JP2022065090A - 最小特権ベースのプロセス制御ソフトウェアセキュリティアーキテクチャ、コンピュータデバイス - Google Patents
最小特権ベースのプロセス制御ソフトウェアセキュリティアーキテクチャ、コンピュータデバイス Download PDFInfo
- Publication number
- JP2022065090A JP2022065090A JP2022021053A JP2022021053A JP2022065090A JP 2022065090 A JP2022065090 A JP 2022065090A JP 2022021053 A JP2022021053 A JP 2022021053A JP 2022021053 A JP2022021053 A JP 2022021053A JP 2022065090 A JP2022065090 A JP 2022065090A
- Authority
- JP
- Japan
- Prior art keywords
- service
- privileges
- desktop
- operating system
- computer device
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 claims abstract description 285
- 230000008569 process Effects 0.000 claims abstract description 280
- 238000004891 communication Methods 0.000 claims abstract description 114
- 230000005055 memory storage Effects 0.000 claims description 32
- 238000004886 process control Methods 0.000 abstract description 52
- 238000000638 solvent extraction Methods 0.000 abstract description 3
- 230000015654 memory Effects 0.000 description 23
- 208000015181 infectious disease Diseases 0.000 description 15
- 230000006870 function Effects 0.000 description 11
- 238000013500 data storage Methods 0.000 description 10
- 230000009471 action Effects 0.000 description 9
- 238000013475 authorization Methods 0.000 description 7
- 238000010586 diagram Methods 0.000 description 7
- 230000002457 bidirectional effect Effects 0.000 description 6
- 238000013461 design Methods 0.000 description 6
- 238000012369 In process control Methods 0.000 description 5
- 230000008859 change Effects 0.000 description 5
- 238000010965 in-process control Methods 0.000 description 5
- 230000007246 mechanism Effects 0.000 description 5
- 230000000644 propagated effect Effects 0.000 description 5
- 230000004044 response Effects 0.000 description 5
- 238000012423 maintenance Methods 0.000 description 4
- 238000012546 transfer Methods 0.000 description 4
- 241000700605 Viruses Species 0.000 description 3
- 230000000694 effects Effects 0.000 description 3
- 238000007726 management method Methods 0.000 description 3
- 230000002155 anti-virotic effect Effects 0.000 description 2
- 230000006399 behavior Effects 0.000 description 2
- 239000003795 chemical substances by application Substances 0.000 description 2
- 238000013480 data collection Methods 0.000 description 2
- 238000005516 engineering process Methods 0.000 description 2
- 238000005259 measurement Methods 0.000 description 2
- 230000002093 peripheral effect Effects 0.000 description 2
- 238000004801 process automation Methods 0.000 description 2
- 238000012552 review Methods 0.000 description 2
- 238000007792 addition Methods 0.000 description 1
- 230000002411 adverse Effects 0.000 description 1
- 230000005540 biological transmission Effects 0.000 description 1
- 238000009530 blood pressure measurement Methods 0.000 description 1
- 238000009529 body temperature measurement Methods 0.000 description 1
- 238000011217 control strategy Methods 0.000 description 1
- 238000012217 deletion Methods 0.000 description 1
- 230000037430 deletion Effects 0.000 description 1
- 238000002716 delivery method Methods 0.000 description 1
- 230000001419 dependent effect Effects 0.000 description 1
- 230000001066 destructive effect Effects 0.000 description 1
- 230000001627 detrimental effect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 230000002708 enhancing effect Effects 0.000 description 1
- 238000012544 monitoring process Methods 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 230000008520 organization Effects 0.000 description 1
- 238000005192 partition Methods 0.000 description 1
- 230000002085 persistent effect Effects 0.000 description 1
- 239000003208 petroleum Substances 0.000 description 1
- 238000010248 power generation Methods 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 230000035755 proliferation Effects 0.000 description 1
- 230000001902 propagating effect Effects 0.000 description 1
- 238000010963 scalable process Methods 0.000 description 1
- 238000013522 software testing Methods 0.000 description 1
- 239000007790 solid phase Substances 0.000 description 1
- 239000000126 substance Substances 0.000 description 1
- 230000002459 sustained effect Effects 0.000 description 1
- 230000026676 system process Effects 0.000 description 1
- 238000013519 translation Methods 0.000 description 1
Images
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
-
- G—PHYSICS
- G05—CONTROLLING; REGULATING
- G05B—CONTROL OR REGULATING SYSTEMS IN GENERAL; FUNCTIONAL ELEMENTS OF SUCH SYSTEMS; MONITORING OR TESTING ARRANGEMENTS FOR SUCH SYSTEMS OR ELEMENTS
- G05B19/00—Programme-control systems
- G05B19/02—Programme-control systems electric
- G05B19/418—Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS], computer integrated manufacturing [CIM]
- G05B19/41865—Total factory control, i.e. centrally controlling a plurality of machines, e.g. direct or distributed numerical control [DNC], flexible manufacturing systems [FMS], integrated manufacturing systems [IMS], computer integrated manufacturing [CIM] characterised by job scheduling, process planning, material flow
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/604—Tools and structures for managing or administering access control systems
Abstract
Description
コンピュータデバイスであって、
プロセッサと、
サービスプロセスを実装するために構成データに従って前記プロセッサ上で実行する、オペレーティングシステムと、を含み、前記構成データが、前記サービスプロセスのそれぞれを、それぞれがそれに関連付けられるオペレーティングシステム特権のあらかじめ設定された組を有する、複数のカスタムサービスアカウントのうちの1つに割り当てさせ、それぞれの前記複数のカスタムサービスアカウントのためのオペレーティングシステム特権の前記あらかじめ設定された組が、前記カスタムサービスアカウントに割り当てられるサービスによって必要とされる前記オペレーティングシステム特権に基づいて定義され、カスタムサービスアカウントは双方向ログオン特権を有しない、コンピュータデバイス。
(付記2)
前記コンピュータデバイスが、1つ以上の通信ポートと、ローカルメモリ記憶装置ユニットと、をさらに含み、通信ポートと通信可能である前記サービスプロセスのそれぞれが、前記ローカルメモリ記憶装置ユニットに書き込む特権を有しない、付記1に記載のコンピュータデバイス。
(付記3)
前記コンピュータデバイスが外部メディアポートをさらに含み、通信ポートと通信可能である前記サービスプロセスのうちの1つ以上が、前記外部メディアポートを介して取り外し可能記憶装置ユニットと通信する特権を有しない、付記2に記載のコンピュータデバイス。
(付記4)
前記コンピュータデバイスが外部メディアポートをさらに含み、前記通信ポートと通信可能である前記サービスプロセスのうちの1つ以上が、前記外部メディアポートを介して取り外し可能記憶装置ユニットと通信する特権を有するさらなるサービスプロセスと直接通信する特権を有しない、付記2に記載のコンピュータデバイス。
(付記5)
前記コンピュータデバイスが、外部メディアポートと、ローカルメモリ記憶装置ユニットと、をさらに含み、前記外部メディアポートを介して取り外し可能記憶装置ユニットと通信可能である前記サービスプロセスのうちの1つが、前記ローカルメモリ記憶装置ユニットに書き込む特権を有しない、付記4に記載のコンピュータデバイス。
(付記6)
前記コンピュータデバイスが通信ポートをさらに含み、前記外部メディアポートを介して取り外し可能記憶装置ユニットと通信可能である前記サービスプロセスのうちの1つ以上が、前記通信ポートを介して通信する特権を有するさらなるサービスプロセスと直接通信する特権を有しない、付記5に記載のコンピュータデバイス。
(付記7)
デスクトップ環境をさらに含み、前記オペレーティングシステムが、デスクトップ名前空間とは別個のサービス名前空間を強化するために実行し、前記サービス名前空間内の前記サービスプロセス及び前記デスクトップ名前空間内の1つ以上のデスクトップアプリケーションを実行するために動作する、付記1に記載のコンピュータデバイス。
(付記8)
前記オペレーティングシステムが、前記デスクトップ名前空間内で稼働しているプロセスが、プロセス間通信を介して、前記サービス名前空間内で稼働しているプロセスと通信しなければならないという要求を強化する、付記7に記載のコンピュータデバイス。
(付記9)
前記オペレーティングシステムが、デスクトッププロセスを実装するために構成データを実装するための構成データに従って前記プロセッサ上で実行し、前記構成データが、前記デスクトッププロセスのそれぞれを、それぞれがそれに関連付けられるオペレーティングシステム特権のあらかじめ設定された組を有する、複数のユーザアカウントのうちの1つに割り当てさせ、それぞれの前記複数のユーザアカウントのためのオペレーティングシステム特権の前記あらかじめ設定された組が、双方向ログオン特権を含む、付記7に記載のコンピュータデバイス。
(付記10)
標準ユーザアカウントに割り当てられるオペレーティングシステム特権の前記組が、昇格または管理オペレーティングシステム特権を含まない、付記9に記載のコンピュータデバイス。
(付記11)
デスクトップアプリケーションが開始される際にそれらに割り当てられる、オペレーティングシステム特権の前記組が、その下で前記デスクトップアプリケーションが開始される前記ユーザアカウントが、昇格オペレーティングシステム特権を有する場合でさえ、標準ユーザ特権に制限され、前記デスクトップ名前空間内で稼働しているプロセスによって開始されるプロセスが、開始プロセスの特権を引継ぎする、付記9に記載のコンピュータデバイス。
(付記12)
前記オペレーティングシステムが、前記デスクトップ名前空間内で稼働しているプロセスが、そのアカウントが昇格特権を有する認証ユーザの明示的な認可なしでは、オペレーティングシステム特権において昇格され得ないという規則を強化する、付記9に記載のコンピュータデバイス。
(付記13)
前記オペレーティングシステムが、前記サービス名前空間内で稼働している全てのプロセスが、プロセス間通信を介して前記サービス名前空間内で稼働している他のプロセスと通信しなければならないという要求を強化する、付記7に記載のコンピュータデバイス。
(付記14)
前記コンピュータデバイスが、サービスファイルまたはサービスフォルダを格納するローカルメモリ記憶装置ユニットをさらに含み、前記オペレーティングシステムが、前記デスクトップ名前空間内で稼働しているプロセスが、前記ローカルメモリ記憶装置ユニット内に格納されるサービスファイルまたはサービスフォルダに書き込むことを防止する規則を強化する、付記7に記載のコンピュータデバイス。
(付記15)
前記デスクトップ名前空間内にユーザインターフェースを含むデスクトップをさらに含み、前記オペレーティングシステムが、前記サービスプロセスのいかなるものも前記デスクトップに直接アクセスすることを防止する規則を強化する、付記7に記載のコンピュータデバイス。
(付記16)
デスクトップアプリケーションに由来するメッセージが、デスクトップアプリケーションのユーザを特定するユーザID情報を含み、前記ユーザID情報が、通信リンクを介してメッセージを送信するために通信ポートにアクセスするサービスプロセスを通ることを含めて、複数のプロセスを通してそれらの最終目的地までメッセージに追従する、付記7に記載のコンピュータデバイス。
(付記17)
前記ユーザID情報が、前記メッセージをメッセージ受信者に転送するために使用される1つ以上のプロセスに関連付けられる、オペレーティングシステム特権及び/またはアクセス許可を制御せず、前記ユーザID情報が制御対象を処理するためにアクセス許可を制御する、付記16に記載のコンピュータデバイス。
(付記18)
コンピュータデバイスであって、
プロセッサと、
通信ポートと、
ローカルメモリ記憶装置ユニットと、
前記通信ポートと通信可能であるサービスプロセスを含む、サービスプロセスを実装するための構成データに従って、前記プロセッサ上で実行するオペレーティングシステムと、を備え、前記通信ポートと通信可能である前記サービスプロセスが、前記ローカルメモリ記憶装置ユニットに書き込む特権を有しない、コンピュータデバイス。
(付記19)
前記ローカルメモリ記憶装置ユニットが、サービスプロセスファイルまたはサービスプロセスフォルダを格納する、付記18に記載のコンピュータデバイス。
(付記20)
前記ローカルメモリ記憶装置ユニットが、デスクトップアプリケーションファイルをさらに格納する、付記19に記載のコンピュータデバイス。
(付記21)
前記コンピュータデバイスが外部メディアポートをさらに含み、前記通信ポートと通信可能である前記サービスプロセスのうちの1つが、前記外部メディアポートを介して取り外し可能記憶装置ユニットと通信する特権を有しない、付記18に記載のコンピュータデバイス。
(付記22)
前記コンピュータデバイスが外部メディアポートをさらに含み、前記通信ポートと通信可能である前記サービスプロセスのうちの1つが、前記外部メディアポートを介して取り外し可能記憶装置ユニットと通信する特権を有する、さらなるサービスプロセスと直接通信する特権を有しない、付記18に記載のコンピュータデバイス。
(付記23)
前記外部メディアポートを介して取り外し可能記憶装置ユニットと通信可能である前記さらなるサービスプロセスが、前記ローカルメモリ記憶装置ユニットに書き込む特権を有しない、付記22に記載のコンピュータデバイス。
(付記24)
デスクトップ環境をさらに含み、前記オペレーティングシステムが、デスクトップ名前空間とは別個のサービス名前空間を強化するために実行し、前記サービス名前空間内の前記サービスプロセス及び前記デスクトップ名前空間内の1つ以上のデスクトップアプリケーションを実行するために動作する、付記18に記載のコンピュータデバイス。
(付記25)
前記オペレーティングシステムが、前記デスクトップ名前空間内で稼働しているプロセスが、プロセス間通信を介して前記サービス名前空間内で稼働しているプロセスと通信しなければならないという要求を強化する、付記24に記載のコンピュータデバイス。
(付記26)
デスクトップアプリケーションに、前記デスクトップアプリケーションを開始するユーザアカウントに関連付けられるオペレーティングシステム特権の組とは分離して設定される、オペレーティングシステム特権の組が割り当てられ、前記デスクトップアプリケーションが割り当てられるオペレーティングシステム特権の前記組が、管理者オペレーティングシステム特権を含まない、付記25に記載のコンピュータデバイス。
(付記27)
前記オペレーティングシステムが、前記デスクトップアプリケーションがオペレーティングシステム特権において昇格され得ないという規則を強化する、付記25に記載のコンピュータデバイス。
(付記28)
前記オペレーティングシステムが、前記デスクトップアプリケーションがローカルメモリ記憶装置ユニット内に格納されるサービスファイルまたはサービスフォルダに書き込むことを防止する規則を強化する、付記25に記載のコンピュータデバイス。
(付記29)
デスクトップアプリケーションに由来するメッセージが前記デスクトップアプリケーションのユーザを特定するユーザID情報を含み、前記ユーザID情報が、通信ネットワークを介して前記メッセージを送信するために通信ネットワークポートにアクセスする前記サービスプロセスを通して前記メッセージに追従する、付記24に記載のコンピュータデバイス。
(付記30)
ユーザインターフェースを含むデスクトップをさらに含み、前記オペレーティングシステムが、前記サービスプロセスのいかなるものも前記デスクトップに直接アクセスすることを防止する規則を強化する、付記18に記載のコンピュータデバイス。
(付記31)
コンピュータデバイスであって、
プロセッサと、
外部メディアポートと、
ローカルメモリ記憶装置ユニットと、
前記外部メディアポートを介して取り外し可能メモリデバイスと通信可能であるサービスプロセスを含むサービスプロセスを実装するための構成データに従って、前記プロセッサ上で実行するオペレーティングシステムと、を含み、前記外部メディアポートを介して取り外し可能メモリデバイスと通信可能である前記サービスプロセスが、前記ローカルメモリ記憶装置ユニットに書き込む特権を有しない、コンピュータデバイス。
(付記32)
前記ローカルメモリ記憶装置ユニットが、サービスプロセスファイルまたはサービスプロセスフォルダを格納する、付記31に記載のコンピュータデバイス。
(付記33)
前記ローカルメモリ記憶装置ユニットが、デスクトップアプリケーションファイルをさらに格納する、付記32に記載のコンピュータデバイス。
(付記34)
前記コンピュータデバイスが通信ポートをさらに含み、前記外部メディアポートを介して取り外し可能メモリと通信可能である前記サービスプロセスのうちの1つが、前記通信ポートを介して通信する特権を有するさらなるサービスプロセスと直接通信する特権を有しない、付記31に記載のコンピュータデバイス。
(付記35)
デスクトップ環境をさらに含み、前記オペレーティングシステムが、デスクトップ名前空間とは別個のサービス名前空間を強化するために実行し、前記サービス名前空間内の前記サービスプロセス及び前記デスクトップ名前空間内の1つ以上のデスクトップアプリケーションを実行するために動作する、付記31に記載のコンピュータデバイス。
(付記36)
前記オペレーティングシステムが、前記デスクトップ名前空間内で稼働しているプロセスが、プロセス間通信を介して前記サービス名前空間内で稼働しているプロセスと通信しなければならないという要求を強化する、付記35に記載のコンピュータデバイス。
(付記37)
デスクトップアプリケーションに、前記デスクトップアプリケーションを開始するユーザアカウントに関連付けられるオペレーティングシステム特権の組とは分離して設定される、オペレーティングシステム特権の組が割り当てられ、前記デスクトップアプリケーションが割り当てられるオペレーティングシステム特権の前記組が、管理者オペレーティングシステム特権を含まない、付記36に記載のコンピュータデバイス。
(付記38)
前記オペレーティングシステムが、前記デスクトップアプリケーションがオペレーティングシステム特権において昇格され得ないという規則を強化する、付記37に記載のコンピュータデバイス。
(付記39)
ユーザインターフェースを含むデスクトップをさらに含み、前記オペレーティングシステムが、前記サービスプロセスのいかなるものも前記デスクトップに直接アクセスすることを防止する規則を強化する、付記31に記載のコンピュータデバイス。
(付記40)
コンピュータデバイスであって、
プロセッサと、
外部メディアポートと、
通信ポートと、
前記外部メディアポートを介して取り外し可能メモリデバイスと通信可能であるサービスプロセスを含むサービスプロセスを実装するための構成データに従って、前記プロセッサ上で実行するオペレーティングシステムと、を含み、前記外部メディアポートを介して取り外し可能メモリデバイスと通信可能である前記サービスプロセスが、前記通信ポートにアクセスする特権を有しない、コンピュータデバイス。
(付記41)
前記外部メディアポートを介して取り外し可能メモリデバイスと通信可能である前記サービスプロセスが、前記通信ポートにアクセスすることができる別のサービスに直接アクセスする前記特権を有しない、付記40に記載のコンピュータデバイス。
(付記42)
デスクトップ環境をさらに含み、前記オペレーティングシステムが、デスクトップ名前空間とは別個のサービス名前空間を強化するために実行し、前記サービス名前空間内の前記サービスプロセス及び前記デスクトップ名前空間内の1つ以上のデスクトップアプリケーションを実行するために動作する、付記40に記載のコンピュータデバイス。
(付記43)
前記オペレーティングシステムが、前記デスクトップ名前空間内で稼働しているプロセスが、プロセス間通信を介して前記サービス名前空間内で稼働しているプロセスと通信しなければならないという要求を強化する、付記42に記載のコンピュータデバイス。
(付記44)
前記オペレーティングシステムが、サービスがプロセス間通信を介して他のサービスと通信しなければならないという要求を強化する、付記40に記載のコンピュータデバイス。
(付記45)
コンピュータデバイスであって、
プロセッサと、
サービスプロセス及び1つ以上のデスクトッププロセスを実装するための構成データに従って、前記プロセッサ上で実行するオペレーティングシステムと、を含み、
前記オペレーティングシステムが、デスクトップ名前空間とは別個のサービス名前空間を強化するために実行し、サービス名前空間内の前記サービスプロセス及び前記サービス名前空間とは別個のデスクトップ名前空間内の前記1つ以上のデスクトップアプリケーションを実行するために動作し、前記サービス名前空間内で実装される全てのプロセスが、プロセス間通信を介して前記デスクトップ名前空間内のプロセスと通信しなければならない、コンピュータデバイス。
(付記46)
前記1つ以上のデスクトップアプリケーションに、前記デスクトップアプリケーションを開始するユーザアカウントに関連付けられるオペレーティングシステム特権の組とは分離して設定される、オペレーティングシステム特権の組が割り当てられる、付記45に記載のコンピュータデバイス。
(付記47)
前記1つ以上のデスクトップアプリケーションに、前記デスクトップアプリケーションを開始するユーザアカウントに関連付けられるオペレーティングシステム特権に依存しない、前記オペレーティングシステム特権の同じ組が割り当てられる、付記45に記載のコンピュータデバイス。
(付記48)
前記デスクトップアプリケーションが割り当てられるオペレーティングシステム特権の前記組が、管理者オペレーティングシステム特権を含まない、付記47に記載のコンピュータデバイス。
(付記49)
前記デスクトップアプリケーションが割り当てられるオペレーティングシステム特権の前記組が、一般ユーザに関連付けられるオペレーティングシステム特権である、付記48に記載のコンピュータデバイス。
(付記50)
前記オペレーティングシステムが、デスクトップアプリケーションがオペレーティングシステム特権において昇格され得ないという規則を強化する、付記47に記載のコンピュータデバイス。
(付記51)
前記コンピュータデバイスがローカルメモリ記憶装置ユニットを含み、前記オペレーティングシステムが、デスクトップアプリケーションが前記ローカルメモリ記憶装置ユニット内に格納されるサービスファイルまたはサービスフォルダに書き込むことを防止する規則を強化する、付記45に記載のコンピュータデバイス。
(付記52)
ユーザインターフェースを含むデスクトップをさらに含み、前記オペレーティングシステムが、前記サービスプロセスのいかなるものも前記デスクトップにアクセスすることを防止する規則を強化する、付記45に記載のコンピュータデバイス。
(付記53)
デスクトップアプリケーションに由来するメッセージが、デスクトップアプリケーションのユーザを特定するユーザID情報を含み、前記ユーザID情報が、前記メッセージを送信することに関連付けられる複数のプロセスを通してメッセージに追従する、付記45に記載のコンピュータデバイス。
(付記54)
前記ユーザID情報が、前記メッセージをメッセージ受信者に転送するために使用される1つ以上のプロセスに関連付けられるオペレーティングシステム特権を制御しない、付記53に記載のコンピュータデバイス。
(付記55)
前記コンピュータデバイスが、通信ポートとローカルメモリ記憶装置ユニットとをさらに含み、前記通信ポートと通信可能である前記サービスプロセスのうちの1つが、前記ローカルメモリ記憶装置ユニットに書き込む特権を有しない、付記45に記載のコンピュータデバイス。
(付記56)
前記コンピュータデバイスが外部メディアポートをさらに含み、通信ポートと通信可能である前記サービスプロセスのうちの前記1つが、前記外部メディアポートを介して取り外し可能記憶装置ユニットと通信する特権を有しない、付記45に記載のコンピュータデバイス。
(付記57)
前記コンピュータデバイスが、通信ポートと、ローカルメモリ記憶装置ユニットと、外部メディアポートと、をさらに含み、通信ネットワークポートと通信可能である前記サービスプロセスのうちの1つが、前記ローカルメモリ記憶装置ユニットに書き込む特権または前記外部メディアポートを介して取り外し可能記憶装置ユニットと通信する特権を有せず、前記外部メディアポートを介して取り外し可能記憶装置ユニットと通信可能である前記サービスプロセスの1つが、前記ローカルメモリ記憶装置ユニットに書き込む特権を有せずかつ前記通信ポートと通信する特権を有せず、前記通信ポートと通信可能である前記サービスプロセスのうちの前記1つが、前記外部メディアポートを介して取り外し可能記憶装置ユニットと通信可能である前記サービスプロセスのうちの前記1つと直接通信する特権を有しない、付記45に記載のコンピュータデバイス。
(付記58)
コンピュータデバイスであって、
プロセッサと、
サービスプロセス及び1つ以上のデスクトッププロセスを実装するための構成データに従って、前記プロセッサ上で実行するオペレーティングシステムと、を含み、
前記オペレーティングシステムが、前記サービスプロセスを呼び出すプロセスに関係なく、それぞれのサービスプロセスが割り当てられるカスタムサービスアカウントに基づいて、前記サービスプロセスのためのオペレーティングシステム特権を強化し、前記オペレーティングシステムが、どのユーザアカウントの組がデスクトップアプリケーションを呼び出すかに関わらず、前記デスクトップアプリケーションのために使用される、前記デスクトップアプリケーションのために定義されるオペレーティングシステム特権の標準の組を使用して、前記1つ以上のデスクトップアプリケーションのそれぞれのためのオペレーティングシステム特権を強化し、メッセージが前記デスクトップアプリケーションのユーザを特定するユーザIDを含むように、デスクトップアプリケーションを送信することが、受信者プロセスに前記メッセージを送信し、前記メッセージが前記デスクトップアプリケーションから受信プロセスに中継されるにつれて、前記メッセージが多数の異なるサービスプロセスのそれぞれによって処理される際に、前記ユーザIDが前記メッセージと共に流れる、コンピュータデバイス。
(付記59)
前記ユーザIDのユーザID情報が、通信リンクを介して前記メッセージを送信するために、通信ポートにアクセスするサービスプロセスを通すことを含めて、それらの最終目的地までの複数のプロセスを通してメッセージに追従する、付記58に記載のコンピュータデバイス。
(付記60)
前記ユーザID情報が、前記メッセージをメッセージ受信者に転送するために使用される1つ以上のプロセスに関連付けられる、前記オペレーティングシステム特権及び/またはアクセス許可を制御しない、付記59に記載のコンピュータデバイス。
(付記61)
前記ユーザID情報が、プロセス制御ネットワークにおいて制御対象を処理するためにアクセス許可を制御する、付記60に記載のコンピュータデバイス。
(付記62)
前記デスクトップアプリケーションのために定義されるオペレーティングシステム特権の前記標準の組が、管理者オペレーティングシステム特権を含まない、付記58に記載のコンピュータデバイス。
(付記63)
前記オペレーティングシステムが、デスクトップアプリケーションがオペレーティングシステム特権において昇格され得ないという規則を強化する、付記62に記載のコンピュータデバイス。
(付記64)
前記コンピュータデバイスがローカルメモリ記憶装置ユニットを含み、前記オペレーティングシステムが、デスクトップアプリケーションが前記ローカルメモリ記憶装置ユニット内に格納されるサービスファイルまたはサービスフォルダに書き込むことを防止する規則を強化する、付記58に記載のコンピュータデバイス。
(付記65)
ユーザインターフェースを含むデスクトップをさらに含み、前記オペレーティングシステムが、前記サービスプロセスのいかなるものも前記デスクトップにアクセスすることを防止する規則を強化する、付記58に記載のコンピュータデバイス。
(付記66)
前記ユーザIDの情報が、前記メッセージを前記受信プロセスに転送するために使用される、1つ以上のプロセスに関連付けられる前記オペレーティングシステム特権に影響を与えない、付記58に記載のコンピュータデバイス。
(付記67)
前記コンピュータデバイスが、通信ポートとローカルメモリ記憶装置ユニットとをさらに含み、前記通信ポートと通信可能である前記サービスプロセスのうちの1つが、前記ローカルメモリ記憶装置ユニットに書き込む特権を有しない、付記58に記載のコンピュータデバイス。
(付記68)
前記コンピュータデバイスが、外部メディアポートをさらに含み、通信ポートと通信可能である前記サービスプロセスのうちの前記1つが、前記外部メディアポートを介して取り外し可能記憶装置ユニットと通信する特権を有しない、付記58に記載のコンピュータデバイス。
(付記69)
前記コンピュータデバイスが、通信ポートと、ローカルメモリ記憶装置ユニットと、外部メディアポートと、をさらに含み、前記通信ポートと通信可能である前記サービスプロセスのうちの1つが、前記ローカルメモリ記憶装置ユニットに書き込む特権を有せず、前記外部メディアポートを介して取り外し可能記憶装置ユニットと通信可能である前記サービスプロセスのうちの1つが、前記ローカルメモリ記憶装置ユニットに書き込む特権を有せず、前記通信ポートと通信可能である前記サービスプロセスのうちの前記1つが、前記外部メディアポートを介して取り外し可能記憶装置ユニットと通信可能である前記サービスプロセスのうちの前記1つと直接通信する特権を有しない、付記58に記載のコンピュータデバイス。
(付記70)
前記オペレーティングシステムが、デスクトップ名前空間とは別個のサービス名前空間を強化するために実行し、サービス名前空間内の前記サービスプロセス及び前記サービス名前空間とは別個のデスクトップ名前空間内の前記1つ以上のデスクトップアプリケーションを実行するために動作し、前記サービス名前空間内に実装される全てのプロセスが、プロセス間通信を介して前記デスクトップ名前空間内のプロセスと通信しなければならない、付記58に記載のコンピュータデバイス。
Claims (5)
- コンピュータデバイスであって、
プロセッサと、
通信ポートと、
ローカルメモリ記憶装置ユニットと、
サービスプロセスを実装するための構成データに従って、前記プロセッサ上で実行するオペレーティングシステムと、を備え、前記構成データは、前記オペレーティングシステムによるサービスプロセスの開始方法に関係なく、前記サービスプロセスの各々で常に使用されるそれぞれの特権を定義し、前記サービスプロセスは、前記通信ポートと通信可能である、前記構成データにより定義されるサービスプロセスを含み、前記通信ポートと通信可能である前記サービスプロセスが、前記ローカルメモリ記憶装置ユニットに書き込む特権を有しないと前記構成データにより定義され、前記サービスプロセスの前記オペレーティングシステムの特権は、それにより前記サービスプロセスが稼働される1以上のユーザアカウントの特権とは別に定義され、前記サービスプロセスの前記オペレーティングシステムの特権は、それのために前記サービスプロセスが稼働される1以上のアプリケーションの特権とは別に定義される、コンピュータデバイス。 - ユーザインターフェースを含むデスクトップをさらに含み、前記オペレーティングシステムが、前記サービスプロセスのいかなるものも前記デスクトップに直接アクセスすることを防止する規則を実装する、請求項1に記載のコンピュータデバイス。
- デスクトップ環境をさらに含み、前記オペレーティングシステムが、デスクトップ名前空間とは別個のサービス名前空間を強化するために実行し、前記サービス名前空間内の前記サービスプロセス及び前記デスクトップ名前空間内の1つ以上のデスクトップアプリケーションを実行するために動作する、請求項1又は請求項2に記載のコンピュータデバイス。
- 前記コンピュータデバイスが外部メディアポートをさらに含み、前記通信ポートと通信可能である前記サービスプロセスのうちの1つが、前記外部メディアポートを介して取り外し可能記憶装置ユニットと通信する特権を有しない、請求項1~請求項3の何れか1項に記載のコンピュータデバイス。
- 前記コンピュータデバイスが外部メディアポートをさらに含み、前記通信ポートと通信可能である前記サービスプロセスのうちの1つが、前記外部メディアポートを介して取り外し可能記憶装置ユニットと通信する特権を有する、さらなるサービスプロセスと直接通信する特権を有しない、請求項1~請求項3の何れか1項に記載のコンピュータデバイス。
Applications Claiming Priority (3)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US14/340,838 US11275861B2 (en) | 2014-07-25 | 2014-07-25 | Process control software security architecture based on least privileges |
US14/340,838 | 2014-07-25 | ||
JP2019145218A JP2019215901A (ja) | 2014-07-25 | 2019-08-07 | 最小特権ベースのプロセス制御ソフトウェアセキュリティアーキテクチャ、コンピュータデバイス |
Related Parent Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2019145218A Division JP2019215901A (ja) | 2014-07-25 | 2019-08-07 | 最小特権ベースのプロセス制御ソフトウェアセキュリティアーキテクチャ、コンピュータデバイス |
Publications (1)
Publication Number | Publication Date |
---|---|
JP2022065090A true JP2022065090A (ja) | 2022-04-26 |
Family
ID=54014032
Family Applications (6)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2015144615A Active JP6669448B2 (ja) | 2014-07-25 | 2015-07-22 | 最小特権ベースのプロセス制御ソフトウェアセキュリティアーキテクチャ |
JP2019145218A Pending JP2019215901A (ja) | 2014-07-25 | 2019-08-07 | 最小特権ベースのプロセス制御ソフトウェアセキュリティアーキテクチャ、コンピュータデバイス |
JP2021078643A Pending JP2021128785A (ja) | 2014-07-25 | 2021-05-06 | 最小特権ベースのプロセス制御ソフトウェアセキュリティアーキテクチャ、コンピュータデバイス |
JP2022021053A Pending JP2022065090A (ja) | 2014-07-25 | 2022-02-15 | 最小特権ベースのプロセス制御ソフトウェアセキュリティアーキテクチャ、コンピュータデバイス |
JP2023001517A Pending JP2023040168A (ja) | 2014-07-25 | 2023-01-10 | 最小特権ベースのプロセス制御ソフトウェアセキュリティアーキテクチャ、コンピュータデバイス |
JP2023143614A Pending JP2023162405A (ja) | 2014-07-25 | 2023-09-05 | 最小特権ベースのプロセス制御ソフトウェアセキュリティアーキテクチャ、コンピュータデバイス |
Family Applications Before (3)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2015144615A Active JP6669448B2 (ja) | 2014-07-25 | 2015-07-22 | 最小特権ベースのプロセス制御ソフトウェアセキュリティアーキテクチャ |
JP2019145218A Pending JP2019215901A (ja) | 2014-07-25 | 2019-08-07 | 最小特権ベースのプロセス制御ソフトウェアセキュリティアーキテクチャ、コンピュータデバイス |
JP2021078643A Pending JP2021128785A (ja) | 2014-07-25 | 2021-05-06 | 最小特権ベースのプロセス制御ソフトウェアセキュリティアーキテクチャ、コンピュータデバイス |
Family Applications After (2)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP2023001517A Pending JP2023040168A (ja) | 2014-07-25 | 2023-01-10 | 最小特権ベースのプロセス制御ソフトウェアセキュリティアーキテクチャ、コンピュータデバイス |
JP2023143614A Pending JP2023162405A (ja) | 2014-07-25 | 2023-09-05 | 最小特権ベースのプロセス制御ソフトウェアセキュリティアーキテクチャ、コンピュータデバイス |
Country Status (5)
Country | Link |
---|---|
US (2) | US11275861B2 (ja) |
JP (6) | JP6669448B2 (ja) |
CN (6) | CN114185319A (ja) |
DE (1) | DE102015112026A1 (ja) |
GB (7) | GB2596194B (ja) |
Families Citing this family (24)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US9560028B1 (en) * | 2014-08-04 | 2017-01-31 | Symantec Corporation | Systems and methods for filtering interprocess communications |
US9912737B2 (en) * | 2014-08-27 | 2018-03-06 | Exxonmobil Research And Engineering Company | Method and system for modular interoperable distributed control |
US10382312B2 (en) | 2016-03-02 | 2019-08-13 | Fisher-Rosemount Systems, Inc. | Detecting and locating process control communication line faults from a handheld maintenance tool |
US11605037B2 (en) | 2016-07-20 | 2023-03-14 | Fisher-Rosemount Systems, Inc. | Fleet management system for portable maintenance tools |
US10554644B2 (en) | 2016-07-20 | 2020-02-04 | Fisher-Rosemount Systems, Inc. | Two-factor authentication for user interface devices in a process plant |
US9805528B1 (en) * | 2016-07-20 | 2017-10-31 | Fisher-Rosemount Systems, Inc. | Authentication and authorization to control access to process control devices in a process plant |
US10599134B2 (en) | 2016-07-22 | 2020-03-24 | Fisher-Rosemount Systems, Inc. | Portable field maintenance tool configured for multiple process control communication protocols |
US10585422B2 (en) | 2016-07-22 | 2020-03-10 | Fisher-Rosemount Systems, Inc. | Portable field maintenance tool system having interchangeable functional modules |
US10374873B2 (en) | 2016-07-22 | 2019-08-06 | Fisher-Rosemount Systems, Inc. | Process control communication between a portable field maintenance tool and a process control instrument |
US10375162B2 (en) | 2016-07-22 | 2019-08-06 | Fisher-Rosemount Systems, Inc. | Process control communication architecture |
US10270853B2 (en) | 2016-07-22 | 2019-04-23 | Fisher-Rosemount Systems, Inc. | Process control communication between a portable field maintenance tool and an asset management system |
US10764083B2 (en) | 2016-07-25 | 2020-09-01 | Fisher-Rosemount Systems, Inc. | Portable field maintenance tool with resistor network for intrinsically safe operation |
US10481627B2 (en) | 2016-07-25 | 2019-11-19 | Fisher-Rosemount Systems, Inc. | Connection check in field maintenance tool |
US10505585B2 (en) | 2016-07-25 | 2019-12-10 | Fisher-Rosemount Systems, Inc. | Portable field maintenance tool with a bus for powering and communicating with a field device |
US10333918B2 (en) * | 2017-02-22 | 2019-06-25 | Accenture Global Solutions Limited | Automated system identification, authentication, and provisioning |
JP7091354B2 (ja) * | 2017-02-27 | 2022-06-27 | イヴァンティ,インコーポレイテッド | コンピュータセキュリティリスクのコンテキストベースの軽減のためのシステム及び方法 |
CN109240809B (zh) * | 2017-07-11 | 2022-08-23 | 阿里巴巴集团控股有限公司 | 进程维护管理方法、容器维护方法、装置和操作系统 |
GB2566262B (en) * | 2017-09-01 | 2020-08-26 | Avecto Ltd | Managing installation of applications on a computer device |
CN109901935B (zh) * | 2017-12-11 | 2021-12-17 | 航天信息股份有限公司 | 一种与USB Key进行通信的方法及设备 |
CN108985086B (zh) * | 2018-07-18 | 2022-04-19 | 中软信息系统工程有限公司 | 应用程序权限控制方法、装置及电子设备 |
KR102510846B1 (ko) * | 2018-10-04 | 2023-03-16 | 삼성전자주식회사 | 전자 장치 및 그의 제어방법 |
CN111381567B (zh) * | 2018-12-27 | 2021-11-05 | 北京安控科技股份有限公司 | 一种用于工业控制系统的安全检测系统和方法 |
CN110532764B (zh) * | 2019-08-19 | 2022-03-11 | 维沃移动通信有限公司 | 一种权限处理的方法、移动终端及可读存储介质 |
US11368459B2 (en) | 2020-09-30 | 2022-06-21 | International Business Machines Corporation | Providing isolated containers for user request processing |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
JP2005129066A (ja) * | 2003-10-24 | 2005-05-19 | Microsoft Corp | オペレーティングシステムリソース保護 |
JP2006155416A (ja) * | 2004-11-30 | 2006-06-15 | Ntt Docomo Inc | アクセス制御装置及びアクセス制御方法 |
US20060265761A1 (en) * | 2003-09-15 | 2006-11-23 | Trigence Corp. | Malware containment by application encapsulation |
US20090217371A1 (en) * | 2008-02-25 | 2009-08-27 | Saurabh Desai | System and method for dynamic creation of privileges to secure system services |
WO2012046406A1 (ja) * | 2010-10-04 | 2012-04-12 | パナソニック株式会社 | 情報処理装置およびアプリケーション不正連携防止方法 |
Family Cites Families (55)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1225186A (zh) * | 1996-12-18 | 1999-08-04 | 亚历山大S·奥伦斯坦 | 用于从远程站访问应用服务程序的安全系统 |
US6629123B1 (en) * | 1998-10-02 | 2003-09-30 | Microsoft Corporation | Interception of unit creation requests by an automatic distributed partitioning system |
JP2000330802A (ja) | 1999-05-17 | 2000-11-30 | Yokogawa Electric Corp | 汎用オペレーティングシステムにおけるプロセス起動方法及びこれを用いた制御システム |
US6826760B1 (en) * | 1999-06-16 | 2004-11-30 | Microsoft Corporation | Methods of factoring operating system functions, methods of converting operating systems, and related apparatus |
US6389542B1 (en) * | 1999-10-27 | 2002-05-14 | Terence T. Flyntz | Multi-level secure computer with token-based access control |
US6643783B2 (en) * | 1999-10-27 | 2003-11-04 | Terence T. Flyntz | Multi-level secure computer with token-based access control |
US7308702B1 (en) | 2000-01-14 | 2007-12-11 | Secure Computing Corporation | Locally adaptable central security management in a heterogeneous network environment |
US7196638B2 (en) * | 2000-06-07 | 2007-03-27 | Honeywell International, Inc. | Embedded digitization system |
US7171672B2 (en) * | 2002-04-24 | 2007-01-30 | Telefonaktie Bolaget Lm Ericsson (Publ) | Distributed application proxy generator |
GB0212315D0 (en) | 2002-05-28 | 2002-07-10 | Symbian Ltd | Secure mobile wireless device with protected file systems |
US7606890B1 (en) | 2002-06-04 | 2009-10-20 | Rockwell Automation Technologies, Inc. | System and methodology providing namespace and protocol management in an industrial controller environment |
US7418702B2 (en) * | 2002-08-06 | 2008-08-26 | Sheng (Ted) Tai Tsao | Concurrent web based multi-task support for control management system |
US6975966B2 (en) * | 2003-01-28 | 2005-12-13 | Fisher-Rosemount Systems, Inc. | Integrated diagnostics in a process plant having a process control system and a safety system |
US7647385B2 (en) * | 2003-12-19 | 2010-01-12 | Microsoft Corporation | Techniques for limiting network access |
US7587755B2 (en) | 2004-07-02 | 2009-09-08 | Citrix Systems, Inc. | System and method for executing interactive applications with minimal privileges |
FI20045271A (fi) * | 2004-07-12 | 2006-01-13 | Ej Suunnittelu Oy | Mekanismeja tietokoneohjelman suorittamiseksi |
US7680758B2 (en) * | 2004-09-30 | 2010-03-16 | Citrix Systems, Inc. | Method and apparatus for isolating execution of software applications |
US7516477B2 (en) | 2004-10-21 | 2009-04-07 | Microsoft Corporation | Method and system for ensuring that computer programs are trustworthy |
US20060150238A1 (en) * | 2005-01-04 | 2006-07-06 | Symbol Technologies, Inc. | Method and apparatus of adaptive network policy management for wireless mobile computers |
US8402525B1 (en) * | 2005-07-01 | 2013-03-19 | Verizon Services Corp. | Web services security system and method |
US7784025B2 (en) | 2005-10-13 | 2010-08-24 | International Business Machines Corporation | Mechanism for using processlets to model service processes |
US20070156693A1 (en) | 2005-11-04 | 2007-07-05 | Microsoft Corporation | Operating system roles |
US8539481B2 (en) | 2005-12-12 | 2013-09-17 | Microsoft Corporation | Using virtual hierarchies to build alternative namespaces |
US20070192344A1 (en) * | 2005-12-29 | 2007-08-16 | Microsoft Corporation | Threats and countermeasures schema |
US7849469B1 (en) * | 2006-01-04 | 2010-12-07 | Emc Corporation | Methods and apparatus providing a categorical approach to aspect-oriented programming |
US7712137B2 (en) * | 2006-02-27 | 2010-05-04 | Microsoft Corporation | Configuring and organizing server security information |
CN101071388B (zh) | 2006-05-12 | 2010-05-12 | 联想(北京)有限公司 | 一种进程隔离控制系统及方法 |
US7913084B2 (en) * | 2006-05-26 | 2011-03-22 | Microsoft Corporation | Policy driven, credential delegation for single sign on and secure access to network resources |
KR100915803B1 (ko) * | 2006-12-05 | 2009-09-07 | 한국전자통신연구원 | 임베디드 리눅스 커널의 보안성 강화를 위한 응용 프로그램구동 방법 및 시스템 |
JP2008250382A (ja) * | 2007-03-29 | 2008-10-16 | Seiko Epson Corp | コンピュータプログラム、情報処理装置および情報処理方法 |
CN101369302B (zh) * | 2008-09-24 | 2011-04-27 | 北京飞天诚信科技有限公司 | 一种控制信息安全设备访问权限的方法和系统 |
CN101551756B (zh) | 2009-03-31 | 2012-02-15 | 成都市华为赛门铁克科技有限公司 | 基于操作系统层的虚拟方法及虚拟装置 |
JP2011008530A (ja) | 2009-06-25 | 2011-01-13 | Fuji Xerox Co Ltd | プログラム及び情報処理装置 |
US8656412B2 (en) | 2009-12-25 | 2014-02-18 | International Business Machines Corporation | Pipeline across isolated computing environments |
US8474042B2 (en) * | 2010-07-22 | 2013-06-25 | Bank Of America Corporation | Insider threat correlation tool |
US8474009B2 (en) * | 2010-05-26 | 2013-06-25 | Novell, Inc. | Dynamic service access |
US8473753B2 (en) * | 2010-09-15 | 2013-06-25 | International Business Machines Corporation | Real-time secure self-acquiring root authority |
US8970603B2 (en) | 2010-09-30 | 2015-03-03 | Microsoft Technology Licensing, Llc | Dynamic virtual device failure recovery |
CN102214127B (zh) | 2010-11-15 | 2013-01-09 | 上海安纵信息科技有限公司 | 一种基于操作系统虚拟化原理的数据集中存储及备份方法 |
US8346817B2 (en) * | 2010-11-29 | 2013-01-01 | Red Hat, Inc. | Systems and methods for embedding interpolated data object in application data file |
US10631246B2 (en) * | 2011-02-14 | 2020-04-21 | Microsoft Technology Licensing, Llc | Task switching on mobile devices |
US8931056B2 (en) * | 2011-03-31 | 2015-01-06 | Microsoft Corporation | Establishing privileges through claims of valuable assets |
US8584211B1 (en) | 2011-05-18 | 2013-11-12 | Bluespace Software Corporation | Server-based architecture for securely providing multi-domain applications |
CN102270287B (zh) * | 2011-07-13 | 2013-07-24 | 中国人民解放军海军计算技术研究所 | 一种提供主动安全服务的可信软件基 |
GB2490374B (en) * | 2011-09-30 | 2013-08-07 | Avecto Ltd | Method and apparatus for controlling access to a resource in a computer device |
US20140201418A1 (en) * | 2011-11-14 | 2014-07-17 | United States Government, As Represented By The Secretary Of The Navy | Net-centric adapter for interfacing enterprises systems to legacy systems |
CN103188237A (zh) | 2011-12-30 | 2013-07-03 | 盛大计算机(上海)有限公司 | 单点登录系统及方法 |
US9411637B2 (en) * | 2012-06-08 | 2016-08-09 | Apple Inc. | Adaptive process importance |
CN103593246B (zh) | 2012-08-15 | 2017-07-11 | 中国电信股份有限公司 | 虚拟机和宿主机之间的通信方法、宿主机和虚拟机系统 |
CN103020523B (zh) * | 2012-11-27 | 2016-02-10 | 张应刚 | 用于高安全级别电脑的数据摆渡控制装置 |
US9049252B2 (en) | 2012-12-17 | 2015-06-02 | International Business Machines Corporation | Efficient name management for named data networking in datacenter networks |
GB2510120A (en) | 2013-01-24 | 2014-07-30 | Ibm | User authentication based on dynamically selected service authentication levels |
US9104893B2 (en) * | 2013-03-04 | 2015-08-11 | Microsoft Technology Licensing, Llc | Rule based access for removable storage |
CN103606081A (zh) | 2013-10-13 | 2014-02-26 | 杨筑平 | 交易保护方法、受理装置和提交装置 |
CN103778368A (zh) | 2014-01-23 | 2014-05-07 | 重庆邮电大学 | 一种基于系统虚拟化技术的进程安全隔离方法 |
-
2014
- 2014-07-25 US US14/340,838 patent/US11275861B2/en active Active
-
2015
- 2015-07-16 GB GB2105493.7A patent/GB2596194B/en active Active
- 2015-07-16 GB GB2203760.0A patent/GB2605022B/en active Active
- 2015-07-16 GB GB2105491.1A patent/GB2596192B/en active Active
- 2015-07-16 GB GB2105492.9A patent/GB2596193B/en active Active
- 2015-07-16 GB GB1512424.1A patent/GB2530616B/en active Active
- 2015-07-16 GB GB2105489.5A patent/GB2596190B/en active Active
- 2015-07-16 GB GB2105490.3A patent/GB2596191B/en active Active
- 2015-07-22 JP JP2015144615A patent/JP6669448B2/ja active Active
- 2015-07-23 DE DE102015112026.7A patent/DE102015112026A1/de active Pending
- 2015-07-24 CN CN202111534080.5A patent/CN114185319A/zh active Pending
- 2015-07-24 CN CN202111534541.9A patent/CN114217588A/zh active Pending
- 2015-07-24 CN CN202111561104.6A patent/CN114237188A/zh active Pending
- 2015-07-24 CN CN201510441630.7A patent/CN105302092B/zh active Active
- 2015-07-24 CN CN201910292675.0A patent/CN110109427A/zh active Pending
- 2015-07-24 CN CN202111534544.2A patent/CN114217589A/zh active Pending
-
2019
- 2019-08-07 JP JP2019145218A patent/JP2019215901A/ja active Pending
-
2021
- 2021-05-06 JP JP2021078643A patent/JP2021128785A/ja active Pending
-
2022
- 2022-02-15 JP JP2022021053A patent/JP2022065090A/ja active Pending
- 2022-03-14 US US17/694,058 patent/US20220198047A1/en active Pending
-
2023
- 2023-01-10 JP JP2023001517A patent/JP2023040168A/ja active Pending
- 2023-09-05 JP JP2023143614A patent/JP2023162405A/ja active Pending
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20060265761A1 (en) * | 2003-09-15 | 2006-11-23 | Trigence Corp. | Malware containment by application encapsulation |
JP2005129066A (ja) * | 2003-10-24 | 2005-05-19 | Microsoft Corp | オペレーティングシステムリソース保護 |
JP2006155416A (ja) * | 2004-11-30 | 2006-06-15 | Ntt Docomo Inc | アクセス制御装置及びアクセス制御方法 |
US20090217371A1 (en) * | 2008-02-25 | 2009-08-27 | Saurabh Desai | System and method for dynamic creation of privileges to secure system services |
WO2012046406A1 (ja) * | 2010-10-04 | 2012-04-12 | パナソニック株式会社 | 情報処理装置およびアプリケーション不正連携防止方法 |
Non-Patent Citations (2)
Title |
---|
吉川 和巳: "「だれもがroot」を解消するHPのセキュアOS機能", UNIX MAGAZINE, vol. 22, no. 2, JPN6023014150, 1 April 2007 (2007-04-01), JP, pages 44 - 51, ISSN: 0005034565 * |
矢野尾 一男 ほか: "情報漏洩対策システムInfoCageのアクセス制御方式", 第67回(平成17年)全国大会講演論文集(3), vol. 3A−2, JPN6020041453, 2 March 2005 (2005-03-02), JP, pages 3 - 297, ISSN: 0005034564 * |
Also Published As
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JP2022065090A (ja) | 最小特権ベースのプロセス制御ソフトウェアセキュリティアーキテクチャ、コンピュータデバイス | |
US11962622B2 (en) | Automated enforcement of security policies in cloud and hybrid infrastructure environments | |
US11363067B2 (en) | Distribution and management of services in virtual environments | |
US10375111B2 (en) | Anonymous containers | |
EP3465517B1 (en) | Hardware-based virtualized security isolation | |
US10078751B2 (en) | Computer device and method for controlling untrusted access to a peripheral device | |
RU2724796C1 (ru) | Система и способ защиты автоматизированных систем при помощи шлюза | |
US20170017508A1 (en) | Method for forming a virtual environment in an operating system of a computer | |
EP4167523A1 (en) | Network gateway and method for transferring data from a first network to a second network |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20220215 |
|
A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20230411 |
|
A601 | Written request for extension of time |
Free format text: JAPANESE INTERMEDIATE CODE: A601 Effective date: 20230711 |
|
A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20230915 |
|
A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20231212 |