JP2011040044A - Device, system, program and method for integrating virtual thin client - Google Patents

Device, system, program and method for integrating virtual thin client Download PDF

Info

Publication number
JP2011040044A
JP2011040044A JP2010132614A JP2010132614A JP2011040044A JP 2011040044 A JP2011040044 A JP 2011040044A JP 2010132614 A JP2010132614 A JP 2010132614A JP 2010132614 A JP2010132614 A JP 2010132614A JP 2011040044 A JP2011040044 A JP 2011040044A
Authority
JP
Japan
Prior art keywords
access destination
access
api
execution means
api execution
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2010132614A
Other languages
Japanese (ja)
Inventor
Akihiro Hasegawa
章弘 長谷川
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
SYSTEM INTELLIGENT KK
Original Assignee
SYSTEM INTELLIGENT KK
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by SYSTEM INTELLIGENT KK filed Critical SYSTEM INTELLIGENT KK
Priority to JP2010132614A priority Critical patent/JP2011040044A/en
Publication of JP2011040044A publication Critical patent/JP2011040044A/en
Pending legal-status Critical Current

Links

Images

Abstract

<P>PROBLEM TO BE SOLVED: To provide a virtual thin client integration device for temporarily restricting access to a peripheral device in a specific case without making it necessary to perform the log-in or reactivation of an activated computer. <P>SOLUTION: The virtual thin client integration device includes: a hook means for, when the calling processing of an API(Application Program Interface) is performed by an AP(Application Program) and the API performs file access, hooking the calling processing; an access destination determination means for, when the hook processing is performed, determining whether access destination by the API is access destination as the object of access non-permission; and an access destination changing means for, when the access destination by the API is the access destination as the object of non-permission, rewriting the access destination with different access destination. When the pertinent access destination is not the access destination as the object of non-permission, the hook means permits the calling processing of the API, and when the pertinent access destination is the access destination as the object of non-permission, the hook means rewrites the access destination with different access destination, and calls the API, and makes the different access destination store the file, and outputs information indicating that the processing has been normally performed to the AP. <P>COPYRIGHT: (C)2011,JPO&INPIT

Description

本発明は、情報漏洩を防ぐためのセキュリティ技術に関し、特に汎用のパーソナルコンピュータをシンクライアント化する技術に関する。   The present invention relates to security technology for preventing information leakage, and more particularly to technology for converting a general-purpose personal computer into a thin client.

近年、企業において、一般の社員が使用するクライアントコンピュータに最低限の機能しか持たせず、サーバコンピュータでアプリケーションソフトやファイルなどの資源を管理するシンクライアント装置が普及している。
このシンクライアント装置には、表示や入力など最低限の機能のみを持った専用のコンピュータが用いられ、アプリケーションソフトなどの資源をサーバ側で一元管理することによって、情報システムの運用コストや管理コストの低減化が図られている。 2. Description of the Related Art In recent years, thin client devices have been widely used in enterprises in which client computers used by general employees have a minimum function, and server computers manage resources such as application software and files.
This thin client device uses a dedicated computer that has only minimum functions such as display and input. By centrally managing resources such as application software on the server side, the operating cost and management cost of the information system are reduced. Reduction is achieved.

また、シンクライアント装置にはハードディスクが搭載されていないか、又は物理的にハードディスクが搭載されていても、アプリケーションやファイルなどを格納できないような制限がかけられる。
このため、シンクライアント装置は、情報漏洩防止の有効な手段としても注目されている。 Moreover, even if the thin client device is not equipped with a hard disk or is physically equipped with a hard disk, there is a restriction that applications and files cannot be stored.
For this reason, the thin client device is attracting attention as an effective means for preventing information leakage.

シンクライアント技術には種々のものがあり、広く普及しているものとして、画面転送型のものを挙げることができる。画面転送型のシンクライアント技術では、クライアント装置に表示されるアプリケーションプログラムに関する画面は、実際にはサーバ装置で処理されてクライアント装置へ送信される。クライアント装置では、画面の表示に関する処理が行われるのみであり、重要ファイルなどがクライアント装置に保存されることがない仕組みになっている。   There are various thin client technologies, and one that is widely used is a screen transfer type. In the screen transfer type thin client technology, a screen related to an application program displayed on the client device is actually processed by the server device and transmitted to the client device. In the client device, only processing related to screen display is performed, and an important file or the like is not stored in the client device.

このようなシンクライアントに関する先行技術としては、次のようなものを挙げることができる。
まず、特許文献1に記載のシンクライアント技術では、クライアント装置に仮想ハードウェアを設け、この仮想ハードウェア上で、サーバ装置から送信されたイメージデータに含まれるOSプログラムを実行し、このOS上で、サーバ装置から送信されたイメージデータに含まれるアプリケーションプログラムを実行して、各種処理を行わせている。そして、処理終了後に、クライアント装置に記憶されているイメージデータを削除することにより、シンクライアントシステムを実現している。 Examples of the prior art related to such a thin client include the following.
First, in the thin client technology described in Patent Document 1, virtual hardware is provided in a client device, and an OS program included in image data transmitted from a server device is executed on the virtual hardware, and the OS is executed on this OS. The application program included in the image data transmitted from the server device is executed to perform various processes. Then, after the process is completed, the thin client system is realized by deleting the image data stored in the client device.

また、特許文献2に記載のシンクライアント技術では、サーバ装置に管理対象データへのアクセス許諾に関する制限データを記憶させ、クライアント装置からのアクセスに応じてクライアント装置に制限データを送信し、クライアント装置はこの制限データにもとづきアクセス許諾可否等に関する所定の状態に移行する構成となっている。
これによって、クライアント装置の外部出力手段の出力可否状態を自動的に移行し、外部出力手段の機能が制限された状態においてのみクライアント装置に管理対象データ等に関する情報処理を実行可能とされている。 Further, in the thin client technology described in Patent Document 2, the server device stores the restriction data related to the access permission to the management target data, and transmits the restriction data to the client device in response to the access from the client device. Based on this restriction data, the system shifts to a predetermined state relating to whether or not access is permitted.
As a result, the output enable / disable state of the external output means of the client device is automatically shifted, and only when the function of the external output means is limited, the client device can execute information processing related to the management target data.

さらに、特許文献3に記載のシンクライアント技術では、コンピュータの作業環境を、ネットワーク接続状態に応じてスタンドアロン又はシンクライアントに自動的に切り替えることが可能とされている。   Furthermore, in the thin client technology described in Patent Document 3, it is possible to automatically switch the work environment of a computer to a stand-alone or a thin client according to a network connection state.

特開2009−26031号公報JP 2009-26031 A 特開2007−310822号公報JP 2007-310822 A 特開2007−133713号公報JP 2007-133713 A

しかしながら、このような従来のシンクライアント技術では、クライアント装置がネットワークに接続することが必要であり、オフライン状態においてシンクライアント装置を実現することは考えられていない。
元来、シンクライアント技術は、サーバ装置でアプリケーションソフトやファイルなどに関する処理が行われ、シンクライアント装置側で表示や入力などが行われるものとなっている。このため、オフライン状態のコンピュータをシンクライアント化するという考え方は、これまで見られなかった。
ところが、オフライン状態であっても、一定の場合には、情報漏洩防止の観点からコンピュータをあたかもシンクライアント装置のような状態とすることが望ましい場合がある。 However, such conventional thin client technology requires that the client device be connected to the network, and it is not considered to realize the thin client device in the offline state.
Originally, with thin client technology, processing related to application software, files, and the like is performed on a server device, and display and input are performed on the thin client device side. For this reason, the idea of turning an offline computer into a thin client has not been seen so far.
However, even in the offline state, in certain cases, it may be desirable to put the computer into a state like a thin client device from the viewpoint of preventing information leakage.

例えば、企業において、一般的なパーソナルコンピュータ(リッチクライアント又はファットクライアントと称する場合がある。)を使用する場合、通常は全ての機能を使用可能にしつつ、特定の重要ファイルにアクセスがあった場合にのみ、外部出力手段等の機能を制限して、情報漏洩の防止を図りたい場合がある。   For example, when using a general personal computer (sometimes referred to as a rich client or fat client) in an enterprise, when a specific important file is accessed while usually enabling all functions. However, there are cases where it is desired to prevent information leakage by limiting the functions of the external output means.

ここで、ファイルからの情報漏洩を防止する手段として、例えばファイル自体に読み込みや書き込みの制限を設定しておく方法がある。しかし、ある特定の使用者にアクセスを許可したファイルの場合、ファイルの使用者がそのファイルの取り扱いに注意するしかなく、使用者が意図しなくても、誤ってネットワーク上にファイルを送信してしまうなど、重要ファイルの内容が漏洩する危険性がある。
また、フィルタードライバー機能をオペレーティングシステムに設定して、重要ファイルへのアクセス等を制限することもできる。しかし、このようなオペレーティングシステムへの設定のためには、特別なユーザ権限が必要であり、また設定した後にオペレーティングシステムを再起動しなければ、その機能を働かせることができない。 Here, as means for preventing information leakage from the file, for example, there is a method of setting restrictions on reading and writing in the file itself. However, in the case of a file that has been given access to a specific user, the user of the file must be careful about the handling of the file, and even if the user does not intend to send the file to the network by mistake. There is a risk that the contents of important files will be leaked.
In addition, the filter driver function can be set in the operating system to restrict access to important files. However, special user authority is required for setting to such an operating system, and the function cannot be activated unless the operating system is restarted after setting.

そこで、本発明者は鋭意研究し、AP(アプリケーションプログラム)から、API(アプリケーションプログラムインタフェース)が呼び出されるときに、そのAPIによる処理が行われる前に、他の処理を実行させるために割り込み処理を行い(これをAPIフックという)、APIのアクセス先が、アクセス不許可対象のアクセス先であるか否かを判定し、アクセス不許可対象のアクセス先でない場合にのみAPIによる処理の実行を許可することで、コンピュータを特定の場合にのみ擬似的にシンクライアント化することに成功し、本発明を完成させた。   Therefore, the present inventor has intensively studied, and when an API (application program interface) is called from an AP (application program), interrupt processing is performed in order to execute other processing before processing by the API is performed. (This is called an API hook), it is determined whether the access destination of the API is an access destination to which access is not permitted, and execution of processing by the API is permitted only when the access destination is not an access prohibition target. As a result, the computer was successfully made into a pseudo thin client only in a specific case, and the present invention was completed.

本発明は、上記の事情にかんがみなされたものであり、起動しているコンピュータへのログインや再起動を必要とすることなく、特定の場合に一時的に、コンピュータのハードディスクなどの周辺機器への読み書きのアクセスや、起動できるソフトウェアを制限し、擬似的にシンクライアント装置化することを可能とした仮想シンクライアント化装置、仮想シンクライアント化システム、仮想シンクライアント化プログラム、及び仮想シンクライアント化方法の提供を目的とする。
このような、通常は一般的なリッチコンピュータとして使用されているコンピュータを、場合によって仮想的にシンクライアント化するという概念は、これまでは存在していなかった。 The present invention has been considered in view of the above circumstances, and temporarily does not require a login or restart to a running computer, and in a specific case, temporarily to a peripheral device such as a hard disk of a computer. A virtual thin client device, a virtual thin client system, a virtual thin client program, and a virtual thin client method capable of limiting read / write access and software that can be activated and making a pseudo thin client device For the purpose of provision.
The concept of virtualizing a computer that is usually used as a general rich computer into a virtual thin client in some cases has not existed so far.

上記目的を達成するため、本発明の仮想シンクライアント化装置は、所定のアプリケーションプログラムを実行するAP実行手段と、所定のアプリケーションプログラムインタフェースを実行するAPI実行手段と、周辺機器とを備えた仮想シンクライアント化装置であって、フィルタードライバーを仮想シンクライアント化装置のオペレーティングシステムに備えることなく、仮想シンクライアント化装置が、AP実行手段によりAPI実行手段の呼び出し処理が行われると、API実行手段がファイルアクセスを行うものである場合、API実行手段による処理が行われる前に他の処理を実行させるためのフック処理を行うAPIフック手段と、フック処理が行われると、API実行手段によるアクセス先がアクセス不許可にする対象のアクセス先であるか否かを判定するアクセス先判定手段と、API実行手段によるアクセス先がアクセス不許可にする対象のアクセス先である場合、アクセス先をアクセス先とは異なるアクセス先に書き換えるアクセス先変更手段と、を備え、APIフック手段が、API実行手段によるアクセス先がアクセス不許可にする対象のアクセス先でない場合、API実行手段の呼び出し処理を許可し、API実行手段によるアクセス先がアクセス不許可にする対象のアクセス先である場合、アクセス先変更手段によりアクセス先をアクセス先とは異なるアクセス先に書き換えて、API実行手段を呼び出し、当該API実行手段により異なるアクセス先にアクセスさせるとともに、AP実行手段に対してAPI実行手段による処理が正常に行われたことを示す情報を出力する構成としてある。   In order to achieve the above object, a virtual thin client device of the present invention includes a virtual thin client including an AP execution unit that executes a predetermined application program, an API execution unit that executes a predetermined application program interface, and a peripheral device. When the virtual thin client device is called by the AP execution unit and calls the API execution unit without providing the filter driver in the operating system of the virtual thin client device, the API execution unit If access is to be made, API hook means for performing hook processing for executing other processing before processing by the API execution means is performed, and when the hook processing is performed, the access destination by the API execution means is accessed. The object to be disallowed An access destination that rewrites the access destination to an access destination that is different from the access destination when the access destination by the API execution means is an access destination to be denied access. And when the access destination by the API execution means is not the access destination that is not permitted to be accessed, the API execution means is allowed to call the API execution means and the access destination by the API execution means is not accessible. If the access destination is a target to be permitted, the access destination changing means rewrites the access destination to an access destination different from the access destination, calls the API execution means, allows the API execution means to access a different access destination, and AP Processing by the API execution means is normally performed for the execution means. It is constituted to output information indicating that.

また、本発明の仮想シンクライアント化システムは、所定のアプリケーションプログラムを実行するAP実行手段と、所定のアプリケーションプログラムインタフェースを実行するAPI実行手段と、周辺機器とを備えたコンピュータと、このコンピュータに着脱可能な記憶装置を有する仮想シンクライアント化システムであって、着脱可能な記憶装置が、AP実行手段によりAPI実行手段の呼び出し処理が行われると、API実行手段がファイルアクセスを行うものである場合、API実行手段による処理が行われる前に他の処理を実行させるためのフック処理を行うAPIフック手段と、フック処理が行われると、API実行手段によるアクセス先がアクセス不許可にする対象のアクセス先であるか否かを判定するアクセス先判定手段と、API実行手段によるアクセス先がアクセス不許可にする対象のアクセス先である場合、アクセス先をアクセス先とは異なるアクセス先に書き換えるアクセス先変更手段を備え、フィルタードライバーをコンピュータのオペレーティングシステムに備えることなく、APIフック手段が、API実行手段によるアクセス先がアクセス不許可にする対象のアクセス先でない場合、API実行手段の呼び出し処理を許可し、API実行手段によるアクセス先がアクセス不許可にする対象のアクセス先である場合、アクセス先変更手段によりアクセス先をアクセス先とは異なるアクセス先に書き換えて、API実行手段を呼び出し、当該API実行手段により異なるアクセス先にアクセスさせるとともに、AP実行手段に対してAPI実行手段による処理が正常に行われたことを示す情報を出力する構成としてある。   Further, the virtual thin client system of the present invention includes an AP execution means for executing a predetermined application program, an API execution means for executing a predetermined application program interface, and a peripheral device, and a detachable attachment to the computer. In a virtual thin client system having a storage device that can be connected to the removable storage device, when the API execution means calls the API execution means by the AP execution means, the API execution means performs file access. API hook means for performing hook processing for executing other processes before processing by the API execution means, and access destinations to be accessed by the access destination by the API execution means when the hook processing is performed. Access destination judging means for judging whether or not In the case where the access destination by the API execution means is an access destination to be denied access, access destination changing means for rewriting the access destination to an access destination different from the access destination is provided, and a filter driver is provided in the computer operating system. If the access destination by the API execution means is not the access destination that is not permitted to be accessed, the API hook means is permitted to call the API execution means and the access destination by the API execution means is not permitted to access. If the access destination is an access destination, the access destination is changed to an access destination different from the access destination by the access destination changing means, the API execution means is called, and the API execution means is made to access a different access destination. API execution means According processing is configured so as to output the information indicating the success of the process.

また、本発明の仮想シンクライアント化プログラムは、所定のアプリケーションプログラムを実行するAP実行手段と、所定のアプリケーションプログラムインタフェースを実行するAPI実行手段と、周辺機器とを備えたコンピュータを仮想シンクライアント化するための仮想シンクライアント化プログラムであって、フィルタードライバー機能をコンピュータのオペレーティングシステムに備えることなく、コンピュータを、AP実行手段によりAPI実行手段の呼び出し処理が行われると、API実行手段がファイルアクセスを行うものである場合、API実行手段による処理が行われる前に、他の処理を実行させるためのフック処理を行うAPIフック手段、フック処理が行われると、API実行手段によるアクセス先がアクセス不許可にする対象のアクセス先であるか否かを判定するアクセス先判定手段、及び、API実行手段によるアクセス先がアクセス不許可にする対象のアクセス先である場合、アクセス先をアクセス先とは異なるアクセス先に書き換えるアクセス先変更手段として機能させ、APIフック手段に、API実行手段によるアクセス先がアクセス不許可にする対象のアクセス先でない場合、API実行手段の呼び出し処理を許可させ、API実行手段によるアクセス先がアクセス不許可にする対象のアクセス先である場合、アクセス先変更手段によりアクセス先をアクセス先とは異なるアクセス先に書き換えて、API実行手段を呼び出させ、当該API実行手段により異なるアクセス先にアクセスさせるとともに、AP実行手段に対してAPI実行手段による処理が正常に行われたことを示す情報を出力させる構成としてある。   The virtual thin client program of the present invention converts a computer including an AP execution means for executing a predetermined application program, an API execution means for executing a predetermined application program interface, and a peripheral device into a virtual thin client. When the API execution means is called by the AP execution means without providing the filter driver function in the computer operating system, the API execution means accesses the file. If the API execution means is an API hook means for performing hook processing for executing other processes before the processing by the API execution means is performed, the access destination by the API execution means is not accessible. The access destination is different from the access destination when the access destination by the access destination determination unit that determines whether or not the access destination is to be permitted and the access destination by the API execution unit is the access destination that is not permitted to access. It functions as an access destination changing means for rewriting to an access destination, and when the access destination by the API execution means is not an access destination to be denied access, the API execution means is permitted to call the API execution means, and the API execution means When the access destination is an access destination to be denied access, the access destination changing unit rewrites the access destination to an access destination different from the access destination, calls the API execution unit, and the access destination varies depending on the API execution unit. API access to AP execution means Processing by stages is a configuration for outputting information indicating the success of the process.

また、本発明の仮想シンクライアント化方法は、所定のアプリケーションプログラムを実行するAP実行手段と、所定のアプリケーションプログラムインタフェースを実行するAPI実行手段と、周辺機器とを備えたコンピュータを仮想シンクライアント化するための方法であって、フィルタードライバー機能をコンピュータのオペレーティングシステムに備えることなく、コンピュータにおけるAPIフック手段が、AP実行手段によりAPI実行手段の呼び出し処理が行われると、API実行手段がファイルアクセスを行うものである場合、API実行手段による処理が行われる前に他の処理を実行させるためのフック処理を行い、コンピュータにおけるアクセス先判定手段が、フック処理が行われると、API実行手段によるアクセス先がアクセス不許可にする対象のアクセス先であるか否かを判定し、APIフック手段が、API実行手段によるアクセス先がアクセス不許可にする対象のアクセス先でない場合、API実行手段の呼び出し処理を許可し、API実行手段によるアクセス先がアクセス不許可にする対象のアクセス先である場合、コンピュータにおけるアクセス先変更手段によりアクセス先をアクセス先とは異なるアクセス先に書き換えて、API実行手段を呼び出し、当該API実行手段により異なるアクセス先にアクセスさせるとともに、AP実行手段に対してAPI実行手段による処理が正常に行われたことを示す情報を出力する方法としてある。   The virtual thin client method of the present invention converts a computer including an AP execution means for executing a predetermined application program, an API execution means for executing a predetermined application program interface, and a peripheral device into a virtual thin client. When the API execution means calls the API execution means by the AP execution means without providing the filter driver function in the computer operating system, the API execution means performs file access. If it is, the hook processing for executing other processing is performed before the processing by the API execution means is performed. When the access destination determination means in the computer performs the hook processing, the access by the API execution means is performed. If the API hook means is not the access destination of the access disallowed by the API execution means, the API execution means is called. If the access destination by the API execution means is an access destination to be denied access, the access destination change means in the computer rewrites the access destination to an access destination different from the access destination, and calls the API execution means. In this method, different access destinations are accessed by the API execution unit, and information indicating that the processing by the API execution unit has been normally performed is output to the AP execution unit.

本発明によれば、起動しているコンピュータへのログインや再起動を必要とすることなく、コンピュータのハードディスクなどの周辺機器への読み書きのアクセスや、起動できるソフトウェアを制限して、コンピュータを擬似的にシンクライアント化することができる。特に、重要ファイルを開いた瞬間など、所定の場合に一時的にコンピュータを仮想シンクライアント化することが可能となる。また、コンピュータがネットワークに接続されていなくても、仮想シンクライアント化することができる。   According to the present invention, the computer can be simulated by restricting the read / write access to peripheral devices such as the hard disk of the computer and the software that can be started without requiring login or restart to the computer being started. Can be made into a thin client. In particular, the computer can be temporarily made into a virtual thin client in a predetermined case such as the moment when an important file is opened. Further, even if the computer is not connected to the network, it can be made into a virtual thin client.

本発明の第一実施形態の仮想シンクライアント化装置の構成を示すブロック図において、アクセス許可時の処理の流れを示す図である。In the block diagram which shows the structure of the virtual thin client apparatus of 1st embodiment of this invention, it is a figure which shows the flow of a process at the time of access permission. 本発明の第一実施形態の仮想シンクライアント化装置の構成を示すブロック図において、アクセス不許可時の処理の流れを示す図である。In the block diagram which shows the structure of the virtual thin client apparatus of 1st embodiment of this invention, it is a figure which shows the flow of a process at the time of access non-permission. 本発明の第一実施形態の仮想シンクライアント化装置の処理手順を示すフローチャートである。It is a flowchart which shows the process sequence of the virtual thin client apparatus of 1st embodiment of this invention. 本発明の第二実施形態の仮想シンクライアント化装置の構成を示すブロック図において、アクセス不許可時の処理の流れを示す図である。In the block diagram which shows the structure of the virtual thin client apparatus of 2nd embodiment of this invention, it is a figure which shows the flow of a process at the time of access non-permission. 本発明の第二実施形態の仮想シンクライアント化装置の処理手順を示すフローチャートである。It is a flowchart which shows the process sequence of the virtual thin client apparatus of 2nd embodiment of this invention. 本発明の第三実施形態の仮想シンクライアント化装置の構成を示すブロック図である。It is a block diagram which shows the structure of the virtual thin client apparatus of 3rd embodiment of this invention. 本発明の第四実施形態の仮想シンクライアント化装置の構成を示すブロック図である。It is a block diagram which shows the structure of the virtual thin client apparatus of 4th embodiment of this invention. 本発明の第五実施形態の仮想シンクライアント化システムの構成を示すブロック図において、アクセス許可時の処理の流れを示す図である。In the block diagram which shows the structure of the virtual thin client system of 5th embodiment of this invention, it is a figure which shows the flow of a process at the time of access permission. 本発明の第五実施形態の仮想シンクライアント化システムの構成を示すブロック図において、アクセス不許可時の処理の流れを示す図である。In the block diagram which shows the structure of the virtual thin client-ized system of 5th embodiment of this invention, it is a figure which shows the flow of a process at the time of access non-permission. 本発明の第六実施形態の仮想シンクライアント化システムの構成を示すブロック図において、アクセス許可時の処理の流れを示す図である。In the block diagram which shows the structure of the virtual thin client system of 6th embodiment of this invention, it is a figure which shows the flow of a process at the time of access permission. 本発明の第七実施形態の仮想シンクライアント化システムの構成を示すブロック図において、アクセス不許可時の処理の流れを示す図である。In the block diagram which shows the structure of the virtual thin client system of 7th embodiment of this invention, it is a figure which shows the flow of a process at the time of access non-permission. 本発明の第七実施形態の仮想シンクライアント化システムの処理手順を示すフローチャートである。It is a flowchart which shows the process sequence of the virtual thin client system of 7th embodiment of this invention. 本発明の第八実施形態の仮想シンクライアント化システムの構成を示すブロック図において、アクセス不許可時の処理の流れを示す図である。In the block diagram which shows the structure of the virtual thin client system of 8th embodiment of this invention, it is a figure which shows the flow of a process at the time of access non-permission. 本発明の第九実施形態の仮想シンクライアント化システムの構成を示すブロック図である。It is a block diagram which shows the structure of the virtual thin client system of 9th embodiment of this invention. 本発明の第十実施形態の仮想シンクライアント化システムの構成を示すブロック図である。It is a block diagram which shows the structure of the virtual thin client system of 10th embodiment of this invention. 本発明の第十一実施形態の仮想シンクライアント化システムの構成を示すブロック図である。It is a block diagram which shows the structure of the virtual thin client system of 11th embodiment of this invention.

以下、本発明の仮想シンクライアント化装置、仮想シンクライアント化システム、仮想シンクライアント化プログラム、及び仮想シンクライアント化方法の好ましい実施形態について、図面を参照しつつ説明する。
なお、以下の実施形態に示す本発明の仮想シンクライアント化装置は、本発明の仮想シンクライアント化プログラムに制御されたコンピュータを用いて実現することができる。コンピュータのCPUは、仮想シンクライアント化プログラムにもとづいてコンピュータの各構成要素に指令を送り、仮想シンクライアント化装置の動作に必要となる所定の処理、例えば、APIフック処理、呼び出し先判定処理、呼び出し先変更処理、暗号化処理等を行わせる。このように、本発明の仮想シンクライアント化装置における各処理,動作は、プログラムとコンピュータとが協働した具体的手段により実現できるものである。 Preferred embodiments of the virtual thin client device, virtual thin client system, virtual thin client program, and virtual thin client method of the present invention will be described below with reference to the drawings.
The virtual thin client device of the present invention shown in the following embodiments can be realized using a computer controlled by the virtual thin client program of the present invention. The CPU of the computer sends a command to each component of the computer based on the virtual thin client program, and performs predetermined processing necessary for the operation of the virtual thin client device, for example, API hook processing, call destination determination processing, call The destination change process, the encryption process, etc. are performed. Thus, each process and operation in the virtual thin client device of the present invention can be realized by specific means in which the program and the computer cooperate.

プログラムは予めROM,RAM等の記録媒体に格納され、コンピュータに実装された記録媒体から当該コンピュータにプログラムを読み込ませて実行されるが、例えば通信回線を介してコンピュータに読み込ませることもできる。
また、プログラムを格納する記録媒体は、例えば半導体メモリ,磁気ディスク,光ディスク、その他任意のコンピュータで読取り可能な任意の記録手段により構成できる。 The program is stored in advance in a recording medium such as a ROM and a RAM, and is executed by causing the computer to read the program from a recording medium mounted on the computer. For example, the program may be read by the computer via a communication line.
Further, the recording medium for storing the program can be constituted by, for example, a semiconductor memory, a magnetic disk, an optical disk, or any other recording means that can be read by any computer.

[第一実施形態]
まず、本発明の第一実施形態の構成について、図1及び図2を参照して説明する。図1は、本実施形態の仮想シンクライアント化装置の構成を示すブロック図において、アクセス許可時の処理の流れを、図2は、アクセス不許可時の処理の流れを示す図である。 [First embodiment]
First, the structure of 1st embodiment of this invention is demonstrated with reference to FIG.1 and FIG.2. FIG. 1 is a block diagram showing the configuration of the virtual thin client device of this embodiment, and FIG. 2 is a diagram showing a processing flow when access is permitted, and FIG. 2 is a diagram showing a processing flow when access is not permitted.

図1において、PC10は本実施形態の仮想シンクライアント化装置を示している。このPC10は、通常の使用時は多機能を備えたリッチクライアントとして動作し、特定の場合に擬似的にシンクライアント化させることができる。
PC10は、AP(アプリケーションプログラム)11、API(アプリケーションプログラムインタフェース)12、ファイルシステム13、ハードディスク14、APIフック手段15、及びアクセス先判定手段16を備えている。 In FIG. 1, a PC 10 represents the virtual thin client device of this embodiment. The PC 10 operates as a rich client having multiple functions during normal use, and can be made into a pseudo thin client in a specific case.
The PC 10 includes an AP (application program) 11, an API (application program interface) 12, a file system 13, a hard disk 14, an API hook unit 15, and an access destination determination unit 16.

AP11は、アプリケーションプログラムを実行する手段である。アプリケーションプログラムとしては、例えばワードなどの一般的なアプリケーションプログラムの他、エクスプローラなどのOSの一部を構成するプログラムも含まれる。   The AP 11 is a means for executing an application program. The application program includes, for example, a general application program such as a word, and a program constituting a part of the OS such as an explorer.

API12は、AP11により呼び出される各種関数などのプログラムを実行する手段であり、AP11に呼び出されてそれぞれの処理を実行する。このAPI12には種々のものがあるが、本実施形態ではファイルの読み込みや書き込み、印刷、外部出力などのファイルアクセスを行うAPIを、APIフック手段21によりフックする対象としている。図1の例では、API12を一つのみ示しているが、複数のAPI12の呼び出しが行われる場合もある。   The API 12 is a means for executing programs such as various functions called by the AP 11, and is called by the AP 11 to execute each process. There are various APIs 12. In the present embodiment, an API that performs file access such as file reading and writing, printing, and external output is to be hooked by the API hook unit 21. In the example of FIG. 1, only one API 12 is shown, but a plurality of APIs 12 may be called.

ファイルシステム13は、ハードディスク14などの周辺機器におけるデータの記録を管理する。
ハードディスク14は、PC10におけるデータの記憶手段である。なお、本実施形態では、API12のアクセス先をハードディスク14としているが、これに限定されるものではなく、DVDドライブなどの補助記憶装置、プリンターなどの出力装置等、その他の周辺機器とすることもできる。 The file system 13 manages data recording in peripheral devices such as the hard disk 14.
The hard disk 14 is data storage means in the PC 10. In the present embodiment, the access destination of the API 12 is the hard disk 14, but is not limited to this, and other peripheral devices such as an auxiliary storage device such as a DVD drive and an output device such as a printer may be used. it can.

APIフック手段15は、AP11により呼び出されるAPI12のうち、予めフックの対象として特定された所定のAPI12の呼び出し処理をフックする。すなわち、APIフック手段15は、AP11から呼び出されるAPI12による処理が行われる前に、別個の処理を行うことを可能とする。なお、この所定のAPI12は、APIフック手段15やその他の記憶手段に予め記憶させておくことができる。また、この所定のAPI12としては、ハードディスク14やその他の外部記憶装置への読み込みや書き込み、印刷装置への出力、ネットワークへの送信などファイルアクセスを行う全てのAPIを対象とすることができる。   The API hook unit 15 hooks a calling process of a predetermined API 12 specified in advance as a hook target among the APIs 12 called by the AP 11. That is, the API hook unit 15 can perform separate processing before the processing by the API 12 called from the AP 11 is performed. The predetermined API 12 can be stored in advance in the API hook means 15 or other storage means. The predetermined API 12 can be any API that performs file access such as reading and writing to the hard disk 14 and other external storage devices, output to a printing device, and transmission to a network.

APIフック手段15は、所定のAPI12の呼び出し処理をフックすると、制御をアクセス先判定手段16に渡し、API12によるアクセス先が仮想シンクライアント状態下においてアクセス不許可にする対象として予め特定された所定のファイル等であるか否かを当該アクセス先判定手段16により判定させる。なお、「アクセス不許可にする対象として特定された所定のファイル等」は、情報漏洩防止対象の重要ファイルなどであり、そのファイルの置かれているディレクトリ名又はファイル名のどちらかで判別することができる。このディレクトリ名又はファイル名をアクセス先判定手段16やその他の記憶手段に予め記憶させておき、当該判定処理に用いることができる。   When the API hook unit 15 hooks a calling process of a predetermined API 12, the control is transferred to the access destination determination unit 16, and the access destination by the API 12 is specified in advance as a target to be denied access under the virtual thin client state. The access destination determination unit 16 determines whether the file is a file or the like. Note that “predetermined files etc. specified as a target to be denied access” are important files that are subject to information leakage prevention, and are identified by either the directory name or the file name where the file is located. Can do. This directory name or file name can be stored in advance in the access destination determination means 16 or other storage means and used for the determination processing.

APIフックは、次の二通りの方法により行うことができる。
まず、第一のフック方法として、OS提供型のAPIフックを用いる方法がある。この方法では、ウインドウズ(登録商標)などのOSに組み込まれているフック手段を利用して、API12の呼び出しをフックする。
しかしながら、この方法では、フックしたくない処理までフックされる場合があるため、目的のもののみを的確にフックする必要がある場合は、次の第二のフック方法を使用する。
第二のフック方法は、DLLインジェクションによって、所定のAPI12の呼び出しをフックする。この方法では、メモリ上におけるAPIを呼び出しているコードを書き換えることで、当該APIに代えて他の処理の実行を可能にしている。 The API hook can be performed by the following two methods.
First, as a first hook method, there is a method using an OS-provided API hook. In this method, a call to the API 12 is hooked by using hook means incorporated in an OS such as Windows (registered trademark).
However, in this method, since it may be hooked to a process that is not desired to be hooked, when it is necessary to accurately hook only the target one, the following second hook method is used.
The second hook method hooks a call to a predetermined API 12 by DLL injection. In this method, the code that calls the API on the memory is rewritten to enable execution of other processes instead of the API.

APIフック手段15を構成するにあたっては、事前にAP11によって使われる可能性のある、あらゆるAPI12を検討して、ファイル名が引数になっているAPI12をすべて選び出し、どのAPI12をフックの対象とするかをAPIフック手段15に記憶させておく必要がある。
このようなフックの対象とするAPI12としては、例えば次のようなものを挙げることができる。 When configuring the API hook means 15, consider all APIs 12 that may be used in advance by the AP 11, select all the APIs 12 whose file names are arguments, and which APIs 12 are to be hooked. Must be stored in the API hook means 15.
Examples of the API 12 to be hooked include the following.

<ファイルの読み書き> NTCreateFile NTOpenFile NTCloseFile
<印刷> OPenPrinterA OpenPrinterW StartDocPrinterA StartDocPrinterW EndPagePrinter EndDocPrinter
<ファイルのネットワークへの送信>NTCreateFile NTOpenFile NTCloseFile InternetConnectA InternetConnectW InternetOpenUrlA InternetOpenUrlW
<起動できるソフトウェアの制限> NTOpenFile
<レジストリーアクセス> NtOpenKey NtCreateKey
<ファイル共有> NtShareAdd NTShareDel <Reading and writing files> NTCreateFile NTOpenFile NTCloseFile
<Print> OPenPrinterA OpenPrinterW StartDocPrinterA StartDocPrinterW EndPagePrinter EndDocPrinter
<Send file to network> NTCreateFile NTOpenFile NTCloseFile InternetConnectA InternetConnectW InternetOpenUrlA InternetOpenUrlW
<Restricted software that can be started> NTOpenFile
<Registry access> NtOpenKey NtCreateKey
<File sharing> NtShareAdd NTShareDel

アクセス先判定手段16は、AP11から呼び出されるAPI12のアクセス先が、予め仮想シンクライアント状態下においてアクセス不許可にする対象として特定された所定のファイル等であるか否かを判定して、その判定結果をAPIフック手段15に返す。
判定の結果、API12のアクセス先が当該所定のファイル等でない場合、PC10の仮想シンクライアント化は行わないため、図1に示すように、APIフック手段15は、AP11が実行させようとしていたAPI12を呼び出して、当該API12によるファイルアクセス処理を実行させる。このとき、APIフック手段15は、API12から実行結果を受け取って、API12によるファイルアクセス処理が正常に行われた場合は、API12による処理が正常に行われたことを示す情報をAP11に出力する。一方、API12によるファイルアクセス処理が正常に行われなかった場合は、エラー情報をAP11に出力する。 The access destination determination unit 16 determines whether or not the access destination of the API 12 called from the AP 11 is a predetermined file or the like that is specified in advance as a target for which access is not permitted in the virtual thin client state. The result is returned to the API hook means 15.
As a result of the determination, if the access destination of the API 12 is not the predetermined file or the like, the PC 10 is not made into a virtual thin client. Therefore, as shown in FIG. 1, the API hook unit 15 executes the API 12 that the AP 11 was trying to execute. Called to cause the API 12 to execute file access processing. At this time, the API hook unit 15 receives the execution result from the API 12 and outputs information indicating that the process by the API 12 is normally performed to the AP 11 when the file access process by the API 12 is normally performed. On the other hand, if the file access process by the API 12 is not normally performed, error information is output to the AP 11.

一方、判定の結果、API12のアクセス先が当該所定のファイル等である場合、PC10を仮想シンクライアント化するため、図2に示すように、APIフック手段15は、AP11にエラー情報を出力する。
これにより、ユーザやAP11側から見ると、ログインや再起動を行うことなく、またファイルのアクセス権限を設定することなく、重要文書などの所定のファイルに対するアクセスを行うことができなくなり、PC10を疑似的にシンクライアント化することが可能となる。 On the other hand, as a result of the determination, if the access destination of the API 12 is the predetermined file or the like, the API hook means 15 outputs error information to the AP 11 as shown in FIG.
As a result, when viewed from the user or the AP 11 side, it becomes impossible to access a predetermined file such as an important document without logging in or restarting or setting file access authority, and the PC 10 is simulated. It is possible to make it thin client.

次に、図3に示すフローチャートを参照して、本実施形態の仮想シンクライアント化装置の処理手順(仮想シンクライアント化方法)について説明する。
まず、AP11が、ファイルアクセスを行う各種API12の呼び出し処理を行うと(ステップ10)、そのAPI12による処理が実行される前に、呼び出し処理をAPIフック手段15がフックする(ステップ11)。
このとき、APIフック手段15は、AP11からAPI12の呼び出し要求情報を取得する。呼び出し要求情報には、呼び出す対象のAPI12を特定するための情報と、アクセスするファイルアクセス先情報が含まれている。
次に、APIフック手段15は、呼び出し先判定手段16に制御を渡す。 Next, a processing procedure (virtual thin client method) of the virtual thin client device of the present embodiment will be described with reference to the flowchart shown in FIG.
First, when the AP 11 performs a calling process of various APIs 12 that perform file access (step 10), the API hooking means 15 hooks the calling process before the process by the API 12 is executed (step 11).
At this time, the API hook means 15 acquires the API 12 call request information from the AP 11. The call request information includes information for specifying the API 12 to be called and file access destination information to be accessed.
Next, the API hook unit 15 passes control to the call destination determination unit 16.

呼び出し先判定手段16は、呼び出されるAPI12のアクセス先が、仮想シンクライアント状態下においてアクセス不許可にする対象として特定された所定のファイル等であるか否かを判定する(ステップ12)。
このアクセス先の判定処理は、「呼び出されるAPI12のアクセス先」を上記「API12の呼び出し要求情報」から取得し、これが、上述したように、呼び出し先判定手段16等において予め記憶されている「アクセス不許可にする対象として特定された所定のファイル等」に含まれているか否かを判定することにより行うことができる。 The call destination determination unit 16 determines whether or not the access destination of the API 12 to be called is a predetermined file or the like specified as a target for which access is not permitted in the virtual thin client state (step 12).
In this access destination determination process, the “access destination of the API 12 to be called” is acquired from the “call request information of the API 12”, and as described above, this is stored in the “access destination determination means 16 or the like” This can be done by determining whether or not it is included in a “predetermined file or the like specified as an object to be prohibited”.

また、このアクセス先の判定処理では、API12がアクセスしようとするファイル名の解析が行われ、所定のファイルであるか否かを判定するとともに、そのアクセス先のハードウェアを特定することができる。ファイル名の命名ルールはOSによって異なるため、ファイル名の解析は、各OSの命名ルールに従って行われる。   In the access destination determination process, the file name to be accessed by the API 12 is analyzed to determine whether or not the file is a predetermined file, and the hardware of the access destination can be specified. Since the file name naming rules differ depending on the OS, the file name analysis is performed according to the naming rules of each OS.

例えば、OSがウインドウズの場合、複数の命名ルールが存在するが、その1つにドライブ名と呼ばれるアルファベットとそれに続く名前により、ファイル名を定義する命名ルールがある。例えばC:\testとD:\testの2つのファイル名がある場合、C:\とD:\はドライブ名であり、その後のtestがファイルの名前である。ドライブ名は、PCに接続されたハードウェアの種類を表し、例えばあるPCではc:\がハードディスク、d:\がUSBメモリドライブを表す。このPC場合、API12のアクセス先が「c:\test」であれば、ハードディスク内にあるファイルへのアクセスを示し、「d:\test」であれば、USBメモリ内にあるファイルのアクセスということがわかる。   For example, when the OS is Windows, there are a plurality of naming rules. One of them is a naming rule for defining a file name by an alphabet called a drive name and a name following it. For example, if there are two file names C: \ test and D: \ test, C: \ and D: \ are drive names, and the subsequent test is the file name. The drive name represents the type of hardware connected to the PC. For example, in a certain PC, c: \ represents a hard disk and d: \ represents a USB memory drive. In this PC, if the access destination of the API 12 is “c: \ test”, it indicates access to a file in the hard disk, and if “d: \ test”, it means access to a file in the USB memory. I understand.

アクセス先の判定処理の具体的な内容は、様々なものとすることができる。例えば、重要ファイルについて、ハードディスク14への書き込みは禁止するが、USBメモリ20なら許可したり、共に禁止にしたりすることもできる。また、重要ファイルについて、APIが読み込みを行うものであれば許可するが、書き込みを行うものなら禁止したり、共に禁止にしたりすることもできる。   The specific contents of the access destination determination process can be various. For example, writing of important files to the hard disk 14 is prohibited, but the USB memory 20 can be allowed, or both can be prohibited. In addition, an important file is permitted if it is read by the API, but can be prohibited if it is written, or both can be prohibited.

次に、アクセス先の判定処理の結果、当該アクセス先がアクセス不許可にする対象として特定された所定のファイル等である場合(ステップ13のYES)、APIフック手段15はAP11へエラーを返却する(ステップ14)。これにより、AP11は、上記所定のファイル等にアクセスすることができず、PC10は疑似的にシンクライアント化されることとなる。
すなわち、この仮想シンクライアント化方法によれば、所定のAPIをフックするとともに、そのファイルのアクセス先を判定することで、ハードディスク14へのファイルの読み込みや書き込み、印刷装置への出力、ネットワークへの送信等を、その処理毎に禁止することができ、PC10を擬似的なシンクライアント状態にすることが可能となっている。 Next, as a result of the access destination determination process, if the access destination is a predetermined file or the like specified as a target for which access is not permitted (YES in step 13), the API hook unit 15 returns an error to the AP 11. (Step 14). As a result, the AP 11 cannot access the predetermined file or the like, and the PC 10 becomes a pseudo thin client.
That is, according to this virtual thin client method, a predetermined API is hooked and the access destination of the file is determined, so that reading and writing of the file to the hard disk 14, output to the printing apparatus, and output to the network are performed. Transmission or the like can be prohibited for each processing, and the PC 10 can be put into a pseudo thin client state.

一方、アクセス先の判定の結果、当該アクセス先がアクセス不許可にする対象として特定された所定のファイル等でない場合(ステップ13のNO)、APIフック手段15はAPI12を呼び出して(ステップ15)、API12によるファイルアクセスを実行させる(ステップ16)。   On the other hand, as a result of the determination of the access destination, if the access destination is not a predetermined file or the like specified as a target for which access is not permitted (NO in step 13), the API hook means 15 calls the API 12 (step 15), The file access by the API 12 is executed (step 16).

このとき、APIフック手段15は、API12から実行結果を受け取って、API12によるファイルアクセス処理が正常に行われた場合は(ステップ17のYES)、API12による処理が正常に行われたことを示す情報をAP11に返却する(ステップ18)。
一方、API12によるファイルアクセス処理が正常に行われなかった場合は、エラーをAP11に返却する(ステップ17のNO)。 At this time, when the API hook unit 15 receives the execution result from the API 12 and the file access process by the API 12 is normally performed (YES in Step 17), the information indicating that the process by the API 12 is normally performed. Is returned to AP11 (step 18).
On the other hand, if the file access process by the API 12 is not normally performed, an error is returned to the AP 11 (NO in step 17).

呼び出されるAPI12のアクセス先は、上述したように、API12の呼び出し要求情報から取得することができ、対象ファイルがハードディスクに存在するのか、ネットワーク上のファイルサーバ等に存在するのか等を、OSのファイル名の規則にもとづき得ることが可能である。   As described above, the access destination of the API 12 to be called can be acquired from the API 12 call request information, and whether the target file exists on the hard disk, the file server on the network, or the like. It can be obtained according to the rules of names.

このように、本実施形態におけるPC10の仮想シンクライアント化はAP11による特定の処理の際に一時的に行われるものであり、当該処理の終了と同時に解除されて、PC10は通常の状態に戻ることになる。
これによって起動しているコンピュータへのログインや再起動を必要とすることなく、重要ファイルなどについてのハードディスクや周辺機器等へのアクセス等を制限することが可能であり、本実施形態の仮想シンクライアント化は、コンピュータを簡易的にシンクライアント状態にするものであるといえる。 As described above, the virtual thin client of the PC 10 in the present embodiment is temporarily performed at the time of the specific processing by the AP 11, and is released simultaneously with the end of the processing, so that the PC 10 returns to the normal state. become.
This makes it possible to restrict access to hard disks and peripheral devices for important files and the like without requiring login or restart to the running computer, and the virtual thin client of this embodiment It can be said that the computerization simply puts the computer into a thin client state.

以上説明したように、本実施形態の仮想シンクライアント化装置、仮想シンクライアント化プログラム、及び仮想シンクライアント化方法によれば、通常は普通のコンピュータを、ユーザが所定のファイルにアクセスしようとした瞬間に、擬似的にシンクライアント化することが可能となる。   As described above, according to the virtual thin client device, the virtual thin client program, and the virtual thin client method according to the present embodiment, a normal computer usually has a moment when a user tries to access a predetermined file. In addition, it becomes possible to make a pseudo thin client.

[第二実施形態]
次に、本発明の第二実施形態の構成について、図4を参照して説明する。同図は、本実施形態の仮想シンクライアント化装置の構成を示すブロック図において、アクセス不許可時の処理の流れを示す図である。
本実施形態の仮想シンクライアント化装置は、第一実施形態における構成に加え、アクセス先変更手段17、及び暗号化手段18を備えている。 [Second Embodiment]
Next, the configuration of the second embodiment of the present invention will be described with reference to FIG. This figure is a block diagram showing the configuration of the virtual thin client device of this embodiment, showing the flow of processing when access is not permitted.
The virtual thin client device of the present embodiment includes an access destination changing unit 17 and an encryption unit 18 in addition to the configuration in the first embodiment.

AP11の種類によっては、単にファイルへのアクセスを不許可とし、API12の呼び出し処理に対してAP11へエラーを返すだけでは正常に動作しないものが存在する。本実施形態は、このようなAP11から所定のAPI12が呼び出され、アクセス不許可にする対象として予め特定されたファイル等へのアクセスが行われる場合に、仮想シンクライアント化を実現するものである。その他の点については、第一実施形態と同様のものとすることができる。   Depending on the type of the AP 11, there may be a case where access to the file is simply disallowed, and an error is not returned to the AP 11 in response to the API 12 calling process, and the application does not operate normally. In the present embodiment, when a predetermined API 12 is called from such an AP 11 and access is made to a file or the like specified in advance as a target for which access is not permitted, virtual thin client implementation is realized. About another point, it can be set as the thing similar to 1st embodiment.

アクセス先変更手段17は、API12のアクセス先のファイル名を変更することで、ファイルの付け替え処理を行う。
これによって、AP11から呼び出されたAPI12に、付け替えられたファイルへアクセスさせる。このとき、付け替えられたファイルの格納先を、ユーザが目に触れにくい場所にすることで、AP11に認識させることなく、またハードディスクに保存していないように見せつつ、ハードディスク内に一時的に保存する。 The access destination changing unit 17 performs a file replacement process by changing the file name of the access destination of the API 12.
As a result, the API 12 called from the AP 11 is made to access the replaced file. At this time, by making the storage location of the replaced file difficult for the user to see, it is temporarily stored in the hard disk without causing the AP 11 to recognize it and not appearing to be stored in the hard disk. To do.

しかしながら、このようなファイルの付け替え処理のみでは、勿論当該ファイルからの情報漏洩を十分には防止できないため、本実施形態では当該ファイルを暗号化手段18により暗号化する。
このとき、暗号化手段18により暗号化されたファイルは、APIフック手段15からAPI12に送られ、ファイルシステム13を経由してハードディスク14に記憶される。 However, since only such a file replacement process cannot sufficiently prevent leakage of information from the file, the file is encrypted by the encryption unit 18 in the present embodiment.
At this time, the file encrypted by the encryption unit 18 is sent from the API hook unit 15 to the API 12 and stored in the hard disk 14 via the file system 13.

なお、AP11から暗号化されたファイルを読み込むAPI12が呼び出され、アクセス先がアクセス許可対象であると判定されてその復号化を行う場合、当該暗号化ファイルはAPIフック手段15から暗号化手段18へ送られて、暗号化手段18により復号化される。そして、復号化されたファイルはAPIフック手段15を経由してAP11へ送られる。
このような復号化処理を行うため、暗号化手段18による暗号化に際して、ファイルの先頭などに当該ファイルを暗号化したことを識別する情報を付加しておくことが好ましい。このようにすれば、呼び出し先判定手段16は、API12からファイルを入力するときに、そのファイルを復号化すべきかどうかを自動的に判断することができる。 When the API 12 for reading the encrypted file is called from the AP 11 and it is determined that the access destination is the access permission target and the decryption is performed, the encrypted file is transferred from the API hook unit 15 to the encryption unit 18. The data is sent and decrypted by the encryption means 18. The decrypted file is sent to the AP 11 via the API hook means 15.
In order to perform such decryption processing, it is preferable to add information for identifying that the file has been encrypted at the beginning of the file when the encryption unit 18 performs encryption. In this way, when the call destination determination means 16 inputs a file from the API 12, it can automatically determine whether or not the file should be decrypted.

次に、図5に示すフローチャートを参照して、本実施形態の仮想シンクライアント化装置の処理手順(仮想シンクライアント化方法)について説明する。
まず、AP11によるAPI12の呼び出し処理からアクセス不許可対象のアクセス先か否かの判定処理(ステップ30〜ステップ33)、及びAPIフック手段15によるAPI12の呼び出し処理からAPI12による処理が正常に行われたことを示す情報をAP11へ返却する処理(ステップ40〜ステップ43)までの動作は、第一実施形態における動作(ステップ10〜ステップ13、ステップ15〜ステップ18)と同様である。ただし、本実施形態では、AP11によりあるファイルに対する書き込み処理を行うAPI12が呼び出される場合を想定している。 Next, a processing procedure (virtual thin client method) of the virtual thin client device of the present embodiment will be described with reference to a flowchart shown in FIG.
First, the process of determining whether the access destination is an access-denied target from the API 12 calling process by the AP 11 (steps 30 to 33) and the API 12 calling process by the API hook unit 15 are normally performed. The operation up to the process of returning information indicating that to the AP 11 (step 40 to step 43) is the same as the operation (step 10 to step 13, step 15 to step 18) in the first embodiment. However, in the present embodiment, it is assumed that the API 12 that performs writing processing on a certain file is called by the AP 11.

本実施形態では、API12のアクセス先が仮想シンクライアント状態下においてアクセス不許可にする対象であり(ステップ33のYES)、API12がファイルの書き込みを行うものである場合(ステップ34のYES)、アクセス先変更手段17がファイル名を付け替えてAPI12のアクセス先を変更する(ステップ35)。
また、暗号化手段18は、AP11により書き込みが行われたファイルを、APIフック手段15を介して入力し、当該ファイルを暗号化する(ステップ36)。 In this embodiment, when the access destination of the API 12 is a target for which access is not permitted in the virtual thin client state (YES in step 33), and the API 12 is for writing a file (YES in step 34), the access is made. The destination changing unit 17 changes the access destination of the API 12 by changing the file name (step 35).
The encryption means 18 inputs the file written by the AP 11 via the API hook means 15 and encrypts the file (step 36).

そして、APIフック手段15により当該API12が呼び出され、暗号化ファイルがAPIフック手段15からAPI12へ渡され(ステップ37)、API12によりハードディスク14に格納される(ステップ38)。
暗号化ファイルの格納処理が正常に行われると(ステップ42のYES)、APIフック手段15は、AP11にAPI12による処理が正常に行われたことを示す情報をAP11に返却する(ステップ43)。 Then, the API 12 is called by the API hook unit 15, the encrypted file is transferred from the API hook unit 15 to the API 12 (step 37), and stored in the hard disk 14 by the API 12 (step 38).
When the encrypted file storing process is normally performed (YES in step 42), the API hook unit 15 returns information indicating that the process by the API 12 is normally performed to the AP 11 (step 43).

一方、API12がファイルの書き込みを行うものでない場合(ステップ34のNO)、第一実施形態と同様に、APIフック手段15からAP11に対し、API12によるファイルへのアクセスを禁止することを示すエラーを返却する(ステップ39)。
また、暗号化ファイルの格納処理が正常に行われなかった場合(ステップ42のNO)、APIフック手段15からAP11に対し、API12による処理が正常に行われなかったことを示すエラーをAP11に返却する(ステップ39)。 On the other hand, if the API 12 does not write the file (NO in step 34), an error indicating that access to the file by the API 12 is prohibited from the API hook means 15 to the AP 11 as in the first embodiment. Return (step 39).
If the encrypted file storage process is not normally performed (NO in step 42), an error indicating that the process by the API 12 is not normally performed is returned to the AP 11 from the API hook unit 15 to the AP 11. (Step 39).

このように、本実施形態では、実際にはAPI12によるファイルに対するアクセスが行われ、書き込みが行われている。しかしながら、PC10のユーザにとっては、元のファイルに対する書き込みが行われていないため、書き込みが行えなかったように認識される。そして、アクセスされたファイルは暗号化されているため、当該ファイルが万一漏洩しても、情報漏洩は防止される。このため、PC10は、擬似的にシンクライアント化されているといえる。   As described above, in the present embodiment, the file is actually accessed and written by the API 12. However, since the user of the PC 10 has not performed writing to the original file, it is recognized that the writing has not been performed. Since the accessed file is encrypted, even if the file leaks, information leakage is prevented. For this reason, the PC 10 can be said to be a pseudo thin client.

以上説明したように、本実施形態の仮想シンクライアント化装置、仮想シンクライアント化プログラム、及び仮想シンクライアント化方法によれば、単にファイルのアクセスを禁止するだけでは正常に動作しなくなる特定のAP11を使用する場合でも、PC10の仮想シンクライアント化を実現することができる。   As described above, according to the virtual thin client device, the virtual thin client program, and the virtual thin client method of the present embodiment, a specific AP 11 that does not operate normally only by prohibiting file access can be obtained. Even when it is used, the virtual thin client of the PC 10 can be realized.

[第三実施形態]
次に、本発明の第三実施形態の構成について、図6を参照して説明する。同図は、本実施形態の仮想シンクライアント化装置の構成を示すブロック図である。
本実施形態の仮想シンクライアント化装置は、第二実施形態における構成に加え、消去手段19を備えている。 [Third embodiment]
Next, the structure of 3rd embodiment of this invention is demonstrated with reference to FIG. This figure is a block diagram showing the configuration of the virtual thin client device of this embodiment.
The virtual thin client device of the present embodiment includes an erasing unit 19 in addition to the configuration in the second embodiment.

本実施形態は、ハードディスク14に保存された暗号化ファイルを、所定のタイミングで消去する点で第二実施形態と異なっている。その他の点は第二実施形態と同様である。
第二実施形態においても、API12によってハードディスク14に格納されたファイルは、AP11が認識する保存先とは別個のアドレスに存在するとともに、暗号化されたものであるため、情報漏洩を生じるものではない。しかし、この暗号化ファイルを所定のタイミングで消去すれば、情報漏洩防止効果は一層向上し得る。そこで、本実施形態では、消去手段19により、ハードディスク14における暗号化ファイルを消去している。 This embodiment is different from the second embodiment in that an encrypted file stored in the hard disk 14 is deleted at a predetermined timing. Other points are the same as in the second embodiment.
Also in the second embodiment, the file stored in the hard disk 14 by the API 12 exists at an address different from the storage destination recognized by the AP 11 and is encrypted, so that information leakage does not occur. . However, if this encrypted file is deleted at a predetermined timing, the information leakage prevention effect can be further improved. Therefore, in the present embodiment, the erasure unit 19 erases the encrypted file on the hard disk 14.

なお、AP11の種類によっては、その終了時に、ハードディスク14に生成したファイルを自動的に消去するものが存在する。しかし、このような動作を行わないAP11が存在する場合や、上記の自動消去が成功しなかった場合でも、暗号化ファイルを消去可能なように、本実施形態の仮想シンクライアント化装置に消去手段19を設けている。   Note that, depending on the type of the AP 11, there is one that automatically deletes the file generated on the hard disk 14 at the end of the AP 11. However, even if there is an AP 11 that does not perform such an operation, or even if the above automatic erasure is not successful, the erasure unit is included in the virtual thin client device of the present embodiment so that the encrypted file can be erased. 19 is provided.

消去手段19は、ファイルの消去処理を行うAPIを呼び出し、ファイルシステム13を経由してハードディスク14における暗号化ファイルを消去する。
消去対象のファイルとしては、全ての暗号化ファイルとするほか、特定の名称のものや、暗号化手段18から入力した特定のファイルのみを対象とすることができる。暗号化ファイルであるか否かは、暗号化手段18がファイルの暗号化を行う際に、暗号化されているかどうかの識別情報を当該ファイルに持たせることで判定できる。
消去タイミングとしては、例えば暗号化ファイルのクローズ時、AP11によるアプリケーションの終了時、ブラウザの終了時、PC10にUSBメモリ20が接続されている場合におけるその切り離し時などとすることができる。 The erasing unit 19 calls an API for performing a file erasing process, and erases the encrypted file in the hard disk 14 via the file system 13.
As the files to be erased, not only all encrypted files but also specific names or only specific files input from the encryption means 18 can be targeted. Whether or not the file is an encrypted file can be determined by providing the file with identification information as to whether or not the file is encrypted when the encryption unit 18 encrypts the file.
The erasure timing can be, for example, when the encrypted file is closed, when the application by the AP 11 is terminated, when the browser is terminated, or when the USB memory 20 is connected to the PC 10 and when it is disconnected.

以上説明したように、本実施形態の仮想シンクライアント化装置、仮想シンクライアント化プログラム、及び仮想シンクライアント化方法によれば、PC10が仮想シンクライアント化され、ハードディスク14上に暗号化ファイルが生成された場合において、その仮想シンクライアント化が解除されたときに、暗号化ファイルを消去することができる。このため、PC10から情報が漏洩するリスクをより低減することが可能となる。   As described above, according to the virtual thin client device, the virtual thin client program, and the virtual thin client method of the present embodiment, the PC 10 is converted into a virtual thin client, and an encrypted file is generated on the hard disk 14. In this case, the encrypted file can be deleted when the virtual thin client is released. For this reason, it becomes possible to further reduce the risk of information leakage from the PC 10.

[第四実施形態]
次に、本発明の第四実施形態の構成について、図7を参照して説明する。同図は、本実施形態の仮想シンクライアント化装置の構成を示すブロック図である。
本実施形態の仮想シンクライアント化装置は、第一実施形態における構成に加え、仮想シンクライアント化プログラム10aを備えている。
本実施形態は、PC10に予めインストールされた仮想シンクライアント化プログラム10aを起動して、PC10にAPIフック手段15とアクセス先判定手段16を生成する点で第一実施形態と異なっている。その他の点は第一実施形態と同様である。 [Fourth embodiment]
Next, the structure of 4th embodiment of this invention is demonstrated with reference to FIG. This figure is a block diagram showing the configuration of the virtual thin client device of this embodiment.
The virtual thin client computer of this embodiment includes a virtual thin client computer program 10a in addition to the configuration of the first embodiment.
This embodiment is different from the first embodiment in that the virtual thin client program 10a installed in advance in the PC 10 is activated to generate the API hook means 15 and the access destination determination means 16 in the PC 10. Other points are the same as in the first embodiment.

また、仮想シンクライアント化プログラム10aにより、第二実施形態又は第三実施形態におけるPC10内の各構成を生成するようにすることも可能である。すなわち、仮想シンクライアント化プログラム10aを実行して、APIフック手段15、アクセス先判定手段16、アクセス先変更手段17、及び暗号化手段18を生成したり、又はこれらに加えて消去手段19を生成したりする構成としても良い。   It is also possible to generate each component in the PC 10 in the second embodiment or the third embodiment by the virtual thin client program 10a. That is, the virtual thin clientization program 10a is executed to generate the API hook unit 15, the access destination determination unit 16, the access destination changing unit 17, and the encryption unit 18, or in addition to these, the deletion unit 19 is generated. It is good also as a structure to do.

[第五実施形態]
次に、本発明の第五実施形態の構成について、図8及び図9を参照して説明する。図8は、本実施形態の仮想シンクライアント化システムの構成を示すブロック図において、アクセス許可時の処理の流れを、図9は、アクセス不許可時の処理の流れを示す図である。
本実施形態の仮想シンクライアント化システムは、PC10と、これに着脱可能なUSBメモリ20とを有しており、USBメモリ20によりPC10の仮想シンクライアント化を行っている点で第一実施形態と異なっている。その他の点については第一実施形態と同様である。また、当該仮想シンクライアント化システムにおいて行われる仮想シンクライアント化方法は、図3のフローチャートと同様の手順で行うことができる。 [Fifth embodiment]
Next, the structure of 5th embodiment of this invention is demonstrated with reference to FIG.8 and FIG.9. FIG. 8 is a block diagram showing the configuration of the virtual thin client system of this embodiment, and FIG. 9 is a diagram showing the flow of processing when access is permitted, and FIG. 9 is the flow of processing when access is not permitted.
The virtual thin client system of the present embodiment includes the PC 10 and a USB memory 20 that can be attached to and detached from the PC 10, and the first embodiment is different from the first embodiment in that the PC 10 is converted to a virtual thin client by the USB memory 20. Is different. Other points are the same as in the first embodiment. The virtual thin client method performed in the virtual thin client system can be performed in the same procedure as the flowchart of FIG.

PC10は、本実施形態で仮想シンクライアント化を行う対象の装置であり、通常は一般的なリッチクライアントとして動作する、汎用のパーソナルコンピュータなどの情報処理装置である。
本実施形態では、USBメモリ20にPC10を仮想シンクライアント化するための構成を備え、USBメモリ20をPC10に接続することで、重要ファイルへのアクセスが行われようとした場合など、一定条件下でPC10を擬似的にシンクライアント化することができる。
PC10は、図8に示すように、AP11、API12、ファイルシステム13、及びハードディスク14を備えている。これらは第一実施形態におけるものと同様のものを用いることができる。 The PC 10 is a device that is a virtual thin client in this embodiment, and is an information processing device such as a general-purpose personal computer that normally operates as a general rich client.
In this embodiment, the USB memory 20 has a configuration for making the PC 10 a virtual thin client, and when the USB memory 20 is connected to the PC 10, an important file is accessed, for example, under certain conditions. Thus, the PC 10 can be made into a pseudo thin client.
As shown in FIG. 8, the PC 10 includes an AP 11, an API 12, a file system 13, and a hard disk 14. These can be the same as those in the first embodiment.

USBメモリ20は、PC10に着脱可能なリムーバブルディスクである。本実施形態では、USBメモリとしているが、これに限定されるものではなく、その他の各種メディアを用いることもできる。
USBメモリ20は、図8に示すように、APIフック手段21、及びアクセス先判定手段22を備えている。これらは、それぞれ第一実施形態のPC10におけるAPIフック手段15、アクセス先判定手段16と同様の機能を備えている。 The USB memory 20 is a removable disk that can be attached to and detached from the PC 10. In this embodiment, the USB memory is used. However, the present invention is not limited to this, and other various media can be used.
As shown in FIG. 8, the USB memory 20 includes an API hook unit 21 and an access destination determination unit 22. These have the same functions as the API hook unit 15 and the access destination determination unit 16 in the PC 10 of the first embodiment, respectively.

すなわち、本実施形態では、APIフック手段21が、AP11により呼び出されるAPI12のうち、予めフックの対象として特定された所定のAPI12の呼び出し処理をフックする。この所定のAPI12として、ファイルアクセスを行う全てのAPIを対象とすることができる。
そして、APIフック手段21は、アクセス先判定手段22により、API12のアクセス先が仮想シンクライアント状態下においてアクセス不許可にする対象として予め特定された所定のファイル等であるか否かを判定させる。 That is, in the present embodiment, the API hook unit 21 hooks a calling process of a predetermined API 12 specified as a hook target in advance among the APIs 12 called by the AP 11. As this predetermined API 12, all APIs that perform file access can be targeted.
Then, the API hook unit 21 causes the access destination determination unit 22 to determine whether or not the access destination of the API 12 is a predetermined file or the like specified in advance as a target for which access is not permitted in the virtual thin client state.

この判定の結果、API12のアクセス先が当該所定のファイル等でない場合、APIフック手段21は、図8に示すように、API12を呼び出して、ファイルアクセス処理を実行させる。
また、判定の結果、API12のアクセス先が当該所定のファイル等である場合、APIフック手段21は、図9に示すように、AP11にエラーを返却する。 As a result of the determination, if the access destination of the API 12 is not the predetermined file or the like, the API hook unit 21 calls the API 12 and executes the file access process as shown in FIG.
As a result of the determination, if the access destination of the API 12 is the predetermined file or the like, the API hook unit 21 returns an error to the AP 11 as shown in FIG.

本実施形態の仮想シンクライアント化システム、仮想シンクライアント化プログラム、及び仮想シンクライアント化方法によれば、USBメモリ20などのリムーバブルディスクにPC10を仮想シンクライアント化するための構成を備え、これによって、任意のPC10を簡易に擬似的にシンクライアント化することが可能となる。   According to the virtual thin client system, the virtual thin client program, and the virtual thin client method of the present embodiment, a configuration for converting the PC 10 into a virtual thin client on a removable disk such as the USB memory 20 is provided. It becomes possible to make an arbitrary PC 10 a pseudo thin client easily.

[第六実施形態]
次に、本発明の第六実施形態の構成について、図10を参照して説明する。同図は、本実施形態の仮想シンクライアント化システムの構成を示すブロック図において、アクセス許可時の処理の流れを示すものである。
本実施形態の仮想シンクライアント化システムは、AP11がAPI12によって、USBメモリ20の記憶手段23におけるファイルにアクセスする場合は、PC10を仮想シンクライアント化することなく、当該アクセスを許可する点で第五実施形態と異なる。その他の点については、第五実施形態と同様である。また、当該仮想シンクライアント化システムにおいて行われる仮想シンクライアント化方法は、図3のフローチャートと同様の手順で行うことができる。 [Sixth embodiment]
Next, the structure of 6th embodiment of this invention is demonstrated with reference to FIG. This figure shows the flow of processing at the time of access permission in the block diagram showing the configuration of the virtual thin client system of this embodiment.
In the virtual thin client system of the present embodiment, when the AP 11 uses the API 12 to access a file in the storage unit 23 of the USB memory 20, the fifth aspect is that the access is permitted without making the PC 10 a virtual thin client. Different from the embodiment. Other points are the same as in the fifth embodiment. The virtual thin client method performed in the virtual thin client system can be performed in the same procedure as the flowchart of FIG.

すなわち、本実施形態の仮想シンクライアント化システムにおいて、USBメモリ20は、AP11から所定のAPI12が呼び出されると、APIフック手段21によりその呼び出し処理をフックして、アクセス先判定手段22によりAPI12のアクセス先が、仮想シンクライアント状態下においてアクセス不許可にする対象であるか否かを判定させる。   That is, in the virtual thin client system of this embodiment, when a predetermined API 12 is called from the AP 11, the USB memory 20 hooks the calling process by the API hook unit 21, and the access destination determination unit 22 accesses the API 12. It is determined whether or not the destination is a target for which access is not permitted in the virtual thin client state.

そして、判定の結果、API12のアクセス先がUSBメモリ20内の記憶手段23である場合、APIフック手段21は、当該アクセス先を仮想シンクライアント状態下においてアクセス不許可にする対象外である判定してAPI12を呼び出し、ファイルアクセスを許可する。
このとき、API12は、ファイルシステム13を経由して、USBメモリ20の記憶手段23へのアクセスを行う。なお、API12によりファイルシステム13を介することなく、記憶手段23にアクセスさせることもできる。 If the access destination of the API 12 is the storage means 23 in the USB memory 20 as a result of the determination, the API hook means 21 determines that the access destination is not a target for disallowing access in the virtual thin client state. API 12 is called to permit file access.
At this time, the API 12 accesses the storage unit 23 of the USB memory 20 via the file system 13. The storage unit 23 can be accessed by the API 12 without going through the file system 13.

[第七実施形態]
次に、本発明の第七実施形態の構成について、図11を参照して説明する。同図は、本実施形態の仮想シンクライアント化システムの構成を示すブロック図において、アクセス不許可時の処理の流れを示すものである。
本実施形態は、第二実施形態と同様のAP11からAPI12の呼び出しが行われた場合に、仮想シンクライアント化を実現するためのバリエーションのシステムである。すなわち、AP11の種類によっては、単にファイルへのアクセスを不許可とし、API12の呼び出し処理に対してAP11へエラーを返すだけでは正常に動作しないものが存在する。 [Seventh embodiment]
Next, the structure of 7th Embodiment of this invention is demonstrated with reference to FIG. This figure shows the flow of processing when access is not permitted in the block diagram showing the configuration of the virtual thin client system of this embodiment.
This embodiment is a variation system for realizing a virtual thin client when the API 12 is called from the AP 11 as in the second embodiment. In other words, depending on the type of the AP 11, there may be a case where access to the file is simply not permitted and an error is not returned to the AP 11 in response to the API 12 calling process, and the AP 11 does not operate normally.

このようなAP11からAPI12が呼び出されたとき、第二実施形態では、アクセス先を変更するとともに、ファイルを暗号化してAPI12によりハードディスク14内に格納し、かつAP11に対して正常に処理が行われたことを示す情報を返すことで、PC10の仮想シンクライアント化を実現している。すなわち、第二実施形態では、ハードディスク14以外の記憶装置が一切ない場合に、ファイルの暗号化を行うことにより、ユーザや第三者が当該ファイルにアクセスできないようにしてシンクライアント化を実現している。   When the API 12 is called from such an AP 11, in the second embodiment, the access destination is changed, the file is encrypted and stored in the hard disk 14 by the API 12, and the AP 11 is normally processed. Returning information indicating that the virtual thin client of the PC 10 is realized. In other words, in the second embodiment, when there is no storage device other than the hard disk 14, by encrypting the file, a thin client is realized so that the user or a third party cannot access the file. Yes.

これに対し、本実施形態では、USBメモリ20という他の記憶手段が備えられている場合に、アクセス先変更手段17によりファイルの記憶場所を他の記憶手段に変更し、AP11にはハードディスク14にアクセスしているように認識させることで、PC10のシンクライアント化を実現している。
すなわち、AP11がアクセスしようとしているハードディスク14内のファイルが既に存在している場合は、そのファイル全体を記憶手段23にコピーし、API12にこのコピーに対するアクセスを行わせることで、あたかもAP11がハードディスク14内の当該ファイルにアクセスしているようにみせかけている。AP11がハードディスク14内の当該ファイルに書き込みを行おうとした場合、ハードディスク14内の当該ファイルに書き込みが行われるのではなく、アクセス先変更が行われ、API12により記憶手段23のファイルに書き込みが行われる。なお、書き込みを開始する前に、当該ファイルがハードディスク14に存在する場合は、そのファイルの内容を記憶手段23にコピーした後に、ファイルへの書き込みが行われるが、当該ファイルがハードディスク14に存在しない場合は、即座に記憶手段23への書き込みが行われる。その他の点については、第六実施形態と同様のものとすることができる。 On the other hand, in the present embodiment, when another storage unit called the USB memory 20 is provided, the access destination changing unit 17 changes the storage location of the file to another storage unit, and the AP 11 stores the hard disk 14 in the storage unit. By making it recognize that it is accessing, the PC 10 is realized as a thin client.
That is, if a file in the hard disk 14 to be accessed by the AP 11 already exists, the entire file is copied to the storage means 23, and the API 12 is made to access this copy, as if the AP 11 is in the hard disk 14 It appears to be accessing that file. When the AP 11 tries to write to the file in the hard disk 14, the access destination is changed instead of writing to the file in the hard disk 14, and the API 12 writes to the file in the storage unit 23. . If the file exists on the hard disk 14 before starting writing, the file contents are copied to the storage means 23 and then written to the file, but the file does not exist on the hard disk 14. In this case, writing to the storage means 23 is performed immediately. About another point, it can be set as the thing similar to 6th embodiment.

本実施形態の仮想シンクライアント化システムでは、図11に示すように、APIフック手段21がAP11によるAPI12−2の呼び出し処理をフックして、アクセス先判定手段22によりAPI12−2のアクセス先が、仮想シンクライアント状態下においてアクセス不許可にする対象である特定のファイル等であるか否かを判定する。
そして、判定の結果、アクセス先がアクセス不許可にする対象である特定のファイル等であって、当該ファイルがハードディスク14に格納されている場合、アクセス先変更手段24は、API12−3を呼び出して、API12−3によりファイルシステム13を介してハードディスク14に格納されている当該ファイルをUSBメモリ20における記憶手段23に複製する。 In the virtual thin client system of this embodiment, as shown in FIG. 11, the API hook means 21 hooks the API 12-2 calling process by the AP 11, and the access destination determination means 22 determines the access destination of the API 12-2. It is determined whether or not the file is a specific file or the like which is a target to be denied access in the virtual thin client state.
As a result of the determination, if the access destination is a specific file or the like that is to be denied access, and the file is stored in the hard disk 14, the access destination changing unit 24 calls the API 12-3. The API 12-3 copies the file stored in the hard disk 14 through the file system 13 to the storage means 23 in the USB memory 20.

そして、APIフック手段21は、API12を呼び出して記憶手段23における複製されたファイルへのアクセスを行うとともに、AP11に対して正常終了したことを示す情報を返却する。
これによって、PC10を擬似的にシンクライアント化している。 Then, the API hook unit 21 calls the API 12 to access the copied file in the storage unit 23 and returns information indicating normal termination to the AP 11.
As a result, the PC 10 is pseudo thin client.

ここで、本実施形態でも第二実施形態と同様に、実際にはAPI12によるファイルに対するアクセスが行われているが、PC10のユーザに対しては、ファイルアクセスが適切に行えなかったと認識させることができる。また、アクセスされたファイルはPC10内に記憶されない。したがって、PC10は擬似的にシンクライアント化されているということができる。   In this embodiment, as in the second embodiment, the file is actually accessed by the API 12, but the user of the PC 10 can recognize that the file access has not been performed properly. it can. The accessed file is not stored in the PC 10. Therefore, it can be said that the PC 10 is made into a pseudo thin client.

次に、図12に示すフローチャートを参照して、本実施形態の仮想シンクライアント化システムの処理手順(仮想シンクライアント化方法)について説明する。
同図において、ハードディスクにおけるアクセス先ファイルをUSBメモリに複製する動作(ステップ55)以外の動作は、第二実施形態で説明した図5における動作と同様のものとすることができる。ただし、本実施形態は、APIのフック処理、アクセス先判定処理、アクセス先変更処理が、それぞれUSBメモリ20におけるAPIフック手段21、アクセス先判定手段22、及びアクセス先変更手段24によって行われる点で第二実施形態と異なっている。 Next, a processing procedure (virtual thin client conversion method) of the virtual thin client conversion system of this embodiment will be described with reference to the flowchart shown in FIG.
In the figure, operations other than the operation of copying the access destination file in the hard disk to the USB memory (step 55) can be the same as the operation in FIG. 5 described in the second embodiment. However, in the present embodiment, API hook processing, access destination determination processing, and access destination change processing are performed by the API hook means 21, access destination determination means 22, and access destination change means 24 in the USB memory 20, respectively. This is different from the second embodiment.

すなわち、本実施形態では、API12−2がファイルの書き込みを行うものである場合、アクセス先変更手段24は、API12−3を呼び出して、ハードディスク14におけるアクセス対象のファイルを記憶手段23へ複製し、API12−2のアクセス先をこの複製ファイルに変更する。
例えば、アクセス先変更手段24は、APIフック手段21からAPI12−2の書き込み先として、「c:\TEST」という名前を入力すると、PC10のハードディスク14を検索して当該ファイルを取得し、これを複製して、USBメモリ20の記憶手段23に、「d:\TEST.TEMP」といったファイル名に変更して記憶させる。 That is, in this embodiment, when the API 12-2 is for writing a file, the access destination changing unit 24 calls the API 12-3 to copy the file to be accessed in the hard disk 14 to the storage unit 23. The access destination of the API 12-2 is changed to this duplicate file.
For example, when the name “c: \ TEST” is input as the API 12-2 writing destination from the API hook unit 21, the access destination changing unit 24 searches the hard disk 14 of the PC 10 and acquires the file. The file is copied and stored in the storage means 23 of the USB memory 20 with the file name changed to “d: \ TEST.TEMP”.

また、USBメモリ20に暗号化手段を設けることで、第二実施形態と同様に当該ファイルを暗号化することもできる。
さらに、本実施形態では、APIフック手段15は、AP11が呼び出そうとしていたAPI12−2そのものではなく、これとは別個のAPI12を呼び出して、当該API12により記憶手段23に複製されたファイルへの書き込み処理を行っている。 Further, by providing an encryption unit in the USB memory 20, the file can be encrypted as in the second embodiment.
Further, in the present embodiment, the API hook unit 15 calls not the API 12-2 itself that the AP 11 is trying to call, but a separate API 12 and copies the file copied to the storage unit 23 by the API 12. A writing process is in progress.

本実施形態の仮想シンクライアント化システム、仮想シンクライアント化プログラム、及び仮想シンクライアント化方法によれば、AP11の種類が、単にファイルへのアクセスを不許可とし、APIの呼び出し処理に対してAP11へエラーを返すだけでは正常に動作しないものである場合に、APIにUSBメモリ20の記憶手段23内に複製したファイルへアクセスさせることで、PC10を擬似的にシンクライアント化することが可能となっている。   According to the virtual thin client system, the virtual thin client program, and the virtual thin client method of the present embodiment, the type of the AP 11 simply does not permit access to the file, and the API call processing is performed to the AP 11. If it does not operate normally only by returning an error, it is possible to make the PC 10 pseudo thin client by allowing the API to access a file copied in the storage means 23 of the USB memory 20. Yes.

[第八実施形態]
次に、本発明の第八実施形態の構成について、図13を参照して説明する。同図は、本実施形態の仮想シンクライアント化システムの構成を示すブロック図である。
本実施形態の仮想シンクライアント化システムは、第二実施形態の仮想シンクライアント化装置と同様の処理を、USBメモリ20により実現する点で第二実施形態と異なる。その他の点については、第二実施形態と同様であり、本実施形態の仮想シンクライアント化方法も第二実施形態と同様のものとすることができる。 [Eighth embodiment]
Next, the configuration of the eighth embodiment of the present invention will be described with reference to FIG. FIG. 2 is a block diagram showing the configuration of the virtual thin client system of this embodiment.
The virtual thin client system of this embodiment differs from the second embodiment in that the same processing as that of the virtual thin client apparatus of the second embodiment is realized by the USB memory 20. Other points are the same as in the second embodiment, and the virtual thin client method of this embodiment can be the same as in the second embodiment.

すなわち、本実施形態の仮想シンクライアント化システムは、第二実施形態のPC10におけるAPIフック手段15、アクセス先判定手段16、アクセス先変更手段17、及び暗号化手段18と同様の処理を行う構成を、図13に示すように、USBメモリ20において、それぞれAPIフック手段21、アクセス先判定手段22、アクセス先変更手段24、及び暗号化手段25として構成している。   That is, the virtual thin client system of this embodiment is configured to perform the same processing as the API hook unit 15, the access destination determination unit 16, the access destination change unit 17, and the encryption unit 18 in the PC 10 of the second embodiment. As shown in FIG. 13, the USB memory 20 is configured as an API hook means 21, an access destination determination means 22, an access destination change means 24, and an encryption means 25, respectively.

そして、AP11が、単にファイルへのアクセスを不許可とし、API12の呼び出し処理に対してAP11へエラーを返すだけでは正常に動作しない特別な種類のものである場合に、ハードディスク14における元のアクセス先とは別個の場所に、暗号化されたファイルを作成している。
このようにすれば、AP11に対してはAPI12による処理が正常に行われたことを通知し、一方でユーザにとってはファイルへの書き込みが行えていないように認識される。これにより、特別なAP11を使用する場合におけるPC10の仮想シンクライアント化を実現している。 When the AP 11 is of a special type that simply does not permit access to the file and does not operate normally only by returning an error to the API 11 in response to the API 12 call processing, the original access destination in the hard disk 14 Create an encrypted file in a separate location.
In this way, the AP 11 is notified that the processing by the API 12 has been performed normally, while the user is recognized as not being able to write to the file. As a result, the PC 10 is realized as a virtual thin client when the special AP 11 is used.

[第九実施形態]
次に、本発明の第九実施形態の構成について、図14を参照して説明する。同図は、本実施形態の仮想シンクライアント化システムの構成を示すブロック図である。
本実施形態の仮想シンクライアント化システムは、第三実施形態の仮想シンクライアント化装置と同様の処理を、USBメモリ20により実現する点で第三実施形態と異なる。その他の点については、第三実施形態と同様であり、本実施形態の仮想シンクライアント化方法も第三実施形態と同様のものとすることができる。 [Ninth embodiment]
Next, the structure of 9th embodiment of this invention is demonstrated with reference to FIG. FIG. 2 is a block diagram showing the configuration of the virtual thin client system of this embodiment.
The virtual thin client system of this embodiment differs from the third embodiment in that the same processing as that of the virtual thin client apparatus of the third embodiment is realized by the USB memory 20. The other points are the same as in the third embodiment, and the virtual thin client method of this embodiment can be the same as in the third embodiment.

すなわち、本実施形態は、USBメモリ20に消去手段26を設けて、これによりファイルのクローズやアプリケーションプログラムの終了時など、所定のタイミングで、ハードディスク14における暗号化ファイルを消去している。
これによって、情報漏洩防止効果をより向上させることが可能となっている。 That is, according to the present embodiment, the erasing unit 26 is provided in the USB memory 20, thereby erasing the encrypted file in the hard disk 14 at a predetermined timing such as when the file is closed or the application program is terminated.
As a result, the information leakage prevention effect can be further improved.

[第十実施形態]
次に、本発明の第十実施形態の構成について、図15を参照して説明する。同図は、本実施形態の仮想シンクライアント化システムの構成を示すブロック図である。
本実施形態の仮想シンクライアント化システムは、USBメモリ20に仮想シンクライアントプログラム27を保有させ、USBメモリ20をPC10に接続した際にこれを実行して、第五実施形態と同様の機能を備えたAPIフック手段21とアクセス先判定手段22をUSBメモリ20に生成する構成としている。その他の点については、第五実施形態と同様であり、本実施形態の仮想シンクライアント化方法も第五実施形態と同様のものとすることができる。
また、仮想シンクライアントプログラム27の実行により、第六実施形態〜第九実施形態のいずれかのUSBメモリ20と同様の構成を生成させ、それぞれの実施形態と同様の機能を実現することも可能である。 [Tenth embodiment]
Next, the configuration of the tenth embodiment of the present invention will be described with reference to FIG. FIG. 2 is a block diagram showing the configuration of the virtual thin client system of this embodiment.
The virtual thin client system of this embodiment has a virtual thin client program 27 in the USB memory 20 and executes this when the USB memory 20 is connected to the PC 10, and has the same functions as in the fifth embodiment. The API hook unit 21 and the access destination determination unit 22 are generated in the USB memory 20. The other points are the same as in the fifth embodiment, and the virtual thin client method of this embodiment can be the same as in the fifth embodiment.
Further, by executing the virtual thin client program 27, it is possible to generate the same configuration as that of the USB memory 20 of any of the sixth to ninth embodiments, and to realize the same functions as the respective embodiments. is there.

[第十一実施形態]
次に、本発明の第十一実施形態の構成について、図16を参照して説明する。同図は、本実施形態の仮想シンクライアント化システムの構成を示すブロック図である。
本実施形態の仮想シンクライアント化システムは、USBメモリ20に仮想シンクライアントプログラム27を保有させ、USBメモリ20をPC10に接続した際にこれを実行して、第一実施形態と同様の機能を備えたAPIフック手段15とアクセス先判定手段16をPC10内に生成する構成としている。その他の点については、第一実施形態と同様であり、本実施形態の仮想シンクライアント化方法も第一実施形態と同様のものとすることができる。
また、仮想シンクライアントプログラム27の実行により、第二実施形態から第四実施形態のPC10と同様の構成を生成させ、それぞれの実施形態と同様の機能を実現することも可能である。 [Eleventh embodiment]
Next, the configuration of the eleventh embodiment of the present invention will be described with reference to FIG. FIG. 2 is a block diagram showing the configuration of the virtual thin client system of this embodiment.
The virtual thin client system of this embodiment has a virtual thin client program 27 in the USB memory 20 and executes it when the USB memory 20 is connected to the PC 10, and has the same functions as in the first embodiment. The API hook unit 15 and the access destination determination unit 16 are generated in the PC 10. About another point, it is the same as that of 1st embodiment, The virtual thin client-izing method of this embodiment can also be made the same as that of 1st embodiment.
Further, by executing the virtual thin client program 27, it is possible to generate the same configuration as the PC 10 of the second embodiment to the fourth embodiment, and to realize the same function as each embodiment.

本発明は、以上の実施形態に限定されるものではなく、本発明の範囲内において、種々の変更実施が可能であることは言うまでもない。
例えば、APIフック手段15がAP11によるAPI12の呼び出しをフックした後に、このAPI12ではなく、他のAP1を呼び出す構成としたり、暗号化ファイルをハードディスク14に作成するのではなく、PC10におけるメモリやRAMディスク上に作成したりするなど適宜変更することが可能である。メモリやRAMディスク上のファイルは、電源を切ったりリセットしたりするとファイルが消えてしまうため、PCの使用者が、作業が終わったときに電源を切ってそのPCを持ち歩けば、万が一そのPCを紛失しても情報が漏洩する危険性を軽減することが可能となる。 It goes without saying that the present invention is not limited to the above embodiment, and that various modifications can be made within the scope of the present invention.
For example, after the API hook means 15 hooks the API 12 to be called by the AP 11, not the API 12 but another AP 1 is called, or the encrypted file is not created in the hard disk 14, but the memory or RAM disk in the PC 10. It is possible to make appropriate changes such as creating above. Files on memory and RAM disks are deleted when the power is turned off or reset. Therefore, if a PC user turns off the power and carries the PC when the work is finished, the PC should be removed. Even if it is lost, the risk of information leakage can be reduced.

本発明は、一般的なコンピュータを使用している企業等において、これらのコンピュータをネットワークに接続する必要なく、簡易的にシンクライアント化したい場合などに好適に利用することが可能である。   The present invention can be suitably used in a company or the like using a general computer, when it is desired to easily make a thin client without connecting these computers to a network.

10 PC(コンピュータ)
11 AP(アプリケーションプログラム)
12 API(アプリケーションプログラムインタフェース)
13 ファイルシステム
14 ハードディスク
15 APIフック手段
16 アクセス先判定手段
17 アクセス先変更手段
18 暗号化手段
19 消去手段
10a 仮想シンクライアント化プログラム
20 USBメモリ
21 APIフック手段
22 アクセス先判定手段
23 記憶手段
24 アクセス先変更手段
25 暗号化手段
26 消去手段
27 仮想シンクライアント化プログラム 10 PC (computer)
11 AP (application program)
12 API (Application Program Interface)
DESCRIPTION OF SYMBOLS 13 File system 14 Hard disk 15 API hook means 16 Access destination judgment means 17 Access destination change means 18 Encryption means 19 Deletion means 10a Virtual thin client program 20 USB memory 21 API hook means 22 Access destination judgment means 23 Storage means 24 Access destination Changing means 25 Encryption means 26 Erasing means 27 Virtual thin client program

Claims (16)

所定のアプリケーションプログラムを実行するAP実行手段と、所定のアプリケーションプログラムインタフェースを実行するAPI実行手段と、周辺機器とを備えた仮想シンクライアント化装置であって、
フィルタードライバーを前記仮想シンクライアント化装置のオペレーティングシステムに備えることなく、前記仮想シンクライアント化装置が、
前記AP実行手段により前記API実行手段の呼び出し処理が行われると、前記API実行手段がファイルアクセスを行うものである場合、前記API実行手段による処理が行われる前に他の処理を実行させるためのフック処理を行うAPIフック手段と、
前記フック処理が行われると、前記API実行手段によるアクセス先がアクセス不許可にする対象のアクセス先であるか否かを判定するアクセス先判定手段と、
前記API実行手段によるアクセス先がアクセス不許可にする対象のアクセス先である場合、前記アクセス先を前記アクセス先とは異なるアクセス先に書き換えるアクセス先変更手段と、を備え、
前記APIフック手段が、
前記API実行手段によるアクセス先がアクセス不許可にする対象のアクセス先でない場合、API実行手段の呼び出し処理を許可し、
前記API実行手段によるアクセス先がアクセス不許可にする対象のアクセス先である場合、前記アクセス先変更手段により前記アクセス先を前記アクセス先とは異なるアクセス先に書き換えて、前記API実行手段を呼び出し、当該API実行手段により前記異なるアクセス先にアクセスさせるとともに、前記AP実行手段に対して前記API実行手段による処理が正常に行われたことを示す情報を出力する
ことを特徴とする仮想シンクライアント化装置。 A virtual thin client device comprising an AP execution means for executing a predetermined application program, an API execution means for executing a predetermined application program interface, and a peripheral device,
Without providing a filter driver in the operating system of the virtual thin client device, the virtual thin client device is
When the API execution means calls the API execution means by the AP execution means, when the API execution means performs file access, the other processes are executed before the processing by the API execution means is executed. API hook means for performing hook processing;
When the hook process is performed, an access destination determination unit that determines whether or not the access destination by the API execution unit is an access destination to be denied access;
An access destination changing means for rewriting the access destination to an access destination different from the access destination when the access destination by the API execution means is an access destination to be denied access;
The API hook means
If the access destination by the API execution means is not the access destination to be denied access, the API execution means call processing is permitted,
When the access destination by the API execution means is an access destination to be denied access, the access destination change means rewrites the access destination to an access destination different from the access destination, and calls the API execution means. A virtual thin client device characterized in that the API execution means accesses the different access destinations and outputs information indicating that the processing by the API execution means has been normally performed to the AP execution means. . 前記API実行手段がファイルの書き込み処理を行うものである場合、当該ファイルを前記APIフック手段から入力して暗号化する暗号化手段を備え、
前記API実行手段により前記暗号化されたファイルが前記異なるアクセス先に格納される
ことを特徴とする請求項1記載の仮想シンクライアント化装置。 When the API execution means performs a file writing process, the API execution means includes an encryption means for inputting and encrypting the file from the API hook means,
The virtual thin client device according to claim 1, wherein the encrypted file by the API execution unit is stored in the different access destination. 前記アクセス先変更手段が、前記API実行手段によるアクセス先がアクセス不許可にする対象のアクセス先である場合であって、かつ、前記API実行手段がファイルアクセスを行うものである場合、当該アクセス先のファイルを複製し、
前記APIフック手段が、API実行手段を呼び出して、当該API実行手段により前記複製されたファイルへのアクセスを行わせる
ことを特徴とする請求項1又は2記載の仮想シンクライアント化装置。 When the access destination changing unit is an access destination to which access is prohibited by the API execution unit, and the API execution unit performs file access, the access destination Duplicate files
3. The virtual thin client device according to claim 1, wherein the API hook unit calls the API execution unit and causes the API execution unit to access the copied file. 4. 請求項1〜3のいずれかに記載の仮想シンクライアント化装置に着脱可能な記憶装置が接続され、
前記アクセス先判定手段が、前記API実行手段によるアクセス先が前記着脱可能な記憶装置における記憶領域に存在する場合、当該アクセス先を、アクセス不許可にする対象のアクセス先でないと判定し、
前記APIフック手段が、前記API実行手段を呼び出して、当該API実行手段により前記着脱可能な記憶装置における前記アクセス先にアクセスさせる
ことを特徴とする仮想シンクライアント化装置。 A removable storage device is connected to the virtual thin client device according to claim 1,
The access destination determination unit determines that the access destination by the API execution unit is not an access destination to be denied access when the access destination in the removable storage device is present in the storage area;
The virtual thin client device, wherein the API hook means calls the API execution means and causes the API execution means to access the access destination in the removable storage device. 前記アクセス先変更手段が、前記API実行手段によるアクセス先がアクセス不許可にする対象のアクセス先である場合であって、かつ、前記API実行手段がファイルアクセスを行うものである場合、当該アクセス先のファイルを前記周辺機器から前記着脱可能な記憶装置に複製し、
前記APIフック手段が、API実行手段を呼び出して、当該API実行手段により前記複製されたファイルへのアクセスを行わせる
ことを特徴とする請求項4記載の仮想シンクライアント化装置。 When the access destination changing unit is an access destination to which access is prohibited by the API execution unit, and the API execution unit performs file access, the access destination The file from the peripheral device to the removable storage device,
5. The virtual thin client device according to claim 4, wherein the API hook means calls the API execution means, and causes the API execution means to access the copied file. 所定のアプリケーションプログラムを実行するAP実行手段と、所定のアプリケーションプログラムインタフェースを実行するAPI実行手段と、周辺機器とを備えたコンピュータと、このコンピュータに着脱可能な記憶装置を有する仮想シンクライアント化システムであって、
前記着脱可能な記憶装置が、
前記AP実行手段により前記API実行手段の呼び出し処理が行われると、前記API実行手段がファイルアクセスを行うものである場合、前記API実行手段による処理が行われる前に他の処理を実行させるためのフック処理を行うAPIフック手段と、
前記フック処理が行われると、前記API実行手段によるアクセス先がアクセス不許可にする対象のアクセス先であるか否かを判定するアクセス先判定手段と、
前記API実行手段によるアクセス先がアクセス不許可にする対象のアクセス先である場合、前記アクセス先を前記アクセス先とは異なるアクセス先に書き換えるアクセス先変更手段を備え、
フィルタードライバーを前記コンピュータのオペレーティングシステムに備えることなく、
前記APIフック手段が、
前記API実行手段によるアクセス先がアクセス不許可にする対象のアクセス先でない場合、API実行手段の呼び出し処理を許可し、
前記API実行手段によるアクセス先がアクセス不許可にする対象のアクセス先である場合、前記アクセス先変更手段により前記アクセス先を前記アクセス先とは異なるアクセス先に書き換えて、前記API実行手段を呼び出し、当該API実行手段により前記異なるアクセス先にアクセスさせるとともに、前記AP実行手段に対して前記API実行手段による処理が正常に行われたことを示す情報を出力する
ことを特徴とする仮想シンクライアント化システム。 A virtual thin client system comprising a computer having an AP execution means for executing a predetermined application program, an API execution means for executing a predetermined application program interface, and peripheral devices, and a storage device detachable from the computer There,
The removable storage device is
When the API execution means calls the API execution means by the AP execution means, when the API execution means performs file access, the other processes are executed before the processing by the API execution means is executed. API hook means for performing hook processing;
When the hook process is performed, an access destination determination unit that determines whether or not the access destination by the API execution unit is an access destination to be denied access;
An access destination changing means for rewriting the access destination to an access destination different from the access destination when the access destination by the API execution means is an access destination to be denied access;
Without providing a filter driver in the operating system of the computer,
The API hook means
If the access destination by the API execution means is not the access destination to be denied access, the API execution means call processing is permitted,
When the access destination by the API execution means is an access destination to be denied access, the access destination change means rewrites the access destination to an access destination different from the access destination, and calls the API execution means. A virtual thin client system characterized in that the API execution means accesses the different access destinations and outputs information indicating that the processing by the API execution means has been normally performed to the AP execution means. . 前記着脱可能な記憶装置が、
前記API実行手段がファイルの書き込み処理を行うものである場合、当該ファイルを前記APIフック手段から入力して暗号化する暗号化手段を備え、
前記API実行手段により前記暗号化されたファイルが前記異なるアクセス先に格納される
ことを特徴とする請求項6記載の仮想シンクライアント化システム。 The removable storage device is
When the API execution means performs a file writing process, the API execution means includes an encryption means for inputting and encrypting the file from the API hook means,
The virtual thin client system according to claim 6, wherein the encrypted file is stored in the different access destination by the API execution unit. 前記アクセス先変更手段が、前記API実行手段によるアクセス先がアクセス不許可にする対象のアクセス先である場合であって、かつ、前記API実行手段がファイルアクセスを行うものである場合、当該アクセス先のファイルを複製し、
前記APIフック手段が、API実行手段を呼び出して、当該API実行手段により前記複製されたファイルへのアクセスを行わせる
ことを特徴とする請求項6又は7記載の仮想シンクライアント化システム。 When the access destination changing unit is an access destination to which access is prohibited by the API execution unit, and the API execution unit performs file access, the access destination Duplicate files
The virtual thin client system according to claim 6 or 7, wherein the API hook means calls the API execution means, and causes the API execution means to access the copied file. 前記アクセス先判定手段が、前記API実行手段によるアクセス先が前記着脱可能な記憶装置における記憶領域に存在する場合、当該アクセス先を、アクセス不許可にする対象のアクセス先でないと判定し、
前記APIフック手段が、前記API実行手段を呼び出して、当該API実行手段により前記着脱可能な記憶装置における前記アクセス先にアクセスさせる
ことを特徴とする請求項6〜8のいずれかに記載の仮想シンクライアント化システム。 The access destination determination unit determines that the access destination by the API execution unit is not an access destination to be denied access when the access destination in the removable storage device is present in the storage area;
9. The virtual thin according to claim 6, wherein the API hook unit calls the API execution unit and causes the API execution unit to access the access destination in the removable storage device. Clientized system. 前記アクセス先変更手段が、前記API実行手段によるアクセス先がアクセス不許可にする対象のアクセス先である場合であって、かつ、前記API実行手段がファイルアクセスを行うものである場合、当該アクセス先のファイルを前記周辺機器から前記着脱可能な記憶装置に複製し、
前記APIフック手段が、API実行手段を呼び出して、当該API実行手段により前記複製されたファイルへのアクセスを行わせる
ことを特徴とする請求項6〜9のいずれかに記載の仮想シンクライアント化システム。 When the access destination changing unit is an access destination to which access is prohibited by the API execution unit, and the API execution unit performs file access, the access destination The file from the peripheral device to the removable storage device,
The virtual thin client system according to any one of claims 6 to 9, wherein the API hook means calls an API execution means and causes the API execution means to access the copied file. . 所定のアプリケーションプログラムを実行するAP実行手段と、所定のアプリケーションプログラムインタフェースを実行するAPI実行手段と、周辺機器とを備えたコンピュータを仮想シンクライアント化するための仮想シンクライアント化プログラムであって、
フィルタードライバー機能を前記コンピュータのオペレーティングシステムに備えることなく、前記コンピュータを、
前記AP実行手段により前記API実行手段の呼び出し処理が行われると、前記API実行手段がファイルアクセスを行うものである場合、前記API実行手段による処理が行われる前に、他の処理を実行させるためのフック処理を行うAPIフック手段、
前記フック処理が行われると、前記API実行手段によるアクセス先がアクセス不許可にする対象のアクセス先であるか否かを判定するアクセス先判定手段、及び、
前記API実行手段によるアクセス先がアクセス不許可にする対象のアクセス先である場合、前記アクセス先を前記アクセス先とは異なるアクセス先に書き換えるアクセス先変更手段として機能させ、
前記APIフック手段に、
前記API実行手段によるアクセス先がアクセス不許可にする対象のアクセス先でない場合、API実行手段の呼び出し処理を許可させ、
前記API実行手段によるアクセス先がアクセス不許可にする対象のアクセス先である場合、前記アクセス先変更手段により前記アクセス先を前記アクセス先とは異なるアクセス先に書き換えて、前記API実行手段を呼び出させ、当該API実行手段により前記異なるアクセス先にアクセスさせるとともに、前記AP実行手段に対して前記API実行手段による処理が正常に行われたことを示す情報を出力させる
ことを特徴とする仮想シンクライアント化プログラム。 A virtual thin client conversion program for converting a computer including an AP execution unit for executing a predetermined application program, an API execution unit for executing a predetermined application program interface, and a peripheral device into a virtual thin client,
Without providing the filter driver function in the operating system of the computer, the computer
When the API execution means calls the API execution means, and the API execution means performs file access, the other processes are executed before the processing by the API execution means is performed. API hook means for performing hook processing of
When the hook process is performed, an access destination determination unit that determines whether or not the access destination by the API execution unit is an access destination to be denied access; and
If the access destination by the API execution means is an access destination to be denied access, function as an access destination changing means for rewriting the access destination to an access destination different from the access destination,
In the API hook means,
If the access destination by the API execution means is not the access destination to be denied access, allow the API execution means to call processing,
If the access destination by the API execution means is an access destination to be denied access, the access destination change means rewrites the access destination to an access destination different from the access destination, and calls the API execution means And making the API execution means access the different access destinations and causing the AP execution means to output information indicating that the processing by the API execution means has been normally performed. program. フィルタードライバー機能を前記コンピュータのオペレーティングシステムに備えることなく、前記コンピュータを、
前記API実行手段がファイルの書き込み処理を行うものである場合、当該ファイルを前記APIフック手段から入力して暗号化する暗号化手段として機能させ、
前記API実行手段に、前記暗号化されたファイルを前記異なるアクセス先に格納させる
ことを特徴とする請求項11記載の仮想シンクライアント化プログラム。 Without providing the filter driver function in the operating system of the computer, the computer
When the API execution means performs a file writing process, the API execution means functions as an encryption means for inputting and encrypting the file from the API hook means,
12. The virtual thin client program according to claim 11, wherein the API execution unit stores the encrypted file in the different access destination. 前記アクセス先変更手段に、前記API実行手段によるアクセス先がアクセス不許可にする対象のアクセス先である場合であって、かつ、前記API実行手段がファイルアクセスを行うものである場合、当該アクセス先のファイルを複製させ、
前記APIフック手段に、API実行手段を呼び出させて、当該API実行手段により前記複製されたファイルへのアクセスを行わせる
ことを特徴とする請求項11又は12記載の仮想シンクライアント化プログラム。 When the access destination by the API execution unit is an access destination to be denied access to the access destination changing unit, and the API execution unit performs file access, the access destination Duplicate files
13. The virtual thin client program according to claim 11, wherein the API hook unit is caused to call an API execution unit to access the copied file by the API execution unit. 前記コンピュータに着脱可能な記憶装置が接続され、
前記アクセス先判定手段に、前記API実行手段によるアクセス先が前記着脱可能な記憶装置における記憶領域に存在する場合、当該アクセス先を、アクセス不許可にする対象のアクセス先でないと判定させ、
前記APIフック手段に、前記API実行手段を呼び出させて、当該API実行手段により前記着脱可能な記憶装置における前記アクセス先にアクセスさせる
ことを特徴とする請求項11〜13のいずれかに記載の仮想シンクライアント化プログラム。 A removable storage device is connected to the computer,
If the access destination by the API execution unit is present in a storage area of the removable storage device, the access destination determination unit determines that the access destination is not an access destination to be denied access;
The virtual machine according to claim 11, wherein the API hook unit is caused to call the API execution unit, and the API execution unit accesses the access destination in the removable storage device. Thin client program. 前記アクセス先変更手段に、前記API実行手段によるアクセス先がアクセス不許可にする対象のアクセス先である場合であって、かつ、前記API実行手段がファイルアクセスを行うものである場合、当該アクセス先のファイルを前記周辺機器から前記着脱可能な記憶装置に複製させ、
前記APIフック手段に、API実行手段を呼び出させて、当該API実行手段により前記複製されたファイルへのアクセスを行わせる
ことを特徴とする請求項14記載の仮想シンクライアント化プログラム。 When the access destination by the API execution unit is an access destination to be denied access to the access destination changing unit, and the API execution unit performs file access, the access destination Files from the peripheral device to the removable storage device,
15. The virtual thin client program according to claim 14, wherein the API hook means is caused to call an API execution means to access the copied file by the API execution means. 所定のアプリケーションプログラムを実行するAP実行手段と、所定のアプリケーションプログラムインタフェースを実行するAPI実行手段と、周辺機器とを備えたコンピュータを仮想シンクライアント化するための方法であって、
フィルタードライバー機能を前記コンピュータのオペレーティングシステムに備えることなく、
前記コンピュータにおけるAPIフック手段が、前記AP実行手段により前記API実行手段の呼び出し処理が行われると、前記API実行手段がファイルアクセスを行うものである場合、前記API実行手段による処理が行われる前に他の処理を実行させるためのフック処理を行い、
前記コンピュータにおけるアクセス先判定手段が、前記フック処理が行われると、前記API実行手段によるアクセス先がアクセス不許可にする対象のアクセス先であるか否かを判定し、
前記APIフック手段が、
前記API実行手段によるアクセス先がアクセス不許可にする対象のアクセス先でない場合、API実行手段の呼び出し処理を許可し、
前記API実行手段によるアクセス先がアクセス不許可にする対象のアクセス先である場合、前記コンピュータにおけるアクセス先変更手段により前記アクセス先を前記アクセス先とは異なるアクセス先に書き換えて、前記API実行手段を呼び出し、当該API実行手段により前記異なるアクセス先にアクセスさせるとともに、前記AP実行手段に対して前記API実行手段による処理が正常に行われたことを示す情報を出力する
ことを特徴とする仮想シンクライアント化方法。

A method for virtualizing a computer comprising an AP execution means for executing a predetermined application program, an API execution means for executing a predetermined application program interface, and peripheral devices,
Without providing the filter driver function in the operating system of the computer,
When the API execution means calls the API execution means by the AP execution means, and the API execution means performs file access, the API hook means in the computer before the processing by the API execution means is performed. Perform hook processing to execute other processing,
The access destination determination means in the computer determines whether the access destination by the API execution means is an access destination to be denied access when the hook processing is performed,
The API hook means
If the access destination by the API execution means is not the access destination to be denied access, the API execution means call processing is permitted,
If the access destination by the API execution means is an access destination to be denied access, the access destination change means in the computer rewrites the access destination to an access destination different from the access destination, and the API execution means Calling and accessing the different access destination by the API execution means, and outputting information indicating that the processing by the API execution means has been normally performed to the AP execution means Method.

JP2010132614A 2010-06-10 2010-06-10 Device, system, program and method for integrating virtual thin client Pending JP2011040044A (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2010132614A JP2011040044A (en) 2010-06-10 2010-06-10 Device, system, program and method for integrating virtual thin client

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2010132614A JP2011040044A (en) 2010-06-10 2010-06-10 Device, system, program and method for integrating virtual thin client

Related Parent Applications (1)

Application Number Title Priority Date Filing Date
JP2009188887A Division JP4538838B1 (en) 2009-08-18 2009-08-18 Virtual thin client device, virtual thin client system, virtual thin client program, and virtual thin client method

Publications (1)

Publication Number Publication Date
JP2011040044A true JP2011040044A (en) 2011-02-24

Family

ID=43767692

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2010132614A Pending JP2011040044A (en) 2010-06-10 2010-06-10 Device, system, program and method for integrating virtual thin client

Country Status (1)

Country Link
JP (1) JP2011040044A (en)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013200769A (en) * 2012-03-26 2013-10-03 Nec Corp Distribution processing system, distribution processing method, and distribution processing program
JP5485452B1 (en) * 2012-08-02 2014-05-07 エヌ・ティ・ティ・コミュニケーションズ株式会社 Key management system, key management method, user terminal, key generation management device, and program
JP2019079289A (en) * 2017-10-25 2019-05-23 システムインテリジェント株式会社 Information leakage prevention device, and information leakage prevention program

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2013200769A (en) * 2012-03-26 2013-10-03 Nec Corp Distribution processing system, distribution processing method, and distribution processing program
US9262219B2 (en) 2012-03-26 2016-02-16 Nec Corporation Distributed processing system, distributed processing method, and distributed processing program
JP5485452B1 (en) * 2012-08-02 2014-05-07 エヌ・ティ・ティ・コミュニケーションズ株式会社 Key management system, key management method, user terminal, key generation management device, and program
JP2019079289A (en) * 2017-10-25 2019-05-23 システムインテリジェント株式会社 Information leakage prevention device, and information leakage prevention program

Similar Documents

Publication Publication Date Title
KR101705550B1 (en) Method and software product for controlling application program which access secure saving area
US8799898B2 (en) Methods and apparatus for binding applications to a cloud computing environment
US8955150B2 (en) Apparatus and method for managing digital rights using virtualization technique
JP7146812B2 (en) Auxiliary storage device with independent restoration area and equipment to which this is applied
JP2009032130A (en) Information processor and method, computer readable medium, and external storage medium
WO2012094969A1 (en) Data protection method and apparatus
JP6270780B2 (en) Data management apparatus, data management method, and data management program
JP4538838B1 (en) Virtual thin client device, virtual thin client system, virtual thin client program, and virtual thin client method
KR100766863B1 (en) Software-installation system using movable data storage and method thereof
JP4707748B2 (en) External storage device, method for processing data stored in external storage device, program, and information processing apparatus
JPWO2006103752A1 (en) How to control document copying
JP2011040044A (en) Device, system, program and method for integrating virtual thin client
JP4992109B2 (en) File protection system, file protection method, and computer program
US8688863B2 (en) Information processing apparatus for conducting security processing and security processing method
US9015797B1 (en) System and method of isolation of resources using resource manager
US20090055683A1 (en) Method of restoring previous computer configuration
JP6957311B2 (en) Information leakage prevention device and information leakage prevention program
KR20090048293A (en) Apparatus and method of managing system resources of computer and processes
JP2008077600A (en) Thin client, thin client system and program
JP2009169868A (en) Storage area access device and method for accessing storage area
JPH0934799A (en) Data protection method
JP5081280B2 (en) Portable storage media
JP2011039716A (en) Information storage medium and information system
KR101434794B1 (en) The method and system for defending program hacking
JP6151218B2 (en) Application execution device, method and program