JP2011040044A - Device, system, program and method for integrating virtual thin client - Google Patents
Device, system, program and method for integrating virtual thin client Download PDFInfo
- Publication number
- JP2011040044A JP2011040044A JP2010132614A JP2010132614A JP2011040044A JP 2011040044 A JP2011040044 A JP 2011040044A JP 2010132614 A JP2010132614 A JP 2010132614A JP 2010132614 A JP2010132614 A JP 2010132614A JP 2011040044 A JP2011040044 A JP 2011040044A
- Authority
- JP
- Japan
- Prior art keywords
- access destination
- access
- api
- execution means
- api execution
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Abstract
Description
本発明は、情報漏洩を防ぐためのセキュリティ技術に関し、特に汎用のパーソナルコンピュータをシンクライアント化する技術に関する。 The present invention relates to security technology for preventing information leakage, and more particularly to technology for converting a general-purpose personal computer into a thin client.
近年、企業において、一般の社員が使用するクライアントコンピュータに最低限の機能しか持たせず、サーバコンピュータでアプリケーションソフトやファイルなどの資源を管理するシンクライアント装置が普及している。
このシンクライアント装置には、表示や入力など最低限の機能のみを持った専用のコンピュータが用いられ、アプリケーションソフトなどの資源をサーバ側で一元管理することによって、情報システムの運用コストや管理コストの低減化が図られている。
2. Description of the Related Art In recent years, thin client devices have been widely used in enterprises in which client computers used by general employees have a minimum function, and server computers manage resources such as application software and files.
This thin client device uses a dedicated computer that has only minimum functions such as display and input. By centrally managing resources such as application software on the server side, the operating cost and management cost of the information system are reduced. Reduction is achieved.
また、シンクライアント装置にはハードディスクが搭載されていないか、又は物理的にハードディスクが搭載されていても、アプリケーションやファイルなどを格納できないような制限がかけられる。
このため、シンクライアント装置は、情報漏洩防止の有効な手段としても注目されている。
Moreover, even if the thin client device is not equipped with a hard disk or is physically equipped with a hard disk, there is a restriction that applications and files cannot be stored.
For this reason, the thin client device is attracting attention as an effective means for preventing information leakage.
シンクライアント技術には種々のものがあり、広く普及しているものとして、画面転送型のものを挙げることができる。画面転送型のシンクライアント技術では、クライアント装置に表示されるアプリケーションプログラムに関する画面は、実際にはサーバ装置で処理されてクライアント装置へ送信される。クライアント装置では、画面の表示に関する処理が行われるのみであり、重要ファイルなどがクライアント装置に保存されることがない仕組みになっている。 There are various thin client technologies, and one that is widely used is a screen transfer type. In the screen transfer type thin client technology, a screen related to an application program displayed on the client device is actually processed by the server device and transmitted to the client device. In the client device, only processing related to screen display is performed, and an important file or the like is not stored in the client device.
このようなシンクライアントに関する先行技術としては、次のようなものを挙げることができる。
まず、特許文献1に記載のシンクライアント技術では、クライアント装置に仮想ハードウェアを設け、この仮想ハードウェア上で、サーバ装置から送信されたイメージデータに含まれるOSプログラムを実行し、このOS上で、サーバ装置から送信されたイメージデータに含まれるアプリケーションプログラムを実行して、各種処理を行わせている。そして、処理終了後に、クライアント装置に記憶されているイメージデータを削除することにより、シンクライアントシステムを実現している。
Examples of the prior art related to such a thin client include the following.
First, in the thin client technology described in Patent Document 1, virtual hardware is provided in a client device, and an OS program included in image data transmitted from a server device is executed on the virtual hardware, and the OS is executed on this OS. The application program included in the image data transmitted from the server device is executed to perform various processes. Then, after the process is completed, the thin client system is realized by deleting the image data stored in the client device.
また、特許文献2に記載のシンクライアント技術では、サーバ装置に管理対象データへのアクセス許諾に関する制限データを記憶させ、クライアント装置からのアクセスに応じてクライアント装置に制限データを送信し、クライアント装置はこの制限データにもとづきアクセス許諾可否等に関する所定の状態に移行する構成となっている。
これによって、クライアント装置の外部出力手段の出力可否状態を自動的に移行し、外部出力手段の機能が制限された状態においてのみクライアント装置に管理対象データ等に関する情報処理を実行可能とされている。
Further, in the thin client technology described in Patent Document 2, the server device stores the restriction data related to the access permission to the management target data, and transmits the restriction data to the client device in response to the access from the client device. Based on this restriction data, the system shifts to a predetermined state relating to whether or not access is permitted.
As a result, the output enable / disable state of the external output means of the client device is automatically shifted, and only when the function of the external output means is limited, the client device can execute information processing related to the management target data.
さらに、特許文献3に記載のシンクライアント技術では、コンピュータの作業環境を、ネットワーク接続状態に応じてスタンドアロン又はシンクライアントに自動的に切り替えることが可能とされている。 Furthermore, in the thin client technology described in Patent Document 3, it is possible to automatically switch the work environment of a computer to a stand-alone or a thin client according to a network connection state.
しかしながら、このような従来のシンクライアント技術では、クライアント装置がネットワークに接続することが必要であり、オフライン状態においてシンクライアント装置を実現することは考えられていない。
元来、シンクライアント技術は、サーバ装置でアプリケーションソフトやファイルなどに関する処理が行われ、シンクライアント装置側で表示や入力などが行われるものとなっている。このため、オフライン状態のコンピュータをシンクライアント化するという考え方は、これまで見られなかった。
ところが、オフライン状態であっても、一定の場合には、情報漏洩防止の観点からコンピュータをあたかもシンクライアント装置のような状態とすることが望ましい場合がある。
However, such conventional thin client technology requires that the client device be connected to the network, and it is not considered to realize the thin client device in the offline state.
Originally, with thin client technology, processing related to application software, files, and the like is performed on a server device, and display and input are performed on the thin client device side. For this reason, the idea of turning an offline computer into a thin client has not been seen so far.
However, even in the offline state, in certain cases, it may be desirable to put the computer into a state like a thin client device from the viewpoint of preventing information leakage.
例えば、企業において、一般的なパーソナルコンピュータ(リッチクライアント又はファットクライアントと称する場合がある。)を使用する場合、通常は全ての機能を使用可能にしつつ、特定の重要ファイルにアクセスがあった場合にのみ、外部出力手段等の機能を制限して、情報漏洩の防止を図りたい場合がある。 For example, when using a general personal computer (sometimes referred to as a rich client or fat client) in an enterprise, when a specific important file is accessed while usually enabling all functions. However, there are cases where it is desired to prevent information leakage by limiting the functions of the external output means.
ここで、ファイルからの情報漏洩を防止する手段として、例えばファイル自体に読み込みや書き込みの制限を設定しておく方法がある。しかし、ある特定の使用者にアクセスを許可したファイルの場合、ファイルの使用者がそのファイルの取り扱いに注意するしかなく、使用者が意図しなくても、誤ってネットワーク上にファイルを送信してしまうなど、重要ファイルの内容が漏洩する危険性がある。
また、フィルタードライバー機能をオペレーティングシステムに設定して、重要ファイルへのアクセス等を制限することもできる。しかし、このようなオペレーティングシステムへの設定のためには、特別なユーザ権限が必要であり、また設定した後にオペレーティングシステムを再起動しなければ、その機能を働かせることができない。
Here, as means for preventing information leakage from the file, for example, there is a method of setting restrictions on reading and writing in the file itself. However, in the case of a file that has been given access to a specific user, the user of the file must be careful about the handling of the file, and even if the user does not intend to send the file to the network by mistake. There is a risk that the contents of important files will be leaked.
In addition, the filter driver function can be set in the operating system to restrict access to important files. However, special user authority is required for setting to such an operating system, and the function cannot be activated unless the operating system is restarted after setting.
そこで、本発明者は鋭意研究し、AP(アプリケーションプログラム)から、API(アプリケーションプログラムインタフェース)が呼び出されるときに、そのAPIによる処理が行われる前に、他の処理を実行させるために割り込み処理を行い(これをAPIフックという)、APIのアクセス先が、アクセス不許可対象のアクセス先であるか否かを判定し、アクセス不許可対象のアクセス先でない場合にのみAPIによる処理の実行を許可することで、コンピュータを特定の場合にのみ擬似的にシンクライアント化することに成功し、本発明を完成させた。 Therefore, the present inventor has intensively studied, and when an API (application program interface) is called from an AP (application program), interrupt processing is performed in order to execute other processing before processing by the API is performed. (This is called an API hook), it is determined whether the access destination of the API is an access destination to which access is not permitted, and execution of processing by the API is permitted only when the access destination is not an access prohibition target. As a result, the computer was successfully made into a pseudo thin client only in a specific case, and the present invention was completed.
本発明は、上記の事情にかんがみなされたものであり、起動しているコンピュータへのログインや再起動を必要とすることなく、特定の場合に一時的に、コンピュータのハードディスクなどの周辺機器への読み書きのアクセスや、起動できるソフトウェアを制限し、擬似的にシンクライアント装置化することを可能とした仮想シンクライアント化装置、仮想シンクライアント化システム、仮想シンクライアント化プログラム、及び仮想シンクライアント化方法の提供を目的とする。
このような、通常は一般的なリッチコンピュータとして使用されているコンピュータを、場合によって仮想的にシンクライアント化するという概念は、これまでは存在していなかった。
The present invention has been considered in view of the above circumstances, and temporarily does not require a login or restart to a running computer, and in a specific case, temporarily to a peripheral device such as a hard disk of a computer. A virtual thin client device, a virtual thin client system, a virtual thin client program, and a virtual thin client method capable of limiting read / write access and software that can be activated and making a pseudo thin client device For the purpose of provision.
The concept of virtualizing a computer that is usually used as a general rich computer into a virtual thin client in some cases has not existed so far.
上記目的を達成するため、本発明の仮想シンクライアント化装置は、所定のアプリケーションプログラムを実行するAP実行手段と、所定のアプリケーションプログラムインタフェースを実行するAPI実行手段と、周辺機器とを備えた仮想シンクライアント化装置であって、フィルタードライバーを仮想シンクライアント化装置のオペレーティングシステムに備えることなく、仮想シンクライアント化装置が、AP実行手段によりAPI実行手段の呼び出し処理が行われると、API実行手段がファイルアクセスを行うものである場合、API実行手段による処理が行われる前に他の処理を実行させるためのフック処理を行うAPIフック手段と、フック処理が行われると、API実行手段によるアクセス先がアクセス不許可にする対象のアクセス先であるか否かを判定するアクセス先判定手段と、API実行手段によるアクセス先がアクセス不許可にする対象のアクセス先である場合、アクセス先をアクセス先とは異なるアクセス先に書き換えるアクセス先変更手段と、を備え、APIフック手段が、API実行手段によるアクセス先がアクセス不許可にする対象のアクセス先でない場合、API実行手段の呼び出し処理を許可し、API実行手段によるアクセス先がアクセス不許可にする対象のアクセス先である場合、アクセス先変更手段によりアクセス先をアクセス先とは異なるアクセス先に書き換えて、API実行手段を呼び出し、当該API実行手段により異なるアクセス先にアクセスさせるとともに、AP実行手段に対してAPI実行手段による処理が正常に行われたことを示す情報を出力する構成としてある。 In order to achieve the above object, a virtual thin client device of the present invention includes a virtual thin client including an AP execution unit that executes a predetermined application program, an API execution unit that executes a predetermined application program interface, and a peripheral device. When the virtual thin client device is called by the AP execution unit and calls the API execution unit without providing the filter driver in the operating system of the virtual thin client device, the API execution unit If access is to be made, API hook means for performing hook processing for executing other processing before processing by the API execution means is performed, and when the hook processing is performed, the access destination by the API execution means is accessed. The object to be disallowed An access destination that rewrites the access destination to an access destination that is different from the access destination when the access destination by the API execution means is an access destination to be denied access. And when the access destination by the API execution means is not the access destination that is not permitted to be accessed, the API execution means is allowed to call the API execution means and the access destination by the API execution means is not accessible. If the access destination is a target to be permitted, the access destination changing means rewrites the access destination to an access destination different from the access destination, calls the API execution means, allows the API execution means to access a different access destination, and AP Processing by the API execution means is normally performed for the execution means. It is constituted to output information indicating that.
また、本発明の仮想シンクライアント化システムは、所定のアプリケーションプログラムを実行するAP実行手段と、所定のアプリケーションプログラムインタフェースを実行するAPI実行手段と、周辺機器とを備えたコンピュータと、このコンピュータに着脱可能な記憶装置を有する仮想シンクライアント化システムであって、着脱可能な記憶装置が、AP実行手段によりAPI実行手段の呼び出し処理が行われると、API実行手段がファイルアクセスを行うものである場合、API実行手段による処理が行われる前に他の処理を実行させるためのフック処理を行うAPIフック手段と、フック処理が行われると、API実行手段によるアクセス先がアクセス不許可にする対象のアクセス先であるか否かを判定するアクセス先判定手段と、API実行手段によるアクセス先がアクセス不許可にする対象のアクセス先である場合、アクセス先をアクセス先とは異なるアクセス先に書き換えるアクセス先変更手段を備え、フィルタードライバーをコンピュータのオペレーティングシステムに備えることなく、APIフック手段が、API実行手段によるアクセス先がアクセス不許可にする対象のアクセス先でない場合、API実行手段の呼び出し処理を許可し、API実行手段によるアクセス先がアクセス不許可にする対象のアクセス先である場合、アクセス先変更手段によりアクセス先をアクセス先とは異なるアクセス先に書き換えて、API実行手段を呼び出し、当該API実行手段により異なるアクセス先にアクセスさせるとともに、AP実行手段に対してAPI実行手段による処理が正常に行われたことを示す情報を出力する構成としてある。 Further, the virtual thin client system of the present invention includes an AP execution means for executing a predetermined application program, an API execution means for executing a predetermined application program interface, and a peripheral device, and a detachable attachment to the computer. In a virtual thin client system having a storage device that can be connected to the removable storage device, when the API execution means calls the API execution means by the AP execution means, the API execution means performs file access. API hook means for performing hook processing for executing other processes before processing by the API execution means, and access destinations to be accessed by the access destination by the API execution means when the hook processing is performed. Access destination judging means for judging whether or not In the case where the access destination by the API execution means is an access destination to be denied access, access destination changing means for rewriting the access destination to an access destination different from the access destination is provided, and a filter driver is provided in the computer operating system. If the access destination by the API execution means is not the access destination that is not permitted to be accessed, the API hook means is permitted to call the API execution means and the access destination by the API execution means is not permitted to access. If the access destination is an access destination, the access destination is changed to an access destination different from the access destination by the access destination changing means, the API execution means is called, and the API execution means is made to access a different access destination. API execution means According processing is configured so as to output the information indicating the success of the process.
また、本発明の仮想シンクライアント化プログラムは、所定のアプリケーションプログラムを実行するAP実行手段と、所定のアプリケーションプログラムインタフェースを実行するAPI実行手段と、周辺機器とを備えたコンピュータを仮想シンクライアント化するための仮想シンクライアント化プログラムであって、フィルタードライバー機能をコンピュータのオペレーティングシステムに備えることなく、コンピュータを、AP実行手段によりAPI実行手段の呼び出し処理が行われると、API実行手段がファイルアクセスを行うものである場合、API実行手段による処理が行われる前に、他の処理を実行させるためのフック処理を行うAPIフック手段、フック処理が行われると、API実行手段によるアクセス先がアクセス不許可にする対象のアクセス先であるか否かを判定するアクセス先判定手段、及び、API実行手段によるアクセス先がアクセス不許可にする対象のアクセス先である場合、アクセス先をアクセス先とは異なるアクセス先に書き換えるアクセス先変更手段として機能させ、APIフック手段に、API実行手段によるアクセス先がアクセス不許可にする対象のアクセス先でない場合、API実行手段の呼び出し処理を許可させ、API実行手段によるアクセス先がアクセス不許可にする対象のアクセス先である場合、アクセス先変更手段によりアクセス先をアクセス先とは異なるアクセス先に書き換えて、API実行手段を呼び出させ、当該API実行手段により異なるアクセス先にアクセスさせるとともに、AP実行手段に対してAPI実行手段による処理が正常に行われたことを示す情報を出力させる構成としてある。 The virtual thin client program of the present invention converts a computer including an AP execution means for executing a predetermined application program, an API execution means for executing a predetermined application program interface, and a peripheral device into a virtual thin client. When the API execution means is called by the AP execution means without providing the filter driver function in the computer operating system, the API execution means accesses the file. If the API execution means is an API hook means for performing hook processing for executing other processes before the processing by the API execution means is performed, the access destination by the API execution means is not accessible. The access destination is different from the access destination when the access destination by the access destination determination unit that determines whether or not the access destination is to be permitted and the access destination by the API execution unit is the access destination that is not permitted to access. It functions as an access destination changing means for rewriting to an access destination, and when the access destination by the API execution means is not an access destination to be denied access, the API execution means is permitted to call the API execution means, and the API execution means When the access destination is an access destination to be denied access, the access destination changing unit rewrites the access destination to an access destination different from the access destination, calls the API execution unit, and the access destination varies depending on the API execution unit. API access to AP execution means Processing by stages is a configuration for outputting information indicating the success of the process.
また、本発明の仮想シンクライアント化方法は、所定のアプリケーションプログラムを実行するAP実行手段と、所定のアプリケーションプログラムインタフェースを実行するAPI実行手段と、周辺機器とを備えたコンピュータを仮想シンクライアント化するための方法であって、フィルタードライバー機能をコンピュータのオペレーティングシステムに備えることなく、コンピュータにおけるAPIフック手段が、AP実行手段によりAPI実行手段の呼び出し処理が行われると、API実行手段がファイルアクセスを行うものである場合、API実行手段による処理が行われる前に他の処理を実行させるためのフック処理を行い、コンピュータにおけるアクセス先判定手段が、フック処理が行われると、API実行手段によるアクセス先がアクセス不許可にする対象のアクセス先であるか否かを判定し、APIフック手段が、API実行手段によるアクセス先がアクセス不許可にする対象のアクセス先でない場合、API実行手段の呼び出し処理を許可し、API実行手段によるアクセス先がアクセス不許可にする対象のアクセス先である場合、コンピュータにおけるアクセス先変更手段によりアクセス先をアクセス先とは異なるアクセス先に書き換えて、API実行手段を呼び出し、当該API実行手段により異なるアクセス先にアクセスさせるとともに、AP実行手段に対してAPI実行手段による処理が正常に行われたことを示す情報を出力する方法としてある。 The virtual thin client method of the present invention converts a computer including an AP execution means for executing a predetermined application program, an API execution means for executing a predetermined application program interface, and a peripheral device into a virtual thin client. When the API execution means calls the API execution means by the AP execution means without providing the filter driver function in the computer operating system, the API execution means performs file access. If it is, the hook processing for executing other processing is performed before the processing by the API execution means is performed. When the access destination determination means in the computer performs the hook processing, the access by the API execution means is performed. If the API hook means is not the access destination of the access disallowed by the API execution means, the API execution means is called. If the access destination by the API execution means is an access destination to be denied access, the access destination change means in the computer rewrites the access destination to an access destination different from the access destination, and calls the API execution means. In this method, different access destinations are accessed by the API execution unit, and information indicating that the processing by the API execution unit has been normally performed is output to the AP execution unit.
本発明によれば、起動しているコンピュータへのログインや再起動を必要とすることなく、コンピュータのハードディスクなどの周辺機器への読み書きのアクセスや、起動できるソフトウェアを制限して、コンピュータを擬似的にシンクライアント化することができる。特に、重要ファイルを開いた瞬間など、所定の場合に一時的にコンピュータを仮想シンクライアント化することが可能となる。また、コンピュータがネットワークに接続されていなくても、仮想シンクライアント化することができる。 According to the present invention, the computer can be simulated by restricting the read / write access to peripheral devices such as the hard disk of the computer and the software that can be started without requiring login or restart to the computer being started. Can be made into a thin client. In particular, the computer can be temporarily made into a virtual thin client in a predetermined case such as the moment when an important file is opened. Further, even if the computer is not connected to the network, it can be made into a virtual thin client.
以下、本発明の仮想シンクライアント化装置、仮想シンクライアント化システム、仮想シンクライアント化プログラム、及び仮想シンクライアント化方法の好ましい実施形態について、図面を参照しつつ説明する。
なお、以下の実施形態に示す本発明の仮想シンクライアント化装置は、本発明の仮想シンクライアント化プログラムに制御されたコンピュータを用いて実現することができる。コンピュータのCPUは、仮想シンクライアント化プログラムにもとづいてコンピュータの各構成要素に指令を送り、仮想シンクライアント化装置の動作に必要となる所定の処理、例えば、APIフック処理、呼び出し先判定処理、呼び出し先変更処理、暗号化処理等を行わせる。このように、本発明の仮想シンクライアント化装置における各処理,動作は、プログラムとコンピュータとが協働した具体的手段により実現できるものである。
Preferred embodiments of the virtual thin client device, virtual thin client system, virtual thin client program, and virtual thin client method of the present invention will be described below with reference to the drawings.
The virtual thin client device of the present invention shown in the following embodiments can be realized using a computer controlled by the virtual thin client program of the present invention. The CPU of the computer sends a command to each component of the computer based on the virtual thin client program, and performs predetermined processing necessary for the operation of the virtual thin client device, for example, API hook processing, call destination determination processing, call The destination change process, the encryption process, etc. are performed. Thus, each process and operation in the virtual thin client device of the present invention can be realized by specific means in which the program and the computer cooperate.
プログラムは予めROM,RAM等の記録媒体に格納され、コンピュータに実装された記録媒体から当該コンピュータにプログラムを読み込ませて実行されるが、例えば通信回線を介してコンピュータに読み込ませることもできる。
また、プログラムを格納する記録媒体は、例えば半導体メモリ,磁気ディスク,光ディスク、その他任意のコンピュータで読取り可能な任意の記録手段により構成できる。
The program is stored in advance in a recording medium such as a ROM and a RAM, and is executed by causing the computer to read the program from a recording medium mounted on the computer. For example, the program may be read by the computer via a communication line.
Further, the recording medium for storing the program can be constituted by, for example, a semiconductor memory, a magnetic disk, an optical disk, or any other recording means that can be read by any computer.
[第一実施形態]
まず、本発明の第一実施形態の構成について、図1及び図2を参照して説明する。図1は、本実施形態の仮想シンクライアント化装置の構成を示すブロック図において、アクセス許可時の処理の流れを、図2は、アクセス不許可時の処理の流れを示す図である。
[First embodiment]
First, the structure of 1st embodiment of this invention is demonstrated with reference to FIG.1 and FIG.2. FIG. 1 is a block diagram showing the configuration of the virtual thin client device of this embodiment, and FIG. 2 is a diagram showing a processing flow when access is permitted, and FIG. 2 is a diagram showing a processing flow when access is not permitted.
図1において、PC10は本実施形態の仮想シンクライアント化装置を示している。このPC10は、通常の使用時は多機能を備えたリッチクライアントとして動作し、特定の場合に擬似的にシンクライアント化させることができる。
PC10は、AP(アプリケーションプログラム)11、API(アプリケーションプログラムインタフェース)12、ファイルシステム13、ハードディスク14、APIフック手段15、及びアクセス先判定手段16を備えている。
In FIG. 1, a
The
AP11は、アプリケーションプログラムを実行する手段である。アプリケーションプログラムとしては、例えばワードなどの一般的なアプリケーションプログラムの他、エクスプローラなどのOSの一部を構成するプログラムも含まれる。
The
API12は、AP11により呼び出される各種関数などのプログラムを実行する手段であり、AP11に呼び出されてそれぞれの処理を実行する。このAPI12には種々のものがあるが、本実施形態ではファイルの読み込みや書き込み、印刷、外部出力などのファイルアクセスを行うAPIを、APIフック手段21によりフックする対象としている。図1の例では、API12を一つのみ示しているが、複数のAPI12の呼び出しが行われる場合もある。
The
ファイルシステム13は、ハードディスク14などの周辺機器におけるデータの記録を管理する。
ハードディスク14は、PC10におけるデータの記憶手段である。なお、本実施形態では、API12のアクセス先をハードディスク14としているが、これに限定されるものではなく、DVDドライブなどの補助記憶装置、プリンターなどの出力装置等、その他の周辺機器とすることもできる。
The
The
APIフック手段15は、AP11により呼び出されるAPI12のうち、予めフックの対象として特定された所定のAPI12の呼び出し処理をフックする。すなわち、APIフック手段15は、AP11から呼び出されるAPI12による処理が行われる前に、別個の処理を行うことを可能とする。なお、この所定のAPI12は、APIフック手段15やその他の記憶手段に予め記憶させておくことができる。また、この所定のAPI12としては、ハードディスク14やその他の外部記憶装置への読み込みや書き込み、印刷装置への出力、ネットワークへの送信などファイルアクセスを行う全てのAPIを対象とすることができる。
The
APIフック手段15は、所定のAPI12の呼び出し処理をフックすると、制御をアクセス先判定手段16に渡し、API12によるアクセス先が仮想シンクライアント状態下においてアクセス不許可にする対象として予め特定された所定のファイル等であるか否かを当該アクセス先判定手段16により判定させる。なお、「アクセス不許可にする対象として特定された所定のファイル等」は、情報漏洩防止対象の重要ファイルなどであり、そのファイルの置かれているディレクトリ名又はファイル名のどちらかで判別することができる。このディレクトリ名又はファイル名をアクセス先判定手段16やその他の記憶手段に予め記憶させておき、当該判定処理に用いることができる。
When the
APIフックは、次の二通りの方法により行うことができる。
まず、第一のフック方法として、OS提供型のAPIフックを用いる方法がある。この方法では、ウインドウズ(登録商標)などのOSに組み込まれているフック手段を利用して、API12の呼び出しをフックする。
しかしながら、この方法では、フックしたくない処理までフックされる場合があるため、目的のもののみを的確にフックする必要がある場合は、次の第二のフック方法を使用する。
第二のフック方法は、DLLインジェクションによって、所定のAPI12の呼び出しをフックする。この方法では、メモリ上におけるAPIを呼び出しているコードを書き換えることで、当該APIに代えて他の処理の実行を可能にしている。
The API hook can be performed by the following two methods.
First, as a first hook method, there is a method using an OS-provided API hook. In this method, a call to the
However, in this method, since it may be hooked to a process that is not desired to be hooked, when it is necessary to accurately hook only the target one, the following second hook method is used.
The second hook method hooks a call to a
APIフック手段15を構成するにあたっては、事前にAP11によって使われる可能性のある、あらゆるAPI12を検討して、ファイル名が引数になっているAPI12をすべて選び出し、どのAPI12をフックの対象とするかをAPIフック手段15に記憶させておく必要がある。
このようなフックの対象とするAPI12としては、例えば次のようなものを挙げることができる。
When configuring the API hook means 15, consider all
Examples of the
<ファイルの読み書き> NTCreateFile NTOpenFile NTCloseFile
<印刷> OPenPrinterA OpenPrinterW StartDocPrinterA StartDocPrinterW EndPagePrinter EndDocPrinter
<ファイルのネットワークへの送信>NTCreateFile NTOpenFile NTCloseFile InternetConnectA InternetConnectW InternetOpenUrlA InternetOpenUrlW
<起動できるソフトウェアの制限> NTOpenFile
<レジストリーアクセス> NtOpenKey NtCreateKey
<ファイル共有> NtShareAdd NTShareDel
<Reading and writing files> NTCreateFile NTOpenFile NTCloseFile
<Print> OPenPrinterA OpenPrinterW StartDocPrinterA StartDocPrinterW EndPagePrinter EndDocPrinter
<Send file to network> NTCreateFile NTOpenFile NTCloseFile InternetConnectA InternetConnectW InternetOpenUrlA InternetOpenUrlW
<Restricted software that can be started> NTOpenFile
<Registry access> NtOpenKey NtCreateKey
<File sharing> NtShareAdd NTShareDel
アクセス先判定手段16は、AP11から呼び出されるAPI12のアクセス先が、予め仮想シンクライアント状態下においてアクセス不許可にする対象として特定された所定のファイル等であるか否かを判定して、その判定結果をAPIフック手段15に返す。
判定の結果、API12のアクセス先が当該所定のファイル等でない場合、PC10の仮想シンクライアント化は行わないため、図1に示すように、APIフック手段15は、AP11が実行させようとしていたAPI12を呼び出して、当該API12によるファイルアクセス処理を実行させる。このとき、APIフック手段15は、API12から実行結果を受け取って、API12によるファイルアクセス処理が正常に行われた場合は、API12による処理が正常に行われたことを示す情報をAP11に出力する。一方、API12によるファイルアクセス処理が正常に行われなかった場合は、エラー情報をAP11に出力する。
The access
As a result of the determination, if the access destination of the
一方、判定の結果、API12のアクセス先が当該所定のファイル等である場合、PC10を仮想シンクライアント化するため、図2に示すように、APIフック手段15は、AP11にエラー情報を出力する。
これにより、ユーザやAP11側から見ると、ログインや再起動を行うことなく、またファイルのアクセス権限を設定することなく、重要文書などの所定のファイルに対するアクセスを行うことができなくなり、PC10を疑似的にシンクライアント化することが可能となる。
On the other hand, as a result of the determination, if the access destination of the
As a result, when viewed from the user or the
次に、図3に示すフローチャートを参照して、本実施形態の仮想シンクライアント化装置の処理手順(仮想シンクライアント化方法)について説明する。
まず、AP11が、ファイルアクセスを行う各種API12の呼び出し処理を行うと(ステップ10)、そのAPI12による処理が実行される前に、呼び出し処理をAPIフック手段15がフックする(ステップ11)。
このとき、APIフック手段15は、AP11からAPI12の呼び出し要求情報を取得する。呼び出し要求情報には、呼び出す対象のAPI12を特定するための情報と、アクセスするファイルアクセス先情報が含まれている。
次に、APIフック手段15は、呼び出し先判定手段16に制御を渡す。
Next, a processing procedure (virtual thin client method) of the virtual thin client device of the present embodiment will be described with reference to the flowchart shown in FIG.
First, when the
At this time, the API hook means 15 acquires the
Next, the
呼び出し先判定手段16は、呼び出されるAPI12のアクセス先が、仮想シンクライアント状態下においてアクセス不許可にする対象として特定された所定のファイル等であるか否かを判定する(ステップ12)。
このアクセス先の判定処理は、「呼び出されるAPI12のアクセス先」を上記「API12の呼び出し要求情報」から取得し、これが、上述したように、呼び出し先判定手段16等において予め記憶されている「アクセス不許可にする対象として特定された所定のファイル等」に含まれているか否かを判定することにより行うことができる。
The call
In this access destination determination process, the “access destination of the
また、このアクセス先の判定処理では、API12がアクセスしようとするファイル名の解析が行われ、所定のファイルであるか否かを判定するとともに、そのアクセス先のハードウェアを特定することができる。ファイル名の命名ルールはOSによって異なるため、ファイル名の解析は、各OSの命名ルールに従って行われる。
In the access destination determination process, the file name to be accessed by the
例えば、OSがウインドウズの場合、複数の命名ルールが存在するが、その1つにドライブ名と呼ばれるアルファベットとそれに続く名前により、ファイル名を定義する命名ルールがある。例えばC:\testとD:\testの2つのファイル名がある場合、C:\とD:\はドライブ名であり、その後のtestがファイルの名前である。ドライブ名は、PCに接続されたハードウェアの種類を表し、例えばあるPCではc:\がハードディスク、d:\がUSBメモリドライブを表す。このPC場合、API12のアクセス先が「c:\test」であれば、ハードディスク内にあるファイルへのアクセスを示し、「d:\test」であれば、USBメモリ内にあるファイルのアクセスということがわかる。
For example, when the OS is Windows, there are a plurality of naming rules. One of them is a naming rule for defining a file name by an alphabet called a drive name and a name following it. For example, if there are two file names C: \ test and D: \ test, C: \ and D: \ are drive names, and the subsequent test is the file name. The drive name represents the type of hardware connected to the PC. For example, in a certain PC, c: \ represents a hard disk and d: \ represents a USB memory drive. In this PC, if the access destination of the
アクセス先の判定処理の具体的な内容は、様々なものとすることができる。例えば、重要ファイルについて、ハードディスク14への書き込みは禁止するが、USBメモリ20なら許可したり、共に禁止にしたりすることもできる。また、重要ファイルについて、APIが読み込みを行うものであれば許可するが、書き込みを行うものなら禁止したり、共に禁止にしたりすることもできる。
The specific contents of the access destination determination process can be various. For example, writing of important files to the
次に、アクセス先の判定処理の結果、当該アクセス先がアクセス不許可にする対象として特定された所定のファイル等である場合(ステップ13のYES)、APIフック手段15はAP11へエラーを返却する(ステップ14)。これにより、AP11は、上記所定のファイル等にアクセスすることができず、PC10は疑似的にシンクライアント化されることとなる。
すなわち、この仮想シンクライアント化方法によれば、所定のAPIをフックするとともに、そのファイルのアクセス先を判定することで、ハードディスク14へのファイルの読み込みや書き込み、印刷装置への出力、ネットワークへの送信等を、その処理毎に禁止することができ、PC10を擬似的なシンクライアント状態にすることが可能となっている。
Next, as a result of the access destination determination process, if the access destination is a predetermined file or the like specified as a target for which access is not permitted (YES in step 13), the
That is, according to this virtual thin client method, a predetermined API is hooked and the access destination of the file is determined, so that reading and writing of the file to the
一方、アクセス先の判定の結果、当該アクセス先がアクセス不許可にする対象として特定された所定のファイル等でない場合(ステップ13のNO)、APIフック手段15はAPI12を呼び出して(ステップ15)、API12によるファイルアクセスを実行させる(ステップ16)。
On the other hand, as a result of the determination of the access destination, if the access destination is not a predetermined file or the like specified as a target for which access is not permitted (NO in step 13), the API hook means 15 calls the API 12 (step 15), The file access by the
このとき、APIフック手段15は、API12から実行結果を受け取って、API12によるファイルアクセス処理が正常に行われた場合は(ステップ17のYES)、API12による処理が正常に行われたことを示す情報をAP11に返却する(ステップ18)。
一方、API12によるファイルアクセス処理が正常に行われなかった場合は、エラーをAP11に返却する(ステップ17のNO)。
At this time, when the
On the other hand, if the file access process by the
呼び出されるAPI12のアクセス先は、上述したように、API12の呼び出し要求情報から取得することができ、対象ファイルがハードディスクに存在するのか、ネットワーク上のファイルサーバ等に存在するのか等を、OSのファイル名の規則にもとづき得ることが可能である。
As described above, the access destination of the
このように、本実施形態におけるPC10の仮想シンクライアント化はAP11による特定の処理の際に一時的に行われるものであり、当該処理の終了と同時に解除されて、PC10は通常の状態に戻ることになる。
これによって起動しているコンピュータへのログインや再起動を必要とすることなく、重要ファイルなどについてのハードディスクや周辺機器等へのアクセス等を制限することが可能であり、本実施形態の仮想シンクライアント化は、コンピュータを簡易的にシンクライアント状態にするものであるといえる。
As described above, the virtual thin client of the
This makes it possible to restrict access to hard disks and peripheral devices for important files and the like without requiring login or restart to the running computer, and the virtual thin client of this embodiment It can be said that the computerization simply puts the computer into a thin client state.
以上説明したように、本実施形態の仮想シンクライアント化装置、仮想シンクライアント化プログラム、及び仮想シンクライアント化方法によれば、通常は普通のコンピュータを、ユーザが所定のファイルにアクセスしようとした瞬間に、擬似的にシンクライアント化することが可能となる。 As described above, according to the virtual thin client device, the virtual thin client program, and the virtual thin client method according to the present embodiment, a normal computer usually has a moment when a user tries to access a predetermined file. In addition, it becomes possible to make a pseudo thin client.
[第二実施形態]
次に、本発明の第二実施形態の構成について、図4を参照して説明する。同図は、本実施形態の仮想シンクライアント化装置の構成を示すブロック図において、アクセス不許可時の処理の流れを示す図である。
本実施形態の仮想シンクライアント化装置は、第一実施形態における構成に加え、アクセス先変更手段17、及び暗号化手段18を備えている。
[Second Embodiment]
Next, the configuration of the second embodiment of the present invention will be described with reference to FIG. This figure is a block diagram showing the configuration of the virtual thin client device of this embodiment, showing the flow of processing when access is not permitted.
The virtual thin client device of the present embodiment includes an access
AP11の種類によっては、単にファイルへのアクセスを不許可とし、API12の呼び出し処理に対してAP11へエラーを返すだけでは正常に動作しないものが存在する。本実施形態は、このようなAP11から所定のAPI12が呼び出され、アクセス不許可にする対象として予め特定されたファイル等へのアクセスが行われる場合に、仮想シンクライアント化を実現するものである。その他の点については、第一実施形態と同様のものとすることができる。
Depending on the type of the
アクセス先変更手段17は、API12のアクセス先のファイル名を変更することで、ファイルの付け替え処理を行う。
これによって、AP11から呼び出されたAPI12に、付け替えられたファイルへアクセスさせる。このとき、付け替えられたファイルの格納先を、ユーザが目に触れにくい場所にすることで、AP11に認識させることなく、またハードディスクに保存していないように見せつつ、ハードディスク内に一時的に保存する。
The access
As a result, the
しかしながら、このようなファイルの付け替え処理のみでは、勿論当該ファイルからの情報漏洩を十分には防止できないため、本実施形態では当該ファイルを暗号化手段18により暗号化する。
このとき、暗号化手段18により暗号化されたファイルは、APIフック手段15からAPI12に送られ、ファイルシステム13を経由してハードディスク14に記憶される。
However, since only such a file replacement process cannot sufficiently prevent leakage of information from the file, the file is encrypted by the
At this time, the file encrypted by the
なお、AP11から暗号化されたファイルを読み込むAPI12が呼び出され、アクセス先がアクセス許可対象であると判定されてその復号化を行う場合、当該暗号化ファイルはAPIフック手段15から暗号化手段18へ送られて、暗号化手段18により復号化される。そして、復号化されたファイルはAPIフック手段15を経由してAP11へ送られる。
このような復号化処理を行うため、暗号化手段18による暗号化に際して、ファイルの先頭などに当該ファイルを暗号化したことを識別する情報を付加しておくことが好ましい。このようにすれば、呼び出し先判定手段16は、API12からファイルを入力するときに、そのファイルを復号化すべきかどうかを自動的に判断することができる。
When the
In order to perform such decryption processing, it is preferable to add information for identifying that the file has been encrypted at the beginning of the file when the
次に、図5に示すフローチャートを参照して、本実施形態の仮想シンクライアント化装置の処理手順(仮想シンクライアント化方法)について説明する。
まず、AP11によるAPI12の呼び出し処理からアクセス不許可対象のアクセス先か否かの判定処理(ステップ30〜ステップ33)、及びAPIフック手段15によるAPI12の呼び出し処理からAPI12による処理が正常に行われたことを示す情報をAP11へ返却する処理(ステップ40〜ステップ43)までの動作は、第一実施形態における動作(ステップ10〜ステップ13、ステップ15〜ステップ18)と同様である。ただし、本実施形態では、AP11によりあるファイルに対する書き込み処理を行うAPI12が呼び出される場合を想定している。
Next, a processing procedure (virtual thin client method) of the virtual thin client device of the present embodiment will be described with reference to a flowchart shown in FIG.
First, the process of determining whether the access destination is an access-denied target from the
本実施形態では、API12のアクセス先が仮想シンクライアント状態下においてアクセス不許可にする対象であり(ステップ33のYES)、API12がファイルの書き込みを行うものである場合(ステップ34のYES)、アクセス先変更手段17がファイル名を付け替えてAPI12のアクセス先を変更する(ステップ35)。
また、暗号化手段18は、AP11により書き込みが行われたファイルを、APIフック手段15を介して入力し、当該ファイルを暗号化する(ステップ36)。
In this embodiment, when the access destination of the
The encryption means 18 inputs the file written by the
そして、APIフック手段15により当該API12が呼び出され、暗号化ファイルがAPIフック手段15からAPI12へ渡され(ステップ37)、API12によりハードディスク14に格納される(ステップ38)。
暗号化ファイルの格納処理が正常に行われると(ステップ42のYES)、APIフック手段15は、AP11にAPI12による処理が正常に行われたことを示す情報をAP11に返却する(ステップ43)。
Then, the
When the encrypted file storing process is normally performed (YES in step 42), the
一方、API12がファイルの書き込みを行うものでない場合(ステップ34のNO)、第一実施形態と同様に、APIフック手段15からAP11に対し、API12によるファイルへのアクセスを禁止することを示すエラーを返却する(ステップ39)。
また、暗号化ファイルの格納処理が正常に行われなかった場合(ステップ42のNO)、APIフック手段15からAP11に対し、API12による処理が正常に行われなかったことを示すエラーをAP11に返却する(ステップ39)。
On the other hand, if the
If the encrypted file storage process is not normally performed (NO in step 42), an error indicating that the process by the
このように、本実施形態では、実際にはAPI12によるファイルに対するアクセスが行われ、書き込みが行われている。しかしながら、PC10のユーザにとっては、元のファイルに対する書き込みが行われていないため、書き込みが行えなかったように認識される。そして、アクセスされたファイルは暗号化されているため、当該ファイルが万一漏洩しても、情報漏洩は防止される。このため、PC10は、擬似的にシンクライアント化されているといえる。
As described above, in the present embodiment, the file is actually accessed and written by the
以上説明したように、本実施形態の仮想シンクライアント化装置、仮想シンクライアント化プログラム、及び仮想シンクライアント化方法によれば、単にファイルのアクセスを禁止するだけでは正常に動作しなくなる特定のAP11を使用する場合でも、PC10の仮想シンクライアント化を実現することができる。
As described above, according to the virtual thin client device, the virtual thin client program, and the virtual thin client method of the present embodiment, a
[第三実施形態]
次に、本発明の第三実施形態の構成について、図6を参照して説明する。同図は、本実施形態の仮想シンクライアント化装置の構成を示すブロック図である。
本実施形態の仮想シンクライアント化装置は、第二実施形態における構成に加え、消去手段19を備えている。
[Third embodiment]
Next, the structure of 3rd embodiment of this invention is demonstrated with reference to FIG. This figure is a block diagram showing the configuration of the virtual thin client device of this embodiment.
The virtual thin client device of the present embodiment includes an erasing
本実施形態は、ハードディスク14に保存された暗号化ファイルを、所定のタイミングで消去する点で第二実施形態と異なっている。その他の点は第二実施形態と同様である。
第二実施形態においても、API12によってハードディスク14に格納されたファイルは、AP11が認識する保存先とは別個のアドレスに存在するとともに、暗号化されたものであるため、情報漏洩を生じるものではない。しかし、この暗号化ファイルを所定のタイミングで消去すれば、情報漏洩防止効果は一層向上し得る。そこで、本実施形態では、消去手段19により、ハードディスク14における暗号化ファイルを消去している。
This embodiment is different from the second embodiment in that an encrypted file stored in the
Also in the second embodiment, the file stored in the
なお、AP11の種類によっては、その終了時に、ハードディスク14に生成したファイルを自動的に消去するものが存在する。しかし、このような動作を行わないAP11が存在する場合や、上記の自動消去が成功しなかった場合でも、暗号化ファイルを消去可能なように、本実施形態の仮想シンクライアント化装置に消去手段19を設けている。
Note that, depending on the type of the
消去手段19は、ファイルの消去処理を行うAPIを呼び出し、ファイルシステム13を経由してハードディスク14における暗号化ファイルを消去する。
消去対象のファイルとしては、全ての暗号化ファイルとするほか、特定の名称のものや、暗号化手段18から入力した特定のファイルのみを対象とすることができる。暗号化ファイルであるか否かは、暗号化手段18がファイルの暗号化を行う際に、暗号化されているかどうかの識別情報を当該ファイルに持たせることで判定できる。
消去タイミングとしては、例えば暗号化ファイルのクローズ時、AP11によるアプリケーションの終了時、ブラウザの終了時、PC10にUSBメモリ20が接続されている場合におけるその切り離し時などとすることができる。
The erasing
As the files to be erased, not only all encrypted files but also specific names or only specific files input from the encryption means 18 can be targeted. Whether or not the file is an encrypted file can be determined by providing the file with identification information as to whether or not the file is encrypted when the
The erasure timing can be, for example, when the encrypted file is closed, when the application by the
以上説明したように、本実施形態の仮想シンクライアント化装置、仮想シンクライアント化プログラム、及び仮想シンクライアント化方法によれば、PC10が仮想シンクライアント化され、ハードディスク14上に暗号化ファイルが生成された場合において、その仮想シンクライアント化が解除されたときに、暗号化ファイルを消去することができる。このため、PC10から情報が漏洩するリスクをより低減することが可能となる。
As described above, according to the virtual thin client device, the virtual thin client program, and the virtual thin client method of the present embodiment, the
[第四実施形態]
次に、本発明の第四実施形態の構成について、図7を参照して説明する。同図は、本実施形態の仮想シンクライアント化装置の構成を示すブロック図である。
本実施形態の仮想シンクライアント化装置は、第一実施形態における構成に加え、仮想シンクライアント化プログラム10aを備えている。
本実施形態は、PC10に予めインストールされた仮想シンクライアント化プログラム10aを起動して、PC10にAPIフック手段15とアクセス先判定手段16を生成する点で第一実施形態と異なっている。その他の点は第一実施形態と同様である。
[Fourth embodiment]
Next, the structure of 4th embodiment of this invention is demonstrated with reference to FIG. This figure is a block diagram showing the configuration of the virtual thin client device of this embodiment.
The virtual thin client computer of this embodiment includes a virtual thin
This embodiment is different from the first embodiment in that the virtual
また、仮想シンクライアント化プログラム10aにより、第二実施形態又は第三実施形態におけるPC10内の各構成を生成するようにすることも可能である。すなわち、仮想シンクライアント化プログラム10aを実行して、APIフック手段15、アクセス先判定手段16、アクセス先変更手段17、及び暗号化手段18を生成したり、又はこれらに加えて消去手段19を生成したりする構成としても良い。
It is also possible to generate each component in the
[第五実施形態]
次に、本発明の第五実施形態の構成について、図8及び図9を参照して説明する。図8は、本実施形態の仮想シンクライアント化システムの構成を示すブロック図において、アクセス許可時の処理の流れを、図9は、アクセス不許可時の処理の流れを示す図である。
本実施形態の仮想シンクライアント化システムは、PC10と、これに着脱可能なUSBメモリ20とを有しており、USBメモリ20によりPC10の仮想シンクライアント化を行っている点で第一実施形態と異なっている。その他の点については第一実施形態と同様である。また、当該仮想シンクライアント化システムにおいて行われる仮想シンクライアント化方法は、図3のフローチャートと同様の手順で行うことができる。
[Fifth embodiment]
Next, the structure of 5th embodiment of this invention is demonstrated with reference to FIG.8 and FIG.9. FIG. 8 is a block diagram showing the configuration of the virtual thin client system of this embodiment, and FIG. 9 is a diagram showing the flow of processing when access is permitted, and FIG. 9 is the flow of processing when access is not permitted.
The virtual thin client system of the present embodiment includes the
PC10は、本実施形態で仮想シンクライアント化を行う対象の装置であり、通常は一般的なリッチクライアントとして動作する、汎用のパーソナルコンピュータなどの情報処理装置である。
本実施形態では、USBメモリ20にPC10を仮想シンクライアント化するための構成を備え、USBメモリ20をPC10に接続することで、重要ファイルへのアクセスが行われようとした場合など、一定条件下でPC10を擬似的にシンクライアント化することができる。
PC10は、図8に示すように、AP11、API12、ファイルシステム13、及びハードディスク14を備えている。これらは第一実施形態におけるものと同様のものを用いることができる。
The
In this embodiment, the USB memory 20 has a configuration for making the
As shown in FIG. 8, the
USBメモリ20は、PC10に着脱可能なリムーバブルディスクである。本実施形態では、USBメモリとしているが、これに限定されるものではなく、その他の各種メディアを用いることもできる。
USBメモリ20は、図8に示すように、APIフック手段21、及びアクセス先判定手段22を備えている。これらは、それぞれ第一実施形態のPC10におけるAPIフック手段15、アクセス先判定手段16と同様の機能を備えている。
The USB memory 20 is a removable disk that can be attached to and detached from the
As shown in FIG. 8, the USB memory 20 includes an
すなわち、本実施形態では、APIフック手段21が、AP11により呼び出されるAPI12のうち、予めフックの対象として特定された所定のAPI12の呼び出し処理をフックする。この所定のAPI12として、ファイルアクセスを行う全てのAPIを対象とすることができる。
そして、APIフック手段21は、アクセス先判定手段22により、API12のアクセス先が仮想シンクライアント状態下においてアクセス不許可にする対象として予め特定された所定のファイル等であるか否かを判定させる。
That is, in the present embodiment, the
Then, the
この判定の結果、API12のアクセス先が当該所定のファイル等でない場合、APIフック手段21は、図8に示すように、API12を呼び出して、ファイルアクセス処理を実行させる。
また、判定の結果、API12のアクセス先が当該所定のファイル等である場合、APIフック手段21は、図9に示すように、AP11にエラーを返却する。
As a result of the determination, if the access destination of the
As a result of the determination, if the access destination of the
本実施形態の仮想シンクライアント化システム、仮想シンクライアント化プログラム、及び仮想シンクライアント化方法によれば、USBメモリ20などのリムーバブルディスクにPC10を仮想シンクライアント化するための構成を備え、これによって、任意のPC10を簡易に擬似的にシンクライアント化することが可能となる。
According to the virtual thin client system, the virtual thin client program, and the virtual thin client method of the present embodiment, a configuration for converting the
[第六実施形態]
次に、本発明の第六実施形態の構成について、図10を参照して説明する。同図は、本実施形態の仮想シンクライアント化システムの構成を示すブロック図において、アクセス許可時の処理の流れを示すものである。
本実施形態の仮想シンクライアント化システムは、AP11がAPI12によって、USBメモリ20の記憶手段23におけるファイルにアクセスする場合は、PC10を仮想シンクライアント化することなく、当該アクセスを許可する点で第五実施形態と異なる。その他の点については、第五実施形態と同様である。また、当該仮想シンクライアント化システムにおいて行われる仮想シンクライアント化方法は、図3のフローチャートと同様の手順で行うことができる。
[Sixth embodiment]
Next, the structure of 6th embodiment of this invention is demonstrated with reference to FIG. This figure shows the flow of processing at the time of access permission in the block diagram showing the configuration of the virtual thin client system of this embodiment.
In the virtual thin client system of the present embodiment, when the
すなわち、本実施形態の仮想シンクライアント化システムにおいて、USBメモリ20は、AP11から所定のAPI12が呼び出されると、APIフック手段21によりその呼び出し処理をフックして、アクセス先判定手段22によりAPI12のアクセス先が、仮想シンクライアント状態下においてアクセス不許可にする対象であるか否かを判定させる。
That is, in the virtual thin client system of this embodiment, when a
そして、判定の結果、API12のアクセス先がUSBメモリ20内の記憶手段23である場合、APIフック手段21は、当該アクセス先を仮想シンクライアント状態下においてアクセス不許可にする対象外である判定してAPI12を呼び出し、ファイルアクセスを許可する。
このとき、API12は、ファイルシステム13を経由して、USBメモリ20の記憶手段23へのアクセスを行う。なお、API12によりファイルシステム13を介することなく、記憶手段23にアクセスさせることもできる。
If the access destination of the
At this time, the
[第七実施形態]
次に、本発明の第七実施形態の構成について、図11を参照して説明する。同図は、本実施形態の仮想シンクライアント化システムの構成を示すブロック図において、アクセス不許可時の処理の流れを示すものである。
本実施形態は、第二実施形態と同様のAP11からAPI12の呼び出しが行われた場合に、仮想シンクライアント化を実現するためのバリエーションのシステムである。すなわち、AP11の種類によっては、単にファイルへのアクセスを不許可とし、API12の呼び出し処理に対してAP11へエラーを返すだけでは正常に動作しないものが存在する。
[Seventh embodiment]
Next, the structure of 7th Embodiment of this invention is demonstrated with reference to FIG. This figure shows the flow of processing when access is not permitted in the block diagram showing the configuration of the virtual thin client system of this embodiment.
This embodiment is a variation system for realizing a virtual thin client when the
このようなAP11からAPI12が呼び出されたとき、第二実施形態では、アクセス先を変更するとともに、ファイルを暗号化してAPI12によりハードディスク14内に格納し、かつAP11に対して正常に処理が行われたことを示す情報を返すことで、PC10の仮想シンクライアント化を実現している。すなわち、第二実施形態では、ハードディスク14以外の記憶装置が一切ない場合に、ファイルの暗号化を行うことにより、ユーザや第三者が当該ファイルにアクセスできないようにしてシンクライアント化を実現している。
When the
これに対し、本実施形態では、USBメモリ20という他の記憶手段が備えられている場合に、アクセス先変更手段17によりファイルの記憶場所を他の記憶手段に変更し、AP11にはハードディスク14にアクセスしているように認識させることで、PC10のシンクライアント化を実現している。
すなわち、AP11がアクセスしようとしているハードディスク14内のファイルが既に存在している場合は、そのファイル全体を記憶手段23にコピーし、API12にこのコピーに対するアクセスを行わせることで、あたかもAP11がハードディスク14内の当該ファイルにアクセスしているようにみせかけている。AP11がハードディスク14内の当該ファイルに書き込みを行おうとした場合、ハードディスク14内の当該ファイルに書き込みが行われるのではなく、アクセス先変更が行われ、API12により記憶手段23のファイルに書き込みが行われる。なお、書き込みを開始する前に、当該ファイルがハードディスク14に存在する場合は、そのファイルの内容を記憶手段23にコピーした後に、ファイルへの書き込みが行われるが、当該ファイルがハードディスク14に存在しない場合は、即座に記憶手段23への書き込みが行われる。その他の点については、第六実施形態と同様のものとすることができる。
On the other hand, in the present embodiment, when another storage unit called the USB memory 20 is provided, the access
That is, if a file in the
本実施形態の仮想シンクライアント化システムでは、図11に示すように、APIフック手段21がAP11によるAPI12−2の呼び出し処理をフックして、アクセス先判定手段22によりAPI12−2のアクセス先が、仮想シンクライアント状態下においてアクセス不許可にする対象である特定のファイル等であるか否かを判定する。
そして、判定の結果、アクセス先がアクセス不許可にする対象である特定のファイル等であって、当該ファイルがハードディスク14に格納されている場合、アクセス先変更手段24は、API12−3を呼び出して、API12−3によりファイルシステム13を介してハードディスク14に格納されている当該ファイルをUSBメモリ20における記憶手段23に複製する。
In the virtual thin client system of this embodiment, as shown in FIG. 11, the API hook means 21 hooks the API 12-2 calling process by the
As a result of the determination, if the access destination is a specific file or the like that is to be denied access, and the file is stored in the
そして、APIフック手段21は、API12を呼び出して記憶手段23における複製されたファイルへのアクセスを行うとともに、AP11に対して正常終了したことを示す情報を返却する。
これによって、PC10を擬似的にシンクライアント化している。
Then, the
As a result, the
ここで、本実施形態でも第二実施形態と同様に、実際にはAPI12によるファイルに対するアクセスが行われているが、PC10のユーザに対しては、ファイルアクセスが適切に行えなかったと認識させることができる。また、アクセスされたファイルはPC10内に記憶されない。したがって、PC10は擬似的にシンクライアント化されているということができる。
In this embodiment, as in the second embodiment, the file is actually accessed by the
次に、図12に示すフローチャートを参照して、本実施形態の仮想シンクライアント化システムの処理手順(仮想シンクライアント化方法)について説明する。
同図において、ハードディスクにおけるアクセス先ファイルをUSBメモリに複製する動作(ステップ55)以外の動作は、第二実施形態で説明した図5における動作と同様のものとすることができる。ただし、本実施形態は、APIのフック処理、アクセス先判定処理、アクセス先変更処理が、それぞれUSBメモリ20におけるAPIフック手段21、アクセス先判定手段22、及びアクセス先変更手段24によって行われる点で第二実施形態と異なっている。
Next, a processing procedure (virtual thin client conversion method) of the virtual thin client conversion system of this embodiment will be described with reference to the flowchart shown in FIG.
In the figure, operations other than the operation of copying the access destination file in the hard disk to the USB memory (step 55) can be the same as the operation in FIG. 5 described in the second embodiment. However, in the present embodiment, API hook processing, access destination determination processing, and access destination change processing are performed by the API hook means 21, access destination determination means 22, and access destination change means 24 in the USB memory 20, respectively. This is different from the second embodiment.
すなわち、本実施形態では、API12−2がファイルの書き込みを行うものである場合、アクセス先変更手段24は、API12−3を呼び出して、ハードディスク14におけるアクセス対象のファイルを記憶手段23へ複製し、API12−2のアクセス先をこの複製ファイルに変更する。
例えば、アクセス先変更手段24は、APIフック手段21からAPI12−2の書き込み先として、「c:\TEST」という名前を入力すると、PC10のハードディスク14を検索して当該ファイルを取得し、これを複製して、USBメモリ20の記憶手段23に、「d:\TEST.TEMP」といったファイル名に変更して記憶させる。
That is, in this embodiment, when the API 12-2 is for writing a file, the access
For example, when the name “c: \ TEST” is input as the API 12-2 writing destination from the
また、USBメモリ20に暗号化手段を設けることで、第二実施形態と同様に当該ファイルを暗号化することもできる。
さらに、本実施形態では、APIフック手段15は、AP11が呼び出そうとしていたAPI12−2そのものではなく、これとは別個のAPI12を呼び出して、当該API12により記憶手段23に複製されたファイルへの書き込み処理を行っている。
Further, by providing an encryption unit in the USB memory 20, the file can be encrypted as in the second embodiment.
Further, in the present embodiment, the
本実施形態の仮想シンクライアント化システム、仮想シンクライアント化プログラム、及び仮想シンクライアント化方法によれば、AP11の種類が、単にファイルへのアクセスを不許可とし、APIの呼び出し処理に対してAP11へエラーを返すだけでは正常に動作しないものである場合に、APIにUSBメモリ20の記憶手段23内に複製したファイルへアクセスさせることで、PC10を擬似的にシンクライアント化することが可能となっている。
According to the virtual thin client system, the virtual thin client program, and the virtual thin client method of the present embodiment, the type of the
[第八実施形態]
次に、本発明の第八実施形態の構成について、図13を参照して説明する。同図は、本実施形態の仮想シンクライアント化システムの構成を示すブロック図である。
本実施形態の仮想シンクライアント化システムは、第二実施形態の仮想シンクライアント化装置と同様の処理を、USBメモリ20により実現する点で第二実施形態と異なる。その他の点については、第二実施形態と同様であり、本実施形態の仮想シンクライアント化方法も第二実施形態と同様のものとすることができる。
[Eighth embodiment]
Next, the configuration of the eighth embodiment of the present invention will be described with reference to FIG. FIG. 2 is a block diagram showing the configuration of the virtual thin client system of this embodiment.
The virtual thin client system of this embodiment differs from the second embodiment in that the same processing as that of the virtual thin client apparatus of the second embodiment is realized by the USB memory 20. Other points are the same as in the second embodiment, and the virtual thin client method of this embodiment can be the same as in the second embodiment.
すなわち、本実施形態の仮想シンクライアント化システムは、第二実施形態のPC10におけるAPIフック手段15、アクセス先判定手段16、アクセス先変更手段17、及び暗号化手段18と同様の処理を行う構成を、図13に示すように、USBメモリ20において、それぞれAPIフック手段21、アクセス先判定手段22、アクセス先変更手段24、及び暗号化手段25として構成している。
That is, the virtual thin client system of this embodiment is configured to perform the same processing as the
そして、AP11が、単にファイルへのアクセスを不許可とし、API12の呼び出し処理に対してAP11へエラーを返すだけでは正常に動作しない特別な種類のものである場合に、ハードディスク14における元のアクセス先とは別個の場所に、暗号化されたファイルを作成している。
このようにすれば、AP11に対してはAPI12による処理が正常に行われたことを通知し、一方でユーザにとってはファイルへの書き込みが行えていないように認識される。これにより、特別なAP11を使用する場合におけるPC10の仮想シンクライアント化を実現している。
When the
In this way, the
[第九実施形態]
次に、本発明の第九実施形態の構成について、図14を参照して説明する。同図は、本実施形態の仮想シンクライアント化システムの構成を示すブロック図である。
本実施形態の仮想シンクライアント化システムは、第三実施形態の仮想シンクライアント化装置と同様の処理を、USBメモリ20により実現する点で第三実施形態と異なる。その他の点については、第三実施形態と同様であり、本実施形態の仮想シンクライアント化方法も第三実施形態と同様のものとすることができる。
[Ninth embodiment]
Next, the structure of 9th embodiment of this invention is demonstrated with reference to FIG. FIG. 2 is a block diagram showing the configuration of the virtual thin client system of this embodiment.
The virtual thin client system of this embodiment differs from the third embodiment in that the same processing as that of the virtual thin client apparatus of the third embodiment is realized by the USB memory 20. The other points are the same as in the third embodiment, and the virtual thin client method of this embodiment can be the same as in the third embodiment.
すなわち、本実施形態は、USBメモリ20に消去手段26を設けて、これによりファイルのクローズやアプリケーションプログラムの終了時など、所定のタイミングで、ハードディスク14における暗号化ファイルを消去している。
これによって、情報漏洩防止効果をより向上させることが可能となっている。
That is, according to the present embodiment, the erasing
As a result, the information leakage prevention effect can be further improved.
[第十実施形態]
次に、本発明の第十実施形態の構成について、図15を参照して説明する。同図は、本実施形態の仮想シンクライアント化システムの構成を示すブロック図である。
本実施形態の仮想シンクライアント化システムは、USBメモリ20に仮想シンクライアントプログラム27を保有させ、USBメモリ20をPC10に接続した際にこれを実行して、第五実施形態と同様の機能を備えたAPIフック手段21とアクセス先判定手段22をUSBメモリ20に生成する構成としている。その他の点については、第五実施形態と同様であり、本実施形態の仮想シンクライアント化方法も第五実施形態と同様のものとすることができる。
また、仮想シンクライアントプログラム27の実行により、第六実施形態〜第九実施形態のいずれかのUSBメモリ20と同様の構成を生成させ、それぞれの実施形態と同様の機能を実現することも可能である。
[Tenth embodiment]
Next, the configuration of the tenth embodiment of the present invention will be described with reference to FIG. FIG. 2 is a block diagram showing the configuration of the virtual thin client system of this embodiment.
The virtual thin client system of this embodiment has a virtual
Further, by executing the virtual
[第十一実施形態]
次に、本発明の第十一実施形態の構成について、図16を参照して説明する。同図は、本実施形態の仮想シンクライアント化システムの構成を示すブロック図である。
本実施形態の仮想シンクライアント化システムは、USBメモリ20に仮想シンクライアントプログラム27を保有させ、USBメモリ20をPC10に接続した際にこれを実行して、第一実施形態と同様の機能を備えたAPIフック手段15とアクセス先判定手段16をPC10内に生成する構成としている。その他の点については、第一実施形態と同様であり、本実施形態の仮想シンクライアント化方法も第一実施形態と同様のものとすることができる。
また、仮想シンクライアントプログラム27の実行により、第二実施形態から第四実施形態のPC10と同様の構成を生成させ、それぞれの実施形態と同様の機能を実現することも可能である。
[Eleventh embodiment]
Next, the configuration of the eleventh embodiment of the present invention will be described with reference to FIG. FIG. 2 is a block diagram showing the configuration of the virtual thin client system of this embodiment.
The virtual thin client system of this embodiment has a virtual
Further, by executing the virtual
本発明は、以上の実施形態に限定されるものではなく、本発明の範囲内において、種々の変更実施が可能であることは言うまでもない。
例えば、APIフック手段15がAP11によるAPI12の呼び出しをフックした後に、このAPI12ではなく、他のAP1を呼び出す構成としたり、暗号化ファイルをハードディスク14に作成するのではなく、PC10におけるメモリやRAMディスク上に作成したりするなど適宜変更することが可能である。メモリやRAMディスク上のファイルは、電源を切ったりリセットしたりするとファイルが消えてしまうため、PCの使用者が、作業が終わったときに電源を切ってそのPCを持ち歩けば、万が一そのPCを紛失しても情報が漏洩する危険性を軽減することが可能となる。
It goes without saying that the present invention is not limited to the above embodiment, and that various modifications can be made within the scope of the present invention.
For example, after the API hook means 15 hooks the
本発明は、一般的なコンピュータを使用している企業等において、これらのコンピュータをネットワークに接続する必要なく、簡易的にシンクライアント化したい場合などに好適に利用することが可能である。 The present invention can be suitably used in a company or the like using a general computer, when it is desired to easily make a thin client without connecting these computers to a network.
10 PC(コンピュータ)
11 AP(アプリケーションプログラム)
12 API(アプリケーションプログラムインタフェース)
13 ファイルシステム
14 ハードディスク
15 APIフック手段
16 アクセス先判定手段
17 アクセス先変更手段
18 暗号化手段
19 消去手段
10a 仮想シンクライアント化プログラム
20 USBメモリ
21 APIフック手段
22 アクセス先判定手段
23 記憶手段
24 アクセス先変更手段
25 暗号化手段
26 消去手段
27 仮想シンクライアント化プログラム
10 PC (computer)
11 AP (application program)
12 API (Application Program Interface)
DESCRIPTION OF
Claims (16)
フィルタードライバーを前記仮想シンクライアント化装置のオペレーティングシステムに備えることなく、前記仮想シンクライアント化装置が、
前記AP実行手段により前記API実行手段の呼び出し処理が行われると、前記API実行手段がファイルアクセスを行うものである場合、前記API実行手段による処理が行われる前に他の処理を実行させるためのフック処理を行うAPIフック手段と、
前記フック処理が行われると、前記API実行手段によるアクセス先がアクセス不許可にする対象のアクセス先であるか否かを判定するアクセス先判定手段と、
前記API実行手段によるアクセス先がアクセス不許可にする対象のアクセス先である場合、前記アクセス先を前記アクセス先とは異なるアクセス先に書き換えるアクセス先変更手段と、を備え、
前記APIフック手段が、
前記API実行手段によるアクセス先がアクセス不許可にする対象のアクセス先でない場合、API実行手段の呼び出し処理を許可し、
前記API実行手段によるアクセス先がアクセス不許可にする対象のアクセス先である場合、前記アクセス先変更手段により前記アクセス先を前記アクセス先とは異なるアクセス先に書き換えて、前記API実行手段を呼び出し、当該API実行手段により前記異なるアクセス先にアクセスさせるとともに、前記AP実行手段に対して前記API実行手段による処理が正常に行われたことを示す情報を出力する
ことを特徴とする仮想シンクライアント化装置。 A virtual thin client device comprising an AP execution means for executing a predetermined application program, an API execution means for executing a predetermined application program interface, and a peripheral device,
Without providing a filter driver in the operating system of the virtual thin client device, the virtual thin client device is
When the API execution means calls the API execution means by the AP execution means, when the API execution means performs file access, the other processes are executed before the processing by the API execution means is executed. API hook means for performing hook processing;
When the hook process is performed, an access destination determination unit that determines whether or not the access destination by the API execution unit is an access destination to be denied access;
An access destination changing means for rewriting the access destination to an access destination different from the access destination when the access destination by the API execution means is an access destination to be denied access;
The API hook means
If the access destination by the API execution means is not the access destination to be denied access, the API execution means call processing is permitted,
When the access destination by the API execution means is an access destination to be denied access, the access destination change means rewrites the access destination to an access destination different from the access destination, and calls the API execution means. A virtual thin client device characterized in that the API execution means accesses the different access destinations and outputs information indicating that the processing by the API execution means has been normally performed to the AP execution means. .
前記API実行手段により前記暗号化されたファイルが前記異なるアクセス先に格納される
ことを特徴とする請求項1記載の仮想シンクライアント化装置。 When the API execution means performs a file writing process, the API execution means includes an encryption means for inputting and encrypting the file from the API hook means,
The virtual thin client device according to claim 1, wherein the encrypted file by the API execution unit is stored in the different access destination.
前記APIフック手段が、API実行手段を呼び出して、当該API実行手段により前記複製されたファイルへのアクセスを行わせる
ことを特徴とする請求項1又は2記載の仮想シンクライアント化装置。 When the access destination changing unit is an access destination to which access is prohibited by the API execution unit, and the API execution unit performs file access, the access destination Duplicate files
3. The virtual thin client device according to claim 1, wherein the API hook unit calls the API execution unit and causes the API execution unit to access the copied file. 4.
前記アクセス先判定手段が、前記API実行手段によるアクセス先が前記着脱可能な記憶装置における記憶領域に存在する場合、当該アクセス先を、アクセス不許可にする対象のアクセス先でないと判定し、
前記APIフック手段が、前記API実行手段を呼び出して、当該API実行手段により前記着脱可能な記憶装置における前記アクセス先にアクセスさせる
ことを特徴とする仮想シンクライアント化装置。 A removable storage device is connected to the virtual thin client device according to claim 1,
The access destination determination unit determines that the access destination by the API execution unit is not an access destination to be denied access when the access destination in the removable storage device is present in the storage area;
The virtual thin client device, wherein the API hook means calls the API execution means and causes the API execution means to access the access destination in the removable storage device.
前記APIフック手段が、API実行手段を呼び出して、当該API実行手段により前記複製されたファイルへのアクセスを行わせる
ことを特徴とする請求項4記載の仮想シンクライアント化装置。 When the access destination changing unit is an access destination to which access is prohibited by the API execution unit, and the API execution unit performs file access, the access destination The file from the peripheral device to the removable storage device,
5. The virtual thin client device according to claim 4, wherein the API hook means calls the API execution means, and causes the API execution means to access the copied file.
前記着脱可能な記憶装置が、
前記AP実行手段により前記API実行手段の呼び出し処理が行われると、前記API実行手段がファイルアクセスを行うものである場合、前記API実行手段による処理が行われる前に他の処理を実行させるためのフック処理を行うAPIフック手段と、
前記フック処理が行われると、前記API実行手段によるアクセス先がアクセス不許可にする対象のアクセス先であるか否かを判定するアクセス先判定手段と、
前記API実行手段によるアクセス先がアクセス不許可にする対象のアクセス先である場合、前記アクセス先を前記アクセス先とは異なるアクセス先に書き換えるアクセス先変更手段を備え、
フィルタードライバーを前記コンピュータのオペレーティングシステムに備えることなく、
前記APIフック手段が、
前記API実行手段によるアクセス先がアクセス不許可にする対象のアクセス先でない場合、API実行手段の呼び出し処理を許可し、
前記API実行手段によるアクセス先がアクセス不許可にする対象のアクセス先である場合、前記アクセス先変更手段により前記アクセス先を前記アクセス先とは異なるアクセス先に書き換えて、前記API実行手段を呼び出し、当該API実行手段により前記異なるアクセス先にアクセスさせるとともに、前記AP実行手段に対して前記API実行手段による処理が正常に行われたことを示す情報を出力する
ことを特徴とする仮想シンクライアント化システム。 A virtual thin client system comprising a computer having an AP execution means for executing a predetermined application program, an API execution means for executing a predetermined application program interface, and peripheral devices, and a storage device detachable from the computer There,
The removable storage device is
When the API execution means calls the API execution means by the AP execution means, when the API execution means performs file access, the other processes are executed before the processing by the API execution means is executed. API hook means for performing hook processing;
When the hook process is performed, an access destination determination unit that determines whether or not the access destination by the API execution unit is an access destination to be denied access;
An access destination changing means for rewriting the access destination to an access destination different from the access destination when the access destination by the API execution means is an access destination to be denied access;
Without providing a filter driver in the operating system of the computer,
The API hook means
If the access destination by the API execution means is not the access destination to be denied access, the API execution means call processing is permitted,
When the access destination by the API execution means is an access destination to be denied access, the access destination change means rewrites the access destination to an access destination different from the access destination, and calls the API execution means. A virtual thin client system characterized in that the API execution means accesses the different access destinations and outputs information indicating that the processing by the API execution means has been normally performed to the AP execution means. .
前記API実行手段がファイルの書き込み処理を行うものである場合、当該ファイルを前記APIフック手段から入力して暗号化する暗号化手段を備え、
前記API実行手段により前記暗号化されたファイルが前記異なるアクセス先に格納される
ことを特徴とする請求項6記載の仮想シンクライアント化システム。 The removable storage device is
When the API execution means performs a file writing process, the API execution means includes an encryption means for inputting and encrypting the file from the API hook means,
The virtual thin client system according to claim 6, wherein the encrypted file is stored in the different access destination by the API execution unit.
前記APIフック手段が、API実行手段を呼び出して、当該API実行手段により前記複製されたファイルへのアクセスを行わせる
ことを特徴とする請求項6又は7記載の仮想シンクライアント化システム。 When the access destination changing unit is an access destination to which access is prohibited by the API execution unit, and the API execution unit performs file access, the access destination Duplicate files
The virtual thin client system according to claim 6 or 7, wherein the API hook means calls the API execution means, and causes the API execution means to access the copied file.
前記APIフック手段が、前記API実行手段を呼び出して、当該API実行手段により前記着脱可能な記憶装置における前記アクセス先にアクセスさせる
ことを特徴とする請求項6〜8のいずれかに記載の仮想シンクライアント化システム。 The access destination determination unit determines that the access destination by the API execution unit is not an access destination to be denied access when the access destination in the removable storage device is present in the storage area;
9. The virtual thin according to claim 6, wherein the API hook unit calls the API execution unit and causes the API execution unit to access the access destination in the removable storage device. Clientized system.
前記APIフック手段が、API実行手段を呼び出して、当該API実行手段により前記複製されたファイルへのアクセスを行わせる
ことを特徴とする請求項6〜9のいずれかに記載の仮想シンクライアント化システム。 When the access destination changing unit is an access destination to which access is prohibited by the API execution unit, and the API execution unit performs file access, the access destination The file from the peripheral device to the removable storage device,
The virtual thin client system according to any one of claims 6 to 9, wherein the API hook means calls an API execution means and causes the API execution means to access the copied file. .
フィルタードライバー機能を前記コンピュータのオペレーティングシステムに備えることなく、前記コンピュータを、
前記AP実行手段により前記API実行手段の呼び出し処理が行われると、前記API実行手段がファイルアクセスを行うものである場合、前記API実行手段による処理が行われる前に、他の処理を実行させるためのフック処理を行うAPIフック手段、
前記フック処理が行われると、前記API実行手段によるアクセス先がアクセス不許可にする対象のアクセス先であるか否かを判定するアクセス先判定手段、及び、
前記API実行手段によるアクセス先がアクセス不許可にする対象のアクセス先である場合、前記アクセス先を前記アクセス先とは異なるアクセス先に書き換えるアクセス先変更手段として機能させ、
前記APIフック手段に、
前記API実行手段によるアクセス先がアクセス不許可にする対象のアクセス先でない場合、API実行手段の呼び出し処理を許可させ、
前記API実行手段によるアクセス先がアクセス不許可にする対象のアクセス先である場合、前記アクセス先変更手段により前記アクセス先を前記アクセス先とは異なるアクセス先に書き換えて、前記API実行手段を呼び出させ、当該API実行手段により前記異なるアクセス先にアクセスさせるとともに、前記AP実行手段に対して前記API実行手段による処理が正常に行われたことを示す情報を出力させる
ことを特徴とする仮想シンクライアント化プログラム。 A virtual thin client conversion program for converting a computer including an AP execution unit for executing a predetermined application program, an API execution unit for executing a predetermined application program interface, and a peripheral device into a virtual thin client,
Without providing the filter driver function in the operating system of the computer, the computer
When the API execution means calls the API execution means, and the API execution means performs file access, the other processes are executed before the processing by the API execution means is performed. API hook means for performing hook processing of
When the hook process is performed, an access destination determination unit that determines whether or not the access destination by the API execution unit is an access destination to be denied access; and
If the access destination by the API execution means is an access destination to be denied access, function as an access destination changing means for rewriting the access destination to an access destination different from the access destination,
In the API hook means,
If the access destination by the API execution means is not the access destination to be denied access, allow the API execution means to call processing,
If the access destination by the API execution means is an access destination to be denied access, the access destination change means rewrites the access destination to an access destination different from the access destination, and calls the API execution means And making the API execution means access the different access destinations and causing the AP execution means to output information indicating that the processing by the API execution means has been normally performed. program.
前記API実行手段がファイルの書き込み処理を行うものである場合、当該ファイルを前記APIフック手段から入力して暗号化する暗号化手段として機能させ、
前記API実行手段に、前記暗号化されたファイルを前記異なるアクセス先に格納させる
ことを特徴とする請求項11記載の仮想シンクライアント化プログラム。 Without providing the filter driver function in the operating system of the computer, the computer
When the API execution means performs a file writing process, the API execution means functions as an encryption means for inputting and encrypting the file from the API hook means,
12. The virtual thin client program according to claim 11, wherein the API execution unit stores the encrypted file in the different access destination.
前記APIフック手段に、API実行手段を呼び出させて、当該API実行手段により前記複製されたファイルへのアクセスを行わせる
ことを特徴とする請求項11又は12記載の仮想シンクライアント化プログラム。 When the access destination by the API execution unit is an access destination to be denied access to the access destination changing unit, and the API execution unit performs file access, the access destination Duplicate files
13. The virtual thin client program according to claim 11, wherein the API hook unit is caused to call an API execution unit to access the copied file by the API execution unit.
前記アクセス先判定手段に、前記API実行手段によるアクセス先が前記着脱可能な記憶装置における記憶領域に存在する場合、当該アクセス先を、アクセス不許可にする対象のアクセス先でないと判定させ、
前記APIフック手段に、前記API実行手段を呼び出させて、当該API実行手段により前記着脱可能な記憶装置における前記アクセス先にアクセスさせる
ことを特徴とする請求項11〜13のいずれかに記載の仮想シンクライアント化プログラム。 A removable storage device is connected to the computer,
If the access destination by the API execution unit is present in a storage area of the removable storage device, the access destination determination unit determines that the access destination is not an access destination to be denied access;
The virtual machine according to claim 11, wherein the API hook unit is caused to call the API execution unit, and the API execution unit accesses the access destination in the removable storage device. Thin client program.
前記APIフック手段に、API実行手段を呼び出させて、当該API実行手段により前記複製されたファイルへのアクセスを行わせる
ことを特徴とする請求項14記載の仮想シンクライアント化プログラム。 When the access destination by the API execution unit is an access destination to be denied access to the access destination changing unit, and the API execution unit performs file access, the access destination Files from the peripheral device to the removable storage device,
15. The virtual thin client program according to claim 14, wherein the API hook means is caused to call an API execution means to access the copied file by the API execution means.
フィルタードライバー機能を前記コンピュータのオペレーティングシステムに備えることなく、
前記コンピュータにおけるAPIフック手段が、前記AP実行手段により前記API実行手段の呼び出し処理が行われると、前記API実行手段がファイルアクセスを行うものである場合、前記API実行手段による処理が行われる前に他の処理を実行させるためのフック処理を行い、
前記コンピュータにおけるアクセス先判定手段が、前記フック処理が行われると、前記API実行手段によるアクセス先がアクセス不許可にする対象のアクセス先であるか否かを判定し、
前記APIフック手段が、
前記API実行手段によるアクセス先がアクセス不許可にする対象のアクセス先でない場合、API実行手段の呼び出し処理を許可し、
前記API実行手段によるアクセス先がアクセス不許可にする対象のアクセス先である場合、前記コンピュータにおけるアクセス先変更手段により前記アクセス先を前記アクセス先とは異なるアクセス先に書き換えて、前記API実行手段を呼び出し、当該API実行手段により前記異なるアクセス先にアクセスさせるとともに、前記AP実行手段に対して前記API実行手段による処理が正常に行われたことを示す情報を出力する
ことを特徴とする仮想シンクライアント化方法。
A method for virtualizing a computer comprising an AP execution means for executing a predetermined application program, an API execution means for executing a predetermined application program interface, and peripheral devices,
Without providing the filter driver function in the operating system of the computer,
When the API execution means calls the API execution means by the AP execution means, and the API execution means performs file access, the API hook means in the computer before the processing by the API execution means is performed. Perform hook processing to execute other processing,
The access destination determination means in the computer determines whether the access destination by the API execution means is an access destination to be denied access when the hook processing is performed,
The API hook means
If the access destination by the API execution means is not the access destination to be denied access, the API execution means call processing is permitted,
If the access destination by the API execution means is an access destination to be denied access, the access destination change means in the computer rewrites the access destination to an access destination different from the access destination, and the API execution means Calling and accessing the different access destination by the API execution means, and outputting information indicating that the processing by the API execution means has been normally performed to the AP execution means Method.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010132614A JP2011040044A (en) | 2010-06-10 | 2010-06-10 | Device, system, program and method for integrating virtual thin client |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2010132614A JP2011040044A (en) | 2010-06-10 | 2010-06-10 | Device, system, program and method for integrating virtual thin client |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2009188887A Division JP4538838B1 (en) | 2009-08-18 | 2009-08-18 | Virtual thin client device, virtual thin client system, virtual thin client program, and virtual thin client method |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2011040044A true JP2011040044A (en) | 2011-02-24 |
Family
ID=43767692
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2010132614A Pending JP2011040044A (en) | 2010-06-10 | 2010-06-10 | Device, system, program and method for integrating virtual thin client |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP2011040044A (en) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2013200769A (en) * | 2012-03-26 | 2013-10-03 | Nec Corp | Distribution processing system, distribution processing method, and distribution processing program |
JP5485452B1 (en) * | 2012-08-02 | 2014-05-07 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | Key management system, key management method, user terminal, key generation management device, and program |
JP2019079289A (en) * | 2017-10-25 | 2019-05-23 | システムインテリジェント株式会社 | Information leakage prevention device, and information leakage prevention program |
-
2010
- 2010-06-10 JP JP2010132614A patent/JP2011040044A/en active Pending
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2013200769A (en) * | 2012-03-26 | 2013-10-03 | Nec Corp | Distribution processing system, distribution processing method, and distribution processing program |
US9262219B2 (en) | 2012-03-26 | 2016-02-16 | Nec Corporation | Distributed processing system, distributed processing method, and distributed processing program |
JP5485452B1 (en) * | 2012-08-02 | 2014-05-07 | エヌ・ティ・ティ・コミュニケーションズ株式会社 | Key management system, key management method, user terminal, key generation management device, and program |
JP2019079289A (en) * | 2017-10-25 | 2019-05-23 | システムインテリジェント株式会社 | Information leakage prevention device, and information leakage prevention program |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR101705550B1 (en) | Method and software product for controlling application program which access secure saving area | |
US8799898B2 (en) | Methods and apparatus for binding applications to a cloud computing environment | |
US8955150B2 (en) | Apparatus and method for managing digital rights using virtualization technique | |
JP7146812B2 (en) | Auxiliary storage device with independent restoration area and equipment to which this is applied | |
JP2009032130A (en) | Information processor and method, computer readable medium, and external storage medium | |
WO2012094969A1 (en) | Data protection method and apparatus | |
JP6270780B2 (en) | Data management apparatus, data management method, and data management program | |
JP4538838B1 (en) | Virtual thin client device, virtual thin client system, virtual thin client program, and virtual thin client method | |
KR100766863B1 (en) | Software-installation system using movable data storage and method thereof | |
JP4707748B2 (en) | External storage device, method for processing data stored in external storage device, program, and information processing apparatus | |
JPWO2006103752A1 (en) | How to control document copying | |
JP2011040044A (en) | Device, system, program and method for integrating virtual thin client | |
JP4992109B2 (en) | File protection system, file protection method, and computer program | |
US8688863B2 (en) | Information processing apparatus for conducting security processing and security processing method | |
US9015797B1 (en) | System and method of isolation of resources using resource manager | |
US20090055683A1 (en) | Method of restoring previous computer configuration | |
JP6957311B2 (en) | Information leakage prevention device and information leakage prevention program | |
KR20090048293A (en) | Apparatus and method of managing system resources of computer and processes | |
JP2008077600A (en) | Thin client, thin client system and program | |
JP2009169868A (en) | Storage area access device and method for accessing storage area | |
JPH0934799A (en) | Data protection method | |
JP5081280B2 (en) | Portable storage media | |
JP2011039716A (en) | Information storage medium and information system | |
KR101434794B1 (en) | The method and system for defending program hacking | |
JP6151218B2 (en) | Application execution device, method and program |