数据管理装置、数据管理系统、数据管理方法及程序与流程

1.本发明涉及数据管理装置、数据管理系统、数据管理方法及程序。


背景技术：

2.在数据的收发中，已知通过虚拟数据的插入而对发送对象数据进行隐匿的技术。通过某些手段而仅在发送者与接收者之间共享虚拟数据的插入位置，通过由发送者向接收者发送插入有虚拟数据的数据，从而能够对接收者以外的第三方隐匿发送对象数据。这是因为知晓插入位置的接收者能够从插入有虚拟数据的数据对发送对象数据进行恢复，但不知晓插入位置的第三方难以从插入有虚拟数据的数据对发送对象数据进行恢复。
3.上述技术能够应用于装置彼此间的数据通信以及装置内的功能部彼此的数据通信这两者。例如，在装置间的通信线路可能被第三方窃听的情况下，能够通过对装置彼此间的数据通信应用上述技术，从而对第三方隐匿发送对象数据。另外，例如，想到在该装置是能够执行第三方所创建的程序的装置的情况下，通过执行带有恶意的程序，从而被第三方对功能部间的通信线路进行窃听。即使在这样的情况下，也能够通过对功能部彼此间的数据通信应用上述技术，从而对第三方隐匿发送对象数据。
4.在专利文献1中公开了向发送对象数据插入虚拟数据，进一步通过公共密钥对插入了虚拟数据后的数据进行加密，由此对发送对象数据进行隐匿的通信系统。在专利文献1的通信系统中，虚拟数据的插入位置以及加密所使用的公共密钥是基于由在发送侧的第1通信装置和接收侧的第2通信装置中具有共通的功能的共通数据生成部所生成的共通数据而决定的。通过共通数据生成部而在第1通信装置和第2通信装置中生成相同的共通数据，因而能够由第1通信装置和第2通信装置、即发送者和接收者共享插入位置以及公共密钥。
5.专利文献1：日本特开2011
‑
259439号公报


技术实现要素：

6.但是，在专利文献1的通信系统中，存在如果共通数据生成部的功能被第三方知晓，则丧失数据的隐匿性的问题。例如，第三方能够通过购入与上述第1通信装置或者第2通信装置相应的产品而进行解析，从而知晓共通数据生成部的功能。知晓了共通数据生成部的功能的第三方能够容易地知晓在第1通信装置与第2通信装置之间使用的共通数据。而且，知晓了共通数据的第三方还能够知晓基于共通数据而决定的插入位置以及公共密钥。因此，第三方能够容易地从插入有虚拟数据的数据对发送对象数据进行恢复。
7.本发明的目的在于鉴于上述情况，提供对第三方来说难以从插入有虚拟数据的数据对发送对象数据进行恢复的数据管理装置等。
8.为了达成上述目的，本发明涉及的数据管理装置具有：插入位置决定单元，其决定向发送对象数据插入的虚拟数据的插入位置；虚拟数据插入单元，其向所述发送对象数据的所述插入位置处插入所述虚拟数据而创建虚拟信息插入后数据；插入位置加密单元，其通过公钥对表示所述插入位置的数据进行加密，创建插入位置加密数据；以及发送单元，其
对所述虚拟信息插入后数据和所述插入位置加密数据进行发送。
9.发明的效果
10.根据本发明，通过公钥对虚拟数据的插入位置进行加密，因而对不具有与该公钥相应的私钥的第三方来说，发送对象数据的恢复是困难的。
附图说明
11.图1是本发明的实施方式1涉及的数据管理系统的结构图。
12.图2是表示本发明的实施方式1涉及的数据管理系统中的发送对象数据的一个例子的图。
13.图3是本发明的实施方式1涉及的数据管理装置的功能结构图。
14.图4是本发明的实施方式1涉及的数据管理装置的数据处理部的功能结构图。
15.图5是表示本发明的实施方式1涉及的数据管理装置的硬件结构的一个例子的图。
16.图6是表示由本发明的实施方式1涉及的数据管理装置实现的虚拟数据插入的一个例子的图。
17.图7是表示由本发明的实施方式1涉及的数据管理装置实现的虚拟数据插入的一个例子的图。
18.图8是表示由本发明的实施方式1涉及的数据管理装置实现的虚拟数据插入的一个例子的图。
19.图9是表示由本发明的实施方式1涉及的数据管理装置实现的虚拟数据插入的一个例子的图。
20.图10是表示由本发明的实施方式1涉及的数据管理装置实现的数据发送的动作的一个例子的流程图。
21.图11是表示由本发明的实施方式1涉及的数据处理部实现的数据处理的动作的一个例子的流程图。
22.图12是本发明的实施方式2涉及的数据管理系统的结构图。
23.图13是本发明的实施方式2涉及的数据管理装置的功能结构图。
24.图14是本发明的实施方式2涉及的数据处理装置的功能结构图。
25.图15是本发明的实施方式3涉及的数据管理系统的结构图。
26.图16是本发明的实施方式3涉及的数据管理装置的功能结构图。
27.图17是本发明的实施方式3涉及的数据管理装置的数据处理部的功能结构图。
具体实施方式
28.以下，一边参照附图一边说明将本发明涉及的数据管理装置应用于数据管理系统的实施方式。在各附图中，对相同或者等同的部分标注相同的标号。
29.(实施方式1)
30.一边参照图1一边说明实施方式1涉及的数据管理系统1。数据管理系统1是从存在于工厂fc的生产现场ps的多个传感器20收集检测数据，对收集到的数据进行处理的系统。数据管理系统1具有从多个传感器20收集检测数据而进行处理的数据管理装置10和对状态、环境等进行检测而向数据管理装置10发送检测数据的传感器20。
31.数据管理装置10例如是在工厂fc的管理室cr设置的工业用计算机。数据管理装置10经由工厂网络fn而与各传感器20进行通信，从各传感器20接收检测数据。数据管理装置10对从各传感器20接收到的检测数据进行处理。关于数据管理装置10的功能结构，会在后面进行叙述。数据管理装置10是本发明涉及的数据管理装置的一个例子。
32.在数据管理装置10中，在对检测数据进行处理时，基于检测数据而创建发送对象数据，该发送对象数据在被隐匿化后发送至后述的数据处理部30，被隐匿化的发送对象数据在数据处理部30中被恢复、处理。隐匿化的详情会在后面叙述。在实施方式1中，为了容易理解，设为在向数据处理部30的数据发送以外的通信中，不进行数据的隐匿化。
33.此外，还会想到以下情况，即，这里所说的“发送对象数据”这一名称在将接收该数据的数据处理部30作为主体的情况下会变为“接收对象数据”这一名称。但是，在以下的说明中，统一记载为“发送对象数据”。
34.传感器20例如是在工业用设备设置的传感器，该工业用设备设置于工厂fc的生产现场ps。传感器20例如是在工业用设备设置的电压传感器、电流传感器、转速传感器等。传感器20对电压、电流、转速等工业用设备的状态持续地进行检测，经由工厂网络fn而将检测数据持续地向数据管理装置10发送。在以下的说明中，各传感器20设置于工业用设备，将电压数据、电流数据以及转速数据作为检测数据而向数据管理装置10发送。
35.接下来，一边参照图2，一边说明数据管理装置10所创建的发送对象数据的一个例子。这里所说的发送对象数据是指未被隐匿化的原始数据。
36.如图2所示，发送对象数据包含由行和列表示的时序数据。在图2所示的例子中，以行为单位，电压、电流以及转速的数据即检测数据被与时刻关联起来。即，发送对象数据是由行和列表示、各行被与时间关联起来的时序数据。由“时间”而非“时刻”来表示是因为，除时刻以外，只要是包含年月日的日期时间、从预先确定的时刻算起的经过时间、从某个时刻起至另外的某个时刻为止的期间等与时间相关的参数即可，可以将时刻以外的参数与检测数据关联起来。
37.此外，如果考虑到后述的虚拟数据插入，则优选时序数据的行数在某种程度上是随机的。这是因为在时序数据的行数固定的情况下，有可能推测出所插入的虚拟数据的数量，时序数据本身的推测也有可能变容易。在以下说明中，设为时序数据的行数在某种程度上是随机的。
38.发送对象数据也可以除了上述的时序数据以外，还包含表示数据的创建日期时间、与数据管理装置10相关的信息、与后述的数据处理部30应进行的处理相关的信息等的元数据。
39.接下来，一边参照图3一边说明数据管理装置10的功能结构。数据管理装置10具有：收集部100，其从各传感器20收集检测数据；传送部110，其对数据的传送进行集中控制；转换部120，其将发送对象数据转换为隐匿化数据；数据处理部30，其接收隐匿化数据而对发送对象数据进行恢复，对发送对象数据进行处理；存储部130，其对数据处理部30的公钥puba进行保存；以及显示部140，其对数据处理部30的处理结果进行显示。
40.在图3中，示出了1个数据处理部30以及1个收集部100，但也可以是多个。不同于数据管理装置10的其它功能部，可以设想到数据处理部30以及收集部100由不是数据管理装置10的制造者的创建者创建的情况。例如，通过由数据管理装置10执行该创建者所创建的
程序，从而实现由该创建者创建的数据处理部30或者收集部100的功能。在以下说明中，设为数据处理部30由不是数据管理装置10的制造者的创建者创建。
41.为了容易理解，在对数据管理装置10的各结构的详情进行说明之前，对数据处理部30的概要进行说明。关于公钥puba，也一并进行说明。数据处理部30从传送部110接收隐匿化数据。数据处理部30从隐匿化数据对发送对象数据进行恢复。数据处理部30对发送对象数据进行处理。作为数据的处理，例如举出基于发送对象数据所包含的电压、电流、转速等数据而对在工厂fc的生产现场ps设置的工业用设备是否产生了异常进行诊断。在以下说明中，作为数据的处理，设为数据处理部30基于发送对象数据所包含的电压、电流以及转速的数据而进行工业用设备的诊断。数据处理部30将处理结果数据发送至传送部110。数据处理部30是本发明涉及的数据处理单元的一个例子。
42.数据处理部30的创建者例如预先创建公钥和与该公钥对应的私钥，将公钥作为公钥puba而向数据管理装置10的制造者发布，将私钥作为后述的私钥seca而保存于数据处理部30。公钥以及私钥例如是通过rsa加密方式而创建的。
43.以下，对数据管理装置10的各功能部的详情进行说明。收集部100从各传感器20持续地接收检测数据，与收集时刻关联地输出至传送部110。收集部100例如由工厂网络用的网络接口实现。
44.传送部110从收集部100持续地取得与收集时刻关联起来的检测数据。传送部110在取得了大于或等于预先确定的数量的检测数据之后，将这些检测数据汇总而创建图2所示这样的发送对象数据。传送部110将发送对象数据输出至转换部120，从转换部120取得隐匿化数据。传送部110将隐匿化数据发送至数据处理部30。传送部110从数据处理部30接收处理结果数据。传送部110将处理结果数据输出至显示部140，使处理结果显示于显示部140。传送部110是本发明涉及的发送单元的一个例子。
45.转换部120从传送部110取得发送对象数据而转换为隐匿化数据，将隐匿化数据输出至传送部110。更具体而言，转换部120将虚拟数据插入至发送对象数据而创建虚拟信息插入后数据，通过数据处理部30的公钥puba对表示插入位置的数据进行加密而创建插入位置加密数据，通过将虚拟信息插入后数据与插入位置加密数据进行结合而将发送对象数据转换为隐匿化数据。即，转换部120通过将虚拟数据插入至发送对象数据，对表示插入位置的数据进行加密而将发送对象数据隐匿化。
46.转换部120具有：插入位置决定部121，其决定虚拟数据的插入位置；虚拟数据插入部122，其将虚拟数据插入至发送对象数据而创建插入后数据；以及插入位置加密部123，其对表示插入位置的数据进行加密而创建插入位置加密数据。
47.插入位置决定部121决定向发送对象数据插入的虚拟数据的插入位置。插入位置的决定的详情会在后面叙述。为了使第三方难以推测插入位置，优选插入位置决定部121以预先确定的发送次数为单位而决定插入位置。特别地，优选针对每次的发送而变更插入位置。插入位置决定部121例如针对每次发送而随机地决定插入位置。但是，作为随机地决定了插入位置的结果，插入位置偶尔一致也可以。另外，也可以不是每次，而是每3次、每5次等以大于或等于2的预先确定的发送次数为单位来决定插入位置。另外，“预先确定的发送次数”也可以并非始终是恒定的。例如，也可以是，当前的“预先确定的发送次数”为3，在发送3次而决定了插入位置之后，将新的“预先确定的发送次数”设为其它次数。插入位置决定部
121是本发明涉及的插入位置决定单元的一个例子。
48.虚拟数据插入部122将虚拟数据插入至由插入位置决定部121决定的插入位置而创建虚拟信息插入后数据。虚拟数据的插入的详情会在后面叙述。虚拟数据插入部122是本发明涉及的虚拟数据插入单元的一个例子。
49.插入位置加密部123创建表示由插入位置决定部121决定的插入位置的数据。插入位置加密部123通过在存储部130保存的数据处理部30的公钥puba对表示插入位置的数据进行加密而创建插入位置加密数据。插入位置加密部123是本发明涉及的插入位置加密单元的一个例子。
50.转换部120将由虚拟数据插入部122创建的虚拟信息插入后数据与由插入位置加密部123创建的插入位置加密数据进行结合而创建隐匿化数据，输出至传送部110。
51.存储部130对数据处理部30的公钥puba进行保存。如上所述，公钥puba例如预先由数据处理部30的创建者发布。
52.显示部140从传送部110取得处理结果数据，基于该数据而对处理结果进行显示。如上所述，在本说明中，数据处理部30进行诊断，因而显示部140对诊断结果进行显示。显示部140例如由液晶显示器、电子公告牌等显示器实现。
53.一边参照图4一边说明数据处理部30的功能结构。数据处理部30具有：转换部310，其从传送部110接收隐匿化数据而转换为发送对象数据；存储部320，其对私钥seca进行保存；以及处理执行部330，其对发送对象数据进行处理。如上所述，私钥seca是与公钥puba相应的私钥。由公钥puba加密的数据能够通过私钥seca进行解密。
54.转换部310从传送部110接收隐匿化数据而转换为发送对象数据，将发送对象数据输出至处理执行部330。更具体而言，转换部310通过私钥seca对隐匿化数据所包含的插入位置加密数据进行解密，取得表示插入位置的数据，从隐匿化数据所包含的虚拟信息插入后数据去除被插入至插入位置处的虚拟数据而对发送对象数据进行恢复，由此将隐匿化数据转换为发送对象数据。转换部310是本发明涉及的接收单元的一个例子。
55.转换部310具有从插入位置加密数据对表示插入位置的数据进行解密的插入位置解密部311和从虚拟信息插入后数据将虚拟数据去除而对发送对象数据进行恢复的数据恢复部312。
56.插入位置解密部311通过在存储部320保存的私钥seca对隐匿化数据所包含的插入位置加密数据进行解密，取得表示插入位置的数据。如上所述，插入位置加密数据是通过数据处理部30的公钥puba对表示插入位置的数据进行加密后的数据。因此，插入位置加密数据能够通过与公钥puba相应的私钥seca而进行解密。插入位置解密部311是本发明涉及的插入位置解密单元的一个例子。
57.数据恢复部312通过参照由插入位置解密部311解密后的表示插入位置的数据，从虚拟信息插入后数据将被插入至该插入位置处的虚拟数据去除，从而对发送对象数据进行恢复。数据恢复部312是本发明涉及的数据恢复单元的一个例子。
58.转换部310将由数据恢复部312恢复出的发送对象数据输出至处理执行部330。
59.存储部320对与公钥puba相应的私钥seca进行保存。关于私钥seca以及公钥puba，如上述的那样。
60.处理执行部330从转换部310取得发送对象数据而进行处理。如上所述，数据处理
部30进行诊断以作为处理，因而处理执行部330进行基于发送对象数据的诊断。处理执行部330例如基于发送对象数据所示的过去5分钟期间的电压、电流以及转速的变化，对在工厂fc设置的工业用设备是否存在异常进行诊断。处理执行部330将处理结果数据发送至传送部110。
61.如上所述，数据处理部30进行诊断以作为处理，因而处理结果是诊断结果。诊断结果例如可以仅表示是否存在异常，也可以不仅表示是否存在异常，还一并示出关于电压的变化的信息、关于检测数据与阈值之间的对比的信息等作为诊断依据的信息。
62.接下来，一边参照图5一边对数据管理装置10的硬件结构的一个例子进行说明。图5所示的数据管理装置10例如由个人计算机、微控制器等计算机实现。
63.数据管理装置10具有经由总线1000而彼此连接的处理器1001、存储器1002、接口1003和次级存储装置1004。
64.处理器1001例如是cpu(central processing unit：中央运算装置)。通过由处理器1001将在次级存储装置1004存储的动作程序读入至存储器1002并执行，从而实现数据管理装置10的各功能。
65.存储器1002例如是由ram(random access memory)构成的主存储装置。存储器1002对由处理器1001从次级存储装置1004读入的动作程序进行存储。另外，存储器1002作为处理器1001执行动作程序时的工作存储器而起作用。
66.接口1003例如是串行端口、usb(universal serial bus)端口、网络接口等i/o(input/output)接口。由接口1003实现收集部100的功能。
67.次级存储装置1004例如是闪存、hdd(hard disk drive)、ssd(solid state drive)。次级存储装置1004对处理器1001所执行的动作程序进行存储。由次级存储装置1004实现存储部130以及存储部320的功能。
68.接下来，一边参照图2、图6、图7、图8及图9一边说明插入位置的决定以及虚拟数据的插入。作为针对图2所示这样的发送对象数据所包含的由行和列表示的时序数据，决定虚拟数据的插入位置的方法，例如考虑以下4个方法。此外，在图6、图7、图8及图9中，由斜线表示的数据是虚拟数据。
69.(a)如图6所示，随机地决定虚拟数据的插入位置。
70.(b)如图7所示，以行数增加的方式决定虚拟数据的插入位置。
71.(c)如图8所示，以列数增加的方式决定虚拟数据的插入位置。
72.(d)如图9所示，将(b)和(c)进行组合。
73.在(a)的随机地决定插入位置的方法的情况下，如图6所示，针对各时刻，数据的列数分散。因此，如以下所说明的这样，存在第三方容易推测哪个数据是虚拟数据的问题。因此，与(a)的方法相比，更优选(b)、(c)以及(d)的方法。
74.例如，如果关注图6所示的数据中的列数最小的行，则可知在该行中未插入虚拟数据。因此，可以认为，即使是不知晓虚拟数据的插入位置的第三方，也会想到在列数最小的行未插入虚拟数据，对在列数并非最小的行插入的虚拟数据的个数进行推测。
75.并且，由于检测数据的种类是以列为单位而确定下来的，所以可以认为该第三方有可能推测出哪个数据是虚拟数据。例如，关注图6所示的上2行、即时刻13：02：03的行(以下，在该段落中称为“第1行”)和时刻13：02：05的行(以下，在该段落中称为“第2行”)。第2行
的列数为3，是最小的，因而第三方推测为在第2行中未插入虚拟数据。第1行的列数为5，因而第三方推测为插入了2个虚拟数据。第2行的“电流”的数据“131.7”与第1行的“转速”的“130.5”近似，因此，第三方推测为第1行的“转速”是本来应成为“电流”的数据，第1行的“电流”的数据是虚拟数据。同样地，第三方推测为第1行的末尾的数据也是虚拟数据。
76.如上所述，在向由行和列表示的时序数据插入虚拟数据的情况下，如果随机地决定虚拟数据的插入位置，则有可能被推测出哪个数据是虚拟数据。
77.在(b)的以行数增加的方式而决定插入位置的方法中，如图7所示，在某个时刻的行与另一个时刻的行之间追加整个行为虚拟数据的虚拟行。如上所述，未插入虚拟行的时序数据的行数在某种程度上是随机的，因此在虚拟行的插入之后也难以推测虚拟行的数量。另外，虚拟行的数据形式与不是虚拟行的行的数据形式相同，也不会如(a)的情况这样根据列数据的不同而推测出虚拟数据。因此，也难以推测哪一行是虚拟行。此外，优选所插入的虚拟行的数量以及虚拟行的插入位置是以预先确定的发送次数为单位而随机地决定的。
78.在数据管理系统1这样的对工厂的生产现场的数据进行处理的系统中，成为处理对象的数据的随时间的推移是重要的。因此，通过使用(b)的方法将虚拟行插入，对数据的随时间的推移进行伪装，从而即使第三方直接取得了包含虚拟行的数据，也无法利用该数据。因此，能够通过向发送对象数据所包含的时序数据插入虚拟行，从而对发送对象数据进行隐匿。
79.在(c)的以列数增加的方式而决定插入位置的方法中，如图8所示，在某一列与另一列之间，追加整个列为虚拟数据的虚拟列。例如，如图8所示，追加“电阻”的列以及“温度”的列作为虚拟列，设定第三方难以推测为虚拟数据的值作为该列的各行的虚拟数据。通过这样插入虚拟列，从而只要第三方不知晓实际上在数据的处理中使用的列，第三方就难以利用被插入了虚拟列的数据。此外，优选与虚拟行的情况相反，所插入的虚拟列的数量以及虚拟列的插入位置是恒定的。这是因为，如果虚拟列的插入位置在每次发送时发生变化，则对第三方来说，反而容易推测出不是虚拟列的列。例如，根据插入了“电阻”的列以及“温度”的列的数据和仅插入了“电阻”的列的数据，被第三方推测出“温度”的列是虚拟列。另外，如果“电阻”的列的插入位置发生变化，则被第三方推测出“电阻”的列是虚拟列。
80.如图9所示，能够通过将(b)和(c)组合起来的方法而进一步提高发送对象数据的隐匿性。
81.此外，如上所述，发送对象数据也可以包含元数据，因而也可以向该元数据插入虚拟数据。该元数据不是由行和列表示的时序数据，因此，在向该元数据插入虚拟数据的情况下，随机地决定虚拟数据的插入位置。
82.接下来，一边参照图10一边说明由数据管理装置10进行的向数据处理部30的数据发送的动作的一个例子。图10所示的动作例如在数据管理装置10的启动时开始。
83.数据管理装置10的收集部100从各传感器20收集检测数据而与收集时刻进行关联(步骤s101)。数据管理装置10的传送部110从收集部100取得检测数据而创建发送对象数据(步骤s102)。
84.数据管理装置10的转换部120的插入位置决定部121决定被插入至发送对象数据中的虚拟数据的插入位置(步骤s103)。转换部120的虚拟数据插入部122向在步骤s103中决
定的插入位置处插入虚拟数据而创建虚拟信息插入后数据(步骤s104)。转换部120的插入位置加密部123通过在存储部130保存的数据处理部30的公钥puba对表示插入位置的数据进行加密而创建插入位置加密数据(步骤s105)。
85.转换部120将在步骤s104中创建的虚拟信息插入后数据和在步骤s105中创建的插入位置加密数据进行结合而创建隐匿化数据(步骤s106)。传送部110将在步骤s106中创建的隐匿化数据向数据处理部30发送(步骤s107)。然后，数据管理装置10重复从步骤s101起的动作的流程。
86.接下来，一边参照图11一边说明由数据处理部30进行的数据处理的动作的一个例子。图11所示的动作例如在数据管理装置10的启动时开始。
87.数据处理部30的转换部310等待由传送部110发送的隐匿化数据的接收(步骤s201)。
88.在接收到隐匿化数据之后，数据处理部30的转换部310的插入位置解密部311通过在存储部320保存的私钥seca对隐匿化数据所包含的插入位置加密数据进行解密，取得表示插入位置的数据(步骤s202)。
89.转换部310的数据恢复部312参照在步骤s202中取得的表示插入位置的数据，从隐匿化数据所包含的虚拟信息插入后数据将虚拟数据去除而对发送对象数据进行恢复(步骤s203)。转换部310的处理执行部330对在步骤s203中恢复的发送对象数据进行处理(步骤s204)。
90.处理执行部330将对发送对象数据进行处理得到的处理结果数据向传送部110发送(步骤s205)。然后，数据处理部30重复从步骤s201起的动作的流程。
91.以上，对实施方式1涉及的数据管理系统1进行了说明。根据数据管理系统1的数据管理装置10，通过数据处理部30的公钥puba对表示虚拟数据的插入位置的数据进行加密，因而对于不具有与公钥puba相应的私钥seca的第三方来说，发送对象数据的恢复是困难的。
92.另外，在数据管理装置10中，以预先确定的发送次数为单位而决定虚拟数据的插入位置，由此对第三方来说，发送对象数据的恢复变得更为困难。特别地，通过在每次的发送时变更插入位置，从而对第三方来说，发送对象数据的恢复是困难的。
93.另外，在数据管理装置10中，通过在向发送对象数据所包含的由行和列表示且各行被与时间关联起来的时序数据插入虚拟数据时，以行数增加的方式决定插入位置，从而对第三方来说，发送对象数据的恢复变得更为困难。同样地，通过以列数增加的方式决定插入位置，从而对第三方来说，发送对象数据的恢复变得更为困难。
94.另外，在数据管理装置10中，不对虚拟信息插入后数据进行由公钥puba实现的加密，而仅对表示插入位置的数据进行由公钥puba实现的加密，因而与对数据整体进行加密的情况相比，处理负荷小。
95.(实施方式2)
96.一边参照图12、图13及图14一边说明实施方式2涉及的数据管理系统1a。数据管理系统1a具有数据管理装置10a、传感器20和数据处理装置30a。数据管理系统1a在数据管理装置10a通过经由互联网nt向数据处理装置30a发送隐匿化数据而进行数据的处理这一点上与实施方式1不同。简言之，数据管理系统1a是将实施方式1的数据管理装置10的数据处
理部30置换为外部的装置即数据处理装置30a的数据管理系统。数据管理系统1a是本发明涉及的数据管理系统的一个例子。
97.此外，在实施方式2中，公钥puba是数据处理装置30a的公钥，私钥seca是与公钥puba相应的数据处理装置30a的私钥。
98.如图13所示，与实施方式1的不同点在于，数据管理装置10a还具有与数据处理装置30a进行通信的通信部150a，传送部110a经由通信部150a而与数据处理装置30a进行通信。
99.如图14所示，数据处理装置30a具有大致与实施方式1的数据处理部30相同的结构，但与实施方式1的不同点在于，还具有与数据管理装置10a进行通信的通信部300a，转换部310a以及处理执行部330a经由通信部300a而与数据管理装置10a进行通信。数据处理装置30a是本发明涉及的数据管理装置的一个例子。
100.此外，数据处理装置30a与数据管理装置10同样地，例如由图5所示的硬件结构实现。
101.通过将数据管理系统1a设为上述结构，从而能够将通过装置间通信即从数据管理装置10a向数据处理装置30a的通信而发送的发送对象数据与实施方式1同样地进行隐匿而发送。关于动作以及效果，与实施方式1相同，因此省略说明。
102.(实施方式3)
103.一边参照图15、图16及图17一边说明实施方式3涉及的数据管理系统1b。在数据管理系统1b中，从数据处理部30b向传送部110b发送的处理结果数据也被隐匿。隐匿的方法与实施方式1相同。以下，将该隐匿后的数据称为隐匿化结果数据。就数据管理系统1b的结构而言，除了数据管理装置10b与实施方式1的数据管理装置10不同这一点以外，与实施方式1的数据管理系统1相同。
104.接下来，一边参照图16一边说明数据管理装置10b的功能结构中的与实施方式1的不同点。但是，关于数据处理部30b，会在后面叙述。
105.传送部110b在具有从数据处理部30b接收隐匿化结果数据，由转换部120b转换为处理结果数据而输出至显示部140的功能这一点上与实施方式1不同。转换部120b在具有将从传送部110b取得的隐匿化结果数据转换为处理结果数据而输出至传送部110b的功能这一点上与实施方式1不同。存储部130b在还对数据管理装置10b的私钥secb进行保存这一点上与实施方式1不同。
106.数据管理装置10b的私钥secb是指由数据管理装置10b的制造者创建而与数据管理装置10b关联起来的私钥。另外，后述的数据管理装置10b的公钥pubb是指与私钥secb相应的公钥。公钥pubb例如由数据管理装置10b的制造者预先向数据处理部30b的创建者发布。
107.转换部120b在为了对隐匿化结果数据进行转换而还具有插入位置解密部124b和数据恢复部125b这一点上与实施方式1不同。插入位置解密部124b的功能除了通过由存储部130b保存的私钥secb进行解密这一点以外，与实施方式1的数据处理部30的插入位置解密部311相同。数据恢复部125b的功能与实施方式1的数据处理部30的数据恢复部312的功能相同。
108.接下来，一边参照图17一边说明数据处理部30b的功能结构中的与实施方式1的不
同点。
109.处理执行部330b在将处理结果数据不向传送部110b发送而是向转换部310b输出这一点上与实施方式1不同。转换部310b在具有将从处理执行部330b取得的处理结果数据转换为隐匿化结果数据而向传送部110b发送的功能这一点上与实施方式1不同。存储部320b在还对数据管理装置10b的公钥pubb进行保存这一点上与实施方式1不同。
110.转换部310b在为了将处理结果数据转换为隐匿化结果数据而还具有插入位置决定部313b、虚拟数据插入部314b和插入位置加密部315b这一点上与实施方式1不同。插入位置决定部313b以及虚拟数据插入部314b的功能与实施方式1的数据管理装置10的插入位置决定部121以及虚拟数据插入部122大致相同。但是，处理结果数据通常不是时序数据，因此，也可以通过上述的(a)的方法而决定插入位置。除了通过在存储部320b保存的公钥pubb对表示插入位置的数据进行加密这一点以外，插入位置加密部315b的功能与实施方式1的数据管理装置10的插入位置加密部123相同。
111.如果从隐匿化结果数据的发送这一观点来看，则转换部310b是本发明涉及的发送单元的一个例子，传送部110b是本发明涉及的接收单元的一个例子。如果从该观点来看，则处理结果数据相当于发送对象数据。
112.通过将数据管理装置10b设为上述结构，从而对于从数据处理部30b向传送部110b发送的处理结果数据，也能够与发送对象数据同样地进行隐匿而发送。关于动作以及效果，与实施方式1相同，因此省略说明。
113.(变形例)
114.在上述的实施方式中，除了使用公钥对表示插入位置的数据进行加密这一点以外，不进行使用了加密密钥的数据加密。但是，也可以在上述的隐匿化的基础上，通过公共密钥对数据进行加密。
115.例如，也可以由数据管理装置10的转换部120通过公共密钥对虚拟信息插入后数据进行加密，由数据处理部30的转换部310通过公共密钥对加密后的虚拟信息插入后数据进行解密。转换部120以及转换部310预先通过某种手段而共享公共密钥。例如，在传送部110与数据处理部30之间的初次通信时，转换部120生成公共密钥，通过公钥puba而将公共密钥进行加密，由传送部110发送至数据处理部30，数据处理部30的转换部310通过私钥seca对加密后的公共密钥进行解密，由此共享公共密钥。在这种情况下，转换部120是本发明涉及的公共密钥加密单元的一个例子。
116.由公共密钥实现的加密以及解密与由公钥实现的加密以及由私钥实现的解密相比，处理负荷小，因此例如即使对虚拟信息插入后数据整体进行加密，处理负荷也不易成为问题。因此，不怎么使处理负荷增大就能够提高发送对象数据的隐匿性。另外，对发送对象数据也进行由虚拟数据的插入以及插入位置的加密实现的隐匿，因而即使公共密钥泄漏，只要私钥seca不泄漏就能够对发送对象数据进行隐匿。反之，即使私钥seca泄漏而成为第三方有可能知晓虚拟数据的插入位置的状态，只要公共密钥不泄漏，则第三方无法解密而取得虚拟信息插入后数据，无法对发送对象数据进行恢复。
117.在上述实施方式中，对在传送部110与数据处理部30之间通信的数据进行了隐匿，但也可以同样地对从各传感器20向数据管理装置10发送的检测数据进行隐匿。在该方式中，传感器20是本发明涉及的数据管理装置的一个例子。
118.在上述实施方式中，传送部110对虚拟信息插入后数据与插入位置加密数据进行结合后发送，但虚拟信息插入后数据以及插入位置加密数据也可以被单独地发送。例如，也可以将传送部110与数据处理部30之间的通信线路设置2个，由一个通信线路发送虚拟信息插入后数据，由另一个通信线路发送插入位置加密数据。通过使用2个通信线路，从而例如一个通信线路被第三方窃听的情况下的隐匿性提高。
119.在上述实施方式1中，数据管理装置10基于由收集部100收集到的检测数据而创建发送对象数据，通过转换部120将该发送对象数据转换为隐匿化数据而发送至数据处理部30。不限于由收集部100收集到的检测数据，例如，也可以是同样地对在次级存储装置1004保存的数据库等所储存的数据也进行隐匿化而发送。例如，考虑将数据处理部30应执行的数据保存于数据库，由传送部110参照数据库而向数据处理部30进行发送的情况。在这种情况下，在每次向数据库积蓄数据时，需要从次级存储装置1004读取新积蓄的数据而向数据处理部30发送。在这种情况下，考虑将新积蓄的数据设为发送对象数据，由转换部120对该发送对象数据进行隐匿化。
120.上述实施方式3是对实施方式1进行变形，从数据处理部30b向传送部110b发送隐匿化结果数据。同样地，对于实施方式2，也能够变形为从数据处理装置30a向数据管理装置10a发送隐匿化结果数据的方式。
121.在图5所示的硬件结构中，数据管理装置10具有次级存储装置1004。但不限于此，也可以设为将次级存储装置1004设置于数据管理装置10的外部，经由接口1003而将数据管理装置10与次级存储装置1004连接的方式。在该方式中，usb闪存盘、存储卡等可移动介质也可用作次级存储装置1004。
122.另外，也可以取代图5所示的硬件结构，而由使用了asic(application specific integrated circuit：专用集成电路)、fpga(field programmable gate array)等的专用电路构成数据管理装置10。另外，在图5所示的硬件结构中，也可以使数据管理装置10的功能的一部分例如由与接口1003连接的专用电路实现。
123.在数据管理装置10中使用的程序能够储存在cd
‑
rom(compact disc read only memory)、dvd(digital versatile disc)、usb闪存盘、存储卡、hdd等计算机可读取存储介质中而发布。并且，通过将该程序安装于特定的或者通用的计算机，从而能够使该计算机作为数据管理装置10起作用。
124.另外，也可以将上述程序预先储存于互联网上的其它服务器所具有的存储装置，从该服务器下载上述程序。
125.本发明能够在不脱离本发明的广义的精神和范围的情况下进行各种实施方式以及变形。另外，上述实施方式用于对本发明进行说明，不限定本发明的范围。即，本发明的范围不是由实施方式而是由权利要求书表示的。并且，在权利要求书的范围内及与其等同的发明的意义的范围内实施的各种变形被视为落在本发明的范围内。
126.工业实用性
127.本发明适用于数据通信。
128.标号的说明
129.1、1a、1b数据管理系统，10、10a、10b数据管理装置，20传感器，30、30b数据处理部，30a数据处理装置，100收集部，110、110a、110b传送部，120、120b转换部，121插入位置决定
部，122虚拟数据插入部，123插入位置加密部，124b插入位置解密部，125b数据恢复部，130、130b存储部，140显示部，150a通信部，300a通信部，310、310a、310b转换部，311插入位置解密部，312数据恢复部，313b插入位置决定部，314b虚拟数据插入部，315b插入位置加密部，320、320b存储部，330、330a、330b处理执行部，1000总线，1001处理器，1002存储器，1003接口，1004次级存储装置，cr管理室，fc工厂，fn工厂网络，nt互联网，ps生产现场，puba、pubb公钥，seca、secb私钥。