DE60015709T2 - Sicherheitspolitik, die auf eine Gemeinschaftsdaten-Sicherheitsarchitektur angewendet wird - Google Patents

Sicherheitspolitik, die auf eine Gemeinschaftsdaten-Sicherheitsarchitektur angewendet wird Download PDF

Info

Publication number
DE60015709T2
DE60015709T2 DE60015709T DE60015709T DE60015709T2 DE 60015709 T2 DE60015709 T2 DE 60015709T2 DE 60015709 T DE60015709 T DE 60015709T DE 60015709 T DE60015709 T DE 60015709T DE 60015709 T2 DE60015709 T2 DE 60015709T2
Authority
DE
Germany
Prior art keywords
layer
security
policy
trust
services
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
DE60015709T
Other languages
English (en)
Other versions
DE60015709D1 (de
Inventor
Along Lin
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hewlett Packard Development Co LP
Original Assignee
Hewlett Packard Development Co LP
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hewlett Packard Development Co LP filed Critical Hewlett Packard Development Co LP
Publication of DE60015709D1 publication Critical patent/DE60015709D1/de
Application granted granted Critical
Publication of DE60015709T2 publication Critical patent/DE60015709T2/de
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/104Grouping of entities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2211/00Indexing scheme relating to details of data-processing equipment not covered by groups G06F3/00 - G06F13/00
    • G06F2211/009Trust

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Signal Processing (AREA)
  • Databases & Information Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Physics & Mathematics (AREA)
  • Computing Systems (AREA)
  • Storage Device Security (AREA)

Description

  • Gebiet der Erfindung
  • Die vorliegende Erfindung bezieht sich auf Verbesserungen bei der Sicherheitsarchitektur von Computerplattformen und insbesondere, obwohl nicht ausschließlich, auf Verbesserungen bei taktikbasierter Sicherheitsverwaltung bei der gemeinsamen Datensicherheitsarchitektur (CDSA; CDSA = Common Data Security Architecture).
  • Hintergrund der Erfindung
  • Mit der weiten Annahme des Internets und des World Wide Web ist es für Benutzer sehr viel leichter geworden, unter Verwendung von gemeinsamen Gatewayschnittstellen (CGIs; CGIs = Common Gateway Interfaces) oder Servlets über das Internet auf verschiedene Ressourcen zuzugreifen, wie z. B. Dokumente, Verzeichnisse, Datenbanken, Webseiten und Dienste. Dadurch sind einige schwerwiegende Sicherheitsprobleme aufgetreten, die sich auf den Zugriff von Daten auf einzelnen Rechenressourcen beziehen, wie z. B. Authentifizierung von Benutzern, Integritätsprüfung von Benutzerplattformen, Geheimhaltung und Sicherheit von Daten und Autorisierung zum Zugreifen auf Daten.
  • Bekannte herkömmliche Sicherheitssysteme umfassen Cryptographic API (CryptoAPI) von Microsoft, das vom Internet Explorer 3.x oder darüber und Windows NT 4.0 abhängt, und die bekannte Java Cryptography Extension (JCE) von Sun Microsystems ist gleichermaßen plattformabhängig und basiert auf einer Java-Plattform. Jedes dieser herkömmlichen Sicherheitssysteme hängt von einem proprietären Betriebssystem oder einer solchen Plattform ab. Die bekannte Common Data Security Architecture (CDSA) von Intel kann über einen großen Bereich von Computerplattformen und Betriebssystemen angewendet werden. Die Common Data Security Architecture liefert eine flexible und ausdehnbare Grundstruktur, die es Software und Hardware, die durch unabhängige Verkäufer erzeugt wird, ermöglicht, zusätzliche Sicherheitsdienste in einer Computerplattformumgebung zu liefern. Die Common Data Security Architecture ist ein offener und von der Industrie akzeptierter Standard, der Interoperabilität zwischen Plattformen, Plattformunabhängigkeit und einen umfassenden Satz von Sicherheitsdiensten unterstützt. Seit die Open Group ihre erste Spezifikation im Dezember 1997 angenommen hat, wurde CDSA weit verbreitet unterstützt. CDSA ist beschrieben in dem Dokument „Intel Security Program", veröffentlicht von der Intel Corporation am 1. Juli 1998. Mit Bezugnahme auf 1 hierin hat die herkömmliche CDSA-Version 2.0 die folgenden vier Schichten:
    • – eine Anwendungsschicht 100
    • – eine Mehrschicht-Dienste-Schicht 101 mit einem Satz von Sicherheitsdienstprotokollen, einem Sprachschnittstellenadapter und Werkzeugen
    • – eine Gemeinsamer-Sicherheitsdiensteverwalter- (CSSM-) Schicht 102
    • – eine Zusatzsicherheitsmodulschicht 103, die eine Einrichtung für eine Mehrzahl von Zusatzsicherheitsmodulen aufweist, wie z. B. kryptographische Dienstanbieter- (CSP-; CSP = Cryptographic Service Provider) Module, Zertifikatsbibliotheks- (CL-; CL = Certificate Library) Module, Vertrauenstaktik- (TP-; TP = Trust Policy) Module, Autorisierungsberechnungs- (AC-; AC = Authorization Computation) Module und Datenspeicherbibliotheks- (DL-; DL = Data Storage Library) Module.
  • Die Anwendungsschicht 100 hat einen Satz von Sicherheitsanwendungen, die in der Schicht enthalten sind; die Mehrschicht-Dienste-Schicht 101 umfasst typischerweise einen Satz von Sicherheitsdienstprotokollen, wie z. B. HTTPS, S/MIME, SSL oder SET; die CSSM-Schicht 102 enthält einen Satz von Verwaltungsmodulen 104109, einen Satz von Integritätsdiensten zum Prüfen der Integrität von Modulen, einen Verwalter von Sicherheitskontexten für Sicherheitsdienste und einen Satz von Schnittstellen 110115; und die Zusatzsicherheitsmodulschicht 103 hat einen Satz von benutzerkonfigurierbaren Sicherheitsdienstmodulen 116121, die proprietär und verkäuferspezifisch sein können und auf die durch die CSSM über die Schnittstellen 110115 in der CSSM-Schicht 102 zugegriffen werden kann.
  • Die Sicherheitsdiensteverwaltungsmodule 104109 umfassen einen Kryptographiedienstanbieterverwalter 104, einen Vertrauenstaktikmodulverwalter 105; einen Autorisierungsberechnungsmodulverwalter 106; einen Zertifikatsbibliotheksmodulverwalter 107; einen Datenspeicherbibliotheksmodulverwalter 108; und einen Wahlmodulverwalter 109.
  • Eine Begrenzung der bekannten Common Data Security Architecture tritt auf, wo ein Satz von Vertrauenstaktiken in eine Computerplattform implementiert werden soll. Vertrauen in eine Computerplattform ist ein besonders wichtiges Thema, wo Computerplattformen für elektronischen Handel verwendet werden und Elemente wie z. B. Kreditkartennummern, automatische Handelsprogramme und allgemeine kommerzielle Transaktionen handhaben. Vertrauenstaktiken umfassen einen Satz von Regeln, die von einer Computerplattform befolgt werden, um einen Vertrauenspegel in die Integrität einer Computerplattform zu bestimmen, die ein Benutzer der Computerplattform und/oder anderen Computerplattformen, die mit der Computerplattform interagieren, haben kann. Beispielsweise muss ein Benutzer oder eine dritte Rechenentität, die mit einer ersten Rechenentität interagieren, einen Grad an Vertrauen haben, dass die erste Rechenentität nicht durch einen Virus verfälscht wurde oder nicht beschädigt wurde, so dass die Computerplattform nicht vertrauenswürdig ist.
  • In der bekannten Common Data Security Architecture können Vertrauenstaktiken durch die Bereitstellung eines Vertrauenstaktikdienstmoduls 117 implementiert werden. Diese sind jedoch proprietär und verkäuferspezifisch. Jeder andere Verkäufer liefert sein eigenes Vertrauenstaktikmodul 117, das mit einer Semantik geschrieben ist, die für diesen Verkäufer spezifisch ist. Die Semantik eines bekannten Vertrauenstaktikmoduls ist durch den Modulentwickler vollständig fest codiert. Die Vertrauenstaktikmodulbenutzer müssen die Semantik verstehen, die von dem verkäuferspezifischen Vertrauenstaktikmodul 117 verwendet wird, so dass für jedes Vertrauenstaktikmodul 117 eine Modifikation des Vertrauenstaktikmoduls durchgeführt werden muss, aufgrund der unterschiedlichen Semantik, die zwischen unterschiedlichen Verkäufern verwendet wird. Sobald ein Vertrauenstaktikmodul 117 herausgegeben wird, sind Benutzer nicht in der Lage, neue Vertrauenstaktiken hinzuzufügen oder bestehende zu modifizieren, ohne die verkäuferspezifische Semantik zu verwenden. Aus der Perspektive des Benutzers ist dies nicht ideal, da der Benutzer eventuell seine eigene spezifische Vertrauenstaktiken in seinen Anwendungsbereichen geltend machen möchte, anstatt den Taktiken, die durch den Verkäufer geliefert und fest codiert werden. Die Sicherheitsinfrastruktur, die durch die herkömmliche CDSA geliefert wird, ist weder vollständig allgemein noch flexibel für Sicherheit und/oder Vertrauensverwaltung.
  • Bei der herkömmlichen CDSA-Sicherheitsarchitektur wird für jedes Vertrauenstaktikmodul die Semantik eines Satzes von Vertrauenstaktiken durch einen einzelnen Entwickler bestimmt. Unterschiedliche herkömmliche Vertrauenstaktikmodule, die von unterschiedlichen Entwicklern geschrieben werden, haben unterschiedliche Sätze von Semantik. Ein Benutzer möchte eventuell die Vertrauenstaktiken ändern, damit dieselben besser zu der Geschäftsorganisation des Benutzers passen. Weil das Vertrauenstaktikmodul eine nicht-allgemeine Semantik verwendet, muss der Benutzer zu dem Entwickler gehen, der das Vertrauenstaktikmodul geschrieben hat, damit diese Änderungen unter Verwendung des herkömmlichen Sicherheitssystems durchgeführt werden.
  • Das Dokument „Accessing the Intel Random Number Generator with CDSA", das von der Intel Corporation am 1. Januar 1999 veröffentlicht wurde, beschreibt ein Zusatzsicherheitsmodul, das eine Schnittstelle zu einem externen Zufallszahlengenerator aufweist.
  • Zusammenfassung der Erfindung
  • Es ist eine Aufgabe der vorliegenden Erfindung, eine verbesserte Common Data Security Architecture (CDSA) zu schaffen, die das Problem der Vertrauens- und Sicherheitstaktikverwaltung und das Problem der Verwendung unterschiedlicher Semantiksätze überwindet, die in unterschiedlichen verkäuferspezifischen Vertrauenstaktiken für eine Computerplattform verwendet und fest codiert werden.
  • Es ist eine zweite Aufgabe der vorliegenden Erfindung, eine Sicherheitsarchitektur zu schaffen, bei der einzelne Benutzer ihre eigenen Taktiken spezifizieren können, die in den individuellen Anwendungsbereichen des Benutzers geltend gemacht werden sollen.
  • Es ist eine dritte Aufgabe der vorliegenden Erfindung, eine verbesserte Sicherheitsarchitektur zu liefern, bei der einzelne Benutzer ihre eigenen Taktiken spezifizieren können, die geltend gemacht werden sollen, innerhalb jeder Schicht der CDSA-Sicherheitsarchitektur.
  • Es ist eine weitere Aufgabe der vorliegenden Erfindung, eine Architektur zu schaffen, die es Benutzern ermöglicht, unter Verwendung von Werkzeugen, die durch die Architektur geliefert werden, ihre eigenen Taktiken zu definieren.
  • Gemäß einem Aspekt der vorliegenden Erfindung ist eine Computerplattform vorgesehen, die zumindest einen Datenprozessor und zumindest eine Speichereinrichtung umfasst, wobei die Plattform eine Architektur aufweist, die folgende Merkmale umfasst:
    eine Anwendungsschicht zum Aufnehmen einer Mehrzahl von Benutzersicherheitsanwendungen;
    eine Mehrschicht-Dienste-Schicht, die unter der Anwendungsschicht liegt, zum Aufnehmen einer Mehrzahl von Sicherheitsdienstprotokollen;
    eine gemeinsame Sicherheitsdiensteverwalter- (CSSM-) Schicht, die unter der Mehrschicht-Dienste-Schicht liegt und eine Mehrzahl von Sicherheitsdiensteverwaltungseinrichtungen, einen Satz von Integritätsdiensten, einen Verwalter von Sicherheitskontexten und eine Mehrzahl von Schnittstellen zum Bilden einer Schnittstelle mit Zusatzsicherheitsmodulen umfasst; und
    eine Zusatzsicherheitsmodulschicht, die unter der gemeinsamen Sicherheitsdiensteverwaltungsschicht liegt, die konfiguriert ist, um eine Mehrzahl von Zusatzsicherheitsmodulen anzunehmen, die einen Satz von Standardsicherheitsdiensten implementieren;
    dadurch gekennzeichnet, dass die Plattform folgende Merkmale umfasst:
    eine allgemeine Vertrauenstaktikbibliothek in der Zusatzsicherheitsmodulschicht, die einen Satz von Standardvertrauenstaktikanwendungsschnittstellen (APIs; API = Applicaton Programming Interface) unterstützt;
    eine Vertrauenstaktikbeschreibungsdatei, die einen Satz von domainspezifisichen Vertrauenstaktiken enthält, die in
    einer Taktiksprache geschrieben sind, die für die Architektur gemeinsam ist; und
    einen Taktikinterpretierer in der gemeinsamen Sicherheitsdiensteverwalter- (CSSM-) Schicht, wobei der Taktikinterpretierer durch eine oder mehrere APIs in der allgemeinen Vertrauenstaktikbibliothek arbeitet, um einen Satz von Taktiken zu interpretieren, die in der Taktikbeschreibungsdatei enthalten sind.
  • Vorzugsweise ist zumindest eine der Mehrzahl der Dienstverwaltungseinrichtungen mit einer entsprechenden Taktikbeschreibungsdatei (PDF) versehen, die die Taktiken bestimmt, mit denen die zumindest eine Sicherheitsdiensteverwaltungseinrichtung arbeitet.
  • Vorzugsweise ist zumindest eines der Mehrzahl von Zusatzsicherheitsdienstmodulen mit einer entsprechenden jeweiligen Taktikbeschreibungsdatei (PDF) versehen, die die Taktik bestimmt, mit der das zumindest eine Zusatzsicherheitsdienstmodul arbeitet.
  • Vorzugsweise ist die Architektur dadurch gekennzeichnet, dass dieselbe ferner einen Satz von Taktik- und Modellverfassungswerkzeugen umfasst, die es einem Benützer ermöglichen, eine Taktikbeschreibungsdatei zu erzeugen, die einen Satz von benutzerspezifizierten Taktiken zum Steuern der Computerplattform implementiert.
  • Die Taktikbeschreibungssprache umfasst vorzugsweise eine bekannte PROLOG-Sprache.
  • Vorzugsweise umfasst der Taktikinterpretierer eine PROLOG-Inferenzmaschine.
  • Die Sicherheitsdiensteverwaltungsschicht ist mit ihrer eigenen Taktikbeschreibungsdatei zum Implementieren von Taktiken in dieser Schicht versehen.
  • Die Anwendungsschicht kann mit einer Anwendungsschichttaktikbeschreibungsdatei versehen sein, zum Bestimmen von Taktiken, die in die Anwendungsschicht implementiert werden sollen.
  • Die Mehrschicht-Dienste-Schicht kann mit einer Mehrschicht-Dienste-Taktikbeschreibungsdatei versehen sein, zum Bestimmen von Taktiken, die von der Mehrschicht-Dienste-Schicht befolgt werden.
  • Kurze Beschreibung der Zeichnungen
  • Für ein besseres Verständnis der Erfindung und zum Zeigen, wie dieselbe ausgeführt werden kann, werden nun beispielhaft spezifische Ausführungsbeispiele, Verfahren und Prozesse gemäß der vorliegenden Erfindung mit Bezugnahme auf die beiliegenden Zeichnungen beschrieben.
  • 1 stellt schematisch die herkömmliche 4-Schicht-Common-Data-Security-Architecture-Version 2.0 dar;
  • 2 stellt schematisch eine verbesserte Common Data Security Architecture gemäß einer ersten spezifischen Prototypimplementierung der vorliegenden Erfindung dar;
  • 3 stellt schematisch ein Beispiel einer Autorisierungstaktik dar, die in einer Vertrauenstaktikbeschreibungsdatei beschrieben ist, die durch einen Benutzer erzeugt wird, für den Anhang an die Common Data Security Architecture gemäß der spezifischen Implementierung der vorliegenden Erfindung;
  • 4 stellt schematisch ein Datenflussdiagramm für die Verwendung der verbesserten Common Data Security Architecture von 2 hierin dar; und
  • 5 stellt schematisch eine zweite verbesserte Common Data Security Architecture gemäß einem zweiten spezifischen Ausführungsbeispiel der vorliegenden Erfindung dar.
  • Detaillierte Beschreibung des besten Modus zum Ausführen der Erfindung
  • Nachfolgend wird beispielhaft der beste Modus beschrieben, der von den Erfindern zum Ausführen der Erfindung in Betracht gezogen wird. Bei der folgenden Beschreibung sind zahlreiche spezifische Einzelheiten aufgeführt, um ein gründliches Verständnis der vorliegenden Erfindung zu liefern. In anderen Fällen wurden gut bekannte Verfahren und Strukturen nicht näher beschrieben, um die vorliegende Erfindung nicht unnötig zu behindern.
  • Mit Bezugnahme auf 2 hierin ist schematisch eine Sicherheitsarchitektur gemäß einer ersten spezifischen Prototypimplementierung der vorliegenden Erfindung dargestellt. Die Sicherheitsarchitektur basiert auf einer Verbesserung der bekannten Common Data Security Architecture Version 1.2, und der Verwendung des bekannten Netscape Directory Servers, Version 4.0, die beide mit einem Hewlett Packard HP-UX 11.0 Betriebssystem kompatibel sind. Die Sicherheitsarchitektur umfasst eine Anwendungsschicht 200, in der ein Satz von Sicherheitsanwendungen enthalten ist; eine Mehrschicht-Dienste-Schicht 201, die einen Satz von Sicherheitsdienstprotokollen umfasst, die folgendes umfassen können: HTTPS, S/MIME, SSL oder SET; einen Sprachschnittstellenadapter, Werkzeuge 400 für Taktik- und Modellverfassung oder dergleichen; eine gemeinsame Sicherheitsdiensteverwalter- (CSSM-) Schicht 202, die folgen des enthält: einen Satz von Sicherheitsverwaltungsmodulen 203208, einen Satz von Integritätsdiensten zum Prüfen der Integrität von Modulen, einen Verwalter von Sicherheitskontexten für Sicherheitsdienste, einen Taktikinterpretierer 224, der einen Satz von Schnittstellen 209214; eine Zusatzsicherheitsdienstemodulschicht 215, die einen Satz von benutzerkonfigurierbaren Sicherheitsdienstemodulen 216221 umfasst, der proprietär und verkäuferspezifisch sein kann, und einen Satz von Standard-APIs enthält, und der mit der CSSM über die Schnittstellen 209214 kommuniziert. In der gemeinsamen Sicherheitsdiensteverwaltungs- (CSSM-) Schicht 202 gibt es eine Anwendungsprogrammierschnittstelle (API) zum Bilden einer Schnittstelle zwischen der Anwendungsschicht 200 und der CSSM-Schicht 202.
  • Die Sicherheitsverwaltungsmodule umfassen einen kryptographischen Dienstanbieter- (CSP-) Verwalter 203, einen Vertrauenstaktik- (TP-) Modulverwalter 204, einen Autorisierungsberechnungs- (AC-) Modulverwalter 205, einen Zertifikatsbibliotheks- (CL-) Modulverwalter 206, einen Datenspeicherbibliotheks- (TL-) Modulverwalter 207 und einen Wahlmodulverwalter 208.
  • Die Sicherheitsarchitektur umfasst in der Zusatzsicherheitsmodulschicht 215 eine allgemeine Vertrauenstaktikbibliothek 217, die durch die Vertrauenstaktikschnittstelle 210 kommuniziert und auf der Basis der Taktiken arbeitet, die in einer Vertrauenstaktikbeschreibungsdatei 223 beschrieben sind. Der Taktikinterpretierer 224 kommuniziert mit einer allgemeinen Vertrauenstaktikbibliothek 217.
  • Die externe Vertrauenstaktikbeschreibungsdatei 223 ist für eine Anwendungsdomain spezifisch und kann durch einen Benutzer unter Verwendung von Taktik- und Modellverfassungswerkzeugen 400 erzeugt werden. Die Semantik jeder Benutzervertrauenstaktik ist vollständig durch die externe Vertrauenstaktikbeschreibungsdatei 223 dieses Benutzers definiert.
  • Die Kombination der allgemeinen Vertrauenstaktikbibliothek 217 und einer spezifischen Vertrauenstaktikbeschreibungsdatei 223 ersetzt das herkömmliche Vertrauenstaktikmodul 117 in der bekannten Common Data Security Architecture. Weil die Vertrauenstaktikbibliothek 217 allgemein ist, kann die herkömmliche Vertrauenstaktikbibliothek 117, die nicht allgemein und für einen herkömmlichen Vertrauenstaktikmodulentwickler spezifisch ist, durch die Vertrauenstaktikbeschreibungsdatei 223 ersetzt werden.
  • Die allgemeine Vertrauenstaktikbibliothek 217 liefert einen Satz von Modulverwaltungsdiensten für den Anhang/die Trennung der Vertrauenstaktikbeschreibungsdatei 223 an/von dem CSSM. Nachdem eine Vertrauenstaktikbeschreibungsdatei 223 auf einem System erzeugt wurde, kann dieselbe durch die gemeinsame Sicherheitsdiensteverwalter- (CSSM-) Schicht 202 angehängt werden und wird durch einen Satz von Vertrauenstaktikdiensten verwendet, die durch die allgemeine Vertrauenstaktikbibliothek 217 in der Zusatzsicherheitsmodulschicht 215 vorgesehen sind.
  • Taktiken, die in der Vertrauenstaktikbeschreibungsdatei 223 enthalten sind, werden durch einen Taktikinterpretierer 224 implementiert, der eine Inferenzmaschine umfasst. Die Inferenzmaschine kann beurteilen, ob eine Taktikaussage wahr oder falsch ist. In jeder API der allgemeinen Vertrauenstaktikbibliothek 217 wird ein Aufruf an den Taktikinterpretierer 224 durchgeführt, um zu sehen, ob die API eine bestimmte Funktion durchführen kann, jedes Mal, wenn eine solche Funktion versucht wird. Für jede bestimmte API der allgemeinen Vertrauenstaktikbibliothek 217 gibt es eine zugeordnete Vertrauenstaktik in der Benutzervertrauenstaktikbeschreibungsdatei 223. Dies wird durch den Taktikinterpretierer 224 jedes Mal interpretiert, wenn versucht wird, eine Operation auszuführen. Falls es beispielsweise erforderlich ist, ein Zertifikat aufzuheben, würde die relevante API in der allgemeinen Vertrauenstaktikbibliothek 217, die zum Aufheben eines Zertifikats verwendet wird, vor dem Implementieren dieser Aufhebung einen verfahrensorientierten Aufruf zu dem Taktikinterpretierer 224 durchführen, der dann die Taktiken in der Vertrauenstaktikbeschreibungsdatei 223 interpretieren würde, um zu sehen, ob dem Aufheber vertraut werden kann, das Zertifikat aufzuheben. Die Vertrauenstaktikbeschreibungsdatei 223 kann erfordern, dass der Benutzer ein digitales Zertifikat hat, das durch eine vertrauenswürdige Zertifikatsautorität (CA) erteilt wurde, z. B. Baltimore, Entrust oder ähnliches, bevor dieselbe dem Benutzer vertraut, ein bestimmtes Zertifikat aufzuheben. Falls ein Benutzer ein digitales Zertifikat hat, das durch Baltimore zertifiziert wurde und Baltimore eine vertrauenswürdige CA ist, dann wird dem Benutzer vertraut, ein Zertifikat aufzuheben.
  • Eine Vertrauenstaktik kann sein, „falls ein Benutzer ein digitales Zertifikat hat, das durch zumindest zwei vertrauenswürdige Zertifikatsautoritäten (CAs) kreuzzertifiziert wurde, dann kann einem Benutzer vertraut werden, die Zertifikate aufzuheben". Ein anderer Benutzer kann eine andere Vertrauenstaktik wie folgt implementieren, „falls der Benutzer ein digitales Zertifikat hat, das von einer der vertrauenswürdigen CAs zertifiziert ist, dann wird dem Benutzer vertraut, die Zertifikate aufzuheben". Diese beiden Vertrauenstaktiken können durch zwei unterschiedliche Benutzer implementiert werden unter Verwendung der gleichen Architektur gemäß dem besten Modus hierin, indem jeder Benutzer unterschiedliche Vertrauenstaktikbeschreibungsdateien 223 hat, aber die den gleichen Taktikinterpretierer 224 und eine allgemeine Vertrauenstaktikbibliothek 217 verwendet, die durch die hierin beschriebene Architektur geliefert wird.
  • Bei dem besten Modus hierin werden der Taktikinterpretierer 224 und die allgemeine Vertrauenstaktikbibliothek 217 einmal entwickelt und alle Änderungen an den Vertrauenstaktiken des Benutzers werden durch die Änderungen eines Benutzers an seiner Vertrauenstaktikbeschreibungsdatei 223 durchgeführt, unter Verwendung der Taktik- und Modellverfassungswerkzeuge 400.
  • Die Taktikbeschreibungssprache definiert eine Sprache zum Einstellen von Sicherheitstaktiken. Bekannte herkömmliche Sicherheitstaktikbeschreibungssprachen sind für einen Nichtprogrammierer entweder zu spezifisch oder zu kompliziert zu verwenden. Es gibt ein Problem beim Entwerfen einer Sprache, die sowohl einfach als auch ausdrucksvoll ist. Herkömmliche Programmiersprachen können in der allgemeinen Vertrauenstaktikbibliothek 217 verwendet werden, aber die Taktikbeschreibungssprache muss zumindest einige der folgenden Merkmale haben.
    • – Die Taktikbeschreibungssprache ist leicht zu verwenden, so dass das Schreiben einer Taktik so leicht sein sollte wie das Beschreiben, was die Taktik ist.
    • – Die Sprache sollte eine gute Programmierbarkeit haben.
    • – Die Sprache sollte sehr einfach und dennoch ausdrucksvoll genug sein, um das Schreiben einer Vielzahl von Taktiken zu unterstützen.
    • – Die Sprache sollte in der Lage sein, sowohl Sicherheitstaktiken als auch domainspezifische Vertrauenstaktiken zu spezifizieren.
    • – Die Sprache sollte das Schreiben eines Satzes von Taktikvorlagen unterstützen. Taktikvorlagen umfassen voreingestellte Taktiken, die prägnanter sind als konkret dargestellte Taktiken. Die Sprache sollte das Unterstützen von Taktiken mit Variablen unterstützen.
    • – Die Sprache sollte das Merkmal der Vernünftigkeit haben. Beispielsweise muss das Beantworten der Frage „wird dem Benutzer vertraut, eine Operation einer Res source durchzuführen" erörtert werden, falls eine Vertrauensbeziehung von einem Satz von Vertrauenstaktiken abgeleitet werden kann, die in der Vertrauenstaktikbeschreibungsdatei gespeichert sind. Ferner erfordert das Prüfen nach Taktikkonflikten ein Element der Erörterung, das durch die Taktikbeschreibungssprache unterstützt wird.
    • – Die Sprache sollte für Verfeinerung geeignet sein. Weil die Taktikentwicklung ein Prozess des Umwandelns einer Taktikbeschreibung hoher Ebene zu einem maschinenverständlichen Code ist, sollte die Unterstützung einer inkrementalen Taktikprototypbildung und Verfeinerung ein Merkmal der Taktikbeschreibungssprache sein.
    • – Die Sprache sollte einen einheitlichen Mechanismus haben. Taktiken, Beglaubigungen und Vertrauensbeziehungen sollten auf einheitliche Weise dargestellt und verarbeitet werden, anstatt getrennt bearbeitet zu werden.
  • In dem besten Modus hierin wird die herkömmliche Programmiersprache PROLOG (PROgramming in LOGic) für die Taktikbeschreibungssprache verwendet. PROLOG ist geeignet für die Verwendung als Sprache zum Spezifizieren von Sicherheitstaktiken aufgrund ihrer folgenden Charakteristika.
    • – PROLOG ist erklärend. Eine Regel in PROLOG definiert eine Beziehung zwischen mehreren Objekten. Eine Sicherheitstaktik kann als Regel in PROLOG beschrieben werden. Ferner ist das Spezifizieren einer Vertrauenstaktik in PROLOG beinahe so einfach wie das Beschreiben, wie die Vertrauensbeziehung ist.
    • – In PROLOG können Regeln Variablen enthalten, so dass die PROLOG-Sprache das Schreiben von Taktikvorlagen unterstützt.
    • – PROLOG ist in der Lage, von einem Satz von Regeln zu erörtern, der sowohl Taktikbewertung als auch Taktikkonflikterfassung unterstützt.
    • – Datenstrukturen in PROLOG sind einheitlich ausgedrückte Strukturen. Daher könne alle Sicherheitsobjekte auf einheitliche Weise dargestellt werden und somit ihre Verarbeitung vereinfachen.
    • – PROLOG ist eine produktive Modelliersprache, die sowohl inkrementales Taktikschreiben als auch Taktikverfeinerung unterstützt.
    • – PROLOG liefert auch eine verfahrensorientierte Interpretation, so dass Aktionen durchgeführt werden können, wenn sie notwendig sind.
    • – PROLOG basiert auf Hornklauseln, die ein Teilsatz der Logik erster Ordnung (FOL; FOL = First Order Logic) sind, die eine solide mathematische Grundlage für allgemeines Taktikübereinstimmungsprüfen liefert.
  • Bei einer Prototypimplementierung des besten Modus auf der Basis von HP-UX 11.0 ist die PROLOG-Sprache als Endtaktikdarstellungssprache angenommen und eine gemeinschaftlich verwendete Bibliothek wird erzeugt, um als ein Taktikinterpretierer zu wirken. Es wurde beobachtet, dass das Schreiben von domainspezifischen Taktiken ein System und einen Geschäftsprozess einer Organisation unter Verwendung der Modellverfassungswerkzeuge 400 modellieren muss.
  • Innerhalb von Anwendungen ruft ein Benutzer zunächst eine gemeinsamer Sicherheitsdienste-Verwalter- (CSSM-) Anwendungsprogrammierschnittstelle (API) auf und fragt dann den gemeinsamen Sicherheitsdiensteverwalter, sich an die allgemeine Vertrauenstaktikbibliothek 217 anzuhängen, was während der CSSM-Initialisierung durchgeführt werden kann. Die allgemeine Vertrauenstaktikbibliothek 217 unterstützt eine PassThrough-API, die eine Anfrage auf der Basis eines Satzes von Taktiken bewerten kann. Bei Funktionen, die jede der APIs eines Standardvertrauenstaktikmoduls 117 definieren, wird die PassThrough-Funktion als erstes aufgerufen, um die Taktiken geltend zu machen, die der bestimmten API zugeordnet sind. Auf diese Weise sind sowohl die Zusatzsicherheitsmodule als auch der gemeinsame Sicherheitsdiensteverwalter (CSSM) in der Lage, ihre eigenen Sicherheitstaktiken geltend zu machen, durch Aufrufen der allgemeinen Vertrauenstaktikbibliothek-PassThrough-API. Dies ist ein wesentlicher Vorteil im Vergleich zu der herkömmlichen Common Data Security Architecture (CDSA-) Grundstruktur.
  • Nachfolgend wird ein Beispiel einer Taktik beschrieben, die in der Form einer PROLOG-Aussage in der Vertrauenstaktikbeschreibungsdatei 223 eines Benutzers gespeichert ist.
  • Mit Bezugnahme auf 3 hierin ist ein Beispiel einer Autorisierungstaktik definiert, dass ein Bankkontoinhaber (U) einen Betrag P Pfund Sterling von seinem Konto A zu einem anderen Bankkonto B übertragen kann, falls der Betrag P geringer als 10.000 Pfund ist und geringer als der aktuelle Stand des Kontos A. Bei der in 3 gezeigten Regel sind das Konto Nummer A, das Konto Nummer B, der Betrag P und der Stand (Balance) des Kontos A logische Variablen, die nur in der beschriebenen Regel gültig sind.
  • Bei dem Beispiel von 3 wird ein Verfahren verwendet, um externe Informationen über ein Bankkonto wiederzugewinnen. Falls die Aussage
    Balance_of_Account (Balance, A)
    (Kontostand (Stand, A)
    als wahr bewertet wird, wird die logische Variable Balance vereinheitlicht auf den echten Stand des Bankkontos A. Ferner wird angenommen, dass die Beziehung Owner_of_Account (Inhaber_des_Kontos) (U, A) auch in einem Modell definiert wurde.
  • Wenn ein Benutzer Geld zwischen seinen beiden Bankkonten A, B übertragen möchte, kann dies durchgeführt werden, falls die obige Taktik als wahr bewertet wird. Andernfalls wird dem Benutzer nicht vertraut, das Geld zu übertragen.
  • Bei dem obigen Beispiel wird die Taktik, wie sie in 3 dargestellt ist, in einer Vertrauenstaktikbeschreibungsdatei 223 gespeichert, die durch einen Dienstanbieter erzeugt wird, und durch den Taktikinterpretierer 224 interpretiert. Die allgemeine Vertrauenstaktikbibliothek 217 führt die Funktion des Anhangs/der Entfernung der Vertrauenstaktikbeschreibungsdatei 223 an/von dem CSSM durch.
  • Mit Bezugnahme auf 4 ist schematisch ein Mechanismus für die Geltendmachung von Taktiken in der Architektur gemäß dem besten Modus der vorliegenden Erfindung dargestellt. Um die Architektur zu nutzen, muss ein Benutzer einen Satz von Vertrauenstaktiken in einer Vertrauenstaktikbeschreibungsdatei 223 liefern, die durch den Benutzer geliefert wird. Die allgemeine Vertrauenstaktikbibliothek 217 ist vorbestimmt und wird einmal für die Zusatzsicherheitsdienstschicht 215 erzeugt. Dies vereinfacht die Entwicklung der herkömmlichen Vertrauenstaktikmodule 117. In der Mehrschicht-Dienste-Schicht 501 ist ein Satz von Taktik- und Modellverfassungswerkzeugen 400 vorgesehen, der es dem Benutzer ermöglicht, die Vertrauenstaktikbeschreibungsdatei (TPDF) zu entwickeln. Die allgemeine Vertrauenstaktikbibliothek 217 ist getrennt von dem Taktikinterpretierer 224. Die Semantik einer Vertrauenstaktik ist vollständig definiert durch die entsprechende Vertrauenstaktikbeschreibungsdatei 223, die durch den Benutzer unter Verwendung der Taktik- und Modellverfassungswerkzeuge 400 erzeugt wird. Weil die Vertrauenstaktikbeschreibungsdatei 223 unter Verwendung einer allgemeinen Taktikbeschreibungssprache erzeugt wurde, ist die Vertrauenstaktikbeschreibungsdatei bereits in einem allgemeinen Format, das für die Architektur verständlich ist und zu einer anderen Computerplattform der gleichen Architektur übertragen werden kann. Wie es in 4 dargestellt ist, können Taktiken auch von einer Datenspeichervorrichtung 401 wiedergewonnen werden, auf die dieselben vorgeschrieben sein können.
  • Mit Bezugnahme auf 5 ist schematisch eine zweite spezifische Implementierung gemäß der vorliegenden Erfindung dargestellt. Die Architektur der zweiten spezifischen Implementierung basiert auf dem, wie es vorher mit Bezugnahme auf die erste spezifische Implementierung beschrieben wurde. Die Architektur umfasst eine Anwendungsschicht 500, eine Mehrschicht-Dienste-Schicht 501, eine gemeinsame Sicherheitsdiensteverwalter- (CSSM-) Schicht 502 und eine Zusatzsicherheitsdienstmodulschicht 503. In der Anwendungsschicht 500 sind eine Mehrzahl von Sicherheitsanwendungen 504 vorgesehen und eine Anwendungstaktikbeschreibungsdatei 540, die einen Satz von benutzerspezifizierten Taktiken enthält, die an die Anwendungsdomain anwendbar sind. Bei der Mehrschicht-Dienste-Schicht 501 sind eine Mehrzahl von Mehrschicht-Diensten 505 vorgesehen, wie sie hierin oben beschrieben sind, und außerdem eine Mehrschicht-Dienste-Taktikbeschreibungsdatei 506, die einen Satz von Taktiken enthält, die auf die Dienste anwendbar sind, die in der Mehrschicht-Dienste-Schicht 501 enthalten sind. In der gemeinsame Sicherheitsdiensteverwalter- (CSSM-) Schicht 502 sind ein Satz von Verwaltungsmodulen, ein Satz von Integritätsdiensten, ein Sicherheitskontextverwalter, ein Taktikinterpretierer 510, Werkzeuge für Taktik- und Modellverfassung oder dergleichen, Schnittstellen 521526, über die CSSM mit Zusatzsicherheitsmodulen 527532 kommuniziert, wie es hierin oben beschrieben ist, und eine CSSM-Taktikbeschreibungsdatei 520 vorgesehen, die Taktiken umfasst, die auf den Betrieb der CSSM-Schicht 502 anwendbar sind. In den Zusatzsicherheitsmodulen 503 sind CSP-Module 527, eine allgemeine Vertrauenstaktikbibliothek 528 und ein oder mehrere Vertrauenstaktikbeschreibungsdateien 534, AC- Module 529, CL-Module 530, DL-Module 531 und Wahlmodule 532 vorgesehen, für die Bereitstellung neuer Dienste, die durch einen Benutzer gewählt und spezifiziert werden können. Ferner können Zusatzsicherheitsmodule 527, 529532 auch durch ihre jeweiligen Taktikbeschreibungsdateien 535539 erweitert werden.
  • Die Verwaltungsmodule umfassen einen Kryptographiedienstanbieter- (CSP-) Verwalter 507 und außerdem eine CSP-Verwaltertaktikbeschreibungsdatei 508, die Taktiken enthält, die auf den CSP-Verwalter anwendbar sind; einen Vertrauenstaktik- (TP-) Modulverwalter 509 und außerdem eine TP-Verwaltertaktikbeschreibungsdatei 511, die Taktiken enthält, die auf den TP-Verwalter anwendbar sind, einen Autorisierungsberechnungs- (AC-) Modulverwalter 512 und außerdem eine AC-Verwaltertaktikbeschreibungsdatei 513, die einen Satz von Taktiken enthält, die auf den AC-Modulverwalter anwendbar sind; einen Zertifikatsbibliotheks- (CL-) Modulverwalter 514 und außerdem eine CL-Verwaltertaktikbeschreibungsdatei 515, die Taktiken enthält, die auf den CL-Modulverwalter anwendbar sind; einen Datenspeicherungsbibliotheks- (DL-) Modulverwalter 516 und außerdem eine DL-Verwaltertaktikbeschreibungsdatei 517, die Taktiken enthält, die auf den DL-Modulverwalter anwendbar sind; einen Wahlmodulverwalter 518 und außerdem eine Wahlmodulverwaltertaktikbeschreibungsdatei 519, die Taktiken enthält, die auf die Verwaltung der Wahlmodule anwendbar ist.
  • Sicherheitstaktiken jeder Schicht in der Architektur werden durch einzelne Taktikbeschreibungsdateien implementiert, die durch einen Benutzer oder einen Verkäufer definiert sein können.
  • Jeder Modulverwalter in der gemeinsamen Sicherheitsdiensteverwalter- (CSSM-) Schicht 502 kann daher seinen eigenen Satz von Taktiken haben, die vom Modulverwalterentwickler definiert sein können unter Verwendung von Werkzeugen, wie sie hierin mit Bezugnahme auf 2 beschrieben sind, in einer Sprache, die für die Architektur üblich ist. Auf jeder Ebene hat der Benutzer Steuerung über die Sicherheitstaktiken, die in jeder Schicht angewendet werden, durch Einstellen der Taktiken in dieser Schicht unter Verwendung des Werkzeugsatzes, der in der Architektur vorgesehen ist. Außerdem kann ein Benutzer innerhalb einzelner Zusatzsicherheitsmodule selbst, beispielsweise der Datenspeicherungsbibliothek 531, auch eine spezifische Taktikbeschreibungsdatei 538 erzeugen, zum Steuern von Zugriff auf die Daten in einem Datenspeicher 533. Eine beispielhafte Taktik kann wie folgt sein: „Einem Benutzer einer Anwendung ist es nicht erlaubt, private Schlüsseldaten in eine Datenspeicherung auf der Basis eines lokalen Dateisystems zu speichern". Diese Taktik kann in einer Taktikbeschreibungsdatei 538 gespeichert sein, die in der Datenspeicheungsbibliothek 531 zugeordnet ist. Eine weitere Taktik kann sein: „Falls ein Benutzer auf Taktikdaten zugreifen möchte, die in einer Datenspeichervorrichtung gespeichert sind, muss der Benutzer sich selbst der Datenspeichervorrichtung authentifizieren".
  • Jede Taktikbeschreibungsdatei wird durch den Einzeltaktikinterpretierer 510 interpretiert, der in der gemeinsamen Sicherheitsdiensteverwalter- (CSSM-) Schicht 502 vorgesehen ist. Außerdem hat die CSSM-Schicht selbst eine Taktikbeschreibungsdatei 520, wodurch ein Benutzer Taktiken beschreiben kann, mit denen der CSSM arbeitet, unter Verwendung des gemeinsamen Werkzeugsatzes, der in der Mehrschicht-Dienste-Schicht 501 vorgesehen ist, wie es hierin mit Bezugnahme auf 2 beschrieben ist. Beispielsweise kann der CSSM seine eigene Taktik, die in einer CSSM-spezifischen Taktikbeschreibungsdatei 520 gespeichert ist, wie folgt implementieren: „Der CSSM kann sich selbst nur an Sicherheitsmodule anhängen, die durch die Modulentwickler unterzeichnet wurden, die digitale Zertifikate haben, die durch den CSSM-Verkäufer ausgestellt wurden".
  • Es ist sowohl eine dynamische Verbindungsbibliothek (DLL) auf Windows NT 4.0 vorgesehen, als auch eine gemeinschaftlich verwendete Bibliothek auf dem HP-UX 11.0 des Taktikinterpretierers 510, so dass der gemeinsame Sicherheitsdiensteverwalter und alle Zusatzsicherheitsmodule ihre eigenen Taktiken geltend machen können durch direktes Aufrufen des Taktikinterpretierers anstatt durch Aufrufen der allgemeinen Vertrauenstaktikbibliothek-PassThrough-API. Ein Vorteil dieser Lösung ist ihre hohe Effizienz. Zusätzlich kann es sein, dass es keinen Bedarf an einem Vertrauenstaktikmodulverwalter 509 gibt, weil die allgemeine Vertrauenstaktikbibliothek 528 Teil der gemeinsamen Sicherheitsdiensteverwalterschicht 502 werden kann. Aus der Perspektive des Benutzers und für ursprüngliche herkömmliche CDSA-Anwendungen sollte die Schnittstelle jedoch rückwärtskompatibel sein. Daher ist es sinnvoll, die CDSA sowohl mit einer gemeinschaftlich verwendeten Bibliothek als auch einem Zusatzsicherheitsmodul der allgemeinen Vertrauenstaktikbibliothek 528 zu versehen.
  • Verschiedene Schnittstellen in der gemeinsamen Sicherheitsdiensteverwalterschicht, in dem Kryptographiedienstanbietermodul, dem Zertifikatsbibliotheksmodul und dem Datenspeicherbibliotheksmodul können taktikbasiert sein. Beispiele derselben sind wie folgt:
    • – Kryptographiedienstanbieter (CSP): private Schlüsselspeicherung in einem CSP kann eine Taktik geltend machen, dass der CSP Schlüsselmaterial nicht offenbart, außer dies wurde kryptographisch geschützt.
    • – Eine verzeichnisbasierte Datenspeicherungsbibliothek (DL): zum Wiedergewinnen von Sicherheitstaktiken, die in dem Verzeichnis gespeichert sind, müssen Benutzer authentifiziert sein durch den Verzeichnisserver unter Verwendung ihrer Berechtigungsnachweise.
    • – Gemeinsame Sicherheitsdiensteverwalter- (CSSM-) Schicht: bevor der CSSM sich an ein Kryptographiedienstanbieter- (CSP-) Modul anhängt, muss dasselbe die Signaturen auf dem CSP-Modul verifizieren.
  • Das Wahlmodul 532 ist für eine zukünftige Wahlverwendung reserviert. Das Wahlmodul kann für den Einbau eines Schlüsselwiedergewinnungsmoduls oder eines Benutzerauthentifizierungsmoduls verwendet werden.
  • Die Integritätsdienste in der CSSM-Schicht 502 prüfen die Integrität jedes Zusatzmoduls und des CSSM selbst. Jedes der Zusatzsicherheitsmodule 527532 muss auf der Basis ihrer Signaturen verifiziert werden, die durch Modulentwickler unterzeichnet sind. Jedes Modul hat ein digitales Zertifikat, das durch seinen Entwickler unterzeichnet wurde und in das Modul aufgenommen wurde, wobei der CSSM-Verkäufer dem Zertifikat vertraut.
  • Neben dem Bereitstellen von Integritätsdiensten liefert der CSSM auch Sicherheitskontextverwaltung. Wo beispielsweise unterschiedliche Algorithmen verwendet werden, um Daten zu unterzeichnen und/oder zu verschlüsseln, was auf einer Element-um-Element-Basis erreicht werden kann, wobei Datenelemente unterschiedliche Sicherheitskontexte für Datenunterzeichnung und/oder Datenverschlüsselung verwenden, die durch den CSP durchgeführt wird. Ein Benutzer kann unterschiedliche CSPs verwenden, die von unterschiedlichen Herstellern stammen können.
  • Eine weitere Funktion der CSSM-Schicht ist Modulverwaltung. Module können an den CSSM angehängt oder von demselben gelöst werden, was durch die CSSM-Schicht verwaltet wird. Taktiken, die das Anhängen und Entfernen von Modulen regeln, können in der CSSM-Taktikbeschreibungsdatei 520 von einem CSSM-Verkäufer spezifiziert sein. Die Mehrschicht-Dienste-Schicht kann auch ihre Taktikbeschreibungsdatei 506 umfassen, die die Sicherheitsdienstprotokolle, Sprachen schnittstellenadapter für Sprachen, wie z. B. Java und C++, und Werkzeuge regelt.
  • Ebenso wie Taktiken, die an die Anwendungsschicht 500, die Mehrschicht-Dienste-Schicht 501 und die CSSM-Schicht 502, angelegt werden, können Benutzer ihre eigenen Sicherheits- und Vertrauenstaktiken an der Zusatzsicherheitsmodulschicht 503 definieren, durch Aufnehmen einzelner benutzergeschriebener Taktikbeschreibungsdateien in jedes der Kryptographiedienstanbieter- (CSP-) Module 527, das Autorisierungsberechnungs- (AC-) Modul 529, das Zertifikatsbibliotheks-(CL-) Modul 530, die Datenspeicherbibliotheks- (DL-) Module 531 und die Wahldienstmodule 532.
  • Der Benutzer kann seine eigenen Vertrauenstaktiken in der Benutzertaktikbeschreibungsdatei definieren. Die Vertrauenstaktikbeschreibungsdatei 534 speichert Taktiken, die einen Satz von domainspezifischen Vertrauenstaktiken beschreiben, die bestimmen, ob einem Benutzer vertraut werden kann, um bestimmte Operationen durchzuführen. Beispielsweise das Zulassen eines Benutzers zu einer finanziellen Transaktion. In dem besten Modus können unterschiedliche Benutzer unter Verwendung der gleichen allgemeinen Vertrauenstaktikbibliothek 528 jeweils ihre eigene Vertrauenstaktikbeschreibungsdateien 534 spezifizieren und ihre eigenen Vertrauenstaktiken beschreiben.
  • Ein Beispiel einer Taktik, die in der CSP-Taktikbeschreibungsdatei 535 in einem CSP-Modul 527 gespeichert ist, kann wie folgt sein: „Der private Schlüssel eines Benutzers darf nie dem CSSM oder dem Rest der Sicherheitsarchitektur einer Computerplattform gezeigt werden, außer er wurde kryptographisch geschützt".

Claims (9)

  1. Eine Computerplattform, die zumindest einen Datenprozessor und zumindest eine Speichereinrichtung umfasst, wobei die Plattform eine Architektur aufweist, die folgende Merkmale umfasst: eine Anwendungsschicht (200) zum Aufnehmen einer Mehrzahl von Benutzersicherheitsanwendungen; eine Mehrschicht-Dienste-Schicht (201), die unter der Anwendungsschicht liegt, zum Enthalten einer Mehrzahl von Sicherheitsdienstprotokollen; eine gemeinsame Sicherheitsdiensteverwalter- (CSSM-) Schicht (202), die unter der Mehrschicht-Dienste-Schicht liegt und eine Mehrzahl von Sicherheitsdiensteverwaltungseinrichtungen (203208), einen Satz von Integritätsdiensten, einen Verwalter von Sicherheitskontexten und eine Mehrzahl von Schnittstellen (209214) zum Bilden einer Schnittstelle mit Zusatzsicherheitsmodulen (216221) umfasst; und eine Zusatzsicherheitsmodulschicht (215), die unter der gemeinsamen Sicherheitsdiensteverwaltungsschicht liegt, die konfiguriert ist, um eine Mehrzahl von Zusatzsicherheitsmodulen (216, 218221) anzunehmen, die einen Satz von Standardsicherheitsdiensten implementieren; dadurch gekennzeichnet, dass die Plattform folgende Merkmale umfasst: eine allgemeine Vertrauenstaktikbibliothek (217) in der Zusatzsicherheitsmodulschicht (215), die einen Satz von Standardvertrauenstaktikanwendungsschnittstellen (APIs) unterstützt; eine Vertrauenstaktikbeschreibungsdatei (223), die einen Satz von domainspezifischen Vertrauenstaktiken enthält, die in einer Taktiksprache geschrieben sind, die für die Architektur gemeinsam ist; und einen Taktikinterpretierer (224) in der gemeinsamen Sicherheitsdiensteverwalter- (CSSM-) Schicht (202), wobei der Taktikinterpretierer durch eine oder mehrere APIs in der allgemeinen Vertrauenstaktikbibliothek arbeitet, um einen Satz von Taktiken zu interpretieren, die in der Taktikbeschreibungsdatei enthalten sind.
  2. Die Computerplattform gemäß Anspruch 1, dadurch gekennzeichnet, dass zumindest eine der Mehrzahl der Verwaltungseinrichtungen (203208) ferner eine entsprechende jeweilige Taktikbeschreibungsdatei umfasst, die die Taktiken bestimmt, mit denen die zumindest eine Verwaltungseinrichtung arbeitet.
  3. Die Computerplattform gemäß einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass dieselbe ferner einen Satz von Taktik- und Modellverfassungswerkzeugen (400) umfasst, die es einem Benutzer ermöglicht, die Taktikbeschreibungsdatei zu erzeugen, die einen Satz von benutzerspezifizierten domainspezifischen Taktiken zum Steuern der Computerplattform implementiert.
  4. Die Computerplattform gemäß einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Taktikbeschreibungssprache ferner eine bekannte PROLOG-Sprache umfasst.
  5. Die Computerplattform gemäß einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass der Taktikin terpretierer ferner eine PROLOG-Inferenzmaschine umfasst.
  6. Die Computerplattform gemäß einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die gemeinsame Sicherheitsdiensteverwaltungsschicht (502) ferner ihre eigene Taktikbeschreibungsdatei (520) umfasst, zum Implementieren von Taktiken in dieser Schicht.
  7. Die Computerplattform gemäß einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Anwendungsschicht (500) ferner eine Anwendungsschichttaktikbeschreibungsdatei (540) zum Bestimmen von Taktiken umfasst, die in der Anwendungsschicht zu implementieren sind.
  8. Die Computerplattform gemäß einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass die Mehrschicht-Dienste-Schicht (501) ferner eine Mehrschicht-Dienste-Schicht-Taktikbeschreibungsdatei (506) umfasst, zum Bestimmen von Taktiken, die von der Mehrschicht-Dienste-Schicht befolgt werden.
  9. Die Computerplattform gemäß einem der vorhergehenden Ansprüche, dadurch gekennzeichnet, dass zumindest eines der Mehrzahl von Zusatzsicherheitsmodulen (216, 218221) ferner eine entsprechende jeweilige Taktikbeschreibungsdatei umfasst, die die Taktiken bestimmt, mit der das zumindest eine zusätzliche Sicherheitsmodul arbeitet.
DE60015709T 2000-01-19 2000-01-19 Sicherheitspolitik, die auf eine Gemeinschaftsdaten-Sicherheitsarchitektur angewendet wird Expired - Fee Related DE60015709T2 (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
EP00300346A EP1118925B1 (de) 2000-01-19 2000-01-19 Sicherheitspolitik, die auf eine Gemeinschaftsdaten-Sicherheitsarchitektur angewendet wird

Publications (2)

Publication Number Publication Date
DE60015709D1 DE60015709D1 (de) 2004-12-16
DE60015709T2 true DE60015709T2 (de) 2005-11-10

Family

ID=8172651

Family Applications (1)

Application Number Title Priority Date Filing Date
DE60015709T Expired - Fee Related DE60015709T2 (de) 2000-01-19 2000-01-19 Sicherheitspolitik, die auf eine Gemeinschaftsdaten-Sicherheitsarchitektur angewendet wird

Country Status (3)

Country Link
US (1) US6941471B2 (de)
EP (1) EP1118925B1 (de)
DE (1) DE60015709T2 (de)

Families Citing this family (54)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7673323B1 (en) 1998-10-28 2010-03-02 Bea Systems, Inc. System and method for maintaining security in a distributed computer network
US20030050036A1 (en) * 2001-09-07 2003-03-13 Hayduk Matthew A. Security services for wireless devices
US7676540B2 (en) 2001-10-16 2010-03-09 Microsoft Corporation Scoped referral statements
US8015204B2 (en) 2001-10-16 2011-09-06 Microsoft Corporation Scoped access control metadata element
EP1303097A3 (de) 2001-10-16 2005-11-30 Microsoft Corporation Virtuelles verteiltes Sicherheitsystem
US7194553B2 (en) 2001-10-16 2007-03-20 Microsoft Corporation Resolving virtual network names
US7899047B2 (en) 2001-11-27 2011-03-01 Microsoft Corporation Virtual network with adaptive dispatcher
US20040059920A1 (en) * 2002-09-19 2004-03-25 International Business Machines Corporation Security health checking tool
US9064281B2 (en) 2002-10-31 2015-06-23 Mastercard Mobile Transactions Solutions, Inc. Multi-panel user interface
US10176476B2 (en) 2005-10-06 2019-01-08 Mastercard Mobile Transactions Solutions, Inc. Secure ecosystem infrastructure enabling multiple types of electronic wallets in an ecosystem of issuers, service providers, and acquires of instruments
US7353535B2 (en) * 2003-03-31 2008-04-01 Microsoft Corporation Flexible, selectable, and fine-grained network trust policies
CA2527501A1 (en) * 2003-05-28 2004-12-09 Caymas Systems, Inc. Multilayer access control security system
EP1678911A1 (de) * 2003-09-29 2006-07-12 Mobilitec, Inc. Dienst-plattform für die zellulare telefonie
US20050262362A1 (en) * 2003-10-10 2005-11-24 Bea Systems, Inc. Distributed security system policies
US20050251852A1 (en) * 2003-10-10 2005-11-10 Bea Systems, Inc. Distributed enterprise security system
US20050102510A1 (en) * 2003-10-10 2005-05-12 Bea Systems, Inc. Delegation in a distributed security system
US7206758B2 (en) * 2003-11-12 2007-04-17 International Business Machines Corporation Method, system and computer program product for identifying and implementing collected privacy policies as aggregate privacy policies in electronic transactions
US7540013B2 (en) * 2004-06-07 2009-05-26 Check Point Software Technologies, Inc. System and methodology for protecting new computers by applying a preconfigured security update policy
JP4341517B2 (ja) * 2004-06-21 2009-10-07 日本電気株式会社 セキュリティポリシー管理システム、セキュリティポリシー管理方法およびプログラム
US8725521B2 (en) 2004-08-13 2014-05-13 International Business Machines Corporation System and method for designing secure business solutions using patterns
US20060183461A1 (en) 2005-02-11 2006-08-17 Research In Motion Limited System and method of modifying policy settings in an electronic device
US8590011B1 (en) * 2005-02-24 2013-11-19 Versata Development Group, Inc. Variable domain resource data security for data processing systems
US8086615B2 (en) 2005-03-28 2011-12-27 Oracle International Corporation Security data redaction
US7748027B2 (en) * 2005-05-11 2010-06-29 Bea Systems, Inc. System and method for dynamic data redaction
US8713667B2 (en) * 2005-07-08 2014-04-29 Hewlett-Packard Development Company, L.P. Policy based cryptographic application programming interface in secure memory
US8363558B2 (en) * 2005-08-03 2013-01-29 Research In Motion Limited System and method of modifying communications policy settings in a wireless network
WO2007044500A2 (en) 2005-10-06 2007-04-19 C-Sam, Inc. Transactional services
US10032160B2 (en) 2005-10-06 2018-07-24 Mastercard Mobile Transactions Solutions, Inc. Isolating distinct service provider widgets within a wallet container
US7650140B2 (en) * 2005-10-28 2010-01-19 Research In Motion Limited System and method of maintaining communications policy settings in a wireless network
US7840211B2 (en) 2005-10-28 2010-11-23 Research In Motion Limited System and method of managing communications policy settings in a wireless network
US20070174910A1 (en) * 2005-12-13 2007-07-26 Zachman Frederick J Computer memory security platform
EP2074528A4 (de) * 2006-09-12 2012-04-04 Telcordia Tech Inc Überprüfung eines ip-netzwerks auf schwachstellen und richtlinieneinhaltung durch analyse von ip-geräten
EP2102744A4 (de) * 2006-10-20 2009-10-28 Ca Minister Health & Welfare Verfahren und vorrichtung zum erzeugen einer konfigurierbaren formularanwendung auf browser-basis
CA2667172C (en) 2006-10-20 2013-01-08 Her Majesty The Queen, In Right Of Canada As Represented By The Minister Of Health Through The Public Health Agency Of Canada Method and apparatus for software policy management
GB0623101D0 (en) * 2006-11-20 2006-12-27 British Telecomm Secure network architecture
US7975142B2 (en) * 2006-12-04 2011-07-05 Electronics And Telecommunications Research Institute Ring authentication method for concurrency environment
US8307404B2 (en) 2007-04-16 2012-11-06 Microsoft Corporation Policy-management infrastructure
US20090083840A1 (en) * 2007-09-26 2009-03-26 Vertigo Netcare As Inference search engine security
US8010560B2 (en) * 2007-12-21 2011-08-30 Microsoft Corporation Abducing assertion to support access query
US8607311B2 (en) * 2007-12-21 2013-12-10 Microsoft Corporation Delegation in logic-based access control
US8839344B2 (en) * 2008-01-28 2014-09-16 Microsoft Corporation Access policy analysis
US20090222879A1 (en) * 2008-03-03 2009-09-03 Microsoft Corporation Super policy in information protection systems
US9251337B2 (en) * 2011-04-27 2016-02-02 International Business Machines Corporation Scalable, highly available, dynamically reconfigurable cryptographic provider with quality-of-service control built from commodity backend providers
BR112013032289A8 (pt) 2011-06-16 2018-04-03 Hewlett Packard Development Co Meio legível por máquina, método e sistema
IN2014KN00998A (de) 2011-10-12 2015-09-04 C Sam Inc
US8949203B1 (en) * 2012-01-11 2015-02-03 Cadence Design Systems, Inc. Verification of design libraries and databases
US8880989B2 (en) * 2012-01-30 2014-11-04 Microsoft Corporation Educating users and enforcing data dissemination policies
US9087039B2 (en) 2012-02-07 2015-07-21 Microsoft Technology Licensing, Llc Language independent probabilistic content matching
US10169571B1 (en) * 2012-07-18 2019-01-01 Sequitur Labs, Inc. System and method for secure, policy-based access control for mobile computing devices
US9262641B1 (en) 2013-08-29 2016-02-16 The Boeing Company System and methods of providing data to a mobile computing device
CN110781430B (zh) * 2019-09-27 2022-03-25 同济大学 互联网新型虚拟数据中心系统及其构造方法
US11469887B1 (en) 2020-06-29 2022-10-11 Amazon Technologies, Inc. Remote hardware execution service with customer consented debugging
US11935060B1 (en) * 2020-06-30 2024-03-19 United Services Automobile Association (Usaa) Systems and methods based on anonymized data
CN112149123B (zh) * 2020-09-29 2023-01-20 公安部第三研究所 一种应用程序的安全检查系统及方法

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6519601B1 (en) * 1996-05-22 2003-02-11 Universitaire Ziekenhuizen Leuven Relational database compiled/stored on a memory structure providing improved access through use of redundant representation of data
US6018617A (en) * 1997-07-31 2000-01-25 Advantage Learning Systems, Inc. Test generating and formatting system
US6314415B1 (en) * 1998-11-04 2001-11-06 Cch Incorporated Automated forms publishing system and method using a rule-based expert system to dynamically generate a graphical user interface
US6510468B1 (en) * 1999-01-22 2003-01-21 Micro Focus International Limited Adaptively transforming data from a first computer program for use in a second computer program
US6715077B1 (en) * 1999-03-23 2004-03-30 International Business Machines Corporation System and method to support varying maximum cryptographic strength for common data security architecture (CDSA) applications

Also Published As

Publication number Publication date
DE60015709D1 (de) 2004-12-16
US6941471B2 (en) 2005-09-06
EP1118925B1 (de) 2004-11-10
EP1118925A1 (de) 2001-07-25
US20010018746A1 (en) 2001-08-30

Similar Documents

Publication Publication Date Title
DE60015709T2 (de) Sicherheitspolitik, die auf eine Gemeinschaftsdaten-Sicherheitsarchitektur angewendet wird
DE69736697T2 (de) Verfahren und Gerät zur Steuerung von Zugriff auf Systembetriebsmittel
DE60006451T2 (de) Verteilte Authentifizierungsmechanismen zur Behandlung von verschiedenen Authentifizierungssystemen in einem Betriebsrechnersystem
DE69731714T2 (de) Dynamische Dienstklassen für eine internationale kryptographische Struktur
DE69728991T2 (de) Objektorientierte digitale unterschriften
DE19602136C2 (de) Dokumenten-Verarbeitungssystem und Verfahren zum Verarbeiten eines Dokuments
DE60006217T3 (de) Techniken zum gewähren des zugriffs durch eine kontextsperre in einem gerät mit kleinem platzbedarf unter verwendung von einem eingangspunktobjekt
DE60129402T2 (de) Daten Sicherungs- und Rückgewinnungs- Verfahren von JAVA Anwendungen eines Mobiltelefons.
DE60132931T2 (de) Zugriffs- und benutzungsmethoden für webseiten
DE112021002245T5 (de) Verhindern einer unberechtigten bereitstellung von paketen in clustern
DE112013007160T5 (de) Entwicklungsumgebungssystem, Entwicklungsumgebungsvorrichtung, Entwicklungsumgebungsbereitstellungsverfahren und Programm
DE19827659A1 (de) Systeme und Verfahren zum Speichern von Daten und zum Schützen der Daten gegen einen nichtauthorisierten Zugriff
DE102007019541A1 (de) Verfahren und System zum Authentifizieren eines Benutzers
DE112021001766T5 (de) Inhaltskontrolle durch datenaggregationsdienste dritter
DE112021004937T5 (de) Sicheres erneutes verschlüsseln von homomorph verschlüsselten daten
DE10233297A1 (de) Vorrichtung zur digitalen Signatur eines elektronischen Dokuments
WO2010060985A2 (de) Verfahren, system und simulations- bzw. analysemodell zur datenverarbeitung
DE102021130396A1 (de) Datenzugriffsüberwachung und -steuerung
DE602004012059T2 (de) Techniken zum dynamischen Aufbauen und Handhaben von Authentisierung und Vertrauensverhältnissen
DE69733351T2 (de) Verbesserung von internet-kommunikationssystemen
DE112021005862T5 (de) Selbstprüfende blockchain
DE112021005026T5 (de) Persistente quellwerte für angenommene alternative identitäten
DE102021130942A1 (de) Mehrstufiger schutz für datenzentrierte objekte
DE112021005837T5 (de) Dezentrale sendeverschlüsselung und schlüsselerzeugungseinrichtung
DE112009001207T5 (de) Kenntnisverteilung

Legal Events

Date Code Title Description
8364 No opposition during term of opposition
8339 Ceased/non-payment of the annual fee