JP2002517852A - 信頼できないコンテントを安全に実行するための方法およびシステム - Google Patents
信頼できないコンテントを安全に実行するための方法およびシステムInfo
- Publication number
- JP2002517852A JP2002517852A JP2000553883A JP2000553883A JP2002517852A JP 2002517852 A JP2002517852 A JP 2002517852A JP 2000553883 A JP2000553883 A JP 2000553883A JP 2000553883 A JP2000553883 A JP 2000553883A JP 2002517852 A JP2002517852 A JP 2002517852A
- Authority
- JP
- Japan
- Prior art keywords
- restricted
- access
- content
- security
- token
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2101—Auditing as a secondary aspect
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2141—Access rights, e.g. capability lists, access control lists, access tables, access matrices
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2145—Inheriting rights or properties, e.g., propagation of permissions or restrictions within a hierarchy
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2221/00—Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/21—Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F2221/2149—Restricted operating environment
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Theoretical Computer Science (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Physics & Mathematics (AREA)
- General Health & Medical Sciences (AREA)
- Bioethics (AREA)
- Health & Medical Sciences (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
- Information Transfer Between Computers (AREA)
Abstract
Description
システム用のセキュリティの改善に関する。
ータに運び、管理権限を持つ人にインストールしてもらうによってのみ、コンピ
ュータにインストールすることができた。しかし現在、インターネットにより、
普通のコンピュータユーザがプログラム、HTMLページ、および制御などの実
行可能なコンテントをダウンロードすることが非常に簡単になり、普及してきた
。多くの場合、実行可能なコンテントは、ユーザがこのようなイベントが起きた
ことに気づくことさえなく、インターネットを介してダウンロードし、実行する
ことが可能である。同様に、コンピュータユーザは実行可能なプログラム、およ
び/またはマクロを含む文書など実行可能なコンテントが含まれるファイルを含
む電子メールまたはニュースを受信するか、さらに、メールまたはニュース自体
がHTMLページである場合がある。このようなメッセージまたはその添付物を
開くことは、どのような実行可能なコンテントが存在するにせよ受信者のシステ
ムをそのコンテントにさらすことになる。
えば、悪意を持って故意にクライアントマシン上のデータを破壊したりエラーが
起こりがちで、クライアントのマシンをクラッシュさせるか、または善意であっ
ても注意が足りず、クライアントに関する機密情報を漏らす場合がある。こうい
ったタイプのコンピュータ問題は、以前は「ウィルス」および「トロイの木馬」
の形で存在したが、ワールドワイドウェブの普及はこれらの問題を広げ、場合に
よっては制御不可能にしてしまった。
サーバプログラムを起動し、そのプログラムからのデータをクライアントに戻す
。このようなスクリプトのソースは、必ずしも注意深く制御されておらず、また
、このようなスクリプトがすべてよく書かれているわけではない。この結果、不
完全に書かれたCGIスクリプトは多すぎるコンピュータリソースを使用するこ
とによってウェブサーバがクラッシュまたは速度を落とす原因となっている。さ
らに、不完全に書かれたサーバプログラムは、他のアプリケーションを実行した
りまたは記憶域にデータを書き込んだり記憶域からデータを読み出したりなど、
それがすべきではないアクションを実行するように悪意あるクライアントによっ
て書き換えられる可能性がある。最後に、一部のウェブサーバはクライアントプ
ログラムが、クライアントのために実行されるべきスクリプトをサーバに送信す
ることさえ許可し、多くの危険を招いている。
に対して適切に保護されていない。同時に、信頼できないコンテントという固有
のリスクがあるにもかかわらず、多くの実行可能なコンテントが貴重なので、実
行可能なコンテントを受信し実行できるニーズは増大を続けるであろう。
制限する、信頼できないコンテント(実行可能コード、ダイナミックHTML、
Java制御またはActive−X制御など)に関して制限付き実行コンテキ
ストを提供する。制限付きプロセスは信頼できないコンテントについて設定され
、そのコンテントによって試みられた任意のアクションは、種々の基準に基づい
てプロセスの制限を受ける。プロセスがリソースにアクセスしようとする時には
いつでも、各プロセスに関連付けられた制限付きトークンがリソースのセキュリ
ティ情報に対して比較され、そのタイプのアクセスが許可されるかどうかを決定
する。リソースのセキュリティ情報はこうして、プロセス、したがって信頼でき
ないコンテントがリソースにアクセスできるかどうかを決定し、アクセスできる
場合、許可されたアクセスのタイプを決定する。
、このような各サイトはサイト識別およびサイトがカテゴリ化されているゾーン
に基づいて設定された制限付きプロセスを有する。APIおよびヘルパープロセ
スはウェブサイトがそれ自体のサイト、ファイル、レジストリキーにアクセスす
ることを可能にし、一方、そのサイトに関連しない他のリソース上のACLは、
サイト識別、ゾーンまたは他の基準に基づいて所望のようにそのサイトへのアク
セスを制限する。他の信頼できないコンテントは、電子メールメッセージ、ニュ
ースおよびそれに対する任意の添付物を含む。このようなコンテントも同様に制
限付き実行コンテキスト内で実行され、ここで制限は送信者の識別などの基準に
基づいている。サーバもまた、制限付き実行コンテキスト内でスクリプトおよび
クライアントプロセスなどの信頼できないコンテントを実行する場合があり、こ
こで制限はスクリプトの作成者、使用されているクライアント認証の方法、およ
び/または任意の他の、コンテントがどの程度信頼できるかまたは信頼できない
かを示す、サーバに使用可能な情報などの基準に基づく可能性がある。
の簡単で一般的な説明を提供することを意図している。必要ではないが、本発明
は、パーソナルコンピュータによって実行されるプログラムモジュールなどのコ
ンピュータ実行可能な命令の一般的なコンテキスト内で説明される。一般に、プ
ログラムモジュールはルーチン、プログラム、オブジェクト、構成要素、データ
構造などを含み、特定のタスクを実行するか、特定の抽象的なデータタイプを実
装する。さらに、当業者であれば本発明は、ハンドヘルド・デバイス、マルチプ
ロセッサシステム、マイクロプロセッサに基づいたまたはプログラミング可能な
消費者電気製品、ネットワークPC、ミニコンピュータ、メインフレームコンピ
ュータなどを含む他ののコンピュータシステム構成でも実行できることが理解さ
れるであろう。本発明はまた、通信ネットワークを介してリンクされた遠隔処理
デバイスによってタスクが実行される分散コンピューティング環境内でも実行で
きる。分散コンピューティング環境では、プログラムモジュールはローカルメモ
リ記憶デバイスおよび遠隔メモリ記憶デバイスの両方に位置する場合がある。
パーソナルコンピュータ20などの形の汎用コンピューティングデバイスを含み
、汎用コンピューティングデバイスは処理ユニット21、システムメモリ22、
およびシステムメモリから処理ユニット21までを含む種々のシステム構成要素
を結合するシステムバス23を含む。システムバス23はいくつかのタイプのバ
ス構成のうち任意の構成であって、その中にはメモリバスまたはメモリコントロ
ーラ、周辺バス、種々のバスアーキテクチャのうち任意のアーキテクチャを使用
するローカルバスを含んでもよい。システムメモリは読取り専用メモリ(ROM
)24およびランダムアクセスメモリ(RAM)25を含む。起動時などにパー
ソナルコンピュータ20内の要素の間で情報を転送する役に立つ基本的なルーチ
ンを含む基本入出力システム26(BIOS)は、ROM24内に格納されてい
る。パーソナルコンピュータ20はさらに、図示されてはいないがハードディス
クから読み出したり書き込んだりするためのハードディスクドライブ27、取外
し可能磁気ディスク29から読み出したり書き込んだりするための磁気ディスク
ドライブ28、および、CD−ROMまたは他の光媒体など、取外し可能光ディ
スク31から読み出したり書き込んだりするための光ディスクドライブ30を含
む場合がある。ハードディスクドライブ27、磁気ディスクドライブ28、およ
び光ディスクドライブ30はそれぞれ、ハードディスクドライブインタフェース
32、磁気ディスクドライブインタフェース33、および光ドライブインタフェ
ース34によってそれぞれシステムバス23に接続されている。ドライブとその
関連付けられたコンピュータ読み取り可能媒体は、パーソナルコンピュータ20
のためにコンピュータ読み取り可能命令、データ構造、プログラムモジュールお
よびほかのデータの、不揮発性の格納を提供する。ここに説明された例としての
環境は、ハードディスク、取外し可能磁気ディスク29および取外し可能光ディ
スク31を使用しているが、当業者であれば磁気カセット、フラッシュメモリカ
ード、ディジタルビデオディスク、ベルヌーイカートリッジ、ランダムアクセス
メモリ(RAM)、読取り専用メモリ(ROM)などの、コンピュータによって
アクセス可能なデータを格納できる他のタイプのコンピュータ読み取り可能媒体
も例としての動作環境内で使用できることが理解されるであろう。
たは2つ以上のアプリケーションプログラム36、ほかのプログラムモジュール
37およびプログラムデータ38を含むいくつかのプログラムモジュールがハー
ドディスク、磁気ディスク29、光ディスク31、ROM24またはRAM25
に格納できる。ユーザは、キーボード40およびポインティングデバイス42な
どの入力デバイスを介してパーソナルコンピュータ20にコマンドおよび情報を
入力できる。他の入力デバイス(図示せず)は、マイクロフォン、ジョイスティ
ック、ゲームパッド、サテライトディッシュ、スキャナなどを含む。これらおよ
び他の入力デバイスはしばしば、システムバスに結合されたシリアルポートイン
タフェース46を介して処理ユニット21に接続されているが、パラレルポート
、ゲームポートまたは汎用シリアルバス(USB)などの他のインタフェースに
よって接続されている場合もある。モニタ47または他のタイプの表示デバイス
もまた、ビデオアダプタ48などのインタフェースを介してシステムバス23に
接続されている。モニタ47の外に、パーソナルコンピュータは典型的にはスピ
ーカおよびプリンタなどの他の周辺出力デバイス(図示せず)を含む。
上の遠隔コンピュータへの論理接続を使用してネットワーク化された環境内で動
作する場合がある。遠隔コンピュータ49は、他のパーソナルコンピュータ、サ
ーバ、ルータ、ネットワークPC、ピアデバイスまたは他の共通ネットワークノ
ードであり、典型的にはパーソナルコンピュータに関連して上記に説明された要
素の多くまたはすべてを含むが、メモリ記憶デバイス50のみが図1に示されて
いる。図1に描かれた論理接続は、ローカルエリアネットワーク(LAN)51
および広域ネットワーク(WAN)52を含む。このようなネットワーク化環境
はオフィス、全社的コンピュータネットワーク、イントラネットおよびインター
ネットに普通に見られる。
ネットワークインタフェースまたはアダプタ53を介してローカルネットワーク
51に接続される。パーソナルコンピュータ20はWANネットワーク化環境内
で使用される場合、典型的にはモデム54または他の手段を含み、インターネッ
トなど広域ネットワーク52上で通信を確立する。モデム54は内部的である場
合も外部的である場合もあるが、シリアルポートインタフェース46を介してシ
ステムバス23に接続されている。ネットワーク化された環境では、パーソナル
コンピュータ20またはその一部に関して描かれたプログラムモジュールは、遠
隔のメモリ記憶デバイス内に格納される場合がある。示されたネットワーク接続
は例としてのものであって、コンピュータの間で通信リンクを確立する他の手段
も使用できることが明らかであろう。
モデルに関して説明される。しかし、本発明をWindows NTオペレーテ
ィングシステムに限定する意図はなく、逆に、本発明はオペレーティングシステ
ムのレベルでセキュリティチェックを実行する任意のメカニズムで動作し、利益
を提供することを目的としている。さらに、本発明はスレッドごとのベースでソ
フトウェア障害の隔離で使用するか、または制限が現在実行されているクラスの
スタックから決定されるバーチャルマシンで使用することもできる。さらに、本
発明は必ずしもカーネルモードの動作に依存するわけではなく、ソフトウェア障
害の隔離またはバーチャルマシンのように、ユーザモードで実現することもでき
る。
セス(およびそのスレッド)を介してシステムのリソースにアクセスすることに
よってタスクを実行する。簡単に説明するために、プロセスおよびそのスレッド
は概念上等価と見なされ、以後は簡単にプロセスと呼ぶ。また、Windows
NT内ではオブジェクトによって表される、ファイル、共有メモリおよび物理
デバイスを含むシステムのリソースは、本明細書では通常リソースまたはオブジ
ェクトと呼ばれる。
れると、セキュリティコンテキストがそのユーザのためにセットアップされ、こ
の中にはアクセストークン60の構築も含まれる。図2の左側に示すように、従
来のユーザベースのアクセストークン60は、UserAndGroupsフィ
ールド62を含む。UserAndGroupsフィールド62は、セキュリテ
ィ識別子、すなわち、ユーザの証明およびそのユーザが属するグループ(たとえ
ば編成内のグループ)を識別する1つまたは2つ以上のグループID66に基づ
いたセキュリティ識別子(セキュリティIDまたはSID)を含む。トークン6
0はまた、そのユーザに割り当てられた任意の権限を一覧する権限フィールド6
8を含む。たとえば、このような権限の1つは、管理レベルのユーザに、特定の
アプリケーションプログラミングインタフェース(API)を介してシステムク
ロックを設定する能力を与える場合がある。権限は、アクセス制御チェック、こ
れは次に説明されるが、権限がない場合にオブジェクトへのアクセスを許可する
前に実行されるアクセス制御チェックに優先することに注意されたい。
クセスを所望するプロセス70は、所望するアクセスのタイプを指定し(たとえ
ばファイルオブジェクトへの読取り/書き込みアクセスを得るなど)、および、
カーネルレベルでは関連付けられたトークン60をオブジェクトマネジャー74
に提供する。オブジェクト72はそれに関連付けられたカーネルレベルのセキュ
リティ記述子76を有し、オブジェクトマネジャー74はセキュリティ記述子7
6およびトークン60をセキュリティメカニズム78に提供する。セキュリティ
記述子76の内容は、典型的にはオブジェクトの所有者(たとえば制作者)によ
って決定され、一般に(任意の)アクセス制御エントリーのアクセス制御リスト
(ACL)80を含み、各エントリーについて、そのエントリーに対応する1つ
または2つ以上のアクセス権(許可されたアクションまたは拒否されたアクショ
ン)を含む。各エントリーはタイプ(拒否または許可)インジケータ、フラグ、
セキュリティ識別子(SID)およびアクセス権をビットマスクの形で含み、各
ビットは許可に対応する(たとえば、1つのビットは読取りアクセス、1つのビ
ットは書込みアクセス、など)。セキュリティメカニズム78はトークン60内
のセキュリティIDおよびプロセス70によって要求されたアクション(複数可
)のタイプをACL80内のエントリーと比較する。許可されたユーザまたはグ
ループの一致が発見され、所望のアクセスのタイプがそのユーザまたはグループ
に対して許可可能な場合、オブジェクト72へのハンドルはプロセス70に戻さ
れるが、その他の場合はアクセスは拒否される。
るトークンを持つユーザが読取りおよび書込みアクセスで特定のファイルオブジ
ェクトにアクセスしたいとする。ファイルオブジェクトが、ACL80のエント
リー内で許可されたタイプの「会計」グループ識別子を有し、そのグループが読
取りおよび書き込みアクセスを使用可能にする権利を有する場合、読取りおよび
書込みアクセスを許可するハンドルは戻されるが、その他の場合はアクセスは拒
否される。効率上の理由から、セキュリティチェックはプロセス70がまずオブ
ジェクト72にアクセス(作成または開く)しようと試みた時のみ実行され、し
たがってそのオブジェクトに対するハンドルはそれを介して実行できるアクショ
ンを制限するように、アクセス情報のタイプを格納することに注意されたい。
これは監査されるべきクライアントアクションに対応するタイプ監査のエントリ
ーを含む。各エントリー内のフラグは監査が成功したオペレーションまたは失敗
したオペレーションのどちらを監視するかを示し、エントリー内のビットマスク
は監査されるべきオペレーションのタイプを示す。エントリー内のセキュリティ
IDは、監査されるユーザまたはグループを示す。たとえば、ファイルオブジェ
クトへの書込みアクセスを有しないグループのメンバーがそのファイルに書き込
もうと試みた場合いつでも決定できるように特定のグループが監査される状況を
考えてみる。そのファイルオブジェクトに関するSACL81は、その中にグル
ープセキュリティ識別子と、適切に設定された失敗フラグおよび書込みアクセス
ビットを有する監査エントリーを含む。その特定のグループに属するクライアン
トがそのファイルオブジェクトに書き込みしようとして失敗するといつでも、そ
のオペレーションは記録される。
ザにアクセスを許可する識別子ではなくて、グループユーザのアクセスを拒否す
るためにマークされる、1つまたは2つ以上の識別子を含む場合があることに注
意されたい。たとえば、ACL80内にリストされた1つのエントリーは、他の
場合に、「グループ3」のメンバーにオブジェクト72へのアクセスを許可する
が、ACL80内の他のエントリーは特に、「グループ24」のすべてのアクセス
を拒否する場合がある。トークン60が「グループ24」セキュリティIDを含ん
でいる場合、アクセスは「グループ3」のセキュリティIDの存在にかかわらず
拒否されることになる。もちろん、セキュリティチェックが正しく機能するため
に、セキュリティチェックは、”グループ3”エントリーを介したアクセスを許
可しないようにアレンジされ、その後に、すべてのDENY(拒否)エントリー
をACL80の前面に置くなどによって、グループ24エントリーの「DENY
ALL(すべて拒否)」状態をチェックする。この構成(arrangemen
t)は、グループの残りのメンバーの各々を個別にリストしてそのアクセスを許
可する必要なく、グループの、1人または2人以上の分離したメンバーを個別に
ACL80内で排除できるので、向上した効率を提供することが明らかであろう
。
MUM_ALLOWEDアクセスを要求することもでき、これによって、1つの
アルゴリズムが通常のUserAndGroupsリスト対ACL80内の各々
のエントリーに基づいて、許可される最大のアクセスタイプを決定することに注
意されたい。より詳しくは、アルゴリズムは所与のユーザのための権利を蓄積し
ている識別子のリストをウォークダウンする(すなわち、種々のビットマスクを
ORする)。権利が一度蓄積されると、ユーザに蓄積された権利が与えられる。
しかし、ウォークスルーの間にユーザ識別子またはグループ識別子および要求さ
れた権利に一致する拒否エントリーが発見されると、アクセスは拒否される。
制限なし)から作成される。また次に説明するように、制限付きトークンが任意
の制限付きセキュリティIDを含む場合、そのトークンは追加のアクセスチェッ
クを受け、その中で制限付きセキュリティIDはオブジェクトのACL内のエン
トリーと比較される。
のバージョンを持つ新しいプロセスを作成させることである。制限付きのプロセ
スはついで、リソースに関して実行できるアクションにおいて制限される。たと
えば、ファイルオブジェクトリソースは、関連付けられた制限付きトークンの中
に同じマイクロソフトワード制限付きSIDを有する制限付きプロセスのみがそ
のファイルオブジェクトにアクセスできるように、単一の制限付きSID、すな
わち、マイクロソフトワードのアプリケーションプログラムを識別する単一の制
限付きSIDをそのACLの中に有する場合がある。オリジナルユーザはさらに
オブジェクトにアクセスする必要があるので、ACLもまた、ユーザアクセスお
よびマイクロソフトワードプログラムを許可するアクセス制御エントリーを含む
必要があることに注意されたい。そのため、たとえば、ブラウザを介してダウン
ロードされたコードなど、信用できないコードは、制限付きプロセス内で実行さ
れる。制限付きプロセスは、制限付きトークン内にマイクロソフトワード制限付
きセキュリティIDを有しない(不正である可能性のある)コードがファイルオ
ブジェクトへアクセスすることを防ぐ。
eAssignPrimaryToken権限として知られる権限を必要とする
。しかし、プロセスが制限付きトークンと関連付けられるようにするために、制
限付きトークンが主トークンから導出されている場合に、プロセス管理は別のプ
ロセスへの十分なアクセスを持つ1つのプロセスが、その主トークンを制限付き
トークンに変更できるようにする。新しいプロセスのトークンのParentT
okenIdを既存のプロセスのトークンのTokenIdと比較することによ
って、オペレーティングシステム35はプロセスがそれ自体の制限付きバージョ
ンを作成しているだけであることを確認する。
報またはグループ情報のみに基づいてアクセスを許可または拒否するのみでなく
、そのオブジェクトにアクセスしようと試みるプロセスのタイプ(またユーザま
たはグループ)に基づいてオブジェクトへのアクセスを防止することなどが可能
である。制限付きのトークンはまた、親トークンがこれらのSIDを介してアク
セスを許可している場合でも、「USE_FOR_DENY_ONLY」と特に
マークされた1人または2人以上のユーザまたはグループのセキュリティIDを
介したアクセスを許可しない場合もあり、および/または、親トークンに存在す
る権限を削除してしまう場合もある。
たは2つ以上のユーザセキュリティ識別子および/またはグループのセキュリテ
ィ識別子の属性を変更して、アクセスを許可するのではなくアクセスを許可でき
ないようにすることである。USE_FOR_DENY_ONLYとマークされ
たセキュリティIDは、アクセスを許可する目的のためには効果的に無視される
が、そのセキュリティIDに関して「DENY(拒否)」エントリーを有するA
CLは依然としてアクセスが拒否される。例として、制限付きトークン84(図
3)内のグループ2のセキュリティIDが、USE_FOR_DENY_ONL
Yとマークされている場合、ユーザのプロセスがグループ2を許可されたものと
してリストしているACL80を有するオブジェクト72にアクセスしようと試
みた時、このエントリーは効果的に無視され、プロセスは他のなんらかのセキュ
リティIDによってアクセスを得なければならないことになる。しかし、ACL
80が要求されたタイプのアクションに関して、グループ2をDENYとリスト
したエントリーを含んでいる場合、1度テストされると、他のセキュリティID
にかかわらずアクセスは許可されない。
てマークされている可能性があり、それによってその識別子を削除するとこれら
のオブジェクトへのアクセスを拒否するのではなく許可することになってしまう
ため、ユーザのトークンからセキュリティIDをただ除去するだけではオブジェ
クトへのアクセスは安全に削減できないことに注意されたい。したがって、本発
明は制限付きのトークン内でSIDの属性がUSE_FOR_DENY_ONL
Yに変更できるようにする。さらに、このUSE_FOR_DENY_ONLY
セキュリティチェックをオフにするためのメカニズムは提供されていない。
つまたは2つ以上の権限を削除することである。たとえば、管理権限を伴う通常
のトークンを有するユーザは、そのユーザが特にシステムに別の情報を与えなけ
れば、そのユーザのプロセスが権限のない制限付きトークンで実行するようにシ
ステムを設定する場合がある。これはユーザが管理者の範囲内で意図的に行動し
ていない時に発生する可能性のある、偶然のエラーを防ぐことを理解されたい。
同様に、プログラムがユーザの権限に応じて異なるモードで実行するように開発
され、これによって管理レベルのユーザはあるオペレーションを実行するために
管理権限でプログラムを実行しなければならないが、より基本的なオペレーショ
ンを実行するためには低減された権限でオペレーションを実行しなければならな
い場合がある。ここで再び、これはこのようなユーザが通常のオペレーションを
実行しようとしているだけなのに、高められた権限で実行している時に生じる可
能性のある深刻なエラーを防ぐのに役立つ。
ティIDを追加することである。制限付きのセキュリティIDは、プロセス、リ
ソースオペレーションなどを表す数であり、GUIDへ接頭辞を追加するかまた
は暗号ハッシュなどを介して生成された数字を追加するなどによってユニークに
なっており、これらのセキュリティIDを他のセキュリティIDから区別する情
報を含む場合もある。本発明に必ず必要ではないが便利のために、GUIDをセ
キュリティIDに変換したり、セキュリティIDを人間が読み取り可能な形態で
表示したりなど、アプリケーションおよびユーザをセキュリティIDにインタフ
ェースさせるための種々のアプリケーションプログラミングインタフェース(A
PI)が提供される。
を制限することに加えて、同様にリソースの制限付き使用に基づいて特定のセキ
ュリティIDを開発する場合もある。例として、「USE_WINDOWS」な
どのセキュリティIDは、ウィンドウステーションおよびデスクトップのデフォ
ルトのACLに置かれ、制限付きトークンの中に対応するSIDを有するプロセ
スによってのみアクセスを許可する場合がある。同様に、プリンタオブジェクト
のデフォルトACLは、そのデフォルトのACLの中に「USE_PRINTI
NG」SIDを含み、プロセスが制限付きトークンの中でリストされたこのセキ
ュリティIDのみを伴う制限付きプロセスを作成し、これによって制限付きプロ
セスはプリンタにはアクセスできるが他のリソースにはアクセスできないように
する場合もある。他のリソースにアクセスするために、多くの他のセキュリティ
IDも実現できることが理解されるであろう。
別なフィールド82内に置かれ、アクションを要求しているプロセスを識別する
ことなどを行う。以下にさらに詳細に説明するように、少なくとも1つのユーザ
(またはグループ)セキュリティIDおよび少なくとも1つの制限付きセキュリ
ティIDの両方についてオブジェクトへのアクセスを許可するように要求するこ
とによって、オブジェクトは要求側プロセス(またユーザまたはグループ)に基
づいて選択的にアクセスを許可できる。たとえば、ファイルオブジェクトなどの
オブジェクトは、マイクロソフトワード、マイクロソフトエクセルまたはWin
dows エクスプローラのプロセスがそれにアクセスすることを許可するが、
他のプロセスへのアクセスを拒否する場合がある。さらに、許可されたプロセス
の各々は、異なるアクセス権が与えられる場合もある。
するための、大きな融通性と細分性を提供する。これらの機能に関する1つの期
待される使用モデルは、信頼できるアプリケーションと信頼できないアプリケー
ションとの区別を含む。「アプリケーション」は、所与のセキュリティコンテキ
ストの下で「ユーザモード」で実行できる任意のコードの一部分を記述するため
の、一般的な意味で使用されることに注意されたい。たとえば、マイクロソフト
ワードなどのアプリケーションはActiveX制御からのプロセスとして実行
され、ActiveXは既存のプロセス内にロードされ実行される場合がある。
マイクロソフトのインターネットエクスプローラなどの他のアプリケーションを
起動するアプリケーションは、このインフラストラクチャを使用した「信頼モデ
ル」を導入する可能性がある。
トークンを使用して異なるプロセスの下で信頼できない実行可能なコードを実行
し、これらのプロセスがユーザの全体的なアクセス権および権限の中で行うこと
を制御できる。この目的のために、インターネットエクスプローラアプリケーシ
ョンは、それ自体のトークンから制限付きトークンを作成し、どの制限付きセキ
ュリティIDを制限付きトークン内に置くかを決定する。ついで、信頼できない
実行可能コードは制限付きのコンテキストがアクセスできるオブジェクトにのみ
アクセスするように制限される。
ためにSACL81のフィールドに置くことができる。たとえば、リソースのS
ACLは、インターネットエクスプローラプログラムがそのリソースの読取りま
たは書込みアクセスを試みるたびに、および/またはUSE_FOR_DENY
_ONLYとマークされたSIDの使用が監査される場合にはいつでも監査する
ように設定することができる。単純化のために、監査はこのあと詳細に説明しな
いが、制限付きSIDを介したアクセス制御に関して説明されたコンセプトは監
査動作にも適用可能であることは容易に理解されるであろう。
okenと名付けられたアプリケーションプログラミングインタフェース(AP
I)が提供され、その内容は次のとおりである。
Tokenと名付けられたWin32 APIの下でラップされ、Create
RestrictedTokenの内容は次のとおりである。
し、制限付きでも制限なしでも既存のトークン60をとり、変更された(制限付
き)トークン84をそこから作成する。ログオンしたユーザのインスタンスに関
する識別情報を含む制限付きトークンの構造は、ParentTokenId,
RestrictedSidCount、およびRestrictedSids
の3つの新しいフィールドを含む(次の表で太字で示されている)。
成される時、RestrictedSidsフィールドもParentToke
nIdフィールドも空であることに注意されたい。
よび/または入力フィールド中の情報を伴うCreateRestricted
Token APIを呼び出し、これはNtFilterToken APIを
順番に起動する。図4のステップ400の初めに示すように、NtFilter
Token APIは、DISABLE_MAX_SIDSと名付けられたフラ
グが設定されているかどうかをチェックする。このフラグは新しい、制限付きト
ークン84の中にあるグループに関してすべてのセキュリティIDがUSE_F
OR_DENY_ONLYとマークされていなければならないことを示す。この
フラグは、各々のグループを個別に識別する必要なく、トークン内のグループ(
多くのグループである可能性がある)を制限するための便利な方法を提供する。
フラグが設定されている場合、ステップ400はステップ402に分岐し、ステ
ップ402では新しいトークン84内のグループセキュリティIDの各々につい
て、USE_FOR_DENY_ONLYを示すビットを設定する。
400はステップ404に分岐し、NtFilterToken APIのSi
dsToDisableフィールド内にセキュリティIDが個別にリストされて
いるかどうかをテストする。図4のステップ404で示されたように、オプショ
ンのSidsToDisable入力フィールドが存在する時、ステップ406
では、そこにリストされ、また、親トークン60のUserAndGroups
フィールド62内にも存在する任意のセキュリティIDは、新しい制限付きトー
クン84のUserAndGroupsフィールド88内でUSE_FOR_D
ENY_ONLYとして個別にマークされる。上記のようにこのようなセキュリ
ティIDは、アクセスを拒否するためにのみ使用でき、アクセスを許可するため
には使用できず、さらに、あとから削除または使用可能にはできない。したがっ
て、図2に示された例では、グループ2のセキュリティIDは、NtFilte
rToken API86のSidsToDisable入力フィールド内にグ
ループ2セキュリティIDを指定することにより、制限付きトークン84内でU
SE_FOR_DENY_ONLYとしてマークされる。
LE_MAX_PRIVILEDGESと名付けられたフラグがテストされる。
このフラグは同様に、新しい、制限付きトークン84内のすべての権限を削除す
べきであることを示す、便利なショートカットとして設定できる。このように設
定された場合、ステップ410はステップ412に分岐し、ステップ412では
新しいトークン84からすべての権限が削除される。
ここではオプションのPrivilegesToDeleteフィールドが確認
される。NtFilterToken API86が呼ばれた時に存在する場合
は、ステップ416で、この入力フィールドにリストされまた既存のトークン6
0の権限フィールド68にも存在する任意の権限は、新しいトークン84の権限
フィールド90から個別に削除される。図2に示された例では、「権限2」から
「権限m」として示された権限は、NtFilterToken API86の
PrivilegesToDelete入力フィールド内にこれらの権限を指定
することによって、新しいトークン84の権限フィールド90から削除されてい
る。上記のように本発明の1つの態様によれば、これは、トークン内で使用可能
な権限を削減する機能を提供する。このプロセスは図5のステップ420に続く
。
ngSids入力フィールド内にSIDが存在していた場合、親トークンが通常
のトークンか、または親トークン自体が制限付きSIDを有する制限付きトーク
ンであるかどうかに関して決定が行われる。API、IsTokenRestr
ictedがステップ422で呼び出され、親トークンのRestrictin
gSidsフィールドを(NtQueryInformationToken
APIを介して)照会してこれがNULLでないかどうかを確認することによっ
てこの問題を解決し、ここでNULLでなかった場合、親トークンは制限付きト
ークンであり、APIはTRUE(真)を戻す。テストが満足できなかった場合
、親トークンは通常のトークンでありAPIはFALSE(偽)を戻す。続くス
テップ426または428のために、トークン自体は制限付きであるが制限付き
SIDを有しない親トークン(すなわち、権限が削除されているかおよび/また
はUSE_FOR_DENY_ONLY SIDsである場合)は、制限付きで
ないとして処理される可能性があることに注意されたい。
テップ426に分岐し、ステップ426では、親トークンの制限付きセキュリテ
ィIDフィールドと、APIの制限付きセキュリティID入力リストの両方にあ
る任意のセキュリティIDは、新しいトークン84の制限付きセキュリティID
フィールド92に置かれる。制限付きセキュリティIDが両方のリストになけれ
ばならないため、制限付き実行コンテキストが、制限付きセキュリティIDフィ
ールド92にさらなるセキュリティIDを追加することを阻止し、この場合、ア
クセスを減らすのではなく効果的にアクセスを増やすことになる。同様に、ステ
ップ426で共通なセキュリティIDがなかった場合、少なくとも1つの制限付
きSIDを新しいトークン内の元のトークンから取り去るなどによって、作成さ
れた任意のトークンはそのアクセスを増やすことなく制限されなければならない
。その他の場合は、新しいトークン内の空の制限付きSIDフィールドはそのト
ークンが制限されていないことを示し、この場合、アクセスを減らすのではなく
効果的にアクセスを増やすことになる。
場合、ステップ428で新しいトークン84のRestrictingSids
フィールド92は入力フィールド内にリストされたものに設定される。これはセ
キュリティIDを追加するが、次に詳細に説明されるように制限付きSIDを有
するトークンが第2のアクセステストを受けるため、アクセスは実際には減らさ
れることに注意されたい。
ntTokenId93は既存の(親)トークンのTokenIdに設定される
。これはオペレーティングシステムに、通常は親トークン以外には許可されてい
ない場所で、そのトークンの制限付きのバージョンを使用するプロセスをのちに
許可するオプションを提供する。
に、制限付きプロセス94が作成され、読取り/書込みアクセスでファイルオブ
ジェクト70を開こうと試みている。オブジェクト72のセキュリティ記述子内
では、ACL80はそこにリストされた多くのセキュリティIDおよび、各ID
に関して許可されたタイプのアクセスを有し、ここで「RO」は読取りのみのア
クセスが許可されていることを示し、「WR」は読取り/書込みアクセスを示し
、「SYNC」は同期化アクセスが許可されていることを示す。他の場合は「X
Jones」が許可されたグループ内のメンバーシップを介してアクセスを許可
されている場合でも、「XJones」は特にオブジェクト72へのアクセスを
拒否されていることに注意されたい。さらに、関連付けられたこのトークン84
を有するプロセス94は、このエントリーは「DENY」(すなわち、USE_
FOR_DENY_ONLY)とマークされているため、トークン84内の「バ
スケットボール」セキュリティIDを介して任意のオブジェクトへのアクセスを
許可されないことになる。
Windows NTカーネル内で実現される。オブジェクト72にアクセスし
ようと試みるために、プロセス94はオブジェクトマネジャー74に、アクセス
が望ましいオブジェクトを識別する情報および、所望されるアクセスのタイプを
提供する(図8、ステップ800)。オブジェクトマネジャー74はこれに応答
して、ステップ802に示されたように、セキュリティメカニズム78と共同し
て機能し、トークン84内にリストされた(プロセス94と関連付けられている
)ユーザセキュリティIDおよびグループセキュリティIDをACL80内のエ
ントリーに対して比較し、所望のアクセスが許可されるべきか拒否されるべきか
を決定する。
またはグループに関して許可されていない場合、セキュリティチェックはステッ
プ814でアクセスを拒否する。しかし、ステップ804でアクセスチェックの
ユーザ部分およびグループ部分の結果が許可可能なアクセスを示した場合には、
セキュリティプロセスはステップ806に分岐し、制限付きトークン84が任意
の制限付きセキュリティIDを有しているかどうかを決定する。有していない場
合、追加の制限はなく、ここでアクセスチェックは完了し、ステップ812にお
いて、ユーザアクセスおよびグループアクセスのみに基づいてアクセスは許可さ
れる(そのオブジェクトへのハンドルが戻される)。このようにして、通常のト
ークンは本質的に以前と同じようにチェックされる。しかし、ステップ806に
よって決定されたように、トークンが制限付きセキュリティIDを含んでいる場
合、ついでステップ808によって、制限付きセキュリティIDをACL80内
のエントリーと比較することによって、第2のアクセスチェックが実行される。
ステップ810でこの第2のアクセステストがアクセスを許可した場合、そのオ
ブジェクトへのアクセスはステップ812で許可される。そうでない場合、アク
セスはステップ814で拒否される。
存在する時はいつでも、2つの部分からなるテストがこのように実行される。ト
ークン84内のセキュリティIDおよび所望のアクセスビット96をオブジェク
ト72のセキュリティ記述子に対して考慮することによって、通常のアクセステ
スト(ビットごとのAND)および制限付きセキュリティIDのアクセステスト
の両方は、プロセスがそのオブジェクトへのアクセスを許可されるようにアクセ
スを許可しなければならない。本発明に必要ではないが上記のように、通常のア
クセステストが最初に行われ、アクセスが拒否された場合には、さらなるテスト
は必要ではない。トークン内にACLの識別子に一致するセキュリティIDがな
いため、またはACLエントリーが特に、その中にあるセキュリティ識別子に基
づいてトークンへのアクセスを拒否したためのどちらの理由でも、アクセスは拒
否されることに注意されたい。
付きSIDのみが「インターネットエクスプローラ」を識別する一方、オブジェ
クトのACL80内には対応する制限付きSIDがないため、図6に示された例
では、オブジェクト72へのアクセスはプロセス94へは許可されない。ユーザ
は通常のトークンで実行するプロセスを介してオブジェクトへアクセスする権利
を有していたが、プロセス94はACL内に「インターネットエクスプローラ」
SID(非DENY)を有するオブジェクトのみにアクセスできるようにするよ
うに、制限された。
M_ALLOWEDアクセスを有する場合、これによって上記のように、アルゴ
リズムは最大のアクセスを決定するACL80をウォークスルーする。制限付き
トークンで、1つでも任意のタイプのユーザアクセスまたはグループアクセスが
許可された場合、ユーザおよびグループの実行に続いて許可可能なアクセス権の
タイプ(複数可)は、第2の実行に関して所望のアクセスとして指定され、第2
の実行はRestrictedSidsリストをチェックする。このようにして
、制限付きトークンは通常のアクセスより少ないかまたは等しいアクセスを許可
されることが確認される。
できることに注意されたい。たとえば、オペレーティングシステムの上に常駐す
る、機能に基づいたセキュリティモデルは、本発明のオペレーティングシステム
レベルのセキュリティモデルの上で使用することができる。
トであり、各ジョブはそれに関連付けられた異なるタイプの制限を有する可能性
がある。本発明によれば、制限付きトークンはWindows NTジョブオブ
ジェクトに統合され、同じ制限の下に実行される多数のプロセスの管理を可能に
できる。ジョブオブジェクト制限は次のように表される。
れる。
ject APIを使用してジョブオブジェクト上で定でき、一方、プロセスは
NtAssignProcessToJobObject APIを使用してジ
ョブに割り当てられる。ジョブ上で定されたセキュリティ制限は、プロセスが割
り当てられた時に実施される。ジョブを制限するために、JOB_OBJECT
_SECURITY_FILTER_TOKENS制限フラグが設定され、これ
によって、ジョブに割り当てられているプロセスの主トークンは、セキュリティ
制限情報内に提供されているSidsToDisable、Privilege
sToDeleteおよびRestrictedSids情報を使用して、プロ
セスに関連付けられたトークンが上記のようにフィルタ処理されるのと同じ方法
でフィルタ処理される。
ssToJobObject APIを介してそこに割り当てられた多くのプロ
セス(たとえばプロセス112〜114)を有する。各プロセス112〜114
は、そこに関連付けられた各トークン116a〜116cを有し、これは「制限R
」として示されたその制限に関して同じである。たとえば、これらがその下で実
行されるトークン116a〜116cが所定のセキュリティID(たとえば管理者
(Administrator)SID)を使用不可にしており、一定の権限が削除され、お
よび/または一組の制限付きセキュリティIDが追加されているため、ジョブオ
ブジェクト110はその中にあるプロセス112〜114を制限し、所定の動作
のみを行う。トークンは他のアクセス権に関しては同じであるため、この場合す
べてのトークンは本質的に同じであるが、これは必要ではないことに注意された
い。プロセス(たとえばプロセス114)が他のプロセス118を生成した場合
、同じ制限Rがそのトークン116dを介して新しいプロセス118に関連付け
られていることをジョブオブジェクト110が確認するため、そのプロセス11
8は同じ制限Rを伴うジョブ110内で実行される。
トを実行するための制限付きセキュリティコンテキストが設定される。典型的に
信頼できないコンテントの1つのタイプは、インターネットのサイトからダウン
ロードされたコンテントである。このようなコンテントを制限するために、プロ
セスを(少なくとも)一般に制限付きトークンおよび他の制限と関連付けること
によって、ブラウズされた各サイトを実行するための制限付きプロセスを設定で
きる。プロセスはジョブオブジェクトの中にもあり、これによって、サイトのプ
ロセスによって作成された任意のプロセスが自動的に同じ制限を与えられる場合
があることに注意されたい。ジョブオブジェクトの他の利点は、たとえば、プロ
セスがマシンをシャットダウンしたりまたはクリップボードのデータにアクセス
できないように、ウィンドウ化動作も制限できることである。いずれの場合でも
、ダイナミックHTML、Java制御またはActive−X制御を介するな
どでサイトのコンテントが実行する任意のアクションはプロセス内で発生し、こ
れによって、そのプロセスの制限を受ける。多数のフレームが同時に画面上のウ
ィンドウ内に表示されても、フレームの実際のサイトソースにかかわらず、異な
るフレームは異なるサイトとして処理されることに注意されたい。
130を介してアクセスされた任意のコンテントは、その制限付きSIDフィー
ルド136内に「インターネットエクスプローラ」制限付きSIDを含む制限付
きトークン134を有するプロセス132内で実行できる。上記のように、これ
は、(アクセスが他の一致する制限付きSIDを介していない限り)インターネ
ットエクスプローラSIDに対応する許可エントリーを有しない任意のリソース
へのアクセスを自動的に防ぐ。したがって、たとえば、プロセス132がインタ
ーネットエクスプローラのウィンドウ内でHTMLページをレンダリングする場
合もあるが、リソースのACLが特に、そのアクションを許可する対応する制限
付きSIDを伴うエントリーを含んでいない限り、それ以上の実行を制限できる
。
識別に基づいてリソースへのアクセスを制限することである。たとえば、各サイ
トは一意的なURL(ユニフォームリソースロケータ)を有し、バイナリの証明
IDを有する場合がある。図11に示されるように、URLに基づいて制限する
ためには、ブラウザ130は、URL文字列を制限付きSIDに変換するコンバ
ータ140へサイトURL138を渡す、識別メカニズムとして機能する。この
ようなメカニズムはMD5などの1方向の暗号ハッシュを使用して文字列を12
8ビットのバイナリ値に変換し、このバイナリ値は、その番号がSIDでありそ
の番号が生成された方法を示すヘッダなどの少量の情報を追加することによって
、制限付きSIDになる。このようなSIDは、非常に高い可能性で、別のSI
Dに関して一意的である。バイナリ証明IDがそのサイトに関して使用可能であ
る場合は、その値を使用して制限付きSIDが生成できることに注意されたい。
いずれの場合でも図10に示されたように、制限付きSIDはそのサイトのため
に設定されたプロセス132に関連付けられた、制限付きトークン134の制限
付きSIDフィールド136内に置かれる。
たとえば図11に示されたように、ユーザは特に信頼できるサイトのリストを含
むゾーンと、特に信頼できないサイトのリストを含むゾーンを設定できる。信頼
できるゾーンは1つの制限付きSIDに対応し、信頼できないゾーンは別の制限
付きSIDに対応する。また、イントラネットサイトとインターネットサイトの
間を区別するためにゾーンを設定することもできる。さらなる区別は、1つのタ
イプの証明などを有するインターネットサイトに関して、区別が行われる任意の
細分性について行われる可能性がある。いずれの場合でも、ブラウザ130はサ
イトをゾーンにグループ分けする情報131へのアクセスを有し、これによって
サイトのゾーンに対応する制限付きSIDが生成され、制限付きトークン136
内に置かれ、ACLに基づいたセキュリティチェックのためにそのゾーンをシス
テムリソースに対して識別する。
カニズム78はユーザおよびグループチェックでアクセス評価を実行し、次に(
ユーザおよびグループテストがパスした場合)、制限付きSIDのチェックが行
われる。この結果、各リソースに関するACLは、信頼できないコードがその中
に対応するエントリーがあるかないかによって処理される方法を決定する。たと
えば、ファイルオブジェクトは読み出しアクセスを特に信頼できるサイトまたは
ゾーンに許可するが、任意の他のタイプのアクセスを許可しないか、どのサイト
またはゾーンについてもアクセスを許可しない場合がある。非常に機密のファイ
ルは特に、なんらかの他の制限付きSIDを介した任意のアクセスを防ぐために
、「インターネットエクスプローラ」SIDを有する任意の制限付きトークンへ
のアクセスを否定する可能性がある。したがって、たとえば図10に示されたよ
うに、リソースA(142)は、そのACL144がプロセス132の制限付き
トークン134内に、「Site1.com」制限付きSIDに対応する「Si
te1.com」エントリーを含むため、プロセス132へ読み出しアクセスを
許可する。しかし、リソースB(146)は対応するエントリーが存在しないた
め、アクセスを許可しない。
トまたはゾーンなど種々の区別に基づいて区別する細分性を欠いている場合があ
るため、ある種の困難が生じる。たとえば、特定のインターネットサイトに関し
て設定されたプロセスはそのサイトへのアクセスを必要とする場合がある。しか
し、ウィンドウズソケットを処理するドライバ(AFDデバイスドライバ)は、
ネットワーク化を許可または否定するように設定されたACLのいずれかを有す
るが、実際には各サイトまたはゾーンの間を区別できない。ネットワーク化をす
べて否定すると、プロセスがそれ自体の対応するサイトへアクセスすることが妨
げられるが、プロセスが任意のサイトへアクセスすることを許可すると、そのプ
ロセスに他のサイトへのアクセスを許可し、クライアントに関する機密情報をも
らす可能性がある。ネットワークアクセスを制限する理由は、通常はインターネ
ットからアクセスできないファイルサーバ上の保護されていないファイルへのア
クセスを防ぐこと、保護されていない内部のデータベースへのアクセスを防ぐこ
と、ネットワークリソースへの攻撃を防ぐこと(たとえば悪いパケットまたはD
HCP応答を介して)、およびネットワークに到達する他の可能性のある方法に
関して情報の漏洩を防ぐことを含む。
消するために、本発明は、一般にはプロセスをネットワーク化から制限するが、
そのサイトに関してネットワーク化を実行できる、信頼できるヘルパープロセス
を使用する。ヘルパープロセスは、それによって決定されたように、制限付きプ
ロセスが選択されたサイト(たとえば、「Microsoft.com」で終わ
るすべてのサイト)のみにアクセスできるようにする程度にプロセスを制限する
。具体的には、図13に示されているように、制限付きプロセス132はウィン
ドウズソケットAFDドライバ150(「X」によって表されている)への直接
のアクセスを拒否されており、これによって、制限付きプロセス132はそれ自
体も含め、任意のサイトに関してソケットハンドルを直接得ることはできない。
デバイスドライバ150のACL152を介して制限付きプロセスへのアクセス
を拒否することにより、デバイスドライバ150は、直接カーネル内に呼ぶなど
、他のなんらかの方法を介して、制限付きプロセス132によってアクセスでき
ないことに注意されたい。しかし、信頼できるヘルパープロセス154は、それ
自体の制限なしトークン156を介してドライバ150へのアクセスを有してお
り、ソケットハンドルを検索できる。制限付きプロセス132がソケットハンド
ルを検索しようと試みた時にいつでもヘルパープロセス154を起動するように
Winsock connect()API 158を変更することによって、
適切なメカニズム(すなわちAPI 158)が使用されている時に、サイトの
検証されたまたは許可されたソケットの1つへのハンドルが戻される。
ocket()およびconnect()API 158が呼び出され、ハンド
ルをソケットへ戻した時に、connect()API 158はまず、ステッ
プ1502において呼出しプロセス132がそのトークン134の中で適切な制
限付きSIDを介して制限されているかどうかをチェックする。制限されていな
い場合、ステップ1402はステップ1404に分岐し、connect()A
PI 158は以前と同じように動作してソケットハンドルまたは適切なエラー
コード(たとえば、使用可能なソケットはありません、ホストに接続できません
、アクセスが拒否されました、など)を戻す。
にconnect()コールを作成すると、connect()API 158
はステップ1406でヘルパープロセス154(図13および図18)を呼び出
す。図15のステップ1510によって表されたように、ヘルパープロセス15
4はサイトのサイト情報を制限付きトークン134から抽出し、ステップ151
2で、サイトの許可された(または拒否された)アドレスを要求されたアドレス
と比較する。これらが許可されていない場合、ステップ1512はステップ15
14に分岐し、ここでソケット要求は適切なエラーコードを設定するなどにより
効果的に拒否される。これらが同じ場合、ステップ1512はステップ1516
に分岐し、ここでヘルパープロセス154はデバイスドライバ150にアクセス
して、プロセス132に対応するサイトへのソケットハンドルを得る(ハンドル
が使用可能で、他のエラーがないと仮定する)。ヘルパープロセス154(図1
5)は、ステップ1518でハンドルをコピーし、コピーされたハンドルまたは
なんらかのエラーの指示のいずれかをconnect()API 158(図1
4)に戻し、その後、connect()API 158はステップ1420で
ソケットハンドルまたはエラーコードを制限付きプロセス132へ戻す(図14
)。この方法で、ハンドルが戻された場合、制限付きプロセス132はハンドル
を介して検証/許可されたサイトにアクセスできるが、他のサイトにはアクセス
できない。ヘルパープロセス154が信頼できるものであり、そのサイトのソケ
ットハンドルのみを許可するように注意深く書かれていることに注意されたい。
ルでURLで識別されたデータをダウンロードするWininet.dll(他
の関数も含む)は、ヘルパープロセスを使用する。ヘルパープロセスはサイトが
要求しているURLを抽出および確認し、確認された場合、ダウンロードおよび
他のWininet作業を実行するが、一方、制限付きプロセスへ通知を提供す
る。ヘルパープロセスがダウンロードされたファイル上でACLを設定できるよ
うにすることによって、これらのファイルを他のサイトから守ることが容易に理
解されるであろう。再び、制限付きプロセスがwininet関連のAPIを呼
び出す時、APIは適切なヘルパープロセスを起動する。
プロセスは、それ自体のファイル以外のファイルへのアクセスからも制限されて
いる。この目的のために、ユーザのシステム上でサイトによって作成された任意
のファイルは、そのサイトに特に対応するACLエントリーを有するフォルダ内
に置かれる。たとえば図16に示されているように(ここではフォルダは三角形
として表され、階層的なフォルダ構造を示す)、各サイト(Site1.com
からSiten.com)は、インターネットサイトのファイルフォルダ162
の下などのように、ファイルシステム内に自分自身のサブフォルダ1601〜1
60nを有する。そのサイトのプロセスのみ(たとえばSite1.com)が
それ自体のトークンの中にACL1641内のエントリーに対応する制限付きS
IDを有するので、他のサイト(たとえばSite2.com)はそのサイトに
はアクセスできず、またその逆も同じである。このような隔離によってサイトが
それ自体のファイルにアクセス(たとえば作成、開く、読み出す、書き込む、削
除する)することは可能になるが、別のサイトからのコンテントがこれらのファ
イルにアクセスすることを防ぐ。
メカニズムは、ファイルを開き、作成するためにAPI 170に構築される場
合がある。ファイルを作成し開くためのAPIは、インターネットサイトに関し
て設定されたプロセス132が呼んでいる時を認識し(制限付きトークン134
の中で制限付きSIDを確認することによって)、および制限付きトークンに基
づいて各ファイルを適切に置くおよび/または位置付けるようにパスを調節する
ように設定される。他のファイル動作(たとえば読み出し、書き込みおよび削除
)はこれらのAPIによって戻されたファイルハンドルを使用するので、他のA
PIを変更してパスをリダイレクト(redirect)する必要はないことに
注意されたい。
トリ174には間接的にしかアクセスできないが、本発明によれば、たとえばそ
れ自体のサイトに基づいたキー名(キー名がプロセスによって提供されていても
)の元など、レジストリのバーチャル化されたビューを介さなければシステムレ
ジストリ174にアクセスできない。たとえば、サイトはシステムレジストリ1
74に書き込みを試みるActive−X制御を含む場合がある。制限付きプロ
セスにレジストリのバーチャル化されたビューを提供するために、レジストリに
アクセスするためのレジストリWIN32 API 176(たとえば、Reg
SaveKey()およびRegRestoreKey()API)は、制限付
きプロセスをレジストリ(またはそのコピー)内のそのサイト特定のサブツリー
178へリダイレクトしたり、そこからリダイレクトしたりする。この方法で、
信頼できないコンテントは、レジストリ174内の情報を指定された位置に登録
できると信じるが、実際にはサブツリーまたはバーチャルレジストリ178にア
クセスするように制限され、これによって既存のレジストリ情報を効果的に分離
する。
は、電子メール(eメール)を介してである。電子メールでは、信頼のレベルは
だれがメッセージを送信したかに依存しており、任意の添付物があった場合は、
添付物のタイプ(知られている場合は出典)に依存している。図12は、送信者
の識別に基づいて信頼性を決定するための例としての構成要素を示し、ここでメ
ールアプリケーション133は識別135を識別メカニズム137へ渡す。識別
メカニズム137は、SID表141などへの信頼レベル内で制限付きSID
139を探すなどによって、ユーザ識別(およびその識別が真であることを確認
するなんらかの認証など別の基準)を制限付きSID 139へ変換するために
、ユーザの信頼性レベルを決定する。メールのコンテントが実行されるプロセス
143は、制限付きSID 139を含む制限付きトークン145に関連付けら
れる。
送信者に基づいてアクセスを制限する例示的な方法としての一般的な論理を表す
。メッセージの「送信者(From)」フィールドを使用して送信者の主張された識
別を決定するが、ディジタル署名を介するなど認証メカニズム(たとえば電子メ
ールアプリケーション133内)を使用して、送信者が本当にメッセージのソー
スであることを確認する場合もあることに注意されたい。さらに、ソースに基づ
いた制限はオンラインニュースについても同様に設定でき、これによってダウン
ロードされたニュースのコンテントは、送信者の識別に基づいて制限付きコンテ
キスト内で実行される。
できないのいずれかであり、送信者が認証される場合とされない場合に、マシン
上に設定できる次の簡単な方針を考えてみる。たとえば、個人の監督者および直
接の同僚は非常に信頼できる送信者であり、従業員や親しい友人は信頼できる送
信者であり、他のすべては信頼できない送信者である。マシン上でリソースAC
Lは、信頼性レベル1を示す制限付きSIDを有する制限付きトークンを伴うプ
ロセスはファイルを読み出したり書き込んだりすることができるが、一方信頼レ
ベル2のプロセスはファイルを読み出すのみであるように、制限付きSIDに対
応するエントリーで設定されている場合がある。信頼レベル3を示す制限付きS
IDを有する制限付きトークンを伴うプロセスは、任意のリソースへのアクセス
を拒否される。信頼レベル0は、通常の(制限なし)トークンがそのプロセスに
関連付けられていることを意味する。
る場合(たとえば「送信者」フィールドの名前を名前のリストと比較することに
よって)ステップ1902が実行され、送信者が認証されているかどうかを決定
する。たとえば、受信者がメッセージの送信者の本当の識別を確認するように、
メッセージにディジタルな署名がある場合がある。認証された場合、ステップ1
904は信頼レベルをゼロに設定し、ステップ1906は通常のトークンをその
メッセージについて設定されたプロセスと関連付ける。認証されなかった場合、
ステップ1908は信頼レベルを2に設定し、その後、ステップ1920は、2
の信頼レベルに基づいてそのメッセージ用に設定されたプロセスのために制限付
きトークンを作成し、その制限付きトークンをそのメッセージについて設定され
たプロセスと関連付ける。信頼レベル1、2および3のための制限付きSIDは
予め定められており、表141の中など、マシン上に記憶されていることを注意
されたい。
910に分岐し、ユーザが信頼できるユーザか、または信頼できないユーザかを
決定する。セキュリティ方針に従って信頼できるユーザであると決定された場合
は、ステップ1910はステップ1912に分岐し、送信者が認証されているか
どうかを決定する。認証されている場合、ステップ1914および1920にお
いて、メッセージプロセスはレベル1の信頼(読み出しおよび書き込みアクセス
)になるように設定される。ステップ1912において認証されていないと決定
された場合、信頼レベルはステップ1908で2(読み出しのみ(リードオンリ
ー))に設定され、それに従って再度ステップ1920で適切な制限付きSID
を検索し、制限付きトークンに挿入することによって、プロセスは制限される。
最後に、ユーザが信頼できない場合、ステップ1910はステップ1916に分
岐し、信頼レベルは3に設定され、ステップ1920では、プロセスはそれに対
応してシステムリソースへのアクセスを拒否されるように制限される。上のセキ
ュリティ方針は、ポイントシステムを介した実装を提案する、すなわち、送信者
の識別および認証されている場合の種々のポイントに応じて種々のポイントを蓄
積し、すべてのポイントに基づいてアクセスレベルを決定することに注意された
い。
あろう。しかし、添付物の送信者に基づいて制限することに加えて、添付物はそ
のタイプについてもチェックされる場合がある。たとえば、実行可能ファイル(
*.exe、*.bat、*.comなど)はテキストのみの文書から区別され
、マイクロソフトワード文書およびマイクロソフトエクセル文書(これはウィル
スや、マクロを介した他の不正なコードを含む可能性がある)からは、制限に関
して異なるように処理される場合がある。たしかに、任意の数の基準が使用され
、および/または他の基準と組み合わせられて、所望のセキュリティ方針に従っ
て制限付きセキュリティコンテキストを設定することができる。
ロセス、スクリプト、および他のこのようなヘルパープログラムは、このような
コンテントが実行できることに関して、制限付きの実行コンテキストを介して限
定される場合がある。本発明の別の態様によれば、ウェブサーバがコンテントを
使用するための第1の方法は、このようなコンテントが任意の中心的なオペレー
ティングシステムを傷つけたり、および他のヘルパープログラムのデータに干渉
したりすることを防ぐ、制限付きコンテキスト内でこのようなコンテントのすべ
てを起動することである。上記のように、信頼できないコンテントの各断片につ
いて、適切に制限されたトークンに関連付けられたプロセスを設定し、これによ
って、所望のようにこれらのACLを介したシステムのデータファイルへのアク
セスを拒否し、および所望のように信頼できないコンテントの任意のファイルを
分離することによって、これが達成できる。メモリの保護はすでにプロセスの境
界を介してすでに存在することに注意されたい。
任意のファイルへのアクセスを必要とするかどうか、またはほかのユーザファイ
ルまたはシステムファイルとファイルを共有する必要があるかどうかを決定する
ことによるなどで、制限が実行されているサーバスクリプトに基づく場合がある
。たとえば、図20に示されたように、特にそのために制限付きSID 206
を含む制限付きトークン204を作成することによって制限されているプロセス
202内でウェブサーバヘルパースクリプト200を実行することによって、ス
クリプトはそれが必要とするリソースのみに限定され他のリソースにはアクセス
できず、スクリプトがそれが意図されたこと以外には何もできないように効果的
に限定できる。したがって、図20に示されたように、スクリプト1 200は
、リソースX(218)およびリソースZ(226)のそれぞれのACL 22
0、228が「スクリプト1」エントリーを含むため、リソースXおよびリソー
スZにアクセスすることができる。同様に、スクリプト2 210は、リソース
Y(222)およびリソースZ(226)のそれぞれのACL 224、228
が「スクリプト2」エントリーを含むため、リソースYおよびリソースZにアク
セスすることができる。したがって、示されたリソースがデータファイルである
場合、スクリプト1はスクリプト2のデータに干渉することはできず、またその
逆も同じであるが、リソースZ内は例外である、しかしリソースZは共有ファイ
ルとして設計されている。たとえば、ACLエントリーを介してリソースZ(2
26)はこれらのプロセス202、212に関して読み出しのみのデータファイ
ルである可能性があり、これにによってスクリプト200、210はこのファイ
ルの情報を使用することはできるが、これを変更することはできない。
とであって、これは上記のように、その中のすべてのプロセスに関して制限を含
むカーネルレベルのオブジェクトである。さらに、ジョブオブジェクトはCPU
の処理が消費される程度など他の制限も含む場合がある。上記のように、このジ
ョブに追加された任意のプロセスは同じ制限を受け、これによってウェブサーバ
はクライアントのためにプロセスを作成し、ついでプロセスを既存のジョブに追
加することができる。制限はついで自動的にプロセスに適用される。
らが会社の従業員か否か)、そのクライアントによって使用されている認証の方
法(たとえば、パスワードの提示、証明、スマートカードの使用、または親指の
指紋/網膜走査など)、およびクライアントの位置(たとえば、クライアントが
同じネットワーク上にいるか、ダイアルインしているか、またはインターネット
上で接続しているかに基づく)を含む、任意の数の基準に基づいて、クライアン
トプロセスなどに適用する制限をさらに選択することができる。図21は、認証
タイプに応じて、および認証がローカルマシンを介してではなくなんらかの遠隔
(したがって理論的にはより安全でない)接続を介して行われたかどうかに応じ
て、信頼レベルを設定するための論理を示す、例としてのフロー図を示す。簡単
に説明するために、信頼レベルと、それを使用して対応する制限付きSIDを検
索して制限付きトークンを設定することは同様に上に説明されているので、図2
1の個別のステップおよび論理は詳細には説明されない。しかし、一般に、認証
がより信頼できる場合は、割り当てられる信頼レベルはより低い(ここでは増大
されたアクセス権に対応する)ことに注意されたい。
用して、単一のウェブサーバ上で多数のウェブサイトを安全にホストすることが
できる。この目的のために、各ウェブサイトはジョブオブジェクトおよび制限付
きトークンから構成される、別の制限付き実行コンテキスト内で実行される。ジ
ョブオブジェクトは、ウェブサーバのリソースの一部が各ウェブサイトに割りつ
けられるように、割当てを提供する。制限付きトークンはウェブサイトの間に分
離を提供し、顧客リストなどのプライベートなデータを認証されないアクセスか
ら保護する。
信頼できないコンテントがシステムリソースへアクセスすることを制限する。制
限は、システムに使用可能な任意の基準に応じて、リソースごとのベースで適用
できる。
れた実施形態が図に示され、上記に詳細に説明された。しかし、本発明を開示さ
れた具体的な形に制限する意図はなく、逆に、本発明の精神と範囲に含まれるす
べての変形例、代替の構成、均等物をカバーすることが目的であることを理解さ
れたい。
。
とを一般に表すブロック図である。
素を一般に表すブロック図である。
般のステップを表すフローチャートである。
般のステップを表すフローチャートである。
のトークンを有するプロセスを一般に表すブロック図である。
るための、関連付けられた制限付きのトークンを有する論理を一般に表すブロッ
ク図である。
決定する時にとられる一般のステップを表すフローチャートである。
ブロック図である。
リソースへのアクセスに関して制限されている信頼できないコンテントを一般に
表すブロック図である。
スを制限するための、本発明の別の一態様による構成要素を表すブロック図であ
る。
スを制限するための、本発明の別の一態様による構成要素を表すブロック図であ
る。
るためのヘルパープロセスを一般に表すブロック図である。
(API)がヘルパープロセスを使用して情報をリソースから、そのリソースへ
のアクセスを制限されているプロセスへ戻す方法を示すフロー図である。
(API)がヘルパープロセスを使用して情報をリソースから、そのリソースへ
のアクセスを制限されているプロセスへ戻す方法を示すフロー図である。
分離されたサイトのファイルの図である。
がリダイレクトされる方法を表すブロック図である。
イレクトされる方法を表すブロック図である。
テントが制限される方法の例を表すフロー図である。
で、リソースへのアクセスに関して制限されている信頼できないスクリプトを一
般に表すブロック図である。
ってサーバ上でクライアントプロセスが制限される方法の例を表すフロー図であ
る。
Claims (35)
- 【請求項1】 各々のリソースに関連付けられたセキュリティ情報に対する
、各々のプロセスに関連付けられたアクセストークン内の情報に基づいて、プロ
セスがリソースへアクセスすることを決定するセキュリティメカニズムを準備し
たオペレーティングシステムを有するシステムにおいて、コンテントがリソース
へアクセスすることを制限する方法であって、前記コンテントに関するプロセス
を設定するステップと、前記システムに使用可能な基準に基づいて制限情報を決
定するステップと、前記制限情報を制限付きアクセストークンに追加するステッ
プと、前記制限付きアクセストークンを、前記コンテントのプロセスのアクセス
トークンとして使用するステップとを備えたことを特徴とする方法。 - 【請求項2】 前記コンテントは、信頼できないソースから得られたデータ
を備えたことを特徴とする請求項1に記載の方法。 - 【請求項3】 前記信頼できないソースは、フロッピディスクであることを
特徴とする請求項2に記載の方法。 - 【請求項4】 前記コンテントは前記システムにファイルを書き込み、およ
び前記方法は、サイトに対応する制限付きセキュリティ識別子を生成するステッ
プと、前記セキュリティ識別子を前記ファイルのセキュリティ情報に追加するス
テップと、前記ファイルを前記システム内に格納するステップとをさらに備えた
ことを特徴とする請求項2に記載の方法。 - 【請求項5】 前記コンテントは前記システムにファイルを書き込み、およ
び前記方法は、前記コンテントによって提供されたパスを、前記サイトに関連付
けられたパスにリダイレクトするステップをさらに備えたことを特徴とする請求
項2に記載の方法。 - 【請求項6】 前記データはネットワークデータを備え、前記信頼できない
ソースはネットワークサイトであることを特徴とする請求項2に記載の方法。 - 【請求項7】 前記サイトはインターネットサイトであり、および前記制限
情報を決定するステップは、前記インターネットサイトの一意的な情報からセキ
ュリティ識別子を生成するステップを含むことを特徴とする請求項6に記載の方
法。 - 【請求項8】 前記一意的な情報は、前記インターネットサイトのバイナリ
証明識別子を備えたことを特徴とする請求項7に記載の方法。 - 【請求項9】 前記一意的な情報は前記インターネットサイトのユニフォー
ムリソースロケータ(URL)を備え、および前記セキュリティ識別子を生成す
るステップは、前記URLを前記制限付きセキュリティ識別子に変換するステッ
プを含むことを特徴とする請求項7に記載の方法。 - 【請求項10】 前記URLを前記制限付きセキュリティ識別子に変換する
ステップは、前記URLを暗号化ハッシュ関数でハッシュするステップを含むこ
とを特徴とする請求項9に記載の方法。 - 【請求項11】 前記コンテントは電子メールメッセージを備えたことを特
徴とする請求項1に記載の方法。 - 【請求項12】 前記制限情報を決定するステップは、前記メッセージの送
信者を決定するステップを含むことを特徴とする請求項11に記載の方法。 - 【請求項13】 前記メッセージの送信者を決定するステップは、前記送信
者を認証するステップを含むことを特徴とする請求項12に記載の方法。 - 【請求項14】 前記コンテントはスクリプトを備えたことを特徴とする請
求項1に記載の方法。 - 【請求項15】 前記システムはサーバであり、および前記制限情報を決定
するステップは、クライアントが前記サーバに認証された方法を決定するステッ
プを含むことを特徴とする請求項14に記載の方法。 - 【請求項16】 前記コンテントはサイトからダウンロードされたデータを
備え、前記方法は、前記サイトに対応するゾーンを決定するステップをさらに備
え、および前記制限情報を制限付きアクセストークンに追加するステップは、前
記ゾーンに対応する制限付きセキュリティ識別子を前記制限付きアクセストーク
ンに追加するステップを含むことを特徴とする請求項1に記載の方法。 - 【請求項17】 ヘルパープロセスを介して前記リソースへアクセスするス
テップをさらに備えたことを特徴とする請求項1に記載の方法。 - 【請求項18】 前記ヘルパープロセスは、前記コンテントに関連付けられ
た情報を前記制限付きトークンから抽出することを特徴とする請求項17に記載
の方法。 - 【請求項19】 アプリケーションプログラミングインタフェースにおいて
、前記制限付きトークンをアクセストークンとして有する前記プロセスからリソ
ースへアクセスしようとする試みを検出するステップと、それに応答して、前記
ヘルパープロセスを呼び出して前記リソースへアクセスするステップと、前記ヘ
ルパープロセスから、前記制限付きトークンをアクセストークンとして有する前
記プロセスへ情報を戻すステップとをさらに備えたことを特徴とする請求項17
に記載の方法。 - 【請求項20】 前記リソースの前記セキュリティ情報が前記ヘルパープロ
セスへアクセスすることを許可し、前記制限付きトークンをアクセストークンと
して有する前記プロセスへアクセスすることを否定するように前記リソースの前
記セキュリティ情報を設定するステップをさらに備えたことを特徴とする請求項
17に記載の方法。 - 【請求項21】 前記プロセスをジョブオブジェクトに入れるステップをさ
らに備えたことを特徴とする請求項1に記載の方法。 - 【請求項22】 前記コンテントがシステムレジストリにアクセスしようと
試み、前記コンテントによって提供されたレジストリ位置を、前記コンテントに
関連付けられたレジストリ位置へリダイレクトするステップをさらに備えたこと
を特徴とする請求項1に記載の方法。 - 【請求項23】 コンピュータシステムにおいて、コンテントがリソースへ
アクセスすることを制限するためのシステムであって、前記コンテントに関して
設定されたプロセスと、前記コンテントに対応する情報に基づいて少なくとも1
つの制限付きセキュリティ識別子を決定するための識別メカニズムと、前記少な
くとも1つの制限付きセキュリティ識別子を前記制限付きアクセストークンに追
加することによって、前記プロセスのために制限付きアクセストークンを作成す
るためのメカニズムと、前記制限付きアクセストークン内の情報と前記リソース
に関連付けられたセキュリティ情報とを比較することによって前記コンテントの
プロセスがリソースにアクセスすることを決定するためのセキュリティメカニズ
ムとを備えたことを特徴とするシステム。 - 【請求項24】 前記コンテントはサイトからダウンロードされたデータを
備えたことを特徴とする請求項23に記載のシステム。 - 【請求項25】 前記サイトはインターネットサイトであり、および前記識
別メカニズムは前記インターネットサイトの情報から制限付きセキュリティ識別
子を生成することを特徴とする請求項24に記載のシステム。 - 【請求項26】 前記インターネットサイトの情報は、前記インターネット
サイトのバイナリの証明識別子を備えたことを特徴とする請求項25に記載のシ
ステム。 - 【請求項27】 前記インターネットサイトの情報はユニフォームリソース
ロケータ(URL)を備え、および、前記URLを前記制限付きセキュリティ識
別子に変換するためのコンバータをさらに備えたことを特徴とする請求項25に
記載のシステム。 - 【請求項28】 前記コンバータは、一方向の暗号化ハッシュ関数を含むこ
とを特徴とする請求項27に記載のシステム。 - 【請求項29】 前記コンテントは電子メールメッセージを備えたことを特
徴とする請求項23に記載のシステム。 - 【請求項30】 前記識別メカニズムは、前記メッセージの送信者に基づい
て制限付きセキュリティ識別子を決定することを特徴とする請求項29に記載の
システム。 - 【請求項31】 前記コンテントはスクリプトを備えたことを特徴とする請
求項23に記載のシステム。 - 【請求項32】 前記システムはサーバであり、および制限付きセキュリテ
ィ識別子は、前記クライアントが認証され前記サーバに接続する方法に従って生
成されることを特徴とする請求項23に記載のシステム。 - 【請求項33】 前記制限付きトークンから前記コンテントに関連付けられ
た情報を抽出し、および前記プロセスのために前記リソースへアクセスするため
のヘルパープロセスをさらに備えたことを特徴とする請求項23に記載のシステ
ム。 - 【請求項34】 ジョブオブジェクトをさらに備え、前記プロセスは前記ジ
ョブオブジェクト内で実行されることを特徴とする請求項23に記載のシステム
。 - 【請求項35】 コンピュータサーバ内で、コンテントがリソースへアクセ
スすることを制限するためのシステムであって、各ウェブサイトのコンテントが
そのために設定されたプロセスを有する、別個のウェブサイトに準備された複数
のコンテントと、各サイトに対応する情報に基づいて、少なくとも1つの制限付
きセキュリティ識別子を決定するための識別メカニズムと、前記サイトに対応す
る少なくとも1つの制限付きセキュリティ識別子を前記プロセスのための前記制
限付きアクセストークンに追加することによって、各プロセスについて制限付き
アクセストークンを作成するためのメカニズムと、前記制限付きアクセストーク
ン内の情報と前記リソースに関連付けられたセキュリティ情報とを比較すること
によって、各コンテントのプロセスがリソースへアクセスすることを決定するた
めのセキュリティメカニズムとを備えたことを特徴とするシステム。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US09/097,218 US6505300B2 (en) | 1998-06-12 | 1998-06-12 | Method and system for secure running of untrusted content |
US09/097,218 | 1998-06-12 | ||
PCT/US1999/012912 WO1999064946A1 (en) | 1998-06-12 | 1999-06-09 | Method and system for secure running of untrusted content |
Related Child Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2010054439A Division JP4878647B2 (ja) | 1998-06-12 | 2010-03-11 | 信頼できないコンテントを安全に実行するための方法およびシステム |
Publications (2)
Publication Number | Publication Date |
---|---|
JP2002517852A true JP2002517852A (ja) | 2002-06-18 |
JP4906188B2 JP4906188B2 (ja) | 2012-03-28 |
Family
ID=22262174
Family Applications (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2000553883A Expired - Fee Related JP4906188B2 (ja) | 1998-06-12 | 1999-06-09 | 信頼できないコンテントを安全に実行するための方法およびシステム |
JP2010054439A Expired - Fee Related JP4878647B2 (ja) | 1998-06-12 | 2010-03-11 | 信頼できないコンテントを安全に実行するための方法およびシステム |
Family Applications After (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2010054439A Expired - Fee Related JP4878647B2 (ja) | 1998-06-12 | 2010-03-11 | 信頼できないコンテントを安全に実行するための方法およびシステム |
Country Status (6)
Country | Link |
---|---|
US (1) | US6505300B2 (ja) |
EP (1) | EP1086413B1 (ja) |
JP (2) | JP4906188B2 (ja) |
AT (1) | ATE518180T1 (ja) |
ES (1) | ES2368200T3 (ja) |
WO (1) | WO1999064946A1 (ja) |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20040028257A (ko) * | 2002-09-30 | 2004-04-03 | 삼성전자주식회사 | 네트워크에 접근가능한 장치, 그 보안 방법 및 정보저장매체 |
JP2005166018A (ja) * | 2003-12-02 | 2005-06-23 | Hauri Inc | コンピュータウイルス防疫方法及びそのプログラムを記録した記録媒体 |
JP2005353038A (ja) * | 2004-03-18 | 2005-12-22 | Microsoft Corp | ユーザの信用判断のためのエキスパートを使用した知的推奨に関するシステムおよび方法 |
JP2007506350A (ja) * | 2003-09-17 | 2007-03-15 | 松下電器産業株式会社 | アプリケーション実行装置、アプリケーション実行方法、集積回路およびプログラム |
WO2007074565A1 (ja) * | 2005-12-27 | 2007-07-05 | Nec Corporation | プログラム実行制御方法および装置ならびに実行制御プログラム |
JP2010519662A (ja) * | 2007-02-26 | 2010-06-03 | マイクロソフト コーポレーション | 限定的プロセスでのファイル変換 |
US8117246B2 (en) | 2006-04-17 | 2012-02-14 | Microsoft Corporation | Registering, transfering, and acting on event metadata |
JP2014521184A (ja) * | 2011-07-20 | 2014-08-25 | マイクロソフト コーポレーション | 信頼レベルのアクティブ化 |
Families Citing this family (309)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7058822B2 (en) | 2000-03-30 | 2006-06-06 | Finjan Software, Ltd. | Malicious mobile code runtime monitoring system and methods |
US8079086B1 (en) | 1997-11-06 | 2011-12-13 | Finjan, Inc. | Malicious mobile code runtime monitoring system and methods |
US9219755B2 (en) | 1996-11-08 | 2015-12-22 | Finjan, Inc. | Malicious mobile code runtime monitoring system and methods |
US6370571B1 (en) | 1997-03-05 | 2002-04-09 | At Home Corporation | System and method for delivering high-performance online multimedia services |
US7529856B2 (en) * | 1997-03-05 | 2009-05-05 | At Home Corporation | Delivering multimedia services |
US6986062B2 (en) * | 1998-04-09 | 2006-01-10 | Microsoft Corporation | Set top box object security system |
AU4568299A (en) * | 1998-06-15 | 2000-01-05 | Dmw Worldwide, Inc. | Method and apparatus for assessing the security of a computer system |
US7162528B1 (en) * | 1998-11-23 | 2007-01-09 | The United States Of America As Represented By The Secretary Of The Navy | Collaborative environment implemented on a distributed computer network and software therefor |
US7225333B2 (en) * | 1999-03-27 | 2007-05-29 | Microsoft Corporation | Secure processor architecture for use with a digital rights management (DRM) system on a computing device |
US6647494B1 (en) * | 1999-06-14 | 2003-11-11 | Intel Corporation | System and method for checking authorization of remote configuration operations |
US6775828B2 (en) * | 1999-07-19 | 2004-08-10 | Microsoft Corporation | Delayed uploading of user registration data |
EP1085396A1 (en) | 1999-09-17 | 2001-03-21 | Hewlett-Packard Company | Operation of trusted state in computing platform |
US6678733B1 (en) * | 1999-10-26 | 2004-01-13 | At Home Corporation | Method and system for authorizing and authenticating users |
FR2802319B1 (fr) * | 1999-12-10 | 2004-10-01 | Gemplus Card Int | Controle d'acces par capacites pour des applications notamment cooperantes dans une carte a puce |
US7331058B1 (en) * | 1999-12-16 | 2008-02-12 | International Business Machines Corporation | Distributed data structures for authorization and access control for computing resources |
US7003571B1 (en) * | 2000-01-31 | 2006-02-21 | Telecommunication Systems Corporation Of Maryland | System and method for re-directing requests from browsers for communication over non-IP based networks |
US7246374B1 (en) | 2000-03-13 | 2007-07-17 | Microsoft Corporation | Enhancing computer system security via multiple user desktops |
US6842774B1 (en) * | 2000-03-24 | 2005-01-11 | Robert L. Piccioni | Method and system for situation tracking and notification |
US7373512B1 (en) * | 2000-03-27 | 2008-05-13 | Entrust Limited | Method and apparatus for providing information security to prevent digital signature forgery |
US6986037B1 (en) * | 2000-04-07 | 2006-01-10 | Sendmail, Inc. | Electronic mail system with authentication/encryption methodology for allowing connections to/from a message transfer agent |
US7577834B1 (en) * | 2000-05-09 | 2009-08-18 | Sun Microsystems, Inc. | Message authentication using message gates in a distributed computing environment |
KR20010107572A (ko) * | 2000-05-24 | 2001-12-07 | 포만 제프리 엘 | 신뢰성 기반의 링크 액세스 제어 방법, 장치 및 프로그램제품 |
US7284124B1 (en) * | 2000-06-05 | 2007-10-16 | Microsoft Corporation | Trust level based platform access regulation application |
US6922782B1 (en) * | 2000-06-15 | 2005-07-26 | International Business Machines Corporation | Apparatus and method for ensuring data integrity of unauthenticated code |
US7000230B1 (en) * | 2000-06-21 | 2006-02-14 | Microsoft Corporation | Network-based software extensions |
US7117435B1 (en) | 2000-06-21 | 2006-10-03 | Microsoft Corporation | Spreadsheet fields in text |
US6874143B1 (en) | 2000-06-21 | 2005-03-29 | Microsoft Corporation | Architectures for and methods of providing network-based software extensions |
US7191394B1 (en) * | 2000-06-21 | 2007-03-13 | Microsoft Corporation | Authoring arbitrary XML documents using DHTML and XSLT |
US6883168B1 (en) * | 2000-06-21 | 2005-04-19 | Microsoft Corporation | Methods, systems, architectures and data structures for delivering software via a network |
US7346848B1 (en) * | 2000-06-21 | 2008-03-18 | Microsoft Corporation | Single window navigation methods and systems |
US6948135B1 (en) | 2000-06-21 | 2005-09-20 | Microsoft Corporation | Method and systems of providing information to computer users |
CA2800037C (en) * | 2000-06-21 | 2014-12-16 | Microsoft Corporation | System and method for integrating spreadsheets and word processing tables |
US7155667B1 (en) * | 2000-06-21 | 2006-12-26 | Microsoft Corporation | User interface for integrated spreadsheets and word processing tables |
US7624356B1 (en) * | 2000-06-21 | 2009-11-24 | Microsoft Corporation | Task-sensitive methods and systems for displaying command sets |
GB0020441D0 (en) * | 2000-08-18 | 2000-10-04 | Hewlett Packard Co | Performance of a service on a computing platform |
US6985963B1 (en) * | 2000-08-23 | 2006-01-10 | At Home Corporation | Sharing IP network resources |
JP2002135334A (ja) * | 2000-10-27 | 2002-05-10 | Nobuko Hirano | 代行送受信方法、及びそのシステム |
US7660902B2 (en) * | 2000-11-20 | 2010-02-09 | Rsa Security, Inc. | Dynamic file access control and management |
US6938164B1 (en) * | 2000-11-22 | 2005-08-30 | Microsoft Corporation | Method and system for allowing code to be securely initialized in a computer |
GB2376763B (en) | 2001-06-19 | 2004-12-15 | Hewlett Packard Co | Demonstrating integrity of a compartment of a compartmented operating system |
TW584801B (en) | 2000-12-11 | 2004-04-21 | Ntt Docomo Inc | Terminal and repeater |
US20030220880A1 (en) * | 2002-01-17 | 2003-11-27 | Contentguard Holdings, Inc. | Networked services licensing system and method |
US7603356B2 (en) | 2001-01-26 | 2009-10-13 | Ascentive Llc | System and method for network administration and local administration of privacy protection criteria |
GB0102516D0 (en) * | 2001-01-31 | 2001-03-21 | Hewlett Packard Co | Trusted gateway system |
GB0102518D0 (en) * | 2001-01-31 | 2001-03-21 | Hewlett Packard Co | Trusted operating system |
JP2002247548A (ja) * | 2001-02-15 | 2002-08-30 | Nec Access Technica Ltd | 映像表示許可方式、コンピュータに映像表示を行わせるためのプログラム |
GB2372345A (en) * | 2001-02-17 | 2002-08-21 | Hewlett Packard Co | Secure email handling using a compartmented operating system |
GB2372593B (en) * | 2001-02-23 | 2005-05-18 | Hewlett Packard Co | Electronic communication |
GB2372595A (en) * | 2001-02-23 | 2002-08-28 | Hewlett Packard Co | Method of and apparatus for ascertaining the status of a data processing environment. |
GB2372592B (en) | 2001-02-23 | 2005-03-30 | Hewlett Packard Co | Information system |
JP2002288093A (ja) * | 2001-03-26 | 2002-10-04 | Fujitsu Ltd | 電子メールプログラム |
US7325193B2 (en) * | 2001-06-01 | 2008-01-29 | International Business Machines Corporation | Automated management of internet and/or web site content |
WO2002101524A2 (en) * | 2001-06-11 | 2002-12-19 | Matsushita Electric Industrial Co., Ltd. | License management server, license management system and usage restriction method |
WO2002101605A2 (en) | 2001-06-12 | 2002-12-19 | Research In Motion Limited | System and method for compressing secure e-mail for exchange with a mobile data communication device |
CA2717229A1 (en) | 2001-06-12 | 2002-12-19 | Research In Motion Limited | Certificate management and transfer system and method |
GB2376764B (en) * | 2001-06-19 | 2004-12-29 | Hewlett Packard Co | Multiple trusted computing environments |
GB0114898D0 (en) * | 2001-06-19 | 2001-08-08 | Hewlett Packard Co | Interaction with electronic services and markets |
GB2376762A (en) * | 2001-06-19 | 2002-12-24 | Hewlett Packard Co | Renting a computing environment on a trusted computing platform |
GB2376761A (en) * | 2001-06-19 | 2002-12-24 | Hewlett Packard Co | An arrangement in which a process is run on a host operating system but may be switched to a guest system if it poses a security risk |
GB2376765B (en) * | 2001-06-19 | 2004-12-29 | Hewlett Packard Co | Multiple trusted computing environments with verifiable environment identities |
GB2378013A (en) * | 2001-07-27 | 2003-01-29 | Hewlett Packard Co | Trusted computer platform audit system |
US7523496B2 (en) * | 2001-07-31 | 2009-04-21 | International Business Machines Corporation | Authenticating without opening electronic mail |
US7698713B2 (en) | 2001-09-20 | 2010-04-13 | Google Inc. | Altered states of software component behavior |
US7076797B2 (en) * | 2001-10-05 | 2006-07-11 | Microsoft Corporation | Granular authorization for network user sessions |
US8261095B1 (en) | 2001-11-01 | 2012-09-04 | Google Inc. | Methods and systems for using derived user accounts |
US7617529B1 (en) * | 2001-11-02 | 2009-11-10 | Cisco Technology, Inc. | Robust and flexible group structure |
GB2382419B (en) * | 2001-11-22 | 2005-12-14 | Hewlett Packard Co | Apparatus and method for creating a trusted environment |
US20030105830A1 (en) * | 2001-12-03 | 2003-06-05 | Duc Pham | Scalable network media access controller and methods |
US7487233B2 (en) * | 2001-12-05 | 2009-02-03 | Canon Kabushiki Kaisha | Device access based on centralized authentication |
US7631184B2 (en) * | 2002-05-14 | 2009-12-08 | Nicholas Ryan | System and method for imposing security on copies of secured items |
US7930756B1 (en) | 2001-12-12 | 2011-04-19 | Crocker Steven Toye | Multi-level cryptographic transformations for securing digital assets |
US8006280B1 (en) | 2001-12-12 | 2011-08-23 | Hildebrand Hal S | Security system for generating keys from access rules in a decentralized manner and methods therefor |
US7921284B1 (en) | 2001-12-12 | 2011-04-05 | Gary Mark Kinghorn | Method and system for protecting electronic data in enterprise environment |
US10033700B2 (en) | 2001-12-12 | 2018-07-24 | Intellectual Ventures I Llc | Dynamic evaluation of access rights |
USRE41546E1 (en) | 2001-12-12 | 2010-08-17 | Klimenty Vainstein | Method and system for managing security tiers |
US6889210B1 (en) * | 2001-12-12 | 2005-05-03 | Pss Systems, Inc. | Method and system for managing security tiers |
US7921288B1 (en) | 2001-12-12 | 2011-04-05 | Hildebrand Hal S | System and method for providing different levels of key security for controlling access to secured items |
US10360545B2 (en) | 2001-12-12 | 2019-07-23 | Guardian Data Storage, Llc | Method and apparatus for accessing secured electronic data off-line |
US7562232B2 (en) * | 2001-12-12 | 2009-07-14 | Patrick Zuili | System and method for providing manageability to security information for secured items |
US7681034B1 (en) | 2001-12-12 | 2010-03-16 | Chang-Ping Lee | Method and apparatus for securing electronic data |
US7565683B1 (en) * | 2001-12-12 | 2009-07-21 | Weiqing Huang | Method and system for implementing changes to security policies in a distributed security system |
US7380120B1 (en) | 2001-12-12 | 2008-05-27 | Guardian Data Storage, Llc | Secured data format for access control |
US8065713B1 (en) | 2001-12-12 | 2011-11-22 | Klimenty Vainstein | System and method for providing multi-location access management to secured items |
US7921450B1 (en) | 2001-12-12 | 2011-04-05 | Klimenty Vainstein | Security system using indirect key generation from access rules and methods therefor |
US7783765B2 (en) * | 2001-12-12 | 2010-08-24 | Hildebrand Hal S | System and method for providing distributed access control to secured documents |
US7178033B1 (en) | 2001-12-12 | 2007-02-13 | Pss Systems, Inc. | Method and apparatus for securing digital assets |
US7260555B2 (en) * | 2001-12-12 | 2007-08-21 | Guardian Data Storage, Llc | Method and architecture for providing pervasive security to digital assets |
US7950066B1 (en) | 2001-12-21 | 2011-05-24 | Guardian Data Storage, Llc | Method and system for restricting use of a clipboard application |
US8176334B2 (en) | 2002-09-30 | 2012-05-08 | Guardian Data Storage, Llc | Document security system that permits external users to gain access to secured files |
US7130886B2 (en) | 2002-03-06 | 2006-10-31 | Research In Motion Limited | System and method for providing secure message signature status and trust status indication |
US7406542B2 (en) * | 2002-03-01 | 2008-07-29 | Google Inc. | Method and system for assured denotation of application semantics |
EP1483873B1 (en) * | 2002-03-01 | 2006-11-02 | Research In Motion Limited | System and method for indicating the signature and trust status of a secure message |
JP4224250B2 (ja) * | 2002-04-17 | 2009-02-12 | パイオニア株式会社 | 音声認識装置、音声認識方法および音声認識プログラム |
US7748045B2 (en) * | 2004-03-30 | 2010-06-29 | Michael Frederick Kenrich | Method and system for providing cryptographic document retention with off-line access |
US8613102B2 (en) * | 2004-03-30 | 2013-12-17 | Intellectual Ventures I Llc | Method and system for providing document retention using cryptography |
US7900048B2 (en) * | 2002-05-07 | 2011-03-01 | Sony Ericsson Mobile Communications Ab | Method for loading an application in a device, device and smart card therefor |
US7191469B2 (en) * | 2002-05-13 | 2007-03-13 | Green Border Technologies | Methods and systems for providing a secure application environment using derived user accounts |
JP4222774B2 (ja) * | 2002-05-20 | 2009-02-12 | 株式会社エヌ・ティ・ティ・ドコモ | 携帯端末およびプログラムの起動方法 |
GB0212314D0 (en) * | 2002-05-28 | 2002-07-10 | Symbian Ltd | Secure mobile wireless device |
AU2003238908A1 (en) | 2002-06-06 | 2003-12-22 | Green Border Technologies | Method and system for implementing a secure application execution environment using derived user accounts for internet content |
US7334124B2 (en) * | 2002-07-22 | 2008-02-19 | Vormetric, Inc. | Logical access block processing protocol for transparent secure file storage |
US6678828B1 (en) * | 2002-07-22 | 2004-01-13 | Vormetric, Inc. | Secure network file access control system |
JP2004102373A (ja) * | 2002-09-05 | 2004-04-02 | Hitachi Ltd | アクセス管理サーバ、方法及びプログラム |
US7512810B1 (en) * | 2002-09-11 | 2009-03-31 | Guardian Data Storage Llc | Method and system for protecting encrypted files transmitted over a network |
US20040054790A1 (en) * | 2002-09-12 | 2004-03-18 | International Business Machines Corporation | Management of security objects controlling access to resources |
US6804687B2 (en) * | 2002-09-30 | 2004-10-12 | Scott E. Sampson | File system management with user-definable functional attributes stored in a token action log |
US20060168089A1 (en) * | 2002-09-30 | 2006-07-27 | Sampson Scott E | Controlling incoming communication by issuing tokens |
US8051172B2 (en) | 2002-09-30 | 2011-11-01 | Sampson Scott E | Methods for managing the exchange of communication tokens |
US20040073688A1 (en) * | 2002-09-30 | 2004-04-15 | Sampson Scott E. | Electronic payment validation using Transaction Authorization Tokens |
US7010565B2 (en) * | 2002-09-30 | 2006-03-07 | Sampson Scott E | Communication management using a token action log |
US7143288B2 (en) | 2002-10-16 | 2006-11-28 | Vormetric, Inc. | Secure file system server architecture and methods |
US7836310B1 (en) | 2002-11-01 | 2010-11-16 | Yevgeniy Gutnik | Security system that uses indirect password-based encryption |
US7890990B1 (en) | 2002-12-20 | 2011-02-15 | Klimenty Vainstein | Security system with staging capabilities |
US7660790B1 (en) * | 2005-02-24 | 2010-02-09 | Symantec Operating Corporation | Method and apparatus for utilizing a file change log |
US7207058B2 (en) * | 2002-12-31 | 2007-04-17 | American Express Travel Related Services Company, Inc. | Method and system for transmitting authentication context information |
US7949957B2 (en) | 2002-12-31 | 2011-05-24 | International Business Machines Corporation | Edit selection control |
US20040143749A1 (en) * | 2003-01-16 | 2004-07-22 | Platformlogic, Inc. | Behavior-based host-based intrusion prevention system |
US7370212B2 (en) * | 2003-02-25 | 2008-05-06 | Microsoft Corporation | Issuing a publisher use license off-line in a digital rights management (DRM) system |
US7370066B1 (en) | 2003-03-24 | 2008-05-06 | Microsoft Corporation | System and method for offline editing of data files |
US7275216B2 (en) * | 2003-03-24 | 2007-09-25 | Microsoft Corporation | System and method for designing electronic forms and hierarchical schemas |
US7415672B1 (en) | 2003-03-24 | 2008-08-19 | Microsoft Corporation | System and method for designing electronic forms |
US7913159B2 (en) * | 2003-03-28 | 2011-03-22 | Microsoft Corporation | System and method for real-time validation of structured data files |
US7296017B2 (en) * | 2003-03-28 | 2007-11-13 | Microsoft Corporation | Validation of XML data files |
US7516145B2 (en) * | 2003-03-31 | 2009-04-07 | Microsoft Corporation | System and method for incrementally transforming and rendering hierarchical data files |
US8707034B1 (en) | 2003-05-30 | 2014-04-22 | Intellectual Ventures I Llc | Method and system for using remote headers to secure electronic files |
US20040268139A1 (en) * | 2003-06-25 | 2004-12-30 | Microsoft Corporation | Systems and methods for declarative client input security screening |
US20040268229A1 (en) * | 2003-06-27 | 2004-12-30 | Microsoft Corporation | Markup language editing with an electronic form |
US7197515B2 (en) * | 2003-06-30 | 2007-03-27 | Microsoft Corporation | Declarative solution definition |
US7730543B1 (en) | 2003-06-30 | 2010-06-01 | Satyajit Nath | Method and system for enabling users of a group shared across multiple file security systems to access secured files |
US7451392B1 (en) * | 2003-06-30 | 2008-11-11 | Microsoft Corporation | Rendering an HTML electronic form by applying XSLT to XML using a solution |
US7424609B2 (en) * | 2003-07-11 | 2008-09-09 | Computer Associates Think, Inc. | Method and system for protecting against computer viruses |
US7406660B1 (en) * | 2003-08-01 | 2008-07-29 | Microsoft Corporation | Mapping between structured data and a visual surface |
US7334187B1 (en) * | 2003-08-06 | 2008-02-19 | Microsoft Corporation | Electronic form aggregation |
US7530103B2 (en) * | 2003-08-07 | 2009-05-05 | Microsoft Corporation | Projection of trustworthiness from a trusted environment to an untrusted environment |
CN1842817A (zh) | 2003-08-28 | 2006-10-04 | 国际商业机器公司 | 属性信息提供服务器、属性信息提供方法,以及其程序 |
JP2005085266A (ja) * | 2003-09-04 | 2005-03-31 | Stmicroelectronics Sa | マイクロプロセッサ周辺装置アクセス制御 |
US8127366B2 (en) * | 2003-09-30 | 2012-02-28 | Guardian Data Storage, Llc | Method and apparatus for transitioning between states of security policies used to secure electronic documents |
US7703140B2 (en) * | 2003-09-30 | 2010-04-20 | Guardian Data Storage, Llc | Method and system for securing digital assets using process-driven security policies |
US20050086531A1 (en) * | 2003-10-20 | 2005-04-21 | Pss Systems, Inc. | Method and system for proxy approval of security changes for a file security system |
WO2005043360A1 (en) * | 2003-10-21 | 2005-05-12 | Green Border Technologies | Systems and methods for secure client applications |
US20050091535A1 (en) * | 2003-10-24 | 2005-04-28 | Microsoft Corporation | Application identity for software products |
US20050091658A1 (en) * | 2003-10-24 | 2005-04-28 | Microsoft Corporation | Operating system resource protection |
US7752320B2 (en) * | 2003-11-25 | 2010-07-06 | Avaya Inc. | Method and apparatus for content based authentication for network access |
US20050119902A1 (en) * | 2003-11-28 | 2005-06-02 | Christiansen David L. | Security descriptor verifier |
US7392527B2 (en) * | 2003-12-10 | 2008-06-24 | Microsoft Corporation | Driver-specific context for kernel-mode shimming |
US20050138371A1 (en) * | 2003-12-19 | 2005-06-23 | Pss Systems, Inc. | Method and system for distribution of notifications in file security systems |
US7702909B2 (en) * | 2003-12-22 | 2010-04-20 | Klimenty Vainstein | Method and system for validating timestamps |
US20050177724A1 (en) * | 2004-01-16 | 2005-08-11 | Valiuddin Ali | Authentication system and method |
US8819072B1 (en) | 2004-02-02 | 2014-08-26 | Microsoft Corporation | Promoting data from structured data files |
US7743423B2 (en) * | 2004-02-03 | 2010-06-22 | Microsoft Corporation | Security requirement determination |
US7430711B2 (en) * | 2004-02-17 | 2008-09-30 | Microsoft Corporation | Systems and methods for editing XML documents |
US7950000B2 (en) * | 2004-03-17 | 2011-05-24 | Microsoft Corporation | Architecture that restricts permissions granted to a build process |
US20050240995A1 (en) * | 2004-04-23 | 2005-10-27 | Ali Valiuddin Y | Computer security system and method |
US8607299B2 (en) * | 2004-04-27 | 2013-12-10 | Microsoft Corporation | Method and system for enforcing a security policy via a security virtual machine |
US7496837B1 (en) * | 2004-04-29 | 2009-02-24 | Microsoft Corporation | Structural editing with schema awareness |
US7743425B2 (en) * | 2004-04-29 | 2010-06-22 | Microsoft Corporation | Security restrictions on binary behaviors |
US8108902B2 (en) * | 2004-04-30 | 2012-01-31 | Microsoft Corporation | System and method for local machine zone lockdown with relation to a network browser |
US7281018B1 (en) | 2004-05-26 | 2007-10-09 | Microsoft Corporation | Form template data source change |
US7774620B1 (en) * | 2004-05-27 | 2010-08-10 | Microsoft Corporation | Executing applications at appropriate trust levels |
US8566461B1 (en) | 2004-06-09 | 2013-10-22 | Digital River, Inc. | Managed access to media services |
US7707427B1 (en) | 2004-07-19 | 2010-04-27 | Michael Frederick Kenrich | Multi-level file digests |
WO2006017388A1 (en) * | 2004-08-03 | 2006-02-16 | Softricity, Inc. | System and method for controlling inter-application association through contextual policy control |
US7484247B2 (en) | 2004-08-07 | 2009-01-27 | Allen F Rozman | System and method for protecting a computer system from malicious software |
US9094429B2 (en) | 2004-08-10 | 2015-07-28 | Blackberry Limited | Server verification of secure electronic messages |
US7797294B2 (en) * | 2004-08-25 | 2010-09-14 | International Business Machines Corporation | Method, system and program for testing accessibility in data processing system programs |
US7692636B2 (en) * | 2004-09-30 | 2010-04-06 | Microsoft Corporation | Systems and methods for handwriting to a screen |
US7516399B2 (en) * | 2004-09-30 | 2009-04-07 | Microsoft Corporation | Structured-document path-language expression methods and systems |
US20060074933A1 (en) * | 2004-09-30 | 2006-04-06 | Microsoft Corporation | Workflow interaction |
US7793350B2 (en) * | 2004-10-28 | 2010-09-07 | International Business Machines Corporation | Apparatus, system, and method for simulated access to restricted computing resources |
US8487879B2 (en) * | 2004-10-29 | 2013-07-16 | Microsoft Corporation | Systems and methods for interacting with a computer through handwriting to a screen |
US7886144B2 (en) | 2004-10-29 | 2011-02-08 | Research In Motion Limited | System and method for retrieving certificates associated with senders of digitally signed messages |
US7584417B2 (en) * | 2004-11-15 | 2009-09-01 | Microsoft Corporation | Role-dependent action for an electronic form |
US20060107224A1 (en) * | 2004-11-15 | 2006-05-18 | Microsoft Corporation | Building a dynamic action for an electronic form |
US7712022B2 (en) | 2004-11-15 | 2010-05-04 | Microsoft Corporation | Mutually exclusive options in electronic forms |
US20060107327A1 (en) * | 2004-11-16 | 2006-05-18 | Sprigg Stephen A | Methods and apparatus for enforcing application level restrictions on local and remote content |
US7509353B2 (en) * | 2004-11-16 | 2009-03-24 | Microsoft Corporation | Methods and systems for exchanging and rendering forms |
US7721190B2 (en) * | 2004-11-16 | 2010-05-18 | Microsoft Corporation | Methods and systems for server side form processing |
US7904801B2 (en) * | 2004-12-15 | 2011-03-08 | Microsoft Corporation | Recursive sections in electronic forms |
US7437376B2 (en) * | 2004-12-20 | 2008-10-14 | Microsoft Corporation | Scalable object model |
US20060150247A1 (en) * | 2004-12-30 | 2006-07-06 | Andrew Gafken | Protection of stored data |
US7937651B2 (en) * | 2005-01-14 | 2011-05-03 | Microsoft Corporation | Structural editing operations for network forms |
US7802294B2 (en) * | 2005-01-28 | 2010-09-21 | Microsoft Corporation | Controlling computer applications' access to data |
US7810153B2 (en) * | 2005-01-28 | 2010-10-05 | Microsoft Corporation | Controlling execution of computer applications |
JP4717464B2 (ja) * | 2005-02-18 | 2011-07-06 | キヤノン株式会社 | 情報処理装置、情報処理方法及びプログラム |
US8046831B2 (en) * | 2005-03-02 | 2011-10-25 | Actiance, Inc. | Automating software security restrictions on system resources |
US7870613B2 (en) | 2005-03-02 | 2011-01-11 | Facetime Communications, Inc. | Automating software security restrictions on applications |
US7725834B2 (en) * | 2005-03-04 | 2010-05-25 | Microsoft Corporation | Designer-created aspect for an electronic form template |
EP1866825A1 (en) | 2005-03-22 | 2007-12-19 | Hewlett-Packard Development Company, L.P. | Methods, devices and data structures for trusted data |
US7673228B2 (en) * | 2005-03-30 | 2010-03-02 | Microsoft Corporation | Data-driven actions for network forms |
US8010515B2 (en) * | 2005-04-15 | 2011-08-30 | Microsoft Corporation | Query to an electronic form |
US8725646B2 (en) * | 2005-04-15 | 2014-05-13 | Microsoft Corporation | Output protection levels |
US8566462B2 (en) * | 2005-05-12 | 2013-10-22 | Digital River, Inc. | Methods of controlling access to network content referenced within structured documents |
US8443094B2 (en) * | 2005-05-12 | 2013-05-14 | Oracle America, Inc. | Computer system comprising a communication device |
US8972743B2 (en) * | 2005-05-16 | 2015-03-03 | Hewlett-Packard Development Company, L.P. | Computer security system and method |
US20060265758A1 (en) | 2005-05-20 | 2006-11-23 | Microsoft Corporation | Extensible media rights |
US8078740B2 (en) * | 2005-06-03 | 2011-12-13 | Microsoft Corporation | Running internet applications with low rights |
US20070011665A1 (en) * | 2005-06-21 | 2007-01-11 | Microsoft Corporation | Content syndication platform |
US7543228B2 (en) * | 2005-06-27 | 2009-06-02 | Microsoft Corporation | Template for rendering an electronic form |
US8200975B2 (en) * | 2005-06-29 | 2012-06-12 | Microsoft Corporation | Digital signatures for network forms |
US7580933B2 (en) * | 2005-07-28 | 2009-08-25 | Microsoft Corporation | Resource handling for taking permissions |
US20070028291A1 (en) * | 2005-07-29 | 2007-02-01 | Bit 9, Inc. | Parametric content control in a network security system |
US8984636B2 (en) * | 2005-07-29 | 2015-03-17 | Bit9, Inc. | Content extractor and analysis system |
US7895651B2 (en) * | 2005-07-29 | 2011-02-22 | Bit 9, Inc. | Content tracking in a network security system |
US8272058B2 (en) * | 2005-07-29 | 2012-09-18 | Bit 9, Inc. | Centralized timed analysis in a network security system |
US20070036433A1 (en) * | 2005-08-15 | 2007-02-15 | Microsoft Corporation | Recognizing data conforming to a rule |
US7613996B2 (en) * | 2005-08-15 | 2009-11-03 | Microsoft Corporation | Enabling selection of an inferred schema part |
US20070061706A1 (en) * | 2005-09-14 | 2007-03-15 | Microsoft Corporation | Mapping property hierarchies to schemas |
US20070061467A1 (en) * | 2005-09-15 | 2007-03-15 | Microsoft Corporation | Sessions and session states |
US20070199072A1 (en) * | 2005-10-14 | 2007-08-23 | Softwareonline, Llc | Control of application access to system resources |
WO2008048320A1 (en) * | 2005-10-14 | 2008-04-24 | Xeriton Corporation | Control of application access to system resources |
US20070199057A1 (en) * | 2005-10-14 | 2007-08-23 | Softwareonline, Llc | Control of application access to system resources |
US7484173B2 (en) * | 2005-10-18 | 2009-01-27 | International Business Machines Corporation | Alternative key pad layout for enhanced security |
US8001459B2 (en) * | 2005-12-05 | 2011-08-16 | Microsoft Corporation | Enabling electronic documents for limited-capability computing devices |
US20070156871A1 (en) * | 2005-12-30 | 2007-07-05 | Michael Braun | Secure dynamic HTML pages |
US7779343B2 (en) | 2006-01-30 | 2010-08-17 | Microsoft Corporation | Opening network-enabled electronic documents |
US9754119B1 (en) * | 2006-03-07 | 2017-09-05 | Emc Corporation | Containerized security for managed content |
US9519399B1 (en) | 2006-03-07 | 2016-12-13 | Emc Corporation | Providing a visual indication that stored content is associated with a collaboration environment |
US7512578B2 (en) * | 2006-03-30 | 2009-03-31 | Emc Corporation | Smart containers |
US20070250495A1 (en) * | 2006-04-25 | 2007-10-25 | Eran Belinsky | Method and System For Accessing Referenced Information |
US7814556B2 (en) * | 2006-05-09 | 2010-10-12 | Bea Systems, Inc. | System and method for protecting APIs from untrusted or less trusted applications |
US7979891B2 (en) * | 2006-05-09 | 2011-07-12 | Oracle International Corporation | Method and system for securing execution of untrusted applications |
EP2024894A4 (en) * | 2006-05-12 | 2016-09-21 | Samsung Electronics Co Ltd | APPARATUS AND METHOD FOR MANAGING SECURITY DATA |
US8117441B2 (en) * | 2006-06-20 | 2012-02-14 | Microsoft Corporation | Integrating security protection tools with computer device integrity and privacy policy |
US8185737B2 (en) | 2006-06-23 | 2012-05-22 | Microsoft Corporation | Communication across domains |
US8533778B1 (en) * | 2006-06-23 | 2013-09-10 | Mcafee, Inc. | System, method and computer program product for detecting unwanted effects utilizing a virtual machine |
US8429708B1 (en) * | 2006-06-23 | 2013-04-23 | Sanjay Tandon | Method and system for assessing cumulative access entitlements of an entity in a system |
JP4539613B2 (ja) * | 2006-06-28 | 2010-09-08 | 富士ゼロックス株式会社 | 画像形成装置、画像生成方法およびプログラム |
US20080126590A1 (en) * | 2006-06-29 | 2008-05-29 | Rothman Michael A | Semiconductor based host protected addressing in computing devices |
US20080040363A1 (en) * | 2006-07-13 | 2008-02-14 | Siemens Medical Solutions Usa, Inc. | System for Processing Relational Database Data |
JP2008027306A (ja) * | 2006-07-24 | 2008-02-07 | Aplix Corp | ユーザ空間仮想化システム |
US8352733B2 (en) | 2006-08-04 | 2013-01-08 | Apple Inc. | Resource restriction systems and methods |
US8082442B2 (en) | 2006-08-10 | 2011-12-20 | Microsoft Corporation | Securely sharing applications installed by unprivileged users |
US9860274B2 (en) | 2006-09-13 | 2018-01-02 | Sophos Limited | Policy management |
JP2008084117A (ja) * | 2006-09-28 | 2008-04-10 | Fujitsu Ltd | リクエスト送信制御プログラム,装置,および方法 |
WO2008063185A1 (en) * | 2006-10-14 | 2008-05-29 | Xeriton Corporation | Control of application access to system resources |
AU2007309183A1 (en) | 2006-10-20 | 2008-05-02 | Citrix Systems,Inc. | Methods and systems for accessing remote user files associated with local resources |
US20080127142A1 (en) * | 2006-11-28 | 2008-05-29 | Microsoft Corporation | Compiling executable code into a less-trusted address space |
US8533291B1 (en) * | 2007-02-07 | 2013-09-10 | Oracle America, Inc. | Method and system for protecting publicly viewable web client reference to server resources and business logic |
JP4995590B2 (ja) * | 2007-02-14 | 2012-08-08 | 株式会社エヌ・ティ・ティ・ドコモ | コンテンツ流通管理装置、通信端末、プログラム及びコンテンツ流通システム |
US8640215B2 (en) * | 2007-03-23 | 2014-01-28 | Microsoft Corporation | Secure isolation of application pools |
US20080263679A1 (en) * | 2007-04-23 | 2008-10-23 | Microsoft Corporation | Storing information in closed computing devices |
US8523666B2 (en) * | 2007-05-25 | 2013-09-03 | Microsoft Corporation | Programming framework for closed systems |
JP4395178B2 (ja) * | 2007-05-29 | 2010-01-06 | インターナショナル・ビジネス・マシーンズ・コーポレーション | コンテンツ処理システム、方法及びプログラム |
US10019570B2 (en) * | 2007-06-14 | 2018-07-10 | Microsoft Technology Licensing, Llc | Protection and communication abstractions for web browsers |
US7386885B1 (en) | 2007-07-03 | 2008-06-10 | Kaspersky Lab, Zao | Constraint-based and attribute-based security system for controlling software component interaction |
US8621605B2 (en) * | 2007-10-09 | 2013-12-31 | International Business Machines Corporation | Method for reducing the time to diagnose the cause of unexpected changes to system files |
US8607324B2 (en) * | 2008-01-15 | 2013-12-10 | Microsoft Corporation | Untrusted gaming system access to online gaming service |
GB2457305A (en) * | 2008-02-11 | 2009-08-12 | Symbian Software Ltd | Controlling access to system resources using script and application identifiers |
US8208375B2 (en) * | 2008-03-17 | 2012-06-26 | Microsoft Corporation | Selective filtering of network traffic requests |
US8688641B1 (en) | 2008-03-31 | 2014-04-01 | Symantec Operating Corporation | Per user and per process layer visibility |
US8639734B1 (en) * | 2008-03-31 | 2014-01-28 | Symantec Operating Corporation | Use of external information about a file to determine virtualization |
US8429741B2 (en) * | 2008-08-29 | 2013-04-23 | Google, Inc. | Altered token sandboxing |
WO2010067703A1 (ja) * | 2008-12-08 | 2010-06-17 | 日本電気株式会社 | データ依存関係解析装置、情報処理装置、データ依存関係解析方法、及びプログラム |
US20100199357A1 (en) * | 2009-02-02 | 2010-08-05 | Microsoft Corporation | Secure hosting for untrusted code |
US8544083B2 (en) * | 2009-02-19 | 2013-09-24 | Microsoft Corporation | Identification security elevation |
US9680964B2 (en) * | 2009-03-11 | 2017-06-13 | Microsoft Technology Licensing, Llc | Programming model for installing and distributing occasionally connected applications |
US8812451B2 (en) | 2009-03-11 | 2014-08-19 | Microsoft Corporation | Programming model for synchronizing browser caches across devices and web services |
US8826269B2 (en) * | 2009-06-15 | 2014-09-02 | Microsoft Corporation | Annotating virtual application processes |
US8819399B1 (en) | 2009-07-31 | 2014-08-26 | Google Inc. | Predicated control flow and store instructions for native code module security |
US8924553B2 (en) * | 2009-08-31 | 2014-12-30 | Red Hat, Inc. | Multifactor validation of requests to thwart cross-site attacks |
EP2312485B1 (en) * | 2009-08-31 | 2018-08-08 | BlackBerry Limited | System and method for controlling applications to mitigate the effects of malicious software |
US9003517B2 (en) | 2009-10-28 | 2015-04-07 | Microsoft Technology Licensing, Llc | Isolation and presentation of untrusted data |
US8776168B1 (en) * | 2009-10-29 | 2014-07-08 | Symantec Corporation | Applying security policy based on behaviorally-derived user risk profiles |
US8775818B2 (en) * | 2009-11-30 | 2014-07-08 | Red Hat, Inc. | Multifactor validation of requests to thwart dynamic cross-site attacks |
US8904521B2 (en) * | 2009-11-30 | 2014-12-02 | Red Hat, Inc. | Client-side prevention of cross-site request forgeries |
US8495607B2 (en) * | 2010-03-01 | 2013-07-23 | International Business Machines Corporation | Performing aggressive code optimization with an ability to rollback changes made by the aggressive optimizations |
US8850573B1 (en) * | 2010-04-14 | 2014-09-30 | Google Inc. | Computing device with untrusted user execution mode |
KR101064143B1 (ko) * | 2010-08-20 | 2011-09-15 | 주식회사 파수닷컴 | Drm 환경에서의 클립보드 보호 시스템 및 그 방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 기록매체 |
US20120192292A1 (en) * | 2011-01-26 | 2012-07-26 | Seatech Ltd | Categorized content sharing, identical content maintanance and user protection in a peer-to-peer network |
US9117083B2 (en) * | 2011-02-14 | 2015-08-25 | Blackberry Limited | Managing booting of secure devices with untrusted software |
US8650640B2 (en) | 2011-02-24 | 2014-02-11 | International Business Machines Corporation | Using a declaration of security requirements to determine whether to permit application operations |
US9256720B2 (en) | 2011-05-18 | 2016-02-09 | Nextgenid, Inc. | Enrollment kiosk including biometric enrollment and verification, face recognition and fingerprint matching systems |
EP2710514A4 (en) | 2011-05-18 | 2015-04-01 | Nextgenid Inc | REGISTRATION TERMINAL HAVING MULTIPLE BIOMETRIC APPARATUSES INCLUDING BIOMETRIC INSCRIPTION AND VERIFICATION SYSTEMS, FACIAL RECOGNITION AND COMPARISON OF FINGERPRINTS |
US8806602B2 (en) | 2011-08-15 | 2014-08-12 | Bank Of America Corporation | Apparatus and method for performing end-to-end encryption |
US8752124B2 (en) | 2011-08-15 | 2014-06-10 | Bank Of America Corporation | Apparatus and method for performing real-time authentication using subject token combinations |
US8950002B2 (en) * | 2011-08-15 | 2015-02-03 | Bank Of America Corporation | Method and apparatus for token-based access of related resources |
US8789143B2 (en) | 2011-08-15 | 2014-07-22 | Bank Of America Corporation | Method and apparatus for token-based conditioning |
US8539558B2 (en) | 2011-08-15 | 2013-09-17 | Bank Of America Corporation | Method and apparatus for token-based token termination |
GB2494391B (en) * | 2011-09-02 | 2014-06-18 | Avecto Ltd | Computer device with anti-tamper resource security |
US9118686B2 (en) * | 2011-09-06 | 2015-08-25 | Microsoft Technology Licensing, Llc | Per process networking capabilities |
US20130061316A1 (en) * | 2011-09-06 | 2013-03-07 | Microsoft Corporation | Capability Access Management for Processes |
US10445528B2 (en) * | 2011-09-07 | 2019-10-15 | Microsoft Technology Licensing, Llc | Content handling for applications |
US9773102B2 (en) | 2011-09-09 | 2017-09-26 | Microsoft Technology Licensing, Llc | Selective file access for applications |
US8990561B2 (en) | 2011-09-09 | 2015-03-24 | Microsoft Technology Licensing, Llc | Pervasive package identifiers |
US9800688B2 (en) | 2011-09-12 | 2017-10-24 | Microsoft Technology Licensing, Llc | Platform-enabled proximity service |
USD760711S1 (en) | 2012-05-18 | 2016-07-05 | NexgenID, Inc. | Kiosk |
USD818464S1 (en) | 2014-04-11 | 2018-05-22 | Nextgenid, Inc. | Kiosk |
US9069766B2 (en) | 2012-11-02 | 2015-06-30 | Microsoft Technology Licensing, Llc | Content-based isolation for computing device security |
US20140156787A1 (en) * | 2012-12-05 | 2014-06-05 | Yahoo! Inc. | Virtual wall for writings associated with landmarks |
US10356204B2 (en) | 2012-12-13 | 2019-07-16 | Microsoft Technology Licensing, Llc | Application based hardware identifiers |
US9858247B2 (en) | 2013-05-20 | 2018-01-02 | Microsoft Technology Licensing, Llc | Runtime resolution of content references |
US10171483B1 (en) | 2013-08-23 | 2019-01-01 | Symantec Corporation | Utilizing endpoint asset awareness for network intrusion detection |
US10212143B2 (en) * | 2014-01-31 | 2019-02-19 | Dropbox, Inc. | Authorizing an untrusted client device for access on a content management system |
US9684784B2 (en) * | 2014-06-25 | 2017-06-20 | Thi Chau Nguyen-Huu | Systems and methods for securely storing data |
US9680862B2 (en) | 2014-07-01 | 2017-06-13 | Fireeye, Inc. | Trusted threat-aware microvisor |
US10002252B2 (en) | 2014-07-01 | 2018-06-19 | Fireeye, Inc. | Verification of trusted threat-aware microvisor |
US9396343B2 (en) * | 2014-10-20 | 2016-07-19 | International Business Machines Corporation | Policy access control lists attached to resources |
US9881166B2 (en) | 2015-04-16 | 2018-01-30 | International Business Machines Corporation | Multi-focused fine-grained security framework |
US10191831B2 (en) * | 2016-06-08 | 2019-01-29 | Cylance Inc. | Macro-script execution control |
US10592678B1 (en) | 2016-09-09 | 2020-03-17 | Fireeye, Inc. | Secure communications between peers using a verified virtual trusted platform module |
US10025691B1 (en) | 2016-09-09 | 2018-07-17 | Fireeye, Inc. | Verification of complex software code using a modularized architecture |
GB2561861A (en) * | 2017-04-25 | 2018-10-31 | Avecto Ltd | Computer device and method for isolating untrusted content |
US10897462B2 (en) * | 2017-05-16 | 2021-01-19 | Citrix Systems, Inc. | Systems and methods for encoding additional authentication data into an active directory security identifier |
US11093624B2 (en) | 2017-09-12 | 2021-08-17 | Sophos Limited | Providing process data to a data recorder |
GB2570924B (en) * | 2018-02-12 | 2021-06-16 | Avecto Ltd | Managing registry access on a computer device |
US11159322B2 (en) * | 2019-01-31 | 2021-10-26 | Baidu Usa Llc | Secure multiparty computing framework using a restricted operating environment with a guest agent |
US20230004638A1 (en) * | 2021-06-30 | 2023-01-05 | Citrix Systems, Inc. | Redirection of attachments based on risk and context |
US11811668B2 (en) | 2021-08-19 | 2023-11-07 | Bank Of America Corporation | System for implementing disposition bias for validating network traffic from upstream applications |
US20230185929A1 (en) * | 2021-12-09 | 2023-06-15 | Vmware, Inc. | Enrolling a virtual device as an unprivileged user |
Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH06223014A (ja) * | 1992-09-11 | 1994-08-12 | Internatl Business Mach Corp <Ibm> | データ通信方法及び装置 |
JPH08263382A (ja) * | 1995-03-24 | 1996-10-11 | Nec Corp | 機密保護管理システム |
JPH09319659A (ja) * | 1995-10-10 | 1997-12-12 | Data General Corp | コンピュータ・システム用のセキュリティ制御方法 |
JPH1091427A (ja) * | 1996-06-11 | 1998-04-10 | Internatl Business Mach Corp <Ibm> | 署名入り内容の使用の安全を保証する方法及びシステム |
WO1998021683A2 (en) * | 1996-11-08 | 1998-05-22 | Finjan Software, Ltd. | System and method for protecting a computer and a network from hostile downloadables |
JPH10133952A (ja) * | 1996-07-03 | 1998-05-22 | Sun Microsyst Inc | ファイルアクセスを行うための方法およびその装置ならびに署名データ構造 |
JPH10254783A (ja) * | 1997-01-09 | 1998-09-25 | Sun Microsyst Inc | システムリソースへのソフトウェアアクセスを制御する方法及び装置 |
WO1998044404A1 (en) * | 1997-04-01 | 1998-10-08 | Sun Microsystems, Inc. | Method and apparatus for providing security for servers executing application programs received via a network |
Family Cites Families (34)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US4962449A (en) | 1988-04-11 | 1990-10-09 | Artie Schlesinger | Computer security system having remote location recognition and remote location lock-out |
DE69031191T2 (de) | 1989-05-15 | 1998-02-12 | Ibm | System zur Steuerung von Zugriffsprivilegien |
US5187790A (en) * | 1989-06-29 | 1993-02-16 | Digital Equipment Corporation | Server impersonation of client processes in an object based computer operating system |
US5138712A (en) | 1989-10-02 | 1992-08-11 | Sun Microsystems, Inc. | Apparatus and method for licensing software on a network of computers |
US5204961A (en) | 1990-06-25 | 1993-04-20 | Digital Equipment Corporation | Computer network operating with multilevel hierarchical security with selectable common trust realms and corresponding security protocols |
US5577209A (en) | 1991-07-11 | 1996-11-19 | Itt Corporation | Apparatus and method for providing multi-level security for communication among computers and terminals on a network |
US5276901A (en) | 1991-12-16 | 1994-01-04 | International Business Machines Corporation | System for controlling group access to objects using group access control folder and group identification as individual user |
CA2093094C (en) * | 1992-04-06 | 2000-07-11 | Addison M. Fischer | Method and apparatus for creating, supporting, and using travelling programs |
US5412717A (en) * | 1992-05-15 | 1995-05-02 | Fischer; Addison M. | Computer system security method and apparatus having program authorization information data structures |
US5649099A (en) | 1993-06-04 | 1997-07-15 | Xerox Corporation | Method for delegating access rights through executable access control program without delegating access rights not in a specification to any intermediary nor comprising server security |
JPH0713842A (ja) * | 1993-06-25 | 1995-01-17 | Hitachi Ltd | 情報処理装置 |
DE69510551T2 (de) | 1994-08-09 | 2000-03-02 | Shiva Corp | Vorrichtung und verfahren zur begrenzung des zugriffs auf ein lokales rechnernetz |
EP0697662B1 (en) | 1994-08-15 | 2001-05-30 | International Business Machines Corporation | Method and system for advanced role-based access control in distributed and centralized computer systems |
US5864683A (en) | 1994-10-12 | 1999-01-26 | Secure Computing Corporartion | System for providing secure internetwork by connecting type enforcing secure computers to external network for limiting access to data based on user and process access rights |
US5682478A (en) | 1995-01-19 | 1997-10-28 | Microsoft Corporation | Method and apparatus for supporting multiple, simultaneous services over multiple, simultaneous connections between a client and network server |
US5696898A (en) | 1995-06-06 | 1997-12-09 | Lucent Technologies Inc. | System and method for database access control |
US5761669A (en) | 1995-06-06 | 1998-06-02 | Microsoft Corporation | Controlling access to objects on multiple operating systems |
US5675782A (en) | 1995-06-06 | 1997-10-07 | Microsoft Corporation | Controlling access to objects on multiple operating systems |
US5678041A (en) | 1995-06-06 | 1997-10-14 | At&T | System and method for restricting user access rights on the internet based on rating information stored in a relational database |
US5941947A (en) | 1995-08-18 | 1999-08-24 | Microsoft Corporation | System and method for controlling access to data entities in a computer network |
US5757916A (en) | 1995-10-06 | 1998-05-26 | International Series Research, Inc. | Method and apparatus for authenticating the location of remote users of networked computing systems |
US5638448A (en) | 1995-10-24 | 1997-06-10 | Nguyen; Minhtam C. | Network with secure communications sessions |
US5680461A (en) * | 1995-10-26 | 1997-10-21 | Sun Microsystems, Inc. | Secure network protocol system and method |
US5826029A (en) | 1995-10-31 | 1998-10-20 | International Business Machines Corporation | Secured gateway interface |
US5745676A (en) | 1995-12-04 | 1998-04-28 | International Business Machines Corporation | Authority reduction and restoration method providing system integrity for subspace groups and single address spaces during program linkage |
JPH09190236A (ja) | 1996-01-10 | 1997-07-22 | Canon Inc | 情報処理方法及び装置及びシステム |
WO1997026734A1 (en) | 1996-01-16 | 1997-07-24 | Raptor Systems, Inc. | Transferring encrypted packets over a public network |
US5925109A (en) | 1996-04-10 | 1999-07-20 | National Instruments Corporation | System for I/O management where I/O operations are determined to be direct or indirect based on hardware coupling manners and/or program privilege modes |
US5845067A (en) | 1996-09-09 | 1998-12-01 | Porter; Jack Edward | Method and apparatus for document management utilizing a messaging system |
US5983350A (en) * | 1996-09-18 | 1999-11-09 | Secure Computing Corporation | Secure firewall supporting different levels of authentication based on address or encryption status |
US5949882A (en) | 1996-12-13 | 1999-09-07 | Compaq Computer Corporation | Method and apparatus for allowing access to secured computer resources by utilzing a password and an external encryption algorithm |
US6105132A (en) | 1997-02-20 | 2000-08-15 | Novell, Inc. | Computer network graded authentication system and method |
US5983270A (en) | 1997-03-11 | 1999-11-09 | Sequel Technology Corporation | Method and apparatus for managing internetwork and intranetwork activity |
US6081807A (en) | 1997-06-13 | 2000-06-27 | Compaq Computer Corporation | Method and apparatus for interfacing with a stateless network file system server |
-
1998
- 1998-06-12 US US09/097,218 patent/US6505300B2/en not_active Expired - Lifetime
-
1999
- 1999-06-09 WO PCT/US1999/012912 patent/WO1999064946A1/en active Application Filing
- 1999-06-09 EP EP99955547A patent/EP1086413B1/en not_active Expired - Lifetime
- 1999-06-09 AT AT99955547T patent/ATE518180T1/de not_active IP Right Cessation
- 1999-06-09 ES ES99955547T patent/ES2368200T3/es not_active Expired - Lifetime
- 1999-06-09 JP JP2000553883A patent/JP4906188B2/ja not_active Expired - Fee Related
-
2010
- 2010-03-11 JP JP2010054439A patent/JP4878647B2/ja not_active Expired - Fee Related
Patent Citations (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JPH06223014A (ja) * | 1992-09-11 | 1994-08-12 | Internatl Business Mach Corp <Ibm> | データ通信方法及び装置 |
JPH08263382A (ja) * | 1995-03-24 | 1996-10-11 | Nec Corp | 機密保護管理システム |
JPH09319659A (ja) * | 1995-10-10 | 1997-12-12 | Data General Corp | コンピュータ・システム用のセキュリティ制御方法 |
JPH1091427A (ja) * | 1996-06-11 | 1998-04-10 | Internatl Business Mach Corp <Ibm> | 署名入り内容の使用の安全を保証する方法及びシステム |
JPH10133952A (ja) * | 1996-07-03 | 1998-05-22 | Sun Microsyst Inc | ファイルアクセスを行うための方法およびその装置ならびに署名データ構造 |
WO1998021683A2 (en) * | 1996-11-08 | 1998-05-22 | Finjan Software, Ltd. | System and method for protecting a computer and a network from hostile downloadables |
JPH10254783A (ja) * | 1997-01-09 | 1998-09-25 | Sun Microsyst Inc | システムリソースへのソフトウェアアクセスを制御する方法及び装置 |
WO1998044404A1 (en) * | 1997-04-01 | 1998-10-08 | Sun Microsystems, Inc. | Method and apparatus for providing security for servers executing application programs received via a network |
Cited By (14)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
KR20040028257A (ko) * | 2002-09-30 | 2004-04-03 | 삼성전자주식회사 | 네트워크에 접근가능한 장치, 그 보안 방법 및 정보저장매체 |
JP4719150B2 (ja) * | 2003-09-17 | 2011-07-06 | パナソニック株式会社 | アプリケーション実行装置、アプリケーション実行方法、集積回路およびプログラム |
JP2007506350A (ja) * | 2003-09-17 | 2007-03-15 | 松下電器産業株式会社 | アプリケーション実行装置、アプリケーション実行方法、集積回路およびプログラム |
JP2005166018A (ja) * | 2003-12-02 | 2005-06-23 | Hauri Inc | コンピュータウイルス防疫方法及びそのプログラムを記録した記録媒体 |
JP2005353038A (ja) * | 2004-03-18 | 2005-12-22 | Microsoft Corp | ユーザの信用判断のためのエキスパートを使用した知的推奨に関するシステムおよび方法 |
JP5061908B2 (ja) * | 2005-12-27 | 2012-10-31 | 日本電気株式会社 | プログラム実行制御方法および装置ならびに実行制御プログラム |
WO2007074565A1 (ja) * | 2005-12-27 | 2007-07-05 | Nec Corporation | プログラム実行制御方法および装置ならびに実行制御プログラム |
US8117246B2 (en) | 2006-04-17 | 2012-02-14 | Microsoft Corporation | Registering, transfering, and acting on event metadata |
US9613032B2 (en) | 2006-04-17 | 2017-04-04 | Microsoft Technology Licensing, Llc | Registering, transferring, and acting on event metadata |
JP4629796B2 (ja) * | 2007-02-26 | 2011-02-09 | マイクロソフト コーポレーション | 限定的プロセスでのファイル変換 |
JP2010519662A (ja) * | 2007-02-26 | 2010-06-03 | マイクロソフト コーポレーション | 限定的プロセスでのファイル変換 |
JP2014521184A (ja) * | 2011-07-20 | 2014-08-25 | マイクロソフト コーポレーション | 信頼レベルのアクティブ化 |
US9465948B2 (en) | 2011-07-20 | 2016-10-11 | Microsoft Technology Licensing Llc. | Trust level activation |
JP2017016669A (ja) * | 2011-07-20 | 2017-01-19 | マイクロソフト テクノロジー ライセンシング,エルエルシー | 信頼レベルのアクティブ化 |
Also Published As
Publication number | Publication date |
---|---|
ATE518180T1 (de) | 2011-08-15 |
ES2368200T3 (es) | 2011-11-15 |
EP1086413B1 (en) | 2011-07-27 |
JP4878647B2 (ja) | 2012-02-15 |
EP1086413A1 (en) | 2001-03-28 |
WO1999064946A1 (en) | 1999-12-16 |
JP2010176690A (ja) | 2010-08-12 |
JP4906188B2 (ja) | 2012-03-28 |
US6505300B2 (en) | 2003-01-07 |
US20020019941A1 (en) | 2002-02-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP4906188B2 (ja) | 信頼できないコンテントを安全に実行するための方法およびシステム | |
JP4809530B2 (ja) | 制限付きのトークンを使用したセキュリティモデル | |
JP4414092B2 (ja) | 制限付きトークンを介した最小権限 | |
JP4625181B2 (ja) | セキュリティ・ロケーション識別の方法およびシステム | |
US7350204B2 (en) | Policies for secure software execution | |
US8646044B2 (en) | Mandatory integrity control | |
US8931035B2 (en) | Access authorization having embedded policies | |
US8893300B2 (en) | Security systems and methods to reduce data leaks in enterprise networks | |
US20090282457A1 (en) | Common representation for different protection architectures (crpa) | |
KR20060050768A (ko) | 액세스 인가 api | |
JP2000207363A (ja) | ユ―ザ・アクセス制御装置 | |
Taylor et al. | A Comparison of Authentication, Authorization and Auditing in Windows and Linux | |
Taylor | The Last Line of Defense | |
INFORMATION ASSURANCE TECHNOLOGY ANALYSIS CENTER MCLEAN VA | Inquiry Response Security Issues with CGI Scripting and JAVA Implementations | |
Indoria | Trusted Operating System Appro | |
IMPLEMENTATIONS | INQUIRY RESPONSE | |
Knox et al. | FILE AND DIRECTORY SECURITY | |
Taylor | The Last Line of Defense: A Comparison of Windows and Linux Authentication and Authorization Features |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060215 |
|
RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20060215 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090630 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20090930 |
|
A602 | Written permission of extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A602 Effective date: 20091007 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20091102 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20091211 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100311 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20100601 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20101001 |
|
RD13 | Notification of appointment of power of sub attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7433 Effective date: 20101004 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20101004 |
|
A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20101025 |
|
A912 | Re-examination (zenchi) completed and case transferred to appeal board |
Free format text: JAPANESE INTERMEDIATE CODE: A912 Effective date: 20101112 |
|
A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20120110 |
|
FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20150120 Year of fee payment: 3 |
|
R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
S111 | Request for change of ownership or part of ownership |
Free format text: JAPANESE INTERMEDIATE CODE: R313113 |
|
R350 | Written notification of registration of transfer |
Free format text: JAPANESE INTERMEDIATE CODE: R350 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
LAPS | Cancellation because of no payment of annual fees |