特許第6786836号(P6786836)IP Force 特許公報掲載プロジェクト 2022.1.31 β版

ホーム > 特許ランキング > 日本電気株式会社

このエントリーをはてなブックマークに追加

知財求人 - 知財ポータルサイト「IP Force」

▶ 日本電気株式会社の特許一覧

特許6786836データ中継システム、データ中継方法、および、プログラム
<>
  • 特許6786836-データ中継システム、データ中継方法、および、プログラム 図000002
  • 特許6786836-データ中継システム、データ中継方法、および、プログラム 図000003
  • 特許6786836-データ中継システム、データ中継方法、および、プログラム 図000004
  • 特許6786836-データ中継システム、データ中継方法、および、プログラム 図000005
  • 特許6786836-データ中継システム、データ中継方法、および、プログラム 図000006
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】6786836
(24)【登録日】2020年11月2日
(45)【発行日】2020年11月18日
(54)【発明の名称】データ中継システム、データ中継方法、および、プログラム
(51)【国際特許分類】
   G06F 13/10 20060101AFI20201109BHJP
   G06F 3/06 20060101ALI20201109BHJP
   H04L 9/08 20060101ALI20201109BHJP
   G06F 21/62 20130101ALI20201109BHJP
   G06F 13/00 20060101ALI20201109BHJP
【FI】
   G06F13/10 340A
   G06F3/06 301N
   H04L9/00 601A
   G06F21/62 318
   G06F3/06 304H
   G06F13/00 351Z
【請求項の数】10
【全頁数】13
(21)【出願番号】特願2016-61204(P2016-61204)
(22)【出願日】2016年3月25日
(65)【公開番号】特開2017-174249(P2017-174249A)
(43)【公開日】2017年9月28日
【審査請求日】2019年2月15日
(73)【特許権者】
【識別番号】000004237
【氏名又は名称】日本電気株式会社
(74)【代理人】
【識別番号】100109313
【弁理士】
【氏名又は名称】机 昌彦
(74)【代理人】
【識別番号】100124154
【弁理士】
【氏名又は名称】下坂 直樹
(72)【発明者】
【氏名】小田 尚樹
【審査官】 田名網 忠雄
(56)【参考文献】
【文献】 特開平11−068730(JP,A)
【文献】 特開2004−185500(JP,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F 3/06−3/08
G06F 13/00−13/14
G06F 21/62
H04L 9/08
(57)【特許請求の範囲】
【請求項1】
第1の通信網と、第1の領域に書き込まれたデータを第2の領域に複写するディスクアレイ制御手段とに接続され、a1)前記第1の通信網内のクライアント装置から受信したデータを暗号化する暗号化手段と、a2)暗号化された前記データを前記ディスクアレイ制御手段の前記第1の領域に書き込む第1のアクセス手段とを備える、第1の中継手段と、
第2の通信網と、前記ディスクアレイ制御手段と、データ記憶手段とに接続され、b1)前記ディスクアレイ制御手段の前記第2の領域に複写された、暗号化されている前記データを復号する復号化手段と、b2)復号された前記データを前記データ記憶手段に保存し、前記第2の通信網のクライアント装置から受信した要求に応答して送信する第2のアクセス手段とを備える、第2の中継手段と、を包含するデータ中継システム。
【請求項2】
前記第1の通信網はインターネット、前記第2の通信網は企業内通信網である、請求項1のデータ中継システム。
【請求項3】
前記暗号化手段は、時刻データと暗号化回数値を用いて、所定の手順に従って共通鍵を生成し、当該共通鍵により、前記第1の通信網内のクライアント装置から受信した前記データを暗号化し、
前記復号化手段は、前記時刻データと前記暗号化回数値を用いて、前記所定の手順に従って前記共通鍵を生成し、当該共通鍵により、前記暗号化されている前記データを復号し、
前記暗号化手段が前記データの暗号化を終了した後は、前記第1の中継手段は、前記共通鍵を記憶しない、請求項1乃至請求項2の何れか1項のデータ中継システム。
【請求項4】
前記データ中継システムは、前記ディスクアレイ制御手段を包含し、
前記ディスクアレイ制御手段は、前記第1の領域を含む第1の論理ディスクと、前記第2の領域を含む第2の論理ディスクをアクセスする論理ディスク管理手段と、前記第1の論理ディスクに格納されている情報を、所定周期で前記第2の論理ディスクに複写するレプリケーション手段と、前記第1の論理ディスクと前記第2の論理ディスクを含む物理ディスク装置とを備えるディスクアレイ装置である、請求項1乃至請求項3の何れか1項のデータ中継システム。
【請求項5】
第1の通信網と、第1の領域に書き込まれたデータを第2の領域に複写するディスクアレイ制御手段とに接続された第1のコンピュータが、a1)前記第1の通信網内のクライアント装置から受信したデータを暗号化し、a2)前記ディスクアレイ制御手段の前記第1の領域に書き込み、
第2の通信網と、前記ディスクアレイ制御手段と、データ記憶手段とに接続された第2のコンピュータが、b1)前記ディスクアレイ制御手段の前記第2の領域に複写された、暗号化されている前記データを復号し、b2)復号された前記データを前記データ記憶手段に保存し、前記第2の通信網のクライアント装置から受信した要求に応答して送信する、データ中継方法。
【請求項6】
前記第1の通信網はインターネット、前記第2の通信網は企業内通信網である、請求項5のデータ中継方法。
【請求項7】
前記第1のコンピュータは、時刻データと暗号化回数値を用いて、所定の手順に従って共通鍵を生成し、当該共通鍵により、前記第1の通信網内のクライアント装置から受信した前記データを暗号化し、
前記第2のコンピュータは、前記時刻データと前記暗号化回数値を用いて、前記所定の手順に従って前記共通鍵を生成し、当該共通鍵により、前記暗号化されている前記データを復号し、
前記データの暗号化を終了した後は、前記第1のコンピュータは、前記共通鍵を記憶しない、請求項5乃至請求項6の何れか1項のデータ中継方法。
【請求項8】
第1の通信網と、第1の領域に書き込まれたデータを第2の領域に複写するディスクアレイ制御装置とに接続された第1のコンピュータに、a1)前記第1の通信網内のクライアント装置から受信したデータを暗号化する暗号化処理と、a2)暗号化された前記データを前記ディスクアレイ制御装置の前記第1の領域に書き込む第1のアクセス処理とを実行させ、
第2の通信網と、前記ディスクアレイ制御装置と、データ記憶装置とに接続された第2のコンピュータに、b1)前記ディスクアレイ制御装置の前記第2の領域に複写された、暗号化されている前記データを復号する復号化処理と、b2)復号された前記データを前記データ記憶装置に保存し、前記第2の通信網のクライアント装置から受信した要求に応答して送信する第2のアクセス処理とを実行させる、プログラム。
【請求項9】
前記第1の通信網はインターネット、前記第2の通信網は企業内通信網である、請求項8のプログラム。
【請求項10】
前記暗号化処理は、時刻データと暗号化回数値を用いて、所定の手順に従って共通鍵を生成し、当該共通鍵により、前記第1の通信網内のクライアント装置から受信した前記データを暗号化し、
前記復号化処理は、前記時刻データと前記暗号化回数値を用いて、前記所定の手順に従って前記共通鍵を生成し、当該共通鍵により、前記暗号化されている前記データを復号し、
前記暗号化処理で前記データの暗号化を終了した後は、前記第1のコンピュータに、前記共通鍵を記憶させないようにする、請求項8乃至請求項9の何れか1項のプログラム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、データ中継システム、データ中継方法、および、プログラム、特に、セキュリティの低いネットワークから受信したデータを、セキュリティの高いネットワーク内で利用する為のデータ中継システム、データ中継方法、および、プログラム、に関する。
【背景技術】
【0002】
特許文献1は、企業内ネットワークあるいはインターネットの何れからも、共有データにアクセス可能な構成を持ったシステムを開示する。このシステムは、共有データを利用する企業内ネットワークのアプリケーションとインターネットのアプリケーション間で、排他制御を行いながら共有データを参照/更新して、等価なサービスを各々のネットワークに提供する。
【0003】
特許文献2は、暗号化対象とするデータを、ユーザの用途も考慮して決定するデータ管理システムを開示する。
【0004】
特許文献3は、暗号化されたデータの記憶域と、暗号化されていないデータの記憶域を備え、データを前者の記憶域に記憶するときに暗号化し、データを前者の記憶域から後者の記憶域にコピーするとき復号するファイルサーバを開示する。
【0005】
特許文献4は、論理ディスクの複製機能と共に、論理ディスクの一部分のアックアップ及びリストア機能を有するディスクアレイ装置を開示する。
【先行技術文献】
【特許文献】
【0006】
【特許文献1】特開2000−276457号公報
【特許文献2】特開2006−127061号公報
【特許文献3】特開2008−129803号公報
【特許文献4】特開2008−242736号公報
【発明の概要】
【発明が解決しようとする課題】
【0007】
図1は、セキュリティは低いが可用性の高いインターネット200と、セキュリティの高いイントラネット500に跨って構築されるシステムの構成例を示す。このシステムは、両ネットワーク間のアクセス窓口を一本化し、接点にゲートウェイ装置900を緩衝地帯として設置する。そして、このシステムは、ゲートウェイ900のセキュリティを高めることでイントラネット500のセキュリティを確保する。しかし、ゲートウェイ装置900が悪意の有るユーザやウィルスに侵入されうる場合、不正アクセスを完全に防ぐことが難しい。
【0008】
また、ゲートウェイの代わりに2つのネットワークの接点にディスクアレイ装置を使用して、インターネットとイントラネットにまたがって構築されるシステムがある(例えば、特許文献1)。このようなシステムにおいても、当該ディスクアレイ装置にアクセスするインターネット側の制御装置が悪意有るユーザやウィルスに侵入されうる場合、不正アクセスを完全に防ぐことが難しい。
【0009】
一方、データを暗号化して保持した場合(例えば、特許文献2、特許文献3)、システムは、本来のアプリケーションプログラムとデータ復号処理を並行して実行するため、作業効率が低下し、データの処理遅延が課題となる。さらに、インターネットに接続できる装置が、復号後に、暗号化されていないファイルを保持していると、当該ファイルのセキュリティが問題となる。
【0010】
本発明は、上記課題を解決する、データ中継システム、データ中継方法、および、プログラムを提供することを目的とする。
【課題を解決するための手段】
【0011】
本発明の1実施の形態のデータ中継システムは、第1の通信網と、第1の領域に書き込まれたデータを第2の領域に複写するディスクアレイ制御手段とに接続され、a1)前記第1の通信網内のクライアント装置から受信したデータを暗号化する暗号化手段と、a2)暗号化された前記データを前記ディスクアレイ制御手段の前記第1の領域に書き込む第1のアクセス手段とを備える、第1の中継手段と、第2の通信網と、前記ディスクアレイ制御手段と、データ記憶手段とに接続され、b1)前記ディスクアレイ制御手段の前記第2の領域に複写された、暗号化されている前記データを復号する復号化手段と、b2)復号された前記データを前記データ記憶手段に保存し、前記第2の通信網のクライアント装置から受信した要求に応答して送信する第2のアクセス手段とを備える、第2の中継手段と、を包含する。
【0012】
本発明の1実施の形態のデータ中継方法は、第1の通信網に接続された装置内で、a1)前記第1の通信網内のクライアント装置から受信したデータを暗号化し、a2)暗号化された前記データを、1の領域に書き込まれたデータを第2の領域に複写するディスクアレイ制御手段の前記第1の領域に書き込み、第2の通信網に接続された装置内で、b1)前記ディスクアレイ制御手段の前記第2の領域に複写された、暗号化されている前記データを復号し、b2)復号された前記データをデータ記憶手段に保存し、前記第2の通信網のクライアント装置から受信した要求に応答して送信する。
【0013】
本発明の1実施の形態のプログラムは、第1の通信網と、第1の領域に書き込まれたデータを第2の領域に複写するディスクアレイ制御装置とに接続された第1のコンピュータに、a1)前記第1の通信網内のクライアント装置から受信したデータを暗号化する暗号化処理と、a2)暗号化された前記データを前記ディスクアレイ制御装置の前記第1の領域に書き込む第1のアクセス処理とを実行させ、第2の通信網と、前記ディスクアレイ制御装置と、データ記憶装置とに接続された第2のコンピュータに、b1)前記ディスクアレイ制御装置の前記第2の領域に複写された、暗号化されている前記データを復号する復号化処理と、b2)復号された前記データを前記データ記憶装置に保存し、前記第2の通信網のクライアント装置から受信した要求に応答して送信する第2のアクセス処理とを実行させる。
【発明の効果】
【0014】
本発明にかかるデータ中継システムは、セキュリティの低いネットワークから受信したデータを、セキュリティの高いネットワーク内で安全にかつ効率よく利用することを可能にする。
【図面の簡単な説明】
【0015】
図1図1は、セキュリティは低いが可用性の高いインターネット200と、セキュリティの高いイントラネット500に跨って構築される、システムの構成例を示す図である。
図2図2は、第1の実施の形態にかかるデータ中継システム300を用いた、インターネット200とイントラネット500に跨って構築されるデータシステム800の構成例を示す図である。
図3図3は、コンピュータ装置600の構成図である。
図4図4は、データ中継システム300を用いたデータシステム800の動作フローチャートである。
図5図5は、第2の実施の形態にかかるデータ中継システム300の構成図である。
【発明を実施するための形態】
【0016】
<第1の実施の形態>
<概要>
図2は、本実施の形態のデータ中継システム300を用いた、インターネット200とイントラネット500に跨って構築されるデータシステム800の構成例を示す。データシステム800は、図1で例示したシステムにおけるゲートウェイ900の代わりに、レプリケート機能を有するディスクアレイ装置330を用いる。データシステム800は、インターネット200側のデータを、インターネット200から隔離されたディスクコピー機能によりイントラネット500側にレプリケートする。
【0017】
また、データシステム800は、インターネット200内のクライアント装置A100からディスクアレイ装置330にデータを転送するときにデータを暗号化し、イントラネット500側で復号化する。
【0018】
これにより、悪意を持った者の装置が、インターネット200からアクセス可能なディスクアレイ装置330に不正アクセスを行った場合でも、暗号化データ720が読み取られることが無い。また、イントラネット500内にレプリケートされた暗号化データ730は、イントラネット500内の中継装置B320で復号化してデータ740として保存し直されることで、イントラネット500内からの可用性が高まる。
【0019】
<構成>
次に、本発明の実施例の構成について図2を参照して詳細に説明する。
【0020】
図2を参照すると、このデータシステム800は、インターネット200とイントラネット500の両者に接続されたデータ中継システム300と、当該データ中継システム300に接続されたディスクアレイ装置330と、ディスク装置325を包含する。
【0021】
インターネット200は、例えば、不特定多数のユーザがアクセスする安全性の低いネットワークである。イントラネット500は、例えば、特定企業内のユーザがアクセスする安全性の高いネットワークである。
【0022】
データ中継システム300は、インターネット200、ディスクアレイ装置330に接続された中継装置A310と、イントラネット500、ディスクアレイ装置330、ディスク装置325に接続された中継装置B320を包含する。なお、データ中継システム300は、ディスクアレイ装置330と、ディスク装置325を包含していても良い。
【0023】
インターネット200には、データ710の保存を行うクライアント装置A100が接続されている。イントラネット500には、データ710を利用したいクライアント装置B400が接続されている。
【0024】
中継装置A310は、論理ディスクA335のファイルアクセス機能を手供するファイルアクセス部A311に加えて、送信されたデータ710を暗号化して論理ディスクA335に書き込む暗号化部312を備えている。中継装置B320は、論理ディスクB336のファイルアクセス機能を手供するファイルアクセス部B321に加えて、論理ディスクA335に書き込まれた暗号化データ730を復号化する復号化部322を備えている。復号されたデータ440は、ディスク装置325に格納される
ディスクアレイ装置330は、論理ディスクA335を中継装置A310に、論理ディスクB336を中継装置B320に、専用使用可能に制御する論理ディスク管理部331を備えている。ディスクアレイ装置330は、さらに、論理ディスクA335に格納されている情報を論理ディスクB336に複写するレプリケーション部332、および、論理ディスクA335、論理ディスクB336を備える。なお、論理ディスクA335と、論理ディスクB336は、物理的な記憶装置により実現されており、ディスクアレイ装置330は、当該物理的な記憶装置を包含するとも言える。
【0025】
これらの手段はそれぞれ概略つぎのように動作する。
【0026】
クライアント装置A100からのファイルの書き込み要求、すなわち、データ710を送信する要求は、インターネット200を介して中継装置A310に通知される。中継装置A310では、暗号化部312が、受信されたデータ710から暗号化データ720を作成し、ファイルアクセス部A311が、ディスクアレイ装置330に、事前に提供されている論理ディスクA335に当該暗号化データ720を書き込むように要求する。
【0027】
ディスクアレイ装置330では、論理ディスク管理部331が、中継装置A310から書き込み要求のあった暗号化データ720を、論理ディスクA335の所定領域に書き込む。その後、ディスクアレイ装置330のレプリケーション部332は、論理ディスクA335の暗号化データ720を論理ディスクB336に複写する。この際、暗号化データ720は複写されて、暗号化データ730となる。
【0028】
中継装置B320では、ファイルアクセス部B321が、ディスクアレイ装置330が提供する論理ディスクB336から暗号化データ730を読み込み、復号化部322が復号キー323を使用して復号してデータ740を作成する。その後、ファイルアクセス部B321が、データ740をディスク装置325に書き込む。
【0029】
イントラネット500上のクライアント装置B400からのファイルの読み出し要求、例えば、データ740を読み出す要求は、LAN(Local Area Network)等で構成されているイントラネット500を介し、中継装置B320に通知される。中継装置B320では、ファイルアクセス部B321が、ディスク装置325からデータ740を読み出し、イントラネット500上のクライアント装置B400に出力する。
【0030】
ここで、中継装置A310のファイルアクセス部A311と暗号化部312は、論理回路で構成される。中継装置B320のファイルアクセス部B321と復号化部322は、論理回路で構成される。
【0031】
なお、中継装置A310と、中継装置B320は、それぞれ、コンピュータ装置600により実現されても良い。図3は、コンピュータ装置600の構成図である。コンピュータ装置600は、バス640で相互に接続された、プロセッサ610、主記憶部630、および、外部記憶装置620を備える。プロセッサ610は、バス640を経由して、主記憶部630、および、外部記憶装置620に対してデータの読み書きを行う。また、プロセッサ610は、主記憶部630に格納されているプログラム650を実行する。なお、プログラム650は、当初外部記憶装置620に格納されており、コンピュータ装置600の初期設定時に、プロセッサ610が、外部記憶装置620から主記憶部630にロードしても良い。
【0032】
ここで、主記憶部630は半導体メモリ装置である。外部記憶装置620はディスク装置、または、半導体記憶装置等の記憶装置である。
【0033】
中継装置A310を実現するコンピュータ装置600において、プロセッサ610は、プログラム650を実行することにより、ファイルアクセス部A311と暗号化部312として機能する。すなわち、プロセッサ610は、プログラム650を実行することにより、ファイルアクセス部A311と暗号化部312が行う処理を実行する。
【0034】
また、中継装置B320を実現するコンピュータ装置600において、プロセッサ610は、プログラム650を実行することにより、ファイルアクセス部B321と復号化部322として機能する。すなわち、プロセッサ610は、プログラム650を実行することによりファイルアクセス部B321と復号化部322が行う処理を実行する。
【0035】
<動作>
次に、図3、及び図4のフローチャートを参照してデータシステム800の動作について詳細に説明する。
【0036】
まず、インターネット200上のクライアント装置A100が、中継装置A310にデータ710を送信する(図4のステップA1)。クライアント装置A100は、インターネット200に接続出来ればファイルを取得できるため、様々な環境で柔軟に情報を収集して、データ710を作成出来る。
【0037】
中継装置A310の暗号化部312は、送信されたデータ710を暗号化して暗号化データ720に変換し、ファイルアクセス部A311が、ディスクアレイ装置330の論理ディスクA335に書き込む(図4のステップB1)。この暗号化により、中継装置A310上のデータのリストは参照可能だが、データ710は参照不可となる。
【0038】
なお、中継装置A310は、少なくとも暗号化データ720の作成後は、この暗号化データ720を復号する為の復号キー323を記憶していない。暗号化部312は、例えば、公開鍵方式を用いて受信したデータ710を暗号化する。例えば、暗号化部312は、公開鍵で暗号化し、復号化部322は秘密鍵で復号する。また、暗号化部312と復号化部322は、予め特定されているデータ、例えば、時刻データと暗号化回数値を用いて、与えられている手順に従って共通鍵作成し、共通鍵方式で暗号化/復号を行っても良い。この場合、暗号化部312は、データ710を暗号化したのち、作成した共通鍵を中継装置A310内から消去する。
【0039】
インターネット200側に復号キー323が無いため、データ中継システム300に、インターネット200上の悪意を持つ利用者からの不正アクセスがあったとしても、元のデータ710の内容が漏えいすることは無い。
【0040】
インターネット200上のクライアント装置A100と中継装置A310は、このようなファイルのやり取りをディスクアレイ装置330が論理ディスクA335をレプリケーションするまで繰り返す(図4のステップB2)。ディスクアレイ装置330でのレプリケーションは、論理ディスクA335へのアクセスに影響を与えず実施されるため、クライアント装置A100はデータ710を送信するタイミングに制約を受けない。
【0041】
次にディスクアレイ装置330のレプリケーション部332は、定期的に、例えば1日に1回、論理ディスクA335の内容を論理ディスクB336に複写する(図4のステップB3)。レプリケートはディスク単位で中のファイル等に関与せず実施される為、ディスクアレイ装置330は論理ディスクA335内の暗号化データ720を認識することは無い。
【0042】
論理ディスクB336を提供されている中継装置B320では、複写された暗号化データ730の復号が行われる。具体的には、論理ディスクB336へのレプリケートが完了後、ファイルアクセス部B321が暗号化データ730を読み込み、復号化部322が複合化し、ファイルアクセス部B321がディスク装置325にデータ740として格納する(図4のステップC1)。
【0043】
このとき、中継装置A310と論理ディスクA335、中継装置B320と論理ディスクB336は、インターネット200とは隔離されたディスク間でのデータのやり取りを行う。したがって、悪意を持つユーザが、インターネット200から中継装置B320に不正アクセスすることは不可能である。よって、データ740がインターネット200側から読み取られることは無い。
【0044】
最後に、イントラネット500上のクライアント装置B400は、中継装置B320にアクセスして、ディスク装置325に格納された復号されたデータ740を読み出し、データ解析やバックアップに利用する(図4のステップD1)。
【0045】
データ740がディスク装置325に格納されるタイミングは、定期的なタイミングとなるが、一度置かれたデータ740に対してはその後どのようなタイミングでもアクセス可能である。よって、イントラネット500上のクライアント装置B400は必要な時間に必要な回数繰り返しデータ740にアクセスし利用する(図4のステップD2)。
【0046】
データ740は復号されているため、利用の自由度が高く、バックアップやデータ解析の処理は、効率的に実施可能である。また、イントラネット500上のクライアント装置B400は、インターネット200上のデータ710を扱う代わりに、イントラネット500内のデータ740を扱うことが可能となり、インターネット200からの脅威に対して、イントラネット500の安全性が向上する。
【0047】
<変形例>
データ中継システム300は、インターネット200側で収集したデータ740を用いてイントラネット500側で解析した結果を中継装置A310に逆に転送して、インターネット200から利用できるようにしても良い。
【0048】
<効果>
データ中継システム300は、セキュリティの低いインターネット200から受信したデータ710を、セキュリティの高いイントラネット500内で安全にかつ効率よく利用することを可能にする。
【0049】
その理由は、インターネット200に接続された中継装置A310の暗号化部312がデータ710を暗号化して暗号化データ720を作成し、ディスクアレイ装置330内で複写される論理ディスクA335に格納するからである。そして、イントラネット500に接続された中継装置B320の復号化部322が、ディスクアレイ装置330内で暗号化データ720から複写された暗号化データ730を復号化してデータ740を作成し、ディスク装置325に格納するからである。ディスク装置325は、イントラネット500からアクセス可能である。
【0050】
この結果、インターネット200上のクライアント装置A100等は、中継装置A310上にセキュアにデータ収集が可能となる。そして、利用者は、可用性の高いインターネット200側のクライアント装置A100等を使用して柔軟にデータ収集し、イントラネット500内では復号化されたデータを使用することで、自由度高くデータ利用が可能となる。
【0051】
具体的には、例えば、バックアップや情報解析の作業効率を上げることが可能となる。また、インターネット200接続可能なクライアント装置A100上で必要に応じて復号化する方式に比べて、安全性が向上する。データを扱う作業は、イントラネット500側のデータをもっぱら扱うように出来るからである。
【0052】
<第2の実施の形態>
図5は、本実施の形態にかかるデータ中継システム300の構成図である。データ中継システム300は、中継装置A310と中継装置B320を包含する。
【0053】
中継装置A310は、第1の通信網、例えばインターネット200、および、ディスクアレイ制御装置、例えばディスクアレイ装置330に接続されている。ディスクアレイ制御装置は、第1の領域に書き込まれたデータを第2の領域に複写する。
【0054】
中継装置A310は、ファイルアクセス部A311と暗号化部312とを備える。暗号化部312は、第1の通信網から受信したデータを暗号化する。ファイルアクセス部A311は、暗号化されたデータをディスクアレイ制御装置の第1の領域に書き込む。
【0055】
中継装置B320は、第2の通信網、例えばイントラネット500、上述のディスクアレイ制御装置、および、データ記憶装置、例えばディスク装置325に接続されている。
【0056】
中継装置B320は、ファイルアクセス部B321と復号化部322とを備える。復号化部322は、ディスクアレイ制御装置の第2の領域に複写された暗号化データを復号する。ファイルアクセス部B321は、復号されたデータをデータ記憶装置に保存し、第2の通信網から受信した要求に応答して送信する。
【0057】
データ中継システム300は、セキュリティの低い第1の通信網、例えばインターネット200から受信したデータを、セキュリティの高い第2の通信網、例えばイントラネット500内で安全にかつ効率よく利用することを可能にする。
【0058】
その理由は、第1の通信網に接続された中継装置A310の暗号化部312がデータを暗号化して、ディスクアレイ制御装置内で複写される第1の領域に格納するからである。そして、第2の通信網に接続された中継装置B320の復号化部322が、ディスクアレイ制御装置内で暗号化データから複写された暗号化データを復号化して、データ記憶装置に格納するからである。データ記憶装置は、第2の通信網からアクセス可能である。
【0059】
この結果、第1の通信網上の装置は、中継装置A310上にセキュアにデータ収集が可能となる。そして、利用者は、可用性の高い第2の通信網側の装置を使用して柔軟にデータ収集し、第2の通信網内では復号化されたデータを使用することで、自由度高くデータ利用が可能となる。
【0060】
以上、実施形態を参照して本願発明を説明したが、本願発明は上記実施形態に限定されるものではない。本願発明の構成や詳細には、本願発明のスコープ内で当業者が理解し得る様々な変更をすることができる。
【符号の説明】
【0061】
100 クライアント装置A
200 インターネット
300 データ中継システム
310 中継装置A
311 ファイルアクセス部A
312 暗号化部
320 中継装置B
321 ファイルアクセス部B
322 復号化部
323 復号キー
325 ディスク装置
330 ディスクアレイ装置
331 論理ディスク管理部
332 レプリケーション部
335 論理ディスクA
336 論理ディスクB
400 クライアント装置B
500 イントラネット
600 コンピュータ装置
610 プロセッサ
620 外部記憶装置
630 主記憶部
640 バス
650 プログラム
710 データ
720 暗号化データ
730 暗号化データ
740 データ
800 データシステム
900 ゲートウェイ
図1
図2
図3
図4
図5
Copyright © 2010-2025 Science Impact Inc. All Rights Reserved.