安全对策应用的机密文件保护方法及机密文件保护装置

摘要

提供一种能够抑制安全对策应用的性能劣化并且能确实地保护机密文件的安全对策应用的机密文件保护方法。根据本发明的安全对策应用的机密文件的保护方法，其特征在于，包括：第1步骤，在进行请求访问机密文件的请求访问源的应用的认证的认证模块和安装在安全对策应用中的通信模块之间进行通信，如果从通信模块返回有效应答码，则认证为允许访问机密文件的应用，在管理表中登记认证完成的应用；第2步骤，上述认证模块针对向上述机密文件的访问请求，如果访问请求源的应用是登记在上述管理表中的认证完成的应用，就允许访问。

说明书

技术领域

本发明涉及一种通过按应用单位控制对安全对策应用的机密信息的访问来保护安全对策应用的机密文件的方法及装置。

背景技术

近年来，多发生顾客信息的流出等泄漏重要个人信息的事件，对于企业而言，顾客信息的保护已成为重大的关心事项。

此外，由于自2005年4月以民间商业者为对象全面实施个人信息保护法，所以急速提高了对安全对策应用的关心。

在安全对策应用中，不用说防止个人信息的泄漏且保护应用本身的机密信息(工作环境定义信息或政策定义信息等)也很重要。应当明白，通过攻击安全对策应用的安全漏洞、篡改工作环境等的定义信息，就有可能非法地窃取个人信息。

作为认证能够访问机密文件的应用的方式存在一种以下专利文献1所述的技术。

此技术由筛选模块捕捉来自业务应用的API(Application ProgrammingInterface，应用编程接口)发行事件，在一时保留文件I/O发行的期间进行应用的认证。为来自允许的业务应用的文件的I/O被I/O监视模块允许，否定非法文件I/O的结构。

专利文献1：JP特开2003-108253号公报

发明内容

在安全对策应用中，解析·篡改保存该安全对策应用工作环境或政策定义信息等机密信息的机密文件是最危险的攻击。

例如，即使是设定禁止向所有网络或外带媒介物的带出操作的政策的委托人，如果对恶意的第三者重写政策定义信息了的话，就会有可能自由地带出机密信息。

上述专利文献1所述的技术，是适合于业务应用参照·更新业务文件或表文件等时访问控制的结构的技术。

但是，在保护作为进行访问控制一侧的安全对策应用本身的机密文件中存在以下这样的问题。

即，由于是捕捉API发行事件的外部的认证方法，所以产生筛选模块和应用认证模块的通信处理，及应用认证模块和I/O监视模块的通信处理，比用内部代码来安装，性能劣化。

此外，即使限定了仅文件OPEN的API捕捉时进行应用认证，但通常由于文件OPEN多次发行，也不能避免应用的性能劣化。

本发明的目的在于提供一种安全对策应用的机密文件保护方法，在安全对策应用中，动态地进行应用认证，抑制安全对策应用的性能劣化，并且能确实地保护在安全对策应用中设定的机密文件。

为了达成上述目的，本发明的安全对策应用的机密文件的保护方法，其特征在于，包括：第1步骤，在进行请求访问机密文件的请求访问源的应用的认证的认证模块和安装在上述安全对策应用中的通信模块之间，通过询问·回答认证方式进行通信，如果上述认证模块对于发送给上述通信模块的询问码，从上述通信模块返回有效应答码，则将该安全对策应用认证为允许访问机密文件的应用，作为认证完成的应用登记在管理表中；第2步骤，上述认证模块针对向上述机密文件的访问请求，捕捉该访问请求，判定访问请求源的应用是不是登记在上述管理表中的认证完成的应用，如果不是认证完成的话，就禁止向机密文件的访问，如果是认证完成的，就允许访问。

此外，其特征在于，在上述第1步骤中，对上述管理表，登记向认证完成的应用的机密文件的访问权限、可访问期间的信息；在上述第2步骤中，限定在登记的访问权限、可访问期间，允许向机密文件的访问。

并且，其特征在于，在上述第1步骤中，除访问权限及可访问时期外，对上述管理表，还登记允许访问文件路径名；在上述第2步骤中，限定在登记的访问权限、可访问期间及允许访问文件路径名，允许向机密文件的访问。

本发明的机密文件保护装置，保护安全对策应用的机密文件，其特征在于，包括：登记单元，在进行请求访问机密文件的请求访问源的应用的认证的认证模块和安装在上述安全对策应用中的通信模块之间，通过询问·回答认证方式进行通信，如果上述认证模块对于发送给上述通信模块的询问码，从上述通信模块返回有效应答码，则将该安全对策应用认证为允许访问机密文件的应用，作为认证完成的应用登记在管理表中；允许单元，上述认证模块针对向上述机密文件的访问请求，捕捉该访问请求，判定访问请求源的应用是不是登记在上述管理表中的认证完成的应用，如果不是认证完成的话，就禁止向机密文件的访问，如果是认证完成的，就允许访问。

并且，发明的具体结构，通过以下用于实施发明的最佳方式及附图就会明了。

根据本发明，由于结构为，在安全对策应用中安装在与认证向机密文件的访问权的认证模块之间进行安全对策应用的认证的通信模块，仅在通过此通信模块和认证模块之间的通信，向机密文件的访问权是登记完成的情况下，允许向机密文件的访问，所以，没有安装通信模块的非法应用不能想机密文件进行访问。

由此，能够确实防御机密文件，避免非法应用导致的机密文件的篡改行为。

由于是不依赖于API发行事件的认证方式，认证请求发行频度降低，不使性能非常劣化的安装是可能的。而且，由于在每一认证完成的应用中设定访问权限，所以能够更牢固、确实地保护机密文件。

再有，本说明书包含作为本申请的优先权的基础的日本国专利申请2005-1 89676号的说明书及/或图纸中所述的内容。

附图说明

图1是表示本发明的一实施方式(机密文件保护装置)的功能的方框图。

图2是用于说明应用管理信息的概况构成的表的图。

图3是用于说明应用信息的概况构成的图表。

图4是用于说明应用认证方式的概况构成的图。

图5是用于说明认证应用的机密文件访问的图。

图6是用于说明非法的程序的机密文件访问的图。

图7是用于说明安全对策应用的机密文件访问的流程图。

图8是用于说明认证·文件I/O捕捉模块的应用认证的流程图。

图9是用于说明认证·文件I/O捕捉模块的文件I/O捕捉的流程图。

图10是表示适用本发明的另一实施方式的图。

图11是用于说明应用1的应用信息的概况构成的图表。

图12是用于说明应用2的应用信息的概况构成的图表。

符号说明：

1计算机(机密文件保护装置)，8安全对策应用，10机密文件，11认证·文件I/O捕捉模块，81通信模块，111认证应用管理表，202应用信息，304、1104、1204可访问期间，305、1105、1205访问权限，1106、1206允许访问文件路径名

具体实施方式

下面，参照附图，具体地说明实施本发明时的一方式。

图1是表示适用本发明的计算机(机密文件保护装置)的一实施方式的功能的方框图。

计算机1包括：键盘2、鼠标3、显示器4、CPU5、外部存储装置6、存储器7，在存储器7中存储本发明中作为保护对象的安全对策应用8。此外，存储在各种业务中使用的业务应用9。

并且，存储用于保护安全对策应用8的机密文件10认证·文件I/O捕捉模块11。

认证·文件I/O捕捉模块11包括认证应用管理表111，捕捉安全对策应用8或其它应用的认证和文件I/O命令，根据登记在认证应用管理表111中的管理信息进行应用的认证，对于来自认证被否认的应用的文件I/O命令，不允许向机密文件10的访问。相反，对于来自未被否认的应用的文件I/O命令，限定在登记在认证应用管理表111中的访问权限和可访问时间，允许向机密文件10的访问。

机密文件10保存安全对策应用8的政策定义信息等的机密信息。一般文件12是机密文件之外的文件。

图2是表示认证·文件I/O捕捉模块102管理认证完成应用的认证应用管理表111的存储和内容的例子的图，登记允许向机密文件10的访问的应用数(登记应用数)201，和由涉及此应用的访问权限等组成的应用信息202。

如图3所示，应用信息202由允许向机密文件10的访问的应用名201、过程标识符302、登记日期时间303、可访问期间304、访问权限305构成。对应允许向机密文件10的访问的各个应用登记此应用信息202。

图4是表示认证·文件I/O捕捉模块11认证安全对策应用8的流程的图。

在图4的例子中，使用询问·回答认证方式进行认证。安全对策应用8参照机密文件10之前，从安装在安全对策应用8内的通信模块81对认证·文件I/O捕捉模块11发行认证请求。

收到认证请求的认证·文件捕捉模块11，作为认证请求的结果，将询问码返给安全对策应用8。

接受询问码的安全对策应用8，对询问码进行原定的运算。例如，将询问码和现在时刻的逻辑运算的结果密码化，进行计算无用数据值等的运算。

运算结果作为应答码向认证·文件I/O捕捉模块11发送。

认证·文件I/O捕捉模块11，比较对发送的询问码进行相同的运算的结果和接受的应答码，如果一致，则作为认证完成的应用，将安全对策应用8登记在认证应用管理表111中。如果不一致，则不登记，将认证错误结果返给安全对策应用8。

图5是表示认证完成的安全对策应用8参照机密文件10的结构的图。

安全对策应用8，通过通信模块81从认证·文件I/O捕捉模块11接受认证，在认证应用管理表111中已经登记完成。

安全对策应用8，在对机密文件10访问的情况下，向机密文件10发行文件I/O命令。

认证·文件I/O捕捉模块11，捕捉该文件I/O命令，从认证应用管理表111中检索请求源的安全对策应用8。由于是已经登记完成的，所以根据保存在认证应用管理表111中的应用信息202，在访问权限的范围内，且仅可访问期间的范围内允许向机密文件10的访问。

图6上表示禁止向非法应用600的机密文件10访问的结构的图。

非法应用600，由于不具有通信模块功能，所以不能进行应用的认证。因此，不登记在认证应用管理表111中。此非法应用600，在对机密文件100访问的情况下，发行向机密文件10的文件I/O命令。

认证·文件I/O捕捉模块111捕捉该文件I/O命令，从认证应用管理表111中检索请求源的非法应用600。由于不登记非法应用600，所以将该文件I/O命令作为错误返回请求源。

由此，禁止来自非法应用600的向机密文件10的访问。

图7是表示安全对策应用8进行认证请求，向机密文件10访问的顺序的流程图。

安全对策应用8，在向机密文件10访问之前，需要在认证·文件I/O捕捉模块11中认证、接受应用。

首先，安全对策应用8，对认证·文件I/O捕捉模块11发行认证请求(步骤700)。然后，安全对策应用8，接受作为认证请求的结果的询问码(步骤701)。此外，安全对策应用8根据接收的询问码进行原定的运算处理，计算出应答码(步骤702)，发送给认证·文件I/O捕捉模块11(步骤703)。如果认证失败，则由于应用没有取得工作所需的信息，所以安全对策应用8结束程序。如果认证成功，安全对策应用8，参照机密文件10(步骤706)，根据取得的工作环境或安全政策，进行作为安全对策应用8的处理(步骤707)。

图8是表示认证·文件I/O捕捉模块11认证应用的处理的顺序的流程图。

首先，认证·文件I/O捕捉模块11开始处理，等待接收来自应用的认证请求(步骤800)。接受应用的认证请求(步骤801)时，认证·文件I/O捕捉模块11确认请求种类(步骤802)。

请求种类如果是认证登记请求的话，认证·文件I/O捕捉模块11，生成询问码(步骤803)，向请求源的应用发送(步骤805)。并且，认证·文件I/O捕捉模块11，在询问码生成的同时，对询问码进行原定的运算处理，进行认证代码的生成(步骤804)。此后，认证·文件I/O捕捉模块11，从请求源的应用接收应答码(步骤807)，比较接受的应答码和生成的认证代码(步骤808)，来判定是不是来自正规的应用的认证请求(步骤809)。如果应答码和认证代码一致，则认证·文件I/O捕捉模块11，在认证应用管理表111中登记应用信息202(步骤810)。

接着，认证·文件I/O捕捉模块11，向请求源的应用反馈认证结果(步骤811)。

然后，如果请求种类是认证解除请求的话，则认证·文件I/O步骤模块11，从认证应用管理表111中删除该应用的应用信息202(步骤812)。

图9是表示认证·文件I/O模块11捕捉向机密文件10的访问，进行访问控制的顺序的流程图。

认证·文件I/O捕捉模块11开始处理，与图8中所示的应用认证功能不同，等待接受作为文件I/O捕捉功能的文件I/O命令(步骤900)。捕捉文件OPEN请求等的文件I/O命令(步骤901)时，认证·文件I/O捕捉模块11，确认该I/O命令是否向机密文件10请求(步骤902)。如果是向机密文件10的I/O命令，认证·文件I/O捕捉模块11，进一步进行文件I/O命令的发行源应用是否被登记在认证应用管理表111中的检索(步骤903)。如果是来自认证完成的应用的文件I/O命令，则认证·文件I/O捕捉模块11，根据登记在认证应用管理表111中的应用信息202的访问权限，进行访问控制(步骤904)。

例如，自访问权限仅赋予读入权限的应用中仅参照机密文件10，不能写入。此外，从赋予写入权限的应用中能够进行机密文件10的编辑。

图10是表示适用本发明的另一实施方式的图。

存在带有与图1的通信模块81相同的功能的通信模块1001、1003的应用1000和1002。

机密文件1006和1007，作为保存各机密信息的文件，通过认证·文件I/O捕捉模块11来控制访问。

为了能够指定允许访问的文件名扩展认证信息时，相对于认证应用管理表111的应用1000的应用信息，例如如图11那样，应用1000，能够发行仅自身的机密文件1006(文件路径名“C：￥secret￥机密文件1.txt”)能够访问的认证请求。

同样地，相对于认证应用管理表111的应用1002的应用信息，例如如图12那样，应用1002，能够发行仅自身的机密文件1007(文件路径名“C：￥secret￥机密文件2.doc”)能够访问的认证请求。

图10的情况下，应用1002，要向应用1000保持的机密文件1006访问时，由于在自身的应用信息(图12)中，在允许访问的文件路径名1206中不包含机密文件1006(文件路径名“C：￥secret￥机密文件1.txt”)，所以在访问控制顺序的步骤904中，判定为没有访问权限，不能向机密文件1006访问。此外，同样地，应用1000，要向应用1002保持的机密文件1007访问时，由于在自身的应用信息(图11)中，在允许访问的文件路径名1106中不包含机密文件1007(文件路径名“ C：￥secret￥机密文件2.doc”)，所以在访问控制顺序的步骤904中，判定为没有访问权限，不能向机密文件1007访问。通过根据应用划分可访问的机密文件，就能够实现细致的访问控制。

再有，将本说明书中引用的所有的出版物、专利及专利申请作为原有的参考，收集在本说明书中。

此外，本发明不限于公开的上述实施方式，在未脱离按照请求的范围规定的范围的限度内，能够进行再构成、变形、代用。