JP2018169740A - ファイルシステムおよびファイル管理方法 - Google Patents
ファイルシステムおよびファイル管理方法 Download PDFInfo
- Publication number
- JP2018169740A JP2018169740A JP2017065830A JP2017065830A JP2018169740A JP 2018169740 A JP2018169740 A JP 2018169740A JP 2017065830 A JP2017065830 A JP 2017065830A JP 2017065830 A JP2017065830 A JP 2017065830A JP 2018169740 A JP2018169740 A JP 2018169740A
- Authority
- JP
- Japan
- Prior art keywords
- storage area
- secret data
- data storage
- file
- file system
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
【課題】安全に機密情報を管理し、かつ、使用利便性を向上させたファイルシステムおよびファイル管理方法を提供する。
【解決手段】ファイルシステム100は、演算部1と、この演算部1からの指示で読み書き可能に接続される主記憶装置2と、主記憶装置2とは別体で設けられて、演算部1からの指示で読み書き可能に接続される外部記憶装置3と、複数のアプリケーション4と、秘匿データ格納領域管理アプリケーション5とを備えている。秘匿データ格納領域はいかなるユーザプロセスからも読出し・書込みが防止され、秘匿データ格納領域を管理する手段と、秘匿データ格納領域の読出し・書込みをする手段を、ある特定のカーネルプロセスのみが持つ。
【選択図】図1
【解決手段】ファイルシステム100は、演算部1と、この演算部1からの指示で読み書き可能に接続される主記憶装置2と、主記憶装置2とは別体で設けられて、演算部1からの指示で読み書き可能に接続される外部記憶装置3と、複数のアプリケーション4と、秘匿データ格納領域管理アプリケーション5とを備えている。秘匿データ格納領域はいかなるユーザプロセスからも読出し・書込みが防止され、秘匿データ格納領域を管理する手段と、秘匿データ格納領域の読出し・書込みをする手段を、ある特定のカーネルプロセスのみが持つ。
【選択図】図1
Description
本発明は、ファイルシステムおよびファイル管理方法に関する。
従来、計算機の外部記憶装置に機密情報を格納する際は、その情報をファイルシステム上にファイルとして格納し、さらには、暗号化するなどの難読化を行っている(例えば、特許文献1等参照)。
暗号化の方法としては、ファイル単位に暗号化する方法、ファイルシステム単位にディレクトリ全体、ドライブ全体を暗号化する方法、外部記憶装置全体を暗号化する方法などがある。
また、セキュリティチップを用いて、チップ内に暗号鍵を格納し、その鍵を持って外部記憶装置全体を暗号化する、という方法もある。
暗号化の方法としては、ファイル単位に暗号化する方法、ファイルシステム単位にディレクトリ全体、ドライブ全体を暗号化する方法、外部記憶装置全体を暗号化する方法などがある。
また、セキュリティチップを用いて、チップ内に暗号鍵を格納し、その鍵を持って外部記憶装置全体を暗号化する、という方法もある。
しかしながら、このような従来のファイルシステムでは、ファイル単位の暗号化を行う場合、または、暗号化ファイルシステムを用いてディレクトリ全体、ドライブ全体の暗号化を行う場合、ファイルシステム上のファイルは、ユーザプロセスから参照・更新することができる。
このため、マルウェアなど悪意のあるアプリケーションからの機密情報へのアクセスも可能となり、ネットワークを介した機密情報の外部への流出、内容の改ざんが行われるおそれがあった。
また、同時に暗号化に用いる鍵の管理方法、どこにどのように鍵を管理するかを慎重に検討する必要があった。
また、同時に暗号化に用いる鍵の管理方法、どこにどのように鍵を管理するかを慎重に検討する必要があった。
さらに、外部記憶装置全体を暗号化する場合、暗号化に用いる鍵の管理方法は、同様に問題となり、セキュリティチップを用いた暗号化の場合は、チップの価格が導入障壁となる、という課題があった。
そこで、本発明は、安全に機密情報を管理し、かつ、使用利便性を向上させたファイルシステムおよびファイル管理方法を提供することを課題としている。
本発明に係るファイルシステムは、保護したい秘匿データ格納領域を有する主記憶装置と、秘匿データ格納領域にて、ユーザプロセスからの読出し・書込みを防止する制御手段と、秘匿データ格納領域の読出し・書込みをするカーネルプロセスを用いて、秘匿データ格納領域を管理する管理手段とを備えていることを特徴としている。
このような構成によれば、保護したいデータ格納領域に対するユーザプロセスからの書き込み要求に対して、特定のカーネルプロセスが、例えば予め許可されたユーザプロセスからの要求に対してのみ、この要求をユーザプロセスに代わって実行する。
本発明によれば、計算機内に、安全な秘匿データ格納領域を容易に構築できる。
また、その実現方法は、特別なハードウエアを必要とせず、ソフトウエアのみで実現することができる。さらに、秘匿データ格納領域内にファイル暗号化の鍵を格納することができる。
これにより、暗号化ファイルシステムとして活用することができ、暗号鍵の管理方法も単純化することが可能なファイルシステムが提供される。
また、その実現方法は、特別なハードウエアを必要とせず、ソフトウエアのみで実現することができる。さらに、秘匿データ格納領域内にファイル暗号化の鍵を格納することができる。
これにより、暗号化ファイルシステムとして活用することができ、暗号鍵の管理方法も単純化することが可能なファイルシステムが提供される。
本発明の実施形態について、図1乃至図7を参照して詳細に示す。説明において、同一の要素には同一の番号を付し、重複する説明は省略する。
図1は、実施形態のファイルシステムの構成を示すものである。
まず、全体の構成から説明すると、実施形態のファイルシステム100は、演算部1と、演算部1からの指示で読み書き可能に接続される主記憶装置2と、主記憶装置2とは別体で設けられて、演算部1からの指示で読み書き可能に接続される外部記憶装置3と、複数のアプリケーション4と、秘匿データ格納領域管理アプリケーション5とを備えている。
このうち、演算部1は、オペレーティングシステムを含み、アプリケーション4との間で入出力の管理を行う入出力管理部11と、ファイルシステムフィルタ12と、ファイルシステムドライバ13と、ファイル操作システム14と、秘匿データ格納領域管理ドライバ15とを有している。
まず、全体の構成から説明すると、実施形態のファイルシステム100は、演算部1と、演算部1からの指示で読み書き可能に接続される主記憶装置2と、主記憶装置2とは別体で設けられて、演算部1からの指示で読み書き可能に接続される外部記憶装置3と、複数のアプリケーション4と、秘匿データ格納領域管理アプリケーション5とを備えている。
このうち、演算部1は、オペレーティングシステムを含み、アプリケーション4との間で入出力の管理を行う入出力管理部11と、ファイルシステムフィルタ12と、ファイルシステムドライバ13と、ファイル操作システム14と、秘匿データ格納領域管理ドライバ15とを有している。
本発明の実施形態では、一般的な計算機に対し、任意アプリケーションからのファイルシステムへの様々な要求をフィルタリングし、本発明固有の処理を備えたファイルシステムフィルタ12、および秘匿データ格納領域の管理を目的としたカーネルプロセスとなりうる秘匿データ格納領域管理ドライバ15が追加されている。
また、図1に示すシステムが稼働している状態では、主記憶装置2に秘匿データが格納されている。
さらに、秘匿データ格納領域管理アプリケーション5に、要求元プロセスリストを格納するようにしてもよい。要求元プロセスリストは、アクセス権の設定、要求元が特定されないように、不可視化し、あるいは改ざん防止の措置や、容易になりすまし等が行われないようにするとなおよい。
さらに、秘匿データ格納領域管理アプリケーション5に、要求元プロセスリストを格納するようにしてもよい。要求元プロセスリストは、アクセス権の設定、要求元が特定されないように、不可視化し、あるいは改ざん防止の措置や、容易になりすまし等が行われないようにするとなおよい。
図2は、実施形態のファイルシステムで、システムの終了の際の様子を説明するものである。
外部記憶装置3には、秘匿データファイル50が格納されている。
他の構成は、図1と同様であるので、同一符号を付して説明を省略する。
外部記憶装置3には、秘匿データファイル50が格納されている。
他の構成は、図1と同様であるので、同一符号を付して説明を省略する。
図3は、実施形態のファイルシステムで、秘匿データ格納領域管理ドライバ15が、システムの起動の際に外部記憶装置に格納されている秘匿データファイルを読み込み、その内容を主記憶装置に展開する際のフローチャートである。
演算部1で処理が開始されると、ステップS1では、オペレーティングシステムが秘匿データ格納領域管理ドライバ15をロードする。
ステップS2では、秘匿データ格納領域管理ドライバ15が外部記憶装置3から秘匿データファイルを読み込み、内容を主記憶装置2に展開する。
ステップS3では、秘匿データ格納領域管理ドライバ15が秘匿データファイルを外部記憶装置3より削除して、処理を終了する。
演算部1で処理が開始されると、ステップS1では、オペレーティングシステムが秘匿データ格納領域管理ドライバ15をロードする。
ステップS2では、秘匿データ格納領域管理ドライバ15が外部記憶装置3から秘匿データファイルを読み込み、内容を主記憶装置2に展開する。
ステップS3では、秘匿データ格納領域管理ドライバ15が秘匿データファイルを外部記憶装置3より削除して、処理を終了する。
図4は、実施形態で、秘匿データ格納領域管理ドライバ15がファイルシステム100の終了の際に主記憶装置2に展開された秘匿データを外部記憶装置3に秘匿データファイルとして格納する際のフローチャートである。
演算部1で処理が開始されると、ステップS11では、秘匿データ格納領域管理ドライバ15が主記憶装置2に展開している秘匿データを外部記憶装置3に秘匿データファイルとして格納する。
ステップS12では、オペレーティングシステムが秘匿データ格納領域管理ドライバ15をアンロードして処理を終了する。
演算部1で処理が開始されると、ステップS11では、秘匿データ格納領域管理ドライバ15が主記憶装置2に展開している秘匿データを外部記憶装置3に秘匿データファイルとして格納する。
ステップS12では、オペレーティングシステムが秘匿データ格納領域管理ドライバ15をアンロードして処理を終了する。
図5は、実施形態のファイルシステムで、秘匿データ格納領域管理ドライバ15が管理する主記憶装置2に展開した秘匿データを秘匿データ格納領域管理アプリケーションから参照する際のフローチャートである。
演算部1で処理が開始されると、ステップS21では、秘匿データ格納領域管理アプリケーション5は、秘匿データ格納領域管理ドライバ15に対し、秘匿データの取得を要求する。
ステップS22では、秘匿データ格納領域管理ドライバ15は、要求元アプリケーションが正当な秘匿データ格納領域管理アプリケーションであり、カーネルプロセスを実行可能とする正当性があることを検証する。前記要求元アプリケーションは、公開鍵認証基盤(PKI)またはこれに準じた仕組みを用いて検証されることが好ましい。
ステップS23では、検証結果が判定される。検証結果がOK、すなわち、要求元アプリケーションが正当な秘匿データ格納領域管理アプリケーションであると判定された場合は、ステップS24に進み(ステップS23にて、検証OK)、検証結果がNG、すなわち、要求元アプリケーションが正当な秘匿データ格納領域管理アプリケーションではないと判定された場合は、ステップS25に進む(ステップS23にて、検証NG)。
ステップS24では、秘匿データ格納領域管理ドライバ15が主記憶装置2に展開している秘匿データに応答して、処理を終了する。
ステップS25では、秘匿データ格納領域管理ドライバ15は、要求を拒否してデータに応答しないまま、処理を終了する。
演算部1で処理が開始されると、ステップS21では、秘匿データ格納領域管理アプリケーション5は、秘匿データ格納領域管理ドライバ15に対し、秘匿データの取得を要求する。
ステップS22では、秘匿データ格納領域管理ドライバ15は、要求元アプリケーションが正当な秘匿データ格納領域管理アプリケーションであり、カーネルプロセスを実行可能とする正当性があることを検証する。前記要求元アプリケーションは、公開鍵認証基盤(PKI)またはこれに準じた仕組みを用いて検証されることが好ましい。
ステップS23では、検証結果が判定される。検証結果がOK、すなわち、要求元アプリケーションが正当な秘匿データ格納領域管理アプリケーションであると判定された場合は、ステップS24に進み(ステップS23にて、検証OK)、検証結果がNG、すなわち、要求元アプリケーションが正当な秘匿データ格納領域管理アプリケーションではないと判定された場合は、ステップS25に進む(ステップS23にて、検証NG)。
ステップS24では、秘匿データ格納領域管理ドライバ15が主記憶装置2に展開している秘匿データに応答して、処理を終了する。
ステップS25では、秘匿データ格納領域管理ドライバ15は、要求を拒否してデータに応答しないまま、処理を終了する。
図6は、実施形態のファイルシステムで、秘匿データ格納領域管理アプリケーション5によって秘匿データ格納領域管理ドライバ15が管理する主記憶装置2に展開した保護対象データを更新する際のフローチャートである。
演算部1で処理が開始されると、ステップS31では、秘匿データ格納領域管理アプリケーション5が秘匿データ格納領域管理ドライバ15に対し、秘匿データの更新を要求する。
ステップS32では、秘匿データ格納領域管理ドライバ15が要求元アプリケーションが正当な秘匿データ格納領域管理アプリケーションであることを検証する。
演算部1で処理が開始されると、ステップS31では、秘匿データ格納領域管理アプリケーション5が秘匿データ格納領域管理ドライバ15に対し、秘匿データの更新を要求する。
ステップS32では、秘匿データ格納領域管理ドライバ15が要求元アプリケーションが正当な秘匿データ格納領域管理アプリケーションであることを検証する。
ステップS33では、検証結果が判定される。検証結果がOK、すなわち、要求元アプリケーションが正当な秘匿データ格納領域管理アプリケーションであると判定された場合は、ステップS34に進み(ステップS33にて、検証OK)、検証結果がNG、すなわち、要求元アプリケーションが正当な秘匿データ格納領域管理アプリケーションではないと判定された場合は、ステップS35に進む(ステップS33にて、検証NG)。
ステップS34では、秘匿データ格納領域管理ドライバ15が主記憶装置2に展開している秘匿データを更新して、処理を終了する。
ステップS35では、秘匿データ格納領域管理ドライバ15は、要求を拒否してデータを更新しないまま、処理を終了する。
[他の実施形態]
図7は、他の実施形態のファイルシステム200で、保護したいデータ領域を持つファイルシステムを暗号化ファイルシステムとして利用する場合のソフトウエア構成の一実施例を示す図である。なお、前記実施形態と同一乃至均等な部分については、同一符号を付して説明を省略する。
ファイルシステム200では、秘匿データ格納領域管理アプリケーション5に、要求元プロセスリスト16が格納されている。要求元プロセスリスト16には、アクセス権が設定されていて、改ざんが防止されている。なお、要求元プロセスリスト16は、要求元が特定されないように、不可視化したり、あるいは他の改ざん防止の措置や、容易になりすまし等が行われないようにするとなおよい。また、秘匿データ格納領域管理ドライバ15は、公開鍵認証基盤(PKI)またはこれに準じた仕組みを用いて要求元プロセスリスト16の正当性を検証するようにするとなおよい。
この場合、ファイルシステムフィルタ12には、暗号化・復号化部17が接続されている。そして、暗号化・復号化部17の内部の秘匿データ領域には、ファイルの暗号化・復号化に用いる暗号鍵が格納されている。
ステップS34では、秘匿データ格納領域管理ドライバ15が主記憶装置2に展開している秘匿データを更新して、処理を終了する。
ステップS35では、秘匿データ格納領域管理ドライバ15は、要求を拒否してデータを更新しないまま、処理を終了する。
[他の実施形態]
図7は、他の実施形態のファイルシステム200で、保護したいデータ領域を持つファイルシステムを暗号化ファイルシステムとして利用する場合のソフトウエア構成の一実施例を示す図である。なお、前記実施形態と同一乃至均等な部分については、同一符号を付して説明を省略する。
ファイルシステム200では、秘匿データ格納領域管理アプリケーション5に、要求元プロセスリスト16が格納されている。要求元プロセスリスト16には、アクセス権が設定されていて、改ざんが防止されている。なお、要求元プロセスリスト16は、要求元が特定されないように、不可視化したり、あるいは他の改ざん防止の措置や、容易になりすまし等が行われないようにするとなおよい。また、秘匿データ格納領域管理ドライバ15は、公開鍵認証基盤(PKI)またはこれに準じた仕組みを用いて要求元プロセスリスト16の正当性を検証するようにするとなおよい。
この場合、ファイルシステムフィルタ12には、暗号化・復号化部17が接続されている。そして、暗号化・復号化部17の内部の秘匿データ領域には、ファイルの暗号化・復号化に用いる暗号鍵が格納されている。
暗号化・復号化部17は、書き込み対象となるファイルのファイルパスが予め指定された暗号化対象ディレクトリ配下のファイルである場合のみ、暗号化を行う。また、暗号化・復号化部17は、読み込み対象となるファイルのファイルパスが予め指定された暗号化対象ディレクトリ配下のファイルである場合のみ、復号化を行う。
図8は、他の実施形態のファイルシステム200で、任意のアプリケーション4がファイルの書き込み処理を行う際の暗号化処理に関するフローチャートである。
演算部1で書き込み処理が開始されると、ステップS51では、任意のアプリケーション4がオペレーティングシステムの入出力管理部11を経由して、ファイル操作システム14に対し、ファイルの書き込みを要求する。
演算部1で書き込み処理が開始されると、ステップS51では、任意のアプリケーション4がオペレーティングシステムの入出力管理部11を経由して、ファイル操作システム14に対し、ファイルの書き込みを要求する。
ステップS52では、入出力管理部11はファイルシステムフィルタ12に対し、ファイルの書き込み要求を通知する。
ステップS53では、ファイルシステムフィルタ12が、秘匿データ格納領域管理ドライバ15からファイル暗号化に用いる暗号鍵を取得する。秘匿データ格納領域管理ドライバ15は、公開鍵認証基盤(PKI)またはこれに準じた仕組みを用いて暗号鍵の正当性を検証するようにするとなおよい。
ステップS54で、ファイルシステムフィルタ12は、取得した暗号鍵を用いて、書き込みデータを暗号化する。
ステップS55では、ファイルシステムフィルタ12が暗号化したデータを持って、ファイルシステムドライバ13を経由してファイル操作システム14に対し、ファイルの書き込みを要求する。
ステップS56では、ファイル操作システムが、暗号化したデータをファイルとして格納して書き込み処理が終了する。
ステップS53では、ファイルシステムフィルタ12が、秘匿データ格納領域管理ドライバ15からファイル暗号化に用いる暗号鍵を取得する。秘匿データ格納領域管理ドライバ15は、公開鍵認証基盤(PKI)またはこれに準じた仕組みを用いて暗号鍵の正当性を検証するようにするとなおよい。
ステップS54で、ファイルシステムフィルタ12は、取得した暗号鍵を用いて、書き込みデータを暗号化する。
ステップS55では、ファイルシステムフィルタ12が暗号化したデータを持って、ファイルシステムドライバ13を経由してファイル操作システム14に対し、ファイルの書き込みを要求する。
ステップS56では、ファイル操作システムが、暗号化したデータをファイルとして格納して書き込み処理が終了する。
図9は、他の実施形態のファイルシステム200で、任意のアプリケーション4がファイルの読み込みを行う際の復号化処理に関するフローチャートである。
演算部1で読み込み処理が開始されると、ステップS71では、任意のアプリケーション4がオペレーティングシステムの入出力管理部11を経由して、ファイル操作システム14に対し、ファイルの読み込みを要求する。
ステップS72では、入出力管理部11がファイルシステムフィルタ12に対し、ファイルの読み込み要求を通知する。
ステップS73では、ファイルシステムフィルタ12は、ファイルシステムドライバ13を経由して、ファイル操作システム14より読み込み対象ファイルデータを取得する。
ステップS74では、ファイルシステムフィルタ12がファイル読み込み要求元プロセス情報を取得する。ファイルシステムフィルタ12は、予めファイルの復号化を許可されたプロセスリスト16にファイル読み込み要求元プロセスが含まれるか否かを、秘匿データ格納領域管理ドライバ15に問い合わせる。
演算部1で読み込み処理が開始されると、ステップS71では、任意のアプリケーション4がオペレーティングシステムの入出力管理部11を経由して、ファイル操作システム14に対し、ファイルの読み込みを要求する。
ステップS72では、入出力管理部11がファイルシステムフィルタ12に対し、ファイルの読み込み要求を通知する。
ステップS73では、ファイルシステムフィルタ12は、ファイルシステムドライバ13を経由して、ファイル操作システム14より読み込み対象ファイルデータを取得する。
ステップS74では、ファイルシステムフィルタ12がファイル読み込み要求元プロセス情報を取得する。ファイルシステムフィルタ12は、予めファイルの復号化を許可されたプロセスリスト16にファイル読み込み要求元プロセスが含まれるか否かを、秘匿データ格納領域管理ドライバ15に問い合わせる。
ステップS75では、ファイルシステムフィルタ12は、ファイル読み込み要求元プロセスが、予めファイルの復号化を許可された要求元プロセスリストに含まれるか否か、を秘匿データ格納領域管理ドライバ15に問い合わせる。
ステップS76では、 ファイル読み込み要求元プロセス情報が、予めファイルの復号化を許可された要求元プロセスリストに含まれるか否かが判定される。
要求元プロセスリストに含まれない場合(ステップS76でNO)は、ステップS77に処理が進む。
ステップS77では、ファイルシステムフィルタ12は、ファイルデータの復号化をすることなく、要求元プロセスに暗号化されたままの読み込み対象ファイルデータを返して処理を終了する。
ステップS76では、 ファイル読み込み要求元プロセス情報が、予めファイルの復号化を許可された要求元プロセスリストに含まれるか否かが判定される。
要求元プロセスリストに含まれない場合(ステップS76でNO)は、ステップS77に処理が進む。
ステップS77では、ファイルシステムフィルタ12は、ファイルデータの復号化をすることなく、要求元プロセスに暗号化されたままの読み込み対象ファイルデータを返して処理を終了する。
一方、要求元プロセスリストに含まれる場合(ステップS76でYES)は、ステップS78に進む。ステップS78では、ファイルシステムフィルタ12は、ファイルデータの復号化に用いる暗号鍵を秘匿データ格納領域管理ドライバ15から取得する。
ステップS79で、ファイルシステムフィルタ12は、読み込み対象ファイルデータの復号化を行う。
ステップS80で、ファイルシステムフィルタ12は、要求元プロセスに復号化されたデータを返して処理を終了する。
ステップS79で、ファイルシステムフィルタ12は、読み込み対象ファイルデータの復号化を行う。
ステップS80で、ファイルシステムフィルタ12は、要求元プロセスに復号化されたデータを返して処理を終了する。
以上、本実施形態に係るファイルシステムおよびファイル管理方法について詳述してきたが、本発明はこれらの実施形態に限定されるものではなく、本発明の趣旨を逸脱しない範囲で適宜変更可能であることは言うまでもない。
たとえば、秘匿データ格納領域管理ドライバ15は、秘匿データ格納領域を永続化(不揮発性メモリや外部記憶装置3への保存)する際、すなわち、不揮発性メモリや外部記憶装置3に暗号化して記憶し、カーネルプロセスが起動した際に、永続化され、暗号化された秘匿データ格納領域を復号化し、カーネルプロセスが管理する主記憶領域に書込むようにしてもよい。
たとえば、秘匿データ格納領域管理ドライバ15は、秘匿データ格納領域を永続化(不揮発性メモリや外部記憶装置3への保存)する際、すなわち、不揮発性メモリや外部記憶装置3に暗号化して記憶し、カーネルプロセスが起動した際に、永続化され、暗号化された秘匿データ格納領域を復号化し、カーネルプロセスが管理する主記憶領域に書込むようにしてもよい。
そして、任意のファイルを暗号化するための暗号化鍵を、カーネルプロセスによって保護された秘匿データ格納領域に保存する。秘匿データ格納領域に保存されたファイルは、暗号化鍵による暗号化、および復号化を、カーネルプロセスのみにて直接実行するようにしてもよい。
この場合、暗号化されたファイルのユーザプロセスからの読出し要求に対して、カーネルプロセスは、予め許可されたユーザプロセスからの要求に対してのみ、前記暗号化されたファイルを、前記秘匿データ格納領域に保存された暗号化鍵を使って復号化し、その結果をユーザプロセスが管理する主記憶領域に書込むことで、ユーザプロセスに代わって前記読出し要求を前記カーネルプロセスが実行することが望ましい。
この場合、暗号化されたファイルのユーザプロセスからの読出し要求に対して、カーネルプロセスは、予め許可されたユーザプロセスからの要求に対してのみ、前記暗号化されたファイルを、前記秘匿データ格納領域に保存された暗号化鍵を使って復号化し、その結果をユーザプロセスが管理する主記憶領域に書込むことで、ユーザプロセスに代わって前記読出し要求を前記カーネルプロセスが実行することが望ましい。
また、ユーザプロセスが許可されたプロセスであるか否かを、要求元ユーザプロセスリストを参照して判定する。このため、さらにセキュリティレベルを向上させることができる。
そして、暗号化処理は、ある特定のディレクトリパス配下に存在するファイルのみを対象としている。このため、ディレクトリパスを用いてファイルの属性を容易に判断出来て、利便性が向上する。
さらに、前記要求元ユーザプロセスリストは、公開鍵認証基盤(PKI)およびこれに準じた仕組みを用いて正当性を検証するとなおよい。
他の構成、及び作用効果については、実施形態と同様であるので、説明を省略する。
他の構成、及び作用効果については、実施形態と同様であるので、説明を省略する。
上述してきたように、この発明のファイルシステムおよびファイル管理方法は、専用領域をファイルシステム上に構築し、その領域へアクセスできるプロセスを制限し、安全に機密情報を管理しながら利用することが出来、機密情報を保持するファイルシステムである。このため、機密情報ファイルの暗号化・復号化に用いる暗号鍵をユーザプロセスではアクセスできないカーネルプロセスを用いて格納し、ファイルシステムに暗号化・復号化の機能を具備させた。
このため、従来、計算機上の機密情報を暗号化によって保護する際に、暗号鍵を通常ファイルとして保存すると十分なセキュリティが担保できず、高セキィリティ化のためには専用ハードウエア セキュリティチップを必要としていたものが、ソフトウエアによって行えるようになった。
このため、従来、計算機上の機密情報を暗号化によって保護する際に、暗号鍵を通常ファイルとして保存すると十分なセキュリティが担保できず、高セキィリティ化のためには専用ハードウエア セキュリティチップを必要としていたものが、ソフトウエアによって行えるようになった。
すなわち、実施形態のファイルシステムでは、専用ハードウエアセキィリティチップが提供する、例えば暗号鍵などの秘匿データ保護機能を、ソフトウエアのみで構築することができる。
このため、秘匿データ領域へのアプリケーションによるユーザプロセスからの完全な遮断機構と、特定オペレーティングカーネルプロセスによる、これらの秘匿データ領域の永続的管理機構が得られる。
これにより、これまでは実現困難であったソフトウエア機構のみによる高セキュリティデータ保護機構の構築が可能となった。さらに、この秘匿データ領域で暗号鍵を管理する高セキュリティファイル暗号化システムが提供されて、ユーザ側に意識させることなく、安全に機密情報を管理できるファイルシステムおよびファイル管理方法が提供される。
このため、秘匿データ領域へのアプリケーションによるユーザプロセスからの完全な遮断機構と、特定オペレーティングカーネルプロセスによる、これらの秘匿データ領域の永続的管理機構が得られる。
これにより、これまでは実現困難であったソフトウエア機構のみによる高セキュリティデータ保護機構の構築が可能となった。さらに、この秘匿データ領域で暗号鍵を管理する高セキュリティファイル暗号化システムが提供されて、ユーザ側に意識させることなく、安全に機密情報を管理できるファイルシステムおよびファイル管理方法が提供される。
1 演算部
2 主記憶装置
3 外部記憶装置
4 アプリケーション
5 秘匿データ格納領域管理アプリケーション
11 入出力管理部
12 ファイルシステムフィルタ
13 ファイルシステムドライバ
14 ファイル操作システム
15 秘匿データ格納領域管理ドライバ(管理手段)
16 要求元プロセスリスト
17 暗号化・復号化部
50 秘匿データファイル
100,200 ファイルシステム
2 主記憶装置
3 外部記憶装置
4 アプリケーション
5 秘匿データ格納領域管理アプリケーション
11 入出力管理部
12 ファイルシステムフィルタ
13 ファイルシステムドライバ
14 ファイル操作システム
15 秘匿データ格納領域管理ドライバ(管理手段)
16 要求元プロセスリスト
17 暗号化・復号化部
50 秘匿データファイル
100,200 ファイルシステム
Claims (11)
- 保護したい秘匿データ格納領域を有する主記憶装置と、
前記秘匿データ格納領域にて、ユーザプロセスからの読出し・書込みを防止する制御手段と、
前記秘匿データ格納領域の読出し・書込みをするカーネルプロセスを用いて、前記秘匿データ格納領域を管理する管理手段と、
を備えていることを特徴とするファイルシステム。 - 前記管理手段は、前記秘匿データ格納領域を永続化する際に暗号化する、
ことを特徴とする請求項1に記載のファイルシステム。 - 前記管理手段は、前記カーネルプロセスが起動した際に、永続化され暗号化された前記秘匿データ格納領域を復号化し、前記カーネルプロセスが管理する主記憶領域に書込む、ことを特徴とする請求項2に記載のファイルシステム。
- 前記管理手段は、ファイルを暗号化するための暗号化鍵を、前記カーネルプロセスによって保護された前記秘匿データ格納領域に保存する、ことを特徴とする請求項3に記載のファイルシステム。
- 前記管理手段は、前記秘匿データ格納領域に保存されたファイルについて、前記暗号化鍵による暗号化、および復号化を、前記カーネルプロセスのみにて実行する、ことを特徴とする請求項4に記載のファイルシステム。
- 前記管理手段は、暗号化されたファイルのユーザプロセスからの読出し要求に対して、前記カーネルプロセスは、予め許可されたユーザプロセスからの要求に対してのみ、前記暗号化されたファイルを、前記秘匿データ格納領域に保存された暗号化鍵を使って復号化し、その結果をユーザプロセスが管理する主記憶領域に書込むことで、ユーザプロセスに代わって前記読出し要求を前記カーネルプロセスが実行する、ことを特徴とする請求項5に記載のファイルシステム。
- 前記管理手段は、ユーザプロセスが許可されたプロセスであるか否かを、要求元ユーザプロセスリストを参照して判定する、ことを特徴とする請求項6に記載のファイルシステム。
- 前記管理手段は、暗号化処理の対象を、ある特定のディレクトリパス配下に存在するファイルのみとする、ことを特徴とする請求項4〜請求項7の何れか一項に記載のファイルシステム。
- 前記管理手段は、公開鍵認証基盤(PKI)またはこれに準じた仕組みを用いて、前記カーネルプロセスを実行可能とする正当性を検証する、ことを特徴とする請求項1〜8の何れか一項に記載のファイルシステム。
- 秘匿データ格納領域管理アプリケーションが、秘匿データ格納領域管理ドライバに対し、秘匿データの取得を要求するステップと、
秘匿データ格納領域管理ドライバが、要求元アプリケーションが正当な秘匿データ格納領域管理アプリケーションであることを検証するステップと、
検証結果を判定するステップと、
検証結果によって、要求元アプリケーションが正当な秘匿データ格納領域管理アプリケーションであると判定された場合は、秘匿データ格納領域管理ドライバが主記憶装置に展開している秘匿データに応答するステップと、
検証結果によって、要求元アプリケーションが正当な秘匿データ格納領域管理アプリケーションでないと判定された場合は、秘匿データ格納領域管理ドライバが、要求を拒否してデータに応答しないまま、処理を終了するステップとを備える、ことを特徴とするファイル管理方法。 - 前記管理手段は、公開鍵認証基盤(PKI)またはこれに準じた仕組みを用いて、前記カーネルプロセスを実行可能とする正当性を検証するステップを備える、ことを特徴とする請求項10に記載のファイルシステム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017065830A JP2018169740A (ja) | 2017-03-29 | 2017-03-29 | ファイルシステムおよびファイル管理方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2017065830A JP2018169740A (ja) | 2017-03-29 | 2017-03-29 | ファイルシステムおよびファイル管理方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2018169740A true JP2018169740A (ja) | 2018-11-01 |
Family
ID=64018708
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2017065830A Pending JP2018169740A (ja) | 2017-03-29 | 2017-03-29 | ファイルシステムおよびファイル管理方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP2018169740A (ja) |
-
2017
- 2017-03-29 JP JP2017065830A patent/JP2018169740A/ja active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR101852724B1 (ko) | 컴퓨터 프로그램, 비밀관리방법 및 시스템 | |
| JP4392241B2 (ja) | 付属記憶装置を採用したコンピュータ・システム内の安全保護を促進するための方法ならびにシステム | |
| US7912223B2 (en) | Method and apparatus for data protection | |
| AU2006205315B2 (en) | Method and portable storage device for allocating secure area in insecure area | |
| US20170277898A1 (en) | Key management for secure memory address spaces | |
| KR100678927B1 (ko) | 비보안 영역에 보안 영역을 할당하는 방법 및 이를제공하는 휴대용 저장 장치 | |
| US20110016330A1 (en) | Information leak prevention device, and method and program thereof | |
| US20190332792A1 (en) | Access management system, access management method and program | |
| KR20120093375A (ko) | 인증서 폐기 목록을 이용한 콘텐트 제어 방법 | |
| JP2008524758A5 (ja) | ||
| KR20140051350A (ko) | 디지털 서명 권한자 의존형 플랫폼 기밀 생성 기법 | |
| KR20080084470A (ko) | 컨텐트의 보호 기능을 가진 휴대용 메모리 장치 및 그휴대용 메모리 장치 생성 방법 | |
| JP2009543211A (ja) | 汎用管理構造を使用するコンテンツ管理システムおよび方法 | |
| JP2009080772A (ja) | ソフトウェア起動システム、ソフトウェア起動方法、及びソフトウェア起動プログラム | |
| US10452565B2 (en) | Secure electronic device | |
| JP7077872B2 (ja) | 情報処理装置、情報処理方法、およびプログラム | |
| KR102542213B1 (ko) | 네트워크 기반 스토리지의 데이터 실시간 암복호화 보안 시스템 및 방법 | |
| KR101761799B1 (ko) | 단말의 보안 데이터 관리 장치 및 그 방법 | |
| US20070263868A1 (en) | Method and apparatus for securely executing a background process | |
| Philip et al. | An Overview About the Security Architecture of the Mobile | |
| JP2018169740A (ja) | ファイルシステムおよびファイル管理方法 | |
| JP2001217822A (ja) | 暗号化記録装置 | |
| US20210409196A1 (en) | Secure Key Storage Systems Methods And Devices | |
| CN110059489B (zh) | 安全电子设备 | |
| GB2434887A (en) | Access control by encrypting stored data with a key based on a "fingerprint" of the device storing the data |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20170412 |