JP2004070674A - Data protecting device, data protecting method and program in electronic data interchange system - Google Patents
Data protecting device, data protecting method and program in electronic data interchange system Download PDFInfo
- Publication number
- JP2004070674A JP2004070674A JP2002229347A JP2002229347A JP2004070674A JP 2004070674 A JP2004070674 A JP 2004070674A JP 2002229347 A JP2002229347 A JP 2002229347A JP 2002229347 A JP2002229347 A JP 2002229347A JP 2004070674 A JP2004070674 A JP 2004070674A
- Authority
- JP
- Japan
- Prior art keywords
- access
- user
- security level
- file
- permitted
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
Description
【0001】
【発明の属する技術分野】
この発明は、インターネット上に置かれたサーバシステムによる電子データ交換(Electronic Data Interchange,以下、「EDI」という。)システムにおけるデータ保護装置及びデータ保護方法並びにそれに用いるプログラムに関する。
【0002】
【従来の技術】
近年、インターネットの普及に伴い、企業間での伝票や図面等のデータのやり取りを電子化しようとする動きが急速に拡大しつつある。特にEDIシステムによる関連会社とのやり取りは、従来の郵便等による紙による取引に比較して手間や時間の短縮に効果があり、広く普及しようとしている。
【0003】
ここで、インターネットによるEDIシステムにおいては、インターネットが極めてオープンな環境であることから、データ保護の脆弱さが問題となる。インターネットによるEDIシステムを実現するためには、EDI用のデータをファイアウォールの外に置く必要があるため、ファイアウォールの外でのデータ保護の必要がある。
【0004】
このようなデータ保護の問題に対して、情報の暗号化や、セキュリティ・プロトコル等による方法が提案され、実用化されている。またユーザの権限や所属、もしくはコンテンツファイルの機密性に応じてセキュリティの管理を行う方法が提案され、きめ細やかにデータ保護を行うことができるようになっている。
【0005】
【発明が解決しようとする課題】
しかしながら、上記従来の技術においてはあらかじめ設定したアクセス権によって管理を行っており、セキュリティをかいくぐってなりすましによる不正アクセスが発生した場合に発見できない、もしくは発見しても対応が遅れるという問題点があった。
【0006】
この発明は、上記のような問題点を解決するためになされたものであり、インターネットによるEDIシステムにおいて、不正アクセスを排除し、不正アクセスに対して迅速な対応ができる安全性の高いセキュリティの管理を行うことが可能なデータ保護装置及びデータ保護方法並びにそれに用いるプログラムを提供することを目的とする。
【0007】
【課題を解決するための手段】
本発明に係るデータ保護装置は、インターネット上に置かれたサーバシステムによる電子データ交換システムにおけるデータ保護装置であって、
各ユーザに上記電子データの管理能力に応じて予め付与されたセキュリティ・レベルと各ファイルにその内容に応じて付与されたセキュリティ・レベルとを保持する管理情報保持手段、
各ユーザからのアクセス実績情報を保持するアクセス実績情報保持手段、
上記ユーザのセキュリティ・レベルと上記ファイルのセキュリティ・レベルとを比較するとともに、上記ユーザのセキュリティ・レベル及び上記ユーザからのアクセス実績情報から推定されるアクセスパターンと、上記ファイルへのアクセス要求をしたユーザのアクセスパターンとからアクセス実績に基づくセキュリティ・レベルを算出し、該算出したアクセス実績に基づくセキュリティ・レベルと、アクセス要求をしたファイルのセキュリティ・レベルとを比較することにより、上記アクセス要求をしたユーザが上記アクセス要求をしたファイルへのアクセスが許可されているか否かを判定する判定手段、
該判定手段により、アクセスが許可されていると判定された場合に、要求されたファイルを上記インターネットを介して上記アクセス要求をしたユーザ側のクライアントに送信する送信手段、
を備えるものである。
【0008】
また、上記各ファイルを暗号化及び復号する暗号処理手段と、暗号化したファイルを格納する暗号化コンテンツ格納手段とを備えるものである。
【0009】
また、上記暗号化コンテンツ格納手段及び上記管理情報保持手段の設置場所としてUDF(ユニバーサル ディスク フォーマット)ファイルシステムを用いるものである。
【0010】
また、上記判定手段により、上記アクセス要求をしたユーザのアクセスが許可されていないと判定された場合に、該アクセス要求をしたユーザが登録されたアクセス権を有するか否かを確認するための再認証を行う認証手段を備え、該認証手段において、上記アクセス権を有し、アクセスが許可され得ると判定された場合に、上記送信手段は要求されたファイルを、上記インターネットを介して上記アクセス要求をしたユーザ側のクライアントに送信するものである。
【0011】
また、上記判定手段により、上記アクセス要求をしたユーザのアクセスが許可されていないと判定された場合に、上記サーバシステムを管理する管理者に対して上記判定の結果を通知する通知手段を備えたものである。
【0012】
また、上記管理情報保持手段は記憶装置に設けられ、かつ、該記憶装置の中のファイルシステムから通常アクセスされない領域に設けられているものである。
【0013】
また、上記ファイルシステムから通常アクセスされない領域のセクタアドレスを取得するセクタアドレス取得手段と、該セクタアドレス取得手段により取得されたセクタアドレスを有するセクタに対して上記管理情報保持手段に保持されるべき情報を書き込む書込手段と、該書込手段により書き込まれた情報を読み取る読取手段とを備えるものである。
【0014】
また、上記判定手段は、上記インターネットとは別の通信回線を介して、実行する際にローディングされるものである。
【0015】
本発明に係るデータ保護方法は、インターネット上に置かれたサーバシステムによる電子データ交換システムにおけるデータ保護方法であって、
各ユーザに上記電子データの管理能力に応じて予め付与されたセキュリティ・レベルと、各ファイルにその内容に応じて付与されたセキュリティ・レベルと、上記各ユーザからのアクセス実績情報とを保持し、
ユーザからのインターネットを介したファイルへのアクセス要求を受信する第1ステップ、
アクセス要求したユーザのセキュリティ・レベルと要求されたファイルのセキュリティ・レベルとを比較する第2ステップ、
上記アクセス要求したユーザのセキュリティ・レベルが上記要求されたファイルのセキュリティ・レベルよりも小さい場合は、アクセスは許可されず、上記アクセス要求したユーザのセキュリティ・レベルが上記要求されたファイルのセキュリティ・レベルよりも大きい場合は、アクセス要求したユーザの上記セキュリティ・レベル及びユーザからのアクセス実績情報から推定されるアクセスパターンと、上記ファイルへのアクセス要求をしたユーザのアクセスパターンとからアクセス実績に基づくセキュリティ・レベルを算出する第3ステップ、
該第3ステップにおいて算出したアクセス実績に基づくセキュリティ・レベルと、アクセス要求されたファイルのセキュリティ・レベルとを比較する第4ステップ、
該第4ステップにおける比較の結果に基づいて、上記アクセス要求したユーザが要求したファイルへのアクセスを許可されているか否かを判定する第5ステップ、
該第5ステップにおいて、アクセスが許可されていると判定された場合に、要求されたファイルを、インターネットを介して上記アクセス要求したユーザ側のクライアントに送信する第6ステップ、
を有するものである。
【0016】
また、上記各ファイルを暗号化して上記アクセス要求したユーザ側のクライアントに送信するものである。
【0017】
また、上記暗号化したファイル、上記ユーザのセキュリティ・レベル及び上記ファイルのセキュリティ・レベルをUDF(ユニバーサル ディスク フォーマット)ファイルシステムを用いて格納するものである。
【0018】
また、上記第5ステップにより、上記アクセス要求をしたユーザのアクセスが許可されていないと判定された場合に、該アクセス要求をしたユーザが登録されたアクセス権を有するか否かを確認するための再認証を行う認証手段を備え、該認証手段において、上記アクセス権を有し、アクセスが許可され得ると判定された場合に、上記要求されたファイルを、上記インターネットを介して上記アクセス要求をしたユーザ側のクライアントに送信するものである。
【0019】
また、上記第5ステップにより、上記アクセス要求をしたユーザのアクセスが許可されていないと判定された場合に、上記サーバシステムを管理する管理者に対して上記判定の結果を通知するものである。
【0020】
また、上記ユーザのセキュリティ・レベル及び上記ファイルのセキュリティ・レベルは、記憶装置の中のファイルシステムから通常アクセスされない領域に設けられるものである。
【0021】
また、上記ファイルシステムから通常アクセスされない領域のセクタアドレスを取得し、該取得したセクタアドレスを有するセクタに上記ユーザのセキュリティ・レベル及び上記ファイルのセキュリティ・レベルの情報を書き込み、該書き込まれた情報を読み取るものである。
【0022】
また、上記第1ないし第6ステップを実行する手段は、上記インターネットとは別の通信回線を介して、実行する際にローディングするものである。
【0023】
本発明に係るプログラムは、インターネット上に置かれたサーバシステムによる電子データ交換システムにおけるデータ保護に用いるプログラムであって、コンピュータを、
各ユーザに上記電子データの管理能力に応じて予め付与されたセキュリティ・レベルと各ファイルにその内容に応じて付与されたセキュリティ・レベルとを保持する管理情報保持手段、
各ユーザからのアクセス実績情報を保持するアクセス実績情報保持手段、
上記ユーザのセキュリティ・レベルと上記ファイルのセキュリティ・レベルとを比較するとともに、上記ユーザのセキュリティ・レベル及び上記ユーザからのアクセス実績情報から推定されるアクセスパターンと、上記ファイルへのアクセス要求をしたユーザのアクセスパターンとからアクセス実績に基づくセキュリティ・レベルを算出し、該算出したアクセス実績に基づくセキュリティ・レベルと、アクセス要求をしたファイルのセキュリティ・レベルとを比較することにより、上記アクセス要求をしたユーザが上記アクセス要求をしたファイルへのアクセスを許可されているか否かを判定する判定手段、
該判定手段により、アクセスが許可されていると判定された場合に、要求されたファイルを上記インターネットを介して上記アクセス要求をしたユーザ側のクライアントに送信する送信手段、
として機能させるものである。
【0024】
また、コンピュータを、上記各ファイルを暗号化及び復号する暗号処理手段、暗号化したファイルを格納する暗号化コンテンツ格納手段として機能させるものである。
【0025】
また、上記暗号化コンテンツ格納手段及び上記管理情報保持手段の設置場所としてUDF(ユニバーサル ディスク フォーマット)ファイルシステムを用いるものである。
【0026】
また、コンピュータを、上記判定手段により、上記アクセス要求をしたユーザのアクセスが許可されていないと判定された場合に、該アクセス要求をしたユーザが登録されたアクセス権を有するか否かを確認するための再認証を行う認証手段として機能させ、該認証手段において、上記アクセス権を有し、アクセスが許可され得ると判定された場合に、上記送信手段は要求されたコンテンツを、上記インターネットを介して上記アクセス要求をしたユーザ側のクライアントに送信するものである。
【0027】
また、コンピュータを、上記判定手段により、上記アクセス要求をしたユーザのアクセスが許可されていないと判定された場合に、上記サーバシステムを管理する管理者に対して上記判定の結果を通知する通知手段として機能させるものである。
【0028】
また、上記管理情報保持手段は、ファイルシステムから通常アクセスされない領域に設けられているものである。
【0029】
【発明の実施の形態】
以下、本発明に係るEDIシステムにおけるデータ保護装置及びデータ保護方法並びにそれに用いる記録媒体の実施の形態を図面に基づいて説明する。
【0030】
実施の形態1.
図1は、実施の形態1のEDIシステムにおけるデータ保護装置(以下、単にデータ保護装置という)が実現される環境及びデータ保護装置の構成を示すブロック図である。
【0031】
図1において、1はインターネット、2は社内LAN、3は取引先と交換するデータを保持するコンテンツサーバ、4は例えば取引先に設置されたPC(パソコン)(以下、クライアントという。)、5はファイアウォールであり、社内LAN2は、ファイアウォール5によって情報セキュリティが確保されている。なお、同図に示したクライアント4は一つであるが、クライアント4は複数設置することも可能である。
【0032】
301は平文コンテンツ格納部、302は管理情報格納部(管理情報格納手段)、303はアクセス実績情報格納部(アクセス実績情報格納手段)であり、これらはコンテンツサーバ3に備えられている。401はクライアント4が備えるコンテンツ格納部である。
【0033】
平文コンテンツ格納部301には平文コンテンツファイルが格納され、平文コンテンツファイルへのアクセスはローカルアクセスのみ許可される。管理情報格納部302には、各ユーザのセキュリティ・レベルの管理を行うためのユーザ管理データベース及び各コンテンツファイルのセキュリティ・レベルの管理を行うためのコンテンツ管理データベースが格納される。以下、管理情報格納部302に格納されるコンテンツ管理データベース及びユーザ管理データベースを総称する場合は管理情報という。
【0034】
図2は、ユーザ管理データベースの内容の一例を示す図である。同図に示したように、ユーザ管理データベースには、ユーザ名、グループ名、セキュリティ・レベル、氏名及び所属の情報が含まれる。
【0035】
ユーザ管理データベースに含まれるセキュリティ・レベルとは、各ユーザに対して設定されたセキュリティのレベルを示し、例えば、1から10までの整数で表し、数値が大きいほどセキュリティ・レベルは高い。
【0036】
図3は、コンテンツ管理データベースの内容の一例を示す図である。同図に示したように、コンテンツ管理データベースには、ファイル名、アクセス・グループ、セキュリティ・レベル、ディレクトリの情報が含まれる。
【0037】
コンテンツ管理データベースのアクセス・グループとは、ユーザ管理データベースに含まれるグループに属するユーザのみがファイルにアクセスできる旨を示す情報である。
【0038】
また、コンテンツ管理データベースに含まれるセキュリティ・レベルは、例えば、1から10までの整数で表し、ユーザのセキュリティ・レベルは、例えば、分野、業務内容等から、電子データ管理者等のように能力レベルの高いものには高い数値が設定され、単に文書作成者のような能力レベルの低いものには低い数値が設定され、コンテンツファイルのセキュリティー・レベルは、コンテンツファイルの種類、例えば、参照用のものには低く、変更可能あるいは編集可能なものには高く設定される。そして、ユーザに設定されたセキュリティ・レベルが各コンテンツファイルに設定されたセキュリティ・レベルよりも高い場合に、そのユーザはコンテンツファイルにアクセスできるということを示している。
【0039】
以上、説明したユーザ管理データベース及びコンテンツ管理データベースへの管理情報の登録及び編集等は、コンテンツサーバ3の管理者が、専用のセキュアAPI(アプリケーション プログラミング インターフェイス)を用いた管理ソフトで行う。具体的には、キーボード等の入力手段から入力された管理情報が、コンテンツサーバ3に備えられた専用のセキュアAPIを介して、ユーザ管理データベース及びコンテンツ管理データベースへ格納される。但し、コンテンツ管理データベースへの登録については、コンテンツファイル登録時に、管理者がセキュアAPIを用いた管理ソフトで行う。
【0040】
管理情報を用いて、実際にコンテンツファイルが取り出され、クライアント4側に送信される際の処理内容について、以下に説明する。
【0041】
まず、ユーザがクライアント4にログインする。その後、インターネット1を介して、コンテンツファイルに対してアクセス要求を行うが、当該要求を受けたコンテンツサーバ3は、専用のセキュアAPIを起動させる。より具体的には、クライアント4が、コンテンツサーバ3のFTPデーモンのポート番号を指定した際に、当該指定を認識したコンテンツサーバ3がセキュアAPIを呼ぶ。
【0042】
図4は、セキュアAPIの処理内容を示すフローチャートである。アクセス実績情報格納部303には、各ユーザのアクセス実績に基づくセキュリティ・レベルを算出するためのアクセス実績情報が格納される。以下、アクセス実績情報格納部303に格納される情報をアクセス実績情報という。アクセス実績情報は、ユーザ名、アクセス周期、アクセス頻度と従来の利用曜日、利用時間帯に代表される利用者のアクセスパターンを推定できる情報が含まれる情報とする。ユーザのアクセス実績に基づくセキュリティ・レベルの算出は、ユーザのセキュリティ・レベル及びユーザからのアクセス実績情報から推定されるアクセスパターンと、ファイルへのアクセス要求をしたユーザのアクセスパターンとから算出され、例えば、ファイルへのアクセス要求をしたユーザのアクセスパターンが通常と異なる場合、あるいは短い周期で頻繁にアクセスされる場合等、不審なアクセスに対してセキュリティ・レベルは低く算出される。
【0043】
コンテンツサーバ3側のセキュアAPIは、クライアント4から送信されたユーザ名、要求するコンテンツファイルのファイル名等の情報を取得し(S401)、ユーザ管理データベース及びコンテンツ管理データベースから管理情報を得、ユーザのグループ名とコンテンツファイルのアクセスグループとを比較し、判定する判定手段として機能する(S402)。
【0044】
判定結果、グループ名が一致しなければ、コンテンツファイルにはアクセスできない。
【0045】
判定結果、グループ名が一致していれば、コンテンツサーバ3側のセキュアAPIは、セキュリティ・レベルの比較、判定を行う(S404)。
【0046】
判定結果、ユーザのセキュリティ・レベルがコンテンツファイルのセキュリティ・レベルを下回っていれば、コンテンツファイルへのアクセスは許可されない(S405:No)。
【0047】
判定結果、ユーザのセキュリティ・レベルがコンテンツファイルのセキュリティ・レベル以上(S405:Yes)であれば、コンテンツサーバ3側のセキュアAPIは、ユーザのセキュリティ・レベル及びアクセス実績情報に基づいて算出したセキュリティ・レベルとコンテンツファイルのセキュリティ・レベルとの比較、判定を行う(S406)。
【0048】
判定結果、ユーザのセキュリティ・レベル及びアクセス実績情報に基づいて算出したセキュリティ・レベルがコンテンツファイルのセキュリティ・レベルを下回っている場合(S407:No)は、コンテンツファイルへのアクセスは許可されない。
【0049】
判定結果、ユーザのセキュリティ・レベル及びアクセス実績情報に基づいて算出したセキュリティ・レベルがコンテンツファイルのセキュリティ・レベル以上(S407:Yes)であれば、コンテンツファイルへのアクセスが可能であるので、セキュアAPIはインターネット1を介して、コンテンツサーバ3の平文コンテンツ格納部301に格納されたコンテンツファイルの送信処理を行う(S408)。
【0050】
クライアント4側では、コンテンツファイルを受信すると、受信したコンテンツファイルをコンテンツ格納部401に格納する。格納されたコンテンツファイルは種々のアプリケーションで利用することができる。
【0051】
以上の説明のように、本実施の形態によれば、インターネットを利用したEDIシステムにおいて、ユーザのアクセス実績に基づいて、細かなセキュリティ・レベルを設定したデータ保護を実現することによって、不正アクセスを排除し、安全性の高いセキュリティ管理ができる。
【0052】
なお、本実施の形態においては、管理情報格納部(管理情報格納手段)302、アクセス実績情報格納部(アクセス実績情報格納手段)303及び判定手段・送信手段(セキュアAPI)としてコンピュータを機能させるプログラムが記録媒体に記録され、この記録媒体をコンピュータが読み取ることによって、上記S401〜S408の処理を実行する。
【0053】
実施の形態2.
図5は、実施の形態2のデータ保護装置が実現される環境及びデータ保護装置の構成を示すブロック図であり、図1と同一符号は同一部分または相当部分を示す。
【0054】
本実施の形態は、コンテンツサーバ3に暗号化コンテンツ格納部(暗号化コンテンツ格納手段)304及び暗号処理部(暗号処理手段)305が追加され、クライアント4に暗号処理部402が追加されている。暗号処理部305、402はコンテンツファイルの暗号化及び復号の処理を行う。
【0055】
データ保護装置では、後述のように、種々の処理を専用のセキュアAPIを用いて実現しているが、コンテンツファイルの暗号化処理も専用のセキュアAPIを用いて行う。なお、暗号化の方法については、情報の機密性等に応じて種々の暗号化方法を利用することが可能である。暗号化の方法自体は公知の技術を利用することができる。
【0056】
平文コンテンツ格納部301には、平文コンテンツファイルが格納される。平文コンテンツファイルをファイアウォール5の外に保持することを避けるため、実際には、例えば、コンテンツサーバ3がインターネット1に接続されていない状態で、フレキシブルディスクあるいはCD−ROM等のコンピュータ読出可能な可搬型記録媒体に記録された平文コンテンツファイルを暗号処理部305で暗号化し、平文コンテンツファイル自体はコンテンツサーバ3の中に存在しない状態でインターネット1に接続する。
【0057】
暗号化コンテンツ格納部304には、暗号処理部305で暗号化された平文コンテンツファイルが格納される。暗号化コンテンツ格納部304としては、具体的には、ハードディスク装置、フレキシブルディスク装置等、種々の記憶手段を用いることができる。
【0058】
管理情報格納部302には、各ユーザのセキュリティ・レベルの管理を行うためのユーザ管理データベース及び各コンテンツファイルのセキュリティ・レベルの管理を行うためのコンテンツ管理データベースが格納される。
【0059】
図6は、ユーザ管理データベースの内容の一例を示す図である。同図に示したように、ユーザ管理データベースには、実施の形態1で説明したユーザ名、グループ名、セキュリティ・レベル、氏名及び所属の情報に加えて、共通鍵の情報が含まれる。
【0060】
共通鍵とは、暗号化コンテンツ格納部304から複合された平文コンテンツファイルを、ユーザがインターネット1上に送出するにあたって、この平文コンテンツファイルの再度の暗号化及びこの再度暗号化された平文コンテンツファイルを受信したクライアント4側で複合するのに用いる鍵である。後述のように、この共通鍵は、平文コンテンツ格納部301に格納されている平文コンテンツファイルを、暗号化して暗号化コンテンツ格納部304に格納する際に用いる鍵とは異なるものである。
【0061】
図7は、コンテンツ管理データベースの内容の一例を示す図である。同図に示したように、コンテンツ管理データベースには、実施の形態1で説明したファイル名、アクセス・グループ、セキュリティ・レベル、ディレクトリの情報に加えて、コンテンツ鍵の情報が含まれる。
【0062】
コンテンツ鍵は、コンテンツサーバ3において、平文コンテンツファイルを暗号化コンテンツ格納部304に格納する際の暗号化及び暗号化コンテンツ格納部304からコンテンツファイルを読み出す際の復号に用いる鍵である。前述のように、コンテンツ鍵で複合された平文コンテンツファイルが、共通鍵で再度暗号化されて、インターネット上に送出される。
【0063】
以上、説明したユーザ管理データベース及びコンテンツ管理データベースへの管理情報の登録及び編集等は、コンテンツサーバ3の管理者が、専用のセキュアAPIを用いた管理ソフトで行う。具体的には、キーボード等の入力手段から入力された管理情報が、コンテンツサーバ3に備えられた専用のセキュアAPIを介して、ユーザ管理データベース及びコンテンツ管理データベースへ格納される。但し、コンテンツ管理データベースへの登録については、平文コンテンツファイルの暗号化処理を行った際に、セキュアAPIが自動的に行う。
【0064】
管理情報を用いて、実際に暗号化されたコンテンツファイルが取り出され、クライアント4側に送信される際の処理内容について、以下に説明する。
【0065】
まず、ユーザがクライアント4にログインする。その後、インターネット1を介して、コンテンツファイルに対してアクセス要求を行うが、当該要求を受けたコンテンツサーバ3は、専用のセキュアAPIを起動させる。より具体的には、クライアント4が、コンテンツサーバ3のFTPデーモンのポート番号を指定した際に、当該指定を認識したコンテンツサーバ3がセキュアAPIを呼ぶ。
【0066】
図8は、セキュアAPIの処理内容を示すフローチャートである。S801からS806の処理は実施の形態1のS401からS406と同様であり、説明は省略する。
【0067】
ユーザのセキュリティ・レベル及びアクセス情報に基づくセキュリティ・レベルとコンテンツファイルのセキュリティ・レベルを比較し、ユーザのセキュリティ・レベル及びアクセス実績情報に基づいて算出したセキュリティ・レベルがコンテンツファイルのセキュリティ・レベルを下回っている場合(S807:No)は、コンテンツファイルへのアクセスは許可されない。
【0068】
ユーザのセキュリティ・レベル及びアクセス実績情報に基づいて算出したセキュリティ・レベルがコンテンツファイルのセキュリティ・レベル以上であれば(S807:Yes、コンテンツファイルへのアクセスが可能であるので、コンテンツファイル鍵を用いて暗号化コンテンツファイルの復号処理を行う(S808)。
【0069】
復号処理によって得られた平文コンテンツファイルを圧縮し(S809)、その後、共通鍵を用いて再度暗号化する(S810)。ここで、圧縮した後で暗号化を行うのは、暗号化を先に行うと圧縮できなくなるからである。
【0070】
再度暗号化されたコンテンツファイルは、インターネット1を介してクライアント4に送信される(S811)。
【0071】
次に、暗号化されたコンテンツファイルを受信したクライアント4側における処理内容について説明する。図9は、暗号化されたコンテンツファイルを受信したクライアント4側における処理内容を示すフローチャートである。
【0072】
クライアント4側では、圧縮暗号化コンテンツファイルを受信する(S901)と、共通鍵を用いて複合する(S902)。ここで、先に復号を行うのは、複合された状態でなければ伸長できないからである。
【0073】
圧縮された状態の平文コンテンツファイルを伸長し(S903)、通常の平文コンテンツファイルとした後、クライアント4のコンテンツ格納部402に格納するために、共通鍵を用いて再度暗号化を行う(S904)。
【0074】
暗号化された平文コンテンツファイルをコンテンツ格納部402に格納して(S905)、クライアント4側の処理を終了する。
【0075】
次に、コンテンツ格納部402に格納された暗号化コンテンツファイルを読出して利用する際の処理について説明する。
【0076】
クライアント4側における暗号化コンテンツファイルの利用のために、セキュリティ機能を有するPCカードを使用する。クライアント4側に、PCカードを設置しておき、パスワードを入力することにより暗号化コンテンツファイルが複合され、種々のアプリケーションで利用することが可能になる。なお、PCカードによる復号処理については、公知の技術を用いることができる。
【0077】
以上のように、本実施の形態によれば、インターネットを利用したEDIシステムにおいて、コンテンツファイルの暗号化によって、より強固なデータ保護を実現することができる。
【0078】
なお、本実施の形態においては、暗号化コンテンツ格納部(暗号化コンテンツ格納手段)304及び暗号処理部(暗号処理手段)305としてコンピュータを機能させるプログラムが記録媒体に記録され、この記録媒体をコンピュータが読み取ることによって、上記S801〜S811の処理を実行する。
【0079】
実施の形態3.
図10は、実施の形態3におけるセキュアAPIの処理内容を示すフローチャートである。本実施の形態は、上記実施の形態1の処理に、利用者の再認証を行う認証手段を加えたものである。以下に、その処理内容を説明する。
【0080】
S1001からS1006までの処理は、実施の形態1におけるS401からS406までの処理と同様である。
【0081】
ユーザのセキュリティ・レベル及びアクセス情報に基づくセキュリティ・レベルとコンテンツファイルのセキュリティ・レベルを比較し、ユーザのセキュリティ・レベル及びアクセス実績情報に基づいて算出したセキュリティ・レベルがコンテンツファイルのセキュリティ・レベルを上回っている場合(S1007:Yes)は、コンテンツファイルへのアクセスが可能であるので、セキュアAPIはインターネット1を介してコンテンツファイルの送信処理を行う(S1010)。
【0082】
ユーザのセキュリティ・レベル及びアクセス実績情報に基づいて算出したセキュリティ・レベルがコンテンツファイルのセキュリティ・レベルを下回っている場合(S1007:No)は、ユーザの再認証を行い(S1008)、認証結果を判断する(S1009)。再認証は、ユーザが登録されたアクセス権を有するものであるかどうかを確認するものである。
【0083】
認証結果が良好な場合は、アクセス権を有するユーザ本人と判断してコンテンツファイルへのアクセスが可能となり、セキュアAPIはインターネット1を介してコンテンツファイルの送信処理を行う(S1010)。
【0084】
以上のように、アクセス実績情報に基づく判定手段によりアクセスが許可されなかった場合に、再認証を行う認証手段を加えることによって、アクセス拒否時のユーザへの対応を自動的に行うことができるので、ユーザに対するサーバ側管理者の対応負担を減らすことができる。
【0085】
なお、本実施の形態においては、認証手段としてコンピュータを機能させるプログラムが記録媒体に記録され、この記録媒体をコンピュータが読み取ることによって、上記S1001〜S1010の処理を実行する。
【0086】
実施の形態4.
図11は、実施の形態4におけるセキュアAPIの処理内容を示すフローチャートである。本実施の形態は、上記実施の形態1の処理に、サーバ側管理者への通知手段を加えたものである。以下に、その処理内容を説明する。
【0087】
S1101からS1106までの処理は、実施の形態1におけるS401からS406までの処理と同様である。
【0088】
ユーザのセキュリティ・レベル及びアクセス情報に基づくセキュリティ・レベルとコンテンツファイルのセキュリティ・レベルを比較し、ユーザのセキュリティ・レベル及びアクセス実績情報に基づいて算出したセキュリティ・レベルがコンテンツファイルのセキュリティ・レベルを上回っている場合(S1109:Yes)は、コンテンツファイルへのアクセスが可能であるので、セキュアAPIはインターネット1を介してコンテンツファイルの送信処理を行う(S1110)。
【0089】
ユーザのセキュリティ・レベル及びアクセス実績情報に基づいて算出したセキュリティ・レベルがコンテンツファイルのセキュリティ・レベルを下回っている場合(S1107:No)は、管理者に通知を行い(S1108)、コンテンツファイルへのアクセスは許可されない。
【0090】
以上のように、アクセス実績情報に基づく判定手段によりアクセスが許可されなかった場合に、管理者へ通知する通知手段を加えることによって、アクセス拒否時のユーザへの対応等を管理者の判断によって柔軟に行うことができるので、よりきめ細かい対応が可能となる。
【0091】
なお、本実施の形態においては、サーバ側管理者への通知手段としてコンピュータを機能させるプログラムが記録媒体に記録され、この記録媒体をコンピュータが読み取ることによって、上記S1001〜S1010の処理を実行する。
【0092】
実施の形態5.
図5において、暗号化コンテンツ格納部304、管理情報格納部302及びアクセス実績情報格納部303として、ISO13346で規格化されているUDFファイルシステムを利用することができる。
【0093】
高いレベルのセキュリティ機能やバックアップ機能を有するUDFファイルシステムを利用することによって、EDIシステム全体としてより強固なセキュリティを確保することができる。
【0094】
実施の形態6.
実施の形態1〜5において、セキュアAPIはアクセス実績情報及び管理情報を参照している。通常、これらはDB等のデータ保持手段によって保持されているが、これらを記憶装置の中のOS等が通常使用しない領域に書き込むことによって、アクセス実績情報及び管理情報のより一層のセキュリティを図ることができる。
【0095】
図12は、セキュアAPIがアクセス実績情報及び管理情報を書き込む領域について説明するための図である。同図において、「Hidden Sector」、「未使用領域」として示されている領域(以下、両者を未使用領域という)に、アクセス実績情報及び管理情報は書き込まれる。
【0096】
図13は、本実施の形態において、セキュアAPIがアクセス実績情報及び管理情報を未使用領域に書き込む際の処理内容を示すフローチャートである。
【0097】
セキュアAPIは、まず、未使用領域のセクタアドレスを取得する(S1301)。具体的には、図1に示したアクセス実績情報格納部303及び管理情報格納部302として用いられるハードディスク等の記憶装置において、パーティションテーブルにより管理されているデータ領域、すなわち、通常使用される領域の先頭セクタ(a)及び終了セクタ(b)の情報から、未使用領域(c)及び(d)のセクタアドレスを取得することができる。
【0098】
次に、セキュアAPIは、システムコールを利用して、BIOS(BasicInput/Output System)に含まれるデバイスドライバを呼び出し、アクセス実績情報または管理情報のバイト数、書き込み位置のセクタアドレス等のパラメータとともにアクセス実績情報または管理情報を渡す(S1302)。その結果、デバイスドライバにより未使用領域にデータが書き込まれる(S1303)。なお、未使用領域に書き込まれたアクセス実績情報または管理情報は、書き込み時と同様にセキュアAPIを用いることによって読み出すことができる。
【0099】
以上のように、OSから通常アクセスされない領域にアクセス実績情報及び管理情報を保持することによって、セキュアAPI以外によるアクセス実績情報及び管理情報への不正なアクセスを防止することができ、セキュリティの観点から好ましいものとなる。
【0100】
実施の形態7.
図14は、実施の形態7のEDIシステムにおける保護装置が実現される環境及びデータ保護装置の構成を示すブロック図であり、図1と同一符号は同一部分または相当部分を示す。
【0101】
上記実施の形態1においては、データ保護装置に用いられるセキュアAPIは、アクセス実績情報及び管理情報を有する環境下において実現されるプログラムとしてコンテンツサーバ3上のHDDに格納された。
【0102】
本実施の形態においては、このアクセス実績情報及び管理情報を有する環境下において実現されるプログラムが、インターネット1とは別の通信回線6の先に備えられた他の記録装置、例えば、コンピュータのハードディスクやRAM等の記録媒体によって実現されるプログラム格納部306に置かれる。
【0103】
この場合、コンテンツサーバ3がセキュアAPIを使用したプログラムを実行する際には、通信回線6を経由してセキュアAPIがローディングされ、主メモリ上で実行される。コンテンツサーバ3に対する不正アクセスを受け、プログラムが侵入者によって実行可能となった場合には、通信回線6を遮断するか、プログラム格納部306を停止もしくは記録媒体を排出することによってセキュアAPIを使用不可能とし、アクセス実績情報及び管理情報への不正アクセスを防止する。
【0104】
以上のように、コンテンツサーバ3のHDD以外の場所にセキュアAPIを実現するプログラムを置き、実行する際にインターネット1とは別の通信回線36を介してローディングすることによって、アクセス実績情報及び管理情報への不正アクセスを防止できる。上記実施の形態4のサーバ側管理者への通知手段と併用した場合には、サーバ側管理者は迅速な対応ができ、効果は特に大きくなる。
【0105】
【発明の効果】
本発明に係るデータ保護装置によれば、インターネット上に置かれたサーバシステムによる電子データ交換システムにおけるデータ保護装置であって、
各ユーザに上記電子データの管理能力に応じて予め付与されたセキュリティ・レベルと各ファイルにその内容に応じて付与されたセキュリティ・レベルとを保持する管理情報保持手段、
各ユーザからのアクセス実績情報を保持するアクセス実績情報保持手段、
上記ユーザのセキュリティ・レベルと上記ファイルのセキュリティ・レベルとを比較するとともに、上記ユーザのセキュリティ・レベル及び上記ユーザからのアクセス実績情報から推定されるアクセスパターンと、上記ファイルへのアクセス要求をしたユーザのアクセスパターンとからアクセス実績に基づくセキュリティ・レベルを算出し、該算出したアクセス実績に基づくセキュリティ・レベルと、アクセス要求をしたファイルのセキュリティ・レベルとを比較することにより、上記アクセス要求をしたユーザが上記アクセス要求をしたファイルへのアクセスが許可されているか否かを判定する判定手段、
該判定手段により、アクセスが許可されていると判定された場合に、要求されたファイルを上記インターネットを介して上記アクセス要求をしたユーザ側のクライアントに送信する送信手段、
を備えるものであるので、不正アクセスを排除し、安全性の高いセキュリティ管理ができる。
【0106】
また、上記各ファイルを暗号化及び復号する暗号処理手段と、暗号化したファイルを格納する暗号化コンテンツ格納手段とを備えるものであるので、より強固なセキュリティを確保することができる。
【0107】
また、上記暗号化コンテンツ格納手段及び上記管理情報保持手段の設置場所としてUDF(ユニバーサル ディスク フォーマット)ファイルシステムを用いるものであるので、より強固なセキュリティを確保することができる。
【0108】
また、上記判定手段により、上記アクセス要求をしたユーザのアクセスが許可されていないと判定された場合に、該アクセス要求をしたユーザが登録されたアクセス権を有するか否かを確認するための再認証を行う認証手段を備え、該認証手段において、上記アクセス権を有し、アクセスが許可され得ると判定された場合に、上記送信手段は要求されたファイルを、上記インターネットを介して上記アクセス要求をしたユーザ側のクライアントに送信するものであるので、ユーザのアクセスが許可されていないと判定された場合に、ユーザに対するサーバ側管理者の対応負担を減らすことができる。
【0109】
また、上記判定手段により、上記アクセス要求をしたユーザのアクセスが許可されていないと判定された場合に、上記サーバシステムを管理する管理者に対して上記判定の結果を通知する通知手段を備えたものであるので、アクセス拒否時にユーザ等へのよりきめ細かい対応が可能となる。
【0110】
また、上記管理情報保持手段は記憶装置に設けられ、かつ、該記憶装置の中のファイルシステムから通常アクセスされない領域に設けられているものであるので、アクセス実績情報保持手段及び管理情報保持手段に保持されている情報のより一層のセキュリティを図ることができる。
【0111】
また、上記ファイルシステムから通常アクセスされない領域のセクタアドレスを取得するセクタアドレス取得手段と、該セクタアドレス取得手段により取得されたセクタアドレスを有するセクタに対して上記管理情報保持手段に保持されるべき情報を書き込む書込手段と、該書込手段により書き込まれた情報を読み取る読取手段とを備えるものであるので、ファイルシステムから通常アクセスされない領域への書き込み及び読みだしが容易にできる。
【0112】
また、上記判定手段は、上記インターネットとは別の通信回線を介して、実行する際にローディングされるものであるので、アクセス実績情報保持手段及び及び管理情報保持手段への不正アクセスを防止できる。
【0113】
本発明に係るデータ保護方法は、インターネット上に置かれたサーバシステムによる電子データ交換システムにおけるデータ保護方法であって、
各ユーザに予め付与されたセキュリティ・レベルと、各ファイルに付与されたセキュリティ・レベルと、上記各ユーザからのアクセス実績情報とを保持し、
ユーザからのインターネットを介したファイルへのアクセス要求を受信する第1ステップ、
アクセス要求したユーザのセキュリティ・レベルと要求されたファイルのセキュリティ・レベルとを比較する第2ステップ、
上記アクセス要求したユーザのセキュリティ・レベルが上記要求されたファイルのセキュリティ・レベルよりも小さい場合は、アクセスは許可されず、上記アクセス要求したユーザのセキュリティ・レベルが上記要求されたファイルのセキュリティ・レベルよりも大きい場合は、アクセス要求したユーザの上記セキュリティ・レベル及びアクセス実績情報により該ユーザのアクセス実績に基づくセキュリティ・レベルを算出する第3ステップ、
該第3ステップにおいて算出したアクセス実績に基づくセキュリティ・レベルと、アクセス要求されたファイルのセキュリティ・レベルとを比較する第4ステップ、
該第4ステップにおける比較の結果に基づいて、上記アクセス要求したユーザが要求したファイルへのアクセスを許可されているか否かを判定する第5ステップ、
該第5ステップにおいて、アクセスが許可されていると判定された場合に、要求されたファイルを、インターネットを介して上記アクセス要求したユーザ側のクライアントに送信する第6ステップ、
を有するものであるので、不正アクセスを排除し、安全性の高いセキュリティ管理ができる。
【0114】
また、上記各ファイルを暗号化して上記アクセス要求したユーザ側のクライアントに送信するものであるので、より強固なセキュリティを確保することができる。
【0115】
また、上記暗号化したファイル、上記ユーザのセキュリティ・レベル及び上記ファイルのセキュリティ・レベルをUDFファイルシステムを用いて格納するものであるので、より強固なセキュリティを確保することができる。
【0116】
また、上記第5ステップにより、上記アクセス要求をしたユーザのアクセスが許可されていないと判定された場合に、該アクセス要求をしたユーザの再認証を行う認証手段を備え、該認証手段においてアクセスが許可され得ると判定された場合に、上記要求されたファイルを、上記インターネットを介して上記アクセス要求をしたユーザ側のクライアントに送信するものであるので、ユーザのアクセスが許可されていないと判定された場合に、ユーザに対するサーバ側管理者の対応負担を減らすことができる。
【0117】
また、上記第5ステップにより、上記アクセス要求をしたユーザのアクセスが許可されていないと判定された場合に、上記サーバシステムを管理する管理者に対して上記判定の結果を通知するものであるので、アクセス拒否時にユーザ等へのよりきめ細かい対応が可能となる。
【0118】
また、上記ユーザのセキュリティ・レベル及び上記ファイルのセキュリティ・レベルは、記憶装置の中のファイルシステムから通常アクセスされない領域に設けられるものであるので、アクセス実績情報並びにユーザ及びファイルのセキュリティ・レベル等に関する情報のより一層のセキュリティを図ることができる。
【0119】
また、上記ファイルシステムから通常アクセスされない領域のセクタアドレスを取得し、該取得したセクタアドレスを有するセクタに上記ユーザのセキュリティ・レベル及び上記ファイルのセキュリティ・レベルの情報を書き込み、該書き込まれた情報を読み取るものであるので、ファイルシステムから通常アクセスされない領域への書き込み及び読みだしが容易にできる。
【0120】
また、上記第1乃至第6ステップを実行する手段は、上記インターネットとは別の通信回線を介して、実行する際にローディングするものであるので、アクセス実績情報並びにユーザ及びファイルのセキュリティ・レベル等に関する情報への不正アクセスを防止することができる。
【0121】
本発明に係るプログラムは、インターネット上に置かれたサーバシステムによる電子データ交換システムにおけるデータ保護に用いるプログラムであって、コンピュータを、
各ユーザに上記電子データの管理能力に応じて予め付与されたセキュリティ・レベルと各ファイルにその内容に応じて付与されたセキュリティ・レベルとを保持する管理情報保持手段、
各ユーザからのアクセス実績情報を保持するアクセス実績情報保持手段、
上記ユーザのセキュリティ・レベルと上記ファイルのセキュリティ・レベルとを比較するとともに、上記ユーザのセキュリティ・レベル及び上記ユーザからのアクセス実績情報から推定されるアクセスパターンと、上記ファイルへのアクセス要求をしたユーザのアクセスパターンとからアクセス実績に基づくセキュリティ・レベルを算出し、該算出したアクセス実績に基づくセキュリティ・レベルと、アクセス要求をしたファイルのセキュリティ・レベルとを比較することにより、上記アクセス要求をしたユーザが上記アクセス要求をしたファイルへのアクセスを許可されているか否かを判定する判定手段、
該判定手段により、アクセスが許可されていると判定された場合に、要求されたファイルを上記インターネットを介して上記アクセス要求をしたユーザ側のクライアントに送信する送信手段、
として機能させるものであるので、不正アクセスを排除し、安全性の高いセキュリティ管理ができる。
【0122】
また、コンピュータを、上記各ファイルを暗号化及び復号する暗号処理手段、暗号化したファイルを格納する暗号化コンテンツ格納手段として機能させるものであるので、より強固なセキュリティを確保することができる。
【0123】
また、上記暗号化コンテンツ格納手段及び上記管理情報保持手段の設置場所としてUDFファイルシステムを用いるものであるので、より強固なセキュリティを確保することができる。
【0124】
また、コンピュータを、上記判定手段により、上記アクセス要求をしたユーザのアクセスが許可されていないと判定された場合に、該アクセス要求をしたユーザが登録されたアクセス権を有するか否かを確認するための再認証を行う認証手段として機能させ、該認証手段において、上記アクセス権を有し、アクセスが許可され得ると判定された場合に、上記送信手段は要求されたコンテンツを、上記インターネットを介して上記アクセス要求をしたユーザ側のクライアントに送信するものであるので、ユーザのアクセスが許可されていないと判定された場合に、ユーザに対するサーバ側管理者の対応負担を減らすことができる。
【0125】
また、コンピュータを、上記判定手段により、上記アクセス要求をしたユーザのアクセスが許可されていないと判定された場合に、上記サーバシステムを管理する管理者に対して上記判定の結果を通知する通知手段として機能させるものであるので、アクセス拒否時にユーザ等へのよりきめ細かい対応が可能となる。
【0126】
また、上記管理情報保持手段は、ファイルシステムから通常アクセスされない領域に設けられているものであるので、アクセス実績情報並びにユーザ及びファイルのセキュリティ・レベル等に関する情報のより一層のセキュリティを図ることができる。
【図面の簡単な説明】
【図1】実施の形態1のEDIシステムにおけるデータ保護装置が実現される環境及びデータ保護装置の構成を示すブロック図である。
【図2】ユーザ管理データベースの内容の一例を示す図である。
【図3】コンテンツ管理データベースの内容の一例を示す図である。
【図4】実施の形態1におけるセキュアAPIの処理内容を示すフローチャートである。
【図5】実施の形態2のデータ保護装置が実現される環境及びデータ保護装置の構成を示すブロック図である。
【図6】ユーザ管理データベースの内容の一例を示す図である。
【図7】コンテンツ管理データベースの内容の一例を示す図である。
【図8】実施の形態2のセキュアAPIの処理内容を示すフローチャートである。
【図9】暗号化されたコンテンツファイルを受信したクライアント側における処理内容を示すフローチャートである。
【図10】実施の形態3におけるセキュアAPIの処理内容を示すフローチャートである。
【図11】実施の形態4におけるセキュアAPIの処理内容を示すフローチャートである。
【図12】セキュアAPIがアクセス実績情報及び管理情報を書き込む領域について説明するための図である。
【図13】実施の形態4において、セキュアAPIがアクセス実績情報及び管理情報を未使用領域に書き込む際の処理内容を示すフローチャートである。
【図14】実施の形態7のEDIシステムにおける保護装置が実現される環境及びデータ保護装置の構成を示すブロック図である。
【符号の説明】
1 インターネット、2 社内LAN、3 コンテンツサーバ、
4 クライアント、5 ファイアウォール、301 平文コンテンツ格納部、
302 管理情報格納部、303 アクセス実績情報格納部、
304 暗号化コンテンツ格納部、305,306 プログラム格納部、
402 暗号処理部、401,402 コンテンツ格納部。[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention relates to a data protection device, a data protection method, and a program used in an electronic data exchange (hereinafter referred to as “EDI”) system by a server system placed on the Internet.
[0002]
[Prior art]
2. Description of the Related Art In recent years, with the spread of the Internet, a movement to digitize the exchange of data such as slips and drawings between companies has been rapidly expanding. In particular, exchanges with affiliated companies through the EDI system are effective in reducing labor and time compared to conventional paper transactions by mail or the like, and are about to be widely spread.
[0003]
Here, in the EDI system using the Internet, since the Internet is an extremely open environment, weakness of data protection becomes a problem. In order to realize an EDI system using the Internet, it is necessary to place EDI data outside a firewall, and thus it is necessary to protect data outside the firewall.
[0004]
With respect to such a problem of data protection, a method using information encryption and a security protocol has been proposed and put into practical use. A method of managing security according to the authority and affiliation of a user or the confidentiality of a content file has been proposed, so that data protection can be performed finely.
[0005]
[Problems to be solved by the invention]
However, in the above-mentioned conventional technology, management is performed by an access right set in advance, and there is a problem that if an unauthorized access due to spoofing over security occurs, it cannot be found, or if it is found, the response is delayed. .
[0006]
SUMMARY OF THE INVENTION The present invention has been made to solve the above-described problems. In an EDI system using the Internet, a highly secure security management that eliminates unauthorized access and can quickly respond to unauthorized access. It is an object of the present invention to provide a data protection device and a data protection method capable of performing the above, and a program used therefor.
[0007]
[Means for Solving the Problems]
A data protection device according to the present invention is a data protection device in an electronic data exchange system based on a server system placed on the Internet,
Management information holding means for holding a security level given to each user in advance according to the management capability of the electronic data and a security level given to each file according to the content thereof;
Access result information holding means for holding access result information from each user,
The security level of the user is compared with the security level of the file, the access pattern estimated from the security level of the user and the access result information from the user, and the user who has requested access to the file. The security level based on the access record is calculated from the access pattern of the user, and the security level based on the calculated access record is compared with the security level of the file for which the access request is made. Determining means for determining whether or not access to the file for which the access request has been made is permitted;
Transmitting means for transmitting the requested file to the user-side client having made the access request via the Internet, when it is determined by the determining means that access is permitted;
It is provided with.
[0008]
In addition, the apparatus includes an encryption processing unit that encrypts and decrypts each of the files, and an encrypted content storage unit that stores the encrypted files.
[0009]
Further, a UDF (Universal Disk Format) file system is used as an installation location of the encrypted content storage means and the management information holding means.
[0010]
Further, when the determining means determines that the access of the user who made the access request is not permitted, a request for confirming whether or not the user who made the access request has the registered access right is determined. Authentication means for performing authentication, wherein the authentication means has the access right, and when it is determined that the access can be permitted, the transmission means transmits the requested file to the access request via the Internet. This is transmitted to the client on the user side that performed the above.
[0011]
Further, a notifying means is provided for notifying an administrator managing the server system of the result of the determination when the determining means determines that access of the user who has made the access request is not permitted. Things.
[0012]
The management information holding means is provided in a storage device, and is provided in an area of the storage device which is not normally accessed from a file system.
[0013]
Further, a sector address obtaining means for obtaining a sector address of an area not normally accessed from the file system, and information to be held in the management information holding means for the sector having the sector address obtained by the sector address obtaining means. And writing means for reading information written by the writing means.
[0014]
Further, the determination means is loaded at the time of execution via a communication line different from the Internet.
[0015]
A data protection method according to the present invention is a data protection method in an electronic data exchange system using a server system placed on the Internet,
Holding a security level given to each user in advance according to the management capability of the electronic data, a security level given to each file according to the content thereof, and access record information from each user;
A first step of receiving a request from a user to access a file via the Internet;
A second step of comparing the security level of the requested user with the security level of the requested file;
If the security level of the requested user is lower than the security level of the requested file, access is not permitted and the security level of the requested user is the security level of the requested file. If the file size is larger than the security level, the security level based on the access record is determined from the access level estimated from the security level of the user who made the access request and the access record information from the user and the access pattern of the user who made the access request to the file. The third step of calculating the level,
A fourth step of comparing the security level based on the access results calculated in the third step with the security level of the requested file;
A fifth step of determining whether or not the user who has made the access request is permitted to access the requested file based on the result of the comparison in the fourth step;
In the fifth step, when it is determined that the access is permitted, a sixth step of transmitting the requested file to the client of the user who has requested the access via the Internet,
It has.
[0016]
Further, each of the files is encrypted and transmitted to the client on the side of the user who has made the access request.
[0017]
Also, the encrypted file, the security level of the user, and the security level of the file are stored using a UDF (Universal Disk Format) file system.
[0018]
Further, when it is determined in the fifth step that access of the user who made the access request is not permitted, it is determined whether the user who made the access request has the registered access right. An authentication unit for performing re-authentication, wherein the authentication unit has the access right and, when it is determined that the access is permitted, makes the access request to the requested file via the Internet. This is sent to the client on the user side.
[0019]
If it is determined in the fifth step that access of the user who has made the access request is not permitted, the result of the determination is notified to an administrator who manages the server system.
[0020]
The security level of the user and the security level of the file are provided in an area of the storage device that is not normally accessed from a file system.
[0021]
Further, a sector address of an area that is not normally accessed from the file system is obtained, information of the security level of the user and the security level of the file are written in a sector having the obtained sector address, and the written information is written. What you read.
[0022]
Further, the means for executing the first to sixth steps is a means for loading via a communication line different from the Internet when executing the steps.
[0023]
A program according to the present invention is a program used for data protection in an electronic data exchange system by a server system placed on the Internet,
Management information holding means for holding a security level given to each user in advance according to the management capability of the electronic data and a security level given to each file according to the content thereof;
Access result information holding means for holding access result information from each user,
The security level of the user is compared with the security level of the file, the access pattern estimated from the security level of the user and the access result information from the user, and the user who has requested access to the file. The security level based on the access record is calculated from the access pattern of the user, and the security level based on the calculated access record is compared with the security level of the file for which the access request is made. Determining means for determining whether or not access to the file for which the access request has been made is permitted;
Transmitting means for transmitting the requested file to the user-side client having made the access request via the Internet, when it is determined by the determining means that access is permitted;
Function.
[0024]
Further, the present invention causes the computer to function as encryption processing means for encrypting and decrypting each of the files, and as encrypted content storage means for storing the encrypted files.
[0025]
Further, a UDF (Universal Disk Format) file system is used as an installation location of the encrypted content storage means and the management information holding means.
[0026]
Further, when the determination unit determines that the access of the user who made the access request is not permitted, the computer checks whether the user who made the access request has the registered access right. Functioning as an authentication means for performing re-authentication for the purpose of the present invention, and in the authentication means, when it is determined that the user has the access right and the access can be permitted, the transmission means transmits the requested content via the Internet. Is transmitted to the client on the side of the user who made the access request.
[0027]
A notifying means for notifying an administrator managing the server system of a result of the determination when the determining means determines that access of the user who made the access request is not permitted; Function.
[0028]
Further, the management information holding means is provided in an area which is not normally accessed from the file system.
[0029]
BEST MODE FOR CARRYING OUT THE INVENTION
Hereinafter, an embodiment of a data protection device and a data protection method in an EDI system according to the present invention and a recording medium used for the same will be described with reference to the drawings.
[0030]
Embodiment 1 FIG.
FIG. 1 is a block diagram illustrating an environment in which a data protection device (hereinafter, simply referred to as a data protection device) in the EDI system according to the first embodiment is realized and a configuration of the data protection device.
[0031]
In FIG. 1, 1 is the Internet, 2 is an in-house LAN, 3 is a content server holding data exchanged with a business partner, 4 is a PC (personal computer) (hereinafter, referred to as a client) installed at the business partner, and 5 is a client. This is a firewall, and information security of the in-
[0032]
[0033]
The plaintext
[0034]
FIG. 2 is a diagram illustrating an example of the contents of the user management database. As shown in the figure, the user management database includes information on user names, group names, security levels, names, and affiliations.
[0035]
The security level included in the user management database indicates a security level set for each user, and is represented by, for example, an integer from 1 to 10, and the higher the numerical value, the higher the security level.
[0036]
FIG. 3 is a diagram illustrating an example of the content of the content management database. As shown in the figure, the content management database includes information on file names, access groups, security levels, and directories.
[0037]
The access group of the content management database is information indicating that only a user belonging to a group included in the user management database can access the file.
[0038]
The security level included in the content management database is represented by an integer from 1 to 10, for example. The higher the number, the higher the number, the lower the level, such as the creator of the document, the lower the number.The security level of the content file depends on the type of the content file, for example, for reference. Is set low, and changeable or editable is set high. When the security level set for the user is higher than the security level set for each content file, this indicates that the user can access the content file.
[0039]
The registration and editing of the management information in the user management database and the content management database described above are performed by the administrator of the
[0040]
The processing content when the content file is actually extracted using the management information and transmitted to the client 4 will be described below.
[0041]
First, a user logs in to the client 4. Thereafter, an access request is made to the content file via the Internet 1, and the
[0042]
FIG. 4 is a flowchart showing the processing contents of the secure API. The access record
[0043]
The secure API of the
[0044]
If the group names do not match, the content file cannot be accessed.
[0045]
As a result of the determination, if the group names match, the secure API on the
[0046]
As a result of the determination, if the security level of the user is lower than the security level of the content file, access to the content file is not permitted (S405: No).
[0047]
As a result of the determination, if the security level of the user is equal to or higher than the security level of the content file (S405: Yes), the secure API of the
[0048]
As a result of the determination, if the security level calculated based on the security level of the user and the access record information is lower than the security level of the content file (S407: No), the access to the content file is not permitted.
[0049]
As a result of the determination, if the security level calculated based on the security level of the user and the access record information is equal to or higher than the security level of the content file (S407: Yes), the content file can be accessed. Performs transmission processing of the content file stored in the plaintext
[0050]
Upon receiving the content file, the client 4 stores the received content file in the
[0051]
As described above, according to the present embodiment, in an EDI system using the Internet, by implementing data protection with a fine security level set based on a user's access record, unauthorized access can be prevented. Eliminate it and perform highly secure security management.
[0052]
In the present embodiment, a program that causes a computer to function as a management information storage unit (management information storage unit) 302, an access result information storage unit (access result information storage unit) 303, and a determination unit / transmission unit (secure API) Is recorded on a recording medium, and the computer reads the recording medium to execute the processing of S401 to S408.
[0053]
FIG. 5 is a block diagram showing an environment in which the data protection device according to the second embodiment is realized and a configuration of the data protection device. The same reference numerals as those in FIG. 1 denote the same or corresponding parts.
[0054]
In the present embodiment, an encrypted content storage unit (encrypted content storage unit) 304 and an encryption processing unit (encryption processing unit) 305 are added to the
[0055]
In the data protection device, various processes are realized by using a dedicated secure API as described later, but the content file is also encrypted by using the dedicated secure API. As for the encryption method, various encryption methods can be used according to the confidentiality of the information. A known technique can be used for the encryption method itself.
[0056]
The plaintext
[0057]
The encrypted
[0058]
The management
[0059]
FIG. 6 is a diagram illustrating an example of the contents of the user management database. As shown in the figure, the user management database includes common key information in addition to the user name, group name, security level, name, and affiliation information described in the first embodiment.
[0060]
The common key means that when a user sends a decrypted plaintext content file from the encrypted
[0061]
FIG. 7 is a diagram illustrating an example of the content of the content management database. As shown in the figure, the content management database includes content key information in addition to the file name, access group, security level, and directory information described in the first embodiment.
[0062]
The content key is a key used in the
[0063]
The registration and editing of the management information in the user management database and the content management database described above are performed by the administrator of the
[0064]
The processing content when an encrypted content file is actually extracted using the management information and transmitted to the client 4 will be described below.
[0065]
First, a user logs in to the client 4. Thereafter, an access request is made to the content file via the Internet 1, and the
[0066]
FIG. 8 is a flowchart showing the processing contents of the secure API. The processing from S801 to S806 is the same as that from S401 to S406 in the first embodiment, and a description thereof will be omitted.
[0067]
The security level based on the user's security level and the access information is compared with the security level of the content file, and the security level calculated based on the user's security level and the access result information is lower than the security level of the content file. (S807: No), access to the content file is not permitted.
[0068]
If the security level calculated based on the security level of the user and the access record information is equal to or higher than the security level of the content file (S807: Yes, since the content file can be accessed, the content file key is used. A decryption process of the encrypted content file is performed (S808).
[0069]
The plaintext content file obtained by the decryption process is compressed (S809), and then encrypted again using the common key (S810). Here, the reason why encryption is performed after compression is that compression cannot be performed if encryption is performed first.
[0070]
The encrypted content file is transmitted to the client 4 via the Internet 1 (S811).
[0071]
Next, processing contents on the client 4 side that has received the encrypted content file will be described. FIG. 9 is a flowchart showing the processing contents on the client 4 side which has received the encrypted content file.
[0072]
When the client 4 receives the compressed and encrypted content file (S901), it decrypts it using a common key (S902). Here, the reason why the decoding is performed first is that the data cannot be expanded unless it is in a composite state.
[0073]
After the compressed plaintext content file is decompressed (S903), and converted into a normal plaintext content file, the plaintext content file is encrypted again using the common key in order to store it in the
[0074]
The encrypted plaintext content file is stored in the content storage unit 402 (S905), and the process on the client 4 side ends.
[0075]
Next, a process for reading and using the encrypted content file stored in the
[0076]
In order to use the encrypted content file on the client 4 side, a PC card having a security function is used. By installing a PC card on the client 4 side and inputting a password, the encrypted content file is composited and can be used in various applications. It should be noted that a known technique can be used for the decryption processing using the PC card.
[0077]
As described above, according to the present embodiment, in an EDI system using the Internet, stronger data protection can be realized by encrypting content files.
[0078]
In this embodiment, a program that causes a computer to function as an encrypted content storage unit (encrypted content storage unit) 304 and an encryption processing unit (encryption processing unit) 305 is recorded on a recording medium. Then, the processes of S801 to S811 are executed by reading the data.
[0079]
FIG. 10 is a flowchart showing the processing content of the secure API according to the third embodiment. In the present embodiment, an authentication unit for re-authenticating a user is added to the processing of the first embodiment. Hereinafter, the processing content will be described.
[0080]
The processing from S1001 to S1006 is the same as the processing from S401 to S406 in the first embodiment.
[0081]
The security level based on the user's security level and the access information is compared with the security level of the content file, and the security level calculated based on the user's security level and the access result information exceeds the security level of the content file. If yes (S1007: Yes), since access to the content file is possible, the secure API performs content file transmission processing via the Internet 1 (S1010).
[0082]
If the security level calculated based on the security level of the user and the access record information is lower than the security level of the content file (S1007: No), the user is re-authenticated (S1008) and the authentication result is determined. (S1009). Re-authentication confirms whether the user has the registered access right.
[0083]
If the authentication result is good, it is determined that the user has the access right and the content file can be accessed, and the secure API performs the content file transmission processing via the Internet 1 (S1010).
[0084]
As described above, when access is not permitted by the determination unit based on the access record information, by adding an authentication unit for performing re-authentication, it is possible to automatically respond to the user when access is rejected. In addition, the burden on the user of the server-side administrator can be reduced.
[0085]
In the present embodiment, a program that causes a computer to function as an authentication unit is recorded on a recording medium, and the computer reads the recording medium to execute the processing of S1001 to S1010.
[0086]
Embodiment 4 FIG.
FIG. 11 is a flowchart showing the processing content of the secure API according to the fourth embodiment. In the present embodiment, a process for notifying a server-side administrator is added to the process of the first embodiment. Hereinafter, the processing content will be described.
[0087]
The processing from S1101 to S1106 is the same as the processing from S401 to S406 in the first embodiment.
[0088]
The security level based on the user's security level and the access information is compared with the security level of the content file, and the security level calculated based on the user's security level and the access result information exceeds the security level of the content file. If yes (S1109: Yes), since access to the content file is possible, the secure API performs content file transmission processing via the Internet 1 (S1110).
[0089]
If the security level calculated based on the security level of the user and the access result information is lower than the security level of the content file (S1107: No), the administrator is notified (S1108), and the content file is deleted. No access is allowed.
[0090]
As described above, by adding the notification means for notifying the administrator when the access is not permitted by the determination means based on the access result information, the response to the user when the access is rejected can be flexibly determined by the administrator. Can be performed in a more detailed manner.
[0091]
In the present embodiment, a program that causes a computer to function as a notification unit to the server-side administrator is recorded on a recording medium, and the computer reads the recording medium to execute the above-described processing in S1001 to S1010.
[0092]
In FIG. 5, a UDF file system standardized by ISO 13346 can be used as the encrypted
[0093]
By using a UDF file system having a high-level security function and a backup function, stronger security can be secured for the entire EDI system.
[0094]
Embodiment 6 FIG.
In the first to fifth embodiments, the secure API refers to the access record information and the management information. Normally, these are held by data holding means such as a DB. However, by writing these in an area of the storage device that is not normally used by the OS or the like, further security of the access record information and the management information is to be achieved. Can be.
[0095]
FIG. 12 is a diagram for describing an area where the secure API writes the access record information and the management information. In the figure, the access record information and the management information are written in areas indicated as “Hidden Sector” and “unused area” (both are referred to as unused areas).
[0096]
FIG. 13 is a flowchart showing the processing contents when the secure API writes the access result information and the management information to the unused area in the present embodiment.
[0097]
First, the secure API acquires a sector address of an unused area (S1301). Specifically, in a storage device such as a hard disk used as the access record
[0098]
Next, the secure API calls the device driver included in the BIOS (Basic Input / Output System) using a system call, and accesses the access result information or the number of bytes of the management information and the parameters such as the sector address of the write position and the access result. Information or management information is passed (S1302). As a result, data is written to the unused area by the device driver (S1303). The access record information or management information written in the unused area can be read out by using the secure API as in the writing.
[0099]
As described above, by retaining the access record information and the management information in an area that is not normally accessed from the OS, it is possible to prevent unauthorized access to the access record information and the management information by means other than the secure API, and from the viewpoint of security. It will be preferable.
[0100]
Embodiment 7 FIG.
FIG. 14 is a block diagram showing an environment in which the protection device is realized in the EDI system according to the seventh embodiment and a configuration of the data protection device. The same reference numerals as those in FIG. 1 denote the same or corresponding parts.
[0101]
In the first embodiment, the secure API used for the data protection device is stored in the HDD on the
[0102]
In the present embodiment, a program realized in an environment having the access record information and the management information is stored in another recording device provided at the end of a communication line 6 different from the Internet 1, for example, a hard disk of a computer. And a
[0103]
In this case, when the
[0104]
As described above, by placing the program for realizing the secure API in a place other than the HDD of the
[0105]
【The invention's effect】
According to the data protection device according to the present invention, a data protection device in an electronic data exchange system by a server system placed on the Internet,
Management information holding means for holding a security level given to each user in advance according to the management capability of the electronic data and a security level given to each file according to the content thereof;
Access result information holding means for holding access result information from each user,
The security level of the user is compared with the security level of the file, the access pattern estimated from the security level of the user and the access result information from the user, and the user who has requested access to the file. The security level based on the access record is calculated from the access pattern of the user, and the security level based on the calculated access record is compared with the security level of the file for which the access request is made. Determining means for determining whether or not access to the file for which the access request has been made is permitted;
Transmitting means for transmitting the requested file to the user-side client having made the access request via the Internet, when it is determined by the determining means that access is permitted;
Therefore, unauthorized access can be eliminated and highly secure security management can be performed.
[0106]
Further, since the apparatus includes the encryption processing means for encrypting and decrypting each of the files and the encrypted content storage means for storing the encrypted files, stronger security can be ensured.
[0107]
Further, since the UDF (Universal Disk Format) file system is used as the installation location of the encrypted content storage means and the management information holding means, stronger security can be ensured.
[0108]
Further, when the determining means determines that the access of the user who made the access request is not permitted, a request for confirming whether or not the user who made the access request has the registered access right is determined. Authentication means for performing authentication, wherein the authentication means has the access right, and when it is determined that the access can be permitted, the transmission means transmits the requested file to the access request via the Internet. Therefore, when it is determined that the access of the user is not permitted, the burden of the server-side administrator on the user can be reduced.
[0109]
Further, a notifying means is provided for notifying an administrator managing the server system of the result of the determination when the determining means determines that access of the user who has made the access request is not permitted. Therefore, a more detailed response to a user or the like at the time of access denial is possible.
[0110]
The management information holding means is provided in the storage device and is provided in an area which is not normally accessed from the file system in the storage device. Further security of the stored information can be achieved.
[0111]
Further, a sector address obtaining means for obtaining a sector address of an area not normally accessed from the file system, and information to be held in the management information holding means for the sector having the sector address obtained by the sector address obtaining means. And writing means for reading information written by the writing means, so that writing and reading to and from an area which is not normally accessed from the file system can be easily performed.
[0112]
In addition, since the determination unit is loaded when executed via a communication line different from the Internet, it is possible to prevent unauthorized access to the access result information holding unit and the management information holding unit.
[0113]
A data protection method according to the present invention is a data protection method in an electronic data exchange system using a server system placed on the Internet,
Holding the security level given to each user in advance, the security level given to each file, and the access record information from each user,
A first step of receiving a request from a user to access a file via the Internet;
A second step of comparing the security level of the requested user with the security level of the requested file;
If the security level of the requested user is lower than the security level of the requested file, access is not permitted and the security level of the requested user is the security level of the requested file. If it is larger than the third level, a third step of calculating a security level based on the access result of the user based on the security level and the access result information of the user who made the access request,
A fourth step of comparing the security level based on the access results calculated in the third step with the security level of the requested file;
A fifth step of determining whether or not the user who has made the access request is permitted to access the requested file based on the result of the comparison in the fourth step;
In the fifth step, when it is determined that the access is permitted, a sixth step of transmitting the requested file to the client of the user who has requested the access via the Internet,
Therefore, unauthorized access can be eliminated and highly secure security management can be performed.
[0114]
In addition, since each of the files is encrypted and transmitted to the client on the side of the user who has made the access request, stronger security can be ensured.
[0115]
Further, since the encrypted file, the security level of the user, and the security level of the file are stored using the UDF file system, stronger security can be ensured.
[0116]
Further, when it is determined in the fifth step that access of the user who made the access request is not permitted, an authentication unit for re-authenticating the user who made the access request is provided. If it is determined that the access is permitted, the requested file is transmitted to the user's client that made the access request via the Internet, and thus it is determined that the user's access is not permitted. In this case, the burden on the user of the server-side administrator can be reduced.
[0117]
Further, when it is determined in the fifth step that access of the user who has made the access request is not permitted, the result of the determination is notified to an administrator who manages the server system. In addition, when access is denied, a more detailed response to a user or the like can be performed.
[0118]
The security level of the user and the security level of the file are provided in an area of the storage device that is not normally accessed from the file system. Further security of information can be achieved.
[0119]
Further, a sector address of an area that is not normally accessed from the file system is obtained, information of the security level of the user and the security level of the file are written in a sector having the obtained sector address, and the written information is written. Since it is read, writing and reading to and from an area not normally accessed from the file system can be easily performed.
[0120]
Further, since the means for executing the first to sixth steps is to be loaded at the time of execution via a communication line different from the Internet, the access result information and the security level of the user and the file are used. Unauthorized access to the information on the information can be prevented.
[0121]
A program according to the present invention is a program used for data protection in an electronic data exchange system by a server system placed on the Internet,
Management information holding means for holding a security level given to each user in advance according to the management capability of the electronic data and a security level given to each file according to the content thereof;
Access result information holding means for holding access result information from each user,
The security level of the user is compared with the security level of the file, the access pattern estimated from the security level of the user and the access result information from the user, and the user who has requested access to the file. The security level based on the access record is calculated from the access pattern of the user, and the security level based on the calculated access record is compared with the security level of the file for which the access request is made. Determining means for determining whether or not access to the file for which the access request has been made is permitted;
Transmitting means for transmitting the requested file to the user-side client having made the access request via the Internet, when it is determined by the determining means that access is permitted;
As a result, unauthorized access can be eliminated and highly secure security management can be performed.
[0122]
Further, since the computer functions as encryption processing means for encrypting and decrypting each of the above files and encrypted content storage means for storing the encrypted files, stronger security can be ensured.
[0123]
Further, since the UDF file system is used as the installation location of the encrypted content storage unit and the management information holding unit, stronger security can be secured.
[0124]
Further, when the determination unit determines that the access of the user who made the access request is not permitted, the computer checks whether the user who made the access request has the registered access right. Functioning as an authentication means for performing re-authentication for the purpose of the present invention, and in the authentication means, when it is determined that the user has the access right and the access can be permitted, the transmission means transmits the requested content via the Internet. Therefore, when it is determined that the access of the user is not permitted, it is possible to reduce the burden on the server-side administrator to deal with the user.
[0125]
A notifying means for notifying an administrator managing the server system of a result of the determination when the determining means determines that access of the user who made the access request is not permitted; Therefore, it is possible to respond more finely to a user or the like when access is denied.
[0126]
Further, since the management information holding means is provided in an area which is not normally accessed from the file system, it is possible to further secure the access result information and the information regarding the security level of the user and the file. .
[Brief description of the drawings]
FIG. 1 is a block diagram illustrating an environment in which a data protection device is implemented in an EDI system according to a first embodiment and a configuration of the data protection device.
FIG. 2 is a diagram showing an example of the contents of a user management database.
FIG. 3 is a diagram showing an example of the contents of a content management database.
FIG. 4 is a flowchart showing processing contents of a secure API according to the first embodiment.
FIG. 5 is a block diagram illustrating an environment in which the data protection device according to the second embodiment is realized and a configuration of the data protection device;
FIG. 6 is a diagram showing an example of the contents of a user management database.
FIG. 7 is a diagram showing an example of the contents of a content management database.
FIG. 8 is a flowchart showing processing contents of a secure API according to the second embodiment.
FIG. 9 is a flowchart illustrating processing on the client side that has received an encrypted content file.
FIG. 10 is a flowchart showing processing contents of a secure API according to the third embodiment.
FIG. 11 is a flowchart showing processing contents of a secure API according to the fourth embodiment.
FIG. 12 is a diagram for describing an area where a secure API writes access result information and management information.
FIG. 13 is a flowchart showing processing contents when the secure API writes access result information and management information to an unused area in the fourth embodiment.
FIG. 14 is a block diagram illustrating an environment in which a protection device is realized in an EDI system according to a seventh embodiment and a configuration of a data protection device;
[Explanation of symbols]
1 Internet, 2 internal LAN, 3 content server,
4 clients, 5 firewalls, 301 plaintext content storage,
302 management information storage unit, 303 access result information storage unit,
304 encrypted content storage, 305, 306 program storage,
402 encryption processing unit, 401, 402 content storage unit.
Claims (22)
各ユーザに上記電子データの管理能力に応じて予め付与されたセキュリティ・レベルと各ファイルにその内容に応じて付与されたセキュリティ・レベルとを保持する管理情報保持手段、
各ユーザからのアクセス実績情報を保持するアクセス実績情報保持手段、
上記ユーザのセキュリティ・レベルと上記ファイルのセキュリティ・レベルとを比較するとともに、上記ユーザのセキュリティ・レベル及び上記ユーザからのアクセス実績情報から推定されるアクセスパターンと、上記ファイルへのアクセス要求をしたユーザのアクセスパターンとからアクセス実績に基づくセキュリティ・レベルを算出し、該算出したアクセス実績に基づくセキュリティ・レベルと、アクセス要求をしたファイルのセキュリティ・レベルとを比較することにより、上記アクセス要求をしたユーザが上記アクセス要求をしたファイルへのアクセスが許可されているか否かを判定する判定手段、
該判定手段により、アクセスが許可されていると判定された場合に、要求されたファイルを上記インターネットを介して上記アクセス要求をしたユーザ側のクライアントに送信する送信手段、
を備えることを特徴とするデータ保護装置。A data protection device in an electronic data exchange system by a server system placed on the Internet,
Management information holding means for holding a security level given to each user in advance according to the management capability of the electronic data and a security level given to each file according to the content thereof;
Access result information holding means for holding access result information from each user,
The security level of the user is compared with the security level of the file, the access pattern estimated from the security level of the user and the access result information from the user, and the user who has requested access to the file. The security level based on the access record is calculated from the access pattern of the user, and the security level based on the calculated access record is compared with the security level of the file for which the access request is made. Determining means for determining whether or not access to the file for which the access request has been made is permitted;
Transmitting means for transmitting the requested file to the user-side client having made the access request via the Internet, when it is determined by the determining means that access is permitted;
A data protection device comprising:
各ユーザに上記電子データの管理能力に応じて予め付与されたセキュリティ・レベルと、各ファイルにその内容に応じて付与されたセキュリティ・レベルと、上記各ユーザからのアクセス実績情報とを保持し、
ユーザからのインターネットを介したファイルへのアクセス要求を受信する第1ステップ、
アクセス要求したユーザのセキュリティ・レベルと要求されたファイルのセキュリティ・レベルとを比較する第2ステップ、
上記アクセス要求したユーザのセキュリティ・レベルが上記要求されたファイルのセキュリティ・レベルよりも小さい場合は、アクセスは許可されず、上記アクセス要求したユーザのセキュリティ・レベルが上記要求されたファイルのセキュリティ・レベルよりも大きい場合は、アクセス要求したユーザの上記セキュリティ・レベル及びユーザからのアクセス実績情報から推定されるアクセスパターンと、上記ファイルへのアクセス要求をしたユーザのアクセスパターンとからアクセス実績に基づくセキュリティ・レベルを算出する第3ステップ、
該第3ステップにおいて算出したアクセス実績に基づくセキュリティ・レベルと、アクセス要求されたファイルのセキュリティ・レベルとを比較する第4ステップ、
該第4ステップにおける比較の結果に基づいて、上記アクセス要求したユーザが要求したファイルへのアクセスを許可されているか否かを判定する第5ステップ、
該第5ステップにおいて、アクセスが許可されていると判定された場合に、要求されたファイルを、インターネットを介して上記アクセス要求したユーザ側のクライアントに送信する第6ステップ、
を有することを特徴とするデータ保護方法。A data protection method in an electronic data exchange system by a server system placed on the Internet,
Holding a security level given to each user in advance according to the management capability of the electronic data, a security level given to each file according to the content thereof, and access record information from each user;
A first step of receiving a request from a user to access a file via the Internet;
A second step of comparing the security level of the requested user with the security level of the requested file;
If the security level of the requested user is lower than the security level of the requested file, access is not permitted and the security level of the requested user is the security level of the requested file. If the file size is larger than the security level, the security level based on the access record is determined from the access level estimated from the security level of the user who made the access request and the access record information from the user and the access pattern of the user who made the access request to the file. The third step of calculating the level,
A fourth step of comparing the security level based on the access results calculated in the third step with the security level of the requested file;
A fifth step of determining whether or not the user who has made the access request is permitted to access the requested file based on the result of the comparison in the fourth step;
In the fifth step, when it is determined that the access is permitted, a sixth step of transmitting the requested file to the client of the user who has requested the access via the Internet,
A data protection method comprising:
各ユーザに上記電子データの管理能力に応じて予め付与されたセキュリティ・レベルと各ファイルにその内容に応じて付与されたセキュリティ・レベルとを保持する管理情報保持手段、
各ユーザからのアクセス実績情報を保持するアクセス実績情報保持手段、
上記ユーザのセキュリティ・レベルと上記ファイルのセキュリティ・レベルとを比較するとともに、上記ユーザのセキュリティ・レベル及び上記ユーザからのアクセス実績情報から推定されるアクセスパターンと、上記ファイルへのアクセス要求をしたユーザのアクセスパターンとからアクセス実績に基づくセキュリティ・レベルを算出し、該算出したアクセス実績に基づくセキュリティ・レベルと、アクセス要求をしたファイルのセキュリティ・レベルとを比較することにより、上記アクセス要求をしたユーザが上記アクセス要求をしたファイルへのアクセスを許可されているか否かを判定する判定手段、
該判定手段により、アクセスが許可されていると判定された場合に、要求されたファイルを上記インターネットを介して上記アクセス要求をしたユーザ側のクライアントに送信する送信手段、
として機能させることを特徴とするプログラム。A program used for data protection in an electronic data exchange system by a server system placed on the Internet, comprising:
Management information holding means for holding a security level given to each user in advance according to the management capability of the electronic data and a security level given to each file according to the content thereof;
Access result information holding means for holding access result information from each user,
The security level of the user is compared with the security level of the file, the access pattern estimated from the security level of the user and the access result information from the user, and the user who has requested access to the file. The security level based on the access record is calculated from the access pattern of the user, and the security level based on the calculated access record is compared with the security level of the file for which the access request is made. Determining means for determining whether or not access to the file for which the access request has been made is permitted;
Transmitting means for transmitting the requested file to the user-side client having made the access request via the Internet, when it is determined by the determining means that access is permitted;
A program characterized by functioning as a program.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2002229347A JP4084971B2 (en) | 2002-08-07 | 2002-08-07 | Data protection apparatus, data protection method and program used in electronic data exchange system |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2002229347A JP4084971B2 (en) | 2002-08-07 | 2002-08-07 | Data protection apparatus, data protection method and program used in electronic data exchange system |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2004070674A true JP2004070674A (en) | 2004-03-04 |
JP4084971B2 JP4084971B2 (en) | 2008-04-30 |
Family
ID=32015757
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2002229347A Expired - Fee Related JP4084971B2 (en) | 2002-08-07 | 2002-08-07 | Data protection apparatus, data protection method and program used in electronic data exchange system |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4084971B2 (en) |
Cited By (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005259140A (en) * | 2004-03-09 | 2005-09-22 | Iplocks Inc | Method for monitoring database, computer-readable medium for keeping one or more sequences of instruction, and device |
JP2006216061A (en) * | 2005-02-04 | 2006-08-17 | Soc Francaise Du Radiotelephone | Security-protected management method using cellphone for executing application |
JP2007072516A (en) * | 2005-09-02 | 2007-03-22 | Nomura Research Institute Ltd | System and program for determining propriety of service use |
JP2007172398A (en) * | 2005-12-22 | 2007-07-05 | Canon Inc | Information processor and information processing method |
JP2007183911A (en) * | 2006-08-17 | 2007-07-19 | Intelligent Wave Inc | Program, method and system for monitoring illegal operation |
JP2008112236A (en) * | 2006-10-30 | 2008-05-15 | Kyocera Mita Corp | File reception identification program |
JP2008158959A (en) * | 2006-12-26 | 2008-07-10 | Sky Kk | Terminal monitoring server, terminal monitoring program, data processing terminal and data processing terminal program |
JP2008539660A (en) * | 2005-04-28 | 2008-11-13 | マイクロソフト コーポレーション | Walled garden |
JP2011527046A (en) * | 2008-06-30 | 2011-10-20 | シマンテック コーポレーション | Simplified transmission of entity reputation scores |
JP2013101719A (en) * | 2013-03-06 | 2013-05-23 | Casio Comput Co Ltd | Access control device, terminal device, and program |
WO2015107646A1 (en) * | 2014-01-16 | 2015-07-23 | 朝田 昌男 | Method for causing os to have immune function |
CN109656884A (en) * | 2018-12-14 | 2019-04-19 | 郑州云海信息技术有限公司 | A kind of method and device accessing file |
CN112836221A (en) * | 2021-01-13 | 2021-05-25 | 深圳安捷丽新技术有限公司 | Multi-security-level partitioned portable solid state disk and design method thereof |
US11048807B2 (en) | 2018-09-12 | 2021-06-29 | International Business Machines Corporation | Protecting data security with hierarchical authorization analysis |
CN114615403A (en) * | 2022-02-21 | 2022-06-10 | 广东职业技术学院 | Method, device and system for accessing video file of office camera |
-
2002
- 2002-08-07 JP JP2002229347A patent/JP4084971B2/en not_active Expired - Fee Related
Cited By (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005259140A (en) * | 2004-03-09 | 2005-09-22 | Iplocks Inc | Method for monitoring database, computer-readable medium for keeping one or more sequences of instruction, and device |
JP2006216061A (en) * | 2005-02-04 | 2006-08-17 | Soc Francaise Du Radiotelephone | Security-protected management method using cellphone for executing application |
JP2008539660A (en) * | 2005-04-28 | 2008-11-13 | マイクロソフト コーポレーション | Walled garden |
JP2007072516A (en) * | 2005-09-02 | 2007-03-22 | Nomura Research Institute Ltd | System and program for determining propriety of service use |
JP2007172398A (en) * | 2005-12-22 | 2007-07-05 | Canon Inc | Information processor and information processing method |
JP2007183911A (en) * | 2006-08-17 | 2007-07-19 | Intelligent Wave Inc | Program, method and system for monitoring illegal operation |
JP2008112236A (en) * | 2006-10-30 | 2008-05-15 | Kyocera Mita Corp | File reception identification program |
JP2008158959A (en) * | 2006-12-26 | 2008-07-10 | Sky Kk | Terminal monitoring server, terminal monitoring program, data processing terminal and data processing terminal program |
JP2011527046A (en) * | 2008-06-30 | 2011-10-20 | シマンテック コーポレーション | Simplified transmission of entity reputation scores |
JP2013101719A (en) * | 2013-03-06 | 2013-05-23 | Casio Comput Co Ltd | Access control device, terminal device, and program |
WO2015107646A1 (en) * | 2014-01-16 | 2015-07-23 | 朝田 昌男 | Method for causing os to have immune function |
US11048807B2 (en) | 2018-09-12 | 2021-06-29 | International Business Machines Corporation | Protecting data security with hierarchical authorization analysis |
CN109656884A (en) * | 2018-12-14 | 2019-04-19 | 郑州云海信息技术有限公司 | A kind of method and device accessing file |
CN112836221A (en) * | 2021-01-13 | 2021-05-25 | 深圳安捷丽新技术有限公司 | Multi-security-level partitioned portable solid state disk and design method thereof |
CN112836221B (en) * | 2021-01-13 | 2024-02-06 | 深圳安捷丽新技术有限公司 | Multi-security-level partition portable solid state disk and design method thereof |
CN114615403A (en) * | 2022-02-21 | 2022-06-10 | 广东职业技术学院 | Method, device and system for accessing video file of office camera |
CN114615403B (en) * | 2022-02-21 | 2023-10-24 | 广东职业技术学院 | Access method, device and system for video files of office camera |
Also Published As
Publication number | Publication date |
---|---|
JP4084971B2 (en) | 2008-04-30 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US7793110B2 (en) | Posture-based data protection | |
JP3516591B2 (en) | Data storage method and system and data storage processing recording medium | |
JP5270694B2 (en) | Client computer, server computer thereof, method and computer program for protecting confidential file | |
US6378071B1 (en) | File access system for efficiently accessing a file having encrypted data within a storage device | |
US8832458B2 (en) | Data transcription in a data storage device | |
CN101076969B (en) | Electrical transmission system in secret environment between virtual disks and electrical transmission method thereof | |
US20060018484A1 (en) | Information processing device, information processing system, and program | |
JP2003173284A (en) | Network system capable of transmission control | |
US6990582B2 (en) | Authentication method in an agent system | |
JP4084971B2 (en) | Data protection apparatus, data protection method and program used in electronic data exchange system | |
WO2011157242A2 (en) | Method and device for file protection | |
JP4998518B2 (en) | Information processing apparatus, information processing system, and program | |
JP2006228139A (en) | Security management system | |
JP4947562B2 (en) | Key information management device | |
JP4471129B2 (en) | Document management system, document management method, document management server, work terminal, and program | |
JP2005309501A (en) | Program mounted in electronic device accessing memory card, and information processor performing access management for electronic device | |
JP2008129803A (en) | File server, program, recording medium, and management server | |
JP2005165900A (en) | Information leak prevention system | |
JP2004140715A (en) | System and method for managing electronic document | |
JP4116137B2 (en) | Data protection apparatus and method in electronic data exchange system, and recording medium recording program for realizing the method | |
JP2012256253A (en) | Information processor, information processing method, and program | |
US7886147B2 (en) | Method, apparatus and computer readable medium for secure conversion of confidential files | |
JPH05233460A (en) | File protection system | |
JPH10340232A (en) | File copy preventing device, and file reader | |
JP4713916B2 (en) | Data protection service system and data protection method |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20040511 |
|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20040511 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20071012 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20071120 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080118 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20080212 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20080218 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110222 Year of fee payment: 3 |
|
LAPS | Cancellation because of no payment of annual fees |