秘密分散システム、装置及びプログラム
【課題】復元時に秘密情報が記憶される記憶媒体が紛失又は盗難にあっても、秘密情報の漏洩を阻止できる秘密分散システム、装置およびプログラムを提供する。
【解決手段】クライアント装置が1個の分散情報を保持し、残りのn−1個の分散情報が外部記憶媒体および各情報記憶装置に個別に配布される(k,n)型の秘密分散システムで、復元時に秘密情報Sが記憶される外部記憶媒体20に対し、分散情報D(1)の配布前に、データ抹消部16により、複数回の上書き処理を含むデータ抹消処理を実行することによって秘密情報の漏洩を阻止することができる。
【解決手段】クライアント装置が1個の分散情報を保持し、残りのn−1個の分散情報が外部記憶媒体および各情報記憶装置に個別に配布される(k,n)型の秘密分散システムで、復元時に秘密情報Sが記憶される外部記憶媒体20に対し、分散情報D(1)の配布前に、データ抹消部16により、複数回の上書き処理を含むデータ抹消処理を実行することによって秘密情報の漏洩を阻止することができる。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、一部に搬送用の外部記憶媒体が使用される秘密分散システム、装置及びプログラムに係り、例えば、復元時に秘密情報が記憶される記憶媒体が紛失又は盗難にあっても、秘密情報の漏洩を阻止し得る秘密分散システム、装置及びプログラムに関する。
【背景技術】
【0002】
一般に、暗号化鍵などの秘密情報を紛失した場合の対策としては、予め秘密情報のコピーを作成しておくが有効である。しかしながら、秘密情報のコピーを作成すると、盗難のリスクが高くなるという問題が生じる。このような問題を解決する手法として、1979年にシャミア(Shamir)が(k,n)しきい値秘密分散法と呼ばれる秘密分散法を提案している(例えば、非特許文献1参照)。
【0003】
(k,n)しきい値秘密分散法では、秘密情報をn個の分散情報に分割し、n個の分散情報の中から任意のk個を集めれば元の秘密情報を復元できる。しかしながら、k個より1個少ないk−1個の分散情報からでは、元の秘密情報に関する情報が全く得られない。すなわち、(k,n)しきい値秘密分散法では、しきい値kを境にした秘密情報の復元特性をもっている(なお、1<k<n)。
【0004】
このため、(k,n)しきい値秘密分散法によれば、k−1個の分散情報が漏洩しても元の秘密情報が安全であり、n−k個以下の分散情報を紛失しても元の秘密情報を復元することができるといった管理を実現できる。
【0005】
よって、このような秘密分散法や、一般的な暗号技術は、秘密情報の安全な運搬方法や保管方法として利用されることが多い。しかしながら、分散情報から秘密情報を復元してしまうと、秘密情報を再度分散しても、復元された際の秘密情報を安全に消去することが難しくなる。
【0006】
例えば、揮発性領域を備えるUSBメモリ(株式会社アイ・オー・データ機器製のSecure EasyDisk(登録商標)など)は、次回起動時にデータを自動的に削除する方法をとっている。このため、USBメモリ内に復元した秘密情報は、次回起動時にUSBメモリから削除されるので、漏洩することがない。
【非特許文献1】A. Shamir: “How to share a secret”, Communications of the ACM, 22, 11, pp.612-613 (1979)
【発明の開示】
【発明が解決しようとする課題】
【0007】
しかしながら、次回起動時にデータを削除する方法では、次回起動時までは秘密情報がUSBメモリ内に物理的に残存することになる。このため、USBメモリ紛失・盗難時に、悪意ある第三者が、取得したUSBメモリを起動せずにアクセスし、残存している元データを取得する可能性を否定できない。
【0008】
すなわち、秘密分散法は、搬送用の外部記憶媒体のように、復元時に秘密情報が記憶される記憶装置が紛失・盗難にあうと、記憶装置に残存した秘密情報が漏洩してしまう可能性がある。
【0009】
本発明は上記実情を考慮してなされたもので、復元時に秘密情報が記憶される記憶媒体が紛失又は盗難にあっても、秘密情報の漏洩を阻止し得る秘密分散システム、装置及びプログラムを提供することを目的とする。
【課題を解決するための手段】
【0010】
第1の発明は、秘密情報を分散させたn個の分散情報を個別に配布し且つ収集可能なクライアント装置と、前記クライアント装置に着脱自在に保持され、当該クライアント装置から読出/書込可能な1個の外部記憶媒体と、前記クライアント装置から送受信可能なn−2台の情報記憶装置とを備え、前記クライアント装置が1個の分散情報を保持し、残りのn−1個の分散情報が前記外部記憶媒体及び前記各情報記憶装置に個別に配布されたとき、n個の分散情報のうちのk個の分散情報から前記秘密情報を外部記憶媒体内に復元可能な(k,n)型の秘密分散システムであって、前記クライアント装置としては、配布された分散情報を記憶するための分散情報記憶手段と、前記(k,n)型の秘密分散方式に基づいて、前記秘密情報からn個の分散情報を生成する分散情報生成手段と、前記配布より前に、複数回の上書き処理を含むデータ抹消処理を前記外部記憶媒体に実行するデータ抹消手段と、前記データ抹消処理の実行後、前記生成されたn個の分散情報を前記分散情報記憶手段、前記外部記憶媒体及び前記各情報記憶装置に個別に配布する配布手段とを備えた秘密分散システムである。
【0011】
第2の発明は、秘密情報を分散させたn個の分散情報を個別に配布し且つ収集可能なクライアント装置と、前記クライアント装置に着脱自在に保持され、当該クライアント装置から読出/書込可能な1個の外部記憶媒体と、前記クライアント装置から送受信可能なn−2台の情報記憶装置とを備え、前記クライアント装置が1個の分散情報を保持し、残りのn−1個の分散情報が前記外部記憶媒体及び前記各情報記憶装置に個別に配布されたとき、n個の分散情報のうちのk個の分散情報から前記秘密情報を復元可能な(k,n)型の秘密分散システムであって、前記クライアント装置としては、配布された分散情報を記憶するための分散情報記憶手段と、復元される秘密情報を記憶するための秘密情報記憶手段と、前記配布された分散情報のうち、前記外部記憶媒体に配布された1個の分散情報を含むk個の分散情報を収集する収集手段と、前記(k,n)型の秘密分散方式に基づいて、前記収集されたk個の分散情報から秘密情報を復元する復元手段と、前記復元された秘密情報を前記秘密情報記憶手段のみに書き込む秘密情報書込手段と、前記(k,n)型の秘密分散方式に基づいて、前記秘密情報記憶手段内の秘密情報からn個の分散情報を生成する分散情報生成手段と、前記生成されたn個の分散情報を前記分散情報記憶手段、前記外部記憶媒体及び前記各情報記憶装置に個別に配布する配布手段と、前記配布手段による配布の後、複数回の上書き処理を含むデータ抹消処理を前記秘密情報記憶手段に実行するデータ抹消手段とを備えた秘密分散システムである。
【0012】
なお、第1及び第2の発明は、各装置の集合体を「システム」として表現したが、これに限らず、各装置の集合体又は各装置単体を「装置」、「方法」、「プログラム」又は「コンピュータ読み取り可能な記憶媒体」等と表現してもよい。
【0013】
(作用)
第1の発明によれば、復元時に秘密情報が記憶される外部記憶媒体に対し、分散情報の配布前に、複数回の上書き処理を含むデータ抹消処理を実行するので、復元時に秘密情報が記憶される記憶媒体が紛失又は盗難にあっても、秘密情報の漏洩を阻止することができる。
【0014】
第2の発明によれば、復元時に秘密情報が記憶される秘密情報記憶手段に対し、分散情報の配布後に、複数回の上書き処理を含むデータ抹消処理を実行するので、復元時に秘密情報が記憶される記憶媒体(秘密情報記憶手段)が紛失又は盗難にあっても、秘密情報の漏洩を阻止することができる。
【発明の効果】
【0015】
以上説明したように本発明によれば、復元時に秘密情報が記憶される記憶媒体が紛失又は盗難にあっても、秘密情報の漏洩を阻止できる。
【発明を実施するための最良の形態】
【0016】
以下、本発明の各実施形態を図面を用いて説明する。なお、以下の各装置は、各装置毎に、ハードウェア構成、又はハードウェア資源とソフトウェアとの組合せ構成のいずれでも実施可能となっている。組合せ構成のソフトウェアとしては、予めネットワーク又は記憶媒体から対応する装置のコンピュータにインストールされ、対応する装置の機能を実現させるためのプログラムが用いられる。
【0017】
(第1の実施形態)
図1は本発明の第1の実施形態に係る秘密分散システムの構成を示す模式図である。
本実施形態は、1ドライブで構成される外部記憶媒体20を用いる場合に、外部記憶媒体20上に秘密情報を復元し、秘密情報の使用後、外部記憶媒体20内の秘密情報を抹消するものである。
【0018】
具体的には、図1に示す秘密分散システムは、1台のクライアント装置10が1個の外部記憶媒体を着脱自在に保持している。また、クライアント装置10は、離れて配置されるn−2台の保管サーバ装置30,…,n0と送受信可能となっており、例えばインターネット等のネットワークNWを介して保管サーバ装置30,…,n0と接続されている。
【0019】
これら合計n台の装置10,20,30,…,n0は、(k,n)しきい値秘密分散法におけるn人のメンバに対応する。特に、n台の装置10,20,…,n0が個別に有するn個の保存部11,21,…,n1は、n人のメンバが個別に有するn個の記憶装置に対応する。
【0020】
ここで、クライアント装置10は、秘密情報を分散させたn個(但し、n≧2)の分散情報を個別に配布し、各分散情報のうちのk個の分散情報を収集して秘密情報を外部記憶媒体内に復元可能な(k,n)型の秘密分散方式を用いている。(k,n)型の秘密分散方式としては、非特許文献1記載の方式に限らず、任意の方式が適用可能となっている。また、クライアント装置10は、用いる秘密分散法で設定可能な範囲において、分散数やしきい値を任意に設定して構わない。
【0021】
具体的にはクライアント装置10は、保存部11、一時退避用保存部12、入力部13、分散情報生成部14、元データ復元部15、データ抹消部16、制御部17、出力部18及び通信部19が互いにバスを介して接続されている。
【0022】
保存部11は、制御部19から読出/書込可能なハードウェア資源としての記憶装置であり、後述する分散情報D(0)〜D(n-1)が配布される前に、秘密情報Sが一時的に記憶され、分散情報D(0)〜D(n-1)が作成されると、分散情報作成情報が記憶され、分散情報が配布された後、分散情報D(0)が記憶されると共に、秘密情報Sが消去される。なお、クライアント装置10が安全でない場所に持ち出される場合、後述するデータ抹消処理により、クライアント装置10側でも秘密情報Sを完全に消去する方が好ましい。
【0023】
ここで、分散情報作成情報は、分散情報D(j)の識別情報jと、分散情報D(j)の配布先識別情報(装置ID、装置のアドレス情報等)とが互いに関連付けられた情報である。なお、配布先識別情報は予め保存部11に保存されている。また、保存部11は、分散情報や秘密情報に限らず、後述するログファイルも記憶される。保存部11としては、例えばHDD(Hard Disk Drive)が使用可能となっている。
【0024】
一時退避用保存部12は、制御部19から読出/書込可能なハードウェア資源としての記憶装置であり、外部記憶媒体20に配布される分散情報D(1)が一時的に記憶され、外部記憶媒体20内のデータが抹消された後、分散情報D(1)が読み出される。一時退避用保存部12としては、例えばRAM(Random Access Memory)が使用可能となっている。
【0025】
入力部13は、キーボード又はマウス等の通常の入力デバイスであり、操作者の操作により、分散処理又は復号処理の開始等の命令や、秘密情報S等の情報をクライアント装置10内に入力する機能をもっている。
【0026】
分散情報生成部14は、制御部17により制御され、保存部11に一時的に記憶された秘密情報Sに基づいて、n個の分散情報D(0)〜D(n-1)を生成する機能をもっている。
【0027】
元データ復元部15は、制御部17に制御され、n台の装置10,…,n0に配布されたn個の分散情報D(0)〜D(n-1)のうち、外部記憶媒体20に配布された1個の分散情報D(1)を含むk個の分散情報を収集する機能と、収集したk個の分散情報D(1),…から(k,n)型の秘密分散方式に基づいて、秘密情報Sを復元する秘密情報復元機能をもっている。
【0028】
データ抹消部16は、制御部17に制御され、分散情報の配布より前に、複数回の上書き処理を含むデータ抹消処理を外部記憶媒体20の保存部21に実行するものである。複数回の上書き処理を含むデータ抹消処理としては、例えば、グートマン方式や、米国防総省(DoD: Department of Defense)準拠方式(US DoD 5220.22-M(8-306./E,C and E)) などの安全なデータ抹消アルゴリズムが使用可能となっている。
【0029】
なお、ここでいうデータ抹消処理は、通常の消去処理とは異なり、複数回の上書き処理を含む処理である。補足すると、通常の消去処理は、データ管理情報に「削除した」という情報を付加するものであり、データ本体が残っていることから、データ復元用ソフトウエア等によりデータ本体が復元可能となっている。しかしながら、各実施形態で用いるデータ抹消処理は、このような通常の消去処理とは異なり、データ本体に複数回の上書き処理を施すことにより、データ復元用ソフトウエア等によってもデータ本体を復元不可能とする処理である。
【0030】
制御部17は、入力部13から入力される命令に基づいて、後述する図2乃至図4のフローチャートに基づいて、各部11〜16,18,19を制御する機能をもっている。
【0031】
出力部18は、ディスプレイ装置やプリンタ装置等の通常の出力デバイスであり、制御部18により制御され、命令等の入力画面や、復元後の秘密情報S等の出力画面等を出力する機能をもっている。
【0032】
通信部19は、制御部17により制御され、データ抹消部16によるデータ抹消処理の実行後、保存部11内の分散情報作成情報に基づいて、分散情報生成部14により生成されたn個の分散情報を保存部11、外部記憶媒体20及び各保管サーバ装置30,・・・,n0に個別に配布するものであり、クライアント装置10と外部記憶媒体20と間の通信機能と、クライアント装置10とネットワークNWとの間の通信機能とをもっている。
【0033】
一方、外部記憶媒体20は、クライアント装置10に着脱自在に保持される携帯可能な記憶装置であり、本実施形態では、1ドライブで構成されるUSBメモリとしている。具体的には外部記憶媒体20は、保存部21及び通信部22を備えている。
【0034】
保存部21は、通信部22から読出/書込可能なハードウェア資源としての記憶装置であり、クライアント装置10から配布された分散情報D(1)と、クライアント装置10により復元された秘密情報が記憶される。
【0035】
通信部22は、クライアント装置10から配布された分散情報D(1)又は抹消用情報を保存部21に書き込む機能と、クライアント装置10から要求された分散情報D(1)又は秘密情報を保存部21から読み出してクライアント装置10に返信する機能とをもっている。
【0036】
他方、各保管サーバ装置30〜n0について説明する。
各保管サーバ装置30〜n0は、記憶する分散情報D(2)〜D(n-1)が互いに異なる他は互いに同一構成のため、ここでは保管サーバ装置30を代表例に挙げて説明する。
【0037】
保管サーバ装置30は、保存部31及び通信部32を備えている。
【0038】
保存部31は、通信部32から読出/書込可能なハードウェア資源としての記憶装置であり、クライアント装置10から配布された分散情報D(2)が記憶される。
【0039】
通信部32は、クライアント装置10から配布された分散情報D(2)を保存部21に書き込む機能と、クライアント装置10から要求された分散情報D(2)を保存部21から読み出してこの分散情報D(2)をクライアント装置10に返信する機能とをもっている。
【0040】
なお、通信部22は、分散情報D(2)の漏洩防止の観点から、クライアント装置10の認証機能を有してもよく、この場合、クライアント装置10の認証の後、分散情報D(2)を返信する構成として設けられる。
【0041】
なお、各保管サーバ装置30,…,n0は、クライアント装置10と同様に、分散情報生成部14、元データ復元部15、データ抹消部16などの機能を保持していてもよい。また、各保管サーバ装置30,…,n0は、USBメモリや携帯電話などのように、分散情報を記憶可能な記憶装置を有し、且つクライアント装置10と有線通信又は無線通信可能な装置であれば、任意の装置に置き換えてもよい。このように、保管装置30,…,n0がクライアント装置10と同様の機能を保持してもよいことと、保管装置30,…,n0を他の装置に置き換えてもよいことは、以下の各実施形態でも同様である。
【0042】
次に、以上のように構成された秘密分散システムの動作を図2乃至図4のフローチャートを用いて説明する。なお、以下の説明は、秘密情報の分散、秘密情報の復元、秘密情報の再分散の順に述べる。
【0043】
(秘密情報の分散)
クライアント装置10においては、分散情報D(0)〜D(n-1)を配布する前に、秘密情報が一時的に保存部11に記憶されているとする。このとき、クライアント装置10においては、操作者の操作により、分散処理の開始命令が入力部13から入力されたとする。
【0044】
クライアント装置10は、この開始命令に基づいて、分散処理を開始する。始めに、データ抹消部16は、制御部17に制御され、図2に示すように、複数回の上書き処理を含むデータ抹消処理を外部記憶媒体20の保存部21に実行し、外部記憶媒体20内のデータを完全に消去する(ST11)。このデータ抹消処理には、例えば、グートマン方式や米国防総省準拠方式などの安全なデータ抹消アルゴリズムが用いられる。
【0045】
分散情報制御部14は、制御部17に制御され、(k,n)型の秘密分散方式に基づいて、秘密情報からn個の分散情報を生成する(ST12)。例えば、非特許文献1記載の(k,n)型の秘密分散方式を用いる場合において、しきい値kをk=2、分散数nをn=5と設定するとする。この場合、(k,n)型の秘密分散方式は、k=2,n=5のため、(2,5)型となる。同様に、保管サーバ装置n0は、n=5のため、保管サーバ装置50となる。
【0046】
続いて分散情報制御部14は、秘密情報としての元データをSとし、分散数5の分だけ1次多項式f(x)=ax+S(mod p)を生成する。但し、mod pは、pで割った余りの数を表し、元データSや乱数値aよりも大きな数とする。
【0047】
f(1)= a+S mod p
f(2)=2a+S mod p
f(3)=3a+S mod p
f(4)=4a+S mod p
f(5)=5a+S mod p
しかる後、得られた1次多項式f(1),…,f(5)を、それぞれ分散情報D(0),…,D(4)とする。このとき、分散情報D(0)がf(1)となり、D(1)がf(2)となり、D(2)がf(3)となり、D(3)がf(4)となり、D(4)がf(5)となる。
【0048】
通信部19は、生成された5個の分散情報D(0),…,D(4)を保存部11、外部記憶媒体20及び各保管サーバ装置30,…,50に個別に配布する(ST13)。例えば、クライアント装置10に分散情報D(0)を配布し、外部記憶媒体20に分散情報D(1)を配布する。また、保管サーバ装置30,…,50に分散情報D(2),D(3),D(4)を個別に配布する。
【0049】
(秘密情報の復元)
クライアント装置10においては、操作者の操作により、制御部17が元データ復元部15を起動する。元データ復元部15は、制御部17に制御され、図3に示すように、配布された5個の分散情報D(0)〜D(4)のうち、外部記憶媒体20に配布された1個の分散情報D(1)を含む2個の分散情報を収集する(ST21)。
【0050】
続いて、元データ復元部15は、分散時に用いた(2,5)型の秘密分散方式に基づいて、2個の分散情報D(1),…から秘密情報Sとしての元データを復元する(ST22)。
【0051】
例えば元データ復元部15は、分散情報として、外部記憶媒体20から収集した分散情報D(1)と、クライアント装置10の保存部11から収集した分散情報D(0)とを用いるとする。
【0052】
D(0)=f(1)= a+S mod p
D(1)=f(2)=2a+S mod p
元データ復元部15は、これらの分散情報D(0),D(1)が表す二つの式の連立方程式を解いて秘密情報Sを復元する。
【0053】
しかる後、元データ復元部15は、復元した元データを外部記憶媒体20の保存部21に書き込む(ST23)。
【0054】
これにより、クライアント装置10は、外部記憶媒体20内の元データを利用可能となる。クライアント装置10は、外部記憶媒体20内の元データを更新しない場合、前述したデータ抹消処理を実行し、外部記憶媒体20内の元データを完全に消去すればよい。または、データ抹消処理を実行して外部記憶媒体20の保存部21の記憶内容を完全に消去した後、収集していた分散情報D(1)を外部記憶媒体20の保存部21に書き込んでもよい。あるいは、以下に述べるように、元データを更新した場合と同様に、新たに生成した分散情報を再分散してもよい。
【0055】
(秘密情報の再分散)
クライアント装置10においては、操作者の操作により、再分散処理の開始命令が入力部13から入力されたとする。
【0056】
クライアント装置10は、この開始命令に基づいて、再分散処理を開始する。始めに、 分散情報制御部14は、制御部17に制御され、図4に示すように、(k,n)型の秘密分散方式に基づいて、秘密情報からn個の分散情報を生成する(ST31)。
【0057】
例えば、分散情報制御部14は、前述同様に、1次多項式f(x)=a’x+S(mod p)を生成する。なお、乱数値a’は、前述した分散処理で用いた値aとは異なる値である。mod pは、元データSや乱数値a’よりも大きな数とする。
【0058】
f’(1)= a’+S mod p
f’(2)=2a’+S mod p
f’(3)=3a’+S mod p
f’(4)=4a’+S mod p
f’(5)=5a’+S mod p
また同様に、得られた1次多項式f’(1),…,f’(5)を、それぞれ分散情報D(0),…,D(4)とする。このとき、分散情報D(0)がf’(1)となり、D(1)がf’(2)となり、D(2)がf’(3)となり、D(3)がf’(4)となり、D(4)がf’(5)となる。
【0059】
続いて、制御部17は、外部記憶媒体20に書き込む分散情報D(1)を、一時的にクライアント装置10の一時退避用保存部12に退避(書込)させる(ST32)。
【0060】
しかる後、データ抹消部16は、制御部17に制御され、複数回の上書き処理を含むデータ抹消処理を外部記憶媒体20の保存部21に実行し、外部記憶媒体20内のデータを完全に消去する(ST33)。ここで、予め想定される元データサイズに応じて外部記憶媒体20の保存部21の記憶容量を制限すると、データを消去する際の時間を短縮することができる。
【0061】
通信部19は、生成された5個の分散情報D(0),…,D(4)を保存部11、外部記憶媒体20及び各保管サーバ装置30,…,50に個別に配布する(ST34)。
【0062】
制御部17は、クライアント装置10の一時退避用保存部12の記憶内容をクリア(消去)する(ST35)。
【0063】
制御部17は、例えば図5に示す如き、外部記憶媒体20を一度完全にデータ消去した事実と、どのような情報を外部記憶媒体に書き込んだかという内容のログファイルをクライアント装置10の保存部11に保存する(ST36)。
【0064】
例えば、制御部17は、分散情報生成部14が分散情報を生成したとき、分散情報生成部14から秘密分散方式名(シャミア式(2,5)秘密分散法)と秘密情報Sに含まれる秘密情報名(ファイルA.doc)とを取得すると共に、図示しない時計装置により生成される日時情報(Apr 10 2006 20:52:30)を取得し、これら秘密情報名及び日時情報からなる秘密分散ログ情報を生成する。しかる後、制御部17は秘密分散ログ情報を保存部11内のログファイルに書き込む。
【0065】
また、制御部17は、データ抹消部16がデータ抹消処理を実行したとき、データ抹消部16からデータ抹消処理方式名(グートマン方式)とデータ抹消処理の実行先を示す抹消先情報(外部記憶媒体20)とを取得すると共に、時計装置により生成される日時情報(Apr 10 2006 20:53:00)を取得し、これらデータ抹消処理方式名、抹消先情報及び日時情報からなるデータ抹消ログ情報を生成する。しかる後、制御部17はデータ抹消ログ情報を保存部11内のログファイルに書き込む。
【0066】
また、制御部17は、通信部19が分散情報を配布したとき、通信部19から分散情報の配布先を示す配布先情報(クライアント装置10)と分散情報に含まれる分散情報名(分散情報D(0))とを取得すると共に、時計装置により生成される日時情報(Apr 10 2006 20:53:05)を取得し、これら配布先情報、分散情報名及び日時情報からなる配布ログ情報を生成する。しかる後、制御部17は配布ログ情報を保存部11内のログファイルに書き込む。以下同様に、制御部17は、分散情報D(1)〜D(4)についても配布ログ情報を生成してログファイルに書き込む。
このように、制御部17は、ステップST36の処理を実行する。
【0067】
上述したように本実施形態によれば、復元時に秘密情報Sが記憶される外部記憶媒体20に対し、分散情報D(1)の配布前に、複数回の上書き処理を含むデータ抹消処理を実行するので、復元時に秘密情報が記憶される記憶媒体が紛失又は盗難にあっても、秘密情報の漏洩を阻止することができる。
【0068】
また、分散情報D(0)の配布前にデータ抹消処理を実行し、その後、分散情報D(1)のみを外部記憶媒体20に書き込んだことをログファイルに記憶するので、外部記憶媒体20内に秘密情報が残存しているという不安を解消することができる。さらに、外部記憶媒体20を常に安全に搬送・管理することができ、かつ、外部記憶媒体20内に書き込まれた分散情報のリストを作成することができる。
【0069】
(第2の実施形態)
図6は本発明の第2の実施形態に係る秘密分散システムの構成を示す模式図であり、図1と同一部分には同一符号を付してその詳しい説明を省略し、ここでは異なる部分について主に述べる。なお、以下の各実施形態も同様にして重複した説明を省略する。
【0070】
すなわち、本実施形態は、2ドライブで構成される外部記憶媒体20を用いる場合に、外部記憶媒体20内の復元データ作成用保存部23上に秘密情報を復元し、秘密情報の使用後、この復元データ作成用保存部23内の秘密情報を抹消するものである。
【0071】
具体的には外部記憶媒体20は、前述した機能に加え、分散情報が記憶される第1記憶装置としての保存部21と、秘密情報が記憶される第2記憶装置としての復元データ作成用保存部23とを備えた2ドライブで構成されている。この2ドライブを構成する2つの保存部21,23は、物理的に別の2つの記憶装置から構成される。
【0072】
これに伴い、クライアント装置10のデータ抹消部16は、前述した機能において、データ抹消処理を復元データ作成用保存部23にも実行するものとなっている。なお、データ抹消処理は、少なくとも復元データ作成用保存部23に実行すればよく、必ずしも保存部21に実行しなくてもよい。但し、初回の分散時は2つの保存部21,23にデータ抹消処理を実行するものとする。
【0073】
次に、以上のように構成された秘密分散システムの動作を図7乃至図9のフローチャートを用いて説明する。
【0074】
(秘密情報の分散)
クライアント装置10においては、分散情報D(0)〜D(n-1)を配布する前に、秘密情報が一時的に保存部11に記憶されているとする。このとき、クライアント装置10においては、操作者の操作により、分散処理の開始命令が入力部13から入力されたとする。
【0075】
クライアント装置10は、この開始命令に基づいて、分散処理を開始する。始めに、データ抹消部16は、制御部17に制御され、図7に示すように、複数回の上書き処理を含むデータ抹消処理を外部記憶媒体20の保存部21及び復元データ作成用保存部23に実行し、外部記憶媒体20内のデータを完全に消去する(ST11a)。
【0076】
続いて分散情報制御部14は、前述した通り、制御部17に制御され、例えば(2,5)型の秘密分散方式に基づいて、秘密情報から5個の分散情報を生成する(ST12)。
【0077】
しかる後、通信部19は、生成された5個の分散情報D(0),…,D(4)を保存部11、外部記憶媒体20の保存部21及び各保管サーバ装置30,…,50に個別に配布する(ST13a)。
【0078】
(秘密情報の復元)
クライアント装置においては、図8に示すように、前述した通り、ステップST21,ST22が実行され、元データ復元部15が外部記憶媒体20に配布された1個の分散情報D(1)を含む2個の分散情報D(1),D(0)を収集し、2個の分散情報D(1),D(0)から秘密情報Sとしての元データを復元する。
【0079】
しかる後、元データ復元部15は、復元した元データを外部記憶媒体20の復元データ作成用保存部23に書き込む(ST23a)。
【0080】
これにより、クライアント装置10は、外部記憶媒体20内の元データを利用可能となる。クライアント装置10は、外部記憶媒体20内の元データを更新しない場合、前述したデータ抹消処理を実行し、外部記憶媒体20内の元データを完全に消去すればよい。または、データ抹消処理を実行して外部記憶媒体20の復元データ作成用保存部23の記憶内容を完全に消去した後、収集していた分散情報D(1)を外部記憶媒体20の保存部21に書き込んでもよい。あるいは、以下に述べるように、元データを更新した場合と同様に、新たに生成した分散情報を再分散してもよい。
【0081】
(秘密情報の再分散)
クライアント装置10においては、図9に示すように、前述した通り、ステップST31が実行され、(2,5)型の秘密分散方式に基づいて、秘密情報から5個の分散情報を生成する。
【0082】
続いて、データ抹消部16は、制御部17に制御され、複数回の上書き処理を含むデータ抹消処理を外部記憶媒体20の復元データ作成用保存部23に実行し、外部記憶媒体20内のデータを完全に消去する(ST33a)。ここで、予め想定される元データサイズに応じて外部記憶媒体20の復元データ作成用保存部23の記憶容量を制限すると、データを消去する際の時間を短縮することができる。
【0083】
通信部19は、生成された5個の分散情報D(0),…,D(4)のうち、4個の分散情報D(0),D(2),D(3),D(4)を保存部11、各保管サーバ装置30,…,50に個別に配布する(ST34−1)。また、通信部19は、生成された5個の分散情報D(0),…,D(4)のうち、残り1個の分散情報D(1)を外部記憶媒体20の保存部21に配布する(ST34−2)。
【0084】
しかる後、制御部17は、前述同様に図5に示す如き、外部記憶媒体20を一度完全にデータ消去した事実と、どのような情報を外部記憶媒体に書き込んだかという内容のログファイルをクライアント装置10の保存部11に保存する(ST36)。
【0085】
上述したように本実施形態によれば、外部記憶媒体20を2ドライブからなる構成としても、第1の実施形態と同様の作用効果を得ることができる。
【0086】
(第3の実施形態)
図10は本発明の第3の実施形態に係る秘密分散システムの構成を示す模式図である。
【0087】
本実施形態は、第1の実施形態の変形例であり、1ドライブで構成される外部記憶媒体20を用いる場合に、クライアント装置10内の復元データ作成用保存部12’上に秘密情報を復元し、秘密情報の使用後、この復元データ作成用保存部12’内の秘密情報を抹消するものである。
【0088】
これに伴い、クライアント装置10においては、前述した一時退避用保存部12に代えて、復元された秘密情報が記憶される復元データ作成用保存部12’を備えている。ここで、復元データ作成用保存部12’は、RAM(Random Access Memory)又はHDDのいずれで構成してもよい。
【0089】
また、元データ復元部15は、前述した機能において、復元した秘密情報を外部記憶媒体20の保存部21ではなく、クライアント装置10の復元データ作成用保存部12’のみに書き込むものとしている。すなわち、秘密情報Sが書き込まれる記憶領域は、クライアント装置10内でも復元データ作成用保存部12’のみに限定されている。この限定は、例えば復元データ作成用保存部12’のアドレス情報を予め制御部17のプログラム(図示せず)に設定しておく等により実現可能となっている。
【0090】
同様に、データ抹消部16は、制御部17に制御され、分散情報の配布後に、複数回の上書き処理を含むデータ抹消処理をクライアント装置10の復元データ作成用保存部12’に実行するものとなっている。
【0091】
次に、以上のように構成された秘密分散システムの動作を図2、図11及び図12のフローチャートを用いて説明する。
【0092】
(秘密情報の分散)
秘密情報の分散処理は、前述した通り、図2に示したように実行される。
【0093】
(秘密情報の復元)
クライアント装置においては、図11に示すように、前述した通り、ステップST21,ST22が実行され、元データ復元部15が外部記憶媒体20に配布された1個の分散情報D(1)を含む2個の分散情報D(1),D(0)を収集し、2個の分散情報D(1),D(0)から秘密情報Sとしての元データを復元する。
【0094】
しかる後、元データ復元部15は、復元した元データをクライアント装置10の復元データ作成用保存部12’のみに書き込む(ST23b)。
【0095】
これにより、クライアント装置10は、復元データ作成用保存部12’内の元データを利用可能となる。クライアント装置10は、復元データ作成用保存部12’内の元データを更新しない場合、前述同様にデータ抹消処理を実行し、復元データ作成用保存部12’内の元データを完全に消去すればよい。あるいは、以下に述べるように、元データを更新した場合と同様に、新たに生成した分散情報を再分散してもよい。
【0096】
(秘密情報の再分散)
クライアント装置10においては、図12に示すように、前述した通り、ステップST31,ST33,ST34の実行により、秘密情報から5個の分散情報を生成し、外部記憶媒体20内のデータを完全に消去し、5個の分散情報D(0),…,D(4)を保存部11、外部記憶媒体20及び各保管サーバ装置30,…,50に個別に配布する。但し、本実施形態においては、外部記憶媒体20には元データSが一度も記憶されていないことから、外部記憶媒体20のデータを完全に消去するステップST33は省略してもよい。
【0097】
続いて、データ抹消部16は、制御部17に制御され、複数回の上書き処理を含むデータ抹消処理をクライアント装置10の復元データ作成用保存部12’に実行し、復元データ作成用保存部12’内のデータを完全に消去する(ST35b)。ここで、予め想定される元データサイズに応じて復元データ作成用保存部12’の記憶容量を制限すると、データを消去する際の時間を短縮することができる。
【0098】
制御部17は、例えば図13に示す如き、クライアント装置10の復元データ作成用保存部12’を一度完全にデータ消去した事実と、どのような情報を外部記憶媒体に書き込んだかという内容のログファイルをクライアント装置10の保存部11に保存する(ST36b)。
【0099】
例えば、制御部17は、前述同様に、これら秘密分散方式名(シャミア式(2,5)秘密分散法)、秘密情報名(ファイルA.doc)及び日時情報(Apr 10 2006 20:52:30)からなる秘密分散ログ情報を生成し、秘密分散ログ情報を保存部11内のログファイルに書き込む。
【0100】
また、制御部17は、データ抹消部16がデータ抹消処理を実行したとき、データ抹消部16からデータ抹消処理方式名(グートマン方式)とデータ抹消処理の実行先を示す抹消先情報(クライアント装置10)とを取得すると共に、時計装置により生成される日時情報(Apr 10 2006 20:53:00)を取得し、これらデータ抹消処理方式名、抹消先情報及び日時情報からなるデータ抹消ログ情報を生成する。しかる後、制御部17はデータ抹消ログ情報を保存部11内のログファイルに書き込む。
【0101】
また、制御部17は、前述同様に、配布先情報(クライアント装置10)、分散情報名(分散情報D(0))及び日時情報(Apr 10 2006 20:53:05)からなる配布ログ情報を生成し、配布ログ情報を保存部11内のログファイルに書き込む。以下同様に、制御部17は、分散情報D(1)〜D(4)についても配布ログ情報を生成してログファイルに書き込む。
このように、制御部17は、ステップST36の処理を実行する。
【0102】
上述したように本実施形態によれば、復元された元データSがクライアント装置10に記憶される構成としても、復元時に秘密情報が記憶される復元データ作成用保存部12’に対し、分散情報の配布後に、複数回の上書き処理を含むデータ抹消処理を実行するので、復元時に秘密情報が記憶される復元データ作成用保存部12’を備えたクライアント装置10が紛失又は盗難にあっても、秘密情報の漏洩を阻止することができる。
【0103】
なお、上記実施形態に記載した手法は、コンピュータに実行させることのできるプログラムとして、磁気ディスク(フロッピー(登録商標)ディスク、ハードディスクなど)、光ディスク(CD−ROM、DVDなど)、光磁気ディスク(MO)、半導体メモリなどの記憶媒体に格納して頒布することもできる。
【0104】
また、この記憶媒体としては、プログラムを記憶でき、かつコンピュータが読み取り可能な記憶媒体であれば、その記憶形式は何れの形態であっても良い。
【0105】
また、記憶媒体からコンピュータにインストールされたプログラムの指示に基づきコンピュータ上で稼働しているOS(オペレーティングシステム)や、データベース管理ソフト、ネットワークソフト等のMW(ミドルウェア)等が上記実施形態を実現するための各処理の一部を実行しても良い。
【0106】
さらに、本発明における記憶媒体は、コンピュータと独立した媒体に限らず、LANやインターネット等により伝送されたプログラムをダウンロードして記憶または一時記憶した記憶媒体も含まれる。
【0107】
また、記憶媒体は1つに限らず、複数の媒体から上記実施形態における処理が実行される場合も本発明における記憶媒体に含まれ、媒体構成は何れの構成であっても良い。
【0108】
尚、本発明におけるコンピュータは、記憶媒体に記憶されたプログラムに基づき、上記実施形態における各処理を実行するものであって、パソコン等の1つからなる装置、複数の装置がネットワーク接続されたシステム等の何れの構成であっても良い。
【0109】
また、本発明におけるコンピュータとは、パソコンに限らず、情報処理機器に含まれる演算処理装置、マイコン等も含み、プログラムによって本発明の機能を実現することが可能な機器、装置を総称している。
【0110】
なお、本願発明は、上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組合せにより種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。更に、異なる実施形態に亘る構成要素を適宜組合せてもよい。
【図面の簡単な説明】
【0111】
【図1】本発明の第1の実施形態に係る秘密分散システムの構成を示す模式図である。
【図2】同実施形態における分散動作を説明するためのフローチャートである。
【図3】同実施形態における復元動作を説明するためのフローチャートである。
【図4】同実施形態における再分散動作を説明するためのフローチャートである。
【図5】同実施形態におけるログファイルを説明するための模式図である。
【図6】本発明の第2の実施形態に係る秘密分散システムの構成を示す模式図である。
【図7】同実施形態における分散動作を説明するためのフローチャートである。
【図8】同実施形態における復元動作を説明するためのフローチャートである。
【図9】同実施形態における再分散動作を説明するためのフローチャートである。
【図10】本発明の第3の実施形態に係る秘密分散システムの構成を示す模式図である。
【図11】同実施形態における復元動作を説明するためのフローチャートである。
【図12】同実施形態における再分散動作を説明するためのフローチャートである。
【図13】同実施形態におけるログファイルを説明するための模式図である。
【符号の説明】
【0112】
10…クライアント装置、11〜n1…保存部、12…一時退避用保存部、12’,23…復元データ作成用保存部、13…入力部、14…分散情報生成部、15…元データ復元部、16…データ抹消部、17…制御部、18…出力部、19,22〜n2…通信部、20…外部記憶媒体、30,…,n0…保管サーバ装置、NW…ネットワーク。
【技術分野】
【0001】
本発明は、一部に搬送用の外部記憶媒体が使用される秘密分散システム、装置及びプログラムに係り、例えば、復元時に秘密情報が記憶される記憶媒体が紛失又は盗難にあっても、秘密情報の漏洩を阻止し得る秘密分散システム、装置及びプログラムに関する。
【背景技術】
【0002】
一般に、暗号化鍵などの秘密情報を紛失した場合の対策としては、予め秘密情報のコピーを作成しておくが有効である。しかしながら、秘密情報のコピーを作成すると、盗難のリスクが高くなるという問題が生じる。このような問題を解決する手法として、1979年にシャミア(Shamir)が(k,n)しきい値秘密分散法と呼ばれる秘密分散法を提案している(例えば、非特許文献1参照)。
【0003】
(k,n)しきい値秘密分散法では、秘密情報をn個の分散情報に分割し、n個の分散情報の中から任意のk個を集めれば元の秘密情報を復元できる。しかしながら、k個より1個少ないk−1個の分散情報からでは、元の秘密情報に関する情報が全く得られない。すなわち、(k,n)しきい値秘密分散法では、しきい値kを境にした秘密情報の復元特性をもっている(なお、1<k<n)。
【0004】
このため、(k,n)しきい値秘密分散法によれば、k−1個の分散情報が漏洩しても元の秘密情報が安全であり、n−k個以下の分散情報を紛失しても元の秘密情報を復元することができるといった管理を実現できる。
【0005】
よって、このような秘密分散法や、一般的な暗号技術は、秘密情報の安全な運搬方法や保管方法として利用されることが多い。しかしながら、分散情報から秘密情報を復元してしまうと、秘密情報を再度分散しても、復元された際の秘密情報を安全に消去することが難しくなる。
【0006】
例えば、揮発性領域を備えるUSBメモリ(株式会社アイ・オー・データ機器製のSecure EasyDisk(登録商標)など)は、次回起動時にデータを自動的に削除する方法をとっている。このため、USBメモリ内に復元した秘密情報は、次回起動時にUSBメモリから削除されるので、漏洩することがない。
【非特許文献1】A. Shamir: “How to share a secret”, Communications of the ACM, 22, 11, pp.612-613 (1979)
【発明の開示】
【発明が解決しようとする課題】
【0007】
しかしながら、次回起動時にデータを削除する方法では、次回起動時までは秘密情報がUSBメモリ内に物理的に残存することになる。このため、USBメモリ紛失・盗難時に、悪意ある第三者が、取得したUSBメモリを起動せずにアクセスし、残存している元データを取得する可能性を否定できない。
【0008】
すなわち、秘密分散法は、搬送用の外部記憶媒体のように、復元時に秘密情報が記憶される記憶装置が紛失・盗難にあうと、記憶装置に残存した秘密情報が漏洩してしまう可能性がある。
【0009】
本発明は上記実情を考慮してなされたもので、復元時に秘密情報が記憶される記憶媒体が紛失又は盗難にあっても、秘密情報の漏洩を阻止し得る秘密分散システム、装置及びプログラムを提供することを目的とする。
【課題を解決するための手段】
【0010】
第1の発明は、秘密情報を分散させたn個の分散情報を個別に配布し且つ収集可能なクライアント装置と、前記クライアント装置に着脱自在に保持され、当該クライアント装置から読出/書込可能な1個の外部記憶媒体と、前記クライアント装置から送受信可能なn−2台の情報記憶装置とを備え、前記クライアント装置が1個の分散情報を保持し、残りのn−1個の分散情報が前記外部記憶媒体及び前記各情報記憶装置に個別に配布されたとき、n個の分散情報のうちのk個の分散情報から前記秘密情報を外部記憶媒体内に復元可能な(k,n)型の秘密分散システムであって、前記クライアント装置としては、配布された分散情報を記憶するための分散情報記憶手段と、前記(k,n)型の秘密分散方式に基づいて、前記秘密情報からn個の分散情報を生成する分散情報生成手段と、前記配布より前に、複数回の上書き処理を含むデータ抹消処理を前記外部記憶媒体に実行するデータ抹消手段と、前記データ抹消処理の実行後、前記生成されたn個の分散情報を前記分散情報記憶手段、前記外部記憶媒体及び前記各情報記憶装置に個別に配布する配布手段とを備えた秘密分散システムである。
【0011】
第2の発明は、秘密情報を分散させたn個の分散情報を個別に配布し且つ収集可能なクライアント装置と、前記クライアント装置に着脱自在に保持され、当該クライアント装置から読出/書込可能な1個の外部記憶媒体と、前記クライアント装置から送受信可能なn−2台の情報記憶装置とを備え、前記クライアント装置が1個の分散情報を保持し、残りのn−1個の分散情報が前記外部記憶媒体及び前記各情報記憶装置に個別に配布されたとき、n個の分散情報のうちのk個の分散情報から前記秘密情報を復元可能な(k,n)型の秘密分散システムであって、前記クライアント装置としては、配布された分散情報を記憶するための分散情報記憶手段と、復元される秘密情報を記憶するための秘密情報記憶手段と、前記配布された分散情報のうち、前記外部記憶媒体に配布された1個の分散情報を含むk個の分散情報を収集する収集手段と、前記(k,n)型の秘密分散方式に基づいて、前記収集されたk個の分散情報から秘密情報を復元する復元手段と、前記復元された秘密情報を前記秘密情報記憶手段のみに書き込む秘密情報書込手段と、前記(k,n)型の秘密分散方式に基づいて、前記秘密情報記憶手段内の秘密情報からn個の分散情報を生成する分散情報生成手段と、前記生成されたn個の分散情報を前記分散情報記憶手段、前記外部記憶媒体及び前記各情報記憶装置に個別に配布する配布手段と、前記配布手段による配布の後、複数回の上書き処理を含むデータ抹消処理を前記秘密情報記憶手段に実行するデータ抹消手段とを備えた秘密分散システムである。
【0012】
なお、第1及び第2の発明は、各装置の集合体を「システム」として表現したが、これに限らず、各装置の集合体又は各装置単体を「装置」、「方法」、「プログラム」又は「コンピュータ読み取り可能な記憶媒体」等と表現してもよい。
【0013】
(作用)
第1の発明によれば、復元時に秘密情報が記憶される外部記憶媒体に対し、分散情報の配布前に、複数回の上書き処理を含むデータ抹消処理を実行するので、復元時に秘密情報が記憶される記憶媒体が紛失又は盗難にあっても、秘密情報の漏洩を阻止することができる。
【0014】
第2の発明によれば、復元時に秘密情報が記憶される秘密情報記憶手段に対し、分散情報の配布後に、複数回の上書き処理を含むデータ抹消処理を実行するので、復元時に秘密情報が記憶される記憶媒体(秘密情報記憶手段)が紛失又は盗難にあっても、秘密情報の漏洩を阻止することができる。
【発明の効果】
【0015】
以上説明したように本発明によれば、復元時に秘密情報が記憶される記憶媒体が紛失又は盗難にあっても、秘密情報の漏洩を阻止できる。
【発明を実施するための最良の形態】
【0016】
以下、本発明の各実施形態を図面を用いて説明する。なお、以下の各装置は、各装置毎に、ハードウェア構成、又はハードウェア資源とソフトウェアとの組合せ構成のいずれでも実施可能となっている。組合せ構成のソフトウェアとしては、予めネットワーク又は記憶媒体から対応する装置のコンピュータにインストールされ、対応する装置の機能を実現させるためのプログラムが用いられる。
【0017】
(第1の実施形態)
図1は本発明の第1の実施形態に係る秘密分散システムの構成を示す模式図である。
本実施形態は、1ドライブで構成される外部記憶媒体20を用いる場合に、外部記憶媒体20上に秘密情報を復元し、秘密情報の使用後、外部記憶媒体20内の秘密情報を抹消するものである。
【0018】
具体的には、図1に示す秘密分散システムは、1台のクライアント装置10が1個の外部記憶媒体を着脱自在に保持している。また、クライアント装置10は、離れて配置されるn−2台の保管サーバ装置30,…,n0と送受信可能となっており、例えばインターネット等のネットワークNWを介して保管サーバ装置30,…,n0と接続されている。
【0019】
これら合計n台の装置10,20,30,…,n0は、(k,n)しきい値秘密分散法におけるn人のメンバに対応する。特に、n台の装置10,20,…,n0が個別に有するn個の保存部11,21,…,n1は、n人のメンバが個別に有するn個の記憶装置に対応する。
【0020】
ここで、クライアント装置10は、秘密情報を分散させたn個(但し、n≧2)の分散情報を個別に配布し、各分散情報のうちのk個の分散情報を収集して秘密情報を外部記憶媒体内に復元可能な(k,n)型の秘密分散方式を用いている。(k,n)型の秘密分散方式としては、非特許文献1記載の方式に限らず、任意の方式が適用可能となっている。また、クライアント装置10は、用いる秘密分散法で設定可能な範囲において、分散数やしきい値を任意に設定して構わない。
【0021】
具体的にはクライアント装置10は、保存部11、一時退避用保存部12、入力部13、分散情報生成部14、元データ復元部15、データ抹消部16、制御部17、出力部18及び通信部19が互いにバスを介して接続されている。
【0022】
保存部11は、制御部19から読出/書込可能なハードウェア資源としての記憶装置であり、後述する分散情報D(0)〜D(n-1)が配布される前に、秘密情報Sが一時的に記憶され、分散情報D(0)〜D(n-1)が作成されると、分散情報作成情報が記憶され、分散情報が配布された後、分散情報D(0)が記憶されると共に、秘密情報Sが消去される。なお、クライアント装置10が安全でない場所に持ち出される場合、後述するデータ抹消処理により、クライアント装置10側でも秘密情報Sを完全に消去する方が好ましい。
【0023】
ここで、分散情報作成情報は、分散情報D(j)の識別情報jと、分散情報D(j)の配布先識別情報(装置ID、装置のアドレス情報等)とが互いに関連付けられた情報である。なお、配布先識別情報は予め保存部11に保存されている。また、保存部11は、分散情報や秘密情報に限らず、後述するログファイルも記憶される。保存部11としては、例えばHDD(Hard Disk Drive)が使用可能となっている。
【0024】
一時退避用保存部12は、制御部19から読出/書込可能なハードウェア資源としての記憶装置であり、外部記憶媒体20に配布される分散情報D(1)が一時的に記憶され、外部記憶媒体20内のデータが抹消された後、分散情報D(1)が読み出される。一時退避用保存部12としては、例えばRAM(Random Access Memory)が使用可能となっている。
【0025】
入力部13は、キーボード又はマウス等の通常の入力デバイスであり、操作者の操作により、分散処理又は復号処理の開始等の命令や、秘密情報S等の情報をクライアント装置10内に入力する機能をもっている。
【0026】
分散情報生成部14は、制御部17により制御され、保存部11に一時的に記憶された秘密情報Sに基づいて、n個の分散情報D(0)〜D(n-1)を生成する機能をもっている。
【0027】
元データ復元部15は、制御部17に制御され、n台の装置10,…,n0に配布されたn個の分散情報D(0)〜D(n-1)のうち、外部記憶媒体20に配布された1個の分散情報D(1)を含むk個の分散情報を収集する機能と、収集したk個の分散情報D(1),…から(k,n)型の秘密分散方式に基づいて、秘密情報Sを復元する秘密情報復元機能をもっている。
【0028】
データ抹消部16は、制御部17に制御され、分散情報の配布より前に、複数回の上書き処理を含むデータ抹消処理を外部記憶媒体20の保存部21に実行するものである。複数回の上書き処理を含むデータ抹消処理としては、例えば、グートマン方式や、米国防総省(DoD: Department of Defense)準拠方式(US DoD 5220.22-M(8-306./E,C and E)) などの安全なデータ抹消アルゴリズムが使用可能となっている。
【0029】
なお、ここでいうデータ抹消処理は、通常の消去処理とは異なり、複数回の上書き処理を含む処理である。補足すると、通常の消去処理は、データ管理情報に「削除した」という情報を付加するものであり、データ本体が残っていることから、データ復元用ソフトウエア等によりデータ本体が復元可能となっている。しかしながら、各実施形態で用いるデータ抹消処理は、このような通常の消去処理とは異なり、データ本体に複数回の上書き処理を施すことにより、データ復元用ソフトウエア等によってもデータ本体を復元不可能とする処理である。
【0030】
制御部17は、入力部13から入力される命令に基づいて、後述する図2乃至図4のフローチャートに基づいて、各部11〜16,18,19を制御する機能をもっている。
【0031】
出力部18は、ディスプレイ装置やプリンタ装置等の通常の出力デバイスであり、制御部18により制御され、命令等の入力画面や、復元後の秘密情報S等の出力画面等を出力する機能をもっている。
【0032】
通信部19は、制御部17により制御され、データ抹消部16によるデータ抹消処理の実行後、保存部11内の分散情報作成情報に基づいて、分散情報生成部14により生成されたn個の分散情報を保存部11、外部記憶媒体20及び各保管サーバ装置30,・・・,n0に個別に配布するものであり、クライアント装置10と外部記憶媒体20と間の通信機能と、クライアント装置10とネットワークNWとの間の通信機能とをもっている。
【0033】
一方、外部記憶媒体20は、クライアント装置10に着脱自在に保持される携帯可能な記憶装置であり、本実施形態では、1ドライブで構成されるUSBメモリとしている。具体的には外部記憶媒体20は、保存部21及び通信部22を備えている。
【0034】
保存部21は、通信部22から読出/書込可能なハードウェア資源としての記憶装置であり、クライアント装置10から配布された分散情報D(1)と、クライアント装置10により復元された秘密情報が記憶される。
【0035】
通信部22は、クライアント装置10から配布された分散情報D(1)又は抹消用情報を保存部21に書き込む機能と、クライアント装置10から要求された分散情報D(1)又は秘密情報を保存部21から読み出してクライアント装置10に返信する機能とをもっている。
【0036】
他方、各保管サーバ装置30〜n0について説明する。
各保管サーバ装置30〜n0は、記憶する分散情報D(2)〜D(n-1)が互いに異なる他は互いに同一構成のため、ここでは保管サーバ装置30を代表例に挙げて説明する。
【0037】
保管サーバ装置30は、保存部31及び通信部32を備えている。
【0038】
保存部31は、通信部32から読出/書込可能なハードウェア資源としての記憶装置であり、クライアント装置10から配布された分散情報D(2)が記憶される。
【0039】
通信部32は、クライアント装置10から配布された分散情報D(2)を保存部21に書き込む機能と、クライアント装置10から要求された分散情報D(2)を保存部21から読み出してこの分散情報D(2)をクライアント装置10に返信する機能とをもっている。
【0040】
なお、通信部22は、分散情報D(2)の漏洩防止の観点から、クライアント装置10の認証機能を有してもよく、この場合、クライアント装置10の認証の後、分散情報D(2)を返信する構成として設けられる。
【0041】
なお、各保管サーバ装置30,…,n0は、クライアント装置10と同様に、分散情報生成部14、元データ復元部15、データ抹消部16などの機能を保持していてもよい。また、各保管サーバ装置30,…,n0は、USBメモリや携帯電話などのように、分散情報を記憶可能な記憶装置を有し、且つクライアント装置10と有線通信又は無線通信可能な装置であれば、任意の装置に置き換えてもよい。このように、保管装置30,…,n0がクライアント装置10と同様の機能を保持してもよいことと、保管装置30,…,n0を他の装置に置き換えてもよいことは、以下の各実施形態でも同様である。
【0042】
次に、以上のように構成された秘密分散システムの動作を図2乃至図4のフローチャートを用いて説明する。なお、以下の説明は、秘密情報の分散、秘密情報の復元、秘密情報の再分散の順に述べる。
【0043】
(秘密情報の分散)
クライアント装置10においては、分散情報D(0)〜D(n-1)を配布する前に、秘密情報が一時的に保存部11に記憶されているとする。このとき、クライアント装置10においては、操作者の操作により、分散処理の開始命令が入力部13から入力されたとする。
【0044】
クライアント装置10は、この開始命令に基づいて、分散処理を開始する。始めに、データ抹消部16は、制御部17に制御され、図2に示すように、複数回の上書き処理を含むデータ抹消処理を外部記憶媒体20の保存部21に実行し、外部記憶媒体20内のデータを完全に消去する(ST11)。このデータ抹消処理には、例えば、グートマン方式や米国防総省準拠方式などの安全なデータ抹消アルゴリズムが用いられる。
【0045】
分散情報制御部14は、制御部17に制御され、(k,n)型の秘密分散方式に基づいて、秘密情報からn個の分散情報を生成する(ST12)。例えば、非特許文献1記載の(k,n)型の秘密分散方式を用いる場合において、しきい値kをk=2、分散数nをn=5と設定するとする。この場合、(k,n)型の秘密分散方式は、k=2,n=5のため、(2,5)型となる。同様に、保管サーバ装置n0は、n=5のため、保管サーバ装置50となる。
【0046】
続いて分散情報制御部14は、秘密情報としての元データをSとし、分散数5の分だけ1次多項式f(x)=ax+S(mod p)を生成する。但し、mod pは、pで割った余りの数を表し、元データSや乱数値aよりも大きな数とする。
【0047】
f(1)= a+S mod p
f(2)=2a+S mod p
f(3)=3a+S mod p
f(4)=4a+S mod p
f(5)=5a+S mod p
しかる後、得られた1次多項式f(1),…,f(5)を、それぞれ分散情報D(0),…,D(4)とする。このとき、分散情報D(0)がf(1)となり、D(1)がf(2)となり、D(2)がf(3)となり、D(3)がf(4)となり、D(4)がf(5)となる。
【0048】
通信部19は、生成された5個の分散情報D(0),…,D(4)を保存部11、外部記憶媒体20及び各保管サーバ装置30,…,50に個別に配布する(ST13)。例えば、クライアント装置10に分散情報D(0)を配布し、外部記憶媒体20に分散情報D(1)を配布する。また、保管サーバ装置30,…,50に分散情報D(2),D(3),D(4)を個別に配布する。
【0049】
(秘密情報の復元)
クライアント装置10においては、操作者の操作により、制御部17が元データ復元部15を起動する。元データ復元部15は、制御部17に制御され、図3に示すように、配布された5個の分散情報D(0)〜D(4)のうち、外部記憶媒体20に配布された1個の分散情報D(1)を含む2個の分散情報を収集する(ST21)。
【0050】
続いて、元データ復元部15は、分散時に用いた(2,5)型の秘密分散方式に基づいて、2個の分散情報D(1),…から秘密情報Sとしての元データを復元する(ST22)。
【0051】
例えば元データ復元部15は、分散情報として、外部記憶媒体20から収集した分散情報D(1)と、クライアント装置10の保存部11から収集した分散情報D(0)とを用いるとする。
【0052】
D(0)=f(1)= a+S mod p
D(1)=f(2)=2a+S mod p
元データ復元部15は、これらの分散情報D(0),D(1)が表す二つの式の連立方程式を解いて秘密情報Sを復元する。
【0053】
しかる後、元データ復元部15は、復元した元データを外部記憶媒体20の保存部21に書き込む(ST23)。
【0054】
これにより、クライアント装置10は、外部記憶媒体20内の元データを利用可能となる。クライアント装置10は、外部記憶媒体20内の元データを更新しない場合、前述したデータ抹消処理を実行し、外部記憶媒体20内の元データを完全に消去すればよい。または、データ抹消処理を実行して外部記憶媒体20の保存部21の記憶内容を完全に消去した後、収集していた分散情報D(1)を外部記憶媒体20の保存部21に書き込んでもよい。あるいは、以下に述べるように、元データを更新した場合と同様に、新たに生成した分散情報を再分散してもよい。
【0055】
(秘密情報の再分散)
クライアント装置10においては、操作者の操作により、再分散処理の開始命令が入力部13から入力されたとする。
【0056】
クライアント装置10は、この開始命令に基づいて、再分散処理を開始する。始めに、 分散情報制御部14は、制御部17に制御され、図4に示すように、(k,n)型の秘密分散方式に基づいて、秘密情報からn個の分散情報を生成する(ST31)。
【0057】
例えば、分散情報制御部14は、前述同様に、1次多項式f(x)=a’x+S(mod p)を生成する。なお、乱数値a’は、前述した分散処理で用いた値aとは異なる値である。mod pは、元データSや乱数値a’よりも大きな数とする。
【0058】
f’(1)= a’+S mod p
f’(2)=2a’+S mod p
f’(3)=3a’+S mod p
f’(4)=4a’+S mod p
f’(5)=5a’+S mod p
また同様に、得られた1次多項式f’(1),…,f’(5)を、それぞれ分散情報D(0),…,D(4)とする。このとき、分散情報D(0)がf’(1)となり、D(1)がf’(2)となり、D(2)がf’(3)となり、D(3)がf’(4)となり、D(4)がf’(5)となる。
【0059】
続いて、制御部17は、外部記憶媒体20に書き込む分散情報D(1)を、一時的にクライアント装置10の一時退避用保存部12に退避(書込)させる(ST32)。
【0060】
しかる後、データ抹消部16は、制御部17に制御され、複数回の上書き処理を含むデータ抹消処理を外部記憶媒体20の保存部21に実行し、外部記憶媒体20内のデータを完全に消去する(ST33)。ここで、予め想定される元データサイズに応じて外部記憶媒体20の保存部21の記憶容量を制限すると、データを消去する際の時間を短縮することができる。
【0061】
通信部19は、生成された5個の分散情報D(0),…,D(4)を保存部11、外部記憶媒体20及び各保管サーバ装置30,…,50に個別に配布する(ST34)。
【0062】
制御部17は、クライアント装置10の一時退避用保存部12の記憶内容をクリア(消去)する(ST35)。
【0063】
制御部17は、例えば図5に示す如き、外部記憶媒体20を一度完全にデータ消去した事実と、どのような情報を外部記憶媒体に書き込んだかという内容のログファイルをクライアント装置10の保存部11に保存する(ST36)。
【0064】
例えば、制御部17は、分散情報生成部14が分散情報を生成したとき、分散情報生成部14から秘密分散方式名(シャミア式(2,5)秘密分散法)と秘密情報Sに含まれる秘密情報名(ファイルA.doc)とを取得すると共に、図示しない時計装置により生成される日時情報(Apr 10 2006 20:52:30)を取得し、これら秘密情報名及び日時情報からなる秘密分散ログ情報を生成する。しかる後、制御部17は秘密分散ログ情報を保存部11内のログファイルに書き込む。
【0065】
また、制御部17は、データ抹消部16がデータ抹消処理を実行したとき、データ抹消部16からデータ抹消処理方式名(グートマン方式)とデータ抹消処理の実行先を示す抹消先情報(外部記憶媒体20)とを取得すると共に、時計装置により生成される日時情報(Apr 10 2006 20:53:00)を取得し、これらデータ抹消処理方式名、抹消先情報及び日時情報からなるデータ抹消ログ情報を生成する。しかる後、制御部17はデータ抹消ログ情報を保存部11内のログファイルに書き込む。
【0066】
また、制御部17は、通信部19が分散情報を配布したとき、通信部19から分散情報の配布先を示す配布先情報(クライアント装置10)と分散情報に含まれる分散情報名(分散情報D(0))とを取得すると共に、時計装置により生成される日時情報(Apr 10 2006 20:53:05)を取得し、これら配布先情報、分散情報名及び日時情報からなる配布ログ情報を生成する。しかる後、制御部17は配布ログ情報を保存部11内のログファイルに書き込む。以下同様に、制御部17は、分散情報D(1)〜D(4)についても配布ログ情報を生成してログファイルに書き込む。
このように、制御部17は、ステップST36の処理を実行する。
【0067】
上述したように本実施形態によれば、復元時に秘密情報Sが記憶される外部記憶媒体20に対し、分散情報D(1)の配布前に、複数回の上書き処理を含むデータ抹消処理を実行するので、復元時に秘密情報が記憶される記憶媒体が紛失又は盗難にあっても、秘密情報の漏洩を阻止することができる。
【0068】
また、分散情報D(0)の配布前にデータ抹消処理を実行し、その後、分散情報D(1)のみを外部記憶媒体20に書き込んだことをログファイルに記憶するので、外部記憶媒体20内に秘密情報が残存しているという不安を解消することができる。さらに、外部記憶媒体20を常に安全に搬送・管理することができ、かつ、外部記憶媒体20内に書き込まれた分散情報のリストを作成することができる。
【0069】
(第2の実施形態)
図6は本発明の第2の実施形態に係る秘密分散システムの構成を示す模式図であり、図1と同一部分には同一符号を付してその詳しい説明を省略し、ここでは異なる部分について主に述べる。なお、以下の各実施形態も同様にして重複した説明を省略する。
【0070】
すなわち、本実施形態は、2ドライブで構成される外部記憶媒体20を用いる場合に、外部記憶媒体20内の復元データ作成用保存部23上に秘密情報を復元し、秘密情報の使用後、この復元データ作成用保存部23内の秘密情報を抹消するものである。
【0071】
具体的には外部記憶媒体20は、前述した機能に加え、分散情報が記憶される第1記憶装置としての保存部21と、秘密情報が記憶される第2記憶装置としての復元データ作成用保存部23とを備えた2ドライブで構成されている。この2ドライブを構成する2つの保存部21,23は、物理的に別の2つの記憶装置から構成される。
【0072】
これに伴い、クライアント装置10のデータ抹消部16は、前述した機能において、データ抹消処理を復元データ作成用保存部23にも実行するものとなっている。なお、データ抹消処理は、少なくとも復元データ作成用保存部23に実行すればよく、必ずしも保存部21に実行しなくてもよい。但し、初回の分散時は2つの保存部21,23にデータ抹消処理を実行するものとする。
【0073】
次に、以上のように構成された秘密分散システムの動作を図7乃至図9のフローチャートを用いて説明する。
【0074】
(秘密情報の分散)
クライアント装置10においては、分散情報D(0)〜D(n-1)を配布する前に、秘密情報が一時的に保存部11に記憶されているとする。このとき、クライアント装置10においては、操作者の操作により、分散処理の開始命令が入力部13から入力されたとする。
【0075】
クライアント装置10は、この開始命令に基づいて、分散処理を開始する。始めに、データ抹消部16は、制御部17に制御され、図7に示すように、複数回の上書き処理を含むデータ抹消処理を外部記憶媒体20の保存部21及び復元データ作成用保存部23に実行し、外部記憶媒体20内のデータを完全に消去する(ST11a)。
【0076】
続いて分散情報制御部14は、前述した通り、制御部17に制御され、例えば(2,5)型の秘密分散方式に基づいて、秘密情報から5個の分散情報を生成する(ST12)。
【0077】
しかる後、通信部19は、生成された5個の分散情報D(0),…,D(4)を保存部11、外部記憶媒体20の保存部21及び各保管サーバ装置30,…,50に個別に配布する(ST13a)。
【0078】
(秘密情報の復元)
クライアント装置においては、図8に示すように、前述した通り、ステップST21,ST22が実行され、元データ復元部15が外部記憶媒体20に配布された1個の分散情報D(1)を含む2個の分散情報D(1),D(0)を収集し、2個の分散情報D(1),D(0)から秘密情報Sとしての元データを復元する。
【0079】
しかる後、元データ復元部15は、復元した元データを外部記憶媒体20の復元データ作成用保存部23に書き込む(ST23a)。
【0080】
これにより、クライアント装置10は、外部記憶媒体20内の元データを利用可能となる。クライアント装置10は、外部記憶媒体20内の元データを更新しない場合、前述したデータ抹消処理を実行し、外部記憶媒体20内の元データを完全に消去すればよい。または、データ抹消処理を実行して外部記憶媒体20の復元データ作成用保存部23の記憶内容を完全に消去した後、収集していた分散情報D(1)を外部記憶媒体20の保存部21に書き込んでもよい。あるいは、以下に述べるように、元データを更新した場合と同様に、新たに生成した分散情報を再分散してもよい。
【0081】
(秘密情報の再分散)
クライアント装置10においては、図9に示すように、前述した通り、ステップST31が実行され、(2,5)型の秘密分散方式に基づいて、秘密情報から5個の分散情報を生成する。
【0082】
続いて、データ抹消部16は、制御部17に制御され、複数回の上書き処理を含むデータ抹消処理を外部記憶媒体20の復元データ作成用保存部23に実行し、外部記憶媒体20内のデータを完全に消去する(ST33a)。ここで、予め想定される元データサイズに応じて外部記憶媒体20の復元データ作成用保存部23の記憶容量を制限すると、データを消去する際の時間を短縮することができる。
【0083】
通信部19は、生成された5個の分散情報D(0),…,D(4)のうち、4個の分散情報D(0),D(2),D(3),D(4)を保存部11、各保管サーバ装置30,…,50に個別に配布する(ST34−1)。また、通信部19は、生成された5個の分散情報D(0),…,D(4)のうち、残り1個の分散情報D(1)を外部記憶媒体20の保存部21に配布する(ST34−2)。
【0084】
しかる後、制御部17は、前述同様に図5に示す如き、外部記憶媒体20を一度完全にデータ消去した事実と、どのような情報を外部記憶媒体に書き込んだかという内容のログファイルをクライアント装置10の保存部11に保存する(ST36)。
【0085】
上述したように本実施形態によれば、外部記憶媒体20を2ドライブからなる構成としても、第1の実施形態と同様の作用効果を得ることができる。
【0086】
(第3の実施形態)
図10は本発明の第3の実施形態に係る秘密分散システムの構成を示す模式図である。
【0087】
本実施形態は、第1の実施形態の変形例であり、1ドライブで構成される外部記憶媒体20を用いる場合に、クライアント装置10内の復元データ作成用保存部12’上に秘密情報を復元し、秘密情報の使用後、この復元データ作成用保存部12’内の秘密情報を抹消するものである。
【0088】
これに伴い、クライアント装置10においては、前述した一時退避用保存部12に代えて、復元された秘密情報が記憶される復元データ作成用保存部12’を備えている。ここで、復元データ作成用保存部12’は、RAM(Random Access Memory)又はHDDのいずれで構成してもよい。
【0089】
また、元データ復元部15は、前述した機能において、復元した秘密情報を外部記憶媒体20の保存部21ではなく、クライアント装置10の復元データ作成用保存部12’のみに書き込むものとしている。すなわち、秘密情報Sが書き込まれる記憶領域は、クライアント装置10内でも復元データ作成用保存部12’のみに限定されている。この限定は、例えば復元データ作成用保存部12’のアドレス情報を予め制御部17のプログラム(図示せず)に設定しておく等により実現可能となっている。
【0090】
同様に、データ抹消部16は、制御部17に制御され、分散情報の配布後に、複数回の上書き処理を含むデータ抹消処理をクライアント装置10の復元データ作成用保存部12’に実行するものとなっている。
【0091】
次に、以上のように構成された秘密分散システムの動作を図2、図11及び図12のフローチャートを用いて説明する。
【0092】
(秘密情報の分散)
秘密情報の分散処理は、前述した通り、図2に示したように実行される。
【0093】
(秘密情報の復元)
クライアント装置においては、図11に示すように、前述した通り、ステップST21,ST22が実行され、元データ復元部15が外部記憶媒体20に配布された1個の分散情報D(1)を含む2個の分散情報D(1),D(0)を収集し、2個の分散情報D(1),D(0)から秘密情報Sとしての元データを復元する。
【0094】
しかる後、元データ復元部15は、復元した元データをクライアント装置10の復元データ作成用保存部12’のみに書き込む(ST23b)。
【0095】
これにより、クライアント装置10は、復元データ作成用保存部12’内の元データを利用可能となる。クライアント装置10は、復元データ作成用保存部12’内の元データを更新しない場合、前述同様にデータ抹消処理を実行し、復元データ作成用保存部12’内の元データを完全に消去すればよい。あるいは、以下に述べるように、元データを更新した場合と同様に、新たに生成した分散情報を再分散してもよい。
【0096】
(秘密情報の再分散)
クライアント装置10においては、図12に示すように、前述した通り、ステップST31,ST33,ST34の実行により、秘密情報から5個の分散情報を生成し、外部記憶媒体20内のデータを完全に消去し、5個の分散情報D(0),…,D(4)を保存部11、外部記憶媒体20及び各保管サーバ装置30,…,50に個別に配布する。但し、本実施形態においては、外部記憶媒体20には元データSが一度も記憶されていないことから、外部記憶媒体20のデータを完全に消去するステップST33は省略してもよい。
【0097】
続いて、データ抹消部16は、制御部17に制御され、複数回の上書き処理を含むデータ抹消処理をクライアント装置10の復元データ作成用保存部12’に実行し、復元データ作成用保存部12’内のデータを完全に消去する(ST35b)。ここで、予め想定される元データサイズに応じて復元データ作成用保存部12’の記憶容量を制限すると、データを消去する際の時間を短縮することができる。
【0098】
制御部17は、例えば図13に示す如き、クライアント装置10の復元データ作成用保存部12’を一度完全にデータ消去した事実と、どのような情報を外部記憶媒体に書き込んだかという内容のログファイルをクライアント装置10の保存部11に保存する(ST36b)。
【0099】
例えば、制御部17は、前述同様に、これら秘密分散方式名(シャミア式(2,5)秘密分散法)、秘密情報名(ファイルA.doc)及び日時情報(Apr 10 2006 20:52:30)からなる秘密分散ログ情報を生成し、秘密分散ログ情報を保存部11内のログファイルに書き込む。
【0100】
また、制御部17は、データ抹消部16がデータ抹消処理を実行したとき、データ抹消部16からデータ抹消処理方式名(グートマン方式)とデータ抹消処理の実行先を示す抹消先情報(クライアント装置10)とを取得すると共に、時計装置により生成される日時情報(Apr 10 2006 20:53:00)を取得し、これらデータ抹消処理方式名、抹消先情報及び日時情報からなるデータ抹消ログ情報を生成する。しかる後、制御部17はデータ抹消ログ情報を保存部11内のログファイルに書き込む。
【0101】
また、制御部17は、前述同様に、配布先情報(クライアント装置10)、分散情報名(分散情報D(0))及び日時情報(Apr 10 2006 20:53:05)からなる配布ログ情報を生成し、配布ログ情報を保存部11内のログファイルに書き込む。以下同様に、制御部17は、分散情報D(1)〜D(4)についても配布ログ情報を生成してログファイルに書き込む。
このように、制御部17は、ステップST36の処理を実行する。
【0102】
上述したように本実施形態によれば、復元された元データSがクライアント装置10に記憶される構成としても、復元時に秘密情報が記憶される復元データ作成用保存部12’に対し、分散情報の配布後に、複数回の上書き処理を含むデータ抹消処理を実行するので、復元時に秘密情報が記憶される復元データ作成用保存部12’を備えたクライアント装置10が紛失又は盗難にあっても、秘密情報の漏洩を阻止することができる。
【0103】
なお、上記実施形態に記載した手法は、コンピュータに実行させることのできるプログラムとして、磁気ディスク(フロッピー(登録商標)ディスク、ハードディスクなど)、光ディスク(CD−ROM、DVDなど)、光磁気ディスク(MO)、半導体メモリなどの記憶媒体に格納して頒布することもできる。
【0104】
また、この記憶媒体としては、プログラムを記憶でき、かつコンピュータが読み取り可能な記憶媒体であれば、その記憶形式は何れの形態であっても良い。
【0105】
また、記憶媒体からコンピュータにインストールされたプログラムの指示に基づきコンピュータ上で稼働しているOS(オペレーティングシステム)や、データベース管理ソフト、ネットワークソフト等のMW(ミドルウェア)等が上記実施形態を実現するための各処理の一部を実行しても良い。
【0106】
さらに、本発明における記憶媒体は、コンピュータと独立した媒体に限らず、LANやインターネット等により伝送されたプログラムをダウンロードして記憶または一時記憶した記憶媒体も含まれる。
【0107】
また、記憶媒体は1つに限らず、複数の媒体から上記実施形態における処理が実行される場合も本発明における記憶媒体に含まれ、媒体構成は何れの構成であっても良い。
【0108】
尚、本発明におけるコンピュータは、記憶媒体に記憶されたプログラムに基づき、上記実施形態における各処理を実行するものであって、パソコン等の1つからなる装置、複数の装置がネットワーク接続されたシステム等の何れの構成であっても良い。
【0109】
また、本発明におけるコンピュータとは、パソコンに限らず、情報処理機器に含まれる演算処理装置、マイコン等も含み、プログラムによって本発明の機能を実現することが可能な機器、装置を総称している。
【0110】
なお、本願発明は、上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組合せにより種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。更に、異なる実施形態に亘る構成要素を適宜組合せてもよい。
【図面の簡単な説明】
【0111】
【図1】本発明の第1の実施形態に係る秘密分散システムの構成を示す模式図である。
【図2】同実施形態における分散動作を説明するためのフローチャートである。
【図3】同実施形態における復元動作を説明するためのフローチャートである。
【図4】同実施形態における再分散動作を説明するためのフローチャートである。
【図5】同実施形態におけるログファイルを説明するための模式図である。
【図6】本発明の第2の実施形態に係る秘密分散システムの構成を示す模式図である。
【図7】同実施形態における分散動作を説明するためのフローチャートである。
【図8】同実施形態における復元動作を説明するためのフローチャートである。
【図9】同実施形態における再分散動作を説明するためのフローチャートである。
【図10】本発明の第3の実施形態に係る秘密分散システムの構成を示す模式図である。
【図11】同実施形態における復元動作を説明するためのフローチャートである。
【図12】同実施形態における再分散動作を説明するためのフローチャートである。
【図13】同実施形態におけるログファイルを説明するための模式図である。
【符号の説明】
【0112】
10…クライアント装置、11〜n1…保存部、12…一時退避用保存部、12’,23…復元データ作成用保存部、13…入力部、14…分散情報生成部、15…元データ復元部、16…データ抹消部、17…制御部、18…出力部、19,22〜n2…通信部、20…外部記憶媒体、30,…,n0…保管サーバ装置、NW…ネットワーク。
【特許請求の範囲】
【請求項1】
秘密情報を分散させたn個の分散情報を個別に配布し且つ収集可能なクライアント装置と、
前記クライアント装置に着脱自在に保持され、当該クライアント装置から読出/書込可能な1個の外部記憶媒体と、
前記クライアント装置から送受信可能なn−2台の情報記憶装置とを備え、
前記クライアント装置が1個の分散情報を保持し、残りのn−1個の分散情報が前記外部記憶媒体及び前記各情報記憶装置に個別に配布されたとき、n個の分散情報のうちのk個の分散情報から前記秘密情報を外部記憶媒体内に復元可能な(k,n)型の秘密分散システムであって、
前記クライアント装置は、
配布された分散情報を記憶するための分散情報記憶手段と、
前記(k,n)型の秘密分散方式に基づいて、前記秘密情報からn個の分散情報を生成する分散情報生成手段と、
前記配布より前に、複数回の上書き処理を含むデータ抹消処理を前記外部記憶媒体に実行するデータ抹消手段と、
前記データ抹消処理の実行後、前記生成されたn個の分散情報を前記分散情報記憶手段、前記外部記憶媒体及び前記各情報記憶装置に個別に配布する配布手段と
を備えたことを特徴とする秘密分散システム。
【請求項2】
請求項1に記載の秘密分散システムにおいて、
前記外部記憶媒体は、分散情報が記憶される第1記憶装置と、秘密情報が記憶される第2記憶装置とを備え、
前記データ抹消手段は、前記データ抹消処理を前記第2記憶装置に実行することを特徴とする秘密分散システム。
【請求項3】
秘密情報を分散させたn個の分散情報を個別に配布し且つ収集可能なクライアント装置と、
前記クライアント装置に着脱自在に保持され、当該クライアント装置から読出/書込可能な1個の外部記憶媒体と、
前記クライアント装置から送受信可能なn−2台の情報記憶装置とを備え、
前記クライアント装置が1個の分散情報を保持し、残りのn−1個の分散情報が前記外部記憶媒体及び前記各情報記憶装置に個別に配布されたとき、n個の分散情報のうちのk個の分散情報から前記秘密情報を復元可能な(k,n)型の秘密分散システムであって、
前記クライアント装置は、
配布された分散情報を記憶するための分散情報記憶手段と、
復元される秘密情報を記憶するための秘密情報記憶手段と、
前記配布された分散情報のうち、前記外部記憶媒体に配布された1個の分散情報を含むk個の分散情報を収集する収集手段と、
前記(k,n)型の秘密分散方式に基づいて、前記収集されたk個の分散情報から秘密情報を復元する復元手段と、
前記復元された秘密情報を前記秘密情報記憶手段のみに書き込む秘密情報書込手段と、
前記(k,n)型の秘密分散方式に基づいて、前記秘密情報記憶手段内の秘密情報からn個の分散情報を生成する分散情報生成手段と、
前記生成されたn個の分散情報を前記分散情報記憶手段、前記外部記憶媒体及び前記各情報記憶装置に個別に配布する配布手段と、
前記配布手段による配布の後、複数回の上書き処理を含むデータ抹消処理を前記秘密情報記憶手段に実行するデータ抹消手段と
を備えたことを特徴とする秘密分散システム。
【請求項4】
請求項1乃至請求項3のいずれか1項に記載の秘密分散システムにおいて、
前記クライアント装置は、
ログファイルが記憶されるログファイル記憶手段と、
日時情報を生成する日時情報生成手段と、
前記分散情報生成手段が分散情報を生成したとき、前記分散情報生成手段から秘密分散方式名と前記秘密情報に含まれる秘密情報名とを取得すると共に、前記日時情報生成手段により生成される日時情報を取得する秘密情報名取得手段と、
前記秘密情報名取得手段により取得された秘密分散方式名、秘密情報名及び日時情報からなる秘密分散ログ情報を生成する第1ログ情報生成手段と、
前記データ抹消手段がデータ抹消処理を実行したとき、前記データ抹消手段からデータ抹消処理方式名とデータ抹消処理の実行先を示す抹消先情報とを取得すると共に、前記日時情報生成手段により生成される日時情報を取得する抹消処理情報取得手段と、
前記抹消処理情報取得手段により取得されたデータ抹消処理方式名、抹消先情報及び日時情報からなるデータ抹消ログ情報を生成する第2ログ情報生成手段と、
前記配布手段が分散情報を配布したとき、前記配布手段から分散情報の配布先を示す配布先情報と前記分散情報に含まれる分散情報名とを取得すると共に、前記日時情報生成手段により生成される日時情報を取得する配布先情報取得手段と、
前記配布先情報取得手段により取得された配布先情報、分散情報名及び日時情報からなる配布ログ情報を生成する第3ログ情報生成手段と、
前記秘密分散ログ情報、前記データ抹消ログ情報及び前記配布ログ情報をそれぞれ前記ログファイルに書き込むログファイル書込手段と
を備えたことを特徴とする秘密分散システム。
【請求項5】
秘密情報を分散させたn個の分散情報を個別に配布し、前記各分散情報のうちのk個の分散情報を収集して前記秘密情報を外部記憶媒体内に復元可能な(k,n)型の秘密分散方式を用いており、着脱自在に保持する1個の前記外部記憶媒体と、離れて配置されるn−2台の情報記憶装置とに送受信可能なクライアント装置であって、
配布される1個の分散情報を記憶するための分散情報記憶手段と、
前記(k,n)型の秘密分散方式に基づいて、前記秘密情報からn個の分散情報を生成する分散情報生成手段と、
前記配布より前に、複数回の上書き処理を含むデータ抹消処理を前記外部記憶媒体に実行するデータ抹消手段と、
前記データ抹消処理の実行後、前記生成されたn個の分散情報を前記分散情報記憶手段、前記外部記憶媒体及び前記各情報記憶装置に個別に配布する配布手段と
を備えたことを特徴とするクライアント装置。
【請求項6】
請求項5に記載のクライアント装置において、
前記外部記憶媒体としては、分散情報が記憶される第1記憶装置と、秘密情報が記憶される第2記憶装置とを備えている場合、
前記データ抹消手段は、前記データ抹消処理を前記第2記憶装置に実行することを特徴とするクライアント装置。
【請求項7】
秘密情報を分散させたn個の分散情報を個別に配布し、前記各分散情報のうちのk個の分散情報を収集して前記秘密情報を復元可能な(k,n)型の秘密分散方式を用いており、着脱自在に保持する1個の外部記憶媒体と、離れて配置されるn−2台の情報記憶装置とに送受信可能なクライアント装置であって、
配布される1個の分散情報を記憶するための分散情報記憶手段と、
復元される秘密情報を記憶するための秘密情報記憶手段と、
前記配布された分散情報のうち、前記外部記憶媒体に配布された1個の分散情報を含むk個の分散情報を収集する収集手段と、
前記(k,n)型の秘密分散方式に基づいて、前記収集手段により収集されたk個の分散情報から秘密情報を復元する復元手段と、
前記復元された秘密情報を前記秘密情報記憶手段のみに書き込む秘密情報書込手段と、
前記(k,n)型の秘密分散方式に基づいて、前記秘密情報記憶手段内の秘密情報からn個の分散情報を生成する分散情報生成手段と、
前記生成されたn個の分散情報を前記分散情報記憶手段、前記外部記憶媒体及び前記各情報記憶装置に個別に配布する配布手段と、
前記配布手段による配布の後、複数回の上書き処理を含むデータ抹消処理を前記秘密情報記憶手段に実行するデータ抹消手段と
を備えたことを特徴とするクライアント装置。
【請求項8】
請求項5乃至請求項7のいずれか1項に記載のクライアント装置において、
ログファイルが記憶されるログファイル記憶手段と、
日時情報を生成する日時情報生成手段と、
前記分散情報生成手段が分散情報を生成したとき、前記分散情報生成手段から秘密分散方式名と前記秘密情報に含まれる秘密情報名とを取得すると共に、前記日時情報生成手段により生成される日時情報を取得する秘密情報名取得手段と、
前記秘密情報名取得手段により取得された秘密情報名及び日時情報からなる秘密分散ログ情報を生成する第1ログ情報生成手段と、
前記データ抹消手段がデータ抹消処理を実行したとき、前記データ抹消手段からデータ抹消処理方式名とデータ抹消処理の実行先を示す抹消先情報とを取得すると共に、前記日時情報生成手段により生成される日時情報を取得する抹消処理情報取得手段と、
前記抹消処理情報取得手段により取得されたデータ抹消処理方式名、抹消先情報及び日時情報からなるデータ抹消ログ情報を生成する第2ログ情報生成手段と、
前記配布手段が分散情報を配布したとき、前記配布手段から分散情報の配布先を示す配布先情報と前記分散情報に含まれる分散情報名とを取得すると共に、前記日時情報生成手段により生成される日時情報を取得する配布先情報取得手段と、
前記配布先情報取得手段により取得された配布先情報、分散情報名及び日時情報からなる配布ログ情報を生成する第3ログ情報生成手段と、
前記秘密分散ログ情報、前記データ抹消ログ情報及び前記配布ログ情報をそれぞれ前記ログファイルに書き込むログファイル書込手段と
を備えたことを特徴とするクライアント装置。
【請求項9】
秘密情報を分散させたn個の分散情報を個別に配布し、前記各分散情報のうちのk個の分散情報を収集して前記秘密情報を外部記憶媒体内に復元可能な(k,n)型の秘密分散方式を用いており、着脱自在に保持する1個の前記外部記憶媒体と、離れて配置されるn−2台の情報記憶装置とに送受信可能なクライアント装置のプログラムであって、
前記クライアント装置のコンピュータを、
配布される1個の分散情報を記憶するための分散情報記憶手段、
前記(k,n)型の秘密分散方式に基づいて、前記秘密情報からn個の分散情報を生成する分散情報生成手段、
前記配布より前に、複数回の上書き処理を含むデータ抹消処理を前記外部記憶媒体に実行するデータ抹消手段、
前記データ抹消処理の実行後、前記生成されたn個の分散情報を前記分散情報記憶手段、前記外部記憶媒体及び前記各情報記憶装置に個別に配布する配布手段、
として機能させるためのプログラム。
【請求項10】
請求項9に記載のプログラムにおいて、
前記外部記憶媒体としては、分散情報が記憶される第1記憶装置と、秘密情報が記憶される第2記憶装置とを備えている場合、
前記データ抹消手段は、前記データ抹消処理を前記第2記憶装置に実行することを特徴とするプログラム。
【請求項11】
秘密情報を分散させたn個の分散情報を個別に配布し、前記各分散情報のうちのk個の分散情報を収集して前記秘密情報を復元可能な(k,n)型の秘密分散方式を用いており、着脱自在に保持する1個の外部記憶媒体と、離れて配置されるn−2台の情報記憶装置とに送受信可能なクライアント装置のプログラムであって、
前記クライアント装置のコンピュータを、
配布される1個の分散情報を記憶するための分散情報記憶手段、
復元される秘密情報を記憶するための秘密情報記憶手段、
前記配布された分散情報のうち、前記外部記憶媒体に配布された1個の分散情報を含むk個の分散情報を収集する収集手段、
前記(k,n)型の秘密分散方式に基づいて、前記収集手段により収集されたk個の分散情報から秘密情報を復元する復元手段、
前記復元された秘密情報を前記秘密情報記憶手段のみに書き込む秘密情報書込手段と、
前記(k,n)型の秘密分散方式に基づいて、前記秘密情報記憶手段内の秘密情報からn個の分散情報を生成する分散情報生成手段、
前記生成されたn個の分散情報を前記分散情報記憶手段、前記外部記憶媒体及び前記各情報記憶装置に個別に配布する配布手段、
前記配布手段による配布の後、複数回の上書き処理を含むデータ抹消処理を前記秘密情報記憶手段に実行するデータ抹消手段、
を備えたことを特徴とするプログラム。
【請求項12】
請求項9乃至請求項11のいずれか1項に記載のプログラムにおいて、
ログファイルが記憶されるログファイル記憶手段、
日時情報を生成する日時情報生成手段、
前記分散情報生成手段が分散情報を生成したとき、前記分散情報生成手段から秘密分散方式名と前記秘密情報に含まれる秘密情報名とを取得すると共に、前記日時情報生成手段により生成される日時情報を取得する秘密情報名取得手段、
前記秘密情報名取得手段により取得された秘密情報名及び日時情報からなる秘密分散ログ情報を生成する第1ログ情報生成手段、
前記データ抹消手段がデータ抹消処理を実行したとき、前記データ抹消手段からデータ抹消処理方式名とデータ抹消処理の実行先を示す抹消先情報とを取得すると共に、前記日時情報生成手段により生成される日時情報を取得する抹消処理情報取得手段、
前記抹消処理情報取得手段により取得されたデータ抹消処理方式名、抹消先情報及び日時情報からなるデータ抹消ログ情報を生成する第2ログ情報生成手段、
前記配布手段が分散情報を配布したとき、前記配布手段から分散情報の配布先を示す配布先情報と前記分散情報に含まれる分散情報名とを取得すると共に、前記日時情報生成手段により生成される日時情報を取得する配布先情報取得手段、
前記配布先情報取得手段により取得された配布先情報、分散情報名及び日時情報からなる配布ログ情報を生成する第3ログ情報生成手段、
前記秘密分散ログ情報、前記データ抹消ログ情報及び前記配布ログ情報をそれぞれ前記ログファイルに書き込むログファイル書込手段、
を備えたことを特徴とするプログラム。
【請求項1】
秘密情報を分散させたn個の分散情報を個別に配布し且つ収集可能なクライアント装置と、
前記クライアント装置に着脱自在に保持され、当該クライアント装置から読出/書込可能な1個の外部記憶媒体と、
前記クライアント装置から送受信可能なn−2台の情報記憶装置とを備え、
前記クライアント装置が1個の分散情報を保持し、残りのn−1個の分散情報が前記外部記憶媒体及び前記各情報記憶装置に個別に配布されたとき、n個の分散情報のうちのk個の分散情報から前記秘密情報を外部記憶媒体内に復元可能な(k,n)型の秘密分散システムであって、
前記クライアント装置は、
配布された分散情報を記憶するための分散情報記憶手段と、
前記(k,n)型の秘密分散方式に基づいて、前記秘密情報からn個の分散情報を生成する分散情報生成手段と、
前記配布より前に、複数回の上書き処理を含むデータ抹消処理を前記外部記憶媒体に実行するデータ抹消手段と、
前記データ抹消処理の実行後、前記生成されたn個の分散情報を前記分散情報記憶手段、前記外部記憶媒体及び前記各情報記憶装置に個別に配布する配布手段と
を備えたことを特徴とする秘密分散システム。
【請求項2】
請求項1に記載の秘密分散システムにおいて、
前記外部記憶媒体は、分散情報が記憶される第1記憶装置と、秘密情報が記憶される第2記憶装置とを備え、
前記データ抹消手段は、前記データ抹消処理を前記第2記憶装置に実行することを特徴とする秘密分散システム。
【請求項3】
秘密情報を分散させたn個の分散情報を個別に配布し且つ収集可能なクライアント装置と、
前記クライアント装置に着脱自在に保持され、当該クライアント装置から読出/書込可能な1個の外部記憶媒体と、
前記クライアント装置から送受信可能なn−2台の情報記憶装置とを備え、
前記クライアント装置が1個の分散情報を保持し、残りのn−1個の分散情報が前記外部記憶媒体及び前記各情報記憶装置に個別に配布されたとき、n個の分散情報のうちのk個の分散情報から前記秘密情報を復元可能な(k,n)型の秘密分散システムであって、
前記クライアント装置は、
配布された分散情報を記憶するための分散情報記憶手段と、
復元される秘密情報を記憶するための秘密情報記憶手段と、
前記配布された分散情報のうち、前記外部記憶媒体に配布された1個の分散情報を含むk個の分散情報を収集する収集手段と、
前記(k,n)型の秘密分散方式に基づいて、前記収集されたk個の分散情報から秘密情報を復元する復元手段と、
前記復元された秘密情報を前記秘密情報記憶手段のみに書き込む秘密情報書込手段と、
前記(k,n)型の秘密分散方式に基づいて、前記秘密情報記憶手段内の秘密情報からn個の分散情報を生成する分散情報生成手段と、
前記生成されたn個の分散情報を前記分散情報記憶手段、前記外部記憶媒体及び前記各情報記憶装置に個別に配布する配布手段と、
前記配布手段による配布の後、複数回の上書き処理を含むデータ抹消処理を前記秘密情報記憶手段に実行するデータ抹消手段と
を備えたことを特徴とする秘密分散システム。
【請求項4】
請求項1乃至請求項3のいずれか1項に記載の秘密分散システムにおいて、
前記クライアント装置は、
ログファイルが記憶されるログファイル記憶手段と、
日時情報を生成する日時情報生成手段と、
前記分散情報生成手段が分散情報を生成したとき、前記分散情報生成手段から秘密分散方式名と前記秘密情報に含まれる秘密情報名とを取得すると共に、前記日時情報生成手段により生成される日時情報を取得する秘密情報名取得手段と、
前記秘密情報名取得手段により取得された秘密分散方式名、秘密情報名及び日時情報からなる秘密分散ログ情報を生成する第1ログ情報生成手段と、
前記データ抹消手段がデータ抹消処理を実行したとき、前記データ抹消手段からデータ抹消処理方式名とデータ抹消処理の実行先を示す抹消先情報とを取得すると共に、前記日時情報生成手段により生成される日時情報を取得する抹消処理情報取得手段と、
前記抹消処理情報取得手段により取得されたデータ抹消処理方式名、抹消先情報及び日時情報からなるデータ抹消ログ情報を生成する第2ログ情報生成手段と、
前記配布手段が分散情報を配布したとき、前記配布手段から分散情報の配布先を示す配布先情報と前記分散情報に含まれる分散情報名とを取得すると共に、前記日時情報生成手段により生成される日時情報を取得する配布先情報取得手段と、
前記配布先情報取得手段により取得された配布先情報、分散情報名及び日時情報からなる配布ログ情報を生成する第3ログ情報生成手段と、
前記秘密分散ログ情報、前記データ抹消ログ情報及び前記配布ログ情報をそれぞれ前記ログファイルに書き込むログファイル書込手段と
を備えたことを特徴とする秘密分散システム。
【請求項5】
秘密情報を分散させたn個の分散情報を個別に配布し、前記各分散情報のうちのk個の分散情報を収集して前記秘密情報を外部記憶媒体内に復元可能な(k,n)型の秘密分散方式を用いており、着脱自在に保持する1個の前記外部記憶媒体と、離れて配置されるn−2台の情報記憶装置とに送受信可能なクライアント装置であって、
配布される1個の分散情報を記憶するための分散情報記憶手段と、
前記(k,n)型の秘密分散方式に基づいて、前記秘密情報からn個の分散情報を生成する分散情報生成手段と、
前記配布より前に、複数回の上書き処理を含むデータ抹消処理を前記外部記憶媒体に実行するデータ抹消手段と、
前記データ抹消処理の実行後、前記生成されたn個の分散情報を前記分散情報記憶手段、前記外部記憶媒体及び前記各情報記憶装置に個別に配布する配布手段と
を備えたことを特徴とするクライアント装置。
【請求項6】
請求項5に記載のクライアント装置において、
前記外部記憶媒体としては、分散情報が記憶される第1記憶装置と、秘密情報が記憶される第2記憶装置とを備えている場合、
前記データ抹消手段は、前記データ抹消処理を前記第2記憶装置に実行することを特徴とするクライアント装置。
【請求項7】
秘密情報を分散させたn個の分散情報を個別に配布し、前記各分散情報のうちのk個の分散情報を収集して前記秘密情報を復元可能な(k,n)型の秘密分散方式を用いており、着脱自在に保持する1個の外部記憶媒体と、離れて配置されるn−2台の情報記憶装置とに送受信可能なクライアント装置であって、
配布される1個の分散情報を記憶するための分散情報記憶手段と、
復元される秘密情報を記憶するための秘密情報記憶手段と、
前記配布された分散情報のうち、前記外部記憶媒体に配布された1個の分散情報を含むk個の分散情報を収集する収集手段と、
前記(k,n)型の秘密分散方式に基づいて、前記収集手段により収集されたk個の分散情報から秘密情報を復元する復元手段と、
前記復元された秘密情報を前記秘密情報記憶手段のみに書き込む秘密情報書込手段と、
前記(k,n)型の秘密分散方式に基づいて、前記秘密情報記憶手段内の秘密情報からn個の分散情報を生成する分散情報生成手段と、
前記生成されたn個の分散情報を前記分散情報記憶手段、前記外部記憶媒体及び前記各情報記憶装置に個別に配布する配布手段と、
前記配布手段による配布の後、複数回の上書き処理を含むデータ抹消処理を前記秘密情報記憶手段に実行するデータ抹消手段と
を備えたことを特徴とするクライアント装置。
【請求項8】
請求項5乃至請求項7のいずれか1項に記載のクライアント装置において、
ログファイルが記憶されるログファイル記憶手段と、
日時情報を生成する日時情報生成手段と、
前記分散情報生成手段が分散情報を生成したとき、前記分散情報生成手段から秘密分散方式名と前記秘密情報に含まれる秘密情報名とを取得すると共に、前記日時情報生成手段により生成される日時情報を取得する秘密情報名取得手段と、
前記秘密情報名取得手段により取得された秘密情報名及び日時情報からなる秘密分散ログ情報を生成する第1ログ情報生成手段と、
前記データ抹消手段がデータ抹消処理を実行したとき、前記データ抹消手段からデータ抹消処理方式名とデータ抹消処理の実行先を示す抹消先情報とを取得すると共に、前記日時情報生成手段により生成される日時情報を取得する抹消処理情報取得手段と、
前記抹消処理情報取得手段により取得されたデータ抹消処理方式名、抹消先情報及び日時情報からなるデータ抹消ログ情報を生成する第2ログ情報生成手段と、
前記配布手段が分散情報を配布したとき、前記配布手段から分散情報の配布先を示す配布先情報と前記分散情報に含まれる分散情報名とを取得すると共に、前記日時情報生成手段により生成される日時情報を取得する配布先情報取得手段と、
前記配布先情報取得手段により取得された配布先情報、分散情報名及び日時情報からなる配布ログ情報を生成する第3ログ情報生成手段と、
前記秘密分散ログ情報、前記データ抹消ログ情報及び前記配布ログ情報をそれぞれ前記ログファイルに書き込むログファイル書込手段と
を備えたことを特徴とするクライアント装置。
【請求項9】
秘密情報を分散させたn個の分散情報を個別に配布し、前記各分散情報のうちのk個の分散情報を収集して前記秘密情報を外部記憶媒体内に復元可能な(k,n)型の秘密分散方式を用いており、着脱自在に保持する1個の前記外部記憶媒体と、離れて配置されるn−2台の情報記憶装置とに送受信可能なクライアント装置のプログラムであって、
前記クライアント装置のコンピュータを、
配布される1個の分散情報を記憶するための分散情報記憶手段、
前記(k,n)型の秘密分散方式に基づいて、前記秘密情報からn個の分散情報を生成する分散情報生成手段、
前記配布より前に、複数回の上書き処理を含むデータ抹消処理を前記外部記憶媒体に実行するデータ抹消手段、
前記データ抹消処理の実行後、前記生成されたn個の分散情報を前記分散情報記憶手段、前記外部記憶媒体及び前記各情報記憶装置に個別に配布する配布手段、
として機能させるためのプログラム。
【請求項10】
請求項9に記載のプログラムにおいて、
前記外部記憶媒体としては、分散情報が記憶される第1記憶装置と、秘密情報が記憶される第2記憶装置とを備えている場合、
前記データ抹消手段は、前記データ抹消処理を前記第2記憶装置に実行することを特徴とするプログラム。
【請求項11】
秘密情報を分散させたn個の分散情報を個別に配布し、前記各分散情報のうちのk個の分散情報を収集して前記秘密情報を復元可能な(k,n)型の秘密分散方式を用いており、着脱自在に保持する1個の外部記憶媒体と、離れて配置されるn−2台の情報記憶装置とに送受信可能なクライアント装置のプログラムであって、
前記クライアント装置のコンピュータを、
配布される1個の分散情報を記憶するための分散情報記憶手段、
復元される秘密情報を記憶するための秘密情報記憶手段、
前記配布された分散情報のうち、前記外部記憶媒体に配布された1個の分散情報を含むk個の分散情報を収集する収集手段、
前記(k,n)型の秘密分散方式に基づいて、前記収集手段により収集されたk個の分散情報から秘密情報を復元する復元手段、
前記復元された秘密情報を前記秘密情報記憶手段のみに書き込む秘密情報書込手段と、
前記(k,n)型の秘密分散方式に基づいて、前記秘密情報記憶手段内の秘密情報からn個の分散情報を生成する分散情報生成手段、
前記生成されたn個の分散情報を前記分散情報記憶手段、前記外部記憶媒体及び前記各情報記憶装置に個別に配布する配布手段、
前記配布手段による配布の後、複数回の上書き処理を含むデータ抹消処理を前記秘密情報記憶手段に実行するデータ抹消手段、
を備えたことを特徴とするプログラム。
【請求項12】
請求項9乃至請求項11のいずれか1項に記載のプログラムにおいて、
ログファイルが記憶されるログファイル記憶手段、
日時情報を生成する日時情報生成手段、
前記分散情報生成手段が分散情報を生成したとき、前記分散情報生成手段から秘密分散方式名と前記秘密情報に含まれる秘密情報名とを取得すると共に、前記日時情報生成手段により生成される日時情報を取得する秘密情報名取得手段、
前記秘密情報名取得手段により取得された秘密情報名及び日時情報からなる秘密分散ログ情報を生成する第1ログ情報生成手段、
前記データ抹消手段がデータ抹消処理を実行したとき、前記データ抹消手段からデータ抹消処理方式名とデータ抹消処理の実行先を示す抹消先情報とを取得すると共に、前記日時情報生成手段により生成される日時情報を取得する抹消処理情報取得手段、
前記抹消処理情報取得手段により取得されたデータ抹消処理方式名、抹消先情報及び日時情報からなるデータ抹消ログ情報を生成する第2ログ情報生成手段、
前記配布手段が分散情報を配布したとき、前記配布手段から分散情報の配布先を示す配布先情報と前記分散情報に含まれる分散情報名とを取得すると共に、前記日時情報生成手段により生成される日時情報を取得する配布先情報取得手段、
前記配布先情報取得手段により取得された配布先情報、分散情報名及び日時情報からなる配布ログ情報を生成する第3ログ情報生成手段、
前記秘密分散ログ情報、前記データ抹消ログ情報及び前記配布ログ情報をそれぞれ前記ログファイルに書き込むログファイル書込手段、
を備えたことを特徴とするプログラム。
【図1】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【図2】
【図3】
【図4】
【図5】
【図6】
【図7】
【図8】
【図9】
【図10】
【図11】
【図12】
【図13】
【公開番号】特開2007−300157(P2007−300157A)
【公開日】平成19年11月15日(2007.11.15)
【国際特許分類】
【出願番号】特願2006−123806(P2006−123806)
【出願日】平成18年4月27日(2006.4.27)
【出願人】(000003078)株式会社東芝 (54,554)
【出願人】(301063496)東芝ソリューション株式会社 (1,478)
【Fターム(参考)】
【公開日】平成19年11月15日(2007.11.15)
【国際特許分類】
【出願日】平成18年4月27日(2006.4.27)
【出願人】(000003078)株式会社東芝 (54,554)
【出願人】(301063496)東芝ソリューション株式会社 (1,478)
【Fターム(参考)】
[ Back to top ]