提供用于防止从数据分发目的地发生信息泄露的手段。数据分发服务器(20)包含:数据库(130),与客户端的环境对应地存储用于在客户端上实现访问控制机构和展开部的访问控制实施模块(132~138),访问控制机构根据分配的策略控制基于程序向资源的访问,展开部在被保护的存储区域展开包含于分发数据包的分发数据;数据库(120),存储分发数据(124)、对分发数据(124)指定的安全策略(122);环境检测部(144),检测请求分发数据的接收的客户端(30B)的环境;发送部(150),发送包含分发数据(162)、安全策略(164)、与客户端(30B)的环境对应的访问控制实施模块(166)的分发数据包(160)。
【技术实现步骤摘要】
【国外来华专利技术】
本专利技术涉及信息泄露的应对技术,更具体而言,涉及用于防止从数据分发目的地发生的信息泄露的数据分发装置、数据分发系统、客户端装置、数据分发方法、数据接收方法、程序及记录介质。
技术介绍
近年来,伴随着公司内外的设计协作以及OME (Original EquipmentManufacturing:原始设备制造商)的全球化,开发、生产基地的海外扩张日益盛行。另外,由于云计算的普及,基地之间、订购者与承包者之间的地理距离缩短,经由网络的技术数据的流通日渐活跃。与之相伴,重要技术数据的不正当外泄的风险飞跃上升,数据安全策略、可追踪确保的重要性提高。尤其在向分包者及再分包者的订购作业频繁发生的制造业中,防止从承包者侧发生设计、制造数据的二次泄露成为重大课题。虽然一部分的业务能够通过云服务进行外部委托,但三维 CAD (Computer Aided Design)、NC 加工(Numerical Control machining)、医疗领域等需要在本地终端进行处理的业务仍残留较多,从而必须允许机密数据保存在承包者侧的本地终端上的情况也较多。关于保存于承包者侧的本地终端中的机密数据,通常情况下,由于脱离了订购者的管理,所以期望采取用于防止机密数据被不正当利用或外泄的技术手段。尤其期望在合同期满后,保存于承包者侧的本地终端中的机密数据无法被利用。作为上述那样的技术手段,例如日本特开2009-26046号公报(专利文献I)涉及如下技术:过滤对存储器以及输入输出接口的设备驱动器发送的读入命令或写入命令,从而限制对存储设备的访问。专利文献I还公开了防止数据二次外泄的方法,其特征在于,以防止数据从数据分发目的地的组织向第三方的二次外泄为目的,从由用于通过数据的分发目的地计算机所具有的虚拟化手段构筑与非分发数据的执行环境隔离的分发数据处理专用的执行环境的操作系统及应用程序构成的分发数据处理专用的执行环境构筑镜像文件,执行操作系统及应用程序的安装,通过该分发目的地计算机所具有的虚拟化手段构筑与非分发数据的执行环境隔离的分发数据处理专用的执行环境。日本特开2009-86840号公报(专利文献2)同样地公开了一种信息处理装置,其特征在于,具有由数据管理用的操作系统及规定的应用程序构成的管理者用环境,所述操作系统以通过信息处理装置所具有的虚拟化手段来与用户所访问的操作系统环境隔离的方式构筑,用户所访问的操作系统环境具有以如下方法操作应用程序的手段,所述方法为:将键盘等的输入信息发送到管理用环境,作为其应答,从管理用环境接收显示画面的信息。作为商用的DRM(Digital Rights Management)产品,也提供了在应用程序内部安装有访问控制功能的软件应用程序。例如,Microsoft (注册商标)公司的RMS(RightsManagement Services)(非专利文献I)及Adobe (注册商标)公司的LiveCycle (注册商标)Rights Management ES2 (非专利文献2)是应用程序本身用于解释按文件而规定的编辑权限以及打印权限等安全策略并用于限制阅览、编辑、复制、打印等各种操作的技术。现有技术文献专利文献专利文献1:日本特开2009-26046号公报专利文献2:日本特开2009-86840号公报非专利文献非专利文献1:“Windows Rights Management Services”、 、 、互联网〈URL ;http://www.microsoft.com/windowsserver2003/techno1gies/rightsmgmt/default.mspx>非专利文献2:“Adobe LiveCycle Rights Management ES2”、 、、互联网〈URL ;http://www.adobe, com/products/livecycle/rightsmanagement/>
技术实现思路
但是,在上述专利文献I及专利文献2公开的现有技术中,需要使分发目的地计算机具有用于构筑与通常的执行环境隔离的分发数据处理专用的执行环境的虚拟化手段,从而能够利用的环境受到限制。或者,为了在分发目的地计算机中构筑与通常的执行环境隔离的分发数据处理专用的执行环境,需要安装操作系统及应用程序,从而使分发目的地增加负担。而且,通常情况下,操作者不仅对分发数据进行处理,还同时进行邮件接发以及网页浏览等较多的作业,在利用了虚拟化技术的构成中,无法忽略虚拟OS之间的频繁往来的繁琐性。另外,像上述非专利文献I及非专利文献2所公开的技术那样,关于在应用程序内部安装访问控制功能的技术,遗憾的是,由于能够保护的应用程序被限定,所以能够利用的数据的种类被限定。因此,只要所有业务应用程序不对应,就无法总括地管理业务整体。本专利技术是鉴于上述现有技术的问题点而研发的,本专利技术的目的在于提供一种数据分发装置及数据分发系统,以对分发数据捆绑有执行访问控制的适当的访问控制机构的分发数据包的方式进行数据分发,由此,能够控制各种数据的信息流,进而,不对分发目的地的使用环境施加限制以及导致过大的作业负担就能够防止从分发目的地发生的信息泄露。本专利技术的其他目的在于提供从上述数据分发装置接收分发数据包的客户端装置、上述数据分发装置或数据分发系统所执行的数据分发方法、上述客户端装置所执行的数据接收方法、用于实现上述数据分发装置或数据分发系统的程序、以及存储上述程序的记录介质。本专利技术是鉴于上述现有技术的不方便之处而研发的,本专利技术提供具有以下特征的、用于提供分发数据包的数据分发装置和由多个计算机构成的数据分发系统。本专利技术的数据分发装置或数据分发系统具有程序存储部,其与客户端的环境相对应地存储用于在该客户端上实现访问控制机构和展开部的访问控制实施程序,所述访问控制机构根据所分配的策略来控制基于进程向资源的访问,所述展开部在被保护的存储区域中展开包含于分发数据包的分发数据。本数据分发装置或数据分发系统对请求分发数据的接收的请求源客户端的环境进行检测,读取成为分发对象的分发数据和对该分发数据指定的安全策略,将包含上述分发数据、上述安全策略、和与上述请求源客户端的环境相对应的访问控制实施程序的分发数据包发送到请求源客户端。而且,根据本专利技术,能够提供接收上述分发数据包的客户端装置。本客户端装置具有:对上述数据分发装置发送分发数据的接收请求的请求发送部、和用于发送记载有该客户端装置的环境的环境信息的环境信息发送部。另外,在本专利技术中,能够提供上述数据分发装置或数据分发系统所执行的数据分发方法、上述客户端装置所执行的数据接收方法,用于实现上述数据分发装置或数据分发系统的程序、以及存储上述程序的记录介质。专利技术效果根据上述构成,分发数据的注册者能够在对分发目的地的作业环境分派规定的安全策略后,将该分发数据交付到分发目的地。分发数据保存在分发目的地的本地环境中,但对于存在于本地环境的分发数据,由上述访问控制机构根据安全策略来控制基于运行进程向资源的访问,从而限制存在于本地环境的分发数据能够流通的范围。由此,例如能够防止向客户企业提供正式信息后数据的意外外泄所导致的信息泄露、即所谓的二次泄露。而且,根据上述构成,不需要对分发目的地进行繁琐的特殊本文档来自技高网...
【技术保护点】
一种数据分发装置,其特征在于,包含:程序存储部,其与客户端的环境相对应地存储用于在该客户端上实现访问控制机构和展开部的访问控制实施程序,所述访问控制机构根据所分配的策略来控制基于进程向资源的访问,所述展开部在被保护的存储区域中展开包含于分发数据包的分发数据;数据存储部,其存储成为分发对象的分发数据和对所述分发数据指定的安全策略;环境检测部,其对请求所述分发数据的接收的请求源客户端的环境进行检测;和发送部,其将包含所述分发数据、所述安全策略、和与所述请求源客户端的所述环境相对应的访问控制实施程序的分发数据包发送到所述请求源客户端。
【技术特征摘要】
【国外来华专利技术】...
【专利技术属性】
技术研发人员:古市实裕,荒津拓,多田政美,
申请(专利权)人:国际商业机器公司,
类型:发明
国别省市:美国;US
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。