JP4342584B2 - ファイルアクセス制御装置及びプログラム - Google Patents

ファイルアクセス制御装置及びプログラム Download PDF

Info

Publication number
JP4342584B2
JP4342584B2 JP2007280800A JP2007280800A JP4342584B2 JP 4342584 B2 JP4342584 B2 JP 4342584B2 JP 2007280800 A JP2007280800 A JP 2007280800A JP 2007280800 A JP2007280800 A JP 2007280800A JP 4342584 B2 JP4342584 B2 JP 4342584B2
Authority
JP
Japan
Prior art keywords
information
policy
evaluation
document
control
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2007280800A
Other languages
English (en)
Other versions
JP2009110198A (ja
Inventor
光司 岡田
竜朗 池田
正隆 山田
実 西澤
孝則 中溝
利夫 岡本
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Toshiba Corp
Toshiba Digital Solutions Corp
Original Assignee
Toshiba Corp
Toshiba Solutions Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Toshiba Corp, Toshiba Solutions Corp filed Critical Toshiba Corp
Priority to JP2007280800A priority Critical patent/JP4342584B2/ja
Priority to CN200880001518.XA priority patent/CN101578610B/zh
Priority to PCT/JP2008/069671 priority patent/WO2009057652A1/ja
Publication of JP2009110198A publication Critical patent/JP2009110198A/ja
Priority to US12/552,927 priority patent/US8863305B2/en
Application granted granted Critical
Publication of JP4342584B2 publication Critical patent/JP4342584B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6209Protecting access to data via a platform, e.g. using keys or access control rules to a single file or object, e.g. in a secure envelope, encrypted and accessed using a key, or with access control rules appended to the object itself
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/31User authentication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L2463/00Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00
    • H04L2463/101Additional details relating to network architectures or network communication protocols for network security covered by H04L63/00 applying security measures for digital rights management

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • General Health & Medical Sciences (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Storage Device Security (AREA)
  • Document Processing Apparatus (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Description

本発明は、文書ファイルを適切に保護するようにアクセス制御を実行するファイルアクセス制御装置及びプログラムに係り、例えば、文書ファイルに対する操作に基づいて、能動的な制御を実施でき、また、文書へのアクセス制御を変更し得るファイルアクセス制御装置及びプログラムに関する。
近年、特定の情報や処理に対するアクションを、権限情報に基づいて制御するアクセス制御技術の重要性が大きく高まってきている。このような技術としては、例えば、個人情報や承認処理に対するアクション要求を受けると、アクション要求者(アクセス主体、又はサブジェクト)が所有する権限情報と、権限情報とアクションの可否パターンを示したアクセス制御ルール又はアクセス制御ポリシに基づいて、当該アクションの実行可否を決定する方式がある。
アクセス制御ポリシとは、一般的に、アクセス制御ルールの集合として考えられる。アクセス制御ポリシは、標準的な記述仕様(例えば、非特許文献1を参照。)が公開されたこともあり、広く利用されてきている。なお、非特許文献1に記載の記述仕様では、付随的な要素として、責務(Obligation)を規定する要素が記述されている。この責務要素は、一般的に「〜しなければならない」という責務行為内容を記述することを想定している。しかしながら、非特許文献1には、責務要素の詳細な内容記述が規定されていない。また、非特許文献1には、責務を含めた場合のアクセス制御ポリシの取扱い、及び評価結果に対する処理方法が規定されていない。
一方、文書ファイルに対するアクセス制御方法には、権限情報をセキュリティ属性として付与する方式がある。この方式では、例えば、ファイルに対する権限情報を「閲覧許可」や「編集許可」といったアクション可否形式で記述し、権限情報をユーザに割り当てる。この種の権限情報は、アクセス制御マトリックス(Access Control Matrix)やアクセス制御リスト(Access Control List)として知られている。例えば特許文献1では、「セキュリティコンテナ」として文書ファイルに権限(ルール)を付与する方法が示されている。
しかしながら、アクション可否形式では、許可されるアクセス時間やアクセス場所といった条件や、より詳細な制限などの如き、詳細で柔軟なアクセス制御内容を記述することが困難となっている。近年、アクセス制御ポリシ又はライセンスの如きを必要とする分野、特に一般的な文書アプリケーションなどでは、より詳細なアクセス制御内容を記述可能なアクセス制御ポリシ形式のアクセス制御方式が必要とされるようになってきている。
Tim Moses, " eXtensible Access Control Markup Language(XACML) Version 2.0 ", [online], [2007年10月01日検索]、インターネット<URL:http://docs.oasis-open.org/xacml/2.0/XACML-2.0-OS-NORMATIVE.zip> 特開2005−56418号公報
上記説明の背景技術により、より詳細なアクセス制御内容を記述できるようになってきているが、それは主に特定のアクセスに対して許可か否かを判断するに留まっている。しかしながら、本発明者の検討によれば、文書等に対する制御という観点からみれば、特定のアクセスに対して許可か否かを判断するだけではなく、より能動的な制御を行う必要があると考える。例えば、文書ファイルに有効期限が設定され、有効期限が切れた場合、単純にアクセスを禁止するだけではなく、当該文書ファイルを能動的に削除したいという要求が存在すると考察される。これは、単純に有効期限が切れた文書ファイルへのアクセスを禁止するだけでは、文書ファイルそのものは存在し続けるため、潜在的なリスクが残り続けることになるからである。
また、文書ファイルを操作する状況において、操作した時点で当該文書のステータスが遷移するため、権限を変更したい場合がある。具体的には、適切な承認を介して発行された正規文書を編集操作したとき、「正規文書」を示すステータスが「非正規文書」を示すステータスに遷移するため、取り扱いの権限を「印刷許可」から「印刷禁止」に変更したい場合がある。
しかしながら、従来のアクセス制御方式では、ステータスの遷移前後にかかわらず、文書アプリケーションを起動した時の権限を継続的に適用している。このため、編集後の非正規文書が「印刷許可」の取り扱い権限により印刷され、誤って配布される心配がある。
このように、従来のアクセス制御方式では、文書への操作に応じて、能動的な制御を実施したり、文書へのアクセス制御を変更できないという不都合がある。
本発明は上記実情を考慮してなされたもので、文書への操作に応じて、能動的な制御を実施でき、また、文書へのアクセス制御を変更し得るファイルアクセス制御装置及びプログラムを提供することを目的とする。
第1の発明は、文書内容と禁止型ポリシ及び責務型ポリシとを含む文書ファイルを記憶可能な記憶装置、ポリシ評価制御モジュール、文書アプリケーション部及び外部サービス部を備え、前記文書ファイルへのアクセスを制御するためのファイルアクセス制御装置であって、前記ポリシ評価制御モジュールとしては、前記文書アプリケーション部及び外部サービス部からそれぞれ実行可否情報を取得して保持する可否情報取得手段と、ユーザの操作内容に対応したイベント情報及び前記記憶装置内の文書ファイルが前記文書アプリケーション部から入力されると、予め決められた評価情報リストに基づいて、前記ユーザの認証結果及びユーザ属性情報を取得する認証結果取得手段と、前記評価情報リストに基づいて、前記可否情報取得手段から実行可否情報を取得すると、この実行可否情報、前記認証結果及び前記ユーザ属性情報からなる評価情報、前記イベント情報、前記禁止型ポリシ及び前記責務型ポリシを送出する手段と、前記送出された評価情報内の認証結果及びユーザ属性情報並びにイベント情報と、前記禁止型ポリシに予め記述された認証結果、ユーザ属性情報及びイベント情報とをそれぞれ比較し、比較結果がそれぞれ一致していれば、前記禁止型ポリシに予め記述された許可又は禁止を示す評価結果を送出する禁止型ポリシ評価手段と、前記評価情報内の実行可否情報、前記イベント情報及び前記評価結果と、前記責務型ポリシに予め記述された実行可否情報、前記イベント情報及び前記評価結果とをそれぞれ比較し、比較結果がそれぞれ一致していれば、前記責務型ポリシに予め記述された責務実行主体及び責務実行行為を含む制御情報を送出する責務型ポリシ評価手段と、前記制御情報を受けると、前記制御情報内の責務実行主体に基づいて、当該制御情報を前記責務実行主体に指定された主体に送出する制御管理手段と、前記指定された主体が文書アプリケーション制御手段の場合、前記制御管理手段から送出された制御情報内の責務実行行為に基づいて、前記文書アプリケーション部を制御する前記文書アプリケーション制御手段とを備えたファイルアクセス制御装置である。
(作用)
第1の発明は、予め操作に応じた制御情報を責務型ポリシとして文書ファイルに付与する。次に、文書ファイルに対する操作に応じて、ポリシ評価制御モジュールが文書ファイル内の責務型ポリシを評価及び実行する。責務型ポリシの実行には、責務実行行為に基づく文書アプリケーション部の制御が含まれる。従って、文書に対する操作に応じて、能動的な制御を実施でき、また、文書へのアクセス制御を変更することができる。
以上説明したように本発明によれば、文書への操作に応じて、能動的な制御を実施でき、また、文書へのアクセス制御を変更できる。
以下、本発明の各実施形態について図面を用いて説明する。なお、以下の各装置は、装置毎に、ハードウェア構成、又はハードウェア資源とソフトウェアとの組合せ構成のいずれでも実施可能となっている。組合せ構成のソフトウェアとしては、予めネットワーク又は記憶媒体から対応する装置のコンピュータにインストールされ、対応する装置の機能を実現させるためのプログラムが用いられる。
(第1の実施形態)
図1は本発明の第1の実施形態に係るファイルアクセス制御装置が適用されたファイルアクセス制御システムの構成例を示す模式図である。このファイルアクセス制御システムは、認証サーバ装置10、鍵管理サーバ装置20、ポリシ設定装置30及びファイルアクセス制御装置40が互いにネットワークを介して接続されている。なお、認証サーバ装置10及び鍵管理サーバ装置20は、必須ではなく、例えばファイルアクセス制御装置40内でユーザ認証及び鍵管理を実行する場合などには省略可能となっている。この場合、ファイルアクセス制御装置40は、後述する認証用記憶装置11、ユーザ認証部13、鍵管理用記憶装置21及び鍵管理部23を付加した構成とすればよく、さらに各記憶装置11,21を、後述する記憶装置41に含めた構成としてもよい。
ここで、認証サーバ装置10は、図2に示すように、認証用記憶装置11、セキュア通信部12及びユーザ認証部13を備えている。
認証用記憶装置11は、ユーザ認証部13から読出/書込可能であり、予めユーザ認証を行うための認証情報とユーザ属性情報とを互いに関連付けて保存している。認証情報は、例えばパスワードや認証鍵といったユーザ認証に用いる情報である。ユーザ属性情報とは、ユーザの個人名や、ユーザの属するグループ(ロール)の情報である。グループ(ロール)とは、例えば会社における役職、部門や、任意に設定されたユーザグループである。
セキュア通信部12は、ユーザ認証部13と、ポリシ設定装置30又はファイルアクセス制御装置40との間に安全な通信路を確保して両者を通信可能とする機能とをもっている。なお、セキュア通信部12はユーザ認証部13に含めてもよい。安全な通信路の確保は、例えば、SSL(secure socket layer)やIPsec(IP security protocol)等の暗号通信プロトコル等により実現可能であり、これは他のセキュア通信部22,32,43でも同様である。
ユーザ認証部13は、ポリシ設定装置30からセキュア通信部12を介して認証情報及びユーザ属性情報を受けると、当該認証情報とユーザ属性情報とを互いに関連付けて認証用記憶装置11に書き込む機能と、ファイルアクセス制御装置40からセキュア通信部12を介してユーザ認証要求を受けると、セキュア通信部12を介してファイルアクセス制御装置40のユーザとの間でユーザ認証を行い、その認証結果やユーザ属性情報をセキュア通信部12からポリシ評価制御モジュール44に送信する機能を備えている。なお、認証情報およびユーザ属性情報は、ポリシ設定装置30から受け取る以外にも、例えば、認証サーバ装置が備える図示しない入力装置を介してサーバ管理者により入力されても良いし、その他手段により入力されても良い。
鍵管理サーバ装置20は、図3に示すように、鍵管理用記憶装置21、セキュア通信部22及び鍵管理部23を備えている。
鍵管理用記憶装置21は、鍵管理部23から読出/書込可能であり、文書特定情報と鍵情報とを互いに関連付けて保存している。文書特定情報は、例えばファイル名のように、文書ファイルを特定可能な情報である。鍵情報は、例えば共通鍵暗号方式の鍵情報であり、文書ファイルの暗号化に用いた鍵情報である。
セキュア通信部22は、鍵管理部23と、ポリシ設定装置30又はファイルアクセス制御装置40との間に安全な通信路を確保して両者を通信可能とする機能とをもっている。なお、セキュア通信部22は鍵管理部23に含めてもよい。
鍵管理部23は、ポリシ設定装置30からセキュア通信部12を介して文書特定情報及び鍵情報を受けると、当該文書特定情報と鍵情報とを互いに関連付けて鍵管理用記憶装置21に書き込む機能と、ファイルアクセス制御装置40からセキュア通信部22を介して鍵送信要求を受けると、鍵送信要求内の文書特定情報に基づいて、鍵管理用記憶装置21から読み出した鍵情報をセキュア通信部22からファイルアクセス制御装置40に送信する機能をもっている。
ポリシ設定装置30は、図4に示すように、ポリシ設定用記憶装置31、セキュア通信部32、通信部33及びポリシ設定部34を備えている。
ポリシ設定用記憶装置31は、ポリシ設定部34から読出/書込可能であり、文書ファイル、共通鍵及び署名鍵を保存している。この署名鍵は、ポリシ設定装置30の署名鍵(ポリシ設定装置30の秘密鍵)でもよく、ユーザ端末の署名鍵(ユーザ端末の秘密鍵)でもよい。
セキュア通信部32は、ポリシ設定部34と、認証サーバ装置10又は鍵管理サーバ装置20との間に安全な通信路を確保して両者を通信可能とする機能とをもっている。なお、セキュア通信部32はポリシ設定部34に含めてもよい。
通信部33は、ポリシ設定部34と、ファイルアクセス制御装置40との間で通信を実行する機能をもっている。
ポリシ設定部34は、文書ポリシ設定者の操作により、セキュア通信部32を介して認証情報及びユーザ属性情報を認証サーバ装置10に送信する機能と、文書ポリシ設定者の操作により、セキュア通信部32を介して文書特定情報及び鍵管理情報を鍵管理サーバ装置20に送信する機能と、文書ポリシ設定者の操作により、ポリシ設定用記憶装置31内の文書ファイルのアクセス制御ポリシを文書ポリシ設定者により入力された値又は予め決められた値に設定する機能と、文書ポリシ設定者の操作により、ポリシ設定用記憶装置31内の文書ファイルを通信部33からファイルアクセス制御装置40に送信する機能とをもっている。
また、ポリシ設定部34は、文書内容を暗号化する機能、又は文書内容及びアクセス制御ポリシを分離できない形式で暗号化する機能を備えていても良い。分離できない形式で暗号化するとは、例えば文書内容とアクセス制御ポリシを併せて暗号化することである。ポリシ設定部34は、(暗号化された)文書内容及びアクセス制御ポリシの改竄を防ぐために、ポリシ設定用記憶装置31に記憶されているポリシ設定装置30の署名鍵(ポリシ設定装置30の秘密鍵)によりデジタル署名を生成する機能を備えていても良い。
ここで、文書ファイルの具体例を図5に示す。文書ファイルd10は文書内容d11、アクセス制御ポリシd12、セキュリティ情報d15を含んでいる。
文書内容d11は、文書特定情報としてのファイル名、所謂文書内容であるテキスト、書式、マクロなどの情報が含まれる。また、文書の情報だけではなく、図面やプログラムなどの情報が含まれていても良く、文書アプリケーション特有の制御情報を含んでいても良い。また、文書内容d11は文書属性を含んでもよい。文書属性としては、例えば、作成者(個人名/作成部門)、所有者(文書管理責任部門)、作成日時(最終編集日時)、機密区分(極秘、秘、社外秘、公開)、ステータス情報(正規、ドラフト)、開示情報(開示、非開示)、有効期限、取り扱い関係者、などが適宜使用可能となっている。この文書属性は、後述する責務型ポリシd14の制御情報に基づき、更新される場合がある。
アクセス制御ポリシd12には、文書ポリシ設定者が設定する文書へのアクセス制御条件が記述される。具体的には、アクセス制御ポリシd12は、禁止型ポリシd13と、責務型ポリシd14との2種類のポリシが記述される。
禁止型ポリシd13とは、『「アクセス主体(Suject)」は、「操作(action)」を許可(禁止)』という形式のルール集合である。ここで「アクセス主体」とは、操作を行う主体であり、例えばユーザやロールなどである。ここで「操作」とは、文書の新規作成、閲覧(文書を開く)、編集、印刷、複写、当該文書内容の全体または一部の複製などの操作である。よって禁止型ポリシd13は、例えば、『ユーザAは、閲覧を許可』や、『作成部門以外は、編集を禁止』などのルールが記述される。
一方、責務型ポリシd14とは、『「条件」が成り立つ場合は、「制御」を実施』という形式のルール集合である。ここで「条件」とは、ユーザの認証可否や文書属性の有無、環境情報(例えば、時間情報)の状態などであり、さらに複数の条件がAND(論理積)やOR(論理和)で結合された条件集合でも良い。「制御」とは、文書アプリケーション、外部サービスの制御やアクセス制御ポリシの変更などの制御である。外部サービスの詳細については後述する。
ここで、責務型ポリシd14について図6〜図8に示す例を参照しながら説明する。責務型ポリシd14においては、例えば、以下の要素を用いて責務内容(前記責務型ポリシにおける「制御」に当たる)を表現可能となっている。“subject”(主体)、“action”(行為)、“resource”(リソース)、“environment”(環境)、“complement”(補体)などである。
“subject”(主体)は責務の実行主体を示し、“action”(行為)は責務の実行内容を示す。“resource”(リソース)は責務の実行客体を示し、“environment”(環境)は責務を実行すべき環境を示す。“complement”(補体)は、責務の行為内容を補足する。
これら要素を、非特許文献1に記載のXACML V2.0を利用して記述したポリシ例を図6に示す。
図6中、責務(Obligation)要素の属性割当て(AttributeAssignment)要素として、責務内容を表現している。責務を構成する要素を属性割当て要素の属性ID(AttributeID)属性値として表現している。属性ID属性値“subject”を持つ属性割当て要素は、責務を実行すべき主体を示している。明示的に指定されている場合には、指定された責務主体が実行しなければならないことを示している。(暗黙的に)省略されている場合は、評価を要求した主体が責務主体にあたる。記述例では、サービス名称を文字列表現している。より特定した形式にする場合には、データ型(DataType)属性値を指定したい形式に対応した値にすればよい。これは、以降の責務要素の各属性割当て要素においても同様である。
属性ID属性値“action”を持つ属性割当て要素は、責務の実行すべき行為を示している。原則的に、この属性は、明示的に指定されることが望ましい。また、属性ID属性値“subject”を持つ属性割当て要素と同様に、行為名称を文字列表現しており、より特定した形式にする場合には、データ型属性値を指定したい形式に対応した値にすればよい。この例では、データ型属性値を“DeleteFile”としており、ファイルを削除することを指定している。削除対象となるファイルは、属性ID属性値“resource”を持つ属性割当て要素を指定していないため、リクエスト要求に含まれるリソース要素と同一のリソースと解釈する。URI(Uniform Resource Identifier)形式などで明示的に指定した場合は、指定されたリソース(ファイル)が削除対象となる。その場合は、属性ID属性値“resource”を持つ属性割当て要素として定義すればよい。
属性ID属性値“environment”を持つ属性割当て要素は、この記述例では省略しているが、責務の実行環境を指定する必要がある場合に記述してもよい。例えば、特定日(「2007年10月01日」)に責務を実行させたい場合は、図7に示すように記述する。
属性ID属性値“complement”を持つ属性割当て要素は、この記述例では省略している。属性ID属性値“action”を持つ属性割当て要素を補足する内容がある場合に記載される。例えば、属性ID属性値“action”を持つ属性割当て要素が、特定の機能を制限する行為を示す値を持つとき、制限する機能を示すために利用する。例えば、下記のような例では、属性ID属性値“action”を持つ属性割当て要素で、機能を制限することを示す“DisableFunctions”値を定義したとすると、制限する機能内容を属性ID属性値“complement”を持つ属性割当て要素で定義することができる。図8に示す例では、“Print”値により「印刷」機能を制限することを示している。
また、図6〜図8に示す例では、責務の実行契機(前記責務型ポリシの「条件」に当たる)は、XACML V2.0で規定されている通りのものを利用している(責務要素のFulfillOn属性)。
図6〜図8に示す表記は、XACML V2.0の記法を拡張して、本実施形態で必要なポリシを表記できることを示した一例である。このため、他のポリシ表記法を用いたり、例と同様にXACML V2.0を利用したりする場合でも、本実施形態で必要な要素を表現できるのであれば、例に示したものと異なる表現を用いてもよい。
一方、セキュリティ情報d15には、文書内容d11等が暗号化されているか否かを示す暗号状態情報と、暗号化に用いたアルゴリズムを特定可能な暗号化アルゴリズム特定情報、暗号化に用いた鍵を特定可能な鍵特定情報が記述される。さらに、セキュリティ情報d15には、ポリシ設定部34により生成されたデジタル署名と、このデジタル署名を検証する検証鍵を特定可能な検証鍵特定情報が記述されても良い。このとき、暗号状態情報、暗号化アルゴリズム特定情報、鍵特定情報、検証鍵特定情報そのものがセキュリティ情報として含まれていない場合であっても、これらの暗号状態情報、暗号化アルゴリズム特定情報、鍵特定情報、検証鍵特定情報が図示しない保管サーバ装置や鍵管理サーバ装置20の各記憶装置に記憶されている場合にそれらの記憶場所を指定する取得先アドレス情報(URLやURIなど)を暗号状態情報、暗号化アルゴリズム特定情報、鍵特定情報、検証鍵特定情報に代えてセキュリティ情報に含まれていても構わない。この場合、暗号状態情報、暗号化アルゴリズム特定情報、鍵特定情報、検証鍵特定情報がそれぞれ変更した場合であっても、図示しないサーバ装置や鍵管理サーバ20内部で変更しておけば構わない。
続いて、ファイルアクセス制御装置40について説明する。
ファイルアクセス制御装置40は、図9に示すように、記憶装置41、通信部42、セキュア通信部43、ポリシ評価制御モジュール44、文書アプリケーション部45及び外部サービス部46を備えている。
記憶装置41は、各部42〜46から読出/書込可能であり、文書ファイルd10を記憶するものである。
通信部42は、ポリシ設定装置30と通信するものであり、ポリシ設定装置30から受けた文書ファイルd10を記憶装置41に書き込む機能をもっている。なお、通信部42は外部サービス部46に含めてもよい。
セキュア通信部43は、認証サーバ装置10及び鍵管理サーバ装置20との間で安全な通信路を確保して両者を通信可能とする機能と、ポリシ評価制御モジュール44から受けた鍵特定情報、検証鍵特定情報または上述した取得先アドレス情報に基づいて、図示しないサーバ装置又は鍵管理サーバ装置20等から文書ファイルに対応した鍵情報やデジタル署名の検証鍵を取得してポリシ評価制御モジュール44に送出する機能とをもっている。なお、セキュア通信部43は、後述するポリシ評価制御モジュール44内の復号・署名検証部44b及び評価情報取得部44cに含めてもよい。
ポリシ評価制御モジュール44は、文書アプリケーション部45から入力されたイベント情報及び文書ファイルに基づいて、文書ファイルd10に記述されたアクセス制御ポリシd12を評価する機能と、その評価結果に基づいて、文書アプリケーション部45と外部サービス部46とを制御する機能と、当該評価結果に基づいて、記憶装置41内の文書ファイルd10の文書属性及びアクセス制御ポリシd12を変更する機能とを備えた耐タンパなモジュールである。イベント情報とは、文書の新規作成、閲覧(文書を開く)、編集、印刷、複写、当該文書内容の全体または一部の複製などを命令する操作に応じたコマンド情報である。耐タンパとは、機能の実行の不正な改竄・攻撃に対して耐性を持っているという意味である。
さらに、ポリシ評価制御モジュール44は、セキュア通信部43を介して認証サーバ装置10から認証結果やユーザ属性情報を取得する機能と、セキュア通信部43を介して鍵管理サーバ装置20から鍵情報を取得する機能と、文書アプリケーション部45や外部サービス部46の状態(制御が可能か否か)を取得する機能とを備えている。ポリシ評価制御モジュール44は、一般的には文書アプリケーションのプラグインソフトウェアとして実装され、図示しない演算処理装置が当該プラグインソフトウェアのプログラムを実行することにより各機能を実現している。但し、ポリシ評価制御モジュール44は、プラグインソフトウェアに限らず、プラグインではないソフトウェアのプログラムを実行することにより各機能を実現するものとしてもよい。さらに、ポリシ評価制御モジュール44は、文書アプリケーションの提供ベンダや他のサービス提供ベンダ等が用意している特定Webサイトからダウンロードし、ファイルアクセス制御装置40にインストールされることによって当該ファイルアクセス制御装置40内に構成されることとしても良い。
文書アプリケーション部45は、文書ファイルd10への外部からの操作に対応するイベント情報及び文書ファイルをポリシ評価制御モジュール44に入力する機能と、ポリシ評価制御モジュール44に制御され、文書内容d11に対する操作を制御する機能と、イベント情報に基づいて文書内容d11に対する操作を実行する機能とをもっている。操作を制御する機能とは、操作を許可又は禁止するように制御する機能と、操作を実行するように制御する機能とがある。操作を許可又は禁止するように制御する機能には、例えば、文書内容d11の閲覧だけを許可する機能や、文書内容d11の印刷を禁止する機能がある。操作を実行するように制御する機能には、例えば、文書内容d11を削除する機能がある。なお、文書アプリケーション部45は、耐タンパな文書アプリケーションプログラムを演算処理装置(図示せず)が実行することにより各機能を実現している。特に、文書アプリケーション部45が文書ファイルd10を操作する際、操作中の文書ファイルが外部から別途操作されないよう保護されていることが望ましい。これは、例えば文書ファイルを保護された形でメモリ上に複製し、その複製した文書ファイルに対して操作を行い、保存時にその操作結果を元の文書ファイルに反映させることで実現される。この場合、ポリシ評価制御モジュール44へは、文書ファイルそのものの入力に代えて、メモリ上に複製された文書ファイルへのポインタが入力され、ポリシ評価制御モジュール44ではこのメモリ上に複製された文書ファイルに対して操作を行う。
外部サービス部46とは、文書アプリケーションが実行されるプラットフォーム上に備えられたサービス機能をもっている。ここで、サービス機能としては、例えば文書ファイルd10の削除サービス機能や、メールサービス機能などが適用可能となっている。また、外部サービス部46は、外部サービス用プログラムを演算処理装置(図示せず)が実行することにより各機能を実現している。
次に、ポリシ評価制御モジュール44の内部構成を図10に示す。ポリシ評価制御モジュール44は、イベント制御部44a、復号・署名検証部44b、評価情報取得部44c、責務実行可否情報取得部44d、禁止型ポリシ評価部44e、責務型ポリシ評価部44f、制御管理機能44g、文書アプリケーション制御部44h、文書ファイル制御部44i及び外部サービス制御部44jを備えている。
イベント制御部44aは、文書アプリケーション部45からイベント情報及び文書ファイルd10が入力されると、イベント情報が「文書の閲覧(文書を開く)」であるか否かを判定する機能と、判定結果が「文書の閲覧」の場合には、文書ファイルd10のセキュリティ情報d15に基づいて文書内容d11及びアクセス制御ポリシd12が暗号化されているか否かを判定する機能と、当該セキュリティ情報d15がデジタル署名を含むか否かを判定する機能とをもっている。
イベント制御部44aは、判定の結果、文書内容d11等が暗号化されている場合、又はセキュリティ情報d15がデジタル署名を含む場合には、文書ファイルd10を復号・署名検証部44bに送出して復号処理及び署名検証処理を実行させる機能と、復号・署名検証部44bの各処理が成功した場合には、復号された文書内容d11及びアクセス制御ポリシd12を含む文書ファイルd10及びイベント情報を評価情報取得部44cに送出する機能とをもっている。ここで署名検証処理を簡単に説明すれば、セキュリティ情報d15にデジタル署名が含まれている場合に、ファイルアクセス制御装置40が署名鍵(例えばポリシ設定装置30の秘密鍵)に対する公開鍵を用いて署名検証(送信相手が正当な送信相手であるか否か、通信途中で当該文書内容d11が改竄等されていないかを判断)する処理がその一例である。
また、イベント制御部44aは、判定の結果、イベント情報が「文書の閲覧」ではなく「文書の保存」や「文書の印刷」である場合には、そのイベント情報が入力されている際に開いている文書ファイル及びイベント情報を評価情報取得部44cに送出する機能をもっている。
なお、元々文書ファイルd10が暗号化されず、デジタル署名が付与されない運用の場合には、セキュリティ情報d15、イベント制御部44a及び復号・署名検証部44bが省略される一方、文書アプリケーション部45から入力されたイベント情報及び文書ファイルd10が評価情報取得部44cに入力される。
復号・署名検証部44bは、イベント制御部44aから文書ファイルd10を受けると、文書ファイルd10のセキュリティ情報d15に基づいて文書内容d11及びアクセス制御ポリシd12が暗号化されているか否かを判定する機能と、当該セキュリティ情報d15がデジタル署名を含むか否かを判定する機能と、判定の結果、文書内容d11等が暗号化されている場合、又はセキュリティ情報d15がデジタル署名を含む場合には、文書内容d11等を鍵情報に基づいて復号する機能と、検証鍵に基づいてデジタル署名を検証する機能と、復号結果及び検証結果をイベント制御部44aに送出する機能とをもっている。
復号・署名検証部44bは、復号のための鍵情報をセキュリティ情報d15に基づいて鍵管理サーバ装置20から取得する機能を有するが、これに限らず、別途異なる手段で鍵情報を取得しても良い。同様に、復号・署名検証部44bは、検証のための検証鍵をセキュリティ情報d15に基づいて鍵管理サーバ装置20等から取得する機能を有するが、これに限らず、別途異なる手段で検証鍵を取得しても良い。例えばデジタル署名の生成に用いた署名鍵がユーザの署名鍵の場合には、検証鍵はファイルアクセス制御装置40の記憶装置41から読み出すことにより、取得してもよい。復号・署名検証部44bは、復号又は署名検証に失敗した場合には、処理を停止する。また、復号・署名検証部44bは、文書内容d11のみが暗号化されている場合には、この時点では復号せずに、禁止型ポリシd13又は責務型ポリシd14が評価された後に復号しても良い。
評価情報取得部44cは、予め決められた評価情報リストに記載の評価情報の種別、又は入力された文書ファイルd10のアクセス制御ポリシd12の評価に必要な評価情報を外部から取得する機能を備えている。評価情報リストとは、入力された文書ファイルd10内のアクセス制御ポリシd12の評価に必要か否かにかかわらず、アクセス制御ポリシd12に記述される可能性をもつ全ての評価情報の種別が記載されたリストである。このような評価情報リストは、例えばプログラムコードの一部として記述される。
評価情報とは、例えば、ユーザの認証結果、ユーザ属性情報、時間情報、外部機能の実行可否情報、などが使用可能となっている。上記した禁止型ポリシの用語定義における「アクセス主体」を特定できる情報や同様に上記した責務型ポリシの用語定義における「条件」を評価するための情報に相当するものも同様に評価情報に含まれる。
評価情報取得部44cは、イベント制御部44aから文書ファイル及びイベント情報を受けると、ユーザの認証結果及びユーザ属性情報を取得する場合、ユーザ認証の要求をセキュア通信部43から認証サーバ装置10に送信し、認証結果(成功又は失敗)及びユーザの属性情報を認証サーバ装置10から取得する機能を備えている。
評価情報取得部44cは、時間情報を取得する場合、外部から時間情報等を取得する機能を備えている。
評価情報取得部44cは、実行可否情報を取得する場合、実行可否情報送出要求を責務実行可否情報取得部44dに送出し、実行可否情報を責務実行可否情報取得部44dから取得する機能と、所定時間経過後に更新後の実行可否情報を責務実行可否情報取得部44dから取得する機能とをもっている。
また、評価情報取得部44cは、文書ファイルd10のアクセス制御ポリシd12、イベント情報及び評価情報(例、ユーザの認証結果、ユーザ属性情報、時間情報、外部機能の実行可否情報、など)を禁止型ポリシ評価部44eに送出する機能を備えている。
責務実行可否情報取得部44dは、責務型ポリシd14の制御実行に必要な外部機能の制御が可能か否かの実行可否情報を、文書アプリケーション制御部44h、文書ファイル制御部44i及び外部サービス制御部44jから個別に取得して保持する機能と、評価情報取得部44cから実行可否情報送出要求を受けると、これら実行可否情報を評価情報取得部44cに送出する機能と、実行可否情報を更新した場合には更新後の実行可否情報を評価情報取得部44cに送出する機能とをもっている。ここで、外部機能の制御としては、文書アプリケーション部45や様々な外部サービス部46、及び文書ファイルd10の制御などが該当する。これら文書アプリケーション部45、様々な外部サービス部46のサービスが稼働している場合と稼働していない場合とによって、実行可否情報の結果も制御可能と制御不可能とに分かれることとなる。
責務実行可否情報取得部44dは、ポリシ評価制御モジュール44にイベント情報及び文書ファイルが入力された時点で実行可否情報を取得してもよく、評価情報取得部44cから要求された時点で実行可否情報を取得してもよい。また、責務実行可否情報取得部44dは、定期的に実行可否情報を更新してもよい。
禁止型ポリシ評価部44eは、評価情報取得部44cから入力されたイベント情報、評価情報に基づいて、アクセス制御ポリシd12に記述された禁止型ポリシd13を評価する機能と、評価の後、イベント情報、評価情報、禁止型ポリシd13の評価結果(許可又は禁止)及びアクセス制御ポリシd12に記載された責務型ポリシd14を責務型ポリシ評価部へ送出する機能とをもっている。
禁止型ポリシd13の評価とは、禁止型ポリシd13に記述されたルールのうち、「操作」がイベント情報に一致し、「アクセス主体」が評価情報に含まれるアクセス主体を特定できる情報に一致するものに対して、その結果(許可又は禁止)を出力することである。具体的には、例えば、入力されたイベント情報が閲覧であり、禁止型ポリシに『ユーザAは、閲覧を許可』というルールの記述がある場合は、評価情報としてユーザAの認証結果が入力されており、その認証結果が成功の場合に、評価結果として許可を出力する。
補足すると、禁止型ポリシ評価部44eは、禁止型ポリシd13を評価するとき、取得した認証結果及びユーザ属性情報並びに入力されたイベント情報と、禁止型ポリシd13に予め記述された認証結果、ユーザ属性情報及びイベント情報とをそれぞれ比較し、比較結果がそれぞれ一致していれば、禁止型ポリシd13に予め記述された許可又は禁止を示す評価結果を送出する。なお、禁止型ポリシd13は、一致するルールがない、またはルールが全くないということがないように記述されていることが望ましい。これは、例えば一致するルールがない場合に出力するデフォルト評価結果を禁止型ポリシd13に記述することで実現される。
責務型ポリシ評価部44fは、禁止型ポリシ評価部44eから入力されたイベント情報、評価情報、禁止型ポリシ44eの評価結果に基づいて、責務型ポリシd14を評価する機能と、評価の後、実施する制御情報を制御管理部44gへ出力する機能とをもっている。
責務型ポリシd14の評価とは、責務型ポリシd14に記述されたルールについて「条件」が満たされるか否を評価し、条件が満たされる場合にはその「制御情報」を出力することである。
具体的には、責務型ポリシd14に『イベント情報が閲覧であり、かつ、禁止型ポリシの評価結果が許可であり、かつメールサービスが実行可ならば、メールでユーザ名を通知する』というルールの記述がある場合、イベント情報が「閲覧」で、かつ、禁止型ポリシd13の評価結果が「許可」で、かつ、メールサービスの実行可否情報が「制御可能」であれば、「メールでユーザ名を通知する」という制御情報を制御管理部44gへ出力する。
さらに、『日付が2008年1月1日以降ならば、文書内容を消去する』というルールの記述がある場合、評価情報に含まれる時間情報が条件を満たすならば、「文書内容を消去」という制御情報を制御管理部44gへ出力する。このとき、複数のルールで条件が満たされる場合は、全ての制御情報を制御管理部44gへ出力する。
補足すると、責務型ポリシ評価部44fは、責務型ポリシd14を評価するとき、取得した実行可否情報、イベント情報及び評価結果と、責務型ポリシに予め記述された実行可否情報、イベント情報及び評価結果とをそれぞれ比較し、比較結果がそれぞれ一致していれば、責務型ポリシd14に予め記述された責務実行主体及び責務実行行為を含む制御情報を制御管理部44gに送出する。
制御管理部44gは、責務型ポリシ評価部44fから制御情報を受けると、予め決められた順序に従い、この制御情報に記述された責務実行主体に基づいて、当該制御情報を文書アプリケーション制御部44h、文書ファイル制御部44i又は外部サービス制御部44jに送出する機能をもっている。
文書アプリケーション制御部44hは、制御管理部44gから送出された制御情報内の責務実行行為に基づいて、文書アプリケーション部45を制御する機能をもっている。ここで、制御とは、文書内容d11に対する操作に関する制御であり、例えば、文書内容d11の閲覧だけを許可する制御や、印刷を禁止する制御や、文書内容d11を消去する制御などである。さらに、文書アプリケーション制御部44hは、責務実行可否情報取得部44dから要求を受けると、文書アプリケーション部45に対する制御を実行可能か否かの実行可否情報を当該文書アプリケーション部45から取得して責務実行可否取得部44dに送出する機能をもっている。
文書ファイル制御部44iは、制御管理部44gから送出された制御情報内の責務実行行為に基づいて、記憶装置41内の文書ファイルd10のアクセス制御ポリシd12やセキュリティ情報d15を変更する機能をもっている。例えば、アクセス制御ポリシd12のルール変更やセキュリティ情報d15の変更である。アクセス制御ポリシd12のルール変更は、禁止型ポリシd13又は責務型ポリシd14のいずれを変更してもよい。セキュリティ情報d15の変更とは、例えば暗号化しないなどの変更や、鍵情報を変えて暗号化し直すなどの変更である。また、文書ファイル制御部44iは、制御管理部44gから送出された制御情報内の責務実行行為に基づいて、記憶装置41内の文書ファイルd10の文書内容d11における文書属性を変更する機能を更に備えてもよい。文書属性の変更としては、例えば、ステータス情報を“正規”から“ドラフト”に変える等がある。
外部サービス制御部44jは、制御管理部44gから送出された制御情報内の責務実行行為に基づいて、外部サービス部46を制御する機能をもっている。ここで制御とは、例えばメールサービスであれば、メーラを強制的に起動させたり、メールを送信させたりするといった制御である。すなわち、外部サービス制御部44jは、責務実行行為に基づいて、外部サービス部46としてのメーラを強制的に起動させる機能を有してもよい。また、外部サービス制御部44jは、この起動した又は以前から起動済みの当該メーラに対し、例えば、メールでユーザ名を通知するように制御を実行してもよい。通知先は、例えばポリシ設定装置30等であるが、これに限らず、任意の通知先が責務実行行為に設定可能である。さらに、外部サービス制御部44jは、各外部サービスに対する制御が実行可能であるか否かの実行可否情報を取得する機能を備えている。
なお、ポリシ評価制御モジュール44に入力されたイベント情報が「保存」であり、かつ入力された文書ファイルのセキュリティ情報d15において暗号化が指定されている場合には、文書ファイルを再暗号化して保存することが望ましい。これは、ポリシ評価制御モジュール44が、ポリシ設定部34と同様な文書内容を暗号化する機能、又は文書内容及びアクセス制御ポリシを分離できない形式で暗号化する機能を備えることにより実現できる。
なお、以上のようなファイルアクセス制御装置40は、例えば図11に示すように、実現してもよい。ここで、前述した記憶装置41は、プログラム実行時にはメモリ41’に対応し、文書ファイルd10の更新時にはメモリ41’及び記憶装置41”に対応する。なお、メモリ41’はRAM等のメモリであり、記憶装置41”はハードディスク装置等の補助記憶装置である。
前述した通信部42及び外部サービス部46は、通信部42に対応する外部メールプログラムを含む外部サービスプログラム46’、演算処理装置50、通信部51、入力部52及び出力部53により実現してもよい。なお、演算処理装置50は、プログラムを実行して各機能を実現するものである。通信部51はネットワークとファイルアクセス制御装置40内との間の通信インタフェースである。入力部52はキーボード等の入力装置である。但し、入力部は、入力装置が外部にある場合、外部の入力装置との間の入力インタフェースとしてもよい。出力部53は液晶ディスプレイ等の表示装置である。但し、出力部53は、表示装置が外部にある場合、外部の表示装置との間の出力インタフェースとしてもよい。また、出力部53は、外部のプリンタ装置に接続される場合、プリンタ装置との間の出力インタフェースを更に備えてもよい。
前述したセキュア通信部43及びポリシ評価制御モジュール44は、ポリシ評価制御プログラム44’、通信部51及び演算処理装置50により実現してもよい。
前述した文書アプリケーション部45は、文書アプリケーションプログラム45’、演算処理装置50、入力部52及び出力部53により実現してもよい。
次に、以上のように構成されたファイルアクセス制御システムの動作を図12及び図13のフローチャートを用いて説明する。
(準備)
予め認証サーバ装置10においては、ポリシ設定装置30から受けた認証情報とユーザ属性情報とが互いに関連付けられて認証用記憶装置11に書き込まれているとする。
続いて、ポリシ設定装置30においては、文書内容d11にアクセス制御ポリシd12を設定するとする。
ポリシ設定装置30においては、ポリシ設定部34が、文書ポリシ設定者の操作により、ポリシ設定用記憶装置31内の文書ファイルd10のアクセス制御ポリシd12を文書ポリシ設定者により入力された値又は予め決められた値に設定する。
このとき、ポリシ設定部34は、ポリシ設定用記憶装置31内の共通鍵に基づいて、文書内容d11及びアクセス制御ポリシd12を暗号化するとする。また、ポリシ設定部34は、暗号化した文書内容d11及びアクセス制御ポリシd12に対し、ポリシ設定用記憶装置31内の署名鍵によりデジタル署名を生成する。
さらに、ポリシ設定部34は、暗号状態情報、暗号化アルゴリズム特定情報、鍵特定情報、デジタル署名及び検証鍵特定情報を含むセキュリティ情報d15を作成する。また、ポリシ設定部34は、暗号化した文書内容d11及びアクセス制御ポリシd12と、セキュリティ情報d15とからなる文書ファイルd10をポリシ設定用記憶装置31に書き込む。
次に、ポリシ設定装置30においては、ポリシ設定部34が、文書ポリシ設定者の操作により、セキュア通信部32を介して文書特定情報及び鍵管理情報を鍵管理サーバ装置20に送信する。
鍵管理サーバ装置20においては、鍵管理部23が、ポリシ設定装置30からセキュア通信部12を介して文書特定情報及び鍵情報を受けると、当該文書特定情報と鍵情報とを互いに関連付けて鍵管理用記憶装置21に書き込む。
しかる後、ポリシ設定装置30においては、文書ポリシ設定者の操作により、ポリシ設定用記憶装置31内の文書ファイルd10を通信部33からファイルアクセス制御装置40に送信する。
ファイルアクセス制御装置40においては、通信部42が、ポリシ設定装置30から受けた文書ファイルd10を記憶装置41に書き込む。
以上により、ファイルアクセス制御装置40において、文書ファイルd10に対するファイルアクセス制御を実行するための準備が完了する。
(ファイルアクセス制御)
ファイルアクセス制御装置40においては、図12に示すように、文書操作者としてのユーザが文書アプリケーション部45を介して文書ファイルd10に操作を行う。
このとき、文書アプリケーション部45は、操作内容に対応したイベント情報及び文書ファイルd10をポリシ評価モジュール44に入力する(ST1)。
ポリシ評価モジュール44においては、イベント制御部44aが、入力されたイベント情報及び文書ファイルd10を受けると、イベント情報が「文書の閲覧(文書を開く)」であるか否かを判定する(ST2)。
ステップST2の判定の結果、イベント情報が「文書の閲覧」ではない場合(ST2;NO)には、文書ファイル及びイベント情報を評価情報取得部44cに送出し、ステップST6に進む。
一方、ステップST2の判定結果が「文書の閲覧」の場合(ST2;YES)には、イベント制御部44aは、文書ファイルd10のセキュリティ情報d15に基づいて文書内容d11及びアクセス制御ポリシd12が暗号化されているか否かを判定すると共に、当該セキュリティ情報d15がデジタル署名を含むか否かを判定する。
イベント制御部44aは、この判定の結果、文書内容d11等が暗号化されている場合、又はセキュリティ情報d15がデジタル署名を含む場合には、文書ファイルd10を復号・署名検証部44bに送出して復号処理及び署名検証処理を実行させる(ST3)。
復号・署名検証部44bは、イベント制御部44aから文書ファイルd10を受けると、文書ファイルd10のセキュリティ情報d15に基づいて文書内容d11及びアクセス制御ポリシd12が暗号化されているか否かを判定すると共に、当該セキュリティ情報d15がデジタル署名を含むか否かを判定する。
この判定の結果、文書内容d11等が暗号化されている場合、又はセキュリティ情報d15がデジタル署名を含む場合には、復号・署名検証部44bは、セキュリティ情報d15内の鍵特定情報に基づいて鍵管理サーバ装置20から共通鍵及び検証鍵を取得する。また、復号・署名検証部44bは、この共通鍵に基づいて文書内容d11等を復号すると共に、検証鍵に基づいてデジタル署名を検証する。しかる後、復号・署名検証部44bは、復号結果及び検証結果をイベント制御部44aに送出する。
イベント制御部44aは、復号・署名検証部44bの各処理が成功した場合には、復号された文書内容d11及びアクセス制御ポリシd12を含む文書ファイルd10及びイベント情報を評価情報取得部44cに送出する。
評価情報取得部44cは、文書ファイルd10及びイベント情報を受けると、予め決められた評価情報リストに記載された種別の評価情報を外部から取得する。
具体的には、評価情報取得部44cは、ユーザの認証結果及びユーザ属性情報を取得する場合、ユーザ認証の要求をセキュア通信部43から認証サーバ装置10に送信し、認証結果(成功又は失敗)及びユーザの属性情報を認証サーバ装置10から取得する。
評価情報取得部44cは、時間情報を取得する場合、外部から時間情報等を取得する。
評価情報取得部44cは、実行可否情報を取得する場合、実行可否情報送出要求を責務実行可否情報取得部44dに送出し、実行可否情報を責務実行可否情報取得部44dから取得する(ST4)。
これにより、評価情報取得部44cは、ユーザの認証結果、ユーザ属性情報、時間情報、外部機能の実行可否情報からなる評価情報を取得する(ST5)。なお、評価情報取得部44cは、評価情報リストに基づいて評価情報を取得する場合に限らず、アクセス制御ポリシd12に記述された評価情報を取得するようにしてもよい。
いずれにしても評価情報を取得した後、評価情報取得部44cは、文書ファイルd10のアクセス制御ポリシd12、イベント情報及び評価情報を禁止型ポリシ評価部44eに送出する。
禁止型ポリシ評価部44eは、評価情報取得部44cから受けたイベント情報、評価情報に基づいて、アクセス制御ポリシd12に記述された禁止型ポリシd13を評価し(ST6)、評価の後、イベント情報、評価情報、禁止型ポリシd13の評価結果(許可又は禁止)及びアクセス制御ポリシd12に記載された責務型ポリシd14を責務型ポリシ評価部へ送出する。
責務型ポリシ評価部44fは、禁止型ポリシ評価部44eから受けたイベント情報、評価情報、禁止型ポリシ44eの評価結果に基づいて、責務型ポリシd14を評価し(ST7)、評価の後、責務実行主体及び責務実行行為を含む制御情報を制御管理部44gへ送出する。
制御管理部44gは、この制御情報を受けると、予め決められた順序に従い、制御情報内の責務実行主体に基づいて、当該制御情報を文書アプリケーション制御部44h、文書ファイル制御部44i又は外部サービス制御部44jに送出する(ST8)。
文書アプリケーション制御部44hは、送出された制御情報内の責務実行行為に基づいて、文書アプリケーション部45を制御する。
文書ファイル制御部44iは、送出された制御情報内の責務実行行為に基づいて、記憶装置41内の文書ファイルd10のアクセス制御ポリシd12やセキュリティ情報d15を変更する。
外部サービス制御部44jは、送出された制御情報内の責務実行行為に基づいて、外部サービス部46を制御する。
以下、ポリシ評価モジュール44は、イベント制御部44aによりイベント情報が新たに入力されたか否かを判定し(ST9)、イベント情報が新たに入力されると(ST9;YES)、ステップST2以降の処理を繰り返す。
また、図13に示すように、責務実行可否情報取得部44dが定期的に実行可否情報を更新してもよい(ST10)。これにより、例えば、外部サービス部46の可否状態が変化しても対応することができる。
上述したように本実施形態によれば、ポリシ評価制御モジュール44により、文書ファイルd10に対する操作に応じてアクセス制御を変更・実施することができると共に、文書アプリケーション部45や外部サービス部46の処理も設定・制御することができる。
補足すると、予め操作に応じた制御情報を責務型ポリシd14として文書ファイルd10に付与し、文書ファイルd10に対する操作に応じて、文書ファイルd10内の責務型ポリシd14を評価・実施する。この責務型ポリシd14の実施には、文書アプリケーション部45等の制御が含まれる。従って、文書に対する操作に応じて、能動的な制御を実施でき、また、文書へのアクセス制御を変更することができる。
なお、上記実施形態に記載した手法は、コンピュータに実行させることのできるプログラムとして、磁気ディスク(フロッピー(登録商標)ディスク、ハードディスクなど)、光ディスク(CD−ROM、DVDなど)、光磁気ディスク(MO)、半導体メモリなどの記憶媒体に格納して頒布することもできる。
また、この記憶媒体としては、プログラムを記憶でき、かつコンピュータが読み取り可能な記憶媒体であれば、その記憶形式は何れの形態であっても良い。
また、記憶媒体からコンピュータにインストールされたプログラムの指示に基づきコンピュータ上で稼働しているOS(オペレーティングシステム)や、データベース管理ソフト、ネットワークソフト等のMW(ミドルウェア)等が上記実施形態を実現するための各処理の一部を実行しても良い。
さらに、本発明における記憶媒体は、コンピュータと独立した媒体に限らず、LANやインターネット等により伝送されたプログラムをダウンロードして記憶又は一時記憶した記憶媒体も含まれる。
また、記憶媒体は1つに限らず、複数の媒体から上記実施形態における処理が実行される場合も本発明における記憶媒体に含まれ、媒体構成は何れの構成であっても良い。
尚、本発明におけるコンピュータは、記憶媒体に記憶されたプログラムに基づき、上記実施形態における各処理を実行するものであって、パソコン等の1つからなる装置、複数の装置がネットワーク接続されたシステム等の何れの構成であっても良い。
また、本発明におけるコンピュータとは、パソコンに限らず、情報処理機器に含まれる演算処理装置、マイコン等も含み、プログラムによって本発明の機能を実現することが可能な機器、装置を総称している。
なお、本願発明は、上記実施形態そのままに限定されるものではなく、実施段階ではその要旨を逸脱しない範囲で構成要素を変形して具体化できる。また、上記実施形態に開示されている複数の構成要素の適宜な組合せにより種々の発明を形成できる。例えば、実施形態に示される全構成要素から幾つかの構成要素を削除してもよい。更に、異なる実施形態に亘る構成要素を適宜組合せてもよい。
本発明の第1の実施形態に係るファイルアクセス制御装置が適用されたファイルアクセス制御システムの構成例を示す模式図である。 同実施形態における認証サーバ装置の構成を示すブロック図である。 同実施形態における鍵管理サーバ装置の構成を示すブロック図である。 同実施形態におけるポリシ設定装置の構成を示すブロック図である。 同実施形態に係る文書ファイルの構成例を示す模式図である。 同実施形態における責務型ポリシを説明するための模式図である。 同実施形態における責務型ポリシを説明するための模式図である。 同実施形態における責務型ポリシを説明するための模式図である。 同実施形態におけるファイルアクセス制御装置の構成を示すブロック図である。 同実施形態におけるポリシ評価制御モジュールの構成を示すブロック図である。 同実施形態におけるファイルアクセス制御装置のハードウェア資源とソフトウェアとの組合せ構成を示す模式図である。 同実施形態における動作を説明するためのフローチャートである。 同実施形態における動作の変形例を説明するためのフローチャートである。
符号の説明
10…認証サーバ装置、11…認証用記憶装置、12,22,32,43…セキュア通信部、13…ユーザ認証部、20…鍵管理サーバ装置、21…鍵管理用記憶装置、23…鍵管理部、30…ポリシ設定装置、31…ポリシ設定用記憶装置、33,42…通信部、34…ポリシ設定部、40…ファイルアクセス制御装置、41…記憶装置、44…ポリシ評価制御モジュール、44a…イベント制御部、44b…復号・署名検証部、44c…評価情報取得部、44d…責務実行可否情報取得部、44e…禁止型ポリシ評価部、44f…責務型ポリシ評価部、44g…制御管理機能、44h…文書アプリケーション制御部、44i…文書ファイル制御部、44j…外部サービス制御部、45…文書アプリケーション部、46…外部サービス部、50…演算処理装置、51…通信部、52…入力部、53…出力部、d10…文書ファイル、d11…文書内容、d12…アクセス制御ポリシ、d13…禁止型ポリシ、d14…責務型ポリシ、d15…セキュリティ情報。

Claims (4)

  1. 文書内容と禁止型ポリシ及び責務型ポリシとを含む文書ファイルを記憶可能な記憶装置、ポリシ評価制御モジュール、文書アプリケーション部及び外部サービス部を備え、前記文書ファイルへのアクセスを制御するためのファイルアクセス制御装置であって、
    前記ポリシ評価制御モジュールは、
    前記文書アプリケーション部及び外部サービス部からそれぞれ実行可否情報を取得して保持する可否情報取得手段と、
    ユーザの操作内容に対応したイベント情報及び前記記憶装置内の文書ファイルが前記文書アプリケーション部から入力されると、予め決められた評価情報リストに基づいて、前記ユーザの認証結果及びユーザ属性情報を取得する認証結果取得手段と、
    前記評価情報リストに基づいて、前記可否情報取得手段から実行可否情報を取得すると、この実行可否情報、前記認証結果及び前記ユーザ属性情報からなる評価情報、前記イベント情報、前記禁止型ポリシ及び前記責務型ポリシを送出する手段と、
    前記送出された評価情報内の認証結果及びユーザ属性情報並びにイベント情報と、前記禁止型ポリシに予め記述された認証結果、ユーザ属性情報及びイベント情報とをそれぞれ比較し、比較結果がそれぞれ一致していれば、前記禁止型ポリシに予め記述された許可又は禁止を示す評価結果を送出する禁止型ポリシ評価手段と、
    前記評価情報内の実行可否情報、前記イベント情報及び前記評価結果と、前記責務型ポリシに予め記述された実行可否情報、前記イベント情報及び前記評価結果とをそれぞれ比較し、比較結果がそれぞれ一致していれば、前記責務型ポリシに予め記述された責務実行主体及び責務実行行為を含む制御情報を送出する責務型ポリシ評価手段と、
    前記制御情報を受けると、前記制御情報内の責務実行主体に基づいて、当該制御情報を前記責務実行主体に指定された主体に送出する制御管理手段と、
    前記指定された主体が文書アプリケーション制御手段の場合、前記制御管理手段から送出された制御情報内の責務実行行為に基づいて、前記文書アプリケーション部を制御する前記文書アプリケーション制御手段と、
    を備えたことを特徴とするファイルアクセス制御装置。
  2. 請求項1に記載のファイルアクセス制御装置において、
    前記指定された主体がポリシ変更手段の場合、前記制御管理手段から送出された制御情報内の責務実行行為に基づいて、前記記憶装置内の文書ファイルの禁止型ポリシ又は責務型ポリシを変更する前記ポリシ変更手段、
    を備えたことを特徴とするファイルアクセス制御装置。
  3. 請求項1又は請求項2に記載のファイルアクセス制御装置において、
    前記指定された主体が外部サービス制御手段の場合、前記制御管理手段から送出された制御情報内の責務実行行為に基づいて、前記外部サービス部を制御する前記外部サービス制御手段、
    を備えたことを特徴とするファイルアクセス制御装置。
  4. 文書内容と禁止型ポリシ及び責務型ポリシとを含む文書ファイルを記憶可能な記憶装置、ポリシ評価制御モジュール、文書アプリケーション部及び外部サービス部を備え且つ前記文書ファイルへのアクセスを制御するためのファイルアクセス制御装置に関し、前記ポリシ評価制御モジュールに用いられるプログラムであって、
    前記ポリシ評価制御モジュールを、
    前記文書アプリケーション部及び外部サービス部からそれぞれ実行可否情報を取得して保持する可否情報取得手段、
    ユーザの操作内容に対応したイベント情報及び前記記憶装置内の文書ファイルが前記文書アプリケーション部から入力されると、予め決められた評価情報リストに基づいて、前記ユーザの認証結果及びユーザ属性情報を取得する認証結果取得手段、
    前記評価情報リストに基づいて、前記可否情報取得手段から実行可否情報を取得すると、この実行可否情報、前記認証結果及び前記ユーザ属性情報からなる評価情報、前記イベント情報、前記禁止型ポリシ及び前記責務型ポリシを送出する手段、
    前記送出された評価情報内の認証結果及びユーザ属性情報並びにイベント情報と、前記禁止型ポリシに予め記述された認証結果、ユーザ属性情報及びイベント情報とをそれぞれ比較し、比較結果がそれぞれ一致していれば、前記禁止型ポリシに予め記述された許可又は禁止を示す評価結果を送出する禁止型ポリシ評価手段、
    前記評価情報内の実行可否情報、前記イベント情報及び前記評価結果と、前記責務型ポリシに予め記述された実行可否情報、前記イベント情報及び前記評価結果とをそれぞれ比較し、比較結果がそれぞれ一致していれば、前記責務型ポリシに予め記述された責務実行主体及び責務実行行為を含む制御情報を送出する責務型ポリシ評価手段、
    前記制御情報を受けると、前記制御情報内の責務実行主体に基づいて、当該制御情報を前記責務実行主体に指定された主体に送出する制御管理手段、
    前記指定された主体が文書アプリケーション制御手段の場合、前記制御管理手段から送出された制御情報内の責務実行行為に基づいて、前記文書アプリケーション部を制御する前記文書アプリケーション制御手段、
    として機能させるためのプログラム。
JP2007280800A 2007-10-29 2007-10-29 ファイルアクセス制御装置及びプログラム Active JP4342584B2 (ja)

Priority Applications (4)

Application Number Priority Date Filing Date Title
JP2007280800A JP4342584B2 (ja) 2007-10-29 2007-10-29 ファイルアクセス制御装置及びプログラム
CN200880001518.XA CN101578610B (zh) 2007-10-29 2008-10-29 文件访问控制装置及程序
PCT/JP2008/069671 WO2009057652A1 (ja) 2007-10-29 2008-10-29 ファイルアクセス制御装置及びプログラム
US12/552,927 US8863305B2 (en) 2007-10-29 2009-09-02 File-access control apparatus and program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2007280800A JP4342584B2 (ja) 2007-10-29 2007-10-29 ファイルアクセス制御装置及びプログラム

Publications (2)

Publication Number Publication Date
JP2009110198A JP2009110198A (ja) 2009-05-21
JP4342584B2 true JP4342584B2 (ja) 2009-10-14

Family

ID=40591041

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2007280800A Active JP4342584B2 (ja) 2007-10-29 2007-10-29 ファイルアクセス制御装置及びプログラム

Country Status (4)

Country Link
US (1) US8863305B2 (ja)
JP (1) JP4342584B2 (ja)
CN (1) CN101578610B (ja)
WO (1) WO2009057652A1 (ja)

Families Citing this family (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
KR101451485B1 (ko) * 2009-08-11 2014-10-15 닛본 덴끼 가부시끼가이샤 단말 장치, 통신 시스템, 데이터 관리 방법, 서버 장치, 및 기록 매체
FR2950770A1 (fr) * 2009-09-30 2011-04-01 Trustseed Sas Systeme et procede d'ordonnancement et d'execution d'operations de correspondance electronique securisee
JP4951092B2 (ja) * 2010-06-03 2012-06-13 株式会社東芝 アクセス制御プログラム及び装置
US9444628B2 (en) * 2010-09-21 2016-09-13 Hewlett-Packard Development Company, L.P. Providing differential access to a digital document
US8972746B2 (en) * 2010-12-17 2015-03-03 Intel Corporation Technique for supporting multiple secure enclaves
US20120174192A1 (en) * 2011-01-05 2012-07-05 International Business Machines Corporation Displaying A Known Sender's Identifier To A Recipient Of A Joint Senders' Message
US8997197B2 (en) * 2012-12-12 2015-03-31 Citrix Systems, Inc. Encryption-based data access management
EP3019948A4 (en) * 2013-07-11 2017-03-08 Hewlett-Packard Development Company, L.P. Printing composite documents
US10070315B2 (en) 2013-11-26 2018-09-04 At&T Intellectual Property I, L.P. Security management on a mobile device
TWI499931B (zh) * 2013-12-17 2015-09-11 Inwellcom Technology Corp File management system and method
RU2584505C2 (ru) 2014-04-18 2016-05-20 Закрытое акционерное общество "Лаборатория Касперского" Система и способ предварительной фильтрации файлов для контроля приложений
KR101634571B1 (ko) * 2014-07-31 2016-07-08 주식회사 파수닷컴 문서 동기화 방법 및 컴퓨터 프로그램, 그 기록매체
US9785781B2 (en) * 2014-12-08 2017-10-10 Dotalign, Inc. Method, apparatus, and computer-readable medium for data exchange
US9697361B2 (en) 2015-07-06 2017-07-04 AO Kaspersky Lab System and method of controlling opening of files by vulnerable applications
US11159638B2 (en) * 2016-04-29 2021-10-26 Veeva Systems Inc. Dynamic document access control in a content management system
US10664606B2 (en) * 2017-05-19 2020-05-26 Leonard L. Drey System and method of controlling access to a document file
CN110190962B (zh) * 2019-04-12 2022-04-19 杭州电子科技大学 一种防泄露的文件安全共享方法
US20220414237A1 (en) * 2019-12-30 2022-12-29 Dogwood Logic, Inc. Secure decentralized control of network access to ai models and data
US11829452B2 (en) 2020-08-24 2023-11-28 Leonard L. Drey System and method of governing content presentation of multi-page electronic documents

Family Cites Families (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN101303717B (zh) * 1995-02-13 2015-04-29 英特特拉斯特技术公司 用于安全交易管理和电子权利保护的系统和方法
US7515717B2 (en) 2003-07-31 2009-04-07 International Business Machines Corporation Security containers for document components
JP4606052B2 (ja) * 2004-04-08 2011-01-05 株式会社リコー 情報処理装置、操作許否情報生成方法、操作許否情報生成プログラム及び記録媒体
JP4341517B2 (ja) * 2004-06-21 2009-10-07 日本電気株式会社 セキュリティポリシー管理システム、セキュリティポリシー管理方法およびプログラム
US7958047B2 (en) * 2005-02-04 2011-06-07 The Invention Science Fund I Virtual credit in simulated environments
JP4729365B2 (ja) * 2005-08-12 2011-07-20 株式会社野村総合研究所 アクセス制御システム、認証サーバ、アクセス制御方法およびアクセス制御プログラム
JP2007213208A (ja) * 2006-02-08 2007-08-23 Nippon Telegr & Teleph Corp <Ntt> ポリシ設定装置
JP4832132B2 (ja) * 2006-03-23 2011-12-07 株式会社リコー アクセス制御装置、アクセス制御シミュレーション方法及びアクセス制御シミュレーションプログラム

Also Published As

Publication number Publication date
WO2009057652A1 (ja) 2009-05-07
CN101578610A (zh) 2009-11-11
US8863305B2 (en) 2014-10-14
JP2009110198A (ja) 2009-05-21
US20100043070A1 (en) 2010-02-18
CN101578610B (zh) 2011-11-23

Similar Documents

Publication Publication Date Title
JP4342584B2 (ja) ファイルアクセス制御装置及びプログラム
US7587749B2 (en) Computer method and apparatus for managing data objects in a distributed context
JP4676779B2 (ja) 情報処理装置、資源管理装置、属性変更許否判定方法、属性変更許否判定プログラム及び記録媒体
KR100423797B1 (ko) 디지털 정보 보안 방법 및 그 시스템
US9461819B2 (en) Information sharing system, computer, project managing server, and information sharing method used in them
JP4350549B2 (ja) デジタル著作権管理のための情報処理装置
US20030154381A1 (en) Managing file access via a designated place
US20090185223A1 (en) Document printing program, document protecting program, document protecting system, document printing apparatus for printing out a document based on security policy
JP5033916B2 (ja) 圧縮ファイルに係わるデジタル著作権の管理方法
CN101925913A (zh) 加密文件访问的方法和系统
JP2007325274A (ja) プロセス間データ通信システムおよびプロセス間データ通信方法
JP2006338249A (ja) コンテンツ保護装置及びコンテンツ保護解除装置
US8302206B2 (en) Appropriate control of access right to access a document within set number of accessible times
US8176535B2 (en) Information processing system, information processing method, and computer readable medium
JP2007011511A (ja) 情報漏洩防止方法
JP3917125B2 (ja) 文書保安システム
JP2004133816A (ja) アクセス制御サーバ、電子データ発行ワークフロー処理方法、そのプログラム、コンピュータ装置、および記録媒体
JP2004164604A (ja) 電子ファイル管理装置及びプログラム並びにファイルアクセス制御方法
JP2009059008A (ja) ファイル管理システム
EP1326156A2 (en) Managing file access via a designated storage area
TWI381285B (zh) 電子檔案權限控管系統
JP2008129803A (ja) ファイルサーバ、プログラム、記録媒体及び管理サーバ
JP4813768B2 (ja) リソース管理装置、リソース管理プログラム、及び記録媒体
JP2005316515A (ja) 情報処理装置、操作許否情報生成方法、操作許否情報生成プログラム及び記録媒体
JP2006338530A (ja) アクセス制御装置、資源操作装置、アクセス制御プログラム及び資源操作プログラム

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090317

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090515

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20090609

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20090707

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120717

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Ref document number: 4342584

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130717

Year of fee payment: 4

S531 Written request for registration of change of domicile

Free format text: JAPANESE INTERMEDIATE CODE: R313531

R350 Written notification of registration of transfer

Free format text: JAPANESE INTERMEDIATE CODE: R350