JP2005085026A - Access control device and program therefor - Google Patents

Access control device and program therefor Download PDF

Info

Publication number
JP2005085026A
JP2005085026A JP2003317269A JP2003317269A JP2005085026A JP 2005085026 A JP2005085026 A JP 2005085026A JP 2003317269 A JP2003317269 A JP 2003317269A JP 2003317269 A JP2003317269 A JP 2003317269A JP 2005085026 A JP2005085026 A JP 2005085026A
Authority
JP
Japan
Prior art keywords
access
mode
unauthorized access
access control
unauthorized
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP2003317269A
Other languages
Japanese (ja)
Other versions
JP4444604B2 (en
Inventor
Takashi Horie
高志 保理江
Sueshige Harada
季栄 原田
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
NTT Data Group Corp
Original Assignee
NTT Data Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by NTT Data Corp filed Critical NTT Data Corp
Priority to JP2003317269A priority Critical patent/JP4444604B2/en
Publication of JP2005085026A publication Critical patent/JP2005085026A/en
Application granted granted Critical
Publication of JP4444604B2 publication Critical patent/JP4444604B2/en
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Images

Landscapes

  • Storage Device Security (AREA)

Abstract

<P>PROBLEM TO BE SOLVED: To avoid interference to access control information and the like from outside by strengthening OS security. <P>SOLUTION: A state transition control unit 4 allows state transition from an auditing mode to a protection mode and from an operative mode to the protection mode with unauthorized access based on unauthorized access definition information detected by an unauthorized access detection part 3, disallows services to be provided outside in the auditing mode, a right of access by a security manager in the operative mode, and all the permissions which can modify a system in the protection mode via an access control unit 5. <P>COPYRIGHT: (C)2005,JPO&NCIPI

Description

本発明は、ネットワークを含むコンピュータシステムの各資源に対してユーザから発せられるアクセス要求を制御する、アクセス制御装置ならびにそのプログラムに関する。   The present invention relates to an access control apparatus and a program for controlling an access request issued from a user to each resource of a computer system including a network.

不正アクセスの検知、遮断に用いられる手段に、ファイアウォールやIDS(Intrusion Detection System)が知られている。これら製品は、ネットワークパケット毎、事前に定義されたパターン情報とのマッチングを行い、不正アクセスであると判断されたものについて遮断し、警告を発するものである。
上記した製品は、前提として、既知の攻撃パターンを対象としたものであり、また、パケット監視がベースであるため、通常のリクエストを装った不正なコード実行等の検知には限界がある。最終的には、そのような悪意のあるユーザからのリクエストにより発生する不正なコード実行等の処理過程での逸脱行為を抑え得るのは、基本ソフトウェア(OS:Operating System)によるアクセス制御の機能である。
OSは、管理者を含むユーザから、ファイル、ディレクトリ、プロセス、ネットワーク、デバイス、メモリ等のシステム資源への、読み取り、書き込み、削除、新規作成、追記、実行、名称変更等のアクセス要求に対し、所定のアクセス制御情報に基づいてそれらの可否を決定する機能を持つ。 Firewalls and IDS (Intrusion Detection System) are known as means for detecting and blocking unauthorized access. These products perform matching with pre-defined pattern information for each network packet, block those that are determined to be unauthorized access, and issue warnings.
The above products are based on a known attack pattern as a premise, and are based on packet monitoring, so there is a limit to detection of illegal code execution that pretends to be a normal request. Ultimately, it is the function of access control by the basic software (OS: Operating System) that can suppress the deviating behavior in the processing process such as unauthorized code execution caused by a request from such a malicious user. is there.
The OS responds to access requests such as reading, writing, deleting, newly creating, appending, executing, renaming, etc. to system resources such as files, directories, processes, networks, devices, and memories from users including administrators. It has a function of determining whether or not it is possible based on predetermined access control information.

UNIX(登録商標)系のOSを例示して従来のアクセス制御の概略につき、図11に示す動作概念図を参照しながら簡単に説明する。
図11において、まず、ユーザ“jdoe”が、アプリケーションを介して、“foo”というディレクトリの削除要求を発行したとする(コマンド実行a)。この要求はシステムコール“rmdir()”により処理がユーザモードからカーネルに委託される(システムコールb)。そして、処理関数“vfs_rmdir()”の中で、パーミッションチェック“may_create()”が呼ばれ、アクセス制御が実行される(アクセス制御c)。
ここで、カーネルは、サブジェクト(アクセスする側)、オブジェクト(アクセスの対象)、メソッド(アクセスの種類)の組み合わせ対して、アクセス権が与えられているか否かを、アクセス制御情報に基づいて判定する。UNIX(登録商標)系OSでは、ファイルのオーナー、グループ、それ以外のユーザに対しての、“read/write/execute”に関するパーミッションがオブジェクト毎に付与されており、サブジェクトのUID(User Identifier)やGID(Group Identifier)に基づき、アクセス許可、不許可を判定する(パーミッションチェックd)。“rmdir:ディレクトリの削除”であれば、削除対象の上位ディレクトリに対してのwrite/execute権限が必要とされる。そして、アクセスが許可されれば、“rmdir”:処理)を実行し、不許可であればユーザにエラーを返す(判定結果に応じた処理e)。 An outline of conventional access control using a UNIX (registered trademark) OS as an example will be briefly described with reference to a conceptual diagram of operation shown in FIG.
In FIG. 11, first, it is assumed that the user “jdoe” issues a directory deletion request “foo” via the application (command execution a). This request is entrusted from the user mode to the kernel by the system call “rmdir ()” (system call b). Then, in the processing function “vfs_rmdir ()”, a permission check “may_create ()” is called and access control is executed (access control c).
Here, the kernel determines whether or not an access right is given to a combination of a subject (accessing side), an object (access target), and a method (access type) based on the access control information. . In the UNIX (registered trademark) OS, permission for “read / write / execute” is given to each object for file owners, groups, and other users, and subject UID (User Identifier) and Access permission / non-permission is determined based on a GID (Group Identifier) (permission check d). If “rmdir: delete directory”, write / execute authority is required for the upper directory to be deleted. If access is permitted, “rmdir”: processing) is executed, and if not permitted, an error is returned to the user (processing e according to the determination result).

上記したように、OSによるアクセス制御は、一般ユーザはもちろん、管理者に対してもアクセス権への制御を課すことができる。しかしながら、アクセス権設定そのものへの権限を持つ管理者はシステムに必ず存在するため、このユーザ権限を不正に取得することで、システムの全権が掌握されてしまう。
Unix(登録商標)系のOSにおいては、rootユーザがこれに該当し、不正にroot権限が取得できてしまうような種々の脆弱性を解消することが望まれていた。 As described above, access control by the OS can impose control on access rights not only for general users but also for administrators. However, since there is always an administrator who has authority to the access right setting itself, all rights of the system are seized by acquiring this user authority illegally.
In a UNIX (registered trademark) OS, it has been desired to eliminate various vulnerabilities in which a root user falls under this category and the root authority can be obtained illegally.

上記した従来技術においては、アクセス制御情報を保護する上で以下の問題を有している。すなわち、アクセス制御情報そのものもオブジェクトであり、従って、それらへのアクセス、変更が可能な管理者は必ず存在するので、それがアクセス制御情報の改竄というリスクにならないようにする必要がある。
通常のUNIX(登録商標)系OSであれば、オブジェクト毎のアクセス権(所有者、グループ・パーミッション)についてはそのオブジェクトの所有者であれば、“chown/chgrp/chmod”等のコマンドにより、変更可能である。また、root等の管理者権限を持ってすれば、全てのオブジェクトについて、アクセス権の変更が可能である。このため、root権限を奪取するような形で、不正侵入が行われた場合には、アクセス権による各オブジェクトの保護の意味が低減する。 The above-described prior art has the following problems in protecting access control information. That is, the access control information itself is also an object, and therefore there is always an administrator who can access and change them, so that it is necessary not to be a risk of falsification of the access control information.
If it is a normal UNIX (registered trademark) OS, the access right (owner, group permission) for each object is changed by a command such as “own / chgrp / chmod” if it is the owner of the object. Is possible. Further, if the administrator authority such as root is given, the access right can be changed for all objects. For this reason, when an unauthorized intrusion is performed in such a manner that root authority is taken, the meaning of protecting each object by the access right is reduced.

このような問題に対し、アクセス制御を管理者が定めるアクセス権設定に基づく「アクセス制御の強制」、あるいは、root権限を縮小してアクセス権設定の権限を別管理者に与える「権限縮小」等によるセキュリティの強化が施された高信頼OSが実用化されている。
また、アクセス対象であるオブジェクト、およびアクセス主体であるオブジェクトを詳細に分類し、その分類に基づいて特有の制限を強制的に加えて単一の特権利用者を排除し、プログラムの乗っ取りによる被害を最小限にとどめ、もしくは排除してセキュリティを高めるアクセス制御方法ならびにアクセス制御装置および記録媒体が出願されている(例えば、特許文献1参照)。
特開2002−149494号公報(段落0032−0033、第3図) For such a problem, “forcing access control” based on access right setting determined by the administrator for access control, or “reducing authority” for reducing the root authority and giving the authority for setting access right to another administrator, etc. A high-reliability OS that has been enhanced by security has been put into practical use.
In addition, the objects to be accessed and the objects to be accessed are classified in detail, and specific restrictions are forcibly applied based on the classification to eliminate a single privileged user. An access control method, an access control apparatus, and a recording medium that increase security by minimizing or eliminating them have been filed (see, for example, Patent Document 1).
Japanese Unexamined Patent Publication No. 2002-149494 (paragraphs 0032-0033, FIG. 3)

しかしながら上記した特許文献1を含む従来技術においては、その管理者の権限が奪われてしまえば、結果的にアクセス権の設定変更という自体を招くため、リスクは低減されるものの、根本的な解決とはならない。   However, in the prior art including the above-described Patent Document 1, if the administrator's authority is deprived, the result is that the access right setting itself is changed. It will not be.

本発明は上記事情に鑑みてなされたものであり、不正アクセス定義情報に基づき不正アクセスが検知される毎にセキュリティレベルを更新し、それにあわせて、アクセス制御情報を制御して上記したアクセス権限の縮小を図ることでOSのセキュリティを強化し、アクセス制御情報等への外部からの干渉を回避することのできる、アクセス制御装置ならびにそのプログラムを提供することを目的とする。
また、所定の安全性判定に基づき不正アクセスの危険性が低いと判断された時点でセキュリティレベルを下げる制御を行うことで、柔軟なセキュリティ制御が可能な、アクセス制御装置ならびにそのプログラムを提供することも目的とする。 The present invention has been made in view of the above circumstances, and updates the security level every time an unauthorized access is detected based on the unauthorized access definition information, and controls the access control information accordingly to control the access authority described above. It is an object of the present invention to provide an access control apparatus and a program thereof that can strengthen the OS security by reducing the size and avoid external interference with access control information and the like.
Also, to provide an access control device and its program capable of flexible security control by performing control to lower the security level when it is determined that the risk of unauthorized access is low based on a predetermined safety judgment Also aimed.

上記した課題を解決するために本発明は、ネットワークを含むコンピュータシステムの各資源に対してユーザから発せられるアクセス要求を制御するアクセス制御装置であって、前記要求されたアクセスを、あらかじめ定義してある所定の不正アクセス定義情報と比較し、要求されたアクセスが不正アクセスであるか否かを判定する不正アクセス検知部と、前記不正アクセスの検知を契機に、監査モードから保護モード、および運用モードから保護モードへの状態遷移を許可する状態遷移制御部と、前記監査モードにおいては少なくとも外部向けの提供サービスを不許可とし、前記運用モードにおいてはセキュリティ管理者によるアクセス権を不許可とし、保護モードにおいては前記システムに変更を加え得るパーミションの全てについて不許可とするアクセス制御部と、を備えたことを特徴とする。   In order to solve the above-described problems, the present invention provides an access control apparatus for controlling an access request issued from a user to each resource of a computer system including a network, wherein the requested access is defined in advance. An unauthorized access detection unit that determines whether or not the requested access is unauthorized access by comparing with certain predetermined unauthorized access definition information, and triggered by detection of the unauthorized access, from the audit mode to the protection mode and the operation mode A state transition control unit that permits state transition from a protection mode to a protection mode, and at least the externally provided service is not permitted in the audit mode, and the access right by the security administrator is not permitted in the operation mode. In all of the permissions that can make changes to the system, Characterized by comprising an access control unit for a variable, a.

本発明によれば、状態遷移制御部が、不正アクセス定義情報に基づく不正アクセスの検知を契機に、監査モードから保護モード、および運用モードから保護モードへの状態遷移を許可し、アクセス制御部を介し、監査モードでは外部向けの提供サービスを不許可とし、運用モードではセキュリティ管理者によるアクセス権を不許可とし、保護モードではシステムに変更を加え得るパーミッションの全てについて不許可とすることでOSのセキュリティ強化をはかり、アクセス制御情報等への外部からの干渉を回避することのできるアクセス制御装置を提供できる。
なお、ここで、「アクセス制御情報」とは、管理者を含むユーザによって発行されるシステム資源(ファイル、ディレクトリ、プロセス、ネットワーク、デバイス、メモリ等)への利用要求(読み取り・書き込み・削除・新規作成・追記・実行・名称変更等)に対し、そのアクセス可否が規定されたものをいう。
また、「不正アクセス定義情報」とは、禁止すべきアクセスの定義情報であり、「アクセス制御情報」で許可されていない全てのアクセスとして定義しても良いし、特に注意深く監視したい不正なアクセスのみを定義しても良い。 According to the present invention, the state transition control unit permits the state transition from the audit mode to the protection mode and from the operation mode to the protection mode when the unauthorized access is detected based on the unauthorized access definition information. In the audit mode, the service provided to the outside is disallowed, in the operation mode, the access right by the security administrator is disallowed, and in the protection mode, all permissions that can change the system are disallowed. It is possible to provide an access control device that can enhance security and avoid external interference with access control information and the like.
Here, “access control information” refers to usage requests (read / write / delete / new) to system resources (files, directories, processes, networks, devices, memory, etc.) issued by users including administrators. (Create / add / execute / name change, etc.)
In addition, “unauthorized access definition information” is definition information of access that should be prohibited, and may be defined as all access that is not permitted by “access control information”. May be defined.

また、本発明において、前記状態遷移制御部は、前記監査モードから運用モードへの遷移を除き、前記不正アクセス制御部検知部による不正アクセスの検知により遷移を制御することを特徴とする。   In the present invention, the state transition control unit controls transition by detecting unauthorized access by the unauthorized access control unit detection unit, except for transition from the audit mode to the operation mode.

また、本発明において、前記不正アクセス定義情報は、前記モードのそれぞれについて、アクセスする側とされる側とアクセス手段との組から成り、記憶装置に格納されることを特徴とする。   In the present invention, the unauthorized access definition information includes a set of an access side and an access means for each of the modes, and is stored in a storage device.

また、本発明において、前記運用モードを少なくとも2つに分けて定義し、前記不正アクセス検知部による不正アクセス検知の頻度に応じて同モード間での遷移を許可することを特徴とする。
本発明によれば、不正アクセス検知の頻度に応じ不正アクセスの危険性が低いと判断された時点で、セキュリティレベルを下げる制御を行うことで、柔軟なセキュリティ制御が可能なアクセス制御装置を提供することができる。 In the present invention, the operation mode is defined by dividing it into at least two modes, and transition between the modes is permitted according to the frequency of unauthorized access detection by the unauthorized access detection unit.
According to the present invention, an access control apparatus capable of flexible security control is provided by performing control to lower the security level when it is determined that the risk of unauthorized access is low according to the frequency of unauthorized access detection. be able to.

上記した課題を解決するために本発明は、ネットワークを含むコンピュータシステムの各資源に対してユーザから発せられるアクセス要求を制御するアクセス制御装置に用いられるプログラムであって、前記要求されたアクセスを、あらかじめ定義してある所定の不正アクセス定義情報と比較し、要求されたアクセスが不正アクセスであるか否かを判定する第1のステップと、前記不正アクセスの検知を契機に、監査モードから保護モード、および運用モードから保護モードへの状態遷移を許可する第2のステップと、前記監査モードにおいては少なくとも外部向けの提供サービスを不許可とし、前記運用モードにおいてはセキュリティ管理者によるアクセス権を不許可とし、保護モードにおいては前記システムに変更を加え得るパーミションの全てについて不許可とする第3のステップと、を前記コンピュータに実行させることを特徴とする。   In order to solve the above-described problems, the present invention provides a program used in an access control apparatus for controlling an access request issued from a user to each resource of a computer system including a network, wherein the requested access is A first step of comparing whether or not the requested access is unauthorized access by comparing with predetermined unauthorized access definition information defined in advance, and the protection mode from the audit mode triggered by the detection of the unauthorized access. , And a second step of permitting state transition from the operation mode to the protection mode, and disabling at least the service provided to the outside in the audit mode, and disallowing the access right by the security administrator in the operation mode In the protection mode, the permissions that can change the system A third step of disallowed for all the characterized in that for causing the computer to execute the.

また、本発明において、前記第2のステップは、前記運用モードを少なくとも2つに分けて定義し、前記不正アクセス検知の頻度に応じて同モード間での遷移を許可するサブステップを含むことを特徴とする。   Further, in the present invention, the second step includes a sub-step in which the operation mode is defined by dividing it into at least two, and transition between the modes is permitted according to the frequency of the unauthorized access detection. Features.

本発明によれば、動作中のOSに対し、保護モード、運用モード、監査モードといった「セキュリティレベル」という概念を与え、これらセキュリティレベルのアクセス制御情報、不正アクセス定義情報をそれぞれ定義し、不正アクセス定義情報に基づき不正アクセスが検知される毎にセキュリティレベルを更新し、それにあわせてアクセス制御情報を制御し、アクセス権限の縮小を図ることで、OSのセキュリティを強化することができる。
また、アクセス制御情報、不正アクセス定義情報のそれぞれをシステム起動時に読み込み、セキュリティレベルにあわせてOSの管理化に置き、一連の制御はOS内部で行わせることで、外部からの干渉なしに安全にアクセス制御情報への変更が可能な状態と、アクセス制御情報への干渉を一切排除可能な状態の双方が両立可能となる。更に、セキュリティレベルの制御は常に高くする(厳格化する)という一方向のみの制御がフェイルセーフの観点からは望ましいが、所定の安全性判定に基づき不正アクセスの危険性が低いと判断された時点で、セキュリティレベルを下げる制御を行うことで、柔軟なセキュリティ制御が可能となる。 According to the present invention, a concept of “security level” such as a protection mode, an operation mode, and an audit mode is given to an operating OS, and access control information and unauthorized access definition information of these security levels are respectively defined and unauthorized access is performed. Each time unauthorized access is detected based on the definition information, the security level is updated, the access control information is controlled accordingly, and the access authority is reduced, thereby enhancing the OS security.
In addition, each of access control information and unauthorized access definition information is read at system startup, and is managed in the OS according to the security level, and a series of control is performed inside the OS, so that it is safe without external interference. Both a state where the access control information can be changed and a state where any interference with the access control information can be eliminated can be achieved at the same time. Furthermore, it is desirable from the viewpoint of fail-safe that control of the security level is always increased (stricter) from the viewpoint of fail-safe, but when it is determined that the risk of unauthorized access is low based on a predetermined safety judgment By performing control to lower the security level, flexible security control becomes possible.

図1は、本発明におけるアクセス制御装置の内部構成を示すブロック図である。ここでは、アクセス制御装置は、アクセス制御情報DB(Database)1、不正アクセス定義情報DB2、不正アクセス検知部3、状態遷移制御部4、アクセス制御部5で構成される。
ここで「アクセス制御情報」とは、管理者を含むユーザによって発行されるシステム資源(ファイル、ディレクトリ、プロセス、ネットワーク、デバイス、メモリ等)への利用要求(読み取り・書き込み・削除・新規作成・追記・実行・名称変更等)に対し、そのアクセス可否が規定されたものをいい、「不正アクセス定義情報」とは、禁止すべきアクセスの定義情報をいい、それぞれ、アクセス制御情報DB1、不正アクセス定義情報DB2に格納される。図2にそのデータ構造が示されている。 FIG. 1 is a block diagram showing an internal configuration of an access control apparatus according to the present invention. Here, the access control apparatus includes an access control information DB (Database) 1, an unauthorized access definition information DB 2, an unauthorized access detection unit 3, a state transition control unit 4, and an access control unit 5.
Here, "access control information" refers to usage requests (read / write / delete / create new / addition) to system resources (files, directories, processes, networks, devices, memory, etc.) issued by users including administrators. (Execution, name change, etc.) is defined as whether access is permitted, and “unauthorized access definition information” refers to definition information of access to be prohibited, access control information DB1, unauthorized access definition, respectively. It is stored in the information DB2. FIG. 2 shows the data structure.

図2に示されるように、アクセス制御情報は、アクセスを許可するサブジェクト、オブジェクト、メソッドの3つの組で定義され、不正アクセス定義情報は、許可されないアクセスの中で、不正アクセスとして検知を行うものを、サブジェクト、オブジェクト、メソッドの3つの組で定義される。なお、ここで、「サブジェクト」とは、アクセスを行う側の主体となってプロセスに与えられるラベル、「オブジェクト」とは、アクセスされる側の客体を指し、ファイル、ディレクトリ、デバイス、プロセス等のシステム資源に与えられるラベル、「メソッド」とは、read/write/execute等のアクセス種別をいう。
ここでは、rootによる/etc/passwdファイルへのアクセスを許可する、userによる/home/userディレクトリへのアクセスを許可するアクセス制御情報、および、userによる/etc/passwdファイルへのwrite,append,unlink等のアクセスを不正アクセスとして扱う、userによる/sbin/shutdownファイルへのアクセスを不正アクセスとして扱う不正アクセス定義情報のそれぞれが例示されている。 As shown in FIG. 2, access control information is defined by three sets of subjects, objects, and methods that permit access, and unauthorized access definition information is detected as unauthorized access in unauthorized access. Are defined by three sets of subjects, objects, and methods. Here, “subject” is a label given to a process as a subject of access, and “object” refers to an object on the side of access, such as a file, directory, device, process, etc. The label given to the system resource, “method”, refers to an access type such as read / write / execute.
Here, access control information that allows access to the / home / user directory by the user, access to the / home / user directory by the user, and write, append, and unlink by the user to the / etc / passwd file are permitted. Each of the unauthorized access definition information that treats access to the / sbin / shutdown file by the user as unauthorized access, which handles such accesses as unauthorized access, is illustrated.

説明を図1に戻す。不正アクセス検知部3は、要求されたアクセスを、あらかじめ定義してある所定の不正アクセス定義情報(不正アクセス定義情報DB2)と比較し、要求されたアクセスが不正アクセスであるか否かを判定し、状態遷移制御部4へ通知する。状態遷移制御部4は、不正アクセスの検知を契機に、監査モードから保護モード、および運用モードから保護モードへの状態遷移を許可してアクセス制御部5を制御する。
アクセス制御部5は、監査モードにおいては少なくとも外部向けの提供サービスを不許可とし、運用モードにおいてはセキュリティ管理者によるアクセス権を不許可とし、保護モードにおいてはシステムに変更を加え得るパーミションの全てについて不許可とするようにOSの動作を制御する。ここでは、セキュリティレベル(監査モード、運用モード、保護モード)毎にその動作実行部51、52、53を持つこととする。
なお、運用モードのみ動作実行部52を2つ有しているが、これは、後述するように、不正アクセス検知部3による不正アクセス検知の頻度に応じて同モード間での遷移を許可するオプションを持つためである。このことによりセキュリティレベルに柔軟性を持たせることができる。また、状態遷移制御部4は、監査モードから運用モードへの遷移を除き、不正アクセス検知部3による不正アクセスの検知により遷移を制御する。更に、不正アクセス定義情報は、上記したモードのそれぞれについて、サブジェクト、オブジェクト、メソッドの3つの組から成ることは上記したとおりである。 Returning to FIG. The unauthorized access detection unit 3 compares the requested access with predetermined predefined unauthorized access definition information (unauthorized access definition information DB2), and determines whether the requested access is unauthorized access. The state transition control unit 4 is notified. The state transition control unit 4 controls the access control unit 5 by permitting a state transition from the audit mode to the protection mode and from the operation mode to the protection mode upon detection of unauthorized access.
The access control unit 5 disallows at least external services provided in the audit mode, disallows access rights by the security administrator in the operation mode, and all permissions that can change the system in the protection mode. The operation of the OS is controlled so as not to be permitted. Here, the operation execution units 51, 52, and 53 are provided for each security level (audit mode, operation mode, and protection mode).
Note that only two operation execution units 52 are provided in the operation mode, but this is an option that permits transition between the modes according to the frequency of unauthorized access detection by the unauthorized access detection unit 3, as will be described later. It is for having. This can give flexibility to the security level. The state transition control unit 4 controls the transition by detecting unauthorized access by the unauthorized access detection unit 3 except for transition from the audit mode to the operation mode. Furthermore, as described above, the unauthorized access definition information includes three sets of subjects, objects, and methods for each of the above modes.

本発明によれば、以下の観点からアクセス制御情報そのものへの外部アクセスからの保護が可能となる。但し、ここで使用されるOSのカーネルは、上記した強制アクセス制御(アクセス権の強制)および管理者権限の分割が可能なセキュリティカーネルであることを前提としている。そして、アクセス制御情報を操作可能なカーネル状態(以下、監査モードという)と、操作不可能なカーネル状態(以下、運用モード、保護モードという)を明確に区分している。また、セキュリティレベルとしての保護モードは、運用モードにおけるパーミッションに、更に、制限が課せられた状態と定義する。
まず、カーネル(不正アクセス検知部3)は、要求されたアクセスを所定の不正アクセス定義情報と比較し、要求されたアクセスが不正アクセスであるか、否かを判定する。不正アクセス検知は許可されないすべてのアクセスを対象としても良いし、特定の(不許可となるような)アクセスのみを対象としても良い。状態遷移制御部4は、カーネルによる不正アクセスの検知を契機として、監査モードから保護モード、及び運用モードから保護モードへの状態遷移を許可する。また、管理者のコマンド指示等による、監査モードから運用モードへの状態遷移も許可し、それ以外の状態遷移は不許可とする。 According to the present invention, it is possible to protect access control information itself from external access from the following viewpoints. However, it is assumed that the OS kernel used here is a security kernel capable of dividing the above-mentioned forced access control (forcing access rights) and administrator rights. A kernel state in which the access control information can be manipulated (hereinafter referred to as an audit mode) and a kernel state in which the access control information cannot be manipulated (hereinafter referred to as an operation mode or a protection mode) are clearly distinguished. Further, the protection mode as the security level is defined as a state in which restrictions are further imposed on the permissions in the operation mode.
First, the kernel (unauthorized access detection unit 3) compares the requested access with predetermined unauthorized access definition information and determines whether or not the requested access is an unauthorized access. Unauthorized access detection may be targeted for all unpermitted accesses, or may be targeted only for specific (non-permitted) accesses. The state transition control unit 4 permits state transition from the audit mode to the protection mode and from the operation mode to the protection mode in response to detection of unauthorized access by the kernel. In addition, the state transition from the audit mode to the operation mode based on the command instruction of the administrator is permitted, and other state transitions are not permitted.

アクセス制御部5は、監査モードにおいて、Web(World Wide Web)サーバ、DNS(Domain Name Sarver)、メールサーバ等の外部向け提供サービスの動作に必要なアクセス権は不許可とする。万全を期するのであれば、一切のリモートアクセスの権限も不許可とする。その一方で、アクセス制御情報への書き込み等のアクセス権はセキュリティ管理者には認められる。
アクセス制御部5は、運用モードにおいて、逆にセキュリティ管理者によるアクセス制御情報への書き込み等のアクセス権は許可する。万全を期するのであれば、セキュリティ管理者の一切の権限は不許可とする。その一方で、外部向け提供サービスに対しては通常の稼動に必要かつ十分なアクセス権が与えられるものとする。保護モードは、運用モードのアクセス権がさらに制限された状態で、外部向け提供サービスに関連する書き込みや削除、新規生成等、システムに変更を加えるパーミッションについて不許可された状態として定義する。パーミッションを制限することにより、不正アクセスによる被害を抑えることを目的としている。また、各管理者の権限に関しても、制限する。 In the audit mode, the access control unit 5 does not permit an access right necessary for the operation of a service provided to the outside such as a Web (World Wide Web) server, a DNS (Domain Name Sarver), or a mail server. If it is to be safe, no permission for remote access is allowed. On the other hand, an access right such as writing to the access control information is granted to the security administrator.
On the contrary, the access control unit 5 permits the access right such as writing to the access control information by the security administrator in the operation mode. For the sake of completeness, any authority of the security administrator is not permitted. On the other hand, it is assumed that the access right necessary and sufficient for normal operation is given to the service provided for the outside. The protection mode is defined as a state in which the access right in the operation mode is further restricted, and permission to make changes to the system, such as writing, deletion, new generation, etc., related to the service provided for the outside is not permitted. The purpose is to limit the damage caused by unauthorized access by restricting permissions. The authority of each administrator is also restricted.

なお、システム管理者(root)の権限につき、管理者権限の分割という条件の下、アクセス制御情報への書き込み等のアクセスはセキュリティ管理者のみに認められ、システム管理者にはその権限は与えられないものとする。また、カーネルの状態遷移は、監査モードから運用モードへの遷移以外は外部コマンドによる指示ではなく、不正アクセスの検知による、カーネル内部での制御に基づいて行なわれるものとする。これは、カーネル状態への外部からの直接的な干渉を防ぐのが目的である。   Regarding the authority of the system administrator (root), access such as writing to the access control information is permitted only to the security administrator under the condition that the administrator authority is divided, and the authority is given to the system administrator. Make it not exist. In addition, the transition of the kernel state is not based on an instruction by an external command other than the transition from the audit mode to the operation mode, but based on control inside the kernel based on detection of unauthorized access. This is intended to prevent direct external interference to the kernel state.

図3は、上記したアクセス制御装置の基本動作を説明するために引用した動作概念図である。ここでは本発明のアクセス制御装置をOS上にマッピングして示してある。以下、図3を参照しながら動作説明を行う。
サブジェクト(アクセスする側)、オブジェクト(アクセスされる側)が図示された対応関係となっており、ここでは、ユーザによるコマンド実行に基づき、システムコール“rmdir()”で処理がカーネルに委託されたときの動作が示されている。本発明では、監査モード、運用モード、保護モードのそれぞれにおいて異なるアクセス制御を行うために、カーネルおよびアクセス制御情報について以下の拡張が行なわれる。 FIG. 3 is an operation concept diagram quoted for explaining the basic operation of the access control apparatus described above. Here, the access control apparatus of the present invention is shown mapped on the OS. The operation will be described below with reference to FIG.
The subject (accessing side) and the object (accessed side) have the correspondence shown in the figure. Here, based on the command execution by the user, the processing is entrusted to the kernel by the system call “rmdir ()”. When the behavior is shown. In the present invention, in order to perform different access control in each of the audit mode, the operation mode, and the protection mode, the following expansion is performed on the kernel and the access control information.

すなわち、アクセス制御情報は、セキュリティレベルに応じて用意される監査モード、運用モード、保護モードのそれぞれについて定義され、その内容はアクセス情報DB1に格納される(アクセス制御情報a)。後述するパーミッションチェックの際には、現在のカーネルのセキュリティレベルに基づき、対応するアクセス制御情報を用いてアクセス制御を行う。また、不正アクセス定義情報は、監査モード、運用モード、保護モードそれぞれについての不正アクセスとして検知すべきアクセスについて定義して不正アクセス定義情報DB2に格納する。なお、不正アクセス定義情報は、アクセス制御情報の補集合として定義しても良く、また、特に注意を要する不正アクセスのみを定義しても良い(不正アクセス定義情報b)。
そして、管理者が、アプリケーション(シェル)を介して、“foo”というディレクトリの削除要求を発行したとする(コマンド実行c)。この要求はシステムコール“rmdir()”により処理がカーネルに委託される(システムコールd)。カーネルでは、該当するシステムコール処理関数が呼び出され、アクセス制御が開始される(アクセス制御e)。続いて、運用モードのアクセス制御情報によるパーミッションチェックが行われ(パーミションチェックf)、判定結果に応じた処理が実行される(判定結果に応じた処理g)。
不正アクセス検知部3は、カーネル内、パーミッションチェックにより不許可とされたアクセスに関し、不正アクセス定義情報DB2に格納された不正アクセス定義情報に基づき、それが該当するか否かを判定し、状態遷移制御部4へ伝える。状態遷移制御部4は、不正アクセス検知部3から不正アクセス検知の通知を受け、現在のモードから保護モードへの状態遷移を行い(現在のモードから保護モードへ移行h)、アクセス制御部5による上記したアクセスが実行される。 That is, the access control information is defined for each of the audit mode, the operation mode, and the protection mode prepared according to the security level, and the contents are stored in the access information DB 1 (access control information a). In the permission check described later, access control is performed using corresponding access control information based on the current security level of the kernel. In addition, the unauthorized access definition information defines an access to be detected as an unauthorized access in each of the audit mode, the operation mode, and the protection mode, and stores it in the unauthorized access definition information DB2. The unauthorized access definition information may be defined as a complementary set of access control information, or only unauthorized access requiring special attention may be defined (unauthorized access definition information b).
Then, it is assumed that the administrator issues a directory deletion request “foo” via the application (shell) (command execution c). This request is entrusted to the kernel by the system call “rmdir ()” (system call d). In the kernel, the corresponding system call processing function is called and access control is started (access control e). Subsequently, a permission check is performed using the access control information in the operation mode (permission check f), and a process according to the determination result is executed (process g according to the determination result).
The unauthorized access detection unit 3 determines whether or not this is the case based on the unauthorized access definition information stored in the unauthorized access definition information DB 2 regarding the access that is not permitted by the permission check in the kernel. Tell the control unit 4. The state transition control unit 4 receives a notification of unauthorized access detection from the unauthorized access detection unit 3, performs state transition from the current mode to the protection mode (transition from the current mode to the protection mode h), and is performed by the access control unit 5. The above access is executed.

図4、図5は、本発明の具体的な一実施形態の動作を説明するために引用した動作概念図である。ここでは、userによる/sbin/shutdownファイルへのアクセスを不正アクセスとして不正アクセス定義情報DB2に登録されているものとして説明を行う。
カーネルは、起動されると、デフォルトでは運用モードで起動する。(セキュリティ状態は運用モードで初期化される)。運用モードでは、上記したように、userによる/sbin/shutdownへの全てのアクセスを不正アクセスとして定義されている。まず、一般ユーザuserは、許可されているアクセス“rmdir foo”を、シェルを介して実行する(図4、コマンド実行a)。このことにより、カーネルに対して、システムコール“rmdir()”が発行される(システムコールb)。カーネルでは、該当するシステムコール処理関数が呼び出される。続いて、運用モードのアクセス制御情報によるパーミッションチェックが行われる(パーミションチェックd)。パーミッション関数の処理の流れは、図7に示されている。ここでは許可されたアクセスであるため、処理が実行される(アクセス制御cとアクセス許可なら処理実行e、および図7、S71、S72)。 4 and 5 are operation conceptual diagrams cited for explaining the operation of a specific embodiment of the present invention. Here, a description will be given assuming that access to the / sbin / shot file by the user is registered in the unauthorized access definition information DB 2 as unauthorized access.
When the kernel is started, it starts up in operational mode by default. (Security state is initialized in operational mode). In the operation mode, as described above, all accesses to / sbin / shot by the user are defined as unauthorized access. First, the general user user executes the permitted access “rmdir foo” via the shell (FIG. 4, command execution a). As a result, the system call “rmdir ()” is issued to the kernel (system call b). In the kernel, the corresponding system call processing function is called. Subsequently, a permission check is performed using the access control information in the operation mode (permission check d). The processing flow of the permission function is shown in FIG. Since access is permitted here, processing is executed (if access control c and access permission, processing execution e and FIGS. 7, S71, and S72).

次に、悪意あるユーザが何らかの手段(パスワードクラック、バッファオーバーフロー等)により、userの権限を取得したとする。悪意あるユーザの意図は、“/sbin/shutdown”コマンド実行によるシステムの停止である(図5、コマンドの実行f)。
この場合もカーネルに対し、システムコール“execve(sbin/shutdown)”が発行され(システムコールg)、該当するシステム処理関数が呼び出される(アクセス制御h)。これは、運用モードのアクセス制御情報によるパーミッションにおいて不許可となってそのコマンドは実行されない(バーミッションチェックi、および図7、S73)。また、不正アクセス検知部3により運用モードでの不正アクセス定義情報による不正アクセス検知が行われ(不正アクセス検知j、および図7、S74)、検知対象に該当するため、状態制御関数を呼ぶ。そして、状態遷移制御部4によって運用モードから保護モードへの状態遷移が行われる(現在のモードから保護モードに移行k、および図7、S75)。以後、アクセス制御情報、不正アクセス定義情報は保護モードのものが用いられ、アクセス制御部5による遷移モードに従う動作が実行される。 Next, it is assumed that a malicious user acquires the authority of the user by some means (password crack, buffer overflow, etc.). The intention of the malicious user is to stop the system by executing the “/ sbin / shotdown” command (FIG. 5, command execution f).
In this case as well, a system call “exec (sbin / shot)” is issued to the kernel (system call g), and the corresponding system processing function is called (access control h). This is not permitted in the permission based on the access control information in the operation mode, and the command is not executed (permission check i and FIG. 7, S73). In addition, the unauthorized access detection unit 3 performs unauthorized access detection based on the unauthorized access definition information in the operation mode (unauthorized access detection j and FIG. 7, S74), and corresponds to the detection target, so the state control function is called. Then, the state transition control unit 4 performs state transition from the operation mode to the protection mode (transition from the current mode to the protection mode k, and FIG. 7, S75). Thereafter, the access control information and the unauthorized access definition information are in the protection mode, and the operation according to the transition mode by the access control unit 5 is executed.

図9に状態遷移が示されている。図9に示されるように、保護モード(53)はアクセス権が制限されたカーネル状態を示し、セキュリティ管理者の一切の権限は不許可とされる。また、外部向けの提供サービスについても読み出し専用等、制限されたアクセスのみ許可される。そして、不正アクセスの検知を契機に運用モード(52)、監査モード(51)からの遷移が可能であり、他への遷移は禁止される。
また、運用モード(52)は、アクセス制御情報を操作不可能なカーネル状態を示し、カーネルは、デフォルトとしてこのモードが選択され起動される。万全を期すのであれば、セキュリティ管理者の一切の権限は不許可とされる。また、外部向けの提供サービスについては、通常の稼働に必要かつ十分なアクセス権が与えられる。そして、不正アクセス検知を契機に、監査モード(51)からの遷移が可能であり、他への遷移は禁止される。更に、監査モード(51)は、アクセス制御情報を操作可能なカーネル状態を示し、セキュリティ管理者にアクセス制御情報への書込み等のアクセス権が認められ、万全を期すのであれば一切のリモートアクセスの権限を不許可とする。なお、監査モード(51)は、ブートオプション指定、コマンド等による起動が可能である。 FIG. 9 shows the state transition. As shown in FIG. 9, the protection mode (53) indicates a kernel state in which the access right is restricted, and any authority of the security administrator is not permitted. Also, only limited access such as read-only is permitted for externally provided services. Then, when an unauthorized access is detected, a transition from the operation mode (52) and the audit mode (51) is possible, and a transition to another is prohibited.
The operation mode (52) indicates a kernel state in which the access control information cannot be manipulated, and the kernel is selected and activated as a default. All security administrator rights are disapproved if it is used. In addition, with respect to externally provided services, necessary and sufficient access rights are given for normal operation. Then, triggered by unauthorized access detection, a transition from the audit mode (51) is possible, and a transition to another is prohibited. Further, the audit mode (51) indicates a kernel state in which the access control information can be manipulated, and an access right such as writing to the access control information is recognized by the security administrator. Disallow permission. The audit mode (51) can be activated by specifying a boot option, a command, or the like.

図6は本発明における他の実施形態の動作を説明するために引用した動作概念図である。ここでは、図4、図5に示す実施形態に加え、運用モード(52)を複数の段階に分割し、さらに安全性判定を入れることにより、運用モード間を相互に遷移可能にした場合を例示している。これは1回の不正アクセス検知により、保護モードに遷移するという処理が、過剰な措置と見られるような場合に適している。アクセス制御情報と不正アクセス定義情報については、ここに示す運用モード1、2を含め、4種類が用意される。
不正アクセス検知した場合、図10の状態遷移図に示されるように、監査モード(51)と運用モード2(52)からは保護モード(53)に遷移し、運用モード1(52)からは運用モード2(52)に遷移する。運用モード2(52)は運用モード1(52)のアクセス権に制限を課したものであり、保護モード(53)ほどは厳しくない。運用モード2(52)においては安全性判定が適用され、不正アクセスの兆候が一定時間みられない等、安全状態であると判断された場合には運用モード2(52)から運用モード1(52)への状態遷移を行い、アクセス権を緩和するような制御を行う。それ以外の遷移については図3、図4に示す実施形態と同様に禁止する。 FIG. 6 is an operation conceptual diagram quoted for explaining the operation of another embodiment of the present invention. Here, in addition to the embodiment shown in FIGS. 4 and 5, the operation mode (52) is divided into a plurality of stages, and a safety judgment is further included to enable transition between operation modes. doing. This is suitable when the process of transitioning to the protection mode by detecting unauthorized access once is considered as an excessive measure. There are four types of access control information and unauthorized access definition information, including operation modes 1 and 2 shown here.
When unauthorized access is detected, the audit mode (51) and the operation mode 2 (52) shift to the protection mode (53) and the operation mode 1 (52) starts the operation as shown in the state transition diagram of FIG. Transition to mode 2 (52). The operation mode 2 (52) imposes restrictions on the access right of the operation mode 1 (52), and is not as severe as the protection mode (53). In the operation mode 2 (52), the safety judgment is applied, and when it is determined to be in a safe state, for example, there is no sign of unauthorized access for a certain period of time, the operation mode 2 (52) to the operation mode 1 (52 ), And control to relax the access right. Other transitions are prohibited as in the embodiment shown in FIGS.

なお、「安全性判定」とは、不正アクセスが行われている予兆が見られないという判断基準、一例としては「不正アクセス定義情報」で規定される不正アクセスらしき予兆が一定時間見られなかったこと等を判断基準として安全性を判定することをいい、ここでは、一定時間不正アクセス検知されない(例えば、前回の不正アクセス検知から24時間以上が経過した場合)、サービスの稼動状況、アクセス頻度(利用中のユーザが0になった場合)によって安全と判断する。   In addition, “safety judgment” is a judgment standard that no sign of unauthorized access is seen. For example, the sign of unauthorized access prescribed in “illegal access definition information” was not seen for a certain period of time. This means that the security is determined based on the determination criteria, and in this case, the unauthorized access is not detected for a certain period of time (for example, when 24 hours or more have passed since the previous unauthorized access detection), the service operating status, the access frequency ( If the number of users in use becomes 0), it is determined to be safe.

図8に、図6に示される実施形態におけるパーミッション関数の処理の流れがフローチャートで示されている。
図8において、パーミッションチェックの結果(S81)、アクセスが許可されたときに現在のモードが運用モード2(52)で動作しているか否かがチェックされる(S83)。ここで運用モード2の場合は、更に上記した安全性の判断を行い(S84)、安全と判断されたときにモード遷移制御部4により運用モード1(52)への状態遷移がなされ、アクセス制御部5によりそのモードでの実行が開始される。
一方、パーミッションチェックの結果(S81)、アクセスが不許可となった場合(S86)、不正アクセス検知部3による不正アクセスのチェックが行われ(S87)、ここで不正アクセスが検知された場合に、現在のモードが運用モード1(52)で動作しているか否かがチェックされる(S88)。運用モード1(52)で動作していた場合は、状態遷移制御部4によって運用モード2(52)に状態遷移がなされ、運用モード1(52)以外で動作していた場合は、保護モード(51)に状態遷移がなされる。そして、アクセス制御部5により、そのモードに従う実行が開始される。 FIG. 8 is a flowchart showing the processing flow of the permission function in the embodiment shown in FIG.
In FIG. 8, as a result of the permission check (S81), it is checked whether or not the current mode is operating in the operation mode 2 (52) when access is permitted (S83). Here, in the case of the operation mode 2, the above-described safety is further determined (S84), and when it is determined to be safe, the mode transition control unit 4 makes a state transition to the operation mode 1 (52), and the access control is performed. The unit 5 starts execution in that mode.
On the other hand, as a result of the permission check (S81), when access is not permitted (S86), the unauthorized access detection unit 3 checks for unauthorized access (S87), and when unauthorized access is detected here, It is checked whether or not the current mode is operating in the operation mode 1 (52) (S88). When operating in the operation mode 1 (52), the state transition control unit 4 makes a state transition to the operation mode 2 (52). When operating in a mode other than the operation mode 1 (52), the protection mode ( A state transition is made to 51). Then, the access control unit 5 starts execution according to the mode.

以上説明のように本発明は、不正アクセス定義情報に基づき不正アクセスが検知される毎にセキュリティレベルを更新し、それにあわせてアクセス制御情報を制御して上記したアクセス権限の縮小を図ることでOSのセキュリティを強化し、アクセス制御情報等への外部からの干渉を回避するものである。また、所定の安全性判定に基づき不正アクセスの危険性が低いと判断された時点でセキュリティレベルを下げる制御を行うことで、柔軟なセキュリティ制御を行うものである。
なお、図1に示される不正アクセス検知部3、状態遷移制御部4、アクセス制御部5のそれぞれで実行される手順をコンピュータ読み取り可能な記録媒体に記録し、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行することによっても本発明のアクセス制御装置を実現することができる。ここでいうコンピュータシステムとは、OSや周辺機器等のハードウェアを含む。 As described above, the present invention updates the security level every time an unauthorized access is detected based on the unauthorized access definition information, and controls the access control information accordingly to reduce the access authority as described above. Security of the network and avoiding external interference with access control information. Further, flexible security control is performed by performing control to lower the security level when it is determined that the risk of unauthorized access is low based on a predetermined safety determination.
The procedure executed by each of the unauthorized access detection unit 3, the state transition control unit 4 and the access control unit 5 shown in FIG. 1 is recorded on a computer-readable recording medium, and the program recorded on the recording medium is recorded. The access control apparatus of the present invention can also be realized by reading it into a computer system and executing it. The computer system here includes an OS and hardware such as peripheral devices.

また、「コンピュータシステム」は、WWWシステムを利用している場合であれば、ホームページ提供環境(あるいは表示環境)も含むものとする。
また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。
また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。 Further, the “computer system” includes a homepage providing environment (or display environment) if a WWW system is used.
The program may be transmitted from a computer system storing the program in a storage device or the like to another computer system via a transmission medium or by a transmission wave in the transmission medium. Here, the “transmission medium” for transmitting the program refers to a medium having a function of transmitting information, such as a network (communication network) such as the Internet or a communication line (communication line) such as a telephone line.
The program may be for realizing a part of the functions described above. Furthermore, what can implement | achieve the function mentioned above in combination with the program already recorded on the computer system, and what is called a difference file (difference program) may be sufficient.

以上、この発明の実施形態につき、図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、この発明の要旨を逸脱しない範囲の設計等も含まれる。   The embodiment of the present invention has been described in detail with reference to the drawings. However, the specific configuration is not limited to this embodiment, and includes design and the like within the scope not departing from the gist of the present invention.

本発明におけるアクセス制御装置の内部構成を示すブロック図である。It is a block diagram which shows the internal structure of the access control apparatus in this invention. 図1に示すデータベースのデータ構造の一例を示す図である。It is a figure which shows an example of the data structure of the database shown in FIG. 本発明の基本動作を説明するために引用した動作概念図である。It is the operation | movement conceptual diagram quoted in order to demonstrate the basic operation | movement of this invention. 本発明の一実施形態の動作を説明するために引用した動作概念図である。It is the operation | movement conceptual diagram quoted in order to demonstrate operation | movement of one Embodiment of this invention. 本発明の一実施形態の動作を説明するために引用した動作概念図である。It is the operation | movement conceptual diagram quoted in order to demonstrate operation | movement of one Embodiment of this invention. 本発明における他の実施形態の動作を説明するために引用した動作概念図である。It is the operation | movement conceptual diagram quoted in order to demonstrate operation | movement of other embodiment in this invention. 図4、図5に示す実施形態におけるパーミッション関数の処理の流れを示す図である。It is a figure which shows the flow of a permission function process in embodiment shown in FIG. 4, FIG. 図6に示す実施形態におけるパーミッション関数の処理の流れを示す図である。It is a figure which shows the flow of a permission function process in embodiment shown in FIG. 図4、図5に示す実施形態によって得られる状態遷移の一例を示す図である。It is a figure which shows an example of the state transition obtained by embodiment shown in FIG. 4, FIG. 図6に示す実施形態によって得られる状態遷移の一例を示す図である。It is a figure which shows an example of the state transition obtained by embodiment shown in FIG. 従来のアセス制御装置の動作を説明するために引用した動作概念図である。It is the operation | movement conceptual diagram quoted in order to demonstrate operation | movement of the conventional access control apparatus.

符号の説明Explanation of symbols

1……アクセス制御情報DB(Database)、2……不正アクセス定義情報DB、3……不正アクセス検知部、4……状態遷移制御部、5……アクセス制御部

DESCRIPTION OF SYMBOLS 1 ... Access control information DB (Database), 2 ... Unauthorized access definition information DB, 3 ... Unauthorized access detection part, 4 ... State transition control part, 5 ... Access control part

Claims (6)

ネットワークを含むコンピュータシステムの各資源に対してユーザから発せられるアクセス要求を制御するアクセス制御装置であって、
前記要求されたアクセスを、あらかじめ定義してある所定の不正アクセス定義情報と比較し、要求されたアクセスが不正アクセスであるか否かを判定する不正アクセス検知部と、
前記不正アクセスの検知を契機に、監査モードから保護モード、および運用モードから保護モードへの状態遷移を許可する状態遷移制御部と、
前記監査モードにおいては少なくとも外部向けの提供サービスを不許可とし、前記運用モードにおいてはセキュリティ管理者によるアクセス権を不許可とし、保護モードにおいては前記システムに変更を加え得るパーミションの全てについて不許可とするアクセス制御部と、
を備えたことを特徴とするアクセス制御装置。 An access control apparatus for controlling an access request issued from a user to each resource of a computer system including a network,
Comparing the requested access with predetermined unauthorized access definition information defined in advance, and determining whether or not the requested access is an unauthorized access;
Triggered by the detection of unauthorized access, a state transition control unit that permits state transition from the audit mode to the protection mode, and from the operation mode to the protection mode,
In the audit mode, at least the service provided to the outside is disallowed, in the operation mode, the access right by the security administrator is disallowed, and in the protection mode, all permissions that can change the system are disallowed. An access control unit,
An access control device comprising: 前記状態遷移制御部は、
前記監査モードから運用モードへの遷移を除き、前記不正アクセス検知部による不正アクセスの検知により遷移を制御することを特徴とする請求項1に記載のアクセス制御装置。 The state transition control unit
The access control apparatus according to claim 1, wherein the transition is controlled by detecting unauthorized access by the unauthorized access detection unit, except for transition from the audit mode to the operation mode. 前記不正アクセス定義情報は、前記モードのそれぞれについて、アクセスする側とされる側とアクセス手段との組から成り、記憶装置に格納されることを特徴とする請求項1または2に記載のアクセス制御装置。 The access control according to claim 1 or 2, wherein the unauthorized access definition information includes a set of an access side and an access unit for each of the modes, and is stored in a storage device. apparatus. 前記運用モードを少なくとも2つに分けて定義し、前記不正アクセス検知部による不正アクセス検知の頻度に応じて同モード間での遷移を許可することを特徴とする請求項1に記載のアクセス制御装置。 2. The access control apparatus according to claim 1, wherein the operation mode is defined by being divided into at least two, and transition between the modes is permitted according to the frequency of unauthorized access detection by the unauthorized access detection unit. . ネットワークを含むコンピュータシステムの各資源に対してユーザから発せられるアクセス要求を制御するアクセス制御装置に用いられるプログラムであって、
前記要求されたアクセスを、あらかじめ定義してある所定の不正アクセス定義情報と比較し、要求されたアクセスが不正アクセスであるか否かを判定する第1のステップと、
前記不正アクセスの検知を契機に、監査モードから保護モード、および運用モードから保護モードへの状態遷移を許可する第2のステップと、
前記監査モードにおいては少なくとも外部向けの提供サービスを不許可とし、前記運用モードにおいてはセキュリティ管理者によるアクセス権を不許可とし、保護モードにおいては前記システムに変更を加え得るパーミションの全てについて不許可とする第3のステップと、
を前記コンピュータに実行させるアクセス制御プログラム。 A program used in an access control device for controlling an access request issued from a user to each resource of a computer system including a network,
A first step of comparing the requested access with predetermined unauthorized access definition information defined in advance to determine whether the requested access is an unauthorized access;
A second step of allowing state transition from the audit mode to the protection mode and from the operation mode to the protection mode, triggered by the detection of the unauthorized access;
In the audit mode, at least the service provided to the outside is disallowed, in the operation mode, the access right by the security administrator is disallowed, and in the protection mode, all permissions that can change the system are disallowed. A third step,
Is an access control program for causing the computer to execute. 前記第2のステップは、前記運用モードを少なくとも2つに分けて定義し、前記不正アクセス検知の頻度に応じて同モード間での遷移を許可するサブステップを含むことを特徴とする請求項5に記載のアクセス制御プログラム。

6. The second step includes a sub-step in which the operation mode is defined by dividing into at least two, and transition between the modes is permitted according to the frequency of the unauthorized access detection. The access control program described in 1.

JP2003317269A 2003-09-09 2003-09-09 Access control device and program thereof Expired - Fee Related JP4444604B2 (en)

Priority Applications (1)

Application Number Priority Date Filing Date Title
JP2003317269A JP4444604B2 (en) 2003-09-09 2003-09-09 Access control device and program thereof

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
JP2003317269A JP4444604B2 (en) 2003-09-09 2003-09-09 Access control device and program thereof

Publications (2)

Publication Number Publication Date
JP2005085026A true JP2005085026A (en) 2005-03-31
JP4444604B2 JP4444604B2 (en) 2010-03-31

Family

ID=34416910

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2003317269A Expired - Fee Related JP4444604B2 (en) 2003-09-09 2003-09-09 Access control device and program thereof

Country Status (1)

Country Link
JP (1) JP4444604B2 (en)

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2007004624A (en) * 2005-06-24 2007-01-11 Felica Networks Inc Information management device, information management method and computer program
JP2008152596A (en) * 2006-12-19 2008-07-03 Fuji Xerox Co Ltd Authentication program, authentication server and single sign-on authentication system
JP2010044594A (en) * 2008-08-12 2010-02-25 Fujitsu Ltd Authentication method, program, and authentication apparatus
JP2010515175A (en) * 2006-12-29 2010-05-06 アマゾン テクノロジーズ インコーポレイテッド Fraud detection by analysis of user interaction
EP2528127A1 (en) 2005-03-23 2012-11-28 Semiconductor Energy Laboratory Co., Ltd. Light-emitting device and electronic device
JP2014115833A (en) * 2012-12-10 2014-06-26 Dna:Kk Method for inhibiting continuous unauthorized access
CN111400723A (en) * 2020-04-01 2020-07-10 中国人民解放军国防科技大学 TEE extension-based operating system kernel mandatory access control method and system

Cited By (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP2528127A1 (en) 2005-03-23 2012-11-28 Semiconductor Energy Laboratory Co., Ltd. Light-emitting device and electronic device
JP2007004624A (en) * 2005-06-24 2007-01-11 Felica Networks Inc Information management device, information management method and computer program
JP2008152596A (en) * 2006-12-19 2008-07-03 Fuji Xerox Co Ltd Authentication program, authentication server and single sign-on authentication system
JP2010515175A (en) * 2006-12-29 2010-05-06 アマゾン テクノロジーズ インコーポレイテッド Fraud detection by analysis of user interaction
JP2010044594A (en) * 2008-08-12 2010-02-25 Fujitsu Ltd Authentication method, program, and authentication apparatus
JP2014115833A (en) * 2012-12-10 2014-06-26 Dna:Kk Method for inhibiting continuous unauthorized access
CN111400723A (en) * 2020-04-01 2020-07-10 中国人民解放军国防科技大学 TEE extension-based operating system kernel mandatory access control method and system

Also Published As

Publication number Publication date
JP4444604B2 (en) 2010-03-31

Similar Documents

Publication Publication Date Title
Jaeger Operating system security
US9390262B2 (en) Method for protecting computer programs and data from hostile code
US7437766B2 (en) Method and apparatus providing deception and/or altered operation in an information system operating system
US7660797B2 (en) Scanning data in an access restricted file for malware
EP1946238B1 (en) Operating system independent data management
US7296274B2 (en) Method and apparatus providing deception and/or altered execution of logic in an information system
US8646044B2 (en) Mandatory integrity control
KR100997802B1 (en) Apparatus and method for security managing of information terminal
AU1329601A (en) System and method for providing data security
JP2006134307A (en) System and method for aggregating knowledge base of antivirus software applications
JPH06103058A (en) Data structure for program authorization information
JP3630087B2 (en) Automatic data processor
KR101967663B1 (en) A system for access control based on the role of process in the white list
JP4444604B2 (en) Access control device and program thereof
AU2005209678B2 (en) Integrated access authorization
Seong et al. Security Improvement of File System Filter Driver in Windows Embedded OS.
JP6279348B2 (en) Web relay server device and web page browsing system
KR101349807B1 (en) Security system for mobile storage and method thereof
KR20200122014A (en) Data security method based on program protection
Viega et al. The pros and cons of Unix and Windows security policies
KR102623168B1 (en) Data protection system
JP2023516517A (en) Data protection system
Gosselin et al. Confining the apache web server with security-enhanced linux
CN115270157A (en) Access control method and system
Chang et al. A Java Security Model Based on Information Flow Control

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20060310

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090203

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090403

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20090728

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20090928

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20100105

A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20100114

R150 Certificate of patent or registration of utility model

Ref document number: 4444604

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130122

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130122

Year of fee payment: 3

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20140122

Year of fee payment: 4

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees