データベースエンジンを利用したデータセキュリティ方法
【課題】データベースサーバににおいて、データベースエンジン内に具備されているデータセキュリティエンジンがデータセキュリティ機能を遂行することができる、データセキュリティ方法を提供する。
【解決手段】データベースエンジンによってデータを管理しているデータベース、及び外部装置から送信されてきた原本データを前記データベースへ送信するか、または前記データベースから送信されてきた原本データを前記外部装置へ送信するためのインターフェースを含むデータベースサーバにおいて、前記データベースエンジンは、データセキュリティエンジンを含み、前記データセキュリティエンジンが前記原本データに対するデータセキュリティ機能を遂行する。
【解決手段】データベースエンジンによってデータを管理しているデータベース、及び外部装置から送信されてきた原本データを前記データベースへ送信するか、または前記データベースから送信されてきた原本データを前記外部装置へ送信するためのインターフェースを含むデータベースサーバにおいて、前記データベースエンジンは、データセキュリティエンジンを含み、前記データセキュリティエンジンが前記原本データに対するデータセキュリティ機能を遂行する。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、データベースサーバにおける、特にデータセキュリティ機能を向上させたデータベースエンジンを利用したデータセキュリティ方法に関する。
【背景技術】
【0002】
ネットワーク通信を通じて情報をやり取りするための目的または膨大な情報を体系的に管理するための目的として、データベースサーバが広く利用されている。
【0003】
図1は、暗号化・復号化モジュールを搭載しているアプリケーションサーバを利用している従来のデータベースサーバの構成を示す例示図であり、図2は、外部データセキュリティモジュールを利用している従来のデータベースサーバの構成を示す例示図である。
【0004】
データベースサーバ100は、データを格納する用途として利用されるものであって、この種のデータベースサーバ100は、外部装置と通信を行なうインターフェース110及びデータを実質的に管理するデータベース120を含んでいる。
【0005】
このうち、データベース120は、データを格納するための物理的な空間を含んでおり、且つデータと関連した各種の作業を行なうデータベースエンジン130を具備している。
【0006】
前記したようなデータベースエンジン130は、図1に示すように、データ関連業務を行なうデータ運営エンジン131と、データを格納する空間としてのデータ格納エンジン132とで構成されている。
【0007】
データベースサーバ100は、重要な個人情報などを含んでいることがあるため、安全にデータを保護するデータセキュリティが何より肝要である。
【0008】
データベースセキュリティ方法としては、、第一に、データ暗号化方法、第二に、データベースへのアクセス制御方法、第三に、重要データに対する監査方法などがある。
【0009】
前記したようなデータセキュリティ方法を適用するために一般に用いられている方法としては、図1に示すような暗号化・復号化モジュール191を搭載しているアプリケーションサーバ190を利用する方法と、図2に示すようなデータベースサーバ100内に搭載された外部データセキュリティモジュール140を利用する方法がある。
【0010】
データセキュリティのために従来に用いられていた二つの方法を説明すれば、次のとおりである。
【0011】
第一に、データを暗号化するために、暗号化・復号化モジュール191をアプリケーションサーバ190に設ける方法(API)がある。アプリケーションサーバ190は、データの入力/照会のためのクエリーをデータベース120に要請して、データを入力/照会する役割を担う。
【0012】
このような暗号化・復号化モジュール191を利用する方法では、アプリケーションサーバ190のクエリー内に暗号化・復号化関数を含ませて暗号化・復号化を行なっている。
【0013】
したがって、アプリケーションサーバ190に搭載された暗号化・復号化モジュール191を利用する方法では、データベース120における暗号化・復号化によるさらなる負荷を生じさせないという長所を持っている。
【0014】
しかしながら、暗号化・復号化モジュール191を利用する方法では、データベース120において行なわれるべきの暗号化データに対するアクセス制御、暗号化データに対する監査機能の支援が不可能であり、暗号化データに係るすべてのクエリーを既存のアプリケーションサーバ内から一々探し出して手動で修正しなければならないという短所を持っている。
【0015】
第二に、外部データセキュリティモジュール140を通じてセキュリティ機能を行なう場合(Plug−In)、当該構成要素はデータベースエンジン130の外部に構成される。すなわち、外部データセキュリティモジュール140とは、データベースサーバ100内に構成されるものの、データベースエンジン130の外部に構成されるモジュールをいう。
【0016】
外部データセキュリティモジュール140を利用する方法は、データベース120の内部に具備されるものの、データベースエンジン130の外部に外部データセキュリティモジュール140を設ける方法である。
【0017】
この種の外部データセキュリティモジュール140を利用する方法は、アプリケーションサーバ190に暗号化・復号化モジュールを設ける方法の短所を補完するためになされたものであって、暗号化以降もクエリーの変更を不要とし、既存クエリーを互換するため、データベースの機能であるビュー(View)とトリガー(Trigger)を利用する。
【0018】
この方法では、暗号化データに対して既存クエリーの要請がデータベース120へ送られてくると、トリガー(Trigger)が自動でデータの暗号化・復号化を行い、ビュー(View)を通じて原本データを表示する。しかしながら、このようにビュー(View)とトリガー(Trigger)により暗号化・復号化を行なう場合、データの照会件数が多いクエリーの場合は、暗号化・復号化が多く行なわれ、その応答速度が暗号化の前と比べて著しく落ちるようになる。
【0019】
したがって、かかるクエリーの場合、応答速度の低下現象を解決するために、ビュー(View)とトリガー(Trigger)を利用せずに、直接暗号化テーブルからデータを取り出して、クエリーで暗号化・復号化関数を用いて暗号化・復号化を行なうように修正する方式の作業が必要となる。
【0020】
このため、外部データセキュリティモジュール140を利用する方法では、アプリケーションサーバ190に暗号化・復号化モジュールを設ける方法のようにすべての暗号化データ関連クエリーを修正する必要はないが、データの照会件数が多い一部のクエリーに対しては、同じく暗号化・復号化関数を含むようにクエリーを手動で修正しなければならないという不便がある。
【0021】
すなわち、外部データセキュリティモジュール140を利用する方法では、一部のクエリーの場合は最適化が必要となり、この場合、クエリーの修正が不可避である。
【発明の概要】
【発明が解決しようとする課題】
【0022】
本発明は、上述した問題点を解決するためになされたものであって、データベースエンジン内に具備されているデータセキュリティエンジンがデータセキュリティ機能を遂行することができる、データセキュリティ方法を提供することを技術的課題とする。
【課題を解決するための手段】
【0023】
上述した技術的課題を達成するための本発明に係るデータセキュリティ方法は、データベースエンジンによってデータを管理しているデータベース、及び外部装置から送信されてきた原本データを前記データベースへ送信し、または前記データベースから送信されてきた原本データを前記外部装置へ送信するためのインターフェースを含むデータベースサーバにおいて、前記データベースエンジンは、データセキュリティエンジンを含み、前記データセキュリティエンジンが、前記原本データに対するデータセキュリティ機能を遂行することを特徴とする。
【発明の効果】
【0024】
上述した解決手段によって、本発明は、次のような効果を提供する。
【0025】
すなわち、本発明は、データベースエンジン内に具備されているデータセキュリティエンジンがデータセキュリティ機能を遂行しているため、データベースサーバの外部に具備された別の外部データセキュリティ装置と通信を行なう従来のデータベースサーバ及びデータベースエンジンと独立している外部データセキュリティモジュールを含んでいる従来のデータベースサーバに比べて、高速性能のデータセキュリティ機能を提供することができるという効果を提供する。
【図面の簡単な説明】
【0026】
【図1】暗号化・復号化モジュールを搭載しているアプリケーションサーバを利用している従来のデータベースサーバの構成を示す例示図。
【図2】外部データセキュリティモジュールを利用している従来のデータベースサーバの構成を示す例示図。
【図3】本発明の第1実施例に係るデータセキュリティ方法が適用されるデータベースサーバの構成図。
【図4】本発明の第2実施例に係るデータセキュリティ方法が適用されるデータベースサーバの構成図。
【図5】本発明の第3実施例に係るデータセキュリティ方法が適用されるデータベースサーバの構成図。
【図6】本発明の第4実施例に係るデータセキュリティ方法が適用されるデータベースサーバの構成図。
【図7】本発明の第5実施例に係るデータセキュリティ方法が適用されるデータベースサーバの構成図。
【図8】本発明の第6実施例に係るデータセキュリティ方法が適用されるデータベースサーバの構成図。
【発明を実施するための形態】
【0027】
以下、添付の図面を参考して本発明の実施例について詳しく説明する。
【0028】
図3は、本発明の第1実施例に係るデータセキュリティ方法が適用されるデータベースサーバの構成図である。
【0029】
データを暗号化し該暗号化されたデータ(以下、「暗号化データ」と略称する)がデータベースサーバに格納されると、原本データを入力/照会するクエリーをそのまま用いる方法によっては、原本データが入力/照会できず、暗号化データが入力/照会されるため、正常なデータが出力されない。
【0030】
したがって、暗号化データ関連クエリー内に暗号化・復号化関数を手動で含ませて一々変更させなければならないという複雑な過程が必要となる。
【0031】
かかる複雑な過程を通さなければならないクエリー互換方法を単純化するために、背景技術のところで言及したような暗号化・復号化モジュール191(図1参考)または外部データセキュリティモジュール140(図2参考)が適用されていた。
【0032】
このうち、図1に示すようにアプリケーションサーバ190に暗号化・復号化モジュール191が搭載される場合、暗号化データに係るすべてのクエリーを既存のアプリケーションサーバ内から一々探し出して手動で修正しなければならないという不便がある。
【0033】
また、図2に示すように一つのデータベースサーバに外部データセキュリティモジュール140とデータベースエンジン130とが搭載される場合、すべての暗号化データ関連クエリーを修正する必要はないが、データの照会件数が多い一部のクエリーに対しては、同じく暗号化・復号化関数を含むようにクエリーを手動で修正しなければならないという不便がある。
【0034】
前記したような従来の問題点を解決するための本発明の第1実施例に係るデータセキュリティ方法が適用されるデータベースサーバ(以下、「データベースサーバ」と略称する)は、図3に示すように、データベースエンジン230によってデータを管理しているデータベース220及び外部装置から送信されてきた原本データをデータベースへ送信し、またはデータベースから送信されてきた原本データを外部装置へ送信するためのインターフェース210を含んでいる。
【0035】
インターフェース210は、前記したように外部装置とデータベースとの間の通信を中継するためのものであり、外部装置は、パーソナル・コンピューター(PC)または各種の機能を提供するサーバであってよい。
【0036】
データベース220は、実質的にデータを管理する機能を遂行するものであって、データベース220には、データ管理機能を実質的に遂行するためのデータベースエンジン230が含まれている。
【0037】
このようなデータベースエンジン230は、さらに、原本データの入力または照会に係る業務を行なうデータ運営エンジン231、データセキュリティ機能を遂行するデータセキュリティエンジン233、及び原本データに対する暗号化を行なうデータセキュリティエンジンによって生成された暗号化データを格納するデータ格納エンジン232を含んで構成されている。
【0038】
まず、データ運営エンジン231は、インターフェース210を介して外部装置との通信を行い、外部装置から送信されてきた原本データをデータセキュリティエンジン233へ送信し、またはデータ格納エンジン232から照会された原本データを外部装置へ送信する機能を遂行する。
【0039】
次いで、データ格納エンジン232は、データセキュリティエンジン233によって暗号化された暗号化データを実質的に格納することができる空間を提供する。
【0040】
最後に、データセキュリティエンジン233は、データセキュリティ機能を遂行する。ここで、データセキュリティ機能とは、原本データを暗号化し暗号化データを生成する機能、データ格納エンジン232に対するアクセス制御機能、及び重要データに対する監査機能を含む。
【0041】
すなわち、データセキュリティエンジン233は、インターフェース210を介して外部装置から送信されてきた原本データを暗号化してデータ格納エンジン232へ送信するか、暗号化によって暗号化された暗号化データを復号化するか、未承認の外部装置からデータ格納エンジン232へのアクセス要請がある場合、これに対するアクセス制限機能を遂行するか、外部装置からデータ格納エンジン232に格納されている重要データに対する照会要請がある場合、これに対する正当性の有無を把握して外部装置へ送信するか、または、重要なデータに対するアクセス記録を格納して監査する機能などを遂行することができる。
【0042】
前記のように構成されている本発明の第1実施例は、データベースエンジン230に含まれているデータセキュリティエンジン233が、暗号化データに対して自動で暗号化・復号化を行なうため、高速な演算速度(クエリー応答速度)を提供することができ、且つ、別途のクエリー修正が要求されないため、完璧なクエリー互換性を提供することができるという特徴を持っている。
【0043】
前記したような本発明の特徴を詳しく説明すれば、次のとおりである。
【0044】
本発明の第1実施例では、データ運営エンジン231と共にデータベースエンジン230に搭載されているデータセキュリティエンジン233によって、原本データを暗号化してデータ格納エンジン232に格納し、データ格納エンジンに格納されている暗号化データを復号化して外部装置へ送信することができるため、データの入出力のために用いられる言語であるクエリーに対する別途の修正過程を要しない。
【0045】
付け加えると、原本データを暗号化し暗号化データがデータ格納エンジン232に格納された状態で、原本データを入力/照会するクエリーがそのまま用いられても、データ暗号化エンジンが原本データを入力/照会するクエリーを、暗号化方法に対応するように自動で変換させて暗号化データを抽出するため、ユーザが所望する原本データを正常に出力することができる。
【0046】
したがって、本発明の第1実施例では、データベースサーバと独立したアプリケーションサーバ(暗号化・復号化モジュールの搭載)を利用する場合のクエリー応答速度、及びデータベースサーバ内にデータベースエンジンと独立した外部データセキュリティモジュールを利用する場合のクエリー応答速度よりも向上したクエリー応答速度を提供することができる。
【0047】
また、データベースエンジン230に搭載されているデータセキュリティエンジン233がデータセキュリティ機能を担当しているため、原本データを暗号化してデータ格納エンジンに入力するためのクエリーと、暗号化データを照会するためのクエリーを自動で変化することができる。このため、本発明の第1実施例では、二つのクエリーを完璧に互換して利用することができる。すなわち、ユーザは、暗号化がなされる前に原本データを入力または照会するために利用したクエリーを、データセキュリティエンジンによって暗号化がなされた暗号化データの入力または照会の際にそのまま利用してデータ格納エンジンに格納されている原本データを照会することができる。
【0048】
すなわち、データベースエンジンに搭載されているデータセキュリティエンジンを利用している本発明の第1実施例では、データセキュリティエンジンが暗号化データに対して自動で暗号化・復号化を行なっているため、暗号化・復号化の前に利用されていた従来のクエリーを変更せずにも、データ格納エンジンに格納されている原本データを正常に照会することができるという互換性を提供することができる。
【0049】
前記のような本発明の特徴をまとめると、次のとおりである。
【0050】
第一に、本発明の第1実施例は、セキュリティ処理のために外部に具備されたデータセキュリティ装置またはアプリケーションサーバとの通信が不要であるため、向上したクエリー応答速度を提供することができるという特徴を持っている。
【0051】
第二に、本発明の第1実施例は、自動暗号化・復号化機能を遂行するものであって、演算速度がビュー−トリガー方式よりも高速であるため、クエリーの修正を一切必要としない完璧な互換性を保障するという特徴を持っている。
【0052】
すなわち、データに対する暗号化以降は原本データの変換がなされることとなるが、データベースエンジン230内に、データセキュリティエンジン233を具備している本発明の第1実施例では、データセキュリティエンジン233が自動で暗号化データに対する変更処理を行い、その速度もまた、外部データセキュリティモジュールで処理する速度とは比べものにならない程度に高速であるため、暗号化以降も既存クエリーを一切修正する必要がなく、向上したクエリー応答速度を提供することができる。
【0053】
図4は、本発明の第2実施例に係るデータセキュリティ方法が適用されるデータベースサーバの構成図であり、図5は、本発明の第3実施例に係るデータセキュリティ方法が適用されるデータベースサーバの構成図であり、図6は、本発明の第4実施例に係るデータセキュリティ方法が適用されるデータベースサーバの構成図であり、図7は、本発明の第5実施例に係るデータセキュリティ方法が適用されるデータベースサーバの構成図であり、図8は、本発明の第6実施例に係るデータセキュリティ方法が適用されるデータベースサーバの構成図である。
【0054】
本発明に係るデータセキュリティ方法が適用されるデータベースサーバ200は、データセキュリティ機能を遂行するために、データベース220のデータベースエンジン230にデータセキュリティエンジン233を構成しており、データセキュリティエンジン233を介してデータセキュリティ機能を遂行している。
【0055】
本発明に係るデータセキュリティ方法が適用されるデータベースサーバ200は、データセキュリティエンジン233を構成する方式に応じて次の6通りに区分することができる。
【0056】
本発明の第1実施例に係るデータセキュリティ方法が適用されるデータベースサーバ200は、図3に示すように、データベースエンジン230内にデータ運営エンジン231、データ格納エンジン232及びデータセキュリティエンジン233を含んでいる。すなわち、データセキュリティエンジン233がデータ運営エンジン231及びデータ格納エンジン232と独立して構成され、データセキュリティ機能を遂行している。
【0057】
本発明の第2実施例に係るデータセキュリティ方法が適用されるデータベースサーバ200は、図4に示すように、データセキュリティエンジン233がデータ運営エンジン231及びデータ格納エンジン232と独立して構成され、データベース220の外部にデータセキュリティエンジン連動モジュール250が具備されており、データセキュリティエンジン233とデータセキュリティエンジン連動モジュール250とがデータセキュリティ機能を一緒に遂行している。
【0058】
本発明の第3実施例に係るデータセキュリティ方法が適用されるデータベースサーバ200は、図5に示すように、データセキュリティエンジン233がデータ運営エンジン231の内部に構成され、データセキュリティ機能を遂行している。
【0059】
本発明の第4実施例に係るデータセキュリティ方法が適用されるデータベースサーバ200は、図6に示すように、データセキュリティエンジン233がデータ運営エンジン231の内部に構成され、データベース220の外部にデータセキュリティエンジン連動モジュール250が具備されており、データセキュリティエンジン233とデータセキュリティエンジン連動モジュール250とがデータセキュリティ機能を一緒に遂行している。
【0060】
本発明の第5実施例に係るデータセキュリティ方法が適用されるデータベースサーバ200は、図7に示すように、データセキュリティエンジン233がデータ格納エンジン232の内部に構成され、データセキュリティ機能を遂行している。
【0061】
本発明の第6実施例に係るデータセキュリティ方法が適用されるデータベースサーバ200は、図8に示すように、データセキュリティエンジン233がデータ格納エンジン232の内部に構成され、データベースの外部にデータセキュリティエンジン連動モジュール250が具備されており、データセキュリティエンジン233とデータセキュリティエンジン連動モジュール250とがデータセキュリティ機能を一緒に遂行している。
【0062】
すなわち、前記したような本発明に係るデータセキュリティ方法が適用されるデータサーバでは、データベースエンジン130を活用しているため、暗号化データの判別及び暗号化・復号化の遂行が、いずれもデータベースエンジン120の内部で自動で行なわれる。
【0063】
また、前記暗号化・復号化の遂行速度もまた、従来のデータサーバに比べて高速である。
【0064】
また、本発明は、暗号化・復号化の遂行速度が非常に高速であるため、暗号化以前のクエリーの修正を一切不要とする完璧な互換性を保障する。
【0065】
したがって、本発明は、暗号化・復号化性能が非常に高速で、且つ暗号化・復号化がデータベースエンジン130の内部で自動で行われるため、既存クエリーの互換性及び応答速度の低下という問題を解決することができる。
【0066】
本発明の属する技術分野における当業者は、本発明をその技術的思想や必須特徴を変更することなく他の具体的な形態で実施することができるということが理解できるであろう。よって、上述した実施例はすべての面において例示的なもので限定的なものではないと理解すべきである。本発明の範囲は、前記詳細な説明よりは特許請求の範囲によって示され、特許請求の範囲の意味及び範囲、及びその等価概念から導出されるすべての変更または変形された形態が本発明の範囲に含まれることと解釈されなければならない。
【符号の説明】
【0067】
200 データベースサーバ
210 インターフェース
220 データベース
230 データベースエンジン
231 データ運営エンジン
232 データ格納エンジン
233 データセキュリティエンジン
250 データセキュリティエンジン連動モジュール
【技術分野】
【0001】
本発明は、データベースサーバにおける、特にデータセキュリティ機能を向上させたデータベースエンジンを利用したデータセキュリティ方法に関する。
【背景技術】
【0002】
ネットワーク通信を通じて情報をやり取りするための目的または膨大な情報を体系的に管理するための目的として、データベースサーバが広く利用されている。
【0003】
図1は、暗号化・復号化モジュールを搭載しているアプリケーションサーバを利用している従来のデータベースサーバの構成を示す例示図であり、図2は、外部データセキュリティモジュールを利用している従来のデータベースサーバの構成を示す例示図である。
【0004】
データベースサーバ100は、データを格納する用途として利用されるものであって、この種のデータベースサーバ100は、外部装置と通信を行なうインターフェース110及びデータを実質的に管理するデータベース120を含んでいる。
【0005】
このうち、データベース120は、データを格納するための物理的な空間を含んでおり、且つデータと関連した各種の作業を行なうデータベースエンジン130を具備している。
【0006】
前記したようなデータベースエンジン130は、図1に示すように、データ関連業務を行なうデータ運営エンジン131と、データを格納する空間としてのデータ格納エンジン132とで構成されている。
【0007】
データベースサーバ100は、重要な個人情報などを含んでいることがあるため、安全にデータを保護するデータセキュリティが何より肝要である。
【0008】
データベースセキュリティ方法としては、、第一に、データ暗号化方法、第二に、データベースへのアクセス制御方法、第三に、重要データに対する監査方法などがある。
【0009】
前記したようなデータセキュリティ方法を適用するために一般に用いられている方法としては、図1に示すような暗号化・復号化モジュール191を搭載しているアプリケーションサーバ190を利用する方法と、図2に示すようなデータベースサーバ100内に搭載された外部データセキュリティモジュール140を利用する方法がある。
【0010】
データセキュリティのために従来に用いられていた二つの方法を説明すれば、次のとおりである。
【0011】
第一に、データを暗号化するために、暗号化・復号化モジュール191をアプリケーションサーバ190に設ける方法(API)がある。アプリケーションサーバ190は、データの入力/照会のためのクエリーをデータベース120に要請して、データを入力/照会する役割を担う。
【0012】
このような暗号化・復号化モジュール191を利用する方法では、アプリケーションサーバ190のクエリー内に暗号化・復号化関数を含ませて暗号化・復号化を行なっている。
【0013】
したがって、アプリケーションサーバ190に搭載された暗号化・復号化モジュール191を利用する方法では、データベース120における暗号化・復号化によるさらなる負荷を生じさせないという長所を持っている。
【0014】
しかしながら、暗号化・復号化モジュール191を利用する方法では、データベース120において行なわれるべきの暗号化データに対するアクセス制御、暗号化データに対する監査機能の支援が不可能であり、暗号化データに係るすべてのクエリーを既存のアプリケーションサーバ内から一々探し出して手動で修正しなければならないという短所を持っている。
【0015】
第二に、外部データセキュリティモジュール140を通じてセキュリティ機能を行なう場合(Plug−In)、当該構成要素はデータベースエンジン130の外部に構成される。すなわち、外部データセキュリティモジュール140とは、データベースサーバ100内に構成されるものの、データベースエンジン130の外部に構成されるモジュールをいう。
【0016】
外部データセキュリティモジュール140を利用する方法は、データベース120の内部に具備されるものの、データベースエンジン130の外部に外部データセキュリティモジュール140を設ける方法である。
【0017】
この種の外部データセキュリティモジュール140を利用する方法は、アプリケーションサーバ190に暗号化・復号化モジュールを設ける方法の短所を補完するためになされたものであって、暗号化以降もクエリーの変更を不要とし、既存クエリーを互換するため、データベースの機能であるビュー(View)とトリガー(Trigger)を利用する。
【0018】
この方法では、暗号化データに対して既存クエリーの要請がデータベース120へ送られてくると、トリガー(Trigger)が自動でデータの暗号化・復号化を行い、ビュー(View)を通じて原本データを表示する。しかしながら、このようにビュー(View)とトリガー(Trigger)により暗号化・復号化を行なう場合、データの照会件数が多いクエリーの場合は、暗号化・復号化が多く行なわれ、その応答速度が暗号化の前と比べて著しく落ちるようになる。
【0019】
したがって、かかるクエリーの場合、応答速度の低下現象を解決するために、ビュー(View)とトリガー(Trigger)を利用せずに、直接暗号化テーブルからデータを取り出して、クエリーで暗号化・復号化関数を用いて暗号化・復号化を行なうように修正する方式の作業が必要となる。
【0020】
このため、外部データセキュリティモジュール140を利用する方法では、アプリケーションサーバ190に暗号化・復号化モジュールを設ける方法のようにすべての暗号化データ関連クエリーを修正する必要はないが、データの照会件数が多い一部のクエリーに対しては、同じく暗号化・復号化関数を含むようにクエリーを手動で修正しなければならないという不便がある。
【0021】
すなわち、外部データセキュリティモジュール140を利用する方法では、一部のクエリーの場合は最適化が必要となり、この場合、クエリーの修正が不可避である。
【発明の概要】
【発明が解決しようとする課題】
【0022】
本発明は、上述した問題点を解決するためになされたものであって、データベースエンジン内に具備されているデータセキュリティエンジンがデータセキュリティ機能を遂行することができる、データセキュリティ方法を提供することを技術的課題とする。
【課題を解決するための手段】
【0023】
上述した技術的課題を達成するための本発明に係るデータセキュリティ方法は、データベースエンジンによってデータを管理しているデータベース、及び外部装置から送信されてきた原本データを前記データベースへ送信し、または前記データベースから送信されてきた原本データを前記外部装置へ送信するためのインターフェースを含むデータベースサーバにおいて、前記データベースエンジンは、データセキュリティエンジンを含み、前記データセキュリティエンジンが、前記原本データに対するデータセキュリティ機能を遂行することを特徴とする。
【発明の効果】
【0024】
上述した解決手段によって、本発明は、次のような効果を提供する。
【0025】
すなわち、本発明は、データベースエンジン内に具備されているデータセキュリティエンジンがデータセキュリティ機能を遂行しているため、データベースサーバの外部に具備された別の外部データセキュリティ装置と通信を行なう従来のデータベースサーバ及びデータベースエンジンと独立している外部データセキュリティモジュールを含んでいる従来のデータベースサーバに比べて、高速性能のデータセキュリティ機能を提供することができるという効果を提供する。
【図面の簡単な説明】
【0026】
【図1】暗号化・復号化モジュールを搭載しているアプリケーションサーバを利用している従来のデータベースサーバの構成を示す例示図。
【図2】外部データセキュリティモジュールを利用している従来のデータベースサーバの構成を示す例示図。
【図3】本発明の第1実施例に係るデータセキュリティ方法が適用されるデータベースサーバの構成図。
【図4】本発明の第2実施例に係るデータセキュリティ方法が適用されるデータベースサーバの構成図。
【図5】本発明の第3実施例に係るデータセキュリティ方法が適用されるデータベースサーバの構成図。
【図6】本発明の第4実施例に係るデータセキュリティ方法が適用されるデータベースサーバの構成図。
【図7】本発明の第5実施例に係るデータセキュリティ方法が適用されるデータベースサーバの構成図。
【図8】本発明の第6実施例に係るデータセキュリティ方法が適用されるデータベースサーバの構成図。
【発明を実施するための形態】
【0027】
以下、添付の図面を参考して本発明の実施例について詳しく説明する。
【0028】
図3は、本発明の第1実施例に係るデータセキュリティ方法が適用されるデータベースサーバの構成図である。
【0029】
データを暗号化し該暗号化されたデータ(以下、「暗号化データ」と略称する)がデータベースサーバに格納されると、原本データを入力/照会するクエリーをそのまま用いる方法によっては、原本データが入力/照会できず、暗号化データが入力/照会されるため、正常なデータが出力されない。
【0030】
したがって、暗号化データ関連クエリー内に暗号化・復号化関数を手動で含ませて一々変更させなければならないという複雑な過程が必要となる。
【0031】
かかる複雑な過程を通さなければならないクエリー互換方法を単純化するために、背景技術のところで言及したような暗号化・復号化モジュール191(図1参考)または外部データセキュリティモジュール140(図2参考)が適用されていた。
【0032】
このうち、図1に示すようにアプリケーションサーバ190に暗号化・復号化モジュール191が搭載される場合、暗号化データに係るすべてのクエリーを既存のアプリケーションサーバ内から一々探し出して手動で修正しなければならないという不便がある。
【0033】
また、図2に示すように一つのデータベースサーバに外部データセキュリティモジュール140とデータベースエンジン130とが搭載される場合、すべての暗号化データ関連クエリーを修正する必要はないが、データの照会件数が多い一部のクエリーに対しては、同じく暗号化・復号化関数を含むようにクエリーを手動で修正しなければならないという不便がある。
【0034】
前記したような従来の問題点を解決するための本発明の第1実施例に係るデータセキュリティ方法が適用されるデータベースサーバ(以下、「データベースサーバ」と略称する)は、図3に示すように、データベースエンジン230によってデータを管理しているデータベース220及び外部装置から送信されてきた原本データをデータベースへ送信し、またはデータベースから送信されてきた原本データを外部装置へ送信するためのインターフェース210を含んでいる。
【0035】
インターフェース210は、前記したように外部装置とデータベースとの間の通信を中継するためのものであり、外部装置は、パーソナル・コンピューター(PC)または各種の機能を提供するサーバであってよい。
【0036】
データベース220は、実質的にデータを管理する機能を遂行するものであって、データベース220には、データ管理機能を実質的に遂行するためのデータベースエンジン230が含まれている。
【0037】
このようなデータベースエンジン230は、さらに、原本データの入力または照会に係る業務を行なうデータ運営エンジン231、データセキュリティ機能を遂行するデータセキュリティエンジン233、及び原本データに対する暗号化を行なうデータセキュリティエンジンによって生成された暗号化データを格納するデータ格納エンジン232を含んで構成されている。
【0038】
まず、データ運営エンジン231は、インターフェース210を介して外部装置との通信を行い、外部装置から送信されてきた原本データをデータセキュリティエンジン233へ送信し、またはデータ格納エンジン232から照会された原本データを外部装置へ送信する機能を遂行する。
【0039】
次いで、データ格納エンジン232は、データセキュリティエンジン233によって暗号化された暗号化データを実質的に格納することができる空間を提供する。
【0040】
最後に、データセキュリティエンジン233は、データセキュリティ機能を遂行する。ここで、データセキュリティ機能とは、原本データを暗号化し暗号化データを生成する機能、データ格納エンジン232に対するアクセス制御機能、及び重要データに対する監査機能を含む。
【0041】
すなわち、データセキュリティエンジン233は、インターフェース210を介して外部装置から送信されてきた原本データを暗号化してデータ格納エンジン232へ送信するか、暗号化によって暗号化された暗号化データを復号化するか、未承認の外部装置からデータ格納エンジン232へのアクセス要請がある場合、これに対するアクセス制限機能を遂行するか、外部装置からデータ格納エンジン232に格納されている重要データに対する照会要請がある場合、これに対する正当性の有無を把握して外部装置へ送信するか、または、重要なデータに対するアクセス記録を格納して監査する機能などを遂行することができる。
【0042】
前記のように構成されている本発明の第1実施例は、データベースエンジン230に含まれているデータセキュリティエンジン233が、暗号化データに対して自動で暗号化・復号化を行なうため、高速な演算速度(クエリー応答速度)を提供することができ、且つ、別途のクエリー修正が要求されないため、完璧なクエリー互換性を提供することができるという特徴を持っている。
【0043】
前記したような本発明の特徴を詳しく説明すれば、次のとおりである。
【0044】
本発明の第1実施例では、データ運営エンジン231と共にデータベースエンジン230に搭載されているデータセキュリティエンジン233によって、原本データを暗号化してデータ格納エンジン232に格納し、データ格納エンジンに格納されている暗号化データを復号化して外部装置へ送信することができるため、データの入出力のために用いられる言語であるクエリーに対する別途の修正過程を要しない。
【0045】
付け加えると、原本データを暗号化し暗号化データがデータ格納エンジン232に格納された状態で、原本データを入力/照会するクエリーがそのまま用いられても、データ暗号化エンジンが原本データを入力/照会するクエリーを、暗号化方法に対応するように自動で変換させて暗号化データを抽出するため、ユーザが所望する原本データを正常に出力することができる。
【0046】
したがって、本発明の第1実施例では、データベースサーバと独立したアプリケーションサーバ(暗号化・復号化モジュールの搭載)を利用する場合のクエリー応答速度、及びデータベースサーバ内にデータベースエンジンと独立した外部データセキュリティモジュールを利用する場合のクエリー応答速度よりも向上したクエリー応答速度を提供することができる。
【0047】
また、データベースエンジン230に搭載されているデータセキュリティエンジン233がデータセキュリティ機能を担当しているため、原本データを暗号化してデータ格納エンジンに入力するためのクエリーと、暗号化データを照会するためのクエリーを自動で変化することができる。このため、本発明の第1実施例では、二つのクエリーを完璧に互換して利用することができる。すなわち、ユーザは、暗号化がなされる前に原本データを入力または照会するために利用したクエリーを、データセキュリティエンジンによって暗号化がなされた暗号化データの入力または照会の際にそのまま利用してデータ格納エンジンに格納されている原本データを照会することができる。
【0048】
すなわち、データベースエンジンに搭載されているデータセキュリティエンジンを利用している本発明の第1実施例では、データセキュリティエンジンが暗号化データに対して自動で暗号化・復号化を行なっているため、暗号化・復号化の前に利用されていた従来のクエリーを変更せずにも、データ格納エンジンに格納されている原本データを正常に照会することができるという互換性を提供することができる。
【0049】
前記のような本発明の特徴をまとめると、次のとおりである。
【0050】
第一に、本発明の第1実施例は、セキュリティ処理のために外部に具備されたデータセキュリティ装置またはアプリケーションサーバとの通信が不要であるため、向上したクエリー応答速度を提供することができるという特徴を持っている。
【0051】
第二に、本発明の第1実施例は、自動暗号化・復号化機能を遂行するものであって、演算速度がビュー−トリガー方式よりも高速であるため、クエリーの修正を一切必要としない完璧な互換性を保障するという特徴を持っている。
【0052】
すなわち、データに対する暗号化以降は原本データの変換がなされることとなるが、データベースエンジン230内に、データセキュリティエンジン233を具備している本発明の第1実施例では、データセキュリティエンジン233が自動で暗号化データに対する変更処理を行い、その速度もまた、外部データセキュリティモジュールで処理する速度とは比べものにならない程度に高速であるため、暗号化以降も既存クエリーを一切修正する必要がなく、向上したクエリー応答速度を提供することができる。
【0053】
図4は、本発明の第2実施例に係るデータセキュリティ方法が適用されるデータベースサーバの構成図であり、図5は、本発明の第3実施例に係るデータセキュリティ方法が適用されるデータベースサーバの構成図であり、図6は、本発明の第4実施例に係るデータセキュリティ方法が適用されるデータベースサーバの構成図であり、図7は、本発明の第5実施例に係るデータセキュリティ方法が適用されるデータベースサーバの構成図であり、図8は、本発明の第6実施例に係るデータセキュリティ方法が適用されるデータベースサーバの構成図である。
【0054】
本発明に係るデータセキュリティ方法が適用されるデータベースサーバ200は、データセキュリティ機能を遂行するために、データベース220のデータベースエンジン230にデータセキュリティエンジン233を構成しており、データセキュリティエンジン233を介してデータセキュリティ機能を遂行している。
【0055】
本発明に係るデータセキュリティ方法が適用されるデータベースサーバ200は、データセキュリティエンジン233を構成する方式に応じて次の6通りに区分することができる。
【0056】
本発明の第1実施例に係るデータセキュリティ方法が適用されるデータベースサーバ200は、図3に示すように、データベースエンジン230内にデータ運営エンジン231、データ格納エンジン232及びデータセキュリティエンジン233を含んでいる。すなわち、データセキュリティエンジン233がデータ運営エンジン231及びデータ格納エンジン232と独立して構成され、データセキュリティ機能を遂行している。
【0057】
本発明の第2実施例に係るデータセキュリティ方法が適用されるデータベースサーバ200は、図4に示すように、データセキュリティエンジン233がデータ運営エンジン231及びデータ格納エンジン232と独立して構成され、データベース220の外部にデータセキュリティエンジン連動モジュール250が具備されており、データセキュリティエンジン233とデータセキュリティエンジン連動モジュール250とがデータセキュリティ機能を一緒に遂行している。
【0058】
本発明の第3実施例に係るデータセキュリティ方法が適用されるデータベースサーバ200は、図5に示すように、データセキュリティエンジン233がデータ運営エンジン231の内部に構成され、データセキュリティ機能を遂行している。
【0059】
本発明の第4実施例に係るデータセキュリティ方法が適用されるデータベースサーバ200は、図6に示すように、データセキュリティエンジン233がデータ運営エンジン231の内部に構成され、データベース220の外部にデータセキュリティエンジン連動モジュール250が具備されており、データセキュリティエンジン233とデータセキュリティエンジン連動モジュール250とがデータセキュリティ機能を一緒に遂行している。
【0060】
本発明の第5実施例に係るデータセキュリティ方法が適用されるデータベースサーバ200は、図7に示すように、データセキュリティエンジン233がデータ格納エンジン232の内部に構成され、データセキュリティ機能を遂行している。
【0061】
本発明の第6実施例に係るデータセキュリティ方法が適用されるデータベースサーバ200は、図8に示すように、データセキュリティエンジン233がデータ格納エンジン232の内部に構成され、データベースの外部にデータセキュリティエンジン連動モジュール250が具備されており、データセキュリティエンジン233とデータセキュリティエンジン連動モジュール250とがデータセキュリティ機能を一緒に遂行している。
【0062】
すなわち、前記したような本発明に係るデータセキュリティ方法が適用されるデータサーバでは、データベースエンジン130を活用しているため、暗号化データの判別及び暗号化・復号化の遂行が、いずれもデータベースエンジン120の内部で自動で行なわれる。
【0063】
また、前記暗号化・復号化の遂行速度もまた、従来のデータサーバに比べて高速である。
【0064】
また、本発明は、暗号化・復号化の遂行速度が非常に高速であるため、暗号化以前のクエリーの修正を一切不要とする完璧な互換性を保障する。
【0065】
したがって、本発明は、暗号化・復号化性能が非常に高速で、且つ暗号化・復号化がデータベースエンジン130の内部で自動で行われるため、既存クエリーの互換性及び応答速度の低下という問題を解決することができる。
【0066】
本発明の属する技術分野における当業者は、本発明をその技術的思想や必須特徴を変更することなく他の具体的な形態で実施することができるということが理解できるであろう。よって、上述した実施例はすべての面において例示的なもので限定的なものではないと理解すべきである。本発明の範囲は、前記詳細な説明よりは特許請求の範囲によって示され、特許請求の範囲の意味及び範囲、及びその等価概念から導出されるすべての変更または変形された形態が本発明の範囲に含まれることと解釈されなければならない。
【符号の説明】
【0067】
200 データベースサーバ
210 インターフェース
220 データベース
230 データベースエンジン
231 データ運営エンジン
232 データ格納エンジン
233 データセキュリティエンジン
250 データセキュリティエンジン連動モジュール
【特許請求の範囲】
【請求項1】
データベースエンジンによってデータを管理しているデータベース、及び外部装置から送信されてきた原本データを前記データベースへ送信し、または前記データベースから送信されてきた原本データを前記外部装置へ送信するためのインターフェースを含むデータベースサーバにおいて、前記データベースエンジンは、データセキュリティエンジン、データ運営エンジン、及びデータ格納エンジンを含み、前記データセキュリティエンジンが前記原本データに対するデータセキュリティ機能を遂行し、暗号化なしに前記データセキュリティエンジンに格納されていた前記原本データに対する入力または照会のために利用されたクエリーを、前記暗号化データに対する入力または照会のために利用されるクエリーに自動で変換させるステップと、
前記データ運営エンジンが前記原本データの入力または照会と関連業務を行なうステップ、及び
前記データ格納エンジンが前記原本データに対する暗号化を行なう前記データセキュリティエンジンによって生成された暗号化データを格納するステップと、
を含むことを特徴とするデータセキュリティ方法。
【請求項2】
データベースエンジンによってデータを管理しているデータベースと、前記データベースと通信を行なうデータセキュリティエンジン連動モジュール及び外部装置から送信されてきた原本データを前記データベースへ送信し、または前記データベースから送信されてきた原本データを前記外部装置へ送信するためのインターフェースを含むデータベースサーバにおいて、前記データベースエンジンは、データセキュリティエンジン、データ運営エンジン及びデータ格納エンジンを含み、前記データセキュリティエンジンと前記データセキュリティエンジン連動モジュールがデータセキュリティ機能を遂行し、前記データセキュリティエンジンは暗号化なしに前記データセキュリティエンジンに格納されていた前記原本データに対する入力または照会のために利用されたクエリーを、前記暗号化データに対する入力または照会のために利用されるクエリーに自動で変換させるステップと、
前記データ運営エンジンが前記原本データの入力または照会と関連業務を行なうステップ、及び
前記データ格納エンジンが前記原本データに対する暗号化を行なう前記データセキュリティエンジンによって生成された暗号化データを格納するステップと、
を含むことを特徴とするデータセキュリティ方法。
【請求項3】
前記データ運営エンジンが前記データセキュリティエンジンを含んでいる状態で、前記データセキュリティエンジンが前記データセキュリティ機能を遂行することを特徴とする請求項1に記載のデータセキュリティ方法。
【請求項4】
前記データ運営エンジンが前記データセキュリティエンジンを含んでいる状態で、前記データセキュリティエンジンが前記データセキュリティ機能を遂行することを特徴とする請求項2に記載のデータセキュリティ方法。
【請求項5】
前記データ格納エンジンが前記データセキュリティエンジンを含んでいる状態で、前記データセキュリティエンジンが前記データセキュリティ機能を遂行することを特徴とする請求項1に記載のデータセキュリティ方法。
【請求項6】
前記データ格納エンジンが前記データセキュリティエンジンを含んでいる状態で、前記データセキュリティエンジンが前記データセキュリティ機能を遂行することを特徴とする請求項2に記載のデータセキュリティ方法。
【請求項7】
前記データセキュリティ機能は、前記インターフェースを介して外部装置から送信されてきた前記原本データを暗号化するか、前記暗号化データを復号化するか、未承認の外部装置からのアクセス要請がある場合、これに対するアクセス制限機能を遂行するか、外部装置から重要データに対する照会要請がある場合、これに対する正当性の有無を把握して前記外部装置へ送信するか、または重要なデータに対するアクセス記録を格納して監査する機能をすべて同統合して遂行することを特徴とする請求項1または2に記載のデータセキュリティ方法。
【請求項1】
データベースエンジンによってデータを管理しているデータベース、及び外部装置から送信されてきた原本データを前記データベースへ送信し、または前記データベースから送信されてきた原本データを前記外部装置へ送信するためのインターフェースを含むデータベースサーバにおいて、前記データベースエンジンは、データセキュリティエンジン、データ運営エンジン、及びデータ格納エンジンを含み、前記データセキュリティエンジンが前記原本データに対するデータセキュリティ機能を遂行し、暗号化なしに前記データセキュリティエンジンに格納されていた前記原本データに対する入力または照会のために利用されたクエリーを、前記暗号化データに対する入力または照会のために利用されるクエリーに自動で変換させるステップと、
前記データ運営エンジンが前記原本データの入力または照会と関連業務を行なうステップ、及び
前記データ格納エンジンが前記原本データに対する暗号化を行なう前記データセキュリティエンジンによって生成された暗号化データを格納するステップと、
を含むことを特徴とするデータセキュリティ方法。
【請求項2】
データベースエンジンによってデータを管理しているデータベースと、前記データベースと通信を行なうデータセキュリティエンジン連動モジュール及び外部装置から送信されてきた原本データを前記データベースへ送信し、または前記データベースから送信されてきた原本データを前記外部装置へ送信するためのインターフェースを含むデータベースサーバにおいて、前記データベースエンジンは、データセキュリティエンジン、データ運営エンジン及びデータ格納エンジンを含み、前記データセキュリティエンジンと前記データセキュリティエンジン連動モジュールがデータセキュリティ機能を遂行し、前記データセキュリティエンジンは暗号化なしに前記データセキュリティエンジンに格納されていた前記原本データに対する入力または照会のために利用されたクエリーを、前記暗号化データに対する入力または照会のために利用されるクエリーに自動で変換させるステップと、
前記データ運営エンジンが前記原本データの入力または照会と関連業務を行なうステップ、及び
前記データ格納エンジンが前記原本データに対する暗号化を行なう前記データセキュリティエンジンによって生成された暗号化データを格納するステップと、
を含むことを特徴とするデータセキュリティ方法。
【請求項3】
前記データ運営エンジンが前記データセキュリティエンジンを含んでいる状態で、前記データセキュリティエンジンが前記データセキュリティ機能を遂行することを特徴とする請求項1に記載のデータセキュリティ方法。
【請求項4】
前記データ運営エンジンが前記データセキュリティエンジンを含んでいる状態で、前記データセキュリティエンジンが前記データセキュリティ機能を遂行することを特徴とする請求項2に記載のデータセキュリティ方法。
【請求項5】
前記データ格納エンジンが前記データセキュリティエンジンを含んでいる状態で、前記データセキュリティエンジンが前記データセキュリティ機能を遂行することを特徴とする請求項1に記載のデータセキュリティ方法。
【請求項6】
前記データ格納エンジンが前記データセキュリティエンジンを含んでいる状態で、前記データセキュリティエンジンが前記データセキュリティ機能を遂行することを特徴とする請求項2に記載のデータセキュリティ方法。
【請求項7】
前記データセキュリティ機能は、前記インターフェースを介して外部装置から送信されてきた前記原本データを暗号化するか、前記暗号化データを復号化するか、未承認の外部装置からのアクセス要請がある場合、これに対するアクセス制限機能を遂行するか、外部装置から重要データに対する照会要請がある場合、これに対する正当性の有無を把握して前記外部装置へ送信するか、または重要なデータに対するアクセス記録を格納して監査する機能をすべて同統合して遂行することを特徴とする請求項1または2に記載のデータセキュリティ方法。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【公開番号】特開2013−97797(P2013−97797A)
【公開日】平成25年5月20日(2013.5.20)
【国際特許分類】
【出願番号】特願2012−236214(P2012−236214)
【出願日】平成24年10月26日(2012.10.26)
【出願人】(505112037)ペンタ・セキュリティ・システムズ・インコーポレーテッド (6)
【公開日】平成25年5月20日(2013.5.20)
【国際特許分類】
【出願日】平成24年10月26日(2012.10.26)
【出願人】(505112037)ペンタ・セキュリティ・システムズ・インコーポレーテッド (6)
[ Back to top ]