JP4473256B2 - アプリケーションプログラムによるリソースアクセスを制御するための情報処理装置、方法、及びプログラム - Google Patents

アプリケーションプログラムによるリソースアクセスを制御するための情報処理装置、方法、及びプログラム Download PDF

Info

Publication number
JP4473256B2
JP4473256B2 JP2006351606A JP2006351606A JP4473256B2 JP 4473256 B2 JP4473256 B2 JP 4473256B2 JP 2006351606 A JP2006351606 A JP 2006351606A JP 2006351606 A JP2006351606 A JP 2006351606A JP 4473256 B2 JP4473256 B2 JP 4473256B2
Authority
JP
Japan
Prior art keywords
resource access
information processing
processing apparatus
function call
access condition
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2006351606A
Other languages
English (en)
Other versions
JP2008165325A (ja
Inventor
明宏 小倉
聡子 利根川
実裕 古市
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Priority to JP2006351606A priority Critical patent/JP4473256B2/ja
Priority to CN200710192736A priority patent/CN100583116C/zh
Priority to TW096145888A priority patent/TW200834317A/zh
Priority to US11/954,144 priority patent/US7996854B2/en
Publication of JP2008165325A publication Critical patent/JP2008165325A/ja
Application granted granted Critical
Publication of JP4473256B2 publication Critical patent/JP4473256B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/554Detecting local intrusion or implementing counter-measures involving event detection and direct action

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Storage Device Security (AREA)
  • Computer And Data Communications (AREA)
  • Stored Programmes (AREA)
  • Telephonic Communication Services (AREA)

Description

本発明はアプリケーションプログラムによりオペレーティングシステムを介してなされるリソースアクセスの制御に関し、特にアプリケーションプログラムが動作している情報処理装置の使用環境や使用状況に応じてリソースアクセスを制御する技術に関する。
従来、アクセス権限のないユーザに対して情報の持ち出しを全面的に拒否するために、ユーザのアクセス権限に応じて、印刷、ファイルの移動やコピー、フレキシブルディスクへの別名保存、画面のキャプチャー等の機能を情報処理装置において制限する技術が提案されている(例えば、特許文献1を参照。)。
特許文献1の技術では、ファイル、ネットワーク、記憶装置、表示画面、外部付属装置等のオペレーティングシステムが管理するコンピュータリソースに対する操作要求は、最初にソース管理プログラムによって捕捉される。操作要求を補足したソース管理プログラムは、操作要求によって指定されるコンピュータリソースに対するアクセス権限があるか否かを判定し、判定の結果、アクセス権限があれば当該操作要求通りにオペレーティングシステムに渡し、一方、アクセス権限がなければ当該操作要求を拒否する。
特開2003−44297号公報
しかしながら、上記の技術においては、ユーザおよびコンピュータリソースの組に対応付けて、そのリソースに対するアクセスの可否が定められている。アクセスの可否は、管理者等により静的に定められる。このため、上記技術では、情報処理装置の使用環境または使用状況に基づいて、アクセスの可否を変更することはできなかった。例えば、情報処理装置が社内などの安全な場所で使用されているなど、情報処理装置の使用環境に基づいてアクセスを許可または拒否することができなかった。また、情報処理装置にUSBメモリが接続されているなど、情報処理装置の使用状況に基づいてアクセスを許可または拒否することはできなかった。
そこで本発明は、上記の課題を解決することのできるアプリケーションプログラムによるオペレーティングシステムを介するデータアクセスを制御するための装置、方法およびプログラムを提供することを目的とする。
上記の目的を達成する本発明は、次のような、情報処理装置において実行される、情報処理装置上で動作するアプリケーションプログラムによるリソースアクセスを制御する方法によって実現される。この方法ではまず、情報処理装置に接続されるデバイスの接続状態または使用状態の変化を検知する。接続状態または使用状態の変化を検知すると、デバイスの接続状態または使用状態ごとに適用すべきリソースアクセス条件を対応付けるテーブルを参照して、情報処理装置に適用するリソースアクセス条件を選択する。選択したリソースアクセス条件は条件格納部に格納しておく。そして、アプリケーションプログラムによりオペレーティングシステムに対して発行されたリソースアクセスのための複数の関数呼び出しを捕捉すると、条件格納部からリソースアクセス条件を読み出し、当該リソースアクセス条件に基づいて捕捉した関数呼び出しを許可するか否か判断する。捕捉した関数呼び出しを許可しないと判断すると、関数呼び出しを拒否する。
ここで、リソースとは、ファイル、メインメモリ、外部記憶装置、プロセス等のオペレーティングシステムが管理するコンピュータリソースをいう。また、リソースアクセスのための複数の関数呼び出しとは、リソースの閲覧、作成、削除、複製、移動、共有メモリへの読み込み、印刷、及びプロセスの起動のための関数呼び出しを含むデータアクセスのための全種類の関数呼び出しである。
好ましくは、上記デバイスは、ネットワークデバイス、外部ディスプレイ、及び外部メディアの少なくとも1つを含む。ここで、外部メディアとは、情報処理装置から外付けドライブとして認識されるすべてのメディアをいい、例えばUSBメモリ、CD−ROM/DVD−ROM、コンパクトフラッシュ及びSDカードなどの記憶媒体や、外付けのハードディスクドライブ、デジタルカメラなどの周辺機器を含む。
好ましくは、上記検知するステップは、ネットワークデバイスの使用状態の変化を検知するステップを含む。そして、上記選択するステップは、無線のネットワークデバイスが使用可能となった場合に、有線のネットワークデバイスが使用可能となった場合に比べてより厳しいリソースアクセス条件を選択するステップを含む。
また好ましくは、上記検知するステップは、ネットワークデバイスの使用状態の変化を検知した場合に、情報処理装置が接続されたネットワークの安全性を示しうる種類を取得するステップを更に含む。そして、上記選択するステップは、ネットワークデバイスが使用可能となり、かつ接続されたネットワークの種類がセキュアなネットワークを示さない場合に、ネットワークデバイスが使用可能となり、かつネットワークの種類がセキュアなネットワークを示す場合に比べてより厳しいリソースアクセス条件を選択するステップを含む。
また好ましくは、上記検知するステップは、外部ディスプレイの接続状態の変化を検知するステップを含む。そして上記選択するステップは、外部ディスプレイが接続された場合に、所定のデータに対し閲覧のための関数呼び出しを拒否するアクセス条件を選択するステップを含む。
また好ましくは、上記検知するステップは、外部メディアの接続状態または使用状態の変化を検知するステップを含む。そして上記選択するステップは、外部メディアが接続されまたは使用可能となった場合に、外部メディアから起動されるプロセスとそれ以外のプロセスとに対し異なる条件でリソースをアクセスさせるリソースアクセス条件を選択するステップを含む。
また好ましくは、上記検知するステップは、外部メディアが接続されたことまたは使用可能となったことを検知した場合に、外部メディアのハードウェア識別情報を取得するステップを更に含む。そして上記選択するステップは、外部メディアが接続されまたは使用可能となった場合に、外部メディアのハードウェア識別情報に基づいて、情報処理装置に適用するリソースアクセス条件を選択するステップを含む。なお、ハードウェア識別情報としては、製造元、型番、シリアル番号などを利用する。
また好ましくは、デバイスの接続状態または使用状態の変化の検知に応答して、検出したデバイスの接続状態または使用状態を状態格納部に格納するステップを更に含む。また、上記テーブルは、複数のデバイスの接続状態または使用状態の組み合わせごとに適用すべきリソースアクセス条件を対応付け、上記選択するステップは、状態格納部から現在の各デバイスの接続状態又は使用状態を読み出し、複数のデバイスの接続状態または使用状態の組み合わせごとに適用すべきリソースアクセス条件を対応付けるテーブルを参照して、情報処理装置に適用するリソースアクセス条件を選択するステップを含む。
以上、情報処理装置において、オペレーティングシステムを介するリソースアクセスを制御する方法として本発明を説明したが、本発明は、そのような方法を情報処理装置に実行させるためのプログラムとして把握することもできる。また本発明は、オペレーティングシステムを介するデータアクセスを制御するための情報処理装置として把握することもできる。
本発明によれば、情報処理装置の使用環境または使用状況に基づいて、オペレーティングシステムを介するリソースアクセスを拒否し、または許可することが可能となる。
以下、本発明を実施するための最良の形態を図面に基づいて詳細に説明するが、以下の実施形態は特許請求の範囲にかかる発明を限定するものではなく、また実施形態の中で説明されている特徴の組み合わせの全てが発明の解決手段に必須であるとは限らない。なお、実施の形態の説明の全体を通じて同じ要素には同じ番号を付している。
図1は、本発明の実施の形態において使用可能である情報処理装置のハードウェア構成の一例を示す。情報処理装置100は、ホストコントローラ110により相互に接続されるCPU105、RAM115、グラフィックコントローラ120、ディスプレイ125及び外部ディスプレイ180を含むCPU周辺部と、入出力コントローラ130によりホストコントローラ110に接続される通信インターフェース145、ハードディスクドライブ135、及びCD−ROMドライブ140を含む入出力部と、入出力コントローラ130に接続されるスーパーI/Oコントローラ150及びスーパーI/Oコントローラ150に接続されるフレキシブルディスクドライブ155、フラッシュROM160、並びにキーボードマウスコントローラ165を有するレガシー入出力部とを備える。
ホストコントローラ110は、高い転送レートでRAM115をアクセスするCPU105及びグラフィックコントローラ120をRAM115と接続する。CPU105は、フラッシュROM160に及びRAM115に格納されたプログラムに基づいて動作し、各部の制御を行う。グラフィックコントローラ120は、CPU105等がRAM115内に設けたフレームバッファ上に生成する画像データを取得し、ディスプレイ125及び/又は外部ディスプレイ180上に表示させる。これに代えて、グラフィックコントローラ120は、CPU105等が生成する画像データを格納するフレームバッファを、内部に含んでもよい。
入出力コントローラ130は、比較的高速な入出力装置である通信インターフェース145、ハードディスクドライブ135、及びCD−ROMドライブ140をホストコントローラ110と接続する。通信インターフェース145は、ネットワークを介して外部装置と通信する。通信インターフェース145は、イーサーネット(登録商標)に接続するイーサーネットアダプタや、ケーブルを介さずに無線を用いてネットワークに接続する無線LANアダプタである。最近では、通信インターフェース145としてイーサーネットアダプタと無線LANアダプタの両方を備える情報処理装置100も存在する。ノート型コンピュータとしての情報処理装置100の場合、入出力コントローラ130は更にカードバス・コントローラ190をホストコントローラ110と接続する。カードバス・コントローラ190は、PCカード・スロットに収容されたPCカードを制御し、PCカードは、フラッシュメモリカードやハードディスク、SCSIカード、LANカード、無線LANカードとして利用される。
ハードディスクドライブ135は、情報処理装置100が使用するプログラム及びデータを格納する。CD−ROMドライブ140は、CD−ROMからプログラム又はデータを読み取り、RAM115又はハードディスクドライブ135に提供する。また、入出力コントローラ130にはUSBポートが設けられており、このUSBポートは例えば情報処理装置100の壁面に設けられたUSBコネクタ170と接続されている。USBコネクタ170には、USBメモリ、USB外付けHDD等のリムーバブルデバイスを接続できる。
更に、入出力コントローラ130には、スーパーI/Oコントローラ150やキーボードマウスコントローラ165等の比較的低速な入出力装置と、フラッシュROM160とが接続される。フラッシュROM160は、情報処理装置100の起動時にCPU105が実行するブートプログラムや、情報処理装置100のハードウェアに依存するプログラム等を格納する。フレキシブルディスクドライブ155は、フレキシブルディスクからプログラムまたはデータを読み取り、RAM115を介してスーパーI/Oコントローラ150に提供する。スーパーI/Oコントローラ150は、例えばパラレルポート、シリアルポート、キーボードポート、マウスポート等を介してプリンタ、フレキシブルディスク、キーボードやマウス等の入出力装置を接続する。
以下に説明する、本発明に係るオペレーティングシステムを介したリソースアクセスを制御するためのプログラム220は、フレキシブルディスク、CD−ROM、又はICカード等の記憶媒体に格納されて利用者によって提供される。プログラムは、入出力コントローラ130及び/又はスーパーI/Oコントローラ150を介して、記憶媒体から読み出され情報処理装置100にインストールされて実行される。
上記プログラム220は、外部の記憶媒体に格納されてもよい。記憶媒体としては、フレキシブルディスク、CD−ROMの他に、DVDやPD等の光学記録媒体、MD等の光磁気記録媒体、テープ媒体、ICカード等の半導体メモリ等を用いることができる。また、専用通信ネットワークやインターネットに接続されたサーバシステムに設けたハードディスク又はRAM等の記憶装置を記録媒体として使用し、ネットワークを介してプログラムを情報処理装置100に提供してもよい。
図2は、本発明に係る、オペレーティングシステムを介したリソースアクセスを制御するためのプログラム220を実行する情報処理装置100の機能ブロック図である。図2に示すハードウェア200は、図1に示す情報処理装置100のハードウェアである。情報処理装置100はハードウェア200上でオペレーティングシステム(以下、OS)205を動作させる。OS205は、例えばMicrosoft社のWindows(商標)OS、IBM社のOS/2(商標)OS、Linux(登録商標)OS等、各種のアプリケーション210を動作させる汎用のOSである。
汎用OS上で動作するアプリケーションプログラム210は、一般にリソースをアクセスする際にOS205が提供するApplication Program Interface(以下、API)を利用する。例えば、アプリケーションプログラム210がファイルを複製する場合、アプリケーションプログラム210はOS205に対して複製を実現するためのAPI関数呼び出しを発行する。同様に、アプリケーションプログラム210がある媒体から他の媒体へファイルを移動する場合、アプリケーションプログラム210はOS205に対して移動を実現するためのAPI関数呼び出しを発行する。OS205がWinodows(商標)OSの場合、API関数はダイナミック リンク ライブラリ(以下、DLL)215として提供される。なお、本明細書において記載するアプリケーションプログラム210とは、OS205上で動作する全てのプログラムを意味するものとする。
従って、各種アプリケーションによるリソースアクセスの制御は、OS205により提供される複数のAPI関数のうち、処理内容を監視する対象として予め定められた所定のAPI関数の呼び出しを監視し、検出したAPI関数呼び出しを適切なリソースアクセス条件に基づいて許可するかどうか判断することにより達成される。本発明に係る情報処理装置100は、検出したAPI関数呼び出しの許可/不許可を判断するそのリソースアクセス条件を、情報処理装置100の使用環境または使用状況を考慮して動的に決定することを目的とする。情報処理装置100の使用環境または使用状況は、情報処理装置100に接続されるデバイスの接続状態または使用状態により推測される。
オペレーティングシステムを介したリソースアクセスを制御するためのプログラム220は、登録モジュール、検知モジュール、及び選択モジュールを含む常駐プログラム222と、判断モジュール、制御モジュール、及び捕捉モジュールを含むプログラム224とを含む。各モジュールは情報処理装置100を各々、登録部225、検知部230、選択部240、判断部260、制御部265、及び捕捉部270として機能させる。
登録部225は、情報処理装置100におけるデバイスのハードウェア構成の変化を知らせる通知をOS205から受けるための登録を行う。一般にOS205は、任意のアプリケーションに対しハードウェア構成の変化を知らせる通知を行うサービスを提供する。本実施例では、ネットワークデバイス、外部ディスプレイ、及び外部メディアについてデバイス通知の登録を行う。
デバイス通知のための登録は、一例としてWindows(商標)OSでは、RegisterDeviceNotification関数を用いることができる。RegisterDeviceNotification関数では、デバイスイベントを受け取るサービスまたはウィンドウのハンドルと、通知を受け取るデバイス又はデバイスタイプを指定するデータブロックへのポインタを指定する。また、デバイスドライバの汎用的な管理方法であるWMI(WindowsManagement Instrumentation)のExecNotificationQuery関数を用いて、より詳細なデバイスのイベント通知を登録することもできる。
検知部230は、情報処理装置100に接続されるデバイスの接続状態または使用状態の変化を検知する。RegisterDeviceNotification関数を用いてデバイス通知の登録を行う場合、検知部230は、Winodows(商標)OSからWM_Devicechangメッセージを受信することによりデバイスの接続状態または使用状態の変化の検知を行う。WM_DevicechangEメッセージには、どのようなイベントが起きたかを示すパラメータと、イベントが起こったデバイスに関する情報を含むイベントに関する詳細な情報へのポインタとが含まれる。
例えば、デバイスまたはメディアが挿入され使用可能となった場合、パラメータとしてDBT_DEVICEARRIVALが設定されたWM_DEVICECHANGEメッセージが通知される。また、ネットワークが使用可能となった場合、DBT_DEVNODES_CHANGEDが設定されたWM_DEVICECHANGEメッセージが通知される。必要に応じて別途WMIイベントの通知を受け取ってケーブル接続状況の変化を判断する。
検知部225はまた、ネットワークデバイスの使用状態の変化を検知した場合、情報処理装置100が接続されたネットワークの安全性を示しうる種類を取得する。安全性を示しうるネットワークの種類とは、例えばファイアウォールが設置された社内ネットワークや第三者の侵入に対し何ら対策が講じられていない社外ネットワーク等、情報処理装置100が安全な環境において使用されているかどうかを判断するのに利用できるすべての種類をいう。ネットワークの種類は、一例としてipconfigコマンドを使用して、情報処理装置100に割り当てられたIPアドレスのネットワーク部の値を調べることにより取得できる。また、ネットワークに常に存在する特定の機器のIPアドレスが分かっている場合、特定の機器にpingコマンドを投げることにより接続されたネットワークの種類を取得できる。例えば、特定の機器が社内サーバーであって、pingコマンドに対する応答が得られた場合、接続されたネットワークは社内ネットワークということになる。
検知部225はまた、外部メディアが接続されたことまたは使用可能となったことを検知した場合、製造元、型番、シリアル番号など、外部メディアのハードウェア識別情報を取得する。このようなハードウェア識別情報は、一例として、デバイスドライバに対してI/O制御コード(DeviceIoControl)を送信してデバイス記述子(DeviceDescriptor)を入手することにより取得できる。
検知部225は更に、各デバイスの現在の接続状態または使用状態に関する情報を格納する状態格納部235を有し、検知したデバイスの接続状態または使用状態を用いて、状態格納部235に格納された情報を更新する。図3は、状態格納部235に格納される情報の一例を示す。図3の(a)に示すように本実施例では、1バイトを用いて、有線ネットワークデバイス、無線ネットワークデバイス、外部ディスプレイ、及び外部メディア#1〜#3の6種類のデバイスの接続状態または使用状態を格納する。ビットの割り当ては、ネットワークデバイスに対して2ビット、その他のデバイスについては1ビットとなっている。
図3の(b)は、ネットワークデバイスに割り当てられる2ビットの意味を示す。「00」はネットワークデバイスが未使用であることを示す。「01」、「10」はどちらもネットワークデバイスが使用されていることを示すが、「01」は社内ネットワークに、「10」は社外ネットワークに接続されていることを示す。図3の(c)は、その他のデバイスに割り当てられる1ビットの意味を示す。「0」はデバイスが情報処理装置100に接続されていないことを示し、「1」はデバイスが情報処理装置100に接続されていることを示す。
選択部240は、検知部225による接続状態または使用状態の変化の検知に応答して、検出した接続状態または使用状態に基づき、情報処理装置100に適用するリソースアクセス条件を選択する。より具体的には、選択部240は、複数のデバイスの接続状態または使用状態の組み合わせごとに適用すべきリソースアクセス条件を対応付ける選択テーブル245を有し、当該選択テーブル245を参照して、状態格納部235から読み出した各デバイスの現在の接続状態または使用状態の組み合わせに対応付けられるリソースアクセス条件を情報処理装置100に適用するリソースアクセス条件として選択する。そして選択部240は条件格納部250を有し、選択したリソースアクセス条件を条件格納部250に格納する。
図4は、有線ネットワークデバイス、無線ネットワークデバイス、外部ディスプレイ、及び外部メディア#1、#2の5種類のデバイスを対象とする選択テーブル245の一例を示す。図2を参照して説明したように、ネットワークデバイスは、社内ネットワーク接続中、社外ネットワーク接続中、及び未使用の3つの状態を取り得る。その他のデバイスは、接続及び未接続の2つの状態を取り得る。従ってこれら複数のデバイスの接続状態または使用状態の組み合わせは、3(有線ネットワークデバイスの取り得る状態数)×3(無線ネットワークデバイスの取り得る状態数)×2(外部ディスプレイの取り得る状態数)×2(外部メディア#1の取り得る状態数)×2(外部メディア#2の取り得る状態数)により72通り存在し、各組み合わせに対し適用すべきアクセス条件が対応付けられている。なお72通りのアクセス条件の各内容は全て異なる必要は無く、一部重複してもよい。
一般に、情報処理装置100には複数種類の外部メディアを接続可能であり、全ての外部メディアに対して同一のリソースアクセス条件を適用することも可能である。しかし本実施例では、図4に示すように、情報処理装置100に接続される外部メディアを区別して、特定の外部メディアに対し他の外部メディアと異なるリソースアクセス条件を選択する。これにより、例えば業務用に企業が社員に配付した信頼できる特定型番のメディア(指紋認証機能付きUSBメモリなど)と、信頼できない不特定多数のメディアを区別してアクセス制御することが可能となる。
図5は、図4に示す72通りのリソースアクセス条件のより詳細な内容の一例を示す。リソースアクセス条件は、情報処理装置100を管理するシステム管理者やユーザが適宜決定し設定できるものである。リソースアクセス条件1は情報処理装置100を有線ネットワークデバイスにより社内ネットワークに接続する場合に適用するリソースアクセス条件である。社内ネットワークに有線で接続されることから、情報処理装置100は社内の自分のワークスペースなど原則同じ部門、課の社員のみが入室可能な安全な場所で使用されていると推測できる。従ってアクセス条件1は、閲覧、作成、削除、複製、移動、共有メモリへの読み込み、印刷、及びプロセスの起動等の、データアクセスのための全種類の関数呼び出しを許可する。
一方リソースアクセス条件6は、情報処理装置100を無線ネットワークデバイスにより社内ネットワークに接続する場合に適用するリソースアクセス条件である。社内ネットワークに無線で接続されることから、情報処理装置100は、社内の会議室や食堂など他の部門、他の課の社員、また会社を訪問するお客様や業者等が入ることのできる場所で使用されていると推測できる。そのため社内で使用されているものの情報漏洩などの危険にある程度配慮する必要がある。従ってリソースアクセス条件6は、機密情報等の所定のデータに対し、複製、削除、移動、共有メモリへの読み込み、印刷、及びプロセスの起動のための関数呼び出しを禁止する。このように本実施例では、リソースアクセス条件6はリソースアクセス条件1より厳しく、無線のネットワークデバイスが使用可能となった場合、有線のネットワークデバイスが使用可能となった場合に比べてより厳しいリソースアクセス条件が情報処理装置100に適用される。
リソースアクセス条件9は、情報処理装置100を無線ネットワークデバイスにより社外ネットワークに接続する場合に適用するリソースアクセス条件である。社外ネットワークに無線で接続されることから、情報処理装置100は、空港やホテルのロビーなど不特定多数の者が存在する場所で使用されていると推測できる。従ってリソースアクセス条件9は、機密情報等の所定のデータに対し、閲覧、複製、削除、移動、共有メモリへの読み込み、印刷、及びプロセスの起動等の、データアクセスのための全種類の関数呼び出しを禁止する。このように、本実施例では、リソースアクセス条件9はリソースアクセス条件6より厳しく、情報処理装置100がセキュアでないネットワークに接続された場合、情報処理装置100がセキュアなネットワークに接続された場合に比べてより厳しいリソースアクセス条件が情報処理装置100に適用される。
リソースアクセス条件12は、情報処理装置100に外部ディスプレイを接続する場合に適用するリソースアクセス条件である。外部ディスプレイはプレゼンテーション目的で使用されることも多く、参加者は外部ディスプレイを通して情報処理装置100の画面に表示される情報を見ることができる。そのため情報処理装置100を操作するユーザの誤操作により、予期せず機密情報が画面表示され内容が漏洩する危険がある。従ってリソースアクセス条件12は、機密情報等の所定のデータに対し、閲覧のための関数呼び出しを禁止する。閲覧のための関数呼び出しを禁止する代わりに、画面表示のための関数呼び出しを禁止してもよい。
リソースアクセス条件19は、情報処理装置100を有線ネットワークデバイスにより社内ネットワークに接続し、かつ外部メディア#1に接続する場合に適用するリソースアクセス条件である。情報処理装置100に外部メディア#1が接続されることから、ユーザは社内ネットワーク上の情報を外部メディア#1に格納して容易に持ち出すことができる。従ってリソースアクセス条件19は、外部メディア#1を保存先とする、複製、作成、移動、及び共有メモリへの読み込みのための関数呼び出しを禁止する。
また、リソースアクセス条件19では外部メディア#1を接続した情報処理装置100を社内ネットワークに接続することから、外部メディア#1にウィルスに汚染されたファイルが格納されている場合、ウィルス汚染が社内ネットワークまで拡散する可能性がある。そこで、上記リソースアクセス条件19に代えて、あるいはこれに加えて、リソースアクセス条件19は、外部メディア#1内のデータに対し、複製、移動、及び共有メモリへの読み込みのための関数呼び出しを禁止する。
リソースアクセス条件21は、情報処理装置100に外部メディア#1を接続する場合に適用するリソースアクセス条件である。外部メディア#1は機密として扱う必要のないファイルやプログラムを格納し、従ってアクセス条件21は、閲覧、作成、削除、複製、移動、共有メモリへの読み込み、印刷、及びプロセスの起動等の、データアクセスのための全種類の関数呼び出しを許可する。リソースアクセス条件1、19、及び21を比較して分かるように、本実施例では、複数のデバイスの接続状態または使用状態の組み合わせごとに適用すべきリソースアクセス条件を用意する。
リソースアクセス条件39は、情報処理装置100に外部メディア#2を接続する場合に適用するリソースアクセス条件である。外部メディア#2は、業務用の機密情報を扱うための専用デバイスで、例えば指紋認証機能と社内VPNアクセスプログラムとを備えた特別なデバイスであり、機密情報データを含んでいる。従ってリソースアクセス条件39は、所定のハードウェア識別情報により識別される外部メディア#2内のファイルに対し、閲覧や削除、複製、移動のための関数呼び出しを禁止すると同時に、外部メディア#2内の特定プログラムのみ例外的にメディア#2内のファイルの閲覧を許可する。このように本実施例では、特定の外部メディア#2に対し他の外部メディア#1と異なるリソースアクセス条件を適用する。
以上のように、情報処理装置100に接続されるデバイスの接続状態又は使用状態から情報処理装置100の使用環境又は使用状況を推測し、推測される使用環境又は使用状況に適用すべきデータのリソースアクセス条件を決定する。決定したリソースアクセス条件は、常駐プログラム222及びプログラム224の何れからもアクセス可能な共有の領域、例えばメインメモリだけでなく、ハードディスク、光磁気ディスク等の記録媒体の共有の領域に格納する。
捕捉部270は、アプリケーションプログラム210がOS205に対して発行するリソースアクセスのための複数の関数呼び出しを捕捉する。より具体的には、捕捉部270は、アプリケーションプログラム210の動作開始に応じ、アプリケーションプログラム210がOS205に対して発行するリソースアクセスのための複数の関数呼び出しの呼び出し先アドレスを、制御部265を実現する制御モジュールのアドレスに変更することにより、リソースアクセスのための複数の関数呼び出しを捕捉する。ここでリソースアクセスのための複数の関数呼び出しとは、閲覧、複製、作成、削除、移動、共有メモリへの読み込み、印刷、プロセスの起動のための関数呼び出しを含むリソースアクセスのための全種類の関数呼び出しである。本実施例ではこれら関数は、オペレーティングシステム205によりDLL#1〜#3 215として提供される。
判断部260は、捕捉された関数呼び出しを、条件格納部250から読み出したリソースアクセス条件に基づいて、許可するか否か判断する。図5を参照して説明したように、リソースアクセス条件はその呼び出しによるデータ処理を許可する又はデータ処理を許可しない関数呼び出しやデータ及びプロセスの種類を指定する。そこで判断部260は、捕捉された関数呼び出しの関数とリソースアクセス条件として指定される関数とを比較することにより、捕捉された関数呼び出しを許可するかどうか判断する。
また、リソースアクセス条件が所定のデータに対してなされる関数呼び出しを禁止するものである場合、判断部260は更に捕捉された関数呼び出しの引数により指定されるデータの種類を調べることにより、捕捉された関数呼び出しを許可するかどうか判断する。例えば関数呼び出しが禁止される所定のデータの種類が機密データである場合、「機密」や「秘密」等の特定の文字列が、捕捉された関数呼び出しの引数により指定されるデータの中身、データ名、データが格納されるフォルダ名等に含まれないかどうか調べる。
あるいは、リソースアクセス条件が所定のデータ保存先を指定してなされる関数呼び出しを禁止するものである場合、判断部260は更に、捕捉された関数呼び出しの引数により指定されるデータ保存先を調べることにより、捕捉された関数呼び出しを許可するかどうか判断する。例えば関数呼び出しが禁止される所定のデータ保存先が外部メディアである場合、捕捉された関数の引数で指定された保存先デバイスの属性を取得し、デバイスタイプが「リムーバブル」であるかどうか判断する。
更に、所定のデータ保存先として、例えば製造元を示すベンダーIDやプロダクトIDなどの所定のハードウェア識別情報により識別される特定の外部メディアが指定される場合、判断部260は、保存先デバイスのハードウェア識別情報を取得し、リソースアクセス条件により指定されるハードウェア識別子と一致するかどうか調べる。[f16]更にまた、リソースアクセス条件が、その起動場所が特定の場所である関数の呼び出し元プロセスに対してのみ関数呼び出しを許可するものである場合、判断部260は、呼び出し元プロセスのプログラムモジュールが存在するデバイスのタイプやハードウェア識別情報を取得して、リソースアクセス条件に一致するかどうか判断する。
制御部265は、アプリケーションプログラム210から呼び出されると判断部260を呼び出し、捕捉された関数呼び出しを許可するか否かを判断させる。そして制御部265は、判断部260がデータ処理を許可しないと判断したことに応答して、関数呼び出しを拒否する。より具体的には、制御部265は、判断部260がデータ処理を許可しないと判断したことに応答して、DLL#1〜DLL#3 215の中の関数呼び出しを実行することなくエラーコードをアプリケーションプログラム210に返す。あるいは、制御部265は、単に空のデータをアプリケーションプログラム210に返してもよい。また制御部265は、判断部260がデータ処理を許可すると判断したことに応答して、アプリケーションプログラム210から指定された引数をそのまま引数として指定してDLL#1〜DLL#3 215の中の関数呼び出しを実行する。また、引数を変更してDLL#1〜DLL#3 215の中の関数呼び出しを実行したり、関数呼び出しの前後に異なる種類の関数呼び出しを追加してもよい。
以上のように、本発明に係る情報処理装置100によれば、情報処理装置100の使用環境または使用状況に応じたリソースのアクセス条件に基づいて、OSを介するリソースアクセスを拒否し、または許可することが可能となる。
次に、図6、図7のフローチャートを参照して、本発明に係る情報処理装置100の各部の動作を説明する。図6は、常駐プログラム222によって登録部225、検知部230及び選択部240として機能する情報処理装置100による処理の流れの一例を示す。なお、図6に示す処理に先立ち、少なくとも一度常駐プログラム222は情報処理装置100上で実行され、情報処理装置100を登録部225として機能させる。すなわち、情報処理装置100は前処理としてOS205からデバイスのハードウェア構成の変化を知らせる通知を受けるための登録を行う。そしてステップ600において常駐プログラム222はOS205と一緒に起動し、処理は開始する。
常駐プログラム222が起動されると、検知部230は、OS205から状態変化を知らせる通知を受け取ることにより、情報処理装置100に接続されるデバイスの接続状態または使用状態の変化を検知する(ステップ610)。次に検知部230は、検知された接続状態又は使用状態の変化がネットワークデバイスまたは外部メディアについての変化であるか否か判断する(ステップ620)。外部メディアについての変化である場合、検知部230は当該外部メディアのハードウェア識別情報を取得する(ステップ630)。ネットワークデバイスについての変化である場合、検知部230は情報処理装置100が接続されたネットワークの種類を取得する(ステップ635)。
ステップ630及び635の後又はステップ620でNOの場合処理はステップ640へ進み、検知部230は、検出したデバイスの接続状態又は使用状態を用いて、状態格納部235に格納される現在の各デバイスの接続状態または使用状態に関する情報を更新する。なお、検知部230による検知が行われるまで、処理はステップ610に留まる。
次に選択部240は、検知部230による状態の変化の検知に応答して、検出されたデバイスの接続状態または使用状態に基づき、情報処理装置100に適用するリソースアクセス条件を選択する(ステップ650)。具体的には選択部240は、複数のデバイスの接続状態または使用状態の組み合わせごとに適用すべきリソースアクセス条件を対応付ける選択テーブル245を参照して、状態格納部235から読み出した各デバイスの現在の接続状態または使用状態の組み合わせに対応付けられるアクセス条件を選択する。そして選択部240は選択したリソースアクセス条件を条件格納部250に格納する(ステップ660)。
ステップ660の後、処理はステップ610に戻り上記一連の処理を繰り返す。その結果、条件格納部250には常に現在の情報処理装置100の使用環境又は使用状況を反映した適切なアクセス条件が格納されることとなる。
図7は、プログラム224によって捕捉部270、判断部260及び制御部265として機能する情報処理装置100による処理の流れの一例を示す。プログラム224は、データアクセスのための関数呼び出しを発行する可能性のあるアプリケーションプログラム210の起動中に動作すればよく、常駐プログラム222のように必ずしもOS205と一緒に起動する必要はない。本実施例では、プログラム224は、データアクセスのための関数呼び出しを発行する可能性のあるアプリケーションプログラム210と一緒に起動する。
プログラム224の起動をアプリケーションプログラム210の起動と同時とするために、捕捉モジュール、判断モジュール及び制御モジュールを含むプログラム224のオブジェクトファイル(例えば、DLL)を、オペレーティングシステム標準のDLLとして登録すする。一例として、Windows(商標)においては、これらのプログラムをUSER32拡張DLLとしてレジストリに登録することにより、USER32. DLLをリンクする全てのプロセスのスタートアップ時にこれらのプログラムを起動させることができる。
ステップ700でプログラム224が起動することにより処理は開始し、捕捉部270は、アプリケーションプログラム210の動作開始に応じ、アプリケーションプログラム210がOS205に対して発行するデータアクセスのための複数の関数呼び出しを、その呼び出し先アドレスを、制御部265を実現する制御モジュールのアドレスに変更することにより捕捉する(ステップ710)。
より具体的には、捕捉部270は、DLL#1〜#3 215におけるアプリケーションプログラム210から呼び出される部分の先頭の命令コードを、他の領域にバックアップしておく。そして、捕捉部270は当該命令コードを、制御部265を実現する制御モジュールへのジャンプ命令に書き換える。更に、捕捉部270は制御部265からDLL#1〜#3 215を呼び出す処理に代えて、バックアップした先頭の命令コードを制御265から呼び出させる。
制御部265は、アプリケーションプログラム210から呼び出しを受けると(ステップ720)、捕捉された関数呼び出しを許可するか否かを判断させるために判断部260を呼び出す。制御部265からの呼び出しに応じて判断部260は、条件格納部250からリソースアクセス条件を読み出す(ステップ730)。そして判断部260はまず、リソースアクセス条件により許可されないものとして指定される関数が、捕捉された関数呼び出しの関数と一致するかどうか判断する(ステップ740)。
捕捉された関数呼び出しの関数が不許可としてリソースアクセス条件により指定されている場合(ステップ740:YES)、判断部260は次に、リソースアクセス条件が所定のデータに対してなされる関数呼び出しを禁止するものであるかどうか判断する(ステップ750)。リソースアクセス条件が所定のデータに対してなされる関数呼び出しを禁止するものである場合、判断部260は、捕捉された関数呼び出しの引数により指定されるデータの種類が、リソースアクセス条件により指定される所定のデータであるかどうか判断する(ステップ760)。
捕捉された関数呼び出しがリソースアクセス条件により指定される所定のデータに対してなされるものである場合(ステップ760:YES)又はステップ750でNOの場合、判断部260は更に、リソースアクセス条件が所定の保存先を指定してなされる関数呼び出しを禁止するものであるかどうか判断する(ステップ770)。リソースアクセス条件が所定の保存先を指定してなされる関数呼び出しを禁止するものである場合、判断部260は、捕捉された関数呼び出しの引数により指定されるデータ保存先が、リソースアクセス条件により指定される所定の保存先であるかどうか判断する(ステップ775)。
捕捉された関数呼び出しがリソースアクセス条件により指定される所定の保存先を指定してなされるものである場合(ステップ775:YES)又はステップ770でNOの場合、判断部260は更に、リソースアクセス条件が、その起動場所が特定の場所である関数の呼び出し元プロセスに対してのみ関数呼び出しを許可するものである場合ものであるかどうか判断する(ステップ780)。アクセス条件がその起動場所が特定の場所である関数の呼び出し元プロセスに対してのみ関数呼び出しを許可するものである場合、判断部260は、関数の呼び出し元プロセスのプログラムモジュールが存在するデバイスのタイプやハードウェア識別情報を取得して、アクセス条件により指定される所定の起動場所であるかどうか判断する(ステップ785)。
関数の呼び出し元プロセスの起動場所が、アクセス条件により指定される所定の起動場所でない場合(ステップ785:NO)又はステップ780でNOの場合、判断部260は、捕捉された関数呼び出しは許可しないとの判断結果を制御部265へ返す。許可しないとの判断部260による判断結果に応答して、制御部265は捕捉された関数呼び出しを拒否する(ステップ790)。一方、ステップ740、ステップ760、及びステップ775で各々NOの場合又はステップ785でYESの場合、判断部260は、捕捉された関数呼び出しを許可するとの判断結果を制御部265へ返す。許可するとの判断部260による判断結果に応答して、制御部265は捕捉された関数呼び出しを続行する(ステップ795)。
以上、実施形態を用いて本発明の説明をしたが、本発明の技術範囲は上記実施形態に記載の範囲には限定されない。上記の実施形態に、種々の変更または改良を加えることが可能であることが当業者に明らかである。従って、そのような変更または改良を加えた形態も当然に本発明の技術的範囲に含まれる。
本発明の実施形態に係る情報処理装置100のハードウェア構成の一例を示す。 本発明の一実施形態に係る、オペレーティングシステムを介したデータアクセスを制御するためのプログラム220を実行する情報処理装置100の機能ブロック図を示す。 (a)は、各デバイスの現在の接続状態または使用状態を示す情報の一例を示す。(b)は、ネットワークデバイスに割り当てられる2ビット意味を示す。(c)は、ネットワークデバイス以外の他のデバイスに割り当てられる1ビット意味を示す。 選択テーブル245の一例を示す。 図4に示す36通りのアクセス条件のより詳細な内容の一例を示す。 常駐プログラム222による処理の流れの一例を示すフローチャートである。 プログラム224による処理の流れの一例を示すフローチャートである。

Claims (6)

  1. 情報処理装置において、前記情報処理装置上で動作するアプリケーションプログラムによるリソースアクセスを制御する方法であって、
    前記情報処理装置に接続される外部ディスプレイの接続状態変化を検知するステップと、
    前記接続状態変化の検知に応答して、前記外部ディスプレイの前記接続状態とに適用すべきリソースアクセス条件を対応付けるテーブルを参照して、前記情報処理装置に適用するリソースアクセス条件を選択するステップと、
    選択した前記リソースアクセス条件を条件格納部に格納するステップと、
    前記アプリケーションプログラムによりオペレーティングシステムに対して発行されるリソースアクセスのための複数の関数呼び出しを捕捉するステップと、
    前記捕捉した関数呼び出しを、前記条件格納部から読み出した前記リソースアクセス条件に基づき、許可するか否か判断するステップと、
    前記関数呼び出しを許可しないと判断したことに応答して、前記関数呼び出しを拒否するステップと
    を含むリソースアクセスを制御する方法。
  2. 前記選択するステップは、前記外部ディスプレイが接続された場合に、所定のデータに対し閲覧のための関数呼び出しを拒否するリソースアクセス条件を選択するステップを含む、請求項1に記載の方法。
  3. アプリケーションプログラムによるリソースアクセスを制御する情報処理装置であって、
    前記情報処理装置に接続される外部ディスプレイの接続状態変化を検知する検知部と、
    前記接続状態変化の検知に応答して、前記外部ディスプレイの前記接続状態とに適用すべきリソースアクセス条件を対応付けるテーブルを参照して、前記情報処理装置に適用するリソースアクセス条件を選択する選択部と、
    選択した前記リソースアクセス条件を格納する条件格納部と、
    前記アプリケーションプログラムによりオペレーティングシステムに対して発行されたリソースアクセスのための複数の関数呼び出しを捕捉する捕捉部と、
    前記捕捉した関数呼び出しを、前記条件格納部から読み出した前記リソースアクセス条件に基づき、許可するか否か判断する判断部と、
    前記関数呼び出しを許可しないと判断したことに応答して、前記関数呼び出しを拒否する制御部と、
    を含む情報処理装置。
  4. 前記選択部は、前記外部ディスプレイが接続された場合に、所定のデータに対し閲覧のための関数呼び出しを拒否するリソースアクセス条件を選択する、請求項3に記載の情報処理装置。
  5. 情報処理装置上で動作するアプリケーションプログラムによるリソースアクセスを制御するためのプログラムであって、前記プログラムは、前記情報処理装置に、
    前記情報処理装置に接続される外部ディスプレイの接続状態変化を検知するステップと、
    前記接続状態変化の検知に応答して、前記外部ディスプレイの前記接続状態とに適用すべきリソースアクセス条件を対応付けるテーブルを参照して、前記情報処理装置に適用するリソースアクセス条件を選択するステップと、
    選択した前記リソースアクセス条件を条件格納部に格納するステップと、
    前記アプリケーションプログラムによりオペレーティングシステムに対して発行されるリソースアクセスのための複数の関数呼び出しを捕捉するステップと、
    前記捕捉した関数呼び出しを、前記条件格納部から読み出した前記リソースアクセス条件に基づき、許可するか否か判断するステップと、
    前記関数呼び出しを許可しないと判断したことに応答して、前記関数呼び出しを拒否するステップとを実行させる、
    リソースアクセスを制御するためのプログラム。
  6. 前記選択するステップは、前記外部ディスプレイが接続された場合に、所定のデータに対し閲覧のための関数呼び出しを拒否するリソースアクセス条件を選択するステップを含む、請求項5に記載のリソースアクセスを制御するためのプログラム。
JP2006351606A 2006-12-27 2006-12-27 アプリケーションプログラムによるリソースアクセスを制御するための情報処理装置、方法、及びプログラム Expired - Fee Related JP4473256B2 (ja)

Priority Applications (4)

Application Number Priority Date Filing Date Title
JP2006351606A JP4473256B2 (ja) 2006-12-27 2006-12-27 アプリケーションプログラムによるリソースアクセスを制御するための情報処理装置、方法、及びプログラム
CN200710192736A CN100583116C (zh) 2006-12-27 2007-11-16 用于控制应用程序对资源的访问的信息处理设备和方法
TW096145888A TW200834317A (en) 2006-12-27 2007-12-03 Information processing apparatus, method, and program for controlling resource access by application program
US11/954,144 US7996854B2 (en) 2006-12-27 2007-12-11 Information processing apparatus, method, and program for controlling resource access by application program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2006351606A JP4473256B2 (ja) 2006-12-27 2006-12-27 アプリケーションプログラムによるリソースアクセスを制御するための情報処理装置、方法、及びプログラム

Publications (2)

Publication Number Publication Date
JP2008165325A JP2008165325A (ja) 2008-07-17
JP4473256B2 true JP4473256B2 (ja) 2010-06-02

Family

ID=39585942

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006351606A Expired - Fee Related JP4473256B2 (ja) 2006-12-27 2006-12-27 アプリケーションプログラムによるリソースアクセスを制御するための情報処理装置、方法、及びプログラム

Country Status (4)

Country Link
US (1) US7996854B2 (ja)
JP (1) JP4473256B2 (ja)
CN (1) CN100583116C (ja)
TW (1) TW200834317A (ja)

Families Citing this family (20)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP5382450B2 (ja) * 2008-02-14 2014-01-08 日本電気株式会社 アクセス制御装置、その方法及び情報記録媒体
JP5260619B2 (ja) * 2010-12-02 2013-08-14 キヤノンマーケティングジャパン株式会社 情報処理装置、情報処理方法及びプログラム
US9003543B2 (en) * 2010-12-21 2015-04-07 Microsoft Technology Licensing, Llc Providing a security boundary
US8646050B2 (en) * 2011-01-18 2014-02-04 Apple Inc. System and method for supporting JIT in a secure system with randomly allocated memory ranges
US8650640B2 (en) 2011-02-24 2014-02-11 International Business Machines Corporation Using a declaration of security requirements to determine whether to permit application operations
CN102663289B (zh) * 2012-03-22 2015-07-15 北京奇虎科技有限公司 一种对修改网页元素的恶意程序进行拦截的方法及装置
JP6217092B2 (ja) * 2013-03-05 2017-10-25 富士通株式会社 情報処理装置、システム、情報処理方法及びプログラム
US9170828B2 (en) * 2013-05-16 2015-10-27 Microsoft Technology Licensing, Llc. Extraction of operating system-specific characteristics via a communication interface
CN103366115B (zh) * 2013-07-03 2016-03-23 中国联合网络通信集团有限公司 安全性检测方法和装置
CN103810031B (zh) * 2014-02-26 2017-05-10 珠海市君天电子科技有限公司 一种管理无线网共享软件的方法和装置
CN105282117A (zh) * 2014-07-21 2016-01-27 中兴通讯股份有限公司 访问控制方法及装置
CN104883680B (zh) * 2015-05-15 2019-08-30 深圳市立鳌科技有限公司 一种数据保护方法以及用户端
CN106612263B (zh) * 2015-10-27 2020-04-17 阿里巴巴集团控股有限公司 一种用于处理应用访问请求的方法与设备
CN105930190B (zh) * 2016-04-27 2019-04-16 百度在线网络技术(北京)有限公司 一种基于操作系统的程序自启动方法和装置
CN111181831B (zh) * 2019-06-10 2021-08-06 腾讯科技(深圳)有限公司 通信数据处理方法和装置、存储介质及电子装置
CN116578397A (zh) * 2020-04-20 2023-08-11 支付宝(杭州)信息技术有限公司 数据资源处理方法、装置、设备和存储介质
US20220206645A1 (en) * 2020-12-30 2022-06-30 Google Llc Management of screen content capture
WO2022270385A1 (ja) * 2021-06-22 2022-12-29 デジタル・インフォメーション・テクノロジー株式会社 プログラム、情報処理装置、方法
JP2023058383A (ja) 2021-10-13 2023-04-25 株式会社Pfu 画像読取装置、制御方法及び制御プログラム
CN117171578B (zh) * 2023-11-03 2024-02-06 成都方顷科技有限公司 一种基于大数据分析的机场智慧台站管理方法及系统

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7568226B2 (en) * 2000-02-22 2009-07-28 International Business Machines Corporation Data processing system and method
JP2003044297A (ja) 2000-11-20 2003-02-14 Humming Heads Inc コンピュータリソースの制御を行なう情報処理方法および装置、情報処理システム及びその制御方法並びに記憶媒体、プログラム
US7117504B2 (en) * 2001-07-10 2006-10-03 Microsoft Corporation Application program interface that enables communication for a network software platform
EP1494121B1 (en) 2002-04-11 2012-07-11 Lenovo (Singapore) Pte. Ltd. Computer, computer security setting method, and program
JP2003316650A (ja) 2002-04-18 2003-11-07 Internatl Business Mach Corp <Ibm> コンピュータ装置、携帯情報機器、セキュリティ切り替え方法、およびプログラム
JP4250100B2 (ja) 2004-02-23 2009-04-08 大日本印刷株式会社 コンピュータシステム
JP2006340320A (ja) 2005-06-06 2006-12-14 Canon Inc データ処理装置及びデータ処理方法
JP2006092560A (ja) 2005-09-29 2006-04-06 Fujitsu Ltd 情報機器システム
WO2007043659A1 (ja) * 2005-10-13 2007-04-19 Ntt Docomo, Inc. 携帯端末、アクセス制御管理装置及びアクセス制御管理方法

Also Published As

Publication number Publication date
CN100583116C (zh) 2010-01-20
TW200834317A (en) 2008-08-16
CN101211393A (zh) 2008-07-02
US7996854B2 (en) 2011-08-09
US20080163242A1 (en) 2008-07-03
JP2008165325A (ja) 2008-07-17

Similar Documents

Publication Publication Date Title
JP4473256B2 (ja) アプリケーションプログラムによるリソースアクセスを制御するための情報処理装置、方法、及びプログラム
US7600231B2 (en) Control method for controlling an application program
CN109831420A (zh) 内核进程权限的确定方法及装置
JP2005122474A (ja) 情報漏洩防止プログラムおよびその記録媒体並びに情報漏洩防止装置
JP2007140798A (ja) コンピュータの情報漏洩防止システム
WO2018212474A1 (ko) 독립된 복원영역을 갖는 보조기억장치 및 이를 적용한 기기
JP2019532405A (ja) コンピューティングデバイス上の悪意のあるプロセスを検出するためのシステム及び方法
JP2018124893A (ja) 計算機システム及びファイルアクセスコントロール方法
JP4850159B2 (ja) 外部装置管理システム
CN106796644B (zh) 访问控制系统及访问控制方法
JP4093811B2 (ja) ユーザアクセス権制御装置及び方法
CN114861160A (zh) 提升非管理员账户权限的方法及装置、设备、存储介质
KR100985073B1 (ko) 네트워크 공유폴더 접근 제어 장치 및 방법
KR101844534B1 (ko) 전자 파일에 대한 보안 적용 방법
JP6709057B2 (ja) 遠隔操作システム及び遠隔操作プログラム
JP6701368B2 (ja) 印刷操作を介した印刷インタフェース技術診断によるデータ損失防止
JP2016224709A (ja) ファイル管理システム、ファイル管理方法、及びファイル管理プログラム
JP6661297B2 (ja) 情報処理装置およびセキュリティ管理方法
US10049233B2 (en) Information processing apparatus, security management method and information processing system that switches from one monitoring unit to another in accordance with operating mode
JP2014029603A (ja) 追加組込ソフト処理装置、追加組込ソフト実行制御方法
JP4457640B2 (ja) 不正インストール防止プログラム、そのプログラムが記録されたコンピュータ読み取り可能な記録媒体、及び不正インストール防止システム
EP4421664A1 (en) Unauthorized access detection system and unauthorized access detection method
EP4379586A1 (en) Information processing method, program, storage medium
JP7486368B2 (ja) 情報処理装置、情報処理装置の制御方法、情報処理システム及びプログラム
KR20020060517A (ko) 프로세스 아이디와 저장공간 아이디를 이용한 문서 파일보안 방법

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20090428

A871 Explanation of circumstances concerning accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A871

Effective date: 20090428

A975 Report on accelerated examination

Free format text: JAPANESE INTERMEDIATE CODE: A971005

Effective date: 20090515

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090602

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090828

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20091110

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20100112

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100223

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100304

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130312

Year of fee payment: 3

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140312

Year of fee payment: 4

LAPS Cancellation because of no payment of annual fees