随着便携式电话的高功能化，可以在便携式电话内保管各种各样的数据等。然而，当在便携式电话中保管机密性较高的数据(机密数据)时，存在由于便携式电话的丢失或被盗等而导致机密数据泄漏到外部的危险性。
作为解决该问题的方法，存在汇集了便携式电话中的标准技术的非专利文献1的终端锁定(lock)技术。其功能为：在一定时间不进行操作的情况下，要求事先登记的密码或者要求生物体认证，只要不通过该认证就使操作无效。由此可以禁止便携式电话的正规用户以外的人访问便携式电话内的数据。
另外，在其它安全的数据保管技术中还存在加密技术。例如，专利文献1是与插入操作系统(OS)的文件I/O处理中自动地进行加密·解密的方式相关的技术。由此，当向不具有解密密钥的其它终端导出数据时，可以防止内容被解读。
【非专利文献1】特許庁総務部技術調查課技術動向班：利用者からみた携带電話端末の機能及びインタ一フエイス(特に、1-4-4参照)(http://www.jpo.go.jp/shiryou/s_sonota/hyoujun_gijutsu/keitai/mokuji.htm)
【专利文献1】特开平11-149414号公报
然而，在非专利文献1中表示的终端锁定技术中，虽然防止了非正规用户的数据导出，但无法防止伴随便携式电话的正规用户进行的便携式电话误操作的数据外流、或者具有不正当使用意图的用户造成的数据泄漏。
另外，如专利文献1那样，仅通过加密，在便携式电话丢失时得到便携式电话的非正规用户仍有可能导出数据。在这种情况下，只要解密密钥不泄漏，内容就不会被解读，但不得不公布数据丢失的事实，企业的社会信用很可能会失去。

本发明是鉴于以上状况而提出的发明，本发明提供一种可以防止伴随便携式终端的正规用户的误操作的数据流出、或者具有不正当使用意图的正规用户及非正规用户造成的数据泄漏的、安全的数据保管方法和系统。
为了解决上述问题，在本发明中，在便携式终端内的存储器(执行用存储器)内确保规定容量的易失性存储器区域(OS结束时被清除的区域)，使其与文件夹生成区域中生成的虚拟文件夹链接。并且，当发生对虚拟文件夹的访问时，将该访问转向至易失性存储器区域。
另外，在本发明中，禁止从邮件程序、阅读程序或编辑程序等一般应用程序访问易失性存储器区域，仅许可文件管理单元(文件管理服务)这样的被允许访问机密文件的应用程序对易失性存储器区域进行访问。
即，本发明的文件管理系统是关于具有用户终端装置和便携式终端装置、进行它们之间的机密文件的传输的文件管理系统。并且，用户终端装置具有对便携式终端装置进行访问请求、执行机密文件的传输的文件传输控制单元。便携式终端装置的特征在于，具有：文件管理单元，在OS启动时将便携式终端装置内的执行用存储器的一部分确保为在OS结束时被清除的存储器区域、即易失性存储器区域，将用于保存从用户终端装置传输来的机密文件的虚拟文件夹与易失性存储器区域结合；以及转向单元，在便携式终端装置的OS启动中，将对虚拟文件夹内的访问转向至易失性存储器区域。而且，便携式终端装置还具有存储器访问控制单元，该存储器访问控制单元应答对易失性存储器区域的访问请求，仅当访问源是文件管理单元时许可对机密文件的访问。另外，文件管理单元，在便携式终端装置的OS结束时，从执行用存储器中清除易失性存储器区域，并且清除虚拟文件夹。
另外，在本发明的文件管理系统中，便携式终端装置的特征在于，具有：文件管理单元，在便携式终端装置的OS启动时将便携式终端装置内的执行用存储器的一部分确保为在OS结束时被清除的存储器区域、即易失性存储器区域，将从用户终端装置传输来的机密文件保存在易失性存储器区域中；以及存储器访问控制单元，在便携式终端装置的OS启动中，应答对易失性存储器区域的访问请求，仅当访问源是文件管理单元时，许可对机密文件的访问。
而且，在本发明的文件管理系统中，便携式终端装置的特征在于，具有：文件管理单元，在OS启动时将非易失性存储器的一部分确保为在OS结束后仍继续存在的存储区域、即非易失性文件区域，将用于保存从用户终端装置传输来的机密文件的文件夹与非易失性文件区域结合，其中所述文件管理单元，在所述便携式终端装置的操作系统结束时，仅清除在所述非易失性文件区域内存储的所述机密文件；以及转向单元，在OS启动中，将对虚拟文件夹内的访问转向至非易失性文件区域。并且，文件管理单元能够以排他的方式打开在非易失性文件区域中存储的机密文件。
另外，本发明提供与上述文件管理系统相对应的文件管理方法，也提供构成上述文件管理系统的便携式终端装置。
本发明的其它特征，根据以下用于实施本发明的最佳方式以及附图而明了。
根据本发明，可以防止伴随便携式终端装置的正规用户进行的误操作的数据流出、或者具有不正当使用意图的正规用户及非正规用户造成的数据泄漏，可以在便携式终端内安全地保管机密数据。

图1是表示本发明的第一实施方式的文件保管系统的概略结构的图。
图2是表示文件管理服务112A的功能结构的图。
图3是用于说明便携式电话启动处理和结束处理的流程图。
图4是表示存储器区域设定数据112B的例子的图。
图5是表示便携式电话100的启动处理前后的文件夹一览的画面例的图。
图6是用于说明对虚拟文件夹内的文件的访问的流程图。
图7是用于说明对文件管理服务访问时的处理的流程图。
图8是表示本发明的第二实施方式的文件管理系统的概略结构的图。
图9是用于说明便携式电话启动处理和结束处理的流程图。
图10是表示存储器区域设定数据811C的例子的图。
符号说明
100、800便携式电话；101、801PC；102、802USB线；103、107、803、807CPU；104、804存储器；108、808执行用存储器；105、109、805、809OS；106、806外部存储装置；106A、806A文件传输应用程序；110A存储器转向驱动程序；110B、810B存储器访问控制驱动程序；112非易失性记忆用存储器；811记忆用存储器；112A、811B文件管理服务；112B、811C存储器区域设定数据；112C、811D应用程序；113易失性记忆用存储器；810A文件转向驱动程序；811A存储文件；201存储器区域确保功能；202文件传输功能；401、1001容量；402、1002结合名；403、1003结合目的地；1004文件路径

本发明提供一种从计算机(PC)向便携式电话等便携式信息终端传输机密数据(文件)，使便携式电话内的阅读程序(viewer)或文本编辑程序(texteditor)等一般应用程序无法访问该机密数据，来确保数据的机密性的方法。以下，参照附图说明本发明的实施方式。但应该注意，本实施方式只不过是用于实现本发明的一例，并不对本发明进行限定。
<第一实施方式>
(1)系统结构
图1是表示本发明的第一实施方式的数据保管系统的概略结构的图。数据保管系统具备便携式电话(便携式信息终端)100和PC101。便携式电话100和PC101通过USB线102互相连接，由此可以进行串行通信。
PC101具备：作为控制装置全体的处理的控制部而工作的CPU103、存储器104、OS105以及外部存储装置106，该外部存储装置106具有在与便携式电话100之间收发机密数据(文件)时运行的文件传输应用程序106A。
便携式电话100具备：控制便携式电话全体的处理的CPU107；执行用存储器108；OS109；存储器转向驱动程序(memory redirected driver)110A；存储器访问控制驱动程序110B；由保存有文件管理服务112A、存储器区域设定数据112B和应用程序112C的非易失性记忆用存储器112构成的记忆用存储器111。存储器访问控制驱动程序110B监视对易失性存储器113的I/O，禁止从文件管理服务112A以外的进程对机密数据的访问。即，仅使文件管理服务112A可以处理机密数据。存储器转向驱动程序110A以如下方式运行：表面上在后述的虚拟文件夹中保管机密数据，但实际上在作为链接目的地的其它记录区域(易失性记忆用存储器113)中保管。此外，易失性记忆用存储器113是作成为在OS109启动时确保执行用存储器108的一部分区域并具有易失性的特征的存储器。
(2)文件管理服务的功能结构
图2是表示文件管理服务112A的功能结构的图。文件管理服务112A的功能中具有：在非易失性记忆用存储器112内确保用于保管数据的区域的存储器区域确保功能201、和文件传输功能202。
在图2中，存储器区域确保功能201具有在执行用存储器108内确保易失性记忆用存储器113的区域的功能。另外，文件传输功能202具有与PC101中的文件传输应用程序106A协同来实现PC101与便携式电话100之间的数据传输的功能。
(3)便携式电话的启动处理和结束处理
图3(a)是用于说明便携式电话100启动时执行的处理的流程图，图3(b)是用于说明便携式电话100结束时执行的处理的流程图。无论在哪个处理中，只要不特别说明，处理动作主体都是CPU107。
在图3(a)中，首先便携式电话100的OS109启动(步骤S300)。然后，OS109读取存储器转向驱动程序110A和存储器访问控制驱动程序110B，在执行用存储器108上展开这些驱动程序(步骤S301)。此时，存储器转向驱动程序110A和存储器访问控制驱动程序110B以尚未变为有效(无效的)状态被读取。
接着，启动文件管理服务112A(步骤S302)。于是，文件管理服务112A中的存储器区域确保功能201读取存储器区域设定数据112B(参照图4)。
然后，计算执行存储器108中的空闲容量是否充足(步骤S303)。例如，在存储器区域设定数据112B中将空闲容量设定为需要8MB时，存储器区域确保功能201判断执行用存储器108的空闲容量是否在8MB以上。
当判断为空闲容量不足时，存储器区域确保功能201在未图示的显示部中显示警告，促使用户修正存储器区域设定数据112B的内容，使OS结束(步骤S304)。
在空闲容量充足时，存储器区域确保功能201在执行存储器108中确保在存储器区域设定数据112B中记载的容量，作成易失性记忆用存储器113(步骤S305)。在此，所谓“易失性”意味着仅切断电源时数据不消失，而在OS结束(再启动)时数据消失。例如以如下方式进行软件处理：在执行用存储器108内的区域中将标志置位，在以该标志规定的区域中存储的数据当OS结束时消失。
然后，将存储器转向驱动程序110A的功能有效化。由此，该易失性记忆用存储器113，以作为用于用户保存数据的文件夹(参照图5)而可以访问的方式与已有的文件系统结合，并且当对该文件夹内进行访问时，将其访问目的地转向至易失性记忆用存储器113内(步骤S306)。另外，为控制对文件夹的访问而生成存储器访问控制驱动程序110B，在步骤S306中实际上该访问控制发挥作用。即，与通常的文件夹同样地生成虚拟文件夹，存储器访问控制驱动程序110B访问虚拟文件夹，但存储器转向驱动程序110A将对虚拟文件夹的访问转向至易失性记忆用存储器113。由此，表面上执行对虚拟文件夹的访问，但实际上执行对其它区域、即易失性记忆用存储器113的访问。
接着，在图3(b)中，当存在便携式电话100的结束请求(OS结束请求)时，释放易失性记忆用存储器113(返回通常的执行用存储器)(步骤S310)，将存储器转向驱动程序110A的功能无效化。由此，转向功能变为无效，将易失性记忆用存储器113与所述已有文件系统的结合分离(步骤S311)。然后，停止OS(步骤S312)。
(4)存储器区域设定数据的例子
图4是表示存储器区域设定数据112B的例子的图。如图4所示，存储器区域设定数据112B包含容量401、结合名402、结合目的地403这三个项目。在这个例子的情况下，将容量401设定为8MB，将结合名402设定为“虚拟文件夹”，将结合目的地设定为“”。
因此，在图3(a)的步骤S303中判断在执行用存储器108中是否存在8MB的空闲容量。另外，在以下生成虚拟文件夹，将该虚拟文件夹与易失性记忆用存储器113链接(结合)。由此，表面上在虚拟文件夹中存储机密数据(文件)，但实际上存储在作为链接目的地的易失性记忆用存储器113中。
(5)文件夹一览的画面例
图5是表示便携式电话100的启动处理前后的“”以下的文件夹一览的画面例的图。图5(a)是便携式电话100的启动处理前的”以下的文件夹一览的画面例，存在并显示了“文件夹1”和“文件夹2”这两个文件夹。另外，图5(b)是便携式电话100的启动处理后的“”以下的文件夹一览的画面例，除了“文件夹1”和“文件夹2”以外，还生成并显示了在步骤S307中加载的“虚拟文件夹”。
这样，使虚拟文件夹位于“”以下，但如前所述，在此实际不存储数据，而将数据存储在易失性记忆用存储器113中。并且，当OS结束后，将该虚拟文件夹从”以下删除。当再次启动OS时，在“以下生成新的虚拟文件夹。
(6)便携式电话内的对虚拟文件夹的访问
图6是用于说明针对使用便携式电话100对虚拟文件夹内的文件的访问的控制处理的流程图。在此只要不特别说明，各步骤的处理主体都是CPU107。
当便携式电话100内的应用程序试图打开(Open)该文件夹时(步骤S600)，存储器访问驱动程序挂接(hook)文件打开函数的调用(步骤S601)。此外，在应用程序中包含：邮件程序、阅读程序或文本编辑程序等在通常的便携式电话中安装的程序、以及文件管理服务112A。
接着，比较访问源进程的进程ID和文件管理服务112A的进程ID(步骤S602)。当ID一致时许可进程打开该文件(步骤S604)。当ID不同时禁止进程打开该文件(步骤S605)。即通过该控制，例如便携式电话100内的应用程序112C无法访问虚拟文件夹内的该文件，仅许可文件管理服务112A进行访问。因此，限定了对机密数据(文件)的访问，确保了文件的机密性。
(7)从PC对便携式电话内的虚拟文件夹的访问
图7是用于说明从PC101对便携式电话100内的虚拟文件夹内的文件进行访问时的处理的流程图。
最初，当文件管理服务112A检测到来自文件传输应用程序106A的访问时(步骤S700)接受该访问，文件管理服务112A经由文件传输应用程序106A对用户进行ID·密码的请求(步骤S701)。接受ID·密码的输入，文件管理服务112A进行认证处理(步骤S702)，若认证成功，则许可对文件管理服务112A的访问，执行文件传输处理(步骤S703)。若认证失败，则拒绝对文件管理服务112A的访问，结束处理(步骤S704)。
由此，仅使具有正当权限的用户可以访问在便携式电话100内存储的机密数据。
(8)其它：便携式电话内的机密数据的远程删除处理
也可以从便携式电话管理服务器100远程删除便携式电话100内的机密数据。该处理用于，例如在将机密数据从PC101传输到了便携式电话100，但便携式电话100丢失或被盗的情况下，可以安全地管理机密数据。
例如，当想要删除便携式电话100内的机密数据时，首先，系统管理者操作自身的PC来访问未图示的便携式电话管理服务器的管理页面。然后，在管理者的终端的画面上显示管理页面的内容。接着，系统管理者按下所登记的便携式电话列表中的远程删除按钮，指示删除在成为对象的便携式电话100中存储的机密数据。
接受该删除指示，便携式电话管理服务器通过便携式电话的电话线路网，将远程删除命令发送至便携式电话100内部的文件管理服务112A。接受该命令，文件管理服务112A将便携式电话100内的机密数据全部删除。然后，将已删除的文件列表和删除完成日期时间通知便携式电话管理服务器。另外，根据远程删除完成通知来更新管理页面。
如上所述，基本上在丢失时进行经由电话线路网的远程删除，但也可能丢失在电波无法达到的场所，因此也能够与定期进行时限清除的选项进行组合。作为时限清除的策略包括每天定时地清除、和在文件复制后经过一定时间时清除等。由此可以实现更牢靠的安全性。
<第二实施方式>
(1)系统结构
图8是表示本发明的第二实施方式的数据保管系统的概略结构的图。本数据保管系统与第一实施方式相同，由便携式电话800和PC801构成。便携式电话800和PC801通过USB线803相连，可以进行串行通信。
PC801具备：CPU803、存储器804、OS805以及保存文件传输应用程序806A的外部存储装置806。
另一方面，便携式电话800具备：CPU807；执行用存储器808；OS809；文件转向驱动程序810A；存储器访问控制驱动程序810B；以及保存了存储文件811A、文件管理服务811B、存储器区域设定数据811C和应用程序811D的记忆用存储器811。
存储文件811A是存储机密数据(文件)的区域。存储文件811A与第一实施方式中的易失性记忆用存储器113不同，一旦生成，即使结束OS也不清除。
存储器访问控制驱动程序810B监视对存储文件811A的I/O，禁止从文件管理服务811B以外的进程访问机密数据。即，仅使文件管理服务811B可以处理机密数据。
文件转向驱动程序810A如下运行：表面上在后述的虚拟文件夹中保管机密数据，但实际上在作为链接目的地的其它记录区域(存储文件811A)中进行保管。
(2)便携式电话的启动处理和结束处理
图9(a)是用于说明便携式电话800启动时执行的处理的流程图，图9(b)是用于说明便携式电话800结束时执行的处理的流程图。无论在哪个处理中，只要不特别说明，处理动作主体都是CPU807。
首先，OS启动(步骤S900)。然后，OS读取文件转向驱动程序810A和存储器访问控制驱动程序810B，在执行用存储器808上展开这些驱动程序(步骤S901)。此时，文件转向驱动程序810A和存储器访问控制驱动程序810B以尚未变为有效(无效的)状态被读取。
启动文件管理服务811B(步骤S902)，调查在记忆用存储器811内是否存在存储文件811A(步骤S903)。
当不存在存储文件811A时(存储文件一旦生成，即使OS结束也不被删除，因此仅便携式电话800的初次启动时与这种情况相当)，文件管理服务811B中的存储器区域确保功能(参照图2)读取存储器区域设定数据811C(参照图10)。然后，判断记忆用存储器811中的空闲容量是否充足(步骤S904)。例如，当在存储器区域设定数据811C中将空闲容量设定为需要8MB时，存储器区域确保功能判断记忆用存储器811的空闲容量是否在8MB以上。
当判断为记忆用存储器811内空闲容量不足时，存储器区域确保功能在未图示的显示部中显示警告，促使用户对存储器区域设定数据811C的内容进行修正，使OS结束(步骤S905)。
当判断为空闲容量充足时，存储器区域确保功能在记忆用存储器811内确保在存储器区域设定数据811C中表示的容量，生成存储文件811A(步骤S906)。
然后，将文件转向驱动程序810A的功能有效化。由此，存储文件811A，以作为用于用户保存数据的文件夹而可以访问的方式与已有的文件系统结合，并且，当对该文件夹(虚拟文件夹)内访问时，将其访问目的地转向至该存储文件811A内(步骤S907)。
另外，为了控制对文件夹的访问而生成存储器访问控制驱动程序810B，在步骤S907中实际执行该访问控制。
在第二实施方式中，存储文件811A被以排他的方式(文件管理服务811B以外的进程无法访问)加载到记忆用存储器811内，因此，通过文件管理服务811B以排他的方式打开存储文件811A，禁止从其它进程访问存储文件811A。从而可以防止写入存储文件811A的信息不正当地外流。
另外，第一实施方式中为了保存数据而使用了执行用存储器108，但与之相比，记忆用存储器811的容量一般更大，因此可以保管更多的数据。
而且，在图9(b)中，当存在便携式电话结束请求时，释放存储文件811A(步骤S910)，将文件转向驱动程序810A无效(步骤S911)。然后，OS停止(步骤S912)。如前所述，通过OS结束，虽然不从记忆用存储器811内删除存储文件811A，但删除在存储文件811A中存储的数据。
(3)存储器区域设定数据的例子
图10是表示存储器区域设定数据811C的例子的图。如图所示，存储器区域设定数据811C具有容量1001、结合名1002、结合目的地1003、文件路径1004这4个项目。在此例的情况下，将容量1001设定为8MB，将结合名1002设定为“虚拟文件夹”，将结合目的地1003设定为“”，将文件路径1004设定为“”。
这样，结合名成为了虚拟文件夹，如图5所示，在“”以下生成文件夹，表面上对那里进行访问。如前所述，数据实际上不存储在这里，而被转向存储于在记忆用存储器811内生成的存储文件811A中。
此外，文件管理服务811B的功能结构图与图2相同。便携式电话800启动处理前后的文件夹一览的画面例与图5相同。对虚拟文件夹内的文件的访问的处理与图6相同。对文件管理服务811B访问时的处理与图7相同。
另外，在从PC801利用文件传输应用程序806A向便携式电话800访问文件管理服务811B前，以便携式电话号码等便携式电话800固有的终端号码进行认证，仅可以访问事先登记的便携式电话，由此也可以防止数据导出至预想之外的便携式电话。
而且，如第一实施方式中说明的那样，也可以通过远程操作删除机密数据。
<总结>
在本实施方式中，在便携式电话内的存储器(执行用存储器)内，确保规定容量的易失性存储器区域(在OS结束时被清除的区域)，使其与文件夹生成区域中生成的虚拟文件夹链接。并且，当发生对虚拟文件夹的访问时，将该访问转向至易失性存储器区域。由此，用户可以像存储在通常的文件夹中的文件那样来处理机密文件。另外，移动供应商以外的企业能够基于已有的OS镜像(image)实现数据保管。
另外，本实施方式中，禁止从邮件程序、阅读程序或编辑程序等一般应用程序访问易失性存储器区域，仅许可文件管理服务(应用程序)访问易失性存储器区域。由此，即使在便携式电话中保管了机密文件，由于禁止在便携式电话的显示部中显示机密数据、或者添加在邮件中传输到其它PC，因此可以保证机密数据的机密性。
另外，文件管理服务，在便携式电话的OS结束时，从执行用存储器中清除易失性存储器区域，并且清除虚拟文件夹。
在本实施方式中，便携式电话在OS启动时将非易失性存储器的一部分确保为在OS结束后也继续存在的存储器区域、即非易失性文件区域(存储文件)，将用于保存从PC传输来的机密文件的文件夹与非易失性文件区域结合。另外，在OS启动中，将对文件夹内的访问转向至存储文件。并且，存储文件中存储的机密文件，仅通过文件管理服务以排他的方式被公开。
通过如上述那样操作，例如可以防止伴随便携式电话的正规用户的便携式电话误操作而使从PC传输到便携式电话的机密数据外流。另外，可以防止具有不正当使用的意图的、正规用户从便携式电话中导出数据，或者便携式电话丢失时得到便携式电话的非正规用户导出数据。这样，可以安全地管理机密数据。另外，也可以从PC向便携式电话传输机密数据来安全地保管，在其它PC中使用该机密数据，因此，可以提供对用户而言便利性非常高的使用环境。
本实施方式的功能也可以通过软件的程序代码来实现。此时，向系统或装置提供记录有程序代码的存储介质，该系统或装置的计算机(或CPU、MPU)读出存储在存储介质中的程序代码。在这种情况下，从存储介质读出的程序代码本身实现所述实施方式的功能，该程序代码本身、以及对其进行了存储的存储介质构成本发明。作为这种用于提供程序代码的存储介质而使用例如floppy(注册商标)盘、CD-ROM、DVD-ROM、硬盘、光盘、光磁盘、CD-R、磁带、非易失性存储卡、ROM等。
另外，也可以根据程序代码的指示，由在计算机上运行的OS(操作系统)等进行实际处理的一部分或全部，通过该处理来实现所述实施方式的功能。
而且，在将从存储介质读出的程序代码写入计算机上的存储器后，也可以根据该程序代码的指示，由计算机的CPU等进行实际处理的一部分或全部，通过该处理来实现所述的实施方式的功能。
另外，实现实施方式的功能的软件的程序代码经由网络被分发，由此存储在系统或装置的硬盘、存储器等存储单元或CD-RW、CD-R等存储介质中，该系统或装置的计算机(或CPU、MPU)读出该存储单元或该存储介质中存储的程序代码并执行，由此也可以实现所述实施方式的功能。