JP5905936B2 - 情報転送装置及び情報転送方法 - Google Patents
情報転送装置及び情報転送方法 Download PDFInfo
- Publication number
- JP5905936B2 JP5905936B2 JP2014158094A JP2014158094A JP5905936B2 JP 5905936 B2 JP5905936 B2 JP 5905936B2 JP 2014158094 A JP2014158094 A JP 2014158094A JP 2014158094 A JP2014158094 A JP 2014158094A JP 5905936 B2 JP5905936 B2 JP 5905936B2
- Authority
- JP
- Japan
- Prior art keywords
- information
- transfer
- unit
- terminal
- authentication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Information Transfer Between Computers (AREA)
- Small-Scale Networks (AREA)
Description
本発明は、2台のコンピュータ間、例えば異なる業務システムにそれぞれ所属する2台の端末間での電子情報の転送を所定のセキュリティポリシーに従って実行する技術に関する。
特許文献1には、異なる業務システムにそれぞれ所属する2台のコンピュータ間で、セキュリティポリシーに従って情報を転送する手段が開示されている。この特許文献1では、送信側と受信側を同時に接続していないと情報の転送ができないため、USBメモリに代表されるリムーバブルメディア等のように外部への情報持ち出しの危険性を生じさせずに、安全に情報の転送ができる。また、送信側と受信側が明確に区別されているため、情報伝送の一方向性を保障することができる。
特許文献1に記載される装置は、「2台の端末を装置に同時接続する」と言う制約が安全な情報転送の前提となっている。リムーバブルメディアを利用する場合は、一旦リムーバブルメディア内に情報が保存されるため、セキュリティ管理区域外への持ち出しが可能となってしまう。特許文献1の発明であれば、送信端末から受信端末への情報転送を厳密に管理することができる。
しかし、特許文献1の装置は接続された装置を識別していないため、次のようなセキュリティ管理の課題が生じていた。
(1)どの端末からどの端末へデータを転送したかを記録することができない。
(2)利用端末の制限もできないため、持ち出しが容易なノートパソコン等へも情報の転送が可能であり、そこから管理区域外へ情報を持ち出すことが可能。
(3)特許文献1の装置は情報転送が一方向のみに行われることを特徴としているが、送信側と受信側の接続を物理的に差し替えることで逆方向への転送が可能。
(1)どの端末からどの端末へデータを転送したかを記録することができない。
(2)利用端末の制限もできないため、持ち出しが容易なノートパソコン等へも情報の転送が可能であり、そこから管理区域外へ情報を持ち出すことが可能。
(3)特許文献1の装置は情報転送が一方向のみに行われることを特徴としているが、送信側と受信側の接続を物理的に差し替えることで逆方向への転送が可能。
また、特許文献1の装置は利用ユーザを識別していないため、次のようなセキュリティ管理の課題が生じていた。
(4)誰が情報の送受信を行ったかを管理することが困難。
情報転送におけるセキュリティを確保するには、どの端末で情報の送受信が行われたかを管理することも重要であるが、加えて誰がその送受信を行ったかを管理することも同様に重要である。
(4)誰が情報の送受信を行ったかを管理することが困難。
情報転送におけるセキュリティを確保するには、どの端末で情報の送受信が行われたかを管理することも重要であるが、加えて誰がその送受信を行ったかを管理することも同様に重要である。
このように、特許文献1の装置は端末やユーザを識別しないため、セキュリティ管理のため次のような運用上の課題が生じていた。
(5)装置単位でしか転送ポリシーを設定することができず、細かく転送ポリシーを管理するには、ポリシー設定の違う装置を物理的に管理する必要があった。例えば、職位の高いユーザの転送ポリシーを緩和したい場合は、職位ごと個別に装置を用意しなければならなかった。
(5)装置単位でしか転送ポリシーを設定することができず、細かく転送ポリシーを管理するには、ポリシー設定の違う装置を物理的に管理する必要があった。例えば、職位の高いユーザの転送ポリシーを緩和したい場合は、職位ごと個別に装置を用意しなければならなかった。
そこで、本発明は、上記課題を解決するために、特許文献1に記載される装置や方法よりセキュリティ能力を高めるとともに、セキュリティ管理を柔軟に行える情報転送装置及び情報転送方法を提供することを目的とする。
本発明は、特許文献1に記載される装置の機能に端末認証及びユーザ認証の機能を追加することとした。
具体的には、本発明に係る情報転送装置は、複数のコンピュータ間での電子情報の転送を制約するセキュリティポリシーに従って実行する情報転送装置であって、
転送対象である電子情報を転送する転送手段と、
前記コンピュータを識別する端末情報と前記コンピュータを使用するユーザを識別するユーザ情報の少なくとも一方である外部情報を保持するとともに、及び前記セキュリティポリシーを前記外部情報と関連付けて保持するポリシー保持手段と、
前記電子情報の送信側と受信側の前記外部情報を取得し、取得した前記外部情報に対応する前記セキュリティーポリシーが前記ポリシー保持手段に保持されている場合に前記外部情報を認証し、該セキュリティポリシーに基づいて前記電子情報の転送可否を判定して前記転送手段に指示する判定手段と、
を備える。
転送対象である電子情報を転送する転送手段と、
前記コンピュータを識別する端末情報と前記コンピュータを使用するユーザを識別するユーザ情報の少なくとも一方である外部情報を保持するとともに、及び前記セキュリティポリシーを前記外部情報と関連付けて保持するポリシー保持手段と、
前記電子情報の送信側と受信側の前記外部情報を取得し、取得した前記外部情報に対応する前記セキュリティーポリシーが前記ポリシー保持手段に保持されている場合に前記外部情報を認証し、該セキュリティポリシーに基づいて前記電子情報の転送可否を判定して前記転送手段に指示する判定手段と、
を備える。
また、本発明に係る情報転送方法は、複数のコンピュータ間での電子情報の転送を制約するセキュリティポリシーに従って実行する情報転送方法であって、
転送対象である電子情報を転送する転送手順と、
前記コンピュータを識別する端末情報と前記コンピュータを使用するユーザを識別するユーザ情報の少なくとも一方である外部情報を保持するとともに、及び前記セキュリティポリシーを前記外部情報と関連付けて保持するポリシー保持手順と、
前記電子情報の送信側と受信側の前記外部情報を取得し、取得した前記外部情報に対応する前記セキュリティーポリシーが前記ポリシー保持手段に保持されている場合に前記外部情報を認証し、該セキュリティポリシーに基づいて前記電子情報の転送可否を判定して前記転送手順に適用する判定手順と、
を備える。
転送対象である電子情報を転送する転送手順と、
前記コンピュータを識別する端末情報と前記コンピュータを使用するユーザを識別するユーザ情報の少なくとも一方である外部情報を保持するとともに、及び前記セキュリティポリシーを前記外部情報と関連付けて保持するポリシー保持手順と、
前記電子情報の送信側と受信側の前記外部情報を取得し、取得した前記外部情報に対応する前記セキュリティーポリシーが前記ポリシー保持手段に保持されている場合に前記外部情報を認証し、該セキュリティポリシーに基づいて前記電子情報の転送可否を判定して前記転送手順に適用する判定手順と、
を備える。
特許文献1の装置に、端末認証機能とユーザ認証機能を付加することで、転送に利用できる端末やユーザを制限したり、端末ユーザごとに転送できる制約を変えたりすることができる。このため、よりセキュリティを高めた情報転送制御を行うことができ、また、識別された端末・ユーザごとにデータ転送ポリシーを設定可能にすることで、きめ細かな転送の制御が可能となる。
従って、本発明は、特許文献1に記載される装置や方法よりセキュリティ能力を高めるとともに、セキュリティ管理を柔軟に行える情報転送装置及び情報転送方法を提供することができる。
本発明に係る情報転送装置は、前記電子情報が送信側の前記コンピュータのプリンタドライバで生成された印刷データの場合に送信側の前記コンピュータから前記印刷データに係る追加情報をアプリ情報として取得し、前記電子情報が送信側の前記コンピュータの記憶部に保存されるファイルデータの場合に前記ファイルデータのファイル種別をアプリ情報として取得するアプリ情報取得手段をさらに備え、
前記判定手段は、前記セキュリティポリシーの他に前記アプリ情報取得手段で取得した前記アプリ情報も電子情報の転送可否の判定に使用することを特徴とする。
特許文献1の装置では、転送できる電子情報が印刷データに限られていたが、本発明では、コンピュータ内に記憶されているファイルを直接転送することができる。
前記判定手段は、前記セキュリティポリシーの他に前記アプリ情報取得手段で取得した前記アプリ情報も電子情報の転送可否の判定に使用することを特徴とする。
特許文献1の装置では、転送できる電子情報が印刷データに限られていたが、本発明では、コンピュータ内に記憶されているファイルを直接転送することができる。
本発明に係る情報転送装置は、前記電子情報の送信側と受信側の前記コンピュータとの接続を監視し、前記コンピュータのいずれか一方との接続が切断されたとき、前記転送手段に存在する前記電子情報を削除する指示し、前記電子情報の送信側と受信側の前記外部情報の認証を解除する接続状態判定手段をさらに備える。
送信側又は受信側の接続が切れた場合は、直ちにデータを削除するため、情報転送の条件として「2台の端末を装置に同時接続する」を保証することができ、セキュリティ性を高めることができる。
送信側又は受信側の接続が切れた場合は、直ちにデータを削除するため、情報転送の条件として「2台の端末を装置に同時接続する」を保証することができ、セキュリティ性を高めることができる。
本発明に係る情報転送装置の前記転送手段は、前記電子情報を双方向に転送可能とすることを特徴とする。
双方向にセキュリティ管理をすることができ、送信側と受信側の接続を物理的に差し替えてもセキュリティ管理が可能となる。
双方向にセキュリティ管理をすることができ、送信側と受信側の接続を物理的に差し替えてもセキュリティ管理が可能となる。
本発明に係る情報転送装置は、前記複数のコンピュータとの間で仮想プライベートネットワーク(VPN)を構築し、前記外部情報を前記VPNを介して前記判定手段へ通知し、前記転送手段と前記コンピュータとの間を前記VPNを介して前記電子情報を転送するVPN構築手段をさらに備えることを特徴とする。
インターフェースポートを増やさずに、情報転送時のセキュリティ管理ができるコンピュータ数を増やすことができる。
インターフェースポートを増やさずに、情報転送時のセキュリティ管理ができるコンピュータ数を増やすことができる。
本発明は、特許文献1に記載される装置や方法よりセキュリティ能力を高めるとともに、セキュリティ管理を柔軟に行える情報転送装置及び情報転送方法を提供することができる。
添付の図面を参照して本発明の実施形態を説明する。以下に説明する実施形態は本発明の実施例であり、本発明は、以下の実施形態に制限されるものではない。なお、本明細書及び図面において符号が同じ構成要素は、相互に同一のものを示すものとする。
(実施形態1)
本実施形態のブリッジモジュール351は、複数のコンピュータ間での電子情報の転送を制約するセキュリティポリシーに従って実行する情報転送装置であって、
転送対象である電子情報を転送する転送手段と、
前記コンピュータを識別する端末情報と前記コンピュータを使用するユーザを識別するユーザ情報の少なくとも一方である外部情報を保持するとともに、及び前記セキュリティポリシーを前記外部情報と関連付けて保持するポリシー保持手段と、
前記電子情報の送信側と受信側の前記外部情報を取得し、取得した前記外部情報に対応する前記セキュリティーポリシーが前記ポリシー保持手段に保持されている場合に前記外部情報を認証し、該セキュリティポリシーに基づいて前記電子情報の転送可否を判定して前記転送手段に指示する判定手段と、
を備える。
本実施形態のブリッジモジュール351は、複数のコンピュータ間での電子情報の転送を制約するセキュリティポリシーに従って実行する情報転送装置であって、
転送対象である電子情報を転送する転送手段と、
前記コンピュータを識別する端末情報と前記コンピュータを使用するユーザを識別するユーザ情報の少なくとも一方である外部情報を保持するとともに、及び前記セキュリティポリシーを前記外部情報と関連付けて保持するポリシー保持手段と、
前記電子情報の送信側と受信側の前記外部情報を取得し、取得した前記外部情報に対応する前記セキュリティーポリシーが前記ポリシー保持手段に保持されている場合に前記外部情報を認証し、該セキュリティポリシーに基づいて前記電子情報の転送可否を判定して前記転送手段に指示する判定手段と、
を備える。
図1は、ブリッジモジュール351を備える情報転送システムを説明する図である。この情報転送システムは、送信端末151と受信端末251とをブリッジモジュール351で接続する。本実施形態では、ブリッジモジュール351と送信端末151及び受信端末251とは、USBにより接続されている。USB以外にも、イーサネット(登録商標)などの別の通信インターフェースを用いて接続を行ってもよい。図1ではブリッジモジュール351と送信端末151及び受信端末251とが複数の矢印線で結ばれているが、これは情報の流れを表しているもので、物理的には単一の接続(ケーブル)で情報の送受信を行う。
ブリッジモジュール351は、ポリシー保持部301、アプリ情報受信部303、ポリシー選定部304、リアルタイムクロック306、転送情報受信部308、転送情報保持部311、アプリ情報解析部313、送信認証管理部314、フィルタ部315、転送履歴管理部316、受信認証管理部317、及び端末接続状態判定部318を備える。前記転送手段は、転送情報受信部308、フィルタ部315、及び転送情報保持部311が担う。前記ポリシー保持手段は、ポリシー保持部301が担う。前記判定手段は、ポリシー選定部304、リアルタイムクロック306、送信認証管理部314、転送履歴管理部316、及び受信認証管理部317が担う。
ブリッジモジュール351は、特許文献1に記載される装置(ブリッジモジュール300)に端末認証及びユーザ認証の機能を追加したものである。以下の説明では、特に説明の無い場合、ブリッジモジュール351は、特許文献1のブリッジモジュール300と同じ動作をするものとする。
特許文献1では、送信端末において業務アプリケーションから仮想プリンタ(プリンタドライバ)101に対して印刷を実行することで情報の転送が行われる。印刷によってプリンタドライバ101では印刷データが生成され、印刷データは転送情報送信部102を介してブリッジモジュール300に送信される。並行して、プリンタドライバ101からの印刷のトリガーを受けたアプリ情報送信部103は追加情報を業務アプリケーションから収集してブリッジモジュールのアプリ情報受信部303に送信する。ここで、「追加情報」とは、印刷情報に係る追加の情報であって、例えば、「仮想プリンタ(プリンタドライバ)によって印刷された情報を転送できるか」等の情報である。
ブリッジモジュール301は、この印刷による情報転送機能に加えて、ファイルを印刷せずに直接転送する機能も追加している。具体的には、ブリッジモジュール301は、前記電子情報が送信側の前記コンピュータのプリンタドライバで生成された印刷データの場合に送信側の前記コンピュータから前記印刷データに係る追加情報をアプリ情報として取得し、前記電子情報が送信側の前記コンピュータの記憶部に保存されるファイルデータの場合に前記ファイルデータのファイル種別をアプリ情報として取得するアプリ情報取得手段をさらに備える。前記判定手段は、前記セキュリティポリシーの他に前記アプリ情報取得手段で取得した前記アプリ情報も電子情報の転送可否の判定に使用する。前記アプリ情報取得手段は、アプリ情報受信部303及びアプリ情報解析部313が担う。
業務アプリケーションで利用される情報はほとんどの場合、ファイルとしてHDD等のストレージ上に保存されているため、印刷するだけでなく、ファイルを直接送信することができればより便利である。ユーザがファイル送信アプリケーションのUIを使って送信したいファイルを指定すると、ファイル送信アプリケーションからファイル読込機能部104にファイルパスが受け渡される。ファイル読込機能部104は引き渡されたパスのファイルを読み込み、転送情報送信部102に読み込んだファイルデータを受け渡す。転送情報送信部102は印刷された場合と同様にしてファイルデータをブリッジモジュール351の転送情報受信部308に送信する。ファイル送信アプリケーションは、ユーザがファイルを指定する機能だけを持てばよいので、例えばファイルパスを引数に取るコマンドラインアプリケーションでも十分である。また、ファイル読込機能部104にファイル指定機能を持たせれば、ファイル送信アプリケーションを省くことも可能である。
ファイルを直接送信する場合は、印刷データのように転送に関する業務アプリケーションからの追加情報を受け取ることができない。そのため、ファイルデータが転送されてきた場合は、アプリ情報解析部313が転送情報受信部308から転送に関する情報(又はファイルデータ)を受け取り、ファイル種別(該当する業務アプリケーション種別)を判定してアプリ情報受信部303に通知する。ファイル種別の判定方法は、拡張子から判定したり、ファイルのヘッダを解析したりするなど、公知の方法を利用する。
特許文献1では、ポリシー保持部301には情報転送に関するルールのみ登録されている。本実施例では、それらの情報に加えて接続端末とユーザに関する情報もポリシー保持部301が保持している。図2〜5にポリシー保持部301で保持されているポリシー情報の詳細を示す。ただし、図2〜5はポリシー情報の表現方法の一つであり、同じ情報を違うテーブル構造で保持することも可能である。
図2の「ポリシー情報(端末)」に示すテーブルでは端末を特定する情報が保持されている。本実施形態では、端末のホスト名と端末に搭載されたネットワークカードのMACアドレスを利用して端末を特定するため、管理用ID、ホスト名、MACアドレスの情報が保持されている。本実施形態ではMACアドレスは重複して登録できないものとしている。
図3の「ポリシー情報(ユーザ)」に示すテーブルでは、ログイン用のユーザ名とパスワードが保持されている。本実施形態ではユーザ名は重複して登録できないものとしている。
図4の「ポリシー情報(転送制約情報)」に示すテーブルでは、転送に関する制約情報が保持されている。各制約の組を管理する管理IDと各種制約情報が含まれる。制約には「転送可能な時間帯」「一日に転送可能な最大回数」「仮想プリンタ(プリンタドライバ)によって印刷された情報を転送できるか」「ファイル送信で転送できるファイル種別」等が含まれる。
図5の「ポリシー情報(関連付けテーブル)」では、送信側端末、ユーザ、転送設定及び受信許可端末の関連付けを行う情報を保持している。例えば、送信側端末管理IDが「1」、ユーザ管理IDが「1」、転送制約管理IDが「2」、受信許可端末管理IDが「2,3」の場合、管理ID「1」の端末から管理ID「1」のユーザがファイルを送信するときには、管理ID「2」の転送制約が適用され、管理ID「2」又は「3」の端末が受信できることを意味する。本実施形態では、送信側端末管理IDとユーザ管理IDの同じペアは重複して登録できないものとしている。
ポリシー保持部301の情報は、業務などの状況に合わせて書き換える必要がある。この書き換えは、例えば、ブリッジモジュール内にフラッシュメモリーカードを内蔵するようにして、このフラッシュメモリーカードにポリシー保持部301の情報を保持させておけば、フラッシュメモリーカードの差し替えによりポリシー保持部301の書き換えを実現できる。また、別の方法としては、ポリシー保持部301書き換え用のUSBインターフェース(このインターフェースは送信側USBインターフェースや受信側USBインターフェースを共用してもよいし、別途設けてもよい。またUSB以外のインターフェースを用いてもよい。)を設け、このUSBインターフェースに書き換えを行う端末を接続して書き換えてもよい。この場合は、図1の機能図に描かれていないが、ポリシー書き換え端末からの要請でポリシーの書き換えを行う「ポリシー書き換え部」がブリッジモジュール内に必要になる。加えて、ポリシー書き換え端末内にもポリシーを書き換えるための、機能部が必要となる。
情報転送時の端末認証及びユーザ認証は次の様に実行される。業務アプリケーションまたはファイル送信アプリケーションから送信処理を行うと、プリンタドライバ101またはファイル読込機能部104から転送すべきデータが転送情報送信部102に受け渡される。転送情報送信部102はブリッジモジュール351にデータを転送する際に、並行して送信認証部105の機能呼び出しも行う。送信認証部105は端末認証とユーザ認証に必要な情報(認証情報)を収集しブリッジモジュール351に送信する。本実施形態では、端末認証に必要な情報として送信端末のホスト名と送信端末に搭載されたネットワークカードのMACアドレス一覧を収集し送信する。ユーザ認証に必要な情報は、ユーザ名とパスワードの入力欄を持つダイアログを画面上に表示してユーザに情報を入力させ、その情報をブリッジモジュールに送信する。ユーザ認証に必要な情報の収集方法としては、ダイアログを出してユーザに入力を促す以外に、例えば端末にログイン中のユーザ情報を利用する方法もある。
認証情報が送信認証管理部314に渡されると、送信認証管理部314はポリシー選定部304に認証情報を渡して送信認証判定を依頼する。図6は、ポリシー選定部304における送信認証判定の処理フローである。ポリシー選定部304は、認証情報のホスト名とMACアドレスをもって端末テーブル(図2)を検索する(ステップS01)。ポリシー選定部304は、端末テーブルの端末管理IDが見つかれば(ステップS02で“Yes”)、認証情報のユーザ名とパスワードでユーザテーブル(図3)を検索する(ステップS03)。ポリシー選定部304は、ユーザテーブルのユーザ管理IDが見つかれば(ステップS04で“Yes”)、端末管理ID(送信側端末管理ID列)とユーザ管理ID(ユーザ管理ID列)で関連付けテーブル(図5)を検索する(ステップS05)。ポリシー選定部304は、関連付けテーブルに端末管理IDとユーザ管理IDに該当する行がある場合(ステップS06で“Yes”)、該当の転送制約管理ID、ユーザ管理ID、及び受信許可端末管理IDリストをポリシー選定部304に記憶させる(ステップS07)。そして、ポリシー選定部304は、送信認証管理部314に認証成功を通知する(ステップS08)。一方、ポリシー選定部304は、端末テーブルの端末管理IDが見つからない場合(ステップS02で“No”)、ユーザテーブルのユーザ管理IDが見つからない場合(ステップS04で“No”)、あるいは関連付けテーブルに端末管理IDとユーザ管理IDに該当する行がない場合(ステップS06で“No”)、送信認証管理部314に認証失敗を通知する(ステップS09)。
この時、送信認証判定と同時にポリシー選定も合わせて行われる。処理の結果、送信認証管理部314には認証の成功/失敗が通知される。さらに、選定された転送制約情報とユーザ管理IDと受信許可端末管理IDリストがポリシー選定部304に記憶される。
図1の「フィルタ部315」は、特許文献1の「フィルタ/リライト部310」と「テキスト抽出部309」に該当する部分である。特許文献1のテキスト抽出部309では、フィルタ/リライト部310の前準備として、仮想プリンタ(プリンタドライバ101)で生成された印刷データからテキストを抽出している。本実施形態では、このテキスト抽出機能をフィルタ部315に持たせている。つまり、フィルタ部315が必要とするテキスト情報はフィルタ部315が受け取った転送データを自ら解析してフィルタリングを行っている。特許文献1とは違い、本実施形態では仮想プリンタで生成された印刷データだけでなく、ファイルデータを直接送信できるため、フィルタ部315ではファイルデータの形式に合わせて解析を行う必要がある。ファイルデータの解析はファイルの形式が判明していれば、公知の仕様を元に解析することができる。また、特許文献1では、フィルタ/リライト部310はフィルタ機能だけでなく情報を書き換えるリライト機能も持っていたが、本実施形態のフィルタ部315はリライト機能を省きフィルタ機能だけとした。
図1の「転送情報保持部311」は、特許文献1の「転送情報保持部311」と「ファイルサービス部312」に該当する部分である。特許文献1では、「フィルタ/リライト部310」を通過した情報は「転送情報保持部311」に保持され、受信端末からのアクセスに対して「ファイルサービス部312」が保持された情報を提供する。本実施形態では、「転送情報保持部311」に特許文献1の「ファイルサービス部312」の機能を合わせて持たせ、情報の保持だけでなく情報提供も行う。
ブリッジモジュール301は、前記電子情報の送信側と受信側の前記コンピュータとの接続を監視し、前記コンピュータのいずれか一方との接続が切断されたとき、前記転送手段に存在する前記電子情報を削除する指示し、前記電子情報の送信側と受信側の前記外部情報の認証を解除する接続状態判定手段をさらに備える。前記接続状態判定手段は、端末接続状態判定部318が担う。
図1の「端末接続状態判定部318」は、特許文献1の「転送先接続状態判定部307」に該当する部分である、送信端末と受信端末が接続されていることを常時監視し、接続状態情報をフィルタ部315と転送情報保持部311に供給する。本実施形態では各端末とブリッジモジュールはUSBで接続されているため、USBの接続状態検知機能を用いて端末接続状態判定部318を実現できる。例えば、受信端末251がブリッジモジュール351から物理的に切り離された場合、端末接続状態判定部318は、それを直ちに検出し、転送情報保持部311及びフィルタ部315に通知するとともに、転送情報保持部311が保持する転送データを削除する。さらに、フィルタ部315は、受信端末251がブリッジモジュール351から物理的に切り離されたことを送信端末151の転送情報送信部102に通知する。そして、転送情報送信部102は自身が保持する転送データを削除する。
また、送信端末151がブリッジモジュール351から物理的に切り離された場合、あるいは送信端末151及び受信端末251の双方がブリッジモジュール351から物理的に切り離された場合、上述のように端末接続状態判定部318は、それを直ちに検出し、転送情報保持部311が保持する転送データを削除する。一方、ブリッジモジュール351と送信端末151との間が切断されているので、フィルタ部315は接続切断の情報を転送情報送信部102へ通知することができない。このため、送信端末151はUSBの接続状態検知機能を用いてブリッジモジュール351との接続が物理的に切り離されたことを検知し、転送情報送信部102が保持する転送データを削除する。
このようにブリッジモジュール351と送信端末151と受信端末251の接続を監視することで、「2台の端末を装置に同時接続する」という転送条件を保証できる。
また、送信端末151がブリッジモジュール351から物理的に切り離された場合、あるいは送信端末151及び受信端末251の双方がブリッジモジュール351から物理的に切り離された場合、上述のように端末接続状態判定部318は、それを直ちに検出し、転送情報保持部311が保持する転送データを削除する。一方、ブリッジモジュール351と送信端末151との間が切断されているので、フィルタ部315は接続切断の情報を転送情報送信部102へ通知することができない。このため、送信端末151はUSBの接続状態検知機能を用いてブリッジモジュール351との接続が物理的に切り離されたことを検知し、転送情報送信部102が保持する転送データを削除する。
このようにブリッジモジュール351と送信端末151と受信端末251の接続を監視することで、「2台の端末を装置に同時接続する」という転送条件を保証できる。
なお、送信端末151と受信端末251のどちらかまたは両方が認証の解除等でブリッジモジュール351から切り離された場合、ブリッジモジュール351が接続が切れたことを転送情報送信部102に通知してもよい。転送情報送信部102は端末が切り離された情報を通知された場合は保持している転送データを削除し、「2台の端末を装置に同時接続する」条件を保証する。
転送情報受信部308で受信した転送データは、フィルタ部315に渡される。フィルタ部315は、送信認証管理部314からの送信認証成否情報とポリシー選定部304からの転送制約情報とリアルタイムクロック306からの時刻情報と端末接続状態判定部318からの端末接続状態情報を取得し、さらに転送履歴管理部316に対して情報の読み書きを行って転送データのフィルタリングを行う。転送履歴管理部316には転送回数や転送データ量などが記録され、それらの記録と転送制約情報がフィルタ部315で比較される。
図7及び図8は、フィルタ部315が行うフィルタ処理のフローである。
フィルタ部315は送信認証管理部314から送信認証成否の情報を取得する(ステップS11)。送信認証が成功している場合(ステップS12で“Yes”)、フィルタ部315は端末接続状態判定部318から端末接続状態を取得する(ステップS13)。送信端末と受信端末は接続されている場合(ステップS14で“Yes”)、フィルタ部315はポリシー選定部304から供給される転送制約情報を元に、転送制約チェックをする(ステップS15)。ステップS15の詳細は図8で説明する。転送制約チェックが許可になった場合(ステップS16で“Yes”)、フィルタ部315は転送データを転送情報保持部311に引き渡す。その際にフィルタ部315はデータ保持時間を設定する(ステップS17)。その後、フィルタ部315は、送信端末151の転送情報送信部102に送信成功を通知し(ステップS18)、転送履歴管理部316に今回の転送に関する情報を記録する(ステップS19)。一方、フィルタ部315は、ステップS12、ステップS14、ステップS16のいずれかで“No”となった場合、転送情報受信部308から送られてきた転送データを破棄する(ステップS20)。そして、フィルタ部315は、送信端末151の転送情報送信部102に送信失敗を通知する(ステップS21)。
フィルタ部315は送信認証管理部314から送信認証成否の情報を取得する(ステップS11)。送信認証が成功している場合(ステップS12で“Yes”)、フィルタ部315は端末接続状態判定部318から端末接続状態を取得する(ステップS13)。送信端末と受信端末は接続されている場合(ステップS14で“Yes”)、フィルタ部315はポリシー選定部304から供給される転送制約情報を元に、転送制約チェックをする(ステップS15)。ステップS15の詳細は図8で説明する。転送制約チェックが許可になった場合(ステップS16で“Yes”)、フィルタ部315は転送データを転送情報保持部311に引き渡す。その際にフィルタ部315はデータ保持時間を設定する(ステップS17)。その後、フィルタ部315は、送信端末151の転送情報送信部102に送信成功を通知し(ステップS18)、転送履歴管理部316に今回の転送に関する情報を記録する(ステップS19)。一方、フィルタ部315は、ステップS12、ステップS14、ステップS16のいずれかで“No”となった場合、転送情報受信部308から送られてきた転送データを破棄する(ステップS20)。そして、フィルタ部315は、送信端末151の転送情報送信部102に送信失敗を通知する(ステップS21)。
続いて図8を用いてステップS15の詳細を説明する。
フィルタ部315はポリシー選定部304から転送制約情報を取得する(ステップS31)。フィルタ部315は、転送制約情報に「利用可能時間帯」が指定されているか否かを確認する(ステップS32)。ステップ32で“Yes”の場合、フィルタ部315はリアルタイムクロック306から現在時刻を取得する(ステップS41)。そして、フィルタ部315は現在時刻が「利用可能時間帯」の範囲内か否かを判断する(ステップS42)。ステップS32で“No”又はステップS42で“Yes”の場合、フィルタ部315は、転送制約情報に「1日毎最大転送回数」が0以上に設定されているか否かを確認する(ステップS33)。ステップS33で“Yes”の場合、フィルタ部315は転送履歴管理部316から本日の転送回数合計値を取得する(ステップS43)。そして、フィルタ部315は今回の転送で本日の転送回数が「1日毎最大転送回数」を超えないか否かを判断する(ステップS44)。ステップS33で“No”又はステップS44で“No”の場合、フィルタ部315は転送制約情報に「1日毎最大転送容量」が0以上に設定されているか否かを確認する(ステップS34)。ステップS34で“Yes”の場合、フィルタ部315は転送履歴管理部316から本日の転送回数合計値を取得する(ステップS45)。そして、フィルタ部315は今回の転送で本日の転送回数が「1日毎最大転送回数」を超えないか否かを判断する(ステップS46)。ステップS34で“No”又はステップS46で“Yes”の場合、フィルタ部315は転送データが印刷データか否かを判断する(ステップS35)。ステップS35で“Yes”の場合、フィルタ部315は転送制約情報で「印刷データ転送可否」が許可になっているか否かを判断する(ステップS47)。ステップS35で“No”又はステップS47で“Yes”の場合、フィルタ部315は転送データがファイルデータか否かを確認する(ステップS36)。ステップS36で“Yes”の場合、フィルタ部315は転送制約情報で「ファイルデータ転送可否」が許可になっているか否かを判断する(ステップS48)。ステップS36で“No”又はステップS48で“Yes”の場合、フィルタ部315は転送制約情報で「ファイル送信許可アプリ種別リスト」が全許可以外か否かを確認する(ステップS37)。ステップS37で“Yes”の場合、フィルタ部315はアプリ情報受信部303からアプリケーション種別を取得する(ステップS49)。そして、フィルタ部315は「ファイル送信許可アプリ種別リスト」に転送データのアプリ種別が含まれているか否かを判断する(ステップS50)。ステップS37で“No”又はステップS50で“Yes”の場合、フィルタ部315は転送制約情報で「送信禁止キーワードリスト」が設定されているか否かを確認する(ステップS38)。ステップS38で“Yes”の場合、フィルタ部315は転送データ内を「送信禁止キーワードリスト」のキーワードで検索する(ステップS51)。そして、フィルタ部315は転送データ内に「送信禁止キーワードリスト」のキーワードが含まれるかを判断する(ステップS52)。ステップS38で“No”又はステップS52で“Yes”の場合、フィルタ部315は転送を許可とする。一方、ステップS42、ステップS44、ステップS46、ステップS47、ステップS48、ステップS50、ステップS52のいずれかで“No”の場合、フィルタ部315は転送を不許可とする。
フィルタ部315はポリシー選定部304から転送制約情報を取得する(ステップS31)。フィルタ部315は、転送制約情報に「利用可能時間帯」が指定されているか否かを確認する(ステップS32)。ステップ32で“Yes”の場合、フィルタ部315はリアルタイムクロック306から現在時刻を取得する(ステップS41)。そして、フィルタ部315は現在時刻が「利用可能時間帯」の範囲内か否かを判断する(ステップS42)。ステップS32で“No”又はステップS42で“Yes”の場合、フィルタ部315は、転送制約情報に「1日毎最大転送回数」が0以上に設定されているか否かを確認する(ステップS33)。ステップS33で“Yes”の場合、フィルタ部315は転送履歴管理部316から本日の転送回数合計値を取得する(ステップS43)。そして、フィルタ部315は今回の転送で本日の転送回数が「1日毎最大転送回数」を超えないか否かを判断する(ステップS44)。ステップS33で“No”又はステップS44で“No”の場合、フィルタ部315は転送制約情報に「1日毎最大転送容量」が0以上に設定されているか否かを確認する(ステップS34)。ステップS34で“Yes”の場合、フィルタ部315は転送履歴管理部316から本日の転送回数合計値を取得する(ステップS45)。そして、フィルタ部315は今回の転送で本日の転送回数が「1日毎最大転送回数」を超えないか否かを判断する(ステップS46)。ステップS34で“No”又はステップS46で“Yes”の場合、フィルタ部315は転送データが印刷データか否かを判断する(ステップS35)。ステップS35で“Yes”の場合、フィルタ部315は転送制約情報で「印刷データ転送可否」が許可になっているか否かを判断する(ステップS47)。ステップS35で“No”又はステップS47で“Yes”の場合、フィルタ部315は転送データがファイルデータか否かを確認する(ステップS36)。ステップS36で“Yes”の場合、フィルタ部315は転送制約情報で「ファイルデータ転送可否」が許可になっているか否かを判断する(ステップS48)。ステップS36で“No”又はステップS48で“Yes”の場合、フィルタ部315は転送制約情報で「ファイル送信許可アプリ種別リスト」が全許可以外か否かを確認する(ステップS37)。ステップS37で“Yes”の場合、フィルタ部315はアプリ情報受信部303からアプリケーション種別を取得する(ステップS49)。そして、フィルタ部315は「ファイル送信許可アプリ種別リスト」に転送データのアプリ種別が含まれているか否かを判断する(ステップS50)。ステップS37で“No”又はステップS50で“Yes”の場合、フィルタ部315は転送制約情報で「送信禁止キーワードリスト」が設定されているか否かを確認する(ステップS38)。ステップS38で“Yes”の場合、フィルタ部315は転送データ内を「送信禁止キーワードリスト」のキーワードで検索する(ステップS51)。そして、フィルタ部315は転送データ内に「送信禁止キーワードリスト」のキーワードが含まれるかを判断する(ステップS52)。ステップS38で“No”又はステップS52で“Yes”の場合、フィルタ部315は転送を許可とする。一方、ステップS42、ステップS44、ステップS46、ステップS47、ステップS48、ステップS50、ステップS52のいずれかで“No”の場合、フィルタ部315は転送を不許可とする。
フィルタ部315を通過し転送情報保持部311に保持された転送データは、そのままでは受信端末251には公開されない。受信端末251でブリッジモジュール351から転送データを受信するには、受信認証を行う必要がある。受信端末251で受信認証アプリケーションを起動すると受信認証部201に受信認証が依頼される。受信認証部201は、送信端末151の送信認証部105と同様に、端末認証に必要な情報を受信端末251から、ユーザ認証に必要な情報をユーザから収集しブリッジモジュール351に送信する。受信認証に必要な情報を受信したブリッジモジュールの受信認証管理部317は、ポリシー選定部304に受信認証を依頼する。ポリシー選定部304は送信認証判定が成功している必要があるため、送信認証より前に受信認証を行うことはできない。
図9は、ポリシー選定部304が行う受信認証部201の受信認証判定の処理フローである。
ポリシー選定部304は、ポリシー選定部304がポリシー選定は済んでいるか否かを確認する(ステップS61)。ステップS61で“Yes”の場合、ポリシー選定部304はホスト名とMACアドレスにより端末テーブル(図2)を検索する(ステップS62)。該当する端末管理IDを取得した場合(ステップS63で“Yes”)、ポリシー選定部304は記憶している受信許可端末管理IDリストに当該端末管理IDが含まれるかを確認する(ステップS64)。ステップS64で“Yes”の場合、ポリシー選定部304は受信したユーザ名とパスワードでユーザテーブル(図3)を検索し、該当するユーザ管理IDを取得する(ステップS65)。該当するユーザIDを取得した場合(ステップS66で“Yes”)、ポリシー選定部304は記憶しているユーザ管理IDと当該ユーザ管理IDとが一致するか否かを確認する(ステップS67)。ステップS67で“Yes”の場合、ポリシー選定部304は受信認証管理部317に認証成功を通知する(ステップS68)。一方、ポリシー選定部304は、ポリシー選定が終了していない場合(ステップS61で“No”)、端末テーブルの当該端末管理IDが見つからない場合(ステップS63で“No”)、受信許可端末管理IDリストに当該端末管理IDが見つからない場合(ステップS64で“No”)、ユーザテーブルのユーザ管理IDが見つからない場合(ステップS66で“No”)、あるいはユーザ管理IDと当該ユーザ管理IDとが一致しない場合(ステップS67で“No”)、受信認証管理部317に認証失敗を通知する(ステップS69)。
ポリシー選定部304は、ポリシー選定部304がポリシー選定は済んでいるか否かを確認する(ステップS61)。ステップS61で“Yes”の場合、ポリシー選定部304はホスト名とMACアドレスにより端末テーブル(図2)を検索する(ステップS62)。該当する端末管理IDを取得した場合(ステップS63で“Yes”)、ポリシー選定部304は記憶している受信許可端末管理IDリストに当該端末管理IDが含まれるかを確認する(ステップS64)。ステップS64で“Yes”の場合、ポリシー選定部304は受信したユーザ名とパスワードでユーザテーブル(図3)を検索し、該当するユーザ管理IDを取得する(ステップS65)。該当するユーザIDを取得した場合(ステップS66で“Yes”)、ポリシー選定部304は記憶しているユーザ管理IDと当該ユーザ管理IDとが一致するか否かを確認する(ステップS67)。ステップS67で“Yes”の場合、ポリシー選定部304は受信認証管理部317に認証成功を通知する(ステップS68)。一方、ポリシー選定部304は、ポリシー選定が終了していない場合(ステップS61で“No”)、端末テーブルの当該端末管理IDが見つからない場合(ステップS63で“No”)、受信許可端末管理IDリストに当該端末管理IDが見つからない場合(ステップS64で“No”)、ユーザテーブルのユーザ管理IDが見つからない場合(ステップS66で“No”)、あるいはユーザ管理IDと当該ユーザ管理IDとが一致しない場合(ステップS67で“No”)、受信認証管理部317に認証失敗を通知する(ステップS69)。
受信認証より先に送信認証を行うことができない制限は、本実施形態で設定可能なポリシーが「送信したユーザが受信を行う」ことを前提としているためである。送信認証と受信認証を関連付けずに本発明を実施することも可能であり、その場合は受信認証と送信認証のどちらを先に行っても良い。その場合はポリシーのテーブル構成や各処理フローを変更する必要がある。
本実施形態ではユーザが受信認証アプリケーションを起動することで受信認証部201の機能を呼び出したが、受信認証アプリケーションを利用せずにユーザが受信認証部201を利用できるにしても良い。例えば、受信認証が必要になった時点でブリッジモジュール351が自動的に受信認証部201を呼び出すことで、受信認証部201が機能するようにしても良い。
受信認証管理部317は認証成功の通知をポリシー選定部304から受けると、転送情報保持部311に転送データの公開を依頼する。転送情報保持部311は受信認証管理部317からの通知を受けて、特許文献1と同様に仮想CD−ROMメディアに含まれる情報として受信端末251に情報を公開する。転送情報保持部311の持つ情報が変化した場合はCD−ROMメディアの入れ替えとして受信端末251に通知する。受信端末251への転送情報の公開方法は他にもWebサーバとして見せる方法等もある。
また、転送情報保持部311はセキュリティを高めるために、データ保持時間を過ぎた転送データを削除する。転送情報保持部311は、リアルタイムクロック306の時刻を利用して、転送データの保持開始時刻と現在時刻を定期的に比較して、データ保持時間が過ぎていないかをチェックする。データ保持時間が過ぎた場合は、転送情報保持部311から転送データを削除する。受信認証とは本実施形態では、データ保持時間が0に設定されている場合は無期限として取り扱う。
本実施形態では、送信認証や受信認証を行った場合は、その後も送信端末や受信端末を切り離さない限り認証成功状態を維持している。そのため、一度送信認証や受信認証を行うと、その後は認証せずにファイルの転送が可能となる。セキュリティを高めたい場合、受信認証管理部317と送信認証管理部314が認証成功からの経過時間を管理し、一定時間が経過した場合は認証状態を解除するように実施することもできる。または、1つのデータを送信するごとに再認証を必要とするように実施することもできる。
いずれの場合でも、受信端末251と送信端末151のどちらかまたは両方とブリッジモジュール351の接続が切れた場合は、端末接続状態判定部318が即座に検出し、送信認証管理部314と受信認証管理部317に認証解除を通知するため、即座に認証が解除される。さらに、端末との接続が切れた場合は、端末接続状態判定部318から転送情報保持部311にも通知が行われ、転送情報保持部311で保持されている全ての転送データが削除される。このように、「2台の端末を装置に同時接続する」状態が無効になった場合は認証解除とデータ削除が行われるため、ポリシーに設定された特定の送信端末・受信端末の組み合わせ以外で情報を転送することはできない。
(実施形態2)
実施形態1では端末認証とユーザ認証をどちらも行ったが、端末認証だけで実施することもできる。
実施形態1では端末認証とユーザ認証をどちらも行ったが、端末認証だけで実施することもできる。
端末認証だけで送信認証を実施する場合は、図2、図4、図10のテーブルを組み合わせてポリシーを表現し、図6の送信認証判定フローからユーザ認証に関わるステップを省いた図11の送信認証判定フローにより処理を行う。また、受信認証を実施する場合は、図9の受信認証判定フローからユーザ認証に関わるステップを省いた図12の受信認証判定フローにより処理を行う。
(実施形態3)
実施形態1では端末認証とユーザ認証をどちらも行ったが、ユーザ認証だけで実施することもできる。
実施形態1では端末認証とユーザ認証をどちらも行ったが、ユーザ認証だけで実施することもできる。
ユーザ認証だけで送信認証を実施する場合は、図3、図4、図13のテーブルを組み合わせてポリシーを表現し、図6の送信認証判定フローから端末認証に関わるステップを省いた図14の送信認証判定フローにより処理を行う。また、受信認証を実施する場合は、図9の受信認証判定フローから端末認証に関わる部分を省いた図15の受信認証判定フローにより処理を行う。
(実施形態4)
以上の実施形態では、受信認証可能なユーザは送信認証と同一のユーザで、受信認証可能な端末は関連付けテーブルで受信許可端末管理IDに登録されている端末でなくてはならない。しかし、より柔軟に送信側と受信側を独立に認証する実施形態も可能である。つまり、本実施形態は、送信認認したユーザ・端末の組み合わせによって、受信認証可能なユーザ・端末の組み合わせが制限されない。
以上の実施形態では、受信認証可能なユーザは送信認証と同一のユーザで、受信認証可能な端末は関連付けテーブルで受信許可端末管理IDに登録されている端末でなくてはならない。しかし、より柔軟に送信側と受信側を独立に認証する実施形態も可能である。つまり、本実施形態は、送信認認したユーザ・端末の組み合わせによって、受信認証可能なユーザ・端末の組み合わせが制限されない。
送信側・受信側で独立して認証する場合は、関連付けテーブルを送信側(図16)と受信側(図17)で分けて持つ必要がある。本実施形態では転送制約は送信認証時に決定されるものとしている。送信認証では、図2、図3、図4、図16を組み合わせて、ポリシー選定部304が図18の処理フローで送信認証判定を行う。送信認証が成功した場合に、ポリシー選定部304が記憶する情報は選定された転送制約のみである(ステップS07c)。受信認証では、送信側で認証した端末とユーザの組み合わせに依存せず、図2、図3、図17のテーブルを組み合わせて、ポリシー選定部304が図19の処理フローにより受信認証判定を行う。図19の処理フローは、図9の処理フローのステップS67の代替として、端末の管理ID(送信側端末管理ID列)とユーザの管理ID(ユーザ管理ID列)で受信側関連付けテーブル(図17)を検索するステップS71、及び該当する行が見つけたか否かを判定するステップS72を行う。
ブリッジモジュール351をこの様に動作させることで、送信側と受信側でユーザを変えたい場合にも対応できる。また、受信認証・送信認証のどちらかだけの機能を無効化すれば、送信認証だけ行って受信認証を行わなかったり、受信認証だけ行って送信認証を行わなかったりすることもできる。ただし、転送制約は送信認証により選定されるので、送信認証を行わない場合はポリシーの選定ができなくなる。その場合は、特許文献1と同様にブリッジデバイスごとに唯一の転送制約を設定することになる。
(実施形態5)
図20は、ブリッジモジュール352を備える情報転送システムを説明する図である。
図1で本発明のシステム構成例を示したが、認証管理機能及びフィルタリング機能を図20の様に各端末側に割り振ることも可能である。一般的には、ブリッジデバイス内で機能を実現する難易度の方が端末側で実現するよりも高くなる場合が多いため、図20の様に機能を端末側に移すことにより開発が容易になる。
図20は、ブリッジモジュール352を備える情報転送システムを説明する図である。
図1で本発明のシステム構成例を示したが、認証管理機能及びフィルタリング機能を図20の様に各端末側に割り振ることも可能である。一般的には、ブリッジデバイス内で機能を実現する難易度の方が端末側で実現するよりも高くなる場合が多いため、図20の様に機能を端末側に移すことにより開発が容易になる。
図20の情報転送システムは、送信端末152からブリッジモジュール352へ転送データが送信される前に、送信端末152でフィルタリングを行うため、転送制約に違反するデータが送信されないため効率的である。図1の情報転送システムでは、転送情報送信部102及び転送情報受信部308が他の機能部に情報を通知したりする機能を担っていたが、図20の情報転送システムでは情報の送受信に特化している。そのため、送信端末152は、新たに「転送情報管理部106」を備え、送信認証部105への認証依頼、アプリ情報解析部313へのデータ供給、及びフィルタ部315から送信失敗が通知された時のエラー表示の機能を担っている。
(実施形態6)
以上の実施形態では通信の方向を片方向だけに制限していたが、構成を一部変えることによって、双方向通信も含めて通信の方向を自由に変更することができる。
以上の実施形態では通信の方向を片方向だけに制限していたが、構成を一部変えることによって、双方向通信も含めて通信の方向を自由に変更することができる。
図21は、双方向通信を可能とする情報転送システムを説明する図である。図21では、構成を単純化して表示するために、仮想プリンタ(プリンタドライバ)を介したデータ転送機能のみに関わる機能部は明示していないが、図1と同様に機能部を追加することで仮想プリンタによる転送機能も実現できる。
ブリッジモジュール353に接続された2台の端末(153、154)は設定によって送信も受信も可能なため、機能部は対称になっている。送信の場合も受信の場合も認証に必要な情報は共通である。このため、本実施形態では、図1で個別に設定していた送信認証部105と受信認証部201を併合して送受信認証部105aとし、図1で個別に設定していた送信認証管理部314と受信認証管理部317を併合して送受信認証管理部314aとしている。この実施形態では、送受信どちらも可能な端末・ユーザの組み合わせで一度認証した場合は、端末接続状態が変化するまでは、再認証なしで送信・受信とも可能である。
ポリシー保持部301では図2、図3、図4、図22のテーブルを保持している。本実施形態では端末153と端末154を独立に認証している。つまり、端末153の認証と端末154の認証が依存しない。図22の関連付けテーブルは、認証が可能な端末とユーザの組み合わせ及び、その組み合わせの場合に送信・受信がそれぞれ許可されるかの情報及び、送信が許可される場合は送信時の転送制約の情報が設定されている。これらの設定を変更することで、端末・ユーザの組み合わせごとに「送受信可能」「送信のみ可能」「受信のみ可能」が設定できる。
図1の情報転送システムでは、送信認証で選定された転送制約の情報はポリシー選定部304が保持していたが、本実施形態の情報転送システムでは、端末153と端末154で別々に転送制約を保持しているため、送受信認証管理部314aが転送制約を保持している。送受信認証管理部314a−1は、フィルタ部315に「端末153の認証が成功して送信が許可されているか」及び「端末153の転送制約」の情報を供給し、転送情報保持部311に「端末153の認証が成功して受信が許可されているか」の情報を供給する。送受信認証管理部314a−2も同様に動作する。
ファイル送信時、転送情報送信部102から転送情報受信部308が転送データを受け取ると、フィルタ部315及びアプリ情報解析部313に転送データを受け渡す。この時に、フィルタ部315にはどちらの端末から受け取ったデータであるかの情報も受け渡す。転送情報受信部308は1つしか存在しないため、端末153と端末154とで排他的に動作するものとしている。ただし、並行して処理できるように作り込むことで、同時に転送処理を行うことも可能である。
フィルタ部315は、リアルタイムクロック306、転送履歴管理部316、アプリ情報受信部303、そして端末153からの転送データであれば送受信認証管理部314a−1と連携してフィルタリングを行い、フィルタリングに成功すればその転送データを転送情報保持部311に受け渡す。フィルタリングに失敗した場合は端末153の転送情報送信部102にエラーが通知される。端末153からの転送データをフィルタリングする場合は送受信認証管理部314a−2の情報は使われない。端末154から転送データが送信された場合も同様に動作する。
転送情報保持部311は、送受信認証管理部314a−1から「端末153の認証が成功して受信が許可された状態」の情報を供給された場合は、端末154に転送情報保持部311が保持している転送データを公開する。転送情報保持部311は、端末154からの転送データについても同様に動作する。
ブリッジモジュール353は、端末153の認証で送受信共に許可した場合は、端末153からの転送データを端末153で受信可能とする。この動作に問題がある場合、ブリッジモジュール353は、転送情報保持部311で端末153からの転送データを端末154のみに公開させてもよい。
端末接続状態判定部318は、端末の接続状態が変化した際に、それぞれの送受信認証管理部314aの認証を解除させ、さらに転送情報保持部311が保持する転送データを消去させる。
(実施形態7)
実施形態6の情報転送システムは、対称に機能部を配置することで1対1の双方向通信を実現している。個々の端末に対応するように機能部を配置することで、端末を3台以上に拡張できる。図23は、端末4台を接続する情報転送システムを説明する図である。図23では、ほとんどの機能部の記載を省略し、本実施形態の説明に関係する機能部のみ表現している。図23の情報転送システムでは、図21の情報転送システムと同様に送受信認証管理部314aを接続する端末ごとに設けているが、1つの送受信認証管理部314aのみを配置して内部的に端末ごとの認証情報を管理する構成としてもよい。
実施形態6の情報転送システムは、対称に機能部を配置することで1対1の双方向通信を実現している。個々の端末に対応するように機能部を配置することで、端末を3台以上に拡張できる。図23は、端末4台を接続する情報転送システムを説明する図である。図23では、ほとんどの機能部の記載を省略し、本実施形態の説明に関係する機能部のみ表現している。図23の情報転送システムでは、図21の情報転送システムと同様に送受信認証管理部314aを接続する端末ごとに設けているが、1つの送受信認証管理部314aのみを配置して内部的に端末ごとの認証情報を管理する構成としてもよい。
図23の情報転送システムは、実施形態6で説明したように動作することで図21の情報転送システムと同様の動作をする。図23の情報転送システムは、ポリシー保持部301が保持する転送制約に従い、端末153と端末155との間、及び端末154と端末156との間で転送データを転送してもよいし、端末153、端末154、端末155のいずれかを選択して端末156が転送データを転送してもよい。
(実施形態8)
以上の実施形態では、ブリッジモジュールと端末間の接続インターフェースは基本的にUSBを利用しているものとしていた。USB以外の接続インターフェースを利用することもできるが、ブリッジモジュールで利用する接続インターフェースはブリッジモジュールと端末が論理的に一対一で接続でき、なおかつインターフェースの接続状態(接続・切断)を検出できる必要がある。USBの場合は、USBハブを挟んでホスト(端末)とデバイス(ブリッジモジュール)が接続され、さらに他のデバイスがハブに接続されていても、論理的にはデバイスとホストは一対一で接続される。また、USBハブを介していても、デバイスが切り離されるとそれをホストで検出することができる。
以上の実施形態では、ブリッジモジュールと端末間の接続インターフェースは基本的にUSBを利用しているものとしていた。USB以外の接続インターフェースを利用することもできるが、ブリッジモジュールで利用する接続インターフェースはブリッジモジュールと端末が論理的に一対一で接続でき、なおかつインターフェースの接続状態(接続・切断)を検出できる必要がある。USBの場合は、USBハブを挟んでホスト(端末)とデバイス(ブリッジモジュール)が接続され、さらに他のデバイスがハブに接続されていても、論理的にはデバイスとホストは一対一で接続される。また、USBハブを介していても、デバイスが切り離されるとそれをホストで検出することができる。
USBの代わりにイーサネット(登録商標)を利用することもできるが、イーサネット(登録商標)を利用する場合はハブを挟まずに物理的に直接接続する必要がある。イーサネット(登録商標)ハブを挟んだ場合は他の、ハブに他の端末が接続できてしまうため他の端末からブリッジモジュールにアクセス可能である。そのため、例えば、端末Aとブリッジモジュールがイーサネット(登録商標)ハブを挟んで接続されており、なおかつ端末A上で認証が成功していると、同じハブに接続された端末Bが認証せずにブリッジモジュールにアクセスできてしまう可能性がある。さらに、イーサネット(登録商標)ハブを挟んで接続されている場合は、接続状態の検出はブリッジモジュールとイーサネット(登録商標)ハブの間の接続状態しか検出できないため、ハブから端末が切断されてもイーサネット(登録商標)自体では検出できない(上位レイヤーのプロトコルを利用すれば可能)。
以上の制約から、ブリッジモジュールには接続する端末の数だけの物理的なインターフェースポートを用意しておく必要がある。しかし、3台以上の接続を可能とする情報転送システムで、例えば10台分のインターフェースポートを用意しておくのは現実的ではない。
そこで、本実施形態では、イーサネット(登録商標)状に仮想的な一対一の接続を構築する。具体的には、本実施形態のブリッジモジュールは、前記複数のコンピュータとの間で仮想プライベートネットワーク(VPN)を構築し、前記外部情報を前記VPNを介して前記判定手段へ通知し、前記転送手段と前記コンピュータとの間を前記VPNを介して前記電子情報を転送するVPN構築手段をさらに備える。仮想的に一対一の接続を実現することで、ブリッジモジュールにインターフェースポートを増加しなくとも複数の端末を接続することができる。
図24は、本実施形態の情報転送システムを説明する物理接続図である。ブリッジモジュール355は、イーサネット(登録商標)ハブ370を利用して3台の端末(161〜163)と接続するため、ブリッジモジュール355は1つのイーサネット(登録商標)ポートを備えればよい。イーサネット(登録商標)の上ではTCP/IPの通信も確立されている。図24では、端末とブリッジモジュールが1つのイーサネット(登録商標)ハブを介して接続されているが、複数のハブを挟んでいたり、ルータを挟んでいたり、インターネットを介して接続されていてもよい。
図25は、本実施形態の情報転送システムの機能部を説明する図である。図25では、ほとんどの機能部の記載を省略し、本実施形態の説明に関係する機能部のみ表現している。本実施形態の情報転送システムは、図24の物理的な接続状態の上でVPN(仮想プライベートネットワーク)をブリッジモジュール355と端末(161〜163)の間で一対一に構築し、これを仮想的なインターフェースとする。
ブリッジモジュール355のVPN構築部320と各端末(161〜163)のVPN構築部120と間に一対一で仮想的な接続(VPNインターフェース通信路)50が形成される。このVPNインターフェース通信路50を通して、送信認証情報や転送データの送受信が行われる。VPNインターフェース通信路50を通過する情報は暗号化され、通信内容を傍受することができないようになっている。さらに、VPN構築部320とVPN構築部120は定期的にKeep−Aliveを送信し合ってVPNインターフェースの接続が保たれていることを確認する。端末側のVPN構築部120で接続状態が変化した場合、その変化が端末接続状態判定部318により検出される。
上記の様に仮想的なインターフェースを利用することで、物理的なインターフェースポートを1つ用意するだけで、2台以上の接続に対応することができる。
[付記]
・用語の定義
「転送データ」:端末間で転送される「印刷データ」と「ファイルデータ」をまとめた表現である。
「情報」:上記転送データ以外に端末とブリッジモジュールとの間、もしくはブリッジモジュール内で送受信される情報。例えば、認証情報、端末情報、ユーザ情報、転送制約情報である。
「外部情報」:端末情報とユーザ情報の少なくとも一方の情報である。
「ポリシー情報」:転送制約情報と同じ意味である。
・用語の定義
「転送データ」:端末間で転送される「印刷データ」と「ファイルデータ」をまとめた表現である。
「情報」:上記転送データ以外に端末とブリッジモジュールとの間、もしくはブリッジモジュール内で送受信される情報。例えば、認証情報、端末情報、ユーザ情報、転送制約情報である。
「外部情報」:端末情報とユーザ情報の少なくとも一方の情報である。
「ポリシー情報」:転送制約情報と同じ意味である。
・本発明の特徴
特許文献1の機能に加えて、ポリシー情報に端末情報とユーザ情報を含める。データの送信時と受信時には、端末認証とユーザ認証を行う。そして、認証の成否はポリシーの情報を基に判定し、端末・ユーザの組ごとに転送制約を変更できるようにする。
特許文献1の機能に加えて、ポリシー情報に端末情報とユーザ情報を含める。データの送信時と受信時には、端末認証とユーザ認証を行う。そして、認証の成否はポリシーの情報を基に判定し、端末・ユーザの組ごとに転送制約を変更できるようにする。
151、152:送信端末
153〜156、161〜162:端末
251、252:受信端末
351〜355:ブリッジモジュール(情報転送装置)
370:イーサネット(登録商標)ハブ
101:プリンタドライバ
102:転送情報送信部
103:アプリ情報送信部
104:ファイル読込機能部
105:送信認証部
105a:送受信認証部
106:転送情報管理部
120:VPN構築部
201:受信認証部
301:ポリシー保持部
303:アプリ情報受信部
304:ポリシー選定部
306:リアルタイムクロック
308:転送情報受信部
311:転送情報保持部
313:アプリ情報解析部
314:送信認証管理部
314a:送受信認証管理部
315:フィルタ部
317:受信認証管理部
318:端末接続状態判定部
320:VPN構築部
153〜156、161〜162:端末
251、252:受信端末
351〜355:ブリッジモジュール(情報転送装置)
370:イーサネット(登録商標)ハブ
101:プリンタドライバ
102:転送情報送信部
103:アプリ情報送信部
104:ファイル読込機能部
105:送信認証部
105a:送受信認証部
106:転送情報管理部
120:VPN構築部
201:受信認証部
301:ポリシー保持部
303:アプリ情報受信部
304:ポリシー選定部
306:リアルタイムクロック
308:転送情報受信部
311:転送情報保持部
313:アプリ情報解析部
314:送信認証管理部
314a:送受信認証管理部
315:フィルタ部
317:受信認証管理部
318:端末接続状態判定部
320:VPN構築部
Claims (6)
- 複数のコンピュータ間での電子情報の転送を制約するセキュリティポリシーに従って実行する情報転送装置であって、
転送対象である電子情報を転送する転送手段と、
前記コンピュータを識別する端末情報と前記コンピュータを使用するユーザを識別するユーザ情報の少なくとも一方である外部情報を保持するとともに、及び前記セキュリティポリシーを前記外部情報と関連付けて保持するポリシー保持手段と、
送信側の前記コンピュータから前記電子情報とともに前記外部情報を取得し、取得した前記外部情報に対応する前記セキュリティーポリシーが前記ポリシー保持手段に保持されている場合に前記外部情報を送信認証として認証し、前記外部情報にする対応する前記セキュリティーポリシーを前記ポリシー保持手段から選択して記憶した後、
受信側の前記コンピュータの端末情報とユーザ情報を取得し、取得した前記端末情報と前記ユーザ情報に対応する前記セキュリティーポリシーが前記ポリシー保持手段に保持され、且つ記憶している前記セキュリティーポリシーと一致している場合に取得した前記端末情報と前記ユーザ情報を受信認証として認証し、
該セキュリティポリシーに基づいて前記電子情報の転送可否を判定して前記転送手段に指示する判定手段と、
を備える情報転送装置。 - 前記電子情報が送信側の前記コンピュータのプリンタドライバで生成された印刷データの場合に送信側の前記コンピュータから前記印刷データに係る追加情報をアプリ情報として取得し、前記電子情報が送信側の前記コンピュータの記憶部に保存されるファイルデータの場合に前記ファイルデータのファイル種別をアプリ情報として取得するアプリ情報取得手段
をさらに備え、
前記判定手段は、前記セキュリティポリシーの他に前記アプリ情報取得手段で取得した前記アプリ情報も電子情報の転送可否の判定に使用する
ことを特徴とする請求項1に記載の情報転送装置。 - 前記電子情報の送信側と受信側の前記コンピュータとの接続を監視し、前記コンピュータのいずれか一方との接続が切断されたとき、前記転送手段に存在する前記電子情報を削除する指示し、前記電子情報の送信側と受信側の前記外部情報の認証を解除する接続状態判定手段
をさらに備えることを特徴とする請求項1又は2に記載の情報転送装置。 - 前記転送手段は、前記電子情報を双方向に転送可能とすることを特徴とする請求項1から3のいずれかに記載の情報転送装置。
- 前記複数のコンピュータとの間で仮想プライベートネットワーク(VPN)を構築し、前記外部情報を前記VPNを介して前記判定手段へ通知し、前記転送手段と前記コンピュータとの間を前記VPNを介して前記電子情報を転送するVPN構築手段をさらに備えることを特徴とする請求項1から4のいずれかに記載の情報転送装置。
- 複数のコンピュータ間での電子情報の転送を制約するセキュリティポリシーに従って実行する情報転送方法であって、
転送対象である電子情報を転送する転送手順と、
前記コンピュータを識別する端末情報と前記コンピュータを使用するユーザを識別するユーザ情報の少なくとも一方である外部情報を保持するとともに、及び前記セキュリティポリシーを前記外部情報と関連付けて保持するポリシー保持手順と、
送信側の前記コンピュータから前記電子情報とともに前記外部情報を取得し、取得した前記外部情報に対応する前記セキュリティーポリシーが前記ポリシー保持手段に保持されている場合に前記外部情報を送信認証として認証し、前記外部情報にする対応する前記セキュリティーポリシーを前記ポリシー保持手段から選択して記憶した後、
受信側の前記コンピュータの端末情報とユーザ情報を取得し、取得した前記端末情報と前記ユーザ情報に対応する前記セキュリティーポリシーが前記ポリシー保持手段に保持され、且つ記憶している前記セキュリティーポリシーと一致している場合に取得した前記端末情報と前記ユーザ情報を受信認証として認証し、
該セキュリティポリシーに基づいて前記電子情報の転送可否を判定して前記転送手順に適用する判定手順と、
を備える情報転送方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014158094A JP5905936B2 (ja) | 2014-08-01 | 2014-08-01 | 情報転送装置及び情報転送方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2014158094A JP5905936B2 (ja) | 2014-08-01 | 2014-08-01 | 情報転送装置及び情報転送方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2016036079A JP2016036079A (ja) | 2016-03-17 |
| JP5905936B2 true JP5905936B2 (ja) | 2016-04-20 |
Family
ID=55523716
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2014158094A Active JP5905936B2 (ja) | 2014-08-01 | 2014-08-01 | 情報転送装置及び情報転送方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP5905936B2 (ja) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US11019106B1 (en) | 2020-09-22 | 2021-05-25 | Netskope, Inc. | Remotely accessed controlled contained environment |
Family Cites Families (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2012070225A (ja) * | 2010-09-24 | 2012-04-05 | Hitachi Cable Ltd | ネットワーク中継装置及び転送制御システム |
| JP5757527B2 (ja) * | 2011-11-22 | 2015-07-29 | 日本電信電話株式会社 | 情報転送装置および情報転送方法 |
-
2014
- 2014-08-01 JP JP2014158094A patent/JP5905936B2/ja active Active
Also Published As
| Publication number | Publication date |
|---|---|
| JP2016036079A (ja) | 2016-03-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CA2525249C (en) | Distributed filesystem network security extension | |
| JP6000567B2 (ja) | 画像形成装置、画像形成装置の制御方法、及びプログラム | |
| US7461135B2 (en) | Computer and access control method in a computer | |
| EP2744251A1 (en) | Network system, mobile communication device and program | |
| US8654367B2 (en) | Image forming apparatus, method for controlling the same, and storage medium | |
| JP2009194441A (ja) | ネットワーク機器及びその制御方法、プログラム、記憶媒体 | |
| JP2014164592A (ja) | 印刷システム、印刷システムの制御方法およびコンピュータプログラム | |
| JP6812171B2 (ja) | ネットワークシステム、および、ネットワークシステムにおける制御方法 | |
| US8259324B2 (en) | Printer/storage integrate system, controller, control method, and control program for automatic installation of control software | |
| KR100875964B1 (ko) | 네트워크 스토리지 시스템 | |
| JP5905936B2 (ja) | 情報転送装置及び情報転送方法 | |
| JP4720959B2 (ja) | デバイス管理システム | |
| US11188277B2 (en) | Printing apparatus that supports a tenant of cloud computing | |
| US9977632B2 (en) | Apparatus and method for processing information on file or job | |
| JP2008258846A (ja) | イーサネットスイッチ及びリモートキャプチャシステム | |
| JP7073820B2 (ja) | 仲介装置、機器監視システム、仲介方法 | |
| JP2013239067A (ja) | 認証システム | |
| JP6021651B2 (ja) | 管理システム、管理方法およびコンピュータプログラム | |
| JP2007258806A (ja) | サーバ装置および通信システム | |
| JP2008090702A (ja) | 計算機、計算機システム | |
| JP6179529B2 (ja) | ファイル管理装置、画像形成装置、ファイル管理方法、およびファイル管理プログラム | |
| JP6942628B2 (ja) | 情報管理システム、および、端末認証方法 | |
| CN111884837A (zh) | 虚拟加密机的迁移方法、装置及计算机存储介质 | |
| JP7172324B2 (ja) | 中継装置、システム、および方法 | |
| JP6407610B2 (ja) | ネットワーク装置、及び、通信方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20160105 |
|
| A521 | Written amendment |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20160229 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20160315 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20160317 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 5905936 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 |