JP2010237921A - 利用者端末装置及びその制御方法、並びにプログラム - Google Patents

利用者端末装置及びその制御方法、並びにプログラム Download PDF

Info

Publication number
JP2010237921A
JP2010237921A JP2009084407A JP2009084407A JP2010237921A JP 2010237921 A JP2010237921 A JP 2010237921A JP 2009084407 A JP2009084407 A JP 2009084407A JP 2009084407 A JP2009084407 A JP 2009084407A JP 2010237921 A JP2010237921 A JP 2010237921A
Authority
JP
Japan
Prior art keywords
request
write
application
access control
user terminal
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2009084407A
Other languages
English (en)
Inventor
Koji Nakayama
晃治 中山
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hitachi Software Engineering Co Ltd
Original Assignee
Hitachi Software Engineering Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hitachi Software Engineering Co Ltd filed Critical Hitachi Software Engineering Co Ltd
Priority to JP2009084407A priority Critical patent/JP2010237921A/ja
Priority to US12/730,353 priority patent/US20100250852A1/en
Priority to CN2010101504854A priority patent/CN101853223B/zh
Priority to EP10157938.1A priority patent/EP2237152B1/en
Publication of JP2010237921A publication Critical patent/JP2010237921A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6281Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database at program execution time, where the protection is within the operating system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F8/00Arrangements for software engineering
    • G06F8/60Software deployment
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y02TECHNOLOGIES OR APPLICATIONS FOR MITIGATION OR ADAPTATION AGAINST CLIMATE CHANGE
    • Y02DCLIMATE CHANGE MITIGATION TECHNOLOGIES IN INFORMATION AND COMMUNICATION TECHNOLOGIES [ICT], I.E. INFORMATION AND COMMUNICATION TECHNOLOGIES AIMING AT THE REDUCTION OF THEIR OWN ENERGY USE
    • Y02D10/00Energy efficient computing, e.g. low power processors, power management or thermal management

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • Databases & Information Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
  • Storage Device Security (AREA)
  • Memory System Of A Hierarchy Structure (AREA)
  • Stored Programmes (AREA)

Abstract

【課題】二次記憶装置への書込み許可プロセスと、書込み禁止プロセスのデータ使用において、パッチ等のシステム構成データは両プロセスが最新のものをリアルタイムに使用できるが、両プロセス間で共有するべきでないデータは隔離して使用することを可能にする。
【解決手段】Aボリューム(二次記憶装置上の実際のボリューム)のミラーボリュームBをPC起動時に作成し、書込み禁止プロセスはボリュームAのみに読書きさせ、かつ、書込み許可プロセスはミラーボリュームBのみに読書させる。OSパッチ等のシステム構成データはボリュームAとミラーボリュームBの両方に書込み、書込み禁止プロセスからも書込み許可プロセスからも最新のシステム構成データを扱えるようにする。この時、ボリュームAとミラーボリュームBへの全ての書込み処理をメモリ上にリダイレクトする手段を用いてメモリ上にキャッシュしておき、シャットダウン時にミラーボリュームBのキャッシュのみを二次記憶装置に書込む。
【選択図】図2

Description

本発明は、利用者端末装置及びその制御方法、並びにプログラムに関し、利用者端末の二次記憶装置への書込み制御、及び、外部記憶媒体への書出し制御により、利用者データをファイルサーバに集約し、機密情報の紛失・漏洩防止を実現するシンクライアントシステムにおける、利用者端末のファイルアクセス制御に関するものである。
近年、ファイルサーバに保管されている重要データが、利用者端末から拡散するのを防ぐためのシステムとして、シンクライアントシステムが考案されている。シンクライアントシステムは、端末内に不揮発性の二次記憶装置を装備しない端末(ディスクレスPC)を使用するのが一般的であるが、書込みを制御した二次記憶装置を備えるPC(パーソナル・コンピュータ)をシンクライアント端末として使用するシステムも存在する。
例えば、特許文献1では、二次記憶装置を持つ端末装置において、アプリケーションから二次記憶装置へ書き込みが発生した場合、その書き込みを主記憶装置(キャッシュメモリ)上へリダイレクトすることで、二次記憶装置への書き込みを制限し、擬似的に二次記憶を持たない端末装置を実現している。
ディスクレスPCを使用する場合に比べ、書込み制御した二次記憶装置を備えるPCをシンクライアント端末装置として使用する場合、サーバサイドでの負荷が少ないため、インフラ構築等のコストを安価できるメリットがある。このシステムによれば、ファイルサーバに保管されている重要データが拡散するのを防止することに加え、利用者による不適切なOS設定変更や、アプリケーションのインストールを防止することも可能である。
一方、特許文献1に開示のシステムは、OSパッチ等のシステム更新データを、二次記憶装置に保存することができないため、システムを最新の状態に保てない。
これに対して、システム更新データのみを利用者端末の二次記憶装置へ保存可能なシステムとして、特許文献2に開示されているようなシステムが提案されている。特許文献2では、ファイルシステムの下位に書込み可能フィルタデバイスと、書込み禁止フィルタデバイスの2つを生成する。そして、ファイルシステムの上位のフィルタドライバであるファイルアクセス制御ドライバで書込み禁止のファイルアクセスを検知して、書込み禁止フィルタデバイスにリダイレクトする。これにより、二次記憶装置への書込みに関して、ファイル・フォルダ単位の保存制御を実現している。この手段を使えば、システム更新データのみを利用者端末装置の二次記憶装置へ保存し、システムを最新の状態に保つことが可能である。
特開2007−172063号公報 特開2008−59501号公報
しかしながら、OSパッチ(システム更新)のデータを有効にするために、二次記憶装置にこのOSパッチデータが反映されてなければならない。そして、特許文献2のシステムにおいては、OSパッチデータを二次記憶装置に反映するためにシステムを再起動する必要があり、リアルタイムでOSパッチ等のシステム更新データを有効にすることができないという問題がある。これは、ローカル上で動作する書込みを禁止されたファイルを参照する場合のボリュームデバイスとOSパッチが書き込まれたボリュームデバイスが異なるため起きる問題である。また、アプリケーションの構成ファイル等、プロセス間で共通のファイルを使うべきでないデータの書き込みに関する制御がないため、セキュリティ上の問題も考えられる。
本発明はこのような状況に鑑みてなされたものであり、シンクライアント端末装置において、ローカルに保存するOSパッチ等のシステム更新データをリアルタイムで有効することができ、アプリケーションの構成ファイル等、複数プロセス間で共有すべきでないデータを適切に保存し、かつ、端末に残存すべきではないデータはシャットダウン後に揮発させることができる技術を提供するものである。
上記課題を解決するために、例えば、Aボリューム(二次記憶装置上の実際のボリューム)のミラーボリュームBをPC起動時に作成し、書込み禁止プロセスはボリュームAのみに読み書き処理を実行させ、かつ、書込み許可プロセスはミラーボリュームBのみに読み書させる。また、OSパッチ等のシステム構成データはボリュームAとミラーボリュームBの両方に書込み、書込み禁止プロセスからも書込み許可プロセスからも最新のシステム構成データを扱えるようにする。この時、ボリュームAとミラーボリュームBへの全ての書込み処理をメモリ上にリダイレクトする手段を用いてメモリ上にキャッシュしておき、シャットダウン時にミラーボリュームBのキャッシュのみを二次記憶装置に書込む。
即ち、本発明による利用者端末装置は、二次記憶装置と、キャッシュメモリと、アプリケーションからの二次記憶装置に対するI/O要求の種別を判断するファイルアクセス制御部(ファイルアクセス制御モジュール)と、I/O要求をリダイレクトする、第1及び第2のリダイレクト処理部(ボリュームフィルタデバイス及びシャドウボリュームデバイス)と、を備えている。ファイルアクセス制御部は、アプリケーションからのI/O要求が2重書き込み許可プロセスであり、かつ書き込み要求であると判断した場合、当該I/O要求を第1及び第2のリダイレクト処理部に転送する。そして、第1及び第2のリダイレクト処理部はそれぞれ、I/O要求に対応するデータをキャッシュメモリに書き込む。2重書き込む許可プロセスのI/O要求を発行するアプリケーションの例としては、OSパッチを含むシステム更新データが挙げられる。なお、第2のリダイレクト処理部は、利用者端末装置のシャットダウン時に、第2のリダイレクト処理部によってキャッシュメモリに書き込まれたデータを、二次記憶装置に書き込む。これにより、システム更新データが最終的に利用者端末装置に反映される。
一方、ファイルアクセス制御部は、アプリケーションからの前記I/O要求が2重書き込み許可プロセスであり、かつ書き込み要求以外の要求であると判断した場合、当該I/O要求を前記第2のリダイレクト処理部に転送する。そして、第2のリダイレクト処理部は、I/O要求に対応するデータをキャッシュメモリから読み込む。
また、ファイルアクセス制御部は、アプリケーションからの前記I/O要求が2重書き込み許可プロセスではないが書き込み許可プロセスであり、かつ書き込み要求であると判断した場合、当該I/O要求を第2のリダイレクト処理部に転送する。そして、第2のリダイレクト処理部のみが、書き込み許可プロセス、かつ書き込み要求のI/O要求に対応するデータをキャッシュメモリに書き込む。一方、ファイルアクセス制御部は、アプリケーションからのI/O要求が2重書き込み許可プロセスではないが書き込み許可プロセスであり、かつ書き込み要求以外の要求であると判断した場合、当該I/O要求を前記第2のリダイレクト処理部に転送する。そして、第2のリダイレクト処理部が、書き込み許可プロセス、かつ書き込み要求以外の要求のI/O要求に対応するデータをキャッシュメモリから読み込む。
さらに、ファイルアクセス制御部は、アプリケーションからの前記I/O要求が書き込み禁止プロセスであり、かつ書き込み要求であると判断した場合、当該I/O要求を前記第1のリダイレクト処理部に転送する。そして、第1のリダイレクト処理部のみが、書き込み禁止プロセス、かつ書き込み要求のI/O要求に対応するデータをキャッシュメモリに書き込む。一方、ファイルアクセス制御部は、アプリケーションからのI/O要求が書き込み禁止プロセスであり、かつ書き込む要求以外の要求であると判断した場合、当該I/O要求を前記第1のリダイレクト処理部に転送する。そして、第1のリダイレクト処理部が、書き込み禁止プロセス、かつ書き込み要求以外の要求のI/O要求に対応するデータをキャッシュメモリから読み込む。書込み禁止プロセスのI/Oを発行するアプリケーションの例としては、機密データを作成・編集するためのアプリケーションプログラムが挙げられる。
さらなる本発明の特徴は、以下本発明を実施するための最良の形態および添付図面によって明らかになるものである。
本発明によれば、OSパッチ等のシステム更新データを書込み許可プロセスと書込み禁止プロセスの全プロセスでリアルタイムに有効にすることが可能になる。また、PC起動からシャットダウンまでの間、書込み許可プロセスと書き込み禁止プロセス間でファイル、例えば、アプリケーション固有の設定・構成データ等、を隔離することができ、データをセキュアに管理することが可能となる。
本発明の実施形態によるシンクライアントシステムの概略構成を示す図である。 利用者端末の内部構成を示す図である。 ファイルアクセス制御モジュールの動作を説明するためのフローチャートである。 書込み制御モジュールの動作を説明するためのフローチャートである。 起動時の動作を説明するためのフローチャートである。 シャットダウン時の動作を説明するためのフローチャートである。 アプリケーション制御ファイルの例を示す図である。
本発明は、利用者端末の二次記憶装置への書込み制御、及び、外部記憶媒体への書出し制御により、利用者データをファイルサーバに集約し、機密情報の紛失・漏洩防止を実現するシンクライアントシステムにおける、利用者端末のファイルアクセス制御に関する。
以下、添付図面を参照して本発明の実施形態について説明する。ただし、本実施形態は本発明を実現するための一例に過ぎず、本発明の技術的範囲を限定するものではないことに注意すべきである。また、各図において共通の構成については同一の参照番号が付されている。
<情報処理システムの構成>
図1は、本発明の実施形態による情報処理システムの概略構成を示す図である。この情報処理システムは、利用者端末101とファイルサーバ102で構成されており、それぞれがネットワーク103で接続されている。なお、ここで、ネットワーク103は、ローカルエリアネットワーク(LAN、ワイドエリアネットワーク(WAN)、ピアツーピアネットワーク等として一般に知られるネットワーク)を用いて実現することができる。また、利用者端末101は、CPU、主記憶装置、ネットワークデバイス、入出力装置、二次記憶装置を備える一般的なPCであり、可搬性等の形態に限定は無い。
利用者端末101上には、OS104、文書・帳票作成・ブラウザ等のアプリケーション105、ファイルアクセス制御モジュール106、書込み制御モジュール107、デバイス制御モジュール108がインストールされている。また、二次記憶装置110にはアプリケーション制御ファイル109が格納されている。さらに、利用者端末101は、図1に示されてはいないが、制御部(CPU)、メモリ、ネットワークインタフェース、入出力装置(キーボード、ディスプレイ、スピーカ等)等を備えている。
ファイルサーバ102は、図1には示されていないが、CPU、主記憶装置、ネットワークデバイス、入出力装置、二次記憶装置等を備え、利用者端末101とコネクションを張って、ファイル転送が可能となっており、利用者端末101上のアプリケーション105で作成・編集された機密データ111を保存することが可能な一般的なファイルサーバである。
利用者端末101において、デバイス制御モジュール108は、USB等の外部記憶媒体を検知し、外部記憶媒体への書き出しを制御する機能を備える。外部記憶媒体の検知はOSの機能を使用して外部デバイスを検知し、デバイスへのアクセスを禁止、または、そのデバイスへの書き込みをメモリ上にリダイレクトする等の手段により、書出しを制御する。この機能により、ファイルサーバ上の機密データが利用者端末から外部へ保存されることが無くなり、データの集約及び情報漏えいを防止することが可能となる。
<利用者端末の内部構成及びI/O処理の流れ>
図2は、利用者端末101のOSコンポーネントを含む内部構成を詳細に示す図である。図2の有向線は、アプリケーションやOSモジュール等のプログラム(話を分かりやすくするために、以後、ドキュメント作成等のアプリケーションソフトウェアだけでなく、OSのモジュール等でも二次記憶装置へ書き込みを行うプログラムのことを、単にアプリケーションと呼ぶ。この「アプリケーション」には、例えばwindows(登録商標) updateのようなシステム更新用のアプリケーションも含まれる。)が、二次記憶装置に対して要求するI/O要求の流れを示している(実際はRead/Write以外のものも存在するが省略する)。
利用者端末101上では、アプリケーション105がI/O要求を発行した場合、ファイルアクセス制御モジュール106より下のレイヤーでは書き込み処理が3種類に分岐する。1つ目は、図2に記載の実線フローのみの書き込み処理、2つ目は図2に記載の破線フローのみの書き込み処理、3つ目は図2に記載の実線フローと破線フロー両方の書き込み処理である。なお、図2の実線は主にアプリケーション105が発行した場合のI/O要求で、破線はファイルアクセス制御モジュール106が発行するI/O要求である。
ファイルアクセス制御モジュール106は、ボリュームデバイス215にマウントされているファイルシステム210にアタッチして、アプリケーション105が発行する二次記憶装置110へのI/Oをフィルタすることが可能なファイルシステムフィルタデバイス205を作成する機能を備えている。
また、アプリケーション105の発行した二次記憶装置110へのI/Oが書き込み要求だった場合、ファイルアクセス制御モジュール106は、アプリケーション制御ファイル206を参照して、その書き込み要求元のアプリケーションが「2重書き込み許可」アプリケーションか、「書き込み許可」アプリケーションか、「書き込み禁止」アプリケーションかを判定する。「2重書き込み許可」アプリケーションの書き込みならば、ボリュームフィルタデバイス212とシャドウボリュームデバイス213の両方へデータを複製・送信する。また、「書き込み許可」アプリケーションの書き込みならば、ファイルアクセス制御モジュール106は、シャドウボリュームデバイス213にのみデータを送信する。さらに、「書き込み禁止」アプリケーションの書き込みならば、ファイルアクセス制御モジュール106は、ボリュームフィルタデバイス212にのみデータを送信する。
なお、「2重書き込み許可」アプリケーションの例として、OSやアプリケーションソフトウェアのアップデートプログラムが挙げられる。これらのプログラムは、通常OSやアプリケーションのベンダから提供されるものである。また、「書き込み許可」アプリケーションの例として、アプリケーションのインストーラが挙げられる。インストール後、即使用するアプリケーションでない場合、「書き込み許可」アプリケーションとして書き込みを行うことで、バックグラウンドでインストール処理が行われ、PC使用環境を変化させることなくインストールが完了する。さらに、「書き込み禁止」プログラムの例として、機密データを作成・編集するようなアプリケーションプログラム、一般的に考えて文書・帳票作成・編集用のアプリケーションプログラムが挙げられる。本システムによれば、プロセス間でのデータ分離効果によるセキュリティ機能向上の効果が得られる。
書き込み要求元のプログラムの振り分けの方法としては、予めアプリケーション制御ファイル206(例:図7(表1))を利用者端末101にインストールしておくことで可能となる。
アプリケーション制御ファイル206は、アプリケーション名703と書き込み禁止/許可のフラグ704と2重書き込みの禁止/許可のフラグ(2重化フラグ)705をセットにしたリスト形式のファイルである。一般的なOSならば、アプリケーション名から実行プロセス名やプロセスIDを取得することが可能である。このため、このリストを読み込めば、利用者端末上で動作しているアプリケーションのプロセス名とプロセスIDを取得することが可能である。
また、ファイルアクセス制御モジュール106をファイルシステムのフィルタドライバとして実装しておけば、ファイルシステムフィルタデバイス205で書込み処理要求を取得した時に、要求元のプロセス名やプロセスIDを取得することが可能である。以上の手段で取得したプロセス名やプロセスIDを比べることで、書込み処理元のアプリケーションが、「2重書込み許可」アプリケーションか「書込み許可」アプリケーションか「書込み禁止」アプリケーションか、を判定することが可能となる。
なお、アプリケーション制御ファイル206は、システム管理者が利用者端末のシステムポリシーに従って適切に作成し、あらかじめインストールしておくものであるが、アップデートと同時に更新することも可能なファイルである。また、一般利用者がアプリケーションのインストールを行うことができるとすると、害意(不正目的で)のアプリケーションをインストールする可能性があるため、インストール作業は管理者が行うのが好ましい。
書き込み制御モジュール107は、ボリュームデバイス215にアタッチ(1対1に対応付ける)して、アプリケーション105から二次記憶装置110へのI/Oをフィルタすることが可能なボリュームフィルタデバイス212と、シャドウボリュームデバイス213の2つのデバイスを作成する機能を備えている。なお、ここでは、書込み制御モジュール107は、ディスクドライバのフィルタドライバの一種として話を進めるが、実現手段に関しては、ここの述べる以外の方法でもかまわない。書き込み制御モジュール107の中で、ボリュームフィルタデバイス212とシャドウボリュームデバイス213を作成するためのI/Oクリエイト関数が定義されている。
ボリュームフィルタデバイス212は、ボリュームデバイス215へのI/O要求をフィルタするオブジェクトであり、二次記憶装置110のボリュームデバイス215にアタッチして書き込みデータをメモリ217上にリダイレクトしてキャッシュする機能を備えている。ここでは、アプリケーション105が二次記憶装置110に対してI/O要求を行った場合に、そのI/O要求を取得するための手段の一例として「アタッチ」を用いている。アタッチによる方法でなくとも、任意のプログラムがボリュームに対して行うI/Oデータを取得できるならば、その方法はアタッチに限定されない。
シャドウボリュームデバイス213は、シャドウボリュームデバイス213自身に対して書き込み命令されたデータをメモリ217上にキャッシュする機能を備え、かつ、二次記憶装置110のボリュームデバイス215にアタッチすることはない。ただし、シャドウボリュームデバイス213は、ボリュームデバイス215の存在を認識しており、シャットダウン時に、ボリュームデバイス215に対してシャドウボリュームデバイス213がキャッシュしたデータを二次記憶装置へ書き込むことが可能である。なお、シャドウボリュームデバイス213への書き込み要求は、ファイルアクセス制御モジュール106が行うのみである。シャドウボリューム213とボリュームフィルタデバイス212との違いは、利用者端末101のシャットダウン時に、シャドウボリュームデバイス213がメモリ217内のデータを二次記憶装置110に書き込む点である。通常ボリュームデバイス212のみが設けられており、シャドウボリューム213を設けた点が本発明の特徴の1つとなっている。
本発明によれば、ボリュームフィルタデバイス212及びシャドウボリュームデバイス213を設け、OSやアプリケーションソフトウェアのアップデートプログラムに関して2重書き込み許可を実行することにより、これらの更新されたアプリケーションを使用する際に利用者端末101を再起動する必要がなくなる。
<ファイルアクセス制御モジュールの動作>
図3は、ファイルアクセス制御モジュール106の処理動作を説明するためのフローチャートである。
まず、アプリケーション105がボリュームデバイス215にアクセスを行った場合、ファイルアクセス制御モジュール106はそのアクセスを検知する(ステップS301)。
ファイルアクセス制御モジュール106は、アプリケーション制御ファイル206を読み込み(ステップS302)、処理要求元のプロセス名をOSに問い合わせて取得し、リストのアプリケーション名に対応するプロセス名と比較して一致するエントリーの書込みフラグ704と2重化フラグ705を取得し、書込み許可/禁止と2重書込み許可/禁止を判定する(ステップS303)。この時、ファイルアクセス制御モジュール106は、その要求が書込みに関連する要求か否かを判定する(ステップS304)。なお、書込みに関連する要求とは、いわゆる二次記憶装置への書込みが起こる要求のことを指している。例えば、書込み要求以外にもファイルの属性変更等の要求も書込み関連要求に含まれる。
書込み要求の場合で、書込みフラグ704が「TRUE」、かつ、2重書き込みフラグ705が「TRUE」の場合、「2重書込み許可プロセス」であり、ファイルアクセス制御モジュール106は、ボリュームデバイス215に書込み関連要求を転送する(ステップS305)。その後、さらに、ファイルアクセス制御モジュール106は、シャドウボリュームデバイス213に対しても同じデータの書込みを行った後(ステップS306)、処理は終了する。
また、書込み要求の場合で、書込みフラグ704が「TRUE」、かつ、2重書き込みフラグ705が「FALSE」の場合、「書込み許可プロセス」であり、ファイルアクセス制御モジュール106は、シャドウボリュームデバイス213に書込み関連要求を転送したのち(ステップS307)、処理は終了する。
一方、書込み要求の場合で、ステップS304で書込みフラグ704が「FALSE」と判断された場合(この場合、必ず2重化フラグ705は「FALSE」となっている)には、「書込み禁止プロセス」であり、ファイルアクセス制御モジュール106は、ボリュームフィルタデバイス212に書込み関連要求を転送したのち(ステップS308)、処理は終了する。
さらに、書込み要求以外の場合で、書込みフラグ704が「TRUE」、かつ、2重書き込みフラグ705が「TRUE」の場合、「2重書込み許可プロセス」であり、ファイルアクセス制御モジュール106は、シャドウボリュームデバイス213に対して読込み要求を転送した後(ステップS309)、処理を終了する。ここで、この処理がボリュームデバイス215に対してではなく、シャドウボリュームデバイス213に対して行われている理由は、最終的に二次記憶装置110へ適用されるデータはシャドウボリュームデバイス213にキャッシュされているデータなためである。仮に、「2重書込み許可プロセス」からの読込み要求をボリュームフィルタデバイス212に転送し、データを読み込んできた場合、再起動後にボリュームフィルタデバイス212がキャッシュしたデータとシャドウボリュームデバイス213がキャッシュしたデータが混在し、データの不整合によるシステムクラッシュが発生する可能性がある。
書込み要求以外の場合で、書込みフラグ704が「TRUE」、かつ、2重書き込みフラグ705が「FALSE」の場合、「書込み許可プロセス」であり、ファイルアクセス制御モジュール106は、シャドウボリュームデバイス213に対して読み込み要求を転送したのち(ステップS310)、処理を終了する。
書込み要求以外の場合で、ステップS304で書込みフラグ704が「FALSE」と判断された場合(この場合、必ず2重化フラグ705は「FALSE」となっている)には、「書込みは禁止」アプリケーションからの要求であり、ファイルアクセス制御モジュール106は、ボリュームフィルタデバイス212に読込み要求を転送したのち(ステップS311)、処理は終了する。
以上のように、書き込み許可の場合のプロセスと書き込み禁止の場合のプロセスとの間で、データを分離することができる。よって、よりセキュアなシステムを提供することができるようになる。
<書き込み制御モジュールの動作>
図4は、書き込み制御モジュール107内のボリュームフィルタデバイス212とシャドウボリュームデバイス213の処理動作を説明するためのフローチャートである。基本的に読込み・書込みの処理動作はボリュームフィルタデバイス212とシャドウボリュームデバイス213で同じであるが、若干説明の違いがあるので別々に説明する。
i)まず、ボリュームフィルタデバイス212の処理動作について説明する。アプリケーション105によるボリュームデバイス215(二次記憶装置110)に対するアクセスが検知されると(ステップS401)、ボリュームフィルタデバイス212は、その要求が書込みに関連する要求か否かを判定する(ステップS402)。
書込み関連処理の場合、ボリュームフィルタデバイス212は、書込みデータをメモリ217上に確保した領域にキャッシュし(ステップS405)、処理を完了する(ステップS408)。なお、書込み制御が施されていない通常のPCでは、この書込み要求は、ボリュームデバイス212に転送され、二次記憶装置110に書き込まれる。
書込み関連処理以外の場合、(ここでは、読み込み処理に話を限定するがそれ以外のものもふくまれることが考えられる)、ボリュームフィルタデバイス212は、ボリュームデバイス215(2次記憶装置110から)データを読み込む(ステップS403)。
その後、ボリュームフィルタデバイス212は、メモリ217中にデータがキャッシュされているか否かを判定し(ステップS404)、キャッシュが存在しない場合、読み込んだデータをそのままアプリケーションに返す(ステップS406)。キャッシュデータが存在する場合は、ボリュームフィルタデバイス212は、キャッシュを読み込みデータに上書きしてアプリケーションに返す(ステップS407)。
ii)次に、書込み制御モジュール107内のシャドウボリュームデバイス213の処理動作を説明する。シャドウボリュームデバイス213の処理動作も、図4のフローチャートを使って説明する。
アプリケーション105によるシャドウボリュームデバイス213に対するアクセス(正確にはファイルアクセス制御モジュール106が要求元のアクセス)が検知されると(ステップS401)、シャドウボリュームデバイス213は、その要求が書込みに関連する要求か否かを判定する(ステップS402)。なお、シャドウボリュームデバイス213に対するアクセス要求は、アプリケーション105が直接アクセスしているわけではない。アプリケーション105はボリュームデバイス212に対してアクセスを試みているが、ファイルアクセス制御モジュール106がアプリケーションの種類によってシャドウボリュームデバイス213に処理をリダイレクトしているものである。
書込み関連処理の場合、シャドウボリュームデバイス213は、書込みデータをメモリ217上に確保した領域にキャッシュし(ステップS405)、処理を完了する(ステップS408)。なお、シャドウボリュームデバイス213がキャッシュするデータと、ボリュームフィルタデバイス212がキャッシュするデータは別領域にキャッシュされるデータである。
書込み関連処理以外の場合、(ここでは、読み込み処理に話を限定するがそれ以外のものも含まれることが考えられる)、シャドウボリュームデバイス213は、ボリュームデバイス215(2次記憶装置110から)データを読み込む(ステップS403)。ボリュームフィルタデバイス212とシャドウボリュームデバイス213は書き込み処理と読み込み処理しか行わないが、フィルタシステムデバイス205は、書き込み関連以外の処理も行う。例えば、ファイルのクリエイト、ファイルのクロース、及びファイル情報の変更等である。
その後、シャドウボリュームデバイス213は、メモリ217中にデータがキャッシュされているか否かを判定し(ステップS404)、キャッシュが存在しない場合、読み込んだデータをそのままアプリケーションに返す(ステップS406)。キャッシュデータが存在する場合は、シャドウボリュームデバイス213は、キャッシュを読み込みデータに上書きしてアプリケーションに返す(ステップS407)。
<利用者端末起動時の動作>
図5は、利用者端末101を起動した時の処理動作を説明するためのフローチャートである。
まず、利用者が利用者端末101を起動するとOS104が起動し(ステップS501)、OS104が各モジュールをシステムにロードする(ステップS502)。
次に、書込み制御モジュール107は、定義されているOSの関数(I/Oクリエイト関数)を読み込み、ボリュームフィルタデバイス212とシャドウボリュームデバイス213を作成する(ステップS503)。また、ボリュームフィルタデバイス212は、ボリュームデバイス215にアタッチ(対応付け)する(ステップS504)。このアタッチにより、アプリケーション105が二次記憶装置110にアクセスする場合のI/O要求をボリュームフィルタデバイス212で取得できるようになる。一方、シャドウボリュームデバイス213はどこにもアタッチされていないので、シャドウボリュームデバイス213に対してアプリケーション105からI/O要求を投げることができない。従って、ファイルシステムフィルタデバイス205が、意図的にシャドウボリュームデバイス213にI/O要求を投げない限り、シャドウボリュームデバイス213はI/O要求を取得できないようになっている。
続いて、OS104は、ボリュームデバイス215に対し、ファイルシステム210、例えばNTFSやFAT等をマウントする(ステップS505)。最後に、ファイルアクセス制御モジュール106は、ファイルシステムフィルタデバイス205を作成し、ファイルシステム210にアタッチする(ステップS506)。これにより、ファイルシステムフィルタ205で、ボリュームデバイス212に対するファイル処理を取得することが可能になりファイル処理の振り分けが可能になる。
<利用者端末シャットダウン時の動作>
図6は、利用者端末101がシャットダウンされた時の処理動作を説明するためのフローチャートである。
まず、利用者端末101のシャットダウンが開始されると(ステップS601)、シャドウボリュームデバイス213は、シャドウボリューム自身がメモリ217中にキャッしたシュデータがあるか否かをチェックする(ステップS602)。キャッシュデータが存在するならば、シャドウボリュームデバイス213は、ボリュームデバイス215を介して、キャッシュデータを二次記憶装置110へ書込む(ステップS603)。ボリュームフィルタデバイスによりキャッシュされたデータに関しては、二次記憶装置へ書込みされることはないため、特に書込み操作は行われずそのままシャットダウンにより揮発する。以上の操作が終了したら利用者端末101がシャットダウンされる(ステップS604)。
<アプリケーション制御ファイルの例>
図7は、アプリケーション制御ファイルの具体例を示す図である。図7によれば、例えば、書込み禁止プロセスを発行できるアプリケーションはOS等のシステムファイルやDocument Creator等の情報漏えいの危険性があるアプリケーションが該当する。また、2重書き込み許可を発行できるアプリケーションは上述のようにOSパッチ等のシステム更新データであり、書き込み許可プロセスを発行しうるアプリケーションは社内管理ツール等が該当する。
<まとめ>
本発明では、アプリケーションからのI/O要求が2重書き込み許可プロセスであり、かつ書き込み要求である場合、当該I/O要求がボリュームフィルタデバイスとシャドウボリュームデバイスに転送される。そして、ボリュームフィルタデバイスとシャドウボリュームデバイスが共に、I/O要求に対応するデータをキャッシュメモリ(メモリの異なる箇所)に書き込む。なお、2重書き込む許可プロセスのI/O要求を発行するアプリケーションの例としては、OSパッチを含むシステム更新データが挙げられる。このようにすることにより、OSパッチ等のシステム更新データを書込み許可プロセスと書込み禁止プロセスの全プロセスでリアルタイムに有効にすることが可能になる。つまり、実施形態で説明したように、書き込み許可プロセスを発行できるアプリケーションからのI/O要求が読み込み要求であった場合には、シャドウボリュームデバイスを介してメモリからOSパッチ等のシステム更新データを読み込むことができる。また、書込み禁止プロセスのみを発行するアプリケーションからのI/O要求が読み込み要求であった場合には、ボリュームフィルタデバイスを介してメモリからシステム更新データを読み込むことができる。よって、利用者端末を再起動しなくても、リアルタイムに全てのプロセスからシステム更新データを読み込みことができるようになる。
利用者端末装置のシャットダウン時には、シャドウボリュームデバイスが、キャッシュメモリに書き込まれたシステム更新データを、二次記憶装置に書き込む。これにより、システム更新データが最終的に利用者端末装置に反映することができる。つまり、利用者端末が再起動された場合に、OSパッチ等のシステム更新データはOSに反映される。
上記書込み禁止プロセスのI/Oを発行するアプリケーションの例としては、機密データを作成・編集するためのアプリケーションプログラムが挙げられる。
また、以上説明したように、利用者端末装置(PC)起動からシャットダウンまでの間、書込み許可プロセスと書き込み禁止プロセス間でファイル、例えば、アプリケーション固有の設定・構成データ等、を隔離することができるので、データをセキュアに管理することが可能となる。
なお、本発明は、実施形態の機能を実現するソフトウェアのプログラムコードによっても実現できる。この場合、プログラムコードを記録した記憶媒体をシステム或は装置に提供し、そのシステム或は装置のコンピュータ(又はCPUやMPU)が記憶媒体に格納されたプログラムコードを読み出す。この場合、記憶媒体から読み出されたプログラムコード自体が前述した実施形態の機能を実現することになり、そのプログラムコード自体、及びそれを記憶した記憶媒体は本発明を構成することになる。このようなプログラムコードを供給するための記憶媒体としては、例えば、フレキシブルディスク、CD−ROM、DVD−ROM、ハードディスク、光ディスク、光磁気ディスク、CD−R、磁気テープ、不揮発性のメモリカード、ROMなどが用いられる。
また、プログラムコードの指示に基づき、コンピュータ上で稼動しているOS(オペレーティングシステム)などが実際の処理の一部又は全部を行い、その処理によって前述した実施の形態の機能が実現されるようにしてもよい。さらに、記憶媒体から読み出されたプログラムコードが、コンピュータ上のメモリに書きこまれた後、そのプログラムコードの指示に基づき、コンピュータのCPUなどが実際の処理の一部又は全部を行い、その処理によって前述した実施の形態の機能が実現されるようにしてもよい。
また、実施の形態の機能を実現するソフトウェアのプログラムコードを、ネットワークを介して配信することにより、それをシステム又は装置のハードディスクやメモリ等の記憶手段又はCD-RW、CD-R等の記憶媒体に格納し、使用時にそのシステム又は装置のコンピュータ(又はCPUやMPU)が当該記憶手段や当該記憶媒体に格納されたプログラムコードを読み出して実行するようにしても良い。
101…利用者端末、102…ファイルサーバ、103…ネットワーク、104…OS、105…アプリケーション、106…ファイルアクセス制御モジュール、107…書込み制御モジュール、108…デバイス制御モジュール、109…アプリケーション制御ファイル、110…二次記憶装置、111…機密データ

Claims (13)

  1. データをファイルサーバに転送して格納するシンクライアントシステムの一部を構成する利用者端末装置であって、
    二次記憶装置と、
    キャッシュメモリと、
    アプリケーションからの前記二次記憶装置に対するI/O要求の種別を判断するファイルアクセス制御部と、
    前記I/O要求をリダイレクトする、第1及び第2のリダイレクト処理部と、を備え、
    前記ファイルアクセス制御部は、前記アプリケーションからの前記I/O要求が2重書き込み許可プロセスであり、かつ書き込み要求であると判断した場合、当該I/O要求を前記第1及び第2のリダイレクト処理部に転送し、
    前記第1及び第2のリダイレクト処理部はそれぞれ、前記I/O要求に対応するデータを前記キャッシュメモリに書き込むことを特徴とする利用者端末装置。
  2. 前記ファイルアクセス制御部は、前記アプリケーションからの前記I/O要求が2重書き込み許可プロセスではないが書き込み許可プロセスであり、かつ書き込み要求であると判断した場合、当該I/O要求を前記第2のリダイレクト処理部に転送し、
    前記第2のリダイレクト処理部のみが、前記書き込み許可プロセス、かつ書き込み要求のI/O要求に対応するデータを前記キャッシュメモリに書き込むことを特徴とする請求項1に記載の利用者端末装置。
  3. 前記ファイルアクセス制御部は、前記アプリケーションからの前記I/O要求が書き込み禁止プロセスであり、かつ書き込み要求であると判断した場合、当該I/O要求を前記第1のリダイレクト処理部に転送し、
    前記第1のリダイレクト処理部のみが、前記書き込み禁止プロセス、かつ書き込み要求のI/O要求に対応するデータを前記キャッシュメモリに書き込むことを特徴とする請求項1に記載の利用者端末装置。
  4. 前記ファイルアクセス制御部は、前記アプリケーションからの前記I/O要求が2重書き込み許可プロセスであり、かつ書き込み要求以外の要求であると判断した場合、当該I/O要求を前記第2のリダイレクト処理部に転送し、
    前記第2のリダイレクト処理部は、前記I/O要求に対応するデータを前記キャッシュメモリから読み込むことを特徴とする請求項1に記載の利用者端末装置。
  5. 前記第2のリダイレクト処理部は、前記利用者端末装置のシャットダウン時に、前記第2のリダイレクト処理部によって前記キャッシュメモリに書き込まれたデータを、前記二次記憶装置に書き込むことを特徴とする請求項1に記載の利用者端末装置。
  6. 前記ファイルアクセス制御部は、前記アプリケーションからの前記I/O要求が2重書き込み許可プロセスではないが書き込み許可プロセスであり、かつ書き込み要求以外の要求であると判断した場合、当該I/O要求を前記第2のリダイレクト処理部に転送し、
    前記第2のリダイレクト処理部が、前記書き込み許可プロセス、かつ書き込み要求以外の要求のI/O要求に対応するデータを前記キャッシュメモリから読み込むことを特徴とする請求項2に記載の利用者端末装置。
  7. 前記ファイルアクセス制御部は、前記アプリケーションからの前記I/O要求が書き込み禁止プロセスであり、かつ書き込み要求以外の要求であると判断した場合、当該I/O要求を前記第1のリダイレクト処理部に転送し、
    前記第1のリダイレクト処理部が、前記書き込み禁止プロセス、かつ書き込み要求以外の要求のI/O要求に対応するデータを前記キャッシュメモリから読み込むことを特徴とする請求項3に記載の利用者端末装置。
  8. 前記2重書き込み許可プロセスのI/O要求を発行するアプリケーションは、OSパッチを含むシステム更新データであることを特徴とする請求項1に記載の利用者端末装置。
  9. 前記書込み禁止プロセスのI/Oを発行するアプリケーションは、機密データを作成・編集するためのアプリケーションプログラムであることを特徴とする請求項3に記載の利用者端末装置。
  10. データをファイルサーバに転送して格納するシンクライアントシステムの一部を構成する利用者端末装置の制御方法であって、
    前記利用者端末装置は、二次記憶装置と、キャッシュメモリと、アプリケーションからの前記二次記憶装置に対するI/O要求の種別を判断するファイルアクセス制御部と、前記I/O要求をリダイレクトする、第1及び第2のリダイレクト処理部と、を備え、
    前記制御方法は、
    前記ファイルアクセス制御部が、前記アプリケーションからの前記I/O要求が2重書き込み許可プロセスであり、かつ書き込み要求であると判断した場合、当該I/O要求を前記第1及び第2のリダイレクト処理部に転送し、
    前記第1及び第2のリダイレクト処理部が、それぞれ、前記I/O要求に対応するデータを前記キャッシュメモリに書き込むことを特徴とする制御方法。
  11. 前記ファイルアクセス制御部が、前記アプリケーションからの前記I/O要求が2重書き込み許可プロセスであり、かつ書き込み要求以外の要求であると判断した場合、当該I/O要求を前記第2のリダイレクト処理部に転送し、
    前記第2のリダイレクト処理部が、前記I/O要求に対応するデータを前記キャッシュメモリから読み込むことを特徴とする請求項10に記載の制御方法。
  12. さらに、前記第2のリダイレクト処理部が、前記利用者端末装置のシャットダウン時に、前記第2のリダイレクト処理部によって前記キャッシュメモリに書き込まれたデータを、前記二次記憶装置に書き込むことを特徴とする請求項10に記載の制御方法。
  13. コンピュータを請求項1に記載の利用者端末として機能させるためのプログラム。
JP2009084407A 2009-03-31 2009-03-31 利用者端末装置及びその制御方法、並びにプログラム Pending JP2010237921A (ja)

Priority Applications (4)

Application Number Priority Date Filing Date Title
JP2009084407A JP2010237921A (ja) 2009-03-31 2009-03-31 利用者端末装置及びその制御方法、並びにプログラム
US12/730,353 US20100250852A1 (en) 2009-03-31 2010-03-24 User terminal apparatus and control method thereof, as well as program
CN2010101504854A CN101853223B (zh) 2009-03-31 2010-03-25 用户终端装置及其控制方法
EP10157938.1A EP2237152B1 (en) 2009-03-31 2010-03-26 User terminal apparatus and control method thereof, as well as program

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2009084407A JP2010237921A (ja) 2009-03-31 2009-03-31 利用者端末装置及びその制御方法、並びにプログラム

Publications (1)

Publication Number Publication Date
JP2010237921A true JP2010237921A (ja) 2010-10-21

Family

ID=42340342

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2009084407A Pending JP2010237921A (ja) 2009-03-31 2009-03-31 利用者端末装置及びその制御方法、並びにプログラム

Country Status (4)

Country Link
US (1) US20100250852A1 (ja)
EP (1) EP2237152B1 (ja)
JP (1) JP2010237921A (ja)
CN (1) CN101853223B (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011053975A (ja) * 2009-09-02 2011-03-17 Hitachi Solutions Ltd 利用者端末装置及び利用者端末装置の制御方法

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102185846A (zh) * 2011-04-26 2011-09-14 深信服网络科技(深圳)有限公司 基于vpn的移动通讯终端安全访问数据的方法及***
CN104714792B (zh) * 2013-12-17 2019-02-26 腾讯科技(深圳)有限公司 多进程共享数据处理方法和装置
US10339073B2 (en) * 2017-06-29 2019-07-02 Keysight Technologies, Inc. Systems and methods for reducing write latency

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5930513A (en) * 1996-06-06 1999-07-27 Sun Microsystems, Inc. Reference based software installation
US7313705B2 (en) * 2002-01-22 2007-12-25 Texas Instrument Incorporated Implementation of a secure computing environment by using a secure bootloader, shadow memory, and protected memory
US6904496B2 (en) * 2002-03-25 2005-06-07 Dell Products L.P. Computer system with improved write cache and method therefor
US7308547B2 (en) * 2003-07-30 2007-12-11 Agilent Technologies, Inc. Apparatus and method for control of write filter
US20050044548A1 (en) * 2003-08-20 2005-02-24 John Page Efficient replication of embedded operating system with a write filter and overlay partition
US7480761B2 (en) * 2005-01-10 2009-01-20 Microsoft Corporation System and methods for an overlay disk and cache using portable flash memory
US20060265756A1 (en) * 2005-05-11 2006-11-23 Microsoft Corporation Disk protection using enhanced write filter
JP4671418B2 (ja) * 2005-12-16 2011-04-20 株式会社日立ソリューションズ 利用者端末における二次記憶装置の管理方法および利用者端末
JP4731305B2 (ja) * 2005-12-19 2011-07-20 株式会社日立ソリューションズ 利用者端末の管理方法および利用者端末
US7395394B2 (en) * 2006-02-03 2008-07-01 Hewlett-Packard Development Company, L.P. Computer operating system with selective restriction of memory write operations
JP4785679B2 (ja) * 2006-09-04 2011-10-05 株式会社日立ソリューションズ 2次記憶装置への書込み制御方法及び情報処理装置
US7969445B2 (en) * 2007-06-20 2011-06-28 Nvidia Corporation System, method, and computer program product for broadcasting write operations

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2011053975A (ja) * 2009-09-02 2011-03-17 Hitachi Solutions Ltd 利用者端末装置及び利用者端末装置の制御方法

Also Published As

Publication number Publication date
EP2237152A2 (en) 2010-10-06
CN101853223B (zh) 2013-02-20
US20100250852A1 (en) 2010-09-30
EP2237152B1 (en) 2018-04-25
CN101853223A (zh) 2010-10-06
EP2237152A3 (en) 2010-12-01

Similar Documents

Publication Publication Date Title
JP5175159B2 (ja) 利用者端末装置、及びその制御方法
CN102662741B (zh) 虚拟桌面的实现方法、装置和***
JP4938011B2 (ja) ファイル管理システム及び方法、並びに、携帯端末装置
JP4287485B2 (ja) 情報処理装置及び方法、コンピュータ読み取り可能な記録媒体、並びに、外部記憶媒体
JP4189436B2 (ja) データ処理制御方法
US20130275973A1 (en) Virtualisation system
WO2009110275A1 (ja) 機密情報漏洩防止システム及び機密情報漏洩防止方法
JP2006155155A (ja) 情報漏洩防止装置、方法およびそのプログラム
KR20150144312A (ko) 보안 저장 영역에 대한 응용 프로그램의 접근 제어 방법 및 장치
JP4671418B2 (ja) 利用者端末における二次記憶装置の管理方法および利用者端末
JP4806751B2 (ja) ファイルアクセス先制御装置、その方法及びそのプログラム
JP4654963B2 (ja) 情報漏洩防止システム、情報漏洩防止方法、プログラムおよび記録媒体
JP2009043133A (ja) 情報処理装置
JP6270780B2 (ja) データ管理装置、データ管理方法、及びデータ管理プログラム
JP4516598B2 (ja) 文書のコピーを制御する方法
JP2010237921A (ja) 利用者端末装置及びその制御方法、並びにプログラム
JP2009223787A (ja) 情報処理装置及び方法、並びにプログラム
JP2008084081A (ja) 機密情報の漏洩防止システム、機密情報の漏洩防止方法、記録媒体、及びプログラム
JP5295046B2 (ja) 利用者端末装置及び利用者端末装置の制御方法
JP2008152519A (ja) コンピュータ及びその基本ソフトウェア
JP2008084140A (ja) 二次記憶装置書込み禁止システム
JP4314311B2 (ja) 情報処理装置および情報処理システム
JP4908367B2 (ja) 情報処理装置
US20060195693A1 (en) Specter rendering
JP2008293525A (ja) データ処理制御方法、情報処理装置、及びデータ処理制御システム