WO2021100682A1

WO2021100682A1 - データ管理システム

Info

Publication number: WO2021100682A1
Application number: PCT/JP2020/042719
Authority: WO
Inventors: 山田　浩之
Original assignee: 株式会社Ｓｃａｌａｒ
Priority date: 2019-11-18
Filing date: 2020-11-17
Publication date: 2021-05-27
Also published as: EP4064098A1; JP6895149B1; US20220405353A1; CN114746861A; JP2021184252A; JPWO2021100682A1; EP4064098A4

Abstract

データ管理システムが、対象を指定した状態更新要求を受け付け、当該状態更新要求で指定されている対象の状態を更新する状態更新処理を実行する。状態更新処理は、第１の情報と第２の情報とをＡＣＩＤ（Atomicity, Consistency, Isolation, Durability）トランザクショナルに更新する処理であるトランザクション処理を含む。第１の情報は、対象毎の第１のオブジェクト群（一つ以上の第１のオブジェクト）である。第１のオブジェクトは、対象の状態を表すデータである。第２の情報は、対象毎の第２のオブジェクト群（一つ以上の第２のオブジェクト）である。トランザクション処理は、指定された対象に対応した第１のオブジェクトを作成、更新又は消去する第１の処理と、当該第１の処理の内容と第１のオブジェクトのサマリとの少なくとも一つを含む第２のオブジェクトを、指定された対象に対応した第２のオブジェクト群に追加する第２の処理とを含む。

Description

データ管理システム

　本発明は、概して、データ管理技術に関する。

　データ管理システムに改ざん検知性が必要とされる場合、データ管理システムに分散型台帳技術を適用することが考えられる。分散型台帳技術が適用されたデータ管理システムの一例として、ブロックチェーンが知られている（例えば非特許文献１）。

https://bitcoin.org/bitcoin.pdf

　データを安全に管理したいという要望がある。一般的に、図１Ａに例示するように、データは、ＤＢ（データベース）に格納される。

　しかし、ＤＢは、データの改ざんを検知する機構を有していないため、悪意をもった攻撃等がある場合、必ずしもデータを安全に管理することができない。

　そこで、図１Ｂに例示するように、データを安全に管理するべく、データの管理にブロックチェーンを用いる方法が考えられる。

　しかし、ブロックチェーンは、改ざん検知機構の特性上、データを更新及び消去することができないため、削除要件があるプライバシーデータ等を管理することが難しい。また、ブロックチェーンは、検索性が低いため、アプリケーションを効率的に記述することができない場合がある。

　そこで、図１Ｃに例示するように、データをＤＢ５１に登録し、ＤＢ５１の操作ログ（処理内容の一例）をブロックチェーン５２に登録することで、データの更新又は消去、検索性の向上、及び、改ざん検知性の担保（改ざん検知すること）の全てを実現することが考えられる。

　しかし、ＤＢ５１とブロックチェーン５２は別々のデータ管理システムである。このため、ＤＢ５１とブロックチェーン５２の一貫性を維持することができない。具体的には、例えば、ＤＢ５１が更新を行いその操作ログをブロックチェーン５２に登録する前にブロックチェーン５２に障害が発生すると、ＤＢ５１が更新を行ったがその操作ログがブロックチェーン５２に存在しないことがある。また、ＤＢ５１が改ざんされる可能性があるが、ＤＢ５１とブロックチェーン５２の一貫性は必ずしも維持されないため、ＤＢ５１が改ざんされたのか、或いは、ＤＢ５１の操作ログがブロックチェーン５２に登録されなかったのかを区別することが困難である。

　以上のような問題は、分散型台帳技術以外の技術により改ざん検知性が担保される場合についても起こり得る。

　データ管理システムが、対象を指定した状態更新要求を受け付け、当該状態更新要求で指定されている対象の状態を更新する状態更新処理を実行する。状態更新処理は、第１の情報と第２の情報とをＡＣＩＤ（Atomicity, Consistency, Isolation, Durability）トランザクショナルに更新する処理であるトランザクション処理を含む。第１の情報は、対象毎の第１のオブジェクト群である。第１のオブジェクト群は、一つ以上の第１のオブジェクトである。第１のオブジェクトは、対象の状態を表すデータである。第２の情報は、対象毎の第２のオブジェクト群である。第２のオブジェクト群は、一つ以上の第２のオブジェクトである。トランザクション処理は、指定された対象に対応した第１のオブジェクトを作成、更新又は消去する第１の処理と、当該第１の処理の内容と第１のオブジェクトのサマリとの少なくとも一つを含む第２のオブジェクトを、指定された対象に対応した第２のオブジェクト群に追加する第２の処理とを含む。

　データの更新又は消去、検索性の向上、及び、改ざん検知性の担保を実現することに加え、第１の情報と第２の情報の一貫性の維持を実現することができる。

課題の一例を示す。課題の一例を示す。課題の一例を示す。実施形態の概要を示す。実施形態に係るシステム全体の構成例を示す。クライアントシステム及びノードシステムの構成の一例を示す。 Mutable Record Set及びTamper-evident Record Setの構成例を示す。状態更新処理の概要を模式的に示す。実施形態で行われる処理の一例の流れを示す。

　以下の説明では、「インターフェース装置」は、一つ以上のインターフェースを含む。一つ以上のインターフェースは、一つ以上の同種の通信インターフェースデバイス（例えば一つ以上のＮＩＣ（Network Interface Card））であってもよいし二つ以上の異種の通信インターフェースデバイス（例えばＮＩＣとＨＢＡ（Host Bus Adapter））であってもよい。

　また、以下の説明では、「記憶装置」は、一つ以上のメモリを含む。記憶装置に関して少なくとも一つのメモリは、揮発性メモリでよい。記憶装置は、主に、プロセッサによる処理の際に使用される。記憶装置は、メモリの他に、一つ以上の不揮発性の記憶デバイス（例えば、ＨＤＤ（Hard Disk Drive）又はＳＳＤ（Solid State Drive））を含んでもよい。

　また、以下の説明では、「プロセッサ」は、一つ以上のプロセッサを含む。少なくとも一つのプロセッサは、典型的には、ＣＰＵ（Central Processing Unit）のようなマイクロプロセッサである。一つ以上のプロセッサの各々は、シングルコアでもよいしマルチコアでもよい。プロセッサは、処理の一部または全部を行うハードウェア回路を含んでもよい。

　また、以下の説明では、「プログラム」を主語として処理を説明する場合があるが、プログラムは、プロセッサによって実行されることで、定められた処理を、適宜に記憶装置（例えばメモリ）及び／又はインターフェース装置（例えば通信ポート）等を用いながら行うため、処理の主語がプロセッサとされてもよい。プログラムを主語として説明された処理は、プロセッサあるいはそのプロセッサを有する装置が行う処理としてもよい。また、プロセッサは、処理の一部又は全部を行うハードウェア回路（例えばＦＰＧＡ（Field-Programmable Gate Array）又はＡＳＩＣ（Application Specific Integrated Circuit））を含んでもよい。プログラムは、プログラムソースから計算機のような装置にインストールされてもよい。プログラムソースは、例えば、プログラム配布サーバまたは計算機が読み取り可能な記録媒体（例えば非一時的な記録媒体）であってもよい。また、以下の説明において、二つ以上のプログラムが一つのプログラムとして実現されてもよいし、一つのプログラムが二つ以上のプログラムとして実現されてもよい。

　また、以下の説明では、「ｙｙｙ部」の表現にて機能を説明することがあるが、機能は、一つ以上のコンピュータプログラムがプロセッサによって実行されることで実現されてもよいし、一つ以上のハードウェア回路（例えばＦＰＧＡ又はＡＳＩＣ）によって実現されてもよいし、それらの組合せによって実現されてもよい。プログラムがプロセッサによって実行されることで機能が実現される場合、定められた処理が、適宜に記憶装置及び／又はインターフェース装置等を用いながら行われるため、機能はプロセッサの少なくとも一部とされてもよい。機能を主語として説明された処理は、プロセッサあるいはそのプロセッサを有する装置が行う処理としてもよい。各機能の説明は一例であり、複数の機能が一つの機能にまとめられたり、一つの機能が複数の機能に分割されたりしてもよい。

　また、以下の説明では、同種の要素を区別しないで説明する場合には、参照符号のうちの共通符号を使用し、同種の要素を区別する場合は、参照符号を使用することがある。

　また、以下の説明では、「record」とは、アプリケーションプログラムのようなプログラムから見た１つの論理的な電子データの塊であり、具体的には、対象の状態を表すデータであるオブジェクトの一例である。recordとしてのデータは、例えば、キーバリューペア又はタプルがある。

　また、以下の説明では、下記の用語定義が採用される。
・「対象」は、任意の有体物又は無体物である。例えば、「対象」として、口座を採用し、対象の状態として、残高を採用することができる。
・「状態更新要求」は、状態更新処理の要求である。
・「状態更新処理」は、対象の状態を更新する処理である。
・「Mutable Record Set」は、第１の情報の一例である。
・「mutable record」は、Mutable Record Setにおけるrecordであり、第１のオブジェクトの一例である。
・「Tamper-evident Record Set」は、第２の情報の一例である。
・「tamper-evident record」は、Tamper-evident Record Setにおけるrecordであり、第２のオブジェクトの一例である。

　以下、本発明の一実施形態を説明する。

　図２は、実施形態の概要を示す。

　データ管理システム１０が、クライアントプログラム１３４から、対象を指定した状態更新要求を受け付け、当該状態更新要求で指定されている対象の状態を更新する状態更新処理を実行する。状態更新処理は、Mutable Record Set２０１とTamper-evident Record Set２０２とをＡＣＩＤ（Atomicity, Consistency, Isolation, Durability）トランザクショナルに更新する処理であるトランザクション処理を含む。

　本実施形態では、データ管理システム１０が、ＤＢであり、上述のトランザクション処理は、ＤＢのトランザクション処理である。なお、Mutable Record Set２０１とTamper-evident Record Set２０２とが格納されるデータ管理システムとして、ＤＢ以外のシステム、例えば、ファイルシステムが採用されてもよい。このように、Mutable Record Set２０１とTamper-evident Record Set２０２が一つのデータ管理システム１０に格納されトランザクション処理はそのデータ管理システム１０により行われるが、Mutable Record Set２０１とTamper-evident Record Set２０２の一貫性を維持した改ざんがされる可能性を低減するために、例えば、下記のうちの少なくとも一つが採用されてもよい。
・Mutable Record Set２０１の管理者（例えば、企業や部署といった組織）とTamper-evident Record Set２０２の管理者は異なっている。
・Mutable Record Set２０１とTamper-evident Record Set２０２は地理的に異なる場所に存在する。

　Mutable Record Set２０１は、対象毎のmutable record群である。mutable record群は、一つ以上のmutable recordである。mutable recordは、対象の状態を表すデータである。

　Tamper-evident Record Set２０２は、対象毎のtamper-evident record群である。tamper-evident record群は、一つ以上のtamper-evident recordである。各対象について、tamper-evident record群は、台帳に相当してよい。各対象について、tamper-evident record群は、tamper-evident recordの時系列でよい。tamper-evident recordの改ざん検知は、任意の方法に従う検知（例えば、構造を利用した検知、又は、決定性を利用した検知）でよい。本実施形態では、構造を利用した検知が採用される。具体的には、例えば、本実施形態では、Tamper-evident Record Set２０２は、ＤＡＧ（Directed Acyclic Graph）をなすrecord群である。

　トランザクション処理は、指定された対象に対応したmutable recordを作成、更新又は消去する第１の処理と、当該第１の処理の内容と第１のオブジェクトのサマリとの少なくとも一つを含むtamper-evident recordを、上記指定された対象に対応したtamper-evident record群に追加する第２の処理とを含む。

　以下、本実施形態を詳細に説明する。

　図３は、本実施形態に係るシステム全体の構成の一例を示す。

　一つ又は複数のクライアントシステム１３Ａ、１３Ｂ、…と、サーバシステム１５が、通信ネットワーク１９を介して通信可能に接続される。サーバシステム１５が、一つ又は複数のノードシステム１３００Ａ、１３００Ｂ、…から構成される。

　クライアントシステム１３は、クライアントプログラム１３４を実行する。クライアントプログラム１３４の他にユーザプログラム１２４を実行するクライアントシステム１３があってもよいし（例えばクライアントシステム１３Ａ）、ユーザプログラム１２４を実行するユーザシステム１２に通信ネットワーク１４を介して接続されたクライアントシステム１３（例えばクライアントシステム１３Ｂ）があってもよい。ユーザシステム１２は、ユーザの計算機（例えば、パーソナルコンピュータ）でよい。ユーザプログラム１２４は、Ｗｅｂブラウザでもよいしアプリケーションプログラムでもよい。通信ネットワーク１４は通信ネットワーク１９と一体でもよい。

　データ管理システム１０は、ノードシステム１３００で実行されるサーバプログラム１５４を備える。データ管理システム１０は、クライアントシステム１３Ａ、１３Ｂ、…で実行されるクライアントプログラム１３４を含んでもよい。

　図４は、クライアントシステム１３及びノードシステム１３００の構成の一例を示す。

　クライアントシステム１３は、一つ又は複数のクライアント計算機１３０を含む。クライアントシステム１３が含むクライアント計算機１３０は一つでもよいため、一つのクライアント計算機１３０が一つのクライアントシステム１３でもよい。

　クライアント計算機１３０は、インターフェース装置１３１、記憶装置１３２及びそれらに接続されたプロセッサ１３３を有する。

　インターフェース装置１３１は、通信ネットワーク１９に接続される。

　記憶装置１３２は、クライアントプログラム１３４及びクライアント管理データ１３５を記憶する。クライアント管理データ１３５は、クライアント計算機１３０において管理されるデータである。例えば、クライアント管理データ１３５は、秘密鍵３６１を含む。秘密鍵３６１は、ユーザの秘密鍵である。クライアント計算機１３０が複数のユーザに共有される場合（例えば、クライアント計算機１３０に複数のユーザシステム１２が通信ネットワーク１４を介して接続されている場合）、ユーザ毎に秘密鍵３６１が記憶される。なお、ユーザは、個人であっても組織（例えば、企業や金融機関）であってもよい。

　プロセッサ１３３は、クライアントプログラム１３４を実行する。クライアントプログラム１３４がプロセッサ１３３に実行されることで、状態更新要求を発行する発行部４１１が実現される。

　ノードシステム１３００は、一つ又は複数のサーバ計算機１５０を含む。サーバシステム１５が含むノードシステム１３００は一つでもよく、ノードシステム１３００が含むサーバ計算機１５０は一つでもよいため、一つのサーバ計算機１５０がサーバシステム１５でもよい。従って、データ管理システム１０が、一つのサーバ計算機１５０における一つのサーバプログラム１５４を含んだシステムでもよいし、更に、一つのクライアント計算機１３０における一つのクライアントプログラム１３４を含んだシステムでもよい。

　サーバ計算機１５０は、インターフェース装置１５１、記憶装置１５２及びそれらに接続されたプロセッサ１５３を有する。

　インターフェース装置１５１は、通信ネットワーク１９に接続される。

　記憶装置１５２は、サーバプログラム１５４及びサーバ管理データ１５５を記憶する。サーバ管理データ１５５は、サーバ計算機１５０において管理されるデータである。例えば、サーバ管理データ１５５は、公開鍵４６１と、Mutable Record Set２０１とTamper-evident Record Set２０２とを含む。Mutable Record Set２０１とTamper-evident Record Set２０２は、データ管理システム１０に格納されるデータであり、一つ以上のサーバ計算機１５０に分散して存在してもよい。

　プロセッサ１５３は、サーバプログラム１５４を実行する。サーバプログラム１５４がプロセッサ１５３に実行されることで、状態更新要求を受け付ける受付部４２１と、状態更新要求で指定されている対象の状態を更新する状態更新処理を実行する実行部４２２とが実現される。サーバプログラム１５４が、例えば、ＤＢＭＳ（DataBase Management System）として機能してよい。

　図５は、Mutable Record Set２０１及びTamper-evident Record Set２０２の構成例を示す。図５は、説明を簡単にするために、Mutable Record Set２０１及びTamper-evident Record Set２０２の各々のうち、一つの対象（key“abc”）に該当する部分を示しているが、上述したように、mutable recordもtamper-evident recordも対象毎に存在する。

　mutable recordは、F-outputを持つ。F-outputは、Functionが実行されることにより格納されたデータであり、対象の最新状態を表す。

　tamper-evident recordは、key５０１、age５０２、C-input５０３、C-output５０４、Function５０５Ｆ、Contract５０５Ｃ、C-arg５０６、nonce５０７、Sig５０８、Prev-HV５０９及びHV５１０といった情報を持つ。

　key５０１は、対象のＩＤである。age５０２は、対象の状態の世代を表す。対象の状態が更新される都度に、インクリメントされたage５０２を持つtamper-evident recordが追加される。

　C-input５０３は、対象を含む一つ以上の対象の各々の直前状態を表す。C-output５０４は、Functionの実行により行われた処理の内容を表す。例えば、対象が口座Ａであり、状態更新処理が、口座Ａ（対象の一例）から口座Ｂ（或る別の対象の一例）へのX円の振込である場合、当該状態更新処理により追加されたtamper-evident recordにおけるC-input５０３及びC-output５０４は、それぞれ下記でよい。
・C-input５０３は、口座Ａと口座Ｂの各々の直前の残高を表す（C-input７０３が、対象間（tamper-evident record群間）のrecord連鎖を実現できる）。
・C-output５０４は、口座Ａから口座ＢへのX円の振込みという処理内容を表す。

　Function５０５Ｆは、Functionの参照である（Functionそれ自体でもよい）。Functionは、Mutable Record Set２０１を操作する処理ロジック（例えば関数）である。

　Contract５０５Ｃは、Contractの参照である（Contractそれ自体でもよい）。Contractは、Tamper-evident Record Set２０２を操作する処理ロジックである。

　Function及びContractは、データ管理システム１０のアプリケーションの処理ロジックの一部でよい。Function及びContractは、ユーザシステム１２、クライアントシステム１３及びサーバシステム１５の少なくとも一つにデプロイされていてよい。Function及びContractの各々に対し電子署名が付与されていてよい。当該電子署名は、ユーザの秘密鍵３６１を用いた電子署名でよい。

　本実施形態では、Mutable Record Set２０１を操作する処理ロジックとTamper-evident Record Set２０２を操作する処理ロジックとが別々の処理ロジックであるが、それらの処理ロジックが一つの処理ロジックとして定義されてもよい。

　C-arg５０６は、Contractに使用される引数群（一つ以上の引数）である。

　nonce５０７は、対象の最新状態（C-output５０４）に対応したnonceである。具体的には、nonce５０７は、当該最新状態が得られた状態更新処理の状態更新要求に関連付けられているnonceである。

　Sig５０８は、状態更新要求を発行したユーザの秘密鍵３６１を用いた電子署名である。Sig５０８は、本実施形態では、Function５０５Ｆ、Contract５０５Ｃ及びC-arg５０６を含んだ情報セットに対する電子署名である。当該情報セットは、nonce５０７のような他の情報を含んでもよい。

　Prev-HV５０９は、対象の直前世代のtamper-evident record（つまり親tamper-evident record）のHV５１０と同じ値である。つまり、Prev-HV５０９と、親tamper-evident record内のHV５１０とのリンクが、対象に対応したtamper-evident record群でのrecord連鎖を実現する。

　HV５１０は、対象のTamper-evident recordのサマリ、例えばHV５１０以外の情報の少なくとも一部の情報（本実施形態では全ての情報５０１～５０９）のハッシュ値（暗号学的に衝突が困難なハッシュ値）である。

　以上の通り、Tamper-evident Record Set２０２において、異なるtamper-evident record群のC-input５０３間でrecord連鎖が実現され、また、同一のtamper-evident record群におけるtamper-evident record間（Prev-HV５０９とHV５１０間）でrecord連鎖が実現される。このようにして、Tamper-evident Record Set２０２は、ＤＡＧ構造をなす。Tamper-evident Record Set２０２において、ノードは、tamper-evident recordであり、エッジは、一つ以上の状態更新処理におけるtamper-evident record間の関係を表す。

　図６は、状態更新処理を模式的に示す。

　説明を簡単にするために、一つの対象（key“abc”）を例に取る。以下の説明において、C-output_iは、Age“i”のC-outputである（iは、０～Ｎの整数）。同様に、Age“i”に対応した要素“AAA”を、「AAA_i」と表現する。

　Contract及びFunctionがそれぞれ事前にサーバシステム１５（又はサーバシステム１５の外部のシステム）にデプロイされている。Contract及びFunctionのそれぞれに対して電子署名が付与されている。このため、Contract及びFunctionのいずれについても、改ざんの検知が可能である。状態更新要求には、デプロイ済のContractの参照とFunctionの参照とが指定される。

　C-output_i＝Contract_i(C-input_i, C-arg_i)と表現することができる。すなわち、C-output_iは、C-input_i,とC-arg_iとを用いてContract_iが実行された結果としての状態である。i=0の場合、C-output_iは、エンプティ状態であるため、C-output₀の改ざん検知は可能である。C-arg₁は、Sig₁を用いて改ざん検知でき、Cotarct₁の改ざん検知もできるため、C-output₁の改ざんの検知も可能である（Cotarct₁の参照の改ざんは、Sig₁を用いて検知でき、Cotarct₁それ自体の改ざんは、Cotarct₁それ自体に対する電子署名を用いて検知できる）。同様に、C-output_iのi=2～Nまで、改ざんの検知は可能である。

　同様に、F-outoput_i＝Function_i(F-outoput_i-1, F-arg_i,C-arg_i）と表現することができる。C-arg_iは、HV_F-arg_i（F-arg_iのハッシュ値）を含み、C-arg_iを用いてF-arg_iの改ざんの検知が行われる。

　アプリケーションによっては、C-output_i＝Contract_i(C-arg_i)と表現されてよいし、F-outoput_i＝Function_i(F-arg_i,
C-arg_i）と表現されてよい。例えば、C-output_iは、対象の最新状態のサマリでもよい。

　C-arg_iとF-arg_iのように引数が分かれている理由は、次の通りである。C-arg_iは、tamper-evident recordに格納され、C-arg_iに、消去要件があるデータ（例えば、プライバシーデータ）が含まれると、消去要件があるデータがtamper-evident recordに格納され、結果として、消去要件があるデータを消去することが困難となるためである。

　そこで、引数がC-arg_iとF-arg_iに分離され、HV_F-arg_i（F-arg_iのハッシュ値）がC-arg_iに含まれることにより、F-arg_iの改ざんが検知される。HV_F-arg_iは、F-arg_iのサマリの一例である。

　i=3を例に取り、図６を参照して、状態更新処理を説明する。なお、図６において、tamper-evident record_iのPrev-HV_iと、tamper-evident record_i-1のHV_i-1は同じである。

　発行部４１１（クライアントプログラム１３４）が、対象を指定した状態更新要求₃を発行し、受付部４２１（サーバプログラム１５４）が、状態更新要求₃を受け付ける。状態更新要求₃は、Contract₃の参照、C-arg₃、Function₃の参照、F-arg₃、及びSig₃を含む。

　Sig₃は、Contract₃の参照、C-arg₃及びFunction₃の参照に対する電子署名であるため、Sig₃を用いて、Contract₃の参照、C-arg₃及びFunction₃の参照の改ざんの検知が可能である。F-arg₃に対しては、上述したように電子署名は無い。

　実行部４２２（サーバプログラム１５４）が、状態更新要求₃で指定されている対象の状態を更新する状態更新処理を実行する。状態更新処理は、第１の改ざん検知処理、第２の改ざん検知処理、及び、ＤＢのトランザクション処理を含む。

　第１の改ざん検知処理は、Sig₃を用いて、Contract₃の参照、C-arg₃及びFunction₃の参照の改ざんを検知する処理である。C-arg₃がHV_F-arg₃を含むため、第１の改ざん検知処理は、HV_F-arg₃の改ざんを検知することを含む。第１の改ざん検知処理において、改ざんが検知されない場合、第２の改ざん検知処理が行われる。

　第２の改ざん検知処理は、C-arg₃内のHV_F-arg₃を用いてF-arg₃の改ざんを検知する処理である。第２の改ざん検知処理は、F-arg_３のハッシュ値を算出し、算出されたハッシュ値と、HV_F-arg_iとを比較することを含む。算出されたハッシュ値とHV_F-arg₃が異なっている場合、F-arg_iの改ざんがあると検知される。

　ＤＢのトランザクション処理は、Mutable Record Set２０１及びTamper-evident Record Set２０２をＡＣＩＤトランザクショナルに更新する処理、具体的には、下記を含む。
・Function₃の実行、すなわち、F-arg₃を用いて、状態更新要求₃で指定された対象に対応したmutable recordをcreate、read、update又はdeleteすること。
・Contract₃の実行、すなわち、C-arg₃を用いて新たなtamper-evident recordをcreateし、当該新たなtamper-evident recordをTamper-evident Record Set２０２に追加すること（Contract₃の実行では、Tamper-evident Record Set２０２のcreateに代えて又は加えて、tamper-evident recordのreadが行われてもよい）。追加されたtamper-evident recordは、Contract₃の参照、C-arg₃、Function₃の参照、Sig₃、Prev-HV₃（HV₂と同じハッシュ値）、及び、HV₃（Contract₃の参照、C-arg₃、Function₃の参照、Sig₃、Prev-HV₃を含んだ情報セットのハッシュ値）を含む。

　図７は、実施形態で行われる処理の一例の流れを示す。

　発行部４１１（クライアントプログラム１３４）が、Contract_iの参照、C-arg_i、Function_iの参照、F-arg_i、及び、Sig_iを含んだ状態更新要求_iを作成する（Ｓ７０１）。Sig_iは、Contract_iの参照、C-arg_i、及び、Function_iの参照に対する電子署名であり、ユーザの秘密鍵３６１を用いて作成される。

　発行部４１１が、Ｓ７０１で作成された状態更新要求_iを送信する（Ｓ７０２）。

　受付部４２１（サーバプログラム１５４）が、状態更新要求_iを受信する（Ｓ７１１）。実行部４２２（サーバプログラム１５４）が、第１の改ざん検知処理を行う（Ｓ７１２）。第１の改ざん検知処理は、状態更新要求_i内のSig_iを用いて、状態更新要求_i内のContract_iの参照、C-arg_i、及び、Function_iの参照の改ざんを検知する処理である。当該処理では、ユーザの公開鍵４６１が用いられてよい。Ｓ７１２において改ざんが検知された場合（Ｓ７１２：Ｙｅｓ）、例えば、実行部４２２が、状態更新要求_iに対する応答としてエラーを返し、処理を終了する。

　Ｓ７１２において改ざんが検知されない場合（Ｓ７１２：Ｎｏ）、実行部４２２が、第２の改ざん検知処理を行う（Ｓ７１３）。第２の改ざん検知処理は、F-arg_iのハッシュ値を算出し、算出されたハッシュ値と、C-arg_i内のHV_F-arg_iとを比較することで、F-arg_iの改ざんを検知する処理である。F-arg_iの改ざんが検知された場合（Ｓ７１３：Ｙｅｓ）、例えば、実行部４２２が、トランザクションをアボートする（Ｓ７１８）。

　Ｓ７１３においてF-arg_iの改ざんが検知されない場合（Ｓ７１３：Ｎｏ）、実行部４２２が、ＤＢのトランザクション処理を開始する（Ｓ７１４）。例えば、実行部４２２が、Beginを実行する。

　実行部４２２が、Function_iを実行する（Ｓ７１５）。Function_iの実行において、実行部４２２が、F-arg_iを用いてmutable recordのcreate、read、update又はdeleteを行う。

　実行部４２２が、Contract_iを実行する（Ｓ７１６）。Contract_iの実行において、実行部４２２が、C-arg_iを用いて新たなtamper-evident recordをcreateし当該新たなtamper-evident recordをTamper-evident Record Set２０２に追加する（createに代えてreadが行われてもよい）。

　実行部４２２が、トランザクション処理を終了する（Ｓ７１７）。例えば、実行部４２２が、Commitを実行する。

　図７の説明において、下記のうちの少なくとも一つが採用されてよい。
・第１の改ざん検知処理及び第２の改ざん検知処理のうちの少なくとも一つが、トランザクション処理の開始から終了までの間に行われてよい。
・Contract_iの実行が、Function_iの実行よりも先に行われてよい。
・トランザクション処理の開始と終了の表現として、BeginとCommit以外の表現が採用されてよい。
・状態更新要求_i及びtamper-evident record_iにおいて、HV_F-arg_iが、C-arg_iの外にあり、Sig_iに加えて、HV_F-arg_iに対する電子署名が存在してよい。

　以上のように、本実施形態によれば、Mutable Record Set２０１とTamper-evident Record Set２０２とがＡＣＩＤトランザクショナルに更新される。そのため、データの更新又は消去、検索性の向上、及び、改ざん検知性の担保を実現することに加え、Mutable Record Set２０１とTamper-evident Record Set２０２との一貫性の維持を実現することができる。

　また、本実施形態によれば、消去されたmutable recordが表す状態（例えば、消去要件があるプライバシーデータ）は、Mutable Record Set２０１及びTamper-evident Record Set２０２のいずれからも復元困難である。なぜなら、Mutable Record Set２０１には、消去されたmutable recordは存在せず、Tamper-evident Record Set２０２にはF-argのハッシュ値であるHV_F-argがあるが、HV_F-argからはF-argを特定することは困難なためである。

　また、本実施形態によれば、状態更新要求_i内にF-arg_iに対する電子署名は無いが、C-arg_iにHV_F-arg_iが含まれ、C-arg_iに対するSig_iがあるため、F-arg_iの改ざんを検知することができる。

　以上、一実施形態を説明したが、これらは本発明の説明のための例示であって、本発明の範囲をこれらの実施形態にのみ限定する趣旨ではない。本発明は、他の種々の形態でも実行することが可能である。

１０：データ管理システム

Claims

　対象を指定した状態更新要求を受け付ける受付部と、
　前記状態更新要求で指定されている対象の状態を更新する状態更新処理を実行する実行部と
を備え、
　前記状態更新処理は、第１の情報と第２の情報とをＡＣＩＤ（Atomicity, Consistency, Isolation, Durability）トランザクショナルに更新する処理であるトランザクション処理を含み、
　前記第１の情報は、対象毎の第１のオブジェクト群であり、
　第１のオブジェクト群は、一つ以上の第１のオブジェクトであり、
　第１のオブジェクトは、対象の状態を表すデータであり、
　前記第２の情報は、対象毎の第２のオブジェクト群であり、
　第２のオブジェクト群は、一つ以上の第２のオブジェクトであり、
　前記トランザクション処理は、
　　前記指定された対象に対応した第１のオブジェクトを作成、更新又は消去する第１の処理と、
　　当該第１の処理の内容と第１のオブジェクトのサマリとの少なくとも一つを含む第２のオブジェクトを、前記指定された対象に対応した第２のオブジェクト群に追加する第２の処理と
を含む、
データ管理システム。
　前記状態更新要求は、
　　前記第１の処理に使用される一つ以上の引数である第１の引数群と、
　　前記第１の引数群のサマリである引数群サマリと、
　　前記引数群サマリに対する電子署名と
を含み、
　前記実行部は、
　　前記電子署名を用いて、前記引数群サマリの改ざんの有無を検知する第１の改ざん検知処理と、
　　前記第１の改ざん検知処理において改ざんが無いことが検知された場合に、前記引数群サマリを用いて、前記第１の引数群の改ざんの有無を検知する第２の改ざん検知処理と
を行う、
請求項１に記載のデータ管理システム。
　前記第１の情報及び前記第２の情報は、それぞれデータベースに含まれる情報であり、
　前記トランザクション処理は、前記データベースのトランザクション処理である、
請求項１に記載のデータ管理システム。
　データ管理システムが、対象を指定した状態更新要求を受け付け、
　前記データ管理システムが、前記状態更新要求で指定されている対象の状態を更新する状態更新処理を実行し、
　前記状態更新処理は、第１の情報と第２の情報とをＡＣＩＤ（Atomicity, Consistency, Isolation, Durability）トランザクショナルに更新する処理であるトランザクション処理を含み、
　前記第１の情報は、対象毎の第１のオブジェクト群であり、
　第１のオブジェクト群は、一つ以上の第１のオブジェクトであり、
　第１のオブジェクトは、対象の状態を表すデータであり、
　前記第２の情報は、対象毎の第２のオブジェクト群であり、
　第２のオブジェクト群は、一つ以上の第２のオブジェクトであり、
　前記トランザクション処理は、
　　前記指定された対象に対応した第１のオブジェクトを作成、更新又は消去する第１の処理と、
　　当該第１の処理の内容と第１のオブジェクトのサマリとの少なくとも一つを含む第２のオブジェクトを、前記指定された対象に対応した第２のオブジェクト群に追加する第２の処理と
を含む、
データ管理方法。
　対象を指定した状態更新要求を受け付け、
　前記状態更新要求で指定されている対象の状態を更新する状態更新処理を実行する、
ことをコンピュータに実行させ、
　前記状態更新処理は、第１の情報と第２の情報とをＡＣＩＤ（Atomicity, Consistency, Isolation, Durability）トランザクショナルに更新する処理であるトランザクション処理を含み、
　前記第１の情報は、対象毎の第１のオブジェクト群であり、
　第１のオブジェクト群は、一つ以上の第１のオブジェクトであり、
　第１のオブジェクトは、対象の状態を表すデータであり、
　前記第２の情報は、対象毎の第２のオブジェクト群であり、
　第２のオブジェクト群は、一つ以上の第２のオブジェクトであり、
　前記トランザクション処理は、
　　前記指定された対象に対応した第１のオブジェクトを作成、更新又は消去する第１の処理と、
　　当該第１の処理の内容と第１のオブジェクトのサマリとの少なくとも一つを含む第２のオブジェクトを、前記指定された対象に対応した第２のオブジェクト群に追加する第２の処理と
を含む、
コンピュータプログラム。