JP2007524148A - トラステッド・コンピュータ・システム - Google Patents

トラステッド・コンピュータ・システム Download PDF

Info

Publication number
JP2007524148A
JP2007524148A JP2006517366A JP2006517366A JP2007524148A JP 2007524148 A JP2007524148 A JP 2007524148A JP 2006517366 A JP2006517366 A JP 2006517366A JP 2006517366 A JP2006517366 A JP 2006517366A JP 2007524148 A JP2007524148 A JP 2007524148A
Authority
JP
Japan
Prior art keywords
operating system
trusted
security
data
trusted operating
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2006517366A
Other languages
English (en)
Inventor
フォッケ,ミッシェル・ダブリュー
ノッケ,ジェームズ・イー
バービエリ,ポール・エイ
ウェアリー,ロバート・ディー
アタ,ジョン・ジー
エンジェン,ドワイト・ビー
Original Assignee
デジタルネット・ガヴァーンメント・ソリューションズ・エルエルシー
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by デジタルネット・ガヴァーンメント・ソリューションズ・エルエルシー filed Critical デジタルネット・ガヴァーンメント・ソリューションズ・エルエルシー
Publication of JP2007524148A publication Critical patent/JP2007524148A/ja
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/44Arrangements for executing specific programs
    • G06F9/455Emulation; Interpretation; Software simulation, e.g. virtualisation or emulation of application or operating system execution engines
    • G06F9/45533Hypervisors; Virtual machine monitors
    • G06F9/45537Provision of facilities of other operating environments, e.g. WINE
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2113Multi-level security, e.g. mandatory access control
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2149Restricted operating environment

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Computer Security & Cryptography (AREA)
  • General Physics & Mathematics (AREA)
  • Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • Storage Device Security (AREA)

Abstract

Linux(登録商標)互換性を提供し、現時代のハードウェア速度をサポートするトラステッド・コンピュータ・システム。それは、開発することが容易であり、多種多様な最新の開発ツールの使用が可能であるように、Linux(登録商標)上で動作する共通アプリケーションの移植を必要としないように設計される。システムは更に、必要とされるセキュリティ機能の組み込み、および広範囲にわたる操作環境において広範囲にわたる機密性(例えば、機密区分)レベルでデータを処理するための非常に高いレベルのアシュアランスによって、コモン・クライテリアEAL−5またはそれより高いレートを満たすかまたは上回るように設計される。これは、セキュリティを実施するために下層から設計され、Linux(登録商標)オペレーティング・システムの機能および方法もサポートする、良くレイヤ化されたオペレーティング・システムの実施によって達成される。

Description

本発明は、トラステッド・コンピューティング・システムの分野に関する。
(著作権の通知)
本出願は、著作権の保護を受ける資料を含む。この特許開示は特許商標庁のファイルまたは記録に公開されているので、著作権者はその何人による複写にも異議を唱えないが、それ以外については、いかなるものであれすべての著作権の権利を保有する。
(優先権の主張)
本出願は、2003年6月17日に出願された米国特許出願第10/462771号からの優先権を主張し、同出願の全体を参照により本明細書に組み込む。
バージニア州ハーンドンのGetronics Government Solutions,LLCによって最近製造されたXTS−300(商標)トラステッド・コンピュータ・システムは、長い間、国家安全保障局(NSA)の評価を受けている唯一の高保証汎用コンピュータ・システムである。慎重な設計によって、XTS−300は、NSAによって、そのトラステッド・コンピュータ・システム評価基準(TCSEC)に基づき、クラスB3レベルと評価されたものであり、TCSECの教示をその全体がこの参照により本明細書に組み込まれる。B3評価は、システムが非常に高いレベルのセキュリティ機能を提供するという証明である。図1は、様々なTCSECセキュリティ区分レベルを達成するための要件について高水準の概要を提供する。TCSECは、より正式には米国国防総省規格番号5200.28−STDとしても知られ、しばしば「オレンジ・ブック」と呼ばれる。
XTS−300によって提供される高いレベルのセキュリティ機能のため、XTS−300は、防衛界、諜報界、外交界、法執行界、およびその他の世界に、最新世代のIntel(登録商標)サーバ・クラス・ハードウェア上で動作する極めて安全なシステムを提供している。加えて、XTS−300は、その汎用ハードウェア構成を利用して、Intel(登録商標)x86ハードウェア・ベースおよびSCSIサブシステムにおける頻繁なハードウェアの進歩を用いる。
XTS−300は、データをフィルタリングし、セキュリティ・ポリシーを実施するアプリケーションがその上で構築されるプラットホームとして使用される。フィルタリングは、ルール・ベースの検査および選択基準が様々なデータに適用されることを可能にするプロセスであり、それによって、適切な場合には、承認されたデータが1つのセキュリティ区分レベルから別のセキュリティ区分レベルへ安全に受け渡されることを可能にする。これらのプログラムの多くは、XTS−300のハードウェア実施の保護を使用して1つのネットワークを別のネットワークから保護しながら、なおも、選択されたデータが、慎重に構成され且つ十分な認定を受けた論理パスを介して異なるレベルのネットワーク間を流れることを可能にするので、「ガード(Guard)」と呼ばれている。
XTS−300は成功しているが、XTS−300上で動作させることができるコンピュータ・ソフトウェア・プログラムの数および種類は、そのオペレーティング・システムによって限定される。
従って、本発明の好ましい一実施形態は、関連技術の限界および不都合に起因する1または複数の問題を実質的に回避するシステムおよび方法に関する。
本発明の目的は、トラステッド・オペレーティング・システムを作成することであり、トラステッド・オペレーティング・システムは、トラステッドおよび非トラステッドのアプリケーションがそこで実行されることができるアプリケーション・ドメインと、(オペレーティング・システム・サービス・レイヤが)少なくとも1つの他のオペレーティング・システム用に書かれたアプリケーションがトラステッド・オペレーティング・システムで実行されることを可能にするインタフェースを提供することによって、(オペレーティング・システム・サービス・レイヤが)前記の少なくとも1つの他のオペレーティング・システムをエミュレートするオペレーティング・システム・サービス・レイヤと、トラステッド・システム・サービス・レイヤと、システムのセキュリティ・ポリシーおよびインテグリティ規則を実施するため、ならびにユーザおよび管理者のアクションを促進することを含む基本オペレーティング・システム・サービスを提供するためのセキュリティ・カーネルとを含む。
本発明の別の目的は、トラステッド・コンピュータ・システムを作成することであり、トラステッド・コンピュータ・システムは、各々がマルチドメイン・アーキテクチャをサポートする少なくとも1つのプロセッサと、トラステッド・コンピュータ・システムの操作を容易にするための少なくとも1つの端末と、少なくとも1つのデータ記憶ユニットと、少なくとも1つのメモリ・ユニットと、トラステッド・コンピューティング・システム上で動作するものであり、プロセス分離を実施するために前記の少なくとも1つのプロセッサのマルチドメイン・アーキテクチャを用いるセキュア・オペレーティング・システムとを含む。
本発明の更に別の目的は、セキュリティ・ポリシー強化システムを提供することであり、セキュリティ・ポリシー強化システムは、少なくとも1つがマルチドメイン・アーキテクチャをインプリメントする少なくとも1つのプロセッサと、少なくとも1つのランダム・アクセス・メモリ・ユニットと、それぞれのセキュリティ区分レベルにデータが存在する少なくとも2つの異なるセキュリティ区分レベルで動作するセキュア・オペレーティング・システムと、データの内容に関してセキュリティ・チェックを実行して、そのデータが1つの機密区分レベルから別の機密区分レベルへセキュア・オペレーティング・システムによって転送されることができるか否かを決定する少なくとも1つのデータ・セキュリティ検証手段とを含む。
本発明のまた別の目的は、トラステッド・オペレーティング・システムを提供することであり、このトラステッド・オペレーティング・システムは、他のオペレーティング・システム用に書かれたアプリケーション・プログラムを、そのアプリケーション・プログラムを変更する必要なしに、このトラステッド・オペレーティング・システムで実行することを可能にすることによって、別のオペレーティング・システムをエミュレートする。
本発明の別の目的は、複数のプロセスを同時に実行することができるトラステッド・オペレーティング・システムを作成することであり、このシステムは、強制および任意のアクセスを超えた追加的なアクセス制御区別化(access control differentiation)を可能にするサブタイプ機構を提供する。
本発明の更に別の目的は、任意のプロセスが任意のファイル・システム・オブジェクトにアクセスを試みるときはいつでも4つの別々のポリシーが実施されるトラステッド・オペレーティング・システムを実施することであり、そのポリシーは、強制セキュリティ・ポリシーと、強制インテグリティ・ポリシーと、任意アクセス制御ポリシーと、サブタイプ・ポリシーとを含む。
本発明の更に別の目的は、隠れストレージ・チャネルの数および速度を制限することによって、第1のプロセスが、第2のより高い機密扱いのプロセスの存在や状態について知ることを防止する、トラステッド・オペレーティング・システムを作成することである。
本発明の更なる特徴および利点が以下で説明されるが、部分的にはその説明から明らかとなり、または本発明の実施によって学ばれることもあろう。本発明の目的およびその他の利点は、記載された説明および本明細書の特許請求の範囲、ならびに添付の図面において特に指摘される構造によって実現および達成される。
本発明は、好ましくは、マルチユーザ・ワークステーションからトラステッド・ガードやトラステッド・サーバまで広範囲にわたるアプリケーションのために使用されることができるという意味で、汎用コンピューティング・システムである。本発明の好ましい一実施形態は、XTS−300で使用されるハードウェア・アーキテクチャおよびオペレーティング・システム・カーネルの設計技法のいくつかを用いるが、本明細書で説明される本発明の好ましい一実施形態は、現時代のハードウェアならびに堅牢なLinux(登録商標)アプリケーション・プログラミング・インタフェース(API)およびアプリケーション・バイナリ・インタフェース(ABI)の組に対するサポートを追加するように再構築されており、それにより、Linux(登録商標)用に書かれた数千のプログラムおよびコマンドが、それらのバイナリ形式のまま、移植や再コンパイルすることなく、本発明の好ましい一実施形態で実施されるセキュリティ・アーキテクチャの保護の下で、コピーおよび実行されることができる。従って、本発明の好ましい一実施形態は、極めてセキュアな機能が高信頼な様式で実行されることができる、エミュレートされたオープン・ソース環境を提供する。
加えて、本発明の好ましい一実施形態は、他のトラステッド・プログラムが、本発明に特有のAPIにアクセスすることを可能にし、それによって、本発明の好ましい一実施形態のセキュリティ態様の一部または全部へのアクセス、または一定の状況下ではそれらに対する制御を、提供する。本発明は、Linux(登録商標)とのABI/API互換性(即ち、Linux(登録商標)のエミュレーション)を提供するが、本発明は、発明者らと本発明の譲受人との全くの創造であって、Linux(登録商標)カーネル・コードを使用しない。従って、それは、オープン・ソース・アプリケーションを実行する自由と、保護されたプロプライエタリ・システムに関連するセキュリティとの双方を持つ安全性の高いLinux(登録商標)コンパチブルの環境である。
本発明の好ましい一実施形態は、セキュア・トラステッド・オペレーティング・プログラム(STOP(登録商標))と呼ばれるオペレーティング・システムを用いる。以前のアプローチとは異なり、本発明の好ましい一実施形態は、Linux(登録商標) ABI/API、ならびに独特なコマンドおよびAPIを実施するセキュリティをサポートするために構成される。これは、好ましくは、本発明が、無比のセキュリティを提供することを可能にすると同時に、本発明が、より多くの標準的な市販のアプリケーションを、実質的な変更を必要とせずに実行できるようにする。
本発明の好ましい一実施形態は、マルチレベルのセキュアなトラステッド・セキュリティ機能(TSF)を提供するものであり、情報技術セキュリティ評価のコモン・クライテリア(Common Criteria for Information Technology Security Evaluation)に対してのその関係が、TCSECに対するトラステッド・コンピューティング・ベース(TCB)の関係とほぼ同じであり、このトラステッド・セキュリティ機能は、異なるクリアランスおよび必知事項(needs-to-know)を有するユーザによっての、異なる区分または機密性および必知事項(カテゴリ/区分)での、データの同時の処理および保存を可能にする。システム・ハイ(system-high)・モードで動作するシステムとは異なり、本発明の好ましい一実施形態は、データの恣意的な過剰機密扱い(over-classify)をなくすことができるものであり、システム・ハイ・モードは、動作のセキュリティ・モードとして典型的に定義されるものであり、特定の情報システムや、その周辺機器や、リモート端末や、リモート・ホストへ直接的または間接的にアクセスする各ユーザが、下記のすべて、即ち、(a)情報システム内のすべての情報に対する有効なセキュリティ・クリアランスと、(b)保存および/または処理されるすべての情報(すべての区分、副区分、および/または特別なアクセス・プログラムを含む)に対する正式なアクセス承認および署名された非開示合意と、(c)情報システム内に含まれるいくつかの情報に対する有効な必知事項とを有するものである。
本発明の好ましい一実施形態は、高い堅固性および/または高いリスク環境のために設計され、これは、特定のセキュリティ機能の組み込みばかりではなく、非常に高いレベルのアシュアランスも意味する。このアシュアランス・レベルは、本発明の好ましい一実施形態が、広範囲にわたる動作環境において広範囲にわたる機密性(例えば機密区分レベル)でデータを処理するために認定されることを可能にする。本発明は、情報の半自動または全自動のダウングレード化および/またはダウン・フローを処理するためのネットワーク・ガードやフィルタなどの専門化されたアプリケーションを含む多くの種類のアプリケーションを実行しながらも、高いレベルのセキュリティを提供するように設計される。
上述の概略的な説明および以下の詳細な説明は共に例示的かつ説明的なものであり、特許請求される発明の更なる説明を提供することを意図していることを理解されたい。
添付の図面は、本発明の更なる理解を可能にするために含まれ、本明細書の一部に組み込まれ、本明細書の一部を構成するものであり、本発明の実施形態を図説しており、説明と共に本発明の原理を説明するのに役立つ。
これから本発明の好ましい実施形態に対して詳しく言及するが、添付の図面にその例が示されている。
本発明の好ましい一実施形態のオペレーティング・システム・コンポーネントは、複数のユーザに対して端末接続をサポートすることができるマルチプログラミング・オペレーティング・システムである。現在好ましい一実施形態では、最大200のプロセスが同時に動作することができ、その各々は最大4ギガバイトの仮想メモリをもつことができる。本発明のオペレーティング・システム・コンポーネントは、好ましくは、Linux(登録商標) APIもサポートし、安全な環境において、Linux(登録商標)上でコンパイルされた大部分のオブジェクトまたはバイナリ・プログラムを、そのようなオブジェクトまたはバイナリ・プログラムの変更を必要とせずに、実行することができる。加えて、本発明は、好ましくは、トラステッド・セキュリティ機能(TSF)の外部で、X−Windows(登録商標)グラフィカル・ユーザ・インタフェース(GUI)を提供し、それは非高信頼(untrusted)のユーザによる作業用のコンソールで利用可能にされることができる。
本発明の好ましい一実施形態は、TCP/IPおよびEthernet(登録商標)プロトコル(10BaseT/100BaseT)をTSFに組み込むことによってネットワーク接続も可能にし、一方、TSFの外部でネットワーク・サーバ(例えば、SMTP、HTTPなど)のインプリメントもサポートする。コモン・クライテリア(Common Criteria)評価に合格することを期待される本発明の一実施形態では、同じネットワーク内のアタッチメント(付属装置)は現在単一のレベルでなければならないが、複数のネットワークは各々異なるレベルにあることができる。
本発明の好ましい一実施形態は、現在アクセス可能なすべてのウィンドウを、所与のディスプレイ上に同じセキュリティ・レベルで実施する。本発明の好ましい一実施形態は、セキュリティ上の懸念および考慮され得るプロセッサ・オーバヘッドのため、マルチレベルのカット・アンド・ペーストをサポートしないが、そのような機能を本発明の主旨または範囲から逸脱することなく実施できることを当業者であれば理解できる。本発明の好ましい一実施形態は、他のセキュリティ・レベルでのコマンド実行のために、好ましくはセキュア・アテンション・キー(SAK)としてインプリメントされるトラステッド・パス機構を実施する。そのようなコマンドは、好ましくは、トラステッド・コマンド・インタフェースを介して入力される。トラステッド・パスの起動は、GUIの一時停止を引き起こし、トラステッド・コマンド・インタフェースをGUI環境から確実に分離する。
本発明の好ましい一実施形態は、マルチレベル・セキュア・オペレーティング・システムとカスタマイズされたIntel(登録商標)x86ハードウェア・ベースとの組み合わせに関する基礎をもつ。本発明のオペレーティング・システム・コンポーネントは、好ましくは、セキュリティ(MAC)およびインテグリティ(MCC)ポリシーの両方を可能にする強制アクセス制御(mandatory access control)を提供する。本発明の好ましい一実施形態によって実施される強制セキュリティ・ポリシーはBellおよびLaPadulaのセキュリティ・モデルを反映しており、それはD.BellおよびL.LaPadulaによる「Secure computer systems:Mathematical Foundation」、ESD−TR−73−278、Vol.1、Mitre Corp,1973年に記載されており、同文献の教示の全体を参照により本明細書に組み込む。
TCSEC B3またはコモン・クライテリア・システムのための最小要件を超えて、本発明の好ましい実施形態は、強制インテグリティ・ポリシー(中程度ないし高度な堅牢性プロファイルに必要とされる)と、追加のサブタイプ・ポリシーと、よく知られたLinux(登録商標)様の動作環境とを提供する。本発明を限定することを意図しない一例として、本発明の好ましい一実施形態のインテグリティ・モデルは、高度なウイルス保護のために使用されることができる。強制インテグリティ・ポリシーはBibaのインテグリティ・モデルを反映しており、それは、Biba,K.J.による「Integrity considerations for Secure computer Systems」、ESD−TR76−372、MITRE Co.、1977年4月に記載されており、同文献の教示の全体を参照により本明細書に組み込む。
強制アクセス制御に加えて、本発明の好ましい一実施形態は、任意アクセス制御(DAC)もインプリメントし、ユーザIDに基づくポリシー実施のために必要とされるユーザ識別および認証の手段を提供する。本発明の好ましい一実施形態では、「サブタイプ」と呼ばれるポリシー機構を提供し、これは、MAC、MICおよびDAC制御と併せて顧客特定的(customer-specific)な方法で使用され得る。この実施形態では、それぞれのデバイス、プロセス、およびファイル・システム・オブジェクトは、サブタイプ属性を有する。各プロセスは、上述のデバイス、プロセス、およびファイル・システム・オブジェクト・タイプ毎に1つの、アクセス可能なサブタイプの3つのリストを有する。それらのタイプのうちの1つのもののオブジェクトにアクセスするためには、プロセスは、所有するサブタイプ・リストに、そのオブジェクトのサブタイプをもたなければならない。
これら4つの機構(DAC、MAC、MIC、およびサブタイプ)は、様々なデータ・オブジェクト、プロセス、デバイスなどへのアクセスを制限または許可するために、アプリケーション設計者によって選択される様々な組み合わせで使用されることができる。例えば、特定のファイルは、これらのアクセス制御の選択によって、特定の区分のプロセスによってのみ変更可能であるが、それを越えて、特定のグループ、更には特定のユーザだけによって変更可能であるように制限されることができる。
TSFは、最小化、階層化、抽象化、およびデータ隠蔽を含む、複数の強力なアーキテクチャ上の特性を示す。本明細書で用いている最小化とは、全体的なシステムの複雑性を低減するために、重要性の低い非セキュリティの機能がTSFから分離されるオペレーティング・システム設計技法を指す。これは、人間が複雑なデータ処理プログラムおよびシステムをうまく評価することを可能にする。本明細書で用いている階層化とは、編成原則として「レイヤ」を用いるモジュール化設計をTSFが用いるオペレーティング・システム設計技法を指す。これは、明瞭に定義されたインタフェース、個別のレイヤ試験を提供し、ロッキング階層を容易にし、より抽象的なデータがより上位レイヤにあるように、データ抽象化のレイヤを指し示す。本明細書で用いている抽象化とは、より複雑なデータ構造が、より複雑でないデータ構造から組み立てられるオペレーティング・システム設計技法を指す。抽象化は、必要でないまたは好ましくない細部(オペレーティング・システムの1つのレイヤでは適切であり得る)を、より上位のレイヤで動作するプロセスまたはモジュールから隠すために使用される。本明細書で使用されるデータ隠蔽とは、データの範囲を最小化するオペレーティング・システム設計技法を指す。隠蔽されるデータは、ビジビリティ(visibility)が必要なモジュールだけから見ることができる。データ隠蔽は、抽象化の使用を強く推すために使用される。TSFは、ハードウェア機能を利用して、プロセス分離およびTSF分離を提供し、侵入に抵抗するように設計および実施される。システム設計は、正式のセキュリティ・モデルおよびその他の高水準設計文書に基づく。
大部分の現在のオペレーティング・システムとは異なり、本発明のオペレーティング・システムのコンポーネントは、好ましくは、セキュリティを中心に据えて構成される。従って、各データベース、アプリケーション、ユーザ、端末、およびプロセスを含むシステムのあらゆるレベルは、それと関連するセキュリティ・レベルを有する。図3に示されるように、本発明の好ましい一実施形態のオペレーティング・システムの部分は、「分離のリング(rings of isolation)」と呼ばれる(「ドメイン」とも呼ばれる)アーキテクチャを用い、この構成において、内側のリングはセキュリティ機能を提供するために協力し、外側のリングは適切に機能するために内側のリングに依存する。
図3に示されるマルチドメイン・アーキテクチャは、端末が異なるMACレベルでプロセスへ同時に接続することを防止する。異なるレベルのプロセスに接続するためには、ユーザは、最初に、現在実行中のプロセスから接続を断たなければならず、または、オペレーティング・システムがユーザをそれらのプロセスから切断しなければならない。オペレーティング・システムは、このドメイン・アーキテクチャおよびプロセス分離のため、基本的に改ざんされる恐れはない。実際、本発明の好ましい一実施形態は安全性が高く、プロセスは、ドメイン特権によって制限され、また、同じまたはより低いドメイン特権を有する他のプロセスへのみメッセージ送信が許可される。これらの規約のすべてはシステムそれ自体の内部で実施される。本発明を限定することを意図しない一例として、セキュリティ・カーネルを表し且つシステムの最高のセキュリティ・レベルで動作する図3のドメイン0は、ユーザからアクセスはできない。入力/出力デバイス・ドライバはこのレベルに存在することで、デバイス・ドライバへの権限のないアクセスを防止する。
上述のドメイン・アーキテクチャを使用してセキュリティを実施することに加えて、本発明の好ましい一実施形態は、更に、インテグリティ・ポリシーを使用して管理者とオペレータとの役割を分離する。システムは、管理者とオペレータとの役割に対して「最小特権の原則」(即ち、ユーザは自らの役目を実行するのに必要とされる権限より多くの権限を有さないべきである)を実施する。特権を持つ(および通常の)ユーザによって実行されるすべてのアクションは、監査されることができる。監査ログは、インテグリティおよびサブタイプの機構を用いて、変更から保護される。
本発明の好ましい一実施形態ものオペレーティング・システムのコンポーネントは、一連の不成功ログインやパスワード誤りなどのような、セキュリティ・ポリシー違反が今にも起こりかねないことを示すイベントが累積されることを検出する警報機構も提供する。個々のアカウンタビリティは監査能力を備えている。データ・スカベンジング(data scavenging)は、オブジェクト再使用(即ち、残余データ)防止機構によって防止される。
本発明のTSFの好ましい一実施形態のマルチレベル・セキュリティ機能は、トラステッド・ラベリング、強制アクセス制御ポリシー、および強制インテグリティ制御ポリシーを実施し、これは、システムが、異なるクリアランスおよび必知事項をもつユーザに、異なる機密区分レベルもしくは機密性にあり且つ/又は異なる必知事項カテゴリもしくは区分にある情報を同時に保存および処理することを許すことができるようにする。許可されたユーザは、情報をその実際の機密性レベルで処理することができ、システム・ハイ動作でしばしば生じる情報の恣意的な過剰機密扱いを排除するのに役立つ。
配備されるまたはコモン・クライテリアを使用して評価される本発明の一施形態に関して、本発明は、好ましくは、EAL5アシュアランス要件を満たすように設計され、EAL6およびEAL7の要件の一部も満たされる。これらのEAL要件は大部分がオレンジ・ブック(即ち、TCSEC)のB3アシュアランス要件と類似している。B3のために必要とされるセキュリティ機能が好ましくは達成されるが、本発明の好ましい一実施形態によって満たされる機能要件の正確な組は、顧客から出される保護プロファイルに依存する。
図1に示されるように、クラスB3システムと格付けされたシステムは、TCSECによって必要とされるセキュリティ機能を提供するTCB/TSFを提供する。NCSCの「Guidance for Applying the DoD TCSEC in Specific Environments」(「イエロー・ブック」として知られ、同文献の教示の全体を参照により本明細書に組み込む)は、「オープン・セキュリティ環境のためのセキュリティ・インデックス・マトリックス」を含む。明確にしておくと、オープンおよびクローズドという用語は、システムの動作環境ではなく、その開発環境におけるセキュリティ制御の厳格さを表す。図2は、所与の許可範囲内にあるユーザに所与の区分範囲内にあるデータへのアクセスを許すためにシステムがもつべき、最低限のTCSECレーティング(格付け)を示している。
区分の範囲が広がれば広がるほど、データの保護を保証するために、システムはより高いレーティングを必要とする。クラスB1システム(例えば、コンパートメント・モードのワークステーション)は、非機密扱いから機密の区画にわたって、または機密から最高機密/SCIにわたってデータが区画される多くのマルチレベル処理シナリオに対して、ほとんどアシュアランス(保証)を提供しない。
本発明のオペレーティング・システムのコンポーネントは、好ましくは、トラステッド・コンピューティング・ベース(TCB)およびトラステッド・セキュリティ機能(TSF)を含み、これらがセキュリティ・ポリシーおよび非トラステッド・コマンドを実施し、これらは一般に、Unix(登録商標)および/またはLinux(登録商標)ユーザに馴染み深いユーザ・インタフェースを提供する。
本発明の好ましい一実施形態は、Pentium(登録商標)またはXeon(登録商標)のCPUの4ドメイン・チップ・アーキテクチャを用い、オペレーティング・システム・コンポーネントの強制セキュリティおよびインテグリティ・アクセス制御のポリシーを強化するものであり、これは、セキュリティ・ドメインをハードウェアで物理的に分離することでなされ、それによりシステム・プロセスが互いに改ざんし合うことを防止する。マルチドメインCPUアーキテクチャは、セグメント、ページ、および命令へのアクセスを制限する。図3に示されるように、ドメイン0からドメイン3までの4つのレベルが存在し、ドメイン0が最も特権的なレベルである。CPUは、メモリ参照内での保護違反に対する複数のチェックも提供する。
図3に示されるように、非TSFプロセスとTSFプロセスとは、マルチドメインCPUアーキテクチャへ同じようにマッピングされる。両タイプのプロセスが、同じドメイン0カーネル、ドメイン1トラステッド・システム・サービス、およびドメイン2オペレーティング・システム・サービスへマッピングされる。各ドメインにおけるプロセスについての詳しい情報は以下の通りである。
ドメイン0:セキュリティ・カーネル
最も特権的なドメインであるセキュリティ・カーネルは、システム・セキュリティ・ポリシーを実施するリファレンス・モニタの大部分を含む。完全なセキュリティ評価、テスト、および検証を可能にするために小さく且つ良く構造化されたカーネルは、基本OSサービスを提供する。そのようなサービスは、プロセスおよび装置オブジェクトのための、リソース管理、プロセス・スケジューリング、割り込みおよびトラップ処理、監査、ならびに強制および任意のアクセス・ポリシーの実施を含むが、これらに限定されるものではない。そのような実施を容易にするために、I/Oデバイス・ドライバは、好ましくは、ドメイン0に存在する。ドメイン0プロセスは、ユーザによっての直接呼び出しや変更はできない。
ドメイン1:トラステッド・システム・サービス(TSS)
TSSは、トラステッドおよび非トラステッドの両方のシステム・プロセスおよびアプリケーションのための、ネットワーキング、I/O、ファイル・システム管理、ならびにファイル・システム・オブジェクトの任意アクセス・ポリシーの実施を提供する。TSS環境はセキュリティ・カーネルによって制御され、セキュリティ・カーネルは、TSSおよびその他のすべての動作において、強制セキュリティ、強制インテグリティ、およびサブタイプ制御を実施する。ドメイン1プロセスは、ユーザによっての直接呼び出しや変更はできない。
ドメイン2:オペレーティング・システム・サービス(OSS)
OSSは、Linux(登録商標)用に書かれたアプリケーション、またはLinux(登録商標)ツールを使用するアプリケーションが求めるAPIを提供する。OSSは、本発明の好ましい一実施形態の高信頼態様を管理および使用するのに役立つプロプライエタリAPIも提供する。OSSは、APIを、カーネルおよびTSSによって提供されるトラステッド・オペレーティング・システム・プリミティブへと翻訳する。OSSは、いくつかのアプリケーション信号およびプロセス・グループも管理する。本発明の好ましい一実施形態のセキュリティ・アーキテクチャに起因して、アプリケーションは、TSFのOSS部分のみとインタフェースを取ることができ、TSSやカーネルを直接呼び出すことはできない。
ドメイン3:アプリケーション・ドメイン
プロセスが低いインテグリティで動作しており、特権を有していない場合、それは信頼性をもたない(非トラステッド)と見なされる。これらの非トラステッド・アプリケーションは、Linux(登録商標)/Unix(登録商標)ユーザに馴染み深いユーザ・コマンドおよびツールを含む。トラステッドおよび非トラステッドのアプリケーションは共にドメイン3で実行されるものであり、ドメイン3でのみ実行することができる。
トラステッド・ソフトウェア
トラステッド・ソフトウェアは、独立サービス(例えば、セキュリティ・マップ・エディタ)として動作するすべてのセキュリティ関連の機能を含む。いくつかのトラステッド・ソフトウェア機能は、例えば、TSFの強制および/または任意の制御(管理)をバイパスして、高インテグリティ・ユーザがファイル・システム階層を確立/変更して高インテグリティ・ノードの使用に対応するようにできるように、することができる。トラステッド・ソフトウェア機能は、ユーザ登録/削除、パスワード割り当て、システム・インストール/コンフィギュレーション、および他のオペレーティング・システム・コンポーネントによってサポートされない特権的タスクを含むセキュリティ関連のハウスキーピングのために、システム・オペレータおよび管理者が利用できるものである。なお、セキュリティ関連のハウスキーピングは上記のものに限定されるものではない。ドメイン3ユーザは、アプリケーション・セッション開始などのような少数のトラステッド・ソフトウェア機能を使用できる。
非トラステッド・ソフトウェアおよびランタイム・ライブラリ
また、本発明の好ましい一実施形態のオプション部分として、開発者が自らの非トラステッド・アプリケーションを書くことができるソフトウェア開発環境が含まれる。典型的には、「C」がそのような非トラステッド・アプリケーションのために使用されるプログラミング言語であるが、Linux(登録商標)によってサポートされるその他の言語およびシェルを使用することもできる。非トラステッド・コマンドおよびプログラムは、システムの管理用のオペレーティング・システムを用いて配布される。
トラステッド・データベース
本発明の好ましい一実施形態はトラステッド・データベースをインプリメントし、トラステッド・データベースは、機密ユーザおよびグループ・アクセス、セッション制御、ならびに非特権プロセスによる未許可の変更から保護されるプリント・キュー情報を含む。トラステッド・データベースは、ユーザの開発したトラステッド・プロセス、またはシステム/セキュリティ管理者によって使用されるトラステッド・エディタによってのみ、操作されることができる。
保護の哲学
本発明の好ましい一実施形態をマルチレベルで安全にする強制アクセス・ポリシーを実施するために、オペレーティング・システム・コンポーネントは、リファレンス・モニタをインプリメントする。リファレンス・モニタは、ユーザに代わってアクセスなどを行うトラステッドおよび非トラステッド・プロセスなどのシステム・サブジェクトと、ファイル・システム・オブジェクトやデバイスやセマフォやソケットやプロセスなどのシステム・オブジェクトとの間の認可されたアクセス関係を実施する。
トラステッド・システム・サブジェクトは、システムのトラステッド・データベースを操作する機能、またはTSFの強制および/または任意のアクセス規則の厳格に規制された迂回(circumvention)を実行する機能のために、主に使用される。トラステッド・プロセスの典型的な例は、トラステッド・ガード(Trusted Guard)におけるリグレーダ(Regrader)(再分類手段/再ラベル付け手段)プロセスである。トラステッド・データベースを更新しなければならない、またはオペレーティング・システム・コンポーネントのアクセス制御をバイパスしなければならないそれら少数のプロセスを除いて、非トラステッド・サブジェクトは、大部分のアプリケーション機能を実行するために依存されることができる。
リファレンス・モニタ
リファレンス・モニタは、サブジェクトによってのオブジェクトを参照またはアクセスするそれぞれの試みを、サブジェクトがそのオブジェクトに対して実行することを許可された参照タイプ(読み取り、書き込み、および/または実行を含む)のリストと比較する。リファレンス・モニタのアクセス妥当性検証機構は、サブジェクトによるオブジェクトの参照のたびに呼び出され、それにより、あらゆる未許可アクセスを防止する。そのインテグリティを確実にするため、リファレンス・モニタのアクセス制御/妥当性検証機構は、改ざんされる恐れがないようにプログラムされる。リファレンス・モニタはTSFでインプリメントれ、TSFは、Intel(登録商標)CPUのマルチドメイン分離機構を用いて、ドメイン2およびドメイン3の機能ならびにシステム上で動作するアプリケーションからのリファレンス・モニタの確実な分離を達成する。
TSFアシュアランス機構
本発明のすべてのソフトウェア・プロセスは、好ましくは、Bell−LaPadulaセキュリティ規則およびBibaインテグリティ規則のセキュリティ・カーネルの実施によって、互いに分離される。プロセスは、自らが支配する情報にだけアクセスすることができ、TSF全体は、以下の機構によって未許可(不許可)の改ざんから保護される。
ドメイン分離
ドメイン分離は、カーネルのコードおよびデータを、他のあらゆるドメインのプロセスによる変更から保護し、また、各ドメインのコードおよびデータを、より特権の低いあらゆるドメインのユーザ/プロセスによる変更から保護する。
インテグリティ
システムの強制インテグリティ機構は、TSFプログラム・ファイル、データベース、および大部分のトラステッド・ソフトウェア・プロセスのインテグリティ・レベルを、オペレータに対してまたはそれより高く設定し、非トラステッド・ユーザ(サブジェクト)の最大インテグリティをTSFオブジェクトのインテグリティより低く制限することによって、非トラステッド・ユーザ(サブジェクト)をTSFから排除する。
プロセス分離
トラステッド・ソフトウェア・プロセスは(大部分のアプリケーションと同様に)、その作業データを、その他のプロセスによって共用されることができず、また非トラステッド・ソフトウェアによってアクセスされることができないプロセス・ローカル・データ・エリアに保有する。カーネルは、どのようなプロセスも、別のプロセスのプログラム・テキストおよびローカル・データに直接アクセスすることができないようにし、また、非トラステッド・プロセスがトラステッド・プロセスおよびそのデータを変更することを防止する。
トラステッド・パス
好ましい一実施形態では、端末がTSFと通信可能になる前に、オペレータは、セキュア・アテンション・キー(SAK)を押さなければならず、このキーは、端末を一時的にあらゆる非トラステッド・プロセッサ・プロセスから切り離す。これは、ユーザがTSFと通信しており、TSFプロセスになりすます非トラステッド・プロセスとは通信していないことを、確実にする。トラステッド・ソフトウェアによって使用されるアンロックされた端末は、端末に特有のデバイス・サブタイプによって、非トラステッド・ソフトウェアおよびその他のユーザのプロセスから保護される。ユーザがセキュア・パスを介してTSFに入った場合、セキュア・サーバは、その端末のサブタイプを、そのセッションに関連するすべての非トラステッド・プロセスから切り離す。端末からの非トラステッド・プロセスへのアクセスは、ユーザが明らかにトラステッド環境から出た後にのみ、復帰される。
サブタイプ
サブタイプはトークンのように使用され、システム上のオブジェクトにアクセスするためには、サブジェクトは、そのオブジェクトに対するオブジェクト・サブタイプを所有しなければならない。システムのサブタイプの機構はカーネルによって使用され、アクセスをプロセス、トラステッド・データベース、およびデバイスに制限する。上述したように、サブタイプの主な用途は、トラステッド・パスに対する制御を提供することであり、SAKが押されたとき、サーバは、端末のサブタイプを変更して、非トラステッド・プロセスがそれにアクセスすることを防止する。サブタイプは、ファイル・システム管理(FSM)プロセスによっても使用され、FSMがファイル・オブジェクトへの排他的アクセスを得ることを保証する。FSMは、ファイル・オブジェクトにアクセスするとき、サブタイプを、FSMだけがアクセス可能なものにリセットする。ファイルを処理し終わった後、FSMは、ファイルをその元のサブタイプへとリセットする。最後に、サブタイプはシステムのトラステッド・データベースを保護するために使用され、それは、データベースにアクセスするのに必要な適切なサブタイプをトラステッド・プログラムにのみ与えることによってなされる。
強制セキュリティ・ポリシー
本発明の好ましい一実施形態の各オブジェクトは、一意の識別子によって参照され、そして、必知事項、強制アクセス属性および任意アクセス属性に基づく非階層的な強制アクセス制御をインプリメントするために、そのオブジェクト自体の、アクセスおよびステータス情報(サブタイプを含む)の組を有する。オブジェクトの強制アクセス情報は、その強制のセキュリティおよびインテグリティのレベルならびにカテゴリまたは区分を含むものであり、この情報は、カーネルがオブジェクトに関連する強制アクセス制御を決定するときの基礎を提供する。
本発明の好ましい一実施形態のサブジェクトは、コンピュータ・セキュリティ・ポリシーのNCSC認可のBell−LaPadulaの正式な数学的モデルに従ってオブジェクトだけを参照することができる。このポリシーは、データを未許可アクセスから保護するために設計されたセキュリティ規則の組によって実施される。簡潔に述べると、数学的モデルは以下のように動作する。
簡易セキュリティ: サブジェクトは、サブジェクトのセキュリティ・レベルがオブジェクトより優位にある場合にのみ、オブジェクトの読み取りまたは実行を行うことができる。
セキュリティ特性(SecurityProperty): サブジェクトは、オブジェクトのセキュリティ・レベルがサブジェクトより優位にある場合にのみ、オブジェクトに書き込みを行うことができる。本発明のセキュリティ特性のインプリメントは、好ましくは、サブジェクトとオブジェクトとが同じセキュリティ・レベルにある場合にのみ、サブジェクトがオブジェクトに書き込みを行うこと許可する。これは、より低いレベルのサブジェクトが、後でアクセスできないより高いレベルのオブジェクトへ書き込みを行うことを防止する。
本発明の好ましい一実施形態は、16の階層のセキュリティ区分と、64の独立した非階層的な「必知事項」セキュリティ・カテゴリ/区分とをサポートする。
強制インテグリティ・ポリシー
本発明の好ましい一実施形態は、システムの強制インテグリティ規則を実施するK.J.Bibaのインテグリティ・ポリシーを実施するものであり、K.J.Bibaのインテグリティ・ポリシーはBell−LaPadulaのモデルの結果として生じるものである。システムの強制セキュリティ規則により、情報が未許可に開示されないように保護されるように、システムの強制インテグリティ規則は、情報に未許可の変更がなされないように保護する。
システムの強制インテグリティ・ポリシーは、セキュリティ管理者または開発者が、保護水準が高い実行ドメインを確立することを可能にするものであり、そのドメインの状態は、実行可能な主体はそれらが必要とするファイルを読むことができるが、それらのファイルは、未許可のロジックまたは悪意のあるコードによる変更から保護されている、というものである。本発明の好ましい一実施形態は現在は、8つの階層的な役割に基づくインテグリティ区分と、16の独立した非階層的な必知事項インテグリティ・カテゴリ/区分をサポートする。簡潔に述べると、インテグリティ・モデルは以下のように動作する。
単純インテグリティ: サブジェクトは、オブジェクトのインテグリティ・レベルがサブジェクトより優位にある場合にのみ、オブジェクト(例えば、データ・ファイル)に対して読み出しまたは実行を行うことができる。
インテグリティ特性(IntegrityPropeerty): サブジェクトは、サブジェクトのインテグリティ・レベルがオブジェクトより優位にある場合にのみ、オブジェクトに書き込みを行うことができる。本発明のインテグリティ特性は、好ましくは、サブジェクトとオブジェクトとのインテグリティ・レベルが同じ場合にのみ、サブジェクトがオブジェクトに書き込みを行うことを許し、高いインテグリティのサブジェクトが、後でアクセスできない低いインテグリティのオブジェクト(他のソフトウェアによって信頼できると見なされ得る)へ書き込みを行うことを防止する。
任意アクセス制御
本発明は、好ましくは、任意アクセス・ポリシーを実施し、それによって、オブジェクトへのアクセスが、オブジェクトに関連づけられたサブジェクトの識別情報および/またはそれらのサブジェクトが所属するグループの識別情報に従って、オブジェクトのオーナによって割り当てられる。オブジェクトの任意アクセス情報は、少なくとも7つまでのユーザおよびグループの識別子(オブジェクトを所有するユーザおよび所有するグループを含む)と、それらの個々の読み取り、書き込み、および実行の許可とを含む。読み取り、書き込み、および実行の許可は、「全体(world)」に対しても提供される。
アクセス・モード: サブジェクトは、オブジェクトのオーナによって承諾されたモード(1または複数)においてのみ、オブジェクトにアクセスすることができる。各オブジェクトには、オブジェクトのオーナ、オーナのグループ(1または複数)、オーナによって許可された他のグループのメンバ、およびすべての他者(「全体」許可)に対しての、読み取り、書き込み、および実行の許可が割り当てられる。
TSFは、サブジェクトがオブジェクトへの任意アクセスを承諾されるべきかどうかを決定するために、以下の一連の規則を実施する。
もしサブジェクトがオブジェクトを所有するならば、指定されたオーナ許可を使用せよ、その他の場合、
もしサブジェクトがシステムのアクセス制御リストにエントリを有するならば、それらの許可を使用せよ、その他の場合、
もしサブジェクトのグループがオブジェクトのグループと同じならば、指定されたグループ許可を使用せよ、その他の場合、
もしサブジェクトのグループがACLの中に存在するならば、グループACL許可を使用せよ、その他の場合、
指定された「全体」許可を使用せよ。
サブタイプ制御
プロセス、装置、およびファイル・システムのオブジェクトは、強制制御および任意制御に加えて、サブタイプによっても制御される。サブタイプは、非階層的である。アプリケーションが同じオーナーで同じ強制レベルで動作するとしても、サブタイプは、それらのアプリケーションを分離するために(例えば、ガードにおけるステージなど)、トラステッド・アプリケーションによって利用されることができる。
隠れチャネル(covert channel)保護
強制セキュリティ・ポリシーを実施するシステムは、強制セキュリティ・ポリシーに反する意図せぬ信号チャネルや不正な情報フローをなおも許すことがあり得る。そのような信号チャネルおよび不正なフローは、隠れチャネルとして一般に知られている。本発明を限定することを意図しない一例として、典型的な隠れチャネルは、ファイル・システムを使用して作られるものであり、例えば、低セキュリティ・レベルで悪意のあるプロセスがファイル作成を試みることにより作られる。そのような例では、ファイル作成の試みが成功した場合、それは「1」に等しいと見なされ、ファイル作成の試みが失敗した場合、それは「0」に等しいと見なされる。高セキュリティ・プロセスは、ファイル・システムまたはその一部を満たすことによって、ファイル作成の試みが成功であるかどうかを制御することができる。従って、ビットのストリングは、高セキュリティ・プロセスから低セキュリティ・プロセスへ、このシーケンスを繰り返すことによって、効果的に伝えられることができ、高セキュリティ・プロセスは、低セキュリティ・プロセスの作成の試みが成功することを望む場合、ファイルを除去する。そのような通信手段は、非常に効果的であることができ、強制セキュリティ・ポリシーなどを回避するのに使用できる。
隠れチャネルは、一般に、使用するのが難しく、低アシュアランス・システムは、それらを文書化することや減らすことを要求されない。しかし、本発明の好ましい一実施形態は、高アシュアランスであるように、また、非常に敵対的な環境において保護を提供するように設計され、従って、本発明は、好ましくは、隠れチャネルの数および容量(即ち、速度)を減らすための機構を組み入れ、潜在的な隠れチャネルは文書にされる。本発明の好ましい一実施形態で使用される、隠れチャネルの使用に対する保護に役立つ機構は、タイミング遅延を導入すること、および隠れチャネルとして使用され得る状況においてステータス値の覆い隠すことを含むが、これらに限定されるものではない。
ハードウェア
本発明の好ましい一実施形態は、好ましくは、パフォーマンスを向上させるため、Intel(登録商標)「Prestonia」Xeon(登録商標)2+GHz CPUの際立った処理能力および内部構成を用いる。図4は、本発明の好ましい標準的なハードウェア構成に関する詳細を提供しており、本発明の好ましい一実施形態のオペレーティング・システム・コンポーネントがサポートするハードウェア周辺機器を含んでいる。
本発明の好ましい一実施形態は、タワー・ケースもしくはラック・マウント型の構成で、または高密度、TEMPEST、およびゾーン(Zone)の実施形態で実施されることができる。一貫性があり信頼姓がありセキュアな製品を送ることを保証するため、慎重なコンフィギュレーション制御およびテストが適用される。
アプリケーション
本発明の先の一実施形態上のトラステッド・アプリケーションは、マルチレベル・セキュリティ(MLS)を、MLSシステムが低いリスクかつ大きい利益(payoff)での操作構成(operational configuration)において広く配備されているところまで成熟させることの、大きな手助けをした。先の実施形態を高保証プラットホームとして使用する、今動作するトラステッド・アプリケーション(そのいくつかは出願人らによって開発された)についての数々の認可および認定の作業が成し遂げられた。これらのアプリケーションの多くは、異なる機密性レベル(例えば、機密区分)および/または「必知事項」(カテゴリもしくは区分)で動作するネットワークの中での情報の厳格に制御された共有を許すように設計された、トラステッド・ガードである。
本発明の好ましい一実施形態は、これらの古いトラステッド・アプリケーションとバックワード・コンパチブルとなるように設計されることもできる。しかし、本発明のためのトラステッド・ガード・アプリケーションを構築するための2つの「イネーブリング・テクノロジ(enabling technologies)」、即ち、DataSyncガードおよび標準自動ガード環境(SAGE:Standard Automated Guard Environment)も開発された。
本発明の好ましい一実施形態のオペレーティング・システム・コンポーネントを用いれば、トラステッド・アプリケーションの開発がはるかに容易になる。アプリケーションは、「実際の」Linux(登録商標)システム上ですべて作成されることができ、また、開発システムとして実施される本発明の一実施形態上ですべて作成されることができ、また、その両方で部分別に作成されることができる。これらの開発環境のいずれにおいても、迅速に進化する開発ツールの完全に新しくかつ富かな組を、プログラマおよび設計者は利用できる。
ガード・イネーブリング・テクノロジ
DataSync Guard(ガード)
カスタマイズ可能なDataSyncガード(登録商標)は、トラステッド・ガード・アプリケーションの新世代を代表する、史上初のTCP/IPソケット・ベースの高アシュアランス・ガードである。DataSyncガードは、異なる機密区分(または機密性)レベルで別々のシステム・ハイ(system-high)のネットワーク上に存在するシステム間でのコネクション指向のデータ転送を管理するセキュリティ・ポリシーを厳格に実施する。DataSyncガードは、ほぼリアルタイムのデータ転送を達成する。元々は異なる機密性レベルで動作するデータベースの高信頼の同期を可能にするために考案されたDataSyncガードは、通信プロトコルから独立しており、データをソケット・コネクションを介してガードに転送することができる任意の2つのシステム間を流れるASCII、HTML、XML、整形式(well-formed)のバイナリ・データ、およびその他のデータを処理することができる。
そのデータ転送機構として「蓄積交換」ファイル転送プロトコルをTCP/IPソケットで置き換えることによって、また、その処理の大部分をRAM内で実行して、ディスクに対して書き込みや読み取りを行う必要をなくし、またデータが1つのガード・サブルーチンから別のガード・サブルーチンへ渡されるたびにファイル・システムを再同期させる必要をなくすことによって、DataSyncガードは、データ・スループット中のトランザクションの待ち時間遅延を低減する。
現在の好ましい一実施形態では、DataSyncガードは、最大4つの異なる単一レベルのシステム・ハイのネットワーク上のデータベース間でデータ転送を仲介するために、複雑なフィルタ・プロファイルをサポートすることができる。DataSyncガードは、ASCIIおよび/または整形式のバイナリ・データをフィルタリングすることができ、データベース・トランザクションのヘッダのフォーマットが正しいことのチェックと、各データ・エレメントの内容についてのセキュリティ・チェックとを共に実行する。DataSyncガードは、複数の「if−then−else」アクション、および洗練されたダーティー・ワード/クリーン・ワード(dirty word/clean word)サーチを実施することができる。
標準自動ガード環境
標準自動ガード環境(SAGE(登録商標))は、1組の設計コンセプト、インターフェース定義、実行可能コード、および認定文書である。SAGEは、別名トラステッド・ゲートウェイとも呼ばれる、コネクションレス(蓄積交換)トラステッド・ガードを構築するための開発環境である。
SAGEは、大部分のガードが必要とする共通エレメント(プロセス、ライブラリなど)を提供することによって、トラステッド・ガードをインプリメントするのに必要とされるコーディングを最小限に抑える。SAGEは、ガードのTSSFを最小にすることによって、これらのガードの認可および認定を容易にする。SAGEは、よく構造化されたフレームワークを提供し、それにより、プログラマは「ゼロから(from scratch)」トラステッド・ガード・アプリケーションを開発するよりも迅速かつ容易にそれらのアプリケーションを構築することができる。SAGEガードの全般的な目的は、異なるセキュリティ特性をもつ2つのシステムまたはネットワークの間での制限されたデータ・フローを、安全に、自動的に、かつ効率的に可能にすることである。ガード開発者によってセキュリティ・ポリシーをカスタマイズすることができるが、SAGEは、正確にそのポリシーを実施するように設計され、そして、データが本発明の好ましい一実施形態にあるときにそのデータを未許可の開示や変更から保護するように設計されている。
SAGEは、標準ANSI Cで開発され、認定の負担を和らげるために、トラステッド・ソフトウェア原則を使用して文書化されている。米国国防総省、米国国務省、および米国空軍向けのガードを含む複数のSAGEガードが、すでに認定されている。
本発明が詳細にかつその具体的な実施形態を参照して説明されたが、本発明の主旨および範囲から逸脱することなく、様々な改変および変更が本発明に施され得ることが、当業者には明らかであろう。従って、本発明の変更および変形が添付の特許請求の範囲およびその均等物の範囲に包含される限り、本発明はそのような変更および変形を含むものとする。
図1は、様々なTCSECセキュリティ区分レベルを達成するための要件の高水準の概要を提供する表である。 図2は、所与の許可の範囲内にあるユーザに、所与の区分の範囲内にあるデータへのアクセスを許すためにシステムがもつべき、最低限のTCSEC評価を示す表である。 図3は、本発明の好ましい一実施形態で用いられる4ドメイン構成を示すブロック図である。 図4は、本発明の好ましい一実施形態の一部として使用されるコンピュータ・システムについての現在好ましいハードウェアの仕様を提供する表である。

Claims (46)

  1. トラステッド・オペレーティング・システムであって、
    トラステッド・アプリケーションおよび非トラステッド・アプリケーションがそこで実行されることができるアプリケーション・ドメインと、
    オペレーティング・システム・サービス・レイヤであって、少なくとも1つの他のオペレーティング・システム用に書かれたアプリケーションが前記トラステッド・オペレーティング・システムで実行されることを可能にするインタフェースを提供し、それによって、前記少なくとも1つの他のオペレーティング・システムをエミュレートする、オペレーティング・システム・サービス・レイヤと、
    トラステッド・システム・サービス・レイヤと、
    システム・セキュリティ・ポリシーおよびインテグリティ規則を実施するため、ならびにユーザおよび管理者のアクションを促進することを含む基本オペレーティング・システム・サービスを提供するためのセキュリティ・カーネルと
    を含むトラステッド・オペレーティング・システム。
  2. 前記オペレーティング・システムが、マルチドメイン・プロセス分離機能を、プロセス分離を確実にするために該オペレーティング・システムが実行されているハードウェアにおいて、用いる、請求項1に記載のトラステッド・オペレーティング・システム。
  3. 前記ハードウェア・マルチドメイン・プロセス分離機能が、セグメント、ページ、および命令へのアクセスを制限する、請求項2に記載のトラステッド・オペレーティング・システム。
  4. 前記ハードウェア・マルチドメイン・プロセス分離機能が、メモリ参照内での保護違反に対する複数のチェックも提供する、請求項3に記載のトラステッド・オペレーティング・システム。
  5. 前記アプリケーション・ドメインが、少なくとも1つの開発環境が実行されることを可能にする、請求項1に記載のトラステッド・オペレーティング・システム。
  6. 前記開発環境が、統合された開発環境である、請求項5に記載のトラステッド・オペレーティング・システム。
  7. 前記カーネル・レイヤが、前記トラステッド・オペレーティング・システム内で、強制セキュリティ、強制インテグリティ、およびサブタイプの制御を実施する、請求項1に記載のトラステッド・オペレーティング・システム。
  8. 前記セキュリティ・カーネルが、強制セキュリティ制御および強制インテグリティ・アクセス制御を実施することによってユーザとデータとを分離する、請求項1に記載のトラステッド・オペレーティング・システム。
  9. 前記トラステッド・オペレーティング・システムが、更に、任意アクセス制御を実施することによってユーザとデータとを分離する、請求項8に記載のトラステッド・オペレーティング・システム。
  10. 前記トラステッド・オペレーティング・システムが、インテグリティ・ポリシーを使用して管理者役割とオペレータ役割とを分離する、請求項9に記載のトラステッド・オペレーティング・システム。
  11. 前記トラステッド・オペレーティング・システムが、管理者役割およびオペレータ役割に対して最小特権の原則を実施する、請求項10に記載のトラステッド・オペレーティング・システム。
  12. ユーザおよび管理者のアクションが、少なくとも1つの監査ログにおいて監査される、請求項8に記載のトラステッド・オペレーティング・システム。
  13. 少なくとも1つの監査ログが、変更から保護される、請求項12に記載のトラステッド・オペレーティング・システム。
  14. すべての監査ログが、変更から保護される、請求項13に記載のトラステッド・オペレーティング・システム。
  15. ユーザのログイン失敗が監視されて、セキュリティ・ポリシー違反が今にも起こりかねないことを示すイベントの累積を検出する、請求項1に記載のトラステッド・オペレーティング・システム。
  16. 前記セキュリティ・カーネルは、異なるクリアランスをもつユーザが異なる機密区分レベルに存在する情報を同時に保存および処理することを可能にする、請求項1に記載のトラステッド・オペレーティング・システム。
  17. 前記セキュリティ・カーネルは、データがユーザのインテグリティ・レベルまたはそれより高いインテグリティ・レベルにある場合にのみ、前記ユーザがそのデータを処理することを可能にする、請求項16に記載のトラステッド・オペレーティング・システム。
  18. 前記トラステッド・ソフトウェアはトラステッド・データベースを含む、請求項1に記載のトラステッド・オペレーティング・システム。
  19. リファレンス・モニタを更に含む、請求項1に記載のトラステッド・オペレーティング・システム。
  20. 前記セキュリティ・カーネルは、非トラステッド・ソフトウェアがトラステッド・ソフトウェア・プロセスに関連する作業データにアクセスしないようにプロセス分離を実施する、請求項1に記載のトラステッド・オペレーティング・システム。
  21. 前記オペレーティング・システム・サービス・レイヤによってエミュレートされる前記少なくとも1つの他のオペレーティング・システムのうちの少なくとも1つがLinux(登録商標)である、請求項1に記載のトラステッド・オペレーティング・システム。
  22. 前記オペレーティング・システム・サービス・レイヤが、更に、前記トラステッド・システム・サービス・レイヤの高信頼態様を管理および使用するために、少なくとも1つのプロプライエタリAPIを提供する、請求項1に記載のトラステッド・オペレーティング・システム。
  23. 前記オペレーティング・システム・サービス・レイヤが、APIコールを、前記セキュリティ・カーネルおよびトラステッド・システム・サービス・レイヤによって提供されるトラステッド・オペレーティング・システム・プリミティブへと、翻訳する、請求項22に記載のトラステッド・オペレーティング・システム。
  24. 前記アプリケーション・ドメインで動作するアプリケーションが、前記オペレーティング・システム・サービス・レイヤとのみインタフェースを行うことができ、直接に前記トラステッド・システム・サービスまたはカーネル・レイヤによって提供される機能を呼び出すことができない、請求項1に記載のトラステッド・オペレーティング・システム。
  25. トラステッド・コンピュータ・システムであって、
    各々がマルチドメイン・アーキテクチャをサポートする少なくとも1つのプロセッサと、
    前記トラステッド・コンピュータ・システムの操作を容易にするための少なくとも1つの端末と、
    少なくとも1つのデータ記憶ユニットと、
    少なくとも1つのメモリ・ユニットと、
    前記トラステッド・コンピューティング・システム上で動作するセキュア・オペレーティング・システムであって、プロセス分離を実施するために前記少なくとも1つのプロセッサの前記マルチドメイン・アーキテクチャを用いるセキュア・オペレーティング・システムと
    を含むトラステッド・コンピュータ・システム。
  26. 前記少なくとも1つのプロセッサがインテルPentium(登録商標)クラスのマイクロプロセッサである、請求項25に記載のトラステッド・コンピュータ・システム。
  27. 前記少なくとも1つのデータ記憶ユニットがハード・ドライブである、請求項25に記載のトラステッド・コンピュータ・システム。
  28. 前記少なくとも1つのメモリ記憶ユニットがランダム・アクセス・メモリである、請求項25に記載のトラステッド・コンピュータ・システム。
  29. 少なくとも1つのネットワーク・インタフェースを更に含む請求項25に記載のトラステッド・コンピュータ・システム。
  30. セキュア・アテンション・キーを更に含む請求項25に記載のトラステッド・コンピュータ・システム。
  31. セキュリティ・ポリシー強化システムであって、
    少なくとも1つがマルチドメイン・アーキテクチャをインプリメントする、少なくとも1つのプロセッサと、
    少なくとも1つのランダム・アクセス・メモリ・ユニットと、
    データがそれぞれのセキュリティ区分レベルに存在する少なくとも2つの異なるセキュリティ区分レベルを働かせるセキュア・オペレーティング・システムと、
    データの内容に関してセキュリティ・チェックを実行して、前記データを前記セキュア・オペレーティング・システムによって1つの機密区分レベルから別の機密区分レベルへ転送できるか否かを決定する少なくとも1つのデータ・セキュリティ検証手段と
    を含むセキュリティ・ポリシー強化システム。
  32. 少なくとも1つのネットワーク・インタフェースを更に含む、請求項31に記載のセキュリティ・ポリシー強化システム。
  33. 前記少なくとも1つのネットワーク・インタフェースは、前記セキュリティ・ポリシー強化システムを、伝送制御プロトコル(TCP)およびインターネット・プロトコル(IP)を使用する少なくとも1つのネットワークに接続する、請求項31に記載のセキュリティ・ポリシー強化システム。
  34. 前記セキュリティ・ポリシー強化システムを少なくとも2つのネットワークに接続する少なくとも2つのネットワーク・インタフェースを更に含む、請求項31に記載のセキュリティ・ポリシー強化システム。
  35. 前記少なくとも2つのネットワークの各々が異なる機密区分レベルで動作する、請求項34に記載のセキュリティ・ポリシー強化システム。
  36. 前記少なくとも2つのネットワークが伝送制御プロトコル(TCP)およびインターネット・プロトコル(IP)を用いる、請求項35に記載のセキュリティ・ポリシー強化システム。
  37. 前記セキュア・オペレーティング・システムが、プロセス分離を確実にするために、前記少なくとも1つのプロセッサの前記マルチドメイン・アーキテクチャを用いる、請求項31に記載のセキュリティ・ポリシー強化システム。
  38. 前記セキュア・オペレーティング・システムは、少なくとも1つの他のオペレーティング・システム用に書かれたアプリケーションがトラステッド・オペレーティング・システムで実行されることを可能にするインタフェースを提供する、請求項31に記載のセキュリティ・ポリシー強化システム。
  39. 前記少なくとも1つのデータ・セキュリティ検証手段によって実行される前記セキュリティ・チェックが、前記少なくとも1つのランダム・アクセス・メモリ・ユニットで実行される、請求項31に記載のセキュリティ・ポリシー強化システム。
  40. 別のオペレーティング・システムをエミュレートするトラステッド・オペレーティング・システムであって、前記別のオペレーティング・システム用に書かれたアプリケーション・プログラムが、そのアプリケーション・プログラムに対する変更を必要とせずに前記トラステッド・オペレーティング・システム上で実行されることを可能にする、トラステッド・オペレーティング・システム。
  41. エミュレートされた前記オペレーティング・システムがオープン・ソース・オペレーティング・システムである、請求項40に記載のトラステッド・オペレーティング・システム。
  42. 複数のプロセスを同時に実行することができ、強制アクセスおよび任意アクセスの範囲を超えた追加的なアクセス制御区別化を可能にするサブタイプ機構を提供するトラステッド・オペレーティング・システム。
  43. 前記サブタイプ機構は、
    前記オブジェクトのサブタイプが、第1のプロセスによってアクセスされることを許可されたサブタイプのリストにある場合にのみ、前記第1のプロセスがプロセス・オブジェクト、ファイル・システム・オブジェクト、または装置オブジェクトにアクセスすることを許可する、請求項42に記載のトラステッド・オペレーティング・システム。
  44. 前記サブタイプ機構は、データのサブタイプが、第1のプロセスによってアクセスされることを許可されたサブタイプのリストにある場合にのみ、前記第1のプロセスが前記データにアクセスすることを許可する、請求項42に記載のトラステッド・オペレーティング・システム。
  45. 任意のプロセスが任意のファイル・システム・オブジェクトにアクセスを試みるときはいつでも4つの個別のポリシーが実施されるトラステッド・オペレーティング・システムであって、前記ポリシーは、
    強制セキュリティ・ポリシーと、
    強制インテグリティ・ポリシーと、
    任意アクセス制御ポリシーと、
    サブタイプ・ポリシーと
    を含む、
    トラステッド・オペレーティング・システム。
  46. 隠れストレージ・チャネルの数および速度を制限することによって、第1のプロセスが、より高い機密扱いの第2のプロセスの存在または状態について知ることを防止するように構成されるトラステッド・オペレーティング・システム。
JP2006517366A 2003-06-17 2004-06-15 トラステッド・コンピュータ・システム Pending JP2007524148A (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US10/462,771 US7103914B2 (en) 2002-06-17 2003-06-17 Trusted computer system
PCT/US2004/019434 WO2005001639A2 (en) 2003-06-17 2004-06-15 Trusted computer system

Publications (1)

Publication Number Publication Date
JP2007524148A true JP2007524148A (ja) 2007-08-23

Family

ID=33551373

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2006517366A Pending JP2007524148A (ja) 2003-06-17 2004-06-15 トラステッド・コンピュータ・システム

Country Status (4)

Country Link
US (7) US7103914B2 (ja)
EP (1) EP1645069A4 (ja)
JP (1) JP2007524148A (ja)
WO (1) WO2005001639A2 (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009020782A (ja) * 2007-07-13 2009-01-29 Hitachi Software Eng Co Ltd セキュアosのセキュリティポリシの最適化方法及びプログラム
JP2010092465A (ja) * 2008-10-06 2010-04-22 Internatl Business Mach Corp <Ibm> ハードウェア・ベースの強制アクセス制御
KR102405886B1 (ko) 2022-03-17 2022-06-08 주식회사 넷아스 아키텍처 변경을 위한 소스 변환 솔루션 제공 장치 및 방법

Families Citing this family (139)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US8010558B2 (en) 2001-06-05 2011-08-30 Silicon Graphics International Relocation of metadata server with outstanding DMAPI requests
US20040139125A1 (en) 2001-06-05 2004-07-15 Roger Strassburg Snapshot copy of data volume during data access
US7640582B2 (en) 2003-04-16 2009-12-29 Silicon Graphics International Clustered filesystem for mix of trusted and untrusted nodes
US7617292B2 (en) 2001-06-05 2009-11-10 Silicon Graphics International Multi-class heterogeneous clients in a clustered filesystem
US20040143749A1 (en) * 2003-01-16 2004-07-22 Platformlogic, Inc. Behavior-based host-based intrusion prevention system
US7530103B2 (en) * 2003-08-07 2009-05-05 Microsoft Corporation Projection of trustworthiness from a trusted environment to an untrusted environment
US7313679B2 (en) * 2003-10-17 2007-12-25 Intel Corporation Extended trusted computing base
US20050198099A1 (en) * 2004-02-24 2005-09-08 Covelight Systems, Inc. Methods, systems and computer program products for monitoring protocol responses for a server application
JP4728610B2 (ja) * 2004-08-04 2011-07-20 株式会社リコー アクセス制御リスト添付システム、オリジナルコンテンツ作成者端末、ポリシーサーバ、オリジナルコンテンツデータ管理サーバ、プログラム及び記録媒体
US8181219B2 (en) 2004-10-01 2012-05-15 Microsoft Corporation Access authorization having embedded policies
US7818781B2 (en) * 2004-10-01 2010-10-19 Microsoft Corporation Behavior blocking access control
US8307453B1 (en) * 2004-11-29 2012-11-06 Symantec Corporation Zone breakout detection
US7882317B2 (en) * 2004-12-06 2011-02-01 Microsoft Corporation Process isolation using protection domains
US8020141B2 (en) * 2004-12-06 2011-09-13 Microsoft Corporation Operating-system process construction
US8601283B2 (en) * 2004-12-21 2013-12-03 Sandisk Technologies Inc. Method for versatile content control with partitioning
US8504849B2 (en) 2004-12-21 2013-08-06 Sandisk Technologies Inc. Method for versatile content control
US20070168292A1 (en) * 2004-12-21 2007-07-19 Fabrice Jogand-Coulomb Memory system with versatile content control
US7620974B2 (en) * 2005-01-12 2009-11-17 Symantec Distributed traffic scanning through data stream security tagging
US8335760B1 (en) * 2005-02-07 2012-12-18 Hewlett-Packard Development, L. P. Grid computing system to manage utility service content
US7474618B2 (en) * 2005-03-02 2009-01-06 Objective Interface Systems, Inc. Partitioning communication system
US20060200489A1 (en) * 2005-03-03 2006-09-07 Microsoft Corporation Company modeling
US7900152B2 (en) * 2005-03-03 2011-03-01 Microsoft Corporation Adaptable user interface for business software
US8849968B2 (en) 2005-06-20 2014-09-30 Microsoft Corporation Secure and stable hosting of third-party extensions to web services
US7657834B2 (en) * 2005-06-29 2010-02-02 Trusted Computer Solutions Sensitivity label translation
US20070044151A1 (en) * 2005-08-22 2007-02-22 International Business Machines Corporation System integrity manager
US7610285B1 (en) * 2005-09-21 2009-10-27 Stored IQ System and method for classifying objects
US7725737B2 (en) * 2005-10-14 2010-05-25 Check Point Software Technologies, Inc. System and methodology providing secure workspace environment
US20070094495A1 (en) * 2005-10-26 2007-04-26 Microsoft Corporation Statically Verifiable Inter-Process-Communicative Isolated Processes
US8074231B2 (en) * 2005-10-26 2011-12-06 Microsoft Corporation Configuration of isolated extensions and device drivers
US8146138B2 (en) * 2005-12-15 2012-03-27 Microsoft Corporation Access unit switching through physical mediation
US8161529B1 (en) * 2006-03-02 2012-04-17 Rockwell Collins, Inc. High-assurance architecture for routing of information between networks of differing security level
US7606254B1 (en) * 2006-03-02 2009-10-20 Rockwell Collins, Inc. Evaluatable high-assurance guard for security applications
US7930727B1 (en) * 2006-03-30 2011-04-19 Emc Corporation System and method for measuring and enforcing security policy compliance for software during the development process of the software
US8161281B1 (en) * 2006-04-13 2012-04-17 Rockwell Collins, Inc. High assurance data tagger for I/O feeds
DE102006020093A1 (de) * 2006-04-26 2007-10-31 IHP GmbH - Innovations for High Performance Microelectronics/Institut für innovative Mikroelektronik Geschütztes Ausführen einer Datenverarbeitungsanwendung eines Diensteanbieters für einen Nutzer durch eine vertrauenswürdige Ausführungsumgebung
US8561189B2 (en) * 2006-06-23 2013-10-15 Battelle Memorial Institute Method and apparatus for distributed intrusion protection system for ultra high bandwidth networks
US8032898B2 (en) * 2006-06-30 2011-10-04 Microsoft Corporation Kernel interface with categorized kernel objects
US8639939B2 (en) * 2006-07-07 2014-01-28 Sandisk Technologies Inc. Control method using identity objects
US8613103B2 (en) * 2006-07-07 2013-12-17 Sandisk Technologies Inc. Content control method using versatile control structure
US8266711B2 (en) * 2006-07-07 2012-09-11 Sandisk Technologies Inc. Method for controlling information supplied from memory device
GB2442497B (en) * 2006-10-02 2010-03-31 Transitive Ltd Method and apparatus for administering a process filesystem with respect to program code conversion
US7840795B2 (en) * 2006-10-17 2010-11-23 Zachary Nathaniel Joseph Peterson Method and apparatus for limiting access to sensitive data
US8087065B2 (en) * 2006-11-17 2011-12-27 Mcafee, Inc. Method and system for implementing mandatory file access control in native discretionary access control environments
US8887296B2 (en) * 2006-12-12 2014-11-11 The Boeing Company Method and system for object-based multi-level security in a service oriented architecture
US8127133B2 (en) * 2007-01-25 2012-02-28 Microsoft Corporation Labeling of data objects to apply and enforce policies
GB0701518D0 (en) * 2007-01-26 2007-03-07 Hewlett Packard Development Co Methods, devices and data structures for protection of data
US20080209535A1 (en) * 2007-02-28 2008-08-28 Tresys Technology, Llc Configuration of mandatory access control security policies
US8789063B2 (en) * 2007-03-30 2014-07-22 Microsoft Corporation Master and subordinate operating system kernels for heterogeneous multiprocessor systems
US8443191B2 (en) 2007-04-09 2013-05-14 Objective Interface Systems, Inc. System and method for accessing information resources using cryptographic authorization permits
US7949998B2 (en) * 2007-04-20 2011-05-24 Microsoft Corporation Programming framework for closed systems
US20090007256A1 (en) * 2007-06-28 2009-01-01 Microsoft Corporation Using a trusted entity to drive security decisions
US8359467B2 (en) * 2007-07-07 2013-01-22 Hewlett-Packard Development Company, L.P. Access control system and method
US8769268B2 (en) * 2007-07-20 2014-07-01 Check Point Software Technologies, Inc. System and methods providing secure workspace sessions
WO2009018483A1 (en) * 2007-07-31 2009-02-05 Viasat, Inc. Input output access controller
US8463815B1 (en) 2007-11-13 2013-06-11 Storediq, Inc. System and method for access controls
US8256007B2 (en) 2008-03-25 2012-08-28 Northrop Grumman Systems Corporation Data security management system and methods
US9418219B2 (en) * 2008-04-11 2016-08-16 Microsoft Technology Licensing, Llc Inter-process message security
US9166797B2 (en) * 2008-10-24 2015-10-20 Microsoft Technology Licensing, Llc Secured compartment for transactions
US9213566B2 (en) * 2008-11-26 2015-12-15 Red Hat, Inc. Implementing security in process-based virtualization
US9594900B2 (en) * 2008-12-09 2017-03-14 Microsoft Technology Licensing, Llc Isolating applications hosted by plug-in code
US9104618B2 (en) 2008-12-18 2015-08-11 Sandisk Technologies Inc. Managing access to an address range in a storage device
JP5274266B2 (ja) * 2009-01-07 2013-08-28 キヤノン株式会社 文書管理装置、文書管理システム、文書管理方法およびコンピュータプログラム
US20100199357A1 (en) * 2009-02-02 2010-08-05 Microsoft Corporation Secure hosting for untrusted code
US8886672B2 (en) * 2009-03-12 2014-11-11 International Business Machines Corporation Providing access in a distributed filesystem
US8572675B2 (en) * 2009-04-03 2013-10-29 The Boeing Company System and method for facilitating the provision of web services across different internet security domains
US8468607B2 (en) * 2009-10-07 2013-06-18 International Business Machines Corporation Associating multiple security domains to application servers
US9003517B2 (en) 2009-10-28 2015-04-07 Microsoft Technology Licensing, Llc Isolation and presentation of untrusted data
US8499351B1 (en) * 2009-12-17 2013-07-30 Mcafee, Inc. Isolated security monitoring system
CN101938459A (zh) * 2010-06-22 2011-01-05 北京豪讯美通科技有限公司 全程全网安全协同防御系统
US8776036B2 (en) 2010-11-23 2014-07-08 Red Hat, Inc. Determining support criteria for shared libraries based on their priority levels
US8887122B2 (en) 2010-11-23 2014-11-11 Red Hat, Inc. Find and track information of interface usage of software libraries by other software
US8938706B2 (en) * 2010-11-23 2015-01-20 Red Hat, Inc. Providing customized visualization of application binary interface/application programming interface-related information
US8863108B2 (en) 2010-11-23 2014-10-14 Red Hat, Inc. Finding out if software will run on an operating system without installing that software
US10511630B1 (en) 2010-12-10 2019-12-17 CellSec, Inc. Dividing a data processing device into separate security domains
KR20120070771A (ko) * 2010-12-22 2012-07-02 한국전자통신연구원 정량적 보안 정책 평가 장치 및 방법
WO2012110795A1 (en) * 2011-02-18 2012-08-23 Bae Systems Plc A network management assembly for managing a flow of network management traffic
US9635048B2 (en) * 2011-03-09 2017-04-25 Irdeto B.V. Method and system for dynamic platform security in a device operating system
JP5382059B2 (ja) * 2011-05-11 2014-01-08 コニカミノルタ株式会社 画像処理システム、画像処理装置およびプログラム
US8099596B1 (en) * 2011-06-30 2012-01-17 Kaspersky Lab Zao System and method for malware protection using virtualization
US8583767B2 (en) * 2011-08-24 2013-11-12 CSC Holdings, LLC Virtual service delivery platform
US9489541B2 (en) * 2011-09-09 2016-11-08 Nvidia Corporation Content protection via online servers and code execution in a secure operating system
US20130091197A1 (en) 2011-10-11 2013-04-11 Microsoft Corporation Mobile device as a local server
US9026815B2 (en) * 2011-10-27 2015-05-05 Intel Corporation Controlling operating frequency of a core domain via a non-core domain of a multi-domain processor
CN102436566B (zh) * 2012-01-12 2014-07-09 冶金自动化研究设计院 一种动态可信度量方法及安全嵌入式系统
US9594921B2 (en) * 2012-03-02 2017-03-14 International Business Machines Corporation System and method to provide server control for access to mobile client data
US9171172B2 (en) * 2012-08-02 2015-10-27 CellSec, Inc. Automated multi-level federation and enforcement of information management policies in a device network
US9294508B2 (en) 2012-08-02 2016-03-22 Cellsec Inc. Automated multi-level federation and enforcement of information management policies in a device network
US10305937B2 (en) 2012-08-02 2019-05-28 CellSec, Inc. Dividing a data processing device into separate security domains
US9547656B2 (en) * 2012-08-09 2017-01-17 Oracle International Corporation Method and system for implementing a multilevel file system in a virtualized environment
US9183385B2 (en) 2012-08-22 2015-11-10 International Business Machines Corporation Automated feedback for proposed security rules
US8938796B2 (en) 2012-09-20 2015-01-20 Paul Case, SR. Case secure computer architecture
US8873747B2 (en) 2012-09-25 2014-10-28 Apple Inc. Key management using security enclave processor
US9043632B2 (en) 2012-09-25 2015-05-26 Apple Inc. Security enclave processor power control
US9047471B2 (en) 2012-09-25 2015-06-02 Apple Inc. Security enclave processor boot control
US8775757B2 (en) 2012-09-25 2014-07-08 Apple Inc. Trust zone support in system on a chip having security enclave processor
US8832465B2 (en) * 2012-09-25 2014-09-09 Apple Inc. Security enclave processor for a system on a chip
US20140115624A1 (en) * 2012-10-18 2014-04-24 Broadcom Corporation Security and Certification in a Set Top Box Device Having a Mixed Operating System or Framework Environment
US9405562B2 (en) 2012-10-18 2016-08-02 Broadcom Corporation Set top box application in a concurrent dual environment
US9344762B2 (en) * 2012-10-18 2016-05-17 Broadcom Corporation Integration of untrusted applications and frameworks with a secure operating system environment
US9338522B2 (en) * 2012-10-18 2016-05-10 Broadcom Corporation Integration of untrusted framework components with a secure operating system environment
US9600351B2 (en) 2012-12-14 2017-03-21 Microsoft Technology Licensing, Llc Inversion-of-control component service models for virtual environments
US9250922B2 (en) 2013-02-28 2016-02-02 Qualcomm Incorporated Method and apparatus for prefetching peripheral device drivers for smart phones and other connected devices prior to HLOS boot
CN103246849A (zh) * 2013-05-30 2013-08-14 浪潮集团有限公司 一种Windows下基于增强型ROST的安全运行方法
US9424425B2 (en) * 2013-05-31 2016-08-23 Microsoft Technology Licensing, Llc Protecting anti-malware processes
US10171483B1 (en) 2013-08-23 2019-01-01 Symantec Corporation Utilizing endpoint asset awareness for network intrusion detection
US8863284B1 (en) 2013-10-10 2014-10-14 Kaspersky Lab Zao System and method for determining a security status of potentially malicious files
US8739287B1 (en) * 2013-10-10 2014-05-27 Kaspersky Lab Zao Determining a security status of potentially malicious files
KR102125923B1 (ko) * 2013-10-24 2020-06-24 삼성전자 주식회사 전자 장치의 운영체제 업그레이드 방법 및 장치
IN2013CH05777A (ja) 2013-12-13 2015-06-19 Indian Inst Technology Madras
CA2981789A1 (en) 2014-04-04 2015-10-08 David Goldschlag Method for authentication and assuring compliance of devices accessing external services
CN103971067B (zh) * 2014-05-30 2015-06-03 中国人民解放军国防科学技术大学 支持核内外实体的操作系统内核统一访问控制方法
US9501667B2 (en) * 2014-06-20 2016-11-22 Arm Limited Security domain prediction
US20170132430A1 (en) * 2014-07-15 2017-05-11 Neil Sikka Apparatus for and Method of Preventing Unsecured Data Access
US9547778B1 (en) 2014-09-26 2017-01-17 Apple Inc. Secure public key acceleration
CN104331329B (zh) * 2014-09-30 2017-12-01 上海斐讯数据通信技术有限公司 支持域管理的移动办公安全系统及方法
CN104504340B (zh) * 2014-12-25 2017-07-14 国家电网公司 一种基于电力系统安全标签的强制访问控制方法
US9571524B2 (en) 2015-01-20 2017-02-14 Cisco Technology, Inc. Creation of security policy templates and security policies based on the templates
US9401933B1 (en) * 2015-01-20 2016-07-26 Cisco Technology, Inc. Classification of security policies across multiple security products
US9521167B2 (en) 2015-01-20 2016-12-13 Cisco Technology, Inc. Generalized security policy user interface
US9531757B2 (en) 2015-01-20 2016-12-27 Cisco Technology, Inc. Management of security policies across multiple security products
US9680875B2 (en) 2015-01-20 2017-06-13 Cisco Technology, Inc. Security policy unification across different security products
US9971910B2 (en) * 2015-01-22 2018-05-15 Raytheon Company Multi-level security domain separation using soft-core processor embedded in an FPGA
US9641540B2 (en) 2015-05-19 2017-05-02 Cisco Technology, Inc. User interface driven translation, comparison, unification, and deployment of device neutral network security policies
US9787722B2 (en) 2015-05-19 2017-10-10 Cisco Technology, Inc. Integrated development environment (IDE) for network security configuration files
US9600682B2 (en) * 2015-06-08 2017-03-21 Accenture Global Services Limited Mapping process changes
US10395029B1 (en) * 2015-06-30 2019-08-27 Fireeye, Inc. Virtual system and method with threat protection
US11113086B1 (en) 2015-06-30 2021-09-07 Fireeye, Inc. Virtual system and method for securing external network connectivity
US10726127B1 (en) 2015-06-30 2020-07-28 Fireeye, Inc. System and method for protecting a software component running in a virtual machine through virtual interrupts by the virtualization layer
US10642753B1 (en) 2015-06-30 2020-05-05 Fireeye, Inc. System and method for protecting a software component running in virtual machine using a virtualization layer
US9785783B2 (en) * 2015-07-23 2017-10-10 Ca, Inc. Executing privileged code in a process
US9779230B2 (en) * 2015-09-11 2017-10-03 Dell Products, Lp System and method for off-host abstraction of multifactor authentication
US9992232B2 (en) 2016-01-14 2018-06-05 Cisco Technology, Inc. Policy block creation with context-sensitive policy line classification
US10572687B2 (en) * 2016-04-18 2020-02-25 America as represented by the Secretary of the Army Computer security framework and hardware level computer security in an operating system friendly microprocessor architecture
US10192067B2 (en) 2016-05-26 2019-01-29 Microsoft Technology Licensing, Llc Self-described security model for resource access
US10776316B2 (en) * 2018-01-05 2020-09-15 Goodrich Corporation Automated multi-domain operational services
US11102002B2 (en) * 2018-12-28 2021-08-24 Dell Products, L.P. Trust domain isolation management in secured execution environments
US11003394B2 (en) 2019-06-28 2021-05-11 Seagate Technology Llc Multi-domain data storage system with illegal loop prevention
CN114462041A (zh) * 2021-12-24 2022-05-10 麒麟软件有限公司 基于双体系架构的动态可信访问控制方法及系统
CN117436079B (zh) * 2023-12-20 2024-04-05 麒麟软件有限公司 一种Linux系统的完整性保护方法及系统

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001318797A (ja) * 2000-05-10 2001-11-16 Nec Corp 自動データ処理装置
GB2382419A (en) * 2001-11-22 2003-05-28 Hewlett Packard Co Creating a trusted environment using integrity metrics

Family Cites Families (31)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5339449A (en) * 1989-06-30 1994-08-16 Digital Equipment Corporation System and method for reducing storage channels in disk systems
US5220661A (en) * 1989-09-15 1993-06-15 Digital Equipment Corporation System and method for reducing timing channels in digital data processing systems
US5230069A (en) * 1990-10-02 1993-07-20 International Business Machines Corporation Apparatus and method for providing private and shared access to host address and data spaces by guest programs in a virtual machine computer system
US5263147A (en) * 1991-03-01 1993-11-16 Hughes Training, Inc. System for providing high security for personal computers and workstations
US5504814A (en) * 1991-07-10 1996-04-02 Hughes Aircraft Company Efficient security kernel for the 80960 extended architecture
US5339261A (en) * 1992-10-22 1994-08-16 Base 10 Systems, Inc. System for operating application software in a safety critical environment
US5628017A (en) * 1993-03-15 1997-05-06 Microsoft Corporation Method and system for providing event-response capabilities to pseudocode
US5603014A (en) * 1993-12-03 1997-02-11 Intel Corporation Protected mode simulation of a real mode interupt based programming interface in a computer system
US5590266A (en) * 1994-10-11 1996-12-31 International Business Machines Corporation Integrity mechanism for data transfer in a windowing system
US6182218B1 (en) * 1994-12-13 2001-01-30 Mitsubishi Corporation Digital content management system using electronic watermark
US5687376A (en) * 1994-12-15 1997-11-11 International Business Machines Corporation System for monitoring performance of advanced graphics driver including filter modules for passing supported commands associated with function calls and recording task execution time for graphic operation
US5692124A (en) * 1996-08-30 1997-11-25 Itt Industries, Inc. Support of limited write downs through trustworthy predictions in multilevel security of computer network communications
US6029246A (en) * 1997-03-31 2000-02-22 Symantec Corporation Network distributed system for updating locally secured objects in client machines
EP0926605A1 (en) * 1997-11-19 1999-06-30 Hewlett-Packard Company Browser system
US6496847B1 (en) * 1998-05-15 2002-12-17 Vmware, Inc. System and method for virtualizing computer systems
EP1127314A4 (en) 1998-09-10 2003-03-12 Sanctum Ltd METHOD AND SYSTEM FOR UPDATING RESTRICTED OPERATING CONTEXTS FOR APPLICATION PROGRAMS OR OPERATING SYSTEMS
EP1056010A1 (en) 1999-05-28 2000-11-29 Hewlett-Packard Company Data integrity monitoring in trusted computing entity
US6351817B1 (en) * 1999-10-27 2002-02-26 Terence T. Flyntz Multi-level secure computer with token-based access control
US6430561B1 (en) * 1999-10-29 2002-08-06 International Business Machines Corporation Security policy for protection of files on a storage device
US6757824B1 (en) 1999-12-10 2004-06-29 Microsoft Corporation Client-side boot domains and boot rules
US6990579B1 (en) * 2000-03-31 2006-01-24 Intel Corporation Platform and method for remote attestation of a platform
US6957332B1 (en) * 2000-03-31 2005-10-18 Intel Corporation Managing a secure platform using a hierarchical executive architecture in isolated execution mode
WO2002003220A2 (en) * 2000-07-05 2002-01-10 Ernst & Young Llp Method and apparatus for providing computer services
GB0020441D0 (en) * 2000-08-18 2000-10-04 Hewlett Packard Co Performance of a service on a computing platform
GB2376764B (en) * 2001-06-19 2004-12-29 Hewlett Packard Co Multiple trusted computing environments
GB2378272A (en) * 2001-07-31 2003-02-05 Hewlett Packard Co Method and apparatus for locking an application within a trusted environment
US7260741B2 (en) * 2001-09-18 2007-08-21 Cedar Point Communications, Inc. Method and system to detect software faults
US20040064723A1 (en) * 2001-10-31 2004-04-01 Barnes Brian C. Method and apparatus for physical address-based security to determine target security
US7493498B1 (en) * 2002-03-27 2009-02-17 Advanced Micro Devices, Inc. Input/output permission bitmaps for compartmentalized security
US20030196108A1 (en) * 2002-04-12 2003-10-16 Kung Kenneth C. System and techniques to bind information objects to security labels
US6782424B2 (en) * 2002-08-23 2004-08-24 Finite State Machine Labs, Inc. System, method and computer program product for monitoring and controlling network connections from a supervisory operating system

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2001318797A (ja) * 2000-05-10 2001-11-16 Nec Corp 自動データ処理装置
GB2382419A (en) * 2001-11-22 2003-05-28 Hewlett Packard Co Creating a trusted environment using integrity metrics

Cited By (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2009020782A (ja) * 2007-07-13 2009-01-29 Hitachi Software Eng Co Ltd セキュアosのセキュリティポリシの最適化方法及びプログラム
JP2010092465A (ja) * 2008-10-06 2010-04-22 Internatl Business Mach Corp <Ibm> ハードウェア・ベースの強制アクセス制御
US10802990B2 (en) 2008-10-06 2020-10-13 International Business Machines Corporation Hardware based mandatory access control
KR102405886B1 (ko) 2022-03-17 2022-06-08 주식회사 넷아스 아키텍처 변경을 위한 소스 변환 솔루션 제공 장치 및 방법
KR20220082787A (ko) 2022-03-17 2022-06-17 주식회사 넷아스 아키텍처 변경을 위한 장치
KR20220082788A (ko) 2022-03-17 2022-06-17 주식회사 넷아스 아키텍처를 변경하는 방법 및 그 시스템

Also Published As

Publication number Publication date
US7765595B2 (en) 2010-07-27
US7103914B2 (en) 2006-09-05
WO2005001639A2 (en) 2005-01-06
US20040025016A1 (en) 2004-02-05
US7937757B2 (en) 2011-05-03
US20070130458A1 (en) 2007-06-07
US20070118902A1 (en) 2007-05-24
US20070118900A1 (en) 2007-05-24
US20070056037A1 (en) 2007-03-08
US7591003B2 (en) 2009-09-15
US7549165B2 (en) 2009-06-16
EP1645069A4 (en) 2010-09-08
EP1645069A2 (en) 2006-04-12
US7631342B2 (en) 2009-12-08
US20070056036A1 (en) 2007-03-08
WO2005001639A3 (en) 2005-08-11
US20070118901A1 (en) 2007-05-24

Similar Documents

Publication Publication Date Title
US7549165B2 (en) Trusted operating system with emulation and process isolation
Mayer et al. SELinux by example: using security enhanced Linux
Loscocco et al. Meeting critical security objectives with security-enhanced linux
Badger et al. Practical domain and type enforcement for UNIX
McIlroy et al. Multilevel security in the UNIX tradition
Lindqvist Mandatory access control
GB2301912A (en) Security for computer system resources
KR20010040979A (ko) 스택에 기초한 액세스 제어
EP1159812A1 (en) Computer security system
Gligor et al. On the design and the implementation of secure Xenix workstations
Lee Essays about computer security
Blanc et al. Piga-hips: Protection of a shared hpc cluster
Herrmann Information flow analysis of component-structured applications
Debbabi et al. Dynamic monitoring of malicious activity in software systems
Nimbalkar et al. Advanced linux security
Schmid et al. Preventing the execution of unauthorized Win32 applications
Shepherd et al. Operating System Controls
Qing et al. Design of secure operating systems with high security levels
Blanc et al. Protection of a shared hpc cluster
Schreiner Computer Science, April 2009 Prof. Dr. Johannes Buchmann
Jerbi et al. An access control reference architecture
Govindavajhala et al. Automatic configuration vulnerability analysis
García-Alfaro et al. SMARTCOP–a smart card based access control for the protection of network security components
Thomas Accommodative mandatory access control
Alves-Foss et al. Layered Assurance Scheme for Multi-Core Architectures

Legal Events

Date Code Title Description
A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20070615

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20100818

A711 Notification of change in applicant

Free format text: JAPANESE INTERMEDIATE CODE: A712

Effective date: 20101020

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A821

Effective date: 20101020

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20101117

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20101125

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20101217

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20101227

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20110117

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20110124

A02 Decision of refusal

Free format text: JAPANESE INTERMEDIATE CODE: A02

Effective date: 20110413