專利名稱:文件管理系統(tǒng)及方法、以及便攜終端裝置的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及文件管理系統(tǒng)及方法、以及便攜終端裝置,例如涉及處于在用 戶終端裝置中不能利用通信功能的環(huán)境、并且不能將生成的機密文件保存在文 件服務(wù)器時,安全地保管數(shù)據(jù)的方法。
背景技術(shù):
目前,在用戶終端的二次存儲裝置中保存機密文件時,通過對文件進行加 密來限制機密數(shù)據(jù)的提取。在該方式中,即使提取了文件,也由于進行了加密,
因而不能提取信息本身。例如,在專利丈獻l中,在os的文件i/o處理中自
動地進行加密.解密處理,由此實現(xiàn)了對用戶來說便利性高的自動文件加密系 統(tǒng)。而且,可以通過進行對外部存儲介質(zhì)或打印機的訪問控制來進行機密文件 編輯,并且防止信息泄漏。
專利文獻1:特開平11-149414號7>報
發(fā)明內(nèi)容
但是,有些人認為,在例如移動PC中對顧客信息等機密數(shù)據(jù)進行加密后 保存,在丟失了該機密數(shù)據(jù)時由于已加密所以不存在機密信息被泄漏的危險 性,但是在社會上不認可這一觀點,這是最近的潮流。因此,即使如專利文獻 1中的記載對文件進行了加密,在丟失了個人信息時必須向客戶道歉,并且有 向檢察廳報告或公開的義務(wù),機密信息的丟失事故成為比較大的問題。
本發(fā)明是鑒于這樣的狀況而提出的,提供不存在丟失機密數(shù)據(jù)的可能性, 能夠安全地保管機密數(shù)據(jù)的方法。
為了解決上述課題,在本發(fā)明中,在從用戶終端裝置(例如PC等)向便 攜終端裝置(例如便攜電話)存儲機密數(shù)據(jù)時,在用戶終端裝置與便攜終端裝 置之間進行認證來確認是否是正當設(shè)備。然后,由存儲器訪問控制驅(qū)動器捕捉 通過便攜終端裝置內(nèi)的任意應(yīng)用程序(包含用于將機密數(shù)據(jù)存儲在存儲器的文 件管理用進程)對便攜終端裝置內(nèi)的非易失性存儲器的輸入輸出請求,并限制
來自除了向非易失性存儲器內(nèi)的指定文件夾的文件管理用進程以外的進程的 訪問,只有文件管理用進程能夠訪問機密數(shù)據(jù)。由此,保護保存在非易失性存 儲器內(nèi)的指定文件夾中的數(shù)據(jù)。
即本發(fā)明的文件管理系統(tǒng)具有用戶終端裝置與^1攜終端裝置,在用戶終端 裝置與便攜終端裝置之間進行機密文件的傳送,并且,用戶終端裝置具有文件 傳送控制單元,該文件傳送控制單元對便攜終端裝置進行訪問請求,并執(zhí)行機
密文件的傳送。此外,便攜終端裝置具有文件管理單元,其應(yīng)答來自文件傳
送控制單元的訪問請求,執(zhí)行對用戶終端裝置的認證,當認證成功時,為了將 從文件傳送控制單元傳送來的機密文件存儲在存儲器(例如非易失性存儲器)
其應(yīng)答向存儲器的訪問請求,僅在訪問源是文件管理單元時,允許機密文件被 存儲在存儲器中。
而且,該文件管理系統(tǒng)具有與便攜終端裝置連接的遠程刪除控制單元, 該遠程刪除控制單元用于請求刪除在便攜終端裝置的存儲器中存儲的機密文 件。另外,便攜終端裝置中的文件管理單元應(yīng)答來自遠程刪除控制單元的文件 刪除請求而刪除存儲在存儲器中的機密文件。刪除動作結(jié)束后,向遠程刪除控 制單元通知刪除結(jié)束。
此外,用戶終端裝置中的文件傳送控制單元向^^攜終端裝置的文件管理單 元發(fā)出用于將存儲在便攜終端裝置的存儲器中的機密文件傳送到用戶終端裝 置的傳送請求時,文件管理單元應(yīng)答該傳送請求而從存儲器取得機密文件,并 將其發(fā)送給文件傳送控制單元。
本發(fā)明還提供在本文件管理系統(tǒng)中使用的便攜終端裝置。該便攜終端裝置 在與用戶終端裝置之間進行機密文件的收發(fā),該便攜終端裝置具有文件管理 單元,其應(yīng)答來自用戶終端裝置的訪問請求,執(zhí)行對用戶終端裝置的認證,當 認證成功時,為了將從用戶終端裝置傳送來的機密文件存儲在存儲器中,請求 向存儲器的訪問;以及存儲器訪問控制單元,其應(yīng)答向存儲器的訪問請求,僅 在訪問源是文件管理單元時,允許機密文件被存儲在存儲器中。
本發(fā)明的特征由以下的用于實施本發(fā)明的最佳實施方式以及附圖而變得 更加明確。
圖1是表示本發(fā)明的第一實施方式的文件管理系統(tǒng)的概略結(jié)構(gòu)的圖。 圖2是用于說明從用戶終端向便攜電話復(fù)制機密數(shù)據(jù)的處理的流程圖。 圖3是用于說明由便攜管理服務(wù)器遠程刪除便攜電話內(nèi)的機密數(shù)據(jù)的處 理的流程圖。
圖4是表示便攜管理服務(wù)器的管理頁面畫面的圖。
圖5是用于說明針對便攜電話內(nèi)應(yīng)用程序向機密數(shù)據(jù)的訪問的控制處理
的流程圖。
圖6是表示本發(fā)明的第二實施方式的文件管理系統(tǒng)的概略結(jié)構(gòu)的圖。 圖7是用于說明用戶終端訪問便攜電話內(nèi)的機密數(shù)據(jù)時的處理的流程圖。 符號說明
100- 文件服務(wù)器
101- 用戶終端
102- 便攜電話
103- 便攜管理服務(wù)器
104- 因特網(wǎng)
105- USB電纜
106- 電話線路網(wǎng)
107- OS
108- 應(yīng)用程序
109- 文件傳送客戶機
110- 外部介質(zhì)寫入控制驅(qū)動器
111 -二次存儲裝置寫入控制驅(qū)動器
113- 文件管理服務(wù)
114- 存儲器訪問控制驅(qū)動器
115- 機密數(shù)據(jù)
116- 存儲用存儲器
117- 管理頁面
118- Web服務(wù)器
119- 遠程刪除服務(wù)
120- 二次存儲裝置
m-存儲器(高速緩存器)
具體實施例方式
以下參照
本發(fā)明的實施方式。但是,應(yīng)注意本實施方式只不過是 用于實現(xiàn)本發(fā)明的一例子,并不限定本發(fā)明。
如上所述,由于機密信息的丟失事故成為較大的問題,因此在移動PC等 存在丟失的危險性的PC中,允許利用 閱覽機密信息,但不希望保存機密信
息,這樣的需求比較大。但是,如專利文獻l中記載的自動文件加密系統(tǒng)中不 能滿足該需求。
因此,本申請人為了滿足該需求,設(shè)計了以下系統(tǒng)并申請了專利(專利申
請2006-238574 ),該系統(tǒng)中以軟件的形式安裝了不允許用戶終端的一切數(shù)據(jù)保 存、并禁止向外部存儲介質(zhì)復(fù)制數(shù)據(jù)或印刷數(shù)據(jù)的功能,使位于網(wǎng)絡(luò)側(cè)的文件 服務(wù)器保管新生成的機密數(shù)據(jù),由此防止機密數(shù)據(jù)的泄漏'丟失、并集約文件 服務(wù)器。
但是,作為該系統(tǒng)的較大課題,存在在辦公室以外等不能利用通信的環(huán)境 下無法訪問網(wǎng)絡(luò)側(cè)的文件服務(wù)器、不能利用機密數(shù)據(jù)的問題。
根據(jù)本實施方式的系統(tǒng),即使是不能利用通信、且不能訪問文件服務(wù)器的 環(huán)境下,也不存在丟失生成的機密數(shù)據(jù)的可能性、能夠安全地保管生成的機密 數(shù)據(jù)。
<第一實施方式> (1)數(shù)據(jù)管理系統(tǒng)的結(jié)構(gòu)
圖1是表示本發(fā)明的第一實施方式的數(shù)據(jù)管理系統(tǒng)的概略結(jié)構(gòu)的圖。如圖 1所示,數(shù)據(jù)管理系統(tǒng)具有文件服務(wù)器100、用戶終端101、便攜電話(不限 于便攜電話,也可以是具有通信功能的PDA等便攜終端)102以及便攜管理 服務(wù)器103。此外,文件服務(wù)器100與用戶終端101經(jīng)由因特網(wǎng)104能夠進行 通信,而且便攜電話102與便攜管理服務(wù)器103經(jīng)由無線電話線路網(wǎng)106能夠 進行通信。
處于可以使用因特網(wǎng)104的環(huán)境下時,用戶終端101可以利用與文件服務(wù)
器100的通信來管理機密數(shù)據(jù),而處于不能使用因特網(wǎng)104的環(huán)境下時,可以 利用便攜電話102來管理機密數(shù)據(jù)。由于能夠利用便攜電話來管理機密數(shù)據(jù), 因此在用戶終端101與便攜終端102之間通過連接USB電纜能夠進行串行通 信。
用戶終端101具有二次存儲裝置120、高速緩存器121、根據(jù)未圖示的CPU 或MPU等處理控制部的控制來在OS107上動作的應(yīng)用程序動作部108、文件 傳送客戶機109、外部介質(zhì)寫入控制驅(qū)動器110以及二次存儲裝置寫入控制驅(qū) 動器111。
應(yīng)用程序動作部108啟動各種應(yīng)用程序并使其動作。外部介質(zhì)寫入控制驅(qū) 動器110禁止對USB存儲器或外帶硬盤等外部存儲介質(zhì)的寫入以及對打印機 的輸出。此外,二次存儲裝置寫入控制驅(qū)動器111監(jiān)視OS對二次存儲裝置120 的I/0請求,允許從二次存儲裝置120讀取數(shù)據(jù),但是禁止寫入數(shù)據(jù)。具體地 說,在寫入時,將寫入數(shù)據(jù)高速緩存(cache)到存儲器121,在讀取時,針對 從二次存儲裝置120讀取的數(shù)據(jù),覆蓋已經(jīng)高速緩存到存儲器121內(nèi)的數(shù)據(jù)中 的、與讀取數(shù)據(jù)重疊的部分后傳送到OS。由此虛擬地(看起來)實現(xiàn)向二次 存儲裝置120的寫入,但實際上寫入數(shù)據(jù)完全沒有反映到二次存儲裝置120, 關(guān)掉(OFF)電源時寫入數(shù)據(jù)被清除。通過該兩個驅(qū)動器,在用戶終端101中 生成的機密數(shù)據(jù)不能輸出到外部,并且一律不能保存到二次存儲裝置120。因 此,不能從該用戶終端101提取機密數(shù)據(jù),即使丟失了終端,由于完全沒有保 存機密數(shù)據(jù),因而也不成為機密數(shù)據(jù)的丟失事故。但是,若不能保存生成的數(shù) 據(jù),會帶來不便,因此通常做成將在用戶終端101生成的機密數(shù)據(jù)經(jīng)由因特網(wǎng) 104能夠保存到文件服務(wù)器100中。以上是也記載在在先申請的專利申請 2006-238574中的內(nèi)容。
但是,假設(shè)在辦公室以外不能進行通信,此時不能訪問文件服務(wù)器100, 因而存在不能保存生成的數(shù)據(jù)的問題。作為該問題的解決方法,做成能夠經(jīng)由 USB電纜105將數(shù)據(jù)保存在內(nèi)置于便攜電話102的存儲用存儲器116中。
為了實現(xiàn)該動作,便攜電話102具有存儲機密數(shù)據(jù)115等的存儲用存儲器 (例如非易失性存儲器)116、按照未圖示的便攜電話的CPU或者MPU等處 理控制部的控制來在便攜電話的OS上動作的應(yīng)用程序動作部112、文件管理
服務(wù)113以及存儲器訪問控制驅(qū)動器114。
用戶終端101與^_攜電話102經(jīng)由USB電纜105而連接,用戶向用戶終 端101指示在便攜電話102中保存機密數(shù)據(jù)時,位于用戶終端101的文件傳送 客戶機109經(jīng)由USB電纜105訪問便攜電話102內(nèi)部的文件管理服務(wù)113, 并傳送機密數(shù)據(jù)。此時,存儲器訪問控制驅(qū)動器114監(jiān)視對存儲用存儲器116 的I/O,禁止文件管理月良務(wù)113以外的進程(process)對機密數(shù)據(jù)115的訪問。 即只有文件管理服務(wù)113能夠?qū)C密數(shù)據(jù)115進行處理。由此,能夠禁止不正 當用戶利用^更攜電話102內(nèi)部的Web游覽器或者郵件軟件等應(yīng)用程序112來 訪問機密數(shù)據(jù)并向便攜電話的外部泄漏數(shù)據(jù)的行為。假設(shè)在保存機密數(shù)據(jù)115 的狀態(tài)下丟失了便攜電話102時,系統(tǒng)管理者能夠利用便攜管理服務(wù)器103 的遠程刪除服務(wù)119、并使用電話線路網(wǎng)106來訪問丟失的便攜電話102,并 向文件管理服務(wù)113發(fā)布清除命令,以刪除位于內(nèi)部的機密數(shù)據(jù)115,由此能 夠禁止上述不正當行為(在后面詳細說明清除動作)。通過具有該功能,在丟 失了便攜電話時,也能夠防止丟失已保存的機密數(shù)據(jù)。清除結(jié)束后,由文件管 理服務(wù)113將清除的文件的目錄與文件刪除結(jié)束通知一并發(fā)送到便攜管理服 務(wù)器119的遠程刪除服務(wù)。因此,管理者可以知道確實已清除文件。管理者可 以在管理頁面117上操作遠程刪除服務(wù),并且能夠閱覽遠程刪除后的刪除的文 件目錄。
(2)機密數(shù)據(jù)的復(fù)制處理
圖2是用于說明從用戶終端101向便攜電話102復(fù)制機密數(shù)據(jù)115時的處 理的流程圖。
首先,文件傳送客戶機109啟動時進行啟動檢查處理(步驟S200)。在該
啟動檢查中確認在用戶終端中正在執(zhí)行二次存儲裝置寫入控制驅(qū)動器111的 功能,還確認在已有機密信息丟失 泄漏對策的用戶終端(PC)中正在執(zhí)行 文件傳送客戶機109的功能。接著,文件傳送客戶機109對文件管理服務(wù)113 進行訪問(步驟S201)。例如,以詢問 響應(yīng)方式進行后述的相互認證時,從 文件傳送客戶機109向文件管理服務(wù)113發(fā)送稱為詢問的規(guī)定的值(加密密 鑰),實現(xiàn)步驟S201的訪問。之后,文件管理服務(wù)113與文件傳送客戶機109 相互進行認證(步驟S202 )。該認證處理是用于確認便攜電話以及用戶終端是
否是已有機密信息丟失.泄漏對策的正當?shù)慕K端的處理。關(guān)于相互認證,例如,
文件管理服務(wù)113接受來自文件傳送客戶機109的詢問,對此進行規(guī)定的運算 處理而生成數(shù)據(jù)(響應(yīng))并將該數(shù)據(jù)回送給文件傳送客戶機109。對照該詢問 與文件傳送客戶機109自己生成的響應(yīng)來執(zhí)行認證。另一方面,文件管理服務(wù) 113也向文件傳送客戶機109發(fā)送詢問,執(zhí)行同樣的認證。這樣執(zhí)行相互認證。
文件傳送客戶機109以及文件管理服務(wù)113相互^r查認證結(jié)果(步驟 S203 ),當認證失敗時,向各自的訪問源返回錯誤信息(error)(步驟S206)。 當認證成功時,文件傳送客戶機109向文件管理服務(wù)113發(fā)送復(fù)制數(shù)據(jù)(機密 數(shù)據(jù))(步驟S204),文件管理服務(wù)113將接收到的復(fù)制數(shù)據(jù)寫入到存儲用存 儲器116 (步驟S205 )。通過進行這樣的處理來能夠只讓進行了保密對策的正 當?shù)挠脩艚K端將機密數(shù)據(jù)復(fù)制到便攜電話102的存儲用存儲器116。此外,也 能夠只讓進行了保密對策的正當?shù)挠脩艚K端101能夠訪問存儲在已有保密對 策的便攜電話102中的機密數(shù)據(jù)115。
另夕卜,在本實施方式中,用戶想要經(jīng)由因特網(wǎng)104將用戶終端101連接到 文件服務(wù)器100而失敗時,未圖示的處理控制單元(CPU等)^r測連接失敗, 在未圖示的顯示畫面上顯示表示"不能連接到文件服務(wù)器100"以及"應(yīng)經(jīng)由 USB電纜105存儲到便攜電話102"的消息。然后,可以做成,在收到該消息 后用戶經(jīng)由USB電纜105連接便攜電話102時,處理控制單元檢測與便攜電 話102的連接,執(zhí)行上述的步驟S200以后的處理。
(3 )對便攜電話內(nèi)的機密數(shù)據(jù)的遠程刪除處理
圖3是用于說明便攜管理服務(wù)器103遠程刪除便攜電話102內(nèi)的機密數(shù) 據(jù)115時的處理的流程圖。該處理用于例如在從用戶終端101將機密數(shù)據(jù)115 復(fù)制到便攜電話102、但丟失或者被盜該便攜電話102時,能夠安全地管理機 密數(shù)據(jù)115。
在圖3中,想要刪除便攜電話102內(nèi)的機密數(shù)據(jù)時,首先,系統(tǒng)管理者操 作自身的終端裝置來訪問便攜管理服務(wù)器103的管理頁面117 (步驟S300)。 之后,管理頁面117的內(nèi)容被顯示在管理者的終端的畫面上。然后,系統(tǒng)管理 者按已登錄的便攜電話目錄上的遠程刪除按鈕來指示刪除存儲在成為對象的 便攜電話102中的機密數(shù)據(jù)(步驟S301 )。
遠程刪除服務(wù)119接收該刪除指示后通過便攜電話的電話線路網(wǎng)106將遠
程刪除命令發(fā)送到位于便攜電話102內(nèi)部的文件管理服務(wù)113 (步驟S302)。 文件管理服務(wù)113接收該通知后刪除內(nèi)置于便攜電話102的存儲用存儲器116 中的全部機密數(shù)據(jù)115 (步驟S303 )。然后,將刪除的文件目錄和刪除結(jié)束時 間通知給便攜管理服務(wù)器103 (步驟S304)。最后,遠程刪除服務(wù)器119根據(jù) 遠程刪除結(jié)束通知來更新管理頁面117 (步驟S305 )。
圖4是表示便攜管理服務(wù)器103的管理頁面畫面的圖。在系統(tǒng)管理者利用 的便攜管理畫面400中有管理表,該管理表由電話號碼403、電話用戶404、 狀態(tài)405以及遠程刪除406共4個欄構(gòu)成。每個行分別與預(yù)先登錄的便攜電話 102對應(yīng)。當丟失了便攜電話102時,能夠通過按遠程刪除欄406的執(zhí)行按鈕 來發(fā)送遠程刪除命令,便攜電話102內(nèi)的文件管理服務(wù)113接收遠程刪除命令 后刪除對應(yīng)的文件。當順利地完成刪除時,從文件管理服務(wù)器113向便攜管理 服務(wù)器103發(fā)送包含刪除結(jié)束時間以及刪除的文件目錄信息的遠程刪除管理 通知。便攜管理服務(wù)器103接收遠程刪除結(jié)束通知后顯示變更了與已發(fā)布通知 的便攜電話102對應(yīng)的行的各屬性的畫面401。點擊位于狀態(tài)欄的"刪除結(jié)束" 下面的"詳細"409來顯示刪除結(jié)束明細402,該刪除結(jié)束明細402顯示刪除 結(jié)束時間407和刪除文件一覽408。通過該頁面,能夠確認確實已從便攜電話 102內(nèi)部的存儲用存儲器116刪除了機密數(shù)據(jù)115。
如以上所述,在丟失了便攜電話時基本上進行經(jīng)由電話線路網(wǎng)的遠程刪 除,但是也有可能在電波無法到達的地方丟失便攜電話,因此可以與定期進行 時限清除的選項(option)組合。作為時限清除的策略,有每天定時進行清除、 或者復(fù)制文件后經(jīng)過一定時間就進行清除等策略。由此,能夠?qū)崿F(xiàn)更加牢固的 保密。
(4)對機密數(shù)據(jù)的訪問控制處理
圖5是用于說明針對便攜電話102內(nèi)的應(yīng)用程序動作部112向機密數(shù)據(jù) 115的訪問的控制處理的流程圖。便攜電話102內(nèi)的應(yīng)用程序(112或者113) 指示打開機密數(shù)據(jù)115時(步驟S500),存儲器訪問控制驅(qū)動器114掛接文件 打開的函數(shù)的調(diào)用(步驟S501)。之后,存儲器訪問控制驅(qū)動器114比較訪問 源(112或者113 )進程的進程ID與文件管理服務(wù)113的進程ID(步驟S502 )。
當ID —致時,存儲器訪問控制驅(qū)動器114允許打開進程的機密文件(步驟
S504)。當ID不一致時,存儲器訪問控制驅(qū)動器114禁止打開進程的機密數(shù)據(jù) 115 (步驟S505 )。通過該控制,成為只有文件管理服務(wù)113能夠訪問機密數(shù) 據(jù)115的狀況,能夠防止不正當?shù)挠脩羰褂帽銛y電話102內(nèi)部的游覽器或者郵 件軟件等應(yīng)用程序來泄漏機密數(shù)據(jù)115的情況。 <第二實施方式〉
(1)數(shù)據(jù)管理系統(tǒng)的結(jié)構(gòu)
圖6是表示本發(fā)明的第二實施方式的數(shù)據(jù)管理系統(tǒng)的概略結(jié)構(gòu)的圖。第二 實施方式涉及利用了已有PC的機密數(shù)據(jù)管理方法。因此,雖然保密等級比第 一實施方式的保密等級低,但是使用時比第一實施方式方便。另外,在本實施 方式中將對用戶的信賴作為前提。
在本實施方式的數(shù)據(jù)管理系統(tǒng)中,與第一實施方式的不同點是,用戶終端 600是已有的PC,并且不進4于對二次存儲裝置608或?qū)ν獠看鎯橘|(zhì)的寫入 控制。
如圖6所示,數(shù)據(jù)管理系統(tǒng)具有用戶終端600、便攜電話(不局限于便攜 電話,也可以是具有通信功能的PDA等便攜終端)601以及便攜管理服務(wù)器 602。此外,便攜電話601與便攜管理服務(wù)器602經(jīng)由無線電話線路網(wǎng)604能 夠進行通信。
在用戶終端600中,除了一般的應(yīng)用程序606以外,還安裝有文件傳送客 戶機607。使用該工具來訪問位于便攜電話601中的文件管理服務(wù)610,由此 進行用戶終端600與便攜電話601之間的數(shù)據(jù)傳送。用戶終端600與便攜電話 601之間的連接是經(jīng)由USB電纜來實現(xiàn)??梢詫⒃谟脩艚K端600生成的機密 數(shù)據(jù)612保存在內(nèi)置于便攜電話601的存儲用存儲器613之后攜帶。由文件傳 送客戶機607訪問文件管理服務(wù)610時需要進行ID .密碼認證。當該認證成 功時,可以訪問便攜電話601內(nèi)部的機密數(shù)據(jù)612,也可以將機密數(shù)據(jù)612保 存在便攜電話601中。通過進行ID'密碼認證,能夠限制只有特定用戶可以 訪問便攜電話601內(nèi)的機密數(shù)據(jù)612并且可以保存機密數(shù)據(jù)612。不局限于 ID ■密碼認證,還可以利用生態(tài)認證或者IC卡等設(shè)備認證,本發(fā)明的一般性 不因認證方法的不同而損失。萬一丟失了保存有機密數(shù)據(jù)612的便攜電話601時,可以與第一實施方式一樣,由管理者訪問便攜管理服務(wù)器602,使用遠程 刪除服務(wù)616來遠程刪除便攜電話601內(nèi)部的機密數(shù)據(jù)612。 (2 )對機密數(shù)據(jù)的訪問控制處理
圖7是用于說明用戶終端600訪問便攜電話601內(nèi)的機密數(shù)據(jù)612時的處
問時(步驟S700),文件管理服務(wù)610接受該訪問后經(jīng)由文件傳送客戶機607 向用戶請求ID 密碼(步驟S701 )。文件管理服務(wù)610接受該輸入后進行認 證處理(步驟S702)。當認證成功時,文件管理服務(wù)610允許對自身的訪問, 使文件傳送客戶機607執(zhí)行文件傳送處理(步驟S703 )。當認證失敗時,文件 管理服務(wù)610拒絕對自身的訪問并結(jié)束處理(步驟S704 )。
這樣,在第一實施方式中,只有特定的PC能夠在便攜電話中保存機密數(shù) 據(jù)或從便攜電話讀取機密數(shù)據(jù),但在第二實施方式中,只要ID.密碼認證成 立,不特定的PC就能夠在便攜電話內(nèi)保存機密數(shù)據(jù)或者訪問機密數(shù)據(jù)。通過 該實施方式,能夠?qū)崿F(xiàn)例如從顧客處將重要數(shù)據(jù)的復(fù)制品保存到便攜電話內(nèi), 之后安全的帶到公司的利用方式。此外,向便攜電話的數(shù)據(jù)保存是通過密碼認 證來進行,數(shù)據(jù)的讀出是通過請求PC認證只讓特定的PC能夠讀取,由此能 夠防止數(shù)據(jù)的擴散,且還可以實現(xiàn)從不特定的PC復(fù)制數(shù)據(jù)后安全地帶走的利 用方法。
而且,為了實現(xiàn)牢固的保密,在丟失便攜電話時基本上經(jīng)由電話線路網(wǎng)進 行遠程刪除,但是也有可能在電波無法到達的地方丟失便攜電話,因此可以與 定期進行時限清除的選項組合。作為時限清除的策略,有每天定時清除、或者 復(fù)制文件后經(jīng)過一定時間就清除等策略。
<結(jié)束語〉
如以上說明,在本實施方式中,在便攜電話的內(nèi)置存儲器中保存機密數(shù)據(jù), 并對機密數(shù)據(jù)進行訪問控制,由此防止數(shù)據(jù)的泄漏。此外,通過便攜電話丟失 時的遠程刪除功能來防止機密數(shù)據(jù)的丟失。
更詳細地,本實施方式的文件(數(shù)據(jù))管理系統(tǒng)至少具有用戶終端和便攜 終端(便攜電話)。在用戶終端中,文件傳送客戶機對便攜終端進行訪問請求 并執(zhí)行機密文件的傳送。另一方面,在便攜終端中,文件管理服務(wù)應(yīng)答來自文件傳送客戶機的訪問請求,執(zhí)行對用戶終端裝置的認證(最好是用戶終端與便 攜終端之間的相互認證),當認證成功時,為了將從文件傳送客戶機傳送來的 機密文件存儲在存儲器,請求訪問存儲器。之后,存儲器訪問控制驅(qū)動器應(yīng)答 向存儲器的訪問請求,僅在訪問源是文件管理服務(wù)時允許將機密文件存儲在存 儲器中。此外,當機密文件存儲在存儲器時,存儲器訪問控制服務(wù)判定提出向 存儲器的訪問請求的訪問源是哪個訪問源,當訪問源不是文件管理服務(wù)時,禁 止訪問機密文件。若做成以上的構(gòu)成,只能在正當?shù)脑O(shè)備之間(用戶終端與便 攜終端)交換機密文件(數(shù)據(jù)),因而能夠防止將機密數(shù)據(jù)存儲在通常的便攜 電話后帶走。此外,若使用這樣的方法,即使在用戶終端不能訪問文件服務(wù)器 的環(huán)境下,也能夠安全地處理機密數(shù)據(jù)。而且,在便攜終端中也能夠僅通過特 定的應(yīng)用程序(文件管理^JO來處理機密文件,因而能夠禁止如郵件軟件或 文本生成軟件等通常安裝有的應(yīng)用程序訪問機密數(shù)據(jù),能夠擔保數(shù)據(jù)的機密 性。
此外,使用用戶終端的文件傳送客戶機來將傳送請求發(fā)送到文件管理服 務(wù),該傳送請求用于將存儲在便攜終端的存儲器中的機密文件傳送(回送)到 用戶終端裝置,文件管理單元應(yīng)答該傳送請求,能夠從存儲器取得機密文件后 發(fā)送到文件傳送客戶機。由此,能夠?qū)⑼ㄟ^便攜終端取走的機密數(shù)據(jù)沒有數(shù)據(jù) 泄漏地安全地回送給用戶終端(不一定是生成了機密數(shù)據(jù)的終端)。此外,由 此在無法使用文件服務(wù)器的環(huán)境下也可以暫時存儲機密數(shù)據(jù),因而能夠建立對 用戶來說使用非常方便的系統(tǒng)。
而且,本文件管理系統(tǒng)具有與便攜終端連接、并包含遠程刪除控制服務(wù)的 便攜終端用服務(wù)器,該遠程刪除控制服務(wù)用于請求刪除在便攜終端的存儲器中 存儲的機密文件。之后,文件管理服務(wù)應(yīng)答來自遠程刪除控制服務(wù)的文件刪除 請求而刪除存儲在存儲器中的機密文件,并向遠程刪除控制服務(wù)通知刪除結(jié) 束。由此,即使丟失或被盜存儲有機密數(shù)據(jù)的便攜終端,也能夠防止機密數(shù)據(jù) 的泄漏。
另外,用戶終端具有二次存儲裝置、用于暫時存儲數(shù)據(jù)的易失性存儲器以 及控制針對二次存儲裝置的數(shù)據(jù)讀出/寫入的二次存儲裝置驅(qū)動器。二次存儲
裝置控制驅(qū)動器具有以下功能捕捉通過任意應(yīng)用程序?qū)Χ未鎯ρb置的輸入
輸出請求,并在易失性存儲器中存儲寫入數(shù)據(jù),關(guān)于讀入數(shù)據(jù),通過覆蓋存儲 在易失性存儲器的寫入數(shù)據(jù)中的重疊的部分,雖然不允許在二次存儲裝置中保 存數(shù)據(jù),但是虛擬地允許寫入。由此禁止對二次存儲裝置(例如HDD)的寫 入,因而更新的機密數(shù)據(jù)不會保留在用戶終端,能夠防止信息的泄漏。當處于 可以對文件服務(wù)器進行訪問的環(huán)境時,能夠?qū)⒁迅碌臋C密數(shù)據(jù)存儲在文件服
務(wù)器中;當不能訪問文件服務(wù)器時,如上所述,在便攜終端中能夠安全地保管 已更新的機密數(shù)據(jù)。
本實施方式的功能也可以通過軟件的程序代碼來實現(xiàn)。此時,向系統(tǒng)或者 裝置提供存儲了程序代碼的存儲介質(zhì),該系統(tǒng)或者裝置的計算機(或者CPU 或者MPU)讀出存儲在存儲介質(zhì)中的程序代碼。此時,從存儲介質(zhì)讀出的程 序代碼本身實現(xiàn)上述的實施方式的功能,由此該程序代碼本身以及存儲了該程
序代碼的存儲介質(zhì)構(gòu)成本發(fā)明。作為用于供給這樣的程序代碼的存儲介質(zhì),使 用例如軟盤(注冊商標)、CD-ROM、 DVD-ROM、硬盤、光盤、光磁盤、CD-R、 磁帶、非易失性存儲卡、ROM等。
此外,可以做成在計算機上動作的OS (操作系統(tǒng))等根據(jù)程序代碼的 指示來進^"實際處理的一部分或者全部,并通過該處理來實現(xiàn)上述的實施方式 的功能。而且,還可以做成從存儲介質(zhì)讀出的程序代碼被寫入到計算機上的 存儲器之后,計算機的CPU等根據(jù)該程序代碼的指示來進行實際處理的一部 分或者全部,并通過該處理來實現(xiàn)上述的實施方式的功能。
此外,可以做成將實現(xiàn)實施方式的功能的軟件的程序代碼通過網(wǎng)絡(luò)進行 分發(fā),由此將該程序代碼存儲在系統(tǒng)或者裝置的硬盤、存儲器等存儲單元或者 CD-RW、 CD-R等存儲介質(zhì),該系統(tǒng)或者裝置的計算機(或者CPU或者MPU ) 讀出并執(zhí)行在該存儲單元或該存儲介質(zhì)中存儲的程序代碼。
權(quán)利要求
1.一種文件管理系統(tǒng),其具有用戶終端裝置和便攜終端裝置,并進行用戶終端裝置與便攜終端裝置之間的機密文件的傳送,其特征在于,所述用戶終端裝置具有文件傳送控制單元,該文件傳送控制單元對所述便攜終端裝置進行訪問請求并執(zhí)行機密文件的傳送,所述便攜終端裝置具有文件管理單元,其應(yīng)答來自所述文件傳送控制單元的訪問請求,執(zhí)行對所述用戶終端裝置的認證,當認證成功時,為了將從所述文件傳送控制單元傳送來的所述機密文件存儲在存儲器中,請求向所述存儲器的訪問;以及存儲器訪問控制單元,其應(yīng)答向所述存儲器的訪問請求,僅在訪問源是所述文件管理單元時,允許所述機密文件被存儲在所述存儲器中。
2. 根據(jù)權(quán)利要求1所述的文件管理系統(tǒng),其特征在于,還具有與所述便攜終端裝置連接、并包含遠程刪除控制單元的便攜終端裝 置用服務(wù)器,該遠程刪除控制單元用于請求刪除在所述便攜終端裝置的存儲器 中存儲的所述機密文件,所述文件管理單元應(yīng)答來自所述遠程刪除控制單元的文件刪除請求,刪除 存儲在所述存儲器中的所述機密文件,并向所述遠程刪除控制單元通知刪除結(jié) 束。
3. 根據(jù)權(quán)利要求1或2所述的文件管理系統(tǒng),其特征在于,所述存儲器訪問控制單元判定發(fā)出向存儲有所述機密文件的存儲器的訪 問請求的訪問源是哪個訪問源,當所述訪問源不是所述文件管理單元時,禁止 向所述機密文件的訪問。
4. 根據(jù)權(quán)利要求3所述的文件管理系統(tǒng),其特征在于, 所述文件傳送控制單元向所迷文件管理單元發(fā)出傳送請求,該傳送請求用于將存儲在所述便攜終端裝置的存儲器中的所述機密文件傳送到所述用戶終端裝置,并將其發(fā)送給所述文件傳送控制單元。
5. 根據(jù)權(quán)利要求1 4中任意一項所述的文件管理系統(tǒng),其特征在于,所述用戶終端裝置還具有 二次存儲裝置;易失性存儲器,其用于暫時存儲數(shù)據(jù);以及二次存儲裝置控制單元,其控制針對所述二次存儲裝置的數(shù)據(jù)讀出/寫入, 所述二次存儲裝置控制單元具有以下功能捕捉通過任意應(yīng)用程序?qū)λ龆未鎯ρb置的輸入輸出請求,在所述易失性存儲器中存儲寫入數(shù)據(jù),關(guān)于讀取數(shù)據(jù),通過覆蓋存儲在所迷易失性存儲器的寫入數(shù)據(jù)中的重疊的部分,虛擬地允許寫入,但不允許在二次存儲裝置中保存數(shù)據(jù),對在所述用戶終端裝置中生成的文件進行保存時,在不能利用通信的情況下,在所述便攜終端裝置中保管文件。
6. —種便攜終端裝置,其在與用戶終端裝置之間進行機密文件的收發(fā), 其特征在于,具有文件管理單元,其應(yīng)答來自所述用戶終端裝置的訪問請求,執(zhí)行對所述用 戶終端裝置的認證,當認證成功時,為了將從所述用戶終端裝置傳送來的所述 機密文件存儲在存儲器中,請求向所述存儲器的訪問;存儲器訪問控制單元,其應(yīng)答向所述存儲器的訪問請求,僅在訪問源是所 述文件管理單元時,允許所述機密文件被存儲在所述存儲器中。
7. 根據(jù)權(quán)利要求6所述的便攜終端裝置,其特征在于, 所述文件管理單元從便攜終端裝置用服務(wù)器接收對存儲在所述存儲器中的所述機密文件的刪除請求,應(yīng)答所述文件刪除請求,刪除存儲在所述存儲器 中的所述機密文件,并向所述便攜終端裝置用服務(wù)器通知刪除結(jié)束。
8. 根據(jù)權(quán)利要求6或7所述的便攜終端裝置,其特征在于, 所述存儲器訪問控制單元判定發(fā)出向存儲有所述機密文件的存儲器的訪問請求的訪問源是哪個訪問源,當所述訪問源不是所述文件管理單元時,禁止 向所述機密文件的訪問。
9. 根據(jù)權(quán)利要求8所述的便攜終端裝置,其特征在于, 所述文件管理單元從所述用戶終端裝置接收傳送請求,該傳送請求用于指 示將存儲在所述存儲器中的所述機密文件傳送到所述用戶終端裝置,所述文件 管理單元應(yīng)答該請求,從所述存儲器取得所述機密文件,并將其發(fā)送給所述用 戶終端裝置。
10. —種對機密文件的傳送進行管理的文件管理方法,該方法用于具有用 戶終端裝置與便攜終端裝置的系統(tǒng),其特征在于,在所述用戶終端裝置中,文件傳送控制單元對所述便攜終端裝置進行訪問 請求,在所述便攜終端裝置中,文件管理單元應(yīng)答來自所述文件傳送控制單元的訪問請求,執(zhí)行對所述用 戶終端裝置的認證,當認證成功時,為了將從所述文件傳送控制單元傳送來的所述機密文件存儲在存儲器中,請求向所述存儲器的訪問;存儲器訪問控制單元應(yīng)答向所述存儲器的訪問請求,僅在訪問源是所述文 件管理單元時,允許所述機密文件被存儲在所述存儲器中。
11. 根據(jù)權(quán)利要求IO所述的文件管理方法,其特征在于, 所述系統(tǒng)具有與所述便攜終端裝置連接、并包含遠程刪除控制單元的便攜終端裝置用服務(wù)器,該遠程刪除控制單元用于請求刪除在所述便攜終端裝置的 存儲器中存儲的所述機密文件,所述文件管理單元應(yīng)答來自所述遠程刪除控制單元的文件刪除請求而刪 除存儲在所述存儲器中的所述機密文件,并向所述遠程刪除控制單元通知刪除 結(jié)束。
12. 根據(jù)權(quán)利要求10或11所述的文件管理方法,其特征在于,所述存儲器訪問控制單元判定發(fā)出向存儲有所述機密文件的存儲器的訪 問請求的訪問源是哪個訪問源,當所述訪問源不是所述文件管理單元時,禁止 向所述機密文件的訪問。
13. 根據(jù)權(quán)利要求12所述的文件管理方法,其特征在于, 所述文件傳送控制單元向所述文件管理單元發(fā)出傳送請求,該傳送請求用于將存儲在所述便攜終端裝置的存儲器中的所述機密文件傳送到所述用戶終端裝置,所述文件管理單元應(yīng)答所述傳送要求而從所述存儲器取得所述機密文件, 并將其發(fā)送給所述文件傳送控制單元。
14.根據(jù)權(quán)利要求1~13的任意一項所述的文件管理方法,其特征在于,所述用戶終端裝置還具有二次存儲裝置;易失性存儲器,其用于暫時存儲數(shù)據(jù);以及二次存儲裝置控制單元,其控制針對所述二次存儲裝置的數(shù)據(jù)讀出/寫入, 所述二次存儲裝置控制單元具有以下功能捕捉通過任意應(yīng)用程序?qū)λ龆未鎯ρb置的輸入輸出請求,在所述易失性存儲器中存儲寫入數(shù)據(jù),關(guān)于讀取數(shù)據(jù),通過覆蓋存儲在所述易失性存儲器的寫入數(shù)據(jù)中的重疊的部分,虛擬地允許寫入,但不允許在二次存儲裝置中保存數(shù)據(jù),對在所述用戶終端裝置中生成的文件進行保存時,在不能利用通信的情況下,在所述便攜終端裝置中保管文件。
全文摘要
在通過禁止對二次存儲裝置或外部存儲裝置的寫入來防止機密信息的泄漏·丟失的系統(tǒng)中,在無法利用通信,從而不能將機密數(shù)據(jù)保存在文件服務(wù)器的情況下,不會丟失生成的數(shù)據(jù),以安全的方法保管生成的機密數(shù)據(jù)。為此,首先在內(nèi)置于便攜終端的非易失性存儲用存儲器上生成指定文件夾來保存生成的機密數(shù)據(jù)。然后,通過文件夾驅(qū)動器進行向指定文件夾的訪問控制,由此防止由惡意用戶使用便攜電話內(nèi)部的應(yīng)用程序泄漏信息的情況。此外,通過經(jīng)由電話線路網(wǎng)來從便攜終端管理服務(wù)器刪除便攜終端內(nèi)部的指定文件夾內(nèi)的數(shù)據(jù)的功能,防止由便攜終端丟失引起的已保存的機密數(shù)據(jù)的丟失。
文檔編號H04W12/08GK101371259SQ20078000144
公開日2009年2月18日 申請日期2007年10月10日 優(yōu)先權(quán)日2007年4月10日
發(fā)明者大浜伸之, 桐畑康裕 申請人:日立軟件工程株式會社