專利名稱:文件管理系統(tǒng)及方法、以及便攜終端裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及文件管理系統(tǒng)及方法�、以及便攜終端裝置,例如涉及處于在用 戶終端裝置中不能利用通信功能的環(huán)境�、并且不能將生成的機(jī)密文件保存在文 件服務(wù)器時(shí),安全地保管數(shù)據(jù)的方法��。
背景技術(shù):
目前�,在用戶終端的二次存儲裝置中保存機(jī)密文件時(shí),通過對文件進(jìn)行加 密來限制機(jī)密數(shù)據(jù)的提取��。在該方式中����,即使提取了文件,也由于進(jìn)行了加密�����,
因而不能提取信息本身。例如����,在專利丈獻(xiàn)l中,在os的文件i/o處理中自
動(dòng)地進(jìn)行加密.解密處理����,由此實(shí)現(xiàn)了對用戶來說便利性高的自動(dòng)文件加密系 統(tǒng)。而且���,可以通過進(jìn)行對外部存儲介質(zhì)或打印機(jī)的訪問控制來進(jìn)行機(jī)密文件 編輯����,并且防止信息泄漏�。
專利文獻(xiàn)1:特開平11-149414號7>報(bào)
發(fā)明內(nèi)容
但是,有些人認(rèn)為�,在例如移動(dòng)PC中對顧客信息等機(jī)密數(shù)據(jù)進(jìn)行加密后 保存,在丟失了該機(jī)密數(shù)據(jù)時(shí)由于已加密所以不存在機(jī)密信息被泄漏的危險(xiǎn) 性�����,但是在社會上不認(rèn)可這一觀點(diǎn),這是最近的潮流��。因此���,即使如專利文獻(xiàn) 1中的記載對文件進(jìn)行了加密����,在丟失了個(gè)人信息時(shí)必須向客戶道歉����,并且有 向檢察廳報(bào)告或公開的義務(wù)�,機(jī)密信息的丟失事故成為比較大的問題。
本發(fā)明是鑒于這樣的狀況而提出的��,提供不存在丟失機(jī)密數(shù)據(jù)的可能性����, 能夠安全地保管機(jī)密數(shù)據(jù)的方法。
為了解決上述課題�,在本發(fā)明中,在從用戶終端裝置(例如PC等)向便 攜終端裝置(例如便攜電話)存儲機(jī)密數(shù)據(jù)時(shí)��,在用戶終端裝置與便攜終端裝 置之間進(jìn)行認(rèn)證來確認(rèn)是否是正當(dāng)設(shè)備�����。然后,由存儲器訪問控制驅(qū)動(dòng)器捕捉 通過便攜終端裝置內(nèi)的任意應(yīng)用程序(包含用于將機(jī)密數(shù)據(jù)存儲在存儲器的文 件管理用進(jìn)程)對便攜終端裝置內(nèi)的非易失性存儲器的輸入輸出請求����,并限制
來自除了向非易失性存儲器內(nèi)的指定文件夾的文件管理用進(jìn)程以外的進(jìn)程的 訪問,只有文件管理用進(jìn)程能夠訪問機(jī)密數(shù)據(jù)���。由此����,保護(hù)保存在非易失性存 儲器內(nèi)的指定文件夾中的數(shù)據(jù)���。
即本發(fā)明的文件管理系統(tǒng)具有用戶終端裝置與^1攜終端裝置�,在用戶終端 裝置與便攜終端裝置之間進(jìn)行機(jī)密文件的傳送�����,并且����,用戶終端裝置具有文件 傳送控制單元,該文件傳送控制單元對便攜終端裝置進(jìn)行訪問請求��,并執(zhí)行機(jī)
密文件的傳送。此外���,便攜終端裝置具有文件管理單元���,其應(yīng)答來自文件傳
送控制單元的訪問請求,執(zhí)行對用戶終端裝置的認(rèn)證����,當(dāng)認(rèn)證成功時(shí),為了將 從文件傳送控制單元傳送來的機(jī)密文件存儲在存儲器(例如非易失性存儲器)
其應(yīng)答向存儲器的訪問請求���,僅在訪問源是文件管理單元時(shí),允許機(jī)密文件被 存儲在存儲器中��。
而且���,該文件管理系統(tǒng)具有與便攜終端裝置連接的遠(yuǎn)程刪除控制單元�, 該遠(yuǎn)程刪除控制單元用于請求刪除在便攜終端裝置的存儲器中存儲的機(jī)密文 件�。另外,便攜終端裝置中的文件管理單元應(yīng)答來自遠(yuǎn)程刪除控制單元的文件 刪除請求而刪除存儲在存儲器中的機(jī)密文件���。刪除動(dòng)作結(jié)束后���,向遠(yuǎn)程刪除控 制單元通知?jiǎng)h除結(jié)束�。
此外�,用戶終端裝置中的文件傳送控制單元向^^攜終端裝置的文件管理單 元發(fā)出用于將存儲在便攜終端裝置的存儲器中的機(jī)密文件傳送到用戶終端裝 置的傳送請求時(shí),文件管理單元應(yīng)答該傳送請求而從存儲器取得機(jī)密文件�,并 將其發(fā)送給文件傳送控制單元。
本發(fā)明還提供在本文件管理系統(tǒng)中使用的便攜終端裝置�。該便攜終端裝置 在與用戶終端裝置之間進(jìn)行機(jī)密文件的收發(fā),該便攜終端裝置具有文件管理 單元����,其應(yīng)答來自用戶終端裝置的訪問請求,執(zhí)行對用戶終端裝置的認(rèn)證��,當(dāng) 認(rèn)證成功時(shí)���,為了將從用戶終端裝置傳送來的機(jī)密文件存儲在存儲器中�����,請求 向存儲器的訪問��;以及存儲器訪問控制單元��,其應(yīng)答向存儲器的訪問請求����,僅 在訪問源是文件管理單元時(shí),允許機(jī)密文件被存儲在存儲器中��。
本發(fā)明的特征由以下的用于實(shí)施本發(fā)明的最佳實(shí)施方式以及附圖而變得 更加明確�����。
圖1是表示本發(fā)明的第一實(shí)施方式的文件管理系統(tǒng)的概略結(jié)構(gòu)的圖�����。 圖2是用于說明從用戶終端向便攜電話復(fù)制機(jī)密數(shù)據(jù)的處理的流程圖���。 圖3是用于說明由便攜管理服務(wù)器遠(yuǎn)程刪除便攜電話內(nèi)的機(jī)密數(shù)據(jù)的處 理的流程圖����。
圖4是表示便攜管理服務(wù)器的管理頁面畫面的圖�����。
圖5是用于說明針對便攜電話內(nèi)應(yīng)用程序向機(jī)密數(shù)據(jù)的訪問的控制處理
的流程圖�。
圖6是表示本發(fā)明的第二實(shí)施方式的文件管理系統(tǒng)的概略結(jié)構(gòu)的圖�。 圖7是用于說明用戶終端訪問便攜電話內(nèi)的機(jī)密數(shù)據(jù)時(shí)的處理的流程圖���。 符號說明
100- 文件服務(wù)器
101- 用戶終端
102- 便攜電話
103- 便攜管理服務(wù)器
104- 因特網(wǎng)
105- USB電纜
106- 電話線路網(wǎng)
107- OS
108- 應(yīng)用程序
109- 文件傳送客戶機(jī)
110- 外部介質(zhì)寫入控制驅(qū)動(dòng)器
111 -二次存儲裝置寫入控制驅(qū)動(dòng)器
113- 文件管理服務(wù)
114- 存儲器訪問控制驅(qū)動(dòng)器
115- 機(jī)密數(shù)據(jù)
116- 存儲用存儲器
117- 管理頁面
118- Web服務(wù)器
119- 遠(yuǎn)程刪除服務(wù)
120- 二次存儲裝置
m-存儲器(高速緩存器)
具體實(shí)施例方式
以下參照
本發(fā)明的實(shí)施方式。但是���,應(yīng)注意本實(shí)施方式只不過是 用于實(shí)現(xiàn)本發(fā)明的一例子��,并不限定本發(fā)明����。
如上所述�,由于機(jī)密信息的丟失事故成為較大的問題,因此在移動(dòng)PC等 存在丟失的危險(xiǎn)性的PC中���,允許利用 閱覽機(jī)密信息���,但不希望保存機(jī)密信
息,這樣的需求比較大�。但是,如專利文獻(xiàn)l中記載的自動(dòng)文件加密系統(tǒng)中不 能滿足該需求��。
因此�����,本申請人為了滿足該需求,設(shè)計(jì)了以下系統(tǒng)并申請了專利(專利申
請2006-238574 ),該系統(tǒng)中以軟件的形式安裝了不允許用戶終端的一切數(shù)據(jù)保 存����、并禁止向外部存儲介質(zhì)復(fù)制數(shù)據(jù)或印刷數(shù)據(jù)的功能,使位于網(wǎng)絡(luò)側(cè)的文件 服務(wù)器保管新生成的機(jī)密數(shù)據(jù)����,由此防止機(jī)密數(shù)據(jù)的泄漏'丟失、并集約文件 服務(wù)器����。
但是,作為該系統(tǒng)的較大課題����,存在在辦公室以外等不能利用通信的環(huán)境 下無法訪問網(wǎng)絡(luò)側(cè)的文件服務(wù)器、不能利用機(jī)密數(shù)據(jù)的問題��。
根據(jù)本實(shí)施方式的系統(tǒng)�����,即使是不能利用通信�、且不能訪問文件服務(wù)器的 環(huán)境下��,也不存在丟失生成的機(jī)密數(shù)據(jù)的可能性、能夠安全地保管生成的機(jī)密 數(shù)據(jù)�����。
<第一實(shí)施方式> (1)數(shù)據(jù)管理系統(tǒng)的結(jié)構(gòu)
圖1是表示本發(fā)明的第一實(shí)施方式的數(shù)據(jù)管理系統(tǒng)的概略結(jié)構(gòu)的圖�����。如圖 1所示�,數(shù)據(jù)管理系統(tǒng)具有文件服務(wù)器100、用戶終端101���、便攜電話(不限 于便攜電話�,也可以是具有通信功能的PDA等便攜終端)102以及便攜管理 服務(wù)器103�。此外,文件服務(wù)器100與用戶終端101經(jīng)由因特網(wǎng)104能夠進(jìn)行 通信�����,而且便攜電話102與便攜管理服務(wù)器103經(jīng)由無線電話線路網(wǎng)106能夠 進(jìn)行通信�。
處于可以使用因特網(wǎng)104的環(huán)境下時(shí),用戶終端101可以利用與文件服務(wù)
器100的通信來管理機(jī)密數(shù)據(jù)�����,而處于不能使用因特網(wǎng)104的環(huán)境下時(shí),可以 利用便攜電話102來管理機(jī)密數(shù)據(jù)�����。由于能夠利用便攜電話來管理機(jī)密數(shù)據(jù)����, 因此在用戶終端101與便攜終端102之間通過連接USB電纜能夠進(jìn)行串行通 信。
用戶終端101具有二次存儲裝置120���、高速緩存器121�����、根據(jù)未圖示的CPU 或MPU等處理控制部的控制來在OS107上動(dòng)作的應(yīng)用程序動(dòng)作部108�、文件 傳送客戶機(jī)109���、外部介質(zhì)寫入控制驅(qū)動(dòng)器110以及二次存儲裝置寫入控制驅(qū) 動(dòng)器111�。
應(yīng)用程序動(dòng)作部108啟動(dòng)各種應(yīng)用程序并使其動(dòng)作����。外部介質(zhì)寫入控制驅(qū) 動(dòng)器110禁止對USB存儲器或外帶硬盤等外部存儲介質(zhì)的寫入以及對打印機(jī) 的輸出。此外�����,二次存儲裝置寫入控制驅(qū)動(dòng)器111監(jiān)視OS對二次存儲裝置120 的I/0請求�,允許從二次存儲裝置120讀取數(shù)據(jù),但是禁止寫入數(shù)據(jù)��。具體地 說�,在寫入時(shí),將寫入數(shù)據(jù)高速緩存(cache)到存儲器121,在讀取時(shí)��,針對 從二次存儲裝置120讀取的數(shù)據(jù)���,覆蓋已經(jīng)高速緩存到存儲器121內(nèi)的數(shù)據(jù)中 的��、與讀取數(shù)據(jù)重疊的部分后傳送到OS����。由此虛擬地(看起來)實(shí)現(xiàn)向二次 存儲裝置120的寫入�,但實(shí)際上寫入數(shù)據(jù)完全沒有反映到二次存儲裝置120, 關(guān)掉(OFF)電源時(shí)寫入數(shù)據(jù)被清除。通過該兩個(gè)驅(qū)動(dòng)器�����,在用戶終端101中 生成的機(jī)密數(shù)據(jù)不能輸出到外部,并且一律不能保存到二次存儲裝置120��。因 此��,不能從該用戶終端101提取機(jī)密數(shù)據(jù)����,即使丟失了終端,由于完全沒有保 存機(jī)密數(shù)據(jù)�����,因而也不成為機(jī)密數(shù)據(jù)的丟失事故�。但是,若不能保存生成的數(shù) 據(jù)�,會帶來不便,因此通常做成將在用戶終端101生成的機(jī)密數(shù)據(jù)經(jīng)由因特網(wǎng) 104能夠保存到文件服務(wù)器100中�。以上是也記載在在先申請的專利申請 2006-238574中的內(nèi)容。
但是��,假設(shè)在辦公室以外不能進(jìn)行通信���,此時(shí)不能訪問文件服務(wù)器100, 因而存在不能保存生成的數(shù)據(jù)的問題��。作為該問題的解決方法�����,做成能夠經(jīng)由 USB電纜105將數(shù)據(jù)保存在內(nèi)置于便攜電話102的存儲用存儲器116中���。
為了實(shí)現(xiàn)該動(dòng)作,便攜電話102具有存儲機(jī)密數(shù)據(jù)115等的存儲用存儲器 (例如非易失性存儲器)116�����、按照未圖示的便攜電話的CPU或者M(jìn)PU等處 理控制部的控制來在便攜電話的OS上動(dòng)作的應(yīng)用程序動(dòng)作部112��、文件管理
服務(wù)113以及存儲器訪問控制驅(qū)動(dòng)器114�。
用戶終端101與^_攜電話102經(jīng)由USB電纜105而連接,用戶向用戶終 端101指示在便攜電話102中保存機(jī)密數(shù)據(jù)時(shí)��,位于用戶終端101的文件傳送 客戶機(jī)109經(jīng)由USB電纜105訪問便攜電話102內(nèi)部的文件管理服務(wù)113, 并傳送機(jī)密數(shù)據(jù)���。此時(shí)����,存儲器訪問控制驅(qū)動(dòng)器114監(jiān)視對存儲用存儲器116 的I/O,禁止文件管理月良務(wù)113以外的進(jìn)程(process)對機(jī)密數(shù)據(jù)115的訪問���。 即只有文件管理服務(wù)113能夠?qū)C(jī)密數(shù)據(jù)115進(jìn)行處理��。由此����,能夠禁止不正 當(dāng)用戶利用^更攜電話102內(nèi)部的Web游覽器或者郵件軟件等應(yīng)用程序112來 訪問機(jī)密數(shù)據(jù)并向便攜電話的外部泄漏數(shù)據(jù)的行為。假設(shè)在保存機(jī)密數(shù)據(jù)115 的狀態(tài)下丟失了便攜電話102時(shí)���,系統(tǒng)管理者能夠利用便攜管理服務(wù)器103 的遠(yuǎn)程刪除服務(wù)119�、并使用電話線路網(wǎng)106來訪問丟失的便攜電話102,并 向文件管理服務(wù)113發(fā)布清除命令�����,以刪除位于內(nèi)部的機(jī)密數(shù)據(jù)115,由此能 夠禁止上述不正當(dāng)行為(在后面詳細(xì)說明清除動(dòng)作)�����。通過具有該功能�,在丟 失了便攜電話時(shí),也能夠防止丟失已保存的機(jī)密數(shù)據(jù)�。清除結(jié)束后,由文件管 理服務(wù)113將清除的文件的目錄與文件刪除結(jié)束通知一并發(fā)送到便攜管理服 務(wù)器119的遠(yuǎn)程刪除服務(wù)�。因此,管理者可以知道確實(shí)已清除文件���。管理者可 以在管理頁面117上操作遠(yuǎn)程刪除服務(wù)�,并且能夠閱覽遠(yuǎn)程刪除后的刪除的文 件目錄。
(2)機(jī)密數(shù)據(jù)的復(fù)制處理
圖2是用于說明從用戶終端101向便攜電話102復(fù)制機(jī)密數(shù)據(jù)115時(shí)的處 理的流程圖����。
首先,文件傳送客戶機(jī)109啟動(dòng)時(shí)進(jìn)行啟動(dòng)檢查處理(步驟S200)�����。在該
啟動(dòng)檢查中確認(rèn)在用戶終端中正在執(zhí)行二次存儲裝置寫入控制驅(qū)動(dòng)器111的 功能���,還確認(rèn)在已有機(jī)密信息丟失 泄漏對策的用戶終端(PC)中正在執(zhí)行 文件傳送客戶機(jī)109的功能。接著���,文件傳送客戶機(jī)109對文件管理服務(wù)113 進(jìn)行訪問(步驟S201)��。例如��,以詢問 響應(yīng)方式進(jìn)行后述的相互認(rèn)證時(shí)�����,從 文件傳送客戶機(jī)109向文件管理服務(wù)113發(fā)送稱為詢問的規(guī)定的值(加密密 鑰)��,實(shí)現(xiàn)步驟S201的訪問�。之后,文件管理服務(wù)113與文件傳送客戶機(jī)109 相互進(jìn)行認(rèn)證(步驟S202 )���。該認(rèn)證處理是用于確認(rèn)便攜電話以及用戶終端是
否是已有機(jī)密信息丟失.泄漏對策的正當(dāng)?shù)慕K端的處理���。關(guān)于相互認(rèn)證,例如�����,
文件管理服務(wù)113接受來自文件傳送客戶機(jī)109的詢問�,對此進(jìn)行規(guī)定的運(yùn)算 處理而生成數(shù)據(jù)(響應(yīng))并將該數(shù)據(jù)回送給文件傳送客戶機(jī)109。對照該詢問 與文件傳送客戶機(jī)109自己生成的響應(yīng)來執(zhí)行認(rèn)證���。另一方面���,文件管理服務(wù) 113也向文件傳送客戶機(jī)109發(fā)送詢問,執(zhí)行同樣的認(rèn)證���。這樣執(zhí)行相互認(rèn)證���。
文件傳送客戶機(jī)109以及文件管理服務(wù)113相互^r查認(rèn)證結(jié)果(步驟 S203 ),當(dāng)認(rèn)證失敗時(shí)���,向各自的訪問源返回錯(cuò)誤信息(error)(步驟S206)�。 當(dāng)認(rèn)證成功時(shí),文件傳送客戶機(jī)109向文件管理服務(wù)113發(fā)送復(fù)制數(shù)據(jù)(機(jī)密 數(shù)據(jù))(步驟S204),文件管理服務(wù)113將接收到的復(fù)制數(shù)據(jù)寫入到存儲用存 儲器116 (步驟S205 )����。通過進(jìn)行這樣的處理來能夠只讓進(jìn)行了保密對策的正 當(dāng)?shù)挠脩艚K端將機(jī)密數(shù)據(jù)復(fù)制到便攜電話102的存儲用存儲器116。此外����,也 能夠只讓進(jìn)行了保密對策的正當(dāng)?shù)挠脩艚K端101能夠訪問存儲在已有保密對 策的便攜電話102中的機(jī)密數(shù)據(jù)115。
另夕卜�,在本實(shí)施方式中,用戶想要經(jīng)由因特網(wǎng)104將用戶終端101連接到 文件服務(wù)器100而失敗時(shí)��,未圖示的處理控制單元(CPU等)^r測連接失敗�����, 在未圖示的顯示畫面上顯示表示"不能連接到文件服務(wù)器100"以及"應(yīng)經(jīng)由 USB電纜105存儲到便攜電話102"的消息��。然后�����,可以做成����,在收到該消息 后用戶經(jīng)由USB電纜105連接便攜電話102時(shí),處理控制單元檢測與便攜電 話102的連接����,執(zhí)行上述的步驟S200以后的處理。
(3 )對便攜電話內(nèi)的機(jī)密數(shù)據(jù)的遠(yuǎn)程刪除處理
圖3是用于說明便攜管理服務(wù)器103遠(yuǎn)程刪除便攜電話102內(nèi)的機(jī)密數(shù) 據(jù)115時(shí)的處理的流程圖�。該處理用于例如在從用戶終端101將機(jī)密數(shù)據(jù)115 復(fù)制到便攜電話102、但丟失或者被盜該便攜電話102時(shí)��,能夠安全地管理機(jī) 密數(shù)據(jù)115�����。
在圖3中��,想要?jiǎng)h除便攜電話102內(nèi)的機(jī)密數(shù)據(jù)時(shí)�����,首先�����,系統(tǒng)管理者操 作自身的終端裝置來訪問便攜管理服務(wù)器103的管理頁面117 (步驟S300)。 之后�,管理頁面117的內(nèi)容被顯示在管理者的終端的畫面上。然后�����,系統(tǒng)管理 者按已登錄的便攜電話目錄上的遠(yuǎn)程刪除按鈕來指示刪除存儲在成為對象的 便攜電話102中的機(jī)密數(shù)據(jù)(步驟S301 )���。
遠(yuǎn)程刪除服務(wù)119接收該刪除指示后通過便攜電話的電話線路網(wǎng)106將遠(yuǎn)
程刪除命令發(fā)送到位于便攜電話102內(nèi)部的文件管理服務(wù)113 (步驟S302)��。 文件管理服務(wù)113接收該通知后刪除內(nèi)置于便攜電話102的存儲用存儲器116 中的全部機(jī)密數(shù)據(jù)115 (步驟S303 )����。然后���,將刪除的文件目錄和刪除結(jié)束時(shí) 間通知給便攜管理服務(wù)器103 (步驟S304)�����。最后,遠(yuǎn)程刪除服務(wù)器119根據(jù) 遠(yuǎn)程刪除結(jié)束通知來更新管理頁面117 (步驟S305 )���。
圖4是表示便攜管理服務(wù)器103的管理頁面畫面的圖�����。在系統(tǒng)管理者利用 的便攜管理畫面400中有管理表���,該管理表由電話號碼403��、電話用戶404���、 狀態(tài)405以及遠(yuǎn)程刪除406共4個(gè)欄構(gòu)成。每個(gè)行分別與預(yù)先登錄的便攜電話 102對應(yīng)����。當(dāng)丟失了便攜電話102時(shí),能夠通過按遠(yuǎn)程刪除欄406的執(zhí)行按鈕 來發(fā)送遠(yuǎn)程刪除命令��,便攜電話102內(nèi)的文件管理服務(wù)113接收遠(yuǎn)程刪除命令 后刪除對應(yīng)的文件��。當(dāng)順利地完成刪除時(shí)�����,從文件管理服務(wù)器113向便攜管理 服務(wù)器103發(fā)送包含刪除結(jié)束時(shí)間以及刪除的文件目錄信息的遠(yuǎn)程刪除管理 通知���。便攜管理服務(wù)器103接收遠(yuǎn)程刪除結(jié)束通知后顯示變更了與已發(fā)布通知 的便攜電話102對應(yīng)的行的各屬性的畫面401�����。點(diǎn)擊位于狀態(tài)欄的"刪除結(jié)束" 下面的"詳細(xì)"409來顯示刪除結(jié)束明細(xì)402��,該刪除結(jié)束明細(xì)402顯示刪除 結(jié)束時(shí)間407和刪除文件一覽408��。通過該頁面�����,能夠確認(rèn)確實(shí)已從便攜電話 102內(nèi)部的存儲用存儲器116刪除了機(jī)密數(shù)據(jù)115����。
如以上所述,在丟失了便攜電話時(shí)基本上進(jìn)行經(jīng)由電話線路網(wǎng)的遠(yuǎn)程刪 除����,但是也有可能在電波無法到達(dá)的地方丟失便攜電話,因此可以與定期進(jìn)行 時(shí)限清除的選項(xiàng)(option)組合�。作為時(shí)限清除的策略,有每天定時(shí)進(jìn)行清除��、 或者復(fù)制文件后經(jīng)過一定時(shí)間就進(jìn)行清除等策略�。由此���,能夠?qū)崿F(xiàn)更加牢固的 保密���。
(4)對機(jī)密數(shù)據(jù)的訪問控制處理
圖5是用于說明針對便攜電話102內(nèi)的應(yīng)用程序動(dòng)作部112向機(jī)密數(shù)據(jù) 115的訪問的控制處理的流程圖����。便攜電話102內(nèi)的應(yīng)用程序(112或者113) 指示打開機(jī)密數(shù)據(jù)115時(shí)(步驟S500)���,存儲器訪問控制驅(qū)動(dòng)器114掛接文件 打開的函數(shù)的調(diào)用(步驟S501)�����。之后���,存儲器訪問控制驅(qū)動(dòng)器114比較訪問 源(112或者113 )進(jìn)程的進(jìn)程ID與文件管理服務(wù)113的進(jìn)程ID(步驟S502 )。
當(dāng)ID —致時(shí)�,存儲器訪問控制驅(qū)動(dòng)器114允許打開進(jìn)程的機(jī)密文件(步驟
S504)。當(dāng)ID不一致時(shí)���,存儲器訪問控制驅(qū)動(dòng)器114禁止打開進(jìn)程的機(jī)密數(shù)據(jù) 115 (步驟S505 )���。通過該控制,成為只有文件管理服務(wù)113能夠訪問機(jī)密數(shù) 據(jù)115的狀況��,能夠防止不正當(dāng)?shù)挠脩羰褂帽銛y電話102內(nèi)部的游覽器或者郵 件軟件等應(yīng)用程序來泄漏機(jī)密數(shù)據(jù)115的情況。 <第二實(shí)施方式〉
(1)數(shù)據(jù)管理系統(tǒng)的結(jié)構(gòu)
圖6是表示本發(fā)明的第二實(shí)施方式的數(shù)據(jù)管理系統(tǒng)的概略結(jié)構(gòu)的圖����。第二 實(shí)施方式涉及利用了已有PC的機(jī)密數(shù)據(jù)管理方法。因此�����,雖然保密等級比第 一實(shí)施方式的保密等級低��,但是使用時(shí)比第一實(shí)施方式方便��。另外����,在本實(shí)施 方式中將對用戶的信賴作為前提。
在本實(shí)施方式的數(shù)據(jù)管理系統(tǒng)中�����,與第一實(shí)施方式的不同點(diǎn)是�,用戶終端 600是已有的PC,并且不進(jìn)4于對二次存儲裝置608或?qū)ν獠看鎯橘|(zhì)的寫入 控制�����。
如圖6所示,數(shù)據(jù)管理系統(tǒng)具有用戶終端600�����、便攜電話(不局限于便攜 電話��,也可以是具有通信功能的PDA等便攜終端)601以及便攜管理服務(wù)器 602�。此外����,便攜電話601與便攜管理服務(wù)器602經(jīng)由無線電話線路網(wǎng)604能 夠進(jìn)行通信。
在用戶終端600中����,除了一般的應(yīng)用程序606以外,還安裝有文件傳送客 戶機(jī)607�。使用該工具來訪問位于便攜電話601中的文件管理服務(wù)610,由此 進(jìn)行用戶終端600與便攜電話601之間的數(shù)據(jù)傳送�����。用戶終端600與便攜電話 601之間的連接是經(jīng)由USB電纜來實(shí)現(xiàn)�。可以將在用戶終端600生成的機(jī)密 數(shù)據(jù)612保存在內(nèi)置于便攜電話601的存儲用存儲器613之后攜帶�����。由文件傳 送客戶機(jī)607訪問文件管理服務(wù)610時(shí)需要進(jìn)行ID .密碼認(rèn)證。當(dāng)該認(rèn)證成 功時(shí)����,可以訪問便攜電話601內(nèi)部的機(jī)密數(shù)據(jù)612,也可以將機(jī)密數(shù)據(jù)612保 存在便攜電話601中。通過進(jìn)行ID'密碼認(rèn)證��,能夠限制只有特定用戶可以 訪問便攜電話601內(nèi)的機(jī)密數(shù)據(jù)612并且可以保存機(jī)密數(shù)據(jù)612�。不局限于 ID ■密碼認(rèn)證,還可以利用生態(tài)認(rèn)證或者IC卡等設(shè)備認(rèn)證�����,本發(fā)明的一般性 不因認(rèn)證方法的不同而損失���。萬一丟失了保存有機(jī)密數(shù)據(jù)612的便攜電話601時(shí)���,可以與第一實(shí)施方式一樣,由管理者訪問便攜管理服務(wù)器602����,使用遠(yuǎn)程 刪除服務(wù)616來遠(yuǎn)程刪除便攜電話601內(nèi)部的機(jī)密數(shù)據(jù)612。 (2 )對機(jī)密數(shù)據(jù)的訪問控制處理
圖7是用于說明用戶終端600訪問便攜電話601內(nèi)的機(jī)密數(shù)據(jù)612時(shí)的處
問時(shí)(步驟S700),文件管理服務(wù)610接受該訪問后經(jīng)由文件傳送客戶機(jī)607 向用戶請求ID 密碼(步驟S701 )��。文件管理服務(wù)610接受該輸入后進(jìn)行認(rèn) 證處理(步驟S702)。當(dāng)認(rèn)證成功時(shí)����,文件管理服務(wù)610允許對自身的訪問, 使文件傳送客戶機(jī)607執(zhí)行文件傳送處理(步驟S703 )�����。當(dāng)認(rèn)證失敗時(shí)��,文件 管理服務(wù)610拒絕對自身的訪問并結(jié)束處理(步驟S704 )����。
這樣��,在第一實(shí)施方式中���,只有特定的PC能夠在便攜電話中保存機(jī)密數(shù) 據(jù)或從便攜電話讀取機(jī)密數(shù)據(jù)���,但在第二實(shí)施方式中,只要ID.密碼認(rèn)證成 立����,不特定的PC就能夠在便攜電話內(nèi)保存機(jī)密數(shù)據(jù)或者訪問機(jī)密數(shù)據(jù)����。通過 該實(shí)施方式�,能夠?qū)崿F(xiàn)例如從顧客處將重要數(shù)據(jù)的復(fù)制品保存到便攜電話內(nèi), 之后安全的帶到公司的利用方式�����。此外����,向便攜電話的數(shù)據(jù)保存是通過密碼認(rèn) 證來進(jìn)行,數(shù)據(jù)的讀出是通過請求PC認(rèn)證只讓特定的PC能夠讀取�,由此能 夠防止數(shù)據(jù)的擴(kuò)散,且還可以實(shí)現(xiàn)從不特定的PC復(fù)制數(shù)據(jù)后安全地帶走的利 用方法��。
而且�,為了實(shí)現(xiàn)牢固的保密,在丟失便攜電話時(shí)基本上經(jīng)由電話線路網(wǎng)進(jìn) 行遠(yuǎn)程刪除�����,但是也有可能在電波無法到達(dá)的地方丟失便攜電話��,因此可以與 定期進(jìn)行時(shí)限清除的選項(xiàng)組合。作為時(shí)限清除的策略���,有每天定時(shí)清除�����、或者 復(fù)制文件后經(jīng)過一定時(shí)間就清除等策略���。
<結(jié)束語〉
如以上說明,在本實(shí)施方式中�,在便攜電話的內(nèi)置存儲器中保存機(jī)密數(shù)據(jù)��, 并對機(jī)密數(shù)據(jù)進(jìn)行訪問控制��,由此防止數(shù)據(jù)的泄漏��。此外���,通過便攜電話丟失 時(shí)的遠(yuǎn)程刪除功能來防止機(jī)密數(shù)據(jù)的丟失�����。
更詳細(xì)地���,本實(shí)施方式的文件(數(shù)據(jù))管理系統(tǒng)至少具有用戶終端和便攜 終端(便攜電話)�����。在用戶終端中����,文件傳送客戶機(jī)對便攜終端進(jìn)行訪問請求 并執(zhí)行機(jī)密文件的傳送���。另一方面����,在便攜終端中����,文件管理服務(wù)應(yīng)答來自文件傳送客戶機(jī)的訪問請求,執(zhí)行對用戶終端裝置的認(rèn)證(最好是用戶終端與便 攜終端之間的相互認(rèn)證)����,當(dāng)認(rèn)證成功時(shí),為了將從文件傳送客戶機(jī)傳送來的 機(jī)密文件存儲在存儲器�����,請求訪問存儲器。之后��,存儲器訪問控制驅(qū)動(dòng)器應(yīng)答 向存儲器的訪問請求���,僅在訪問源是文件管理服務(wù)時(shí)允許將機(jī)密文件存儲在存 儲器中��。此外�,當(dāng)機(jī)密文件存儲在存儲器時(shí)��,存儲器訪問控制服務(wù)判定提出向 存儲器的訪問請求的訪問源是哪個(gè)訪問源�����,當(dāng)訪問源不是文件管理服務(wù)時(shí)��,禁 止訪問機(jī)密文件�。若做成以上的構(gòu)成���,只能在正當(dāng)?shù)脑O(shè)備之間(用戶終端與便 攜終端)交換機(jī)密文件(數(shù)據(jù))�,因而能夠防止將機(jī)密數(shù)據(jù)存儲在通常的便攜 電話后帶走�。此外,若使用這樣的方法��,即使在用戶終端不能訪問文件服務(wù)器 的環(huán)境下,也能夠安全地處理機(jī)密數(shù)據(jù)���。而且��,在便攜終端中也能夠僅通過特 定的應(yīng)用程序(文件管理^JO來處理機(jī)密文件�,因而能夠禁止如郵件軟件或 文本生成軟件等通常安裝有的應(yīng)用程序訪問機(jī)密數(shù)據(jù)�����,能夠擔(dān)保數(shù)據(jù)的機(jī)密 性���。
此外�����,使用用戶終端的文件傳送客戶機(jī)來將傳送請求發(fā)送到文件管理服 務(wù)�����,該傳送請求用于將存儲在便攜終端的存儲器中的機(jī)密文件傳送(回送)到 用戶終端裝置�,文件管理單元應(yīng)答該傳送請求���,能夠從存儲器取得機(jī)密文件后 發(fā)送到文件傳送客戶機(jī)����。由此,能夠?qū)⑼ㄟ^便攜終端取走的機(jī)密數(shù)據(jù)沒有數(shù)據(jù) 泄漏地安全地回送給用戶終端(不一定是生成了機(jī)密數(shù)據(jù)的終端)�����。此外�,由 此在無法使用文件服務(wù)器的環(huán)境下也可以暫時(shí)存儲機(jī)密數(shù)據(jù),因而能夠建立對 用戶來說使用非常方便的系統(tǒng)�。
而且,本文件管理系統(tǒng)具有與便攜終端連接���、并包含遠(yuǎn)程刪除控制服務(wù)的 便攜終端用服務(wù)器�����,該遠(yuǎn)程刪除控制服務(wù)用于請求刪除在便攜終端的存儲器中 存儲的機(jī)密文件��。之后,文件管理服務(wù)應(yīng)答來自遠(yuǎn)程刪除控制服務(wù)的文件刪除 請求而刪除存儲在存儲器中的機(jī)密文件�����,并向遠(yuǎn)程刪除控制服務(wù)通知?jiǎng)h除結(jié) 束��。由此,即使丟失或被盜存儲有機(jī)密數(shù)據(jù)的便攜終端�,也能夠防止機(jī)密數(shù)據(jù) 的泄漏。
另外�����,用戶終端具有二次存儲裝置�、用于暫時(shí)存儲數(shù)據(jù)的易失性存儲器以 及控制針對二次存儲裝置的數(shù)據(jù)讀出/寫入的二次存儲裝置驅(qū)動(dòng)器。二次存儲
裝置控制驅(qū)動(dòng)器具有以下功能捕捉通過任意應(yīng)用程序?qū)Χ未鎯ρb置的輸入
輸出請求�,并在易失性存儲器中存儲寫入數(shù)據(jù),關(guān)于讀入數(shù)據(jù)���,通過覆蓋存儲 在易失性存儲器的寫入數(shù)據(jù)中的重疊的部分�,雖然不允許在二次存儲裝置中保 存數(shù)據(jù)���,但是虛擬地允許寫入����。由此禁止對二次存儲裝置(例如HDD)的寫 入�����,因而更新的機(jī)密數(shù)據(jù)不會保留在用戶終端����,能夠防止信息的泄漏���。當(dāng)處于 可以對文件服務(wù)器進(jìn)行訪問的環(huán)境時(shí),能夠?qū)⒁迅碌臋C(jī)密數(shù)據(jù)存儲在文件服
務(wù)器中���;當(dāng)不能訪問文件服務(wù)器時(shí)�,如上所述�����,在便攜終端中能夠安全地保管 已更新的機(jī)密數(shù)據(jù)�����。
本實(shí)施方式的功能也可以通過軟件的程序代碼來實(shí)現(xiàn)��。此時(shí)��,向系統(tǒng)或者 裝置提供存儲了程序代碼的存儲介質(zhì)���,該系統(tǒng)或者裝置的計(jì)算機(jī)(或者CPU 或者M(jìn)PU)讀出存儲在存儲介質(zhì)中的程序代碼����。此時(shí)�����,從存儲介質(zhì)讀出的程 序代碼本身實(shí)現(xiàn)上述的實(shí)施方式的功能�,由此該程序代碼本身以及存儲了該程
序代碼的存儲介質(zhì)構(gòu)成本發(fā)明。作為用于供給這樣的程序代碼的存儲介質(zhì)���,使 用例如軟盤(注冊商標(biāo))���、CD-ROM、 DVD-ROM�����、硬盤�、光盤、光磁盤���、CD-R����、 磁帶��、非易失性存儲卡、ROM等�。
此外,可以做成在計(jì)算機(jī)上動(dòng)作的OS (操作系統(tǒng))等根據(jù)程序代碼的 指示來進(jìn)^"實(shí)際處理的一部分或者全部��,并通過該處理來實(shí)現(xiàn)上述的實(shí)施方式 的功能�����。而且��,還可以做成從存儲介質(zhì)讀出的程序代碼被寫入到計(jì)算機(jī)上的 存儲器之后���,計(jì)算機(jī)的CPU等根據(jù)該程序代碼的指示來進(jìn)行實(shí)際處理的一部 分或者全部���,并通過該處理來實(shí)現(xiàn)上述的實(shí)施方式的功能。
此外����,可以做成將實(shí)現(xiàn)實(shí)施方式的功能的軟件的程序代碼通過網(wǎng)絡(luò)進(jìn)行 分發(fā),由此將該程序代碼存儲在系統(tǒng)或者裝置的硬盤���、存儲器等存儲單元或者 CD-RW���、 CD-R等存儲介質(zhì)���,該系統(tǒng)或者裝置的計(jì)算機(jī)(或者CPU或者M(jìn)PU ) 讀出并執(zhí)行在該存儲單元或該存儲介質(zhì)中存儲的程序代碼�。
權(quán)利要求
1.一種文件管理系統(tǒng),其具有用戶終端裝置和便攜終端裝置���,并進(jìn)行用戶終端裝置與便攜終端裝置之間的機(jī)密文件的傳送��,其特征在于�,所述用戶終端裝置具有文件傳送控制單元��,該文件傳送控制單元對所述便攜終端裝置進(jìn)行訪問請求并執(zhí)行機(jī)密文件的傳送���,所述便攜終端裝置具有文件管理單元���,其應(yīng)答來自所述文件傳送控制單元的訪問請求,執(zhí)行對所述用戶終端裝置的認(rèn)證����,當(dāng)認(rèn)證成功時(shí),為了將從所述文件傳送控制單元傳送來的所述機(jī)密文件存儲在存儲器中�,請求向所述存儲器的訪問;以及存儲器訪問控制單元,其應(yīng)答向所述存儲器的訪問請求�����,僅在訪問源是所述文件管理單元時(shí)��,允許所述機(jī)密文件被存儲在所述存儲器中�����。
2. 根據(jù)權(quán)利要求1所述的文件管理系統(tǒng)�����,其特征在于����,還具有與所述便攜終端裝置連接、并包含遠(yuǎn)程刪除控制單元的便攜終端裝 置用服務(wù)器�,該遠(yuǎn)程刪除控制單元用于請求刪除在所述便攜終端裝置的存儲器 中存儲的所述機(jī)密文件,所述文件管理單元應(yīng)答來自所述遠(yuǎn)程刪除控制單元的文件刪除請求�����,刪除 存儲在所述存儲器中的所述機(jī)密文件��,并向所述遠(yuǎn)程刪除控制單元通知?jiǎng)h除結(jié) 束。
3. 根據(jù)權(quán)利要求1或2所述的文件管理系統(tǒng)��,其特征在于�,所述存儲器訪問控制單元判定發(fā)出向存儲有所述機(jī)密文件的存儲器的訪 問請求的訪問源是哪個(gè)訪問源,當(dāng)所述訪問源不是所述文件管理單元時(shí)�,禁止 向所述機(jī)密文件的訪問。
4. 根據(jù)權(quán)利要求3所述的文件管理系統(tǒng)�����,其特征在于��, 所述文件傳送控制單元向所迷文件管理單元發(fā)出傳送請求�,該傳送請求用于將存儲在所述便攜終端裝置的存儲器中的所述機(jī)密文件傳送到所述用戶終端裝置�,并將其發(fā)送給所述文件傳送控制單元。
5. 根據(jù)權(quán)利要求1 4中任意一項(xiàng)所述的文件管理系統(tǒng)�,其特征在于,所述用戶終端裝置還具有 二次存儲裝置���;易失性存儲器���,其用于暫時(shí)存儲數(shù)據(jù);以及二次存儲裝置控制單元���,其控制針對所述二次存儲裝置的數(shù)據(jù)讀出/寫入��, 所述二次存儲裝置控制單元具有以下功能捕捉通過任意應(yīng)用程序?qū)λ龆未鎯ρb置的輸入輸出請求�����,在所述易失性存儲器中存儲寫入數(shù)據(jù)���,關(guān)于讀取數(shù)據(jù)��,通過覆蓋存儲在所迷易失性存儲器的寫入數(shù)據(jù)中的重疊的部分����,虛擬地允許寫入��,但不允許在二次存儲裝置中保存數(shù)據(jù)���,對在所述用戶終端裝置中生成的文件進(jìn)行保存時(shí)�,在不能利用通信的情況下����,在所述便攜終端裝置中保管文件。
6. —種便攜終端裝置��,其在與用戶終端裝置之間進(jìn)行機(jī)密文件的收發(fā), 其特征在于���,具有文件管理單元�����,其應(yīng)答來自所述用戶終端裝置的訪問請求��,執(zhí)行對所述用 戶終端裝置的認(rèn)證����,當(dāng)認(rèn)證成功時(shí)��,為了將從所述用戶終端裝置傳送來的所述 機(jī)密文件存儲在存儲器中����,請求向所述存儲器的訪問����;存儲器訪問控制單元,其應(yīng)答向所述存儲器的訪問請求��,僅在訪問源是所 述文件管理單元時(shí)�����,允許所述機(jī)密文件被存儲在所述存儲器中。
7. 根據(jù)權(quán)利要求6所述的便攜終端裝置�,其特征在于, 所述文件管理單元從便攜終端裝置用服務(wù)器接收對存儲在所述存儲器中的所述機(jī)密文件的刪除請求��,應(yīng)答所述文件刪除請求�,刪除存儲在所述存儲器 中的所述機(jī)密文件,并向所述便攜終端裝置用服務(wù)器通知?jiǎng)h除結(jié)束��。
8. 根據(jù)權(quán)利要求6或7所述的便攜終端裝置�,其特征在于, 所述存儲器訪問控制單元判定發(fā)出向存儲有所述機(jī)密文件的存儲器的訪問請求的訪問源是哪個(gè)訪問源�,當(dāng)所述訪問源不是所述文件管理單元時(shí),禁止 向所述機(jī)密文件的訪問����。
9. 根據(jù)權(quán)利要求8所述的便攜終端裝置,其特征在于��, 所述文件管理單元從所述用戶終端裝置接收傳送請求�����,該傳送請求用于指 示將存儲在所述存儲器中的所述機(jī)密文件傳送到所述用戶終端裝置���,所述文件 管理單元應(yīng)答該請求�,從所述存儲器取得所述機(jī)密文件,并將其發(fā)送給所述用 戶終端裝置�����。
10. —種對機(jī)密文件的傳送進(jìn)行管理的文件管理方法���,該方法用于具有用 戶終端裝置與便攜終端裝置的系統(tǒng)����,其特征在于�,在所述用戶終端裝置中,文件傳送控制單元對所述便攜終端裝置進(jìn)行訪問 請求���,在所述便攜終端裝置中,文件管理單元應(yīng)答來自所述文件傳送控制單元的訪問請求�,執(zhí)行對所述用 戶終端裝置的認(rèn)證,當(dāng)認(rèn)證成功時(shí)�,為了將從所述文件傳送控制單元傳送來的所述機(jī)密文件存儲在存儲器中,請求向所述存儲器的訪問�����;存儲器訪問控制單元應(yīng)答向所述存儲器的訪問請求,僅在訪問源是所述文 件管理單元時(shí)��,允許所述機(jī)密文件被存儲在所述存儲器中����。
11. 根據(jù)權(quán)利要求IO所述的文件管理方法,其特征在于�, 所述系統(tǒng)具有與所述便攜終端裝置連接、并包含遠(yuǎn)程刪除控制單元的便攜終端裝置用服務(wù)器��,該遠(yuǎn)程刪除控制單元用于請求刪除在所述便攜終端裝置的 存儲器中存儲的所述機(jī)密文件�����,所述文件管理單元應(yīng)答來自所述遠(yuǎn)程刪除控制單元的文件刪除請求而刪 除存儲在所述存儲器中的所述機(jī)密文件�,并向所述遠(yuǎn)程刪除控制單元通知?jiǎng)h除 結(jié)束。
12. 根據(jù)權(quán)利要求10或11所述的文件管理方法����,其特征在于,所述存儲器訪問控制單元判定發(fā)出向存儲有所述機(jī)密文件的存儲器的訪 問請求的訪問源是哪個(gè)訪問源����,當(dāng)所述訪問源不是所述文件管理單元時(shí),禁止 向所述機(jī)密文件的訪問��。
13. 根據(jù)權(quán)利要求12所述的文件管理方法,其特征在于����, 所述文件傳送控制單元向所述文件管理單元發(fā)出傳送請求,該傳送請求用于將存儲在所述便攜終端裝置的存儲器中的所述機(jī)密文件傳送到所述用戶終端裝置����,所述文件管理單元應(yīng)答所述傳送要求而從所述存儲器取得所述機(jī)密文件, 并將其發(fā)送給所述文件傳送控制單元�。
14.根據(jù)權(quán)利要求1~13的任意一項(xiàng)所述的文件管理方法,其特征在于�����,所述用戶終端裝置還具有二次存儲裝置����;易失性存儲器,其用于暫時(shí)存儲數(shù)據(jù)�;以及二次存儲裝置控制單元����,其控制針對所述二次存儲裝置的數(shù)據(jù)讀出/寫入, 所述二次存儲裝置控制單元具有以下功能捕捉通過任意應(yīng)用程序?qū)λ龆未鎯ρb置的輸入輸出請求�,在所述易失性存儲器中存儲寫入數(shù)據(jù)����,關(guān)于讀取數(shù)據(jù)���,通過覆蓋存儲在所述易失性存儲器的寫入數(shù)據(jù)中的重疊的部分��,虛擬地允許寫入����,但不允許在二次存儲裝置中保存數(shù)據(jù)�����,對在所述用戶終端裝置中生成的文件進(jìn)行保存時(shí)�,在不能利用通信的情況下,在所述便攜終端裝置中保管文件�。
全文摘要
在通過禁止對二次存儲裝置或外部存儲裝置的寫入來防止機(jī)密信息的泄漏·丟失的系統(tǒng)中,在無法利用通信���,從而不能將機(jī)密數(shù)據(jù)保存在文件服務(wù)器的情況下�,不會丟失生成的數(shù)據(jù)�����,以安全的方法保管生成的機(jī)密數(shù)據(jù)。為此����,首先在內(nèi)置于便攜終端的非易失性存儲用存儲器上生成指定文件夾來保存生成的機(jī)密數(shù)據(jù)。然后�����,通過文件夾驅(qū)動(dòng)器進(jìn)行向指定文件夾的訪問控制�����,由此防止由惡意用戶使用便攜電話內(nèi)部的應(yīng)用程序泄漏信息的情況�。此外,通過經(jīng)由電話線路網(wǎng)來從便攜終端管理服務(wù)器刪除便攜終端內(nèi)部的指定文件夾內(nèi)的數(shù)據(jù)的功能����,防止由便攜終端丟失引起的已保存的機(jī)密數(shù)據(jù)的丟失。
文檔編號H04W12/08GK101371259SQ20078000144
公開日2009年2月18日 申請日期2007年10月10日 優(yōu)先權(quán)日2007年4月10日
發(fā)明者大浜伸之, 桐畑康裕 申請人:日立軟件工程株式會社