JP2002526830A - コンパートメント化された信用コンピュータオペレーティングシステム - Google Patents

コンパートメント化された信用コンピュータオペレーティングシステム

Info

Publication number
JP2002526830A
JP2002526830A JP2000572763A JP2000572763A JP2002526830A JP 2002526830 A JP2002526830 A JP 2002526830A JP 2000572763 A JP2000572763 A JP 2000572763A JP 2000572763 A JP2000572763 A JP 2000572763A JP 2002526830 A JP2002526830 A JP 2002526830A
Authority
JP
Japan
Prior art keywords
request
user
access
security
processes
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2000572763A
Other languages
English (en)
Inventor
エー. マクナーブ,ポール,
エス. スレイヴィン,パヴェル,
ジェー. ハンソン,チャド,
ジェー. サンドーン,ランドール.
Original Assignee
アーガス システムズ グループ,インク.
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by アーガス システムズ グループ,インク. filed Critical アーガス システムズ グループ,インク.
Publication of JP2002526830A publication Critical patent/JP2002526830A/ja
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0227Filtering policies
    • H04L63/0263Rule management
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/12Applying verification of the received information
    • H04L63/126Applying verification of the received information the source of the received data
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2113Multi-level security, e.g. mandatory access control

Abstract

(57)【要約】 コンピュータシステムセキュリティと、アクセス、制御、権利、特典が、コンピュータにアクセスするユーザまたは処理にではなく、個々のファイルメンバに指定されるオペレーティングシステム設計を提供する。ファイルレベルを拡張したセンシティビティラベル属性(202)を付加することによって、プロセスの実行へのアクセスを制御する信用サーバを提供するためのシステムおよび方法である。属性は、標準ファイル許可認可を使用することに加え、拡張された属性(200)を比較することによって、要求されたプロセス(250)の実行を規制するために使用される。

Description

【発明の詳細な説明】
【0001】 本明細書は、本明細書中で援用している、1998年9月28日付けで提出さ
れた同時係属米国仮出願番号第60/102、019号の優先権に基いており、
これを主張するものである。
【0002】
【発明の属する技術分野】
本発明は、コンピュータシステムセキュリティと、アクセス、制御、権利、特
権が、コンピュータにアクセスするユーザまたは処理にではなく、個々のファイ
ルメンバに指定されるオペレーティングシステム設計とに関するものである。本
システムは、サーバ上で実行されている処理のアクセスと制御に影響を与えるオ
ペレーティングシステム修正を備えている。
【0003】
【従来の技術】
以下に示す例により、安全なネットワーキングプラットフォーム(例えば、イ
ンターネットのためのもの)の重要性が強調される。1988年11月前半、B
erkeley UNIX(登録商標)のバージョンを実行しているVAXおよ びSun−3コンピュータに侵入する自己複製プログラムがインターネット上に 放たれた。このプログラムは、これらのコンピュータのリソースを不当に利用し て、インターネットに接続している他のコンピュータを攻撃した。このプログラ ムは数時間で全米中に広がり、存在する60,000のインターネットホストの 内6,000のホストに感染した。この時、インターネットはまだ科学者どうし の間でのメール交換に独占的に使用されているだけであった。企業のインターネ ットサービスが静止したウェブページ、メールゲートウェイなどに限定されてい た時、セキュリティ手段は主に、電子販売およびマーケティング情報を公共に確 実に提供するために必要とされていた。このようなセキュリティがインターネッ トサーバを攻撃から保護することに失敗すると、企業では、インターネットを視 認することが一時的に中断され、重要でないサービスしか受けられず、全体的で あるが、致命的ではない管理上の問題が引き起こされる。
【0004】 今日では、膨大スケールの公共および企業サービスをインターネットに頼る人
や企業はますます増加する一方である。企業は、経費の削減と競合性の拡大を目
的として、公共インターネットサービス上で商用アプリケーションを急速に展開
している。これらの統合されたアプリケーションは、コストを削減し、視認性を
向上させながら、ビジネスプロセスにかけて、速くて便利なサービスと価値のあ
る顧客管理を提供する。
【0005】
【発明が解決しようとする課題】
しかし、インターネットのためのトランザクション技術は発展したが、セキュ
リティの突破口から生じる潜在的なダメージは、企業が考慮するべき重大な要素
となった。データの盗難や破壊、ネットワークサービスの拒否は、企業の利益に
明確な打撃を与える。
【0006】 インターネット上で伝送されるミッションクリティカルなサービスへの増加す
る依存には、外部の人物が、重要な内部データへのパイプラインをインターネッ
トを介して開いてしまうという危険が付きまとう。ファイアウォールの後ろにあ
るアプリケーションおよびデータベース情報とのインタラクションが可能になっ
たウェブを採用する前に、ウェブサイトのコンテンツが攻撃の危機に晒されてし
まうかもしれず、今日では、トランザクショナルなインターネットアプリケーシ
ョンを実現するために必要な接続性が、これらの重大な企業リソースを攻撃し易
いものにしてしまう。現在インターネットサーバは、ミッションクリティカルな
サービスを企業に提供し、プライベートおよび公共のシステムとデータを接続す
る。例えば、この新規のビジネスモデルの下では、以前は最大でも公的に利用可
能な情報のみをインターネットに提供していたシステムが、現在では、世界のあ
らゆる場所から、銀行預金情報や、コンピュータハッカーのトランザクション記
録といった機密データへ続く潜在的なドアとなっている。
【0007】 全てのコンピュータシステム上で、特定のシステムプログラムまたはユーティ
リティに、通常はシステムによって強いられるセキュリティ制約をバイパスする
機能が付与される。例えば、システムディスク上の全てのファイルのバックアッ
プを作成するために、管理者は、通常はこうしたアクセスを許可されないにも関
わらず、ディスク上の全てのファイルを読み出せるバックアッププログラムを実
行できなければならない。これ以外の協力なプログラム、例えば、システムをシ
ャットダウンするプログラム、新規のユーザを作成するプログラム、損傷したフ
ァイルシステムを修正するプログラムも注意深く制御されるべきである。標準の
UNIXシステム上では、ルートまたはスーパーユーザと呼ばれる1人のユーザ
IDが全てのセキュリティ規制および制限をバイパスすることができるオペレー
ティングシステムが設計されてきた。Windows(登録商標) NTシステ ムでも、「システム」アカウントと「管理者」アカウントを使用して、同様の脆 弱性を示す。
【0008】 このため、あらゆる規制された機構を使用するために必要なユーティリティを
、ルートまたは管理者として実行しなければならない。これは例えば、システム
をシャットダウンするためにバックアッププログラムを利用することができ、新
規のユーザを作成するためにシャットダウンプログラムを利用することができ、
また、新規のユーザを作成できるプログラムを、システム上の全てのファイルを
読み出すために利用することができるということである。従って、任意の管理プ
ログラムが利用可能なバグを含んでいる場合には、システム上であらゆることを
実行するためにそのプログラムを使用することができる。
【0009】 限定された権利のみをプログラムに付与に対する標準UNIXの不能さは、こ
のシステムの唯一の弱点ではない。UNIXでは、1つのプログラムが別のプロ
グラムを開始する際に、ユーザIDと最初のプログラムの許可によって新規に作
成されたプログラムが実行される。これは、ルートプログラム内のバグを利用で
きる悪質なユーザが、インタラクティブなルートセッションを開始できてしまう
ということである。ユーザがルートを実行している場合、そのユーザが実行する
全てのファイルがシステム上で無制限の特権を持つ。ユーザはあらゆるファイル
の作成、修正、削除を行うことができる。ユーザは選択するあらゆるネットワー
クパケットを追加的に送受信することができ、またネットワーク上の全てのパケ
ットを妨害する機能を持つため、同じネットワーク上にある他者のあらゆる2つ
のホスト間のトラフィックを見ることができてしまう。
【0010】 ファイアウォール、侵入検出、暗号化、ユーザ認証は、ペリメータおよび通信
セキュリティの要素を提供するが、これらは1つだけでは、高度のセキュリティ
保証を必要とするインターネットベースのアプリケーションにとっては不十分で
ある。オンラインバンキング、オンライン株取引、センシティブなデータベース
へのアクセス、政府の税処理、電子商取引、ジャストインタイムの製造業のよう
なミッションクリティカルなプロセスは、自分を露出して危機に晒すことなく内
部サーバおよびデータベースへのアクセスを提供できるシステムを必要とする。
これらは、従来のセキュリティ手段では解決できないセキュリティ問題である。
【0011】 従来のセキュリティ手段は、システムへのアクセスを制限するが、システムへ
の、またはシステムからの動作を制限することはできない。これらの手段は、悪
意を持った認可されたユーザがアプリケーションまたはオペレーティングシステ
ムソフトウェアに存在する未発見のホールを発見し、これを利用してしまうとい
う状況においては役に立たない。
【0012】 一般に、これらの製品は、認可および認証されたユーザは信用できるユーザで
あるという誤った考えの上で動作する。例えば、有効な口座番号とPINを持っ
た悪質な銀行顧客がいるとする。従来のセキュリティ手段は、この人物を認可さ
れた合法なシステムユーザであると認識してしまう。インターネットサーバへの
アクセスを一旦許可されれば、この口座の所有者はサーバを攻撃し、これをバッ
クエンドデータベースおよび金融サーバへエントリするための橋頭堡として使用
することができるのである。
【0013】 数名の有名なコンピュータ産業アナリストが行った研究では、セキュリティマ
ネージャが恐れるシステムの完全性と安全性への最も顕著な脅威は、企業内の認
可された人物による悪質ないたずらと誤用であると示されている。これらの統計
は、有効なセキュリティソリューションが、システムの使用を許可された内部関
係者およびその他の人物から、また、熟達した知識豊富な攻撃者からの的確な攻
撃からシステムを保護する問題を検討したものでなければならないことを示して
いる。
【0014】 ファイアウォールは、ホストシステムおよびサービスへのアクセスを制限する
ことにより、攻撃に対する必要なペリメータディフェンスのラインを提供する。
しかし、ファイアウォールは、アクティブコンテンツを生成したり、トランザク
ション指向のサービスを実現するアプリケーションの危険を適切に減少させるこ
とはできない。この用語が意味するように、ファイアウォールは、対立的な環境
(インターネット)から友好的な環境(ローカルな企業ネットワーク)までの全
体的なアクセスを規制するものである。新しいトランザクションベースのインタ
ーネットサービスのパラダイムは、友好的環境と非友好的環境の間の境界線が明
確でない場合には、これらの「ペリメータ」ディフェンスの有効性を減少させて
しまう。
【0015】 ファイアウォールは、その「中」に入る全てのネットワークおよびリソースへ
の幅広いアクセスを制御する。ユーザからのパケットがファイアウォールをトラ
バースし、内部ネットワークへのエントリを認可されてしまえば、ファイアウォ
ールは、特定のリソース、または最悪の場合セキュリティデータ自体へのアクセ
スまたは修正を阻止することはできない。インターネットベースのトランザクシ
ョンシステムについては、セキュリティ機構が、個々のユーザのプロファイルに
基づいて、特定のウェブページ、アプリケーション、データベースへのアクセス
を提供または拒否できなければならない。
【0016】 セッションの暗号化と通信セキュリティは、情報が伝送中である場合に顧客の
プライバシーを保護することができるが、商用トランザクションサーバに常駐し
ているデータを保護することはできない。一旦伝送または解読されてしまった後
では、伝送途中では保護されていた同一の情報が、サーバ上に記憶されて攻撃の
危機に晒されてしまう。
【0017】 同様に、暗号化キーは、インターネットサーバ上に記憶されている間、開いた
ままの危険な状態に保たれる。暗号化キーがマシン生成された64文字のストリ
ングであるシステムを考える。このような暗号を解読することは侵入への気力を
挫くタスクに思われるかもしれないが、ユーザがこれらのストリング(または、
これらを生成するために使用されるランダムナンバーのアルゴリズム)が常駐す
るシステム上のファイルにアクセスできれば、暗号化スキームは完全に失敗する
【0018】 ユーザ認証機構についても同様のことが言える。悪質なユーザがペリメータデ
ィフェンスを破ってしまえば、このユーザはキーを入手し、偽IDを受諾するよ
う認証システムを騙すことができ、システムおよび全てのリソースが無防備な状
態にされてしまう。
【0019】 侵入検出はシステム上への攻撃に反応するツールである。これは、悪質な意図
に関連した動作の公知のパターンを検出するシステムの機能に依存したものであ
る。このような検出システムは新規のものには無効であることが明白である。例
えば、サーバ内のこれまで知られていないシステムバグを利用するために明らか
に無害のパケットを使用した攻撃には、恐らくこのシステムは気付かないであろ
う。侵入検出機構は純粋に受身であり、最初の侵害の発生を防止する上では全く
何もできない。セキュリティホールが使用されてしまうと、アプリケーションと
オペレーティングシステムファイルが開かれて破壊され、これにより、攻撃者は
他の、未検出のセキュリティホールを空けることができてしまう。さらに、シス
テム監査トレイルへの自由なアクセスを手に入れた攻撃者は、多くの場合、彼ら
の不法侵入のシステムトレースを消し去ることができ、攻撃が最も深刻である場
合は、侵入検出機構を事実上無効にすることができる。
【0020】 ほとんどのISと企業マネージャは、既に毎日のシステムオペレーションを維
持するのに精一杯であり、新規技術と適切なシステムセキュリティを採用するた
めの顕著なバリアと直面している。そのため、システムのセキュリティのアップ
グレードを求めているマネージャは、セキュリティパフォーマンスについてのベ
ンダーからのクレームに依存するしかない場合が多い。新しいソフトウェアがリ
リースされ、既存のソフトウェアへアップグレードが不可避になると、通常、I
Sプロフェッショナルは、ベンダーが製品のセキュリティに力を注いだと推測す
る。セキュリティシステムの失敗の潜在的な実現を見れば、マネージャが、個別
に評価、テスト、証明を行ったセキュリティソリューションに注目することは非
常に重要である。
【0021】 信用オペレーションシステムは、全体的な設計の評価、ソースコードの統合性
と信頼性の証明、システマチックな独立したペネトレーション評価を受ける。最
も高く評価される評価ツールの1つに、国際的に認識された、ITセキュリティ
製品を評価、テスト、証明するための標準セットである情報技術セキュリティ評
価基準(ITSEC)がある。独立した本体によって実施されるITSEC証明
は、製品のセキュリティ機能について受けたクレームが確かであるという自信を
エンドユーザに与える。さらに、この証明は、これらのクレームが、保証の所定
レベルに対してテスト済みであり、ベンダーが高い専門技術と、安全性への強い
責任を持っていること示す。
【0022】 従って、ネットワークサービス用の安全なプラットフォームを提供するために
これらのコンポーネントが完全に統合されており、ユーザがシステムをインスト
ールした直後に、そのセキュリティ機能を発揮し、アプリケーションとサーバを
保護されたパーティション内にインストールすることができるシステムを提供す
ることが望ましい。オペレーティングシステムの全て(その他のあらゆる従来の
信用オペレーティングシステム)を交換するために管理者を必要とするのではな
く、望ましいシステムの信用オペレーティングシステムは、システムのアップグ
レードとしてインストールされた拡張を有する。これにより、内在するオペレー
ティングシステムAPIとの100%の互換性を維持することができ、また、通
常このタイプのシステムに関連する、経費と時間のかかる統合作業を大幅に縮小
することができる。
【0023】
【課題を解決するための手段】
本発明の目的は、アクセスが厳密に制御され、要求に反応する必要がある動作
のみを許可するべく処理が規制される、ファイアウォールまたは情報サーバ上で
使用するための安全オペレーティングシステムを提供することである。また本発
明の別の目的は、管理プロセスが制御され、ローカルマシンのみについて実行さ
れるため、ネットワークユーザが、ローカルネットワークの外からシステムの管
理機能へアクセスしたり、これを修正することができないサーバシステムを提供
することである。さらに、本発明の別の目的は、システムからデータを要求する
ためのユーザの認可が、要求を行っているユーザに確立されたロールと比較され
ることである。また、本発明の目的は、ユーザによる要求は、事前定義されたプ
ロセスしか開始することができず、プロセスを実行する認可が各プロセス段階に
おいて確認され、プロセスが権利または別の後続するプロセスへのパス権利を引
き継がないことである。本発明のさらに別の目的は、異なるユーザからの同じア
イテムへの要求は、ユーザが異なる場所へと誘導され、そこでそれぞれ異なる結
果を得られることである。本発明のまた別の目的は、ファイル許可が、拡張され
た属性が各ファイルおよび実行可能なプロセスに指定されるように修正され、シ
ステムによって要求を受信する度に、これらの属性が検査されることである。
【0024】 このオペレーティングシステムと協働するべく、保護部分をこの方法で動作す
るように修正したウェブサーバが採用されており、オペレーティングシステムの
非エンベッド部分と選択的にインターオペレートできればさらに望ましい。
【0025】 本発明の別の目的は、入力される通信のIPアドレスに基づいてセンシティビ
ティ層を指定することである。本発明のさらに別の目的は、リソースへのアクセ
スを許可する前に、センシティビティ層をチェックすることで、使用可能なプロ
セスおよびリソースへのアクセスを規制することである。本発明の別の目的は、
ウェブユーザに、要求されたプロセスと、受信した認可レベルとによってアクセ
スが制限される第2コンピューティングリソースから、保護されたリソースへの
アクセスを可能にすることである。
【0026】 本発明のさらに別の目的は、ファイアウォールや暗号化プロセスのような従来
のセキュリティコンポーネントが、商用サーバへの攻撃を確実に打破できるよう
に修正され、また、基本のセキュリティ層がオペレーティングシステムレベルに
下げられ、ファイルシステム、デバイス、プロセスへのアクセスについての決定
が行われ、効率性と柔軟性を以て動作している間にはセキュリティをバイパスす
ることができないようにすることである。
【0027】 本発明は、ファイアウォールや侵入検出ツールのような従来のセキュリティ機
構の代わりではなく、むしろ、全てのオペレーションレベルにおいてデータとア
プリケーションの統合性を確実にするためのセキュリティの追加層を提供する。
本発明は、信用サーバにおいて複数のコンピューティングデバイスからの要求を
処理する方法であり、入力されるデータオブジェクトの要求を受信する段階を有
し、入力されるデータオブジェクトの要求にセンシティビティラベルを指定する
段階をさらに有し、データオブジェクトに関連した第1記憶宛先において、拡張
された属性を読み出す段階をさらに有し、センシティビティラベルと拡張された
属性の組み合わせに基づいて、入力された要求をデータオブジェクトの第2記憶
宛先へ転送する段階をさらに有し、転送された要求に関連した動作を実行する段
階をさらに有する。
【0028】 さらに、信用サーバ上で実行する商用のソフトウェア製品のデータオブジェク
トに制御およびアクセス属性を指定する方法であり、ここで、商用ソフトウェア
製品へのアクセスは信用サーバによって規制的に管理され、信用サーバは、商用
ソフトウェア製品を構成モードで実行する段階と、構成モードにある際に、商用
ソフトウエア製品がアクセスする少なくとも1つのプロセスを決定する段階と、
データファイルおよびプロセスに指定する少なくとも1つのセンシティビティレ
ベルのための管理者による入力を受信する段階と、商用ソフトウェア製品のプロ
セスおよびデータファイルに付加する、拡張された属性を決定する段階と、受信
した管理者のセンシティビティレベルのための決定された拡張された属性を、商
用ソフトウェア製品のプロセスおよびデータコンポーネントに付加する段階と、
非構成モードで使用するために、拡張された属性を記憶する段階とを実行する方
法が提供される。
【0029】 構成モードに続いて、信用サーバ上で商用ソフトウェア製品を非構成モードで
実行する方法であり、さらに信用サーバにおいて、商用ソフトウェア製品に関す
る、要求名とアドレスの指示を備えた要求を受信する段階を有し、商用ソフトウ
ェア製品に関連した要求のアドレスの指示からセンシティビティレベルを指定す
る段階を有し、要求から、商用ソフトウェア製品のために実行するプロセスの第
1場所を決定する段階を有し、第1場所に記憶した、商用ソフトウェア製品のプ
ロセスに付加された属性を検索する段階を有し、付加された属性を、要求に指定
されたセンシティビティレベルと比較する段階を有し、検索されたプロセスを、
付加されたセンシティビティレベルと相関させる、要求されたプロセスを実行す
る段階を有する方法が提供される。
【0030】 オーナー、ワールドおよびグループアクセスに加えて、関連する読み出し、書
き込み、削除認可を使って第2のアクセスチェックを実行する、信用サーバのプ
ロセスへのアクセスを制御する方法であり、信用サーバの管理ユーザアカウント
の制御形態を区分して、1つの管理アカウントで全ての管理機能を実行できない
ようにする段階を有し、ファイルシステムの属性を、少なくとも1つのセンシテ
ィブレベル属性を含むように拡張する段階をさらに有し、ファイルシステム内の
記憶場所に記憶されたファイルおよびプロセスの各々に、センシティビティレベ
ル属性を指定する段階をさらに有し、システムのプロセスのテーブルを生成する
段階をさらに有し、テーブルは、プロセスの実行を許可されたユーザロールとの
関係を含んでおり、ユーザロールに関連したユーザ認可を定義する段階をさらに
有し、ユーザ要求に反応してシステムが実行するタスクに関連したプロセスの階
層を確立する段階をさらに有し、ユーザ要求に応じて、記憶場所からファイルお
よびプロセスが検索される別の宛先を定義する段階をさらに有し、入力される、
データオブジェクトの要求を受信する段階をさらに有し、入力されるデータオブ
ジェクトの要求にセンシティビティラベルを指定する段階をさらに有し、入力さ
れるデータオブジェクトの要求に関連した、第1宛先を決定する段階をさらに有
し、拡張された属性を、データオブジェクトに関連した第1宛先において読み出
す段階をさらに有し、入力される要求を、入力される要求のセンシティビティラ
ベルと拡張された属性の組み合わせに基づいて、別の宛先へ転送する段階をさら
に有する方法が提供される。この方法はさらに、同じ方法で処理されるか、要求
者に出力を送る別のプロセス要求を最終的に有する、要求された出力を生成する
【0031】 要求に応じて、プロセスの制御された実行を許可するための信用サーバコンピ
ューティングシステムであり、少なくとも1つのデータパーティション内の拡張
された属性を備えた複数のデータオブジェクトを記憶するための記憶装置を有し
、要求を受信し、ユーザ要求に応じてプロセスを実行するためのプロセッサ手段
をさらに有し、データオブジェクトの要求に関連したセンシティビティレベルを
指定するための指定手段をさらに有し、プロセスと拡張された属性を検索するべ
くプロセッサを誘導する第1宛先を決定するために、要求を翻訳するためのアッ
プグレード・ダウングレードエンフォーサ手段をさらに有し、アップグレード・
ダウングレードエンフォーサ手段は、属性を指定されたセンシティビティレベル
と比較し、有益に比較されたプロセスを、実行するべくプロセッサへ送り、保護
された記憶パーティションへのアクセスが必要なプロセスを識別し、センシティ
ブレベルを備えたこれらのプロセスをセキュリティゲート手段へ誘導するプロセ
ッサをさらに有し、センシティビティレベルを受信し、区分された記憶装置から
のデータを必要とするプロセスを翻訳するためのセキュリティゲート手段をさら
に有し、セキュリティゲート手段は、データセンシティビティレベルが受信した
センシティビティレベルと有益に比較される場合に、要求されたデータを検索す
ることを特徴とする信用サーバが提供される。
【0032】
【実施例】
本発明は、安全なビジネス処理のための完全統合ソフトウェアファンデーショ
ンである。本発明は、シームレスで安全なシステムに様々なセキュリティ技術を
採用している。そのコンポーネントと修正形は、オペレーティングシステムセキ
ュリティ拡張、ネットワークパケット管理修正、アップグレード/ダウングレー
ドエンフォーサ(UDE)、セキュリティゲート、信用管理ユーティリティ、拡
張されたセキュアシェル(拡張SSH)、認証モジュール、セキュアCGIモジ
ュール、ネットワーク層暗号化(VPN)、セキュアソケット層暗号化(SSL
)の使用を備えている。
【0033】 以下に示す用語は、本願明細書の好ましい実施例の説明と共に有益である。 アドバンスド・セキュア・ネットワーキング(ASN): パケットが属するコ
ンパートメントまたはパーティションを表示するために、入力パケットの各々に
ラベルを指定するネットワークインタフェースに関連したセキュリティコンポー
ネントである。
【0034】 監査証跡: 処理の文書証拠を総合的に提供する1組の記録である。監査証跡に
より、オリジナルのトランザクションから関連する記録やレポートへ送信された
、または逆に、記録やレポートからそのコンポーネントソース・トランザクショ
ンへ送信されたイベントの追跡が可能になる。
【0035】 認証: クレームされた識別の有効性を確立する。
【0036】 証明: 特定のコンピュータシステムの設計と実装が特定の1組のセキュリティ
の条件に見合う範囲を確立するための、システムの障害を技術評価する承認/ア
クレディテーション処理。
【0037】 共通ゲートウェイインタフェース(CGI): ウェブサーバ上で実行されてい
るプログラムがウェブクライアントと通信する方法を指定するプロトコル。
【0038】 コンパートメント: アクセスを承認する前に、相関のために特定のアクセスコ
ードが必要なオペレーティングシステムによって制御されるシステムの部分であ
り、パーティションとも呼ばれる。
【0039】 データの統合性: 計算されたデータがソースドキュメント内のものと同一であ
り、不慮の、または故意による変更または破壊に晒されていない状態のことであ
る。
【0040】 任意アクセス制御(DAC): 属するサブジェクトおよびグループの識別に基
づいてオブジェクトへのアクセスを規制する手段である。特定のアクセス許可を
持ったサブジェクトは、その許可を(おそらく間接的に)別のサブジェクトへと
送ることができるため、(命令アクセス制御によって規制されていない限り)制
御は任意であると考えられる。
【0041】 ハイパーテキスト・マークアップ言語(HTML): テキストに構造を付加す
るための、SGMLベースの標準である。HTMLは、ウェブ上の大多数のドキ
ュメントで使用されているマークアップ方法である。
【0042】 インターネットプロトコル(IP): デバイスを個々に識別し、相互に通信す
るための、インターネット上でのデバイスの接続方法を指定する標準である。
【0043】 ITSEC(情報技術セキュリティ評価基準): 情報技術セキュリティ製品を
評価、テスト、証明するための、国際的に認識された標準セットである。
【0044】 最下位の特権: システム内の各サブジェクトに、認証されたタスクのパフォー
マンスに必要とされるよりも多くの特権(それ以上高いクリアランス)を与えて
はいけないという原則である。この原則を適用することで、事故、エラー、非認
証の使用により生じるダメージを制限することができる。
【0045】 命令アクセス制御(MAC): オブジェクト内に含まれる情報のセンシティビ
ティ(ラベルが示すもの)と、このようなセンシティビティの情報にアクセスす
るべく特定の要求に与えられた正規の認証(クリアランス)とに基づいて、オブ
ジェクトへのアクセスを規制する手段である。
【0046】 マルチレベルセキュア: 知る必要があり、特定の正しいセキュリティクリアラ
ンスを有するユーザによる、異なるセンシティビティを持った様々な情報のセッ
トへのアクセスを許可するが、ユーザが認可を持っていない情報へのアクセスを
得ることは阻止するシステムのクラスである。
【0047】 パケットラベリング: 要求処理の許可レベルに関連する情報を、入力または出
力データグラムに付加する処理である。
【0048】 セキュアソケット層(SSL): ウェブユーザにセッション層の暗号化を提供
する機構である。
【0049】 セキュリティゲート(SG): 個別のパーティション内で動作しているアプリ
ケーションまたはユーティリティ間の制限された、安全な通信を可能にするソフ
トウェアコンポーネントである。
【0050】 センシティビティラベル(SL): 要求のセキュリティレベルを示し、オブジ
ェクト内のデータのセンシティビティ(例えば、類別)を表記する情報である。
センシティビティラベルは、命令アクセス制御決定の基準として使用される。
【0051】 システムネットワーク・アーキテクチャ(SNA): 特定のネットワークハー
ドウェア構成である。
【0052】 信用コンピュータシステム: サービスの拒否、データ盗難、または悪質な行為
による変造の心配をすることなく、センシティブ情報または類別された情報を処
理するために依存できる、適切なハードウェアとソフトウェアの統合性の基準を
採用したシステムである。
【0053】 ユニフォーム・リソース・ロケータ(URL): 所与のオブジェクトの位置と
、その検索に使用されるプロトコルを識別するためにウェブ上で使用されている
アドレス指定システムである。
【0054】 アップグレード/ダウングレードエンフォーサ(UDE): 入力される要求の
各々を調べ、どのアプリケーション(ウェブサーバなど)でそれを扱うかを決定
する機能を果たす、本発明のコンポーネントである。
【0055】 図1に示す本発明の信用サーバは、キーコンポーネントの操作に影響を与える
ように、オペレーティングシステムに修正を加える必要がある。以下で説明する
信用オペレーティングシステムのキーコンポーネントには、1)プロセス、2)
ファイルシステムオブジェクト(デバイス、ディレクトリ、ファイルなどを含む
)、3)インタープロセス通信メッセージ(パケット、共用メモリなどを含む)
がある。標準システムではこれらの各々が様々なセキュリティ属性を持っており
、これらのセキュリティ属性はOS自体によって作成、管理、使用される。プロ
セスがファイルシステムオブジェクトにアクセスしようとすると、OSがそのプ
ロセスの様々な属性をオブジェクトの属性と比較し、アクセスを許可または拒否
する。プロセスが通信メッセージを送信または受信すると、OSは、プロセスが
そのメッセージの送信および/または受信を認められていることを確認する。フ
ァイルの作成時またはメッセージの生成時のようにオブジェクトが作成される場
合、OSは、新規のオブジェクトに適切な属性を付加するべく機能する。
【0056】 信用サーバシステムは、OSコンポーネントの各々にセキュリティ属性をさら
に付加することにより、また、新規の属性を使用するべくセキュリティチェック
を拡張することにより、この標準機構を2つの方向に拡大している。3種全ての
コンポーネントに追加されたセキュリティ属性は、「センシティビティラベル」
202またはSLである。図2は、ファイルに付加された拡張された属性を示し
、図3は、システム上で処理されるプロセスまたはパケットに付加された属性を
示す。図3は、この構造の1部分である属性タイプを表に示したものである。図
4はこの構造の一部分である属性タイプを表に示したものである。標準のセキュ
リティ機構とは違い、SL202は命令として、つまり、ユーザの制御下にない
ものとして設計されている。つまり、ユーザはファイルを所有していても、その
ような情報を入手するべく事前に許可されていなければ、そのユーザがアクセス
可能なファイルや内容、またはコピーさえも作成することができない。SLは、
次に示すいくつかの形で関連することができる。1)同一である、2)他方より
も「大きい」(優位である)、3)「ディスジョイント」である(つまり、どち
らも大きさが同じである)。単純な類推は、SLの関係を説明する上で役に立つ
。多くの部門と管理レベルを持つ大企業では、管理者の階層構成がある場合があ
る。多くの場合、ある従業員は、この階層において別の従業員の「上」または「
下」として表すことができる。しかし、ある部門のスーパーバイザは別の部門の
従業員に対しては何の権限もないため、互いにタスクを与え合うことはできない
。実際、例えば経理部門のようなある部門の最下にある従業員が、別の部門の最
高幹部がアクセスを拒否される情報にアクセスできることがある。
【0057】 プロセスは実行プログラム、つまり、書き込まれ、ファイルに記憶され、シス
テムによって「実行可能」であると判断されるコンピュータプログラムの例であ
る。多くの場合、コンピュータプログラムは、例えば、ネットワークブラウザプ
ログラムがワードプロセッサプログラムまたはモデムソフトウェアパッケージの
実行を開始した際といった、ある段階において別のプログラムを「呼び出す」ま
たは「実行する」ように書かれている。プロセスがこの要求を行うと、プロセス
がそのプログラムを実行できるかどうか確認するために、OSがそのプロセスの
属性を、プログラムが記憶されているファイルの属性と比較する。使用可能なプ
ログラムに対して制御を強化するために、OSは、信用サーバシステムの追加の
セキュリティ属性を使用する。信用サーバシステムは、標準のユーザおよびグル
ープ識別子に加え、プロセスを実行しているユーザが、要求したプログラムにア
クセスまたは実行できるかどうかを調べるために用いる「認可データベース」を
OSに追加した。
【0058】 あらゆるシステム上で、プログラムによっては、ある特定の作業を実行するた
めに、いくつかのセキュリティをバイパスする必要があるものもある。例えば管
理者は、たとえ普段は全てのファイルにアクセスできなくても、システムのバッ
クアップを作成する際には、全てのファイルを読み出し、その各々をテープまた
はディスクに書き込むべくあるプログラムを実行できる必要がある。このような
状況下で、プロセスに特定のセキュリティ機構をバイパスさせるために、プロセ
スの「特権」属性が使用される。特権はプログラムの実行可能ファイルに記憶さ
れるため、そのプログラムが実行されると、これを実行しているプロセスが必要
な特別の機能を持つ(本システムではこの特権を「特権」と呼ぶ。)。
【0059】 本発明の信用サーバシステムは、従来の認可および特権に加えて、開始特権セ
ット以外に、少なくとも1組の特権を、「特権認可セット」220と呼ばれる追
加の認可リストと共にプログラムファイルに付加する概念を追加した。プログラ
ムを実行すると、そのプログラムを実行しているユーザが1つまたはそれ以上の
特権認可を有する場合、プロセスに開始特権と「認可特権」が与えられる。これ
により、管理者は、ユーザが単にプログラムへのアクセスを許可または拒否され
るだけでなく、ユーザが特定のセキュリティ規制をバイパスするより広範な機能
を持ちながらプログラムを実行できるようにプログラムを設定することができる
。この機構は、プログラム自体にではなく、ディスクに記憶されたそのプログラ
ムファイルのコピーに適用されるため、ソースコードへのアクセスを持たない、
ソフトウェアの商用のバイナリコピーに加えることができる。
【0060】 信用サーバシステムの信用サーバは、各プロセスに最小254および最大クリ
アランス(SL)256を追加した。この追加の属性は、特定の特権を制限する
ために使用される。特権機構を使用し、SLを提供する別のシステムでは、SL
チェックを無視する特権を特定の範囲に限定することはできない。そのため、複
数のSLを使用して特別のプログラムを実行する必要がある場合には、このプロ
グラムに、全てのSLチェックを無効にする旨をシステムに伝える特権が与えら
れる。クリアランス範囲254、256を提供することにより、また、SL無効
特権の範囲を制限するためのチェックを加えることにより、信用システムは、サ
イトに、特別な「マルチレベルオペレーション」を扱いながら、各々を別々に保
つ機能を持った多数の特別なプログラムを実行させることができる。
【0061】 プロセスが通信チャネルまたはネットワークを介して情報を伝送する場合、信
用サーバはOSを、プロセスのセキュリティ属性がパケットに付加されるように
変更する。同じマシン上の別のプロセスと通信する場合には、そのパケットへの
アクセスを宛先プロセスに与える前に、セキュリティ属性のチェックを行うこと
ができる。そのため、OSは、SLのような様々なセキュリティ属性に基づいて
、プロセス上のセキュリティを実行することができる。パケットがネットワーク
インタフェース上に送信されると、信用サーバは、セキュリティ情報をネットワ
ークパケット内に組み込むことができるため、受け側のシステムは、そのパケッ
トが到着した際にこれを正しく設定することができ、また、パケットへのアクセ
スをプロセスに許可する前に、セキュリティを正しくチェックすることができる
。セキュリティ情報を組み込まれていないパケットがネットワークから届いた場
合、または、組み込まれた情報を全てを無視するように信用サーバシステムが構
成されている場合には、システムが、システム管理者によって構成された内部テ
ーブルに基づいてデフォルトセキュリティ属性を追加する。従来技術では、デフ
ォルトセキュリティ属性のセットを決定するために、このようなテーブルが、パ
ケットのソースホストのIPアドレスと、パケットが届けられたネットワークイ
ンタフェースを使用した。信用サーバはこれに、インタフェース、ソースネット
ワーク/サブネット、ソースIPアドレスと共に、ポート番号(HTTP、FT
P、telnetなどの様々なネットワークサービスを特定する)および/また
はプロトコル(TCPまたはUDPなど)を使用できる機能を追加した。さらに
、信用サーバでは、管理者は、システムから送信される、また、システム内に受
信されるパケットに個別の規則を設けることできる。これらの規則は、入ってく
る、ラベル付けされていないパケットにデフォルト情報を提供するためだけでな
く、パケットを特定のネットワークインタフェースに、または特定のホストまた
はネットワークに送受信を認可すべきかどうかを決定するために使用される。こ
のシステムのプロセスまたはコンポーネントは、ソフトウェアコンポーネントを
用いて実現することが、あるいは、プロセスを組み込んだマイクロプロセッサを
活用することができる。
【0062】 UNIX実装の好ましい実施例では、信用サーバシステムは、デフォルトiノ
ード構造情報に加えて、既に記憶されている、ファイルに関連した属性ラベル情
報を検索するためにリンクを設けた、本発明のカーネルプロセスを実行するコン
ピュータを備えている。別の実施例では、iノード構造を、記憶装置の別の部分
を(パーティション)に記憶されている別の情報を見ることなく、本発明のシス
テムの処理ルーチンがアクセスできるようにラベル情報を直接包含するべく修正
している。カーネルは、プロセスが記憶装置からファイルを呼び出す毎に、この
ラベル情報を検索するように適合される。ユーザの基本の権限と許可がファイル
の実行を許可し、システム内に拡張した属性がユーザにそのレベルの情報へのア
クセスを許可する場合には、このラベルにより、プロセッサは、その参照ロケー
ションに記憶されたファイルを直接検索することができる。システムは、プロセ
スと認可の関係を記憶するための記憶装置手段と、ローカルプロセッサまたは遠
隔地にいるユーザから受信した要求を翻訳するためのプロセッサ手段とを備えて
おり、このプロセッサ手段は、リソースへのアクセス可能性を決定するための、
また、ユーザのデータの要求を適切な場所へ誘導するためのアップグレード/ダ
ウングレードエンフォーサと、レガシーアプリケーションと要求プロセスの間の
適切な通信を規制およびチェックするためのセキュリティゲートとを装備してい
る。
【0063】 図1およびプロセス図を参照すると、パケットがネットワークインタフェース
1に到着すると、アドバンスト・セキュア・ネットワーキング(ASN)コンポ
ーネントがこれに、属するコンパートメントを表示したラベルを指定する。コン
パートメントは、そのIPアドレスを介してアクセス可能なデータを示している
。ラベルはインターフェースまたはソースホストアドレスに基づき指定される。
ネットワーク層暗号化を用いてパケットが認証されない限り、ホストアドレスは
絶対に信用されない。アップグレード/ダウングレードエンフォーサ4は、指定
されたラベルを使用して、パケットの保護方法を確立し、適切な宛先を決定する
【0064】 UDE4の役割は、入力される要求の各々を調べ、これを適切なサービスへ転
送することである。UDEは密接に統合された信用プログラムであり、他のプロ
セスやプログラムとは違って、異なるセキュリティパーティション間でパケット
を通過させることができる。UDEは決定をする上で次の3つの要素を調べる。
ASNが(IPアドレスおよび/またはネットワークインタフェースに基づいて
)パケットに付加したラベル、要求されたURL、ユーザ認証モジュールの認証
の試みが成功した結果現れたあらゆる「認証されたクッキー」。
【0065】 セキュリティゲート8(図1を参照)プログラムは、2プロセス間、またはプ
ロセスとネットワークインタフェース間の制限された通信を認める特別なプログ
ラムである。その構造ファイルは、宛先SLとポートと共に、ソースSLとポー
トを指定する。一般的な構造では、ソースおよび宛先SLはディスジョイントで
あり、つまり、両端は相互に作用することが決してできない。セキュリティゲー
トプログラムには、両方よりも大きなSLが与えられている。また、SLセキュ
リティチェックを無視する特権と共に、両エンドポイントを含むSL範囲も与え
られるが、その範囲内に含まれるSLのみに限定される。
【0066】 UDE(アップグレード/ダウングレードエンフォーサ)プログラムは、セキ
ュリティゲートよりも複雑である。入ってくるパケット(システムに到達した際
に、セキュリティ属性を指定されている)を、そのSLを修正した形で別のポー
トへ送信することができる。UDEは、どのアクセスを許可するか決定するため
に、構造ファイルと「規則」のファイル使用する。UDEはHTTPトラフィッ
クまたはその他のプロトコルを通過させることができる。UDEは、HTTPト
ラフィックが到着すると、1)ヘッダ内の「クッキー」の存在、2)指定された
URL経路、3)宛先ポート、4)パケットのSL、についてパケットを調べる
ことができる。UDEは、この情報と規則データベースに基づいて、新規のSL
と、新規のポート番号とネットワークアドレスをそのパケット用に選択すること
ができる。UDEの複数のコピーを1つのシステム上で実行することができる。
UDEは、これを流れるトラフィックのSLを変更できなければならないという
特権を持っている。
【0067】 さらに、TCB218(信用計算ベース)機構というセキュリティ機構が信用
サーバによって提供される。信用サーバは、「マルチユーザ」または「単一ユー
ザ」モードであるという既存の概念をとり、これをOS自体に拡張している。標
準のUNIXシステム上では、これらのモードの違いは、単にどのサービス(シ
ステムプロセス)が実行されているかということである。モード間の切り替えは
、単純にプロセスを停止または開始することで行う。信用サーバシステム上で、
標準のプライマリシステムプロセス(“init”と呼ぶ)は、システムが実行
(安全)モードまたはメンテナンス(安全性の低い)モードのいずれかにあるこ
とを表示するために、内部OSフラグ218を変更するべく修正されている。オ
ブジェクトを「TCBオブジェクト」であると考慮するために、各ファイルシス
テムオブジェクトのiノードにフラグがさらに追加される。「TCBオブジェク
ト」であるとは、システムが実行モードにある場合、読み出しのためにこのオブ
ジェクトを修正または開くことができないということである。
【0068】 さらに、信用サーバシステムにより、システムモードによって、様々なセキュ
リティ機構(SL機構など)をオンまたはオフにすることができる。そのため、
システム管理者は、各モードにおいてどのセキュリティが有効であるかを定義す
るために選択を行うことができる。
【0069】 本発明の信用サーバは、UNIXオペレーティングシステムに関連して説明さ
れる。その他のオペレーティングシステムでも、本発明のセキュリティ形態を利
用して、ワークステーション、メインフレーム、パーソナルコンピュータ、計算
可能な装置、無線通信装置のようなあらゆるタイプの計算装置に安全なオペレー
ションモードを提供することができる。本発明のオペレーションシステムは、シ
ステムが管理モードまたは安全オペレーションモードのいずれかにおいて実行さ
れ、ファイル記憶構造と実行されるプロセスがコンピュータシステム上の内容を
管理する安全性の高い方法を許容するべく修正されるUNIXオペレーティング
システムに基づいた基礎を有することが好ましい。
【0070】 データオブジェクトという用語は、プロセスが実行されるあらゆる内容を総称
的に表すために使用され、また、これをプロセスに追加的に適用し、実行するイ
ベントのパラメータが、そのプロセス段階の実行以前にチェックされるようにす
ることもできる。このシステムは、実行する各イベントが、上述したコンポーネ
ント(ASN、UDE、セキュリティゲート)の各々を備えた、あるいは、これ
らのコンポーネントの各々が、協働する形で個別に実行される1つの中央イベン
ト制御装置によって扱われる状況で実現することができる。本発明の信用オペレ
ーティングシステムは、SLをサポートし、ユーザまたはプロセスが特定のオブ
ジェクトまたはリソースにアクセスできるかどうかを決定するためにこれらを使
用する。ユーザまたは特権を持たないプロセスがSLの修正を行うことはできな
いため、ユーザの服従に頼ることなく、システムのセキュリティポリシーが実施
される。システム施行ラベルを用いたこのアクセス制御は、命令アクセス制御(
MAC)と呼ばれる。
【0071】 本発明のオペレーティングシステムの安全を保つべく実現される別の規制は、
ルートアカウントが、システム管理に関連した全てのプロセスを実行するべく許
可されないスーパーユーザ(ルート)特権のセグメンテーションを必要とする。
代わりに、この特権が多数の小型の特権に分割される。そのため、バックアップ
プログラムがあらゆるファイルを読み出すことができるが、この特権を、システ
ムのシャットダウン、ファイルの修正、ランダムネットワークパケットの送信に
使用することはできない。1つの強力な機構の代わりに多数の制限付き機能を使
用することは、従来技術では最下位特権の原則と呼ばれている。
【0072】 本発明の信用オペレーティングシステム上では、ユーザではなくプログラムに
特権が与えられる。バックアッププログラムには、ジョブを実行するのに必要な
特権のみが与えられ、これによって開始されるプログラムはバックアッププログ
ラムの特権を引き継ぐことはできない。特定のユーザは、ある特定のプログラム
を実行する権利を有することができるが、そのユーザのセッションは何らの特権
も持たない。特権を備えたプログラムはほとんどなく、その能力は限られ、注意
深く制御される。最下位特権を使用することで、標準オペレーティングシステム
で共通に報告されているほとんどのセキュリティ問題を排除することができる。
特定のスーパーユーザバグが修正されなくても、バグを使用するこの信用オペレ
ーティングシステム上では、悪質なユーザが全てのシステムセキュリティをバイ
パスすることは許可されない。
【0073】 この信用オペレーティングシステム上では、ラベリングとMACが、ファイル
およびプロセスレベルに加えて、ネットワークインタフェースレベルで適用され
る。例えば、ウェブブラウザのようなアプリケーションは、一般に、プログラム
が応答し、インターネットネットワーク接続を介して送信される情報を生成する
そのアプリケーションプログラムに定められたデータを識別するために、特定の
ネットワークインタフェースを聴取するように構成される。本発明では、信用サ
ーバは、アプリケーションをマシンのネットワークと直接接続させず、その代わ
りに、UDEがネットワークアダプタと相互動作し、アプリケーションのネット
ワークサービスのフロントエンドとして機能するべく直接インタフェースする。
この方法では、好ましい宛先経路、またはネットワークサービスコンポーネント
に通信をルーティングする前に、ラベル、特権、認可が決定および適用される。
例えば、インターネットから入力されるパケットについては、段階310で、段
階300(図5)で要求されたホストID、段階304で要求されたプロトコル
、段階306で要求されたポート番号に基づいてラベルが決定される。受信した
組み合わせ用の通信セキュリティレベルがない場合には、ネットワークに、プロ
トコルの一致(段階314)とポートレンジ(段階316)が存在するかどうか
を決定するためにチェックが実行される。段階316に一致が見つかると、段階
322において、関連するセキュリティラベルがパケットに適用される。次に、
事前に付加されたラベルに基づいて、UDEの前にこのパケットが送信され、こ
のパケットが、聴取者が聴取するべく構成された関連の出力宛先へ送信される。
この時点で、このラベルを、より広範囲な規則のセットに従ってパケットを転送
するように、UDEにより修正してもよい。
【0074】 図8は、出力パケットをドロップするため、また、システムがホスト(段階4
00)、プロトコル(段階402)、ポートレンジ(段階404)、SL(段階
410)、ネットワークインタフェース(段階414)を認識している場合には
パケットの送信を許可するために、同様の確認段階を使用する出力パケットの処
理段階を示す図である。出力パケットは、これを作成したプロセスまたはデーモ
ンのラベルを有する。パケットのSLがインタフェースと遠隔ホストの両方に有
効でない場合には、入力あるいは出力パケットがドロップされる。さらに、SL
をパケットヘッダ内に挿入して、信用オペレーティングシステムがネットワーク
にかけてセキュリティ情報を共用できるようにすることも可能である。
【0075】 次に図6を参照すると、受信する通信のタイプに基づいて、URLがインター
ネットベースの通信を要求し、LANまたはWANネットワーク要求が処理され
る段階350においてUDEモードが決定される。既知のユーザに、そのユーザ
の前回のアクセス中に記憶された情報を指定するクッキーが、段階370におい
て利用可能である場合には、段階374でクッキーの有効性がチェックされる。
クッキーが有効である場合、段階390で、ユーザ要求を適切な宛先アドレスに
と、アプリケーションの聴取者が聴取するように構成されたポートに送信するた
めに、センシティビティラベルが、データベースに記憶されたデータに従って変
更される。クッキーがない、または無効であった場合には、選択された供給宛先
とセンシティビティラベルSLがこの時点で決定され、また、クッキーが適切で
あった場合には、要求が段階390へ送信される。さらに適切でない場合には、
適した宛先がアレンジできている場合には、要求を別の場所へ送信するために、
段階386でURLがセンシティビティラベルとの組み合わせにおいて使用され
、そうでない場合には接続がドロップされる。URLを使用しない通信は、段階
354で、SLと共に要求された宛先と事前に定義した適切な組み合わせのテー
ブルとを比較して扱われ、適切な組み合わせが見つからない場合には段階356
においてドロップされる。要求がSLと正しく一致すると、次に、段階360に
おいて、SLが、表示された改訂ラベルとポートアドレスに変更され、ここで、
データがアプリケーションを聴取できるようになる。
【0076】 図7は、UDEが、最初に付加されたラベルに基づいて、要求を別タイプのデ
ータに送信するために使用する構造ファイルの1例を示す。このファイルは、通
信が受信され、ユーザのコンピュータに記憶されたクッキーの内容に従って要求
を転送する、ポートへのリファレンスを含んでいる。
【0077】 上述したセキュリティゲート8(図1を参照)プログラムは、2つのプロセス
間、またはプロセスとネットワークインタフェース間の通信を制限する特別のプ
ログラムである。その構造ファイルは、あて先SLとポートと共に、ソースSL
とポートを指定する。例えば、ウェブサーバ500で処理され、安全なパーティ
ション内にある別の情報へのアクセスが必要な要求が、セキュリティゲート50
4(図9を参照)によって処理され、ここでは、オリジナルのSLにある要求5
02が、より高いSLレベルで動作しているセキュリティゲート504によって
受信される。許可された要求は、バックエンド・データベースサーバ510の認
可されたSLと一致するように、そのSLをSL1からSL2へ修正されていて
もよい。上述したように、SLはディスジョイントであり、つまり、両者はいか
なる形でも相互作用することができない。そのため、セキュリティゲート504
プログラムに、両者よりも大きなSLレンジが与えられる。さらに、両エンドポ
イントを含むSLレンジが、SLセキュリティチェックを無視するが、そのレン
ジ内のSLに限定される特権と共に与えられる。この方法で、要求に反応してデ
ータを生成するために、システムの異なるパーティションまたはコンピュータか
らのデータが要求に従って結合される。ユーザへと戻る経路上で、セキュリティ
ゲートは、応答を要求側のウェブサーバ500へ戻すために必要なラベル翻訳を
実行する。
【0078】 UNIXオペレーティングシステム用のこのシステムの1例では、修正された
Initカーネルの代わりに、プログラム、ネットワークリソース、実行可能な
プロセスに関連したファイル属性が、改訂したロールベースの認可手順と動作す
るべく修正された標準オペレーティングシステムを使用している。従って、本発
明が提供する機能は、各プロセスがユーザのロールと比較される場合に通信を処
理するプロセスの確認と、プロセスに許可された特権を拡張するものである。
【0079】 図10は、異なるコンパートメントまたはパーティションへのアクセスを許可
する、適用される様々な類別に関連したラベルを表示した、単純なセンシティビ
ティラベルのテーブルのサンプルである。例えば、セキュリティゲートがこのテ
ーブルを使用して、要求を、別のコンピュータや、同じコンピュータの別のパー
ティション内に位置するために直接アクセスできないデータへと送信されるよう
にすることができる。
【0080】 図11(バイナリフロー)を参照すると、プロセスがファイルを実行する場合
、信用サーバが、実行前にプロセスとファイルの両方に質問をする。プロセスと
ファイルのセキュリティ属性は、図4に示すように既に確立されている。(図4
中の200は、図11中の600と関連している。)
【0081】 段階600で許可ビットがチェックされ、次に、プロセスSL(272)がフ
ァイルSL(292)と等しい、またはこれよりも大きいことを確定するために
、段階604でSLラベルが確認される。
【0082】 段階608で、アクセス認可セット(280)に挙げられたアクセスの少なく
とも1つを有するかどうかを決定するために、データベース内でプロセスユーザ
ID(UID)(262、図示せず)が調べられる。
【0083】 これまでの確認段階のいずれかが失敗していると、バイナリプログラムを実行
する許可が拒否される。
【0084】 段階612で、信用サーバが、プロセスUID(262)に関連した認可を特
権認可セット(282)と比較する。プロセスUID(262)が特権認可セッ
ト(282)に挙げられた認可の1つまたはそれ以上を有する場合には、段階6
20で、信用システムが、ファイルの固有特権(286)と認可された特権に記
載された特権を持ったバイナリを実行する。プロセスUID(262)が、特権
認可セット(282)に記載された認可のどれも持たない場合には、段階616
で、信用セットが、ファイルの固有特権(286)に記載されているが、特権認
可セット(282)には記載されていない特権を持ったバイナリを実行する。
【0085】 認可データベース内のUID認可とファイルの特権セットの組み合わせは、プ
ロセスAがファイルを実行する際に得られるプロセスBを与えられる特権を決定
する。例えば、特定のプロセスUID(262)に、認可データベース内のMA
KEIDB認可が与えられてもよい。(MAKEIDB(280)値は、特定の
動作を実行するための認可を持ったプロセスを許可する、定義されたロールを参
照することができる。)プロセスUID(262)がMAKEIDB認可(28
0)を持っている場合には、プロセスが図4のファイルを実行した際に、ファイ
ルが実行する。プロセスUIDがDEBUGもMAKEIDBも持っていない場
合には、そのプロセスは図4のファイルを実行することができない。
【0086】 さらなる例として、プロセスのUIDがAUDITSYS認可を持つ場合には
、そのプロセスがテーブル4のファイルを実行した際に、結果として得られるプ
ロセスに、ファイルの認可された特権(284)、この場合はPV_PV_FI
LEが付与される。(PV_PV_FILEは、プロセスにファイルの特権を変
更させる。)そのため、AUDITSIS認可を備えたUIDを持つプロセスが
図4中のファイルを実行すると、その結果のプロセスは、ファイルの特権を変更
する特権を有することになる。しかし、UIDがAUDITSISもBOOT認
可も持っていないプロセスが図4中のファイルを実行する場合には、その結果の
プロセスは、ファイルの特権を変更する特権を有さない。これらの例は、このシ
ステムによって提供された機能をデモンストレーションするために使用され、こ
の方法論の潜在的使用を抑制することを意図するものではない。
【0087】 本システムは、特権を持たないホストまたはインタフェースから入ってくるト
ラフィック用の「デフォルトウェブサイト」7を備えている(図1)。悪質なユ
ーザがウェブサイトを破壊または改悪することを阻止するために、ウェブページ
を読み出し専用パーティション内に個別に記憶することができる。これにより、
悪質なユーザが、CGIスクリプトのような、商用ウェブサーバまたはウェブア
プリケーション内のホールを使用して、サイトのウェブページにダメージを与え
ることを不可能にする。エクストラネットのウェブサーバでは、UDE4とデフ
ォルトウェブサーバ7を別々のハードウェアプラットフォーム上に設け、安全ネ
ットワークサービスを用いてこれらを接続することができる。
【0088】 信用サーバシステムの認証モジュール9を、アクセスを許可する前に、ユーザ
にユーザIDの提示と、サイトが定義可能な認証応答(例えば、パスワード、バ
イオメトリックデバイス、スマートカード、またはアクセストークンチェック)
を要求するように構成することができる。ユーザが認証されると、UDEにより
、後続のウェブ要求が認証されたセッションの1部として識別され、別の規制さ
れたパーティションとの通信が許可される。
【0089】 ここで、図16のアーキテクチャにおけるデータの流れを、エクストラネット
環境、バックエンド/レガシー・アプリケーションサポート、認証コンポーネン
トの使用の3つの例を用いて説明する。
【0090】 次に図13を参照すると、本発明は、互いに隔絶された2つまたはそれ以上の
センシティブウェブサイトをホストするエクストラネットサーバとして構成する
ことができる。エクストラネットウェブサーバの仮想分離により、管理者はシス
テムを、同一のURLを用いてアクセスするユーザが、異なるウェブページを得
られるように構成することができるようになる。
【0091】 この構造の1例は、従業員、顧客、株主、その他の人達がアクセスできる企業
ウェブサーバである。情報のセンシティビティは各カテゴリによって異なるため
、データ保護が重要な問題となる。この場合、システム上で実行されている3つ
のウェブサーバ(エクストラネットA、エクストラネットB,エクストラネット
C)に安全なエクストラネット機能を提供するために、セキュアサーバが使用さ
れる。関連するコンポーネントは、SKIPを介したVPN20、アップグレー
ド/ダウングレードエンフォーサ4、信用サーバ22である。
【0092】 段階100で要求がシステムに入力されると、この要求はまず、段階110で
暗号化モジュール(VPN)20を通過する。暗号化モジュール20は、段階1
12において、要求のIPアドレスを認証する。次に、段階130において、I
Pアドレスに基づいてこの要求にセンシティビティラベルが指定されるか、また
は、要求のIPアドレスが、段階120でASNによって認識された特別なアド
レスでない場合には(つまり、そのIPアドレスへのエントリがホストレンジテ
ーブル内にない場合には)、デフォルトラベルが使用される。最終的な宛先を決
定するためにポートが使用され、また、図5を参照して既に説明したように、S
Lが指定される。
【0093】 次に、段階140にて、要求がアップグレード/ダウングレードエンフォーサ
(UDE)4へ送られる。UDE4は、その要求のセンシティビティラベルを検
索し、ラベル付けされたパケットを関連するウェブサーバへ送る。例えば、入力
された要求にセンシティビティラベル“ExtranetA”が指定されている
場合、段階142で、UDE4がこの要求をエクストラネットAウェブサーバ2
4へ転送する。エクストラネットAウェブサーバ24は、“ExtranetA
”とラベル付けされた接続のみを受け入れる。図6は、実際に実行される段階を
より詳細に示したものである。これ以外の要求は全て拒否され、インターネット
からこのウェブサーバへの直接接続が阻止される。
【0094】 別の例は、ExtranetA24とExtranetB26の2つのエクス
トラネット環境にアクセスできるIPアドレスからの要求である。まず、段階1
10で、IPアドレスが確認され、ネットワークパケットが暗号化される。次に
、ASNモジュールが、この要求に“ExtranetA、ExtranetB
”のセンシティビティラベルを指定する。段階112でIPアドレスが確認され
、段階130でSLが指定された後、段階140にて、要求がアップグレード/
ダウングレードエンフォーサ(UDE)へ送られる。UDE4はこのURL要求
をパースし、どのウェブサーバがこれを受け入れるべきかを決定する。次に、U
DE4は、要求のSLを、宛先ウェブサーバのSLと一致するように変更し、次
に、許可、アクセス、認可がこの変更を許可すると、要求を適切なウェブサーバ
へ送信する(段階142または144にて)。
【0095】 このアプローチは、エクストラネットサーバに直接接続しようとするあらゆる
試みを無効にし、アクセスはUDE4を介してのみ認められる。サーバは隔離さ
れた環境で動作しているため、エクストラネットサーバソフトウェア内のバグを
利用しようとする試みがそのサーバ上の他のアプリケーションに悪影響を与える
ことはない。
【0096】 セキュリティゲートを用いて、このシステムを、ウェブインタフェースとバッ
クエンド・アプリケーション間に安全な接続性を提供するように構成することが
できる。ウェブサーバは、バックエンド・アプリケーションからのグラフィック
形式での情報を表示することのみを目的として機能し、公共または企業ネットワ
ークによってアクセス可能である。例えば、ある銀行が、全ての顧客にインター
ネットバンキング機能を利用してもらいたいと希望したとする。顧客の中に悪質
な人物がいるかもしれないという危機から、ウェブサーバとバックエンド・アプ
リケーションを別々の仮想環境内に分離することで、センシティブデータを保護
する必要がある。このシステムは、これらにアドレス指定をするための安全な方
法を提供する。セキュリティゲート8コンポーネントを用いれば、ウェブサーバ
とバックエンド・アプリケーション間に直接データが流れることはない。全ての
要求はセキュリティゲートを通過し、ここで、要求され、システムによって許可
されたデータにアクセスする必要がある際に、要求のセンシティビティラベルが
バックエンド・アプリケーションのレベルに上げられる。
【0097】 図14は、統計的なウェブページを表示するため、また、バックエンド・アプ
リケーションへの接続性を提供するために使用されるウェブサーバを示している
。段階160にて、情報はセキュリティゲートを通過する。バックエンド・アプ
リケーション内のデータが独自のコンパートメント内に常駐し(独特のセンシテ
ィビティラベルを有する)、バックエンド・アプリケーションがセキュリティゲ
ート8を介してしかアクセスできないようにする。このアプローチを用いること
により、インターネットインタフェースから内部インタフェースへ、またはその
逆において、情報を直接送信しようとするあらゆる試みが無効とされる。
【0098】 特定のユーザが使用するIPアドレスをサーバが常に予想することは不可能で
ある。例えば、再び図16の頂部を参照すると、ユーザは、ダイナミックIPア
ドレス指定を使用しているサービスプロバイダ(ISP)と接続することができ
る。また、ユーザは、公共の「情報キオスク」から、またはどこか他の場所にあ
るマシンから接続することも可能である。このような場合には、ユーザに、規制
されたウェブサーバまたはアプリケーションへのアクセスを許可できることが重
要である。認証モジュールは、ユーザをシステムへ認証させ、後続するユーザの
セッション内にある全ての要求を適切な規制されたサービスへと送信する。段階
112でIPレベルの認証を使用できない場所から接続しているユーザは、段階
120でデフォルトウェブサーバへ送られる。デフォルトウェブサイトによって
、段階122での認証モジュールへのアクセスが可能になる。認証モジュールは
、個別のコンパートメント内で実行されている保護されたアプリケーションであ
り、セキュリティゲートを介してのみアクセスすることができる。
【0099】 好ましい実施例では、認証モジュールの相互作用は、全てのセッショントラフ
ィックを暗号化するためのSSLを使って保護されている。ユーザが認証される
と、段階124で認証モジュールが秘密のマーカ(クッキー)を提供する。次に
、この秘密のマーカはが、本システムとの通信におけるユーザのブラウザによっ
て挿入される。さらに、認証モジュールは、段階128において、マーカのUD
Eと、関連するセンシティビティラベルに通知を行う。ユーザが認証されると、
UDEがユーザの入力要求を、適切な規制されたウェブサーバへ転送する。UD
Eはマーカ上のタイムアウトを施行する。UDEが、タイムアウト時間よりも長
い時間においてマーカを見つけられなかった場合には、マーカは無効となる。接
続を復元するには、ユーザは、段階122で再び認証モジュールを使用しなけれ
ばならない。
【0100】 図15は、最初にデフォルトウェブサーバを介して認証モジュールへと流れ、
その後、UDEによって規制されたエクストラネットへ転送されるトラフィック
を示す。
【0101】 ネットワークを区分する機能は、クリティカルなネットワークおよびトランザ
クションサーバをサポートするのに必要なレベルの確実性を提供する上での、本
発明の信用オペレーティングシステムのキーコンポーネントである。次に図12
を参照すると、同一のセンシティビティラベルを有するプロセス、ファイル、そ
の他のリソースは、同一のコンパートメントまたはパーティション11内に存在
すると思われる。プログラム、データ、ネットアークインタフェースを、パーテ
ィション間のアクセスが規制された、別々の隔離されたパーティションに分ける
ことができる。例えば、特定の機能に関連したバックエンド・アプリケーション
を、相互に、また、一般人がアクセスできる、外的アクセス可能なコンパートメ
ント11から隔離された別々のアプリケーションコンパートメント12、13に
記憶することができる。あるコンパートメントに関連したパケットは、別のパケ
ット内のアプリケーションまたはネットワークサービスが読み出しや妨害を行う
ことはできない。システムが、異なる部門からのユーザや、別のインタフェース
やホストと相互作用するネットワークデーモンのような異なるクラスのユーザお
よびジョブを扱う場合、区分は重要なセキュリティ機能である。
【0102】 ユーザが信用サーバに接続する際、または、信用サーバを介してデータを要求
する際に、そのユーザが現在実行されているロールまたはセンシティビティレベ
ルと同格での実行を許可されたということで、プロセッサがユーザをプロセスの
テーブルと関連付ける。プロセスによっては、ユーザが公共のインターネットウ
ェブページにアクセスする時のように、アノニマスで実行できるものもある。信
用サーバはアノニマスなユーザをパーティションへ誘導し、ここで、ユーザ要求
に低レベルセンシティビティラベルが指定される。個別のパーティションが、実
行またはビューが可能である使用可能なプロセスまたはファイルを独占的に規制
する。プロセスはセキュリティ機構によってバインドされ、ここで、httpの
ようなサービスが、コンピュータの構造の限られた部分へのアクセスを許可する
【0103】 プロセステーブルは、ユーザを個々に、またはロールにおいて記述することが
できる、そのプロセスに関連した1組のユーザ認可特権を追加的に有することが
できる。制御されたリソースへアクセスを許可する前、また、要求されたプロセ
スを実行する前に、この第2の特権と認可情報をチェックするためにカーネルが
採用される。
【0104】 好ましい実施例では、プロセステーブルは、信用サーバに記憶されている、暗
号化された読み出し専用データ構造のファイルである。このテーブルの管理と制
御は、システムのメンテナンスモードにおいてアクセスされることが好ましい。
管理機能は、許可されたユーザが、管理モードにある際にメンテナンスモードを
実行できるように、信用サーバの記憶装置内の個別のパーティションに記憶され
る。
【0105】 認可は、信用オペレーティングシステムにおけるユーザアカウントの属性であ
り、ユーザにオペレーティングシステムアプリケーションおよびユーティリティ
のサブセットの実行を可能にさせるものである。特権は、アプリケーションに指
定された属性であり、アプリケーションに、プロセスまたはリソースへの異なる
等級のアクセスを提供する。この2組の属性を一緒に使用することで、プログラ
ムが、使用するユーザによって動作を変更することができるようになる。アプリ
ケーションを、ユーザに許可を与えるためにアプリケーションとオペレーション
プラットフォームを通信させる標準化されたプロトコルを提供することで、新規
の認可を定義およびチェックするべく拡張することもできる。さらに、管理デュ
ーティを、後に異なるユーザに指定される別々のロールに分割するために認可を
使用することもできる。
【0106】 システムのユーザは、特定のロールからプロセスを実行することができ、次に
、このプロセスが、最初のユーザまたはシステム要求から許可されると、プロセ
ッサにより送信または受信された最初の要求を追跡するプロセスに、認可のセン
シティビティレベルを指定する。O/Sのカーネルは、特定のロールのセッショ
ン中にはユーザに最新のユーザID情報を変更させない。この方法では、要求さ
れたタスクを実行するのに必要なロールまたは特権レベルが、要求を受信する最
下位プロセスのみが、次の、要求またはプロセスにサポートされた最高レベルの
プロセスへの通過を許可されるように制限される。例えば、データベースアプリ
ケーションから印刷要求を開始するユーザが、まず、データベースの、ユーザの
ロールに基づいてビューを許可される部分のみへのアクセスを許可される。デー
タベーステーブルの各行は、その記録を見るために必要な認可レベルまたはロー
ルを反映する拡張された属性を有することができる。これは、その行へのデフォ
ルト許可が、その行を挿入したユーザのレベルに関連する行挿入ポイントにおい
て定義される。この方法では、検索される記録のレベルを決定するために、この
レポートがユーザのロールを決定する。次に、印刷プロセスはデータベース中の
そのロールのレベルに関連した行だけを印刷させられる。続いて印刷プロセスは
初期化され、その後、送信者のレベル、検索したデータのレベル、またはユーザ
が選択したプリンタデバイスのレベルで実行される。例えば、ユーザが、離れた
場所にあるために、プリンタへのルート上の内容を適切なレベルの安全性で保護
することができないプリンタを選択した場合、プリンタと選択されたルートがサ
ポートすることができるレベルのデータのみが最終的にプリンタへ送信される。
生成または実行された任意のコマンドは、最下レベルのプロセスのロールしか受
信しないため、印刷プロセスは、データストリームに隠されているかもしれない
、組み込まれた高レベルのプロセスコマンドを実行するその他のトランザクショ
ンを実行することは許されない。賢いユーザまたはハッカーが別のプロセス段階
にコマンドを組み込めたとしても、システムは、指定されたプロセスレベルを超
えるトランザクションを許可しない。これは、システムの主な管理機能は、シス
テムの記憶装置パーティションから、セキュアモードで実行または使用すること
ができないためである。従って、プリンタ処理段階は、推測されるロール内で、
このロール以外のプロセスを開始しないように指示される。
【0107】 インターネットベースのウェブユーザがファイアウォールの後ろにあるリソー
スへのアクセスを要求する例では、システムはまず、元来指定されているレベル
から、要求の誘導方法と、開始するために許可するべきプロセスを決定する。ユ
ーザのレベルが認可されたものでない場合には、要求した情報は利用できない旨
のメッセージがユーザに提示される。ユーザは、要求されたデータが見つからな
いか、または、ユーザは追加のセキュリティアクセスプロセスを使って再度ログ
インすることができるというメッセージを受け取る。
【0108】 ネットワーク層暗号化は、このアーキテクチャのオプションコンポーネントで
ある。HTTPセッショントラフィックのみを暗号化するためにSSL(Net
scape、Microsoftその他によりサポートされている)を使用する
ため、ネットワーク層暗号化コンポーネントの主な目的はIPアドレスを認証す
ることである。特定の機能(例えば、管理ツールや、規制されたエクストラネッ
トウェブサーバ)へのアクセスを、ユーザがどのホストから来ているかに基づい
て許可する場合には、ホスト認証が重要となる。このシステムではあらゆるネッ
トワーク層暗号化モジュール(VPN)を使用することができるが、構造図では
Sun MicrosystemのSKIPを使用している。
【0109】 SSLプロキシ3(図1を参照)も、やはり本発明のオプションコンポーネン
トである。SSLは、セッション層の暗号化を提供する。あらゆる特定のユーザ
セッションは、ウェブアプリケーションがどのように書かれ、構成されているか
によって、SSLと非暗号化httpトラフィック間の切り替えを行うことがで
きる。例えば、ユーザは、デフォルトのウェブサーバからHTMLページを検索
する際に非暗号化チャネルを使用することができるが、SSLは、センシティブ
またはプライベートな情報や要求を扱うアプリケーションによって使用可能にさ
れる。SSLプロキシは、サーティフィケート、クッキーのような全ての要求情
報を保存する。この後のモジュール、例えばアップグレード/ダウングレードエ
ンフォーサ(UDE)4やその他のウェブサーバがこの情報使用することができ
る。このシステムは一般的なSSLプロキシを使用しており、市販されているこ
れ以外のSSL製品で代用することもできる。
【0110】 パーティションに基づいた制御アクセス方法に加えて、特定のセンシティビテ
ィレベルでシステムにアクセスするユーザが、オブジェクトを要求することで、
異なるプロセスまたはデータファイルに誘導されるようにするために、プロセス
関係を定義するべくテーブルが提供される。この方式では、ソフトウェアアプリ
ケーションスイートに制御方法を付加することができ、これにより、ユーザは自
分のセンシティビティレベルにおいてオペレーションを行ったり、データを見る
ことが許可される。これによって、例えば、階層セキュリティシステムがソフト
ウェアアプリケーションスイートに外部的に付加されるように市販のソフトウェ
ア製品を実行することができ、ここで、ソフトウェアを実行する各ユーザには、
カストマイズまたはパーソナライズされたバージョンが供給される。あるユーザ
は1組の特権で接続することができ、またあるユーザは同じアプリケーションを
別の特権で実行することができる。例えば、各個人は、そのアイデンティティと
ロールに基づいて、通常の許可ビットを持ったプログラム上にアクセシビリティ
規制を定義または配置することなく、リソースまたはコンテンツへの異なるアク
セスレベルを許可するべく、本発明のサーバ上に保存されているワードプロセッ
サアプリケーションを使用することができる。これにより、システムは、ユーザ
が使用可能なコンテンツをダイナミックに修正できるようになるが、この機能は
、一般にはワードプロセシングプログラムの許可を介してユーザに提供されるこ
とはない。これによりこのシステムは、各アプリケーションソフトウェアプログ
ラムに特定のプロプリエタリー制御方法を用いて各アプリケーションを別々に構
成する代わりに、1組のセキュリティ制御アクセスをシステム上の全てのアプリ
ケーションに適用できるようになる。このタイプの構造をオペレーティングシス
テムレベルで確立することで、システム管理者は、各々のアプリケーションの認
可機構を全て知る必要がなくなり、代わりに、本発明のグローバル制御によって
データまたはプロセスを保護することができるようになる。この方法では、属性
および認可のワンタイムアプリケーションが、ソフトウェアの実行方法を形式的
に決定することができる。同様の方法で、アプリケーションプログラムのアーキ
テクチャ内のプロセスを認可する代わりに、このワンタイム属性定義を実行する
ことで、オペレーティングシステムにおいて、実行される実際のプロセスコール
を規制的に個別に制御することができる。好ましい実施例では、システムレベル
を、認可の部門ごとの管理レベルに従って分類または定義することができる。別
の実施例では、プロジェクトマイルストーン、タイムライン、伝送イベント、ま
たはその他のシステムイベントに関連してアクセシビリティを変更するために、
スケジュールを採用することができるワークフロー式の方法論に従ってレベルを
生成および適用することができる。例えば、特定のプロセス実行段階へのアクセ
スやデータアクセス機能を選択的にロックまたはフリーズするためにプロセス段
階を確立することができる。このプロセス段階では、ユーザは、プロセス内のあ
る時点において完全な特権を有することができるが、その後、この特権が全くな
くなるか、データまたはプロセスの実行上の読み出し専用機能だけを備える。
【0111】 ユーザがアプリケーションを実行することによりデータ要求をトップシークレ
ットコンピュータシステムに転送する信用サーバ上でプロセスを実行した後にの
み、トップシークレットコンピュータへのアクセスが許可されるコンピュータシ
ステムに、信用サーバ22によって提供された制御を適用することもできる。こ
のタイプの制御は、他のネットワークデバイスへのアクセスや、プロセスが他の
パーティションと制御された方法で通信するマシンのパーティションへのアクセ
スを提供するためにも使用される。
【0112】 例えば、HTTPデーモンや関連するCGIスクリプトのようなネットワーク
サービスに、ファイル(例えば、クリティカルなウェブページやCGIディレク
トリ)への読み出し専用アクセスを付与することができ、また、これらのネット
ワークサービスを他のリソース(例えば、内部ネットワークインタフェース、シ
ステムファイル、他のネットワークデーモン)から完全に隔離することができる
。この方法で構成されたネットワークサーバは、たとえ、市販のソフトウェア内
に、アクセスしたユーザがマシンインストラクションのあらゆるランダムシーケ
ンスを実行できるようにしてしまう有害なバグが存在している場合でさえも、そ
のウェブページとCGIスクリプトを外部接続からの修正から保護することがで
きる。ネットワークサービスから別のネットワークインタフェースおよびホスト
へのアクセスも、容易に制限することができる。
【0113】 本発明により、複数のウェブサーバを、それぞれ隔離したパーティション内で
実行することができる。エクストラネットの各サービスへのアクセスは、UDE
4によって規制される。さらに、本発明の全ての仮想ウェブサイトにあるように
、個々のファイルを読み出し専用として保護することができるため、本発明のサ
ーバ上にインストールした市販のウェブサーバソフトウェアスイートに使用可能
なホールが見つかった場合でも、ウェブサイトへの悪質な改悪を阻止することが
できる。
【0114】 読み出し専用ファイルおよびディレクトリは、隔離された複数のウェブサーバ
によって共用することが可能である。これにより、共通のウェブページおよびア
プリケーションのコピーを1つ使えば済むため、ファイルのコピーを省くことが
でき、管理オーバヘッドを減らすことができる。UDEとエクストラネットウェ
ブサーバを、同じ1つの物理マシン上に常駐させたり、ASNソフトウェアのネ
ットワークレベルの暗号化機能とセキュリティ機能を用いて接続した別のシステ
ム上でエクストラネットを実行することが可能である。
【0115】 本発明は、ローカルおよび遠隔管理の両方に設けることができる。信用管理ユ
ーティリティへは、アクセスを許可されたアカウントを持つユーザが、認可され
たホストから来ている場合のみにアクセス可能である。UDEは、ASNモジュ
ールにより付加されたラベルを使用して、入力パケットを信用管理ウェブサーバ
パーティション6へ送信することができるかどうかを決定する。好ましい実施例
では、ASNモジュールは、イントラネット内のネットワークデバイスへの管理
機能を規制する。例えば、UNIXベースのシステムにおいて、ユーザ管理、シ
ステムシャットダウン、特権およびラベルの修正に関連した管理機能へは、シス
テムの特定の管理者が実行するINIT手順を用いてシステムの内部を初期化し
た際のみにアクセスすることができる。
【0116】 本発明の信用サーバの管理は、コンソールからの直接ログインを介して、また
はネットワーク接続を介して行うことができる。ネットワーク接続は、拡張した
SSHコンポーネントを用いて、または信用管理ユーティリティを用いて実施さ
れる。管理ウェブサーバ、管理ツールおよびユーティリティへのアクセスは、管
理パーティションへアクセスできるように構成されている特定のIPアドレスと
特定のネットワークインタフェースのみに限定される。IPアドレスは、ネット
ワークレベルの暗号化コンポーネントを使って認証される。
【0117】 このシステムはさらに、システム管理を簡単にするためのブラウザベースの管
理ツールを提供する。管理者はUNIXシステム管理や、その他のUNIX管理
ソフトウェアについて詳細に知る必要はない。ブラウザベースのツールは、特定
のタスクにプロセスを構成する上で管理者をアシストする要求に応じて実行され
るプロセスのマップをグラフィカルに表示することができる。記述的な情報が提
供されるため、管理者は、実行されたプロセスの履歴を見るため、または、プロ
セスへのセンシティビティレベルの適用をテストするために実行されたプロセス
の1部分のために実行されたプロセスを追跡することが可能である。さらに本シ
ステムは、システムを実際に区分する前にプロセスがロールによってセグメント
されるパーティション定義においても補助を行う。この方法で、実現の前にシス
テムをテストすることができる。システムおよびパーティションへのアクセスは
、ユーザの地理的範囲をサポートするように実現することもできる。システム内
にシミュレーションソフトウェアを統合して、所望のプロセススループットを達
成するべくあらゆる処理ルーチンを繰り返せるようにすることにより、この時点
でパフォーマンスのチューニングを実行してもよい。実際の使用中に、このタイ
プのグラフィックユーティリティは、ユーザのプロセスインタラクションと要求
を表示する上で補助を提供することもできる。この表示では、オリジナルシステ
ム内に定義された所定の経路を逸脱する全てのプロセスについて、出力が、e-
メールプロセスを使って管理者へ送信される。最終的に選択され、テストされた
グラフィック表示をフリーズして、他のプロセスが許可されないようにしてもよ
い。本システムのこのグラフィックモデルは、表またはリンクされたリストの形
式に修正され、プロセスアクティビティを制御するためにUDEとセキュリティ
ゲート8によって使用される。各プロセスを分析するのと同じ方法で、全体的な
システムレベル分析を実行できる。この場合、全体のプロセスパフォーマンスの
制約を決定するために、各プロセスを起源のプロセスストリームにまで追跡する
ことができる。
【0118】 全てのタイプのインターネットトランザクションのための、信頼性の高い安全
な基準として、本発明は、全タイプのデータベースゲートウェイシステム用のト
ップシェルフ・セキュリティソリューションである。例えば、患者の病歴や処方
箋の記録を、インターネットを介して地元または遠隔地のユーザに提供したいと
希望する医療機関は、患者のプライバシーを考慮しなければならない。このシス
テムは、インターネットユーザにアクセスを認可すると同時に、プライベートな
データをオペレーティングシステムレベルで攻撃から保護するためのセキュリテ
ィフレームワークである。
【0119】 このシステムはUNIXバージョンの標準Solarisアプリケーションと
の100%の互換性を持っているため、Broadvision、Netsca
pe、Oracle、Ergon Informatik、Netlife G
mbH、Neon、BEA、その他を含む、市販されているあらゆる既製のバン
キングおよび電子商取引アプリケーションのためのセキュアアプリケーションプ
ラットフォームとして使用することができる。
【0120】 バンキングソリューションに加えて、本発明は、これ以外の多数のタイプの金
融システム、例えばオンラインの仲買業務や保険オペレーションに非常に適して
いる。ウェブベースのトランザクションを分割するための安全でコンパートメン
ト化されたフレームワークを提供することにより、本発明は、産業および医療の
供給チェーン管理システムにとってさらに理想的なソリューションとなる。外部
のサプライヤおよび他のユーザによる内部サービスへのアクセスを制限している
企業は、1つのシステムを多数の専用仮想システムにトランスペアレントに区分
するパーティションを作成する。
【0121】 製造業環境では、個々の部品サプライヤが、カスタマイズされたエントリ画面
を含んだウェブサイトにアクセスすることができ、同時に、同じシステム上にお
いて、マネージャは、ベンダー間の価格比較を容易にするため、また、出荷変数
を調整するために、セキュアパーティション内でオーダーフルフィルメント・デ
ータベースインタフェースを実行することができる。適切な認可を持っていない
通常のユーザは、その企業や製品およびサービスについて知ることができる企業
の公開ウェブサイトへ回される。パケットラベリングにより、1つのパーティシ
ョンへのアクセスを認可されたユーザは、別のパーティションにおけるサービス
へのアクセスを得ることはできない。
【0122】 医療環境では、患者の病歴を安全に記憶し、これをインターネットを介して病
院のブランチ間で送信できると同時に、別のウェブサービスでは、認可された薬
剤師に処方箋情報を送信することができる。認可されていないユーザは、アクセ
スを完全に拒否され、組織の公共ウェブサーバに運ばれる。ラベリング機構によ
り、処方箋情報パーティションの使用を認可された薬剤師は、患者の病歴パーテ
ィション内の情報やプログラムへアクセスすることはできない。
【0123】 本発明を、公共のネットワークにかけてアクセス可能または読み出し可能であ
るが、無認可の外部からの改悪からは完全に保護されたウェブサイトの作成に使
用することができる。本発明を使用して、読み出しアクセスは許可されるが、書
き込みアクセスは拒否されるパーティション内にウェブページを記憶することが
できる。これなら、悪質なユーザが既存の情報を変更してウェブページを破壊し
たり、猥褻な画像をポスティングしたり、ウェブサイトコンテンツを変更したり
することができないので、管理者は安心である。このシステムを採用したウェブ
サイトは、ウェブサーバアプリケーション内のバグを利用した攻撃からも保護さ
れる。
【0124】 指定される属性のタイプは、コンピュータ上の利用可能な記憶装置によっての
み、システム内で何らかの値または制御を提供するという範囲内で制限される。
システムの管理者は、利用可能なレベルを制限するために、レベルの実用性を採
用してもよい。さらに、例えば、ユーザが、特定レベルの認可、またはあるプロ
ジェクトに関連したアクセスを用いてアプリケーションを実行する特権を持ちな
がら、同時に、第2プロジェクト上ではその同じプロセスを実行する権利を持た
ないというマトリックスベースのアクセス方法を採用することもできる。これま
で、このタイプの制御は、マルチロールユーザをサポートするようにプログラム
された特定のソフトウェアアプリケーション内でのみ利用可能であった。
【0125】 本発明の信用オペレーティングシステムはさらに、ユーザのログインに関連し
た、拡張されたアカウントセキュリティ機能を採用し、コンピュータがランダム
に付与したプロナウンス可能なパスワードのリストを提供し、その中からユーザ
が1つを選択できるようにした。この機能は、ユーザが共通の言葉や名称をパス
ワードに使用することを防止する。システムはさらに、最大長さがシステムによ
り定義可能な(つまり31文字)長いパスワードをサポートする。信用オペレー
ティングシステムは、ダイナミックライブラリの置換を介して、デフォルトのパ
スワード暗号化アルゴリズムを別のアルゴリズムで置換するための機構を提供す
る。識別および認可ログインプロセスを、追加のシステム専用認可チェックを含
むように拡張することができる。この1例に、ログインするために、「特別な特
権」アカウントを、追加のアカウント名およびパスワードと共に強行し、セキュ
リティをさらに強化できるプログラムがある。これ以外の向上した手段、例えば
、バイオメトリック識別またはアクセストークンも、この特徴を使って搭載する
ことができる。
【0126】 信用オペレーティングシステムは、アプリケーションが、標準のオペレーティ
ングシステムよりも幅広いセキュリティ関連のイベントを追跡することができる
、拡張した監査機構を採用している。これらのトランザクションに関する情報が
、任意のアクセス制御機構と命令アクセス制御機構の両方によって保護された隔
離されたパーティション内の監査トレイルに付加される。このアプローチにより
、侵入者がトラックをカバーし、ペネトレーションの痕跡を消すことを防止する
。監査記録を保護することで、訴訟や法の執行をサポートするのに十分な証拠が
保持される。
【0127】
【発明の効果】
内在するオペレーティングシステムAPIとの100%の互換性を維持するこ
とができ、また、経費と時間のかかる統合作業を大幅に縮小することができる。
【図面の簡単な説明】
【図1】 本発明のシステムの構造の概略図である。
【図2】 システムのファイルのサンプルiノード構造である。
【図3】 信用サーバシステムのプロセスおよびパケットのサンプルiノー
ド構造である。
【図4】 プロセスパケットおよびファイルのサンプルデータを備えたiノ
ード構造の表である。
【図5】 入力されるパケットのフロー図である。
【図6】 本発明のUDEによる処理のフロー図である。
【図7】 UDEによって使用されるサンプル構造ファイルである。
【図8】 出力されるパケットのフロー図である。
【図9】 セキュリティーガイドの流れを示す図である。
【図10】 SLとコンパートメントのサンプル表である。
【図11】 バイナリデータを実行するための処理段階のフロー図である。
【図12】 本発明の高レベルのブロック図である。
【図13】 エクストラネットアクセス例における、インタラクトするコン
ポーネントの図である。
【図14】 レガシーアプリケーション/バックエンド環境の図である。
【図15】 認証モジュールデータのフロー図である。
【図16】 本発明の処理段階のデータフロー図である。
───────────────────────────────────────────────────── フロントページの続き (81)指定国 EP(AT,BE,CH,CY, DE,DK,ES,FI,FR,GB,GR,IE,I T,LU,MC,NL,PT,SE),OA(BF,BJ ,CF,CG,CI,CM,GA,GN,GW,ML, MR,NE,SN,TD,TG),AP(GH,GM,K E,LS,MW,SD,SL,SZ,TZ,UG,ZW ),EA(AM,AZ,BY,KG,KZ,MD,RU, TJ,TM),AE,AL,AM,AT,AU,AZ, BA,BB,BG,BR,BY,CA,CH,CN,C U,CZ,DE,DK,EE,ES,FI,GB,GD ,GE,GH,GM,HR,HU,ID,IL,IN, IS,JP,KE,KG,KP,KR,KZ,LC,L K,LR,LS,LT,LU,LV,MD,MG,MK ,MN,MW,MX,NO,NZ,PL,PT,RO, RU,SD,SE,SG,SI,SK,SL,TJ,T M,TR,TT,UA,UG,UZ,VN,YU,ZA ,ZW (72)発明者 ハンソン,チャド, ジェー. アメリカ合衆国 61802 イリノイズ,ア ーバナ,イー. ユニヴァーシティ ナン バー8 2320 (72)発明者 サンドーン,ランドール. ジェー. アメリカ合衆国 61802 イリノイズ,ア ーバナ,カントリイ ロード 1550 エ ヌ. 1779 Fターム(参考) 5B076 FA04 FB01 FD08

Claims (19)

    【特許請求の範囲】
  1. 【請求項1】 信用サーバにおいて複数のコンピューティングデバイスから
    の要求を処理する方法であって、 a)入力されるデータオブジェクトの要求を受信する段階と、 b)前記入力されるデータオブジェクトの要求にセンシティビティラベルを指
    定する段階と、 c)前記データオブジェクトに関連した第1記憶宛先において、拡張された属
    性を読み出す段階と、 e)前記センシティビティラベルと前記拡張された属性の組み合わせに基づい
    て、前記入力される要求を該データオブジェクトの第2記憶宛先へ転送する段階
    と、 f) 前記転送された要求に関連した動作を実行する段階とを有する方法。
  2. 【請求項2】 前記入力されるデータオブジェクトの要求に関連する前記第
    1記憶宛先を決定する段階をさらに有する、請求項1に記載の方法。
  3. 【請求項3】 前記拡張された属性は、前記データオブジェクトに付加され
    たセンシティビティ属性を有する、請求項1に記載の方法。
  4. 【請求項4】 前記データオブジェクトは実行されるプロセスである、請求
    項1に記載の方法。
  5. 【請求項5】 前記入力される要求は、前記要求のソースを識別する指示を
    有する、請求項1に記載の方法。
  6. 【請求項6】 前記指示は前記ユーザのIPアドレスを表す、請求項5に記
    載の方法。
  7. 【請求項7】 前記要求を解読する段階をさらに有する、請求項1に記載の
    方法。
  8. 【請求項8】 信用サーバ上で実行する商用ソフトウェア製品のデータオブ
    ジェクトに制御およびアクセス属性を指定する方法であって、ここで、該商用ソ
    フトウェア製品へのアクセスは前記信用サーバによって限定的に管理され、前記
    信用サーバは、 a)該商用ソフトウェア製品を構成モードで実行する段階と、 b)前記構成モードにある際に、前記商用ソフトウエア製品がアクセスする少
    なくとも1つのプロセスを決定する段階と、 c)前記データファイルおよびプロセスに指定する少なくとも1つのセンシテ
    ィビティレベルのための管理者による入力を受信する段階と、 d)該商用ソフトウェア製品の前記プロセスおよびデータファイルに付加する
    、拡張された属性を決定する段階と、 e)前記受信した管理者のセンシティビティレベルのための前記決定された拡
    張された属性を、該商用ソフトウェア製品のプロセスおよびデータコンポーネン
    トに付加する段階と、 f)非構成モードで使用するために、前記拡張された属性を記憶する段階と、
    を実行する方法。
  9. 【請求項9】 請求項6の前記信用サーバ上で前記商用ソフトウェア製品を
    非構成モードで実行する方法であって、さらに、 g)前記信用サーバにおいて、前記商用ソフトウェア製品に関する、要求名と
    アドレスの指示を備えた要求を受信する段階と、 h)前記商用ソフトウェア製品に関連した前記要求の前記アドレスの指示から
    センシティビティレベルを指定する段階と、 i)前記要求から、前記商用ソフトウェア製品のために実行するプロセスの第
    1場所を決定する段階と、 j)前記第1場所に記憶した、前記商用ソフトウェア製品の前記プロセスに付
    加された属性を検索する段階と、 k)前記付加された属性を、前記要求に指定された前記センシティビティレベ
    ルと比較する段階と、 l)前記検索されたプロセスを、前記付加されたセンシティビティレベルと相
    関させる、要求された前記プロセスを実行する段階とを有する方法。
  10. 【請求項10】 前記要求されたプロセスを実行する前記段階は、実行する
    各々のプロセスの該拡張された属性を、前記付加されたセンシティビティレベル
    と比較する、請求項9に記載の方法。
  11. 【請求項11】 前記プロセスは、前記構成モード中に構成された前記プロ
    セスによって定義されたものに制限される、請求項9に記載の方法。
  12. 【請求項12】 前記ユーザのロールを決定するために、前記ユーザの指示
    は、前記指定されたセンシティビティレベルと共に使用される許可情報を有する
    、請求項9に記載の方法。
  13. 【請求項13】 前記商用ソフトウェア製品に関連した前記要求を解読する
    段階をさらに有する、請求項9に記載の方法。
  14. 【請求項14】 オーナー、ワールドおよびグループアクセスに加えて、関
    連する読み出し、書き込み、削除許可を使って第2のアクセスチェックを実行す
    る、信用サーバのプロセスへのアクセスを制御する方法であって、 a)前記信用サーバの管理ユーザアカウントの前記制御形態を区分して、1つ
    の管理アカウントで全ての管理機能を実行できないようにする段階と、 b)前記ファイルシステムの属性を、少なくとも1つのセンシティブレベル属
    性を含むように拡張する段階と、 c)前記ファイルシステム内の少なくとも1つの記憶場所に記憶されたファイ
    ルおよびプロセスの各々に、前記センシティビティレベル属性を指定する段階と
    、 d)前記システムのプロセスのテーブルを生成する段階であって、前記テーブ
    ルは、該プロセスの実行を許可された該ロールとの関係を含む、該段階と、 e)前記ロールに関連した認可を定義する段階と、 f)要求に反応して前記システムが実行するタスクに関連したプロセスの階層
    を確立する段階と、 g)前記要求に応じて、前記少なくとも1つの記憶場所からファイルおよびプ
    ロセスが検索される別の宛先を定義する段階と、 h)入力される、実行するプロセスの要求を受信する段階と、 i)入力されるプロセスの要求にセンシティビティラベルを指定する段階と、 j)前記入力されるデータオブジェクトの要求に関連した、実行するプロセス
    の第1宛先を決定する段階と、 k)拡張された属性を、前記プロセスに関連した前記第1宛先において読み出
    す段階と、 l) 前記入力される要求を、前記入力される要求のセンシティビティラベル
    と前記拡張された属性の組み合わせに基づいて、前記プロセスの別の宛先へ転送
    する段階とを有する方法。
  15. 【請求項15】 前記プロセスの結果を前記要求者へ送信する段階をさらに
    有する、請求項14に記載の方法。
  16. 【請求項16】 要求に応じて、プロセスの制御された実行を許可するため
    の信用サーバコンピューティングシステムであって、 a)少なくとも1つのデータパーティション内の拡張された属性を備えた複数
    のデータオブジェクトを記憶するための記憶手段と、 b)要求を受信し、前記ユーザ要求に応じてプロセスを実行するためのプロセ
    ッサ手段と、 c)データオブジェクトの要求に関連したセンシティビティレベルを指定する
    ための指定手段と、 d)前記プロセスと拡張された属性を検索するべくプロセッサを誘導する第1
    宛先を決定するために、前記要求を翻訳するためのアップグレード・ダウングレ
    ードエンフォーサ手段であって、該アップグレード・ダウングレードエンフォー
    サ手段は、前記属性を前記指定されたセンシティビティレベルと比較し、有益に
    比較されたプロセスを、実行するべく前記プロセッサへ送る、該手段と、 e)保護された記憶パーティションへのアクセスが必要なプロセスを識別し、
    センシティブレベルを備えたこれらのプロセスをセキュリティゲート手段へ誘導
    するプロセッサと、 f)前記センシティビティレベルを受信し、区分された記憶装置からのデータ
    を必要とするプロセスを翻訳するための前記セキュリティゲート手段であって、
    該セキュリティゲート手段は、前記データセンシティビティレベルが前記受信し
    たセンシティビティレベルと有益に比較される場合に、前記要求されたデータを
    検索する、該手段とを有する信用サーバ。
  17. 【請求項17】 前記要求は、ユーザのコンピュータ上のネットワークされ
    たユーザから受信される、請求項15に記載の信用サーバ。
  18. 【請求項18】 前記要求は、前記信用サーバの前記プロセッサによって、
    以前の要求の出力として生成される、請求項15に記載の信用サーバ。
  19. 【請求項19】 システムコンポーネント間で前記要求を暗号化または解読
    するための暗号化および解読手段をさらに有する、請求項15に記載の信用サー
    バ。
JP2000572763A 1998-09-28 1999-09-28 コンパートメント化された信用コンピュータオペレーティングシステム Pending JP2002526830A (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US10201998P 1998-09-28 1998-09-28
US60/102,019 1998-09-28
PCT/US1999/022331 WO2000019324A1 (en) 1998-09-28 1999-09-28 Trusted compartmentalized computer operating system

Publications (1)

Publication Number Publication Date
JP2002526830A true JP2002526830A (ja) 2002-08-20

Family

ID=22287685

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2000572763A Pending JP2002526830A (ja) 1998-09-28 1999-09-28 コンパートメント化された信用コンピュータオペレーティングシステム

Country Status (5)

Country Link
US (1) US6289462B1 (ja)
EP (1) EP1119813A1 (ja)
JP (1) JP2002526830A (ja)
AU (1) AU6401999A (ja)
WO (1) WO2000019324A1 (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002092221A (ja) * 2000-08-18 2002-03-29 Hewlett Packard Co <Hp> コンピューティングプラットフォームにおけるサービスの実行
JP2002157160A (ja) 2000-07-20 2002-05-31 Ge Medical Technology Services Inc データの安全な報告の作成及び伝送
JP2007525894A (ja) * 2004-02-09 2007-09-06 パームソース・インコーポレイテッド 使用可能なネットワークとの接続を管理するシステム及び方法

Families Citing this family (265)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
IL122314A (en) 1997-11-27 2001-03-19 Security 7 Software Ltd Method and system for enforcing a communication security policy
AUPP660298A0 (en) * 1998-10-20 1998-11-12 Canon Kabushiki Kaisha Apparatus and method for preventing disclosure of protected information
US7083095B2 (en) * 1999-02-18 2006-08-01 Colin Hendrick System for automatic connection to a network
US6615264B1 (en) * 1999-04-09 2003-09-02 Sun Microsystems, Inc. Method and apparatus for remotely administered authentication and access control
EP1056010A1 (en) 1999-05-28 2000-11-29 Hewlett-Packard Company Data integrity monitoring in trusted computing entity
EP1055990A1 (en) 1999-05-28 2000-11-29 Hewlett-Packard Company Event logging in a computing platform
US7146505B1 (en) 1999-06-01 2006-12-05 America Online, Inc. Secure data exchange between date processing systems
US8302153B1 (en) * 1999-06-09 2012-10-30 Verizon Patent And Licensing Inc. Systems and methods for securing extranet transactions
US6973439B1 (en) * 1999-06-10 2005-12-06 Wilk Peter J Computer network mediated financing method
JP4083925B2 (ja) * 1999-06-24 2008-04-30 株式会社日立製作所 情報処理装置、カード部材および情報処理システム
US6745332B1 (en) * 1999-06-29 2004-06-01 Oracle International Corporation Method and apparatus for enabling database privileges
US6591300B1 (en) * 1999-06-30 2003-07-08 Lucent Technologies Inc. Integrated management application
US7509486B1 (en) * 1999-07-08 2009-03-24 Broadcom Corporation Encryption processor for performing accelerated computations to establish secure network sessions connections
US6981155B1 (en) 1999-07-14 2005-12-27 Symantec Corporation System and method for computer security
US7117532B1 (en) 1999-07-14 2006-10-03 Symantec Corporation System and method for generating fictitious content for a computer
EP1203280B1 (en) 1999-07-14 2017-08-30 Symantec Corporation System and method for protecting a computer network against denial of service attacks
US6947903B1 (en) * 1999-08-06 2005-09-20 Elcommerce.Com.Inc. Method and system for monitoring a supply-chain
EP1076279A1 (en) 1999-08-13 2001-02-14 Hewlett-Packard Company Computer platforms and their methods of operation
ATE333682T1 (de) 1999-08-26 2006-08-15 Moneycat Ltd Elektronisches geld, zugehörige elektronische börse und diese anwendende elektronische bezahlungssysteme
US7203962B1 (en) 1999-08-30 2007-04-10 Symantec Corporation System and method for using timestamps to detect attacks
US6470353B1 (en) 1999-09-17 2002-10-22 International Business Machines Corporation Object-oriented framework for managing access control in a multimedia database
EP1085396A1 (en) 1999-09-17 2001-03-21 Hewlett-Packard Company Operation of trusted state in computing platform
US6446069B1 (en) * 1999-09-17 2002-09-03 International Business Machines Corporation Access control system for a multimedia datastore
GB9922665D0 (en) 1999-09-25 1999-11-24 Hewlett Packard Co A method of enforcing trusted functionality in a full function platform
US8311946B1 (en) * 1999-10-15 2012-11-13 Ebrary Method and apparatus for improved information transactions
US7536561B2 (en) 1999-10-15 2009-05-19 Ebrary, Inc. Method and apparatus for improved information transactions
US7401115B1 (en) 2000-10-23 2008-07-15 Aol Llc Processing selected browser requests
US7293281B1 (en) * 1999-10-25 2007-11-06 Watchfire Corporation Method and system for verifying a client request
US7181768B1 (en) * 1999-10-28 2007-02-20 Cigital Computer intrusion detection system and method based on application monitoring
US6876991B1 (en) 1999-11-08 2005-04-05 Collaborative Decision Platforms, Llc. System, method and computer program product for a collaborative decision platform
US6606744B1 (en) * 1999-11-22 2003-08-12 Accenture, Llp Providing collaborative installation management in a network-based supply chain environment
US7124101B1 (en) 1999-11-22 2006-10-17 Accenture Llp Asset tracking in a network-based supply chain environment
US7130807B1 (en) 1999-11-22 2006-10-31 Accenture Llp Technology sharing during demand and supply planning in a network-based supply chain environment
US8271336B2 (en) 1999-11-22 2012-09-18 Accenture Global Services Gmbh Increased visibility during order management in a network-based supply chain environment
US8032409B1 (en) 1999-11-22 2011-10-04 Accenture Global Services Limited Enhanced visibility during installation management in a network-based supply chain environment
US7716077B1 (en) 1999-11-22 2010-05-11 Accenture Global Services Gmbh Scheduling and planning maintenance and service in a network-based supply chain environment
US6671818B1 (en) 1999-11-22 2003-12-30 Accenture Llp Problem isolation through translating and filtering events into a standard object format in a network based supply chain
US6675229B1 (en) * 1999-11-29 2004-01-06 Lucent Technologies Inc. Methods and apparatus for providing quality of service for legacy applications
US6609115B1 (en) * 1999-12-30 2003-08-19 Ge Medical Systems Method and apparatus for limited online access to restricted documentation
US7139728B2 (en) * 1999-12-30 2006-11-21 Rod Rigole Systems and methods for online selection of service providers and management of service accounts
US7096468B1 (en) * 2000-01-18 2006-08-22 Data I/O Corporation Programmer/feeder system task linking program
US7398532B1 (en) * 2000-03-02 2008-07-08 Hewlett-Packard Development Company, L.P. System and method for establishing a secure execution environment for a software process
US6992983B1 (en) * 2000-05-05 2006-01-31 Macromedia, Inc. Bandwidth detection in a heterogeneous network with parallel and proxy modes
US6816906B1 (en) * 2000-05-08 2004-11-09 International Business Machines Corporation Mechanism for building access control structures for authoring systems
US7673329B2 (en) * 2000-05-26 2010-03-02 Symantec Corporation Method and apparatus for encrypted communications to a secure server
US7509490B1 (en) * 2000-05-26 2009-03-24 Symantec Corporation Method and apparatus for encrypted communications to a secure server
US7284124B1 (en) * 2000-06-05 2007-10-16 Microsoft Corporation Trust level based platform access regulation application
US6865739B1 (en) * 2000-06-06 2005-03-08 Polysecure Systems, Inc. Method for implementing polyinstantiated access control in computer operating systems
JP2002014908A (ja) * 2000-06-29 2002-01-18 Nippon Columbia Co Ltd コンピュータシステム
US8661539B2 (en) * 2000-07-10 2014-02-25 Oracle International Corporation Intrusion threat detection
US7249369B2 (en) 2000-07-10 2007-07-24 Oracle International Corporation Post data processing
US7194764B2 (en) 2000-07-10 2007-03-20 Oracle International Corporation User authentication
US7464162B2 (en) * 2000-07-10 2008-12-09 Oracle International Corporation Systems and methods for testing whether access to a resource is authorized based on access information
US7124203B2 (en) 2000-07-10 2006-10-17 Oracle International Corporation Selective cache flushing in identity and access management systems
US9038170B2 (en) 2000-07-10 2015-05-19 Oracle International Corporation Logging access system events
US20020040434A1 (en) * 2000-09-12 2002-04-04 Keith Elliston Techniques for providing and obtaining research and development information technology on remote computing resources
TW561363B (en) * 2000-10-27 2003-11-11 Manugistics Inc System and methods for sharing and viewing supply chain information
WO2002035437A1 (en) 2000-10-27 2002-05-02 Manugistics, Inc. System and method for ensuring order fulfillment
US8996698B1 (en) * 2000-11-03 2015-03-31 Truphone Limited Cooperative network for mobile internet access
GB2376763B (en) * 2001-06-19 2004-12-15 Hewlett Packard Co Demonstrating integrity of a compartment of a compartmented operating system
US7941669B2 (en) * 2001-01-03 2011-05-10 American Express Travel Related Services Company, Inc. Method and apparatus for enabling a user to select an authentication method
US7210167B2 (en) * 2001-01-08 2007-04-24 Microsoft Corporation Credential management
US7739298B1 (en) * 2001-01-26 2010-06-15 Apple Inc. Using a calculation expression to define and control access rights for records in a database
GB0102516D0 (en) * 2001-01-31 2001-03-21 Hewlett Packard Co Trusted gateway system
GB0102515D0 (en) * 2001-01-31 2001-03-21 Hewlett Packard Co Network adapter management
GB0102518D0 (en) * 2001-01-31 2001-03-21 Hewlett Packard Co Trusted operating system
US6631453B1 (en) * 2001-02-14 2003-10-07 Zecurity Secure data storage device
GB2372345A (en) * 2001-02-17 2002-08-21 Hewlett Packard Co Secure email handling using a compartmented operating system
GB2372592B (en) * 2001-02-23 2005-03-30 Hewlett Packard Co Information system
GB2372593B (en) * 2001-02-23 2005-05-18 Hewlett Packard Co Electronic communication
GB2372594B (en) * 2001-02-23 2004-10-06 Hewlett Packard Co Trusted computing environment
GB2372595A (en) 2001-02-23 2002-08-28 Hewlett Packard Co Method of and apparatus for ascertaining the status of a data processing environment.
GB2372591A (en) * 2001-02-23 2002-08-28 Hewlett Packard Co Method of investigating transactions in a data processing environment
US7185364B2 (en) 2001-03-21 2007-02-27 Oracle International Corporation Access system interface
US7171411B1 (en) 2001-02-28 2007-01-30 Oracle International Corporation Method and system for implementing shared schemas for users in a distributed computing system
US7062563B1 (en) 2001-02-28 2006-06-13 Oracle International Corporation Method and system for implementing current user links
US7440962B1 (en) 2001-02-28 2008-10-21 Oracle International Corporation Method and system for management of access information
US20020143735A1 (en) * 2001-03-30 2002-10-03 Akin Ayi User scope-based data organization system
US8438465B2 (en) * 2001-04-03 2013-05-07 Purdue Pharma L.P. Privileged communication system with routing controls
US8909555B2 (en) * 2001-04-24 2014-12-09 Hewlett-Packard Development Company, L.P. Information security system
US20020169967A1 (en) * 2001-05-14 2002-11-14 Sangeeta Varma Method and apparatus for multiple token access to thin client architecture session
US7398549B2 (en) 2001-05-18 2008-07-08 Imprivata, Inc. Biometric authentication with security against eavesdropping
GB2375626A (en) * 2001-05-18 2002-11-20 Reuters Ltd Financial market trading system
US6957347B2 (en) * 2001-05-25 2005-10-18 International Business Machines Corporation Physical device placement assistant
US7366685B2 (en) * 2001-05-25 2008-04-29 International Business Machines Corporation Method and apparatus upgrade assistance using critical historical product information
US7099663B2 (en) 2001-05-31 2006-08-29 Qualcomm Inc. Safe application distribution and execution in a wireless environment
US7730528B2 (en) * 2001-06-01 2010-06-01 Symantec Corporation Intelligent secure data manipulation apparatus and method
US7617292B2 (en) 2001-06-05 2009-11-10 Silicon Graphics International Multi-class heterogeneous clients in a clustered filesystem
US20040139125A1 (en) 2001-06-05 2004-07-15 Roger Strassburg Snapshot copy of data volume during data access
US7640582B2 (en) 2003-04-16 2009-12-29 Silicon Graphics International Clustered filesystem for mix of trusted and untrusted nodes
US8010558B2 (en) 2001-06-05 2011-08-30 Silicon Graphics International Relocation of metadata server with outstanding DMAPI requests
GB0114898D0 (en) * 2001-06-19 2001-08-08 Hewlett Packard Co Interaction with electronic services and markets
GB2376765B (en) * 2001-06-19 2004-12-29 Hewlett Packard Co Multiple trusted computing environments with verifiable environment identities
GB2376764B (en) 2001-06-19 2004-12-29 Hewlett Packard Co Multiple trusted computing environments
GB2376762A (en) * 2001-06-19 2002-12-24 Hewlett Packard Co Renting a computing environment on a trusted computing platform
GB2376761A (en) * 2001-06-19 2002-12-24 Hewlett Packard Co An arrangement in which a process is run on a host operating system but may be switched to a guest system if it poses a security risk
US7231661B1 (en) 2001-06-21 2007-06-12 Oracle International Corporation Authorization services with external authentication
US7185093B2 (en) * 2001-06-27 2007-02-27 International Business Machines Corporation Computer system, method, and business method for enabling customer access to computer system performance data in exchange for allowing access to the performance data by another computer system
US7596617B2 (en) * 2001-06-27 2009-09-29 International Business Machines Corporation Apparatus, method, and business method for enabling customer access to computer system execution data in exchange for sharing the execution data
US7099028B2 (en) * 2001-07-20 2006-08-29 Hewlett-Packard Development Company, L.P. Systems and methods for providing restricted web site access to users of certain brands of printing device replaceable components
US7055149B2 (en) 2001-07-25 2006-05-30 Lenovo (Singapore) Pte Ltd. Method and apparatus for automating software upgrades
US7047303B2 (en) * 2001-07-26 2006-05-16 International Business Machines Corporation Apparatus and method for using a network processor to guard against a “denial-of-service” attack on a server or server cluster
GB2378013A (en) * 2001-07-27 2003-01-29 Hewlett Packard Co Trusted computer platform audit system
US7093298B2 (en) * 2001-08-30 2006-08-15 International Business Machines Corporation Apparatus and method for security object enhancement and management
US20030051172A1 (en) * 2001-09-13 2003-03-13 Lordemann David A. Method and system for protecting digital objects distributed over a network
US7272832B2 (en) * 2001-10-25 2007-09-18 Hewlett-Packard Development Company, L.P. Method of protecting user process data in a secure platform inaccessible to the operating system and other tasks on top of the secure platform
US20030084436A1 (en) * 2001-10-30 2003-05-01 Joubert Berger System and method for installing applications in a trusted environment
US7370366B2 (en) * 2001-11-16 2008-05-06 International Business Machines Corporation Data management system and method
GB2382419B (en) * 2001-11-22 2005-12-14 Hewlett Packard Co Apparatus and method for creating a trusted environment
US7225256B2 (en) 2001-11-30 2007-05-29 Oracle International Corporation Impersonation in an access system
US8316051B1 (en) * 2001-11-30 2012-11-20 Oralce International Corporation Techniques for adding multiple security policies to a database system
US6854039B1 (en) * 2001-12-05 2005-02-08 Advanced Micro Devices, Inc. Memory management system and method providing increased memory access security
JP2003174521A (ja) * 2001-12-07 2003-06-20 Ntt Docomo Inc 通信モジュール実行制御システム及び通信モジュール実行制御方法並びにアプリケーション実行制御システム及びアプリケーション実行制御方法
US20030120918A1 (en) * 2001-12-21 2003-06-26 Intel Corporation Hard drive security for fast boot
US20030177387A1 (en) * 2002-03-15 2003-09-18 Cyrill Osterwalder Secured web entry server
US7496952B2 (en) * 2002-03-28 2009-02-24 International Business Machines Corporation Methods for authenticating a user's credentials against multiple sets of credentials
US7366148B2 (en) * 2002-04-11 2008-04-29 John Hopkins University Intrusion detection system for wireless networks
JP4004839B2 (ja) * 2002-04-15 2007-11-07 株式会社東芝 通信装置及びネットワークシステム
US7082507B1 (en) * 2002-04-18 2006-07-25 Advanced Micro Devices, Inc. Method of controlling access to an address translation data structure of a computer system
JP2003345988A (ja) * 2002-05-24 2003-12-05 Aioi Insurance Co Ltd 保険契約支援システム
GB0212315D0 (en) * 2002-05-28 2002-07-10 Symbian Ltd Secure mobile wireless device with protected file systems
US7549164B2 (en) * 2003-06-11 2009-06-16 Symantec Corporation Intrustion protection system utilizing layers and triggers
AU2003245574A1 (en) * 2002-06-21 2004-01-06 Probix, Inc. Method and system for protecting digital objects distributed over a network using an electronic mail interface
US7519984B2 (en) * 2002-06-27 2009-04-14 International Business Machines Corporation Method and apparatus for handling files containing confidential or sensitive information
GB2392262A (en) 2002-08-23 2004-02-25 Hewlett Packard Co A method of controlling the processing of data
US8041719B2 (en) 2003-05-06 2011-10-18 Symantec Corporation Personal computing device-based mechanism to detect preselected data
US8225371B2 (en) 2002-09-18 2012-07-17 Symantec Corporation Method and apparatus for creating an information security policy based on a pre-configured template
US7673344B1 (en) 2002-09-18 2010-03-02 Symantec Corporation Mechanism to search information content for preselected data
US7886359B2 (en) 2002-09-18 2011-02-08 Symantec Corporation Method and apparatus to report policy violations in messages
US8661498B2 (en) 2002-09-18 2014-02-25 Symantec Corporation Secure and scalable detection of preselected data embedded in electronically transmitted messages
US7472114B1 (en) * 2002-09-18 2008-12-30 Symantec Corporation Method and apparatus to define the scope of a search for information from a tabular data source
DE10245547B3 (de) * 2002-09-30 2004-05-13 Tenovis Gmbh & Co. Kg Verfahren zum Aufbau einer VoIP-Telefonverbindung in einem gesicherten Netzwerk sowie Schaltungsanordnung
US7448067B2 (en) * 2002-09-30 2008-11-04 Intel Corporation Method and apparatus for enforcing network security policies
US7941854B2 (en) * 2002-12-05 2011-05-10 International Business Machines Corporation Method and system for responding to a computer intrusion
JP4299249B2 (ja) * 2003-01-20 2009-07-22 富士通株式会社 複製防止装置、複製防止方法およびその方法をコンピュータに実行させるプログラム
US20040158553A1 (en) * 2003-02-07 2004-08-12 Ise Research Corporation Method of using a smart device with a separate generic interface application
US7296010B2 (en) * 2003-03-04 2007-11-13 International Business Machines Corporation Methods, systems and program products for classifying and storing a data handling method and for associating a data handling method with a data item
US7454786B2 (en) * 2003-03-27 2008-11-18 International Business Machines Corporation Method for integrated security roles
GB2400461B (en) * 2003-04-07 2006-05-31 Hewlett Packard Development Co Control of access to of commands to computing apparatus
US7536716B2 (en) * 2003-04-17 2009-05-19 Alcatel Lucent Labeling gateway for compartmented multi-operator network elements over a heterogeneous network
US20050010781A1 (en) * 2003-04-30 2005-01-13 Patricia Harper Extranet service site and method for using same
US20040249674A1 (en) * 2003-05-06 2004-12-09 Eisenberg Floyd P. Personnel and process management system suitable for healthcare and other fields
US7437556B2 (en) * 2003-05-09 2008-10-14 Sun Microsystems, Inc. Global visibility controls for operating system partitions
US7337445B1 (en) 2003-05-09 2008-02-26 Sun Microsystems, Inc. Virtual system console for virtual application environment
US7461080B1 (en) * 2003-05-09 2008-12-02 Sun Microsystems, Inc. System logging within operating system partitions using log device nodes that are access points to a log driver
US20040226017A1 (en) * 2003-05-09 2004-11-11 Leonard Ozgur C. Mechanism for associating resource pools with operating system partitions
US8892878B2 (en) * 2003-05-09 2014-11-18 Oracle America, Inc. Fine-grained privileges in operating system partitions
US7389512B2 (en) * 2003-05-09 2008-06-17 Sun Microsystems, Inc. Interprocess communication within operating system partitions
US20040226015A1 (en) * 2003-05-09 2004-11-11 Leonard Ozgur C. Multi-level computing resource scheduling control for operating system partitions
US7917751B2 (en) * 2003-05-22 2011-03-29 International Business Machines Corporation Distributed filesystem network security extension
US20050060583A1 (en) * 2003-07-15 2005-03-17 Jeou-Kai Lin System and method for advanced intrusion avoidance
US20050033976A1 (en) * 2003-08-04 2005-02-10 Sbc Knowledge Ventures, L.P. Host intrusion detection and isolation
EP1665622A2 (en) * 2003-08-19 2006-06-07 General Dynamics-Advanced Information Systems, Inc. Trusted interface unit (tiu) and method of making and using the same
US7530112B2 (en) 2003-09-10 2009-05-05 Cisco Technology, Inc. Method and apparatus for providing network security using role-based access control
US7904487B2 (en) 2003-10-09 2011-03-08 Oracle International Corporation Translating data access requests
US7882132B2 (en) 2003-10-09 2011-02-01 Oracle International Corporation Support for RDBMS in LDAP system
US8214906B2 (en) * 2003-10-21 2012-07-03 International Business Machines Corporation System, method and program product to determine security risk of an application
US7836490B2 (en) 2003-10-29 2010-11-16 Cisco Technology, Inc. Method and apparatus for providing network security using security labeling
KR100544478B1 (ko) * 2003-12-01 2006-01-24 삼성전자주식회사 정보의 보안등급에 따라 인쇄권한을 제한할 수 있는인쇄장치, 이를 이용한 인쇄시스템 및 이들의 인쇄방법
US20050132054A1 (en) * 2003-12-10 2005-06-16 International Business Machines Corporation Fine-grained authorization by traversing generational relationships
US7546640B2 (en) * 2003-12-10 2009-06-09 International Business Machines Corporation Fine-grained authorization by authorization table associated with a resource
US7424610B2 (en) * 2003-12-23 2008-09-09 Intel Corporation Remote provisioning of secure systems for mandatory control
US20090119755A1 (en) * 2004-02-04 2009-05-07 Kodimer Marianne L System and method for role based access control of a document processing device
US20050188421A1 (en) * 2004-02-24 2005-08-25 Arbajian Pierre E. System and method for providing data security
US20050192939A1 (en) * 2004-02-27 2005-09-01 International Business Machines Corporation System and method for providing classification security in a database management system
US8863277B2 (en) * 2004-04-07 2014-10-14 Fortinet, Inc. Systems and methods for passing network traffic content
US7243235B2 (en) 2004-06-08 2007-07-10 Matsushita Electric Industrial Co., Ltd. Mandatory access control (MAC) method
US7941859B2 (en) * 2004-06-23 2011-05-10 International Business Machines Corporation Reducing access to sensitive information
US7434252B2 (en) * 2004-07-14 2008-10-07 Microsoft Corporation Role-based authorization of network services using diversified security tokens
US7711120B2 (en) * 2004-07-29 2010-05-04 Infoassure, Inc. Cryptographic key management
US7765579B2 (en) * 2004-09-07 2010-07-27 Greencastle Technology, Inc. Security deployment system
US20060053035A1 (en) * 2004-09-09 2006-03-09 Eisenberg Floyd P Healthcare personnel management system
US20200226680A1 (en) * 2004-09-21 2020-07-16 Refinitiv Us Organization Llc Financial market trading system
US7600117B2 (en) * 2004-09-29 2009-10-06 Panasonic Corporation Mandatory access control scheme with active objects
US8156488B2 (en) 2004-10-20 2012-04-10 Nokia Corporation Terminal, method and computer program product for validating a software application
US7669244B2 (en) * 2004-10-21 2010-02-23 Cisco Technology, Inc. Method and system for generating user group permission lists
US7877796B2 (en) 2004-11-16 2011-01-25 Cisco Technology, Inc. Method and apparatus for best effort propagation of security group information
US8181182B1 (en) 2004-11-16 2012-05-15 Oracle America, Inc. Resource allocation brokering in nested containers
US7886145B2 (en) * 2004-11-23 2011-02-08 Cisco Technology, Inc. Method and system for including security information with a packet
US7721323B2 (en) * 2004-11-23 2010-05-18 Cisco Technology, Inc. Method and system for including network security information in a frame
US7827402B2 (en) 2004-12-01 2010-11-02 Cisco Technology, Inc. Method and apparatus for ingress filtering using security group information
US7752667B2 (en) * 2004-12-28 2010-07-06 Lenovo (Singapore) Pte Ltd. Rapid virus scan using file signature created during file write
US7805765B2 (en) * 2004-12-28 2010-09-28 Lenovo (Singapore) Pte Ltd. Execution validation using header containing validation data
US9323922B2 (en) * 2005-01-06 2016-04-26 Oracle International Corporation Dynamically differentiating service in a database based on a security profile of a user
JP2006203564A (ja) * 2005-01-20 2006-08-03 Nara Institute Of Science & Technology マイクロプロセッサ、ノード端末、コンピュータシステム及びプログラム実行証明方法
US7797727B1 (en) * 2005-01-31 2010-09-14 Hewlett-Packard Development Company, L.P. Launching an application in a restricted user account
US7840564B2 (en) 2005-02-16 2010-11-23 Ebrary System and method for automatic anthology creation using document aspects
US8539587B2 (en) 2005-03-22 2013-09-17 Hewlett-Packard Development Company, L.P. Methods, devices and data structures for trusted data
US8619971B2 (en) * 2005-04-01 2013-12-31 Microsoft Corporation Local secure service partitions for operating system security
US8627068B1 (en) 2005-04-29 2014-01-07 Hewlett-Packard Development Company, L. P. Selecting access authorities
US7433869B2 (en) 2005-07-01 2008-10-07 Ebrary, Inc. Method and apparatus for document clustering and document sketching
US20070016791A1 (en) * 2005-07-14 2007-01-18 Smita Bodepudi Issuing a command and multiple user credentials to a remote system
US20070022286A1 (en) * 2005-07-21 2007-01-25 Laniste, Inc. Method and apparatus for providing a multi-user encrypted environment
US8375423B2 (en) * 2005-09-23 2013-02-12 International Business Machines Corporation Authenticating a source of a scripted code
US7861297B2 (en) * 2005-09-30 2010-12-28 Microsoft Corporation Reducing security threats from untrusted code
WO2007120360A2 (en) * 2005-12-29 2007-10-25 Blue Jungle Information management system
US7877409B2 (en) 2005-12-29 2011-01-25 Nextlabs, Inc. Preventing conflicts of interests between two or more groups using applications
US8688813B2 (en) 2006-01-11 2014-04-01 Oracle International Corporation Using identity/resource profile and directory enablers to support identity management
US7885975B2 (en) 2006-02-23 2011-02-08 Oracle America, Inc. Mechanism for implementing file access control using labeled containers
US8938473B2 (en) 2006-02-23 2015-01-20 Oracle America, Inc. Secure windowing for labeled containers
US7882227B2 (en) 2006-02-23 2011-02-01 Oracle America, Inc. Mechanism for implementing file access control across a network using labeled containers
US8185944B2 (en) * 2006-02-28 2012-05-22 The Boeing Company High-assurance file-driven content filtering for secure network server
US7890755B2 (en) * 2006-02-28 2011-02-15 The Boeing Company High-assurance web-based configuration of secure network server
US8938554B2 (en) * 2006-03-02 2015-01-20 Oracle America, Inc. Mechanism for enabling a network address to be shared by multiple labeled containers
US8751579B1 (en) * 2006-03-02 2014-06-10 Salesforce.Com, Inc. Method and system of maintaining a browser in a design application workflow
US8744885B2 (en) * 2006-03-28 2014-06-03 Snowflake Itm, Inc. Task based organizational management system and method
US7950021B2 (en) 2006-03-29 2011-05-24 Imprivata, Inc. Methods and systems for providing responses to software commands
CN101101547B (zh) * 2006-07-04 2012-07-18 霍尼韦尔(北京)技术研发实验有限公司 动态计算机体系结构
US8250094B2 (en) * 2006-07-19 2012-08-21 Microsoft Corporation Relational lockdown for an item store
US8010995B2 (en) * 2006-09-08 2011-08-30 International Business Machines Corporation Methods, systems, and computer program products for implementing inter-process integrity serialization
KR100915803B1 (ko) * 2006-12-05 2009-09-07 한국전자통신연구원 임베디드 리눅스 커널의 보안성 강화를 위한 응용 프로그램구동 방법 및 시스템
US7865949B2 (en) * 2007-01-18 2011-01-04 Microsoft Corporation Provisional administrator privileges
WO2008141376A1 (en) * 2007-05-18 2008-11-27 Mark Alexander Stocks A security token and system and method for generating and decoding the security token
JP4907603B2 (ja) * 2007-06-27 2012-04-04 ヒューレット−パッカード デベロップメント カンパニー エル.ピー. アクセス制御システムおよびアクセス制御方法
US7840708B2 (en) * 2007-08-13 2010-11-23 Cisco Technology, Inc. Method and system for the assignment of security group information using a proxy
US20090055683A1 (en) * 2007-08-24 2009-02-26 Ronald Wells Method of restoring previous computer configuration
US20090119772A1 (en) * 2007-11-06 2009-05-07 Mariette Awad Secure file access
JP5037422B2 (ja) * 2008-04-30 2012-09-26 株式会社リコー 画像形成装置、アクセス制御方法、及びアクセス制御プログラム
US9501635B2 (en) 2008-06-25 2016-11-22 Microsoft Technology Licensing, Llc Isolation of services or processes using credential managed accounts
US8826443B1 (en) 2008-09-18 2014-09-02 Symantec Corporation Selective removal of protected content from web requests sent to an interactive website
US8387114B2 (en) * 2009-01-02 2013-02-26 International Business Machines Corporation Secure workload partitioning in a server environment
US20100223320A1 (en) * 2009-02-27 2010-09-02 He Huang Data distribution efficiency for online collaborative computing sessions
US8886672B2 (en) * 2009-03-12 2014-11-11 International Business Machines Corporation Providing access in a distributed filesystem
US8935752B1 (en) 2009-03-23 2015-01-13 Symantec Corporation System and method for identity consolidation
WO2010128358A1 (en) * 2009-05-06 2010-11-11 Grigory Levit Permissions verification method and system
US8601531B1 (en) * 2009-06-29 2013-12-03 Emc Corporation System authorization based upon content sensitivity
US9306750B2 (en) 2009-07-16 2016-04-05 Oracle International Corporation Techniques for securing supply chain electronic transactions
US10389845B2 (en) * 2009-10-29 2019-08-20 Pure Storage, Inc. Determining how to service requests based on several indicators
US20180054486A1 (en) * 2009-10-29 2018-02-22 International Business Machines Corporation Speculative Requests
US8510334B2 (en) 2009-11-05 2013-08-13 Oracle International Corporation Lock manager on disk
US8683370B2 (en) 2010-03-01 2014-03-25 Dundas Data Visualization, Inc. Systems and methods for generating data visualization dashboards
US20120089902A1 (en) 2010-10-07 2012-04-12 Dundas Data Visualization, Inc. Systems and methods for dashboard image generation
US20120180108A1 (en) 2011-01-06 2012-07-12 Dundas Data Visualization, Inc. Methods and systems for providing a discussion thread to key performance indicator information
US8448258B2 (en) * 2011-01-28 2013-05-21 International Business Machines Corporation Security classification based on user interaction
US8813255B2 (en) * 2011-01-28 2014-08-19 International Business Machines Corporation Security classification applying social norming
KR101215326B1 (ko) * 2011-04-13 2012-12-26 한국전자통신연구원 모바일 단말에서의 분산서비스공격을 방어하기 위한 장치 및 방법
US9064033B2 (en) * 2011-07-05 2015-06-23 International Business Machines Corporation Intelligent decision support for consent management
US8782762B2 (en) * 2011-08-17 2014-07-15 International Business Machines Corporation Building data security in a networked computing environment
JP5927075B2 (ja) * 2012-07-24 2016-05-25 日本光電工業株式会社 生体情報測定装置
EP2904743B1 (en) * 2012-10-02 2017-09-06 Mordecai Barkan Secure computer architectures, systems, and applications
US11188652B2 (en) 2012-10-02 2021-11-30 Mordecai Barkan Access management and credential protection
US9342695B2 (en) 2012-10-02 2016-05-17 Mordecai Barkan Secured automated or semi-automated systems
US9672360B2 (en) 2012-10-02 2017-06-06 Mordecai Barkan Secure computer architectures, systems, and applications
US9223993B2 (en) * 2013-04-15 2015-12-29 Broadcom Corporation Method for mandatory access control of processing in hardware cores
US9515832B2 (en) * 2013-06-24 2016-12-06 Microsoft Technology Licensing, Llc Process authentication and resource permissions
US9674225B2 (en) 2013-09-20 2017-06-06 Open Text Sa Ulc System and method for updating downloaded applications using managed container
EP2851833B1 (en) 2013-09-20 2017-07-12 Open Text S.A. Application Gateway Architecture with Multi-Level Security Policy and Rule Promulgations
US10824756B2 (en) 2013-09-20 2020-11-03 Open Text Sa Ulc Hosted application gateway architecture with multi-level security policy and rule promulgations
US10162855B2 (en) 2014-06-09 2018-12-25 Dundas Data Visualization, Inc. Systems and methods for optimizing data analysis
US9390275B1 (en) 2015-01-27 2016-07-12 Centurion Holdings I, Llc System and method for controlling hard drive data change
US9762585B2 (en) 2015-03-19 2017-09-12 Microsoft Technology Licensing, Llc Tenant lockbox
US10931682B2 (en) 2015-06-30 2021-02-23 Microsoft Technology Licensing, Llc Privileged identity management
US11593075B2 (en) 2015-11-03 2023-02-28 Open Text Sa Ulc Streamlined fast and efficient application building and customization systems and methods
US10110610B2 (en) * 2015-12-08 2018-10-23 Sap Se Dynamic permission assessment and reporting engines
US10133639B2 (en) 2016-02-10 2018-11-20 International Business Machines Corporation Privacy protection of media files for automatic cloud backup systems
US11388037B2 (en) 2016-02-25 2022-07-12 Open Text Sa Ulc Systems and methods for providing managed services
US10404702B1 (en) * 2016-03-30 2019-09-03 EMC IP Holding Company LLC System and method for tenant network identity-based authentication and authorization for administrative access in a protection storage system
US10325116B2 (en) * 2017-06-30 2019-06-18 Vmware, Inc. Dynamic privilege management in a computer system
US11061586B1 (en) * 2017-11-21 2021-07-13 Veritas Technologies Llc System for dynamically determining access constraints of data-repository objects
CN108460275A (zh) * 2018-03-08 2018-08-28 福建深空信息技术有限公司 一种文件防篡改系统架构
US11675902B2 (en) 2018-12-05 2023-06-13 Vmware, Inc. Security detection system with privilege management
CN110933048B (zh) * 2019-11-14 2022-03-22 北京卓讯科信技术有限公司 一种基于报文识别异常应用操作的方法和设备
US11677754B2 (en) * 2019-12-09 2023-06-13 Daniel Chien Access control systems and methods
US11509463B2 (en) 2020-05-31 2022-11-22 Daniel Chien Timestamp-based shared key generation
CN113627950B (zh) * 2021-06-25 2023-12-29 淮安集略科技有限公司 基于动态图的用户交易特征提取的方法和系统

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5596718A (en) 1992-07-10 1997-01-21 Secure Computing Corporation Secure computer network using trusted path subsystem which encrypts/decrypts and communicates with user through local workstation user I/O devices without utilizing workstation processor
US5903732A (en) * 1996-07-03 1999-05-11 Hewlett-Packard Company Trusted gateway agent for web server programs
US6023765A (en) * 1996-12-06 2000-02-08 The United States Of America As Represented By The Secretary Of Commerce Implementation of role-based access control in multi-level secure systems
US6029247A (en) * 1996-12-09 2000-02-22 Novell, Inc. Method and apparatus for transmitting secured data
US5845068A (en) * 1996-12-18 1998-12-01 Sun Microsystems, Inc. Multilevel security port methods, apparatuses, and computer program products
US5937159A (en) * 1997-03-28 1999-08-10 Data General Corporation Secure computer system
US6052785A (en) * 1997-11-21 2000-04-18 International Business Machines Corporation Multiple remote data access security mechanism for multitiered internet computer networks

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002157160A (ja) 2000-07-20 2002-05-31 Ge Medical Technology Services Inc データの安全な報告の作成及び伝送
JP2002092221A (ja) * 2000-08-18 2002-03-29 Hewlett Packard Co <Hp> コンピューティングプラットフォームにおけるサービスの実行
JP2007525894A (ja) * 2004-02-09 2007-09-06 パームソース・インコーポレイテッド 使用可能なネットワークとの接続を管理するシステム及び方法
JP4709166B2 (ja) * 2004-02-09 2011-06-22 パームソース・インコーポレイテッド コンピュータ・デバイス用セキュリティ・モデルのための方法及びシステム

Also Published As

Publication number Publication date
EP1119813A1 (en) 2001-08-01
AU6401999A (en) 2000-04-17
WO2000019324A1 (en) 2000-04-06
US6289462B1 (en) 2001-09-11

Similar Documents

Publication Publication Date Title
US6289462B1 (en) Trusted compartmentalized computer operating system
US7669239B2 (en) Secure network system and associated method of use
US6836888B1 (en) System for reverse sandboxing
US7627896B2 (en) Security system providing methodology for cooperative enforcement of security policies during SSL sessions
US8527754B2 (en) Authorizing information flows based on a sensitivity of an information object
US7512792B2 (en) Reference monitor method for enforcing information flow policies
US7647630B2 (en) Associating security information with information objects in a data processing system
US20030177376A1 (en) Framework for maintaining information security in computer networks
US20030196108A1 (en) System and techniques to bind information objects to security labels
Desai et al. System insecurity–firewalls
Soh et al. Network system and world wide web security
Tai Ramirez A Framework To Build Secure Microservice Architecture
Jensen Secure software architectures
Fataniya A Survey of Database Security Challenges, Issues and Solution
Cordis et al. Considerations in Mitigating Kerberos Vulnerabilities for Active Directory
Cook et al. Security Guide for IBM i V6. 1
Lamb A survey of secure architectural principles
Landon et al. IBM System i Security Guide
Johnson Problems in computer security for commercial systems
Joubert Auditing Windows 2000: methodologies and issues
Fernandez et al. Tutorial: Security patterns and secure systems design using UML
Allen et al. Securing Network Servers
Jeloka et al. Oracle Database Security Guide 10g Release 2 (10.2) B14266-01
Burnett Securing IIS
Beshiri Authentication and authorization in service oriented cloud computing architecture