专利名称:数据分发装置、数据分发系统、客户端装置、数据分发方法、数据接收方法、程序及记录介质的制作方法
技术领域:
本发明涉及信息泄露的应对技术,更具体而言,涉及用于防止从数据分发目的地发生的信息泄露的数据分发装置、数据分发系统、客户端装置、数据分发方法、数据接收方法、程序及记录介质。
背景技术:
近年来,伴随着公司内外的设计协作以及OME (Original EquipmentManufacturing:原始设备制造商)的全球化,开发、生产基地的海外扩张日益盛行。另外,由于云计算的普及,基地之间、订购者与承包者之间的地理距离缩短,经由网络的技术数据的流通日渐活跃。与之相伴,重要技术数据的不正当外泄的风险飞跃上升,数据安全策略、可追踪确保的重要性提高。尤其在向分包者及再分包者的订购作业频繁发生的制造业中,防止从承包者侧发生设计、制造数据的二次泄露成为重大课题。虽然一部分的业务能够通过云服务进行外部委托,但三维 CAD (Computer Aided Design)、NC 加工(Numerical Control machining)、医疗领域等需要在本地终端进行处理的业务仍残留较多,从而必须允许机密数据保存在承包者侧的本地终端上的情况也较多。关于保存于承包者侧的本地终端中的机密数据,通常情况下,由于脱离了订购者的管理,所以期望采取用于防止机密数据被不正当利用或外泄的技术手段。尤其期望在合同期满后,保存于承包者侧的本地终端中的机密数据无法被利用。作为上述那样的技术手段,例如日本特开2009-26046号公报(专利文献I)涉及如下技术:过滤对存储器以及输入输出接口的设备驱动器发送的读入命令或写入命令,从而限制对存储设备的访问。专利文献I还公开了防止数据二次外泄的方法,其特征在于,以防止数据从数据分发目的地的组织向第三方的二次外泄为目的,从由用于通过数据的分发目的地计算机所具有的虚拟化手段构筑与非分发数据的执行环境隔离的分发数据处理专用的执行环境的操作系统及应用程序构成的分发数据处理专用的执行环境构筑镜像文件,执行操作系统及应用程序的安装,通过该分发目的地计算机所具有的虚拟化手段构筑与非分发数据的执行环境隔离的分发数据处理专用的执行环境。日本特开2009-86840号公报(专利文献2)同样地公开了一种信息处理装置,其特征在于,具有由数据管理用的操作系统及规定的应用程序构成的管理者用环境,所述操作系统以通过信息处理装置所具有的虚拟化手段来与用户所访问的操作系统环境隔离的方式构筑,用户所访问的操作系统环境具有以如下方法操作应用程序的手段,所述方法为:将键盘等的输入信息发送到管理用环境,作为其应答,从管理用环境接收显示画面的信息。作为商用的DRM(Digital Rights Management)产品,也提供了在应用程序内部安装有访问控制功能的软件应用程序。例如,Microsoft (注册商标)公司的RMS(RightsManagement Services)(非专利文献I)及Adobe (注册商标)公司的LiveCycle (注册商标)Rights Management ES2 (非专利文献2)是应用程序本身用于解释按文件而规定的编辑权限以及打印权限等安全策略并用于限制阅览、编辑、复制、打印等各种操作的技术。现有技术文献专利文献专利文献1:日本特开2009-26046号公报专利文献2:日本特开2009-86840号公报非专利文献非专利文献1:“Windows Rights Management Services”、 [online]、 [2010年9 月 10 日检索]、互联网〈URL ;http://www.microsoft.com/windowsserver2003/techno1gies/rightsmgmt/default.mspx>非专利文献2:“Adobe LiveCycle Rights Management ES2”、 [online]、[2010 年9 月 10 日检索]、互联网〈URL ;http://www.adobe, com/products/livecycle/rightsmanagement/>
发明内容
但是,在上述专利文献I及专利文献2公开的现有技术中,需要使分发目的地计算机具有用于构筑与通常的执行环境隔离的分发数据处理专用的执行环境的虚拟化手段,从而能够利用的环境受到限制。或者,为了在分发目的地计算机中构筑与通常的执行环境隔离的分发数据处理专用的执行环境,需要安装操作系统及应用程序,从而使分发目的地增加负担。而且,通常情况下,操作者不仅对分发数据进行处理,还同时进行邮件接发以及网页浏览等较多的作业,在利用了虚拟化技术的构成中,无法忽略虚拟OS之间的频繁往来的繁琐性。另外,像上述非专利文献I及非专利文献2所公开的技术那样,关于在应用程序内部安装访问控制功能的技术,遗憾的是,由于能够保护的应用程序被限定,所以能够利用的数据的种类被限定。因此,只要所有业务应用程序不对应,就无法总括地管理业务整体。本发明是鉴于上述现有技术的问题点而研发的,本发明的目的在于提供一种数据分发装置及数据分发系统,以对分发数据捆绑有执行访问控制的适当的访问控制机构的分发数据包的方式进行数据分发,由此,能够控制各种数据的信息流,进而,不对分发目的地的使用环境施加限制以及导致过大的作业负担就能够防止从分发目的地发生的信息泄露。本发明的其他目的在于提供从上述数据分发装置接收分发数据包的客户端装置、上述数据分发装置或数据分发系统所执行的数据分发方法、上述客户端装置所执行的数据接收方法、用于实现上述数据分发装置或数据分发系统的程序、以及存储上述程序的记录介质。本发明是鉴于上述现有技术的不方便之处而研发的,本发明提供具有以下特征的、用于提供分发数据包的数据分发装置和由多个计算机构成的数据分发系统。本发明的数据分发装置或数据分发系统具有程序存储部,其与客户端的环境相对应地存储用于在该客户端上实现访问控制机构和展开部的访问控制实施程序,所述访问控制机构根据所分配的策略来控制基于进程向资源的访问,所述展开部在被保护的存储区域中展开包含于分发数据包的分发数据。本数据分发装置或数据分发系统对请求分发数据的接收的请求源客户端的环境进行检测,读取成为分发对象的分发数据和对该分发数据指定的安全策略,将包含上述分发数据、上述安全策略、和与上述请求源客户端的环境相对应的访问控制实施程序的分发数据包发送到请求源客户端。而且,根据本发明,能够提供接收上述分发数据包的客户端装置。本客户端装置具有:对上述数据分发装置发送分发数据的接收请求的请求发送部、和用于发送记载有该客户端装置的环境的环境信息的环境信息发送部。另外,在本发明中,能够提供上述数据分发装置或数据分发系统所执行的数据分发方法、上述客户端装置所执行的数据接收方法,用于实现上述数据分发装置或数据分发系统的程序、以及存储上述程序的记录介质。发明效果根据上述构成,分发数据的注册者能够在对分发目的地的作业环境分派规定的安全策略后,将该分发数据交付到分发目的地。分发数据保存在分发目的地的本地环境中,但对于存在于本地环境的分发数据,由上述访问控制机构根据安全策略来控制基于运行进程向资源的访问,从而限制存在于本地环境的分发数据能够流通的范围。由此,例如能够防止向客户企业提供正式信息后数据的意外外泄所导致的信息泄露、即所谓的二次泄露。而且,根据上述构成,不需要对分发目的地进行繁琐的特殊的控制软件的强制导入及设定,从而能够适用于各种数据、各种应用程序。
图1是包含本发明的第I实施方式的数据分发服务器的数据处理系统的概略图。图2是在本发明的第I实施方式的数据分发服务器中实现的功能框图。图3是例示了本发明的第I实施方式所使用的安全策略的数据构造的图。图4是例示了本发明的第I实施方式所使用的安全策略中的一部分的数据构造的图。图5是表示本发明的第I实施方式的数据分发服务器中的数据包注册部所执行的数据包注册处理的流程图。图6是表示本发明的第I实施方式的数据分发服务器中的数据包分发部所执行的数据包分发处理的流程图。图7是在本发明的第I实施方式中分发到客户端装置中的分发数据包的详细的功能框图。图8是表示本发明的第I实施方式的客户端装置所执行的访问控制实施处理的流程图。图9是本发明的第I实施方式的在启动有访问控制模块的客户端装置上实现的功能框图。图10是表示在图1所示的数据处理系统中,在订购者、一次承包者及二次承包者之间进行的业务的流程图。图11是在本发明的第2实施方式的数据分发服务器中实现的功能框图。图12是在本发明的第2实施方式中分发到客户端装置中的分发数据包的详细的功能框图。图13是表示本发明的第2实施方式的客户端装置所执行的访问控制实施处理的 流程图。
具体实施例方式以下,使用实施方式说明本发明,但本发明不限定于后述的实施方式。在以下说明的实施方式中,作为数据分发装置,以安装有将成为分发对象的数据(以下称作分发数据)数据包化来进行分发的服务器功能的数据分发服务器为一例进行说明。图1表示包含本发明的第I实施方式的数据分发服务器的数据处理系统的概略图。本数据处理系统10包含安装有将数据数据包化来进行分发的服务器功能的数据分发服务器20、和经由网络12与上述数据分发服务器20连接的一个以上的客户端装置30。网络12没有特别限定,例如包含基于TCP/IP及以太网(注册商标)的LAN(Local AreaNetwork)、VPN (Virtual Private Network)、以及使用专用线的 WAN (Wide Area Network) >互联网。作为例示,图1所示的数据处理系统10作为业务系统而构成,用于经由数据分发服务器20在客户端装置30之间进行数据交换并在各客户端装置30中进行本地作业,与此同时,执行整体业务。在图1中,作为客户端装置30,示出有对使用了分发数据的业务进行订购的订购者所使用的订购者终端30a、一次承包者终端30b、二次承包者终端30c。一次承包者终端30b是根据订购者的委托、使用分发数据来执行负责业务的一次承包者所使用的终端。另一方面,二次承包者终端30c是从根据订购者的委托来执行负责业务的一次承包者进一步承包其负责业务的部分业务的二次承包者所使用的终端。客户端装置30大体作为塔式、台式、笔记本式或平板式的个人计算机、工作站、上网本、PDA (Personal Data Assistance)等通用计算机而构成。更具体而言,客户端装置30具有:单核处理器或多核处理器等中央运算装置(CPU)、高速缓冲存储器、RAM、网络接口卡(NIC)、存储设备等,在Windows (注册商标)、UNIX(注册商标)、Linux (注册商标)、MacOS(注册商标)、AIX(注册商标)等合适的OS的控制下工作。在本实施方式中,优选客户端装置30搭载有基于提供视窗系统等台式环境的图形用户界面(以下参照为GUI)的OS。另外,本实施方式的客户端装置30安装有在上述OS上工作的网页浏览器。数据分发服务器20大体作为个人计算机、工作站、机架式或刀片式服务器、中档计算机(middle-range computer)、主机(mainframe)等通用计算机而构成。更具体而言,数据分发服务器20具有:单核或多核处理器等CPU、高速缓冲存储器、RAM、NIC、存储设备等,在Windows (注册商标)、UNIX (注册商标)、Linux (注册商标)等合适的操作系统(以下参照为OS)的控制下工作。上述数据分发服务器20在从上述订购者终端30a接收到订购业务所需要的数据的注册请求时,能够以将该业务所需要的数据分发至订购者的方式注册。另一方面,当从承包订购业务的承包者所操作的一次承包者终端30b或二次承包者终端30c接收到数据的接收请求时,数据分发服务器20在进行适当的用户认证后,将上述业务所需要的数据分发到终端。同样地,当一次承包者向二次承包者订购负责业务的一部分时,数据分发服务器20能够从一次承包者终端30b接收分发数据或对分发数据加工而生成的二次数据的一部分或全部,从而分发到二次承包者终端30c。本实施方式的数据分发服务器20安装有作为例如网络应用程序的、接收并分发上述那样的数据的功能。
成为分发对象的分发数据没有特别限定,除文字处理软件、电子表格、制图、演示、数据库管理系统所使用的各种文件以外,还包含DTP (Desktop Publishing)、数值分析软件、CAD、NC加工、CT(计算机断层扫描)、MRI (核磁共振成像法)等各种应用程序所使用的各种文件、以及文本文件、文档文件、音频文件、视频文件等通用格式的文件等。另外,分发数据还可以是包含从与数据分发服务器20连接的数据库通过规定的查询而提取的查询结果的文件。数据分发服务器20应对于来自客户端装置30的分发数据的接收请求,使分发数据数据包化而分发到请求源客户端装置30。当分发数据直接作为文件而分发到客户端装置30时,通常能够独立且自由地流通。因此,在分发数据包含机密信息的情况下,即使能够实施加密,也不能说是数据安全对策方面所期望的。因此,在本实施方式中,关于数据分发服务器20的详细情况在后叙述,其将根据规定的安全策略来执行访问控制的访问控制机构捆绑在分发数据包中而进行分发。在本实施方式中,与分发数据捆绑的访问控制机构配置在OS与应用程序的中间级别,能够根据用户上下文灵活地实施进程单位、用户单位及文件单位的极细粒度的访问控制。本实施方式的访问控制机构例如能够禁止未许可的数据的保存、打印、经由数据作业中的剪贴板所进行的进程间的复制粘贴及基于截屏键进行的屏幕复制等对资源的访问。以下,进一步详细说明本发明的实施方式的使用了捆绑有访问控制机构的分发数据包的数据分发处理。图2表示在本发明的第I实施方式的数据分发服务器中实现的功能框。图2所示的数据分发服务器20的功能框100包含:数据包注册部110,在适用规定的安全策略的状态下以能够分发的方式对分发数据进行注册;注册者用数据库120,存储被注册者注册的安全策略122及分发数据124。在此,将注册分发数据侧的使用者参照为“注册者”,将接收所注册的分发数据侧的使用者参照为“接收者”,以下,说明注册者和接收者二者之间的数据分发处理。也就是说,图1所说明的订购者、一次承包者及二次承包者可分别成为注册者或接收者。另外,在以下的说明中,只要没有特别说明,则数据处理系统10的使用者已使用各自操作的客户端装置30登录到该数据处理系统10并通过了规定的用户认证。注册者用数据库120构成了本实施方式的数据存储部,并提供用于供可成为注册者的使用者对分发数据进行注册的存储区域。注册者用数据库120例如对各使用者分别准备数据库。注册者侧的客户端装置30 (以下,参照为注册者终端30A)对数据分发服务器20发送分发数据的数据包注册请求。该数据包注册请求能够包含分发数据、对该分发数据指定的安全策略(以下,将注册者所指定的安全策略参照为注册者指定策略)、和记载被允许分发该分发数据的分发目的地的分发目的地信息。分发数据例如经由注册者终端30A的网页浏览器而被指定上传,并被从注册者终端30A的本地存储区域读取而向数据分发服务器20发送。安全策略同样地经由网页浏览器而被输入各项目,所输入的各项目的值例如作为XML (extensible Markup Language)文件而构成,并向数据分发服务器20发送。用于设定上传表单以及安全策略的GUI例如被提供为注册者终端30A的网页浏览器能够解释的网页,其中,上传表单用于对上述分发数据进行上传指示。关于数据包注册部110,更具体而言,包含接受数据包注册请求的数据包注册请求接受部112、数据及策略获取部114和注册处理部116。数据及策略获取部114用于获取与数据包注册请求相关的分发数据、注册者指定策略及分发目的地信息。另外,在与数据包注册请求相关的分发数据为其他分发数据的二次数据(在此,是指对该分发数据加工而生成的数据)的情况下,数据及策略获取部114能够获取对原分发数据指定的策略并归并成注册者指定策略。注册处理部116将所获取的分发数据124、登录者指定策略122及分发目的地信息存储在上述登录者用数据库120中,从而能够分发地对分发数据进行注册。此外,在说明的实施方式中,由于分发数据、注册者指定策略及分发目的地信息一起从注册者终端30A向数据分发服务器20发送,所以数据及策略获取部114根据例如HTTP协议接收从注册者终端30A发送的这些数据。但是,分发数据、注册者指定策略及分发目的地的指定方法没有特别限定。在其他实施方式中,也可以构成为,预先将分发数据、注册者指定策略及分发目的地或其中的任一方保存在数据分发服务器20侧,并将用于识别分发数据、注册者指定策略或分发目的地信息的标识符从注册者终端30A传送到数据分发服务器20。该情况下,数据及策略获取部114从数据分发服务器20能够访问的存储区域读取标识符所识别的数据。而且,在其他实施方式中,还可以构成为,将分发数据、注册者指定策略及分发目的地信息或其中的任一方作为网络上的资源而准备,并将保存有分发数据、注册者指定策略或分发目的地信息的URI (Universal Resource Identifier)从注册者终端30A传送到数据分发服务器20。该情况下,数据及策略获取部114从URI所识别的资源中获取这些数据。安全策略用于对捆绑在数据包中的分发数据规定计算机内的进程之间及计算机之间或其中的一方的信息流控制。在此,信息流控制是指对信息能够在特定的计算机内的进程之间及相互连接的计算机之间流通的区域进行限制。举例说明安全策略,其用于规定如下情况的禁止或许可:分发数据或其二次数据的读取、该数据向可移动介质的保存、该数据向本地驱动器的未受保护的存储区域的保存、该数据的打印、在该数据打开的状态下经由剪贴板进行的进程之间的复制粘贴、该数据的窗口在活动状态下经由剪贴板进行的屏幕复制等。图3及图4是例示了本发明的第I实施方式所使用的安全策略的数据构造的图。安全策略的格式没有特别限定,但图3例示了以XML形式记载的安全策略。图3中,"Rule(Groupl) ”所示的Rule标签之间的部分表示一组策略,在图3的例子中,记载有对于“记事本”的策略。在Subjects标签之间,通过Subject标签指定要应用策略的主体(进程)。在图3的例子中,进程“notepad, exe”被指定为主体。在Resources标签之间,通过Resource标签而记载有关于上述主体(进程)对资源的访问的策略。在图3的例子中,记载有分别禁止通过进程“not印ad.exe”对资源“剪贴板”的访问“写入”、对资源“打印机”的访问“打印指令”、对资源“可移动介质”的访问“写入”的内容。在Obligations标签之间通过Resource标签而记载有在进程结束时或进程运行中被分派的义务。图4例示了以XML形式记载的其他安全策略中的一部分的数据构造。在图4的(A)所示的例子中,记载有对于文件管理器(Windows (注册商标)资源管理器)的策略,并且进程“explorer, exe”被指定为主体。图4中,“ % LDMR00T% ”表示后述的用于将数据包展开的被保护的文件夹(以下称作保护文件夹),在Resources标签之间通过Resource标签而记载有禁止通过进程“explorer, exe”向资源“保护文件夹”的所有(*.*)访问“写入及读取”的内容。此外,在其他例子中,也能够是对保护文件夹内的具有特定的扩展名的文件、以特定的文件为对象的访问进行控制的记载。在图4的(B)所示的例子中,记载有关于所有的任意进程之间的复制粘贴的策略。在Subjects标签之间通过AnySubject标签而记载有对于任意进程的策略,在Resources标签之间通过Resource标签而记载有禁止通过任意进程读取其他进程写入的剪贴板的内容的读取。另外,在Obligations标签之间,通过Resource标签指定剪贴板,通过Obligation标签而被分派结束时清除剪贴板的义务。此外,作为在进程结束时或进程运行中被分派的义务,除此以外还存在强制记录操作日志等。通过图3及图4例示那样的安全策略,能够控制通过在客户端装置30上工作的进程向资源的访问。其结果为,能够控制进程之间的数据流通,而且,能够控制数据经由可移动介质、未受保护的文件夹、FTP (File Transfer Protocol)等其他进程从该客户端装置向外部的计算机流通。除此以外,对于网页浏览器的进程,通过在安全策略内记载分发数据及其二次数据中的能够从分发目的地向数据分发服务器20再注册的范围,还能够控制数据经由该数据分发系统直接向分发目的地流通以后向外部计算机的流通。此外,图3及图4所示的安全策略例示了 Windows (注册商标)用的安全策略,但对于其他OS也能够同样地记载。分发目的地信息包含用于确定被许可为分发数据的分发目的地的客户端装置30或使用者的信息。分发目的地信息例如能够包含:用于识别被许可分发的使用者的用户ID、用于识别被许可分发的客户端终端的客户端ID、用于识别被许可分发的使用者或客户端的群的群ID、唯一地标注在被许可分发的客户端装置30上的固有标识符(OS序列号、设备UUID(Universally Unique IDentifier)、设备序列号等)、分配到被许可分发的客户端装置30的IP地址、分配到被许可分发的客户端装置30的NIC的MAC地址、分配到被许可分发的客户端群的IP地址的范围、或它们的组合。再次参照图2,当分发数据、注册者指定策略及分发目的地信息被注册到注册者用数据库120中后,该分发数据的分发数据包成为能够分发的状态。数据分发服务器20的功能块100还包含:实施模块数据库130,存储捆绑在分发数据包中的访问控制实施模块(以下,有时称作实施模块)、和数据包分发部140,将以能够分发的方式被注册的分发数据与访问控制实施模块捆绑并生成数据包以分发。访问控制实施模块是用于在客户端装置上实现后述的访问控制机构、并在客户端装置上实施按照上述安全策略的访问控制的程序,取决于OS的种类。因此,实施模块数据库130按OS的种类存储上述访问控制实施模块。作为特定OS用的访问控制实施模块,例如,分别准备有Windows (注册商标)用132、Linux (注册商标)用134、MAC OS (注册商标)用136、AIX(注册商标)用138的访问控制实施模块。此外,实施模块数据库130构成了本实施方式的程序存储部。接收者侧的客户端装置30 (以下,参照为接收者终端30B)对数据分发服务器20进行访问,并将数据包接收请求与用于识别所期望的分发数据的分发数据ID—起发送。在此,分发数据ID能够通过例如电子邮件等其他手段从注册者侧向接收者侧发送,使用者通过点击电子邮件中的通往用于下载分发数据的网页的直接链接,能够对数据分发服务器20发送包含所期望的分发数据的ID在内的数据包接收请求。或者,分发数据ID能够包含于将该使用者能够接收的分发数据一览显示的网页中而向接收者侧发送,在该情况下,使用者通过从一览显示的分发数据中选择所期望的分发数据,能够对数据分发服务器20发送包含所期望的分发数据ID在内的数据包接收请求。关于数据包分发部140,更具体而言,包含:接受数据包接收请求的数据包接收请求接受部142、环境检测部144、适用策略决定部146、数据包化处理部148、和发送处理部150。环境检测部144用于获取记载有请求源接收者终端30B所使用的OS的种类等的环境信息并对接收者终端30B的环境进行检测。在此,接收者终端30B的环境是指,包含构成接收者终端30B的OS的种类在内的信息,进一步广义地解释,是指包含OS、浏览器、应用程序等软件及驱动器等硬件的组合、和各自的构成状态以及设定的总体。接收者终端30B所使用的OS例如能够通过在HTTP请求中报告的用户代理的识别名来简单地判断。另外,为了检测OS的种类以外的详细环境,还能够向接收者终端30B提供小应用程序(applet)等程序,并经由该程序来获取环境信息,其中,上述小应用程序(applet)等程序获得用户的许可后收集客户端装置30的系统信息并向数据分发服务器20发送。该情况下,环境检测部144从接收者终端30B获取记载有接收者终端30B的系统信息的环境信息。作为上述系统信息,能够包含:计算机名、OS序列号、设备UUID、设备序列号等用于识别客户端的信息;安装系统而得到的卷以及其他卷的驱动器号、Windows (注册商标)目录、系统目录、程序目录等驱动器构成;主要文件夹的加密属性;本地打印机名等本地的资源信息等。用于识别客户端的信息例如能够使用于对授予分发许可的客户端进行限制的情况以及对能够展开分发数据包的设备进行限制的情况。驱动器构成能够在确定要建立用于展开分发数据的保护文件夹的路径时使用,加密属性能够在建立保护文件夹的情况下,判断是否需要对保护文件夹内的文件另行实施加密时使用。适用策略确定部146对注册者用数据库120内的注册者指定策略进行适当修正以使其与上述环境检测部144所检测出的接收者终端30B的环境相适合,从而确定实际捆绑在分发数据包内的安全策略(以下,称作接收者适用策略)。作为这样的用于与接收者终端30B的环境相适合的修正,能够列举用于将上述分发数据展开的文件夹的路径、进程的文件名、OS特有的策略的修正。例如,文件管理器在Windows (注册商标)中为Windows (注册商标)资源管理器,但在Mac OS(注册商标)中为Finder、在UNIX(注册商标)、Linux(注册商标)中为Dolphin、Natilus,因此,能够根据OS的种类对与适用策略的进程相关的信息进行修正。数据包化处理部148获取注册者用数据库120内的分发数据、适用策略确定部146所确定的接收者适用策略、和与实施模块数据库130内的环境相适合的访问控制实施模块,优选在至少对分发数据加密后,生成将其数据包化而成的分发数据。分发数据包160作为捆绑有分发数据162、接收者适用策略164及访问控制实施模块166的例如执行形式的文件而被提供。发送处理部150对分发数据的接收请求源的接收者终端30B发送上述生成的分发数据包160。
分发数据包内的分发数据的加密所使用的密钥能够使用例如接收者终端30B的个人证书的公共密钥。但是,密钥没有特别限定,在本实施方式中,也能够使用在数据分发服务器20与接收者终端30B之间预先或事后交换的公用密钥。另外,作为加密方式,没有特别限定,能够采用各种公用密钥加密方式、公开密钥加密方式。另外,在说明的实施方式中,说明了在数据分发服务器20中在进行数据包化时对分发数据加密的内容,但在其他实施方式中,也能够事先在注册者终端30A侧对分发数据本身进行加密。该情况下也是同样地,能够使用接收者终端30B的公开密钥、以及在注册者终端30A与接收者终端30B之间预先或事后交换的公用密钥。图2所示的数据分发服务器20的功能框100通过从HDD等计算机可读的记录介质读取程序、在存储器上展开程序并执行程序、对各硬件资源进行动作控制而实现。以下,参照图5及图6,进一步详细说明与数据包注册请求及数据包接收请求对应的处理。图5是表示本发明的第I实施方式的数据分发服务器中的数据包注册部所执行的数据包注册处理的流程图。图5所示的处理响应从客户端装置30向数据分发服务器20发送的数据包注册请求而从步骤SlOO开始。在步骤SlOl中,数据包注册部110接受从客户端装置30发送的数据包注册请求。在步骤S102中,数据包注册部110获取与请求相关的分发数据、注册者指定策略及分发目的地信息。在步骤S103中,数据包注册部110判断是否存在要沿用的策略。在此,在明确了与请求相关的分发数据是其他分发数据的二次数据的情况下,判断成存在要沿用的策略。在步骤S103中,在判断成存在要沿用的策略的情况(是)下,使处理进入到步骤S104。在步骤S104中,数据包注册部110获取对作为母数据的分发数据指定的安全策略,并归并成与该注册请求相关的注册者指定策略,从而使处理进入到步骤S105。另一方面,在步骤S103中,在判断成不存在要沿用的策略的情况(否)下,使处理直接进入到步骤S105。在步骤S105中,数据包注册部110将分发数据、注册者指定策略及分发目的地信息存储到注册者用数据库120中,以能够分发的方式对分发数据包进行注册。在步骤S106中,数据包注册部110对数据包注册请求进行确认回复,并通知数据包注册处理成功结束的内容。图6是表示本发明的第I实施方式的数据分发服务器中的数据包分发部所执行的数据包分发处理的流程图。图6所示的处理响应从客户端装置30向数据分发服务器20发送的数据包接收请求而从步骤S200开始。在步骤S201中,数据包分发部140从客户端装置30接受数据包注册请求。在步骤S202中,数据包分发部140从客户端装置30获取包含OS的种类、驱动器信息等的环境信息,并对客户端装置30的环境进行检测。在步骤S203中,数据包分发部140参照与接收请求相关的分发数据所关联的注册者用数据库120内的分发目的地信息,判断是否能够允许向请求源进行分发。在步骤S203中,在判断成不允许向请求源进行分发的情况(否)下,使处理向步骤S207分支来结束本处理。在此,排除来自与分发目的地信息内的被允许分发的条件不一致的使用者或客户端的请求。另一方面,在步骤S203中,在判断成能够允许向请求源进行分发的情况(是)下,使处理进入到步骤S204。在步骤S204中,数据包分发部140获取与接收请求相关的分发数据所关联的注册者指定策略,根据上述环境信息,从实施模块数据库130所存储的一个以上的访问控制实施模块中确定与接收请求源的环境对应的访问控制实施模块,并且与接收请求源的环境对应地对注册者指定策略进行适当修正,从而确定接收者适用策略。在步骤S205中,数据包分发部140获取与接收请求相关的分发数据,在加密后,使所确定的实施模块、加密后的分发数据、和所确定的接收者适用策略数据包化,从而生成分发数据包。在步骤S206中,数据包分发部140对接收请求源的客户端装置30发送上述生成的分发数据包,从而在步骤S207中结束本处理。以下,说明接收了分发数据包的客户端侧的处理。图7是表示在本发明的第I实施方式中分发到客户端装置中的分发数据包的详细的功能框图。图7所示的分发数据包包含:分发数据162、接收者适用策略164、和访问控制实施模块166。关于实施模块166,更具体而言,包含用于在客户端装置30上实现访问控制机构注入部170、保护区域建立部172、数据展开部174、再数据包化部176、保护区域删除部178、和访问控制机构190的程序代码。访问控制机构190作为对由在客户端装置30上工作的进程进行的API (Application Programming Interface)调用进行监视并施加访问控制的程序库而构成。这样的程序库可参照为动态链接库(DLL)、公用库、共享库等。为了使访问控制机构190发挥功能,访问控制机构注入部170向在客户端装置30上工作的各进程注入访问控制机构190。该注入到进程中的访问控制机构190以后对进程的主要API调用进行监视,并根据在接收者适用策略中记载的进程单位的策略来控制由该进程进行的向资源的访问。保护区域建立部172在客户端装置30的本地驱动器上建立用于展开分发数据的存储区域(以下称作保护区域)。在此,保护区域是指,通过加密而被保护、且以排除未经许可的访问的方式被保护的存储区域。该保护区域原则上禁止访问,通过仅许可在该访问控制实施模块166的进程及接收者适用策略内被例外地许可的进程的方法来许可访问。保护区域例如作为对其下属的子文件夹适用相同保护的保护文件夹而被安装。数据展开部174对在分发数据包160内被打包的分发数据162进行译码,并将其在上述建立的被保护的存储区域中展开,从而能够实现由上述被许可的进程进行的访问。此外,关于译码时所使用的密钥,在对密钥使用公开密钥的情况下,能够使用接收者终端30B的个人证书的密钥,在使用公用密钥的情况下,能够使用在注册者终端30A与接收者终端30B之间或数据分发服务器20与接收者终端30B之间预先或事后交换的密钥。再数据包化部176在本地作业结束时对保护区域内的本地数据加密并进行再数据包化。保护区域删除部178在本地作业结束时,并在再数据包化结束后,清除上述保护区域内的本地数据,并删除该保护区域自身。优选的是,保护区域删除部178能够用随机值来覆盖该保护区域内的本地数据而将其完全清除。由此,在该访问控制实施模块166的进程结束后,能够从客户端装置30的本地驱动器内清除机密性高的被展开的数据的痕迹。图8是表示本发明的第I实施方式的客户端装置所执行的访问控制实施处理的流程图。此外,以下,以Windows(注册商标)环境中的处理为例进行说明,但在其他OS中也能够通过相同的处理来进行。图8所示的处理响应分发数据包160(数据包内的访问控制实施模块166)在客户端装置30上的启动而从步骤S300开始。在步骤S301中,访问控制实施模块166在临时文件夹内展开用于安装访问控制机构190的DLL。在步骤S302中,实施模块166在客户端装置30上列出运行中的进程,并对所有进程注入该访问控制机构190的DLL(DLL Injection)。由此,被注入的访问控制机构190的DLL开始对由各进程进行的主要API调用的监视,从而实施上述的进程单位的访问控制。在步骤S303中,访问控制实施模块166建立保护区域(保护文件夹)。在步骤S304中,实施模块166在保护区域内展开分发数据包160内的分发数据162,并启动用于处理分发数据的应用程序,在步骤S305中,使该步骤S305循环直至结束条件成立(否的期间)。能够对分发数据包160指定用于编辑数据包内的分发数据162的应用程序软件,在这些应用程序的运行中,上述访问控制机构190工作,并通过上述的进程单位的访问控制来防止信息泄露。另一方面,在上述启动的应用程序全部结束的情况下,判断成结束条件成立。在步骤S305中,在判断成结束条件成立的情况(是)下,使处理进入到步骤S306,访问控制实施模块166将保护区域内的本地数据再数据包化,在步骤S307中,清除保护区域内的本地数据并删除该保护区域,在步骤S308中结束本进程。此外,在上述实施方式中,说明了将保护区域内的本地数据再打包的内容,但在读取专用的分发数据等的情况下,也可以不进行再数据包化而仅删除展开数据。以下,参照图9说明访问控制机构190的工作。图9是表示本发明的第I实施方式的在启动了访问控制模块的客户端装置上实现的功能框图。此外,以下,以Windows (注册商标)环境中的功能块为例进行说明。如图9所示,通过访问控制实施模块166的工作,向在客户端装置30上工作的各应用程序等的进程210注入访问控制机构190的DLL。访问控制机构190的DLL对进程的主要API调用进行监视,并根据上述策略对向文件夹192、打印194、剪贴板196等低级别资源的访问进行控制。另外,在安全策略内记载有用于规定对于分发数据包内的数据的分发目的地以后的信息流控制的策略(例如,能够再订购的数据的范围)的情况下,访问控制机构190的DLL能够使用对上述的API调用进行监视的结构,根据该策略,控制能否允许使上述保护区域内的分发数据或者其二次数据的一部分或全部作为分发数据的注册请求。能否允许上述注册请求能够根据允许或拒绝由浏览器进行的上传操作来控制。作为用于规定上述能够再订购的数据的范围的安全策略,例如,能够包含原则上禁止由浏览器进行的上传操作,并且对符合规定条件的上传目的地URL例外地允许读取分发数据或者其二次数据的一部分或全部的内容的记载。作为上述主要的API,在Windows (注册商标)环境下,包含于操作系统200所具有的⑶ 132.dll、User32.dll、Kernel32.dll 等 DLL202a 202c,例如,能够列举 CreateFile、DeleteFile、CopyFiIe>StartDoc>SetClipboardData、GetClipboardData、CreateProcess等Win32API函数。另外,访问控制机构190也能够对特定的COM (Component Object Model)接口 204的方法调用进行监视来控制向高级别资源的访问。包含在分发数据包160中的接收者适用策略164作为策略管理表230而在存储器上展开,访问控制机构190的DLL —边参照策略管理表230 —边实施访问控制。例如,应用程序210调用DLL202的API来访问保护区域220内的数据222,但访问控制机构190根据策略管理表内的条目(entry)来确定是否使该API调用通过。也能够使策略管理表为静态数据,但为了将窗口以及进程的状态实时地反映到策略上,优选设置对API及COM的调用历史以及从OS向应用程序的通知消息进行反馈的管理机构(未图示),并根据用户的作业状况动态地更新策略管理表230。例如,在禁止屏幕复制的情况下,能否在屏幕上观察到显示了应用程序要保护的文件的窗口这一方面变得重要。因此,为了判断窗口的活动状态以及可视状态,上述管理机构对WM-Create等窗口信息进行监视,根据窗口类名以及标题名、窗口属性等信息,判断显示有哪个文件、哪个文件在活动,并作为事件来进行检测,从而能够动态地更新存储器上的策略管理表230。此外,关于上述那样的与GUI的上下文相应的动态访问控制机构,更具体而言,能够参照古市实裕、工藤道治、“适于基于GUI的计算机的访问控制策略管理方法的提案”、信息处理学会论文杂志、Vol.49、N0.9、PP.1-11 (2008年9月)。此外,上述的访问控制机构190是基于以主要API及COM接口为对象的Binary Interception,但在UNIX (注册商标)、MAC OS (注册商标)等Windows (注册商标)以外的OS环境下也能够同样地适用。以下,参照图10,说明本实施方式的数据分发服务器20所提供的数据分发功能的使用状态。图10是表示在参照图1所说明的数据处理系统10中,在订购者、一次承包者及二次承包者之间进行的业务的流程图。首先,订购者终端30a作为注册者终端,对数据分发服务器20发送以规定的一次承包者为分发目的地的数据包注册请求。数据分发服务器20从订购者终端30a接收分发目的地信息、承包者用数据、承包者用策略并存储到订购者用数据库120A中。由此,承包者用数据以能够分发的方式被注册。另一方面,一次承包者终端30b作为接收者终端,对数据分发服务器20发送承包者用数据的数据包接收请求。作为对接收请求的应答,数据分发服务器20对一次承包者终端30b发送包含承包者用数据、承包者用策略及实施模块的一次承包者用分发数据包160A。然后,在一次承包者终端30b中,展开一次承包者用分发数据包160A内的承包者用数据,在访问控制机构的控制下,进行以承包者用数据为对象的本地作业。在将由一次承包者终端30b侧承包的业务的一部分进一步向分包商订购的情况下,一次承包者终端30b作为注册者终端,对数据分发服务器20发送保护区域内的上述承包者用数据中的被许可的至少一部分数据(以下,称作二次承包者用数据)、和附加地适用于一次承包者向二次承包者交付的数据的附加策略,并发送以规定的二次承包者为分发目的地的数据包注册请求。该情况下,作为起源的承包者用数据的注册者指定策略被沿用、构成了二次承包者用策略。可从一次承包者向二次承包者再订购的数据能够记载在原始的订购者侧所指定的承包者用策略中。例如,上述承包者策略能够包含将以用于进行再订购的上传目的地URL为对象的上述能够再订购的文件的读取例外地许可的内容的记载。像这样,在本实施方式中,订购者能够设定一次承包者以后的信息流控制。承包了一次承包者的部分业务的二次承包者终端30c作为接收者终端,对数据分发服务器20发送二次承包者用数据的数据包接收请求,获取包含二次承包者用数据、二次承包者用策略及实施模块的二次承包者用分发数据包160B,并进行以二次承包者用数据为对象的本地作业。以后,在存在需要将作业后的数据返还到订购源的情况下,二次承包者终端30c作为接收者终端,对数据分发服务器20发送作业结束后进行再数据包化而得到的分发数据包,并且向一次承包者发送数据包的返还请求。一次承包者终端30b作为注册者终端,从数据分发服务器20接收从二次承包者返还的分发数据包。同样地,一次承包者终端30b作为接收者终端,对数据分发服务器20发送向订购者的数据包的返还请求。订购者终端30a作为注册者终端,从数据分发服务器20接收从一次承包者返还的分发数据包。根据上述的本发明的第I实施方式,分发数据的注册者能够在对分发目的地的作业环境分派规定的安全策略后,将该分发数据交付到分发目的地。分发数据保存在分发目的地的本地环境中,但对于存在于本地环境的分发数据,能够通过上述的访问控制机构,根据安全策略来限制由运行进程进行的向资源的访问,从而限制其能够流通的范围。由此,能够防止例如在向客户企业提供正式信息后的数据的意外外泄所导致的信息泄露、所谓的二次泄露。另外,还能够在本地环境中的作业结束后,从本地环境中清除分发数据,或将分发数据清除后返还。而且,数据分发服务器20对分发目的地的环境进行检测,并捆绑适当的访问控制实施模块来分发数据包,因此,注册者不必担心数据的打包方法,从而能够谋求作业效率的提高。另外,根据上述实施方式,不需要对分发目的地进行繁琐的特殊的控制软件的强制导入及设定。而且,由于上述的访问控制实施模块采用了通过向运行进程注入程序库来实现访问控制的手法,所以原则上能够适用于各种数据、各种应用程序。而且,在上述的实施方式中,由于也能够对分发数据的分发目的地以后的信息流控制分派规定的安全策略,所以,例如,能够在原始的订购者侧对能够再订购的数据的范围施加限制,从而能够良好地防止从再分包者以及再分包者的分包者发生的信息泄露。期望使保存于承包者侧的本地终端中的机密信息尤其是在契约期满后被清除或无法使用。以下,说明对分发数据包设定有效期限、在经过有效期限后使分发数据包内的分发数据无法使用的第2实施方式。此外,由于第2实施方式的数据分发服务器20具有与第I实施方式相同的构成,所以,以下,以与第I实施方式的不同点为中心进行说明。另外,对与第I实施方式具有相同功能的功能部标注相同的附图标记。图11表示在本发明的第2实施方式的数据分发服务器中实现的功能框图。图11所示的数据分发服务器20的功能块100包含数据包注册部110和注册者用数据库120。注册者终端30A对数据分发服务器20发送分发数据的数据包注册请求。在该数据包注册请求中,不仅包含分发数据、注册者指定策略及分发目的地信息,还包含对分发数据设定的有效期限。有效期限与安全策略同样地经由网页浏览器而被输入,所输入的各项目的值例如与安全策略同时地向数据分发服务器20发送。用于设定上述有效期限的GUI例如以能够被注册者终端30A的网页浏览器解释的方式作为网页而被提供。数据包注册部110接收注册者终端30A所发送的数据包注册请求,获取与请求相关的分发数据、注册者指定策略、分发目的地信息及有效期限,并获取要适当沿用的策略。本实施方式的数据包注册部110还获取该分发数据包的加密所使用的密钥。该密钥没有特别限定,能够由数据分发服务器20生成,或者,也可以与上述数据包注册请求一起从注册者终端30A被发送。数据包注册部110对密钥设定有效期限,并将分发目的地信息、注册者指定策略122、分发数据124及带有期限的密钥126存储到注册者用数据库120中,从而以能够分发的方式对分发数据进行注册。数据分发服务器20的功能块110还包含实施模块数据库130和数据包分发部140。关于本实施方式的数据包分发部140,更具体而言,包含数据包接收请求接受部142、环境检测部144、适用策略确定部146、数据包化处理部148和发送处理部150,还包含密钥分发部152。数据包化处理部148在至少对分发数据加密后,生成将加密后的分发数据、接收者适用策略、访问控制实施模块数据包化而得到的分发数据。发送处理部150对分发数据的接收请求源的接收者终端30B发送上述生成的分发数据包160。密钥分发部152响应来自在接收者终端30B上启动的访问控制实施模块166的密钥获取请求,从注册者用数据库120读取对应的带有期限的密钥,若没有过期,则提供至接收者终端30B。过期后,停止密钥的提供。以下,说明第2实施方式中的接收了分发数据包的客户端侧的处理。图12是表示在本发明的第2实施方式中分发到客户端装置中的分发数据包的详细的功能框图。图12所示的分发数据包与第I实施方式同样地,包含访问控制实施模块166、分发数据162、和接收者适用策略164。第2实施方式的实施模块166包含在客户端装置30上实现访问控制机构注入部170、保护区域建立部172、数据展开部174、再数据包化部176、保护区域删除部178、访问控制机构190、以及密钥获取部180及展开数据删除部182的程序代码。密钥获取部180是与数据分发服务器20进行通信来获取带有期限的密钥的功能部。数据展开部174通过上述获取的密钥对分发数据包160内的分发数据进行译码,并将其在上述建立的保护区域中展开。展开数据删除部182定期或不定期地删除在上述保护区域内展开的数据。与该展开数据的删除连动地、密钥获取部180再次从数据分发服务器20获取带有期限的密钥,数据展开部174再次通过上述获取的密钥对分发数据包160内的数据进行译码,并将其在保护区域中展开。此外,上述密钥获取部180、数据展开部174、以及展开数据删除部182构成了本实施方式的失效处理部。图13是表示本发明的第2实施方式的客户端装置所执行的访问控制实施处理的流程图。图13所示的处理响应分发数据包160 (实施模块166)在客户端装置30上的启动而从步骤S400开始。在步骤S401中,实施模块166在临时文件夹内展开用于安装访问控制机构190的DLL,在步骤S402中,在客户端装置30上列出运行中的进程,并对所有进程注入该访问控制机构190的DLL。在步骤S403中,实施模块166建立保护区域,在步骤S404中,与数据分发服务器20进行通信来尝试获取带有期限的密钥。在步骤S405中,实施模块166判断密钥的获取是否成功。在步骤S405中,在判断成密钥的获取失败的情况(否)下,使处理向步骤S412分支来结束本进程。另一方面,在步骤S405中,在判断成密钥的获取成功的情况(是)下,使处理向步骤S406分支。在步骤S406中,实施模块166在保护区域内展开分发数据包160内的分发数据162,并启动应用程序。在步骤S407中,实施模块166判断例如是否经过了规定期间。在步骤S407中,在判断成尚未经过规定期间的情况(否)下,使处理进入到步骤S409,重复向步骤S407的循环直至结束条件成立(步骤S409中否的期间)。另一方面,在步骤S407中,在判断成经过规定期间的情况(是)下,使处理进入到步骤S408。在步骤S408中,实施模块166暂且删除保护区域内的数据,并使处理向步骤S404循环。另一方面,在步骤S409中,在判断成结束条件成立的情况(是)下,使处理进入到步骤S410,实施模块166将保护区域内的数据再数据包化,在步骤S411中,删除保护区域,在步骤S412中结束本进程。通过上述的步骤S404 步骤S409的循环,能够定期反复进行保护区域内的数据的删除、密钥的再获取及再展开,在密钥的有效期过期的时刻无法获取密钥,因此,期满后,无法利用分发数据包内的数据。此外,在上述的第2实施方式中,说明了将展开的数据删除的内容,但在能够重写的分发数据的情况下,也可以取代上述数据的删除,而构成为,将保护区域内的现有本地数据与分发数据包的分发时刻的分发数据的差分保留(saving)在其他存储区域。根据上述的第2实施方式,能够对分发数据可使用的情况进行限制。由此,例如,在契约期满后,无法利用保存于承包者的本地终端中的机密数据,能够防止契约期满后的不正当利用或外泄。如上所述,根据上述实施方式,以对分发数据捆绑有执行访问控制的访问控制机构而成的分发数据包的形式进行数据分发,由此,能够提供一种数据分发装置及数据分发系统,能够对数据的信息流进行控制,进而,不对分发目的地的利用环境施加限制以及造成过大的作业负担就能够防止来自分发目的地的信息泄露。而且,根据上述实施方式,能够提供从上述数据分发装置或数据分发系统接收分发数据包的客户端装置、上述数据分发装置所执行的数据分发方法、上述客户端装置所执行的数据接收方法、用于实现上述数据分发装置的程序、以及存储上述程序的记录介质。此外,在上述实施方式中,以作为单一的计算机而构成的数据分发服务器20为例进行了说明,但在其他实施方式中,在由多个计算机构成的计算机系统上能够采用将上述数据分发功能安装为云服务的构成。另外,在上述实施方式中,说明了被注册的分发数据响应来自接收者终端30B的接收请求并作为分发数据包而分发的内容。但是,在制造业的分包商中,也设想有无法与网络连接的环境,因此,有时也优选确保经由物理记录介质提供分发数据包的提供方法。因此,在其他实施方式中,在注册者侧,能够从数据分发服务器20获取数据包化的分发数据,并写出至⑶-R、USB闪存、SD卡等那样的记录介质。该情况下,通过将该记录介质邮寄等,也能够对所期望的对方目标提供适用了安全策略的分发数据包。该情况下,密钥只要通过邮寄、口头或其他手段传递即可。而且,上述的实施方式以进行数据分发的数据处理系统为例进行了说明,但也能够安装为具有进度管理、工程管理、任务管理、工作流程管理等各种功能的协作系统。而且,在其他实施方式中,还可以安装为安全地分发电子文件等的内容管理系统。本发明的上述功能能够通过用汇编程序、C、C++、Java(注册商标)、JavaBeans (注册商标)、Java(注册商标)Applet、JavaScript (注册商标)、Perl、Ruby等遗留程序(legacy programming)语言或面向对象程序语言等记载的装置能够执行的程序来实现,并能够存储在 ROM、EEPROM、EPROM、闪存、软盘、CD-ROM、CD-RW、DVD-ROM、DVD-RAM、DVD-RW、蓝光光碟、SD卡、MO等装置可读的存储介质中而分发或传输后分发。至此,使用了特定的实施方式及实施例说明了本发明,但本发明不限定于特定的实施方式或实施例,能够在本领域专业人员能够想到的范围内进行变更,如其他实施方式、追加、变更、删除等,无论何种实施方式,只要起到了本发明的作用、效果,就包含在本发明的范围内。附图标记说明10...数据处理系统、12...网络、20...数据分发服务器、30...客户端装置、
100...功能块、110...数据包注册部、112...注册请求接受部、114...数据及策略获取部、116...注册处理、120...注册者用数据库、122...注册者指定策略、124...分发数据、
126...带有期限的密钥、130...实施模块数据库、132 138...实施模块、140...数据包分发部、142...数据包接收请求接受部、144...环境检测部、146...适用策略确定部、
148...数据包化处理部、150...发送处理部、152...密钥分发部、160...分发数据包、
162...分发数据、164...接收者适用策略、166...访问控制实施模块、170...访问控制机构注入部、172...保护区域建立部、174数据展开部、176...再数据包化部、178...保护区域删除部、180...密钥获取部、182...展开数据删除部、190...访问控制机构、192...文件、194...打印、196...剪贴板、200...0S、202...DLL、204...COM 接口、210...应用进程、
220...保护区域、222...数据、230...策略管理表
权利要求
1.一种数据分发装置,其特征在于,包含: 程序存储部,其与客户端的环境相对应地存储用于在该客户端上实现访问控制机构和展开部的访问控制实施程序,所述访问控制机构根据所分配的策略来控制基于进程向资源的访问,所述展开部在被保护的存储区域中展开包含于分发数据包的分发数据; 数据存储部,其存储成为分发对象的分发数据和对所述分发数据指定的安全策略; 环境检测部,其对请求所述分发数据的接收的请求源客户端的环境进行检测;和 发送部,其将包含所述分发数据、所述安全策略、和与所述请求源客户端的所述环境相对应的访问控制实施程序的分发数据包发送到所述请求源客户端。
2.如权利要求1所述的数据分发装置,其特征在于,还包含注册部,其响应分发数据的注册请求而将请求注册的分发数据、对所述分发数据规定信息流控制的安全策略、和所述分发数据的分发目的地的信息存储到所述数据存储部中,并对所述分发数据进行注册。
3.如权利要求2所述的数据分发装置,其特征在于,所述访问控制实施程序包含用于在客户端上进一步实现区域删除部的代码,在使用所述分发数据的作业结束时,所述区域删除部在所述被保护的存储区域内进行数据清除,并删除所述被保护的存储区域。
4.如权利要求3所述的数据分发装置,其特征在于, 对所述分发数据指定的所述安全策略包含用于对所述分发数据中的至少一部分规定所述分发目的地以后的信息流控制的策略, 所述访问控制机构根据所述策略来控制是否允许使所述被保护的存储区域内的本地数据的至少一部分成为分发数据的注册请求, 所述注册部响应使所述本地数据的至少一部分成为分发数据的注册请求,使对作为所述本地数据的起源的分发数据指定的`策略进行沿用的安全策略、和作为分发数据的所述本地数据的至少一部分存储在所述数据存储部中。
5.如权利要求4所述的数据分发装置,其特征在于,所述数据存储部进一步使设有有效期限的密钥与所述分发数据建立关联地存储,所述访问控制实施程序包含用于在客户端上进一步实现失效处理部的代码,在所述密钥的所述有效期限过期后,所述失效处理部限制对所述分发数据及所述被保护的存储区域内的本地数据的访问。
6.如权利要求5所述的数据分发装置,其特征在于,所述失效处理部包含:定期或不定期地删除所述被保护的存储区域内的所述本地数据、或者定期或不定期地保留所述被保护的存储区域内的所述本地数据与所述分发数据包的所述分发数据的差分的功能部;进行与所述分发数据关联的所述密钥的再获取的功能部;和使用再获取的所述密钥在所述被保护的存储区域内恢复数据的功能部。
7.如权利要求6所述的数据分发装置,其特征在于,根据所分配的策略而被控制的基于所述进程向资源的访问至少包含所述被保护的存储区域内的所述本地数据的读取、所述本地数据向可移动介质的保存、所述本地数据向未受保护的存储区域的保存、所述本地数据的打印、所述本地数据的打开状态下向剪贴板的复制、所述本地数据的打开状态下经由剪贴板进行的进程之间的复制粘贴、所述本地数据的窗口在激活状态下的屏幕复制、以及向所述被保护的存储区域的写入中的至少一个。
8.如权利要求1所述的数据分发装置,其特征在于,所述数据存储部进一步使设有有效期限的密钥与所述分发数据建立关联地存储,所述访问控制实施程序包含用于在客户端上进一步实现失效处理部的代码,在所述密钥的所述有效期限过期后,所述失效处理部限制对所述分发数据及所述被保护的存储区域内的本地数据的访问。
9.如权利要求8所述的数据分发装置,其特征在于,所述失效处理部包含:定期或不定期地删除所述被保护的存储区域内的所述本地数据、或者定期或不定期地保留所述被保护的存储区域内的所述本地数据与所述分发数据包的所述分发数据的差分的功能部;进行与所述分发数据关联的所述密钥的再获取的功能部;和使用再获取的所述密钥在所述被保护的存储区域内恢复数据的功能部。
10.如权利要求1所述的数据分发装置,其特征在于,根据所分配的策略而被控制的基于所述进程向资源的访问至少包含所述被保护的存储区域内的本地数据的读取、所述本地数据向可移动介质的保存、所述本地数据向未受保护的存储区域的保存、所述本地数据的打印、所述本地数据的打开状态下向剪贴板的复制、所述本地数据的打开状态下经由剪贴板进行的进程之间的复制粘贴、所述本地数据的窗口在激活状态下的屏幕复制、以及向所述被保护的存储区域的写入中的至少一个。
11.如权利要求1所述的数据分发装置,其特征在于,还包含适用策略确定部,所述适用策略确定部与所述客户端的所述环境相应地变更对所述分发数据指定的安全策略,确定包含在所述分发数据包中的适用策略。
12.—种数据分发系统,由多个计算机构成,用于提供分发数据包,其特征在于,包含: 程序存储部,其与客户端的环境相对应地存储用于在该客户端上实现访问控制机构和展开部的访问控制实施程序,所述访问控制机构根据所分配的策略来控制基于进程向资源的访问,所述展开部在被保护的存储区域中展开包含于分发数据包的分发数据; 数据存储部,其存储成为分发对象的分发数据和对所述分发数据指定的安全策略; 环境检测部,其对请求所述分发数据的接收的请求源客户端的环境进行检测;和 发送部,将包含所述分发数据、所述安全策略、和与所述请求源客户端的所述环境相对应的访问控制实施程序的分发数据包发送到所述请求源客户端。
13.一种客户端装置,经由网络与对分发数据包进行分发的数据分发装置连接,其特征在于,包含: 请求发送部,其对所述数据分发装置发送分发数据的接收请求; 环境信息发送部,其对所述数据分发装置发送记载有所述客户端装置的环境的环境信息;和 接收部,其从所述数据分发装置接收包含所述分发数据、对所述分发数据指定的安全策略、和访问控制实施程序的分发数据包,所述访问控制实施程序为与所述客户端装置的所述环境相对应的访问控制实施程序,用于在所述客户端装置上实现访问控制机构和展开部,所述访问控制机构根据所述安全策略对基于进程向资源的访问进行控制,所述展开部在被保护的存储区域中展开所述分发数据。
14.一种数据分发方法,被由一个以上的计算机构成的计算机系统执行并提供分发数据包,其特征在于,包含以下步骤: 所述计算机系统从客户端接收分发数据的接收请求的步骤; 所述计算机系统对所述客户端的环境进行检测的步骤; 所述计算机系统读取成为分发对象的分发数据、和对所述分发数据指定的安全策略的步骤; 所述计算机系统读取访问控制实施程序的步骤,所述访问控制实施程序为与所述客户端的所述环境相对应的访问控制实施程序,用于在所述客户端上实现访问控制机构和展开部,所述访问控制机构根据所述安全策略对基于进程向资源的访问进行控制,所述展开部在被保护的存储区域中展开所述分发数据;和 所述计算机系统将包含所述分发数据、所述安全策略、和所述访问控制实施程序的分发数据包发送到所述客户端的步骤。
15.如权利要求14所述的数据分发方法,其特征在于,还包含以下步骤:所述计算机系统响应分发数据的注册请求,存储被注册请求的分发数据、用于对所述分发数据规定信息流控制的安全策略和所述分发数据的分发目的地的信息,并对所述分发数据进行注册。
16.如权利要求15所述的数据分发方法,其特征在于, 对所述分发数据指定的所述安全策略包含用于对所述分发数据中的至少一部分规定所述分发目的地以后的信息流控制的策略, 所述访问控制机构根据所述策略来控制是否允许使所述被保护的存储区域内的本地数据的至少一部分成为分发数据的注册请求, 所述进行注册的步骤包含以下子步骤:所述计算机系统响应使所述本地数据的至少一部分成为分发数据的注册请求,使对作为所述本地数据的起源的分发数据指定的安全策略沿用于对所述本地数据的至少一部分指定的安全策略中。
17.如权利要求16所述的数据分发方法,其特征在于, 所述数据分发方法还包含以下步骤:所述计算机系统响应来自所述客户端的密钥获取请求,读取与所述分发数据关联地存储的设有有效期限的密钥,并向所述客户端发送所述密钥,`` 所述访问控制实施程序具有用于在客户端上进一步实现失效处理部的代码,在所述密钥的所述有效期限过期后,所述失效处理部限制对所述分发数据及所述被保护的存储区域内的本地数据的访问。
18.一种数据接收方法,用于接收分发数据,其特征在于,具有以下步骤: 经由网络与数据分发装置连接的客户端装置对所述数据分发装置发送所述分发数据的接收请求的步骤,其中,所述数据分发装置对包含所述分发数据的分发数据包进行分发; 所述客户端装置对所述数据分发装置发送记载有该客户端的环境的环境信息的步骤; 所述客户端装置从所述数据分发装置接收包含所述分发数据、对所述分发数据指定的安全策略、和访问控制实施程序的分发数据包的步骤,其中,所述访问控制实施程序为与所述客户端装置的所述环境相对应的访问控制实施程序,用于在所述客户端装置上实现访问控制机构和展开部,所述访问控制机构根据所述安全策略对基于进程向资源的访问进行控制,所述展开部在被保护的存储区域中展开所述分发数据; 所述客户端装置启动所述访问控制机构的步骤;和 所述客户端装置在所述被保护的存储区域内展开包含于所述分发数据包中的所述分发数据的步骤。
19.一种程序,能够被计算机执行,使由一个以上的计算机构成的计算机系统实现: 程序存储部,其与客户端的环境相对应地存储用于在该客户端上实现访问控制机构和展开部的访问控制实施程序,所述访问控制机构根据所分配的策略来控制基于进程向资源的访问,所述展开部在被保护的存储区域中展开包含于分发数据包的分发数据; 数据存储部,其存储成为分 发对象的分发数据和对所述分发数据指定的安全策略;环境检测部,其对请求所述分发数据的接收的请求源客户端的环境进行检测;和发送部,其将包含所述分发数据、所述安全策略、和与所述请求源客户端的所述环境相对应的访问控制实施程序的分发数据包发送到所述请求源客户端。
20.一种记录介质,计算机可读地记录有权利要求19所述的程序。
全文摘要
提供用于防止从数据分发目的地发生信息泄露的手段。数据分发服务器(20)包含数据库(130),与客户端的环境对应地存储用于在客户端上实现访问控制机构和展开部的访问控制实施模块(132~138),访问控制机构根据分配的策略控制基于程序向资源的访问,展开部在被保护的存储区域展开包含于分发数据包的分发数据;数据库(120),存储分发数据(124)、对分发数据(124)指定的安全策略(122);环境检测部(144),检测请求分发数据的接收的客户端(30B)的环境;发送部(150),发送包含分发数据(162)、安全策略(164)、与客户端(30B)的环境对应的访问控制实施模块(166)的分发数据包(160)。
文档编号G06F21/55GK103109297SQ20118004460
公开日2013年5月15日 申请日期2011年7月1日 优先权日2010年9月22日
发明者古市实裕, 荒津拓, 多田政美 申请人:国际商业机器公司