JP7391802B2 - 情報処理装置、情報処理方法及びコンピュータプログラム - Google Patents
情報処理装置、情報処理方法及びコンピュータプログラム Download PDFInfo
- Publication number
- JP7391802B2 JP7391802B2 JP2020153265A JP2020153265A JP7391802B2 JP 7391802 B2 JP7391802 B2 JP 7391802B2 JP 2020153265 A JP2020153265 A JP 2020153265A JP 2020153265 A JP2020153265 A JP 2020153265A JP 7391802 B2 JP7391802 B2 JP 7391802B2
- Authority
- JP
- Japan
- Prior art keywords
- environment
- data
- information
- data range
- access
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 230000010365 information processing Effects 0.000 title claims description 24
- 238000004590 computer program Methods 0.000 title claims description 4
- 238000003672 processing method Methods 0.000 title claims description 4
- 238000000034 method Methods 0.000 claims description 512
- 230000008569 process Effects 0.000 claims description 487
- 238000012795 verification Methods 0.000 claims description 64
- 238000001514 detection method Methods 0.000 claims description 42
- 230000004913 activation Effects 0.000 claims description 16
- 238000006243 chemical reaction Methods 0.000 claims description 9
- 230000007613 environmental effect Effects 0.000 claims description 2
- 238000012545 processing Methods 0.000 description 27
- 238000001994 activation Methods 0.000 description 18
- 230000006870 function Effects 0.000 description 16
- 238000010586 diagram Methods 0.000 description 15
- 244000035744 Hura crepitans Species 0.000 description 12
- 230000004048 modification Effects 0.000 description 11
- 238000012986 modification Methods 0.000 description 11
- 238000005516 engineering process Methods 0.000 description 4
- 238000012360 testing method Methods 0.000 description 4
- 230000008859 change Effects 0.000 description 2
- 238000004891 communication Methods 0.000 description 2
- 230000006399 behavior Effects 0.000 description 1
- 230000000295 complement effect Effects 0.000 description 1
- 239000000470 constituent Substances 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 230000008685 targeting Effects 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/54—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by adding security routines or objects to programs
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/64—Protecting data integrity, e.g. using checksums, certificates or signatures
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2149—Restricted operating environment
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- General Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Databases & Information Systems (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Storage Device Security (AREA)
Description
図1は本実施形態に係るホストシステム1の内部構成の一例を示す図である。ホストシステム1内には複数の環境(環境1及び環境2)と、CPU(Central Processing Unit)によってOS(Operating System)上で実行されるプログラムD(プロセスD)と、アクセス制御装置11と、記憶装置12(記憶部)とが設けられている。プログラムの実行単位のことをプロセスと呼び、以下ではプログラムDのことをプロセスDとも呼ぶ。
図2は、本実施形態に係るホストシステム1の内部構成の他の例を示す図である。図1のプログラムA~Dが、装置A~Dに置き代わっている。また、アクセス制御装置11が環境3内に設けられている。装置Aは環境1内で実行され、装置B、Cは環境2内で実行され、装置Dはホストシステム1上で直接動作する。アクセス制御装置11は環境3内で動作する。装置A~D、アクセス制御装置11は、有線又は無線の通信ネットワークを介して接続されてもよいし、通信バスを介して接続されてもよい。
(5)アクセス要求を行ったプロセス(第2プロセス)が、当該プロセスの環境を起動したプロセス(第1プロセス)と子孫関係にある場合に、照合を行うことを決定してもよい。子孫関係にある場合、アクセス要求先のファイルの位置情報は、当該プロセスの環境から参照可能なデータ範囲(照合対象となるデータ範囲あるいは第1データ範囲)に含まれる。
第1の実施形態ではファイルのアクセス要求の発生時に毎回、アクセス要求を行ったプロセスの親プロセスをたどり、当該プロセスの環境を起動したプロセスのプロセスID及びルートディレクトリパスを得ていた。この処理はオーバーヘッドが高いため、本変形例ではこのオーバーヘッドを低減する。
本実施形態では、起動した環境から、さらに別の環境を起動する場合を扱う。これにより環境を多重に起動する場合にも対処可能になる。
11 アクセス制御装置
12 記憶装置
21 環境起動検知部
22 プロセス関係判定部
23 アクセス検知部
24 照合要否判定部(判定部)
25 パス変換部(変換部)
26 リスト照合部
27 アクセス制御部
31 プロセス起動検知部
32 ルートディレクトリ取得部(データ範囲取得部)
34 ホストパス取得部(データ範囲情報取得部)
35 プロセス終了検知部
Claims (17)
- 対象データへのアクセス要求を検知するアクセス検知部と、
前記対象データの位置情報と、照合対象となるデータ範囲とに基づいて、前記対象データへのアクセスが許可されるか否かの情報との照合の要否を判定する判定部と、
第1環境の起動を検知し、前記第1環境から参照可能なデータ範囲の情報を取得する環境起動検知部と、を備え、
前記照合対象となるデータ範囲は、前記第1環境から参照可能な第1データ範囲である
情報処理装置。 - 前記判定部は、前記位置情報が前記照合対象となるデータ範囲に含まれる場合に前記照合を行うことを決定する
請求項1に記載の情報処理装置。 - 前記第1環境は第1プロセスにより起動され、
前記対象データへのアクセス要求は第2プロセスにより生成され、
前記判定部は、前記第2プロセスが前記第1プロセスと子孫関係にある場合に、前記照合を行うことを決定する
請求項1に記載の情報処理装置。 - 対象データへのアクセス要求を検知するアクセス検知部と、
前記対象データの位置情報と、照合対象となるデータ範囲とに基づいて、前記対象データへのアクセスが許可されるか否かの情報との照合の要否を判定する判定部と、を備え、
前記照合対象となるデータ範囲は、セキュリティ機能に関する第3プロセスから参照可能な第2データ範囲である
情報処理装置。 - 前記対象データへのアクセス要求は第2プロセスにより生成され、
前記判定部は、前記第2プロセスが、前記第3プロセスと子孫関係にある場合に、前記照合を行うことを決定する
請求項4に記載の情報処理装置。 - 前記対象データへのアクセス要求は第2プロセスにより生成され、
前記判定部は、前記第3プロセスが、前記第2プロセスと同じ環境内に存在する場合に、前記照合を行うことを決定する
請求項4に記載の情報処理装置。 - 第1環境の起動を検知し、前記第1環境から参照可能な第1データ範囲の情報を取得する環境起動検知部を備え、
前記第1環境は第1プロセスにより起動され、
前記第3プロセスが前記第1プロセスと子孫関係にある場合に、前記第1データ範囲の情報に基づき、前記対象データの位置情報を前記第3プロセスから参照可能な形式に変換する変換部
を備えた請求項4~6のいずれか一項に記載の情報処理装置。 - 前記照合は、前記対象データの変換後の位置情報が、前記アクセスが許可されている又は許可されていないデータの位置情報を含むリストに合致するかを判断する処理である
請求項7に記載の情報処理装置。 - 前記対象データの位置情報は、階層構造の第1パスで表され、
前記第2データ範囲は、階層構造の第2パスで表され、
前記変換部は、前記第1パスと前記第2パスとの間で最上位の階層から連続して一致するパス部分を前記第1パスから削除することにより、前記対象データの位置情報を変換する
請求項7又は8に記載の情報処理装置。 - 前記対象データへのアクセス要求は、第2プロセスにより生成され、
環境内におけるプロセスの起動を検知し、検知した前記プロセスを、前記環境を起動したプロセスである第4プロセスに関連付けたプロセス関連データを生成する、プロセス起動検知部と、
前記第4プロセスと、前記第4プロセスが起動した前記環境から参照可能なデータ範囲とを対応付けた環境データと、
前記プロセス関連データにおいて、前記第2プロセスに関連付けられた前記第4プロセスを特定し、前記環境データにおいて、前記第4プロセスに対応する前記データ範囲を前記第1データ範囲とするデータ範囲取得部と
を備えた請求項1、3、7~9のいずれか一項に記載の情報処理装置。 - 前記対象データへのアクセス要求は、第2プロセスにより生成され、
環境内におけるプロセスの起動を検知し、検知した前記プロセスを、前記環境から参照可能なデータ範囲に関連付けたプロセス関連データを生成する、プロセス起動検知部と、
前記プロセス関連データにおいて前記第2プロセスに関連付けられたデータ範囲を前記第1データ範囲とするデータ範囲取得部と
を備えた請求項1、3、7~9のいずれか一項に記載の情報処理装置。 - 前記環境起動検知部は、第2環境内において前記第1環境の起動を検知し、前記第1データ範囲の情報を取得し、前記第1データ範囲の情報は前記第2環境からの視点で前記第1データ範囲を定義しており、
前記第1データ範囲の情報と、前記第2環境から参照可能な第3データ範囲の情報とに基づき、前記第2環境が設けられているシステムからの視点で前記第1データ範囲を定義したデータ範囲情報を取得するデータ範囲情報取得部
を備えた請求項1、3、7~11のいずれか一項に記載の情報処理装置。 - 前記第1データ範囲の情報を記憶する記憶部と、
前記第1環境を起動した第1プロセス及び前記第1プロセスの子孫関係にあるプロセスがすべて終了しているか否かを検査し、前記第1プロセス及び前記第1プロセスの子孫関係にあるプロセスがすべて終了している場合は、前記記憶部から前記第1データ範囲の情報を消去するプロセス終了検知部と
を備えた請求項1、3、7~12のいずれか一項に記載の情報処理装置。 - 前記判定部により前記照合を行うことが決定された場合に、前記照合を行う照合部
を備えた請求項1~13のいずれか一項に記載の情報処理装置。 - 前記照合部は、前記対象データに関する第1情報が、前記アクセスを許可されている又は許可されていないデータに関する情報のリストに含まれているか否かを判断する
請求項14に記載の情報処理装置。 - 対象データへのアクセス要求を検知し、
前記対象データの位置情報と、照合対象となるデータ範囲とに基づいて、前記対象データへのアクセスが許可されるか否かの情報との照合の要否を判定し、
第1環境の起動を検知し、前記第1環境から参照可能なデータ範囲の情報を取得し、
前記照合対象となるデータ範囲は、前記第1環境から参照可能な第1データ範囲である
情報処理方法。 - 対象データへのアクセス要求を検知するステップと、
前記対象データの位置情報と、照合対象となるデータ範囲とに基づいて、前記対象データへのアクセスが許可されるか否かの情報との照合の要否を判定するステップと、
第1環境の起動を検知し、前記第1環境から参照可能なデータ範囲の情報を取得するステップと、をコンピュータに実行させ、
前記照合対象となるデータ範囲は、前記第1環境から参照可能な第1データ範囲である
コンピュータプログラム。
Priority Applications (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2020153265A JP7391802B2 (ja) | 2020-09-11 | 2020-09-11 | 情報処理装置、情報処理方法及びコンピュータプログラム |
US17/249,323 US11714896B2 (en) | 2020-09-11 | 2021-02-26 | Information processing apparatus, information processing method, and computer program |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
JP2020153265A JP7391802B2 (ja) | 2020-09-11 | 2020-09-11 | 情報処理装置、情報処理方法及びコンピュータプログラム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2022047380A JP2022047380A (ja) | 2022-03-24 |
JP7391802B2 true JP7391802B2 (ja) | 2023-12-05 |
Family
ID=80627886
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2020153265A Active JP7391802B2 (ja) | 2020-09-11 | 2020-09-11 | 情報処理装置、情報処理方法及びコンピュータプログラム |
Country Status (2)
Country | Link |
---|---|
US (1) | US11714896B2 (ja) |
JP (1) | JP7391802B2 (ja) |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20020099944A1 (en) | 2001-01-19 | 2002-07-25 | Bowlin Bradley Allen | Method and apparatus which enable a computer user to prevent unauthorized access to files stored on a computer |
JP2007249782A (ja) | 2006-03-17 | 2007-09-27 | Nifty Corp | 電子データ流出防止プログラム |
Family Cites Families (15)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7181438B1 (en) * | 1999-07-21 | 2007-02-20 | Alberti Anemometer, Llc | Database access system |
US7613930B2 (en) * | 2001-01-19 | 2009-11-03 | Trustware International Limited | Method for protecting computer programs and data from hostile code |
US7290266B2 (en) * | 2001-06-14 | 2007-10-30 | Cisco Technology, Inc. | Access control by a real-time stateful reference monitor with a state collection training mode and a lockdown mode for detecting predetermined patterns of events indicative of requests for operating system resources resulting in a decision to allow or block activity identified in a sequence of events based on a rule set defining a processing policy |
US6715085B2 (en) * | 2002-04-18 | 2004-03-30 | International Business Machines Corporation | Initializing, maintaining, updating and recovering secure operation within an integrated system employing a data access control function |
US7680758B2 (en) * | 2004-09-30 | 2010-03-16 | Citrix Systems, Inc. | Method and apparatus for isolating execution of software applications |
JP2007133452A (ja) * | 2005-11-08 | 2007-05-31 | Fujitsu Ltd | データ収集プログラムおよびデータ収集装置 |
JP5056529B2 (ja) * | 2007-03-28 | 2012-10-24 | 富士通株式会社 | アクセス制御プログラム |
JP5423063B2 (ja) | 2009-03-05 | 2014-02-19 | 日本電気株式会社 | 情報処理装置と方法とプログラム |
EP2650792A4 (en) * | 2010-12-10 | 2016-11-09 | Fujitsu Ltd | INFORMATION PROCESSING DEVICE AND PROGRAM |
US9672164B2 (en) * | 2012-05-31 | 2017-06-06 | Nxp Usa, Inc. | Methods and systems for transitioning between a user state and a supervisor state based on a next instruction fetch address |
JP6914899B2 (ja) * | 2018-09-18 | 2021-08-04 | 株式会社東芝 | 情報処理装置、情報処理方法およびプログラム |
US11151273B2 (en) * | 2018-10-08 | 2021-10-19 | Microsoft Technology Licensing, Llc | Controlling installation of unauthorized drivers on a computer system |
US11204717B2 (en) * | 2018-11-15 | 2021-12-21 | Western Digital Technologies, Inc. | Object storage system with access control quota status check |
JP7456176B2 (ja) * | 2020-02-06 | 2024-03-27 | 富士フイルムビジネスイノベーション株式会社 | ファイル管理装置およびファイル管理プログラム |
JP7399818B2 (ja) | 2020-08-11 | 2023-12-18 | 株式会社東芝 | 情報処理装置、情報処理方法、およびプログラム |
-
2020
- 2020-09-11 JP JP2020153265A patent/JP7391802B2/ja active Active
-
2021
- 2021-02-26 US US17/249,323 patent/US11714896B2/en active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20020099944A1 (en) | 2001-01-19 | 2002-07-25 | Bowlin Bradley Allen | Method and apparatus which enable a computer user to prevent unauthorized access to files stored on a computer |
JP2007249782A (ja) | 2006-03-17 | 2007-09-27 | Nifty Corp | 電子データ流出防止プログラム |
Also Published As
Publication number | Publication date |
---|---|
US11714896B2 (en) | 2023-08-01 |
JP2022047380A (ja) | 2022-03-24 |
US20220083645A1 (en) | 2022-03-17 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
KR101647487B1 (ko) | 패치파일 분석시스템과 분석방법 | |
US7725922B2 (en) | System and method for using sandboxes in a managed shell | |
US8082442B2 (en) | Securely sharing applications installed by unprivileged users | |
KR101201118B1 (ko) | 바이러스 방지 소프트웨어 어플리케이션들의 지식 베이스를모으는 시스템 및 방법 | |
JP4628149B2 (ja) | アクセス制御装置及びアクセス制御方法 | |
US8505069B1 (en) | System and method for updating authorized software | |
US20050091214A1 (en) | Internal object protection from application programs | |
RU2535506C2 (ru) | Система и способ формирования сценариев модели поведения приложений | |
EP1321844B1 (en) | Access right contradiction detection apparatus and analysis rule creation apparatus | |
WO2016079602A1 (en) | Malicious code protection for computer systems based on process modification | |
KR20110050592A (ko) | 휴대용 저장 장치를 위한 동적 파일 시스템 제약 | |
CN107609027B (zh) | 设置文件防删除标志位和防止误删除文件的方法及装置 | |
KR101223594B1 (ko) | Lkm 루트킷 검출을 통한 실시간 운영정보 백업 방법 및 그 기록매체 | |
KR20060050768A (ko) | 액세스 인가 api | |
KR101967663B1 (ko) | 인가된 프로세스의 역할 기반 접근 통제 시스템 | |
JP2007109016A (ja) | アクセスポリシ生成システム、アクセスポリシ生成方法及びアクセスポリシ生成用プログラム | |
JP7391802B2 (ja) | 情報処理装置、情報処理方法及びコンピュータプログラム | |
US20070038572A1 (en) | Method, system and computer program for metering software usage | |
CN106796644B (zh) | 访问控制系统及访问控制方法 | |
JP4444604B2 (ja) | アクセス制御装置ならびにそのプログラム | |
KR101956725B1 (ko) | 인가된 실행 파일 및 동적 라이브러리 파일 기반 서버 접근 통제 시스템 | |
RU2592383C1 (ru) | Способ формирования антивирусной записи при обнаружении вредоносного кода в оперативной памяти | |
KR101391508B1 (ko) | 저장된 파일을 보호하는 단말기 및 방법 | |
TWI802040B (zh) | 基於檔案屬性特徵之應用程式控管方法 | |
CN112115458B (zh) | 一种嵌入式自动设置和验证文件属性与权限的系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220909 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20230519 |
|
A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20230524 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230718 |
|
TRDD | Decision of grant or rejection written | ||
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20231024 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20231122 |
|
R151 | Written notification of patent or utility model registration |
Ref document number: 7391802 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R151 |