JP4858217B2 - Policy determination system and method via portable media - Google Patents
Policy determination system and method via portable media Download PDFInfo
- Publication number
- JP4858217B2 JP4858217B2 JP2007039167A JP2007039167A JP4858217B2 JP 4858217 B2 JP4858217 B2 JP 4858217B2 JP 2007039167 A JP2007039167 A JP 2007039167A JP 2007039167 A JP2007039167 A JP 2007039167A JP 4858217 B2 JP4858217 B2 JP 4858217B2
- Authority
- JP
- Japan
- Prior art keywords
- policy
- client
- portable medium
- unit
- time
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Storage Device Security (AREA)
Description
可搬媒体を介した(利用した)ポリシー決定に関する分野に関する。 The present invention relates to the field of policy determination via (used) portable media.
TNC(Trusted Network Connect)は、収集したパソコンの情報をネットワーク経由でサーバ(動作ポリシーを決定するポイントを有する。以後、PDP=Policy Decision Point)に転送し、PDPでパソコンの動作を決定し、決定されたポリシーをネットワーク経由でポリシーを実施するポイント(以後、PEP=Policy Enforcement Point)に通知するという仕組みが従来技術としてある。
TNCは、PDPとPEPが物理的に離れている場合、PDPとPEPがネットワークで接続されていることが前提となる。この前提において、パソコンを他の拠点または社外で利用するケースを考える。ここで、他の拠点や社外は、本ポリシーを管理している部門(以後、管理部門)が設置されている場所とは異なる地点を意味する。盗難対策のために、パソコンを他の拠点または社外で利用する期間を制限し、例えば、一週間利用したら利用者が管理部門にパソコンを持ち帰って、パソコンの状態をチェックし、持ち出し許可を出したいとする。このとき、他の拠点または社外からパソコンを持ち運ぶのは面倒であり、余分なデータ(パソコン内の情報)を持ち運ぶこと自体危険である。 The TNC assumes that the PDP and the PEP are connected via a network when the PDP and the PEP are physically separated. Based on this assumption, consider the case where a personal computer is used at another base or outside the company. Here, other bases and outside companies mean points different from the place where the department that manages this policy (hereinafter, the management department) is installed. To prevent theft, limit the period of use of a PC at another base or outside the company. For example, if you use the PC for a week, you want to take it back to the management department, check the status of the PC, and give permission to take it out. And At this time, it is troublesome to carry a personal computer from another base or outside, and it is dangerous to carry extra data (information in the personal computer).
そこで、本願発明は、TNCのポリシー決定の仕組みを可搬媒体を利用して実現し安全性を確保することを目的とする。 SUMMARY OF THE INVENTION Accordingly, an object of the present invention is to realize a TNC policy determination mechanism using a portable medium and to ensure safety.
本願第1の発明は、ポリシー実行部を有するクライアントと、ポリシー決定部を有するサーバと、コントローラ部と記憶部を有する可搬媒体と、からなる可搬媒体を介したポリシー決定システムにおいて、
クライアントに可搬媒体が繋がれた時に、
コントローラ部が、クライアントの状態を表すクライアント状態を記憶部に格納した時間を表すクライアント状態格納時間を記憶部に記憶し、
サーバに可搬媒体が繋がれた時に、
コントローラ部が、現在の時間と前記クライアント状態格納時間との差を表す経過時間を算出し、
ポリシー決定部が、経過時間が所定値を超えている場合、可搬媒体の使用を不可と判断し、クライアント状態からポリシーを決定し、
コントローラ部が、ポリシーを記憶部に記憶し、ポリシーを記憶部に記憶した時間を表すポリシー格納時間を記憶部に記憶し、クライアント状態を記憶部から消去し、
クライアントに可搬媒体が再度繋がれた時に、
コントローラ部が、現在の時間と前記ポリシー格納時間との差を表す経過時間2を算出し、
ポリシー実行部が、経過時間2が所定値を超えている場合、可搬媒体の使用を不可と判断し、経過時間2が所定値を超えていない場合、ポリシーに従った処理をする、
ことを特徴とする。
A first invention of the present application is a policy determination system via a portable medium including a client having a policy execution unit, a server having a policy determination unit, and a portable medium having a controller unit and a storage unit.
When portable media is connected to the client,
The controller unit stores the client state storage time representing the time when the client state representing the client state is stored in the storage unit in the storage unit,
When portable media is connected to the server,
The controller unit calculates an elapsed time representing a difference between the current time and the client state storage time,
When the elapsed time exceeds the specified value, the policy decision unit determines that the portable medium cannot be used, determines the policy from the client state,
The controller unit stores the policy in the storage unit, stores the policy storage time indicating the time when the policy is stored in the storage unit in the storage unit, erases the client state from the storage unit,
When portable media is reconnected to the client,
The controller unit calculates an elapsed
When the elapsed
It is characterized by that.
本願第2の発明は、サーバに可搬媒体が繋がれた時に、
前記コントローラ部が、ポリシー決定部が有する鍵1とクライアント状態とから鍵2を生成し、
クライアントに可搬媒体が再度繋がれた時に、
前記ポリシー実行部が、鍵2をクライアント状態から鍵1を復元する、ことを特徴とする。
When the portable medium is connected to the server,
The controller unit generates a
When portable media is reconnected to the client,
The policy execution unit restores the
本願第3の発明は、ポリシー実行部を有するクライアントと、ポリシー決定部を有するサーバと、コントローラ部と記憶部を有する可搬媒体と、からなる可搬媒体を介したポリシー決定システムにおいて、
サーバに可搬媒体が繋がれた時に、
コントローラ部が、ポリシー決定モジュールと鍵3と鍵提供条件を記憶部に記憶し、ポリシー決定モジュールを記憶部に記憶した時間を表すポリシー決定モジュール格納時間を記憶部に記憶し、
クライアントに可搬媒体が繋がれたときに、
コントローラ部が、現在の時間とポリシー決定モジュール格納時間との差を表す経過時間3を算出し、経過時間3が所定値を超えている場合、可搬媒体の使用を不可と判断し、所定値を超えていない場合、クライアントの状態を表すクライアント状態が鍵提供条件に合致する場合、ポリシー決定モジュールをクライアントに渡し、
クライアントが、ポリシー決定モジュールをポリシー決定部として起動し、
ポリシー決定部が、記憶部から読み出したクライアント状態からポリシーを計算してポリシー結果を得、
ポリシー実行部が、ポリシーに従った処理をする、ことを特徴とする。
A third invention of the present application is a policy determination system via a portable medium comprising a client having a policy execution unit, a server having a policy determination unit, and a portable medium having a controller unit and a storage unit.
When portable media is connected to the server,
The controller unit stores the policy determination module, the
When a portable medium is connected to the client,
The controller unit calculates an elapsed
The client activates the policy decision module as a policy decision unit,
The policy decision unit calculates the policy from the client state read from the storage unit to obtain the policy result,
The policy execution unit performs processing according to the policy.
本願第4の発明は、サーバに可搬媒体が繋がれた時に、
前記コントローラ部が、ランダム値を記憶部に記憶し、ランダム値と鍵3から鍵4を生成し、
クライアントに可搬媒体が繋がれたときに、
前記コントローラ部が、経過時間3が所定値を超えていない場合、かつ、クライアント状態が鍵提供条件に合致する場合、ランダム値から鍵4を復号して鍵3を得、ランダム値をクライアントに渡し、ランダム値で暗号化したポリシー決定モジュールをクライアントに渡し、
クライアントが、ランダム値から暗号化されたポリシー決定モジュールを復号し、復号されたポリシー決定モジュールをポリシー決定部として起動し、
コントローラ部が、鍵3をポリシー実行部に渡す、ことを特徴とする。
When the portable medium is connected to the server,
The controller unit stores a random value in a storage unit, generates a key 4 from the random value and the
When a portable medium is connected to the client,
When the elapsed
The client decrypts the encrypted policy determination module from the random value, starts the decrypted policy determination module as the policy determination unit,
The controller unit delivers the
本願第5の発明は、前記鍵提供条件は、OSのバージョン、かつ/または、ファイヤウォールの設定の有無であることを特徴とする。 The fifth invention of the present application is characterized in that the key providing condition is an OS version and / or a firewall setting.
本願第6の発明は、前記クライアント状態は、OSのバージョン、かつ/または、ファイヤウォールの設定の有無であるすることを特徴とする。 The sixth invention of the present application is characterized in that the client state is an OS version and / or presence / absence of a firewall setting.
暗号化に使われるクライアント状態とクライアント状態格納時間は、クライアントまたはサーバのポリシー決定部しか知らないので、可搬媒体(USBメモリ)を紛失したときの危険を減らせる。また、最新のPDPをネットワーク接続がない環境にあるパソコンに対しても同様に適用でき、USBメモリを紛失したときの危険を減らせる。 Since the client state and the client state storage time used for encryption are known only by the policy determination unit of the client or server, the risk when the portable medium (USB memory) is lost can be reduced. In addition, the latest PDP can be similarly applied to a personal computer in an environment without a network connection, and the risk when the USB memory is lost can be reduced.
また、所定の時間を経過したら、その可搬媒体の使用を不可能にでき、安全性を高めることができる。 In addition, when a predetermined time elapses, use of the portable medium can be made impossible, and safety can be improved.
図1は、本願発明の実施例の構成図である。本願発明は、クライアント1とサーバ2と可搬媒体3から構成される。クライアント1は、状態収集部11とポリシー実行部12と可搬媒体インタフェース13とポリシー決定部19から構成される。サーバ2は、ポリシー決定部21と可搬媒体インタフェース22から構成される。可搬媒体3は、コントローラ31とコントローラテーブル32と時計33から構成され、例えばUSBメモリのような可搬型記憶媒体である。
FIG. 1 is a configuration diagram of an embodiment of the present invention. The present invention includes a
状態収集部11は、パソコン等のクライアントの状態を表すクライアント状態(図6)をパソコン内のファイルやソフトウェアから収集して、可搬媒体3に格納する処理部である。
The state collection unit 11 is a processing unit that collects a client state (FIG. 6) representing a state of a client such as a personal computer from files or software in the personal computer and stores it in the
ポリシー実行部12は、可搬媒体の使用の許可や、クライアント1に繋がるネットワーク(図示せず)との接続の許可や、後述する鍵Erv(K)を復元して鍵Kを得たり、秘密鍵PRIkを得る処理部である。鍵Kは、クライアント1にあるコンテンツを暗号化する際に用いられる鍵である。
The policy execution unit 12 permits use of a portable medium, permits connection to a network (not shown) connected to the
可搬媒体インタフェース13は、クライアント1と可搬媒体3とを繋げる処理部である。
The portable medium interface 13 is a processing unit that connects the
ポリシー決定部21とポリシー決定部19は、可搬媒体の使用の許可や、クライアント状態を元にポリシーを計算する処理部で、コンテンツの暗号に係る鍵Kを内部的に記憶している。ポリシーとは、例えばネットワークとの接続の許可/不許可を言い、更に他の事項を含んでも良い。なお、ポリシー決定部21は元々サーバ2に存在するのに対して、ポリシー決定部19は、ポリシー決定部21の実体であるポリシー決定モジュールが可搬媒体3を介してクライアント1に渡されて起動された処理部である点で相違する。
The policy deciding unit 21 and the policy deciding unit 19 are processing units that calculate a policy based on permission to use a portable medium and a client state, and internally store a key K related to content encryption. The policy means, for example, permission / denial of connection with the network, and may include other matters. The policy determination unit 21 originally exists in the
可搬媒体インタフェース23は、サーバ2と可搬媒体3とを繋げる処理部である。
The portable medium interface 23 is a processing unit that connects the
コントローラ31は、コントローラ処理部311から315から構成され、クライアント1とサーバ2とデータを受け渡し、コントロールテーブル32にデータの読み書きを行う処理部である。詳細は後述する。
The
コントローラテーブル32(図7)は、クライアント状態、クライアント時間格納時間、リターン値、ポリシー、ポリシー格納時間、鍵Erv(K)等を格納する記憶部である。なお、コントローラテーブル32は、クライアント1のアプリケーションやOSが使うデータを格納している可搬媒体の(図示しない)メモリ部にあっても良い。
The controller table 32 (FIG. 7) is a storage unit that stores client status, client time storage time, return value, policy, policy storage time, key Erv (K), and the like. The controller table 32 may be in a memory unit (not shown) of a portable medium that stores data used by the application of the
時計33は、現在の時刻を測る時計である。 The clock 33 is a clock that measures the current time.
クライアント状態(図6)には、クライアント1のOSが最新のバージョンであるか、クラアント1にパーソナルファイヤウォールが設定されているか、などが上げられる。
In the client state (FIG. 6), whether the OS of the
以下、図2から図4のフローチャートを用いて、本願発明の実施例を説明する。 Embodiments of the present invention will be described below with reference to the flowcharts of FIGS.
まず、全体流れとして、ユーザは、社外でクライアント1に可搬媒体3を繋げ、クライアント状態等を可搬媒体3に得る(図2)。次に、ユーザは、会社の管理部門のサーバにこの可搬媒体3を繋げ、ポリシー等を可搬媒体3に得る(図3)。次に、ユーザは、社外のクライアント1に再度この可搬媒体3を繋げポリシー認証を経た後に、このクライアント1をポリシーに従って使用できる(図4)。以下詳述する。
First, as an overall flow, the user connects the
ユーザがクライアント1に可搬媒体3を繋げると(図2)、クライアント1の状態収集部11は、パソコン内のファイルやソフトウェアから収集してクライアント状態を得て、クライアント1に保存すると共に、可搬媒体3に転送する(S1)。
When the user connects the
可搬媒体3のコントローラ処理部311は、クライアント状態をコントローラテーブル32に格納する(S2)(図7)。コントローラテーブル32のどのインデックスに格納するかは、ユーザが任意に選ぶか、新規なインデックスに格納する。
The controller processing unit 311 of the
コントローラ処理部311は、現在の時刻を時計33から取得し、その時間をクライアント状態格納時間としてコントローラテーブル32に格納する(S3)。 The controller processing unit 311 acquires the current time from the clock 33, and stores the time in the controller table 32 as the client state storage time (S3).
コントローラ処理部311は、クライアント状態格納時間を元にリターン値を算出して(計算方法は任意で良いが、クライアント状態格納時間をそのままリターン値としても良い)、そのリターン値をクライアント1に渡すと共に、コントローラテーブル32に格納する(S4)。
The controller processing unit 311 calculates a return value based on the client state storage time (the calculation method may be arbitrary, but the client state storage time may be used as it is) and passes the return value to the
状態収集部11は、渡されたリターン値をクライアント1に保存する(S5)
次に、ユーザがサーバ2に可搬媒体3を繋げると(図3)、サーバ2のポリシー決定部21は、可搬媒体3にクライアント状態の取得を要求する(S6)。
The state collection unit 11 stores the passed return value in the client 1 (S5).
Next, when the user connects the
可搬媒体3のコントローラ処理部312は、現在の時刻を時計33から取得し、クライアント状態とクライアント状態格納時間とインデックスをコントローラテーブル32から読み出して、現在の時刻とクライアント状態格納時間との差分である経過時間を計算し、その経過時間とクライアント状態とインデックスをサーバ2に渡す(S7)。
The controller processing unit 312 of the
ポリシー決定部21は、クライアント状態格納時間の経過時間が、所定値を超えている場合、この可搬媒体3の使用を不可と判断し、所定値を超えていない場合、この可搬媒体3の使用を許可と判断し、この結果をインデックスと共にコントローラ処理部312に渡す(S8)。
If the elapsed time of the client state storage time exceeds a predetermined value, the policy determination unit 21 determines that the
コントローラ処理部312は、渡された、可搬媒体の使用許可の結果を、コントローラテーブル32の対応するインデックスに保存する(S9)。 The controller processing unit 312 stores the passed result of permission to use the portable medium in the corresponding index of the controller table 32 (S9).
ポリシー決定部21は、渡されたクライアント状態を元に各インデックスについてポリシーを計算し(詳細は後述する)、決定したポリシーとコンテンツの暗号に係る鍵Kとインデックスをコントローラ処理部312に渡す(S10)。 The policy determination unit 21 calculates a policy for each index based on the passed client state (details will be described later), and passes the determined policy, the key K and the index related to the content encryption to the controller processing unit 312 (S10). ).
ポリシーの計算を説明する(図5)。ポリシー決定部21は、クライアント状態の「OSは最新のバージョンか」がNoであれば、ポリシーとして接続不許可と決定し(S31,No)、Yesであれば次のステップに進む(S31,yes)。クライアント状態の「パーソナルファイヤウォールは設定されているか」がNoであれば、ポリシーとして接続不許可と決定し(S32,No)、Yesであれば接続許可と決定する(S32,Yes)。なお、接続許可とは、社外にあるクライアント1から社内ネットワークへの接続許可をいう。
Policy calculation will be described (FIG. 5). If the client state “OS is the latest version” is No, the policy determining unit 21 determines that the connection is not permitted as a policy (S31, No), and proceeds to the next step if Yes (S31, yes). ). If “whether personal firewall is set” in the client state is No, it is determined that the connection is not permitted as a policy (S32, No), and if Yes, the connection is permitted (S32, Yes). The connection permission refers to connection permission from the
コントローラ処理部312は、S4で得たリターン値とクライアント状態から鍵RVを生成する。例えば、リターン値が0x10a739bcとし、クライアント状態の「OSは最新のバージョンか」Yesを0x1とし、「パーソナルファイヤウォールは設定されているか」Yesを0x2とすると、クライアント状態の総和は、これらの論理和をとって0x00000003とする。 The controller processing unit 312 generates a key RV from the return value obtained in S4 and the client state. For example, if the return value is 0x10a739bc, the client state "is the latest version of OS" Yes is 0x1, and "is the personal firewall set?" Yes is 0x2, the sum of the client states is the logical sum of these To 0x00000003.
鍵RVは、以下の式で生成する。
鍵RV=(クライアント状態のリターン値)xor(クライアント状態の総和)
そして、渡された鍵Kをこの鍵RVを用いて既存の技術を利用して暗号化し、鍵Erv(K)を生成し、コントローラテーブル32の対応するインデックスに保存する(S11)。
The key RV is generated by the following formula.
Key RV = (Return value of client status) xor (Total of client status)
Then, the passed key K is encrypted using this key RV using an existing technique, a key Erv (K) is generated, and stored in the corresponding index of the controller table 32 (S11).
なお、クライアント状態だけでは鍵RVの強度に問題がある場合は、ダミーの結果を入れておくことも可能である。例えば、ダミー情報として、0x923ab3c0のような結果を入れておけば、上記の鍵RVの推論は困難になる。 If there is a problem with the strength of the key RV in the client state alone, a dummy result can be entered. For example, if a result such as 0x923ab3c0 is entered as dummy information, the above-described inference of the key RV becomes difficult.
また、鍵Erv(K)を生成方法は、クライアント状態を使ったものであれば、他の方法でも良い。 The method for generating the key Erv (K) may be any other method as long as the client state is used.
コントローラ処理部312は、現在の時刻を時計33から取得し、その時間をポリシー格納時間としてポリシーと共に、コントローラテーブル32の対応するインデックスに格納する(S12)(図8)。 The controller processing unit 312 acquires the current time from the clock 33, and stores the time as the policy storage time together with the policy in the corresponding index of the controller table 32 (S12) (FIG. 8).
コントローラ処理部312は、対応するインデックスのクライアント状態を消去する(S13)。このことによって、鍵Erv(K)を生成する種であるクライアント状態は消去され、鍵Erv(K)を生成するためにはクライアント1に戻り、クライアント1しか知らないクライアント状態を、クライアント1が再度収集しないといけないことになる。
The controller processing unit 312 deletes the client state of the corresponding index (S13). As a result, the client state, which is a seed for generating the key Erv (K), is deleted, and the
次に、ユーザがクライアント1に可搬媒体3を繋げると(図4)、クライアント1のポリシー実行部12は、リターン値を渡してポリシーの要求を行う(S14)。
Next, when the user connects the
コントローラ処理部313は、渡されたリターン値からインデックスを特定し、現在の時刻を時計33から取得し、コントローラテーブル32に格納されたポリシー格納時間と比較して、現在の時刻とクライアント状態格納時間との差分である経過時間を計算し、ポリシー実行部12に渡す。更に、コントローラテーブル32に格納されている鍵Erv(K)とポリシーを、ポリシー実行部12に渡す(S15)。 The controller processing unit 313 identifies an index from the returned return value, acquires the current time from the clock 33, compares it with the policy storage time stored in the controller table 32, and compares the current time with the client state storage time. The elapsed time, which is the difference between the two, is calculated and passed to the policy execution unit 12. Further, the key Erv (K) and the policy stored in the controller table 32 are passed to the policy execution unit 12 (S15).
ポリシー実行部12は、渡された経過時間が所定値を超えている場合、この可搬媒体3の使用を不可と判断する。経過時間が所定値を超えていない場合、次のステップに続く(S16)。
If the passed elapsed time exceeds a predetermined value, the policy execution unit 12 determines that the
ポリシー実行部12は、S1で得たクライアント状態とS5で得たリターン値から鍵RVをS9と同じロジックで生成し、この鍵RVを元に既存技術を使って、渡された鍵Erv(K)を復元し鍵Kを得る(S17)。ユーザは、この鍵Kを用いてコンテンツを暗号化できる。 The policy execution unit 12 generates a key RV from the client state obtained in S1 and the return value obtained in S5 with the same logic as in S9, and uses the existing technology based on this key RV to pass the key Erv (K ) And the key K is obtained (S17). The user can encrypt the content using this key K.
ポリシー実行部12は、ポリシーに従った処理をする。即ち、ポリシーが社内ネットワークへの接続許可であれば、クライアント1に社内ネットワークへの接続を許可する(S18)。
The policy execution unit 12 performs processing according to the policy. That is, if the policy is permission to connect to the internal network, the
次に、ポリシー決定モジュール(ポリシー決定部21の実体であるロードモジュール)も可搬媒体に格納した実施形態を説明する。 Next, an embodiment in which a policy determination module (a load module that is the substance of the policy determination unit 21) is also stored in a portable medium will be described.
まず、全体流れとして、ユーザは、会社の管理部門のサーバにこの可搬媒体3を繋げ、ポリシー決定モジュール等を可搬媒体3に得る(図9)。次に、ユーザは、社外のクライアント1にこの可搬媒体3を繋げポリシー認証を経た後に、このクライアントが使用できる(図10、図11)。以下詳述する。
First, as an overall flow, the user connects the
ユーザがサーバ2に可搬媒体3を繋げると(図9)、ポリシー決定部21は、ポリシー決定モジュールと秘密鍵PRIkと鍵提供条件(図12)を可搬媒体3のコントローラ処理部314に渡す(S51)。
When the user connects the
コントローラ処理部314は、ポリシー決定モジュールと鍵提供条件をコントローラテーブル32に格納する(S52)。 The controller processing unit 314 stores the policy determination module and the key provision condition in the controller table 32 (S52).
コントローラ処理部314は、現在の時刻を時計33から取得し、その時間をポリシー決定モジュール格納時間としてコントローラテーブル32に格納する(S53)。 The controller processing unit 314 acquires the current time from the clock 33 and stores the time in the controller table 32 as the policy determination module storage time (S53).
コントローラ処理部314は、任意のランダム値RVを算出して(S54)、既存の技術を利用して秘密鍵PRIkをランダム値RVで暗号化して、鍵Erv(PRIk)を生成し、鍵Erv(PRIk)とランダム値RVをコントローラテーブル32に格納する(S55)。 The controller processing unit 314 calculates an arbitrary random value RV (S54), encrypts the secret key PRIk with the random value RV using an existing technique, generates a key Erv (PRIk), and generates a key Erv ( PRIk) and the random value RV are stored in the controller table 32 (S55).
ユーザがクライアント1に可搬媒体3を繋げると(図10)、クライアント1の状態収集部11は、パソコン内のファイルやソフトウェアから収集してクライアント状態を得て、可搬媒体3のコントローラ処理部315に渡す(S56)。
When the user connects the
コントローラ処理部315は、渡されたクライアント状態をコントローラテーブル32に格納する(S57)。 The controller processing unit 315 stores the passed client state in the controller table 32 (S57).
コントローラ処理部315は、現在の時刻を時計33から取得し、コントローラテーブル32に格納されたポリシー決定モジュール格納時間と比較して、現在の時刻とポリシー決定モジュール格納時間との差分である経過時間が所定値を超えている場合、この可搬媒体3の使用を不可と判断する。経過時間が所定値を超えていない場合、次のステップに続く(S58)。
The controller processing unit 315 obtains the current time from the clock 33 and compares the policy determination module storage time stored in the controller table 32 with the elapsed time that is the difference between the current time and the policy determination module storage time. If it exceeds the predetermined value, it is determined that the
コントローラ処理部315は、クライアント状態が鍵提供条件に合致するか判断し、一致しない場合、以後の処理を中止し、合致する場合、鍵をこのクライアント1に提供しても良いと判断し、次のステップに進む(S59)。
The controller processing unit 315 determines whether or not the client status matches the key provision condition. If the client status does not match, the controller processing unit 315 cancels the subsequent processing, and if the client status matches, determines that the key may be provided to the
コントローラ処理部315は、既存の技術を利用してランダム値RVで鍵Erv(PRIk)を復号して秘密鍵PRIkを得、ランダム値RVをクライアント1に送る(S60)。 The controller processing unit 315 obtains the secret key PRIk by decrypting the key Erv (PRIk) with the random value RV using the existing technology, and sends the random value RV to the client 1 (S60).
状態収集部11は、ポリシー決定モジュールのロードを要求する。その際にランダム値RVと共に要求する(S61)。 The state collection unit 11 requests loading of the policy determination module. At that time, the request is made together with the random value RV (S61).
コントローラ処理部315は、ランダム値RVが一致する場合、既存の技術を利用してランダム値RVでポリシー決定モジュールを暗号化してクライアント1に渡す(S62)。 When the random value RV matches, the controller processing unit 315 encrypts the policy determination module with the random value RV using the existing technology and passes it to the client 1 (S62).
状態収集部11は、既存の技術を利用してランダム値RVで暗号化されたポリシー決定モジュールを復号し(S63)、復号されたポリシー決定モジュール実行する。即ち、ポリシー決定モジュールをポリシー実行部19として起動する(S64)。 The state collection unit 11 decrypts the policy determination module encrypted with the random value RV using the existing technology (S63), and executes the decrypted policy determination module. That is, the policy determination module is activated as the policy execution unit 19 (S64).
ポリシー決定部19は、コントローラテーブル32に格納されているクライアント状態とランダム値を読み込み、クライアント状態に基づいてポリシーを計算し、そのポリシーとランダム値RVをポリシー実行部12に渡す(S65)(図11)。 The policy determination unit 19 reads the client state and random value stored in the controller table 32, calculates a policy based on the client state, and passes the policy and random value RV to the policy execution unit 12 (S65) (FIG. 11).
ポリシー実行部12は、ポリシーに従った処理をする。即ち、渡されたポリシーが社内ネットワークへの接続許可であれば、クライアント1に社内ネットワークへの接続を許可する(S66)。
The policy execution unit 12 performs processing according to the policy. That is, if the passed policy is permission to connect to the internal network, the
ポリシー実行部12は、秘密鍵PRIkの取得を要求する。その際にランダム値RVと共に要求する(S67)。 The policy execution unit 12 requests acquisition of the secret key PRIk. At that time, the request is made together with the random value RV (S67).
コントローラ処理部315は、ランダム値RVが一致する場合、秘密鍵PRIkをポリシー実行部12に渡す(S68)。 If the random values RV match, the controller processing unit 315 passes the secret key PRIk to the policy execution unit 12 (S68).
(付記1)ポリシー実行部を有するクライアントと、ポリシー決定部を有するサーバと、コントローラ部と記憶部を有する可搬媒体と、からなる可搬媒体を介したポリシー決定システムにおいて、
前記クライアントに前記可搬媒体が繋がれた時に、
前記コントローラ部が、前記クライアントの状態を表すクライアント状態を前記記憶部に格納した時間を表すクライアント状態格納時間を前記記憶部に記憶し、
前記サーバに前記可搬媒体が繋がれた時に、
前記コントローラ部が、現在の時間と前記クライアント状態格納時間との差を表す経過時間を算出し、
前記ポリシー決定部が、前記経過時間が所定値を超えている場合、前記可搬媒体の使用を不可と判断し、前記クライアント状態からポリシーを決定し、
前記コントローラ部が、前記ポリシーを前記記憶部に記憶し、前記ポリシーを前記記憶部に記憶した時間を表すポリシー格納時間を前記記憶部に記憶し、前記クライアント状態を前記記憶部から消去し、
前記クライアントに前記可搬媒体が再度繋がれた時に、
前記コントローラ部が、現在の時間と前記ポリシー格納時間との差を表す経過時間2を算出し、
前記ポリシー実行部が、前記経過時間2が所定値を超えている場合、前記可搬媒体の使用を不可と判断し、該経過時間2が所定値を超えていない場合、前記ポリシーに従った処理をする、
ことを特徴とする可搬媒体を介したポリシー決定システム。
(付記2)前記サーバに前記可搬媒体が繋がれた時に、
前記コントローラ部が、前記ポリシー決定部が有する鍵1と前記クライアント状態とから鍵2を生成し、
前記クライアントに前記可搬媒体が再度繋がれた時に、
前記ポリシー実行部が、前記鍵2を前記クライアント状態から鍵1を復元する、
ことを特徴とする付記1記載の可搬媒体を介したポリシー決定システム。
(付記3)ポリシー実行部を有するクライアントと、ポリシー決定部を有するサーバと、コントローラ部と記憶部を有する可搬媒体と、からなる可搬媒体を介したポリシー決定システムにおいて、
前記サーバに前記可搬媒体が繋がれた時に、
前記コントローラ部が、ポリシー決定モジュールと鍵3と鍵提供条件を前記記憶部に記憶し、該ポリシー決定モジュールを前記記憶部に記憶した時間を表すポリシー決定モジュール格納時間を前記記憶部に記憶し、
前記クライアントに前記可搬媒体が繋がれたときに、
前記コントローラ部が、現在の時間と前記ポリシー決定モジュール格納時間との差を表す経過時間3を算出し、該経過時間3が所定値を超えている場合、前記可搬媒体の使用を不可と判断し、所定値を超えていない場合、前記クライアントの状態を表すクライアント状態が前記鍵提供条件に合致する場合、前記ポリシー決定モジュールを前記クライアントに渡し、
前記クライアントが、前記ポリシー決定モジュールを前記ポリシー決定部として起動し、
前記ポリシー決定部が、前記記憶部から読み出した前記クライアント状態からポリシーを計算してポリシー結果を得、
前記ポリシー実行部が、前記ポリシーに従った処理をする、
ことを特徴とする可搬媒体を介したポリシー決定システム。
(付記4)前記サーバに前記可搬媒体が繋がれた時に、
前記コントローラ部が、ランダム値を前記記憶部に記憶し、該ランダム値と前記鍵3から鍵4を生成し、
前記クライアントに前記可搬媒体が繋がれたときに、
前記コントローラ部が、前記経過時間3が所定値を超えていない場合、かつ、前記クライアント状態が前記鍵提供条件に合致する場合、前記ランダム値から前記鍵4を復号して前記鍵3を得、前記ランダム値を前記クライアントに渡し、該ランダム値で暗号化したポリシー決定モジュールを前記クライアントに渡し、
前記クライアントが、前記ランダム値から前記暗号化されたポリシー決定モジュールを復号し、復号されたポリシー決定モジュールをポリシー決定部として起動し、
前記コントローラ部が、前記鍵3を前記ポリシー実行部に渡す、
ことを特徴とする付記3記載の可搬媒体を介したポリシー決定システム。
(付記5)前記鍵提供条件は、OSのバージョン、かつ/または、ファイヤウォールの設定の有無であることを特徴とする付記3または4に記載の可搬媒体を介したポリシー決定システム。
(付記6)前記クライアント状態は、OSのバージョン、かつ/または、ファイヤウォールの設定の有無であることを特徴とする付記1ないし5に記載の可搬媒体を介したポリシー決定システム。
(付記7)ポリシー実行部を有するクライアントと、ポリシー決定部を有するサーバと、コントローラ部と記憶部を有する可搬媒体と、からなる可搬媒体を介したポリシー決定システムにおける、可搬媒体を介したポリシー決定方法において、
前記クライアントに前記可搬媒体が繋がれた時に、
前記コントローラ部が、前記クライアントの状態を表すクライアント状態を前記記憶部に格納した時間を表すクライアント状態格納時間を前記記憶部に記憶し、
前記サーバに前記可搬媒体が繋がれた時に、
前記コントローラ部が、現在の時間と前記クライアント状態格納時間との差を表す経過時間を算出し、
前記ポリシー決定部が、前記経過時間が所定値を超えている場合、前記可搬媒体の使用を不可と判断し、前記クライアント状態からポリシーを決定し、
前記コントローラ部が、前記ポリシーを前記記憶部に記憶し、前記ポリシーを前記記憶部に記憶した時間を表すポリシー格納時間を前記記憶部に記憶し、前記クライアント状態を前記記憶部から消去し、
前記クライアントに前記可搬媒体が再度繋がれた時に、
前記コントローラ部が、現在の時間と前記ポリシー格納時間との差を表す経過時間2を算出し、
前記ポリシー実行部が、前記経過時間2が所定値を超えている場合、前記可搬媒体の使用を不可と判断し、該経過時間2が所定値を超えていない場合、前記ポリシーに従った処理をする、
ことを特徴とする可搬媒体を介したポリシー決定方法。
(付記8)前記サーバに前記可搬媒体が繋がれた時に、
前記コントローラ部が、前記ポリシー決定部が有する鍵1と前記クライアント状態とから鍵2を生成し、
前記クライアントに前記可搬媒体が再度繋がれた時に、
前記ポリシー実行部が、前記鍵2を前記クライアント状態から鍵1を復元する、
ことを特徴とする付記7記載の可搬媒体を介したポリシー決定方法。
(付記9)ポリシー実行部を有するクライアントと、ポリシー決定部を有するサーバと、コントローラ部と記憶部を有する可搬媒体と、からなる可搬媒体を介したポリシー決定システムにおける、可搬媒体を介したポリシー決定方法において、
前記サーバに前記可搬媒体が繋がれた時に、
前記コントローラ部が、ポリシー決定モジュールと鍵3と鍵提供条件を前記記憶部に記憶し、該ポリシー決定モジュールを前記記憶部に記憶した時間を表すポリシー決定モジュール格納時間を前記記憶部に記憶し、
前記クライアントに前記可搬媒体が繋がれたときに、
前記コントローラ部が、現在の時間と前記ポリシー決定モジュール格納時間との差を表す経過時間3を算出し、該経過時間3が所定値を超えている場合、前記可搬媒体の使用を不可と判断し、所定値を超えていない場合、前記クライアントの状態を表すクライアント状態が前記鍵提供条件に合致する場合、前記ポリシー決定モジュールを前記クライアントに渡し、
前記クライアントが、前記ポリシー決定モジュールを前記ポリシー決定部として起動し、
前記ポリシー決定部が、前記記憶部から読み出した前記クライアント状態からポリシーを計算してポリシー結果を得、
前記ポリシー実行部が、前記ポリシーに従った処理をする、
ことを特徴とする可搬媒体を介したポリシー決定方法。
(付記10)前記サーバに前記可搬媒体が繋がれた時に、
前記コントローラ部が、ランダム値を前記記憶部に記憶し、該ランダム値と前記鍵3から鍵4を生成し、
前記クライアントに前記可搬媒体が繋がれたときに、
前記コントローラ部が、前記経過時間3が所定値を超えていない場合、かつ、前記クライアント状態が前記鍵提供条件に合致する場合、前記ランダム値から前記鍵4を復号して前記鍵3を得、前記ランダム値を前記クライアントに渡し、該ランダム値で暗号化したポリシー決定モジュールを前記クライアントに渡し、
前記クライアントが、前記ランダム値から前記暗号化されたポリシー決定モジュールを復号し、復号されたポリシー決定モジュールをポリシー決定部として起動し、
前記コントローラ部が、前記鍵3を前記ポリシー実行部に渡す、
ことを特徴とする付記9記載の可搬媒体を介したポリシー決定方法。
(付記11)前記鍵提供条件は、OSのバージョン、かつ/または、ファイヤウォールの設定の有無であることを特徴とする付記9または10に記載の可搬媒体を介したポリシー決定方法。
(付記12)前記クライアント状態は、OSのバージョン、かつ/または、ファイヤウォールの設定の有無であることを特徴とする付記7ないし11に記載の可搬媒体を介したポリシー決定方法。
(Additional remark 1) In the policy determination system via the portable medium which consists of the client which has a policy execution part, the server which has a policy determination part, and the portable medium which has a controller part and a memory | storage part,
When the portable medium is connected to the client,
The controller unit stores in the storage unit a client state storage time representing a time when the client state representing the client state is stored in the storage unit;
When the portable medium is connected to the server,
The controller unit calculates an elapsed time representing a difference between a current time and the client state storage time;
If the elapsed time exceeds a predetermined value, the policy determination unit determines that the portable medium cannot be used, determines a policy from the client state,
The controller unit stores the policy in the storage unit, stores in the storage unit a policy storage time indicating a time when the policy is stored in the storage unit, and erases the client state from the storage unit;
When the portable medium is reconnected to the client,
The controller unit calculates an elapsed
When the elapsed
A policy decision system via a portable medium.
(Appendix 2) When the portable medium is connected to the server,
The controller unit generates a key 2 from the
When the portable medium is reconnected to the client,
The policy execution unit restores the key 1 from the client state to the
The policy decision system via the portable medium according to
(Additional remark 3) In the policy determination system via the portable medium which consists of the client which has a policy execution part, the server which has a policy determination part, and the portable medium which has a controller part and a memory | storage part,
When the portable medium is connected to the server,
The controller unit stores the policy determination module, the
When the portable medium is connected to the client,
The controller unit calculates an elapsed
The client activates the policy determination module as the policy determination unit,
The policy determination unit calculates a policy from the client state read from the storage unit to obtain a policy result,
The policy execution unit performs processing according to the policy;
A policy decision system via a portable medium.
(Appendix 4) When the portable medium is connected to the server,
The controller unit stores a random value in the storage unit, generates a key 4 from the random value and the
When the portable medium is connected to the client,
The controller unit obtains the key 3 by decrypting the key 4 from the random value when the elapsed
The client decrypts the encrypted policy determination module from the random value, activates the decrypted policy determination module as a policy determination unit,
The controller unit passes the key 3 to the policy execution unit.
The policy decision system via the portable medium according to
(Supplementary Note 5) The policy determination system via a portable medium according to
(Supplementary note 6) The policy determination system via a portable medium according to
(Supplementary Note 7) Through a portable medium in a policy determination system via a portable medium including a client having a policy execution unit, a server having a policy determination unit, and a portable medium having a controller unit and a storage unit In the policy decision method
When the portable medium is connected to the client,
The controller unit stores in the storage unit a client state storage time representing a time when the client state representing the client state is stored in the storage unit;
When the portable medium is connected to the server,
The controller unit calculates an elapsed time representing a difference between a current time and the client state storage time;
If the elapsed time exceeds a predetermined value, the policy determination unit determines that the portable medium cannot be used, determines a policy from the client state,
The controller unit stores the policy in the storage unit, stores in the storage unit a policy storage time indicating a time when the policy is stored in the storage unit, and erases the client state from the storage unit;
When the portable medium is reconnected to the client,
The controller unit calculates an elapsed
When the elapsed
A method for determining a policy via a portable medium.
(Appendix 8) When the portable medium is connected to the server,
The controller unit generates a key 2 from the
When the portable medium is reconnected to the client,
The policy execution unit restores the key 1 from the client state to the
The method for determining a policy via a portable medium according to appendix 7, wherein:
(Supplementary Note 9) Through a portable medium in a policy determination system via a portable medium including a client having a policy execution unit, a server having a policy determination unit, and a portable medium having a controller unit and a storage unit In the policy decision method
When the portable medium is connected to the server,
The controller unit stores the policy determination module, the
When the portable medium is connected to the client,
The controller unit calculates an elapsed
The client activates the policy determination module as the policy determination unit,
The policy determination unit calculates a policy from the client state read from the storage unit to obtain a policy result,
The policy execution unit performs processing according to the policy;
A method for determining a policy via a portable medium.
(Supplementary Note 10) When the portable medium is connected to the server,
The controller unit stores a random value in the storage unit, generates a key 4 from the random value and the
When the portable medium is connected to the client,
The controller unit obtains the key 3 by decrypting the key 4 from the random value when the elapsed
The client decrypts the encrypted policy determination module from the random value, activates the decrypted policy determination module as a policy determination unit,
The controller unit passes the key 3 to the policy execution unit.
The method for determining a policy via a portable medium according to appendix 9, wherein
(Supplementary note 11) The policy determination method via a portable medium according to Supplementary note 9 or 10, wherein the key providing condition is OS version and / or presence / absence of firewall setting.
(Supplementary note 12) The policy determination method via a portable medium according to any one of Supplementary notes 7 to 11, wherein the client state is an OS version and / or presence / absence of a firewall setting.
1 クライアント
2 サーバ
3 可搬媒体
11 状態収集部
12 ポリシー実行部
13 可搬媒体インタフェース
21 ポリシー決定部
22 可搬媒体インタフェース
31 コントローラ
32 コントローラテーブル
33 時計
DESCRIPTION OF
Claims (6)
前記クライアントに前記可搬媒体が繋がれた時に、
前記コントローラ部が、前記クライアントの状態を表すクライアント状態を前記記憶部に格納した時間を表すクライアント状態格納時間を前記記憶部に記憶し、
前記サーバに前記可搬媒体が繋がれた時に、
前記コントローラ部が、現在の時間と前記クライアント状態格納時間との差を表す経過時間を算出し、
前記ポリシー決定部が、前記経過時間が所定値を超えている場合、前記可搬媒体の使用を不可と判断し、前記クライアント状態からポリシーを決定し、
前記コントローラ部が、前記ポリシーを前記記憶部に記憶し、前記ポリシーを前記記憶部に記憶した時間を表すポリシー格納時間を前記記憶部に記憶し、前記クライアント状態を前記記憶部から消去し、
前記クライアントに前記可搬媒体が再度繋がれた時に、
前記コントローラ部が、現在の時間と前記ポリシー格納時間との差を表す経過時間2を算出し、
前記ポリシー実行部が、前記経過時間2が所定値を超えている場合、前記可搬媒体の使用を不可と判断し、該経過時間2が所定値を超えていない場合、前記ポリシーに従った処理をする、
ことを特徴とする可搬媒体を介したポリシー決定システム。 In a policy determination system via a portable medium comprising a client having a policy execution unit, a server having a policy determination unit, a portable medium having a controller unit and a storage unit,
When the portable medium is connected to the client,
The controller unit stores in the storage unit a client state storage time representing a time when the client state representing the client state is stored in the storage unit;
When the portable medium is connected to the server,
The controller unit calculates an elapsed time representing a difference between a current time and the client state storage time;
If the elapsed time exceeds a predetermined value, the policy determination unit determines that the portable medium cannot be used, determines a policy from the client state,
The controller unit stores the policy in the storage unit, stores in the storage unit a policy storage time indicating a time when the policy is stored in the storage unit, and erases the client state from the storage unit;
When the portable medium is reconnected to the client,
The controller unit calculates an elapsed time 2 representing a difference between a current time and the policy storage time;
When the elapsed time 2 exceeds a predetermined value, the policy execution unit determines that the portable medium cannot be used, and when the elapsed time 2 does not exceed the predetermined value, processing according to the policy do,
A policy decision system via a portable medium.
前記コントローラ部が、前記ポリシー決定部が有する鍵1と前記クライアント状態とから鍵2を生成し、
前記クライアントに前記可搬媒体が再度繋がれた時に、
前記ポリシー実行部が、前記鍵2を前記クライアント状態から鍵1を復元する、
ことを特徴とする請求項1記載の可搬媒体を介したポリシー決定システム。 When the portable medium is connected to the server,
The controller unit generates a key 2 from the key 1 and the client state that the policy determination unit has,
When the portable medium is reconnected to the client,
The policy execution unit restores the key 1 from the client state to the key 2;
The policy decision system via a portable medium according to claim 1.
前記サーバに前記可搬媒体が繋がれた時に、
前記コントローラ部が、ポリシー決定モジュールと鍵3と鍵提供条件を前記記憶部に記憶し、該ポリシー決定モジュールを前記記憶部に記憶した時間を表すポリシー決定モジュール格納時間を前記記憶部に記憶し、
前記クライアントに前記可搬媒体が繋がれたときに、
前記コントローラ部が、現在の時間と前記ポリシー決定モジュール格納時間との差を表す経過時間3を算出し、該経過時間3が所定値を超えている場合、前記可搬媒体の使用を不可と判断し、所定値を超えていない場合、前記クライアントの状態を表すクライアント状態が前記鍵提供条件に合致する場合、前記ポリシー決定モジュールを前記クライアントに渡し、
前記クライアントが、前記ポリシー決定モジュールを前記ポリシー決定部として起動し、
前記ポリシー決定部が、前記記憶部から読み出した前記クライアント状態からポリシーを計算してポリシー結果を得、
前記ポリシー実行部が、前記ポリシーに従った処理をする、
ことを特徴とする可搬媒体を介したポリシー決定システム。 In a policy determination system via a portable medium comprising a client having a policy execution unit, a server having a policy determination unit, a portable medium having a controller unit and a storage unit,
When the portable medium is connected to the server,
The controller unit stores the policy determination module, the key 3 and the key provision condition in the storage unit, and stores in the storage unit a policy determination module storage time representing the time when the policy determination module is stored in the storage unit,
When the portable medium is connected to the client,
The controller unit calculates an elapsed time 3 representing a difference between the current time and the policy determination module storage time, and determines that the portable medium cannot be used when the elapsed time 3 exceeds a predetermined value. If the predetermined value is not exceeded, and the client status representing the client status matches the key provision condition, the policy determination module is passed to the client,
The client activates the policy determination module as the policy determination unit,
The policy determination unit calculates a policy from the client state read from the storage unit to obtain a policy result,
The policy execution unit performs processing according to the policy;
A policy decision system via a portable medium.
前記コントローラ部が、ランダム値を前記記憶部に記憶し、該ランダム値と前記鍵3から鍵4を生成し、
前記クライアントに前記可搬媒体が繋がれたときに、
前記コントローラ部が、前記経過時間3が所定値を超えていない場合、かつ、前記クライアント状態が前記鍵提供条件に合致する場合、前記ランダム値から前記鍵4を復号して前記鍵3を得、前記ランダム値を前記クライアントに渡し、該ランダム値で暗号化したポリシー決定モジュールを前記クライアントに渡し、
前記クライアントが、前記ランダム値から前記暗号化されたポリシー決定モジュールを復号し、復号されたポリシー決定モジュールをポリシー決定部として起動し、
前記コントローラ部が、前記鍵3を前記ポリシー実行部に渡す、
ことを特徴とする請求項3記載の可搬媒体を介したポリシー決定システム。 When the portable medium is connected to the server,
The controller unit stores a random value in the storage unit, generates a key 4 from the random value and the key 3,
When the portable medium is connected to the client,
The controller unit obtains the key 3 by decrypting the key 4 from the random value when the elapsed time 3 does not exceed a predetermined value and the client state matches the key providing condition, Passing the random value to the client, passing the policy decision module encrypted with the random value to the client,
The client decrypts the encrypted policy determination module from the random value, activates the decrypted policy determination module as a policy determination unit,
The controller unit passes the key 3 to the policy execution unit.
The policy determination system via a portable medium according to claim 3.
前記クライアントに前記可搬媒体が繋がれた時に、
前記コントローラ部が、前記クライアントの状態を表すクライアント状態を前記記憶部に格納した時間を表すクライアント状態格納時間を前記記憶部に記憶し、
前記サーバに前記可搬媒体が繋がれた時に、
前記コントローラ部が、現在の時間と前記クライアント状態格納時間との差を表す経過時間を算出し、
前記ポリシー決定部が、前記経過時間が所定値を超えている場合、前記可搬媒体の使用を不可と判断し、前記クライアント状態からポリシーを決定し、
前記コントローラ部が、前記ポリシーを前記記憶部に記憶し、前記ポリシーを前記記憶部に記憶した時間を表すポリシー格納時間を前記記憶部に記憶し、前記クライアント状態を前記記憶部から消去し、
前記クライアントに前記可搬媒体が再度繋がれた時に、
前記コントローラ部が、現在の時間と前記ポリシー格納時間との差を表す経過時間2を算出し、
前記ポリシー実行部が、前記経過時間2が所定値を超えている場合、前記可搬媒体の使用を不可と判断し、該経過時間2が所定値を超えていない場合、前記ポリシーに従った処理をする、
ことを特徴とする可搬媒体を介したポリシー決定方法。 Policy decision method via portable medium in policy decision system via portable medium comprising client having policy execution unit, server having policy decision unit, portable medium having controller unit and storage unit In
When the portable medium is connected to the client,
The controller unit stores in the storage unit a client state storage time representing a time when the client state representing the client state is stored in the storage unit;
When the portable medium is connected to the server,
The controller unit calculates an elapsed time representing a difference between a current time and the client state storage time;
If the elapsed time exceeds a predetermined value, the policy determination unit determines that the portable medium cannot be used, determines a policy from the client state,
The controller unit stores the policy in the storage unit, stores in the storage unit a policy storage time indicating a time when the policy is stored in the storage unit, and erases the client state from the storage unit;
When the portable medium is reconnected to the client,
The controller unit calculates an elapsed time 2 representing a difference between a current time and the policy storage time;
When the elapsed time 2 exceeds a predetermined value, the policy execution unit determines that the portable medium cannot be used, and when the elapsed time 2 does not exceed the predetermined value, processing according to the policy do,
A method for determining a policy via a portable medium.
前記サーバに前記可搬媒体が繋がれた時に、
前記コントローラ部が、ポリシー決定モジュールと鍵3と鍵提供条件を前記記憶部に記憶し、該ポリシー決定モジュールを前記記憶部に記憶した時間を表すポリシー決定モジュール格納時間を前記記憶部に記憶し、
前記クライアントに前記可搬媒体が繋がれたときに、
前記コントローラ部が、現在の時間と前記ポリシー決定モジュール格納時間との差を表す経過時間3を算出し、該経過時間3が所定値を超えている場合、前記可搬媒体の使用を不可と判断し、所定値を超えていない場合、前記クライアントの状態を表すクライアント状態が前記鍵提供条件に合致する場合、前記ポリシー決定モジュールを前記クライアントに渡し、
前記クライアントが、前記ポリシー決定モジュールを前記ポリシー決定部として起動し、
前記ポリシー決定部が、前記記憶部から読み出した前記クライアント状態からポリシーを計算してポリシー結果を得、
前記ポリシー実行部が、前記ポリシーに従った処理をする、
ことを特徴とする可搬媒体を介したポリシー決定方法。
Policy decision method via portable medium in policy decision system via portable medium comprising client having policy execution unit, server having policy decision unit, portable medium having controller unit and storage unit In
When the portable medium is connected to the server,
The controller unit stores the policy determination module, the key 3 and the key provision condition in the storage unit, and stores in the storage unit a policy determination module storage time representing the time when the policy determination module is stored in the storage unit,
When the portable medium is connected to the client,
The controller unit calculates an elapsed time 3 representing a difference between the current time and the policy determination module storage time, and determines that the portable medium cannot be used when the elapsed time 3 exceeds a predetermined value. If the predetermined value is not exceeded, and the client status representing the client status matches the key provision condition, the policy determination module is passed to the client,
The client activates the policy determination module as the policy determination unit,
The policy determination unit calculates a policy from the client state read from the storage unit to obtain a policy result,
The policy execution unit performs processing according to the policy;
A method for determining a policy via a portable medium.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007039167A JP4858217B2 (en) | 2007-02-20 | 2007-02-20 | Policy determination system and method via portable media |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2007039167A JP4858217B2 (en) | 2007-02-20 | 2007-02-20 | Policy determination system and method via portable media |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2008204143A JP2008204143A (en) | 2008-09-04 |
| JP4858217B2 true JP4858217B2 (en) | 2012-01-18 |
Family
ID=39781592
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2007039167A Expired - Fee Related JP4858217B2 (en) | 2007-02-20 | 2007-02-20 | Policy determination system and method via portable media |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4858217B2 (en) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP5126530B2 (en) * | 2008-09-24 | 2013-01-23 | 大日本印刷株式会社 | External storage device with function to measure computer environment |
Family Cites Families (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2004021923A (en) * | 2002-06-20 | 2004-01-22 | Matsushita Electric Ind Co Ltd | Information processing apparatus and information processing method |
| JP4544956B2 (en) * | 2004-10-06 | 2010-09-15 | 株式会社エヌ・ティ・ティ・データ | Access control system, client terminal device, and program |
| JP2006243791A (en) * | 2005-02-28 | 2006-09-14 | Hitachi Software Eng Co Ltd | System and method for delivering security policy |
-
2007
- 2007-02-20 JP JP2007039167A patent/JP4858217B2/en not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2008204143A (en) | 2008-09-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4680596B2 (en) | Method and system for securely escrowing private keys within public key infrastructure | |
| CN102546764B (en) | Safe access method of cloud storage system | |
| EP3089399B1 (en) | Methods and devices for securing keys for a non-secured, distributed environment with applications to virtualization and cloud-computing security and management | |
| Gobioff et al. | Security for network attached storage devices | |
| KR101522445B1 (en) | Client computer for protecting confidential file, server computer therefor, method therefor, and computer program | |
| US8997198B1 (en) | Techniques for securing a centralized metadata distributed filesystem | |
| US8352735B2 (en) | Method and system for encrypted file access | |
| KR102068580B1 (en) | Method of securing a computing device | |
| US7526451B2 (en) | Method of transferring digital rights | |
| US20070174909A1 (en) | System and method for intelligence based security | |
| US9762548B2 (en) | Controlling encrypted data stored on a remote storage device | |
| US20080235521A1 (en) | Method and encryption tool for securing electronic data storage devices | |
| WO2008121157A2 (en) | Cryptographic key management system facilitating secure access of data portions to corresponding groups of users | |
| TW200821837A (en) | System and method for controlling information supplied from memory device | |
| CA3055282A1 (en) | Utilization of a proxy technique in escrow encryption key usage | |
| CN104601579A (en) | Computer system for ensuring information security and method thereof | |
| JP7354877B2 (en) | Control method, control program and information processing device | |
| US20080077807A1 (en) | Computer Hard Disk Security | |
| JP2010517448A (en) | Secure file encryption | |
| CN104580487A (en) | Mass data storage system and processing method | |
| US20120096280A1 (en) | Secured storage device with two-stage symmetric-key algorithm | |
| CN110268406A (en) | password security | |
| JP4857284B2 (en) | Control structure generation system for multi-purpose content control | |
| JP2008524758A5 (en) | ||
| CN113946850B (en) | A method, apparatus, electronic and storage medium for using a key |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20091110 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20110929 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20111004 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20111017 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20141111 Year of fee payment: 3 |
|
| LAPS | Cancellation because of no payment of annual fees |