JP2001350663A - 情報処理装置 - Google Patents
情報処理装置Info
- Publication number
- JP2001350663A JP2001350663A JP2000173739A JP2000173739A JP2001350663A JP 2001350663 A JP2001350663 A JP 2001350663A JP 2000173739 A JP2000173739 A JP 2000173739A JP 2000173739 A JP2000173739 A JP 2000173739A JP 2001350663 A JP2001350663 A JP 2001350663A
- Authority
- JP
- Japan
- Prior art keywords
- file
- program
- access
- access right
- registered
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Landscapes
- Storage Device Security (AREA)
Abstract
(57)【要約】
【課題】ファイルの重要度に応じたアクセス権の設定を
容易化する。 【解決手段】情報ファイル107に対して、アクセス権
範囲となる文字列Fnと、アクセス権レベルを表す数値
Flとを、ファイル属性情報108として付与するとと
もに、プログラムファイル109にも、アクセス権範囲
となる文字列Pnと、アクセス権レベルを表す数値Pl
とをプログラム属性情報110として付与する。アクセ
ス制御プログラムプロセス105は、上位プログラムプ
ロセス102の情報ファイル107へのファイルアクセ
ス発行時に、上位プログラムプロセス102のプログラ
ムファイル109とファイルアクセス対象の情報ファイ
ルについて、((Pn=Fn)・(Pl≧Fl))∨
(Fn=NULL)が真の場合に限りアクセスを許可す
る。ここで、記号“・”と“∨”はそれぞれ論理積と論
理和を表し、NULLは文字列がないことを表す。
容易化する。 【解決手段】情報ファイル107に対して、アクセス権
範囲となる文字列Fnと、アクセス権レベルを表す数値
Flとを、ファイル属性情報108として付与するとと
もに、プログラムファイル109にも、アクセス権範囲
となる文字列Pnと、アクセス権レベルを表す数値Pl
とをプログラム属性情報110として付与する。アクセ
ス制御プログラムプロセス105は、上位プログラムプ
ロセス102の情報ファイル107へのファイルアクセ
ス発行時に、上位プログラムプロセス102のプログラ
ムファイル109とファイルアクセス対象の情報ファイ
ルについて、((Pn=Fn)・(Pl≧Fl))∨
(Fn=NULL)が真の場合に限りアクセスを許可す
る。ここで、記号“・”と“∨”はそれぞれ論理積と論
理和を表し、NULLは文字列がないことを表す。
Description
【0001】
【発明の属する技術分野】本発明は、情報処理装置にお
いて、情報処理装置が管理する情報へのアクセスの許可
/拒絶をアクセス元のアクセス権限に応じて決定するア
クセス制御技術に関する。
いて、情報処理装置が管理する情報へのアクセスの許可
/拒絶をアクセス元のアクセス権限に応じて決定するア
クセス制御技術に関する。
【0002】
【従来の技術】情報へのアクセスをアクセス元のアクセ
ス権限に応じて許可するアクセス制御技術としては、従
来、電子計算機において、ファイルやディレクトリに対
して、当該ファイルやディレクトリにアクセスを許可す
るユーザやユーザグループをアクセス権保有者として登
録し、当該ファイルやディレクトリに対して登録され
た、ユーザやユーザグループ構成員にのみ、当該ファイ
ルやディレクトリへのアクセスを許可する技術が知られ
ている。
ス権限に応じて許可するアクセス制御技術としては、従
来、電子計算機において、ファイルやディレクトリに対
して、当該ファイルやディレクトリにアクセスを許可す
るユーザやユーザグループをアクセス権保有者として登
録し、当該ファイルやディレクトリに対して登録され
た、ユーザやユーザグループ構成員にのみ、当該ファイ
ルやディレクトリへのアクセスを許可する技術が知られ
ている。
【0003】しかし、この技術によれば、たとえば、ユ
ーザがコンピュータウィルスに感染したプログラムを起
動した場合、当該ユーザがアクセス可能なファイルを破
壊してしまうおそれがある。また、悪意をもつユーザが
不正なプログラムを導入し、組織の共有情報を改ざんす
るおそれもある。
ーザがコンピュータウィルスに感染したプログラムを起
動した場合、当該ユーザがアクセス可能なファイルを破
壊してしまうおそれがある。また、悪意をもつユーザが
不正なプログラムを導入し、組織の共有情報を改ざんす
るおそれもある。
【0004】そこで、従来は、特定の共有ファイルにつ
いては、そのアクセス権保有者として特定のユーザ(通
常、仮想上のユーザ)を登録すると共に、正当性が保証
される特定のプログラムを、どのユーザが起動しても前
記特定の共有ファイルに対して登録した前記特定のユー
ザとして、前記特定の共有ファイルにアクセスするよう
に構成することがあった。
いては、そのアクセス権保有者として特定のユーザ(通
常、仮想上のユーザ)を登録すると共に、正当性が保証
される特定のプログラムを、どのユーザが起動しても前
記特定の共有ファイルに対して登録した前記特定のユー
ザとして、前記特定の共有ファイルにアクセスするよう
に構成することがあった。
【0005】このようにすることにより、前記特定の共
有ファイルにアクセスできるプログラムを前記特定のプ
ログラムに限定することができ、また、一般のユーザが
前記特定のプログラムを介してのみ前記特定の共有ファ
イルにアクセスし、前記特定のプログラムの提供する限
定された範囲内でのみ前記特定の共有ファイルを操作で
きるようにすることができる。
有ファイルにアクセスできるプログラムを前記特定のプ
ログラムに限定することができ、また、一般のユーザが
前記特定のプログラムを介してのみ前記特定の共有ファ
イルにアクセスし、前記特定のプログラムの提供する限
定された範囲内でのみ前記特定の共有ファイルを操作で
きるようにすることができる。
【0006】
【発明が解決しようとする課題】今、ファイルAの重要
度>ファイルBの重要度のように、重要度が異なる2つ
のファイルへのアクセスを許可するプログラムを、 ファイルAへのアクセス手段の集合={プログラムX} ファイルBへのアクセス手段の集合={プログラムX,
プログラムY} に限定する場合について考える。
度>ファイルBの重要度のように、重要度が異なる2つ
のファイルへのアクセスを許可するプログラムを、 ファイルAへのアクセス手段の集合={プログラムX} ファイルBへのアクセス手段の集合={プログラムX,
プログラムY} に限定する場合について考える。
【0007】この場合、上述した、特定の共有ファイル
にアクセスできるプログラムを特定のプログラムに限定
する技術では、プログラムXだけがファイルAとファイ
ルBにアクセスでき、プログラムYはファイルBにのみ
アクセスできるようにするためには、 ファイルAのアクセス権保有者=ユーザA ファイルBのアクセス権保有者=ユーザAとユーザB の条件を満たすように、ファイルAとファイルBのアク
セス権保有者を固定的に登録すると共に、 プログラムXの動作中に固定的に付与されるユーザ識別
子=ユーザA プログラムYの動作中に固定的に付与されるユーザ識別
子=ユーザB となるように、プログラムX、プログラムYを構成する
必要がある。
にアクセスできるプログラムを特定のプログラムに限定
する技術では、プログラムXだけがファイルAとファイ
ルBにアクセスでき、プログラムYはファイルBにのみ
アクセスできるようにするためには、 ファイルAのアクセス権保有者=ユーザA ファイルBのアクセス権保有者=ユーザAとユーザB の条件を満たすように、ファイルAとファイルBのアク
セス権保有者を固定的に登録すると共に、 プログラムXの動作中に固定的に付与されるユーザ識別
子=ユーザA プログラムYの動作中に固定的に付与されるユーザ識別
子=ユーザB となるように、プログラムX、プログラムYを構成する
必要がある。
【0008】すなわち、ファイルの重要度が高くなるに
つれて、ファイルにアクセスを許可するプログラムを限
定する場合、上述した従来の技術によれば、重要度が低
くなるにつれて、ファイルに対して登録しなければなら
ないユーザ数が増加するため、そのアクセス権の設定が
煩雑となる。
つれて、ファイルにアクセスを許可するプログラムを限
定する場合、上述した従来の技術によれば、重要度が低
くなるにつれて、ファイルに対して登録しなければなら
ないユーザ数が増加するため、そのアクセス権の設定が
煩雑となる。
【0009】そこで、本発明は、ファイルへの多様なア
クセス制御を、容易なアクセス権の設定で実現すること
を課題とする。具体的には、たとえば、ファイルの重要
度に応じてファイルにアクセスを許可するプログラムを
限定する場合でも、アクセス権の設定が容易に行えるよ
うにすることを課題とする。
クセス制御を、容易なアクセス権の設定で実現すること
を課題とする。具体的には、たとえば、ファイルの重要
度に応じてファイルにアクセスを許可するプログラムを
限定する場合でも、アクセス権の設定が容易に行えるよ
うにすることを課題とする。
【0010】
【課題を解決するための手段】前記課題達成のために、
本発明では、ファイルとプログラムに予め与えておい
た、ファイルへのアクセスに必要とされるアクセス権の
強さを表すアクセス権レベルを用いて、アクセス制御を
行うようにしている。
本発明では、ファイルとプログラムに予め与えておい
た、ファイルへのアクセスに必要とされるアクセス権の
強さを表すアクセス権レベルを用いて、アクセス制御を
行うようにしている。
【0011】このように、ユーザベースではなく、アク
セス権レベルベースでファイルへのアクセス制御を行う
ことにより、ファイルやプログラムの性質に基づく基準
によってファイルへのアクセス制御を行うことが可能と
なる。このため、ユーザベースのアクセス制御ではアク
セス権の設定が複雑になるようなケースにおいても、容
易なアクセス権の設定によるファイルへのアクセス制御
が可能となる。
セス権レベルベースでファイルへのアクセス制御を行う
ことにより、ファイルやプログラムの性質に基づく基準
によってファイルへのアクセス制御を行うことが可能と
なる。このため、ユーザベースのアクセス制御ではアク
セス権の設定が複雑になるようなケースにおいても、容
易なアクセス権の設定によるファイルへのアクセス制御
が可能となる。
【0012】より具体的には、たとえば、ファイルとし
て情報を管理し、プログラムをプロセスとして実行する
機能を有する情報処理装置において、各ファイルに対し
て登録された、当該ファイルへのアクセスに必要とされ
るアクセス権の強さを表すアクセス権レベルと、各プロ
グラムに対して登録された、当該プログラムのアクセス
権の強さを表すアクセス権レベルとを参照して、前記各
プロセスの前記各ファイルへのアクセスを制御するアク
セス制御手段を設ける。そして、前記アクセス制御手段
に、任意のプロセスが任意のファイルにアクセスする場
合、当該プロセスに対応するプログラムに対して登録さ
れているアクセス権レベルが表すアクセス権の強さが、
当該ファイルに対して登録されているアクセス権レベル
が表すアクセス権の強さより弱いならば、当該プロセス
の当該ファイルへのアクセスを拒絶させる。
て情報を管理し、プログラムをプロセスとして実行する
機能を有する情報処理装置において、各ファイルに対し
て登録された、当該ファイルへのアクセスに必要とされ
るアクセス権の強さを表すアクセス権レベルと、各プロ
グラムに対して登録された、当該プログラムのアクセス
権の強さを表すアクセス権レベルとを参照して、前記各
プロセスの前記各ファイルへのアクセスを制御するアク
セス制御手段を設ける。そして、前記アクセス制御手段
に、任意のプロセスが任意のファイルにアクセスする場
合、当該プロセスに対応するプログラムに対して登録さ
れているアクセス権レベルが表すアクセス権の強さが、
当該ファイルに対して登録されているアクセス権レベル
が表すアクセス権の強さより弱いならば、当該プロセス
の当該ファイルへのアクセスを拒絶させる。
【0013】このような情報処理装置によれば、たとえ
ば、ファイルの重要度が高くなるにつれてファイルへの
アクセスを許可するプログラムを限定しいく場合であっ
ても、各ファイルにその重要度を表すアクセス権レベル
を付与し、各プログラムに対してそのプログラムがアク
セスを許可されるファイルの最も高い重要度を表すアク
セス権レベルを付与するだけでよい。したがって、その
アクセス権の設定を容易に、かつ、直感的に行うことが
できる。
ば、ファイルの重要度が高くなるにつれてファイルへの
アクセスを許可するプログラムを限定しいく場合であっ
ても、各ファイルにその重要度を表すアクセス権レベル
を付与し、各プログラムに対してそのプログラムがアク
セスを許可されるファイルの最も高い重要度を表すアク
セス権レベルを付与するだけでよい。したがって、その
アクセス権の設定を容易に、かつ、直感的に行うことが
できる。
【0014】
【発明の実施の形態】以下、本発明の実施の一実施形態
について説明する。
について説明する。
【0015】図1に、本発明の一実施形態が適用された
情報処理装置の機能構成を示す。
情報処理装置の機能構成を示す。
【0016】図中、情報処理装置101において、アプ
リケーションプログラムなどの上位プログラムプロセス
102は、アクセス制御プログラムプロセス105、お
よび、ファイルシステムやプロセス制御システムなどを
含むオペレーティングシステム106を介して、情報フ
ァイル107やプログラムファイル109にアクセスす
る。ここで、上位プログラムプロセス102は、後述す
るように、プログラムファイル109に格納されている
プログラムの実行の開始・終了によって起動・終了され
るプロセスである。また、起動検知プログラムプロセス
103は、このような上位プログラムプロセス102の
起動や終了をアクセス制御プログラムプロセス105に
通知する。ここで、アクセス制御プログラムプロセス1
05と起動検知プログラムプロセス103は、たとえ
ば、オペレーティングシステム106の拡張機能として
用意される。
リケーションプログラムなどの上位プログラムプロセス
102は、アクセス制御プログラムプロセス105、お
よび、ファイルシステムやプロセス制御システムなどを
含むオペレーティングシステム106を介して、情報フ
ァイル107やプログラムファイル109にアクセスす
る。ここで、上位プログラムプロセス102は、後述す
るように、プログラムファイル109に格納されている
プログラムの実行の開始・終了によって起動・終了され
るプロセスである。また、起動検知プログラムプロセス
103は、このような上位プログラムプロセス102の
起動や終了をアクセス制御プログラムプロセス105に
通知する。ここで、アクセス制御プログラムプロセス1
05と起動検知プログラムプロセス103は、たとえ
ば、オペレーティングシステム106の拡張機能として
用意される。
【0017】次に、ファイル属性情報108は、情報フ
ァイル107に関する属性情報であり、同様に、プログ
ラム属性情報110は、プログラムファイル109に関
する属性情報である。そして、プロセス管理テーブル1
04は、実行中の上位プログラムプロセス102に関す
る属性情報である。
ァイル107に関する属性情報であり、同様に、プログ
ラム属性情報110は、プログラムファイル109に関
する属性情報である。そして、プロセス管理テーブル1
04は、実行中の上位プログラムプロセス102に関す
る属性情報である。
【0018】ここで、情報処理装置101は、実際に
は、図2に示すような、たとえば、CPU901や、主
記憶902や、ハードディスクなどの固定型の記憶媒体
を用いる外部記憶装置903aや、CD-ROMなどの
可搬型の記憶媒体907を用いる外部記憶装置903b
や、ネットワークを介した通信を制御する通信制御装置
904と、キーボードやポインティングデバイスなどの
入力装置905と、表示装置などの出力装置906とを
備えた、一般的な構成を有する電子計算機上に構築する
ことができる。
は、図2に示すような、たとえば、CPU901や、主
記憶902や、ハードディスクなどの固定型の記憶媒体
を用いる外部記憶装置903aや、CD-ROMなどの
可搬型の記憶媒体907を用いる外部記憶装置903b
や、ネットワークを介した通信を制御する通信制御装置
904と、キーボードやポインティングデバイスなどの
入力装置905と、表示装置などの出力装置906とを
備えた、一般的な構成を有する電子計算機上に構築する
ことができる。
【0019】この場合、オペレーティングシステム10
6や、アクセス制御プログラムプロセス105や、起動
検知プログラムプロセス103は、たとえば、CPU9
01が主記憶902にロードされたプログラムを実行す
ることにより電子計算機上に具現化されるプロセスとし
て実現される。ここで、これらのプログラムは、予め、
外部記憶装置903aに記憶され、必要に応じて主記憶
902にロードされて、CPU901によって実行され
る。なお、アクセス制御プログラムプロセス105や起
動検知プログラムプロセス103に対応するプログラム
は、可搬型の記憶媒体907に記憶され、外部記憶装置
903bを介して、直接、必要に応じて、可搬型の記憶
媒体907から主記憶902にロードされ、CPU90
1によって実行されてもよいし、もしくは、通信媒体を
介して受信され、記憶媒体903aに記憶された後、必
要に応じて、主記憶902にロードされて、CPU90
1によって実行されてもよい。
6や、アクセス制御プログラムプロセス105や、起動
検知プログラムプロセス103は、たとえば、CPU9
01が主記憶902にロードされたプログラムを実行す
ることにより電子計算機上に具現化されるプロセスとし
て実現される。ここで、これらのプログラムは、予め、
外部記憶装置903aに記憶され、必要に応じて主記憶
902にロードされて、CPU901によって実行され
る。なお、アクセス制御プログラムプロセス105や起
動検知プログラムプロセス103に対応するプログラム
は、可搬型の記憶媒体907に記憶され、外部記憶装置
903bを介して、直接、必要に応じて、可搬型の記憶
媒体907から主記憶902にロードされ、CPU90
1によって実行されてもよいし、もしくは、通信媒体を
介して受信され、記憶媒体903aに記憶された後、必
要に応じて、主記憶902にロードされて、CPU90
1によって実行されてもよい。
【0020】一方、情報ファイル107やプログラムフ
ァイル109やファイル属性情報108やプログラム属
性情報110は、たとえば、外部記憶装置903aに記
憶される。そして、情報ファイル107やファイル属性
情報108やプログラム属性情報110は、適宜、主記
憶902に読み出されて、アクセス制御プログラムプロ
セス105や上位プログラムプロセス102によって利
用される。また、上位プログラムプロセス102は、プ
ログラムファイル109が主記憶902にロードされ、
CPU901によって実行されることにより実現され
る。また、プロセス管理テーブル104は、起動検知プ
ログラムプロセス103が、たとえば、主記憶902上
に作成して、アクセス制御プログラムプロセス105と
共に利用する。
ァイル109やファイル属性情報108やプログラム属
性情報110は、たとえば、外部記憶装置903aに記
憶される。そして、情報ファイル107やファイル属性
情報108やプログラム属性情報110は、適宜、主記
憶902に読み出されて、アクセス制御プログラムプロ
セス105や上位プログラムプロセス102によって利
用される。また、上位プログラムプロセス102は、プ
ログラムファイル109が主記憶902にロードされ、
CPU901によって実行されることにより実現され
る。また、プロセス管理テーブル104は、起動検知プ
ログラムプロセス103が、たとえば、主記憶902上
に作成して、アクセス制御プログラムプロセス105と
共に利用する。
【0021】次に、図3に、ファイル属性情報108の
内容を示す。
内容を示す。
【0022】図示するように、ファイル属性情報108
は、保護対象とする情報ファイルへのパス名201とラ
ベル202とを含んで構成される。ディレクトリ下にあ
る全ての情報ファイル107を保護対象とする場合は、
パス名201の終端を、ディレクトリを表す記号(例え
ば“/”や“¥”)で表記する。
は、保護対象とする情報ファイルへのパス名201とラ
ベル202とを含んで構成される。ディレクトリ下にあ
る全ての情報ファイル107を保護対象とする場合は、
パス名201の終端を、ディレクトリを表す記号(例え
ば“/”や“¥”)で表記する。
【0023】ラベル202は、パス名201によって特
定される情報ファイル107のセキュリティ属性であ
り、情報ファイル107のアクセス権カテゴリとなる文
字列、および、情報ファイル107のアクセス権レベル
を表す数値の少なくとも1つで構成される。なお、情報
ファイル107のアクセス権カテゴリとなる文字列およ
び情報ファイル107のアクセス権レベルを表す数値の
両方を含む場合は、両者を区切り記号(例えばハイフン
“−”)で区切って表記している。ただし、特に保護を
必要としないファイルやディレクトリであれば、ラベル
202を設定しなくてよい。
定される情報ファイル107のセキュリティ属性であ
り、情報ファイル107のアクセス権カテゴリとなる文
字列、および、情報ファイル107のアクセス権レベル
を表す数値の少なくとも1つで構成される。なお、情報
ファイル107のアクセス権カテゴリとなる文字列およ
び情報ファイル107のアクセス権レベルを表す数値の
両方を含む場合は、両者を区切り記号(例えばハイフン
“−”)で区切って表記している。ただし、特に保護を
必要としないファイルやディレクトリであれば、ラベル
202を設定しなくてよい。
【0024】次に、図4に、プログラム属性情報110
の内容を示す。
の内容を示す。
【0025】図示するように、プログラム属性情報11
0は、プログラムファイル109のパス名301、特徴
値302およびラベル303を含んで構成される。
0は、プログラムファイル109のパス名301、特徴
値302およびラベル303を含んで構成される。
【0026】特徴値302は、パス名301によって特
定されるプログラムファイル109のファイルサイズや
ハッシュ値などの特徴を表した数値である。ラベル30
3は、パス名301によって特定されるプログラムファ
イル109のセキュリティ属性であり、プログラムファ
イル109のアクセス権カテゴリを示す文字列、およ
び、プログラムファイル109がアクセス可能な情報フ
ァイル107のアクセス権レベルを表す数値の少なくと
も1つで構成される。なお、プログラムファイル109
のアクセス権カテゴリとなる文字列およびプログラムフ
ァイル109のアクセス権レベルを表す数値の両方を含
む場合は、両者を区切り記号(例えばハイフン“−”)
で区切って表記している。ただし、特にアクセス制御を
必要としないプログラムであれば、ラベル303を設定
しなくてよい。
定されるプログラムファイル109のファイルサイズや
ハッシュ値などの特徴を表した数値である。ラベル30
3は、パス名301によって特定されるプログラムファ
イル109のセキュリティ属性であり、プログラムファ
イル109のアクセス権カテゴリを示す文字列、およ
び、プログラムファイル109がアクセス可能な情報フ
ァイル107のアクセス権レベルを表す数値の少なくと
も1つで構成される。なお、プログラムファイル109
のアクセス権カテゴリとなる文字列およびプログラムフ
ァイル109のアクセス権レベルを表す数値の両方を含
む場合は、両者を区切り記号(例えばハイフン“−”)
で区切って表記している。ただし、特にアクセス制御を
必要としないプログラムであれば、ラベル303を設定
しなくてよい。
【0027】ここで、ファイル属性情報108とプログ
ラム属性情報110は、情報処理装置101の所有者あ
るいは管理者に相当するユーザが適宜設定するものであ
り、これらは、他のユーザに対しては読み取り専用とす
る。
ラム属性情報110は、情報処理装置101の所有者あ
るいは管理者に相当するユーザが適宜設定するものであ
り、これらは、他のユーザに対しては読み取り専用とす
る。
【0028】以下、このような情報処理装置101にお
けるアクセス制御の動作について説明する。
けるアクセス制御の動作について説明する。
【0029】まず、起動検知プログラムプロセス103
およびアクセス制御プログラムプロセス105は、上位
プログラムプロセス102に対応するプログラムファイ
ル109がロードされ実行されるのに先だって、たとえ
ばオペレーティングシステム106と共に起動される。
およびアクセス制御プログラムプロセス105は、上位
プログラムプロセス102に対応するプログラムファイ
ル109がロードされ実行されるのに先だって、たとえ
ばオペレーティングシステム106と共に起動される。
【0030】そして、起動された起動検知プログラムプ
ロセス103は、図5に示す処理手順を実行する。
ロセス103は、図5に示す処理手順を実行する。
【0031】すなわち、オペレーティングシステム10
6に対して、プログラムファイル109によって実現さ
れる上位プログラムプロセス102の起動要求および終
了要求のイベントが発生するのを監視する(ステップ5
01)。いずれかのイベントが発生した場合には、オペ
レーティングシステム106の当該プログラムファイル
109の起動もしくは終了の処理を中断させ(ステップ
502)、それから、ステップ503へ処理を移行す
る。
6に対して、プログラムファイル109によって実現さ
れる上位プログラムプロセス102の起動要求および終
了要求のイベントが発生するのを監視する(ステップ5
01)。いずれかのイベントが発生した場合には、オペ
レーティングシステム106の当該プログラムファイル
109の起動もしくは終了の処理を中断させ(ステップ
502)、それから、ステップ503へ処理を移行す
る。
【0032】そして、ステップ503では、発生したイ
ベントがプログラムファイル109によって実現される
上位プログラムプロセス102の起動要求か、あるい
は、プログラムファイル109によって実現される上位
プログラムプロセス102の終了要求かを判別する。起
動要求であれば、当該プログラムファイル109のプロ
グラム属性情報110を参照することで、起動要求され
たプログラムファイル109にラベル303が付与され
ているか否かを判別する(ステップ504)。
ベントがプログラムファイル109によって実現される
上位プログラムプロセス102の起動要求か、あるい
は、プログラムファイル109によって実現される上位
プログラムプロセス102の終了要求かを判別する。起
動要求であれば、当該プログラムファイル109のプロ
グラム属性情報110を参照することで、起動要求され
たプログラムファイル109にラベル303が付与され
ているか否かを判別する(ステップ504)。
【0033】ラベル303が付与されている場合は、当
該プログラムファイル109の特徴値を求め、当該プロ
グラムファイル109のプログラム属性情報110の特
徴値302と照合する(ステップ505)。両者が一致
すれば正しいプログラムであると判断し、当該プログラ
ムファイル109によって実現される上位プログラムプ
ロセス102に、オペレーティングシステム106によ
って割り当てられたプロセスIDと当該プログラムファ
イル109のプログラム属性情報110のラベル303
とを、プロセス管理テーブル104に登録する(ステッ
プ506)。それから、先に中断しておいた、プログラ
ムファイル109によって実現される上位プログラムプ
ロセス102の起動処理をオペレーティングシステム1
06に再開させて(ステップ510)、ステップ501
の監視状態に戻る。
該プログラムファイル109の特徴値を求め、当該プロ
グラムファイル109のプログラム属性情報110の特
徴値302と照合する(ステップ505)。両者が一致
すれば正しいプログラムであると判断し、当該プログラ
ムファイル109によって実現される上位プログラムプ
ロセス102に、オペレーティングシステム106によ
って割り当てられたプロセスIDと当該プログラムファ
イル109のプログラム属性情報110のラベル303
とを、プロセス管理テーブル104に登録する(ステッ
プ506)。それから、先に中断しておいた、プログラ
ムファイル109によって実現される上位プログラムプ
ロセス102の起動処理をオペレーティングシステム1
06に再開させて(ステップ510)、ステップ501
の監視状態に戻る。
【0034】一方、ステップ505において、特徴値が
一致しなかった場合、プログラムファイル109が不正
に差替えられた可能性があるとみなし、オペレーティン
グシステム106に、プログラムファイル109によっ
て実現される上位プログラムプロセス102の起動をと
り止めさせて(ステップ507)、ステップ501の監
視状態へ戻る。
一致しなかった場合、プログラムファイル109が不正
に差替えられた可能性があるとみなし、オペレーティン
グシステム106に、プログラムファイル109によっ
て実現される上位プログラムプロセス102の起動をと
り止めさせて(ステップ507)、ステップ501の監
視状態へ戻る。
【0035】一方、先のステップ504にてラベル30
3が付与されていないと判断した場合、先に中断してお
いた、プログラムファイル109によって実現される上
位プログラムプロセス102の起動処理をオペレーティ
ングシステム106に再開させて(ステップ510)、
ステップ501の監視状態に戻る。
3が付与されていないと判断した場合、先に中断してお
いた、プログラムファイル109によって実現される上
位プログラムプロセス102の起動処理をオペレーティ
ングシステム106に再開させて(ステップ510)、
ステップ501の監視状態に戻る。
【0036】さて、ステップ503において、発生した
イベントがプログラムファイル109によって実現され
る上位プログラムプロセス102の終了要求であると判
別した場合、当該プロセス102のプロセスIDがプロ
セス管理テーブル104に登録されているか否かを判別
する(ステップ508)。登録されている場合は、プロ
セス管理テーブル104からこのプロセス102のプロ
セスIDとラベル303を削除し(ステップ509)、
それから、先に中断しておいた、当該プロセス102の
終了処理をオペレーティングシステム106に再開させ
て(ステップ510)、ステップ501に戻る。一方、
登録されていない場合は、そのままステップ510を処
理を実行し、先に中断しておいた、当該プロセス102
の終了処理をオペレーティングシステム106に再開さ
せて、ステップ501に戻る。
イベントがプログラムファイル109によって実現され
る上位プログラムプロセス102の終了要求であると判
別した場合、当該プロセス102のプロセスIDがプロ
セス管理テーブル104に登録されているか否かを判別
する(ステップ508)。登録されている場合は、プロ
セス管理テーブル104からこのプロセス102のプロ
セスIDとラベル303を削除し(ステップ509)、
それから、先に中断しておいた、当該プロセス102の
終了処理をオペレーティングシステム106に再開させ
て(ステップ510)、ステップ501に戻る。一方、
登録されていない場合は、そのままステップ510を処
理を実行し、先に中断しておいた、当該プロセス102
の終了処理をオペレーティングシステム106に再開さ
せて、ステップ501に戻る。
【0037】ここで、このように起動されたプログラム
ファイル109によって実現される上位プログラムプロ
セス102のプロセスIDとラベル303を登録するプ
ロセス管理テーブル104は、たとえば、図6に示す構
造としてよい。
ファイル109によって実現される上位プログラムプロ
セス102のプロセスIDとラベル303を登録するプ
ロセス管理テーブル104は、たとえば、図6に示す構
造としてよい。
【0038】プロセス管理テーブル104は、現在実行
中の上位プログラムプロセス102に関するプロセスI
D401とラベル402(当該プロセス102に対応す
るプログラムファイル109のラベル303に相当)を
格納した構造体データの集合である。1個の構造体に
は、1件の上位プログラムプロセス102の情報が記憶
されている。起動検知プログラム103は、これら構造
体を先頭アドレス400と次の構造体へのポインタ40
3によりリストとして管理する。
中の上位プログラムプロセス102に関するプロセスI
D401とラベル402(当該プロセス102に対応す
るプログラムファイル109のラベル303に相当)を
格納した構造体データの集合である。1個の構造体に
は、1件の上位プログラムプロセス102の情報が記憶
されている。起動検知プログラム103は、これら構造
体を先頭アドレス400と次の構造体へのポインタ40
3によりリストとして管理する。
【0039】一方、起動されたアクセス制御プログラム
プロセス105は、図7に示す処理手順を実行する。
プロセス105は、図7に示す処理手順を実行する。
【0040】すなわち、まず、上位プログラムプロセス
102からオペレーティングシステム106へ、情報フ
ァイル107に対するファイルアクセスが発行されるの
を待つ(ステップ601)。ここで、上位プログラムプ
ロセス102からオペレーティングシステム106へ発
行された、情報ファイル107に対するファイルアクセ
スは、アクセス制御プログラムプロセス105を経由し
てオペレーティングシステム106に渡される。
102からオペレーティングシステム106へ、情報フ
ァイル107に対するファイルアクセスが発行されるの
を待つ(ステップ601)。ここで、上位プログラムプ
ロセス102からオペレーティングシステム106へ発
行された、情報ファイル107に対するファイルアクセ
スは、アクセス制御プログラムプロセス105を経由し
てオペレーティングシステム106に渡される。
【0041】さて、アクセス制御プログラムプロセス1
05は、上位プログラムプロセス102からオペレーテ
ィングシステム106へ、情報ファイル107に対する
ファイルアクセスが発行されたならば、ファイル属性情
報108を参照し、当該情報ファイル107にラベル2
02が付与されているか否かを判別する(ステップ60
2)。当該情報ファイル107にラベル202が付与さ
れていなければ、オペレーティングシステム106にフ
ァイルアクセスを引き渡し(ステップ604)、その処
理を実行させ、それから、ステップ601のファイルア
クセス発行の待機状態に戻る。一方、当該情報ファイル
107にラベル202が付与されている場合は、プロセ
ス管理テーブル104を参照し、当該ファイルアクセス
の発行元の上位プログラムプロセス102が、その情報
ファイル107に対するアクセス権を有しているか否か
を判定する(ステップ603)。
05は、上位プログラムプロセス102からオペレーテ
ィングシステム106へ、情報ファイル107に対する
ファイルアクセスが発行されたならば、ファイル属性情
報108を参照し、当該情報ファイル107にラベル2
02が付与されているか否かを判別する(ステップ60
2)。当該情報ファイル107にラベル202が付与さ
れていなければ、オペレーティングシステム106にフ
ァイルアクセスを引き渡し(ステップ604)、その処
理を実行させ、それから、ステップ601のファイルア
クセス発行の待機状態に戻る。一方、当該情報ファイル
107にラベル202が付与されている場合は、プロセ
ス管理テーブル104を参照し、当該ファイルアクセス
の発行元の上位プログラムプロセス102が、その情報
ファイル107に対するアクセス権を有しているか否か
を判定する(ステップ603)。
【0042】ここで、このアクセス権の判定は次のよう
に行う。
に行う。
【0043】すなわち、ファイルアクセスを発行した上
位プログラムプロセス102のプロセス管理テーブル1
04に登録されたラベル402のうち、アクセス権範囲
となる文字列をPn、アクセス権レベルを表す数値をP
lとし、ファイルアクセス対象の情報ファイル107の
ファイル属性情報108に登録されているラベル202
のうち、アクセス権範囲となる文字列をFn、アクセス
権レベルを表す数値をFlとしたとき、次の論理式、 ((Pn=Fn)・(Pl≧Fl))∨(Fn=NUL
L) が真の場合に限り、上位プログラムプロセス102が情
報ファイル107へのアクセス権を有しているとする。
位プログラムプロセス102のプロセス管理テーブル1
04に登録されたラベル402のうち、アクセス権範囲
となる文字列をPn、アクセス権レベルを表す数値をP
lとし、ファイルアクセス対象の情報ファイル107の
ファイル属性情報108に登録されているラベル202
のうち、アクセス権範囲となる文字列をFn、アクセス
権レベルを表す数値をFlとしたとき、次の論理式、 ((Pn=Fn)・(Pl≧Fl))∨(Fn=NUL
L) が真の場合に限り、上位プログラムプロセス102が情
報ファイル107へのアクセス権を有しているとする。
【0044】なお、上述の論理式において、記号“・”
は論理積を、“∨”は論理和を表し、NULLは文字列
がないことを表す。
は論理積を、“∨”は論理和を表し、NULLは文字列
がないことを表す。
【0045】ただし、上述の論理式は、以下のように修
正してもよい。
正してもよい。
【0046】((Pn=Fn)・((Pl≧Fl)∨
(Fl=NULL))) ∨(Fn=NULL) あるいは、 ((Pn=Fn)∨(Fn=NULL))・(Pl≧F
l) さて、アクセス制御プログラムプロセス105は、ファ
イルアクセスの発行元の上位プログラムプロセス102
が、その情報ファイル107に対するアクセス権を有し
ている場合には、オペレーティングシステム106へフ
ァイルアクセスを引き渡し(ステップ604)、その処
理を実行させ、それから、ステップ601のファイルア
クセス発行の待機状態に戻る。ただし、オペレーティン
グシステム106にもアクセス制御機能が備わっている
場合は、アクセス制御プログラムプロセス105により
引き渡されたファイルアクセスのうち、オペレーティン
グシステム106のアクセス制御機能により許可された
ファイルアクセスのみが処理されることとなる。
(Fl=NULL))) ∨(Fn=NULL) あるいは、 ((Pn=Fn)∨(Fn=NULL))・(Pl≧F
l) さて、アクセス制御プログラムプロセス105は、ファ
イルアクセスの発行元の上位プログラムプロセス102
が、その情報ファイル107に対するアクセス権を有し
ている場合には、オペレーティングシステム106へフ
ァイルアクセスを引き渡し(ステップ604)、その処
理を実行させ、それから、ステップ601のファイルア
クセス発行の待機状態に戻る。ただし、オペレーティン
グシステム106にもアクセス制御機能が備わっている
場合は、アクセス制御プログラムプロセス105により
引き渡されたファイルアクセスのうち、オペレーティン
グシステム106のアクセス制御機能により許可された
ファイルアクセスのみが処理されることとなる。
【0047】一方、ファイルアクセスの発行元の上位プ
ログラムプロセス102が、その情報ファイル107に
対するアクセス権を有していない場合には、エラーを上
位プログラムプロセス102に返してから(ステップ6
05)、ステップ601のファイルアクセス発行の待機
状態に戻る。
ログラムプロセス102が、その情報ファイル107に
対するアクセス権を有していない場合には、エラーを上
位プログラムプロセス102に返してから(ステップ6
05)、ステップ601のファイルアクセス発行の待機
状態に戻る。
【0048】以上、本発明の一実施形態について説明し
た。
た。
【0049】以上説明してきたように、本実施形態によ
れば、情報ファイルの重要度が高くなるにつれて、ファ
イルにアクセスを許可するプログラムを限定しいく場合
であっても、各情報ファイルにその重要度を表すアクセ
ス権レベルを付与し、そのプログラムのプログラムファ
イル109にそのプログラムにアクセスを許可する情報
ファイルの重要度を表すアクセス権を付与するだけでよ
い。したがって、そのアクセス権の設定を容易、かつ、
直感的に行うことができる。
れば、情報ファイルの重要度が高くなるにつれて、ファ
イルにアクセスを許可するプログラムを限定しいく場合
であっても、各情報ファイルにその重要度を表すアクセ
ス権レベルを付与し、そのプログラムのプログラムファ
イル109にそのプログラムにアクセスを許可する情報
ファイルの重要度を表すアクセス権を付与するだけでよ
い。したがって、そのアクセス権の設定を容易、かつ、
直感的に行うことができる。
【0050】また、このようなアクセス権レベルは、情
報ファイルの群と、その群内のいずれかの情報ファイル
にアクセスが許可されるプログラムファイル109の集
合を表すアクセス権範囲毎に設定することができるの
で、柔軟なアクセス権の設定が可能となる。
報ファイルの群と、その群内のいずれかの情報ファイル
にアクセスが許可されるプログラムファイル109の集
合を表すアクセス権範囲毎に設定することができるの
で、柔軟なアクセス権の設定が可能となる。
【0051】なお、以上の説明では、情報ファイルの読
み取り、書き込み、名称変更、削除、プログラムファイ
ル109の実行などのように、アクセスの種類毎のアク
セス権の設定は行っていないが、このようなアクセスの
種類毎のアクセス権の設定も行うようにしてもかまわな
い。
み取り、書き込み、名称変更、削除、プログラムファイ
ル109の実行などのように、アクセスの種類毎のアク
セス権の設定は行っていないが、このようなアクセスの
種類毎のアクセス権の設定も行うようにしてもかまわな
い。
【0052】また、起動検知プログラムプロセス103
とアクセス制御プログラムプロセス105は、単一のプ
ログラムによるプロセスとしてもよい。または、起動検
知プログラムプロセス103とアクセス制御プログラム
プロセス105は、オペレーティングシステム106の
一部またはオペレーティングシステム106の拡張機能
として備えてもよい。
とアクセス制御プログラムプロセス105は、単一のプ
ログラムによるプロセスとしてもよい。または、起動検
知プログラムプロセス103とアクセス制御プログラム
プロセス105は、オペレーティングシステム106の
一部またはオペレーティングシステム106の拡張機能
として備えてもよい。
【0053】また、以上の説明では、ファイル属性情報
108やプログラム属性情報110を情報ファイル10
7やプログラムファイル109と分けて管理した場合に
ついて示したが、これらは、情報ファイル107やプロ
グラムファイル109の記憶領域に格納して管理しても
よい。オペレーティングシステム106が別途管理して
いるファイルの属性情報が拡張可能なものがある場合に
は、オペレーティングシステムが別途管理しているファ
イルの属性情報の一部として、ファイル属性情報108
やプログラム属性情報110を格納するようにしてもよ
い。
108やプログラム属性情報110を情報ファイル10
7やプログラムファイル109と分けて管理した場合に
ついて示したが、これらは、情報ファイル107やプロ
グラムファイル109の記憶領域に格納して管理しても
よい。オペレーティングシステム106が別途管理して
いるファイルの属性情報が拡張可能なものがある場合に
は、オペレーティングシステムが別途管理しているファ
イルの属性情報の一部として、ファイル属性情報108
やプログラム属性情報110を格納するようにしてもよ
い。
【0054】また、以上の説明では、オペレーティング
システム106とアクセス制御プログラム105が同じ
情報処理装置101上にあるものとして記述している
が、両者は別々の情報処理装置上にあってもよい。
システム106とアクセス制御プログラム105が同じ
情報処理装置101上にあるものとして記述している
が、両者は別々の情報処理装置上にあってもよい。
【0055】また、アクセス権レベルを表す数値は、そ
の数値の大小がアクセス権レベルを表すように付与した
が、必ずしもアクセス権レベルを表す数値を設定する必
要はない。これに限ったものではなく、数値が小さいほ
ど重要であると定義してもよい。
の数値の大小がアクセス権レベルを表すように付与した
が、必ずしもアクセス権レベルを表す数値を設定する必
要はない。これに限ったものではなく、数値が小さいほ
ど重要であると定義してもよい。
【0056】
【発明の効果】以上のように、本発明によれば、ファイ
ルの多様なアクセス制御を容易なアクセス権の設定で実
現することができる。具体的には、たとえば、ファイル
の重要度に応じてファイルにアクセスを許可するプログ
ラムを限定する場合でも、アクセス権の設定が容易に行
えるようになる。
ルの多様なアクセス制御を容易なアクセス権の設定で実
現することができる。具体的には、たとえば、ファイル
の重要度に応じてファイルにアクセスを許可するプログ
ラムを限定する場合でも、アクセス権の設定が容易に行
えるようになる。
【図1】本発明の一実施形態が適用された情報処理装置
の機能構成を示すブロック図である。
の機能構成を示すブロック図である。
【図2】本発明の一実施形態の情報処理装置として利用
可能な電子計算機の構成を示すブロック図である。
可能な電子計算機の構成を示すブロック図である。
【図3】本発明の一実施形態で用いるファイル属性情報
を示す図である。
を示す図である。
【図4】本発明の一実施形態で用いるプログラム属性情
報を示す図である。
報を示す図である。
【図5】本発明の一実施形態で用いる起動検知プログラ
ムプロセスが行う処理手順を示すフロー図である。
ムプロセスが行う処理手順を示すフロー図である。
【図6】本発明の一実施形態で用いるプロセス管理テー
ブルの構造例を示す図である。
ブルの構造例を示す図である。
【図7】本発明の一実施形態で用いるアクセス制御プロ
グラムプロセスの行う処理手順を示すフロー図である。
グラムプロセスの行う処理手順を示すフロー図である。
101…情報処理装置 102…上位プログラムプロセス 103…起動検知プログラムプロセス 104…プロセス管理テーブル 105…アクセス制御プログラムプロセス 106…オペレーティングシステム 107…情報ファイル 108…ファイル属性情報 109…プログラムファイル 110…プログラム属性情報
Claims (5)
- 【請求項1】複数の情報各々をファイルとして管理し、
複数のプログラム各々をプロセスとして実行する機能を
有する情報処理装置であって、 各ファイルに対して登録された、当該ファイルへのアク
セスに必要とされるアクセス権の強さを表すアクセス権
レベルと、各プログラムに対して登録された、当該プロ
グラムのアクセス権の強さを表すアクセス権レベルとを
参照して、前記各プロセスの前記各ファイルへのアクセ
スを制御するアクセス制御手段を有し、前記アクセス制
御手段は、 任意のプロセスが任意のファイルにアクセスする場合、
当該プロセスに対応するプログラムに対して登録されて
いるアクセス権レベルが表すアクセス権の強さが、当該
ファイルに対して登録されているアクセス権レベルが表
すアクセス権の強さより弱いならば、当該プロセスの当
該ファイルへのアクセスを拒絶することを特徴とする情
報処理装置。 - 【請求項2】請求項1記載の情報処理装置であって、 前記アクセス制御手段は、 前記各ファイルおよび前記各プログラムに対して登録さ
れたアクセス権レベルに加えて、前記各ファイルに対し
て登録された、当該ファイルへのアクセスが許可される
プログラムのグループを表すアクセス権範囲と、前記各
プログラムに対して登録された、当該プログラムが属す
るプログラムのグループを表すアクセス権範囲とを参照
して、前記各プロセスの前記各ファイルへのアクセスを
制御するものであり、 任意のプロセスが任意のファイルにアクセスする場合、
当該プロセスに対応するプログラムに対して登録されて
いるアクセス権範囲が表すプログラムのグループと、当
該ファイルに対して登録されているアクセス権範囲が表
すプログラムのグループとが一致しないならば、当該プ
ロセスに対応するプログラムおよび当該ファイルに対し
て登録されているアクセス権レベルにかかわらず、当該
プロセスの当該ファイルへのアクセスを拒絶することを
特徴とする情報処理装置。 - 【請求項3】請求項2記載の情報処理装置であって、 前記アクセス制御手段は、 任意のプロセスが任意のファイルにアクセスする場合、
当該ファイルに対してアクセス権範囲が登録されていな
い場合は、当該プロセスに対応するプログラムに対して
登録されているアクセス権範囲が表すプログラムのグル
ープと、当該ファイルに対して登録されているアクセス
権範囲が表すプログラムのグループとが一致していると
みなして、当該プロセスの当該ファイルへのアクセスを
制御することを特徴とする情報処理装置。 - 【請求項4】請求項1、2または3記載の情報処理装置
であって、 前記アクセス制御手段は、 任意のプロセスが任意のファイルにアクセスする場合、
当該ファイルに対してアクセス権レベルが登録されてい
ない場合は、当該プロセスに対応するプログラムに対し
て登録されているアクセス権レベルが表すアクセス権の
強さが、当該ファイルに対して登録されているアクセス
権レベルが表すアクセス権の強さと同等かもしくは強い
とみなして、当該プロセスの当該ファイルへのアクセス
を制御することを特徴とする情報処理装置。 - 【請求項5】複数の情報各々をファイルとして管理し、
複数のプログラム各々をプロセスとして実行する機能を
有する電子計算機によって読み取られ実行されるプログ
ラムを記憶した記憶媒体であって、 前記プログラムは、前記電子計算機によって読み取られ
実行されることで、 各ファイルに対して登録された、当該ファイルへのアク
セスに必要とされるアクセス権の強さを表すアクセス権
レベルと、各プログラムに対して登録された、当該プロ
グラムのアクセス権の強さを表すアクセス権レベルとを
参照して、各プロセスの各ファイルへのアクセスを制御
するアクセス制御手段を、当該電子計算機上に構築する
ものであり、 前記アクセス制御手段は、 任意のプロセスが任意のファイルにアクセスする場合、
当該プロセスに対応するプログラムに対して登録されて
いるアクセス権レベルが表すアクセス権の強さが、当該
ファイルに対して登録されているアクセス権レベルが表
すアクセス権の強さより弱いならば、当該プロセスの当
該ファイルへのアクセスを拒絶することを特徴とする記
憶媒体。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000173739A JP2001350663A (ja) | 2000-06-09 | 2000-06-09 | 情報処理装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2000173739A JP2001350663A (ja) | 2000-06-09 | 2000-06-09 | 情報処理装置 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2001350663A true JP2001350663A (ja) | 2001-12-21 |
Family
ID=18675914
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2000173739A Pending JP2001350663A (ja) | 2000-06-09 | 2000-06-09 | 情報処理装置 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2001350663A (ja) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2005198212A (ja) * | 2004-01-09 | 2005-07-21 | Sony Corp | データ処理装置、その方法およびそのプログラム |
| JP2006127276A (ja) * | 2004-10-29 | 2006-05-18 | Fuji Xerox Co Ltd | オブジェクト処理方法および装置並びにプログラム、オブジェクト管理方法および装置並びにプログラム |
| US7487366B2 (en) | 2002-07-09 | 2009-02-03 | Fujitsu Limited | Data protection program and data protection method |
| US7673138B2 (en) | 2004-10-28 | 2010-03-02 | Nec Corporation | Method, program, and computer system for switching folder to be accessed based on confidential mode |
| US8656161B2 (en) | 2004-11-30 | 2014-02-18 | Nec Corporation | Information sharing system, information sharing method, group management program and compartment management program |
-
2000
- 2000-06-09 JP JP2000173739A patent/JP2001350663A/ja active Pending
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7487366B2 (en) | 2002-07-09 | 2009-02-03 | Fujitsu Limited | Data protection program and data protection method |
| JP2005198212A (ja) * | 2004-01-09 | 2005-07-21 | Sony Corp | データ処理装置、その方法およびそのプログラム |
| US7673138B2 (en) | 2004-10-28 | 2010-03-02 | Nec Corporation | Method, program, and computer system for switching folder to be accessed based on confidential mode |
| JP2006127276A (ja) * | 2004-10-29 | 2006-05-18 | Fuji Xerox Co Ltd | オブジェクト処理方法および装置並びにプログラム、オブジェクト管理方法および装置並びにプログラム |
| US8656161B2 (en) | 2004-11-30 | 2014-02-18 | Nec Corporation | Information sharing system, information sharing method, group management program and compartment management program |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20180189300A1 (en) | Method and system for providing restricted access to a storage medium | |
| KR101201118B1 (ko) | 바이러스 방지 소프트웨어 어플리케이션들의 지식 베이스를모으는 시스템 및 방법 | |
| US8490093B2 (en) | Managed control of processes including privilege escalation | |
| US8234477B2 (en) | Method and system for providing restricted access to a storage medium | |
| KR101928127B1 (ko) | 애플리케이션용 선택적 파일 액세스 기법 | |
| US8346805B2 (en) | Filter driver for identifying disk files by analysis of content | |
| US20040193606A1 (en) | Policy setting support tool | |
| JPH0388052A (ja) | 機密保護処理方式 | |
| JP2005129066A (ja) | オペレーティングシステムリソース保護 | |
| JP2008507055A (ja) | アンチウィルス迅速化のための安全な記憶域追跡 | |
| JP2011526387A (ja) | コンピューティングプロセスのための最小特権アクセスの付与 | |
| US20070022091A1 (en) | Access based file system directory enumeration | |
| JP6712922B2 (ja) | データ漏洩防止システム及びデータ漏洩防止方法 | |
| KR20090079933A (ko) | 제한된 네임스페이스 환경에서의 역 네임 맵핑을 위한, 자원으로의 액세스를 제한하는 시스템 및 파일 시스템의 구성요소로의 액세스를 제한하는 방법 및 컴퓨터-판독가능 매체 | |
| JP2005276158A (ja) | ストレージシステム、計算機システムまたは記憶領域の属性設定方法 | |
| JP2008305377A (ja) | ネットワーク記憶装置の侵入保護システムおよび方法 | |
| CN106796644B (zh) | 访问控制系统及访问控制方法 | |
| JP4084850B2 (ja) | データ処理システムの安全装置及び安全管理方法 | |
| JP2001350663A (ja) | 情報処理装置 | |
| KR20030090568A (ko) | 단말기 내의 자원 보호 시스템 및 방법 | |
| US9652303B2 (en) | Command line output redirection | |
| JP4342326B2 (ja) | データベース制御装置 | |
| WO2014184688A2 (en) | Accidental shared volume erasure prevention | |
| JP5337675B2 (ja) | 端末管理システム及び方法 | |
| JP7486368B2 (ja) | 情報処理装置、情報処理装置の制御方法、情報処理システム及びプログラム |