-
Die
vorliegende Erfindung bezieht sich auf ein Datenschutzprogramm (das
auf einem Aufzeichnungsmedium gespeichert werden kann) und ein Datenschutzverfahren
und -gerät
zum Schützen
von Daten und insbesondere auf ein Datenschutzprogramm etc., das
einen Zugriff auf zu schützende
Ressourcen oder Betriebsmittel beschränkt.
-
Computersysteme
werden gelegentlich von mehreren Nutzern gemeinsam genutzt. Wenn
ein Computersystem unter mehreren Nutzern gemeinsam genutzt wird,
ist es notwendig, die Betriebsmittel, die von jedem der Nutzer genutzt
werden können, zu
beschränken,
um die Daten einiger Nutzer vor fahrlässigen Fehlern und nicht autorisierten
Aktionen durch andere Nutzer zu schützen.
-
Herkömmliche
Computersysteme empfangen den Nutzernamen und das Passwort enthaltende Authentifizierungsinformationen
von einem Nutzer, authentifizieren den Nutzer basierend auf den
empfangenen Authentifizierungsinformationen und gestatteten dem
authentifizierten Nutzer, auf die beschränkten Betriebsmittel zuzugreifen,
welche vorher für
einen Zugriff für
den Nutzer autorisiert wurden. Auf diese Weise wird dem Nutzer selektiver
Zugriff auf die Betriebsmittel gewährt, die von den Computersystemen
bereitgestellt werden. Obgleich der obige Authentifizierungsprozess
grundsätzlich
Nutzer für
Nutzer durchgeführt
wird, kann der gleiche Authentifizierungsprozess auf der Grundlage
von Nutzergruppen ausgeführt
werden, um für
einen selektiven Zugriff und gemeinsame Nutzung von Informationen,
die für
jede derartige Gruppe gemeinsam genutzt werden, zu sorgen.
-
Bisher
war es notwendig, dass alle Authentifizierungsoperationen für einen
selektiven Zugriff von einem Systemadministrator gemäß einem
Verfahren von oben nach unten oder top-down-Verfahren aussortiert
und geplant wurden. Der Ansatz zur Implementierung eines selektiven
Zugriffs von oben nach unten, wie er oben erwähnt wurde, ist doch insofern nachteilig,
als er in einer Anfangsphase einer Systemoperationsplanung mit einem
großen
Zeit- und Arbeitsaufwand verbunden ist, weil der Systemadministrator
vorher die Inhalte von unter Nutzern gemeinsam zu verwendenden Informationen
planen muss und jeder Nutzer keine feineren Einstellungen an der Zugriffsbeschränkung nach
eigener Wahl vornehmen kann.
-
Im
Hinblick auf die obigen Nachteile wurde vorgeschlagen, zu ermöglichen,
dass Systemnutzer eine definiertere Dokumentenschutzverarbeitung
basierend auf einem bottom-up-Ansatz festlegen. Gemäß einem
Vorschlag verschlüsselt
ein Nutzer eine Datei, die in einer Speichervorrichtung gespeichert ist,
mit einer Dateiverschlüsselungsanwendung,
um zu verhindern, dass die Datei von einem nicht autorisierten Dritten
verwendet wird.
-
Gemäß einem
allgemeinem Dateiverschlüsselungsprozess
wird eine Dokumentendatei, die unter Verwendung einer Anwendung
wie einer Dokumente erzeugenden Anwendung, z.B. eines Textverarbeitungssystems,
vorbereitet wurde, direkt in einer Speichervorrichtung gespeichert,
und das in der Speichervorrichtung gespeicherte Dokument wird danach
verschlüsselt.
-
Wenn
Dokumentendateien, die unter Verwendung solch einer Anwendung erzeugt
wurden, direkt in eine Speichervorrichtung gespeichert werden, werden
die Dokumentendateien in der Speichervorrichtung vorübergehend
ungeschützt
gelassen. Um den ungeschützten
Zustand der gespeicherten Dokumentendateien zu entschärfen, wurde
ein Prozess zum Überwachen
eines Zugriffs auf eine Speichervorrichtung in einem Computersystem,
das von mehreren Nutzern genutzt wird, und zum automatischen Verschlüsseln einer
Dokumentendatei in Betracht gezogen, während oder unmittelbar nachdem
die Dokumentendatei in der Speichervorrichtung gespeichert wird.
-
Gemäß dem obigen
Prozess wird dann, falls ein Speicherziel (z.B. ein Verzeichnis)
für eine
Dokumentendatei verschlüsselt
werden soll, die Dokumentendatei unter Verwendung eines Verschlüsselungsschlüssels, der
dem Speicherziel zugeordnet ist, ohne Kenntnis der Verschlüsselung
durch den Nutzer verschlüsselt.
Die verschlüsselte
Dokumentendatei wird entschlüsselt,
wenn sie aus dem Speicherziel gelesen wird. Die Dokumentendatei
wird verschlüsselt
und entschlüsselt,
nur während
der Mechanismus zum Überwachen
eines Zugriffs auf das Speicherziel in Betrieb ist. Die verschlüsselten
Dokumentendateien werden vor nicht autorisierter Nutzung geschützt, indem
der einen Zugriff überwachende
Mechanismus betrieben wird, nur während eine bestimmte Anwendung
in einem aktivierten Zustand ist.
-
Falls
jedoch der einen Zugriff überwachende Mechanismus
Dokumentendateien automatisch verschlüsselt und entschlüsselt, ist
es dann jedoch mög lich,
dass ein böswilliger
Dritter verschlüsselte
Dokumentendateien während
eines Betriebs des den Zugriff überwachenden
Mechanismus liest. Konkret kann, während eine Anwendung A, die
den einen Zugriff überwachenden
Mechanismus aktiviert hat, auf das Speicherziel zugreift, eine Anwendung
B ebenfalls auf das Speicherziel zugreifen und eine entschlüsselte Dokumentendatei
lesen.
-
Selbst
wenn die Anwendung A dahingehend wirkt, den Nutzerzugriff zu beschränken, kann,
insofern als der einen Zugriff überwachende
Mechanismus unter der Steuerung der Anwendung A aktiviert wurde,
eine verschlüsselte
Dokumentendatei aus dem Speicherziel auf der Basis einer Kopieanforderung
oder dergleichen von der Anwendung B gelesen werden. Zu diesem Zeitpunkt
wird die von der Anwendung B gelesene Dokumentendatei durch den
einen Zugriff überwachenden
Mechanismus ebenfalls entschlüsselt.
Folglich ergibt sich ein Problem, dass ein Dritter entschlüsselte Informationen
aus dem Speicherziel abrufen kann.
-
Dies
ermöglicht,
dass betrügerische
Operationen stattfinden, z.B. wenn ein Nutzer mit einem Zugriffsrecht
den einen Zugriff überwachenden
Mechanismus mit der Anwendung A aktiviert und eine Dokumentendatei
unter Verwendung einer anderen Anwendung B liest. Selbst wenn die
Anwendung A eine Zugriffsbeschränkung
auferlegt, um nur die Registrierung von Daten zu gestatten, kann
ein Nutzer, der die Anwendung A verwenden darf, beispielsweise leicht Daten
unter Verwendung der Anwendung B über solch eine betrügerische
Operation lesen.
-
US-A-6
044 155 offenbart ein Datenschutzprogramm, ein Gerät und ein
Verfahren gemäß dem Oberbegriff
jedes unabhängigen
Anspruchs. Gemäß diesem
Dokument gibt ein Speicher-Server (zu schützendes Betriebsmittel) angeforderte
Datenelemente nur an autorisierte anfragende oder anfordernde Anwendungsprogramme
zurück. Überdies
werden zu speichernde Datenelemente unter Verwendung eines vom Nutzer
gelieferten Passwortes oder irgendeines anderen Codes, der auf die
Nutzerauthentifizierung bezogen ist, verschlüsselt.
-
Es
ist daher wünschenswert,
ein Datenschutzprogramm und ein Datenschutzverfahren zu schaffen,
um einen nicht autorisierten Zugriff auf ein zu schützendes
Betriebsmittel effektiv zu verhindern, sogar während ein autorisierter Zugriff
auf das Betriebsmittel vorgenommen wird.
-
Gemäß einem
ersten Gesichtspunkt der Erfindung wird ein Datenschutzprogramm
zum Schützen
von Daten geschaffen, die in einem zu schützenden Betriebsmittel gespeichert
sind, welches Datenschutzprogramm einem Computer ermöglicht,
eine Verarbeitungssequenz auszuführen,
welche umfasst:
Registrieren einer Identifizierungsinformation über ein
Programm, das auf das zu schützende
Betriebsmittel zugreifen kann, in einer Zugriffserlaubnis-Verwaltungstabelle;
falls
eine Zugriffsanforderung, um auf das zu schützende Betriebsmittel zuzugreifen,
empfangen wird, Ermitteln der Identifizierungsinformation über ein
Anforderungsquellenprogramm, das die Zugriffsanforderung ausgegeben
hat;
Bestimmen, ob ein Zugriff auf das zu schützende Betriebsmittel
erlaubt ist oder nicht, basierend darauf, ob die Identifizierungsinformation über das
Anforderungsquellenprogramm in der Zugriffserlaubnis-Verwaltungstabelle
registriert wurde oder nicht; und
falls ein Zugriff auf das
zu schützende
Betriebsmittel erlaubt ist, Verarbeiten von Daten in dem zu schützenden
Betriebsmittel als Antwort auf die Zugriffsanforderung;
wobei,
wenn die Daten im zu schützenden
Betriebsmittel verarbeitet werden, falls die Zugriffsanforderung
eine Anforderung, Daten zu schreiben, ist, dann zu dem zu schützenden
Betriebsmittel zu übertragende
Daten verschlüsselt
und danach in dem zu schützenden
Betriebsmittel gespeichert werden, und, falls die Zugriffsanforderung
eine Anforderung, Daten zu lesen, ist, Daten von dem zu schützenden
Betriebsmittel entschlüsselt
und danach zu einem Prozess übertragen
werden, der das Anforderungsquellenprogramm ausführt;
dadurch gekennzeichnet,
dass die Verarbeitungssequenz ferner umfasst:
Registrieren
eines Schlüssels,
der mit der Identifizierungsinformation über das Anforderungsquellenprogramm
verbunden ist, in der Zugriffserlaubnis-Verwaltungstabelle; und
wenn Daten
in dem zu schützenden
Betriebsmittel verschlüsselt
und entschlüsselt
werden sollen, Verschlüsseln
und Entschlüsseln
der Daten unter Verwendung des Schlüssels, der in der Zugriffserlaubnis-Verwaltungstabelle
regi striert wurde, in Verbindung mit der Identifizierungsinformation über das
Anforderungsquellenprogramm.
-
Gemäß einem
zweiten Gesichtspunkt der vorliegenden Erfindung wird ein Verfahren
zum Schützen
von in einem zu schützenden
Betriebsmittel gespeicherten Daten geschaffen, welches Verfahren
die Schritte umfasst:
Registrieren einer Identifizierungsinformation über ein
Programm, das auf das zu schützende
Betriebsmittel zugreifen kann, in einer Zugriffserlaubnis-Verwaltungstabelle;
falls
eine Zugriffsanforderung, um auf das zu schützende Betriebsmittel zuzugreifen,
empfangen wird, Ermitteln einer Identifizierungsinformation über das Anforderungsquellenprogramm,
welches die Zugriffsanforderung ausgegeben hat;
Bestimmen,
ob ein Zugriff auf das zu schützende
Betriebsmittel erlaubt ist und nicht, basierend darauf, ob die Identifizierungsinformation über das
Anforderungsquellenprogramm in der Zugriffserlaubnis-Verwaltungstabelle
registriert wurde oder nicht;
falls ein Zugriff auf das zu
schützende
Betriebsmittel erlaubt ist, Verarbeiten von Daten in dem zu schützenden
Betriebsmittel als Antwort auf die Zugriffsanforderung;
wobei,
wenn die Daten in dem zu schützenden
Betriebsmittel verarbeitet werden, falls die Zugriffsanforderung
eine Anforderung, Daten zu schreiben, ist, dann zu dem zu schützenden
Betriebsmittel zu übertragende
Daten verschlüsselt
und danach in dem zu schützenden
Betriebsmittel gespeichert werden, und, falls die Zugriffsanforderung
eine Anforderung, Daten zu lesen, ist, Daten von dem zu schützenden
Betriebsmittel entschlüsselt
und danach zu einem Prozess übertragen
werden, der das Anforderungsquellenprogramm ausführt;
gegenkennzeichnet
durch die weiteren Schritte:
Registrieren eines Schlüssels, der
mit der Identifizierungsinformation über das Anforderungsquellenprogramm
verbunden ist, in der Zugriffserlaubnis-Verwaltungstabelle; und
wenn Daten
in dem zu schützenden
Betriebsmittel verschlüsselt
und entschlüsselt
werden sollen, Verschlüsseln
und Entschlüsseln
der Daten unter Verwendung des in der Zugriffserlaubnis-Verwaltungstabelle
registrierten Schlüs sels,
in Verbindung mit der Identifizierungsinformation über das
Anforderungsquellenprogramm.
-
Es
werden auch ein Gerät
gemäß Anspruch 7
und ein computerlesbares Aufzeichnungsmedium geschaffen, das darin
ein Datenschutzprogramm wie oben dargelegt speichert.
-
Die
obigen und andere Merkmale und Vorteile der vorliegenden Erfindung
werden aus der folgenden Beschreibung ersichtlich werden, wenn sie
in Verbindung mit den beiliegenden Zeichnungen vorgenommen wird,
welche bevorzugte Ausführungsformen
der vorliegenden Erfindung beispielhaft veranschaulichen, und in
denen:
-
1 ein
Blockdiagramm ist, das den Prozess einer Ausführungsform der vorliegenden
Erfindung zeigt;
-
2 ein
Blockdiagramm einer Hardware-Anordnung eines Computers ist, der
in der obigen Ausführungsform
der vorliegenden Erfindung genutzt wird;
-
3 ein
Blockdiagramm einer Anordnung zum Bereitstellen einer Dateien schützenden
Funktion ist;
-
4 ein
Diagramm ist, das eine Datenstruktur einer Zugriffserlaubnis-Verwaltungstabelle zeigt;
-
5 ein
Diagramm ist, das eine Datenstruktur einer Verwaltungstabelle für den Schutz
von Betriebsmittel zeigt;
-
6 ein
Diagramm ist, das einen Zugriffsprozess schematisch darstellt, der
ausgeführt
wird, wenn ein Client-Identifikator registriert wird;
-
7 ein
Diagramm ist, das einen Zugriffsprozess schematisch zeigt, der ausgeführt wird, wenn
kein Client-Identifikator registriert ist;
-
8 ein
Flussdiagramm ist, das einen gesamten Arbeitsablauf der Ausführungsform
der vorliegenden Erfindung zeigt;
-
9 ein
konzeptionelles Diagramm ist, das einen Prozess zum Registrieren
eines zu überwachenden
Ordners zeigt;
-
10 ein
Flussdiagramm einer Verarbeitungssequenz des Prozesses zum Registrieren
eines zu überwachenden
Ordners ist;
-
11 ein
konzeptionelles Diagramm ist, das einen Prozess zum Registrieren
einer Anwendung zeigt;
-
12 ein
Flussdiagramm einer Verarbeitungssequenz des Prozesses zum Registrieren
einer Anwendung ist;
-
13 ein
konzeptionelles Diagramm ist, das einen Prozess zum Zugreifen auf
eine Datei zeigt;
-
14 ein
Flussdiagramm einer Verarbeitungssequenz des Prozesses zum Zugreifen
auf eine Datei ist;
-
15 ein
konzeptionelles Diagramm ist, das einen Prozess zum Annullieren
oder Löschen
der Registrierung einer Anwendung zeigt;
-
16 ein
Flussdiagramm einer Verarbeitungssequenz des Prozesses zum Löschen der
Registrierung einer Anwendung ist;
-
17 ist
ein Diagramm ist, das einen Zugriffsprozess zum Schützen einer
Datei unter Verwendung eines spezifischen Hardware/Umgebungswertes
schematisch zeigt; und
-
18 ein
Flussdiagramm zur Darstellung eines gesamten Arbeitsablaufes eines
Dateischutzprozesses unter Verwendung einer Auslöser- oder Launcher-Anwendung
zeigt.
-
Im
folgenden wird mit Verweis auf die beigefügten Zeichnungen eine beispielhafte
Ausführungsform
der vorliegenden Erfindung erläutert.
Zunächst wird
eine Kurzdarstellung der vorliegenden Erfindung angewendet auf die
Ausführungsform
beschrieben, und danach werden spezifische Einzelheiten der Ausführungsform
angegeben.
-
1 zeigt
in Blockform den Prozess einer Ausführungsform der vorliegenden
Erfindung. Wie in 1 gezeigt ist, ist ein Datenschutzprogramm
bestimmt zum Überwachen
eines Zugriffs auf ein zu schützendes
Betriebsmittel 1 und Schützen von im Betriebsmittel 1 gespeicherten
Daten 1a und erlaubt, dass ein Computer einen im folgenden
beschriebenen Prozess ausführt.
In dem in 1 gezeigten Beispiel wird angenommen,
dass die Daten 1a in dem Betriebsmittel 1 zum
Schutz gegen nicht autorisierten Zugriff in verschlüsselter
Form gespeichert sind.
-
Zuerst
wird eine Identifizierungsinformation 2a über ein
Programm, das auf das Betriebsmittel 1 zugreifen kann,
in der Zugriffserlaubnis-Verwaltungstabelle 3 registriert
(Schritt S1). In dem in 1 gezeigten Beispiel wird "Programm A" als Identifizierungsinformation 2a über ein
Programm registriert, das auf das Betriebsmittel 1 zugreifen
kann. Die Identifizierungsinformation über ein Programm kann der Programmname
des Programms, der Prozessname eines Prozesses zum Ausführen des
Programms, der Identifikator des Prozesses (Prozess-ID (Identifizierung)),
die Aktivierungszeit des Prozesses etc. sein.
-
Nach
Registrieren der Identifizierungsinformation 2a wird ein
Schlüssel 2b in
Verbindung mit der Identifizierungsinformation 2a in die
Zugriffserlaubnis-Verwaltungstabelle 3 registriert.
Der Schlüssel 2b kann
ein Wert sein, der aus einem von Nutzer eingegebenen Passwort eindeutig
bestimmt wird, wenn ein Anforderungsquellenprogramm 2 aktiviert
wird. Daher wird sichergestellt, dass der gleiche Schlüssel nicht
erzeugt wird; es sei denn, das gleiche Passwort wird eingegeben.
-
Wenn
eine Zugriffsanforderung 2c zum Zugreifen auf das Betriebsmittel 1 empfangen
wird, wird danach eine Identifizierungsinformation 4 über das Anforderungsquellenprogramm 2 ermittelt,
das die Zugriffsanforderung 2c ausgegeben hat (Schritt
S2).
-
Die
Zugriffsanforderung 2c für einen Zugriff auf das Betriebsmittel 1 kann
durch Überwachen
eines Zugriffs auf das Betriebsmittel 1 detektiert werden.
Zum Beispiel wird der Name (ein Treibername, ein Ordnername, ein
Vorrichtungsname etc.) eines Betriebsmittels, das in der Zugriffsanforderung
ein Zugriffsziel ist, überwacht,
und die Korrespondenz oder Übereinstimmung
zwischen dem überwachten Namen
und dem Namen des Betriebsmittels 1 wird verifiziert.
-
Danach
wird bestimmt, ob der Zugriff auf das Betriebsmittel 1 erlaubt
ist oder nicht, basierend darauf, ob die Identifizierungsinformation 4 über das
Anforderungsquellenprogramm 2 mit der schon registrierten
Information 2a in Tabelle 3 übereinstimmt oder nicht (Schritt
S3). In dem in 1 gezeigten Beispiel ist, da
die Identifizierungsinformation des Anforderungsquellenprogramms 2 vorher
registriert wurde, der Zugriff auf das Betriebsmittel 1 erlaubt.
Falls eine Zugriffsanforderung oder -anfrage von einem Programm
ausgegeben wird, dessen Identifizierungsinformation in der Zugriffserlaubnis-Verwaltungstabelle 3 nicht
registriert wurde, wird dann dessen Zugriffsanforderung zurückgewiesen.
-
Falls
der Zugriff auf das Betriebsmittel 1 erlaubt ist, werden
dann die Daten 1a in dem Betriebsmittel 1 als
Antwort auf die Zugriffsanforderung 2c ver arbeitet (Schritt
S4). Falls z.B. die Zugriffsanforderung 2c eine Anforderung
ist, Daten 1b zu schreiben, die von dem Anforderungsquellenprogramm 2 erzeugt
wurden, wird dann ein mit der Identifizierungsinformation 2a verbundener
Schlüssel 5 aus
der Zugriffserlaubnis-Verwaltungstabelle 3 genommen, und die
Daten 1b werden unter Verwendung des Schlüssels 5 verschlüsselt. Die
verschlüsselten
Daten 1a werden dann im Betriebsmittel 1 gespeichert.
Oder falls die Zugriffsanforderung 2c eine Anforderung,
die Daten 1a zu lesen, ist, wird dann ein mit der Identifizierungsinformation 2a verbundener
Schlüssel 5 aus der
Zugriffserlaubnis-Verwaltungstabelle 3 genommen, und die
verschlüsselten
Daten 1a werden unter Verwendung des Schlüssels 5 entschlüsselt. Die
entschlüsselten
Daten 1b werden dann zu dem Anforderungsquellenprogramm 2 übertragen.
-
Obgleich
eine derartige Verarbeitung auf dem Computer gemäß dem Datenschutzprogramm wie
oben erwähnt
ausgeführt
wird, wird ein Zugriff nur gestattet, wenn die Identifizierungsinformation 4 über das
Anforderungsquellenprogramm 2, welches die Zugriffsanforderung 2c ausgegeben
hat, in der Zugriffserlaubnis-Verwaltungstabelle 3 vorher
registriert wird, und je nach der Zugriffsanforderung 2c wird
auf die Daten im Betriebsmittel 1 zugegriffen. Wenn die Identifizierungsinformation 2a in
der Zugriffserlaubnis-Verwaltungstabelle 3 registriert
wird, wird ferner auch ein zum Verschlüsseln und Entschlüsseln von Daten
zu verwendender Schlüssel
ebenfalls in Kombination mit der Identifizierungsinformation in
der Zugriffserlaubnis-Verwaltungstabelle 3 registriert. Selbst
wenn ein nicht autorisierter Dritter eine Identifizierungsinformation über sein
eigenes Programm in der Zugriffserlaubnis-Verwaltungstabelle 3 zu
Manipulationszwecken registriert, können daher die Daten 1a im
Betriebsmittel 1 nicht entschlüsselt werden, es sei denn,
die Identität
des Schlüssels
wird validiert oder bestätigt.
Folglich ist die Sicherheit der Daten 1a im Betriebsmittel 1 garantiert.
-
Schlüssel, die
in der Zugriffserlaubnis-Verwaltungstabelle 3 registriert
werden können,
umfassen als Parameter genutzte Eingaben von Programmen, welchen
gestattet ist, auf die Zugriffserlaubnis-Verwaltungstabelle 3 zuzugreifen,
Gruppenschlüssel
von Gruppen vorbestimmter Nutzer und Werte (Festplatten-IDs, Hard-Token-IDs
etc.), die für lokale
Maschinen eindeutig sind, auf de nen das Dateischutzsystem arbeitet,
welche Werte mit einer Logik zu Erzeugung von Schlüsseln verbunden
sind.
-
Der
Systemadministrator eines Computers mit dem obigen, darin installierten
Datenschutzprogramm gibt einem Nutzer, dem ein Zugriff auf geschützte Daten
erlaubt ist, eine Autorisierung, Programme zu nutzen, die auf das
Betriebsmittel 1 zugreifen dürfen. Eine Autorisierung zur
Nutzung eines Programms kann einem Nutzer beispielsweise gemäß dem folgenden
Prozess gegeben werden:
Um einem Nutzer eine Autorisierung
zur Nutzung eines Programms zu gewähren, werden Informationen bezüglich eines
zu schützenden
Betriebsmittels und Informationen bezüglich Anwendungen, die auf
das Betriebsmittel zugreifen dürfen,
miteinander verbunden und in einer Tabellendatei oder dergleichen
registriert. Informationen bezüglich
Nutzer mit einer Autorisierung zur Nutzung von Anwendungsprogrammen
werden als Authentifizierungsinformationen für jedes der Anwendungsprogramme
in der Tabellendatei oder dergleichen registriert.
-
Indem
einem Nutzer eine Autorisierung zur Nutzung von Programmen verliehen
wird, wird dem Nutzer erlaubt, auf ein geschütztes Betriebsmittel zuzugreifen,
auf das von den Programmen zugegriffen werden kann, die der Nutzer
verwenden kann, wie z.B. zum Eingeben und Ausgeben von Daten. Wenn beispielsweise
ein Computersystem gemäß der vorliegenden
Ausführungsform
eine Anweisung, ein Anwendungsprogramm von einem Nutzer zu aktivieren, akzeptiert,
nimmt das Computersystem Bezug auf eine Tabellendatei, die registrierte
Informationen über
ein zu schützendes
Betriebsmittel, registrierte Informationen über Anwendungsprogramme und
registrierte Authentifizierungsinformationen enthält, und
bestätigt
basierend auf den registrierten Informationen in der Tabellendatei,
ob der Nutzer ein legitimer Nutzer des Anwendungsprogramms ist und
ob das Anwendungsprogramm ein Anwendungsprogramm ist, das auf das
Betriebsmittel zugreifen kann. Falls das Anwendungsprogramm, das
auf das Betriebsmittel zugreifen kann, durch den legitimen Nutzer
aktiviert wird, erzeugt dann das Computersystem einen Schlüssel und
registriert den Schlüssel
in der Zugriffserlaubnis-Verwaltungstabelle 3. Auf diese Weise
kann jeder Nutzer auf nur ein Betriebsmittel zugreifen, das zu nutzen
der Nutzer autorisiert ist.
-
Eine
Datei oder andere Daten, die im Betriebsmittel 1 von einer
bestimmten Anwendung gespeichert werden, wird oder werden unter
Verwendung eines Schlüssels
verschlüsselt
der durch die Anwendung erzeugt wird. Daher schlägt ein Versuch, auf eine im
Betriebsmittel 1 gespeicherte Datei zuzugreifen, von einer
Anwendung, die nicht legitim aktiviert ist, dabei fehl, die Datei
zu entschlüsseln.
Als Folge ist es möglich,
eine nicht autorisierte Verarbeitung und einen Verlust von Informationen
basierend auf einer Operation gemäß einem Programm zu verhindern
und zu überwachen,
das nicht auf das Betriebsmittel 1 zugreifen darf. Anders
gesagt wird ein legitimer Nutzer, der auf den Informationen der
Datei zugreifen darf, an einer nicht autorisierten Kontrolle über das
Betriebsmittel 1 durch eine nicht autorisierte Operation über ein
Programm gehindert, das vom Systemadministrator für einen
Zugriff auf das Betriebsmittel 1 nicht freigegeben ist.
-
Die
beispielhafte Ausführungsform
der vorliegenden Erfindung wird im folgenden speziell beschrieben.
-
2 zeigt
in Blockform eine Hardware-Anordnung eines Computers 100,
der in der Ausführungsform
der vorliegenden Erfindung verwendet wird. Der Computer 100 wird
in seiner Gesamtheit durch eine CPU (Zentrale Verarbeitungseinheit) 101 gesteuert.
Die CPU 101 ist mit einem RAM (Direktzugriffsspeicher) 102,
einer Speichervorrichtung 103, einem Graphikprozessor 104,
einer Eingabeschnittstelle 105 und einer Kommunikationsschnittstelle 106 über einen
Bus 107 verbunden.
-
Der
RAM 102 speichert vorübergehend
zumindest einen Teil eines OS-Programms
(Betriebssystem) und Anwendungsprogramms, die von der CPU 101 ausgeführt werden.
Der RAM 102 speichert auch verschiedene Daten, die für eine Verarbeitung durch
die CPU 101 erforderlich sind. Die Speichervorrichtung 103,
welche z.B. ein Festplattenlaufwerk (HDD) sein kann, speichert das
OS, verschiedene Treiberprogramme und Anwendungsprogramme.
-
Ein
Anzeigemonitor 11 ist mit dem Graphikprozessor 104 verbunden.
Der Graphikprozessor 104 zeigt Bilder auf dem Bildschirm
des Anzeigemonitors 11 gemäß Anweisungen von der CPU 101 an. Eine
Tastatur 112 und eine Maus 13 sind mit der Eingabeschnittestelle 105 verbunden.
Die Eingabeschnittstelle 105 überträgt von der Tastatur 12 und der
Maus 13 eingegebene Signale über den Bus 107 zur
CPU 101.
-
Die
Kommunikationsschnittstelle 106 ist mit einem Netzwerk 10 verbunden.
Die Kommunikationsschnittstelle 106 sendet Daten über das
Netzwerk 10 an andere Computer und empfängt andere Daten von diesen.
-
Die
obige Hardware-Anordnung kann Verarbeitungsfunktionen gemäß der Ausführungsform
der vorliegenden Erfindung ausführen.
Um die Verarbeitungsfunktionen gemäß der Ausführungsform der vorliegenden
Erfindung auszuführen,
ist im Computer 100 ein Treiberprogramm installiert. Verarbeitungsfunktionen,
die ausgeführt
werden, wenn der Computer 100 die Treiberprogramme ausführt, werden
im folgenden als "Treiber" und Funktionen,
die ausgeführt
werden, wenn der Computer 100 die Anwendungsprogramme ausführt, als "Anwendung" bezeichnet.
-
Die
Verarbeitungsfunktionen, welche auf dem Computer 100 ausgeführt werden,
um eine Dateien schützende
Funktion gemäß der Ausführungsform
der vorliegenden Erfindung zu erreichen, werden im folgenden beschrieben.
-
3 zeigt
in Blockform eine Anordnung zum Ausführen der Dateischutzfunktion.
Wie in 3 gezeigt ist, sind im Computer 100 eine
Zugriffserlaubnis-Verwaltungstabelle 210,
eine Verwaltungstabelle 220 für den Schutz von Betriebsmittel, eine
Anwendung 230 und ein Treiber 240 vorgesehen.
Gemäß der Ausführungsform
der vorliegenden Erfindung wird angenommen, dass die geschützten Betriebsmittel
auf der Basis eines Ordners (Verzeichnis) spezifiziert werden können. Daher
kann jeder gewünschte
Ordner als ein Schutzbetriebsmittel unter mehreren Ordnern 111 bis 114 spezifiziert
werden, die durch ein Dateisystem in Verbindung mit der Speichervorrichtung 103 definiert
sind. Der Ordner 111 enthält mehrere Dateien 111a, 11b,
... Die anderen Ordner 112 bis 114 enthalten ebenfalls
verschiedene Dateien. In dem in 3 gezeigten
Beispiel hat der Ordner 111 eine Identifizierungsinformation "Ordner a", hat der Ordner 112 eine
Identifizierungsinformation "Ordner
b", hat der Ordner 113 eine
Identifizierungsinformation "Ordner
c", und der Ordner 114 hat
eine Identifizierungsinformation "Ordner d".
-
Die
Zugriffserlaubnis-Verwaltungstabelle 210 enthält registrierte
Informationen, die als ein Kriterium verwendet werden, um zu bestimmen,
ob eine Anwendung eine Anwendung ist, die auf die Speichervorrichtung 103 zugreifen
darf. Konkret enthält die
registrierte Information eine Identifizierungsinformation von Anwendungen,
Verschlüsselungsschlüssel und
Betriebsmittel, um Anwendungen zu gestatten, auf die Speichervorrichtung 103 zuzugreifen.
-
Die
Verwaltungstabelle 220 für den Schutz von Betriebsmittel
enthält
Identifizierungsinformationen über
Betriebsmittel, die geschützt
werden sollen. Beispielweise können
die Identifizierungsinformationen die Namen von Ordnern sein, die
als zu schützende
Betriebsmittel dienen.
-
Die
Anwendung 230 hat eine Funktion, um einen Dienst gemäß einer
Anforderung von einem Nutzer bereitzustellen. Beispielsweise kann
eine Anwendung 230 ein beliebiges von verschiedenen Programmen
sein, die einen Textprozessor, ein Tabellenkalkulationsprogramm
etc. einschließen.
Die Anwendung 230 erzeugt als Antwort auf eine Steuereingabe vom
Nutzer eine Datei. Zum Speichern einer erzeugten Datei in der Speichervorrichtung 103 gibt
die Anwendung 230 eine Zugriffsanforderung aus, um die erzeugte
Datei in der Speichervorrichtung 103 zu schreiben. Zum
Bezugnehmen auf eine in der Speichervorrichtung 103 gespeicherte
Datei gibt die Antwort 230 eine Zugriffsanforderung aus,
um die Datei zu lesen, auf die Bezug genommen werden soll.
-
Zum
Schützen
einer Datei, die die Anwendung 230 erzeugt hat, empfängt die
Anwendung 230 ein vom Nutzer eingegebenes Passwort und
führt eine
Nutzerauthentifizierung durch. Die Anwendung 230 erzeugt
einen Schlüssel,
der basierend auf dem eingegebenen Passwort eindeutig bestimmt wird, und
legt die Identifizierungsinformation der Anwendung 230,
den Schlüssel
und die Identifizierungsinformation eines Ordners, auf den zugegriffen
werden soll, in der Zugriffserlaubnis-Verwaltungstabelle 210 durch
den Treiber 240 fest.
-
Wenn
die Anwendung 230 eine Zugriffsanforderung, eine Datei
zu schreiben, ausgibt, speichert der Treiber 240 die Datei
in der Speichervorrichtung 103. Falls ein Ordner als Speicherziel
für die Datei
als ein zu schützendes
Betriebsmittel spezifiziert ist und ein Zugriff von der Anwendung 230 auf den
Ordner als ein Speicherziel gestattet ist, verschlüsselt dann
der Treiber 240 die Datei, die im Speicher gespeichert
werden soll.
-
Wenn
die Anwendung 230 eine Zugriffsanforderung, eine Datei
zu lesen, ausgibt, ermittelt der Treiber 240 die Datei
aus der Speichervorrichtung 103 und überträgt die Datei zur Anwendung 230. Falls
ein Ordner, der die Datei speichert, als ein zu schützendes
Betriebsmittel spezifiziert ist und Zugriff von der Anwendung 230 auf
den Folder oder Ordner als Speicherziel erlaubt ist, entschlüsselt dann
der Treiber 240 die ermittelte Datei.
-
Um
Dateien in die Ordner, die als zu schützende Betriebsmittel dienen,
einzugeben und Dateien aus ihnen zu holen, hat der Treiber 240 eine
Datentabelle-Einstelleinheit 241, eine Verschlüsselungs/Entschlüsselungs-Bestimmungseinheit 242, eine
Zugriffserlaubnis/Sperre-Bestimmungseinheit 243 und einen
Verschlüsselungs/Entschlüsselungsprozessor 244.
-
Die
Datentabelle-Einstelleinheit 241 registriert Daten in der
Zugriffserlaubnis-Verwaltungstabelle 210 und der Verwaltungstabelle 220 für den Schutz von
Betriebsmittel und löscht
Daten aus diesen als Antwort auf eine Anforderung wie z.B. eine
Anforderung zur Ordnerüberwachung
von der Anwendung 230.
-
Die
Verschlüsselungs/Entschlüsselungs-Bestimmungseinheit 242 bestimmt,
ob eine Datei verschlüsselt
oder entschlüsselt
werden muss, als Antwort auf eine Dateizugriffsanforderung (eine
Dateispeicheranforderung oder eine Dateireferenzanforderung) von
der Anwendung 230. Konkret bestimmt die Verschlüsselungs/Entschlüsselungs-Bestimmungseinheit 242,
ob die ein Zugriffsziel (ein Ordner in einem Dateispeicherziel oder
ein Ordner, der eine Datei speichert, auf die verwiesen werden soll)
in der Dateizugriffsanforderung als ein zu schützendes Betriebsmittel in der
Verwaltungstabelle 220 für den Schutz von Betriebsmittel
spezifiziert wurde. Falls das Zugriffsziel ein zu schützendes
Betriebsmittel ist, beurteilt dann die Verschlüsselungs/Entschlüsselungs-Bestimmungseinheit 242,
dass die Datei verschlüsselt
oder entschlüsselt
werden muss.
-
Falls
die Verschlüsselungs/Entschlüsselungs-Bestimmungseinheit 242 beurteilt,
dass eine Datei verschlüsselt
oder entschlüsselt
werden muss, ermittelt dann die Zugriffserlaubnis/Sperre-Bestimmungseinheit 243 eine
Identifizierungsinformation über
die Anwendung 230, die die Dateizugriffsanforderung für die Datei
ausgegeben hat. Die Identifizierungsinformation kann z.B. ein Identifikator
(Prozess-ID) des Prozesses sein, der die Anwendung 230 ausführt. Die Zugriffserlaubnis/Sperre-Bestimmungseinheit 240 bestimmt
dann, ob die Dateizugriffsanforderung für das zu schützende Betriebsmittel
erlaubt sein soll oder nicht. Falls eine Information, die mit einer
Kombination der Identifizierungsinformation über die Anwendung und des Ordners
des Zugriffsziels übereinstimmt,
in der Zugriffserlaubnis-Verwaltungstabelle 210 registriert
ist, gestattet dann konkret die Zugriffserlaubnis/Sperre-Bestimmungseinheit 243 einen
Zugriff auf die Datei.
-
Falls
die Zugriffserlaubnis/Sperre-Bestimmungseinheit 243 eine
Dateizugriffsanforderung für das
zu schützende
Betriebsmittel gestattet, verschlüsselt oder entschlüsselt dann
der Verschlüsselungs/Entschlüsselungsprozessor 244 die
durch die Dateizugriffsanforderung spezifizierte Datei. Falls die Dateizugriffsanforderung
eine Dateispeicheranforderung ist, entschlüsselt dann konkret der Verschlüsselungs/Entschlüsselungsprozessor 244 die
durch die Dateizugriffsanforderung spezifizierte Datei und speichert
die verschlüsselte
Datei in dem zu schützenden spezifizierten
Ordner. Falls die Dateizugriffsanforderung eine Dateireferenzanforderung
ist, extrahiert dann der Verschlüsselungs/Entschlüsselungsprozessor 244 die
spezifizierte Datei aus dem zu schützenden Ordner und entschlüsselt die
Datei.
-
Spezifische
Details der in der Zugriffserlaubnis-Verwaltungstabelle 210 und
Verwaltungstabelle 220 für den Schutz von Betriebsmittel
gespeicherten Daten werden im folgenden beschrieben.
-
4 zeigt
ein Datenstrukturbeispiel der Zugriffserlaubnis-Verwaltungstabelle 210.
Die Zugriffserlaubnis-Verwaltungstabelle 210 hat eine Spalte
für Client-Identifikatoren,
eine Spalte für
Verschlüsselungsschlüssel und
eine Spalte für
Betriebsmittel, auf die Zugriff erlaubt ist. Elemente von Informationen, die
nebeneinander in Reihen über
die Spalten angeordnet sind, sind aufeinander bezogen.
-
Die
Spalte für
Client-Identifikatoren enthält Identifizierungsinformationen
(Client-Identifikatoren) von Verarbeitungsfunktionen wie z.B. der
als Client ausgeführten
Anwendung 230. Die Client-Identifikatoren können beispielweise
Prozess-IDs oder Ausführungsdateinamen
sein. In der vorliegenden Ausführungsform
sind die Prozess-IDs von Prozessen, die als Clients arbeiten, in
der Spalte für
Client-Identifikatoren eingetragen.
-
Die
Spalte für
Verschlüsselungsschlüssel enthält Schlüssel vorbestimmter
Datenlänge.
Jeder Schlüssel
repräsentiert
eine Information, die aus einem Passwort eindeutig erzeugt wird,
das vom Nutzer eingegeben wird, wenn eine Nutzung der Anwendung 230 erlaubt
ist. Daher wird ein Schlüssel
im wesentlichen nur aus einem Passwort erzeugt.
-
Die
Spalten für
Betriebsmittel, auf die ein Zugriff erlaubt ist, enthält Identifizierungsinformationen über Betriebsmittel,
auf die ein Zugriff, in Verbindung mit Kombinationen von Client-Identifikatoren
und Schlüsseln
erlaubt ist. In dem in 4 gezeigten Beispiel sind Ordnernamen
als Betriebsmittel eingetragen, auf die ein Zugriff erlaubt ist.
Die Ordnernamen, die in dieser Spalte eingetragen sind, enthalten
Pfade zu den Ordnern auf dem Dateisystem.
-
Im
in 4 gezeigten Beispiel ist der Client-Identifikator "Client A" mit einem "Schlüssel α" als der Verschlüsselungsschlüssel und "Ordner a" als das Betriebsmittel
zugeordnet, auf das ein Zugriff erlaubt ist.
-
5 zeigt
ein Datenstrukturbeispiel der Verwaltungstabelle 220 für den Schutz
von Betriebsmittel. Die Verwaltungstabelle 220 für den Schutz
von Betriebsmittel umfasst eine Spalte mit Informationen für den Schutz
von Betriebsmittel. Die Spalte mit Informationen für den Schutz
von Betriebsmittel enthält Identifizierungsinformationen
von zu schützenden Betriebsmitteln.
In der vorliegenden Ausführungsform
sind Ordnernamen als zu schützende
Betriebsmittel eingetragen. Die Ordnernamen, die in dieser Spalte
eingetragen sind, enthalten Pfade zu den Ordnern auf dem Dateisystem.
In den in 5 gezeigten Beispiel sind der
Ordner 111, dessen Identifizierungsinformation durch "Ordner a" repräsentiert
wird, und der Ordner 112, dessen Identifizierungsinformation
durch "Ordner b" repräsentiert
wird, als zu schützende
Betriebsmittel eingetragen.
-
Von
Zugriffsanforderungen für
die Schutzbetriebsmittel (z.B. Ordner), die in der Verwaltungstabelle 220 für den Schutz
von Betriebsmittel registriert sind, werden nur diejenigen Verarbeitungsanforderungen
von Clients ausgeführt,
deren Client-Identifikatoren in der Zugriffserlaubnis-Verwaltungstabelle 210 eingetragen
wurden. Verschiedene Prozesse, die ausgeführt werden, wenn ein Client-Identifikator in
der Zugriffserlaubnis-Verwaltungstabelle 210 registriert wurde
und wenn ein Client-Identifikator in der Zugriffserlaubnis-Verwaltungstabelle 210 nicht
registriert wurde, werden im folgenden beschrieben.
-
6 zeigt
schematisch einen Zugriffsprozess, der ausgeführt wird, wenn ein Client-Identifikator
registriert wurde. Wenn der Nutzer die Anwendung 230 aktiviert
und ein richtiges Passwort als Information zur Authentifizierung
eines Nutzers eingibt, registriert in Schritt S11 die Anwendung 230 über den Treiber 240 einen
Client-Identifikator (Prozess-ID), einen Schlüssel und einen Betriebsmittelnamen (Ordnernamen)
in der Zugriffserlaubnis-Verwaltungstabelle 210.
-
Zum
Beispiel wird angenommen, dass Informationen über zu schützende Betriebsmittel und Informationen über Anwendungsprogramme,
die auf jene zu schützende
Betriebsmittel zugreifen dürfen, miteinander
verbunden und in einer Tabellendatei registriert wurden und dass
Informationen von Nutzern (einschließlich Passworte und Nutzeridentifikatoren), die
autorisiert sind, jedes der Anwendungsprogramme zu nutzen, als Authentifizierungsinformationen
in der Tabellendatei registriert wurden. Wenn ein Nutzer ein Passwort
eingibt, wird der Nutzer in Abhängigkeit davon
authentifiziert, ob das Nutzerpasswort in der Tabellendatei der
Authentifizierungsinformationen registriert ist oder nicht. Falls
der Nutzer als legitimer Nutzer beurteilt wird, wird dann ein zu
schützendes Betriebsmittel,
auf das ein Zugriff von dem Anwendungsprogramm aus, das zu verwenden
der Nutzer autorisiert ist, erlaubt ist, basierend auf der Tabellendatei
bestimmt, die die Informationen über
zu schützende
Betriebsmittel und Informationen über Anwendungsprogramme in
Verbindung miteinander enthält. Der
Client-Identifikator (Prozess-ID) des mit dem Anwendungsprogramm
verbundenen Prozesses und der vom Passwort abhängige Schlüssel werden mit dem Betriebsmittelnamen
(Ordnername) des zu schützenden
Betriebsmittels verbunden und in der Zugriffserlaubnis-Verwaltungstabelle 210 registriert.
-
Danach
gibt die Anwendung 230 in Schritt S12 eine Zugriffsanforderung
für die
Datei 111a im Ordner 111 aus. Die Zugriffsanforderung
kann eine Anforderung, eine Datei 111a zu erzeugen, eine
Anforderung, auf die Datei 111a zu verweisen, eine Anforderung,
die Datei 111a zu aktualisieren, oder eine Anforderung,
die Datei 111a zu löschen,
umfassen. Die Zugriffsanforderung, die von der Anwendung 230 ausgegeben
wird, wird zu einem Treiber 240 übertragen.
-
Der
Treiber 240 ermittelt oder erhält die Prozess-ID der Anwendung 230 als
Antwort auf die Zugriffsanforderung, die von der Anwendung 230 ausgegeben
wurde. Der Treiber 240 nimmt Bezug auf die Zugriffserlaubnis-Verwaltungstabelle 210 und
fragt daraus einen Client-Identifikator entsprechend der ermittelten
Prozess-ID ab. Der Treiber 240 ermittelt dann einen Schlüssel α entsprechend
dem abgefragten Client-Identifikator in Schritt S13.
-
Der
Treiber 240 verarbeitet in Schritt S15 die Datei 111a,
die durch die Zugriffsanforderung spezifiziert wurde, während die
Datei 111a mit dem ermittelten Schlüssel α verschlüsselt oder entschlüsselt wurde.
Falls beispielsweise die Zugriffsanforderung eine Anforderung ist,
die Datei 111a zu erzeugen und zu sichern, verschlüsselt dann
der Treiber 240 von der Anwendung 230 übertragene
Daten mit dem Schlüssel α und speichert
die verschlüsselten
Daten als Datei 111a im Ordner 111. Falls die
Zugriffsanforderung eine Anforderung ist, auf eine in dem Ordner 111 schon
gespeicherte Datei 111a Bezug zu nehmen, entschlüsselt dann
der Treiber 240 die Datei 111a in Klartextdaten
mit dem Schlüssel α und überträgt die Klartextdaten
zur Anwendung 230.
-
7 zeigt
einen Zugriffsprozess, der ausgeführt wird, wenn ein Client-Identifikator registriert ist.
Zum Beispiel nehme man den Fall an, dass eine Anwendung 231 in
Schritt S21 eine Zugriffsanforderung für die Datei 111a im
Ordner 111 ausgibt, ohne dass deren Client-Identifikator
in der Zugriffserlaubnis-Verwaltungstabelle 210 registriert
wurde. Da der Client-Identifikator der Anwendung 231 in
der Zugriffserlaubnis-Verwaltungstabelle 210 nicht registriert
wurde, weist der Treiber 240 die Verarbeitung der Datei 111a als
Antwort auf die Zugriffsanforderung in Schritt S22 zurück.
-
Wie
oben beschrieben wurde, wird, da der Client-Identifikator (Prozess-ID)
der Anwendung 230 und der entsprechende Schlüssel vorher
registriert wurden, die Datei 111a in dem Ordner 111,
der bei Registrierung des Client-Identifikators und Schlüssel spezifiziert
wurde, vor der anderen Anwendung 231 geschützt.
-
Einzelheiten
eines Prozesses zum Spezifizieren eines zu schützenden Betriebsmittels und
Verarbeiten einer Datei in einem geschützten Zustand werden im folgenden
beschrieben.
-
8 ist
ein Flussdiagramm, das einen gesamten Arbeitsablauf der Ausführungsform
der vorliegenden Erfindung zeigt. Der in 8 gezeigte
Arbeitsablauf ist anwendbar, wenn eine Verarbeitungsfunktion wie
z.B. eine Funktion, um einen Client-Identifikator zu registrieren,
in der Anwendung 230 eingebaut werden kann. Um die Verarbeitungsfunktion
in die Anwendung 230 zu packen, sollte eine notwendige
Verarbeitungsfunktion als Bibliothek (Mehrzweckfunktionen und -programme
zur Verwendung in mehreren Softwarestücken) vorbereitet werden, und
es ist erforderlich, die auszuführende
Bibliothek festzulegen, wenn die Anwendung 230 in Operation
ist. Der in 8 dargestellte Prozess wird
im folgenden gemäß sukzessiven
Schrittnummern beschrieben.
-
[Schritt
S31] Wenn ein Nutzer ein Passwort eingibt und eine Steuereingabe
verwendet, um die Anwendung 230 zu aktivieren, registriert
die Anwendung 230 über
den Treiber 240, dass ein Ordner zu überwachen ist, und startet
einen Ordner überwachenden
Prozess. Konkret registriert die Anwendung 230 eine Identifizierungsinformation über einen
Ordner, der als ein zu schützendes
Betriebsmittel in der Verwaltungstabelle 220 für den Schutz
von Betriebsmittel festgelegt werden soll. Der als ein zu schützendes
Betriebsmittel festzulegende Ordner kann ein gewünschter Ordner sein, der durch
den Nutzer oder einen vorgeschriebenen Ordner für die Anwendung 230 spezifiziert
wird. Dieser Registrierprozess wird nur einmal ausgeführt, wenn
ein Ordner anfangs als ein zu überwachendes
Objekt spezifiziert wird. Als Antwort auf den Registrierprozess
führt der
Treiber 240 einen Prozess zum Registrieren des zu überwachenden
Ordners aus.
-
Konkret
wird angenommen, dass Informationen über zu schützende Betriebsmittel und Informationen über Anwendungsprogramme,
die auf jene zu schützenden
Betriebsmittel zugreifen dürfen,
miteinander verbunden und in einer Tabellendatei registriert wurden
und dass Informationen von Nutzern (einschließlich Passworte und Nutzeridentifikatoren), die
autorisiert sind, jedes der Anwendungsprogramme zu nutzen, als Authentifizierungsinformationen
in der Tabellendatei registriert wurden. Wenn ein Nutzer ein Passwort
eingibt und eine Steuereingabe verwendet, um die Anwendung 230 zu
aktivieren, wird der Nutzer in Abhängigkeit davon authentifiziert,
ob das Nutzerpasswort in der Tabellendatei der Authentifizierungsinformationen
registriert ist oder nicht. Falls der Nutzer als legitimer Nutzer
durch die Nutzerauthentifizierung verifiziert wird, wird dann ein
zu schützendes
Betriebsmittel, auf das ein Zugriff von dem Anwendungsprogramm,
das zu nutzen der Nutzer autorisiert ist, erlaubt ist, basierend
auf der Tabellendatei bestimmt, die die Informationen über zu schützende Betriebsmittel
und die Informationen über
Anwendungsprogramme in Verbindung miteinander enthält. Der
Betriebsmittelname (Ordnername) des zu schützenden Betriebsmittels wird
in der Verwaltungstabelle 220 für den Schutz von Betriebsmittel
registriert.
-
[Schritt
S32] Nachdem der zu überwachende Ordner
registriert und der Ordner überwachende
Prozess gestartet ist, aktiviert die Anwendung 230 als Antwort
auf die vom Nutzer verwendete Steuereingabe eine Funktion (z.B.
einen Textprozessor), die ausgeführt
werden soll. Solche eine Funktion wird als ein Prozess aktiviert.
Dem Prozess wird durch das OS eine Identifizierungsinformation (Prozess-ID)
zugeordnet.
-
[Schritt
S33] Die Anwendung 230 gibt eine Registrierungsanforderung,
um die Prozess-ID zu registrieren, die zugeordnet wird, wenn der
Prozess aktiviert wird, an den Treiber 240 aus. Als Antwort
auf die Registrierungsanforderung führt der Treiber 240 einen
Anwendungen registrierenden Prozess aus.
-
In
dem Anwendungen registrierenden Prozess wird die Prozess-ID als
Client-Identifikator in der Zugriffserlaubnis-Verwaltungstabelle 210 registriert, die
vom Treiber 240 verwaltet wird. Zu dieser Zeit wird ein
Schlüssel
entsprechend dem Passwort, das vom Nutzer eingegeben wurde, durch
die Anwendung 230 erzeugt. Der erzeugte Schlüssel wird
in Verbindung mit dem Client-Identifikator in der Zugriffserlaubnis-Verwaltungstabelle 210 registriert.
Die Identifizierungsinformationen über einen Ordner, der als das
zu schützende
Betriebsmittel in Schritt S31 spezifiziert wurde, wird als ein Betriebsmittel,
auf das ein Zugriff erlaubt ist, in Verbindung mit dem Client-Identifikator
in der Zugriffserlaubnis-Verwaltungstabelle 210 registriert.
-
[Schritt
S34] Die Anwendung 230 gibt eine Zugriffsanfrage oder -anforderung
wie z.B. eine Anforderung, eine Datei zu lesen, oder eine Anforderung,
eine Datei zu schreiben, für
eine Datei in dem zu überwachendem
Ordner über
den Treiber 240 aus. Als Antwort auf die Zugriffsanforderung
führt der Treiber 240 einen
Zugriffsprozess aus. Falls Daten in der Datei gelesen werden, ent schlüsselt der
Treiber 240 dann die Datei. Falls Daten in die Datei geschrieben
werden, verschlüsselt
danach der Treiber 240 die Datei.
-
[Schritt
S35] Die Anwendung 230 benachrichtigt den Treiber 240 über den
Abschluss der Anwendung, d.h. sendet eine Anwendungsregistrierungen
löschende
Anforderung an den Treiber 240. Als Antwort auf die Anwendungsregistrierungen
löschende
Anforderung führt
der Treiber 240 einen Prozess zum Löschen der Registrierung der
Anwendung aus. Konkret löscht
der Treiber 240 den Client-Identifikator entsprechend der
Anwendung 230 und den Schlüssel und Ordner-Identifizierungsinformationen, die
mit dem Client-Identifikator verbunden sind, aus der Zugriffserlaubnis-Verwaltungstabelle 210.
-
[Schritt
S36] Die Anwendung 230 wird zu Ende gebracht. Einzelheiten
der Verarbeitungsschritte, die vom Treiber 240 ausgeführt werden,
wenn eine Verarbeitungsanforderung von der Anwendung 230 gemäß der in 8 gezeigten
Sequenz ausgegeben werden, werden im folgenden beschrieben.
-
Zunächst werden
im folgenden Einzelheiten des Prozesses zum Registrieren eines zu überwachenden
Ordners in Schritt S31 beschrieben.
-
9 zeigt
konzeptionell den Prozess zum Registrieren eines zu schützenden
Ordners. Wie in 9 gezeigt ist, gibt die Anwendung 230 in
Schritt S41 eine Anforderung zur Ordnerüberwachung an den Treiber 240 aus.
Der Treiber 240 registriert dann Identifizierungsinformationen über einen
Ordner als Informationen über
ein zu schützendes
Betriebsmittel in der Verwaltungstabelle 220 für den Schutz
von Betriebsmittel im Schritt S42.
-
10 zeigt
eine Verarbeitungssequenz des Prozesses zum Registrieren eines zu
schützenden Ordners.
Die in 10 gezeigte Verarbeitungssequenz
wird im folgenden gemäß sukzessiven
Schrittnummern beschrieben.
-
[Schritt
S51] Der Treiber 240 empfängt eine von der Anwendung 230 ausgegebene
Ordner überwachende
Anforderung. Der Treiber 240 überträgt die empfangene Anforderung
zur Ordnerüberwachung
an die Datentabelle-Einstelleinheit 241. Die an die Tabellendaten-Einstelleinheit 241 übertragene Anforderung
zur Ordnerüberwachung
enthält
Identifizierungsinformationen über
einen zu überwachenden
Ordner.
-
[Schritt
S52] Die Tabellendaten-Einstelleinheit 241 bestimmt, ob
der als zu überwachend
spezifizierte Ordner ein Ordner ist, der schon ein zu überwachen des
Objekt war oder nicht. Konkret nimmt die Tabellendaten-Einstelleinheit 241 Bezug
auf die Verwaltungstabelle 220 für den Schutz von Betriebsmittel
und bestimmt, ob die Identifizierungsinformation über den
Ordner, der von der Anforderung zur Ordnerüberwachung als zu überwachend
spezifiziert wird, in der Verwaltungstabelle 220 für den Schutz
von Betriebsmittel schon registriert wurde oder nicht. Falls die
Identifizierungsinformation über
den Ordner in der Verwaltungstabelle 220 für den Schutz
von Betriebsmitteln schon registriert wurde, war dann der Ordner
schon ein zu überwachendes
Objekt. Falls nicht, war dann der Ordner kein zu überwachendes Objekt.
Falls der als zu überwachend
spezifizierte Ordner schon ein zu überwachendes Objekt war, kehrt
dann die Verarbeitung zur Anwendung 230 zurück. Falls
der als zu überwachend
spezifizierte Ordner noch kein zu überwachendes Objekt war, geht dann
die Verarbeitung zu Schritt S53.
-
[Schritt
S53] Die Tabellendaten-Einstelleinheit 241 registriert
die Identifizierungsinformationen über den durch die Anforderung
zur Ordnerüberwachung
spezifizierten Ordner in der Verwaltungstabelle 220 für den Schutz
von Betriebsmittel. Danach kehrt die Verarbeitung zu der Anwendung 230 zurück.
-
Einzelheiten
des Anwendungen aktivierenden Prozesses im Schritt S32 (8)
werden im folgenden beschrieben.
-
11 zeigt
konzeptionell einen Prozess zum Registrieren einer Anwendung. Die
Anwendung 230 gibt eine Anwendungsregistrierungsanforderung,
um eine Anwendung zu registrieren, in Schritt S61 aus. Der Treiber 240 nimmt
Bezug auf die Verwaltungstabelle 220 für den Schutz von Betriebsmittel
und bestätigt
in Schritt S62, ob der in der Anwendungsregistrierungsanforderung
enthaltene Ordner überwacht
werden soll oder nicht. Falls er überwacht werden soll, registriert
dann der Treiber 240 einen Client-Identifikator, einen
Schlüssel
und einen Ordnernamen in der Zugriffserlaubnis-Verwaltungstabelle 210 in
Schritt S63.
-
12 zeigt
eine Verarbeitungssequenz des Prozesses zum Registrieren einer Anwendung.
Die in 12 gezeigte Verarbeitungssequenz
wird im folgenden gemäß sukzessiven
Schrittnummern beschrieben.
-
[Schritt
S71] Der Treiber 240 empfängt eine Anwendungsregistrierungsanforderung,
die von der Anwendung 230 ausgegeben wurde. Der Treiber 240 überträgt die empfangene
Anwendungsregistrierungsanforderung an die Tabellendaten-Einstelleinheit 241.
Die Anwendungsregistrierungsanforderung, die an die Tabellendaten-Einstelleinheit 241 übertragen
wurde, enthält
einen Client-Identifikator,
einen Schlüssel
und eine Identifizierungsinformation über einen Ordner, auf den ein
Zugriff erlaubt ist (Zugriffsordner).
-
[Schritt
S72] Die Tabellendaten-Einstelleinheit 241 bestimmt, ob
der Zugriffsordner ein zu überwachendes
Objekt ist oder nicht. Konkret bestimmt die Tabellendaten-Einstelleinheit 241,
ob die Identifizierungsinformation über den Zugriffsordner in der Verwaltungstabelle 220 für den Schutz
von Betriebsmittel registriert wurde oder nicht. Falls die Identifizierungsinformation über den
Zugriffsordner registriert wurde, ist dann der Zugriffsordner ein
zu überwachendes
Objekt. Falls nicht, ist dann der Zugriffsordner kein zu überwachendes
Objekt. Falls der Zugriffsordner ein zu überwachendes Objekt ist, geht
dann die Verarbeitung zu Schritt S73. Falls der Zugriffsordner kein
zu überwachendes
Objekt ist, kehrt die Verarbeitung zu der Anwendung 230 zurück.
-
[Schritt
S73] Die Tabellendaten-Einstelleinheit 241 bestimmt, ob
der Client-Identifikator der Anwendung 230 in der Zugriffserlaubnis-Verwaltungstabelle 210 registriert
wurde oder nicht. Falls er registriert ist, kehrt dann die Verarbeitung
zu der Anwendung 230 zurück. Falls er nicht registriert
ist, geht dann die Verarbeitung zu Schritt S74.
-
[Schritt
S74] Die Tabellendaten-Einstelleinheit 241 registriert
den Satz aus dem Client-Identifikator, dem Schlüssel und dem Zugriffsordner,
die in der Anwendungsregistrierungsanforderung enthalten sind, in
der Zugriffserlaubnis-Verwaltungstabelle 210. Danach
kehrt die Verarbeitung zu der Anwendung 230 zurück. Der
Dateizugriffsprozeß in
Schritt S34 wird im Folgenden im Detail beschrieben.
-
13 zeigt
konzeptionell einen Prozess zum Zugreifen auf eine Datei. Die Anwendung 230 gibt
in Schritt S81 eine Dateizugriffsanforderung aus. Die Dateizugriffsanforderung
wird vom Treiber 240 empfangen. Der Treiber 240 nimmt
Bezug auf die Verwaltungstabelle 220 für den Schutz von Betriebsmittel
und bestätigt
in Schritt S82, ob die Datei, auf die als Antwort auf die Dateizugriffsanforderung
zugegriffen werden soll, eine Datei in dem zu überwachenden Ordner ist oder
nicht. Falls die Datei, auf die zugegriffen werden soll, eine Datei
in dem zu überwachenden
Ordner ist, nimmt dann der Treiber 240 Bezug auf die Zugriffserlaubnis-Verwaltungstabelle 210 und
bestätigt
in Schritt S83, ob ein Zugriff die Datei durch die Anwendung 230,
die die Dateizugriffsanforderung ausgegeben hat, erlaubt ist oder
nicht. Falls ein Zugriff auf die Datei durch die Anwendung 230 erlaubt
ist, greift dann der Treiber 240 als Antwort auf die Dateizugriffsanforderung
auf die Datei zu und gibt das Ergebnis an die Anwendung 230 in
Schritt S84 zurück.
-
14 zeigt
eine Verarbeitungssequenz des Prozesses zum Zugreifen auf eine Datei.
Die Verarbeitungssequenz, die in 14 dargestellt
ist, wird im Folgenden gemäß sukzessiven
Schrittnummern beschrieben.
-
[Schritt
S91] Der Treiber 240 empfängt eine Dateizugriffsanforderung,
die von der Anwendung 230 ausgegeben wurde. Die empfangene
Dateizugriffsanforderung wird zu der Verschlüsselungs/Entschlüsselungs-Bestimmungseinheit 242 übertragen. Die
Dateizugriffsanforderung enthält
Informationen, die einen Dateinamen, einen Dateiort (Identifizierungsinformation über den
Ordner, in welchem die Datei gespeichert ist), eine Anweisungsvorschrift,
die angibt, ob die Dateizugriffsanforderung eine Anforderung, Daten
zu lesen oder zu schreiben, ist, und zu schreibende Daten (falls
die Dateizugriffsanforderung eine Anforderung, Daten zu schreiben,
ist) repräsentieren.
-
[Schritt
S92] Die Verschlüsselungs/Entschlüsselungs-Bestimmungseinheit 242 bestimmt, ob
der Ordner, in welchem sich die Datei befindet, auf die zugegriffen
werden soll, ein zu überwachender Ordner
ist oder nicht. Konkret nimmt die Verschlüsselungs/Entschlüsselungs-Bestimmungseinheit 242 Bezug
auf die Verwaltungstabelle 220 für den Schutz von Betriebsmittel
und bestimmt, ob Identifizierungsinformationen über den Ordner, in welchem
die Datei, auf die zugegriffen werden soll, sich befindet, in der Verwaltungstabelle 220 für den Schutz
von Betriebsmittel registriert wurden oder nicht. Falls sie registriert sind,
ist dann der Ordner, in welchem die Datei sich befindet, auf die
zugegriffen werden soll, ein zu überwachender
Ordner. Falls nicht, ist dann der Ordner, in welchem die Datei sich
befindet, auf die zugegriffen werden soll, kein zu überwachender
Ordner. Falls der Ordner, in welchem die Datei, auf die zugegriffen werden
soll, sich in einem zu überwachenden
Ordner befindet, geht dann die Verarbeitung zu Schritt S94. Falls
der Ordner, in welchem die Datei, auf die zu gegriffen werden soll,
kein zu überwachender
Ordner ist, geht dann die Verarbeitung zu Schritt S93.
-
[Schritt
S93] Der Treiber 240 führt
einen Dateizugriffsprozess in Abhängigkeit von der Dateizugriffsanforderung
mit einem im OS enthaltenen Dateisystem aus.
-
[Schritt
S94] Die Zugriffserlaubnis/Sperre-Bestimmungseinheit 243 nimmt
Bezug auf die Zugriffserlaubnis-Verwaltungstabelle 210 und
bestimmt, ob die Anwendung 230, die die Dateizugriffsanforderung
ausgegeben hat, bezüglich
des zu überwachenden
Ordners registriert wurde.
-
Konkret
ermittelt die Zugriffserlaubnis/Sperre-Bestimmungseinheit 243 die
Prozess-ID der Anwendung 230, die die Dateizugriffsanforderung
ausgegeben hat. Die Prozess-ID wird durch das OS verwaltet, so daß die Zugriffserlaubnis/Sperre-Bestimmungseinheit 243 die
Prozess-ID durch Befragen des OS ermitteln kann. Die Zugriffserlaubnis/Sperre-Bestimmungseinheit 243 bestimmt,
ob der Satz aus der Prozess-ID der Anwendung 230 und der Identifizierungsinformation über den
Ordner, welcher der Ort der Datei ist, auf die zugegriffen werden
soll, in der Zugriffserlaubnis-Verwaltungstabelle 210 registriert
wurde oder nicht. Falls der Satz aus der Prozess-ID und der Identifizierungsinformation über den Ordner
in der Zugriffserlaubnis-Verwaltungstabelle 210 registriert
wurde, kann dann die Zugriffserlaubnis/Sperre-Bestimmungseinheit 243 beurteilen,
dass die Anwendung 230 ein registrierter Client ist.
-
Falls
die Anwendung 230 ein registrierter Client ist, geht dann
die Verarbeitung zu Schritt S96. Falls die Anwendung 230 kein
registrierter Client ist, geht dann die Verarbeitung zu Schritt
S95.
-
[Schritt
S95] Die Zugriffserlaubnis/Sperre-Bestimmungseinheit 243 weist
die Dateizugriffsanforderung von der Anwendung 230 zurück und gibt
das Ergebnis an die Anwendung 230 zurück. Danach kehrt die Verarbeitung
zur Anwendung 230 zurück.
-
[Schritt
S96] Die Zugriffserlaubnis/Sperre-Bestimmungseinheit 243 gibt
an, daß die
Dateizugriffsanforderung für
den Verschlüsselungs/Entschlüsselungsprozessor 244 gestattet
ist. Der Verschlüsselungs/Entschlüsselungsprozessor 244 ermittelt
aus der Zugriffserlaubnis-Verwaltungstabelle 210 einen
Schlüssel,
der mit dem Satz aus der Prozess-ID der Anwendung 230 und
der Identifizierungsinformation über
den Ordner verbunden ist, welcher der Ort der Datei ist, auf die
zugegriffen werden soll. Der Verschlüsselungs/Entschlüsselungsprozessor 244 führt dann
einen Dateizugriffsprozeß einschließlich einer
Dateiverschlüsselung
oder -entschlüsselung
an der Datei, auf die zugegriffen werden soll, unter Verwendung
des ermittelten Schlüssels
aus.
-
Falls
die Dateizugriffsanforderung eine Anforderung, die Datei zu lesen,
ist, entschlüsselt
dann konkret der Verschlüsselungs/Entschlüsselungsprozessor 244 die
Datei, auf die zugegriffen werden soll, mit dem ermittelten Schlüssel und überträgt die entschlüsselte Datei
zur Anwendung 230. Falls die Dateizugriffsanforderung eine
Anforderung, die Datei zu schreiben, ist, verschlüsselt dann
der Verschlüsselungs/Entschlüsselungsprozessor 244 die
Datei, die geschrieben werden sollen, mit dem ermittelten Schlüssel, bildet
daraus eine Datei und speichert die Datei in dem zu überwachenden
Ordner. Danach kehrt die Verarbeitung zur Anwendung 230 zurück.
-
Der
Prozess zum Annullieren oder Löschen der
Registrierung einer Anwendung in Schritt S35 (8)
wird im folgenden beschrieben.
-
15 zeigt
konzeptionell einen Prozess zum Löschen der Registrierung einer
Anwendung. Die Anwendung 230 gibt in Schritt S101 eine
Anforderung zur Löschung
der Anwendungsregistrierung aus. Der Treiber 240 löscht Informationen,
die in der Zugriffserlaubnis-Verwaltungstabelle 210 registriert sind,
in Schritt S102.
-
16 ist
ein Flußdiagramm,
das eine Verarbeitungssequenz des Prozesses zum Löschen der Registrierung
einer Anwendung zeigt. Die in 16 gezeigte
Verarbeitungssequenz wird im folgenden gemäß sukzessiven Schrittnummern
beschrieben.
-
[Schritt
S111] Der Treiber 240 erhält eine Anforderung zur Löschung einer
Anwendungsregistrierung von der Anwendung 230. Der Treiber 240 überträgt die erhaltene
Anforderung zur Löschung
einer Anwendungsregistrierung zu der Tabellendaten-Einstelleinheit 241.
-
[Schritt
S112] Die Tabellendaten-Einstelleinheit 241 bestimmt, ob
die Prozess-ID der Anmeldung 230 in der Zugriffserlaubnis-Verwaltungstabelle 210 registriert
wurde oder nicht. Falls sie registriert wurde, geht dann die Verarbei tung
zu Schritt S113. Falls sie nicht registriert wurde, geht dann die
Verarbeitung zu der Anwendung 230 zurück.
-
[Schritt
S113] Die Tabellendaten-Einstelleinheit 241 löscht die
Prozess-ID der Anwendung 230 und Daten, die mit der Prozess-ID
(dem Schlüssel und
der Information zur Identifizierung des Ordners) verbunden sind,
aus der Zugriffserlaubnis-Verwaltungstabelle 210. Danach
kehrt die Verarbeitung zur Anwendung 230 zurück.
-
Auf
der anderen Seite können
Schlüssel,
die beim Verschlüsseln/Entschlüsseln von
Daten genutzt werden können,
anstelle von Eingaben als Parameter von der Anwendung 230 verwendet
werden, und Gruppenschlüssel,
die Gruppen von Nutzern zugeordnet sind, und Werte (spezifische
Hardware/Umgebungswerte), die für
lokale Maschinen eindeutig sind, auf denen das Dateischutzsystem
läuft,
welche Werte in einer Logik zur Erzeugung von Schlüsseln enthalten
sind. Die spezifischen Hardware/Umgebungswerte können beispielsweise Festplatten-IDs, Hard-Token-IDs
etc. sein.
-
17 zeigt
einen Zugriffsprozeß zum Schützen einer
Datei unter Verwendung eines spezifischen Hardware/Umgebungswertes.
Der in 17 gezeigte Zugriffsprozeß ist dem
in 6 gezeigten Zugriffsprozeß ähnlich, außer daß ein spezifischer Hardware/Umgebungswert 250 hinzugefügt ist.
-
Wenn
der Nutzer die Anwendung 230 aktiviert und ein korrektes
Passwort als Information zur Nutzerauthentifizierung eingibt, registriert
die Anwendung 230 in Schritt S121 einen Client-Identifikator,
einen Schlüssel
und einen Betriebsmittelnamen in der Zugriffserlaubnis-Verwaltungstabelle 210.
Danach gibt die Anwendung 230 eine Zugriffsanforderung
für die
Datei 111a im Ordner 111 in Schritt S122 aus.
-
Der
Treiber 240a ermittelt die Prozess-ID der Anwendung 230 als
Antwort auf die Zugriffsanforderung, die von der Anwendung 230 ausgegeben
wird. Der Treiber 240a nimmt Bezug auf die Zugriffserlaubnis-Verwaltungstabelle 210 und
ermittelt daraus einen Schlüssel α entsprechend
dem Client-Identifikator entsprechend der ermittelten Prozess-ID
in Schritt S123. Der Treiber 240a ermittelt in Schritt
S124 auch einen spezifischen Hardware/Umgebungswert 250.
-
Der
Treiber 240a nutzt den ermittelten spezifischen Hardware/Umgebungswert 250 als
Hilfsinformation zum Erzeugen eines Verschlüsselungsschlüs sels oder
eines Entschlüsselungsschlüssels (Hilfsinformation
bei der Erzeugung von Schlüsseln). Konkret
kombiniert der Treiber 240a einen Schlüssel α, der aus der Zugriffserlaubnis-Verwaltungstabelle 210 ermittelt
wurde, und den spezifischen Hardware/Umgebungswert 250,
was somit einen neuen Schlüssel
erzeugt. Der Treiber 240 führt dann eine Verarbeitung
aus, die ein Verschlüsseln
oder Entschlüsseln
der Daten mit dem erzeugten neuen Schlüssel der Datei 111a einschließt, die
durch die Zugriffsanforderung in Schritt S125 spezifiziert wurde.
-
Da
ein Verschlüsselungs/Entschlüsselungsschlüssel unter
Verwendung des spezifischen Hardware/Umgebungswertes 250 erzeugt
wird, kann auf ein zu schützendes
Betriebsmittel nur von einem Computer zugegriffen werden und daher
mit erhöhter Sicherheit
gegen nicht autorisierte Zugriffsversuche über Netzwerke geschützt werden.
-
Der
in 8 gezeigte Arbeitsablauf wird genutzt, wo eine
Funktion, um Dateien mit einer Bibliothek zu schützen, in der Anwendung 230 enthalten ist.
Eine Funktion, um Dateien zu schützen,
kann jedoch durch eine Launcher-Anwendung
ausgeführt werden.
-
18 zeigt
einen Arbeitsablauf eines Dateischutzprozesses unter Verwendung
einer Launcher-Anwendung. In dem in 18 gezeigten
Beispiel sind eine Launcher-Anwendung 231 und eine Nachfolger-
oder Child-Anwendung 232 vorgesehen. Die Launcher-Anwendung 231 dient
als Hilfsfunktion zum Aktivieren verschiedener Anwendungen als Antwort
auf eine Steuereingabe vom Nutzer. Die Child-Anwendung 232 ist
eine Anwendung, die durch die Launcher-Anwendung 231 aktiviert wird.
Die Child-Anwendung 232 kann ein Textprozessor, ein Tabellenkalkulationsprogramm
etc. sein.
-
[Schritt
S131] Wenn der Nutzer ein Passwort eingibt und eine Steuereingabe
verwendet, um die Launcher-Anwendung 231 aufzufordern,
die Child-Anwendung 232 zu
aktivieren, registriert die Launcher-Anwendung 231 einen
zu überwachenden Ordner
und startet einen Prozess zur Ordnerüberwachung. Konkret registriert
die Launcher-Anwendung 231 Identifizierungsinformationen über einen
Ordner, der als zu schützendes
Betriebsmittel in der Verwaltungstabelle 220 für den Schutz
von Betriebsmittel festgelegt oder eingetragen werden soll, über den Treiber 240.
Der als zu schützendes
Betriebsmittel festzulegende Ordner kann ein Ordner, der nach Wahl
vom Nutzer spezifiziert wird, oder ein vorgeschriebener Ordner für die Anwendung 230 sein.
Dieser Registrierprozeß wird
nur einmal ausgeführt, wenn
ein Ordner anfangs als ein zu überwachendes Objekt
spezifiziert wird.
-
[Schritt
S132] Nachdem der zu überwachende
Ordner registriert und der Prozess zur Ordnerüberwachung gestartet ist, wird
die Launcher-Anwendung 231 aktiviert.
-
[Schritt
S133] Die Launcher-Anwendung 231 gibt eine Anforderung
oder Aufforderung, die Child-Anwendung 232 zu aktivieren,
an das OS aus, und die Child-Anwendung 232 wird aktiviert.
-
[Schritt
S134] Die Launcher-Anwendung 231 registriert eine Prozess-ID,
die zu der Zeit zugeordnet wird, zu der die Child-Anwendung 232 aktiviert
wird, als einen Client-Identifikator in der Zugriffserlaubnis-Verwaltungstabelle 210,
die vom Treiber 240 verwaltet wird. Zu dieser Zeit wird
durch die Anwendung 230 in Abhängigkeit von dem vom Nutzer
eingegebenen Passwort ein Schlüssel
erzeugt. Der erzeugte Schlüssel
wird in Verbindung mit dem in Schritt S134 registrierten Client-Identifikator
in der Zugriffserlaubnis-Verwaltungstabelle 210 registriert.
Die Identifizierungsinformationen über einen Ordner, der als das
zu schützende
Betriebsmittel in Schritt S131 spezifiziert wurde, wird als ein
Betriebsmittel, auf das ein Zugriff erlaubt ist, in Verbindung mit
dem Client-Identifikator registriert, der in Schritt S134 in der
Zugriffserlaubnis-Verwaltungstabelle 210 registriert wurde.
-
[Schritt
S135] Die Child-Anwendung 232 greift über den Treiber 240 auf
eine Datei in dem zu überwachenden
Ordner zu, d.h. liest Daten aus der Datei oder schreibt Daten in
die Datei. Wenn Daten in der Datei gelesen werden, entschlüsselt der
Treiber 240 die Daten. Wenn Daten in die Datei geschrieben werden,
verschlüsselt
der Treiber 240 die Datei.
-
[Schritt
S136] Die Child-Anwendung 232 wird als Antwort auf eine
vom Nutzer eingegebene Steuereingabe zu Ende gebracht.
-
[Schritt
S137] Wenn die Child-Anwendung beendet ist, benachrichtigt die Launcher-Anwendung 231 den
Treiber 240 über
den Abschluß der
Child-Anwendung 232. Der Treiber 240 löscht den
Client-Identifikator entsprechend der Anwendung 230 und
den Schlüssel
und die Informationen zur Ordneridentifizie rung, die mit dem Client-Identifikator
verbunden sind, aus der Zugriffserlaubnis-Verwaltungstabelle 210.
-
[Schritt
S138] Die Launcher-Anwendung 231 wird zu Ende gebracht.
Gemäß den Ausführungsformen
der vorliegenden Erfindung, wie sie oben beschrieben wurden, wird
eine zu überwachende
Anwendung vorher registriert, und der Treiber 240 steuert
und bestimmt selektiv einen Zugriff von Anwendungen, um einen Zugriff
von Anwendungen zurückzuweisen,
die nicht registriert wurden. Daher kann ein Zugriff auf Dateien
leicht beschränkt
werden.
-
Der
Systemadministrator kann einen nicht autorisierten Verlust von Informationen überwachen, indem
zugelassen wird, dass Dateien innerhalb des Umfangs einer Funktion
einer Anwendung verarbeitet werden, die auf die Dateien zugreifen
darf, und ein Zugriff auf Dateien zum Verarbeiten dieser ansonsten zurückgewiesen
wird.
-
Es
wird sogar verhindert, dass ein Nutzer, der auf eine zu schützende Datei
zugreifen darf, die Datei mit einer ungültigen Operation verarbeitet,
d.h. einer Zugriffsanforderung von einer Anwendung, die nicht auf
die Datei zugreifen darf.
-
Sogar
wenn der Treiber 240 selbst entfernt ist, kann eine durch
eine registrierte Anwendung verschlüsselte Datei nicht entschlüsselt werden,
wenn ein Versuch von einer anderen Anwendung, die Datei zu entschlüsseln, unternommen
wird. Dies verhält sich
so, weil, wenn eine Anwendung registriert ist, ein Schlüssel (der
als ein Verschlüsselungsschlüssel oder
Entschlüsselungsschlüssel genutzt
wird), welcher nur von der Anwendung genutzt werden kann, eingerichtet
ist.
-
Da
verschiedene Schlüssel
jeweiligen Anwendungen zugeordnet werden, welche auf eine Datei
zugreifen dürfen,
schlägt
ein Versuch, die Datei mit einer Anwendung zu entschüsseln, die
auf die Datei zugreifen darf, nicht aber registriert ist, dabei fehl,
die Datei richtig zu entschlüsseln.
Folglich kann nur der autorisierte Nutzer einer registrierten Anwendung
die Dateiinformationen korrekt entschlüsseln und gemäß den Funktionen
der Anwendung die Dateiinformationen korrigieren und kopieren.
-
Ebenso
wie Anwendungen, die zur Verwendung in den Systemen von Ausführungsformen
der vorliegenden Erfindung neu erzeugt werden, können her kömmliche Programme leicht in
solch einem System eingebaut werden, in dem ein Agent-Programm (Launcher-Anwendung)
zum Verwalten der Aktivierung, des Zustands und des Abschlusses
jener herkömmlichen
Programme genutzt wird. Folglich können bestehende Anwendungen
als Anwendungen der vorliegenden Ausführungsform genutzt werden, ohne
modifiziert zu werden.
-
Falls
ein Prozess zum Erzeugen eines Schlüssels bezüglich jeder Anwendung bestimmt wird,
wird es dann möglich,
für jede
Anwendung die Interoperabilität
und Ausschließlichkeit
in Bezug auf Dateien in den zu schützenden Betriebsmitteln leicht zu
planen und zu bewirken. Daher wird ermöglicht, die Einstellung der
gemeinsamen Nutzung von Informationen in einer Gruppe von Nutzern
für eine
gewünschte
Anwendung zu steuern.
-
Mit
der obigen Tauglichkeit zur selektiven Zugriffssteuerung ist es
möglich,
ein System zu konstruieren, um Dateiinformationen mit einer selektiven bottom-up-Zugriffssteuerung
und einer einfachen Planung, kombiniert mit einer top-down-Robustheit von
oben nach unten und höheren
Sicherheit, zu steuern und zu verwalten.
-
Um
die obigen Verarbeitungsfunktionen auszuführen, wird ein Datenschutzprogramm
geschaffen, das Verarbeitungseinzelheiten von Funktionen beschreibt,
die ein Computer haben sollte. Während das
Datenschutzprogramm vom Computer ausgeführt wird, werden auf dem Computer
die obigen Verarbeitungsfunktionen ausgeführt. Das Datenschutzprogramm,
das Verarbeitungseinzelheiten beschreibt, kann auf einem Aufzeichnungsmedium
aufgezeichnet werden, das vom Computer gelesen werden kann. Das
Aufzeichnungsmedium, welches vom Computer gelesen werden kann, könnte eine
magnetische Aufzeichnungsvorrichtung, eine Bildplatte, ein magnetooptisches
Aufzeichnungsmedium, ein Halbleiterspeicher und dergleichen sein.
Die magnetische Aufzeichnungsvorrichtung kann ein Festplattenlaufwerk
(HDD), eine Diskette (FD), ein Magnetband oder dergleichen sein.
Die Bildplatte kann eine DVD (Digital Versatile Disc), ein DVD-RAM
(Direktzugriffsspeicher), eine CD-ROM (Nurlesespeicher in Kompaktdiskform),
eine CD-R (aufzeichnungsfähig)/RW (wiederbeschreibbar)
oder dergleichen sein. Das magnetooptische Aufzeichnungsmedium kann
eine (magnetooptische) MO-Platte oder dergleichen sein.
-
Zum
Verteilen des Datenschutzprogramms werden tragbare Aufzeichnungsmedien
wie zum Beispiel DVDs, CD-ROMs etc. verkauft, welche das Datenschutzprogramm
speichern.
-
Alternativ
dazu kann das Datenschutzprogramm in einer Speichervorrichtung eines
Server-Computers gespeichert und vom Server-Computer über ein
Netzwerk zu einem anderen Computer übertragen werden.
-
Der
Computer zum Ausführen
des Datenschutzprogramms lädt
das auf einem tragbaren Aufzeichnungsmedium aufgezeichnete oder
von dem Server-Computer übertragene
Datenschutzprogramm zum Beispiel in seine eigene Speichervorrichtung.
Der Computer liest dann das Datenschutzprogramm aus der Speichervorrichtung
und führt
eine Verarbeitungssequenz gemäß dem Datenschutzprogramm
durch. Alternativ dazu kann der Computer das Datenschutzprogramm
von dem tragbaren Aufzeichnungsmedium direkt lesen und eine Verarbeitungssequenz
gemäß dem Server-Programm
ausführen.
Ferner kann der Computer alternativ dazu eine Verarbeitungssequenz
gemäß dem Datenschutzprogramm
jedesmal ausführen,
wenn der Computer einen Teil des von dem Server-Computer übertragenen
Datenschutzprogramms empfängt.
-
In
Ausführungsformen
der vorliegenden Erfindung, wie sie oben beschrieben wurden, ist
nur, wenn Identifizierungsinformationen über ein Anforderungsquellenprogramm,
welches eine Zugriffsanforderung ausgegeben hat, in einer Zugriffserlaubnis-Verwaltungstabelle
registriert wurden, Zugriff auf Daten in einem zu schützenden
Betriebsmittel basierend auf der Zugriffsanforderung erlaubt, und
die Daten in dem zu schützenden
Betriebsmittel werden gemäß der Zugriffsanforderung
verarbeitet: Selbst wenn die Daten in dem zu schützenden Betriebsmittel in einem
Zustand sind, in dem durch eine Anwendung, welche auf die Daten
zugreifen darf, zugegriffen wird, wird daher ein Zugriff auf die
Daten in dem zu schützenden
Betriebsmittel von anderen Anwendungen, deren Identifizierungsinformationen
in der Zugriffserlaubnis-Verwaltungstabelle nicht registriert wurden,
zurückgewiesen.
Folglich wird die Sicherheit der Daten in dem zu schützenden
Betriebsmittel erhöht.
-
Das
vorhergehende wird nur als die Grundlagen der vorliegenden Erfindung
veranschaulichend betrachtet. Da zahlreiche Modifikationen und Änderungen
dem Fachmann ohne weiteres in den Sinn kommen, soll es ferner nicht
die Erfindung auf die exakte Konstruktion und Anwendungen, die gezeigt und
beschrieben wurden, beschränken,
und demgemäß schließt die Erfindung
alle geeigneten Modifikationen und Äquivalente ein, die in den
Umfang der beigefügten
Ansprüche
fallen.