JP5783650B2 - ファイルを安全に管理するための方法、セキュリティ保護された装置、システム、及びコンピュータ・プログラム製品 - Google Patents

ファイルを安全に管理するための方法、セキュリティ保護された装置、システム、及びコンピュータ・プログラム製品 Download PDF

Info

Publication number
JP5783650B2
JP5783650B2 JP2013528794A JP2013528794A JP5783650B2 JP 5783650 B2 JP5783650 B2 JP 5783650B2 JP 2013528794 A JP2013528794 A JP 2013528794A JP 2013528794 A JP2013528794 A JP 2013528794A JP 5783650 B2 JP5783650 B2 JP 5783650B2
Authority
JP
Japan
Prior art keywords
file
server
secure device
request
secure
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
JP2013528794A
Other languages
English (en)
Other versions
JP2013542489A (ja
Inventor
バエンチュ、ミヒャエル
ビューラー、ペーター
ダイクマン、ダグラス、エイチ
ヘルマン、レトー、ジェイ
ホーリング、フランク
カイパー、ミヒャエル、ピー
オルティスイェペス、ディエゴ、エー
ウェイゴールド、トーマス、ディー
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of JP2013542489A publication Critical patent/JP2013542489A/ja
Application granted granted Critical
Publication of JP5783650B2 publication Critical patent/JP5783650B2/ja
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/10Protecting distributed programs or content, e.g. vending or licensing of copyrighted material ; Digital rights management [DRM]
    • G06F21/12Protecting executable software
    • G06F21/121Restricting unauthorised execution of programs
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Technology Law (AREA)
  • Multimedia (AREA)
  • Databases & Information Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Storage Device Security (AREA)

Description

本発明は、ユーザに配布されたファイルを安全に管理するためにセキュリティ保護された装置を用いる方法に関する。特に、本発明は、悪意のあるソフトウェアすなわちマルウェアに対抗した設計により保護され、サーバへの接続、例えばSSL/TLS接続などのセキュリティ保護された接続を確立するように適合された、セキュリティ保護された装置を用いる方法に関する。それと矛盾することなく、本発明は、そのような装置、並びにそのような装置含むシステム、又は上記方法を実装するためのコンピュータ・プログラム媒体、及び対応するサーバ構成要素に関する。
ユーザによって入力されたデータが攻撃者によって不正操作又はコピーされることがあるので、PCはそれに伴うセキュリティ問題のせいで多くの機能に適さないものになっている。例えば、所望していない受取人に送金するように又は所望していない品物を注文するように取引が変更されることがあり、又はユーザの資格証明がコピーされて、インターネット・バンキングに用いられるシステムのようなシステムへのアクセス権を攻撃者に与えることがある。
これらの問題の幾つかを解決するために、ユーザのセキュリティが保護された装置(「信頼できる装置」とも呼ばれる)をPCと共に用いることができる。そのような解決法の1つであるIBM Zone Trusted Information Channel(非特許文献1参照)は、取引に関連付けられた情報(例えば、インターネット・バンキングの場合には、金額及び受取人)を、その取引がサービス・プロバイダ(例えば、銀行)によって実行される前に、ユーザが確認することを可能にする。取引は、確認された情報をセキュリティ保護された方法でバックエンド・システムに送ることができる、セキュリティ保護された装置上で確認される。
そのうえ、低価格で高容量のUSBフラッシュドライブが入手できるようになったので、セキュリティ保護された文書管理は、あらゆるIT組織にとって考慮すべき領域となった。特に2つの問題がある。
1.外部でのデータの紛失:大量の機密データをUSBフラッシュドライブのような装置上に容易に格納して運ぶことができる。このような装置の紛失は、会社にとって法的又は財政的な危急を生じさせかねない。
2.従業員によるデータの盗難:機密データは、そのデータにPCを介してアクセスできる従業員が簡単に盗むことができる。
第1の問題に対する解決法は、いまや市場に出現している。例えば、USBドライブ上のデータを暗号化してパスワード保護することができる。他のITシステムと同様に、誤ったパスワードが、指定された回数よりも多く入力された場合には、装置がロックすることによりデータへのアクセスが不可能になる。
第2の問題には、大量記憶装置に対してUSBポートを社内でブロックすることにより対処することができる。残念ながら、そのような解決法は、携帯型記憶装置の多くの正当で有用な用途も妨げることになる。別の手法は、所与のポリシーに違反するデータのコピーを検出して防止するために、ユーザのPC上の監視ソフトウェアを用いるものである。しかしながら、このようなソフトウェア的解決法は、それを実装するために用いられるシステム及びアプリケーション・ソフトウェアと同程度に安全であるに過ぎず、すなわち、断固たる攻撃者が存在する場合には、問題を解決することができない。
関連した課題は、機密文書のセキュリティ保護された配布である。文書は、配布前に暗号化することができ、この暗号化は移送中の文書を保護し、いったん文書がユーザのPC上に格納されると、その文書は暗号化された形態で格納されたものと想定される。しかしながら、文書が、例えば閲覧のために解読されるやいなや、その文書は露出し、そこからリスクが生じる。社内では、リスクは、文書を処理(例えば、閲覧又は印刷)するために用いられる会社のITインフラストラクチャの全体としてのセキュリティにより限定される。それでもなお、そのような文書が社外で、例えばインターネットに接続したPC上で解読されたとき、又は会社のPCのセキュリティが損なわれたときには、このような文書は再び露出する。
Thomas Weigold、Thorsten Kramp、Reto Hermann、Frank Hoering、Peter Buhler、Michael Baentsch、「The Zurich Trusted Information Channel−An Efficient Defence against Man−in−the−Middle and Malicious Software Attacks」、P.Lipp、A.−R.Sadeghi及びK.−M.Koch(編集)、TRUST 2008、2008年、LINCS第4968巻、75−91頁
したがって、機密文書の安全な配布のため、より一般的にはファイルを安全に管理するために、現行の方法を改良することが必要とされる。
第1の態様によれば、本発明は、ファイルを安全に管理するための方法を提供し、この方法は、悪意のあるソフトウェアすなわちマルウェアに対抗する設計により保護され、遠隔通信ネットワークを通じてサーバに接続されたホストを介してサーバへの接続を確立するように適合された、セキュリティ保護された装置を準備するステップと、セキュリティ保護された装置上に格納されたファイルを使用することを求める要求を受け取ると、ファイルに関連付けられた更新された使用許可に従って、セキュリティ保護された装置において要求を処理するステップとを含み、更新された使用許可は、ホストを介してセキュリティ保護された装置とサーバとの間に接続を確立するように、セキュリティ保護された装置において命令すること、及び、確立された接続を通じてサーバから送られた許可データに従って、ファイルに関連付けられた使用許可を装置において更新することにより取得される。
実施形態においては、本方法は、以下の特徴の1つ又は複数を含むことができる。
−本方法は、ファイルを装置において格納するステップをさらに含み、ファイルは、セキュリティ保護された装置とサーバとの間に確立された接続を通してサーバから送られる。
−本方法は、装置において要求を受信した後、セキュリティ装置において受け取った要求を承諾したときに、ファイルに関連付けられた使用許可を更新するステップをさらに含む。
−本方法は、ファイルを使用することを求める要求を受け取る前、かつ、ファイルに関連付けられた使用許可を更新した後、セキュリティ保護された装置において、更新された使用許可に従ってファイルをユーザインターフェース又はアプリケーションに露出させるよう命令するステップをさらに含む。
−ホストを介して確立される接続は、SSL/TLS接続のようなセキュリティ保護された接続である。
−装置上に格納されたファイルは、所与の暗号化スキームに従って暗号化され、本方法は、ファイルを解読するための解読キーをセキュリティ保護された装置において受け取るステップをさらに含み、解読キーは、セキュリティ保護された装置とサーバとの間に確立された接続を通じてサーバから送られる。
−本方法は、暗号化キーを用いて装置においてファイルを暗号化するステップをさらに含み、暗号化キーは、スマートカード上、若しくは、外部からアクセスできない、装置の内部メモリ上に格納されたものであるか、又は装置においてユーザにより入力されたものである。
−更新された使用許可が、パラメータを含み、このパラメータは、ファイルを使用することを求める要求を処理するために装置により解釈されたときに、関連付けられたファイルにアクセスすることができる回数又はファイルにアクセスすることができる期間のようなファイルへのアクセス権を制限する。
−セキュリティ保護された装置において維持されている更新された使用許可が、例えば、装置における読み出し、外部プリンタでの印刷、又はビーマのような外部装置からの読み出しを求める要求のような所与のタイプの要求に各々が関連付けられた、幾つか下位の許可に分解される。
−要求を承諾したときに使用許可を更新するステップは、ファイルに関連付けられた使用許可を装置において更新することを含む。
−要求を承諾したときに使用許可を更新するステップは、処理された要求に関するデータを、セキュリティ保護された装置とサーバとの間に確立された接続を通じてサーバに送ることと、ファイルに関連付けられた使用許可をサーバにおいて更新すること、を含む。
−本方法は、ファイルを使用することを求める受け取った要求をサーバにおいてログ記録するステップをさらに含む。
別の態様によれば、本発明は、悪意のあるソフトウェアすなわちマルウェアに対抗する設計により保護され、処理手段、メモリ、並びに、ユーザ、パーソナルコンピュータすなわちPCのようなホスト及びサーバと結合又は対話するように構成されたインターフェースを有する、セキュリティ保護された装置として具体化され、このセキュリティ保護された装置は、セキュリティ保護された装置がホストと接続されて、ホストとサーバとが遠隔通信ネットワークを通じて接続されたときに、ホストを介してサーバとのTLS/SSL接続のような接続を確立するように適合されており、メモリ上に格納された、本発明による方法のステップを実装するために処理手段により実行可能なコンピュータ化方法をさらに含む。
さらに別の態様によれば、本発明は、本発明によるセキュリティ保護された装置と、パーソナルコンピュータすなわちPCと、サーバとを含むシステムとして具体化される。
最後の態様によれば、本発明は、本発明による方法の全てのステップを実行するために処理手段により実行可能な命令を含む、コンピュータ・プログラム媒体として具体化される。
ここで、本発明を具体化する方法、装置及びシステムを、非限定的な例として、添付図面を参照して説明する。
本発明による方法の一般的な実施形態のステップを示すフローチャートである。 より詳細な別の実施形態による方法のステップを示すフローチャートである。 本発明の実施形態により配置され、ファイルの使用を安全に管理することを可能にする、端末及びサーバに結合されたセキュリティ保護された装置の概略図である。 本発明の実施形態による装置内に維持された、装置において使用許可を更新する前の、使用許可と対応するファイルとの間の相互関係を示すデータ構造の例を概略的に示す。 本発明の実施形態による、装置に維持された、装置において使用許可を更新した後の、使用許可と対応するファイルとの間の相互関係を示すデータ構造の例を概略的に示す。
以下の説明への序論として、まず、本発明の一般的な態様において、これはファイルを安全に管理するための方法に向けられるものであることが指摘される。本方法は、ユーザのセキュリティが保護された(又は信頼できる)装置を利用し、この装置は、悪意のあるソフトウェアすなわちマルウェアに対抗した設計により保護される。装置上に格納されたファイルを使用することを求める要求を受け取ると、装置は、ファイルに関連付けられた更新された使用許可に従って要求を処理する。要求を「処理する」ことは、典型的には、可能であれば要求を承諾し(更新された使用許可に基づいて)、引き続き、要求を実行するステップを取ること(例えば、ファイルが暗号化された状態で格納されている場合には、ファイルを解読することから始める)を意味する。使用許可はその後で必要に応じて更新される。これは、実際には、関与する許可のタイプ、及び、要求が承諾されたか否かに依存する。まず第一に要求を処理するために用いられる許可は、最初に、サーバへの接続、例えばSSL/TLS接続を、そのサーバが接続された遠隔通信ネットワークのホストを介して確立するよう、装置において命令することにより取得される。次に、装置は、確立された接続を通じてサーバから送られたデータに従って、使用許可を更新する。例えばファイルの要求されたバージョンがまだ装置上に格納されていない場合などには、問題のファイルもサーバから送ることができる。
ファイルを使用することを求める要求(すなわち、例えばファイルの閲覧又は印刷などの、アクセス要求)を受け取ると、装置は、対応する許可の更新された状態に応じて、例えば所与のサーバ(会社)ポリシーに従って、要求を処理することができる。したがって、ユーザが(サーバから)入手することができるようにされるファイルの使用を制限することが可能であり、これは、所与のポリシーに従う。
より詳細には、図1は、本方法の一般的な実施形態を示すフローチャートを示す。図3は、ネットワークを介して端末及びサーバに結合された、セキュリティ保護された装置の一例の概略図である。
図1及び図3を併せて参照すると、本発明は、何よりもまず、セキュリティ保護された装置10に依拠するものである(ステップS100)。前述のように、セキュリティ保護された装置は、悪意のあるソフトウェアすなわちマルウェアに対抗した設計により保護される。例えば、このセキュリティ保護された装置は、本装置をマルウェアにさらすかもしれない、ソフトウェア・インストール又はその他の機能のための幾つかのクライアント・インターフェースを持たないものとすることができる。しかしながら、装置には、典型的には、例えばPIN又はスマートカードのようなユーザのセキュリティ要素を入力し、再表示するための、簡素なユーザ入力及び出力機能が設けられる。
装置は、サーバ及び/又は任意の適切なソース40への接続91、例えば相互認証接続のようなセキュリティ保護された接続を、インターネット・ネットワークのような遠隔通信ネットワーク35のホスト30を介して確立するように適合される。ホストは、好ましくは、ネットワークに接続されたPCである。端末は、そのほかに携帯情報端末すなわちPDA又は携帯電話のようなその他の任意の適切なソースとすることができる。サーバへのセキュリティ保護された接続の適切なタイプは、TLS/SSL接続である。
さらにまた、セキュリティ保護された装置には、以下で説明される方法のステップを実行するためのコンピュータ化された方法がそのメモリ内に設けられる。
本装置の好ましい特徴を図3に示す。典型的には、セキュリティ保護された装置10は、永続的メモリ15’及び非永続的メモリ15’’の両方を典型的に含むメモリに結合された、処理手段(又はコンピューティング手段)15を有する。永続的メモリは、この処理手段により実行される例えば上述のコンピュータ化された方法を格納する。
さらに、装置には、例えばPC30などの、ネットワーク35のホストと通信するための、例えばUSBインターフェースなどの少なくとも1つのインターフェース20がさらに設けられる。実施形態において、この同じインターフェース20(又は別のタイプのインターフェース)は、セキュリティ保護された装置が、ビーマ、プリンタ、セキュリティ保護されたPC(例えば、機密資料を閲覧するためだけに用いられ、ネットワークには決して接続されないPC)又はその他の任意の出力装置(図示せず)のような外部装置と通信することをさらに可能にする。
必要に応じて、セキュリティ保護された装置は、例えばスマートカードなどのメモリカード16上に格納されたユーザ資格証明を読み取るためのカードリーダ17を有する。例えばカード上に格納されたユーザ資格証明などの、このようなデータから、適切な使用を安全に作り出すことができる。特に、このようなデータを用いて、ユーザ1(すなわち厳密に言えば装置10)と第三者(例えば、サーバ40)との間に端末30を介して信頼できる接続を確立することができる。バリエーションにおいては、ユーザ資格証明は、セキュリティ保護された装置の永続的メモリ上に直接格納することができる。
さらなるインターフェース(制御ボタン18及びディスプレイ12のような)が、ユーザとの直接対話を可能にする。
実際には、第1のステップは、セキュリティ保護された装置10をネットワーク35の適切なホスト30に接続することである(S200)。説明のために、以後、ホストは、インターネット・ネットワーク35を通じてサーバ40に接続可能なPCであると想定する。
装置10は次に、ステップS300において、格納されているコンピュータ化された方法を起動して、サーバ40への信頼できる接続をトリガすることができる。例えば、端末30を介して、セキュリティ保護されていない接続92上で、サーバとのセキュリティ保護された通信91を確立することができる(例えば、カードがロック解除されたときに)。
好ましくは、装置は、セキュリティ保護されていない接続92上で通信91を始動している間に、カード上又はセキュリティ保護された装置の内部メモリ上に格納されたユーザ資格証明を用いて、例えばサーバへのSSL/TLS認証を始動することにより、サーバに対して認証される。この点について、装置がサーバと通信するように設定することは、有利には、端末を介して装置をサーバに接続させるために、端末に常駐するプロキシ・クライアントを装置側から開始させることを含むことができる(プロキシは、場合によっては装置上にも常駐させることができることに留意されたい)。プロキシは、装置から受信したビットをインターネットに中継し、逆もまた同様である。サーバに対する装置の認証は、例えば、装置側からサーバに対してSSL/TLS認証を始動することにより、双方向に達成することができる。
この点について、メモリ15’’は、SSL/TLS認証のためのTLSエンジン14のような暗号アルゴリズムを含む、セキュリティ・ソフトウェア・スタックをさらに格納することができる。メモリは、USB管理ソフトウェア(USB大容量記憶装置すなわちMSDのプロファイル20を実装する)、及び、場合によっては上述のように予めロードされたネットワーキング・プロキシをさらに格納することができる。前述のように、ユーザ資格証明は、TLSクライアント認証を可能にするクライアント・サーバ証明書(例えば、X.509)のように、メモリカード(例えば、スマートカード16)上に格納することができる。スマートカードは、機密個人情報を保持することができ、暗号化手段を有するものとすることができる。バリエーションにおいて、カードは、暗号化することはできないが、もしあれば機密動作を署名するために用いられる。さらに他のバリエーションにおいて、カードは、暗号化動作及び署名動作の両方に用いられる。装置には、好ましくは、標準的なスマートカードリーダ17が装備される。最後に、装置は、制御ボタン18(例えば、OK、キャンセル等のセレクタ)と、情報を表示するためのディスプレイ12とを有する。PINデータを入力するための手段(例えば、ボタン、回転ホイール、PINパッド/キーボード等)をさらに設けることができる。
したがって、一実施形態において、SSL/TLSチャネルがサーバと装置との間に確立される(ステップ300)。さらに、他のタイプの信頼できる接続を想定することができる。
次のステップ(S350)において、許可データが、確立された接続を通じて、例えば上述のように確立された相互認証接続91を通じて、サーバから送信される。このデータは装置において受信される。これらは、1つ又は複数のファイルに関連付けられた使用許可を表わす。対応するファイルを一緒に送信することができる。しかしながら、それらファイルは既に装置上に格納されているものとすることもでき(それらは以前に送信されたか又は独立したソースから取得されたものである)、又は、それでもなお、後の段階で取得することもできる。許可データは、例えば、使用権の範囲に関する対応する情報と共にオブジェクト識別子(又はファイル識別子)を含むことができる。これらオブジェクト識別子の全てが、セキュリティ保護された装置上に格納されたオブジェクトに対応する必要があるわけではなく、装置は、所与のファイルについての照会が行われたときに、どの使用許可がそのファイルに関連付けられているか検索することができる。さらに、本説明の目的で、ある時点で少なくとも1つのファイルがセキュリティ保護された装置上に格納されているものと仮定し、かつ、装置において受け取った許可データはそのファイルに関連するデータを含むものと仮定する。許可データは、例えば、ファイル識別子に関連付けられた少なくとも1つのカーディナリティで構成することができる。各々が1つのアクション・タイプに関連付けられた、より多くのカーディナリティが関与し得る。より詳しくは、図4及び図5を参照して後で述べる。
許可データを受け取ると、その許可データは、装置のメモリ上(必ずしも永続的メモリ上ではない)に格納される。受け取った許可データは、例えば、より古いデータを置き換えて格納することができる。そのほか、許可データは、より古いデータに対する変更を示すデルタファイルとすることができ、その場合、装置はその許可データを更新する。さらに、何らかの方法で、装置は、その上に格納されている所与のファイルに関連付けられた更新された使用許可を認識する(ステップS400)。装置は、格納されている1つ又は複数のファイルに関連付けられた使用許可をそれに応じて維持する。データを更新することは、それ自体が一般に公知である。
次に、ファイルを使用することを求める要求を受け取ると、装置は、そのファイルに又はこのファイルを収容するディレクトリに関連付けられた使用許可の現在の状態に従ってこの要求を処理する(ステップ700)。実際は、ディレクトリは、その中に論理的に収容されたファイル名をリストする。このようなディレクトリに対する使用許可に依拠することができることは有利であり、これは、基本的にはそれらディレクトリが収容するファイルの見え方の制限をもたらし、すなわち、使用許可が不十分なディレクトリ内のファイルは、アクセス不能にされるだけではなく、PCから見えないようにされる。
図1又は図2の実施形態のバリエーションにおいて、装置は、ファイルを使用することを求める要求を受け取ったときにサーバへの接続を試行し、その結果、ステップS200−S400は、実際にはファイルを使用することを求める要求を受け取った後で実行することができることに留意されたい。その場合、要求は、そのファイルについてのより最近の使用許可に従って処理される。それでもなお全ての場合において、ファイルを使用することを求める要求を受け取ると、セキュリティ保護された装置は、更新された許可に従って要求を処理し、その更新された許可は、サーバに接続してそこから許可データを取得することによって得られたものである。
次に、要求のタイプに関して。ファイルを使用することを求める要求は、例えば単にファイルの内容の閲覧要求であり得る。使用許可が許せば、この内容は、例えばセキュリティ保護された装置10のディスプレイ12上に表示される。これは、文書のサイズによって妨げられない限りは実用的である。他の場合には、装置は、例えば、要求を完遂するために外部出力装置と通信するように設定される必要があり得る。例えば、ファイルを例えば後で表示し又は印刷するためにコピーする(又はその内容を通信する)ことを要求する外部アプリケーションから、要求を受け取ることがある。ファイルの内容を外部装置に通信する方法については、それ自体が公知である。
例えば、セキュリティ保護された装置は、ビーマ(例えば、「コンピューティング」能力がない、すなわちマルウェアに曝される可能性がない表示装置)に、例えばセキュリティ保護されたBluetoothペアリング(SSP)を用いて接続することができるように構成することができる。別の例として、セキュリティ保護された装置は、USBケーブル又はセキュリティ保護されたBluetoothペアリング(SSP)を用いて、プリンタに接続することができる。これにより、文書を、セキュリティ保護された装置から直接印刷することが可能になる。これは、問題の文書をユーザのPCを介して印刷することが許されない場合(それに関連付けられた使用許可により)に、特に有用である。したがって、外部出力装置は、典型的にはプリンタ又はビーマとすることができる。とはいえ、外部出力装置は、PDA又はPC30自体(おそらくは装置が既に接続されているもの)とすることもでき、それらに対しての使用許可は、会社のポリシーに応じて、ビーマ又はプリンタに対する使用許可よりも厳格であることが多い。実施形態において、プリンタ又はビーマは、セキュリティ保護された装置自体の一部とすることができることに留意されたい。
全ての場合において、使用要求が装置により承諾されたならば、問題のファイルに関連付けられた使用許可が更新される(ステップ900)。
コメントは順序通りである。
第1のバリエーションによれば、要求承諾後の使用許可の更新(ステップ900)は、好ましくは装置において直接実行される(典型的には、カーディナリティが減らされる)。対応するデータは、それでもなおサーバに送られることになっており、これが、サーバ側で維持される使用許可を矛盾なく更新する。このようにして、装置は、最新の使用許可を維持する。したがって、装置は、同じファイルに対する別の要求を、たとえその後の更新された許可をサーバから取得する試行が失敗したとしても(又は、例えばオフライン使用が許されている場合のように、既存の許可が、更新された許可を取得する権限を与えていなくても)、処理することができる。このバリエーションでは、サーバ及びセキュリティ保護された装置の両方に、同時更新機構が実装される。しかしながら、ある時点での照合調整が必要とされる。許可を照合調整するための幾つかの可能性が存在する(2つのデータベースのインスタンスを同期するための幾つかのアルゴリズムが知られている)。装置は、例えば、周期的にサーバに接続して、更新された許可データを入手するよう試行することができ、又は、ユーザ認証を開始したとき若しくは別のファイル使用要求を受け取ったときなどに、接続を試行することができる。いずれにしても、入手可能なときには、サーバから受け取った許可が、ローカルの許可に取って代わる。しかしながら、サーバへの接続性がない場合には、装置は、好ましくはローカルの許可を更新し、使用許可のカーディナリティがゼロまで減ったならば、おそらくはファイルへのアクセスを不可能にする。
ここで、第2のバリエーションによれば、ファイル使用要求を処理すると、装置は、それに応じて必要であれば(例えば、要求のみを承諾したとき)サーバに通知する。サーバは、それに応じて使用許可を更新することができる。装置が後でサーバに接続したとき(例えば、ファイルを用いることを求める別の要求を受け取ったとき)、最新の許可が、その後の処理のために装置に送られる。この場合には、装置は、サーバから受け取った許可に系統的に依拠することになるので、要求承諾後に装置において許可を直接更新することは必須ではない。この場合にもやはり、装置は、例えば周期的にサーバへの接続を試行すること、又はユーザ認証を開始したときに接続を試行すること、又は別のファイル使用要求を受け取るたびに接続を試行すること、などができる。そこでサーバから受け取った許可は、以前のバージョンに取って代わることになる。しかしながら、このバリエーションでは、装置は、サーバ接続の可用性に強く依存する。例えば、装置は、ファイルを使用することを求める要求を受け取るたびに、サーバへの接続を試行することができる。けれども、サーバに到達する試行が失敗したならば、最新の許可データに基づいて要求を処理することができない。したがって、より新しい許可に到達することができない場合にどのように続行するかについての幾つかのフォールバック・アルゴリズムを想定することができる。1つの解決法は、要求を拒否することを含む。別の解決法は、前のバージョンの許可データに依拠することである。中間的な解決法ももちろん可能である。
したがって、更新された許可を維持するために、完全集中型解決法(要求承諾後、サーバのみが許可を更新する)から並行解決法(ファイルを使用することを求める要求を承諾すると、装置が許可をローカルで更新し、それに応じてサーバに通知する)までの範囲に及ぶ、幾つかの機構を起動することができる。どの適切な機構を実装するかは、実際には、保持されるセキュリティ・ポリシーに依存する。
全ての場合において、ファイルを使用することを求める要求は、監査又は受動的セキュリティの目的で、好ましくは装置によってログ記録され、付加的にサーバにおいてもログ記録することができる。
前述のように、ファイルは、例えば上述のようにセキュリティ保護された接続91を介して、サーバからも取得することができる(それに関連付けられた許可と共に)。(好ましくない)バリエーションにおいて、ファイルは、ユーザのPCから又はネットワークに接続された遠隔端末から取得することができる。実施形態において、所望のファイルは、まず端末からサーバに送られ、次いでサーバから装置に送られ、このことにより、セキュリティ及び/又は配布されるべきファイルの制御が改善される。先に述べたように、関連付けられた許可は、ファイル送信の前又は後で一緒に送ることができる。
実施形態において、装置上に格納されたファイルは、所与の暗号化スキームに従って暗号化される。ファイルは、装置自体によって暗号化することができる。例えば、セキュリティ保護された装置に、その内部メモリ(外部からはアクセスできない)内に格納された暗号化キー又は装置に挿入されたスマートカード上に格納された暗号化キーが提供される。バリエーションにおいて、ファイルは、暗号化された状態(これは、もしあれば、セキュリティ保護された接続に固有の暗号化とは独立に)で装置に転送され、最終的には暗号化された状態で装置上に格納されるようになっている。どちらの場合も、例えば後の段階で要求があったときに、ファイルを解読するために、解読キーをサーバから装置に送ることもでき、又はユーザが手動で装置に入力することもできる。ついでながら、ファイルの場合と同様に解読キーに関しても許可制御機構を実装することができることを申し述べておく。
次に、図2を参照して、本発明の方法のもうひとつの実施形態を説明する。上のバリエーションの幾つかは図2の実施形態にも適用されることが理解される。
ここで、ステップS100、S200、S300、S400、S700、S800及びS900は、本質的に、図1におけるそれらに相当するステップに対応する。
図2の実施形態によれば、装置は、好ましくは、サーバへの接続を実際に試行する前に、各ファイルの許可をチェックする(ステップ250)。サーバへの接続前に許可をチェックするのは必須ではないことに留意されたい。しかしながら、そのようにすることは、装置がファイルをPCに対して露出させるか否か(さらには、ファイルの存在をリストするか否か)について何らかの決定を下すことを可能にするためには、好ましい。
次に、装置は、ステップS300において、サーバへの接続を試行する。接続が成功したならば、装置は、ステップ400において、図1を参照して既に説明したように、サーバから受信した許可データに基づいてファイル毎に使用許可を更新する。
次に、装置は、ステップ500において、ローカルでのユーザ認証に進むことができる(例えば、それ自体公知であるように、ユーザにPINの入力を要求すること、スマートカードの使用など、により)。図2に示されるように、その前のサーバに接続する試行が失敗した場合には、装置はユーザに対して彼女(彼)自身を認証するよう直接促すことに留意されたい。バリエーションにおいて、装置は、サーバへの接続を実際に試行する前に、ユーザに認証を要求することができる。別のバリエーションにおいて、ユーザに対して解読キーを手動で入力するよう要求することができる。
有利には、次いで(ステップS600)、装置において最近更新された、ファイルに関連付けられた使用許可に従って、ファイルを露出させる(例えば、ユーザインターフェース又はいずれかのアプリケーションに対して)よう、装置において命令される。ついでに言えば、ファイルを露出させるか否かは、さらにユーザ認証の成功にも依存することになる。したがって、対応する許可が許さない(例えば、もはやこのファイルについての使用権がない)場合には、ファイルの露出を防止することができる。したがって、ユーザ(又は外部アプリケーション)は、たとえそのユーザがローカルでは正しく認証されたとしても、問題のファイルを「見る」ことさえなく、そのことにより、誤用のリスクはさらに低減する。
次のステップは、装置上に格納されたファイルへのアクセス要求(S700)が処理される(ステップS800)機構、すなわち更新された許可に基づいて処理される機構を説明する。要求を処理した後で、必要に応じて許可が更新される(ステップ900)。
前述のように、サーバとの間で確立された接続は、単独のファイル許可に加えて、ファイル、暗号化キーなどをサーバから装置に送ることをさらに可能にすることができる。図1を参照するとさらに注目されるように、異なるシナリオが関与することができる。
1)第1のシナリオにおいて、セキュリティ保護された装置は、前述のように、サーバからホストを介して(又はより正確にはホストにより中継される接続91を介して)ファイルを受け取る。
2)第2のシナリオにおいて、セキュリティ保護された装置は、最初にホストすなわちPCから文書を受け取るが、これはサーバから独立して行われる。
3)第3のシナリオにおいて、セキュリティ保護された装置は、そのホストを通じて許可を受け取るホストとは異なる端末から、おそらくは別の時点で、所与のファイルを受け取ることができる。ここでは、端末は、例えばPDA又は携帯電話とすることができる。文書は、例えば、インターネット照会を通じてその端末に予めダウンロードすることができる。もし、その文書についてオブジェクト識別子が利用可能であり、かつ、データ許可が、互換のオブジェクト識別子形式を使用するならば、先に説明したような方法のコア・ステップをやはり実施することができる。
4)その他
ここで、ファイル許可を維持してこれを利用できるようにするために装置に実装することができるデータ構造の例について、図4及び図5を参照してさらに説明する。図4及び図5に描かれた層状グラフ図は、本発明の実施形態を実装するためにセキュリティ保護された装置上に格納することができるデータ構造の概略的な表現である。詳細には、図示されたデータ構造は、一般に以下のものを含む。
− キー(ファイルの暗号化/解読用)
・ ここでは、一意のキーである「一意キー」が関与し、これが、ファイルを暗号化状態で格納することを可能にする。もちろん、このキーは、装置全体に対して一意である必要はない。これは、ファイル・レベル又はディレクトリ・レベルにもさらに存在してもよい。
− ファイル
・ #1からnまでファイルを含む、
− 許可。この許可の集合は、
・ 許可#1からn、すなわち、1ファイルにつき1つの許可、又は、1ファイルにつき1つの許可部分集合でさえも含む。特に、ここに描かれているように、許可のセット{i,j,k}をファイルに関連付けることができる。
ここでは、細線はデータ構造における階層関係を表わし、太線はデータ間の機能的関係を表わし、例えば、「ファイル#1」は、「一意キー」を用いて暗号化され、「許可#1」に基づいてアクセスが許され、「許可#1」は、この例においては{4,0,0}に等しい。
許可集合は、カーディナリティ{i,j,k,...}からなるものとすることができ、ここで、i,j,k...は、それぞれのアクションに関連付けられ、すなわち、各々の数は、それぞれのアプリケーションがファイルにアクセスすることを許された回数を表わす。例えば、「許可#1」は、図4においては{4,0,0}に等しく、ここで4、0、0は、例えば、ファイル#1へのアクセスを
(1)この装置での表示
(2)外部出力装置での表示、及び
(3)外部プリンタでの印刷する
ために要求するアプリケーションにそれぞれ関連付けられている。
ついでに言えば、所与の「許可#n」は、この例では、実際には、対応する集合{i,j,k}から構成されるので、「許可#1」から「許可#n」に対応する階層レベルは余分である。
したがって、図4に示されたデータ構造の例は、ユーザが、ファイル#1を装置においてのみ、4回だけ表示させることを要求することができることを特に意味する。ファイル#1の表示を要求すると(すなわち、図1又は図2におけるステップ700)、装置はその要求を、
− これを承諾し(ステップ800)、
− 必要であればこれを解読し(この例では、必要な一意キーを用いて)、
− ファイル#1を表示するよう命令する
ことによって処理する。
さらに、装置は、要求が承諾されたときに、対応する許可を更新する(又は、それに応じてその後の更新のためにサーバに通知する)。許可集合は、図5に示されるように、それに応じて変更されて{3,0,0}になり、そのファイルはいまだ装置における表示のために利用可能ではあるが回数は残り3回であることを示す。
バリエーションにおいて、許可#nは、集合{t,t,t}からなるものとすることができ、ここでt,t,tは、ファイル#1に関連付けられたそれぞれのアプリケーションに関する有効期間に対応する。
別のバリエーションにおいて、許可#nは、集合abcからなるものとすることができ、ここでa、b又はcの各々は、UNIXの許可と同様にr、w、x又は−とすることができる(rwxは、ユーザが読み出し許可、書き込み許可、実行許可を有することを示し、−−−は、許可を全く有さないことを示す)。
許可が、有効期間、又はr、w、x若しくは−許可のみからなる場合には、装置において要求を処理した後で許可を更新する必要はないことに留意されたい。この場合には、装置は、サーバにおいて維持された、要求を処理する前にサーバから送られた許可データに依拠するだけで十分である。
別のバリエーションにおいて、許可#nは、部分集合{{i,t},{j,t},{k,t},...}により表わすことができ、これは、ファイル#nに対して、装置における表示のためにi回だけ、かつ期間tにわたって(又は日付tまで)アクセスすることができること、などを示す。この場合、許可は、必要に応じて要求処理後に更新される。多くのその他のバリエーション、例えば、ミキシングの発生(mixing occurrence)、有効期間、及び、r,w,x又は−許可など、が可能である。
既に上で論じた多くの特徴を伴う、背景の項で論じた2つの主要な問題を解決する、目下の特定の実施形態を説明しよう。
ここで、セキュリティ保護された装置には、通常のUSBフラッシュドライブのように文書格納部として機能することができるように、十分なフラッシュメモリが装備される。潜在的にユーザ資格証明格納部としてのスマートカードと共に用いられる、セキュリティ保護された装置は、文書が安全に格納されるサーバへの相互認証TLS/SSL接続を確立することができる。暗号化された文書は、TLS/SSL接続を用いて、セキュリティ保護された装置に安全に送信され、そこに格納することができる。前述のように、セキュリティ保護された装置は、マルウェアに露出させる可能性があるソフトウェア・インストール又はその他の機能のためのクライアント・インターフェースを持たないセキュリティ保護された装置である。したがって、文書は、セキュリティ保護された装置に転送されてそこで格納される間に露出することはない。
前述の2つの主要な問題は、以下のように解決される。
1.外部でのデータの紛失:文書は、暗号化され、サーバとセキュリティ保護された装置との間の直接TLS接続上で送信されるので、セキュリティ保護された装置に送信される間に文書が露出されるリスクはない。文書は、セキュリティ保護された装置上に格納されている間は暗号化されており、文書を解読するキーを保有するセキュリティ保護された装置及び/又は資格証明格納部は、PIN保護されているので、適正なユーザだけが、セキュリティ保護された装置の通常のインターフェースを通じて文書にアクセスすることができることになる。格納された文書は暗号化されているので、ハードウェアに対する物理的な攻撃でも文書が露出することはない。暗号化キーは、外部からアクセスできない、セキュリティ保護された装置内部のフラッシュ内、又は、文書管理資格証明に対してより高レベルの保護を与えるスマートカード上の、どちらかに格納される。
2.従業員によるデータの盗難:セキュリティ保護された装置の認証機構は、サーバが、その装置が認証されたセキュリティ保護された装置であることを確認すること、及び、セキュリティ保護された装置のユーザの身元を確認することを可能にする。サーバ駆動アプリケーションを用いて、ユーザが文書を自分のセキュリティ保護された装置上に格納するよう要求することが可能になる。文書は、ユーザのPC又はサーバから発信されるものとすることができる。ユーザは、セキュリティ保護された装置を用いてサーバに対して認証されているので、サーバは、そのユーザが要求されたデータをセキュリティ保護された装置にコピーすることを許されているかどうか判断するのに十分な情報を有する。さらに、サーバは、監査目的で、そのような全ての要求をログ記録することができる。セキュリティ保護された装置は、ユーザがファイルをPCから直接この装置上に格納するインターフェースを提供しない。このようにして、サーバは、会社のポリシーに従って、どの文書を装置上に格納することができるか制御する。このサーバ/セキュリティ保護された装置による制御を迂回する文書は、装置上に格納することができない。サーバが文書をセキュリティ保護された装置に送信するときに、サーバは、ユーザがどのように文書にアクセスすることができるか(例えば、そのユーザが文書をセキュリティ保護された装置から自分のPCにエクスポートできるか否か、そしてどのような条件下でそれを行うことができるか、など)を制御する、関連付けられた許可も送信する。
上記の第2の問題に関して、文書は、ユーザのPCのみならずサーバから発信されるものであり得ることに留意されたい。したがって、提供される解決法は、ユーザがどの文書をフラッシュドライブ上にコピーすることができるかを制御する機構だけではなく、文書が決して不適切にPCに露出されることがないように、認証されたユーザに文書を配布する方法も、会社に提供する。
文書の格納及び抽出(解読)に対する上述のサーバによる制御に加えて、セキュリティ保護された装置自体もまた、ユーザが特定の文書に非常にきめ細かい方法で、すなわち一文書ごとの方式でアクセスすることを許容する、内蔵された能力を提供する。例えばユーザは、例えば、セキュリティ保護された装置が接続されたプリンタ上で単一のファイルを印刷するために、セキュリティ保護された装置の内蔵ディスプレイを用いてブラウズして選択することによって、その単一のファイルの解読及びエクスポートを要求することができる。その場合、ZTICは、おそらくはオフラインである(好ましくは、オフラインのプリンタに接続される)。これを実行するための基本的な許可は、この操作の前に、上述のアプリケーションを用いてサーバにより承諾され、セキュリティ保護された装置上に格納されなければならない。このような許可は、例えば、ユーザがローカルで文書を解読することを限られた回数だけ許容することなどにより、有効期間に制限を設けて文書が意図せずに露出するリスクをさらに減らすことによって、さらに増強することができる。
本開示において、文書又は文書管理資格証明をロードし、抽出するための、代替な通信プロトコル(USB以外)の使用は何ら排除されないことを理解されたい。特に、セキュリティ保護された装置は、印刷のために文書を転送するためにBletoothのような無線インターフェースを用いることも、又は、文書アクセス資格証明を要求してサーバ・アプリケーションから抽出するためにGPRSネットワークを用いることもできることに留意されたい。
さらに、適切に装備されたセキュリティ保護された装置は、データに対するサーバの制御をさらに強化するために、サーバによって始動される文書及び/又は資格証明除去コマンドを、ユーザと何ら対話することなく受け取ることができるものとされる。
上記発明の少なくとも一部を実装するために必要とされるコンピュータ・プログラム・コードは、高水準(例えば、手続き型又はオブジェクト指向型)プログラミング言語で実装することも、又は、所望であればアセンブリ若しくは機械言語で実装することも可能であり、いずれの場合でも、言語は、コンパイルされた又は翻訳された言語とすることができる。適切なプロセッサは、汎用及び専用マイクロプロセッサを含む。装置、端末、サーバ又は受信者が行う動作は、プログラム可能なプロセッサによる実行のために、機械可読記憶装置内で有形に具体化されるコンピュータ・プログラム製品に格納することができること、及び、本発明の方法ステップは、本発明の機能を行うための命令を実行する1つ又は複数のプログラム可能なプロセッサによって行うことができることに留意されたい。全ての場合において、本発明は、セキュリティ保護された装置のみならず、この装置を含むシステムであって、端末、少なくとも1つのサーバ又は任意の適切なソース、そして場合によっては、安全に管理されたファイルの内容を伝達するためのプリンタ又はビーマなどの追加の装置のうちの1つ又は複数によって補われたシステムも含むことができる。
より一般的には、上記発明は、デジタル電子回路で実装することができ、又はコンピュータ・ハードウェア、ファームウェア、ソフトウェアで実装することもでき、又はこれらの組み合わせで実装することもできる。
一般に、プロセッサは、読み出し専用メモリ及び/又はランダム・アクセス・メモリから命令及びデータを受け取る。コンピュータ・プログラム命令及びデータを有形に具体化するのに適した記憶装置は、不揮発性メモリの全ての形態を含み、これには例として、例えばEPROM、EEPROM、フラッシュメモリ又はその他の、半導体メモリ装置が含まれる。
本発明を特定の実施形態を参照して説明してきたが、当業者であれば、本発明の範囲から逸脱することなく、種々の変更を行うことができ、かつ、均等のもので置き換えることができることを理解するであろう。さらに、特定の状況又は材料を本発明の教示に適合させるために、本発明の範囲から逸脱することなく多くの修正を行うことができる。したがって、本発明は開示された特定の実施形態に限定されるものではなく、本発明は添付の特許請求の範囲内に入る全ての実施形態を含むものであることが意図される。例えば、装置は、ホスト及び外部装置の両方との同時接続を防止するように構成することができる。装置には、さらに、バッテリを設けるか、又は外部装置によって給電することができる。
1:ユーザ
10:セキュリティ保護された装置
12:ディスプレイ
14:TLSエンジン
15:処理手段
15’:永続的メモリ
15’’:非永続的メモリ
16:メモリカード
17:カードリーダ
18:制御ボタン
20:インターフェース
30:ホスト(端末)
35:遠隔通信ネットワーク
40:サーバ
91:セキュリティ保護された接続(通信)
92:セキュリティ保護されていない接続

Claims (15)

  1. ファイルを安全に管理するための方法であって、
    キュリティ保護された装置上に格納されたファイルを使用することを求める要求を前記セキュリティ保護された装置において受け取ることに応答して、前記ファイルに関連付けられた更新された使用許可に従って、前記セキュリティ保護された装置において前記要求を処理するステップであって、前記セキュリティ保護された装置は、遠隔通信ネットワークを通じてサーバに接続されたホストを介して前記サーバとの接続を確立するように適合される、前記処理するステップ
    を含み、
    前記更新された使用許可が、
    前記ホストを介して前記セキュリティ保護された装置と前記サーバとの間に接続を確立するよう、前記セキュリティ保護された装置において命令すること、及び
    前記確立された接続を通じて前記サーバから送られた許可データに従って、前記ファイルに関連付けられた使用許可を前記セキュリティ保護された装置において更新すること
    により取得される、前記方法。
  2. 前記ファイルを前記セキュリティ保護された装置において格納するステップであって、前記ファイルは、前記セキュリティ保護された装置と前記サーバとの間に確立された接続を通じて前記サーバから送られたものである、前記格納するステップをさらに含む、請求項1に記載の方法。
  3. 前記セキュリティ保護された装置において前記要求を受け取った後、
    前記セキュリティ保護された装置において受け取った前記要求を承諾したことに応答して、前記ファイルに関連付けられた前記使用許可を更新するステップ
    をさらに含む、請求項1又は2に記載の方法。
  4. 前記ファイルを使用することを求める前記要求を受け取る前、かつ、前記ファイルに関連付けられた前記使用許可を更新した後、前記セキュリティ保護された装置において、前記更新された使用許可に従って前記ファイルをユーザインターフェース又はアプリケーションに露出させるよう命令するステップをさらに含む、請求項1〜3のいずれか一項に記載の方法。
  5. 前記ホストを介して確立される接続が、SSL/TLS接続のようなセキュリティ保護された接続である、請求項1〜4いずれか一項に記載の方法。
  6. 前記セキュリティ保護された装置上に格納された前記ファイルは、所与の暗号化スキームに従って暗号化され、
    前記方法が、
    前記ファイルを解読するための解読キーを前記セキュリティ保護された装置において受け取るステップであって、前記解読キーが、前記セキュリティ保護された装置と前記サーバとの間に確立された接続を通して前記サーバから送られたものである、前記受け取るステップ
    をさらに含む、請求項1〜5いずれか一項に記載の方法。
  7. 暗号化キーを用いて前記セキュリティ保護された装置においてファイルを暗号化するステップであって、前記暗号化キーは、(i)スマートカード上、若しくは、外部からアクセスできない、前記セキュリティ保護された装置の内部メモリ上に格納されたものであるか、又は、(i)前記セキュリティ保護された装置においてユーザにより入力されたものである、前記暗号化するステップをさらに含む、請求項1〜6いずれか一項に記載の方法。
  8. 前記更新された使用許可パラメータを含み、
    前記パラメータが、前記ファイルを使用することを求める要求を処理するために前記セキュリティ保護された装置により解釈されたときに、前記関連付けられたファイルにアクセスすることができる回数又は前記ファイルにアクセスすることができる期間のような前記ファイルへのアクセス権を制限する、
    請求項1〜7いずれか一項に記載の方法。
  9. 前記セキュリティ保護された装置において維持されている前記更新された使用許可が幾つかの下位の許可に分解され、
    下位の許可はそれぞれ、所与のタイプの要求に関連付けられ、
    前記所与のタイプの要求は、前記セキュリティ保護された装置における読み出し、外部プリンタでの印刷、又は外部装置からの読み出しを含む、
    請求項1〜8いずれか一項に記載の方法。
  10. 前記ファイルに関連付けられた前記使用許可を更新するステップが、
    前記ファイルに関連付けられた前記使用許可を前記セキュリティ保護された装置において更新するステップ
    を含む、請求項3に記載の方法。
  11. 前記ファイルに関連付けられた前記使用許可を更新するステップが、
    前記処理された要求に関するデータを、前記セキュリティ保護された装置と前記サーバとの間に確立された接続を通じて前記サーバに送るステップと、
    前記ファイルに関連付けられた前記使用許可を前記サーバにおいて更新するステップ
    を含む、請求項3又は10に記載の方法。
  12. 前記ファイルを使用することを求める前記受け取った要求を前記サーバにおいてログ記録するステップをさらに含む、請求項1〜11のいずれか一項に記載の方法。
  13. 悪意のあるソフトウェアであるマルウェアに対抗する設計により保護されたセキュリティ保護された装置であって、処理手段と、メモリと、ホスト及びサーバと結合又は対話するように構成されたインターフェースとを備えており、
    前記セキュリティ保護された装置は、前記セキュリティ保護された装置がホストに接続されて、前記ホストとサーバとが遠隔通信ネットワークを通じて接続されたときに、前記ホストを介して前記サーバと接続を確立するように適合されており、前記メモリ上に格納された、請求項1〜10のいずれか一項に記載のステップを前記セキュリティ保護された装置が実装するために前記処理手段により実行可能なコンピュータ・プログラムをさらに含む、前記装置。
  14. 請求項13に記載のセキュリティ保護された装置と、
    パーソナルコンピュータと、
    サーバと
    を含む、システム。
  15. セキュリティ保護された装置に、請求項1〜10のいずれか一項に記載の方法のステップを実行させる、コンピュータ・プログラム。
JP2013528794A 2010-09-16 2011-08-08 ファイルを安全に管理するための方法、セキュリティ保護された装置、システム、及びコンピュータ・プログラム製品 Active JP5783650B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
EP10177226.7 2010-09-16
EP10177226 2010-09-16
PCT/IB2011/053526 WO2012035451A1 (en) 2010-09-16 2011-08-08 Method, secure device, system and computer program product for securely managing files

Publications (2)

Publication Number Publication Date
JP2013542489A JP2013542489A (ja) 2013-11-21
JP5783650B2 true JP5783650B2 (ja) 2015-09-24

Family

ID=44583228

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013528794A Active JP5783650B2 (ja) 2010-09-16 2011-08-08 ファイルを安全に管理するための方法、セキュリティ保護された装置、システム、及びコンピュータ・プログラム製品

Country Status (5)

Country Link
US (1) US9811646B2 (ja)
EP (1) EP2616980B1 (ja)
JP (1) JP5783650B2 (ja)
CN (1) CN103080946B (ja)
WO (1) WO2012035451A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9811646B2 (en) 2010-09-16 2017-11-07 International Business Machines Corporation Method, secure device, system and computer program product for securely managing files

Families Citing this family (18)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8997188B2 (en) * 2012-04-11 2015-03-31 Jerome Svigals System for enabling a smart device to securely accept unsolicited transactions
US9319404B2 (en) 2011-09-23 2016-04-19 Jerome Svigals Security for the internet of things
US9344437B2 (en) 2011-09-23 2016-05-17 Jerome Svigals Internet of things security
US9432378B1 (en) 2011-09-23 2016-08-30 Jerome Svigals Internet of things security
CN104217168A (zh) * 2013-05-30 2014-12-17 宁夏新航信息科技有限公司 一种智能化文档加密的计算机软件实现方法
US10474849B2 (en) 2014-06-27 2019-11-12 Microsoft Technology Licensing, Llc System for data protection in power off mode
CN114329374A (zh) 2014-06-27 2022-04-12 微软技术许可有限责任公司 基于设备上的用户输入模式的数据保护系统
WO2015196447A1 (en) * 2014-06-27 2015-12-30 Microsoft Technology Licensing, Llc Data protection based on user input during device boot-up, user login, and device shut-down states
US9473509B2 (en) * 2014-09-29 2016-10-18 International Business Machines Corporation Selectively permitting or denying usage of wearable device services
US10382201B1 (en) * 2015-09-22 2019-08-13 Seagate Technology Llc Removable circuit for unlocking self-encrypting data storage devices
US10460110B1 (en) 2017-02-17 2019-10-29 Seagate Technology Llc Systems and methods for unlocking self-encrypting data storage devices
US10678953B1 (en) 2017-04-26 2020-06-09 Seagate Technology Llc Self-contained key management device
US10855451B1 (en) 2017-08-02 2020-12-01 Seagate Technology Llc Removable circuit for unlocking self-encrypting data storage devices
US11120151B1 (en) * 2017-08-02 2021-09-14 Seagate Technology Llc Systems and methods for unlocking self-encrypting data storage devices
CN110175038B (zh) * 2019-04-09 2020-10-02 北京深思数盾科技股份有限公司 软锁许可的更新方法及装置
US20220377081A1 (en) * 2019-09-20 2022-11-24 Samsung Electronics Co., Ltd. Mutual device-to-device authentication method and device during device-to-device bundle or profile transfer
US20210377018A1 (en) * 2020-05-29 2021-12-02 Electric Power Research Institute, Inc. Secure remote access to industrial control systems using hardware based authentication
JP2022070771A (ja) * 2020-10-27 2022-05-13 シャープ株式会社 画像形成装置、設定方法及びシステム

Family Cites Families (28)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10135943A (ja) * 1996-10-25 1998-05-22 Dainippon Printing Co Ltd 携帯可能情報記憶媒体及びそれを用いた認証方法、認証システム
US6389541B1 (en) * 1998-05-15 2002-05-14 First Union National Bank Regulating access to digital content
US6751677B1 (en) 1999-08-24 2004-06-15 Hewlett-Packard Development Company, L.P. Method and apparatus for allowing a secure and transparent communication between a user device and servers of a data access network system via a firewall and a gateway
US6324537B1 (en) * 1999-09-30 2001-11-27 M-Systems Flash Disk Pioneers Ltd. Device, system and method for data access control
US6484143B1 (en) 1999-11-22 2002-11-19 Speedera Networks, Inc. User device and system for traffic management and content distribution over a world wide area network
JP4287990B2 (ja) 2000-07-07 2009-07-01 インターナショナル・ビジネス・マシーンズ・コーポレーション ネットワークシステム、端末管理システム、端末管理方法、データ処理方法、記録媒体およびインターネットサービス提供方法
CN1202492C (zh) * 2001-03-30 2005-05-18 大买家科技股份有限公司 以存储卡来保护软件的系统与方法
JP2003044398A (ja) 2001-08-02 2003-02-14 Nippon Telegr & Teleph Corp <Ntt> コンテンツ再生方法及び装置と、コンテンツ再生指示方法及び装置と、コンテンツ再生プログラム及びそのプログラムの記録媒体と、コンテンツ再生指示プログラム及びそのプログラムの記録媒体
US7478418B2 (en) * 2001-12-12 2009-01-13 Guardian Data Storage, Llc Guaranteed delivery of changes to security policies in a distributed system
WO2004092931A2 (en) * 2003-04-17 2004-10-28 Koninklijke Philips Electronics N.V. Method and system for managing digital rights
US7836493B2 (en) 2003-04-24 2010-11-16 Attachmate Corporation Proxy server security token authorization
JP4430666B2 (ja) * 2003-05-02 2010-03-10 ギリテック アクティーゼルスカブ モバイルインテリジェントデータキャリアを介した動的なデータグラムスイッチとオンデマンドの認証及び暗号体系によって実現した広範なユーザー中心のネットワークセキュリティ
US20120099219A1 (en) * 2004-08-09 2012-04-26 Jasim Saleh Al-Azzawi Secure data storage device
CN101091183A (zh) * 2004-12-28 2007-12-19 皇家飞利浦电子股份有限公司 一种数字内容管理的方法和装置
US20100077486A1 (en) 2004-12-28 2010-03-25 Koninklijke Philips Electronics, N.V. Method and apparatus for digital content management
US7571486B2 (en) 2005-03-29 2009-08-04 Microsoft Corporation System and method for password protecting an attribute of content transmitted over a network
US20060236100A1 (en) 2005-04-19 2006-10-19 Guruprasad Baskaran System and method for enhanced layer of security to protect a file system from malicious programs
US20070261124A1 (en) * 2006-05-03 2007-11-08 International Business Machines Corporation Method and system for run-time dynamic and interactive identification of software authorization requirements and privileged code locations, and for validation of other software program analysis results
US20100098248A1 (en) 2006-10-31 2010-04-22 Agency For Science Technology And Research Device and method of generating and distributing access permission to digital object
JP4847301B2 (ja) 2006-11-28 2011-12-28 富士通株式会社 コンテンツ保護システム,コンテンツ保護用デバイスおよびコンテンツ保護方法
CN1971576A (zh) * 2006-12-08 2007-05-30 华中科技大学 在线数字版权管理方法及其管理服务器
JP2008282164A (ja) 2007-05-09 2008-11-20 Hitachi Ltd ファイルアクセス制御方法、ファイルアクセス制御システム、および、配布ファイル生成プログラム
JP2009075922A (ja) 2007-09-21 2009-04-09 Casio Comput Co Ltd サーバ装置、端末装置、外部持ち出し情報の漏洩防止システム、サーバ処理プログラム、端末処理プログラム
US8799171B2 (en) 2008-04-01 2014-08-05 International Business Machines Corporation Secure online banking transaction apparatus and method
GB2462442A (en) * 2008-08-06 2010-02-10 Zybert Computing Ltd A remote server centrally controls access to data stored in a data container in an encrypted form
CA2736582C (en) 2008-09-17 2018-07-24 International Business Machines Corporation Authorization of server operations
US8977661B2 (en) * 2010-02-22 2015-03-10 Sookasa Inc. System, method and computer readable medium for file management
WO2012035451A1 (en) 2010-09-16 2012-03-22 International Business Machines Corporation Method, secure device, system and computer program product for securely managing files

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9811646B2 (en) 2010-09-16 2017-11-07 International Business Machines Corporation Method, secure device, system and computer program product for securely managing files

Also Published As

Publication number Publication date
WO2012035451A1 (en) 2012-03-22
JP2013542489A (ja) 2013-11-21
EP2616980A1 (en) 2013-07-24
CN103080946A (zh) 2013-05-01
US20130232584A1 (en) 2013-09-05
CN103080946B (zh) 2016-10-12
EP2616980B1 (en) 2019-04-03
US9811646B2 (en) 2017-11-07

Similar Documents

Publication Publication Date Title
JP5783650B2 (ja) ファイルを安全に管理するための方法、セキュリティ保護された装置、システム、及びコンピュータ・プログラム製品
US10397008B2 (en) Management of secret data items used for server authentication
JP4562464B2 (ja) 情報処理装置
JP5270694B2 (ja) 機密ファイルを保護するためのクライアント・コンピュータ、及びそのサーバ・コンピュータ、並びにその方法及びコンピュータ・プログラム
US8863305B2 (en) File-access control apparatus and program
US9760729B2 (en) Method, secure device, system and computer program product for securely managing user access to a file system
US20100266132A1 (en) Service-based key escrow and security for device data
US20030154381A1 (en) Managing file access via a designated place
KR20060060664A (ko) 리모트 액세스 시스템, 게이트웨이, 클라이언트 기기,프로그램 및 기억 매체
US20120173884A1 (en) Method for remotely controlling and monitoring the data produced on desktop on desktop software
EP1326156A2 (en) Managing file access via a designated storage area
JP2008026925A (ja) ファイル管理プログラム
JP2008123070A (ja) シンクライアントシステム及びシンクライアントシステムにおけるクライアント端末の表示プログラム
JP2007179357A (ja) コンピュータプログラムのインストール方法
Caballero-Gil et al. Research on smart-locks cybersecurity and vulnerabilities
JP2008035449A (ja) 自己復号ファイルによるデータ配布方法および該方法を用いた情報処理システム
JP6644323B1 (ja) 電子認証における改ざん防止システム
CN116686316A (zh) 加密文件控制
TR2023006911T2 (tr) Şi̇freli̇ dosya kontrolü
KR20230079192A (ko) 배타적 셀프 에스크로 방법 및 장치

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20140411

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20150225

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20150303

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20150521

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20150521

RD12 Notification of acceptance of power of sub attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7432

Effective date: 20150521

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20150521

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20150702

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20150703

RD14 Notification of resignation of power of sub attorney

Free format text: JAPANESE INTERMEDIATE CODE: A7434

Effective date: 20150703

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20150717

R150 Certificate of patent or registration of utility model

Ref document number: 5783650

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150