访问控制系统及访问控制方法技术方案

技术编号:15529770 阅读:139 留言:0更新日期:2017-06-04 17:02
一种访问控制系统,由具有执行进程的处理器和保存上述程序的存储器的计算机构成,具有:启动器,是将上述进程启动的进程;ACL文件,定义了上述进程发出的I/O请求的控制内容;进程探索部,追溯上述进程的父级,判定是否是以上述启动器为起源而被启动的进程;访问控制部,根据上述ACL文件中定义的内容,控制以上述启动器为起源而被启动的进程所发出的I/O请求。

Access control system and access control method

An access control system, with the progress of the execution of the processor and memory for storing the computer program which has: starter, the process of starting process; ACL file defines the content of the above control process I/O requests issued by the parent department; the process of exploration, the tracing process, is to determine whether the the origin is starter as a starting process; access control department, according to the definition of the contents of the ACL file, a control to the starter as origin was starting process I/O requests.

【技术实现步骤摘要】
【国外来华专利技术】访问控制系统及访问控制方法相关申请的交叉引用本申请基于平成27年(2015年)3月25日提出的日本专利申请特愿2015-62999主张优先权,在此引用其全部内容。
本专利技术涉及访问控制系统。
技术介绍
以往,在处理机密信息文件的PC等的终端中,有以机密信息保护为目的而设定防火墙或向文件系统的访问控制、以防止来自有恶意的使用者的不正当的访问或机密信息文件的泄漏等的技术。作为本技术的
技术介绍
,有特开2007-140798号公报。特开2007-140798号公报记载有一种计算机的信息泄漏防止系统:在计算机上执行的应用要向硬盘等的存储部中所存储的信息访问的时点,由判定部判定是否满足预先设定的访问容许条件,在判定为不正当的访问的情况下禁止上述信息向应用的交接。
技术实现思路
专利技术所要解决的课题另一方面,在综合办公软件中包含文字处理器、表计算等多个应用,综合办公软件处理各种形式的文件。因此,在利用综合办公软件编辑机密信息文件的情况下,在上述以往的技术中,能够着眼于扩展名设定访问控制。但是,必须掌握应用所处理的全部的扩展名来进行需要的全部的设定。此外,在利用防火墙控制网络通信的情况下,必须对通信目标及通信程序等分别设定访问控制。本专利技术的目的是提供一种将上述那样的文件系统及防火墙的访问控制的设定简略化的系统。用于解决课题的手段如果表示在本申请中公开的专利技术的代表性的一例,则如以下所述。即,一种访问控制系统,由具有执行进程的处理器和保存上述程序的存储器的计算机构成,该访问控制系统具有:启动器,是将上述进程启动的进程;访问控制列表文件即ACL文件,定义了上述进程发出的I/O请求的控制内容;进程探索部,追溯上述进程的父级,判定是否是以上述启动器为起源而启动的进程;以及访问控制部,按照由上述ACL文件定义的内容,控制以上述启动器为起源而启动的进程所发出的I/O请求。专利技术的效果根据本专利技术的代表性的实施方式,能够使访问控制的设定简略化。通过以下的实施例的说明将使上述以外的问题、结构及效果变得清楚。附图说明图1是表示本专利技术实施例的系统的结构的图。图2是表示本实施例的用户终端的物理性的结构的框图。图3是说明本实施例的ACL表的结构例的图。图4是将本实施例的I/O检测功能向过滤管理器登录的处理的流程图。图5是本实施例的进程探索功能的流程图。图6是本实施例的访问控制功能的流程图。具体实施方式以下,利用附图对实施本专利技术的情况详细地说明。图1是表示本专利技术实施例的系统的结构的图。在图1中,用户终端101具有存储装置102、和网络适配器103。此外,在用户终端101中,安装着操作系统107、文件系统驱动105、和网络驱动106。进而,用户终端101,在操作系统107内具有将从进程109产生的文件I/O请求包110以及网络I/O请求包111过滤的过滤管理器108。在过滤管理器108中登记有I/O检测功能113。I/O检测功能113包括进程探索功能114和访问控制功能115。此外,在用户终端101内安装着启动器112和设定工具116。启动器112将任意的进程109启动。I/O检测功能113经由过滤管理器108接受文件I/O请求包110及网络I/O请求包111。进程探索功能114根据由I/O检测功能113接受到的请求包确认发送源的进程109的父进程。在能够由进程探索功能114确认父进程是启动器112的情况下,访问控制功能115根据ACL文件117进行访问控制。设定工具116对ACL文件117记录、编辑、删除访问控制设定。当将文字处理器、表计算、Web浏览器等任意的进程109启动时,在想要应用ACL文件117的情况下,用户从启动器112启动进程109。在进程109进行向文件或网络的访问的情况下,操作系统107生成包含访问内容及访问源的进程信息在内的包,经由过滤管理器108向文件系统驱动105或网络驱动106传递。过滤管理器108调用I/O检测功能113内的进程探索功能114。进程探索功能114探索进程109的父进程、更父级的进程,判定进程109的起源是否是启动器112。在进程探索功能114判定为进程109的起源是启动器112的情况下,过滤管理器108调用访问控制功能115。访问控制功能115按照ACL文件117,进行文件I/O请求包110及网络I/O请求包111的许可、拒绝、变更等的访问控制。通过上述,能够对以启动器112为起源的全部的子进程及孙进程一起应用ACL文件117的访问控制。图2是表示用户终端101的物理性的结构的框图。本实施方式的用户终端101由具有处理器(CPU)1、存储器2、辅助存储装置3、通信接口4、输入接口5及输出接口8的计算机构成。处理器1执行存储器2中所存储的程序。存储器2包括作为非易失性的存储元件的ROM以及作为易失性的存储元件的RAM。ROM保存不变的程序(例如BIOS)等。RAM是DRAM(DynamicRandomAccessMemory、动态随机存取存储器)那样的高速且易失性的存储元件,暂时地保存处理器1执行的程序及在程序的执行时使用的数据。辅助存储装置3例如是磁存储装置(HDD、硬盘驱动器)、闪存存储器(SSD、固态硬盘)等的大容量且非易失性的存储装置,其构成存储装置102。此外,辅助存储装置3保存处理器1执行的程序。即,程序被从辅助存储装置3读出,装载到存储器2中,被处理器1执行。通信接口4是按照规定的协议来控制与其他装置(文件服务器或网关等)的通信的网络接口装置。输入接口5连接着键盘6或鼠标7等,是接受来自操作者的输入的接口。输出接口8连接着显示器装置9及打印机等,是将程序的执行结果以操作者能够可见的形式输出的接口。处理器1执行的程序经由可移动介质(CD-ROM、闪存存储器等)或网络被提供给用户终端101,保存到作为非暂时性存储介质的非易失性的辅助存储装置3中。因此,用户终端101可以具有从可移动介质读入数据的接口。用户终端101是由在物理上为一个计算机、或者在逻辑上或物理上构成的多个计算机所构成的计算机系统,可以是在同一个计算机上以分别的线程动作,也可以是在构建于多个物理的计算机资源上的虚拟计算机上动作。图3是说明ACL文件117的结构例的图。ACL文件117包括定义网络访问的规则的网络ACL201、以及定义文件访问的规则的文件ACL202。网络ACL201保持用来唯一地识别规则的规则号码203、通信源204、通信目标205、以及访问控制的定义206。在通信源204中,指定适用访问控制的通信源的网络信息的IP地址及网络掩码、表示自身的“LOCAL”或表示全部的“ANY”等。在通信目标205中,指定适用访问控制的通信目标的网络信息的IP地址及网络掩码、表示自身的“LOCAL”或表示全部的“ANY”等。在定义206中,指定在符合规则的情况下是许可还是拒绝通信。此外,在定义206中,还可以指定在符合规则的情况下将通信目标向别的地址变更。文件ACL202保持用来唯一地识别规则的规则号码207、表示访问目标的文件或目录的访问路径208、访问控制的定义209。在访问路径208中,用字符串指定适用访问控制的文件路径或目录路径。在定义209中,指定在符合规则的情况下是许可还是拒绝向文件或目录的访问。此外,在定义209中,本文档来自技高网...
访问控制系统及访问控制方法

【技术保护点】
一种访问控制系统,由具有执行进程的处理器和保存用来执行上述进程的程序的存储器的计算机构成,其特征在于,具有:启动器,是将上述进程启动的进程;访问控制列表文件即ACL文件,定义了上述进程发出的输入/输出请求即I/O请求的控制内容;进程探索部,追溯上述进程的父级,判定是否是以上述启动器为起源而被启动的进程;以及访问控制部,根据上述ACL文件中定义的内容,控制以上述启动器为起源而被启动的进程所发出的I/O请求。

【技术特征摘要】
【国外来华专利技术】2015.03.25 JP 2015-0629991.一种访问控制系统,由具有执行进程的处理器和保存用来执行上述进程的程序的存储器的计算机构成,其特征在于,具有:启动器,是将上述进程启动的进程;访问控制列表文件即ACL文件,定义了上述进程发出的输入/输出请求即I/O请求的控制内容;进程探索部,追溯上述进程的父级,判定是否是以上述启动器为起源而被启动的进程;以及访问控制部,根据上述ACL文件中定义的内容,控制以上述启动器为起源而被启动的进程所发出的I/O请求。2.如权利要求1所述的访问控制系统,其特征在于,上述进程探索部,取得发出了上述I/O请求的进程的识别信息;如果启动了上述进程的进程的识别信息与上述启动器的识别信息相同,则判定为发出了上述I/O请求的进程是以上述启动器为起源而被启动的进程;如果上述进程的识别信息与上述启动器的识别信息不同,则追溯该进程的父进程,进而判定上述父进程的识别信息是否与上述启动器的识别信息相同。3.如权利要求1所述的访问控制系统,其特征在于,上述访问控制部,判定上述I/O请求的类别;在上述I/O请求是文件I/O请求的情况下,参照上述ACL文件,根据上述I/O请求的访问目标决定I/O的控制内容;在上述I/O请求是网络I/O请求的情况下,参照上述ACL文件,根据上述I/O请求的通信源及通信目标决定I/O的控制内容。4.一种访问控制方法,是...

【专利技术属性】
技术研发人员:清川祐一井上浩二中山龙二太田裕之
申请(专利权)人:株式会社日立解决方案
类型:发明
国别省市:日本,JP

网友询问留言 已有0条评论
  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1