JP2002506247A - コンピュータリソースの権限なき使用に対する保護方法及びエージェント - Google Patents

コンピュータリソースの権限なき使用に対する保護方法及びエージェント

Info

Publication number
JP2002506247A
JP2002506247A JP2000534932A JP2000534932A JP2002506247A JP 2002506247 A JP2002506247 A JP 2002506247A JP 2000534932 A JP2000534932 A JP 2000534932A JP 2000534932 A JP2000534932 A JP 2000534932A JP 2002506247 A JP2002506247 A JP 2002506247A
Authority
JP
Japan
Prior art keywords
application
request
workstation
list
unspecified
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2000534932A
Other languages
English (en)
Inventor
エルグレッシー、ドロン
アデレット、ファビアン ベン
Original Assignee
コンピューター アソシエイツ シンク インコーポレーテッド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by コンピューター アソシエイツ シンク インコーポレーテッド filed Critical コンピューター アソシエイツ シンク インコーポレーテッド
Publication of JP2002506247A publication Critical patent/JP2002506247A/ja
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6281Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database at program execution time, where the protection is within the operating system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Software Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • Health & Medical Sciences (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Bioethics (AREA)
  • Databases & Information Systems (AREA)
  • Storage Device Security (AREA)
  • Computer And Data Communications (AREA)

Abstract

(57)【要約】 ワークステーション上で実行されるアプリケーションによるコンピュータリソースの悪意ある利用を防止する方法及びエージェント。指定なきアプリケーションによるアクセスが許可されないサービスリストが設けられ、そうした指定なきアプリケーションがワークステーション上で実行された場合、あらゆるリソースへの当該アプリケーションからの直接アクセスが禁止される。特定のサービスへの直接または間接要求が調べられ、こうした要求がリストに基づき許可可能か判断される。許可可能な場合、ワークステーションは要求を処理する。許可可能でない場合、指定なきアプリケーションは要求したリソースへのアクセスが拒否される。リソースは、メモリ割り当て、ファイル、ディレクトリ、コピー、削除または圧縮といったファイルやディレクトリの操作、またはワークステーションやその周辺機器の恒久的な変更につながる他のあらゆる操作を含む、ローカルまたはリモートリソースである。指定なきアプリケーションによるアクセスが許可されないサービスリストを含むルックアップテーブルを用いて、指定なきアプリケーションが直接または間接に行う要求が許可可能か判断する。エージェントは各アプリケーションが利用可能なリソースのリストを含む、あらかじめ設定したアプリケーションのリストからなる。

Description

【発明の詳細な説明】
【0001】
【発明の分野】
本発明はコンピュータのセキュリティ管理に関する。特に、本発明は悪意ある
アプリケーションによるコンピュータリソース利用へのアクセスを防止する方法
及びエージェントに関する。
【0002】
【発明の背景】
インターネットは、数年前に運用を開始して以来、コンテンツ及び用いられる
技術の両面において非常に発達した。インターネットの初期においては、Web
サイトはテキストのみであったが、その後グラフィックスも導入された。インタ
ーネットの発達に伴い、画像、音声及びビデオファイルなどの圧縮規格も登場し
、それと同時にそれらファイルを再生するのに利用されるプログラム(「プレー
ヤー」と呼ばれる)も開発された。当初は、こうしたファイルはユーザーの要求
に応じてのみユーザーのワークステーションにダウンロードされ、ユーザーの特
定の指令を受けた後適切なプレーヤーによってのみ再生されていた。
【0003】 ワールド・ワイド・ウェブ(WWW)の発達に伴い、より美しく、インタラク
ティブで動画を含むWebページを表現する方法の模索が始まったとき、サンマ
イクロシステム社が、Javaという、Webマスターがプログラム、即ちネッ
トワーク上で実効可能なコマンドリストを書くことができる言語を開発した。こ
れは多くの場合ユーザーが知らない間にユーザーのワークステーションにダウン
ロードされ、ワークステーション上でブラウザにより実行される。ネットワーク
上で実行可能なコマンドリストは、例えば、Webサーファーの画面上で動画や
他のグラフィックスを提供するために利用される。こうしたコマンドリストはユ
ーザーのワークステーションのリソースにアクセスする手段を有しており、大き
なセキュリティ上の問題を引き起こす。Java言語にはある程度のレベルのセ
キュリティが規定されているものの、間もなくJava言語には大きなセキュリ
ティ上の欠陥が見つかった。
【0004】 Java言語の開発に対抗して、マイクロソフト社が他のネットワーク上で実
行可能なフォーマットであり、同様にワークステーションにダウンロードされる
ActiveXを開発した。ところが、ActiveXも同様のセキュリティ上
の問題を抱えている。
【0005】 インターネット上には、ユーザーの故意により、またはユーザーの知らぬ間に
、組織内のワークステーションにダウンロードされかねない「ネットワーク上で
実行可能なプログラムコード」が氾濫している。こうしたコードは一般に何の害
も与えない。通常安全ではあるが、組織の要求するセキュリティポリシーに合致
しないことがある。
【0006】 いったんコードが実行されると、コードはネットワークを妨害し、ローカルデ
ータベース、ワークステーション及びサーバーに取り返しのつかないかなりの損
傷を与えたり、サーバー/ワークステーションから権限なく情報を読み出す可能
性がある。こうした要素はJavaアプレット、ActiveXコンポーネント
、DLLや他のオブジェクトコードにも見られ、これらの利用は前代未聞のペー
スで増加している。こうした小さなプログラムの大部分は要求もしないのに無制
限に組織内にダウンロードされる。企業は、これらのプログラムコードの存在や
実行を知る手段がなく、またこうしたコードの実行に対する早期発見及び防止の
ためのシステムも存在しない。
【0007】 大規模イントラネット及びLANが存在することで、場合によっては、権限な
き人物がワークステーションにアクセスし、悪意ある行動を行うなど、問題が悪
化することがある。
【0008】 セキュリティ上の問題は、ユーザーがネットワーク上で実行可能なプログラム
コードの使用をできなくしたことで、ブラウザメーカーにより部分的に解決され
た。しかしこれはeコマース及び宣伝がこれらのプログラムの使用を基本とする
ため、妥当な解決とは言えない。
【0009】 ここに援用する本発明人による3つの係属中の特許出願、1997年3月10
日出願のイスラエル特許出願第120420号、1997年9月22日出願のイ
スラエル特許出願第121815号、及び1997年11月27日出願のイスラ
エル特許出願第122314号には、望ましくないネットワーク上で実行可能な
オブジェクトが我々が仕事をするLAN/WANに、また最終的に我々のワーク
ステーション及びサーバーに浸入するのを防ぐ方法及び手段を開示されている。
イスラエル特許出願第122314号は更に、個々のワークステーションにおい
て望ましくないネットワーク上で実行可能なオブジェクトのダウンロード及び実
行を選択的に防止するセキュリティポリシーを実施する方法を提供する。
【0010】 上記特許出願は個々のワークステーションの保護には大きく寄与したが、未解
決の問題が一つ残された。それはいかなる初期のセキュリティチェック(例えば
ゲートウェイセキュリティポリシー)も、そうしたセキュリティポリシーに反し
ないことからチェックをパスしたアプリケーションによる、または初期のチェッ
クポイント(例えば、前述のイスラエル特許出願に記載されているようなセキュ
リティポリシーチェックを装備するゲートウェイ)を、こうした初期のチェック
ポイントが利用できなかったため、またはアプリケーションがワークステーショ
ンに直接インストールされたため、チェックをパスしなかったアプリケーション
によるローカルリソースの悪意ある利用である。こうしたCPUリソースの悪意
ある利用は、ワークステーションのデータ、動作及びハードウェアの損傷につな
がり、また上記で予期した状況下では、損傷が発生するまで気づかずにいること
があり得る。
【0011】 本発明の目的は、上述の従来技術の欠点を克服し、ワークステーションレベル
で効果的な保護を提供する方法及びエージェントを提供することである。
【0012】 また、本発明の目的は、ワークステーションで実行されるアプリケーションに
よるワークステーションリソースの悪意ある利用の防止に効果的に利用される方
法及びエージェントを提供することである。
【0013】 本発明の他の目的及び利点は、以下の記載で明らかになろう。
【0014】
【発明の概要】
一局面によると、本発明はワークステーション上で実行されるアプリケーショ
ンによるコンピュータリソースの悪意ある利用を防止する方法であって、 a)指定なきアプリケーションによるアクセスを禁止するサービスリストを
設けるステップと、 b)そうした指定なきアプリケーションがワークステーション上で実行され
た場合、前記アプリケーションがリソースにも直接アクセスするのを禁止するス
テップと、 c)こうした要求が上記a)で定義したリストに照らし許可可能か判断する
ため、特定のサービスへの直接または間接要求を調べるステップと、 d)要求が許可可能な場合、ワークステーションが処理するステップと、 e)要求が許可不可能な場合、指定なきアプリケーションが要求したリソー
スへアクセスするのを防ぐステップとを含み、 前記リソースが、メモリ割り当て、ファイル、ディレクトリ、コピー、削除ま
たは圧縮といったファイルやディレクトリの操作、またはワークステーションや
その周辺機器の変更につながる他のあらゆる操作を含み、それに限定されない、
ローカルまたはリモートリソースであることを特徴とする方法である。こうした
動作の例示は、これに限定されるものではないが、システムファイル、構成情報
、ネットワーク通信、ハードウェア機器(フロッピィ、モデム、その他)、CM
OSデータ(時刻、日付、その他)へのアクセスや、メモリ割り当て、プロセス
生成、スレッド生成といったリソースの利用、長時間のCPU時間の利用、ディ
スクスペースの過度の利用、ネットワーク通信の過度の利用、及びグラフィカル
リソースの過度の利用及びシステムまたはアプリケーション構成の利用を含む。
【0015】 本発明の好適な実施例によると、サービスリストはルックアップテーブルとし
て提供される。
【0016】 「指定なきアプリケーション」とは、あらかじめ設定されたアプリケーション
のリストに明確に定義されていないアプリケーションを意味する。本発明の好適
な実施例によると、あらかじめ設定されたアプリケーションのリストは、各アプ
リケーションが利用可能なリソースのリストを含む。
【0017】 他の局面によると、本発明はワークステーション上で実行される指定なきアプ
リケーションによるコンピュータリソースの悪意ある利用から前記ワークステー
ションを保護するエージェントであって、 a)ワークステーション上で実行される指定なきアプリケーションまたはア
プリケーションのモジュールを検出する手段と、 b)前記指定なきアプリケーションが利用するリソースの要求を特定する手
段と、 c)前期指定なきアプリケーションが呼び出したリソースが行った要求を含
む、リソース利用の連続要求を判断する手段と、 d)前記指定なきアプリケーションが直接行った要求が許可可能か判断する
手段と、 e)前記指定なきアプリケーションが連続要求として間接的に行った要求が
、もし直接前記指定なきアプリケーションが直接行ったものであったら許可不可
能となるか判断する手段と、 f)前記要求が許可不可能であると判断された場合、または前記指定なきア
プリケーションが直接行ったとすると許可不可能となると判断された場合、前記
連続要求が処理されるのを防ぎ、そうでないと判断された場合、処理する手段と
備える、エージェントに関する。
【0018】 本発明の好適な実施例によると、指定なきアプリケーションが直接または間接
に行う要求が許可不可能であるか判断する手段は、指定なきアプリケーションが
アクセスを禁止されるサービスリストを含むルックアップテーブルからなる。ま
た、本発明の他の好適な実施例によると、エージェントは各アプリケーションが
利用可能なリソースのリストを含む、あらかじめ設定されたアプリケーションリ
ストからなる。
【0019】 上記及び本発明の多くの他の特徴や利点は、図を参照した本発明の好適な例示
的かつ非限定的な実施例から明らかになろう。
【0020】
【実施例】
こうした状況は、図1〜3に例示される。図1を参照すると、APP1〜AP
P3の3つの異なるアプリケーションが示されている。プロセスは3つの異なる
レベル、即ちユーザーモード(「U.M.」と示す)、カーネルモード(「K.
M.」と示す)及びハードウェア(「H.W.」と示す)で実行される。この3
つの異なるモードは図中において直線により分離されている。APP1、APP
2及びAPP3アプリケーションは、ユーザーモードで実行される。APP1は
、「ファイルを開く」入出力要求である。この要求は入出力マネジャーに渡され
、入出力マネジャーは次いで要求された動作を行うため、ディスクを参照する。
フィルタ(図に「S7フィルタ」と示す)がこの要求を調べ、セキュリティポリ
シーに従い許可可能か判断する。許可可能であれば、要求を入出力マネジャーに
渡し、入出力マネジャーがディスクを用いて要求を処理する。
【0021】 一方、APP2は、ネットワークに関係する要求を行う、即ち、「ファイルサ
ーバへの接続」要求である。ネットワークマネジャーは、フィルタS7が許可可
能と判断した場合のみこの要求を処理することができる。同様に、APP3は、
メモリ割り当て要求を行い、その要求はフィルタにより調べられ、許可可能な場
合メモリマネジャーに渡されメモリとともに処理する。
【0022】 フィルタによって調べられ、許可可能と判断された後のカーネルモード、及び
ハードウェアにおける各種要求の処理は、従来のコンピュータにおける処理と同
一であり、このことは当業者に周知の事柄であり、説明を簡単にするため、ここ
では詳細に述べない。
【0023】 次に、図2を参照すると、マシーンに誤動作を起こさせる例示的アプリケーシ
ョンの詳細が示されている。この実施例において、APP1は新しいプロセスを
生成させる1000の要求を生成する。もし本発明のシステムが存在しなければ
、1000の要求はプロセス・マネジャーによりCPUに渡され、CPUの全リ
ソースを使用するため、マシーンの作業が中断されることになる。しかしながら
、本発明のフィルタを使用すれば、同一アプリケーションからは限られた数のプ
ロセスの生成を許可するように設定することができる。このため、単一のアプリ
ケーションがいくつもの新しいプロセスを要求し、それが設定した数を超えた場
合、フィルタS7は要求をプロセスマネジャーへ渡さず、それによりマシーンの
リソースの枯渇を防止する。
【0024】 図3は、間接的な不許可リソース利用が試みられた状況を示す図である。この
実施例において、APP1は入出力マネジャーに要求を送ることができないタイ
プである。それにもかかわらず要求を送ろうとした場合、S7が設定するセキュ
リティポリシーに合致するものでなければ、S7フィルタにより阻止される。こ
のため、APP1はプロセス間通信ができるよう、即ちAPP1の要求を、AP
P1が許可されていない入出力マネジャーへの要求伝達を許可されている更なる
APPXプロセスに送れるよう、プログラムすることができる。この場合、ユー
ザーモード及びカーネルモード間のS7フィルタは迂回される。この状況を防止
するため、全ての通信プロセス間に更なるフィルタS7を設け、あるプロセスか
ら他のプロセスに渡される要求(実施例において、APP1からAPPXへ)で
あり、最初のプロセスが直接行うことのできない要求を停止する。
【0025】 もちろん、当業者には明らかなように、フィルタS7は物理的なフィルタでは
なく論理的なフィルタである。この種の論理的なフィルタは、多くの異なる分析
プロセス及び基準を用いた複数の方法で設けることができ、関連するシステムの
特定の要求に応じて当業者が予見可能である。
【0026】 上記の記載及び実施例は例示目的のためだけであり、特許請求の範囲に規定さ
れたものを除き、いかなる場合においても本発明を制限するものではない。
【図面の簡単な説明】
【図1】 異なるアプリケーション及びその要求及び関連動作を概略的に示す図である。
【図2】 マシーンの誤動作を引き起こす例示的アプリケーションの詳細を概略的に示す
図である。
【図3】 間接的な不許可リソース利用を試みた状況を示す図である。
───────────────────────────────────────────────────── フロントページの続き (81)指定国 EP(AT,BE,CH,CY, DE,DK,ES,FI,FR,GB,GR,IE,I T,LU,MC,NL,PT,SE),OA(BF,BJ ,CF,CG,CI,CM,GA,GN,GW,ML, MR,NE,SN,TD,TG),AP(GH,GM,K E,LS,MW,SD,SL,SZ,UG,ZW),E A(AM,AZ,BY,KG,KZ,MD,RU,TJ ,TM),AL,AM,AT,AU,AZ,BA,BB ,BG,BR,BY,CA,CH,CN,CU,CZ, DE,DK,EE,ES,FI,GB,GD,GE,G H,GM,HR,HU,ID,IL,IN,IS,JP ,KE,KG,KP,KR,KZ,LC,LK,LR, LS,LT,LU,LV,MD,MG,MK,MN,M W,MX,NO,NZ,PL,PT,RO,RU,SD ,SE,SG,SI,SK,SL,TJ,TM,TR, TT,UA,UG,US,UZ,VN,YU,ZW 【要約の続き】 たは間接に行う要求が許可可能か判断する。エージェン トは各アプリケーションが利用可能なリソースのリスト を含む、あらかじめ設定したアプリケーションのリスト からなる。

Claims (8)

    【特許請求の範囲】
  1. 【請求項1】 ワークステーション上で実行されるアプリケーションによる
    コンピュータリソースの悪意ある利用を防止する方法であって、 a)指定なきアプリケーションによるアクセスを禁止するサービスのリス
    トを設けるステップと、 b)そうした指定なきアプリケーションがワークステーション上で実行さ
    れた場合、前記アプリケーションがリソースに直接アクセスするのを禁止するス
    テップと、 c)こうした要求が、前記a)で定義したリストに照らし許可可能か判断
    するため、特定のサービスへの直接または間接要求を調べるステップと、 d)要求が許可可能な場合、ワークステーションが処理するステップと、 e)要求が許可不可能な場合、指定なきアプリケーションが要求したリソ
    ースへアクセスするのを禁止するステップとを含み、 前記リソースが、メモリ割り当て、ファイル、ディレクトリ、コピー、削除ま
    たは圧縮といったファイルやディレクトリの操作、またはワークステーションや
    その周辺機器の恒久的な変更につながる他のあらゆる操作を含み、それに限定さ
    れない、ローカルまたはリモートリソースであることを特徴とする方法。
  2. 【請求項2】 前記サービスリストがルックアップテーブルとして提供され
    ることを特徴とする、請求項1記載の方法。
  3. 【請求項3】 前記指定なきアプリケーションが、あらかじめ設定されたア
    プリケーションリストに明確に定義されていないアプリケーションであることを
    特徴とする、請求項1または2記載の方法。
  4. 【請求項4】 前記あらかじめ設定されたアプリケーションのリストが、各
    アプリケーションが利用可能なリソースのリストを含むことを特徴とする、請求
    項3記載の方法。
  5. 【請求項5】 ワークステーション上で実行される指定なきアプリケーショ
    ンによるコンピュータリソースの悪意ある利用から前記ワークステーションを保
    護するエージェントであって、 a)ワークステーション上で実行される指定なきアプリケーションを検出
    する手段と、 b)前記指定なきアプリケーションが利用するリソースの要求を特定する
    手段と、 c)前期指定なきアプリケーションが呼び出したリソースが行った要求を
    含む、リソース利用の連続要求を確認する手段と、 d)前記指定なきアプリケーションが直接行った要求が許可可能か判断す
    る手段と、 e)前記指定なきアプリケーションが連続要求として間接的に行った要求
    が、もし直接前記指定なきアプリケーションが直接行ったものであったならば許
    可不可能となるか判断する手段と、 f)前記要求が許可不可能であると判断された場合、または前記指定なき
    アプリケーションが直接行ったとすると許可不可能となると判断された場合、前
    記連続要求が処理されるのを防ぎ、そうでないと判断された場合、処理する手段
    を備える、エージェント。
  6. 【請求項6】 前記指定なきアプリケーションが直接または間接に行う要求
    が許可可能であるか判断する手段が、指定なきアプリケーションがアクセスを許
    可されないサービスリストを含むルックアップテーブルを備えることを特徴とす
    る、請求項5記載のエージェント。
  7. 【請求項7】 前記リソースが、メモリ割り当て、ファイル、ディレクトリ
    、コピー、削除または圧縮といったファイルやディレクトリの操作、またはワー
    クステーションやその周辺機器の恒久的な変更につながる他のあらゆる操作を含
    み、それに限定されない、ローカルまたはリモートリソースであることを特徴と
    する、請求項5または6記載のエージェント。
  8. 【請求項8】 各アプリケーションが利用可能なリソースのリストを含む、
    あらかじめ設定されたアプリケーションリストを備えることを特徴とする、請求
    項5から7のいずれかに記載のエージェント。
JP2000534932A 1998-03-02 1999-02-25 コンピュータリソースの権限なき使用に対する保護方法及びエージェント Pending JP2002506247A (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
IL12351298A IL123512A0 (en) 1998-03-02 1998-03-02 Method and agent for the protection against hostile resource use access
IL123512 1998-03-02
PCT/IL1999/000113 WO1999045454A1 (en) 1998-03-02 1999-02-25 Method and agent for the protection against the unauthorised use of computer resources

Publications (1)

Publication Number Publication Date
JP2002506247A true JP2002506247A (ja) 2002-02-26

Family

ID=11071290

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2000534932A Pending JP2002506247A (ja) 1998-03-02 1999-02-25 コンピュータリソースの権限なき使用に対する保護方法及びエージェント

Country Status (10)

Country Link
US (2) US7383569B1 (ja)
EP (1) EP1068566A1 (ja)
JP (1) JP2002506247A (ja)
KR (1) KR20010041448A (ja)
CN (1) CN1299478A (ja)
AU (1) AU767894B2 (ja)
BR (1) BR9908454A (ja)
CA (1) CA2321987A1 (ja)
IL (1) IL123512A0 (ja)
WO (1) WO1999045454A1 (ja)

Cited By (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003067210A (ja) * 2001-08-22 2003-03-07 Just Syst Corp プログラム実行防止装置、プログラム実行防止方法、その方法をコンピュータに実行させるプログラムおよびそのプログラムを記録したコンピュータ読み取り可能な記録媒体
JP2006164287A (ja) * 2004-12-07 2006-06-22 Microsoft Corp 自己記述アーチファクトおよびアプリケーション抽象化
JP2007525894A (ja) * 2004-02-09 2007-09-06 パームソース・インコーポレイテッド 使用可能なネットワークとの接続を管理するシステム及び方法
JP2008500645A (ja) * 2004-05-26 2008-01-10 クゥアルコム・インコーポレイテッド デバイスの動作モードに基づくアプリケーションの優先順位のためのシステム
US7487366B2 (en) 2002-07-09 2009-02-03 Fujitsu Limited Data protection program and data protection method
WO2010093071A1 (ko) * 2009-02-12 2010-08-19 주식회사 안철수연구소 인터넷 사이트 보안 시스템 및 그 방법
US7955795B2 (en) 2003-06-06 2011-06-07 Qiagen Gmbh Method of whole genome amplification with reduced artifact production
US8032898B2 (en) 2006-06-30 2011-10-04 Microsoft Corporation Kernel interface with categorized kernel objects
US8074231B2 (en) 2005-10-26 2011-12-06 Microsoft Corporation Configuration of isolated extensions and device drivers
US8789063B2 (en) 2007-03-30 2014-07-22 Microsoft Corporation Master and subordinate operating system kernels for heterogeneous multiprocessor systems
US8849968B2 (en) 2005-06-20 2014-09-30 Microsoft Corporation Secure and stable hosting of third-party extensions to web services
JP2015508540A (ja) * 2012-01-06 2015-03-19 オプティオ ラブス リミテッド ライアビリティ カンパニー モバイルコンピューティングにおけるセキュリティを強化するためのシステムおよび方法
US9487823B2 (en) 2002-12-20 2016-11-08 Qiagen Gmbh Nucleic acid amplification
US9609020B2 (en) 2012-01-06 2017-03-28 Optio Labs, Inc. Systems and methods to enforce security policies on the loading, linking, and execution of native code by mobile applications running inside of virtual machines
US9683255B2 (en) 2005-09-09 2017-06-20 Qiagen Gmbh Method for activating a nucleic acid for a polymerase reaction
US9773107B2 (en) 2013-01-07 2017-09-26 Optio Labs, Inc. Systems and methods for enforcing security in mobile computing
US9787681B2 (en) 2012-01-06 2017-10-10 Optio Labs, Inc. Systems and methods for enforcing access control policies on privileged accesses for mobile devices

Families Citing this family (25)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2350971A (en) * 1999-06-07 2000-12-13 Nokia Mobile Phones Ltd Security Architecture
US7216225B2 (en) 2000-05-24 2007-05-08 Voltaire Ltd. Filtered application-to-application communication
US7660902B2 (en) * 2000-11-20 2010-02-09 Rsa Security, Inc. Dynamic file access control and management
US7958237B2 (en) * 2001-01-23 2011-06-07 Pearl Software, Inc. Method for managing computer network access
FR2843465B1 (fr) * 2002-08-06 2005-07-01 Checkflow Procede de communication entre applications destine a securiser l'acces aux donnees d'une application
JP2004157892A (ja) 2002-11-08 2004-06-03 Hitachi Ltd 計算機システム、記憶装置、アクセス管理方法及びプログラム
CN100418032C (zh) * 2003-06-30 2008-09-10 Nxp股份有限公司 密钥复制保护存储的数字自我擦除
WO2005059720A1 (en) * 2003-12-17 2005-06-30 Telecom Italia S.P.A. Method and apparatus for monitoring operation of processing systems, related network and computer program product therefor
JP4164036B2 (ja) * 2004-02-05 2008-10-08 トレンドマイクロ株式会社 ネットワークを介して提供されるプログラムに対する受信装置上でのセキュリティの確保
US20060069754A1 (en) * 2004-06-30 2006-03-30 Keith Buck Enablement of software-controlled services required by installed applications
US7870613B2 (en) 2005-03-02 2011-01-11 Facetime Communications, Inc. Automating software security restrictions on applications
US8046831B2 (en) * 2005-03-02 2011-10-25 Actiance, Inc. Automating software security restrictions on system resources
US8078740B2 (en) * 2005-06-03 2011-12-13 Microsoft Corporation Running internet applications with low rights
JP4741292B2 (ja) 2005-06-09 2011-08-03 株式会社日立製作所 デバイス管理システム
US7603708B2 (en) * 2005-07-13 2009-10-13 Microsoft Corporation Securing network services using network action control lists
US8320880B2 (en) * 2005-07-20 2012-11-27 Qualcomm Incorporated Apparatus and methods for secure architectures in wireless networks
EP1788505A1 (en) * 2005-11-21 2007-05-23 Research In Motion Limited System and method for application program operation on a wireless device
US8045958B2 (en) 2005-11-21 2011-10-25 Research In Motion Limited System and method for application program operation on a wireless device
EP1826944B1 (en) 2006-02-27 2009-05-13 Research In Motion Limited Method of customizing a standardized IT policy
US20070250495A1 (en) * 2006-04-25 2007-10-25 Eran Belinsky Method and System For Accessing Referenced Information
US9021590B2 (en) * 2007-02-28 2015-04-28 Microsoft Technology Licensing, Llc Spyware detection mechanism
US9137664B2 (en) 2007-05-01 2015-09-15 Qualcomm Incorporated Application logging interface for a mobile device
US10019570B2 (en) 2007-06-14 2018-07-10 Microsoft Technology Licensing, Llc Protection and communication abstractions for web browsers
US11070591B2 (en) * 2017-02-10 2021-07-20 Zscaler, Inc. Distributed network application security policy enforcement
EP3641259A1 (de) * 2018-10-15 2020-04-22 Siemens Aktiengesellschaft Vorrichtung und verfahren zur prüfung von eigenschaften von ressourcen

Family Cites Families (35)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4574350A (en) * 1982-05-19 1986-03-04 At&T Bell Laboratories Shared resource locking apparatus
US4574360A (en) * 1983-04-01 1986-03-04 Sundstrand Data Control, Inc. Helicopter weight measuring system
US5062055A (en) * 1986-09-02 1991-10-29 Digital Equipment Corporation Data processor performance advisor
US5097533A (en) * 1988-11-29 1992-03-17 International Business Machines Corporation System and method for interfacing computer application programs written in different languages to a software system
DE69130461T2 (de) 1990-05-11 1999-06-10 International Computers Ltd., Putney, London Zugriffsteuerung in einem verteilten Rechnersystem
US5032979A (en) * 1990-06-22 1991-07-16 International Business Machines Corporation Distributed security auditing subsystem for an operating system
US5307497A (en) * 1990-06-25 1994-04-26 International Business Machines Corp. Disk operating system loadable from read only memory using installable file system interface
JP2818016B2 (ja) * 1990-08-09 1998-10-30 株式会社日立製作所 プロセス並列実行方法および装置
US5630128A (en) * 1991-08-09 1997-05-13 International Business Machines Corporation Controlled scheduling of program threads in a multitasking operating system
GB9205774D0 (en) * 1992-03-17 1992-04-29 Int Computers Ltd Computer security system
US5412717A (en) * 1992-05-15 1995-05-02 Fischer; Addison M. Computer system security method and apparatus having program authorization information data structures
DE69323926T2 (de) 1992-05-15 1999-09-30 Addison M. Fischer Verfahren und Vorrichtung zur Sicherheit eines Computersystem mit Programmberechtigungsdatenstrukturen
US5483658A (en) * 1993-02-26 1996-01-09 Grube; Gary W. Detection of unauthorized use of software applications in processing devices
JPH07319691A (ja) * 1994-03-29 1995-12-08 Toshiba Corp 資源保護装置、特権保護装置、ソフトウェア利用法制御装置、及びソフトウェア利用法制御システム
US5619656A (en) * 1994-05-05 1997-04-08 Openservice, Inc. System for uninterruptively displaying only relevant and non-redundant alert message of the highest severity for specific condition associated with group of computers being managed
US5559726A (en) * 1994-09-06 1996-09-24 International Business Machines Corporation Method and system for detecting whether a parameter is set appropriately in a computer system
US5701463A (en) * 1994-09-09 1997-12-23 Cheyenne Advanced Technology Limited Method of replacing the identity of a file with another as part of a file open request in a computer system
US5961582A (en) * 1994-10-25 1999-10-05 Acorn Technologies, Inc. Distributed and portable execution environment
JPH08328880A (ja) * 1995-05-31 1996-12-13 Mitsubishi Electric Corp 複数のアプリケーションプログラムを同時に実行できるオペレーティングシステムにおける計算機運転管理システム
GB2301912A (en) * 1995-06-09 1996-12-18 Ibm Security for computer system resources
WO1997004394A1 (en) 1995-07-14 1997-02-06 Christopher Nathan Drake Computer software authentication, protection, and security system
WO1997012398A1 (en) * 1995-09-29 1997-04-03 Analog Devices, Inc. Integrated circuit and supply decoupling capacitor therefor
US5859966A (en) * 1995-10-10 1999-01-12 Data General Corporation Security system for computer systems
CA2202118A1 (en) * 1996-04-29 1997-10-29 Mitel Corporation Protected persistent storage access for mobile applications
US5944821A (en) * 1996-07-11 1999-08-31 Compaq Computer Corporation Secure software registration and integrity assessment in a computer system
US6601083B1 (en) * 1996-08-29 2003-07-29 Frederick John Reznak Multitasking data processing system and method of controlling allocation of a shared resource
US6438573B1 (en) * 1996-10-09 2002-08-20 Iowa State University Research Foundation, Inc. Real-time programming method
US6167520A (en) * 1996-11-08 2000-12-26 Finjan Software, Inc. System and method for protecting a client during runtime from hostile downloadables
US6845505B1 (en) * 1997-02-03 2005-01-18 Oracle International Corporation Web request broker controlling multiple processes
IL120420A (en) * 1997-03-10 1999-12-31 Security 7 Software Ltd Method and system for preventing the downloading and execution of executable objects
US6167522A (en) * 1997-04-01 2000-12-26 Sun Microsystems, Inc. Method and apparatus for providing security for servers executing application programs received via a network
US5987523A (en) * 1997-06-04 1999-11-16 International Business Machines Corporation Applet redirection for controlled access to non-orginating hosts
JPH117400A (ja) * 1997-06-16 1999-01-12 Mitsubishi Electric Corp プログラム稼働数計測システム及びプログラム稼働数計測方法並びにプログラム稼働数計測プログラムを記録した記録媒体
US5983348A (en) * 1997-09-10 1999-11-09 Trend Micro Incorporated Computer network malicious code scanner
US6178449B1 (en) * 1997-11-26 2001-01-23 International Business Machines Corporation Apparatus and method for measuring transaction time in a computer system

Cited By (19)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2003067210A (ja) * 2001-08-22 2003-03-07 Just Syst Corp プログラム実行防止装置、プログラム実行防止方法、その方法をコンピュータに実行させるプログラムおよびそのプログラムを記録したコンピュータ読み取り可能な記録媒体
US7487366B2 (en) 2002-07-09 2009-02-03 Fujitsu Limited Data protection program and data protection method
US9487823B2 (en) 2002-12-20 2016-11-08 Qiagen Gmbh Nucleic acid amplification
US7955795B2 (en) 2003-06-06 2011-06-07 Qiagen Gmbh Method of whole genome amplification with reduced artifact production
JP2007525894A (ja) * 2004-02-09 2007-09-06 パームソース・インコーポレイテッド 使用可能なネットワークとの接続を管理するシステム及び方法
JP4709166B2 (ja) * 2004-02-09 2011-06-22 パームソース・インコーポレイテッド コンピュータ・デバイス用セキュリティ・モデルのための方法及びシステム
JP2008500645A (ja) * 2004-05-26 2008-01-10 クゥアルコム・インコーポレイテッド デバイスの動作モードに基づくアプリケーションの優先順位のためのシステム
JP2006164287A (ja) * 2004-12-07 2006-06-22 Microsoft Corp 自己記述アーチファクトおよびアプリケーション抽象化
US8849968B2 (en) 2005-06-20 2014-09-30 Microsoft Corporation Secure and stable hosting of third-party extensions to web services
US9683255B2 (en) 2005-09-09 2017-06-20 Qiagen Gmbh Method for activating a nucleic acid for a polymerase reaction
US8074231B2 (en) 2005-10-26 2011-12-06 Microsoft Corporation Configuration of isolated extensions and device drivers
US8032898B2 (en) 2006-06-30 2011-10-04 Microsoft Corporation Kernel interface with categorized kernel objects
US8789063B2 (en) 2007-03-30 2014-07-22 Microsoft Corporation Master and subordinate operating system kernels for heterogeneous multiprocessor systems
WO2010093071A1 (ko) * 2009-02-12 2010-08-19 주식회사 안철수연구소 인터넷 사이트 보안 시스템 및 그 방법
JP2015508540A (ja) * 2012-01-06 2015-03-19 オプティオ ラブス リミテッド ライアビリティ カンパニー モバイルコンピューティングにおけるセキュリティを強化するためのシステムおよび方法
US9609020B2 (en) 2012-01-06 2017-03-28 Optio Labs, Inc. Systems and methods to enforce security policies on the loading, linking, and execution of native code by mobile applications running inside of virtual machines
US9712530B2 (en) 2012-01-06 2017-07-18 Optio Labs, Inc. Systems and methods for enforcing security in mobile computing
US9787681B2 (en) 2012-01-06 2017-10-10 Optio Labs, Inc. Systems and methods for enforcing access control policies on privileged accesses for mobile devices
US9773107B2 (en) 2013-01-07 2017-09-26 Optio Labs, Inc. Systems and methods for enforcing security in mobile computing

Also Published As

Publication number Publication date
EP1068566A1 (en) 2001-01-17
IL123512A0 (en) 1999-03-12
KR20010041448A (ko) 2001-05-25
BR9908454A (pt) 2000-11-14
US7383569B1 (en) 2008-06-03
CN1299478A (zh) 2001-06-13
US20080201777A1 (en) 2008-08-21
WO1999045454A1 (en) 1999-09-10
CA2321987A1 (en) 1999-09-10
AU767894B2 (en) 2003-11-27
AU2637399A (en) 1999-09-20

Similar Documents

Publication Publication Date Title
JP2002506247A (ja) コンピュータリソースの権限なき使用に対する保護方法及びエージェント
US7665143B2 (en) Creating secure process objects
US7096253B2 (en) Method and apparatus for streaming software
US6122631A (en) Dynamic server-managed access control for a distributed file system
DE112005003340B4 (de) Mechanismus zum Bestimmen der Vertrauenswürdigkeit von Außerbandverwaltungsagenten
US7398532B1 (en) System and method for establishing a secure execution environment for a software process
US7246374B1 (en) Enhancing computer system security via multiple user desktops
US8646044B2 (en) Mandatory integrity control
JP2003503793A (ja) 共用システムファイルを保護するシステム及び方法
JP2003511752A (ja) データ安全保証供給システムおよび方法
JP2002517853A (ja) 制限付きトークンを介した最小権限
JP2002517852A (ja) 信頼できないコンテントを安全に実行するための方法およびシステム
US20110106948A1 (en) Running Internet Applications with Low Rights
JP2002517854A (ja) 制限付きのトークンを使用したセキュリティモデル
US20010025311A1 (en) Access control system
US8336097B2 (en) Apparatus and method for monitoring and protecting system resources from web browser
JP2005129066A (ja) オペレーティングシステムリソース保護
US20080208924A1 (en) Security model for common multiplexed transactional logs
JP2002505459A (ja) メソッド毎のセキュリティ要件の指定
WO2002031632A2 (en) A method for controlling access to protected content
JPH10512981A (ja) コンピュータシステムを動作する方法
US20070162909A1 (en) Reserving resources in an operating system
US7076557B1 (en) Applying a permission grant set to a call stack during runtime
US20030084324A1 (en) Method and apparatus for type independent permission based access control
US20030084325A1 (en) Method and apparatus for implementing permission based access control through permission type inheritance