DE69028362T2 - Verteiltes Datenverarbeitungssystem - Google Patents

Verteiltes Datenverarbeitungssystem

Info

Publication number
DE69028362T2
DE69028362T2 DE69028362T DE69028362T DE69028362T2 DE 69028362 T2 DE69028362 T2 DE 69028362T2 DE 69028362 T DE69028362 T DE 69028362T DE 69028362 T DE69028362 T DE 69028362T DE 69028362 T2 DE69028362 T2 DE 69028362T2
Authority
DE
Germany
Prior art keywords
rating
security
responder
safety
trigger
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
DE69028362T
Other languages
English (en)
Other versions
DE69028362D1 (de
Inventor
David Glen Mcvitie
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fujitsu Services Ltd
Original Assignee
Fujitsu Services Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fujitsu Services Ltd filed Critical Fujitsu Services Ltd
Application granted granted Critical
Publication of DE69028362D1 publication Critical patent/DE69028362D1/de
Publication of DE69028362T2 publication Critical patent/DE69028362T2/de
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/606Protecting data by securing the transmission between two devices or processes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2211/00Indexing scheme relating to details of data-processing equipment not covered by groups G06F3/00 - G06F13/00
    • G06F2211/009Trust
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • H04L63/205Network architectures or network communication protocols for network security for managing network security; network security policies in general involving negotiation or determination of the one or more network security mechanisms to be used, e.g. by negotiation between the client and the server or between peers or by selection according to the capabilities of the entities involved

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • General Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Computing Systems (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer And Data Communications (AREA)
  • Storage Device Security (AREA)

Description

    Hintergrund der Erfindung
  • Die Erfindung bezieht sich auf verteilte Datenverarbeitungssysteme und betrifft insbesondere ein Datenverarbeitungssystem mit einer Anzahl von Servern, die miteinander über eine oder mehrere Zwischenverbindungs-Routen verbunden sind. Unter "Server" ist ein Gerät zu verstehen, das für das System einen gewissen Service liefert, beispielsweise ein Computer, der einen Datenverarbeitungsservice oder einen elektronischen Postservice ergibt. Die Zwischenverbindungs-Routen können beispielsweise ein Lokalbereichs-Netzwerk (LAN) oder eine Telefonverbindung darstellen.
  • Die Erfindung befaßt sich insbesondere mit verbündeten Computersystemen. Ein verbündetes System ist ein verteiltes Datenverarbeitungssystem, bei dem kein zentrales Steuergerät oder zentraler Datenspeicher vorhanden ist. Jeder Server ist in der Lage, autonom zu arbeiten, und es gibt keine Master-Einheit, die den Betrieb des Systems dirigiert.
  • Bei einem solchen System können Server Informationen dadurch austauschen, daß Verbindungen zwischen ihnen über die Zwischenverbindungs-Routen aufgebaut werden. Eine jede solche Verbindung zwischen zwei Servern ist asymmetrisch insoferne, als der Server am einen Ende den Verbindungsvorgang startet. Dieser Server wird nachstehend als Auslöser (initiator) bezeichnet, während der Server am anderen Ende als Beantworter (responder) bezeichnet wird.
  • In einem verbündeten System ist ein wichtiges Kriterium das der Sicherheit, d.h., daß sichergestellt sein muß, daß nur die Server, die eine Erlaubnis zum Zugriff von Servern haben, Zugang haben. Wenn eine Verbindung abgefragt wird, muß insbesondere eine Prüfung vorgenommen werden, die die Gültigkeit dieser Verbindung betrifft. Eine Prüfung muß deshalb in Hinblick darauf erfolgen, ob der Beantworter ausreichend sicher ist, um die Erfordernisse des Auslösers zu erfüllen, ob eine geeignete Route bzw. ein geeigneter Leitweg zwischen den beiden Servern vorhanden ist, die die Sicherheit ihrer Konversationen gewährleistet, und ob der Beantworter bereit ist, von dem Auslöser benutzt zu werden.
  • Dieses Problem der Gewährleistung von Sicherheit wird noch durch die vollständig verzweigte Art des Systems und durch die Tatsache, daß keine einzige zentrale Autorität zur Steuerung der Sicherheit des Systems vorhanden ist, erschwert.
  • R.M. Wong et al beschreiben in "Issues in secure distributed operating systems design", COMPCON 89, IEEE, Februar 27 - März 3, 1989, San Francisco, CA, Seiten 338 - 341 ein verteiltes System mit einem Sicherheitsmechanismus, der auf Eigenschaften basiert, von denen jede aus einem Servernamen, einem Objektidentifizierer und Zugriffsrechten besteht. Der Server schützt die Zugriffsrechte zu einer Eigenschaft dadurch, daß ein Genehmigungsfeld hinzugefügt wird, das einen spezifischen Schlüssel für jedes Objekt verwendet.
  • Aufgabe der Erfindung ist es, das Problem der Erzielung einer Sicherheit in einem verbündeten System zu lösen.
    • Kurzbeschreibung der Erfindung
  • Gemäß der Erfindung ist ein verteiltes Datenverarbeitungssystem mit einer Vielzahl von Datenverarbeitungsgrössen einschließlich eines Auslösers und eines Beantworters, und mit einer verteilten Zugriffssteuerung zum Aufbau einer logischen Verknüpfung zwischen dem Auslöser und dem Beantworter über eine ausgewählte Route, um dem Auslöser und dem Beantworter den Austausch von Informationen zu ermöglichen, dadurch gekennzeichnet, daß der Auslöser so ausgebildet ist, daß er eine erste Sicherheitsbewertung (R1), die die Auslöser-Bewertung des eigenen Sicherheitspegels darstellt, eine zweite Sicherheitsbewertung (R2), die die Auslöser-Bewertung des Sicherheitspegels des Beantworters darstellt, und eine dritte Sicherheitsbewertung (R3), die die Auslöser-Bewertung des Sicherheitspegels der Route darstellt, speichert, daß der Beantworter so ausgebildet ist, daß er eine vierte Sicherheitsbewertung (R4), die die Beantworter-Bewertung des eigenen Sicherheitspegels darstellt, eine fünfte Sicherheitsbewertung (R5), die die Beantworter-Bewertung des Auslöser-Sicherheitspegels darstellt, und eine sechste Sicherheitsbewertung (R6), die die Beantworter-Bewertung des Sicherheitspegels der Route darstellt, speichert,
  • die verteilte Zugriffssteuerung eine Vorrichtung (2-2, 2-3, 2-6) im Auslöser aufweist, um ein erstes kombiniertes Sicherheitsrating (LA3) zu erzielen, das eine Kombination von ersten, zweiten und dritten Sicherheitsratings (R1, R2, R3) darstellt, und um eine Verbindungsanfrage einschließlich des ersten kombinierten Sicherheitsrating an den Beantworter zu senden, und
  • die verteilte Zugriffssteuerung ferner eine Vorrichtung (3-2, 3-3) im Beantworter aufweist, um ein zweites kombiniertes Sicherheitsrating (LA6) zu erzielen, das eine Kombination des ersten kombinierten Sicherheitsrating (LA3) mit den vierten, fünften und sechsten Sicherheitsratings (R4, R5, R6) darstellt, und um eine Bestätigungsnachricht, die das zweite kombinierte Sicherheitsrating einschließt, an den Auslöser sendet.
    • Kurzbeschreibung der Zeichnungen
  • Fig. 1 ist ein Blockschaltbild eines verteilten Datenverarbeitungssystems.
  • Fig. 2 ist ein Flußschema, das die durch einen Auslöser bei der Herstellung einer vorgeschlagenen Verbindung durchgeführten Arbeitsvorgänge zeigt.
  • Fig. 3 ist ein Flußschema, das die von einem Beantworter bei der Hersteung einer vorgeschlagenen Verbindung vorgenommenen Arbeitsvorgänge zeigt.
    • Beschreibung einer Ausführungsform der Erfindung
  • Ein verteiltes Datenverarbeitungssystem nach der Erfindung wird nachstehend anhand eines Ausführungsbeispiels in Verbindung mit den Zeichnungen erläutert.
  • Nach Fig. 1 weist das verteilte Datenverarbeitungsssystem eine Mehrzahl von Servern 10, 11, 12 auf, die durch Routen bzw. Leitwege 13, 14 miteinander verbunden sind.
  • Beispielsweise können die Server freistehende Computer sein, von denen jeder in der Lage ist, einen unabhängigen Betrieb durchzuführen wie auch dem System als Ganzes einen Service zu bieten. Die Zwischenverbindungs-Leitwege bzw.-Routen können Lokalbereichsnetze oder Telefonverbindungen darstellen.
  • Das System ist als verbündetes System organisiert, d.h., daß kein zentrales Steuergerät oder kein zentraler Speicher zur Steuerung des Betriebes des Systems als Ganzes vorgesehen ist. Stattdessen wird die Verantwortung für die Systemsteuerung unter den individuellen Servern geteilt.
  • Die Sicherheit im System wird mit Hilfe von Sicherheitspegeln beschrieben, die den Servern und den Leitwegen zwischen Servern zugeordnet sein können. Aufgrund der verbündeten Natur des Systems gibt es keine einzelne Informationsquelle über Sicherheitspegel im System. Stattdessen hat jeder Server seine eigene lokale Betrachtung der Sicherheitspegel im System. Diese besteht aus einer Tabelle, die ein Sicherheitsrating für jeden Server im System und für jeden Zwischenverbindungs-Leitweg enthält. Es ist wesentlich, daß die lokalen Betrachtungen, die in unterschiedlichen Servern enthalten sind, nicht die gleichen sein brauchen; beispielswese können unterschiedliche Server einem bestimmten Leitweg unterschiedliche Sicherheitsratings geben.
    • Sicherheitsratings
  • Jedes Sicherheitsrating weist einen Satz von Sicherheitsfaktoren auf, wobei jeder Faktor nacheinander einen Satz von Werten darstellt. Beispielsweise kann ein Sicherheitsrating für einen bestimmten Server wie folgt beschaffen sein:
  • (FARBE (ROT, BLAU, GELB), TAG = (MONTAG)).
  • Das Sicherheitsrating besteht dabei aus zwei Faktoren FARBE und TAG, wobei der Faktor FARBE aus drei Werten ROT, BLAU und GELB besteht, während der Faktor TAG nur aus einem einzigen Wert MONTAG besteht.
  • Bei diesem Beispiel gibt das Sicherheitsrating an, daß der Server berechtigt ist, elektronische Dokumente nur mit Statuscodierungen ROT, BLAU oder GELB, und nur am MONTAG aufzunehmen.
  • Ein Sicherheitsfaktor, der nur einen einzigen Wert enthält (z.B. den Faktor TAG), wird hier als ein exakter Faktor bezeichnet, da er angibt, daß eine bestimmte Bedingung genau erfüllt sein muß. Umgekehrt wird ein Faktor, der aus mehr als einem Wert besteht (z.B. der Faktor FARBE in dem vorstehenden Beispiel) als ein nicht exakter Faktor bezeichnet, da er angibt, daß eine Auswahl über diesen Faktor getroffen werden kann. In ähnlicher Weise wird ein Sicherheitsrating, das nur exakte Faktoren besitzt, als ein exaktes Rating bezeichnet, während ein Rating, das einen oder mehrere nicht exakte Faktoren enthält, als ein nicht exaktes Rating bezeichnet wird.
    • Fehlerratings
  • Die folgenden Regeln sind so spezifiziert, daß sie Fehlerbedingungen abdecken, wenn einige oder alle der Informationen in einem Sicherheitsrating weggelassen sind.
  • (i) Wenn ein Sicherheitsrating vollständig weggelassen ist, wird angenommen, daß dieses äquivalent einem Rating ist, das alle möglichen Faktoren mit allen möglichen vorhandenen Werten umfaßt.
  • (ii) Wenn ein Faktor aus einem Sicherheitsrating weggelassen wird, wird angenommen, daß dies ein Äquivalent für den Faktor ist, der bei allen möglichen Werten vorhanden ist.
  • (iii) Ein Leerfaktor (d.h. einer mit keinen Werten) wird nicht zugelassen. Es ist jedoch möglich, einem Faktor einen speziellen NULL-Wert zu geben.
    • Bindung von Sicherheitsratings
  • Im Betrieb des Systems können unterschiedliche Sicherheitsratings durch einen Vorgang miteinander kombiniert werden, der als "Bindung" bezeichnet wird. Dieser besteht darin, die logische Schnittstelle der Ratings so auszubilden, daß ein resultierendes Rating geschaffen wird, das aus Werten besteht, die allen diesen Ratings gemeinsam sind. Wenn ein bestimmter Faktor in einem oder mehreren der Ratings nicht vorhanden ist, gelten die oben genannten Fehlerregeln.
  • Beispielsweise werden die beiden Ratings betrachtet:
  • (TAG = (SAM, SON, MON), FARBE = (ROT, BLAU))
  • (TAG = (MON, DIE)).
  • Das Ergebnis der Bindung dieser beiden Ratings ist:
  • (TAG = (MON), FARBE = (ROT, BLAU)).
  • Bei diesem Beispiel ist der Faktor FARBE im zweiten Rating nicht vorhanden, und es wird deshalb als Fehlerbedingung angenommen, daß dieser Faktor bei allen möglichen Werten vorhanden ist.
    • Einleiten einer Verbindung
  • Bevor zwei beliebige Server Informationen austauschen können, muß zuerst eine logische Verknüpfung, die hier als Verbindung bezeichnet wird, zwischen ihnen hergestellt werden. Der Server, der die Verbindung herstellt, wird als der Auslöser, und der andere Server als Beantworter bezeichnet.
  • Wie vorstehend ausgeführt, ist der Sicherheitspegel eines Servers oder eines Leitweges bzw. einer Route nicht absolut durch eine einzelne Autorität bekannt. Stattdessen hängt der Sicherheitspegel, der einer bestimmten Verbindung zugeschrieben wird, von einer Zwischenwirkung zwischen dem Auslöser und dem Beantworter ab, wobei die lokal gehaltenen Sicherheitsratings in jedem von ihnen berücksichtigt werden.
  • Die folgende Liste gibt die verschiedenen Sicherheitsratings an, die den Sicherheitspegel einer bestimmten vorgeschlagenen Verbindung beeinflussen können.
  • R1: Das Auslöserrating selbst.
  • R2: Das Auslöserrating des Beantworters.
  • R3: Das Auslöserrating des Leitweges oder der Leitwege, die zum Verbinden mit dem Beantworter zur Verfügung stehen.
  • R4: Das Beantworterrating selbst.
  • R5: Das Beantworterrating des Auslösers.
  • R6: Das Beantworterrating des Leitweges, der vom Auslöser gewählt worden ist.
    • Auslöser
  • Fig. 2 zeigt die Betriebsweise des Auslösers bei der Herstellung einer Verbindung.
  • (2-1) Der Auslöser spezifiziert einen gewünschten Sicherheitspegel (RSL) fiir die Verbindung.
  • (2-2) Der Auslöser bindet dann den Pegel RSL an die Ratings R1 und R2, um ein resultierendes Sicherheitsrating LA2 zu erzeugen. Wenn LA2 leer ist (d.h. keine sich überschneidenden Ratings in RSL, R1 und R2 vorhanden sind), ist die versuchte Verbindung fehlerhaft, da es nicht möglich ist, die Sicherheitsbedingungen des Auslösers zu erfüllen.
  • (2-3) Der Auslöser wählt nunmehr einen Leitweg zum Beantworter und bindet das Sicherheitsrating dieses gewählten Leitweges an LA2, um ein resultierendes Sicherheitsrating LA3 zu erzeugen. Wenn es nicht möglich ist, einen Leitweg zu finden, für den LA3 nicht-leere Ratings besitzt, ist die versuchte Verbindung fehlerhaft.
  • (2-4) Die nächste Aktion, die durchgeführt wird, hängt davon ab, ob das Rating R2 (d.h. die Auslöser-Betrachtung des Sicherheitsrating des Beantworters) exakt oder nicht exakt ist.
  • (2-5) Wenn das Rating R2 exakt ist (d.h. nur exakte Faktoren nach obiger Definition enthält), bedeutet dies, daß der Auslöser dem Beantworter nicht zutraut, die Sicherheit zu diskutieren. Das heißt, dem Beantworter kann nicht unterstellt werden, daß er Sicherheitsinformationen aufnimmt oder Entscheidungen über Sicherheitspegel trifft, und der Auslöser muß die gesamte Verantwortung für die Sicherheit der Verbindung übernehmen.
  • In diesem Fall sendet der Auslöser deshalb eine Verbindungsanfrage-Nachricht an den Beantworter, die keine Sicherheitsinformationen enthält.
  • (2-6) Wenn andererseits R2 nicht exakt ist (d.h. mindestens einen nicht exakten Faktor enthält), bedeutet dies, daß der Auslöser davon ausgeht, daß der Beantworter in der Lage ist, Sicherheitspegel zu diskutieren. Der Auslöser überträgt deshalb eine Verbindungsanfrage-Nachricht auf den Beantworter, die alle Faktoren von LA3 enthält, welche nicht-exakten Faktoren von R2 entsprechen. Diese Faktoren stellen die Ansicht des Auslösers über das dar, was der Beantworter über den gewünschten Sicherheitspegel wissen muß. Faktoren in LA3, die exakten Faktoren in R2 entsprechen, werden nicht übertragen, da der Auslöser annimmt, daß der Beantworter nicht in der Lage ist, diese Faktoren zu diskutieren.
  • Der Nutzeffekt besteht darin, daß der Auslöser nur Sicherheitsinformationen sendet, von denen er annimmt, daß dem Beantworter zugetraut wird, daß er sich korrekt benimmt.
  • Wenn er dem Beantworter überhaupt nicht traut, sendet er an ihn keine Sicherheitsinformationen.
    • Beantworter
  • Fig. 3 zeigt die Aktion des Beantworters, wenn er eine Verbindungsanfrage-Nachricht empfängt.
  • (3-1) Die Aktion des Beantworters hängt davon ab, ob eine Sicherheitsinformation (LA3) in der Verbindungsanfrage enthalten ist.
  • (3-2) Falls eine Sicherheitsinformation vorhanden ist, bindet der Beantworter LA3 an R4, R5 und R6 an, um einen resultierenden Sicherheitspegel LA6 zu erzeugen. Wenn LA6 Leerratings aufweist, ist die versuchte Verbindung fehlerhaft.
  • (3-3) Wenn die versuchte Verbindung nicht fehlerhaft ist, wird sie nunmehr als erfolgreich angesehen. Der Beantworter gibt eine Bestätigungsnachricht an den Auslöser, informiert ihn, daß die Verbindung erfolgreich abgeschlossen worden ist, und informiert ihn ferner von dem End-Sicherheitspegel LA6 für die Verbindung für diese Ratings in LA3. Der Beantworter übernimmt dann diesen Pegel LA6 als seine Betrachtung des Gesamtsicherheitspegels SLA für diese Verbindung.
  • (3-4) Wenn andererseits keine Sicherheitsinformationen in der Verbindungsanfrage enthalten sind, bindet der Beantworter die verfügbaren lokalen Sicherheitsratings R4, R5 und R6 an, um den Sicherheitspegel LA6 zu erzeugen, und übernimmt dies als seine Ansicht des Gesamtsicherheitspegels SLA der Verbindung. Wie vorher, gibt der Beantworter eine Bestätigungsnachricht an den Auslöser, in diesem Fall jedoch enthält die Nachricht keine Sicherheitsinformationen.
  • Nach Fig. 2 ist die Aktion des Auslösers beim Empfang einer Bestätigungsnachricht wie folgt.
  • (2-7) Der Auslöser prüft, ob die Bestätigungsnachricht einen Sicherheitspegel mit einem Teilsatz von LA6 Ratings enthält.
  • (2-8) Ist dies zutreffend, nimmt der Auslöser diesen Teilsatz von LA6 und die anderen Ratings von LA3 als seine Ansicht des Gesamtsicherheitspegels SLA der Verbindung an.
  • (2-9) Andernfalls verwendet der Auslöser LA3 als seine Ansicht des Gesamtsicherheitspegels.
  • Zusammenfassend läßt sich feststellen, daß der Auslöser dort, wo er nicht glaubt, daß der Beantworter in der Lage ist, Sicherheit zu diskutieren, keine Sicherheitsinformationen auf ihn überträgt. In diesem Fall verlassen sich der Auslöser und der Beantworter ausschließlich auf ihre eigene lokale Kenntnis der Sicherheitspegel in dem System, um zu entscheiden, ob die Verbindung erfolgreich ist oder nicht, und jeder gewinnt seine eigene Ansicht über den Gesamtsicherheitspegel für die Verbindung.
  • Wenn andererseits der Auslöser annimmt, daß der Beantworter in der Lage ist, Sicherheit zu diskutieren, erfolgt ein Dialog zwischen ihnen, um einen akzeptierten Gesamtsicherheitspegel auf der Basis der lokalen Ansichten sowohl des Auslösers als des Beantworters aufzubauen.
  • Bei dem beschriebenen System ist es für den Auslöser und den Beantworter nicht erforderlich, ein gemeinsames Sicherheitsvokabular zu haben, d.h., der eine kann Sicherheitsfaktoren betrachten, von denen der andere nichts weiß. Dies vermeidet die Notwendigkeit, das Sicherheitsvokabular der Server zu synchronisieren und vermeidet die Notwendigkeit, daß Sicherheitsinformationen unnötig ausgetauscht werden, die in sich die Sicherheit gefährden könnten.

Claims (4)

1. Verteiltes Datenverarbeitungssystem mit einer Vielzahl von Datenverarbeitungsgrössen einschließlich eines Auslösers und eines Beantworters, und mit einer verteilten Zugriffssteuerung zum Aufbau einer logischen Verknüpfung zwischen dem Auslöser und dem Beantworter über eine ausgewählte Route, um dem Auslöser und dem Beantworter den Austausch von Informationen zu ermöglichen, dadurch gekennzeichnet, daß
der Auslöser so ausgebildet ist, daß er eine erste Sicherheitsbewertung (R1), die die Auslöser-Bewertung des eigenen Sicherheitspegels darstellt, eine zweite Sicherheitsbewertung (R2), die die Auslöser-Bewertung des Sicherheitspegels des Beantworters darstellt, und eine dritte Sicherheitsbewertung (R3), die die Auslöser-Bewertung des Sicherheitspegels der Route darstellt, speichert,
daß der Beantworter so ausgebildet ist, daß er eine vierte Sicherheitsbewertung (R4), die die Beantworter-Bewertung des eigenen Sicherheitspegels darstellt, eine fünfte Sicherheitsbewertung (R5), die die Beantworter-Bewertung des Auslöser-Sicherheitspegels darstellt, und eine sechste Sicherheitsbewertung (R6), die die Beantworter- Bewertung des Sicherheitspegels der Route darstellt, speichert,
die verteilte Zugriffssteuerung eine Vorrichtung (2-2, 2-3, 2-6) im Auslöser aufweist, um ein erstes kombinierter Sicherheitsrating (LA3) zu erzielen, das eine Kombination von ersten, zweiten und dritten Sicherheitsratings (R1, R2, R3) darstellt, und um eine Verbindungsanfrage einschließlich des ersten kombinierten Sicherheitsrating an den Beantworter zu senden, und
die verteilte Zugriffssteuerung ferner eine Vorrichtung (3-2, 3-3) im Beantworter aufweist, um ein zweites kombiniertes Sicherheitsrating (LA6) zu erzielen, das eine Kombination des ersten kombinierten Sicherheitsrating (LA3) mit den vierten, fünften und sechsten Sicherheitsratings (R4, R5, R6) darstellt, und um eine Bestätigungsnachricht, die das zweite kombinierte Sicherheitsrating einschließt, an den Auslöser sendet.
2. System nach Anspruch 1, dadurch gekennzeichnet, daß die verteilte Zugriffssteuervorrichtung ferner eine Vorrichtung (2-4, 2-5) im Auslöser aufweist, die prüft, ob das zweite Sicherheitsrating (R2) angibt oder nicht, daß dem Beantworter unterstellt werden kann, daß er eine Sicherheitsinformation vom Auslöser empfängt, und, wenn dies nicht der Fall ist, eine Verbindungsanfrage, die kein Sicherheitsrating enthält, an den Beantworter sendet, und die verteilte Zugriffssteuervorrichtung ferner eine Vorrichtung (3-1, 3-4, 3-5) im Beantworter aufweist, die prüft, ob die Verbindungsanfrage, die vom Auslöser empfangen worden ist, ein Sicherheitsrating enthält oder nicht, und, wenn dies nicht der Fall ist, eine Bestätigungsnachricht, die kein Sicherheitsrating enthält, an den Auslöser zurückführt.
3. System nach Anspruch 2, dadurch gekennzeichnet, daß das Sicherheitsrating (R1 - R6, LA3, LA6) mindestens einen Sicherheitsfaktor aufweist, und daß jeder Sicherheitsfaktor mindestens einen Wert darstellt.
4. System nach Anspruch 3, dadurch gekennzeichnet, daß die Vorrichtung im Auslöser zum Prüfen, ob dem Beantworter unterstellt werden kann oder nicht, daß er Sicherheitsinformationen empfängt, eine Vorrichtung aufweist, die prüft, ob das zweite Sicherheitsrating (R2) nur Sicherheitsfaktoren jeweils mit nur einem Wert enthält.
DE69028362T 1989-07-20 1990-06-06 Verteiltes Datenverarbeitungssystem Expired - Fee Related DE69028362T2 (de)

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
GB898916586A GB8916586D0 (en) 1989-07-20 1989-07-20 Distributed data processing system

Publications (2)

Publication Number Publication Date
DE69028362D1 DE69028362D1 (de) 1996-10-10
DE69028362T2 true DE69028362T2 (de) 1997-04-03

Family

ID=10660324

Family Applications (1)

Application Number Title Priority Date Filing Date
DE69028362T Expired - Fee Related DE69028362T2 (de) 1989-07-20 1990-06-06 Verteiltes Datenverarbeitungssystem

Country Status (6)

Country Link
US (1) US5012515A (de)
EP (1) EP0409397B1 (de)
AU (1) AU629663B2 (de)
DE (1) DE69028362T2 (de)
GB (1) GB8916586D0 (de)
ZA (1) ZA904545B (de)

Families Citing this family (40)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH04130950A (ja) * 1990-09-21 1992-05-01 Toshiba Corp ネットワークシステム
US5315657A (en) * 1990-09-28 1994-05-24 Digital Equipment Corporation Compound principals in access control lists
GB9112644D0 (en) * 1991-06-12 1991-07-31 Int Computers Ltd Data processing system with cryptographic facility
EP0520709A3 (en) * 1991-06-28 1994-08-24 Digital Equipment Corp A method for providing a security facility for remote systems management
US5276444A (en) * 1991-09-23 1994-01-04 At&T Bell Laboratories Centralized security control system
CA2078246C (en) * 1991-09-23 1998-02-03 Randolph J. Pilc Improved method for secure access control
DE69316009T2 (de) * 1992-06-12 1998-04-23 Dow Benelux Sicheres frontendverbindungssystem und verfahren fur prozesssteuerungsrechner
WO1993025965A1 (en) * 1992-06-12 1993-12-23 The Dow Chemical Company Intelligent process control communication system and method
US5361359A (en) * 1992-08-31 1994-11-01 Trusted Information Systems, Inc. System and method for controlling the use of a computer
US5452460A (en) * 1993-01-27 1995-09-19 International Business Machines Corporation Method and apparatus for creating secure pseudo-terminal links
US6912277B1 (en) 1997-08-29 2005-06-28 Anip, Inc. Assigning telecommunications services to matchable classes
US6144727A (en) * 1997-08-29 2000-11-07 Anip, Inc. Method and system for global telecommunications network management and display of market-price information
US6005926A (en) * 1997-08-29 1999-12-21 Anip, Inc. Method and system for global communications network management
US6226365B1 (en) 1997-08-29 2001-05-01 Anip, Inc. Method and system for global communications network management and display of market-price information
US6088436A (en) * 1994-10-11 2000-07-11 Anip, Inc. Automated callback system
GB2294179B (en) * 1994-10-11 1999-09-01 Alex Mashinsky Method of and system for use of telecommunication networks
US20100208634A1 (en) 1994-10-11 2010-08-19 Arbinet Corporation System and Method For Managing Multimedia Communications Across Convergent Networks
US6188756B1 (en) 1994-10-11 2001-02-13 Alexander Mashinsky Efficient communication through networks
DK0956711T3 (da) * 1995-10-11 2014-05-12 Aip Acquisition Llc Effektiv kommunikation gennem netværker
JP3982848B2 (ja) * 1995-10-19 2007-09-26 富士通株式会社 セキュリティレベル制御装置及びネットワーク通信システム
US5894551A (en) * 1996-06-14 1999-04-13 Huggins; Frank Single computer system having multiple security levels
US6167522A (en) * 1997-04-01 2000-12-26 Sun Microsystems, Inc. Method and apparatus for providing security for servers executing application programs received via a network
US6343073B1 (en) 1997-12-31 2002-01-29 Anip, Inc. Method and system for efficient link utlization
WO1999038914A2 (en) * 1998-02-03 1999-08-05 Continental Pet Technologies, Inc. Enhanced oxygen-scavenging polymers, and packaging made therefrom
US6453353B1 (en) 1998-07-10 2002-09-17 Entrust, Inc. Role-based navigation of information resources
US6829708B1 (en) 1999-03-27 2004-12-07 Microsoft Corporation Specifying security for an element by assigning a scaled value representative of the relative security thereof
US6339423B1 (en) * 1999-08-23 2002-01-15 Entrust, Inc. Multi-domain access control
US7353209B1 (en) 2000-01-14 2008-04-01 Microsoft Corporation Releasing decrypted digital content to an authenticated path
US7131132B1 (en) * 2001-06-11 2006-10-31 Lucent Technologies Inc. Automatic access denial
US7370212B2 (en) 2003-02-25 2008-05-06 Microsoft Corporation Issuing a publisher use license off-line in a digital rights management (DRM) system
US7444668B2 (en) * 2003-05-29 2008-10-28 Freescale Semiconductor, Inc. Method and apparatus for determining access permission
US20060242406A1 (en) 2005-04-22 2006-10-26 Microsoft Corporation Protected computing environment
US7607006B2 (en) * 2004-09-23 2009-10-20 International Business Machines Corporation Method for asymmetric security
US7644266B2 (en) 2004-09-23 2010-01-05 International Business Machines Corporation Apparatus, system, and method for message level security
US8725646B2 (en) 2005-04-15 2014-05-13 Microsoft Corporation Output protection levels
US9363481B2 (en) 2005-04-22 2016-06-07 Microsoft Technology Licensing, Llc Protected media pipeline
US20060265758A1 (en) 2005-05-20 2006-11-23 Microsoft Corporation Extensible media rights
GB2492072B (en) * 2011-06-16 2018-03-14 Thales Holdings Uk Plc Management of cascade vulnerability
US9515957B2 (en) * 2015-01-14 2016-12-06 Bank Of America Corporation Server rating system for authorizing and entitling servers to transfer data
EP4042650A4 (de) * 2019-10-07 2023-07-12 Nokia Technologies OY Adaptives gegenseitiges vertrauensmodell für ein dynamisches und diverses mehrbereichsnetzwerk

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4763357A (en) * 1985-04-18 1988-08-09 Barr William S Method and apparatus for providing secure electronic communications
EP0203424B1 (de) * 1985-05-28 1991-11-13 Siemens Aktiengesellschaft Verfahren und Schaltungsanordnung zum Überprüfen der Berechtigung des Zugangs zu einem Signalverarbeitungssystem
US4800488A (en) * 1985-11-12 1989-01-24 American Telephone And Telegraph Company, At&T Bell Laboratories Method of propagating resource information in a computer network

Also Published As

Publication number Publication date
EP0409397A3 (en) 1992-04-22
EP0409397A2 (de) 1991-01-23
AU629663B2 (en) 1992-10-08
ZA904545B (en) 1991-04-24
GB8916586D0 (en) 1989-09-06
AU5914390A (en) 1991-01-24
DE69028362D1 (de) 1996-10-10
EP0409397B1 (de) 1996-09-04
US5012515A (en) 1991-04-30

Similar Documents

Publication Publication Date Title
DE69028362T2 (de) Verteiltes Datenverarbeitungssystem
DE69327576T2 (de) Paralleles Rechnersystem
DE3908459C2 (de) Netzwerkserver
DE69229888T2 (de) Netzwerkverwaltungssystem und relationelle Datenbank dafür
DE69734432T2 (de) Verfahren und Vorrichtung zur Absendung von Clientverfahrenanrufen in einem Server Rechnersystem
DE3114816A1 (de) Schaltungsanordnung fuer eine datenverarbeitende anlage mit mehreren unterschiedlichen einheiten und einer prioritaetssteuerung
DE4033336A1 (de) Verfahren zum erzeugen einer ausfallmeldung und mechanismus fuer ausfallmeldung
DE68921715T2 (de) Konferenzverbindungssystem.
EP0203424B1 (de) Verfahren und Schaltungsanordnung zum Überprüfen der Berechtigung des Zugangs zu einem Signalverarbeitungssystem
DE69127399T2 (de) Verfahren zur automatischen Löschung vorübergehender Dokumentverbindungen in einem Datenverarbeitungssystem
DE69813657T2 (de) Architektur eines virtuellen Netzes
EP1225511A1 (de) Verfahren und system zur akten-verwaltung in verteilten umgebungen
DE102018219070B3 (de) Übertragen eines Datensatzes und Bereitstellen einer Datenübertragungsinformation
WO2023036597A1 (de) Verfahren und system zur steuerung einer übertragung von daten in abhängigkeit wenigstens eines attributs einer datei
DE3620407C2 (de)
WO2022069657A1 (de) Verfahren zum betreiben eines netzwerks und computerprogrammprodukt
EP0160300A2 (de) Verfahren und Schaltungsanordnung zum Herstellen von Verbindungen und Übertragen von Nachrichtensignalen zwischen Teilnehmerstellen bzw. Leitungsanschlussgruppen in einer eine Ringleitungsanordnung aufweisenden Fernmeldevermittlungsanlage, insbesondere einer Datenvermittlungsanlage
EP1415452B1 (de) Kopplungsmittel für eine datenverarbeitungsvorrichtung
DE2719282C3 (de) Datenverarbeitungssystem
WO2023161369A1 (de) Subskription bei nebenläufig aktiven vermittlungsvorrichtungen
DE102020215817A1 (de) Verfahren und Vorrichtung zum Verwalten eines Dienstes in einem dezentralen Transaktionssystem
DE4408035A1 (de) Kommunikationsrechner
DE10006959A1 (de) Verfahren zur Abfrage einer Datenbank
DE4417977C2 (de) Anordnung zur Signalisierung zwischen Prozesseinheiten
EP1691521B1 (de) Datenübertragungssystem, Benachrichtigungskomponente und Verfahren zum Übertragen von Daten

Legal Events

Date Code Title Description
8364 No opposition during term of opposition
8339 Ceased/non-payment of the annual fee