セキュア一'ネットワーク データベース,システムおょぴ情報交換方法
技術分野
本発明は、 セキュア一 ·ネットワーク ·データベース .システムおよび情報交 換方法に関し、 特に、 安価で大規模かつ非常に安全なネットワークを基盤とする 明
高度なセキュリティを保った分割送信と分散データベースを実現することのでき 田
る、 セキュア一 'ネットワーク ·データベース ·システムおよび情報交換方法に 関する。
背景技術
従来、 ピアツーピア技術やダリッドコンピューティング技術が発展しており、 分散処理、 並列処理などによる情報処理システムが構築される場合も多くなって きている (例えば、 「B r e n d o n J. Wi l l s o n c h著 蔵骨彰 佐野元之訳、 「JAXTAの全て」 、 日経 BP社」 、 「マイケル ' ミラー Z著 トップスタジオ/訳 大和総研情報技術研究所 Z監修、 「P2Pコンビユーティ ング入門」 、 翔泳社」 、 「城井田勝仁/著 浜屋敏 /監修、 「手にとるように P 2 Pがわかる本 全貌が見えてきた次世代ネットワーク社会の姿」 、 かんき出 fe」 、 「 F o s t e r, I. , Ke s s e lma n, C . , N i c k, J . a n d Tu e c k e, S. , 「Th e Phy s i o l o g y o f t h e Gr i d : An Op e n Gr i d S e r v i c e s A r c h i t e c t u r e f o r D i s t r i b u t e d S y s t ems I n t e g r a t i o n. J , G l o b u s P r o j e c t, 2002」 、 「www. g l o b u s, o r g/r e s e a r c h/p a p e r s/o g s a. p d f . 」 、 「 Tu e c k e, S. , C z a j k ows k i, K. , F o s t e r, I . , F r e y , J . , Gr a h am, S . a n d
ΐ q '2002 § ΐ s I J 3 Λ ^ j o s o a o T H '顺 I」
、 「 60 Z 0 i: 00 S— S T d B o s -α /Ι 00 ュ o "S^
•AVA z ' I d VO S O S 8 / 9 Θ g Γ /ra o o -u n s ·Β Λ gg B (: ■ (a a 2 f ) ti o I ^ p a Q s j d J g ^ u g z Β Λ Β " • s ra a ^ s A s o j o T j^ uns」 、 「8661 ' 0 'S O ' 96 ' 1· u Θ ra n o o Q di oュ。 q. u o xu 9 § B U B]A[ o a C q O ' 「 '3 - 2 u o i: s Ϊ Λ Θ ¾; ' u o T ^ B O T j T o e d s p u e Θ J n
i q o jvj : J 9 5{ o j; g ^ s Θ n b Θ ^ o Θ C q O N ° OS rata o o "OHOJ 「/ 6 I 0ュ s f / ΐ ¾ u τ j/s s s o o i cJA q. i u n rata o o ^/B A B ^ n o q B/S j o · d o [ -IA M. ' g ¾[ s Γ ' 「 •2 u o ΐ s I Θ . 'u o i B ^ i J ^ Q d sj j 、 「s xi B Q g[
B A B f 9 S d J! S l Xi g; ·511194 3 Α 3 0 ·Ι 3 ΐ
U Π S Q
• ΐ p s [ェ Ζ§ ·ΐ o - s m - MTW Ί 00 Z ' 9 T 9 0N Ό 91 gA ' 「 ·ΐ ■ I ( T a S Λ.) 9 § B n§u ¾T; u o x ^ d i i o s a
B Ό 'q ΐ p θ θ]/[ ' ' B j Θ q j η ο ' -g 'u Θ s
11 9 3 ュ1¾〇」 、 「 j p d -6 I- 0-200 S- J Q u x B ^ U O Q B Λ Β ί Ι 80 /Β Λ Β r / B S S O/S J O · S n q O ; S Ά NS^ / / '、 d oi ΐ ΐ 'Z O O S ' ^ o Θ f o I j s n q o I o ' Γ . ο Μ Θ τπ
¾ a j[ B ^ U O Q Θ 0 ΐ Λ J θ s p T I Q S i q ^ l JI O dV
― u § I s a Q u sTOti oュ j A u gf § u 1 s o ΐ S O O Β Λ B Γ j ' — ' s UI B T ΐ I I ' 'S ' J a ^ S G A i A g < ,f
' o u B I j o ¾ ' · ' 9 I I n S Β ΐΑί ' . ' p 9 a S ' . f 3 ' j o m B ) ' · g ' θ 5[ o θ n ' · s (ra i o ti p ii B Sj J p d * 0 9 d s s S/s l e d B d/q o J B a s / S J O · S n q O I; S
•A\M.M. ' Z 00 Z ' % 9 f o d s n q o \ Q ' 「 . u o : i3 。
ΐ J I O Θ d S Θ 3 I Λ j: Θ S 卩 )」 ' ·3 'U B U Θ s s a¾;
Z
S.9900/C00Zdf/X3d 00Z O/A
t p : / / m s d n m i c r o s o f t, c o τα./ 1 i b r a r γ / d e u 1 t . a s p ? u r 1—/ 1 i b r a r / e nu s/dn g l o b s p Zh t m 1 / w s— s e c u r i t y, a s p」 、 「Th e G l o b u s r o j e c t , 2002, li t t p : / / www. g l o b u s, o r g t 2」 、 「S u n Mi c r o s y s t ems. J a v a AP I f XML-b a s e d RPC. J AX-RP C 1. 0, J SR 10 1. j a v a . s un. c o m./ x m 1 / 3 a x r p cZ」 、 I u n Mi c r o s y s t erns, J a v a S e r v l e t 2. 3 S p e c i f 1 c a t i o n. J S R 53. w w. j c p . o r gZa b o u t J v a Z c o mm u n i t y p r o c e s s/f i n a 1 / ] s r 053 / J 「S u n Mi c r o s y s t ems. We b S e r v i c e s f o r 2 EE,
V e s i o n 1 0, J S R 109. h t t p : J c ' o r g / a o u t J a v a / c o mm un i t y p r o c e s s i r t / j s r 1 9/」 、 「S e e d, R. , S a n dh o l m, T. , OGS I T e h n o l o g y P r e v i ew J 2 E E Wh i t e P p e r. h t / www. g l o b u s, o r g/o g s a/ r e i e s e s Z T e P r e v i e w/OGS I TP J 2 EE. p d f 」 「S u Mi c r o s t ems. J a v a AP I f o r XM P r o c s s i n g 1 S p e c i f i c a t i o n, J S R 63 h t P : / / j c o r g/a b o u t j a v a/c o mm un i t y P r o c s s/f i n 1 / j s 1- 063 Z」 、 Fs u n Mi c r o s y s t ems J a v a N e two r k La un c h i n g P r o t o c o 1 0. 1 S p e c i f i c a t i o n, J S R 56. h t t P : • ] c p o r gZ a b o u t J a v a/c o mm u n i t y p r o c e s s f i n a l / j s r 056/j 、 「B r a y, T. , Ho 1 1 a n d e r D. a n d L a y m a n , A. Name s p a c e s i n XML, W3 C
R e c o mm e n d a t i o n, 1999, www . w 3. o r g/TR/
REC— xm l i ame s ^ 「F a l l s i d e, D. C. XML S c h ema P a r t 0 : P r i me r . W3 C, Re c o mm e n d a t i o n , 200 1, www. w 3. o r g /Ύ R x m 1 s c h e m a— 0Z. J ヽ 「B r i t t e n h am, P. An Ov e r v i e w o f t h e We b S e r v i c e s I n s p e c t i o n L a n g u a g e · 200 1, www. i b m. c o mズ d e v e 1 o p e r wo r k s /w e b s e r v i c e s/ 1 i b r a r y/w s—w s i 1 o v e r . J 、 「I ma mu r a, T, D i 1 1 a wa y, B, S i mo n. E . XML En c r y p t i o n S yn t a a n d P r o c e s s i n g W3 C, C a n d i d a t e Re c o mm e n d a t i o n , 2002, h t t p '. /www. w3. o r g T RZ xm l e n c— c o r eZ」 、
「B a r t e 1 M. , B o y e r, J . , F o , B • , L aM a c c h i a B. , S i m o n , E. , XML S i g n a t u r e
S y n t a X a n d P r o c e s s i n g. W3 C, R e c o mm e n d a t i o n 2002 , h t t p : / / www. w 3. o r g /TR/x m 1 d s i g c 0 r e/} 、 「A p a c e Ax i s, T h e A p a c h e SOAP P r o j e c t . x m 1 • a p a c e, o r g / a x i s」
「V o n L a s z e w s k i , G. , F o s t e r, I • G a o r, J S m i t h , W. a n d Tu e c k e , s • ACM
20 0 0 j a V a G r a n d e C o n f e r e n c e, 2 0 00, w
WW g 1 0 b u s . o r g / c o gj 、 Γ J U n i t, www • j u 1 i t o r g 2 5 J a k a r t a An t, Th e J a k a r t a P r o j e c t i a k a r t a a p a c h e . o r g」 などを参照 ) o
ここで、 現在の情報システムは、 データ伝送においてもデータベースにおいて も有意の情報を一塊として扱うことを原理にしている。 これは企業や公共機関な どが扱う秘匿性の高い情報においても同じである。 そうしたデータの機密を守る には暗号化によって情報内容が漏洩しないようにしている。
第 1図は、 従来技術による情報の暗号化によるセキュリティ確保を行う情報交 換システムの一例を示す図である。 第 1図に示すように、 この暗号化が破られ不 正にアクセスされると全情報が一気に開示されてしまう。 そのため、 暗号化の強 度を強め、 破られにくくするための努力が継続的に重ねられている。
しかしながら、 コンピュータの性能の向上の結果、 暗号化とその復号の技術競 争が終わりのないサイクルに陥っているのが現在の状況であるが、 コンピュータ の个生能向上はこの解号のスピードを上げることになるため、 終わりの見えない暗 号ィ匕技術の開発競争が続いているという問題点がある。
また、 このような状況では、 絶え間ないコンピュータリソースの増強を利用者 にせまる結果になっているという問題点がある。
このように、 従来のシステム等は数々の問題点を有しており、 その結果、 セキ ユア一 ·ネットワーク ·データベース · システムの利用者おょぴ管理者のいずれ にとつても、 利便性が悪く、 また、 利用効率が悪いものであった。
従って、 本発明は、 本発明者による特開 2 0 0 2 - 3 5 8 2 4 7号公報に開示 された情報交換システム等に基づいたこれまでにない新たなセキュリティ方式を 導入し、 企業向きの安価で大規模かつ非常に安全なネットワークを基盤とする高 度なセキュリティを保つた分割送信と分散データベースを実現することのできる、 セキュア一 ·ネットワーク ·データベース ·システムおよび情報交換方法を提供 することを目的としている。 発明の開示
上述した目的を達成するため、 本発明にかかるセキュア一 ·ネットワーク ·デ ータベース · システムは、 複数の要素を含む情報を送受信する情報通信端末によ り処理される上記情報を格納するセキュア一 ·ネットワーク ·データベース ·シ ステムにおいて、 送信側の情報通信端末は、 上記複数の要素の機密結合度を設定 する機密結合度設定手段と、 上記機密結合度設定手段にて設定された上記機密結 合度に基づレ、て、 上記情報を複数の疎結合情報に分割するための分割ルールを設
定する分割ルール設定手段と、 上記分割ルール設定手段にて設定された上記分割 ルールに基づいて、 上記情報を複数の上記疎結合情報に分割する分割手段と、 上 記分割手段にて分割された複数の上記疎結合情報を 1つまたは 2つ以上のデータ ダリッド用情報端末装置に対して送信する送信手段とを備え、 上記データダリッ ド用情報端末装置は、 上記送信側の情報通信端末から受信した上記疎結合情報を 格納する疎結合情報格納手段を備え、 受信側の情報通信端末は、 複数の上記疎結 合情報を上記データダリッド用情報端末装置から読み出す読出手段と、 上記読出 手段にて読み出した複数の上記疎結合情報から上記分割ルールに基づレ、て上記情 報を再構成する再構成手段とを備えたことを特徴とする。
このシステムによれば、 送信側の情報通信端末は、 複数の要素の機密結合度を 設定し、 設定された機密結合度に基づいて、 情報を複数の疎結合情報に分割する ための分割ルールを設定し、 設定された分割ルールに基づいて、 情報を複数の疎 結合情報に分割し、 分割された複数の疎結合情報を 1つまたは 2つ以上のデータ グリッド用情報端末装置に対して送信し、 データダリッド用情報端末装置は、 送 信側の情報通信端末から受信した疎結合情報を格納し、 受信側の情報通信端末 (ここで、 受信側の情報通信端末は、 送信側の情報通信端末と同一であってもよ レ、。 以下同様である。 ) は、 複数の疎結合情報を各疎結合情報が格納されたデー タグリッド用情報端末装置から読み出し、 複数の疎結合情報から分割ルールに基 づいて情報を再構成するので、 情報をそのセマンティックスに基づいて分割し、 分解した疎結合情報ごとに物理的に分離、 独立した場所であるデータダリッド用 情報端末装置に保存することができる。
これにより、 ネットワーク上の通信、 データの保存場所のいずれにも完全な元 データのコピーは存在せず、 人間による作為的な犯罪行為が行われても情報漏洩 の範囲を限定することができるようになる。
また、 これにより、 データの保存が 1力所に集中することが無く、 通信も複数 の手段を利用するため、 災害の発生など大規模な障害が発生しても、 その影響が 全体に波及するのを防ぐことができる。
また、 分散資源である複数のデータダリッド用情報端末装置を同時並行的に動 作させることにより、 経済性が高く、 極めて安全性が高い情報の大量保存と利用 が可能な機能が実現できる。
また、 データグリッド用情報端末装置は簡単に重複化ができ、 通信路も含めた 冗長構成が容易なため個別の利用ニーズに対応させるのが容易である。
また、 これにより、 データダリッド用情報端末装置のストレージのスケールァ ップは、 小規模なデータストレージ (ノード) から始めることが可能で非常にス ケーラビリティがあるシステムを実現することができるようになる。
ここで、 各データダリッド用情報端末装置は、 ダリッド ·コンピューティング あるいはエッジ'コンピューティング技術を用いて仮想的に統合することができ る。
つぎの発明にかかるセキュア一 ·ネットワーク ·データベース ·システムは、 上記に記載のセキュア一 ·ネットワーク ·データベース ·システムにおいて、 上 記送信手段は、 複数の上記疎結合情報を複数の伝送経路を用いて上記データグリ ッド用情報端末装置に対して送信するマルチルーティング手段をさらに備え、 上 記読出手段は、 複数の上記疎結合情報を上記複数の伝送経路を用いて読み出すマ ルチルーティング読出手段をさらに備えることを特徴とする。
これは送信手段および読出手段の一例を一層具体的に示すものである。 このシ ステムによれば、 送信手段は、 複数の疎結合情報を複数の伝送経路を用いてデー タグリッド用情報端末装置に対して送信し、 読出手段は、 複数の疎結合情報を複 数の伝送経路を用いてデータグリッド用情報端末装置から読み出すので、 機密結 合度が下げられて生成された複数の疎結合情報をそれぞれ別の通信路を用いて情 報交換することができる。 また、 疎結合情報の対応関係を隠蔽し、 送受信される 情報の秘匿性をさらに高めることができる。
つぎの発明にかかるセキュア一 ·ネットワーク ·データベース · システムは、 上記に記載のセキュア一 ·ネットワーク ·データベース · システムにおいて、 上 記要素の名称を別の名称とするためのネーミングルールを設定するネーミングル
ール設定手段と、 上記ネーミングルール設定手段にて設定された上記ネーミング ルールに基づいて、 上記情報の上記要素の名称を別の名称にする別名化手段とを さらに備え、 上記受信側の情報通信端末は、 上記ネーミングルールに基づいて、 別名化された上記情報の上記要素の名称を元の名称に変換する名称変換手段とを さらに備えたことを特徴とする。
このシステムによれば、 送信側の情報通信端末は、 要素の名称を別の名称とす るためのネーミングルールを設定し、 設定されたネーミングルールに基づいて、 情報の要素の名称を別の名称にし、 受信側の情報通信端末は、 ネーミングルール に基づいて、 別名化された情報の要素の名称を元の名称に変換するので、 オリジ ナルの情報から別の名称と構造を持つ情報を生成することにより情報漏洩時にォ リジナル情報の推定を困難にすることができ、 送受信される情報の秘匿性をさら に高めることができる。
つぎの発明にかかるセキュア一 ·ネットワーク ·データベース ·システムは、 上記に記載のセキュア一 ·ネットワーク ·データベース ·システムにおいて、 情 報が XMLにより記載されたものであることを特徴にする。
これは情報の一例を一層具体的に示すものである。 このシステムによれば、 情 報が XMLにより記載されたものであるので、 XMLデータの分解 ·再構成の容 易性を活かして XMLデータの機密結合度を下げ、 秘匿性を高めることができる。 つぎの発明にかかるセキュア一 ·ネットワーク ·データベース ·システムは、 上記に記載のセキュア一 'ネットワーク ·データベース ·システムにおいて、 上 記機密結合度設定手段は、 D T Dに定義されている上記要素について、 上記要素 の名称、 内容おょぴ属性のうち少なくとも一つに基づいて機密結合度を設定する ことを特 ί敷とする。
これは機密結合度設定手段の一例を一層具体的に示すものである。 このシステ ムによれば、 D T Dに定義されている要素について、 要素の名称、 内容おょぴ属 性のうち少なくとも一つに基づいて機密結合度を設定するので、 D T Dに定義さ れた XML情報の要素の内容に基づいて、 効率的に機密結合度を設定できる。
つぎの発明にかかるセキュア一 ·ネットワーク ·データベース ·システムは、 上記に記載のセキュア一 ·ネットワーク 'データベース ·システムにおいて、 上 記情報を構成する上記要素にアクセス可能なユーザを定義するユーザ定義手段を さらに備えたことを特徴とする。
このシステムによれば、 情報を構成する要素にアクセス可能なユーザを定義す るので、 ユーザに対してデータ利用の制限機能を実現することができる。
また、 これにより、 ユーザを管理者やデータ所有者やデータ利用者などの各ク ラスに分けた場合にも、 適切なアクセス制限機能を実現することができる。 つぎの発明にかかるセキュア一 ·ネットワーク ·データベース ·システムは、 上記に記載のセキュア一 ·ネットワーク ·データベース .システムにおいて、 上 記送信側の情報通信端末は、 上記再構成手段により複数の上記疎結合情報から上 記分割ルールに基づいて上記情報を再構成する際に必要とされる再結合情報を生 成する再構成情報生成手段をさらに備えたことを特徴とする。
このシステムによれば、 送信側の情報通信端末は、 再構成手段により複数の疎 結合情報から分割ルールに基づレ、て情報を再構成する際に必要とされる再結合情 報を生成するので、 分割された疎結合情報の再結合を媒介するための再結合情報 (一種のパスワード情報など) を追加することにより、 情報の機密性をさらに高 めることができる。
すなわち、 乱数等により生成される再結合情報を疎結合情報に付加することに より、 第三者が疎結合情報を見たときに、 その内容の推定を困難にすることがで きる。 また、 どの再結合情報をどの疎結合情報に付カ卩したかを分割ルールにおい て定義することにより、 受信側の情報通信端末では、 再結合情報に基づいて元の 情報に再構成することができるようになる。
また、 本発明は情報交換方法に関するものであり、 本発明にかかる情報交換方 法は、 複数の要素を含む情報を送受信する情報通信端末により処理される上記情 報を格納するセキュア一 ·ネットワーク ·データベース ·システムを用いて実行 される情報交換方法において、 送信側の情報通信端末は、 上記複数の要素の機密
結合度を設定する機密結合度設定ステップと、 上記機密結合度設定ステップにて 設定された上記機密結合度に基づいて、 上記情報を複数の疎結合情報に分割する ための分割ルールを設定する分割ルール設定ステップと、 上記分割ルール設定ス テップにて設定された上記分割ルールに基づいて、 上記情報を複数の上記疎結合 情報に分割する分割ステップと、 上記分割ステップにて分割された複数の上記疎 結合情報を 1つまたは 2つ以上のデータダリッド用情報端末装置に対して送信す る送信ステップとを含み、 上記データダリッド用情報端末装置は、 上記送信側の 情報通信端末から受信した上記疎結合情報を格納する疎結合情報格納ステップを 含み、 受信側の情報通信端末は、 複数の上記疎結合情報を上記データグリッド用 情報端末装置から読み出す読出ステップと、 上記読出ステップにて読み出した複 数の上記疎結合情報から上記分割ルールに基づレヽて上記情報を再構成する再構成 ステップとを含むことを特徴とする。
この方法によれば、 送信側の情報通信端末は、 複数の要素の機密結合度を設定 し、 設定された機密結合度に基づいて、 情報を複数の疎結合情報に分割するため の分割ルールを設定し、 設定された分割ルールに基づいて、 情報を複数の疎結合 情報に分割し、 分割された複数の疎結合情報を 1つまたは 2つ以上のデータグリ ッド用情報端末装置に対して送信し、 データグリッド用情報端末装置は、 送信側 の情報通信端末から受信した疎結合情報を格納し、 受信側の情報通信端末は、 複 数の竦結合情報をデータダリッド用情報端末装置から読み出し、 複数の疎結合情 報から分割ルールに基づいて情報を再構成するので、 情報をそのセマンティック スに基づいて分割し、 分解した疎結合情報ごとに物理的に分離、 独立した場所で あるデータダリッド用情報端末装置に保存することができる。
これにより、 ネットワーク上の通信、 データの保存場所のいずれにも完全な元 データのコピーは存在せず、 人間による作為的な犯罪行為が行われても情報漏洩 の範囲を限定することができるようになる。
また、 これにより、 データの保存が 1力所に集中することが無く、 通信も複数 のステップを利用するため、 災害の発生など大規模な障害が発生しても、 その影
響が全体に波及するのを防ぐことができる。
また、 分散資源である複数のデータダリッド用情報端末装置を同時並行的に動 作させることにより、 経済性が高く、 極めて安全性が高い情報の大量保存と利用 が可能な機能が実現できる。
また、 データグリッド用情報端末装置は簡単に重複ィヒができ、 通信路も含めた 冗長構成が容易なため個別の利用ニーズに対応させるのが容易である。
また、 これにより、 データグリッド用情報端末装置のストレージのスケールァ ップは、 小規模なデータストレージ (ノード) から始めることが可能で非常にス ケーラビリティがある方法を実現することができるようになる。
ここで、 各データダリッド用情報端末装置は、 ダリッド ·コンピューティング あるいはエッジ ·コンビユーティング技術を用レ、て仮想的に統合することができ る。
つぎの発明にかかる情報交換方法は、 上記に記載の情報交換方法において、 上 記送信ステップは、 複数の上記疎結合情報を複数の伝送経路を用いて上記データ ダリッド用情報端末装置に対して送信するマルチルーティングステップをさらに 含み、 上記読出ステップは、 複数の上記疎結合情報を上記複数の伝送経路を用い て読み出すマルチルーティング読出ステップをさらに含みることを特徴とする。 これは送信ステップおよび読出ステップの一例を一層具体的に示すものである。 この方法によれば、 送信ステップは、 複数の疎結合情報を複数の伝送経路を用い てデータダリッド用情報端末装置に対して送信し、 読出ステップは、 複数の疎結 合情報を複数の伝送経路を用いてデータグリッド用情報端末装置から読み出すの で、 機密結合度が下げられて生成された複数の疎結合情報をそれぞれ別の通信路 を用いて情報交換することができる。 また、 疎結合情報の対応関係を隠蔽し、 送 受信される情報の秘匿性をさらに高めることができる。
つぎの発明にかかる情報交換方法は、 上記に記载の情報交換方法において、 上 記要素の名称を別の名称とするためのネーミングルールを設定するネーミングル ール設定ステツプと、 上記ネ一ミングルール設定ステップにて設定された上記ネ
一ミングルールに基づいて、 上記情報の上記要素の名称を別の名称にする別名化 ステップとをさらに含み、 上記受信側の情報通信端末は、 上記ネーミングルール に基づいて、 別名化された上記情報の上記要素の名称を元の名称に変換する名称 変換ステツプとをさらに含むことを特徴とする。
この方法によれば、 送信側の情報通信端末は、 要素の名称を別の名称とするた めのネーミングルールを設定し、 設定されたネーミングルールに基づいて、 情報 の要素の名称を別の名称にし、 受信側の情報通信端末は、 ネーミングルールに基 づいて、 別名化された情報の要素の名称を元の名称に変換するので、 オリジナル の情報から別の名称と構造を持つ情報を生成することにより情報漏洩時にォリジ ナル情報の推定を困難にすることができ、 送受信される情報の秘匿性をさらに高 めることができる。
つぎの発明にかかる情報交換方法は、 上記に記載の情報交換方法において、 情 報が XM Lにより記載されたものであることを特徴にする。
これは情報の一例を一層具体的に示すものである。 この方法によれば、 情報が XMLにより記載されたものであるので、 XMLデータの分解 '再構成の容易性 を活かして XMLデータの機密結合度を下げ、 秘匿性を高めることができる。 つぎの発明にかかる情報交換方法は、 上記に記載の情報交換方法において、 上 記機密結合度設定ステップは、 D T Dに定義されている上記要素について、 上記 要素の名称、 内容および属性のうち少なくとも一つに基づいて機密結合度を設定 することを特徴とする。
これは機密結合度設定ステップの一例を一層具体的に示すものである。 この方 法によれば、 D T Dに定義されている要素について、 要素の名称、 内容および属 性のうち少なくとも一つに基づいて機密結合度を設定するので、 D T Dに定義さ れた XML情報の要素の内容に基づいて、 効率的に機密結合度を設定できる。 つぎの発明にかかる情報交換方法は、 上記に記載の情報交換方法において、 上 記送信側の情報通信端末において、 上記情報を構成する上記要素にアクセス可能 なユーザを定義するユーザ定義ステツプをさらに含むことを特徴とする。
この方法によれば、 情報を構成する要素にアクセス可能なユーザを定義するの で、 ユーザに対してデータ利用の制限機能を実現することができる。
また、 これにより、 ユーザを管理者やデータ所有者やデ一タ利用者などの各ク ラスに分けた場合にも、 適切なアクセス制限機能を実現することができる。
つぎの発明にかかる情報交換方法は、 上記に記載の情報交換方法において、 上 記送信側の情報通信端末において、 上記再構成ステップにより複数の上記疎結合 情報から上記分割ルールに基づレ、て上記情報を再構成する際に必要とされる再結 合情報を生成する再構成情報生成ステップをさらに含むことを特徴とする。
この方法によれば、 送信側の情報通信端末は、 再構成手段により複数の疎結合 情報から分割ルールに基づ!/、て情報を再構成する際に必要とされる再結合情報を 生成するので、 分割された疎結合情報の再結合を媒介するための再結合情報 (一 種のパスワード情報など) を追加することにより、 情報の機密性をさらに高める ことができる。
すなわち、 乱数等により生成される再結合情報を疎結合情報に付加することに より、 第三者が疎結合情報を見たときに、 その内容の推定を困難にすることがで きる。 また、 どの再結合情報をどの疎結合情報に付加したかを分割ルールにぉレヽ て定義することにより、 受信側の情報通信端末では、 再結合情報に基づいて元の 情報に再構成することができるようになる。 図面の簡単な説明
第 1図は、 従来技術による情報の暗号化によるセキュリティ確保を行う情報交 換システムの一例を示す図であり、 第 2図は、 XML情報の場合で、 左側の全体 情報を右側の 2つの部分情報に分割した例を示す図であり、 第 3図は、 本発明に よる情報の分割伝送と分割保管の概念を示す図であり、 第 4図は、 本発明による 分割伝送と分割保存による機密保護の概念の一例を説明する図であり、 第 5図は、 従来のデータベース ·システムの概念を示す図であり、 第 6図は、 本発明による 非集中ストレージ構成のデータベース ·システムの一例を示す図であり、 第 7図
は、 本発明によるデータグリッドとリレーの概念を示す図であり、 第 8図は、 2 つの部分情報に分割してそれぞれを別の 2つのリレーサーバを経由して伝送する 場合の一例を示す図であり、 第 9図は、 データベースから情報を取り出す場合の 一例を示す図であり、 第 1 0図は、 本発明のェンドユーザ機能の概要を示す図で あり、 第 1 1図は、 ファイルシステム 'インタフェースの概要を示す図であり、 第 1 2図は、 S Q Lインタフェースの概要を示す図であり、 第 1 3図は、 XIvIL インタフェースの概要を示す図であり、 第 1 4図は、 本発明の階層的グリッド ' グループの概念と、 一般のコンピュータシステムにおける概念との対応を示す図 であり、 第 1 5図は、 木構造のグリッドグループの概念を示す図であり、 第 1 6 図は、 メンバーのデータグッリ ドの値とそのノードプロファイル (ノードプロフ アイル) およびそのデータグリッドに対する検索式と応答の例の一覧表を示す図 であり、 第 1 7図は、 本発明のリーダグリッドによるノードプロファイルの一例 を示す図であり、 第 1 8図は、 本発明によるデータグリッドの更新の手順を示す 図であり、 第 1 9図は、 本発明による該当グリッドの発見と検索を行う場合の概 念を示す図であり、 第 2 0図は、 本発明によるデータダリッドの構造の一例を示 す図であり、 第 2 1図は、 本発明によるピア (P e e r ) 技術と P K I技術の融 合方法の概念を示す図であり、 第 2 2図は、 本発明によるデータの所有者がデー タの書き込みを行う場合の処理の一例を示すフローチャートであり、 第 2 3図は、 本発明によるデータの所有者がデータの読み出しを行う場合の処理の一例を示す フローチャートであり、 第 2 4図は、 本発明によるデータの利用者がデータの読 み出しを行う場合の処理の一例を示すフローチャートであり、 第 2 5図は、 本シ ステムの全体構成の一例を示すブロック図であり、 第 2 6図は、 本システムの概 要を示す概念図であり、 第 2 7図は、 本発明が適用される情報通信端末 1 0 0の 構成の一例を示すプロック図であり、 第 2 8図は、 本発明が適用される情報通信 端末 1 0 0の制御部 1 0 2において実行されるソフトウェア構成の一例を示すプ ロック図であり、 第 2 9図は、 情報通信端末 1 0 0における情報の流れの概要を 説明する概念図であり、 第 3 0図は、 本システムにおける機密結合度の定義の一
例を示す概念図であり、 第 3 1図は、 本発明の疎結合 XMLデータのマルチルー ティングの概要を示す概念図であり、 第 3 2図は、 本発明の要素名の別名化の概 要を示す概念図であり、 第 3 3図は、 デバイダにより実行される要素名の別名化、 および、 疎結合 XMLデータの作成の一例を示す概念図であり、 第 3 4図は、 設 定モジュール 1 0 2 aにおける疎結合 XMLの生成に用いる各種ルールの生成の 概要を示す概念図であり、 第 3 5図は、 再結合情報を用いて情報の分解おょぴ再 構成を行う場合の一例を示す概念図であり、 第 3 6図は、 カード情報を格納した ォリジナル XML情報の一例を示す図であり、 第 3 7図は、 本実施形態における 分解 Z再構成ルールの一例を示す図であり、 第 3 8図は、 本実施の形態の分解ノ 再構成ルールに従って分解された疎結合 XMLデータの一例を示す図であり、 第 3 9図は、 本実施の形態において受信側の情報通信端末 1 0 0のメモリ上にブー ルされる情報の一例を示す図であり、 第 4 0図は、 本実施の形態において初期状 態のバファープールに格納される情報の一例を示す図であり、 第 4 1図は、 カー ド番号の要素が分割された球結合 XMLデータの一例を示す図であり、 第 4 2図 は、 パファープール中の該当するカード番号要素に、 カード番号 「1 2 3 4 6 7 8 9 7 9 9」 がセットされた図であり、 第 4 3図は、 全ての疎結合 XMLデータ を受信し、 バファープール上の各要素にデータをセットした結果を示す図であり、 第 4 4図は、 本発明のアクセス制御に用いるアクセス管理情報を示す概念図であ り、 第 4 5図は、 第 4 4図に示すアクセス管理情報のアクセス許可要素の概念に ついて説明する図であり、 第 4 6図は、 第 4 4図に示すアクセス管理情報のユー ザの権限の概念について説明する図であり、 第 4 7図は、 論理的なクライアント とデータグリッド間の情報の流れを示す概念図であり、 第 4 8図は、 第 4 7図に 示す例における物理的な情報の流れを示す図であり、 第 4 9図は、 分解と再合成 において完全に双方が対称となる生成を行つた場合で、 全データ要素にアクセス でさ、 かつ再構成できる場合 (完全対象十全データァクセス権設定) の概念を示 す図であり、 第 5 0図は、 先にあげたアクセス管理情報を再構成ルールの生成時 に参照して、 再構成ルールの生成時に参照に制約を加えた再構成ノレールを作りだ
す場合 (アクセス制限付き再構成ルール設定) の概念を示す図であり、 第 5 1図 は、 ァクセス制限付き再構成ルール設定の具体的な例を示す図である。 発明を実施するための最良の形態
以下に、 本発明にかかるセキュア一 ·ネットワーク ·データベース .システム および情報交換方法の実施の形態を図面に基づいて詳細に説明する。 なお、 この 実施の形態によりこの発明が限定されるものではない。
以下、 本システムの基本原理について説明し、 その後、 本システムの概要、 本 システムの構成およぴ処理等にっレヽて詳細に説明する。
( 1 . 本発明の基本原理)
( 1 - 1 ) 情報の意味に基づく分解
一般にコンピュータなどの情報処理システムにおいて処理される情報は、 それ を構成する部分要素の集合からなる。 例えば企業の業績情報であれば、 「企業 名」 、 「企業コード」 、 「所在地」 、 「社長名」 などの企業を表す 「企業情報」 と、 「昨年売上実績」 、 「本年度売り上げ予定」 など売り上げや業績に関する
「業績情報」 に分けることができる。 それらが、 一元化されたものが全体情報で 特定の企業の業績をあらわす情報となる。
仮に前記の情報について、 「企業情報」 と 「業績情報」 の 2つに分割しておく と、 不正にその両方の情報を入手したとしても両者の対応関係が開示されない限 り、 特定企業の業績を復元して入手することはできない。 また、 データ 1 0 0 0 件ずつをまとめるような量的な分割を併用してもかまわない。
第 2図は、 XML情報の場合で、 左側の全体情報を右側の 2つの部分情報に分 割した例を示す図である。 第 2図に示す例では、 機密度を一層あげるために XM Lの要素名を意味の成さない数値や文字に置換している (後述する 「別名化」 が 対応する。 ) 。
( 1 - 2 ) 情報の分割伝送と分割保管
現行の機密保護の問題点は、 必要な機密保護の実現を全面的に暗号ィ匕技術に依
存している点にある。 本発明は、 全ての情報が一元的に伝送されたり、 保存され たりすることから前述の問題が生じていることに着目して、 第 3図に示すように、 正当な情報の所有者あるいは正当な情報利用者が存在する領域の内と外を分離し て、 正当な利用者の空間外には全体情報を一元的に存在させないように複数に分 散させる。
ここで、 第 3図は、 本発明による情報の分割伝送と分割保管の概念を示す図で ある。 これによつて、 正当な利用者以外が全体情報を復元することが困難になる ようにする。 これにより簡易な既存の暗号化手段と組み合わせて高度な情報の機 密保護手段が実現できる。
( 1 - 3 ) 分割メッセージングと分割ストレージの統合
本発明は、 前述のように全体情報をその意味内容に基づいて、 できるだけ復元 力 S困難になるような分割点を見つけ複数の部分情報を生成することを原理として いる (後述する 「機密結合度」 による分割が対応する。 ) 。
第 4図は、 本発明による分割伝送と分割保存による機密保護の概念の一例を説 明する図である。 第 4図に示すように、 全体情報を分解することによって得られ た部分情報は、 伝送においては個別の伝送方式、 たとえば HT T P、 SMT Pあ るいは F T Pなどを用いて分割したままそれぞれ別途に伝送される。
また、 情報の保存は、 各部分情報ごとに物理的に独立した媒体、 場所に記憶さ れる。 複数の記憶装置は、 同一の L AN内に配置しても、 インターネットや I P ネットワーク上に配置してもかまわない。
これにより、 仮に情報の所有者以外が情報の保存場所に侵入することに成功し て情報を得たとしても、 そこに保存された部分情報にしかアクセスできない。 ま た、 情報の保存場所の関係者が情報を持ち出すような内部犯罪であっても、 その 影響は部分的なものに限定できる。
( 1—4 ) 非集中ストレージの構成
ここで従来のデータベース ·システムは、 一般的に 1力所に集約して保存 ·管 理 ·利用されてきた。 こうした集中型のデータベースは、 管理や容易なことゃス
ケールメリットが生かさせるなどの理由から多用されてきた。
第 5図は、 従来のデータベース · システムの概念を示す図である。 第 5図に示 すように、 機密が破られると全情報が開示されてしまう、 障害が発生すると全シ ステムが停止してしまう、 などデータの機密保護や障害発生時の影響度の観点か ら集中型のシステムを見直さなくてはならない状況になっている。
メールなどの保存が法制化により義務付けられるなど企業や組織が保存しなけ ればならない情報量は急速に増加している。 また、 そうした情報が漏洩すると大 きな社会的な問題にまで及ぴかねない危険がある。 こうした状況から、 大量デー タを安価かつ絶対に機密が保護される手段の登場が切望されている。
第 6図は、 本発明による非集中ストレージ構成のデータベース · システムの一 例を示す図である。 従来の集中的なデータベースに対して、 本発明は、 第 6図に 示すように、 データそのものの完全なコピーはデータベース上、 ネットワーク上 の何れにも存在させない。 そして、 分散的に配置された部分情報を保持する複数 のデータベースから必要な部分情報を集め、 動的に全体情報の再構成を行うこと を基本理念としている。
従って、 データベースは部分情報を保持する小規模なものがネット上に複数存 在する形をとり、 それぞれは、 自立的 ·独立的に動作する。 このような概念を本 発明では 「データグリッド」 と称する。
ただし、 全体としての整合性や最適化あるいは障害回復などはダリッドコンビ ユーティング技術をベースにデータダリッド間の相互の通信によって調和的な動 作を行う
このように、 本技術ではストレージは 1力所に集中した大規模なデータサーバ に保管するのではなく、 比較的小規模なデータサーバを物理的に独立した複数の 場所に設置し、 それらを I Pなどの通信手段を用いて結びつける分散形態をとる。 こうした非集中構成によって、 一ヶ所の障害がアプリケーションシステムの全 体障害になるようなことを防ぐことができる。 また、 データサーバは大規模な災 害の発生などにも耐えられよう、' ±也域的にできるだけ多くの場所に分散して配置
することが望ましい。 また、 データベースの冗長構成と分散配置によってより耐 障害性に優れた特性を持つことができる。
( 2 . 本発明の全体構成の概念)
伝送には、 HT T P等によるトンネリングをベースとしアプリケーションレべ ルでデータをバケツト化した通信を実装することができる。
( 2 - 1 ) データグリツドとリレー
本発明では、 インタターネットや L ANなどのネットワーク上に 「仮想の保存 空間」 を設け、 そこに部分情報を保持する複数のデータグリッドを存在させる。 ここで、 第 7図は本発明によるデータダリッドとリレーの概念を示す図である。 各データグッリドは既存のピアー技術などを利用し、 フアイウォールで守られた 独立したノードとして実装される。
例えば、 各ノードおよび利用者の空間を結びつける伝送路は前述のバケツト化 されたデータで、 リレーを介して伝送される。 このリレーもファイアウォールで 守られた独立したノードである。
また、 最速の伝送路の選択や障害発生時に自動的に迂回路を形成するためにリ レーを用いた伝送と情報の保管を融合させたシステムとしてもよレ、。
( 2 - 2 ) リレーと分割伝送
障害発生時の影響を最小限に止めるためにできるだけ多くのリレーを異なった バックボーン上に配置する。 リレーによるインターネット上に仮想的に形成する コントロール可能なネットワークを用いて安全で確実な情報の伝送を実現する。 第 8図は、 2つの部分情報に分割してそれぞれを別の 2つのリレーサーバを経 由して伝送する場合の一例を示す図である。 第 8図のような構成を用いて直線と 破線で示す 2つのルートを確保することにより、 仮にィンターネットのようにュ 一ザが明示的に通過するルートを選択できない通信手段を用いても確実に分割し た情報を別のルートから伝送できる。
( 2 - 3 ) リレーと代理転送
また、 この構成は通信の途絶などの際に迂回路として活用でき、 高信頼化が実
現できる。
第 9図は、 データベースから情報を取り出す場合の一例を示す図である。 第 9 図においては、 分割情報を 2つのリレーを経由して送信中に、 一方 (破線で示す ルート) に何らかの障害が発生した場合、 他方の伝送路 (実線で示すルート) に 切り替えて送信を行い完全なデータを送ることができることを示している。 多数のリレーが存在する場合は、 一番高速のリレーを選択して代理転送を行う ことも可能である。
(3) 本発明のエンドユーザ機能
以下に利用者に提供されるべき機能の概要を示す。 第 10図は、 本発明のェン ドユーザ機能の概要を示す図である。 第 10図に示すように、 ユーザアプリケー シヨンサイドの全てのエンドユーザ機能において、 全体情報から複数の部分情報 への分解、 複数の部分情報から全体情報への再構成機能を持つことが不可欠であ る。
(3-1) フアイノレシステム 'インタフェース
前述の高度にセキュア一な伝送とデータ保存の機能は、 一般のパソコンの利用 者にも提供されなくてはならない。 そのため、 Wi n d owsや L i nu Xなど のファイルシステムから直接にアクセスできるインタフェースの延長に本分散伝 送方式と分散ストレージとの接続を用意する。
第 11図は、 ファイルシステム 'インタフェースの概要を示す図である。 第 1 1図に示すインタフェースによって、 ユーザは、 ファイルが自分のコンピュータ 上の口一力ルディスクに存在するデータも、 分散フアイル上に存在するデータで あっても同一の使い方と GU Iで利用できる。
(3-2) SQLインタフェース
リレーショナルデ一タベースを利用しているアプリケーションのためのインタ フェースで、 アプリケーションは他のローカルファイルとまったく同じ SQLや OBDCあるいは J DBCのインタフェースを用いて分散データベースにァクセ スできる。
T/JP2003/006675
21 第 1 2図は、 S Q Lインタフエニスの概要を示す図である。 第 1 2図に示す S Q Lインタフェースによって、 アプリケーションは全く意識せずにネット上の仮 想的なストレージを利用できるようになる。
( 3 - 3 ) XMLインタフェース
XMLを利用するアプリケーションは、 通常の D OMインタフェースを用いた まま、 分散データベース上にデータを格納したり、 取り出したりできる。
第 1 3図は、 XMLインタフェースの概要を示す図である。 第 1 3図に示す X MLインタフェースによって、 アプリケーションは全く意識せずにネット上の仮 想的なストレージを利用できるようになる。
( 4 ) データグリツド ·グループの概念
個々のデータグリッドは、 部分情報を保持するために利用される。 その際排他 的に特定のユーザ、 特定のファイルあるはデータベースに占有させることも可能 であるが、 一般には共有にしておき資源の効率的な利用を図る。
第 1 4図は、 本発明の階層的グリッド ·グループの概念と、 一般のコンビユー タシステムにおける概念との対応を示す図である。 第 1 4図においては、 左側が 一般的に用いられている用語と概念であり、 その右側に本分割ストレージにおけ る用語と概念を示す。 それらの対応関係は必ずしも固定的でなく、 内容に依存し てダイナミックに構成される。 従って、 第 1 4図中で右側のそれぞれのグループ の相互関係は固定的ではなく、 検索などの要求に応じて動的に再構成されること もある。
一般にピアー技術では、 ピアーから他のピアーは近接するピアーに対するリス トを保持して、 それをたどって連鎖的にグリッド間の移動を行う。 本システムで はそれに加えて、 次の意味依存の発見とトラパースを実現する。
また、 各グリッドは複数のグループに属すことができ、 かつどこに属するかは そこに保持されたデ一タの種類、 内容によって動的に変わる。
( 4 - 1 ) リーダグリッドとグリツドグループ
「グリッドグループ」 は、 概念的には先のように包含関係を基礎にした一種の
グルーピングであるが、 現実の構成は第 1 5図のような木構造をとる。
ここで、 第 1 5図は、 木構造のダリッドグループの概念を示す図である。 本ネ ットワーク上で分散するデータベースでは、 ハードディスクのような構造化され たアクセスパスを持つのは困難である。 そのためそのままでは検索や更新でデ一 タグリッドの総当り検索が必要となってしまう。 この総当りをできるだけ部分的 に済ませ、 処理速度を上げるためにノードプロファイルを導入する。 「リーダグ リッド」 とは、 第 1 5図における d、 cデータグリッドなどのような、 子グリッ ドをもつダリッドの総称である。
第 1 5図中の各ノードはデータグリッドを表し、 一番右の末端の a、 bデータ ダリッドは自分のデータダリッド中のデータから抽出した 「プロファイル」 を持 つ。 このプロファイルには、 保持している要素名、 値の範囲などの情報が記録さ れる。 この a、 bデータグリッドの親となっている cノードでは、 自分のグリツ ドのプロファイルと同時に子供の a、 bノードのプロファイルを銃合したプロフ アイルをもっている。
仮に、 aノードのプロファイルに要素 Xがあり、 bノードのプロファイルに要 素 Yが記されていたとすると、 cのプロファイルは、 X, Yと自分が持つデータ のプロファイルの和を取ったものになる。 仮に、 それが Zだとすると、 X , Y , Zとなる。
この状態で、 dノード力、ら検索要求が送られてくるとその検索式中で参照され ている要素名と cノードのプロファイルが照合され、 参照している要素名がプロ ファイル中にあれば、 cデータグリッドの実際の検索が実行され、 該当データが あればその結果が要求元に返される。 それと同時並行的に、 aノードと bノード に関するプロフアイル照合が行われ、 必要な子供のデータグリッドのみが呼び出 される。 検索式が X、 Zを参照していると仮定すると、 cノードの実行後、 aノ ードのみが呼び出され、 bノードの呼び出しは行われない。 検索や更新は、 最右 端のデータグッリ ドの処理の終了をもって完了'となる。
第 1 6図は、 メンバーのデータグッリ ドの値とそのノードプロファイル (ノー
ドプロファイル) およびそのデータダリッドに対する検索式と応答の例の一覧表 を示す図である。
また、 第 1 7図は、 本発明のリーダダリッドによるノードプロファイルの一例 を示す図である。 ここで第 1 7図は、 上述した企業の営業成績に関する情報を 2 つに分けた場合で、 一方のグループには、 企業名を意味する 「X X」 、 所在地を 意味する 「YY」 が保持されていることを示す。 また他方のグループには欠損額 を表す 「Ζ Ζ」 が保持されていることを示す。 このノードプロファイル内の式に は値や繰り返しを限定する位置限定子や値限定子も記述できる。 また、 必要であ ればグループメンバー内のデータダリッド自身がリーダグリッドであってもよい。
( 4 _ 2 ) データの更新とグリツドグループの管理
グループ内のデータダリッドは、 更新の要求に応じて保持情報の更新を行う。 それと同時にリ一ダグッリ ドが保持するノードプロファイルとの整合性を維持し なければならなレ、。 この整合性の維持は動的であり、 かつデータグリッドが他の グループに移動することも含む。
第 1 8図は、 本発明によるデータダリッドの更新の手順を示す図である。 第 1 8図に示すように、 データグリッドの更新の手順は次の通りである。
クライアントからの更新などの要求を受けて処理する (ステップ S A— 1 ) 。 ダリッドリーダに要求を発行してノードプロファイルの値を更新する (ステップ S A- 2 ) 。 また、 場合により、 リーダグッリ ドが他のリ一ダグリツドとネゴシ エーションを行い、 そのデータダリッドが所属するグループを変更する (ステツ プ S A—3 ) 。 そして、 移動先のノードプロファイルの値を更新する (ステップ S Α- 4 ) 。
また、 このノードプロファイルは、 グループ内の複数のデータグリッドにキヤ ッシュしておき、 リーダグリッドに障害が生じた際は、 別のグリッドがリーダを 代行できる。
( 4 - 3 ) 該当グリッドの発見と検索
第 1 9図は、 本発明による該当ダリッドの発見と検索を行う場合の概念を示す
図である。 クライアント側のコネクタ一は、 要求を XMLで表現して全てのリー ダグリッド宛にブロードキャスティング (送信) する (ステップ SB— 1) 。 要 求を受け取ったリーダグリッドは、 自分のノードプロファイルと照合して (ステ ップ SB— 2) 、 その要求が自分のメンバーグリッドに無関係かどう力判断し、 無関係であれば何もしない。 一方、 関係する場合は、 自分のデータベースの処理 を行い、 同時に同じ要求を最初のメンバーのデータグリッドにフォワードする
(ステップ SB— 3) 。 要求を受け取ったデータグリッドは、 同様にそのデータ ダリッドの内容に無関係であれば隣接のデータグリッドにフォヮードのみを行い、 保持するデータが処理対象であれば、 その処理を行う。 その結果をクライアント に送信し (ステップ SB— 4) 、 さらに要求を他のデータグリッドにフォワード する。 これをグループ内の全てのデータグリッドが行う。
また、 該当のリーダダリッドは相互に通信を行う力、 リクエスト毎にユニーク な I Dを発行してそれを返信メッセージに組み込むことによって単一の問い合わ せに対する複数の回答の対応関係を維持し、 最終の結果を合成する。 第 1 9図は、 ユニーク I Dとして" Re t u r n Num" を利用した場合を示す。
(4-4) データグリッドの構造
第 20図は、 本発明によるデータグリッドの構造の一例を示す図である。 デー タグリッドは、 ファイアウォールで外部と遮断されたセグメント内に設置する。 また、 ピアー技術で言うところのサーバントとして構成する。 こうすることによ り、 グローバル I Pを持たなくてもリレー経由で通信できるため、 インターネッ トなどから直接の攻撃を受けにくい利点がある。 また、 NATやプロキシ'サー パを利用しているセグメント内にもデータダリッドを設置できるため設置場所に 対する選択肢が広がることも利点である。
(5) 最適化
本システムは、 多くの更新が行われ使レ、続けられてくると、 全体の効率が低下 する場合がある。 そのような場合、 動的な再構成を可能とし常に高い効率とレス ポンスを保てるようにする。
(5-1) データストレージの最適配置
削除などが大量に行われ、 それぞれのデータグリッドが保持するデータ量が少 なくなった場合、 管理者機能を用いて、 複数のデータグリッドの統合、 全体とし ての縮退を行う。 これによりデータスペースの最適化、 検索スピードの改善など を実現する。
(5-2) データストレージの動的再構成
ダリッドグループに属するデータグリッドの数や、 保持するデータサイズなど に大きな偏りが生じた場合は、 管理者機能によって全体の再構成を行い、 平均化 されたサービスが提供できるようにする。
(6) アクセス制御
利用者毎に設定されたアクセス権限に応じてアクセスできるデータを特定し、 利用に制限を加える。 本システムでは、 必要に応じて要素ごとにアクセス権を設 定できる。
(6-1) 冗長配置、 障害回復
データグリッドを多重ィ匕して、 障害に耐障害性を高めることができる。 また、 障害の回復がなされると、 システムのアクセス制限が自動的に解消されアプリケ ーションの処理が継続できる。
(6-2) 同時アクセス制御、 一貫性制御
データダリッド、 リードダリッドは互いに通信しながら一貫性を維持できない 更新や多重更新が発生しないようコントロールする。
(7) データダリッドとユーザ間の認証と暗号化通信
本方式によれば、 全体情報は公開領域には存在しないのでこれまでの機密保護 に比べて比較ならないほど安全である。 だからと言って、 暗号化などのセキユリ ティ手段が不要になるわけではない。 それぞれの特徴を相乗的に生かして複合的 な高度なセキュリティを実現する。 従来の暗号化手段を用いて分割伝送と電子デ 一タの分割保存技術とピアー技術と融合させることによつて実現する。
現在、 認証を含めた機密保護において一番実績があると認められている PKI
6675
26
(公開鍵方式) との融合を行う場合を一例に詳細に説明する。
第 21図は、 本発明によるピア (P e e r) 技術と P K I技術の融合方法の概 念を示す図である。 情報のォゥナ一シップタイプ毎に書き込みと読み出しの両機 能に分けて認証と暗号化、 復号の手順を説明する。
まず、 データの所有者がデータの書き込みを行う (ステップ SC— 1) 。 ここ で、 第 22図は、 本発明によるデータの所有者がデータの書き込みを行う場合の 処理の一例を示すフローチャートである。 第 22図に示すように、 まず、 分解、 合成ルールで部分情報を生成する (ステップ SD— 1) 。 そして、 分割情報をプ ライべ一トキ一で暗号化を行う (ステップ SD— 2) 。 そして、 データグッリ ド とユーザノードは SSLで認証を行う (ステップ SD—3) 。 そして、 データべ ースに PK Iで暗号ィ匕したままデータを保存する (ステップ SD— 4) 。
再び第 21図に戻り、 データの所有者がデータの読み出しを行う (ステップ S C-2) 。 ここで、 第 23図は、 本発明によるデータの所有者がデータの読み出 しを行う場合の処理の一例を示すフローチャートである。 第 23図に示すように、 まず、 データグッリ ドとユーザノ一ドは S S Lで認証を行う (ステップ S E—
1) 。 そして、 データベースから PK Iで暗号化されたデータを読み出す (ステ ップ SE— 2) 。 そして、 分割情報をプライベートキーで複号化する (ステップ SE-3) 。 そして、 分解、 合成ルールを適用して全体情報を復元する (ステツ プ SE— 4) 。
再び第 21図に戻り、 データの利用者がデータの読み出しを行う (ステップ S C一 3) 。 ここで、 第 24図は、 本発明によるデータの利用者がデータの読み出 しを行う場合の処理の一例を示すフローチヤ一トである。 第 24図に示すように、 まず、 データグッリ ドとユーザノードは S S Lで認証を行う (ステップ S F— 1) 。 そして、 データの所有者が利用者を認証後、 所有者はパプリックキーをダ ィレクトに利用者に送る (ステップ SF— 2) 。 そして、 データベースから PK Iで暗号化されたデータを読み出す (ステップ SF— 3) 。 そして、 分割情報を データ所有者のパプリックキーで復号ィ匕する (ステップ SF— 4) 。 そして、 分
解、 合成ルールを適用して全体情報を復元する (ステップ S F—5 ) 。
( 8 ) 管理機能
全体の通信機能とデータベース機能の全般にわたって、 利用状況ゃリソースの 利用情報を収集し、 必要に応じてコントロールする機能を備える。 この実現には サーバを利用する。
また、 全体の口グを収集し障害の発生に備え、 万一の場合は迅速な復旧を実現 する。
( 9 ) 本発明の基本原理のまとめ
本発明において、 データをそのセマンティックスに基づいて分割する。 分割方 法は、 データ要素の組み合わせ (例えば、 機密結合度) によって決める。
また、 本発明において、 送受信は分割したストリームごとに物理的に独立した 手段を利用して行う。 そして、 暗号化アルゴリズムだけに依存しない、 秘匿技術 の組み合わせによる情報の安全な通信と保存技術を提供する。 そのため、 本発明 では、 データの保存は、 分解したストリームごとに物理的に分離、 独立した場所 に行う。 従って、 元のデータ 1に対して分割数だけの保存場所が必要になる。 そ して、'本発明は、 ネット上で複数の保存場所が結ばれるネットワークベースのデ ータ保存を実現する。
各データダリッドは、 ダリッド · コンビユーティングあるいはエッジ . コンビ ユーティング技術を用いて仮想的に統合することができる。
本発明により、 ネットワーク上の通信、 データの保存場所のいずれにも完全な 元データのコピーは存在せず、 人間による作為的な犯罪行為が行われても情報漏 洩の範囲を限定できる。
また、 ストレージのスケールアップは、 小規模なデータストレージ (ノード) から始めることが可能で非常にスケーラビリティがある。
また、 データの保存が 1力所に集中することが無く、 通信も複数の手段を利用 するため、 災害の発生など大規模な障害が発生しても、 その影響が全体に波及す るのを防ぐことができる。
また、 安価な I Pネットワークあるいはインターネットを利用した安全な通信 手段を活用した安全で安価なストレージが提供できる。
また、 分散資源である複数のデータダリッドを同時並行的に動作させることに より、 経済性が高く、 極めて安全性が高い情報の大量保存と利用の機能が実現で さる。
また、 データグリッドは簡単に重複化ができ、 通信路も含めた冗長構成が容易 なため個別の利用ニーズに対-応させるのが容易である。
特に、 政府や自治体など、 機密を要する大規模情報を長期間にわたって保存す る必要があり、 力つ必要な場合は迅速に取り出すような用途に最適である。 同様 に、 金融機関や保険会社などあらゆる企業に恩恵をもたらす。
(セキュア一 ·ネットワーク ·データベース ·システムの概要)
以下、 セキュア一 ·ネットワーク ·データベース .システム (以下、 単に 「本 システム」 と呼ぶ場合がある。 ) の概要について説明し、 その後、 本システムの 構成および処理等について詳細に説明する。 第 2 5図は本システムの全体構成の 一例を示すブロック図であり、 また、 第 2 6図は本システムの概要を示す概念図 であり、 それぞれ該システム構成のうち本発明に関係する部分のみを概念的に示 している。
本システムは、 第 2 5図に示すように、 概略的に、 各情報通信端末 1 0 0、 各 リレー用情報通信端末 1 5 0、 各データグリッド用情報通信端末 1 7 0がネット ワーク 3 0 0を介して通信可能に接続して構成されている。 ここで、 情報通信端 末 1 0 0、 1 5 0および 1 7 0は、 既知のパーソナルコンピュータ、 ワークステ ーシヨン、 家庭用ゲーム装置、 インターネット TV、 P H S端末、 携帯端末、 移 動体通信端末、 P DA等の情報処理端末等の情報処理装置にプリンタゃモニタや イメージスキャナ等の周辺装置を必要に応じて接続し、 該情報処理装置にウェブ 情報のブラウジング機能や電子メール機能や後述する各機能を実現させるソフト ウェア (プログラム、 データ等を含む) を実装することにより実現してもよい。
このシステムは、 概略的に、 以下の基本的特徴を有する。 すなわち、 情報通信 端末 1 0 0から他の情報通信端末 1 0 0に対して、 情報がネットワーク 3 0 0を 介して提供される。
このうち、 情報は、 一例として XM Lにより記述されたものであり、 D T D (文書型定義) にて定義されたタグ等のメタデータを含む。 これらの情報は、 情 報通信端末 1 0 0により生成され、 リレー用情報通信端末 1 5 0を介して、 デー タグリツド用情報通信端末 1 7 0に蓄積される。
本システムは、 第 2 6図に示すように、 送信側の情報通信端末 1 0 0が設定す る分解ルールおょぴ再構成ルールにより、 情報が送信側の情報通信端末 1 0 0に おいて分解され、 リレー用情報通信端末 1 5 0の制御下でデータダリッド用情報 通信端末 1 7 0の管理するデータベースに分割された各情報が別々に格納される。 そして、 受信側の情報通信端末 1 0 0 (ここで、 受信側の情報通信端末 1 0 0は、 送信側の情報通信端末 1 0 0と同一であってもよい。 以下同様である。 ) は、 分 割された各分割情報を各データダリッド用情報通信端末 1 7 0が管理するデータ ベースから読み出して再構成する。 これにより、 既存のシステムやアプリケーシ ヨンに対して影響を与えず、 かつ簡易に導入することができ、 高い安全性を得る ことができるようになる。
以下に、 本システムの情報通信端末 1 0 0における分解ルールおよび再構成ル ールの設定について、 その概念を説明する。
( 1 ) 機密結合度
まず始めに、 「機密結合度」 の概念を導入する。
上述したように、 XMLにより作成される情報は、 D T Dにおいて定義された 要素 (e 1 e rn e n t ) を基本単位とする。 上述したように、 D T Dにおいて、 各要素の名称、 内容、 属性等が定義される。
ここで、 交換情報を構成する要素 ( e l e m e n t ) の組合せにより、 利用者 が期待する機密レベルが異なることが多い。 たとえば、 企業情報のうち、 企業名 や社長名は、 公開されている情報であるため、 その要素を組み合わせた情報は、
機密レベルが低い (単なる公開されている情報の結合に過ぎないため) 。 また、 欠損額等の非公開の要素について、 その情報のみを交換する場合には、 漏洩され ても何処の企業の欠損額であるかは特定できなレ、ため実害は少なレ、。
しかしながら、 非公開の要素と公開された要素とを結合させた場合には、 その 内容が漏洩されると公開情報に基づいて非公開の要素が詳細に特定されてしまう 恐れが強い。
そこで、 本システムでは、 特定の要素の組合せ毎に 「機密結合度」 を定義する ことにより、 要素の結合を機密レベルの観点からチェックする。
すなわち、 本システムは、 D TDにおいて定義された各要素について、 その要 素の名称、 内容、 属性等に基づいて他の要素と組み合わせた場合の機密結合度を 指定する。 「機密結合度」 は、 複数の要素を結合させた場合に、 その要素の組合 せにより情報の機密性が高くなる力否かを示す値であり、 例えば、 機密性が高ま るにつれて高い数値を設定する。 例えば、 各要素の名称、 内容、 属性等をモユタ に表示して、 利用者に表示された要素の組み合わせ毎に機密結合度を指定させて もよく、 また、 情報通信端末 1 0 0が各要素の名称、 内容、 属性等の情報に基づ いて自動的に機密結合度を指定してもよい。
ここで、 情報通信端末 1 0 0が各要素の名称、 内容、 属性等の情報に基づいて 自動的に機密結合度を指定する場合の一例を説明する。 各要素に必須の属性とし て、 要素内容が公開情報か否かに関する情報 (以下 「公開属性」 という) を D T Dにおいて定義する。 そして、 情報通信端末 1 0 0は、 各要素の公開属性を判断 して、 公開情報となる要素と非公開情報となる要素との機密結合度を、 自動的に 高く設定する。
なお、 機密結合度は、 2つの要素の関係に限定されるものではなく、 例えば、 3つ以上の要素が組み合わさって初めて機密性が高くなる場合には、 3つ以上の 要素の組み合わせで機密度を高く設定する。
第 3 0図は、 本システムにおける機密結合度の定義の一例を示す概念図である。 本図において、 オリジナルの XMLの情報 6 0 1は、 要素として企業名と社長
P T/JP2003/006675
名と当季欠損額とを含んでいる。 ここで、 利用者等は、 企業名と社長の名前は公 示されているものであり機密結合度が低いと定義する。 —方、 企業の欠損額は秘 匿性が高いので企業名と企業の欠損額の組合せは機密結合度が高いと定義する。 仮に、 この 3つの要素を、 機密結合度の高 ·低に従って分割する分割ルールを 生成し、 この分割ルールに基づいて、 企業名および社長名の組合せを含む情報 6 0 2と、 欠損額の情報 6 0 3とに 2分割すると、 この両者の機密結合度は低下す る。 つまり、 2つに分割された情報は、 両者の対応関係が明らかにならない限り 機密的な結合が疎であり、 全体として機密結合度が低くなる。
本システムは、 XMLデータの分解 ·再構成の容易性を活かして XMLデータ の機密結合度を下げ、 秘匿性を高めるものである。 ここで、 結合度を下げる目的 で分割した XMLデータを 「疎結合 XMLデータ」 と称する。 また、 結合ルール 6 0 4 (すなわち、 疎結合 XMLと密結合 XMLとの変換ルールであり、 後述す る分解ルールおよび再構成ルールとなるものである) を、 リポジットリや D T D
して相互に交換することにより、 当事者同士は情 報を再構成し確認することができる。
( 2 ) 疎結合 XMLデータのマルチルーティング
上述したように、 機密結合度が下げられて生成された複数の疎結合 XMLデー タは、 それぞれを別の通信路を用いて情報の交換を行うことにより、 両者の対応 関係を隠蔽し、 機密の保護をより完全にすることができる。 このように、 本シス テムでは、 生成した疎結合 XMLデータを、 別の通信路を用いてマルチルーティ ングすることにより、 セキュリティを高めている。 ここで、 ルーティング数は可 変とする。
第 3 1図は、 本発明の疎結合 XMLデータのマルチルーティングの概要を示す 概念図である。
本図に示すように、 ォリジナルの XM Lデータは、 D T Dと、 利用者等に指定 された機密結合度とから生成されたルールに従って (ステップ S 7 0 1 ) 、 複数 の疎結合 XMLに分解され (ステップ S 7 0 3 ) 、 複数の伝送経路を経てデータ
T JP20 3/006675
32 グリッドに送信され、 また、 受信側は同様に複数の伝送経路を経て各疎結合 XM Lを読み出す (ステップ S 7 0 4 ) 。
受信側は、 複数の伝送經路から受け取った疎結合 XMLデータを、 別途送られ てきているルールに基いて (ステップ S 7 0 2 ) 、 再構成し、 オリジナル XML と同一の XMLデータを得る (ステップ S 7 0 5 ) 。
( 3 ) 要素名の別名化
XMLは、 上述したように高度な構造表現と明快な内容表現力を備えている。 そのように優れた性質をもつ XMLではあるが、 逆に漏洩した場合は、 その情報 内容の解析が他の表現手段よりずっと容易となる。 特に、 要素名は、 運用上その 要素の内容を直接的に示す場合が多いため、 その要素名から要素内容を容易に推 測することができる。
従って、 本システムでは、 要素名の別名化を行う。 この別名化の機能は、 オリ ジナルの XMLから別の名称と構造を持つ XMLを生成するものである。 この機 能によりオリジナル情報の推定を困難にする。
第 3 2図は、 本発明の要素名の別名化の概要を示す概念図である。
上述したように、 密結合 XMLデータから、 疎結合 XMLデータ (8 0 1およ び 8 0 2 ) と、 結合ルール 8 0 3とが生成されると、 要素名について別名化を行 う。 「別名化」 とは、 ネーミングルールに基づいて、 要素名を対応する別名に置 換するこという。
例えば、 本図に示すように、 「企業名」 を 「AAA」 に、 「社長名」 を 「B B B」 に、 また、 「当季欠損額」 を 「XY Z」 に置換する対応表に基づいたネーミ ングルールを設定し、 別名化した XML (以下 「別名 XML」 と称する) 8 0 4 および 8 0 5を作成し、 結合ルールとネーミングルールとを一組の情報 8 0 6に して管理する。
ここで、 ネーミングルールは、 上述した対応表を用いた変換によるものでもよ く、 また、 ハッシュ関数等の数学的アルゴリズムを用いた変換によるものでもよ い。
(システム構成)
以下、 このような基本的特徴を具現化するための、 本システムの構成について 説明する。
(システム構成一情報通信端末 1 0 0、 1 5 0、 1 7 0 )
まず、 情報通信端末 1 0 0の構成について説明する。 なお、 リレー用情報通信 端末 1 5 0とデータダリッド用情報通信端末 1 7 0は相互に同一に構成すること ができるので、 ここでは情報通信端末 1 0 0について説明する。 第 2 7図は、 本 発明が適用される情報通信端末 1 0 0の構成の一例を示すプロック図であり、 該 構成のうち本発明に関係する部分のみを概念的に示している。 第 2 7図において 情報通信端末 1 0 0は、 概略的に、 情報通信端末 1 0 0の全体を統括的に制御す る C P U等の制御部 1 0 2、 通信回線等に接続されるルータ等の通信装置 (図示 せず) に接続される通信制御インタフェース部 1 0 4、 入出力装置 (図示せず) に接続される入出力制御インタフェース部 1 0 8、 および、 各種のデータを格納 する記憶部 1 0 6を備えて構成されており、 これら各部は任意の通信路を介して 通信可能に接続されている。 さらに、 この情報通信端末 1 0 0は、 ルータ等の通 信装置および専用線等の有線または無線の通信回線を介して、 ネットワーク 3 0 0に通信可能に接続されている。
記憶部 1 0 6は、 固定ディスク装置等のストレージ手段であり、 各種処理ゃゥ エブサイト提供に用レヽる各種のプログラムゃテーブルやフアイルゃデ一タベース やウェブページ用ファイル等を格納する。 情報通信端末 1 0 0の記憶部 1 0 6に は、 例えば、 D T Dや XMLデータやスキーマのリポジットリ、 結合ルールゃネ 一ミングルール等の各種のルール情報等が格納される。
また、 第 2 7図において、 通信制御ィンタフェース部 1 0 4は、 情報通信端末 1 0 0とネットワーク 3 0 0 (またはルータ等の通信装置) との間における通信 制御を行う。 すなわち、 通信制御インタフェース部 1 0 4は、 他の端未と通信回 線を介してデータを通信する機能を有する。
また、 第 2 7図において、 入出力制御インタフェース部 1 0 8は、 入力装置や
出力装置の制御を行う。 ここで、 出力装置としては、 モニタ (家庭用テレビを含 む) の他、 スピーカを用いることができる (なお、 以下においては出力装置をモ ユタとして記载する) 。 また、 入力装置としては、 キーボード、 マウス、 および、 マイク等を用いることができる。 また、 モニタも、 マウスと協働してポインティ ングデバイス機能を実現する。
また、 第 27図において、 制御部 1 0 2は、 OS (Op e r a t i n g S y s t em) 等の制御プログラム、 各種の処理手順等を規定したプログラム、 およ ぴ所要データを格納するための内部メモリを有し、 これらのプログラム等により、 種々の処理を実行するための情報処理を行う。
(システム構成一情報通信端末 1 00のソフトウェア構成)
次に、 このように構成された情報通信端末 1 00のソフトウェア構成について、 第 28図を参照して説明する。 第 28図は、 本発明が適用される情報通信端末 1 00の 1 02において実行されるソフトウエア構成の一例を示すブロック図であ り、 該構成のうち本発明に関係する部分のみを概念的に示している。 第 28図に おいて情報通信端末 1 00の制御部 1 02は、 は、 概略的に、 設定モジュール 1 02 aと、 実行モジュール 1 02 bと、 XMLミドルウェア 1 02 cとを含んで 構成される。
第 28図において、 設定モジュール 1 02 aは、 上述した結合ルールやネーミ ングルール等のルールを設定する機能を有し、 以下に説明する、 DTDリポジッ トリと、 ルールビルダと、 ルール設定処理部とを含んで構成される。
(1) DTDリポジットリ
DTDリポジットリは、 XMLデータのメタデータの記憶手段である。 ここで、 複数の XM Lビジネスデータを扱う利用環境を想定すると、 DTDをまとめて体 系的に管理 ·利用を行う仕組みが必要となる。 DTDリポジットリは、 大量の D T Dをネットワーク上で共同利用するための道具であり、 DTDやスキーマ等を 管理する。 DTDリポジットリは、 一般に、 情報入出力インタフェース機能、 記 憶領域の管理機能を備えるソフトウェアにより構成される。
( 2 ) /レールビルダ
上述したように、 データの利用者は、 データ内容や機密のレベルを定め、 それ を機密結合度として指定する。 ルールビルダは、 利用者の指定内容と D T Dとを 参照しながら結合ルールやネーミングルール等の各種のルールを自動的に生成す る。
( 3 ) ルール設定処理部
ルール設定処理部は、 モニタにルールの設定画面 (例えば、 各要素の名称、 内 容、 属性等の表示領域と、 各要素の機密結合度の入力領域とを含む画面) を表示 して、 利用者が各種のルールを入力装置を介して設定するための処理を行う。 また、 第 2 8図において実行モジュール 1 0 2 bは、 XMLミドルウェア 1 0 2 cから受信した情報を、 .設定モジュール 1 0 2 aにより設定された各種のルー ルに従って、 処理を実行する機能を有し、 以下に説明する、 バーサと、 デバイダ と、 I Pァロケータと、 I P/ポートマネジャーと、 サーバと、 コンストラクタ と、 入出力コネクタとを含んで構成される。
( 1 ) バーサ
パーサは、 W 3 Cの XML規格に準拠した構文解析を行い、 トークンを作成し て、 デバイダに引き渡す機能を有する。 すなわち、 バーサは、 テキストを解釈し、 その論理的意味を判断し、 その意味を表すプログラミングデータ構造を作成する ソフトウェアプログラムである。 なお、 本システムは、 ツリーベースのバーサで あっても、 イベントベースのバーサであってもよい。
また、 受信時には、 別名化された要素名をネーミングルールに基づいて元の要 素名に変換する機能を有する。
( 2 ) デバイダ
デバイダは、 設定モジュールが生成したルールに従って、 XMLデータの分割 を行う機能を有する。 また、 送信時には、 要素名の別名化を行う機能を有する。
( 3 ) I Pァロケータ
I Pァロケータは、 分割数に応じた I Pの割当や、 開放を行う機能を有する。
( 4 ) I P Zポートマネジャー
I P/ポートマネジャーは、 I Pやポートを複数利用する際には資源を動的に 割り当てることが必要となるため、 これらの資源の監視と管理を行う機能を有す る。
( 5 ) サーバ
サーバは、 W e b、 F t p , s m t pなどのサービスするプロトコルに対応す るサーノく機能を有する。
( 6 ) コンストラクタ
コンストラクタは、 バーサが生成したトークンを受け取り、 再構成ルールに従 つて XMLデータを再構成する機能を有する。
( 7 ) 入出力コネクタ
入出力コネクタは、 実行モジュールの外側にあるアプリケ一ションシステムと のコミュニケーションを行う機能を有する。
第 2 8図において、 XMLミドルウェア 1 0 2 cは、 XMLデータを処理する ミドルウェアであり、 利用者が実行するアプリケーションプログラムから、 交換 情報となる XMLデータを実行モジュール 1 0 2 bに渡す機能を有する。 また、 実行モジュール 1 0 2 bにおいて他の情報通信端末 1 0 0から受信した XMLデ ータをアプリケーションプログラムに渡す機能を有する。
(情報通信端末 1 0 0における情報の流れ)
このように構成された情報通信端末 1 0 0における情報の流れを第 2 9図、 第 3 3図および第 3 4図を用いて説明する。
第 2 9図は、 情報通信端末 1 0 0における情報の流れの概要を説明する概念図 である。 以下に、 送信側の情報通信端末 1 0 0の情報の流れと、 受信側の情報通 信端末 1 0 0の情報の流れに分けて説明する。
( 1 ) 送信側の情報通信端末 1 0 0
まず、 前提として、 設定モジュール 1 0 2 aにおいて、 疎結合 XMLの生成に 用いる各種のルールを生成する。 ここで、 第 3 4図は、 設定モジュール 1 0 2 a
における疎結合 XMLの生成に用いる各種ルールの生成の概要を示す概念図であ る。
例えば、 企業情報に関する XML文書を処理する場合を一例に説明すると、 ル ール設定処理部は、 D T Dリポジットリから企業情報用の D T Dを参照して、 ル ール設定画面等を作成し、 データ所有者による各要素の機密結合度の指定を行わ せる。 ルールビノレダは、 データ所有者が行った指定内容に基づいて、 結合ルール およびネーミングルール ( 1 0 0 1および 1 0 0 2 ) を自動生成する。 なお、 作 成した各種のルールは、 受信側の情報通信端末 1 0 0に対して送信される。
ついで、 第 2 9図に示すように、 ユーザアプリケーションで作成されたオリジ ナル XMLデータは、 XMLミドルウェア 1 0 2 cを介して、 実行モジュール 1 0 2 bの入出力コネクタに送信される (ステップ S 5 0 1 ) 。
入出力コネクタは、 オリジナル XMLデータを、 パーザに送信する (ステップ S 5 0 2 ) 。
ついで、 パーサは、 オリジナル XMLデータの構文解析を行い、 トークンを生 成して、 デバイダに送信する (ステップ S 5 0 3 ) 。
ついで、 デバイダは、 設定モジュール 1 0 2 aが生成したルールに従って、 X MLデータの分割を行い、 また上述したように要素名の別名化を行い、 疎結合 X MLデータを作成する。
ここで、 第 3 3図は、 デバイダにより実行される要素名の別名化、 および、 疎 結合 XMLデータの作成の一例を示す概念図である。 本事例は、 オリジナル XM L 9 0 1に対して疎結合化を行い、 2つの XMLデータ 9 0 2および 9 0 3を生 成する。 同時にネーミングルールに従って別の要素名を設定している。 第三者が、 このような疎結合 XMLからオリジナル XMLを作り出すことは極めて難しい。 再び第 2 9図に戻り、 デバイダは、 I Pァロケータの制御に基づいて I Pの割 り当てを行い、 また、 I P/ポートマネジャーの制御により資源、の割り当てを行 う。 そして、 上述したマルチルーティングを実行するために、 複数の I Pァロケ 一タに疎結合 XMLデータを送信する (ステップ S 5 0 4 ) 。
ついで、 各 I Pァロケータはサーバに対して別の通信路を用いて受信側の情報 通信端末 1 0 0に対して疎結合 XMLデータを送信するように依頼する (ステッ プ S 5 0 5 ) 。
サーバは、 各通信路を用いて、 各疎結合 XM Lデータをデータグリッド用情報 通信装置に対して送信する (ステップ S 5 0 6 ) 。
( 2 ) 受信側の情報通信端末 1 0 0
- サーバは、 ネットワーク 3 0 0を介してデータダリッド用情報通信装置から各 疎結合 XMLを受信すると (ステップ S 5 0 7 ) 、 疎結合 XM Lをバーサに対し て送信する (ステップ S 5 0 8 ) 。
ついで、 パーサは、 送信側の情報通信端末 1 0 0から受信した D T Dファイル や、 各種のルールに基づいて、 別名化された要素名の復元したのち、 疎結合 XM Lの構文解析を行い、 トークンを生成してコンストラクタに送信する (ステップ S 5 0 9 ) 。
ついで、 コンストラクタは、 結合ルールに基づいて、 疎結合 XMLからオリジ ナル XMLを再構成して、 入出力コネクタに送信する (ステップ S 5 1 0 ) 。 ついで、 入出力コネクタは、 再構成した XM Lデータを、 XMLミ ドルウェア 1 0 2 cに送信すると、 XM Lミドルウェア 1 0 2 cは、 ユーザアプリケーショ ンに XM Lデータを送信する (ステップ S 5 1 1 ) 。
(システム構成ーネットワーク 3 0 0 )
次に、 第 2 5図のネットワーク 3 0 0の構成について説明する。 ネットワーク 3 0 0は、 情報通信端末 1 0 0を相互に接続する機能を有し、 例えば、 インター ネット等である。
(再結合情報を用レ、る実施形態)
ィンターネットを利用してカード決済ゃィンターネットディビッ 1、決済をしよ うとすると、 カード番号や口座番号やパスワードや取引金額を画面から入力しな ければならない。 その際、 多くの人はインターネット上に秘密情報が流れること について不安を感じる。 オープンな環境であり、 かつ目的や内容や質の異なる雑
多な情報に満ちているインターネット上で、 このような秘匿性の高い情報を扱う には、 こうした利用者側の不安を取り除き、 安心して電子商取引などが行える環 境を整備しなければならない。
現在、 インターネット上で最も普及している S S L ( S e c u r e S o c k e t L a y e r ) などの一般的な暗号化の手法は、 クラッカーにより万が一喑 号ィ匕が破られると、 I Dやパスワードなどの全ての機密情報がクラッカーに開示 される結果になる。
そこで、 そうした機密度の高い情報を本発明の機密結合度に従って分割し伝送 することによって、 何れかの部分情報が開示されても、 他の口座情報などの情報 が完全に再現されるのを阻止し、 第三者の不正な侵入や決済の実行を未然に防ぐ ことが極めて重要である。
ここで、 XMLデータ等で記載されたビジネストランザクションなどの情報は. 多数の要素を持ち、 また、 構造も複雑なため、 複数に分割された疎結合情報を受 信側で再結合する際には、 相互の対応付けのための情報 (再結合情報) が存在す るのが一般的である。
例えば、 受発注データなどであれば、 再結合情報として、 企業コードなどの共 通的な情報を用いることができる。
一方、 I Dやパスワードなどを送受信するための情報は、 一般的に、 要素数が 2つまたは 3つであり、 構造も極めて単純なため、 再結合に当たっては、 そのま ま分割して複数の経路から送っても、 到着順に結合すると、 元の情報を容易に推 定することができ、 受信側における安全な再結合が期待できない。
そこで、 本実施形態においては、 オリジナルの XMLデータに、 受信側の情報 通信端末 1 0 0における再結合の際に使用する共通要素または属性を再結合情報 として送信側の情報通信端末 1 0 0で生成し、 その再結合情報を原 XMLデータ に付カロすることにより、 各疎結合 XM Lデータの対応関係を維持する。
ここで、 第 3 5図は、 再結合情報を用いて情報の分解および再構成を行う場合 の一例を示す概念図である。 図中で、 白の四角形で表示されているのが情報通信
端末間で送受信される情報 (オリジナル XML) に付加された再結合情報である。 再結合情報は、 元の情報であるオリジナル X M Lデータには存在しなレ、情報であ り、 受信側で複数の疎結合 XM L力 らオリジナル XM Lを再構成する際に正しい 組み合せの相手を見つけるために、 送信側で作成されてオリジナル X MLに付カロ さ る。
ここで、 再結合情報は、 できるだけ元の情報の推定を困難にするために、 乱数 など利用することが好ましい。
以下に、 再結合情報を用いて情報の分解および再構成を行う場合の一例を、 第 3 6図〜第 4 3図を参照して、 詳細に説明する。 本実施形態においては、 オリジ ナル XM L情報としてカードデータを使用する場合を一例を示す。
( 1 ) オリジナル XML情報 (カード情報)
第 3 6図は、 カード情報を格納したオリジナル XM L情報の一例を示す図であ る。 本図に示すように、 オリジナル XM L情報は、 カード番号、 パスワードおよ び有効期限の各要素から構成されている。
( 2 ) 分解/再構成ルール
第 3 7図は、 本実施形態における分解 Z再構成ルールの一例を示す図である。 本図において、 @ r a n d o mは、 乱数発生関数であり、 @ t i m e d a yは、 現在時間を取得する関数である。 本実施形態における分解/再構成ルールは、 こ の 2つの関数によって、 現在時間をシーズとするユニークな乱数を発生し、 その 値を変数 @ n u mに格納する。
本図において、 再構成の際の、 疎結合 XM Lデータの再結合の指示は、
によって規定している。
すなわち、 本図においては、 3つの要素が再結合の媒介キー (再結合情報) で あることを示しており、 具体的には、 疎結合 XMLく a b c〉においては、 要素
く 2 2 2〉が媒介キー (再結合情報) であり、 また、 次の疎結合 XMLく x y z 〉においては、 要素く h e d〉が媒介キー (再結合情報) であり、 さらに、 次の 疎結合 XMLく m i χ >においては、 要素く i f s >が媒介キー (再結合情報) であることを示している。
なお、 第 3 7図において、 下線が付した語は、 予約語であり、 その意味と記法 を本システム内で予め定めておく。
また、 第 3 7図において、 関数 (@のついた語) の実行や代入は、 送信側の情 報通信端末 1 0 0で実行され、 その値を確定する。 そして、 確定した値をオリジ ナル XMLデータに埋め込んだ後、 上述した分割方法を用いて疎結合 XMLデー タに分割して、 該疎結合 XMLデータを受信側に対して送信する。 なお、 受信側 の情報通信端末 1 0 0では、 この分解/再構成ルールを、 結合を媒介するキーの 要素である再結合情報が何れであるかを知るために参照するため、 および、 別名 化された要素名の逆変換のために利用し、 関数等の実行は行わない。
( 3 ) 疎結合 XMLデータ
第 3 8図は、 本実施の形態の分解/再構成ルールに従って分解された疎結合 X MLデータの一例を示す図である。 本図においては、 媒介キー (再結合情報) を、 「g j 5 6 a 0 2 j」 とする場合に生成される疎結合 XMLデータを示す。
また、 受信側の情報通信端末 1 0 0では、 この 3つの疎結合 XMLを元に、 分 解/再構成ルールの b i n d i n gで示された媒介キー (再結合情報) によって XMLデータの再構成を行う。
( 4 ) 受信側におけるオリジナル XM Lデータの再構成
受信側の情報通信端末 1 0 0では、 同時に複数の疎結合 XMLデータを受け付 けなければならない。 また、 疎結合 XMLデータは、 非同期的に送られてくるの で、 複数の疎結合 XMLデータを受信側の情報通信端末 1 0 0のメモリ上にブー ルして再構成を行う。
ここで、 第 3 9図は、 本実施の形態において受信側の情報通信端末 1 0 0のメ モリ上にプールされる情報の一例を示す図である。 本図に示すように、 再構成用
のパファープールにプールされる情報としては、 オリジナル XML情報に b i n d i n g要素を付 した情報とする。
この領域を利用し、 以下の手順で再構成を行う。
まず、 第 4 0図は、 本実施の形態において初期状態のバファープールに格納さ れる情報の一例を示す図である。 第 4 0図に示すように、 初期状態におけるパフ ァープールは、 全ての要素が空値を持つ XMLデータである。
ついで、 疎結合 XMLデータを受信した場合には、 受信した疎結合 XMLデー タ中の b i n d i n gキーと同一の値を持つ b i n d i n g要素をバファーブ一 ノレ中の XMLデータから探し、 見つかれば、 疎結合 XMLデータをプール中の該 当する要素の値としてセットする。
例えば、 第 4 1図に示すカード番号の疎結合 XMLデータを受信した場合には、 第 4 2図に示すように、 バファープール中の該当するカード番号要素に、 カード 番号 「1 2 3 4 6 7 8 9 7 9 9」 がセットされる。
このような再構成を残りの 2つの疎結合 XM Lデータに対しても同様に行う。 ここで、 第 4 3図は、 全ての疎結合 XMLデータを受信し、 バファープール上 の各要素にデータをセットした結果を示す図である。
そして、 最終的に、 媒介キー (再結合情報) を除いた m y— c a r d要素だけ を取り出し、 完全なカード情報であるオリジナル XMLデータを再現する。
ここで、 システムにおいて、 時間を監視して一定時間を過ぎてもカード情報の 3つの要素が完結しない場合は、 不足部分の疎結合データの再送や再入力を促し てもよい。
また、 本実施の形態で示した例では、 説明の便宜ため、 ソース形式の XMLデ ータで説明したが、 全ての操作は XMLオブジェクト (D OM) に対して行って もよい。
( 5 ) アクセス制御
アクセス制御は、 ユーザに選択的にデータエレメントに対する参照や更新を制 限するもので、 ユーザに対してデータ利用の制限機能を実現する。 これにより、
ユーザ毎に設定された権限に基づいたデータへのアクセス制御の実現が必要にな る。
一般的なアクセスコントロールの実現方法は、 送信側でユーザごとのアクセス 権を設定したアクセス管理情報を G U Iツールなどを用意してそれを用いて作成 する。 アクセスの実行時には、 作成された表を参照しながらアクセスを許したり、 拒絶したりする。
第 4 4図は、 本発明のアクセス制御に用いるアクセス管理情報を示す概念図で ある。 第 4 4図に示すように、 アクセス管理情報は、 ユーザ I D、 アクセス許可 要素、 ユーザの権限などを含んで構成されている。
ここで、 第 4 5図を用いて、 第 4 4図に示すアクセス管理情報のアクセス許可 要素の概念について説明する。
第 4 5図に示す例においては、 2つの情報 (データ Aおよびデータ B) が存在 し、 データ Aは、 5つの要素 (a l〜a 5 ) から構成されており、 また、 データ Bは、 4つの要素 (b l〜b 4 ) 力 ら構成されている。
第 4 4図に示すアクセス管理情報のアクセス許可要素では、 ユーザ Xには a 1、 a 4、 b l、 b 4の 4つの要素へのアクセスが許可されており、 また、 ユーザ Y には a 5、 b 2、 b 3の 3つの要素へのアクセスが許可されているので、 第 4 5 図では、 ユーザ X、 Yについて、 対応するアクセス可能な要素がそれぞれ概念的 に示されている。
次に、 第 4 6図を用いて、 第 4 4図に示すアクセス管理情報のユーザの権限の 概念について説明する。
第 4 6図は、 本システムにおけるアクセス管理情報のユーザの権限の設定の一 例として、 管理者権限を持つユーザ (ユーザ A) と利用者権限を持つユーザ (ュ 一ザ B〜ユーザ D) の双方の関係を表すものである。
管理者権限を持つユーザ (あるいはデータの所有者権限をもつユーザ) が、 セ キユリティ一要件とストレージへの配置要件などを勘案して設定した再構成ルー ルをデータの利用者権限を持つユーザに配布する。 利用者権限を持つユーザのァ
クセス要求は、 配布済みの再構成ルールを通じて処理され、 許可された場合のみ データの実体にアクセスすることができる。
管理者と利用者の権限は以下の通りである。
( a ) 管理者権限
管理対象データの全体構造を把握でき、 全てのデータにアクセスできる。 また、 分解ノレールと再構成ルールを設定できる。 また、 アクセスコントロールを意図し た再構成ルールをユーザ毎に設定できる。 また、 設定した再構成ルールを該当の ユーザに配布できる。 また、 データ要素毎に、 参照、 更新、 削除権限をユーザに 与えたり変更したりできる。
( b ) 利用者権限
与えられた再構成ルールを通じて、 許されたデータのみにアクセスできる。 ァ クセス可能な範囲のデータの構造を組み替えることができる (仮想データ構造) 。 次に、 第 4 7図は、 論理的なクライアントとデータグリッド間の情報の流れを 示す概念図である。 第 4 7図に示すように、 データの管理者あるいはデータの所 有者が全体 (完全) データを作成し、 それを予め設定しておいた分解ルールを適 用して複数の部分データに分解する。 それを伝送し、 複数のストレージであるデ 一タグリッドに格納する。 逆にデータの利用では、 ストレージからデータが送り 出されて、 再構成を経て、 完全データが利用者側で再現される。
この論理的な情報の流れは、 現実には第 4 8図に示す物理的な情報の流れによ つて構成される。 データが複数のストレージに格納されるまでは、 前記と同一の ため省略する。
第 4 8図に示すように、 まず、 データの利用者 (クライアント) は、 自分のリ クエストを再構成ルール処理に送る。 構成ルール中にはデータの再構成の方法を 記述する以外に、 この再構成ルールを通してアクセス可能な全てのデータ要素名 が参照情報として含まれている (ステップ H— 1 )。
次に、 部分データに対するアクセス要求が各データダリッドにおくられ (ステ ップ S H— 2 ) 、 該当する部分データが複数のデータグリッドより送り出されて、
再構成ルール処理に返ってくる (ステップ S H— 3 ) 。
その後、 完全データが再現されユーザに戻される (ステップ S H— 4 ) 。
つまり、 データダリッドに対して具体的にアクセスを要求するのはステップ S
H— 1の再構成ルールの内容を通じてであり、 逆にここに存在しない要素は絶対 にアクセスできない。 さらに、 再構成ルールに含まれない要素に関しては、 ユー ザはその存在すら知ることができない。
第 4 9図は、 分解と再合成において完全に双方が対称となる生成を行つた場合 で、 全データ要素にアクセスでき、 かつ再構成できる場合 (完全対象十全データ アクセス権設定) の概念を示す図である。 この分解ルールと再構成ルールでは、 アクセスコントロールが設定されていないに等しく、 無制限に全要素にアクセス できる状態を作り出す。
次に、 第 5 0図は、 先にあげたアクセス管理情報を再構成ルールの生成時に参 照して、 再構成ルールの生成時に参照に制約を加えた再構成ルールを作りだす場 合 (アクセス制限付き再構成ルール設定) の概念を示す図である。 この原理とし ては、 アクセス管理情報の内容にそって再構成ルール中に出現する要素参照を制 限することによって実現する。 このようにアクセス管理情報を再構成ルールに反 映させることによって、 再構成ルール中からアクセスを許さない要素に対する参 照を除外できる。 その結果として、 再構成ルールを仲介とする強固なアクセスコ ントロール機能を実現する。
ここで、 再構成ルールは、 現実のデータに対する動的なアクセスパスを生成す るメタ情報の集合であり、 ここに含まれないデータ要素にはアクセスパスを作る ことができない。 そのため、 これまでに実現できなかった非常に強固なアクセス コント口ール機能を実現できる。
第 5 1図は、 アクセス制限付き再構成ルール設定の具体的な例を示す図である。 本図では、 データの全体構造 (管理者権限) 、 ユーザ 1、 ユーザ 2、 ユーザ 3が それぞれ第 5 1図に示すアクセス権を持つ場合において、 再構成ルール中で表現 されるアクセスコントロールの状態を表している。
具体的にはアクセス不可となる要素はユーザ 1、 2、 3の再構成ルール中から 除かれ、 アクセス可能な要素を含むルールのみから構成される。 中央は、 データ グリッドで実現されるデータグリッド用情報端末装置内のストレージであり、 そ こに F i l e Aと F i l e Bが格納された状態であることを示す。
(本発明の利点および応用例など)
数年前まで大切なデータは MTか C D以外では絶対に運ばないといつていた企 業が沢山あった。 しかし今日では、 リアルタイムタイムで伝送するのが当たり前 になっている。 絶対的な安全性には大きな意味がある。 し力 し、 一方でビジネス のスピードアップやコストセービングは火急の課題である。 その両方を満たす新 たなソリユーションが待たれている。
本発明により実現されるセキュア一 ·ネットワーク ·データベース .システム (情報交換方法) は、 データセマンティックに基づいた暗号ィヒ技術を軸に安全な 伝送方式と、 グリツド ·データストレージ技術を組み合わせることにより実現さ れ、 機密性の高い情報共有とストレージシステムとして利用することができる。 つまり、 セキュア一 ·ネットワーク ·データベース · システム (情報交換方 法) では、 これまでのように喑号ィ匕アルゴリズムの強度を上げて情報の安全性を 高めるだけの手段に頼らず、 情報をその意味に基づいて分割し、 分割したまま伝 送と保存を行う方式と、 従来のセキュリティ手段とを組み合わせることにより、 複合的なセキュリティソリユーションをデータ伝送とストレージの両方に提供す る。
これまでのセキュリティは、 暗号化技術に全てをゆだね A 1 1 o r N o t h i n gの単純で、 力ずくの方法であった。 これは、 暗号化と復号化技術の終わ りの無いパトルの道でしかない。 すなわち、 これまでのセキュリティシステムは、 破られると、 全情報が流出し、 また、 一ケ所の障害が即全体障害になる可能性を 有するものであった。
それに対して、 セキュア一 ·ネットワーク ·データベース .システム (情報交
換方法) のセキュリティは、 ユーザ自身が把握している自分の情報の内容や構造 などを元に、 ユーザ自身が最適と思えるセキュリティ環境を作り出す。 本発明に よる情報の疎結合情報への分解と再構成を 「スキユング (s k i m i n g ) J と 呼ぶこととする。
すなわち、 本発明のスキエングは、 各情報には意味があり、 分解と組み合わせ でその意味が変わる事を利用している。 例えば、 機密度の低い要素であるく企業 名 >と <住所 >のに分割する場合には、 軽いセキュリティで良く、 そのままイン ターネット上に置けたが、 機密度の高い <営業情報 >などの要素では、 堅固なセ キユリティが必要となり、 社内のイントラネットに置くことが必要であった。 本発明のセキュア一 ·ネットワーク ·データベース ·システム (情報交換方 法) では、 実際のスキユングの定義は、 ユーザが情報の意味 (機密結合度) を勘 案しながら画面上でドッラグなどの簡単な操作で行うことができる。 各スキン
(疎結合情報) は、 独立した伝送路を用いて別個に送られ、 また独立したストレ ージに格納される。 これによつて、 次の原理でセキュリティが確保される。 スキンの所在は非公開であるため、 関係するスキンの全てを第三者 (アクセス 権限のない者) が同時に入手するのは非常に困難となるまた、 分解ルール (再構 成ルール) も非公開であるため、 各ルールが解らなければスキンを入手しても原 情報を合成 '復元できない。
本セキュア一 ·ネットワーク ·データベース ·システム (情報交換方法) を実 現するユーザアプリケーションは、 特別な意識は不要で、 既存のアプリケーショ ンの変更の必要も無い。 また、 イントラネットワーク、 ェクストラネットワーク のいずれでもよく、 インターネットでもかまわない。
各スキンは、 データダリッド用情報端末装置上の複数のストレージに格納され る。 また、 ユーザは、 各スキンに対して、 必要レベルの構成要素を選択的に組み 合わせて利用できる。 また、 I P— V P Nやインターネット V P Nも必要に応じ て利用することが可能である。
このようにセキュア一 ·ネットワーク ·データベース ·システム (情報交換方
2003/006675
48 法) では、 スキニングという全く新しいセキュリティ方式を利用するが、 通常各 スキンには、 軽い暗号ィ匕 (例えば、 上述した本発明のネーミングルールによる暗 号化や、 再結合情報などによるパスヮード管理など) を施し、 ユーザの手元以外 では復号されない。 これによつて喑号ィ匕とスキンユングと言う 2段階のセキュリ ティが施され、 それに加えてスキンの数に応じた合成的なセキュリティが付加さ れ、 強固なトータルセキュリティが確保できる。
このように、 2段階の別種のセキュリティが設定できることにより、 複数の伝 送路、 保管場所から同時に情報を奪うのは至難となり、 それらから全体情報を復 元するのはさらに困難となる。 従って、 ディスクやバックアップの持ち出しなど でも全体情報は流出しないことになり、 また、 一部の障害が全体障害に至らない。 これまで企業や公官庁などの組織では、 セキュリティを確保するために様々な 投資を行ってきているが、 それは、 今後も増大化することはあっても決して減る ことはない。 従来使用されている暗号ィ匕の技術は、 情報の全体に一様に施すもの で、 A 1 1 o r N o t h i n gの世界だと述べたが、 実は、 この考え方は暗 号化だけでなく、 セキュリティ全般でも同じある。 すなわち、 これまでのセキュ リティ投資においては、 セキュリティに対する要件は様々でそのレベルも多様で あり、 完全な安全性を目指して、 いかなるピークも力パーできるような投資を行 つたり (レベル A) 、 ある程度のリスクをとつて、 リーズナブルと思える投資に 抑えたり (レベル B ) している。
すなわち、 レベル Aとレベル; Bの何れであっても、 A l l o r N o t h i n gに近く、 個々の情報が必要としているセキュリティを満たすと言うより、 全 体に一様な投資を行っている。 これは、 これまでは情報を大きな塊として扱い、 その構成要素つまりスキンにまで立ち入る考え方がなかったからである。 これは、 明らかに不要な投資を招いている。
これに対して、 本発明によるセキュア一 ·ネットワーク ·データベース · シス テム (情報交換方法) のセキュリティ投資では、 データグリッドは、 通信から データベースなどを含む情報の経路の全体を通して設定されたセキュリティレべ
ル 維持されており、 それぞれのスキンは、 必要とするセキュリティレベルでま とめて、 データグリッドに格納されているため、 セキュリティ ·コストは、 選択 的に発生し、 最適化と最小化が実現されることになる。
このように、 セキュア一 ·ネットワーク《データベース *システム (情報交換 方法) は高度なセキュリティを提供するだけでなく、 広範な経費の節減を実現す る革命的なソリューションである。 つまり、 これまでのセキュリティ投資と比較 して、 セキュア一 ·ネットワーク ·データベース ·システム (情報交換方法) の セキュリティ投資は、 部分データごとに末端から末端まで、 統一したセキユリテ ィレベルのセキュリティに関するトンネルを作り、 部分データごとに最適なトン ネルを選んで利用することによって、 全体のセキュリティコスト最小を図ること ができる。
また、 セキュア一 ·ネットワーク ·データベース ·システム (情報交換方法) は、 ピアー技術とグリッドコンピューティング技術を分割伝送と非集中ストレー ジの実現に活用しているため、 汎用製品を用いながら高度な安全性が確保できる。 また、 迅速な R O Iや飛躍的な T C Oの低減を実現する。 さらに、 ストレージと 伝送において複数の機器や回線がパラレルに動作するため、 比較的低速な機器や 回線でも高品質のサービスが提供できる。 また、 複数のストレージの冗長構成や 分散配置などにより、 広域的な災害やテロの発生に対しても高い耐性を持ち、 企 業のビジネスの継続性を支援する。
次に、 セキュア一 ·ネットワーク ·データベース ·システム (情報交換方法) の別の機能的特徴を以下に示す。 これまでのストレージの増強は、 万一、 容量が 不足する事態を考慮し、 将来のデータ量の増大を見越して一定期間絶対に満杯に なることがないよう、 余裕を設けた設備を行ってきた。 しかし、 それは大きな問 題を包含している。 すなわち、 明らかに無駄な投資を行っており、 場合によって は、 建屋の増設なども必要で、 一回の投資額が課題になっている。 特に大企業ク ラスでは、 この無駄は関連の費用も含めて年間数億から数 1 0億にのぼると試算 される。
これに対してセキュア一 ·ネットワーク ·データベース ·システム (情報交換 方法) では、 最小スキン単位で容量を増やすことができる。 しかも、 その作業は、 殆どの場合、 数時間で終了する。 すなわち、 セキュア一 ·ネットワーク ·データ ベース ·システム (情報交換方法) は、 企業の情報コストを下げ、 簡単で迅速で 企業のスピードアップを支援する。 また、 ストレージ増強時の小回りが利き、 変 化の時代にあっている。
セキュア一'ネットワーク 'データベース ·システム (情報交換方法) の応用 分野としては、 大量の電子文書の保存を必要とするあらゆる分野があげられる力 政府, 自治体などの組織、 製造業あるいは、 保険会社や金融機関、 医療 '薬品な どの分野に特に好適である。
また、 この伝送 · ストレージ ·ソリユーションは、 企業間など複数の組織間に おける情報共有と交換の手段としても有用である。 高度な機密保護によって、 安 価なィンターネットが企業のミツションクリティカルな情報交換とストレージの インフラとして安全に利用できる。
(他の実施の形態)
さて、 これまで本発明の実施の形態について説明したが、 本発明は、 上述した 実施の形態以外にも、 上記特許請求の範囲に記載した技術的思想の範囲内におい て種々の異なる実施の形態にて実施されてよいものである。
例えば、 本発明で対象とする情報は XM Lで記述されたデータに限らず、 固定 長データ、 C S V形式データ、 各種のデータベース記述形式のデータなどあらゆ る種類の情報に対して行うことができ、 関連する保存や伝送の機能特徴も XM L と同様に適用することができる。
また、 実施形態において説明した各処理のうち、 自動的に行なわれるものとし て説明した処理の全部または一部を手動的に行うこともでき、 あるいは、 手動的 に行なわれるものとして説明した処理の全部または一部を公知の方法で自動的に 行うこともできる。
この他、 上記文書中や図面中で示した処理手順、 制御手順、 具体的名称、 各種
の登録データや検索条件等のパラメータを含む情報、 画面例、 データベース構成 については、 特記する場合を除いて任意に変更することができる。
また、 情報通信端末 100、 リレー用情報端末装置 150およびデータダリッ ド用情報端末装置 170に関して、 図示の各構成要素は機能概念的なものであり、 必ずしも物理的に図示の如く構成されていることを要しない。
例えば、 情報通信端末 100、 リレー用情報端末装置 150およびデータダリ ッド用情報端末装置 170が備える処理機能、 特に制御部にて行なわれる各処理 機能については、 その全部または任意の一部を、 CPU (Ce n t r a l P r o c e s s i n g Un i t) および当該 C PUにて解釈実行されるプログラム にて実現することができ、 あるいは、 ワイヤードロジックによるハードウェアと して実現することも可能である。
また、 情報通信端末 100、 リレー用情報端末装置 150およびデータダリッ ド用情報端末装置 170は、 さらなる構成要素として、 マウス等の各種ポインテ ィングデバイスやキーボードゃィメージスキヤナゃデジタイザ等から成る入力装 置 (図示せず) 、 入力データのモニタに用いる表示装置 (図示せず) 、 システム クロックを発生させるクロック発生部 (図示せず) 、 および、 各種処理結果その 他のデータを出力するプリンタ等の出力装置 (図示せず) を備えてもよい。
記憶部に格納される各種のデータは、 RAM、 ROM等のメモリ装置、 ハード ディスク等の固定ディスク装置、 フレキシブルディスク、 光ディスク等のストレ ージ手段であり、 各種処理やウェブサイト提供に用いる各種のプログラムゃテー ブルやフアイルゃデ一タベースゃゥヱブベージ用フアイル等を格納する。
さらに、 情報通信端末 100、 リレー用情報端末装置 150およびデータグリ ッド用情報端末装置 170の分散 ·統合の具合的形態は図示のものに限られず、 その全部または一部を、 各種の負荷等に応じた任意の単位で、 機能的または物理 的に分散 ·統合して構成することができる。 例えば、 各データを独立したデータ ベース装置として独立に構成してもよく、 また、 処理の一部を CG I (Co mm o n Ga t ewa y I n t e r f a c e ) を用いて実現してもよい。
この情報通信端末 100、 リレー用情報端末装置 150およびデータダリッド 用情報端末装置 170の制御部は、 その全部または任意の一部を、 CPUおよび 当該 C P Uにて解釈実行されるプログラムにて実現することができる。 すなわち、 記憶部には、 OS (Op e r a t i n g Sy s t em) と協働して CPUに命 令を与え、 各種処理を行うためのコンピュータプログラムが記録されている。 こ のコンピュータプログラムは、 RAMにロードされることによって実行され、 C P Uと協働して制御部を構成する。
し力 しながら、 このコンピュータプログラムは、 情報通信端末 100、 リレー 用情報端末装置 150およびデータグリッド用情報端末装置 170に対して任意 のネットワークを介して接続されたアプリケーションプログラムサーバに記録さ れてもよく、 必要に応じてその全部または一部をダウンロードすることも可能で ある。 このあるいは、 各制御部の全部または任意の一部を、 ワイヤードロジック 等によるハードウェアとして実現することも可能である。
また、 本発明にかかるプログラムを、 コンピュータ読み取り可能な記録媒体に 格納することもできる。 ここで、 この 「記録媒体」 とは、 フロッピーディスク、 光磁気ディスク、 ROM、 EPROM:、 EE PROM, CD-ROM, MO、 D VD等の任意の 「可搬用の物理媒体」 や、 各種コンピュータシステムに内蔵され る ROM、 RAM, HD等の任意の 「固定用の物理媒体」 、 あるいは、 LAN、 WAN, インターネットに代表されるネットワークを介してプログラムを送信す る場合の通信回線や搬送波のように、 短期にプログラムを保持する 「通信媒体 J を含むものとする。
また、 「プログラム」 とは、 任意の言語や記述方法にて記述されたデータ処理 方法であり、 ソースコードゃバイナリコード等の形式を問わない。 なお、 「プロ グラム」 は必ずしも単一的に構成されるものに限られず、 複数のモジュールゃラ ィブラリとして分散構成されるものや、 OS (Op e r a t i n g S y s t e m) に代表される別個のプロダラムと協働してその機能を達成するものをも含む。 なお、 実施の形態に示した各装置において記録媒体を読み取るための具体的な構
成、 読み取り手順、 あるいは、 読み取り後のインストール手順等については、 周 知の構成や手順を用いることができる。
また、 ネットワーク 3 0 0は、 情報通信端末 1 0 0、 リレー用情報端末装置 1 5 0およびデータダリッド用情報端末装置 1 7 0を相互に接続する機能を有し、 例えば、 インターネットや、 イントラネットゃ、 L AN (有線 Z無線の双方を含 む) や、 VANや、 パソコン通信網や、 公衆電話網 (アナログ Zデジタルの双方 を含む) や、 専用回線網 (アナログ/デジタルの双方を含む) や、 C A T V網や, I MT 2 0 0 0方式、 G S M方式または P D C/ P D C— P方式等の携帯回線交 換網/携帯バケツト交換網や、 無線呼出網や、 B 1 u e t o o t h等の局所無線 網や、 P H S網や、 C S、 B Sまたは I S D B等の衛星通信網等のうちレ、ずれか を含んでもよい。 すなわち、 本システムは、 有線'無線を問わず任意のネットヮ ークを介して、 各種データを送受信することができる。
以上詳細に説明したように、 本発明によれば、 送信側の情報通信端末は、 複数 の要素の機密結合度を設定し、 設定された機密結合度に基づいて、 情報を複数の 疎結合情報に分割するための分割ルールを設定し、 設定された分割ルールに基づ レ、て、 情報を複数の疎結合情報に分割し、 分割された複数の疎結合情報を 1つま たは 2つ以上のデータグリッド用情報端末装置に対して送信し、 データダリッド 用情報端末装置は、 送信側の情報通信端末から受信した疎結合情報を格納し、 受 信側の情報通信端末 (ここで、 受信側の情報通信端末は、 送信側の情報通信端末 と同一であってもよい。 以下同様である。 ) は、 複数の疎結合情報をデータダリ ッド用情報端末装置から読み出し、 複数の疎結合情報から分割ルールに基づいて 情報を再構成するので、 情報をそのセマンティックスに基づいて分割し、 分解し た疎結合情報ごとに物理的に分離、 独立した場所であるデータグリッド用情報端 末装置に保存することができるセキュア一 ·ネットワーク ·データベース .シス テムおよび情報交換方法を提供することができる。
これにより、 ネットワーク上の通信、 データの保存場所のいずれにも完全な元 データのコピーは存在せず、 人間による作為的な犯罪行為が行われても情報漏洩
の範囲を限定することができるセキュア一'ネットワーク 'データベース · シス テムおよび情報交換方法を提供することができる。
また、 これにより、 データの保存が 1力所に集中することが無く、 通信も複数の 手段を利用するため、 災害の発生など大規模な障害が発生しても、 その影響が全 体に波及するのを防ぐことができるセキュア一 ·ネットワーク ·データベース · システムおよび情報交換方法を提供することができる。
また、 分散資源である複数のデータダリッド用情報端末装置を同時並行的に動 作させることにより、 経済性が高く、 極めて安全性が高い情報の大量保存と利用 が可能な機能が実現できるセキュア一 ·ネットワーク ·データベース · システム および情報交換方法を提供することができる。
また、 データグリッド用情報端末装置は簡単に重複化ができ、 通信路も含めた 冗長構成が容易なため個別の利用ニーズに対応させるのが容易であるセキュア 一'ネットワーク ·データベース ·システムおよび情報交換方法を提供すること ができる。
また、 これにより、 データダリッド用情報端末装置のストレージのスケールァ ップは、 小規模なデータストレージ (ノード) 力 ら始めることが可能で非常にス ケーラビリティがあるシステムを実現することができるセキュア一 ·ネットフ一 ク .データベース .システムおよび情報交換方法を提供することができる。
また、 本発明によれば、 送信手段は、 複数の疎結合情報を複数の伝送経路を用 いてデータダリッド用情報端末装置に対して送信し、 読出手段は、 複数の疎結合 情報を複数の伝送経路を用いてデータダリッド用情報端末装置から読み出すので、 機密結合度が下げられて生成された複数の疎結合情報をそれぞれ別の通信路を用 いて情報交換することができる。 また、 疎結合情報の対応関係を隠蔽し、 送受信 される情報の秘匿性をさらに高めることができるセキュア一 ·ネットワーク ·デ ータベース . システムおよぴ情報交換方法を提供することができる。
また、 本発明によれば、 送信側の情報通信端末は、 要素の名称を別の名称とす るためのネーミングルールを設定し、 設定されたネーミングルールに基づいて、
情報の要素の名称を別の名称にし、 受信側の情報通信端末は、 ネーミングルール に基づいて、 別名化された情報の要素の名称を元の名称に変換するので、 オリジ ナルの情報から別の名称と構造を持つ情報を生成することにより情報漏洩時にォ リジナル情報の推定を困難にすることができ、 送受信される情報の秘匿性をさら に高めることができるセキュア一 ·ネットワーク ·データベース ·システムおよ び情報交換方法を提供することができる。
また、 本発明によれば、 情報が XMLにより記載されたものであるので、 XM Lデータの分解 ·再構成の容易性を活かして XMLデータの機密結合度を下げ、 秘匿性を高めることができるセキュア一 ·ネットワーク ·データベース ·システ ムおよび情報交換方法を提供することができる。
また、 本発明によれば、 D TDに定義されている要素について、 要素の名称、 内容および属性のうち少なくとも一つに基づいて機密結合度を設定するので、 D T Dに定義された XML情報の要素の内容に基づいて、 効率的に機密結合度を設 定できるセキュア一 ·ネットワーク ·データベース ·システムおよび情報交換方 法を提供することができる。
また、 本発明によれば、 疎結合情報は、 受信側の情報端末装置において再結合 するための再結合情報を含み、 分割ルールは、 疎結合情報と再結合情報との対応 を特定するための情報を含むので、 分割された疎結合情報の再結合を媒介するた めの再結合情報を追加することにより、 情報の機密性をさらに高めることができ るセキュア一 ·ネットワーク ·データベース ·システムおよび情報交換方法を提 供することができる。
また、 本発明によれば、 情報を構成する要素にアクセス可能なユーザを定義す るので、 ユーザに対してデータ利用の制限機能を実現することができるセキュア 一'ネットワーク ·データベース ·システムおよび情報交換方法を提供すること ができる。
また、 これにより、 ユーザを管理者やデータ所有者やデータ利用者などの各ク ラスに分けた場合にも、 適切なアクセス制限機能を実現することができるセキュ
ァー ·ネットワーク ·データベース ·システムおよび情報交換方法を提供するこ とができる。
また、 本発明によれば、 送信側の情報通信端末は、 再構成手段により複数の疎 結合情報から分割ルールに基づいて情報を再構成する際に必要とされる再結合情 報を生成するので、 分割された疎結合情報の再結合を媒介するための再結合情報 (一種のパスヮード情報など) を追加することにより、 情報の機密性をさらに高 めることができるセキュア一 ·ネットワーク ·データベース · システムおよぴ情 報交換方法を提供することができる。
すなわち、 乱数等により生成される再結合情報を疎結合情報に付加することに より、 第三者が疎結合情報を見たときに、 その内容の推定を困難にすることがで きる。 また、 どの再結合情報をどの疎結合情報に付加したかを分割ルールにおい て定義することにより、 受信側の情報通信端末では、 再結合情報に基づいて元の 情報に再構成することができるようになる。 産業上の利用可能性
以上のように、 セキュア一 ·ネットワーク ·データベース · システムおよぴ情 報交換方法は、 特に、 安価で大規模力 非常に安全なネットワークを基盤とする 高度なセキュリティを保った分割送信と分散データベースを実現することができ る。
本発明の応用分野としては、 大量の電子文書の保存を必要とするあらゆる分野 があげられるが、 政府 ·自治体などの組織 ·機関、 製造業あるいは、 保険会社や 金融機関、 医療 ·薬品などの分野の情報の格納 ·交換に特に好適である。