访问控制系统及访问控制方法相关申请的交叉引用
本申请基于平成27年(2015年)3月25日提出的日本专利申请特愿2015-62999主张
优先权,在此引用其全部内容。
技术领域
本发明涉及访问控制系统。
背景技术
以往,在处理机密信息文件的PC等的终端中,有以机密信息保护为目的而设定防
火墙或向文件系统的访问控制、以防止来自有恶意的使用者的不正当的访问或机密信息文
件的泄漏等的技术。
作为本技术的背景技术,有特开2007-140798号公报。特开2007-140798号公报
记载有一种计算机的信息泄漏防止系统:在计算机上执行的应用要向硬盘等的存储部中所
存储的信息访问的时点,由判定部判定是否满足预先设定的访问容许条件,在判定为不正
当的访问的情况下禁止上述信息向应用的交接。
发明内容
发明所要解决的课题
另一方面,在综合办公软件中包含文字处理器、表计算等多个应用,综合办公软件
处理各种形式的文件。因此,在利用综合办公软件编辑机密信息文件的情况下,在上述以往
的技术中,能够着眼于扩展名设定访问控制。但是,必须掌握应用所处理的全部的扩展名来
进行需要的全部的设定。
此外,在利用防火墙控制网络通信的情况下,必须对通信目标及通信程序等分别
设定访问控制。
本发明的目的是提供一种将上述那样的文件系统及防火墙的访问控制的设定简
略化的系统。
用于解决课题的手段
如果表示在本申请中公开的发明的代表性的一例,则如以下所述。即,一种访问控
制系统,由具有执行进程的处理器和保存上述程序的存储器的计算机构成,该访问控制系
统具有:启动器,是将上述进程启动的进程;访问控制列表文件即ACL文件,定义了上述进程
发出的I/O请求的控制内容;进程探索部,追溯上述进程的父级,判定是否是以上述启动器
为起源而启动的进程;以及访问控制部,按照由上述ACL文件定义的内容,控制以上述启动
器为起源而启动的进程所发出的I/O请求。
发明的效果
根据本发明的代表性的实施方式,能够使访问控制的设定简略化。通过以下的实
施例的说明将使上述以外的问题、结构及效果变得清楚。
附图说明
图1是表示本发明实施例的系统的结构的图。
图2是表示本实施例的用户终端的物理性的结构的框图。
图3是说明本实施例的ACL表的结构例的图。
图4是将本实施例的I/O检测功能向过滤管理器登录的处理的流程图。
图5是本实施例的进程探索功能的流程图。
图6是本实施例的访问控制功能的流程图。
具体实施方式
以下,利用附图对实施本发明的情况详细地说明。
图1是表示本发明实施例的系统的结构的图。
在图1中,用户终端101具有存储装置102、和网络适配器103。此外,在用户终端101
中,安装着操作系统107、文件系统驱动105、和网络驱动106。进而,用户终端101,在操作系
统107内具有将从进程109产生的文件I/O请求包110以及网络I/O请求包111过滤的过滤管
理器108。在过滤管理器108中登记有I/O检测功能113。I/O检测功能113包括进程探索功能
114和访问控制功能115。此外,在用户终端101内安装着启动器112和设定工具116。
启动器112将任意的进程109启动。I/O检测功能113经由过滤管理器108接受文件
I/O请求包110及网络I/O请求包111。进程探索功能114根据由I/O检测功能113接受到的请
求包确认发送源的进程109的父进程。在能够由进程探索功能114确认父进程是启动器112
的情况下,访问控制功能115根据ACL文件117进行访问控制。设定工具116对ACL文件117记
录、编辑、删除访问控制设定。
当将文字处理器、表计算、Web浏览器等任意的进程109启动时,在想要应用ACL文
件117的情况下,用户从启动器112启动进程109。在进程109进行向文件或网络的访问的情
况下,操作系统107生成包含访问内容及访问源的进程信息在内的包,经由过滤管理器108
向文件系统驱动105或网络驱动106传递。
过滤管理器108调用I/O检测功能113内的进程探索功能114。进程探索功能114探
索进程109的父进程、更父级的进程,判定进程109的起源是否是启动器112。在进程探索功
能114判定为进程109的起源是启动器112的情况下,过滤管理器108调用访问控制功能115。
访问控制功能115按照ACL文件117,进行文件I/O请求包110及网络I/O请求包111
的许可、拒绝、变更等的访问控制。
通过上述,能够对以启动器112为起源的全部的子进程及孙进程一起应用ACL文件
117的访问控制。
图2是表示用户终端101的物理性的结构的框图。
本实施方式的用户终端101由具有处理器(CPU)1、存储器2、辅助存储装置3、通信
接口4、输入接口5及输出接口8的计算机构成。
处理器1执行存储器2中所存储的程序。存储器2包括作为非易失性的存储元件的
ROM以及作为易失性的存储元件的RAM。ROM保存不变的程序(例如BIOS)等。RAM是DRAM
(Dynamic Random Access Memory、动态随机存取存储器)那样的高速且易失性的存储元
件,暂时地保存处理器1执行的程序及在程序的执行时使用的数据。
辅助存储装置3例如是磁存储装置(HDD、硬盘驱动器)、闪存存储器(SSD、固态硬
盘)等的大容量且非易失性的存储装置,其构成存储装置102。此外,辅助存储装置3保存处
理器1执行的程序。即,程序被从辅助存储装置3读出,装载到存储器2中,被处理器1执行。
通信接口4是按照规定的协议来控制与其他装置(文件服务器或网关等)的通信的
网络接口装置。
输入接口5连接着键盘6或鼠标7等,是接受来自操作者的输入的接口。输出接口8
连接着显示器装置9及打印机等,是将程序的执行结果以操作者能够可见的形式输出的接
口。
处理器1执行的程序经由可移动介质(CD-ROM、闪存存储器等)或网络被提供给用
户终端101,保存到作为非暂时性存储介质的非易失性的辅助存储装置3中。因此,用户终端
101可以具有从可移动介质读入数据的接口。
用户终端101是由在物理上为一个计算机、或者在逻辑上或物理上构成的多个计
算机所构成的计算机系统,可以是在同一个计算机上以分别的线程动作,也可以是在构建
于多个物理的计算机资源上的虚拟计算机上动作。
图3是说明ACL文件117的结构例的图。
ACL文件117包括定义网络访问的规则的网络ACL201、以及定义文件访问的规则的
文件ACL202。
网络ACL201保持用来唯一地识别规则的规则号码203、通信源204、通信目标205、
以及访问控制的定义206。
在通信源204中,指定适用访问控制的通信源的网络信息的IP地址及网络掩码、表
示自身的“LOCAL”或表示全部的“ANY”等。在通信目标205中,指定适用访问控制的通信目标
的网络信息的IP地址及网络掩码、表示自身的“LOCAL”或表示全部的“ANY”等。在定义206
中,指定在符合规则的情况下是许可还是拒绝通信。此外,在定义206中,还可以指定在符合
规则的情况下将通信目标向别的地址变更。
文件ACL202保持用来唯一地识别规则的规则号码207、表示访问目标的文件或目
录的访问路径208、访问控制的定义209。
在访问路径208中,用字符串指定适用访问控制的文件路径或目录路径。在定义
209中,指定在符合规则的情况下是许可还是拒绝向文件或目录的访问。此外,在定义209
中,还可以指定在符合规则的情况下将访问路径向别的路径变更。
图4是将I/O检测功能113向过滤管理器108登录的处理的流程图。
过滤管理器108是由操作系统107提供的功能。操作者通过向操作系统107发出指
令,能够将操作系统107处理的文件I/O请求包110或网络I/O请求包111经由过滤管理器108
向I/O检测功能113传递。
首先,过滤管理器108根据操作者的指示进行设定,以将文件I/O请求包110向I/O
检测功能113转送(步骤301)。进而,过滤管理器108根据操作者的指示进行设定,以将网络
I/O请求包111向I/O检测功能113转送(步骤302)。
图5是进程探索功能114的流程图。
进程探索功能114执行追溯生成了文件I/O请求包110及网络I/O请求包111的进程
的父进程的处理。
在从过滤管理器108经由I/O检测功能113接受到文件I/O请求包110或网络I/O请
求包111的情况下,进程探索功能114开始父进程探索处理。
首先,进程探索功能114从文件I/O请求包110或网络I/O请求包111取得调用源的
进程109的进程ID,作为Check ID(步骤401)。
接着,判定在步骤401中取得的Check ID是否与启动器112的进程ID一致(步骤
402)。
在步骤402中判定为Check ID与启动器112的进程ID一致的情况下(步骤403中
“是”),将进程109被从启动器112启动的消息向调用源返送,结束处理(步骤407)。
另一方面,在判定为Check ID与启动器112的进程ID不一致的情况下(步骤403中
“否”),取得Check ID的父进程的进程ID(步骤404)。
在不能取得父进程的进程ID的情况下(步骤405中“否”),将进程109没有从启动器
112启动的消息向调用源返送(步骤408),结束处理。
另一方面,在能够取得父进程的进程ID的情况下(步骤405中“是”),将在步骤404
中取得的进程ID新设为Check ID(步骤406),向步骤402返回,进一步探索父级进程。
图6是访问控制功能115的流程图。
访问控制功能115执行网络或文件的访问控制。
在步骤408的结果为调用源的进程109是从启动器112启动的进程的情况下,为了
对文件I/O请求包110或网络I/O请求包111处理访问控制,判定I/O请求包是文件I/O还是网
络I/O(步骤501)。
在I/O请求包是文件I/O请求包110的情况下,从ACL文件117的文件ACL202取得一
个规则(步骤502)。
另一方面,在I/O请求包是网络I/O请求包111的情况下,从ACL文件117的网络
ACL201取得一个规则(步骤503)。
在步骤502及步骤503中不能取得规则的情况下(步骤504中“否”),结束访问控制
处理。
另一方面,在步骤502及步骤503中能够取得规则的情况下(步骤504中“是”),判定
I/O请求包的内容(通信源、通信目标、访问路径等)与在步骤502及步骤503中取得的规则
(通信源204、通信目标205、访问路径208等)是否一致(步骤505)。
结果,在I/O请求包的内容与规则一致的情况下(步骤506中“是”),根据ACL文件
117的定义206、209将I/O请求包更新(步骤507),结束访问控制处理。
另一方面,在上述I/O请求包的内容与规则不一致的情况下(步骤506中“否”),从
ACL文件117取得一个接着的规则(步骤508),向步骤504返回,继续处理。
通过上述方法,能够利用进程的父子关系,对从启动器112启动的全部的进程109
适用由ACL文件117设定的访问控制。
另外,在多个规则符合的情况下,优选的是以优先适用的顺序在ACL文件117中登
记规则。此外,也可以在ACL文件117中定义优先顺序,将符合I/O请求包的规则全部选择,按
照定义的优先顺序对I/O请求包适用访问控制定义。
如以上说明,根据本发明的实施例,由于具有:作为将进程启动的进程的启动器
112;定义了进程发出的I/O请求的控制内容的ACL文件202;追溯被启动的进程的父级、判定
是否是以启动器112为起源而被启动的进程的进程探索功能114;以及根据在ACL文件202中
定义的内容来控制以启动器112为起源而被启动的进程所发出的I/O请求的访问控制功能
115,所以使用者即使不按每个进程或每个文件来设定访问控制,通过在过滤管理器108中
设定访问控制、将想要适用安全性的进程从启动器112启动,也能够唯一地控制向网络或文
件系统的访问。
此外,进程探索功能114取得发出了I/O请求的进程的识别信息,如果启动了进程
的进程的识别信息与启动器112的识别信息相同,则判定为发出了I/O请求的进程是以启动
器112为起源而被启动的进程,如果进程的识别信息与上述启动器112的识别信息不同,则
追溯父进程,判定父进程的识别信息是否与启动器112的识别信息相同,由此,能够可靠地
判定启动了进程的起源的进程。
此外,访问控制功能115判定I/O请求的类别,在I/O请求是文件I/O请求的情况下,
参照文件ACL202,根据I/O请求的访问目标决定I/O的控制内容,在I/O请求是网络I/O请求
的情况下,参照网络ACL201,根据I/O请求的通信源及通信目标决定I/O的控制内容,由此,
能够根据I/O的对象可靠地应用不同的规则。
另外,本发明并不限定于上述实施例,而包含权利要求书的主旨内的各种各样的
变形例及等同的结构。例如,上述实施例是为了使本发明容易理解而进行了详细地说明,本
发明并不限定于一定具备所说明的全部结构。此外,也可以将某个实施例的结构的一部分
替换为其他实施例的结构。此外,也可以对某个实施例的结构添加其他实施例的结构。此
外,关于各实施例的结构的一部分也可以进行其他结构的追加、删除、替换。
此外,上述各结构、功能、处理部、处理机构等也可以通过将它们的一部分或全部
例如用集成电路设计等而通过硬件来实现,也可以通过处理器将实现各个功能的程序解释
并执行而由软件实现。
实现各功能的程序、表、文件等的信息可以保存到存储器、硬盘、SSD(Solid State
Drive、固态硬盘)等的存储装置、或IC卡、SD卡、DVD等的记录介质中。
此外,控制线及信息线是考虑到说明上的需要而显示的,并不一定表示在安装上
需要的全部的控制线及信息线。实际上,也可以认为几乎全部的结构被相互连接。