JP2603344B2 - コンピュータ・システムのファイルに対する機密的アクセスの管理方法 - Google Patents
コンピュータ・システムのファイルに対する機密的アクセスの管理方法Info
- Publication number
- JP2603344B2 JP2603344B2 JP1309440A JP30944089A JP2603344B2 JP 2603344 B2 JP2603344 B2 JP 2603344B2 JP 1309440 A JP1309440 A JP 1309440A JP 30944089 A JP30944089 A JP 30944089A JP 2603344 B2 JP2603344 B2 JP 2603344B2
- Authority
- JP
- Japan
- Prior art keywords
- file
- security label
- read
- label
- security
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2113—Multi-level security, e.g. mandatory access control
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Description
【発明の詳細な説明】 [産業上の利用分野] 本発明はコンピュータ・システムにおける機密保護、
特に、認可されたユーザによるコンピュータ・システム
内ファイルへの機密的なアクセスの制御に関する。
特に、認可されたユーザによるコンピュータ・システム
内ファイルへの機密的なアクセスの制御に関する。
[従来技術の説明] コンピュータ機密保護はますます重要かつ緊急な課題
となってきている。これを裏付けるものとして、今日懸
念されるものは、コンピュータウィルスである。このコ
ンピュータ・ウィルスがもしコンピュータシステムに導
入された場合、それは保護されていないデータを読取る
能力、あるいは破壊する能力、またはその両方を持つ。
実際に、多くのこのようなウィルスの攻撃は最近全国的
な注目を浴びている。
となってきている。これを裏付けるものとして、今日懸
念されるものは、コンピュータウィルスである。このコ
ンピュータ・ウィルスがもしコンピュータシステムに導
入された場合、それは保護されていないデータを読取る
能力、あるいは破壊する能力、またはその両方を持つ。
実際に、多くのこのようなウィルスの攻撃は最近全国的
な注目を浴びている。
コンピュータ機密保護とは、包括的な用語である。こ
の言葉は、コンピュータやコンピュータシステムを保護
する多くの側面を含んでいる。機密保護問題は、認可さ
れていないユーザやプログラムによるシステムアクセス
と、限られたユーザやユーザ集団へのファイルアクセス
の制御とを含む。ここでは主にファイルへのアクセスの
制御に関して述べる。ファイルへのアクセスを保護する
ための標準的な技術は許容(permission)という手段に
よる。例えばユニックス(UNIX、AT&Tの登録商標)オ
ペレーティングシステムの商業用バージョンでは、各フ
ァイルには1組の“読取り”許容ビットおよび“書込
み”許容ビットが関係づけられている。実際に、各ファ
イル用として、このような許容ビットの組が3組あり、
1組はファイルの所有者用、1組はファイルに関係づけ
られたグループの構成員用、そして残る1組は、システ
ムの他のすべてのユーザー用である。ファイルの所有者
はこれら3組の許容ビットの状態を制御する。従ってフ
ァイル所有者は、集団のメンバーや他のシステムユーザ
ー用の“読取り”ビットおよび“書込み”ビットを非許
容状態にすることによって、他人がファイルを読取った
り、書込んだりすることを防ぐことができる。反対に、
ファイル所有者は、“読取り”ビットおよび“書込み”
ビットを全ユーザーに結び付けるように設定することに
よって、全システムユーザーにファイルの全アクセスを
許可することもできる。
の言葉は、コンピュータやコンピュータシステムを保護
する多くの側面を含んでいる。機密保護問題は、認可さ
れていないユーザやプログラムによるシステムアクセス
と、限られたユーザやユーザ集団へのファイルアクセス
の制御とを含む。ここでは主にファイルへのアクセスの
制御に関して述べる。ファイルへのアクセスを保護する
ための標準的な技術は許容(permission)という手段に
よる。例えばユニックス(UNIX、AT&Tの登録商標)オ
ペレーティングシステムの商業用バージョンでは、各フ
ァイルには1組の“読取り”許容ビットおよび“書込
み”許容ビットが関係づけられている。実際に、各ファ
イル用として、このような許容ビットの組が3組あり、
1組はファイルの所有者用、1組はファイルに関係づけ
られたグループの構成員用、そして残る1組は、システ
ムの他のすべてのユーザー用である。ファイルの所有者
はこれら3組の許容ビットの状態を制御する。従ってフ
ァイル所有者は、集団のメンバーや他のシステムユーザ
ー用の“読取り”ビットおよび“書込み”ビットを非許
容状態にすることによって、他人がファイルを読取った
り、書込んだりすることを防ぐことができる。反対に、
ファイル所有者は、“読取り”ビットおよび“書込み”
ビットを全ユーザーに結び付けるように設定することに
よって、全システムユーザーにファイルの全アクセスを
許可することもできる。
このファイル許容技術は、ユーザーが機密保護問題に
敏感であり、制御すべき許容ビットをこつこつと処理す
る場合には、すべてのシステムにおいて効果がある。し
かし、すべてのシステムユーザーが勤勉なわけではな
い。許容ビット案は、それ自体では、総合的なシステム
機密保護において潜在的に弱いリンクを示す。さらに、
許容ビット案が不利な点は、必然的にその融通性が制限
されることである。いくつかのシステムは、ユーザー
と、同様にファイルについても、多数のレベルの定めら
れた機密保護分類を要求する。軍用システムはこのよう
なシステムの好例であり、このシステムにおいては、フ
ァイルは非機密扱いから最高機密事項までのレベルおよ
び、さらにレベルが適用されるコンパートメントに分類
される。このようなファイルへのアクセスは、適当な機
密保護関与許可(clearance)を持つユーザーに制限さ
れるべきであり、機密保護分類はシステム内をファイル
が動くにあたって、ファイルに伴なわねばならない。こ
のようなラベルシステムにおいて、ファイルとユーザー
プロセスには機密保護ラベルが割当てられる。ユーザー
プロセスは、プロセス機密保護ラベルがファイルの機密
保護ラベルより優位にない限りファイルを読取れない。
“優位にある”とは、プロセスの機密保護ラベルが、フ
ァイル機密保護ラベルに従ってファイルへのアクセスが
許可されるに十分であるとされる場合を意味する。同様
に、プロセスは、ファイルのラベルがプロセスのラベル
と最低でも同じ高さにない限り、ファイルを書込むこと
はできない。
敏感であり、制御すべき許容ビットをこつこつと処理す
る場合には、すべてのシステムにおいて効果がある。し
かし、すべてのシステムユーザーが勤勉なわけではな
い。許容ビット案は、それ自体では、総合的なシステム
機密保護において潜在的に弱いリンクを示す。さらに、
許容ビット案が不利な点は、必然的にその融通性が制限
されることである。いくつかのシステムは、ユーザー
と、同様にファイルについても、多数のレベルの定めら
れた機密保護分類を要求する。軍用システムはこのよう
なシステムの好例であり、このシステムにおいては、フ
ァイルは非機密扱いから最高機密事項までのレベルおよ
び、さらにレベルが適用されるコンパートメントに分類
される。このようなファイルへのアクセスは、適当な機
密保護関与許可(clearance)を持つユーザーに制限さ
れるべきであり、機密保護分類はシステム内をファイル
が動くにあたって、ファイルに伴なわねばならない。こ
のようなラベルシステムにおいて、ファイルとユーザー
プロセスには機密保護ラベルが割当てられる。ユーザー
プロセスは、プロセス機密保護ラベルがファイルの機密
保護ラベルより優位にない限りファイルを読取れない。
“優位にある”とは、プロセスの機密保護ラベルが、フ
ァイル機密保護ラベルに従ってファイルへのアクセスが
許可されるに十分であるとされる場合を意味する。同様
に、プロセスは、ファイルのラベルがプロセスのラベル
と最低でも同じ高さにない限り、ファイルを書込むこと
はできない。
ファイルアクセス制御は、上述の許容方式およびラベ
ル方式を含めて“暗号手法とデータ機密保護”(Crypto
graphy and Data Security)(ディー・デニング
(D.Denning)、アディソン・ウェスリー(Addison−We
sley)、1982年、第4巻、191頁〜258頁)に論述されて
いる。さらにこの本の287頁には、通例、動的機密保護
ラベルと呼ばれる方式も論述されている。この動的機密
保護ラベル方式では、ファイルとプロセスの機密保護ラ
ベルは必要に応じて引き上げられ、プロセスにファイル
のアクセスを許容する。このような動的ラベル方式とと
もに、システム外部の宛先への根本的に認可されないデ
ータ漏れを防ぐために、いくつかの追加の保護形態を用
いなければならない。動的機密保護ラベル方式は固定ラ
ベル型の方式より有効である。固定ラベル方式は、シス
テムユーザーを抑圧する(suffocate)傾向があり、深
刻な場合には、システムの融通のきく、生産的な使用を
ほとんど不可能にする恐れがある。動的ラベルは機密保
護の適当なレベルを供給する一方、固定ラベルのこのよ
うな抑圧傾向を和らげる。しかし、動的機密保護ラベル
方式は、2つの理由のため一般的には全く使われなてい
ない。第1に、この技術は、機密保護妨害の(breach)
の起こり得る隠れたチャネルを導入することが知られて
いる。しかし、これは深刻な問題ではない。生じる隠れ
たチャネルは一般に、帯域幅において、システムコール
当たりおよそ1ビットの情報に制限されている。従っ
て、このような隠されたチャネルを通しての有効な量の
情報の“密出入(smuggle)“の試みは、比較的簡単な
手段によって検出できる。さらに、このようなチャネル
を使用するためには、ユーザーは既にデータを使うため
にクリアされていなければならない。第2に、さらに重
要な問題として、各読取り、書込み操作におけるプロセ
スとファイルのラベルの確認(verification)は、ルー
チンシステム処理に大量のオーバヘッドの追加を要す
る。従ってアクセス認可ラベルのこのオーバヘッドを減
少する方法を見出し、それによって動的機密保護ラベル
方式の有効な使用を可能にすることが望ましい。
ル方式を含めて“暗号手法とデータ機密保護”(Crypto
graphy and Data Security)(ディー・デニング
(D.Denning)、アディソン・ウェスリー(Addison−We
sley)、1982年、第4巻、191頁〜258頁)に論述されて
いる。さらにこの本の287頁には、通例、動的機密保護
ラベルと呼ばれる方式も論述されている。この動的機密
保護ラベル方式では、ファイルとプロセスの機密保護ラ
ベルは必要に応じて引き上げられ、プロセスにファイル
のアクセスを許容する。このような動的ラベル方式とと
もに、システム外部の宛先への根本的に認可されないデ
ータ漏れを防ぐために、いくつかの追加の保護形態を用
いなければならない。動的機密保護ラベル方式は固定ラ
ベル型の方式より有効である。固定ラベル方式は、シス
テムユーザーを抑圧する(suffocate)傾向があり、深
刻な場合には、システムの融通のきく、生産的な使用を
ほとんど不可能にする恐れがある。動的ラベルは機密保
護の適当なレベルを供給する一方、固定ラベルのこのよ
うな抑圧傾向を和らげる。しかし、動的機密保護ラベル
方式は、2つの理由のため一般的には全く使われなてい
ない。第1に、この技術は、機密保護妨害の(breach)
の起こり得る隠れたチャネルを導入することが知られて
いる。しかし、これは深刻な問題ではない。生じる隠れ
たチャネルは一般に、帯域幅において、システムコール
当たりおよそ1ビットの情報に制限されている。従っ
て、このような隠されたチャネルを通しての有効な量の
情報の“密出入(smuggle)“の試みは、比較的簡単な
手段によって検出できる。さらに、このようなチャネル
を使用するためには、ユーザーは既にデータを使うため
にクリアされていなければならない。第2に、さらに重
要な問題として、各読取り、書込み操作におけるプロセ
スとファイルのラベルの確認(verification)は、ルー
チンシステム処理に大量のオーバヘッドの追加を要す
る。従ってアクセス認可ラベルのこのオーバヘッドを減
少する方法を見出し、それによって動的機密保護ラベル
方式の有効な使用を可能にすることが望ましい。
(発明の概要) 本発明は、コンピュータ・システムのファイルへの機
密的なアクセスを管理する方法に関する。第1および第
2の機密保護ラベルがファイルとプロセスにそれぞれ結
合される。与えられたプロセス・ファイル対において、
第1の機密保護ラベルは、プロセスによるファイル読取
り(または書込み)の試みに応じて、第2の機密保護ラ
ベルと比較される。読取り(または書込み)操作の宛先
ファイルまたは宛先プロセスの機密保護ラベルがソース
ファイルまたはソースプロセスの機密保護ラベルより優
位にない場合には、宛先の機密保護ラベルが動的に十分
引き上げられ、ソースの機密保護ラベルより優位とな
る。読取り操作のソースと宛先は、例えば、それぞれフ
ァイルとプロセスである。プロセスとファイルの機密保
護ラベルの比較の後、このプロセスとファイルに結合し
た標識は、そのファイルはこのプロセス・ファイル対に
対しては安全であることを示す第1状態に設定される。
目下、このファイルのアクセスが可能である他の全プロ
セスの標識は、このファイルはこれらはプロセス・ファ
イル対に対して安全でないことを示す第2の状態に設定
される。読取り(または書込み)操作におけるファイル
とプロセスの機密保護ラベルを検査する段階は、プロセ
ス・ファイル対の標識が安全状態に設定されている場合
は省略される。
密的なアクセスを管理する方法に関する。第1および第
2の機密保護ラベルがファイルとプロセスにそれぞれ結
合される。与えられたプロセス・ファイル対において、
第1の機密保護ラベルは、プロセスによるファイル読取
り(または書込み)の試みに応じて、第2の機密保護ラ
ベルと比較される。読取り(または書込み)操作の宛先
ファイルまたは宛先プロセスの機密保護ラベルがソース
ファイルまたはソースプロセスの機密保護ラベルより優
位にない場合には、宛先の機密保護ラベルが動的に十分
引き上げられ、ソースの機密保護ラベルより優位とな
る。読取り操作のソースと宛先は、例えば、それぞれフ
ァイルとプロセスである。プロセスとファイルの機密保
護ラベルの比較の後、このプロセスとファイルに結合し
た標識は、そのファイルはこのプロセス・ファイル対に
対しては安全であることを示す第1状態に設定される。
目下、このファイルのアクセスが可能である他の全プロ
セスの標識は、このファイルはこれらはプロセス・ファ
イル対に対して安全でないことを示す第2の状態に設定
される。読取り(または書込み)操作におけるファイル
とプロセスの機密保護ラベルを検査する段階は、プロセ
ス・ファイル対の標識が安全状態に設定されている場合
は省略される。
あるファイルの機密保護ラベルは凍結状態にある。こ
のようなファイルの機密保護ラベルは、読取り、書込み
操作の試みに応じて変更され得ない。従って凍結状態に
あるファイルの書込みの試みは、書込みプロセスの機密
保護ラベルが、そのファイルのそれより優位にある場合
には拒絶される。この機構は外部媒体の機密保護ラベル
が、データへのアクセスのための媒体をクリアしない限
り、データが、端末ディスクドライブ、テープドライブ
やその他同様のもののような、システムの外部媒体へ書
込まれないことの保証に用いられる。
のようなファイルの機密保護ラベルは、読取り、書込み
操作の試みに応じて変更され得ない。従って凍結状態に
あるファイルの書込みの試みは、書込みプロセスの機密
保護ラベルが、そのファイルのそれより優位にある場合
には拒絶される。この機構は外部媒体の機密保護ラベル
が、データへのアクセスのための媒体をクリアしない限
り、データが、端末ディスクドライブ、テープドライブ
やその他同様のもののような、システムの外部媒体へ書
込まれないことの保証に用いられる。
本発明の1つの実施例では、各プロセス・ファイル対
の安全/非安全標識は実際には、“読取り安全”標識と
“書込み安全”機構の2つの標識からなる。与えられた
プロセス・ファイルにおいて、その対の“読取り安全”
標識は、プロセスによるファイル読取り要求に対して、
プロセスの機密保護ラベルがファイルの機密保護ラベル
の優位に有る場合、またはプロセスの機密保護ラベルが
読取りの結果、引き上げられる場合には安全状態に、設
定される。同様にこの対の“書込み安全”標識はファイ
ル書込み要求に対して、ファイルのラベルが優位にある
かまたは引き上げられる場合には安全状態に設定され
る。当該ファイルと結合する他の全プロセスの全“読取
り安全”標識は、ファイル書込み要求に対して、ファイ
ルラベルが引き上げられる場合には非安全状態に設定さ
れ、当該プロセスと結合する他の全ファイルの全“書込
み安全”標識は、プロセスラベルが引き上げられる場合
には非安全状態に設定される。
の安全/非安全標識は実際には、“読取り安全”標識と
“書込み安全”機構の2つの標識からなる。与えられた
プロセス・ファイルにおいて、その対の“読取り安全”
標識は、プロセスによるファイル読取り要求に対して、
プロセスの機密保護ラベルがファイルの機密保護ラベル
の優位に有る場合、またはプロセスの機密保護ラベルが
読取りの結果、引き上げられる場合には安全状態に、設
定される。同様にこの対の“書込み安全”標識はファイ
ル書込み要求に対して、ファイルのラベルが優位にある
かまたは引き上げられる場合には安全状態に設定され
る。当該ファイルと結合する他の全プロセスの全“読取
り安全”標識は、ファイル書込み要求に対して、ファイ
ルラベルが引き上げられる場合には非安全状態に設定さ
れ、当該プロセスと結合する他の全ファイルの全“書込
み安全”標識は、プロセスラベルが引き上げられる場合
には非安全状態に設定される。
(実施例の説明) ここで述べる動的機密保護ラベルの方式はユニックス
(UNIX)オペレーティングシステムの研究バージョンで
実現されているものである。(ユニックス(UNIX)はAT
&Tの登録商標)。本発明はこのオペレーティングシス
テムによって説明する。しかしながらこの実現は本発明
の、一実施であり、他のオペレーティングシステムへの
本発明の適用を制限するものではない。ユニックス(UN
IX)システムにおいてプロセス(p)はファイル(f)
に作用する。1つのファイルはいつでも1つ以上のプロ
セスと関係づけられることが可能である。このような各
プロセス・ファイル関係はファイル記述子(d)によっ
て確認される。プロセスは、子プロセス、すなわちそれ
自身のイメージを生じ得る。このような子プロセスは、
プロセス機密保護ラベルのような、ある特性を親プロセ
スから受け継ぐ。しかし、子プロセスについては新しい
ファイル記述子が生じる。従って、ファイル記述子は一
意的に、プロセス・ファイル関係の各インスタンスを識
別する。ユニックス(UNIX)システムのもう1つの特性
は、システム外部媒体もまたファイルによって表わされ
ることである。従って、端末、ディスクドライブ、テー
プドライブや同様の外部媒体はシステム内部ではファイ
ルとして表わされる。従って端末への書込みは、端末を
表わす内部ファイルへの書込みとして達成される。ユニ
ックス(UNIX)システムのさらなる特性は、同様にファ
イルによって表わされるディレクトリへ分割されるファ
イルシステムである。各ディレクトリは通常のファイル
や他のサブディレクトリから構成可能である。
(UNIX)オペレーティングシステムの研究バージョンで
実現されているものである。(ユニックス(UNIX)はAT
&Tの登録商標)。本発明はこのオペレーティングシス
テムによって説明する。しかしながらこの実現は本発明
の、一実施であり、他のオペレーティングシステムへの
本発明の適用を制限するものではない。ユニックス(UN
IX)システムにおいてプロセス(p)はファイル(f)
に作用する。1つのファイルはいつでも1つ以上のプロ
セスと関係づけられることが可能である。このような各
プロセス・ファイル関係はファイル記述子(d)によっ
て確認される。プロセスは、子プロセス、すなわちそれ
自身のイメージを生じ得る。このような子プロセスは、
プロセス機密保護ラベルのような、ある特性を親プロセ
スから受け継ぐ。しかし、子プロセスについては新しい
ファイル記述子が生じる。従って、ファイル記述子は一
意的に、プロセス・ファイル関係の各インスタンスを識
別する。ユニックス(UNIX)システムのもう1つの特性
は、システム外部媒体もまたファイルによって表わされ
ることである。従って、端末、ディスクドライブ、テー
プドライブや同様の外部媒体はシステム内部ではファイ
ルとして表わされる。従って端末への書込みは、端末を
表わす内部ファイルへの書込みとして達成される。ユニ
ックス(UNIX)システムのさらなる特性は、同様にファ
イルによって表わされるディレクトリへ分割されるファ
イルシステムである。各ディレクトリは通常のファイル
や他のサブディレクトリから構成可能である。
第1図はプロセス(p)またはファイル(f)と結合
している機密保護ラベルの概念を紹介している。第1図
の機密保護ラベルの実施例は2つのセクションに分割さ
れている。第1の“機密保護レベル”セクションは総合
的な機密保護レベルの数表示を記憶する。このセクショ
ンは例えば3ビットからなり、通例の軍事文書分類レベ
ル、すなわち非機密扱い事項、一般機密事項、重要機密
および最高機密事項を表わすために、2進符号化され
る。第1図の第2セクション“機密保護コンパーメント
“は、さらに“機密保護レベル”を分割する。これらの
ビットは、例えば、機密保護レベルが適用される個々の
国々を表わす。例えば、“機密保護コンパーメント”の
最初の2ビットは、それぞれ国Aと国Bを表わす。動的
機密保護ラベルの使用によって、ファイルがシステム内
で読取られ、書込まれるとともに、そのファイルと読取
り・書込み操作を実行するプロセスに結合した各ラベル
は、必要に応じて引き上げられる。読取り操作におい
て、プロセスラベル引き上げられ、読取られる操作にお
いて、プロセスラベルは引き上げられ、読取られるファ
イルのラベルより優位となる。書込み操作において、フ
ァイルラベルは引き上げられ、書込みを実行するプロセ
スのラベルより優位となる。しかし、本発明の一側面に
従って、端末、ディスクドライブ、テープドライブなど
のような外部媒体に結合する機密保護ラベルは凍結し
て、本発明とは関連のない機構によらなけれ変更され得
ない。従って、書込みプロセスのラベルより優位にない
機密保護ラベルを持つ、外部媒体を表わすファイルへの
書込みの試みは拒絶される。
している機密保護ラベルの概念を紹介している。第1図
の機密保護ラベルの実施例は2つのセクションに分割さ
れている。第1の“機密保護レベル”セクションは総合
的な機密保護レベルの数表示を記憶する。このセクショ
ンは例えば3ビットからなり、通例の軍事文書分類レベ
ル、すなわち非機密扱い事項、一般機密事項、重要機密
および最高機密事項を表わすために、2進符号化され
る。第1図の第2セクション“機密保護コンパーメント
“は、さらに“機密保護レベル”を分割する。これらの
ビットは、例えば、機密保護レベルが適用される個々の
国々を表わす。例えば、“機密保護コンパーメント”の
最初の2ビットは、それぞれ国Aと国Bを表わす。動的
機密保護ラベルの使用によって、ファイルがシステム内
で読取られ、書込まれるとともに、そのファイルと読取
り・書込み操作を実行するプロセスに結合した各ラベル
は、必要に応じて引き上げられる。読取り操作におい
て、プロセスラベル引き上げられ、読取られる操作にお
いて、プロセスラベルは引き上げられ、読取られるファ
イルのラベルより優位となる。書込み操作において、フ
ァイルラベルは引き上げられ、書込みを実行するプロセ
スのラベルより優位となる。しかし、本発明の一側面に
従って、端末、ディスクドライブ、テープドライブなど
のような外部媒体に結合する機密保護ラベルは凍結し
て、本発明とは関連のない機構によらなけれ変更され得
ない。従って、書込みプロセスのラベルより優位にない
機密保護ラベルを持つ、外部媒体を表わすファイルへの
書込みの試みは拒絶される。
動的ラベルの使用の一例として、プロセスが、初期機
密保護ラベル“011 00…”(国A、国Bに対するクリ
アランスを持たない、重要機密保護レベル)を持つ処理
であると仮定する。さらにそのプロセスが新しいファイ
ル“新ファイル”を生成すると仮定する。新しいファイ
ルは初めはデフォルト(default)により“000 00…”
とラベルされる。そのプロセスがファイルの名称のディ
レクトリへの書込みを試みると、ディレクトリの機密保
護ラベルが、必要であれば最低でもプロセスの機密保護
ラベルと同じまで引き上げられる。そのプロセスが、国
Aに対する一般機密(001 10…)とラベルされている
もう1つのファイル“旧ファイル”を読取ると仮定す
る。この場合、プロセスラベルは、そのプロセスとファ
イル“旧ファイル”のラベルの論理和(union)[(011
00 …)∪(001 10…)=(011 10…)]まで引き
上げられる。最後に、プロセスが出力端末に結合された
ファイルへの“旧ファイル”の書込みを試みると仮定す
る。端末に結合されたファイルの機密保護ラベルが、
“旧ファイル”の機密保護ラベルより優位にない場合、
書込みは拒絶される。従って機密保護は維持される。フ
ァイルとプロセスの機密保護ラベルは、必要に応じてシ
ステム内部動作のために引き上げられる。しかし、外部
アクセスが試みられる場合のポイントに対しては、その
外部アクセス・ポイントが適切な認可を持っていない限
り、アクセスは拒絶される。
密保護ラベル“011 00…”(国A、国Bに対するクリ
アランスを持たない、重要機密保護レベル)を持つ処理
であると仮定する。さらにそのプロセスが新しいファイ
ル“新ファイル”を生成すると仮定する。新しいファイ
ルは初めはデフォルト(default)により“000 00…”
とラベルされる。そのプロセスがファイルの名称のディ
レクトリへの書込みを試みると、ディレクトリの機密保
護ラベルが、必要であれば最低でもプロセスの機密保護
ラベルと同じまで引き上げられる。そのプロセスが、国
Aに対する一般機密(001 10…)とラベルされている
もう1つのファイル“旧ファイル”を読取ると仮定す
る。この場合、プロセスラベルは、そのプロセスとファ
イル“旧ファイル”のラベルの論理和(union)[(011
00 …)∪(001 10…)=(011 10…)]まで引き
上げられる。最後に、プロセスが出力端末に結合された
ファイルへの“旧ファイル”の書込みを試みると仮定す
る。端末に結合されたファイルの機密保護ラベルが、
“旧ファイル”の機密保護ラベルより優位にない場合、
書込みは拒絶される。従って機密保護は維持される。フ
ァイルとプロセスの機密保護ラベルは、必要に応じてシ
ステム内部動作のために引き上げられる。しかし、外部
アクセスが試みられる場合のポイントに対しては、その
外部アクセス・ポイントが適切な認可を持っていない限
り、アクセスは拒絶される。
ユニックス(UNIX)オペレーティングシステムにおい
て、プロセス(p)によってオープンされる各ファイル
(f)は唯一のファイル記述子(d)によって識別され
る。2つの別個のプロセスが、同じファイルをオープン
すると、各プロセス・ファイル対は両プロセスが同じフ
ァイルを使用しているにもかかわらず、異なるファイル
記述子によって同様に、識別される。第2図はこのプロ
セス・ファイル配合(arrangement)を示す図である。
この図において、ファイル(f)とプロセス(p)は点
線によってファイル記述子(d)に連結されている。プ
ロセスがファイルを引用する場合は、この動作は、ファ
イル記述子によってオペレーティングシステムを通して
行なわれる。本発明に従って、他の2つの標識、すなわ
ち“読取り安全”ビットと“書込み安全”ビットがファ
イル記述子に結合される。これらのビットは第2図にお
いてファイル記述子に実線によって取付けられて示され
ている。“安全”ビットは、受容できるシステムオーバ
ヘッドでの動的ラベル機密保護方式の使用を、以下に述
べるように可能にする。本発明にすると、各ファイルに
はさらに“凍結”標識が、第2図に示すように結合され
ている。この標識の状態は、ファイルの機密保護ラベル
が、読取りおよび書込み時に引上げ可能か否かを決定す
る。このファイル特性の使用については、端末のような
システム外部の媒体へのデータ書込みの試みに関連し
て、さらに以下に述べる。
て、プロセス(p)によってオープンされる各ファイル
(f)は唯一のファイル記述子(d)によって識別され
る。2つの別個のプロセスが、同じファイルをオープン
すると、各プロセス・ファイル対は両プロセスが同じフ
ァイルを使用しているにもかかわらず、異なるファイル
記述子によって同様に、識別される。第2図はこのプロ
セス・ファイル配合(arrangement)を示す図である。
この図において、ファイル(f)とプロセス(p)は点
線によってファイル記述子(d)に連結されている。プ
ロセスがファイルを引用する場合は、この動作は、ファ
イル記述子によってオペレーティングシステムを通して
行なわれる。本発明に従って、他の2つの標識、すなわ
ち“読取り安全”ビットと“書込み安全”ビットがファ
イル記述子に結合される。これらのビットは第2図にお
いてファイル記述子に実線によって取付けられて示され
ている。“安全”ビットは、受容できるシステムオーバ
ヘッドでの動的ラベル機密保護方式の使用を、以下に述
べるように可能にする。本発明にすると、各ファイルに
はさらに“凍結”標識が、第2図に示すように結合され
ている。この標識の状態は、ファイルの機密保護ラベル
が、読取りおよび書込み時に引上げ可能か否かを決定す
る。このファイル特性の使用については、端末のような
システム外部の媒体へのデータ書込みの試みに関連し
て、さらに以下に述べる。
第3図および第4図はそれぞれ、プロセスによって読
取り動作あるいは書込み動作が要求された場合におい
て、オペレーティングシステムによって実行されるそれ
ぞれのアルゴリズムの流れ図を示す。第3図において、
プロセスによって読取り動作が要求されると、ステップ
300は、問題のファイル記述子に結合している。“読取
り安全”ビットを調べる。“読取り安全”ビットが設定
されている場合は、このプロセスとファイルの機密保護
ラベルが、早期の読取り動作において確認されており、
必要な場合はラベルが引き上げられていることを意味す
る。ビットの安全状態は、その時以来、その早期の確認
を無効にするようなシステム動作が起こらなかったこと
を意味する。従って“読取り安全”ビットが設定されて
いる場合は、アルゴリズムは単に終了302に移り、図示
されていないオペレーティングシステムの他の部分が読
取り動作を実行する。
取り動作あるいは書込み動作が要求された場合におい
て、オペレーティングシステムによって実行されるそれ
ぞれのアルゴリズムの流れ図を示す。第3図において、
プロセスによって読取り動作が要求されると、ステップ
300は、問題のファイル記述子に結合している。“読取
り安全”ビットを調べる。“読取り安全”ビットが設定
されている場合は、このプロセスとファイルの機密保護
ラベルが、早期の読取り動作において確認されており、
必要な場合はラベルが引き上げられていることを意味す
る。ビットの安全状態は、その時以来、その早期の確認
を無効にするようなシステム動作が起こらなかったこと
を意味する。従って“読取り安全”ビットが設定されて
いる場合は、アルゴリズムは単に終了302に移り、図示
されていないオペレーティングシステムの他の部分が読
取り動作を実行する。
ステップ300において、“読取り安全”ビットが設定
されていない場合は、プロセスとファイルの機密保護ラ
ベルが確認される。ステップ304は、問題のファイルの
ラベルより、読取り要求をしているプロセスのラベルの
方が優位であるか否かを判断する。もしプロセスのラベ
ルの方が優位であれば、プロセスによるファイル読取り
は他に何の手続きもなく認可される。この場合ステップ
310において、“読取り安全”ビットが設定され、アル
ゴリズムは終了312に移り、オペレーティングシステム
の他の部分が読取り動作を実行する。
されていない場合は、プロセスとファイルの機密保護ラ
ベルが確認される。ステップ304は、問題のファイルの
ラベルより、読取り要求をしているプロセスのラベルの
方が優位であるか否かを判断する。もしプロセスのラベ
ルの方が優位であれば、プロセスによるファイル読取り
は他に何の手続きもなく認可される。この場合ステップ
310において、“読取り安全”ビットが設定され、アル
ゴリズムは終了312に移り、オペレーティングシステム
の他の部分が読取り動作を実行する。
ステップ304において、プロセスの機密保護ラベルが
ファイルの機密保護ラベルより優位にない場合は、ステ
ップ306がプロセスのラベルを適当量だけ引き上げる。
本実施例において、プロセスラベルの引上げは、現段階
のプロセスラベルと現段階でのファイルラベルとを論理
和演算(OR)することによって実行される。次にステッ
プ308において、オペレーティングシステムは、現段階
でのプロセス(p)に結合する全ファイル記述子(d)
を検索し、これらを決定する。ステップ308は、発見さ
れたファイル記述子に結合する全“書込み安全”ビット
をクリアする。これは、プロセス機密保護ラベルの引上
げが、このプロセスによる将来の書込み動作を再確認な
しでは安全でないようにするために必要なことである。
これらの動作が実行された後、ステップ310は“読取り
安全”ビットをこの特定のファイル記述子に設定し、ア
ルゴリズムは、終了312において終了する。
ファイルの機密保護ラベルより優位にない場合は、ステ
ップ306がプロセスのラベルを適当量だけ引き上げる。
本実施例において、プロセスラベルの引上げは、現段階
のプロセスラベルと現段階でのファイルラベルとを論理
和演算(OR)することによって実行される。次にステッ
プ308において、オペレーティングシステムは、現段階
でのプロセス(p)に結合する全ファイル記述子(d)
を検索し、これらを決定する。ステップ308は、発見さ
れたファイル記述子に結合する全“書込み安全”ビット
をクリアする。これは、プロセス機密保護ラベルの引上
げが、このプロセスによる将来の書込み動作を再確認な
しでは安全でないようにするために必要なことである。
これらの動作が実行された後、ステップ310は“読取り
安全”ビットをこの特定のファイル記述子に設定し、ア
ルゴリズムは、終了312において終了する。
第4図において、プロセスによって書込み動作が要求
されると、ステップ400は、問題のファイル記述子に結
合している“書込み安全”ビットを調べる。“書込み安
全”ビットが設定されている場合は、このプロセスとフ
ァイルの機密保護ラベルが早期の書込み動作によって確
認され、必要な場合にはラベルが引き上げられているこ
とを意味する。ビットの安全状態は、その時以来、その
早期の確認を無効にするようなシステム動作が、起こっ
ていないことを意味する。従って“書込み安全”ビット
が設定されている場合は、アルゴリズムは単に終了402
に移り、図示されていないオペレーティングシステムの
他の部分が書込み動作を実行する。
されると、ステップ400は、問題のファイル記述子に結
合している“書込み安全”ビットを調べる。“書込み安
全”ビットが設定されている場合は、このプロセスとフ
ァイルの機密保護ラベルが早期の書込み動作によって確
認され、必要な場合にはラベルが引き上げられているこ
とを意味する。ビットの安全状態は、その時以来、その
早期の確認を無効にするようなシステム動作が、起こっ
ていないことを意味する。従って“書込み安全”ビット
が設定されている場合は、アルゴリズムは単に終了402
に移り、図示されていないオペレーティングシステムの
他の部分が書込み動作を実行する。
ステップ400において、“書込み安全”ビットが設定
されていない場合は、プロセスとファイルの機密保護ラ
ベルが確認される。ステップ404は、問題のファイルの
ラベルが、書込み要求をしているプロセスのラベルより
優位であるか否かを決定する。もしファイルのラベルが
優位であれば、プロセスによるファイルの書込みは他の
何の手続きもなく認可される。この場合、ステップ414
において、“書込み安全”ビットが設定されアルゴリズ
ムは終了416に移り、オペレーティングシステムの他の
部分が書込み動作を実行する。
されていない場合は、プロセスとファイルの機密保護ラ
ベルが確認される。ステップ404は、問題のファイルの
ラベルが、書込み要求をしているプロセスのラベルより
優位であるか否かを決定する。もしファイルのラベルが
優位であれば、プロセスによるファイルの書込みは他の
何の手続きもなく認可される。この場合、ステップ414
において、“書込み安全”ビットが設定されアルゴリズ
ムは終了416に移り、オペレーティングシステムの他の
部分が書込み動作を実行する。
書込み動作は特別な考慮に従う。すなわち、外部媒体
への書込みは、単に媒体に結合するファイルの機密保護
ラベルを引き上げるだけでは認可されない。むしろ、こ
のような外部媒体の機密保護ラベルは、割当てられた状
態において、凍結している。従って、ステップ404にお
いて、ファイルの機密保護ラベルがプロセスの機密保護
ラベルより優位にない場合、ステップ406はファイルの
機密保護ラベルが凍結しているか否かを判断する。ラベ
ルが凍結している場合は、書込み動作は、408において
オペレーティングシステムへのエラーリターンが実行さ
れることによって拒絶される。ファイルの機密保護ラベ
ルが凍結していない場合は、ステップ410が、ファイル
のラベルを適当量だけ引き上げる。本実施例では、ファ
イルのラベルの引上げは、現段階プロセスラベルと現段
階でのファイルラベルを論理和演算(OR)することによ
って実行される。次にステップ412において、オペレー
ティングシステムは現段階でのファイル(f)に結合す
る全ファイル記述子(d)を検索し、これらを決定す
る。ステップ412は発見されたファイル記述子に結合す
るすべての“読取り安全”ビットをクリアする。“読取
り安全”ビットのクリアは、ファイルの機密保護ラベル
の引上げが、このファイルの将来の読取り動作のすべて
を、再確認なしでは安全でないようにするために、必要
である。これらの動作が実行された後、ステップ414が
4書込み安全”ビットをこの特定のファイル記述子に設
定し、アルゴリズムは終了416に移り、オペレーティン
グシステムの他の部分が即刻書込み動作を実行する。
への書込みは、単に媒体に結合するファイルの機密保護
ラベルを引き上げるだけでは認可されない。むしろ、こ
のような外部媒体の機密保護ラベルは、割当てられた状
態において、凍結している。従って、ステップ404にお
いて、ファイルの機密保護ラベルがプロセスの機密保護
ラベルより優位にない場合、ステップ406はファイルの
機密保護ラベルが凍結しているか否かを判断する。ラベ
ルが凍結している場合は、書込み動作は、408において
オペレーティングシステムへのエラーリターンが実行さ
れることによって拒絶される。ファイルの機密保護ラベ
ルが凍結していない場合は、ステップ410が、ファイル
のラベルを適当量だけ引き上げる。本実施例では、ファ
イルのラベルの引上げは、現段階プロセスラベルと現段
階でのファイルラベルを論理和演算(OR)することによ
って実行される。次にステップ412において、オペレー
ティングシステムは現段階でのファイル(f)に結合す
る全ファイル記述子(d)を検索し、これらを決定す
る。ステップ412は発見されたファイル記述子に結合す
るすべての“読取り安全”ビットをクリアする。“読取
り安全”ビットのクリアは、ファイルの機密保護ラベル
の引上げが、このファイルの将来の読取り動作のすべて
を、再確認なしでは安全でないようにするために、必要
である。これらの動作が実行された後、ステップ414が
4書込み安全”ビットをこの特定のファイル記述子に設
定し、アルゴリズムは終了416に移り、オペレーティン
グシステムの他の部分が即刻書込み動作を実行する。
上述した装置は本発明の原理を適用した一実施例に過
ぎず、当業者によって、本発明の趣旨と範囲を離れない
他の装置も考案可能である。
ぎず、当業者によって、本発明の趣旨と範囲を離れない
他の装置も考案可能である。
第1図は、第1セクションが機密レベルを決定し、第2
のセクションが、機密保護レベルを、それぞれに機密保
護レベルが適用されるコンパートメントに分割する、機
密保護ラベルの実施例の形式を示した図、 第2図は、本発明を説明する実施例のシステムにおい
て、ラベル確認オーバヘッドを減少するために用いる、
ファイル、プロセス、ファイル記述子および読取り/書
込み安全ビットの関係を示した図、 第3図は、読取り動作のための確認プロセスの流れ図、 第4図は、書込み動作のための確認プロセスの流れ図で
ある。
のセクションが、機密保護レベルを、それぞれに機密保
護レベルが適用されるコンパートメントに分割する、機
密保護ラベルの実施例の形式を示した図、 第2図は、本発明を説明する実施例のシステムにおい
て、ラベル確認オーバヘッドを減少するために用いる、
ファイル、プロセス、ファイル記述子および読取り/書
込み安全ビットの関係を示した図、 第3図は、読取り動作のための確認プロセスの流れ図、 第4図は、書込み動作のための確認プロセスの流れ図で
ある。
───────────────────────────────────────────────────── フロントページの続き (72)発明者 ジェームス エイ.リーズ アメリカ合衆国,07974ニュージャージ ィ マレー ヒル,サウスゲイト ロー ド127
Claims (10)
- 【請求項1】a.ファイルに第1の機密保護ラベルを結合
するステップと、 b.プロセスに第2の機密保護ラベルを結合するステップ
と、 c.プロセスによるファイル読取り(または書込み)の試
みに応じて、第1の機密保護ラベルと第2の機密保護ラ
ベルを比較するステップと、 d.ファイルの機密保護ラベルがプロセスの機密保護ラベ
ルより優位にない場合は、ファイルの機密保護ラベルを
動的に引き上げるステップと からなる、コンピュータ・システムのファイルに対する
機密的アクセスの管理方法において、 この方法がさらに、ステップdの後に、 e.このプロセスとファイルに結合された標識を、ステッ
プcと実行した後、ファイルが安全であることを示す第
1状態に設定するステップと、 f.その時点において、このファイルをアクセスし得る他
の全プロセスに結合された標識を、ステップdで機密保
護ラベルが変化した場合には、ファイルが他のプロセス
に関して安全でないことを示す第2状態に設定するステ
ップと、 g.プロセス・ファイル対に結合された標識が第1状態に
設定されている場合に、プロセスによる次のファイル読
取り(または書込み)の試みにおいて、ステップcから
fまでを省略するステップとを有することを特徴とする
コンピュータ・システムのファイルに対する機密的アク
セスの管理方法。 - 【請求項2】さらに、所定のファイルの機密保護ラベル
に凍結状態を結合し、それによってこのようなファイル
の機密保護ラベルが、読取り動作または書込み動作の試
みに応じて変更されることを不可能にするステップを有
することを特徴とする請求項1の方法。 - 【請求項3】ファイルが凍結状態にあり、かつ、プロセ
スの機密保護ラベルがファイルの機密保護ラベルより優
位にある場合に、ファイルの書込みを拒絶することを特
徴とする請求項2の方法。 - 【請求項4】前記所定のファイルは、システム外部の媒
体を表すことを特徴とする請求項3の方法。 - 【請求項5】前記媒体が、システムへのアクセスポート
を含むことを特徴とする請求項4の方法。 - 【請求項6】前記システムへのアクセスポートが、端
末、ディスクドライブ、テープドライブを含むことを特
徴とする請求項5の方法。 - 【請求項7】ファイル・プロセス対に結合された標識
が、さらに“読取り安全”標識と“書込み安全”標識と
を有することを特徴とする請求項1の方法。 - 【請求項8】ステップeが、さらに、 ファイル・プロセスに結合された“読取り安全”標識
を、プロセスによるファイル読取り要求に応じて安全状
態に設定するステップと、 ファイル・プロセス対に結合された“書込み安全”標識
を、ファイル書込み要求に応じて、安全状態に設定する
ステップとを含むことを特徴とする請求項7の方法。 - 【請求項9】ステップfが、さらに、前記ファイルに結
合された他のプロセスの全“読取り安全”標識を、ファ
イル書込み要求に応じて、非安全状態に設定するステッ
プを含むことを特徴とする請求項7の方法。 - 【請求項10】ステップfが、さらに、前記ファイルに
結合された他の全プロセスの全“書込み安全”標識を、
ファイル読取り要求に応じて、非安全状態に設定するス
テップを含むことを特徴とする請求項7の方法。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US07/277,630 US4984272A (en) | 1988-11-30 | 1988-11-30 | Secure file handling in a computer operating system |
| US277630 | 1988-11-30 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPH02194450A JPH02194450A (ja) | 1990-08-01 |
| JP2603344B2 true JP2603344B2 (ja) | 1997-04-23 |
Family
ID=23061714
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP1309440A Expired - Fee Related JP2603344B2 (ja) | 1988-11-30 | 1989-11-30 | コンピュータ・システムのファイルに対する機密的アクセスの管理方法 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US4984272A (ja) |
| EP (1) | EP0371673B1 (ja) |
| JP (1) | JP2603344B2 (ja) |
| CA (1) | CA2001863C (ja) |
Families Citing this family (119)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2222899B (en) * | 1988-08-31 | 1993-04-14 | Anthony Morris Rose | Securing a computer against undesired write operations or from a mass storage device |
| US5315657A (en) * | 1990-09-28 | 1994-05-24 | Digital Equipment Corporation | Compound principals in access control lists |
| US5504814A (en) * | 1991-07-10 | 1996-04-02 | Hughes Aircraft Company | Efficient security kernel for the 80960 extended architecture |
| US5475833A (en) * | 1991-09-04 | 1995-12-12 | International Business Machines Corporation | Database system for facilitating comparison of related information stored in a distributed resource |
| US5627967A (en) * | 1991-09-24 | 1997-05-06 | International Business Machines Corporation | Automated generation on file access control system commands in a data processing system with front end processing of a master list |
| US5305456A (en) * | 1991-10-11 | 1994-04-19 | Security Integration, Inc. | Apparatus and method for computer system integrated security |
| US5454000A (en) * | 1992-07-13 | 1995-09-26 | International Business Machines Corporation | Method and system for authenticating files |
| IL103062A (en) * | 1992-09-04 | 1996-08-04 | Algorithmic Res Ltd | Data processor security system |
| EP0686327B1 (en) * | 1992-12-14 | 2001-10-31 | The Commonwealth Of Australia | Message document security |
| US5369707A (en) * | 1993-01-27 | 1994-11-29 | Tecsec Incorporated | Secure network method and apparatus |
| US5349643A (en) * | 1993-05-10 | 1994-09-20 | International Business Machines Corporation | System and method for secure initial program load for diskless workstations |
| US5963962A (en) | 1995-05-31 | 1999-10-05 | Network Appliance, Inc. | Write anywhere file-system layout |
| US7174352B2 (en) | 1993-06-03 | 2007-02-06 | Network Appliance, Inc. | File system image transfer |
| US6604118B2 (en) | 1998-07-31 | 2003-08-05 | Network Appliance, Inc. | File system image transfer |
| DE69434381T2 (de) | 1993-06-04 | 2006-01-19 | Network Appliance, Inc., Sunnyvale | Verfahren zur Paritätsdarstellung in einem Raid-Untersystem unter Verwendung eines nichtflüchtigen Speichers |
| US5572711A (en) * | 1993-09-28 | 1996-11-05 | Bull Hn Information Systems Inc. | Mechanism for linking together the files of emulated and host system for access by emulated system users |
| US5369702A (en) * | 1993-10-18 | 1994-11-29 | Tecsec Incorporated | Distributed cryptographic object method |
| US5680452A (en) * | 1993-10-18 | 1997-10-21 | Tecsec Inc. | Distributed cryptographic object method |
| KR100202941B1 (ko) * | 1994-10-31 | 1999-06-15 | 배길훈 | 3방향(3축) 감속신호를 이용한 자동차용 충돌유형 판별장치 |
| US6724554B1 (en) | 1995-03-10 | 2004-04-20 | Iomega Corporation | Read/write protect scheme for a disk cartridge and drive |
| US5644444A (en) * | 1995-03-10 | 1997-07-01 | Iomega Corporation | Read/write protect scheme for a disk cartridge and drive |
| GB2299000B (en) * | 1995-03-14 | 1999-10-27 | Marconi Gec Ltd | A communications system |
| JPH08272625A (ja) * | 1995-03-29 | 1996-10-18 | Toshiba Corp | マルチプログラム実行制御装置及び方法 |
| US6011847A (en) * | 1995-06-01 | 2000-01-04 | Follendore, Iii; Roy D. | Cryptographic access and labeling system |
| JP4162099B2 (ja) | 1995-06-02 | 2008-10-08 | 富士通株式会社 | ウィルス感染に対処する機能を持つ装置及びその記憶装置 |
| US5999622A (en) * | 1995-11-22 | 1999-12-07 | Microsoft Corporation | Method and apparatus for protecting widely distributed digital information |
| US5692124A (en) * | 1996-08-30 | 1997-11-25 | Itt Industries, Inc. | Support of limited write downs through trustworthy predictions in multilevel security of computer network communications |
| US6367017B1 (en) | 1996-11-07 | 2002-04-02 | Litronic Inc. | Apparatus and method for providing and authentication system |
| US5844497A (en) * | 1996-11-07 | 1998-12-01 | Litronic, Inc. | Apparatus and method for providing an authentication system |
| US6268788B1 (en) | 1996-11-07 | 2001-07-31 | Litronic Inc. | Apparatus and method for providing an authentication system based on biometrics |
| US5920570A (en) * | 1996-11-26 | 1999-07-06 | Lucent Technologies Inc. | Reliable multi-cast queue |
| US7212632B2 (en) | 1998-02-13 | 2007-05-01 | Tecsec, Inc. | Cryptographic key split combiner |
| US6105132A (en) * | 1997-02-20 | 2000-08-15 | Novell, Inc. | Computer network graded authentication system and method |
| US5937159A (en) * | 1997-03-28 | 1999-08-10 | Data General Corporation | Secure computer system |
| US6212636B1 (en) | 1997-05-01 | 2001-04-03 | Itt Manufacturing Enterprises | Method for establishing trust in a computer network via association |
| US6694433B1 (en) * | 1997-05-08 | 2004-02-17 | Tecsec, Inc. | XML encryption scheme |
| US6192408B1 (en) * | 1997-09-26 | 2001-02-20 | Emc Corporation | Network file server sharing local caches of file access information in data processors assigned to respective file systems |
| US6516351B2 (en) * | 1997-12-05 | 2003-02-04 | Network Appliance, Inc. | Enforcing uniform file-locking for diverse file-locking protocols |
| US8077870B2 (en) * | 1998-02-13 | 2011-12-13 | Tecsec, Inc. | Cryptographic key split binder for use with tagged data elements |
| US7079653B2 (en) * | 1998-02-13 | 2006-07-18 | Tecsec, Inc. | Cryptographic key split binding process and apparatus |
| US7095852B2 (en) * | 1998-02-13 | 2006-08-22 | Tecsec, Inc. | Cryptographic key split binder for use with tagged data elements |
| US6457130B2 (en) * | 1998-03-03 | 2002-09-24 | Network Appliance, Inc. | File access control in a multi-protocol file server |
| US6317844B1 (en) | 1998-03-10 | 2001-11-13 | Network Appliance, Inc. | File server storage arrangement |
| US6279011B1 (en) | 1998-06-19 | 2001-08-21 | Network Appliance, Inc. | Backup and restore for heterogeneous file server environment |
| US6574591B1 (en) | 1998-07-31 | 2003-06-03 | Network Appliance, Inc. | File systems image transfer between dissimilar file systems |
| US6119244A (en) * | 1998-08-25 | 2000-09-12 | Network Appliance, Inc. | Coordinating persistent status information with multiple file servers |
| AUPP660298A0 (en) * | 1998-10-20 | 1998-11-12 | Canon Kabushiki Kaisha | Apparatus and method for preventing disclosure of protected information |
| US6073106A (en) * | 1998-10-30 | 2000-06-06 | Nehdc, Inc. | Method of managing and controlling access to personal information |
| US6343984B1 (en) | 1998-11-30 | 2002-02-05 | Network Appliance, Inc. | Laminar flow duct cooling system |
| JP4294142B2 (ja) | 1999-02-02 | 2009-07-08 | 株式会社日立製作所 | ディスクサブシステム |
| US20040034686A1 (en) * | 2000-02-22 | 2004-02-19 | David Guthrie | System and method for delivering targeted data to a subscriber base via a computer network |
| US7058817B1 (en) * | 1999-07-02 | 2006-06-06 | The Chase Manhattan Bank | System and method for single sign on process for websites with multiple applications and services |
| US6961749B1 (en) | 1999-08-25 | 2005-11-01 | Network Appliance, Inc. | Scalable file server with highly available pairs |
| EP1085396A1 (en) | 1999-09-17 | 2001-03-21 | Hewlett-Packard Company | Operation of trusted state in computing platform |
| US7043553B2 (en) * | 1999-10-07 | 2006-05-09 | Cisco Technology, Inc. | Method and apparatus for securing information access |
| US7877492B2 (en) * | 1999-10-12 | 2011-01-25 | Webmd Corporation | System and method for delegating a user authentication process for a networked application to an authentication agent |
| US7519905B2 (en) * | 1999-10-12 | 2009-04-14 | Webmd Corp. | Automatic formatting and validating of text for a markup language graphical user interface |
| US7305475B2 (en) | 1999-10-12 | 2007-12-04 | Webmd Health | System and method for enabling a client application to operate offline from a server |
| US20050028171A1 (en) * | 1999-11-12 | 2005-02-03 | Panagiotis Kougiouris | System and method enabling multiple processes to efficiently log events |
| US20040034833A1 (en) * | 1999-11-12 | 2004-02-19 | Panagiotis Kougiouris | Dynamic interaction manager for markup language graphical user interface |
| US20020007284A1 (en) * | 1999-12-01 | 2002-01-17 | Schurenberg Kurt B. | System and method for implementing a global master patient index |
| US6883120B1 (en) | 1999-12-03 | 2005-04-19 | Network Appliance, Inc. | Computer assisted automatic error detection and diagnosis of file servers |
| US6715034B1 (en) | 1999-12-13 | 2004-03-30 | Network Appliance, Inc. | Switching file system request in a mass storage system |
| US8775197B2 (en) * | 2000-02-24 | 2014-07-08 | Webmd, Llc | Personalized health history system with accommodation for consumer health terminology |
| US8712792B2 (en) * | 2000-02-24 | 2014-04-29 | Webmd, Llc | Personalized health communication system |
| US8612245B2 (en) * | 2000-02-24 | 2013-12-17 | Webmd Llc | Personalized health history system with accommodation for consumer health terminology |
| US7103556B2 (en) * | 2000-11-02 | 2006-09-05 | Jpmorgan Chase Bank, N.A. | System and method for aggregate portfolio client support |
| GB2376763B (en) * | 2001-06-19 | 2004-12-15 | Hewlett Packard Co | Demonstrating integrity of a compartment of a compartmented operating system |
| US7065644B2 (en) * | 2001-01-12 | 2006-06-20 | Hewlett-Packard Development Company, L.P. | System and method for protecting a security profile of a computer system |
| GB0102515D0 (en) * | 2001-01-31 | 2001-03-21 | Hewlett Packard Co | Network adapter management |
| GB0102516D0 (en) * | 2001-01-31 | 2001-03-21 | Hewlett Packard Co | Trusted gateway system |
| GB0102518D0 (en) * | 2001-01-31 | 2001-03-21 | Hewlett Packard Co | Trusted operating system |
| GB2372595A (en) * | 2001-02-23 | 2002-08-28 | Hewlett Packard Co | Method of and apparatus for ascertaining the status of a data processing environment. |
| GB2372592B (en) | 2001-02-23 | 2005-03-30 | Hewlett Packard Co | Information system |
| US8849716B1 (en) | 2001-04-20 | 2014-09-30 | Jpmorgan Chase Bank, N.A. | System and method for preventing identity theft or misuse by restricting access |
| AU2002312381A1 (en) | 2001-06-07 | 2002-12-16 | First Usa Bank, N.A. | System and method for rapid updating of credit information |
| GB0114898D0 (en) * | 2001-06-19 | 2001-08-08 | Hewlett Packard Co | Interaction with electronic services and markets |
| GB2376764B (en) * | 2001-06-19 | 2004-12-29 | Hewlett Packard Co | Multiple trusted computing environments |
| GB2376762A (en) * | 2001-06-19 | 2002-12-24 | Hewlett Packard Co | Renting a computing environment on a trusted computing platform |
| MY134887A (en) * | 2001-06-29 | 2007-12-31 | Secure Systems Ltd | Security system and method for computers |
| US7962950B2 (en) * | 2001-06-29 | 2011-06-14 | Hewlett-Packard Development Company, L.P. | System and method for file system mandatory access control |
| US7266839B2 (en) * | 2001-07-12 | 2007-09-04 | J P Morgan Chase Bank | System and method for providing discriminated content to network users |
| GB2378013A (en) * | 2001-07-27 | 2003-01-29 | Hewlett Packard Co | Trusted computer platform audit system |
| GB2382419B (en) * | 2001-11-22 | 2005-12-14 | Hewlett Packard Co | Apparatus and method for creating a trusted environment |
| US7987501B2 (en) * | 2001-12-04 | 2011-07-26 | Jpmorgan Chase Bank, N.A. | System and method for single session sign-on |
| GB0130690D0 (en) * | 2001-12-21 | 2002-02-06 | Esselte Nv | Label printer |
| US7318238B2 (en) * | 2002-01-14 | 2008-01-08 | Microsoft Corporation | Security settings for markup language elements |
| US20040093525A1 (en) * | 2002-02-01 | 2004-05-13 | Larnen Vincent Alan | Process based security tai building |
| US7249379B2 (en) * | 2002-02-01 | 2007-07-24 | Systems Advisory Group Enterprises, Inc. | Method and apparatus for implementing process-based security in a computer system |
| US20040158734A1 (en) * | 2002-02-01 | 2004-08-12 | Larsen Vincent Alan | System and method for process-based security in a portable electronic device |
| US20040243845A1 (en) * | 2002-02-01 | 2004-12-02 | Larsen Vincent Alan | System and method for process-based security in a network device |
| US20180165441A1 (en) | 2002-03-25 | 2018-06-14 | Glenn Cobourn Everhart | Systems and methods for multifactor authentication |
| US20030226014A1 (en) * | 2002-05-31 | 2003-12-04 | Schmidt Rodney W. | Trusted client utilizing security kernel under secure execution mode |
| US7134022B2 (en) * | 2002-07-16 | 2006-11-07 | Flyntz Terence T | Multi-level and multi-category data labeling system |
| US7058660B2 (en) | 2002-10-02 | 2006-06-06 | Bank One Corporation | System and method for network-based project management |
| US8301493B2 (en) * | 2002-11-05 | 2012-10-30 | Jpmorgan Chase Bank, N.A. | System and method for providing incentives to consumers to share information |
| JP2004234378A (ja) * | 2003-01-30 | 2004-08-19 | Fujitsu Ltd | セキュリティ管理装置及びセキュリティ管理方法 |
| US7265193B2 (en) * | 2003-01-31 | 2007-09-04 | Exxonmobil Chemical Patents Inc. | Polymerization process |
| US7296010B2 (en) * | 2003-03-04 | 2007-11-13 | International Business Machines Corporation | Methods, systems and program products for classifying and storing a data handling method and for associating a data handling method with a data item |
| US7373647B2 (en) * | 2003-04-30 | 2008-05-13 | International Business Machines Corporation | Method and system for optimizing file table usage |
| US20040268139A1 (en) * | 2003-06-25 | 2004-12-30 | Microsoft Corporation | Systems and methods for declarative client input security screening |
| US7669239B2 (en) * | 2003-09-15 | 2010-02-23 | Jpmorgan Chase Bank, N.A. | Secure network system and associated method of use |
| US7802294B2 (en) | 2005-01-28 | 2010-09-21 | Microsoft Corporation | Controlling computer applications' access to data |
| US7810153B2 (en) * | 2005-01-28 | 2010-10-05 | Microsoft Corporation | Controlling execution of computer applications |
| US8296162B1 (en) | 2005-02-01 | 2012-10-23 | Webmd Llc. | Systems, devices, and methods for providing healthcare information |
| US7650501B1 (en) * | 2005-02-15 | 2010-01-19 | Sun Microsystems, Inc. | System and methods for construction, fusion, prosecution, and maintenance of minimized operating environments |
| EP1866825A1 (en) | 2005-03-22 | 2007-12-19 | Hewlett-Packard Development Company, L.P. | Methods, devices and data structures for trusted data |
| US8078740B2 (en) * | 2005-06-03 | 2011-12-13 | Microsoft Corporation | Running internet applications with low rights |
| US8117441B2 (en) * | 2006-06-20 | 2012-02-14 | Microsoft Corporation | Integrating security protection tools with computer device integrity and privacy policy |
| US8185737B2 (en) | 2006-06-23 | 2012-05-22 | Microsoft Corporation | Communication across domains |
| US8127133B2 (en) * | 2007-01-25 | 2012-02-28 | Microsoft Corporation | Labeling of data objects to apply and enforce policies |
| US8380530B2 (en) | 2007-02-02 | 2013-02-19 | Webmd Llc. | Personalized health records with associative relationships |
| CN101689239B (zh) * | 2007-05-18 | 2014-07-30 | 安全钥匙有限公司 | 安全令牌和生成该安全令牌并对其解码的系统及方法 |
| US10019570B2 (en) * | 2007-06-14 | 2018-07-10 | Microsoft Technology Licensing, Llc | Protection and communication abstractions for web browsers |
| US9594901B2 (en) * | 2008-12-02 | 2017-03-14 | At&T Intellectual Property I, L.P. | Methods, systems, and products for secure access to file system structures |
| US8930324B2 (en) * | 2012-06-15 | 2015-01-06 | Russell A. Blaine | Guarded file descriptors |
| US10586076B2 (en) * | 2015-08-24 | 2020-03-10 | Acronis International Gmbh | System and method for controlling access to OS resources |
| US9674201B1 (en) | 2015-12-29 | 2017-06-06 | Imperva, Inc. | Unobtrusive protection for large-scale data breaches utilizing user-specific data object access budgets |
| US9674202B1 (en) | 2015-12-29 | 2017-06-06 | Imperva, Inc. | Techniques for preventing large-scale data breaches utilizing differentiated protection layers |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4135240A (en) * | 1973-07-09 | 1979-01-16 | Bell Telephone Laboratories, Incorporated | Protection of data file contents |
| US4858117A (en) * | 1987-08-07 | 1989-08-15 | Bull Hn Information Systems Inc. | Apparatus and method for preventing computer access by unauthorized personnel |
| US4864616A (en) * | 1987-10-15 | 1989-09-05 | Micronyx, Inc. | Cryptographic labeling of electronically stored data |
| US4918653A (en) * | 1988-01-28 | 1990-04-17 | International Business Machines Corporation | Trusted path mechanism for an operating system |
| US4885789A (en) * | 1988-02-01 | 1989-12-05 | International Business Machines Corporation | Remote trusted path mechanism for telnet |
| US4926476A (en) * | 1989-02-03 | 1990-05-15 | Motorola, Inc. | Method and apparatus for secure execution of untrusted software |
-
1988
- 1988-11-30 US US07/277,630 patent/US4984272A/en not_active Expired - Lifetime
-
1989
- 1989-10-31 CA CA002001863A patent/CA2001863C/en not_active Expired - Fee Related
- 1989-11-21 EP EP89312048A patent/EP0371673B1/en not_active Expired - Lifetime
- 1989-11-30 JP JP1309440A patent/JP2603344B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| EP0371673B1 (en) | 1997-08-27 |
| JPH02194450A (ja) | 1990-08-01 |
| CA2001863C (en) | 1995-12-05 |
| CA2001863A1 (en) | 1990-05-31 |
| US4984272A (en) | 1991-01-08 |
| EP0371673A2 (en) | 1990-06-06 |
| EP0371673A3 (en) | 1991-04-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP2603344B2 (ja) | コンピュータ・システムのファイルに対する機密的アクセスの管理方法 | |
| US9881013B2 (en) | Method and system for providing restricted access to a storage medium | |
| US5748744A (en) | Secure mass storage system for computers | |
| US7536524B2 (en) | Method and system for providing restricted access to a storage medium | |
| US8402269B2 (en) | System and method for controlling exit of saved data from security zone | |
| US7290279B2 (en) | Access control method using token having security attributes in computer system | |
| US5265159A (en) | Secure file erasure | |
| US7426747B2 (en) | Methods and systems for promoting security in a computer system employing attached storage devices | |
| US8234477B2 (en) | Method and system for providing restricted access to a storage medium | |
| US8352735B2 (en) | Method and system for encrypted file access | |
| EP2368190B1 (en) | Managing access to an address range in a storage device | |
| US7570560B2 (en) | System and method for logical shredding of data stored on WORM media | |
| US9129138B1 (en) | Methods and systems for a portable data locker | |
| US20030037248A1 (en) | Crypto-pointers for secure data storage | |
| US8769271B1 (en) | Identifying and enforcing strict file confidentiality in the presence of system and storage administrators in a NAS system | |
| US20090164709A1 (en) | Secure storage devices and methods of managing secure storage devices | |
| KR20080055979A (ko) | 전자계산기의 데이터 관리 방법, 프로그램, 및 기록 매체 | |
| US20080107261A1 (en) | Method for Protecting Confidential Data | |
| JPWO2006103752A1 (ja) | 文書のコピーを制御する方法 | |
| US20030033303A1 (en) | System and method for restricting access to secured data | |
| WO2004001561A2 (en) | Computer encryption systems | |
| KR20110075059A (ko) | 파일시스템의 확장속성을 이용한 파일 암복호화 방법과 응용프로그램별 실시간 파일암복호화 및 접근통제 시스템 | |
| JPH10340232A (ja) | ファイル複写防止装置及びファイル読込装置 | |
| Kochanski | Security considerations for encryption products | |
| JPH0553895A (ja) | フアイルセキユリテイ制御方式 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| LAPS | Cancellation because of no payment of annual fees |