机密信息泄露防止系统、机密信息泄露防止方法和计算机可读记录介质.pdf

客户端设备(100)基于针对应用程序和在服务器设备(200)中保存的数据设置的安全等级来确定是否允许访问，并基于使用来自应用程序的分组数据生成的挑战码来执行与服务器设备(200)的认证。当该挑战码发送到该服务器设备(200)时，该服务器设备(200)向该客户端设备(100)发送预设响应码，并且如果该服务器设备(200)从该客户端设备(100)接收到响应于该响应码的设定响应，则许可该客户端设备(100)的访问。

权利要求书1.  一种用于防止在客户端设备和服务器设备之间泄露机密信息的机密信息泄露防止系统，包括：客户端设备，被配置为执行应用程序；以及服务器设备，被配置为保存供所述应用程序使用的数据，其中，所述客户端设备基于针对所述应用程序设置的安全等级和提供给所述服务器设备中保存的数据的安全等级来确定是否允许所述应用程序的访问，并且如果确定允许访问，则将使用来自所述应用程序的分组数据生成的挑战码发送到所述服务器设备，并请求认证，以及当所述挑战码发送到所述服务器设备时，所述服务器设备向所述客户端设备发送预设响应码，如果所述服务器设备从所述客户端设备接收到响应于所述响应码的设定响应，则确定认证成功，此后许可所述客户端设备的访问。2.  根据权利要求1所述的机密信息泄露防止系统，其中，如果所发送的挑战码满足设定条件，则所述服务器设备发送所述响应码，此后当从所述客户端设备接收到与所述挑战码相同的代码时，确定认证成功。3.  根据权利要求2所述的机密信息泄露防止系统，其中，所述服务器设备使所述客户端设备发送具有不同内容的挑战码多次，并且如果针对每个挑战码均确定认证成功，则许可所述客户端设备的访问。4.  根据权利要求1至3中任一项所述的机密信息泄露防止系统，其中，所述服务器设备将访问被许可的客户端设备登记到列表中，并拒绝未在所述列表中登记的客户端设备的访问。5.  根据权利要求4所述的机密信息泄露防止系统，其中，当许可所述客户端设备的访问时，所述服务器设备设置许可访问的时间段，将所设置的时间段登记到所述列表中，此后在经过了所述时间段之后不再许可所述客户端设备的访问。6.  根据权利要求1至5中任一项所述的机密信息泄露防止系统，其中，所述客户端设备和所述服务器设备两者均具有公共密钥，所述客户端设备发送已经利用所述公共密钥进行加密的所述挑战码，以及所述服务器设备发送已经利用所述公共密钥进行加密的所述响应码。7.  一种用于防止在执行应用程序的客户端设备和保存供所述应用程序使用的数据的服务器设备之间泄露机密信息的方法，所述方法包括：步骤(a)：所述客户端设备基于针对所述应用程序设置的安全等级和提供给所述服务器设备中保存的数据的安全等级来确定是否允许所述应用程序的访问；步骤(b)：如果确定允许访问，则所述客户端设备将使用来自所述应用程序的分组数据生成的挑战码发送到所述服务器设备，并请求认证；步骤(c)：当所述挑战码发送到所述服务器设备时，所述服务器设备向所述客户端设备发送预设响应码，并且如果从所述客户端设备接收到响应于所述响应码的设定响应，则确定认证成功；以及步骤(d)：如果确定认证成功，则所述服务器设备许可所述客户端设备的访问。8.  一种计算机可读记录介质，所述计算机可读记录介质存储用于由计算机访问服务器设备中保存的数据的程序，所述程序包含用于使所述计算机执行以下步骤的命令：步骤(a)：基于针对所述计算机中使用的应用程序设置的安全等级和提供给所述服务器设备中保存的数据的安全等级来确定是否允许所述应用程序的访问；以及步骤(b)：如果在所述步骤(a)中确定允许访问，则将使用来自所述应用程序的分组数据生成的挑战码发送到所述服务器设备，并请求认证。9.  一种存储程序的计算机可读记录介质，所述程序用于由计算机 确定是否允许客户端设备访问供所述客户端设备执行的应用程序使用的数据，所述程序包含用于使所述计算机执行以下步骤的命令：步骤(a)：如果从所述客户端设备发送了使用来自所述应用程序的分组数据生成的挑战码以请求认证，则向所述客户端设备发送预设响应码；步骤(b)：如果在执行所述步骤(a)之后从所述客户端设备接收到响应于所述响应码的设定响应，则确定认证成功；以及步骤(c)：如果在所述步骤(b)中确定认证成功，则许可所述客户端设备的访问。

说明书机密信息泄露防止系统、机密信息泄露防止方法和计算机可读记录介质
技术领域
本发明涉及机密信息泄露防止系统、机密信息泄露防止方法和存储用于实现所述机密信息泄露防止系统和所述机密信息泄露防止方法的程序的计算机可读记录介质。
背景技术
例如，在诸如公司或政府部门等的组织中，要承担的责任和组织的组成成员能够行使的权利根据他/她的职位而不同。因此，需要根据每个组成成员的职位来控制资源的读写(即对诸如组织所持有的材料或信息源等的资源的访问)。MLS系统(多级安全系统)被称为用于控制对资源的访问的系统。
在MLS系统中，将指示机密程度的安全等级指派给访问资源的用户并指派给作为访问目标的资源。用户进行的对资源的用户访问是根据指派给用户的安全等级和资源的安全等级控制的。例如，专利文献1公开了用于在客户端和服务器之间进行网络访问时实现MLS系统的技术。
在专利文献1所公开的系统中，发送侧客户端中的核心控制输入/输出功能、存储器、处理和执行程序的操作。核心还通过将安全等级和端口号进行组合来创建端口标识符。端口标识符被插入IP(因特网协议)分组的IP首部的协议区中。在将数据附接到IP首部之后，将该IP首部发送到接收侧服务器。
接收侧服务器中的接收侧核心从所接收的IP首部中获取端口标识符，然后提取安全等级和端口号。如果可以以所提取的安全等级访问与所提取的端口号相对应的端口，接收侧核心释放端口并根据安全等级实现网络访问。
引用列表
专利文献
专利文献1：JP2000-174807A
发明内容
本发明要解决的问题
如上所述，在专利文献1所公开的系统中，客户端需要将端口标识符插入IP分组的IP首部中。此外，服务器需要从IP首部中提取端口标识符。因此，为了插入并提取端口标识符，需要对客户端和服务器的操作系统(OS)进行修改，以便能够发送和接收IP分组。
本发明的示例性目的是解决以上问题并提供在不需要对操作系统进行修改的条件下，根据安全等级来控制客户端设备和服务器设备之间的网络访问的机密信息泄露防止系统、机密信息泄露防止方法和计算机可读记录介质。
用于解决问题的手段
为了实现上述目的，根据本发明的一个方面的机密信息泄露防止系统是用于防止在客户端设备和服务器设备之间泄露机密信息的机密信息泄露防止系统，包括：
客户端设备，被配置为执行应用程序；以及
服务器设备，被配置为保存供所述应用程序使用的数据，
其中，所述客户端设备基于针对应用程序设置的安全等级和提供给所述服务器设备中保存的数据的安全等级来确定是否允许应用程序的访问，并且如果确定允许访问，将使用来自所述应用程序的分组数据生成的挑战码发送到所述服务器设备，并请求认证，以及
当所述挑战码发送到所述服务器设备时，所述服务器设备向所述客户端设备发送预设响应码，如果所述服务器设备从所述客户端设备接收到响应于所述响应码的设定响应，则确定认证成功，此后许可所述客户端设备的访问。
为了实现上述目的，根据本发明的一个方面的机密信息泄露防止方法是用于防止在执行应用程序的客户端设备和保存供所述应用程序使用的数据的服务器设备之间泄露机密信息的方法，所述方法包括：
步骤(a)：客户端设备基于针对应用程序设置的安全等级和提供给服务器设备中保存的数据的安全等级来确定是否允许应用程序的访问；
步骤(b)：如果确定允许访问，则所述客户端设备将使用来自所述应用程序的分组数据生成的挑战码发送到所述服务器设备，并请求认证；
步骤(c)：当所述挑战码发送到所述服务器设备时，所述服务器设备向所述客户端设备发送预设响应码，并且如果从所述客户端设备接收到响应于所述响应码的设定响应，则确定认证成功；以及
步骤(d)：如果确定认证成功，则所述服务器设备许可所述客户端设备的访问。
此外，为了实现上述目的，根据本发明的一个方面的第一计算机可读记录介质是存储用于由计算机访问服务器设备中保存的数据的程序的计算机可读记录介质，所述程序包含用于使所述计算机执行以下步骤的命令：
步骤(a)：基于针对所述计算机中使用的应用程序设置的安全等级和提供给服务器设备中保存的数据的安全等级来确定是否允许应用程序的访问；以及
步骤(b)：如果在步骤(a)中确定允许访问，则将使用来自所述应用程序的分组数据生成的挑战码发送到所述服务器设备，并请求认证。
此外，为了实现上述目的，根据本发明的一个方面的第二计算机可读记录介质是存储程序的计算机可读记录介质，所述程序用于由计算机确定是否允许客户端设备访问供客户端设备执行的应用程序使用的数据，所述程序包含用于使所述计算机执行以下步骤的命令：
步骤(a)：如果从所述客户端设备发送了使用来自所述应用程序的分组数据生成的挑战码以请求认证，则向所述客户端设备发送预设 响应码；
步骤(b)：如果在执行步骤(a)之后从所述客户端设备接收到响应于所述响应码的设定响应，则确定认证成功；以及
步骤(c)：如果在步骤(b)中确定认证成功，则许可所述客户端设备的访问。
发明的效果
如上所述，根据本发明，可以在不需要对操作系统进行修改的条件下，根据安全等级来控制客户端设备和服务器设备之间的网络访问。
附图说明
图1是示出了根据本发明实施例1的机密信息泄露防止系统的配置的方框图。
图2是示出了根据本发明实施例1的示例性标签指派列表的示意图。
图3是示出了根据本发明实施例1的示例性认证请求服务器列表的示意图。
图4是示出了根据本发明实施例1的示例性文件夹标签列表的示意图。
图5是示出了根据本发明实施例1的示例性认证客户端列表的示意图。
图6是示出了根据本发明实施例1的整个机密信息泄露防止系统的操作的序列图。
图7是示出了根据本发明实施例1的示例性可访问性确定准则的示意图。
图8是示出了根据本发明实施例1的机密信息泄露防止系统中的第一认证处理时的操作的序列图。
图9是示出了根据本发明实施例1的机密信息泄露防止系统中的第二认证处理时的操作的序列图。
图10是示出了根据本发明实施例1的机密信息泄露防止系统中的 第三认证处理时的操作的序列图。
图11是示出了根据本发明实施例1中使用的示例性认证服务器列表的示意图。
图12是示出了根据本发明实施例1的另一示例性认证客户端列表的示意图。
图13是示出了根据本发明实施例2的机密信息泄露防止系统的配置的方框图。
图14是示出了实现根据本发明实施例1和2的客户端设备和服务器设备的示例性计算机的方框图。
具体实施方式
实施例1
以下将参考图1至图12描述根据本发明实施例1的机密信息泄露防止系统、机密信息泄露防止方法和程序。
系统配置
首先，将使用图1描述根据实施例1的机密信息泄露防止系统10的配置。图1是示出了根据本发明实施例1的机密信息泄露防止系统的配置的方框图。
图1中所示的根据本实施例的机密信息泄露防止系统10用于防止在客户端设备和服务器设备之间泄露机密信息。如图1所示，机密信息泄露防止系统10包括执行应用程序的客户端设备100和保存供应用程序使用的数据的服务器设备200。客户端设备100和服务器设备200通过网络501相连。应当注意的是，尽管在图1的示例中示出了客户端设备100和服务器设备200，在实施例1中，客户端设备100和服务器设备200的数量不受限制。
客户端设备100基于针对应用程序设置的安全等级和提供给服务器设备200中保存的数据的安全等级来确定是否允许应用程序的访问。如果客户端设备100确定允许访问，则客户端设备100向服务器设备200发送使用来自应用程序的分组数据所生成的挑战码，并请求认证。
当挑战码被发送到服务器设备200时，服务器设备200向客户端设备100发送预设响应码。如果服务器设备200从客户端设备100接收到对响应码的设定响应，则服务器设备200确定认证成功，此后许可客户端设备100的访问。
因此，在实施例1中，客户端设备100基于针对应用程序设置的安全等级和提供给数据的安全等级来确定是否允许应用程序的访问。客户端设备100仅在满足关于安全等级的条件之后执行针对服务器设备200的认证，并且如果认证成功，则服务器设备200在不需要将标识符等添加到分组的条件下许可客户端设备100的访问。
因此，根据实施例1，可以在不需要对操作系统进行修改的条件下，根据安全等级来控制客户端设备100和服务器设备200之间的网络访问。
除了图1之外，现在还将使用图2至图5更详细地描述根据实施例1的机密信息泄露防止系统10的配置。如图1所示，在本实施例中，客户端设备100经由路由器401连接到网络501。类似地，服务器设备200也经由路由器403连接到网络501。
在实施例1中，客户端设备100和服务器设备200两者由计算机构成。应当注意的是，稍后将描述计算机的特定配置。
客户端设备的配置
如图1所示，在实施例1中，客户端设备100包括：客户端程序执行单元101、客户端通信单元102、标签指派单元104、网络访问控制单元107、服务器信息存储单元108和认证请求单元109。其中，客户端通信单元102由例如NIC(网络接口卡)进行配置。
客户端程序执行单元101执行安装在客户端设备100中的应用程序(在下文中被称为“应用”)。在实施例1中，如图1所示，普通应用105和机密应用106安装在客户端设备100中。
在实施例1中，基于标签指派单元104指派的标签，所安装的应用被区分为“普通应用105”和“机密应用106”，稍后将进行描述。例如，被指派“普通标签”的应用被定义为普通应用105，被指派“机密标签” 的应用被定义为机密应用106。应当注意的是，所安装的应用可以是通常使用的应用，例如编辑器和网络浏览器。
标签指派单元104向每个应用指派指示预设安全等级(例如上述机密等级)的标签或普通标签。然后，标签指派单元104将应用和所指派的标签之间的对应关系存储在标签指派列表704中。
在标签指派单元104指派标签之后，从具有机密标签的应用向具有普通标签的应用发送和接收信息在客户端设备100中是禁止的。现在将使用图2描述标签指派列表704的特定示例。
图2是示出了根据本发明实施例1的示例性标签指派列表的示意图。如图2所示，针对标签指派列表704中的每个进程来登记进程ID和标签的组合。进程ID是用于唯一地标识正在运行的应用的标识符。在图2的示例中，标签指派列表704具有沿图2中的向下方向添加和删除组合的列表结构，但列表结构不限于此。
在标签指派列表704中，可以将除了进程ID之外的标识符(例如应用的完整路径)登记为用于唯一地标识正在运行的应用的标识符。因此，在标签指派列表704中，可以针对每个应用而不是针对每个进程来指派标签。
标签不限于字符串“机密”或“普通”，并可以备选地是数值或另一字符串。例如，标签可以是诸如1或2等的数值，或诸如“机密组1”或“机密组2”等的字符串。标签指派列表704的列表结构不限于一维列表结构，并可以是使用散列表的结构。
网络访问控制单元107监控普通应用105和机密应用106的网络访问。在任意应用的网络访问启动之后，网络访问控制单元107根据指派给该应用的标签和访问目的地文件夹的标签来确定是否允许访问。
网络访问控制单元107通过基于标签确定是否允许访问来控制网络访问。此时，网络访问控制单元107从标签指派单元104获取指派给应用的标签。网络访问控制单元107还从服务器信息存储单元108获取针对访问目的地设置的标签。注意，针对访问目的地设置的标签是指针对服务器设备200中保存的数据文件夹(205和206)设置的标签，稍后将进行描述。
网络访问控制单元107具有请求认证的服务器(具体而言，具有认证确定单元209的服务器)的列表702(在下文中被称为“认证请求服务器列表”)。图3是示出了根据本发明实施例1的示例性认证请求服务器列表的示意图。网络访问控制单元107基于图3中所示的认证请求服务器列表702来确定访问目的地服务器是否需要认证。此外，网络访问控制单元107保存在认证时的加密中所使用的公共密钥110。
服务器信息存储单元108存储信息(在下文中被称为“文件夹标签列表”)701，信息701用于标识针对服务器设备200中保存的文件夹(205和206)设置的标签。图4是示出了根据本发明实施例1的示例性文件夹标签列表的示意图。
如上所述，在网络访问控制单元107指定访问目的地文件夹的名称时，服务器信息存储单元108搜索图4中所示的文件夹标签列表，并指定针对所指定的文件夹设置的标签，并向网络访问控制单元107通知所指定的标签。
认证请求单元109认证网络访问控制单元107安装在客户端设备100中并正常工作，并将结果发送到服务器设备中的认证确定单元209。将认证结果网络通知防问控制单元107。
具体而言，如果网络访问控制单元107确定允许应用105或106对服务器设备200进行访问，则认证请求单元109使用来自应用的分组数据来生成挑战码。然后，认证请求单元109向服务器设备200发送所生成的挑战码并请求认证。
服务器设备的配置
如图1所示，在实施例1中，服务器设备200包括：服务器程序执行单元201、认证确定单元209和服务器通信单元202。其中，服务器通信单元202由例如NIC(网络接口卡)进行配置。
服务器程序执行单元201执行安装在服务器设备200中的应用(在下文中被称为“服务器应用”)。在服务器程序执行单元201中，提供了存储普通信息的普通文件夹205和存储机密信息的机密文件夹206。
在客户端设备100中的认证请求单元109发送挑战码时，认证确定 单元209向客户端设备100发送预设响应码。此时，在实施例1中，认证确定单元209确定所发送的挑战码是否满足设定条件，并且如果挑战码满足设定条件，则发送响应码。
因此，如果认证确定单元209从客户端设备100接收到对响应码的设定响应(例如如果从客户端设备100发送了与挑战码相同的代码)，则认证确定单元209确定认证成功。认证确定单元209可以执行上述认证多次。
认证确定单元209还保存与网络访问控制单元107所保存的公共密钥110相同的公共密钥210。认证确定单元209使用公共密钥210执行响应码的加密和挑战码的解密。
如果认证确定单元209确定认证成功，则认证确定单元209许可客户端设备100的访问，并在认证客户端列表703中登记认证确定单元209允许认证的客户端设备100。图5是示出了根据本发明实施例1的示例性认证客户端列表的示意图。
如图5所示，如果在本实施例中认证成功，则认证确定单元209在认证客户端列表703中登记被成功认证的客户端设备100所使用的IP地址(在下文中被称为“客户端IP地址”)、路由器401使用的端口号和客户端设备100的认证状态。将数值或诸如“已认证”、“第一次认证”或“第二次认证”等的字符串登记在认证状态的每列中。注意，在图5的示例中，为了容易理解，将字符串登记在认证状态列中。
此外，认证确定单元209参考认证客户端列表703并监控对服务器应用204的网络访问。认证确定单元209禁止来自图5中所示的认证客户端列表中未登记的客户端设备的访问。
如上所述，对于安装有网络访问控制单元107的客户端设备100，根据客户端设备中的标签来执行访问控制，并且客户端设备是服务器设备100中认证的对象。另一方面，对于未安装网络访问控制单元107的客户端设备，不能根据客户端设备中的标签来执行访问控制，并且服务器设备100相应地不执行认证并禁止所有通信。
系统操作
接下来，将使用图6至10描述根据实施例1的机密信息泄露防止系统10的操作。注意，在以下描述中，视情况参考图1至5。此外，在实施例1中，通过操作机密信息泄露防止系统10来实现机密信息泄露防止方法。因此，机密信息泄露防止系统10的操作的以下描述将替代根据实施例1的机密信息泄露防止方法的描述。
整体操作
首先，将参考图6描述根据实施例1的整个机密信息泄露防止系统10的操作。图6是示出了根据本发明实施例1的整个机密信息泄露防止系统的操作的序列图。
首先，在客户端设备100中，客户端程序执行单元101执行普通应用105或机密应用106，并且所执行的应用启动网络访问(步骤S1)。
网络访问控制单元107监控普通应用105和机密应用106的网络访问。因此，在执行步骤S1之后，网络访问控制单元107暂停(hook)网络访问(步骤S2)。
接下来，网络访问控制单元107向标签指派单元104查询正在尝试执行网络访问的应用的标签(步骤S3)。从而，标签指派单元104搜索标签指派列表704(参见图2)以指定应用的标签，并向网络访问控制单元107通知所指定的标签(步骤S4)。
接下来，网络访问控制单元107向服务器信息存储单元108查询应用正在尝试访问的服务器设备200中的文件夹的标签(步骤S5)。从而，服务器信息存储单元108搜索文件夹标签列表701(参见图4)以指定访问目的地文件夹的标签，并向网络访问控制单元107通知所指定的标签(步骤S6)。
接下来，在完成应用的标签和访问目的地文件夹的标签的获取之后，网络访问控制单元107基于图7中所示的可访问性确定准则来确定访问是否被允许(步骤S7)。图7是示出了根据本发明实施例1的示例性可访问性确定准则的示意图。
具体而言，如果应用具有机密标签并且访问目的地文件夹也具有机密标签，则网络访问控制单元107许可访问，如图7所示。如果应用 具有普通标签并且访问目的地文件夹也具有普通标签，则网络访问控制单元107也许可访问，如图7所示。
另一方面，如果应用具有普通标签并且访问目的地文件夹具有机密标签，则网络访问控制单元107禁止访问，如图7所示。如果应用具有机密标签并且访问目的地文件夹具有普通标签，则网络访问控制单元107仅许可读取，如图7所示。
接下来，如果网络访问控制单元107在步骤S7中确定允许访问，则网络访问控制单元107恢复在步骤S2中停止的网络访问，并启动与服务器设备200的通信(步骤S8)。具体而言，网络访问控制单元107向认证请求单元109给出用于请求认证的指示。
接下来，在网络访问控制单元107给出认证请求指示之后，认证请求单元109执行服务器设备200和认证确定单元209之间的认证处理(步骤S9)。在步骤S9中，如果认证成功，则认证确定单元209获取服务器设备识别的客户端设备100的IP地址和端口号，并将所获取的IP地址和端口号登记到认证客户端列表703(见图5)中。注意，稍后将使用图8描述步骤S9的细节。
如果在步骤S9中认证成功，则服务器设备200中的服务器应用204向客户端设备100发送指示允许步骤S9中的认证的代码。因此，在客户端程序执行单元101中，应用(105或106)执行向服务器设备200的第二网络访问(步骤S10)。
接下来，在执行步骤S10之后，认证请求单元109执行服务器设备200和认证确定单元209之间的第二认证处理(步骤S11)。注意，稍后将使用图9描述步骤S11的细节。
如果在步骤S11中认证成功，则服务器设备200中的服务器应用204向客户端设备100发送指示允许步骤S11中的认证的代码。因此，在客户端程序执行单元101中，应用(105或106)执行向服务器设备200的第三网络访问(步骤S12)。
接下来，在执行步骤S12之后，认证请求单元109执行服务器设备200和认证确定单元209之间的第三认证处理(步骤S13)。注意，稍后将使用图10描述步骤S13的细节。如果在步骤13中认证成功，则认证 确定单元209在认证客户端列表(见图5)中将客户端设备100登记为“已以证”。
如果在步骤S13中认证成功，则服务器设备200中的服务器应用204向客户端设备100发送指示允许步骤S13中的认证的代码。在此情况下，因为访问被许可，在客户端程序执行单元101中，应用(105或106)继续向服务器设备200的网络访问(步骤S14)。
接下来，在服务器设备200中，认证确定单元209确认已经认证客户端设备100，并许可对文件夹的访问(步骤S15)。注意，如果在步骤S9、步骤S11和步骤S13中的任意一个步骤中认证失败，或如果访问是从未安装网络访问控制单元107的客户端设备接收到，则服务器设备200禁止从其接收到访问的客户端的访问，因为该客户端设备未在认证客户端列表(见图5)中登记。
认证处理
接下来，将使用图8至10详细描述执行三次的图6中所示的认证处理(步骤S9、S11、S13)。注意，尽管在实施例1中执行认证处理三次，在实施例1中，执行认证处理的次数不受特别限制。认证处理可以执行一次、两次或四次或更多次。
图8是示出了根据本发明实施例1的机密信息泄露防止系统中的第一认证处理时的操作的序列图。如图8所示，图6中所示的步骤S9由步骤S901至S908构成。
如图8所示，首先，认证请求单元109创建挑战码1，并将挑战码1发送到认证确定单元209(步骤S901)。在步骤S901中，认证请求单元109使用来自执行网络访问的应用的分组数据来创建挑战码1。此时，认证请求单元109将用于标识客户端设备100的标识符添加到挑战码1。
用于生成挑战码1的分组数据可以是应用被实际调度以发送的数据，或可以是由应用事先准备用于认证的数据。分组数据还可以是客户端设备中的应用生成的随机数。
此外，在步骤S901中，认证请求单元109使用公共密钥110对所创建的挑战码1进行加密。在此情况下，视情况设置加密格式，考虑所要 求的安全强度、处理速度等。例如，在采用使用公共密钥的DES128方法的情况下，可以减少对处理速度的影响，但安全强度恶化。注意，上述加密是针对所有挑战码执行的，以下将进行描述。
接下来，认证确定单元209在接收到从认证请求单元109发送的挑战码1之后，对所接收的挑战码1进行解密并存储。然后，认证确定单元209确定挑战码1是否满足设定条件，例如挑战码1是否是服务器应用204能够辨别的数据。如果确定的结果是挑战码1满足设定条件，则认证确定单元209生成响应码，并将该响应码发送到认证请求单元109(步骤S902)。
此外，在步骤S902中，认证确定单元209使用公共密钥210对所生成的响应码进行加密。在此情况下，视情况设置加密格式，考虑所必需的安全强度、处理速度等。注意，上述加密是针对所有响应码执行的，以下将进行描述。
此外，响应码可以是例如通过将诸如SHA1等的散列函数应用于公共密钥210和挑战码1所获得的散列值。备选地，响应码可以是预设代码。
接下来，认证请求单元109检查所接收的响应码(步骤S903)。例如，如果响应码是上述散列值，则认证请求单元109使用与用于公共密钥110和挑战码1的散列函数相同的散列函数来计算散列值，并检查两个散列值是否相互匹配。
然后，如果检查的结果是不存在问题，则认证请求单元109向认证确定单元209发送挑战码2(步骤S904)。注意，在实施例1中，在步骤S901中发送的挑战码1和在步骤S904中发送的挑战码2是相同的代码。
接下来，认证确定单元209将在步骤S902中接收的挑战码1和新接收的挑战码2进行比较，并检查两个挑战码是否相互匹配(步骤S905)。
如果在步骤S905中的检查的结果是两个挑战码匹配，则作为认证结果，认证确定单元209将客户端设备100的客户端IP地址和端口号登记到认证客户端列表(见图5)中，并还在认证状态列中记录“第一”(步骤S906)。
接下来，如果认证成功，认证确定单元209将在步骤S905中所接 收的挑战码2发送到服务器应用204(步骤S907)。
接下来，服务器应用204向客户端设备100发送响应码(步骤S908)。因此，图6中所示的步骤S9结束。注意，步骤S908中的响应码可以与步骤S902中所使用的响应码相同，或可以是分别创建的响应码。
图9是示出了根据本发明实施例1的机密信息泄露防止系统中的第二认证处理时的操作的序列图。如图9所示，图6中所示的步骤S11由步骤S1101至S1108构成。
如图9所示，首先，认证请求单元109创建挑战码3，并将挑战码3发送到认证确定单元209(步骤S1101)。挑战码3可以是步骤S9中从服务器设备200发送的数据。挑战码3还可以是由客户端设备中的应用生成的随机数。
接下来，认证确定单元209在接收到从认证请求单元109发送的挑战码3之后，存储所接收的挑战码3。然后，认证确定单元209确定挑战码3是否满足设定条件，例如确定挑战码3是否与步骤S908中发送的响应码相匹配。如果确定的结果是挑战码3满足设定条件，则认证确定单元209生成响应码，并将该响应码发送到认证请求单元109(步骤S1102)。注意，在本情况中的响应码还可以是与步骤S902中的响应码类似的响应码。
接下来，认证请求单元109检查所接收的响应码(步骤S1103)。然后，如果检查的结果是不存在问题，则认证请求单元109向认证确定单元209发送挑战码4(步骤S1104)。注意，在实施例1中，在步骤S1101中发送的挑战码3和在步骤S1104中发送的挑战码4是相同的代码。
接下来，认证确定单元209将在步骤S1102中接收的挑战码4和新接收的挑战码4进行比较，并检查两个挑战码是否相互匹配(步骤S1105)。
如果在步骤S1105中的检查的结果是两个挑战码匹配，则认证确定单元209将“第二”记录到认证客户端列表(参见图5)中的对应记录中的认证状态列中(步骤S1106)。
接下来，如果认证成功，认证确定单元209将在步骤S1105中所接 收的挑战码4发送到服务器应用204(步骤S1107)。
接下来，服务器应用204向客户端设备100发送响应码(步骤S1108)。因此，图6中所示的步骤S11结束。注意，步骤S1108中的响应码可以与步骤S1102中所使用的响应码相同，或可以是分别创建的响应码。
图10是示出了根据本发明实施例1的机密信息泄露防止系统中的第三认证处理时的操作的序列图。如图10所示，图6中所示的步骤S13由步骤S1301至S1308构成。
如图10所示，首先，客户端设备中的认证请求单元109生成挑战码5，并将所生成的挑战码5发送到认证确定单元209(步骤S1301)。挑战码5可以是例如步骤S11中从服务器设备200发送的数据。挑战码5还可以是由客户端设备中的应用生成的随机数。
接下来，认证确定单元209在接收到从认证请求单元109发送的挑战码5之后，存储所接收的挑战码5。然后，认证确定单元209确定挑战码5是否满足设定条件，例如确定挑战码5是否与步骤S1108中发送的响应码相匹配。如果确定的结果是挑战码5满足条件，则认证确定单元209生成响应码，并将该响应码发送到认证请求单元109(步骤S1302)。注意，在本情况中的响应码还可以是与步骤S902中的响应码类似的响应码。
接下来，认证请求单元109检查所接收的响应码(步骤S1303)。然后，如果检查的结果是不存在问题，则认证请求单元109向认证确定单元209发送挑战码6(步骤S1304)。注意，在实施例1中，在步骤S1301中发送的挑战码5和在步骤S1304中发送的挑战码6是相同的代码。
接下来，认证确定单元209将在步骤S1302中接收的挑战码5和新接收的挑战码6进行比较，并检查两个挑战码是否相互匹配(步骤S1305)。
如果在步骤S1305中的检查的结果是两个挑战码匹配，则认证确定单元209将“已认证”登记到认证客户端列表(见图5)中的对应记录中的认证状态列中(步骤S1306)。
接下来，如果认证成功，认证确定单元209将在步骤S1305中所接 收的挑战码6发送到服务器应用204(步骤S1307)。
接下来，服务器应用204向客户端设备100发送响应码(步骤S1308)。因此，图6中所示的步骤S13结束。注意，步骤S1308中的响应码可以与步骤S1302中所使用的响应码相同，或可以是分别创建的响应码。
如上所述，在实施例1中，在客户端中处理根据标签的访问控制，并可以相应地省略将标签添加到分组，并且可以在不需要修改OS的条件下提供可应用于网络的MLS系统。此外，因为路由器401和403可以用在实施例1中的网络中，实施例1的应用的范围可以扩展到要求地址转换和端口转换的环境。此外，因为可以利用路由器的功能，还可以预期节省IP地址资源。
在上述示例中，仅服务器设备中的认证确定单元209保存认证客户端列表(见图5)。然而，在实施例1中，客户端设备中的认证请求单元109可能保存登记了认证服务器的IP地址和名称的认证服务器列表(见图11)。在此情况下，当与认证服务器列表中登记的服务器设备进行通信时，客户端设备100可以省略对认证等的处理，并且相应地客户端设备和服务器设备之间通信的速度可以增加。图11是示出了本发明实施例1中使用的示例性认证服务器列表的示意图。
在实施例1中，当服务器设备200中的认证确定单元209许可客户端设备100访问时，认证确定单元209可以设置许可访问的时间段(有效时间)，并将该有效时间登记到认证客户端列表中。
图12是示出了根据本发明实施例1的另一示例性认证客户端列表的示意图。与图5中所示的认证客户端列表不同，在图12中所示的认证客户端列表中，登记了认证有效的时间(剩余的有效时间)。
在经过了有效时间之后，认证确定单元209不再许可客户端设备100的访问。具体而言，认证确定单元209每秒钟减少有效时间，并且当有效时间到达0时，认证确定单元209从认证客户端列表中删除有效时间已经变为0的客户端设备的条目。
此外，认证确定单元209在有效时间到达0之前再次执行认证处理，并重设认证的有效时间。在此情况下，因为在每个固定时间间隔执行 认证，可以防止客户端设备100和服务器设备200被未认证的客户端设备和服务器设备替代。
在认证确定单元209的认证客户端列表(见图5)和认证请求单元109的认证服务器列表(见图11)中，除了客户端IP地址之外，还可以登记客户端设备中的应用使用的端口号。在此情况下，在应用结束并且网络连接取消之后，认证确定单元209基于端口号从认证客户端列表中删除条目。类似地，认证请求单元109基于端口号从认证服务器列表中删除条目。在此模式中，仅在应用执行通信时执行上述重认证，并可以相应地避免不必要的重认证。
根据实施例1的第一程序可以是用于使计算机执行图6中所示的步骤S1至S8、S10、S12和S14、图8中所示的步骤S901、S903和S904、图9中所示的步骤S1101、S1103和S1104以及图10中所示的步骤S1301、S1303和S1304的任意程序。根据本实施例的客户端设备100可以通过将此程序安装在计算机中并执行此程序来实现。
在此情况下，计算机中的CPU(中央处理单元)充当客户端程序执行单元101、标签指派单元104、网络访问控制单元107和认证请求单元109，并执行处理。在本实施例中，计算机中提供的诸如硬盘等的存储设备充当服务器信息存储单元108。
根据本实施例的第二程序可以是使计算机执行图6中所示的步骤S15、图8中所示的步骤S902和S905、图9中所示的步骤S1102和S1105至S1107以及图11中所示的步骤S1302和S1305至S1307的任意程序。根据本实施例的服务器设备200可以通过将此程序安装在计算机中并执行此程序来实现。在此情况下，计算机中的CPU(中央处理单元)充当服务器程序执行单元201和认证确定单元209，并执行处理。
修改1
接下来，将描述实施例1的修改1。尽管在以上示例中已经描述了两种标签(分别是机密标签和普通标签)，在修改1中可以使用两种或更多种标签。例如，可以向应用和文件夹指派四种标签，例如“机密”、“严格保密”、“保密”和“未分类”。在此情况下，如在普通MLS系统中 一样，网络访问控制单元107禁止将来自具有更低安全等级的标签的应用和文件夹的信息分发到具有更高安全等级的标签的应用和标签。
修改2
接下来，将描述实施例1的修改2。在图6中所示的步骤S7中，网络访问控制单元107仅许可已经暂停了网络访问的应用的网络。然而，在修改2中，网络访问控制单元107可以根据标签来执行所发送的/所接收的数据的加密和日志的记录。在此情况下，将提供可以根据安全等级来控制安全功能的系统。
修改3
在上述示例中，控制从文件夹的读取和向文件夹的写入。然而，在修改3中，执行除了从文件夹的读取和向文件夹的写入之外的功能的控制。例如，认证确定单元209还可以控制向从客户端设备100发送的电子邮件地址(而不是文件夹)的发送和从该电子邮件地址的接收。此外，认证确定单元209可以控制与服务器的处理的通信。
修改4
在上述示例中，由网络访问控制单元107管理的认证请求服务器列表702的内容和由服务器信息存储单元108管理的文件夹标签列表701的内容是固定的。相反，在修改4中，认证请求服务器列表702和文件夹标签列表701是针对每个用户定义的。根据登录客户端设备100的用户，交换认证请求服务器列表702和文件夹标签列表701。根据修改4，允许根据用户的访问控制。
修改5
在控制目标协议是TCP/IP的情况下，在图6所示的步骤S9、S11和S13中用于认证的数据可以是在TCP/IP协议中使用的序列号。在此情况下，安全性增强，并且相应地认证必须执行的三次可以减为一次，导致处理速度的增加。
实施例2
接下来，将参考图13描述根据本发明实施例2的机密信息泄露防止系统、机密信息泄露防止方法和程序。图13是示出了根据本发明实施例2的机密信息泄露防止系统的系统配置的方框图。
如图13所示，根据实施例2的机密信息泄露防止系统11包括设置更新服务器设备300以及客户端设备100和服务器设备200。客户端设备100还包括设置接收单元113。服务器设备200包括设置接收单元213。注意，与图1中所示的机密信息泄露防止系统10类似地对实施例2中的机密信息泄露防止系统11的其他特征进行配置。
在实施例2中，设置更新服务器设备300包括设置发送单元301。设置发送单元301对客户端设备100和服务器设备200中的各个列表、要使用的公共密钥等进行更新。
具体而言，设置发送单元301保存在服务器信息存储单元108中存储的文件夹标签列表701以及网络访问控制单元107中保存的认证请求服务器列表702和公共密钥110。设置发送单元301还保存服务器设备200中的认证确定单元209保存的公共密钥201。
设置发送单元301向客户端设备中的设置接收单元113发送文件夹标签列表701、认证请求服务器列表702和公共密钥110。设置发送单元301向服务器设备200中的设置接收单元213发送公共密钥210。
在客户端设备100中，设置接收单元113在从设置发送单元301接收到信息之后，基于所接收的信息来对文件夹标签列表701、认证请求服务器列表702和公共密钥110中的部分或全部进行更新。在服务器设备200中，设置接收单元213在从设置发送单元301接收到信息之后，基于所接收的信息来对公共密钥210进行更新。
因此，根据实施例2，可以远程地更新文件夹标签列表701、认证请求服务器列表702和公共密钥110和210。根据实施例2，当存在多个客户端设备100和服务器设备200时，管理效率可以提高。
注意，根据实施例2的机密信息泄露防止方法是通过操作根据实施例2的机密信息泄露防止系统11来实现的。根据实施例2的程序与实施 例1中所描述的程序相同。
现在将使用图14描述通过执行根据实施例1和2的程序来实现客户端设备100和服务器设备200的计算机。图14是示出了实现根据本发明实施例1和2的客户端设备和服务器设备的示例性计算机的方框图。
如图14所示，计算机810包括：CPU811、主存储器812、存储设备813、输入接口814、显示控制器815、数据读取器/写入器816和通信接口817。这些单元经由总线821以能够实现数据通信的方式相互连接。
CPU811通过扩展主存储器812中的存储设备813中存储的根据实施例的程序(代码)并以预定顺序执行这些代码来执行各种类型的操作。主存储器812通常是易失性存储设备，例如DRAM(动态随机存取存储器)。
可以以存储在计算机可读记录介质820中的状态提供或可以经由通过通信接口817连接的因特网提供根据实施例的程序。
除了硬盘之外，给出诸如闪存等的半导体存储设备作为存储设备813的特定示例。输入接口814对CPU811和诸如键盘或鼠标等的输入设备818之间的数据通信进行传递。显示控制器815连接到显示设备819，并控制显示设备819上的显示。
数据读取器/写入器816对CPU811和记录介质820之间的数据通信进行传递，并执行从记录介质820读出程序和通过计算机810向记录介质820写入处理的结果。通信接口817对CPU811和其他计算机之间的数据通信进行传递。
给出诸如例如CF(快闪(注册商标)或SD(安全数字))等的通用半导体存储设备、诸如软盘等的磁存储介质或诸如CD-ROM(致密盘只读存储器)等的光存储介质作为记录介质820的特定示例。
上述实施例通过下述注释1至16的全部或部分来表示，但不限于以下描述。
(注释1)
一种用于防止在客户端设备和服务器设备之间泄露机密信息的机密信息泄露防止系统，包括：
客户端设备，被配置为执行应用程序；以及
服务器设备，被配置为保存供所述应用程序使用的数据，
其中，所述客户端设备基于针对应用程序设置的安全等级和提供给所述服务器设备中保存的数据的安全等级来确定是否允许应用程序的访问，并且如果确定允许访问，将使用来自所述应用程序的分组数据生成的挑战码发送到所述服务器设备，并请求认证，以及
当所述挑战码发送到所述服务器设备时，所述服务器设备向所述客户端设备发送预设响应码，如果所述服务器设备从所述客户端设备接收到响应于所述响应码的设定响应，则确定认证成功，此后许可所述客户端设备的访问。
(注释2)
根据注释1所述的机密信息泄露防止系统，
其中，如果所发送的挑战码满足设定条件，则所述服务器设备发送所述响应码，此后当从所述客户端设备接收到与所述挑战码相同的代码时，确定认证成功。
(注释3)
根据注释2所述的机密信息泄露防止系统，
其中，所述服务器设备使所述客户端设备多次发送具有不同内容的挑战码，并且如果针对每个挑战码均确定认证成功，则许可所述客户端设备的访问。
(注释4)
根据注释1至3中任一项所述的机密信息泄露防止系统，
其中，所述服务器设备将访问被许可的客户端设备登记到认证客户端列表中，并拒绝未在所述认证客户端列表中登记的客户端设备的访问。
(注释5)
根据注释4所述的机密信息泄露防止系统，
其中，当许可所述客户端设备的访问时，所述服务器设备设置许可访问的时间段，将所设置的时间段登记到所述认证客户端列表中，此后在经过了所述时间段之后不再许可所述客户端设备的访问。
(注释6)
根据注释1至5中任一项所述的机密信息泄露防止系统，
其中，所述客户端设备和所述服务器设备两者均具有公共密钥，
所述客户端设备发送已经利用所述公共密钥进行加密的所述挑战码，以及
所述服务器设备发送已经利用所述公共密钥进行加密的所述响应码。
(注释7)
一种访问服务器设备中保存的数据的客户端设备，包括：
网络访问控制单元，被配置为基于针对所述应用程序设置的安全等级和提供给所述服务器设备中保存的数据的安全等级来确定是否允许所述客户端设备中使用的应用程序的访问；以及
认证请求单元，被配置为如果确定允许访问，则将使用来自所述应用程序的分组数据生成的挑战码发送到所述服务器设备，并请求认证。
(注释8)
一种服务器设备，所述服务器设备确定是否允许客户端设备访问供所述客户端设备执行的应用程序使用的数据，包括：
认证确定单元，被配置为如果从所述客户端设备发送了使用来自所述应用程序的分组数据生成的挑战码以请求认证，则向所述客户端设备发送预设响应码，此后如果从所述客户端设备接收到响应于所述响应码的设定响应，则确定认证成功，并许可所述客户端设备的访问。
(注释9)
一种用于防止在执行应用程序的客户端设备和保存供所述应用程序使用的数据的服务器设备之间泄露机密信息的方法，所述方法包括：
步骤(a)：客户端设备基于针对应用程序设置的安全等级和提供给服务器设备中保存的数据的安全等级来确定是否允许应用程序的访问；
步骤(b)：如果确定允许访问，则所述客户端设备将使用来自所述应用程序的分组数据生成的挑战码发送到所述服务器设备，并请求认证；
步骤(c)：当所述挑战码发送到所述服务器设备时，所述服务器设备向所述客户端设备发送预设响应码，并且如果从所述客户端设备接收到响应于所述响应码的设定响应，则确定认证成功；以及
步骤(d)：如果确定认证成功，则所述服务器设备许可所述客户端设备的访问。
(注释10)
根据注释9所述的机密信息泄露防止方法，
其中，在步骤(c)中，如果所发送的挑战码满足设定条件，则所述服务器设备发送所述响应码，此后当从所述客户端设备接收到与所述挑战码相同的代码时，确定认证成功。
(注释11)
根据注释10所述的机密信息泄露防止方法，
其中，使用具有不同内容的挑战码，执行所述步骤(b)和所述步骤(c)多次，并且如果在每个步骤(c)中都确定认证成功，则在所述步骤(d)中许可所述客户端设备的访问。
(注释12)
根据注释9至11中任一项所述的机密信息泄露防止方法，
其中，在所述步骤(d)中，所述服务器设备将访问被许可的客户端设备登记到认证客户端列表中，并拒绝未在所述认证客户端列表中登记的客户端设备的访问。
(注释13)
根据注释12所述的机密信息泄露防止方法，
其中，在所述步骤(d)中，当许可所述客户端设备的访问时，所述服务器设备设置许可访问的时间段，将所设置的时间段登记到所述认证客户端列表中，此后在经过了所述时间段之后不再许可所述客户端设备的访问。
(注释14)
根据注释9至13中任一项所述的机密信息泄露防止方法，
其中，所述客户端设备和所述服务器设备两者均具有公共密钥，
在所述步骤(d)中，所述客户端设备发送已经利用所述公共密钥 进行加密的所述挑战码，以及
在所述步骤(c)中，所述服务器设备发送已经利用所述公共密钥进行加密的所述响应码。
(注释15)
一种计算机可读记录介质，存储用于由计算机访问服务器设备中保存的数据的程序，所述程序包含用于使所述计算机执行以下步骤的命令：
步骤(a)：基于针对所述计算机中使用的应用程序设置的安全等级和提供给服务器设备中保存的数据的安全等级来确定是否允许应用程序的访问；以及
步骤(b)：如果在步骤(a)中确定允许访问，则将使用来自所述应用程序的分组数据生成的挑战码发送到所述服务器设备，并请求认证。
(注释16)
一种存储程序的计算机可读记录介质，所述程序用于由计算机确定是否允许客户端设备访问供客户端设备执行的应用程序使用的数据，所述程序包含用于使所述计算机执行以下步骤的命令：
步骤(a)：如果从所述客户端设备发送了使用来自所述应用程序的分组数据生成的挑战码以请求认证，则向所述客户端设备发送预设响应码；
步骤(b)：如果在执行步骤(a)之后从所述客户端设备接收到响应于所述响应码的设定响应，则确定认证成功；以及
步骤(c)：如果在步骤(b)中确定认证成功，则许可所述客户端设备的访问。
尽管已经参考本发明的示例性实施例具体地示出了并描述了本发明，但本发明不限于这些实施例。本领域普通技术人员应当理解，在不背离权利要求所定义的本发明的精神和范围的前提下，可以作出形式上和细节上的各种改变。
本申请是基于并要求2011年12月1日提交的日本专利申请No.2011-263621的优先权，其全部内容以引用方式并入本文。
工业实用性
如上所述，根据本发明，可以在不需要对操作系统进行修改的条件下，根据安全等级来控制客户端设备和服务器设备之间的网络访问。本发明对防止计算机网络中的信息泄露有用。
附图标记的描述
100客户端设备
101客户端程序执行单元
104标签指派单元
107网络访问控制单元
108服务器信息存储单元
109认证请求单元
113设置接收单元
200服务器设备
201服务器程序执行单元
209认证确定单元
213设置接收单元
300设置更新服务器设备
301设置发送单元
401、403路由器
501网络
810计算机
811CPU
812主存储器
813存储设备
814输入接口
815显示控制器
816数据读取器/写入器
817通信接口
818输入设备
819显示设备
820记录介质
821总线