DE3689569T2 - Verfahren zur Systemdateiensicherung und Datenverarbeitungseinheit zu dessen Durchführung. - Google Patents

Verfahren zur Systemdateiensicherung und Datenverarbeitungseinheit zu dessen Durchführung.

Info

Publication number
DE3689569T2
DE3689569T2 DE86102096T DE3689569T DE3689569T2 DE 3689569 T2 DE3689569 T2 DE 3689569T2 DE 86102096 T DE86102096 T DE 86102096T DE 3689569 T DE3689569 T DE 3689569T DE 3689569 T2 DE3689569 T2 DE 3689569T2
Authority
DE
Germany
Prior art keywords
data object
security
data
ordinary
distinguished
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
DE86102096T
Other languages
English (en)
Other versions
DE3689569D1 (de
Inventor
William E Boebert
Richard Y Kain
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Secure Computing LLC
Original Assignee
Secure Computing Technology Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Secure Computing Technology Corp filed Critical Secure Computing Technology Corp
Application granted granted Critical
Publication of DE3689569D1 publication Critical patent/DE3689569D1/de
Publication of DE3689569T2 publication Critical patent/DE3689569T2/de
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F13/00Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2113Multi-level security, e.g. mandatory access control

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Health & Medical Sciences (AREA)
  • Databases & Information Systems (AREA)
  • Mathematical Physics (AREA)
  • Storage Device Security (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Description

  • Die vorliegende Erfindung betrifft ein Verfahren zum Schützen von Systemdateien und ein Datenverarbeitungssystem zur Realisierung des Verfahrens, wie es bereits in der früheren europäischen Patentanmeldung A3-0 152 900 offenbart ist.
  • Das Datenverarbeitungssystem gemäß der EP-A3-0 152 900 besitzt bereits eine Architektur zum Schützen ausgewählter Systemdateien. Das Datenverarbeitungssystem enthält eine Sicherungs-Verarbeitungseinheit, die unabhängig vom Betrieb des Rests des Datenverarbeitungssystems arbeitet, um Systemdateiattribute und Benutzereinheitenattribute zu speichern und zu vergleichen. Der Vergleich der Attribute erfolgt nach Maßgabe einer Tabelle in der Sicherungs-Verarbeitungseinheit, welche den Sicherheitskontext enthält.
  • Abweichend von diesem früheren System ist es Ziel der vorliegenden Erfindung, jenes derart zu verbessern, daß Programme, welche im Auftrag einer Benutzereinheit ausgeführt werden, lediglich solche Zugriffsrechte ausüben können, die mit Grenzen übereinstimmen, die durch eine vorab definierte Sicherheitsstrategie vorgegeben werden. Dieses Ziel wird durch die Schritte des Verfahrens nach Anspruch 1 und durch die Merkmale des Datenverarbeitungssystems nach Anspruch 2 erreicht.
  • Die Datenverarbeitungseinheit kann ausgezeichnete Datenobjekte innerhalb von Segmenten der Systemdateien erkennen. Jedes ausgezeichnete Datenobjekt bezeichnet ein einzelnes Datenobjekt. Bevor ein Programm auf ein gegebenes Datenobjekt in einer gegebenen Art oder Weise zugreifen kann oder es manipulieren kann, muß das Programm der Vorrichtung ein ausgezeichnetes Datenobjekt verfügbar machen, dessen Wert das gegebene Datenobjekt bezeichnet. Die Vorrichtung erlaubt, daß Segmente sowohl ausgezeichnete Datenobjekte als auch gewöhnliche Objekte enthält und errichtet keine Beschränkungen dahingehend, welche Segmente ausgezeichnete Datenobjekte enthalten können, ausgenommen solche Beschränkungen, die durch Programme gegeben sind, welche die Methoden benutzen, die durch ausgezeichnete Datenobjekte gegeben sind. Die Vorrichtung ermöglicht die Anzeige von markierten Datenobjekten lediglich in einer solchen Weise, die mit der Sicherheitsstufe des Datenobjekts und der Beschaffenheit der Anzeigevorrichtung, auf der das Datenobjekt angezeigt wird, konsistent ist. Die Vorrichtung schützt ausgezeichnete Datenobjekte vor einer Beeinträchtigung oder Überprüfung dadurch, daß die Operationen beschränkt werden, die auf diese Objekte einwirken können. Die Vorrichtung macht Gebrauch von der folgenden Methode zur Gewährleistung, daß eine Programmausführung im Auftrag einer gegebenen Benutzereinheit ausgezeichnete Datenobjekte nicht dazu benutzen kann, um direkt oder indirekt Zugriff auf gewöhnliche Datenobjekte zu nehmen oder sie in einer Art oder Weise zu manipulieren, die durch die bereits existierende Sicherheitsstrategie nicht autorisiert ist: die Vorrichtung ordnet jedem Datenobjekt eine spezifische Instanz von Sicherheitsattributen zu. Eine derartige spezifische Instanz soll hier als Sicherheitsstufe des Datenobjekts bezeichnet werden. Die Vorrichtung hält zu jeder Zeit die Sicherheitsattribute aufrecht, die zu der Benutzereinheit gehören, in deren Auftrag das Datenverarbeitungssystem derzeit gerade ein Programm ausführt. Eine Instanz solcher Sicherheitsattribute, die zu der Zeit wirksam ist, zu der ein Zugriff oder eine Manipulation seitens eines Programms erfolgen soll, soll hier als der laufende Sicherheitskontext des Programms bezeichnet werden. Zugriffsrechte auf geschützte Systemdateien oder Daten werden zu allen Zeiten innerhalb eines Sicherheitsprozessors gehalten, der die in ihm vorhandenen Daten nur durch eine Weisungseinheit des Datenverarbeitungssystems geändert bekommt. Die Vorrichtung erlaubt einem Programm den Zugriff, die Manipulation, die Anzeige oder die Markierung des Datenobjekts, welches von einem ausgezeichneten Datenobjekt bezeichnet wird, in der durch die bereits existierende Sicherungsstrategie definierten Art und Weise lediglich für diese spezielle Kombination von Programm-Sicherungskontext und Datenobjekt-Sicherheitsstufe. Als Ergebnis kann kein Programm, welches jemals im Auftrag einer gegebenen Benutzereinheit ausgeführt wird, in einer Art oder Weise, die nicht von der bereits existierenden Sicherheitsstrategie autorisiert ist, direkt oder indirekt Zugriff nehmen auf in einem Datenobjekt enthaltene Information oder diese Information manipulieren, anzeigen oder markieren.
  • Ausgezeichnete Datenobjekte können in Segmenten enthalten sein, die von Prozessoren gemeinsam benutzt werden, entweder über sichere Übertragungsverbindungen oder in verschlüsselter Form, um dadurch eine Gleichförmigkeit der Steuerung des Zugriffs durch Benutzereinheiten für sämtliche Datenverarbeitungseinheiten in einem verteilten System zu schaffen.
  • Diese und weitere Merkmale der Erfindung verstehen sich besser beim Lesen der nachfolgenden Beschreibung in Verbindung mit den Zeichnungen. Es zeigen:
  • Fig. 1 ein Diagramm, welches darstellt, wie Beschränkungen des Informationsflusses durch eine Sicherheitsstrategie vorgegeben werden können, welche Benutzereinheiten und Datenobjekten Sicherheitsattribute zuordnet und die Art und Weise des Zugriffs und der Manipulation durch Beziehungen zwischen den Attributen steuert;
  • Fig. 1A ein Diagramm, welches veranschaulicht, wie Restriktionen beim Zugriff auf Information durch eine zusätzliche Sicherheitsstrategie vorgeschrieben werden können, welche die Art und Weise festlegt, in der spezifische Untersysteme auf in spezifischen Formaten gespeicherte Information zugreifen können;
  • Fig. 2 ein vereinfachtes Blockdiagramm eines typischen Datenverarbeitungssystems;
  • Fig. 3 ein Blockdiagramm eines Datenverarbeitungssystems, welches die Vorrichtung zur Realisierung der vorliegenden Erfindung veranschaulicht;
  • Fig. 4 ein Diagramm der Felder eines ausgezeichneten Datenobjekts;
  • Fig. 5 ein Diagramm, welches zeigt, wie ausgezeichnete Datenobjekte überlappende oder verschachtelte gewöhnliche Datenobjekte bezeichnen können;
  • Fig. 6 ein Diagramm, welches veranschaulicht, wie Datenobjekte derart adressiert werden, daß Zugriffsrechte benötigt werden;
  • Fig. 7 ein Diagramm, welches zeigt, wie ein Programm ein Datenobjekt einem Satz von Datenobjekten hinzufügt, welche es bearbeitete, und zwar derart, daß die bereits existierende Sicherheitsstrategie aufrechterhalten wird; und
  • Fig. 8 ein Diagramm, welches darstellt, wie Zugriffsrechte durch eine Sicherheitsstrategieeinheit berechnet werden.
  • In sämtlichen Diagrammen können einzelne Elementziffern sich auf Elemente in verschiedenen Zeichnungen beziehen.
  • In Fig. 1 ist die Art und Weise dargestellt, in der der Informationsfluß zwischen Benutzereinheiten gesteuert werden kann durch die Stufenabschnitte der Sicherheitsattribute, die den Benutzereinheiten und den Datenobjekten zugeordnet sind, welche von den Einheiten manipuliert werden oder auf die durch die Einheiten zugegriffen wird. Die Stufenabschnitte der Sicherheitsattribute in diesem Beispiel sind teilweise geordnet: A(2) ist so definiert, daß es größer ist als A(1), was größer als A(0) definiert ist, B(2) ist größer als B(1) definiert, welches größer als B(0) definiert ist, A(2) ist größer definiert als B(0), und jedes Attribut ist zu sich selbst gleich definiert, und es existieren keine weiteren Relationen zwischen den Stufenabschnitten der Attribute. Die vorab definierte Sicherheitsstrategie besteht darin, daß eine Benutzereinheit Information von einem Datenobjekt lesen (holen) kann, wenn und nur wenn der laufende Wert im Stufenabschnitt des Sicherheitsattributs der Benutzereinheit größer ist als der oder gleich ist dem Stufenabschnitt des Sicherheitsattributs des Datenobjekts, und eine Benutzereinheit kann Information in ein Datenobjekt einschreiben (eintragen), wenn und nur wenn der Stufenabschnitt des Sicherheitsattributs des Datenobjekts größer oder gleich dem Stufenabschnitt des Sicherheitsattributs ist, welches derzeit der Benutzereinheit zugeordnet ist. Wie in dem Programm angegeben ist, und in Bezug auf Benutzereinheiten, die mittels Datenobjekten kommunizieren, die in Systemdateien in der Speichereinheit von Rechnern enthalten sind, steht Speicherplatz für jede Datenverarbeitungs- Benutzereinheit zur Verfügung. Jede beliebige Benutzereinheit kann auf jedes beliebige Datenobjekt zugreifen und es manipulieren, zu welchem eine Verbindungslinie innerhalb des Diagramms existiert, und zwar in der Art und Weise, die durch die Markierung an der betreffenden Linie angegeben ist. Die Linien definieren also sämtliche möglichen gerichteten Pfade, entlang denen Information von Benutzereinheit zu Benutzereinheit fließen kann, wenn die Beispiel-Sicherheitsattribute gegeben sind. Damit ist eine Einwegverbindung möglich von A(0) und A(1) nach A(2), von B(0) und B(1) nach B(2) und von B(0) nach A(2), in vielen Fällen über eine Vielfalt von Datenobjekten. In dieser Weise können beliebige Informationsflüsse zwischen Benutzereinheiten der Art gesteuert werden, die nicht beschränkt ist auf starre Relationen zwischen diesen Benutzereinheiten, beispielsweise auf eine strikte hierarchische Ordnung. Beispielsweise könnte in einer modernen Firma der Satz B(n) von Datenobjekten Finanzdaten mit zunehmender Sensitivität enthalten, und der Satz A(n) von Datenobjekten könnte Produktionsdaten mit zunehmender Sensitivität enthalten. In ähnlicher Weise könnte der Satz B(n) von Benutzereinheiten Angehörige der Finanzbuchhaltung mit zunehmendem Rang und Privileg enthalten, während der Satz A(n) ähnliche Angehörige des Produktionspersonals enthält. Die Informationsflußsteuerungen in dem Beispieldiagramm zeigen den Fall, daß Information innerhalb jeder Belegschaft nur nach oben fließt, wobei das ranghöchste Mitglied der Produktionsbelegschaft in der Lage ist, Finanzdaten geringer Sensitivität wie z. B. einzelne Rechnungen, zu überprüfen, jedoch nicht zu ändern, während keine weiteren Mitglieder des Produktionspersonals irgendwelchen Zugriff zu irgendwelchen Finanzdaten haben und keinerlei Mitglieder der Finanzabteilung, egal, wie hoch der Rang auch ist, die Möglichkeit haben, Produktionsinformationen zu lesen. Es ist klar, daß die Informationsflußbeschränkungen lediglich dadurch geschaffen werden, daß Operationen auf der Grundlage eines Vergleichs der laufenden Sicherheitsattribute einer Benutzereinheit mit jenen eines Datenobjekts zugelassen oder verhindert werden. Wenn also eine Benutzereinheit ein Sicherheitsattribut A(0) zu der Zeit aufweist, zu der ein Zugriff auf ein Datenobjekt mit dem Sicherheitsattribut B(n) versucht wird, so wirft ein Vergleich der Attribute als Ergebnis eine Nicht-Vereinbarkeit ab. Außerdem ist klar, daß, während Fig. 1 Datenobjekte als diskrete Einheiten darstellt, die Datenobjekte im allgemeinen sich irgendwo in körperlichen Medien befinden können.
  • Fig. 1A zeigt nun die Art und Weise, in der Zugriff auf Information eines spezifischen Formats auf Untersysteme begrenzt werden kann, die spezifische Tasks ausführen. In diesem Beispiel sind F1, F2 und F3 Sätze von Datenobjekten, wobei jeder Satz ein spezifisches internes Format besitzt; S1 und S2 sind Untersysteme, bestehend aus Hardware und Software, die im Verein arbeiten, um eine spezifische Task abzuarbeiten. Wie in dem Diagramm dargestellt ist, stehen Daten im Format F1 grundsätzlich zahlreichen Untersystemen einschließlich S1 und S6 zur Verfügung. Daten im Format F2 können lediglich durch das Untersystem S1 manipuliert werden und Daten im Format F3 können nur benutzt werden zur Kommunikation zwischen Untersystem S1 und Untersystem S2.
  • Somit kann Format S1 das allgemein verwendete Format für Daten innerhalb der Maschine sein, z. B. codierte Zeichenketten. Format F2 kann das Format für Information sein, die unverfalschbar sein müssen, beispielsweise die Zeichenketten (z. B. TOP SECRET, PROPRIETARY, etc.), die dazu benutzt werden, Rechner-Output zu markieren, wenn dieser zur Anzeige gelangt oder in vom Menschen lesbarer Form erzeugt wird, und Tabellen, die definieren, welche Information in welcher Weise markiert werden muß. Format F3 kann übliche Information sein, die in geeigneter Weise markiert und für die Anzeige formatiert ist.
  • Das Untersystem S2 wäre dann ein Untersystem, dessen Task darin bestünde, die richtige Markierung zu bestimmen und sie an der richtigen Stelle in die Daten als Teil der Aufgabe des Formatierens der Daten für die Ausgabe einzufügen. Das Untersystem S2 wäre ein Untersystem mit der Task, die Daten auf einer geeigneten Anzeigevorrichtung anzuzeigen.
  • Es ist klar, daß die in dem Beispiel dargestellten Zugriffbeschränkungen arglistige Programme daran hindern, die Absicht einer vorab festgelegten Sicherheitsstrategie dadurch zu unterlaufen, daß die Markierungen der Information geändert werden, wenn die Information dargestellt wird, beispielsweise durch Ändern von "PROPRIETARY" in "RELEASED FOR PUBLIC DISTRIBUTION". Bezüglich der Untersysteme S1 und S2 wird gezeigt, daß sie durch einen Prozeß der stringenten Untersuchung und Prüfung frei von schädlichem Eingriff sind. Jedem, der sich auf dem Gebiet des Entwurfs von Rechnersystemen gut auskennt, ist klar, daß ein derartiger Nachweis eines begrenzten Besitzes wesentlich einfacher ist als der allgemeine Nachweis, daß ein Untersystem in keiner Weise die Sicherheitsstrategie verletzt. Die Untersysteme S1 und S2 verarbeiten spezielle Privilegien nur bis zu dem Maß, zu dem sie Zugriff auf Information mit Formaten F1 und F2 haben. Jeglicher von ihnen durchgeführte Zugriff wird außerdem eingeschränkt durch die Sicherheitsstufen der Information, die sich in den jeweiligen Formaten befindet, wie in Fig. 1 gezeigt ist. Ein arglistiges Programm, welches nicht Teil des Untersystems S1 ist, ist nicht in der Lage, auf Information des Formats F2 zuzugreifen und wird deshalb daran gehindert, die Definition, welche Information in welcher Weise zu markieren ist, oder die Beschaffenheit der Markierungen zu ändern. Ein arglistiges Programm, welches nicht Bestandteil des Untersystems S1 ist, wird nicht in der Lage sein, Information des Formats F3 zu erzeugen oder zu modifizieren, und wird deshalb daran gehindert, die Anzeige von unrichtig markierten Daten zu veranlassen.
  • Es ist außerdem klar, daß dieses Verfahren des Beschränkens des Zugriffs auf der Grundlage vorab definierter Relationen zwischen Datenformat und Untersystem dazu verwendet werden kann, die Unverfälschlichkeit der Information auch unter solchen Umständen aufrechtzuerhalten, die von den dem Beispiel zugrundeliegenden Umständen abweicht.
  • Gemäß Fig. 2 besteht ein Datenverarbeitungssystem aus einem Terminal 20, einem Prozessor 21 und einem Speicher 22. Eine Benutzereinheit, bei der die Ausführung eines Programms in ihrem Auftrag durch den Prozessor 21 erwünscht ist, muß als erstes sich selbst mit Hilfe einer aufwendigen Login-Prozedur identifizieren, wobei z. B. ein Passwort verwendet wird. Ein weiteres Beispiel ist die Verwendung des Terminals, wobei die Identität des Terminals automatisch die Benutzereinheit identifiziert und die Sicherheitsattribute der Benutzereinheit definiert. Ist erst einmal die Benutzereinheit (oder das Terminal) mit dem Prozessor 21 gekoppelt, so kann der Prozessor Programme im Auftrag der Benutzereinheit ausführen, wobei diese Programme auf Information innerhalb des Speichers 22 in einer Vielfalt von Betriebsweisen und Arten zugreifen und die Information manipulieren können.
  • In Fig. 3 nun ist ein schematischen Diagramm der Hauptbestandteil zur Ausführung der vorliegenden Erfindung dargestellt. Der Prozessor 21 nach Fig. 2 setzt sich zusammen aus einer Benutzereinheiten- Identifikationseinrichtung 31, einer Verarbeitungseinheit für gewöhnliche Datenobjekte, 32, und einem Sicherungsprozessor 33. Die Benutzereinheiten-Identifikationseinrichtung 31 beinhaltet ein Register 331 für Sicherheitskontext dadurch, daß die derzeit zu der Benutzereinheit, die gemäß Fig. 2 über ein Terminal 20 angeschlossen ist, gehörigen Sicherheitsattribute überwacht werden und das Untersysteme überwacht wird, welches derzeit von der Verarbeitungseinheit 32 für übliche Daten ausgeführt wird. Der Sicherungsprozessor 33 setzt sich zusammen aus dem Register 331 für laufenden Sicherheitskontext, einer Sicherheitsstrategieeinheit 332, welche die Sicherheitsstrategie speichert und die zulässigen Zugriffsarten für eine ein übliches Datenobjekt bearbeitende Benutzereinheit berechnet, eine Datenobjektkennwerttabelle 333, welche die Adresse und andere Merkmale jeglichen Datenobjekts, welches durch ein ausgezeichnetes Datenobjekt bezeichnet wird, führt. Der Sicherungsprozessor 33 enthält außerdem eine Programmarbeitsgebietstabelle 334, welche die Information enthält, die für ein Programm notwendig ist, um solche gewöhnlichen Datenobjekte zu adressieren, mit denen es derzeit arbeitet, und eine Verarbeitungseinheit 335 für ausgezeichnete Datenobjekte, welche den eingeschränkten Satz von Operationen bezüglich ausgezeichneter Datenobjekte ausführt. Der Sicherungsprozessor 33 enthält außerdem eine Speicheradresseneinrichtung 336, die Information aus dem Speicher 22 nach Fig. 2 holt und Information in ihn einspeichert, und die eine Kenncode- Erkennungseinrichtung 336a enthält, die gewährleistet, daß die Verarbeitungseinheit 32 für gewöhnliche Daten ausschließlich gewöhnliche Datenobjekte verarbeitet. Die letzte Komponente des Sicherungsprozessors 33 ist eine Verschlüsselungseinrichtung 337, die vorhanden sein kann, um die gesicherte Übertragung von ausgezeichnete Datenobjekte enthaltenden Segmenten zu gewährleisten.
  • Auf den Sicherungsprozessor 33 kann nur von einer Weisungseinheit des Datenverarbeitungssystem (z. B. einem Sicherheitsbeauftragten) zugegriffen werden, und nur von ihr können die Daten in dem Prozessor manipuliert werden.
  • Fig. 3 zeigt den Sicherungsprozessor 33 als eine diskrete Einheit. Allerdings könnten die Funktionen des Sicherungsprozessors 33 über die Hardware und die Software des Datenverarbeitungssystems verteilt sein (z. B. könnten sie in einem Mehrzweck-Verarbeitungssystem durch in verschiedenen Betriebsweisen arbeitende Software realisiert sein).
  • In Fig. 4 ist ein ausgezeichnetes Datenobjekt zusammen mit demjenigen gewöhnlichen Datenobjekt dargestellt, welches es bezeichnet. Das ausgezeichnete Datenobjekt 40 setzt sich zusammen aus einer Datenobjekt-Identifikationszahl 401, die eindeutig das gewöhnliche Datenobjekt 41 identifiziert, einem Feld 403 für Vermischtes, welches möglicherweise benutzt wird zur Aufnahme von Information wie Fehlerprüf- und Korrekturcodes, eine laufende Adresse 405, welche den Anfang des gewöhnlichen Datenobjekts 41 innerhalb des Speichers 22 in Fig. 2 angibt, eine Länge 406, die die Erstreckung des gewöhnlichen Datenobjekts 41 innerhalb des Speichers 22 nach Fig. 2 definiert und damit das Ende des Objekts festlegt, eine Sicherheitsstufe 407, die die Sicherheitsstufe der Information in dem gewöhnlichen Datenobjekt 41 definiert, ein Format 409, welches das Format der Information in dem gewöhnlichen Datenobjekt 41 definiert, und ein Feld für weitere Kennwerte, 408, welches weitere Kennwerte des gewöhnlichen Datenobjekts 41 enthält, beispielsweise die Art und Weise, in der die in ihm befindliche Information codiert ist. In der bevorzugten Ausführungsform belegen die Felder 401 und 403 aneinander grenzende Speicherstellen innerhalb des Speichers 22 nach Fig. 2 und besitzen Kenncodes, die solche Speicherstellen enthaltenden physischen Speichermedien zugeordnet sind, und die Felder 405, 406 und 407 sind innerhalb der Datenobjekt-Kennwerttabelle 333 nach Fig. 3 enthalten und werden mit Hilfe der Datenobjekt-Identifikationszahl 401 lokalisiert. Diese Organisation ermöglicht den effizientesten Speichereinsatz und steigert die Leistungsfähigkeit des Sicherungsprozessors. Andere Organisationsformen können funktionell gleichwertig sein, vorausgesetzt, daß eine solche Organisationsform die Möglichkeit bieten, daß die Felder 403, 405, 406, 407, 408 und 409 dem Sicherungsprozessor bei einem gegebenen Wert des Feldes 401 zugänglich sind und eine Identifizierung schafft zum Unterscheiden des das Feld 401 enthaltenden Objekts sowie zum Schützen des Objekts gegen einen nicht autorisierten Zugriff oder eine Manipulation.
  • In Fig. 5 ist die Art und Weise dargestellt, in der verschachtelte und sich überlappende gewöhnliche Datenobjekte durch ausgezeichnete Datenobjekte bezeichnet werden können. Drei ausgezeichnete Datenobjekte 40 nach Fig. 4 sind in dem Speicher 22 nach Fig. 2 dargestellt. Jedes besitzt einen verschiedenen Datenobjekt- Identifizierwert 401 gemäß Fig. 4, und deshalb bezeichnen sie jeweils verschiedene gewöhnliche Datenobjekte 50, 51 und 51. Das Diagramm zeigt, wie die Felder 405 und 406 nach Fig. 4 Werte derart annehmen können, daß das gewöhnliche Datenobjekt 51 innerhalb des gewöhnlichen Datenobjekts 50 verschachtelt ist und das gewöhnliche Datenobjekt 52 sich mit dem gewöhnlichen Datenobjekt 50 überlappt. Es ist ebenfalls möglich, daß die Werte in den Feldern 405 und 406 derartige Werte annehmen, daß sämtliche drei ausgezeichneten Datenobjekte das gleiche gewöhnliche Datenobjekt bezeichnen.
  • Fig. 6 zeigt die Art und Weise, in der Adressen berechnet und Zugriffsrechte geprüft werden. Ein Befehl 60 setzt sich zusammen aus einem Operationscode 601, welcher die Operation definiert, die ein Programm bezüglich des Feldes 611 eines gewöhnlichen Datenobjekts 61 innerhalb des Speichers 22 nach Fig. 2 ausführt, und eine Adresse 602, bei der es sich um die Stelle des Feldes 611 handelt, ausgedrückt relativ zu dem Satz von Datenobjekten, mit dem das Programm derzeit arbeitet. Die Adresse 602 wird so interpretiert, als enthalte sie Felder 602a und 602b. Das Feld 602a wird als Index für die Programmarbeitsbereichtabelle 334 nach Fig. 3 interpretiert, welcher Index den Programmarbeitsbereichs-Eintrag 62 lokalisiert, welcher aus einem Datenobjekt- Identifizierfeld 621, einem Zugriffsrechtsfeld 622, einem Feld 623 für die laufende Adresse und einem Längenfeld 624. Das Feld 602b wird als Versetzung innerhalb des gewöhnlichen Datenobjekts 61 interpretiert. Der Befehl 60 wird zu der Speicheradresseneinrichtung 336 in Fig. 3 übertragen.
  • Die Speicheradresseneinrichtung 336 extrahiert das Feld 602a und benutzt es zum Orten des Programmarbeitsbereichs-Eintrags 62. Die Speicheradresseneinrichtung 336 vergleicht das Zugriffsrecht 622 mit dem Operationscode 601 und verifiziert, daß Art und Weise des Zugriffs und der Manipulation, wie sie durch den Operationscode 601 angefordert werden, durch das Zugriffsrecht 622 abgedeckt sind. Bei Nichtübereinstimmung ruft die Speicheradresseneinrichtung 336 ein geeignetes Verwaltungsprogramm auf, beispielsweise mit Hilfe eines Interrupts. Wenn der Operationscode 601 und das Zugriffsrecht 602 zueinander passen, vergleicht dann die Speicheradresseneinrichtung 336 das Versetzungsfeld 602 mit dem Längenfeld 624, um zu verifizieren, daß das Feld 611 tatsächlich innerhalb des gewöhnlichen Datenobjekts 61 liegt. Falls dies nicht der Fall ist, ruft die Speicheradresseneinrichtung 336 ein geeignetes Verwaltungsprogramm auf, beispielsweise mit Hilfe eines Interrupts. Falls Übereinstimmung vorliegt, addiert die Speicheradresseneinrichtung 336 das Feld 602b zu dem Feld 623, um die Adresse des Felds 611 zu erhalten, und falls ein Lesen erwünscht ist, sendet sie das Feld 611 zu der Verarbeitungseinheit 32 für gewöhnliche Datenobjekte gemäß Fig. 3 oder zu der Verarbeitungseinheit 335 für TEXT FEHLT 62 in der dargestellten Weise, in dem er das Feld 401 zum Feld 621, das Feld 405 zum Feld 623 und das Feld 406 zum Feld 623 bewegt.
  • Dem Fachmann auf dem Gebiet des Entwurfs von Rechnersystemen ist klar, daß die in Fig. 6 und die in Fig. 7 dargestellten Operationen im Verein miteinander gewährleisten, daß jede Operation der Maschine in Einklang steht mit der vorab festgelegten Sicherheitsstrategie. Die Operation 601 in Fig. 6 trifft unvermeidlich auf das Zugriffsrechtsfeld 602, wenn sie versucht, eine Adresse zu erzeugen, die benötigt wird, um das Feld 611 aufzufinden und so auf die Werte in ihm Zugriff zu erlangen oder die Werte zu manipulieren. Das Zugriffsrecht 602 kann ausschließlich durch den Sicherungsprozessor 33 in Fig. 3 eingestellt werden. Beim Einstellen dieser Rechte trifft der Sicherungsprozessor 333 unvermeidlich auf die Sicherheitsstrategieeinheit 332, welche Rechte auf der Grundlage der durch die externe Strategie definierten Beziehungen zwischen dem laufenden Sicherheitskontext im Register 331 und der Sicherheitsstufe und dem Format der Inhalte des Feldes 611, die in der Datenkennwerttabelle 333 enthalten sind, auswählt. Damit gibt es keinen Weg für den Zugriff oder die Manipulation der Information im Feld 611, ausgenommen der Mechanismus entsprechend der externen Strategie.
  • In Fig. 8 ist der Betrieb der Sicherheitsstrategieeinheit 332 dargestellt. Der laufende Sicherheitskontext 331 wird in seine Bestandteile, nämlich das Benutzereinheiten-Attribut 3311 und das Subsystem 3312 zerlegt. Das Benutzereinheiten-Attribut 3311 und die Sicherheitsstufe 407 werden zu dem Attributvergleicher 3321 gesendet, welcher ein vorläufiges Zugriffsrecht 3323 berechnet. Die Berechnung des vorläufigen Zugriffsrechts 3323 kann durch eine Anzahl von Einrichtungen vorgenommen werden, die in korrekter Weise die Absicht der vorab festgelegten Strategie widerspiegeln, darunter - ohne Beschränkung - vergleiche von codierten Werten von Benutzereinheiten-Vertrauenswürdigkeit und Datensensitivität, und/oder Übereinstimmung von Benutzernamen mit Listeneinträgen autorisierter Benutzer. Das vorläufige Zugriffsrecht 3323 wird dann von einem Untersystem/Format-Vergleicher 3322 auf Gültigkeit geprüft, indem dieser das laufende Untersystem 3312 und das Datenobjektformat 409 mit einer Tabelle oder einer anderen Darstellung erlaubten Zugriffs durch spezielle Untersysteme auf datenspezifische Formate abgleicht. Der Untersystem-/Format-Vergleicher 3322 löscht dann aus dem vorläufigen Zugriffsrecht 3323 jegliche Betriebsweise oder Art des Zugriffs, der aufgrund des vorerwähnten Vergleichs nicht zugelassen wird, und er erzeugt das Ergebnis als Zugriffsrecht 622. Einen äquivalenten Betrieb der Sicherheitsstrategieeinheit 332 kann man dadurch erhalten, daß man die Operationen des Untersystem-/Format-Vergleichers 3323 und des Attributvergleichers 3321 in einer anderen Reihenfolge durchführt, vorausgesetzt, daß das Zugriffsrecht 622 keinerlei Art und Weise des Zugriffs beinhaltet, die entweder durch den Attributvergleich oder den Untersystem-/Format-Vergleich verneint worden ist, wenn nicht von vornherein durch eine geeignete Autorität eine Autorisation gegeben ist (z. B. ein vorab festgelegtes Programm, welches im Stande ist, das Zugriffsrechtssignal aufzuheben).
  • Das Zugriffsrecht 622 wird nur ansprechend auf Versuche erzeugt, ein Datenobjekt 61 zu dem Programmarbeitsbereichs-Eintrag 62 hinzuzufügen. Darum muß das Zugriffsrecht 622 nicht anders als vorübergehend gespeichert und wir auch nicht anders gespeichert, während das Objekt 61 in der Arbeitsbereichstabelle 334 enthalten ist. Man beachte, daß das Zugriffsrecht 622 den Sicherungsprozessor 33 nicht verlassen kann. Diese Beschränkung wird bewirkt durch die Struktur der Speicheradresseneinrichtung 336, in der Zugriffsrechtssignale dazu benutzt werden, den Datenstrom zwischen dem Speicher 22 und der Verarbeitungseinheit 32 für gewöhnliche Datenobjekte zu steuern, ohne die Zugriffsrechts-Information in Form von Daten zu senden. Diese Struktur ist ähnlich der Struktur des Zugriffssteuerabschnitts in einer derzeitigen Speicherverwaltungseinheit.
  • Die Speicherung von Zugriffsrechtssignalen nur dann, während das entsprechende Objekt in der Arbeitsbereichstabelle 334 enthalten ist, vereinfacht das Problem, den einmal gewährten Zugriff zu widerrufen. Würden Zugriffsrechte von dem Benutzer in einem Speicherobjekt beibehalten, so könnten Zugriffsrechtssignale dazu benutzt werden, zu einem späteren Zeitpunkt Zugriff zu dem Objekt 61 zu gelangen, obschon der Benutzer möglicherweise während der gesamten Zeit keine Arbeitsbereichstabelle behalten hat, da die Zugriffsrechtssignale erhalten wurden.
  • Die vorliegende Erfindung widerruft tatsächlich automatisch jegliche ausstehenden Zugriffsrechte, nachdem die Arbeitsbereichstabelle zerstört ist, was möglicherweise dann stattfindet, wenn ein Benutzer die Sitzung mit dem Prozessor beendet, oder wenn eine neue Arbeitsbereichstabelle initialisiert wird, was möglicherweise dann stattfindet, wenn ein Benutzer eine Sitzung mit dem Prozessor einleitet. Die Tatsache, daß das Zugriffsrecht 622 den Sicherungsprozessor 33 nicht verlassen kann, hindert die Benutzer daran, die Widerrufsregeln dadurch zu umgehen, daß in geschützten Systemdateien veraltete Zugriffsrechte gespeichert werden.
    • Arbeitsweise der bevorzugten Ausführungsform
  • In der bevorzugten Ausführungsform werden ausgezeichnete Datenobjekte von gewöhnlichen Datenobjekten dadurch ausgezeichnet, daß sie Kenncodes besitzen, die zu den physikalischen Speichermedien gehören, in denen die ausgezeichneten Datenobjekte zu jedem gegebenen Zeitpunkt gespeichert sind. Auf ausgezeichnete Datenobjekte kann ausschließlich durch eine spezifische Einrichtung eingewirkt werden. Ausgezeichneten Datenobjekte können als Felder innerhalb ordentlicher Datenobjekte enthalten sein, in welchem Fall sie sich für die die gewöhnlichen Datenobjekte verarbeitende Einrichtung als verbotene Felder darbieten.
  • Die Einrichtung, welche ausgezeichnete Datenobjekte erkennt und auf sie einwirkt, ist in dem Datenverarbeitungssystem als separate Sicherungsverarbeitungseinheit mit Speicher enthalten, der ausschließlich der Steuerung der Sicherungsverarbeitungseinheit unterliegt. Vor einem Zugriff oder einer Manipulation eines gewöhnlichen Datenobjekts muß ein im Auftrag einer Benutzereinheit ausgeführtes Programm ein ausgezeichnetes Datenobjekt zu der Sicherungsverarbeitungseinheit übertragen, woraufhin die Sicherungsverarbeitungseinheit den laufenden Sicherheitskontext des Programms, die Sicherheitsstufe des von diesem ausgezeichneten Datenobjekt bezeichneten gewöhnlichen Datenobjekts und das Format des gewöhnlichen Datenobjekts aus dem Speicher der Sicherungsverarbeitungseinheit extrahiert. Dann stellt die Sicherungsverarbeitungseinheit fest, welche Zugriffsrechte mit der vorgegebenen Sicherheitsstrategie und den vorbestimmten Zugriffsbeziehungen zwischen Untersystemen und Formaten übereinstimmen. Die Sicherungsverarbeitungseinheit gestattet dem Programm den Zugriff auf oder die Manipulation von dem gewöhnlichen Datenobjekt, welches durch das ausgezeichnete Datenobjekt bezeichnete Datenobjekt bezeichnet wird, lediglich für solche Betriebsarten und Weisen, welche mit der vorbestimmten Strategie und den vorbestimmten Zugriffsrelationen konsistent sind.
  • Ausgezeichnete Datenobjekte können unter zwei Umständen erzeugt werden. Unter dem ersten Umstand sendet ein Programm an die Sicherungsverarbeitungseinheit eine Anforderung, wonach ein neues gewöhnliches Datenobjekt zu erzeugen ist. Die Anforderung muß die Kennwerte des zu erzeugenden gewöhnlichen Datenobjekts enthalten, beispielsweise dessen Größe, die Art, in der die Information in ihm codiert ist, und wo es innerhalb der Systemdateien abgelegt werden soll. Die Anforderung muß außerdem die Sicherheitsattribute und das Format des zu erzeugenden gewöhnlichen Datenobjekts enthalten. Die Sicherungsverarbeitungseinheit plaziert in ihrem Speicher die Kennwerte des gewöhnlichen Datenobjekts, ordnet Raum in einem geeigneten physischen Speichermedium zu und erzeugt ein neues ausgezeichnetes Datenobjekt, welches das neue gewöhnliche Datenobjekt bezeichnet. Die Sicherungsverarbeitungseinheit überträgt dann das neue ausgezeichnete Datenobjekt an das auffordernde Programm. Unter dem zweiten Umstand sendet ein Programm eine Anforderung an die Sicherungsverarbeitungseinheit, wonach ein ausgezeichnetes Datenobjekt kopiert wird. Die Anforderung muß ein als Original zu verwendendes ausgezeichnetes Datenobjekt enthalten. Die Sicherungsverarbeitungseinheit gibt das neue ausgezeichnete Datenobjekt an das auffordernde Programm zurück.
  • Die bevorzugte Ausführungsform erreicht Sicherheit durch sechs miteinander im Verein eingesetzte Methoden. Als erstes sammelt sie sämtliche Information zu identifizierbaren Datenobjekten. Als zweites fordert sie an, daß für jede Operation betreffend ein Datenobjekt der Benutzerprozeß ein ausgezeichnetes Datenobjekt benutzt, welches das Datenobjekt bezeichnet. Als drittes ist sie zu jeder Zeit über die Sicherheitsattribute der Benutzereinheit unterrichtet, in deren Auftrag die Operation durchgeführt werden, einschließlich die Identität des in Benutzung befindlichen Untersystems. Als viertes steuert sie die Art und Weise, in der die ausgezeichneten Datenobjekte zum Zugreifen auf Datenobjekte eingesetzt werden können, in dem jedem Datenobjekt ein Satz von Sicherheitsattributen und ein Format zugewiesen wird. Als fünftes wählt sie die Arten und Weisen des Zugriffs zu der Zeit aus, zu der ausgezeichnete Datenobjekte durch eine Operation benutzt werden, derart, daß die Operation nur in solchen Arten und Weisen auf Datenobjekte zugreifen und diese manipulieren kann, welche durch eine vorab festgelegte Sicherheitsstrategie autorisiert sind. Als sechstes sammelt sie sämtliche Programme zu Untersystemen und beschränkt die Art und Weise des Zugriffs durch Programme auf gewöhnliche Datenobjekte, indem eine vorab festgelegte Relation festgehalten wird, die zulässigen Zugriff durch Programme in einem Untersystem auf Datenobjekte zuläßt, und zwar basierend auf dem Format der Datenobjekte.
  • Die Operation gemäß der ersten Methode ergibt sich deutlich unter Bezugnahme auf Fig. 6. In dem Speicher 22 nach Fig. 2 gespeicherte Information kann für eine Operation 601 ausschließlich über eine lokale Adresse 602 verfügbar gemacht werden. Die Adresse 602 wählt durch ihre spezielle Beschaffenheit ein Feld 611 in einer Ansammlung von Feldern aus, wobei diese Ansammlung ein Datenobjekt 61 ist. Damit muß sämtliche Information, auf die durch eine Operation zugreifbar ist, Teil eines Datenobjekts sein.
  • Der Arbeitsablauf der zweiten Methode ergibt sich unter Bezugnahme auf die Fig. 6 und 7. Ein Programm macht einen Zugriff auf Information in einem Feld oder manipuliert die Information mit Hilfe eines Befehls 60 nach Fig. 6, dessen lokale Adresse 602 das Feld 611 auswählt. Um die für die Auswahl des Feldes 611 benötigte Berechnung durchzuführen, muß der Programmarbeitsbereichs-Eintrag 62 geholt werden. Der Programmarbeitsbereichs-Eintrag 62 ist in Fig. 7 dargestellt und muß von Feldern des ausgezeichneten Datenobjekts 40 abgeleitet werden, dessen Datenobjekt-Identifikationszahl 401 das Datenobjekt 61 bezeichnet. Damit geht mit dem Vorgang der Adressierung eines Feldes unvermeidbar die Darstellung eines ausgezeichneten Datenobjekts vor dem Versuch der Adressierung einher.
  • Die Operation nach der dritten Methode erfolgt durch jegliche geeignete Organisation der Benutzereinheiten-Identifikationseinrichtung 31 nach Fig. 3 und deren Kommunikation mit dem Register 331 für laufenden Sicherheitskontext. Die Einrichtung 31 kann in Verbindung mit dem Terminal 20 nach Fig. 2 irgendeines von verschiedenen Mitteln aufweisen, beispielsweise Passwörter, sichere und Stand- Telefonleitungen, Rückrufe, kryptographische Sicherungen und anderes, entweder allein oder in Kombination, um festzustellen, welcher Satz von Attributen am Anfang in dem Register 331 einzustellen ist. Gleichzeitig wird die Programmarbeitsbereichs-Tabelle 334 dadurch initialisiert, daß ein Satz von Einträgen 62 mit Zugriffsrechten geladen wird, die mit den Inhalten des für Sicherheitskontext vorgesehenen Registers 331 kompatibel sind. Während der Programmausführung kann der Operationscode 601 in Verbindung mit einer Adresse 602 eine Änderung von einem Untersystem zu einem anderen Untersystem anfordern, was dann bei dem Zugriff auf das Feld 611 die Verwendung einer anderen Programm-arbeitsbereichs-Tabelle 334 veranlaßt.
  • Die Operation nach der vierten Methode kann aus Fig. 4 ersehen werden, aus der ersichtlich ist, daß das Sicherheitsstufenfeld 407 und das Formatfeld 409 derselben Datenobjekt-Identifikationszahl 401 zugeordnet sind, welche die laufende Adresse des gewöhnlichen Datenobjekts 41 auswählt.
  • Die Operation nach der fünften Methode ist durch Bezugnahme auf Fig. 7 ersichtlich. Die Verwendung eines ausgezeichneten Datenobjekts bringt es mit sich, daß dieses durch die Verarbeitungseinheit 335 für ausgezeichnete Datenobjekte gemäß Fig. 3 geholt wird und Felder von ihm zu dem Programmarbeitsbereichs-Eintrag 62 bewegt werden. Ist der Datenobjekt-Identifizierer 401 erst einmal geholt, so steht er zur Verfügung, um die Sicherheitsstufe 407 von der Datenobjektkennwerttabelle 333 nach Fig. 3 zu erlangen. Der laufende Sicherheitskontext ist stets für die Verarbeitungseinheit 335 über deren Register 331 für laufenden Sicherheitskontext gemäß Fig. 3 verfügbar. Da die Verwendung eines ausgezeichneten Datenobjekts unvermeidlich den Vergleich der Datenobjekt-Sicherheitsstufe mit dem laufenden Sicherheitskontext beinhaltet, und damit die richtige Einstellung des Zugriffsrechts-Feld 622 nach Fig. 6 durch die Sicherheitsstrategieeinheit 332 nach Fig. 3. Nach dem Einstellen wird das Zugriffsrechts- Feld 622 unvermeidbar durch eine Operation angetroffen, die versucht wird, das laufende Adressenfeld 623 nach Fig. 6 aufzufinden, um Zugriff zu dem Feld 611 nach Fig. 6 zu erlangen. Die Beschränkung der Art und Weise des Zugriffs wird deshalb einheitlich vorgegeben.
  • Der Betrieb der sechsten Methode ist durch Bezugnahme auf Fig. 8 ersichtlich. Bei der Berechnung des Zugriffsrechts 622 gemäß Fig. 6 werden das Datenobjektformat 409 nach Fig. 4 und die Untersystemkomponente 3312 des Registers 3331 für laufenden Sicherheitskontext gemäß Fig. 3 von dem Untersystem-/Format-Vergleicher 3322 verglichen und die Ergebnisse dieses Vergleichs werden dazu benutzt, sicherzustellen, daß sämtliche Art und Weisen durch das Zugriffsrecht 622 gewährleisteten Zugriffs konsistent sind mit einem vorab festgelegten Satz von Zugriffsrechten, welche von Programmen in Untersystemen für Daten spezifischer Formate zulässig sind. Aus Fig. 6 ist ersichtlich, daß das Zugriffsrechtsfeld 622 unvermeidlich von der Operation 601 jeglichen Programms im Zuge der Bildung der laufenden Adresse 623 des zu bearbeitenden Feldes 611 angetroffen wird. Damit werden die Zugriffsrecht-Beschränkungen, die durch den Untersystem/Format-Vergleicher 3322 nach Fig. 8 gebildet werden, einheitlich durchgesetzt.
  • Die Mechanismen und Methoden der vorliegenden Erfindung lassen sich auf vielfältige Weise realisieren, darunter die zwei nachstehend erläuterten Systemkonfigurationen, ohne daß eine Beschränkung auf diese Konfigurationen gegeben ist. Diese möglichen Ausführungsformen lassen sich durch Bezugnahme auf Fig. 3 verstehen. Bei der ersten Ausführungsform werden die Funktionen der Verarbeitungseinheit 32 für gewöhnliche Datenobjekte durchgeführt von einer herkömmlichen Verarbeitungseinheit, beispielsweise einem Mikroprozessor, der Signale bereitstellt, welche die Arten des bei einer Speicherzugriffsanforderung angeforderten Zugriffs betreffen. Die Funktionen der Speicheradresseneinrichtung 336 werden von einem Hardwaremodul durchgeführt, welches sich zwischen der Verarbeitungseinheit 32 für gewöhnliche Datenobjekte und dem Bus befindet, welche den Prozessor mit den Speichereinheiten 22 verbindet. Die Programmarbeitsbereichs-Tabelle wäre entweder in dem die Funktionen der Speicheradresseneinrichtung 336 ausführenden Modul oder in einer von dieser Einheit leicht zuganglichen Speichereinheit enthalten, wobei diese Speichereinheit geschützt ist gegen Versuche, seitens des Prozessors 32 für gewöhnliche Daten auf ihre Inhalte zuzugreifen. Die Funktionen der Verarbeitungseinheit 335 für ausgezeichnete Datenobjekte könnten realisiert werden durch ein spezifisches Hardwaremodul, welches an den Speicherbus angeschlossen wird, oder welches mit Hilfe einer speziellen Verbindung mit der Speicheradresseneinrichtung 336 gekoppelt wird. Die Speichereinheiten 22 würden derart modifiziert werden, daß sie Kennwerte enthielten, die zu jeder adressierbaren Einheit gehörten, und die Kennwerte zusammen mit den Inhalten der adressierbaren Einheiten auf den Bus gegeben würden. Die Speicheradresseneinrichtung würde den Wert des Kennfeldes, welchem zu den ankommenden Daten gehört, überprüfen und würde den Fluß einer derartigen Information derart steuern, daß gewährleistet ist, daß die Verarbeitungseinheit 32 für gewöhnliche Datenobjekte niemals die Inhalte irgendeines Objekts absendet, dessen Kennwert bedeutet, daß es innerhalb eines ausgezeichneten Datenobjekts enthalten ist.
  • Bei der zweiten Ausführungsform werden die Funktionen der Verarbeitungseinheit 32 für gewöhnliche Datenobjekte durch einen herkömmlichen Prozessor, z. B. einen Minicomputer, durchgeführt, und die Funktionen der Verarbeitungseinheit 335 für ausgezeichnete Datenobjekte werden von einem in geeigneter Weise programmierten Mikroprozessor ausgeführt. Die Speicheradresseneinrichtung könnte so realisiert werden, wie es oben für das erste Ausführungsbeispiel beschrieben ist. Es ist für den mit dem Entwurf von Rechnersystem vertrauten Fachmann leicht ersichtlich, daß auch andere Ausführungsformen möglich sind, darunter eine Ausführungsform, bei der sämtliche Operationen in derselben Verarbeitungseinheit durchgeführt werden, wobei die Kennwerte der Operanden dazu dienen, die Funktionen zu begrenzen, die auf solchen Operanden ausführbar sind.
  • Bei jeder Ausführungsform können die Kennfelder und mithin die Unterscheidung zwischen gewöhnlichen und ausgezeichneten Datenobjekten fortgelassen werden. Bei der sich daraus ergebenden Ausführungsform kann jegliches Datenobjekt geeigneter Größe der Verarbeitungseinheit 335 für ausgezeichnete Datenobjekte zugeleitet und von dieser Einheit als eine Datenobjekt-Identifikationszahl 401 gemäß Fig. 4 interpretiert werden. Dem mit dem Entwurf von Rechnersystemen vertrauten Fachmann ist klar, daß eine derartige Ausführungsform nicht vorhersehbare Ergebnisse von Operationen erzeugen kann, wobei all diese Ergebnisse konsistent sind mit der vorab festgelegten Sicherheitsstrategie und dem vorab festgelegten Satz von Zugriffen, die durch Untersysteme für Information spezifischer Formate zulässig sind.
  • Wenn die Unterscheidung zwischen gewöhnlichen und ausgezeichneten Datenobjekten über die Kennung aufrechterhalten bleibt, so können ausgezeichnete Datenobjekte freier als gewöhnliche Datenobjekte geschrieben werden. Insbesondere wäre es möglich, zuzulassen, daß ausgezeichnete Datenobjekte unter gewissen Umständen in gewöhnliche Datenobjekte kopiert werden (was eine Form von schreiben ist), wenn das Kopieren gewöhnlicher Information durch die bereits existierende Strategie verboten wäre, derart, daß sichtbare Informationsflüsse die bereits existierende Strategie nicht verletzen. Das Zulassen derartiger Operationen schafft einen größeren Freiraum bei dem Entwurf von Programmen, ohne die Sicherheit zu beeinträchtigen.
  • Dem mit dem Entwurf von Rechnersystemen vertrauten Fachmann sollte klar sein, daß die vorliegende Erfindung, obschon sie oben für einen Prozessor mit einem einzelnen Benutzerterminal beschrieben wurde, in wirksamer Weise angepaßt werden kann zur Schaffung eines Rechnersystems mit einer Vielzahl von Benutzerterminals. Wie auf diesem Gebiet der Technik bekannt ist, können Prozessoren unter zu verschiedenen Benutzern gehörigen Programmen umgeschaltet werden, vorausgesetzt, daß Statusinformation über ein Benutzerprogramm gesichert wird, wenn das Programm ausgeschaltet wird, und zuverlässig wieder zurückgespeichert wird, wenn das Programm zu dem Prozessor zurückgeschaltet wird. Die Anwendung der obigen Methode auf die vorliegende Erfindung macht es erforderlich, daß der Status eines Anwenderprogramms die Inhalte des Registers 331 für den laufenden Sicherheitskomplex nach Fig. 3 und die Inhalte der Programmarbeitsbereichs-Tabelle 334 nach Fig. 3 enthält.
  • Es sollte dem mit dem Entwurf von Rechnersystemen vertrauten Fachmann ebenfalls klar sein, daß die Operation des Einstellens des Zugriffsrechts 622 zu irgendeiner Zeit vor der Durchführung der Operation 601 vorgenommen werden kann. Im allgemeinen gilt, daß sie desto häufiger durchgeführt, je später sie durchgeführt wird. Je häufiger sie durchgeführt wird, desto länger braucht die Maschine zur Ausführung eines Programms, welches aus Sätzen von Operationen 601 besteht. Je häufiger sie durchgeführt wird, desto häufiger wird die Datenkennwertetabelle 333 konsultiert, und desto schneller finden diese Änderungen der Tabelle ihren Niederschlag in den Restriktionen für das Verhalten von Programmen. Es existiert also ein Bereich von Ausführungsformen der vorliegenden Erfindung, in welchem verschiedene Kompromisse gemacht werden zwischen der Leistungsfähigkeit der Programme und der Zeitigkeit von Datensicherheitsmerkmalen, welche die Zugriffe steuert, die durch solche Programme erfolgen. Ein gemeinsamer Falle, bei dem Datenzugriffsmerkmale sich ändern, ist dann gegeben, wenn der einem Benutzer gewährte Zugriff namentlich gewährt oder widerrufen wird. Wenn das Zugriffsrecht 622 für jede Operation 601 erneut berechnet wird, dann wird die Gewährung oder der Widerruf bei jeder nachfolgenden Operation wirksam. Wenn das Zugriffsrecht 622 in einem gewissen größeren Intervall neu berechnet wird, kann eine gewisse Anzahl von Operationen 601 unter der Steuerung eines überholten Werts des Feldes 622 durchgeführt werden.

Claims (3)

1. Verfahren zum Steuern des Zugriffs auf ein spezielles gewöhnliches Datenobjekt (41), welches in dem Speicher eines Datenverarbeitungssystems gespeichert ist, welches Untersysteme dahingehend beschränkt, daß diese Operationen lediglich bezüglich gewöhnlicher Datenobjekte (41) ausführen, auf die über eine Programmarbeitsbereichstabelle (334) zugreifbar ist, wobei das Datenverarbeitungssystem mehrere gewöhnliche Datenobjekte mit veränderlichen Sicherheitsstufen und Formaten aufweist, wobei zu dem speziellen gewöhnlichen Datenobjekt eine spezielle Sicherheitsstufe und ein spezielles Format gehören, und wobei das Datenverarbeitungssystem eine Verarbeitungseinheit (32) für gewöhnliche Daten, einen Speicher (22) zum Speichern von gewöhnlichen Datenobjekten und von ausgezeichneten Datenobjekten innerhalb desselben Segments, eine Benutzereinheit-Identifikationseinrichtung (31), und einen Sicherheitsprozessor (33) aufweist, weicher die ausgezeichneten Datenobjekte erkennt und auf sie einwirkt, wobei zu den ausgezeichneten Datenobjekten vorbestimmte geschützte Systemdateien gehören und die ausgezeichneten Datenobjekte sich von den gewöhnlichen Datenobjekten dadurch unterscheiden, daß sie Kenncodes aufweisen, gekennzeichnet durch folgende Schritte:
Bereitstellen eines ausgezeichneten Datenobjekts (40), zu dem das spezielle gewöhnliche Datenobjekt gehört, wobei das ausgezeichnete Datenobjekt aufweist:
Datenobjektattribute mit einem Feld (405) für eine laufende Adresse und eine Feldlänge (406);
eine Sicherheitsstufendarstellung (407), die der speziellen Sicherheitsstufe des speziellen gewöhnlichen Datenobjekts entspricht;
eine Formatdarstellung (409) entsprechend dem speziellen Format des speziellen gewöhnlichen Datenobjekts; und
eine Datenobjekt-Identifikationszahl (401), die das ausgezeichnete Datenobjekt (40) identifiziert;
Bereitstellen einer Speicheradresseneinrichtung (336), die im Stande ist, zu unterscheiden zwischen einer Operation bezüglich eines von den mehreren gewöhnlichen Datenobjekten (41) und einer Operation bezüglich des ausgezeichneten Datenobjekts (40);
Speichern von Sicherheitsattributen (3311), die mit der laufenden Benutzereinheit verbunden sind, und Untersystemattributen (3312), die mit dem laufenden Untersystem verbunden sind, in einem Register (331) für laufenden Sicherheitskontext;
Ausführen eines Programmbefehls (60), der von dem laufenden Untersystem ausgegeben wird, wobei der Schritt des Ausführens des Programmbefehls beinhaltet, daß über die Speicheradresseneinrichtung (336) festgestellt wird, ob der Befehl (60) auf eines der gewöhnlichen Datenobjekte (41) oder auf das ausgezeichnete Datenobjekt (40) einwirkt;
Holen des gewöhnlichen Datenobjekts über die Programmarbeitsbereichs-Tabelle, wenn der Programmbefehl auf eines der gewöhnlichen Datenobjekte (41) einwirkt;
Bestimmen, ob das laufende Untersystem die Erlaubnis hat, auf das ausgezeichnete Datenobjekt zuzugreifen, wenn der Programmbefehl auf ein ausgezeichnetes Datenobjekt (40) zugreift, wobei das Bestimmen, ob das laufende Untersystem auf das ausgezeichnete Datenobjekt zugreifen darf, umfaßt:
Vergleichen der Sicherheitsstufendarstellung (407) mit den Sicherheitsattributen (3311), die zu der laufenden Benutzereinheit gehören, um einen ersten Zugriffsfaktor (3323) zu bestimmen;
Vergleichen der Formatdarstellung (409) und der Untersystemattribute (3312) mit einer Tabelle zulässiger Zugriffe seitens spezieller Untersysteme auf Daten spezieller Formate, um den ersten Zugriffsfaktor (3323) zu modifizieren; und
Berechnen eines Zugriffsrechts (622) auf das spezielle gewöhnliche Datenobjekt (41); und
Übertragen des berechneten Zugriffsrechts (622) und der Datenobjektattribute (405, 406) zu der Programmarbeitsbereichs-Tabelle (334), wenn das laufende Untersystem die Erlaubnis hat, auf das ausgezeichnete Datenobjekt zuzugreifen.
2. Datenverarbeitungssystem, umfassend eine Verarbeitungseinheit (32) für gewöhnliche Daten, einen Speicher (22) zum Speichern gewöhnlicher Datenobjekte und ausgezeichneter Datenobjekte innerhalb desselben Segments, und eine Benutzereinheiten- Identifikationseinrichtung (31) zum identifizieren von Benutzereinheiten, und einen Sicherheitsprozessor (33), welcher die ausgezeichneten Datenobjekte erkennt und sie behandelt, wobei die ausgezeichneten Datenobjekte zu vorbestimmten geschützten Systemdateien gehören und sich von den gewöhnlichen Datenobjekten dadurch unterscheiden, daß sie Kenncodes besitzen, wobei der Sicherungsprozessor aufweist:
ein Register (331) für einen laufenden Sicherheitskontext, welches die Sicherheitsattribute (3311), die zu der laufenden Benutzereinheit gehören, und die Untersystemattribute (3312), die zu den laufenden Untersystemen gehören, aufnimmt;
eine Datenobjektkennwerttabelle (333), die die Adresse, die Länge, die Sicherheitsstufe und das Format zu jedem ausgezeichneten Datenobjekt enthält;
eine Sicherheitsstrategieeinheit (332), welche die Sicherheitsstrategie speichert und die zulässigen Zugriffsarten für eine auf ein gewöhnliches Datenobjekt einwirkende Benutzereinheit berechnet;
eine Programmarbeitsbereichs-Tabelle (334), die Information enthält, die notwendig ist für ein Programm, um jene gewöhnlichen Datenobjekte zu adressieren, mit welchem es derzeit arbeitet;
eine Verarbeitungseinheit (335) für ausgezeichnete Datenobjekte, welche einen eingeschränkten Satz von Operationen bezüglich ausgezeichneter Datenobjekte ausführt; und
eine Speicheradresseneinrichtung (336), die eine Kenncode- Erkennungseinrichtung (336a) enthält, weiche sicherstellt, daß die Verarbeitungseinheit (32) für gewöhnliche Daten lediglich gewöhnliche Datenobjekte verarbeitet;
wobei sich ein ausgezeichnetes Datenobjekt (40) zusammensetzt aus einer Datenobjekt-Identifikationszahl (401), die eindeutig ein vorbestimmtes gewöhnliches Datenobjekt (41) identifiziert, einem Feld (405) für eine laufende Adresse, welches den Anfang eines vorbestimmten gewöhnlichen Datenobjekts (41) in den Speicher (22) angibt, einem Längenfeld (406), welches die Länge des vorbestimmten gewöhnlichen Datenobjekts (41) in dem Speicher (22) bestimmt, einer Sicherheitsstufe (407), welche die Sicherheitsstufe der Information in dem vorbestimmten gewöhnlichen Datenobjekt (41) definiert, einem Formatfeld (409), welches das Format der Information in dem vorbestimmten gewöhnlichen Datenobjekt definiert; wobei das Feld (405) für die laufende Adresse, das Längenfeld (406), die Sicherheitsstufe (407) und das Formatfeld (409) in der Datenobjekt- Kennwerttabelle (333) gespeichert sind, und
wobei die Sicherheitsstrategieeinheit (332) einen Attributvergleicher (3321) und einen Untersystem-/Format-Vergleicher (3322) aufweist, von denen der Attributvergleicher (3321) eine Sicherheitsstufe (407) eines gewöhnlichen Datenobjekts (41), welches von dem ausgewählten ausgezeichneten Datenobjekt (40) identifiziert wird, mit den Sicherheitsattributen (3311) vergleicht, die zu der laufenden Benutzereinheit gehören, um einen ersten Zugriffsfaktor (3323) zu bestimmen; wobei der Untersystem-/Format-Vergleicher (3323) die Untersystem-Attribute (3312), die zu dem laufenden Untersystem gehören, und das Formatfeld (409), das zu dem gewöhnlichen Datenobjekt (41), weiches von dem ausgewählten ausgezeichneten Datenobjekt (40) identifiziert wird, vergleicht mit einer Tabelle zulässiger Zugriffe seitens spezifischer Untersysteme auf Daten spezifischer Formate, um den ersten Zugriffsfaktor (3323) zu modifizieren; wobei die Sicherheitsstrategieeinheit (332) ein Zugriffsrecht (622) auf der Grundlage des von dem Attributvergleicher vorgenommenen Vergleichs und des in dem Untersystem-/Format- Vergleicher vorgenommenen Vergleichs berechnet; und wobei das Zugriffsrecht (622) gespeichert wird in dem Programmarbeitsbereich- Eintrag (62) in der Programmarbeitsbereichs-Tabelle (334) innerhalb des Sicherungsprozessors (33).
3. Datenverarbeitungssystem nach Anspruch 2, gekennzeichnet durch eine Einrichtung (337) zum Verschlüsseln des ausgezeichneten Datenobjekts (40), bevor dieses über ein Verbindungsnetzwerk an ein anderes Datensystem geliefert wird.
DE86102096T 1985-02-21 1986-02-18 Verfahren zur Systemdateiensicherung und Datenverarbeitungseinheit zu dessen Durchführung. Expired - Fee Related DE3689569T2 (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
US06/703,638 US4713753A (en) 1985-02-21 1985-02-21 Secure data processing system architecture with format control

Publications (2)

Publication Number Publication Date
DE3689569D1 DE3689569D1 (de) 1994-03-10
DE3689569T2 true DE3689569T2 (de) 1994-05-11

Family

ID=24826202

Family Applications (1)

Application Number Title Priority Date Filing Date
DE86102096T Expired - Fee Related DE3689569T2 (de) 1985-02-21 1986-02-18 Verfahren zur Systemdateiensicherung und Datenverarbeitungseinheit zu dessen Durchführung.

Country Status (7)

Country Link
US (1) US4713753A (de)
EP (1) EP0192243B1 (de)
JP (1) JPH0812645B2 (de)
KR (1) KR910005995B1 (de)
CA (1) CA1252907A (de)
DE (1) DE3689569T2 (de)
IL (1) IL77504A (de)

Families Citing this family (197)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4799258A (en) * 1984-02-13 1989-01-17 National Research Development Corporation Apparatus and methods for granting access to computers
DK190784D0 (da) * 1984-04-12 1984-04-12 Pengeinst Koebe Kreditkort Fremgangsmaade og apparat til datatransmission
GB8619989D0 (en) * 1986-08-16 1986-09-24 Modray Ltd Controlling length of time
US5050213A (en) * 1986-10-14 1991-09-17 Electronic Publishing Resources, Inc. Database usage metering and protection system and method
US4977594A (en) * 1986-10-14 1990-12-11 Electronic Publishing Resources, Inc. Database usage metering and protection system and method
AU8232187A (en) * 1986-10-24 1988-05-25 Harcom Security Systems Corp. Computer security system
US4951249A (en) * 1986-10-24 1990-08-21 Harcom Security Systems Corp. Method and apparatus for controlled access to a computer system
US5361341A (en) * 1987-10-02 1994-11-01 Sgs-Thomson Microelectronics, S.A. Device for enabling the use of the contents of memory areas of an electronic microprocessor system
US5075884A (en) * 1987-12-23 1991-12-24 Loral Aerospace Corp. Multilevel secure workstation
JPH01175057A (ja) * 1987-12-28 1989-07-11 Toshiba Corp セキュリティの動的管理方法
US4881179A (en) * 1988-03-11 1989-11-14 International Business Machines Corp. Method for providing information security protocols to an electronic calendar
US4993030A (en) * 1988-04-22 1991-02-12 Amdahl Corporation File system for a plurality of storage classes
US5101374A (en) * 1988-05-19 1992-03-31 The United States Of America As Represented By The Director Of The National Security Agency Secure, fast storage and retrieval without interactive checking
US5235681A (en) * 1988-06-22 1993-08-10 Hitachi, Ltd. Image filing system for protecting partial regions of image data of a document
US4924514A (en) * 1988-08-26 1990-05-08 International Business Machines Corporation Personal identification number processing using control vectors
US4924515A (en) * 1988-08-29 1990-05-08 International Business Machines Coprporation Secure management of keys using extended control vectors
US5313637A (en) * 1988-11-29 1994-05-17 Rose David K Method and apparatus for validating authorization to access information in an information processing system
JPH02202642A (ja) * 1989-02-01 1990-08-10 Toshiba Corp プログラム動作監視装置
US4941175A (en) * 1989-02-24 1990-07-10 International Business Machines Corporation Tamper-resistant method for authorizing access to data between a host and a predetermined number of attached workstations
JPH0820944B2 (ja) * 1989-03-20 1996-03-04 株式会社日立製作所 電子化情報作成装置
US5065429A (en) * 1989-04-03 1991-11-12 Lang Gerald S Method and apparatus for protecting material on storage media
US5144659A (en) * 1989-04-19 1992-09-01 Richard P. Jones Computer file protection system
US5187790A (en) * 1989-06-29 1993-02-16 Digital Equipment Corporation Server impersonation of client processes in an object based computer operating system
JPH03209526A (ja) * 1989-10-23 1991-09-12 Internatl Business Mach Corp <Ibm> オブジェクト指向コンピュータシステム
US5469556A (en) * 1989-12-12 1995-11-21 Harris Corporation Resource access security system for controlling access to resources of a data processing system
GB9003112D0 (en) * 1990-02-12 1990-04-11 Int Computers Ltd Access control mechanism
US5574912A (en) * 1990-05-04 1996-11-12 Digital Equipment Corporation Lattice scheduler method for reducing the impact of covert-channel countermeasures
US5052040A (en) * 1990-05-25 1991-09-24 Micronyx, Inc. Multiple user stored data cryptographic labeling system and method
GB2246457A (en) * 1990-07-25 1992-01-29 Bluetron Limited Controlling access to stored data
US5077795A (en) * 1990-09-28 1991-12-31 Xerox Corporation Security system for electronic printing systems
JPH04205043A (ja) * 1990-11-29 1992-07-27 Mitsubishi Electric Corp 半導体記憶装置
JPH05303531A (ja) * 1991-01-31 1993-11-16 Fields Software Group Inc 電子書式処理システム及び方法
US5504814A (en) * 1991-07-10 1996-04-02 Hughes Aircraft Company Efficient security kernel for the 80960 extended architecture
US5475833A (en) * 1991-09-04 1995-12-12 International Business Machines Corporation Database system for facilitating comparison of related information stored in a distributed resource
US5627967A (en) * 1991-09-24 1997-05-06 International Business Machines Corporation Automated generation on file access control system commands in a data processing system with front end processing of a master list
US5210571A (en) * 1991-09-26 1993-05-11 Xerox Corporation System for servicing electronic printers and printing systems
WO1993011480A1 (en) * 1991-11-27 1993-06-10 Intergraph Corporation System and method for network license administration
US5301231A (en) * 1992-02-12 1994-04-05 International Business Machines Corporation User defined function facility
US5276735A (en) * 1992-04-17 1994-01-04 Secure Computing Corporation Data enclave and trusted path system
EP0645028B1 (de) * 1992-06-12 1997-12-29 The Dow Chemical Company Sicheres frontendverbindungssystem und verfahren fur prozesssteuerungsrechner
CA2136633A1 (en) * 1992-06-12 1993-12-23 James D. Allbery, Jr. Intelligent process control communication system and method
US5596718A (en) 1992-07-10 1997-01-21 Secure Computing Corporation Secure computer network using trusted path subsystem which encrypts/decrypts and communicates with user through local workstation user I/O devices without utilizing workstation processor
US5428795A (en) * 1992-07-31 1995-06-27 International Business Machines Corporation Method of and apparatus for providing automatic security control of distributions within a data processing system
US5446903A (en) * 1993-05-04 1995-08-29 International Business Machines Corporation Method and apparatus for controlling access to data elements in a data processing system based on status of an industrial process by mapping user's security categories and industrial process steps
US5680452A (en) * 1993-10-18 1997-10-21 Tecsec Inc. Distributed cryptographic object method
US5369702A (en) * 1993-10-18 1994-11-29 Tecsec Incorporated Distributed cryptographic object method
US5469363A (en) * 1994-05-19 1995-11-21 Saliga; Thomas V. Electronic tag with source certification capability
US5864683A (en) * 1994-10-12 1999-01-26 Secure Computing Corporartion System for providing secure internetwork by connecting type enforcing secure computers to external network for limiting access to data based on user and process access rights
JPH08129507A (ja) * 1994-10-31 1996-05-21 Ricoh Co Ltd 情報保管管理システム
US5742826A (en) 1994-11-09 1998-04-21 International Business Machines Corporation Object encapsulation protection apparatus
US6963859B2 (en) * 1994-11-23 2005-11-08 Contentguard Holdings, Inc. Content rendering repository
US7117180B1 (en) 1994-11-23 2006-10-03 Contentguard Holdings, Inc. System for controlling the use of digital works using removable content repositories
JPH08263438A (ja) 1994-11-23 1996-10-11 Xerox Corp ディジタルワークの配給及び使用制御システム並びにディジタルワークへのアクセス制御方法
US6865551B1 (en) 1994-11-23 2005-03-08 Contentguard Holdings, Inc. Removable content repositories
SE504085C2 (sv) * 1995-02-01 1996-11-04 Greg Benson Sätt och system för att hantera dataobjekt i enlighet med förutbestämda villkor för användare
US7133846B1 (en) 1995-02-13 2006-11-07 Intertrust Technologies Corp. Digital certificate support system, methods and techniques for secure electronic commerce transaction and rights management
US7095854B1 (en) * 1995-02-13 2006-08-22 Intertrust Technologies Corp. Systems and methods for secure transaction management and electronic rights protection
US6948070B1 (en) * 1995-02-13 2005-09-20 Intertrust Technologies Corporation Systems and methods for secure transaction management and electronic rights protection
US5892900A (en) 1996-08-30 1999-04-06 Intertrust Technologies Corp. Systems and methods for secure transaction management and electronic rights protection
US6157721A (en) 1996-08-12 2000-12-05 Intertrust Technologies Corp. Systems and methods using cryptography to protect secure computing environments
US6658568B1 (en) 1995-02-13 2003-12-02 Intertrust Technologies Corporation Trusted infrastructure support system, methods and techniques for secure electronic commerce transaction and rights management
EP1526472A3 (de) 1995-02-13 2006-07-26 Intertrust Technologies Corp. Systeme und Verfahren zur gesicherten Transaktionsverwaltung und elektronischem Rechtsschutz
US7133845B1 (en) * 1995-02-13 2006-11-07 Intertrust Technologies Corp. System and methods for secure transaction management and electronic rights protection
US5943422A (en) 1996-08-12 1999-08-24 Intertrust Technologies Corp. Steganographic techniques for securely delivering electronic digital rights management control information over insecure communication channels
EP0818007B1 (de) * 1995-03-31 2006-05-10 The Commonwealth Of Australia Verfahren und vorrichtung zum verbinden von netzwerken mit verschiedenen sicherheitsgraden
US6011847A (en) * 1995-06-01 2000-01-04 Follendore, Iii; Roy D. Cryptographic access and labeling system
US5819275A (en) * 1995-06-07 1998-10-06 Trusted Information Systems, Inc. System and method for superimposing attributes on hierarchically organized file systems
US6047288A (en) * 1995-07-20 2000-04-04 Canon Kabushiki Kaisha Group environment setting method and system thereof to provide an equivalent environment for plural participants
US5757924A (en) * 1995-09-18 1998-05-26 Digital Secured Networks Techolognies, Inc. Network security device which performs MAC address translation without affecting the IP address
US5859966A (en) * 1995-10-10 1999-01-12 Data General Corporation Security system for computer systems
US5898830A (en) 1996-10-17 1999-04-27 Network Engineering Software Firewall providing enhanced network security and user transparency
US5826014A (en) * 1996-02-06 1998-10-20 Network Engineering Software Firewall system for protecting network elements connected to a public network
US5918018A (en) * 1996-02-09 1999-06-29 Secure Computing Corporation System and method for achieving network separation
US5867647A (en) * 1996-02-09 1999-02-02 Secure Computing Corporation System and method for securing compiled program code
US5913024A (en) * 1996-02-09 1999-06-15 Secure Computing Corporation Secure server utilizing separate protocol stacks
US20010011253A1 (en) 1998-08-04 2001-08-02 Christopher D. Coley Automated system for management of licensed software
US6263442B1 (en) * 1996-05-30 2001-07-17 Sun Microsystems, Inc. System and method for securing a program's execution in a network environment
US5727145A (en) * 1996-06-26 1998-03-10 Sun Microsystems, Inc. Mechanism for locating objects in a secure fashion
US5809145A (en) * 1996-06-28 1998-09-15 Paradata Systems Inc. System for distributing digital information
US7010697B2 (en) * 1996-06-28 2006-03-07 Protexis, Inc. System for dynamically encrypting information for secure internet commerce and providing embedded fulfillment software
US7770230B2 (en) 2002-04-22 2010-08-03 Arvato Digital Services Canada, Inc. System for dynamically encrypting content for secure internet commerce and providing embedded fulfillment software
US7356847B2 (en) * 1996-06-28 2008-04-08 Protexis, Inc. System for dynamically encrypting content for secure internet commerce and providing embedded fulfillment software
US5987123A (en) * 1996-07-03 1999-11-16 Sun Microsystems, Incorporated Secure file system
US6003084A (en) * 1996-09-13 1999-12-14 Secure Computing Corporation Secure network proxy for connecting entities
US6144934A (en) * 1996-09-18 2000-11-07 Secure Computing Corporation Binary filter using pattern recognition
US6072942A (en) * 1996-09-18 2000-06-06 Secure Computing Corporation System and method of electronic mail filtering using interconnected nodes
US5983350A (en) * 1996-09-18 1999-11-09 Secure Computing Corporation Secure firewall supporting different levels of authentication based on address or encryption status
US5950195A (en) * 1996-09-18 1999-09-07 Secure Computing Corporation Generalized security policy management system and method
US5915087A (en) * 1996-12-12 1999-06-22 Secure Computing Corporation Transparent security proxy for unreliable message exchange protocols
US6240513B1 (en) 1997-01-03 2001-05-29 Fortress Technologies, Inc. Network security device
US5968133A (en) * 1997-01-10 1999-10-19 Secure Computing Corporation Enhanced security network time synchronization device and method
US7212632B2 (en) 1998-02-13 2007-05-01 Tecsec, Inc. Cryptographic key split combiner
US6105132A (en) * 1997-02-20 2000-08-15 Novell, Inc. Computer network graded authentication system and method
US5896499A (en) * 1997-02-21 1999-04-20 International Business Machines Corporation Embedded security processor
US5920861A (en) * 1997-02-25 1999-07-06 Intertrust Technologies Corp. Techniques for defining using and manipulating rights management data structures
US6233684B1 (en) 1997-02-28 2001-05-15 Contenaguard Holdings, Inc. System for controlling the distribution and use of rendered digital works through watermaking
US6694433B1 (en) 1997-05-08 2004-02-17 Tecsec, Inc. XML encryption scheme
TW393630B (en) * 1997-07-24 2000-06-11 Checkpoint Systems Inc Protocol for storage and retrieval of data in an RFID tag which uses objects
GB2329497B (en) * 1997-09-19 2001-01-31 Ibm Method for controlling access to electronically provided services and system for implementing such method
US6192408B1 (en) * 1997-09-26 2001-02-20 Emc Corporation Network file server sharing local caches of file access information in data processors assigned to respective file systems
US6112181A (en) * 1997-11-06 2000-08-29 Intertrust Technologies Corporation Systems and methods for matching, selecting, narrowcasting, and/or classifying based on rights management and/or other information
US8077870B2 (en) * 1998-02-13 2011-12-13 Tecsec, Inc. Cryptographic key split binder for use with tagged data elements
US7095852B2 (en) * 1998-02-13 2006-08-22 Tecsec, Inc. Cryptographic key split binder for use with tagged data elements
US7079653B2 (en) * 1998-02-13 2006-07-18 Tecsec, Inc. Cryptographic key split binding process and apparatus
US6357010B1 (en) * 1998-02-17 2002-03-12 Secure Computing Corporation System and method for controlling access to documents stored on an internal network
US6321336B1 (en) 1998-03-13 2001-11-20 Secure Computing Corporation System and method for redirecting network traffic to provide secure communication
US7233948B1 (en) 1998-03-16 2007-06-19 Intertrust Technologies Corp. Methods and apparatus for persistent control and protection of content
US6182226B1 (en) 1998-03-18 2001-01-30 Secure Computing Corporation System and method for controlling interactions between networks
US6453419B1 (en) 1998-03-18 2002-09-17 Secure Computing Corporation System and method for implementing a security policy
US6160903A (en) * 1998-04-24 2000-12-12 Dew Engineering And Development Limited Method of providing secure user access
KR100591098B1 (ko) * 1998-05-14 2006-06-19 가부시키가이샤 세가 정보 처리 장치, 정보 처리 방법과 정보 기록 매체 및정보 처리 시스템
US6223288B1 (en) 1998-05-22 2001-04-24 Protexis Inc. System for persistently encrypting critical software file to prevent installation of software program on unauthorized computers
US7013305B2 (en) 2001-10-01 2006-03-14 International Business Machines Corporation Managing the state of coupling facility structures, detecting by one or more systems coupled to the coupling facility, the suspended state of the duplexed command, detecting being independent of message exchange
AUPP660298A0 (en) * 1998-10-20 1998-11-12 Canon Kabushiki Kaisha Apparatus and method for preventing disclosure of protected information
US7068787B1 (en) 1998-10-23 2006-06-27 Contentguard Holdings, Inc. System and method for protection of digital works
US7286665B1 (en) 1999-04-06 2007-10-23 Contentguard Holdings, Inc. System and method for transferring the right to decode messages
US6937726B1 (en) 1999-04-06 2005-08-30 Contentguard Holdings, Inc. System and method for protecting data files by periodically refreshing a decryption key
US6859533B1 (en) 1999-04-06 2005-02-22 Contentguard Holdings, Inc. System and method for transferring the right to decode messages in a symmetric encoding scheme
US7356688B1 (en) 1999-04-06 2008-04-08 Contentguard Holdings, Inc. System and method for document distribution
US7243236B1 (en) 1999-07-29 2007-07-10 Intertrust Technologies Corp. Systems and methods for using cryptography to protect secure and insecure computing environments
US6708276B1 (en) 1999-08-03 2004-03-16 International Business Machines Corporation Architecture for denied permissions in Java
US6885748B1 (en) 1999-10-23 2005-04-26 Contentguard Holdings, Inc. System and method for protection of digital works
JP2001219440A (ja) * 2000-02-09 2001-08-14 Sony Disc Technology Inc 多数個取り用成形装置およびその成形方法
JP3891539B2 (ja) * 2000-06-15 2007-03-14 シャープ株式会社 半導体装置およびその制御装置
US20040073617A1 (en) 2000-06-19 2004-04-15 Milliken Walter Clark Hash-based systems and methods for detecting and preventing transmission of unwanted e-mail
US7350204B2 (en) * 2000-07-24 2008-03-25 Microsoft Corporation Policies for secure software execution
US8566248B1 (en) 2000-08-04 2013-10-22 Grdn. Net Solutions, Llc Initiation of an information transaction over a network via a wireless device
US7257581B1 (en) 2000-08-04 2007-08-14 Guardian Networks, Llc Storage, management and distribution of consumer information
US9928508B2 (en) 2000-08-04 2018-03-27 Intellectual Ventures I Llc Single sign-on for access to a central data repository
DE10038779A1 (de) * 2000-08-09 2002-03-07 Schneider Automation Gmbh Verfahren zur Übertragung von Daten in ein oder aus einem Steuerungsgerät wie speicherprogrammierbare Steuerung sowie Steuerungsgerät
US7073199B1 (en) 2000-08-28 2006-07-04 Contentguard Holdings, Inc. Document distribution management method and apparatus using a standard rendering engine and a method and apparatus for controlling a standard rendering engine
US6931545B1 (en) 2000-08-28 2005-08-16 Contentguard Holdings, Inc. Systems and methods for integrity certification and verification of content consumption environments
US7412605B2 (en) 2000-08-28 2008-08-12 Contentguard Holdings, Inc. Method and apparatus for variable encryption of data
US7743259B2 (en) 2000-08-28 2010-06-22 Contentguard Holdings, Inc. System and method for digital rights management using a standard rendering engine
US7362868B2 (en) * 2000-10-20 2008-04-22 Eruces, Inc. Hidden link dynamic key manager for use in computer systems with database structure for storage of encrypted data and method for storage and retrieval of encrypted data
US20030021417A1 (en) * 2000-10-20 2003-01-30 Ognjen Vasic Hidden link dynamic key manager for use in computer systems with database structure for storage of encrypted data and method for storage and retrieval of encrypted data
US7343324B2 (en) 2000-11-03 2008-03-11 Contentguard Holdings Inc. Method, system, and computer readable medium for automatically publishing content
DE10058391C2 (de) * 2000-11-24 2003-06-18 Siemens Ag Vorrichtung zur Objektbearbeitung
US6912294B2 (en) 2000-12-29 2005-06-28 Contentguard Holdings, Inc. Multi-stage watermarking process and system
US7774279B2 (en) 2001-05-31 2010-08-10 Contentguard Holdings, Inc. Rights offering and granting
US7206765B2 (en) 2001-01-17 2007-04-17 Contentguard Holdings, Inc. System and method for supplying and managing usage rights based on rules
BR0206506A (pt) 2001-01-17 2003-10-21 Contentguard Holdings Inc Processo e aparelho para gerenciar direitos de uso de conteúdo digital
US6754642B2 (en) 2001-05-31 2004-06-22 Contentguard Holdings, Inc. Method and apparatus for dynamically assigning usage rights to digital works
US7028009B2 (en) 2001-01-17 2006-04-11 Contentguardiholdings, Inc. Method and apparatus for distributing enforceable property rights
US8069116B2 (en) 2001-01-17 2011-11-29 Contentguard Holdings, Inc. System and method for supplying and managing usage rights associated with an item repository
JP4089171B2 (ja) * 2001-04-24 2008-05-28 株式会社日立製作所 計算機システム
US7152046B2 (en) 2001-05-31 2006-12-19 Contentguard Holdings, Inc. Method and apparatus for tracking status of resource in a system for managing use of the resources
US8099364B2 (en) 2001-05-31 2012-01-17 Contentguard Holdings, Inc. Digital rights management of content when content is a future live event
US8275716B2 (en) 2001-05-31 2012-09-25 Contentguard Holdings, Inc. Method and system for subscription digital rights management
US7222104B2 (en) 2001-05-31 2007-05-22 Contentguard Holdings, Inc. Method and apparatus for transferring usage rights and digital work having transferrable usage rights
US6976009B2 (en) 2001-05-31 2005-12-13 Contentguard Holdings, Inc. Method and apparatus for assigning consequential rights to documents and documents having such rights
US6895503B2 (en) 2001-05-31 2005-05-17 Contentguard Holdings, Inc. Method and apparatus for hierarchical assignment of rights to documents and documents having such rights
US8275709B2 (en) 2001-05-31 2012-09-25 Contentguard Holdings, Inc. Digital rights management of content when content is a future live event
US6876984B2 (en) 2001-05-31 2005-04-05 Contentguard Holdings, Inc. Method and apparatus for establishing usage rights for digital content to be created in the future
US6973445B2 (en) 2001-05-31 2005-12-06 Contentguard Holdings, Inc. Demarcated digital content and method for creating and processing demarcated digital works
US8001053B2 (en) 2001-05-31 2011-08-16 Contentguard Holdings, Inc. System and method for rights offering and granting using shared state variables
US7725401B2 (en) 2001-05-31 2010-05-25 Contentguard Holdings, Inc. Method and apparatus for establishing usage rights for digital content to be created in the future
US7774280B2 (en) 2001-06-07 2010-08-10 Contentguard Holdings, Inc. System and method for managing transfer of rights using shared state variables
WO2002101490A2 (en) 2001-06-07 2002-12-19 Contentguard Holdings, Inc. Cryptographic trust zones in digital rights management
CN1539115A (zh) * 2001-06-07 2004-10-20 ��̹�е¿عɹɷ����޹�˾ 管理权限转移的方法和装置
EP1323018A4 (de) 2001-06-07 2004-07-07 Contentguard Holdings Inc Verteilungssystem für geschützten inhalt
US20050044369A1 (en) * 2001-10-15 2005-02-24 Lakshminarayanan Anantharaman Electronic document management system
WO2003077083A2 (en) * 2002-03-13 2003-09-18 Matsushita Electric Industrial Co., Ltd. Secure device for preventing unauthorised use of distributed content
GB2386710A (en) * 2002-03-18 2003-09-24 Hewlett Packard Co Controlling access to data or documents
US7793095B2 (en) 2002-06-06 2010-09-07 Hardt Dick C Distributed hierarchical identity management
US7194626B2 (en) * 2002-11-21 2007-03-20 International Business Machines Corporation Hardware-based secure code authentication
US8140824B2 (en) * 2002-11-21 2012-03-20 International Business Machines Corporation Secure code authentication
US7171563B2 (en) * 2003-05-15 2007-01-30 International Business Machines Corporation Method and system for ensuring security of code in a system on a chip
US7444668B2 (en) * 2003-05-29 2008-10-28 Freescale Semiconductor, Inc. Method and apparatus for determining access permission
JP4624732B2 (ja) * 2003-07-16 2011-02-02 パナソニック株式会社 アクセス方法
US7921299B1 (en) * 2003-12-05 2011-04-05 Microsoft Corporation Partner sandboxing in a shared multi-tenant billing system
US8527752B2 (en) 2004-06-16 2013-09-03 Dormarke Assets Limited Liability Graduated authentication in an identity management system
US9245266B2 (en) 2004-06-16 2016-01-26 Callahan Cellular L.L.C. Auditable privacy policies in a distributed hierarchical identity management system
US8504704B2 (en) 2004-06-16 2013-08-06 Dormarke Assets Limited Liability Company Distributed contact information management
US8108691B2 (en) 2005-02-07 2012-01-31 Sandisk Technologies Inc. Methods used in a secure memory card with life cycle phases
US8321686B2 (en) 2005-02-07 2012-11-27 Sandisk Technologies Inc. Secure memory card with life cycle phases
US8423788B2 (en) 2005-02-07 2013-04-16 Sandisk Technologies Inc. Secure memory card with life cycle phases
US7748031B2 (en) 2005-07-08 2010-06-29 Sandisk Corporation Mass storage device with automated credentials loading
EP1760619A1 (de) * 2005-08-19 2007-03-07 STMicroelectronics Ltd. System zum Einschränken von Zugriff auf Daten
US8966284B2 (en) 2005-09-14 2015-02-24 Sandisk Technologies Inc. Hardware driver integrity check of memory card controller firmware
US20070061597A1 (en) 2005-09-14 2007-03-15 Micky Holtzman Secure yet flexible system architecture for secure devices with flash mass storage memory
US20070162390A1 (en) * 2005-12-22 2007-07-12 Macrovision Corporation Techniques for distributing and monitoring content
US8423794B2 (en) 2006-12-28 2013-04-16 Sandisk Technologies Inc. Method and apparatus for upgrading a memory card that has security mechanisms for preventing copying of secure content and applications
US8127133B2 (en) * 2007-01-25 2012-02-28 Microsoft Corporation Labeling of data objects to apply and enforce policies
US8281143B1 (en) 2008-09-29 2012-10-02 Symantec Operating Corporation Protecting against chosen plaintext attacks in untrusted storage environments that support data deduplication
US8516260B2 (en) * 2008-10-27 2013-08-20 Advanced Micro Devices, Inc. Method, apparatus, and device for providing security among a calling function and a target function
US8479304B1 (en) * 2009-03-31 2013-07-02 Symantec Corporation Selectively protecting against chosen plaintext attacks in untrusted storage environments that support data deduplication
US20120303533A1 (en) 2011-05-26 2012-11-29 Michael Collins Pinkus System and method for securing, distributing and enforcing for-hire vehicle operating parameters
US20130253999A1 (en) 2012-03-22 2013-09-26 Frias Transportation Infrastructure Llc Transaction and communication system and method for vendors and promoters
KR102017828B1 (ko) 2012-10-19 2019-09-03 삼성전자 주식회사 보안 관리 유닛, 상기 보안 관리 유닛을 포함하는 호스트 컨트롤러 인터페이스, 상기 호스트 컨트롤러 인터페이스의 동작 방법, 및 상기 호스트 컨트롤러 인터페이스를 포함하는 장치들
DE102017005945A1 (de) * 2017-06-23 2018-12-27 Stefan Andreas Widmann Vorrichtung und Verfahren zur gerätetechnischen Einschränkung der zulässigen Operationen auf Daten in Datenverarbeitungseinheiten
DE102017005975A1 (de) * 2017-06-23 2018-12-27 Stefan Andreas Widmann Vorrichtung und Verfahren zur gerätetechnischen Erkennung inkompatibler Operandeneinheiten in Datenverarbeitungseinheiten
US12085914B2 (en) 2020-04-14 2024-09-10 Goodrich Corporation Systems and methods for operating multiple-level autonomous cargo handling systems
US11958628B2 (en) 2020-04-14 2024-04-16 Goodrich Corporation Systems and methods for run-time self-assessment of cargo handling systems
US20210319683A1 (en) * 2020-04-14 2021-10-14 Goodrich Corporation Real-time communication link with a cargo handling system
US12060165B2 (en) 2020-04-14 2024-08-13 Goodrich Corporation Systems and methods for safely operating autonomous cargo handling systems
US12084201B2 (en) 2020-04-14 2024-09-10 Goodrich Corporation Distributed control of autonomous cargo handling systems

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4104721A (en) * 1976-12-30 1978-08-01 International Business Machines Corporation Hierarchical security mechanism for dynamically assigning security levels to object programs
US4442484A (en) * 1980-10-14 1984-04-10 Intel Corporation Microprocessor memory management and protection mechanism
JPS57195394A (en) * 1981-05-23 1982-12-01 Nippon Telegr & Teleph Corp <Ntt> Memory protection system by processor
JPS57206977A (en) * 1981-06-15 1982-12-18 Fujitsu Ltd Document processing system
DE3381324D1 (de) * 1982-06-21 1990-04-19 Ibm Recheneinrichtung und verfahren zu ihrem betrieb.
US4621321A (en) * 1984-02-16 1986-11-04 Honeywell Inc. Secure data processing system architecture

Also Published As

Publication number Publication date
DE3689569D1 (de) 1994-03-10
IL77504A (en) 1989-08-15
EP0192243A2 (de) 1986-08-27
US4713753A (en) 1987-12-15
JPH0812645B2 (ja) 1996-02-07
EP0192243B1 (de) 1994-01-26
JPS61195443A (ja) 1986-08-29
EP0192243A3 (en) 1989-07-19
KR910005995B1 (ko) 1991-08-09
KR860006731A (ko) 1986-09-15
CA1252907A (en) 1989-04-18

Similar Documents

Publication Publication Date Title
DE3689569T2 (de) Verfahren zur Systemdateiensicherung und Datenverarbeitungseinheit zu dessen Durchführung.
DE3586912T2 (de) Datenverarbeitungsanlage mit geschuetzten systemdateien.
DE69330339T2 (de) Lizenzverwaltungsvorrichtung für ein Computersystem
DE60021465T2 (de) Sicherheitsverwaltungssystem, Datenverteilungsvorrichtung und tragbares Terminalgerät
DE69324293T2 (de) Rechnersystem-Sicherheit
DE69530128T2 (de) Sicherheit für rechnerbetriebsmittel
DE69332633T2 (de) Verfahren und Sytem um, auf Bescheinigung gestützt, Alias zu entdecken
EP2843585B1 (de) Verfahren und System zum Bereitstellen von anonymisierten Daten aus einer Datenbank
DE69028226T2 (de) Gegen unbefugte Manipulation gesichertes Zugangsberechtigungsverfahren
DE69531112T2 (de) Mechanismus zum verknüpfen von dateien auf einem emulierten system mit dem zentralsystem für den zugriff durch emulierte systembenutzer
DE69226386T2 (de) Zugriffsteuerung in einem verteilten Rechnersystem
DE69724946T2 (de) Programmvermietungssystem und Verfahren zur Vermietung von Programmen
EP3452941B1 (de) Verfahren zur elektronischen dokumentation von lizenzinformationen
DE10226909A1 (de) System und Verfahren zur vorgeschriebenen Zugriffssteuerung auf ein Dateisystem
DE69818135T2 (de) Verfahren zum Zugriff auf Datenbankinformation
DE19839847A1 (de) Speichern von Datenobjekten im Speicher einer Chipkarte
DE60117757T2 (de) Schlüssel- und schliesseinrichtung
DE112010003971T5 (de) Vorübergehende Bereitstellung höherer Vorrechte für ein Rechensystem für eine Benutzerkennung
DE112014001363T5 (de) Verfahren, Vorrichtung und computer-lesbares Medium zum Datentokenisieren
DE60212969T3 (de) Verfahren und vorrichtung zum verfolgen des status eines betriebsmittels in einem system zur verwaltung der benutzung der betriebsmittel
WO2012168019A2 (de) Zugriff auf in einer cloud gespeicherte daten
DE10156877A1 (de) Verfahren und System zum gesicherten Speichern und Auslesen von Nutzdaten
EP1528450A1 (de) Verfahren zum Identifizieren, Authentifizieren und Autorisieren eines Benutzers von geschützen Daten
EP3588357B1 (de) System mit zertifikat-basierter zugriffskontrolle
EP3539044B1 (de) Zugriffskontrolle auf datenobjekte

Legal Events

Date Code Title Description
8364 No opposition during term of opposition
8339 Ceased/non-payment of the annual fee