[go: up one dir, main page]

JP2008250369A - 機密データファイルの管理方法、管理システム及びプロキシサーバ - Google Patents

機密データファイルの管理方法、管理システム及びプロキシサーバ Download PDF

Info

Publication number
JP2008250369A
JP2008250369A JP2007087149A JP2007087149A JP2008250369A JP 2008250369 A JP2008250369 A JP 2008250369A JP 2007087149 A JP2007087149 A JP 2007087149A JP 2007087149 A JP2007087149 A JP 2007087149A JP 2008250369 A JP2008250369 A JP 2008250369A
Authority
JP
Japan
Prior art keywords
file
data
sub
encryption key
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2007087149A
Other languages
English (en)
Inventor
Masaaki Seto
雅章 瀬戸
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
SORUN CORP
Original Assignee
SORUN CORP
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by SORUN CORP filed Critical SORUN CORP
Priority to JP2007087149A priority Critical patent/JP2008250369A/ja
Publication of JP2008250369A publication Critical patent/JP2008250369A/ja
Pending legal-status Critical Current

Links

Images

Landscapes

  • Storage Device Security (AREA)

Abstract

【課題】外部のストレージサービスを利用する場合でも、ネットワーク上の情報漏洩やサーバ管理者の不正行為による情報漏洩を有効に防止し、機密データの管理負荷の低減とセキュリティの維持とを同時に実現する。
【解決手段】ユーザが使用する端末装置5が内部ネットワークNiを介して接続されると共に、外部ネットワークNoを介してn台(n≧3)のファイルサーバ4が接続されるプロキシサーバ3であって、内部ネットワークNiを介して、ユーザ端末5から機密データファイルをユーザ情報と共に受け取る機能と、ユーザ情報を使用してファイル名暗号キーを生成してファイル名を暗号化する機能と、機密データファイルを3以上のサブデータに冗長的に分割する機能と、ファイル名暗号キーを利用してファイル内容暗号キーを生成して複数のサブデータを夫々暗号化する機能と、外部ネットワークNoを介して、暗号化された複数のサブデータと暗号化されたファイル名とを複数のファイルサーバ4に夫々格納する機能とを備えた。
【選択図】 図1

Description

本発明は、ユーザが使用する1以上の端末装置が内部ネットワークを介して接続されると共に、n台(n≧3)のファイル記憶装置が外部ネットワークを介して接続されるプロキシサーバによって機密データファイルを管理する方法、その方法を実行可能な管理システム及びプロキシサーバに関する。
従来より、地方自治体や企業が保有する個人情報などの機密情報を格納したデータベース(DB)の管理・運営を専門の外部団体や民間企業に委託することが多い。この場合に、不正行為による情報漏洩を防止するため、データの暗号化やDBサーバへのアクセス制限などの対策が採られている。
また、情報セキュリティの手法として、RAID(Redundant Arrays of Inexpensive Disks)によるデータの冗長分散が実用化されている。ただ、このRAIDは、データベースではなくファイルのレベルで処理するため、ファイルにアクセスすれば全データを読み取れる事になり機密保護の対策としては有効ではない。また、RAIDは同一拠点での冗長分散を前提にしており、ネットワークを経由すると実用的な性能を得られないため、広域での分散管理には不向きである。いわゆるミラーリング(RAID−1)においても同様の問題がある。
さらに、物理ファイルを暗号化する仕組みも存在するが、ファイル全体を復号化してメモリ上に保存しないと個々のデータを処理できず、結果的にファイル単位で暗号化する必要があるため、個々のレコードや項目を扱うデータベースには不向きである。
このような点に鑑みて、本出願人は、機密データの管理方法として、データの暗号化と分散化と冗長化とを組み合わせて強固なセキュリティを実現する仕組みを下記の特許文献1で提案した。この特許文献1の発明によれば、データベースを冗長的に分散配置する方法により、機密情報の漏洩を有効に防止することができる。すなわち、データベース全体ではなく、個々のレコードや項目を考慮して冗長分散を行うため、一部の記憶装置に対する不正アクセスやファイルサーバ管理者の不正行為などで個々のサブデータを盗聴されても復号化することは不可能である。また、仮に、一部のサブデータを復号化できたとしても、全てのサブデータを取得して復号化しなければファイル内容を解読することはできない。これにより、機密データのセキュリティを飛躍的に向上させることができるものである。
この特許文献1以外にも、機密データの管理方法として、例えば以下の特許文献2、3が参考になる。
特開2006−228202号公報 特開平11−102262号公報 特開2000−76207号公報
ところで、従来のデータ管理方法では、ファイル管理の委託者が作成した機密データファイルを、受託者のホストコンピュータに送信して冗長的に分散配置させる場合に、暗号化する前のデータ(平文)がインターネットなどのオープンネットワーク上に流れることになり、機密データが漏洩するおそれがある。この点については、委託者の端末装置や社内の管理用コンピュータと受託者のホストコンピュータとを専用回線で接続することも考えられる。
しかし、ファイル管理の受託者は、多数の委託者から業務委託を受け付けているのが通常であるため、個々の委託者との間で個別に専用ネットワークを構築することはコストや管理の負荷の面で現実的でない。そもそも、機密情報の管理をオープンネットワーク上のストレージサービス事業者にアウトソーシングするメリットは、委託者社内での管理負荷やコストを低減することであるから、このような専用ネットワークを構築することは上記メリットを著しく減殺することになる。
また、受託者のホストコンピュータの管理者は、委託者から受け取った機密データファイルや暗号キーなどの情報を入手できることになるため、この管理者の不正行為によって機密データが漏洩する可能性もある。
本発明は、このような課題を解決するためになされたもので、セキュリティが維持されていない外部ネットワーク上で提供されているストレージサービスを利用する場合でも、ネットワーク上の情報漏洩やサーバ管理者の不正行為による情報漏洩を有効に防止でき、機密データの管理負荷の低減とセキュリティの維持とを同時に実現できるデータ管理方法、データ管理システム及びサーバ装置を提供することを目的とする。
本発明の第1の主要な観点によれば、特定のユーザが使用する1以上の特定の端末装置が内部ネットワークを介して接続されると共に、n台(n≧3)のファイル記憶装置がオープンな外部ネットワークを介して接続されるプロキシサーバによって機密データファイルを管理する方法であって、前記プロキシサーバが、内部ネットワークを介して、ユーザの端末装置から管理対象の機密データファイルを当該ユーザの情報と共に受け取る機密データファイル受取工程と、受け取ったユーザ情報を使用してファイル名暗号キーを生成し、この暗号キーで機密データファイルのファイル名を暗号化するファイル名暗号化工程と、機密データファイルを3以上のサブデータに冗長的に分割するファイル分割工程と、前記ファイル名暗号キーを使用してファイル内容暗号キーを生成するファイル内容暗号キー生成工程と、前記分割した複数のサブデータを前記ファイル内容暗号キーによって夫々暗号化するファイル内容暗号化工程と、外部ネットワークを介して、暗号化された複数のサブデータを暗号化されたファイル名に関連付けて前記複数のファイル記憶装置に夫々格納する分散格納工程とを実行することを特徴とする方法が提供される。
また、本発明の第2の主要な観点によれば、ユーザが使用する1以上の端末装置が内部ネットワークを介して接続されるプロキシサーバと、このプロキシサーバに外部ネットワークを介して接続されるn台(n≧3)のファイル記憶装置とを備えた機密データファイルの管理システムであって、内部ネットワークを介して、ユーザの端末装置から管理対象の機密データファイルを当該ユーザの情報と共に受け取る機密データファイル受取手段と、受け取ったユーザ情報を使用してファイル名暗号キーを生成し、この暗号キーで機密データファイルのファイル名を暗号化するファイル名暗号化手段と、機密データファイルを3以上のサブデータに冗長的に分割するファイル分割手段と、前記ファイル名暗号キーを使用してファイル内容暗号キーを生成するファイル内容暗号キー生成手段と、前記分割した複数のサブデータを前記ファイル内容暗号キーによって夫々暗号化するファイル内容暗号化手段と、外部ネットワークを介して、暗号化された複数のサブデータを暗号化されたファイル名に関連付けて前記複数のファイル記憶装置に夫々格納する分散格納手段とを実行することを特徴とする機密データファイルの管理システムが提供される。
また、本発明の第3の主要な観点によれば、ユーザが使用する1以上の端末装置が内部ネットワークを介して接続されると共に、外部ネットワークを介してn台(n≧3)のファイル記憶装置が接続される、機密データファイルの管理システム用のプロキシサーバであって、内部ネットワークを介して、ユーザの端末装置から管理対象の機密データファイルを当該ユーザの情報と共に受け取る機密データファイル受取手段と、受け取ったユーザ情報を使用してファイル名暗号キーを生成し、この暗号キーでファイル名を暗号化するファイル名暗号化手段と、機密データファイルを3以上のサブデータに冗長的に分割するファイル分割手段と、前記ファイル名暗号キーを利用してファイル内容暗号キーを生成するファイル内容暗号キー生成手段と、前記分割した複数のサブデータを前記ファイル内容暗号キーによって夫々暗号化するファイル内容暗号化手段と、外部ネットワークを介して、暗号化された複数のサブデータを暗号化されたファイル名に関連付けて前記複数のファイル記憶装置に夫々格納する分散格納手段とを備えたことを特徴とするプロキシサーバが提供される。
上記のような構成によれば、セキュリティが維持された内部ネットワークに接続されるサーバ装置によって機密データを分割して暗号化してから外部ネットワーク上の複数の記憶装置(ファイルサーバ等)に分散配置すると共に、この場合の暗号キーを、ファイル名及びファイル内容に基づいて生成することにした。そのため、ファイルサーバの管理者などの第三者が、外部ネットワーク上で若しくはファイルサーバ等に不正アクセスすることで、暗号化されたファイル名及びファイルデータを取得したとしても、それを復号化することはできない。これにより、機密データの漏洩を有効に防止できる。
また、ユーザが分散配置されたデータを復元したい場合には、サーバ装置にファイル名を通知することで、暗号化されたファイル名をキーとして複数の記憶装置に分散配置された分割データが収集される。これらの分割データをファイル内容に基づく復号キーで復号化した上でマージすることで、元のデータを復元できる。このような一連の処理は、内部ネットワーク上のサーバ装置(プロキシサーバ等)が行うため、情報漏洩のおそれがない。
さらに、内部ネットワーク上のサーバ装置には、暗号化されたファイル名などが格納されるだけで、機密データの内容はもとより、暗号キーなどの有意の情報は保存されない。そのため、サーバ装置に不正アクセスされて情報が漏洩したとしても、機密データが復元されることはない。
本発明によれば、セキュリティが維持されていない外部ネットワーク上で提供されているストレージサービスを利用する場合でも、ネットワーク上の情報漏洩やサーバ管理者の不正行為による情報漏洩を有効に防止でき、機密データの管理負荷の低減とセキュリティの維持とを同時に実現できるデータ管理方法、データ管理システム及びサーバ装置を得ることができる。
以下、本発明の実施の形態を図面に基づき説明する。
図1は、本発明の一実施形態のネットワーク構成図である。符号1で示すデータ管理システムは、企業や地方自治体などのユーザ2の内部ネットワークNiに接続可能なプロキシサーバ(サーバ装置)3と、このプロキシサーバ3に公衆回線網である外部ネットワークNoを通じて接続される複数のファイルサーバ(ファイル記憶装置)4、4とで構成され、前記プロキシサーバ3には、内部ネットワークNiを介して複数のユーザ端末装置(ユーザ端末)5、5が接続される。
以下においては、企業の従業員が作成した機密データを管理する例を想定して説明する。また、本明細書におけるユーザには、ストレージサービスの契約主体である企業自身と、機密データファイルを作成若しくは加工した社員本人(作成者ユーザ)と、機密データの社内の管理責任者であるプロキシサーバ3の管理者(サーバ管理者)と、作成者ユーザ若しくはサーバ管理者から一部又は全ての機密データの閲覧を許可された閲覧者(幹部社員、特定部門の社員、特定の他の企業の社員、警察機関や政府機関の関係者等。以下「閲覧者ユーザ」と称する)とを含む。個人ユーザの情報閲覧権限は、後述する閲覧権限テーブル26に機密データファイルごと若しくはユーザごとに登録される。
内部ネットワークNiは、LANや専用回線ネットワークで構成され、ネットワークの外部から端末装置5にアクセスする場合には、図示しないファイアウォールや後述するプロキシサーバ3の認証機能などによって厳格に接続権限が管理される。また、端末装置5から外部に機密データを送信することは原則として禁止される。このような社内の情報管理手法は従来周知であるため詳細説明は省略する。
プロキシサーバ3は、各ユーザ端末5と社内の専用回線(内部ネットワークNi)を介して、所定のファイル転送プロトコルを使用して接続する機能を備えた、ファイル転送に特化した専用のコンピュータシステムである。このプロキシサーバ3は、さらに、外部ネットワークNoを介してファイルサーバ4に接続し、暗号化されたファイルを所定のファイル転送プロトコルを使用して送受信する機能も備えている。
プロキシサーバ3と各ユーザ端末5及びファイルサーバ4との間のファイル転送のプロトコルとしては、WEBDAV(Web-based Distributed Authoring and Versioning)、FTP(File Transfer Protocol)、SMB(Server Message Block)等を適宜使用できる。
また、このプロキシサーバ3は、具体的には以下の各機能を備えている。
(1)基本データの管理機能
この機能は、以下の各機能を実現する前提として、ユーザ情報の管理(閲覧権限の認証等)、複数のファイルサーバ4の稼働状態の管理や監視、及びこのファイルサーバ4との通信を制御する機能である。
(2)機密データファイルの保存機能
ユーザの端末装置5からオンラインで機密データファイルを取得した場合に、取得したデータを分割する機能、暗号キーを生成する機能、分割したファイルを暗号キーで暗号化する機能、及びファイルサーバ4へデータを転送する機能である。
(3)機密データファイルの復元・出力機能
ユーザ端末5からユーザ情報(プロキシサーバ3へのログイン情報など)と出力対象のファイル名とを取得して出力依頼を受け付けた場合に、検索キーとなる暗号キーを生成する機能、検索キーに従って複数のファイルサーバ4から対象データを収集する機能、収集したサブデータをマージする機能、復号キーを生成してファイルを復号化して復元する機能、及び復元したファイルをユーザ端末5へ出力する機能である。
(4)障害対応機能
災害や通信障害等によって特定のファイルサーバ4が機能しなくなった(ダウンした)場合や、不正アクセス、ウィルスの侵入などが発見された特定のファイルサーバ4との通信を一時的に遮断した場合に、そのファイルサーバ4に保存した機密データに対して、停止中に実行された機密ファイルの修正などの処理の履歴情報を蓄積し、当該ファイルサーバ4が復帰した場合に、この履歴情報に基づいて、復帰したファイルサーバ4と正常に機能していた他のファイルサーバ4とのデータを同期させる機能である。この機能については、従来技術として挙げた特許文献1に詳細に説明してあるため、本明細書では概略のみ説明する。
ここで、後述するように、このプロキシサーバ3には機密データファイルや暗号キーなどは保存されず、外部から不正アクセスが行われても機密データが漏洩するおそれはない。そのため、このプロキシサーバ3をユーザ企業の内部ネットワークNi内に設置したり、特定のユーザ端末5が兼用することもできる。
ファイルサーバ4は、オープンネットワーク上のストレージサービスを提供する事業者が設置した専用のサーバマシン(コンピュータシステム)で構成され、プロキシサーバ3からの指示に従って、データの保存や出力をコンピュータプログラムによって自動的に実行するものである。複数のユーザから委託された多数のデータを管理(共有)するという観点からすれば、このファイルサーバ4は、データベースサーバの機能も備えているものである。
ファイルサーバ4は、内蔵された大容量の補助記憶装置(HDDなど)の一部又は全部の記憶領域をサービスの契約者であるユーザ(企業)に割り当てている。なお、ファイル記憶装置の一部又は全部を、外付け記憶装置などの記録媒体で構成することもできる。また、複数のファイルサーバ4の一部をプロキシサーバ3やユーザ端末装置5が兼用してもよい。この場合、プロキシサーバ3等への不正アクセスによって機密データの一部が漏洩したとしても、後述するように、機密データは複数ファイルに分散(分割)された上で暗号化されているので、不正取得者が暗号キーを取得してファイルの内容を復号化し、ファイル全体の内容を解読することはほぼ不可能である。
また、複数のファイルサーバ4、4は、通信障害や災害時の対策として、物理的に離間した複数のエリアに設置される。例えば、地震などの災害やユーザ2の事業活動エリア、機密データの種別や属性等(機密保持の程度、個人情報か企業の営業秘密か、データ量、情報照会の頻度や想定される照会者の所在地、通信環境など)を考慮して、市町村などの都道府県内の複数エリアや、都道府県単位、地方単位(東北地方と関東地方と近畿地方など)で設定される。
また、ファイルサーバ4の設置数nは、後述するように、機密データの冗長分割や空白データを含めた分割処理を行うことから3以上に設定される。以下の説明においては、主として、4台のファイルサーバ4を設置し(n=4)、分割数(F:n−(ダウンを許容できるサーバの数:1台))を3に設定した例を説明する。すなわち、以下の例では、4台のサーバのうち1台が通信障害等でダウンしても、他の3台が正常に稼動していれば通常の運用を継続できる。
次に、プロキシサーバ3の具体的な構成を、図2の機能ブロック図を参照して説明する。上記したプロキシサーバ3の各機能は、プロキシサーバ(コンピュータ)3のハードウェア及びこのコンピュータの記憶装置(HDDやROMなど)にインストールされるソフトウェアが協働することで実現される。具体的には、このプロキシサーバ3に内蔵されたCPU11にシステムバス12を介してRAM13、ROM14やHDD15などの記憶装置(主記憶と補助記憶)及び入出力インタフェース(I/F)16が接続され、この入出力I/F16に、LEDディスプレイなどの出力装置17、キーボードやマウスなどの入力装置18、及びモデムなどの通信デバイス19が夫々接続されて構成される。前記記憶装置(13〜15)は、データ格納エリア21とプログラム格納エリア22が確保されている。
このようなハードウェア構成において、プロキシサーバ3の管理者が入力装置18を操作して各種の指令(外部コマンド等)を入力したり、ユーザ2がユーザ端末5から内部ネットワークNiを介して各種の指令を送信すると、このソフトウェアプログラムがCPU11によってRAM13のワークエリアに呼び出されて実行されることで、OS(オペレーションシステム)と協働してこの発明の機能を奏するようになっている。上記プログラムはCD−ROMやDVD−ROMなどのリムーバブル記録媒体から導入することもできる。また、OSの機能の一部を利用してもよい。
データ格納エリア21は、プロキシサーバ3や各ファイルサーバ4に接続する際のログイン情報(ユーザID、パスワード)を登録するユーザ情報格納部25と、各ユーザが閲覧可能なファイル名のリストをユーザIDに関連付けて登録する閲覧権限テーブル26と、1以上の記憶装置(A)に障害が発生した場合に、その記憶装置(A)に格納すべき機密データの追加、修正及び削除の情報(更新情報)を一時的に格納する更新情報格納部27とを備えている。
ここで、ファイルサーバ4へのログイン情報としては、契約主体であるユーザ企業に付与された共通の情報と、ファイルサーバ4への接続を許可された特定の個人ユーザ若しくはユーザ端末5の識別情報(社員IDや端末ID)、若しくはこれらの組み合わせの何れでもよい。本実施形態では、4台のファイルサーバ4に機密データファイルを分散配置しているため、ログイン情報は合計で5種類(1台のプロキシサーバと、4台のファイルサーバ)が登録される。
一方で、閲覧権限テーブル26のユーザIDは、ユーザ企業全体で共通の閲覧権限を設定するとセキュリティが低下するおそれがあるので、この場合のユーザIDは、個人ユーザの識別情報(社員IDなど)で管理するのが好ましい。
なお、実際は、このユーザ情報格納部25にはユーザIDとパスワードのハッシュ値の一覧を格納しておく。また、プロキシサーバ3には、ユーザ端末5から取得した機密データファイルや暗号キー、ファイル分割パターンなどは一切保存していない。これにより、プロキシサーバ3の設定ファイルだけ見ても、例えファイルサーバ4の管理者であっても、ファイルの暗号キーなどは解読できないため、プロキシサーバ3への不正アクセスやサーバ管理者の不正行為による機密データの流出を有効に防止できる。
プログラム格納エリア22には、このプロキシサーバ3の上記した機能を実現するためのコンピュータプログラムがインストールされている。具体的には、リクエスト受付手段30(機密データファイル受取手段、ファイル出力要求受付手段)、ユーザ情報管理手段31(閲覧権限格納手段、認証手段)、ファイル分割手段32、暗号キー生成手段33(ファイル内容暗号キー生成手段、検索キー生成手段)、暗号化処理手段34(ファイル名暗号化手段、ファイル内容暗号化手段)、ファイル転送手段35(分散格納手段)、データ削除手段36、サブデータ検索手段37、ファイル復元処理手段38(ファイル復号化手段、ファイルマージ手段)、及び更新情報蓄積・書込手段39(更新情報格納手段、更新情報書込手段)を備えている。これらの各手段は、実際には、独立したコンピュータプログラム若しくはその中の特定のモジュールやサブルーチン(セグメント)などである。以下、各手段を順に説明する。
まず、リクエスト受付手段30は、内部ネットワークNiを介して、作成者ユーザの端末装置5から管理対象の機密データファイルを当該ユーザの情報と共に受け取る機密データファイル受取り機能と、内部ネットワークNiを介して、作成者ユーザ若しくは閲覧者ユーザの端末装置5からユーザ情報とファイル名とを取得して、機密データファイル出力のリクエストを受け付けるファイル出力要求受付け機能とを備えている。ここで、このリクエスト受付手段30は、機密データファイルの取得時に、ユーザ情報として、プロキシサーバ3へのログイン情報及び複数のファイルサーバ4へのログイン情報を受け取る。これらの何れかの情報を受け取るようにしてもよい。
ユーザ情報管理手段31は、前記リクエスト受付手段30が機密データファイルの保存リクエストを受け付けた場合に、ユーザのサービス利用権限を認証する機能と、閲覧者ユーザのIDとファイルの名称とを作成者ユーザ若しくはユーザ企業の情報管理責任者から取得して前記閲覧権限テーブル26に格納する閲覧権限登録機能と、前記リクエスト受付手段30がファイル出力リクエストを受け付けた場合に、取得したユーザ情報及びファイル名を前記閲覧権限テーブル26と照合して閲覧権限の認証を行う機能とを備えている。
ファイル分割手段32は、機密データファイルを分散配置する数(分散数:3〜n)と冗長度とに従って計算した所定の分散パターンに基づいて、この機密データファイルをn種類(n>n≧2)で3以上のサブデータに冗長的に分割するものである。本実施形態では、サブデータを4か所のファイルサーバ4に分散配置するとともに、後述するように、1か所のファイルサーバ4には、空データ若しくはNULLデータ(以下「空白データ」と称する)を保存させるため、分割数は3つとなる。また、3か所のファイルサーバ4に冗長配置させることから、サブデータは3種類になる。このような分散パターンは、ファイルサーバ4の総数や、そのうち空白データを保存させるサーバ4の数、サブデータの冗長度(何箇所のサーバからサブデータを取得すればファイルを復元できるか)などによって自動計算される。この分散パターンは、ファイルの属性から要求されるセキュリティの高さや管理コスト、ネットワーク環境などに応じて適宜設定される。なお、分散処理はファイル内容のみ実行し、ファイル名については実行しない。すなわち、暗号化されたファイル名は分割・分散配置せず、全てのファイルサーバ4に同一の暗号化済みファイル名を格納する。
前記暗号キー生成手段33は、作成者ユーザの端末5からファイル保存のリクエストを受け付けた場合に、このユーザのログイン情報のハッシュ値を計算してファイル名の暗号キーを生成する機能及びこのファイル名暗号キー及びファイル名のハッシュ値を計算してファイル内容暗号キーを生成する機能と、閲覧者ユーザの端末5からファイル出力のリクエストを受け付けた場合に、このユーザのログイン情報のハッシュ値を計算してサブデータの検索キーとなるファイル名の暗号キーを生成する機能及びこのファイル名暗号キー(検索キー)及びファイル名のハッシュ値を計算してファイル内容復号キーを生成する機能を備えている。ハッシュ関数は不可逆な一方向関数を含むため、算出されたハッシュ値から原文(ファイル名等)を再現することはできない。また、同じハッシュ値を持つ異なるデータを作成することは極めて困難であることから、ハッシュ値を暗号キーに採用することはセキュリティ維持の面で好適である。なお、生成されたキーは、暗/復号化の処理が完了するまではRAM13のデータエリアに記憶されているが、処理完了後は消去される。
ここで、ファイル名暗号キーやサブデータの検索キーは、例えば、MD5、SHA−1、SHA−256、SHA−384、SHA−512、RIPEMD、Whirlpool、Tigerなどの公知のハッシュ関数に、4台のファイルサーバ4への接続用ユーザID(1111、2222…)及びパスワード(aaaa、bbbb・・・)と、プロキシサーバ3への接続用ユーザID(9999)とパスワード(zzzz)とを代入してハッシュ値を計算する。同様に、ファイル内容暗号キーやファイル内容復号キーは、ハッシュ関数に上記ログイン情報及びファイル名暗号キーやサブデータの検索キーを代入して計算する。
また、作成者ユーザ以外のユーザ端末5からファイル出力のリクエストを受け付けた場合には、この暗号キー生成手段33は、前記閲覧権限テーブル26を参照してファイル出力リクエストに係るユーザの識別情報(社員IDなど)から作成者ユーザのログイン情報のハッシュ値を特定し、この作成者ユーザの情報を使用してファイル名暗号キーを生成する。
暗号化処理手段34(ファイル名暗号化手段、ファイル内容暗号化手段)は、機密データファイルの保存(分散配置)に際して、前記生成されたファイル名暗号キーで当該ファイルの名称を暗号化する機能と、前記分割された複数のサブデータを前記ファイル内容暗号キーによって暗号化する機能とを備えている。ファイル名及びファイル内容の暗号化の手法は何れも従来周知であるため、詳細説明は省略する。
ファイル転送手段(分散格納手段)35は、外部ネットワークNoを介して、暗号化された複数のサブデータを暗号化されたファイル名と共に前記複数のファイルサーバ4に夫々送信して格納させるものである。上記したように、本実施形態では、3台のファイルサーバ4に、冗長的に分割され暗号化された3種類のサブデータを格納させると共に、他の1台のファイルサーバ4には前記空白データを格納するものである。
ここで、冗長配置は、例えば4つのファイルサーバ4(n=4)の中で乱数を用いて任意の3つのサーバ4(n=3)を選択する。4箇所から選ばれた任意の3箇所に異なる種類の分割データを夫々格納し、他の1箇所(n−n=1)には空白データを格納する。
データ削除手段36は、機密データファイルの保存時に、ファイルサーバ4に複数のサブデータが転送され分散格納処理が完了した後に、作成者ユーザの端末装置5から受け取った機密データファイル、生成されたファイル名暗号キーやファイル内容暗号キー、及び全てのサブデータをプロキシサーバの記憶装置(13〜15)から削除する機能と、機密データの出力時に、ユーザ端末5に復元ファイルが転送された後に、当該復元ファイル及び復号キーの情報をプロキシサーバ3の記憶装置から削除するものである。一般的な揮発性メモリ(RAM13等)であれば、プロキシサーバ3の電源を切れば記憶内容は自動的に消去されるが、プロキシサーバ3を長時間稼働させておく場合には、機密データが長時間消去されないためセキュリティの面で好ましくない。また、一部の不揮発性のメモリの場合は、このデータ削除手段36による電気的消去や紫外線消去などの積極的な消去処理が必要になる。
サブデータ検索手段37は、外部ネットワークNoを介して、n−n台のファイルサーバ4に分散格納されたn−1個のサブデータを前記検索キーで夫々検索するものである。
ファイル復元処理手段38(ファイル復号化手段、ファイルマージ手段)は、検索された全てのサブデータをOR条件で結合した仮想ファイルを基準にして、これらのサブデータを1のファイルに合成するものである。ここで、取得した複数のサブデータの中に空白データが含まれている場合は、これ以外のサブデータをマージして1のファイルに合成する機能と、前記生成されたファイル内容暗号キーを使用して、前記マージしたファイルを復号化する機能とを備えている。このようにして復元されたファイルは、前記ファイル転送手段35によって、ユーザの端末装置5に転送される。
最後に、障害対応機能を果たす更新情報蓄積・書込手段39は、1以上の記憶装置(A)に障害が発生した場合に、ユーザ端末5から取得した機密データの追加、修正及び削除の情報(更新情報)であってその記憶装置(A)に格納すべき情報を、当該機密データファイルの識別情報(ファイル名、シリアルナンバーなど)に関連付けて前記更新情報格納部27に格納すると共に、この記憶装置(A)が復帰した場合、若しくは代替の記憶装置(A')が設置された場合に、格納された更新情報を他の記憶装置(B、C・・・)に同期させて当該記憶装置(A又はA')に書き込むものである。
(機密データファイルの分割と冗長化の例)
次に、前記ファイル分割手段32が機密データファイルを冗長的に分割する例を図3を参照して説明する。
まず、この例における機密データファイルの分割と冗長化処理の条件を以下に示す。
・分散単位は8ビット(1バイト)とする。リアルタイムの分散処理を容易にするためである。図3の各行が分散単位であり、1マスが1バイトを示す。
・分散パターンは、分散数3〜nと、冗長度とに従って自動計算する。図示の例では、分散数は4で、そのうち3箇所のファイルサーバからデータを収集すれば元のファイルを復元できるものとする(冗長度:3/4)。
このような条件に従って、以下のように分散処理を行う。なお、図3の行の上から順に分散処理を実行するものとする。
(1)1分散目(1行目)は、任意の4箇所(図3の表中に「*」で示す)のビットを取得して(1−1〜1−4)、残りの4ビットを0で埋める。
(2)2分散目(2行目)は、1分散目で選ばれた4ビット(1−1〜1−4)から任意の2ビット(2−1、2−2)を選択すると共に、1分散目で選ばれなかった(1行目に「0」が記録されている)4ビットから任意の2ビット(2−3、2−4)を選択する。
(3)3分散目(3行目)では、1分散目で選択された4ビットの中から任意の2ビット(3−1、3−2)を選択すると共に、1、2分散目の何れでも選ばれなかった(1、2行目の両方に「0」が記録されている)2ビット(3−3、3−4)を選択する。
(4)4分散目(4行目)では、1分散目〜3分散目で1回だけ選択されている4つのビット(4−1〜4−4)を選択する。
(5)以上の処理をバイト単位で繰り返し、機密データファイルの全体の分散処理を行う。
(ファイルのフォーマットの例)
次に、図4を参照して、ファイル名及びファイル内容のフォーマットを説明する。
(1)暗号化ファイル
図4Aに示すように、ファイル名を暗号化した状態では、ヘッダーには、固定長のファイル名のハッシュ値が記述され、ボディには、可変長の暗号化されたファイル名が記述される。
次に、ファイル内容を暗号化した状態では、図4Bに示すように、ヘッダーには、Lengthヘッダーから第1の本体ブロックまでのハッシュ値で構成されるファイルハッシュヘッダーが記述され、ボディには、ファイルの長さによって可変長の暗号化されたファイルの内容が記述される。
ここで、ボディ部分は、図4Cに示すように構成される。すなわち、前記Lengthヘッダーには固定長の各ブロックの長さが記述され、元ファイル名情報には可変長の暗号化されたファイル名が記述され、第1の本体ブロックには可変長の暗号化された先頭nバイトのデータが記述され、第2の本体ブロックには同じく可変長の残りのデータが記述される。
(2)分散されるサブデータ(図4D)
全てのサブデータにおいて、ヘッダーには「ヘッダーの分散結果」が記述され、ボディには「暗号化されたファイル内容の分散結果」が記述される。このサブデータが、3箇所のファイルサーバに夫々保存される。
(処理フロー)
次に、図5、図6のフローチャートを参照して、本実施形態のプロキシサーバ3の処理工程を詳細な機能と共に説明する。以下においては、機密データファイルの保存処理と出力処理とに分けて説明する。なお、障害対応機能については、上記した特許文献1に開示された処理と同様に実行できるため、詳細説明は省略する。
(機密データファイルの保存(転送)時のフロー)
この処理では、まず、プロキシサーバ3のリクエスト受付手段30が内部ネットワークNiを介して作成者ユーザの端末5からプロキシサーバ3及びファイルサーバ4へのログイン情報を取得して機密データの保存依頼を受け付けると(ステップS1)、ユーザ情報管理手段31が、このユーザのサービス利用権限の認証を行う(ステップS2)。ユーザ企業内で、プロキシサーバ3に接続できる権限を幹部社員や特定部門の社員などに制限している場合が考えられるため、プロキシサーバ3への接続権限の有無を判断する。肯定的な認証が得られれば、ユーザ端末5に認証結果を返信し、ユーザ端末5から保存対象の機密データファイルを取得する(ステップS3)。なお、認証が否定された場合は、この処理を終了する。
次いで、前記暗号キー生成手段33が、ステップS1で取得したユーザのログイン情報(ID、パスワード)のハッシュ値を計算してリクエストに係るファイルの名称の暗号キーを生成し(ステップS4)、暗号化処理手段34がこの暗号キーを使用してファイル名を暗号化する(ステップS5)。そして、ファイル分割手段32が、このファイル内容を3つのサブデータに分割する(ステップS6)。また暗号キー生成手段33が、前記ファイル名称暗号キー及びファイル名のハッシュ値を計算してファイル内容暗号キーを生成する(ステップS7)。このファイル内容暗号キーを使用して、前記暗号化処理手段34が3つのサブデータを夫々暗号化する(ステップS8)。なお、ファイル分割処理は、ファイル名やファイル内容の暗号キー生成処理と並行して実行できる。
次いで、ファイル転送手段35が、暗号化された3つのサブデータと、1つの空白データとを、外部ネットワークNoを介して4箇所のファイルサーバ4に夫々転送すると共に(ステップS9)、ユーザ端末5に転送完了を通知する(ステップS10)。ここで、この作成者ユーザ若しくは管理者ユーザなどの端末5から、当該機密データファイルの閲覧が許可された他のユーザのIDを受信した場合には(ステップS11)、ユーザ情報管理手段31が、受け取った閲覧許可された全てのユーザの情報(ログイン情報や社員IDなどのハッシュ値)をファイル名に関連付けて前記閲覧権限テーブル26に格納する(ステップS12)。
最後に、データ削除手段37が、機密データファイル、全てのサブデータ、ファイル名暗号キー、ファイル内容暗号キー、及び分散パターンの情報を、記憶装置(13〜15)から削除してこの処理を終了する(ステップS13)。
上記した処理により、ファイルサーバ4には、分割され暗号化されたサブデータがランダムな分散パターンで分散配置されることになるので、一部のファイルサーバ4からデータが漏洩したとしても、元のデータを復元したり意味を解析することは事実上不可能である。特に、1以上のファイルサーバ4には空白データが格納されるため、データの復元や解析は一層困難になる。また、暗号化する前の機密データファイルは、セキュリティが強固に維持された内部ネットワークNiだけにしか流れないので、暗号化される前の情報が外部に漏洩することはない。
さらに、サブデータの暗号キーはユーザのログイン情報を使用して生成しているので、ユーザ毎に暗号キーが異なることになる。これにより、ファイル名が同一でもユーザが異なれば、異なるファイルとして管理できる。すなわち、暗号キーを、ファイル名とユーザID、パスワードから生成しているため、ユニーク性を向上させることができる。従って、ファイルサーバ4から暗号キーを入手することは不可能であり、ユーザのID、パスワードをファイルサーバの数だけ用意して管理する必要もない。さらに、プロキシサーバ3には、機密データファイルはもちろんのこと、分割したサブデータや暗号キー、及び分散パターンに関する情報は保存されないため、プロキシサーバ3への不正アクセスやサーバ管理者の不正行為によっても、機密データファイルの情報が漏洩することはない。
また、ファイル名及びファイル内容の暗号化と、複数のファイルサーバへの冗長分割とを同時に行うことにより、冗長性による緊急時対応とセキュリティの向上とを同時に実現できる。さらに、ファイルサーバ4とユーザ端末装置5の間に設置するプロキシサーバ3によるファイル管理方式であるので、現状のネットワーク環境を維持したまま、セキュリティを向上させたシステムへの移行を円滑に行える。
(機密データファイルの出力(受信)時のフロー)
次に、図6を参照して、ユーザ端末5に機密データファイルを出力する際のフローを説明する。
この処理では、まず、リクエスト受付手段30が、閲覧者ユーザ若しくは作成者ユーザの端末5から出力対象のファイルの名称やユーザのログイン情報を取得してファイルの出力依頼を受け付けると(ステップS15)、ユーザ情報管理手段31が、取得した情報と閲覧権限テーブル26の情報とを照合して当該ファイルの閲覧権限の認証を実行する(ステップS16)。認証が肯定的であれば、暗号キー生成手段33がこのユーザ情報のハッシュ値を計算して暗号キーを生成する(ステップS17)。なお、閲覧者ユーザからの出力リクエストである場合には、ファイル名などから作成者ユーザのログイン情報を特定し、この作成者ユーザの情報を使用してファイル名暗号キーを生成する。一方、認証が否定された場合は、認証結果をユーザ端末5に返信してこの処理を終了する。
次いで、暗号化処理手段34が、前記ファイル名暗号キーでリクエストに係るファイル名を暗号化する(ステップS18)。これが、サブデータの検索キーとなる。この検索キーは前記サブデータ検索手段37に受け渡され、4箇所のファイルサーバ4からデータが収集される(ステップS19)。収集されたデータには、3つのサブデータと1つの空白データが含まれている。
また、前記暗号キー生成手段33が、ユーザ情報のハッシュ値を使用してサブデータの復号キーを生成する(ステップS20)。これと並行して、前記ファイル復元処理手段38が、空白データを除く3つのサブデータをOR条件で合成した仮想ファイルを基準にして1ファイルにマージする(ステップS21)。ファイルがマージされると、前記ファイル復元処理手段38が、暗号化ファイルを前記復号キーで復号化する(ステップS22)。復号化されたファイルは、ファイル転送手段35がユーザ端末5に転送する(ステップS23)。
最後に、データ削除手段36が、復号化された機密データファイル、収集された全てのサブデータ(空白データを含む)、生成されたファイル名暗号キー(検索キー)やファイル内容暗号キー、及び分散パターンの情報を、記憶装置(13〜15)から消去してこの処理を終了する(ステップS24)。
このような構成により、外部ネットワークNoを通じてファイルサーバ4に格納したサブデータを収集する際に、暗号化された状態で取得するので、外部ネットワークNoを経由しても機密情報が漏洩するおそれはない。また、暗号化されたファイルの復号キーを作成者ユーザの情報に従って生成することにしたので、閲覧権限を広げても情報出力に支障はない。
ここで、通信障害やサイト側の障害などで1のファイルサーバ4が使えない場合でも、他の3か所のサーバ4のデータを集積することで元データを復元することができる。すなわち、冗長配置を行っているため、収集したデータの1つが空データであっても、他の2か所から取得したデータによって元データを復元できる。同様の理由で、全てのファイルサーバ4a〜4dが正常に稼動している場合でも、任意の3か所のからデータを取得すれば検索対象データを復元することができる。なお、空白データに代えてダミーデータを格納しておく場合や、何らかの理由で1か所に誤ったデータが格納されている場合は、取得したデータの多数決によって元データを復元すればよい。
こうしたデータの冗長化・分散化により、例えば、特定の1拠点(ファイルサーバ4)のデータを全て盗聴されても、個々の機密データファイルの意味を解析したり復元することは不可能であり、不正アクセスや媒体の持ち出しなどによる漏洩を有効に防ぐことができる。また、自然災害などで1拠点のファイルサーバがダウンした場合でも、他の拠点のデータを集積することで元データを復元できる。さらに、プロキシサーバ3に不正アクセスされても、元データや機密データの暗号キー、ファイルの分割パターンなどの有意の情報を格納していないので、機密データが漏洩することはない。プロキシサーバ3やユーザ端末5がファイルサーバ4を兼用する場合でも、分割及び暗号化された一部のデータしか保存していないので、同様に機密データのセキュリティは担保できる。
(その他の機能)
上記以外に、本実施形態に係る発明は、ユーザ端末からファイル出力のリクエストを受け付けた時に、対象ファイルが改ざんされていないかをチェックするための以下のような機能を実装することもできる。例えば、サブデータをファイルサーバに保存した後に、ファイルサーバの管理者による不正行為や、ファイルサーバにサブデータを転送中にネットワークが乗っ取られた場合に、ファイルサーバに保存する(保存した)サブデータが改ざんされるおそれがあるため、このような改ざんを早期に発見する機能を備えることが有効である。
(1)ファイル名の復号チェック機能
この機能は、上記した改ざんの痕跡が「ファイル名の暗号化」のフォーマットのヘッダー部分に存在している可能性があることを利用して、ファイルの出力時にファイル名を照合することで、改ざんを早期に発見する機能である。具体的には、「ABCD.doc」という名称の機密データファイルを複数のファイルサーバに分散保存していて、ユーザ端末5からこのファイル名を取得してデータ出力のリクエストを受け付けた場合に、プロキシサーバは、本機能を使用して、「ABCD.doc+各サーバのログイン情報」を使って当該ファイルの暗号化されたファイル名(ボディ部分)を作成しておく。そして、各ファイルサーバから、暗号化されたファイル名(ボディ部分)を含むサブデータファイルを取得する。この時、ファイルサーバから取得したファイル名のハッシュ部分と、前記生成した「ABCD.doc」のハッシュ値とを比較して改ざんチェックする。ファイルの改ざんを確認した場合には、ユーザ端末5やネットワーク管理責任者の端末、ファイルサーバ等にその旨のアラームを発信して対応を促すことができる。
(2)ファイル内容の復号チェック機能
この機能は、ファイルサーバから収集した複数のサブデータをマージして復号化する前に、上記したLengthヘッダー、元ファイル名情報、暗号化された第1の本体ブロックの先頭nバイトだけを先に復号化して、リクエストにかかるファイル名のハッシュ値等と照合することで、ファイル内容の改ざんをチェックする機能である。すなわち、両者のハッシュ内容が一致しない場合には、サーバ側でファイルの内容が改ざんされた可能性があるため、その場合はリクエスト対象のファイルを復号化せずに、ユーザ端末にファイル名を変更して「復号化に失敗しました」というエラーメッセージを出力し、ネットワーク管理責任者の端末等にアラームを出力する。対象ファイルのハッシュヘッダー部分と収集したサブデータの値とが一致した場合にだけファイルの復号成功、すなわち、改ざんされていないと判断する。これにより、ファイル改ざんを早期に発見できると共に、改ざん後のファイルを正規ファイルと誤解する逆スパイを防止できる。この機能は、ファイルサーバから収集した複数のサブデータをマージする前後の何れでも実行できるが、マージする前に実行する場合には、改ざんが行われたサーバを特定することもできる。この場合には、ファイルのヘッダー部分は分散せず、各ファイルサーバにあわせたボディ部分のハッシュ値を追加しておく必要がある。
なお、この発明は上記の実施形態に限定されるものではなく、発明の要旨を変更しない範囲で種々変形可能である。
例えば、ファイルサーバの数や分割数等は、上記の例によらず、機密データの種類や機密度、委託者と受託者との契約等によって種々変更可能である。暗号化や分割、検索等のアルゴリズムも種々変更可能である。
また、本発明を、近時、開発が進められているマルチパスルーティング技術と組み合わせることもできる。すなわち、機密データファイルを複数のサブデータに分割し、マルチパスルーティング技術によって各サブデータをファイルサーバに転送する通信ルートを変えて通信を行う。これにより、サブデータを盗聴するには、物理的に複数のルートで同時期にネットワーク上のデータを収集しなければならず、実質的に盗聴は不可能となる。
さらに、ファイル一覧取得時は、「ファイル名の暗号キー」でファイル名を個別に復号化したもののリストを端末装置に返すようにしてもよい。
図1は、本発明の一実施形態のネットワーク構成図である。 図2は、プロキシサーバの構成を示す機能ブロック図である。 図3は、機密データファイルを冗長的に分割する例を示す図である。 図4は、ファイル名及びファイル内容のフォーマットを示す図である。 図5は、機密データファイルの保存(転送)時の処理工程を示すフローチャートである。 図6は、機密データファイルの出力(受信)時のフローチャートである。
符号の説明
Ni…内部ネットワーク
No…外部ネットワーク
1…データ管理システム
2…ユーザ
3…プロキシサーバ
4(4a〜4d)…ファイルサーバ
5…ユーザ端末装置
11…CPU
12…システムバス
13…RAM
14…ROM
15…HDD
16…入出力インタフェース(I/F)
17…出力装置
18…入力装置
19…通信デバイス
21…データ格納エリア
22…プログラム格納エリア
25…ユーザ情報格納部
26…閲覧権限テーブル
27…更新情報格納部
30…リクエスト受付手段
31…ユーザ情報管理手段
32…ファイル分割手段
33…暗号キー生成手段
34…暗号化処理手段
35…ファイル転送手段
36…データ削除手段
37…サブデータ検索手段
38…ファイル復元処理手段
39…更新情報蓄積・書込手段

Claims (21)

  1. 特定のユーザが使用する1以上の特定の端末装置が内部ネットワークを介して接続されると共に、n台(n≧3)のファイル記憶装置がオープンな外部ネットワークを介して接続されるプロキシサーバによって機密データファイルを管理する方法であって、
    前記プロキシサーバが、
    内部ネットワークを介して、ユーザの端末装置から管理対象の機密データファイルを当該ユーザの情報と共に受け取る機密データファイル受取工程と、
    受け取ったユーザ情報を使用してファイル名暗号キーを生成し、この暗号キーで機密データファイルのファイル名を暗号化するファイル名暗号化工程と、
    機密データファイルを3以上のサブデータに冗長的に分割するファイル分割工程と、
    前記ファイル名暗号キーを使用してファイル内容暗号キーを生成するファイル内容暗号キー生成工程と、
    前記分割した複数のサブデータを前記ファイル内容暗号キーによって夫々暗号化するファイル内容暗号化工程と、
    外部ネットワークを介して、暗号化された複数のサブデータを暗号化されたファイル名に関連付けて前記複数のファイル記憶装置に夫々格納する分散格納工程と
    を実行することを特徴とする方法。
  2. 請求項1の方法において、
    さらに、前記プロキシサーバが、
    内部ネットワークを介して、前記ユーザの端末装置からユーザ情報とファイル名とを取得して、機密データファイル出力のリクエストを受け付けるファイル出力要求受付工程と、
    リクエストに係るファイル名を前記ファイル名暗号キーで暗号化して検索キーを生成する検索キー生成工程と、
    外部ネットワークを介して複数のファイル記憶装置に接続し、これらのファイル記憶装置に分散格納された複数のサブデータを前記検索キーで夫々検索するサブデータ検索工程と、
    検索された全てのサブデータをマージして1のファイルに合成するファイルマージ工程と、
    前記ファイル名暗号キーとリクエストに係るファイル名とを利用してファイル内容暗号キーを生成し、このファイル内容暗号キーを使用して、前記マージしたファイルを復号化するファイル復号化工程と、
    復号化したファイルを前記ユーザの端末装置に転送するファイル転送工程と
    を備えたことを特徴とする方法。
  3. 請求項2の方法において、
    さらに、前記プロキシサーバが、
    前記機密データファイル受取工程において受け取った第1のユーザの情報(A)と、管理対象の機密データファイルの閲覧を許可された第2のユーザの情報(B)とを、当該機密データファイルの識別情報に関連付けて閲覧権限テーブルに格納する閲覧権限格納工程と、
    機密データファイル出力のリクエストを受け付けた場合に、取得したユーザ情報(A又はB)及びファイル名を前記閲覧権限テーブルと照合して閲覧権限の認証を行う認証工程とを備え、
    前記ファイル名暗号化工程は、認証が肯定的である場合に、前記閲覧権限テーブルから第1のユーザ情報(A)を特定し、この第1のユーザ情報(A)を使用してファイル名暗号キーを生成するものである
    ことを特徴とする方法。
  4. 請求項2の方法において、
    前記ファイルマージ工程は、検索された全てのサブデータをOR条件で結合した仮想ファイルを基準にして、これらのサブデータを1のファイルに合成することを特徴とする方法。
  5. 請求項2の方法において、
    前記ファイル分割工程は、機密データファイルをn種類(n>n≧2)のサブデータに冗長的に分割するものであり、
    前記分散格納工程は、n種類のサブデータを任意のn台のファイル記憶装置に夫々格納すると共に、n−n台の他のファイル記憶装置に空データ若しくはNULLデータ(以下「空白データ」と称する)を格納するものであり、
    前記サブデータ検索工程は、n−n台のファイル記憶装置に分散配置されたn−1個のサブデータを検索するものであり、
    前記ファイルマージ工程は、取得した複数のサブデータに空白データが含まれている場合は、これ以外のサブデータをマージして1のファイルに合成するものである
    を実行することを特徴とする方法。
  6. 請求項1の方法において、
    前記ファイル分割工程は、分散数(3〜n)と冗長度とに従って計算した分散パターンに基づいて、機密データファイルを3以上のサブデータに分割するものであることを特徴とする方法。
  7. 請求項1の方法において、
    前記機密データファイル受取工程は、ユーザ情報として、プロキシサーバへのログイン情報及び複数の記憶装置へのログイン情報の少なくとも何れかを受け取るものであり、
    前記ファイル名暗号化工程は、前記ログイン情報のハッシュ値を計算してファイル名暗号キーを得るものである
    ことを特徴とする方法。
  8. 請求項1の方法であって、
    さらに、前記プロキシサーバが、前記分散格納工程が完了するまでに、前記機密データファイル受取工程でユーザの端末装置から受け取った機密データファイル、前記ファイル名暗号化工程で生成したファイル名暗号キー、前記ファイル分割工程で分割した3以上のサブデータ、及び前記ファイル内容暗号キー生成工程で生成したファイル内容暗号キーを、このプロキシサーバの記憶装置から削除する工程を備えたことを特徴とする方法。
  9. 請求項1の方法であって、
    さらに、前記プロキシサーバが、
    1以上の記憶装置(A)に障害が発生した場合に、その記憶装置(A)に格納すべき機密データの追加、修正及び削除の情報(更新情報)を更新情報格納部に格納する更新情報格納工程と、
    前記記憶装置(A)が復帰した場合、若しくは代替の記憶装置(A')が設置された場合に、格納された更新情報を他の記憶装置(B、C・・・)に同期させて当該記憶装置(A又はA')に書き込む更新情報書込工程と
    を備えたことを特徴とする方法。
  10. 請求項1の方法であって、
    前記複数の記憶装置のうちの一部が、プロキシサーバ及び/若しくはユーザの端末装置に備えられていることを特徴とする方法。
  11. ユーザが使用する1以上の端末装置が内部ネットワークを介して接続されるプロキシサーバと、このプロキシサーバに外部ネットワークを介して接続されるn台(n≧3)のファイル記憶装置とを備えた機密データファイルの管理システムであって、
    内部ネットワークを介して、ユーザの端末装置から管理対象の機密データファイルを当該ユーザの情報と共に受け取る機密データファイル受取手段と、
    受け取ったユーザ情報を使用してファイル名暗号キーを生成し、この暗号キーで機密データファイルのファイル名を暗号化するファイル名暗号化手段と、
    機密データファイルを3以上のサブデータに冗長的に分割するファイル分割手段と、
    前記ファイル名暗号キーを使用してファイル内容暗号キーを生成するファイル内容暗号キー生成手段と、
    前記分割した複数のサブデータを前記ファイル内容暗号キーによって夫々暗号化するファイル内容暗号化手段と、
    外部ネットワークを介して、暗号化された複数のサブデータを暗号化されたファイル名に関連付けて前記複数のファイル記憶装置に夫々格納する分散格納手段と
    を実行することを特徴とする機密データファイルの管理システム。
  12. 請求項1のシステムにおいて、
    さらに、
    内部ネットワークを介して、前記ユーザの端末装置からユーザ情報とファイル名とを取得して、機密データファイル出力のリクエストを受け付けるファイル出力要求受付手段と、
    リクエストに係るファイル名を前記ファイル名暗号キーで暗号化して検索キーを生成する検索キー生成手段と、
    外部ネットワークを介して、複数のファイル記憶装置に分散格納された複数のサブデータを前記検索キーで夫々検索するサブデータ検索手段と、
    検索された全てのサブデータをマージして1のファイルに合成するファイルマージ手段と、
    前記ファイル名暗号キーとリクエストに係るファイル名とを利用してファイル内容暗号キーを生成し、このファイル内容暗号キーを使用して、前記マージしたファイルを復号化するファイル復号化手段と、
    復号化したファイルを、内部ネットワークを介して前記ユーザの端末装置に転送するファイル転送手段と
    を備えたことを特徴とする機密データファイルの管理システム。
  13. 請求項12のシステムにおいて、
    さらに、
    前記機密データファイル受取手段が受け取った第1のユーザの情報(A)と、管理対象の機密データファイルの閲覧を許可された第2のユーザの情報(B)とを、当該機密データファイルの識別情報に関連付けて閲覧権限テーブルに格納する閲覧権限格納手段と、
    機密データファイル出力のリクエストを受け付けた場合に、取得したユーザ情報(A又はB)及びファイル名を前記閲覧権限テーブルと照合して閲覧権限の認証を行う認証手段とを備え、
    前記ファイル名暗号化手段は、認証が肯定的である場合に、前記閲覧権限テーブルから第1のユーザ情報(A)を特定し、この第1のユーザ情報(A)を使用してファイル名暗号キーを生成するものである
    ことを特徴とする機密データファイルの管理システム。
  14. 請求項12のシステムにおいて、
    前記ファイルマージ手段は、検索された全てのサブデータをOR条件で結合した仮想ファイルを基準にして、これらのサブデータを1のファイルに合成することを特徴とする機密データファイルの管理システム。
  15. 請求項12のシステムにおいて、
    前記ファイル分割手段は、機密データファイルをn種類(n>n≧2)のサブデータに冗長的に分割するものであり、
    前記分散格納手段は、n種類のサブデータを任意のn台のファイル記憶装置に夫々格納すると共に、n−n台の他のファイル記憶装置に空データ若しくはNULLデータ(以下「空白データ」と称する)を格納するものであり、
    前記サブデータ検索手段は、n−n台のファイル記憶装置に分散配置されたn−1個のサブデータを検索するものであり、
    前記ファイルマージ手段は、取得した複数のサブデータに空白データが含まれている場合は、これ以外のサブデータをマージして1のファイルに合成するものである
    ことを特徴とする機密データファイルの管理システム。
  16. 請求項11のシステムにおいて、
    前記ファイル分割手段は、分散数(3〜n)と冗長度とに従って計算した分散パターンに基づいて、機密データファイルを3以上のサブデータに分割するものであることを特徴とする機密データファイルの管理システム。
  17. 請求項11のシステムにおいて、
    前記機密データファイル受取手段は、ユーザ情報として、プロキシサーバへのログイン情報及び複数の記憶装置へのログイン情報の少なくとも何れかを受け取るものであり、
    前記ファイル名暗号化手段は、前記ログイン情報のハッシュ値を計算してファイル名暗号キーを得るものである
    ことを特徴とする機密データファイルの管理システム。
  18. 請求項11のシステムであって、
    さらに、前記分散格納手段によるサブデータの分散格納処理が完了するまでに、前記機密データファイル受取手段でユーザの端末装置から受け取った機密データファイル、前記ファイル名暗号化手段が生成したファイル名暗号キー、前記ファイル分割手段が分割した3以上のサブデータ、及び前記ファイル内容暗号キー生成手段が生成したファイル内容暗号キーを、プロキシサーバの記憶装置から削除する手段を備えたことを特徴とする機密データファイルの管理システム。
  19. 請求項11のシステムであって、
    さらに、
    1以上の記憶装置(A)に障害が発生した場合に、その記憶装置(A)に格納すべき機密データの追加、修正及び削除の情報(更新情報)を格納する更新情報格納部と、
    前記記憶装置(A)が復帰した場合、若しくは代替の記憶装置(A')が設置された場合に、格納された更新情報を他の記憶装置(B、C・・・)に同期させて当該記憶装置(A又はA')に書き込む更新情報書込手段と
    を備えたことを特徴とする機密データファイルの管理システム。
  20. 請求項11のシステムであって、
    前記複数の記憶装置のうちの一部が、プロキシサーバ及び/若しくはユーザの端末装置に備えられていることを特徴とする機密データファイルの管理システム。
  21. ユーザが使用する1以上の端末装置が内部ネットワークを介して接続されると共に、外部ネットワークを介してn台(n≧3)のファイル記憶装置が接続される、機密データファイルの管理システム用のプロキシサーバであって、
    内部ネットワークを介して、ユーザの端末装置から管理対象の機密データファイルを当該ユーザの情報と共に受け取る機密データファイル受取手段と、
    受け取ったユーザ情報を使用してファイル名暗号キーを生成し、この暗号キーでファイル名を暗号化するファイル名暗号化手段と、
    機密データファイルを3以上のサブデータに冗長的に分割するファイル分割手段と、
    前記ファイル名暗号キーを利用してファイル内容暗号キーを生成するファイル内容暗号キー生成手段と、
    前記分割した複数のサブデータを前記ファイル内容暗号キーによって夫々暗号化するファイル内容暗号化手段と、
    外部ネットワークを介して、暗号化された複数のサブデータを暗号化されたファイル名に関連付けて前記複数のファイル記憶装置に夫々格納する分散格納手段と
    を備えたことを特徴とするプロキシサーバ。
JP2007087149A 2007-03-29 2007-03-29 機密データファイルの管理方法、管理システム及びプロキシサーバ Pending JP2008250369A (ja)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2007087149A JP2008250369A (ja) 2007-03-29 2007-03-29 機密データファイルの管理方法、管理システム及びプロキシサーバ

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007087149A JP2008250369A (ja) 2007-03-29 2007-03-29 機密データファイルの管理方法、管理システム及びプロキシサーバ

Publications (1)

Publication Number Publication Date
JP2008250369A true JP2008250369A (ja) 2008-10-16

Family

ID=39975296

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007087149A Pending JP2008250369A (ja) 2007-03-29 2007-03-29 機密データファイルの管理方法、管理システム及びプロキシサーバ

Country Status (1)

Country Link
JP (1) JP2008250369A (ja)

Cited By (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2010129028A (ja) * 2008-12-01 2010-06-10 Nec Corp ゲートウェイサーバ、ファイル管理システム、ファイル管理方法とプログラム
WO2012053886A1 (en) * 2010-10-20 2012-04-26 Mimos Berhad A method and system for file encryption and decryption in a server
WO2012053885A1 (en) * 2010-10-20 2012-04-26 Mimos Berhad A method for creating and verifying digital signature in a server
US20140304503A1 (en) * 2009-11-25 2014-10-09 Security First Corp. Systems and methods for securing data in motion
JP2015035199A (ja) * 2013-07-11 2015-02-19 エンクリプティア株式会社 データ通信システム、通信端末装置、及び通信プログラム
JP2015097095A (ja) * 2010-03-31 2015-05-21 セキュリティー ファースト コープ. 移動中のデータをセキュア化するためのシステムおよび方法
US9906500B2 (en) 2004-10-25 2018-02-27 Security First Corp. Secure data parser method and system
JP2018120365A (ja) * 2017-01-24 2018-08-02 三菱スペース・ソフトウエア株式会社 ファイル中継装置及びファイル中継プログラム
US10140460B2 (en) 2013-12-11 2018-11-27 Mitsubishi Electric Corporation File storage system and user terminal
KR101985905B1 (ko) * 2019-03-05 2019-06-04 디지테크정보 주식회사 시스템 연동 방법 및 이를 이용하는 연동형 시스템
CN110795745A (zh) * 2019-10-14 2020-02-14 山东药品食品职业学院 一种基于服务器的信息存储和传送系统及其方法
CN111984605A (zh) * 2020-07-14 2020-11-24 浙江大华技术股份有限公司 小文件管理方法、电子设备及存储装置
CN112231717A (zh) * 2019-07-15 2021-01-15 珠海金山办公软件有限公司 加密文件文件名的处理方法、装置、电子设备及存储介质
JP2021124878A (ja) * 2020-02-04 2021-08-30 株式会社エムケイシステム 電子申請の補助方法、電子申請補助システム、電子申請補助システムのプログラム及びその記録媒体
CN116192529A (zh) * 2023-03-10 2023-05-30 广东堡塔安全技术有限公司 一种第三方服务器安全管理系统
US12093412B2 (en) 2005-11-18 2024-09-17 Security First Innovations, Llc Secure data parser method and system
JP7658652B1 (ja) 2024-09-20 2025-04-10 リーテックス株式会社 管理装置、管理装置の制御方法、及びプログラム
CN120030094A (zh) * 2025-04-24 2025-05-23 暗链科技(深圳)有限公司 去中心化的多方数据存储访问系统、获取方法及存储介质

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004201038A (ja) * 2002-12-18 2004-07-15 Internatl Business Mach Corp <Ibm> データ記憶装置、これを搭載した情報処理装置及びそのデータ処理方法並びにプログラム
JP2004302818A (ja) * 2003-03-31 2004-10-28 Clarion Co Ltd ハードディスク装置、情報処理方法及びプログラム
JP2005209181A (ja) * 2003-12-25 2005-08-04 Sorun Corp ファイル管理システム及び管理方法
JP2006228202A (ja) * 2005-01-21 2006-08-31 Sorun Corp 機密データの管理方法及び管理システム

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2004201038A (ja) * 2002-12-18 2004-07-15 Internatl Business Mach Corp <Ibm> データ記憶装置、これを搭載した情報処理装置及びそのデータ処理方法並びにプログラム
JP2004302818A (ja) * 2003-03-31 2004-10-28 Clarion Co Ltd ハードディスク装置、情報処理方法及びプログラム
JP2005209181A (ja) * 2003-12-25 2005-08-04 Sorun Corp ファイル管理システム及び管理方法
JP2006228202A (ja) * 2005-01-21 2006-08-31 Sorun Corp 機密データの管理方法及び管理システム

Non-Patent Citations (1)

* Cited by examiner, † Cited by third party
Title
JPN6010040913, Eu−Jin Goh, Hovav Shacham, Nagendra Modadugu, and Dan Boneh, "SiRiUS: Securing Remote Untrusted Storage", The 10th Annual Network and Distributed System Security Symposium, 20030206, US, Internet Society *

Cited By (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9906500B2 (en) 2004-10-25 2018-02-27 Security First Corp. Secure data parser method and system
US11178116B2 (en) 2004-10-25 2021-11-16 Security First Corp. Secure data parser method and system
US9992170B2 (en) 2004-10-25 2018-06-05 Security First Corp. Secure data parser method and system
US9985932B2 (en) 2004-10-25 2018-05-29 Security First Corp. Secure data parser method and system
US9935923B2 (en) 2004-10-25 2018-04-03 Security First Corp. Secure data parser method and system
US12141299B2 (en) 2005-11-18 2024-11-12 Security First Innovations, Llc Secure data parser method and system
US12093412B2 (en) 2005-11-18 2024-09-17 Security First Innovations, Llc Secure data parser method and system
JP2010129028A (ja) * 2008-12-01 2010-06-10 Nec Corp ゲートウェイサーバ、ファイル管理システム、ファイル管理方法とプログラム
US9516002B2 (en) * 2009-11-25 2016-12-06 Security First Corp. Systems and methods for securing data in motion
US20140304503A1 (en) * 2009-11-25 2014-10-09 Security First Corp. Systems and methods for securing data in motion
US9589148B2 (en) 2010-03-31 2017-03-07 Security First Corp. Systems and methods for securing data in motion
JP2015097095A (ja) * 2010-03-31 2015-05-21 セキュリティー ファースト コープ. 移動中のデータをセキュア化するためのシステムおよび方法
US10068103B2 (en) 2010-03-31 2018-09-04 Security First Corp. Systems and methods for securing data in motion
WO2012053885A1 (en) * 2010-10-20 2012-04-26 Mimos Berhad A method for creating and verifying digital signature in a server
WO2012053886A1 (en) * 2010-10-20 2012-04-26 Mimos Berhad A method and system for file encryption and decryption in a server
JP2015035199A (ja) * 2013-07-11 2015-02-19 エンクリプティア株式会社 データ通信システム、通信端末装置、及び通信プログラム
US10140460B2 (en) 2013-12-11 2018-11-27 Mitsubishi Electric Corporation File storage system and user terminal
JP2018120365A (ja) * 2017-01-24 2018-08-02 三菱スペース・ソフトウエア株式会社 ファイル中継装置及びファイル中継プログラム
KR101985905B1 (ko) * 2019-03-05 2019-06-04 디지테크정보 주식회사 시스템 연동 방법 및 이를 이용하는 연동형 시스템
CN112231717A (zh) * 2019-07-15 2021-01-15 珠海金山办公软件有限公司 加密文件文件名的处理方法、装置、电子设备及存储介质
CN110795745A (zh) * 2019-10-14 2020-02-14 山东药品食品职业学院 一种基于服务器的信息存储和传送系统及其方法
JP2021124878A (ja) * 2020-02-04 2021-08-30 株式会社エムケイシステム 電子申請の補助方法、電子申請補助システム、電子申請補助システムのプログラム及びその記録媒体
JP7361384B2 (ja) 2020-02-04 2023-10-16 株式会社エムケイシステム 電子申請の補助方法、電子申請補助システム、電子申請補助システムのプログラム及びその記録媒体
CN111984605A (zh) * 2020-07-14 2020-11-24 浙江大华技术股份有限公司 小文件管理方法、电子设备及存储装置
CN116192529A (zh) * 2023-03-10 2023-05-30 广东堡塔安全技术有限公司 一种第三方服务器安全管理系统
CN116192529B (zh) * 2023-03-10 2023-09-29 广东堡塔安全技术有限公司 一种第三方服务器安全管理系统
JP7658652B1 (ja) 2024-09-20 2025-04-10 リーテックス株式会社 管理装置、管理装置の制御方法、及びプログラム
CN120030094A (zh) * 2025-04-24 2025-05-23 暗链科技(深圳)有限公司 去中心化的多方数据存储访问系统、获取方法及存储介质

Similar Documents

Publication Publication Date Title
JP2008250369A (ja) 機密データファイルの管理方法、管理システム及びプロキシサーバ
US12147551B1 (en) Secure data parser method and system
US20220131696A1 (en) Secure file sharing method and system
US9825927B2 (en) Systems and methods for securing data using multi-factor or keyed dispersal
US8321688B2 (en) Secure and private backup storage and processing for trusted computing and data services
RU2531569C2 (ru) Защищенное и конфиденциальное хранение и обработка резервных копий для доверенных сервисов вычисления и данных
JP5663083B2 (ja) 移動中のデータをセキュア化するためのシステムおよび方法
US7721345B2 (en) Data security system and method
US7792300B1 (en) Method and apparatus for re-encrypting data in a transaction-based secure storage system
AU2008299852B2 (en) Systems and methods for managing cryptographic keys
US7827403B2 (en) Method and apparatus for encrypting and decrypting data in a database table
US20090092252A1 (en) Method and System for Identifying and Managing Keys
US20120331088A1 (en) Systems and methods for secure distributed storage
JP4729683B2 (ja) データ分散格納装置、そのデータ構成管理サーバ、クライアント端末、および、データ分散格納装置を備えた業務委託システム
TW201947406A (zh) 資料交換群組系統及方法
CN110914826A (zh) 用于分布式数据映射的系统和方法
EP3346414A1 (en) Data filing method and system
JP2006228202A (ja) 機密データの管理方法及び管理システム
JP2000286831A (ja) 鍵リカバリ権限管理方法、その装置及びプログラム記録媒体
JP7086163B1 (ja) データ処理システム
CN119831587A (zh) 基于分布式账本技术的交易数据保护系统及方法
Kumar et al. Data security framework for data-centers
WO2023119554A1 (ja) 制御方法、情報処理装置および制御プログラム
WO2025085969A1 (en) Communications systems and methods
CN119129000A (zh) 数字摘要生成方法及相关装置

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100720

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20110125