信息访问控制方法、访问控制程序和外部记录介质

1、一种信息访问控制方法，其使用外部记录介质来访问信息系统上 的信息数据，该信息访问控制方法包括以下步骤：
其中，系统用户信息被记录在所述外部记录介质上，并且在所述信息 系统上预先登记对应的系统用户信息，
当将系统用户信息作为连接请求由所述外部记录介质发送到所述信 息系统时，所述信息系统对作为连接请求被发送的系统用户信息与已登记 的系统用户信息进行比较；并且
如果所述比较的结果为相匹配，则允许所述外部记录介质在由所述系 统用户信息指定的限制内访问在所述系统上的信息数据。
2、根据权利要求1所述的访问控制方法，其中所述系统用户信息为 共享单个外部记录介质的多个用户中的每个用户规定了对所述信息系统上 的信息数据进行访问的限制。
3、一种用于信息系统上的信息数据的信息访问控制方法，其中：
用于指定外部记录介质的标识符和系统用户信息被记录在所述外部 记录介质上，并且在所述信息系统上与用于指定外部记录介质的标识符相 对应地预先登记所述系统用户信息，
还包括以下步骤：当指定所述外部记录介质的标识符和系统用户信息 作为连接请求被发送到计算机系统时，检查是否已登记了指定所述外部记 录介质的所述标识符；
如果发现所述标识符已被登记，则将所述系统用户信息与已经登记的 系统用户信息进行比较；并且
如果比较的结果为匹配，则允许所述外部记录介质在由系统用户信息 规定的限制内访问所述信息系统上的信息数据。
4、根据权利要求3所述的信息访问控制方法，还包括以下步骤：当 发现已登记了用于指定外部记录介质的标识符时，如果在所述系统用户信 息和已登记的系统用户信息之间的比较结果为不相匹配，则仅禁止对信息 系统上的信息数据的访问。
5、根据权利要求1或3所述的信息访问控制方法，还包括以下步骤：
与已登记的任何外部记录介质的标识符相对应地保持用于表明在外 部记录介质和信息系统之间的先前连接的连接历史信息。

技术领域\n本发明涉及一种用于防止计算机系统上信息被泄漏的信息访问控制 方法，更具体地，涉及用于控制对计算机系统上的数据进行访问并防止 向外部记录介质泄漏任何数据的信息访问控制系统和程序，以及涉及被 用于此目的的外部记录介质。\n背景技术\n由于近年来工作场所计算机普及性的提高，每天在计算机上存储越 来越多的信息量。因此，公司内部信息的泄漏或被窃已经变成一个重要 的问题。\n还存在这样的事件，即公司内部人员或外部公司的人使用例如光盘 等外部记录介质非法复制公司的内部信息，或者对其进行不适当的使用。\n信息泄漏的典型例子可能是利用网络进行未授权访问或复制到外部 记录介质上。具体地，由于在公司工作场所内广泛使用软盘、光盘、及 其他类似的外部记录介质，结果，可相对容易地利用这样的外部记录介 质来复制并泄漏存储在计算机系统上的信息。\n不过，在过去，公司往往通过对分配给特定记录介质(包括固定记 录介质(硬盘))的密码和用户输入的密码进行对比检查来允许或拒绝对 该特定记录介质的访问(例如，见专利文献1)。\n因此，访问控制到目前为止还只是仅仅关注对其上已经记录了安全 敏感信息的特定记录介质的访问的控制。\n有鉴于此，已经设想到通过要求对信息将被复制到或传输到的外部 记录介质进行认证可以提供更高水平的安全性。\n似乎实现这一点的最简单的方式是对信息将被复制或发送到的外部 记录介质的认证进行检查，并且对于没有正确认证的任何介质，阻止对 系统信息进行访问，以防止信息外流。\n然而，利用这种方法，不仅外部记录介质而且其所插入的存储设备 都将被变得完全无用。这反过来将妨碍重要的管理操作，例如在文件备 份期间和系统维护期间数据的移动。在多个不同的用户共享访问单个外 部记录介质的系统中，其还会限制所有用户的访问。\n发明内容\n因此，本发明的目的是提供一种信息访问控制方法和程序，以及与 之一起使用的外部记录介质，控制对计算机系统内的信息的访问，防止 数据泄漏到外部记录介质，而不会对(例如)如上所述的常规系统操作 产生任何障碍。\n实现本发明目的的信息访问控制方法的第一方面是一种信息访问控 制方法，通过使用外部记录介质来访问信息系统上的信息数据，其特征 在于，系统用户信息被记录在前述外部记录介质上，并且在前述信息系 统上预先登记与上述系统用户信息相对应的系统用户信息；当将前述信 息系统用户信息作为连接请求从前述外部记录介质发送到所述信息系统 时，所述信息系统将作为连接请求被发送的系统用户信息与先前已登记 的系统用户信息进行比较，并且如果该比较的结果是相匹配，则在由前 述系统用户信息指定的限制内，允许所述外部记录介质访问在前述系统 上的信息数据。\n实现本发明目的的信息访问控制方法的第二方面是根据上述第一方 面的信息访问控制方法，其特征在于，前述系统用户信息为共享单个外 部记录介质的多个用户中的每个用户规定了对前述信息系统上的信息数 据的许可访问的限制。\n实现本发明目的的信息访问控制方法的第三方面是用于信息系统上 的信息数据的信息访问控制方法，其特征在于：系统用户信息和指定外 部记录介质的标识符被记录在外部记录介质上，并且将与指定前述外部 记录介质的标识符相对应的用户信息预先登记在前述信息系统上；当指 定前述外部记录介质的标识符和前述系统用户信息作为连接请求被发送 到计算机系统时，信息系统检查是否存在指定前述外部记录介质的匹配 标识符。如果发现匹配标识符已被登记，则进一步对前述系统用户信息 与已经登记的系统用户信息进行比较；如果比较的结果为匹配，则允许 外部记录介质在由前述系统用户信息规定的限制内访问所述信息系统上 的信息数据。\n实现本发明目的的信息访问控制方法的第四方面的特征在于：在上 面的第三方面中，当发现指定前述外部记录介质的标识符已被登记，并 且如果前述系统用户信息和已登记的系统用户信息之间的比较结果为不 相匹配，则系统仅仅禁止对在信息系统上的信息数据的访问。\n实现本发明目的的信息访问控制方法的第五方面的特征在于在上述 的第一方面和第三方面中，在前述信息系统上与用于指定先前登记的外 部记录介质的标识符相对应地保存指示信息系统和前述外部记录介质之 间的连接的历史信息。\n实现本发明目的的控制对信息系统上的信息数据进行信息访问的程 序的第一方面的特征在于：当将系统用户信息作为连接请求从外部记录 介质发送到所述信息系统时，程序进行由连接请求发送的系统用户信息 和在前述信息系统上已登记的系统用户信息之间的比较，并且如果比较 的结果为相匹配，则允许外部记录介质在前述系统用户信息规定的限制 内访问所述信息系统上的信息数据。\n控制对信息系统上的信息数据的信息访问以实现本发明目的的程序 的第二方面特征在于：在上述第一方面中，前述系统用户信息为共享单 个外部记录介质的多个用户中的每个用户规定了对前述信息系统上的信 息数据进行的访问的限制。\n对信息系统上的信息数据的访问受到控制以实现本发明目的的外部 记录介质的第一方面的特征在于：在其上记录系统用户信息，并且当将 此系统用户信息作为连接请求从该外部记录介质发送到所述信息系统 时，在所述信息系统内进行作为连接请求所发送的系统用户信息和已在 信息系统上登记的系统用户信息之间的比较；如果比较的结果为相匹配， 则允许在前述系统用户信息规定的限制内访问信息系统上的信息数据。\n对信息系统上的信息数据的访问受到控制以实现本发明目的的外部 记录介质的第二方面的特征在于：在前述第一方面中，前述系统用户信 息为共享单个外部记录介质的多个用户中的每个用户规定了对前述信息 系统上的信息数据的访问限制。\n通过以下对实施例和附图的描述，本发明的特征将更加清楚。\n附图说明\n图1是说明应用了本发明的信息访问控制方法的一个实施例的框 图；\n图2概括地示出了根据图1所示的实施例的本发明的信息访问控制 方法内的操作顺序；\n图3示出了记录在外部记录介质20上的系统用户信息的示例；\n图4示出了使用显示在图3中的介质登录信息c的处理顺序；\n图5示出了记录在外部记录介质上的系统用户信息的另一示例；\n图6示出了基于显示在图5中的系统用户信息的雇员和可访问数据 之间的关系；\n图7示出了使用图5所示的系统用户信息的系统n的操作的示例；\n图8示出了使用记录在计算机系统上的过去处理历史的实施例；\n图9示出了使用记录在计算机系统上的其它的过去处理历史的另一 实施例；\n图10示出了记录在计算机系统上的信息，示出了本发明应用的示 例；\n图11示出了根据记录在图10中的信息的处理。\n具体实施方式\n图1示出了采用根据本发明的信息访问控制方法的信息控制系统的 实施例。其示出了可防止计算机系统1内的固定存储器设备10(例如硬 盘设备(HDD))中记录的信息数据被非法复制或泄漏(即，保护信息系统 上的数据)的信息管理系统的结构。\n在图1中，将存储设备2连接到计算机系统1。存储设备2与便携 式外部记录介质20的物理规范(physical specification)相兼容，并 且控制对外部记录介质20进行数据的录入与读出。\n应该注意，存储设备2可能在物理上独立于计算机系统1，并且作 为附加部件通过电缆或无线接口与之连接，或作为嵌入部件而安装在计 算机系统1内，从而可通过专用命令无误地控制两者之间的连接。\n除在制造时或日后附加的、用于表明外部记录介质20自身的标识符 22(介质ID)之外，由系统管理员提供的系统用户信息23也被记录在外部 记录介质20上的给定位置上。当标识符22和系统用户信息23被记录在 外部记录介质20上时，系统管理员还以同样方式将它们登记在计算机系 统1的认证列表12上。\n假设用户现在试图使用外部记录介质20访问存储在计算机系统1的 信息数据，或更具体地说，试图访问使用硬盘设备10作为存储器设备保 存的信息数据。\n在本发明的应用中，外部记录介质20可以是一种可以从存储设备2 中移出的介质，例如DVD、CD、MO盘、或软盘，或一种存储元件(例如 IC卡、PC卡、或闪存装置)，或安装在设备内的硬盘(HDD)。\n因此，在外部记录介质20被插入存储设备2中，或作为固定部件安 装在存储设备2内，用户试图访问它时，控制部件21读取记录在外部记 录介质20上的标识符22和系统用户信息23，并且把它们传送到计算机 系统1。\n同时，计算机系统1配有认证列表12。如上面解释的，系统管理员 已经预先在该列表上为允许进行访问的所有外部记录介质20和系统用户 登记了唯一的标识符22和系统用户信息23。\n当由控制部件21传送了记录在外部记录介质20上的标识符22时， 计算机系统1利用认证模块13进行比较，以判断其是否与先前在认证列 表12上登记的标识符相匹配。\n认证模块13由计算机系统1上的包括设备驱动器的常驻软件程序实 现。其通过远程传送提供或者提供在存储介质上，然后安装到计算机系 统1中。\n进行比较以检查记录在外部记录介质20上的标识符22是否与认证 列表12中登记的标识符相匹配。如果比较的结果匹配，则外部记录介质 20将被认证为正确。\n在本实施例中，用户仅能根据记录在外部记录介质20上的系统用户 信息23所规定的限制来拷贝计算系统1的硬盘设备10内保存的信息数 据。\n虽然通过如下所述的实施例将阐明系统用户信息23的内容所规定 的那些限制的含义，但是限制还可包括(例如)指定的用户、指定种类 的数据文件，或在指定时段内保存的数据文件。\n图2概括地示出了根据图1所示的实施例的本发明的信息访问控制 方法的操作顺序。\n当存储设备2连接到计算机系统1时，计算机系统1内的认证模块 13周期性地向记录装置2发送提示，询问外部记录介质20是否已经插入， 并且继续此操作直到它接收到已经插入了外部记录介质的通知(步骤 S1)。\n当插入了该外部记录介质20时，认证模块13检测外部记录介质的 存在(步骤S2)。当认证模块13检测到外部记录介质存在时，它请求存 储设备2传送记录在外部记录介质20上的标识符22和系统用户信息23 (步骤S3)。响应于该请求，存储设备2通过控制部件1从外部记录介质 20读取标识符22和系统用户信息23，并且向认证模块13发送此情况的 通知(步骤S4)。\n接下来，认证模块13将存储设备2传送的外部记录介质20的标识 符22与由系统操作员预先登记在计算机系统1的认证列表12上的标识 符进行比较(步骤S5)。\n如果在认证列表12上没有发现外部记录介质20的标识符22，则拒 绝使用该外部记录介质对计算机系统1的访问(步骤S5，否)。\n如果在认证列表12与外部记录介质20的标识符22的比较期间，在 认证列表12上没有发现如上面解释的在制造时或日后附加的指定外部记 录介质20的唯一标识符22，则外部记录介质20将被拒绝所有访问。\n应该注意到，也可这样配置：如果存在与指定外部记录介质20的标 识符22的匹配，但是与系统管理员提供的系统用户信息23不匹配，则 禁止访问计算机系统1上的信息，但是允许目的在于将记录在外部记录 介质20上的信息发送到计算机系统1的访问。\n另一方面，如果发现在认证列表12上存在包含在所述通知内的外部 记录介质20的标识符22和系统用户信息23，则在计算机系统1的OS(操 作系统)14中产生认证通过通知(步骤S5，是)。\n这样，OS 14通过认证模块13向存储设备2发送访问许可的通知(步 骤S6)。此后，根据需要使用存储设备2通过OS 14进行数据访问(步骤 S7)。\n此时，数据访问限于在系统用户信息23规定的限制内的信息数据读 取。\n存储设备2可以接收计算机系统1发送的数据(步骤S8)，并且可以 将数据记录到被认证了的外部记录介质20。\n接下来解释为了有效地、高安全性地防止信息泄露而采用本发明提 供的信息访问控制方法的实施例。\n在该实施例中，将可能连接到计算机系统1的用户的系统用户信息 23记录在外部记录介质20上。此系统用户信息23设置在外部记录介质 20的普通命令不能访问的区域中。这样做使得常规用户难于查阅或改变 该信息。\n为了实现这一点，使用与存储设备2相对应的、访问该信息的专门 命令。通过生成只能由系统管理员使用的该专门命令可进一步提高安全 性。\n图3示出了记录在外部记录介质20上的系统用户信息23的示例。 在图3中，系统用户信息23包括雇员姓名a、雇员号码b、和介质登录 信息c。介质登录信息c是当把外部记录介质连接到计算机系统1时，要 求用户输入的密码。\n介质登录信息c对于每个用户是不同的，允许多个用户共享单个外 部记录介质。需要系统管理员预先登记此介质登录信息。\n在图3所示的示例中，已经在相同的外部记录介质20上登记了与三 个雇员A、B、和C相应的登录信息。\n图4示出了用于处理此登录信息c的顺序。在图4中，记录设备2 连接到计算机系统1(步骤S20)。根据图2中所示的流程，从存储设备2 向计算机系统1传送标识符，并且认证模块3检查这些标识符是否与认 证列表12上登记的外部记录介质相符合(步骤S21)。如果用户将外部记 录介质连接到未在该列表上登记的存储设备2，则介质上的标识符将不会 匹配，并且将不允许对信息进行访问(步骤S21，否)。\n如果标识符与在认证列表12中发现的一个相匹配(步骤S21，是)， 则计算机系统1或者存储设备2将提示用户输入当将任何外部记录介质 连接到计算机系统1时要求的密码。\n然后检查响应于该提示由用户输入的密码是否与在图3中的记录介 质上登记的介质登录信息c相匹配。\n如果该用户输入了正确的密码，即输入了介质登录信息c，则这将 与外部记录介质上登记的介质登录信息c匹配(步骤S22，是)，并且将 允许访问计算机系统1上的信息(步骤S23)。这样，用户能够从计算机 系统1将任何需要的信息复制到外部记录介质20上。\n当然，如果输入的密码与图3中登记的登录信息c不匹配(步骤S22， 否)，则拒绝对信息的访问(步骤S24)，并且不能将信息复制到外部记录 介质。\n在如下所述的另一实施例中，可以被复制的系统上的信息受到限制， 以进一步提高防护程度。通过限制可保存到特定的外部记录介质20上的 计算机系统1上的信息的种类而实现这一点。\n为了实现这一点，除在如图3所示的外部记录介质20上登记的系统 用户信息之外，如图5所示，外部记录介质20进一步配有明确标出的表 示可访问的数据的区域。在此示例中，除了显示图3中的姓名、员工编 号、和介质登录信息外，还说明了可访问的数据。在上述实施例中，系 统管理员需要在从系统进行任何信息复制之前，在记录介质20上预先登 记该信息。不需要在外部记录介质20和计算机系统1都登记该信息。\n然而，有可能在两者上都登记该信息，并且这对于数据的计划与管 理以及其他日常任务是有效的；在这种情况下，有可能在计算机系统1 上登记指定外部记录介质20的信息，使得系统管理变得简单。\n图6示出了基于图5中的信息，每个雇员和其能够访问数据之间的 关系。如图6所示雇员A能够访问(并且复制到外部记录介质20)被分 类为属于级别A(例如，人员数据)的信息组以及特定文件File0123.dat。 相似地，雇员B被允许访问被分类为级别B(例如，所有的会计资料)的 信息组，而雇员C可以访问名为File0064.dat的文件(该文件是会计数 据的一部分)。\n如此示例所示，各用户可以访问的数据可以是个别的文件或通过分 类或者定级而组织的整个数据组。\n当将可访问的数据保存到外部记录介质20时，通过登录信息或仅仅 真正授权的用户知道的其他方法编码数据。这样，有可能这样对访问进 行控制：雇员A，B，和C复制的数据都将写到外部记录介质20，但是每 个人仅仅能够打开其被允许访问的数据。\n图7示出了根据显示在图6中信息在建立访问之前的处理。在图7 中，步骤S20-S22的处理类似于在图4中的处理。然后，在步骤22，如 果用户输入的密码与介质登录信息匹配(步骤S22，是)，进行检查，察看 将访问的信息是否与图5所示的所登记的可访问的数据相匹配(步骤 S25)。\n如果是可访问的数据，则允许进行访问(步骤S23)；如果不是，则 拒绝访问(步骤S24)。\n如上所述的实施例通过在外部记录介质20上登记唯一标识符和用 户信息，可限制信息将被复制或移动到的介质，从而防止泄漏任何信息。\n可以增加下列的应用作为具有如上所述的本发明的特征的信息访问 控制方法的其他的示例。这样，有可能对信息的未授权访问施加更大的 控制。\n图8示出了登记并且保存在计算机系统1的认证列表12中的信息的 示例。在此示例中，外部记录介质20的连接历史已经与系统管理员预先 登记的、可在系统中应用的外部记录介质20的标识符相对应地保存在认 证列表12中。\n通过回顾该列表，可查阅每一外部记录介质20的连接历史。\n在图8中，根据来自具有标识符Disk0004的外部记录介质的连接请 求(请求的时间：2000.03.02 15:25)，怀疑是复制记录介质，拒绝连 接，并且中断已经连接的原始的外部记录介质(看标记为“结果”的列) 的连接。\n对于具有标识符Disk0001的外部记录介质，记录显示具有文件名 File0087.dat的文件已经从信息系统被复制出。该用于每个记录介质的 连接处理的历史使得可以回顾记录来发现涉及信息外流的各个事件的时 间和数据(文件名)。\n图9示出了进一步的实施例，其中将显示用户的登录状态的历史增 加到计算机系统1的认证列表12。例如，雇员A已经使用具有标识符 Disk0001的外部记录介质20。在本实施例中，系统管理员已经预先将雇 员A登记为外部记录介质20的用户，并且因为在(10:28)用户正确地 输入用户口令(也就是说，正确地输入介质登录信息c)，因而允许访问 系统信息，并且在列表上记录了文件File0087.dat被复制到外部记录介 质20上。\n然而，因为雇员D没有被登记为具有标识符Disk0001的外部记录介 质的用户，所以用户输入的密码与介质登录信息不匹配，从而拒绝外部 记录介质20与计算机系统1上维护的信息的连接，不能复制信息，由此 防止了信息的任何外流。\n在更进一步的实施例中，在认证列表12上登记任何外部记录介质的 标识符I，还登记指示外部记录介质当前是否与计算机系统1相连接的标 记II，即，是否某一外部记录介质20已经允许访问保存在计算机系统1 上的数据，并且是否它已经被连接。\n图10说明了该实施例。在该示例中，具有标识符Disk0001和 Disk0004的外部记录介质20已经被插入到记录设备2中，并且当前已连 接到计算机系统1(连接标记II是ON)。\n以这种方式证实连接标记II的状态，可以容易地检测来自与已经被 连接的外部记录介质具有相同的标识符的外部记录介质的重复连接请 求。\n在这种情况下，可确定已经被连接的外部记录介质或刚发送了新的 连接请求的外部记录介质非法获得了在真正外部记录介质上登记的标识 符，并进行了复制。\n在此情况中，通过采取必要步骤(包括控制(停止)首先连接的记 录介质的访问)，有可能使信息最少地泄漏到未被授权的外部记录介质 上。\n图11示出了在具有标识符Disk0004的外部记录介质20已经被复制 的情况下的操作顺序。为了在这里区别两者，在图11中，首先连接的外 部记录介质被赋予标识符Disk0004a，而稍后发送连接请求的复制盘被赋 予标识符Disk0004b。并且对其进行以下的说明。\n在图11中，当检测出存储设备2具有外部记录介质(见图11，步骤 S2)时，即当它从外部记录介质(标识符Disk0004b)接收了连接请求时 (步骤S10)，标识符Disk0004b被发送到计算机系统1的认证模块3(步 骤S11)。\n认证模块3验证标识符Disk0004b已经在认证列表12上登记，并且 同时查阅连接标记II(步骤S12)。\n现在，如果连接标记II显示当前没有被连接(步骤S12，可以连接)， 则它将连接标记II的设置从OFF改变为ON(步骤S13)，并允许访问计 算机系统1上的信息(步骤S14)。基于此，如图2所说明的(图2，步骤 S6)将已经授权许可访问的通知通过OS传送到存储设备2。\n然而，如果在步骤S12期间与标识符Disk0004相对应的连接标记 II已经处于ON设置(步骤S12，不可连接)，则拒绝该复制的外部记录 介质(Disk0004b)访问计算机系统1上的信息(步骤S15，图11：步骤S5， 否)。\n在本实施例中，计算机系统1的认证模块3阻断已连接的外部记录 介质(Disk0004a)对计算机的访问(步骤S16)。也有可能在计算机系统1 的显示器或者在记录设备2上显示消息表明“由于来自复制的外部记录 介质的访问请求，已经连接的外部记录介质对计算机系统的访问已经被 阻断”(步骤S17)。\n工业实用性\n如上面说明和示意图所阐明的，本发明根据对外部记录介质的认证 而限制访问计算机系统上的特定信息，从而被授权的外部记录介质能使 用在系统上，为数据备份和维护提供了灵活的系统环境。\n此外，阻止任何未经授权的外部记录介质访问计算机系统，防止从 系统泄漏信息。\n(专利文献1)\n日本专利申请特开No.2001-23300