JP4077200B2 - 電子署名認証に基づいたファイルシステムの保護方法及び装置 - Google Patents

電子署名認証に基づいたファイルシステムの保護方法及び装置

Info

Publication number
JP4077200B2
JP4077200B2 JP2001576611A JP2001576611A JP4077200B2 JP 4077200 B2 JP4077200 B2 JP 4077200B2 JP 2001576611 A JP2001576611 A JP 2001576611A JP 2001576611 A JP2001576611 A JP 2001576611A JP 4077200 B2 JP4077200 B2 JP 4077200B2
Authority
JP
Japan
Prior art keywords
user
file system
access
access authority
server computer
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
JP2001576611A
Other languages
English (en)
Other versions
JP2003532956A (ja
Inventor
ユジン ウン
キユン ホン
ミング リ
ジェミョン キム
Original Assignee
シキュウヴ カンパニー リミテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by シキュウヴ カンパニー リミテッド filed Critical シキュウヴ カンパニー リミテッド
Publication of JP2003532956A publication Critical patent/JP2003532956A/ja
Application granted granted Critical
Publication of JP4077200B2 publication Critical patent/JP4077200B2/ja
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2149Restricted operating environment

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Bioethics (AREA)
  • Software Systems (AREA)
  • Health & Medical Sciences (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Automation & Control Theory (AREA)
  • Databases & Information Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Storage Device Security (AREA)

Description

【0001】
【発明の属する技術分野】
技術分野
本発明は,電子署名認証に基づいたハッキング防止用電子署名認証に基づいたファイルシステムの保護方法及びその装置に関し;より詳しくは,コンピュータシステムを安全に維持するための電子署名認証に基づいたファイルシステムの保護方法及びその装置に関する。
【0002】
【従来の技術】
背景技術
従来,サーバーコンピュータを安全に維持するために,アクセス制御方式または使い切りパスワードを用いていた。
【0003】
この種のアクセス制御方式を用いるコンピュータシステムは,特定ユーザーに対して特定のサービスや特定のネットワークアドレス等の使用に関連したネットワークの接続だけを許している。換言すれば,このコンピュータシステムでは,ユーザーは特定サービス及び特定ネットワークアドレスを除いて,アクセス権限を持つことができなくなる。
【0004】
ユーザーの身分確認のために用いられる一般パスワードは,一度定められれば,他のパスワードに変えるまで続けて用いられる。このパスワードの悪意の使用を防ぐために,使い切りパスワードが用いられている。使い切りパスワードとは,その使用が1回に制限されるものをいう。
【0005】
しかし,特定のサービスやネットワークアドレスに対するネットワーク接続だけでも,システム管理者及びユーザーの権限を獲得するハッキング技法等が出現することによって,侵入遮断システムだけでは,例えばホームページのファイルシステムの改竄などを試みる悪意的なハッキング行為を実質的に防止することができない。
【0006】
また,多様なハッキング技法の出現によって,使い切りパスワード方法の部分的な保護機能さえも無力になった。
【0007】
このような接続制御方法と使い切りパスワード方法の問題点は,アプリケーションプログラム,ユーザー,及びネットワークレベルで運営される既存の保護技術を提供するコンピュータオペレーティングシステムがもたらすものである。
【0008】
【発明が解決しようとする課題】
発明の開示
そこで,本発明の目的は,ファイルシステムの保護方法及びその装置を提供することにある。
【0009】
本発明の他の目的は,安全で且つ安定したコンピュータシステムを提供することにある。
【0010】
【課題を解決するための手段】
本発明の観点によれば,アクセス権限を有したユーザーに対してこのファイルシステムへのアクセスを許すコンピュータシステムにおいて,以下のステップを含むコンピュータのファイルシステムの保護方法が提供される:a)システム保護管理者の電子署名キー及びシステム保護管理者の認証書を生成し;b)サーバーコンピュータにオペレーティングシステムの設置時にサーバーコンピュータのオペレーティングシステムのカーネルレベルにある保護カーネル内に保護管理者の認証書を格納し;c)ユーザー電子署名キー及びユーザーの認証書を生成し;d)そのファイルシステムへのアクセス権限を設定し,e)ユーザーがファイルシステムへアクセスしたい時に電子署名に基づく認証書を通じて身分を確認し,f)その身分確認結果に応じてユーザーにファイルシステムへのアクセス権限を付与する。
【0011】
本発明の他の観点によれば,アクセス権限を有したユーザーに対してこのファイルシステムへのアクセスを許すコンピュータシステムにおいて,以下の手段を含む,コンピュータシステムのファイルシステムの保護装置が提供される:システム保護管理者の電子署名キー及びシステム保護管理者の認証書を生成する手段と;サーバーコンピュータにオペレーティングシステムを設置する時,システム保護管理者の認証書サーバーコンピュータのオペレーティングシステムのカーネルレベルにある保護カーネルに格納する手段と;ユーザーの電子署名キー及びユーザーの認証書を生成する手段と;ファイルシステムのアクセス権限を設定する手段と;ユーザーがファイルシステムにアクセスする時,電子署名認証方法を通じてユーザーの身分確認を行う手段と;その身分確認結果に応じてユーザーにそのファイルシステムへのアクセス権限を付与する手段。
【0012】
【発明の実施の形態】
発明を実施するための最良な形態
以下,本発明の好適な実施例について,添付図面を参照しながらより詳しく説明する。
【0013】
図1は,本発明が適用されるコンピュータシステムの構成図である。
【0014】
このコンピュータシステムは,システム保護管理者,サーバーコンピュータ110から離れた遠隔ユーザー,及び近距離ユーザーのそれぞれのためのサーバーコンピュータ110と,コンピュータ120,140,150で構成されている。
【0015】
これらのコンピュータ120,140,150の各々は,フロッピーディスク(登録商標)124,144,154,スマートカード126,146,156といった格納装置を備えている。また,サーバーコンピュータ110とコンピュータ120,140,150とは,互いに直接,またはコンピューターネットワーク130を介して接続されている。
【0016】
システム保護管理者は,電子署名に基づいた身分確認を経てから,サーバーコンピュータ110及びサーバーコンピュータ110のユーザーを管理する。
【0017】
サーバーコンピュータ110から近距離にあるユーザー150は,電子署名に基づいた身分確認を経た上で,一部のファイルシステムにアクセスすることができる。ユーザーは,この一部のファイルシステムへのアクセスを許される。システム保護管理者は,ファイルシステムへのアクセス権限とユーザーのアクセス権限とを設定する。
【0018】
サーバーコンピュータ110から遠距離にあるユーザー140は,コンピューターネットワークを介して生成される電子署名に基づいた身分確認処理過程を経てから,一部のファイルシステムへのアクセス許可を受けてアクセスすることができる。
【0019】
図2は,本発明によるサーバーコンピュータの一実施例の構成図である。
【0020】
サーバーコンピュータは,ユーザー,カーネル及びハードウェアの各レベルにおいて複数の構成要素を備えている。
【0021】
このサーバーコンピュータは,ユーザーのレベルにおいて,認証書格納部212,保護管理モジュール214,保護ライブラリー216,及びライブラリー218を備えている。
【0022】
保護管理モジュール214は,システム保護管理者または近/遠距離ユーザーの電子署名値の生成に必要となる,一対の暗号キーを生成する。この一対の暗号キーは,秘密キーと公開キーによって構成される。また,保護管理モジュール214は,上記暗号キー及び電子署名値に基づいた認証書を発行する。
【0023】
カーネルのレベルにおいて,サーバーコンピュータはシステム呼び出しインターフェース232,ファイルサブシステム234,プロセス制御サブシステム236,保護カーネル238,駆動部240及びハードウェア制御部242を備えている。
【0024】
システム呼び出しインターフェース232は,カーネルレベルの各構成要素と共にユーザーレベルの各構成要素とインターフェースされる。
【0025】
保護カーネル238は,電子署名を検証し,ファイルシステムのアクセス権限を設定し,問合せを行う。また,この保護カーネル238はファイルシステムへのアクセスを制御する。
【0026】
サーバーコンピュータのハードウェアレベルは,ドライバ制御部,ハードディスクドライバ,フロッピーディスクドライバ,スマートカードドライバ,ユニバーサル・シリアル・バス(USB)ドライバ,ネットワークドライバを備えている。
【0027】
このハードウェアレベルの各構成要素は,この分野の当業者らによく知られている。そのため,これらの各構成要素に対する詳細は,ここでは略す。
【0028】
図3は,図2における保護カーネルについての詳細な構成図である。
【0029】
同図において,保護カーネルはアクセス権限制御部302,電子署名検証部304,アクセス権限設定/照会部306,セキュリティルール設定/照会部308,ファイルシステムアクセス権限決定部310,システム保護管理者認証書格納部312,プロセス保護情報格納部314,セキュリティルール格納部316,及びファイルシステム保護情報格納部318を備えている。
【0030】
ここで,プロセスと関連した保護情報はプロセス保護情報格納部314に,セキュリティルール情報はセキュリティルール格納部316に,ファイルシステム関連保護情報はファイルシステム保護情報格納部318に,各々格納されている。
【0031】
アクセス権限制御部302はアクセス権限設定/照会部306,セキュリティルール設定/照会部308,及びファイルシステムアクセス権限決定部310を制御する。
【0032】
アクセス権限設定/照会部306は,プロセス保護情報格納部320及びファイルシステム保護情報設定/照会部322を備えている。もし,ファイルシステムへのアクセスを試みるユーザーが,アクセス権限制御部302において身分確認を受けるようになれば,プロセス保護情報設定/照会部320がプロセス保護情報格納部314にある情報を設定する。
【0033】
ファイルシステム保護情報設定/照会部322は,ファイルシステム保護情報格納部318を設定し,照会する。
【0034】
セキュリティルール設定/照会部308は,セキュリティルール格納部316に格納されているセキュリティルールを設定し,照会する。
【0035】
セキュリティルール設定/照会部308は,アクセス権限設定/照会部306及びファイルシステムアクセス権限決定部310と通信して,セキュリティルール格納部316に格納されているセキュリティルールに基づいたアクセス制御に必要な情報を提供する。
【0036】
ファイルシステムアクセス権限決定部310は,プロセス保護情報格納部314に格納されている情報を,ファイルシステム保護情報格納部318に格納されているファイルシステム保護情報と比較する。このファイルシステムアクセス権限決定部310は,セキュリティルール格納部316に格納されているセキュリティルールに基づき,アクセス権限がユーザーに与えられているかを判定する。
【0037】
図4は,図2に示す認証書格納部の詳細な構成図である。
【0038】
認証書格納部212は,多数の認証書から構成されている。これらの認証書の各々は,ユーザーアイデンティフィケーション(ID)410,430,450とユーザー認証書420,440,460とを備えている。それぞれのユーザーアイデンティフィケーション(ID)410は,それぞれのユーザー認証書420を実行している各ユーザーを示す。一対の認証書は,図2中の保護管理モジュール214からの制御信号に応じて追加,削除,調査される。
【0039】
ユーザー認証書420はシステム保護管理者アイデンティフィケーション(SM ID)421,ユーザーアイデンティフィケーション422,アクセス権限アイデンティフィケーション(ID)423,アクセス有効期間424,公開キー425,認証書発行時間426,認証書有効期間427,電子署名値428を備えている。
【0040】
システム保護管理者アイデンティフィケーション421は,ユーザー認証書を発行するシステム保護管理者SMを示す。
【0041】
ユーザーアイデンティフィケーション422は,ユーザー認証書420を実行しているユーザーを示す。
【0042】
アクセス権限アイデンティフィケーション(ID)423は,ユーザーのアクセス権限を示す。
【0043】
アクセス有効期間424は,有効時間を示す。ユーザーは,この有効時間に限ってこのファイルシステムへアクセスすることができる。
【0044】
公開キー425は,ユーザーの電子署名を検証するのに用いられる。認証書発行時間426は,ユーザー認証書が発行された時間を示す。
【0045】
電子署名値428は,システム保護管理者の秘密キーを用いて示した電子署名値428を除外したユーザー認証書の電子署名済みの値をいう。
【0046】
図5は,図3に示す保護カーネル内のプロセス保護情報格納部の詳細な構造図である。
【0047】
プロセス保護情報格納部314には,複数のプロセスアイデンティフィケーション(ID)510,システム保護管理者フラグ512,アクセス権限アイデンティフィケーション(ID)514が格納される。プロセス保護情報格納部314はアクセスするプロセスアイデンティフィケーション510を追跡する。このプロセスIDを探した後,プロセス保護情報格納部314は,プロセス保護情報設定/照会部320,ファイルシステム保護情報設定/照会部322,ファイルシステムアクセス権限決定部310から供給された制御信号に応じて,そのシステム保護管理者フラグまたはアクセス権限アイデンティフィケーションを設定し,照会する。
【0048】
プロセスID510の各々は,ユーザーが実行するプロセスを示す。
【0049】
システム保護管理者フラグ512の各々は,プロセスを実行するシステム保護管理者を示す。アクセス権限ID514の各々は,そのプロセスに許可されたアクセス権限を示す。
【0050】
図6は,保護カーネル内のファイルシステム保護情報格納部の詳細な構成図である。図3のファイルシステム保護情報格納部318は,ファイルアイデンティフィケーション(ID)602とアクセス権限アイデンティフィケーション(ID)604とを備えている。ファイルアイデンティフィケーション(ID)602に対応するアクセス権限アイデンティフィケーション(ID)604は,ファイルシステム保護情報設定/照会部322またはファイルシステムアクセス権限決定部310からの制御信号に応じて設定,照会される。
【0051】
ファイルアイデンティフィケーション(ID)602は,ファイルの確認時に用いられる。アクセス権限アイデンティフィケーション(ID)604は,このファイルに対してアクセス許可を受けたユーザーのアクセス権限を意味する。
【0052】
図7は,本発明のファイルシステムの保護方法に対する一実施例の流れ図である。
【0053】
まず,ステップ702にて,システム保護管理者を設定する設置過程が行われる。次に,ステップ704にて,オペレーティングプロセスが行われる。このオペレーティングプロセスにおいて,ユーザー身分の確認後,ユーザー登録/削除処理の過程,ファイルアクセス権限設定またはファイルアクセス過程が行われる。続けて,ステップ706にて,ファイル保護方法を終了するか否かを決定する。もし,終了しない場合,プロセスはステップ704へ戻る。終了すれば,ファイル保護方法も終了する。
【0054】
図8は,本発明によるコンピュータにファイルシステムの保護方法を設ける過程を示す一実施例の細部流れ図である。
【0055】
まず,ステップ802にて,サーバーコンピュータはシステム保護管理者のための一対のキーである公開キー PK_SM と秘密キー SK_SM とを生成する。
【0056】
そして,ステップ804にて,サーバーコンピュータはシステム保護管理者のための認証書を生成する。システム保護管理者のアクセス権限 ACID_SM とシステム保護管理者の公開キー PK_SM とは,システム管理者の秘密キー SK_SM の電子署名を受けてシステム管理者の認証書を生成するようになる。
【0057】
システム管理者は,ステップ806にて,自分の秘密キー SK_SM を暗号化し,この暗号化した秘密キーをスマートカードまたはフロッピーディスクなどのメモリ装置に格納する。
【0058】
システム保護管理者は,ステップ808にて,自分の認証書 CERT_SM をスマートカードまたはフロッピーディスクなどのメモリ装置に格納する。また,システム保護管理者は,ステップ810にて,自分の認証書 CERT_SM を保護カーネル238内のシステム保護管理者認証書格納部312に格納する。
【0059】
設置過程が終了すれば,ステップ704へリターンする。
【0060】
図9は,本発明によるファイルシステムの保護方法の運営過程に対する一実施例の詳細な流れ図である。
【0061】
まず,サーバーコンピュータは,ステップ902にて,電子署名に基づいた身分確認を経てシステム保護管理者または自分へのアクセスを試みるユーザーを検証する。続けて,ステップ904にて,身分確認結果に対する成功可否を判定する。
【0062】
身分確認結果が失敗の場合,プロセスを終了する。
【0063】
身分確認結果が成功の場合,ステップ906に進み,プロセスはシステム保護管理者認証書格納部312に格納されているシステム保護管理者の認証書をロードし,システム保護管理者の認証書からシステム保護管理者のアクセス権限 ACID_SM を取り出す。その後,ステップ908に進み,プロセスはユーザーのアクセス権限 ACID_U がシステム保護管理者のアクセス権限 ACID_SM と同じか否かを判定する。
【0064】
もし,ユーザーのアクセス権限 ACID_U がシステム保護管理者のアクセス権限 ACID_SM と同一の場合,ステップ910にて,システム管理者のアクセス権限はユーザープロセスアクセス権限 ACID_UP に適用される。システム管理者のアクセス権限 ACID_SM を持っているユーザープロセスは,ステップ914,916,918そして920にて,ユーザー登録/削除プロセス,ファイルシステムアクセス権限設定プロセス,ファイルシステムアクセスプロセスの中のいずれか一つを選択して,実行する。
【0065】
ユーザーのアクセス権限がシステム保護管理者のアクセス権限と同一でない場合,ステップ912にて,ユーザーのアクセス権限 ACID_U はユーザープロセスアクセス権限 ACID_UP に適用される。ユーザープロセスは,ステップ920にて,ファイルシステムアクセス処理過程を実行する。
【0066】
その後,プロセスはステップ706へリターンする。
【0067】
図10は,本発明による電子署名認証に基づく身分確認処理過程を示す詳細な流れ図である。
【0068】
ステップ1002にて,サーバーコンピュータが乱数Rを生成する。ユーザーは,ステップ1004にて,秘密キーを用いて,乱数Rに対する電子署名値Xを生成する。サーバーコンピュータは,ステップ1006にて,保護カーネル238内のシステム保護管理者の認証書格納部に格納されているシステム保護管理者の認証書 CERT_SM をロードする。サーバーコンピュータは,ステップ1008にて,保護カーネル内に格納されているシステム保護管理者の認証書 CERT_SM からシステム保護管理者の公開キー PK_SM を取り出す。
【0069】
ユーザー認証書 CERT_U は,ステップ1010にて,保護カーネル238により検証される。その後,ステップ1012にて,検証結果の成功可否を決める。もし,検証結果が失敗の場合,このプロセスはその検証結果を失敗として格納し,終了する。
【0070】
もし,検証結果が成功の場合,ステップ1014にて,保護カーネルはユーザー認証書 CERT_U からユーザー公開キー PK_U 及びユーザーアクセス権限 ACID_U を取り出す。クライアントユーザーの公開キー及びアクセス権限を取り出した後,保護カーネルは,ステップ1016にて,電子署名値Xを乱数Rに対して検証する。もし,身分確認結果が成功の場合,身分確認結果を成功として格納し,ユーザーのアクセス権限 ACID_U をステップ904へリターンし,ステップ908にて用いる。
【0071】
図11は,本発明によるユーザー登録及び削除プロセスに対する流れ図である。
【0072】
まず,ステップ1102にて,ユーザーのアクセス権限 ACID_UP がシステム保護管理者のアクセス権限 ACID_SM と同じか否かを決定する。もし,ユーザープロセスのアクセス権限 ACID_UP がシステム保護管理者のアクセス権限 ACID_SM と同一でない場合,プロセスは終了し,リターンする。
【0073】
もし,ユーザープロセスのアクセス権限 ACID_UP がシステム保護管理者のアクセス権限 ACID_SM と同一の場合,ステップ1104にて,ユーザー登録処理またはユーザー削除処理を選択する。
【0074】
もし,ユーザー削除処理が選択される場合,ステップ1106にて,システム管理者のアクセス権限を有したユーザープロセスは上記登録されたユーザーを削除する。
【0075】
もし,ユーザー登録処理が選択される場合,ステップ1110にて,システム管理者のアクセス権限を有したユーザープロセスは,新たなユーザーにアクセス権限を付与する。ユーザープロセスは,ステップ1112にて,新たなユーザーのための公開キー PK_U と秘密キー SK_U とを生成する。
【0076】
システム保護管理者は,ステップ1114にて,秘密キーを用いて,この新たなユーザーのアクセス権限及び公開キーを暗号化し,新たなユーザーの認証書 CERT_U を生成する。新たなユーザーは,ステップ1116にて,自分の秘密キーを暗号化し,その暗号化した秘密キーをスマートカードまたはフロッピーディスクなどのメモリ装置に格納する。新たなユーザーは,ステップ1118にて,自分のユーザー認証書 CERT_U をメモリに格納する。続けて,ステップ1120にて,プロセスを終了するか否か決定する。もし,プロセスが終了するようになる場合,リターンする。そうでない場合に,プロセスはステップ1104へ進んで,ここでユーザー登録処理またはユーザー削除処理を選択する。
【0077】
図12は,本発明によるファイルシステムアクセス権限設定プロセスに対する流れ図である。
【0078】
まず,ステップ1202にて,ユーザープロセスのアクセス権限 ACID_UP がシステム保護管理者のアクセス権限 ACID_SM と同じか否かを判定する。もし,ユーザープロセスのアクセス権限 ACID_UP がシステム保護管理者のアクセス権限 ACID_SM と同一の場合,システム保護管理者は,ステップ1204にて,アクセス権限を設定するファイルを選択する。同一でない場合,このプロセスは終了する。
【0079】
システム保護管理者は,ステップ1204にて,ファイルシステムへのアクセスを許可されたユーザーを選択する。ユーザーのアクセス権限 ACID_U は,ステップ1206と,ステップ1208にて選択されたので,保護カーネルはステップ1204にて選択されたファイルシステムへのアクセス権限 ACID_F を設定する。続けて,ステップ1210にて,プロセスを終了するか否かを判定する。もし,終了の場合,プロセスは終了する。そうでない場合は,プロセスはステップ1204へ進む。
【0080】
図13は,本発明によるファイルプロセスに対する一実施例の流れ図である。
【0081】
保護カーネルは,ステップ1302にて,アクセスされるファイルシステムを獲得する。保護カーネルは,ステップ1304にて,ファイルシステムへのアクセスを試みるユーザープロセスのアクセス権限 ACID_UP をシステム保護管理者のアクセス権限 ACID_SM と比較する。
【0082】
ユーザープロセスのアクセス権限 ACID_UP がシステム保護管理者のアクセス権限 ACID_SM と同一の場合,サーバーコンピュータは,ステップ1306にて,そのユーザープロセスに該ファイルシステムFへのアクセスを許可する。続けて,そのプロセスを終了するか否かを判定する。もし,終了の場合,プロセスは終了する。そうでない場合,プロセスはステップ1302へ進む。
【0083】
もし,クライアントユーザープロセスのアクセス権限がシステム保護管理者のアクセス権限と同一でない場合,ステップ1308にて,ユーザープロセスのアクセス権限 ACID_UP がユーザー用のアクセス権限 ACID_UP と同じか否かを決定する。同一でない場合,プロセスは終了する。
【0084】
もし,ユーザープロセスのアクセス権限 ACID_UP がユーザー用のアクセス権限 ACID_SM と同一の場合,ステップ1310にて,ユーザープロセスのアクセス権限 ACID_UP がファイルシステムFへのアクセス権限 ACID_F と同じか否かを決定する。そうでない場合,プロセスは終了する。
【0085】
もし,ユーザープロセスのアクセス権限 ACID_UP がファイルシステムFのアクセス権限 ACID_F と同一の場合,サーバーコンピュータは,ステップ1312にて,ユーザープロセスのファイルシステムへのアクセスを許可する。続けて,プロセスの終了如何を判定する。もし,終了の場合,プロセスは終了し,リターンする。そうでない場合,プロセスはステップ1302へ進む。
【0086】
【発明の効果】
本発明によるファイルシステムの保護方法は,システム保護管理者の認証書をシステム設置過程にてカーネルレベルにある保護チャネルに格納する。また,電子署名に基づいた身分確認,ファイルシステムアクセス権限設定過程,そしてファイルシステムアクセス過程は,ユーザーレベルでなくカーネルレベルにて行われる。従って,このファイルシステムの保護方法は,ファイルシステムの偽造または改竄を根本的に遮断することができる。
【0087】
従って,本発明によるファイルシステムの保護方法は,安全で且つ信頼性の有するファイルシステムを提供する。例えば,本発明によるファイルシステムの保護方法は,ホームページなどを運営するウェブサーバーシステムをハッキングから保護することができる。
【0088】
上記において,本発明の好適な実施の形態について説明したが,本発明の請求範囲を逸脱することなく,いわゆる当業者は種々の改変をなし得ることは明らかである。
【図面の簡単な説明】
図面の簡単な説明
本発明の上記ならびにその他の目的と新たな特徴は,本明細書の記述および添付図面から明らかになるであろう。以下,本発明の好適実施例について,添付図面を参照しながらより詳しく説明する:
【図1】 図1は,本発明が適用されるコンピュータシステムの構成図であり;
【図2】 図2は,本発明によるサーバーコンピュータの詳細な構成図であり;
【図3】 図3は,図2の保護カーネルの詳細な構成図であり;
【図4】 図4は,図2に示す認証書格納部の詳細な構成図であり;
【図5】 図5は,図3に示す保護カーネル内のプロセス保護情報格納部の詳細な構成図であり;
【図6】 図6は,図3に示す保護カーネル内のファイルシステム保護情報格納部の詳細な図表であり;
【図7】 図7は,本発明によるファイルシステムの保護方法を操作する方法を示した流れ図であり;
【図8】 図8は,本発明によるサーバーコンピュータにファイルシステムの保護方法を設ける過程を示す流れ図であり;
【図9】 図9は,本発明によるファイルシステムの保護方法のプロセスに対する流れ図であり;
【図10】 図10は,本発明による電子署名認証に基づく身分確認処理の過程を示す流れ図であり;
【図11】 図11は,本発明によるユーザー登録及び削除方法を示す流れ図であり;
【図12】 図12は,本発明によるファイルシステムアクセス権限設定方法を示す流れ図であり;そして
【図13】 図13は,本発明によるファイルシステムアクセスプロセスを示す流れ図である。

Claims (33)

  1. ファイルへのアクセス権限を有したユーザーに対して前記ファイルシステムへのアクセスを許可するサーバーコンピュータを備えるコンピュータシステムにおいて,以下のステップを含むことを特徴とする,ファイルシステムの保護方法:
    a)前記サーバーコンピュータが,一対の秘密キー及び公開キーにより構成され,システム保護管理者の電子署名の生成に用いられる前記システム保護管理者の電子署名キーを生成し,前記システム保護管理者のアクセス権限及び前記システム保護管理者の公開キーに前記システム保護管理者の秘密キーで電子署名を行うことにより前記システム保護管理者の認証書を生成するステップ;
    b)前記サーバーコンピュータにオペレーティングシステムが設置される時に,前記サーバーコンピュータが,前記サーバーコンピュータのオペレーティングシステムのカーネルレベルにある保護カーネルに,前記システム保護管理者の認証書を格納するステップ;
    c)前記サーバーコンピュータが,一対の秘密キー及び公開キーにより構成され,ユーザーの電子署名の生成に用いられる前記ユーザーの電子署名キーを生成し,前記ユーザーのアクセス権限及び前記ユーザーの公開キーに前記システム保護管理者の秘密キーで電子署名を行うことにより前記ユーザーの認証書を生成するステップ;
    d)前記サーバーコンピュータが,前記ファイルシステムのアクセス権限を設定するステップ;
    e)前記ファイルシステムに対するユーザーからのアクセスがある時,前記サーバーコンピュータの保護カーネルが,前記システム保護管理者の電子署名キー及び認証書と前記ユーザーの電子署名キー及び認証書とを用いて前記ユーザが前記システム保護管理者であるか否かを判定するステップ;及び
    f)前記ステップe)での判定結果に応じて,前記サーバーコンピュータが,前記ユーザーに前記ファイルシステムへのアクセス権限を付与するステップ。
  2. さらに,g)前記ユーザーがシステム保護管理者として判定される場合,前記サーバーコンピュータが,ユーザー登録処理またはユーザー削除処理を行うステップを含むことを特徴とする,請求項1に記載のファイルシステムの保護方法。
  3. さらに,h)前記ユーザーがシステム保護管理者として判定される場合,前記サーバーコンピュータが,前記ファイルシステムへのアクセス権限の設定を行うステップを含むことを特徴とする,請求項1に記載のファイルシステムの保護方法。
  4. さらに,i)前記サーバーコンピュータの保護カーネルが,ファイルシステムへのアクセス制御を行うステップを含むことを特徴とする,請求項1に記載のファイルシステムの保護方法。
  5. 前記ステップa)が,以下のステップを含むことを特徴とする,請求項1に記載のファイルシステムの保護方法:
    a−1)前記サーバーコンピュータが,前記システム保護管理者の公開キーを生成するステップ;
    a−2)前記サーバーコンピュータが,前記システム保護管理者の秘密キーを生成するステップ;及び
    a−3)前記サーバーコンピュータが,前記システム保護管理者のアクセス権限及び前記システム保護管理者の公開キーに対し,前記システム保護管理者の秘密キーを用いて電子署名を行うことにより前記システム保護管理者の認証書を生成するステップ。
  6. 前記ステップe)が,以下のステップを含むことを特徴とする,請求項1に記載のファイルシステムの保護方法:
    e−1)前記サーバーコンピュータが,乱数を生成するステップ;
    e−2)前記ユーザーのコンピュータが,前記ユーザーの秘密キーを用いて前記乱数に対する電子署名を生成するステップ;
    e−3)前記サーバーコンピュータが,前記保護カーネルに格納されているシステム保護管理者の認証書からシステム保護管理者の公開キーを取り出すステップ;
    e−4)前記サーバーコンピュータの保護カーネルが,前記取出したシステム保護管理者の公開キーを用いて,ユーザーの認証書を検証するステップ;
    e−5)前記サーバーコンピュータの保護カーネルが,前記ユーザーの認証書から,ユーザーの公開キーとアクセス権限を取り出すステップ;及び
    e−6)前記サーバーコンピュータの保護カーネルが,前記ユーザーの公開キーと前記乱数を用いて前記ステップe−2)で生成された電子署名を検証するステップ。
  7. 前記ステップf)が,以下のステップを含むことを特徴とする,請求項1に記載のファイルシステムの保護方法:
    f−1)前記ステップe)での判定の結果,前記ユーザーが一般のユーザーの場合,前記ユーザーに前記ファイルシステムへのアクセス権限を付与するステップ;及び
    f−2)前記ステップe)での判定の結果,前記ユーザーがシステム保護管理者の場合,前記ユーザーに,ユーザ登録権限,ユーザ削除権限,ファイルシステムへのアクセス設定権限及びファイルシステムへのアクセス権限を付与するステップ。
  8. 前記ステップg)が,以下のステップを含むことを特徴とする,請求項2に記載のファイルシステムの保護方法:
    g−1)前記サーバーコンピュータが,前記ユーザー登録処理または前記ユーザー削除処理のいずれかが選択されたか否かを判定するステップ;
    g−2)前記ユーザー削除処理が選択されたと判定された場合,前記サーバーコンピュータがユーザー関連データを削除するステップ;
    g−3)前記ユーザー登録処理が選択されたと判定された場合,前記サーバーコンピュータがユーザーを登録するステップ;
    さらに,前記ステップg−3)が,以下のステップを含む:
    g−3−1)前記サーバーコンピュータが,登録されるユーザーにアクセス権限を付与するステップ;
    g−3−2)前記サーバーコンピュータが,登録されるユーザーの秘密キー及び公開キーを生成するステップ;
    g−3−3)前記サーバーコンピュータが,登録されるユーザーの前記認証書を生成するステップ;
    g−3−4)前記ユーザのコンピュータが,前記登録されるユーザーの秘密キーを暗号化して外部の記憶装置に格納するステップ;及び
    g−3−5)前記サーバーコンピュータが,前記登録されるユーザーの認証書を前記サーバーコンピュータに格納するステップ。
  9. 前記サーバーコンピュータは,前記ユーザーの公開キー及びアクセス権限を前記システム保護管理者の秘密キーで暗号化することによって前記ユーザーの認証書を生成することを特徴とする,請求項8に記載の方法。
  10. 前記ステップh)が,以下のステップを含むことを特徴とする,請求項3に記載のファイルシステムの保護方法:
    h−1)前記サーバーコンピュータの保護カーネルが,前記アクセス権限を設定されるファイルへのアクセス権限を,前記ファイルへのアクセスを許可されたユーザーのアクセス権限に設定するステップ。
  11. 前記ステップi)が,以下のステップを含むことを特徴とする,請求項4に記載のファイルシステムの保護方法:
    i−1)前記サーバーコンピュータの保護カーネルが,アクセスされるファイルの名称を受け取るステップ;
    i−2)前記サーバーコンピュータの保護カーネルが,前記アクセスされるファイルのアクセス権限と,システム保護管理者のアクセス権限とが同じか否かを判定するステップ;
    i−3)前記アクセスされるファイルのアクセス権限がシステム保護管理者のアクセス権限と同一ならば,前記サーバーコンピュータの保護カーネルが,そのファイルへのアクセスを許可するステップ;
    i−4)前記サーバーコンピュータの保護カーネルが,前記アクセスされるファイルシステムのアクセス権限と,アクセスしようとするユーザーのアクセス権限とが同じか否かを判定するステップ;及び
    i−5)前記アクセスされるファイルのアクセス権限がアクセスしようとするユーザーのアクセス権限と同一の場合に,前記サーバーコンピュータの保護カーネルが,そのファイルへのアクセスを許可するステップ。
  12. アクセス権限を有したユーザーに対してファイルシステムへのアクセスを許可するサーバーコンピュータを備えるコンピュータシステムにおいて,以下の手段を含むことを特徴とする,ファイルシステムの保護装置:
    一対の秘密キー及び公開キーにより構成され,システム保護管理者の電子署名の生成に用いられる前記システム保護管理者の電子署名キー及び前記システム保護管理者のアクセス権限及び前記システム保護管理者の公開キーに前記システム保護管理者の秘密キーで電子署名を行うことにより生成される前記システム保護管理者の認証書を生成する手段;
    前記サーバーコンピュータにオペレーティングシステムが設置される時,システム保護管理者の認証書を前記サーバーコンピュータのオペレーティングシステムのカーネルレベルにある保護カーネルに格納する手段;
    一対の秘密キー及び公開キーにより構成され,ユーザーの電子署名の生成に用いられる前記ユーザーの電子署名キー及び前記ユーザーのアクセス権限及び前記ユーザーの公開キーに前記システム保護管理者の秘密キーで電子署名を行うことにより生成される前記ユーザーの認証書を生成する手段;
    ファイルシステムのアクセス権限を設定する手段;
    前記ファイルシステムに対するユーザーからのアクセスがある時,前記システム保護管理者の電子署名キー及び認証書と前記ユーザーの電子署名キー及び認証書とを用いて前記ユーザーが前記システム保護管理者であるか否かの判定を行う手段;及び
    前記判定結果に応じて前記ユーザーに前記ファイルシステムへのアクセス権限を付与する手段。
  13. さらに,ユーザーがシステム保護管理者として判定される場合,ユーザー登録及び削除処理を行う手段を含むことを特徴とする,請求項12に記載のファイルシステムの保護装置。
  14. さらに,ユーザーがシステム保護管理者として判定される場合,前記ファイルシステムへのアクセス権限を設定する手段を含むことを特徴とする,請求項12に記載のファイルシステムの保護装置。
  15. さらに,ファイルシステムへのアクセス処理手段を含むことを特徴とする,請求項12に記載のファイルシステムの保護装置。
  16. 前記システム保護管理者の電子署名キー及びシステム保護管理者の認証書を生成する手段が,以下の手段を含むことを特徴とする,請求項12に記載のファイルシステムの保護装置:
    前記システム保護管理者の公開キーを生成する手段;
    前記システム保護管理者の秘密キーを生成する手段;及び
    前記システム保護管理者のアクセス権限及び前記システム保護管理者の公開キーに対し,前記システム保護管理者の秘密キーを用いて電子署名を行うことにより前記システム保護管理者の認証書を生成する手段。
  17. 前記ユーザーが前記システム保護管理者であるか否かの判定を行うための手段が,以下の手段を含むことを特徴とする,請求項12に記載のファイルシステムの保護装置:
    前記サーバーコンピュータで乱数を生成する手段;
    前記ユーザーのコンピュータによって前記ユーザーの秘密キーを用いて前記乱数に対する電子署名を生成させる手段;
    保護カーネルに格納されているシステム保護管理者の認証書から,システム保護管理者の公開キーを取り出す手段;
    前記取出したシステム保護管理者の公開キーを用いて,前記ユーザーの認証書を検証する手段;
    前記ユーザーの認証書から,ユーザーの公開キー及びアクセス権限を取り出す手段;及び
    前記ユーザーの公開キーと前記乱数を用いて前記ユーザーのコンピュータによって生成された電子署名を検証する手段。
  18. 前記ユーザーにアクセス権限を付与する前記手段が,以下の手段を含むことを特徴とする,請求項12に記載のファイルシステムの保護装置:
    ユーザーが一般のユーザーである場合,前記ユーザーにファイルシステムアクセス権限を付与する手段;及び
    前記ユーザーがシステム保護管理者である場合,前記ユーザーに,登録及び削除権限,ファイルシステムへのアクセス設定権限及びファイルシステムへのアクセス権限を付与する手段。
  19. ユーザーがステップg)で,前記ユーザー登録/削除処理を行う手段が,以下の手段を含むことを特徴とする,請求項13に記載のファイルシステムの保護装置:
    ユーザー登録または削除が選択されたか否かを判定する手段と;
    ユーザー削除が選択された場合,ユーザー関連データを削除する手段と;
    ユーザー登録が選択された場合,ユーザーを登録する手段;
    さらに,前記ユーザーを登録する手段が,以下の手段を含む:
    登録されるユーザーにアクセス権限を付与する手段;
    登録されるユーザーの秘密キー及び公開キーを生成する手段;
    登録されるユーザーの前記認証書を生成する手段;
    前記登録されるユーザーの秘密キーを暗号化して外部の記憶装置に格納する手段;及び
    前記登録されるユーザーの認証書を前記サーバーコンピュータに格納する手段。
  20. 前記ユーザーの認証書が,前記ユーザーのアクセス権限及び公開キーを前記システム保護管理者の秘密キーで暗号化することによって生成されることを特徴とする,請求項19に記載のファイルシステムの保護装置。
  21. 前記ファイルシステムへのアクセス権限を設定する手段が,以下の手段を含むことを特徴とする,請求項14に記載のファイルシステムの保護装置:
    前記ファイルシステムを選択する手段,
    前記ファイルシステムへのアクセスを許可されるユーザーを選択する手段,及び
    前記ファイルシステムへのアクセス権限をユーザーのアクセス権限に設定する手段。
  22. 前記ファイルシステムへのアクセス処理手段が,以下の手段を含むことを特徴とする,請求項15に記載のファイルシステムの保護装置:
    アクセスされるファイルの名称を受信する手段;
    前記アクセスされるファイルシステムへのアクセス権限が,システム保護管理者のアクセス権限と同じか否かを判定する手段;
    前記アクセスされるファイルシステムへのアクセス権限がシステム保護管理者のアクセス権限と同一の場合,そのファイルシステムへのアクセスを許可する手段;
    前記アクセスされるファイルシステムへのアクセス権限が,アクセスしようとするユーザーのアクセス権限と同じか否かを判定する手段;及び
    前記アクセスされるファイルシステムへのアクセス権限がアクセスしようとするユーザーのアクセス権限と同一の場合,そのファイルシステムへのアクセスを許可する手段。
  23. アクセス権限を有したユーザーに対してファイルシステムへのアクセスを許可するサーバーコンピュータを備えるコンピュータシステムにおいて,以下のステップを含むファイルシステムの保護方法を実行させるためのプログラムが記録されたことを特徴とする,コンピュータで読み取り可能な記録媒体:
    a)一対の秘密キー及び公開キーにより構成され,システム保護管理者の電子署名の生成に用いられる前記システム保護管理者の電子署名キー及び前記システム保護管理者のアクセス権限及び前記システム保護管理者の公開キーに前記システム保護管理者の秘密キー で電子署名を行うことにより生成される前記システム保護管理者の認証書を生成するステップ;
    b)前記サーバーコンピュータにオペレーティングシステムが設置される時,前記サーバーコンピュータのオペレーティングシステムのカーネルレベルにある保護カーネル内に前記システム保護管理者の認証書を格納するステップ;
    c)一対の秘密キー及び公開キーにより構成され,ユーザーの電子署名の生成に用いられる前記ユーザーの電子署名キー及び前記ユーザーのアクセス権限及び前記ユーザーの公開キーに前記システム保護管理者の秘密キーで電子署名を行うことにより生成される前記ユーザーの認証書を生成するステップ;
    d)前記ファイルシステムへのアクセス権限を設定するステップ;
    e)前記ファイルシステムに対するユーザーからのアクセスがある時,前記サーバーコンピュータの保護カーネルが,前記システム保護管理者の電子署名キー及び認証書と前記ユーザーの電子署名キー及び認証書とを用いて前記ユーザーが前記システム保護管理者であるか否かを判定するステップ;及び
    f)前記判定処理の結果に応じて前記ユーザーに前記ファイルシステムへのアクセス権限を付与するステップ。
  24. さらに,g)ユーザーがシステム保護管理者として判定される場合,ユーザー登録/削除処理を実行するステップを含むことを特徴とする,請求項23に記載のコンピュータで読み取り可能な記録媒体。
  25. さらに,h)ユーザーがシステム保護管理者として判定される場合,前記ファイルシステムへのアクセス権限を設定するステップを含むことを特徴とする,請求項23に記載のコンピュータで読み取り可能な記録媒体。
  26. さらに,i)ファイルシステムへアクセス処理するステップを含むことを特徴とする,請求項23に記載のコンピュータで読み取り可能な記録媒体。
  27. 前記ステップa)が,以下のステップを含むことを特徴とする,請求項23に記載のコンピュータで読み取り可能な記録媒体:
    a−1)前記システム保護管理者の公開キーを生成するステップ;
    a−2)前記システム保護管理者の秘密キーを生成するステップ;及び
    a−3)前記システム保護管理者のアクセス権限及び前記システム保護管理者の公開キーに対し,前記システム保護管理者の秘密キーを用いて電子署名を行うことにより前記システム保護管理者の認証書を生成するステップ。
  28. 前記ステップe)が,以下のステップを含むことを特徴とする,請求項23に記載のコンピュータで読み取り可能な記録媒体:
    e−1)前記サーバーコンピュータで乱数を生成するステップ;
    e−2)前記ユーザーのコンピュータが,前記ユーザーの秘密キーを用いて前記乱数に対する電子署名を生成するステップ;
    e−3)保護カーネルに格納されているシステム保護管理者の認証書から,システム保護管理者の公開キーを取り出すステップ;
    e−4)前記取出したシステム保護管理者の公開キーを用いて,ユーザーの認証書を検証するステップ;
    e−5)前記ユーザーの認証書から,ユーザーの公開キー及びアクセス権限を取り出すステップ;及び
    e−6)前記サーバーコンピュータの保護カーネルが,前記ユーザーの公開キーと前記乱数を用いて前記ステップe−2)で生成された電子署名を検証するステップ。
  29. 前記ステップf)が,以下のステップを含むことを特徴とする,請求項23に記載のコンピュータで読み取り可能な記録媒体:
    f−1)ユーザーが一般のユーザーである場合,前記ユーザーにファイルシステムへのアクセス権限を付与するステップ;及び
    f−2)ユーザーがシステム保護管理者である場合,前記ユーザーに,登録/削除権限,ファイルシステムへのアクセス設定権限,及びファイルシステムへのアクセス権限を付与するステップ。
  30. 前記ステップg)が,以下のステップを含むことを特徴とする,請求項24に記載のコンピュータで読み取り可能な記録媒体:
    g−1)ユーザー登録または削除が選択されたか否かを判定するステップ;
    g−2)ユーザー削除が選択された場合,ユーザー関連データを削除するステップ;
    g−3)ユーザー登録が選択された場合,ユーザーを登録するステップ;
    さらに,前記g−3)ステップが,以下のステップを含む:
    g−3−1)登録されるユーザーにアクセス権限を付与するステップ;
    g−3−2)登録されるユーザーの秘密キー及び公開キーを生成するステップ;
    g−3−3)登録されるユーザーの前記認証書を生成するステップ;
    g−3−4)前記登録されるユーザーの秘密キーを暗号化して外部の記憶装置に格納するステップ;及び
    g−3−5)前記登録されるユーザーの認証書を前記サーバーコンピュータに格納するステップ。
  31. 前記ユーザーのアクセス権限及びユーザーの公開キーを前記システム保護管理者の秘密キーで暗号化することにより前記ユーザーの認証書を生成することを特徴とする,請求項30に記載のコンピュータで読み取り可能な記録媒体。
  32. 前記ステップh)が,以下のステップを含むことを特徴とする,請求項25に記載のコンピュータで読み取り可能な記録媒体:
    h−1)前記ファイルシステムを選択するステップ;
    h−2)前記ファイルシステムへのアクセスが認可されるユーザーを選択するステップ;
    h−3)前記システムへのアクセス権限をユーザーのアクセス権限に設定するステップ。
  33. 前記ファイルシステムへのアクセス処理するステップi)が,以下のステップを含むことを特徴とする,請求項26に記載のコンピュータで読み取り可能な記録媒体:
    i−1)アクセスされるファイルシステムの名称を受けるステップ;
    i−2)前記アクセスされるファイルシステムのアクセス権限が,システム保護管理者のアクセス権限と同じか否かを判定するステップ;
    i−3)前記アクセスされるファイルシステムへのアクセス権限がシステム保護管理者のアクセス権限と同一の場合,そのファイルシステムへのアクセスを許可するステップ;
    i−4)前記アクセスされるファイルシステムへのアクセス権限が,それにアクセスしようとするユーザーのアクセス権限と同じか否かを判定するステップ;及び
    i−5)前記アクセスされるファイルシステムへのアクセス権限がそれにアクセスしようとするユーザーのアクセス権限と同一な場合,そのファイルシステムへのアクセスを許可するステップ。
JP2001576611A 2000-04-14 2000-08-09 電子署名認証に基づいたファイルシステムの保護方法及び装置 Expired - Lifetime JP4077200B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
KR1020000019727A KR20010096814A (ko) 2000-04-14 2000-04-14 전자서명 인증기반 파일시스템 해킹방지용 보안커널 방법
KR2000/19727 2000-04-14
PCT/KR2000/000875 WO2001080482A1 (en) 2000-04-14 2000-08-09 Method and apparatus for protecting file system based on digital signature certificate

Publications (2)

Publication Number Publication Date
JP2003532956A JP2003532956A (ja) 2003-11-05
JP4077200B2 true JP4077200B2 (ja) 2008-04-16

Family

ID=19664409

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2001576611A Expired - Lifetime JP4077200B2 (ja) 2000-04-14 2000-08-09 電子署名認証に基づいたファイルシステムの保護方法及び装置

Country Status (6)

Country Link
US (1) US7328341B1 (ja)
JP (1) JP4077200B2 (ja)
KR (2) KR20010096814A (ja)
CN (1) CN1231014C (ja)
AU (1) AU754810B2 (ja)
WO (1) WO2001080482A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20170022797A (ko) * 2015-08-21 2017-03-02 주식회사 케이티 커널영역에서의 접근통제 효율화 방법,그 프로그램 및 시스템

Families Citing this family (43)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6671757B1 (en) 2000-01-26 2003-12-30 Fusionone, Inc. Data transfer and synchronization system
US8620286B2 (en) 2004-02-27 2013-12-31 Synchronoss Technologies, Inc. Method and system for promoting and transferring licensed content and applications
US8156074B1 (en) 2000-01-26 2012-04-10 Synchronoss Technologies, Inc. Data transfer and synchronization system
KR20010113119A (ko) * 2000-06-16 2001-12-28 박화자 액세스 권한을 얻기 위한 인증방법
US8615566B1 (en) 2001-03-23 2013-12-24 Synchronoss Technologies, Inc. Apparatus and method for operational support of remote network systems
KR100456512B1 (ko) * 2002-05-06 2004-11-10 한국전자통신연구원 커널 백도어 탐지 시스템, 이를 이용한 커널 백도어 탐지방법 및 커널 데이터 복구 방법
KR20040003221A (ko) * 2002-07-02 2004-01-13 김상욱 유닉스 커널 모드에서의 커널 백도어 탐지 및 대응 장치및 그방법
US7428751B2 (en) * 2002-12-05 2008-09-23 Microsoft Corporation Secure recovery in a serverless distributed file system
US7577999B2 (en) * 2003-02-11 2009-08-18 Microsoft Corporation Publishing digital content within a defined universe such as an organization in accordance with a digital rights management (DRM) system
US7827156B2 (en) * 2003-02-26 2010-11-02 Microsoft Corporation Issuing a digital rights management (DRM) license for content based on cross-forest directory information
US7917751B2 (en) * 2003-05-22 2011-03-29 International Business Machines Corporation Distributed filesystem network security extension
US7694330B2 (en) * 2003-05-23 2010-04-06 Industrial Technology Research Institute Personal authentication device and system and method thereof
WO2005010715A2 (en) 2003-07-21 2005-02-03 Fusionone, Inc. Device message management system
US7434232B2 (en) * 2003-11-07 2008-10-07 Hewlett-Packard Development Company, L.P. System and method for writing to a drive when an application lacks administrator privileges
US9542076B1 (en) 2004-05-12 2017-01-10 Synchronoss Technologies, Inc. System for and method of updating a personal profile
JP2008500750A (ja) * 2004-05-12 2008-01-10 フュージョンワン インコーポレイテッド 高度な連絡先識別システム
US8984636B2 (en) 2005-07-29 2015-03-17 Bit9, Inc. Content extractor and analysis system
JP4630800B2 (ja) * 2005-11-04 2011-02-09 キヤノン株式会社 印刷管理システムおよび印刷管理方法とプログラム
KR100823631B1 (ko) * 2006-01-03 2008-04-21 노키아 코포레이션 키 저장 관리
US20070239861A1 (en) * 2006-04-05 2007-10-11 Dell Products L.P. System and method for automated operating system installation
JP4419102B2 (ja) * 2007-09-03 2010-02-24 富士ゼロックス株式会社 情報管理装置、情報管理システム及び情報管理プログラム
JP5479672B2 (ja) * 2007-09-27 2014-04-23 シスメックス株式会社 血液または尿の分析装置およびデータ処理装置
KR100930018B1 (ko) * 2007-12-07 2009-12-07 주식회사 마크애니 디지털 정보 보안 시스템, 커널 드라이버 장치 및 디지털정보 보안 방법
US8181111B1 (en) 2007-12-31 2012-05-15 Synchronoss Technologies, Inc. System and method for providing social context to digital activity
EP2249511A1 (en) * 2008-02-25 2010-11-10 Panasonic Corporation Information security device and information security system
US8539229B2 (en) * 2008-04-28 2013-09-17 Novell, Inc. Techniques for secure data management in a distributed environment
CN101588352B (zh) * 2008-05-22 2012-08-08 飞天诚信科技股份有限公司 一种确保操作环境安全的方法及系统
MX2009009050A (es) * 2009-08-24 2009-12-07 Pedro Pablo Garcia Perez Método para realizar una firma electrobiométrica complementada para identificación e interacción jurídica de personas.
US8255006B1 (en) 2009-11-10 2012-08-28 Fusionone, Inc. Event dependent notification system and method
CN101741848B (zh) * 2009-12-22 2012-10-24 北京九恒星科技股份有限公司 系统用户的数字证书绑定方法、系统及数字证书认证中心
CN101853358A (zh) * 2010-05-11 2010-10-06 南京赛孚科技有限公司 一种文件对象权限管理的实现方法
US8943428B2 (en) 2010-11-01 2015-01-27 Synchronoss Technologies, Inc. System for and method of field mapping
KR20120050742A (ko) * 2010-11-11 2012-05-21 삼성에스디에스 주식회사 커널 네이티브 에이피아이의 후킹 처리를 통한 디지털 저작권 관리 장치 및 방법
US8627104B2 (en) 2011-04-28 2014-01-07 Absio Corporation Secure data storage
CN102148687B (zh) * 2011-05-09 2014-02-05 北京数码大方科技股份有限公司 信息管理系统中的签名方法及装置
CN102271332B (zh) * 2011-07-18 2017-09-12 中兴通讯股份有限公司 终端信息保密方法及装置
CN102254124B (zh) * 2011-07-21 2017-10-13 慧盾信息安全科技(苏州)股份有限公司 一种移动终端信息安全防护系统和方法
KR101895453B1 (ko) 2011-11-09 2018-10-25 삼성전자주식회사 이기종 컴퓨팅 환경에서 보안 강화 방법 및 장치
KR101642223B1 (ko) * 2015-05-12 2016-07-22 주식회사 수산아이앤티 사설 인증서의 설치를 유도하는 방법
KR101679665B1 (ko) 2015-11-03 2016-11-25 이호 전력선 통신을 이용한 전자 장치의 보안 방법, 이를 수행하기 위한 기록 매체 및 장치
CN105653958B (zh) * 2015-11-30 2018-09-18 中国航天科工集团第二研究院七〇六所 基于数据权限控制的安全态势可视化方法
CN105933315B (zh) * 2016-04-21 2019-08-30 浪潮集团有限公司 一种网络服务安全通信方法、装置和系统
US10049218B2 (en) 2016-12-07 2018-08-14 Google Llc Rollback resistant security

Family Cites Families (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5005200A (en) 1988-02-12 1991-04-02 Fischer Addison M Public key/signature cryptosystem with enhanced digital signature certification
US5214702A (en) * 1988-02-12 1993-05-25 Fischer Addison M Public key/signature cryptosystem with enhanced digital signature certification
US5144659A (en) * 1989-04-19 1992-09-01 Richard P. Jones Computer file protection system
US5029206A (en) * 1989-12-27 1991-07-02 Motorola, Inc. Uniform interface for cryptographic services
US5315657A (en) * 1990-09-28 1994-05-24 Digital Equipment Corporation Compound principals in access control lists
JP2949865B2 (ja) 1991-01-31 1999-09-20 富士通株式会社 電子ファイルキャビネットシステム
US5432939A (en) 1992-05-27 1995-07-11 International Business Machines Corp. Trusted personal computer system with management control over initial program loading
US5987123A (en) * 1996-07-03 1999-11-16 Sun Microsystems, Incorporated Secure file system
US5845068A (en) 1996-12-18 1998-12-01 Sun Microsystems, Inc. Multilevel security port methods, apparatuses, and computer program products
US6212635B1 (en) * 1997-07-18 2001-04-03 David C. Reardon Network security system allowing access and modification to a security subsystem after initial installation when a master token is in place
US6249866B1 (en) * 1997-09-16 2001-06-19 Microsoft Corporation Encrypting file system and method
KR19990030983A (ko) 1997-10-08 1999-05-06 전주범 티브이시스템의 화상정보메모방법
JPH11346210A (ja) * 1998-06-02 1999-12-14 Nippon Telegr & Teleph Corp <Ntt> 暗号化方法及び装置、復号化方法及び装置、暗号化プログラムを記録した記録媒体、復号化プログラムを記録した記録媒体、電子署名方法、並びに電子署名検証方法
US6484258B1 (en) 1998-08-12 2002-11-19 Kyber Pass Corporation Access control using attributes contained within public key certificates
US6615349B1 (en) * 1999-02-23 2003-09-02 Parsec Sight/Sound, Inc. System and method for manipulating a computer file and/or program
KR100329838B1 (ko) * 1999-04-24 2002-03-25 김현수 생활용수 재활용 장치
SE514105C2 (sv) * 1999-05-07 2001-01-08 Ericsson Telefon Ab L M Säker distribution och skydd av krypteringsnyckelinformation
US6950932B1 (en) * 1999-05-07 2005-09-27 Nortel Networks Limited Security association mediator for java-enabled devices
US6754829B1 (en) * 1999-12-14 2004-06-22 Intel Corporation Certificate-based authentication system for heterogeneous environments

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR20170022797A (ko) * 2015-08-21 2017-03-02 주식회사 케이티 커널영역에서의 접근통제 효율화 방법,그 프로그램 및 시스템
KR102398014B1 (ko) * 2015-08-21 2022-05-16 주식회사 케이티 커널영역에서의 접근통제 효율화 방법,그 프로그램 및 시스템

Also Published As

Publication number Publication date
KR20020060075A (ko) 2002-07-16
AU6478500A (en) 2001-10-30
KR100437225B1 (ko) 2004-06-23
CN1231014C (zh) 2005-12-07
CN1354936A (zh) 2002-06-19
US7328341B1 (en) 2008-02-05
AU754810B2 (en) 2002-11-28
JP2003532956A (ja) 2003-11-05
WO2001080482A1 (en) 2001-10-25
KR20010096814A (ko) 2001-11-08

Similar Documents

Publication Publication Date Title
JP4077200B2 (ja) 電子署名認証に基づいたファイルシステムの保護方法及び装置
US9141822B2 (en) Computer system for storing and retrieval of encrypted data items, client computer, computer program product and computer-implemented method
JP5098487B2 (ja) 認証情報処理装置及びプログラム
JP2686218B2 (ja) コンピュータシステム上の別名の検出方法、分散型コンピュータシステム及びその作動方法、及び別名の検出を実行する分散型コンピュータシステム
US7526654B2 (en) Method and system for detecting a secure state of a computer system
US8533469B2 (en) Method and apparatus for sharing documents
EP3525127B1 (en) System for blocking phishing or ransomware attack
CN101771689A (zh) 通过管理性引擎进行企业网单点登录的方法和系统
TW200949603A (en) System and method for providing a system management command
US8266440B2 (en) Information processing apparatus and authentication information migration method
KR20170019308A (ko) 신뢰된 권한 정보 제공 방법, 신뢰된 권한 정보를 포함하는 사용자 크리덴셜 발급 방법 및 사용자 크리덴셜 획득 방법
JP2007280393A (ja) コンピューターログインをコントロールする装置およびその方法
KR100386852B1 (ko) 전자서명 인증 기반 다단계 보안용 보안커널 시스템
JP4152099B2 (ja) アクセス制御履歴保証方法
KR100545676B1 (ko) 사용자 단말기의 상태 정보를 이용한 인증 방법 및 시스템
KR20190114505A (ko) 토큰 관리 데몬을 이용한 싱글 사인 온 서비스 인증 방법 및 시스템
JP2001067270A (ja) コンテンツ共有管理システムおよびコンテンツ保護方法およびこの方法を記録した記録媒体
JP2004140715A (ja) 電子文書管理方法及びシステム
JP6464544B1 (ja) 情報処理装置、情報処理方法、情報処理プログラム、及び情報処理システム
KR100386853B1 (ko) 전자서명 인증을 이용한 역할기반 보안커널 시스템
KR102048534B1 (ko) 인증 방법 및 시스템
WO2023090157A1 (ja) データ処理装置、データ処理方法、及びコンピュータ読み取り可能な記録媒体
JP2006154987A (ja) 記憶媒体のアクセス制御方式
JP2004334521A (ja) アクセス制御システム
KR101569124B1 (ko) 인증 시스템 및 방법

Legal Events

Date Code Title Description
A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20060201

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20060207

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20060508

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20060515

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20060807

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20070220

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20070620

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20070620

A911 Transfer to examiner for re-examination before appeal (zenchi)

Free format text: JAPANESE INTERMEDIATE CODE: A911

Effective date: 20070724

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20070828

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20071127

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20080108

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20080131

R150 Certificate of patent or registration of utility model

Ref document number: 4077200

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110208

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140208

Year of fee payment: 6

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

EXPY Cancellation because of completion of term