに基づいて前記部分データを復元するステップと、
    復元した前記部分データと取得した前記キーデータとから前記電子データを復元するステップとを実行することを特徴とする電子データ管理方法。
JP2011268574A 2011-12-08 2011-12-08 電子データ管理システムおよび情報処理装置および電子データ管理プログラムならびに電子データ管理方法 Active JP5778017B2 (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2011268574A JP5778017B2 (ja) 2011-12-08 2011-12-08 電子データ管理システムおよび情報処理装置および電子データ管理プログラムならびに電子データ管理方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2011268574A JP5778017B2 (ja) 2011-12-08 2011-12-08 電子データ管理システムおよび情報処理装置および電子データ管理プログラムならびに電子データ管理方法

Publications (2)

Publication Number Publication Date
JP2013120515A true JP2013120515A (ja) 2013-06-17
JP5778017B2 JP5778017B2 (ja) 2015-09-16

Family

ID=48773124

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2011268574A Active JP5778017B2 (ja) 2011-12-08 2011-12-08 電子データ管理システムおよび情報処理装置および電子データ管理プログラムならびに電子データ管理方法

Country Status (1)

Country Link
JP (1) JP5778017B2 (ja)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10348490B2 (en) 2015-12-10 2019-07-09 Ns Solutions Corporation Information processing device, authorization system, information processing method, and recording medium
JP2019161443A (ja) * 2018-03-13 2019-09-19 富士通株式会社 暗号化情報処理装置、暗号化情報処理システム、復号化鍵情報生成プログラム、及び復号化鍵情報生成方法

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009103774A (ja) * 2007-10-22 2009-05-14 Panasonic Corp 秘密分散システム

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009103774A (ja) * 2007-10-22 2009-05-14 Panasonic Corp 秘密分散システム

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US10348490B2 (en) 2015-12-10 2019-07-09 Ns Solutions Corporation Information processing device, authorization system, information processing method, and recording medium
JP2019161443A (ja) * 2018-03-13 2019-09-19 富士通株式会社 暗号化情報処理装置、暗号化情報処理システム、復号化鍵情報生成プログラム、及び復号化鍵情報生成方法

Also Published As

Publication number Publication date
JP5778017B2 (ja) 2015-09-16

Similar Documents

Publication Publication Date Title
US9667416B1 (en) Protecting master encryption keys in a distributed computing environment
US9954680B1 (en) Secure management of a master encryption key in a split-key based distributed computing environment
AlZain et al. Cloud computing security: from single to multi-clouds
CN102394894B (zh) 一种基于云计算的网络虚拟磁盘文件安全管理方法
US8769269B2 (en) Cloud data management
Seiger et al. SecCSIE: a secure cloud storage integrator for enterprises
US7894599B2 (en) Enhanced data security with redundant inclusive data encryption segments
US9626527B2 (en) Server and method for secure and economical sharing of data
CN109525570B (zh) 一种面向集团客户的数据分层安全访问控制方法
CA2900504A1 (en) Systems and methods for a cryptographic file system layer
Tebaa et al. From single to multi-clouds computing privacy and fault tolerance
US11256815B2 (en) Object storage system with secure object replication
US11082220B1 (en) Securing recovery data distributed amongst multiple cloud-based storage services
US10984116B2 (en) Systems and methods for digital currency or crypto currency storage in a multi-vendor cloud environment
JP4875781B1 (ja) データ分散保管システム
JP4860779B1 (ja) データ分散保管システム
Habib et al. Simplified file assured deletion (sfade)-a user friendly overlay approach for data security in cloud storage system
JP5778017B2 (ja) 電子データ管理システムおよび情報処理装置および電子データ管理プログラムならびに電子データ管理方法
CN105553661B (zh) 密钥管理方法和装置
US20220147640A1 (en) Secure secret sharing storage system using cloud service
JP5778018B2 (ja) 電子データ管理システムおよび電子データ管理方法
JP6272546B2 (ja) データ保管装置及びデータ処理方法及びデータ処理プログラム
JP2017174000A (ja) 分散保存システム、分散保存プログラム及び分散保存方法
US11418327B2 (en) Automatic provisioning of key material rotation information to services
Mishra et al. Improved cloud security approach with threshold cryptography

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20141121

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20150624

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20150630

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20150708

R150 Certificate of patent or registration of utility model

Ref document number: 5778017

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250