机密信息泄露防止系统、机密信息泄露防止方法及机密信息泄露防止程序

摘要

提供了一种机密信息泄露防止系统，其中，客户端(100)和服务器(200)能够经由网络彼此进行通信。客户端(100)包括：网络访问控制单元(106)，用于基于向该应用程序分配的安全级别来控制从应用程序向服务器(200)发送的网络访问请求；以及第一认证单元(107)，用于执行服务器(200)与客户端(100)之间的认证处理，已认证是否安装了网络访问控制单元(106)。服务器(200)包括：第二认证单元(202)，用于执行服务器(200)与客户端(100)之间的认证处理，以及当认证处理成功时，许可从客户端发送的网络访问请求。

说明书

技术领域

本发明涉及一种用于防止机密信息泄露的技术，以及更具体地， 涉及一种用于使用多级别安全机制防止机密信息泄露的技术。

背景技术

多级别安全系统(MLS)是已知的，其将载明安全级别的标签分 配给访问主体和目标，并基于所分配标签控制对访问目标的访问。这 种多级别安全系统向应用程序分配例如表示“公共”或“机密”的标 签，从而控制从应用程序至文件夹等的访问。在专利文档1和专利文档 2中描述了将这种多级别安全系统应用于网络系统的技术。

专利文档1(专利公开JP-A-2004-220120)公开了一种网络系统， 其中，当将示出了机密级别的标签分配给客户端终端中的文件且客户端 终端向外发送带标签文件时，网关服务器上的发送管理程序检查文件的 标签，以及当机密级别是非机密时，向组织外部的网络发送文件。

专利文档2(专利公开JP-A-2000-174807)公开了一种配置，其 中，计算机系统包括操作系统内核，用于支持多级别访问控制安全机制 创建对象访问分组。

[专利文档1]专利公开JP-A-2003-173284

[专利文档2]专利公开JP-A-2000-174807

当通过应用在前述专利文档1和专利文档2中描述的配置来引入多 级别安全系统时，因为在客户端终端中，再度需要用于将标签分配给IP 分组的配置，所以存在如下问题：有必要修改现有系统中的操作系统、 程序提供网络服务等。

发明内容

因此，本发明的目的在于，提供一种方案，用于提供网络兼容的 多级别安全系统，而不用必须修改现有系统的操作系统等。

本发明是一种机密信息泄露防止系统，其中，客户端和服务器被 配置为能够经由网络彼此进行通信。客户端包括网络访问控制单元， 用于基于向应用程序分配的安全级别来控制从应用程序向服务器发送 的网络访问请求；以及第一认证单元，用于与服务器执行认证处理， 认证处理用于认证已安装了网络访问控制单元。服务器包括第二认证 单元，用于与客户端执行所述认证处理，以及当所述认证处理成功时， 许可从客户端发送的网络访问请求。

此外，本发明是一种机密信息泄露防止系统中的机密信息泄露防 止方法，其中，客户端和服务器被配置为能够经由网络彼此进行通信。 客户端执行以下步骤：控制步骤，基于向应用程序分配的安全级别来 控制从应用程序向服务器发送的网络访问请求；以及第一认证步骤， 与服务器执行认证处理，所述认证处理用于认证已安装了用于执行控 制步骤的网络访问控制程序。服务器执行以下步骤：第二认证步骤， 与客户端执行所述认证处理，以及许可步骤，当所述认证处理成功时， 许可从客户端发送的网络访问请求。

此外，本发明是一种程序，使得被配置为能够经由网络与服务器 进行通信的客户端执行以下步骤，所述步骤包括：控制步骤，基于向 应用程序分配的安全级别来控制从应用程序向服务器发送的网络访问 请求；以及第一认证步骤，与服务器执行认证处理，所述认证处理用 于认证已安装了用于执行控制步骤的网络访问控制程序。以及所述程 序使得服务器执行以下步骤：第二认证步骤，与客户端执行所述认证 处理，以及许可步骤，当所述认证处理成功时，许可从客户端发送的 网络访问请求。此外，本发明也是一种存储前述程序的计算机可读存 储介质。可以通过诸如CD-ROM或其它光盘、磁盘或半导体存储器之类 的各种记录介质将本发明的程序安装或加载到计算机中，或者经由通 信网络等将本发明的程序下载到计算机中。

应注意，本说明书中所使用的术语“单元”等并非只涉及物理单 元，还包括如下情形：由软件实现这种单元的功能。此外，可以通过 两个或更多个物理单元实现一个单元的功能，以及可以通过一个物理 单元实现两个或更多个单元的功能。

根据本发明，能够提供一种网络兼容的多级别安全系统，而不用 必须修改现有系统的操作系统等。

附图说明

图1是示出了根据第一实施例的机密信息泄露防止系统的示意性 配置的图。

图2是示出了根据第一实施例的机密信息泄露防止系统的硬件配 置的示例的图。

图3是示出了标签分配列表的示例的图。

图4是示出了服务器信息存储单元的数据结构的示例的图。

图5是示出了访问控制规则存储单元的数据结构的示例的图。

图6是示出了装配网络监视单元的示例的图。

图7是示出了需要认证的服务器列表的数据结构的示例的图。

图8是示出了已认证客户端列表的示例的图。

图9是示出了机密信息泄露防止处理的流程的示例的流程图。

图10是示出了认证处理的流程的示例的流程图。

图11是示出了根据第二实施例的机密信息泄露防止系统的示意 性配置的图。

具体实施方式

现在参考附图说明本发明的实施例。应注意，给予相同元件相同 参考数字，并省略相同元件的冗余说明。

[系统配置]

图1是示出了客户端/服务器系统的示意性配置的框图，其中所述 客户端/服务器系统应用根据本实施例的机密信息泄露防止系统。该系 统包括客户端100和服务器200，以及客户端100和服务器200经由网络 N互连。

对于客户端100，可以应用通用计算机，如图2所示，通用计算机 包括如下硬件：作为用于控制客户端100的处理和操作的控制单元的 CPU 10、诸如ROM 11或RAM 12之类的存储器、用于存储各种信息的 外部存储装置(HDD)13、通信接口14、输入接口15、诸如显示器之 类的输出接口16、和用于连接前述部件的总线。ROM 11、RAM 12或 外部存储装置13有时也简称为存储装置。由于CPU 10执行在存储器或 外部存储装置13中存储的预定程序，所以客户端100可以用作稍后描述 的各种功能实现单元，比如标签分配单元102、网络访问控制单元106 和认证单元107。应注意，尽管图1示出了一个客户端100，但是多个客 户端100可以与服务器200相连，并可以根据设计适当地设置客户端100 的数目。此外，尽管图1示出了一个服务器200，但是多个服务器200 可以与客户端100相连，并可以根据设计适当地设置服务器200的数目。

客户端100包括通信单元101、标签分配单元102、应用程序103(公 共应用程序103a，机密应用程序103b)、服务器信息存储单元104、访 问控制规则存储单元105、网络访问控制单元106和认证单元107。

通信单元101被配置为经由网络N与服务器200和未示出的其它设 备进行通信，并输入/输出信息，以及通信单元101也称作通信部件。 例如，通信单元101包括现有通信模块，比如网络接口卡(NIC)或 TCP/IP驱动器。

标签分配单元102被配置为能够向应用程序103分配示出了安全 级别的信息(在下文中，称作“标签”)，以及标签分配单元102也称作 作标签分配部件。此外，标签分配单元102被配置为能够在预定存储区 域中存储列表(标签分配列表)，其中所述列表将应用程序103与向该 应用程序103分配的标签相关联。对于标签，例如，可以分配两种标签， 低安全的“公共”和高安全的“机密”，但是标签的内容不限于此，且 可以根据设计进行适当设置。图3示出了标签分配列表的数据结构的示 例，以及存储了用于唯一标识应用程序的进程ID(进程号)、应用程 序名称与向应用程序分配的标签之间的对应性。

此外，当标签分配单元102从网络访问控制单元106接收到与向预 定应用程序分配的标签相关的查询时，标签分配单元102被配置为能够 从标签分配列表读取向该应用程序分配的标签，且告知标签。此外， 在阻止客户端100中的信息从机密应用程序103b分发至公共应用程序 103a时，也可以使用由标签分配单元102分配的标签。

应用程序103(公共应用程序103a和机密应用程序103b)是存储在 外部存储装置13等中的应用程序软件，并通过CPU 10执行应用程序软 件来向用户提供预定功能。对于应用程序103，不存在特殊限制，而是 例如可以应用包括编辑器(具有编制文档功能)或浏览器(具有信息 读取功能)的现有软件，以及在该实施例中，根据标签内容区分应用 程序103。在该实施例中，例如，将应用程序103区分为应用程序(公 共应用程序103a)和应用程序(机密应用程序)103b，其中，向公共 应用程序103a分配了公共标签，向机密应用程序103b分配了机密标签。

服务器信息存储单元104是存储装置，其将应用程序103的访问目 标与和分配给访问目标的标签相关的服务器信息(也称为访问目标管 理信息)相关联，并进行存储，以及服务器信息存储单元104包括作为 数据库的功能，并且服务器信息存储单元104也称作服务器信息存储部 件。当服务器信息存储单元104从网络访问控制单元106接收预定请求 (包括用于指定访问目标的信息)时，服务器信息存储单元104被配置 为从服务器信息搜索向该访问目标分配的标签，并向网络访问控制单 元106告知搜索结果。此外，对于向访问目标分配的标签而言，可以分 配两种标签“公共”和“机密”，但是并非限于此，可以根据设计适当 地设置其它标签。

图4示出了服务器信息存储单元104的数据结构的示例。如该图所 示，服务器信息存储单元104存储服务器/文件夹信息，以及当访问目 标是服务器A的机密文件夹(服务器A/秘密文件夹)时，将“机密” 分配给标签，当访问目标是服务器A的公共文件夹(服务器A/公共文 件夹B)时，将“公共”分配给标签。应注意，服务器信息存储单元 104的数据结构不限于此，例如，可以使用IP地址代替服务器名称，作 为能够唯一标识服务器的信息。此外，当安全级别是“机密”和“公 共”两个级别时，能够仅指定机密文件夹，而认为所有其它文件夹是 公共文件夹。

访问控制规则存储单元105是存储装置，存储用于限制应用程序 103对访问目标进行访问的信息(访问控制规则)，以及访问控制规则 存储单元105也称作访问控制规则存储部件。尽管对于访问控制规则存 储单元105，不存在特殊限制，但是例如，对于每个应用程序，相应访 问目标与针对这些访问目标的访问控制的内容是相关联的，并进行了 存储。可以根据访问的类型或性质适当地设置和改变控制的内容。图5 示出了访问控制规则存储单元的数据结构的示例。如该图所示，对于 机密应用程序，分别将“许可访问”与机密文件夹相关联，以及将“仅 许可读”与公共文件夹相关联，并对其进行设置。同时，对于公共应 用程序，分别将“禁止访问”与机密文件夹相关联，以及将“许可访 问”与公共文件夹相关联，并对其进行设置。

网络访问控制单元106包括网络监视单元106a(在下文中，称作“监 视单元”)，用于监视经由通信单元101执行的网络通信，和访问控制单 元106b，用于执行对应用程序的访问控制，以及网络访问控制单元106 也称作网络访问控制部件。网络访问控制单元106可以例如是存储在外 部存储装置13等中的程序(网络访问控制程序)，并通过CPU 10执行 程序来提供如下功能：监视网络通信或者执行对应用程序的访问控制。

监视单元106a用于监视由应用程序103实施的所有网络访问，以及 监视单元106a也称作监视部件。可以通过应用诸如TDI(传输驱动器 接口)驱动器或NDIS(网络驱动器接口规范)驱动器之类的过滤驱动 器的常规技术，来实现监视单元106a。图6是示出了装配监视单元106a 的示例的图。

访问控制单元106b被配置为能够在监视单元106a检测到由应用程 序103实施的网络访问时执行对应用程序的访问控制，以及访问控制单 元106b也称作访问控制部件。具体地，访问控制单元106b从所检测访 问提取用于标识应用程序的应用程序标识信息(例如，进程ID)或者 用于标识访问目标的访问目标信息(例如，文件名称)，并从标签分配 单元102获取基于进程ID的应用程序的标签。此外，访问控制单元106b 从服务器信息存储单元104获取基于访问目标信息的访问目标(例如， 文件夹)的标签。随后，访问控制单元106b通过如下步骤执行对应用 程序103的访问控制：基于所获得的应用程序103的标签和文件夹204 的标签，从访问控制规则存储单元105查阅访问控制规则。

此外，访问控制单元106b被配置为在预定存储区域中存储由认证 单元202安装的服务器的列表(需要认证的服务器的列表)，并通过查 阅需要认证的服务器的列表来确定是否需要认证。图7是示出了需要认 证的服务器的列表的数据结构的示例的图。尽管在需要认证的服务器 的列表的结构上不存在特殊限制，但是，例如，存储IP地址或DNS名 称，作为能够唯一识别服务器的信息。

此外，访问控制单元106b在预定存储区域中存储认证密钥，用于 验证如下内容：安装了网络访问控制单元106。预定密钥与由服务器200 的认证单元202持有的认证密钥相同。

认证单元107用于认证在客户端100中安装了网络访问控制单元 106，以及认证单元107被配置为能够与服务器200执行认证处理，且认 证单元107也称作认证部件。认证单元107使用由网络访问控制单元106 持有的认证密钥并与服务器200的认证单元202进行通信，从而执行认 证处理。认证单元107向网络访问控制单元106告知认证处理结果。尽 管在认证处理的方法方面不存在特殊限制，但是作为一个示例，在此 执行了根据询问响应系统的认证处理。稍后将说明认证处理的细节。

此外，认证单元107被配置为能够确定是否网络访问控制单元106 在操作中。尽管在确定网络控制单元106是否在操作中的方式上不存在 特殊限制，但是例如，从操作系统获取正在进行的进程的列表，并确 认在所获得的进程列表中是否包括网络访问控制单元的进程ID。

服务器200包括通信单元201、认证单元202、服务器应用程序203 和文件夹204(公共文件夹204a、机密文件夹204b)。对于服务器200， 可以应用通用服务器或计算机，所述通用服务器或计算机包括如下硬 件：用于控制服务器200的处理和操作的CPU、诸如ROM或RAM之类 的存储器、用于存储各种信息的外部存储装置、通信接口、I/O接口和 用于连接前述部件的总线。应注意，服务器/计算机的硬件配置与参考 图2进行说明的客户端100的硬件配置相同，省略其说明。

通信单元201被配置为经由网络N与客户端100和未示出的其它设 备通信，并输入/输出信息，以及通信单元201也称作通信部件。例如， 通信单元201包括现有通信模块，比如网络接口卡(NIC)或TCP/IP驱 动器。

认证单元202被配置为能够与客户端100执行认证处理，以认证在 客户端100中安装了网络访问控制单元106，以及认证单元202也称作认 证部件。具体地，认证单元202持有与由客户端100的网络访问控制单 元106持有的认证密钥相同的密钥，以及认证单元202被配置为使用该 认证密钥与客户端的认证单元107进行通信，并执行认证处理。

此外，认证单元202被配置为创建认证成功的客户端列表(已认 证客户端列表)。图8是示出了已认证客户端列表的配置的示例的图。 尽管在已认证客户端列表的数据配置上不存在特殊限制，但是如图所 示，存储客户端的IP地址，作为用于唯一标识已认证客户端的标识信 息。当客户端的认证成功时，认证单元202将该客户端添加到已认证客 户端列表中。应注意，在图8中，通过将作为已认证客户端的客户端的 可用小时(剩余可用小时)与IP地址相关联，来存储客户端的可用小 时。稍后将说明剩余可用小时。

此外，认证单元202被配置为监视对服务器应用程序203的网络访 问，以及在检测到网络访问时，认证单元202确定在已认证客户端列表 中是否包括执行该网络访问的客户端，并基于确定结果决定是否许可 该网络访问。具体地，当在已认证客户端列表中包括了执行网络访问 的客户端时，认证单元202许可该网络访问，以及当在已认证客户端列 表中没有包括执行网络访问的客户端时，禁止该网络访问。

服务器应用程序203是用于提供网络服务的程序，存储在外部存 储装置等中，并由CPU执行。尽管不存在特殊限制，但是例如，利用 FTP或CIFS加载的现有程序与其相对应。

文件夹204用于存储要成为访问目标的数据，文件夹204也称作目 录。通过分配的标签区分文件夹204，在本实施例中，作为一个示例， 将文件夹204区分为分配了公共标签的文件夹(公共文件夹)204a和分 配了机密标签的文件夹(机密文件夹)204b。换句话说，在公共文件 夹中存储了公共信息，以及在机密文件夹中存储了机密信息。应注意， 标签的内容不限于此，并且可以根据设计适当地设计标签的内容。在 服务器信息存储单元104中存储文件夹204与标签的对应关系(图4)。

其次，网络N是一种线路，用于发送并接收客户端100与服务器200 之间的信息。网络N是例如因特网，专用线路、分组通信网络、电话 线路、LAN、内联网或其它通信线路、或者前述线路的组合，并且网 络N可以是有线的或无线的。

[机密信息泄露防止处理的流程]

现在参考图9说明根据本实施例的机密信息泄露防止处理。应注 意，在不会造成处理内容上的任何矛盾的程度上，可以任意改变图9 和图10所示相应处理步骤的顺序，或者可以并行地执行相应处理步骤。 此外，可以在相应处理步骤之间添加其它步骤。此外，为了便利，可 以通过将指示为一个步骤的步骤分离为多个步骤来执行。同时，为了 便利，指示为多个步骤的步骤可以被理解为一个步骤。

作为前提，例如，假定网络访问控制单元106的监视单元106a在预 定时刻(比如，当打开电源时)启动监视所有网络通信。

例如，由控制单元(CPU)执行的应用程序103(103a和103b)根 据用户操作的指令启动对指定网络上的访问目标的访问(步骤S1)。

网络访问控制单元106的监视单元106a钩住(hook)由应用程序103 (103a或103b)实施的网络访问(也称作网络访问事件)(步骤S2)。

随后，网络访问控制单元106的访问控制单元106b从所钩住的访 问获取例如进程号，作为用于标识应用程序的应用程序信息，并基于 前述进程号向标签分配单元102查询正尝试执行网络访问的应用程序 103(103a或103b)的标签(步骤S3)。

标签分配单元102从标签分配列表(参考图3)搜索向应用程序103 (103a或103b)分配的标签，并向访问控制单元106b告知搜索结果(步 骤S4)。

当访问控制单元106b从标签分配单元102获得应用程序103的标 签时，访问控制单元106b从所钩住的访问获取用于标识访问目的地的 访问目的地信息，并基于访问目的地信息向服务器信息存储单元104 查询向访问目的地的文件夹204(204a或204b)分配的标签。例如，当 网络访问是文件共享时，可以获取访问目的地的服务器名称和文件夹 名称，作为访问目的地信息。

服务器信息存储单元104从内部存储数据库(参考图4)搜索由访 问目的地信息进行标识的文件夹的标签，并向访问控制单元106b告知 搜索结果(步骤S6)。

当访问控制单元106b获得应用程序103(103a或103b)的标签和访 问目的地的标签时，访问控制单元106b查阅在访问控制规则存储单元 105中存储的访问控制规则(参见图5)，并确定是否许可由应用程序实 施的网络访问(步骤S7)。

例如，如图5所示，当应用程序是机密标签，且访问目的地的文 件夹也是机密标签时，许可访问。此外，当应用程序是公共标签，且 访问目的地文件夹也是公共标签时，许可访问。当应用程序是公共标 签，而访问目的地的文件夹是机密标签时，禁止访问。此外，当应用 程序是机密标签，而访问目的地的文件夹是公共标签时，仅许可进行 读。

当许可访问(包括部分许可)时，访问控制单元106b通过以下方 式确定是否需要与服务器200进行认证：确定例如是否在需要认证的服 务器的列表(参见图7)中包括访问目的地。当访问控制单元106b确定 在需要认证的服务器的列表中包括访问目的地时，访问控制单元106b 确定需要认证，并向认证单元107请求进行认证(步骤S7)。同时，当 在需要认证的服务器的列表中没有包括访问目的地时，访问控制单元 106b确定不需要进行认证，并许可网络访问(步骤S10)。应注意，在 步骤S7中，当禁止访问时，访问控制单元106b结束处理，而不用确定 是否在需要认证的服务器的列表(参见图7)中包括访问目的地。

当访问控制单元106b发起认证请求时，认证单元107与服务侧认 证单元202执行认证处理，用于认证是否已经安装了网络访问控制单元 106且是否网络访问控制单元106正在运行。稍后将对关于认证处理的 细节进行描述。

当客户端100侧认证单元107与服务器200侧认证单元202之间的 与是否已经安装了网络访问控制单元106且是否网络访问控制单元106 正在运行相关的认证成功时，服务器200侧认证单元202将客户端100 添加到已认证客户端列表中(步骤S8)。

此外，客户端100侧认证单元107向访问控制单元106b告知认证成 功，以及访问控制单元106b在被告知时许可网络访问，且应用程序103 与服务器200的服务器应用程序203进行网络通信(步骤S10)。

在从应用程序103接收到访问(连接请求)时，服务器侧认证单 元202确认是否已经对客户端100进行了认证，以及如果已经对客户端 100进行了认证，则许可来自应用程序103的访问，并执行所钩住的事 件(步骤S11)。同时，如果步骤S8中的认证以失败结束，则认证单元 202确定还没有对客户端进行认证，并禁止来自应用程序103的访问(步 骤S11)。

具体地，服务器侧认证单元202监视从应用程序至服务器应用程 序203的网络访问，以及在钩住(检测到)访问时，确认是否在已认证 客户端列表(参见图8)中包括客户端，当包括客户端时，许可通信， 以及在没有包括客户端时，禁止通信(丢弃分组)。例如，当使用IP 执行通信时，当已认证客户端列表中包括源IP地址时，许可通信，以 及当没有包括源IP地址时，禁止通信。

当服务器侧认证单元202从没有安装网络访问控制单元106的客 户端接收访问时，因为在已认证客户端列表中没有登记客户端100，所 以由于没有对客户端100进行认证而禁止来自该应用程序103的访问。 当从应用了常规技术的客户端接收访问请求(包括应用程序的标签) 时，服务器200也可以根据基于常规技术的标签处理该访问。

[认证处理的流程]

现在将参考图10详细地说明步骤S8的认证处理。应注意，在该实 施例中，说明了基于询问响应系统执行相互认证的情况，但是认证方 法不限于此，可以根据设计和其它原因适当地采纳其它认证方法。

首先，客户端100侧认证单元107产生第一询问代码，并向服务器 侧认证单元202发送所产生的第一询问代码。可以例如使用随机数产生 第一询问代码(步骤S20)。

当服务器200侧认证单元202接收到第一询问代码时，服务器200 侧认证单元202使用服务器200中存储的密钥，并根据第一询问代码产 生第一响应代码(步骤S21)。例如，可以通过如下步骤获得第一响应 代码：使用诸如SHA1或MD5之类的散列函数，且对密钥和第一询问 代码进行转换。

随后，认证单元202产生第二询问代码(步骤S22)。可以例如通 过使用随机数产生第二询问代码。

认证单元202向客户端100侧认证单元107发送所产生的第一响应 代码和所产生的第二询问代码(步骤S23)。

客户端100侧认证单元107从网络访问控制单元106获取密钥(步 骤S24)。

此外，客户端100侧认证单元107根据S20中产生的第一询问代码 和从网络访问控制单元106获得的密钥产生正确的第一响应代码(步骤 S25)。

客户端100侧认证单元107将S25中产生的正确第一响应代码与从 服务器200侧认证单元202接收的第一响应代码相比较，并确认是否两 个第一响应代码彼此一致(步骤S26)。

如果两个第一响应代码不一致，则因为认证失败，所以客户端100 侧认证单元107结束处理(未示出)。如果两个第一响应代码彼此一致， 则响应于从服务器200侧认证单元202接收的第二询问代码，客户端100 侧认证单元107通过使用从网络访问控制单元106获得的密钥产生第二 响应代码(步骤S27)。认证单元107可以通过例如如下方式获得第二 响应代码：使用诸如SHA1或MD5之类的散列函数，并对密钥和第二 询问代码进行转换。

随后，认证单元107从操作系统获取正在进行的进程的列表，且 通过以下方式确定是否网络访问控制单元106正在操作：基于网络访问 控制单元106的进程ID确定在进程列表中是否包括网络访问控制单元 106(步骤S28)。

当步骤S28中的确定结果是肯定的时，认证单元107向服务器200 侧认证单元202发送步骤27中产生的第二响应代码。同时，当步骤S28 中的确定结果是否定的时，因为认证失败，所以认证单元107结束处理 (未示出)。

当服务器200侧认证单元202接收到第二响应代码时，服务器200 侧认证单元202根据步骤S22中产生的第二询问代码和密钥产生正确 的第二响应代码(步骤S30)。

服务器200侧认证单元202将所产生的正确第二响应代码与从客 户端100侧认证单元107接收的第一响应代码相比较，并确认正确的第 二响应代码与第一响应代码是否彼此一致(步骤S31).

当正确的第二响应代码与第一响应代码不一致时，因为认证失 败，所以认证单元202结束处理(未示出)。当正确的第二响应代码与 第一响应代码彼此一致时，则认证单元202确定认证成功，并将客户端 100添加到已认证客户端列表中。例如，当使用IP进行通信时，可以在 已认证客户端列表(参见图8)中记录标识信息(例如，IP地址、DNS 名称、机器名称)，用于唯一标识客户端100(步骤S32)。

根据前述第一实施例，因为在客户端100与服务器200之间对客户 端100中的网络访问控制单元106的安装和操作进行了认证，所以能够 保证在客户端100侧上执行访问控制。因此，不再需要在客户端100侧 将标签添加到分组中，从而能够提供网络兼容多级别安全系统，而无 须修改操作等。

此外，根据第一实施例，客户端100的网络访问控制单元106持有 密钥，以及在认证时，从网络访问控制单元106向认证单元107传送密 钥。因此，服务器200能够更可靠地对在客户端100中安装了网络访问 控制单元106进行认证。

此外，根据第一实施例，因为在认证处理中，客户端100的认证 单元107要确认在操作系统的进程列表中是否包括网络访问控制单元 106，所以能够确认客户端100的网络访问控制单元106是否正在操作。

[第一实施例的修改示例]

在前述说明中，仅服务器200侧认证单元202持有已认证客户端列 表，但是客户端100侧认证单元107也可以持有用已认证服务器200的IP 地址和名称进行记录的已认证服务器列表。在前述情况下，可以省略 认证过程而高速地进行至已认证服务器的通信。

此外，已认证客户端列表还可以存储如图8所示的认证的剩余可 用小时。在前述情况下，服务器200侧认证单元202可以按照预定定时 (例如，每秒)扣除可用小时，并且当可用小时变为0时，认证单元202 可以从列表中删除该条目。此外，在可用小时变为0之前，也可以再一 次执行认证处理，从而重置认证的可用小时。在前述情况下，因为周 期性地执行认证，所以能够防止合法客户端100和服务器200被欺骗性 客户端或服务器代替。

此外，除了记录IP地址和名称之外，认证单元202的已认证客户端 列表和认证单元107的已认证服务器列表也可以记录由客户端100的应 用程序103使用的端口号。此外，当结束应用程序103并断开网络连接 时，可以基于端口号从已认证客户端列表或已认证服务器列表中删除 条目。在这种操作的情况下，因为仅当应用程序103通信时才执行重新 认证，所以能够避免不期望的重新认证。

此外，虽然在前述说明中，说明了使用两种标签“公共”和“机 密”的情况，但是也可以使用两种或更多种标签。例如，也可以分配 四种标签，比如“机密”、“顶级秘密”、“秘密”、或“未分类”。在前 述情况下，对于普通多级别安全系统而言，网络访问控制单元106禁止 从具有低安全级别标签的应用程序103或文件夹204向具有高安全级别 标签的应用程序103或文件夹204发送信息。

此外，在前述说明中，虽然说明了如下情况：图9的S10中的网络 访问控制单元106许可所钩住的应用程序103的网络访问，但是也可以 根据标签执行诸如加密和记录之类的处理。根据这种配置，能够提供 一种能够根据安全级别控制安全功能的系统。

此外，在前述说明中，虽然说明了如下情况：网络访问控制单元 106控制对文件夹204的读和写，但是网络访问控制的内容不限于此。 例如，在由应用程序实施的网络访问并非是对文件夹进行读或写而是 发送或接收email的情况下，网络访问控制单元106可以控制针对该 email地址发送和接收email。此外，网络访问控制单元106也可以控制 至服务器200的进程的通信。

此外，配置还可以是，为每个用户定义数据库，用于存储网络访 问控制单元106的需要认证的服务器的列表和服务器信息存储单元104 的文件夹的标签信息，并且由登陆用户切换需要认证的服务器的列表 或数据库。根据该操作，可以执行根据用户的访问控制。

此外，在认证处理期间，客户端100的认证单元107和服务器200 侧认证单元202也可以在预定时刻确认网络访问控制单元106还没有被 伪造等。尽管在确认方法上不存在特殊限制，但是例如，在图10中的 步骤S29，认证单元107向服务器200侧认证单元202发送网络访问控制 单元106的执行二进制散列值。服务器200侧认证单元202将从认证单元 107接收的散列值与预先持有的网络访问控制单元106的执行二进制散 列值相比较，并确定是否散列值彼此一致。如果散列值一致，则认证 单元202确认网络访问控制单元106没有被伪造。同时，如果散列值不 一致，则认证单元202确定网络访问控制单元106已经被伪造，并且因 为认证以失败结束而结束处理。

此外，在前述说明中，说明了如下情况：访问控制单元106b持有 需要认证的服务器的列表，且通过查阅所述需要认证的服务器的列表 来确定认证必要性，确定认证必要性的方法不限于此。例如，访问控 制单元106b也可以通过使用由服务器信息存储单元104持有的服务器/ 文件夹信息(参见图4)来确定认证必要性。具体地，访问控制单元106b 从服务器信息存储单元104获取访问目的地服务器的服务器/文件夹信 息，以及如果在所获得的文件夹信息中包括机密文件夹，则由于服务 器持有机密文件夹而确定需要对该服务器进行认证。

此外，在前述说明中，说明了如下情况：认证单元107通过密钥 确认网络访问控制单元106的安装且通过进程列表确认网络访问控制 单元106的操作，认证单元107可以仅确认网络访问控制单元106的安 装。具体地，认证单元107可以在执行图10的步骤S27的处理之后省略 步骤S28中的处理，然后执行步骤S29的处理。根据前述配置，可以以 更快的速度执行认证处理。

[第二实施例]

现在，将参考图11说明第二实施例。省略与第一实施例相同部分 的说明。如图11所示，第二实施例与第一实施例的不同之处在于，客 户端100还包括设置接收单元110，服务器200还包括设置接收单元210， 以及设置发送服务器300包括设置发送单元301。

设置发送服务器300的设置发送单元301被配置为相应地且内部 地存储对服务器信息存储单元104的数据库进行存储的服务器信息、网 络访问控制单元106的需要认证的服务器的列表和网络访问控制单元 106的认证密钥，并向客户端100的设置接收单元110发送服务器信息、 需要认证的服务器的列表和密钥。此外，设置发送单元301被配置为向 服务器200的设置接收单元210发送认证密钥。

当客户端100的设置接收单元110接收到服务器信息、需要认证的 服务器的列表和密钥时，设置接收单元110相应地更新服务器信息存储 单元104的数据库中存储的服务器信息、网络访问控制单元106的需要 认证的服务器的列表和认证密钥。此外，当服务器200的设置接收单元 210接收到认证密钥时，设置接收单元210更新由认证单元202持有的密 钥。

根据第二实施例，可以远程相应地更新服务器信息存储单元104 中存储的服务器信息、网络访问控制单元106的需要认证的服务器的列 表和认证密钥。特别地，当存在多个客户端100和服务器200时，管理 可以流水线化。

本申请涉及并要求享有2010年1月19日提交的No.2010-9124的日 本专利申请的优先权，在此并入其全部公开以供参考。

以上参考实施例说明了本发明，但是本发明不限于前述实施例。 本领域技术人员可以在本发明的范围内对本发明的配置和细节进行多 种修改。

根据本发明的机密信息泄露防止系统、机密信息泄露防止方法和 机密信息泄露防止程序适于提供一种网络兼容多级别安全系统，而不 必修改现有系统的操作系统等。

10…CPU，11…ROM，12…RAM，13…外部存储装置，14…通信接口， 15…输入接口，16…输出接口，100…客户端，101…通信单元，102… 标签分配单元，103…应用程序，103a…公共应用程序，103b…机密应 用程序，104…服务器信息存储单元，105…访问控制规则存储单元， 106…网络访问控制单元，106a…监视单元，106b…访问控制单元， 107…认证单元，110…设置接收单元，200…服务器，201…通信单元， 202…认证单元，203…服务器应用程序，204…文件夹，204a…公共文 件夹，204b…机密文件夹，210…设置接收单元，300…设置发送服务 器，301…设置发送单元，N…网络