WO2021070234A1

WO2021070234A1 - データアクセス方法、データ記憶システム、サーバ装置、クライアント装置、およびプログラム

Info

Publication number: WO2021070234A1
Application number: PCT/JP2019/039563
Authority: WO
Inventors: 敦謙市川; 浩気濱田
Original assignee: 日本電信電話株式会社
Priority date: 2019-10-08
Filing date: 2019-10-08
Publication date: 2021-04-15
Also published as: JPWO2021070234A1; JP7218817B2; US20220329419A1

Abstract

任意の個数の検索キーによるデータアクセスを可能とする。検索キーを生成する（Ｓ２０）。キー関係配列を送信する（Ｓ１１）。キー関係配列に合致する要素が存在する場合、発見された検索キーを保持する（Ｓ２１）。キー関係索引を送信する（Ｓ２２）。キー関係索引を用いて読み出したレコードを送信する（Ｓ１２）。レコードが検索キーに合致する場合、発見された検索キーを保持する（Ｓ２３）。発見された検索キーをキー関係配列の空の要素に設定して送信する（Ｓ２４）。データ配列を送信する（Ｓ１３）。データ配列に合致する要素が存在する場合、発見されたデータを保持する（Ｓ２５）。データ索引を送信する（Ｓ２６）。データ索引を用いて読み出したレコードを送信する（Ｓ１４）。レコードが検索キーに合致する場合、発見されたデータを保持する（Ｓ２７）。所望のデータをデータ配列の空の要素に設定して送信する（Ｓ２８）。

Description

データアクセス方法、データ記憶システム、サーバ装置、クライアント装置、およびプログラム

　本発明は、暗号応用技術に関し、特にデータの内容とデータアクセスの内容を秘匿しながら外部ストレージに記憶された暗号化データへアクセスする技術に関する。

　近年、クラウドサービスなど外部ストレージへデータを委託する需要が増している。こうしたサービスは利用者（クライアント）が十分なローカル記憶領域を持たなくとも、大量のデータの保存とアクセスが可能という点で有用である。一方で、外部ストレージを利用するクライアントのプライバシを保護するためには、「データの内容の秘匿」と「データアクセス（検索）の内容の秘匿」の２つが必要となる。データの内容はそれ自体がクライアントのプライバシに関わるものであり、暗号化など何らかの方法で秘匿化された状態で保存される必要がある。また、データを検索する際のキーワードなどからデータの内容が推測され得ることを考慮すれば、データそのものや検索キーを秘匿したままでデータにアクセスできることが望ましい。加えて、データや検索キーが秘匿されている場合であっても、外部ストレージにおいて参照される物理メモリアドレスの偏りが識別できてしまう場合、アクセス傾向の偏り（以下、「アクセスパターン」と呼ぶ)を分析することで情報が漏洩してしまうことが考えられる。

　これらの問題を解決するために、データ、検索キー、およびアクセスパターンを秘匿したままデータアクセスを行う技術が、非特許文献１に開示されている。

O. Goldreich and R. Ostrovsky, "Software protection and simulation on oblivious RAMs," Journal of the ACM, vol. 43(3), pp. 431-473, May 1996.

　非特許文献１に記載された従来技術では、データ、検索キー、およびアクセスパターンを秘匿したままデータアクセスを行うために、検索キーが単独である、すなわち１つのデータに対して１つの検索キーが対応されていることが必要であった。しかしながら、データストレージとしての有用性を考慮すれば、１つのデータに対して複数の検索キーが設定できることが望ましい。

　この発明の目的は、上記のような技術的課題に鑑みて、データ、検索キー、およびアクセスパターンのすべてを秘匿したまま、任意の個数の検索キーによるデータアクセスを可能とすることである。

　上記の課題を解決するために、この発明の一態様のデータアクセス方法は、サーバ装置とクライアント装置とを含むデータ記憶システムが実行するデータアクセス方法であって、k, mは2以上の整数であり、iは2以上m以下の各整数とし、サーバ装置のデータ記憶部に、データとデータに紐づく第一キーとからなるデータ要素をk個記憶するためのデータ配列と、第一キーに基づいてランダムに生成されたデータ索引と第一キーとデータとからなるデータレコードをk個以上記憶するための少なくとも１個のハッシュテーブルを含むデータテーブルと、が記憶されており、サーバ装置のキー関係記憶部に、第一キーとデータに紐づく他のキーとからなるキー関係要素をk個記憶するためのキー関係配列と、他のキーに基づいてランダムに生成されたキー関係索引と第一キーと他のキーとからなるキー関係レコードをk個以上記憶するための少なくとも１個のハッシュテーブルを含むキー関係テーブルと、がそれぞれm-1個記憶されており、クライアント装置の検索キー生成部が、m個の検索キーを生成し、サーバ装置のキー関係配列送信部が、i番目のキー関係配列をクライアント装置へ送信し、クライアント装置のキー関係配列検索部が、サーバ装置から受信したi番目のキー関係配列の中にi番目の検索キーに合致するキー関係要素が存在する場合、当該キー関係要素の第一キーを発見された検索キーとして保持し、クライアント装置のキー関係索引生成部が、i番目の検索キーに基づいて生成したキー関係索引をサーバ装置へ送信し、サーバ装置のキー関係テーブル検索部が、クライアント装置から受信したキー関係索引を用いてキー関係テーブルから読み出したキー関係レコードをクライアント装置へ送信し、クライアント装置のキー関係レコード参照部が、サーバ装置から受信したキー関係レコードがi番目の検索キーに合致する場合、当該キー関係レコードの第一キーを発見された検索キーとして保持し、クライアント装置のキー関係配列返送部が、発見された検索キーとi番目の検索キーとからなるキー関係要素をi番目のキー関係配列の空の要素に設定したキー関係配列をサーバ装置へ送信し、サーバ装置のデータ配列送信部が、データ配列をクライアント装置へ送信し、クライアント装置のデータ配列検索部が、サーバ装置から受信したデータ配列の中に発見された検索キーまたは１番目の検索キーに合致するデータ要素が存在する場合、当該データ要素のデータを発見されたデータとして保持し、クライアント装置のデータ索引生成部が、発見された検索キーを保持している場合、発見された検索キーに基づいてデータ索引を生成し、発見された検索キーを保持していない場合、１番目の検索キーに基づいてデータ索引を生成し、生成されたデータ索引をサーバ装置へ送信し、サーバ装置のデータテーブル検索部が、クライアント装置から受信したデータ索引を用いてデータテーブルから読み出したデータレコードをクライアント装置へ送信し、クライアント装置のデータレコード参照部が、サーバ装置から受信したデータレコードが発見された検索キーまたは１番目の検索キーに合致する場合、当該データレコードのデータを発見されたデータとして保持し、クライアント装置のデータ配列返送部が、発見されたデータおよび発見された検索キーを保持している場合、所望のデータと発見された検索キーとからなるデータ要素をデータ配列の空の要素に設定し、それ以外の場合、所望のデータと１番目の検索キーとからなるデータ要素をデータ配列の空の要素に設定し、更新されたデータ配列をサーバ装置へ送信する。

　この発明によれば、複数の検索キーが最終的に１つのデータを参照するようにシステムを構築することにより、データ、検索キー、およびアクセスパターンのすべてを秘匿したまま、任意の個数の検索キーによるデータアクセスが可能となる。

図１は、データ記憶システムの機能構成を例示する図である。図２は、サーバ装置の機能構成を例示する図である。図３は、クライアント装置の機能構成を例示する図である。図４は、データ読み出しの処理手順を例示する図である。図５は、ハッシュテーブル生成の処理手順を例示する図である。図６は、コンピュータの機能構成を例示する図である。

　以下、この発明の実施の形態について詳細に説明する。なお、図面中において同じ機能を有する構成部には同じ番号を付し、重複説明を省略する。

　［第一実施形態］
　図１を参照して、第一実施形態のデータ記憶システムの構成例を説明する。データ記憶システム１００は、例えば、サーバ装置１およびクライアント装置２を含む。本実施形態では、サーバ装置１およびクライアント装置２はそれぞれ通信網９へ接続される。通信網９は、接続される各装置が相互に通信可能なように構成された回線交換方式もしくはパケット交換方式の通信網であり、例えばインターネットやLAN（Local Area Network）、WAN（Wide Area Network）などを用いることができる。

　データ記憶システム１００に含まれるサーバ装置１は、例えば、図２に示すように、データ記憶部１０１、キー関係記憶部１０２、キー関係配列送信部１１、キー関係テーブル検索部１２、データ配列送信部１３、データテーブル検索部１４、データ送信部１５、およびキー関係送信部１６を備える。データ記憶システム１００に含まれるクライアント装置２は、例えば、図３に示すように、検索キー生成部２０、キー関係配列検索部２１、キー関係索引生成部２２、キー関係レコード参照部２３、キー関係配列返送部２４、データ配列検索部２５、データ索引生成部２６、データレコード参照部２７、データ配列返送部２８、データテーブル生成部２９、およびキー関係テーブル生成部３０を備える。サーバ装置１とクライアント装置２とが協調しながら図４、５に示す各ステップの処理を行うことにより第一実施形態のデータアクセス方法が実現される。

　サーバ装置１およびクライアント装置２は、例えば、中央演算処理装置（CPU: Central Processing Unit）、主記憶装置（RAM: Random Access Memory）などを有する公知又は専用のコンピュータに特別なプログラムが読み込まれて構成された特別な装置である。サーバ装置１およびクライアント装置２は、例えば、中央演算処理装置の制御のもとで各処理を実行する。サーバ装置１およびクライアント装置２に入力されたデータや各処理で得られたデータは、例えば、主記憶装置に格納され、主記憶装置に格納されたデータは必要に応じて中央演算処理装置へ読み出されて他の処理に利用される。サーバ装置１およびクライアント装置２の各処理部は、少なくとも一部が集積回路等のハードウェアによって構成されていてもよい。サーバ装置１が備える各記憶部は、例えば、RAM（Random Access Memory）などの主記憶装置、ハードディスクや光ディスクもしくはフラッシュメモリ（Flash Memory）のような半導体メモリ素子により構成される補助記憶装置、またはリレーショナルデータベースやキーバリューストアなどのミドルウェアにより構成することができる。サーバ装置１は、具体的には、タワー型もしくはラックマウント型のサーバコンピュータである。クライアント装置２は、具体的には、デスクトップ型もしくはラップトップ型のパーソナルコンピュータ、スマートフォン、タブレット端末などである。

　図４を参照して、第一実施形態のデータ記憶システム１００が実行するデータアクセス方法のうちデータ読み出しの処理手続きを説明する。

　以下の説明では、各データDにはm個の検索キーv₁, v₂, …, v_mが紐づくとする。ここで、mは２以上の所定の整数である。なお、サーバ装置１が記憶するデータと、サーバ装置１とクライアント装置２との間で送受信されるデータは、すべてクライアント装置２の秘密鍵で暗号化されているものとする。

　サーバ装置１のデータ記憶部１０１には、k個の要素を記憶できるデータ配列と、k個以上のレコードを記憶できるハッシュテーブルが階層構造をもち、全体でkd^T個のレコードを記憶できるデータテーブルと、が記憶されている。ここで、k, dは２以上の所定の整数であり、Tは階層の段数である。データテーブルは、１段目にk個のレコードを記憶するためのハッシュテーブルをd-1個もち、２段目にkd個のレコードを記憶するためのハッシュテーブルをd-1個もち、３段目にkd²個のレコードを記憶するためのハッシュテーブルをd-1個もち・・・、T段目にkd^T-1個のレコードを記憶するためのハッシュテーブルをd-1個もつように構成されている。すなわち、階層が深くなるにつれて記憶できる個数がd倍ずつ増えるハッシュテーブルが各階層にd-1個ずつ構成されている。

　ハッシュテーブルは、所定の数のレコードをランダムに並べて記憶することができ、かつ、レコード毎に固有の１つの索引を用いてレコードの参照を行うことができる配列である。すなわち、ハッシュテーブルは、索引uとデータ本体dからなるレコード(u, d)を配列内のランダムな位置（メモリアドレス）に保存し、かつ、索引uを用いてレコード(u, d)が格納された位置を一意に特定できる配列である。

　データ配列の各要素は、１番目のキーv₁とデータ本体Dとからなる要素(v₁, D)（以下、「データ要素」とも呼ぶ）を記憶する。データテーブルの各ハッシュテーブルは、それぞれが固有の識別子eをもつ。ハッシュテーブルの各レコードは、１番目のキーv₁とデータ本体Dとの組に、１番目のキーv₁とハッシュテーブルの識別子eとに基づいてランダムに生成された索引r₁ ^e（以下、「データ索引」とも呼ぶ）を設定したレコード(r₁ ^e, v₁, D)（以下、「データレコード」とも呼ぶ）を記憶する。索引は、疑似ランダム関数F_sを用いて生成される。すなわち、ハッシュテーブルを生成する際に、r₁ ^e←F_s(v₁, e)を計算して、索引r₁ ^eを生成する。

　サーバ装置１のキー関係記憶部１０２には、k個の要素を記憶できるキー関係配列と、k個以上のレコードを記憶できるハッシュテーブルが階層構造をもち、全体でkd^T個のレコードを記憶できるキー関係テーブルと、がそれぞれm-1個記憶されている。ここで、mは検索キーの最大数である。キー関係テーブルは、１段目にk個のレコードを記憶するためのハッシュテーブルをd-1個もち、２段目にkd個のレコードを記憶するためのハッシュテーブルをd-1個もち、３段目にkd²個のレコードを記憶するためのハッシュテーブルをd-1個もち・・・、T段目にkd^T-1個のレコードを記憶するためのハッシュテーブルをd-1個もつように構成されている。すなわち、キー関係記憶部１０２は、データ記憶部１０１に記憶された配列およびテーブルと同じ構造をもつ配列およびテーブルをm-1組記憶する。

　キー関係配列の各要素は、１番目のキーv₁とi番目のキーv_iとからなる要素(v₁, v_i)（以下、「キー関係要素」とも呼ぶ）を記憶する。ここで、iは２以上m以下の各整数である。キー関係テーブルの各ハッシュテーブルは、それぞれが固有の識別子eをもつ。ハッシュテーブルの各レコードは、１番目のキーv₁とi番目のキーv_iとの組に、i番目のキーv_iとハッシュテーブルの識別子eとに基づいてランダムに生成された索引r_i ^e（以下、「キー関係索引」とも呼ぶ）を設定したレコード(r_i ^e, v₁, v_i)（以下、「キー関係レコード」とも呼ぶ）を記憶する。索引は、疑似ランダム関数F_sを用いて生成される。すなわち、ハッシュテーブルを生成する際に、r_i ^e←F_s(v_i, e)を計算して、索引r_i ^eを生成する。

　ステップＳ２０において、クライアント装置２の検索キー生成部２０は、m個の検索キー(v₁ ^q, v₂ ^q, …, v_m ^q)を生成する。ただし、m個の検索キーのうち任意の個数の検索キーをダミーに設定してもよい。すなわち、m個すべての検索キーを設定して検索を行うこともできるし、１個以上m-1個以下の検索キーを設定して検索を行うこともできる。検索キー生成部２０は、サーバ装置１に対して、データアクセスを要求する旨の信号を送信する。

　ステップＳ１１からステップＳ２４までの処理は、２番目の検索キーv₂ ^qからm番目の検索キーv_m ^qまでを対象にして、繰り返し実行する。以下では、i番目の検索キーv_i ^qに対する処理として説明する。なお、iは２以上m以下の整数である。

　ステップＳ１１において、サーバ装置１のキー関係配列送信部１１は、キー関係記憶部１０２からi番目のキー関係配列を読み出し、クライアント装置２へ送信する。

　ステップＳ２１において、クライアント装置２のキー関係配列検索部２１は、サーバ装置１から受信したi番目のキー関係配列の中にi番目の検索キーv_i ^qに合致する要素が存在するか否かを判定する。検索キーv_i ^qに合致する要素が存在する場合、その要素のキーv₁を発見された検索キーφ=v₁として保持する。

　ステップＳ２２において、クライアント装置２のキー関係索引生成部２２は、発見された検索キーφが設定されている場合、xにダミーデータを設定し、発見された検索キーφが設定されていない場合、xに検索キーv_i ^qを設定し、疑似ランダム関数F_sを用いて索引r_i ^e←F_s(x, e)を生成する。ダミーデータは検索キーとして設定され得ない値であり、データアクセス毎に異なる値とする。例えば、所定の固定値（例えば“dummy”）にデータアクセス回数を連結した値とすればよい。キー関係索引生成部２２は、生成した索引r_i ^eをサーバ装置１へ送信する。

　ステップＳ１２において、サーバ装置１のキー関係テーブル検索部１２は、クライアント装置２から受信した索引r_i ^eを用いて、キー関係記憶部１０２に記憶されたキー関係テーブルのうち小さい（すなわち浅い階層の）ハッシュテーブルから順に、テーブル参照を行う。キー関係テーブル検索部１２は、キー関係テーブルから読み出したレコード（r_i ^e, v₁, v_i）をクライアント装置２へ送信する。

　ステップＳ２３において、クライアント装置２のキー関係レコード参照部２３は、サーバ装置１から受信したレコード（r_i ^e, v₁, v_i）がi番目の検索キーv_i ^qに合致する場合、そのレコードのキーv₁を発見された検索キーφ=v₁として保持する。キー関係レコード参照部２３は、発見された検索キーφが設定されている場合、受信したレコードのキーv_iをダミーデータに書き換えたレコードをサーバ装置１へ送信する。発見された検索キーφが設定されていない場合、受信したレコードをそのままサーバ装置１へ送信する。

　ステップＳ２４において、クライアント装置２のキー関係配列返送部２４は、発見された検索キーφが設定されている場合、発見された検索キーφ=v₁とi番目の検索キーv_i ^qとの組(v₁, v_i ^q)を、サーバ装置１から受信したi番目のキー関係配列の空いている（すなわち、空の要素が記憶されている）位置に設定する。発見された検索キーφが設定されていない場合、ダミーデータとi番目の検索キーv_i ^qとの組を、サーバ装置１から受信したi番目のキー関係配列の空いている位置に設定する。キー関係配列返送部２４は、更新されたi番目のキー関係配列をサーバ装置１へ送信する。

　ステップＳ１３において、サーバ装置１のデータ配列送信部１３は、データ記憶部１０１からデータ配列を読み出し、クライアント装置２へ送信する。

　ステップＳ２５において、クライアント装置２のデータ配列検索部２５は、発見された検索キーφが設定されている場合、サーバ装置１から受信したデータ配列の中に発見された検索キーφに合致する要素が存在するか否かを判定する。発見された検索キーφに合致する要素が存在する場合、その要素のデータDを発見されたデータπ=Dとして保持する。また、データ配列検索部２５は、発見された検索キーφが設定されていない場合、サーバ装置１から受信したデータ配列の中に１番目の検索キーv₁ ^qに合致する要素が存在するか否かを判定する。１番目の検索キーv₁ ^qに合致する要素が存在する場合、その要素のデータDを発見されたデータπ=Dとして保持する。

　ステップＳ２６において、クライアント装置２のデータ索引生成部２６は、発見されたデータπが設定されている場合、xにダミーデータを設定し、発見されたデータπが設定されておらず、発見された検索キーφが設定されている場合、xに発見された検索キーφ=v₁を設定し、発見されたデータπが設定されておらず、発見された検索キーφも設定されていない場合、xに１番目の検索キーv₁ ^qを設定し、疑似ランダム関数F_sを用いて索引r₁ ^e←F_s(x, e)を生成する。データ索引生成部２６は、生成した索引r₁ ^eをサーバ装置１へ送信する。

　ステップＳ１４において、サーバ装置１のデータテーブル検索部１４は、クライアント装置２から受信した索引r₁ ^eを用いて、データ記憶部１０１に記憶されたデータテーブルのうち小さい（すなわち浅い階層の）ハッシュテーブルから順に、テーブル参照を行う。データテーブル検索部１４は、データテーブルから読み出したレコード（r₁ ^e, v₁, D）をクライアント装置２へ送信する。

　ステップＳ２７において、クライアント装置２のデータレコード参照部２７は、発見された検索キーφが設定されており、サーバ装置１から受信したレコード（r₁ ^e, v₁, D）が発見された検索キーφに合致する場合、そのレコードのデータDを発見されたデータπ=Dとして保持する。発見された検索キーφが設定されておらず、サーバ装置１から受信したレコード（r₁ ^e, v₁, D）が１番目の検索キーv₁ ^qに合致する場合、そのレコードのデータDを発見されたデータπ=Dとして保持する。

　ステップＳ２８において、クライアント装置２のデータ配列返送部２８は、発見されたデータπおよび発見された検索キーφが設定されている場合、発見されたデータπ=Dと発見された検索キーφ=v₁との組(v₁, D)を、サーバ装置１から受信したデータ配列の空いている位置に設定する。発見されたデータπが設定されており、発見された検索キーφが設定されていない場合、発見されたデータπ=Dと１番目の検索キーv₁ ^qとの組(v₁ ^q, D)を、サーバ装置１から受信したデータ配列の空いている位置に設定する。発見されたデータπが設定されていない場合、ダミーデータと１番目の検索キーv₁ ^qとの組を、サーバ装置１から受信したデータ配列の空いている位置に設定する。このとき、設定するデータDを所望のデータで書き換えてもよい。これは、サーバ装置１に記憶されたデータのうち所望の検索キーに合致するデータを所望のデータで更新することに相当する。また、ダミーデータを所望のデータに設定してもよい。これは、サーバ装置１に記憶されたデータに所望の検索キーに合致するデータが存在しないときに新たな検索キーが設定された新たなデータを書き込むことに相当する。データ配列返送部２８は、更新されたデータ配列をサーバ装置１へ送信する。

　サーバ装置１は、クライアント装置２から受信したデータ配列で、データ記憶部１０１に記憶されたデータ配列を更新する。

　図５を参照して、第一実施形態のデータ記憶システム１００が実行するデータアクセス方法のうちハッシュテーブル生成の処理手続きを説明する。

　図５に示す各ステップは、図４に示す各ステップを実行した回数がkの倍数となったとき、実行される。上述したデータ読み出しの処理手順に従えば、１回のデータアクセスによりキー関係配列およびデータ配列に１個の要素が追加される。そのため、データアクセス回数がkの倍数となったときは、キー関係配列およびデータ配列にそれぞれk個の要素が記憶されていることになる。

　なお、以下ではt段目のハッシュテーブルまですべて埋まっているものと仮定する。すなわち、１段目のk個の要素を記憶するハッシュテーブルがd-1個、２段目のkd個の要素を記憶するハッシュテーブルがd-1個・・・、t段目のkd^t-1個の要素を記憶するハッシュテーブルがd-1個埋まっており、全体でkd^t個の要素がデータテーブルおよびキー関係テーブルに記憶されているものとする。一方、t+1段目のハッシュテーブルには空きがある、すなわち、埋まっているハッシュテーブルがd-1個未満であるとする。

　ステップＳ１５において、サーバ装置１のデータ送信部１５は、データ記憶部１０１に記憶されたデータ配列またはデータテーブルのt段目までのハッシュテーブルに記憶された１番目のキーv₁とデータDとからなる要素(v₁, D)を読み出し、すべての要素(v₁, D)をクライアント装置２へ送信する。データ送信部１５は、各要素を１つずつ読み出して送信してもよいし、すべての要素をまとめて読み出して送信してもよい。

　ステップＳ１６において、サーバ装置１のキー関係送信部１６は、キー関係記憶部１０２に記憶されたキー関係配列またはキー関係テーブルのt段目までのハッシュテーブルに記憶された１番目のキーv₁とi番目のキーv_iとからなる要素(v₁, v_i)を読み出し、すべての要素(v₁, v_i)をクライアント装置２へ送信する。キー関係送信部１６は、データ送信部１５と同様に、各要素を１つずつ読み出して送信してもよいし、すべての要素をまとめて読み出して送信してもよい。

　ステップＳ２９において、クライアント装置２のデータテーブル生成部２９は、データテーブルに含まれる各ハッシュテーブルに新たな固有の識別子e'を設定したデータテーブルを再生成する。まず、データテーブル生成部２９は、データ記憶部１０１に記憶されたデータ配列またはデータテーブルに記憶されていた１番目のキーv₁すべてについて、１番目のキーv₁と新たな識別子e'とに基づいて索引r₁ ^e'←F_s(v₁, e')を再生成する。続いて、データテーブル生成部２９は、再生成された索引r₁ ^e'と１番目のキーv₁とデータDとからなるレコード(r₁ ^e', v₁, D)をすべて記憶するデータテーブルを再生成する。

　ステップＳ３０において、クライアント装置２のキー関係テーブル生成部３０は、キー関係テーブルに含まれる各ハッシュテーブルに新たな固有の識別子e'を設定したキー関係テーブルを再生成する。まず、キー関係テーブル生成部３０は、キー関係記憶部１０２に記憶されたi番目のキー関係配列またはi番目のキー関係テーブルに記憶されていたi番目のキーv_iすべてについて、i番目のキーv_iと新たな識別子e'とに基づいて索引r_i ^e'←F_s(v_i, e')を再生成する。続いて、キー関係テーブル生成部３０は、再生成された索引r_i ^e'と１番目のキーv₁とi番目のキーv_iとからなるレコード(r_i ^e', v₁, v_i)をすべて記憶するi番目のキー関係テーブルを再生成する。

　クライアント装置２は、再生成したキー関係テーブルおよびデータテーブルをサーバ装置１へ送信する。サーバ装置１は、クライアント装置２から受信したキー関係テーブルおよびデータテーブルで、キー関係記憶部１０２およびデータ記憶部１０１に記憶されていたキー関係テーブルおよびデータテーブルを更新する。サーバ装置１は、キー関係記憶部１０２およびデータ記憶部１０１に記憶されていたキー関係配列およびデータ配列の各要素をすべて空にする。データテーブル生成部２９またはキー関係テーブル生成部３０で生成した新たな識別子e'は、クライアント装置２が保持していてもよいし、暗号化などの方法で秘匿化してサーバ装置１に保持させてもよい。

　上述のようにハッシュテーブルを生成することにより、すべてのデータは暗号化され、かつ、データへのアクセスは疑似ランダム関数により生成されたランダムな索引により行われる。さらに、各データはハッシュテーブルによりランダムな位置に記憶されており、かつ、同じハッシュテーブルに対して複数回同じ索引により参照されることはない（一度参照されたデータは以降必ずダミーデータで参照されるため）。したがって、サーバ装置１からはデータ、検索キー、およびアクセスパターンを識別することはできない。

　［第二実施形態］
　第一実施形態では、サーバ装置とクライアント装置とが１台ずつ存在するデータ記憶システムを説明した。しかしながら、サーバ装置は複数台存在してもよい。第二実施形態では、サーバ装置が複数台存在する場合の構成について説明する。

　第二実施形態のデータ記憶システム１００は、N（≧2）台のサーバ装置１₁, …, １_Nを含む。第一実施形態では、ハッシュテーブルを生成する機能をクライアント装置２が備えたが、第二実施形態では、各サーバ装置１_n（n=1, …, N）が備える。すなわち、サーバ装置１_nは、データテーブル生成部２９およびキー関係テーブル生成部３０をさらに備える。また、クライアント装置２は、データテーブル生成部２９およびキー関係テーブル生成部３０を備えない。

　第二実施形態のデータ記憶部１０１は、データテーブルの階層毎に、サーバ装置１₁, …, １_Nのうちのいずれかがハッシュテーブルを保持するものとする。例えば、データテーブルの１段目のハッシュテーブルは１台目のサーバ装置１₁が保持し、データテーブルの２段目のハッシュテーブルは２台目のサーバ装置１₂が保持する。あるサーバ装置１_nが複数の階層のハッシュテーブルを保持することは妨げず、例えば、２台のサーバ装置１₁, １₂が存在するとき、データテーブルの階層数が４であるとしたら、データテーブルの１，３段目のハッシュテーブルは１台目のサーバ装置１₁が保持し、データテーブルの２，４段目のハッシュテーブルは２台目のサーバ装置１₂が保持すればよい。

　第二実施形態のキー関係記憶部１０２は、データ記憶部１０１と同様に、キー関係テーブルの階層毎に、サーバ装置１₁, …, １_Nのうちのいずれかが保持する。

　第二実施形態のデータテーブル生成部２９は、そのサーバ装置１が保持していない階層のハッシュテーブルを生成する。生成の手順は、第一実施形態のデータテーブル生成部２９と同様であるが、ハッシュテーブルの識別子e'と索引r₁ ^e'は、サーバ装置１から秘匿する必要があるため、クライアント装置２が生成する。例えば、１段目のハッシュテーブルを１台目のサーバ装置１₁が保持し、２段目のハッシュテーブルを２台目のサーバ装置１₂が保持するとき、サーバ装置１₁のデータ送信部１５が１段目のハッシュテーブルに記憶するべき１番目のキーv₁とデータDとの組（v₁, D）をサーバ装置１₂へ送信し、サーバ装置１₂のデータテーブル生成部２９が１段目のハッシュテーブルを生成する。同様に、サーバ装置１₂のデータ送信部１５が２段目のハッシュテーブルに記憶するべき１番目のキーv₁とデータDとの組（v₁, D）をサーバ装置１₁へ送信し、サーバ装置１₂のデータテーブル生成部２９が１段目のハッシュテーブルを生成する。

　第二実施形態のキー関係テーブル生成部３０は、データテーブル生成部２９と同様に、そのサーバ装置１が保持していない階層のハッシュテーブルを生成する。

　［第三実施形態］
　ハッシュテーブルの生成は、（１）テーブル作成者が索引とデータ位置の関係を知ることができる方法、（２）テーブル作成者が索引とデータ位置の関係を知らないまま生成する方法、の２通りが存在する。（２）の方法ではクライアントとサーバの通信を必要とする。（２）の方法は、「秘匿ハッシュ」と呼ばれる。秘匿ハッシュの詳細な構成方法は、例えば、非特許文献１に開示されている。第一実施形態では、（１）の方法を前提にデータ記憶システムを構成した。第三実施形態では、（２）秘匿ハッシュを用いたデータ記憶システムを構成する方法を説明する。

　第一実施形態では、ハッシュテーブルを生成する機能をクライアント装置２が備え、第二実施形態では、複数のサーバ装置１がそれぞれ備えたが、第三実施形態では、サーバ装置１とクライアント装置２とがそれぞれハッシュテーブルを生成する機能を備え、サーバ装置１とクライアント装置２とが相互に通信しながら秘匿ハッシュによりハッシュテーブルの生成を行う。

　データ記憶システム１００に複数のサーバ装置１₁, …, １_Nが存在する場合、第二実施形態のデータ記憶システムのように、データテーブルまたはキー関係テーブルの階層毎に、いずれかのサーバ装置１_nがハッシュテーブルを保持してもよいし、複数のサーバ装置１₁, …, １_N間で同じ段数のハッシュテーブルを複製して共有してもよい。

　第三実施形態のデータテーブル生成部３０は、そのサーバ装置１が保持している階層のハッシュテーブルを、クライアント装置２と通信しながら生成する。ハッシュテーブルを複製して複数のサーバ装置１₁, …, １_N間で共有する場合、そのうちの１台のサーバ装置１_nが代表してハッシュテーブルを生成し、他のサーバ装置１_n'（n≠n'）へ複製して共有すればよい。

　［その他の変形例］
　サーバ装置１のキー関係テーブル検索部１２やデータテーブル検索部１４において、ハッシュテーブル上のレコードを参照する際に、その方法はどのようなものでもよい。例えば、通常の通信方式によって逐一データを受信してもよいし、複数のデータをまとめてPrivate Information Retrievalや秘密計算による表参照を用いてハッシュテーブルの参照位置を秘匿したまま受信してもよい。

　以上、この発明の実施の形態について説明したが、具体的な構成は、これらの実施の形態に限られるものではなく、この発明の趣旨を逸脱しない範囲で適宜設計の変更等があっても、この発明に含まれることはいうまでもない。実施の形態において説明した各種の処理は、記載の順に従って時系列に実行されるのみならず、処理を実行する装置の処理能力あるいは必要に応じて並列的にあるいは個別に実行されてもよい。

　［プログラム、記録媒体］
　上記実施形態で説明した各装置における各種の処理機能をコンピュータによって実現する場合、各装置が有すべき機能の処理内容はプログラムによって記述される。そして、このプログラムを図６に示すコンピュータの記憶部１０２０に読み込ませ、制御部１０１０、入力部１０３０、出力部１０４０などに動作させることにより、上記各装置における各種の処理機能がコンピュータ上で実現される。

　この処理内容を記述したプログラムは、コンピュータで読み取り可能な記録媒体に記録しておくことができる。コンピュータで読み取り可能な記録媒体としては、例えば、磁気記録装置、光ディスク、光磁気記録媒体、半導体メモリ等どのようなものでもよい。

　また、このプログラムの流通は、例えば、そのプログラムを記録したDVD、CD-ROM等の可搬型記録媒体を販売、譲渡、貸与等することによって行う。さらに、このプログラムをサーバコンピュータの記憶装置に格納しておき、ネットワークを介して、サーバコンピュータから他のコンピュータにそのプログラムを転送することにより、このプログラムを流通させる構成としてもよい。

　このようなプログラムを実行するコンピュータは、例えば、まず、可搬型記録媒体に記録されたプログラムもしくはサーバコンピュータから転送されたプログラムを、一旦、自己の記憶装置に格納する。そして、処理の実行時、このコンピュータは、自己の記憶装置に格納されたプログラムを読み取り、読み取ったプログラムに従った処理を実行する。また、このプログラムの別の実行形態として、コンピュータが可搬型記録媒体から直接プログラムを読み取り、そのプログラムに従った処理を実行することとしてもよく、さらに、このコンピュータにサーバコンピュータからプログラムが転送されるたびに、逐次、受け取ったプログラムに従った処理を実行することとしてもよい。また、サーバコンピュータから、このコンピュータへのプログラムの転送は行わず、その実行指示と結果取得のみによって処理機能を実現する、いわゆるASP（Application Service Provider）型のサービスによって、上述の処理を実行する構成としてもよい。なお、本形態におけるプログラムには、電子計算機による処理の用に供する情報であってプログラムに準ずるもの（コンピュータに対する直接の指令ではないがコンピュータの処理を規定する性質を有するデータ等）を含むものとする。

　また、この形態では、コンピュータ上で所定のプログラムを実行させることにより、本装置を構成することとしたが、これらの処理内容の少なくとも一部をハードウェア的に実現することとしてもよい。

Claims

　サーバ装置とクライアント装置とを含むデータ記憶システムが実行するデータアクセス方法であって、
　k, mは2以上の整数であり、iは2以上m以下の各整数とし、
　上記サーバ装置のデータ記憶部に、データと上記データに紐づく第一キーとからなるデータ要素をk個記憶するためのデータ配列と、上記第一キーに基づいてランダムに生成されたデータ索引と上記第一キーと上記データとからなるデータレコードをk個以上記憶するための少なくとも１個のハッシュテーブルを含むデータテーブルと、が記憶されており、
　上記サーバ装置のキー関係記憶部に、上記第一キーと上記データに紐づく他のキーとからなるキー関係要素をk個記憶するためのキー関係配列と、上記他のキーに基づいてランダムに生成されたキー関係索引と上記第一キーと上記他のキーとからなるキー関係レコードをk個以上記憶するための少なくとも１個のハッシュテーブルを含むキー関係テーブルと、がそれぞれm-1個記憶されており、
　上記クライアント装置の検索キー生成部が、m個の検索キーを生成し、
　上記サーバ装置のキー関係配列送信部が、i番目のキー関係配列を上記クライアント装置へ送信し、
　上記クライアント装置のキー関係配列検索部が、上記サーバ装置から受信したi番目のキー関係配列の中にi番目の検索キーに合致するキー関係要素が存在する場合、当該キー関係要素の第一キーを発見された検索キーとして保持し、
　上記クライアント装置のキー関係索引生成部が、i番目の検索キーに基づいて生成したキー関係索引を上記サーバ装置へ送信し、
　上記サーバ装置のキー関係テーブル検索部が、上記クライアント装置から受信したキー関係索引を用いて上記キー関係テーブルから読み出したキー関係レコードを上記クライアント装置へ送信し、
　上記クライアント装置のキー関係レコード参照部が、上記サーバ装置から受信したキー関係レコードがi番目の検索キーに合致する場合、当該キー関係レコードの第一キーを上記発見された検索キーとして保持し、
　上記クライアント装置のキー関係配列返送部が、上記発見された検索キーとi番目の検索キーとからなるキー関係要素をi番目のキー関係配列の空の要素に設定したキー関係配列を上記サーバ装置へ送信し、
　上記サーバ装置のデータ配列送信部が、上記データ配列を上記クライアント装置へ送信し、
　上記クライアント装置のデータ配列検索部が、上記サーバ装置から受信したデータ配列の中に上記発見された検索キーまたは上記１番目の検索キーに合致するデータ要素が存在する場合、当該データ要素のデータを発見されたデータとして保持し、
　上記クライアント装置のデータ索引生成部が、上記発見された検索キーを保持している場合、上記発見された検索キーに基づいてデータ索引を生成し、上記発見された検索キーを保持していない場合、１番目の検索キーに基づいてデータ索引を生成し、生成されたデータ索引を上記サーバ装置へ送信し、
　上記サーバ装置のデータテーブル検索部が、上記クライアント装置から受信したデータ索引を用いて上記データテーブルから読み出したデータレコードを上記クライアント装置へ送信し、
　上記クライアント装置のデータレコード参照部が、上記サーバ装置から受信したデータレコードが上記発見された検索キーまたは１番目の検索キーに合致する場合、当該データレコードのデータを上記発見されたデータとして保持し、
　上記クライアント装置のデータ配列返送部が、上記発見されたデータおよび上記発見された検索キーを保持している場合、所望のデータと上記発見された検索キーとからなるデータ要素を上記データ配列の空の要素に設定し、それ以外の場合、所望のデータと上記１番目の検索キーとからなるデータ要素を上記データ配列の空の要素に設定し、更新されたデータ配列を上記サーバ装置へ送信する、
　データアクセス方法。
　請求項１に記載のデータアクセス方法であって、
　上記サーバ装置のキー関係送信部が、上記キー関係配列または上記キー関係テーブルに記憶されている上記第一キーと上記他のキーとの組をすべて上記クライアント装置へ送信し、
　上記サーバ装置のデータ送信部が、上記データ配列または上記データテーブルに記憶されている上記第一キーと上記データとの組をすべて上記クライアント装置へ送信し、
　上記クライアント装置のキー関係テーブル生成部が、i番目のキー関係配列またはi番目のキー関係テーブルに記憶されていた上記他のキーすべてについて、当該他のキーに基づいて生成したキー関係索引と上記第一キーと上記他のキーとからなるキー関係レコードを記憶するi番目のキー関係テーブルを生成し、
　上記クライアント装置のデータテーブル生成部が、上記データ配列または上記データテーブルに記憶されていた上記第一キーすべてについて、当該第一キーに基づいて生成したデータ索引と上記第一キーと上記データとからなるデータレコードを記憶するデータテーブルを生成する、
　データアクセス方法。
　請求項２に記載のデータアクセス方法であって、
　dは2以上の整数であり、Tは1以上の整数であり、tはT以下の各整数であり、
　上記データテーブルは、kd^T個以下のデータレコードを記憶しており、t段目にkd^t-1個のデータレコードを記憶するためのd-1個のハッシュテーブルを含む階層構造をもち、
　上記キー関係テーブルは、kd^T個以下のキー関係レコードを記憶しており、t段目にkd^t-1個のキー関係レコードを記憶するためのd-1個のハッシュテーブルを含む階層構造をもつ、
　データアクセス方法。
　請求項３に記載のデータアクセス方法であって、
　上記データ記憶システムは、複数台の上記サーバ装置を含み、
　各サーバ装置のデータ記憶部は、上記データテーブルのうち所定の階層のハッシュテーブルであって、他のサーバ装置が記憶していない階層のハッシュテーブルを記憶しており、
　各サーバ装置のキー関係記憶部は、上記i番目のキー関係テーブルのうち所定の階層のハッシュテーブルであって、他のサーバ装置が記憶していない階層のハッシュテーブルを記憶している、
　データアクセス方法。
　サーバ装置とクライアント装置とを含むデータ記憶システムであって、
　k, mは2以上の整数であり、iは2以上m以下の各整数とし、
　上記サーバ装置は、
　データと上記データに紐づく第一キーとからなるデータ要素をk個記憶するためのデータ配列と、上記第一キーに基づいてランダムに生成されたデータ索引と上記第一キーと上記データとからなるデータレコードをk個以上記憶するための少なくとも１個のハッシュテーブルを含むデータテーブルと、を記憶するデータ記憶部と、
　上記第一キーと上記データに紐づく他のキーとからなるキー関係要素をk個記憶するためのキー関係配列と、上記他のキーに基づいてランダムに生成されたキー関係索引と上記第一キーと上記他のキーとからなるキー関係レコードをk個以上記憶するための少なくとも１個のハッシュテーブルを含むキー関係テーブルと、をそれぞれm-1個記憶するキー関係記憶部と、
　i番目のキー関係配列を上記クライアント装置へ送信するキー関係配列送信部と、
　上記クライアント装置から受信したキー関係索引を用いて上記キー関係テーブルから読み出したキー関係レコードを上記クライアント装置へ送信するキー関係テーブル検索部と、
　上記データ配列を上記クライアント装置へ送信するデータ配列送信部と、
　上記クライアント装置から受信したデータ索引を用いて上記データテーブルから読み出したデータレコードを上記クライアント装置へ送信するデータテーブル検索部と、
　を含み、
　上記クライアント装置は、
　m個の検索キーを生成する検索キー生成部と、
　上記サーバ装置から受信したi番目のキー関係配列の中にi番目の検索キーに合致するキー関係要素が存在する場合、当該キー関係要素の第一キーを発見された検索キーとして保持するキー関係配列検索部と、
　i番目の検索キーに基づいて生成したキー関係索引を上記サーバ装置へ送信するキー関係索引生成部と、
　上記サーバ装置から受信したキー関係レコードがi番目の検索キーに合致する場合、当該キー関係レコードの第一キーを上記発見された検索キーとして保持するキー関係レコード参照部と、
　上記発見された検索キーとi番目の検索キーとからなるキー関係要素をi番目のキー関係配列の空の要素に設定したキー関係配列を上記サーバ装置へ送信するキー関係配列返送部と、
　上記サーバ装置から受信したデータ配列の中に上記発見された検索キーまたは上記１番目の検索キーに合致するデータ要素が存在する場合、当該データ要素のデータを発見されたデータとして保持するデータ配列検索部と、
　上記発見された検索キーを保持している場合、上記発見された検索キーに基づいてデータ索引を生成し、上記発見された検索キーを保持していない場合、１番目の検索キーに基づいてデータ索引を生成し、生成されたデータ索引を上記サーバ装置へ送信するデータ索引生成部と、
　上記サーバ装置から受信したデータレコードが上記発見された検索キーまたは１番目の検索キーに合致する場合、当該データレコードのデータを上記発見されたデータとして保持するデータレコード参照部と、
　上記発見されたデータおよび上記発見された検索キーを保持している場合、所望のデータと上記発見された検索キーとからなるデータ要素を上記データ配列の空の要素に設定し、それ以外の場合、所望のデータと上記１番目の検索キーとからなるデータ要素を上記データ配列の空の要素に設定し、更新されたデータ配列を上記サーバ装置へ送信するデータ配列返送部と、
　を含むデータ記憶システム。
　k, mは2以上の整数であり、iは2以上m以下の各整数とし、
　データと上記データに紐づく第一キーとからなるデータ要素をk個記憶するためのデータ配列と、上記第一キーに基づいてランダムに生成されたデータ索引と上記第一キーと上記データとからなるデータレコードをk個以上記憶するための少なくとも１個のハッシュテーブルを含むデータテーブルと、を記憶するデータ記憶部と、
　上記第一キーと上記データに紐づく他のキーとからなるキー関係要素をk個記憶するためのキー関係配列と、上記他のキーに基づいてランダムに生成されたキー関係索引と上記第一キーと上記他のキーとからなるキー関係レコードをk個以上記憶するための少なくとも１個のハッシュテーブルを含むキー関係テーブルと、をそれぞれm-1個記憶するキー関係記憶部と、
　i番目のキー関係配列をクライアント装置へ送信するキー関係配列送信部と、
　上記クライアント装置から受信したキー関係索引を用いて上記キー関係テーブルから読み出したキー関係レコードを上記クライアント装置へ送信するキー関係テーブル検索部と、
　上記データ配列を上記クライアント装置へ送信するデータ配列送信部と、
　上記クライアント装置から受信したデータ索引を用いて上記データテーブルから読み出したデータレコードを上記クライアント装置へ送信するデータテーブル検索部と、
　を含むサーバ装置。
　k, mは2以上の整数であり、iは2以上m以下の各整数とし、
　m個の検索キーを生成する検索キー生成部と、
　サーバ装置から受信したi番目のキー関係配列の中にi番目の検索キーに合致するキー関係要素が存在する場合、当該キー関係要素の第一キーを発見された検索キーとして保持するキー関係配列検索部と、
　i番目の検索キーに基づいて生成したキー関係索引を上記サーバ装置へ送信するキー関係索引生成部と、
　上記サーバ装置から受信したキー関係レコードがi番目の検索キーに合致する場合、当該キー関係レコードの第一キーを上記発見された検索キーとして保持するキー関係レコード参照部と、
　上記発見された検索キーとi番目の検索キーとからなるキー関係要素をi番目のキー関係配列の空の要素に設定したキー関係配列を上記サーバ装置へ送信するキー関係配列返送部と、
　上記サーバ装置から受信したデータ配列の中に上記発見された検索キーに合致するデータ要素が存在する場合、当該データ要素のデータを発見されたデータとして保持するデータ配列検索部と、
　１番目の検索キーに基づいて生成したデータ索引を上記サーバ装置へ送信するデータ索引生成部と、
　上記サーバ装置から受信したデータレコードが上記発見された検索キーまたは１番目の検索キーに合致する場合、当該データレコードのデータを上記発見されたデータとして保持するデータレコード参照部と、
　上記発見されたデータおよび上記発見された検索キーを保持している場合、所望のデータと上記発見された検索キーとからなるデータ要素を上記データ配列の空の要素に設定し、それ以外の場合、所望のデータと上記１番目の検索キーとからなるデータ要素を上記データ配列の空の要素に設定し、更新されたデータ配列を上記サーバ装置へ送信するデータ配列返送部と、
　を含むクライアント装置。
　請求項６に記載のサーバ装置または請求項７に記載のクライアント装置としてコンピュータを機能させるためのプログラム。