专利名称:信息泄露防止装置和方法及其程序的制作方法
技术领域:
本发明涉及信息泄露防止装置和方法及其程序,并且特别涉及用于防止信息从在 终端创建的文件泄露的信息泄露防止装置和方法及其程序,所述防止信息泄露的功能是通 过下述方式实现的,即在使应用程序和该应用程序的用户成对之后对该文件进行加密,使 得除用来创建该文件的应用程序之外的任何应用程序都不能获得该文件,甚至对已经创建 过该文件的用户而言都不能利用。
背景技术:
近年来,存储在诸如PC(个人计算机)之类的终端中的文件或文件中的信息的泄 露由于感染病毒而不断增加。为了防止文件的这种泄露,有效的是恰当地设置用于存取文 件的权限,以及以设置的访问权限为基础恰当地控制通过应用程序存取文件。在NPL 1中披露了以访问权限的设置和访问权限为基础的访问控制技术中的一 种。NPL 1规定了自主访问控制和强制访问控制。根据自主访问控制,资源的所有者为访问用户的每个属性设置访问权限。OS (操作 系统)以设置的访问权限为基础控制访问用户对所述资源的存取。自主访问控制的一个例子是Linux中的文件的访问控制。在Linux中,文件的所 有者为用户(访问用户)的每个属性(所有者、组或所有人)设置文件的访问权限(读取、 写入或执行)。因此,文件的访问权限的设置取决于文件的所有者;需要为每个文件进行所 述设置。因此,不保证为所有的文件都设置了合适的访问权限。同时,在没有与诸如自主访问控制之类的访问控制相关的规则的环境中,信息可 能由于病毒而从文件中泄露。原因是由于访问控制是根据自主访问控制在每个用户的基础 上进行的,当病毒以用户权限运行时,可以从由用户创建的文件中获得信息。根据强制访问控制,系统管理员根据安全等级将访问用户和资源分类成级别。随 后,系统管理员为每个安全等级设置访问用户可以访问的资源以及所述资源的访问权限。 所述设置称为安全策略。OS基于安全策略控制访问用户对资源的访问。当安全策略被恰当地设置时,即使 在病毒运行时,也能够防止重要的文件或文件中的信息泄露,这是因为可以访问的资源受 限制。强制访问控制的一个例子是SELinux(安全增强式(Security-Enhanced)Linux) 中的文件的访问控制。由SELinux中的管理员描述的是关于允许访问用户(应用程序)对 资源(例如,文件)具有什么类型的访问(例如,读取或写入)的访问控制规则。SELinux基于访问控制规则控制应用程序对文件的访问,允许由管理员对资源的 访问权限的设置进行集中控制。然而,需要描述访问用户、资源和访问之间的关系,作为访 问控制规则。当访问用户的数量、资源类型和访问类型增加时,访问控制规则变得更复杂。如上所述,根据自主访问控制,管理访问权限比强制访问控制更容易。然而,不能 保证为所有的文件设置了合适的访问权限。因此,当装置感染病毒等时,很容易发生信息泄Mo
同时,根据强制访问控制,当感染病毒时,难以发生信息泄露。然而,创建访问控制 规则的方式复杂。当用户数量、应用程序(应用软件)的数量、资源类型和访问类型增加或 减少时,需要进行维护。因此,存在采用加密密钥加密文件和采用解密密钥解密被加密的文件的技术(例 如 PTL 1 至 4)。{文献列表}{专利文献}{PTL 1}JP-A-2006-262450{PTL 2}JP-A-2007-108883{PTL 3}JP-A-02-004037{PTL 4}JP-A-09-134311{非专利文献}{NPL 1}访问控制类型-DAC, MAC 和 RBAC (http //itpro. nikkeibp. co. jp/ article/COLUMN/20060526/239136/)
发明内容
要解决的技术问题然而,PTL 1的技术是用来从下述信息中产生密钥设备唯一的且不能由用户改 变的信息,如型号名称;以及可以由用户改变的信息,如管理员信息。上述技术的问题是由 于在每次加密或解密信息时产生密钥,仅可以应用为加密和解密使用同一密钥的公用加密 技术。根据PTL 2的技术,访问权限ID被发送至访问管理服务器,采用从访问管理服务 器接收到的加密密钥来加密文件,并将加密文件存储在预定区域中。问题是仅可以使用采 用预先存储的密钥来加密文件的方法。PTL 3的技术仅仅是用于基于从分组中获知的用户标识符来检查文件的访问权限。PTL 4的技术是用来根据从介质中读出的介质ID产生私人密钥;使用私人密钥对 从介质读出的许可信息进行解码;产生数据解密密钥;以及采用数据解密密钥对从介质读 取的被加密的数据进行解密,以产生原始数据。这种技术使得被加密的数据能够保持秘密。 PTL 4的技术存在的问题是诸如密钥生成之类的访问控制复杂。本发明是在考虑到上述问题的基础上实现的。本发明的目标是提供一种信息泄露 防止装置和方法及其程序,其防止由于病毒导致的文件中的信息泄露,而不需要像强制访 问控制等情况中那样的访问控制规则。技术方案为了解决上述问题,根据本发明,一种信息泄露防止装置的特征在于,包括数据 处理装置,其为多个用户中的每一个执行多个应用程序;文件存储装置,其存储与所述应用 程序的执行相关联的文件;和密钥存储装置,其存储用于对所述文件的数据进行加密和解 密的加密密钥和解密密钥的组合,所述数据处理装置包括执行检测单元,其采用访问标识符为启动所述应用程序的每个用户检测所述应用程序的执行,所述访问标识符是用于识别 所述应用程序的标识符和用于识别启动所述应用程序的用户的标识符的组合;密钥确认单 元,其确认对所述访问标识符唯一的加密密钥和解密密钥的组合是否在密钥存储装置中; 密钥生成单元,当密钥确认单元对所述访问标识符唯一的加密密钥和解密密钥的组合不在 密钥存储装置中时,所述密钥生成单元生成对所述访问标识符唯一的加密密钥和解密密 钥,并将所述访问标识符以及加密密钥和解密密钥的组合作为关键字元(key element)存 储在密钥存储装置中;访问检测单元,其为每个用户检测所述应用程序对所述文件的访问; 和加密/解密单元,其 从密钥存储装置获取对所述访问标识符唯一的加密密钥和解密密 钥,并采用所获取的加密密钥和解密密钥的组合对数据进行加密和解密。为了解决上述问题,根据本发明,提供了一种系统的信息泄露防止方法,该系统包 括为多个用户中的每一个执行多个应用程序的数据处理装置、存储与所述应用程序的执行 相关联的文件的文件存储装置、以及存储用于对所述文件的数据进行加密和解密的加密密 钥和解密密钥的组合的密钥存储装置,该方法的特征在于包括下述步骤执行检测步骤,其 采用访问标识符为启动所述应用程序的每个用户检测所述应用程序的执行,所述访问标识 符是用于识别所述应用程序的标识符和用于识别启动所述应用程序的用户的标识符的组 合;密钥确认步骤,其确认对所述访问标识符唯一的加密密钥和解密密钥的组合是否在密 钥存储装置中;密钥生成步骤,当密钥确认步骤确认对所述访问标识符唯一的加密密钥和 解密密钥的组合不在密钥存储装置中时,所述密钥生成步骤生成对所述访问标识符唯一的 加密密钥和解密密钥,并将所述访问标识符以及加密密钥和解密密钥的组合作为关键字元 存储在密钥存储装置中;访问检测步骤,其为每个用户检测所述应用程序对所述文件的访 问;从密钥存储装置获取对所述访问标识符唯一的加密密钥和解密密钥的组合的步骤;以 及加密/解密步骤,其采用所获取的加密密钥和解密密钥的组合对数据进行加密和解密。为了解决上述问题,根据本发明,提供了一种系统的信息泄露防止程序,该系统包 括为多个用户中的每一个执行多个应用程序的数据处理装置、存储与所述应用程序的执行 相关联的文件的文件存储装置、以及存储用于对所述文件的数据进行加密和解密的加密密 钥和解密密钥的组合的密钥存储装置,该程序的特征在于,使计算机执行下述过程执行检 测过程,其采用访问标识符为启动所述应用程序的每个用户检测所述应用程序的执行,所 述访问标识符是用于识别所述应用程序的标识符和用于识别启动所述应用程序的用户的 标识符的组合;密钥确认过程,其确认对所述访问标识符唯一的加密密钥和解密密钥的组 合是否在密钥存储装置中;密钥生成过程,当密钥确认过程对所述访问标识符唯一的加密 密钥和解密密钥的组合不在密钥存储装置中时,生成对所述访问标识符唯一的加密密钥和 解密密钥的组合,并将所述访问标识符以及加密密钥和解密密钥的组合作为关键字元存储 在密钥存储装置中;访问检测过程,其为每个用户检测所述应用程序对所述文件的访问; 从密钥存储装置获取对所述访问标识符唯一的加密密钥和解密密钥的组合的过程;以及加 密/解密过程,其采用所获取的加密密钥和解密密钥的组合对数据进行加密和解密。有益效果根据本发明,采用访问标识符为每个用户检测应用程序的执行,所述访问标识符 是用于识别应用程序的标识符和用于识别启动该应用程序的用户的标识符的组合。当对访 问标识符唯一的加密密钥和解密密钥的组合不在密钥存储装置中时,产生对访问标识符唯一的加密密钥和解密密钥。为每个用户检测由应用程序对文件的访问。采用对访问标识符 唯一的加密密钥和解密密钥对数据进行加密和解密。因此,能够获得防止由病毒引起的文 件中的信息泄露的信息泄露防止装置和方法及其程序,而不需要像强制访问控制的情况中 那样的访问控制规则。
图1为示出采用根据本发明的第一示例性实施方式的信息泄露防止装置的终端 的配置的框图。图2为图示图1中示出的执行检测单元的操作的流程图。图3为图示图1中示出的密钥确认单元的操作的流程图。图4为图示图1中示出的密钥生成单元的操作的流程图。图5为图示图1中示出的访问检测单元的操作的流程图。图6为图示图1中示出的加密/解密单元的操作的流程图。图7为图示采用图1中示出的信息泄露防止装置的终端的特定示例的框图。图8为示出采用根据本发明的第二示例性实施方式的信息泄露防止装置的终端 的配置的框图。图9为图示图8中示出的访问检测单元的操作的流程图。图10为图示图8中示出的标识符添加单元的操作的流程图。图11为图示采用图8中示出的信息泄露防止装置的终端的特定示例的框图。
具体实施例方式接下来参照附图描述根据本发明的示例性实施方式的信息泄露防止装置和方法 及其程序。第一示例性实施方式图1为示出采用根据本发明的第一示例性实施方式的信息泄露防止装置的终端 的配置的框图。在图1中,本示例性实施方式的信息泄露防止装置安装在终端50中。终端 50包括数据处理装置10、密钥存储装置20、文件存储装置30和多个应用程序(应用软件)1至N。数据处理装置10为多个用户中的每一个执行多个应用程序1至N。根据本示例性 实施方式,数据处理装置10包括执行检测单元101、密钥确认单元102、密钥生成单元103、 访问检测单元104和加密/解密单元105。执行检测单元101检测由访问标识符指示的应用程序的执行,随后将访问标识符 发送至密钥确认单元102。顺便提及,访问标识符是用于识别用户的标识符和用于识别应用 程序的标识符的组合。识别用户的标识符可以是用户ID ;用于识别应用程序的标识符可以 是应用程序的执行文件名。在从执行检测单元101接收到访问标识符之后,密钥确认单元102确认在密钥存 储装置20中是否存在包括访问标识符的关键字元。如果不存在关键字元,则密钥确认单元 102将从执行检测单元101接收到的访问标识符发送至密钥生成单元103。顺便提及,关键 字元是访问标识符和密钥的组合;所述密钥是用于加密数据的加密密钥和用于解密被加密的数据的解密密钥的组合。在从密钥确认单元102接收到访问标识符之后,密钥生成单元103生成对访问标 识符唯一的密钥,并将由访问标识符和所产生的密钥构成的关键字元存储在密钥存储装置 20中。当检测到数据写入文件时,访问检测单元104将写入标识符发送至加密/解密单 元105。当检测到从文件读取数据时,访问检测单元104将读取标识符发送至加密/解密单 元105。顺便提及,写入标识符是对写入发出指示的访问标识符、文件标识符和将要写入的 数据的组合。读取标识符是对读取发出指示的访问标识符和文件标识符的组合。文件的文 件名可以用作文件标识符。在从访问检测单元104接收到写入标识符之后,加密/解密单元105在密钥存储 装置20中搜索具有包括在写入标识符中的访问标识符的关键字元。加密/解密单元105 从作为搜索结果而提取出的关键字元中获取加密密钥。在采用加密密钥对写入数据进行加 密之后,加密/解密单元105将被加密的数据写入在文件存储装置30上由文件标识符指示 的文件。
在从访问检测单元104接收到读取标识符之后,加密/解密单元105在密钥存储 装置20中搜索具有包括在读取标识符中的访问标识符的关键字元。加密/解密单元105 从作为搜索结果而提取出的关键字元中获取解密密钥。在使用解密密钥对从文件存储装置 30上由文件标识符指示的文件读出的数据进行解密之后,加密/解密单元105将被解密的 数据发送至由访问标识符指示的应用程序。密钥存储装置20存储上述关键字元。文件存储装置30存储由应用程序产生的文件。接下来参照图1至6详细描述根据本示例性实施方式的信息泄露防止装置的整个 操作。顺便提及,假设在密钥存储装置20中没有寄存任何关键字元。图2为图示图1中示出的执行检测单元101的操作的流程图。假设用户A(未示 出)启动应用程序M(KMSN)。由用户A和应用程序M构成的访问标识符由访问标识符 α (未示出)表示。在检测到应用程序M被执行(步骤S101)之后,执行检测单元101将访问标识符 α发送至密钥确认单元102 (步骤S102)。图3为图示图1中示出的密钥确认单元102的操作的流程图。如图4所示,在接 收到访问标识符α (步骤S201)之后,密钥确认单元102确认在密钥存储装置20中是否存 在包括该访问标识符α的关键字元(步骤S202)。如上所述,在密钥存储装置20中没有存储关键字元。因此,密钥确认单元102将 访问标识符α发送至密钥生成单元103 (步骤S203)。同时,如果在步骤S202中在密钥存储装置20中存储有关键字元(是),则密钥确 认单元102结束图3的过程,而不将访问标识符α发送至密钥生成单元103。图4为图示图1中图示的密钥生成单元103的操作的流程图。如图4所示,在从 密钥确认单元102接收到访问标识符α (步骤S301)之后,密钥生成单元103生成对访问 标识符α唯一的密钥α 1 (是加密密钥α 2和解密密钥α 3的组合)(步骤S302),并生成 由访问标识符α和密钥α 1组成的关键字元α 4(步骤S303)。随后密钥生成单元103将关键字元α 4存储在密钥存储装置20中(步骤S304)。
接下来参照图5和6描述应用程序M将要将数据1 (未示出)写入具有文件标识 符1(未示出)的文件1(未示出)中的示例。图5为图1中示出的访问检测单元104的操 作的流程图。图6为图示图1中示出的加密/解密单元105的操作的流程图。在图5的步骤S401中,在检测到数据写入文件1中(是)之后,访问检测单元104 将由访问标识符α、文件标识符1和数据1组成的写入标识符1 (未示出)发送至加密/解 密单元105(步骤S402)。如图6所示,在接收到写入标识符1 (步骤S501)之后,加密/解密单元105在密 钥存储装置20中搜索包含访问标识符α的关键字元α 4,并从关键字元α 4获取加密密钥 α 2 (步骤 S502)。而且,在采用获取的加密密钥α 2对数据1进行加密之后,加密/解密单元105将 被加密的数据1写入文件存储装置30上的文件1 (步骤S503)。接下来参照图5和6描述应用程序M将要从具有文件标识符1的文件1中读取数 据2(未示出)的示例。在图5的步骤S401中,当未检测到数据写入文件1 (否)时,在步骤S403中,访问 检测单元104确认是否检测到数据被读出。当检测到数据被读出(是)时,访问检测单元 104将由访问标识符α和文件标识符1组成的读取标识符1 (未示出)发送至加密/解密 单元105 (步骤S404)。顺便提及,当在步骤S403中没有检测到数据被读出(否)时,访问检测单元104 结束图6的过程,而不将写入或读取标识符发送至加密/解密单元105。当在图6的步骤S501中没有接收到写入标识符(否)时,加密/解密单元105确 认是否已经在步骤S504中接收到读取标识符1。当已经接收到读取标识符1(是)时,加密 /解密单元105在密钥存储装置20中搜索包含访问标识符α的关键字元α 4,并从关键字 元α 4中获取解密密钥α 3 (步骤S505)。随后,加密/解密单元105使用解密密钥α 3对从文件存储装置30上的文件1中 读取的数据2进行解密,并将解密数据2发送至应用程序Μ(步骤S506)。顺便提及,当在步骤S504中没有接收到读取标识符(否)时,加密/解密单元105 结束图6的过程,而不加密或解密数据。接下来参照图7描述采用图1中示出的根据本示例性实施方式的信息泄露防止装 置的终端的特定示例。作为一个例子,图1中示出的终端50应用于图7中示出的PC(个人计算机)51。 PC 51包括用作数据处理装置并通过程序控制运行的CPU(中央处理单元)11 ;用作密钥存 储装置并且是可擦写非易失性存储器的闪速存储器21 ;用作文件存储装置的HDD(硬盘驱 动器)31 ;以及作为多个应用程序中的一部分的邮递器41和TOB服务器42。在图7中示出的例子中,CPU 11用作执行检测单元111、密钥确认单元112、密钥 生成单元113、访问检测单元114和加密/解密单元115。用作单元111和115中的每一个 以使CPU 11运行的程序作为信息泄露防止程序存储在存储装置(未示出)中PC 51内部 的程序将要存储在该存储装置中。假设由用户A和邮递器41组成的访问标识符是AID1。而且,假设在闪速存储器21中未存储关键字元,并假设文件名用作文件标识符。假设用户A已经启动邮递器41。在检测到邮递器41已经启动之后,执行检测单元 111将AIDl发送至密钥确认单元112。在接收到AIDl之后,密钥确认单元112确认在闪速存储器21中是否存在包含 AIDl的关键字元。由于在闪速存储器21中没有关键字元,所以密钥确认单元112将AIDl 发送至密钥生成单元113。在接收到AIDl之后,密钥生成单元113生成对AIDl唯一的且由加密密钥1和解密 密钥1组成的KEYl。假设加密密钥1和解密密钥1分别为秘密密钥1和公开密钥(public key) 1。密钥生成单元113在闪速存储器21中存储由AIDl和KEYl组成的关键字元1。假设邮递器41将要将数据1写入HDD31上名字为〃 /mail/mailOl “的文件1。在检测到数据写入文件1之后,访问检测单元114将由AIDU “ /mail/mailOl “ 和数据1组成的写入标识符WIDl发送至加密/解密单元115。在接收到WIDl之后,加密/解密单元115在闪速存储器21中搜索包含AIDl的关 键字元1,并从关键字元1获取秘密密钥1。在采用获取的秘密密钥1对数据1进行加密之 后,加密/解密单元115将加密的数据1写入HDD 31上的文件1。假设邮递器41从HDD 31上的文件1中读取数据2。在检测到从文件1读出数据之后,访问检测单元114将由AID 1和〃 /mail/ mailOl"组成的读取标识符RID 1发送至加密/解密单元115。在接收到RIDl之后,加密/解密单元115在闪速存储器21中搜索包含AIDl的关 键字元1,并从关键字元1获取公开密钥1。在从文件1中读取被加密的数据2之后,加密 /解密单元115采用公开密钥1对数据2进行解密,并将解密的数据2发送至邮递器41。假设用户A启动TOB服务器42。在这种情况中,假设由用户A和TOB服务器42组 成的访问标识符为AID2。在检测到WEB服务器42已经启动之后,执行检测单元111将AID2发送至密钥确 认单元112。在接收到AID2之后,密钥确认单元112确认闪速存储器21中是否存在包含AID2 的关键字元。由于在闪速存储器21不存在包含AID2的关键字元,密钥确认单元112将AID2 发送至密钥生成单元113。在接收到AID2之后,密钥生成单元113产生对AID2唯一的且由加密密钥2和解 密密钥2组成的KEY2。假设加密密钥2和解密密钥2分别是秘密密钥2和公开密钥2。密 钥生成单元113将由AID2和KEY2组成的关键字元2存储在闪速存储器21中。假设WEB服务器42将要从HDD31上的文件1读取数据3。在检测到数据3从文件1中读出时,访问检测单元114将由AID2和"/mail/ mailOl"组成的读取标识符RID2发送至加密/解密单元115。在接收到RID2之后,加密/解密单元115在闪速存储器21中搜索包含AID2的关 键字元2,并从关键字元2获取公开密钥2。在从文件2读出被加密的数据3之后,加密/ 解密单元115试图采用公开密钥2对数据3进行解密。由于数据3是采用秘密密钥1加密 的,所以采用公开密钥2的解密失败。因此,被加密的数据3被不加改变地发送至TOB服务 器42。
如上所述,根据本示例性实施方式,将要写入文件的数据采用由用户和应用程序 的组合确定的唯一的加密密钥进行加密。因此,即使文件泄露,也不用担心该文件中的数据 被读出。而且,只有用户和应用程序的组合可以对被加密的数据进行解密。因此,即使所述 设备感染以用户权限运行的病毒,病毒也不可能对该文件中的数据进行解密。因此,能够防 止文件中的数据泄露。而且,文件中的数据采用由用户和应用程序的组合确定的唯一的加密密钥进行加 密。被加密的数据仅可以由写数据的用户和应用程序的组合进行解密。因此,能够在不控 制应用程序对文件的访问的情况下防止数据泄露。因此,不需要访问控制规则。而且,用于对文件中的数据进行加密和解密的密钥以所述密钥由用户和应用程序 的组合唯一地确定的方式自动生成。因此,没有必要预先准备加密密钥和解密密钥。即使 当用户或应用程序的数量增加时,也没有必要进行维护。第二示例性实施方式接下来将参照附图详细描述本发明的第二示例性实施方式。图8为图示采用根据 本示例性实施方式的信息泄露防止装置的终端的结构的框图。参照图8,根据本示例性实施方式,除了第一示例性实施方式的部件之外,设置新 的标识符添加单元106,以将对文件的创建发出指示的访问标识符添加至该文件。而且,提供本示例性实施方式的访问检测单元107,代替访问检测单元104。在检测到文件创建之后,访问检测单元107将对文件的创建发出指示的访问标识 符和文件标识符发送至标识符添加单元106。在检测到数据写入该文件中之后,访问检测单元107检查对数据的写入发出指示 的访问标识符是否添加至由文件标识符表示的文件。当访问标识符添加至该文件时,访问 检测单元107将写入标识符发送至加密/解密单元105。当访问标识符未添加至该文件时, 访问检测单元107向由访问标识符指示的应用程序返回错误标识符。在检测到数据从该文件读出之后,访问检测单元107检查对数据的读取发出指示 的访问标识符是否添加至由该文件标识符表示的文件。当访问标识符添加至该文件时,访 问检测单元107将读取标识符发送至加密/解密单元105。如果访问标识符未添加至该文 件,则访问检测单元107向由访问标识符指示的应用程序返回错误标识符。接下来参照图8、9和10详细描述本示例性实施方式的总体操作。图9为图示图8 中示出的访问检测单元107的操作的流程图。图10为图示图8中示出的标识符添加单元 106的操作的流程图。顺便提及,除了标识符添加单元106和访问检测单元107之外,本示例性实施方式 的总体操作与第一示例性实施方式的总体操作相同,因此在此将不再详细描述。假设由用户A(未示出)和应用程序M(1彡M彡N)组成的访问标识符被当作访问 标识符α。而且假设由用户A启动的应用程序M试图创建具有文件标识符2 (未示出)的 文件2。如图9所示,在检测到文件2创建(步骤S601)之后,访问检测单元107将文件 标识符2和对文件2的创建发出指示的访问标识符α发送至标识符添加单元106 (步骤 S602)。如图10所示,在从访问检测单元107接收到访问标识符α (步骤S701)之后,标
15识符添加单元106将访问标识符α添加至具有文件标识符2的文件2 (步骤S702)。假设应用程序M将要将数据写入文件2。当在图9的步骤S601中未检测到文件的创建(否)时,访问检测单元107确认在 步骤S603中是否检测到数据写入文件2。当检测到数据写入文件2(是)时,访问检测单元 107检查访问标识符α是否添加至文件2 (步骤S604)。由于访问标识符α被添加至文件2,访问检测单元107将由访问标识符α、文件 标识符2和写入数据2 (未示出)组成的写入标识符2 (未示出)发送至加密/解密单元 105 (步骤 S605)。同时,当在步骤S604中访问标识符未添加至该文件时,访问检测单元107向应用 程序M返回错误标识符(步骤S609)。当在图9的步骤S606中未检测到数据被写入该文件(否)时,访问检测单元107 确认是否检测到数据从文件2中读出。当检测到数据从文件2读出(是)时,访问检测单 元107检查访问标识符α是否添加至文件2 (步骤S607)。由于访问标识符α被添加至文件2,访问检测单元107将由访问标识符α和文件 标识符2组成的读取标识符2 (未示出)发送至加密/解密单元105 (步骤S608)。同时,当在步骤S607中未添加访问标识符时,访问检测单元107向应用程序M返 回错误标识符(步骤S609)。顺便提及,当在步骤S606中未检测到数据从该文件读出(否)时,访问检测单元 107结束图9的进程。接下来参照图11描述采用在图8和1中示出的根据本示例性实施方式的信息泄 露防止装置的终端50的特定示例。作为一个例子,图8中示出的终端50应用于图11中示出的PDA(个人数字助 理)52。PDA 52包括用作数据处理装置并通过程序控制运行的CPU(中央处理单元)12;用 作密钥存储装置并且是可擦写非易失性存储器的闪速存储器(1)22 ;用作文件存储装置的 闪速存储器(2)23 ;以及作为多个应用程序的一部分的地址簿45和病毒46。在图11中示出的例子中,CPU 12用作执行检测单元121、密钥确认单元122、密钥 生成单元123、访问检测单元127,加密/解密单元125和标识符添加单元126。用作单元 121至126中的每一个单元以使CPU 11运行的程序作为信息泄露防止程序存储在存储装置 (未示出)中PDA 52内的程序将要存储在存储装置中。假设由用户A和地址簿45构成的访问标识符为AID1。而且,假设具有AIDl和由 对AIDl唯一的加密密钥1和解密密钥1组成的KEYl的关键字元1存储在闪速存储器(1) 22 中。在这种情况中,共用密钥1用作加密密钥1和解密密钥1(即,加密密钥1 =解密密钥 1)。而且,假设闪速存储器(2)23的文件系统具有其中文件被链接至访问标识符且文 件名用作文件标识符的区域。假设用户A已经启动地址簿45。在检测到地址簿45已经启动之后,执行检测单元 121将AIDl发送至密钥确认单元122。在接收到AIDl之后,密钥确认单元122确认闪速存储器(1)22中是否存在包含 AIDl的关键字元。由于关键字元1存储在闪速存储器(1)22中,所以密钥确认单元122不
16将AIDl发送至密钥生成单元123。假设地址簿45试图创建名字为“/addr/addrOl “的文件1。在检测到文件1创建之后,访问检测单元127将〃 /addr/addrOl"和对文件1的 创建发出指示的AIDl发送至标识符添加单元126。标识符添加单元126将AIDl添加至名字为〃 /addr/addrOl 〃的文件1 (文件1和 AIDl在闪速存储器(2)23的文件系统上相互链接)。假设通讯录45将要将数据1写入闪速存储器(2)23上的名字为〃 /addr/ addrOl"的文件1。在检测到数据写入文件1之后,访问检测单元127检查AIDl是否添加至文件1。 由于AIDl添加至文件1,访问检测单元127将由AIDl和〃 /addr/addrOl “组成的写入标 识符WIDl发送至加密/解密单元125。在接收到WIDl之后,加密/解密单元125在闪速存储器(1) 22中搜索包含AIDl 的关键字元1,并从关键字元1获取共用密钥1。在采用获取的共用密钥1对数据1进行加 密之后,加密/解密单元125将被加密的数据1写入闪速存储器(2)23上的文件1。假设病毒46已经以用户A的权限启动。在这种情况中,假设由用户A和病毒46 组成的访问标识符为AID2。在检测到病毒已经启动之后,执行检测单元121将AID2传递至密钥确认单元122。在接收到AID2之后,密钥确认单元122试图从闪速存储器(1)22获取包含AID2 的关键字元。由于在闪速存储器中未存储任何包含AID2的关键字元,密钥确认单元122将 AID2发送至密钥生成单元123。在接收到AID2之后,密钥生成单元123生成由对AID2唯一的加密密钥2和解密 密钥2组成的KEY2。在这种情况中,共用密钥2用作加密密钥2和解密密钥2。密钥生成 单元123将由AID2和KEY2组成的关键字元2存储在闪速存储器(1)22中。假设病毒46将要从闪速存储器(2)23上的文件1中读取数据2。在检测到数据从文件1中被读出之后,访问检测单元127检查AID2是否添加至文 件1。由于AID2未添加至文件1,访问检测单元127向病毒46返回错误标识符。如上所述,根据本示例性实施方式,除了第一示例性实施方式的效果之外,只有已 经创建该文件的用户和应用程序的组合能够访问该文件。因此,能够防止文件中的数据被 其它用户和应用程序的组合篡改。如果在数据从该文件读出时不能进行解密,则拒绝读出访问。因此,应用程序不能 读取未被解密的无意义的数据。结果,改进了这种设备(诸如本示例性实施方式的PDA)的 性能。在上述示例性实施方式中的每一种的信息泄露防止装置中,接下来的是用作用于 描述的例子闪速存储器和HDD,其分别用作密钥存储装置和文件存储装置;邮递器和TOB 服务器,或地址簿和病毒,其用作应用程序;以及PC或PDA,其用作终端。然而,密钥存储装 置、文件存储装置、应用程序和终端不限于上述例子,可以是其它。顺便提及,上述示例性实施方式中的每一种的信息泄露防止装置可以由硬件、软 件或这二者的组合实现。然而,硬件或软件结构不限于具体的形式。可以应用任何形式,只 要存在如上所述的数据处理装置、文件存储装置和密钥存储装置,并且可以实现数据处理装置的各个单元的功能。例如,可以应用下面的结构具有用于数据处理装置的各个单元的 功能的独立的、单独的电路和部件(软件模块等)的结构;以及其中多种功能集成到一个电 路或部件中的结构。数据处理装置的各个单元的功能由程序代码实现时,所述程序代码和用于存储所 述程序代码的记录介质落入本发明的保护范围之内。在这种情况中,当各个单元的功能由 程序代码以及诸如操作系统(OS)之类的其它软件程序实现时,还包括软件程序的程序代码。以上已经参照示例性的实施方式描述了本发明。然而,本发明不限于上述示例性 实施方式。本领域技术人员应当明了,在不偏离本发明的范围的条件下,可以在本发明的配 置和细节方面进行多种修改。本申请要求于2008年4月10日递交的日本专利申请No. 2008-102428的优先权, 通过引用将其全部内容结合于此。工业实用性本发明可以适用于信息泄露防止装置和方法及其程序,其为用户和应用程序的每 个组合生成唯一的加密密钥和解密密钥,为用户和应用程序的每个组合对将要记录在文件 中的数据进行加密,避免其它用户和应用程序的组合访问所述文件,并防止记录在所述文 件中的数据泄露。本发明还可以适用于使用信息泄露防止装置的诸如PC和PDA之类的终
端。
附图标记列表
1至N,M 应用程序
10数据处理装置
11,12 =CPU
20密钥存储装置
21闪速存储器
22闪速存储器(1)
23闪速存储器(2)
30文件存储装置
31HDD
41邮递器
42WEB服务器
45地址簿
46病毒
50终端
51PC
52PDA
101执行检测单元
102密钥确认单元
103密钥生成单元
104,107 访问检测单元
105加密/解密单元
106标识符添加单元
111执行检测单元
112密钥确认单元
113密钥生成单元
114访问检测单元
115加密/解密单元
121执行检测单元
122密钥确认单元
123密钥生成单元
125加密/解密单元
126标识符添加单元
127访问检测单元
权利要求
一种信息泄露防止装置,包括数据处理装置,所述数据处理装置为多个用户中的每一个执行多个应用程序;文件存储装置,所述文件存储装置存储与所述应用程序的执行相关联的文件;和密钥存储装置,所述密钥存储装置存储用于对所述文件的数据进行加密和解密的加密密钥和解密密钥的组合,所述数据处理装置包括执行检测单元,所述执行检测单元采用访问标识符为启动所述应用程序的每个用户检测所述应用程序的执行,所述访问标识符是用于识别所述应用程序的标识符和用于识别启动所述应用程序的用户的标识符的组合;密钥确认单元,所述密钥确认单元确认对所述访问标识符唯一的加密密钥和解密密钥的组合是否在密钥存储装置中;密钥生成单元,当密钥确认单元确认对所述访问标识符唯一的加密密钥和解密密钥的组合不在密钥存储装置中时,所述密钥生成单元生成对所述访问标识符唯一的加密密钥和解密密钥,并将所述访问标识符以及加密密钥和解密密钥的组合作为关键字元存储在密钥存储装置中;访问检测单元,所述访问检测单元为每个用户检测所述应用程序对所述文件的访问;和加密/解密单元,所述加密/解密单元从密钥存储装置获取对所述访问标识符唯一的加密密钥和解密密钥的组合,并采用所获取的加密密钥和解密密钥的组合对数据进行加密和解密。
2.根据权利要求1所述的信息泄露防止装置,其中执行检测单元将检测到的访问标识符发送至密钥确认单元;并且 密钥确认单元确认包含接收到的访问标识符的所述关键字元是否在密钥存储装置中。
3.根据权利要求1或2所述的信息泄露防止装置,其中当包含从执行检测单元接收到的访问标识符的关键字元不在密钥存储装置中时,密钥 确认单元将所述访问标识符发送至密钥生成单元;并且密钥生成单元生成对所接收到的访问标识符唯一的加密密钥和解密密钥的组合,并将 访问标识符以及加密密钥和解密密钥的组合作为关键字元存储在密钥存储装置中。
4.根据权利要求1至3中任一项所述的信息泄露防止装置,其中在检测到所述应用程序将数据写入到所述文件中之后,访问检测单元将由所述访问 标识符、所述文件的文件标识符和将要写入的数据组成的写入标识符发送至加密/解密单 元;并且加密/解密单元在密钥存储装置中搜索包括在接收到的写入标识符中的所述访问标 识符,从通过搜索提取出的关键字元中获取加密密钥,并将采用获取的加密密钥加密的数 据写入所述文件。
5.根据权利要求1至4中任一项所述的信息泄露防止装置,其中在检测到所述应用程序从所述文件中读出数据之后,访问检测单元将由所述访问标识 符和所述文件的文件标识符组成的读取标识符发送至加密/解密单元;并且加密/解密单元在密钥存储装置中搜索包括在接收到的读取标识符中的所述访问标识符,从通过搜索提取出的关键字元中获取解密密钥,采用获取的解密密钥对从所述文件 读取的数据进行解密,并将所述数据发送至所述应用程序。
6.根据权利要求1至5中任一项所述的信息泄露防止装置,其中加密密钥和解密密钥中的每一个是秘密密钥或公开密钥,或者加密密钥和解密密钥是 共用密钥。
7.根据权利要求4或5所述的信息泄露防止装置,其中文件标识符是所述文件的完整路径名。
8.根据权利要求1至5中任一项所述的信息泄露防止装置,其中所述访问标识符包含所述应用程序的执行文件名,作为用于识别所述应用程序的标 识符;和用户ID,作为用于识别用户的标识符。
9.根据权利要求1至3中任一项所述的信息泄露防止装置,其中数据处理装置还包括将所述访问标识符添加至文件的标识符添加单元。
10.根据权利要求9所述的信息泄露防止装置,其中在检测到所述应用程序创建文件之后,访问检测单元将所述访问标识符和所述文件的 文件标识符发送至标识符添加单元;并且标识符添加单元将接收到的访问标识符添加至具有接收到的文件标识符的文件。
11.根据权利要求9或10所述的信息泄露防止装置,其中在检测到所述应用程序将数据写入到所述文件之后,访问检测单元检查所述访问标识 符是否添加至所述文件,并且当所述访问标识符被添加至所述文件之后,将由所述访问标 识符、文件标识符和要写入的数据组成的写入标识符发送至加密/解密单元,而在所述访 问标识符未被添加至所述文件时,向所述应用程序返回错误标识符;并且加密/解密单元在密钥存储装置中搜索包括在接收到的写入标识符中的所述访问标 识符,从通过搜索提取出的关键字元获取加密密钥,并将采用获取的加密密钥加密的所述 数据写入所述文件。
12.根据权利要求9至11中任一项所述的信息泄露防止装置,其中在检测到所述应用程序从所述文件中读出数据之后,访问检测单元检查所述访问标识 符是否被添加至所述文件,并且在所述访问标识符被添加至所述文件时,将由所述访问标 识符和文件标识符组成的读取标识符传递至加密/解密单元,而当所述访问标识符未被添 加至所述文件时,向所述应用程序发送错误标识符;并且加密/解密单元在密钥存储装置中搜索包括在接收到的读取标识符中的所述访问标 识符,从通过搜索提取出的关键字元中获取解密密钥,采用获取的解密密钥对从所述文件 读取的数据进行解密,并将所述数据发送至所述应用程序。
13.根据权利要求11或12所述的信息泄露防止装置,其中加密密钥和解密密钥中的每一个是秘密密钥或公开密钥,或者加密密钥和解密密钥是 共用密钥。
14.根据权利要求10至12中任一项所述的信息泄露防止装置,其中文件标识符是所述文件的完整路径名。
15.根据权利要求9至12中任一项所述的信息泄露防止装置,其中所述访问标识符包含所述应用程序的执行文件名,作为用于识别所述应用程序的标识符;和用户ID,作为用于识别用户的标识符。
16.一种系统的信息泄露防止方法,该系统包括为多个用户中的每一个执行多个应用 程序的数据处理装置、存储与所述应用程序的执行相关联的文件的文件存储装置、以及存 储用于对所述文件的数据进行加密和解密的加密密钥和解密密钥的组合的密钥存储装置, 该方法包括下述步骤执行检测步骤,所述执行检测步骤采用访问标识符为启动所述应用程序的每个用户检 测所述应用程序的执行,所述访问标识符是用于识别所述应用程序的标识符和用于识别启 动所述应用程序的用户的标识符的组合;密钥确认步骤,所述密钥确认步骤确认对所述访问标识符唯一的加密密钥和解密密钥 的组合是否在密钥存储装置中;密钥生成步骤,当密钥确认单元确认对所述访问标识符唯一的加密密钥和解密密钥的 组合不在密钥存储装置中时,所述密钥生成步骤生成对所述访问标识符唯一的加密密钥和 解密密钥的组合,并将所述访问标识符以及加密密钥和解密密钥的组合作为关键字元存储 在密钥存储装置中;访问检测步骤,所述访问检测步骤为每个用户检测所述应用程序对所述文件的访问;从密钥存储装置获取对所述访问标识符唯一的加密密钥和解密密钥的组合的步骤;以及加密/解密步骤,所述加密/解密步骤采用所获取的加密密钥和解密密钥的组合对数 据进行加密和解密。
17.根据权利要求16所述的信息泄露防止方法,其中在检测到所述应用程序将数据写入到所述文件中之后,访问检测步骤将由所述访问 标识符、所述文件的文件标识符和将要写入的数据组成的写入标识符发送至加密/解密单 元;并且加密/解密步骤在密钥存储装置中搜索包括在所述写入标识符中的所述访问标识符, 从通过搜索提取出的关键字元中获取加密密钥,并将采用获取的加密密钥加密的数据写入 所述文件。
18.根据权利要求16或17所述的信息泄露防止方法,其中在检测到所述应用程序从所述文件中读出数据之后,访问检测步骤将由所述访问标识 符和所述文件的文件标识符组成的读取标识符发送至加密/解密步骤;并且加密/解密步骤在密钥存储装置中搜索包括在接收到的读取标识符中的所述访问标 识符,从通过搜索提取出的关键字元中获取解密密钥,采用获取的解密密钥对从所述文件 读取的数据进行解密,并将所述数据发送至所述应用程序。
19.根据权利要求16至18中任一项所述的信息泄露防止方法,其中加密密钥和解密密钥中的每一个是秘密密钥或公开密钥,或者加密密钥和解密密钥是 共用密钥。
20.根据权利要求17或18所述的信息泄露防止方法,其中文件标识符是所述文件的完整路径名。
21.根据权利要求16至18中任一项所述的信息泄露防止方法,其中所述访问标识符包含所述应用程序的执行文件名,作为用于识别所述应用程序的标识符;和用户ID,作为用于识别用户的标识符。
22.根据权利要求16所述的信息泄露防止方法,还包括标识符添加步骤,所述标识符添加步骤将所述访问标识符添加至所述文件,其中访问检测步骤,所述访问检测步骤在检测到所述应用程序创建文件之后,将所述访问 标识符和所述文件的文件标识符发送至所述标识符添加步骤;并且所述标识符添加步骤将所述访问标识符添加至具有文件标识符的文件。
23.根据权利要求22所述的信息泄露防止方法,其中在检测到所述应用程序将数据写入到所述文件之后,所述访问检测步骤检查所述访问 标识符是否添加至所述文件,并且当所述访问标识符被添加至所述文件时,将由所述访问 标识符、文件标识符和要写入的数据组成的写入标识符发送至加密/解密步骤,而当所述 访问标识符未被添加至所述文件时,向所述应用程序返回错误标识符;并且所述加密/解密步骤在密钥存储装置中搜索包括在写入标识符中的所述访问标识符, 从通过搜索提取出的关键字元获取加密密钥,并将采用获取的加密密钥加密的所述数据写 入所述文件。
24.根据权利要求22或23所述的信息泄露防止方法,其中在检测到所述应用程序从所述文件中读出数据之后,所述访问检测步骤检查所述访问 标识符是否添加至所述文件,并且在所述访问标识符被添加至所述文件时,将由所述访问 标识符和文件标识符组成的读取标识符发送至加密/解密步骤,而当所述访问标识符未被 添加至所述文件时,向所述应用程序发送错误标识符;并且加密/解密步骤在密钥存储装置中搜索包括在读取标识符中的所述访问标识符,从通 过搜索提取出的关键字元中获取解密密钥,采用获取的解密密钥对从所述文件读取的数据 进行解密,并将所述数据发送至所述应用程序。
25.根据权利要求23或24所述的信息泄露防止方法,其中加密密钥和解密密钥中的每一个是秘密密钥或公开密钥,或者加密密钥和解密密钥是 共用密钥。
26.根据权利要求22至24中任一项所述的信息泄露防止方法,其中所述文件标识符是所述文件的完整路径名。
27.根据权利要求22至24中任一项所述的信息泄露防止方法,其中所述访问标识符包含所述应用程序的执行文件名,作为用于识别所述应用程序的标 识符;和用户ID,作为用于识别用户的标识符。
28.—种系统的信息泄露防止程序,该系统包括为多个用户中的每一个执行多个应用 程序的数据处理装置、存储与所述应用程序的执行相关联的文件的文件存储装置、以及存 储用于对所述文件的数据进行加密和解密的加密密钥和解密密钥的组合的密钥存储装置, 该程序使计算机执行下述过程执行检测过程,所述执行检测过程采用访问标识符为启动所述应用程序的每个用户检 测所述应用程序的执行,所述访问标识符是用于识别所述应用程序的标识符和用于识别启 动所述应用程序的用户的标识符的组合;密钥确认过程,所述密钥确认过程确认对所述访问标识符唯一的加密密钥和解密密钥 的组合是否在密钥存储装置中;密钥生成过程,当密钥确认过程对所述访问标识符唯一的加密密钥和解密密钥的组合 不在密钥存储装置中时,所述密钥生成过程生成对所述访问标识符唯一的加密密钥和解密 密钥的组合,并将所述访问标识符以及加密密钥和解密密钥的组合作为关键字元存储在密 钥存储装置中;访问检测过程,所述访问检测过程为每个用户检测所述应用程序对所述文件的访问; 从密钥存储装置获取对所述访问标识符唯一的加密密钥和解密密钥的组合的过程;以及加密/解密过程,所述加密/解密过程采用所获取的加密密钥和解密密钥的组合对数 据进行加密和解密。
29.根据权利要求28所述的信息泄露防止程序,其中在检测到所述应用程序将数据写入到所述文件中之后,访问检测过程将由所述访问 标识符、所述文件的文件标识符和将要写入的数据组成的写入标识符发送至加密/解密过 程;并且加密/解密过程在密钥存储装置中搜索包括在所述写入标识符中的所述访问标识符, 从通过搜索提取出的关键字元中获取加密密钥,并将采用获取的加密密钥加密的数据写入 所述文件。
30.根据权利要求28或29所述的信息泄露防止程序,其中在检测到所述应用程序从所述文件中读出数据之后,所述访问检测过程将由所述访问 标识符和所述文件的文件标识符组成的读取标识符发送至所述加密/解密过程;并且加密/解密过程在密钥存储装置中搜索包括在接收到的读取标识符中的所述访问标 识符,从通过搜索提取出的关键字元中获取解密密钥,采用获取的解密密钥对从所述文件 读取的数据进行解密,并将所述数据发送至所述应用程序。
31.根据权利要求28至30中任一项所述的信息泄露防止程序,其中,加密密钥和解密密钥中的每一个是秘密密钥或公开密钥,或者加密密钥和解密密钥是 共用密钥。
32.根据权利要求29或30所述的信息泄露防止程序,其中所述文件标识符是所述文件的完整路径名。
33.根据权利要求28至30中任一项所述的信息泄露防止程序,其中所述访问标识符包含所述应用程序的执行文件名,作为用于识别所述应用程序的标 识符;和用户ID,作为用于识别用户的标识符。
34.根据权利要求28所述的信息泄露防止程序,还使计算机执行以下过程标识符添加过程,在检测到所述应用程序创建文件之后,从获取所述访问标识符和文 件的文件标识符的所述访问检测过程获取所述访问标识符和文件标识符,并将所述访问标 识符添加至具有所述文件标识符的文件。
35.根据权利要求34所述的信息泄露防止程序,其中在检测到所述应用程序将数据写入到所述文件之后,所述访问检测过程检查所述访问 标识符是否被添加至所述文件,并且在所述访问标识符被添加至所述文件时,将由所述访 问标识符、文件标识符和要写入的数据组成的写入标识符发送至加密/解密过程,而当所 述访问标识符未被添加至所述文件时,向所述应用程序返回错误标识符;并且加密/解密过程在密钥存储装置中搜索包括在写入标识符中的所述访问标识符,从通 过搜索提取出的关键字元获取加密密钥,并将采用获取的加密密钥加密的所述数据写入所 述文件。
36.根据权利要求34或35所述的信息泄露防止程序,其中在检测到所述应用程序从所述文件中读出数据之后,所述访问检测过程检查所述访问 标识符是否被添加至所述文件,并且在所述访问标识符被添加至所述文件时,将由所述访 问标识符和文件标识符组成的读取标识符发送至所述加密/解密过程,而当所述访问标识 符未被添加至所述文件时,向所述应用程序返回错误标识符;并且所述加密/解密过程在密钥存储装置搜索包括在读取标识符中的所述访问标识符,从 通过搜索提取出的关键字元中获取解密密钥,采用获取的解密密钥对从所述文件读取的数 据进行解密,并将所述数据发送至所述应用程序。
37.根据权利要求35或36所述的信息泄露防止程序,其中加密密钥和解密密钥中的每一个是秘密密钥或公开密钥,或者加密密钥和解密密钥是 共用密钥。
38.根据权利要求34至36中任一项所述的信息泄露防止程序,其中文件标识符是所述文件的完整路径名。
39.根据权利要求34至36中任一项所述的信息泄露防止程序,其中所述访问标识符包含所述应用程序的执行文件名,作为用于识别所述应用程序的标 识符;和用户ID,作为用于识别用户的标识符。
40.一种终端,包括权利要求1至15中任一项所述的信息泄露防止装置。
全文摘要
提供了一种信息泄露防止装置,其在没有访问控制规则的条件下防止文件中的信息泄露。该信息泄露防止装置包括数据处理装置、文件存储装置和密钥存储装置。数据处理装置包括执行检测单元,其采用访问标识符为启动应用程序的每个用户检测应用程序的执行,访问标识符是用于识别应用程序的标识符和用于识别启动应用程序的用户的标识符的组合;密钥确认单元,其确认对访问标识符唯一的加密密钥和解密密钥的组合是否在密钥存储装置中;密钥生成单元,其生成对访问标识符唯一的加密密钥和解密密钥,并将访问标识符以及加密密钥和解密密钥的组合作为关键字元存储在密钥存储装置中;访问检测单元,其为每个用户检测应用程序对文件的访问;和加密/解密单元,从密钥存储装置获取对访问标识符唯一的加密密钥和解密密钥,并采用加密密钥和解密密钥的组合对数据进行加密和解密。
文档编号G06F12/00GK101971186SQ200980108718
公开日2011年2月9日 申请日期2009年4月10日 优先权日2008年4月10日
发明者朝仓义晴 申请人:日本电气株式会社