JP2017129737A - Communication information management device, communication information management system, communication information management method, and program - Google Patents

Communication information management device, communication information management system, communication information management method, and program Download PDF

Info

Publication number
JP2017129737A
JP2017129737A JP2016009025A JP2016009025A JP2017129737A JP 2017129737 A JP2017129737 A JP 2017129737A JP 2016009025 A JP2016009025 A JP 2016009025A JP 2016009025 A JP2016009025 A JP 2016009025A JP 2017129737 A JP2017129737 A JP 2017129737A
Authority
JP
Japan
Prior art keywords
fragment
inquiry
communication information
information management
unit
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2016009025A
Other languages
Japanese (ja)
Inventor
久史 小島
Hisashi Kojima
久史 小島
浩明 前田
Hiroaki Maeda
浩明 前田
存史 松本
Arifumi Matsumoto
存史 松本
和宏 徳永
Kazuhiro Tokunaga
和宏 徳永
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nippon Telegraph and Telephone Corp
Original Assignee
Nippon Telegraph and Telephone Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nippon Telegraph and Telephone Corp filed Critical Nippon Telegraph and Telephone Corp
Priority to JP2016009025A priority Critical patent/JP2017129737A/en
Publication of JP2017129737A publication Critical patent/JP2017129737A/en
Pending legal-status Critical Current

Links

Images

Abstract

PROBLEM TO BE SOLVED: To improve anonymity of a person concerned in communication.SOLUTION: A communication information management device comprises: a storage part for storing a fragment of communication information as information to be used for communication; a transmission part for, when receiving an inquiry segment obtained by segmenting an inquiry to the communication information from a terminal, transmitting the segment of the communication information corresponding to the inquiry segment among the segments of the communication information stored in the storage part to the terminal; and a transfer part for, when the segment of the communication information corresponding to the inquiry segment is not stored in the storage part, transferring the inquiry segment to a restoration device which restores the inquiry from the inquiry segment by rewriting an address of the transmission source of the inquiry segment.SELECTED DRAWING: Figure 5

Description

本発明は、通信情報管理装置、通信情報管理システム、通信情報管理方法、及びプログラムに関する。   The present invention relates to a communication information management device, a communication information management system, a communication information management method, and a program.

従来から、匿名通信を実現する技術が提案されており、その一部はインターネットでも実用化されている。ここで、匿名通信とは、誰が、いつ、どこに対して通信をしたかという事実自体を、当該通信に直接関与する送信元と宛先との二者以外から隠蔽することをいう。インターネット上で匿名通信を実現する技術として、非特許文献1に示されているTorが利用されている。   Conventionally, techniques for realizing anonymous communication have been proposed, and some of them have been put to practical use on the Internet. Here, anonymous communication refers to concealing the fact of who and when communicated from other than the two parties of the transmission source and the destination that are directly involved in the communication. As a technique for realizing anonymous communication on the Internet, Tor shown in Non-Patent Document 1 is used.

他方において、データの統計処理を暗号化したまま実施する秘密計算技術が研究されている(例えば、非特許文献2)。秘密計算技術は、秘密にしたいデータを複数の断片ファイルに分割したうえで暗号化し、それぞれの断片ファイルを別々のサーバやクラウドに保存することで、複数の断片ファイルが揃わないと復元・復号化できないようにして情報漏えいのリスクを低減する。さらに、暗号化された断片ファイルのまま、情報の検索、加算、平均値の計算などの統計処理が実現できる。秘密計算技術を用いると、データを保持しているサーバやクラウドの運用者に対して、データの内容を秘密にしたまま、これらのデータの二次利用が可能となる。したがって、秘密計算技術は、プライバシーに配慮すべきデータや機密性・匿名性の高いデータの活用に有効な技術である。   On the other hand, a secret calculation technique for performing statistical processing of data with encryption has been studied (for example, Non-Patent Document 2). Secret calculation technology divides the data that you want to keep secret into multiple fragment files, encrypts them, and stores each fragment file on a separate server or cloud, so that multiple fragment files can be restored and decrypted. Reduce the risk of information leakage. Furthermore, statistical processing such as information retrieval, addition, and average value calculation can be realized with the encrypted fragment file. If the secret calculation technology is used, secondary use of these data becomes possible while keeping the contents of the data secret from the server or cloud operator holding the data. Therefore, the secret calculation technique is an effective technique for utilizing privacy-sensitive data and highly confidential / anonymity data.

Roger Dingledine, Nick Mathewson, and Paul Syverson、Tor: The Second-Generation Onion Router. In USENIX Security、2004、インターネット〈URL:http://static.usenix.org/event/sec04/tech/dingledine.html〉Roger Dingledine, Nick Mathewson, and Paul Syverson, Tor: The Second-Generation Onion Router. In USENIX Security, 2004, Internet (URL: http://static.usenix.org/event/sec04/tech/dingledine.html) 『高機密データも安全に二次利用可能な「秘密計算技術」』、NTT技術ジャーナル2014年3月号、p.67-70、インターネット〈URL:http://www.ntt.co.jp/journal/1403/files/jn201403067.pdf〉“Secret Computation Technology” that allows highly confidential data to be used safely and securely, March 2014 issue of NTT Technical Journal, p.67-70, Internet <URL: http://www.ntt.co.jp/ journal / 1403 / files / jn201403067.pdf>

しかしながら、現実の通信では、Webサーバへのアクセスのように、送信者と受信者が直接通信する形態以外にも、CDN(Content Delivery Network)のように、キャッシュサーバからコンテンツを取得する形態も一般的に利用されている。   However, in actual communication, in addition to a form in which a sender and a receiver communicate directly, such as access to a Web server, a form in which content is acquired from a cache server, such as a CDN (Content Delivery Network), is also common. Is used.

また、送信者が受信者に直接通信をする場合でも、一般的な通信プロトコルにおいては、通信を開始する前に、通信に必要な情報をネットワークに存在する様々なサーバから取得する必要がある。例えば、インターネット上の通信では、WebサイトのURLに対応するIPアドレスを取得するDNS(Domain Name System)や、通信に必要な公開鍵をディレクトリサーバから取得するといった前処理が必要となる。   Even when the sender communicates directly with the receiver, in a general communication protocol, it is necessary to acquire information necessary for communication from various servers existing in the network before starting communication. For example, in communication on the Internet, preprocessing such as DNS (Domain Name System) that acquires an IP address corresponding to a URL of a Web site or a public key necessary for communication is acquired from a directory server.

Torなどの匿名通信技術を用いることで、送信者から受信者への通信そのものが隠蔽されたとしても、CDNからのコンテンツの取得、DNSへの問い合わせ、暗号鍵の取得など、第三者が提供するキャッシュサーバ等から情報を取得する処理が匿名化されていないと、通信に係る送信者及び受信者を第三者が推測できてしまう恐れがある。   Even if the communication from the sender to the receiver itself is concealed by using anonymous communication technology such as Tor, provided by a third party such as content acquisition from CDN, inquiry to DNS, encryption key acquisition, etc. If the process of acquiring information from the cache server or the like is not anonymized, there is a possibility that a third party can guess the sender and receiver related to communication.

また、キャッシュサーバに存在しない情報については、一般的にはインターネット等に存在する上位のサーバに問い合わせをして取得することになるが、この問い合わせについても匿名化されていないと、例えば、図1に示されるように、送信元端末と宛先端末との間で通信が行われたことが、上位サーバを提供する別の第三者にも推測できてしまう恐れがある。   In addition, information that does not exist in the cache server is generally obtained by making an inquiry to a higher-level server existing in the Internet or the like. If this inquiry is not anonymized, for example, FIG. As shown in FIG. 4, there is a possibility that another third party providing the higher-level server can guess that communication has been performed between the transmission source terminal and the destination terminal.

本発明は、上記の点に鑑みてなされたものであって、通信の当事者の匿名性を向上させることを目的とする。   The present invention has been made in view of the above points, and an object thereof is to improve the anonymity of parties to communication.

そこで上記課題を解決するため、通信情報管理装置は、通信に用いられる情報である通信情報の断片を記憶する記憶部と、前記通信情報に対する問い合わせを断片化した問い合わせ断片を端末から受信すると、前記記憶部に記憶されている通信情報の断片のうち、前記問い合わせ断片に対応する通信情報の断片を前記端末に送信する送信部と、前記問い合わせ断片に対応する通信情報の断片が前記記憶部に記憶されていない場合に、前記問い合わせ断片の送信元のアドレスを書き換えて、前記問い合わせ断片から前記問い合わせを復元する復元装置へ前記問い合わせ断片を転送する転送部と、を有する。   Therefore, in order to solve the above problem, the communication information management apparatus receives from the terminal a storage unit that stores a fragment of communication information that is information used for communication, and a query fragment obtained by fragmenting a query for the communication information. Of the communication information fragments stored in the storage unit, a transmission unit that transmits a communication information fragment corresponding to the inquiry fragment to the terminal, and a communication information fragment corresponding to the inquiry fragment stored in the storage unit A transfer unit that rewrites the address of the transmission source of the inquiry fragment and transfers the inquiry fragment from the inquiry fragment to a restoration device that restores the inquiry.

通信の当事者の匿名性を向上させることができる。   Anonymity of communication parties can be improved.

従来技術の問題点を説明するための図である。It is a figure for demonstrating the problem of a prior art. 本発明の実施の形態におけるネットワークシステムの構成例を示す図である。It is a figure which shows the structural example of the network system in embodiment of this invention. 本発明の実施の形態における断片サーバのハードウェア構成例を示す図である。It is a figure which shows the hardware structural example of the fragment | piece server in embodiment of this invention. 送信元端末の機能構成例を示す図である。It is a figure which shows the function structural example of a transmission source terminal. 断片サーバの機能構成例を示す図である。It is a figure which shows the function structural example of a fragment server. 反復問い合わせ装置の機能構成例を示す図である。It is a figure which shows the function structural example of an iterative inquiry apparatus. 登録装置の機能構成例を示す図である。It is a figure which shows the function structural example of a registration apparatus. 通信情報の問い合わせ時における処理手順の一例を説明するためのシーケンス図である。It is a sequence diagram for demonstrating an example of the process sequence at the time of the inquiry of communication information. 反復問い合わせに関する処理手順の一例を説明するためのシーケンス図である。It is a sequence diagram for demonstrating an example of the process sequence regarding a repetitive inquiry. DNSの問い合わせに関して実行される処理手順の一例を説明するためのシーケンス図である。It is a sequence diagram for demonstrating an example of the process sequence performed regarding the inquiry of DNS. 本発明の実施の形態の効果を説明するための図である。It is a figure for demonstrating the effect of embodiment of this invention.

本発明の実施の形態では、通信をしたい端末(以下、「送信元端末50」という。)が、通信相手の端末(以下、「宛先端末60」という。)と通信するために必要な情報(以下、「通信情報」という。)を、送信元端末50及び宛先端末60以外の第三者のサーバから取得する過程に対して秘密計算技術が適用される。これにより、当該サーバに格納されている通信情報が断片ファイルとして分割され、さらに暗号化されるため、サーバ(第三者)に対して通信情報の内容を秘匿化できる。また、送信元端末50が通信情報を問い合わせる際のメッセージも秘密計算技術によって分割することで、問い合わせメッセージの内容も秘匿化される。その結果、ネットワークでの盗聴に加え、ネットワーク機器やサーバでのログの取得も困難となる。さらに、通信情報の問い合わせを受けたサーバにおいても、秘密計算技術により、問い合わせの内容を知ることなく、要求された通信情報を回答することができるため、サーバ側での問い合わせ内容の秘匿も可能となる。   In the embodiment of the present invention, a terminal (hereinafter referred to as “source terminal 50”) that wants to communicate with communicates information (hereinafter referred to as “destination terminal 60”) that is necessary for communication with a terminal (hereinafter referred to as “destination terminal 60”). Hereinafter, the secret calculation technique is applied to a process of acquiring “communication information” from a third party server other than the transmission source terminal 50 and the destination terminal 60. Thereby, since the communication information stored in the server is divided as a fragment file and further encrypted, the content of the communication information can be concealed from the server (third party). Moreover, the content of the inquiry message is also concealed by dividing the message when the transmission source terminal 50 inquires the communication information by the secret calculation technique. As a result, in addition to eavesdropping on the network, it is difficult to acquire logs on network devices and servers. Furthermore, the server that received the inquiry about the communication information can answer the requested communication information without knowing the contents of the inquiry by the secret calculation technology, so that the inquiry contents on the server side can be concealed. Become.

すなわち、サーバに格納されている通信情報そのものと、通信情報を問い合わせるメッセージ内容と、その回答との全てが秘匿化されることで、送信元端末50がどんな情報を取得しようとしているか、どこに通信をしようとしているのかを、第三者が推測することが困難となる。   That is, the communication information itself stored in the server, the message content for inquiring the communication information, and the response are all kept secret, so what information the transmission source terminal 50 is trying to acquire and where to communicate. It becomes difficult for a third party to guess whether he is trying to do so.

以下、図面に基づいて本発明の実施の形態を説明する。図2は、本発明の実施の形態におけるネットワークシステムの構成例を示す図である。図2に示されるネットワークシステム1は、送信元端末50と宛先端末60との通信を第三者から秘匿するための構成として、断片サーバ10a、10b、及び10c(以下、それぞれを区別しない場合、「断片サーバ10」という。)と、反復問い合わせ装置20と、登録装置30と、上位サーバ40とが示されている。   Hereinafter, embodiments of the present invention will be described with reference to the drawings. FIG. 2 is a diagram showing a configuration example of the network system in the embodiment of the present invention. The network system 1 shown in FIG. 2 has a configuration for concealing communication between the transmission source terminal 50 and the destination terminal 60 from a third party, and fragment servers 10a, 10b, and 10c (hereinafter, unless they are distinguished from each other, (Referred to as “fragment server 10”), an iterative inquiry device 20, a registration device 30, and a host server 40.

各断片サーバ10には、通信情報を分割した断片ファイル(以下、「通信情報の断片」という。)が分散されて格納されている。通信情報としては、キャッシュされたコンテンツそのものや、通信の事前に必要な情報(宛先端末60の所在地やアドレス、宛先端末60と通信を暗号化するために必要な公開鍵情報など)が考えられるが、これに限定されるものではない。また、本実施の形態では、3つの断片サーバ10が利用される例について説明するが、断片サーバ10は、2以上であればいずれの台数が利用されてもよい。   In each fragment server 10, fragment files obtained by dividing communication information (hereinafter referred to as “communication information fragments”) are distributed and stored. The communication information may be the cached content itself or information required in advance of communication (such as the location and address of the destination terminal 60, public key information necessary for encrypting communication with the destination terminal 60). However, the present invention is not limited to this. In the present embodiment, an example in which three fragment servers 10 are used will be described. However, any number of fragment servers 10 may be used as long as the number is two or more.

送信元端末50は、各断片サーバ10に対して、秘密計算技術を用いて通信情報の断片を問い合わせる。   The transmission source terminal 50 inquires of each fragment server 10 about a fragment of communication information using a secret calculation technique.

反復問い合わせ装置20は、問い合わせを受けた通信情報の断片が断片サーバ10内に存在しない場合に、当該通信情報を上位サーバ40に問い合わせる情報処理装置(例えば、コンピュータ)である。反復問い合わせ装置20から上位サーバ40へは、秘密計算を利用せず通常のプロトコルでの問い合わせが行われる。   The iterative inquiry device 20 is an information processing device (for example, a computer) that inquires the host server 40 about the communication information when the fragment of the communication information that has received the inquiry does not exist in the fragment server 10. An inquiry is made from the iterative inquiry device 20 to the upper server 40 using a normal protocol without using a secret calculation.

登録装置30は、宛先端末60など、通信情報を保持する端末や、上位サーバ40から通信情報を取得した反復問い合わせ装置20等から通信情報の登録要求を受け付けると、登録対象の通信情報を断片化及び暗号化して通信情報の断片を生成し、各断片を断片サーバ10に分散して登録する情報処理装置(例えば、コンピュータ)である。   When the registration device 30 receives a communication information registration request from a terminal that holds communication information, such as the destination terminal 60, or from the iterative inquiry device 20 that has acquired the communication information from the host server 40, the registration device 30 fragments the communication information to be registered. And an information processing apparatus (for example, a computer) that encrypts and generates fragments of communication information and distributes and registers each fragment in the fragment server 10.

上位サーバ40は、例えば、DNS(Domain Name System)の権威DNSサーバ等であり、通信情報を管理する。上位サーバ40は、ローカルのネットワークN1内(すなわち、断片サーバ10)に存在しない通信情報をも保持しているコンピュータである。   The host server 40 is, for example, a DNS (Domain Name System) authoritative DNS server and manages communication information. The host server 40 is a computer that also holds communication information that does not exist in the local network N1 (that is, the fragment server 10).

なお、本実施の形態においては、断片サーバ10を提供する事業者等が、送信元端末50を保持するユーザに対して匿名通信サービスを提供することを想定する。すなわち、送信元端末50を保持するユーザと、断片サーバ10を提供する事業者との間には、契約等により、最低限の信頼関係があることを想定する。一方、上位サーバ40を提供する第三者は、送信元端末50を保持するユーザとの間に一切の関係が無くてもよい。   In the present embodiment, it is assumed that a business operator that provides the fragment server 10 provides an anonymous communication service to a user holding the transmission source terminal 50. That is, it is assumed that there is a minimum trust relationship between the user holding the transmission source terminal 50 and the business operator providing the fragment server 10 by a contract or the like. On the other hand, the third party that provides the upper server 40 may not have any relationship with the user holding the transmission source terminal 50.

図3は、本発明の実施の形態における断片サーバのハードウェア構成例を示す図である。図3の断片サーバ10は、それぞれバスBで相互に接続されているドライブ装置100、補助記憶装置102、メモリ装置103、CPU104、及びインタフェース装置105等を有する。   FIG. 3 is a diagram illustrating a hardware configuration example of the fragment server according to the embodiment of the present invention. The fragment server 10 in FIG. 3 includes a drive device 100, an auxiliary storage device 102, a memory device 103, a CPU 104, an interface device 105, and the like that are connected to each other via a bus B.

断片サーバ10での処理を実現するプログラムは、CD−ROM等の記録媒体101によって提供される。プログラムを記憶した記録媒体101がドライブ装置100にセットされると、プログラムが記録媒体101からドライブ装置100を介して補助記憶装置102にインストールされる。但し、プログラムのインストールは必ずしも記録媒体101より行う必要はなく、ネットワークを介して他のコンピュータよりダウンロードするようにしてもよい。補助記憶装置102は、インストールされたプログラムを格納すると共に、必要なファイルやデータ等を格納する。   A program for realizing processing in the fragment server 10 is provided by a recording medium 101 such as a CD-ROM. When the recording medium 101 storing the program is set in the drive device 100, the program is installed from the recording medium 101 to the auxiliary storage device 102 via the drive device 100. However, the program need not be installed from the recording medium 101 and may be downloaded from another computer via a network. The auxiliary storage device 102 stores the installed program and also stores necessary files and data.

メモリ装置103は、プログラムの起動指示があった場合に、補助記憶装置102からプログラムを読み出して格納する。CPU104は、メモリ装置103に格納されたプログラムに従って断片サーバ10に係る機能を実行する。インタフェース装置105は、ネットワークに接続するためのインタフェースとして用いられる。   The memory device 103 reads the program from the auxiliary storage device 102 and stores it when there is an instruction to start the program. The CPU 104 executes functions related to the fragment server 10 in accordance with the program stored in the memory device 103. The interface device 105 is used as an interface for connecting to a network.

なお、反復問い合わせ装置20、登録装置30、上位サーバ40、送信元端末50、及び宛先端末60も、図3に示されるようなハードウェアを有していてもよい。また、反復問い合わせ装置20及び登録装置30は、共通のコンピュータを用いて実現されてもよい。   The iterative inquiry device 20, the registration device 30, the upper server 40, the transmission source terminal 50, and the destination terminal 60 may also have hardware as shown in FIG. Further, the iterative inquiry device 20 and the registration device 30 may be realized using a common computer.

図4は、送信元端末の機能構成例を示す図である。図4において、送信元端末50は、アプリケーション51、秘密計算部52、及び問い合わせ部53等を有する。これら各部は、送信元端末50にインストールされた1以上のプログラムが、送信元端末50のCPUに実行させる処理により実現される。   FIG. 4 is a diagram illustrating a functional configuration example of the transmission source terminal. In FIG. 4, the transmission source terminal 50 includes an application 51, a secret calculation unit 52, an inquiry unit 53, and the like. Each of these units is realized by processing that causes the CPU of the transmission source terminal 50 to execute one or more programs installed in the transmission source terminal 50.

アプリケーション51は、宛先端末60との通信を行う。アプリケーション51の一例として、宛先端末60のURL(Uniform Resource Locator)に対応するIPアドレスを取得するDNSリゾルバや、宛先端末60との間で暗号化を実施するアプリケーションや暗号化プロトコル、コンテンツそのものを取得するCDN(Contents Delivery Network)のアプリケーション等が挙げられる。   The application 51 communicates with the destination terminal 60. As an example of the application 51, a DNS resolver that acquires an IP address corresponding to a URL (Uniform Resource Locator) of the destination terminal 60, an application that performs encryption with the destination terminal 60, an encryption protocol, and the content itself are acquired. CDN (Contents Delivery Network) application and the like.

秘密計算部52は、アプリケーション51からの、通信情報の問い合わせ内容を秘密計算機能によって複数の断片(以下、「問い合わせ断片」という。)に分割・暗号化する。例えば、ドメイン名に対応するIPアドレスの問い合わせの断片のそれぞれには、ドメイン名の一部を示す情報が含まれる。ドメイン名の一部を示す情報とは、必ずしも、文字列としての一部でなくてもよい。各一部をビット演算等により組み合わせることで、ドメイン名を導出可能であってもよい。なお、「分割・暗号化」とは、問い合わせ内容の断片化の過程において、「分割」と「暗号」との処理が、区別されないで実行される状態をいう。但し、「分割」と「暗号」とが明確に区別されて実行されてもよい。   The secret calculation unit 52 divides and encrypts the inquiry contents of the communication information from the application 51 into a plurality of fragments (hereinafter referred to as “inquiry fragments”) by the secret calculation function. For example, each IP address query fragment corresponding to a domain name includes information indicating a part of the domain name. The information indicating a part of the domain name is not necessarily a part as a character string. It may be possible to derive the domain name by combining each part by a bit operation or the like. Note that “division / encryption” refers to a state in which the processes of “division” and “encryption” are executed without distinction in the process of fragmenting the inquiry content. However, “division” and “encryption” may be executed with distinction.

秘密計算部52は、また、問い合わせ部53から受信した問い合わせ結果である通信情報の断片を復元・復号化し、復元・復号化された通信情報をアプリケーション51に回答する。「復元・復号化」とは、断片から通信情報への復元の過程において、「復元」と「復号」との処理が、区別されないで実行される状態をいう。但し、「復元」と「復号」とが明確に区別されて実行されてもよい。なお、通信情報の断片とは、例えば、通信情報がIPアドレスであれば、IPアドレスの一部を示す情報である。IPアドレスの一部を示す情報とは、各一部をビット演算等により組み合わせることで、IPアドレスを導出可能な情報である。   The secret calculation unit 52 also restores and decrypts the communication information fragment that is the inquiry result received from the inquiry unit 53, and returns the restored and decrypted communication information to the application 51. “Restoration / decryption” refers to a state in which the processes of “restoration” and “decryption” are executed without distinction in the process of restoring a fragment to communication information. However, “restoration” and “decryption” may be executed with distinction. The communication information fragment is information indicating a part of the IP address if the communication information is an IP address, for example. The information indicating a part of the IP address is information from which the IP address can be derived by combining each part by a bit operation or the like.

問い合わせ部53は、予め登録されている各断片サーバ10に対し、問い合わせ断片を送信したり、問い合わせ結果として得られる通信情報の断片を各断片サーバ10から受信したりする。なお、問い合わせ部53は、いずれの問い合わせ断片をいずれの断片サーバ10に対して送信すべきであるかについてのルールを知っている。例えば、秘密計算部52によって、最初に生成された問い合わせ断片は、断片サーバ10aに対応し、2番目に生成された問い合わせ断片は、断片サーバ10bに対応し、3番目に生成された問い合わせ断片は、断片サーバ10cに対応することを、問い合わせ部53は知っている。   The inquiry unit 53 transmits an inquiry fragment to each fragment server 10 registered in advance, or receives a fragment of communication information obtained as an inquiry result from each fragment server 10. The inquiry unit 53 knows a rule as to which inquiry fragment should be transmitted to which fragment server 10. For example, the first query fragment generated by the secret calculation unit 52 corresponds to the fragment server 10a, the second query fragment generated corresponds to the fragment server 10b, and the third query fragment generated is The inquiring unit 53 knows that it corresponds to the fragment server 10c.

図5は、断片サーバの機能構成例を示す図である。図5において、断片サーバ10は、問い合わせ受付部11、秘密計算部12、反復問い合わせ要求部13、及び断片登録受付部14等を有する。これら各部は、断片サーバ10にインストールされた1以上のプログラムが、断片サーバ10のCPU104に実行させる処理により実現される。断片サーバ10は、また、断片DB(Data Base)を15有する。断片DB15は、例えば、断片サーバ10の補助記憶装置102等を用いて実現可能である。   FIG. 5 is a diagram illustrating a functional configuration example of the fragment server. In FIG. 5, the fragment server 10 includes an inquiry reception unit 11, a secret calculation unit 12, an iterative inquiry request unit 13, and a fragment registration reception unit 14. Each of these units is realized by processing that one or more programs installed in the fragment server 10 cause the CPU 104 of the fragment server 10 to execute. The fragment server 10 also has a fragment DB (Data Base) 15. The fragment DB 15 can be realized using, for example, the auxiliary storage device 102 of the fragment server 10 or the like.

問い合わせ受付部11は、送信元端末50からの通信情報の問い合わせ断片を受信し、自らの断片DB15に記憶されている通信情報の断片の中から、問い合わせ断片に合致する通信情報の断片を取得し、取得された断片を送信元端末50に送信する。断片DB15を検索する際には、秘密計算部12が用いられる。秘密計算部12は、秘密計算技術を用いて、問い合わせ断片を復号せずに、暗号化されたまま通信情報の断片を検索する。   The inquiry reception unit 11 receives an inquiry fragment of communication information from the transmission source terminal 50, and acquires a fragment of communication information that matches the inquiry fragment from communication information fragments stored in its own fragment DB 15. The acquired fragment is transmitted to the transmission source terminal 50. When searching the fragment DB 15, the secret calculation unit 12 is used. The secret calculation unit 12 uses a secret calculation technique to search for a fragment of communication information while being encrypted without decrypting the inquiry fragment.

断片DB15には、通信情報の断片が記憶されている。例えば、断片サーバ10がDNSサーバである場合、断片DB15には、Aレコード等の断片が記憶されている。   The fragment DB 15 stores communication information fragments. For example, when the fragment server 10 is a DNS server, the fragment DB 15 stores fragments such as A records.

反復問い合わせ要求部13は、問い合わせ受付部11が受信した問い合わせ断片に対応する通信情報の断片が自身の断片DB15に存在しない場合に、上位サーバ40への通信情報の問い合わせを、反復問い合わせ装置20に要求する。例えば、DNSの問い合わせに断片に対して、対応するIPアドレスの断片が断片DB15に記憶されていない場合に、上位の権威DNSサーバとしての上位サーバ40に問い合わせを行う例や、問い合わせ断片に対応するコンテンツの断片が断片DB15に記憶されていない場合に、別のサーバである上位サーバ40からコンテンツを取得するための問い合わせを行う例などがある。反復問い合わせ要求部13は、送信元端末50から受信した問い合わせ断片を復号化せずに、そのまま反復問い合わせ装置20に転送する。但し、反復問い合わせ要求部13は、問い合わせ断片のパケットの送信元アドレスを、送信元端末50のIPアドレスから断片サーバ10自身のIPアドレスに書き換える。そうすることで、問い合わせ元の送信元端末50が、上位サーバ40に対して隠蔽される。   The iterative inquiry request unit 13 sends an inquiry of communication information to the upper server 40 to the iterative inquiry device 20 when there is no communication information fragment corresponding to the inquiry fragment received by the inquiry accepting unit 11 in its own fragment DB 15. Request. For example, when a fragment of an IP address corresponding to a DNS inquiry fragment is not stored in the fragment DB 15, an example of inquiring the upper server 40 as a higher authority DNS server, or an inquiry fragment is supported. There is an example in which when a fragment of content is not stored in the fragment DB 15, an inquiry for acquiring the content is performed from the upper server 40 which is another server. The iterative inquiry request unit 13 transfers the inquiry fragment received from the transmission source terminal 50 to the iterative inquiry device 20 as it is without decoding it. However, the repetitive inquiry request unit 13 rewrites the transmission source address of the inquiry fragment packet from the IP address of the transmission source terminal 50 to the IP address of the fragment server 10 itself. By doing so, the inquiry source transmission source terminal 50 is concealed from the upper server 40.

断片登録受付部14は、登録装置30からの要求に応じて、断片サーバ10の断片DB15に通信情報の断片を登録する。登録装置30から受信された通信情報の断片が、そのまま断片DB15に記憶される。   The fragment registration receiving unit 14 registers the communication information fragment in the fragment DB 15 of the fragment server 10 in response to a request from the registration device 30. A fragment of communication information received from the registration device 30 is stored in the fragment DB 15 as it is.

図6は、反復問い合わせ装置の機能構成例を示す図である。図6において、反復問い合わせ装置20は、反復問い合わせ受付部21、秘密分散部22、上位問い合わせ部23、及び登録要求部24等を有する。これら各部は、反復問い合わせ装置20にインストールされた1以上のプログラムが、反復問い合わせ装置20のCPUに実行させる処理により実現される。   FIG. 6 is a diagram illustrating a functional configuration example of the iterative inquiry device. In FIG. 6, the iterative inquiry device 20 includes an iterative inquiry accepting unit 21, a secret sharing unit 22, a higher-order inquiry unit 23, a registration request unit 24, and the like. Each of these units is realized by processing that one or more programs installed in the iterative inquiry device 20 cause the CPU of the iterative inquiry device 20 to execute.

反復問い合わせ受付部21は、各断片サーバ10から、問い合わせ断片を受信する。   The repetitive inquiry reception unit 21 receives an inquiry fragment from each fragment server 10.

秘密分散部22は、各問い合わせ断片を復元・復号化して、復元された問い合わせ内容を上位問い合わせ部23に入力する。   The secret sharing unit 22 restores / decrypts each query fragment, and inputs the restored query content to the upper query unit 23.

上位問い合わせ部23は、復元された問い合わせ内容を、通常の通信プロトコルを用いて、外部の適切な上位サーバ40に対して転送する。DNSの例では、DNSリゾルバとして、権威DNSサーバに反復問い合わせを実施する処理が該当する。上位問い合わせ部23は、問い合わせ対象の通信情報の内容又は種別に応じて、問い合わせ先の上位サーバ40を変えたり、問い合わせに用いるプロトコルを変えたりする。   The upper inquiry unit 23 transfers the restored inquiry content to an appropriate external upper server 40 using a normal communication protocol. In the example of DNS, the process which performs a repeated inquiry to an authoritative DNS server corresponds as a DNS resolver. The high-order inquiry unit 23 changes the high-order server 40 that is the inquiry destination or changes the protocol used for the inquiry according to the content or type of the communication information to be inquired.

登録要求部24は、上位問い合わせ部23から上位サーバ40に対する問い合わせによって得られた結果(通信情報)について、各断片サーバ10の断片DB15への登録の実行を、登録装置30に要求する。   The registration request unit 24 requests the registration device 30 to register the result (communication information) obtained by the inquiry from the upper inquiry unit 23 to the upper server 40 in the fragment DB 15 of each fragment server 10.

図7は、登録装置の機能構成例を示す図である。図7において、登録装置30は、登録受付部31、秘密分散部32、及び断片登録要求部33等を有する。これら各部は、登録装置30にインストールされた1以上のプログラムが、登録装置30のCPUに実行させる処理により実現される。   FIG. 7 is a diagram illustrating a functional configuration example of the registration apparatus. In FIG. 7, the registration device 30 includes a registration receiving unit 31, a secret sharing unit 32, a fragment registration requesting unit 33, and the like. Each of these units is realized by processing that one or more programs installed in the registration apparatus 30 cause the CPU of the registration apparatus 30 to execute.

登録受付部31は、反復問い合わせ装置20や宛先端末60等から通信情報の登録要求を受け付ける。   The registration receiving unit 31 receives a communication information registration request from the iterative inquiry device 20, the destination terminal 60, or the like.

秘密分散部32は、登録受付部31が受け付けた通信情報を、複数の(本実施の形態では3つの)断片に分割すると共に各断片を暗号化し、暗号化された通信情報の断片を、断片登録要求部33に入力する。   The secret sharing unit 32 divides the communication information received by the registration receiving unit 31 into a plurality of (in this embodiment, three) pieces, encrypts each piece, and converts the encrypted pieces of communication information into pieces. Input to the registration request unit 33.

断片登録要求部33は、秘密分散部32から受け取った、登録対象の通信情報の断片を、各断片サーバ10に送信する。断片登録要求部33は、いずれの通信情報の断片をいずれの断片サーバ10に対して送信すべきであるのかについてのルールを知っている。例えば、秘密分散部32によって、最初に生成された断片は、断片サーバ10aに対応し、2番目に生成された断片は、断片サーバ10bに対応し、3番目に生成された断片は、断片サーバ10cに対応することを、断片登録要求部33は知っている。なお、断片登録要求部33が知っているルールは、問い合わせ部53が知っているルールに対応する。   The fragment registration request unit 33 transmits the fragment of the communication information to be registered received from the secret sharing unit 32 to each fragment server 10. The fragment registration request unit 33 knows a rule as to which fragment of communication information should be transmitted to which fragment server 10. For example, the first fragment generated by the secret sharing unit 32 corresponds to the fragment server 10a, the second fragment generated corresponds to the fragment server 10b, and the third fragment generated is the fragment server. The fragment registration request unit 33 knows that it corresponds to 10c. The rules known by the fragment registration request unit 33 correspond to the rules known by the inquiry unit 53.

なお、秘密計算部52及び秘密計算部12(以下、両者を区別しない場合、単に「秘密計算部」という。)と、秘密分散部22及び秘密分散部32(以下、両者を区別しない場合、単に「秘密分散部」という。)とは、主に、以下の点で相違する。   It should be noted that the secret calculation unit 52 and the secret calculation unit 12 (hereinafter simply referred to as “secret calculation unit” when they are not distinguished from each other), and the secret sharing unit 22 and the secret distribution unit 32 (hereinafter, when both are not distinguished from each other, simply The “secret sharing unit” is mainly different in the following points.

秘密計算部は、分割・暗号化された問い合わせ断片に基づいて断片DB15を検索して該当する通信情報の断片を取得する機能と、問い合わせ結果である通信情報の断片を復元・復号化して元の通信情報を取り出す機能とを有する。すなわち、秘密計算部は、単純に分割/復元や暗号化/復号化するだけでなく、分割された問い合わせ断片から関連する通信情報の断片を検索したり、分割された複数の通信情報の断片を組み合わせて元の通信情報を復元したりする機能を有する。   The secret calculation unit searches the fragment DB 15 based on the divided / encrypted inquiry fragment to acquire the corresponding communication information fragment, and restores / decrypts the communication information fragment as the inquiry result to restore the original A function of extracting communication information. That is, the secret calculation unit not only simply divides / restores and encrypts / decrypts, but also searches for a fragment of related communication information from the divided inquiry fragments, or extracts a plurality of divided pieces of communication information. A function of restoring the original communication information in combination.

一方、秘密分散部は、単一の情報を複数の断片に分割・暗号化する機能と、断片から元の情報へ復元・復号化する機能だけを有する。   On the other hand, the secret sharing unit has only a function of dividing / encrypting single information into a plurality of fragments and a function of restoring / decrypting the pieces of information from the fragments into the original information.

以下、ネットワークシステム1において実行される処理手順について説明する。図8は、通信情報の問い合わせ時における処理手順の一例を説明するためのシーケンス図である。   Hereinafter, a processing procedure executed in the network system 1 will be described. FIG. 8 is a sequence diagram for explaining an example of a processing procedure when inquiring communication information.

ステップS1において、送信元端末50のアプリケーション51は、通信情報の問い合わせ内容を生成する。続いて、送信元端末50の秘密計算部52は、当該問い合わせ内容を分割・暗号化して、複数の問い合わせ断片を生成する(S2)。続いて、送信元端末50の問い合わせ部53は、全ての断片サーバ10のそれぞれに、対応する問い合わせ断片を1つずつ送信する(S3)。   In step S1, the application 51 of the transmission source terminal 50 generates communication information inquiry contents. Subsequently, the secret calculation unit 52 of the transmission source terminal 50 divides and encrypts the inquiry content to generate a plurality of inquiry fragments (S2). Subsequently, the inquiry unit 53 of the transmission source terminal 50 transmits one corresponding inquiry fragment to each of all the fragment servers 10 (S3).

断片サーバ10a〜10cにおいて、問い合わせ受付部11が、それぞれに送信された問い合わせ断片を受信すると、秘密計算部12は、自身の断片DB15に記憶されている通信情報の断片の中から、問い合わせ断片に対応する通信情報の断片を検索する(S4)。   In the fragment servers 10a to 10c, when the inquiry reception unit 11 receives the inquiry fragment transmitted to each of the fragment servers 10a to 10c, the secret calculation unit 12 converts the communication information fragment stored in its fragment DB 15 into the inquiry fragment. A corresponding piece of communication information is searched (S4).

問い合わせ断片に対応する通信情報の断片が断片DB15に記憶されていない場合、各断片サーバ10は、反復問い合わせ装置20に対して、問い合わせ断片を転送する(S5)。なお、ステップS5の詳細については後述される。   If the fragment of communication information corresponding to the inquiry fragment is not stored in the fragment DB 15, each fragment server 10 transfers the inquiry fragment to the repetitive inquiry device 20 (S5). Details of step S5 will be described later.

一方、各断片サーバ10において、問い合わせ断片に対応する通信情報の断片が検索された場合、各断片サーバ10の問い合わせ受付部11は、検索された通信情報の断片(以下、「結果断片」という。)を、問い合わせ結果として送信元端末50に送信する(S6)。なお、結果断片自体は、元の通信情報に対して分割・暗号化されている。送信元端末50の問い合わせ部53が全ての断片サーバ10から結果断片を受信すると、各結果断片を復元・復号化する(S7)。その結果、問い合わせ内容に対する問い合わせ結果である、完全な通信情報が得られる(S8)。   On the other hand, when the communication information fragment corresponding to the inquiry fragment is searched in each fragment server 10, the inquiry reception unit 11 of each fragment server 10 refers to the searched communication information fragment (hereinafter referred to as “result fragment”). ) Is transmitted to the transmission source terminal 50 as an inquiry result (S6). Note that the result fragment itself is divided and encrypted with respect to the original communication information. When the inquiry unit 53 of the transmission source terminal 50 receives the result fragments from all the fragment servers 10, each result fragment is restored and decoded (S7). As a result, complete communication information, which is an inquiry result for the inquiry content, is obtained (S8).

続いて、ステップS5の詳細について説明する。図9は、反復問い合わせに関する処理手順の一例を説明するためのシーケンス図である。   Next, details of step S5 will be described. FIG. 9 is a sequence diagram for explaining an example of a processing procedure related to the repetitive inquiry.

問い合わせ断片に対応する通信情報の断片が断片DB15内に存在しなかった場合、各断片サーバ10の反復問い合わせ要求部13は、問い合わせ断片をそのままの状態で反復問い合わせ装置20に送信する(S11)。但し、反復問い合わせ要求部13は、問い合わせ断片の送信元を、送信元端末50から各断片サーバ10のアドレスに書き換えることで、問い合わせ断片の送信元が送信元端末50であることを上位サーバ40に対して隠蔽する。   When the communication information fragment corresponding to the inquiry fragment does not exist in the fragment DB 15, the iterative inquiry request unit 13 of each fragment server 10 transmits the inquiry fragment to the iterative inquiry device 20 as it is (S11). However, the repetitive inquiry request unit 13 rewrites the transmission source of the inquiry fragment from the transmission source terminal 50 to the address of each fragment server 10, thereby indicating to the upper server 40 that the transmission source of the inquiry fragment is the transmission source terminal 50. Conceal it.

反復問い合わせ装置20の反復問い合わせ受付部21が、各問い合わせ断片を受信すると、秘密分散部22は、各問い合わせ断片を復元・復号化する(S12)。その結果、上位問い合わせ部23は、問い合わせ内容を得ることができる。そこで、上位問い合わせ部23は、当該問い合わせ内容を上位サーバ40に送信する(S13)。当該問い合わせ内容は、通常のプロトコルで実施されるため、上位サーバ40は問い合わせ内容を知ることができるが、当該問い合わせを構成するパケットの送信元のアドレスは、反復問い合わせ装置20のアドレスであるため、上位サーバ40が、当該問い合わせ元が送信元端末50であることを特定するのは困難である。   When the iterative inquiry receiving unit 21 of the iterative inquiry device 20 receives each inquiry fragment, the secret sharing unit 22 restores and decrypts each inquiry fragment (S12). As a result, the upper inquiry unit 23 can obtain the inquiry content. Therefore, the upper inquiry unit 23 transmits the inquiry content to the upper server 40 (S13). Since the inquiry content is implemented by a normal protocol, the upper server 40 can know the inquiry content. However, since the address of the transmission source of the packet constituting the inquiry is the address of the repetitive inquiry device 20, It is difficult for the upper server 40 to specify that the inquiry source is the transmission source terminal 50.

続いて、上位サーバ40は、問い合わせ内容に対応する通信情報を、問い合わせ結果として、反復問い合わせ装置20に回答する(S14)。   Subsequently, the upper server 40 returns the communication information corresponding to the inquiry content to the iterative inquiry device 20 as an inquiry result (S14).

反復問い合わせ装置20の上位問い合わせ部23が、問い合わせ結果である通信情報を受信すると、秘密分散部22は、当該通信情報を分割・暗号化することで断片化する(S19)。続いて、反復問い合わせ受付部21は、各通信情報の断片(結果断片)を、各断片サーバ10に送信する(S20)。   When the upper inquiry unit 23 of the iterative inquiry device 20 receives the communication information as the inquiry result, the secret sharing unit 22 fragments the communication information by dividing and encrypting the communication information (S19). Subsequently, the repetitive inquiry receiving unit 21 transmits each piece of communication information fragment (result fragment) to each fragment server 10 (S20).

なお、ステップS20において送信された通信情報の断片に関して、図8のステップS6以降が実行される。   It should be noted that step S6 and subsequent steps in FIG. 8 are executed for the communication information fragment transmitted in step S20.

また、反復問い合わせ装置20が上位サーバ40から得た問い合わせ結果を、断片サーバ10の断片DB15に登録する場合(例えば、キャッシュしておく場合)には、ステップS14に続いて、反復問い合わせ装置20の登録要求部24は、問い合わせ結果である通信情報の登録要求を登録装置30に送信する(S15)。   When the query result obtained by the iterative inquiry device 20 from the upper server 40 is registered in the fragment DB 15 of the fragment server 10 (for example, when it is cached), following the step S14, the iterative inquiry device 20 The registration request unit 24 transmits a communication information registration request as an inquiry result to the registration device 30 (S15).

登録装置30の登録要求受付部が、当該通信情報を受信すると、秘密分散部32は、当該通信情報を分割・暗号化することで断片化する(S16)。続いて、断片登録要求部33は、各通信情報の断片を、各断片サーバ10の断片登録受付部14に送信する(S17)。各断片サーバ10の断片登録受付部14は、通信情報の断片を受信すると、自身の断片DB15に当該通信情報の断片を登録する(S18)。   When the registration request receiving unit of the registration device 30 receives the communication information, the secret sharing unit 32 fragments the communication information by dividing / encrypting the communication information (S16). Subsequently, the fragment registration request unit 33 transmits each communication information fragment to the fragment registration reception unit 14 of each fragment server 10 (S17). Upon receiving the communication information fragment, the fragment registration receiving unit 14 of each fragment server 10 registers the communication information fragment in its own fragment DB 15 (S18).

続いて、DNSの問い合わせに対して本実施の形態を適用した場合の処理手順について説明する。図10は、DNSの問い合わせに関して実行される処理手順の一例を説明するためのシーケンス図である。図10において、図8又は図9のステップに対応するステップには、図8又は図9のステップ番号に30が加算されたステップ番号が付されている。また、図10において、送信元端末50は、DNSスタブリゾルバに相当する。   Next, a processing procedure when the present embodiment is applied to a DNS inquiry will be described. FIG. 10 is a sequence diagram for explaining an example of a processing procedure executed regarding a DNS inquiry. 10, steps corresponding to the steps of FIG. 8 or FIG. 9 are given step numbers obtained by adding 30 to the step numbers of FIG. 8 or FIG. In FIG. 10, the transmission source terminal 50 corresponds to a DNS stub resolver.

送信元端末50の秘密計算部52は、アプリケーション51からの、ドメイン名に対応するIPアドレスを取得するためのDNSの問い合わせ内容(ドメイン名:example.comに対応するIPアドレスを教えてほしいという要求)(S31)を、分割・暗号化する(S32)。その結果、それぞれが、「example.com」の一部を示す情報を含む3つの問い合わせ断片が生成される。問い合わせ部53は、各問い合わせ断片を、DNSキャッシュサーバとして動作する各断片サーバ10に送信する(S33)。この際、各問い合わせ断片は、それぞれに対応する断片サーバ10に送信される。   The secret calculation unit 52 of the transmission source terminal 50 requests the DNS inquiry contents for obtaining an IP address corresponding to the domain name from the application 51 (request to tell the IP address corresponding to the domain name: example.com). ) (S31) is divided and encrypted (S32). As a result, three query fragments each including information indicating a part of “example.com” are generated. The inquiry unit 53 transmits each inquiry fragment to each fragment server 10 operating as a DNS cache server (S33). At this time, each inquiry fragment is transmitted to the corresponding fragment server 10.

各断片サーバ10は、断片DB15内を検索し(S34)、問い合わせ断片に対応するAレコードの断片があれば、その結果断片を送信元端末50に返送する(S36)。送信元端末50の問い合わせ部53が、全ての断片サーバ10から結果断片を受信すると、秘密計算部52は、各結果断片を復元・復号化し、Aレコード=192.0.2.1を得る。   Each fragment server 10 searches the fragment DB 15 (S34), and if there is a fragment of the A record corresponding to the inquiry fragment, the fragment is returned to the transmission source terminal 50 (S36). When the inquiry unit 53 of the transmission source terminal 50 receives the result fragments from all the fragment servers 10, the secret calculation unit 52 restores and decrypts each result fragment to obtain A record = 192.0.2.1.

一方、ステップS34において、問い合わせ断片に対応するAレコードの断片が各断片サーバ10の断片DB15内に存在しない場合、各断片サーバ10の反復問い合わせ要求部13は、問い合わせ断片を反復問い合わせ装置20に送信する(S41)。この際、問い合わせ断片の送信元のアドレスが、送信元端末50から各断片サーバ10のアドレスに書き換えられることで、反復問い合わせ装置20や上位の権威DNSサーバである上位サーバ40対して、問い合わせ元の漏洩を防ぐことができる。   On the other hand, when the fragment of the A record corresponding to the inquiry fragment does not exist in the fragment DB 15 of each fragment server 10 in step S34, the repetitive inquiry request unit 13 of each fragment server 10 transmits the inquiry fragment to the repetitive inquiry device 20. (S41). At this time, the source address of the inquiry fragment is rewritten from the source terminal 50 to the address of each fragment server 10, so that the inquiry source 20 and the upper server 40, which is an upper authority DNS server, Leakage can be prevented.

反復問い合わせ装置20の反復問い合わせ受付部21が、各断片サーバ10からの問い合わせ断片を受信すると、秘密分散部22は、それらを復元・復号化する(S42)。続いて、上位問い合わせ部23は、問い合わせ内容となるドメイン名を確認したうえで、適切な権威DNSサーバである上位サーバ40に、DNSクエリを送信して問い合わせを実施する(S43)。なお、反復問い合わせ装置20は、DNSフルサービスリゾルバとして動作するため、DNSクエリによる上位サーバ40への問い合わせは複数回発生することがある。   When the repetitive inquiry receiving unit 21 of the repetitive inquiry device 20 receives the inquiry fragments from each fragment server 10, the secret sharing unit 22 restores and decrypts them (S42). Subsequently, after confirming the domain name that is the content of the inquiry, the upper inquiry unit 23 sends a DNS query to the upper server 40, which is an appropriate authoritative DNS server, to make an inquiry (S43). Since the iterative inquiry device 20 operates as a DNS full service resolver, an inquiry to the upper server 40 by the DNS query may occur a plurality of times.

反復問い合わせ装置20の上位問い合わせ部23が、DNSクエリに対する回答としてAレコードを受信すると(S44)、秘密分散部22は、Aレコードを分割及び暗号化して結果断片を生成する(S49)。続いて、反復問い合わせ受付部21は、各結果断片を、断片サーバ10送信する(S48)。続いて、ステップS36以降が実行される。   When the upper query unit 23 of the iterative query device 20 receives the A record as an answer to the DNS query (S44), the secret sharing unit 22 divides and encrypts the A record to generate a result fragment (S49). Subsequently, the repetitive inquiry receiving unit 21 transmits each result fragment to the fragment server 10 (S48). Subsequently, step S36 and subsequent steps are executed.

なお、図10では、図9のS15〜S18に相当する各断片サーバ10への登録手順が省略されているが、当該登録手順は、必要に応じて同様に実施される。   In FIG. 10, the registration procedure to each fragment server 10 corresponding to S15 to S18 in FIG. 9 is omitted, but the registration procedure is similarly performed as necessary.

上述したように、本実施の形態によれば、送信元端末50及び宛先端末60ではない第三者が提供する断片サーバ10に格納されている通信情報の取得を匿名化することができ、Torなどの既存の匿名通信技術と合わせることで、通信情報の取得から実際の通信までを完全に匿名化することができる。   As described above, according to the present embodiment, it is possible to anonymize the acquisition of communication information stored in the fragment server 10 provided by a third party that is not the transmission source terminal 50 and the destination terminal 60, and Tor By combining with existing anonymous communication technology such as, it is possible to completely anonymize from the acquisition of communication information to actual communication.

すなわち、図11に示すとおり、送信元端末50〜断片サーバ10間では、秘密計算技術を適用することで、送信元端末50がどこに通信しようとしているかが隠蔽され、断片サーバ10〜上位サーバ40間では、誰が通信をしようとしているかが隠蔽される。これにより、送信元端末50、宛先端末60以外には、「誰が通信しようとしているか」と「どこに通信しようとしているか」の両方を同時に推定できる第三者が存在しなくなることにより、送信元端末50の通信の匿名性を保証することができる。その結果、通信の当事者の匿名性を向上させることができる。   That is, as shown in FIG. 11, between the transmission source terminal 50 and the fragment server 10, the secret calculation technique is applied to conceal where the transmission source terminal 50 is trying to communicate. Then, who is trying to communicate is hidden. As a result, there is no third party other than the transmission source terminal 50 and the destination terminal 60 that can simultaneously estimate both “who is trying to communicate” and “where is communication”. Anonymity of communication can be guaranteed. As a result, the anonymity of the parties to communication can be improved.

なお、本実施の形態において、断片サーバ10は、通信情報管理装置の一例である。断片DB15は、記憶部の一例である。問い合わせ受付部11は、送信部及び第1の送信部の一例である。反復問い合わせ要求部13は、転送部の一例である。秘密計算部12は、検索部の一例である。反復問い合わせ装置20は、復元装置の一例である。秘密分散部22は、復元部及び分割部の一例である。上位問い合わせ部23は、取得部の一例である。反復問い合わせ受付部21は、第2の送信部の一例である。上位サーバ40は、複数の通信情報管理装置とは別の情報管理装置の一例である。   In the present embodiment, the fragment server 10 is an example of a communication information management device. The fragment DB 15 is an example of a storage unit. The inquiry reception unit 11 is an example of a transmission unit and a first transmission unit. The repetitive inquiry request unit 13 is an example of a transfer unit. The secret calculation unit 12 is an example of a search unit. The iterative inquiry device 20 is an example of a restoration device. The secret sharing unit 22 is an example of a restoration unit and a division unit. The upper inquiry unit 23 is an example of an acquisition unit. The repetitive inquiry reception unit 21 is an example of a second transmission unit. The host server 40 is an example of an information management device different from the plurality of communication information management devices.

以上、本発明の実施例について詳述したが、本発明は斯かる特定の実施形態に限定されるものではなく、特許請求の範囲に記載された本発明の要旨の範囲内において、種々の変形・変更が可能である。   As mentioned above, although the Example of this invention was explained in full detail, this invention is not limited to such specific embodiment, In the range of the summary of this invention described in the claim, various deformation | transformation・ Change is possible.

1 ネットワークシステム
10 断片サーバ
11 問い合わせ受付部
12 秘密計算部
13 反復問い合わせ要求部
14 断片登録受付部
15 断片DB
20 反復問い合わせ装置
21 反復問い合わせ受付部
22 秘密分散部
23 上位問い合わせ部
24 登録要求部
30 登録装置
31 登録受付部
32 秘密分散部
33 断片登録要求部
40 上位サーバ
50 送信元端末
51 アプリケーション
52 秘密計算部
53 問い合わせ部
60 宛先端末
100 ドライブ装置
101 記録媒体
102 補助記憶装置
103 メモリ装置
104 CPU
105 インタフェース装置
B バス DESCRIPTION OF SYMBOLS 1 Network system 10 Fragment server 11 Inquiry reception part 12 Secret calculation part 13 Iterative inquiry request part 14 Fragment registration reception part 15 Fragment DB
20 Iterative Query Device 21 Iterative Query Accepting Unit 22 Secret Sharing Unit 23 Higher Query Unit 24 Registration Requesting Unit 30 Registration Device 31 Registration Accepting Unit 32 Secret Sharing Unit 33 Fragment Registration Requesting Unit 40 Host Server 50 Source Terminal 51 Application 52 Secret Calculation Unit 53 Inquiry Unit 60 Destination Terminal 100 Drive Device 101 Recording Medium 102 Auxiliary Storage Device 103 Memory Device 104 CPU
105 Interface device B bus

Claims (7)

通信に用いられる情報である通信情報の断片を記憶する記憶部と、
前記通信情報に対する問い合わせを断片化した問い合わせ断片を端末から受信すると、前記記憶部に記憶されている通信情報の断片のうち、前記問い合わせ断片に対応する通信情報の断片を前記端末に送信する送信部と、
前記問い合わせ断片に対応する通信情報の断片が前記記憶部に記憶されていない場合に、前記問い合わせ断片の送信元のアドレスを書き換えて、前記問い合わせ断片から前記問い合わせを復元する復元装置へ前記問い合わせ断片を転送する転送部と、
を有することを特徴とする通信情報管理装置。 A storage unit for storing a piece of communication information which is information used for communication;
A transmission unit that, when receiving an inquiry fragment obtained by fragmenting an inquiry about the communication information from a terminal, transmits a communication information fragment corresponding to the inquiry fragment among the communication information fragments stored in the storage unit to the terminal. When,
When a fragment of communication information corresponding to the inquiry fragment is not stored in the storage unit, the inquiry fragment is rewritten from the inquiry fragment to a restoration device by rewriting the address of the inquiry fragment transmission source. A transfer unit to transfer,
A communication information management device comprising: 前記記憶部に記憶されている通信情報の断片は暗号化されており、
暗号化された前記問い合わせ断片が受信されると、前記問い合わせ断片を復号することなく、暗号化された通信情報の断片を前記記憶部から検索する検索部、
を有することを特徴とする請求項1記載の通信情報管理装置。 The communication information fragment stored in the storage unit is encrypted,
When the encrypted inquiry fragment is received, a search unit that retrieves the encrypted communication information fragment from the storage unit without decrypting the inquiry fragment;
The communication information management apparatus according to claim 1, further comprising: 複数の通信情報管理装置と、復元装置とを含む通信情報管理システムであって、
前記通信情報管理装置は、
通信に用いられる情報である通信情報の断片を記憶する記憶部と、
前記通信情報に対する問い合わせを断片化した問い合わせ断片を端末から受信すると、前記記憶部に記憶されている通信情報の断片のうち、前記問い合わせ断片に対応する通信情報の断片を前記端末に送信する第1の送信部と、
前記問い合わせ断片に対応する通信情報の断片が前記記憶部に記憶されていない場合に、前記問い合わせ断片の送信元のアドレスを書き換えて、前記復元装置へ前記問い合わせ断片を転送する転送部とを有し、
前記復元装置は、
前記複数の通信情報管理装置から転送される複数の前記問い合わせ断片に基づいて、前記問い合わせを復元する復元部と、
復元された前記問い合わせを前記複数の通信情報管理装置とは別の情報管理装置へ送信して、前記情報管理装置から前記問い合わせに対応する通信情報を取得する取得部と、
前記通信情報を複数の断片に分割する分割部と、
分割された通信情報の断片を、前記複数の通信情報管理装置へ送信する第2の送信部とを有する、
ことを特徴とする通信情報管理システム。 A communication information management system including a plurality of communication information management devices and a restoration device,
The communication information management device includes:
A storage unit for storing a piece of communication information which is information used for communication;
When an inquiry fragment obtained by fragmenting an inquiry about the communication information is received from the terminal, a communication information fragment corresponding to the inquiry fragment among the communication information fragments stored in the storage unit is transmitted to the terminal. The transmitter of
A transfer unit that rewrites the address of the transmission source of the inquiry fragment and transfers the inquiry fragment to the restoration device when the communication information fragment corresponding to the inquiry fragment is not stored in the storage unit; ,
The restoration device
A restoration unit for restoring the inquiry based on the plurality of inquiry fragments transferred from the plurality of communication information management devices;
An acquisition unit that transmits the restored inquiry to an information management device different from the plurality of communication information management devices, and acquires communication information corresponding to the inquiry from the information management device;
A dividing unit for dividing the communication information into a plurality of pieces;
A second transmission unit that transmits the divided pieces of communication information to the plurality of communication information management devices;
A communication information management system characterized by that. 通信に用いられる通信情報に対する問い合わせを断片化した問い合わせ断片を端末から受信すると、記憶部に記憶されている通信情報の断片のうち、前記問い合わせ断片に対応する通信情報の断片を前記端末に送信する送信手順と、
前記問い合わせ断片に対応する通信情報の断片が前記記憶部に記憶されていない場合に、前記問い合わせ断片の送信元のアドレスを書き換えて、前記問い合わせ断片から前記問い合わせを復元する復元装置へ前記問い合わせ断片を転送する転送手順と、
をコンピュータが実行することを特徴とする通信情報管理方法。 When an inquiry fragment obtained by fragmenting an inquiry about communication information used for communication is received from the terminal, a communication information fragment corresponding to the inquiry fragment is transmitted to the terminal among the communication information fragments stored in the storage unit. Sending procedure,
When a fragment of communication information corresponding to the inquiry fragment is not stored in the storage unit, the inquiry fragment is rewritten from the inquiry fragment to a restoration device by rewriting the address of the inquiry fragment transmission source. A transfer procedure to transfer,
A communication information management method characterized in that a computer executes. 前記記憶部に記憶されている通信情報の断片は暗号化されており、
暗号化された前記問い合わせ断片が受信されると、前記問い合わせ断片を復号することなく、暗号化された通信情報の断片を前記記憶部から検索する検索手順、
をコンピュータが実行することを特徴とする請求項4記載の通信情報管理方法。 The communication information fragment stored in the storage unit is encrypted,
When the encrypted inquiry fragment is received, a search procedure for retrieving the encrypted communication information fragment from the storage unit without decrypting the inquiry fragment;
5. The communication information management method according to claim 4, wherein the computer executes. 複数の通信情報管理装置と、復元装置とが実行する通信情報管理方法であって、
前記通信情報管理装置が、
通信に用いられる通信情報に対する問い合わせを断片化した問い合わせ断片を端末から受信すると、記憶部に記憶されている通信情報の断片のうち、前記問い合わせ断片に対応する通信情報の断片を前記端末に送信する第1の送信手順と、
前記問い合わせ断片に対応する通信情報の断片が前記記憶部に記憶されていない場合に、前記問い合わせ断片の送信元のアドレスを書き換えて、前記復元装置へ前記問い合わせ断片を転送する転送手順とを実行し、
前記復元装置が、
前記複数の通信情報管理装置から転送される複数の前記問い合わせ断片に基づいて、前記問い合わせを復元する復元手順と、
復元された前記問い合わせを他の情報管理装置へ送信して、前記他の情報管理装置から前記問い合わせに対応する通信情報を取得する取得手順と、
前記通信情報を複数の断片に分割する分割手順と、
分割された通信情報の断片を、前記複数の通信情報管理装置へ送信する第2の送信手順とを実行する、
ことを特徴とする通信情報管理方法。 A communication information management method executed by a plurality of communication information management devices and a restoration device,
The communication information management device is
When an inquiry fragment obtained by fragmenting an inquiry about communication information used for communication is received from the terminal, a communication information fragment corresponding to the inquiry fragment is transmitted to the terminal among the communication information fragments stored in the storage unit. A first transmission procedure;
When a fragment of communication information corresponding to the inquiry fragment is not stored in the storage unit, a transfer procedure for rewriting the transmission source address of the inquiry fragment and transferring the inquiry fragment to the restoration device is executed. ,
The restoration device is
A restoration procedure for restoring the inquiry based on the plurality of inquiry fragments transferred from the plurality of communication information management devices;
An acquisition procedure for transmitting the restored inquiry to another information management device and obtaining communication information corresponding to the inquiry from the other information management device;
A division procedure for dividing the communication information into a plurality of pieces;
Executing a second transmission procedure for transmitting the divided pieces of communication information to the plurality of communication information management devices;
A communication information management method. 請求項1又は2記載の各部としてコンピュータを機能させるプログラム。   A program causing a computer to function as each unit according to claim 1.
JP2016009025A 2016-01-20 2016-01-20 Communication information management device, communication information management system, communication information management method, and program Pending JP2017129737A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2016009025A JP2017129737A (en) 2016-01-20 2016-01-20 Communication information management device, communication information management system, communication information management method, and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2016009025A JP2017129737A (en) 2016-01-20 2016-01-20 Communication information management device, communication information management system, communication information management method, and program

Publications (1)

Publication Number Publication Date
JP2017129737A true JP2017129737A (en) 2017-07-27

Family

ID=59395678

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2016009025A Pending JP2017129737A (en) 2016-01-20 2016-01-20 Communication information management device, communication information management system, communication information management method, and program

Country Status (1)

Country Link
JP (1) JP2017129737A (en)

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100031369A1 (en) * 2008-07-30 2010-02-04 Eberhard Oliver Grummt Secure distributed item-level discovery service using secret sharing

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20100031369A1 (en) * 2008-07-30 2010-02-04 Eberhard Oliver Grummt Secure distributed item-level discovery service using secret sharing

Similar Documents

Publication Publication Date Title
US6732277B1 (en) Method and apparatus for dynamically accessing security credentials and related information
EP2798809B1 (en) Dynamic pseudonymization method for user data profiling networks and user data profiling network implementing the method
JP4571865B2 (en) Identity-based encryption system
US11271726B2 (en) Key encryption methods, apparatuses, and systems
US9626527B2 (en) Server and method for secure and economical sharing of data
US9946896B2 (en) Attribute information provision method and attribute information provision system
US11128476B2 (en) DNS provider configuring a registry DNSSEC record
JP5153616B2 (en) Domain management method and apparatus therefor
CN105791451B (en) Message response method and device
JP5491932B2 (en) Network storage system, method, client device, cache device, management server, and program
US20120163598A1 (en) Session secure web content delivery
US10680806B1 (en) DNS-based symmetric-key infrastructure
US10116442B2 (en) Data storage apparatus, data updating system, data processing method, and computer readable medium
EP2942899B1 (en) Information processing method, trust server and cloud server
CN111049832B (en) Reverse proxy method and related device
US20190306110A1 (en) Experience differentiation
Huynh et al. A decentralized solution for web hosting
KR20210099814A (en) Digital property code management system based on blockchain and method thereof
JP4637612B2 (en) Identification information generation management device, system, and program
CN102714653A (en) System and method for accessing private digital content
JP2006279269A (en) Information management device, information management system, network system, user terminal, and their programs
CN108881257B (en) Encryption transmission method for distributed search cluster and encryption transmission distributed search cluster
KR102096637B1 (en) Distributed Ledger for logging inquiry time in blockchain
WO2021001876A1 (en) Number management system, number management method, number management device, and number management program
JP7188592B2 (en) Number management system, number management method, number management device and number management program

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20171213

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20180816

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20180925

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20181108

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20190507