本发明专利技术提供一种用户终端装置及其控制方法、以及程序。在允许向二次存储装置写入进程、和禁止写入进程的数据使用中,两进程可以实时地使用补丁等系统结构数据的最新数据,但能够隔离不应在两进程间共享的数据来使用。在PC启动时生成A卷(二次存储装置上的实际的卷)的镜像卷B,使禁止写入进程仅在卷A中读写,并且使允许写入进程仅在镜像卷B中读写。OS补丁等系统结构数据写入卷A和镜像卷B两者,从禁止写入进程和允许写入进程都处理最新的系统结构数据。此时,使用把向卷A和镜像卷B的全部的写入处理重定向到存储器上的单元在存储器上进行高速缓冲存储,在关机时仅把镜像卷B的高速缓冲存储数据写入二次存储装置。
【技术实现步骤摘要】
本专利技术涉及用户终端装置及其控制方法、以及程序,尤其涉及通过用户终端向二 次存储装置的写入控制、以及向外部存储介质的写出控制,将用户数据集中到文件服务器, 防止机密信息的丢失 泄漏的瘦客户机系统中的用户终端的文件访问控制。
技术介绍
近年来,作为用于防止从用户终端扩散在文件服务器中保管的重要数据的系统, 提出了瘦客户机系统。瘦客户机系统,一般在终端内使用未装备非易失性的二次存储装置 的终端(无磁盘PC),但也存在将控制了写入的具备二次存储装置的PC(个人计算机)用作 瘦客户机终端的系统。例如,在专利文献1中,在具有二次存储装置的终端装置中,从应用程序向二次存 储装置发生写入时,通过将该写入向主存储装置(高速缓冲存储器)上进行重定向,限制向 二次存储装置的写入,模拟地实现了不具有二次存储的终端装置。与使用无磁盘PC的情况相比,在把进行了写入控制的具备二次存储装置的PC用 作瘦客户机终端装置的情况下,服务器站点中的负荷小,因此具有可以降低基础结构构建 等的成本的好处。根据该系统,除了防止在文件服务器中保管的重要数据扩散以外,还能够 防止用户进行的不适当的0S(0peratingSyStem)设定变更、或应用程序的安装。另一方面,专利文献1公开的系统,无法将OS补丁等系统更新数据保存在二次存 储装置中,因此无法将系统保持最新状态。与之相对,作为能够向用户终端的二次存储装置仅保存系统更新数据的系统,提 出了专利文献2中公开的那样的系统。在专利文献2中,在文件系统的下位生成了可以写 入过滤设备和禁止写入过滤设备这两者。并且,通过文件访问控制驱动程序即文件系统的 上位的过滤驱动程序检测禁止写入的文件访问,重定向到禁止写入过滤设备。由此,对于向 二次存储装置的写入,实现了以文件夹为单位的保存控制。若使用该手段,则仅将系统更新 数据保存在用户终端装置的二次存储装置,能够将系统保持为最新状态。专利文献1JP特开2007-172063号公报专利文献2JP特开2008-59501号公报
技术实现思路
然而,为使OS补丁(系统更新)的数据有效,必须在二次存储装置中反映该OS补 丁数据。并且,在专利文献2的系统中,为把OS补丁数据反映到二次存储装置需要重启动 系统,存在无法实时地使OS补丁等系统更新数据有效的问题。这是由于参照在本地运行的 禁止写入的文件时的卷设备、和写入了 0S补丁的卷设备不同所引起的问题。另外,由于没 有与应用程序的结构文件等、不应在进程之间公用使用的文件的数据写入相关的控制,因 此认为也存在安全方面的问题。鉴于上述状况而提出本专利技术,本专利技术提供以下技术在瘦客户机终端装置中,可以使本地保存的OS补丁等系统更新数据实时有效,并恰当地保存应用程序的结构文件等在 多个进程间不应共享的数据,且可以使不应在终端中残留的数据在关机后消失。为了解决上述课题,例如在PC启动时生成A卷(二次存储装置上的实际的卷)的 镜像卷B,使禁止写入进程仅在卷A中执行读写处理,并且使允许写入进程仅在镜像卷B中 读写。另外,OS补丁等系统结构数据写入卷A和镜像卷B两者,设置成从禁止写入进程和允 许写入进程都处理最新的系统结构数据。此时,使用把向卷A和镜像卷B的全部的写入处 理重定向到存储器上的单元,在存储器上进行了高速缓冲存储,在关机时仅把镜像卷B的 高速缓冲存储数据写入二次存储装置。即本专利技术的用户终端装置具备二次存储装置;高速缓冲存储器;判断来自应用 程序的针对二次存储装置的I/O请求的类别的文件访问控制部(文件访问控制模块);以 及对I/O请求进行重定向的第一以及第二重定向处理部(卷过滤设备以及影卷设备)。文 件访问控制部,当判断出来自应用程序的I/O请求是允许二重写入进程、并且是写入请求 时,将该I/O请求转发到第一以及第二重定向处理部。并且,第一以及第二重定向处理部分 别把与I/O请求对应的数据写入高速缓冲存储器。作为发行允许二重写入进程的I/O请求 的应用程序的例子,列举出包含OS补丁的系统更新数据。此外,第二重定向处理部,在用户 终端装置的关机时,把通过第二重定向处理部写入高速缓冲存储器的数据写入二次存储装 置。由此,系统更新数据最终被反映到用户终端装置中。另一方面,文件访问控制部,当判断出来自应用程序的所述I/O请求是允许二重 写入进程、并且是写入请求以外的请求时,将该I/O请求转发到所述第二重定向处理部。并 且,第二重定向处理部,从高速缓冲器读入与I/O请求对应的数据。另外,文件访问控制部,当判断出来自应用程序的所述I/O请求不是允许二重写 入进程而是允许写入进程、并且是写入请求时,将该I/O请求转发到第二重定向处理部。并 且,仅第二重定向处理部,将是允许写入进程、并且是写入请求的I/O请求所对应的数据写 入高速缓冲存储器。另一方面,文件访问控制部,当判断出来自应用程序的I/O请求不是允 许二重写入进程而是允许写入进程、并且是写入请求以外的请求时,将该I/O请求转发到 所述第二重定向处理部。并且,第二重定向处理部,从高速缓冲存储器读入是所述允许写入 进程、并且是写入请求以外的请求的I/O请求所对应的数据。而且,文件访问控制部,当判断出来自应用程序的所述I/O请求是禁止写入进程、 并且是写入请求时,将该I/O请求转发到所述第一重定向处理部。并且,仅第一重定向处理 部,将是禁止写入进程、并且是写入请求的I/O请求所对应的数据写入高速缓冲存储器。另 一方面,文件访问控制部,当判断出来自应用程序的I/O请求是禁止写入进程、并且是写入 请求以外的请求时,将该I/O请求转发到所述第一重定向处理部。并且,第一重定向处理 部,从高速缓冲存储器读入是所述禁止写入进程、并且是写入请求以外的请求的I/O请求 所对应的数据。作为发行禁止写入进程的I/O的应用程序的例子,列举出用于生成、编辑机 密数据的应用程序。通过以下用于实施本专利技术的最佳实施方式以及附图,本专利技术的其他特征会变得明 了。根据本专利技术,在允许写入进程和禁止写入进程的全部进程中,能够使OS补丁等系 统更新数据实时地有效。另外,在从PC启动到关闭的期间,可以在允许写入进程和禁止写入进程之间隔离文件、例如应用程序固有的设定、结构数据等,能够安全地管理数据。 附图说明图1是表示本专利技术的实施方式的瘦客户机系统的概略结构的图。图2是表示用户终端的内部结构的图。图3是用于说明文件访问控制模块的动作的流程图。图4是用于说明写入控制模块的动作的流程图。图5是用于说明启动时的动作的流程图。图6是用于说明关机时的动作的流程图。图7是表示应用程序控制文件的例子的图。符号说明101用户终端、102文件服务器、103网络、104 OS、105应用程序、106文件访问控制模块、107写入控制模块、108设备控制模块、109应用程序控制文件、110 二次存储装置、111机密数据具体实施例方式本专利技术涉及通过用户终端向二次存储装置的写入控制、以及向外部存储介质的写 出控制,将用户数据集中在文件服务器中,并防止机密信息的丢失、泄漏的瘦客户机系统中 的用户终端的文件访问控制。以下,参照附图说明本专利技术的实施方式。但是应该注意,本实施方式只不过是用于 实现本专利技术的一例,并不限定本专利技术的技术范围。另外,在各图中对相同的结构赋本文档来自技高网...
【技术保护点】
一种用户终端装置,其构成将数据转发到文件服务器来存储的瘦客户机系统的一部分,其特征在于,该用户终端装置具备:二次存储装置;高速缓冲存储器;判断来自应用程序的针对所述二次存储装置的I/O请求的类别的文件访问控制部;以及对所述I/O请求进行重定向的、第一以及第二重定向处理部,所述文件访问控制部,当判断出来自所述应用程序的所述I/O请求是允许二重写入进程、并且是写入请求时,将该I/O请求转发到所述第一以及第二重定向处理部,所述第一以及第二重定向处理部,分别把与所述I/O请求对应的数据写入所述高速缓冲存储器。
【技术特征摘要】
...
【专利技术属性】
技术研发人员:中山晃治,
申请(专利权)人:日立软件工程株式会社,
类型:发明
国别省市:JP[日本]
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。