JP4084971B2 - Data protection apparatus, data protection method and program used in electronic data exchange system - Google Patents
Data protection apparatus, data protection method and program used in electronic data exchange system Download PDFInfo
- Publication number
- JP4084971B2 JP4084971B2 JP2002229347A JP2002229347A JP4084971B2 JP 4084971 B2 JP4084971 B2 JP 4084971B2 JP 2002229347 A JP2002229347 A JP 2002229347A JP 2002229347 A JP2002229347 A JP 2002229347A JP 4084971 B2 JP4084971 B2 JP 4084971B2
- Authority
- JP
- Japan
- Prior art keywords
- access
- user
- security level
- file
- content
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Storage Device Security (AREA)
Description
【0001】
【発明の属する技術分野】
この発明は、インターネット上に置かれたサーバシステムによる電子データ交換(Electronic Data Interchange,以下、「EDI」という。)システムにおけるデータ保護装置及びデータ保護方法並びにそれに用いるプログラムに関する。
【0002】
【従来の技術】
近年、インターネットの普及に伴い、企業間での伝票や図面等のデータのやり取りを電子化しようとする動きが急速に拡大しつつある。特にEDIシステムによる関連会社とのやり取りは、従来の郵便等による紙による取引に比較して手間や時間の短縮に効果があり、広く普及しようとしている。
【0003】
ここで、インターネットによるEDIシステムにおいては、インターネットが極めてオープンな環境であることから、データ保護の脆弱さが問題となる。インターネットによるEDIシステムを実現するためには、EDI用のデータをファイアウォールの外に置く必要があるため、ファイアウォールの外でのデータ保護の必要がある。
【0004】
このようなデータ保護の問題に対して、情報の暗号化や、セキュリティ・プロトコル等による方法が提案され、実用化されている。またユーザの権限や所属、もしくはコンテンツファイルの機密性に応じてセキュリティの管理を行う方法が提案され、きめ細やかにデータ保護を行うことができるようになっている。
【0005】
【発明が解決しようとする課題】
しかしながら、上記従来の技術においてはあらかじめ設定したアクセス権によって管理を行っており、セキュリティをかいくぐってなりすましによる不正アクセスが発生した場合に発見できない、もしくは発見しても対応が遅れるという問題点があった。
【0006】
この発明は、上記のような問題点を解決するためになされたものであり、インターネットによるEDIシステムにおいて、不正アクセスを排除し、不正アクセスに対して迅速な対応ができる安全性の高いセキュリティの管理を行うことが可能なデータ保護装置及びデータ保護方法並びにそれに用いるプログラムを提供することを目的とする。
【0007】
【課題を解決するための手段】
本発明に係るデータ保護装置は、インターネット上に置かれたサーバシステムによる電子データ交換システムにおけるデータ保護装置であって、
上記サーバシステムは、ユーザがインターネットを介してアクセスするファイルを格納するコンテンツサーバを含み、
上記ユーザそれぞれに上記電子データの管理能力に応じて予め付与されたセキュリティ・レベルが登録されるユーザ管理データベースと上記ファイルにそれぞれその内容に応じて付与されたセキュリティーレベルが登録されるコンテンツ管理データベースとを保持する管理情報保持手段、
上記各ユーザが上記コンテンツサーバにアクセスした際のアクセスの仕方に関するアクセス実績情報を保持するアクセス実績情報保持手段、
上記ユーザが上記コンテンツサーバにアクセス要求した際に、当該ユーザの上記ユーザ管理データベースに登録されたセキュリティ・レベルと上記ファイルの上記コンテンツ管理データベースに登録されたセキュリティ・レベルとを比較するとともに、当該ユーザの上記ユーザ管理データベースに登録されたセキュリティ・レベル、当該ユーザの上記アクセス実績情報保持手段に保持された上記アクセス実績情報、及び当該ユーザが上記ファイルへアクセス要求をした際のアクセスの仕方から当該ユーザの新たなセキュリティ・レベルを算出し、該算出した新たなセキュリティ・レベルと、アクセス要求をしたファイルの上記コンテンツ管理データベースに登録されたセキュリティ・レベルとを比較することにより、上記アクセス要求をした当該ユーザのアクセスが許可されているか否かを判定する判定手段、
該判定手段により、アクセスが許可されていると判定された場合に、要求されたファイルを上記インターネットを介して上記アクセス要求をした当該ユーザ側のクライアントに送信する送信手段、
を備えるものである。
【0008】
また、上記各ファイルを暗号化及び復号する暗号処理手段と、暗号化したファイルを格納する暗号化コンテンツ格納手段とを備えるものである。
【0009】
また、上記暗号化コンテンツ格納手段及び上記管理情報保持手段の設置場所としてUDF(ユニバーサル ディスク フォーマット)ファイルシステムを用いるものである。
【0010】
また、上記判定手段により、上記アクセス要求をした当該ユーザのアクセスが許可されていないと判定された場合に、該アクセス要求をした当該ユーザが上記ユーザ管理データベースに登録されているものか否かを確認するための再認証を行う認証手段を備え、該認証手段において、当該ユーザが上記ユーザ管理データベースに登録され、アクセスが許可され得ると判定された場合に、上記送信手段は要求されたファイルを、上記インターネットを介して上記アクセス要求をした当該ユーザ側のクライアントに送信するものである。
【0011】
また、上記判定手段により、上記アクセス要求をした当該ユーザのアクセスが許可されていないと判定された場合に、上記サーバシステムを管理する管理者に対して上記当該ユーザのアクセスが許可されていないと判定された判定の結果を通知する通知手段を備えたものである。
【0012】
また、上記管理情報保持手段及びアクセス実績情報保持手段のデータは記憶装置に設けられ、かつ、該記憶装置の中のOSから通常アクセスされない領域に設けられているものである。
【0013】
また、上記通常アクセスされない領域のセクタアドレスを取得するセクタアドレス取得手段と、該セクタアドレス取得手段により取得されたセクタアドレスを有するセクタに対して上記管理情報保持手段に保持されるべき情報を書き込む書込手段と、該書込手段により書き込まれた情報を読み取る読取手段とを備えるものである。
【0014】
また、上記判定手段として機能するプログラムは、上記インターネットとは別の通信回線を介して上記コンテンツサーバと接続されたプログラム格納部に置かれ、上記判定手段を実行する際に上記通信回線を介して上記プログラム格納部から上記コンテンツサーバにローディングされるものである。
【0015】
本発明に係るデータ保護方法は、インターネット上に置かれたサーバシステムによる電子データ交換システムにおける電子データ交換システムにおけるデータ保護方法であって、
上記サーバシステムは、ユーザがインターネットを介してアクセスするファイルを格納するコンテンツサーバを含み、
上記ユーザそれぞれに上記電子データの管理能力に応じてセキュリティ・レベルが予め付与されており、
上記ファイルにそれぞれその内容に応じてセキュリティ・レベルが付与されており、
上記コンテンツサーバは、上記各ユーザが上記コンテンツサーバにアクセスした際のアクセスの仕方に関するアクセス実績情報を保持するアクセス実績情報保持手段を有し、
上記コンテンツサーバが、
ユーザからのインターネットを介したファイルへのアクセス要求を受信する第1ステップ、
アクセス要求した上記予め付与されたユーザのセキュリティ・レベルと要求されたファイルの上記予め付与されたセキュリティ・レベルとを比較する第2ステップ、
上記アクセス要求したユーザの上記予め付与されたセキュリティ・レベルが上記要求されたファイルの上記予め付与されたセキュリティ・レベルよりも小さい場合は、アクセスは許可されず、上記アクセス要求したユーザの上記予め付与されたセキュリティ・レベルが上記要求されたファイルの上記予め付与されたセキュリティ・レベルよりも大きい場合は、当該ユーザの上記予め付与されたセキュリティ・レベル及び当該ユーザの上記アクセス実績情報保持手段に保持された上記アクセス実績情報と、当該ユーザが上記ファイルへアクセス要求をした際のアクセスの仕方とから当該ユーザの新たなセキュリティ・レベルを算出する第3ステップ、
該算出した新たなセキュリティ・レベルと、アクセス要求されたファイルの上記予め付与されたセキュリティ・レベルとを比較する第4ステップ、
該第4ステップにおける比較の結果、上記算出した新たなセキュリティ・レベルがアクセス要求されたファイルの上記予め付与されたセキュリティ・レベルよりも大きいか否かを判定し、上記算出した新たなセキュリティ・レベルがアクセス要求されたファイルの上記予め付与されたセキュリティ・レベルよりも大きい場合にアクセスが許可されていると判定する第5ステップ、
該第5ステップにおいて、アクセスが許可されていると判定された場合に、要求されたファイルを、インターネットを介して上記アクセス要求した当該ユーザ側のクライアントに送信する第6ステップ、
を実行するものである。
【0016】
また、上記各ファイルを暗号化して上記アクセス要求したユーザ側のクライアントに送信するものである。
【0017】
また、上記暗号化したファイル、上記ユーザのセキュリティ・レベル及び上記ファイルのセキュリティ・レベルをUDF(ユニバーサル ディスク フォーマット)ファイルシステムを用いて格納するものである。
【0018】
また、上記第5ステップにより、上記アクセス要求をしたユーザのアクセスが許可されていないと判定された場合に、該アクセス要求をした当該ユーザが上記コンテンツ管理データベースに登録されているものか否かを確認するための再認証を行う認証手段を備え、該認証手段において、当該ユーザが上記ユーザ管理データベースに登録されており、アクセスが許可され得ると判定された場合に、上記要求されたファイルを、上記インターネットを介して上記アクセス要求をした当該ユーザ側のクライアントに送信するものである。
【0019】
また、上記第5ステップにより、上記アクセス要求をした当該ユーザのアクセスが許可されていないと判定された場合に、上記サーバシステムを管理する管理者に対して上記アクセス要求をした当該ユーザのアクセスが許可されていないと判定した判定の結果を通知するものである。
【0020】
また、上記ユーザの上記予め付与されたセキュリティ・レベル及び上記ファイルの上記予め付与されたセキュリティ・レベルは、記憶装置の中のOSから通常アクセスされない領域に設けられるものである。
【0021】
また、上記通常アクセスされない領域のセクタアドレスを取得し、該取得したセクタアドレスを有するセクタに上記ユーザのセキュリティ・レベル及び上記ファイルのセキュリティ・レベルの情報を書き込み、該書き込まれた情報を読み取るものである。
【0022】
また、上記第1ないし第5ステップを実行するために用いられるプログラムは、上記インターネットとは別の通信回線を介して上記コンテンツサーバと接続されたプログラム格納部に置かれ、上記コンテンツサーバが上記第1ないし第5ステップを実行する際に上記通信回線を介して上記プログラム格納部から上記コンテンツサーバにローディングされるものである。
【0023】
本発明に係るプログラムは、インターネット上に置かれたサーバシステムによる電子データ交換システムにおける電子データ交換システムにおけるデータ保護に用いるプログラムであって、
上記サーバシステムは、ユーザがインターネットを介してアクセスするファイルを格納するコンテンツサーバを含み、
上記コンテンツサーバを、
上記ユーザそれぞれに上記電子データの管理能力に応じて予め付与されたセキュリティ・レベルが登録されるユーザ管理データベースと上記ファイルにそれぞれその内容に応じて付与されたセキュリティ・レベルが登録されるコンテンツ管理データベースとを保持する管理情報保持手段、
上記各ユーザが上記コンテンツサーバにアクセスした際のアクセスの仕方に関するアクセス実績情報を保持するアクセス実績情報保持手段、
上記ユーザが上記コンテンツサーバにアクセス要求した際に、当該ユーザの上記ユーザ管理データベースに登録されたセキュリティ・レベルと上記ファイルの上記コンテンツ管理データベースに登録されたセキュリティ・レベルとを比較するとともに、当該ユーザの上記ユーザ管理データベースに登録されたセキュリティ・レベル、当該ユーザの上記アクセス実績情報保持手段に保持された上記アクセス実績情報、及び当該ユーザが上記ファイルへアクセス要求した際のアクセスの仕方から当該ユーザの新たなセキュリティ・レベルを算出し、該算出した新たなセキュリティ・レベルと、アクセス要求をしたファイルの上記コンテンツ管理データベースに登録されたセキュリティ・レベルとを比較することにより、上記アクセス要求をした当該ユーザのアクセスが許可されているか否かを判定する判定手段、
該判定手段により、アクセスが許可されていると判定された場合に、要求されたファイルを上記インターネットを介して上記アクセス要求をしたユーザ側のクライアントに送信する送信手段、
として機能させるものである。
【0024】
また、上記コンピュータが、上記コンテンツサーバを、上記各ファイルを暗号化及び復号する暗号処理手段、暗号化したファイルを格納する暗号化コンテンツ格納手段として機能させるものである。
【0025】
また、上記暗号化コンテンツ格納手段及び上記管理情報保持手段の設置場所としてUDF(ユニバーサル ディスク フォーマット)ファイルシステムを用いるものである。
【0026】
また、上記コンピュータが、上記コンテンツサーバを、上記判定手段により、上記アクセス要求をした当該ユーザのアクセスが許可されていないと判定された場合に、該アクセス要求をした当該ユーザが上記ユーザ管理データベースに登録されているものか否かを確認するための再認証を行う認証手段として機能させ、該認証手段において、上記ユーザ管理データベースに登録され、アクセスが許可され得ると判定された場合に、上記送信手段は要求されたファイルを、上記インターネットを介して上記アクセス要求をした当該ユーザ側のクライアントに送信するように機能させるものである。
【0027】
また、上記コンピュータが、上記判定手段により、上記アクセス要求をした当該ユーザのアクセスが許可されていないと判定された場合に、上記サーバシステムを管理する管理者に対して上記当該ユーザのアクセスが許可されていないと判定された判定の結果を通知する通知手段として機能させるものである。
【0028】
また、上記管理情報保持手段及びアクセス実績情報保持手段のデータは記憶装置に設けられ、かつ、該記憶装置の中のOSから通常アクセスされない領域に設けられているものである。
【0029】
【発明の実施の形態】
以下、本発明に係るEDIシステムにおけるデータ保護装置及びデータ保護方法並びにそれに用いる記録媒体の実施の形態を図面に基づいて説明する。
【0030】
実施の形態1.
図1は、実施の形態1のEDIシステムにおけるデータ保護装置(以下、単にデータ保護装置という)が実現される環境及びデータ保護装置の構成を示すブロック図である。
【0031】
図1において、1はインターネット、2は社内LAN、3は取引先と交換するデータを保持するコンテンツサーバ、4は例えば取引先に設置されたPC(パソコン)(以下、クライアントという。)、5はファイアウォールであり、社内LAN2は、ファイアウォール5によって情報セキュリティが確保されている。なお、同図に示したクライアント4は一つであるが、クライアント4は複数設置することも可能である。
【0032】
301は平文コンテンツ格納部、302は管理情報格納部(管理情報格納手段)、303はアクセス実績情報格納部(アクセス実績情報格納手段)であり、これらはコンテンツサーバ3に備えられている。401はクライアント4が備えるコンテンツ格納部である。
【0033】
平文コンテンツ格納部301には平文コンテンツファイルが格納され、平文コンテンツファイルへのアクセスはローカルアクセスのみ許可される。管理情報格納部302には、各ユーザのセキュリティ・レベルの管理を行うためのユーザ管理データベース及び各コンテンツファイルのセキュリティ・レベルの管理を行うためのコンテンツ管理データベースが格納される。以下、管理情報格納部302に格納されるコンテンツ管理データベース及びユーザ管理データベースを総称する場合は管理情報という。
【0034】
図2は、ユーザ管理データベースの内容の一例を示す図である。同図に示したように、ユーザ管理データベースには、ユーザ名、グループ名、セキュリティ・レベル、氏名及び所属の情報が含まれる。
【0035】
ユーザ管理データベースに含まれるセキュリティ・レベルとは、各ユーザに対して設定されたセキュリティのレベルを示し、例えば、1から10までの整数で表し、数値が大きいほどセキュリティ・レベルは高い。
【0036】
図3は、コンテンツ管理データベースの内容の一例を示す図である。同図に示したように、コンテンツ管理データベースには、ファイル名、アクセス・グループ、セキュリティ・レベル、ディレクトリの情報が含まれる。
【0037】
コンテンツ管理データベースのアクセス・グループとは、ユーザ管理データベースに含まれるグループに属するユーザのみがファイルにアクセスできる旨を示す情報である。
【0038】
また、コンテンツ管理データベースに含まれるセキュリティ・レベルは、例えば、1から10までの整数で表し、ユーザのセキュリティ・レベルは、例えば、分野、業務内容等から、電子データ管理者等のように能力レベルの高いものには高い数値が設定され、単に文書作成者のような能力レベルの低いものには低い数値が設定され、コンテンツファイルのセキュリティー・レベルは、コンテンツファイルの種類、例えば、参照用のものには低く、変更可能あるいは編集可能なものには高く設定される。そして、ユーザに設定されたセキュリティ・レベルが各コンテンツファイルに設定されたセキュリティ・レベルよりも高い場合に、そのユーザはコンテンツファイルにアクセスできるということを示している。
【0039】
以上、説明したユーザ管理データベース及びコンテンツ管理データベースへの管理情報の登録及び編集等は、コンテンツサーバ3の管理者が、専用のセキュアAPI(アプリケーション プログラミング インターフェイス)を用いた管理ソフトで行う。具体的には、キーボード等の入力手段から入力された管理情報が、コンテンツサーバ3に備えられた専用のセキュアAPIを介して、ユーザ管理データベース及びコンテンツ管理データベースへ格納される。但し、コンテンツ管理データベースへの登録については、コンテンツファイル登録時に、管理者がセキュアAPIを用いた管理ソフトで行う。
【0040】
管理情報を用いて、実際にコンテンツファイルが取り出され、クライアント4側に送信される際の処理内容について、以下に説明する。
【0041】
まず、ユーザがクライアント4にログインする。その後、インターネット1を介して、コンテンツファイルに対してアクセス要求を行うが、当該要求を受けたコンテンツサーバ3は、専用のセキュアAPIを起動させる。より具体的には、クライアント4が、コンテンツサーバ3のFTPデーモンのポート番号を指定した際に、当該指定を認識したコンテンツサーバ3がセキュアAPIを呼ぶ。
【0042】
図4は、セキュアAPIの処理内容を示すフローチャートである。アクセス実績情報格納部303には、各ユーザのアクセス実績に基づくセキュリティ・レベルを算出するためのアクセス実績情報が格納される。以下、アクセス実績情報格納部303に格納される情報をアクセス実績情報という。アクセス実績情報は、ユーザ名、アクセス周期、アクセス頻度と従来の利用曜日、利用時間帯に代表される利用者のアクセスパターン、すなわちアクセスの仕方に関するアクセス情報が含まれる情報とする。ユーザのアクセス実績に基づくセキュリティ・レベルの算出は、ユーザのセキュリティ・レベル及びユーザのアクセス実績情報格納部303に格納されたアクセスパターンと、ファイルへのアクセス要求をした時のユーザのアクセスパターンとから算出され、例えば、ファイルへのアクセス要求をした時のユーザのアクセスパターンが通常のアクセス実績情報格納部303に格納されたアクセスパターンと異なる場合、あるいは短い周期で頻繁にアクセスされる場合等、不審なアクセスに対してセキュリティ・レベルは低く算出される。
【0043】
コンテンツサーバ3側のセキュアAPIは、クライアント4から送信されたユーザ名、要求するコンテンツファイルのファイル名等の情報を取得し(S401)、ユーザ管理データベース及びコンテンツ管理データベースから管理情報を得、ユーザのグループ名とコンテンツファイルのアクセスグループとを比較し、判定する判定手段として機能する(S402)。
【0044】
判定結果、グループ名が一致しなければ、コンテンツファイルにはアクセスできない。
【0045】
判定結果、グループ名が一致していれば、コンテンツサーバ3側のセキュアAPIは、セキュリティ・レベルの比較、判定を行う(S404)。
【0046】
判定結果、ユーザのセキュリティ・レベルがコンテンツファイルのセキュリティ・レベルを下回っていれば、コンテンツファイルへのアクセスは許可されない(S405:No)。
【0047】
判定結果、ユーザのセキュリティ・レベルがコンテンツファイルのセキュリティ・レベル以上(S405:Yes)であれば、コンテンツサーバ3側のセキュアAPIは、ユーザのセキュリティ・レベル及びアクセス実績情報に基づいて算出したセキュリティ・レベルとコンテンツファイルのセキュリティ・レベルとの比較、判定を行う(S406)。
【0048】
判定結果、ユーザのセキュリティ・レベル及びアクセス実績情報に基づいて算出したセキュリティ・レベルがコンテンツファイルのセキュリティ・レベルを下回っている場合(S407:No)は、コンテンツファイルへのアクセスは許可されない。
【0049】
判定結果、ユーザのセキュリティ・レベル及びアクセス実績情報に基づいて算出したセキュリティ・レベルがコンテンツファイルのセキュリティ・レベル以上(S407:Yes)であれば、コンテンツファイルへのアクセスが可能であるので、セキュアAPIはインターネット1を介して、コンテンツサーバ3の平文コンテンツ格納部301に格納されたコンテンツファイルの送信処理を行う(S408)。
【0050】
クライアント4側では、コンテンツファイルを受信すると、受信したコンテンツファイルをコンテンツ格納部401に格納する。格納されたコンテンツファイルは種々のアプリケーションで利用することができる。
【0051】
以上の説明のように、本実施の形態によれば、インターネットを利用したEDIシステムにおいて、ユーザのアクセス実績に基づいて、細かなセキュリティ・レベルを設定したデータ保護を実現することによって、不正アクセスを排除し、安全性の高いセキュリティ管理ができる。
【0052】
なお、本実施の形態においては、管理情報格納部(管理情報格納手段)302、アクセス実績情報格納部(アクセス実績情報格納手段)303及び判定手段・送信手段(セキュアAPI)としてコンピュータを機能させるプログラムが記録媒体に記録され、この記録媒体をコンピュータが読み取ることによって、上記S401〜S408の処理を実行する。
【0053】
実施の形態2.
図5は、実施の形態2のデータ保護装置が実現される環境及びデータ保護装置の構成を示すブロック図であり、図1と同一符号は同一部分または相当部分を示す。
【0054】
本実施の形態は、コンテンツサーバ3に暗号化コンテンツ格納部(暗号化コンテンツ格納手段)304及び暗号処理部(暗号処理手段)305が追加され、クライアント4に暗号処理部402が追加されている。暗号処理部305、402はコンテンツファイルの暗号化及び復号の処理を行う。
【0055】
データ保護装置では、後述のように、種々の処理を専用のセキュアAPIを用いて実現しているが、コンテンツファイルの暗号化処理も専用のセキュアAPIを用いて行う。なお、暗号化の方法については、情報の機密性等に応じて種々の暗号化方法を利用することが可能である。暗号化の方法自体は公知の技術を利用することができる。
【0056】
平文コンテンツ格納部301には、平文コンテンツファイルが格納される。平文コンテンツファイルをファイアウォール5の外に保持することを避けるため、実際には、例えば、コンテンツサーバ3がインターネット1に接続されていない状態で、フレキシブルディスクあるいはCD−ROM等のコンピュータ読出可能な可搬型記録媒体に記録された平文コンテンツファイルを暗号処理部305で暗号化し、平文コンテンツファイル自体はコンテンツサーバ3の中に存在しない状態でインターネット1に接続する。
【0057】
暗号化コンテンツ格納部304には、暗号処理部305で暗号化された平文コンテンツファイルが格納される。暗号化コンテンツ格納部304としては、具体的には、ハードディスク装置、フレキシブルディスク装置等、種々の記憶手段を用いることができる。
【0058】
管理情報格納部302には、各ユーザのセキュリティ・レベルの管理を行うためのユーザ管理データベース及び各コンテンツファイルのセキュリティ・レベルの管理を行うためのコンテンツ管理データベースが格納される。
【0059】
図6は、ユーザ管理データベースの内容の一例を示す図である。同図に示したように、ユーザ管理データベースには、実施の形態1で説明したユーザ名、グループ名、セキュリティ・レベル、氏名及び所属の情報に加えて、共通鍵の情報が含まれる。
【0060】
共通鍵とは、暗号化コンテンツ格納部304から複合された平文コンテンツファイルを、ユーザがインターネット1上に送出するにあたって、この平文コンテンツファイルの再度の暗号化及びこの再度暗号化された平文コンテンツファイルを受信したクライアント4側で複合するのに用いる鍵である。後述のように、この共通鍵は、平文コンテンツ格納部301に格納されている平文コンテンツファイルを、暗号化して暗号化コンテンツ格納部304に格納する際に用いる鍵とは異なるものである。
【0061】
図7は、コンテンツ管理データベースの内容の一例を示す図である。同図に示したように、コンテンツ管理データベースには、実施の形態1で説明したファイル名、アクセス・グループ、セキュリティ・レベル、ディレクトリの情報に加えて、コンテンツ鍵の情報が含まれる。
【0062】
コンテンツ鍵は、コンテンツサーバ3において、平文コンテンツファイルを暗号化コンテンツ格納部304に格納する際の暗号化及び暗号化コンテンツ格納部304からコンテンツファイルを読み出す際の復号に用いる鍵である。前述のように、コンテンツ鍵で複合された平文コンテンツファイルが、共通鍵で再度暗号化されて、インターネット上に送出される。
【0063】
以上、説明したユーザ管理データベース及びコンテンツ管理データベースへの管理情報の登録及び編集等は、コンテンツサーバ3の管理者が、専用のセキュアAPIを用いた管理ソフトで行う。具体的には、キーボード等の入力手段から入力された管理情報が、コンテンツサーバ3に備えられた専用のセキュアAPIを介して、ユーザ管理データベース及びコンテンツ管理データベースへ格納される。但し、コンテンツ管理データベースへの登録については、平文コンテンツファイルの暗号化処理を行った際に、セキュアAPIが自動的に行う。
【0064】
管理情報を用いて、実際に暗号化されたコンテンツファイルが取り出され、クライアント4側に送信される際の処理内容について、以下に説明する。
【0065】
まず、ユーザがクライアント4にログインする。その後、インターネット1を介して、コンテンツファイルに対してアクセス要求を行うが、当該要求を受けたコンテンツサーバ3は、専用のセキュアAPIを起動させる。より具体的には、クライアント4が、コンテンツサーバ3のFTPデーモンのポート番号を指定した際に、当該指定を認識したコンテンツサーバ3がセキュアAPIを呼ぶ。
【0066】
図8は、セキュアAPIの処理内容を示すフローチャートである。S801からS806の処理は実施の形態1のS401からS406と同様であり、説明は省略する。
【0067】
ユーザのセキュリティ・レベル及びアクセス情報に基づくセキュリティ・レベルとコンテンツファイルのセキュリティ・レベルを比較し、ユーザのセキュリティ・レベル及びアクセス実績情報に基づいて算出したセキュリティ・レベルがコンテンツファイルのセキュリティ・レベルを下回っている場合(S807:No)は、コンテンツファイルへのアクセスは許可されない。
【0068】
ユーザのセキュリティ・レベル及びアクセス実績情報に基づいて算出したセキュリティ・レベルがコンテンツファイルのセキュリティ・レベル以上であれば(S807:Yes、コンテンツファイルへのアクセスが可能であるので、コンテンツファイル鍵を用いて暗号化コンテンツファイルの復号処理を行う(S808)。
【0069】
復号処理によって得られた平文コンテンツファイルを圧縮し(S809)、その後、共通鍵を用いて再度暗号化する(S810)。ここで、圧縮した後で暗号化を行うのは、暗号化を先に行うと圧縮できなくなるからである。
【0070】
再度暗号化されたコンテンツファイルは、インターネット1を介してクライアント4に送信される(S811)。
【0071】
次に、暗号化されたコンテンツファイルを受信したクライアント4側における処理内容について説明する。図9は、暗号化されたコンテンツファイルを受信したクライアント4側における処理内容を示すフローチャートである。
【0072】
クライアント4側では、圧縮暗号化コンテンツファイルを受信する(S901)と、共通鍵を用いて複合する(S902)。ここで、先に復号を行うのは、複合された状態でなければ伸長できないからである。
【0073】
圧縮された状態の平文コンテンツファイルを伸長し(S903)、通常の平文コンテンツファイルとした後、クライアント4のコンテンツ格納部402に格納するために、共通鍵を用いて再度暗号化を行う(S904)。
【0074】
暗号化された平文コンテンツファイルをコンテンツ格納部402に格納して(S905)、クライアント4側の処理を終了する。
【0075】
次に、コンテンツ格納部402に格納された暗号化コンテンツファイルを読出して利用する際の処理について説明する。
【0076】
クライアント4側における暗号化コンテンツファイルの利用のために、セキュリティ機能を有するPCカードを使用する。クライアント4側に、PCカードを設置しておき、パスワードを入力することにより暗号化コンテンツファイルが複合され、種々のアプリケーションで利用することが可能になる。なお、PCカードによる復号処理については、公知の技術を用いることができる。
【0077】
以上のように、本実施の形態によれば、インターネットを利用したEDIシステムにおいて、コンテンツファイルの暗号化によって、より強固なデータ保護を実現することができる。
【0078】
なお、本実施の形態においては、暗号化コンテンツ格納部(暗号化コンテンツ格納手段)304及び暗号処理部(暗号処理手段)305としてコンピュータを機能させるプログラムが記録媒体に記録され、この記録媒体をコンピュータが読み取ることによって、上記S801〜S811の処理を実行する。
【0079】
実施の形態3.
図10は、実施の形態3におけるセキュアAPIの処理内容を示すフローチャートである。本実施の形態は、上記実施の形態1の処理に、利用者の再認証を行う認証手段を加えたものである。以下に、その処理内容を説明する。
【0080】
S1001からS1006までの処理は、実施の形態1におけるS401からS406までの処理と同様である。
【0081】
ユーザのセキュリティ・レベル及びアクセス情報に基づくセキュリティ・レベルとコンテンツファイルのセキュリティ・レベルを比較し、ユーザのセキュリティ・レベル及びアクセス実績情報に基づいて算出したセキュリティ・レベルがコンテンツファイルのセキュリティ・レベルを上回っている場合(S1007:Yes)は、コンテンツファイルへのアクセスが可能であるので、セキュアAPIはインターネット1を介してコンテンツファイルの送信処理を行う(S1010)。
【0082】
ユーザのセキュリティ・レベル及びアクセス実績情報に基づいて算出したセキュリティ・レベルがコンテンツファイルのセキュリティ・レベルを下回っている場合(S1007:No)は、ユーザの再認証を行い(S1008)、認証結果を判断する(S1009)。再認証は、ユーザが登録されたアクセス権を有するものであるかどうかを確認するものである。
【0083】
認証結果が良好な場合は、アクセス権を有するユーザ本人と判断してコンテンツファイルへのアクセスが可能となり、セキュアAPIはインターネット1を介してコンテンツファイルの送信処理を行う(S1010)。
【0084】
以上のように、アクセス実績情報に基づく判定手段によりアクセスが許可されなかった場合に、再認証を行う認証手段を加えることによって、アクセス拒否時のユーザへの対応を自動的に行うことができるので、ユーザに対するサーバ側管理者の対応負担を減らすことができる。
【0085】
なお、本実施の形態においては、認証手段としてコンピュータを機能させるプログラムが記録媒体に記録され、この記録媒体をコンピュータが読み取ることによって、上記S1001〜S1010の処理を実行する。
【0086】
実施の形態4.
図11は、実施の形態4におけるセキュアAPIの処理内容を示すフローチャートである。本実施の形態は、上記実施の形態1の処理に、サーバ側管理者への通知手段を加えたものである。以下に、その処理内容を説明する。
【0087】
S1101からS1106までの処理は、実施の形態1におけるS401からS406までの処理と同様である。
【0088】
ユーザのセキュリティ・レベル及びアクセス情報に基づくセキュリティ・レベルとコンテンツファイルのセキュリティ・レベルを比較し、ユーザのセキュリティ・レベル及びアクセス実績情報に基づいて算出したセキュリティ・レベルがコンテンツファイルのセキュリティ・レベルを上回っている場合(S1109:Yes)は、コンテンツファイルへのアクセスが可能であるので、セキュアAPIはインターネット1を介してコンテンツファイルの送信処理を行う(S1110)。
【0089】
ユーザのセキュリティ・レベル及びアクセス実績情報に基づいて算出したセキュリティ・レベルがコンテンツファイルのセキュリティ・レベルを下回っている場合(S1107:No)は、管理者に通知を行い(S1108)、コンテンツファイルへのアクセスは許可されない。
【0090】
以上のように、アクセス実績情報に基づく判定手段によりアクセスが許可されなかった場合に、管理者へ通知する通知手段を加えることによって、アクセス拒否時のユーザへの対応等を管理者の判断によって柔軟に行うことができるので、よりきめ細かい対応が可能となる。
【0091】
なお、本実施の形態においては、サーバ側管理者への通知手段としてコンピュータを機能させるプログラムが記録媒体に記録され、この記録媒体をコンピュータが読み取ることによって、上記S1001〜S1010の処理を実行する。
【0092】
実施の形態5.
図5において、暗号化コンテンツ格納部304、管理情報格納部302及びアクセス実績情報格納部303として、ISO13346で規格化されているUDFファイルシステムを利用することができる。
【0093】
高いレベルのセキュリティ機能やバックアップ機能を有するUDFファイルシステムを利用することによって、EDIシステム全体としてより強固なセキュリティを確保することができる。
【0094】
実施の形態6.
実施の形態1〜5において、セキュアAPIはアクセス実績情報及び管理情報を参照している。通常、これらはDB等のデータ保持手段によって保持されているが、これらを記憶装置の中のOS等が通常使用しない領域に書き込むことによって、アクセス実績情報及び管理情報のより一層のセキュリティを図ることができる。
【0095】
図12は、セキュアAPIがアクセス実績情報及び管理情報を書き込む領域について説明するための図である。同図において、「Hidden Sector」、「未使用領域」として示されている領域(以下、両者を未使用領域という)に、アクセス実績情報及び管理情報は書き込まれる。
【0096】
図13は、本実施の形態において、セキュアAPIがアクセス実績情報及び管理情報を未使用領域に書き込む際の処理内容を示すフローチャートである。
【0097】
セキュアAPIは、まず、未使用領域のセクタアドレスを取得する(S1301)。具体的には、図1に示したアクセス実績情報格納部303及び管理情報格納部302として用いられるハードディスク等の記憶装置において、パーティションテーブルにより管理されているデータ領域、すなわち、通常使用される領域の先頭セクタ(a)及び終了セクタ(b)の情報から、未使用領域(c)及び(d)のセクタアドレスを取得することができる。
【0098】
次に、セキュアAPIは、システムコールを利用して、BIOS(BasicInput/Output System)に含まれるデバイスドライバを呼び出し、アクセス実績情報または管理情報のバイト数、書き込み位置のセクタアドレス等のパラメータとともにアクセス実績情報または管理情報を渡す(S1302)。その結果、デバイスドライバにより未使用領域にデータが書き込まれる(S1303)。なお、未使用領域に書き込まれたアクセス実績情報または管理情報は、書き込み時と同様にセキュアAPIを用いることによって読み出すことができる。
【0099】
以上のように、OSから通常アクセスされない領域にアクセス実績情報及び管理情報を保持することによって、セキュアAPI以外によるアクセス実績情報及び管理情報への不正なアクセスを防止することができ、セキュリティの観点から好ましいものとなる。
【0100】
実施の形態7.
図14は、実施の形態7のEDIシステムにおける保護装置が実現される環境及びデータ保護装置の構成を示すブロック図であり、図1と同一符号は同一部分または相当部分を示す。
【0101】
上記実施の形態1においては、データ保護装置に用いられるセキュアAPIは、アクセス実績情報及び管理情報を有する環境下において実現されるプログラムとしてコンテンツサーバ3上のHDDに格納された。
【0102】
本実施の形態においては、このアクセス実績情報及び管理情報を有する環境下において実現されるプログラムが、インターネット1とは別の通信回線6の先に備えられた他の記録装置、例えば、コンピュータのハードディスクやRAM等の記録媒体によって実現されるプログラム格納部306に置かれる。
【0103】
この場合、コンテンツサーバ3がセキュアAPIを使用したプログラムを実行する際には、通信回線6を経由してセキュアAPIがローディングされ、主メモリ上で実行される。コンテンツサーバ3に対する不正アクセスを受け、プログラムが侵入者によって実行可能となった場合には、通信回線6を遮断するか、プログラム格納部306を停止もしくは記録媒体を排出することによってセキュアAPIを使用不可能とし、アクセス実績情報及び管理情報への不正アクセスを防止する。
【0104】
以上のように、コンテンツサーバ3のHDD以外の場所にセキュアAPIを実現するプログラムを置き、実行する際にインターネット1とは別の通信回線36を介してローディングすることによって、アクセス実績情報及び管理情報への不正アクセスを防止できる。上記実施の形態4のサーバ側管理者への通知手段と併用した場合には、サーバ側管理者は迅速な対応ができ、効果は特に大きくなる。
【0105】
【発明の効果】
本発明に係るデータ保護装置によれば、インターネット上に置かれたサーバシステムによる電子データ交換システムにおけるデータ保護装置であって、
上記サーバシステムは、ユーザがインターネットを介してアクセスするファイルを格納するコンテンツサーバを含み、
上記ユーザそれぞれに上記電子データの管理能力に応じて予め付与されたセキュリティ・レベルが登録されるユーザ管理データベースと上記ファイルにそれぞれその内容に応じて付与されたセキュリティーレベルが登録されるコンテンツ管理データベースとを保持する管理情報保持手段、
上記各ユーザが上記コンテンツサーバにアクセスした際のアクセスの仕方に関するアクセス実績情報を保持するアクセス実績情報保持手段、
上記ユーザが上記コンテンツサーバにアクセス要求した際に、当該ユーザの上記ユーザ管理データベースに登録されたセキュリティ・レベルと上記ファイルの上記コンテンツ管理データベースに登録されたセキュリティ・レベルとを比較するとともに、当該ユーザの上記ユーザ管理データベースに登録されたセキュリティ・レベル、当該ユーザの上記アクセス実績情報保持手段に保持された上記アクセス実績情報、及び当該ユーザが上記ファイルへアクセス要求をした際のアクセスの仕方から当該ユーザの新たなセキュリティ・レベルを算出し、該算出した新たなセキュリティ・レベルと、アクセス要求をしたファイルの上記コンテンツ管理データベースに登録されたセキュリティ・レベルとを比較することにより、上記アクセス要求をした当該ユーザのアクセスが許可されているか否かを判定する判定手段、
該判定手段により、アクセスが許可されていると判定された場合に、要求されたファイルを上記インターネットを介して上記アクセス要求をした当該ユーザ側のクライアントに送信する送信手段、
を備えるものであるので、不正アクセスを排除し、安全性の高いセキュリティ管理ができる。
【0106】
また、上記各ファイルを暗号化及び復号する暗号処理手段と、暗号化したファイルを格納する暗号化コンテンツ格納手段とを備えるものであるので、より強固なセキュリティを確保することができる。
【0107】
また、上記暗号化コンテンツ格納手段及び上記管理情報保持手段の設置場所としてUDF(ユニバーサル ディスク フォーマット)ファイルシステムを用いるものであるので、より強固なセキュリティを確保することができる。
【0108】
また、上記判定手段により、上記アクセス要求をした当該ユーザのアクセスが許可されていないと判定された場合に、該アクセス要求をした当該ユーザが上記ユーザ管理データベースに登録されているものか否かを確認するための再認証を行う認証手段を備え、該認証手段において、当該ユーザが上記ユーザ管理データベースに登録され、アクセスが許可され得ると判定された場合に、上記送信手段は要求されたファイルを、上記インターネットを介して上記アクセス要求をした当該ユーザ側のクライアントに送信するものであるので、ユーザのアクセスが許可されていないと判定された場合に、ユーザに対するサーバ側管理者の対応負担を減らすことができる。
【0109】
また、上記判定手段により、上記アクセス要求をした当該ユーザのアクセスが許可されていないと判定された場合に、上記サーバシステムを管理する管理者に対して上記当該ユーザのアクセスが許可されていないと判定された判定の結果を通知する通知手段を備えたものであるので、アクセス拒否時にユーザ等へのよりきめ細かい対応が可能となる。
【0110】
また、上記管理情報保持手段及びアクセス実績情報保持手段のデータは記憶装置に設けられ、かつ、該記憶装置の中のOSから通常アクセスされない領域に設けられているものであるので、アクセス実績情報保持手段及び管理情報保持手段に保持されている情報のより一層のセキュリティを図ることができる。
【0111】
また、上記通常アクセスされない領域のセクタアドレスを取得するセクタアドレス取得手段と、該セクタアドレス取得手段により取得されたセクタアドレスを有するセクタに対して上記管理情報保持手段に保持されるべき情報を書き込む書込手段と、該書込手段により書き込まれた情報を読み取る読取手段とを備えるものであるので、ファイルシステムから通常アクセスされない領域への書き込み及び読みだしが容易にできる。
【0112】
また、上記判定手段として機能するプログラムは、上記インターネットとは別の通信回線を介して上記コンテンツサーバと接続されたプログラム格納部に置かれ、上記判定手段を実行する際に上記通信回線を介して上記プログラム格納部から上記コンテンツサーバにローディングされるものであるので、アクセス実績情報保持手段及び及び管理情報保持手段への不正アクセスを防止できる。
【0113】
本発明に係るデータ保護方法は、インターネット上に置かれたサーバシステムによる電子データ交換システムにおける電子データ交換システムにおけるデータ保護方法であって、
上記サーバシステムは、ユーザがインターネットを介してアクセスするファイルを格納するコンテンツサーバを含み、
上記ユーザそれぞれに上記電子データの管理能力に応じてセキュリティ・レベルが予め付与されており、
上記ファイルにそれぞれその内容に応じてセキュリティ・レベルが付与されており、
上記コンテンツサーバは、上記各ユーザが上記コンテンツサーバにアクセスした際のアクセスの仕方に関するアクセス実績情報を保持するアクセス実績情報保持手段を有し、
上記コンテンツサーバが、
ユーザからのインターネットを介したファイルへのアクセス要求を受信する第1ステップ、
アクセス要求した上記予め付与されたユーザのセキュリティ・レベルと要求されたファイルの上記予め付与されたセキュリティ・レベルとを比較する第2ステップ、
上記アクセス要求したユーザの上記予め付与されたセキュリティ・レベルが上記要求されたファイルの上記予め付与されたセキュリティ・レベルよりも小さい場合は、アクセスは許可されず、上記アクセス要求したユーザの上記予め付与されたセキュリティ・レベルが上記要求されたファイルの上記予め付与されたセキュリティ・レベルよりも大きい場合は、当該ユーザの上記予め付与されたセキュリティ・レベル及び当該ユーザの上記アクセス実績情報保持手段に保持された上記アクセス実績情報と、当該ユーザが上記ファイルへアクセス要求をした際のアクセスの仕方とから当該ユーザの新たなセキュリティ・レベルを算出する第3ステップ、
該算出した新たなセキュリティ・レベルと、アクセス要求されたファイルの上記予め付与されたセキュリティ・レベルとを比較する第4ステップ、
該第4ステップにおける比較の結果、上記算出した新たなセキュリティ・レベルがアクセス要求されたファイルの上記予め付与されたセキュリティ・レベルよりも大きいか否かを判定し、上記算出した新たなセキュリティ・レベルがアクセス要求されたファイルの上記予め付与されたセキュリティ・レベルよりも大きい場合にアクセスが許可されていると判定する第5ステップ、
該第5ステップにおいて、アクセスが許可されていると判定された場合に、要求されたファイルを、インターネットを介して上記アクセス要求した当該ユーザ側のクライアントに送信する第6ステップ、
を実行するものであるので、不正アクセスを排除し、安全性の高いセキュリティ管理ができる。
【0114】
また、上記各ファイルを暗号化して上記アクセス要求したユーザ側のクライアントに送信するものであるので、より強固なセキュリティを確保することができる。
【0115】
また、上記暗号化したファイル、上記ユーザのセキュリティ・レベル及び上記ファイルのセキュリティ・レベルをUDFファイルシステムを用いて格納するものであるので、より強固なセキュリティを確保することができる。
【0116】
また、上記第5ステップにより、上記アクセス要求をしたユーザのアクセスが許可されていないと判定された場合に、該アクセス要求をした当該ユーザが上記コンテンツ管理データベースに登録されているものか否かを確認するための再認証を行う認証手段を備え、該認証手段において、当該ユーザが上記ユーザ管理データベースに登録されており、アクセスが許可され得ると判定された場合に、上記要求されたファイルを、上記インターネットを介して上記アクセス要求をした当該ユーザ側のクライアントに送信するものであるので、ユーザのアクセスが許可されていないと判定された場合に、ユーザに対するサーバ側管理者の対応負担を減らすことができる。
【0117】
また、上記第5ステップにより、上記アクセス要求をした当該ユーザのアクセスが許可されていないと判定された場合に、上記サーバシステムを管理する管理者に対して上記アクセス要求をした当該ユーザのアクセスが許可されていないと判定した判定の結果を通知するものであるので、アクセス拒否時にユーザ等へのよりきめ細かい対応が可能となる。
【0118】
また、上記ユーザの上記予め付与されたセキュリティ・レベル及び上記ファイルの上記予め付与されたセキュリティ・レベルは、記憶装置の中のOSから通常アクセスされない領域に設けられるものであるので、アクセス実績情報並びにユーザ及びファイルのセキュリティ・レベル等に関する情報のより一層のセキュリティを図ることができる。
【0119】
また、上記通常アクセスされない領域のセクタアドレスを取得し、該取得したセクタアドレスを有するセクタに上記ユーザのセキュリティ・レベル及び上記ファイルのセキュリティ・レベルの情報を書き込み、該書き込まれた情報を読み取るものであるので、ファイルシステムから通常アクセスされない領域への書き込み及び読みだしが容易にできる。
【0120】
また、上記第1ないし第5ステップを実行するために用いられるプログラムは、上記インターネットとは別の通信回線を介して上記コンテンツサーバと接続されたプログラム格納部に置かれ、上記コンテンツサーバが上記第1ないし第5ステップを実行する際に上記通信回線を介して上記プログラム格納部から上記コンテンツサーバにローディングされるものであるので、アクセス実績情報並びにユーザ及びファイルのセキュリティ・レベル等に関する情報への不正アクセスを防止することができる。
【0121】
本発明に係るプログラムは、インターネット上に置かれたサーバシステムによる電子データ交換システムにおける電子データ交換システムにおけるデータ保護に用いるプログラムであって、
上記サーバシステムは、ユーザがインターネットを介してアクセスするファイルを格納するコンテンツサーバを含み、
上記コンテンツサーバを、
上記ユーザそれぞれに上記電子データの管理能力に応じて予め付与されたセキュリティ・レベルが登録されるユーザ管理データベースと上記ファイルにそれぞれその内容に応じて付与されたセキュリティ・レベルが登録されるコンテンツ管理データベースとを保持する管理情報保持手段、
上記各ユーザが上記コンテンツサーバにアクセスした際のアクセスの仕方に関するアクセス実績情報を保持するアクセス実績情報保持手段、
上記ユーザが上記コンテンツサーバにアクセス要求した際に、当該ユーザの上記ユーザ管理データベースに登録されたセキュリティ・レベルと上記ファイルの上記コンテンツ管理データベースに登録されたセキュリティ・レベルとを比較するとともに、当該ユーザの上記ユーザ管理データベースに登録されたセキュリティ・レベル、当該ユーザの上記アクセス実績情報保持手段に保持された上記アクセス実績情報、及び当該ユーザが上記ファイルへアクセス要求した際のアクセスの仕方から当該ユーザの新たなセキュリティ・レベルを算出し、該算出した新たなセキュリティ・レベルと、アクセス要求をしたファイルの上記コンテンツ管理データベースに登録されたセキュリティ・レベルとを比較することにより、上記アクセス要求をした当該ユーザのアクセスが許可されているか否かを判定する判定手段、
該判定手段により、アクセスが許可されていると判定された場合に、要求されたファイルを上記インターネットを介して上記アクセス要求をしたユーザ側のクライアントに送信する送信手段、
として機能させるものであるので、不正アクセスを排除し、安全性の高いセキュリティ管理ができる。
【0122】
また、上記コンピュータが、上記コンテンツサーバを、上記各ファイルを暗号化及び復号する暗号処理手段、暗号化したファイルを格納する暗号化コンテンツ格納手段として機能させるものであるので、より強固なセキュリティを確保することができる。
【0123】
また、上記暗号化コンテンツ格納手段及び上記管理情報保持手段の設置場所としてUDFファイルシステムを用いるものであるので、より強固なセキュリティを確保することができる。
【0124】
また、上記コンピュータが、上記コンテンツサーバを、上記判定手段により、上記アクセス要求をした当該ユーザのアクセスが許可されていないと判定された場合に、該アクセス要求をした当該ユーザが上記ユーザ管理データベースに登録されているものか否かを確認するための再認証を行う認証手段として機能させ、該認証手段において、上記ユーザ管理データベースに登録され、アクセスが許可され得ると判定された場合に、上記送信手段は要求されたファイルを、上記インターネットを介して上記アクセス要求をした当該ユーザ側のクライアントに送信するように機能させるものであるので、ユーザのアクセスが許可されていないと判定された場合に、ユーザに対するサーバ側管理者の対応負担を減らすことができる。
【0125】
また、上記コンピュータが、上記判定手段により、上記アクセス要求をした当該ユーザのアクセスが許可されていないと判定された場合に、上記サーバシステムを管理する管理者に対して上記当該ユーザのアクセスが許可されていないと判定された判定の結果を通知する通知手段として機能させるものであるので、アクセス拒否時にユーザ等へのよりきめ細かい対応が可能となる。
【0126】
また、上記管理情報保持手段及びアクセス実績情報保持手段のデータは記憶装置に設けられ、かつ、該記憶装置の中のOSから通常アクセスされない領域に設けられているものであるので、アクセス実績情報並びにユーザ及びファイルのセキュリティ・レベル等に関する情報のより一層のセキュリティを図ることができる。
【図面の簡単な説明】
【図1】 実施の形態1のEDIシステムにおけるデータ保護装置が実現される環境及びデータ保護装置の構成を示すブロック図である。
【図2】 ユーザ管理データベースの内容の一例を示す図である。
【図3】 コンテンツ管理データベースの内容の一例を示す図である。
【図4】 実施の形態1におけるセキュアAPIの処理内容を示すフローチャートである。
【図5】 実施の形態2のデータ保護装置が実現される環境及びデータ保護装置の構成を示すブロック図である。
【図6】 ユーザ管理データベースの内容の一例を示す図である。
【図7】 コンテンツ管理データベースの内容の一例を示す図である。
【図8】 実施の形態2のセキュアAPIの処理内容を示すフローチャートである。
【図9】 暗号化されたコンテンツファイルを受信したクライアント側における処理内容を示すフローチャートである。
【図10】 実施の形態3におけるセキュアAPIの処理内容を示すフローチャートである。
【図11】 実施の形態4におけるセキュアAPIの処理内容を示すフローチャートである。
【図12】 セキュアAPIがアクセス実績情報及び管理情報を書き込む領域について説明するための図である。
【図13】 実施の形態4において、セキュアAPIがアクセス実績情報及び管理情報を未使用領域に書き込む際の処理内容を示すフローチャートである。
【図14】 実施の形態7のEDIシステムにおける保護装置が実現される環境及びデータ保護装置の構成を示すブロック図である。
【符号の説明】
1 インターネット、2 社内LAN、3 コンテンツサーバ、
4 クライアント、5 ファイアウォール、301 平文コンテンツ格納部、
302 管理情報格納部、303 アクセス実績情報格納部、
304 暗号化コンテンツ格納部、305,306 プログラム格納部、
402 暗号処理部、401,402 コンテンツ格納部。[0001]
BACKGROUND OF THE INVENTION
The present invention relates to a data protection apparatus, a data protection method, and a program used therefor in an electronic data interchange (Electronic Data Interchange, hereinafter referred to as “EDI”) system using a server system placed on the Internet.
[0002]
[Prior art]
In recent years, with the widespread use of the Internet, the movement to digitize the exchange of data such as slips and drawings between companies is rapidly expanding. In particular, exchanges with affiliated companies using the EDI system are effective in reducing labor and time compared to conventional paper-based transactions using postal mails and the like, and are being widely spread.
[0003]
Here, in the EDI system by the Internet, since the Internet is an extremely open environment, the vulnerability of data protection becomes a problem. In order to realize an EDI system using the Internet, it is necessary to place data for EDI outside the firewall, and thus it is necessary to protect the data outside the firewall.
[0004]
For such data protection problems, methods based on information encryption and security protocols have been proposed and put into practical use. In addition, a method of managing security according to the authority and affiliation of a user or the confidentiality of a content file has been proposed, and data protection can be performed with fine detail.
[0005]
[Problems to be solved by the invention]
However, in the above conventional technology, the management is performed with the access right set in advance, and there is a problem that the security cannot be detected when improper access occurs due to impersonation or the response is delayed even if it is detected. .
[0006]
The present invention has been made in order to solve the above-described problems. In the EDI system using the Internet, it is possible to eliminate unauthorized access and manage security with high security capable of promptly responding to unauthorized access. It is an object to provide a data protection device, a data protection method, and a program used therefor.
[0007]
[Means for Solving the Problems]
A data protection device according to the present invention is a data protection device in an electronic data exchange system by a server system placed on the Internet,
The server system includes a content server that stores files that users access via the Internet,
the aboveUserRespectivelyThe security level previously assigned according to the electronic data management abilityManagement database in which is registeredWhenthe aboveTo fileRespectivelySecurity level granted according to the contentContent management database in which is registeredManagement information holding means for holding
the aboveEach userAbout how to access when the above content server is accessedAccess result information holding means for holding access result information,
When the user requested access to the content server, it was registered in the user management database of the userSecurity level and above fileRegistered in the content management databaseCompare security levels,Registered in the user management database of the userSecurity levelThe concernedUserFrom the access record information held in the access record information holding means and the access method when the user makes an access request to the file,Calculate the security level and calculateNewThe security level and the file that requested accessRegistered in the content management databaseThe above access request was made by comparing the security level.ConcernedUserNoA determination means for determining whether access is permitted;
When the determination means determines that access is permitted, the access request is made to the requested file via the Internet.ConcernedMeans for sending to the client on the user side,
Is provided.
[0008]
The image processing apparatus includes encryption processing means for encrypting and decrypting each file and encrypted content storage means for storing the encrypted file.
[0009]
Further, a UDF (Universal Disc Format) file system is used as the installation location of the encrypted content storage means and the management information holding means.
[0010]
Also, the access request is made by the determination means.ConcernedWhen it is determined that the user's access is not permitted, the access request is madeConcernedUserIn the above user management databaseRegisteredIs itAn authentication means for performing re-authentication to confirm whether or not, in the authentication means,The user is registered in the user management database.When it is determined that access can be permitted, the transmission means makes the access request to the requested file via the Internet.ConcernedIt is sent to the client on the user side.
[0011]
Also, the access request is made by the determination means.ConcernedIf it is determined that user access is not permitted, the administrator who manages the server systemIt was determined that the user's access is not allowedA notification means for notifying the result of the determination is provided.
[0012]
Also, the management information holding meansAnd the access record information holding means dataProvided in the storage device, and in the storage deviceOSAre provided in an area that is not normally accessed.
[0013]
Also onWritingA sector address acquiring means for acquiring a sector address of an area which is not normally accessed; and a writing means for writing information to be held in the management information holding means to a sector having a sector address acquired by the sector address acquiring means; And reading means for reading the information written by the writing means.
[0014]
Also, the determination meansPrograms that function as, Via a communication line different from the InternetLocated in the program storage unit connected to the content server,When executing judgment meansLoaded from the program storage unit to the content server via the communication lineIs.
[0015]
A data protection method according to the present invention is a data protection method in an electronic data exchange system in an electronic data exchange system by a server system placed on the Internet,
The server system includes a content server that stores files that users access via the Internet,
A security level is given in advance to each of the users according to the management ability of the electronic data,
Each of the above files is given a security level according to its contents.
The content server has an access record information holding means for holding access record information related to an access method when each user accesses the content server,
The content server
A first step of receiving a request for access to a file from a user via the Internet;
Requested accessGiven aboveThe user's security level and the requested fileGiven aboveA second step of comparing the security level;
Of the user who requested accessGiven aboveSecurity level of the requested fileGiven aboveIf it is lower than the security level, access is not permitted and the user who requested access is not allowed.Given aboveSecurity level of the requested fileGiven aboveIf it is greater than the security level,The user's previously givenSecurity level andThe access record information held in the access record information holding unit of the user and,From the access method when the user makes an access request to the file, the user's newThe third step of calculating the security level;
The calculatedNewThe security level of the requested fileGiven aboveA fourth step of comparing the security level;
Result of comparison in the fourth stepDetermining whether the calculated new security level is higher than the previously assigned security level of the file requested to be accessed, and determining whether the calculated new security level of the file requested to be accessed is Judge that access is permitted if the security level is higher than the pre-assigned security level5th step to
In the fifth step, when it is determined that access is permitted, the access request is made to the requested file via the Internet.ConcernedA sixth step of sending to the user side client;
TheExecuteIs.
[0016]
Further, each file is encrypted and transmitted to the client on the user side who requested the access.
[0017]
The encrypted file, the security level of the user, and the security level of the file are stored using a UDF (Universal Disk Format) file system.
[0018]
Further, when it is determined in the fifth step that access of the user who has requested the access is not permitted, the user who has requested the accessIn the content management databaseRegisteredIs itAn authentication means for performing re-authentication to confirm whether or not, in the authentication means,The user is registered in the user management databaseWhen it is determined that access can be permitted, the access request is made to the requested file via the Internet.ConcernedIt is sent to the client on the user side.
[0019]
In addition, the access request is made in the fifth step.ConcernedIf it is determined that user access is not permitted, the administrator who manages the server systemDetermined that the user who requested the above access is not allowed to accessThe result of determination is notified.
[0020]
In addition, the above userGiven aboveSecurity level and above fileGiven aboveThe security level is stored in the storage device.OSAre provided in an area that is not normally accessed.
[0021]
Also onWritingA sector address of an area that is not normally accessed is acquired, information on the security level of the user and the security level of the file is written in a sector having the acquired sector address, and the written information is read.
[0022]
In addition, the first to the above5th stepRunProgram used forThrough a separate communication line from the InternetIt is placed in a program storage unit connected to the content server, and is loaded from the program storage unit to the content server via the communication line when the content server executes the first to fifth steps.Is.
[0023]
A program according to the present invention is a program used for data protection in an electronic data exchange system in an electronic data exchange system by a server system placed on the Internet.,
The server system includes a content server that stores files that users access via the Internet,
The content server
the aboveUserRespectivelyThe security level previously assigned according to the electronic data management abilityManagement database in which is registeredWhenthe aboveTo fileRespectivelySecurity level granted according to the contentContent management database in which is registeredManagement information holding means for holding
the aboveEach userAccess result information on how to access when accessing the above content serverAccess result information holding means for holding
When the user requested access to the content server, it was registered in the user management database of the userSecurity level and above fileRegistered in the above content management databaseCompare security levels,Registered in the user management database of the userSecurity level,ConcernedUserFrom the access record information held in the access record information holding means and the access method when the user requests access to the file,Calculate the security level and calculateNewThe security level and the file that requested accessRegistered in the content management databaseThe above access request was made by comparing the security level.ConcernedUserNoA determination means for determining whether access is permitted;
Transmitting means for transmitting the requested file to the client on the user side who has made the access request via the Internet when the determining means determines that access is permitted;
It is to function as.
[0024]
Also,the aboveComputerBut the content serverIt functions as an encryption processing means for encrypting and decrypting each file, and an encrypted content storage means for storing the encrypted file.
[0025]
Further, a UDF (Universal Disc Format) file system is used as the installation location of the encrypted content storage means and the management information holding means.
[0026]
Also,the aboveComputerBut the content serverWhen the determination means determines that the access of the user who requested the access is not permitted, the access request is made.ConcernedUserIn the above user management databaseRegisteredIs itFunction as an authentication means for performing re-authentication to confirm whether or notRegistered in the user management databaseIf it is determined that access can be granted, the sending means is requestedFileMade the access request via the internetConcernedSend to user side clientTo function likeIs.
[0027]
Also,the aboveComputerBut,The access request was made by the determination means.ConcernedIf it is determined that user access is not permitted, the administrator who manages the server systemIt was determined that the user's access is not allowedIt functions as a notification means for notifying the result of determination.
[0028]
Also, the management information holding meansAnd the data of the access record information holding means are provided in the storage device, and are provided in an area that is not normally accessed from the OS in the storage device.Is.
[0029]
DETAILED DESCRIPTION OF THE INVENTION
Embodiments of a data protection apparatus, a data protection method, and a recording medium used therefor in an EDI system according to the present invention will be described below with reference to the drawings.
[0030]
Embodiment 1 FIG.
FIG. 1 is a block diagram illustrating an environment in which a data protection device (hereinafter simply referred to as a data protection device) in the EDI system according to the first embodiment is realized and a configuration of the data protection device.
[0031]
In FIG. 1, 1 is the Internet, 2 is an in-house LAN, 3 is a content server that holds data exchanged with a business partner, 4 is a PC (personal computer) (hereinafter referred to as a client) installed at the business partner, and 5 is, for example. The
[0032]
301 is a plaintext content storage unit, 302 is a management information storage unit (management information storage unit), and 303 is an access record information storage unit (access record information storage unit), which are provided in the
[0033]
A plaintext content file is stored in the plaintext
[0034]
FIG. 2 is a diagram illustrating an example of the contents of the user management database. As shown in the figure, the user management database includes user name, group name, security level, name, and affiliation information.
[0035]
The security level included in the user management database indicates the security level set for each user. For example, the security level is represented by an integer from 1 to 10, and the larger the numerical value, the higher the security level.
[0036]
FIG. 3 is a diagram illustrating an example of the contents of the content management database. As shown in the figure, the content management database includes file name, access group, security level, and directory information.
[0037]
The access group of the content management database is information indicating that only users belonging to the group included in the user management database can access the file.
[0038]
The security level included in the content management database is represented by an integer from 1 to 10, for example, and the user security level is, for example, from the field, business content, etc. A high number is set for a high level, a low level is set for a low level of ability, such as a document creator, and the security level of a content file is the type of content file, for example, for reference Is low, and is set high for those that can be changed or edited. Then, when the security level set for the user is higher than the security level set for each content file, the user can access the content file.
[0039]
As described above, registration and editing of management information in the user management database and content management database described above are performed by the administrator of the
[0040]
Processing contents when the content file is actually taken out and transmitted to the client 4 side using the management information will be described below.
[0041]
First, the user logs into the client 4. Thereafter, an access request is made to the content file via the Internet 1, and the
[0042]
FIG. 4 is a flowchart showing the processing contents of the secure API. The access record
[0043]
The secure API on the
[0044]
If the group name does not match, the content file cannot be accessed.
[0045]
As a result of the determination, if the group names match, the secure API on the
[0046]
As a result of the determination, if the security level of the user is lower than the security level of the content file, access to the content file is not permitted (S405: No).
[0047]
If the determination result shows that the security level of the user is equal to or higher than the security level of the content file (S405: Yes), the secure API on the
[0048]
When the determination result shows that the security level calculated based on the user security level and the access record information is below the security level of the content file (S407: No), access to the content file is not permitted.
[0049]
If the security level calculated based on the determination result, the user security level and the access record information is equal to or higher than the security level of the content file (S407: Yes), the content file can be accessed. Performs transmission processing of the content file stored in the plaintext
[0050]
On the client 4 side, when the content file is received, the received content file is stored in the
[0051]
As described above, according to the present embodiment, in the EDI system using the Internet, unauthorized access is prevented by realizing data protection with a detailed security level based on the user's access record. Eliminate and perform highly secure security management.
[0052]
In the present embodiment, a program that causes a computer to function as a management information storage unit (management information storage unit) 302, an access record information storage unit (access record information storage unit) 303, and a determination unit / transmission unit (secure API). Are recorded on a recording medium, and the computer reads the recording medium to execute the processes of S401 to S408.
[0053]
FIG. 5 is a block diagram showing an environment in which the data protection device of the second embodiment is realized and the configuration of the data protection device. The same reference numerals as those in FIG. 1 denote the same or corresponding parts.
[0054]
In this embodiment, an encrypted content storage unit (encrypted content storage unit) 304 and an encryption processing unit (encryption processing unit) 305 are added to the
[0055]
As will be described later, the data protection apparatus implements various processes using a dedicated secure API, but the content file encryption process is also performed using a dedicated secure API. As the encryption method, various encryption methods can be used depending on the confidentiality of information. A known technique can be used as the encryption method itself.
[0056]
The plaintext
[0057]
The encrypted
[0058]
The management
[0059]
FIG. 6 is a diagram illustrating an example of the contents of the user management database. As shown in the figure, the user management database includes common key information in addition to the user name, group name, security level, name, and affiliation information described in the first embodiment.
[0060]
The common key refers to the re-encryption of the plaintext content file and the re-encrypted plaintext content file when the user sends the plaintext content file combined from the encrypted
[0061]
FIG. 7 is a diagram showing an example of the contents of the content management database. As shown in the figure, the content management database includes content key information in addition to the file name, access group, security level, and directory information described in the first embodiment.
[0062]
The content key is a key used in the
[0063]
As described above, registration and editing of management information in the user management database and the content management database described above are performed by the administrator of the
[0064]
The processing contents when the content file actually encrypted using the management information is taken out and transmitted to the client 4 side will be described below.
[0065]
First, the user logs into the client 4. Thereafter, an access request is made to the content file via the Internet 1, and the
[0066]
FIG. 8 is a flowchart showing the processing contents of the secure API. The processing from S801 to S806 is the same as that from S401 to S406 in the first embodiment, and a description thereof will be omitted.
[0067]
Compare the security level based on the user's security level and access information with the security level of the content file, and the security level calculated based on the user's security level and access history information is lower than the security level of the content file. (S807: No), access to the content file is not permitted.
[0068]
If the security level calculated based on the user security level and the access record information is equal to or higher than the security level of the content file (S807: Yes, since the content file can be accessed, the content file key is used). Decryption processing of the encrypted content file is performed (S808).
[0069]
The plaintext content file obtained by the decryption process is compressed (S809), and then encrypted again using the common key (S810). Here, the reason why the encryption is performed after the compression is that the compression cannot be performed if the encryption is performed first.
[0070]
The content file encrypted again is transmitted to the client 4 via the Internet 1 (S811).
[0071]
Next, processing contents on the client 4 side that has received the encrypted content file will be described. FIG. 9 is a flowchart showing the processing content on the client 4 side that has received the encrypted content file.
[0072]
On the client 4 side, when the compressed and encrypted content file is received (S901), it is combined using the common key (S902). Here, the reason why the decryption is performed first is that it cannot be decompressed unless it is combined.
[0073]
The compressed plaintext content file is decompressed (S903), converted into a normal plaintext content file, and then encrypted again using a common key for storage in the
[0074]
The encrypted plaintext content file is stored in the content storage unit 402 (S905), and the processing on the client 4 side ends.
[0075]
Next, processing when the encrypted content file stored in the
[0076]
In order to use the encrypted content file on the client 4 side, a PC card having a security function is used. By installing a PC card on the client 4 side and inputting a password, the encrypted content file is combined and can be used in various applications. Note that a known technique can be used for the decryption processing by the PC card.
[0077]
As described above, according to the present embodiment, stronger data protection can be realized by encrypting a content file in an EDI system using the Internet.
[0078]
In the present embodiment, a program that causes a computer to function as the encrypted content storage unit (encrypted content storage unit) 304 and the encryption processing unit (encryption processing unit) 305 is recorded on a recording medium. Is read, the processing of S801 to S811 is executed.
[0079]
FIG. 10 is a flowchart showing the processing contents of the secure API in the third embodiment. In the present embodiment, an authentication means for re-authenticating the user is added to the processing of the first embodiment. The processing contents will be described below.
[0080]
The processing from S1001 to S1006 is the same as the processing from S401 to S406 in the first embodiment.
[0081]
The security level based on the user security level and access information is compared with the security level of the content file, and the security level calculated based on the user security level and access performance information exceeds the security level of the content file. If it is (S1007: Yes), the content file can be accessed, so the secure API performs the content file transmission process via the Internet 1 (S1010).
[0082]
When the security level calculated based on the user security level and the access record information is lower than the security level of the content file (S1007: No), the user is re-authenticated (S1008) and the authentication result is determined. (S1009). The re-authentication is to confirm whether or not the user has a registered access right.
[0083]
If the authentication result is good, it is determined that the user himself / herself has the access right, and the content file can be accessed, and the secure API performs a content file transmission process via the Internet 1 (S1010).
[0084]
As described above, when access is not permitted by the judging means based on the access record information, it is possible to automatically cope with the user at the time of access denial by adding an authentication means for re-authentication. It is possible to reduce the burden on the server side administrator for the user.
[0085]
In the present embodiment, a program that causes a computer to function as authentication means is recorded on a recording medium, and the processing of S1001 to S1010 is executed by the computer reading this recording medium.
[0086]
Embodiment 4 FIG.
FIG. 11 is a flowchart showing the processing contents of the secure API in the fourth embodiment. In the present embodiment, a means for notifying the server-side administrator is added to the processing of the first embodiment. The processing contents will be described below.
[0087]
The processing from S1101 to S1106 is the same as the processing from S401 to S406 in the first embodiment.
[0088]
The security level based on the user security level and access information is compared with the security level of the content file, and the security level calculated based on the user security level and access performance information exceeds the security level of the content file. If it is (S1109: Yes), the content file can be accessed, so the secure API performs the content file transmission process via the Internet 1 (S1110).
[0089]
When the security level calculated based on the user security level and the access record information is lower than the security level of the content file (S1107: No), the administrator is notified (S1108), Access is not allowed.
[0090]
As described above, by adding a notification means to notify the administrator when access is not permitted by the determination means based on the access record information, it is possible to flexibly deal with the user at the time of access refusal by the administrator's judgment Therefore, it is possible to deal with finer details.
[0091]
In the present embodiment, a program for causing a computer to function as means for notifying a server-side administrator is recorded on a recording medium, and the processing of S1001 to S1010 is executed by the computer reading this recording medium.
[0092]
In FIG. 5, a UDF file system standardized by ISO 13346 can be used as the encrypted
[0093]
By using a UDF file system having a high-level security function and a backup function, it is possible to ensure stronger security as a whole EDI system.
[0094]
Embodiment 6 FIG.
In the first to fifth embodiments, the secure API refers to access record information and management information. Normally, these are held by data holding means such as a DB, but by writing them in an area not normally used by the OS etc. in the storage device, further security of access record information and management information is to be achieved. Can do.
[0095]
FIG. 12 is a diagram for explaining an area in which the secure API writes access record information and management information. In the drawing, access record information and management information are written in areas indicated as “Hidden Sector” and “unused area” (hereinafter, both are referred to as unused areas).
[0096]
FIG. 13 is a flowchart showing the processing contents when the secure API writes the access record information and the management information in the unused area in the present embodiment.
[0097]
The secure API first acquires the sector address of the unused area (S1301). Specifically, in the storage device such as a hard disk used as the access record
[0098]
Next, the secure API calls a device driver included in the BIOS (BasicInput / Output System) using a system call, and accesses the access record together with parameters such as the number of bytes of the access record information or management information, the sector address of the write position, and the like. Information or management information is passed (S1302). As a result, data is written to the unused area by the device driver (S1303). Note that the access record information or the management information written in the unused area can be read by using the secure API as in the writing.
[0099]
As described above, by holding the access record information and management information in an area that is not normally accessed from the OS, unauthorized access to the access record information and management information other than the secure API can be prevented. This is preferable.
[0100]
Embodiment 7 FIG.
FIG. 14 is a block diagram showing an environment in which the protection device in the EDI system of Embodiment 7 is implemented and the configuration of the data protection device. The same reference numerals as those in FIG. 1 denote the same or corresponding parts.
[0101]
In the first embodiment, the secure API used for the data protection device is stored in the HDD on the
[0102]
In the present embodiment, the program realized in the environment having the access record information and the management information is another recording device provided at the end of the communication line 6 different from the Internet 1, for example, a hard disk of a computer. Or in a
[0103]
In this case, when the
[0104]
As described above, the access record information and the management information are obtained by placing a program for realizing the secure API in a location other than the HDD of the
[0105]
【The invention's effect】
According to the data protection device of the present invention, a data protection device in an electronic data exchange system by a server system placed on the Internet,
The server system includes a content server that stores files that users access via the Internet,
the aboveUserRespectivelyThe security level previously assigned according to the electronic data management abilityManagement database in which is registeredWhenthe aboveTo fileRespectivelySecurity level granted according to the contentContent management database in which is registeredManagement information holding means for holding
the aboveEach userAbout how to access when the above content server is accessedAccess result information holding means for holding access result information,
When the user requested access to the content server, it was registered in the user management database of the userSecurity level and above fileRegistered in the content management databaseCompare security levels,Registered in the user management database of the userSecurity levelThe concernedUserFrom the access record information held in the access record information holding means and the access method when the user makes an access request to the file,Calculate the security level and calculateNewThe security level and the file that requested accessRegistered in the content management databaseThe above access request was made by comparing the security level.ConcernedUserNoA determination means for determining whether access is permitted;
When the determination means determines that access is permitted, the access request is made to the requested file via the Internet.ConcernedMeans for sending to the client on the user side,
Therefore, unauthorized access can be eliminated and highly secure security management can be performed.
[0106]
Further, since the encryption processing means for encrypting and decrypting each file and the encrypted content storage means for storing the encrypted file are provided, stronger security can be ensured.
[0107]
Further, since the UDF (Universal Disc Format) file system is used as the installation location of the encrypted content storage means and the management information holding means, it is possible to ensure stronger security.
[0108]
Also, the access request is made by the determination means.ConcernedWhen it is determined that the user's access is not permitted, the access request is madeConcernedUserIn the above user management databaseRegisteredIs itAn authentication means for performing re-authentication to confirm whether or not, in the authentication means,The user is registered in the user management database.When it is determined that access can be permitted, the transmission means makes the access request to the requested file via the Internet.ConcernedSince it is transmitted to the client on the user side, when it is determined that the user access is not permitted, it is possible to reduce the burden on the server side administrator for the user.
[0109]
Also, the access request is made by the determination means.ConcernedIf it is determined that user access is not permitted, the administrator who manages the server systemIt was determined that the user's access is not allowedSince the notification means for notifying the result of the determination is provided, a finer response to the user or the like can be made when access is denied.
[0110]
Also, the management information holding meansAnd the access record information holding means dataProvided in the storage device, and in the storage deviceOSTherefore, the information held in the access record information holding unit and the management information holding unit can be further secured.
[0111]
Also onWritingA sector address acquiring means for acquiring a sector address of an area that is not normally accessed; and a writing means for writing information to be held in the management information holding means to a sector having the sector address acquired by the sector address acquiring means; And reading means for reading the information written by the writing means, it is easy to write to and read from an area that is not normally accessed from the file system.
[0112]
Also, the determination meansPrograms that function as, Via a communication line different from the InternetLocated in the program storage unit connected to the content server,When executing judgment meansLoaded from the program storage unit to the content server via the communication lineTherefore, unauthorized access to the access record information holding unit and the management information holding unit can be prevented.
[0113]
A data protection method according to the present invention is a data protection method in an electronic data exchange system in an electronic data exchange system by a server system placed on the Internet,
The server system includes a content server that stores a file that a user accesses via the Internet,
A security level is given in advance to each of the users according to the management ability of the electronic data,
Each of the above files is given a security level according to its contents.
The content server has access record information holding means for holding access record information related to an access method when each user accesses the content server,
The content server
A first step of receiving a request for access to a file from a user via the Internet;
Requested accessGiven aboveThe user's security level and the requested fileGiven aboveA second step of comparing the security level;
Of the user who requested accessGiven aboveSecurity level of the requested fileGiven aboveIf it is lower than the security level, access is not permitted and the user who requested access is not allowed.Given aboveSecurity level of the requested fileGiven aboveIf it is greater than the security level,The user's previously givenSecurity level andThe access record information held in the access record information holding unit of the user and,From the access method when the user makes an access request to the file, the user's newThe third step of calculating the security level;
The calculatedNewThe security level of the requested fileGiven aboveA fourth step of comparing the security level;
Result of comparison in the fourth stepDetermining whether the calculated new security level is higher than the previously assigned security level of the file requested to be accessed, and determining whether the calculated new security level of the file requested to be accessed is Judge that access is permitted if the security level is higher than the pre-assigned security level5th step to
In the fifth step, when it is determined that access is permitted, the access request is made to the requested file via the Internet.ConcernedA sixth step of sending to the user side client;
TheExecuteTherefore, unauthorized access can be eliminated and highly secure security management can be performed.
[0114]
Further, since each file is encrypted and transmitted to the client on the user side who has requested the access, stronger security can be ensured.
[0115]
Further, since the encrypted file, the security level of the user, and the security level of the file are stored using the UDF file system, stronger security can be ensured.
[0116]
Further, when it is determined in the fifth step that access of the user who has requested the access is not permitted, the user who has requested the accessIn the content management databaseRegisteredIs itAn authentication means for performing re-authentication to confirm whether or not, in the authentication means,The user is registered in the user management databaseWhen it is determined that access can be permitted, the access request is made to the requested file via the Internet.ConcernedSince it is transmitted to the client on the user side, when it is determined that the user access is not permitted, it is possible to reduce the burden on the server side administrator for the user.
[0117]
In addition, the access request is made in the fifth step.ConcernedIf it is determined that user access is not permitted, the administrator who manages the server systemDetermined that the user who requested the above access is not allowed to accessSince the result of the determination is notified, a finer response to the user or the like is possible when access is denied.
[0118]
In addition, the above userGiven aboveSecurity level and above fileGiven aboveThe security level is stored in the storage device.OSTherefore, it is possible to further improve the security of access record information and information related to the security level of users and files.
[0119]
Also onWritingSince the sector address of the area that is not normally accessed is acquired, information on the security level of the user and the security level of the file is written in the sector having the acquired sector address, and the written information is read. It is possible to easily write to and read from an area that is not normally accessed from the file system.
[0120]
In addition, the first to the above5th stepRunProgram used forThrough a separate communication line from the InternetIt is placed in a program storage unit connected to the content server, and is loaded from the program storage unit to the content server via the communication line when the content server executes the first to fifth steps.Therefore, unauthorized access to access record information and information related to user and file security levels can be prevented.
[0121]
A program according to the present invention is a program used for data protection in an electronic data exchange system in an electronic data exchange system by a server system placed on the Internet.,
The server system includes a content server that stores files that users access via the Internet,
The content server
the aboveUserRespectivelyThe security level previously assigned according to the electronic data management abilityManagement database in which is registeredWhenthe aboveTo fileRespectivelySecurity level granted according to the contentContent management database in which is registeredManagement information holding means for holding
the aboveEach userAccess result information on how to access when accessing the above content serverAccess result information holding means for holding
When the user requested access to the content server, it was registered in the user management database of the userSecurity level and above fileRegistered in the above content management databaseCompare security levels,Registered in the user management database of the userSecurity level,ConcernedUserFrom the access record information held in the access record information holding means and the access method when the user requests access to the file,Calculate the security level and calculateNewThe security level and the file that requested accessRegistered in the content management databaseThe above access request was made by comparing the security level.ConcernedUserNoA determination means for determining whether access is permitted;
A transmission means for transmitting the requested file to the client on the user side who has made the access request via the Internet when the determination means determines that access is permitted;
Therefore, unauthorized access can be eliminated and highly secure security management can be performed.
[0122]
Also,the aboveComputerBut the content serverSince it functions as an encryption processing means for encrypting and decrypting each file and an encrypted content storage means for storing the encrypted file, stronger security can be ensured.
[0123]
In addition, since the UDF file system is used as the installation location of the encrypted content storage means and the management information holding means, it is possible to ensure stronger security.
[0124]
Also,the aboveComputerBut the content serverWhen the determination means determines that the access of the user who requested the access is not permitted, the access request is made.ConcernedUserIn the above user management databaseRegisteredIs itFunction as an authentication means for performing re-authentication to confirm whether or notRegistered in the user management databaseIf it is determined that access can be granted, the sending means is requestedFileMade the access request via the internetConcernedSend to user side clientTo function likeTherefore, when it is determined that the user's access is not permitted, it is possible to reduce the burden on the server side administrator for the user.
[0125]
Also,the aboveComputerBut,The access request was made by the determination means.ConcernedIf it is determined that user access is not permitted, the administrator who manages the server systemIt was determined that the user's access is not allowedSince it functions as a notification means for notifying the result of determination, it is possible to deal with a user or the like more finely when access is denied.
[0126]
Also, the management information holding meansAnd the data of the access record information holding means are provided in the storage device, and are provided in an area that is not normally accessed from the OS in the storage device.Therefore, it is possible to further improve the security of access record information and information related to the security level of users and files.
[Brief description of the drawings]
FIG. 1 is a block diagram illustrating an environment in which a data protection device in an EDI system according to a first embodiment is implemented and a configuration of the data protection device.
FIG. 2 is a diagram showing an example of contents of a user management database.
FIG. 3 is a diagram showing an example of contents of a content management database.
4 is a flowchart showing processing contents of a secure API in Embodiment 1. FIG.
FIG. 5 is a block diagram illustrating an environment in which the data protection device of the second embodiment is realized and a configuration of the data protection device.
FIG. 6 is a diagram showing an example of the contents of a user management database.
FIG. 7 is a diagram showing an example of contents of a content management database.
FIG. 8 is a flowchart showing processing contents of a secure API according to the second embodiment;
FIG. 9 is a flowchart showing details of processing on the client side that has received an encrypted content file;
10 is a flowchart showing processing contents of a secure API in
FIG. 11 is a flowchart showing processing contents of a secure API in the fourth embodiment.
FIG. 12 is a diagram for describing an area in which a secure API writes access record information and management information.
FIG. 13 is a flowchart showing processing contents when the secure API writes access record information and management information in an unused area in the fourth embodiment.
FIG. 14 is a block diagram illustrating an environment in which a protection device in an EDI system according to a seventh embodiment is realized and a configuration of the data protection device.
[Explanation of symbols]
1 Internet, 2 internal LAN, 3 content server,
4 clients, 5 firewalls, 301 plaintext content storage,
302 management information storage unit, 303 access record information storage unit,
304 encrypted content storage unit, 305, 306 program storage unit,
402 Cryptographic processing unit, 401, 402 Content storage unit.
Claims (22)
上記サーバシステムは、ユーザがインターネットを介してアクセスするファイルを格納するコンテンツサーバを含み、
上記ユーザそれぞれに上記電子データの管理能力に応じて予め付与されたセキュリティ・レベルが登録されるユーザ管理データベースと上記ファイルにそれぞれその内容に応じて付与されたセキュリティーレベルが登録されるコンテンツ管理データベースとを保持する管理情報保持手段、
上記各ユーザが上記コンテンツサーバにアクセスした際のアクセスの仕方に関するアクセス実績情報を保持するアクセス実績情報保持手段、
上記ユーザが上記コンテンツサーバにアクセス要求した際に、当該ユーザの上記ユーザ管理データベースに登録されたセキュリティ・レベルと上記ファイルの上記コンテンツ管理データベースに登録されたセキュリティ・レベルとを比較するとともに、当該ユーザの上記ユーザ管理データベースに登録されたセキュリティ・レベル、当該ユーザの上記アクセス実績情報保持手段に保持された上記アクセス実績情報、及び当該ユーザが上記ファイルへアクセス要求をした際のアクセスの仕方から当該ユーザの新たなセキュリティ・レベルを算出し、該算出した新たなセキュリティ・レベルと、アクセス要求をしたファイルの上記コンテンツ管理データベースに登録されたセキュリティ・レベルとを比較することにより、上記アクセス要求をした当該ユーザのアクセスが許可されているか否かを判定する判定手段、
該判定手段により、アクセスが許可されていると判定された場合に、要求されたファイルを上記インターネットを介して上記アクセス要求をした当該ユーザ側のクライアントに送信する送信手段、
を備えることを特徴とするデータ保護装置。A data protection device in an electronic data exchange system by a server system placed on the Internet,
The server system includes a content server that stores files that users access via the Internet,
A content management database in which the electronic data the user management database and the files in each security level granted in accordance with the contents of previously assigned security level in accordance with the management capabilities is registered is registered for each said user Management information holding means for holding
Access record information holding means for each user holds access performance information on how to access when accessing the said content server,
When the user makes an access request to the content server, the security level registered in the user management database of the user is compared with the security level registered in the content management database of the file, and the user the user management database to a registered security level, the access record information holding means the access record information held in of the user, and the user from the way of the access when the user has an access request to the file calculating a new security level, and the new security level the calculated, by comparing the security level registered in the content management database files an access request, and the access request Determining means for determining whether the user of the access is permitted,
The by determining means, if it is determined that access is allowed, transmitting means for transmitting the requested file to the user side of the client that the access request via the Internet,
A data protection device comprising:
上記サーバシステムは、ユーザがインターネットを介してアクセスするファイルを格納するコンテンツサーバを含み、
上記ユーザそれぞれに上記電子データの管理能力に応じてセキュリティ・レベルが予め付与されており、
上記ファイルにそれぞれその内容に応じてセキュリティ・レベルが付与されており、
上記コンテンツサーバは、上記各ユーザが上記コンテンツサーバにアクセスした際のアクセスの仕方に関するアクセス実績情報を保持するアクセス実績情報保持手段を有し、
上記コンテンツサーバが、
ユーザからのインターネットを介したファイルへのアクセス要求を受信する第1ステップ、
アクセス要求した上記予め付与されたユーザのセキュリティ・レベルと要求されたファイルの上記予め付与されたセキュリティ・レベルとを比較する第2ステップ、
上記アクセス要求したユーザの上記予め付与されたセキュリティ・レベルが上記要求されたファイルの上記予め付与されたセキュリティ・レベルよりも小さい場合は、アクセスは許可されず、上記アクセス要求したユーザの上記予め付与されたセキュリティ・レベルが上記要求されたファイルの上記予め付与されたセキュリティ・レベルよりも大きい場合は、当該ユーザの上記予め付与されたセキュリティ・レベル及び当該ユーザの上記アクセス実績情報保持手段に保持された上記アクセス実績情報と、当該ユーザが上記ファイルへアクセス要求をした際のアクセスの仕方とから当該ユーザの新たなセキュリティ・レベルを算出する第3ステップ、
該算出した新たなセキュリティ・レベルと、アクセス要求されたファイルの上記予め付与されたセキュリティ・レベルとを比較する第4ステップ、
該第4ステップにおける比較の結果、上記算出した新たなセキュリティ・レベルがアクセス要求されたファイルの上記予め付与されたセキュリティ・レベルよりも大きいか否かを判定し、上記算出した新たなセキュリティ・レベルがアクセス要求されたファイルの上記予め付与されたセキュリティ・レベルよりも大きい場合にアクセスが許可されていると判定する第5ステップ、
該第5ステップにおいて、アクセスが許可されていると判定された場合に、要求されたファイルを、インターネットを介して上記アクセス要求した当該ユーザ側のクライアントに送信する第6ステップ、
を実行することを特徴とするデータ保護方法。A data protection method in an electronic data exchange system in an electronic data exchange system by a server system placed on the Internet,
The server system includes a content server that stores files that users access via the Internet,
A security level is given in advance to each of the users according to the management ability of the electronic data,
Each of the above files is given a security level according to its contents.
The content server has access record information holding means for holding access record information related to an access method when each user accesses the content server,
The content server
A first step of receiving a request for access to a file from a user via the Internet;
A second step of comparing the security level of the previously granted user who requested access with the previously given security level of the requested file;
If the pre-assigned security level of the user who requested the access is smaller than the pre-assigned security level of the requested file, access is not permitted and the pre-assigned of the user who requested the access If the assigned security level is higher than the previously assigned security level of the requested file, it is held in the previously given security level of the user and the access record information holding means of the user. A third step of calculating a new security level of the user from the access record information and a method of access when the user makes an access request to the file ;
A fourth step of comparing the calculated new security level with the previously assigned security level of the requested file;
As a result of the comparison in the fourth step, it is determined whether or not the calculated new security level is higher than the previously assigned security level of the requested file, and the calculated new security level is determined. There fifth step of determining an access is larger than the previously assigned security level of a file access request is permitted,
In the fifth step, a sixth step of transmitting if it is determined that access is allowed, the requested file, to the user side of the client that the access request via the Internet,
Data protection method, characterized by the execution.
上記サーバシステムは、ユーザがインターネットを介してアクセスするファイルを格納するコンテンツサーバを含み、
上記コンテンツサーバを、
上記ユーザそれぞれに上記電子データの管理能力に応じて予め付与されたセキュリティ・レベルが登録されるユーザ管理データベースと上記ファイルにそれぞれその内容に応じて付与されたセキュリティ・レベルが登録されるコンテンツ管理データベースとを保持する管理情報保持手段、
上記各ユーザが上記コンテンツサーバにアクセスした際のアクセスの仕方に関するアクセス実績情報を保持するアクセス実績情報保持手段、
上記ユーザが上記コンテンツサーバにアクセス要求した際に、当該ユーザの上記ユーザ管理データベースに登録されたセキュリティ・レベルと上記ファイルの上記コンテンツ管理データベースに登録されたセキュリティ・レベルとを比較するとともに、当該ユーザの上記ユーザ管理データベースに登録されたセキュリティ・レベル、当該ユーザの上記アクセス実績情報保持手段に保持された上記アクセス実績情報、及び当該ユーザが上記ファイルへアクセス要求した際のアクセスの仕方から当該ユーザの新たなセキュリティ・レベルを算出し、該算出した新たなセキュリティ・レベルと、アクセス要求をしたファイルの上記コンテンツ管理データベースに登録されたセキュリティ・レベルとを比較することにより、上記アクセス要求をした当該ユーザのアクセスが許可されているか否かを判定する判定手段、
該判定手段により、アクセスが許可されていると判定された場合に、要求されたファイルを上記インターネットを介して上記アクセス要求をしたユーザ側のクライアントに送信する送信手段、
として機能させることを特徴とするプログラム。A program used for data protection in an electronic data exchange system in an electronic data exchange system by a server system placed on the Internet ,
The server system includes a content server that stores files that users access via the Internet,
The content server
Content management database in which the electronic data the user management database and the security level that is assigned depending on each the content of the file previously assigned security level in accordance with the management capabilities is registered is registered for each said user Management information holding means for holding
Access record information holding means for each user holds access performance information on how to access when accessing the said content server,
When the user makes an access request to the content server, the security level registered in the user management database of the user is compared with the security level registered in the content management database of the file , and the user the user management database to a registered security level, the access record information holding means the access record information held in of the user, and the manner of access when the user access request to said file of the user calculating a new security level, and a new level of security the calculated, by comparing the security level registered in the content management database files an access request, and the access request those Determining means for determining whether the user's access is permitted,
Transmitting means for transmitting the requested file to the client on the user side who has made the access request via the Internet when the determining means determines that access is permitted;
A program characterized by functioning as
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002229347A JP4084971B2 (en) | 2002-08-07 | 2002-08-07 | Data protection apparatus, data protection method and program used in electronic data exchange system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2002229347A JP4084971B2 (en) | 2002-08-07 | 2002-08-07 | Data protection apparatus, data protection method and program used in electronic data exchange system |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2004070674A JP2004070674A (en) | 2004-03-04 |
| JP4084971B2 true JP4084971B2 (en) | 2008-04-30 |
Family
ID=32015757
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2002229347A Expired - Fee Related JP4084971B2 (en) | 2002-08-07 | 2002-08-07 | Data protection apparatus, data protection method and program used in electronic data exchange system |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4084971B2 (en) |
Families Citing this family (15)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050203881A1 (en) * | 2004-03-09 | 2005-09-15 | Akio Sakamoto | Database user behavior monitor system and method |
| FR2881854B1 (en) * | 2005-02-04 | 2008-01-11 | Radiotelephone Sfr | METHOD FOR SECURELY MANAGING THE EXECUTION OF AN APPLICATION |
| US7832003B2 (en) * | 2005-04-28 | 2010-11-09 | Microsoft Corporation | Walled gardens |
| JP4713985B2 (en) * | 2005-09-02 | 2011-06-29 | 株式会社野村総合研究所 | Service availability determination system and program |
| JP4859198B2 (en) * | 2005-12-22 | 2012-01-25 | キヤノン株式会社 | Information processing apparatus, information processing method, program, and storage medium |
| JP2007183911A (en) * | 2006-08-17 | 2007-07-19 | Intelligent Wave Inc | Unauthorized operation monitoring program, unauthorized operation monitoring method, and unauthorized operation monitoring system |
| JP2008112236A (en) * | 2006-10-30 | 2008-05-15 | Kyocera Mita Corp | File reception identification program |
| JP2008158959A (en) * | 2006-12-26 | 2008-07-10 | Sky Kk | Terminal monitoring server, terminal monitoring program, data processing terminal and data processing terminal program |
| US8595282B2 (en) * | 2008-06-30 | 2013-11-26 | Symantec Corporation | Simplified communication of a reputation score for an entity |
| JP5505533B2 (en) * | 2013-03-06 | 2014-05-28 | カシオ計算機株式会社 | Access control device, terminal device, and program |
| US20160314312A1 (en) * | 2014-01-16 | 2016-10-27 | Masao Asada | Method for causing operating system to have immune function |
| US11048807B2 (en) | 2018-09-12 | 2021-06-29 | International Business Machines Corporation | Protecting data security with hierarchical authorization analysis |
| CN109656884A (en) * | 2018-12-14 | 2019-04-19 | 郑州云海信息技术有限公司 | A kind of method and device accessing file |
| CN112836221B (en) * | 2021-01-13 | 2024-02-06 | 深圳安捷丽新技术有限公司 | Multi-security-level partition portable solid state disk and design method thereof |
| CN114615403B (en) * | 2022-02-21 | 2023-10-24 | 广东职业技术学院 | Access method, device and system for video files of office camera |
-
2002
- 2002-08-07 JP JP2002229347A patent/JP4084971B2/en not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2004070674A (en) | 2004-03-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP1860590B1 (en) | Posture-based data protection | |
| JP5270694B2 (en) | Client computer, server computer thereof, method and computer program for protecting confidential file | |
| JP3516591B2 (en) | Data storage method and system and data storage processing recording medium | |
| US10268827B2 (en) | Method and system for securing data | |
| CN100407174C (en) | Data protection device and data protection method | |
| US8832458B2 (en) | Data transcription in a data storage device | |
| JP4084971B2 (en) | Data protection apparatus, data protection method and program used in electronic data exchange system | |
| US20110016330A1 (en) | Information leak prevention device, and method and program thereof | |
| JP2005128996A (en) | Information processing apparatus, information processing system, and program | |
| JP2007325274A (en) | Interprocess data communication system and interprocess data communication method | |
| US20130125196A1 (en) | Method and apparatus for combining encryption and steganography in a file control system | |
| JP5601840B2 (en) | Information leak prevention device to network | |
| CN105205403A (en) | Method and system for managing and controlling file data of local area network based on file filtering | |
| JP2005309501A (en) | Program installed in electronic device for accessing memory card and information processing apparatus for managing access to electronic device | |
| JP2006228139A (en) | Security management system | |
| JP4471129B2 (en) | Document management system, document management method, document management server, work terminal, and program | |
| KR101042218B1 (en) | Data Security Method of Computer Data Security System | |
| JP4116137B2 (en) | Data protection apparatus and method in electronic data exchange system, and recording medium recording program for realizing the method | |
| JP2008129803A (en) | File server, program, recording medium, and management server | |
| CN101243469A (en) | Digital License Migration from First Platform to Second Platform | |
| KR100627810B1 (en) | Retrieval Method and System for Information Security on Computer Export | |
| CN101112040B (en) | Method for protection of a digital rights file | |
| JP7790745B2 (en) | Data management device, data management system, data management method and program | |
| US7886147B2 (en) | Method, apparatus and computer readable medium for secure conversion of confidential files | |
| JP3840580B1 (en) | Software management system and software management program |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20040511 |
|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20040511 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20071012 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20071120 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20080118 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20080212 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20080218 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20110222 Year of fee payment: 3 |
|
| LAPS | Cancellation because of no payment of annual fees |