JP2020119023A - File access control method, computer program and computer - Google Patents
File access control method, computer program and computer Download PDFInfo
- Publication number
- JP2020119023A JP2020119023A JP2019007053A JP2019007053A JP2020119023A JP 2020119023 A JP2020119023 A JP 2020119023A JP 2019007053 A JP2019007053 A JP 2019007053A JP 2019007053 A JP2019007053 A JP 2019007053A JP 2020119023 A JP2020119023 A JP 2020119023A
- Authority
- JP
- Japan
- Prior art keywords
- file
- application program
- encrypted
- access
- plaintext
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Abstract
Description
本発明は、ファイルアクセス制御方法、コンピュータプログラム及びコンピュータに関する。 The present invention relates to a file access control method, a computer program and a computer.
特許文献1に、復号化処理をより安全かつ効率良く行えるとともに、ファイルへのアクセスを各種設定に応じて制限することができコンテンツの漏洩と不正利用を防ぐことができるというファイルアクセス制限装置が開示されている。同文献によると、このファイルアクセス制限装置は、アプリケーションと、ローカルサーバ(アクセス処理手段)とを備えるとされている。ローカルサーバ(アクセス処理手段)は、前記アプリケーションからのアクセスに応じて2次記憶手段に記憶された前記暗号化データを復号処理する復号処理手段を備える。そして、アプリケーションは、ローカルサーバ(アクセス処理手段)を介して2次記憶手段の暗号化ファイルにアクセスする。さらに、特許文献1の請求項7には、このファイルアクセス制限装置が、前記復号処理手段による前記暗号化データの復号処理時に復号化データを一時記憶する1次記憶手段を備えることが記載されている。
以下の分析は、本発明によって与えられたものである。文書ファイルからの情報漏洩を防ぐ目的で、ファイル暗号化プログラムを使用し、ファイルを暗号化して日常業務を行うことが行われている。しかしながら、このような運用を行う場合、暗号化したファイルを閲覧する都度、復号処理を行う必要があるため、平文ファイルを操作する場合に比べ、ファイルの操作に時間を要してしまうという問題点がある。また、ファイルサイズが大きくなると暗復号に要する時間も増大し、効率の良い業務遂行に支障を来たしてしまうという問題点もある。 The following analysis is given by the present invention. In order to prevent information leakage from a document file, a file encryption program is used to encrypt the file and perform daily business. However, when performing such an operation, it is necessary to perform decryption processing every time an encrypted file is browsed, and therefore, it takes time to operate the file as compared with the case of operating a plaintext file. There is. Further, as the file size increases, the time required for encryption/decryption also increases, which causes a problem in efficient work execution.
この点、特許文献1のファイルアクセス制限装置では、一旦復号した後、復号化データは、1次記憶手段に一時記憶されるため、ファイルの操作の時間を短縮することができる。しかしながら、特許文献1のファイルアクセス制限装置では、コンテンツの漏洩や不正利用を防ぐことに主眼を置いているため、復号化データが消えてしまうという問題点がある。さらに、特許文献1では、利用者へのコンテンツを配布することを主眼としているため、利用者が、復号化データを更新することやそのデータの保存については想定されていない。
In this respect, in the file access restriction device of
本発明は、文書ファイル等の更新が行われるファイルの情報漏洩防止と、業務の効率化の両立に貢献できるファイルアクセス制御方法、コンピュータプログラム及びコンピュータを提供することを目的とする。 It is an object of the present invention to provide a file access control method, a computer program, and a computer that can contribute to both the prevention of information leakage of files such as document files that are updated and the improvement of work efficiency.
第1の視点によれば、アクセス制限が行われる所定の管理領域に保存された平文ファイルと、前記平文ファイルを暗号化した暗号化ファイルと、を対応付けて管理し、アプリケーションプログラムから、前記暗号化ファイルに対するアクセス要求を受けた場合に、前記アプリケーションプログラムのユーザが前記暗号化ファイルに対するアクセス権限を有するか否かを確認し、前記アプリケーションプログラムのユーザが前記暗号化ファイルに対するアクセス権限を有すると判定した場合、前記平文ファイルへのアクセスを許可し、前記アプリケーションプログラムのユーザが前記暗号化ファイルの変更権限を有する場合、前記アプリケーションプログラムのユーザに、前記平文ファイルの変更を許可し、前記変更後の平文ファイルを前記所定の管理領域に保存するとともに、前記変更後の平文ファイルを暗号化して保存するファイルアクセス制御方法が提供される。本方法は、平文ファイルと暗号化ファイルとを対応付けて管理するコンピュータという、特定の機械に結びつけられている。 According to the first aspect, a plaintext file stored in a predetermined management area in which access is restricted and an encrypted file obtained by encrypting the plaintext file are managed in association with each other, and the encrypted When an access request to the encrypted file is received, it is confirmed whether the user of the application program has the access right to the encrypted file, and it is determined that the user of the application program has the access right to the encrypted file. In this case, the access to the plaintext file is permitted, and when the user of the application program has the authority to change the encrypted file, the user of the application program is permitted to change the plaintext file, and after the change, There is provided a file access control method of storing a plaintext file in the predetermined management area and encrypting and storing the changed plaintext file. This method is tied to a specific machine called a computer that manages plaintext files and encrypted files in association with each other.
第2の視点によれば、アクセス制限が行われる所定の管理領域に保存された平文ファイルと、前記平文ファイルを暗号化した暗号化ファイルと、を対応付けて管理するファイルアクセス制御機能を実現するコンピュータプログラムであって、アプリケーションプログラムから、前記暗号化ファイルに対するアクセス要求を受けた場合に、前記アプリケーションプログラムのユーザが前記暗号化ファイルに対するアクセス権限を有するか否かを確認する処理と、前記アプリケーションプログラムのユーザが前記暗号化ファイルに対するアクセス権限を有すると判定した場合、前記平文ファイルへのアクセスを許可する処理と、前記アプリケーションプログラムのユーザが前記暗号化ファイルの変更権限を有する場合、前記アプリケーションプログラムのユーザに、前記平文ファイルの変更を許可し、前記変更後の平文ファイルを前記所定の管理領域に保存するとともに、前記変更後の平文ファイルを暗号化して保存する処理と、を実行させるコンピュータプログラムが提供される。なお、このプログラムは、コンピュータが読み取り可能な(非トランジトリーな)記憶媒体に記録することができる。即ち、本発明は、コンピュータプログラム製品として具現することも可能である。また、このプログラムは、コンピュータ装置に入力装置又は外部から通信インタフェースを介して入力され、記憶装置に記憶されて、プロセッサを所定のステップないし処理に従って駆動させ、必要に応じ中間状態を含めその処理結果を段階毎に表示装置を介して表示することができ、あるいは通信インタフェースを介して、外部と交信することができる。そのためのコンピュータ装置は、一例として、典型的には互いにバスによって接続可能なプロセッサ、記憶装置、入力装置、通信インタフェース、及び必要に応じ表示装置を備える。 According to the second aspect, a file access control function for managing a plaintext file stored in a predetermined management area in which access is restricted and an encrypted file obtained by encrypting the plaintext file in association with each other is realized. A computer program, a process of confirming whether or not a user of the application program has an access right to the encrypted file when an access request to the encrypted file is received from the application program; If it is determined that the user has access authority to the encrypted file, a process of permitting access to the plaintext file, and if the user of the application program has change authority to the encrypted file, A computer program that permits a user to change the plaintext file, saves the changed plaintext file in the predetermined management area, and executes a process of encrypting and saving the changed plaintext file. Provided. It should be noted that this program can be recorded in a computer-readable (non-transitary) storage medium. That is, the present invention can be embodied as a computer program product. In addition, this program is input to a computer device from an input device or an external device through a communication interface, stored in a storage device, and drives a processor in accordance with predetermined steps or processes. Can be displayed step by step through a display device or can communicate with the outside through a communication interface. As an example, a computer device therefor includes a processor, a storage device, an input device, a communication interface, and optionally a display device, which are typically connectable to each other by a bus.
第3の視点によれば、アクセス制限が行われる所定の管理領域に保存された平文ファイルと、前記平文ファイルを暗号化した暗号化ファイルと、を対応付けて管理するファイルアクセス制御部を備え、前記ファイルアクセス制御部は、アプリケーションプログラムから、前記暗号化ファイルに対するアクセス要求を受けた場合に、前記アプリケーションプログラムのユーザが前記暗号化ファイルに対するアクセス権限を有するか否かを確認し、前記アプリケーションプログラムのユーザが前記暗号化ファイルに対するアクセス権限を有すると判定した場合、前記平文ファイルへのアクセスを許可し、前記アプリケーションプログラムのユーザが前記暗号化ファイルの変更権限を有する場合、前記アプリケーションプログラムのユーザに、前記平文ファイルの変更を許可し、前記変更後の平文ファイルを前記所定の管理領域に保存するとともに、前記変更後の平文ファイルを暗号化して保存するコンピュータが提供される。 According to a third aspect, a file access control unit that manages a plaintext file stored in a predetermined management area where access is restricted and an encrypted file obtained by encrypting the plaintext file in association with each other, The file access control unit, when receiving an access request for the encrypted file from the application program, confirms whether the user of the application program has the access right to the encrypted file, When it is determined that the user has the access authority to the encrypted file, the access to the plaintext file is permitted, and when the user of the application program has the authority to change the encrypted file, the user of the application program, There is provided a computer that permits modification of the plaintext file, saves the modified plaintext file in the predetermined management area, and encrypts and stores the modified plaintext file.
本発明によれば、文書ファイル等の更新が行われるファイルの情報漏洩防止と、業務の効率化とを両立することが可能となる。 According to the present invention, it is possible to prevent the information leakage of a file such as a document file that is updated and to improve the efficiency of business.
はじめに本発明の一実施形態の概要について図面を参照して説明する。なお、この概要に付記した図面参照符号は、理解を助けるための一例として各要素に便宜上付記したものであり、本発明を図示の態様に限定することを意図するものではない。また、以降の説明で参照する図面等のブロック間の接続線は、双方向及び単方向の双方を含む。一方向矢印については、主たる信号(データ)の流れを模式的に示すものであり、双方向性を排除するものではない。また、図中の各ブロックの入出力の接続点には、ポート乃至インタフェースがあるが図示省略する。また、以下の説明において、「A及び/又はB」は、A及びBの少なくともいずれかという意味で用いる。また、図中の各ブロックの入出力の接続点には、ポート乃至インタフェースがあるが図示省略する。また、プログラムはコンピュータ装置を介して実行され、コンピュータ装置は、例えば、プロセッサ、記憶装置、入力装置、通信インタフェース、及び必要に応じ表示装置を備える。また、コンピュータ装置は、通信インタフェースを介して装置内又は外部の機器(コンピュータを含む)と、有線、無線を問わず、交信可能に構成される。 First, an outline of one embodiment of the present invention will be described with reference to the drawings. The reference numerals in the drawings attached to this outline are added to the respective elements for convenience as an example for facilitating understanding, and are not intended to limit the present invention to the illustrated modes. Further, the connecting lines between blocks in the drawings and the like referred to in the following description include both bidirectional and unidirectional. The unidirectional arrows schematically show the flow of main signals (data), and do not exclude bidirectionality. Also, although there are ports and interfaces at the input/output connection points of each block in the figure, they are not shown. Further, in the following description, “A and/or B” is used to mean at least one of A and B. Also, although there are ports and interfaces at the input/output connection points of each block in the figure, they are not shown. Further, the program is executed via a computer device, and the computer device includes, for example, a processor, a storage device, an input device, a communication interface, and a display device as necessary. In addition, the computer device is configured to be capable of communicating with a device (including a computer) inside or outside the device via a communication interface, whether wired or wireless.
本発明は、その一実施形態において、図1に示すように、ファイルアクセス制御部11を備えたコンピュータ10にて実現できる。より具体的には、このファイルアクセス制御部11は、アクセス制限が行われる所定の管理領域12に保存された平文ファイルPと、前記平文ファイルPを暗号化した暗号化ファイルCと、を対応付けて管理する。
In one embodiment thereof, the present invention can be realized by a computer 10 including a file
図2に示すように、アプリケーションプログラム20のユーザは、暗号化ファイルCを閲覧、編集をしたい場合、アプリケーションプログラム20を介して、ファイルアクセス制御部11に対して暗号化ファイルCのアクセス要求を行う。
As shown in FIG. 2, when the user of the
前記要求を受けたファイルアクセス制御部11は、図3に示すように、前記アプリケーションプログラム20のユーザが暗号化ファイルCに対するアクセス権限を有するか否かを確認する。
Upon receiving the request, the file
前記確認の結果、前記アプリケーションプログラム20のユーザが暗号化ファイルCに対するアクセス権限を有すると判定した場合、ファイルアクセス制御部11は、図4に示すように、暗号化ファイルCではなく、平文ファイルPへのアクセスを許可する。
As a result of the confirmation, when it is determined that the user of the
また、アプリケーションプログラム20のユーザが前記暗号化ファイルCの変更権限を有する場合も、ファイルアクセス制御部11は、図4と同様に、アプリケーションプログラム20のユーザに、平文ファイルPの変更(更新)を許可する。さらに、平文ファイルPが変更(更新)された場合、ファイルアクセス制御部11は、図5に示すように、変更(更新)後の平文ファイルP’を、前記所定の管理領域12に保存する。また、ファイルアクセス制御部11は、前記変更(更新)後の平文ファイルを暗号化して暗号化ファイルC’を作成して保存する(図5参照)。
Further, even when the user of the
以上、説明したように、本実施形態によれば、復号処理を省略して暗号化ファイルの閲覧、更新を行うことが可能となる。これにより、ファイルを取り扱う業務を効率化するだけでなく、また、従業員等のファイル取り扱い者が煩わしさから暗号化を省略してファイルをやり取りするケースを減らすことが可能となる。 As described above, according to the present embodiment, it is possible to browse and update the encrypted file by omitting the decryption process. As a result, not only can the file handling work be made more efficient, but it is also possible to reduce the number of cases in which a file handling person such as an employee exchanges files by omitting encryption due to the inconvenience.
[第1の実施形態]
続いて、本発明の第1の実施形態について図面を参照して詳細に説明する。図6は、本発明の第1の実施形態のコンピュータの構成を示す図である。図6を参照すると、アプリケーションプログラム101がインストールされたコンピュータ100が示されている。また、コンピュータ100は、ファイルアクセス制御部102とファイル暗号化部103とを備えている。さらに、コンピュータ100は、その記憶装置に、暗号化ファイル104と、平文ファイル106とを記憶可能となっている。このうち、平文ファイル106は、管理領域105に保存されている。
[First Embodiment]
Subsequently, a first embodiment of the present invention will be described in detail with reference to the drawings. FIG. 6 is a diagram showing a configuration of a computer according to the first embodiment of the present invention. Referring to FIG. 6, a
暗号化ファイル104は、アプリケーションプログラム101による操作対象となるファイルである。暗号化ファイル104は、ZIP、RAR等の各種のアーカイブフォーマットで暗号化されたファイルであってもよい。
The
平文ファイル106は、暗号化されたファイル104を暗号化する前の平文ファイルである。
The
アプリケーションプログラム101はコンピュータ100上で動作するプログラムであり、暗号化ファイル104にアクセスして、暗号化ファイルの内容を閲覧・編集する機能を有する。
The
ファイルアクセス制御部102は、アプリケーションプログラム101が暗号化ファイル104にアクセスする際、そのアクセス処理に介入し、ファイルアクセスを制御する。具体的には、ファイルアクセス制御部102は、平文ファイル106を暗号化する際に、暗号化ファイル104に平文ファイル106を紐づけしてから、ファイル暗号化部103に渡す。このとき、ファイルアクセス制御部102は、暗号化ファイル104に紐づけた平文ファイル106を管理領域105に保存する。
When the
また、アプリケーションプログラム101から暗号化ファイル104へのアクセスを受け付けた際、ファイルアクセス制御部102は、アプリケーションプログラム101を使用するユーザの暗号化ファイル104へのアクセス権限を確認する。前記確認の結果、ユーザがアクセス権限を有している場合、ファイルアクセス制御部102は、アプリケーションプログラム101から暗号化ファイル104へのアクセスを許可し、アプリケーションプログラム101に平文ファイル106を渡す。
Further, when the access to the
さらに、前記確認の結果、ユーザが暗号化ファイル104の編集権限を有している場合、ファイルアクセス制御部102は、アプリケーションプログラム101に平文ファイル106の編集を許可する。アプリケーションプログラム101にて、平文ファイル106の編集が完了すると、ファイルアクセス制御部102は、ファイル暗号化部103に平文ファイル106を送り、暗号化を依頼する。最終的に、ファイルアクセス制御部102は、従前の暗号化ファイル104を、アプリケーションプログラム101が編集した平文ファイル106を暗号化した暗号化ファイルに置き換える。
Further, as a result of the confirmation, if the user has the editing right of the
ファイル暗号化部103は、ファイルアクセス制御部102から渡された平文ファイル106を暗号化し、ファイルアクセス制御部102に返す。その際に、ファイル暗号化部103は、暗号化したファイルにファイルアクセス権限情報を付与する。
The
管理領域105は、ファイルアクセス制御部102によって管理されている領域である。管理領域105は、アプリケーションプログラム101を使用するユーザが暗号化ファイル104へアクセス可能な権限を持っている場合に、アクセス可能となるように制御される。管理領域105は、例えば、アクセス制限や隠し属性を付与したファルダやディレクトリにより構成することができる。この管理領域105は、暗号化ファイルの管理を開始する前に、オペレーションシステムやアプリケーションプログラム101により作成されることが好ましい。
The
続いて、本実施形態の動作について図面を参照して詳細に説明する。図7は、本発明の第1の実施形態のコンピュータの動作(暗号化ファイル作成処理)を表したフローチャートである。本処理は、アプリケーションプログラム101等から、ファイルアクセス制御部102に、ファイルが渡されたことにより開始される。
Next, the operation of this embodiment will be described in detail with reference to the drawings. FIG. 7 is a flowchart showing the operation (encrypted file creation processing) of the computer according to the first embodiment of the present invention. This process is started when the file is passed from the
図7を参照すると、まず、ファイルアクセス制御部102は、暗号化前のファイルを平文ファイル106とした上で、暗号化前のファイルと紐づける(ステップS1)。
Referring to FIG. 7, first, the file
次に、ファイルアクセス制御部102は、暗号化前のファイルをファイル暗号化部103に送り、暗号化を指示する。ファイル暗号化部103は、暗号化前のファイルを暗号化し、暗号化ファイル104を返す。ファイルアクセス制御部102は、所定の記憶領域に、暗号化ファイル104を平文ファイル106と紐づけて保存する(ステップS2)。
Next, the file
なお、上記ステップS2において、ファイル暗号化部103が暗号化した暗号化ファイル104には、ユーザのアクセス権限情報が付与されている。ここで、ファイル暗号化部103が、アクセス権限情報を付与する方法としては、所定の「ユーザAは閲覧権限、ユーザBは編集権限」といったアクセス権限情報をファイルに埋め込む方法が考えられる。また、アクセス権限情報をファイルに埋め込む方法とは別の方法として、アクセス権限情報に対応する共通鍵でファイルを暗号化する方法なども考えられる。また、前記アクセス権限情報は、ユーザ権限管理サーバによって管理させる構成を採ることができる。
In step S2, the access authority information of the user is given to the
続いて、アプリケーションプログラム101からファイル閲覧要求を受け取った際のファイルアクセス制御部102の動作について説明する。図8は、本発明の第1の実施形態のコンピュータの動作(ファイル閲覧要求応答処理)を表したフローチャートである。本処理はアプリケーションプログラム101が暗号化されたファイル104を閲覧するために、ファイルにアクセスしようとする動作により開始される。
Next, the operation of the file
アプリケーションプログラム101からファイルにアクセス要求を受け取ると、ファイルアクセス制御部102は、アプリケーションプログラム101のユーザが暗号化ファイル104への閲覧権限があるか否かを確認する(ステップS11)。この判定は、暗号化ファイル104に埋め込まれたアクセス権限情報を用いて、所定のユーザ権限管理サーバに、該当するユーザが閲覧権限を持つ否かを確認する方法を採ることができる。また、暗号化ファイル104が、アクセス権限情報に対応する共通鍵で暗号化されている場合、アプリケーションプログラム101のユーザが暗号化時と共通の鍵を持っているか否かにより確認することができる。
Upon receiving the file access request from the
前記確認の結果、アプリケーションプログラム101のユーザが暗号化ファイル104への閲覧権限を持つ場合、ファイルアクセス制御部102は、アプリケーションプログラム101に暗号化ファイル104に紐づいた平文ファイル106を渡す。アプリケーションプログラム101は渡された平文ファイル106を開いて、ユーザに閲覧させる(ステップS12)。
As a result of the confirmation, when the user of the
なお、ステップS11において、アプリケーションプログラム101のユーザが暗号化ファイル104への閲覧権限を持たないと判定した場合、ファイルアクセス制御部102は、閲覧要求を拒否する。この場合、アプリケーションプログラム101のユーザは、暗号化ファイル104を閲覧できないことになる。このときに必要に応じて、ファイルアクセス制御部102が、アプリケーションプログラム101に、閲覧を拒否する理由を示したメッセージの表示を指示してもよい。
If it is determined in step S11 that the user of the
続いて、アプリケーションプログラム101からファイル編集要求を受け取った際のファイルアクセス制御部102の動作について説明する。図9は、本発明の第1の実施形態のコンピュータの動作(ファイル編集要求応答処理)を表したフローチャートである。本処理は、アプリケーションプログラム101が暗号化された暗号化ファイル104を編集するために、ファイルにアクセスしようとする動作により開始される。また、暗号化ファイル104を閲覧中のユーザがアプリケーションプログラム101に対して編集操作を行った際に、本処理を開始してもよい。
Next, the operation of the file
アプリケーションプログラム101からファイルにファイル編集要求を受け取ると、ファイルアクセス制御部102は、アプリケーションプログラム101のユーザが暗号化ファイル104への編集権限があるか否かを確認する(ステップS21)。この判定は、暗号化ファイル104に埋め込まれたアクセス権限情報を用いて、所定のユーザ権限管理サーバに、該当するユーザが編集権限を持つ否かを確認する方法を採ることができる。また、暗号化ファイル104が、編集権限を示すアクセス権限情報に対応する共通鍵で暗号化されている場合、アプリケーションプログラム101のユーザが暗号化時と共通の鍵(復号鍵)を持っているか否かにより確認することができる。
Upon receiving a file edit request for a file from the
前記確認の結果、アプリケーションプログラム101のユーザが暗号化ファイル104の編集権限を持つ場合、ファイルアクセス制御部102は、アプリケーションプログラム101に暗号化ファイル104に紐づいた平文ファイル106を渡す。アプリケーションプログラム101は渡された平文ファイル106を開いて、ユーザに閲覧、編集させる(ステップS22)。編集後の平文ファイル106は、管理領域105上で更新される。
As a result of the confirmation, when the user of the
アプリケーションプログラム101においてファイル保存がなされると、ファイルアクセス制御部102は、アプリケーションプログラム101から、編集された平文ファイル106を取得する。次に、ファイルアクセス制御部102は、前記編集された平文ファイル106の内容で、管理領域105に、暗号化ファイル104と同様の拡張子のファイルを作成する(ファイル104’とする)。
When the file is saved in the
そして、ファイルアクセス制御部102は、ファイル暗号化部103に対し、前記作成したファイル104’を渡し、暗号化を指示する。ファイル暗号化部103は、ファイル104’を暗号化して新しい暗号化ファイル104’を作成し、ファイルアクセス制御部102に返す。最後に、ファイルアクセス制御部102は、暗号化ファイル104を、新しい暗号化ファイル104’に置き換え、新しい暗号化ファイル104’に、更新後の平文ファイル106を紐づける(ステップS23)。このような処理を経ることにより、暗号化ファイル104を平文化することなく、編集することができる。また、平文ファイル自体は、アクセス制限が行われる管理領域内で管理されるので、漏洩等するリスクは最小限に抑えられる。
Then, the file
以上説明したように、本実施形態によれば、暗号化ファイルの復号処理を行うことなく目的とするファイルの操作が可能となる。その理由は、暗号化ファイルに紐づけた平文ファイルを管理領域に配置した上で制限付きで利用する構成を採用したことにある。 As described above, according to the present embodiment, it is possible to operate the target file without performing the decryption process of the encrypted file. The reason is that the plaintext file associated with the encrypted file is placed in the management area and then used with a limitation.
また、本実施形態によれば、セキュリティを確保しつつ、暗号化ファイルへのアクセス時間を短縮することが可能となっている。その理由は、暗号化ファイルに埋め込まれたアクセス権限情報の確認や共通鍵を保持しているか否かにより権限を確認する構成を採用したことにある。 Further, according to the present embodiment, it is possible to shorten the access time to the encrypted file while ensuring the security. The reason is that the configuration is adopted in which the authority is confirmed by confirming the access authority information embedded in the encrypted file and whether or not the common key is held.
以上、本発明の各実施形態を説明したが、本発明は、上記した実施形態に限定されるものではなく、本発明の基本的技術的思想を逸脱しない範囲で、更なる変形・置換・調整を加えることができる。例えば、各図面に示した装置構成、各要素の構成、情報要素の表現形態は、本発明の理解を助けるための一例であり、これらの図面に示した構成に限定されるものではない。 Although the respective embodiments of the present invention have been described above, the present invention is not limited to the above-described embodiments, and further modifications, replacements, and adjustments can be made without departing from the basic technical idea of the present invention. Can be added. For example, the device configuration, the configuration of each element, and the expression form of the information element shown in each drawing are examples for helping understanding of the present invention, and are not limited to the configurations shown in these drawings.
例えば、図10に示すように、上記したコンピュータ100のファイル暗号化部103を、復号機能を備えたファイル暗復号部103aに置き換えることもできる(第2の実施形態)。この構成によれば、暗号化ファイル104の暗号化時に平文ファイル106を紐づけるのではなく、暗号化ファイル104の復号時に、平文ファイル106と紐づけする構成を採ることができる。すなわち、図10の構成によれば、暗号化された暗号化ファイル104の最初の閲覧・編集に伴う復号時に、平文ファイル106との紐づけを行い、以降の閲覧・編集時に、紐づけされた平文ファイル106を閲覧・編集することが可能となる。
For example, as shown in FIG. 10, the
また例えば、上記した実施形態では、コンピュータ100、100aが、暗号化ファイルの置き換えを行うものとして説明したが、暗号化ファイルの置き換えに代えて、暗号化ファイルの版を変えて一定期間、一定版数分、保存するものとしてもよい。
Further, for example, in the above-described embodiment, the
また、上記した実施形態に示した手順は、コンピュータ(図11の9000)に、上記した機能を実現させるプログラムにより実現可能である。このようなコンピュータは、図11のCPU(Central Processing Unit)9010、通信インタフェース9020、メモリ9030、補助記憶装置9040を備える構成に例示される。すなわち、図11のCPU9010にて、ファイルアクセス制御プログラムや暗号化処理プログラムを実行し、その補助記憶装置9040等に保持された各計算パラメーターの更新処理を実施させればよい。
Further, the procedure shown in the above embodiment can be realized by a program that causes a computer (9000 in FIG. 11) to realize the above function. Such a computer is exemplified by the configuration including the CPU (Central Processing Unit) 9010, the
即ち、上記した実施形態に示したコンピュータ10、100、100aの各部(処理手段、機能)は、これらコンピュータに搭載されたプロセッサに、そのハードウェアを用いて、上記した各処理を実行させるコンピュータプログラムにより実現することができる。
That is, the respective units (processing means, functions) of the
最後に、本発明の好ましい形態を要約する。
[第1の形態]
(上記第1の視点によるファイルアクセス制御方法参照)
[第2の形態]
上記したファイルアクセス制御方法において、暗号化ファイルを最初に復号した際に平文ファイルが作成される構成を採ることができる。
[第3の形態]
上記したファイルアクセス制御方法において、
前記暗号化ファイルの管理を開始する前に、前記平文ファイルの保存用の、アクセス制限が行われる管理領域を作成する構成を採ることができる。
[第4の形態]
上記したファイルアクセス制御方法において、
前記アプリケーションプログラムのユーザが前記暗号化ファイルの復号鍵を有しているか否かにより、前記アプリケーションプログラムのユーザが前記暗号化ファイルに対するアクセス権限を有するか否かを確認する構成を採ることができる。
[第5の形態]
上記したファイルアクセス制御方法において、
所定の権限管理サーバに対して問い合わせることにより、前記アプリケーションプログラムのユーザが前記暗号化ファイルに対するアクセス権限を有するか否かを確認する構成を採ることができる。
[第6の形態]
(上記第2の視点によるコンピュータプログラム参照)
[第7の形態]
(上記第3の視点によるコンピュータ参照)
なお、上記第6、第7の形態は、第1の形態と同様に、第2〜第5の形態に展開することが可能である。
Finally, the preferred forms of the invention are summarized.
[First form]
(See the file access control method according to the first aspect above)
[Second mode]
In the above file access control method, it is possible to adopt a configuration in which a plaintext file is created when an encrypted file is first decrypted.
[Third form]
In the above file access control method,
A configuration may be adopted in which a management area for storing the plaintext file is created before the management of the encrypted file is started.
[Fourth form]
In the above file access control method,
A configuration can be adopted in which whether or not the user of the application program has the access right to the encrypted file can be determined depending on whether or not the user of the application program has the decryption key of the encrypted file.
[Fifth form]
In the above file access control method,
By making an inquiry to a predetermined authority management server, it is possible to adopt a configuration for confirming whether or not the user of the application program has the access authority to the encrypted file.
[Sixth form]
(Refer to the computer program from the above second viewpoint)
[Seventh form]
(See the computer from the third viewpoint above)
Note that the sixth and seventh forms can be expanded to the second to fifth forms as in the first form.
なお、上記の特許文献の開示を、本書に引用をもって繰り込むものとする。本発明の全開示(請求の範囲を含む)の枠内において、さらにその基本的技術思想に基づいて、実施形態ないし実施例の変更・調整が可能である。また、本発明の開示の枠内において種々の開示要素(各請求項の各要素、各実施形態ないし実施例の各要素、各図面の各要素等を含む)の多様な組み合わせ、ないし選択(部分的削除を含む)が可能である。すなわち、本発明は、請求の範囲を含む全開示、技術的思想にしたがって当業者であればなし得るであろう各種変形、修正を含むことは勿論である。特に、本書に記載した数値範囲については、当該範囲内に含まれる任意の数値ないし小範囲が、別段の記載のない場合でも具体的に記載されているものと解釈されるべきである。 The disclosures of the above patent documents are incorporated herein by reference. Modifications and adjustments of the exemplary embodiments and examples are possible within the scope of the overall disclosure (including claims) of the present invention and based on the basic technical concept of the invention. Further, within the framework of the disclosure of the present invention, various combinations or selections (parts) of various disclosed elements (including each element of each claim, each element of each embodiment or example, each element of each drawing, etc.) (Including targeted deletion) is possible. That is, it goes without saying that the present invention includes various variations and modifications that can be made by those skilled in the art according to the entire disclosure including the claims and the technical idea. In particular, with regard to the numerical range described in this specification, any numerical value or small range included in the range should be construed as specifically described even if not otherwise specified.
10、100、100a コンピュータ
11、102 ファイルアクセス制御部
12、105 管理領域
20、101 アプリケーションプログラム
103、103a ファイル暗号化部
9000 コンピュータ
9010 CPU
9020 通信インタフェース
9030 メモリ
9040 補助記憶装置
C、C’、104 暗号化ファイル
P、P’、106 平文ファイル
10, 100,
9020 Communication interface 9030
Claims (7)
前記平文ファイルを暗号化した暗号化ファイルと、を対応付けて管理し、
アプリケーションプログラムから、前記暗号化ファイルに対するアクセス要求を受けた場合に、前記アプリケーションプログラムのユーザが前記暗号化ファイルに対するアクセス権限を有するか否かを確認し、
前記アプリケーションプログラムのユーザが前記暗号化ファイルに対するアクセス権限を有すると判定した場合、前記平文ファイルへのアクセスを許可し、
前記アプリケーションプログラムのユーザが前記暗号化ファイルの変更権限を有する場合、前記アプリケーションプログラムのユーザに、前記平文ファイルの変更を許可し、
前記変更後の平文ファイルを前記所定の管理領域に保存するとともに、前記変更後の平文ファイルを暗号化して保存するファイルアクセス制御方法。 A plaintext file saved in a specified management area where access is restricted,
The plaintext file and the encrypted file that is encrypted are managed in association with each other,
When an access request to the encrypted file is received from the application program, it is confirmed whether the user of the application program has the access right to the encrypted file,
When it is determined that the user of the application program has the access right to the encrypted file, the access to the plaintext file is permitted,
When the user of the application program has the right to change the encrypted file, the user of the application program is allowed to change the plaintext file,
A file access control method for storing the changed plaintext file in the predetermined management area, and encrypting and storing the changed plaintext file.
前記平文ファイルを暗号化した暗号化ファイルと、を対応付けて管理するファイルアクセス制御機能を実現するコンピュータプログラムであって、
アプリケーションプログラムから、前記暗号化ファイルに対するアクセス要求を受けた場合に、前記アプリケーションプログラムのユーザが前記暗号化ファイルに対するアクセス権限を有するか否かを確認する処理と、
前記アプリケーションプログラムのユーザが前記暗号化ファイルに対するアクセス権限を有すると判定した場合、前記平文ファイルへのアクセスを許可する処理と、
前記アプリケーションプログラムのユーザが前記暗号化ファイルの変更権限を有する場合、前記アプリケーションプログラムのユーザに、前記平文ファイルの変更を許可し、前記変更後の平文ファイルを前記所定の管理領域に保存するとともに、前記変更後の平文ファイルを暗号化して保存する処理と、
を実行させるコンピュータプログラム。 A plaintext file saved in a specified management area where access is restricted,
A computer program that realizes a file access control function that manages the plaintext file encrypted by encrypting the encrypted file,
A process of confirming whether or not the user of the application program has an access right to the encrypted file when an access request to the encrypted file is received from the application program,
A process of permitting access to the plaintext file when it is determined that the user of the application program has access authority to the encrypted file,
When the user of the application program has the authority to change the encrypted file, the user of the application program is allowed to change the plaintext file, and the changed plaintext file is saved in the predetermined management area, A process of encrypting and storing the changed plaintext file,
A computer program that executes.
前記平文ファイルを暗号化した暗号化ファイルと、を対応付けて管理するファイルアクセス制御部を備え、
前記ファイルアクセス制御部は、
アプリケーションプログラムから、前記暗号化ファイルに対するアクセス要求を受けた場合に、前記アプリケーションプログラムのユーザが前記暗号化ファイルに対するアクセス権限を有するか否かを確認し、
前記アプリケーションプログラムのユーザが前記暗号化ファイルに対するアクセス権限を有すると判定した場合、前記平文ファイルへのアクセスを許可し、
前記アプリケーションプログラムのユーザが前記暗号化ファイルの変更権限を有する場合、前記アプリケーションプログラムのユーザに、前記平文ファイルの変更を許可し、前記変更後の平文ファイルを前記所定の管理領域に保存するとともに、前記変更後の平文ファイルを暗号化して保存すること、
を特徴とするコンピュータ。 A plaintext file saved in a specified management area where access is restricted,
A file access control unit that manages the plaintext file and the encrypted file that are encrypted in association with each other,
The file access control unit,
When an access request to the encrypted file is received from the application program, it is confirmed whether the user of the application program has the access right to the encrypted file,
When it is determined that the user of the application program has the access right to the encrypted file, the access to the plaintext file is permitted,
When the user of the application program has the authority to change the encrypted file, the user of the application program is allowed to change the plaintext file, and the changed plaintext file is saved in the predetermined management area, Encrypt and save the changed plaintext file,
A computer characterized by.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2019007053A JP7215181B2 (en) | 2019-01-18 | 2019-01-18 | File access control method, computer program and computer |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2019007053A JP7215181B2 (en) | 2019-01-18 | 2019-01-18 | File access control method, computer program and computer |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2020119023A true JP2020119023A (en) | 2020-08-06 |
JP7215181B2 JP7215181B2 (en) | 2023-01-31 |
Family
ID=71890766
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2019007053A Active JP7215181B2 (en) | 2019-01-18 | 2019-01-18 | File access control method, computer program and computer |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP7215181B2 (en) |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005010957A (en) * | 2003-06-17 | 2005-01-13 | Trinity Security Systems Inc | Content protection system, content protection method, and program which makes computer perform its method |
JP2006042289A (en) * | 2004-06-24 | 2006-02-09 | Toshiba Corp | Microprocessor |
JP2006323552A (en) * | 2005-05-18 | 2006-11-30 | Tomonori Yamashita | Program |
JP2015207081A (en) * | 2014-04-18 | 2015-11-19 | 株式会社日立ソリューションズ | cloud storage system |
JP6263675B1 (en) * | 2015-01-02 | 2018-01-17 | センテオン エルエルシー | Data protection on untrusted devices |
-
2019
- 2019-01-18 JP JP2019007053A patent/JP7215181B2/en active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005010957A (en) * | 2003-06-17 | 2005-01-13 | Trinity Security Systems Inc | Content protection system, content protection method, and program which makes computer perform its method |
JP2006042289A (en) * | 2004-06-24 | 2006-02-09 | Toshiba Corp | Microprocessor |
JP2006323552A (en) * | 2005-05-18 | 2006-11-30 | Tomonori Yamashita | Program |
JP2015207081A (en) * | 2014-04-18 | 2015-11-19 | 株式会社日立ソリューションズ | cloud storage system |
JP6263675B1 (en) * | 2015-01-02 | 2018-01-17 | センテオン エルエルシー | Data protection on untrusted devices |
Also Published As
Publication number | Publication date |
---|---|
JP7215181B2 (en) | 2023-01-31 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP6609010B2 (en) | Multiple permission data security and access | |
US10554635B2 (en) | Protecting documents using policies and encryption | |
US8423795B2 (en) | Storage controller comprising encryption function, data encryption method, and storage system | |
JP6055989B1 (en) | Computer program, secret management method and system | |
US8375224B2 (en) | Data masking with an encrypted seed | |
JP4735331B2 (en) | Information processing apparatus and information processing system using virtual machine, and access control method | |
WO2013069770A1 (en) | Database device, method and program | |
JP2014013582A (en) | Database encryption system, method, and program | |
US20060085636A1 (en) | Method and apparatus for data storage | |
KR20190018869A (en) | System and method for providing storage service based on block chain | |
US20100174689A1 (en) | Document management apparatus, document management system, document management method, and computer program | |
JP6048372B2 (en) | Industrial equipment management system, industrial equipment management server, industrial equipment management method, program, and information storage medium | |
US20220329413A1 (en) | Database integration with an external key management system | |
JP2008046860A (en) | File management system and file management method | |
JP4665495B2 (en) | Information processing device | |
EP3227822B1 (en) | Secure document management | |
JP7215181B2 (en) | File access control method, computer program and computer | |
JP2013190884A (en) | License management system and client terminal | |
JP4963982B2 (en) | Self-extracting data structure, self-extracting program, and computer | |
JP6216673B2 (en) | Data management method and data management system | |
TW201506793A (en) | System and method for updating program | |
CN116208320A (en) | Method for managing data encryption and decryption keys, method for processing commands and related products | |
CN116204111A (en) | Method for managing namespaces and storage device | |
JP2006139475A (en) | Secret information protection system for existing application | |
JP2007148649A (en) | Data exchange method, data exchange program, data processor and information management device |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20211202 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20220823 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20220824 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20221017 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20221220 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20230102 |
|
R151 | Written notification of patent or utility model registration |
Ref document number: 7215181 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |