[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

JP2011248711A - Data management system with secret sharing - Google Patents

Data management system with secret sharing Download PDF

Info

Publication number
JP2011248711A
JP2011248711A JP2010122491A JP2010122491A JP2011248711A JP 2011248711 A JP2011248711 A JP 2011248711A JP 2010122491 A JP2010122491 A JP 2010122491A JP 2010122491 A JP2010122491 A JP 2010122491A JP 2011248711 A JP2011248711 A JP 2011248711A
Authority
JP
Japan
Prior art keywords
information
group
secret sharing
user
document file
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2010122491A
Other languages
Japanese (ja)
Inventor
Kenichiro Morinaga
謙一郎 盛永
Yasunori Ikeda
泰徳 池田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nomura Research Institute Ltd
Original Assignee
Nomura Research Institute Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nomura Research Institute Ltd filed Critical Nomura Research Institute Ltd
Priority to JP2010122491A priority Critical patent/JP2011248711A/en
Publication of JP2011248711A publication Critical patent/JP2011248711A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Storage Device Security (AREA)

Abstract

PROBLEM TO BE SOLVED: To provide a technology to safely store and transmit a document file handled between users of a group such as a company by a secret sharing with respect to a data management system with the secret sharing.SOLUTION: A data management system comprises an ASP server 10 providing a service for a group such as a company. The ASP server 10 comprises a labeling management part 11 managing a process to attach label information chosen by a user to a document file in a user terminal 20 of a group, a secret sharing management part 15 providing a service for fragmentation processing (secret sharing) of a file in the user terminal 20 and for restoration processing for use, and a check part 16 for checking an appropriateness of the restoration at the restoration processing. Also, the system has a means to associate disclosure range information of each group with the label information. The check part 16 determines whether an access source is in the disclosure range or not toward an access for a restoration request and does not perform restoration if the source is not included.

Description

本発明は、企業や個人等が扱う文書ファイル等のデータ(情報資産)の安全な保管や伝送などを実現するためのデータ管理システムの技術に関し、特に、秘密分散技術を用いたデータ管理システムに係わり、企業等の重要なデータの保護、情報漏洩対策などを実現するための技術に関する。   The present invention relates to a data management system technology for realizing safe storage and transmission of data (information assets) such as document files handled by companies and individuals, and more particularly to a data management system using secret sharing technology. In particular, it relates to technology for realizing important data protection, information leakage countermeasures, and the like for companies.

企業等の情報漏洩対策などを実現するための有効な技術として、秘密分散技術を用いたデータ管理システムがある。企業等のユーザ(社員等)の端末に存在する一般的なデータ(文書ファイル)を対象とし、対象データ(元データ)を複数の断片(分割データ)に分割して保管や伝送を行う機能を有する。断片の形成は、ビット単位でのデータの並び替え等によりなされ、個々の断片は秘密化された状態となる。即ち、紙のシュレッダーの技術と同様に情報を分断するものであるが、さらに各断片は、元情報の一部を判読することもできず第三者にとって無意味な情報・非重要情報の状態となる。複数の断片(セット)は、復元のために必要な情報(「復元用情報」)と共に、複数の場所に保存される。特に、複数の断片(セット)を、ネットワーク上で複数のデータセンタのサーバ等に分散して保管や伝送を行うことにより、セキュリティを高めることができる。断片から文書ファイル(元データ)を復元する際には、複数の断片(セット)を集めて復元用情報に従った復元処理(データの並べ直し等)により復元ができ、ユーザにより閲覧等が可能になる。特に、元データに例えば個人情報等の重要な情報が含まれていたとしても、各断片は秘密化状態であり分散管理されるため、第三者により各断片単体からは重要情報を読み取ることはできず、元データの復元もできない。   There is a data management system using secret sharing technology as an effective technology for realizing information leakage countermeasures for companies and the like. A function for storing and transmitting data by dividing the target data (original data) into multiple pieces (divided data) for general data (document files) existing on the terminals of users (employees) of companies, etc. Have. Fragments are formed by rearranging data in bit units, and individual fragments are kept secret. In other words, the information is divided in the same way as with the paper shredder technology, but each fragment is also a state of information that is meaningless to the third party and cannot be read by the third party. It becomes. A plurality of pieces (sets) are stored in a plurality of locations together with information necessary for restoration (“restoration information”). In particular, security can be improved by distributing and storing and transmitting a plurality of fragments (sets) to a plurality of data center servers on the network. When restoring document files (original data) from fragments, multiple fragments (sets) can be collected and restored by restoration processing (data rearrangement, etc.) according to the restoration information, which can be viewed by the user become. In particular, even if important information such as personal information is included in the original data, since each fragment is in a confidential state and managed in a distributed manner, it is not possible to read important information from each fragment alone by a third party. It is not possible to restore the original data.

企業等のユーザは、上記データ管理システム(断片化・復元の機能)を利用することで、あまり意識する必要無く、文書ファイルを秘密化状態で安全に扱うことができる。例えば、社員が自身の端末で重要データ(社内で扱う非公開情報など)を安全に操作することができる。例えばファイル保存時には外部ネットワーク上に断片の状態で安全に保管され、ファイルの閲覧・編集時には自動的に復元がされる。また企業間(ユーザ間)で重要データを一方から他方へ安全な状態で提供すること(ネットワーク上の保管・伝送や、媒体に格納して郵送・手渡し等)ができる。   By using the data management system (fragmentation / restoration function), a user of a company or the like can safely handle a document file in a confidential state without much awareness. For example, an employee can safely operate important data (such as non-public information handled in the company) with his / her terminal. For example, when a file is saved, it is safely stored in a fragmented state on an external network, and automatically restored when a file is viewed or edited. It is also possible to provide important data between companies (between users) from one side to the other in a safe state (storage / transmission on a network, mailing / handing by storing in a medium, etc.).

上記秘密分散技術によるデータ管理システムに係わる前提技術として、特許第4039810号(特許文献1)(電子情報の安全確保方法)がある。特許文献1では、GFI電子割符(登録商標)技術について記載されている。   Japanese Patent No. 4039810 (Patent Document 1) (method for ensuring the security of electronic information) is a prerequisite technology related to the data management system based on the secret sharing technique. Patent Document 1 describes GFI electronic tally (registered trademark) technology.

また、前提技術として、文書ファイルに対してユーザによりラベル情報を付与するラベリング管理システム(ラベリング管理機能)がある(非特許文献1)。ユーザが端末のアプリケーション等で作成した文書ファイル等のデータ自体に対し、当該ユーザ自身により、当該文書の重要度などの性質に応じたラベル情報を選択付与する。プログラムにより当該データに対してラベル情報の付与処理が行われる。ラベルは例えば「極秘」「社内限」「関係者限」といったものである。これにより、企業等のグループ単位におけるデータ(情報資産)の識別・整理のレベルを高め、情報流出防止等のセキュリティのレベルを高めることができる。   Further, as a prerequisite technology, there is a labeling management system (labeling management function) for giving label information to a document file by a user (Non-Patent Document 1). The user himself / herself selects and assigns label information corresponding to the nature of the document, such as the importance of the document, to the data itself such as the document file created by the application of the terminal. Label information is added to the data by the program. The labels are, for example, “confidential”, “in-house limit”, “related party limit”. As a result, it is possible to increase the level of identification and organization of data (information assets) in group units such as companies, and to increase the level of security such as prevention of information leakage.

特許第4039810号Patent No. 4039810

NRIセキュアテクノロジーズ株式会社、“SecureCube/Labeling”、<URL:http://www.nri-secure.co.jp/service/cube/labeling.html>NRI Secure Technologies, Inc., “SecureCube / Labeling”, <URL: http://www.nri-secure.co.jp/service/cube/labeling.html>

従来の秘密分散によるデータ管理システムに係わり、企業等の情報処理システム(ユーザの端末)で、前述のように断片化・復元の機能を利用することで、文書ファイルの安全な保管や伝送などが概ね実現できるが、ユーザの操作ミスや、第三者による不正利用などによる情報流出リスク等は存在する。例えば秘密分散による文書ファイル(断片)の提供・送付先を誤った場合や、提供ファイル(断片)自体を誤った場合などには、当該文書ファイルに関係の無い企業等のユーザによる復元など、不適切な復元(取得・利用)の発生の可能性がある。特に、重要データを含む文書ファイルの場合には、情報漏洩に関する影響が非常に大きい。   It is related to a conventional data management system based on secret sharing. By using the fragmentation / restoration function as described above in an information processing system (user terminal) of a company, the document file can be safely stored and transmitted. Although it can be generally realized, there are risks of information leakage due to user operation mistakes and unauthorized use by third parties. For example, if the document file (fragment) is provided / delivered by secret sharing, or if the provided file (fragment) itself is incorrect, restoration by a user of a company unrelated to the document file is not possible. Appropriate restoration (acquisition / use) may occur. In particular, in the case of a document file including important data, the influence on information leakage is very large.

上記を鑑み、本発明の主な目的は、秘密分散によるデータ管理システムに係わり、企業等のグループのユーザ間で扱われる文書ファイルを秘密分散により安全に保管・伝送でき、秘密分散によるファイル(断片)の提供・送付先を誤った場合などにおいても、当該ファイルの不適切な復元(取得・利用)を防止することができる技術を提供することである。即ちこれにより、例えば企業等の情報流出リスクを下げ、情報漏洩等を防止することができる技術を提供することである。   In view of the above, a main object of the present invention is related to a data management system using secret sharing, and can securely store and transmit document files handled between users of a group such as a company. ) To provide a technology that can prevent improper restoration (acquisition / use) of the file even when the provision / delivery destination is wrong. In other words, for example, it is to provide a technology capable of reducing the risk of information leakage of a company or the like and preventing information leakage or the like.

前記目的を達成するために、本発明の代表的な実施の形態は、秘密分散を用いたデータ管理システムに係わり、企業等のグループの情報処理システム(ユーザの端末)で扱うデータ(文書ファイル)を対象とした断片化及び復元の機能・サービス(以下「秘密分散サービス」等と称する)を提供するものであり、以下に示す構成を有することを特徴とする。   To achieve the above object, a representative embodiment of the present invention relates to a data management system using secret sharing, and data (document file) handled by an information processing system (user terminal) of a group such as a company. Is provided with a fragmentation and restoration function / service (hereinafter referred to as “secret sharing service” or the like), and has the following configuration.

例えば、本秘密分散によるデータ管理システムは、複数のユーザの端末を含むグループの情報処理システムを対象としてサービスを提供するサーバ装置を含むサービス事業者システムを有する。前記サーバ装置は、前記グループのユーザの端末に対して、対象の文書ファイルを秘密分散技術により断片化する機能と、当該断片から文書ファイルを復元する機能と、を含む秘密分散サービス処理を提供する秘密分散管理部を有する。前記グループのユーザの端末は、前記サーバ装置の秘密分散管理部にアクセスして前記秘密分散サービス処理を受ける秘密分散処理部を有する。前記サーバ装置は、前記秘密分散サービス処理における前記復元の際に、復元の可否をチェックして不適切な復元を防止する処理を行うチェック部を備える。前記サーバ装置は、ユーザにより設定可能な管理情報として、グループ単位ごとに、ID、ドメイン情報またはIPアドレス情報を含む、グループ情報を有する。前記サーバ装置は、ユーザにより設定可能な管理情報として、前記グループのユーザの端末での文書ファイルに対して、公開範囲の情報をグループ単位で関連付ける、公開範囲情報を有する。   For example, this secret sharing data management system has a service provider system including a server device that provides a service to an information processing system of a group including a plurality of user terminals. The server device provides a secret sharing service process including a function of fragmenting a target document file by a secret sharing technique and a function of restoring the document file from the fragment to a user terminal of the group. It has a secret sharing manager. The terminal of the user of the group has a secret sharing processing unit that accesses the secret sharing management unit of the server device and receives the secret sharing service process. The server device includes a check unit that checks whether or not restoration is possible and prevents inappropriate restoration at the time of restoration in the secret sharing service process. The server device has group information including ID, domain information, or IP address information for each group as management information that can be set by a user. The server device has public range information associating public range information in group units with document files on the user terminals of the group as management information that can be set by the user.

前記文書ファイルの断片を持つ前記グループの情報処理システムは、当該断片から文書ファイルを復元する際、前記サーバ装置へアクセスして、アクセス元の情報と、当該断片または文書ファイルの情報と、を含む要求の情報を送信し、前記サーバ装置のチェック部は、前記管理情報に基づき、前記要求の情報における前記アクセス元のグループのIDまたはドメインまたはIPアドレスが、当該文書ファイルに関連付けられる公開範囲に含まれるか否かを判定し、前記サーバ装置の秘密分散管理部は、上記判定の結果に応じて、上記否の場合は、当該文書ファイルの復元処理を実行せず、上記含まれる場合は、当該復元処理を実行して、復元した文書ファイルを前記アクセス元のグループの情報処理システムが取得する。   The information processing system of the group having the fragment of the document file, when restoring the document file from the fragment, accesses the server device, and includes access source information and information of the fragment or document file. The request information is transmitted, and the check unit of the server device includes, based on the management information, the access source group ID or domain or IP address in the request information included in the disclosure range associated with the document file. The secret sharing management unit of the server device determines whether or not the document file is not restored in the case of the above in accordance with the result of the determination. The restoration process is executed, and the information processing system of the access source group acquires the restored document file.

また例えば、前記サーバ装置は、前記グループの各ユーザの端末に対して当該グループで利用するラベルの情報を管理するサービスを提供するラベリング管理部を有し、前記グループのユーザの端末は、前記サーバ装置のラベリング管理部にアクセスし、前記ラベルの情報を利用するための処理を行うラベリング処理部を有する。前記グループのユーザの端末は、前記サーバ装置の公開範囲情報に対して、前記ラベルと前記公開範囲との関連付けを設定する機能を有する。前記グループのユーザの端末では、前記ラベリング処理部により、前記文書ファイルに、前記ユーザにより選択されるラベルの情報を付与する。前記文書ファイルに付与されるラベルの情報は、前記断片化による断片にも付与される。   In addition, for example, the server device includes a labeling management unit that provides a service for managing information on labels used in the group to the terminals of the users of the group, and the terminals of the users of the group include the server A labeling processing unit that accesses a labeling management unit of the apparatus and performs processing for using the information of the label; The terminal of the user of the group has a function of setting an association between the label and the disclosure range for the disclosure range information of the server device. In the terminal of the user of the group, the labeling processing unit assigns information on a label selected by the user to the document file. The information on the label given to the document file is also given to the fragment by the fragmentation.

前記文書ファイルの断片を持つ前記グループの情報処理システムは、当該断片から文書ファイルを復元する際、前記サーバ装置へアクセスして、当該断片に付与されているラベルの情報を含む前記要求の情報を送信し、前記サーバ装置のチェック部は、前記管理情報に基づき、前記要求の情報における前記アクセス元のグループのIDまたはドメインまたはIPアドレスが、当該文書ファイルのラベルに関連付けられる公開範囲に含まれるか否かを判定する。   When the group information processing system having a fragment of the document file restores the document file from the fragment, the information processing system accesses the server device to obtain the request information including the label information attached to the fragment. And the check unit of the server device, based on the management information, whether the ID or domain or IP address of the access source group in the request information is included in the disclosure range associated with the label of the document file Determine whether or not.

本発明の代表的な実施の形態によれば、秘密分散によるデータ管理システムに係わり、企業等のグループのユーザ間で扱われる文書ファイルを秘密分散により安全に保管・伝送でき、秘密分散によるファイル(断片)の提供・送付先を誤った場合などにおいても、当該ファイルの不適切な復元(取得・利用)を防止することができる。即ちこれにより、例えば企業等の情報流出リスクを下げ、情報漏洩等を防止することができる。   According to a typical embodiment of the present invention, it is related to a data management system based on secret sharing, and a document file handled between users of a group such as a company can be safely stored and transmitted by secret sharing. Even when the provision / delivery destination of (fragment) is wrong, it is possible to prevent inappropriate restoration (acquisition / use) of the file. In other words, for example, it is possible to reduce the risk of information leakage of a company or the like and prevent information leakage or the like.

特に、従来技術ではできなかった、文書ファイル自体の性質と、提供先の企業等のグループ/ユーザ(復元者)との関連性に応じた復元のチェック・制御を実現できる。   In particular, it is possible to realize restoration check / control according to the nature of the document file itself and the relevance between the group / user (restoring person) of the provider company and the like, which could not be achieved with the prior art.

本発明の一実施の形態のシステム(秘密分散によるデータ管理システム)にに関する全体の構成を示す図である。It is a figure which shows the whole structure regarding the system (data management system by secret sharing) of one embodiment of this invention. 本システムの各部の構成例などを示す図である。It is a figure which shows the structural example etc. of each part of this system. 本システムのラベリング管理機能(及び公開範囲付与機能)に関する構成例、及びファイル提供側でのラベリング処理などを示す図である。It is a figure which shows the structural example regarding the labeling management function (and open range provision function) of this system, the labeling process by the file provision side, etc. 本システムのファイル提供側での断片化処理に関する構成例を示す図である。It is a figure which shows the structural example regarding the fragmentation process by the file provision side of this system. 本システムのファイル受け取り側での復元処理に関する構成例を示す図である。It is a figure which shows the structural example regarding the restoration process by the file reception side of this system. 本システムでの断片化処理の詳細例を示す図である。It is a figure which shows the detailed example of the fragmentation process in this system. 本システムでのラベリング時の画面例を示す図である。It is a figure which shows the example of a screen at the time of labeling by this system. 本システムでの設定及びラベリング時の画面例を示す図である。It is a figure which shows the example of a screen at the time of the setting in this system, and labeling.

以下、本発明の実施の形態(秘密分散によるデータ管理システム)を図面(図1〜図8)に基づいて詳細に説明する。なお説明上の記号として適宜、G:グループ、U:ユーザ、K:管理者、C:端末、F:ファイル(文書)、T:テンプレート、L:ラベル、d:断片、H:公開範囲、等とする。   Hereinafter, embodiments of the present invention (data management system based on secret sharing) will be described in detail with reference to the drawings (FIGS. 1 to 8). Note that G: group, U: user, K: administrator, C: terminal, F: file (document), T: template, L: label, d: fragment, H: disclosure range, etc. And

[概要]
本実施の形態のシステムは、構成要素として、(1)ラベリング管理機能、(2)秘密分散サービス(断片化・復元の機能)、(3)復元時チェック機能、(4)公開範囲Hを設定/付与する機能、等を有する。またASPサーバ10側で断片化・復元の主要処理を行う形態(端末20側は簡易処理)である。
[Overview]
The system according to the present embodiment sets (1) labeling management function, (2) secret sharing service (fragmentation / restoration function), (3) restoration check function, and (4) disclosure range H as constituent elements. / It has a function to give. Further, the ASP server 10 side performs a main process of fragmentation / restoration (the terminal 20 side is a simple process).

本システムでは、(1)企業等のグループのユーザによりデータ(文書ファイル)にラベル情報を付与するラベリングの管理を行うラベリング管理機能と、(2)企業等のグループのユーザのデータ(文書ファイル)を対象とした断片化(秘密分散)及び復元の機能(秘密分散サービス)と、を組み合わせたサービスを、各企業等のグループの情報処理システム(複数のユーザの端末)に対して提供する。   In this system, (1) a labeling management function for managing labeling that gives label information to data (document file) by a user of a group of companies, etc., and (2) data of a user of the group of companies (document file) A service combining a fragmentation (secret sharing) and restoration function (secret sharing service) targeted for a group is provided to an information processing system (terminals of a plurality of users) of a group such as each company.

そして本システムでは、(2)秘密分散サービスに係わり、(3)グループのユーザが断片からファイルを復元(取得・利用)する際のチェック機能を設け、不適切な復元を防止する。特に、(4)公開範囲Hを設定/付与する機能を利用して、付与ラベル情報により表される文書ファイル自体の重要度などの性質と、文書ファイルの提供先のグループとの関連性に応じた復元時のチェック・制御を実現する。文書ファイル毎に相応しい公開範囲H内からの復元を可能とする。   In this system, (2) a secret sharing service is provided, and (3) a check function when a user of the group restores (acquires and uses) a file from a fragment is provided to prevent inappropriate restoration. In particular, (4) using the function for setting / assigning the disclosure range H, depending on the nature of the importance of the document file itself represented by the assigned label information and the relevance to the group to which the document file is provided Realize checking and control during restoration. It is possible to restore from the appropriate disclosure range H for each document file.

(4)公開範囲Hを設定/付与する機能は、文書ファイルないしその付与ラベル情報に対して公開範囲H情報を企業等のグループ単位で関連付けることを可能とする手段・機能であり、この方式として、(a)方式:ASPサーバ10への設定機能、(b)方式:個別のユーザ端末20での付与機能(図2、公開範囲付与部40)、等を有し、いずれも利用可能である。公開範囲Hとは、当該文書ファイルに関する関係者、即ち閲覧・共有・公開等の範囲(対象)とするグループ(複数のユーザを含む)単位を示す。(4)の機能により、文書ファイル自体に公開範囲H情報を持たせる(関連付ける)ことができる。そして(3)の復元時チェックの際は、当該ファイルの提供先(復元要求のアクセス元)と、当該ファイルのラベルに関連付けられる公開範囲Hとを参照・比較して、復元の適切性を判定する。チェック結果に基づき復元の実行、許可等を制御する。   (4) The function to set / give the disclosure range H is a means / function that allows the disclosure range H information to be associated with a document file or its label information in units of groups such as companies. , (A) method: setting function to the ASP server 10, (b) method: granting function in individual user terminal 20 (FIG. 2, public range granting unit 40), etc., both of which can be used. . The disclosure range H indicates a group (including a plurality of users) related to a related party related to the document file, that is, a range (target) of browsing, sharing, and disclosure. With the function (4), the document file itself can be provided (associated) with the disclosure range H information. When the restoration check in (3) is performed, the appropriateness of restoration is determined by referring to and comparing the destination of the file (access source of the restoration request) and the disclosure range H associated with the label of the file. To do. Control execution and permission of restoration based on the check result.

[システム]
図1において、本システムの全体構成例を示している。ネットワーク(インターネット等)90上、サービスの対象となる複数の各々の企業などのグループ単位の情報処理システム(複数のユーザの端末20を含む)、それらに対してサービスを提供するサービス部(サービス事業者システム)100、及び複数のデータセンタ30等が接続される構成である。
[system]
FIG. 1 shows an example of the overall configuration of this system. An information processing system in units of groups (including a plurality of users' terminals 20) such as a plurality of companies to be serviced on a network (such as the Internet) 90, and a service section (service business) that provides services to them System) 100 and a plurality of data centers 30 are connected.

サービス部100は、サーバシステム等により構成され、ASPサーバ10、及びデータベース等による管理情報50等を有する。ASPサーバ10(ASP:アプリケーション・サービス・プロバイダ)は、ラベリング管理部11、秘密分散管理部15、チェック部16(復元時チェック部)、管理情報50等を有する。ASPサーバ10は、各処理機能(11等)を有するサーバ装置(群)で構成され、管理情報50を処理しつつ、端末20等からのアクセス(要求)に対してサービス処理を行う。なおASPサーバ10を含むサービス部100は、多数のアクセスも処理可能なように、必要に応じてサーバ多重化や負荷分散等の機能を備える。   The service unit 100 is configured by a server system or the like, and has an ASP server 10 and management information 50 by a database or the like. The ASP server 10 (ASP: application service provider) includes a labeling management unit 11, a secret sharing management unit 15, a check unit 16 (restoration check unit), management information 50, and the like. The ASP server 10 is composed of a server device (group) having each processing function (11 and the like), and performs service processing for access (request) from the terminal 20 and the like while processing the management information 50. The service unit 100 including the ASP server 10 is provided with functions such as server multiplexing and load distribution as necessary so that a large number of accesses can be processed.

本システムでは、ASPサーバ10により各グループ(ユーザの端末20)に対して提供するサービス・機能として、(1)ラベリング管理機能と、(2)秘密分散サービスと、を有する。特に(2)秘密分散サービスに係わる機能として、(3)復元時チェック機能を有する。   In this system, the ASP server 10 has (1) a labeling management function and (2) a secret sharing service as services / functions provided to each group (user terminal 20). In particular, (2) a function related to the secret sharing service has (3) a restoration check function.

(1)第1のサービスとして、各グループのユーザの文書ファイルに対するラベル付与(ラベリング)の統合管理のサービス(ラベリング管理機能)を提供する。各グループ単位での統一的なルール等によるラベリング管理を実現する。サービス部100で管理するので、各グループの情報処理システムでは専用サーバ設置等は不要である。本機能は、端末10側のラベリング処理部21(図2)と、ASPサーバ10のラベリング管理部11とで、連携的に通信処理を行うことにより実現される。   (1) As a first service, an integrated management service (labeling management function) for labeling (labeling) the document files of users in each group is provided. Realize labeling management based on uniform rules for each group. Since it is managed by the service unit 100, it is not necessary to install a dedicated server or the like in the information processing system of each group. This function is realized by performing communication processing cooperatively between the labeling processing unit 21 (FIG. 2) on the terminal 10 side and the labeling management unit 11 of the ASP server 10.

(2)第2のサービスとして、各グループのユーザの端末20で秘密分散による文書ファイルの安全な保管や伝送を実現する秘密分散サービスを提供する。本機能は、端末20の秘密分散処理部25(図2)と、ASPサーバ10の秘密分散管理部15とで、連携的に通信処理を行うことにより実現される。   (2) As a second service, a secret sharing service that realizes safe storage and transmission of document files by secret sharing at the terminal 20 of each group of users is provided. This function is realized by performing communication processing cooperatively between the secret sharing processing unit 25 (FIG. 2) of the terminal 20 and the secret sharing management unit 15 of the ASP server 10.

(3)復元時チェック機能は、(2)秘密分散サービスを利用してグループのユーザが秘密分散によるファイル(断片)を復元する際に、復元の適切性をチェックし、不適切な復元を防止する機能である。本機能は、ASPサーバ10の秘密分散管理部15と連携するチェック部16の処理により実現される。チェック処理では、当該ファイルのラベルに対して関連付けられる公開範囲H(グループ単位)の情報と、復元要求のアクセス元の情報との比較により判定する。例えば公開範囲Hに該当しないグループ(ユーザ)による復元(取得・利用)を不許可にする。   (3) Restoration check function (2) When a group user restores a secret file (fragment) using the secret sharing service, the appropriateness of restoration is checked to prevent improper restoration. It is a function to do. This function is realized by the processing of the check unit 16 that cooperates with the secret sharing management unit 15 of the ASP server 10. In the check process, the determination is made by comparing the information of the disclosure range H (group unit) associated with the label of the file and the access source information of the restoration request. For example, restoration (acquisition / use) by a group (user) not corresponding to the disclosure range H is not permitted.

図1で、クライアント側の情報処理システムにおいて、企業A,B,C,……といった各グループ単位G(GA,GB,GC,……)は、それぞれ複数のユーザUの端末C(20)を含んで成る。本例では、企業単位の場合を示しているが、公的な組織などの他のグループ単位も可能である。例えば企業A(グループGA)は、複数(n)のユーザU(UA1〜UAn)の端末C(CA1〜CAn)を含んで成る。また例えば各社の情報処理システムは、各端末20等が接続される社内LANを有する。また例えば、企業Aと企業Bは、所定の業務・プロジェクト等に関するコワーク(協働)関係を持つとし、これら企業(グループ)間でも特定のグループ単位を設定可能となっている。   In the information processing system on the client side, each group unit G (GA, GB, GC,...) Such as companies A, B, C,... Comprising. In this example, the case of a company unit is shown, but other group units such as a public organization are also possible. For example, the company A (group GA) includes terminals C (CA1 to CAn) of a plurality (n) of users U (UA1 to UAn). For example, each company's information processing system has an in-house LAN to which each terminal 20 or the like is connected. Further, for example, the company A and the company B have a coworking (collaboration) relationship regarding a predetermined business / project, and a specific group unit can be set between these companies (groups).

ユーザU(UA1等)は、社員やシステム管理者やグループ代表者等を含む。各ユーザUは、PCやモバイル機器などの情報処理装置である端末20(CA1等)を使用する。各端末20は、例えばPCの場合、社内LAN等でネットワーク90に接続される。また例えばモバイル機器の場合、無線通信網等を含むネットワーク90に接続される。そして各端末20はネットワーク90を介してASPサーバ10にアクセスし通信可能である。   User U (UA1 etc.) includes employees, system administrators, group representatives, and the like. Each user U uses a terminal 20 (CA1 or the like) which is an information processing apparatus such as a PC or a mobile device. For example, in the case of a PC, each terminal 20 is connected to the network 90 via an in-house LAN or the like. For example, in the case of a mobile device, it is connected to a network 90 including a wireless communication network. Each terminal 20 can access and communicate with the ASP server 10 via the network 90.

データセンタ30は、サーバシステム等により構成され、秘密分散サーバ31(KS)を備える。秘密分散サーバ31(KS)は、ASPサーバ10の秘密分散管理部15の部分と同様の機能を持ち、ASPサーバ10の秘密分散管理部15との間での連携的な処理に基づき、秘密分散によるデータ(断片d)を保管する機能を有する。   The data center 30 includes a server system and the like, and includes a secret sharing server 31 (KS). The secret sharing server 31 (KS) has the same function as that of the secret sharing management unit 15 of the ASP server 10 and is based on cooperative processing with the secret sharing management unit 15 of the ASP server 10. Has a function of storing data (fragment d).

[処理部]
図2において、本システム(図1)の各処理部などの構成例を示している。なお簡単のため各ユーザの端末20は同様の処理部(21等)を備える構成とする。
[Processing part]
FIG. 2 shows a configuration example of each processing unit of the present system (FIG. 1). For simplicity, each user's terminal 20 has a similar processing unit (21, etc.).

端末20は、ラベリング処理部21、秘密分散処理部25、Webブラウザ28、文書作成アプリケーション26、メールクライアント27、公開範囲付与部40等を備える。ユーザの端末20では、文書ファイルFの断片化(c1)により得られる1つの断片d(duとする)を保持する。   The terminal 20 includes a labeling processing unit 21, a secret sharing processing unit 25, a Web browser 28, a document creation application 26, a mail client 27, a disclosure range giving unit 40, and the like. The user terminal 20 holds one fragment d (denoted du) obtained by fragmentation (c1) of the document file F.

Webブラウザ28は、ラベリング管理機能、秘密分散サービス、等に関するグラフィカルユーザインタフェースを提供する。文書作成アプリケーション26は、ユーザにより文書ファイルF等を作成・編集等が可能なアプリケーションであり、例えばワープロ、表計算、プレゼンテーション等のソフトウェアである。文書作成アプリケーション26等でラベルL付き文書ファイルFを開くと、文書ページ内にラベルが出力される。メールクライアント27は、ユーザにより、断片dファイル等を添付したメールを作成して提供先のグループのユーザへ送付する場合などに使用される。   The web browser 28 provides a graphical user interface related to a labeling management function, a secret sharing service, and the like. The document creation application 26 is an application that allows a user to create and edit a document file F and the like. For example, the document creation application 26 is software such as a word processor, a spreadsheet, and a presentation. When the document file F with the label L is opened by the document creation application 26 or the like, a label is output in the document page. The mail client 27 is used when, for example, a user creates a mail with a fragment d file attached and sends the mail to a user in a provision destination group.

ASPサーバ10の秘密分散管理部15は、サービス情報85を管理・処理し、秘密分散サービス処理(断片化処理機能、復元処理機能を含む)を、グループのユーザの端末20(秘密分散処理部25)に対して提供する。また秘密分散管理部15は、秘密分散サービスにおける基本的なユーザ認証処理機能(後述)を含む。また秘密分散管理部15は、ユーザ認証処理を含む秘密分散サービス処理のログ情報をデータベース等に記録する。   The secret sharing management unit 15 of the ASP server 10 manages and processes the service information 85, performs secret sharing service processing (including a fragmentation processing function and a restoration processing function), and the terminal 20 of the group user (secret sharing processing unit 25). ). The secret sharing management unit 15 includes a basic user authentication processing function (described later) in the secret sharing service. The secret sharing manager 15 records log information of secret sharing service processing including user authentication processing in a database or the like.

端末20の秘密分散処理部25は、ASPサーバ10の秘密分散管理部15に対してアクセスし、秘密分散サービスの要求(b1)−応答(b2)等の処理を行う。秘密分散処理部25は、クライアントプログラム等により実現され、ラベリング処理部21、Webブラウザ28等と連携する。端末20では、秘密分散処理部25を利用して、対象ファイルF(元データD)を断片化する操作・処理(c1)と、逆に、断片化されたデータ(断片d)からファイルF(D)を復元する操作・処理(c2)とが可能である。   The secret sharing processing unit 25 of the terminal 20 accesses the secret sharing management unit 15 of the ASP server 10 and performs processing such as request (b1) -response (b2) of the secret sharing service. The secret sharing processing unit 25 is realized by a client program or the like, and cooperates with the labeling processing unit 21, the Web browser 28, and the like. The terminal 20 uses the secret sharing processing unit 25 to perform an operation / process (c1) for fragmenting the target file F (original data D), and conversely, from the fragmented data (fragment d) to the file F ( The operation / processing (c2) for restoring D) is possible.

復元時チェック部16は、秘密分散管理部15による秘密分散サービスのうちの一部の機能を構成し、サービス利用契約及び設定等に基づき利用可能とする。チェック部16は、公開範囲情報80(ラベルL情報と公開範囲H情報との関連付け)の管理・処理に基づき、秘密分散管理部15での復元処理の際にチェック処理を行う。   The restoration check unit 16 constitutes a part of functions of the secret sharing service by the secret sharing management unit 15 and can be used based on a service use contract and settings. The check unit 16 performs a check process at the time of the restoration process in the secret sharing management unit 15 based on the management / processing of the disclosure range information 80 (association between the label L information and the disclosure range H information).

また図3では、主にラベリング管理機能に関する構成例を示している。ASPサーバ10のラベリング管理部11は、設定部11−1、更新部11−2、等を備え、端末20のラベリング処理部21は、設定部21−1、更新部21−2、等を備える。ラベリング処理部21は、各部(28,26,40等)と連携動作する。   FIG. 3 mainly shows a configuration example related to the labeling management function. The labeling management unit 11 of the ASP server 10 includes a setting unit 11-1, an updating unit 11-2, and the like, and the labeling processing unit 21 of the terminal 20 includes a setting unit 21-1, an updating unit 21-2, and the like. . The labeling processing unit 21 operates in cooperation with each unit (28, 26, 40, etc.).

ラベリング管理機能(11,21)は、グループのユーザの端末20でユーザによりファイルFにラベルLを付与するラベリング機能と、グループの管理者K等により端末20からASPサーバ10(管理情報50)に対してグループG(グループ情報60)やテンプレートT(テンプレート情報70)等に関する設定を行う設定機能と、を含む。   The labeling management function (11, 21) includes a labeling function for assigning a label L to the file F by the user at the group user terminal 20 and a group manager K or the like from the terminal 20 to the ASP server 10 (management information 50). And a setting function for making settings related to the group G (group information 60), the template T (template information 70), and the like.

例えば各グループでは、複数のユーザUのうち、上記設定操作が許可される特定のユーザである管理者K(KA等)及びその端末20を有する。例えばグループ情報60で、ユーザのID、種別・権限(一般/管理者等)、及びパスワード等のユーザ情報を管理する。設定機能の利用の際(端末20からASPサーバ10へのアクセスの際)、上記ユーザ情報を用いたユーザ認証処理などを行うことで、管理者K等の特定のユーザのみに設定操作を許可するように制御することができる。   For example, each group includes an administrator K (KA or the like) that is a specific user who is permitted to perform the setting operation among the plurality of users U and the terminal 20. For example, the group information 60 manages user information such as user ID, type / authority (general / administrator, etc.), and password. When using the setting function (when accessing the ASP server 10 from the terminal 20), a setting operation is permitted only to a specific user such as the administrator K by performing a user authentication process using the user information. Can be controlled.

ラベリング処理部21は、実装例としては、文書作成アプリケーション26等にプラグインとして組み込まれる。端末20では、ラベリング処理部21と文書作成アプリケーション26との処理の連携に基づき、ラベリング処理が行われる。文書ファイルFに付与されるラベルLの情報は、例えば当該文書作成アプリケーション26の管理する属性情報(プロパティ情報)内に記述される。   As an implementation example, the labeling processing unit 21 is incorporated as a plug-in in the document creation application 26 or the like. In the terminal 20, labeling processing is performed based on the cooperation of the processing between the labeling processing unit 21 and the document creation application 26. The information on the label L given to the document file F is described in attribute information (property information) managed by the document creation application 26, for example.

設定部11−1,21−1は、グループGで適用するテンプレートT(ラベルLの定義情報を含む)等を設定することができる設定機能を実現する。設定機能により、グループ情報60、テンプレート情報70、公開範囲情報80等を設定可能とする。管理者K等は、端末20のWebブラウザ28の画面等での操作に基づき、端末20(設定部21−1)からASPサーバ10(設定部11−1)へアクセスし、グループG及びテンプレートT等の作成・変更・削除などの設定操作を行うことができる(図3のa1)。   The setting units 11-1 and 21-1 realize a setting function that can set a template T (including definition information of the label L) applied in the group G. With the setting function, group information 60, template information 70, disclosure range information 80, and the like can be set. The administrator K or the like accesses the ASP server 10 (setting unit 11-1) from the terminal 20 (setting unit 21-1) based on an operation on the screen of the web browser 28 of the terminal 20, and the group G and the template T The user can perform setting operations such as creation / change / deletion (a1 in FIG. 3).

更新部11−2,21−2は、グループGのユーザUの端末20での文書ファイルFへのラベリングのために適用するテンプレートT等を自動的に取得・更新等することができる更新機能を実現する。ラベリング等の際、端末20(更新部21−2)により、ASPサーバ10(更新部11−2)から、最新のテンプレート情報70等を自動的に取得し、更新適用することができる(図3のa2)。   The update units 11-2 and 21-2 have an update function capable of automatically acquiring and updating a template T and the like applied for labeling the document file F on the terminal 20 of the user U of the group G. Realize. At the time of labeling or the like, the terminal 20 (update unit 21-2) can automatically acquire the latest template information 70 and the like from the ASP server 10 (update unit 11-2) and apply the update (FIG. 3). A2).

なお本実施の形態では、上記ラベリング管理機能に関する設定機能は、各サービス(秘密分散サービス及びチェック機能を含む)に関する設定も可能とする。例えば、復元時チェック機能に係わる公開範囲情報80の設定なども可能とする((a)方式)。勿論、各サービス・機能の設定機能を別個に設けてもよい。   In the present embodiment, the setting function related to the labeling management function can also be set for each service (including the secret sharing service and the check function). For example, it is possible to set the disclosure range information 80 related to the restoration check function ((a) method). Of course, each service / function setting function may be provided separately.

[管理情報]
管理情報50(図1〜図3等)の構成例として、グループ情報60、テンプレート情報70、公開範囲情報80、サービス情報85等を有する。ラベリング管理部11は、管理情報51(60,70等)を管理・処理する。秘密分散管理部15は、管理情報55(サービス情報85等)を管理・処理する。チェック部16は、管理情報56(60,80等)を管理・処理する。なおグループ情報60は各管理情報(51,55,56)で共通の基本的な管理情報とするが、分けて管理してもよい。
[Management Information]
As a configuration example of the management information 50 (FIGS. 1 to 3 and the like), group information 60, template information 70, disclosure range information 80, service information 85, and the like are included. The labeling management unit 11 manages and processes management information 51 (60, 70, etc.). The secret sharing manager 15 manages and processes the management information 55 (service information 85 and the like). The check unit 16 manages and processes the management information 56 (60, 80, etc.). The group information 60 is basic management information common to the management information (51, 55, 56), but may be managed separately.

グループ情報60は、サービスを提供する対象となる複数の各企業等のグループG単位に関する管理情報(グループ構成情報)である。例えば、グループID(企業IDなど)やグループ名称(企業名称など)、ドメイン情報やIPアドレス情報などの通信情報、ユーザIDや端末ID等のユーザ情報、等を管理する。また例えばコワーク企業間の仕事用など、複数の企業(グループG)またはその各ユーザUを含んで成る、任意のグループG単位を設定することができる。また、グループGとテンプレートT(当該グループGで利用する1つ以上のテンプレートTの情報)との対応付け等を管理する(テンプレート情報70で管理してもよい)。   The group information 60 is management information (group configuration information) related to a group G unit of each of a plurality of companies or the like to be provided with services. For example, group ID (company ID etc.), group name (company name etc.), communication information such as domain information and IP address information, user information such as user ID and terminal ID, etc. are managed. Further, for example, for work between coworking companies, an arbitrary group G unit including a plurality of companies (group G) or respective users U thereof can be set. Also, the association between the group G and the template T (information of one or more templates T used in the group G) is managed (may be managed by the template information 70).

図3のグループ情報60の例では、各企業A,B等に対応する各グループGのID(GA,GB)、対応するIPアドレス(IA1,IB1等)等を設定している。グループIDは、適宜、企業ID,部署ID等とすることができる。ID(識別情報)の値は、クライアント(端末20)側及びASPサーバ10側で適宜設定可能であり対応付けて管理される。企業IDは、説明上は簡単にA,B等で表す。また、ネットワーク90上のドメイン(“○○○.co.jp”等)とIPアドレス等の情報がグループID等と共に関連付けて管理される。よってチェック等の際にはグループ情報60に基づき、該当グループG(ID等)が判別できる。また企業(全ユーザ)単位だけでなく、企業のうちの特定のユーザの集まりからなる任意のグループの設定もできる。また例えば、複数企業(グループ)にわたるユーザのグループの設定もできる。例えばグループGXは、企業A(GA),企業B(GB)から成る。グループGXは、例えば企業Aのユーザ(UA1等)と企業Bのユーザ(UB1等)とにおける特定のプロジェクト(X)用に設定される。グループの構成メンバーは、設定に応じて、各企業内の全ユーザ、または特定ユーザ(UA1,UB1等)となる。また、グループGとテンプレートTとの対応付けの例として、企業A(GA)で適用する(利用可能とする)テンプレートTA,TXを設定している。   In the example of the group information 60 in FIG. 3, the ID (GA, GB) of each group G corresponding to each company A, B, etc., the corresponding IP address (IA1, IB1, etc.), etc. are set. The group ID can be a company ID, a department ID, or the like as appropriate. The value of ID (identification information) can be appropriately set on the client (terminal 20) side and the ASP server 10 side and is managed in association with each other. The company ID is simply represented by A, B, etc. for the sake of explanation. Further, a domain on the network 90 (such as “xxx.co.jp”) and information such as an IP address are managed in association with a group ID and the like. Accordingly, the group G (ID, etc.) can be determined based on the group information 60 when checking. Moreover, not only a company (all users) unit but the arbitrary group which consists of a specific user group in a company can also be set. Further, for example, a group of users across a plurality of companies (groups) can be set. For example, the group GX includes a company A (GA) and a company B (GB). The group GX is set for a specific project (X) among, for example, a user of the company A (UA1 etc.) and a user of the company B (UB1 etc.). The members of the group are all users in each company or specific users (UA1, UB1, etc.) depending on the setting. Further, as an example of the association between the group G and the template T, templates TA and TX that are applied (can be used) in the company A (GA) are set.

テンプレート情報70は、テンプレートT毎に、各種のラベルLの定義情報などを含む。例えばグループの管理者(K)等により、予め端末20(設定機能)の設定画面で、ASPサーバ10に対し、グループG単位での統一的なルール等に基づくラベルLの定義情報などを作成・編集等できる。テンプレート情報70では、テンプレートTのIDや名称、ラベルLのIDや名称、ラベルL毎の区分情報やルール説明情報などが設定可能である(後述、図8等)。本実施の形態では、テンプレート情報70内に公開範囲情報80を含めて設定・管理している。   The template information 70 includes definition information of various labels L for each template T. For example, a group manager (K) or the like creates label L definition information and the like based on uniform rules in group G units for the ASP server 10 in advance on the setting screen of the terminal 20 (setting function). You can edit it. In the template information 70, an ID and name of the template T, an ID and name of the label L, classification information for each label L, rule explanation information, and the like can be set (described later, such as FIG. 8). In the present embodiment, the template information 70 is set and managed including the disclosure range information 80.

図3の例で、テンプレートTAは、企業Aの自社用のテンプレートであり、該当企業A内のユーザのみ利用可能となる。また例えばテンプレートTXは、企業間のグループGX用のテンプレートであり、該当グループGX内の各企業(A,B)内のユーザが利用可能となる。また1グループで複数テンプレートの設定も可能である。その場合、当該グループのユーザは、複数テンプレートから選択したものを利用(適用)できる。例えば企業Aのユーザは、設定済みのテンプレートTA,TXから選択利用可能となる。   In the example of FIG. 3, the template TA is a template for the company A, and can be used only by users in the company A. Further, for example, the template TX is a template for a group GX between companies, and can be used by users in each company (A, B) in the group GX. A plurality of templates can be set in one group. In that case, the user of the group can use (apply) what is selected from a plurality of templates. For example, a user of company A can select and use from the set templates TA and TX.

公開範囲情報80は、ラベルLに対して公開範囲Hをグループ単位で関連付ける情報を管理する。例えばグループの管理者(K)等により、予め端末20(設定機能)の設定画面で、ASPサーバ10に対し、ラベルL(ラベルID)と公開範囲H(グループID等)との関連付けを企業ID等の選択・指定により設定可能である((a)方式)。また特にグループ情報60で設定済みの特定のユーザの集まりからなるグループ単位で公開範囲Hを設定することも可能である。   The disclosure range information 80 manages information that associates the disclosure range H with the label L in units of groups. For example, a group manager (K) or the like associates the label L (label ID) and the disclosure range H (group ID, etc.) with the company ID on the setting screen of the terminal 20 (setting function) in advance. It can be set by selecting / specifying (etc. (a) method). It is also possible to set the disclosure range H in units of groups each consisting of a group of specific users who have already been set in the group information 60.

図3の例で、グループGA用のテンプレートTAは、例えばラベルLA等の定義情報を含む。また例えばグループGX用のテンプレートTXは、例えばラベルLX等の定義情報を含む。ラベルLA(例「社内限」)は、関連付けられる公開範囲HAとして、自社A(GA)内とする。ラベルLX(例「関係者限」)は、関連付けられる公開範囲HXとして、グループGX{GA,GB}内とする。ユーザは、仕事等に応じて適用テンプレート(例えばTA,TX)及びそのラベル(例えばLA,LX)を選択利用ができる。   In the example of FIG. 3, the template TA for the group GA includes definition information such as a label LA, for example. For example, the template TX for the group GX includes definition information such as a label LX. The label LA (for example, “in-house limit”) is within the company A (GA) as the associated disclosure range HA. The label LX (for example, “related party limit”) is in the group GX {GA, GB} as the associated disclosure range HX. The user can select and use the application template (for example, TA, TX) and its label (for example, LA, LX) according to work or the like.

サービス情報85は、秘密分散管理部15による秘密分散サービス処理に関する管理情報であり、サービスを利用(要求)するグループG、ユーザU/端末20の情報(グループID,ユーザID、IPアドレス等)、対象ファイルFの情報(ファイルID等)、対応するセット(断片d、復元用情報Rなど)の情報(断片dデータファイルID等)、対応するラベルLの情報(ラベルID等)、保管場所の情報(秘密分散サーバ31のアドレス等)、などを関連付けて管理する。   The service information 85 is management information related to secret sharing service processing by the secret sharing management unit 15, and information on the group G that uses (requests) the service, the user U / terminal 20 (group ID, user ID, IP address, etc.), Information on the target file F (file ID, etc.), information on the corresponding set (fragment d, restoration information R, etc.) (fragment d data file ID, etc.), information on the corresponding label L (label ID, etc.), storage location Information (such as the address of the secret sharing server 31) is managed in association with each other.

[サービス利用(設定)]
本システムのサービス利用や設定に係わる作業の例は以下である。予め、企業(例えば企業A)の管理者(例えば図3のKA)等は、サービス部100に対して、各サービスに関するサービス利用契約を結び、サービス部100の管理者、または設定対象グループ(GA)の管理者(KA)等により、ASPサーバ10の管理情報50に対して、設定対象グループ(GA)に関する基本的なグループ情報60(企業、ユーザ、ドメイン・IPアドレス等)を設定する。またグループ(GA)の設定に基づき、当該グループの管理者(KA)等により、当該グループで適用するルール等に基づくテンプレート情報70(例えばTA,TX)を設定する(a1)。また併せて公開範囲情報80を設定してもよい((a)方式)。端末20から設定機能により適宜設定変更等も可能である。また例えば企業A,B間(グループGX)で利用するテンプレートTX(ラベルLX)の設定については、いずれかのグループ(例えばGA)のユーザにより設定して、他のグループ(例えばGB)のユーザに対して連絡する。各ユーザは端末20の更新機能を用いることで、最新のテンプレート情報を追加・更新することができる。
[Service Usage (Settings)]
Examples of work related to service usage and settings of this system are as follows. In advance, an administrator (for example, KA in FIG. 3) of a company (for example, company A) concludes a service usage contract for each service with the service unit 100, and the administrator of the service unit 100 or a setting target group (GA The basic group information 60 (company, user, domain / IP address, etc.) related to the setting target group (GA) is set in the management information 50 of the ASP server 10 by the administrator (KA) or the like. Further, based on the setting of the group (GA), the template information 70 (for example, TA, TX) based on the rules applied in the group is set by the manager (KA) of the group (a1). Also, the disclosure range information 80 may be set ((a) method). Settings can be appropriately changed from the terminal 20 by a setting function. Further, for example, the setting of the template TX (label LX) used between the companies A and B (group GX) is set by a user of one of the groups (for example, GA), and is set to a user of another group (for example, GB). I will contact you. Each user can add / update the latest template information by using the update function of the terminal 20.

設定されたグループ(GA)内の各ユーザの端末20では、各処理部(21等)を実現するプログラム等をインストール・設定する。各ユーザの端末20のラベリング処理部21は、ASPサーバ10から、上記設定済みのテンプレート情報70等を取得して保存する(a2)。またグループ(GA)のユーザの端末20の秘密分散処理部25からASPサーバ10の秘密分散管理部15(グループ情報60)に対して、管理者(KA)または個別ユーザにより、秘密分散サービスの利用のためのアカウント情報(ユーザ情報)などを登録する。   In the terminal 20 of each user in the set group (GA), a program or the like for realizing each processing unit (21 etc.) is installed and set. The labeling processing unit 21 of each user's terminal 20 acquires and stores the set template information 70 and the like from the ASP server 10 (a2). The secret sharing processing unit 25 of the terminal 20 of the user of the group (GA) uses the secret sharing service to the secret sharing management unit 15 (group information 60) of the ASP server 10 by the administrator (KA) or an individual user. Register account information (user information), etc.

復元時チェック機能の利用に関しては、設定機能を用いて、グループ(GA)の管理者(KA)等により、ASPサーバ10(グループ情報60、公開範囲情報80等)に対して必要な情報を設定する。例えば復元時チェックの実施対象のグループ(例えばGX)や、ラベルL(例えばLX)と公開範囲H(例えばGX)との関連付け等を設定する。   Regarding the use of the restoration check function, the setting function is used to set necessary information for the ASP server 10 (group information 60, disclosure range information 80, etc.) by a group (GA) administrator (KA) or the like. To do. For example, a group to be checked for restoration (for example, GX), an association between a label L (for example, LX) and a disclosure range H (for example, GX), and the like are set.

[事例]
図2で、復元時チェックに関する事例も示している。文書ファイルF(対応する断片du)に関して、提供元が企業A(グループGA)のユーザUA1(IPアドレス:IA1)、提供先が企業B(グループGB)のユーザUB1(IPアドレス:IB1)の場合とする。文書ファイルFは、例えばコワーク企業A,B間での特定のプロジェクト(X)用の文書ファイルF1(図3)であり、作成者がユーザUA1、付与ラベルがLX(図3)とする。201は、提供元(A)から提供先(B)へ、正しくファイルF1の断片duを提供した場合である。202は、提供元(A)から、上記正しいファイルF1の断片duを、誤った提供先(F1の非関係者)である企業C(グループGC)のユーザUC1(IPアドレス:IC1)へ送付等してしまった場合である(ユーザUC1による断片duの不正利用の場合でも同様)。
[Case]
FIG. 2 also shows an example regarding restoration check. Regarding the document file F (corresponding fragment du), the provider is the user UA1 (IP address: IA1) of the company A (group GA) and the provider is the user UB1 (IP address: IB1) of the company B (group GB) And The document file F is, for example, a document file F1 (FIG. 3) for a specific project (X) between the coworking companies A and B. The creator is a user UA1 and the assigned label is LX (FIG. 3). 201 is a case where the fragment du of the file F1 is correctly provided from the provider (A) to the provider (B). 202 sends the correct file F1 fragment du from the provider (A) to the user UC1 (IP address: IC1) of the company C (group GC) which is the wrong provider (non-related party of F1), etc. (The same applies to the case of unauthorized use of the fragment du by the user UC1).

203は、上記正しい提供先(B)の端末20からASPサーバ10へ、ファイルF1の断片du(201)に関する復元処理に先行した公開範囲のチェック要求アクセスの場合であり、当該アクセス元(GB)が当該ファイルF1(LX)対応の公開範囲H(HX)のグループGXに含まれるためチェック結果がOKとなる場合である。204は、上記誤った提供先(C)の端末20からASPサーバ10へ、ファイルF1の断片du(202)に関する復元処理に先行した公開範囲のチェック要求のアクセスの場合であり、当該アクセス元(GC)が当該ファイルF1(LX)対応の公開範囲H(HX)のグループGXに含まれないためチェック結果がNGとなる場合である。   Reference numeral 203 denotes a case of access request (GB) of the disclosure range preceding the restoration processing related to the fragment du (201) of the file F1 from the terminal 20 of the correct provision destination (B) to the ASP server 10. Is included in the group GX in the disclosure range H (HX) corresponding to the file F1 (LX), and the check result is OK. Reference numeral 204 denotes a case of access to a check request for a disclosure range preceding the restoration processing related to the fragment du (202) of the file F1 from the terminal 20 of the wrong provision destination (C) to the ASP server 10, and the access source ( GC) is not included in the group GX of the disclosure range H (HX) corresponding to the file F1 (LX), and thus the check result is NG.

また例えば、提供元(A)から、正しい提供先(B)へ、誤ったファイルF、例えば企業C向けの文書ファイルF2(付与ラベルLY,公開範囲HY{GA,GC})の断片duを送付等してしまった場合、当該アクセス元(GB)が当該ファイルF2(LY)対応の公開範囲HY{GA,GC}に含まれないためチェック結果がNGとなる。   Also, for example, the fragment du of the wrong file F, for example, the document file F2 for the company C (granting label LY, disclosure range HY {GA, GC}) is sent from the provider (A) to the correct provider (B). If they are equal, the access source (GB) is not included in the public range HY {GA, GC} corresponding to the file F2 (LY), so the check result is NG.

[公開範囲(H)の方式]
公開範囲Hの関連付け(設定・付与等)に関する(a),(b)の方式について補足説明する。チェック機能を実現するがためにユーザ操作性などが複雑にならないようにする仕組みを有する。
[Method of disclosure range (H)]
A supplementary explanation will be given of the methods (a) and (b) relating to the association (setting / granting) of the open range H. In order to realize the check function, it has a mechanism to prevent the user operability from becoming complicated.

(a)方式では、予め、管理者K等により、端末20の設定機能を用いてASPサーバ10にアクセスし、公開範囲情報80に、ラベルL(ラベルID等)と公開範囲H(グループG単位)との関連付けを設定することができる。(a)方式の場合、設定以後、個別のユーザ端末20でのラベリングによる付与ラベルLに応じて、自動的に公開範囲Hが関連付け(決定)されることになる。ASPサーバ10でのチェック処理の際は、公開範囲情報80に基づき、復元しようとするファイルの属性情報等(ラベルID等)に関連付けられる公開範囲Hがわかるので、判定ができる。(a)方式を用いることで、グループの各ユーザは、サービス(チェック機能)の利用に係る設定操作等の手間が少なくて済み、ユーザ操作性・利便性が維持できる。   In the method (a), the administrator K or the like accesses the ASP server 10 using the setting function of the terminal 20 in advance, and the disclosure range information 80 includes a label L (label ID, etc.) and a disclosure range H (group G unit). ) Can be set. In the case of the method (a), after the setting, the disclosure range H is automatically associated (determined) according to the label L given by labeling in the individual user terminal 20. In the checking process in the ASP server 10, since the disclosure range H associated with the attribute information or the like (label ID or the like) of the file to be restored is known based on the disclosure range information 80, it can be determined. By using the method (a), each user in the group can save time and effort for setting operations related to the use of the service (check function), and user operability and convenience can be maintained.

(b)方式では、グループの個別のユーザの端末20で、ラベリング時などに、公開範囲付与部40を用いて、ユーザにより個別の文書ファイルFまたはその付与ラベルLに対して、公開範囲H情報をグループG単位等で指定して付与することができる。例えば特定企業向けの文書ファイルFのラベリング時、テンプレートTのラベルLの属性に基づいた上で、詳細な公開範囲Hとなる企業等(特定の関係者のユーザによるグループ等)を指定することができる。(b)方式では、個別のファイル提供毎に詳細な制御が可能となる。   In the method (b), the disclosure range H information is sent to the individual document file F or its label L by the user using the disclosure range giving unit 40 at the time of labeling on the terminal 20 of each individual user in the group. Can be specified and given in units of group G or the like. For example, when labeling a document file F for a specific company, based on the attribute of the label L of the template T, it is possible to designate a company or the like (a group of users of a specific related party) that will be in the detailed disclosure range H. it can. In the (b) method, detailed control is possible for each individual file provision.

上記(b)の機能は、上記(a)の設定とは別に行う形態としてもよいし、併用する形態としてもよい(本実施の形態では併用)。(b)のみの利用の場合、既存のラベル(テンプレート情報70)の定義では公開範囲Hの企業(グループ)等が具体的に設定されていなくとも、個別のラベリング時などに、付与ラベルに対し詳細な公開範囲H(ファイル提供先の企業等)を指定することができる。併用の場合、(a)による既存のラベル(テンプレート情報70)及び公開範囲情報80の定義に基づいた上で、更に、個別のラベリング時などに、付与ラベルに対し詳細な公開範囲(ファイル提供先の企業等)を指定することができる。なお併用の場合、ユーザ端末20で個別に付与できる公開範囲H情報は、基本的な設定情報での定義から外れない範囲内となるように制御する。例えば「社内限」のラベルに対して他社を公開範囲Hとして付与できないようにする等。   The function (b) may be performed separately from the setting (a) or may be combined (in this embodiment, combined). In the case of using only (b), even if the company (group) of the disclosure range H is not specifically set in the definition of the existing label (template information 70), It is possible to designate a detailed disclosure range H (such as a file provider). In the case of combined use, based on the definition of the existing label (template information 70) and the disclosure range information 80 according to (a), the detailed disclosure range (file providing destination) for the given label at the time of individual labeling, etc. Companies). In the case of combined use, the disclosure range H information that can be individually given by the user terminal 20 is controlled to be within a range that does not deviate from the definition in the basic setting information. For example, the other company cannot be assigned as the disclosure range H for the “internal limit” label.

[処理例]
図3〜図5を用いて、本システムでの一連の処理シーケンス例を説明する(Sは処理ステップ等を表す)。図3は、ファイル提供側でのラベリング処理等を示し、図4は、同じファイル提供側での断片化処理等を示し、図5は、ファイル受け取り・復元側での復元処理・チェック処理等を示す。なおASPサーバ10側で断片化・復元の主要処理(S4,S10)を行う形態(端末20側は契機となる指示操作等の簡易処理)の場合である。
[Example]
A series of processing sequence examples in this system will be described with reference to FIGS. 3 to 5 (S represents a processing step or the like). 3 shows the labeling process etc. on the file providing side, FIG. 4 shows the fragmentation process etc. on the same file providing side, and FIG. 5 shows the restoration process / checking process etc. on the file receiving / restoring side. Show. Note that this is a case in which the fragmentation / restoration main processing (S4, S10) is performed on the ASP server 10 side (the terminal 20 side is a simplified process such as an instruction operation as a trigger).

S0(設定):
前述の通り、端末20とASPサーバ10との間での処理などに基づき、管理情報50に対し必要な情報の設定等が行われる。例えば、図1のコワーク関係の企業A,Bの各グループ(GA,GB)において、企業A(GA)のユーザUA1をファイルF1の提供元(作成や断片化を行う側)とし、企業B(GB)のユーザUB1をファイルF1の提供先(受け取りや復元を行う側)とした場合を用いて説明する。またファイルF1は、上記企業A,B間(対応グループGX)での特定のプロジェクト(X)用の文書とする。当該プロジェクト(X)の関係者(担当者)のユーザは例えばUA1,UB1とする。ファイルF1の付与ラベルLは、例えばテンプレートTXに基づき、企業間(社内・社外)にわたる関係者に限定して当該文書を閲覧等させるためのラベルLX(「関係者限」)とする(後述、図7の704)。また(a)方式の場合、ラベルLXに対応の公開範囲HXとしてグループGX{GA,GB}が設定される(グループGXの全ユーザもしくは特定のユーザUA1,UB1)。
S0 (setting):
As described above, necessary information is set for the management information 50 based on processing between the terminal 20 and the ASP server 10. For example, in each group (GA, GB) of companies A and B related to the collaboration in FIG. 1, the user UA1 of the company A (GA) is set as the provider of the file F1 (the side that performs creation and fragmentation) and the company B ( The case where the user UB1 of GB) is the provision destination of the file F1 (the side that performs reception and restoration) will be described. The file F1 is a document for a specific project (X) between the companies A and B (corresponding group GX). Assume that the users of the concerned person (person in charge) of the project (X) are UA1, UB1, for example. The label LX of the file F1 is, for example, a label LX (“relevant party limit”) for allowing the document to be browsed or the like based on the template TX and limited to parties concerned between companies (internal and external) (described later). 704 in FIG. In the case of the method (a), the group GX {GA, GB} is set as the disclosure range HX corresponding to the label LX (all users of the group GX or specific users UA1, UB1).

S1(ラベリング):
図3において、企業AのユーザUA1の端末20(文書作成アプリケーション26、ラベリング処理部21等)では、ユーザUA1による文書ファイルF(F1)の作成・保存等の時に、自動的(強制的)に、ユーザUA1によるラベリング操作手順を介在させる。端末20のラベリング処理部21とASPサーバ10のラベリング管理部11との間での処理(要求−応答等)に基づき、ラベリング画面(後述、図7等)を自動的に表示し、適用テンプレートT(例えばTX)等の情報に基づき、ユーザUA1により選択されるラベルL(例えばLX)の情報を、当該文書ファイルF(F1)に対して付与する処理を行う。例えばファイルF1の属性情報内に、付与ラベルLXのラベルID(LX)等の情報が記述される。例えばプロパティ名とその値を用いてラベルIDの値が記述される。
S1 (labeling):
In FIG. 3, the terminal 20 of the user A UA1 of the company A (document creation application 26, labeling processing unit 21, etc.) automatically (forcedly) when the user UA1 creates and saves the document file F (F1). The labeling operation procedure by the user UA1 is interposed. Based on the processing (request-response, etc.) between the labeling processing unit 21 of the terminal 20 and the labeling management unit 11 of the ASP server 10, a labeling screen (described later, such as FIG. 7) is automatically displayed, and the application template T Based on information such as (for example, TX), a process of giving information on a label L (for example, LX) selected by the user UA1 to the document file F (F1) is performed. For example, information such as the label ID (LX) of the assigned label LX is described in the attribute information of the file F1. For example, the value of the label ID is described using the property name and its value.

S2(公開範囲付与):
また前記S1のラベリングの際などに、併せて、公開範囲付与部40の処理機能((b)方式)を用いて、ユーザUA1により当該文書ファイルF1(ラベルLX)に対して、当該文書の関係者情報に相当する公開範囲H情報を企業ID等で指定して付与することができる。例えばユーザUA1は、ラベリング画面(後述、図8等)で、当該文書の提供先の企業B(GB)の企業ID、ないし提供先と自分を含んで成る特定のグループGX等を選択・指定して、公開範囲HXを付与する。公開範囲付与部40は、付与する公開範囲H(HX)情報を、例えば、ファイルF1の属性情報内に、前記付与ラベルL情報(ラベルID等)と関連付けて記述する。例えばプロパティ名とその値を用いて公開範囲H(企業ID等)の値が記述される。なおASPサーバ10に公開範囲情報80が設定済みの場合((a)方式)、本処理(S2)は省略可能である。
S2 (Grant scope of disclosure):
In addition, at the time of the labeling of S1, the processing relationship ((b) method) of the disclosure range assigning unit 40 is also used to relate the document to the document file F1 (label LX) by the user UA1. The disclosure range H information corresponding to the person information can be designated and given by the company ID or the like. For example, the user UA1 selects and designates the company ID of the company B (GB) to which the document is provided or a specific group GX including the supplier and the user on the labeling screen (described later, such as FIG. 8). Then, the disclosure range HX is given. The disclosure range assigning unit 40 describes the disclosure range H (HX) information to be assigned in association with the assignment label L information (label ID, etc.) in the attribute information of the file F1, for example. For example, the value of the disclosure range H (company ID, etc.) is described using the property name and its value. When the disclosure range information 80 is already set in the ASP server 10 ((a) method), this process (S2) can be omitted.

S3(断片化):
図4において、端末20(秘密分散処理部25)とASPサーバ10(秘密分散管理部15)との間での処理に基づき、ユーザUA1により選択される対象ファイルF(ラベルLX付きの文書ファイルF1)を断片化処理する(b1,b2)。例えば、端末20(ファイルシステム、Webブラウザ28等)の画面で、ユーザUA1により対象ファイルF1を選択して断片化を指示する。この断片化の契機は、例えばフォルダ連動型(後述)の場合、特定のフォルダ内に対象ファイルFをドロップ操作した時とすることができる。あるいは、別の契機として、例えばラベル連動型(後述)の場合、対象ファイルFに特定の種類のラベルLが付与された時とすることができる。
S3 (fragmentation):
4, a target file F (a document file F1 with a label LX) selected by a user UA1 based on processing between the terminal 20 (secret sharing processing unit 25) and the ASP server 10 (secret sharing management unit 15). ) Is fragmented (b1, b2). For example, on the screen of the terminal 20 (file system, Web browser 28, etc.), the user UA1 selects the target file F1 to instruct fragmentation. For example, in the case of a folder-linked type (described later), the fragmentation can be triggered when the target file F is dropped in a specific folder. Alternatively, as another opportunity, for example, in the case of a label-linked type (described later), a specific type of label L can be given to the target file F.

上記契機に従い自動的に断片化が実行される。端末20(秘密分散処理部25)からASPサーバ10(秘密分散管理部15)へ、断片化の要求を送信する(b1)。この要求の情報(b1)は、例えば、対象ファイルF1のデータ及び情報(ファイルID等)、及び付与ラベルLXの情報(ラベルID等)、等を含む。前記S2での付与情報(H)がある場合は一緒に送信される。ASPサーバ10(秘密分散管理部15)は、要求の情報(b1)につき、管理情報50(サービス情報85)や当該アクセスのログ情報などを記録する。例えばグループGA(ユーザUA1)からの対象ファイルF1(付与ラベルLX)の断片化の要求を示す情報を記録する。前記S2での付与情報(H)がある場合はその情報も記録される。   Fragmentation is automatically executed according to the above trigger. A fragmentation request is transmitted from the terminal 20 (secret sharing processing unit 25) to the ASP server 10 (secret sharing management unit 15) (b1). The information (b1) of the request includes, for example, data and information (file ID and the like) of the target file F1, information (label ID and the like) of the assigned label LX, and the like. If there is the provision information (H) in S2, it is transmitted together. The ASP server 10 (secret sharing manager 15) records management information 50 (service information 85), log information of the access, and the like for the request information (b1). For example, information indicating a request for fragmentation of the target file F1 (given label LX) from the group GA (user UA1) is recorded. If there is provision information (H) in S2, that information is also recorded.

S4(断片化処理):
ASPサーバ10の秘密分散管理部15は、要求の情報(b1)に対し、断片化処理(S4)を行い、アクセス元へ応答を返す(b2)。この断片化処理(S4)は、対象ファイルF(元データD)から複数の断片d(復元用情報Rを含む)データのセットを形成する処理を含む(後述、図6)。なお各断片dには元のファイルF(F1)の付与ラベルL(LX)がそのまま継承して付与される。応答の情報(b2)としては、例えば、形成した複数の断片d(セット)のうちの1つの断片d(例えばd0)を、当該要求元のユーザUA1の端末20で持たせる断片duとして送信する。ユーザUA1の端末20は、応答(b1)により、上記断片duを保持する。
S4 (fragmentation process):
The secret sharing manager 15 of the ASP server 10 performs fragmentation processing (S4) on the request information (b1) and returns a response to the access source (b2). This fragmentation process (S4) includes a process of forming a set of a plurality of pieces of fragment d (including restoration information R) data from the target file F (original data D) (described later, FIG. 6). It should be noted that each fragment d is given the inherited label L (LX) of the original file F (F1) as it is. As the response information (b2), for example, one fragment d (for example, d0) of the formed plurality of fragments d (set) is transmitted as the fragment du held by the terminal 20 of the requesting user UA1. . The terminal 20 of the user UA1 holds the fragment du by the response (b1).

S5(分散保管):
ASPサーバ10の秘密分散管理部15は、断片化処理(S4)に伴い、複数の保管先(保管場所)のデータセンタ30の秘密分散サーバ31(KS)との間での処理により、セットの断片dの分散保管処理を行う。例えば、対象ファイルFの複数の断片dのセット(例えばd0〜d3)のうち、ユーザUA1が持つ1つの断片du(例えばd0)以外の、複数の各断片d(d1〜d3)を、それぞれネットワーク90上の分散した別の秘密分散サーバ31(KS1〜KS3)に送信して保管させる。
S5 (distributed storage):
The secret sharing management unit 15 of the ASP server 10 performs the fragmentation processing (S4) by performing processing with the secret sharing server 31 (KS) of the data center 30 at a plurality of storage destinations (storage locations). The distributed storage process of the fragment d is performed. For example, a plurality of fragments d (d1 to d3) other than one fragment du (for example, d0) possessed by the user UA1 among a set of a plurality of fragments d (for example, d0 to d3) of the target file F are respectively networked. The data is transmitted to and stored in another secret sharing server 31 (KS1 to KS3) distributed on 90.

なおASPサーバ10の秘密分散管理部15の部分では、秘密分散サーバ31と同様に、セットの一部の断片dデータを保管するようにしてもよい。   Note that the secret sharing manager 15 of the ASP server 10 may store a part of the pieces of fragment d data as in the secret sharing server 31.

秘密分散管理部15は、上記処理(S4,S5)に伴い、サービス情報85及びログ情報を記録する。例えば、グループID,ユーザ/端末ID,ファイルID,複数の断片dデータファイルのID、ラベルID(+公開範囲H情報)、保管場所情報(秘密分散サーバ31のアドレス情報等)、等を格納する。   The secret sharing manager 15 records the service information 85 and the log information along with the above processing (S4, S5). For example, a group ID, a user / terminal ID, a file ID, an ID of a plurality of fragment d data files, a label ID (+ publication range H information), storage location information (such as address information of the secret sharing server 31), and the like are stored. .

S6(断片提供):
図5において、ファイルF1の提供(断片化)側のグループGAのユーザUA1(端末20)から、ファイルF1の受け取り(復元)側のグループGBのユーザUB1(端末20)へ、ファイルF1の断片du(d0)を提供する。提供の手段は各種可能であり、例えば、メールクライアント27を用いてネットワーク90上での電子メール(断片duデータを添付)等での伝送や、ディスクやUSBメモリ等の媒体へ断片duデータを格納して郵送や手渡しする等の手段によって提供する。あるいは、ASPサーバ10経由で提供してもよい。例えば提供元(A)からASPサーバ10(秘密分散サービス)へ断片dを預け、提供先(B)へ情報を通知し、提供先(B)からASPサーバ10(秘密分散サービス)へアクセスして断片dを受け取る(復元する)、といった形態でもよい。
S6 (fragment provided):
In FIG. 5, the fragment du of the file F1 is transferred from the user UA1 (terminal 20) of the group GA on the providing (fragmenting) side of the file F1 to the user UB1 (terminal 20) of the group GB on the receiving (restoring) side of the file F1. (D0) is provided. Various means of provision are possible, for example, transmission by e-mail (attaching fragment du data) on the network 90 using the mail client 27, and storing the fragment du data in a medium such as a disk or USB memory. And provide it by means such as mailing or handing it. Alternatively, it may be provided via the ASP server 10. For example, the fragment d is deposited from the provider (A) to the ASP server 10 (secret sharing service), the information is notified to the provider (B), and the ASP server 10 (secret sharing service) is accessed from the provider (B). The form of receiving (restoring) the fragment d may be used.

S7(復元要求):
グループGBのユーザUB1の端末20では、ファイルF1の断片du(d0)に対し、復元操作を実行する。例えば端末20の画面(ファイルシステム、Webブラウザ28等)で、復元対象の断片duデータファイルを指定・選択等する。簡単には例えば断片duのクリック操作により、自動的に復元を実行する。
S7 (restore request):
In the terminal 20 of the user UB1 of the group GB, a restoration operation is performed on the fragment du (d0) of the file F1. For example, the fragment du data file to be restored is specified / selected on the screen of the terminal 20 (file system, Web browser 28, etc.). For example, the restoration is automatically executed by clicking the fragment du, for example.

上記契機で、ユーザUB1の端末20の秘密分散処理部25により、ASPサーバ10の秘密分散管理部15へアクセスして復元を要求する(S7)。この要求の情報は、(1)アクセス元の情報としてIPアドレス情報(例えばIB1)、(2)対象ファイルF(F1)の断片duのデータ及びID等の情報、及び付与ラベルL(LX)のID等の情報を含む。   At the above opportunity, the secret sharing processing unit 25 of the terminal 20 of the user UB1 accesses the secret sharing management unit 15 of the ASP server 10 to request restoration (S7). The information of this request includes (1) IP address information (for example, IB1) as access source information, (2) information such as data and ID of the fragment du of the target file F (F1), and the attached label L (LX). Includes information such as ID.

S8(チェック処理):
ASPサーバ10の秘密分散管理部15は、復元の要求(S7)につき、サービス情報85の参照に基づき、チェック部16との間でのチェック処理(S8)を介在させる。例えば秘密分散管理部15からチェック部16へのチェック要求(S8−1)、チェック部16から秘密分散管理部15への結果応答(S8−2)、等の処理である。チェック要求(S8−1)は、S7の情報に基づき、問い合わせ情報として、例えば(1)アクセス元(復元要求)の情報(IPアドレス、ないし対応グループID等)、(2)対象ファイルFのラベルL情報(ラベルID)、等を含む。(2)の情報は、前記(b)方式によって公開範囲H情報が付与されている場合はその情報を含む。結果応答(S8−2)は、例えばOK/NGの情報を含む。
S8 (check process):
The secret sharing management unit 15 of the ASP server 10 interposes a check process (S8) with the check unit 16 based on the reference to the service information 85 for the restoration request (S7). For example, processing such as a check request from the secret sharing manager 15 to the check unit 16 (S8-1), a result response from the check unit 16 to the secret sharing manager 15 (S8-2), and the like. The check request (S8-1) is based on the information of S7, and includes, for example, (1) information on the access source (restoration request) (IP address or corresponding group ID), (2) label of the target file F L information (label ID), etc. The information of (2) includes the information when the disclosure range H information is given by the method (b). The result response (S8-2) includes, for example, OK / NG information.

チェック部16は、チェック処理として、管理情報56(グループ情報60、公開範囲情報80等)の参照に基づいて、(1)アクセス元の情報(IPアドレス等)と、(2)ラベルLに関連付けられる公開範囲H情報(グループID等)と、を比較して、アクセス元が公開範囲Hに含まれるか否か等によって、当該復元実行に関するOK/NGを判定する。判定例としては、アクセス元のIPアドレス(IB1)に対応するグループID(GB)が、対象ファイルF1の付与ラベルLXのラベルID(LX)に関連付けれらる公開範囲HXのグループGX{GA,GB}に含まれるため、結果がOKとなる。   As a check process, the check unit 16 associates (1) the access source information (IP address, etc.) and (2) the label L with reference to the management information 56 (group information 60, disclosure range information 80, etc.). The disclosure range H information (group ID or the like) to be compared is determined, and OK / NG related to the execution of restoration is determined based on whether or not the access source is included in the disclosure range H. As a determination example, the group GX {GA, in the public range HX in which the group ID (GB) corresponding to the IP address (IB1) of the access source is associated with the label ID (LX) of the assigned label LX of the target file F1. Since it is included in GB}, the result is OK.

S9(断片収集):
秘密分散管理部15は、上記チェック結果(S8−2)がOKの場合は下記の復元処理(S10)を実行し、NGの場合は実行しない。秘密分散管理部15は、上記結果がOKの場合、復元処理(S10)のために、サービス情報85に基づき、対象ファイルFの複数の断片dの保管場所である秘密分散サーバ31(例えば図4のKS1〜KS3)へアクセスし、復元に必要な複数の断片d(復元用情報Rを含む)を収集する。例えば図4の断片dのセット(d1〜d3,及びdu(d0))を取得する。
S9 (fragment collection):
The secret sharing manager 15 executes the following restoration process (S10) when the check result (S8-2) is OK, and does not execute it when the check result is NG. If the result is OK, the secret sharing management unit 15 uses the secret sharing server 31 (for example, FIG. 4), which is the storage location of the plurality of fragments d of the target file F, based on the service information 85 for the restoration process (S10). KS1 to KS3) and collect a plurality of fragments d (including restoration information R) necessary for restoration. For example, the set of fragments d in FIG. 4 (d1 to d3 and du (d0)) is acquired.

S10(復元処理):
そして、ASPサーバ10(秘密分散管理部15)は、集めた断片d(ラベルL付き)のセット(復元用情報Rを含む)を用いて、ユーザUB1の端末20(秘密分散処理部25)との間での処理に基づき、復元処理(S10)を行うことにより、復元されたファイルF(元データD)を得る。
S10 (restoration process):
Then, the ASP server 10 (secret sharing management unit 15) uses the set of collected pieces d (with label L) (including restoration information R) to connect the terminal 20 (secret sharing processing unit 25) of the user UB1. The restored file F (original data D) is obtained by performing the restoration process (S10) based on the processing between the two.

S11(復元応答):
上記チェック結果(S8−2)がOKの場合、ASPサーバ10の秘密分散管理部15は、復元したファイルF1のデータを、アクセス元のユーザUB1の端末20へ送信する。これにより、当該ユーザUB1は、ファイルF1(ラベルLX付き)を取得・閲覧等することができる。
S11 (restoration response):
If the check result (S8-2) is OK, the secret sharing manager 15 of the ASP server 10 transmits the restored data of the file F1 to the terminal 20 of the user UB1 that is the access source. Thereby, the user UB1 can acquire / view the file F1 (with the label LX).

また、上記チェック結果(S8−2)がNGの場合、秘密分散管理部15は、対象ファイルF1に関する復元処理(S10)は実行せず、例えばアクセス元のユーザUB1の端末20へ上記NGの旨の情報を応答する。これにより不適切な復元によるファイル取得・利用が防止される。   When the check result (S8-2) is NG, the secret sharing management unit 15 does not execute the restoration process (S10) regarding the target file F1, and sends the NG message to the terminal 20 of the user UB1 that is the access source, for example. Reply with information. This prevents file acquisition and use due to inappropriate restoration.

なお更に、提供元のグループGAのユーザUA1の端末20へ、上記チェック・復元の結果等の情報(上記OKであった旨の情報や上記NGであった旨の情報)を電子メール等で通知してもよい。   Still further, information such as the result of the check / restoration (information indicating that it was OK or information indicating that it was NG) is notified to the terminal 20 of the user UA1 of the providing group GA by e-mail or the like. May be.

なお上記シーケンス例は断片化の主体(A)と復元の主体(B)が異なる場合であるが、同じ主体の場合でも同様の処理によりチェック機能が働く。   In the above sequence example, the fragmentation subject (A) and the restoration subject (B) are different, but the check function works by the same process even in the case of the same subject.

[秘密分散サービス(断片化処理)]
図6は、本システム(秘密分散サービス)での断片化処理(前記S4)の詳細例を示す。本処理例は、ラベルL情報を扱うこと以外は、公知技術(前記特許文献1等)に従ったものである。
[Secret sharing service (fragmentation processing)]
FIG. 6 shows a detailed example of the fragmentation process (S4) in this system (secret sharing service). This processing example is in accordance with a publicly known technique (the above-mentioned patent document 1 etc.) except for handling the label L information.

ラベルL付きのファイルF(元データD)、例えばラベルLX付きのファイルF1を対象とする。601はファイルFの属性情報の格納領域(ヘッダ等)であり、内部にラベルL情報などが記述される。   A file F with label L (original data D), for example, a file F1 with label LX is targeted. Reference numeral 601 denotes a storage area (header or the like) of attribute information of the file F, in which label L information or the like is described.

(1)要素分割: まず、ラベルLを除くデータDは、ビット単位でランダムなデータに分割される。ここでの分割データを要素Eとする。要素Eの数(分割数)をmとする。複数の要素E{E1〜Em}を得る。例えばm=6の場合を示す。分割数mは目的のレベル等に応じて可変である。   (1) Element division: First, the data D excluding the label L is divided into random data in bit units. The divided data here is element E. Let m be the number of elements E (number of divisions). A plurality of elements E {E1 to Em} are obtained. For example, the case of m = 6 is shown. The division number m is variable according to the target level.

また各要素Eのデータは、元のファイルF内における位置や長さ等の情報が付帯される。付帯の仕方は、要素E毎、またはブロックB毎、または復元用情報R内に一括で記述等である。   The data of each element E is accompanied by information such as the position and length in the original file F. The accompanying method is described in a batch or the like in each element E, each block B, or in the restoration information R.

(2)順序並び替え: 複数の要素Eは、順序がランダムに並び替え(配列、シャッフル)される。   (2) Order rearrangement: The plurality of elements E are rearranged at random (array, shuffle).

(3)ブロック形成: 複数の要素Eから、組み合わせ・選択等により、複数のブロックBを形成(抽出)する。ブロックBの数(形成数)をnとする。複数のブロックB{B1〜Bn}を得る。例えばn=3の場合を示す。各ブロックBは、元データDと同じようなビットの並びが無いようにする。1つのブロックBからは、元データDを部分的にでも復元することはできない。ブロックBが断片dに対応付けられる。   (3) Block formation: A plurality of blocks B are formed (extracted) from a plurality of elements E by combination / selection or the like. The number of blocks B (number of formations) is n. A plurality of blocks B {B1 to Bn} are obtained. For example, the case of n = 3 is shown. Each block B does not have the same bit arrangement as the original data D. From one block B, the original data D cannot be partially restored. Block B is associated with fragment d.

また各ブロックBのデータは、当該ブロックBの形成の仕方の情報などが付帯される。付帯の仕方は、ブロックB毎、または復元用情報R内に一括で記述等である。例えばブロックB1(断片d0)のヘッダ610は、ブロックB1を構成する要素E(例えばE4,E1)の情報(更には各要素Eの分割等に関する詳細情報)を含む。また、要素EやブロックBのヘッダ等には、適宜、ファイルFのID、ブロックBのID、要素EのID、復元用情報R、等に関する情報を格納してもよい。   The data of each block B is accompanied with information on how to form the block B. The accompanying method is a block description or the like for each block B or in the restoration information R. For example, the header 610 of the block B1 (fragment d0) includes information on the elements E (for example, E4 and E1) constituting the block B1 (and further detailed information on the division of each element E). In addition, information regarding the ID of the file F, the ID of the block B, the ID of the element E, the restoration information R, and the like may be appropriately stored in the header of the element E or the block B.

また、上記(1)〜(3)のような断片化の方法を、復元用情報Rとして記述・生成する。即ち復元用情報Rは、上記要素分割、順序並び替え、ブロック形成等の仕方に関する情報を含む。復元用情報Rは、例えば、要素E毎やブロックB毎に属性情報のヘッダ等内に記述されてもよい。また複数の要素Eの属性情報を対応ブロックBの属性情報として一括で記述してもよいし、複数のブロックBの属性情報を対応セット(ファイルF)の属性情報(復元用情報R)として一括で記述してもよい。   Further, the fragmentation method as described in the above (1) to (3) is described / generated as the restoration information R. That is, the restoration information R includes information related to the element division, order rearrangement, block formation, and the like. The restoration information R may be described in the attribute information header or the like for each element E or each block B, for example. The attribute information of a plurality of elements E may be collectively described as attribute information of the corresponding block B, or the attribute information of the plurality of blocks B may be collectively described as attribute information (restoration information R) of the corresponding set (file F). May be described.

上記ブロックBを、断片d(分割データ)とする。元のファイルFに対応した複数(n)の断片dのセットが得られる。各断片dは、属性情報の格納領域(ヘッダ等)に、ラベルL情報を付帯する。本例では、全断片dにおいて、ヘッダ(610〜612)に、元のファイルFに対応した同一の付与ラベルL情報(ラベルID等)を継承して付帯する。   The block B is a fragment d (divided data). A set of multiple (n) fragments d corresponding to the original file F is obtained. Each fragment d attaches label L information to an attribute information storage area (header or the like). In this example, in all fragments d, the same attached label L information (label ID, etc.) corresponding to the original file F is inherited and attached to the headers (610 to 612).

また、断片化の方式に応じるが、各断片dは、属性情報の格納領域(ヘッダ等)に、復元用情報Rを付帯する。本例では、全断片d(d0〜d2)において、ヘッダ(610〜612)に、同じ復元用情報Rを含ませる。即ちどの断片dの復元用情報Rを参照しても復元処理が可能である。復元用情報Rは、他の方式では、1つの独立の断片dとして構成されてもよい(602)。この場合は、その復元用情報Rの断片dが無い場合は復元処理が不可能となる。   Further, although depending on the fragmentation method, each fragment d attaches the restoration information R to the attribute information storage area (header or the like). In this example, the same restoration information R is included in the headers (610 to 612) in all fragments d (d0 to d2). That is, the restoration process can be performed by referring to the restoration information R of any fragment d. The restoration information R may be configured as one independent fragment d in other schemes (602). In this case, if there is no fragment d of the restoration information R, the restoration process is impossible.

またセットのうち一部の断片d(例えばd0)を、対象ファイルFのユーザ(作成者、所有者等)の端末20で持たせる断片duとして管理する。あるいは、復元用情報R等の管理情報を記述した特定のデータファイルを構成して、ASPサーバ10及び当該ユーザの端末20に持たせる。   Further, a part of the fragment d (for example, d0) in the set is managed as a fragment du to be held in the terminal 20 of the user (creator, owner, etc.) of the target file F. Alternatively, a specific data file in which management information such as the restoration information R is described is configured and held in the ASP server 10 and the user terminal 20.

また、各ブロックBや復元用情報Rなどの断片dは、保管や伝送に応じた単位として適宜パッケージ化される。パッケージは、例えばヘッダ等に、ユーザ(提供元、提供先など)、ファイルF、アドレス、等の管理情報が格納されてもよい。またパッケージは、暗号化処理等が施されてもよい。そして、各断片d(パッケージ)は、例えばネットワーク90上の複数の保管場所(秘密分散サーバ31等)に分散して保管される。   Further, the fragments d such as the respective blocks B and the restoration information R are appropriately packaged as a unit corresponding to storage and transmission. In the package, for example, management information such as a user (provider, provider, etc.), file F, address, etc. may be stored in a header or the like. The package may be subjected to encryption processing or the like. Each fragment d (package) is distributed and stored in a plurality of storage locations (such as the secret sharing server 31) on the network 90, for example.

なお複数のブロックB(断片d)の状態で、秘密化状態であるため、基本的な安全性のレベルが確保されている。保管や伝送の場所や手段などは、目的のレベル等に応じて選択できる。例えば複数の断片dの保管場所を物理的・地理的に分散することでレベルが上がる。また例えば2種類以上の手段を組み合わせて用いることでレベルが上がる。   Note that since the block B (fragment d) is in a secret state, a basic level of safety is ensured. The location and means of storage and transmission can be selected according to the target level. For example, the level is raised by physically and geographically distributing the storage locations of the plurality of pieces d. Further, for example, the level is increased by using a combination of two or more types.

ファイルFの復元処理(S10)の時には、複数の断片dのセット(復元用情報Rを含む)を集め、復元用情報Rに従って、上記断片化時の逆の流れの処理を行うことで、元のファイルFの復元が可能である。即ち、各断片d(ブロックB)を要素Eに分離し、正しい順序に並べ直し(再配列)、元のファイルF(元データD)のビットの並びに戻すように統合する。   At the time of the restoration process (S10) of the file F, a set of a plurality of fragments d (including restoration information R) is collected, and the reverse flow process at the time of fragmentation is performed according to the restoration information R. The file F can be restored. That is, each fragment d (block B) is separated into elements E, rearranged in the correct order (rearrangement), and integrated so that the bits of the original file F (original data D) are aligned.

また本例では、断片化の方式として、複数の断片dのデータは、RAID5等と同様に冗長性を持つように形成し、一部の断片dが欠損したとしても、情報流出も無く復元可能とする。例えばユーザの端末20で持つ一部の断片duを無くしたとしても問題が無い。冗長性を持つ分割データの構成の仕方としては、元データからパリティデータを生成し、元データと共に分散して分割データ(断片d)を構成する。上記冗長性を活かし、保管場所として例えばSLAの低いデータセンタ30(安価なHaaS,PaaSの提供者)等であっても断片dを預かることができる。即ち低コストでサービスを実現できる。また、上記冗長性を活かし、本秘密分散サービス(即時復元可能)によるファイルのバックアップ機能や、データセンタ30の地域分散による簡易なBCPの実現などが可能である。分散保管の場合、例えば災害により一部のデータセンタ30が倒壊したとしても復元可能である。   In this example, as a fragmentation method, data of a plurality of fragments d is formed to have redundancy as in RAID 5 and the like, and even if some fragments d are lost, they can be restored without any information leakage. And For example, there is no problem even if some of the fragments du held by the user terminal 20 are eliminated. As a method of configuring the divided data having redundancy, parity data is generated from the original data, and distributed with the original data to form divided data (fragment d). Taking advantage of the above redundancy, the fragment d can be stored even in a data center 30 (a provider of inexpensive HaaS, PaaS) with a low SLA as a storage location. That is, the service can be realized at a low cost. Further, by taking advantage of the above redundancy, it is possible to implement a file backup function by this secret sharing service (which can be immediately restored), and a simple BCP by the regional distribution of the data center 30. In the case of distributed storage, for example, even if some data centers 30 collapse due to a disaster, they can be restored.

別の断片化処理の方式としては、複数の断片dのデータを、冗長性を持たないように形成し、全断片dが揃わないと復元不可能とすることもできる。上記例に限らず、断片化−復元の方式は公知技術に従って各種可能である。   As another fragmentation processing method, data of a plurality of fragments d can be formed so as not to have redundancy, and restoration cannot be performed unless all the fragments d are prepared. The fragmentation-restoration method is not limited to the above example, and various methods can be used according to a known technique.

[秘密分散サービスの構成例]
本秘密分散サービスの構成例として詳しくは以下のタイプを有する。対象ファイルFは一般的な文書ファイルとする。
[Configuration example of secret sharing service]
The configuration example of the secret sharing service has the following types in detail. The target file F is a general document file.

(1)フォルダ連動型: ユーザは自身の端末20(ファイルシステム等)において、設定に基づき、特定のフォルダ(「セキュアフォルダ」)に対して対象ファイルFをドラッグ&ドロップ操作(移動や保存操作等)する。すると自動的に、当該ファイルF(付与ラベルLの有無に関わらない)を対象として、本秘密分散サービス処理によって、断片化処理(S3,S4)が行われる(分散保管(S5)を含む)。当該ユーザの端末20では、断片duデータファイルが得られる。断片duは、当該ファイルFの操作用アイコンとして機能する。上記対象ファイルFは、付与ラベルLがある場合は、断片化及び復元後においても継承される。同様に、上記特定のフォルダで断片duがクリック(選択実行)操作または開く操作、あるいは他の通常のフォルダへ移動操作等がされる。すると自動的に、当該断片duを対象として前記復元処理が行われる。   (1) Folder-linked type: The user drags and drops the target file F to a specific folder (“secure folder”) based on the settings on his / her terminal 20 (file system or the like) (move or save operation, etc.) ) Then, the fragmentation processing (S3, S4) is automatically performed on the file F (regardless of the presence or absence of the assigned label L) by this secret sharing service processing (including distributed storage (S5)). At the user's terminal 20, a fragment du data file is obtained. The fragment du functions as an operation icon for the file F. The target file F is inherited even after fragmentation and restoration when there is a given label L. Similarly, the fragment du is clicked (selected and executed) or opened in the specific folder, or moved to another normal folder. Then, the restoration process is automatically performed on the fragment du.

(2)ラベル連動型: ユーザは自身の端末20(文書作成アプリケーション26、ラベリング処理部21等)で、ファイルFの作成・保存時などに当該ファイルFに対してラベルLを選択付与操作する(ラベリング処理)。すると自動的に、当該ラベルL付きファイルFを対象として、上記同様に本秘密分散サービス処理によって、断片化処理が行われる。   (2) Label-linked type: A user selects and gives a label L to the file F at the time of creation / save of the file F at his / her terminal 20 (document creation application 26, labeling processing unit 21, etc.) ( Labeling process). Then, the fragmentation process is automatically performed on the file F with the label L by the secret sharing service process as described above.

また、上記(1),(2)の組み合わせとして、設定に基づき、セキュアフォルダにドロップされた通常の文書ファイルF(ラベルLが付与されていない状態)を対象として、自動的に所定の種類のラベルLを付与処理すると共に断片化処理を実行するように制御することもできる。   Further, as a combination of the above (1) and (2), a predetermined type of document file F (in a state where no label L is assigned) automatically dropped to a secure folder is automatically set based on the setting. It is also possible to perform control so that the label L is applied and the fragmentation process is executed.

ユーザは、上記のようなサービスを利用することで、あまり意識する必要無く重要データ等を安全に取り扱うことができ、情報漏洩等が防止できる。ユーザが端末20でファイルFを閲覧・編集等している時のみ通常の状態となり、保存や伝送の時は本サービスにより自動的に非重要情報の状態になる。   By using the service as described above, the user can safely handle important data and the like without having to be aware of it, and information leakage can be prevented. Only when the user is viewing / editing the file F on the terminal 20 is the normal state, and when storing or transmitting, the service automatically enters the non-critical information state.

[ユーザ認証]
秘密分散サービスの構成例として、秘密分散管理部15では、基本的なユーザ認証処理機能を持つ。ユーザの端末20(秘密分散処理部25)からのアクセスに対し、秘密分散管理部15では、グループ情報60内に含まれるユーザ情報(アカウント情報など)に基づき、例えばユーザID+パスワード等によるユーザ認証処理(ログイン処理)を行う。これを通過する正式なグループのユーザに対して秘密分散サービス(断片化や復元の機能)を提供し、関係無い第三者等によるサービス利用を不許可に制御する。
[User Authentication]
As a configuration example of the secret sharing service, the secret sharing management unit 15 has a basic user authentication processing function. In response to access from the user terminal 20 (secret sharing processing unit 25), the secret sharing management unit 15 performs user authentication processing using, for example, a user ID + password based on user information (account information, etc.) included in the group information 60. (Login process) is performed. A secret sharing service (fragmentation and restoration function) is provided to users of the official group that passes this, and the use of the service by unrelated third parties is controlled without permission.

断片dからファイルFを復元する要求の際(S7等)には、上記ユーザ認証の通過の上で、前記チェック処理(S8等)が行われる。チェックの際、秘密分散サービスでの上記正式なグループのユーザが対象ファイルFの断片duを持ち、かつ、当該ファイルF(ラベルL)対応の公開範囲H(グループG)内での復元要求である場合に、復元実行が許可(OK)されることになる。従来技術とは異なり、秘密分散サービス内で、企業単位等のグループ単位(ドメイン・IPアドレス、グループID等の単位)で、グループ(ユーザ)によるファイル復元をチェック・制御が可能である。ユーザ認証を通過する正式なユーザは、特別な操作を要せず、断片duデータファイルを開く(クリック)等の簡単な操作のみで復元ができる。   When a request to restore the file F from the fragment d (S7, etc.) is made, the check process (S8, etc.) is performed after the user authentication is passed. At the time of the check, this is a restoration request within the public range H (group G) corresponding to the file F (label L) when the user of the official group in the secret sharing service has the fragment du of the target file F In this case, restoration execution is permitted (OK). Unlike the prior art, file restoration by a group (user) can be checked and controlled in a group unit (domain / IP address, group ID, etc.) such as a company in a secret sharing service. An official user who passes the user authentication can perform restoration by a simple operation such as opening (clicking) the fragment du data file without requiring a special operation.

なお例えば、ユーザ認証を通過し秘密分散サービスを利用する正式なグループのユーザであって、かつ、当該グループ(公開範囲)のうち対象ファイルに関して直接の関係者ではないユーザ(例えば特定のプロジェクト(X)の担当者ではないユーザ)が、当該ファイルの復元を要求する場合が考えられる(例えば公開範囲HがグループGX(全ユーザ)で設定されている場合)。この場合、復元時のチェックでは、アクセス元が公開範囲H(GX)に含まれることによりOKの結果となる。サービス部100にはこれら復元時のログ情報が記録されるので、仮に当該ユーザによる復元に問題があるとしても、後で確認や検証を行うことができる。   In addition, for example, a user of an official group who passes user authentication and uses the secret sharing service, and a user (for example, a specific project (X The user who is not the person in charge of ()) requests the restoration of the file (for example, when the disclosure range H is set in the group GX (all users)). In this case, in the check at the time of restoration, the access source is included in the disclosure range H (GX), and the result is OK. Since the log information at the time of restoration is recorded in the service unit 100, even if there is a problem in restoration by the user, confirmation and verification can be performed later.

また例えば、ファイル提供側のグループのユーザが、誤った提供先への送付などに気が付いた場合、すぐに、自分の端末20のフォルダから当該ファイルの断片duデータファイルを削除操作すれば、それに応じて、対応する断片dのセットの削除がASPサーバ10側により行われる。よって不適切な復元を防止できる。なお上記ユーザは当該ファイルが必要な場合は上記削除操作の前に別途当該ファイルを保存しておく。   Further, for example, when a user of a group on the file providing side notices sending to an incorrect providing destination, the user immediately deletes the fragment du data file of the file from the folder of his / her terminal 20, and accordingly, Accordingly, the set of the corresponding fragment d is deleted by the ASP server 10 side. Therefore, inappropriate restoration can be prevented. If the user needs the file, the user stores the file separately before the deletion operation.

[ラベリング画面]
図7は、グループのユーザの端末20でのラベリング時(S1)等に自動的に表示するラベリング画面の例を示す。本例は、ラベリングの際、グループ(例えばGA)のユーザの端末20で、複数の利用可能なテンプレート(例えばTA,TX等)がある場合に、それらの中からユーザにより選択して適用する場合である。適用テンプレートの項目(700)で、利用可能な1つ以上のテンプレートの情報(名称等)を表示し、ユーザにより当該文書ファイルに対して適用するテンプレートを選択する。利用可能なテンプレートが1つの場合は自動的に決定される。
[Labeling screen]
FIG. 7 shows an example of a labeling screen that is automatically displayed at the time of labeling (S1) on the terminal 20 of the user of the group. In this example, when there are a plurality of templates (for example, TA, TX, etc.) that can be used at the terminal 20 of the user of the group (for example, GA) at the time of labeling, the user selects and applies them. It is. In the application template item (700), information (name or the like) of one or more available templates is displayed, and the user selects a template to be applied to the document file. If there is one available template, it is automatically determined.

ラベルの項目(710)では、上記適用テンプレート(例「自社テンプレート」(TA))の情報に基づき、付与ラベルの選択のための、利用可能な1つ以上のラベルの情報を表示し、ユーザにより選択操作させる。ユーザは、表示情報(区分、ルールなど)の参照に基づき、付与対象の文書ファイルの重要度などに応じたラベルを選択する。例えば左の「ラベル」の項目から選択し、OKボタンを押すことで、当該ラベルを付与することができる。   In the label item (710), based on the information of the applied template (eg, “company template” (TA)), information on one or more labels that can be used for selecting a given label is displayed. Make a selection operation. The user selects a label according to the importance of the document file to be assigned based on the reference to the display information (classification, rule, etc.). For example, by selecting from the “Label” item on the left and pressing the OK button, the label can be given.

本例では、5種類のラベルL(701〜705)を示している。各種のラベルの定義に係わり、「ラベル」、「機密情報区分」、「社内外区分」、「ルール」等の項目を有する。「ラベル」の項目は、ラベルの出力(表示、印刷等)上のデザイン(イメージ)を示す。文字は、701は「極秘」、702は「社内限」、703,704は「関係者限」、705は無しである。   In this example, five types of labels L (701 to 705) are shown. It is related to the definition of various labels and has items such as “label”, “confidential information category”, “internal / external category”, and “rule”. The item “label” indicates a design (image) on the output (display, printing, etc.) of the label. The characters 701 are “confidential”, 702 is “internal limit”, 703 and 704 are “related party limit”, and 705 is none.

「機密情報区分」の項目は、本例では、“極秘”、“社内限”、“関係者限”(1)、“関係者限”(2)、“公開情報”、等を有する。この項目は、対象データの機密性に関する区分の情報である。「社内外区分」の項目は、本例では2種類、“社内向け文書”、“社外向け文書”を有する。この項目は、グループ単位の内外の区分を示す。「社内向け文書」の意味は、当該ラベル付き文書ファイルが、特定の社内向けであることを示す。また、「社外向け文書」の意味は、当該ラベル付き文書ファイルが、特定の社内に加えて特定の社外向けであることを示す。   In this example, the item “confidential information classification” includes “confidential”, “in-house limit”, “related party limit” (1), “related party limit” (2), “public information”, and the like. This item is classification information regarding the confidentiality of the target data. In this example, the item “internal / external classification” has two types, “internal document” and “external document”. This item indicates the division inside and outside the group unit. The meaning of “internal document” indicates that the labeled document file is for a specific internal company. The meaning of “document for outside” indicates that the labeled document file is for a specific outside in addition to a specific company.

「ルール」の項目は、ラベル毎に、その利用に関する、グループ内で統一のルール等の説明や、付与対象文書ファイルの重要度などの性質、公開範囲などに関する説明文を記載する。例えば、「社内限」のラベル(702)では、ルールとして、当社内の社員等に限定して当該ラベル付き文書を閲覧等させることを示す。言い換えればその範囲の者以外には当該文書を閲覧等させないことを示す。例えば、「関係者限」(1)のラベル(703)では、当社内の特定グループに属する担当者等(関係者)に限定して当該ラベル付き文書を閲覧等させることを示す。例えば、「関係者限」(2)のラベル(704)では、社内・社外にわたる特定グループに属する担当者等(関係者)に限定して当該ラベル付き文書を閲覧等させることを示す。   In the item of “Rule”, for each label, an explanation of a rule that is unified within the group, a description such as the nature of the importance of the document file to be assigned, a description range, etc. are described. For example, the “internal limit” label (702) indicates that, as a rule, the labeled document is browsed only for employees within the company. In other words, it indicates that the document is not viewed by anyone other than those in the range. For example, a label (703) of “related party limit” (1) indicates that the labeled document is browsed only for persons in charge (participants) belonging to a specific group within the company. For example, the label (704) of “relevant person limit” (2) indicates that the labeled document is to be browsed and limited to persons in charge (participants) belonging to a specific group within and outside the company.

[テンプレート設定画面]
図8は、管理者(K)等のユーザの端末20で設定機能を用いた場合に表示する画面例としてテンプレート設定画面の例を示す。設定の際、管理者(K)等の端末20(設定機能)からASPサーバ10へアクセスし、当該グループのユーザに関するログイン処理を行ってユーザ認証の成功後、管理情報50に基づいて、設定画面を端末20に表示する。
[Template setting screen]
FIG. 8 shows an example of a template setting screen as an example of a screen displayed when the setting function is used on the terminal 20 of a user such as an administrator (K). At the time of setting, the terminal 20 (setting function) such as an administrator (K) accesses the ASP server 10, performs login processing related to the user of the group, and succeeds in user authentication. Is displayed on the terminal 20.

本例では、テンプレート情報の項目(800)、区分の選択の項目(810)、ラベル情報の表示・設定の項目(820)、公開範囲詳細の設定の項目(830)等を有する。テンプレート情報の項目(800)では、設定対象のテンプレートのIDや名称などを表示する。区分の項目(810)では、ユーザによりラベルに関する区分(前記ラベルの定義情報の区分に基づく)を選択可能とする。例えば「社内」「社内&特定社外」「公開」といった区分を表示する。   In this example, it has a template information item (800), a category selection item (810), a label information display / setting item (820), a disclosure range detail setting item (830), and the like. In the template information item (800), the ID and name of the template to be set are displayed. In the category item (810), the category relating to the label (based on the category of the definition information of the label) can be selected by the user. For example, the categories “internal”, “internal & specific external”, and “public” are displayed.

ラベル情報の項目(820)では、対象テンプレートの全ラベルの情報、あるいは、区分の項目(810)でユーザにより選択された区分に対応した種類のラベルの情報を表示する。810で例えば「社内」が選択されると、「社内外区分」が「社内向け文書」のラベル情報のみ表示される。例えば「社内&特定社外」が選択されると、「社内外区分」が「社外向け文書」のラベル情報のみ表示される。本項目では、例えば図7(710)と同様に、ラベル毎に、ラベル、区分(機密情報区分、社内外区分)、ルール、公開範囲、表示順、その他の項目を表示し、ユーザにより各ラベルの定義情報を設定できる。特に「公開範囲」の項目では、前述の公開範囲H情報を確認及び設定することができる。例えば本項目で「設定」が選択されると、当該ラベルLに関連付ける公開範囲Hを、特定のグループ単位(企業単位等)でユーザにより指定して設定できる。例えば、特定のプロジェクト(X)用のテンプレートTXの設定で、公開範囲HXとして、相手の企業B(GB)を指定してグループGX{GA,GB}を設定できる。   In the label information item (820), information on all labels of the target template, or information on the type of label corresponding to the category selected by the user in the category item (810) is displayed. For example, when “internal” is selected in 810, only the label information of “internal / external classification” is displayed. For example, when “internal & specific outside” is selected, only the label information of “external document” is displayed for “internal / external classification”. In this item, for example, as in FIG. 7 (710), for each label, a label, a classification (confidential information classification, internal / external classification), a rule, a disclosure range, a display order, and other items are displayed. Definition information can be set. In particular, in the item “public range”, the above-described public range H information can be confirmed and set. For example, when “setting” is selected in this item, the disclosure range H associated with the label L can be specified and set by the user in a specific group unit (such as a company unit). For example, by setting the template TX for a specific project (X), the group GX {GA, GB} can be set by designating the partner company B (GB) as the disclosure range HX.

更に、公開範囲詳細の設定の項目(830)では、ラベルLに関連付ける公開範囲Hの詳細(本例では企業単位)をユーザにより任意に指定して設定可能である。テンプレートではラベル毎に区分やルール等が概略的に定義されるが、公開範囲Hの項目では、ユーザにより特定のグループ(企業)を公開範囲H(特定社外)として指定することできる。例えば、企業名や企業IDをユーザにより入力して指定する。また企業名や企業ID等で検索可能とする。また、企業リスト情報の項目で、選択指定可能とする主な企業の情報(企業a,b,c,……)を一覧表示し、公開範囲(特定社外)の項目で、ユーザが選択した企業の情報(例「企業a,b」)を表示する。ユーザにより、追加ボタンで追加(指定)でき、削除ボタンで削除(指定取り止め)できる。他の形式として、チェックボックスを表示してユーザにより指定企業にチェックを入れるようにしてもよい。   Furthermore, in the setting item (830) of the disclosure range details, details of the disclosure range H associated with the label L (in this example, a company unit) can be arbitrarily specified and set by the user. In the template, classifications, rules, and the like are roughly defined for each label, but in the item of the disclosure range H, a user can specify a specific group (company) as the disclosure range H (specific outside). For example, the company name and company ID are input and specified by the user. It is also possible to search by company name or company ID. In addition, a list of the main company information (company a, b, c,...) That can be selected and specified in the company list information item, and the company selected by the user in the item of disclosure range (specific outside). Information (eg, “company a, b”) is displayed. The user can add (specify) with the add button and delete (cancel designation) with the delete button. As another format, a check box may be displayed so that a user checks a designated company.

上記リスト等で表示する主な企業の情報は、例えばASPサーバ10で登録済みの企業の情報である。この登録は、例えば予め本サービス事業者が、上場企業などを登録しておく。また、上記リストに表示されない企業についても、クライアント側(ユーザ)から登録することが可能である。その場合、例えば企業登録ボタンを押して、ASPサーバ10と連携した登録処理によって、表示画面で登録したい企業の情報を登録する(グループ情報60)。あるいはサービス部100に登録を要請して登録を行わせてもよい。   The main company information displayed in the list or the like is, for example, information on companies registered in the ASP server 10. For this registration, for example, the service provider registers a listed company in advance. Also, companies that are not displayed in the list can be registered from the client side (user). In that case, for example, the company registration button is pressed, and the information of the company to be registered on the display screen is registered by the registration process in cooperation with the ASP server 10 (group information 60). Alternatively, registration may be performed by requesting the service unit 100 for registration.

「OK」ボタンにより、本画面で編集したテンプレートの情報を端末10に保存すると共にASPサーバ10(管理情報50)へアップロードして登録(設定更新)することができる。ASPサーバ10へ登録されたテンプレートは、当該グループの各ユーザのテンプレートとして反映される。   With the “OK” button, the template information edited on this screen can be stored in the terminal 10 and uploaded to the ASP server 10 (management information 50) for registration (setting update). The template registered in the ASP server 10 is reflected as a template for each user in the group.

また、ラベリング画面でも、図7の例に限らず、図8の例と同様の情報(810,820,830)を表示して、ユーザにより選択等を可能としてもよい。例えば、前記公開範囲Hの付与に係る(b)方式で、公開範囲付与部40の処理機能として、図8(820,830)のような公開範囲Hの設定に関する情報を表示してもよい。   Also, the labeling screen is not limited to the example of FIG. 7, and the same information (810, 820, 830) as in the example of FIG. 8 may be displayed so that the user can select it. For example, in the method (b) relating to the provision of the disclosure range H, information regarding the setting of the disclosure range H as shown in FIG. 8 (820, 830) may be displayed as the processing function of the disclosure range provision unit 40.

[効果等]
以上説明したように、本実施の形態のシステムによれば、各グループのユーザ間で扱われる文書ファイルF等を秘密分散(秘密分散サービス)により安全に保管・伝送でき、ファイルF(断片d)の提供先を誤った場合などにおいても、復元時のチェック機能により、ユーザの操作ミス(提供先や提供ファイルの間違い等)や第三者の不正利用などを原因とする当該ファイルFの不適切な復元(取得・閲覧等)を防止できる。即ちこれにより、例えば企業等の情報流出リスクを下げ、情報漏洩等を防止することができる。特に、文書ファイルF自体の性質(ラベルL,公開範囲H)に応じた復元の制御ができる。
[Effects]
As described above, according to the system of the present embodiment, the document file F and the like handled between users in each group can be safely stored and transmitted by secret sharing (secret sharing service), and the file F (fragment d) Even if the service provider is wrong, the check function at the time of restoration makes the file F inappropriate due to a user's operation error (such as a mistake in the service provider or file provided) or unauthorized use by a third party. Recovery (acquisition, browsing, etc.) can be prevented. In other words, for example, it is possible to reduce the risk of information leakage of a company or the like and prevent information leakage or the like. In particular, it is possible to control restoration according to the properties (label L, disclosure range H) of the document file F itself.

特に、ファイル利用時のユーザ操作性・利便性を損わずに、所定レベル以上の安全性を実現できる。また、ファイル(断片)の提供の手段に依らずに、チェック機能による効果が得られる。   In particular, it is possible to realize safety of a predetermined level or more without impairing user operability and convenience when using a file. Further, the effect of the check function can be obtained regardless of the means for providing the file (fragment).

また本チェック機能では、範囲のチェックは、IPアドレスやグループID等の単位で行われ、個人ユーザ単位ではない。そのため、チェック用のユーザ認証処理などは不要であり、ユーザ利便性などを損なわずにチェックの効果が得られる。前述のように秘密分散サービスでの基本的なユーザ認証処理機能は別にあるが、これは同サービスのアカウントを持つ本人の確認であり、一方、本チェック機能は、ファイル利用が許可されているユーザ(グループ)であることの確認(チェック)であり、両者は異なる。本チェック機能では、この確認(チェック)を、追加的な操作を要求することなく実現できる効果が得られる。   In this check function, the range check is performed in units such as an IP address and a group ID, not in an individual user unit. Therefore, a user authentication process for checking or the like is unnecessary, and a check effect can be obtained without impairing user convenience. As mentioned above, there is a separate basic user authentication processing function in the secret sharing service, but this is confirmation of the person who has the account of the service, while this check function is a user who is permitted to use the file. It is confirmation (check) of being (group), and both are different. With this check function, an effect that this confirmation (check) can be realized without requiring an additional operation is obtained.

[他の実施の形態]
前記ASPサーバ10にて各機能・サービスを1つに統合して提供する構成としたが、別のサーバに分けて構成してもよい。例えば、ラベリング管理機能用のサーバ、秘密分散サービス用のサーバなどを分けて、必要時にサーバ間で連携処理してもよい。
[Other embodiments]
Although the ASP server 10 is configured to integrate and provide each function / service, the ASP server 10 may be configured separately on another server. For example, a server for a labeling management function, a server for a secret sharing service, and the like may be divided and linked between servers when necessary.

ASPサーバ10の秘密分散管理部15で対象ファイルFに関する断片化処理(S4)や復元処理(S10)を行う形態に限らず、ユーザの端末20(秘密分散処理部25)で必要なデータ(断片dのセット等)を取得すること等により、同様に対象ファイルFに関する断片化処理(S4)や復元処理(S10)を行い、ASPサーバ10では復元時チェック部(16)による範囲チェックを行う形態としてもよい。   The secret sharing management unit 15 of the ASP server 10 is not limited to the form in which the fragmentation processing (S4) and the restoration processing (S10) regarding the target file F are performed, but the data (fragment required) in the user terminal 20 (secret sharing processing unit 25) In the same manner, the fragmentation process (S4) and the restoration process (S10) regarding the target file F are performed by acquiring the set of d), and the ASP server 10 performs the range check by the restoration check unit (16). It is good.

また復元時、ASPサーバ10側からチェック処理に必要な管理情報50(テーブル又はそのうち一部の情報)を取得して端末20側でチェック処理を行う形態としてもよい。   Further, at the time of restoration, the management information 50 (table or a part of information) necessary for the check process may be acquired from the ASP server 10 side and the check process may be performed on the terminal 20 side.

また、ラベリング管理機能を備えないシステム形態としてもよい。即ち、文書ファイルFにはラベルL情報が付与されず、ASPサーバ10で提供するサービスは、秘密分散サービスを中心とする。代わりに、ユーザにより文書ファイルF自体に対して公開範囲H情報を付与することができる機能を設ける。例えば前述の端末20の公開範囲付与部40を用いて実現する。例えば文書ファイルFの属性情報内に、ユーザにより指定された企業ID等による公開範囲H情報を記述する。そしてASPサーバ10への要求の情報の中に、上記公開範囲H情報を含ませるようにし、チェック処理を行わせる。   Moreover, it is good also as a system form which is not provided with a labeling management function. That is, the label L information is not given to the document file F, and the service provided by the ASP server 10 is centered on the secret sharing service. Instead, a function is provided that allows the user to give the disclosure range H information to the document file F itself. For example, it implement | achieves using the open range provision part 40 of the above-mentioned terminal 20. FIG. For example, in the attribute information of the document file F, the disclosure range H information based on the company ID specified by the user is described. Then, the disclosure range H information is included in the information of the request to the ASP server 10, and the check process is performed.

以上、本発明者によってなされた発明を実施の形態に基づき具体的に説明したが、本発明は前記実施の形態に限定されるものではなく、その要旨を逸脱しない範囲で種々変更可能であることは言うまでもない。   As mentioned above, the invention made by the present inventor has been specifically described based on the embodiment. However, the present invention is not limited to the embodiment, and various modifications can be made without departing from the scope of the invention. Needless to say.

本発明は、企業の情報処理システムや、ネットワーク上のデータ管理サービスなどに利用可能である。   The present invention can be used for an information processing system of a company, a data management service on a network, and the like.

10…ASPサーバ、11…ラベリング管理部、11−1…設定部、11−2…更新部、15…秘密分散管理部、16…チェック部(復元時チェック部)、20…端末、21…ラベリング処理部、21−1…設定部、21−2…更新部、25…秘密分散処理部、26…文書作成アプリケーション、27…メールクライアント、28…Webブラウザ、30…データセンタ、31…秘密分散サーバ、40…公開範囲付与部、50,55,56…管理情報、60…グループ情報、70…テンプレート情報、80…公開範囲情報、85…サービス情報、90…ネットワーク、100…サービス部(サービス事業者システム)。   DESCRIPTION OF SYMBOLS 10 ... ASP server, 11 ... Labeling management part, 11-1 ... Setting part, 11-2 ... Update part, 15 ... Secret sharing management part, 16 ... Check part (check part at the time of restoration), 20 ... Terminal, 21 ... Labeling Processing unit 21-1 ... Setting unit, 21-2 ... Update unit, 25 ... Secret sharing processing unit, 26 ... Document creation application, 27 ... Mail client, 28 ... Web browser, 30 ... Data center, 31 ... Secret sharing server , 40 ... Public range granting unit, 50, 55, 56 ... Management information, 60 ... Group information, 70 ... Template information, 80 ... Public range information, 85 ... Service information, 90 ... Network, 100 ... Service unit (service provider) system).

Claims (12)

複数のユーザの端末を含むグループの情報処理システムを対象としてサービスを提供するサーバ装置を含むサービス事業者システムを有し、
前記サーバ装置は、前記グループのユーザの端末に対して、対象の文書ファイルを秘密分散技術により断片化する機能と、当該断片から文書ファイルを復元する機能と、を含む秘密分散サービス処理を提供する秘密分散管理部を有し、
前記グループのユーザの端末は、前記サーバ装置の秘密分散管理部にアクセスして前記秘密分散サービス処理を受ける秘密分散処理部を有し、
前記サーバ装置は、前記秘密分散サービス処理における前記復元の際に、復元の可否をチェックして不適切な復元を防止する処理を行うチェック部を備え、
前記サーバ装置は、ユーザにより設定可能な管理情報として、グループ単位ごとに、ID、ドメイン情報またはIPアドレス情報を含む、グループ情報を有し、
前記サーバ装置は、ユーザにより設定可能な管理情報として、前記グループのユーザの端末での文書ファイルに対して、公開範囲の情報をグループ単位で関連付ける、公開範囲情報を有し、
前記文書ファイルの断片を持つ前記グループの情報処理システムは、当該断片から文書ファイルを復元する際、前記サーバ装置へアクセスして、アクセス元の情報と、当該断片または文書ファイルの情報と、を含む要求の情報を送信し、
前記サーバ装置のチェック部は、前記管理情報に基づき、前記要求の情報における前記アクセス元のグループのIDまたはドメインまたはIPアドレスが、当該文書ファイルに関連付けられる公開範囲に含まれるか否かを判定し、
前記サーバ装置の秘密分散管理部は、上記判定の結果に応じて、上記否の場合は、当該文書ファイルの復元処理を実行せず、上記含まれる場合は、当該復元処理を実行して、復元した文書ファイルを前記アクセス元のグループの情報処理システムが取得すること、を特徴とする秘密分散によるデータ管理システム。
A service provider system including a server device that provides a service for an information processing system of a group including a plurality of user terminals;
The server device provides a secret sharing service process including a function of fragmenting a target document file by a secret sharing technique and a function of restoring the document file from the fragment to a user terminal of the group. Has a secret sharing manager,
The terminal of the user of the group has a secret sharing processing unit that accesses the secret sharing management unit of the server device and receives the secret sharing service process,
The server device includes a check unit that performs processing for preventing improper restoration by checking whether restoration is possible during the restoration in the secret sharing service processing,
The server device has group information including ID, domain information, or IP address information for each group as management information that can be set by a user.
The server device has, as management information that can be set by a user, public range information for associating information on a public range in a group unit with a document file on a user terminal of the group,
The information processing system of the group having the fragment of the document file, when restoring the document file from the fragment, accesses the server device, and includes access source information and information of the fragment or document file. Send request information,
The check unit of the server device determines, based on the management information, whether the ID, domain, or IP address of the access source group in the request information is included in a disclosure range associated with the document file. ,
According to the result of the determination, the secret sharing management unit of the server device does not execute the restoration process of the document file in the case of the above, and executes the restoration process in the case of being included, and performs the restoration process. A data management system based on secret sharing, wherein the information processing system of the access source group acquires the document file that has been processed.
複数のユーザの端末を含むグループの情報処理システムを対象としてサービスを提供するサーバ装置を含むサービス事業者システムを有し、
前記サーバ装置は、前記グループのユーザの端末に対して、対象の文書ファイルを秘密分散技術により断片化する機能と、当該断片から文書ファイルを復元する機能と、を含む秘密分散サービス処理を提供する秘密分散管理部を有し、
前記グループのユーザの端末は、前記サーバ装置の秘密分散管理部にアクセスして前記秘密分散サービス処理を受ける秘密分散処理部を有し、
前記サーバ装置は、前記秘密分散サービス処理における前記復元の際に、復元の可否をチェックして不適切な復元を防止する処理を行うチェック部を備え、
前記サーバ装置は、ユーザにより設定可能な管理情報として、グループ単位ごとに、ID、ドメイン情報またはIPアドレス情報を含む、グループ情報を有し、
前記グループのユーザの端末は、文書ファイルに対して、公開範囲の情報をグループ単位で関連付ける処理を行う公開範囲付与部を有し、
前記文書ファイルの断片を持つ前記グループの情報処理システムは、当該断片から文書ファイルを復元する際、前記サーバ装置へアクセスして、アクセス元の情報と、当該断片または文書ファイルの情報と、当該文書ファイルに関連付けられる公開範囲の情報と、を含む要求の情報を送信し、
前記サーバ装置のチェック部は、前記管理情報に基づき、前記要求の情報における前記アクセス元のグループのIDまたはドメインまたはIPアドレスが、当該文書ファイルに関連付けられる公開範囲に含まれるか否かを判定し、
前記サーバ装置の秘密分散管理部は、上記判定の結果に応じて、上記否の場合は、当該文書ファイルの復元処理を実行せず、上記含まれる場合は、当該復元処理を実行して、復元した文書ファイルを前記アクセス元のグループの情報処理システムが取得すること、を特徴とする秘密分散によるデータ管理システム。
A service provider system including a server device that provides a service for an information processing system of a group including a plurality of user terminals;
The server device provides a secret sharing service process including a function of fragmenting a target document file by a secret sharing technique and a function of restoring the document file from the fragment to a user terminal of the group. Has a secret sharing manager,
The terminal of the user of the group has a secret sharing processing unit that accesses the secret sharing management unit of the server device and receives the secret sharing service process,
The server device includes a check unit that performs processing for preventing improper restoration by checking whether restoration is possible during the restoration in the secret sharing service processing,
The server device has group information including ID, domain information, or IP address information for each group as management information that can be set by a user.
The terminal of the user of the group has a disclosure range giving unit that performs processing for associating the disclosure range information with the document unit in units of groups,
When the group information processing system having a fragment of the document file restores the document file from the fragment, the server apparatus accesses the server device to access the source information, the fragment or document file information, and the document. Send the request information, including the disclosure scope information associated with the file,
The check unit of the server device determines, based on the management information, whether the ID, domain, or IP address of the access source group in the request information is included in a disclosure range associated with the document file. ,
According to the result of the determination, the secret sharing management unit of the server device does not execute the restoration process of the document file in the case of the above, and executes the restoration process in the case of being included, and performs the restoration process. A data management system based on secret sharing, wherein the information processing system of the access source group acquires the document file that has been processed.
請求項1記載の秘密分散によるデータ管理システムにおいて、
前記サーバ装置は、前記グループの各ユーザの端末に対して当該グループで利用するラベルの情報を管理するサービスを提供するラベリング管理部を有し、
前記グループのユーザの端末は、前記サーバ装置のラベリング管理部にアクセスし、前記ラベルの情報を利用するための処理を行うラベリング処理部を有し、
前記グループのユーザの端末は、前記サーバ装置の公開範囲情報に対して、前記ラベルと前記公開範囲との関連付けを設定する機能を有し、
前記グループのユーザの端末では、前記ラベリング処理部により、前記文書ファイルに、前記ユーザにより選択されるラベルの情報を付与し、
前記文書ファイルに付与されるラベルの情報は、前記断片化による断片にも付与され、
前記文書ファイルの断片を持つ前記グループの情報処理システムは、当該断片から文書ファイルを復元する際、前記サーバ装置へアクセスして、当該断片に付与されているラベルの情報を含む前記要求の情報を送信し、
前記サーバ装置のチェック部は、前記管理情報に基づき、前記要求の情報における前記アクセス元のグループのIDまたはドメインまたはIPアドレスが、当該文書ファイルのラベルに関連付けられる公開範囲に含まれるか否かを判定すること、を特徴とする秘密分散によるデータ管理システム。
The data management system by secret sharing according to claim 1,
The server device has a labeling management unit that provides a service for managing information on labels used in the group for each user terminal of the group,
The user terminal of the group has a labeling processing unit that performs processing for accessing the labeling management unit of the server device and using the information of the label,
The terminal of the user of the group has a function of setting an association between the label and the disclosure range with respect to the disclosure range information of the server device,
In the user terminal of the group, the labeling processing unit gives the document file information on a label selected by the user,
Label information given to the document file is also given to the fragment by the fragmentation,
When the group information processing system having a fragment of the document file restores the document file from the fragment, the information processing system accesses the server device to obtain the request information including the label information attached to the fragment. Send
The check unit of the server device determines whether the ID, domain, or IP address of the access source group in the request information is included in the disclosure range associated with the label of the document file based on the management information. A data management system using secret sharing, characterized by determining.
請求項2記載の秘密分散によるデータ管理システムにおいて、
前記サーバ装置は、前記グループの各ユーザの端末に対して当該グループで利用するラベルの情報を管理するサービスを提供するラベリング管理部を有し、
前記グループのユーザの端末は、前記サーバ装置のラベリング管理部にアクセスし、前記ラベルの情報を利用するための処理を行うラベリング処理部を有し、
前記グループのユーザの端末では、前記ラベリング処理部により、前記文書ファイルに、前記ユーザにより選択されるラベルの情報を付与し、
前記グループのユーザの端末では、前記公開範囲付与部により、前記文書ファイルに付与されるラベルの情報に対して当該ユーザにより指定されるグループ単位で前記公開範囲の情報を付与する処理を行い、
前記文書ファイルに付与されるラベル及び公開範囲の情報は、前記断片化による断片にも付与され、
前記文書ファイルの断片を持つ前記グループの情報処理システムは、当該断片から文書ファイルを復元する際、前記サーバ装置へアクセスして、当該断片に付与されているラベル及び公開範囲の情報を含む前記要求の情報を送信し、
前記サーバ装置のチェック部は、前記管理情報に基づき、前記要求の情報における前記アクセス元のグループのIDまたはドメインまたはIPアドレスが、当該文書ファイルのラベルに関連付けられる公開範囲に含まれるか否かを判定すること、を特徴とする秘密分散によるデータ管理システム。
The data management system by secret sharing according to claim 2,
The server device has a labeling management unit that provides a service for managing information on labels used in the group for each user terminal of the group,
The user terminal of the group has a labeling processing unit that performs processing for accessing the labeling management unit of the server device and using the information of the label,
In the user terminal of the group, the labeling processing unit gives the document file information on a label selected by the user,
In the terminal of the user of the group, the disclosure range granting unit performs a process of assigning the disclosure range information in a group unit designated by the user to the label information given to the document file,
The label and disclosure range information given to the document file is also given to the fragment by the fragmentation,
When the information processing system of the group having the fragment of the document file restores the document file from the fragment, the information processing system accesses the server device and includes the label attached to the fragment and information on the disclosure range. Send information about
The check unit of the server device determines whether the ID, domain, or IP address of the access source group in the request information is included in the disclosure range associated with the label of the document file based on the management information. A data management system using secret sharing, characterized by determining.
請求項1〜4のいずれか一項に記載の秘密分散によるデータ管理システムにおいて、
前記グループのユーザの端末の秘密分散処理部は、前記文書ファイルを断片化する際に、断片化の要求を前記サーバ装置の秘密分散管理部へ送信し、
前記サーバ装置の秘密分散管理部は、前記断片化の要求に対し、前記断片化の機能の処理により、前記文書ファイルから復元用情報を含む複数の断片のセットを形成し、そのうち、複数の断片を、ネットワーク上の複数の秘密分散サーバに分散して保管し、一部の断片を、前記グループのユーザの端末に保持し、
前記グループのユーザの端末の秘密分散処理部は、前記一部の断片から文書ファイルを復元する際に、復元の要求を前記サーバ装置の秘密分散管理部へ送信し、
前記サーバ装置の秘密分散管理部は、前記復元の要求に対し、前記チェック部の処理結果に応じて、前記復元の機能の処理により、前記複数の秘密分散サーバから前記複数の断片を収集して前記セットから前記文書ファイルを復元し、復元した文書ファイルを前記グループのユーザの端末へ送信すること、を特徴とする秘密分散によるデータ管理システム。
In the data management system by secret sharing as described in any one of Claims 1-4,
The secret sharing processing unit of the user terminal of the group, when fragmenting the document file, sends a fragmentation request to the secret sharing management unit of the server device,
In response to the fragmentation request, the secret sharing management unit of the server device forms a plurality of fragment sets including restoration information from the document file by processing the fragmentation function. Are distributed and stored in a plurality of secret sharing servers on the network, and some fragments are held in the terminals of the users of the group,
The secret sharing processing unit of the user terminal of the group, when restoring the document file from the partial fragment, transmits a restoration request to the secret sharing management unit of the server device,
In response to the restoration request, the secret sharing management unit of the server device collects the plurality of fragments from the plurality of secret sharing servers by processing the restoration function according to the processing result of the check unit. A data management system based on secret sharing, wherein the document file is restored from the set, and the restored document file is transmitted to a user terminal of the group.
請求項1〜4のいずれか一項に記載の秘密分散によるデータ管理システムにおいて、
前記グループのユーザの端末の秘密分散処理部は、前記断片化の機能の処理により、前記文書ファイルから復元用情報を含む複数の断片のセットを形成し、そのうち、複数の断片を、ネットワーク上の複数の秘密分散サーバに分散して保管し、一部の断片を、前記グループのユーザの端末に保持し、
前記グループのユーザの端末の秘密分散処理部は、前記一部の断片から文書ファイルを復元する際に、前記サーバ装置へアクセスして、当該断片に付与されているラベル及び公開範囲の情報を含む前記要求の情報を送信し、
前記サーバ装置の前記チェック部は、前記要求の情報について、前記公開範囲に関する判定を行い、その処理結果を前記グループのユーザの端末へ送信し、
前記グループのユーザの端末は、上記処理結果に応じて、前記復元の機能の処理により、前記複数の秘密分散サーバから前記複数の断片を収集して前記セットから前記文書ファイルを復元すること、を特徴とする秘密分散によるデータ管理システム。
In the data management system by secret sharing as described in any one of Claims 1-4,
The secret sharing processing unit of the terminal of the user of the group forms a set of a plurality of fragments including the restoration information from the document file by the processing of the fragmentation function, and among the plurality of fragments on the network Distributing and storing in a plurality of secret sharing servers, holding some fragments on the terminal of the user of the group,
The secret sharing processing unit of the terminal of the user of the group accesses the server device when restoring the document file from the partial fragment, and includes the label and the disclosure range information given to the fragment. Sending the request information;
The check unit of the server device determines the disclosure range for the request information, transmits the processing result to the user terminal of the group,
The terminal of the user of the group collects the plurality of fragments from the plurality of secret sharing servers and restores the document file from the set by processing of the restoration function according to the processing result. A data management system based on secret sharing.
請求項1〜5のいずれか一項に記載の秘密分散によるデータ管理システムにおいて、
第1のグループの第1のユーザの端末は、第1の文書ファイルを対象として、前記秘密分散サービス処理による前記断片化の機能により、第1の断片を取得して保持し、
前記第1のグループの第1のユーザの端末を提供元とし、第2のグループの第2のユーザの端末を提供先として、前記第1の断片を任意の手段により提供し、
前記第2のグループの第2のユーザの端末は、前記第1の断片から、前記秘密分散サービス処理による前記復元の機能により、前記チェック部の処理結果に応じて、前記第1の文書ファイルを取得すること、を特徴とする秘密分散によるデータ管理システム。
In the data management system by secret sharing as described in any one of Claims 1-5,
The terminal of the first user of the first group acquires and holds the first fragment for the first document file by the fragmentation function by the secret sharing service process,
Providing the first fragment by any means, with the terminal of the first user of the first group as the provider and the terminal of the second user of the second group as the provider,
The terminal of the second user of the second group retrieves the first document file from the first fragment according to the processing result of the check unit by the restoration function by the secret sharing service processing. A data management system using secret sharing, characterized by acquiring.
請求項5に記載の秘密分散によるデータ管理システムにおいて、
前記グループのユーザの端末の秘密分散処理部と、前記サーバ装置の秘密分散管理部との間での前記秘密分散サービス処理に基づき、前記ユーザの端末で特定のフォルダに前記文書ファイルが移動または保存操作がされると、自動的に当該文書ファイルを対象として前記断片化を実行して断片を保持し、また、前記特定のフォルダで前記断片が選択実行または開く操作、あるいは他のフォルダへの移動操作がされると、自動的に前記復元を実行して文書ファイルを取得すること、を特徴とする秘密分散によるデータ管理システム。
The data management system by secret sharing according to claim 5,
Based on the secret sharing service process between the secret sharing processing unit of the user terminal of the group and the secret sharing management unit of the server apparatus, the document file is moved or stored in a specific folder on the user terminal. When an operation is performed, the fragmentation is automatically performed on the document file to hold the fragment, and the fragment is selectively executed or opened in the specific folder, or moved to another folder. A data management system based on secret sharing, which, when operated, automatically executes the restoration to obtain a document file.
請求項6に記載の秘密分散によるデータ管理システムにおいて、
前記グループのユーザの端末の秘密分散処理部による前記秘密分散サービス処理に基づき、前記ユーザの端末で特定のフォルダに前記文書ファイルが移動または保存操作がされると、自動的に当該文書ファイルを対象として前記断片化を実行して断片を保持し、また、前記特定のフォルダで前記断片が選択実行または開く操作、あるいは他のフォルダへの移動操作がされると、自動的に前記復元を実行して文書ファイルを取得すること、を特徴とする秘密分散によるデータ管理システム。
In the data management system by secret sharing according to claim 6,
Based on the secret sharing service processing by the secret sharing processing unit of the user terminal of the group, when the document file is moved or saved to a specific folder on the user terminal, the document file is automatically targeted The fragmentation is executed to hold the fragment, and when the fragment is selected, executed, opened, or moved to another folder in the specific folder, the restoration is automatically executed. A data management system using secret sharing, characterized in that a document file is acquired.
請求項3または4に記載の秘密分散によるデータ管理システムにおいて、
前記グループのユーザの端末のラベリング処理部と、前記サーバ装置のラベリング管理部との間での前記ラベルの付与の処理に基づき、前記ユーザの端末で前記文書ファイルに特定のラベルが付与操作、または当該ラベルが付与された文書ファイルの保存操作がされると、自動的に当該文書ファイルを対象として前記断片化を実行して断片を保持すること、を特徴とする秘密分散によるデータ管理システム。
The data management system by secret sharing according to claim 3 or 4,
Based on the label assignment processing between the labeling processing unit of the user terminal of the group and the labeling management unit of the server device, a specific label is attached to the document file at the user terminal, or A data management system based on secret sharing, wherein when a storage operation of a document file to which the label is attached is performed, the fragmentation is automatically performed on the document file to hold the fragment.
請求項3または4に記載の秘密分散によるデータ管理システムにおいて、
前記グループのユーザの端末から、前記サーバ装置の管理情報に対して、前記グループで利用可能とするための前記ラベルの定義情報を含むテンプレートの情報を設定する処理を行う機能と、
前記グループのユーザの端末が、前記サーバ装置から、前記テンプレートの情報を取得する機能と、を有し、
前記グループのユーザの端末の前記ラベリング処理部は、適用する前記テンプレートの情報に基づき、画面の表示情報の中からユーザにより選択された種類の前記ラベルの情報を前記文書ファイルに対して付与する処理を行うこと、を特徴とする秘密分散によるデータ管理システム。
The data management system by secret sharing according to claim 3 or 4,
A function of performing processing for setting template information including definition information of the label to be usable in the group with respect to management information of the server device from a terminal of a user of the group;
A terminal of a user of the group has a function of acquiring information of the template from the server device;
The labeling processing unit of the user terminal of the group, based on the information of the template to be applied, gives the document file information of the type of the label selected by the user from the display information on the screen A data management system using secret sharing, characterized by
請求項3または4に記載の秘密分散によるデータ管理システムにおいて、
前記グループのユーザの端末から、前記サーバ装置の管理情報に対して、前記グループの情報を設定する処理を行う機能を備え、
前記グループの情報として、前記グループ単位として、複数のユーザの端末を含む企業の情報処理システムの単位、前記企業のうちの任意の複数のユーザの集まりの単位、複数の企業のグループにわたる企業間のグループの単位、及び、複数の企業のグループにわたる任意の複数のユーザの集まりからなる単位、のいずれも設定可能であること、を特徴とする秘密分散によるデータ管理システム。
The data management system by secret sharing according to claim 3 or 4,
A function of performing processing for setting the group information with respect to the management information of the server device from the terminal of the user of the group;
As the group information, as the group unit, a unit of an information processing system of a company including a plurality of user terminals, a unit of a group of arbitrary users of the companies, and between companies over a group of companies A data management system based on secret sharing, characterized in that both a unit of a group and a unit consisting of a group of a plurality of arbitrary users over a group of a plurality of companies can be set.
JP2010122491A 2010-05-28 2010-05-28 Data management system with secret sharing Pending JP2011248711A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2010122491A JP2011248711A (en) 2010-05-28 2010-05-28 Data management system with secret sharing

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2010122491A JP2011248711A (en) 2010-05-28 2010-05-28 Data management system with secret sharing

Publications (1)

Publication Number Publication Date
JP2011248711A true JP2011248711A (en) 2011-12-08

Family

ID=45413877

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010122491A Pending JP2011248711A (en) 2010-05-28 2010-05-28 Data management system with secret sharing

Country Status (1)

Country Link
JP (1) JP2011248711A (en)

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013179569A (en) * 2012-01-30 2013-09-09 Seiko Instruments Inc Data certification system and data certification server
JP2013178737A (en) * 2012-01-30 2013-09-09 Seiko Instruments Inc Data certification system and data certification server
JP2014186592A (en) * 2013-03-25 2014-10-02 Nec Corp Distributed storage system, node, data managing method, and program
WO2016152601A1 (en) * 2015-03-23 2016-09-29 富士フイルム株式会社 Image file distribution device, image file restoration device, method and program therefor, and recording medium in which program is stored
US9946894B2 (en) 2014-06-27 2018-04-17 Panasonic Intellectual Property Management Co., Ltd. Data processing method and data processing device
US10108361B2 (en) 2015-05-11 2018-10-23 Lenovo (Singapore) Pte. Ltd. Information processing apparatus for storing data in cloud environment, terminal device, and storage method
JP2020521213A (en) * 2017-07-14 2020-07-16 ヒタチ ヴァンタラ コーポレーションHitachi Vantara Corporation Method, apparatus and system for controlling user access to a data storage system
WO2020170695A1 (en) * 2019-02-22 2020-08-27 パナソニック株式会社 Secure secret sharing storage system using cloud service
WO2022123795A1 (en) * 2020-12-11 2022-06-16 株式会社野村総合研究所 Service provision system

Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH1165911A (en) * 1997-08-20 1999-03-09 Kyushu Nippon Denki Software Kk Client/server type filing system
JP2006039794A (en) * 2004-07-26 2006-02-09 Base Technology Inc File management system
JP2006301849A (en) * 2005-04-19 2006-11-02 Global Friendship Inc Electronic information storage system
JP2007334417A (en) * 2006-06-12 2007-12-27 Nippon Telegr & Teleph Corp <Ntt> Distributed information sharing method and terminal equipment
JP2008117330A (en) * 2006-11-08 2008-05-22 Fuji Xerox Co Ltd Information processing system and information processing method
JP2009151561A (en) * 2007-12-20 2009-07-09 Hitachi Ltd File management method accompanying electronic tally processing, file management device and portable storage medium
JP2010015542A (en) * 2008-06-03 2010-01-21 Hitachi Ltd File management system

Patent Citations (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH1165911A (en) * 1997-08-20 1999-03-09 Kyushu Nippon Denki Software Kk Client/server type filing system
JP2006039794A (en) * 2004-07-26 2006-02-09 Base Technology Inc File management system
JP2006301849A (en) * 2005-04-19 2006-11-02 Global Friendship Inc Electronic information storage system
JP2007334417A (en) * 2006-06-12 2007-12-27 Nippon Telegr & Teleph Corp <Ntt> Distributed information sharing method and terminal equipment
JP2008117330A (en) * 2006-11-08 2008-05-22 Fuji Xerox Co Ltd Information processing system and information processing method
JP2009151561A (en) * 2007-12-20 2009-07-09 Hitachi Ltd File management method accompanying electronic tally processing, file management device and portable storage medium
JP2010015542A (en) * 2008-06-03 2010-01-21 Hitachi Ltd File management system

Cited By (16)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013179569A (en) * 2012-01-30 2013-09-09 Seiko Instruments Inc Data certification system and data certification server
JP2013178737A (en) * 2012-01-30 2013-09-09 Seiko Instruments Inc Data certification system and data certification server
JP2014186592A (en) * 2013-03-25 2014-10-02 Nec Corp Distributed storage system, node, data managing method, and program
US9946894B2 (en) 2014-06-27 2018-04-17 Panasonic Intellectual Property Management Co., Ltd. Data processing method and data processing device
WO2016152601A1 (en) * 2015-03-23 2016-09-29 富士フイルム株式会社 Image file distribution device, image file restoration device, method and program therefor, and recording medium in which program is stored
JPWO2016152601A1 (en) * 2015-03-23 2017-09-07 富士フイルム株式会社 Image file distribution device, image file restoration device, method thereof, program thereof, and recording medium storing the program
US10175911B2 (en) 2015-03-23 2019-01-08 Fujifilm Corporation Image file distribution apparatus, image file recovery apparatus, image file distribution method, image file recovery method, image file distribution program, image file recovery program, and recording medium storing program
US10108361B2 (en) 2015-05-11 2018-10-23 Lenovo (Singapore) Pte. Ltd. Information processing apparatus for storing data in cloud environment, terminal device, and storage method
JP2020521213A (en) * 2017-07-14 2020-07-16 ヒタチ ヴァンタラ コーポレーションHitachi Vantara Corporation Method, apparatus and system for controlling user access to a data storage system
WO2020170695A1 (en) * 2019-02-22 2020-08-27 パナソニック株式会社 Secure secret sharing storage system using cloud service
JP2020134841A (en) * 2019-02-22 2020-08-31 パナソニック株式会社 Secure secret sharing storage system using cloud service
CN113474829A (en) * 2019-02-22 2021-10-01 松下电器产业株式会社 Secure secret shared storage system using cloud services
JP7356673B2 (en) 2019-02-22 2023-10-05 パナソニックホールディングス株式会社 Secure secret distribution storage system using cloud services
CN113474829B (en) * 2019-02-22 2024-03-15 松下控股株式会社 Secure secret sharing storage system using cloud services
WO2022123795A1 (en) * 2020-12-11 2022-06-16 株式会社野村総合研究所 Service provision system
JP7500771B2 (en) 2020-12-11 2024-06-17 株式会社野村総合研究所 Service provision system

Similar Documents

Publication Publication Date Title
US11240251B2 (en) Methods and systems for virtual file storage and encryption
JP2011248711A (en) Data management system with secret sharing
US7577689B1 (en) Method and system to archive data
US6651061B2 (en) Electronic file management system
CN104603740B (en) Filing data identifies
CN105493435B (en) Virtual Service provider memory block
US20090092252A1 (en) Method and System for Identifying and Managing Keys
AU2019222893B2 (en) Document management system and processing apparatus
CN108696520A (en) More permissions data safety and access
CN108628917A (en) Document file management system and management equipment
US20110099380A1 (en) System and Method of Controlling Access to Information Content Transmitted Over Communication Network
JP2008250369A (en) Management method of secrete data file, management system and proxy server therefor
AU2019261686A1 (en) Management apparatus and document management system
JP2020027221A (en) Secret distribution system and secret distribution method of file
JP6708239B2 (en) Document management system
CN108900510A (en) Off-line data storage method, device, computer equipment and storage medium
WO2019058696A1 (en) Information processing device, protection processing device, and usage terminal
EP3568798B1 (en) Data filing method and system
JP3706821B2 (en) Member information update management system by sharing information among multiple sites
JP7361384B2 (en) Electronic application assistance method, electronic application assistance system, electronic application assistance system program and its recording medium
JP2000286831A (en) Method for managing key recovery right, its system and program recording medium
Zhang et al. A study of the use of idas in cloud storage
JP2004178565A (en) Server for communication management, communication method and program
JP4734941B2 (en) Encapsulation server
JP2002342145A (en) Authentication system for electromagnetic record, and program

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20130312

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20131218

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20140107

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20140507