JP5778018B2 - Electronic data management system and electronic data management method - Google Patents
Electronic data management system and electronic data management method Download PDFInfo
- Publication number
- JP5778018B2 JP5778018B2 JP2011268575A JP2011268575A JP5778018B2 JP 5778018 B2 JP5778018 B2 JP 5778018B2 JP 2011268575 A JP2011268575 A JP 2011268575A JP 2011268575 A JP2011268575 A JP 2011268575A JP 5778018 B2 JP5778018 B2 JP 5778018B2
- Authority
- JP
- Japan
- Prior art keywords
- data
- electronic data
- user
- electronic
- distributed
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Description
本発明は、電子データの管理技術に関し、特に、重要データを秘密分散により複数の非重要データに分割して分散管理する電子データ管理システムおよび情報処理装置および電子データ管理プログラムならびに電子データ管理方法に適用して有効な技術に関するものである。 The present invention relates to an electronic data management technique, and more particularly, to an electronic data management system, an information processing apparatus, an electronic data management program, and an electronic data management method that divide and manage important data into a plurality of non-critical data by secret sharing. It is related to effective technology when applied.
情報システムを有する企業等においては、情報漏洩などの情報セキュリティ事故を防止するため、機密性の高いデータなどの重要なデータを保護する手段を講じる必要がある。一方でこれらを実現するための様々な手段も提案されている。 A company having an information system needs to take measures to protect important data such as highly confidential data in order to prevent an information security accident such as information leakage. On the other hand, various means for realizing these have been proposed.
重要データを保護するための手段として、例えば、企業等が重要データをセキュリティ対策が多重に施されたデータセンターに保管することが考えられる。しかしながら、外部からアクセス可能なプライベートなデータセンターを独自に構築・運用するのは技術面・コスト面等で多大な負荷を要し、中小企業等にとっては実現は困難である。 As a means for protecting important data, for example, it is conceivable that a company or the like stores important data in a data center where multiple security measures are taken. However, the construction and operation of a private data center that can be accessed from the outside requires a great load in terms of technology and cost, and it is difficult for small and medium-sized enterprises to realize.
これに対して企業等が、第三者が運用してサービスとして外部に提供しているデータセンターを利用することも考えられる。しかし、第三者が運用管理するデータセンターに自社の重要データを保管することは、情報漏洩や情報破損などの高いリスクを伴う。ましてや近年利用が拡大しているクラウドコンピューティング環境における仮想データセンターや仮想サーバに重要データを保管することは、上記リスクに加えて、データの実際の保管場所の把握ができないため、保管場所が存在する地域のリスクや管理状態に対しての不安が残り、非常にリスクが高い。 On the other hand, it is also conceivable that a company or the like uses a data center operated by a third party and provided as a service to the outside. However, storing the company's important data in a data center operated and managed by a third party involves high risks such as information leakage and information corruption. Furthermore, storing important data in virtual data centers and virtual servers in cloud computing environments that have been increasingly used in recent years, in addition to the above risks, makes it impossible to grasp the actual data storage location, so there is a storage location. There are still concerns about the local risks and management conditions, and the risk is very high.
一方、重要データを保管する際に、データを秘匿化したり改竄を防止したりする手段を講じて保管することも行われている。一般的には、暗号鍵を用いて重要データを暗号化して保管することが行われているが、この場合、暗号化されてはいるものの、重要データ内の全ての情報は暗号化データが保管された場所に存在していることになる。従って、例えば暗号化データが第三者に取得されたような場合、何らかの理由で当該第三者に暗号鍵も取得・解読された場合は容易に元データが復元されてしまう恐れがある。また、暗号鍵を取得されなくとも、暗号鍵が有限長であることから、理論上は有限回数の試行によって暗号化されたデータから元データが復元されてしまう可能性を有する。 On the other hand, when important data is stored, the data is concealed or stored by taking measures to prevent tampering. In general, important data is encrypted and stored using an encryption key. In this case, all the information in the important data is stored in the encrypted data although it is encrypted. Will be present in the place. Therefore, for example, when encrypted data is acquired by a third party, if the encryption key is also acquired / decrypted by the third party for some reason, the original data may be easily restored. Even if the encryption key is not acquired, the encryption key has a finite length, so that in theory, the original data may be restored from the encrypted data after a finite number of trials.
これに対し、重要データを強固に秘匿化する手法として、いわゆる秘密分散の技術も用いられている。秘密分散では、重要データを分割・分散することで、分割されたデータ片だけでは意味のない(元データを復元・推測できない)非重要データにすることができる。これにより、一部の非重要データが第三者に取得された場合でも、第三者による元データの復元を理論上も不可能とすることができる。 On the other hand, a so-called secret sharing technique is also used as a method for strongly concealing important data. In secret sharing, important data is divided and distributed, so that it becomes non-important data that is meaningless (original data cannot be restored / estimated) only by the divided data pieces. Thereby, even when some non-important data is acquired by a third party, it is theoretically impossible to restore the original data by the third party.
秘密分散の手法としては種々のものが提案されている。例えば、特許第4039810号明細書(特許文献1)には、電子情報ファイルを複数の情報エレメントに分割し、分割された情報エレメントを選択し順序を変えて組み合わせることにより、2個以上の情報ブロックであって全ての情報ブロックを統合しなければ全ての情報エレメントを含むことにならないような情報ブロックを生成し、情報エレメントに分割した方法に係る分割情報と情報ブロックを生成した方法に係る形成情報を記録した分割抽出データを生成し、各情報ブロックと分割抽出データとのうち、少なくとも1つを証明局に保管し、他を分離して別々に保管することで電子情報の安全を確保する技術が開示されている。 Various secret sharing techniques have been proposed. For example, in Japanese Patent No. 4039810 (Patent Document 1), two or more information blocks are obtained by dividing an electronic information file into a plurality of information elements, selecting the divided information elements, and combining them in a different order. In this case, an information block that does not include all information elements unless all the information blocks are integrated is generated, and division information relating to the method divided into information elements and formation information relating to the method generating the information block A technology that secures the security of electronic information by generating divided extracted data that records information, storing at least one of each information block and divided extracted data in a certification authority, and separately storing the other separately Is disclosed.
一方、元データに対する部分データ(情報ブロック、非重要データ)を全て集めなくとも所定の個数以上集めれば元データを復元可能な秘密分散の手法として、例えば、非特許文献1に記載されたような多項式補間を用いた(k,n)閾値秘密分散法が従来から用いられている。この手法によれば、n個に分散した部分データのうち少なくともk個(k≦n)を集めれば元データを復元することができる。また、この手法をさらに改良した種々の閾値秘密分散法も提案されている。 On the other hand, as a secret sharing technique capable of restoring the original data if a predetermined number or more are collected without collecting all the partial data (information block, non-important data) for the original data, for example, as described in Non-Patent Document 1 The (k, n) threshold secret sharing method using polynomial interpolation has been used conventionally. According to this method, the original data can be restored by collecting at least k pieces (k ≦ n) of the partial data distributed in n pieces. Various threshold secret sharing methods that further improve this method have also been proposed.
これに関連して、例えば、特開2009−139990号公報(特許文献2)には、記憶装置に格納されたデータを、復元の際に基準個数の部分データが必要となる秘密分散法により、基準個数以上の所定の個数の部分データに分割する分割部と、部分データを他の情報処理装置に送信するとともに記憶装置から削除する送信部と、記憶装置へデータを復元する場合に、他の情報処理装置から部分データを取得して記憶装置に格納する取得部と、基準個数の部分データが記憶装置に格納されたことを条件にデータを復元する復元部とを備える情報処理装置が開示されている。 In relation to this, for example, in JP 2009-139990 A (Patent Document 2), the data stored in the storage device is converted into a secret sharing method that requires a reference number of partial data at the time of restoration. When dividing data into a predetermined number of partial data equal to or greater than the reference number, a transmission unit that transmits partial data to another information processing device and deletes the partial data from the storage device, An information processing apparatus including an acquisition unit that acquires partial data from an information processing device and stores the partial data in a storage device, and a restoration unit that restores data on condition that a reference number of partial data is stored in the storage device is disclosed. ing.
近年、ノート型PC(Personal Computer)などの携帯可能な情報処理端末が広く利用されるに従って、これらの端末自体の盗難や紛失等に伴う情報漏洩のリスクが高まっている。例えば、個人情報等を取り扱う企業などにおいては、従業員等がこれらの端末を紛失したような場合には、監督官庁への届出や報告等が必要となる場合がある。しかし、従来は実際の情報漏洩範囲については特定することができない場合がほとんどであり、紛失した時点で全てのデータが漏洩もしくはその可能性があると報告せざるを得なかった。 In recent years, as portable information processing terminals such as notebook PCs (Personal Computers) are widely used, there is an increased risk of information leakage due to theft or loss of these terminals themselves. For example, in a company that handles personal information or the like, if an employee or the like loses these terminals, a report or report to a supervisory authority may be required. However, in the past, the actual information leakage range could not be specified in most cases, and when it was lost, all data had to be reported as leaked or possibly.
これに対して、端末内の重要データを含むデータを外部のサーバ等に保管することで端末の紛失等のリスクを低減することが考えられる。特許文献1に記載された技術では、秘密分散された部分データ(情報ブロック)の全てを集めなければ元データを復元することができない。従って、部分データのうちの1つをいわゆる“信頼できる第三者機関("Trusted Third Party"、以下では単に「TTP」と記載する場合がある)”である証明局に供託しておくことで、元データの復元の際に必ず証明局を介在させることができ、セキュリティを向上させることができる。しかしながら、元データを復元する際には全ての部分データを集める必要があることから、部分データの紛失等、何らかの理由で部分データの少なくとも1つが取得不能となった場合は元データの復元が不可能になり、可用性に欠けるという課題がある。 On the other hand, it is conceivable to reduce the risk of terminal loss or the like by storing data including important data in the terminal in an external server or the like. With the technique described in Patent Document 1, the original data cannot be restored unless all of the secret-distributed partial data (information blocks) are collected. Therefore, by depositing one of the partial data to a certification authority, a so-called “trusted third party” (hereinafter sometimes simply referred to as “TTP”). However, a certificate authority can always be interposed in the restoration of the original data, which can improve the security, but it is necessary to collect all the partial data when restoring the original data. If at least one of the partial data cannot be acquired for some reason, such as loss of the original data, the original data cannot be restored, resulting in a lack of availability.
一方、非特許文献1などに記載された閾値秘密分散法や、それらを用いた特許文献2に記載された技術では、秘密分散された全ての部分データを集めなくとも閾値以上の個数を集めれば元データを復元することができる。しかしながら、例えば、部分データの一部を上記のような証明局に供託することを考えた場合、残りの部分データを閾値以上の個数集めればそれだけで元データを復元することが可能となり、証明局のようなTTPを介在させてセキュリティを向上させることが困難であるという課題がある。 On the other hand, in the threshold secret sharing method described in Non-Patent Document 1 and the technique described in Patent Document 2 using them, if the number of secret data is not collected, the number equal to or greater than the threshold is collected. The original data can be restored. However, for example, when consigning part of the partial data to the certification authority as described above, if the remaining partial data is collected more than the threshold, the original data can be restored alone, and the certification authority There is a problem that it is difficult to improve security by interposing TTP as described above.
そこで本発明の目的は、電子データを秘密分散により複数の部分データに分割して分散管理する際に、TTPである証明局に部分データの一部を保管し、元の電子データの復元の際は、証明局に保管された部分データを必ず含む所定の数以上の部分データを集めれば元データを復元することができるものとする一方、端末の紛失等の際には情報漏洩の有無とその範囲を特定することが可能な電子データ管理システムおよび電子データ管理方法を提供することにある。本発明の前記ならびにその他の目的と新規な特徴は、本明細書の記述および添付図面から明らかになるであろう。 Therefore, an object of the present invention is to store a part of partial data in a certification authority, which is TTP, and to restore the original electronic data when the electronic data is divided into a plurality of partial data by secret sharing and distributedly managed. The original data can be restored by collecting more than a predetermined number of partial data, including the partial data stored in the certification authority. On the other hand, if the terminal is lost, etc. An object of the present invention is to provide an electronic data management system and an electronic data management method capable of specifying a range. The above and other objects and novel features of the present invention will be apparent from the description of this specification and the accompanying drawings.
本願において開示される発明のうち、代表的なものの概要を簡単に説明すれば、以下のとおりである。 Of the inventions disclosed in this application, the outline of typical ones will be briefly described as follows.
本発明の代表的な実施の形態による電子データ管理システムおよび当該システムを構成する情報処理装置および電子データ管理プログラムならびに当該電子データ管理システムにおける電子データ管理方法は、ユーザからセキュアな保管を指示された電子データについて、前記電子データを秘密分散により複数の非重要データに分割し、分割された前記各非重要データを分散保管するものであって、以下の特徴を有するものである。 An electronic data management system according to a typical embodiment of the present invention, an information processing apparatus and an electronic data management program constituting the system, and an electronic data management method in the electronic data management system are instructed to be securely stored by a user With respect to electronic data, the electronic data is divided into a plurality of non-critical data by secret sharing, and each of the divided non-critical data is distributed and stored, and has the following characteristics.
すなわち、電子データ管理システムは、ネットワークに接続された、前記電子データを格納するユーザの情報処理装置と、信頼できる第三者機関の情報処理システムである証明局とを有する。 That is, the electronic data management system includes an information processing apparatus for a user that stores the electronic data and a certification authority that is a reliable information processing system of a third party, connected to a network.
この前記情報処理装置は、前記電子データのセキュアな保管の際に、所定の条件に従って、前記電子データに基づいて、秘密分散により、全てを集めることによって前記電子データを復元することが可能でありかつ単独では前記電子データを復元および推測することが不可能な1つ以上のキーデータと1つ以上の部分データとを生成し、また、前記部分データに基づいて、秘密分散により、任意のk個以上を集めることによって前記部分データを復元することが可能でありかつ単独では前記部分データを復元および推測することが不可能なn個(k<n)の分散データを生成する分割部を有する。 When the electronic data is securely stored, the information processing apparatus can restore the electronic data by collecting all by secret sharing based on the electronic data according to a predetermined condition. In addition, one or more key data and one or more partial data that cannot be restored and guessed alone are generated, and any k is obtained by secret sharing based on the partial data. It is possible to restore the partial data by collecting more than one, and a division unit that generates n (k <n) distributed data that cannot be restored and estimated by itself. .
また、前記電子データの復元の際に、少なくともk個の前記分散データに基づいて前記部分データを復元し、さらに復元した前記部分データと前記キーデータとから前記電子データを復元する復元部を有する。 In addition, when the electronic data is restored, the restoration unit restores the partial data based on at least k pieces of the distributed data, and further restores the electronic data from the restored partial data and the key data. .
また、前記電子データのセキュアな保管の際には、前記分割部によって生成された前記キーデータを前記証明局に供託し、さらに前記分割部によって生成されたn個の前記分散データを所定の条件に従って選択したn個の外部のデータセンターにそれぞれ別個に分散保管し、前記電子データの復元の際には、対応する前記キーデータを前記証明局からユーザ認証を経て取得し、さらに少なくともk個の前記分散データを所定の条件に従って選択したk個の前記データセンターから取得し、取得した前記キーデータと前記分散データを前記復元部に受け渡す分散管理部とを有する。 Further, when the electronic data is securely stored, the key data generated by the dividing unit is deposited with the certification authority, and the n pieces of distributed data generated by the dividing unit are set to a predetermined condition. Are separately distributed and stored in n external data centers selected according to the above, and when the electronic data is restored, the corresponding key data is obtained through user authentication from the certification authority, and at least k number of data centers are obtained. A distributed management unit that acquires the distributed data from the k data centers selected according to a predetermined condition, and delivers the acquired key data and the distributed data to the restoration unit;
また、前記証明局は、前記情報処理装置から前記キーデータの供託および/または取得の要求を受けた際にユーザ認証を行う認証部と、前記情報処理装置から供託された前記キーデータを、前記電子データを保有する前記ユーザおよび前記電子データの識別情報と関連付けて管理し、さらに前記情報処理装置からの前記キーデータの供託および取得の処理の内容を履歴として記録するとともに、前記ユーザからの要求に対して、前記履歴に基づいて、指定された基準日時以降に前記ユーザに係る前記キーデータが取得されていないと判定した場合に、前記ユーザに係る前記電子データが漏洩していないことを証明する情報を発行する管理部とを有することを特徴とするものである。 In addition, the certification authority, the authentication unit that performs user authentication when receiving a request for deposit and / or acquisition of the key data from the information processing device, and the key data deposited from the information processing device, The electronic data is managed in association with the user and the identification information of the electronic data, and the contents of the key data deposit and acquisition processing from the information processing apparatus are recorded as a history, and the request from the user On the basis of the history, if it is determined that the key data related to the user has not been acquired after the specified reference date and time, it is proved that the electronic data related to the user is not leaked And a management unit that issues information to be performed.
本願において開示される発明のうち、代表的なものによって得られる効果を簡単に説明すれば以下のとおりである。 Among the inventions disclosed in the present application, effects obtained by typical ones will be briefly described as follows.
本発明の代表的な実施の形態によれば、保管対象の電子データを、全てを集めなければ元の電子データを復元することができない2つ以上の部分データに分割し、その少なくとも1つをTTPである証明局にキーデータとして保管する。また、残余を(k,n)型の閾値秘密分散によりn個の分散データに分割して分散保管する。これにより、元の電子データの復元に際して証明局による認証を経てキーデータを取得することを義務付けることができ、セキュリティを向上させることができる。また、分散保管している分散データの一部が紛失や障害・災害等により欠損した場合であっても柔軟に元の電子データを復元してデータの可用性を向上させることが可能となる。 According to the exemplary embodiment of the present invention, the electronic data to be stored is divided into two or more partial data that cannot be restored without collecting all of the electronic data, and at least one of them is divided. It is stored as key data in a certification authority which is TTP. Further, the remainder is distributed and stored by dividing it into n pieces of distributed data by (k, n) -type threshold secret sharing. As a result, when restoring the original electronic data, it is possible to obligate the acquisition of the key data through authentication by the certification authority, and security can be improved. In addition, even when a part of distributed data stored in a distributed manner is lost due to loss, failure or disaster, the original electronic data can be flexibly restored to improve data availability.
また、本発明の代表的な実施の形態によれば、分散保管する個々の分散データは非重要データであり、その一部または全部を第三者に取得されても元の電子データを復元することは不可能である。これにより、例えば、分散データを分散保管している外部のデータセンターの運用者等が悪意を持った場合であっても、元の電子データの情報が漏洩する心配はない。従って、外部のデータセンター等を分散保管に利用することが可能となり、電子データをセキュアに管理する手段を低コストで構築することが可能となる。 Further, according to the representative embodiment of the present invention, each distributed data to be distributed and stored is non-critical data, and the original electronic data is restored even if part or all of the data is acquired by a third party. It is impossible. Thereby, for example, even if an operator of an external data center that stores distributed data in a distributed manner has a malicious intention, there is no fear that information of the original electronic data is leaked. Therefore, an external data center or the like can be used for distributed storage, and a means for securely managing electronic data can be constructed at a low cost.
また、上記のように、電子データを端末ではなく外部のデータセンターに分散保管し、その復元には証明局による認証を介在させ、さらに証明局ではそのアクセスログを保持しておく。これにより、端末を紛失等した際にも端末からのデータの直接の漏洩を回避することが可能となる。また、証明局およびデータセンターのアクセスログから情報漏洩の可能性がある範囲を正確に特定してそのアクセス状況を把握するとともに、情報漏洩がない場合はその旨の証明書を発行して、これを各種届出や監査等に利用することが可能となる。 In addition, as described above, electronic data is distributed and stored in an external data center instead of a terminal, and the restoration is performed through authentication by a certification authority, and the certification authority holds its access log. This makes it possible to avoid direct leakage of data from the terminal even when the terminal is lost. In addition, we identify the range of information leaks from the access logs of certification authorities and data centers and grasp the access status. If there is no information leak, issue a certificate to that effect. Can be used for various reports and audits.
以下、本発明の実施の形態を図面に基づいて詳細に説明する。なお、実施の形態を説明するための全図において、同一部には原則として同一の符号を付し、その繰り返しの説明は省略する。 Hereinafter, embodiments of the present invention will be described in detail with reference to the drawings. Note that components having the same function are denoted by the same reference symbols throughout the drawings for describing the embodiment, and the repetitive description thereof will be omitted.
本発明の一実施の形態である電子データ管理システムは、電子データをセキュリティを確保して保管する際に、秘密分散により当該電子データをそれだけでは意味のない(元の電子データを復元・推測できない)非重要データである部分データに分割し、これらをそれぞれ外部のデータセンターに分散保管する機能を有するコンピュータシステムである。 The electronic data management system according to an embodiment of the present invention, when storing electronic data with security, has no meaning by itself due to secret sharing (cannot restore / guess original electronic data) ) A computer system having a function of dividing partial data, which is non-important data, and distributing and storing them in an external data center.
ここで、分割された部分データのうちの少なくとも1つは元の電子データを復元する際に必ず必要となるキーデータとし、これをTTPである証明局に供託する。これにより、元の電子データの復元に際して必ず証明局による認証を介在させてセキュリティを向上させることを可能とするものである。 Here, at least one of the divided partial data is used as key data that is absolutely necessary when the original electronic data is restored, and this is deposited with the certification authority which is TTP. This makes it possible to improve security by intervening authentication by a certification authority when restoring the original electronic data.
また、キーデータ以外の部分データを外部のデータセンターに分散保管する際に、(k,n)型の閾値秘密分散により分散データを生成してこれらを分散保管する。これにより、データセンターに分散保管された分散データの一部(n−k個まで)が紛失や攻撃、障害・災害等により欠損した場合であっても柔軟に元の電子データを復元することを可能とするものである。 Further, when partial data other than key data is distributed and stored in an external data center, distributed data is generated by (k, n) -type threshold secret sharing, and these are distributed and stored. As a result, even if a part of the distributed data (up to nk) stored in the data center is lost or lost due to an attack, failure or disaster, the original electronic data can be restored flexibly. It is possible.
また、上記のように、電子データを端末ではなく外部のデータセンターに分散保管し、その復元には証明局による認証を介在させ、さらに証明局ではそのアクセスログを保持しておく。これにより、端末を紛失等した際にも端末からのデータの直接の漏洩を回避することを可能とする。また、証明局およびデータセンターのアクセスログから情報漏洩の可能性がある範囲を正確に特定してそのアクセス状況を把握するとともに、情報漏洩がない場合はその旨の証明書を発行して、これを各種届出や監査等に利用することを可能とするものである。 In addition, as described above, electronic data is distributed and stored in an external data center instead of a terminal, and the restoration is performed through authentication by a certification authority, and the certification authority holds its access log. This makes it possible to avoid direct leakage of data from the terminal even when the terminal is lost. In addition, we identify the range of information leaks from the access logs of certification authorities and data centers and grasp the access status. If there is no information leak, issue a certificate to that effect. Can be used for various reports and audits.
[システム構成]
図1は、本発明の一実施の形態である電子データ管理システムの構成例の概要について示した図である。図1において、電子データ管理システム1は、例えば、インターネット等のネットワーク400に接続された1台以上のユーザ端末100と、ネットワーク400に接続された証明局200とからなる。ネットワーク400には、ユーザ端末100からネットワーク400を介してアクセスすることが可能な外部の複数のデータセンター300が接続されている。
[System configuration]
FIG. 1 is a diagram showing an outline of a configuration example of an electronic data management system according to an embodiment of the present invention. 1, the electronic data management system 1 includes, for example, one or
ユーザ端末100は、例えば、PC等によって構成され、図示しない記憶装置等に格納された電子データのうちユーザから指示されたものについて、秘密分散により部分データに分割し、証明局200およびデータセンター300に分散保管することでセキュアな保管を行う情報処理装置である。ユーザ端末100は、ソフトウェアプログラムによって実装された分割部110、分散管理部120、復元部130およびインタフェース部140の各部と、データベースやファイルテーブル等からなる分散状況121、および分散先情報151、設定情報152の各テーブルを有する。
The
分割部110は、後述するインタフェース部140を介してユーザからセキュアな保管を指示された電子データに基づいて、設定情報152の設定内容に従って秘密分散により証明局200に供託する1つ以上のキーデータおよびデータセンター300に分散保管する複数の分散データを生成する。これらの手順の詳細については後述する。
The dividing
分散管理部120は、電子データの分散保管の際に、分割部110によって生成されたキーデータおよび分散データを、分散先情報151および設定情報152の内容に基づく所定の条件に従って証明局200およびデータセンター300に送信して分散保管するとともに、その状況を分散状況121に記録して管理する。また、後述する復元部130による電子データの復元の際に、分散状況121の内容に基づいて、証明局200およびデータセンター300からキーデータおよび必要な分散データを収集して復元部130に受け渡す。
The distributed
復元部130は、インタフェース部140を介してユーザから参照や編集等の利用を指示された電子データについて、対応するキーデータおよび分散データを分散管理部120を介して取得し、取得したキーデータおよび分散データから元の電子データを復元する。これらの手順の詳細についても後述する。
The
インタフェース部140は、ユーザ端末100における画面表示等のユーザインタフェースやデータの送受信などの入出力機能を有する。ユーザは、例えば、一般的なOS(Operating System)が有するファイル管理用の画面等を利用して、電子データ管理システム1の機能を利用することができる。例えば、ファイル管理用の画面において重要情報を有する電子データを特定のフォルダ等にドラッグ&ドロップなどの簡易な操作により移動する。これをトリガとして、分割部110および分散管理部120は、自動的に当該電子データを秘密分散により分割し、証明局200およびデータセンター300にユーザに意識させずにセキュアに保管することができる。
The
また、例えば、ユーザは、ファイル管理用の画面において特定のフォルダにて管理され、セキュアに保管されている電子データを参照したり編集したり等の操作を行うことができる。これをトリガとして、分散管理部120および復元部130は、自動的に証明局200およびデータセンター300から必要なデータを収集し、元の電子データを当該フォルダに復元することができる。
Further, for example, the user can perform operations such as referring to and editing electronic data that is managed in a specific folder and securely stored on the file management screen. With this as a trigger, the distributed
証明局200は、信頼できる第三者機関(TTP)の情報処理システムであり、例えば、PCやサーバ等によって構成され、ユーザ端末100から送信されて供託されたキーデータを管理するとともに、ユーザ端末100が紛失等した場合に、ユーザ端末100が保持していた電子データに対する不正なアクセスや漏洩がないことの証明を行う。この証明局200は、ソフトウェアプログラムによって実装された認証部210および管理部220の各部と、キーデータ管理221およびアクセスログ222の各データベースを有する。
The
認証部210は、ユーザ端末100からキーデータを取得する要求を受けた際に、要求の許否を判定するためにユーザID/パスワード等によるユーザ認証を行う。ユーザ認証を行うために、ユーザ端末100のインタフェース部140は、ユーザからセキュアに保管されている電子データの参照や編集の要求を受ける際に、ユーザID/パスワードの入力を要求する画面を表示するようにしてもよい。また、参照や編集等の電子データの復元時だけでなく、電子データをセキュアに保管する際にも、電子データから分割されたキーデータを証明局200に供託するためにユーザ認証を行うようにしてもよい。
When the
管理部220は、ユーザ端末100から供託されたキーデータを、ユーザ(ユーザID)および元の電子データの識別情報(ファイル名やID等)と関連付けてキーデータ管理221によって管理する。すなわち、ユーザ端末100からの要求に基づいて、供託されたキーデータの情報をキーデータ管理221に記録したり、キーデータ管理221から対象のキーデータの情報を取得してキーデータをユーザ端末100に送信したりといった処理を行う。さらに、これらの処理の内容を履歴としてアクセスログ222に記録する。
The
また、ユーザ端末100が紛失等した場合に、ユーザからの要求に基づいて、ユーザ端末100に保持されていた電子データに対する不正なアクセスや漏洩がないことの証明を行う。すなわち、ユーザ端末100が紛失等して以降、ユーザ端末100に保持されていた電子データに対応するキーデータが取得されていないことを証明する。また、キーデータが取得されている場合は、アクセスログ222および各データセンター300のアクセスログに基づいて、情報漏洩の可能性のある元の電子データの範囲を特定して出力する。
Further, when the
データセンター300は、複数のサーバ群が運用・管理される施設であり、外部の運営者等により運営される、一般的なデータセンターとしての固定的な設備を備えた実データセンターであってもよいし、例えば“Amazon EC2(登録商標)”などを利用した、クラウドコンピューティング環境における仮想的なデータセンターであってもよい。なお、データセンター300に自社が運営するプライベートなデータセンターを含んでもよいことは当然である。また、本実施の形態では、証明局200を独立したサーバ等によって構成しているが、データセンター300のいずれかに証明局200を実装する構成としてもよい。また、証明局200を複数有する構成であってもよい。
The
[電子データの分散手法]
図2は、電子データ管理システム1における電子データの分散手法の例について概要を示した図である。ユーザ端末100では、インタフェース部140を介してユーザからセキュアな保管を指示された電子データについて、まず、秘密分散により2分割して、部分データ1(101)と部分データ2(102)の2つの部分データを生成する。
[Distribution method of electronic data]
FIG. 2 is a diagram showing an outline of an example of a method for distributing electronic data in the electronic data management system 1. In the
部分データ1(101)および部分データ2(102)は秘密分散により生成されるため、それぞれは単独では意味のない(元の電子データの内容を復元・推測できない)非重要データであり、全てを集めて初めて元の電子データが復元可能となるものである。秘密分散の手法は特に限定されず、例えば特許文献1に記載されているような手法により生成された情報ブロックであってもよいし、非特許文献1に記載されているような(k,n)閾値秘密分散法等を用いてk=n=2として生成されたものであってもよい。 Since partial data 1 (101) and partial data 2 (102) are generated by secret sharing, each of them is meaningless data (it cannot restore and guess the contents of the original electronic data) alone. The original electronic data can be restored only after it is collected. The secret sharing technique is not particularly limited, and may be, for example, an information block generated by a technique described in Patent Document 1 or (k, n) described in Non-Patent Document 1. It may be generated as k = n = 2 using a threshold secret sharing method or the like.
部分データ1(101)および部分データ2(102)のうちのいずれか一方(図2の例では部分データ1(101))をキーデータ201として証明局200に供託する。このキーデータ201は、元の電子データを復元する際には必ず必要となるものである。なお、図2の例では、元の電子データを2つに分割し、その一方をキーデータ201として証明局200に供託しているが、元の電子データを2つ以上に分割し、キーデータ201を複数有するようにしてセキュリティをさらに強化してもよい。この場合は、複数のキーデータ201を別個の証明局200に供託するのが望ましい。また、キーデータ201としない部分データ2(102)のほうが複数生成されるように分割してもよい。
Either one of the partial data 1 (101) and the partial data 2 (102) (partial data 1 (101) in the example of FIG. 2) is deposited as key data 201 to the
部分データ1(101)をキーデータ201とする一方で、他方の部分データ2(102)を、(k,n)型の閾値秘密分散(k<n)により秘密分散して分散データ103を生成する。これにより、任意のk個を集めれば部分データ2(102)を復元することが可能なn個の分散データ103を生成することができる(図2の例では、例えばk=3、n=4)。各分散データ103も秘密分散により生成されるため、各分散データ103は単独では意味のない非重要データである。
While partial data 1 (101) is used as key data 201, the other partial data 2 (102) is secretly distributed by (k, n) type threshold secret sharing (k <n) to generate distributed
ここでも秘密分散の手法は特に限定されず、例えば、非特許文献1に記載されているような(k,n)閾値秘密分散法等を用いてk<nとして生成された分散データ103であってもよい。また、特許文献1に記載されているような手法においても(k,n)型の秘密分散を行って分散データ103を得ることが可能である。
Here, the secret sharing technique is not particularly limited. For example, the secret sharing technique is the distributed
図3は、特許文献1に記載されているような手法によって部分データ2(102)から分散データ103を得る手法の例について概要を示した図である。図3の例では、特許文献1に記載されているような手法により、部分データ2(102)をnCn−k+1個(図3の例では4C2=6でありA〜Fの6個)の分割片(情報ブロックもしくは情報エレメント)に分割した状態を示している。ここで、各分割片を組み合わせることによって、任意のk個(図3の例では3個)を集めれば部分データ2(102)を復元することが可能となるn個(図3の例では4個)の分散データ103を生成する((k,n)=(3,4))。
FIG. 3 is a diagram showing an outline of an example of a technique for obtaining the distributed
このとき、本実施の形態では、各分割片がそれぞれ(n−k+1)個(図3の例では2個)の異なる分散データ103に、分割片毎に異なる組み合わせで含まれるように冗長化する。図3の表は、上記の条件を満たす分割片と分散データ103の組み合わせの一例を示している。これに基づいて、分割片A、B、Cを含むものと、分割片A、D、Eを含むものと、分割片B、D、Fを含むものと、分割片C、E、Fを含むものの4個の分散データ103を生成する。これにより、4個の分散データ103のうち任意の3個を集めれば、A〜Fの全ての分割片をそれぞれ少なくとも1個以上得ることができ、部分データ2(102)を復元することが可能となる。
At this time, in the present embodiment, redundancy is performed so that each divided piece is included in (n−k + 1) different distributed data 103 (two in the example of FIG. 3) in different combinations for each divided piece. . The table in FIG. 3 shows an example of a combination of the segment pieces and the distributed
生成したn個の分散データ103は、図2に示すように、それぞれ異なる外部のデータセンター300(図2の例では、データセンター300a、b、d、eの4つ)を選択して、これらに分散して保管する。分散データ103は、それぞれ単独では意味を持たない非重要データとなっているため、安心して外部のデータセンター300に保管することができる。また、第三者によって分散データ103をk個以上集められた場合であっても、これらからは部分データ2(102)しか復元することができない。元の電子データを復元するには証明局200から認証を経てキーデータ201を取得する必要があるため、さらに強固なセキュリティを確保することができる。
As shown in FIG. 2, the generated n pieces of distributed
また、データセンター300に保管した分散データ103は、少なくともk個以上集めれば部分データ2(102)を復元することができる。すなわち、(n−k)個までであれば、紛失や攻撃等による欠損に耐えることができ、また、データセンター300の障害・災害等に対してシステムの切り替え等を行わずに元の電子データを復元することができる可用性を有する。従って、これらのデータセンター300をそれぞれ地域的に離散したロケーションに設けることによって、電子データ管理システム1は、電子データのセキュアな保管に加えて、いわゆるBCP(Business Continuity Plan:事業継続計画)を実現するためのディザスタリカバリシステムとして機能することも可能となる。
Further, the partial data 2 (102) can be restored by collecting at least k pieces of distributed
[分散時の処理フロー]
図4は、電子データ管理システム1における電子データの分散時の処理の流れの例を示したフローチャートである。ユーザ端末100において、インタフェース部140を介してユーザからセキュアな保管を指示された電子データについて、まず、分割部110が、上述したような手法により元の電子データを秘密分散により2分割して2つの部分データを生成する(S01)。
[Processing flow when distributed]
FIG. 4 is a flowchart illustrating an example of a processing flow when electronic data is distributed in the electronic data management system 1. In the
次に、分割部110は、部分データのいずれか一方(部分データ1(101))をキーデータ201として、インタフェース部140等を介して証明局200に送信して供託する(S02)。証明局200にアクセスするためのネットワークアドレスやホスト名等の情報は、例えば、ユーザ端末100の設定情報152に予め設定しておく。複数の証明局200から選択してキーデータ201を供託するようにしてもよい。
Next, the dividing
キーデータ201の供託を要求された証明局200は、認証部210によりユーザ端末100に対してユーザID/パスワード等の認証情報の入力を要求してもよい。認証が成功し、キーデータ201の供託を許可する場合は、管理部220により、キーデータ201の情報をユーザおよび元の電子データの識別情報と関連付けてキーデータ管理221に記録する。また、当該処理内容をアクセスログ222に履歴として記録する。
The
次に、分割部110は、キーデータ201としなかったもう一方の部分データ(部分データ2(102))を、上述したような(k,n)型の閾値秘密分散(k<n)の手法により秘密分散してn個の分散データ103を生成する(S03)。秘密分散に係るkおよびnのパラメータ値については、例えば、ユーザ端末100の設定情報152に予め設定しておく。これにより、ユーザが電子データをセキュアに保管する際にこれらの条件を意識する必要がなく、利便性を向上させることができる。なお、これらの設定内容をユーザにより変更可能としたり、ユーザが電子データをセキュアに保管する要求を行う際にオプションとして都度指定可能としたりすることで柔軟性を確保してもよい。
Next, the dividing
次に、分散管理部120が、分割部110によって生成されたn個の分散データ103を分散保管する先のデータセンター300を選択する(S04)。ここで、分散先となるデータセンター300の情報は、例えば、ユーザ端末100の分散先情報151に予め設定しておく。分散先情報151には、例えば、ユーザ毎にアクセス可能なデータセンター300のグループがリストとして優先順に設定されており、リスト中の上位からn個のデータセンター300を分散先として選択する。
Next, the
リスト中の優先順位は、例えば、各データセンター300の稼働率(過去のアクセスの成功率)やアクセス時のレスポンスタイムなどのパフォーマンス情報に基づいて、良好なものから優先的にアクセスされるように動的に変更するようにしてもよい。アクセス可能なデータセンター300が追加された場合は、ユーザ端末100が当該データセンター300にアクセスした際などに都度分散先情報151のリストが更新されるようにしておく。
Priorities in the list are preferentially accessed based on performance information such as the operation rate (past access success rate) of each
次に、分散管理部120は、n個の分散データ103を、分散先情報151から選択されたn個の分散先のデータセンター300にそれぞれ送信して保管する(S05)。各データセンター300では、分散データ103を通常通り保管してアクセスログを記録するだけで特別な処理は要求されない。なお、分散先のデータセンター300から、例えば、サービス停止やディスクフル、タイムアウトなど、分散データ103の保管が不能である旨の応答が返された場合は、分散先情報151のリストにおける未選択のデータセンター300のうち、次順位のデータセンター300を選択して保管するものとする。
Next, the
分散先情報151のリストに次順位のデータセンター300がなく、分散先のデータセンター300をn個確保できなかった場合は、当該電子データについてのセキュアな保管自体をエラーとしてこれまでの処理をロールバックし、インタフェース部140を介してユーザにその旨を通知する(ステップS04にて分散先のデータセンター300をn個選択できなかった場合も同様)。
If there is no
ステップS05でn個の分散先のデータセンター300に分散データ103を保管した場合は、分散管理部120は、元の電子データの復元時に必要となる情報として、元の電子データに、キーデータ201と供託先の証明局200の情報、分散データ103に係るk、nのパラメータ値、および各分散データ103とそれぞれの分散先のデータセンター300の情報などを関連付けた分散管理情報を、分散状況121のエントリに追加して(S06)、処理を終了する。
When the distributed
このとき、元の電子データの内容については、ユーザ端末100の図示しない記憶装置等から削除するものとする。OSの管理下のファイルシステム上では、例えば、ファイル名のみの空のファイル等を保持するようにして、外部のデータセンター300に分散保管したことをユーザから隠蔽するようにしてもよい。なお、元の電子データを記憶装置等から削除せずに保持したままにしておいてもよく、その場合は、データセンター300への分散保管により、即時復元が可能な簡易バックアップとしての機能を実現することができる。
At this time, the contents of the original electronic data are deleted from a storage device (not shown) of the
上記のフローチャートにおける処理順はこれに限ったものではなく、実装の制約等に応じて適宜変更することが可能である。例えば、ステップS02でのキーデータ201の証明局200への供託は、ステップS05での分散データ103のデータセンター300への分散保管と同じタイミングで行うようにしてもよい。また、例えば、ステップS04にて分散先のデータセンター300をn個選択してから、ステップS05で各データセンター300に分散保管するのではなく、分散先情報151のデータセンター300のリストから上位のものを順次取得して、当該データセンター300に分散データ103を逐次保管し、これをn回繰り返すようにしてもよい。
The processing order in the above flowchart is not limited to this, and can be appropriately changed according to mounting restrictions and the like. For example, the deposit of the key data 201 to the
[復元時の処理フロー]
図5は、電子データ管理システム1における電子データの復元時の処理の流れの例を示したフローチャートである。ユーザ端末100において、ユーザにより、インタフェース部140を介して、セキュアに保管されている電子データを参照したり編集したり等の操作が要求された場合、まず、分散管理部120が、分散状況121から、対象の電子データに係る分散管理情報のエントリを取得する(S11)。
[Processing flow at restoration]
FIG. 5 is a flowchart illustrating an example of a flow of processing when electronic data is restored in the electronic data management system 1. In the
次に、分散管理部120は、取得した分散管理情報の内容に基づいて、証明局200から対象の電子データに対応するキーデータ201を取得する(S12)。キーデータ201の取得を要求された証明局200は、認証部210によりユーザ端末100に対してユーザID/パスワード等の認証情報の入力を要求する。認証が成功し、キーデータ201の取得を許可する場合は、管理部220により、キーデータ管理221を参照して対象の電子データに対応するキーデータ201を取得して、ユーザ端末100に送信する。また、当該処理内容をアクセスログ222に履歴として記録する。
Next, the
また、分散管理部120は、対象の電子データに対応するn個の分散データ103のうちの少なくともk個以上を、分散先のデータセンター300から取得する(S13)。ここでは、ステップS11で取得した、対象の電子データに対応する分散管理情報の内容から復元の際の閾値kの値を取得する。さらに、分散管理情報にn個記録されている分散先のデータセンター300の情報からk個を選択して取得する。
Further, the
取得したk個のデータセンター300の情報によって特定される各データセンター300から順次分散データ103を取得する。このとき、サービス停止やタイムアウト等によりアクセスできないデータセンター300がある場合は、分散管理情報に記録されている他のデータセンター300から取得するようにアクセス先を切り替える。n個のデータセンター300全てを対象としてもk個以上の分散データ103を取得できなかった場合は、復元処理のエラーとしてこれまでの処理をロールバックし、インタフェース部140を介してユーザにその旨を通知する。
The distributed
分散管理部130が少なくともk個の分散データ103を取得した場合は、復元部130が、k個の分散データ103から部分データの一方(図2における部分データ2(102))を復元する(S14)。次に、復元部130は、ステップS12で証明局200から取得したキーデータ201と、ステップS14で復元した部分データ2(102)から元の電子データを復元し(S15)、ユーザ端末100上の所定のフォルダ等に格納する。このとき、分散管理部120を介して分散状況121から対象の分散管理情報のエントリを削除して(S16)、処理を終了する。なお、分散時の処理と同様に、上記の処理順はこれに限ったものではなく、実装の制約等に応じて適宜変更することが可能である。
When the
[非漏洩証明時の処理フロー]
図6は、電子データ管理システム1における電子データの非漏洩証明時の処理の流れの例を示したフローチャートである。ユーザ端末100が紛失等した場合に、証明局200は、ユーザ端末100に保持されていた電子データに対する不正なアクセスや漏洩がないことの証明を行う。すなわち、ユーザ端末100が紛失等して以降、ユーザ端末100に保持されていた電子データに対応するキーデータが取得されていないことを証明する。
[Processing flow for non-leakage certification]
FIG. 6 is a flowchart showing an example of a flow of processing when electronic data is not leaked in the electronic data management system 1. When the
証明局200は、例えばネットワーク400等を介して、ユーザから電子データの非漏洩の証明要求を受けた場合、まず認証部210によりユーザID/パスワード等による認証を行う(S21)。次に、管理部220は、非漏洩の証明の基準となる基準日時を、ユーザからの入力等によって取得する(S22)。すなわち、対象のユーザがユーザ端末100を紛失等した日時を取得する。
When the
次に、管理部220は、アクセスログ222に基づいて、取得した基準日時以降に対象のユーザに関連するキーデータ201が取得されているか否かを判定する(S23)。取得されていないと判定されるものには、取得が試みられたがユーザ認証で拒否された等、取得できなかったものも含まれるものとする。
Next, the
ステップS23において基準日時以降にキーデータ201が取得されていない場合は、対応する元の電子データが復元されていることはない。従って、基準日時以降に情報漏洩はないと判断することができるため、管理部220は、その旨の情報を有する証明書を発行して(S24)、処理を終了する。証明書の具体的な内容や発行の手法等については特に制限はなく、例えば、証明局200によってデジタル署名されたメッセージを出力するなど種々の手法をとることができる。
If the key data 201 is not acquired after the reference date and time in step S23, the corresponding original electronic data is not restored. Therefore, since it can be determined that there is no information leakage after the reference date and time, the
ステップS23において基準日時以降にキーデータ201が取得されている場合は、管理部220は、取得されたキーデータ201についてのアクセスログ222の該当箇所の内容を取得する(S25)。さらに、各データセンター300から、取得されたキーデータ201に対応する元の電子データから生成された分散データ103についてのアクセスログを取得する(S26)。
When the key data 201 has been acquired after the reference date and time in step S23, the
次に、ステップS25およびS26で取得した、証明局200のアクセスログ222および各データセンター300のアクセスログに基づいて、情報漏洩の可能性のある元の電子データの範囲、すなわち、キーデータ201およびk個以上の分散データ103が取得されている元の電子データの範囲を特定して出力し(S27)、処理を終了する。なお、分散時、復元時の処理と同様に、上記の処理順はこれに限ったものではなく、実装の制約等に応じて適宜変更することが可能である。
Next, based on the access log 222 of the
以上に説明したように、本発明の一実施の形態である電子データ管理システム1によれば、セキュアな保管の対象となる電子データを、秘密分散により2つ以上の部分データに分割し、その少なくとも1つをTTPである証明局200にキーデータ201として供託する。また、残余の部分データを(k,n)型の閾値秘密分散によりn個の分散データ103に分割して分散保管する。これにより、元の電子データの復元に際して証明局200による認証を経たキーデータ201の取得を義務付けることができ、セキュリティを向上させることができる。また、分散保管している分散データ103の一部が欠損した場合であっても柔軟に元の電子データを復元してデータの可用性を向上させることが可能となる。
As described above, according to the electronic data management system 1 which is an embodiment of the present invention, electronic data to be securely stored is divided into two or more partial data by secret sharing. At least one is deposited as key data 201 to the
また、本実施の形態によれば、分散保管する分散データ103は非重要データであり、の一部または全部を第三者に取得されても元の電子データを復元することは不可能である。これにより、例えば、分散データ103を分散保管している外部のデータセンター300の運用者等が悪意を持った場合であっても、元の電子データの情報が漏洩する心配はない。従って、外部のデータセンター300等を分散保管に利用することが可能となり、電子データをセキュアに分散管理する手段を低コストで構築することが可能となる。
Further, according to the present embodiment, the distributed
また、電子データの分割および分散保管の処理や、分散データ103の収集および元の電子データの復元の処理をユーザから隠蔽して行うことが可能であり、ユーザが電子データのセキュアな保管に際してこれらを意識することを不要とし、利便性を向上させることができる。
In addition, it is possible to conceal the processing of electronic data division and distributed storage, and to collect the distributed
また、上記のように、電子データをユーザ端末100ではなく外部のデータセンター300に分散保管し、その復元には証明局200による認証を介在させ、さらに証明局200ではアクセスログ222を保持しておく。これにより、ユーザ端末100を紛失等した際にもユーザ端末100からのデータの直接の漏洩を回避することが可能となる。また、証明局200のアクセスログ222および各データセンター300のアクセスログから情報漏洩の可能性がある範囲を正確に特定してそのアクセス状況を把握するとともに、情報漏洩がない場合はその旨の証明書を発行して、これを各種届出や監査等に利用することが可能となる。
In addition, as described above, electronic data is distributed and stored not in the
以上、本発明者によってなされた発明を実施の形態に基づき具体的に説明したが、本発明は前記実施の形態に限定されるものではなく、その要旨を逸脱しない範囲で種々変更可能であることはいうまでもない。 As mentioned above, the invention made by the present inventor has been specifically described based on the embodiment. However, the present invention is not limited to the embodiment, and various modifications can be made without departing from the scope of the invention. Needless to say.
本発明は、重要データを秘密分散により非重要データに分割して分散管理する電子データ管理システムおよび電子データ管理方法に利用可能である。 The present invention can be used for an electronic data management system and an electronic data management method for distributing and managing important data by dividing it into non-important data by secret sharing.
1…電子データ管理システム、
100…ユーザ端末、101…部分データ1、102…部分データ2、103…分散データ、110…分割部、120…分散管理部、121…分散状況、130…復元部、140…インタフェース部、151…分散先情報、152…設定情報、
200…証明局、201…キーデータ、210…認証部、220…管理部、221…キーデータ管理、222…アクセスログ、
300、300a〜e…データセンター、
400…ネットワーク。
1 ... Electronic data management system,
DESCRIPTION OF
200 ... Certificate Authority 201 ...
300, 300a-e ... data center,
400: Network.
Claims (4)
ネットワークに接続された、前記電子データを格納するユーザの情報処理装置と、信頼できる第三者機関の情報処理システムである証明局とを有し、
前記情報処理装置は、
前記電子データのセキュアな保管の際に、所定の条件に従って、前記電子データに基づいて、秘密分散により、全てを集めることによって前記電子データを復元することが可能でありかつ単独では前記電子データを復元および推測することが不可能な1つ以上のキーデータと1つ以上の部分データとを生成し、また、前記部分データに基づいて、秘密分散により、任意のk個以上を集めることによって前記部分データを復元することが可能でありかつ単独では前記部分データを復元および推測することが不可能なn個(k<n)の分散データを生成する分割部と、
前記電子データの復元の際に、少なくともk個の前記分散データに基づいて前記部分データを復元し、さらに復元した前記部分データと前記キーデータとから前記電子データを復元する復元部と、
前記電子データのセキュアな保管の際には、前記分割部によって生成された前記キーデータを前記証明局に供託し、さらに前記分割部によって生成されたn個の前記分散データを所定の条件に従って選択したn個の外部のデータセンターにそれぞれ別個に分散保管し、前記電子データの復元の際には、対応する前記キーデータを前記証明局からユーザ認証を経て取得し、さらに少なくともk個の前記分散データを所定の条件に従って選択したk個の前記データセンターから取得し、取得した前記キーデータと前記分散データを前記復元部に受け渡す分散管理部とを有し、
前記証明局は、
前記情報処理装置から前記キーデータの供託および/または取得の要求を受けた際にユーザ認証を行う認証部と、
前記情報処理装置から供託された前記キーデータを、前記電子データを保有する前記ユーザおよび前記電子データの識別情報と関連付けて管理し、さらに前記情報処理装置からの前記キーデータの供託および取得の処理の内容を履歴として記録するとともに、前記ユーザからの要求に対して、前記履歴に基づいて、指定された基準日時以降に前記ユーザに係る前記キーデータが取得されているか否かを判定し、取得されていないと判定した場合に、前記ユーザに係る前記電子データが漏洩していないことを証明する情報を発行する管理部とを有することを特徴とする電子データ管理システム。 An electronic data management system that divides the electronic data into a plurality of non-important data by secret sharing and distributes and stores each of the divided non-important data for electronic data instructed to be securely stored by a user,
An information processing device of a user that stores the electronic data connected to a network, and a certification authority that is a reliable information processing system of a third party,
The information processing apparatus includes:
When securely storing the electronic data, it is possible to restore the electronic data by collecting all by secret sharing based on the electronic data according to a predetermined condition, and the electronic data alone Generating one or more key data and one or more partial data that cannot be restored and guessed, and collecting any k or more by secret sharing based on the partial data A dividing unit capable of restoring partial data and generating n pieces of distributed data (k <n) that cannot alone restore and estimate the partial data;
A restoration unit that restores the partial data based on at least k pieces of the distributed data when restoring the electronic data, and further restores the electronic data from the restored partial data and the key data;
When securely storing the electronic data, the key data generated by the dividing unit is deposited with the certification authority, and the n pieces of distributed data generated by the dividing unit are selected according to a predetermined condition. And separately stored in each of the n external data centers, and when the electronic data is restored, the corresponding key data is obtained from the certification authority through user authentication, and at least k of the distributed data centers are obtained. A distribution management unit for acquiring data from the k data centers selected according to a predetermined condition, and transferring the acquired key data and the distributed data to the restoration unit;
The certification authority is
An authentication unit that performs user authentication when receiving a request for deposit and / or acquisition of the key data from the information processing apparatus;
The key data deposited from the information processing device is managed in association with the user holding the electronic data and the identification information of the electronic data, and the key data deposit and acquisition processing from the information processing device Is recorded as a history, and in response to a request from the user, based on the history, it is determined whether or not the key data related to the user has been acquired after a specified reference date and time. And a management unit that issues information proving that the electronic data relating to the user is not leaked when it is determined that the electronic data is not leaked.
前記証明局の前記管理部は、
前記ユーザからの要求に対して、前記基準日時以降に前記ユーザに係る前記キーデータが取得されていると判定した場合に、前記履歴および前記各データセンターのアクセスログに基づいて、前記ユーザに係る前記キーデータおよび対応する少なくともk個の前記分散データが前記データセンターから、取得されている前記電子データの範囲を特定して出力することを特徴とする電子データ管理システム。 The electronic data management system according to claim 1.
The management unit of the certification authority
In response to a request from the user, when it is determined that the key data related to the user has been acquired after the reference date and time, the user relates to the user based on the history and the access log of each data center An electronic data management system characterized in that the key data and at least k corresponding distributed data are output from the data center by specifying a range of the acquired electronic data.
前記電子データのセキュアな保管の際は、
前記情報処理装置が、
所定の条件に従って、前記電子データに基づいて、秘密分散により、全てを集めることによって前記電子データを復元することが可能でありかつ単独では前記電子データを復元および推測することが不可能な1つ以上のキーデータと1つ以上の部分データとを生成するステップと、
前記キーデータを前記証明局に供託するステップと、
前記部分データに基づいて、秘密分散により、任意のk個以上を集めることによって前記部分データを復元することが可能でありかつ単独では前記部分データを復元および推測することが不可能なn個(k<n)の分散データを生成するステップと、
生成したn個の前記分散データを保管するn個の外部のデータセンターを所定の条件に従って選択するステップと、
生成したn個の前記分散データを選択したn個の前記データセンターにそれぞれ別個に分散保管するステップとを実行し、
前記電子データの復元の際は、
前記情報処理装置が、
前記電子データに対応する前記キーデータを前記証明局からユーザ認証を経て取得するステップと、
少なくともk個の前記分散データを、所定の条件に従って選択したk個の前記データセンターから取得するステップと、
取得した前記分散データに基づいて前記部分データを復元するステップと、
復元した前記部分データと取得した前記キーデータとから前記電子データを復元するステップとを実行し、
前記情報処理装置に保持されていた前記電子データについて漏洩していないことの証明を行う際は、
前記証明局が、
前記ユーザから前記証明を行う基準日時を取得するステップと、
前記基準日時以降に前記ユーザに係る前記キーデータが取得されているか否かを、前記キーデータの供託および取得に係る処理の履歴に基づいて判定するステップと、
前記基準日時以降に前記ユーザに係る前記キーデータが取得されていないと判定した場合に、前記ユーザに係る前記電子データが漏洩していないことを証明する情報を発行するステップとを実行することを特徴とする電子データ管理方法。 In an electronic data management system that is connected to a network and has an information processing apparatus for storing electronic data and a certification authority that is a trusted third party information processing system, the user is instructed to securely store the data. For electronic data, the electronic data is divided into a plurality of non-important data by secret sharing, and each of the divided non-important data is distributed and stored,
When securely storing the electronic data,
The information processing apparatus is
One that can restore the electronic data based on the electronic data according to a predetermined condition by collecting all of them by secret sharing and cannot restore and infer the electronic data alone. Generating the above key data and one or more partial data;
Depositing the key data with the certification authority;
Based on the partial data, by secret sharing, it is possible to restore the partial data by collecting arbitrary k or more and n pieces of data (individually unable to restore and guess the partial data) generating k <n) distributed data;
Selecting n external data centers for storing the generated n distributed data according to a predetermined condition;
And separately storing the generated n distributed data in the selected n data centers, respectively.
When restoring the electronic data,
The information processing apparatus is
Obtaining the key data corresponding to the electronic data from the certification authority via user authentication;
Obtaining at least k of the distributed data from the k data centers selected according to a predetermined condition;
Restoring the partial data based on the obtained distributed data;
Performing the step of restoring the electronic data from the restored partial data and the acquired key data;
When certifying that the electronic data held in the information processing apparatus is not leaked,
The certification authority
Obtaining a reference date and time for performing the certification from the user;
Determining whether or not the key data related to the user has been acquired after the reference date and time based on a history of processing related to depositing and acquiring the key data; and
Issuing the information proving that the electronic data relating to the user is not leaked when it is determined that the key data relating to the user has not been acquired after the reference date and time; A featured electronic data management method.
前記情報処理装置に保持されていた前記電子データについて漏洩していないことの証明を行う際に、
前記証明局は、さらに、
前記基準日時以降に前記ユーザに係る前記キーデータが取得されていると判定した場合に、前記履歴および前記各データセンターのアクセスログに基づいて、前記ユーザに係る前記キーデータおよび対応する少なくともk個の前記分散データが前記データセンターから、取得されている前記電子データの範囲を特定して出力するステップとを実行することを特徴とする電子データ管理方法。 The electronic data management method according to claim 3,
When certifying that the electronic data held in the information processing apparatus is not leaked,
The certification authority further comprises:
When it is determined that the key data related to the user has been acquired after the reference date and time, based on the history and the access log of each data center, the key data related to the user and at least k corresponding data And a step of specifying and outputting the range of the electronic data in which the distributed data is acquired from the data center.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011268575A JP5778018B2 (en) | 2011-12-08 | 2011-12-08 | Electronic data management system and electronic data management method |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2011268575A JP5778018B2 (en) | 2011-12-08 | 2011-12-08 | Electronic data management system and electronic data management method |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2013120516A JP2013120516A (en) | 2013-06-17 |
JP5778018B2 true JP5778018B2 (en) | 2015-09-16 |
Family
ID=48773125
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2011268575A Active JP5778018B2 (en) | 2011-12-08 | 2011-12-08 | Electronic data management system and electronic data management method |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP5778018B2 (en) |
Families Citing this family (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117475338B (en) * | 2023-12-28 | 2024-03-29 | 山东舜捷资源综合利用有限公司 | Land reclamation repair process monitoring system based on land management |
Family Cites Families (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2009103774A (en) * | 2007-10-22 | 2009-05-14 | Panasonic Corp | Secret sharing system |
-
2011
- 2011-12-08 JP JP2011268575A patent/JP5778018B2/en active Active
Also Published As
Publication number | Publication date |
---|---|
JP2013120516A (en) | 2013-06-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
AlZain et al. | Cloud computing security: from single to multi-clouds | |
US9954680B1 (en) | Secure management of a master encryption key in a split-key based distributed computing environment | |
US9667416B1 (en) | Protecting master encryption keys in a distributed computing environment | |
CN102394894B (en) | Network virtual disk file safety management method based on cloud computing | |
Seiger et al. | SecCSIE: a secure cloud storage integrator for enterprises | |
US9021264B2 (en) | Method and system for cloud based storage | |
CN109525570B (en) | Group client-oriented data layered security access control method | |
US9160535B2 (en) | Truly anonymous cloud key broker | |
US20130103945A1 (en) | Encrypting data objects to back-up | |
Tebaa et al. | From single to multi-clouds computing privacy and fault tolerance | |
US11256815B2 (en) | Object storage system with secure object replication | |
AU2010258678A1 (en) | Secure and private backup storage and processing for trusted computing and data services | |
CN105071936A (en) | Systems and methods for secure data sharing | |
US11082220B1 (en) | Securing recovery data distributed amongst multiple cloud-based storage services | |
JP4875781B1 (en) | Distributed data storage system | |
JP4860779B1 (en) | Distributed data storage system | |
Sivakumar et al. | Securing data and reducing the time traffic using AES encryption with dual cloud | |
Habib et al. | Simplified file assured deletion (sfade)-a user friendly overlay approach for data security in cloud storage system | |
US10972443B2 (en) | System and method for encrypted document co-editing | |
JP5778017B2 (en) | Electronic data management system, information processing apparatus, electronic data management program, and electronic data management method | |
JP5778018B2 (en) | Electronic data management system and electronic data management method | |
US20220385464A1 (en) | Durability enforcement of cryptographic keys in a key management system | |
US11418327B2 (en) | Automatic provisioning of key material rotation information to services | |
Mishra et al. | Improved cloud security approach with threshold cryptography | |
CN108234436A (en) | A kind of encryption method and system based on the storage of OpenStack objects |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20141121 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20150624 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20150630 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20150708 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 5778018 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |