JP2004303242A - 高信頼性コンピューティングシステムにおけるセキュリティ属性 - Google Patents
高信頼性コンピューティングシステムにおけるセキュリティ属性 Download PDFInfo
- Publication number
- JP2004303242A JP2004303242A JP2004088736A JP2004088736A JP2004303242A JP 2004303242 A JP2004303242 A JP 2004303242A JP 2004088736 A JP2004088736 A JP 2004088736A JP 2004088736 A JP2004088736 A JP 2004088736A JP 2004303242 A JP2004303242 A JP 2004303242A
- Authority
- JP
- Japan
- Prior art keywords
- service
- security
- protected computing
- logically protected
- computing environment
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/57—Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- General Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
Abstract
【課題】 1つまたは複数の論理的被保護コンピューティング環境を含む高信頼性コンピューティングプラットフォームを備えるシステムを提供する。
【解決手段】 それぞれの論理的被保護コンピューティング環境は上記システムによってサポートされる少なくとも1つのサービスまたはプロセスに関連する。システムは、それぞれの上記論理的被保護コンピューティング環境のオペレーションを制御する1つまたは複数のセキュリティルールを含む所定のセキュリティポリシを上記高信頼性コンピューティングプラットフォーム上にロードするように構成される。上記論理的被保護コンピューティング環境の少なくとも1つに対するセキュリティルールは、その論理的被保護コンピューティング環境に関連するサービスまたはプロセスが開始される時にそのサービスまたはプロセスに適用されるべきセキュリティ属性を規定する実行制御ルールを含む。
【選択図】 図3
【解決手段】 それぞれの論理的被保護コンピューティング環境は上記システムによってサポートされる少なくとも1つのサービスまたはプロセスに関連する。システムは、それぞれの上記論理的被保護コンピューティング環境のオペレーションを制御する1つまたは複数のセキュリティルールを含む所定のセキュリティポリシを上記高信頼性コンピューティングプラットフォーム上にロードするように構成される。上記論理的被保護コンピューティング環境の少なくとも1つに対するセキュリティルールは、その論理的被保護コンピューティング環境に関連するサービスまたはプロセスが開始される時にそのサービスまたはプロセスに適用されるべきセキュリティ属性を規定する実行制御ルールを含む。
【選択図】 図3
Description
[発明の分野]
本発明は、包括的に、信頼性の高いコンピューティングシステム、すなわち高信頼性コンピューティングシステムで使用されるセキュリティポリシに関し、特に、システムリソースへの許容されるアクセスに関するセキュリティ属性を規定する方法および装置に関する。
本発明は、包括的に、信頼性の高いコンピューティングシステム、すなわち高信頼性コンピューティングシステムで使用されるセキュリティポリシに関し、特に、システムリソースへの許容されるアクセスに関するセキュリティ属性を規定する方法および装置に関する。
[発明の背景]
商用アプリケーションでは、クライアントコンピューティングプラットフォームは通常、その挙動がローカルまたはリモートのエンティティによる変更に対して脆弱であるような環境で動作する。
プラットフォームのこの潜在的なセキュリティの欠如は、例えば電子商取引の目的で、セキュリティがあればそのプラットフォームを使用しても構わないと考えているローカル当事者や、セキュリティがあればそのプラットフォームと通信するかもしれないリモート当事者によるその使用を制約している。
商用アプリケーションでは、クライアントコンピューティングプラットフォームは通常、その挙動がローカルまたはリモートのエンティティによる変更に対して脆弱であるような環境で動作する。
プラットフォームのこの潜在的なセキュリティの欠如は、例えば電子商取引の目的で、セキュリティがあればそのプラットフォームを使用しても構わないと考えているローカル当事者や、セキュリティがあればそのプラットフォームと通信するかもしれないリモート当事者によるその使用を制約している。
本出願人による同時係属中の開示WO00/48063(参照により本明細書に援用する)には、組込みハードウェアおよびソフトウェアコンポーネントの形態で「高信頼性コンポーネント」を有するコンピューティングプラットフォームを備える「高信頼性コンピューティングプラットフォーム」の概念が開示されている。
この文書には、高信頼性デバイス(TD、Trusted Device)または高信頼性プラットフォームモジュール(TPM、Trusted Platform Module)を用いて、完全性メトリックの信頼できる測定および報告により、コンピューティング装置の完全性(integrity)の検証を可能にすることが記載されている。
TD/TPMは、Trusted Computing Platform Alliance(TCPA)仕様に準拠している。
例えば非特許文献1(www.trustedpc.org)を参照されたい。
この文書には、高信頼性デバイス(TD、Trusted Device)または高信頼性プラットフォームモジュール(TPM、Trusted Platform Module)を用いて、完全性メトリックの信頼できる測定および報告により、コンピューティング装置の完全性(integrity)の検証を可能にすることが記載されている。
TD/TPMは、Trusted Computing Platform Alliance(TCPA)仕様に準拠している。
例えば非特許文献1(www.trustedpc.org)を参照されたい。
高信頼性デバイスまたは高信頼性プラットフォームモジュールは、その内部でサービスまたはプロセスを実行することが可能な1つまたは複数の論理的に保護されたコンピューティング環境(論理的被保護コンピューティング環境)すなわち「コンパートメント」を含み得る。
コンパートメント内でのアクションまたは特権は、特に、コンパートメントの外部に効果を有するメソッドおよびオペレーション(例えば、ネットワークアクセスやコンパートメントの外部のファイルへのアクセスを要求するメソッド)を実行するプロセスの能力を制限するように制約される。
また、コンパートメント内のプロセスまたはサービスのオペレーションは、外部の影響による干渉およびのぞき見(prying)から高度に隔離されて実行される。
各コンパートメントは、オペレーティングシステムカーネルによって制御されるオペレーティングシステムコンパートメントであってもよい。
これは、コンパートメント化オペレーティングシステムまたは高信頼性オペレーティングシステムとも呼ばれる。
コンパートメント内でのアクションまたは特権は、特に、コンパートメントの外部に効果を有するメソッドおよびオペレーション(例えば、ネットワークアクセスやコンパートメントの外部のファイルへのアクセスを要求するメソッド)を実行するプロセスの能力を制限するように制約される。
また、コンパートメント内のプロセスまたはサービスのオペレーションは、外部の影響による干渉およびのぞき見(prying)から高度に隔離されて実行される。
各コンパートメントは、オペレーティングシステムカーネルによって制御されるオペレーティングシステムコンパートメントであってもよい。
これは、コンパートメント化オペレーティングシステムまたは高信頼性オペレーティングシステムとも呼ばれる。
高信頼性オペレーティングシステムは、機密(軍事)情報を取り扱いかつ処理するために設計された形態で数年前から利用可能となっており、オペレーティングシステムのカーネルによって実施される閉じ込めメカニズムを用いて、ファイル、プロセスおよびネットワークコネクションのようなコンピューティングプラットフォームのリソースに対する強制的アクセス制御を行う。
オペレーティングシステムは、リソースにラベルを付加し、それらのラベル値に基づいて、リソース間の許容される相互作用を統制するセキュリティポリシを実施する。
多くの高信頼性オペレーティングシステムは、Bell-Lapadulaモデルに基づくセキュリティポリシを適用している。
このモデルは、非特許文献2(C I DaltonとJ F GriffinによるComputer Networks and ISDN Systems 29 (1997) 1799-1808に発表された論文「Applying Military Grade Security to the Internet」)に記載されている。
オペレーティングシステムは、リソースにラベルを付加し、それらのラベル値に基づいて、リソース間の許容される相互作用を統制するセキュリティポリシを実施する。
多くの高信頼性オペレーティングシステムは、Bell-Lapadulaモデルに基づくセキュリティポリシを適用している。
このモデルは、非特許文献2(C I DaltonとJ F GriffinによるComputer Networks and ISDN Systems 29 (1997) 1799-1808に発表された論文「Applying Military Grade Security to the Internet」)に記載されている。
いずれにしても、多くの高信頼性コンピューティングプラットフォームは、比較的簡便な形態のオペレーティングシステムコンパートメントを採用している。
一般的に、保護したいコンピューティングプラットフォームの各リソースに、そのリソースが属するコンパートメントを示すラベルが与えられる。
あるコンパートメントからのリソースが別のコンパートメントからのリソースと干渉しないようにするために、セキュリティポリシを組み込んだ強制的アクセス制御がホストオペレーティングシステムのカーネルにより実行される。
セキュアなシステムでは、システムリソースへのアクセスは、セキュリティまたはサブジェクト属性によって規定される。
一般的に、保護したいコンピューティングプラットフォームの各リソースに、そのリソースが属するコンパートメントを示すラベルが与えられる。
あるコンパートメントからのリソースが別のコンパートメントからのリソースと干渉しないようにするために、セキュリティポリシを組み込んだ強制的アクセス制御がホストオペレーティングシステムのカーネルにより実行される。
セキュアなシステムでは、システムリソースへのアクセスは、セキュリティまたはサブジェクト属性によって規定される。
上記のセキュリティポリシは、セキュリティルールの形態で表現されることが多い(各セキュリティルールは一般に、セキュリティ属性を規定する命令行を含む)。
一般的に、1つまたは複数のセキュリティルールが1つのコンパートメントに関連する。
また、各コンパートメントが1つまたは複数のサービスに関連してもよい。
一般的に、1つまたは複数のセキュリティルールが1つのコンパートメントに関連する。
また、各コンパートメントが1つまたは複数のサービスに関連してもよい。
従来、セキュリティルールは、プラットフォームの起動シーケンス中のできるだけ早いうちにロードし、サービスまたはプロセスが起動されたら直ちに関連するセキュリティルールが有効になるようにするのが望ましいと考えられている。
そこで、従来技術のシステムでは、すべてのセキュリティルールがシステム初期化時にプラットフォームにロードされることが多い。
すなわち、完全なセキュリティルールがシステム起動時にロードされる。
したがって、セキュリティ属性はセキュリティ初期化によって割り当てられることになり、特別の権限を有するプロセスによらなければ変更することができない。
そこで、従来技術のシステムでは、すべてのセキュリティルールがシステム初期化時にプラットフォームにロードされることが多い。
すなわち、完全なセキュリティルールがシステム起動時にロードされる。
したがって、セキュリティ属性はセキュリティ初期化によって割り当てられることになり、特別の権限を有するプロセスによらなければ変更することができない。
セキュアなオペレーティングシステムでは、多くの場合(例えば、プロセスが別のプログラムをフォークして実行する時には、サービスがコンパートメントに入るためにセキュリティIDを必要とするので)、いくつかのポイントでプログラムのセキュリティ属性を変更する(すなわち「セキュリティ遷移」を実行する)ことが必要になる。
したがって、従来技術のシステムでは、サービスを開始する方法を変更して(すなわち、サービスを開始するスクリプト、制御プログラムまたは他のファシリティを変更して)、そのサービスが確実に正しいコンパートメントに入るようにするか、またはこの問題に対処するために何らかの形のマッピングファンクションを構成するかのいずれかが必要である。
したがって、従来技術のシステムでは、サービスを開始する方法を変更して(すなわち、サービスを開始するスクリプト、制御プログラムまたは他のファシリティを変更して)、そのサービスが確実に正しいコンパートメントに入るようにするか、またはこの問題に対処するために何らかの形のマッピングファンクションを構成するかのいずれかが必要である。
すなわち、いくつかのポイントにおけるプログラムのセキュリティ属性の変更は、従来は、属性を変更するために特別のシステムコールを用いて、または高信頼性ゲートウェイプログラムを用いて、明示的になされているが、これは不便である。
というのは、これは、特別のシステムコールを含めるため、または必要とされるプログラムの代わりに高信頼性ゲートウェイプログラムを呼び出すために、呼出し側プログラムを(上記のように)変更することを伴うからである。
また、呼出し側プログラムが被呼出し側プログラムの属性を変更することを可能にする追加のセキュリティ属性を呼出し側プログラムに与えることも必要になることがある。
www.trustedpc.org C I DaltonとJ F GriffinによるComputer Networks and ISDN Systems 29 (1997) 1799-1808に発表された論文「Applying Military Grade Security to the Internet」
というのは、これは、特別のシステムコールを含めるため、または必要とされるプログラムの代わりに高信頼性ゲートウェイプログラムを呼び出すために、呼出し側プログラムを(上記のように)変更することを伴うからである。
また、呼出し側プログラムが被呼出し側プログラムの属性を変更することを可能にする追加のセキュリティ属性を呼出し側プログラムに与えることも必要になることがある。
www.trustedpc.org C I DaltonとJ F GriffinによるComputer Networks and ISDN Systems 29 (1997) 1799-1808に発表された論文「Applying Military Grade Security to the Internet」
本発明によれば、高信頼性コンピューティングプラットフォームおよび1つまたは複数の論理的被保護コンピューティング環境を備えるシステムであって、それぞれの論理的被保護コンピューティング環境は該システムによってサポートされる少なくとも1つのサービスまたはプロセスに関連し、該サービスまたはプロセスが開始される時に該少なくとも1つのサービスまたはプロセスのうちの1つまたは複数に適用されるべきセキュリティ属性を規定する所定のセキュリティポリシを規定するデータを該高信頼性コンピューティングプラットフォーム上にロードするように構成されるシステムが提供される。
1実施形態において、ポリシは、論理的被保護コンピューティング環境のオペレーションを制御する1つまたは複数のセキュリティルールを含む。
好ましくは、論理的被保護コンピューティング環境の少なくとも1つに対するセキュリティルールは、セキュリティ属性を規定する実行制御ルールを含む。
また、本発明によれば、高信頼性コンピューティングプラットフォームおよび1つまたは複数の論理的被保護コンピューティング環境を含むシステムにおいてセキュリティポリシを適用する方法であって、それぞれの論理的被保護コンピューティング環境は該システムによってサポートされる少なくとも1つのサービスまたはプロセスに関連し、該方法は、該論理的被保護コンピューティング環境の少なくとも1つに関連するサービスまたはプロセスを開始するステップと、該サービスまたはプロセスの開始後に、該サービスまたはプロセスにセキュリティ属性を適用することにより該少なくとも1つの論理的被保護コンピューティング環境のオペレーションを制御するステップとを含む。
好ましくは、属性は実行制御ルールによって規定され、該実行制御ルールはポリシの少なくとも一部を実施するセキュリティルールに含まれる。
理解されるように、本発明との関連では、「信頼」という用語は次のような意味で使用される。
すなわち、何かが「高信頼性」であるとは、それが常に本来の目的で期待通りに挙動する場合をいう。
すなわち、何かが「高信頼性」であるとは、それが常に本来の目的で期待通りに挙動する場合をいう。
このように、本発明は、論理的被保護コンピューティング環境(すなわち「コンパートメント」)に対するセキュリティルール内に実行制御ルール(以下「execルール」という)を含めることを可能にする。
execルールは、サービスまたはプロセスが開始される時にそのサービスまたはプロセスに適用されるべきセキュリティ属性を規定または変更する。
これによって、既存のプログラムを変更したり、セキュリティ的に高信頼性のゲートウェイプログラムを使用したりする必要がなくなる。
execルールは、サービスまたはプロセスが開始される時にそのサービスまたはプロセスに適用されるべきセキュリティ属性を規定または変更する。
これによって、既存のプログラムを変更したり、セキュリティ的に高信頼性のゲートウェイプログラムを使用したりする必要がなくなる。
セキュリティ属性は、サービスまたはプロセスが開始された時にそれぞれの論理的被保護コンピューティング環境に提供されるべき1つまたは複数の権限;サービスまたはプロセスが開始される時にそれぞれの論理的被保護コンピューティング環境の権限を変更する1つまたは複数のファンクション;サービスまたはプロセスが開始される時にそのサービスまたはプロセスが指定された論理的被保護コンピューティング環境内に配置されて実行されるようにするファンクション;サービスまたはプロセスが実行されるべきユーザid、グループid、または論理的被保護コンピューティング環境を変更することができるファンクション;および/またはそれぞれのサービスまたはプロセスがchrootされる先のディレクトリを規定するファンクション、を含み得る。
当業者には理解されるように、「chroot」という用語は、ルートディレクトリ(1)を、カレントプロセスの存続期間中、そのデフォルト以外のものにするコマンドのことである。
当業者には理解されるように、「chroot」という用語は、ルートディレクトリ(1)を、カレントプロセスの存続期間中、そのデフォルト以外のものにするコマンドのことである。
セキュリティ属性が、プロセスまたはサービスが開始された時にそれぞれの論理的被保護コンピューティング環境の権限を変更する1つまたは複数のファンクションを含む場合、当該ファンクションは、指定された権限を引き上げるか、または引き下げてもよい。
本発明の一実施形態では、権限のセットをフィルタリングする手段が提供され、当該権限のうちそのフィルタリング手段によって選択される1つまたは複数の権限のみが変更されてもよい。
本発明の一実施形態では、権限のセットをフィルタリングする手段が提供され、当該権限のうちそのフィルタリング手段によって選択される1つまたは複数の権限のみが変更されてもよい。
各実行制御ルールは、好ましくは、関連する論理的被保護コンピューティング環境を識別することによって、その実行制御ルールが適用されるサービスまたはプロセスを指定する。
その結果、ルールは、論理的被保護コンピューティング環境を指定するサービスおよびプロセスのみに適用される。
その結果、ルールは、論理的被保護コンピューティング環境を指定するサービスおよびプロセスのみに適用される。
好ましくは、サービスまたはプロセスを構成するファイルはリードオンリであり、好ましくは、このようなファイルの名前を変更する、システムにより実行されるオペレーションを監視する手段が提供される。
以下、本発明の一実施形態が、単なる例として、添付図面を参照して説明される。
[発明の詳細な説明]
以下の説明では、本発明の十分な理解を提供するために数多くの具体的詳細が記載される。
しかし、当業者には明らかなように、本発明はこれらの具体的詳細に限定されることなく実施されてもよい。
他の場合、既知の方法および構造は、本発明を不必要に分かりにくくすることがないように、詳細には記載されていない。
以下の説明では、本発明の十分な理解を提供するために数多くの具体的詳細が記載される。
しかし、当業者には明らかなように、本発明はこれらの具体的詳細に限定されることなく実施されてもよい。
他の場合、既知の方法および構造は、本発明を不必要に分かりにくくすることがないように、詳細には記載されていない。
本発明の一実施形態を実行するのに一般的に好適なタイプの高信頼性コンピューティングプラットフォームが、2000年2月15日に出願された「Trusted Computing Platform」と題する本出願人の国際特許出願PCT/GB00/00528に詳細に記載されており、その内容は参照により本明細書に援用される。
この文書には、高信頼性コンピューティングプラットフォームの構成の本質的要素、およびコンピューティングプラットフォームの状態を当該プラットフォームのユーザに知らせる完全性メトリックを提供する際のその役割、ならびに当該メトリックをユーザに通信することが記載されている。
この文書には、高信頼性コンピューティングプラットフォームの構成の本質的要素、およびコンピューティングプラットフォームの状態を当該プラットフォームのユーザに知らせる完全性メトリックを提供する際のその役割、ならびに当該メトリックをユーザに通信することが記載されている。
簡単に述べれば、図面の図1を参照すると、高信頼性コンピューティングプラットフォーム10は、キーボード14、マウス16および視覚表示装置(VDU)18の標準的機能を含み、これらはプラットフォームの物理的な「ユーザインタフェース」を提供する。
高信頼性プラットフォームのこの実施形態はスマートカードリーダ12も含むが、これは本発明のすべての実施形態に必須ではない。
スマートカードリーダ12のそばに、高信頼性プラットフォームとの高信頼性ユーザ対話を可能にするスマートカード19が図示されている(この態様は、2000年3月3日に出願された「Smartcard User Interface for Trusted Computing Platform」と題する本出願人の国際特許出願PCT/GB00/00751にさらに記載されており、その出願の内容は参照により本明細書に援用される)。
プラットフォーム10には複数のモジュール15がある。
これらは、当該プラットフォームに適した、実質的に任意の種類の高信頼性プラットフォームの他の機能要素である(このような要素の機能的意味は本発明とは直接の関連性がないので、本明細書ではこれ以上説明しない)。
高信頼性プラットフォームのこの実施形態はスマートカードリーダ12も含むが、これは本発明のすべての実施形態に必須ではない。
スマートカードリーダ12のそばに、高信頼性プラットフォームとの高信頼性ユーザ対話を可能にするスマートカード19が図示されている(この態様は、2000年3月3日に出願された「Smartcard User Interface for Trusted Computing Platform」と題する本出願人の国際特許出願PCT/GB00/00751にさらに記載されており、その出願の内容は参照により本明細書に援用される)。
プラットフォーム10には複数のモジュール15がある。
これらは、当該プラットフォームに適した、実質的に任意の種類の高信頼性プラットフォームの他の機能要素である(このような要素の機能的意味は本発明とは直接の関連性がないので、本明細書ではこれ以上説明しない)。
図面の図2を参照すると、高信頼性コンピューティングプラットフォーム10のマザーボード20は、(標準的なコンポーネントのうちでも特に)メインプロセッサ21、メインメモリ22、高信頼性デバイス24、データバス26ならびにそれぞれの制御ライン27およびアドレスライン28、プラットフォーム10のためのBIOSプログラム(これは、リセット後に、その内部でオペレーティングシステムプログラムが実行されることになる適切な環境を構築する)を含むBIOSメモリ29、ならびに入出力(I/O)デバイス23を含む。
I/Oデバイス23は、マザーボードのコンポーネントと、スマートカードリーダ12、キーボード14、マウス16およびVDU18との間の対話を制御する。
メインメモリ22は通常、ランダムアクセスメモリ(RAM)である。
動作において、プラットフォーム10は、ハードディスク(図示せず)からRAMにオペレーティングシステムをロードする。
I/Oデバイス23は、マザーボードのコンポーネントと、スマートカードリーダ12、キーボード14、マウス16およびVDU18との間の対話を制御する。
メインメモリ22は通常、ランダムアクセスメモリ(RAM)である。
動作において、プラットフォーム10は、ハードディスク(図示せず)からRAMにオペレーティングシステムをロードする。
そこで、リセット後、メインプロセッサは最初に、高信頼性デバイスによって制御される。
すると、高信頼性デバイスは、プラットフォーム固有のBIOSプログラムに制御を渡し、このBIOSプログラムが通常通りすべての入出力デバイスを初期化する。
BIOSプログラムが実行された後、制御はオペレーティングシステムプログラムに渡される。
オペレーティングシステムプログラムは通常、ハードディスクドライブ(図示せず)からメインメモリ22にロードされる。
BIOSブートブロックが高信頼性デバイス24内に含まれることが強く望まれる。
これは、完全性メトリックの取得の妨害(これは不正なソフトウェアプロセスが存在する場合に起こり得る)を防ぐとともに、BIOS(たとえ正しくても)がオペレーティングシステムのための適切な環境を構築できない状況を不正なソフトウェアプロセスが作り出すことを防ぐ。
すると、高信頼性デバイスは、プラットフォーム固有のBIOSプログラムに制御を渡し、このBIOSプログラムが通常通りすべての入出力デバイスを初期化する。
BIOSプログラムが実行された後、制御はオペレーティングシステムプログラムに渡される。
オペレーティングシステムプログラムは通常、ハードディスクドライブ(図示せず)からメインメモリ22にロードされる。
BIOSブートブロックが高信頼性デバイス24内に含まれることが強く望まれる。
これは、完全性メトリックの取得の妨害(これは不正なソフトウェアプロセスが存在する場合に起こり得る)を防ぐとともに、BIOS(たとえ正しくても)がオペレーティングシステムのための適切な環境を構築できない状況を不正なソフトウェアプロセスが作り出すことを防ぐ。
高信頼性デバイス24の構成は、本出願人による前述の国際特許出願PCT/GB00/00528にさらに詳細に記載されている。
高信頼性デバイスの具体的構成は本発明とは直接の関連性がないので、本明細書ではこれ以上説明しない。
高信頼性デバイスの具体的構成は本発明とは直接の関連性がないので、本明細書ではこれ以上説明しない。
高信頼性コンピューティングプラットフォームは、いったん起動された後は、コンパートメント化すなわち高信頼性オペレーティングシステムを有することになる。
つまり、オペレーティングシステムによってサポートされる必要のある1つまたは複数のサービスまたはプロセスが、論理的被保護コンピューティング環境であるコンパートメント内で実行される。
既に述べたように、コンパートメント内でのアクションまたは特権は、特に、コンパートメントの外部に効果を有するメソッドおよびオペレーション(例えば、ネットワークアクセスやコンパートメントの外部のファイルへのアクセスを要求するメソッド)を実行するプロセスの能力を制限するように(セキュリティポリシによって)制約される。
さらに、コンパートメント内のプロセスのオペレーションは、外部の影響による干渉およびのぞき見から高度に隔離されて実行される。
つまり、オペレーティングシステムによってサポートされる必要のある1つまたは複数のサービスまたはプロセスが、論理的被保護コンピューティング環境であるコンパートメント内で実行される。
既に述べたように、コンパートメント内でのアクションまたは特権は、特に、コンパートメントの外部に効果を有するメソッドおよびオペレーション(例えば、ネットワークアクセスやコンパートメントの外部のファイルへのアクセスを要求するメソッド)を実行するプロセスの能力を制限するように(セキュリティポリシによって)制約される。
さらに、コンパートメント内のプロセスのオペレーションは、外部の影響による干渉およびのぞき見から高度に隔離されて実行される。
好ましい一実施形態では、コンパートメントは、オペレーティングシステムカーネルによって制御されるオペレーティングシステムコンパートメントであり、既に述べたように、これは、コンパートメント化オペレーティングシステムまたは高信頼性オペレーティングシステムとも呼ばれる。
コンパートメントとネットワークリソースの間の通信は、TCP/UDPのようなトランスポートメカニズムへの狭いカーネルレベル制御のインタフェースを通じて行われる。
これらの通信インタフェースへのアクセスは、コンパートメントごとに指定されたルールによって統制される。
カーネル内の適当なポイントで、例えばどのコンパートメントがどのコンパートメントのリソースにアクセスすることが許容されるかを示すルールのテーブルを参照する動的ロード可能セキュリティモジュールへのフックを用いることにより、アクセス制御チェックが実行される。
コンパートメント間アクセスが行われることを明示的に許容するルールがない場合、アクセス試行はカーネルによって拒否される。
ルールは、別のコンパートメントのリソースにアクセスすることが明示的に許容されたコンパートメントを除いて、個別のコンパートメント間の強制的セグメンテーションを実施する。
これらの通信インタフェースへのアクセスは、コンパートメントごとに指定されたルールによって統制される。
カーネル内の適当なポイントで、例えばどのコンパートメントがどのコンパートメントのリソースにアクセスすることが許容されるかを示すルールのテーブルを参照する動的ロード可能セキュリティモジュールへのフックを用いることにより、アクセス制御チェックが実行される。
コンパートメント間アクセスが行われることを明示的に許容するルールがない場合、アクセス試行はカーネルによって拒否される。
ルールは、別のコンパートメントのリソースにアクセスすることが明示的に許容されたコンパートメントを除いて、個別のコンパートメント間の強制的セグメンテーションを実施する。
図面の図3を参照すると、本発明によるプロセスの例示的な一実施形態はステップ100から開始され、プラットフォームの起動が実行される。
起動時に、プラグ式認証モジュール(PAM)として知られるセキュリティモジュールをロードするためのスクリプトが実行され、2個の入力ファイルがメモリにロードされる。
これらの2個の入力ファイルはそれぞれ、コンパートメント名と番号の間のマッピング、およびネットワークインタフェース名とネットワークインタフェース番号の間のマッピングである。
プラットフォームは、システム上に構成されるコンパートメントごとに1個ずつの、いくつかのサブディレクトリを含むディレクトリを含み、この時点で、システム初期化(のみ)に関連するコンパートメントに関連するサブディレクトリがアクセスされる。
また、これらのサブディレクトリにわたって反復されるもう1つのスクリプトが実行される。
このスクリプトは、システム初期化に関連するコンパートメントをロードするとともに、それぞれのロードされたコンパートメントに関連するセキュリティルールをロードする。
起動時に、プラグ式認証モジュール(PAM)として知られるセキュリティモジュールをロードするためのスクリプトが実行され、2個の入力ファイルがメモリにロードされる。
これらの2個の入力ファイルはそれぞれ、コンパートメント名と番号の間のマッピング、およびネットワークインタフェース名とネットワークインタフェース番号の間のマッピングである。
プラットフォームは、システム上に構成されるコンパートメントごとに1個ずつの、いくつかのサブディレクトリを含むディレクトリを含み、この時点で、システム初期化(のみ)に関連するコンパートメントに関連するサブディレクトリがアクセスされる。
また、これらのサブディレクトリにわたって反復されるもう1つのスクリプトが実行される。
このスクリプトは、システム初期化に関連するコンパートメントをロードするとともに、それぞれのロードされたコンパートメントに関連するセキュリティルールをロードする。
ステップ102で、セキュリティコンフィグレーションがロードされる。
ステップ106で、システムはサービスを開始することを決定し、(ステップ108で)そのサービスに関連するコンパートメントがロードされるとともに、(ステップ110で)付随するセキュリティルールがロードされる。
セキュリティルールには、1つまたは複数のexecルール、すなわち、サービスまたはプロセスが実行された後でそれに適用されるルールが含まれてもよい。
これらのexecルールはステップ112で適用される。
セキュリティルールには、1つまたは複数のexecルール、すなわち、サービスまたはプロセスが実行された後でそれに適用されるルールが含まれてもよい。
これらのexecルールはステップ112で適用される。
execルールは2つの主要な用途を有する。
第1に、それらは、プロセスが開始される時にプロセスが有するべきセキュリティ属性を規定するために使用可能である(ステップ114)。
一例として、次のexecルールを考える。
exec[ from.comp system;
filename /sbin/mingetty;
comp system;
permitted.raise CAP_MAC_ADMIN
CAP_MAC_SETCID ]
第1に、それらは、プロセスが開始される時にプロセスが有するべきセキュリティ属性を規定するために使用可能である(ステップ114)。
一例として、次のexecルールを考える。
exec[ from.comp system;
filename /sbin/mingetty;
comp system;
permitted.raise CAP_MAC_ADMIN
CAP_MAC_SETCID ]
このように、「filename /sbin/mingetty」によって識別されるプロセスが「system」コンパートメント内で実行されている場合、そのコンパートメントに特権「CAP_MAC_ADMIN」および「CAP_MAC_SETCID」が与えられるため、PAMは、各ユーザが正しい特権を取得することを保証することができる。
すなわち、PAMには、必要な特権を全ユーザに与える能力が付与される。
より詳細には、ユーザログインを制御するプログラムが提供され、PAMモジュールがログイン時に実行されて、ユーザのログインに対してユーザのコンパートメントおよび権限を設定する。
これは特権オペレーションであるため、ユーザログインを制御するプログラムは規定された権限(CAP_MAC_ADMINおよびCAP_MAC_SETCID)を有する必要がある。
それにより、それらの権限はPAMを実行するプロセスによって継承され、そのプロセスはログインを正しく設定するための特権を有する。
すなわち、PAMには、必要な特権を全ユーザに与える能力が付与される。
より詳細には、ユーザログインを制御するプログラムが提供され、PAMモジュールがログイン時に実行されて、ユーザのログインに対してユーザのコンパートメントおよび権限を設定する。
これは特権オペレーションであるため、ユーザログインを制御するプログラムは規定された権限(CAP_MAC_ADMINおよびCAP_MAC_SETCID)を有する必要がある。
それにより、それらの権限はPAMを実行するプロセスによって継承され、そのプロセスはログインを正しく設定するための特権を有する。
第2に、execルールは、プロセスがどこで実行されるべきかを規定するマッピングを提供するために使用可能である。
そこで例えば、サービスaがコンパートメントAで実行される場合を考える。
コンパートメントAがオープンまたはロードされると、そのコンパートメントに関連するルールもまたロードされる。
それらのルール内には、サービスaが開始される時に、それをコンパートメントA内で実行することを指定するexecルールがあってもよい。
その場合、そのルールが(ステップ116で)適用される。
こうして、サービスaは通常通り開始されることが可能であり(したがってサービスaは変更される必要がない)、コンパートメントAがロードされる時に関連するexecルールがロードされる正しいコンパートメントに移動される。
各execルールは、影響を受けるファイル(複数可)および当該ルールが適用されるコンパートメントを指定するので、execルールを使用することにより、高信頼性ゲートウェイを使用することが不要になる。
そこで例えば、サービスaがコンパートメントAで実行される場合を考える。
コンパートメントAがオープンまたはロードされると、そのコンパートメントに関連するルールもまたロードされる。
それらのルール内には、サービスaが開始される時に、それをコンパートメントA内で実行することを指定するexecルールがあってもよい。
その場合、そのルールが(ステップ116で)適用される。
こうして、サービスaは通常通り開始されることが可能であり(したがってサービスaは変更される必要がない)、コンパートメントAがロードされる時に関連するexecルールがロードされる正しいコンパートメントに移動される。
各execルールは、影響を受けるファイル(複数可)および当該ルールが適用されるコンパートメントを指定するので、execルールを使用することにより、高信頼性ゲートウェイを使用することが不要になる。
要約すれば、本発明のこの例示的実施形態によるexecルールは、次のような、プロセスのセキュリティ関連プロパティを制御する:
・uid:結果として得られるユーザid(指定がなければ変更されない)
・gid:結果として得られるグループid(指定がなければ変更されない)
・権限:有効なセット、許容されるセットおよび継承可能なセットに対する権限モディファイア。
(権限は、引き上げられ、引き下げられ、またはフィルタリングされ得る。
引き上げられた権限はオンに設定される。
引き下げられた権限はオフに設定される。
フィルタセット内の権限は変更されず、フィルタセット内にない権限は引き下げられる。
権限モディファイアは、それがなければシステム管理者の立場からなされ得る種々の(機密に関わる)ことを制限するために使用可能である。
権限制限は、無権限者がこれらの権限を取得しないように、「root」権能を制限するために使用可能である。)
・コンパートメント:結果として得られるコンパートメント(指定がなければ変更されない)
・chroot:プロセスをchrootする先のディレクトリ(指定がなければchrootはない)
・uid:結果として得られるユーザid(指定がなければ変更されない)
・gid:結果として得られるグループid(指定がなければ変更されない)
・権限:有効なセット、許容されるセットおよび継承可能なセットに対する権限モディファイア。
(権限は、引き上げられ、引き下げられ、またはフィルタリングされ得る。
引き上げられた権限はオンに設定される。
引き下げられた権限はオフに設定される。
フィルタセット内の権限は変更されず、フィルタセット内にない権限は引き下げられる。
権限モディファイアは、それがなければシステム管理者の立場からなされ得る種々の(機密に関わる)ことを制限するために使用可能である。
権限制限は、無権限者がこれらの権限を取得しないように、「root」権能を制限するために使用可能である。)
・コンパートメント:結果として得られるコンパートメント(指定がなければ変更されない)
・chroot:プロセスをchrootする先のディレクトリ(指定がなければchrootはない)
上記のプロセスでは、execルールは、それが適用されるプロセスを、コンパートメントidを与えることによって指定する。
ルールは、そのコンパートメントidを有するプロセスのみに適用される。
本発明のこの例示的実施形態では、execルールはファイルパスも含む。
このファイルパスは、ディレクトリまたは個別のファイルの名前であってもよい。
ファイルパスがディレクトリである場合、それは、別のexecルールのほうが「より特定的」でない限り、当該ディレクトリおよびそのサブディレクトリ内の全ファイルに適用される。
ルール衝突がある場合に「より特定的」なルールを選択するという考え方は当業者に既知であろう。
さらに、このようなルール衝突が解決され得る方法は本発明とは直接の関連性がほとんどないので、本明細書ではこれ以上説明しない。
ルールは、そのコンパートメントidを有するプロセスのみに適用される。
本発明のこの例示的実施形態では、execルールはファイルパスも含む。
このファイルパスは、ディレクトリまたは個別のファイルの名前であってもよい。
ファイルパスがディレクトリである場合、それは、別のexecルールのほうが「より特定的」でない限り、当該ディレクトリおよびそのサブディレクトリ内の全ファイルに適用される。
ルール衝突がある場合に「より特定的」なルールを選択するという考え方は当業者に既知であろう。
さらに、このようなルール衝突が解決され得る方法は本発明とは直接の関連性がほとんどないので、本明細書ではこれ以上説明しない。
また、本発明のこの例示的実施形態では、ルールのパス自体がシンボリックリンクを表すのでない限り、ルールが適用されるファイルのセットを決定する場合に、シンボリックリンクはたどられないことになる。
適用可能なexecルールを有するファイルは、呼出し側がadmin権限を持っていない限り、全コンパートメントからリードオンリにするのが好ましい。
その理由は、execルールを有するファイルは実質上、それに付与される特権を有し、変更されるファイルにこの特権が付与されるのは望ましくないからである。
場合によっては、無権限エンティティが、ファイルへのハードリンクを作成することによって、そのファイルに適用されるルールを変更することが可能であるかもしれない。
しかし、本発明のこの例示的実施形態では、不正なリンクは削除され、エラーが返される。
その理由は、execルールを有するファイルは実質上、それに付与される特権を有し、変更されるファイルにこの特権が付与されるのは望ましくないからである。
場合によっては、無権限エンティティが、ファイルへのハードリンクを作成することによって、そのファイルに適用されるルールを変更することが可能であるかもしれない。
しかし、本発明のこの例示的実施形態では、不正なリンクは削除され、エラーが返される。
execルールがどのファイルに適用されるかの正しい認識を維持するため、ファイル名前空間を変更するオペレーション、すなわち、ファイル作成、ファイル名変更、リンク作成、リンク削除、マウント、アンマウントを監視するのが好ましい。
要約すれば、execルールは、別のプログラムを呼び出した後にプロセスのセキュリティ属性を直接に指定することによって、既存のプログラムを変更することや、高信頼性ゲートウェイを使用することを不要にする。
図3のプロセスを実行するのに適した例示的装置は、論理的被保護コンピューティング環境の権限のセットをフィルタリングするフィルタリング手段を備えてもよい。
フィルタリング手段は、それらの権限のうち、フィルタリング手段によって選択される1つまたは複数の権限のみを変更する。
実行制御ルールが適用されるサービスまたはプログラムを構成するファイルの名前を変更する(システムによって実行される)オペレーションを監視する監視手段が提供されてもよい。
図3のプロセスを実行するのに適した例示的装置は、論理的被保護コンピューティング環境の権限のセットをフィルタリングするフィルタリング手段を備えてもよい。
フィルタリング手段は、それらの権限のうち、フィルタリング手段によって選択される1つまたは複数の権限のみを変更する。
実行制御ルールが適用されるサービスまたはプログラムを構成するファイルの名前を変更する(システムによって実行される)オペレーションを監視する監視手段が提供されてもよい。
実行制御ルールは、関連する論理的被保護コンピューティング環境を識別することによって、その実行制御ルールが適用されるサービスまたはプロセスを指定してもよい。
その結果、ルールは、論理的被保護コンピューティング環境を指定するサービスまたはプロセスのみに適用される。
その結果、ルールは、論理的被保護コンピューティング環境を指定するサービスまたはプロセスのみに適用される。
以上、本発明の一実施形態を単なる例として説明したが、当業者には明らかなように、添付の請求項によって規定される本発明の範囲から逸脱することなく、記載した実施形態に対して変更および変形を行うことが可能である。
10・・・高信頼性コンピューティングプラットフォーム、
12・・・スマートカードリーダ、
14・・・キーボード、
16・・・マウス、
18・・・視覚表示装置(VDU)、
20・・・マザーボード、
21・・・メインプロセッサ、
22・・・メインメモリ、
23・・・I/Oデバイス、
24・・・高信頼性デバイス、
26・・・データバス、
27・・・制御ライン、
28・・・アドレスライン、
29・・・BIOSメモリ、
12・・・スマートカードリーダ、
14・・・キーボード、
16・・・マウス、
18・・・視覚表示装置(VDU)、
20・・・マザーボード、
21・・・メインプロセッサ、
22・・・メインメモリ、
23・・・I/Oデバイス、
24・・・高信頼性デバイス、
26・・・データバス、
27・・・制御ライン、
28・・・アドレスライン、
29・・・BIOSメモリ、
Claims (17)
- 高信頼性コンピューティングプラットフォームおよび1つまたは複数の論理的被保護コンピューティング環境を備えるシステムであって、
それぞれの論理的被保護コンピューティング環境は、該システムによってサポートされる少なくとも1つのサービスまたはプロセスに関連し、
該サービスまたはプロセスが開始される時に、該少なくとも1つのサービスまたはプロセスのうちの1つまたは複数に適用されるべきセキュリティ属性を規定する所定のセキュリティポリシを規定するデータを、該高信頼性コンピューティングプラットフォーム上にロードするように構成される
システム。 - 前記ポリシは、
論理的被保護コンピューティング環境のオペレーションを制御する1つまたは複数のセキュリティルール
を含む
請求項1に記載のシステム。 - 前記論理的被保護コンピューティング環境の少なくとも1つに対する各セキュリティルールは、
前記セキュリティ属性を規定する実行制御ルール
を含む
請求項2に記載のシステム。 - 前記セキュリティ属性は、
前記サービスまたはプロセスが開始される時にそれぞれの論理的被保護コンピューティング環境に提供されるべき1つまたは複数の権限
を含む
請求項3に記載のシステム。 - 前記セキュリティ属性は、
前記サービスまたはプロセスが開始される時にそれぞれの論理的被保護コンピューティング環境の権限を変更する1つまたは複数のファンクション
を含む
請求項3に記載のシステム。 - サービスまたはプロセスが開始される時に、前記セキュリティ属性は、指定された論理的被保護コンピューティング環境内に該サービスまたはプロセスが配置されて実行されるように作用する
請求項3に記載のシステム。 - 前記セキュリティ属性は、サービスまたはプロセスが実行されるべきユーザid、グループidまたは論理的被保護コンピューティング環境を変更するように作用する
請求項3に記載のシステム。 - 前記セキュリティ属性は、前記サービスまたはプロセスがchrootされる先のディレクトリを規定するように作用する
請求項3に記載のシステム。 - 前記実行制御ルールは、指定された権限を引き上げるか、または引き下げることができる
請求項5に記載のシステム。 - 前記セキュリティ属性は、論理的被保護コンピューティング環境の権限のセットをフィルタリングし、該権限のうち該フィルタリング手段によって選択される1つまたは複数の権限のみを変更するように作用する
請求項5または9に記載のシステム。 - 前記実行制御ルールは、関連する論理的被保護コンピューティング環境を識別することによって、該実行制御ルールが適用されるサービスまたはプロセスを指定し、それによって該ルールは、該論理的被保護コンピューティング環境を指定するサービスまたはプロセスのみに適用される
請求項のいずれか請求項1〜10のいずれかに記載のシステム。 - 前記実行制御ルールが適用されるサービスまたはプロセスを構成するファイルは、リードオンリ設定である
請求項1〜11のいずれかに記載のシステム。 - 前記実行制御ルールが適用されるサービスまたはプロセスを構成するファイルの名前を変更する該システムによって実行されるオペレーションを監視する手段
を含む請求項1〜12のいずれかに記載のシステム。 - 添付図面を参照して本明細書に実質的に記載された
システム。 - 高信頼性コンピューティングプラットフォーム、および、1つまたは複数の論理的被保護コンピューティング環境を含むシステムにおいてセキュリティポリシを適用する方法であって、それぞれの論理的被保護コンピューティング環境は、該システムによってサポートされる少なくとも1つのサービスまたはプロセスに関連し、該方法は、
該論理的被保護コンピューティング環境の少なくとも1つに関連するサービスまたはプロセスを開始するステップと、
該サービスまたはプロセスの開始後に、該サービスまたはプロセスにセキュリティ属性を適用することにより該少なくとも1つの論理的被保護コンピューティング環境のオペレーションを制御するステップと
を含むセキュリティポリシを適用する方法。 - 前記属性は、実行制御ルールによって規定され、
該実行制御ルールは、前記ポリシの少なくとも一部を実施するセキュリティルールに含まれる
請求項15に記載のセキュリティポリシを適用する方法。 - 高信頼性コンピューティングプラットフォームを含むシステムにおいてセキュリティポリシを適用する方法であって、
添付図面を参照して本明細書に実質的に記載された
セキュリティポリシを適用する方法。
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| GB0307142A GB2399902A (en) | 2003-03-28 | 2003-03-28 | Security in trusted computing systems |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2004303242A true JP2004303242A (ja) | 2004-10-28 |
Family
ID=9955701
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004088736A Pending JP2004303242A (ja) | 2003-03-28 | 2004-03-25 | 高信頼性コンピューティングシステムにおけるセキュリティ属性 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US7600261B2 (ja) |
| JP (1) | JP2004303242A (ja) |
| GB (1) | GB2399902A (ja) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007026442A (ja) * | 2005-07-12 | 2007-02-01 | Internatl Business Mach Corp <Ibm> | トラステッド・コンピューティング・プラットフォームにおいて動的に生成された裏書き鍵に対する仮想裏書きクレデンシャルを設定するための方法、装置、およびコンピュータ・プログラム |
| JP2010092465A (ja) * | 2008-10-06 | 2010-04-22 | Internatl Business Mach Corp <Ibm> | ハードウェア・ベースの強制アクセス制御 |
Families Citing this family (12)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4376233B2 (ja) * | 2005-02-04 | 2009-12-02 | 株式会社エヌ・ティ・ティ・ドコモ | クライアント装置、デバイス検証装置及び検証方法 |
| WO2007083299A2 (en) | 2006-01-17 | 2007-07-26 | Kidaro (Israel) Ltd. | Seamless integration of multiple computing environments |
| CN101512490B (zh) * | 2006-01-17 | 2013-11-20 | 基达罗(以色列)有限公司 | 在网络化环境中保护数据安全 |
| GB0623101D0 (en) * | 2006-11-20 | 2006-12-27 | British Telecomm | Secure network architecture |
| US7747024B2 (en) | 2007-02-09 | 2010-06-29 | Lenovo (Singapore) Pte. Ltd. | System and method for generalized authentication |
| JP4907603B2 (ja) * | 2007-06-27 | 2012-04-04 | ヒューレット−パッカード デベロップメント カンパニー エル.ピー. | アクセス制御システムおよびアクセス制御方法 |
| US8719830B2 (en) * | 2007-12-10 | 2014-05-06 | Hewlett-Packard Development Company, L.P. | System and method for allowing executing application in compartment that allow access to resources |
| US8285984B2 (en) | 2010-07-29 | 2012-10-09 | Sypris Electronics, Llc | Secure network extension device and method |
| GB201105222D0 (en) * | 2011-03-29 | 2011-05-11 | Becrypt Ltd | Dual environment computing system and method and system for providing a dual environment computing system |
| US9218462B2 (en) * | 2012-04-25 | 2015-12-22 | Hewlett Packard Enterprise Development Lp | Authentication using lights-out management credentials |
| US8938796B2 (en) | 2012-09-20 | 2015-01-20 | Paul Case, SR. | Case secure computer architecture |
| CN103023922B (zh) * | 2012-12-05 | 2014-07-02 | 清华大学 | 基于控制流模型行为的动态远程证明方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH1083310A (ja) * | 1996-06-11 | 1998-03-31 | Internatl Business Mach Corp <Ibm> | プログラム・コードの配布方法及びシステム |
| JPH1091427A (ja) * | 1996-06-11 | 1998-04-10 | Internatl Business Mach Corp <Ibm> | 署名入り内容の使用の安全を保証する方法及びシステム |
| WO2002061552A1 (en) * | 2001-01-31 | 2002-08-08 | Hewlett-Packard Company | Trusted gateway system |
| WO2002086684A2 (en) * | 2001-04-24 | 2002-10-31 | Hewlett-Packard Company | An information security system |
Family Cites Families (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5915085A (en) * | 1997-02-28 | 1999-06-22 | International Business Machines Corporation | Multiple resource or security contexts in a multithreaded application |
| US6389534B1 (en) * | 1997-06-30 | 2002-05-14 | Taher Elgamal | Cryptographic policy filters and policy control method and apparatus |
| GB9905056D0 (en) | 1999-03-05 | 1999-04-28 | Hewlett Packard Co | Computing apparatus & methods of operating computer apparatus |
| WO2000048063A1 (en) * | 1999-02-15 | 2000-08-17 | Hewlett-Packard Company | Trusted computing platform |
| EP1085396A1 (en) * | 1999-09-17 | 2001-03-21 | Hewlett-Packard Company | Operation of trusted state in computing platform |
| US6430561B1 (en) * | 1999-10-29 | 2002-08-06 | International Business Machines Corporation | Security policy for protection of files on a storage device |
| MXPA02012728A (es) * | 2000-07-05 | 2004-09-10 | Ernst & Young Llp | Metodo y aparato para proporcionar servicios de computadora. |
| GB0020438D0 (en) * | 2000-08-18 | 2000-10-04 | Hewlett Packard Co | Security apparatus |
| JP3790661B2 (ja) * | 2000-09-08 | 2006-06-28 | インターナショナル・ビジネス・マシーンズ・コーポレーション | アクセス制御システム |
| JP4089171B2 (ja) * | 2001-04-24 | 2008-05-28 | 株式会社日立製作所 | 計算機システム |
| US7073059B2 (en) * | 2001-06-08 | 2006-07-04 | Hewlett-Packard Development Company, L.P. | Secure machine platform that interfaces to operating systems and customized control programs |
| GB2376761A (en) * | 2001-06-19 | 2002-12-24 | Hewlett Packard Co | An arrangement in which a process is run on a host operating system but may be switched to a guest system if it poses a security risk |
| GB2376764B (en) | 2001-06-19 | 2004-12-29 | Hewlett Packard Co | Multiple trusted computing environments |
| US7962950B2 (en) * | 2001-06-29 | 2011-06-14 | Hewlett-Packard Development Company, L.P. | System and method for file system mandatory access control |
| US7272832B2 (en) * | 2001-10-25 | 2007-09-18 | Hewlett-Packard Development Company, L.P. | Method of protecting user process data in a secure platform inaccessible to the operating system and other tasks on top of the secure platform |
| US7343493B2 (en) * | 2002-03-28 | 2008-03-11 | Lenovo (Singapore) Pte. Ltd. | Encrypted file system using TCPA |
| US7216369B2 (en) * | 2002-06-28 | 2007-05-08 | Intel Corporation | Trusted platform apparatus, system, and method |
| US20040064457A1 (en) * | 2002-09-27 | 2004-04-01 | Zimmer Vincent J. | Mechanism for providing both a secure and attested boot |
-
2003
- 2003-03-28 GB GB0307142A patent/GB2399902A/en not_active Withdrawn
-
2004
- 2004-03-25 JP JP2004088736A patent/JP2004303242A/ja active Pending
- 2004-03-26 US US10/810,308 patent/US7600261B2/en active Active
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPH1083310A (ja) * | 1996-06-11 | 1998-03-31 | Internatl Business Mach Corp <Ibm> | プログラム・コードの配布方法及びシステム |
| JPH1091427A (ja) * | 1996-06-11 | 1998-04-10 | Internatl Business Mach Corp <Ibm> | 署名入り内容の使用の安全を保証する方法及びシステム |
| WO2002061552A1 (en) * | 2001-01-31 | 2002-08-08 | Hewlett-Packard Company | Trusted gateway system |
| WO2002086684A2 (en) * | 2001-04-24 | 2002-10-31 | Hewlett-Packard Company | An information security system |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007026442A (ja) * | 2005-07-12 | 2007-02-01 | Internatl Business Mach Corp <Ibm> | トラステッド・コンピューティング・プラットフォームにおいて動的に生成された裏書き鍵に対する仮想裏書きクレデンシャルを設定するための方法、装置、およびコンピュータ・プログラム |
| US8549592B2 (en) | 2005-07-12 | 2013-10-01 | International Business Machines Corporation | Establishing virtual endorsement credentials for dynamically generated endorsement keys in a trusted computing platform |
| JP2010092465A (ja) * | 2008-10-06 | 2010-04-22 | Internatl Business Mach Corp <Ibm> | ハードウェア・ベースの強制アクセス制御 |
| US10802990B2 (en) | 2008-10-06 | 2020-10-13 | International Business Machines Corporation | Hardware based mandatory access control |
Also Published As
| Publication number | Publication date |
|---|---|
| US20050028003A1 (en) | 2005-02-03 |
| GB0307142D0 (en) | 2003-04-30 |
| GB2399902A (en) | 2004-09-29 |
| US7600261B2 (en) | 2009-10-06 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9734441B2 (en) | Computer device and method for isolating untrusted content | |
| US8646044B2 (en) | Mandatory integrity control | |
| US7516477B2 (en) | Method and system for ensuring that computer programs are trustworthy | |
| EP2939390B1 (en) | Processing device and method of operation thereof | |
| US20100175104A1 (en) | Safe and secure program execution framework with guest application space | |
| US11797664B2 (en) | Computer device and method for controlling process components | |
| US10078751B2 (en) | Computer device and method for controlling untrusted access to a peripheral device | |
| US11797704B2 (en) | Managing privilege delegation on a computer device | |
| US10986137B2 (en) | Clipboard hardening | |
| JP2004303242A (ja) | 高信頼性コンピューティングシステムにおけるセキュリティ属性 | |
| US20240338488A1 (en) | Managing registry access on a computer device | |
| US20150358357A1 (en) | Processing device and method of operation thereof | |
| US11677754B2 (en) | Access control systems and methods | |
| US11301228B2 (en) | Managing removal and modification of installed programs on a computer device | |
| US8612755B2 (en) | Security policy in trusted computing systems | |
| EP2840755A1 (en) | Processing device and method of operation thereof | |
| US20230198997A1 (en) | Access control systems and methods | |
| CN112784263B (zh) | 位元锁磁盘处理程序管理系统与方法 | |
| Gosselin et al. | Confining the apache web server with security-enhanced linux | |
| Rahalkar et al. | Operating System Basics | |
| EP2840754A1 (en) | Processing device and method of operation thereof |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20070105 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070405 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20070608 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20070904 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20070904 |
|
| A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20071010 |
|
| A912 | Re-examination (zenchi) completed and case transferred to appeal board |
Free format text: JAPANESE INTERMEDIATE CODE: A912 Effective date: 20080418 |