JP4371995B2 - Shared file access control method, system, server device, and program - Google Patents
Shared file access control method, system, server device, and program Download PDFInfo
- Publication number
- JP4371995B2 JP4371995B2 JP2004371037A JP2004371037A JP4371995B2 JP 4371995 B2 JP4371995 B2 JP 4371995B2 JP 2004371037 A JP2004371037 A JP 2004371037A JP 2004371037 A JP2004371037 A JP 2004371037A JP 4371995 B2 JP4371995 B2 JP 4371995B2
- Authority
- JP
- Japan
- Prior art keywords
- file
- access
- user
- permission information
- storage area
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Description
本発明は、共有ファイルのアクセス制御方法、システム、サーバ装置、及びプログラムに係り、特にサーバクライアント型のコンピュータシステムにおいて、サーバ上の共有ファイルに対しアクセス権限をもつユーザにより実行されるアクセスのログを取得する際のアクセス制御に関する。 The present invention relates to a shared file access control method, system, server apparatus, and program, and in particular, in a server client type computer system, an access log executed by a user having access authority to a shared file on a server. It relates to access control during acquisition.
従来、機密情報を記録したファイルをサーバ上で共有する場合、オペレーティングシステムで用いるファイルシステムのアクセス許可設定(ACL:Access Control List)や、特許文献1に記載されているファイルと共にACLを保管する技術などにより、ファイルを閲覧できる人物を制限することは可能であった。
Conventionally, when a file in which confidential information is recorded is shared on a server, a file system access permission setting (ACL: Access Control List) used in the operating system and a technique for storing the ACL together with the file described in
しかし、ファイルの閲覧方法には様々な方法があるため、閲覧を許可されたユーザがファイルを閲覧した場合にその記録を確実にログに残すのは困難であった。例えば、あるプログラムを用いてファイルにアクセスした場合のファイルアクセスの記録をログに採取することができても、それ以外のプログラムを用いてファイルにアクセスする手段がある場合は、その操作の記録をログに残すことができない。また、すべてのファイルアクセスの記録をログに採取しようとした場合、そのログは低レベルな内容となり、解析やその後の再利用が困難なものとなる。
前述したように、機密情報を記録したファイルをサーバ上で保管する場合、ファイルシステムのACLや、特許文献1に記載されているファイルと共にACLを保管する技術など、権限のないユーザがファイル取得することを防止する技術は、従来からあった。しかしながら、これらの技術は、権限のあるユーザがファイルを取得した場合の記録を残すという観点がない。
As described above, when a file in which confidential information is recorded is stored on the server, an unauthorized user obtains the file, such as a file system ACL or a technique for storing the ACL together with the file described in
昨今発生している情報漏洩事件の大半は、権限のあるユーザからの漏洩であり、権限のあるユーザがファイルを取得した場合の記録を残すことが情報漏洩対策としては重要とされている。その際、ファイル取得後の追跡が可能であるぐらいに精度の高いログを残すには、ファイルを取得する専用のアクセス手段(専用プログラム)を作成することが必要である。しかし、この場合の問題点は、専用のアクセス手段以外に、ファイルにアクセスする他のアクセス手段が存在すれば、そのログは意味のないものとなってしまうことである。 Most of the information leak cases that have occurred recently are leaks from authorized users, and it is considered important as an information leak countermeasure to leave a record when an authorized user acquires a file. At that time, in order to leave a highly accurate log that can be traced after file acquisition, it is necessary to create a dedicated access means (dedicated program) for acquiring the file. However, the problem in this case is that if there is another access means for accessing the file in addition to the dedicated access means, the log becomes meaningless.
本発明は、このような従来の事情を考慮してなされたもので、権限のある人物が機密情報を記録した共有ファイルを取得した場合でも、より精度の高いログを残すことを可能にすることを目的とする。 The present invention has been made in consideration of such a conventional situation, and even when an authorized person acquires a shared file in which confidential information is recorded, it is possible to leave a more accurate log. With the goal.
上記目的を達成するため、本発明に係るアクセス制御方法は、複数のユーザにより共有可能なファイルのアクセス制御方法であって、第1の保存手段が、前記ファイルを格納するためのファイル格納領域内のアクセス権限を予め専用ユーザ用のユーザアカウントが設定された専用ユーザのみに制限するための第1のアクセス許可情報を保存するステップと、第2の保存手段が、前記ファイル格納領域内に前記ファイルが保存されるときに、当該ファイルのアクセス権限を前記複数のユーザ毎に制限するための第2のアクセス許可情報を当該ファイルに関連付けて保存するステップと、偽装手段が、前記ファイルがアクセスされるときに、ユーザ認証されたユーザが前記専用ユーザとなるように偽装して前記第1のアクセス許可情報を元に前記ファイル格納領域へアクセスして前記ファイルを読み込むステップと、アクセス可否決定手段が、読み込まれた前記ファイルに関連付けられた前記第2のアクセス許可情報を元に前記ユーザ認証されたユーザによる前記ファイルのアクセス可否を決定するステップとを有することを特徴とする。
In order to achieve the above object, an access control method according to the present invention is a file access control method that can be shared by a plurality of users , wherein the first storage means stores the file in the file storage area. Storing the first access permission information for restricting the access authority to only a dedicated user for which a user account for the dedicated user has been set in advance, and a second storing means includes the file in the file storage area. Storing the second access permission information for restricting the access authority of the file for each of the plurality of users in association with the file, and impersonating means for accessing the file Sometimes, the user authenticated user is disguised to become the dedicated user and the first access permission information is used to A step of reading the file access to Airu storage area, the access permission determination means, read access of the user authenticated the file by the user was based on the second access permission information associated with the file And a step of determining availability.
本発明において、ログ出力手段が、前記ファイル格納領域内へのアクセスに関するログを出力するステップをさらに有してもよい。前記第2のアクセス許可情報を保存するステップは、前記第2の保存手段が、前記第2のアクセス許可情報及び前記ファイルのデータを個別に暗号化して保存するステップであり、前記ファイルを読み込むステップは、前記偽装手段が、前記第2のアクセス許可情報及び前記ファイルのデータを個別に復号化して読み込むステップであってもよい。また、前記第2のアクセス許可情報を保存するステップは、前記第2の保存手段が、前記ファイル格納領域内に前記ファイルが保存されるときに当該ファイルのファイル名を前記ユーザにより使用されるファイル名とは異ならせて保存するステップを有してもよい。さらに、前記第2のアクセス許可情報を保存するステップは、前記第2の保存手段が、前記ファイル格納領域内に保存される前記ファイルの配置構造を前記ユーザ側の表示画面上で仮想的な階層構造として視認可能に仮想化するための定義ファイルを作成して保存するステップを有してもよい。
In the present invention, the log output means may further include a step of outputting a log relating to access to the file storage area. The step of storing the second access permission information is a step in which the second storage unit encrypts and stores the second access permission information and the file data individually, and the step of reading the file May be a step in which the disguise means individually decrypts and reads the second access permission information and the data of the file. In the step of storing the second access permission information, the second storage unit uses a file name of the file used by the user when the file is stored in the file storage area. There may be a step of storing differently from the name. Further, in the step of storing the second access permission information, the second storage unit displays the arrangement structure of the file stored in the file storage area in a virtual hierarchy on the display screen on the user side. You may have the step which creates and preserve | saves the definition file for virtualizing so that it can visually recognize as a structure.
本発明に係る共有ファイルのアクセス制御システムは、複数のユーザにより共有可能なファイルのアクセス制御システムであって、前記ファイルを格納するためのファイル格納領域内のアクセス権限を予め専用ユーザ用のユーザアカウントが設定された専用ユーザのみに制限するための第1のアクセス許可情報を保存する第1の保存手段と、前記ファイル格納領域内に前記ファイルが保存されるときに、当該ファイルのアクセス権限を前記複数のユーザ毎に制限するための第2のアクセス許可情報を当該ファイルに関連付けて保存する第2の保存手段と、前記ファイルがアクセスされるときに、ユーザ認証されたユーザが前記専用ユーザとなるように偽装して前記第1のアクセス許可情報を元に前記ファイル格納領域へアクセスして前記ファイルを読み込む偽装手段と、読み込まれた前記ファイルに関連付けられた前記第2のアクセス許可情報を元に前記ユーザ認証されたユーザによる前記ファイルのアクセス可否を決定するアクセス可否決定手段とを有することを特徴とする。 The shared file access control system according to the present invention is a file access control system that can be shared by a plurality of users, and the access authority in the file storage area for storing the file is assigned in advance to a user account for a dedicated user. First storage means for storing first access permission information for restricting only to a dedicated user for which the file is set, and when the file is stored in the file storage area, the access authority for the file is Second storage means for storing second access permission information for restricting each of a plurality of users in association with the file, and a user authenticated by the user when the file is accessed becomes the dedicated user. The file storage area is accessed based on the first access permission information by impersonating the file. Disguise means for reading a file, and access permission determination means for determining whether the user authenticated by the user authenticated based on the second access permission information associated with the read file. Features.
本発明において、前記ファイル格納領域内へのアクセスに関するログを出力するログ出力手段をさらに有してもよい。前記第2の保存手段は、前記第2のアクセス許可情報及び前記ファイルのデータを個別に暗号化して保存するものであり、前記偽装手段は、前記第2のアクセス許可情報及び前記ファイルのデータを個別に復号化して読み込むものであってもよい。また、前記第2の保存手段は、前記ファイル格納領域内に前記ファイルが保存されるときに当該ファイルのファイル名を前記ユーザにより使用されるファイル名とは異ならせて保存する手段を有してもよい。さらに、前記第2の保存手段は、前記ファイル格納領域内に保存される前記ファイルの配置構造を前記ユーザ側の表示画面上で仮想的な階層構造として視認可能に仮想化するための定義ファイルを作成して保存する手段を有してもよい。 The present invention may further include log output means for outputting a log relating to access to the file storage area. The second storage means encrypts and stores the second access permission information and the file data individually, and the impersonation means stores the second access permission information and the file data. You may decode and read separately. The second storage means includes means for storing the file name different from the file name used by the user when the file is stored in the file storage area. Also good. Further, the second storage means creates a definition file for virtualizing the arrangement structure of the files stored in the file storage area so as to be visible as a virtual hierarchical structure on the display screen on the user side. You may have a means to create and save.
またさらに、前記アクセス制御システムは、前記共有ファイルを保存する記憶装置を有し且つプログラム制御で動作するサーバ装置と、このサーバ装置に通信可能に接続され且つプログラム制御で動作するクライアント装置とを備え、前記第1及び第2の保存手段、前記偽装手段、前記アクセス可否決定手段、及び前記ログ出力手段は、前記サーバ装置によるプログラム制御で機能するよう構成されてもよい。 Still further, the access control system includes a server device having a storage device for storing the shared file and operating under program control, and a client device connected to the server device so as to be communicable and operating under program control. The first and second storage units, the disguise unit, the access permission determination unit, and the log output unit may be configured to function by program control by the server device.
本発明に係るサーバ装置は、クライアント装置に通信可能に接続され、且つ、当該クライアント装置の複数のユーザにより共有可能なファイルをアクセス可能に保存するサーバ装置であって、前記ファイルを格納するためのファイル格納領域内のアクセス権限を予め専用ユーザ用のユーザアカウントが設定された専用ユーザのみに制限するための第1のアクセス許可情報を保存する第1の保存手段と、前記ファイル格納領域内に前記ファイルが保存されるときに、当該ファイルのアクセス権限を前記複数のユーザ毎に制限するための第2のアクセス許可情報を当該ファイルに関連付けて保存する第2の保存手段と、前記ファイルがアクセスされるときに、ユーザ認証されたユーザが前記専用ユーザとなるように偽装して前記第1のアクセス許可情報を元に前記ファイル格納領域へアクセスして前記ファイルを読み込む偽装手段と、読み込まれた前記ファイルに関連付けられた前記第2のアクセス許可情報を元に前記ユーザ認証されたユーザによる前記ファイルのアクセス可否を決定するアクセス可否決定手段とを有する。 A server device according to the present invention is a server device that is communicably connected to a client device and that stores a file that can be shared by a plurality of users of the client device, and stores the file. First storage means for storing first access permission information for restricting access authority in the file storage area only to a dedicated user for which a user account for the dedicated user has been set in advance; When the file is stored, second storage means for storing the second access permission information for limiting the access authority of the file for each of the plurality of users in association with the file, and the file is accessed. The first access permission by impersonating the user authenticated user as the dedicated user. Access to the file storage area based on information, and the disguise means for reading the file, and access of the file by the user authenticated based on the second access permission information associated with the read file Access permission determination means for determining permission / inhibition.
本発明において、前記ファイル格納領域内へのアクセスに関するログを出力するログ出力手段をさらに有してもよい。 The present invention may further include log output means for outputting a log relating to access to the file storage area.
本発明に係る共有ファイルのアクセス制御プログラムは、複数のユーザにより共有可能なファイルのアクセス制御プログラムであって、前記ファイルを格納するためのファイル格納領域内のアクセス権限を予め専用ユーザ用のユーザアカウントが設定された専用ユーザのみに制限するための第1のアクセス許可情報を保存するステップと、前記ファイル格納領域内に前記ファイルが保存されるときに、当該ファイルのアクセス権限を前記複数のユーザ毎に制限するための第2のアクセス許可情報を当該ファイルに関連付けて保存するステップと、前記ファイルがアクセスされるときに、ユーザ認証されたユーザが前記専用ユーザとなるように偽装して前記第1のアクセス許可情報を元に前記ファイル格納領域へアクセスして前記ファイルを読み込むステップと、読み込まれた前記ファイルに関連付けられた前記第2のアクセス許可情報を元に前記ユーザ認証されたユーザによる前記ファイルのアクセス可否を決定するステップとをコンピュータに実行させることを特徴とする。 The shared file access control program according to the present invention is a file access control program that can be shared by a plurality of users, and the access authority in the file storage area for storing the file is given in advance as a user account for a dedicated user. Storing the first access permission information for limiting only to a dedicated user for which the file is set, and when the file is stored in the file storage area, the access authority of the file is set for each of the plurality of users. Storing the second access permission information for restricting to the file in association with the file, and when the file is accessed, impersonating the user who has been authenticated as the dedicated user. Based on the access permission information, the file storage area is accessed and the file is read. And a step of determining whether or not the user authenticated by the user authenticated can access the file based on the second access permission information associated with the read file. .
本発明において、前記ファイル格納領域内へのアクセスに関するログを出力するステップをさらにコンピュータに実行させてもよい。 In the present invention, the computer may further execute a step of outputting a log relating to access to the file storage area.
本発明によれば、ファイルを取得する専用のアクセス手段以外からファイルにアクセスする手段を排除することができ、これにより、権限のある人物が機密情報を記録した共有ファイルを取得した場合でも、より精度の高いログをより確実に残すことが可能になる。 According to the present invention, it is possible to eliminate a means for accessing a file other than a dedicated access means for obtaining a file, so that even when an authorized person obtains a shared file in which confidential information is recorded, more It becomes possible to leave a highly accurate log more reliably.
次に、本発明に係る共有ファイルのアクセス制御方法、システム、サーバ装置、及びプログラムを実施するための最良の形態について図面を参照して詳細に説明する。 Next, a best mode for carrying out a shared file access control method, system, server device, and program according to the present invention will be described in detail with reference to the drawings.
本実施の形態に係る共有ファイルのアクセス制御システムは、以下の1)〜6)の各手段を備え、機密情報を記録したファイルにアクセスできるプログラムを一つだけに限定し(以下、これを「ファイルアクセスプログラム」と呼ぶ)、他のプログラムからはアクセスできないようにしている。 The shared file access control system according to the present embodiment includes the following means 1) to 6), and limits the number of programs that can access a file in which confidential information is recorded (hereinafter referred to as “ This is called a "file access program"), and cannot be accessed from other programs.
1)サーバのオペレーティングシステム上に、専用ユーザのユーザアカウントを作成する。このユーザアカウントは、オペレーティングシステムに対話的にログオンすることはできないユーザとして作成し、このユーザのパスワードは、ファイルアクセスプログラムのみが知っているものとする。 1) Create a dedicated user account on the server operating system. This user account is created as a user who cannot log on interactively to the operating system, and only the file access program knows the password for this user.
2)対象となるファイルのファイルシステム上のACLは、専用ユーザのみがアクセス可能な状態とする。 2) The ACL on the file system of the target file is made accessible only by the dedicated user.
3)ファイルには、ファイルシステム上のACLとは別のACLがファイル内に付加されて保存されている。 3) In the file, an ACL different from the ACL on the file system is added and stored in the file.
4)ファイルアクセスプログラムは、ユーザ認証を行った後、プロセス(スレッド)を上記1)の専用ユーザアカウントに偽装してファイルを読み込み、ファイル内に付加されているACLと認証済みのユーザ情報を比較し、アクセス可否を決定する。 4) After performing user authentication, the file access program impersonates the process (thread) as the dedicated user account of 1) above, reads the file, and compares the ACL added in the file with the authenticated user information. And determine whether access is possible.
これにより、一般のユーザプログラムから、対象のファイルにアクセスすることはできない。ただし、オペレーティングシステムには、ファイルシステム上のACLを無視する特権が存在するため、さらに以下の対策を行う。 Thus, the target file cannot be accessed from a general user program. However, since the operating system has a privilege to ignore the ACL on the file system, the following measures are taken.
5)ファイル及びファイルに付加されているACLは、暗号化して保存し、ファイルアクセスプログラムのみが復号化可能とする。 5) The file and the ACL added to the file are encrypted and stored, and only the file access program can decrypt them.
6)ファイルの配置構造を仮想化し、実際のファイル名はユーザから見えるファイル名とは異なる名前で保存する。 6) The file arrangement structure is virtualized, and the actual file name is saved under a name different from the file name visible to the user.
本実施の形態によれば、機密情報を記録したファイルをサーバ上で共有する場合に、ファイルを閲覧できる人物を制限するとともに、閲覧を許可された人物がファイルを閲覧した場合にそのファイルアクセスの記録を確実にログに残すことができる。 According to the present embodiment, when sharing a file in which confidential information is recorded on the server, the number of persons who can view the file is limited, and when a person who is permitted to view the file views the file, Records can be reliably logged.
以下、図1〜図11を参照して、本発明の実施例を説明する。 Hereinafter, embodiments of the present invention will be described with reference to FIGS.
図1に示す本実施例による共有ファイルのアクセス制御システムは、サーバクライアント型のコンピュータシステムを適用したもので、サーバ10と、このサーバ10にLAN(Local Area Network)等の通信ネットワークを介して通信可能に接続されるクライアント20とを備える。図1の例では、サーバ10及びクライアント20は、説明の都合上、それぞれ1台配置されている場合を例示しているが、複数台配置される構成でも適用可能である。
The shared file access control system according to the present embodiment shown in FIG. 1 applies a server client type computer system, and communicates with the server 10 via a communication network such as a LAN (Local Area Network). And a
クライアント20は、例えばPC(Personal Computer)等のユーザによる各種操作が可能なコンピュータマシンで構成される。このコンピュータマシンには、ハードウェア構成上、CPU(Central Processing Unit)201のほか、このCPU201にバスを介して接続されるメモリ(ROM/RAM)202や、CPU201と記憶装置(ハードディスクドライブ、光ディスクドライブ等)、表示器(CRT、液晶ディスプレイ等)、入力器(キーボード/マウス等)、通信インターフェース(LANカード等)等の各種入出力(IO)デバイス204とを接続する各種IOコントローラ203が搭載されている。
The
CPU201によりプロセスとして実行されるソフトウェアには、ファイルシステムを含むオペレーティングシステム(OS)22と、このOS22上で動作する図示しない各種IOデバイス用のドライバプログラム、通信プログラムや、その他のアプリケーションプログラム(ワードプロセッサ、表計算プログラム等)23が実装されている。OS22には、例えばWindows(登録商標)系OSが使用されるが、本発明は必ずしもこれに限らず、Linux等のUNIX(登録商標)系OS等、他のOSでも適用可能である。
The software executed as a process by the
本実施例では、クライアント20側で使用されるソフトウェアとして、OS22上で動作するクライアントプログラム21が含まれる。クライアントプログラム21は、サーバ10上の機密情報等の情報が記録された共有ファイルにアクセスしてそのファイル操作を行う際の閲覧プログラム(ビューア)として機能する。このクライアントプログラム21により表示器上に表示される画面上には、サーバ10上で共有されるフォルダ/ファイルの配置が容易に視認可能となっており、ユーザがこれを見ながら操作すべきフォルダ/ファイルの選択やアクセス等のファイル操作が行えるようになっている(例えば、後述の図9〜図11参照)。
In the present embodiment, a
サーバ10は、例えばPCサーバや専用サーバ等の1台又は複数台のコンピュータマシンで構成される。このコンピュータマシンには、ハードウェア構成上、CPU(Central Processing Unit)101のほか、このCPU101にバスを介して接続されるメモリ(ROM/RAM)102や、HDD(ハードディスクドライブ)等の記憶装置(本発明の第1及び第2の保存手段の主要部を含む)12、LANカード等の通信インターフェース等の各種入出力(IO)デバイスが搭載されている。
The server 10 is composed of one or a plurality of computer machines such as a PC server and a dedicated server. In this computer machine, in addition to a CPU (Central Processing Unit) 101, a storage device such as a memory (ROM / RAM) 102 connected to the
CPU101によりプロセスとして実行されるソフトウェアには、記憶装置12のファイル管理を担うファイルシステムを含むオペレーティングシステム(OS)17と、このOS17上で動作する図示しない各種IOデバイス用のドライバプログラム、通信プログラム、データベース管理システム(DBMS)や、その他のアプリケーションプログラムが実装されている。OS17には、例えばWindows(登録商標)系OSが使用されるが、本発明は必ずしもこれに限らず、Linux等のUNIX(登録商標)系OS等、他のOSでも適用可能である。
The software executed as a process by the
本実施例では、サーバ10側で使用されるソフトウェアとして、OS17上で動作し且つ本発明の共有ファイルのアクセス制御方法を用いたファイルアクセスプログラム11と、このファイルアクセスプログラム11と連携して動作可能なデータベース(DB)として、アカウントデータベース(A)14、アカウントデータベース(B)15、ログデータベース13、及びレジストリデータベース16が含まれている。
In this embodiment, as the software used on the server 10 side, the
アカウントデータベース(A)14には、クライアント20からサーバ10にアクセスしてくるユーザに対しそのユーザ認証等に必要なユーザ名、パスワード等のユーザアカウント141が予め登録されている。このユーザアカウント141の一例を図2に示す。図2の例では、複数のユーザ(「ユーザ名」:「User 1」、「User 2」、…、「User 5」、「パスワード」:「xxxxxxx1」、「xxxxxxx2」、…、「xxxxxxx5」)のユーザアカウント141が例示されている。
In the account database (A) 14, user accounts 141 such as user names and passwords necessary for user authentication and the like are registered in advance for users who access the server 10 from the
アカウントデータベース(B)15には、サーバ10上で共有されるフォルダ/ファイル(以下、必要に応じて「ファイル」と総称する)125にアクセスする際にファイルアクセスプログラム11が用いる専用ユーザのユーザ名、パスワード等のユーザアカウント151が予め登録されている。このユーザアカウント151の一例を図3に示す。図3の例では、専用ユーザ(「ユーザ名」:「User X」、「パスワード」:「xxxxxxxx」)のユーザアカウント151が例示されている。このユーザアカウント151は、OSに対話的にログオンすることはできない(ローカルでのログオンの権限が与えられない)ユーザとして作成され、この専用ユーザのパスワードは、ファイルアクセスプログラム11のみが認識可能となっている。このユーザアカウント151は、例えばファイルアクセスプログラム11の実装時等に作成される。
In the account database (B) 15, a user name of a dedicated user used by the
ログデータベース13には、ファイルアクセスプログラム11から出力されるログ131が記録される。このログ131には、例えば記憶装置12上に共有されるフォルダ/ファイルに対して、何時/誰が/何から/何に/どのような操作を行ったかの情報、操作の対象となったクライアント20側及びサーバ10側のファイル名及びフォルダ名等の情報(後述の図13参照)が格納される。
A
記憶装置12上には、サーバ10上で共有されるファイル125を格納するフォルダ(ディレクトリ)から成るファイル格納領域121が作成される。このファイル格納領域121は、例えばファイルアクセスプログラム11の実装時等に作成される。このファイル格納領域121を成すフォルダ及びこのフォルダ配下のファイル125へのアクセスを制限するためのOS17のファイルシステムで用いるアクセス許可情報(本発明の第1のアクセス許可情報を成す)であるACL(以下、「ファイルシステムACL」と呼ぶ)122には、ユーザアカウント151を持つ専用ユーザのみがアクセス可能な状態に設定される。
A
ファイルシステムACL122は、例えばファイルアクセスプログラム11の実装時等に、記憶装置12上に作成されるフォルダから成るファイル格納領域121と関連付けられて作成される。このACL122の例を図4に示す。
The
図4の例では、ファイル格納領域121を成すフォルダへのアクセスを制限するためのアクセス許可情報であるファイルシステム上のACL122として、「種類」:「許可」(アクセス許可)、「権限」:「フルコントロール」(ファイルの参照、書き込み、アップロード、ダウンロード等の全ての権限が与えられる)、「対象ユーザ(又は対象グループ)」:「User X」(専用ユーザ)が設定されている。即ち、ファイル格納領域121を成すフォルダへのアクセス許可は、専用ユーザのみ全ての権限が与えられ、それ以外のユーザにはアクセス許可が設定されていない。
In the example of FIG. 4, “type”: “permitted” (access permission), “authority”: “as the
ファイル格納領域121に関連付けられたファイルシステムACL122とは別に、ファイル格納領域121内の実ファイル125には、ファイルデータ124に加え、実ファイル125へのアクセスを制限するためのアクセス許可情報(本発明の第2のアクセス許可情報を成す)であるACL123が付加されている。この実ファイル125に付加されているACL123の例を図5に示す。
Apart from the
図5の例では、実ファイル125のACL123が複数のユーザ(「対象ユーザ」:「User 1」…「User 5」)毎に「種類」(「許可」又は「拒否」)及び「権限」(「参照」、「書き込み」、「ファイルのダウンロード」、「フルコントロール」等)が設定されている。例えば、「User 1」では、ファイル125への参照許可が、「User 2」では実ファイル125への書き込み許可が、「User 3」では、実ファイル125へのアクセス拒否が、「User 4」では、実ファイル125のダウンロード許可が、「User 5」では、実ファイル125への参照許可がそれぞれ設定されている。
In the example of FIG. 5, the
図6は、実ファイル125の詳細構成を示す。図6の例では、実ファイル125は、ファイルデータ124と、上記のACL123とから構成される。ファイルデータ124は、セキュリティ確保上、後述の暗号化機能115により例えばランダムな鍵で暗号化され、鍵は例えばACL123内に格納されている。一方、ACL123は、独自のタグを指定できる等の拡張性の高いマークアップ記述言語であるXML(eXtensible Markup Language)形式のファイルとして、暗号化機能115によりサーバ10のみが認識可能な暗号鍵で暗号化されている。
FIG. 6 shows the detailed configuration of the
図6の例では、実ファイル125のACL123を構成するXMLデータのタグとして、<file>(ファイルデータであることを示す最上位要素)、<enc>(ファイルの暗号化に使用した鍵情報)、<security>(アイテム(ファイル/フォルダ)のアクセス権に関する情報を表す)、<owner>(アイテム(ファイル/フォルダ)の所有者)、<Acl>(ACLを表す)、及び<Ace>(ACLのエントリを表す)等が設定されている。
In the example of FIG. 6, as XML data tags constituting the
図中の例では、<file>の属性/子要素には、data(ファイルの作成日時)、<enc>(ファイルの暗号化に使用した鍵情報)、<security>(フォルダのアクセス許可に関する情報)等が、<enc>の属性/子要素には、key(ファイルの暗号化に使用したKeyの値)等が、<security>の属性/子要素には、<owner>及び<Acl>等が、<owner>の属性/子要素には、name(所有者のユーザ名)等が、<Acl>の属性/子要素には、inherit(ACLを上位アイテム(フォルダ)から継承するかどうかを表す)、<Ace>の属性/子要素には、type(ACLの種類(許可又は拒否))、access(対象となる権限の種類を表すビットマスクの値(例えば32ビットのビットマスクとして予め定義される))、role(対象となるユーザ又はグループ)等がそれぞれ設定可能となっている。ここで、<Ace>のtype、access、及びroleが、図5に示すACL123の「種類」、「権限」、及び「対象ユーザ」にそれぞれ対応する。
In the example in the figure, the attribute / child element of <file> includes data (file creation date and time), <enc> (key information used to encrypt the file), <security> (information on folder permission) ) Etc., <enc> attribute / child element has key (Key value used for file encryption), etc. <security> attribute / child element has <owner>, <Acl>, etc. However, the attribute / child element of <owner> has name (owner's user name), etc., and the attribute / child element of <Acl> has inherit (whether to inherit ACL from the higher-level item (folder)) The attribute / child element of <Ace> has a type (ACL type (permitted or denied)), access (a bit mask value representing the type of target authority (for example, a 32-bit bit mask) )), Role (target user or group) and the like can be set. Here, type, access, and role of <Ace> correspond to “type”, “authority”, and “target user” of
ファイルアクセスプログラム11は、図1に示すように、機能上、ユーザ認証機能111、ファイル配置仮想化機能112、ログ出力機能113、ユーザ偽装機能114、及び暗号化機能115を備えている。これら各機能111〜115は、本発明の偽装手段、アクセス可否決定手段、及びログ出力手段を含むものであり、サーバ10上でCPU101がファイルアクセスプログラム11の命令を実行することによって実現される。
As shown in FIG. 1, the
ユーザ認証機能111は、クライアントプログラム21からのファイル操作(参照、書き込み、ダウンロード、アップロード、削除等)の要求を受けたときに、要求を出したユーザのユーザ情報(ユーザ名及びパスワード等)と、アカウントデータベース(A)14のユーザアカウント141(ユーザ名及びパスワード等)とを比較して、ユーザ認証の処理を実行する。また、要求対象の実ファイル125のACL123に基づき、ユーザの権限確認の処理を実行する。
When the user authentication function 111 receives a request for file operation (reference, write, download, upload, delete, etc.) from the
ファイル配置仮想化機能112は、図7に示すように、記憶装置12のファイル格納領域121内で階層構造をとらずに全て同じ階層に配置される実ファイル125を、クライアントプログラム21により表示されるクライアント20上の表示画面では、フォルダ配下で階層構造をとって異なる階層に配置可能なファイルとして、仮想的に見せかける機能を有している。
As shown in FIG. 7, the file
このとき、クライアントプログラム21から見えるフォルダは、仮想的なものであり、実際には、図8に示すように、ファイル格納領域121内でXML形式のファイルとして格納される。この仮想的なフォルダに対応するXMLファイル(以下、「仮想フォルダ定義ファイル」と呼ぶ)は、暗号化機能115により暗号化されて格納される。本実施例では、仮想フォルダ定義ファイル161は、ファイル格納領域121内に格納される。また、仮想フォルダ定義ファイル161のルート情報は、レジストリデータベース16内に格納される。
At this time, the folder that can be seen from the
この仮想フォルダ定義ファイル161には、仮想フォルダ配下に含まれるファイル及びフォルダ(サブ仮想フォルダ)のリストと、仮想フォルダのACLとが記述される。リストには、クライアントプログラム21から見える仮想的なファイルの「ファイル名」又はフォルダの「フォルダ名」と、これに対応するファイル格納領域121内の実ファイル125の「実ファイル名」とが互いに関連付けられてペアで記述される。
In the virtual
また、クライアントプログラム21から見えるファイルは、仮想的なものであり、実際には、ファイル格納領域121内では実ファイル125のファイルデータ124にACL123を付加した形で格納される。この実ファイル125のファイルデータ124及びACL123は、暗号化機能115によりそれぞれ暗号化されて格納される。
The file seen from the
図9は、仮想フォルダ定義ファイル161の詳細構成を示す。
FIG. 9 shows a detailed configuration of the virtual
図9の例では、仮想フォルダ定義ファイル161として、<folder>(フォルダ定義ファイルであることを示す最上位要素)、<items>(フォルダ内のアイテム(ファイル/フォルダ)のリストを表す)、<item>(フォルダ内のサブアイテム(ファイル/フォルダ)のリストを表す)、<security>(ファイル/フォルダのアクセス権に関する情報を表す)、<Acl>(ACLを表す)、<Ace>(ACLのエントリを表す)等が設定されている。
In the example of FIG. 9, as the virtual
図中の例では、<folder>の属性/子要素には、<items>及び<security>(フォルダのアクセス許可に関する情報)等が、<items>の属性/子要素には、<item>等が、<item>の属性/子要素には、type(アイテムの種類)、name(アイテムの表示名)id(アイテムの実アイテム名)、data(アイテムの作成日時)、size(ファイルのサイズ)が、<security>の属性/子要素には、<owner>及び<Acl>等が、<owner>の属性/子要素には、name(所有者のユーザ名)等が、<Acl>の属性/子要素には、inherit(ACLを上位アイテム(フォルダ)から継承するかどうかを表す)、<Ace>の属性/子要素には、type(ACLの種類(許可又は拒否))、access(対象となる権限の種類を表すビットマスクの値(例えば32ビットのビットマスクとして予め定義される))、role(対象となるユーザ又はグループ)等がそれぞれ設定可能となっている。ここで、<Ace>のtype、access、及びroleが、図5に示すACL123の「種類」、「権限」、及び「対象ユーザ」にそれぞれ対応する。
In the example in the figure, <items> and <security> (information on folder access permissions) are included in the <folder> attribute / child element, and <item> is included in the <items> attribute / child element. However, the attribute / child element of <item> includes type (item type), name (item display name) id (actual item name), data (item creation date and time), size (file size) However, the <security> attribute / child element has <owner> and <Acl>, etc. The <owner> attribute / child element has name (owner's user name) etc., and the <Acl> attribute / Child element has inherit (indicates whether ACL is inherited from higher level item (folder)), <Ace> attribute / Child element has type (ACL type (allowed or denied)), access (target Bit mask value indicating the type of authority to be (eg, pre-defined as a 32-bit bit mask), role (target user or Loop) and the like have made can be set, respectively. Here, type, access, and role of <Ace> correspond to “type”, “authority”, and “target user” of
前述の図8の例では、クライアント20側のクライアントプログラム21から見える仮想的なフォルダ(Folder A)に対応する仮想フォルダ定義ファイル161を成すXMLファイルには、フォルダ内のサブアイテム及びフォルダのアクセス権の情報が書き込まれている。この場合、フォルダ内のサブアイテムとしてFolder B及び文書1.docが含まれ、Folder Bが実ファイル名「18ACB256-486-...」の実ファイルに、文書1.docが実ファイル名「24987A45-FF14-...」の実ファイルにそれぞれ対応するように設定されている。また、フォルダのアクセス権の「対象ユーザ」として3つのグループ(フルパス名:「\Domain\group1」、「\Domain\group2」、「\Domain\group3」)が含まれ、各グループ毎にアクセス権の「種類」(許可又は拒否)及び「権限」(読み込み、フルコントロール等)が設定されている。
In the example of FIG. 8 described above, the access rights of the subitems and folders in the folder are included in the XML file that forms the virtual
ログ出力機能113は、クライアントプログラム21からのファイルアクセスの要求に対して、何時/誰が/何から/何に/どのような操作を行ったかの情報、操作の対象となったクライアント20側及びサーバ10側のファイル名及びフォルダ名等の情報を、ログ131(後述の図13参照)としてログデータベース13に出力する。
The
ユーザ偽装機能114は、ファイル格納領域121内へファイルアクセスする際、実行中のプロセス(スレッド)内で実行ユーザのユーザアカウント141を変更して、専用ユーザのユーザアカウント151に偽装させる機能を有する。
The
次に、本実施例の全体動作について説明する。 Next, the overall operation of this embodiment will be described.
ここでは、図10〜図13を参照して、クライアント20からサーバ10上のファイル125を取得する場合の動作を説明する。
Here, the operation when the
図10は、サーバ10側及びクライアント20側のそれぞれの動作シーケンスを示すフローチャート、図11は、その動作の流れを模式的に示す概略図である。図10のフローチャートに示す処理のうち、サーバ10側の処理は、CPU201がOS17の動作環境下でファイルアクセスプログラム11を実行することにより行われる。また、クライアント20側の処理は、CPU201がOS22の動作環境下でクライアントプログラム21を実行することにより行われる。
FIG. 10 is a flowchart showing the respective operation sequences on the server 10 side and the
ここでは、ファイル格納領域121内に実ファイル125が保存され、この保存時に、ACL123がファイルデータ124に付加されると共に、それぞれ暗号化機能115により暗号化されているものとする。このとき、ファイル配置仮想化機能112にて、実ファイル125のファイル名は、クライアントプログラム21側のファイル名とは異なるように保存されている。また、ファイル配置仮想化機能112により作成される仮想フォルダ定義ファイル161は、クライアントプログラム21側の実ファイル125のパス名と、ファイル格納領域121内の実ファイルの実ファイル名とが互いに関連付け可能なXMLファイルとして作成され、暗号化機能115により暗号化されて、ファイル格納領域121内に保存されている。
Here, it is assumed that the
このような状態で、まず、クライアント20側にて、サーバ10上のファイル125へのファイルアクセスに際し、クライアントプログラム21が起動され(ステップA1)、その画面(図7中のクライアントプログラム側表示画面参照)が表示される(ステップA2)。ユーザがこの画面を見ながら取得対象のファイルが選択され、選択されたファイルに対するファイル取得の要求がユーザ認証に必要なユーザ情報(ユーザ名及びパスワード等)と共にサーバ10側に転送される(ステップA1)。
In such a state, first, on the
これに応答して、サーバ10側では、クライアント20側のクライアントプログラム21からファイル取得の要求を受けると、ファイルアクセスプログラム11が起動され(ステップB1)、ユーザ認証機能111にて、ユーザアカウントデータベース(A)14のユーザアカウント141を参照して、ユーザ認証が行われる(ステップB2)。これにより、認証された場合(ステップB3:YES)は、次処理に移行し、認証が行えなかった場合(ステップB3:NO)は、この時点で処理が中止される。
In response to this, on the server 10 side, when a file acquisition request is received from the
次いで、ログ出力機能113にて、クライアント20側からの要求内容をログデータベース13に出力する(ステップB4)。このとき、ログが出力できなかった場合は、処理が中止される。
Next, the
次いで、ユーザ偽装機能114にて、アカウントデータベース(B)15の専用ユーザのユーザアカウント151を参照して、ファイルシステムACL122に基づき専用ユーザ151に偽装する(ステップB5)。そして、ファイル配置仮想化機能112にて、ファイル格納領域121内の仮想フォルダ定義ファイル161を参照して、要求があった仮想ファイルのパス名を解析して、そのパス名に対応する実ファイル125の実ファイル名を得る(ステップB6)。この処理例を図12に示す。
Next, the
図12の例では、クライアントプログラム21側の表示画面上で、最上位フォルダであるルートフォルダ(\)の下位階層に形成されたサブフォルダ(Folder A)内のさらに下位階層に形成されたサブフォルダ(Folder B)内に保管されている文書2.doc(パス名:\FolderA\FolderB\文書2.doc)にアクセスした場合を示す。
In the example of FIG. 12, on the display screen on the
この場合、ファイル配置仮想化機能112は、レジストリデータベース16内のルート情報及びファイル格納領域121内の仮想フォルダ定義ファイル161を参照しながら、まず、レジストリデータベース16内のルート情報(Root=...)から、パス名の最上位フォルダであるルートフォルダ(\)に対応する仮想フォルダ定義ファイル161(XMLファイル)のフォルダ名「7481AD43-02DF...」を得る。次いで、ファイル格納領域121内の該当フォルダ名の仮想フォルダ定義ファイル161から、パス名中の「FolderA」に対応する仮想フォルダ定義ファイル161(XMLファイル)のフォルダ名「936DA01F-9ABD...」を得る。次いで、ファイル格納領域121内の該当フォルダ名の仮想フォルダ定義ファイル161から、パス名中の「FolderB」に対応する仮想フォルダ定義ファイル161(XMLファイル)のフォルダ名「18ACB256-4876...」を得る。次いで、ファイル格納領域121内の該当フォルダ名の仮想フォルダ定義ファイル161から、パス名中の「文書2.doc」に対応する実ファイル125の実ファイル名「24987A45-FF14...」を得る。
In this case, the file
次いで、ファイル格納領域121内から実ファイル125のACL123及びファイルデータ124を読み込み(ステップB7)、暗号化機能115にて、実ファイル125内のACL123を復号化し、復号化されたACL123と認証済みのユーザ情報(ユーザ名等)とを比較して(ステップB8)、該当ユーザにファイル取得の権限があるかどうかを判断する(ステップB9)。
Next, the
次いで、上記ステップB9の処理でファイル取得可(YES)の場合は、実ファイル125内のファイルデータ124を復号し、クライアントプログラム21に転送する(ステップB10)。これにより、クライアント20側では、サーバ側10からファイルデータ124を取得し(ステップA4)、そのファイルデータ124に対する各種ファイル操作が行われる(ステップA5)。一方、上記ステップB9の処理でファイル取得付加(NO)の場合は、上記ステップB10の処理は行わない。
Next, when file acquisition is possible (YES) in the process of step B9, the
一方、サーバ10側では、ログ出力機能113にて、上記ステップB9の処理によるファイル取得の可否情報をログデータベース13に出力する(ステップB11)。ここで、ログデータベース13に出力される内容は、クライアント20の「ユーザ名」、「マシン名」等の他、クライアント10側から受け取った情報を出力することも可能なため、自由度の高いログ131を出力することが可能となる。このログ131の出力例を図13に示す。
On the other hand, on the server 10 side, the
図13の例では、ログ131の情報として、「日時」(ファイル格納領域121に対して操作された日時)、「ユーザ名」(ファイル格納領域121に対して操作を行ったユーザ名)、「操作の種類」(ファイル格納領域121に対して実行した操作の種類:フォルダの生成、フォルダの削除、フォルダの名前変更、ファイルをアップロード、ファイルをダウンロード、ファイルの削除、ファイルの名前変更、アクセス許可情報(ACL)設定、所有権設定等)、「サーバ側操作対象1」(ファイル格納領域121内の操作対象フォルダ/ファイルのフルパス名)、「サーバ側操作対象2」(ファイル格納領域121内の操作対象ファイル名:ファイルの名前変更時のみ変更後の名前として表示される)、「クライアント側操作対象」(操作対象となったクライアント10側のファイル名)、「操作の結果」(ファイル格納領域121に対する操作結果:受付、許可、非許可、異常等)、「マシン名」(操作が行われたクライアント10側のマシン名)、「IPアドレス」(操作が行われたクライアント10側のマシンのIPアドレス)等が出力されている。 In the example of FIG. 13, as the information of the log 131, “date and time” (date and time when the file storage area 121 was operated), “user name” (user name who performed the operation on the file storage area 121), “ Type of operation "(type of operation executed on the file storage area 121: folder creation, folder deletion, folder renaming, file uploading, file downloading, file deletion, file renaming, access permission Information (ACL) setting, ownership setting, etc., “server side operation target 1” (full path name of the operation target folder / file in the file storage area 121), “server side operation target 2” (in the file storage area 121) Operation target file name: Displayed as the new name only when the file is renamed), "Client side operation target" (operation File name on the client 10 side), “operation result” (operation result on the file storage area 121: reception, permission, non-permission, abnormality, etc.), “machine name” (client 10 side where the operation was performed) Machine name), “IP address” (IP address of the machine on the client 10 side where the operation is performed), and the like are output.
従って、本実施例によれば、ファイルを取得する専用のプログラムを提供することと、それ以外のプログラムからファイルにアクセスできないようにしたため、権限のあるユーザがファイルを取得した場合に確実で精度の高いログを残すことができ、これにより権限のあるユーザによる情報漏洩を効果的に抑止することが可能となる。 Therefore, according to the present embodiment, since a dedicated program for obtaining a file is provided and the file cannot be accessed from other programs, it is ensured that an authorized user obtains the file with a certain degree of accuracy. It is possible to leave a high log, and it is possible to effectively suppress information leakage by an authorized user.
なお、本発明の他の実施例として、ファイルにアクセスできるプログラムを限定する方法には、以下の方法もある。また、これは前述の実施例と併用することもできる。この例では、ファイルシステムフィルタドライバにより対象ファイルへのイベントを監視し、ファイルアクセスプログラム11以外のプロセスからのアクセスを拒否する。ファイルアクセスプログラム11のユーザ認証機能111は、外部の機能、例えば統合Windows(登録商標)認証等のオペレーティングシステムの機能を使用して、認証済みのユーザ情報のみを取得する構成であっても構わない。
As another embodiment of the present invention, there are the following methods for limiting the programs that can access a file. This can also be used in combination with the previous embodiment. In this example, an event to the target file is monitored by the file system filter driver, and access from a process other than the
また、本実施例では、クライアント側でファイル取得後に実行されるコピー等のファイル操作については特に言及していないが、応用例として、例えば本出願人が先行して出願している特願2004−275383で開示されている文書ファイルコピー移動監視システムを組み合わせることにより、上記ファイルアクセスプログラム11から出力されるログに加え、ファイル取得後のクライアント側のファイル操作により最終的にどこにコピー又は移動されたか等の記録をログに残すことが可能となる。これによれば、上記効果をより一層高めることができる。
In this embodiment, file operations such as copying executed after file acquisition on the client side is not particularly mentioned, but as an application example, for example, Japanese Patent Application No. 2004 filed earlier by the present applicant. By combining the document file copy movement monitoring system disclosed in H.275383, in addition to the log output from the
なお、本実施例では、第2のアクセス許可情報を成すACL123は、実ファイル125のファイルデータ124に付加して保存される場合を例示しているが、本発明は必ずしもこれに限定されるものではなく、第2のアクセス許可情報はファイルデータ124に関連付けて保存可能な構成であればよく、例えばファイル格納領域121内に実ファイル125のファイルデータ124とそのACL123とが互いに関連付けられた個別のファイルとして格納されていてもよい。
In the present embodiment, the
本発明によれば、より高度にセキュリティが要求されるファイルの管理や、企業の情報漏洩対策といった用途に適用できる。 INDUSTRIAL APPLICABILITY According to the present invention, it can be applied to uses such as management of files that require higher security and countermeasures against information leakage of companies.
10 サーバ
11 ファイルアクセスプログラム
12 記憶装置
13 ログデータベース
14 アカウントデータベース(A)
15 アカウントデータベース(B)
16 レジストリデータベース
17 オペレーティングシステム
20 クライアント
21 クライアントプログラム
22 オペレーティングシステム
23 アプリケーションプログラム
101 CPU(サーバ)
102 メモリ(サーバ)
111 ユーザ認証機能
112 ファイル配置仮想化機能
113 ログ出力機能
114 ユーザ偽装機能
115 暗号化機能
121 ファイル格納領域
122 ファイルシステムACL
123 ACL
124 ファイルデータ(ファイル)
125 ファイル(実ファイル)
161 仮想フォルダ定義ファイル
201 CPU(クライアント)
202 メモリ(クライアント)
203 IOコントローラ
204 IOデバイス
10
15 Account database (B)
16
102 memory (server)
111
123 ACL
124 File data (file)
125 files (actual files)
161 Virtual
202 memory (client)
203
Claims (21)
第1の保存手段が、前記ファイルを格納するためのファイル格納領域内のアクセス権限を予め専用ユーザ用のユーザアカウントが設定された専用ユーザのみに制限するための第1のアクセス許可情報を保存するステップと、
第2の保存手段が、前記ファイル格納領域内に前記ファイルが保存されるときに、当該ファイルのアクセス権限を前記複数のユーザ毎に制限するための第2のアクセス許可情報を当該ファイルに関連付けて保存するステップと、
偽装手段が、前記ファイルがアクセスされるときに、ユーザ認証されたユーザが前記専用ユーザとなるように偽装して前記第1のアクセス許可情報を元に前記ファイル格納領域へアクセスして前記ファイルを読み込むステップと、
アクセス可否決定手段が、読み込まれた前記ファイルに関連付けられた前記第2のアクセス許可情報を元に前記ユーザ認証されたユーザによる前記ファイルのアクセス可否を決定するステップと、
を有することを特徴とする共有ファイルのアクセス制御方法。 A file access control method that can be shared by multiple users,
A first storage unit stores first access permission information for limiting access authority in a file storage area for storing the file to only a dedicated user for which a dedicated user account has been set in advance. Steps,
When the second storage unit stores the file in the file storage area , the second storage unit associates second access permission information for restricting access authority of the file for each of the plurality of users with the file. Saving step;
When the file is accessed , a camouflage means camouflages the user authenticated user to be the dedicated user and accesses the file storage area based on the first access permission information. A step to read,
An access permission / non-permission determining unit determining whether or not the user authenticated by the user authenticated based on the second access permission information associated with the read file;
A method for controlling access to a shared file, comprising:
前記ファイルを読み込むステップは、前記偽装手段が、前記第2のアクセス許可情報及び前記ファイルのデータを個別に復号化して読み込むステップであることを特徴とする請求項1又は2に記載の共有ファイルのアクセス制御方法。 The step of storing the second access permission information is a step in which the second storage unit individually encrypts and stores the second access permission information and the file data.
3. The shared file according to claim 1, wherein the step of reading the file is a step in which the impersonation unit decrypts and reads the second access permission information and the data of the file individually. Access control method.
前記ファイルを格納するためのファイル格納領域内のアクセス権限を予め専用ユーザ用のユーザアカウントが設定された専用ユーザのみに制限するための第1のアクセス許可情報を保存する第1の保存手段と、
前記ファイル格納領域内に前記ファイルが保存されるときに、当該ファイルのアクセス権限を前記複数のユーザ毎に制限するための第2のアクセス許可情報を当該ファイルに関連付けて保存する第2の保存手段と、
前記ファイルがアクセスされるときに、ユーザ認証されたユーザが前記専用ユーザとなるように偽装して前記第1のアクセス許可情報を元に前記ファイル格納領域へアクセスして前記ファイルを読み込む偽装手段と、
読み込まれた前記ファイルに関連付けられた前記第2のアクセス許可情報を元に前記ユーザ認証されたユーザによる前記ファイルのアクセス可否を決定するアクセス可否決定手段と、
を有することを特徴とする共有ファイルのアクセス制御システム。 A file access control system that can be shared by multiple users,
First storage means for storing first access permission information for limiting access authority in a file storage area for storing the file to only a dedicated user for which a user account for the dedicated user is set in advance;
Second storage means for storing, in association with the file, second access permission information for limiting access authority of the file for each of the plurality of users when the file is stored in the file storage area When,
Impersonation means for impersonating a user authenticated user to be the dedicated user when accessing the file, accessing the file storage area based on the first access permission information, and reading the file ,
Access permission determination means for determining whether the user authenticated by the user authenticated based on the second access permission information associated with the read file;
A shared file access control system comprising:
前記偽装手段は、前記第2のアクセス許可情報及び前記ファイルのデータを個別に復号化して読み込むものであることを特徴とする請求項6又は7に記載の共有ファイルのアクセス制御システム。 The second storage means is configured to individually encrypt and store the second access permission information and the file data,
8. The shared file access control system according to claim 6 or 7, wherein the camouflage means individually decrypts and reads the second access permission information and the file data.
前記第1及び第2の保存手段、前記偽装手段、前記アクセス可否決定手段、及び前記ログ出力手段は、前記サーバ装置によるプログラム制御で機能するよう構成されていることを特徴とする請求項6から10のいずれか1項に記載の共有ファイルのアクセス制御システム。 The access control system includes a server device that has a storage device that stores the shared file and operates under program control, and a client device that is communicably connected to the server device and operates under program control.
The first and second storage means, the impersonation means, the access permission determination means, and the log output means are configured to function by program control by the server device. The shared file access control system according to claim 10.
前記ファイルを格納するためのファイル格納領域内のアクセス権限を予め専用ユーザ用のユーザアカウントが設定された専用ユーザのみに制限するための第1のアクセス許可情報を保存する第1の保存手段と、
前記ファイル格納領域内に前記ファイルが保存されるときに、当該ファイルのアクセス権限を前記複数のユーザ毎に制限するための第2のアクセス許可情報を当該ファイルに関連付けて保存する第2の保存手段と、
前記ファイルがアクセスされるときに、ユーザ認証されたユーザが前記専用ユーザとなるように偽装して前記第1のアクセス許可情報を元に前記ファイル格納領域へアクセスして前記ファイルを読み込む偽装手段と、
読み込まれた前記ファイルに関連付けられた前記第2のアクセス許可情報を元に前記ユーザ認証されたユーザによる前記ファイルのアクセス可否を決定するアクセス可否決定手段と、
を有することを特徴とするサーバ装置。 A server device that is communicably connected to a client device and that stores a file that can be shared by a plurality of users of the client device in an accessible manner,
First storage means for storing first access permission information for limiting access authority in a file storage area for storing the file to only a dedicated user for which a user account for the dedicated user is set in advance;
Second storage means for storing, in association with the file, second access permission information for limiting access authority of the file for each of the plurality of users when the file is stored in the file storage area When,
Impersonation means for impersonating a user authenticated user to be the dedicated user when accessing the file, accessing the file storage area based on the first access permission information, and reading the file ,
Access permission determination means for determining whether the user authenticated by the user authenticated based on the second access permission information associated with the read file;
The server apparatus characterized by having.
前記偽装手段は、前記第2のアクセス許可情報及び前記ファイルのデータを個別に復号化して読み込むものであることを特徴とする請求項12又は13に記載のサーバ装置。 The second storage means is configured to individually encrypt and store the second access permission information and the file data,
The server device according to claim 12 or 13, wherein the camouflaging unit is configured to individually decode and read the second access permission information and the file data.
前記ファイルを格納するためのファイル格納領域内のアクセス権限を予め専用ユーザ用のユーザアカウントが設定された専用ユーザのみに制限するための第1のアクセス許可情報を保存するステップと、
前記ファイル格納領域内に前記ファイルが保存されるときに、当該ファイルのアクセス権限を前記複数のユーザ毎に制限するための第2のアクセス許可情報を当該ファイルに関連付けて保存するステップと、
前記ファイルがアクセスされるときに、ユーザ認証されたユーザが前記専用ユーザとなるように偽装して前記第1のアクセス許可情報を元に前記ファイル格納領域へアクセスして前記ファイルを読み込むステップと、
読み込まれた前記ファイルに関連付けられた前記第2のアクセス許可情報を元に前記ユーザ認証されたユーザによる前記ファイルのアクセス可否を決定するステップと、
をコンピュータに実行させることを特徴とする共有ファイルのアクセス制御プログラム。 A file access control program that can be shared by multiple users,
Storing first access permission information for limiting access authority in a file storage area for storing the file to only a dedicated user for which a user account for the dedicated user is set in advance;
Storing the second access permission information for restricting the access authority of the file for each of the plurality of users in association with the file when the file is stored in the file storage area;
When the file is accessed, the user authenticated user is impersonated to become the dedicated user, accessing the file storage area based on the first access permission information, and reading the file;
Determining whether to allow access to the file by the user authenticated by the user based on the second access permission information associated with the read file;
A shared file access control program for causing a computer to execute
前記ファイルを読み込むステップは、前記第2のアクセス許可情報及び前記ファイルのデータを個別に復号化して読み込むステップであることを特徴とする請求項17又は18に記載の共有ファイルのアクセス制御プログラム。 The step of storing the second access permission information is a step of individually encrypting and storing the second access permission information and the file data,
19. The shared file access control program according to claim 17, wherein the step of reading the file is a step of individually decoding and reading the second access permission information and the data of the file.
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004371037A JP4371995B2 (en) | 2004-12-22 | 2004-12-22 | Shared file access control method, system, server device, and program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2004371037A JP4371995B2 (en) | 2004-12-22 | 2004-12-22 | Shared file access control method, system, server device, and program |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2006178724A JP2006178724A (en) | 2006-07-06 |
JP4371995B2 true JP4371995B2 (en) | 2009-11-25 |
Family
ID=36732786
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2004371037A Expired - Fee Related JP4371995B2 (en) | 2004-12-22 | 2004-12-22 | Shared file access control method, system, server device, and program |
Country Status (1)
Country | Link |
---|---|
JP (1) | JP4371995B2 (en) |
Families Citing this family (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
EP2693357A4 (en) | 2011-03-31 | 2015-07-08 | Fujitsu Ltd | Management device, management program, and management method |
JP6391143B2 (en) * | 2014-02-17 | 2018-09-19 | 三菱日立パワーシステムズ株式会社 | Access control apparatus, information sharing system, program, and access control method |
JP6563866B2 (en) * | 2016-07-13 | 2019-08-21 | 日本電信電話株式会社 | Encryption function providing system and encryption function providing method |
JP7238498B2 (en) * | 2019-03-13 | 2023-03-14 | 富士フイルムビジネスイノベーション株式会社 | Information processing device and program |
-
2004
- 2004-12-22 JP JP2004371037A patent/JP4371995B2/en not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JP2006178724A (en) | 2006-07-06 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11057355B2 (en) | Protecting documents using policies and encryption | |
US7904732B2 (en) | Encrypting and decrypting database records | |
CN109416720A (en) | Across resetting attended operation system secret | |
US11849026B2 (en) | Database integration with an external key management system | |
US8132261B1 (en) | Distributed dynamic security capabilities with access controls | |
JP2003242015A (en) | Managing file access via designated place | |
JP3976738B2 (en) | Confidential document management apparatus, confidential document management method, and confidential document management program | |
US11941139B2 (en) | Application-specific access privileges in a file system | |
JP4830576B2 (en) | Information processing apparatus, data management method, program | |
US8095966B1 (en) | Methods and apparatus for password management | |
JP4371995B2 (en) | Shared file access control method, system, server device, and program | |
GB2603593A (en) | Secure smart containers for controlling access to data | |
Miroshnikov | Windows security monitoring: scenarios and patterns | |
JP2002304231A (en) | Computer system | |
US10970408B2 (en) | Method for securing a digital document | |
US20080253559A1 (en) | Data Security Method, System and Storage Medium for Preventing a Desktop Search Tool from Exposing Encrypted Data | |
WO2020077048A1 (en) | Methods for securing and accessing a digital document | |
US8666945B1 (en) | Method and apparatus for utilizing securable objects in a computer network | |
JP2013025495A (en) | Dynamic icon overlay system and method for creating dynamic overlay | |
US20200117816A1 (en) | Methods for securing and accessing a digital document | |
JP5389216B2 (en) | Information provision system | |
Bettany et al. | Managing and Troubleshooting Encryption | |
Walsh et al. | Trust in a Principled Filesystem | |
JP2009080711A (en) | Information leakage prevention system | |
JP2011198255A (en) | Content protection device |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20080514 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090701 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090727 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20090817 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20090901 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20120911 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Ref document number: 4371995 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130911 Year of fee payment: 4 |
|
S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313111 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
LAPS | Cancellation because of no payment of annual fees |