JP2005531831A - 保護されたファイルシステムを有する移動体無線デバイス - Google Patents
保護されたファイルシステムを有する移動体無線デバイス Download PDFInfo
- Publication number
- JP2005531831A JP2005531831A JP2004507970A JP2004507970A JP2005531831A JP 2005531831 A JP2005531831 A JP 2005531831A JP 2004507970 A JP2004507970 A JP 2004507970A JP 2004507970 A JP2004507970 A JP 2004507970A JP 2005531831 A JP2005531831 A JP 2005531831A
- Authority
- JP
- Japan
- Prior art keywords
- file
- access
- subtree
- operating system
- root
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Computer Hardware Design (AREA)
- Health & Medical Sciences (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Databases & Information Systems (AREA)
- Storage Device Security (AREA)
- Information Transfer Between Computers (AREA)
Abstract
多数のルートディレクトリに区分されたファイルシステムでプログラムされた移動体無線デバイス。ファイルシステムの区分化は、プロセスがアクセスすべきでないあらゆるファイルを見るのを防ぐので、プロセスを囲うことである。信頼性のあるコンピューティング・ベースは、プロセスがルートのサブツリーにアクセスする権限又は能力を有しているか否かをチェックする。中にファイルが配置される特別なディレクトリは、様々なプロセスについてのアクセシビリティを自動的に決定する−すなわち、プロセスは特定のルートディレクトリ内にあるファイルだけにアクセスできる。この手法は負荷が軽い、なぜなら、プロセスがファイルについての自身のアクセス権を求めるために、そのファイルに関連したアクセス制御リストに問い合わせる必要が無い−ファイルの位置はプロセスのアクセス能力と共に、本質的にプロセスに対するファイルのアクセシビリティを定義している。本発明の別の態様では、各プロセスが、機密性と自身のデータの完全性を保証する、ファイルシステムの自身の専用領域を有していても良い。
Description
本発明は、保護されたファイルシステムを有する移動体無線デバイスに関する。該保護されたファイルシステムは、プラットフォーム・セキュリティ・アーキテクチャの要素をなす。
プラットフォームのセキュリティ(安全保証)は、考え方、アーキテクチャ及び悪意のある或いは誤って書かれたコードに対するプラットフォーム防御メカニズムに渡る。これら防御メカニズムは、そのようなコードが損害を生じさせるのを防止する。一般に悪意のあるコードは、損害を与える負荷メカニズムと、それが広がるのを助長する伝播メカニズムとの2つの構成要素を有している。それらは通常以下のように分類される。
トロイの木馬:悪意が無くユーザにとって魅力的な、正当なアプリケーションのように見せかける。
ワーム:その加害者又はユーザによる更なるマニュアル動作なしに複製し広がることができる。
ウィルス:正当なプログラムに侵入し、データを変更又は破壊する。
ワーム:その加害者又はユーザによる更なるマニュアル動作なしに複製し広がることができる。
ウィルス:正当なプログラムに侵入し、データを変更又は破壊する。
セキュリティに対する脅威は、(a)価値連鎖における機密性、完全性又はサービスやデータの有用性、及びサービスの完全性の潜在的な侵害と、(b)サービス機能の低下とを含む。セキュリティの脅威は以下のカテゴリに分類される:
1.データの機密性及び完全性に対する脅威。例:ユーザのパスワードの入手;ファイルの改竄。
2.サービスの機密性及び完全性に対する脅威。例:使用料金を支払わない電話網加入者の帯域幅の使用;ネットワークサービスプロバイダとのデータ処理を拒絶する。
3.サービスの有用性に対する脅威(サービス拒否とも呼ばれる)。例:ユーザがテキストのメッセージを送信するのを阻む;ユーザが電話呼を受け付けるのを阻む。
1.データの機密性及び完全性に対する脅威。例:ユーザのパスワードの入手;ファイルの改竄。
2.サービスの機密性及び完全性に対する脅威。例:使用料金を支払わない電話網加入者の帯域幅の使用;ネットワークサービスプロバイダとのデータ処理を拒絶する。
3.サービスの有用性に対する脅威(サービス拒否とも呼ばれる)。例:ユーザがテキストのメッセージを送信するのを阻む;ユーザが電話呼を受け付けるのを阻む。
従って、移動体無線デバイスは、非常に難しい課題をセキュリティ・アーキテクチャの設計者にもたらす。この課題の重要な側面は、悪意のあるアプリケーションが機密データ(例えば、PINなど)を読み出すのを防止するため、及びファイルシステムの完全性を維持するために、ファイルシステムを有効に保護することである。しかしながら、今日まで、移動体無線デバイスのファイルシステムを保護する有効な提案はない。
本発明の第1の態様では、移動体無線デバイスが、複数のルートディレクトリで区分されており、ファイルの位置がそのアクセスポリシー(すなわち、どのプロセスがそのファイルにアクセスできるか)を十分に定義するように定められている、ファイルシステムでプログラムされる。この方法でのファイルシステムの区分化は、アクセスされてはならないものからあらゆるファイルが見られるのを防止するので、「囲い込み或いはケージング」プロセスと呼ぶ。(生来実行可能なコードを含むプログラムが一旦メモリにロードされると、それは「プロセス」となる;従ってプロセスは、ファイルシステム上に格納された、生来実行可能なコードを含むプログラムの実行中のメモリイメージである。)「信頼性のあるコンピューティング・ベース」(壊すことができず、デバイスの完全性を保証する構成要素をカバーするものと理解されたい;実施については詳細な説明のセクション1.1を参照せよ)のような信頼性のある構成要素は、ルートのサブツリー(例えば、サブディレクトリ内のファイル)にアクセスするために必要な特権又は「能力(capability)」(「能力」の説明については詳細な説明のセクション2を参照せよ)を、プロセスが有しているか否かを検証する。
上記のように、安全なオペレーティングシステムは、自身の完全性並びにユーザデータの機密性を保証するために、ファイルシステムへのアクセスを制御する必要がある。本発明によれば、中にファイルが設置される特定のディレクトリは、異なるプロセスについての自身のアクセシビリティ−すなわち、あるプロセスは特定のルートディレクトリ内のファイルだけにアクセスできる、を自動的に決定する。この手法は負荷が軽い、なぜなら、プロセスがファイルについての自身のアクセス権を求めるために、そのファイルに関連したアクセス制御リストに問い合わせる必要が無い−ファイルの位置はプロセスのアクセス能力と共に、本質的にプロセスに対するファイルのアクセシビリティを定義している。従って、ファイルシステム内でファイルの位置を(例えば、ルートディレクトリ間で)移動させると、そのファイルのアクセスポリシーを変更できる。
また、各プロセスが、機密性と自身のデータの完全性を保証する、ファイルシステムの自身の専用領域を有していても良い。
本発明の考えられる実施形態の1つ(以下、本明細書では実施形態Aと呼ぶ)では、ファイルは4つのタイプのルートディレクトリ(或いはそれらの機能的等価物)、すなわち、
/system
/private/<process_secure_id>
/resources
/<others>
内に配置される。
/system
/private/<process_secure_id>
/resources
/<others>
内に配置される。
/systemは、ルートのオペレーティングシステム特権又は能力(「能力」の概念については詳細な説明のセクション2で述べられている)が許可されたあらゆるプロセスによってアクセス可能である。'Root'又は'AllFiles'の能力が割り当てられたプロセスだけが/systemのサブツリー内にあるファイルを見ることができ、'Root'が割り当てられたプロセスだけがそれらを変更できる。
/private/<process_secure_id>は、process_secure_idに安全用識別子が割り当てられたあらゆるプロセス、並びに'Root'又は'AllFiles'の能力が許可されたプロセスによって利用可能である。プロセスのSID(安全用識別子)は、OSで実行可能であり関連する実行可能部分に格納されるコードの一部を一意に識別する方法である。この実行可能部分は/systemの下に格納され、ルートのオペレーティングシステム権限が無いとプロセスによって変更され得ない。プロセスがファイルにアクセスしようとするとき、システムサーバはそのSID及びその権限をチェックして、アクセスを許可するか否認するか決定する。
/resourceは、一般に読み取り専用である;信頼性のあるコンピューティング・ベース(TCB)だけが追加、削除、変更を行える。ある実施形態ではTCBは、カーネル、ローダ、ファイルサーバ及びソフトウエア・インストーラを備えている。
/<others>は、ファイルの読み取り及び書き込み動作、ファイルの生成、並びに削除があらゆるプロセスで利用可能である。
別の実施形態では、既存のファイルシステムの完全性に悪影響を与えること(compromising)無しに、新たなアプリケーションとそれらのファイルとをインストールするのを受け持つ、ソフトウエア・インストーラでプログラムされている、「開いた」移動体無線デバイスが提供される。ファイルはそれらのタイプ、それらの位置(公のディレクトリ)及びプログラムの安全用識別子(SID)に従って生成又は更新される(詳細な説明の3.3を参照せよ)。
別の態様では、プログラムが別のプログラムの専用ディレクトリに悪影響を与えずに、それに寄与することを可能とする、ファイル・インストレーション・メカニズムを備えているオペレーティングシステムが提供される。
以下、本発明を、単一ユーザの無線デバイス用に設計された、オブジェクト指向のオペレーティング・システムであるシンビアンOSのセキュリティ・アーキテクチャを参照して説明する。シンビアンOSは、英国のロンドンにあるシンビアン リミテッドによって移動体無線デバイス用に開発された。
シンビアンOSのセキュリティ・アーキテクチャの基本的概要は、中世の城の防御と類似している。同様な方式で、該OSはインストレーション周囲の上及び離れた位置に単純なジグザグ状のセキュリティ層を用いる。このモデルが対処しようとするキーとなる脅威は、ユーザデータ及びシステムサービス、より詳細には電話スタックへの未認証アクセスと結びついた脅威である。電話スタックは、電話網への恒久的な接続を制御するので、スマートフォンとの関連で特に重要である。このモデルの裏には2つのキーとなる設計を駆り立てるものがある:
・能力ベースのアクセス制御を用いたキーとなるシステムリソースのファイアウォールでの保護。
・標準的なソフトウエアがアクセスできない、ファイルシステムの保護された部分を生成するデータの区分化(partitioning)。
・能力ベースのアクセス制御を用いたキーとなるシステムリソースのファイアウォールでの保護。
・標準的なソフトウエアがアクセスできない、ファイルシステムの保護された部分を生成するデータの区分化(partitioning)。
以下で説明する能力モデルの主要な概念は、ユーザができることではなくプロセスができることを制御することである。この手法はWindows NT(登録商標)やUnix(登録商標)のような周知のオペレーティング・システムとは極めて異なっている。その主な理由は:
−シンビアンOSは元々本質的に単一ユーザである。
−シンビアンOSは独立したサーバ・プロセスを通じてサービスを提供する。それらは常に実行されておりユーザセッションに伴わない。電力が供給されている限り、ログオンするユーザが居なくてもシンビアンOSは常に動作中である。
−シンビアンOSは技術的知識の無い大衆に使用されるデバイスで使用されるのを目的としている。ソフトウエアをインストールするとき、ユーザはアプリケーションに何を許可するのかを決定するスキルが無くてもよい。その上、常時接続のデバイスでは、誤った或いは悪意のある決定はデバイス自体よりも大きな領域に影響を与えるかもしれない。
−シンビアンOSは元々本質的に単一ユーザである。
−シンビアンOSは独立したサーバ・プロセスを通じてサービスを提供する。それらは常に実行されておりユーザセッションに伴わない。電力が供給されている限り、ログオンするユーザが居なくてもシンビアンOSは常に動作中である。
−シンビアンOSは技術的知識の無い大衆に使用されるデバイスで使用されるのを目的としている。ソフトウエアをインストールするとき、ユーザはアプリケーションに何を許可するのかを決定するスキルが無くてもよい。その上、常時接続のデバイスでは、誤った或いは悪意のある決定はデバイス自体よりも大きな領域に影響を与えるかもしれない。
1 信頼性のあるコンピューティング・プラットフォーム
1.1 信頼性のあるコンピューティング・ベース
信頼性のあるコンピューティング・ベース(TCB)は、頑健なプラットフォーム・セキュリティについての基本的構成要件である。信頼性のあるコンピューティング・ベースは、壊すことができずデバイスの完全性を保証するいくつかの構成要素からなる。このベースをできるだけ小さく保つことと、システムサーバ及びアプリケーションが使用する必要のない特権を与えられなくてもよいのを保証すべく、最小特権の原則を適用することが重要である。閉じたデバイス上では、TCBはカーネル、ローダ及びファイルサーバからなり;開いたデバイス上ではソフトウエア・インストーラも必要となる。これら全てのプロセスはシステムに渡って信頼性があり、そのためデバイスに対してフルアクセスを有している。この信頼性のあるコアは、他のプラットフォーム・コードで利用できない「ルート」能力で実行される(セクション2.1を参照せよ)。
1.1 信頼性のあるコンピューティング・ベース
信頼性のあるコンピューティング・ベース(TCB)は、頑健なプラットフォーム・セキュリティについての基本的構成要件である。信頼性のあるコンピューティング・ベースは、壊すことができずデバイスの完全性を保証するいくつかの構成要素からなる。このベースをできるだけ小さく保つことと、システムサーバ及びアプリケーションが使用する必要のない特権を与えられなくてもよいのを保証すべく、最小特権の原則を適用することが重要である。閉じたデバイス上では、TCBはカーネル、ローダ及びファイルサーバからなり;開いたデバイス上ではソフトウエア・インストーラも必要となる。これら全てのプロセスはシステムに渡って信頼性があり、そのためデバイスに対してフルアクセスを有している。この信頼性のあるコアは、他のプラットフォーム・コードで利用できない「ルート」能力で実行される(セクション2.1を参照せよ)。
本発明の範囲外に、信頼性のあるコンピューティング・ベースの完全性を維持するのに重要な他の1つの構成要素、すなわち、ハードウエアがある。特に、信頼性のあるコンピューティング・ベース機能をフラッシュROM内に保持するデバイスでは、信頼性のあるコンピューティング・ベースを悪意のあるROMイメージで壊すことができないのを保証すべく、安全なブートローダを提供する必要がある。
1.2 信頼性のあるコンピューティング環境
コア以外の、他のシステムの構成要素が、限定された直交する(orthogonal)システム能力を与えられ、信頼性のあるコンピューティング環境(TCE)を構成するであろう;それらには電話サーバ及びウインドウサーバのようなシステムサーバが含まれる。例えば、ウインドウサーバには電話スタックのアクセス能力は与えられず、電話サーバにはキーボード・イベントへの直接アクセス能力は与えられないであろう。これらの特権の何らかの誤用による損害の可能性を制限するために、ソフトウエア・コンポーネントに与えるシステム能力をできるだけ少なくすることを強く勧める。
コア以外の、他のシステムの構成要素が、限定された直交する(orthogonal)システム能力を与えられ、信頼性のあるコンピューティング環境(TCE)を構成するであろう;それらには電話サーバ及びウインドウサーバのようなシステムサーバが含まれる。例えば、ウインドウサーバには電話スタックのアクセス能力は与えられず、電話サーバにはキーボード・イベントへの直接アクセス能力は与えられないであろう。これらの特権の何らかの誤用による損害の可能性を制限するために、ソフトウエア・コンポーネントに与えるシステム能力をできるだけ少なくすることを強く勧める。
TCEの各要素が1つのサービスの完全性を保証するので、TCBはシステム全体の完全性を保証する。TCEはTCBなしには存在し得ないが、TCBはそれ自体で各プロセスに安全な「砂箱(ユーティティ機能:sand box)」を保証することで存在し得る。
2 プロセス能力
能力(capability)は、慎重に扱うべき動作に着手する許可に対応するアクセス・トークンとして考えられる。能力モデルの目的は、慎重に扱うべきシステムリソースへのアクセスを制御することである。アクセス制御を必要とする最も重要なリソースはカーネル管理(kernel executive)自体であり、クライアントがカーネルAPIを通じて特定の機能にアクセスするにはシステム能力(セクション2.1を参照せよ)が必要とされる。他の全てのリソースは、IPC(Inter Process Communication)を介してアクセスされるユーザ側のサーバにある。サーバ上でのクライアントの特定の動作を監視するためには、基本的能力の小さなセットが定義されるであろう。例えば、発呼能力の所有は、クライアントが電話サーバを使用するのを許可するであろう。能力が表すリソースへのクライアントのアクセスを監視するのは、対応するサーバが責任を持つであろう。能力はまた、各ライブラリ(DLL)及びプログラム(EXE)にも関連し、カーネルによって保持されるであろう実際のプロセス能力を生成するために実行時にローダによって組み合わされるであろう。開いたデバイスでは、サードパーティのソフトウエアには、それらのインストール用パッケージへのサインに使用される認証に基づいたソフトウエアのインストールの間、或いはソフトウエアのインストールの後にユーザによって、のいずれかで能力が割り当てられるであろう。能力の監視は、ローダ、カーネル及び影響を受けるサーバの間で管理されるが、IPCメカニズムを通じてカーネルによって調停されるであろう。
能力(capability)は、慎重に扱うべき動作に着手する許可に対応するアクセス・トークンとして考えられる。能力モデルの目的は、慎重に扱うべきシステムリソースへのアクセスを制御することである。アクセス制御を必要とする最も重要なリソースはカーネル管理(kernel executive)自体であり、クライアントがカーネルAPIを通じて特定の機能にアクセスするにはシステム能力(セクション2.1を参照せよ)が必要とされる。他の全てのリソースは、IPC(Inter Process Communication)を介してアクセスされるユーザ側のサーバにある。サーバ上でのクライアントの特定の動作を監視するためには、基本的能力の小さなセットが定義されるであろう。例えば、発呼能力の所有は、クライアントが電話サーバを使用するのを許可するであろう。能力が表すリソースへのクライアントのアクセスを監視するのは、対応するサーバが責任を持つであろう。能力はまた、各ライブラリ(DLL)及びプログラム(EXE)にも関連し、カーネルによって保持されるであろう実際のプロセス能力を生成するために実行時にローダによって組み合わされるであろう。開いたデバイスでは、サードパーティのソフトウエアには、それらのインストール用パッケージへのサインに使用される認証に基づいたソフトウエアのインストールの間、或いはソフトウエアのインストールの後にユーザによって、のいずれかで能力が割り当てられるであろう。能力の監視は、ローダ、カーネル及び影響を受けるサーバの間で管理されるが、IPCメカニズムを通じてカーネルによって調停されるであろう。
プロセス能力モデルのキーとなる特徴は:
・主としてシステムサーバ及びそれらのエンティティ間のクライアント−サーバIPCインタラクションの周りに注目している。
・能力はスレッドではなくプロセスに関連している。同じプロセス内のスレッドは、同じアドレス空間及びメモリアクセス許可を共有する。これは1つのスレッドで使用されているあらゆるデータは、同じプロセス内の他の全てのスレッドによって読み出され変更され得ることを意味する。
・能力の監視はローダ及びカーネルによって、及びターゲット・サーバでの能力監視を通じて管理される。カーネルIPCメカニズムは後者に関連する。
・コードが実行中でないとき、能力はライブラリ及びプログラム内部に格納される。ライブラリ及びプログラムに格納された能力は、インストールの間に信頼性のあるコンピューティング・ベースによってのみアクセス可能な位置に格納されるので、変更可能ではない。
・クライアントの能力を扱う必要があるのは全てのサーバではない。サーバはそれらが所望するのに応じて能力を解釈するのを受け持つ。
・この方式に関連する唯一の暗号化は、好適なルート認証に対する認証のチェックが外されるソフトウエアのインストール段階であろう。
・主としてシステムサーバ及びそれらのエンティティ間のクライアント−サーバIPCインタラクションの周りに注目している。
・能力はスレッドではなくプロセスに関連している。同じプロセス内のスレッドは、同じアドレス空間及びメモリアクセス許可を共有する。これは1つのスレッドで使用されているあらゆるデータは、同じプロセス内の他の全てのスレッドによって読み出され変更され得ることを意味する。
・能力の監視はローダ及びカーネルによって、及びターゲット・サーバでの能力監視を通じて管理される。カーネルIPCメカニズムは後者に関連する。
・コードが実行中でないとき、能力はライブラリ及びプログラム内部に格納される。ライブラリ及びプログラムに格納された能力は、インストールの間に信頼性のあるコンピューティング・ベースによってのみアクセス可能な位置に格納されるので、変更可能ではない。
・クライアントの能力を扱う必要があるのは全てのサーバではない。サーバはそれらが所望するのに応じて能力を解釈するのを受け持つ。
・この方式に関連する唯一の暗号化は、好適なルート認証に対する認証のチェックが外されるソフトウエアのインストール段階であろう。
2.1 システム能力:デバイスの完全性の保護
ルート、“全てのファイルへのフルアクセス−実行可能に関連する能力を変更できる”
“ルート”能力−信頼性のあるコンピューティング・ベースだけに使用され、デバイス内の全てのファイルへのフルアクセスを提供する。
ルート、“全てのファイルへのフルアクセス−実行可能に関連する能力を変更できる”
“ルート”能力−信頼性のあるコンピューティング・ベースだけに使用され、デバイス内の全てのファイルへのフルアクセスを提供する。
システム能力
いくつかのシステムは、信頼性のあるコンピューティング・ベースにいくつかの特定のアクセスを必要とする。シンビアンOSのオブジェクト指向の実施により、システムサーバによって要求されるリソースの種類は、それに独占される時間が大部分である。従って、1つのシステムサーバは、別のシステムサーバによって要求されるシステム能力と直交するいくつかのシステム能力を許可されるであろう。例えば、ウインドウサーバは、カーネルによって発行されるキーボード及びペンのイベントへのアクセスを許可されるであろうが、電話スタックへのアクセスは許可されないであろう。同様に、電話サーバは、電話スタックへのアクセスは許可されるであろうが、カーネルからのイベントを収集するのは許可されないであろう。
いくつかのシステムは、信頼性のあるコンピューティング・ベースにいくつかの特定のアクセスを必要とする。シンビアンOSのオブジェクト指向の実施により、システムサーバによって要求されるリソースの種類は、それに独占される時間が大部分である。従って、1つのシステムサーバは、別のシステムサーバによって要求されるシステム能力と直交するいくつかのシステム能力を許可されるであろう。例えば、ウインドウサーバは、カーネルによって発行されるキーボード及びペンのイベントへのアクセスを許可されるであろうが、電話スタックへのアクセスは許可されないであろう。同様に、電話サーバは、電話スタックへのアクセスは許可されるであろうが、カーネルからのイベントを収集するのは許可されないであろう。
1例として、以下のように命名することができる:
WriteSystemData システム・コンフィグレーションのデータの変更を許可
CommDD 全ての通信及びイーサネット(登録商標)・カード・デバイスドライバへのアクセスを許可
DiskAdmin ディス上の管理タスク(再フォーマット、ドライブのリネーム等)を実行できる。
WriteSystemData システム・コンフィグレーションのデータの変更を許可
CommDD 全ての通信及びイーサネット(登録商標)・カード・デバイスドライバへのアクセスを許可
DiskAdmin ディス上の管理タスク(再フォーマット、ドライブのリネーム等)を実行できる。
2.2 ユーザに公開される能力:現実世界へのマッピング許可
能力を生成するプロセスは難しくても良い。最初に監視を必要とするこれらのアクセスを識別し、その後これらの要件をユーザにとって意味のある何かにマッピングする必要がある。加えて、大きな能力は複雑さがより大きいことを意味し、複雑さは安全性の主要な敵であると広く認識されている。従って、能力に基づく解決策は、配備される全体数を少なくしようと努める必要がある。以下の例は、システムサービス(例えば、電話スタック)への未認証アクセスである主な脅威と、ユーザデータの機密性/完全性の保護とをかなり広くマッピングしている。
能力を生成するプロセスは難しくても良い。最初に監視を必要とするこれらのアクセスを識別し、その後これらの要件をユーザにとって意味のある何かにマッピングする必要がある。加えて、大きな能力は複雑さがより大きいことを意味し、複雑さは安全性の主要な敵であると広く認識されている。従って、能力に基づく解決策は、配備される全体数を少なくしようと努める必要がある。以下の例は、システムサービス(例えば、電話スタック)への未認証アクセスである主な脅威と、ユーザデータの機密性/完全性の保護とをかなり広くマッピングしている。
PhoneNetwork.“電話網サービスにアクセスでき、ユーザのお金を使う可能性がある”
“電話をかける”
“ショートテキストメッセージを送信する”
WriteUserData.“ユーザの個人情報を読み出して変更できる”
“連絡先の追加”
“約束(Appointment)の削除”
ReadUserData.“ユーザの個人情報を読み出せる”
“連絡先データへのアクセス”
“予定(Agenda)データへのアクセス”
LocalNetwork.“ローカルネットワークへアクセスできる”
“ブルートゥースメッセージの送信”
“IR接続の確立”
“USB接続の確立”
Location.“デバイスの現在位置へのアクセス”
“地図上でのデバイスの位置決め”
“もっとも近いレストラン及び映画館の表示”。
“電話をかける”
“ショートテキストメッセージを送信する”
WriteUserData.“ユーザの個人情報を読み出して変更できる”
“連絡先の追加”
“約束(Appointment)の削除”
ReadUserData.“ユーザの個人情報を読み出せる”
“連絡先データへのアクセス”
“予定(Agenda)データへのアクセス”
LocalNetwork.“ローカルネットワークへアクセスできる”
“ブルートゥースメッセージの送信”
“IR接続の確立”
“USB接続の確立”
Location.“デバイスの現在位置へのアクセス”
“地図上でのデバイスの位置決め”
“もっとも近いレストラン及び映画館の表示”。
ルート及びシステム能力は必須である;実行可能に許可されていない場合、デバイスのユーザはそれを行うのを決めることができない。それらの厳格な制御は信頼性のあるコンピューティング・プラットフォームの完全性を保証する。しかしながら、ユーザに公開された能力をサーバがチェックしたり解釈する方法は、十分に柔軟でユーザが任意に決定できても良い。
2.3 プロセスへの能力の割り当て
実行時の能力とプロセスとの関係はローダに関わっている。本質的には、ローダは個々のライブラリ及びプログラムに関連した静的能力の設定を、カーネルが保持しカーネルのユーザライブラリAPIを通して照会され得る実行時の能力に変換する。
実行時の能力とプロセスとの関係はローダに関わっている。本質的には、ローダは個々のライブラリ及びプログラムに関連した静的能力の設定を、カーネルが保持しカーネルのユーザライブラリAPIを通して照会され得る実行時の能力に変換する。
ローダは以下の規則を適用する。
規則1.プログラムからプロセスを生成するとき、ローダはそのプログラムの能力として同じ能力のセットを割り当てる。
規則2.実行可能なものの中でライブラリをロードしているとき、ライブラリの能力はロードしている実行可能なものの能力のセットと等しいか大きく設定する必要がある。これが真でない場合、そのライブラリはその実行可能なものにロードされない。
規則3.実行可能なものはより高い能力のライブラリをロードできるが、そうすることによって能力は取得できない。
規則4.ローダは、TCBに確保されたファイルシステムのデータが囲われた部分にないあらゆる実行可能なものをロードするのを拒否する。
規則1.プログラムからプロセスを生成するとき、ローダはそのプログラムの能力として同じ能力のセットを割り当てる。
規則2.実行可能なものの中でライブラリをロードしているとき、ライブラリの能力はロードしている実行可能なものの能力のセットと等しいか大きく設定する必要がある。これが真でない場合、そのライブラリはその実行可能なものにロードされない。
規則3.実行可能なものはより高い能力のライブラリをロードできるが、そうすることによって能力は取得できない。
規則4.ローダは、TCBに確保されたファイルシステムのデータが囲われた部分にないあらゆる実行可能なものをロードするのを拒否する。
以下の点に注意されたい:
・ライブラリの能力はロードの時点でだけチェックされる。その上で、ライブラリに含まれる全てのコードは自由に実行され、同じIPC呼び出しを開始するときに、それが中で実行されるプログラムと同じ能力のセットが割り当てられる。
・定位置での実行用のROMイメージについては、ROM書き込みツールは、全てのシンボルが実行時のローダと同じタスクを行うことを決定する。従って、ROMに書き込むときに、ROM書き込みツールはローダと同じ規則を適用する必要がある。
これらの規則は、
・例えば、システムサーバへのプラグインなどの、慎重に扱うべきプロセス内で異常なものがロードされるのを防ぐ。
・あらゆるバイパスなしにプロセス内部の慎重に扱うべきコードのカプセル化を促進する。
以下の例は、静的及び動的にロードされたライブラリそれぞれの場合に、これらの規則がどのように適用されるのかを示している。
・ライブラリの能力はロードの時点でだけチェックされる。その上で、ライブラリに含まれる全てのコードは自由に実行され、同じIPC呼び出しを開始するときに、それが中で実行されるプログラムと同じ能力のセットが割り当てられる。
・定位置での実行用のROMイメージについては、ROM書き込みツールは、全てのシンボルが実行時のローダと同じタスクを行うことを決定する。従って、ROMに書き込むときに、ROM書き込みツールはローダと同じ規則を適用する必要がある。
これらの規則は、
・例えば、システムサーバへのプラグインなどの、慎重に扱うべきプロセス内で異常なものがロードされるのを防ぐ。
・あらゆるバイパスなしにプロセス内部の慎重に扱うべきコードのカプセル化を促進する。
以下の例は、静的及び動的にロードされたライブラリそれぞれの場合に、これらの規則がどのように適用されるのかを示している。
2.3.1 リンクされたDLLの例
プログラムP.EXEはライブラリL1.DLLにリンクされている。
ライブラリL1.DLLはライブラリL0.DLLにリンクされている。
ケース1:
P.EXEは、Cap1 & Cap2を保持
L1.DLLは、Cap1 & Cap2 & Cap3を保持
L0.DLLは、Cap1 & Cap2を保持
プロセスPは生成され得ない、ローダはL1.DLLがL0.DLLをロードできないのでプロセスの生成を失敗する。これはL0.DLLがL1.DLLと等しいか大きい能力を有していないためで、規則2が適用される。
ケース2:
P.EXEは、Cap1 & Cap2を保持
L1.DLLは、Cap1 & Cap2 & Cap3を保持
L0.DLLは、Cap1 & Cap2 & Cap3 & Cap4を保持
プロセスPは生成される、ローダはプロセスの生成に成功し新たなプロセスにはCap1 & Cap2が割り当てられる。新たなプロセスの能力は規則1を適用して決定される;規則3で定義されたように、L1.EXEはL0.DLLの保持する能力Cap4を取得できず、P1.EXEはL1.DLLの保持する能力Cap3を取得できない。
プログラムP.EXEはライブラリL1.DLLにリンクされている。
ライブラリL1.DLLはライブラリL0.DLLにリンクされている。
ケース1:
P.EXEは、Cap1 & Cap2を保持
L1.DLLは、Cap1 & Cap2 & Cap3を保持
L0.DLLは、Cap1 & Cap2を保持
プロセスPは生成され得ない、ローダはL1.DLLがL0.DLLをロードできないのでプロセスの生成を失敗する。これはL0.DLLがL1.DLLと等しいか大きい能力を有していないためで、規則2が適用される。
ケース2:
P.EXEは、Cap1 & Cap2を保持
L1.DLLは、Cap1 & Cap2 & Cap3を保持
L0.DLLは、Cap1 & Cap2 & Cap3 & Cap4を保持
プロセスPは生成される、ローダはプロセスの生成に成功し新たなプロセスにはCap1 & Cap2が割り当てられる。新たなプロセスの能力は規則1を適用して決定される;規則3で定義されたように、L1.EXEはL0.DLLの保持する能力Cap4を取得できず、P1.EXEはL1.DLLの保持する能力Cap3を取得できない。
2.3.2 動的にロードされるDLLの例
プログラムP.EXEはライブラリL1.DLLを動的にロードする。
そしてライブラリL1.DLLはライブラリL0.DLLを動的にロードする。
ケース1:
P.EXEは、Cap1 & Cap2を保持
L1.DLLは、Cap1 & Cap2 & Cap3を保持
L0.DLLは、Cap1 & Cap2を保持
プロセスPは成功裏に生成されCap1 & Cap2が割り当てられる。PがローダにL1.DLL & L0.DLLのロードを要求したとき、PはL1.DLL及びL0.DLLをロードできるのでローダは成功裏にロードできる。ここで規則2が適用され、ロードされている実行可能なものはプロセスPでありライブラリL1.DLLではない:ローダが処理するIPCロード要求はプロセスPによって送信される。呼び出しがL1.DLL内部にあるというのはここでは適切でない。規則1&3が上述のように適用され、PはL1.DLLをロードすることによってCap3を取得できない。
ケース2:
P.EXEは、Cap1 & Cap2を保持
L1.DLLは、Cap1 & Cap2 & Cap3を保持
L0.DLLは、Cap1 & Cap2 & Cap4を保持
プロセスPは成功裏に生成されCap1 & Cap2が割り当てられる。PがローダにL1.DLL & L0.DLLのロードを要求したとき、PはL1.DLL及びL0.DLLをロードできるのでローダは成功裏にロードできる。ここでもロードされている実行可能なものはプロセスPでありライブラリL1.DLLではないので、Pに再度規則2が適用され、規則3はPがCap3もCap4も取得できないことを確実にする。
プログラムP.EXEはライブラリL1.DLLを動的にロードする。
そしてライブラリL1.DLLはライブラリL0.DLLを動的にロードする。
ケース1:
P.EXEは、Cap1 & Cap2を保持
L1.DLLは、Cap1 & Cap2 & Cap3を保持
L0.DLLは、Cap1 & Cap2を保持
プロセスPは成功裏に生成されCap1 & Cap2が割り当てられる。PがローダにL1.DLL & L0.DLLのロードを要求したとき、PはL1.DLL及びL0.DLLをロードできるのでローダは成功裏にロードできる。ここで規則2が適用され、ロードされている実行可能なものはプロセスPでありライブラリL1.DLLではない:ローダが処理するIPCロード要求はプロセスPによって送信される。呼び出しがL1.DLL内部にあるというのはここでは適切でない。規則1&3が上述のように適用され、PはL1.DLLをロードすることによってCap3を取得できない。
ケース2:
P.EXEは、Cap1 & Cap2を保持
L1.DLLは、Cap1 & Cap2 & Cap3を保持
L0.DLLは、Cap1 & Cap2 & Cap4を保持
プロセスPは成功裏に生成されCap1 & Cap2が割り当てられる。PがローダにL1.DLL & L0.DLLのロードを要求したとき、PはL1.DLL及びL0.DLLをロードできるのでローダは成功裏にロードできる。ここでもロードされている実行可能なものはプロセスPでありライブラリL1.DLLではないので、Pに再度規則2が適用され、規則3はPがCap3もCap4も取得できないことを確実にする。
3 ケージング・プロセス
3.1 位置に基づく概念
データの区分化は、単純な信頼性のあるパスがプラットフォームに生成されるように、ファイルシステム内のデータからコードを分離することを含んでいる。本発明の中心的な発想は、非TCBプロセスをファイルシステムのそれら自体の部分に“囲い込む(caging)”ことによって、慎重に扱うべきディレクトリをそれらから隠すことである。実施形態Aでは、/systemディレクトリは通常のプロセスから隠される;カーネル及びファイルサーバは、/systemのサブツリーへのあらゆるアクセスを許可する前に、クライアント・プロセスがRoot又はAllFilesの能力を有しているかチェックする。他の全てのクライアントからは、/private/<app_SID>となるであろう特別な専用ディレクトリ、/resources及び/<others>からなるであろう、それぞれ制限された状態でファイルシステムが見えるであろう。加えて、ローダは/systemにないコードを実行しようとするあらゆる試みを認めないであろう。
3.1 位置に基づく概念
データの区分化は、単純な信頼性のあるパスがプラットフォームに生成されるように、ファイルシステム内のデータからコードを分離することを含んでいる。本発明の中心的な発想は、非TCBプロセスをファイルシステムのそれら自体の部分に“囲い込む(caging)”ことによって、慎重に扱うべきディレクトリをそれらから隠すことである。実施形態Aでは、/systemディレクトリは通常のプロセスから隠される;カーネル及びファイルサーバは、/systemのサブツリーへのあらゆるアクセスを許可する前に、クライアント・プロセスがRoot又はAllFilesの能力を有しているかチェックする。他の全てのクライアントからは、/private/<app_SID>となるであろう特別な専用ディレクトリ、/resources及び/<others>からなるであろう、それぞれ制限された状態でファイルシステムが見えるであろう。加えて、ローダは/systemにないコードを実行しようとするあらゆる試みを認めないであろう。
サブツリー間を区別するのに、SID(安全用識別子)が使用されるであろう。例えば、アプリケーションは、それら自身のリソースファイルを保持するのにそれらのサブツリーを使用するであろう。要するに、データの区分化は、ファイルシステムのプロセス自身の小さな部分の中にプロセスを囲い込むこと(caging)を含んでいる。これは、アプリケーション毎及びサーバ毎に他のプロセスからデフォルトで保護する部分があること意味する。区分化が無いと、よからぬプログラムが能力モデルをバイパスしファイルからデータベース・ディレクトリを簡単に読み取ることを防止するために、アクセス制御リストをファイルシステムに導入することが必要となるであろう。加えて、この手法は、TCBに確保されたディレクトリ(実施形態Aでは/system)内のシステム・プラグインの悪意のある置換の脅威に対する更なる保護をもたらす。メモリ管理を同様にしてもよい;現在はカーネルだけが実際のメモリ領域全体を制限無しに見れる。各プロセスは、他の全てのプロセスから独立したプロセッサのアドレス空間が見える。これはカーネル及びメモリ管理ユニット(MMU)によって整理され監視される;1つのプロセスのメモリ空間の範囲外のあらゆるアクセスは拒否される。
その意味で、区分化は単純で頑健な解決策である:
−ファイルの位置はそのアクセス規則を完全に記述するのに十分である。補足的情報を何も必要としない。
−位置が変更されるた場合、その規則も変更され得る。
−各プロセスに機密性とそのデータの完全性を保証する専用領域が許可されている。
−ファイルの位置はそのアクセス規則を完全に記述するのに十分である。補足的情報を何も必要としない。
−位置が変更されるた場合、その規則も変更され得る。
−各プロセスに機密性とそのデータの完全性を保証する専用領域が許可されている。
単純化のために、ファイルシステムは“専用ユーザデータ”及び“システムデータ”の意味を知らない。ファイルにはそのようなフラグが付けられない。要求されたときに、ReadUserData/WriteUserData及びReadSystemData/WriteSystemDataの能力を管理するのは、各サーバ及びアプリケーションが受け持つ。例えば、ユーザがワードプロセッサの文書を個人的に所望する場合、暗号化されたファイルへのアクセスにReadUserDataを不要として、彼女はそれをパスワードで保護してもよい。その上、データベースの場合には、ファイル自体がシステム、ユーザ及び公開のデータを含むことができ、そのためプライバシーのレベルをファイルに割り当てようとすることは不適切である。
好適な実施形態の例を実施形態Aによって示す;各ファイルシステムは4つのタイプのルートディレクトリ、すなわち、
/system
/private/<process_secure_id>
/resources
/<others>
に区分されている。
/system
/private/<process_secure_id>
/resources
/<others>
に区分されている。
/systemは、TCB又はAllFilesを有するプロセスだけがアクセスできる。TCBだけがそれらを変更できる。
/private/<process_secure_id>は、process_secure_idに安全用識別子が割り当てられたあらゆるプロセス、並びに'Root'又は'AllFiles'の能力が許可されたプロセスによって利用可能である。
/resourceは、一般に読み取り専用である;信頼性のあるコンピューティング・ベース(TCB)だけが追加、削除、変更を行える。
/<others>は、ファイルの読み取り及び書き込み動作、ファイルの生成、並びに削除があらゆるプロセスで利用可能である。
/private/<process_secure_id>は、process_secure_idに安全用識別子が割り当てられたあらゆるプロセス、並びに'Root'又は'AllFiles'の能力が許可されたプロセスによって利用可能である。
/resourceは、一般に読み取り専用である;信頼性のあるコンピューティング・ベース(TCB)だけが追加、削除、変更を行える。
/<others>は、ファイルの読み取り及び書き込み動作、ファイルの生成、並びに削除があらゆるプロセスで利用可能である。
3.2 安全用識別子(SID)の概念
上記のように、プロセスはそのSIDが専用ディレクトリの名前と一致した場合にだけ、該専用ディレクトリへのアクセスを得ることができる。受け入れられるのであれば、複数のプロセスを強固な結びつきでサポートするために、プロセスのセットに所与の同じSIDが付与されるであろう。この場合、同じSIDの全てのプロセスは、同じ専用ディレクトリを共有してもよい。しかしながら、この概念はグループの概念とは極めて異なることに注意されたい:1つのプロセスはただ1つのSIDを有し、1つを越えるセキュリティ領域の一部となることはできない。従って、データの囲い込みの実施形態は、SIDの性質とは関係無いものであるべきである。
上記のように、プロセスはそのSIDが専用ディレクトリの名前と一致した場合にだけ、該専用ディレクトリへのアクセスを得ることができる。受け入れられるのであれば、複数のプロセスを強固な結びつきでサポートするために、プロセスのセットに所与の同じSIDが付与されるであろう。この場合、同じSIDの全てのプロセスは、同じ専用ディレクトリを共有してもよい。しかしながら、この概念はグループの概念とは極めて異なることに注意されたい:1つのプロセスはただ1つのSIDを有し、1つを越えるセキュリティ領域の一部となることはできない。従って、データの囲い込みの実施形態は、SIDの性質とは関係無いものであるべきである。
3.3 ソフトウエア・インストーラ
1.開いたデバイスでは、アプリケーションのインストール時に、選択された実施形態の規則に従って対応するアプリケーションファイルをディレクトリ内に設置する、ソフトウエア・インストーラによってファイルシステムの構築がなされるであろう。実施形態Aでは、能力を完備したプログラム及びライブラリは、/system内にある必要がある。
2.公の(読み取り専用或いはそうでない)ディレクトリ内の何らかのファイルがインストールされ得る。
3.インストールするアプリケーションが専用ディレクトリと同じSIDを有している場合、専用ディレクトリ内の何らかのファイルがインストールされ得、そのファイルは中に入れられるべきである。
4.インポート・ディレクトリが存在する場合、プロセス専用ディレクトリのインポート・ディレクトリ内の何らかのファイルがインストールされ得る。実施形態Aでは、このインポート・ディレクトリは、/private/process_sid/importである。
5.インストールされるべきパッケージが、そのファイルを生成した元のパッケージのアップグレードであると識別されない場合、そのパッケージによって書き換えられる既存のファイルは無い。アップグレードの定義は、本発明の態様に影響しないので、本発明の範疇外である。
1.開いたデバイスでは、アプリケーションのインストール時に、選択された実施形態の規則に従って対応するアプリケーションファイルをディレクトリ内に設置する、ソフトウエア・インストーラによってファイルシステムの構築がなされるであろう。実施形態Aでは、能力を完備したプログラム及びライブラリは、/system内にある必要がある。
2.公の(読み取り専用或いはそうでない)ディレクトリ内の何らかのファイルがインストールされ得る。
3.インストールするアプリケーションが専用ディレクトリと同じSIDを有している場合、専用ディレクトリ内の何らかのファイルがインストールされ得、そのファイルは中に入れられるべきである。
4.インポート・ディレクトリが存在する場合、プロセス専用ディレクトリのインポート・ディレクトリ内の何らかのファイルがインストールされ得る。実施形態Aでは、このインポート・ディレクトリは、/private/process_sid/importである。
5.インストールされるべきパッケージが、そのファイルを生成した元のパッケージのアップグレードであると識別されない場合、そのパッケージによって書き換えられる既存のファイルは無い。アップグレードの定義は、本発明の態様に影響しないので、本発明の範疇外である。
規則4がデータ囲い込みの原則に逆らって実行されないことは重要である:インストールされたアプリケーションは、このファイルが一旦インストールされたらアクセスできないであろう。プロセスの専用領域内にインポート・ディレクトリが存在することにより、インストール時に別のアプリケーションがこのプロセスに寄与する可能性を通知する。好ましい例はフォントサーバであろう:全てのフォントはフォントサーバの専用ディレクトリ内に格納されるであろう。しかしながら、外部のアプリケーション・パッケージの全てがそれらの外部の出典を明確に記述しているインポート・ディレクトリの下にあるとき、外部のアプリケーション・パッケージが、サーバの専用ディレクトリを汚すこと無しに新たなフォントを追加することで寄与し得る。
Claims (15)
- 複数のルートディレクトリで区分されており、ファイルの位置が該ファイルのアクセスポリシーを十分に識別できるように定められている、ファイルシステムでプログラムされていることを特徴とする移動体無線デバイス。
- 前記ファイルシステム内で前記ファイルの位置を移動させることによって、該ファイルのアクセス権が変更されることを特徴とする請求項1に記載のデバイス。
- 前記ルートディレクトリの1つが、信頼性のあるコンピューティング・ベースを形成する構成要素に対して確保されていることを特徴とする請求項1に記載のデバイス。
- 1つ以上の信頼性のある構成要素が、プロセスがファイルシステムのサブツリーにアクセスするのに必要な権限又は能力を有しているか否かを検証することを特徴とする請求項1に記載のデバイス。
- プロセスが、前記ファイルシステムの該プロセス自身の専用領域だけにアクセスするように制限されていることを特徴とする請求項1に記載のデバイス。
- 前記専用領域が、正しい安全用識別子を有するプロセスだけにアクセス可能であることを特徴とする請求項5に記載のデバイス。
- 前記ルートディレクトリのそれぞれが、
(a)全てのファイルに渡ってオペレーティングシステム権限が許可された、あらゆるプロセスにアクセス可能なサブツリーを有するルートディレクトリ、
(b)正しい安全用識別子を有するプロセスだけにアクセス可能なサブツリーを有するルートディレクトリ、
(c)公で読み取り専用のサブツリーを有するルートディレクトリ、
(d)ファイルの読み取り及び書き込み動作、ファイルの生成並びに削除について、あらゆるプロセスで利用可能なサブツリーを有するルートディレクトリ、
のいずれかと同等な機能を有することを特徴とする請求項1に記載のデバイス。 - 移動体無線デバイス用のオペレーティングシステムであって、
ファイルがインストールされている場所を制御することによって、既存のファイルシステムの完全性を維持するファイル・インストレーション・メカニズムを備えており、前記ファイルシステムは、複数のルートディレクトリで区分されており、ファイルの位置が該ファイルのアクセスポリシーを十分に識別できるように定められていることを特徴とするオペレーティングシステム。 - 前記ファイルシステム内で前記ファイルの位置を移動させることによって、該ファイルのアクセス権が変更されることを特徴とする請求項8に記載のオペレーティングシステム。
- 前記ルートディレクトリの1つが、信頼性のあるコンピューティング・ベースを形成する構成要素に対して確保されていることを特徴とする請求項8に記載のオペレーティングシステム。
- 1つ以上の信頼性のある構成要素が、プロセスがファイルシステムのサブツリーにアクセスするのに必要な権限又は能力を有しているか否かを検証することを特徴とする請求項8に記載のオペレーティングシステム。
- プロセスが、前記ファイルシステムの該プロセス自身の専用領域だけにアクセスするように制限されていることを特徴とする請求項8に記載のオペレーティングシステム。
- 前記専用領域が、正しい安全用識別子を有するプロセスだけにアクセス可能であることを特徴とする請求項12に記載のオペレーティングシステム。
- 前記ファイル・インストレーション・メカニズムが、プログラムが別のプログラムの専用領域に悪影響を与えずに寄与することを可能とすることを特徴とする請求項8に記載のオペレーティングシステム。
- 前記ルートディレクトリのそれぞれが、
(a)全てのファイルに渡ってオペレーティングシステム権限が許可された、あらゆるプロセスにアクセス可能なサブツリーを有するルートディレクトリ、
(b)正しい安全用識別子を有するプロセスだけにアクセス可能なサブツリーを有するルートディレクトリ、
(c)公で読み取り専用のサブツリーを有するルートディレクトリ、
(d)ファイルの読み取り及び書き込み動作、ファイルの生成並びに削除について、あらゆるプロセスで利用可能なサブツリーを有するルートディレクトリ、
のいずれかと同等な機能を有することを特徴とする請求項8に記載のオペレーティングシステム。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| GBGB0212315.6A GB0212315D0 (en) | 2002-05-28 | 2002-05-28 | Secure mobile wireless device with protected file systems |
| PCT/GB2003/002313 WO2003100582A2 (en) | 2002-05-28 | 2003-05-28 | Mobile wireless device with protected file system |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JP2005531831A true JP2005531831A (ja) | 2005-10-20 |
Family
ID=9937597
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004507970A Withdrawn JP2005531831A (ja) | 2002-05-28 | 2003-05-28 | 保護されたファイルシステムを有する移動体無線デバイス |
Country Status (6)
| Country | Link |
|---|---|
| US (2) | US20050204127A1 (ja) |
| EP (1) | EP1512059A2 (ja) |
| JP (1) | JP2005531831A (ja) |
| AU (1) | AU2003234034A1 (ja) |
| GB (2) | GB0212315D0 (ja) |
| WO (1) | WO2003100582A2 (ja) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006127127A (ja) * | 2004-10-28 | 2006-05-18 | Nec Corp | 機密モードに応じたアクセスフォルダ切り替え方法、プログラム、及びコンピュータシステム |
| JP2016031762A (ja) * | 2014-07-25 | 2016-03-07 | フィッシャー−ローズマウント システムズ,インコーポレイテッド | 最小特権ベースのプロセス制御ソフトウェアセキュリティアーキテクチャ |
| JP2022503952A (ja) * | 2018-10-19 | 2022-01-12 | アーム・リミテッド | レルム・セキュリティ構成パラメータのためのパラメータ署名 |
| JP2022503972A (ja) * | 2018-10-19 | 2022-01-12 | アーム・リミテッド | 信頼される仲介レルム |
Families Citing this family (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9213836B2 (en) | 2000-05-28 | 2015-12-15 | Barhon Mayer, Batya | System and method for comprehensive general electric protection for computers against malicious programs that may steal information and/or cause damages |
| GB2404262B (en) * | 2003-06-19 | 2008-03-05 | Yaron Mayer | System and method for comprehensive general generic protection for computers against malicious programs that may steal information and/or cause damages |
| GB0212318D0 (en) * | 2002-05-28 | 2002-07-10 | Symbian Ltd | Tamper evident removable media storing executable code |
| GB0212314D0 (en) * | 2002-05-28 | 2002-07-10 | Symbian Ltd | Secure mobile wireless device |
| GB2415065B (en) | 2004-06-09 | 2009-01-21 | Symbian Software Ltd | A computing device having a multiple process architecture for running plug-in code modules |
| US8984636B2 (en) | 2005-07-29 | 2015-03-17 | Bit9, Inc. | Content extractor and analysis system |
| IL174614A (en) * | 2006-03-29 | 2013-03-24 | Yaakov Levy | Method of enforcing use of certificate revocation lists |
| KR20070099200A (ko) * | 2006-04-03 | 2007-10-09 | 삼성전자주식회사 | 휴대형 무선 기기의 응용 모듈 접근 제한 장치 및 이를이용한 접근 제한 방법 |
| GB2439103B (en) * | 2006-06-15 | 2011-01-12 | Symbian Software Ltd | Implementing a process-based protection system in a user-based protection environment in a computing device |
| US8239916B2 (en) * | 2006-11-06 | 2012-08-07 | At&T Intellectual Property I, L.P. | Methods, data processing systems, and computer program products for assigning privacy levels to data elements |
| JP2009146193A (ja) * | 2007-12-14 | 2009-07-02 | Funai Electric Co Ltd | 無線通信端末、無線通信端末のデータを保護する方法、データを無線通信端末に保護させるためのプログラム、および当該プログラムを格納した記録媒体 |
| EP2238778B1 (en) * | 2008-01-16 | 2018-12-05 | BlackBerry Limited | Secured presentation layer virtualization for wireless handheld communication device having endpoint independence |
| CN114329374A (zh) | 2014-06-27 | 2022-04-12 | 微软技术许可有限责任公司 | 基于设备上的用户输入模式的数据保护系统 |
| CN105493054B (zh) | 2014-06-27 | 2018-10-16 | 微软技术许可有限责任公司 | 使用双文件系统的快速数据保护 |
| US10474849B2 (en) | 2014-06-27 | 2019-11-12 | Microsoft Technology Licensing, Llc | System for data protection in power off mode |
| CN105519038B (zh) | 2014-06-27 | 2020-03-17 | 微软技术许可有限责任公司 | 用户输入的数据保护方法及系统 |
| US9544301B2 (en) * | 2015-01-28 | 2017-01-10 | International Business Machines Corporation | Providing data security with a token device |
| GB2551735B (en) * | 2016-06-28 | 2020-10-14 | Sophos Ltd | Cloud storage scanner |
| US11366789B2 (en) | 2017-06-29 | 2022-06-21 | Microsoft Technology Licensing, Llc | Content access |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5311591A (en) * | 1992-05-15 | 1994-05-10 | Fischer Addison M | Computer system security method and apparatus for creating and using program authorization information data structures |
| JPH10124373A (ja) * | 1996-10-18 | 1998-05-15 | Fuji Xerox Co Ltd | データ管理装置および方法 |
| JPH1115737A (ja) * | 1997-06-20 | 1999-01-22 | Fuji Photo Film Co Ltd | 写真画像のデジタル出力サービス用記録媒体およびその記録媒体を生成するデジタル出力システム |
| JP2000215095A (ja) * | 1999-01-26 | 2000-08-04 | Ricoh Co Ltd | デ―タ管理装置、デ―タ管理処理方法およびその方法をコンピュ―タに実行させるプログラムを記録したコンピュ―タ読み取り可能な記録媒体 |
| US6185666B1 (en) * | 1999-09-11 | 2001-02-06 | Powerquest Corporation | Merging computer partitions |
| JP2002149456A (ja) * | 2000-11-07 | 2002-05-24 | Matsushita Electric Ind Co Ltd | 可搬性記憶媒体、可搬性記憶媒体におけるファイル管理方法及び携帯端末 |
| JP2002149494A (ja) * | 2000-11-06 | 2002-05-24 | Nippon Telegr & Teleph Corp <Ntt> | アクセス制御方法およびアクセス制御装置および記録媒体 |
| US6430561B1 (en) * | 1999-10-29 | 2002-08-06 | International Business Machines Corporation | Security policy for protection of files on a storage device |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5819275A (en) * | 1995-06-07 | 1998-10-06 | Trusted Information Systems, Inc. | System and method for superimposing attributes on hierarchically organized file systems |
| DE19626339A1 (de) * | 1996-07-01 | 1998-01-08 | Ibm | Sicheres Laden von Anwendungen und Daten auf Chipkarten |
| US6026402A (en) * | 1998-01-07 | 2000-02-15 | Hewlett-Packard Company | Process restriction within file system hierarchies |
| GB9809885D0 (en) * | 1998-05-09 | 1998-07-08 | Vircon Limited | Protected storage device for computer system |
| US20020095557A1 (en) * | 1998-06-22 | 2002-07-18 | Colin Constable | Virtual data storage (VDS) system |
| JP2002526830A (ja) * | 1998-09-28 | 2002-08-20 | アーガス システムズ グループ,インク. | コンパートメント化された信用コンピュータオペレーティングシステム |
| JP2000305847A (ja) * | 1999-04-21 | 2000-11-02 | Nec Saitama Ltd | 携帯電話機 |
| US6292874B1 (en) * | 1999-10-19 | 2001-09-18 | Advanced Technology Materials, Inc. | Memory management method and apparatus for partitioning homogeneous memory and restricting access of installed applications to predetermined memory ranges |
| JP2001243106A (ja) * | 2000-02-28 | 2001-09-07 | Ricoh Co Ltd | 記録媒体及びそのアクセス制御方法 |
| JP4012664B2 (ja) * | 2000-04-11 | 2007-11-21 | 株式会社リコー | 記録媒体及びそのアクセス制御方法 |
| US6675276B2 (en) * | 2001-11-13 | 2004-01-06 | Eastman Kodak Company | Method for providing extensible dos-fat system structures on one-time programmable media |
-
2002
- 2002-05-28 GB GBGB0212315.6A patent/GB0212315D0/en not_active Ceased
-
2003
- 2003-05-28 AU AU2003234034A patent/AU2003234034A1/en not_active Abandoned
- 2003-05-28 WO PCT/GB2003/002313 patent/WO2003100582A2/en active Application Filing
- 2003-05-28 US US10/515,759 patent/US20050204127A1/en not_active Abandoned
- 2003-05-28 JP JP2004507970A patent/JP2005531831A/ja not_active Withdrawn
- 2003-05-28 GB GB0312190A patent/GB2391655B/en not_active Expired - Fee Related
- 2003-05-28 EP EP03727704A patent/EP1512059A2/en not_active Withdrawn
-
2007
- 2007-11-05 US US11/935,020 patent/US20080066187A1/en not_active Abandoned
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5311591A (en) * | 1992-05-15 | 1994-05-10 | Fischer Addison M | Computer system security method and apparatus for creating and using program authorization information data structures |
| JPH10124373A (ja) * | 1996-10-18 | 1998-05-15 | Fuji Xerox Co Ltd | データ管理装置および方法 |
| JPH1115737A (ja) * | 1997-06-20 | 1999-01-22 | Fuji Photo Film Co Ltd | 写真画像のデジタル出力サービス用記録媒体およびその記録媒体を生成するデジタル出力システム |
| JP2000215095A (ja) * | 1999-01-26 | 2000-08-04 | Ricoh Co Ltd | デ―タ管理装置、デ―タ管理処理方法およびその方法をコンピュ―タに実行させるプログラムを記録したコンピュ―タ読み取り可能な記録媒体 |
| US6185666B1 (en) * | 1999-09-11 | 2001-02-06 | Powerquest Corporation | Merging computer partitions |
| US6430561B1 (en) * | 1999-10-29 | 2002-08-06 | International Business Machines Corporation | Security policy for protection of files on a storage device |
| JP2002149494A (ja) * | 2000-11-06 | 2002-05-24 | Nippon Telegr & Teleph Corp <Ntt> | アクセス制御方法およびアクセス制御装置および記録媒体 |
| JP2002149456A (ja) * | 2000-11-07 | 2002-05-24 | Matsushita Electric Ind Co Ltd | 可搬性記憶媒体、可搬性記憶媒体におけるファイル管理方法及び携帯端末 |
Non-Patent Citations (5)
| Title |
|---|
| "NTのセキュリティを高める7つの実践テクニック", WINDOWS NT WORLD, vol. 3, no. 8, JPN6009049650, 1 August 1998 (1998-08-01), JP, pages 262 - 269, ISSN: 0001426564 * |
| "NTのセキュリティを高める7つの実践テクニック", WINDOWS NT WORLD, vol. 3, no. 8, JPN6010003207, 1 August 1998 (1998-08-01), JP, pages 262 - 269, ISSN: 0001522185 * |
| 小林 大平: "WindowsNT World for 超ビギナーズ第11回", WINDOWS NT WORLD, vol. 4, no. 2, JPN6010003205, 1 February 1999 (1999-02-01), JP, pages 215 - 223, ISSN: 0001522184 * |
| 竹田津 恩: "インターネット時代のWindows NT−LAN構築術", LAN TIMES, vol. 7, no. 6, JPN6010003336, 1 June 1997 (1997-06-01), JP, pages 196 - 201, ISSN: 0001522187 * |
| 高根 英哉: "初歩からWindows2000を学びたい人に贈る ユーザーアカウントの基礎完全マスター システム管理", WINDOWS NT WORLD, vol. 5, no. 5, JPN6010003209, 1 May 2000 (2000-05-01), JP, pages 160 - 165, ISSN: 0001522186 * |
Cited By (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2006127127A (ja) * | 2004-10-28 | 2006-05-18 | Nec Corp | 機密モードに応じたアクセスフォルダ切り替え方法、プログラム、及びコンピュータシステム |
| JP4501156B2 (ja) * | 2004-10-28 | 2010-07-14 | 日本電気株式会社 | 機密モードに応じたアクセスフォルダ切り替え方法、プログラム、及びコンピュータシステム |
| JP2016031762A (ja) * | 2014-07-25 | 2016-03-07 | フィッシャー−ローズマウント システムズ,インコーポレイテッド | 最小特権ベースのプロセス制御ソフトウェアセキュリティアーキテクチャ |
| US11275861B2 (en) | 2014-07-25 | 2022-03-15 | Fisher-Rosemount Systems, Inc. | Process control software security architecture based on least privileges |
| JP2022503952A (ja) * | 2018-10-19 | 2022-01-12 | アーム・リミテッド | レルム・セキュリティ構成パラメータのためのパラメータ署名 |
| JP2022503972A (ja) * | 2018-10-19 | 2022-01-12 | アーム・リミテッド | 信頼される仲介レルム |
| JP7431224B2 (ja) | 2018-10-19 | 2024-02-14 | アーム・リミテッド | レルム・セキュリティ構成パラメータのためのパラメータ署名 |
| JP7431225B2 (ja) | 2018-10-19 | 2024-02-14 | アーム・リミテッド | 信頼される仲介レルム |
Also Published As
| Publication number | Publication date |
|---|---|
| GB2391655B (en) | 2004-09-29 |
| US20080066187A1 (en) | 2008-03-13 |
| US20050204127A1 (en) | 2005-09-15 |
| WO2003100582A3 (en) | 2004-02-19 |
| EP1512059A2 (en) | 2005-03-09 |
| AU2003234034A1 (en) | 2003-12-12 |
| GB0312190D0 (en) | 2003-07-02 |
| GB2391655A (en) | 2004-02-11 |
| WO2003100582A2 (en) | 2003-12-04 |
| GB0212315D0 (en) | 2002-07-10 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US20080066187A1 (en) | Mobile Wireless Device with Protected File System | |
| DE60332831C5 (de) | Sicheres mobiles kabelloses gerät | |
| JP4975127B2 (ja) | 取り外し可能な媒体に格納された実行可能なコードにタンパーエビデント性を提供する装置 | |
| EP1512057B1 (en) | Trusted user interface for a secure mobile wireless device | |
| JP4907603B2 (ja) | アクセス制御システムおよびアクセス制御方法 | |
| US20170270313A1 (en) | Managing applications in non-cooperative environments | |
| EP3298534B1 (en) | Creating multiple workspaces in a device | |
| Lee et al. | Demystifying Android’s Scoped Storage Defense | |
| US11882123B2 (en) | Kernel level application data protection | |
| Ziani et al. | Cloud Computing: Security and Privacy Issues | |
| Pirnau | The analysis of the. NET architecture security system | |
| Dive-Reclus et al. | SYMBIAN OS PLATFORM SECURITY ARCHITECTURE | |
| Rahalkar et al. | Operating System Basics | |
| Ooi | Access control for an object-oriented distributed platform |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060525 |
|
| RD04 | Notification of resignation of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7424 Effective date: 20090309 |
|
| A711 | Notification of change in applicant |
Free format text: JAPANESE INTERMEDIATE CODE: A711 Effective date: 20090319 |
|
| RD02 | Notification of acceptance of power of attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7422 Effective date: 20090319 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20091001 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20091223 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20100129 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100422 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100610 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A821 Effective date: 20100610 |
|
| A911 | Transfer to examiner for re-examination before appeal (zenchi) |
Free format text: JAPANESE INTERMEDIATE CODE: A911 Effective date: 20100702 |
|
| A912 | Re-examination (zenchi) completed and case transferred to appeal board |
Free format text: JAPANESE INTERMEDIATE CODE: A912 Effective date: 20100716 |
|
| RD15 | Notification of revocation of power of sub attorney |
Free format text: JAPANESE INTERMEDIATE CODE: A7435 Effective date: 20110530 |
|
| A761 | Written withdrawal of application |
Free format text: JAPANESE INTERMEDIATE CODE: A761 Effective date: 20110621 |