CN102972004B - 机密信息泄露防止系统、机密信息泄露防止方法和机密信息泄露防止程序 - Google Patents
机密信息泄露防止系统、机密信息泄露防止方法和机密信息泄露防止程序 Download PDFInfo
- Publication number
- CN102972004B CN102972004B CN201180031599.XA CN201180031599A CN102972004B CN 102972004 B CN102972004 B CN 102972004B CN 201180031599 A CN201180031599 A CN 201180031599A CN 102972004 B CN102972004 B CN 102972004B
- Authority
- CN
- China
- Prior art keywords
- network access
- access control
- client
- access request
- server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2113—Multi-level security, e.g. mandatory access control
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Health & Medical Sciences (AREA)
- Databases & Information Systems (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computing Systems (AREA)
- Storage Device Security (AREA)
Abstract
提供了一种系统,在该系统中,两个或更多客户端和服务器能够进行通信,两个或更多客户端每个都包括发送网络访问请求的应用程序,其中至少一个客户端包括第一控制装置,用于基于分配给应用程序的安全级别控制向服务器发送的访问请求,以及服务器包括第二控制装置,用于确定第一控制装置是否已经被引入已经发送了访问请求的客户端,当确定结果为是时,授权该访问请求,而当确定结果为否时,基于分配给访问目标的安全级别来控制该访问请求。
Description
技术领域
本发明涉及防止机密信息泄露的技术,并且更为具体地涉及使用多级安全来防止机密信息泄露的技术。
背景技术
已知这样的多级安全系统(MLS),其向执行访问的主体或访问目标分配用于指明安全级别的标签,并基于所分配的标签限制对访问目标的访问。例如,专利文献1(专利公开JP-A-2003-173284)公开了一种网络系统,其中当客户终端向客户终端中的文件分配指示机密级别的标签,并向外部发送带有标签的文件时,网关服务器的传输管理程序检查文件的标签,并且当安全级别为非“机密”时,将向组织外部的网络发送该文件。专利文献2(专利公开JP-A-2000-174807)公开了一种配置,其中计算机系统具有支持多级访问控制安全机制以产生对象访问包的操作系统内核。
此外,还已知用于防止网络中的机密信息泄露的技术。例如,专利文献3(专利公开JP-A-2006-251932)公开了一种配置,其中当主机设备在网络中的安全管理服务器执行认证的配置下无法访问安全管理服务器时,主机设备通过参考主机设备中的认证历史来执行用户认证。专利文献4(专利公开JP-A-2007-287097)公开了一种配置,其中当存在从客户终端到服务器的访问请求时,如果客户终端的IP地址被包含在访问管理信息中,则阻止设备识别为认证成功,并授权访问请求,而如果客户终端的IP地址未被包含在访问管理信息中,则阻止设备识别为认证失败,并阻止访问请求。
[专利文献1]专利公开JP-A-2003-173284
[专利文献2]专利公开JP-A-2000-174807
[专利文献3]专利公开JP-A-2006-251932
[专利文献4]专利公开JP-A-2007-287097
当将专利文献1和2中公开的配置应用于构建附接于网络的多级安全系统时,网关或服务器集中执行访问控制。相应地,存在下述问题,即当存在多个客户终端时,网关或服务器的负荷增加,而通信速度降低。
此外,在专利文献3中描述的配置中,当主机设备无法访问安全管理服务器时,主机设备通过参考主机设备中的认证历史来执行用户认证。相应地,例如,当认证历史未被存储在主机设备中时,在安全管理服务器中认证时成功认证的用户在该认证中失败,从而缺乏用户操作的便利性。此外,在专利文献4中公开的配置中,当客户终端的认证已经失败时,访问请求被阻止。相应地,例如当客户终端由于被从公司外部带入而在认证中失败时,客户终端不访问公司的服务器,并且用户操作的便利性不足。
发明内容
相应地,本发明的一个示例性目的在于提供一种附接于网络的多级安全系统,该附接于网络的多级安全系统即使在存在多个客户终端的情况下,也能够执行高速通信并提高用户操作的便利性。
本发明的安全信息泄露防止系统是这样的安全信息泄露防止系统,其中两个或更多客户端和服务器能够经由网络进行通信,两个或更多客户端每个都包括发送网络访问请求的应用程序,其中:两个或更多客户端中的至少一个客户端包括第一网络访问控制装置,第一网络访问控制装置用于基于分配给应用程序的安全级别,控制从该应用程序向服务器发送的网络访问请求,以及服务器包括第二网络访问控制装置,第二网络访问控制装置响应于从两个或更多客户端中的一个客户端发送的网络访问请求,确定第一网络访问控制装置是否已经被引入已经发送了该网络访问请求的客户端,如果确定结果为是,则授权该网络访问请求,并且如果确定结果为否,则基于分配给该网络访问请求的访问目标的安全级别控制该网络访问请求。
此外,包括第一网络访问控制装置的客户端包括第一认证装置,第一认证装置用于执行与服务器的认证过程,该认证过程认证第一网络访问控制装置已被引入,服务器包括第二认证装置,第二认证装置用于执行与包括第一网络访问控制装置的客户端的认证过程,并且当认证过程成功时,将客户端登记为已认证客户端,以及当已经发送了该网络访问请求的客户端被登记为已认证客户端时,第二网络访问控制装置确定第一网络访问控制装置已被引入该客户端。
此外,当确定结果为否时,第二网络访问控制装置为已经发送了该网络访问请求的应用设置临时安全级别,并基于所设置的临时安全级别和分配给访问目标的安全级别控制该网络访问请求。
此外,第一认证装置使用在第一网络访问控制装置中保持的密钥执行与第二认证装置的认证过程。
此外,第一认证装置包括:第一发送装置,用于向服务器发送使用第一随机数生成的第一挑战代码;第一接收装置,用于接收从服务器发送的基于第一挑战代码的第一响应代码和第二挑战代码;第一响应代码生成装置,用于基于在第一网络访问控制装置中保持的第一密钥和所生成的第一挑战代码,生成第一响应代码;第一确定装置,用于确定由第一接收装置接收到的第一响应代码是否与由第一响应代码生成装置生成的第一响应代码匹配;以及第二发送装置,用于当来自第一确定装置的确定结果为是时,向服务器发送根据由第一接收装置接收的第二挑战代码生成的第二响应代码,以及第二认证装置包括:第三发送装置,用于向客户端发送根据从第一客户端发送的第一挑战代码、使用在第二认证装置中保持的第二密钥生成的第一响应代码和使用第二随机数生成的第二挑战代码;第二接收装置,用于接收从第一客户端发送的并且基于第二挑战代码的第二响应代码;第二响应代码生成装置,用于基于第二密钥和所生成的第二挑战代码生成第二响应代码;以及第二确定装置,用于确定从第一客户端发送的第二响应代码是否与由第二响应代码生成装置生成的第二响应代码匹配,并且当确定结果为是时,将该认证过程认定为成功。
此外,第一认证装置在第一网络访问控制装置处于操作中的条件下,执行与该服务器的认证过程。
此外,第一认证装置从操作系统获取处于执行中的过程的列表,并通过确认第一网络访问控制装置是否被包括在所获取的过程列表中,来确定第一网络访问控制装置是否处于操作中。
此外,本发明的安全信息泄露防止方法是一种机密信息泄露防止系统中的机密信息泄露防止方法,在该机密信息泄露防止系统中,两个或更多客户端和服务器能够经由网络进行通信,两个或更多客户端每个都包括发送网络访问请求的应用程序,其中:两个或更多客户端中的至少一个客户端执行第一网络访问控制步骤,第一网络访问控制步骤用于基于分配给应用程序的安全级别,控制从该应用程序向服务器发送的网络访问请求,以及服务器执行第二网络访问控制步骤,第二网络访问控制步骤用于响应于从两个或更多客户端中的一个客户端发送的网络访问请求,确定在已经发送了该网络访问请求的客户端中是否执行了第一网络访问控制步骤,当确定结果为是时,授权该网络访问请求,并且当确定结果为否时,基于分配给该网络访问请求的访问目标的安全级别控制该网络访问请求。
此外,本发明的程序使两个或更多客户端中的至少一个客户端执行第一网络访问控制步骤,两个或更多客户端每个都包括发送网络访问请求的应用程序,第一网络访问控制步骤用于基于分配给应用程序的安全级别,控制从该应用程序向服务器发送的网络访问请求,以及使该服务器执行第二网络访问控制步骤,第二网络访问控制步骤用于响应于从两个或更多客户端中的一个客户端发送的网络访问请求,确定在已经发送了该网络访问请求的客户端中是否执行了第一网络访问控制步骤,当确定结果为是时,授权该网络访问请求,并且当确定结果为否时,基于分配给该网络访问请求的访问目标的安全级别控制该网络访问请求。
此外,本发明的程序可以被存储在任意的记录介质中,例如诸如CD-ROM之类的光盘、磁盘或半导体存储器。此外,本发明的程序可以经由记录介质或通信网络下载,并被安装或加载到计算机中。
此外,在本公开中,装置并不仅仅表示物理装置,并且包括通过软件来实现装置的功能的情形。此外,即使在通过两个或更多物理装置来实现一个装置的功能时,也可以通过一个物理装置来实现两个或更多装置的功能。
根据本发明的示例性方面,可以提供这样的附接于网络的多级安全系统,其即使当存在多个客户终端时,也能够执行高速通信并提高用户操作的便利性。
附图说明
图1是示出根据第一实施例的机密信息泄露防止系统的示意配置的示图;
图2是示出机密信息泄露防止系统的硬件配置的示例的示图;
图3是示出标签分配列表的示例的示图;
图4是示出服务器信息存储单元的数据结构的示例的示图;
图5是示出访问控制规则存储单元的数据结构的示例的示图;
图6是示出网络监视单元的安装的示例的示图;
图7是示出需要认证的服务器列表的数据结构的示例的示图;
图8是示出认证的客户列表的示例的示图;
图9是示出机密信息泄露防止过程的流程的示例的流程图;
图10是示出认证过程的流程的示例的流程图;
图11是示出服务器中的访问控制过程的流程的示例的流程图;以及
图12是示出根据第二实施例的机密信息泄露防止系统的示意配置的示图。
具体实施方式
在下文中,将参照附图详细地说明本发明的示例性实施例。此外,将省略相同元素的重复描述。
<系统配置>
图1示出了客户端-服务器系统的示意配置,其中将根据本实施例的机密信息泄露防止系统应用于该客户端-服务器系统。本系统包括第一客户端100、第二客户端200和服务器300。第一客户端100和服务器300、以及第二客户端200和服务器300经由网络N相互连接。网络N可以是例如互联网、专用线路、分组通信网络、电话线路、LAN、内联网、另一个通信线路、以及它们的组合中的任何一种,并且可以是有线的或者无线的。
此外,图1中示出了一个第一客户端100和一个第二客户端200,但也可以根据设计适当地设置第一客户端100和第二客户端200的数目。例如,多个第一客户端100和/或多个第二客户端200可以连接到服务器300。此外,尽管图1中示出了一个服务器300,但也可以根据设计适当地设置服务器300的数目。例如,第一客户端100或第二客户端200可以访问多个服务器300。
这里,第一客户端100和第二客户端200之间的主要差异在于是否存在用于实现多级安全的配置(例如,网络访问控制单元)。下面将详细描述第一客户端100和第二客户端200,但是,例如,由于第一客户端100是在公司的管理之下,因此第一客户端100对应于已经引入了用于实现多级安全的配置的PC。另一方面,由于第二客户端被从公司外部带入(即并不在公司的管理之下),因此第二客户端200对应于并未引入用于实现多级安全的配置的PC。
接下来,将描述第一客户端100。第一客户端100可以是专用或通用计算机,其例如包括如下硬件:用于控制第一客户端100的过程和操作的作为控制单元的CPU10、诸如ROM11或RAM12之类的存储器、存储各条信息的外部存储设备(HDD)13、控制经由网络N与服务器300进行的通信的通信接口14、诸如键盘之类的输入接口15、诸如显示器之类的输出接口16、以及连接它们的总线(如图2中所示)。ROM11、RAM12或外部存储设备13被简称为存储设备。由于CPU10执行在存储器或外部存储设备13中存储的预定程序,第一客户端100例如可以用作诸如如下所述的标签分配单元102、网络访问控制单元106和认证单元107之类的各种功能实现单元。
返回到图1,第一客户端10包括通信单元101、标签分配单元102、应用103(公开应用103a和机密应用103b)、服务器信息存储单元104、访问控制规则存储单元105、网络访问控制单元106和认证单元107。
通信单元(通信装置)101被配置为能够经由网络N与服务器300或其他未示出的设备进行通信,并输入或输出信息。通信单元101包括例如现有的通信模块,例如网络接口卡(NIC)或TCP/IP驱动器。
标签分配单元(标签分配装置)102被配置为能够向应用103分配指示安全级别的信息(在下文中被称为“标签”)。标签分配单元102存储列表,在该列表中,应用103关联于预定存储区域中分配给应用103的标签(标签分配列表)。作为标签,例如可以分配两种类型的标签,例如安全低的“公开”和安全高的“机密”。图3示出了标签分配列表的数据结构的示例。在标签分配列表中,标识应用的过程ID(过程号)关联于分配给应用的标签。此外,标签的内容并不限于图3中所示的内容,而是可以根据设计被适当地设置。例如,可以存在三种或更多种的标签。
此外,标签分配单元102被配置为,当从网络访问控制单元106接收到对于分配给预定应用的标签的查询时,从标签分配列表读取分配给该应用的标签,并通知该标签。此外,由标签分配单元102分配的标签还可以用于禁止第一客户端100中的从机密应用103b到公开应用103a的信息分发。
应用103(公开应用103a和机密应用103b)是这样的应用软件,其例如被存储在外部存储装置13中并由CPU10执行,从而向用户提供预定功能,并向服务器300发送网络访问请求。应用103并不特别受限,并且例如对应于诸如具有文档创建功能的编辑器或具有信息浏览功能的浏览器之类的现有软件,并且根据标签的内容来识别。在本实施例中,应用103被分类为例如被分配了公开标签的应用103a(公开应用)和被分配了机密标签的应用103b(机密应用)。
服务器信息存储单元(服务器信息存储装置)104是存储服务器信息的存储装置,在该服务器信息中,应用103的访问目标关联于分配给访问目标的标签的信息(被称作为访问目标管理信息)。服务器信息存储单元104用作数据库。当服务器信息存储单元104从网络访问控制单元106接收到包含用于指明访问目标的信息的预定请求时,服务器信息存储单元104被配置为搜索服务器信息以查找分配给访问目标的标签,并向网络控制单元106通知搜索的结果。例如,可以分配“公开”和“机密”这两种类型作为向访问目标分配的标签。然而,标签的内容可以根据设计被适当地设置,并且可以存在三种或更多种类型的标签。
图4示出了服务信息存储单元104的数据结构的示例。如图4中所示,在服务器信息存储单元104中相互关联地存储服务器的文件夹信息和标签的信息。例如,向服务器A的机密文件夹“serverA/secret_folder”分配“机密”标签,而向服务器A的公开文件夹“serverA/public_folder”分配“公开”标签。此外,服务器信息存储单元104的数据结构并不限于图4中所示的数据结构。例如,作为能够唯一地指明该服务器的信息,可以使用IP地址来替换服务器名称。此外,当安全级别为“机密”和“公开”这两个级别时,仅为机密文件夹设置“机密”标签,并可以将并未被设置“机密”标签的文件夹的标签视为“公开”。
返回到图1,访问控制规则存储单元(访问控制规则存储装置)105是存储用于限制应用103对访问目标进行访问的信息(访问控制规则)的存储装置。访问控制规则存储单元105并不特别受限,并且例如针对每个应用存储每个访问目标的访问控制的限制。可以根据设计适当地设置和改变限制。
图5示出了访问控制规则存储单元的数据结构的示例。如图5中所示,在从机密应用到机密文件夹的控制内容中设置“访问授权”,并且在从机密应用到公开文件夹的控制内容中设置“读取授权”。同时,在从公开应用到机密文件夹的控制内容中设置“访问禁止”,并且在从公开应用到公开文件夹的控制内容中设置“访问授权”。
返回图1,网络访问控制单元(网络访问控制装置)106包括网络监视单元106a(在下文中被称为“监视单元”)和访问控制单元106b,其中网络监视单元106a监视经由通信单元101执行的网络通信,访问控制单元106b执行应用访问控制。网络访问控制单元106可以由程序(网络访问控制程序)配置成,当该程序例如存储在外部存储设备13中并且由CPU10执行时,该程序提供监视网络通信的功能或执行应用访问控制的功能。
监视单元(监视装置)106a被配置为监视使用应用103的所有网络访问。可以通过监视事件,例如通过已经用诸如被称为TDI(传输驱动器接口)驱动器或NDIS(网络驱动器接口规范)驱动器的过滤驱动器之类的相关技术,来实现监视单元106a。图6是示出在机密信息泄露防止系统上安装的监视单元106a(网络访问控制单元106)的示例的示图。
访问控制单元(访问控制装置)106b被配置为,当通过监视单元106a检测到应用103的网络访问时,能够基于网络访问的多级安全来执行访问控制。具体而言,访问控制单元106从所检测到的访问中提取用于指明应用的应用指明信息(例如,过程ID)和用于指明访问目标的访问目标信息(例如,文件夹名称)。接下来,访问控制单元106b基于所提取的过程ID,从标签分配单元102获取应用的标签,并且基于文件夹名称,从服务器信息存储单元104获取文件夹的标签。而且,访问控制单元106b通过基于所获取的应用103的标签和所获取的文件夹304的标签,参考来自访问控制规则存储单元105的访问控制规则,执行对应用103的网络访问的访问控制。
此外,访问控制单元106b在预定存储区域中保持认证单元302已经被引入的服务器300的列表(需要认证的服务器列表)。访问控制单元106b被配置为,通过参考需要认证的服务器列表,确定在第一客户端100和作为访问目标的服务器300之间是否需要认证。图7是示出了需要认证的服务器列表的数据结构的示例的示图。需要认证的服务器列表的结构并不特别受限,并且例如IP地址或DNS名称被存储作为能够唯一指明服务器的信息。
此外,访问控制单元106b在预定存储区域中保持用于认证以证明网络访问控制单元106已经被引入第一客户端100的密钥。预定的密钥与在服务器300的认证单元302中保持的用于认证的密钥相同。
认证单元(认证装置)107是这样的单元,其用于认证网络访问控制单元106已经被引入第一客户端100并且被配置为能够与服务器300执行预定的认证过程。认证单元107使用在网络访问控制单元106中保持的用于认证的密钥,与服务器300的认证单元302进行通信,并执行预定的认证过程。认证单元107向网络访问控制单元106通知认证处理结果。认证过程并不特别受限于方法,并且例如在这里执行根据挑战-响应方案的认证过程。此外,将详细描述认证过程。
此外,认证单元107被配置为确定网络访问控制单元106是否处于操作中。关于网络访问控制单元106是否处于操作中的确定并不特别受限于这样的内容。例如,可以通过从操作系统获取执行中的过程的列表并确认网络访问控制单元106的过程ID是否被包括在所获取的过程列表中,来进行确定。
接下来,将描述第二客户端200。如图1中所示,第二客户端200包括通信单元201和应用202。通信单元201具有与第一客户端100的通信单元101类似的配置,并且应用202具有与第一客户端100的应用103类似的配置,但一个不同之处在于分配了标签。相应地,将省略其详细描述。此外,由于第二客户端200的硬件配置类似于如上参考图2描述的第一客户端100的硬件配置,将省略其描述。
接下来,将描述服务器300。服务器300包括通信单元301、认证单元302、服务器应用303、文件夹304(公开文件夹304a和机密文件夹304b)、服务器信息存储单元305、访问控制规则存储单元306和网络访问控制单元307。此外,服务器300可以是这样的专用或通用服务器计算机,其具有例如如下硬件:控制服务器300的过程和操作的CPU、诸如ROM或RAM之类的存储器、存储各条信息的外部存储装置、通信接口、输入/输出接口和连接它们的总线,该硬件与参照图2描述的第一客户端100的硬件配置类似。
通信单元(通信装置)301被配置为能够经由网络N与第一客户端100、第二客户端200和并未示出的其他设备通信,并输入或输出信息。例如,通信单元包括诸如网络接口卡(NIC)或TCP/IP驱动器之类的现有通信模块。
认证单元(认证装置)302被配置为能够与第一客户端100执行预定的认证过程,以认证网络访问控制单元106已经被引入第一客户端。具体而言,认证单元302保持与在第一客户端100的网络访问控制单元106中保持的用于认证的密钥相同的密钥。认证单元302使用用于认证的密钥执行与第一客户端100的认证单元107的通信,以执行预定的认证过程。
此外,认证单元302产生被成功认证的第一客户端100的列表(已认证的客户端列表)。图8是示出已认证的客户端列表的配置的示例。已认证的客户端列表的内容并不特别受限,但是已认证的客户端列表包含客户端的IP地址作为用于唯一识别第一认证客户端100的标识信息,如图8中所示。当成功认证了第一客户端100时,认证单元302将第一客户端100增加到已认证的客户端列表。此外,在图8中,第一客户端100作为已认证的客户端而有效的时间(剩余有效时间)被存储为关联于该IP地址。将详细描述剩余有效时间。
返回图1,服务器应用303是这样的应用软件,其在服务器应用303被存储在例如外部存储装置并由CPU执行时提供预定的网络服务。服务器应用303并不特别受限,并且例如对应于利用FTP(文件传输协议)或CIFS(公共互联网文件系统)的现有的程序。
文件夹304存储作为访问目标并且也被称为目录的数据。通过所分配的标签来识别文件夹304。在本实施例中,例如,文件夹被分类为已经分配公开标签的文件夹304a(公开文件夹)和已经分配机密标签的文件夹304b(机密文件夹)。公开信息被存储在公开文件夹中,并且机密信息被存储在机密文件夹中。此外,标签的内容并不限于这两种类型,而是可以根据设计而被适当地设置。文件夹304和标签的对应关系被存储在服务器信息存储单元305(104)中(参见图4)。
与第一客户端100的服务器信息存储单元104类似,服务器信息存储单元(服务器信息存储装置)305是这样的存储装置,其存储服务器信息(访问目标管理信息),在该服务器信息中,应用103的访问目标关联于分配给访问目标的标签的信息。当服务器信息存储单元305从网络访问控制单元307接收到包含用于指明访问目标的信息的预定请求时,服务器信息存储单元305搜索服务器信息以查找分配给访问目标的标签,并向网络访问控制单元307通知搜索结果。此外,由于服务器信息存储单元305的数据结构与第一客户端100的服务器信息存储单元104的数据结构相同,将省略其详细描述(参见图4)。
与客户端的访问控制规则存储单元105类似,访问控制规则存储单元(访问控制规则存储装置)306是这样的存储装置,其存储访问控制规则以限制应用103对访问目标的访问。访问控制规则存储单元306响应于来自网络访问控制单元307的查询,通知访问控制规则。此外,由于第一客户端100的服务器信息存储单元104和服务器300的服务器信息存储单元305保持相同的访问控制规则,将省略其详细描述(参见图5)。
网络访问控制单元(网络控制访问装置)307响应于对服务器应用303的网络访问,确定是否已经将网络访问控制单元引入已经发送网络访问请求客户端。如果确定结果为是,则网络访问控制单元直接授权网络访问,并且如果确定结果为否,则网络访问控制单元执行网络访问的访问控制。具体而言,网络访问控制单元307监视对服务器应用303的网络访问。当网络访问控制单元307检测到网络访问时,网络访问控制单元307指明执行网络访问的客户端,并向认证单元302查询所指明的客户端是否是已认证的客户端。如果认证结果为是(已经完成了认证),网络访问控制单元307确定网络访问控制单元已经被引入客户端,并且不执行访问控制(使得直接执行访问)。另一方面,当认证结果为否时(并未完成认证),网络访问控制单元307确定网络访问控制单元并未被引入客户端,并且根据作为访问目的地的文件夹执行访问控制(例如,授权、禁止、和只读授权)。
此外,在网络访问控制单元307中的访问控制中,为要被访问的应用设置临时标签,并且基于所设置的应用的临时标签和作为访问目的地的文件夹的标签执行访问控制。将详细描述网络访问控制单元307的访问控制。
<机密信息泄露防止过程的流程>
将参照图9描述根据本实施例的机密信息泄露防止系统中的机密信息泄露防止过程。此外,可以任意改变的顺序或并行地执行图9到11的流程图中所示的过程步骤,而不会使处理内容出现冲突。此外,可以在过程步骤之间增加其他步骤。此外,出于便捷目的被描述为单一步骤的步骤可以被划分为多个步骤并被执行,并且出于便捷目的被描述为多个划分的步骤的步骤可以被识别为单个步骤。在下文中,为了便于描述,将首先描述从第一客户端100到服务器300的网络访问,并且随后将描述从第二客户端200到服务器300的网络访问。
首先,将描述从第一客户端100到服务器300的网络访问。假定第一客户端100的网络访问控制单元106的监视单元106a在诸如上电之类的预定时机例如开始监视网络通信。
由控制单元(CPU)执行的应用103(103a或103b)例如根据用户操作的指令开始对所指定的网络中的访问目标的网络访问(NW访问)(步骤S1)。
网络访问控制单元106的监视单元106a勾住(hook)应用103(103a或103b)的网络访问(也被称为网络访问事件)(步骤S2)。
接下来,网络访问控制单元106的访问控制单元106b从勾住的访问获取用于指明应用103的应用信息(例如过程号),并基于该应用信息向标签分配单元102查询应用103(103a或103b)的标签(步骤S3)。
标签分配单元102搜索在其中存储的标签分配列表(参见图3)以查找分配给通过应用信息指明的应用(AP)103(103a或103b)的标签,并向访问控制单元106b通知搜索结果(步骤S4)。
当访问控制单元106b从标签分配单元102获取应用103的标签时,访问控制单元106b从勾住的访问获取用于指明访问目的地的访问目的地信息。而且,访问控制单元106b基于该访问目的地信息向服务器信息存储单元104查询分配给作为访问目的地的文件夹304(304a或304b)的标签(步骤S5)。例如,当网络访问是为了文件共享时,可以获取服务器名称和作为访问目的地的文件夹的名称作为访问目的地信息。
服务器信息存储单元104搜索在其中存储的服务器信息(参见图4)以查找通过访问目的地信息指明的文件夹的标签,并向访问控制单元106b通知搜索结果(步骤S6)。
访问控制单元106b获取应用103(103a或103b)的标签和作为访问目的地的文件夹的标签,并确定是否可以通过参考在访问控制规则存储单元105中存储的访问控制规则(参见图5)来允许应用的网络访问(步骤S7)。例如,如图5中所示,当应用具有机密标签并且作为访问目的地的文件夹也具有机密标签时,访问控制单元106b确定访问要被授权。此外,甚至当应用具有公开标签并且访问目的地文件夹也具有公开标签时,访问控制单元106b确定访问要被授权。同时,当应用具有公开标签并且作为访问目的地的文件夹具有机密标签时,访问控制单元106b确定访问要被禁止。此外,当应用具有机密标签并且作为访问目的地的文件夹具有公开标签时,访问控制单元106b确定仅授权读取。
如果在步骤S7中确定访问要被禁止(S7中为否),访问控制单元106b禁止应用的访问并结束过程。访问禁止方法并不特别受限,并且例如可以通过丢弃网络访问包来禁止访问。
另一方面,如果在步骤S7的确定中确定访问要被授权(包括部分授权)(步骤S7中为是),访问控制单元106b确定在第一客户端100和服务器300之间是否需要认证(步骤S9)。例如,当在需要认证服务器列表中登记了访问目的地时,访问控制单元106b确定需要认证,并且请求认证单元107执行认证(步骤S9中为是)。此外,例如,当在需要认证服务器列表中并未登记访问目的地时,访问控制单元106b确定并不需要认证,并且在不请求认证的情况下执行网络访问(步骤S12)。
从访问控制单元106b接收认证请求的认证单元107执行认证单元107和服务器300的认证单元302之间的认证过程,以确定网络访问控制单元106是否已经被引入客户端并处于操作中(步骤S10)。此外,下面将详细描述认证过程。
当认证处理结果为成功时,认证单元107向访问控制单元106b通知认证成功。当访问控制单元106b基于通知确定认证成功时(步骤S11中为是),经由通信单元101执行勾住的应用103的网络访问(步骤S12)。
服务器300的网络访问控制单元307从第一客户端100的应用103接收网络访问(S13)。
接下来,将描述第二客户端200对服务器300的网络访问。通过控制单元(CPU)执行的第二客户端200的应用202开始对例如根据经由通信单元201的用户操作的指令而指定的网络中的访问目标进行网络访问(步骤S14)。
当服务器300的网络访问控制单元307从第一客户端100或第二客户端100接收到网络访问时(步骤S13),网络访问控制单元307执行第二访问控制过程(步骤S15)。将详细描述网络访问控制单元307中的第二访问控制过程。
<认证过程的流程>
接下来,将参照图10详细描述图9的步骤S10中的认证过程。此外,在本实施例中,将描述使用挑战响应方案执行相互认证的情形。然而,认证方案并不受此限制,并且例如可以根据设计适当地使用其他的认证方案。
首先,第一客户端100的认证单元107生成第一挑战代码,并将第一挑战代码发送给服务器300的认证单元302(步骤S10-1)。例如可以使用随机数来生成第一挑战代码。
当服务器300的认证单元302接收到第一挑战代码时,认证单元302使用在服务器300中保持的密钥根据第一挑战代码生成第一响应代码(步骤S10-2)。例如,认证单元302可以通过使用诸如SHA1或MD5之类的哈希函数来转换密钥和第一挑战代码,而获取第一响应代码。
接下来,认证单元302生成第二挑战代码(步骤S10-3)。例如使用随机数来生成第二挑战代码。认证单元302将已经生成的第一响应代码和第二挑战代码发送给第一客户端100的认证单元107(步骤S10-4)。
第一客户端100的认证单元107从网络访问控制单元106获取密钥(步骤S10-5)。而且,第一客户端100的认证单元107根据在步骤S10-1中生成的第一挑战代码和从网络访问控制单元106获取的密钥生成第一校正响应代码(步骤S10-6)。
认证单元107将在步骤S10-6中生成的第一校正响应代码与从服务器300的认证单元302接收到的第一响应代码进行比较,以确认它们是否匹配(步骤S10-7)。当它们不匹配时(步骤S10-7中为否),认证单107认证失败,并结束过程。另一方面,如果它们匹配(步骤S10-7中为是),认证单元107使用从网络访问控制单元106获取的密钥,针对从服务器300的认证单元302接收到的第二挑战代码生成第二响应代码(步骤S10-8)。认证单元107可以通过例如使用诸如SHA1或MD5之类的哈希函数来转换密钥和第二挑战代码,而获取第二响应代码。
接下来,认证单元107从操作系统获取执行中的过程的列表,并基于网络访问控制单元106的过程ID来确定网络访问控制单元106是否在过程的列表中(步骤S10-9)。如果步骤S10-9中的确定结果为是(步骤S10-9中为是),则认证单元107确定网络访问控制单元106处于操作中,并将在步骤S10-8中生成的第二响应代码发送给服务器300的认证单元302(步骤S10-10)。另一方面,如果步骤S10-9中的确定结果为否(步骤S10-9中为否),则认证单元107确定网络访问控制单元106并未处于操作中,认证失败并结束过程。
当服务器300的认证单元302接收到第二响应代码时,认证单元302根据在步骤S10-3中生成的第二挑战代码和密钥生成第二校正响应代码(步骤S10-11)。认证单元302将所生成的第二校正响应代码与从第一客户端100的认证单元107接收到的第一响应代码进行比较,以确认它们是否匹配(步骤S10-12)。当它们不匹配时(步骤S10-12中为否),认证单元302认证失败并结束过程。另一方面,如果它们匹配(步骤S10-12中为是),认证单元302认证成功,将第一客户端100作为已认证的客户端记录在已认证的客户端列表中(步骤S10-13)。例如,当使用IP来执行通信时,认证单元302将用于唯一指明第一客户端100的标识信息(例如,IP地址、DNS名称和机器名称)记录在已认证的客户端列表中(参见图8)。此外,认证单元302将认证成功发送给第一客户端100的认证单元107(步骤S10-13)。
因此,确定网络访问控制单元106是否已经被引入并处于操作中的认证过程结束。
<服务器中的访问控制过程的流程>
接下来,将参照图11详细描述图9中的步骤S15中所示的服务器300中的访问控制过程。
服务器300的网络访问控制单元307监视客户端(100或200)对服务器应用303的网络访问。当访问被勾住(被检测到)时,网络访问控制单元307向认证单元302查询客户端是否为已认证的客户端(步骤S15-1)。查询包括例如客户端的IP地址。
例如,当客户端的IP地址被登记在其中存储的已认证的客户端列表(CL列表)中时(参见图8),认证单元302回复已经认证客户端的事实,并且当客户端的IP地址未被登记时,认证单元302回复并未完成认证的事实(步骤S15-2)。
网络访问控制单元307从认证单元302接收查询结果。当查询结果为是(认证完成)时(步骤S15-3中为是),网络访问控制单元307确定已经对访问执行了访问控制,并且在不执行访问控制的情况下执行网络访问(步骤S15-4)。这是因为,由于客户端被确认为已认证的客户端,就确保了客户端已经执行了访问控制,并且相应地服务器无需再次执行访问控制。
另一方面,如果查询结果为否(并未完成认证)(在步骤S15-3中为否),网络访问控制单元307确定并未对访问执行访问控制,并且服务器执行访问控制。例如,这是如下情形,即访问是来自其网络访问控制单元106并未处于操作中的客户端100的网络访问或者是来自网络访问控制单元并未被引入的第二客户端200的网络访问。网络访问控制单元307从所接收的网络访问获取用于指明访问目的地的访问目的地信息,并且基于访问目的地信息向服务器信息存储单元305查询分配给作为访问目的地的文件夹304(204a或204b)的标签(步骤S15-5)。
服务器信息存储单元305搜索在其中存储的服务器信息(参见图4),以查找由访问目的地信息指明的文件夹的标签,并向网络访问控制单元307通知搜索结果(步骤S15-6)。
接下来,由于用于指明应用标签的信息并未被包含在网络访问中或者初始时并没有为要被访问的应用设置标签,网络访问控制单元307将临时标签设置为应用的标签(步骤S15-7)。可以根据规范适当地设置临时标签的内容,并且在本实施例中,例如设置“公开”级别。
网络访问控制单元307通过基于为应用设置的临时标签和作为访问目的地的文件夹的标签,参考在访问控制规则存储单元306中存储的访问控制规则,而确定是否允许访问(参见图5)(S15-8)。例如,由于“公开”已经被设置为应用的临时标签,当已经为作为访问目的地的文件夹设置“机密”标签时,禁止访问,而当已经为作为访问目的地的文件夹设置“公开”标签时,授权访问。
当确定结果指示访问禁止时(步骤S15-9中为否),网络访问控制单元307禁止应用对文件夹的网络访问(S15-11)。访问禁止方法并不特别受限,并且可以为了禁止而丢弃网络访问包。此外,例如可以通过利用欺诈命令重写网络访问命令而禁止访问,从而服务器应用303可靠地返回错误。
同时,当确定结果指示访问授权时,网络访问控制单元307执行应用对文件夹的网络访问(步骤S15-10)。
因此,在根据第一实施例的机密信息泄露防止系统中,网络访问控制单元被提供于客户端中,使得客户端可以执行用于实现多级安全的访问控制。而且,在机密信息泄露防止系统中,在服务器侧的网络访问控制单元在客户端执行网络访问控制时不执行访问控制,并且在客户端不执行网络访问控制时执行访问控制。相应地,网络访问控制的负荷可以被分布到服务器和客户端上。因此,可以提供这样的附接于网络的多级安全系统,其即使在存在多个客户终端时,也能够实现在客户端和服务器之间执行更高速的通信。
此外,在机密信息泄露防止系统中,由于客户端侧的网络访问控制单元和服务器侧的网络访问控制单元基于相同的服务器信息和访问控制规则执行访问控制,所以并不会出现取决于是否存在认证历史而产生的认证结果的差异。相应地,可以防止用户操作的便利性劣化。
此外,在机密信息泄漏防止系统中,服务器侧的网络访问控制单元通过设置例如用于与已认证的客户端不同的客户端的访问的临时标签来执行访问控制。相应地,例如,并未禁止诸如从公司外部带入的客户端之类的在认证中失败的客户端对服务器的访问。因此,可以提高用户操作的便利性,并同时防止信息泄露。
此外,在机密信息泄露防止系统中,当客户端侧的网络访问控制单元并不处于操作中时,服务器的认证单元并不认证客户端。因此,即便在其网络访问控制单元并不处于操作中的客户端的网络访问中,由于在服务器侧执行访问控制,因此也可以更可靠地防止信息泄露。
<第一实施例的变形>
当服务器300从已经应用相关技术的客户端(未示出)接收包含应用标签的网络访问请求时,服务器300可以根据相关技术执行与标签相关的访问控制。
此外,在服务器300的认证单元302保持如上所述的已认证的客户端列表(图8)时,第一客户端100的认证单元107还可以保持已认证的服务器列表,该已认证的服务器列表在其中记录了已认证的服务器300的IP地址或名称。在这种情况下,当第一客户端100的认证单元107确定在图9的步骤S9中是否需要认证时,认证单元107通过参考已认证的服务器列表来确定服务器是否为已认证的服务器。如果服务器为已认证的服务器,认证单元107可以省略与服务器的认证过程。相应地,由于在与需要认证的服务器进行通信时可以省略认证过程,可以减小负荷并执行更高速的通信。
此外,如图8中所示,已认证的客户端列表还可以存储认证有效的剩余时间。在这种情况下,服务器300的认证单元302根据预定时机(例如每秒)提取有效时间。当有效时间变为0时,认证单元302可以从列表中删除对应的条目。此外,在有效时间变为0之前,可以再次执行认证过程,并可以重置认证的有效时间。在这种情况下,由于在每特定时间执行认证,可以防止常规的第一客户端100或服务器300被替换为欺诈的客户端或服务器。
此外,认证单元302的已认证的客户端列表或认证单元107的已认证的服务器列表具有IP地址或名称,以及由在其中记录的第一客户端100的应用103使用的端口号。而且,当应用103结束并且断开网络时,可以基于端口号从已认证的客户端列表或已认证的服务器列表中删除条目。在进行此操作的情形下,由于仅在应用103进行通信的时期执行重新认证,能够避免不必要的重新认证。
此外,尽管在上述说明书中标签被描述为机密和公开这两种类型,但也可以使用两种或更多种类型的标签。例如,可以分配诸如机密、顶级机密、保密和未分类之类的四种类型的标签。在这种情形下,如在公开多级安全系统中,网络访问控制单元106禁止从带有低安全级别的标签的应用103或文件夹304向带有高安全级别的标签的应用103或文件夹304的信息分发。
此外,尽管上面已经描述了向第一客户端100的公开应用103a和第二客户端200的应用202应用相同安全级别的情形,但也可以应用不同的安全级别。例如,可以为公开应用103a设置“公开”标签,并为应用202设置“未分类”标签。“未分类”的安全级别可以比“公开”的安全级别低。在这种情况下,可以执行更精细的访问控制。
此外,如上所述通过一次网络访问来访问一个文件夹,但也可以访问多个文件夹。在这种情况下,网络访问控制装置307在初始访问时确认进行访问的客户端是否是已认证的客户端。如果该客户端并不是已认证的客户端,则在每次文件夹被访问时,可以执行是否允许访问的确定并执行控制。
此外,尽管上面已经描述了网络访问控制单元106和网络访问控制单元307授权应用103的网络访问的情形,但也可以根据标签执行诸如加密或日志记录之类的过程。相应地,可以提供能够根据安全级别控制安全功能的系统。
此外,尽管上面已经描述了网络访问控制单元106和网络访问控制单元307对文件夹304的读写进行控制的情形,但网络访问控制的内容并不限于此。例如当应用的网络访问并非对文件夹的读写而是发送和接收电子邮件时,网络访问控制单元106可以针对邮件地址执行发送和接收控制。此外,网络访问控制单元106可以控制服务器300的过程通信。
此外,可以针对每个用户定义如上所述的网络访问控制单元(106或307)的需要认证的服务器列表或其中记录有服务器信息存储单元(104或305)的文件夹的标签信息的数据库,并且可以由登录用户来切换需要认证的服务器列表或数据库。该操作实现了根据用户来执行访问控制。
此外,第一客户端100的认证单元107和服务器300的认证单元302可以在认证过程期间的预定时机处确认并未执行对网络访问控制单元106的篡改。确认方法并不特别受限,并且例如认证单元107在图10的步骤S10-10的时机处,将网络访问控制单元106的执行二进制的哈希值发送给服务器300的认证单元302。服务器300的认证单元302将从认证单元107接收到的哈希值与之前保持的网络访问控制单元106的执行二进制的哈希值进行比较,以确定它们是否匹配。如果匹配,则认证单元302确认并未执行对网络访问控制单元106的篡改。另一方面,如果它们不匹配,认证单元302确定已经执行了对网络访问控制单元106的篡改,将认证认定为已经失败,并且结束过程。
此外,尽管上面已经描述了访问控制单元106b保持需要认证的服务器列表并且通过参考需要认证的服务器列表来确定是否需要认证的情形,但确定是否需要认证的方法并不限于此。例如,访问控制单元106b可以使用在服务器信息存储单元104中保持的服务器/文件夹信息(参见图4)确定是否需要认证。具体而言,访问控制单元106b可以从服务器信息存储单元104获取作为访问目的地的服务器的服务器/文件夹信息。当机密文件夹被包括在所获取的文件夹信息中时,由于服务器保持了该机密文件夹,访问控制单元106b可以将该服务器确定为需要认证的服务器。
此外,尽管上面已经描述了认证单元107使用密钥执行对网络访问控制单元106的引入进行确认和使用过程列表对网络访问控制单元106的操作进行确认,认证单元107可以仅执行引入确认。具体而言,认证单元107可以执行图10中的步骤S10-8的过程,而省略步骤S10-9的过程,并且随后执行步骤S10-10的过程。这使得可以更高的速度执行认证过程。
<第二实施例>
接下来,将参考图11详细描述第二实施例。将省略与第一实施例中相同的部分的描述。第二实施例与第一实施例的区别在于,第一客户端100还包括设置接收单元110,服务器300还包括设置接收单元310,并且设置发送服务器400包括设置发送单元401,如图11中所示。此外,为了便于描述,将省略第二客户端的描述。
设置发送服务器400的设置发送单元401在其中存储服务器信息、需要认证的服务器列表和用于认证的密钥。设置发送单元401将服务器信息、需要认证的服务器列表和用于认证的密钥发送给第一客户端100的设置接收单元110,并将服务器信息和用于认证的密钥发送给服务器300的设置接收单元310。
当第一客户端100的设置接收单元110接收到服务器信息、需要认证的服务器列表和用于认证的密钥时,设置接收单元110更新在服务器信息存储单元104中存储的服务器信息以及在网络访问控制单元106中存储的需要认证的服务器列表和用于认证的密钥。同时,当服务器300的设置接收单元310接收到服务器信息和用于认证的密钥时,设置接收单元310更新在服务器信息存储单元305中存储的服务器信息或在认证单元302中保持的密钥。
根据第二实施例,可以远程地更新服务器信息、需要认证的服务器列表和用于认证的密钥。特别是,当存在多个第一客户端100或多个服务器300时,能够使得管理有效率。
<其他实施例>
此外,本发明并不限于上述实施例,并可以各种其他形式实现而不偏离本发明的精神和范围。出于这个原因,上述实施例仅是简单示例,并且不应当被视为限制。例如,可以任意改变的顺序或并行地执行上述的各个过程步骤,而不会使得处理内容出现冲突。
在上述实施例中,通过一个设备来实现服务器300,但在本发明中,可以通过多个设备来实现服务器300。在这种情形下,可以使上述实施例中的服务器300的功能分布到多个设备上,并且多个设备的组合可以用作上述实施例中的服务器300。
本申请要求于2010年6月25日提交的日本专利申请No.2010-145099的权益,其全部内容通过引用方式并入到本文中。
尽管已经参照实施例描述了本发明,但本发明并不限于这些实施例。可以对本发明的配置或细节进行本领域技术人员所理解的各种修改而仍然在本发明的范围内。
在以下的注释中描述了一些或全部的实施例,但本发明并不限于以下注释:
(注释1)
一种机密信息泄露防止系统,在该机密信息泄露防止系统中,两个或更多客户端和服务器能够经由网络进行通信,两个或更多客户端每个都包括发送网络访问请求的应用程序,其中:两个或更多客户端中的至少一个客户端包括第一网络访问控制装置,第一网络访问控制装置用于基于分配给应用程序的安全级别,控制从应用程序向服务器发送的网络访问请求;以及服务器包括第二网络访问控制装置,第二网络访问控制装置用于响应于从两个或更多客户端中的一个客户端发送的网络访问请求,确定第一网络访问控制装置是否已经被引入已经发送了该网络访问请求的客户端,当确定结果为是时,授权该网络访问请求,并且当确定结果为否时,基于分配给该网络访问请求的访问目标的安全级别控制该网络访问请求。
(注释2)
根据注释1的机密信息泄露防止系统,其中包括第一网络访问控制装置的客户端包括第一认证装置,第一认证装置用于执行与服务器的认证过程,该认证过程认证第一网络访问控制装置已经被引入;服务器包括第二认证装置,第二认证装置用于执行与包括第一网络访问控制装置的客户端的认证过程,并且当认证过程成功时,将该客户端登记为已认证的客户端,并且当已经发送了该网络访问请求的客户端被登记为已认证的客户端时,第二网络访问控制装置确定第一网络访问控制装置已被引入该客户端。
(注释3)
根据注释1或2的机密信息泄露防止系统,其中:当确定结果为否时,第二网络访问控制装置为已经发送了网络访问请求的应用设置临时安全级别,并基于所设置的临时安全级别和分配给该访问目标的安全级别控制该网络访问请求。
(注释4)
根据注释2或3的机密信息泄露防止系统,其中:第一认证装置使用在第一网络访问控制装置中保持的密钥执行与第二认证装置的认证过程。
(注释5)
根据注释2至4中的任意一项的机密信息泄露防止系统,其中:第一认证装置包括:第一发送装置,用于向服务器发送使用第一随机数生成的第一挑战代码;第一接收装置,用于接收从服务器发送的基于第一挑战代码的第一响应代码和第二挑战代码;第一响应代码生成装置,用于基于在第一网络访问控制装置中保持的第一密钥和所生成的第一挑战代码,生成第一响应代码;第一确定装置,用于确定由第一接收装置接收到的第一响应代码是否与由第一响应代码生成装置生成的第一响应代码匹配;以及第二发送装置,用于当来自第一确定装置的确定结果为是时,向服务器发送根据由第一接收装置接收的第二挑战代码而生成的第二响应代码;以及第二认证装置包括:第三发送装置,用于向客户端发送根据从第一客户端发送的第一挑战代码使用在第二认证装置中保持的第二密钥而生成的第一响应代码和使用第二随机数生成的第二挑战代码;第二接收装置,用于接收从第一客户端发送的并且基于第二挑战代码的第二响应代码;第二响应代码生成装置,用于基于第二密钥和所生成的第二挑战代码生成第二响应代码;以及第二确定装置,用于确定从第一客户端发送的第二响应代码是否与由第二响应代码生成装置生成的第二响应代码匹配,并且当确定结果为是时,将认证过程认定为成功。
(注释6)
根据注释2到5中的任意一项的机密信息泄露防止系统,其中第一认证装置在第一网络访问控制装置处于操作中的情况下,执行与服务器的认证过程。
(注释7)
根据注释6的机密信息泄露防止系统,其中第一认证装置从操作系统获取处于执行中的过程的列表,并通过确认第一网络访问控制装置是否被包括在所获取的过程列表中,来确定第一网络访问控制装置是否处于操作中。
(注释8)
一种机密信息泄露防止系统中的机密信息泄露防止方法,在该机密信息泄露防止系统中,两个或更多客户端和服务器能够经由网络进行通信,两个或更多客户端每个都包括发送网络访问请求的应用程序,其中两个或更多客户端中的至少一个客户端执行第一网络访问控制步骤,第一网络访问控制步骤用于基于分配给应用程序的安全级别,控制从应用程序向服务器发送的网络访问请求,以及服务器执行第二网络访问控制步骤,第二网络访问控制步骤用于响应于从两个或更多客户端中的一个发送的网络访问请求,确定在已经发送了网络访问请求的客户端中是否执行了第一网络访问控制步骤,当确定结果为是时,授权该网络访问请求,并且当确定结果为否时,基于分配给该网络访问请求的访问目标的安全级别控制该网络访问请求。
(注释9)
一种程序,用于使两个或更多客户端中的至少一个客户端执行第一网络访问控制步骤,每个客户端都包括发送网络访问请求的应用程序,第一网络访问控制步骤用于基于分配给应用程序的安全级别,控制从应用程序向服务器发送的网络访问请求;以及使服务器执行第二网络访问控制步骤,第二网络访问控制步骤用于响应于从两个或更多客户端中的一个发送的网络访问请求,确定在已经发送了该网络访问请求的客户端中是否执行了第一网络访问控制步骤,当确定结果为是时,授权该网络访问请求,并且当确定结果为否时,基于分配给该网络访问请求的访问目标的安全级别控制该网络访问请求。
本发明适合于提供这样的附接于网络的多级安全系统,其即使在存在多个客户终端的情况下,也能够执行高速通信并提高用户操作的便利性。
10CPU,11ROM,12RAM,13外部存储设备,14通信接口,15输入接口,16输出接口,100客户端,101通信单元,102标签分配单元,103应用,103a公开应用,103b机密应用,104服务器信息存储单元,105访问控制规则存储单元,106网络访问控制单元,106a监视单元,106b访问控制单元,107认证单元,200客户端,201通信单元,202应用,300服务器,301通信单元,302认证单元,303服务器应用,304文件夹,304a公共文件夹,304b机密文件夹,305服务器信息存储单元,306访问控制规则存储单元,307网络访问控制单元,N网络。
Claims (12)
1.一种机密信息泄露防止系统,在所述机密信息泄露防止系统中,两个或更多客户端和服务器能够经由网络进行通信,所述两个或更多客户端每个都包括发送网络访问请求的应用程序,其中
所述两个或更多客户端中的至少一个客户端包括第一网络访问控制单元,所述第一网络访问控制单元用于基于分配给所述应用程序的安全级别来控制从所述应用程序向所述服务器发送的所述网络访问请求;以及
所述服务器包括第二网络访问控制单元,所述第二网络访问控制单元用于响应于从所述两个或更多客户端中的一个客户端发送的所述网络访问请求,确定所述第一网络访问控制单元是否已经被引入已经发送了所述网络访问请求的所述客户端,当确定结果为是时,所述第二网络访问控制单元授权所述网络访问请求而不控制所述网络访问请求,并且当所述确定结果为否时,所述第二网络访问控制单元基于分配给所述网络访问请求的访问目标的安全级别而控制所述网络访问请求,其中所述第一网络访问控制单元和所述第二网络访问控制单元基于相同的所述安全级别而控制所述应用程序。
2.根据权利要求1所述的机密信息泄露防止系统,其中
包括所述第一网络访问控制单元的所述客户端包括第一认证单元,所述第一认证单元用于执行认证过程,所述认证过程与所述服务器认证所述第一网络访问控制单元已被引入;
所述服务器包括第二认证单元,所述第二认证单元用于执行与包括所述第一网络访问控制单元的所述客户端的所述认证过程,并且当所述认证过程成功时将所述客户端登记为已认证的客户端,以及
当已经发送了所述网络访问请求的所述客户端被登记为所述已认证的客户端时,所述第二网络访问控制单元确定所述第一网络访问控制单元已经被引入所述客户端。
3.根据权利要求1所述的机密信息泄露防止系统,其中
当所述确定结果为否时,所述第二网络访问控制单元为已经发送所述网络访问请求的所述应用设置临时安全级别,并且基于设置的所述临时安全级别和分配给所述访问目标的所述安全级别控制所述网络访问请求。
4.根据权利要求2所述的机密信息泄露防止系统,其中所述第一认证单元使用在所述第一网络访问控制单元中保持的密钥来执行与所述第二认证单元的所述认证过程。
5.根据权利要求2所述的机密信息泄露防止系统,其中
所述第一认证单元包括:
第一发送单元,用于向所述服务器发送使用第一随机数生成的第一挑战代码;
第一接收单元,用于接收从所述服务器发送的基于所述第一挑战代码的第一响应代码和第二挑战代码;
第一响应代码生成单元,用于基于在所述第一网络访问控制单元中保持的第一密钥和生成的所述第一挑战代码而生成第一响应代码;
第一确定单元,用于确定由所述第一接收单元接收到的所述第一响应代码是否与由所述第一响应代码生成单元生成的所述第一响应代码匹配;以及
第二发送单元,用于当来自所述第一确定单元的确定结果为是时,向所述服务器发送根据所述第一接收单元接收的所述第二挑战代码而生成的第二响应代码,以及
所述第二认证单元包括:
第三发送单元,用于向所述客户端发送根据从第一客户端发送的所述第一挑战代码、使用在所述第二认证单元中保持的第二密钥而生成的第一响应代码和使用第二随机数生成的第二挑战代码;
第二接收单元,用于接收从所述第一客户端发送并且基于所述第二挑战代码的第二响应代码;
第二响应代码生成单元,用于基于所述第二密钥和生成的所述第二挑战代码而生成第二响应代码;以及
第二确定单元,用于确定从所述第一客户端发送的所述第二响应代码是否与由所述第二响应代码生成单元生成的所述第二响应代码匹配,并且当确定结果为是时将所述认证过程认定为成功。
6.根据权利要求2所述的机密信息泄露防止系统,其中所述第一认证单元在所述第一网络访问控制单元处于操作中的情况下执行与所述服务器的所述认证过程。
7.根据权利要求6所述的机密信息泄露防止系统,其中所述第一认证单元从操作系统获取处于执行中的过程的列表,并且通过确认所述第一网络访问控制单元是否被包括在获取的过程列表中来确定所述第一网络访问控制单元是否处于操作中。
8.一种机密信息泄露防止系统中的机密信息泄露防止方法,在所述机密信息泄露防止系统中,两个或更多客户端和服务器能够经由网络进行通信,所述两个或更多客户端每个都包括发送网络访问请求的应用程序,其中
所述两个或更多客户端中的至少一个客户端执行第一网络访问控制步骤,所述第一网络访问控制步骤用于基于分配给所述应用程序的安全级别来控制从所述应用程序向所述服务器发送的所述网络访问请求,以及
所述服务器执行第二网络访问控制步骤,所述第二网络访问控制步骤用于响应于从所述两个或更多客户端中的一个客户端发送的所述网络访问请求,确定在已经发送了所述网络访问请求的所述客户端中是否执行了所述第一网络访问控制步骤,当确定结果为是时,所述第二网络访问控制步骤授权所述网络访问请求而不控制所述网络访问请求,并且当所述确定结果为否时,所述第二网络访问控制步骤基于分配给所述网络访问请求的访问目标的安全级别而控制所述网络访问请求,其中所述第一网络访问控制步骤和所述第二网络访问控制步骤基于相同的所述安全级别而控制所述应用程序。
9.一种机密信息泄露防止装置,包括:
用于使两个或更多客户端中的至少一个客户端执行第一网络访问控制步骤的装置,所述两个或更多客户端每个都包括发送网络访问请求的应用程序,所述第一网络访问控制步骤用于基于分配给所述应用程序的安全级别来控制从所述应用程序向服务器发送的所述网络访问请求;以及
用于使所述服务器执行第二网络访问控制步骤的装置,所述第二网络访问控制步骤用于响应于从所述两个或更多客户端中的一个客户端发送的所述网络访问请求,确定在已经发送了所述网络访问请求的所述客户端中是否执行了所述第一网络访问控制步骤,当确定结果为是时,所述第二网络访问控制步骤授权所述网络访问请求而不控制所述网络访问请求,并且当所述确定结果为否时,所述第二网络访问控制步骤基于分配给所述网络访问请求的访问目标的安全级别而控制所述网络访问请求,其中所述第一网络访问控制步骤和所述第二网络访问控制步骤基于相同的所述安全级别而控制所述应用程序。
10.一种能够经由网络与两个或更多客户端进行通信的服务器,所述两个或更多客户端每个都包括发送网络访问请求的应用程序,其中
所述两个或更多客户端中的至少一个客户端包括第一网络访问控制单元,所述第一网络访问控制单元用于基于分配给所述应用程序的安全级别来控制从所述应用程序向所述服务器发送的所述网络访问请求;以及
所述服务器包括第二网络访问控制单元,所述第二网络访问控制单元用于响应于从所述两个或更多客户端中的一个客户端发送的所述网络访问请求,确定所述第一网络访问控制单元是否已经被引入已经发送了所述网络访问请求的所述客户端,当确定结果为是时,所述第二网络访问控制单元授权所述网络访问请求而不控制所述网络访问请求,并且当所述确定结果为否时,所述第二网络访问控制单元基于分配给所述网络访问请求的访问目标的安全级别而控制所述网络访问请求,其中所述第一网络访问控制单元和所述第二网络访问控制单元基于相同的所述安全级别而控制所述应用程序。
11.一种服务器中的机密信息泄露防止方法,所述服务器能够经由网络与两个或更多客户端进行通信,所述两个或更多客户端每个都包括发送网络访问请求的应用程序,其中
所述两个或更多客户端中的至少一个客户端执行第一网络访问控制步骤,所述第一网络访问控制步骤用于基于分配给所述应用程序的安全级别来控制从所述应用程序向所述服务器发送的所述网络访问请求,以及
所述服务器执行第二网络访问控制步骤,所述第二网络访问控制步骤用于响应于从所述两个或更多客户端中的一个客户端发送的所述网络访问请求,确定在已经发送了所述网络访问请求的所述客户端中是否执行了所述第一网络访问控制步骤,当确定结果为是时,所述第二网络访问控制步骤授权所述网络访问请求而不控制所述网络访问请求,并且当所述确定结果为否时,所述第二网络访问控制步骤基于分配给所述网络访问请求的访问目标的安全级别而控制所述网络访问请求,其中所述第一网络访问控制步骤和所述第二网络访问控制步骤基于相同的所述安全级别而控制所述应用程序。
12.一种服务器中的机密信息泄露防止装置,所述服务器能够经由网络与两个或更多客户端进行通信,所述两个或更多客户端每个都包括发送网络访问请求的应用程序,其中
所述两个或更多客户端中的至少一个客户端包括第一网络访问控制单元,所述第一网络访问控制单元用于基于分配给所述应用程序的安全级别来控制从所述应用程序向所述服务器发送的所述网络访问请求,
所述装置包括:
用于响应于从所述两个或更多客户端中的一个客户端发送的所述网络访问请求,确定所述第一网络访问控制单元是否已经被引入已经发送了所述网络访问请求的所述客户端,当确定结果为是时,授权所述网络访问请求而不控制所述网络访问请求,并且当所述确定结果为否时,基于分配给所述网络访问请求的访问目标的安全级别而控制所述网络访问请求,其中所述第一网络访问控制单元和用于确定的所述装置基于相同的所述安全级别而控制所述应用程序。
Applications Claiming Priority (3)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2010145099 | 2010-06-25 | ||
| JP2010-145099 | 2010-06-25 | ||
| PCT/JP2011/062597 WO2011162079A1 (ja) | 2010-06-25 | 2011-06-01 | 機密情報漏洩防止システム、機密情報漏洩防止方法及び機密情報漏洩防止プログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN102972004A CN102972004A (zh) | 2013-03-13 |
| CN102972004B true CN102972004B (zh) | 2016-01-20 |
Family
ID=45371275
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201180031599.XA Active CN102972004B (zh) | 2010-06-25 | 2011-06-01 | 机密信息泄露防止系统、机密信息泄露防止方法和机密信息泄露防止程序 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US9076011B2 (zh) |
| JP (1) | JP5822078B2 (zh) |
| CN (1) | CN102972004B (zh) |
| WO (1) | WO2011162079A1 (zh) |
Families Citing this family (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR101852815B1 (ko) * | 2011-06-21 | 2018-06-04 | 엘지전자 주식회사 | 클라이언트용 및 서버용 단말기 및 그 제어 방법 |
| JP5701715B2 (ja) * | 2011-08-12 | 2015-04-15 | 株式会社東芝 | エネルギー管理装置、電力管理システムおよびプログラム |
| JP5377717B1 (ja) * | 2012-07-04 | 2013-12-25 | 株式会社三菱東京Ufj銀行 | 情報処理装置、情報処理システム、情報処理方法およびプログラム |
| US9990474B2 (en) * | 2016-03-16 | 2018-06-05 | Konica Minolta Laboratory U.S.A., Inc. | Access control for selected document contents using document layers and access key sequence |
| US20210203650A1 (en) * | 2017-03-07 | 2021-07-01 | Hewlett-Packard Development Company, L.P. | Data message authentication based on a random number |
| CN112615832B (zh) * | 2020-12-11 | 2022-08-02 | 杭州安恒信息安全技术有限公司 | 一种阻断smb横向移动的方法及相关装置 |
Family Cites Families (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP3982848B2 (ja) * | 1995-10-19 | 2007-09-26 | 富士通株式会社 | セキュリティレベル制御装置及びネットワーク通信システム |
| US6292900B1 (en) | 1996-12-18 | 2001-09-18 | Sun Microsystems, Inc. | Multilevel security attribute passing methods, apparatuses, and computer program products in a stream |
| JP2003022189A (ja) | 2001-07-06 | 2003-01-24 | Mitsubishi Electric Corp | 分散ネットワークコンピューティングシステム |
| JP2003101533A (ja) * | 2001-09-25 | 2003-04-04 | Toshiba Corp | 機器認証管理システム及び機器認証管理方法 |
| JP4051924B2 (ja) * | 2001-12-05 | 2008-02-27 | 株式会社日立製作所 | 送信制御可能なネットワークシステム |
| JP2006251932A (ja) | 2005-03-08 | 2006-09-21 | Canon Inc | セキュリティ管理方法、装置およびセキュリティ管理用プログラム |
| US20100107222A1 (en) * | 2006-03-02 | 2010-04-29 | Avery Glasser | Method and apparatus for implementing secure and adaptive proxies |
| JP2007287097A (ja) | 2006-04-20 | 2007-11-01 | Oki Electric Ind Co Ltd | アクセス制御システム及び方法 |
| US7676673B2 (en) * | 2006-04-28 | 2010-03-09 | Bae Systems Information And Electronic Systems Integration Inc. | Multi-level secure (MLS) information network |
| EP1865656A1 (en) * | 2006-06-08 | 2007-12-12 | BRITISH TELECOMMUNICATIONS public limited company | Provision of secure communications connection using third party authentication |
| JP4737762B2 (ja) | 2006-06-12 | 2011-08-03 | 株式会社日立ソリューションズ | 機密情報の管理プログラム |
| JP2010015329A (ja) | 2008-07-02 | 2010-01-21 | Riso Kagaku Corp | 情報管理装置及び情報管理方法 |
| JP2010108237A (ja) * | 2008-10-30 | 2010-05-13 | Nec Corp | 情報処理システム |
-
2011
- 2011-06-01 CN CN201180031599.XA patent/CN102972004B/zh active Active
- 2011-06-01 WO PCT/JP2011/062597 patent/WO2011162079A1/ja active Application Filing
- 2011-06-01 US US13/695,543 patent/US9076011B2/en active Active
- 2011-06-01 JP JP2012521391A patent/JP5822078B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JPWO2011162079A1 (ja) | 2013-08-19 |
| US20130055359A1 (en) | 2013-02-28 |
| WO2011162079A1 (ja) | 2011-12-29 |
| CN102972004A (zh) | 2013-03-13 |
| US9076011B2 (en) | 2015-07-07 |
| JP5822078B2 (ja) | 2015-11-24 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8392702B2 (en) | Token-based management system for PKI personalization process | |
| US6792474B1 (en) | Apparatus and methods for allocating addresses in a network | |
| US9774595B2 (en) | Method of authentication by token | |
| EP1834465B1 (en) | Remote access system and method for enabling a user to remotely access a terminal equipment from a subscriber terminal | |
| CN102713926B (zh) | 机密信息泄露防止系统及方法 | |
| US7904952B2 (en) | System and method for access control | |
| US20160337347A1 (en) | Secondary device as key for authorizing access to resources | |
| CN102972004B (zh) | 机密信息泄露防止系统、机密信息泄露防止方法和机密信息泄露防止程序 | |
| US20110167470A1 (en) | Mobile data security system and methods | |
| JP2007323553A (ja) | ネットワーク上の暗号化通信を行うアダプタ装置及びicカード | |
| EP1760988A1 (en) | Multi-level and multi-factor security credentials management for network element authentication | |
| US20240333772A1 (en) | Systems and methods for secure, scalable zero trust security processing | |
| CN111510288B (zh) | 密钥管理方法、电子设备及存储介质 | |
| JP6614280B1 (ja) | 通信装置および通信方法 | |
| JP4607602B2 (ja) | アクセス提供方法 | |
| CN102713925A (zh) | 机密信息泄露防止系统、机密信息泄露防止方法及机密信息泄露防止程序 | |
| CN106790036B (zh) | 一种信息防篡改方法、装置、服务器和终端 | |
| Oktian et al. | Oauthkeeper: An authorization framework for software defined network | |
| DE102017121648B3 (de) | Verfahren zum anmelden eines benutzers an einem endgerät | |
| CN115002768B (zh) | 一种请求消息处理方法、装置及系统 | |
| EP4142256A1 (en) | System and method for providing dual endpoint access control of remote cloud-stored resources | |
| CN115694855A (zh) | 一种认证方法、装置及设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: DE Ref document number: 1180146 Country of ref document: HK |
|
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| REG | Reference to a national code |
Ref country code: HK Ref legal event code: WD Ref document number: 1180146 Country of ref document: HK |