JP4781692B2 - クライアントのi/oアクセスを制限する方法、プログラム、システム - Google Patents
クライアントのi/oアクセスを制限する方法、プログラム、システム Download PDFInfo
- Publication number
- JP4781692B2 JP4781692B2 JP2005063439A JP2005063439A JP4781692B2 JP 4781692 B2 JP4781692 B2 JP 4781692B2 JP 2005063439 A JP2005063439 A JP 2005063439A JP 2005063439 A JP2005063439 A JP 2005063439A JP 4781692 B2 JP4781692 B2 JP 4781692B2
- Authority
- JP
- Japan
- Prior art keywords
- access
- client
- authentication device
- server
- lock
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0853—Network architectures or network communication protocols for network security for authentication of entities using an additional device, e.g. smartcard, SIM or a different communication terminal
Description
本発明は、クライアントのI/Oアクセスを制限する方法に関し、特に、通信ネットワークに接続されたクライアント・コンピュータのI/Oアクセスを制限する方法、プログラム、システムに関する。
近年、個人情報の保護に関する関心が高まっている。企業等で運用されている情報処理システムにおいて、この情報処理システムにて利用されるクライアント・コンピュータに記録された個人情報を第三者が漏洩、盗難、不正利用しないように、個人情報が記載された文章等をどのように保護するかが課題となっている。
そこで、情報処理システムにて使用されるクライアントをサーバにて認証し、認証した権限の範囲内で、文章の閲覧や印刷を行うことを可能にする方法が知られている(例えば、特許文献1)。
特開2004−280227
しかしながら、特許文献1の方法では、必ずしも個人情報の保護において、充分ではない場合が生じてしまう。すなわち、特許文献1の方法では、クライアントの使用を制限する対象が、文章の閲覧、印刷、編集のみである。したがって、クライアントのI/Oアクセス(クライアントにて使用されるデバイスを含めた入出力)全てを制御することはできない。さらに、特許文献1の方法では、ユーザがサーバに接続可能であることを前提としているため、サーバに接続不可能である場合には、この文章に対する使用の制限またはこの制限の解除を行うことができない。
本発明の目的は、システムに接続されるクライアントのデータ漏洩、盗難を防止するために、クライアントのI/Oアクセスを制限し、さらに、このクライアントがサーバと通信不可能であるときであっても、この制限を所定の条件で解除させる、クライアントのI/Oアクセスを制限する方法、プログラム、システムを提供することである。
そこで、本発明の第1の実施形態によると、ネットワークでサーバに接続されたクライアントのI/Oアクセスを制限する方法であって、前記クライアントのI/Oアクセスをロックするステップと、前記クライアントが、前記ネットワークを経由して前記サーバに接続可能であるかを判断する接続判断ステップと、前記接続判断ステップにて、接続可能であることに応答して、前記サーバにより前記クライアントを認証し、前記クライアントのI/Oアクセスのロックを解除する第1解除ステップと、前記接続判断ステップにて、接続可能でないことに応答して、携帯認証装置を前記クライアントに接続して、前記携帯認証装置により前記クライアントを認証し、前記クライアントのI/Oアクセスのロックを解除する第2解除ステップと、を含むクライアントのI/Oアクセスを制限する方法、前記方法をコンピュータに実行させるプログラム、及びこれを実現するシステムを提供する。
本発明の第2の実施形態によると、第1の実施形態に加えて、前記第1解除ステップにおいて、前記クライアントの認証が、前記クライアントに記録されたポリシーを参照することにより前記クライアントを認証するクライアントのI/Oアクセスを制限する方法、前記方法をコンピュータに実行させるプログラム、及びこれを実現するシステムを提供する。
本発明の第3の実施形態によると、第1の実施形態に加えて、前記携帯認証装置に、I/Oアクセスの履歴を記録するステップを含むクライアントのI/Oアクセスを制限する方法、前記方法をコンピュータに実行させるプログラム、及びこれを実現するシステムを提供する。
なお、上記の発明の概要は、本発明の必要な特徴の全てを列挙したものではなく、これらの特徴群のサブコンビネーションも又発明となりうる。
なお、上記の発明の概要は、本発明の必要な特徴の全てを列挙したものではなく、これらの特徴群のサブコンビネーションも又発明となりうる。
本発明によれば、クライアントに対してI/Oアクセスを制限することで、データ漏洩、盗難を防止することが可能であり、このI/Oアクセスの制限を解除する際には、サーバにて認証を行う、あるいは、携帯認証装置にて認証を行うことで、ユーザがサーバに接続不可能である場合であっても、I/Oアクセスの認証を行うことが可能な方法、プログラム、システムを提供することができる。
以下に、本発明の好適な実施形態を図面に基づいて説明する。
図1は、クライアント制御システム1の構成を示す一例である。クライアント制御システム1は、制御サーバ100とクライアント300とプリンタ40とが通信回線ネットワーク30により接続されて構成されている。この通信回線ネットワーク30としては、LAN、公衆回線、インターネット、専用線のいずれかであってもよいし、これらの組合せからなるネットワークであってよい。
制御サーバ100は、クライアント300のI/Oアクセスを制御するサーバである。制御サーバは、制御部110と、通信回線ネットワーク30と接続して通信を行う通信部140と、I/Oアクセスに関する情報が記録されるI/Oアクセスデータベース160、I/Oアクセス履歴記録部165と、携帯認証装置200と接続する携帯認証装置接続部130と、から構成される(図2参照)。
ここで、クライアント300のI/Oアクセスとは、クライアント300が行う全ての入出力に対するアクセスを対象とする。例えば、I/Oアクセスとは、文章(ファイル)の閲覧、編集、リネーム、削除、コピーであってもよいし、フォルダへのアクセス、リネーム、削除であってよいし、特定のプリンタ40にて印刷を行うことであってよいし、上記文章の一部のコピーを行うこと(クリップボードの使用)であってもよい。さらに、I/Oアクセスとは、USBポート、キーボード、ネットワークドライバ、CD、CD−R、DVD、MO、フレキシブル・ディスク等のデバイスを使用する(記録、読出し、を含む)ことであってよい。
制御部110は、制御サーバ100の情報を制御する、中央処理演算装置であってよい。制御部110には、クライアント300の認証を行う認証部111と、セキュリティ検疫を行うセキュリティ検疫部120と、クライアント300のI/Oアクセスを記録するI/Oアクセス記録部150とを備える。
認証部111は、ポリシー記録部112に記録されたポリシーを参照して、クライアント300のI/Oアクセスの認証を行う。すなわち、認証部111が、クライアント300の識別番号(シリアルナンバー、MAC(Media Access Control)アドレス等)や、アカウント情報を読み取り、これに基づいて、I/Oアクセスとして許可されていること及び、制限されることを、ポリシー記録部112に記録されたポリシーに基づいて確認する。
ポリシーは、I/Oアクセスが制御されるクライアント300の識別情報と、このクライアント300にて制御されるI/Oアクセスの内容とからなる規則により構成されてよい。ポリシーは、複数のクライアント300に対して適用される規則であるグループポリシーであってもよい。すなわち、認証部111は、所定のグループであることを、クライアント300の識別番号やアカウント情報等により読み出し、読み出した情報に基づいて、組織ごと、部署ごと等のグループポリシーを適用してもよい。
認証部111が、クライアント300を認証する際に、セキュリティ検疫部120が、このクライアント300のセキュリティを検疫して、その後に、クライアント300の認証が行われてもよい。
I/Oアクセス記録部150は、クライアント300の端末ごとに、I/Oアクセスに関する情報をI/Oアクセスデータベース160のI/Oアクセス履歴記録部165に記録する。I/Oアクセスに関する情報とは、クライアント300が使用したI/Oアクセス(例えば、所定の文章、フォルダへアクセスしたこと、及び、所定の印刷を行ったこと)に関する履歴である。I/Oアクセスの履歴は、I/Oアクセス履歴記録部165に記録される。I/Oアクセスデータベース160は、このI/Oアクセスの履歴をクライアントの端末ごとにデータとして管理する。
携帯認証装置接続部130は、携帯認証装置200が接続され、携帯認証装置200との情報の入出力を行う。図4に基づいて後述する。
クライアント300は、I/Oアクセスが制限されるコンピュータ等の端末である。ここで、クライアント300のI/Oアクセスとは、上述のように、クライアント300が行う全ての入出力を対象とし、クライアント300のキーボード等の入力、文章(クライアント300に記録されたファイル)を閲覧・編集することに加えて、クライアント300にて利用可能な入出力デバイスの使用(記録、読出し、印刷等)に関するものを含む。なお、クライアント300は、コンピュータ、携帯情報端末、携帯電話等であってよい。
クライアント300は、情報の制御、演算を行う制御部310と、通信回線ネットワーク30に接続して通信を行う通信部320と、クライアント300の入出力処理を行うI/O部330と、携帯認証装置200が接続される携帯認証装置接続部340とから構成される。
制御部310は、クライアント300の情報を制御する、中央処理演算装置であってよい。制御部310は、クライアント300のI/OアクセスをロックするI/Oアクセスロック部311と、ロックしたI/Oを解除する第1解除部312、第2解除部313とを含む(図3参照)。
I/Oアクセスロック部311は、クライアント300の所定のI/Oアクセスを制限(ロック)する。ここで、I/Oアクセスの制限とは、上述のI/Oアクセスの使用を制限することであり、例えば、クライアント300のキーボード等の入力を受け付けないこと、所定の文章の閲覧を禁止すること、編集を禁止すること、所定のフォルダへのアクセスを禁止することであってよい。
I/Oアクセスロック部311は、クライアント300が制御サーバ100に接続不可能であるとき、または、クライアント300がシャットダウン(及びサスペンド)等の非活動時であるときに、I/Oとしてキーボードのアクセスを制限してよい。I/Oアクセスロック部311によるI/Oアクセスの制限は、第1解除部312、または第2解除部313により解除される。
第1解除部312は、ロックされたクライアント300のI/Oアクセスを解除する。第1解除部312は、通信部320を介して、制御サーバ100の認証部111へ認証を依頼する。認証が正常に行われた場合には、第1解除部312が、ロックされたI/Oアクセスを解除する。
第2解除部313は、ロックされたクライアント300のI/Oアクセスを解除する。すなわち、第2解除部313は、携帯認証装置200によりI/Oアクセスを認証し、I/Oアクセスのロックを解除する。
I/O部330は、クライアント300の入出力を行うハードウェアもしくはソフトウェアの制御を行う。すなわち、I/O部330は、キーボード、プリンタ、ネットワークドライバ、CD、CD−R、DVD、MO、フレキシブル・ディスク、USBポート等の入出力を行うハードウェアのためのドライバ等により実現されてもよい。また、I/O部330は、入出力が実現される文章の編集(入力)、文章の表示(出力)、フォルダへのアクセス等を行うアプリケーション・プログラムによりソフトウェアとして実現されてもよい。
携帯認証装置接続部340は、携帯認証装置200が接続され、携帯認証装置200と情報の入出力を行う。
携帯認証装置200は、クライアント300のI/Oアクセスの制限に対して、第2解除を行う装置である。すなわち、携帯認証装置200は、クライアント300に物理的に接続され、この接続により、クライアント300のI/Oアクセスの認証を行うことで、I/Oアクセスの制限を解除する(第2解除)。携帯認証装置200は、携帯認証装置200に記録される情報を制御する制御部210と、I/Oアクセスの履歴を記録するI/Oアクセス履歴記録部220と、接続されるクライアント300の情報を記録したクライアント情報記録部230と、認証するキーを記録する認証キー記録部240と、クライアント300と接続するための接続部250とから構成される(図4参照)。
携帯認証装置200は、クライアント300に接続可能な携帯型の装置であってよく、USBキーであってよい。ここで、USBキーとは、USB(Universal Serial Bus)ポートのインターフェースを備え、接続されるコンピュータのI/Oアクセスの認証を行うためのキー(パスワード、暗号解除キー)を記録した装置である。
I/Oアクセス履歴記録部220には、クライアント300に携帯情報装置200が接続された際に、クライアント300にて行われたI/Oアクセスの履歴が記録される。ここで、I/Oアクセスの履歴とは、クライアント300が使用したI/Oアクセス(例えば、所定の文章を閲覧したこと、フォルダへアクセスしたこと、及び、所定の印刷を行ったこと等)に関する履歴である。制御サーバ100に携帯認証装置200が接続された際に、I/Oアクセス履歴記録部220に記録されたI/Oアクセス履歴が、制御サーバ100のI/Oアクセス記録部150により読み出されて、I/Oアクセスデータベース160に記録される。
I/Oアクセス履歴記録部220は、ユーザがクライアント300からアクセスすることができない領域(非ユーザ使用可能領域)に備えられてよい。すなわち、I/Oアクセス履歴記録部220が、クライアント300を使用するユーザから容易にアクセス可能であると、I/Oアクセス履歴を不正に書き換えられる恐れが生じる。したがって、I/Oアクセス履歴記録部220は通常のファイルシステムに使用されるプログラムから容易にアクセスできない記録場所であってよい。
クライアント情報記録部230には、携帯情報装置200が接続されるクライアント300の情報が記録される。すなわち、クライアント情報記録部230には、制御サーバ100に携帯情報装置200を接続した際に、この携帯認証装置200により認証を行うクライアント300の識別情報(シリアルナンバー、MACアドレス等)が記録される。
認証キー記録部240には、認証を行うキー(パスワード、暗号解除キー)が記録される。クライアント300に携帯認証装置200が接続されると、認証キー記録部240に記録された情報に基づいて、認証が行われる。
図5は、クライアント制御システム1の動作フローを示す。最初に、I/Oアクセスロック部311が、クライアント300のI/Oアクセスがロックする(ステップS01)。クライアント300のI/Oアクセスがロックされるタイミングとしては、クライアント300が制御サーバ100に接続不可能であるとき、または、クライアント300がシャットダウン(及びサスペンド)等の非活動時であるときであってよい。
また、制御サーバ100に記録されたI/Oアクセスの制御に関する情報(ポリシー等)が更新されたときに、I/Oアクセスロック部311が、I/Oアクセスのロックを行ってもよい。すなわち、本システムの管理者は、制御サーバ100に、クライアント300のロックを行う対象となるI/Oアクセス(文章、フォルダ、プリンタ等)の制御に関する情報(ポリシー等)の更新を行う。この更新が行われたことに応答して、制御サーバ100が制御したいI/Oアクセスの情報をクライアント300に送信して、クライアント300が、受信した情報に基づいて、対象となるI/Oアクセスのロックが行われてもよい。
ユーザがI/Oアクセスを試みることで、クライアント300のI/O部330がI/Oアクセスを受信する(ステップS02)。すなわち、例えば、ユーザがクライアント300のキーボードの入力を行ったこと、ユーザが特定の文章へアクセスを行ったこと、ユーザが所定のプリンタ40にて印刷を行ったこと等によりI/Oアクセスを受信したと、クライアント300が判断する。
次に、クライアント300は、制御サーバ100との通信が可能であるかを判断する(ステップS03)。クライアント300が、制御サーバ100と通信が可能であるならば、制御サーバ100にて受信したI/Oアクセスの認証を行う(ステップS05)。クライアント300が、制御サーバ100と通信が可能でないならば、携帯認証装置200が接続されるかを判断する(ステップS04)。ここで、ステップS04の判断の前に、図6に示すようなメッセージをクライアント300に表示してもよい。
すなわち、図6では、クライアント300に記録された文章等を閲覧、編集するために、経理フォルダにアクセスしようとした場合の画面表示例を示す。ここでは、クライアント300が制御サーバ100との通信が不可能であるため、制御サーバ100による認証が行われず、携帯認証装置200での認証を行うことをユーザに警告した場合の画面表示例である。
クライアント300が制御サーバ100に接続可能であれば、ステップS02にて受信したI/Oアクセスの認証を、制御サーバ100の認証部111により認証する(ステップS07)。認証部111が認証を行うにあたっては、I/Oアクセスが行われるクライアント300の識別番号に基づいて認証が行われてよい。認証部111が、認証を正常に行った場合には、クライアント300の第1解除部312が、該当するI/Oアクセスのロックの解除(第1解除)を行い(ステップS09)、このI/Oアクセスが許可される。制御サーバ100による認証が正常に行えなかった場合には、ロックの解除が行われずに終了する。
一方、制御サーバ100に接続することができず、携帯認証装置200がクライアント300に接続された場合には、接続された携帯認証装置200による認証が行われる(ステップS06)。携帯認証装置200がクライアント300に接続されない場合には、認証を行うことはできないので、I/Oアクセスのロックは解除されずに終了する。携帯認証装置200の認証キーにて認証が正常に行えた場合には、携帯認証装置200によるロックの解除(第2解除)が行われ(ステップS10)、クライアント300のI/Oアクセスが許可される。第2解除部313が、認証を正常に行えなかった場合には、ロックの解除を行わずに終了する。
また、携帯認証装置200にて第2解除部313が、携帯認証装置200の認証キーに加えて、クライアント300を操作するユーザからパスワードを入力させることで認証が行われてもよい。認証キーは、有効期間が設定されてもよい。すなわち、認証時が、有効期間内であれば、認証キーによる認証(携帯認証装置200による認証)が有効であるが、有効期間外であると、認証キーによる認証が不可能であるといった態様である。
携帯認証装置200の使用態様としては、クライアント300がノート型コンピュータであり、制御サーバ100に接続不可能な外部へクライアント300を持ち出す場合である。このような場合には、制御サーバ100による認証を行うことができないため、I/Oアクセスのロックは解除することができない。そこで、本システムの管理者が携帯認証装置200をクライアント300のユーザに手渡す。外部にて、ユーザは、携帯認証装置200により、クライアント300を認証させて、クライアント300に記録されたI/Oアクセス(文章や、デバイス等の使用)を行うことができる。この際に、クライアント300にて行われたI/Oアクセスの履歴が携帯認証装置200に記録される。その後、クライアント300のユーザは、携帯認証装置200を本システムの管理者に返却する。本システムの管理者は、返却された携帯認証装置200を制御サーバ100に接続して、I/Oアクセスの履歴を収集する。
図7の表は、クライアントAのI/Oアクセスの履歴を示したデータである。図7に示すようなI/Oアクセス履歴データが、クライアント300にて収集され、制御サーバ100に送信され、I/Oアクセス履歴記録部165に記録される。また、クライアント300が制御サーバ100と通信が不可能であり、携帯認証装置200にて認証を行うことでI/Oアクセスを行った場合には、携帯認証装置200のI/Oアクセス履歴記録部220に、このI/Oアクセス履歴データが記録される。そして、制御サーバ100に携帯認証装置200が接続されたときには、携帯認証装置200に記録されたI/Oアクセス履歴データが、I/Oアクセス記録部150に読み込まれて、I/Oアクセス履歴記録部165に記録される。この際に、どのクライアント300のI/Oアクセスの履歴情報であるかを示すために、I/Oアクセス履歴データには、クライアントごとの識別番号を含む。
I/Oアクセス履歴データは、クライアント名(クライアントA)、クライアントのシリアルナンバー(S/N)、アクセスのあったI/O名、I/Oの詳細、I/Oアクセスのあった日時により構成される。I/Oアクセス履歴データは、どのクライアントが、どのようなI/Oアクセスを、いつ行ったかの情報を含む。図7のI/Oアクセス履歴データを例にすると、このI/Oアクセス履歴データは、クライアント名がクライアントAであり、シリアル番号(認識番号)が001である。I/Oアクセスとしては、記載された日時に、記載されたI/Oに対してアクセスがあったことを示している。このようなI/Oアクセス履歴データがクライアント300ごとに制御サーバ100のI/Oアクセス履歴記録部165に記録される。したがって、制御サーバ100は、全てのクライアント300のI/Oアクセスに関する履歴情報を記録することが可能であり、本システムを使用する管理者は、不正なI/Oアクセスに対する履歴情報を取得することができる。
以上の説明から明らかなように、本発明に係るクライアント300のI/Oアクセスを制限する方法、プログラム、システムによれば、クライアント300に対してI/Oアクセスを制限することで、クライアント300に記録された個人情報の保護を行うことが可能である。そして、このI/Oアクセスの制限を解除する際に、制御サーバ100もしくは携帯認証装置200にて認証を行うことで、認証が正常に行われた場合にのみI/Oアクセスの制御を解除する。したがって、クライアント300が制御サーバ100に接続不可能である場合であっても、I/Oアクセスの認証を行うことが可能な方法、プログラム、システムを提供することができる。すなわち、本発明では、クライアント300に対して制御すべきI/Oアクセスをロックすることを前提としており、認証が正常に行われた場合にのみ、I/Oアクセスを許可する。したがって、不正なユーザがI/Oアクセスすることによるデータ漏洩、盗難の防止を行うことが可能である。さらに、他の実施例によれば、このようなI/Oアクセスの履歴を制御サーバ100に記録するため、不審・不正アクセスの原因を検討するためのI/Oアクセス履歴データを提供することができる。
図8は、制御サーバ100とクライアント300とのハードウェア構成の一例を示した図である。CPU500は、ハードディスク540や記録媒体読出装置560からクライアント300を制御する方法を実現するプログラムを、ホストコントローラ510、I/Oコントローラ520を介して、読み込み、読み込んだプログラムをRAM550に記録して、プログラムを実行する。このプログラムを構成する各ステップを実行することにより、制御サーバ100のCPU500が、認証部111、セキュリティ検疫部120、I/Oアクセス記録部150として機能してもよい。また、クライアント300においては、プログラム(エージェントプログラム)を読み出すことで、CPU500が、I/Oアクセスロック部311、第1解除部312、第2解除部313として機能してもよい。また、このプログラムを実行する際に、ハードディスク540や記録媒体読出装置560に記録されたデータを読み出してもよい。CPU500は、情報を判断した結果もしくは演算した結果を、ホストコントローラ510を介してモニタ590に表示する。CPU500は、ネットワークボード570とI/Oコントローラ520を介して、通信ネットワークに接続された制御サーバ100もしくはクライアント300から、データを取得する。クライアント300のCPU500は、グラフィックボード580を介して、モニタ590に、図6に示した画面表示例を表示してよい。
このような実施形態を実現する、クライアント300のI/Oアクセスを制限する方法を、コンピュータやサーバにて実行するためのプログラムにより実現することができる。このプログラムのための記録媒体としては、光学記録媒体、テープ媒体、半導体メモリ等が挙げられる。また、専用通信ネットワークやインターネットに接続されたサーバ・システムに設けられたハードディスク又はRAM等の記録装置を記録媒体として使用し、ネットワークを介してプログラムを提供してもよい。
以上、本発明の実施形態を説明したが、具体例を例示したに過ぎず、特に本発明を限定しない。また、本発明の実施形態に記載された効果は、本発明から生じる最も好適な効果を列挙したに過ぎず、本発明による効果は、本発明の実施形態に記載された効果に限定されない。
1 クライアント制御システム
30 通信回線ネットワーク
40 プリンタ
100 制御サーバ
110 制御部
120 セキュリティ検疫部
130 携帯認証装置接続部
140 通信部
150 I/Oアクセス記録部
160 I/Oアクセスデータベース
165 I/Oアクセス履歴記録部
200 携帯認証装置
210 制御部
220 I/Oアクセス履歴記録部
230 クライアント情報記録部
240 認証キー記録部
250 接続部
300 クライアント
310 制御部
311 I/Oアクセスロック部
312 第1解除部
313 第2解除部
320 通信部
330 I/O部
340 携帯認証装置接続部
500 CPU
510 ホストコントローラ
520 I/Oコントローラ
530 ROM
540 ハードディスク
550 RAM
560 記録媒体読出装置
570 ネットワークボード
580 グラフィックボード
590 モニタ
30 通信回線ネットワーク
40 プリンタ
100 制御サーバ
110 制御部
120 セキュリティ検疫部
130 携帯認証装置接続部
140 通信部
150 I/Oアクセス記録部
160 I/Oアクセスデータベース
165 I/Oアクセス履歴記録部
200 携帯認証装置
210 制御部
220 I/Oアクセス履歴記録部
230 クライアント情報記録部
240 認証キー記録部
250 接続部
300 クライアント
310 制御部
311 I/Oアクセスロック部
312 第1解除部
313 第2解除部
320 通信部
330 I/O部
340 携帯認証装置接続部
500 CPU
510 ホストコントローラ
520 I/Oコントローラ
530 ROM
540 ハードディスク
550 RAM
560 記録媒体読出装置
570 ネットワークボード
580 グラフィックボード
590 モニタ
Claims (16)
- ネットワークでサーバに接続されたクライアントに記録されたファイルまたはフォルダへのアクセスおよび特定のデバイスへのアクセスを含む複数のロックの対象で構成されたI/Oアクセスを制限する方法であって、
前記サーバから前記クライアントがロックを行う対象となるI/Oアクセスの制御に関するポリシーを受け取るステップと、
前記ポリシーに基づいて前記クライアントが前記複数のロックの対象で構成されたI/Oアクセスから選択された所定のI/Oアクセスをロックするステップと、
前記クライアントが、前記ネットワークを経由して前記サーバに接続可能であるかを判断する接続判断ステップと、
前記接続判断ステップにて接続可能であることに応答して前記サーバにより前記クライアントを認証し、前記所定のI/Oアクセスのロックを解除する第1解除ステップと、
前記接続判断ステップにて接続可能でないことに応答して携帯認証装置を前記クライアントに接続して前記携帯認証装置により前記クライアントを認証し、前記所定のI/Oアクセスのロックを解除する第2解除ステップと
を含む制限方法。 - 前記第1解除ステップにおいて、前記クライアントの認証が前記サーバに提供されたポリシーを参照することにより行われる請求項1に記載の制限方法。
- 前記第1解除ステップにおいて参照するポリシーが、複数のクライアントに対して適用されるグループポリシーである請求項2に記載の制限方法。
- 前記ロックするステップでは、前記クライアントがスタンバイ状態であることに応答して前記クライアントが非活動時であると判断し、この判断に応答して前記所定のI/Oアクセスをロックする請求項1に記載の制限方法。
- 前記第2解除ステップでは、前記携帯認証装置に記録された前記クライアントの認証キーにより前記クライアントを認証し、前記所定のI/Oアクセスのロックを解除する請求項1に記載の制限方法。
- 前記第2解除ステップでは、前記携帯認証装置に記録された前記クライアントに設定されたアカウントのパスワードにより前記クライアントを認証し、前記所定のI/Oアクセスのロックを解除する請求項1に記載の制限方法。
- 前記携帯認証装置に、前記携帯認証装置が接続されている間に前記クライアントで行われたI/Oアクセスの履歴を記録するステップを含む請求項1に記載の制限方法。
- 前記携帯認証装置を前記サーバに接続して前記記録されたI/Oアクセスの履歴を前記サーバに提供するステップを含む請求項7に記載の制限方法。
- 前記携帯認証装置に記録するI/Oアクセスの履歴とは、前記クライアントのUSBポート、キーボード、プリンタ、ネットワークドライバ、CD、CD−R、DVD、MO、フレキシブル・ディスク、ファイルの使用履歴、もしくはフォルダのアクセス履歴である請求項7に記載の制限方法。
- 前記第1解除ステップにおいて、前記クライアントのI/Oアクセスを解除した後に、前記クライアント名と、解除したI/Oアクセスと、解除した日時を前記サーバに記録する請求項1に記載の制限方法。
- 前記携帯認証装置が、USBキーである請求項1に記載の制限方法。
- クライアントに記録されたファイルまたはフォルダへのアクセスおよび特定のデバイスへのアクセスを含む複数のロック対象で構成されたI/Oアクセスが可能でかつネットワークでサーバに接続が可能な前記クライアントに、
前記サーバから前記クライアントがロックを行う対象となるI/Oアクセスの制御に関するポリシーを受け取るステップと、
前記ポリシーに基づいて前記クライアントが前記複数のロック対象で構成されたI/Oアクセスから選択された所定のI/Oアクセスをロックするステップと、
前記クライアントが、前記ネットワークを経由して前記サーバに接続可能であるかを判断する接続判断ステップと、
前記接続判断ステップにて接続可能であることに応答し、かつ、前記サーバにより前記クライアントを認証したことに応答して、前記所定のI/Oアクセスのロックを解除するステップと、
前記接続判断ステップにて接続可能でないことに応答して、携帯認証装置を前記クライアントに接続して前記携帯認証装置により前記クライアントを認証し、前記所定のI/Oアクセスのロックを解除する第2解除ステップと、
を含む処理を実行させるコンピュータ・プログラム。 - 請求項12に記載のコンピュータ・プログラムを記憶した記録媒体。
- クライアントに記録されたファイルまたはフォルダへのアクセスおよび特定のデバイスへのアクセスを含む複数のロック対象で構成されたI/Oアクセスが可能でかつネットワークでサーバに接続が可能な前記クライアントであって、
前記サーバから受け取った前記クライアントがロックを行う対象となるI/Oアクセスの制御に関するポリシーに基づいて前記複数のロック対象で構成されたI/Oアクセスから選択された所定のI/OアクセスをロックするI/Oアクセスロック部と、
前記ネットワークを経由して前記サーバに接続可能なときに前記サーバに認証要求をして認証された場合に前記所定のI/Oアクセスのロックを解除する第1解除部と、
接続可能でないときに携帯認証装置が接続されたことに応答して前記携帯認証装置により認証を行い前記所定のI/Oアクセスのロックを解除する第2解除部と
を備えたクライアント。 - 前記携帯認証装置が、前記携帯認証装置が接続されている間に前記クライアントで行われた前記I/Oアクセスの履歴を記録するI/Oアクセス履歴記録部を含む請求項14に記載のクライアント。
- 前記携帯認証装置が、USBキーである請求項14に記載のクライアント。
Priority Applications (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005063439A JP4781692B2 (ja) | 2005-03-08 | 2005-03-08 | クライアントのi/oアクセスを制限する方法、プログラム、システム |
| US11/369,558 US20060206720A1 (en) | 2005-03-08 | 2006-03-07 | Method, program and system for limiting I/O access of client |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2005063439A JP4781692B2 (ja) | 2005-03-08 | 2005-03-08 | クライアントのi/oアクセスを制限する方法、プログラム、システム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2006251857A JP2006251857A (ja) | 2006-09-21 |
| JP4781692B2 true JP4781692B2 (ja) | 2011-09-28 |
Family
ID=36972394
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2005063439A Expired - Fee Related JP4781692B2 (ja) | 2005-03-08 | 2005-03-08 | クライアントのi/oアクセスを制限する方法、プログラム、システム |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US20060206720A1 (ja) |
| JP (1) | JP4781692B2 (ja) |
Families Citing this family (29)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7464862B2 (en) | 2004-06-15 | 2008-12-16 | Quickvault, Inc. | Apparatus & method for POS processing |
| US8914865B2 (en) * | 2006-05-27 | 2014-12-16 | Loughton Technology, L.L.C. | Data storage and access facilitating techniques |
| US7999415B2 (en) | 2007-05-29 | 2011-08-16 | Christopher Vance Beckman | Electronic leakage reduction techniques |
| US8011013B2 (en) * | 2006-07-19 | 2011-08-30 | Quickvault, Inc. | Method for securing and controlling USB ports |
| JP4045461B1 (ja) * | 2006-12-28 | 2008-02-13 | 富士ゼロックス株式会社 | 電子機器および画像形成装置 |
| WO2008126193A1 (ja) * | 2007-03-19 | 2008-10-23 | Fujitsu Limited | ユーザ装置、その運用プログラム及び方法、並びに管理装置 |
| US10778417B2 (en) | 2007-09-27 | 2020-09-15 | Clevx, Llc | Self-encrypting module with embedded wireless user authentication |
| US11190936B2 (en) | 2007-09-27 | 2021-11-30 | Clevx, Llc | Wireless authentication system |
| US10181055B2 (en) | 2007-09-27 | 2019-01-15 | Clevx, Llc | Data security system with encryption |
| US10783232B2 (en) | 2007-09-27 | 2020-09-22 | Clevx, Llc | Management system for self-encrypting managed devices with embedded wireless user authentication |
| JP5056481B2 (ja) * | 2008-03-03 | 2012-10-24 | 日本電気株式会社 | データ管理方法及び装置 |
| JP5138460B2 (ja) * | 2008-05-15 | 2013-02-06 | 日本電信電話株式会社 | 耐タンパデバイスを用いたサービス実行システムおよびサービス実行方法 |
| US8086688B1 (en) | 2008-05-16 | 2011-12-27 | Quick Vault, Inc. | Method and system for mobile data security |
| JP5127050B2 (ja) * | 2008-05-20 | 2013-01-23 | 株式会社日立製作所 | 通信端末装置持ち出し管理システム、通信端末装置持ち出し管理方法、プログラム及び記憶媒体 |
| EP2327036A1 (en) * | 2008-08-08 | 2011-06-01 | Absolute Software Corporation | Secure computing environment to address theft and unauthorized access |
| US8556991B2 (en) * | 2008-08-08 | 2013-10-15 | Absolute Software Corporation | Approaches for ensuring data security |
| US8566961B2 (en) | 2008-08-08 | 2013-10-22 | Absolute Software Corporation | Approaches for a location aware client |
| JP5202203B2 (ja) * | 2008-09-17 | 2013-06-05 | 株式会社日立産機システム | インクジェット記録装置 |
| JP5146880B2 (ja) * | 2008-12-18 | 2013-02-20 | 株式会社Pfu | 情報管理装置、情報管理システム、情報管理プログラム、及び情報管理方法 |
| JP5318719B2 (ja) * | 2009-09-30 | 2013-10-16 | 株式会社日立ソリューションズ | 端末装置及び端末装置におけるアクセス制御ポリシー取得方法 |
| US8566610B2 (en) * | 2009-12-18 | 2013-10-22 | Intel Corporation | Methods and apparatus for restoration of an anti-theft platform |
| GB2487049A (en) * | 2011-01-04 | 2012-07-11 | Vestas Wind Sys As | Remote and local authentication of user for local access to computer system |
| TWI450123B (zh) * | 2011-07-12 | 2014-08-21 | Walton Advanced Eng Inc | Data sharing system with digital key |
| TW201315183A (zh) * | 2011-09-22 | 2013-04-01 | Walton Advanced Eng Inc | 以圖像進行資料分享之系統及其執行方法 |
| TWI461903B (zh) * | 2011-09-29 | 2014-11-21 | Walton Advanced Eng Inc | Data sharing system with digital key and data backup and its implementation method |
| CN104885425B (zh) * | 2012-12-20 | 2018-09-18 | 瑞典爱立信有限公司 | 使得客户端能够提供服务器实体的技术 |
| US9565200B2 (en) | 2014-09-12 | 2017-02-07 | Quick Vault, Inc. | Method and system for forensic data tracking |
| GB2541000B (en) * | 2015-08-04 | 2018-09-19 | Displaylink Uk Ltd | Security Device |
| CN112054892A (zh) * | 2016-01-04 | 2020-12-08 | 克莱夫公司 | 数据存储设备、方法和系统 |
Family Cites Families (27)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO1995016238A1 (en) * | 1993-12-06 | 1995-06-15 | Telequip Corporation | Secure computer memory card |
| US6219726B1 (en) * | 1994-07-27 | 2001-04-17 | International Business Machines Corporation | System for providing access protection on media storage devices by selecting from a set of generated control parameters in accordance with application attributes |
| US5604801A (en) * | 1995-02-03 | 1997-02-18 | International Business Machines Corporation | Public key data communications system under control of a portable security device |
| JPH09171416A (ja) * | 1995-10-19 | 1997-06-30 | Hitachi Ltd | コンピュータ不正使用防止装置 |
| US6928547B2 (en) * | 1998-07-06 | 2005-08-09 | Saflink Corporation | System and method for authenticating users in a computer network |
| US6748541B1 (en) * | 1999-10-05 | 2004-06-08 | Aladdin Knowledge Systems, Ltd. | User-computer interaction method for use by a population of flexibly connectable computer systems |
| EP1001329B1 (en) * | 1998-11-10 | 2007-04-18 | Aladdin Knowledge Systems Ltd. | A user-computer interaction method for use by flexibly connectable computer systems |
| FR2789536B1 (fr) * | 1999-02-08 | 2001-03-09 | Bull Sa | Dispositif et procede d'authentification d'un utilisateur a distance |
| US6308201B1 (en) * | 1999-04-08 | 2001-10-23 | Palm, Inc. | System and method for sharing data among a plurality of personal digital assistants |
| US6839437B1 (en) * | 2000-01-31 | 2005-01-04 | International Business Machines Corporation | Method and apparatus for managing keys for cryptographic operations |
| JP2002268766A (ja) * | 2001-03-09 | 2002-09-20 | Nec Gumma Ltd | パスワード入力方法 |
| US7603703B2 (en) * | 2001-04-12 | 2009-10-13 | International Business Machines Corporation | Method and system for controlled distribution of application code and content data within a computer network |
| WO2002087152A1 (en) * | 2001-04-18 | 2002-10-31 | Caveo Technology, Llc | Universal, customizable security system for computers and other devices |
| JP2003122719A (ja) * | 2001-10-11 | 2003-04-25 | Ntt Fanet Systems Corp | サーバ、端末コンピュータ、端末コンピュータ用プログラム、コンピュータシステムおよび端末コンピュータの使用許諾方法 |
| US7222361B2 (en) * | 2001-11-15 | 2007-05-22 | Hewlett-Packard Development Company, L.P. | Computer security with local and remote authentication |
| US7487535B1 (en) * | 2002-02-01 | 2009-02-03 | Novell, Inc. | Authentication on demand in a distributed network environment |
| US7299364B2 (en) * | 2002-04-09 | 2007-11-20 | The Regents Of The University Of Michigan | Method and system to maintain application data secure and authentication token for use therein |
| US20030200459A1 (en) * | 2002-04-18 | 2003-10-23 | Seeman El-Azar | Method and system for protecting documents while maintaining their editability |
| US7234157B2 (en) * | 2002-06-27 | 2007-06-19 | Lenovo Singapore Pte Ltd | Remote authentication caching on a trusted client or gateway system |
| JP2004086584A (ja) * | 2002-08-27 | 2004-03-18 | Ntt Comware Corp | パーソナルコンピュータにおける認証装置 |
| US20040103317A1 (en) * | 2002-11-22 | 2004-05-27 | Burns William D. | Method and apparatus for protecting secure credentials on an untrusted computer platform |
| JP2004265286A (ja) * | 2003-03-04 | 2004-09-24 | Fujitsu Ltd | 環境に応じて選択されたセキュリティ・ポリシーに従うモバイル機器の管理 |
| JP2004362245A (ja) * | 2003-06-04 | 2004-12-24 | Nippon Telegr & Teleph Corp <Ntt> | 個人情報入出力システム、個人情報格納装置および個人情報入出力方法 |
| US20040254817A1 (en) * | 2003-06-11 | 2004-12-16 | Sanyo Electric Co., Ltd. | System, method, and program for personal information reference, information processing apparatus and information management method |
| KR100809765B1 (ko) * | 2003-08-18 | 2008-03-04 | 싸이언스 파크 가부시키가이샤 | 전자 데이터 관리장치, 그의 제어 프로그램을 저장한 전자계산기용 기록 매체 및 전자 데이터 관리방법 |
| ATE332549T1 (de) * | 2003-09-03 | 2006-07-15 | France Telecom | Vorrichtung und verfahren zur sicheren kommunikation basierend auf chipkarten |
| US20060069819A1 (en) * | 2004-09-28 | 2006-03-30 | Microsoft Corporation | Universal serial bus device |
-
2005
- 2005-03-08 JP JP2005063439A patent/JP4781692B2/ja not_active Expired - Fee Related
-
2006
- 2006-03-07 US US11/369,558 patent/US20060206720A1/en not_active Abandoned
Also Published As
| Publication number | Publication date |
|---|---|
| US20060206720A1 (en) | 2006-09-14 |
| JP2006251857A (ja) | 2006-09-21 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4781692B2 (ja) | クライアントのi/oアクセスを制限する方法、プログラム、システム | |
| US7496765B2 (en) | System, method and program product to prevent unauthorized access to portable memory or storage device | |
| JP4982825B2 (ja) | コンピュータおよび共有パスワードの管理方法 | |
| JP5270694B2 (ja) | 機密ファイルを保護するためのクライアント・コンピュータ、及びそのサーバ・コンピュータ、並びにその方法及びコンピュータ・プログラム | |
| US20120254602A1 (en) | Methods, Systems, and Apparatuses for Managing a Hard Drive Security System | |
| JP4610557B2 (ja) | データ管理方法、そのプログラム及びプログラムの記録媒体 | |
| US10979450B2 (en) | Method and system for blocking phishing or ransomware attack | |
| JP4681053B2 (ja) | 電子計算機のデータ管理方法、プログラム、及び記録媒体 | |
| JP2009510808A (ja) | インテリジェンスベースのセキュリティのシステムおよび方法 | |
| JP4576336B2 (ja) | 電子データ管理装置、その制御プログラム及び電子データ管理方法 | |
| JP2004078539A (ja) | ハードディスクのプライバシー保護システム | |
| JP2004234053A (ja) | コンピュータシステム、コンピュータ装置、記憶装置のデータ保護方法、およびプログラム | |
| US20080263630A1 (en) | Confidential File Protecting Method and Confidential File Protecting Device for Security Measure Application | |
| KR20140051350A (ko) | 디지털 서명 권한자 의존형 플랫폼 기밀 생성 기법 | |
| JP2005284679A (ja) | リソース利用ログ取得プログラム | |
| US6976172B2 (en) | System and method for protected messaging | |
| JP4044126B1 (ja) | 情報漏洩抑止装置、情報漏洩抑止プログラム、情報漏洩抑止記録媒体、及び情報漏洩抑止システム | |
| JP2006343887A (ja) | 記憶媒体、サーバ装置、情報セキュリティシステム | |
| JP4550526B2 (ja) | 情報処理システム、情報処理装置、登録サーバ、制御プログラム、及び制御方法 | |
| JP2002312326A (ja) | Usbインターフェイスを備える電子デバイスを用いた複数認証方法 | |
| JP2002304231A (ja) | コンピュータシステム | |
| JP4752125B2 (ja) | コンピュータシステム | |
| KR101042218B1 (ko) | 컴퓨터용 데이터 보안시스템의 데이터 보안방법 | |
| JP4698403B2 (ja) | 情報共有システム、情報機器、情報共有方法、および、情報共有プログラム | |
| JP2006092081A (ja) | 不特定者または多数者が利用するパソコンの安全な起動利用方法及びそのような利用を実現する記録媒体 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A625 | Written request for application examination (by other person) |
Free format text: JAPANESE INTERMEDIATE CODE: A625 Effective date: 20061129 |
|
| A625 | Written request for application examination (by other person) |
Free format text: JAPANESE INTERMEDIATE CODE: A625 Effective date: 20061219 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100525 |
|
| RD12 | Notification of acceptance of power of sub attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7432 Effective date: 20100625 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20100625 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100813 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20110315 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20110513 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20110705 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20110706 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140715 Year of fee payment: 3 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4781692 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140715 Year of fee payment: 3 |
|
| S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140715 Year of fee payment: 3 |
|
| R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140715 Year of fee payment: 3 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |