Top > Search of Japanese Patents > INFORMATION PROCESSING SYSTEM AND ITS PROGRAM > Specification

Specification :(In Japanese)情報処理システム及びそのプログラム

Country (In Japanese)日本国特許庁(JP)
Gazette (In Japanese)特許公報(B2)
Patent Number P4189496
Publication number P2006-279595A
Date of registration Sep 26, 2008
Date of issue Dec 3, 2008
Date of publication of application Oct 12, 2006
Title of the invention, or title of the device (In Japanese)情報処理システム及びそのプログラム
IPC (International Patent Classification) H04L   9/32        (2006.01)
FI (File Index) H04L 9/00 675A
Number of claims or invention 11
Total pages 22
Application Number P2005-096400
Date of filing Mar 29, 2005
Date of request for substantive examination Aug 9, 2005
Patentee, or owner of utility model right (In Japanese)【識別番号】504145320
【氏名又は名称】国立大学法人福井大学
Inventor, or creator of device (In Japanese)【氏名】田村 信介
Representative (In Japanese)【識別番号】100111855、【弁理士】、【氏名又は名称】川崎 好昭
Examiner (In Japanese)【審査官】青木 重徳
Document or reference (In Japanese)国際公開第2004/095773(WO,A2)
特開2005-5778(JP,A)
岡博文,北川隆,楫勇一,“大学における講義評価のための匿名アンケートシステムについて”,コンピュータセキュリティシンポジウム2001論文集,日本,社団法人情報処理学会,2001年10月31日,Vol.2001,No.15,p.361-366
Shinsuke Tamura, Tatsuro Yanase,“Information Sharing among Untrustworthy Entities”,電気学会論文誌C 電子・情報・システム部門誌,日本,社団法人電気学会,2005年11月 1日,Vol.125,No.11 2005,p.1767-1772
Shinsuke Tamura, Kazuya Kouro, and Tatsuro Yanase,“Expenditure Limits in Anonymous Credit Card Systems”,Systems, Man and Cybernetics, 2006.SMC '06. IEEE International Conference on,2006年10月 8日,p.1238-1243,URL,http://ieeexplore.ieee.org/xpls/abs_all.jsp?arnumber=4274018
Field of search H04L 9/32
Scope of claims (In Japanese)【請求項1】
複数のクライアント装置と、クライアント装置にネットワークを介して接続されるとともにクライアント装置から情報を受信して処理するサーバ装置とを備えている情報処理システムであって、
前記クライアント装置は、当該装置が管理する情報に関連するID情報及びパスワード情報を記憶する記憶手段と、サーバ装置から受信した第一暗号キーにより暗号化された複数のパスワード情報に基づいて前記記憶手段に記憶されたパスワード情報を用いて前記複数のパスワード情報の暗号化処理に用いた暗号キーを算出した後サーバ装置から受信した第二暗号キーを用いて当該暗号キーを暗号化処理するパスワード処理手段と、サーバ装置から受信した前記第一暗号キーの第二暗号キーによる暗号化情報及び前記パスワード処理手段による前記暗号キーの暗号化情報に基づいてサーバ装置の正当性を判定すると共に正当性ありと判定された場合に前記暗号キーをクライアント検証情報としてサーバ装置に送信するサーバ判定手段とを備え、
前記サーバ装置は、前記クライアント装置のID情報を含む複数のID情報に対応するパスワード情報を抽出する抽出手段と、前記抽出手段により抽出された複数のパスワード情報を前記第一暗号キーを用いて暗号化処理してクライアント装置に送信する第一暗号化処理手段と、前記第一暗号キーを第二暗号キーを用いて暗号化処理して第二暗号キーとともにクライアント装置に送信する第二暗号化処理手段と、クライアント装置から送信された前記クライアント検証情報及び前記第一暗号キーに基づいてクライアント装置の正当性を判定するクライアント判定手段とを備えていることを特徴とする情報処理システム。
【請求項2】
前記クライアント装置は、当該装置のID情報を含む複数のID情報を発生させてサーバ装置に送信するID情報処理手段を備え、前記サーバ装置の前記抽出手段は、前記クライアント装置から受信した複数のID情報に対応するパスワード情報を抽出することを特徴とする請求項1に記載の情報処理システム。
【請求項3】
複数のクライアント装置にネットワークを介してサーバ装置を接続して情報を処理する情報処理方法であって、
クライアント装置に記憶された利用者のID情報を含む複数のID情報を発生させてサーバ装置に送信し、送信された複数のID情報に対応するパスワード情報をサーバ装置において抽出し、抽出された複数のパスワード情報を第一暗号キーで暗号化処理するとともに第一暗号キーを第二暗号キーで暗号化処理して第二暗号キーとともにクライアント装置に送信し、暗号化された複数のパスワード情報に基づいてクライアント装置のパスワード情報を用いて前記複数のパスワード情報の暗号化に用いた暗号キーを算出した後第二暗号キーを用いて当該暗号キーを暗号化処理し、第一暗号キーの第二暗号キーによる暗号化情報及び前記暗号キーの暗号化情報に基づいてサーバ装置の正当性を判定し、サーバ装置の正当性ありと判定された場合に前記暗号キーをクライアント検証情報としてサーバ装置に送信し、クライアント装置から送信された前記クライアント検証情報及び第一暗号キーに基づいてクライアント装置の正当性を判定することを特徴とする情報処理方法。
【請求項4】
複数のクライアント装置と、クライアント装置にネットワークを介して接続されるとともにクライアント装置から情報を受信して処理するサーバ装置とを備えている情報処理システムにおいて、該クライアント装置を機能させるためのプログラムであって、
前記クライアント装置を、
当該装置の利用者のID情報を含む複数のID情報を発生させてサーバ装置に送信する手段、
サーバ装置から受信した第一暗号キーにより暗号化された複数のパスワード情報に基づいてクライアント装置のパスワード情報を用いて前記複数のパスワード情報の暗号化に用いた暗号キーを算出した後サーバ装置から受信した第二暗号キーを用いて当該暗号キーを暗号化処理する手段、
サーバ装置から受信した前記第一暗号キーの第二暗号キーによる暗号化情報及び前記暗号キーの暗号化情報に基づいてサーバ装置の正当性を判定する手段、
サーバ装置の正当性ありと判定された場合に前記暗号キーをクライアント検証情報としてサーバ装置に送信する手段、
として機能させるためのプログラム。
【請求項5】
複数のクライアント装置と、クライアント装置にネットワークを介して接続されるとともにクライアント装置から情報を受信して処理するサーバ装置とを備えている情報処理システムにおいて、該サーバ装置を機能させるためのプログラムであって、
前記サーバ装置を、
記憶された全利用者のID情報及びパスワード情報に基づいてクライアント装置から受信した複数のID情報に対応するパスワード情報を抽出する手段、
抽出された複数のパスワード情報を第一暗号キーを用いて暗号化処理してクライアント装置に送信する手段、
第一暗号キーを第二暗号キーを用いて暗号化処理して第二暗号キーとともにクライアント装置に送信する手段、
クライアント装置から送信されたクライアント検証情報及び前記第一暗号キーに基づいてクライアント装置の正当性を判定する手段、
として機能させるためのプログラム。
【請求項6】
M個の項目Di(i=1,2,…,M)に対応するデータdij(i=1,2,…,M;j=1,2,…,N)を記憶するN個のデータ管理装置Sj(j=1,2,…,N)と、データ管理装置にネットワークを介して接続されるとともにデータdijを項目毎に集計するデータ集計装置とを備えている情報処理システムであって、
データ管理装置Skは、係数データapq(p=1,2,…,M;q=1,2,…,M)及びM個のデータdik(i=1,2,…,M)を記憶する記憶手段と、データdik及び係数データapqを用いてM個の一次結合データvpk(p=1,2,…,M)を以下の式(A)
vpk=ap1d1k+ap2d2k+…+apqdqk+…+apMdMk・・・(A)
により算出する結合計算手段と、一次結合データvpkの順番別に全データ管理装置Sjで算出された値の集計を担当するデータ管理装置Sjを登録する登録手段と、登録された他のデータ管理装置Sjに集計に必要な順番の一次結合データvpkを送信するとともに当該データ管理装置Skが担当する順番の一次結合データvrj(1≦r≦M;j=1,2,…,N)を他のデータ管理装置Sjから受信して全データ管理装置Sjの値を集計し集計された結合集計データをデータ集計装置に送信する結合集計手段とを備え、
データ集計装置は、前記係数データapq(p=1,2,…,M;q=1,2,…,M)を記憶する記憶手段と、各データ管理装置Sjから受信した結合集計データを集計して結合集計データ及び前記係数データapqに基づいて項目Di毎にデータdijの集計値を算出する集計データ算出手段とを備えていることを特徴とする情報処理システム。
【請求項7】
M個の項目Di(i=1,2,…,M)に対応するデータdij(i=1,2,…,M;j=1,2,…,N)を記憶するN個のデータ管理装置Sj(j=1,2,…,N)にネットワークを介してデータ集計装置を接続してデータdijを項目毎に集計する情報処理方法であって、
データ管理装置Skに記憶された係数データapq(p=1,2,…,M;q=1,2,…,M)及びM個のデータdik(i=1,2,…,M)を用いてM個の一次結合データvpk(p=1,2,…,M)を以下の式(A)
vpk=ap1d1k+ap2d2k+…+apqdqk+…+apMdMk・・・(A)
により算出し、一次結合データvpkの順番別に全データ管理装置Sjで算出された値の集計を担当する他のデータ管理装置Sjに集計に必要な順番の一次結合データvpkを送信し、当該データ管理装置Skが担当する順番の一次結合データvrj(1≦r≦M;j=1,2,…,N)を他のデータ管理装置Sjから受信して全データ管理装置Sjの値を集計し集計された結合集計データをデータ集計装置に送信し、データ集計装置においてデータ管理装置Sjから受信した結合集計データ及び前記係数データapqに基づいて項目Di毎にデータdijの集計値を算出することを特徴とする情報処理方法。
【請求項8】
M個の項目Di(i=1,2,…,M)に対応するデータdij(i=1,2,…,M;j=1,2,…,N)を記憶するN個のデータ管理装置Sj(j=1,2,…,N)と、データ管理装置にネットワークを介して接続されるとともにデータdijを項目毎に集計するデータ集計装置とを備えている情報処理システムにおいて、データ管理装置Skを機能させるためのプログラムであって、
前記データ管理装置Skを、
係数データapq(p=1,2,…,M;q=1,2,…,M)及びM個のデータdik(i=1,2,…,M)を用いてM個の一次結合データvpk(p=1,2,…,M)を以下の式(A)
vpk=ap1d1k+ap2d2k+…+apqdqk+…+apMdMk・・・(A)
により算出する手段、
一次結合データvpkの順番別に全データ管理装置Sjで算出された値の集計を担当する他のデータ管理装置Sjに集計に必要な順番の一次結合データvpkを送信するとともに当該データ管理装置Skが担当する順番の一次結合データvrj(1≦r≦M;j=1,2,…,N)を他のデータ管理装置Sjから受信して全データ管理装置Sjの値を集計し集計された結合集計データをデータ集計装置に送信する手段、
として機能させるためのプログラム。
【請求項9】
クライアント装置と、クライアント装置にネットワークを介して接続されるとともにクライアント装置との間で情報を送受信して処理するサーバ装置と、クライアント装置とサーバ装置との間の情報の処理過程で生成あるいは利用した特定情報に関するデータを記憶するデータ記憶装置とを備えている情報処理システムであって、
前記クライアント装置は、係数データapq(p=1,2,…,M;q=1,2,…,M)を記憶する記憶手段と、前記特定情報に関するM個のデータdi(i=1,2,…,M)及び係数データapqを用いてM個の一次結合データvp(p=1,2,…,M)を以下の式(B)
vp=ap1d1+ap2d2+…+apqdi+…+apMdM・・・(B)
により算出して算出されたM個の一次結合データvpを前記データ記憶装置に送信する算出手段と、前記データ記憶装置に記憶された一次結合データvpを読み出してデータdiを集計するとともに集計値を前記サーバ装置に送信する集計手段とを備え、
前記サーバ装置は、前記クライアント装置から受信した集計値を登録処理する集計処理手段を備え、
前記データ記憶装置は、前記クライアント装置から受信した一次結合データvpを記憶する登録処理手段と、前記クライアント装置に対して記憶された一次結合データvpを送信する読出処理手段とを備えていることを特徴とする情報処理システム。
【請求項10】
クライアント装置と、クライアント装置にネットワークを介して接続されたサーバ装置との間の情報の処理過程で生成あるいは利用した特定情報に関するデータをデータ記憶装置に記憶して当該特定情報に関するデータを集計する情報処理方法であって、
前記クライアント装置に記憶された係数データapq(p=1,2,…,M;q=1,2,…,M)及び前記特定情報に関するM個のデータdi(i=1,2,…,M)を用いてM個の一次結合データvp(p=1,2,…,M)を以下の式(B)
vp=ap1d1+ap2d2+…+apqdi+…+apMdM・・・(B)
により算出して算出されたM個の一次結合データvpを前記データ記憶装置に送信し、前記データ記憶装置において前記クライアント装置から受信した一次結合データvpを記憶し、前記クライアント装置に対して記憶された一次結合データvpを送信し、前記クライアント装置において前記データ記憶装置に記憶された一次結合データvpを読み出してデータdiを集計するとともに集計値を前記サーバ装置に送信し、前記サーバ装置において前記クライアント装置から受信した集計値を登録処理することを特徴とする情報処理方法。
【請求項11】
クライアント装置と、クライアント装置にネットワークを介して接続されるとともにクライアント装置との間で情報を送受信して処理するサーバ装置と、クライアント装置とサーバ装置との間の情報の処理過程で生成あるいは利用した特定情報に関するデータを記憶するデータ記憶装置とを備えている情報処理システムにおいて、前記クライアント装置を機能させるためのプログラムであって、
前記クライアント装置を、
前記特定情報に関するM個のデータdi(i=1,2,…,M)及び係数データapq(p=1,2,…,M;q=1,2,…,M)を用いてM個の一次結合データvp(p=1,2,…,M)を以下の式(B)
vp=ap1d1+ap2d2+…+apqdi+…+apMdM・・・(B)
により算出して算出されたM個の一次結合データvpをデータ記憶装置に送信する手段、
データ記憶装置に記憶された一次結合データvpを読み出してデータdiを集計するとともに集計値を前記サーバ装置に送信する集計手段、
として機能させるためのプログラム。
Detailed description of the invention (In Japanese)【技術分野】
【0001】
本発明は、情報処理システムにおいて、当該システムに関係する個人や物に密接に関連付けられる個別情報が特定されないように保護する情報処理システム及びそのプログラムに関する。
【背景技術】
【0002】
インターネット等のネットワークシステムが急速に普及するにつれて、様々な情報がネットワーク上で送受信されている。しかしながら、ネットワーク上でやりとりされる情報は、常に悪意を持った第三者に不正に取得されたり改変される危険性がある。そのため、安全対策として様々な暗号化処理技術が開発されており、ネットワーク上で送受信される情報を暗号化することで情報の不正利用や改変を防止するようにしている。
【0003】
こうした通信情報の暗号化処理技術は、通信時の不正取得や改変には有効であるが、暗号化処理された情報が正当に取得されて復号化された後の情報の悪用には対応することができない。
【0004】
すなわち、特定の個人がサービス提供会社にID及びパスワードを暗号化して送信し、サービス提供会社からサービスを受けた場合、その個人の受けたサービス内容は、IDとともにサービス提供会社に蓄積され、その個人の関連情報として記憶されていく。このように蓄積された個別情報は、サービス提供会社で厳格な情報管理がなされていたとしても不正流用されるおそれがある。特に、情報処理システムの高度化に伴って大量の情報を簡単に処理することができるようになり、その危険性は大きくなっている。例えば、インターネットで様々な商品の販売を行うサービスが提供されているが、個人ごとの購買実績データは、販売促進を行う際の基礎データとして流用されるおそれがある。一方、サービス提供を行う会社にとっても、個別情報の漏洩は社会的信用の低下を招くため、個別情報を厳格に管理することがますます強く求められるようになり、管理負担が増大するようになる。
【0005】
また、アンケート調査や選挙といった選択又は記入内容が個人と密接に関連付けられる個別情報の場合についても、情報を送信する際にいかに厳重に暗号化処理していたとしても復号化した後に集計されたデータベースが外部に流出してしまうと、大量の個別情報が公にされてしまうおそれがある。
【0006】
なお、本明細書において、「個別情報」とは、個人、会社等の法人及び個別に特定されて取り扱われる物(以下「個人等」という。)に関する情報であって、当該情報に含まれる氏名、生年月日その他の記述等により特定の個人等を識別することができるもの(他の情報と容易に照合することができ、それにより特定の個人等を識別することができることとなるものを含む。)を意味する。
【0007】
インターネット等のネットワークシステムにおいて上述したような個別情報を送受信する場合に、個別情報が流出するおそれがあるという仮定の下に安全対策を検討する必要がある。こうした個別情報の流出を防止するための1つの方法として、個人が特定されないように情報を送受信する方法が提案されている。例えば、特許文献1では、グループ署名方式を用いた匿名認証システムが記載されている。グループ署名方式では、グループのメンバが署名に用いる鍵情報とは別にグループごとに用いられる単一のグループ公開鍵で検証できる署名方式で、メンバごとの鍵情報を使用しないで認証が行われるため、メンバごとのサービス利用状況といった個別情報が特定されることがなくなり、サービス提供会社に個別情報が蓄積されることがなくなる。
【0008】
また、特許文献2では、ユーザ端末及びサービス提供サーバの間でゼロ知識証明やブラインド署名方式を用いて匿名認証を行う装置が記載されている。また、特許文献3では、同一符号に復号できる見かけ上異なる値を示す符号を生成する暗号化手順を使って、ユーザに対してその都度可変に見える識別子を割り当てて、この可変識別子の持つ性質に従ってユーザ情報を検索できるようにし、ユーザの識別に用いる固定識別子とユーザの行動履歴とが深く結びつく事態を防止する点が記載されている。また、特許文献4では、サービス提供サーバが同一内容を保証した互いに異なる複数の仮デジタル署名を生成してユーザ装置に送信し、ユーザ装置では受信した仮デジタル署名から複数の電子証明書を取得し、そのうちの任意の1つの電子証明書により認証を行うことで、ユーザの属性情報を提供せずに匿名認証を行う点が記載されている。

【特許文献1】特開2004-320562号公報
【特許文献2】特開2005-5778号公報
【特許文献3】特開2004-362201号公報
【特許文献4】特開2004-242195号公報
【発明の開示】
【発明が解決しようとする課題】
【0009】
上述した特許文献1では、利用者の個別情報は、サービス提供会社に蓄積されないものの属性発行管理サーバにより管理されており、属性発行管理サーバからの個別情報の流出の危険性が依然として存在することになる。また、特許文献2から4では、ユーザの属性情報は用いずに認証を行うようになっているが、属性情報から完全に切り離されて認証を行うことはなく、認証に用いる情報がユーザと関連付けられる可能性は排除できないため、送受信される情報が個別情報として特定される可能性がある。
【0010】
このように、個別情報として特定される可能性がある場合、互いに信用できない多数の主体同士がネットワークで接続されて情報を送受信される環境下では、安心して情報を送受信することができない。例えば、今後本格化するユビキュタス・コンピューティングでは、個人のあらゆる情報がコンピュータにより記録されてネットワークを介して送受信されるようになることが想定されるが、こうした個別情報に対する保護をどのように行うのか対策を立てておく必要がある。
【0011】
そこで、本発明は、互いに信用できない主体間において個別情報のように個人や物に密接に関連付けられる情報がそれと特定されないように情報を送受信することができる情報処理システムを提供することを目的とするものである。
【課題を解決するための手段】
【0012】
本発明に係る情報処理システムは、複数のクライアント装置と、クライアント装置にネットワークを介して接続されるとともにクライアント装置から情報を受信して処理するサーバ装置とを備えている情報処理システムであって、前記クライアント装置は、当該装置が管理する情報に関連するID情報及びパスワード情報を記憶する記憶手段と、サーバ装置から受信した第一暗号キーにより暗号化された複数のパスワード情報に基づいて前記記憶手段に記憶されたパスワード情報を用いて前記複数のパスワード情報の暗号化処理に用いた暗号キーを算出した後サーバ装置から受信した第二暗号キーを用いて当該暗号キーを暗号化処理するパスワード処理手段と、サーバ装置から受信した前記第一暗号キーの第二暗号キーによる暗号化情報及び前記パスワード処理手段による前記暗号キーの暗号化情報に基づいてサーバ装置の正当性を判定すると共に正当性ありと判定された場合に前記暗号キーをクライアント検証情報としてサーバ装置に送信するサーバ判定手段とを備え、前記サーバ装置は、前記クライアント装置のID情報を含む複数のID情報に対応するパスワード情報を抽出する抽出手段と、前記抽出手段により抽出された複数のパスワード情報を前記第一暗号キーを用いて暗号化処理してクライアント装置に送信する第一暗号化処理手段と、前記第一暗号キーを第二暗号キーを用いて暗号化処理して第二暗号キーとともにクライアント装置に送信する第二暗号化処理手段と、クライアント装置から送信された前記クライアント検証情報及び前記第一暗号キーに基づいてクライアント装置の正当性を判定するクライアント判定手段とを備えていることを特徴とする。さらに、前記クライアント装置は、当該装置のID情報を含む複数のID情報を発生させてサーバ装置に送信するID情報処理手段を備え、前記サーバ装置の前記抽出手段は、前記クライアント装置から受信した複数のID情報に対応するパスワード情報を抽出することを特徴とする。
【0013】
本発明に係る情報処理方法は、複数のクライアント装置にネットワークを介してサーバ装置を接続して情報を処理する情報処理方法であって、クライアント装置に記憶された利用者のID情報を含む複数のID情報を発生させてサーバ装置に送信し、送信された複数のID情報に対応するパスワード情報をサーバ装置において抽出し、抽出された複数のパスワード情報を第一暗号キーで暗号化処理するとともに第一暗号キーを第二暗号キーで暗号化処理して第二暗号キーとともにクライアント装置に送信し、暗号化された複数のパスワード情報に基づいてクライアント装置のパスワード情報を用いて前記複数のパスワード情報の暗号化に用いた暗号キーを算出した後第二暗号キーを用いて当該暗号キーを暗号化処理し、第一暗号キーの第二暗号キーによる暗号化情報及び前記暗号キーの暗号化情報に基づいてサーバ装置の正当性を判定し、サーバ装置の正当性ありと判定された場合に前記暗号キーをクライアント検証情報としてサーバ装置に送信し、クライアント装置から送信された前記クライアント検証情報及び第一暗号キーに基づいてクライアント装置の正当性を判定することを特徴とする。
【0014】
本発明に係るプログラムは、複数のクライアント装置と、クライアント装置にネットワークを介して接続されるとともにクライアント装置から情報を受信して処理するサーバ装置とを備えている情報処理システムにおいて、該クライアント装置を機能させるためのプログラムであって、前記クライアント装置を、当該装置の利用者のID情報を含む複数のID情報を発生させてサーバ装置に送信する手段、サーバ装置から受信した第一暗号キーにより暗号化された複数のパスワード情報に基づいてクライアント装置のパスワード情報を用いて前記複数のパスワード情報の暗号化に用いた暗号キーを算出した後サーバ装置から受信した第二暗号キーを用いて当該暗号キーを暗号化処理する手段、サーバ装置から受信した前記第一暗号キーの第二暗号キーによる暗号化情報及び前記暗号キーの暗号化情報に基づいてサーバ装置の正当性を判定する手段、サーバ装置の正当性ありと判定された場合に前記暗号キーをクライアント検証情報としてサーバ装置に送信する手段、として機能させる。
【0015】
本発明に係るプログラムは、複数のクライアント装置と、クライアント装置にネットワークを介して接続されるとともにクライアント装置から情報を受信して処理するサーバ装置とを備えている情報処理システムにおいて、該サーバ装置を機能させるためのプログラムであって、前記サーバ装置を、記憶された全利用者のID情報及びパスワード情報に基づいてクライアント装置から受信した複数のID情報に対応するパスワード情報を抽出する手段、抽出された複数のパスワード情報を第一暗号キーを用いて暗号化処理してクライアント装置に送信する手段、第一暗号キーを第二暗号キーを用いて暗号化処理して第二暗号キーとともにクライアント装置に送信する手段、クライアント装置から送信されたクライアント検証情報及び前記第一暗号キーに基づいてクライアント装置の正当性を判定する手段、として機能させる。
【0016】
本発明に係る別の情報処理システムは、M個の項目Di(i=1,2,…,M)に対応するデータdij(i=1,2,…,M;j=1,2,…,N)を記憶するN個のデータ管理装置Sj(j=1,2,…,N)と、データ管理装置にネットワークを介して接続されるとともにデータdijを項目毎に集計するデータ集計装置とを備えている情報処理システムであって、データ管理装置Skは、係数データapq(p=1,2,…,M;q=1,2,…,M)及びM個のデータdik(i=1,2,…,M)を記憶する記憶手段と、データdik及び係数データapqを用いてM個の一次結合データvpk(p=1,2,…,M)を以下の式(A)
vpk=ap1d1k+ap2d2k+…+apqdqk+…+apMdMk・・・(A)
により算出する結合計算手段と、一次結合データvpkの順番別に全データ管理装置Sjで算出された値の集計を担当するデータ管理装置Sjを登録する登録手段と、登録された他のデータ管理装置Sjに集計に必要な順番の一次結合データvpkを送信するとともに当該データ管理装置Skが担当する順番の一次結合データvrj(1≦r≦M;j=1,2,…,N)を他のデータ管理装置Sjから受信して全データ管理装置Sjの値を集計し集計された結合集計データをデータ集計装置に送信する結合集計手段とを備え、データ集計装置は、前記係数データapq(p=1,2,…,M;q=1,2,…,M)を記憶する記憶手段と、各データ管理装置Sjから受信した結合集計データを集計して結合集計データ及び前記係数データapqに基づいて項目Di毎にデータdijの集計値を算出する集計データ算出手段とを備えていることを特徴とする。
【0017】
本発明に係る別の情報処理方法は、M個の項目Di(i=1,2,…,M)に対応するデータdij(i=1,2,…,M;j=1,2,…,N)を記憶するN個のデータ管理装置Sj(j=1,2,…,N)にネットワークを介してデータ集計装置を接続してデータdijを項目毎に集計する情報処理方法であって、データ管理装置Skに記憶された係数データapq(p=1,2,…,M;q=1,2,…,M)及びM個のデータdik(i=1,2,…,M)を用いてM個の一次結合データvpk(p=1,2,…,M)を以下の式(A)
vpk=ap1d1k+ap2d2k+…+apqdqk+…+apMdMk・・・(A)
により算出し、一次結合データvpkの順番別に全データ管理装置Sjで算出された値の集計を担当する他のデータ管理装置Sjに集計に必要な順番の一次結合データvpkを送信し、当該データ管理装置Skが担当する順番の一次結合データvrj(1≦r≦M;j=1,2,…,N)を他のデータ管理装置Sjから受信して全データ管理装置Sjの値を集計し集計された結合集計データをデータ集計装置に送信し、データ集計装置においてデータ管理装置Sjから受信した結合集計データ及び前記係数データapqに基づいて項目Di毎にデータdijの集計値を算出することを特徴とする。
【0018】
本発明に係る別のプログラムは、M個の項目Di(i=1,2,…,M)に対応するデータdij(i=1,2,…,M;j=1,2,…,N)を記憶するN個のデータ管理装置Sj(j=1,2,…,N)と、データ管理装置にネットワークを介して接続されるとともにデータdijを項目毎に集計するデータ集計装置とを備えている情報処理システムにおいて、データ管理装置Skを機能させるためのプログラムであって、前記データ管理装置Skを、係数データapq(p=1,2,…,M;q=1,2,…,M)及びM個のデータdik(i=1,2,…,M)を用いてM個の一次結合データvpk(p=1,2,…,M)を以下の式(A)
vpk=ap1d1k+ap2d2k+…+apqdqk+…+apMdMk・・・(A)
により算出する手段、一次結合データvpkの順番別に全データ管理装置Sjで算出された値の集計を担当する他のデータ管理装置Sjに集計に必要な順番の一次結合データvpkを送信するとともに当該データ管理装置Skが担当する順番の一次結合データvrj(1≦r≦M;j=1,2,…,N)を他のデータ管理装置Sjから受信して全データ管理装置Sjの値を集計し集計された結合集計データをデータ集計装置に送信する手段、として機能させる。
【0019】
本発明に係るさらに別の情報処理システムは、複数のクライアント装置と、クライアント装置にネットワークを介して接続されるとともにクライアント装置との間で情報を送受信して処理するサーバ装置と、クライアント装置とサーバ装置との間の情報の処理過程で生成あるいは利用した特定情報に関するデータを記憶するデータ記憶装置とを備えている情報処理システムであって、前記クライアント装置は、係数データapq(p=1,2,…,M;q=1,2,…,M)を記憶する記憶手段と、前記特定情報に関するM個のデータdi(i=1,2,…,M)及び係数データapqを用いてM個の一次結合データvp(p=1,2,…,M)を以下の式(B)
vp=ap1d1+ap2d2+…+apqdi+…+apMdM・・・(B)
により算出して算出されたM個の一次結合データvpを前記データ記憶装置に送信する算出手段と、前記データ記憶装置に記憶された一次結合データvpを読み出してデータdiを集計するとともに集計値を前記サーバ装置に送信する集計手段とを備え、前記サーバ装置は、前記クライアント装置から受信した集計値を登録処理する集計処理手段を備え、前記データ記憶装置は、前記クライアント装置から受信した一次結合データvpを記憶する登録処理手段と、前記クライアント装置に対して記憶された一次結合データvpを送信する読出処理手段とを備えていることを特徴とする。
【0020】
本発明に係るさらに別の情報処理方法は、クライアント装置と、クライアント装置にネットワークを介して接続されたサーバ装置との間の情報の処理過程で生成あるいは利用した特定情報に関するデータをデータ記憶装置に記憶して当該特定情報に関するデータを集計する情報処理方法であって、前記クライアント装置に記憶された係数データapq(p=1,2,…,M;q=1,2,…,M)及び前記特定情報に関するM個のデータdi(i=1,2,…,M)を用いてM個の一次結合データvp(p=1,2,…,M)を以下の式(B)
vp=ap1d1+ap2d2+…+apqdi+…+apMdM・・・(B)
により算出して算出されたM個の一次結合データvpを前記データ記憶装置に送信し、前記データ記憶装置において前記クライアント装置から受信した一次結合データvpを記憶し、前記クライアント装置に対して記憶された一次結合データvpを送信し、前記クライアント装置において前記データ記憶装置に記憶された一次結合データvpを読み出してデータdiを集計するとともに集計値を前記サーバ装置に送信し、前記サーバ装置において前記クライアント装置から受信した集計値を登録処理することを特徴とする。
【0021】
本発明に係るさらに別のプログラムは、複数のクライアント装置と、クライアント装置にネットワークを介して接続されるとともにクライアント装置との間で情報を送受信して処理するサーバ装置と、クライアント装置とサーバ装置との間の情報の処理過程で生成あるいは利用した特定情報に関するデータを記憶するデータ記憶装置とを備えている情報処理システムにおいて、前記クライアント装置を機能させるためのプログラムであって、前記クライアント装置を、前記特定情報に関するM個のデータdi(i=1,2,…,M)及び係数データapq(p=1,2,…,M;q=1,2,…,M)を用いてM個の一次結合データvp(p=1,2,…,M)を以下の式(B)
vp=ap1d1+ap2d2+…+apqdi+…+apMdM・・・(B)
により算出して算出されたM個の一次結合データvpをデータ記憶装置に送信する手段、データ記憶装置に記憶された一次結合データvpを読み出してデータdiを集計するとともに集計値を前記サーバ装置に送信する集計手段、として機能させる。
【発明の効果】
【0022】
本発明に係る情報処理システム及び情報処理方法は、クライアント装置に記憶された利用者のID情報を含む複数のID情報を発生させてサーバ装置に送信し、送信された複数のID情報に対応するパスワード情報をサーバ装置において抽出し、抽出された複数のパスワード情報を第一暗号キーで暗号化処理するとともに第一暗号キーを第二暗号キーで暗号化処理して第二暗号キーとともにクライアント装置に送信し、暗号化された複数のパスワード情報に基づいてクライアント装置のパスワード情報を用いて複数のパスワード情報の暗号化に用いた暗号キーを算出した後第二暗号キーを用いて当該暗号キーを暗号化処理し、第一暗号キーの第二暗号キーによる暗号化情報及び暗号キーの暗号化情報に基づいてサーバ装置の正当性を判定するので、サーバ装置では利用者のID情報を特定することはできないが、クライアント装置ではサーバ装置の正当性を判定することができる。
【0023】
また、サーバ装置の正当性ありと判定された場合には、クライアント装置は、暗号キーをクライアント検証情報としてサーバ装置に送信し、クライアント装置から送信されたクライアント検証情報及び第一暗号キーに基づいてクライアント装置の正当性を判定するので、サーバ装置においてもクライアント装置の正当性を判定することができる。
【0024】
このように、どの利用者がアクセスしてきているのかサーバ装置で特定できないので、クライアント装置との間で送受信される情報は個別情報として特定されることはなく、また、クライアント装置及びサーバ装置が互いに正当性を判定できるので、互いに信用できない主体間でも正当性を確認して情報を送受信することが可能となる。
【0025】
本発明に係る別の情報処理システム及び情報処理方法は、データ管理装置Skに記憶された係数データapq(p=1,2,…,M;q=1,2,…,M)及びM個のデータdik(i=1,2,…,M)を用いてM個の一次結合データvpk(p=1,2,…,M)を上記の式(A)により算出し、一次結合データvpkの順番別に全データ管理装置Sjで算出された値の集計を担当する他のデータ管理装置Sjに集計に必要な順番の一次結合データvpkを送信するとともに当該データ管理装置Sjが担当する順番の一次結合データvrj(1≦r≦M;j=1,2,…,N)を他のデータ管理装置Sjから受信して全データ管理装置Sjの値を集計するようにしているので、集計を担当するデータ管理装置Sjには一部の順番の一次結合データvpkのみ集計され、他のデータ管理装置のデータdを求めることはできない。すなわち、各データ管理装置は、共通の係数データapqを用いて一次結合データvpkを算出しているので、すべての一次結合データvpkを得ることができれば、M個のデータを変数として係数データapqを用いたM個の連立一次方程式を解くことによりデータdを得ることができるが、一次結合データvpkが一部しかない場合には連立一次方程式を解くことができない。このように、各データ管理装置では、互いにデータdを特定されることなく一次結合データvpkを順番別に全データ管理装置について集計することが可能となる。
【0026】
そして、データ集計装置は、データ管理装置Sjから受信した集計データ及び前記係数データapqを得ることで項目Di毎にデータdijの集計値を算出することができる。すなわち、データ管理装置で順番別に一次結合データvrs(1≦r≦M;s=1,2,…,N)を集計した結合集計データVrは、以下のとおりとなる。
Vr=vr1+vr2+…+vrs+…+vrN=ar1Σd1s+ar2Σd2s+…+arqΣdis+…+arMΣdMs
したがって、M個の結合集計データVrをデータ集計装置が得ることで、M個のΣdijを変数として係数データapqを用いたM個の連立一次方程式を解くことによりデータ項目Di別の集計値Σdijを得ることができる。その際に、データ集計装置は、集計データVrしか得ることがないので、各データdを特定することはできない。そのため、データ管理装置から個別情報を特定されることなく集計データを外部に送信することで、個別情報の集計を行うことができるようになる。
【0027】
また、本発明に係るさらに別の情報処理システムは、サーバ装置との間の処理過程で生成あるいは利用した情報に関するM個のデータdiを係数データapqを用いてM個の一次結合データvp(p=1,2,…,M)を以下の式(B)
vp=ap1d1+ap2d2+…+apqdi+…+apMdM・・・(B)
により算出して変換することで、一次結合データvpの形で外部に送信してもデータdiを特定されることはない。そして、一次結合データvpをサーバ装置とは別のデータ記憶装置に記憶して管理するようにすれば、サーバ装置がデータdiに関与するのを防止することができる。そして、クライアント装置がデータ記憶装置に記憶された一次結合データvpを読み出してデータdiを集計して集計値をサーバ装置に送信するようにすれば、サーバ装置には集計値のみが送信されて個別の情報に対応するデータdiが特定されることを防止できる。
【発明を実施するための最良の形態】
【0028】
以下、本発明に係る実施形態について詳しく説明する。なお、以下に説明する実施形態は、本発明を実施するにあたって好ましい具体例であるから、技術的に種々の限定がなされているが、本発明は、以下の説明において特に本発明を限定する旨明記されていない限り、これらの形態に限定されるものではない。
【0029】
図1は、本発明に係る情報処理システムに関する実施形態の構成を示す概略図である。管理サーバ1は、インターネット等のネットワーク4を介してN個のクライアント装置21、・・・、2Nと接続されている。管理サーバ1は、情報処理部10及び記憶部11を備えており、情報処理部10が記憶部11に記憶されたデータ及びプログラムを読み出してデータ処理を行い、クライアント装置2とデータの送受信を行うようになっている。クライアント装置2は、それぞれ情報処理部201、・・・、20N及び記憶部211、・・・、21Nを備えており、情報処理部20が記憶部21に記憶されたデータ及びプログラムを読み出してデータ処理を行い、管理サーバ1とデータの送受信を行うようになっている。管理サーバ1及びクライアント装置2における個別情報処理に関する機能は、予め記録媒体やネットワークを用いてインストールされるプログラムにより実現される。
【0030】
図2は、管理サーバ1及びクライアント装置2kとの間で互いに正当性を判定するための機能ブロック図を示している。管理サーバ1の情報処理部10は、パスワード抽出部100、第一暗号キー生成部101、第一暗号化処理部102、第二暗号キー生成部103、第二暗号化処理部104、クライアント判定部105及び送受信部106を備えており、こうした機能は、記憶部11に記憶されたサーバ用認証プログラム110により実現される。記憶部11に記憶された顧客DB111には、クライアント装置を利用する全利用者のID、パスワード、氏名、住所といった顧客の属性情報が登録されている。
【0031】
パスワード抽出部100は、クライアント装置から受信した複数のIDからなるIDリストに対応する複数のパスワードpを記憶部11の顧客DB111より抽出し、IDリストの配列順序に対応したパスワードリストを作成する。
【0032】
第一暗号キー生成部101は、第一暗号化処理部102で用いる第一暗号キーとしてパスワードpと同じ長さのランダムビットパターンrを生成する。第一暗号化処理部102は、第一暗号キーrとパスワード抽出部100で作成されたパスワードリストのパスワードpとの排他的論理和x
x=pXORr
をpの暗号化情報として算出し、パスワードリストに対応した暗号パスワードリストを作成する。
【0033】
第二暗号キー生成部103は、第二暗号キーKを生成し、第二暗号化処理部104は、第二暗号キーKにより第一暗号キーrを暗号化した暗号化情報K(r)を算出し、K(r)及びKをサーバ検証情報とする。暗号パスワードリスト及び暗号化情報K(r)は、第二暗号キーKとともに送受信部106を介してクライアント装置に送信される。第二暗号化処理部104では、暗号化キー及び復号化キーが異なる暗号方式を用いればよく、例えば、RSA等の公知の暗号方式を用いて暗号化処理するようにすればよい。
【0034】
クライアント判定部105は、クライアント装置からクライアント検証情報として受信したランダムビットパターンと第一暗号キー生成部101で生成した第一暗号キーであるランダムビットパターンrとを照合してクライアント装置の正当性を判定する。送受信部106は、クライアント装置とデータの送受信を行う。
【0035】
クライアント装置2kの情報処理部20kは、ID発生部200k、パスワード処理部201k、サーバ判定部202k及び送受信部203kを備えており、こうした機能は、記憶部21kに記憶されたクライアント用認証プログラム210kにより実現される。記憶部21kは、クライアント装置を利用する利用者のIDk及びパスワードpkを記憶するID/パスワード登録部211kを備えている。
【0036】
ID発生部200kは、記憶部21kのID/パスワード登録部211kに登録されたIDkを含む複数のIDを発生させてIDリストを作成する。当該利用者のIDk以外のIDについては、全利用者のID数に基づいてランダムに発生させるようにする。
【0037】
パスワード処理部201kは、管理サーバ1から受信した暗号パスワードリストの中のID/パスワード登録部211kに登録されたIDkの位置に相当する暗号パスワードxとID/パスワード登録部211kに登録されたパスワードqとの排他的論理和y
y=xXORq
を計算して、さらに、yを管理サーバ1から受信した第二暗号キーKを用いて第二暗号化処理部104と同一の暗号方式で暗号化しK(y)とする。
【0038】
ここで、パスワード処理部201kでは、管理サーバ1から受信した暗号パスワードxは、
x=pXORr
であるので、q=pならば、
y=xXORq=pXORrXORp=r・・・(C)
となり、元の第一暗号キーrが復号化される。例えば、
p=001100
r=011000
である場合
x=010100
となる。したがって、
xXORp=011000=r
となる。
【0039】
サーバ判定部202kは、管理サーバ1から受信した暗号化されたランダムビットパターンK(r)及びパスワード処理部201kで計算したK(y)をパターン比較して一致するか否か判定する。一致すると判定された場合には、管理サーバ1は正当なものとしてパスワード処理部201kで計算したランダムビットパターンy(=r)を管理サーバ1に送信し、一致しない場合には、管理サーバ1は不正なものとしてランダムビットパターンは送信しない。
【0040】
図3は、管理サーバ1及びクライアント装置2kとの間で互いに正当性を判定する処理フローを示している。まず、クライアント装置2kは、認証処理を行う場合、全利用者のIDからランダムに(N-1)個のIDを発生させる(S100)。複数のIDを発生させる場合、例えば、予め記憶部21kに全利用者のID総数が記憶されており、ID総数の連続番号の中からランダムに選択するようにすればよい。そして、クライアント装置2kに登録された利用者のIDkを記憶部21kから読み出して、発生させた複数のIDとともにランダムに配列させてN個のIDからなるIDリストを作成する(S101)。図4は、IDリストの一例を示す。この例では、t番目に利用者のIDkが設定されている。
【0041】
作成されたIDリストを管理サーバ1に送信して、リスト中のN個のIDに対応するパスワードを記憶部11から抽出する(S102)。そして、抽出したパスワードをIDリストの配列に従って配列してパスワードリストを作成する(S103)。図5は、図4のIDリストに基づいて作成されたパスワードリストを示している。パスワードリストのt番目には、利用者のパスワードpkがリストアップされている。
【0042】
次に、第一暗号キーであるランダムビットパターンrを発生させて(S104)、パスワードリストのパスワードとランダムビットパターンrとの排他的論理和xを算出する(S105)。パスワードリストの各パスワードについて排他的論理和xを算出したら、パスワードリストの配列に従って配列して暗号パスワードリストを作成する(S106)。図6は、図5のパスワードリストに基づいて作成された暗号パスワードリストを示している。暗号パスワードリストのt番目の排他的論理和xkが利用者のパスワードpkに対応する。
【0043】
ここで、利用者がpk以外のパスワードを直接知るのを防ぐ目的で、パスワードリストの各パスワードをランダムビットパターンrとの排他的論理和xを計算する前又は後で、暗号化しておいてもよい。ただし、この場合には、クライアント装置2kがpkあるいはpk及びrの排他的論理和xを暗号化した情報が計算できるように、クライアント装置2kでも管理サーバ1と同じ暗号キーと暗号化機構を備える必要がある。この場合の暗号化方式は、当然暗号キーと復号キーとが異なるものでなければならない。
【0044】
次に、第二暗号キー生成部103において第二暗号キーKを生成し(S107)、第二暗号キーKを用いてランダムビットパターンrを暗号化処理して(S108)、第二暗号キーK、暗号化されたランダムビットパターンK(r)及び暗号パスワードリストをクライアント装置2kに送信する(S109)。
【0045】
クライアント装置2kでは、受信した暗号パスワードリストの中からt番目の排他的論理和xkを抽出して(S110)、記憶部21kに登録された利用者のパスワードpkとの排他的論理和を算出する(S111)。ステップS111での算出処理により、式(C)に示すように、ランダムビットパターンyが算出されるので、算出されたランダムビットパターンを第二暗号キーKを用いて暗号化処理する(S112)。暗号化されたランダムビットパターンK(y)を管理サーバ1から受信したランダムビットパターンK(r)と比較して(S113)管理サーバ1の正当性を判定する。一致する場合には、管理サーバ1がクライアント装置2kから受信したIDリストのすべてのIDとランダムビットパターンrとの排他的論理和を正しく計算したことになり、正当な管理サーバであると判定することができる。そこで、ステップS111で算出したランダムビットパターンyを管理サーバ1に送信する(S114)。ステップS113において両者が一致しない場合には管理サーバは不正なものであると判定してランダムビットパターンyを送信せず終了する。
【0046】
管理サーバ1は、受信したランダムビットパターンyをステップS104で発生させたランダムビットパターンrと比較して(S115)クライアント装置2kの正当性を判定する。一致する場合には、管理サーバ1から送信した暗号パスワードリストに含まれるパスワードを用いてクライアント装置2kが処理したと認証できるため、クライアント装置2kに対してサービス提供を開始する。一致しない場合には、クライアント装置2kは、暗号パスワードリストに含まれるパスワードを用いて処理していないことから、不正なものとしてエラーメッセージを送信して(S116)終了する。
【0047】
以上の処理では、クライアント装置2kからIDリストを送信しているので、管理サーバ1ではどのIDの利用者がアクセスしてきているのか特定することはなく、利用者の正当性を確認できる。そして、クライアント装置2kでは、管理サーバ1から送信されたランダムビットパターンK(r)と自身が計算したK(y)とが一致することを確かめることにより、管理サーバ1が正しく処理していることを確認することができる。この場合、クライアント装置に他の利用者のパスワードが送信されるが、パスワード若しくはパスワードとランダムビットパターンとの排他的論理和も暗号キーと復号キーとが異なる暗号方式によって暗号化することで、復号化には別のキーが必要となるので、クライアント装置での不正な利用は簡単に防止できる。同様に、管理サーバ1で用いたランダムビットパターンrの暗号化も暗号キーと復号キーとが異なる暗号方式によって行われるので、暗号化されたランダムビットパターンK(r)を直接復号化して管理サーバに送信するといった不正な処理も防止される。すなわち、真正なパスワードがないとクライアント装置ではランダムビットパターンrを復号化することができない。
【0048】
そして、暗号パスワードリストでは共通のランダムビットパターンrを用いてパスワードを処理しているので、暗号パスワードリストの何番目のパスワードが復号化されたかについても管理サーバ1では特定されない。また、管理サーバ1では、クライアント装置2kから受信したランダムビットパターンyにより正当性を判定するので、利用者を特定することなく認証を行うことができる。
【0049】
図7は、図1の情報処理システムを用いて個別情報を集計するためのシステムに関する機能ブロック図を示している。N個のクライアント装置21、・・・、2Nがそれぞれデータ管理装置S1、・・・、SNとして機能し、管理サーバ1がデータ集計装置Cとして機能する。
【0050】
各データ管理装置は、情報処理部201、・・・、20N及び記憶部211、・・・、21Nを備えており、情報処理部20は、データ抽出部、結合計算部及び結合集計部として機能し、こうした機能は、各記憶部21kにそれぞれ記憶されたデータ管理プログラムにより実現される。各記憶部21kには、係数データapq(p=1,2,…,M;q=1,2,…,M)及び各データ管理装置が集計を担当する順番を登録した担当データテーブルがそれぞれ記憶されている。また、記憶部211には、M個のデータ項目Di(i=1,2,…,M)に対応する数値化された個人データdi1(i=1,2,…,M)が記憶されており、同様に記憶部212には、個人データdi2(i=1,2,…,M)、・・・、記憶部21kには、個人データdik(i=1,2,…,M)、・・・、記憶部21Nには、個人データdiN(i=1,2,…,M)がそれぞれ記憶されている。
【0051】
情報処理部20kの機能について説明すると、データ抽出部は、記憶部21kから必要に応じて係数データapq及び個人データdikを抽出する。結合計算部は、抽出された個人データdik及び係数データapqを用いてM個の一次結合データvpk(p=1,2,…,M)を以下の式(A)により計算する。
vpk=ap1d1k+ap2d2k+…+apqdqk+…+apMdMk・・・(A)
結合集計部は、全データ管理装置の結合計算部で計算したM×N個の一次結合データvps(p=1,2,…,M;s=1,2,…,N)を順番p別に全データ管理装置で算出された値の集計を行う。どの順番の一次結合データvpsの集計をどのデータ管理装置で担当するかは担当データテーブルに予め登録されている。1つのデータ管理装置が複数の順番の一次結合データを担当してもよい。そして、結合集計部は、担当データデーブルのデータに基づいて当該装置の担当の順番以外のデータを他のデータ管理装置に送信すると共に担当の順番のデータを他のデータ管理装置から受信して集計を行う。順番rの一次結合データvrs(1≦r≦M;s=1,2,…,N)を集計する場合、結合集計データVrは、以下のとおりとなる。
Vr=vr1+vr2+…+vrs+…+vrN=ar1Σd1s+ar2Σd2s+…+arqΣdqs+…+arMΣdMs
したがって、結合集計データVrは、各データ項目Di(i=1,2,…,M)別の集計値Σdijを変数とし係数データapqを用いた連立一次方程式の右辺値になる。結合集計部は、こうして算出された結合集計データVp(p=1,2,…,M)をデータ集計装置Cに送信する。
【0052】
データ集計装置Cは、情報処理部10及び記憶部11を備えており、情報処理部10は、結合データ集計部及び集計データ算出部として機能し、こうした機能は、記憶部11に記憶されたデータ集計プログラムにより実現される。また、記憶部11には、係数データapq(p=1,2,…,M;q=1,2,…,M)が記憶されている。
【0053】
情報処理部10の結合データ集計部は、各データ管理装置からM個の結合集計データVpを受信する。集計データ算出部は、受信されたM個の結合集計データVp及び記憶部11に記憶された係数データapqに基づいて、M個のΣdijを変数として係数データapqを用いたM個の連立一次方程式を解くことによりデータ項目Di別の集計値Σdijを算出することができる。
【0054】
したがって、データ集計装置Cは、データ項目Di別の集計値Σdijを用いて平均値を算出するといった統計処理を行うことができる。また、データ項目として個人データの2乗値を加えることで、分散及び共分散といった処理を行うことも可能となる。さらに、データが所定範囲に含まれる場合に1、含まれない場合に0とするようなデータ項目を設定することで、特定範囲の出現頻度を計算することもできる。
【0055】
また、アンケート調査の回答項目を数値化すれば、アンケート結果の集計を行うことも容易に行うことができる。さらに、選挙の投票票数の集計にも用いることが可能である。
【0056】
そして、データ集計装置Cは、結合集計データVpしか得ることがないので、個人データdijを特定することはできない。そのため、データ管理装置から個別情報を特定されることなく集計データを外部に送信することが可能となり、個別情報が特定されることなくその集計を行うことができる。また、各データ管理装置は、他のデータ管理装置の一部の一次結合データしか得ることができないため、他のデータ管理装置の個人データを知ることはできない。すなわち、各データ管理装置には、係数データapqが記憶されているものの一次結合データをすべて得ることができないと、個人データを変数とする連立一次方程式を解くことができないため、個人データが特定されることはない。
【0057】
図8は、図1の情報処理システムを用いて、図2に示す管理サーバ1及びクライアント装置2kとの間で互いに正当性を判定するための機能を持たせるとともに、両者の間で取引される情報を図7で説明した手法を利用してクライアント装置2kに関する個別の取引情報が管理サーバ1に特定されないように取引情報を集計するためのシステムに関する機能ブロック図を示している。図8では、図1に示す情報処理システムに、データ記憶装置3がネットワークに接続されている。
【0058】
管理サーバ1の情報処理部10は、アクセス処理部107、取引処理部108、集計処理部109及び送受信部106を備えており、こうした機能は、記憶部11に記憶されたサーバ用取引処理プログラム112により実現される。記憶部11に記憶された顧客DB111には、クライアント装置を利用する全利用者のID、パスワード、氏名、住所といった顧客の属性情報が登録されている。記憶部11に記憶された取引集計登録部113には、クライアント装置2kから受信した個々の取引情報に関する集計値が登録されている。
【0059】
アクセス処理部107は、図2において説明した互いの正当性を判定するための管理サーバ1の各処理部の機能を備えるもので、図2と同一の機能であるから説明は省略する。そして、アクセス処理部107は、正当性ありと判定された場合に後述するデータ記憶装置3に対して書き込み許可を指示する。
【0060】
取引処理部108は、クライアント装置2kとの間で取引に関する情報処理を行い、個別の取引情報をクライアント装置2kに対して送信する。
【0061】
集計処理部109は、所定期間又は所定取引回数毎にクライアント装置2kに集計指示信号を送信するとともにデータ記憶装置3に対して読出し許可を指示する。そして、クライアント装置2kから送信される集計値を処理して取引集計登録部113に記憶する。
【0062】
クライアント装置2kの情報処理部20kは、アクセス処理部204k、取引処理部205k、結合計算部206k、取引集計部207k及び送受信部203kを備えており、こうした機能は、記憶部21kに記憶されたクライアント用取引処理プログラム212kにより実現される。記憶部21kは、管理サーバ1との間で取引処理された個別の取引情報を示す複数のデータdi及び後述する係数データapqを記憶する個別取引登録部213kを備えている。個別の取引情報を示す複数のデータdiとしては、例えば、取引日時、取引相手、取引量、取引金額といったものが挙げられる。そして、こうした情報は、0と1の2進数としてデータ化されている。
【0063】
アクセス処理部204kは、図2において説明した互いの正当性を判定するためのクライアント装置2kの各処理部の機能を備えるもので、図2と同一の機能であるから説明は省略する。
【0064】
取引処理部205kは、管理サーバ1との間で取引に関する情報処理を行い、個別の取引情報を示す複数のデータdiを個別取引登録部213kに登録する。
【0065】
結合計算部206kは、個別取引登録部213kに登録された個別の取引情報を示すM個のデータdi(i=1,2,…,M)及び係数データapq(p=1,2,…,M;q=1,2,…,M)を用いてM個の一次結合データvp(p=1,2,…,M)を以下の式(B)
vp=ap1d1+ap2d2+…+apqdi+…+apMdM・・・(B)
により算出する。こうして算出されたM個の一次結合データvpは、係数データapqが知られない限り、M個のデータdiを知ることはきわめて困難なため、一次結合データvpを外部に送信しても個別の取引情報の内容を知られることが防止できる。算出された一次結合データvpは、データdiに代えてデータ記憶装置3に送受信部203kを介して送信されて記憶される。
【0066】
取引集計部207kは、所定期間又は所定の取引回数毎にデータ記憶装置3に記憶された一次結合データvpを読み出して個別の取引情報であるデータdiを集計して、管理サーバ1に送信する。集計する場合、N個の取引情報に対応する一次結合データvps(p=1,2,…,M;s=1,2,…,N)の順番rの一次結合データvrs(1≦r≦M;s=1,2,…,N)を集計して結合集計データVrを算出する。結合集計データVrは、以下のとおりとなる。
Vr=vr1+vr2+…+vrs+…+vrN=ar1Σd1s+ar2Σd2s+…+arqΣdqs+…+arMΣdMs
したがって、結合集計データVrは、データdis(i=1,2,…,M;s=1,2,…,N)の集計値Σdisを変数とし係数データapqを用いた連立一次方程式の右辺値になる。取引集計部207kは、個別取引登録部213kに登録された係数データapqを読み出し、算出されたM個の結合集計データVp(p=1,2,…,M)に基づいて連立一次方程式を解き、集計値Σdisを求める。そして、例えば、取引金額及び取引量に関する集計値を管理サーバ1に送受信部203kを介して送信する。
【0067】
データ記憶装置3の情報処理部30は、登録処理部301、読出処理部302及び送受信部303を備えており、記憶部31には、結合情報登録部310が記憶されている。登録処理部301は、管理サーバ1から書き込み許可を受けて、クライアント装置2kから送信された一次結合データvpを結合情報登録部310に登録処理する。読出処理部302は、管理サーバ1から読出し許可の指示を受けて、所定期間又は所定取引回数毎の一次結合データvpをクライアント装置2kに送信する。
【0068】
データ記憶装置3は、管理サーバ1から書き込み許可及び読み出し許可を受けてクライアント装置2kとの間で登録処理や読出し処理を行なうものの、管理サーバ1との間ではデータの読出し処理ができないようにされている。また例え不正に読み出した場合でもその内容は係数データapqを知っていなければわからない。したがって、管理サーバ1は、データ記憶装置3とクライアント装置2kとの間でのデータのやり取りには関与できないようになっている。
【0069】
図9は、クライアント装置2kに関する取引情報をデータ記憶装置3に記憶するための処理フローを示している。まず、管理サーバ1とクライアント装置2kとの間で互いの正当性を判定するためのアクセス処理が行われる(S200、S201)。このアクセス処理は、図3と同様であるので、説明は省略する。互いに正当性ありと判定されると、クライアント装置2kは、取引処理依頼を管理サーバ1に対して送信し(S202)、管理サーバ1は取引処理を行う(S203)。管理サーバ1は、取引処理が終了すると取引情報を生成してクライアント装置2kに送信する(S204)。クライアント装置2kは、受信した取引情報をいったん個別取引登録部213kに登録し(S205)、取引情報を示すデータdiに基づいて一次結合データvpを算出する(S206)。一方、管理サーバ1は、書き込み許可をデータ記憶装置3に送信し、データ記憶装置3は、書き込み許可に従いクライアント装置2kから送信された一次結合データvpを記憶する(S208)。
【0070】
図10は、データ記憶装置3から一次結合データvpを読み出して集計を行なうための処理フローを示している。まず、管理サーバ1は、クライアント装置2kに対して集計指示を送信し(S300)、データ記憶装置3に対して読出し許可を送信する(S301)。クライアント装置2kは、集計指示を受信するとデータ記憶装置3に対して一次結合データの読出し依頼を送信する(S302)。データ記憶装置3は、読出し許可を受けクライアント装置2kから読出し依頼を受けて所定期間又は所定取引回数の間の取引情報に対応する一次結合データvpを読み出してクライアント装置2kに送信する(S303)。クライアント装置2kは、受信した一次結合データvpに基づいて上述したように結合集計データVrを算出して集計値Σdisを求めて管理サーバ1に送信する(S304)。管理サーバ1は、受信した集計値Σdisを取引集計登録部113に登録し、以後集計データに基づいて課金処理等を行なう。
【0071】
以上のように、データ記憶装置3に一次結合データvpに変換して取引情報を示すデータdiを記憶しておくことで、クライアント装置2kの個別の取引情報が外部に知られることなく、クライアント装置2kの取引情報として特定されることもない。また、データ記憶装置3は、管理サーバ1により書き込み及び読出しを管理されているので、クライアント装置2kが勝手にデータ記憶装置3にアクセスしてデータを改ざんすることを防止できる。
【0072】
なお、クライアント装置2kが偽りの取引情報を登録するといった不正行為を防止するために、クライアント装置2kの取引累積回数や取引時刻といった情報も取引情報に組み合せておき、必要に応じて取引内容をチェックできるようにしてもよい。
【産業上の利用可能性】
【0073】
このように、本発明に係る情報処理システムは、互いに信用できない主体同士が個別情報を送受信する際に、その個別情報が特定されないように送受信されるので、情報を送信する側にとっては安心して外部に情報を出すことができ、情報を受信する側にとっては情報を厳格に管理する負担が軽減される。
【0074】
特に、今後ユキュビタス・コンピューティングの進展により企業のみならず家庭内にもネットワークが普及してくることが想定されるが、本発明に係る情報処理システムでは、複雑なシステム構成を用いることなく個別情報が特定できないようにすることができ、ユキュビタス・コンピューティングに用いられる様々な情報機器に適用することが可能となる。
【0075】
また、ある業種に所属する複数の企業における従業員の給与の全体平均値を計算する場合、特定の母集団の特定の病気の感染数を調査したい場合、特定の母集団の身長、体重の分布を調査したい場合などには、これまで統計調査を行う団体に個人の給与、病歴情報又は身体情報を開示する必要があったが、本発明に係る個別情報処理システムでは、こうした個別情報が特定されることなく統計処理を容易に行うことができる。
【図面の簡単な説明】
【0076】
【図1】本発明に係る情報処理システムに関する実施形態の構成を示す概略図である。
【図2】管理サーバ及びクライアント装置の間の正当性を判定するための機能ブロック図である。
【図3】管理サーバ及びクライアント装置の間の正当性を判定するための処理フローである。
【図4】IDリストに関する説明図である。
【図5】パスワードリストに関する説明図である。
【図6】暗号パスワードリストに関する説明図である。
【図7】個別情報を集計するための情報処理システムに関する機能ブロック図である。
【図8】個別の取引情報が管理サーバに特定されないように取引情報を集計するための情報処理システムに関する機能ブロック図である。
【図9】個別の取引情報が管理サーバに特定されないように取引情報を登録するための処理フローである。
【図10】個別の取引情報が管理サーバに特定されないように取引情報を集計するための処理フローである。
【符号の説明】
【0077】
1 管理サーバ
2 クライアント装置
3 データ記憶装置
4 ネットワーク
10 情報処理部
11 記憶部
20 情報処理部
21 記憶部
30 情報処理部
31 記憶部
Drawing
(In Japanese)【図1】
0
(In Japanese)【図2】
1
(In Japanese)【図3】
2
(In Japanese)【図4】
3
(In Japanese)【図5】
4
(In Japanese)【図6】
5
(In Japanese)【図7】
6
(In Japanese)【図8】
7
(In Japanese)【図9】
8
(In Japanese)【図10】
9