技术领域本发明涉及秘密分散技术,尤其涉及被碎片化的信息的完整性的保证。
背景技术:
秘密分散技术是为了提高信息的保密性和可用性,将信息分割为多个碎片而分散保管的技术,其中每个碎片单独而言没有任何意义(例如,参照非专利文献1)。为了提高可用性,碎片信息通过例如利用了互联网上的安全信道的通信而被发送给多个数据中心,被保管于数据中心上的存储空间中。【现有技术文献】【非专利文献】【非专利文献1】AdiShamir,\Howtoshareasecret\,CommunicationsoftheACM22(11),pp.612-613,1979.
技术实现要素:
发明要解决的课题但是,虽然说单独的碎片信息不构成意义,但在以往的技术中,存在在多个碎片信息被第三人篡改或者破坏的情况下不能检测的可能性。本发明鉴于这样的问题而完成,其课题在于提供能够检测到通过秘密分散获得的碎片信息的篡改或破坏的技术。用于解决课题的手段以与碎片信息对应的像作为验证信息,将验证信息安全地进行存储或秘密分散。发明效果在本发明中,能够检测到碎片信息的篡改或破坏。附图说明图1是例示了实施方式的秘密分散系统的结构的框图。图2A是例示了第一实施方式的安全装置的结构的框图,图2B是例示了第一、第二实施方式的存储装置的结构的框图。图3是用于例示第一、第二实施方式的分散处理的流程图。图4是用于例示第一、第二实施方式的恢复处理的流程图。图5是用于例示第一、第二实施方式的恢复处理的流程图。图6是例示了第二实施方式的安全装置的结构的框图。图7是用于例示第二实施方式的备份处理的流程图。图8是用于例示第二实施方式备份恢复处理的流程图。图9A是例示了第三实施方式的安全装置的结构的框图,图9B是例示了第三实施方式的存储装置的结构的框图。图10是用于例示第三实施方式的分散处理的流程图。图11是用于例示第三实施方式的恢复处理的流程图。图12A是例示了第三实施方式的变形例安全装置的结构的框图,图12B是例示了第三实施方式的变形例的存储装置的结构的框图。图13是用于例示第三实施方式的变形例的分散处理的流程图。图14是用于例示第三实施方式的变形例的恢复处理的流程图。具体实施方式下面,参照附图说明本发明的实施方式。[第一实施方式]在本方式的秘密分散处理中,由安全装置对处理信息进行秘密分散而得到多个碎片信息,并得到碎片信息基于映射的像(image)即验证信息,将验证信息存储在存储部中(安全地存储)。在本方式的恢复处理中,由安全装置接受恢复所需的碎片信息的输入,将被输入的碎片信息基于映射的像即第四验证信息、与在存储部中存储了的验证信息进行比较,根据对应于与验证信息一致的第四验证信息的碎片信息恢复处理信息。当碎片信息被篡改或者被破坏的情况下,验证信息与第四验证信息会不一致。因此,能够检测碎片信息的篡改或破坏。以下,说明本方式的细节。<结构>如图1例示,本方式的秘密分散系统1具有客户端装置11、安全装置12、以及多个存储装置13-1~13-N(其中,N是2以上的整数)。安全装置12被构成为,能够通过被切断了来自外部的攻击的安全网络,与客户端装置11进行通信。即,客户端装置11与安全装置12在被切断了来自外部的攻击的安全的网络上构成。例如,客户端装置11与安全装置12在利用秘密分散系统1的公司的场所内的安全的网络上构成。此外,安全装置12被构成为,能够通过网络14与存储装置13-1~13-N进行通信。网络14例如是互联网等不安全的网络,但也可以是被切断了来自外部的攻击的安全的网络。《客户端装置11》客户端装置11向安全装置12发送分散对象的处理信息(文件或数据等),或者向安全装置12请求从分散后的碎片信息(共享)恢复到原来的处理信息。客户端装置11例如由集成电路等不需要程序的硬件构成。客户端装置11执行预先存储了处理信息的安全装置12上的程序。此外,客户端装置11也可以是对具有CPU(中央处理单元)、RAM(随机存取存储器)、通信装置等的通用或专用的计算机(例如,个人计算机或服务器计算机等)写入规定的程序而构成的装置。《安全装置12》安全装置12基于来自客户端装置11的请求,按照规定的秘密分散方式进行处理信息的分散处理/恢复处理。随着这些处理,安全装置12在与各存储装置(存储器)13-1~13-N之间发送接收碎片信息。此外,安全装置12在分散处理时,将碎片信息基于映射的像进行存储,随时进行碎片信息的篡改或破坏的检测。另外,在秘密分散中,将处理信息分散为N(其中,N≥2)个碎片信息,使得仅在获得了阈值K个以上(其中,K≥1)的碎片信息的情况下能够恢复处理信息。将满足K=N的秘密分散的方式称为N-out-of-N分散方式,将满足K<N的秘密分散的方式称为K-out-of-N分散方式(例如,参照非专利文献1)。如果汇集了K个以上的准确的碎片信息则能够恢复处理信息,如果没有汇集K个以上的准确的碎片信息则不能完整地获得与处理信息有关的信息。分散数目N以及恢复时需要的碎片信息数目K能够自由设定。此外,“A基于映射的像B”可以是将A输入到规定的函数而获得的函数值B,也可以是将A输入到算法中而获得的输出值B。换言之,“A基于映射的像B”是“对A实施映射f而得到的值B=f(A)”。即,“A基于映射的像B”是“A基于映射f的像B=f(A)”。“映射”的例是具有一方向性(one-wayness)以及耐碰撞性(collisionresistance)的映射。例如,可以利用SHA-256等的加密学的哈希(Hash)函数或哈希算法作为映射,也可以利用AES(高级加密标准(AdvancedEncryptionStandard))或Camellia(注册商标)等的公共密钥加密函数或公共密钥加密算法作为映射。当“映射”为加密学的哈希函数或哈希算法的情况下,“A基于映射的像B”是A的哈希值,当“映射”为公共密钥加密函数或公共密钥加密算法的情况下,“A基于映射的像B”是A的密文。另外,当“映射”具有单向性的情况下,根据碎片信息基于映射的像,不能获得碎片信息,安全性高。因此,“映射”最好具有单向性。此外,当“映射”具有耐碰撞性的情况下,能够以较高的概率检测被篡改或被破坏的碎片信息。因此,“映射”最好具有耐碰撞性。但是,根据用途,可以利用不具有单向性的函数或算法作为“映射”,也可以利用不具有耐碰撞性的函数或算法作为“映射”。安全装置12例如通过在具有CPU、RAM、通信装置等的通用或专用的计算机中写入规定的程序而构成。如图2A例示,本方式的安全装置12具有接口部121(“输出部”“第二输入部”)、秘密分散部122、验证信息生成部123、存储部124、验证部125、126、恢复部127、控制部128、以及存储器129。安全装置12基于控制部128的控制而执行各处理。以下省略说明,但被输入到接口部121的数据或在各部中获得的数据被逐一存储到存储器129或存储部124。存储器129或存储部124中存储的数据根据需要而被写入各部。《存储装置13-n(其中,n=1,...,N)》存储装置13-n例如是数据中心的存储器,保管上述的碎片信息。为了提高可用性,存储装置13-n最好被设置在地理上相互分离的场所。存储装置13-n例如是在具有CPU、RAM、通信装置等的通用或专用的计算机中写入规定的程序而构成的装置。如图2B例示,本方式的存储装置13-n具有接口部131-n、存储部132-n、验证信息生成部133-、控制部138-n、以及存储器139-n。存储装置13-n基于控制部138-n的控制而执行各处理。以下省略说明,但被输入到接口部131-n的数据或在各部中获得的数据被逐一存储到存储器139-n或存储部132-n中。在存储器139-n或存储部132-n中存储的数据根据需要被写入各部。<分散处理>接着,利用图3说明本方式的分散处理。首先,客户端装置11将分散对象的处理信息m与分散要求一并发送(输出)给安全装置12。处理信息m可以是任何信息。处理信息m的例是文档、表、图像、活动图像、语音等文件、或者是数值等数据(步骤S101)。处理信息m在安全装置12(图2A)的接口部121中被接收(接受输入),并被送到秘密分散部122(步骤S102)。秘密分散部122按照规定的秘密分散方式,对处理信息m进行秘密分散,获得N个(多个)碎片信息sn(其中,n=1,...,N)而输出。N个碎片信息sn被送到验证信息生成部123以及接口121(步骤S103)。验证信息生成部123获得被输入的碎片信息sn基于映射H的像即验证信息hn=H(sn)(其中,n=1,...,N)而输出。如前所述,映射H的例是加密学的哈希函数或哈希算法或公共密钥加密函数或公共密钥加密算法,验证信息hn的例是碎片信息sn的哈希值或碎片信息sn的密文。N个验证信息hn(其中,n=1,...,N)被安全地存储到存储部124(步骤S104)。接口部121输出N个碎片信息sn,并将各自经由网络14发送给存储装置13-n(其中,n=1,...,N)。即,碎片信息s1被发送给存储装置13-1,碎片信息s2被发送给存储装置13-2,……碎片信息sN被发送给存储装置13-N(步骤S105)。各碎片信息sn在各存储装置13-n(图2B)的接口部131-n中被接收(接受输入),并被存储到各存储部132-n(步骤S106-n。其中n=1,...,N)。各存储装置13-n的验证信息生成部133-n从各存储部132-n读取碎片信息sn,并获得碎片信息sn基于映射H的像即验证信息hn’=H(sn)(其中,n=1,...,N)而输出。其中,映射H与安全装置12的验证信息生成部123中利用的映射相同。各验证信息hn’经由网络14被发送到安全装置12(步骤S107-n。其中,n=1,...,N)。各验证信息hn’在安全装置12(图2A)的接口部121中被接收(接受输入),并被送到验证部125(步骤S108)。验证部125针对各n=1,...,N,验证被送来的验证信息hn’与从存储部124读取的验证信息hn是否一致(步骤S109)。在此,当针对任意的n=1,...,N是hn≠hn’的情况下,控制部128将处理返回到步骤S105,并指示重新进行步骤S105~S109的处理。另外,可以将步骤S105~S109的处理全部重新进行,但也可以仅针对在步骤S109中成为hn≠hn’的n,重新进行步骤S105~S109的处理。另一方面,当针对所有的n=1,...,N是hn=hn’的情况下结束处理。<恢复处理>接着,利用图4以及图5说明本方式的恢复处理。首先,客户端装置11将恢复请求发送给安全装置12(步骤S121)。安全装置12(图2A)的接口部121接收该恢复请求。接口部121进一步对N个存储装置13-1~13-N中的K个(其中,K≤N)的存储装置13-f(1)~13-f(K)经由网络14发送恢复请求。另外,f是单射(injection),且满足对K个f(1),...,f(K)的选择方法并没有限定。例如,可以从{1,...,N