シンクライアントシステム、装置及びプログラム
【課題】 シンクライアント方式による情報漏えい防止の利点を維持しつつ、処理結果の電子データを第三者に渡すことを可能とする。
【解決手段】 シンクライアント方式を用いたクライアント端末10’及びサーバ装置20’において、出力対象の電子データDを復元可能な分散データf(1),f(2)のうち、分散データf(1)をクライアント端末10’から外部記憶媒体40に出力し、分散データf(2)を送信先メールアドレスに基づいてサーバ装置20から客先端末50に送信する。これにより、客先端末50では、分散データf(2)を受信し、更に外部記憶媒体40から分散データf(1)を読み出して得られる合計2個の分散データf(1),f(2)に基づいて、電子データDを復元可能となる。
【解決手段】 シンクライアント方式を用いたクライアント端末10’及びサーバ装置20’において、出力対象の電子データDを復元可能な分散データf(1),f(2)のうち、分散データf(1)をクライアント端末10’から外部記憶媒体40に出力し、分散データf(2)を送信先メールアドレスに基づいてサーバ装置20から客先端末50に送信する。これにより、客先端末50では、分散データf(2)を受信し、更に外部記憶媒体40から分散データf(1)を読み出して得られる合計2個の分散データf(1),f(2)に基づいて、電子データDを復元可能となる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、ネットワークブート型シンクライアント方式により動作するシンクライアントシステム、装置及びプログラムに係り、例えば、シンクライアント方式による情報漏えい防止の利点を維持しつつ、処理結果の電子データを第三者に渡すことが可能なシンクライアントシステム、装置及びプログラムに関する。
【背景技術】
【0002】
情報漏えいを防止するため、シンクライアント(thin client)方式にする傾向がある。シンクライアント方式とは、図5に示すように、簡素なクライアント端末10と、サーバ装置20とがネットワークNWで接続されたクライアント/サーバ構成である。ここで「簡素」と記載したが、シンクライアント方式において、簡素なクライアント端末10は、通常、キーボードやマウス等の入出力装置と、ディスプレイ等の出力装置といった基本的な構成を残し、情報漏えいにつながりそうな機能を削ってハードディスクドライブや外部記憶装置を搭載しないコンピュータ(PC等)である場合が多い。
【0003】
このため、シンクライアント方式は、クライアント端末10に情報が残らず、社内の機密情報の漏えいを防止できる利点があるとして導入を進めている企業が増えている。
【0004】
係るシンクライアント方式は、図6乃至図8に示すように、画面転送型、ネットワークブート型及びブレードPC型の3種類に大きく分けられる。
【0005】
(画面転送型)
画面転送型シンクライアント方式は、図6に示すように、サーバ装置20が、アプリケーションの実行結果を示す画面データを、ネットワークNWを経由してクライアント端末10に送るものである。すなわち、サーバ装置20は、クライアント端末10に接続されたキーボードやマウスからの入力情報を受けると(ST1)、入力情報に基づいて処理を実行し、処理結果を表示する画面データをクライアント端末10へ送信する(ST2)。
【0006】
クライアント端末10での処理終了後、クライアント端末10では、クライアント端末10内のハードディスクイメージがサーバ装置20に送信される。これにより、処理終了後、情報がクライアント端末10に残らない。
【0007】
(ネットワークブート型)
ネットワークブート型シンクライアント方式は、図7に示すように、サーバ装置20が、クライアント端末10のOSやアプリケーションもしくはディスクイメージをクライアント端末10の起動時に送るものである。すなわち、クライアント端末10は、接続要求をサーバ装置20に送信し(ST11)、サーバ装置20からハードディスク内のOSやアプリケーション又はディスクイメージを読み込んで(ST12)、通常のパーソナルコンピュータ(PC)と同様に起動する。
【0008】
このネットワークブート型シンクライアント方式は、サーバ装置20の負荷が少ないため、複雑な処理を行う場合に向いている。
【0009】
(ブレードPC型)
ブレードPC型シンクライアント方式は、図8に示すように、サーバ装置(ブレードPC)20がクライアント端末10のCPUやメモリ、ハードディスクドライブなどを保有してクライアント端末10のCPUにより処理を実行し、クライアント端末10にはディスプレイと通信端末のみが設置されるものである。また、クライアント端末10とサーバ装置20との間は、標準的な通信プロトコルではなく、独自の通信プロトコルにより入出力情報や処理結果がやり取りされる。
【0010】
(シンクライアント方式の詳細)
続いて、汎用PCであるリッチクライアント(rich client)をシンクライアントとして利用可能なネットワークブート型シンクライアント方式を例に挙げて、シンクライアント方式を詳細に説明する。
【0011】
ネットワークブート型シンクライアント方式においては、図9に示すように、クライアント端末10とサーバ装置20とがネットワークNWを介して接続されている。クライアント端末10は、サーバ装置20と通信を行う通信部11と、通信部11から受けたOSやアプリケーションをRAM部13に格納し、RAM部13内のOSやアプリケーションを実行する制御部12と、サーバ装置20からのイメージを格納するRAM(Random Access Memory)部13とを備えている。
【0012】
サーバ装置20は、クライアント端末10と通信するための通信部21と、クライアント端末10の認証や送信するハードディスクイメージを制御する制御部22と、OSが格納されたサーバOS部23と、接続されたクライアント端末10のハードディスクイメージが格納されたイメージディスク部24とを備えている。
【0013】
このネットワークブート型シンクライアント方式には、シェアードイメージモード及びプライベートイメージモードがある。シェアードイメージモードは、複数のクライアント端末が同一のハードディスクイメージを使用する、即ちイメージディスク部24内のイメージデータを全てのクライアント端末で共有し、イメージへの書き込みを禁止する態様である。プライベートイメージモードは、クライアント毎にハードディスクイメージが異なる、即ちイメージディスク部24内のイメージデータがクライアント端末毎に異なり、ハードディスクを持つ汎用PCと同じ様な動作が可能な態様である。
【0014】
前述したように、ネットワークブート型シンクライアント方式は、OSをサーバ装置20からクライアント端末10のRAM上にダウンロードする仕組みであるため、クライアント側にはハードディスクなどのストレージが不要となり、OSやアプリケーションのインストールも不要となる利点がある。また、クライアント端末10のデータをサーバ装置20が一括管理するので、セキュリティを維持でき、ウイルスの感染やディスク障害などの原因も無くなるという利点もある。
【0015】
次に、以上のようなネットワークブート型シンクライアント方式の動作について図10を用いて説明する。
【0016】
クライアント端末10は、サーバ装置20へ接続要求を送信する(ST11)。サーバ装置20は、接続要求を受信すると、DHCP(Dynamic Host Configuration Protocol)を用いてクライアント端末10へのIPアドレスの割り当て処理を実行する。IPアドレスの割り当て処理は、なお、DHCPは、インターネットに一時的に接続するコンピュータに、IPアドレスなど必要な情報を自動的に割り当てるプロトコルである。
【0017】
IPアドレスの割り当て後、サーバ装置20は、ブートメニューやシンクライアント端末として動作に必要な専用プログラムをクライアント端末10へ送信する(ST12)。
【0018】
クライアント端末10は、RAM部13にブートメニューや専用プログラムをダウンロードしたら起動し、ログイン要求をサーバ装置20へ送信する(ST13)。
【0019】
サーバ装置20は、受信したログイン要求からクライアント端末10の利用者が正しいことを認証し、正しいことを認証した場合、クライアント端末10が動作するために必要なディスク割当情報を取得し、認証結果とディスク割当情報をクライアント端末10へ送信する(ST14)。
【0020】
クライアント端末10は、認証結果とディスク割当情報とを受信すると、ディスク割当情報に基づいて、サーバ装置20内の割り当てられたイメージディスク部24へアクセスする(ST15)。サーバ装置20は、クライアント端末10からの要求に従い、イメージディスク部24内の共有イメージを送信する(ST16)。
【0021】
クライアント端末10は、受信した共有イメージに基づいて処理を実行する。なお、クライアント端末10は、RAM部13内の電子データを端末外部に出力できない構成のため、処理途中の電子データが漏洩することはない。
【0022】
処理終了後、クライアント端末10は、処理結果の電子データをサーバ装置20に送信した後(ST17)、電源がオフされる。電源オフにより、クライアント端末10では、処理結果等の電子データがRAM部13から消去される。
【0023】
一方、サーバ装置20では、クライアント端末10から受信した処理結果の電子データをイメージディスク部24に保存する。
なお、以下はこの出願に関係する先行技術文献情報である。
【非特許文献1】宮地充子,菊池浩明 編著,「情報セキュリティ」,オーム社,ISBN4−274−13284−6,pp.103−107
【非特許文献2】岡本龍明,山本博資 著,「現代暗号」,産業図書,ISBN4−7828−5353−X,pp.209−219
【発明の開示】
【発明が解決しようとする課題】
【0024】
しかしながら、従来のシンクライアント方式は、外出先などでクライアント端末10によりデータを作成処理した場合、処理結果等の電子データをクライアント端末10が出力できない構成のため、処理結果等の電子データを第三者へ渡すことが困難となっている。
【0025】
例えば、ある企業の社員が客先で例えば仕様書や提案書を作成処理し、その処理結果の電子データを客先に渡すことが物理的に困難となっている。これに対し、クライアント端末10から処理結果を出力して客先に渡す構成にしたとすると、シンクライアント方式による情報漏えい防止の利点が無くなる心配が生じてしまう。
【0026】
本発明は上記実情を考慮してなされたもので、シンクライアント方式による情報漏えい防止の利点を維持しつつ、処理結果の電子データを第三者に渡すことが可能なシンクライアントシステム、装置及びプログラムを提供することを目的とする。
【課題を解決するための手段】
【0027】
第1の発明は、ネットワークブート型シンクライアント方式により動作するクライアント端末及びサーバ装置を備えたシンクライアントシステムであって、前記サーバ装置としては、前記クライアント端末から出力対象の電子データを受信すると、この電子データから、分散数n、しきい値kの(k,n)型秘密分散法(但し、2≦k≦n)に基づいて、自己の識別情報が付加されたn個の分散データを生成する手段と、前記n個の分散データが記憶される分散データ記憶手段と、前記分散データ記憶手段内のn個の分散データのうち、しきい値k個の分散データを前記クライアント端末に送信する手段と、前記クライアント端末から受信したj個の第1分散データの識別情報(但し、1≦j<k)に基づいて、当該第1分散データとは別のk−j個の第2分散データを前記分散データ記憶手段から読み出す手段と、前記クライアント端末から受信した送信先アドレス情報に基づいて、前記k−j個の第2分散データを送信する手段とを備えており、前記クライアント端末は、電源と、前記サーバ装置から受信したk個の分散データが記憶され、前記電源のオフにより記憶内容が消去される揮発性メモリと、前記揮発性メモリ内のk個の分散データのうち、j個の第1分散データ(但し、1≦j<k)が記憶され、前記電源がオフされても記憶内容を保持する不揮発性メモリと、前記揮発性メモリ内のk個の分散データに基づいて復元処理を実行し、前記電子データを復元する手段と、前記復元処理の後、前記不揮発性メモリ内のj個の第1分散データを外部記憶装置へ出力する手段と、前記出力の後、当該j個の第1分散データに付加されたj個の識別情報を前記サーバ装置に送信する手段と、外部から入力された送信先アドレス情報を前記サーバ装置に送信する手段とを備えたシンクライアントシステムである。
【0028】
なお、第1の発明は、各装置の集合体を「システム」として表現したが、これに限らず、各装置の集合体又は各装置を「装置」、「プログラム」、「プログラムを記憶したコンピュータ読み取り可能な記憶媒体」又は「方法」として表現してもよい。
【0029】
(作用)
第1の発明によれば、出力対象の電子データを復元可能なk個の分散データのうち、j個の第1分散データをクライアント端末から外部記憶媒体に出力し、k−j個の第2分散データを送信先アドレス情報に基づいてサーバ装置から送信する構成により、第2分散データの送信先では、外部記憶媒体から第1分散データを読み出して得られる合計k個の第1及び第2分散データに基づいて、電子データを復元可能となる。
【0030】
従って、シンクライアント方式による情報漏えい防止の利点を維持しつつ、処理結果の電子データを第三者(第2分散データの送信先)に渡すことが可能となる。
【発明の効果】
【0031】
以上説明したように本発明によれば、シンクライアント方式による情報漏えい防止の利点を維持しつつ、処理結果の電子データを第三者に渡すことが可能となる。
【発明を実施するための最良の形態】
【0032】
以下、本発明の一実施形態について図面を用いて説明する。なお、以下の各装置は、各装置毎に、ハードウェア構成、又はハードウェア資源とソフトウェアとの組合せ構成のいずれでも実施可能となっている。組合せ構成のソフトウェアとしては、予めネットワーク又は記憶媒体から対応する装置のコンピュータにインストールされ、対応する装置の機能を実現させるためのプログラムが用いられる。
【0033】
図1は本発明の一実施形態に係るシンクライアントシステムの構成を示す模式図であり、図9と同一部分には同一符号を付し、異なる部分には記号’を付して述べる。
【0034】
このシンクライアントシステムは、ネットワークブート型シンクライアント方式により動作するクライアント端末10’及びサーバ装置20’を備えており、外部記憶装置40と接続されたクライアント端末10’が、ネットワークNWを介してサーバ装置20’及び客先端末50に接続されている。外部記憶装置40は、例えばPCと周辺機器とを結ぶデータ伝送路の規格の一つであるUSB(Universal Serial Bus)やBluetooth(登録商標)などの無線通信により接続されるものとする。
【0035】
クライアント端末10’は、通信部11、制御部12’、RAM(Random Access Memory)部13、入力部14、復元部15、HDD(Hard Disk Drive)部16、外部出力制御部17、I/F部18及び電源19を備えている。なお、クライアント端末10’は、シンクライアント端末10’と呼んでもよい。また、本実施形態のシンクライアント端末10’は、ほぼ全てのデータをRAM部13上で処理するものであり、これ以外は通常のパーソナルコンピュータと同じものとなっている。
【0036】
ここで、通信部11は、ネットワークNWを介してサーバ装置20’や客先端末50と通信するためのものである。
【0037】
制御部12’は、利用者による入力部14の操作により、クライアント端末10’の動作やメモリの制御を行う機能と、RAM部13に記憶されたブートメニューや専用プログラムに基づいて、後述する図4のシーケンス図に示す動作を実行するように、各部11〜19を制御する機能をもっている。なお、専用プログラムは、シンクライアント端末として動作するための従来のプログラム(主に、図4のステップST13〜ST16に関するもの)と、本実施形態の秘密分散処理に関するプログラム(主に、図4のステップST20〜ST39に関するもの)とを含んでいる。
【0038】
RAM部13は、電源19のオフにより記憶内容が消去される揮発性メモリであり、制御部12’及び復元部15から読出/書込可能となっている。RAM部13には、例えば、クライアント端末10’をシンクライアント端末として動作させるためのOSや専用プログラムが起動の際に書き込まれ、さらに、サーバ装置20’から通信部11が受信したk個の分散データf(1),f(2),・・,f(k)が書き込まれる。
【0039】
入力部14は、例えばキーボードやマウス等といった通常の入力デバイスであり、利用者の操作に応じてデータを制御部12’に入力するためのものである。
【0040】
復元部15は、RAM部13内のk個の分散データf(1),f(2) ,・・,f(k)に基づいて、(k,n)型秘密分散法による復元処理を実行し、電子データDを復元する機能と、RAM部13内の(k個の)分散データf(1),f(2) ,・・,f(k)のうち、(j個の第1)分散データf(1)をHDD部16に書き込む機能とをもっている(j個は、しきい値k個未満の個数である(但し、1≦j<k)。本実施形態では、k=2、j=1である。)。
【0041】
なお、(k,n)型秘密分散法は、秘密情報をn個の分散データに分割し、n個の分散データの中から任意のk個を集めれば元の秘密情報を復元できるが、k−1個の分散データからでは、元の秘密情報に関する情報を全く得られない。すなわち、(k,n)型秘密分散法は、しきい値kを境にした秘密情報の復元特性をもっている(但し1≦k≦n)。
【0042】
また、復元部15は、情報漏えい防止の観点から、常に同じ順番の分散データ(ここでは1番目のf(1))をHDD部16に書き込むように構成されている。すなわち、同じ順番の分散データのみをクライアント端末10’から出力可能とすることにより、複数のクライアント端末から分散データを出力させて各分散データを集めたとしても、元データDを復元できないようになっている。
【0043】
HDD部16は、復元部15から書込可能で外部出力制御部17から読出可能な記憶装置であり、具体的には、電源19がオフされても記憶内容を保持するハードディスク装置等の不揮発性メモリであって、RAM部13内の(k個の)分散データf(1),f(2)のうち、(j個の第1)分散データf(1)が記憶される(但し、1≦j<k)。すなわち、クライアント端末10’においては、電源オフの後、HDD部16内のしきい値k個未満の分散データf(1)のみが消去されずに残ることになる。但し、残った分散データf(1)は、しきい値k個未満のため、元データDを復元させることができない。
【0044】
外部出力制御部17は、I/F部18に接続される外部記憶装置40へのデータ出力を制御するものであり、復元部15による復元処理の後、HDD部16内の(j個の第1)分散データf(1)をI/F部18を介して外部記憶装置40へ出力する機能と、この出力の後、当該(j個の第1)分散データf(1)に付加された分散データ名(j個の識別情報)を含む分散データ送信情報を制御部12’及び通信部11を介してサーバ装置に送信する機能とをもっている。
【0045】
なお、分散データ送信情報は、利用者のログインID、日時データ、分散データ名(出力された(j個の第1)分散データf(1)の識別情報)、出力先情報(経路情報及び外部記憶媒体40の機器ID)を含んでいる。
【0046】
また、外部出力制御部17は、第三者に電子データを渡す観点からHDD部16の記憶内容は出力するが、情報漏えい防止の観点からRAM部13の記憶内容は出力しないように構成されている。
【0047】
I/F部18は、外部出力制御部17と外部記憶装置40との間の通信を行うインターフェイス機器である。
【0048】
電源19は、電池又は電源回路といった通常の電源であり、クライアント端末10’が動作するための電気エネルギーを各部11〜18に供給するものである。
【0049】
一方、サーバ装置20’は、通信部21’、クライアント制御部22’、サーバOS部23、イメージディスク部24’、秘密分散部25、分散データ管理部26、分散データ記憶部27、ログ管理部28、ログ情報記憶部29、送信予定リスト管理部30及び送信予定リスト記憶部31を備えている。
【0050】
通信部21’は、ネットワークNWを介してクライアント端末10’又は客先端末50との通信を行う。
【0051】
クライアント制御部22’は、ネットワークブート型シンクライアント方式によりクライアント端末10’を動作させるように、各部21’,23,24’を制御する機能と、本実施形態の秘密分散処理を実行するように各部21’,25〜31を制御する機能とをもっている。
【0052】
サーバOS部23は、クライアント制御部22’から読出/書込可能なハードディスク装置であり、サーバ装置20’のOSが格納されている。
【0053】
イメージディスク部24’は、クライアント制御部22’から読出/書込可能なハードディスク装置であり、クライアント端末毎に、クライアント端末10’のハードディスクイメージが格納されている。
【0054】
秘密分散部25は、クライアント端末10’から出力対象の電子データを通信部21’が受信すると、この電子データから、分散数n、しきい値kの(k,n)型秘密分散法(但し、2≦k≦n)に基づいて、自己の識別情報が付加されたn個の分散データを生成する機能と、n個の分散データを分散データ管理部26に送出する機能とをもっている。なお、本実施形態では、分散数n=3、しきい値k=2の場合を例に挙げて述べる。
【0055】
分散データ管理部26は、分散データを管理するものであり、例えば、秘密分散部25から受けたn(=3)個の分散データf(1)〜f(3)を分散データ記憶部27に書き込む機能と、分散データ記憶部27内の3個の分散データf(1)〜f(3)のうち、しきい値k(=2)個の分散データf(1),f(2)を通信部21’によりクライアント端末10’に送信する機能とをもっている。
【0056】
分散データ記憶部27は、分散データ管理部26から読出/書込可能な記憶装置であり、n(=3)個の分散データf(1)〜f(3)が記憶される。
【0057】
ログ管理部28は、クライアント端末10’から受けた分散データ送信情報に基づいて、ログ情報をログ情報記憶部29に書き込む機能と、ログ情報を送信予定リスト管理部29に送出する機能とをもっている。
【0058】
なお、分散データ送信情報は、利用者のログインID、日時データ、分散データ名(出力された(j(=1)個の第1)分散データf(1)の識別情報)、出力先情報(経路情報及び外部記憶媒体40の機器ID)を含んでいる。分散データ名は、元データのファイル名及び分散データの順番情報の組み合わせ等が使用可能となっており、例えば分散データ名がD1の場合、ファイル名が“D”であり、順番情報が“1”である。
【0059】
ログ情報記憶部29は、ログ情報管理部28から読出/書込可能な記憶装置であり、図2に示すように、ログ情報が記憶されるものである。なお、ログ情報は、ログインID、日時データ、分散データ名及び出力先情報を含んでいる。
【0060】
送信予定リスト管理部30は、ログ管理部28から受けたログ情報と、クライアント端末10’から受けた出力要求内の送信先メールアドレス(送信先アドレス情報)に基づいて送信予定リストを作成する機能と、この送信予定リストを送信予定リスト記憶部31に書き込む機能と、クライアント端末10’から受信した分割データ要求に基づいて、送信予定リスト内の分散データ名とは別の(k−j(=1)個の第2)分散データf(2)を分散データ記憶部27から読み出す機能と、分散データf(2)を送信予定リスト内の送信先メールアドレスに基づいて、通信部21’を介して客先端末50に送信する機能とをもっている。
【0061】
送信予定リスト記憶部31は、送信予定リスト管理部30から読出/書込可能な記憶装置であり、図3に示すように、送信予定リストが記憶されるものである。なお、送信予定リストは、ログインID毎に、日時データ、送信先メールアドレス、分散データ名及び完了フラグを含んでいる。
【0062】
客先端末50は、ネットワークNWを介してクライアント装置10’やサーバ装置20’と通信可能な通常のコンピュータであり、特に、外部記憶媒体40内の分散データf(1)を読み出す機能と、サーバ装置20’から分散データf(2)を受信する機能と、分散データf(1),f(2)に基づいて(k(=2),n(=3))型秘密分散法により復元処理を実行し、電子データを復元する機能とをもっている。
【0063】
次に、以上のように構成されたシンクライアントシステムの動作を図4のシーケンス図を用いて説明する。
【0064】
クライアント端末10’は、利用者による入力部14の操作により、制御部12’が通信部11を介して接続要求をサーバ装置20’に送信する(ST11)。
【0065】
サーバ装置20’は、通信部21’により受信した接続要求に基づいて、クライアント制御部22’がDHCPを用い、クライアント端末10’へのIPアドレスの割り当て処理を実行する。
【0066】
クライアント制御部22’は、IPアドレスの割り当て処理の後、ブートメニューやシンクライアント端末として動作に必要な専用プログラムを、通信部21’を介してクライアント端末10’へ送信する(ST12’)。
【0067】
クライアント端末10’は、通信部11により受信したブートメニューや専用プログラムを、制御部12’がRAM部13に格納した後に起動し、ログイン要求を通信部11によりサーバ装置20’へ送信する(ST13)。
【0068】
サーバ装置20’は、通信部21’により受信したログイン要求に基づいて、クライアント制御部22’がクライアント端末10’の利用者認証を実行し、認証結果が正当の場合にはクライアント端末10’が動作するために必要なディスクの割り当て情報を取得し、認証結果とディスク割当情報を通信部21’によりクライアント端末10’へ送信する(ST14)。
【0069】
クライアント端末10’は、受信したディスク割当情報に基づいて、サーバ装置20’の割り当てられたイメージディスク部24’へアクセスし動作する(ST15)。サーバ装置20’は、クライアント端末10’からの要求に従い、イメージディスク部24’内の共有イメージを提供する(ST16)。
【0070】
クライアント端末10’は、共有イメージが提供されると、利用者による入力部14の操作により、制御部12’が書類データ等の作成処理を実行する。作成処理の処理結果である電子データが得られた後、利用者により、外部記憶装置40がクライアント端末10’に接続される(ST20)。その際、クライアント端末10’は、外部記憶装置40に関し、利用者認証を行うことが望ましい(図示せず)。利用者認証としては、例えば、外部記憶装置40を接続した後、パスワードの入力画面をクライアント端末10’の表示部(図示せず)に表示し、入力部14より入力されたパスワードと、予め登録されたパスワードとを照合するなどの方式が考えられる。
【0071】
続いて、クライアント端末10’は、利用者による入力部14の操作により、外部記憶装置40への出力要求を制御部12’が通信部11を介してサーバ装置20’へ送信する(ST21)。この出力要求は、処理結果の電子データD、電子データDのファイル名、ユーザのログイン名、日時データ、客先端末50のメールアドレス(送信先メールアドレス)を含んでいる。
【0072】
サーバ装置20’は、通信部21’により受信した出力要求に基づいて、秘密分散部25が、処理結果の電子データD(以下、元データDともいう)を秘密分散する(ST22)。
【0073】
ここで、秘密分散の具体的な例を示す。なお、以下の例に限らず、他の秘密分散法を用いてもよい。秘密分散法については、非特許文献1,2に詳述されている。
【0074】
秘密分散部25は、準備として、しきい値kを2、分散数nを3とする。
【0075】
秘密分散部25は、秘密分散される元データDに対し、シャミア(Shamir)の秘密分散法を用い、1次多項式f(x)=ax+D(mod p)を生成する。ここで、(mod p)はpで割った余りの数を表し、元データDや係数aよりも大きな数とする。
【0076】
前述した通り、しきい値k=2、分散数n=3であるので、以下に示すように、元データDから分散データf(1),f(2),f(3)が求められる。
【0077】
f(1)= a+D (mod p)
f(2)=2a+D (mod p)
f(3)=3a+D (mod p)
以上が秘密分散の具体的な例である。
秘密分散部25は、これら分散データf(1),f(2),f(3)を分散データ管理部26に送出する。分散データ管理部26は、分散データf(1),f(2),f(3)にそれぞれD1,D2,D3という分散データ名を付加し(f(1)=D1、f(2)=D2、f(3)=D3)、一旦、分散データf(1),f(2),f(3)を分散データ記憶部27に格納する。
【0078】
続いて、分散データ管理部26は、しきい値k(=2)個の分散データf(1),f(2)を通信部21’によりクライアント端末10’へ送信する(ST23)。
【0079】
クライアント端末10’は、通信部11により受信した分散データf(1),f(2)を制御部12’がRAM部13に記憶すると共に、この分散データf(1),f(2)に基づいて、復元部15が元データDを復元する(ST24)。
【0080】
ここで、復元処理の具体的な例として、非特許文献1に記載のシャミアらの(k,n)秘密分散方式を用いた場合を説明する。
【0081】
復元部15は、受信した分散データf(1),f(2)に基づいて、秘密分散法を用いて、元データDを求める。具体的には、以下の二つの式の連立方程式を解くことにより、元データDを求める。
【0082】
D1=f(1)= a+D (mod p)
D2=f(2)=2a+D (mod p)
復元部15は、得られた元データDを図示しない表示部に表示する。クライアント端末10’は、分散データf(1),f(2)が元データDに復元されることが利用者に確認された後、利用者による入力部14の操作により、制御部12’が復元部15を制御し、分散データf(1),f(2)のうち、しきい値k個未満の分散データf(1)又はf(2)をHDD部16に格納する。この例では、分散データf(1)をHDD部16に格納する。
【0083】
しかる後、制御部12’が外部出力制御部17を制御することにより、外部出力制御部17が、HDD部16内の分散データf(1)を、I/F部18を介して外部記憶装置40へ出力する(ST25)。外部記憶装置40は、この分散データf(1)を格納し(ST26)、利用者によるクライアント端末10’の操作によってクライアント端末10’から取り外される(ST27)。
【0084】
この取り外された外部記憶装置40を客先などへ搬送することで、安全に情報を持ち出すことができる。以下、これについて説明する。
【0085】
外部出力制御部17は、ステップST25による分散データf(1)の出力後、分散データ送信情報を、制御部12’及び通信部11を介してサーバ装置20’に送信する(ST28)。分散データ送信情報は、利用者のログインID、日時データ、分散データ名D1、出力先情報を含んでいる。
【0086】
サーバ装置20’は、この分散データ送信情報に基づいて、ログ管理部28がログ情報をログ情報記憶部29に書き込むと共に、送信予定リスト管理部が送信予定リストを作成し(ST29)、この送信予定リストを送信予定リスト記憶部31に書き込む。
【0087】
この状態でクライアント端末10’は、利用者による入力部14の操作により、出力した分散データf(1)の「分散データ名D1」と「ログインID」とを含む分散データ要求を制御部12’が通信部11を介してサーバ装置20’に送信する(ST30)。なお、分散データ要求は、出力した分散データf(1)とは別の分散データf(2)又はf(3)を要求するためのものである。
【0088】
サーバ装置20’においては、通信部21’により分散データ要求を受信すると、送信予定リスト管理部30が、分散データ名D1及びログインIDに基づいて、送信予定リスト記憶部31内の送信予定リストを参照し(ST31)、送信予定リスト内の分散データ名D1とは別の分散データ名D2の分散データf(2)を分散データ記憶部27から読み出す。
【0089】
しかる後、送信予定リスト管理部30は、この分散データf(2)と、送信予定リスト内の送信先メールアドレスとに基づいて、分散データf(2)を客先端末50に送信し(ST32)、送信予定リスト内の完了フラグを未完了“0”から完了“1”に更新する。
【0090】
客先端末50は、受信した分散データf(2)を図示しないメモリに格納する(ST33)。また、ステップST27にて取り外されて客先に搬送された外部記憶装置40を客先担当者が客先端末50に接続する。
【0091】
客先端末50は、客先担当者の操作により、外部記憶装置40内の分散データf(1)を読み出すと(ST35)、この分散データf(1)と、メモリ内の分散データf(2)とに基づいて、ST24と同様の復元処理を実行し、元データDを求める(ST36)。
【0092】
このように、処理結果の電子データとしての元データDを、客先担当者等の第三者に渡すことが可能となる。
【0093】
一方、クライアント端末10’では、ステップST30の終了後、利用者による入力部14の操作により、制御部12’がRAM部13内の処理結果を、通信部11を介してサーバ装置20’に送信する(ST37)。サーバ装置20’は、通信部21’により受信した処理結果をクライアント制御部22’が、対応するイメージディスク部24’に保存する(ST38)。
【0094】
ステップST37の後、クライアント端末10’は電源をオフにする(ST39)。この電源オフにより、RAM部13で復元されたデータや分散データf(2)などが消去される一方、HDD部16内の分散データf(1)が消去されずに保存される。
【0095】
しかしながら、HDD部16内の分散データf(1)は、しきい値k個未満の分散データf(1)であるので、元データDを復元できるものではない。このため、例えば移動中などにクライアント端末10’を紛失しても元データDを復元できず、情報が漏えいしない。すなわち、クライアント端末10’は、分散データf(1)を出力するにも関わらず、シンクライアント方式による情報漏えい防止の利点を維持している。
【0096】
上述したように本実施形態によれば、出力対象の電子データDを復元可能な2個の分散データf(1),f(2)のうち、1個の分散データf(1)をクライアント端末10’から外部記憶媒体40に出力し、別の1個の分散データf(2)を送信先メールアドレスに基づいてサーバ装置20’から送信する構成により、分散データf(2)の送信先である客先端末50では、外部記憶媒体40から分散データf(1)を読み出して得られる合計2個の分散データf(1),f(2)に基づいて、電子データDを復元可能となる。
【0097】
従って、シンクライアント方式による情報漏えい防止の利点を維持しつつ、処理結果の電子データDを第三者(分散データf(2)の送信先)に渡すことが可能となる。
【0098】
なお、上記実施形態に記載した手法は、コンピュータに実行させることのできるプログラムとして、磁気ディスク(フロッピー(登録商標)ディスク、ハードディスクなど)、光ディスク(CD−ROM、DVDなど)、光磁気ディスク(MO)、半導体メモリなどの記憶媒体に格納して頒布することもできる。
【0099】
また、この記憶媒体としては、プログラムを記憶でき、かつコンピュータが読み取り可能な記憶媒体であれば、その記憶形式は何れの形態であっても良い。
【0100】
また、記憶媒体からコンピュータにインストールされたプログラムの指示に基づきコンピュータ上で稼働しているOS(オペレーティングシステム)や、データベース管理ソフト、ネットワークソフト等のMW(ミドルウェア)等が上記実施形態を実現するための各処理の一部を実行しても良い。
【0101】
さらに、本発明における記憶媒体は、コンピュータと独立した媒体に限らず、LANやインターネット等により伝送されたプログラムをダウンロードして記憶又は一時記憶した記憶媒体も含まれる。
【0102】
また、記憶媒体は1つに限らず、複数の媒体から上記実施形態における処理が実行される場合も本発明における記憶媒体に含まれ、媒体構成は何れの構成であっても良い。
【0103】
尚、本発明におけるコンピュータは、記憶媒体に記憶されたプログラムに基づき、上記実施形態における各処理を実行するものであって、パソコン等の1つからなる装置、複数の装置がネットワーク接続されたシステム等の何れの構成であっても良い。
【0104】
また、本発明におけるコンピュータとは、パソコンに限らず、情報処理機器に含まれる演算処理装置、マイコン等も含み、プログラムによって本発明の機能を実現することが可能な機器、装置を総称している。
【0105】
なお、本願発明は、上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組合せにより種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。更に、異なる実施形態に亘る構成要素を適宜組合せてもよい。
【図面の簡単な説明】
【0106】
【図1】本発明の第1の実施形態に係るシンクライアントシステムの構成を示す模式図である。
【図2】同実施形態におけるログ情報記憶部の構成を示す模式図である。
【図3】同実施形態における送信予定リスト記憶部の構成を示す模式図である。
【図4】同実施形態における動作を説明するためのシーケンス図である。
【図5】一般的なシンクライアントシステムの構成を示す模式図である。
【図6】一般的な画面転送型シンクライアント方式を示す模式図である。
【図7】従来のネットワークブート型シンクライアント方式を示す模式図である。
【図8】一般的なブレードPC型シンクライアント方式を示す模式図である。
【図9】従来のネットワークブート型シンクライアント方式の構成を示す模式図である。
【図10】従来のネットワークブート型シンクライアント方式の動作を説明するための模式図である。
【符号の説明】
【0107】
10’ …クライアント端末、11,21’…通信部、12’…制御部、13…RAM部、14…入力部、15…復元部、16…HDD部、17…外部出力制御部、18…I/F部、19…電源、20’…サーバ装置、22’…クライアント制御部、23…サーバOS部、24…イメージディスク部、25…秘密分散部、26…分散データ管理部、27…分散データ記憶部、28…ログ管理部、29…ログ情報記憶部、30…送信予定リスト管理部、31…送信予定リスト記憶部、40…外部記憶装置、50…客先端末。
【技術分野】
【0001】
本発明は、ネットワークブート型シンクライアント方式により動作するシンクライアントシステム、装置及びプログラムに係り、例えば、シンクライアント方式による情報漏えい防止の利点を維持しつつ、処理結果の電子データを第三者に渡すことが可能なシンクライアントシステム、装置及びプログラムに関する。
【背景技術】
【0002】
情報漏えいを防止するため、シンクライアント(thin client)方式にする傾向がある。シンクライアント方式とは、図5に示すように、簡素なクライアント端末10と、サーバ装置20とがネットワークNWで接続されたクライアント/サーバ構成である。ここで「簡素」と記載したが、シンクライアント方式において、簡素なクライアント端末10は、通常、キーボードやマウス等の入出力装置と、ディスプレイ等の出力装置といった基本的な構成を残し、情報漏えいにつながりそうな機能を削ってハードディスクドライブや外部記憶装置を搭載しないコンピュータ(PC等)である場合が多い。
【0003】
このため、シンクライアント方式は、クライアント端末10に情報が残らず、社内の機密情報の漏えいを防止できる利点があるとして導入を進めている企業が増えている。
【0004】
係るシンクライアント方式は、図6乃至図8に示すように、画面転送型、ネットワークブート型及びブレードPC型の3種類に大きく分けられる。
【0005】
(画面転送型)
画面転送型シンクライアント方式は、図6に示すように、サーバ装置20が、アプリケーションの実行結果を示す画面データを、ネットワークNWを経由してクライアント端末10に送るものである。すなわち、サーバ装置20は、クライアント端末10に接続されたキーボードやマウスからの入力情報を受けると(ST1)、入力情報に基づいて処理を実行し、処理結果を表示する画面データをクライアント端末10へ送信する(ST2)。
【0006】
クライアント端末10での処理終了後、クライアント端末10では、クライアント端末10内のハードディスクイメージがサーバ装置20に送信される。これにより、処理終了後、情報がクライアント端末10に残らない。
【0007】
(ネットワークブート型)
ネットワークブート型シンクライアント方式は、図7に示すように、サーバ装置20が、クライアント端末10のOSやアプリケーションもしくはディスクイメージをクライアント端末10の起動時に送るものである。すなわち、クライアント端末10は、接続要求をサーバ装置20に送信し(ST11)、サーバ装置20からハードディスク内のOSやアプリケーション又はディスクイメージを読み込んで(ST12)、通常のパーソナルコンピュータ(PC)と同様に起動する。
【0008】
このネットワークブート型シンクライアント方式は、サーバ装置20の負荷が少ないため、複雑な処理を行う場合に向いている。
【0009】
(ブレードPC型)
ブレードPC型シンクライアント方式は、図8に示すように、サーバ装置(ブレードPC)20がクライアント端末10のCPUやメモリ、ハードディスクドライブなどを保有してクライアント端末10のCPUにより処理を実行し、クライアント端末10にはディスプレイと通信端末のみが設置されるものである。また、クライアント端末10とサーバ装置20との間は、標準的な通信プロトコルではなく、独自の通信プロトコルにより入出力情報や処理結果がやり取りされる。
【0010】
(シンクライアント方式の詳細)
続いて、汎用PCであるリッチクライアント(rich client)をシンクライアントとして利用可能なネットワークブート型シンクライアント方式を例に挙げて、シンクライアント方式を詳細に説明する。
【0011】
ネットワークブート型シンクライアント方式においては、図9に示すように、クライアント端末10とサーバ装置20とがネットワークNWを介して接続されている。クライアント端末10は、サーバ装置20と通信を行う通信部11と、通信部11から受けたOSやアプリケーションをRAM部13に格納し、RAM部13内のOSやアプリケーションを実行する制御部12と、サーバ装置20からのイメージを格納するRAM(Random Access Memory)部13とを備えている。
【0012】
サーバ装置20は、クライアント端末10と通信するための通信部21と、クライアント端末10の認証や送信するハードディスクイメージを制御する制御部22と、OSが格納されたサーバOS部23と、接続されたクライアント端末10のハードディスクイメージが格納されたイメージディスク部24とを備えている。
【0013】
このネットワークブート型シンクライアント方式には、シェアードイメージモード及びプライベートイメージモードがある。シェアードイメージモードは、複数のクライアント端末が同一のハードディスクイメージを使用する、即ちイメージディスク部24内のイメージデータを全てのクライアント端末で共有し、イメージへの書き込みを禁止する態様である。プライベートイメージモードは、クライアント毎にハードディスクイメージが異なる、即ちイメージディスク部24内のイメージデータがクライアント端末毎に異なり、ハードディスクを持つ汎用PCと同じ様な動作が可能な態様である。
【0014】
前述したように、ネットワークブート型シンクライアント方式は、OSをサーバ装置20からクライアント端末10のRAM上にダウンロードする仕組みであるため、クライアント側にはハードディスクなどのストレージが不要となり、OSやアプリケーションのインストールも不要となる利点がある。また、クライアント端末10のデータをサーバ装置20が一括管理するので、セキュリティを維持でき、ウイルスの感染やディスク障害などの原因も無くなるという利点もある。
【0015】
次に、以上のようなネットワークブート型シンクライアント方式の動作について図10を用いて説明する。
【0016】
クライアント端末10は、サーバ装置20へ接続要求を送信する(ST11)。サーバ装置20は、接続要求を受信すると、DHCP(Dynamic Host Configuration Protocol)を用いてクライアント端末10へのIPアドレスの割り当て処理を実行する。IPアドレスの割り当て処理は、なお、DHCPは、インターネットに一時的に接続するコンピュータに、IPアドレスなど必要な情報を自動的に割り当てるプロトコルである。
【0017】
IPアドレスの割り当て後、サーバ装置20は、ブートメニューやシンクライアント端末として動作に必要な専用プログラムをクライアント端末10へ送信する(ST12)。
【0018】
クライアント端末10は、RAM部13にブートメニューや専用プログラムをダウンロードしたら起動し、ログイン要求をサーバ装置20へ送信する(ST13)。
【0019】
サーバ装置20は、受信したログイン要求からクライアント端末10の利用者が正しいことを認証し、正しいことを認証した場合、クライアント端末10が動作するために必要なディスク割当情報を取得し、認証結果とディスク割当情報をクライアント端末10へ送信する(ST14)。
【0020】
クライアント端末10は、認証結果とディスク割当情報とを受信すると、ディスク割当情報に基づいて、サーバ装置20内の割り当てられたイメージディスク部24へアクセスする(ST15)。サーバ装置20は、クライアント端末10からの要求に従い、イメージディスク部24内の共有イメージを送信する(ST16)。
【0021】
クライアント端末10は、受信した共有イメージに基づいて処理を実行する。なお、クライアント端末10は、RAM部13内の電子データを端末外部に出力できない構成のため、処理途中の電子データが漏洩することはない。
【0022】
処理終了後、クライアント端末10は、処理結果の電子データをサーバ装置20に送信した後(ST17)、電源がオフされる。電源オフにより、クライアント端末10では、処理結果等の電子データがRAM部13から消去される。
【0023】
一方、サーバ装置20では、クライアント端末10から受信した処理結果の電子データをイメージディスク部24に保存する。
なお、以下はこの出願に関係する先行技術文献情報である。
【非特許文献1】宮地充子,菊池浩明 編著,「情報セキュリティ」,オーム社,ISBN4−274−13284−6,pp.103−107
【非特許文献2】岡本龍明,山本博資 著,「現代暗号」,産業図書,ISBN4−7828−5353−X,pp.209−219
【発明の開示】
【発明が解決しようとする課題】
【0024】
しかしながら、従来のシンクライアント方式は、外出先などでクライアント端末10によりデータを作成処理した場合、処理結果等の電子データをクライアント端末10が出力できない構成のため、処理結果等の電子データを第三者へ渡すことが困難となっている。
【0025】
例えば、ある企業の社員が客先で例えば仕様書や提案書を作成処理し、その処理結果の電子データを客先に渡すことが物理的に困難となっている。これに対し、クライアント端末10から処理結果を出力して客先に渡す構成にしたとすると、シンクライアント方式による情報漏えい防止の利点が無くなる心配が生じてしまう。
【0026】
本発明は上記実情を考慮してなされたもので、シンクライアント方式による情報漏えい防止の利点を維持しつつ、処理結果の電子データを第三者に渡すことが可能なシンクライアントシステム、装置及びプログラムを提供することを目的とする。
【課題を解決するための手段】
【0027】
第1の発明は、ネットワークブート型シンクライアント方式により動作するクライアント端末及びサーバ装置を備えたシンクライアントシステムであって、前記サーバ装置としては、前記クライアント端末から出力対象の電子データを受信すると、この電子データから、分散数n、しきい値kの(k,n)型秘密分散法(但し、2≦k≦n)に基づいて、自己の識別情報が付加されたn個の分散データを生成する手段と、前記n個の分散データが記憶される分散データ記憶手段と、前記分散データ記憶手段内のn個の分散データのうち、しきい値k個の分散データを前記クライアント端末に送信する手段と、前記クライアント端末から受信したj個の第1分散データの識別情報(但し、1≦j<k)に基づいて、当該第1分散データとは別のk−j個の第2分散データを前記分散データ記憶手段から読み出す手段と、前記クライアント端末から受信した送信先アドレス情報に基づいて、前記k−j個の第2分散データを送信する手段とを備えており、前記クライアント端末は、電源と、前記サーバ装置から受信したk個の分散データが記憶され、前記電源のオフにより記憶内容が消去される揮発性メモリと、前記揮発性メモリ内のk個の分散データのうち、j個の第1分散データ(但し、1≦j<k)が記憶され、前記電源がオフされても記憶内容を保持する不揮発性メモリと、前記揮発性メモリ内のk個の分散データに基づいて復元処理を実行し、前記電子データを復元する手段と、前記復元処理の後、前記不揮発性メモリ内のj個の第1分散データを外部記憶装置へ出力する手段と、前記出力の後、当該j個の第1分散データに付加されたj個の識別情報を前記サーバ装置に送信する手段と、外部から入力された送信先アドレス情報を前記サーバ装置に送信する手段とを備えたシンクライアントシステムである。
【0028】
なお、第1の発明は、各装置の集合体を「システム」として表現したが、これに限らず、各装置の集合体又は各装置を「装置」、「プログラム」、「プログラムを記憶したコンピュータ読み取り可能な記憶媒体」又は「方法」として表現してもよい。
【0029】
(作用)
第1の発明によれば、出力対象の電子データを復元可能なk個の分散データのうち、j個の第1分散データをクライアント端末から外部記憶媒体に出力し、k−j個の第2分散データを送信先アドレス情報に基づいてサーバ装置から送信する構成により、第2分散データの送信先では、外部記憶媒体から第1分散データを読み出して得られる合計k個の第1及び第2分散データに基づいて、電子データを復元可能となる。
【0030】
従って、シンクライアント方式による情報漏えい防止の利点を維持しつつ、処理結果の電子データを第三者(第2分散データの送信先)に渡すことが可能となる。
【発明の効果】
【0031】
以上説明したように本発明によれば、シンクライアント方式による情報漏えい防止の利点を維持しつつ、処理結果の電子データを第三者に渡すことが可能となる。
【発明を実施するための最良の形態】
【0032】
以下、本発明の一実施形態について図面を用いて説明する。なお、以下の各装置は、各装置毎に、ハードウェア構成、又はハードウェア資源とソフトウェアとの組合せ構成のいずれでも実施可能となっている。組合せ構成のソフトウェアとしては、予めネットワーク又は記憶媒体から対応する装置のコンピュータにインストールされ、対応する装置の機能を実現させるためのプログラムが用いられる。
【0033】
図1は本発明の一実施形態に係るシンクライアントシステムの構成を示す模式図であり、図9と同一部分には同一符号を付し、異なる部分には記号’を付して述べる。
【0034】
このシンクライアントシステムは、ネットワークブート型シンクライアント方式により動作するクライアント端末10’及びサーバ装置20’を備えており、外部記憶装置40と接続されたクライアント端末10’が、ネットワークNWを介してサーバ装置20’及び客先端末50に接続されている。外部記憶装置40は、例えばPCと周辺機器とを結ぶデータ伝送路の規格の一つであるUSB(Universal Serial Bus)やBluetooth(登録商標)などの無線通信により接続されるものとする。
【0035】
クライアント端末10’は、通信部11、制御部12’、RAM(Random Access Memory)部13、入力部14、復元部15、HDD(Hard Disk Drive)部16、外部出力制御部17、I/F部18及び電源19を備えている。なお、クライアント端末10’は、シンクライアント端末10’と呼んでもよい。また、本実施形態のシンクライアント端末10’は、ほぼ全てのデータをRAM部13上で処理するものであり、これ以外は通常のパーソナルコンピュータと同じものとなっている。
【0036】
ここで、通信部11は、ネットワークNWを介してサーバ装置20’や客先端末50と通信するためのものである。
【0037】
制御部12’は、利用者による入力部14の操作により、クライアント端末10’の動作やメモリの制御を行う機能と、RAM部13に記憶されたブートメニューや専用プログラムに基づいて、後述する図4のシーケンス図に示す動作を実行するように、各部11〜19を制御する機能をもっている。なお、専用プログラムは、シンクライアント端末として動作するための従来のプログラム(主に、図4のステップST13〜ST16に関するもの)と、本実施形態の秘密分散処理に関するプログラム(主に、図4のステップST20〜ST39に関するもの)とを含んでいる。
【0038】
RAM部13は、電源19のオフにより記憶内容が消去される揮発性メモリであり、制御部12’及び復元部15から読出/書込可能となっている。RAM部13には、例えば、クライアント端末10’をシンクライアント端末として動作させるためのOSや専用プログラムが起動の際に書き込まれ、さらに、サーバ装置20’から通信部11が受信したk個の分散データf(1),f(2),・・,f(k)が書き込まれる。
【0039】
入力部14は、例えばキーボードやマウス等といった通常の入力デバイスであり、利用者の操作に応じてデータを制御部12’に入力するためのものである。
【0040】
復元部15は、RAM部13内のk個の分散データf(1),f(2) ,・・,f(k)に基づいて、(k,n)型秘密分散法による復元処理を実行し、電子データDを復元する機能と、RAM部13内の(k個の)分散データf(1),f(2) ,・・,f(k)のうち、(j個の第1)分散データf(1)をHDD部16に書き込む機能とをもっている(j個は、しきい値k個未満の個数である(但し、1≦j<k)。本実施形態では、k=2、j=1である。)。
【0041】
なお、(k,n)型秘密分散法は、秘密情報をn個の分散データに分割し、n個の分散データの中から任意のk個を集めれば元の秘密情報を復元できるが、k−1個の分散データからでは、元の秘密情報に関する情報を全く得られない。すなわち、(k,n)型秘密分散法は、しきい値kを境にした秘密情報の復元特性をもっている(但し1≦k≦n)。
【0042】
また、復元部15は、情報漏えい防止の観点から、常に同じ順番の分散データ(ここでは1番目のf(1))をHDD部16に書き込むように構成されている。すなわち、同じ順番の分散データのみをクライアント端末10’から出力可能とすることにより、複数のクライアント端末から分散データを出力させて各分散データを集めたとしても、元データDを復元できないようになっている。
【0043】
HDD部16は、復元部15から書込可能で外部出力制御部17から読出可能な記憶装置であり、具体的には、電源19がオフされても記憶内容を保持するハードディスク装置等の不揮発性メモリであって、RAM部13内の(k個の)分散データf(1),f(2)のうち、(j個の第1)分散データf(1)が記憶される(但し、1≦j<k)。すなわち、クライアント端末10’においては、電源オフの後、HDD部16内のしきい値k個未満の分散データf(1)のみが消去されずに残ることになる。但し、残った分散データf(1)は、しきい値k個未満のため、元データDを復元させることができない。
【0044】
外部出力制御部17は、I/F部18に接続される外部記憶装置40へのデータ出力を制御するものであり、復元部15による復元処理の後、HDD部16内の(j個の第1)分散データf(1)をI/F部18を介して外部記憶装置40へ出力する機能と、この出力の後、当該(j個の第1)分散データf(1)に付加された分散データ名(j個の識別情報)を含む分散データ送信情報を制御部12’及び通信部11を介してサーバ装置に送信する機能とをもっている。
【0045】
なお、分散データ送信情報は、利用者のログインID、日時データ、分散データ名(出力された(j個の第1)分散データf(1)の識別情報)、出力先情報(経路情報及び外部記憶媒体40の機器ID)を含んでいる。
【0046】
また、外部出力制御部17は、第三者に電子データを渡す観点からHDD部16の記憶内容は出力するが、情報漏えい防止の観点からRAM部13の記憶内容は出力しないように構成されている。
【0047】
I/F部18は、外部出力制御部17と外部記憶装置40との間の通信を行うインターフェイス機器である。
【0048】
電源19は、電池又は電源回路といった通常の電源であり、クライアント端末10’が動作するための電気エネルギーを各部11〜18に供給するものである。
【0049】
一方、サーバ装置20’は、通信部21’、クライアント制御部22’、サーバOS部23、イメージディスク部24’、秘密分散部25、分散データ管理部26、分散データ記憶部27、ログ管理部28、ログ情報記憶部29、送信予定リスト管理部30及び送信予定リスト記憶部31を備えている。
【0050】
通信部21’は、ネットワークNWを介してクライアント端末10’又は客先端末50との通信を行う。
【0051】
クライアント制御部22’は、ネットワークブート型シンクライアント方式によりクライアント端末10’を動作させるように、各部21’,23,24’を制御する機能と、本実施形態の秘密分散処理を実行するように各部21’,25〜31を制御する機能とをもっている。
【0052】
サーバOS部23は、クライアント制御部22’から読出/書込可能なハードディスク装置であり、サーバ装置20’のOSが格納されている。
【0053】
イメージディスク部24’は、クライアント制御部22’から読出/書込可能なハードディスク装置であり、クライアント端末毎に、クライアント端末10’のハードディスクイメージが格納されている。
【0054】
秘密分散部25は、クライアント端末10’から出力対象の電子データを通信部21’が受信すると、この電子データから、分散数n、しきい値kの(k,n)型秘密分散法(但し、2≦k≦n)に基づいて、自己の識別情報が付加されたn個の分散データを生成する機能と、n個の分散データを分散データ管理部26に送出する機能とをもっている。なお、本実施形態では、分散数n=3、しきい値k=2の場合を例に挙げて述べる。
【0055】
分散データ管理部26は、分散データを管理するものであり、例えば、秘密分散部25から受けたn(=3)個の分散データf(1)〜f(3)を分散データ記憶部27に書き込む機能と、分散データ記憶部27内の3個の分散データf(1)〜f(3)のうち、しきい値k(=2)個の分散データf(1),f(2)を通信部21’によりクライアント端末10’に送信する機能とをもっている。
【0056】
分散データ記憶部27は、分散データ管理部26から読出/書込可能な記憶装置であり、n(=3)個の分散データf(1)〜f(3)が記憶される。
【0057】
ログ管理部28は、クライアント端末10’から受けた分散データ送信情報に基づいて、ログ情報をログ情報記憶部29に書き込む機能と、ログ情報を送信予定リスト管理部29に送出する機能とをもっている。
【0058】
なお、分散データ送信情報は、利用者のログインID、日時データ、分散データ名(出力された(j(=1)個の第1)分散データf(1)の識別情報)、出力先情報(経路情報及び外部記憶媒体40の機器ID)を含んでいる。分散データ名は、元データのファイル名及び分散データの順番情報の組み合わせ等が使用可能となっており、例えば分散データ名がD1の場合、ファイル名が“D”であり、順番情報が“1”である。
【0059】
ログ情報記憶部29は、ログ情報管理部28から読出/書込可能な記憶装置であり、図2に示すように、ログ情報が記憶されるものである。なお、ログ情報は、ログインID、日時データ、分散データ名及び出力先情報を含んでいる。
【0060】
送信予定リスト管理部30は、ログ管理部28から受けたログ情報と、クライアント端末10’から受けた出力要求内の送信先メールアドレス(送信先アドレス情報)に基づいて送信予定リストを作成する機能と、この送信予定リストを送信予定リスト記憶部31に書き込む機能と、クライアント端末10’から受信した分割データ要求に基づいて、送信予定リスト内の分散データ名とは別の(k−j(=1)個の第2)分散データf(2)を分散データ記憶部27から読み出す機能と、分散データf(2)を送信予定リスト内の送信先メールアドレスに基づいて、通信部21’を介して客先端末50に送信する機能とをもっている。
【0061】
送信予定リスト記憶部31は、送信予定リスト管理部30から読出/書込可能な記憶装置であり、図3に示すように、送信予定リストが記憶されるものである。なお、送信予定リストは、ログインID毎に、日時データ、送信先メールアドレス、分散データ名及び完了フラグを含んでいる。
【0062】
客先端末50は、ネットワークNWを介してクライアント装置10’やサーバ装置20’と通信可能な通常のコンピュータであり、特に、外部記憶媒体40内の分散データf(1)を読み出す機能と、サーバ装置20’から分散データf(2)を受信する機能と、分散データf(1),f(2)に基づいて(k(=2),n(=3))型秘密分散法により復元処理を実行し、電子データを復元する機能とをもっている。
【0063】
次に、以上のように構成されたシンクライアントシステムの動作を図4のシーケンス図を用いて説明する。
【0064】
クライアント端末10’は、利用者による入力部14の操作により、制御部12’が通信部11を介して接続要求をサーバ装置20’に送信する(ST11)。
【0065】
サーバ装置20’は、通信部21’により受信した接続要求に基づいて、クライアント制御部22’がDHCPを用い、クライアント端末10’へのIPアドレスの割り当て処理を実行する。
【0066】
クライアント制御部22’は、IPアドレスの割り当て処理の後、ブートメニューやシンクライアント端末として動作に必要な専用プログラムを、通信部21’を介してクライアント端末10’へ送信する(ST12’)。
【0067】
クライアント端末10’は、通信部11により受信したブートメニューや専用プログラムを、制御部12’がRAM部13に格納した後に起動し、ログイン要求を通信部11によりサーバ装置20’へ送信する(ST13)。
【0068】
サーバ装置20’は、通信部21’により受信したログイン要求に基づいて、クライアント制御部22’がクライアント端末10’の利用者認証を実行し、認証結果が正当の場合にはクライアント端末10’が動作するために必要なディスクの割り当て情報を取得し、認証結果とディスク割当情報を通信部21’によりクライアント端末10’へ送信する(ST14)。
【0069】
クライアント端末10’は、受信したディスク割当情報に基づいて、サーバ装置20’の割り当てられたイメージディスク部24’へアクセスし動作する(ST15)。サーバ装置20’は、クライアント端末10’からの要求に従い、イメージディスク部24’内の共有イメージを提供する(ST16)。
【0070】
クライアント端末10’は、共有イメージが提供されると、利用者による入力部14の操作により、制御部12’が書類データ等の作成処理を実行する。作成処理の処理結果である電子データが得られた後、利用者により、外部記憶装置40がクライアント端末10’に接続される(ST20)。その際、クライアント端末10’は、外部記憶装置40に関し、利用者認証を行うことが望ましい(図示せず)。利用者認証としては、例えば、外部記憶装置40を接続した後、パスワードの入力画面をクライアント端末10’の表示部(図示せず)に表示し、入力部14より入力されたパスワードと、予め登録されたパスワードとを照合するなどの方式が考えられる。
【0071】
続いて、クライアント端末10’は、利用者による入力部14の操作により、外部記憶装置40への出力要求を制御部12’が通信部11を介してサーバ装置20’へ送信する(ST21)。この出力要求は、処理結果の電子データD、電子データDのファイル名、ユーザのログイン名、日時データ、客先端末50のメールアドレス(送信先メールアドレス)を含んでいる。
【0072】
サーバ装置20’は、通信部21’により受信した出力要求に基づいて、秘密分散部25が、処理結果の電子データD(以下、元データDともいう)を秘密分散する(ST22)。
【0073】
ここで、秘密分散の具体的な例を示す。なお、以下の例に限らず、他の秘密分散法を用いてもよい。秘密分散法については、非特許文献1,2に詳述されている。
【0074】
秘密分散部25は、準備として、しきい値kを2、分散数nを3とする。
【0075】
秘密分散部25は、秘密分散される元データDに対し、シャミア(Shamir)の秘密分散法を用い、1次多項式f(x)=ax+D(mod p)を生成する。ここで、(mod p)はpで割った余りの数を表し、元データDや係数aよりも大きな数とする。
【0076】
前述した通り、しきい値k=2、分散数n=3であるので、以下に示すように、元データDから分散データf(1),f(2),f(3)が求められる。
【0077】
f(1)= a+D (mod p)
f(2)=2a+D (mod p)
f(3)=3a+D (mod p)
以上が秘密分散の具体的な例である。
秘密分散部25は、これら分散データf(1),f(2),f(3)を分散データ管理部26に送出する。分散データ管理部26は、分散データf(1),f(2),f(3)にそれぞれD1,D2,D3という分散データ名を付加し(f(1)=D1、f(2)=D2、f(3)=D3)、一旦、分散データf(1),f(2),f(3)を分散データ記憶部27に格納する。
【0078】
続いて、分散データ管理部26は、しきい値k(=2)個の分散データf(1),f(2)を通信部21’によりクライアント端末10’へ送信する(ST23)。
【0079】
クライアント端末10’は、通信部11により受信した分散データf(1),f(2)を制御部12’がRAM部13に記憶すると共に、この分散データf(1),f(2)に基づいて、復元部15が元データDを復元する(ST24)。
【0080】
ここで、復元処理の具体的な例として、非特許文献1に記載のシャミアらの(k,n)秘密分散方式を用いた場合を説明する。
【0081】
復元部15は、受信した分散データf(1),f(2)に基づいて、秘密分散法を用いて、元データDを求める。具体的には、以下の二つの式の連立方程式を解くことにより、元データDを求める。
【0082】
D1=f(1)= a+D (mod p)
D2=f(2)=2a+D (mod p)
復元部15は、得られた元データDを図示しない表示部に表示する。クライアント端末10’は、分散データf(1),f(2)が元データDに復元されることが利用者に確認された後、利用者による入力部14の操作により、制御部12’が復元部15を制御し、分散データf(1),f(2)のうち、しきい値k個未満の分散データf(1)又はf(2)をHDD部16に格納する。この例では、分散データf(1)をHDD部16に格納する。
【0083】
しかる後、制御部12’が外部出力制御部17を制御することにより、外部出力制御部17が、HDD部16内の分散データf(1)を、I/F部18を介して外部記憶装置40へ出力する(ST25)。外部記憶装置40は、この分散データf(1)を格納し(ST26)、利用者によるクライアント端末10’の操作によってクライアント端末10’から取り外される(ST27)。
【0084】
この取り外された外部記憶装置40を客先などへ搬送することで、安全に情報を持ち出すことができる。以下、これについて説明する。
【0085】
外部出力制御部17は、ステップST25による分散データf(1)の出力後、分散データ送信情報を、制御部12’及び通信部11を介してサーバ装置20’に送信する(ST28)。分散データ送信情報は、利用者のログインID、日時データ、分散データ名D1、出力先情報を含んでいる。
【0086】
サーバ装置20’は、この分散データ送信情報に基づいて、ログ管理部28がログ情報をログ情報記憶部29に書き込むと共に、送信予定リスト管理部が送信予定リストを作成し(ST29)、この送信予定リストを送信予定リスト記憶部31に書き込む。
【0087】
この状態でクライアント端末10’は、利用者による入力部14の操作により、出力した分散データf(1)の「分散データ名D1」と「ログインID」とを含む分散データ要求を制御部12’が通信部11を介してサーバ装置20’に送信する(ST30)。なお、分散データ要求は、出力した分散データf(1)とは別の分散データf(2)又はf(3)を要求するためのものである。
【0088】
サーバ装置20’においては、通信部21’により分散データ要求を受信すると、送信予定リスト管理部30が、分散データ名D1及びログインIDに基づいて、送信予定リスト記憶部31内の送信予定リストを参照し(ST31)、送信予定リスト内の分散データ名D1とは別の分散データ名D2の分散データf(2)を分散データ記憶部27から読み出す。
【0089】
しかる後、送信予定リスト管理部30は、この分散データf(2)と、送信予定リスト内の送信先メールアドレスとに基づいて、分散データf(2)を客先端末50に送信し(ST32)、送信予定リスト内の完了フラグを未完了“0”から完了“1”に更新する。
【0090】
客先端末50は、受信した分散データf(2)を図示しないメモリに格納する(ST33)。また、ステップST27にて取り外されて客先に搬送された外部記憶装置40を客先担当者が客先端末50に接続する。
【0091】
客先端末50は、客先担当者の操作により、外部記憶装置40内の分散データf(1)を読み出すと(ST35)、この分散データf(1)と、メモリ内の分散データf(2)とに基づいて、ST24と同様の復元処理を実行し、元データDを求める(ST36)。
【0092】
このように、処理結果の電子データとしての元データDを、客先担当者等の第三者に渡すことが可能となる。
【0093】
一方、クライアント端末10’では、ステップST30の終了後、利用者による入力部14の操作により、制御部12’がRAM部13内の処理結果を、通信部11を介してサーバ装置20’に送信する(ST37)。サーバ装置20’は、通信部21’により受信した処理結果をクライアント制御部22’が、対応するイメージディスク部24’に保存する(ST38)。
【0094】
ステップST37の後、クライアント端末10’は電源をオフにする(ST39)。この電源オフにより、RAM部13で復元されたデータや分散データf(2)などが消去される一方、HDD部16内の分散データf(1)が消去されずに保存される。
【0095】
しかしながら、HDD部16内の分散データf(1)は、しきい値k個未満の分散データf(1)であるので、元データDを復元できるものではない。このため、例えば移動中などにクライアント端末10’を紛失しても元データDを復元できず、情報が漏えいしない。すなわち、クライアント端末10’は、分散データf(1)を出力するにも関わらず、シンクライアント方式による情報漏えい防止の利点を維持している。
【0096】
上述したように本実施形態によれば、出力対象の電子データDを復元可能な2個の分散データf(1),f(2)のうち、1個の分散データf(1)をクライアント端末10’から外部記憶媒体40に出力し、別の1個の分散データf(2)を送信先メールアドレスに基づいてサーバ装置20’から送信する構成により、分散データf(2)の送信先である客先端末50では、外部記憶媒体40から分散データf(1)を読み出して得られる合計2個の分散データf(1),f(2)に基づいて、電子データDを復元可能となる。
【0097】
従って、シンクライアント方式による情報漏えい防止の利点を維持しつつ、処理結果の電子データDを第三者(分散データf(2)の送信先)に渡すことが可能となる。
【0098】
なお、上記実施形態に記載した手法は、コンピュータに実行させることのできるプログラムとして、磁気ディスク(フロッピー(登録商標)ディスク、ハードディスクなど)、光ディスク(CD−ROM、DVDなど)、光磁気ディスク(MO)、半導体メモリなどの記憶媒体に格納して頒布することもできる。
【0099】
また、この記憶媒体としては、プログラムを記憶でき、かつコンピュータが読み取り可能な記憶媒体であれば、その記憶形式は何れの形態であっても良い。
【0100】
また、記憶媒体からコンピュータにインストールされたプログラムの指示に基づきコンピュータ上で稼働しているOS(オペレーティングシステム)や、データベース管理ソフト、ネットワークソフト等のMW(ミドルウェア)等が上記実施形態を実現するための各処理の一部を実行しても良い。
【0101】
さらに、本発明における記憶媒体は、コンピュータと独立した媒体に限らず、LANやインターネット等により伝送されたプログラムをダウンロードして記憶又は一時記憶した記憶媒体も含まれる。
【0102】
また、記憶媒体は1つに限らず、複数の媒体から上記実施形態における処理が実行される場合も本発明における記憶媒体に含まれ、媒体構成は何れの構成であっても良い。
【0103】
尚、本発明におけるコンピュータは、記憶媒体に記憶されたプログラムに基づき、上記実施形態における各処理を実行するものであって、パソコン等の1つからなる装置、複数の装置がネットワーク接続されたシステム等の何れの構成であっても良い。
【0104】
また、本発明におけるコンピュータとは、パソコンに限らず、情報処理機器に含まれる演算処理装置、マイコン等も含み、プログラムによって本発明の機能を実現することが可能な機器、装置を総称している。
【0105】
なお、本願発明は、上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組合せにより種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。更に、異なる実施形態に亘る構成要素を適宜組合せてもよい。
【図面の簡単な説明】
【0106】
【図1】本発明の第1の実施形態に係るシンクライアントシステムの構成を示す模式図である。
【図2】同実施形態におけるログ情報記憶部の構成を示す模式図である。
【図3】同実施形態における送信予定リスト記憶部の構成を示す模式図である。
【図4】同実施形態における動作を説明するためのシーケンス図である。
【図5】一般的なシンクライアントシステムの構成を示す模式図である。
【図6】一般的な画面転送型シンクライアント方式を示す模式図である。
【図7】従来のネットワークブート型シンクライアント方式を示す模式図である。
【図8】一般的なブレードPC型シンクライアント方式を示す模式図である。
【図9】従来のネットワークブート型シンクライアント方式の構成を示す模式図である。
【図10】従来のネットワークブート型シンクライアント方式の動作を説明するための模式図である。
【符号の説明】
【0107】
10’ …クライアント端末、11,21’…通信部、12’…制御部、13…RAM部、14…入力部、15…復元部、16…HDD部、17…外部出力制御部、18…I/F部、19…電源、20’…サーバ装置、22’…クライアント制御部、23…サーバOS部、24…イメージディスク部、25…秘密分散部、26…分散データ管理部、27…分散データ記憶部、28…ログ管理部、29…ログ情報記憶部、30…送信予定リスト管理部、31…送信予定リスト記憶部、40…外部記憶装置、50…客先端末。
【特許請求の範囲】
【請求項1】
ネットワークブート型シンクライアント方式により動作するクライアント端末及びサーバ装置を備えたシンクライアントシステムであって、
前記サーバ装置は、
前記クライアント端末から出力対象の電子データを受信すると、この電子データから、分散数n、しきい値kの(k,n)型秘密分散法(但し、2≦k≦n)に基づいて、自己の識別情報が付加されたn個の分散データを生成する手段と、
前記n個の分散データが記憶される分散データ記憶手段と、
前記分散データ記憶手段内のn個の分散データのうち、しきい値k個の分散データを前記クライアント端末に送信する手段と、
前記クライアント端末から受信したj個の第1分散データの識別情報(但し、1≦j<k)に基づいて、当該第1分散データとは別のk−j個の第2分散データを前記分散データ記憶手段から読み出す手段と、
前記クライアント端末から受信した送信先アドレス情報に基づいて、前記k−j個の第2分散データを送信する手段とを備えており、
前記クライアント端末は、
電源と、
前記サーバ装置から受信したk個の分散データが記憶され、前記電源のオフにより記憶内容が消去される揮発性メモリと、
前記揮発性メモリ内のk個の分散データのうち、j個の第1分散データ(但し、1≦j<k)が記憶され、前記電源がオフされても記憶内容を保持する不揮発性メモリと、
前記揮発性メモリ内のk個の分散データに基づいて復元処理を実行し、前記電子データを復元する手段と、
前記復元処理の後、前記不揮発性メモリ内のj個の第1分散データを外部記憶装置へ出力する手段と、
前記出力の後、当該j個の第1分散データに付加されたj個の識別情報を前記サーバ装置に送信する手段と、
外部から入力された送信先アドレス情報を前記サーバ装置に送信する手段と
を備えたことを特徴とするシンクライアントシステム。
【請求項2】
ネットワークブート型シンクライアント方式により動作するクライアント端末に通信可能なサーバ装置であって、
前記クライアント端末から出力対象の電子データを受信すると、この電子データから、分散数n、しきい値kの(k,n)型秘密分散法(但し、2≦k≦n)に基づいて、自己の識別情報が付加されたn個の分散データを生成する手段と、
前記n個の分散データが記憶される分散データ記憶手段と、
前記分散データ記憶手段内のn個の分散データのうち、しきい値k個の分散データを前記クライアント端末に送信する手段と、
前記クライアント端末から受信したj個の第1分散データの識別情報(但し、1≦j<k)に基づいて、当該第1分散データとは別のk−j個の第2分散データを前記分散データ記憶手段から読み出す手段と、
前記クライアント端末から受信した送信先アドレス情報に基づいて、前記k−j個の第2分散データを送信する手段とを備えており、
前記クライアント端末がj個の第1分散データを外部記憶媒体に出力することにより、この第1分散データと、前記送信先アドレス情報に基づいて送信したk−j個の第2分散データとからなるk個の分散データに基づいて、前記出力対象の電子データを復元可能とするようにしたことを特徴とするサーバ装置。
【請求項3】
ネットワークブート型シンクライアント方式により動作するクライアント端末に通信可能なサーバ装置に用いられるプログラムであって、
前記サーバ装置のコンピュータを、
前記クライアント端末から出力対象の電子データを受信すると、この電子データから、分散数n、しきい値kの(k,n)型秘密分散法(但し、2≦k≦n)に基づいて、自己の識別情報が付加されたn個の分散データを生成する手段、
前記n個の分散データを前記コンピュータの記憶装置に書き込む手段、
前記記憶装置内のn個の分散データのうち、しきい値k個の分散データを前記クライアント端末に送信する手段、
前記クライアント端末から受信したj個の第1分散データの識別情報(但し、1≦j<k)に基づいて、当該第1分散データとは別のk−j個の第2分散データを前記記憶装置から読み出す手段、
前記クライアント端末から受信した送信先アドレス情報に基づいて、前記k−j個の第2分散データを送信する手段として機能させ、
前記クライアント端末がj個の第1分散データを外部記憶媒体に出力することにより、この第1分散データと、前記送信先アドレス情報に基づいて送信したk−j個の第2分散データとからなるk個の分散データに基づいて、前記出力対象の電子データを復元可能とするようにしたプログラム。
【請求項4】
ネットワークブート型シンクライアント方式により動作するクライアント端末に通信可能なサーバ装置が前記クライアント端末に送信するプログラムであって、
前記クライアント端末のコンピュータを、
出力対象の電子データを前記サーバ装置に送信する手段、
前記電子データから分散数n、しきい値kの(k,n)型秘密分散法(但し、2≦k≦n)に基づいて、自己の識別情報が付加されたn個の分散データが前記サーバ装置に生成された後、前記n個の分散データのうち、しきい値k個の分散データを前記サーバ装置から受信する手段、
前記クライアント端末の電源のオフにより記憶内容が消去される揮発性メモリに前記k個の分散データを書き込む手段、
前記クライアント端末の電源がオフされても記憶内容を保持する不揮発性メモリに、前記揮発性メモリ内のk個の分散データのうちのj個の第1分散データ(但し、1≦j<k)を書き込む手段、
前記揮発性メモリ内のk個の分散データに基づいて復元処理を実行し、前記電子データを復元する手段、
前記復元処理の後、前記不揮発性メモリ内のj個の第1分散データを外部記憶装置へ出力する手段、
前記出力の後、当該j個の第1分散データに付加されたj個の識別情報を前記サーバ装置に送信する手段、
前記第1分散データとは別のk−j個の第2分散データを前記サーバ装置に送信させるための送信先アドレス情報を前記サーバ装置に送信する手段、
として機能させるためのプログラム。
【請求項1】
ネットワークブート型シンクライアント方式により動作するクライアント端末及びサーバ装置を備えたシンクライアントシステムであって、
前記サーバ装置は、
前記クライアント端末から出力対象の電子データを受信すると、この電子データから、分散数n、しきい値kの(k,n)型秘密分散法(但し、2≦k≦n)に基づいて、自己の識別情報が付加されたn個の分散データを生成する手段と、
前記n個の分散データが記憶される分散データ記憶手段と、
前記分散データ記憶手段内のn個の分散データのうち、しきい値k個の分散データを前記クライアント端末に送信する手段と、
前記クライアント端末から受信したj個の第1分散データの識別情報(但し、1≦j<k)に基づいて、当該第1分散データとは別のk−j個の第2分散データを前記分散データ記憶手段から読み出す手段と、
前記クライアント端末から受信した送信先アドレス情報に基づいて、前記k−j個の第2分散データを送信する手段とを備えており、
前記クライアント端末は、
電源と、
前記サーバ装置から受信したk個の分散データが記憶され、前記電源のオフにより記憶内容が消去される揮発性メモリと、
前記揮発性メモリ内のk個の分散データのうち、j個の第1分散データ(但し、1≦j<k)が記憶され、前記電源がオフされても記憶内容を保持する不揮発性メモリと、
前記揮発性メモリ内のk個の分散データに基づいて復元処理を実行し、前記電子データを復元する手段と、
前記復元処理の後、前記不揮発性メモリ内のj個の第1分散データを外部記憶装置へ出力する手段と、
前記出力の後、当該j個の第1分散データに付加されたj個の識別情報を前記サーバ装置に送信する手段と、
外部から入力された送信先アドレス情報を前記サーバ装置に送信する手段と
を備えたことを特徴とするシンクライアントシステム。
【請求項2】
ネットワークブート型シンクライアント方式により動作するクライアント端末に通信可能なサーバ装置であって、
前記クライアント端末から出力対象の電子データを受信すると、この電子データから、分散数n、しきい値kの(k,n)型秘密分散法(但し、2≦k≦n)に基づいて、自己の識別情報が付加されたn個の分散データを生成する手段と、
前記n個の分散データが記憶される分散データ記憶手段と、
前記分散データ記憶手段内のn個の分散データのうち、しきい値k個の分散データを前記クライアント端末に送信する手段と、
前記クライアント端末から受信したj個の第1分散データの識別情報(但し、1≦j<k)に基づいて、当該第1分散データとは別のk−j個の第2分散データを前記分散データ記憶手段から読み出す手段と、
前記クライアント端末から受信した送信先アドレス情報に基づいて、前記k−j個の第2分散データを送信する手段とを備えており、
前記クライアント端末がj個の第1分散データを外部記憶媒体に出力することにより、この第1分散データと、前記送信先アドレス情報に基づいて送信したk−j個の第2分散データとからなるk個の分散データに基づいて、前記出力対象の電子データを復元可能とするようにしたことを特徴とするサーバ装置。
【請求項3】
ネットワークブート型シンクライアント方式により動作するクライアント端末に通信可能なサーバ装置に用いられるプログラムであって、
前記サーバ装置のコンピュータを、
前記クライアント端末から出力対象の電子データを受信すると、この電子データから、分散数n、しきい値kの(k,n)型秘密分散法(但し、2≦k≦n)に基づいて、自己の識別情報が付加されたn個の分散データを生成する手段、
前記n個の分散データを前記コンピュータの記憶装置に書き込む手段、
前記記憶装置内のn個の分散データのうち、しきい値k個の分散データを前記クライアント端末に送信する手段、
前記クライアント端末から受信したj個の第1分散データの識別情報(但し、1≦j<k)に基づいて、当該第1分散データとは別のk−j個の第2分散データを前記記憶装置から読み出す手段、
前記クライアント端末から受信した送信先アドレス情報に基づいて、前記k−j個の第2分散データを送信する手段として機能させ、
前記クライアント端末がj個の第1分散データを外部記憶媒体に出力することにより、この第1分散データと、前記送信先アドレス情報に基づいて送信したk−j個の第2分散データとからなるk個の分散データに基づいて、前記出力対象の電子データを復元可能とするようにしたプログラム。
【請求項4】
ネットワークブート型シンクライアント方式により動作するクライアント端末に通信可能なサーバ装置が前記クライアント端末に送信するプログラムであって、
前記クライアント端末のコンピュータを、
出力対象の電子データを前記サーバ装置に送信する手段、
前記電子データから分散数n、しきい値kの(k,n)型秘密分散法(但し、2≦k≦n)に基づいて、自己の識別情報が付加されたn個の分散データが前記サーバ装置に生成された後、前記n個の分散データのうち、しきい値k個の分散データを前記サーバ装置から受信する手段、
前記クライアント端末の電源のオフにより記憶内容が消去される揮発性メモリに前記k個の分散データを書き込む手段、
前記クライアント端末の電源がオフされても記憶内容を保持する不揮発性メモリに、前記揮発性メモリ内のk個の分散データのうちのj個の第1分散データ(但し、1≦j<k)を書き込む手段、
前記揮発性メモリ内のk個の分散データに基づいて復元処理を実行し、前記電子データを復元する手段、
前記復元処理の後、前記不揮発性メモリ内のj個の第1分散データを外部記憶装置へ出力する手段、
前記出力の後、当該j個の第1分散データに付加されたj個の識別情報を前記サーバ装置に送信する手段、
前記第1分散データとは別のk−j個の第2分散データを前記サーバ装置に送信させるための送信先アドレス情報を前記サーバ装置に送信する手段、
として機能させるためのプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【公開番号】特開2008−198016(P2008−198016A)
【公開日】平成20年8月28日(2008.8.28)
【国際特許分類】
【出願番号】特願2007−33923(P2007−33923)
【出願日】平成19年2月14日(2007.2.14)
【出願人】(000003078)株式会社東芝 (54,554)
【出願人】(301063496)東芝ソリューション株式会社 (1,478)
【Fターム(参考)】
【公開日】平成20年8月28日(2008.8.28)
【国際特許分類】
【出願日】平成19年2月14日(2007.2.14)
【出願人】(000003078)株式会社東芝 (54,554)
【出願人】(301063496)東芝ソリューション株式会社 (1,478)
【Fターム(参考)】
[ Back to top ]