JP2004199318A - Security system - Google Patents

Security system Download PDF

Info

Publication number
JP2004199318A
JP2004199318A JP2002366188A JP2002366188A JP2004199318A JP 2004199318 A JP2004199318 A JP 2004199318A JP 2002366188 A JP2002366188 A JP 2002366188A JP 2002366188 A JP2002366188 A JP 2002366188A JP 2004199318 A JP2004199318 A JP 2004199318A
Authority
JP
Japan
Prior art keywords
file
storage device
data
input
output
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2002366188A
Other languages
Japanese (ja)
Inventor
Tomoichi Fujisawa
知市 藤澤
Hiroshi Ichise
浩 市瀬
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toyo Communication Equipment Co Ltd
Original Assignee
Toyo Communication Equipment Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toyo Communication Equipment Co Ltd filed Critical Toyo Communication Equipment Co Ltd
Priority to JP2002366188A priority Critical patent/JP2004199318A/en
Publication of JP2004199318A publication Critical patent/JP2004199318A/en
Pending legal-status Critical Current

Links

Images

Landscapes

  • Storage Device Security (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To provide a security system, a security method and a security program capable of securing security by performing encryption/decoding of data independently of classification of a storage device. <P>SOLUTION: It is determined whether a specific storage device is used or not. When the specific storage device is not used, processing of a read or write request of a file in the case of not a system used by a computer system is immediately bypassed to a lower layer, and the encryption/decode of the data is performed in the case of a system used by the computer system. When the specific storage device is used, it is determined whether the encryption/decode of the data is performed or not by the system used by the computer system by determining the file system which is a read or write object of the file. <P>COPYRIGHT: (C)2004,JPO&NCIPI

Description

【0001】
【発明の属する技術分野】
本発明は,コンピュータシステム上でデータファイルのセキュリティを確保する為にファイルの暗号化を行うセキュリティシステム,セキュリティ方式及びセキュリティ処理プログラムに関する。
【0002】
【従来の技術】
ストレージデバイスに蓄積されるデータファイルに対して,機密データ保護等のセキュリティ確保を要求される為,データファイルの暗号化を行うセキュリティ技術の重要性が増し,ストレージデバイスからファイルの読みこみ,書きこみ時に透過的に暗号化,復号を行う方式がある。
【0003】
このファイルの読み込み,書きこみ時に透過的に暗号化/復号を行う方式は,ファイル入出力要求において,ストレージデバイスからのファイルの読み込み,書きこみ要求かを判別し,ファイルの読み込みと判定されたならば読みこむデータを復号し,ファイルの書き込みと判定されたならば書き込むデータを暗号化する。
【特許文献】特開2001-027964号公報
【0004】
【発明が解決しようとする課題】
この従来技術においてストレージデバイスからのファイルの読みこみ,書きこみ要求にはページ化入出力を伴うコンピュータシステムの場合と,ページ化入出力を伴わないコンピュータシステムの場合があり,ストレージデバイスからのファイルの読み込み,書きこみ時に,ページ化入出力によるデータの暗号化/復号,または,ページ化入出力ではない暗号化/復号は,コンピュータシステムが用いている方式によって選択する。
ここで、ページ化入出力について簡単に説明する。
仮想メモリの使用時に,メインメモリとハードディスクとの間で「ページ」という単位でデータをやり取りすることをページングと称する。スワップとよく似た意味の言葉であり,スワップがプロセス単位でデータを移すのに対して,ページングはページ単位でデータを交換するものである。ページの大きさはシステムによって異なるが一般にプロセスよりは小さいため,ページングの方がスワップよりも移動させるデータ量が少なく,処理が速く済む。なお,ページングの際にハードディスクに作られるメモリ領域を保存しておくためのファイルを「ページングファイル」という。
本明細書に於いては,リード/ライト等のファイル入出力を,ページングして読みこみ,書きこみを行おうとすることをページ化入出力と称する。
【0005】
しかしながら,ストレージデバイスからのファイルの読みこみ,書きこみをコンピュータシステムが用いている方式で,データの暗号化/復号を行っている場合に,特定のストレージデバイスではコンピュータシステムが用いている方式とは異なる場合がある。具体的には,ストレージデバイスからのファイルの読みこみ,書きこみに,コンピュータシステムがページ化入出力による方式の場合に,特定のデバイス(例えばCD-R/RW)ではファイルの読み込み,書きこみ時に,ファイルを管理するファイルシステムによって,ページ化入出力を伴う方式と,ページ化入出力を伴わない方式があり,このような場合では,特定デバイスからのファイルの読み込み,書きこみ時に,データの暗号化/復号を行うことができる場合とできない場合がある。
【0006】
本発明は,上記問題点に鑑みてなされたものであり,その主たる目的はストレージデバイスの種別に因らずに,データの暗号化/復号を行うことでセキュリティを確保することができるセキュリティシステム,セキュリティ方式及びセキュリティプログラムを提供することにある。
【0007】
【課題を解決するための手段】
上記目的を達成する為に,本発明の方式はストレージデバイスからのファイルの読みこみ,書きこみ時に,特定のストレージデバイスであることを判断し,特定のストレージデバイスでない場合には,コンピュータシステムが用いている方式でない場合のファイルの読みこみ,書きこみ要求は直ちに下位レイヤに処理をバイパスし,コンピュータシステムが用いている方式の場合にデータの暗号化/復号を行い,特定のストレージデバイスの場合には,ファイルの読みこみ,書きこみの対象となるファイルシステムを判断することでコンピュータシステムが用いている方式でデータの暗号化/復号を行うかを判定されるものである。
【0008】
また,本発明の方式は,ストレージデバイスからのファイルの読み込み,書きこみ時に,ストレージデバイスのデバイス種別を判別するストレージデバイス種別判別手段と,前記読みこみ,書きこみ方式がページ化入出力であるかを判別するページ化入出力判別手段と,ストレージデバイス上のファイルを管理するファイルシステム種別を判定するファイルシステム種別判別手段と,データの暗号化/復号を行う手段と,を少なくとも有するものである。
【0009】
本発明においては,前記ストレージデバイス種別判別手段と,ページ化入出力判別手段と,データの暗号化/復号を行う各手段が,カーネル空間で動作するフィルタドライバに設けられていることが望ましい。
【0010】
【発明の実施の形態】
本発明について図面を参照して説明する。
図1は本発明の一実施例を示す機能ブロック図であり,図2は本実施例の動作手順を示すフローチャート図である。
【0011】
図1に示すように,本実施例に係わる特定のストレージデバイスに対して,ファイルの読み込み/書きこみ時にデータを透過的に暗号化/復号を行う為に,ユーザ空間で動作するアプリケーションプログラム1からI/Oマネージャ2を介して,デバイス種別判別手段3,暗号化/復号手段4,ファイルシステム判別手段5,ページ化入出力判別手段6を備えたフィルタドライバ7と,フィルタドライバ7をバイパスしてファイルシステム等を含む,ファイル入出力要求をを処理する下位レイヤ8と,ストレージデバイス9と,で構成され,以下,各手段の機能について説明する。
【0012】
フィルタドライバ7のデバイス種別判別手段3は,ファイル入出力要求先のストレージデバイスの種別を判別する機能を有し,前記ストレージデバイスがコンピュータシステム上のディスクであるか,フロッピーディスクドライブであるか,CD-ROMドライブであるかを判別することができる。
【0013】
また,暗号化/復号手段4は,ストレージデバイス9からのファイルの読みこみ時に,データを復号してアプリケーションプログラム1へ復号したファイルのデータを渡し,また,ストレージデバイス9へファイルの書きこみを行う場合にデータを暗号化する機能を有している。
【0014】
ファイルシステム判別手段5は,ファイル入出力先であるストレージデバイス9が使用する,ファイルを管理するファイルシステムの種別を判別する機能を有している。
【0015】
そして,ページ化入出力判別手段6は,ファイルの入出力がページ化して行われるか,またはページ化されないでファイル入出力が行われるかを判定する機能を有している。
【0016】
次に,図1の構成及び図2のフローチャート図を参照して,本実施例の特定デバイスにおける暗号処理方式について詳述する。
まず,アプリケーションプログラム1からストレージデバイス9へのファイル入出力要求が発生した場合に,I/Oマネージャ2を介して,図2ステップA1のファイル入出力要求がフィルタドライバ7に到達され,ステップA2のストレージデバイス種別がCD-ROMであることをデバイス種別判別手段3によって判定し,CD-ROMドライブであればステップA3を実施し,前記CD-ROMドライブでない場合にはステップA5を実施する。
【0017】
ステップA3において,ファイルシステム判別手段5によってファイルシステムがCDFSでないと判定された場合,ステップA4に移行し,ファイルシステムがCDFSであればステップA5に処理を移す。
【0018】
ステップA4,A5では,ファイル入出力方式がページ化入出力であることを判定し,ステップA4の判定においてはページ化入出力でなければステップA6を実施し,ステップA5の判定ではページ化入出力と判定されればステップA6の実施で,暗号化/復号手段4を用いてデータの暗号化/復号を実施する。
そして,ステップA7によって,ファイル入出力要求を下位レイヤへバイパスすることで処理を終わらせる。
【0019】
【発明の効果】
以上説明したように,本発明の特定のストレージデバイスにおける暗号処理方式によれば,ストレージデバイスに因らずに,データを暗号化/復号することが可能となり,セキュリティを保持したい機密データの保護を行うことにおいて,効果が発揮される。
【図面の簡単な説明】
【図1】本発明の一実施例を示す機能ブロック図
【図2】本実施例の動作手順を示すフローチャート図
【符号の説明】
1・・・アプリケーションプログラム、2・・・I/Oマネージャ,3・・・デバイス種別判別手段,4・・・暗号化/復号手段,5・・・ファイルシステム判別手段,6・・・ページ化入出力判別手段、7・・・フィルタドライバ,8・・・下位レイヤ,9・・・ストレージデバイス[0001]
TECHNICAL FIELD OF THE INVENTION
The present invention relates to a security system, a security method, and a security processing program for encrypting a data file on a computer system in order to secure the security of the file.
[0002]
[Prior art]
Security of the data files stored in the storage device, such as protection of confidential data, is required, so the importance of security technology for encrypting data files is increasing, and reading and writing files from the storage device is also important. Sometimes there is a method of transparently encrypting and decrypting.
[0003]
The method of transparently encrypting / decrypting this file when reading / writing is to use a file input / output request to determine whether to read or write a file from a storage device, and if it is determined that the file is to be read, The data to be read is decrypted, and if it is determined that the file is to be written, the data to be written is encrypted.
[Patent Document] Japanese Patent Application Laid-Open No. 2001-027964
[Problems to be solved by the invention]
In this prior art, a file read / write request from a storage device may be requested by a computer system with paged input / output or a computer system without paged input / output. At the time of reading or writing, encryption / decryption of data by paged input / output or encryption / decryption other than paged input / output is selected according to the method used by the computer system.
Here, paging input / output will be briefly described.
Exchanging data in units of “pages” between the main memory and the hard disk when using the virtual memory is called paging. Swap is a word with a similar meaning. Swap transfers data in process units, whereas paging exchanges data in page units. The page size varies depending on the system, but is generally smaller than the process. Therefore, paging requires less data to be moved than swapping, and the processing is faster. A file for storing a memory area created on the hard disk at the time of paging is referred to as a “paging file”.
In this specification, an attempt to read and write a file input / output such as read / write by paging is referred to as paged input / output.
[0005]
However, if a computer system uses the method of reading and writing files from a storage device, and encrypts / decrypts data, the method used by a computer system for a specific storage device is different from that used by a computer system. May be different. Specifically, when a computer system uses paged I / O to read and write files from a storage device, a specific device (eg, CD-R / RW) reads and writes files. Depending on the file system that manages the file, there are a method that involves paged I / O and a method that does not involve paged I / O. In such a case, data is encrypted when data is read from or written to a specific device. There are cases where encryption / decryption can and cannot be performed.
[0006]
The present invention has been made in view of the above problems, and a main object of the present invention is to provide a security system capable of ensuring security by encrypting / decrypting data regardless of the type of storage device. A security method and a security program are provided.
[0007]
[Means for Solving the Problems]
In order to achieve the above object, according to the method of the present invention, when reading or writing a file from a storage device, it is determined that the file is a specific storage device. File read / write requests that do not use the specified method bypass the processing immediately to the lower layer, encrypt / decrypt data in the case of the method used by the computer system, and perform data encryption / decryption in the case of a specific storage device. Is to determine whether to encrypt / decrypt data by the method used by the computer system by determining the file system to be read or written.
[0008]
Also, the method of the present invention comprises a storage device type determining means for determining the device type of a storage device when reading and writing a file from a storage device, and determining whether the reading and writing method is paged input / output. , A file system type determining unit for determining a file system type for managing a file on the storage device, and a unit for encrypting / decrypting data.
[0009]
In the present invention, it is preferable that the storage device type determination unit, the paged input / output determination unit, and each unit for encrypting / decrypting data are provided in a filter driver operating in a kernel space.
[0010]
BEST MODE FOR CARRYING OUT THE INVENTION
The present invention will be described with reference to the drawings.
FIG. 1 is a functional block diagram showing an embodiment of the present invention, and FIG. 2 is a flowchart showing an operation procedure of the embodiment.
[0011]
As shown in FIG. 1, an application program 1 that operates in a user space to transparently encrypt / decrypt data when reading / writing a file from / to a specific storage device according to the present embodiment. Via the I / O manager 2, a filter driver 7 including a device type determining unit 3, an encrypting / decrypting unit 4, a file system determining unit 5, and a paged input / output determining unit 6, and bypassing the filter driver 7 It comprises a lower layer 8 for processing file input / output requests, including a file system, and a storage device 9, and the function of each means will be described below.
[0012]
The device type determination means 3 of the filter driver 7 has a function of determining the type of the storage device of the file input / output request destination, and determines whether the storage device is a disk on a computer system, a floppy disk drive, or a CD. -It can be determined whether the drive is a ROM drive.
[0013]
When reading a file from the storage device 9, the encryption / decryption means 4 decrypts the data, passes the decrypted file data to the application program 1, and writes the file to the storage device 9. It has a function to encrypt data in cases.
[0014]
The file system discriminating means 5 has a function of discriminating the type of a file system that manages files and is used by the storage device 9 that is a file input / output destination.
[0015]
The paged input / output determination means 6 has a function of determining whether the file input / output is performed in pages, or whether the file input / output is performed without pages.
[0016]
Next, with reference to the configuration of FIG. 1 and the flowchart of FIG. 2, the encryption processing method in the specific device of the present embodiment will be described in detail.
First, when a file input / output request from the application program 1 to the storage device 9 occurs, the file input / output request of step A1 in FIG. 2 arrives at the filter driver 7 via the I / O manager 2; The device type determining means 3 determines that the storage device type is CD-ROM, and executes step A3 if the storage device type is a CD-ROM drive, and executes step A5 if the storage device type is not the CD-ROM drive.
[0017]
In step A3, if the file system discriminating means 5 determines that the file system is not CDFS, the process proceeds to step A4, and if the file system is CDFS, the process proceeds to step A5.
[0018]
In steps A4 and A5, it is determined that the file input / output method is paged input / output. In step A4, if it is not paged input / output, step A6 is executed. In step A5, paged input / output is performed. If it is determined, the data is encrypted / decrypted using the encryption / decryption means 4 in step A6.
Then, in step A7, the process is terminated by bypassing the file input / output request to the lower layer.
[0019]
【The invention's effect】
As described above, according to the encryption processing method in the specific storage device of the present invention, data can be encrypted / decrypted regardless of the storage device, and the protection of confidential data for which security is desired can be protected. In doing so, the effect is exhibited.
[Brief description of the drawings]
FIG. 1 is a functional block diagram showing an embodiment of the present invention. FIG. 2 is a flowchart showing an operation procedure of the present embodiment.
1 ... Application program, 2 ... I / O manager, 3 ... Device type discriminating means, 4 ... Encryption / decryption means, 5 ... File system discriminating means, 6 ... Page conversion Input / output determination means, 7: Filter driver, 8: Lower layer, 9: Storage device

Claims (1)

コンピュータシステム上でストレージデバイスへのファイル入出力要求に対して,ファイルの読み込み/書きこみ時にデータの暗号化/復号を行う場合において,ファイル入出力要求先のストレージデバイスを判別する手段と,特定のストレージデバイスと判定された場合には前記ストレージデバイスが用いているファイルの管理を行うファイルシステムの種別を判別する手段と,オペレーティングシステムが使用するファイルの読み込み/書きこみ方式がページ化入出力であるかを判別する手段と,前記ファイルシステムの種別によって前記ファイルの読み込み/書きこみ方式であるページ化入出力,または,ページ化入出力ではない方式によってデータの暗号化/復号を行う手段と,を少なくとも有することを特徴とするセキュリティシステム。Means for determining a storage device to which a file input / output request is made when encrypting / decrypting data when reading / writing a file in response to a file input / output request to a storage device on a computer system; If the storage device is determined, the means for determining the type of the file system that manages the file used by the storage device and the method of reading / writing the file used by the operating system are paged input / output. Means for judging whether or not the file is read / written according to the type of the file system, and means for encrypting / decrypting data by a method other than the paged input / output. Security system characterized by at least Temu.
JP2002366188A 2002-12-18 2002-12-18 Security system Pending JP2004199318A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2002366188A JP2004199318A (en) 2002-12-18 2002-12-18 Security system

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2002366188A JP2004199318A (en) 2002-12-18 2002-12-18 Security system

Publications (1)

Publication Number Publication Date
JP2004199318A true JP2004199318A (en) 2004-07-15

Family

ID=32763468

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2002366188A Pending JP2004199318A (en) 2002-12-18 2002-12-18 Security system

Country Status (1)

Country Link
JP (1) JP2004199318A (en)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11734443B2 (en) * 2017-01-19 2023-08-22 Creator's Head Inc. Information control program, information control system, and information control method

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US11734443B2 (en) * 2017-01-19 2023-08-22 Creator's Head Inc. Information control program, information control system, and information control method

Similar Documents

Publication Publication Date Title
EP0950941B1 (en) Method of and apparatus for protecting data on storage medium and storage medium
US6158004A (en) Information storage medium and security method thereof
US11809584B2 (en) File system metadata protection
JP4219681B2 (en) System, method and device for playing audio, video or other content recorded from non-volatile memory card, compact disc or other media
US20080130901A1 (en) System and method for transparent disk encryption
JP2006155155A (en) Information leakage preventing device and method, and its program
US7136995B1 (en) Cryptographic device
KR970007630A (en) Personal computer with security function, security method thereof and installation and removal method thereof
WO2011137743A1 (en) File protection method and system
TW200947202A (en) System and method for providing secure access to system memory
KR20090067649A (en) Memory system having secure storage device and method of managing secure area thereof
US20080005590A1 (en) Memory system
JP5118494B2 (en) Memory system having in-stream data encryption / decryption function
JP2005158043A (en) Encryption of system paging file
JP2007072623A (en) Information processing apparatus, recording medium, and program
JP2008524969A5 (en)
JP2008234544A (en) File encrypting/decrypting system, file encrypting/decrypting method and file encrypting/decrypting program
JP2004199688A (en) Secure driver
JP2007310601A (en) Microcomputer and method for protecting its software
JPH09134310A (en) Storage medium and method for storing data decoding algorithm
JP2001202167A (en) Computer and its control method
US20070283169A1 (en) Method for controlling file access on computer systems
JP2004199318A (en) Security system
US20080285748A1 (en) Method for generating secret key in computer device and obtaining the encrypting and decrypting key
JP2004133087A (en) Block encryption method and block encryption circuit

Legal Events

Date Code Title Description
A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A712

Effective date: 20050719

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20051129

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090127

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20090616