JP2739029B2 - データ・オブジェクトへのアクセスを制御する方法 - Google Patents

データ・オブジェクトへのアクセスを制御する方法

Info

Publication number
JP2739029B2
JP2739029B2 JP5226104A JP22610493A JP2739029B2 JP 2739029 B2 JP2739029 B2 JP 2739029B2 JP 5226104 A JP5226104 A JP 5226104A JP 22610493 A JP22610493 A JP 22610493A JP 2739029 B2 JP2739029 B2 JP 2739029B2
Authority
JP
Japan
Prior art keywords
data
access
data object
management program
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP5226104A
Other languages
English (en)
Other versions
JPH06202987A (ja
Inventor
エイチ. クレイマー ポール
エイ. テイト カイ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of JPH06202987A publication Critical patent/JPH06202987A/ja
Application granted granted Critical
Publication of JP2739029B2 publication Critical patent/JP2739029B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Description

【発明の詳細な説明】
【0001】
【産業上の利用分野】本発明は概してデータ処理システ
ムに関し、特にデータ処理システムのデータを保護する
ためのメカニズムに関する。
【0002】
【従来の技術】データ処理システムのデータを保護する
ための技術において、さまざまな設計が知られている。
公知の保護メカニズムの例として、ファイル及びプログ
ラムのためのアクセスリスト及び選択されたデータへア
クセスするためのパスワード保護が含まれる。適切なユ
ーザだけが機密(感知可能)データへアクセスするのを
保証するための数多くの技術が知られている。
【0003】データに選択された機能だけを行う許可も
また一般的である。例えば、ユーザは制限された目的だ
けのために選択されたファイルへのアクセスを与えられ
てもよい。ユーザは特定のデータファイルを読み取るこ
とだけを許可されるか、ファイルから読み取り、そのフ
ァイルを書き込む(更新する)ことを許可されるか、或
いは、そのファイルを読み取り、書き込み、削除するこ
とを許可されてもよい。アクセスリストは、どのユーザ
があらゆる特定のファイル又はファイルのグループへの
幾つかのタイプ又は全てのタイプのアクセスを有するか
を指定するのに使用される。
【0004】多くのシステムにおいて、データへのアク
セスはシステムレベルインタフェースを介して実行され
る。システムレベルインタフェースは、トラステッド
(信頼された)コードを含む低レベルプロシージャー
(手順)であり、明確に定義されたシステムコール又は
同様のインタフェースを介して他のプロシージャーによ
って呼び出されるだけである。システムレベルインタフ
ェースは、通常のアプリケーションで拒否されるデータ
アクセス及びデータ操作を行う能力を有する。例えば、
システムレベルインタフェースは、一般的に、呼出しア
プリケーションから隠されている内部情報を保持する能
力を持つ。
【0005】このタイプの一般的なシステムにおいて、
ユーザはアプリケーションを呼び出し、低レベルシステ
ムインタフェースを介してデータへアクセスする。機密
データの安全性を保護するため、アプリケーションはユ
ーザが情報へアクセスする権限を有するかどうかを決定
しなければならない。しかしながら、このようなアクセ
スを制限する技術は、他のアプリケーションが、偶然
に、或いは、機密データへのアクセスに置かれた制限を
知らずに機密データへアクセスできるという点で制限さ
れる。データの安全性を保証しようとするため、アプリ
ケーションプログラムは、データのユーザアクセスが適
切であると保証するための適切な検査を行わなければな
らない。これはアプリケーションプログラムにとって大
きな負担であり、またしばしば機密データへのアクセス
を適切に制御するには不十分である。
【0006】データ処理システムに改良されたデータ保
護を提供するためのシステム及び方法を提供することが
望ましい。
【0007】
【発明が解決しようとする課題】従って、本発明の目的
は、システムレベルインタフェースを介するアプリケー
ションプログラムによってアクセス可能な複数のデータ
オブジェクトを含むデータ処理システムを提供すること
である。
【0008】
【課題を解決するための手段と作用】本発明に従って、
データ処理システムは、システムレベルインタフェース
を介するアプリケーションプログラムによってアクセス
可能な複数のデータオブジェクトを含む。各データオブ
ジェクトは、対応するユーザアクセスリストを有する。
更に、各オブジェクトはどのアプリケーションがそのオ
ブジェクトにアクセス可能かを示す少なくとも1つのキ
ーを有する。キーは、低レベルシステムインタフェース
によってのみアクセス可能だが、保護された記憶領域で
維持されるのが好ましい。アプリケーション識別子キー
及びそのアプリケーションを呼び出したユーザの双方
は、アクセスがそのオブジェクトに対して許可されるた
めデータオブジェクトの識別子情報と一致しなければな
らない。無許可のユーザが正確なアプリケーションを介
してデータオブジェクトへのアクセスを試みる場合、或
いは、許可されたユーザが不正確なアプリケーションを
介してアクセスを試みる場合は、データオブジェクトへ
のアクセスは低レベルインタフェースによって拒否され
る。
【0009】データ処理システムにおいてデータオブジ
ェクトへのアクセスを制御するための方法は、データ処
理システムにおいて複数のデータオブジェクトを生成す
るステップと、各オブジェクトが生成されるとき、当該
オブジェクトを少なくとも1個のユーザ識別子、及び少
なくとも1個のデータ管理プログラム識別子と対応させ
るステップと、ユーザ識別子を用いて呼び出すユーザを
識別するために、データ管理プログラムを呼び出すステ
ップと、呼び出されたデータ管理プログラムが後にデー
タオブジェクトへアクセスを試みるとき、データ管理プ
ログラムがデータオブジェクトと対応する識別子を有
し、データ管理プログラムがオブジェクトと対応するユ
ーザ識別子と共に呼び出された場合にのみ当該アクセス
を許容するステップと、から成る。
【0010】データオブジェクトへのアクセス制限を有
するデータ処理システムは、各々が少なくとも1個の対
応するユーザ識別子を有し、更に少なくとも1個の対応
するデータ管理プログラム識別子を有する複数のデータ
オブジェクトと、ユーザによって呼び出されるとき、各
々がデータオブジェクトへアクセスする対応する識別子
を有する複数のデータ管理プログラムと、前記データ管
理プログラムによって前記データオブジェクトへのアク
セスを制御するためのシステムレベルインタフェース
と、を備え、前記システムレベルインタフェースによっ
て、データオブジェクトと対応する識別子と一致する識
別子を有するデータ管理プログラムだけでアクセスが可
能となり、更に一致するデータ管理プログラムがデータ
オブジェクトと対応するユーザ識別子を有するユーザに
よって呼び出されたときだけアクセスが可能となるこ
と、から成る。
【0011】データ処理システムにおいてデータオブジ
ェクトへのアクセスを制御するための方法は、データ処
理システムにおいて複数のデータオブジェクトを生成す
るステップと、各オブジェクトが生成されるとき、当該
オブジェクトを少なくとも1個のユーザ識別子、及び少
なくとも1個のデータ管理プログラム識別子と対応させ
るステップと、ユーザ識別子を用いて呼び出すユーザを
識別するために、第1データ管理プログラムを呼び出す
ステップと、第1データ管理プログラムから第2データ
管理プログラムを呼び出すステップと、第2データ管理
プログラムが後にデータオブジェクトへアクセスを試み
るとき、第1データ管理プログラム及び第2データ管理
プログラムがデータオブジェクトと対応するリストに含
まれる識別子を有し、第1データ管理プログラムがオブ
ジェクトと対応するユーザ識別子と共に呼び出された場
合にのみ当該アクセスを許容するステップと、から成
る。
【0012】
【実施例】図1を参照すると、データ処理システム10
の一部が示されている。本発明で使用するのに適切なデ
ータ処理システムとして、例えば、インターナショナル
ビジネスマシーンズ社(International Business Machin
es Corporation) から入手可能なAS/400がある。
データ処理システム10には仮想記憶空間12が含まれ
る。当該技術で知られるように、そのような仮想記憶空
間は磁気ディスクドライブ等の高密度補助記憶によって
支援される主システムメモリを含む。仮想記憶空間12
の物理的構造は本発明にとって重要ではない。
【0013】仮想記憶空間12には、多数のデータオブ
ジェクトが含まれる。図1において3つのデータオブジ
ェクト14、16、18が示されているが、当業者によ
って、より多数のオブジェクトが一般的に存在すること
が理解される。各データオブジェクト14乃至18は、
アクセスを制御するために単一のエンティティとして見
なされるデータのブロックを表す。データオブジェクト
の正確な性質は本発明にとって重要でなく、データ処理
システム10で通常用いられるいかなるタイプのオブジ
ェクトであってもよい。例えばオブジェクト指向システ
ムにおいて、データオブジェクト14乃至18の各々は
オブジェクト指向システムの通常の意味における「オブ
ジェクト(object)」である。各データオブジェクト14
乃至18は、より従来からの関係データベースシステム
において表を表すこともできる。各オブジェクトは完全
な表であってもよいし、複数のテーブル又は単一のテー
ブルの一部だけに対応してもよい。当該データオブジェ
クトの他のカテゴリー化は当業者に明らかである。
【0014】好ましい実施例において、データオブジェ
クト14乃至18への全てのアクセスはシステムレベル
インタフェース20を介して実行される。システムレベ
ルインタフェース20は、一般的に低レベル、トラステ
ッドプログラムコードのブロックであり、仮想記憶空間
12に記憶されるデータオブジェクトへの唯一のアクセ
スの手段を提供する。この低レベルコードは、一般的
に、アプリケーションプログラムで許容されない監視モ
ード又は同様のモードで作動する。公知のように、シス
テムレベルインタフェース20は、システムコール、ソ
フトウェア割込み及び同様の技術によって仮想記憶空間
12へアクセスするために呼び出されてもよい。
【0015】アプリケーション22、24、26はデー
タ処理システム10内で実行し、システムレベルインタ
フェース20を介してデータオブジェクトへアクセスす
る。仮想記憶空間12のデータオブジェクトへアクセス
する多くのタイプのアプリケーションは、アプリケーシ
ョン22乃至26によって表される。以下の議論のため
に、アプリケーション22乃至26は「データ管理プロ
グラム(data managers) 」として参照される。データ管
理プログラムという用語は、システムレベルインタフェ
ース20の中継を介して仮想記憶空間12内のデータを
管理するあらゆるアプリケーション、プロシージャー、
又は処理についてであることを意図している。
【0016】ユーザ28、30、32、34の各々は、
データ管理プログラムアプリケーション22乃至26の
少なくとも1つを呼び出すことができる。この説明で用
いられるように、ユーザ28乃至34は、ワークステー
ション、若しくは、情報がユーザとアプリケーション2
2乃至26との間で通信される他の入出力装置、の前に
座っている実際の人を表すことができる。アプリケーシ
ョンはユーザによって直接呼び出され、ユーザと直接入
出力を行ってもよい。データ管理プログラムアプリケー
ションはあらゆる数の中間プログラム(図示せず)を介
してユーザによって間接的に呼び出されてもよく、これ
は本発明の目的のためにユーザによって直接呼び出され
るのと同じ効果をもつ。
【0017】ユーザが直接的又は間接的にデータ管理プ
ログラムアプリケーションを呼び出すと、ユーザ識別子
は当該呼出しと対応する処理の処理識別子内に含まれ
る。従って、データ管理プログラムアプリケーション2
2乃至26が呼び出されると、呼び出しているユーザ2
8乃至34の識別は常に使用可能である。更に、データ
管理プログラム22乃至26がシステムレベルインタフ
ェース20を呼び出すと、呼び出しているデータ管理プ
ログラム22乃至26の識別はシステムレベルインタフ
ェース20でもまた使用可能である。従って、システム
レベルインタフェース20によってデータオブジェクト
14乃至18へアクセスが行われると、インタフェース
20は、アクセスを行う特定のデータ管理プログラムと
対応する識別子と、データ管理プログラムを介してアク
セスを生成したユーザのための識別子との双方に使用で
きる。
【0018】図2は本発明の好ましい実施例を示す。各
データオブジェクトは、第1データ管理プログラムが第
2データ管理プログラムへアクセスし、次に第2管理プ
ログラムが低レベルインタフェースを介してデータオブ
ジェクトへアクセスする階層で、1つより多くのデータ
管理プログラムによってアクセスされる。図2の例にお
いて、データ管理プログラム40は介在するデータ管理
プログラム42を介してユーザ28及び30によって呼
び出される。この関係は、例えば、オブジェクト指向シ
ステムにおける低レベルデータベースエンジンであるデ
ータ管理プログラム40が、次にユーザによって使用可
能なデータベースエンジンへの幾つかのインタフェース
の内の1つを表すデータ管理プログラム42によって呼
び出されることを表す。データ管理プログラム42は、
例えば、アクセス情報を記憶するためにデータベースを
使用することが主な機能である安全性保護管理プログラ
ムであってもよい。追加のデータ管理プログラムは、一
方の端部がユーザ要求アクセスであり、他方の端部が低
レベルシステムインタフェースであるチェーン(連鎖)
であってもよい。
【0019】図2の例において、データ管理プログラム
40及びデータ管理プログラム42の双方を介してデー
タオブジェクト14へアクセスする許可されたユーザ
に、データオブジェクト14へのアクセスを制限するの
は望ましい。従って、許可されたユーザ28が別個のデ
ータ管理プログラム(図示せず)を介し、別個のデータ
管理プログラムがデータ管理プログラム40を呼び出し
てデータオブジェクト14へアクセスするならば、アク
セスはシステムレベルインタフェース20によって拒否
される。
【0020】データオブジェクト14乃至18の各々
は、システムに通常使用可能な情報に加えて、アクセス
制御に関連する2つのタイプの情報と関連している。こ
の情報は、図3に示されるように、一般的にオブジェク
トヘッダーに含まれている。各オブジェクト内のアクセ
スリスト36は、対応するデータオブジェクトへアクセ
スするのを許可されている全てのユーザのユーザ識別子
を含む。当該技術に公知の方法を用いて、アクセスリス
ト36は各ユーザのアクセス許可タイプを含むことが好
ましい。使用される一般的な許可タイプには、ユーザが
データオブジェクトへの読み取りアクセスのみを有する
読み取り、ユーザがデータオブジェクトへの書き込み
(修正)アクセスを有する書き込み、並びに、ユーザが
データオブジェクトを削除するための許可を有する削
除、が含まれる。異なるユーザが異なるデータオブジェ
クトへの異なる許可を持つことは一般的である。例え
ば、共用されたデータベースにおいて、少数のユーザが
書き込み及び削除アクセスを有すると共に、より一層多
くのユーザがデータベース内のオブジェクトへ読み取り
専用のアクセスを有してもよい。
【0021】アクセスリスト36に加えて、キーリスト
38もまた仮想記憶空間12の各データオブジェクトと
対応する。キーリスト38は、各々がこの特定のオブジ
ェクトへのアクセスを許可されるデータ管理プログラム
を識別する1つ以上の識別子のリスト44、46を含
む。幾つかのリスト44、46において、単一のデータ
管理プログラムだけがデータオブジェクトへのアクセス
を提供するために必要とされ、このデータ管理プログラ
ムがそのデータオブジェクトを生成したプログラムであ
る。しかしながら、他のリストは2つ以上のデータ管理
プログラムの識別子を含み、全ての識別されたデータ管
理プログラムがリストと一致するために呼出し階層で呼
び出されなければならないことを必要とする。
【0022】リスト44、46の内の1つがキーリスト
と一致するためには、リスト44、46の全ての識別子
が呼出しデータ管理プログラムの階層にあるデータ管理
プログラムと一致しなければならない。いかなるデータ
管理プログラムが欠けている場合も、一致を必要とする
サブリストと一致しない。従って、リスト44がデータ
管理プログラム40及び42の識別子を含む場合も、図
2に示されるように、双方のデータ管理プログラムが呼
出し階層で呼び出されなければ一致しない。当業者によ
って、いかなる個々のデータオブジェクトへのアクセス
をも可能にするために、さまざまなデータ管理プログラ
ムの組合せが必要とされることが理解される。例えば、
単一のデータオブジェクトは、単一のデータ管理プログ
ラムを介して、又は2つ、3つ、若しくはそれ以上のデ
ータ管理プログラムの呼出し階層を介してのみアクセス
可能である。
【0023】システムレベルインタフェース20がデー
タオブジェクトへの全てのアクセスを制御するため、ア
クセスリスト及びキーリストへのアクセスがシステムレ
ベルインタフェース20によって制御される。好ましい
実施例において、いかなる特定のオブジェクトへアクセ
スする全てのデータ管理プログラムの識別を含んだリス
トを有するキーリスト38は、システムレベルインタフ
ェース20によってのみアクセス可能である。キーリス
トはオブジェクトの一部、又は保護された記憶領域とし
て知られるオブジェクトと対応する別個のメモリに記憶
される。データオブジェクトがオブジェクト指向システ
ム内のオブジェクトであるならば、さまざまなデータオ
ブジェクトのキーはカプセル封じされた(encapsulated)
と称される。
【0024】各特定のデータオブジェクトへのユーザ許
可アクセスの識別子を含むアクセスリストは、通常、そ
のデータオブジェクトへのアクセスを有するデータ管理
プログラムの内の少なくとも1つで使用可能である。こ
れによって、データ管理プログラムがアクセスリストを
修正し、アクセスを有するユーザを追加及び削除し、必
要に応じてユーザに対するアクセス許可を変更すること
が可能になる。
【0025】許可タイプは、データオブジェクトへのア
クセスを有する各データ管理プログラムにもまた設けら
れる。読み取り、書き込み及び削除許可はユーザに使用
可能な許可と類似している。更に、許可は、データ管理
プログラムがユーザアクセスリストの修正を許可するか
どうかを決定するために設けられる。当該アクセスリス
ト更新許可を有するデータ管理プログラムによってのみ
ユーザアクセスリストが変更可能である。
【0026】アクセスがシステムレベルインタフェース
20を介して特定のデータオブジェクト、例えば、オブ
ジェクト14、から要求されると、システムレベルイン
タフェース20は、元の呼出しユーザ及び呼出しデータ
管理プログラムの識別子を、アクセスリスト36及びキ
ーリスト38に記憶される識別子と比較する。システム
レベルインタフェース20によってアクセスが許可され
るためには、双方のリストで一致が見られなければなら
ない。キーリスト38がデータ管理プログラムの階層を
介してアクセスが許可されることを示すならば、階層に
ある全てのデータ管理プログラムはアクセスを可能にす
るためにチェーンで呼び出されなければならない。
【0027】許可されたユーザが無許可のデータ管理プ
ログラムを介して特定のデータオブジェクトへアクセス
するならば、許可されたデータ管理プログラムは無許可
のユーザによって呼び出されたオブジェクトへアクセス
するか、或いは、階層リストのデータ管理プログラムの
内の1つがチェーンで呼び出されず、特定のデータオブ
ジェクトへのアクセスが拒否される。アクセスリスト3
6及びキーリスト38の一方又は両方がユーザ及びデー
タ管理プログラムにさまざまなアクセス許可を有するな
らば、アクセスがシステムレベルインタフェース20に
よって許可される前にこれらのアクセス許可もまた満た
されなければならない。例えば、データ管理プログラム
40、42がオブジェクト14への読み取り、書き込み
及び削除アクセスを許可されるが、許可されたユーザ2
8がデータオブジェクト14への読み取りアクセスだけ
しか許可されないならば、システムレベルインタフェー
ス20は、データ管理プログラム22による呼出しを介
してもユーザ28にデータオブジェクト14の修正を許
可しない。
【0028】システムレベルインタフェース20によっ
て実行される意思決定プロセスは、図4のフローチャー
トに示されている。オブジェクトへアクセスするために
システムレベルインタフェースへ呼出しが行われると、
ブロック60でデータオブジェクトが識別され、ブロッ
ク62で要求されたアクセスのタイプが識別される。ブ
ロック64にて、要求の責任を取るユーザがそのデータ
オブジェクトのアクセスリスト上にあるかどうかを決定
するための検査が行われ、アクセスリスト上になけれ
ば、ブロック66でデータオブジェクトへのアクセスが
拒否される。ユーザがアクセスリストにあるならば、ブ
ロック68へ制御が渡されて、ユーザがこのタイプのア
クセスの許可を有するかどうかを決定するための検査が
行われる。許可を有さなければ、アクセスは再びブロッ
ク66で拒否される。ユーザがこのタイプのアクセスの
許可を有するならば、ブロック70において、全てのデ
ータ管理プログラムの要求リストがそのオブジェクトの
キーリスト上にあるかどうかが決定される。キーリスト
上になければ、アクセスはブロック66で拒否される。
データ管理プログラムがキーリスト上にあるならば、ブ
ロック72において、システムはデータ管理プログラム
がこのタイプのアクセスの許可を有するかどうかを決定
する。許可を有さなければ、アクセスは拒否される。全
ての可能な要素が正しく一致するときに限り、ブロック
74でアクセスが認可される。
【0029】上記の説明に従って、全てのテスト64、
68、70、72が実行される必要がないことは明らか
である。例えば、データ管理プログラムが許可タイプと
共に提供されなくてもよいために、ブロック72のテス
トは含まれない。ユーザアクセスを制御するために許可
が使用されないならば、決定ブロック68もまた含まれ
ない。更に、実際の決定はいかなる順序で行われてもよ
いし、また、同時に行われてもよい。
【0030】アクセスが全く制限されていないことを示
すために、特別のデフォルト値がアクセスリスト又はキ
ーリストで使用可能である。例えば、幾つかのデータオ
ブジェクトは全てのシステムユーザに使用可能でなけれ
ばならず、各システムユーザがデータオブジェクトへの
アクセスを有することを保証するために、大きく絶えず
変化するアクセスリストを維持することは負担である。
この場合、特別なフラグが全てのユーザがアクセスを有
することを示すためにアクセスリストで使用され、特
に、決定ブロック64で常に肯定を示すようにさせる。
許可が使用されるならば、読み取り専用等の制限された
許可を有するデフォルトユーザアクセス記号を提供する
ことが可能になる。この場合、アクセスリストは書き込
み及び削除特権を必要とするユーザの個々のリストを有
する一方、他のあらゆるユーザを選択するデフォルト記
号は読み取り許可だけしか持たない。アクセスがユーザ
識別子のみによって制限される場合に、同様の技術がデ
ータ管理プログラムで使用され、いかなるデータ管理プ
ログラムもオブジェクトへのアクセスを有する。これ
は、さまざまなデータオブジェクトへのアクセスを制御
するために、ユーザアクセスリストだけしか以前に持た
なかった現行のシステムへ新たな機能を増設するときに
有用である。このような場合には、全ての既存のオブジ
ェクトは全てのデータ管理プログラムによってアクセス
可能なデフォルト値を有するとして処理される一方、新
たに生成されたオブジェクトはより一層特定のキーリス
トを有することができる。ユーザリスト及びキーリスト
はさまざまな方法で組み合わされて、個々のデータオブ
ジェクトへのアクセスをよりよく制御することが分か
る。
【0031】当業者によって、記載されたシステムはデ
ータ処理メモリのオブジェクトへアクセスするのに改良
された制御を行うことが理解される。アクセスリスト3
6内に含まれる識別子によって示されるような許可され
たユーザの状態及び、キーリスト38の識別子によって
示されるような許可されたデータ管理プログラムの状態
の双方は、システムにおけるいかなる所定のデータオブ
ジェクトへアクセスするにも必要とされる。これは、貸
金庫を開けるために必要とされる2つの別個の鍵を使用
するのとほぼ似ている。1個の鍵だけを所有していても
貸金庫の中身にアクセスすることはできない。同様に、
無許可のデータ管理プログラムを介する許可されたユー
ザによるアクセス、或いは、許可されたデータ管理プロ
グラムを介する無許可のユーザによるアクセスによっ
て、データオブジェクトへのアクセスを行うことはでき
ない。
【0032】上記のシステム及び方法は、先行技術に対
して幾つかの利点を有する。データオブジェクトへの全
てのアクセス制御は単一のインタフェースによって実行
されるために、この機能は数多くのアプリケーションプ
ログラムによって繰り返し実行される必要がない。さま
ざまなデータ管理プログラムは、システムレベルインタ
フェースの元の動作に影響を及ぼさずに許可されたユー
ザのリストを変更するような柔軟性を持つ。先に示した
ように、この機能を実施することによって、アクセスす
るデータ管理プログラムの識別に基づく先に提供された
アクセス制御を持たずに、ユーザ識別子アクセス制御を
提供する現行のシステムへ増設(レトロフィット)でき
る。
【0033】
【発明の効果】本発明は上記より構成され、システムレ
ベルインタフェースを介するアプリケーションプログラ
ムによってアクセス可能な複数のデータオブジェクトを
含むデータ処理システムが提供される。
【図面の簡単な説明】
【図1】データ処理システムの一部を示すブロック図で
ある。
【図2】データオブジェクトへアクセスするためのデー
タ管理プログラムアプリケーションの階層を示すブロッ
ク図である。
【図3】データオブジェクトのヘッダーに記憶される識
別情報を示す。
【図4】好ましいシステムレベルインタフェースの動作
を示すフローチャートである。
【符号の説明】
10 データ処理システム 12 仮想記憶空間 14 データオブジェクト 20 システムレベルインタフェース 28、30 ユーザ 40、42 データ管理プログラム
───────────────────────────────────────────────────── フロントページの続き (72)発明者 カイ エイ. テイト アメリカ合衆国55906、ミネソタ州ロチ ェスター、パークウッド ヒルズ ドラ イヴ ノースイースト 2154 (56)参考文献 情報処理,29〜4!,P.359−367 1991年電子情報通信学会春季全国大会 論文集,P.1−301 コンピュータ・ユーティリティの構造 −MULTICSの解剖−,昭晃堂, P.108

Claims (10)

    (57)【特許請求の範囲】
  1. 【請求項1】データ処理システムにおいて、データ・オ
    ブジェクトへのアクセスを制御するための方法であっ
    て、 上記データ・オブジェクトの各々が作成された時に、該
    データ・オブジェクトと少なくとも1つのユーザ識別
    子、および少なくとも1つのデータ管理プログラム識別
    子とを関連付けるステップと、 呼び出すユーザを識別するために、ユーザ識別子を用い
    て第1のデータ管理プログラムを起動するステップと、 上記第1のデータ管理プログラムから第2のデータ管理
    プログラムを起動するステップと、 上記第2のデータ管理プログラムが後にデータ・オブジ
    ェクトへのアクセスを試みた際に、該データ・オブジェ
    クトと関連付けられたキーリストの1つが、上記第1お
    よび第2のデータ管理プログラムの両方を含み、上記第
    1のデータ管理プログラムが上記データ・オブジェクト
    と関連付けられたユーザ識別子により起動される場合の
    み上記第2のデータ管理プログラムが上記データ・オブ
    ジェクトへアクセスすることを許可するステップと、 を含むことを特徴とするデータ・オブジェクトへのアク
    セスを制御するための方法。
  2. 【請求項2】上記データ・オブジェクトの各々は、上記
    データ管理プログラムにより作成され、上記データ管理
    プログラム識別子は、作成された上記データ・オブジェ
    クトの各々と関連付けられたデータ管理プログラムのリ
    ストの1つに含まれることを特徴とする請求項1に記載
    のデータ・オブジェクトへのアクセスを制御するための
    方法。
  3. 【請求項3】上記データ・オブジェクトと関連付けられ
    ているユーザ識別子のリストは、上記データ・オブェク
    トを作成した上記データ管理プログラムによって修正さ
    れ得ることを特徴とする請求項2に記載のデータ・オブ
    ジェクトへのアクセスを制御するための方法。
  4. 【請求項4】システムレベルインターフェースを通じて
    上記データ管理プログラムによって上記データ・オブジ
    ェクトは作成され、上記データ・オブジェクトの各々と
    関連付けられているデータ管理プログラム識別子は、上
    記システムレベルインターフェースによってのみアクセ
    ス可能であることを特徴とする請求項2に記載のデータ
    ・オブジェクトへのアクセスを制御するための方法。
  5. 【請求項5】上記データ・オブジェクトの各々と関連付
    けられている上記ユーザ識別子の各々は、アクセス許可
    タイプを有し、上記ユーザ識別子を用いるプロセスによ
    るデータ・オブジェクトへのアクセスは、上記アクセス
    許可タイプで許可されたタイプのアクセスのみ許される
    ことを特徴とする請求項1に記載のデータ・オブジェク
    トへのアクセスを制御するための方法。
  6. 【請求項6】上記アクセス許可タイプは、読みだしアク
    セスに対する読みだし、書き込みアクセスに対する書き
    込み、削除アクセスに対する削除を含むことを特徴とす
    る請求項5に記載のデータ・オブジェクトへのアクセス
    を制御するための方法。
  7. 【請求項7】ある特定のデータ・オブジェクトと関連付
    けられたデータ管理プログラムの各々は、アクセス許可
    タイプを有し、上記データ管理プログラムを用いるプロ
    セスによるデータ・オブジェクトへのアクセスは、上記
    アクセス許可タイプで許可されたタイプのアクセスのみ
    許されることを特徴とする請求項1に記載のデータ・オ
    ブジェクトへのアクセスを制御するための方法。
  8. 【請求項8】データ処理システムにおいて、データ・オ
    ブジェクトへのアクセスを制御するための方法であっ
    て、 各々のデータ・オブジェクトに対して、少なくとも1つ
    のユーザ識別子を含むユーザ・アクセスリストと、少な
    くとも2つのデータ管理プログラム識別子を有するキー
    リストとを提供するステップと、 データ管理プログラムが上記データ・オブジェクトにア
    クセスする度に、該データ管理プログラム識別子と該デ
    ータ・オブジェクトのキーリストとを比較し、上記デー
    タ管理プログラムを起動したユーザの上記ユーザ識別子
    と上記データ・オブジェクトのユーザ・アクセスリスト
    とを比較するステップと、 上記キーリストにおける上記データ管理プログラムの各
    々が、選択された上記データ・オブジェクトにアクセス
    するチェーンにおいて起動される時、上記ユーザ識別子
    が上記ユーザ・アクセスリストに含まれており、かつ、
    上記データ管理プログラム識別子の各々が、上記キーリ
    ストに含まれている場合のみ、上記データ・オブジェク
    トへのアクセスを許可するステップと、 を含むデータ・オブジェクトへのアクセスを制御するた
    めの方法。
  9. 【請求項9】上記データ・オブジェクトのユーザ識別子
    のリストに含まれている該ユーザ識別子は、アクセス許
    可タイプを有し、上記ユーザ識別子を用いるプロセスに
    よるデータ・オブジェクトへのアクセスは、上記アクセ
    ス許可タイプで許可されたタイプのアクセスのみ許され
    ることを特徴とする請求項8に記載のデータ・オブジェ
    クトへのアクセスを制御するための方法。
  10. 【請求項10】各々のデータ・オブジェクトのデータ管
    理プログラムのリストに列挙されている各々のデータ管
    理プログラムは、アクセス許可タイプを有し、上記デー
    タ管理プログラムを用いるプロセスによるデータ・オブ
    ジェクトへのアクセスは、上記アクセス許可タイプで許
    可されたタイプのアクセスのみ許されることを特徴とす
    る請求項8に記載のデータ・オブジェクトへのアクセス
    を制御するための方法。
JP5226104A 1992-10-30 1993-09-10 データ・オブジェクトへのアクセスを制御する方法 Expired - Fee Related JP2739029B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US969678 1992-10-30
US07/969,678 US5414852A (en) 1992-10-30 1992-10-30 Method for protecting data in a computer system

Publications (2)

Publication Number Publication Date
JPH06202987A JPH06202987A (ja) 1994-07-22
JP2739029B2 true JP2739029B2 (ja) 1998-04-08

Family

ID=25515844

Family Applications (1)

Application Number Title Priority Date Filing Date
JP5226104A Expired - Fee Related JP2739029B2 (ja) 1992-10-30 1993-09-10 データ・オブジェクトへのアクセスを制御する方法

Country Status (2)

Country Link
US (1) US5414852A (ja)
JP (1) JP2739029B2 (ja)

Families Citing this family (147)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5603031A (en) * 1993-07-08 1997-02-11 General Magic, Inc. System and method for distributed computation based upon the movement, execution, and interaction of processes in a network
US5651139A (en) * 1993-12-23 1997-07-22 International Business Machines Corporation Protected system partition read/write access on a SCSI controlled DASD
US6219726B1 (en) * 1994-07-27 2001-04-17 International Business Machines Corporation System for providing access protection on media storage devices by selecting from a set of generated control parameters in accordance with application attributes
EP0697662B1 (en) * 1994-08-15 2001-05-30 International Business Machines Corporation Method and system for advanced role-based access control in distributed and centralized computer systems
JPH08263438A (ja) * 1994-11-23 1996-10-11 Xerox Corp ディジタルワークの配給及び使用制御システム並びにディジタルワークへのアクセス制御方法
US6963859B2 (en) * 1994-11-23 2005-11-08 Contentguard Holdings, Inc. Content rendering repository
US5579478A (en) * 1995-05-16 1996-11-26 Hewlett-Packard Company System administration module for an operating system affords graded restricted access privileges
US6112253A (en) * 1995-10-12 2000-08-29 International Business Machines Corporation Object-oriented method maintenance mechanism that does not require cessation of the computer system or its programs
US5870542A (en) * 1995-12-28 1999-02-09 Sterling Commerce, Inc. Security apparatus and method for a data processing system
US6253251B1 (en) * 1996-01-03 2001-06-26 International Business Machines Corp. Information handling system, method, and article of manufacture including integration of object security service authorization with a distributed computing environment
JP3617882B2 (ja) * 1996-03-08 2005-02-09 株式会社東芝 セキュリティ装置及びセキュリティ実現方法
US6526512B1 (en) * 1996-05-20 2003-02-25 Ncr Corporation Access key codes for computer resources
US5852666A (en) * 1996-07-01 1998-12-22 Sun Microsystems, Inc. Capability security for distributed object systems
US6233684B1 (en) * 1997-02-28 2001-05-15 Contenaguard Holdings, Inc. System for controlling the distribution and use of rendered digital works through watermaking
US6182222B1 (en) * 1997-03-25 2001-01-30 Electronic Data Systems Corporation Secure data storage system and method
US6742050B1 (en) 1997-03-31 2004-05-25 Intel Corporation Inter-object messaging
US6237043B1 (en) * 1997-11-19 2001-05-22 International Business Machines Corporation System and method for adding highly optimized synchronization capability to objects at run-time
US6112263A (en) * 1997-12-15 2000-08-29 Intel Corporation Method for multiple independent processes controlling access to I/O devices in a computer system
JPH11296423A (ja) 1998-04-06 1999-10-29 Matsushita Electric Ind Co Ltd ファイル管理システム、ファイル管理装置および媒体
US6163794A (en) 1998-10-23 2000-12-19 General Magic Network system extensible by users
US6823338B1 (en) 1998-11-19 2004-11-23 International Business Machines Corporation Method, mechanism and computer program product for processing sparse hierarchical ACL data in a relational database
US7565546B2 (en) * 1999-03-30 2009-07-21 Sony Corporation System, method and apparatus for secure digital content transmission
US6697489B1 (en) * 1999-03-30 2004-02-24 Sony Corporation Method and apparatus for securing control words
US7730300B2 (en) * 1999-03-30 2010-06-01 Sony Corporation Method and apparatus for protecting the transfer of data
US7039614B1 (en) 1999-11-09 2006-05-02 Sony Corporation Method for simulcrypting scrambled data to a plurality of conditional access devices
AU2606801A (en) * 1999-12-30 2001-07-16 B4Bpartner, Inc. Electronic safe deposit box
US7225164B1 (en) * 2000-02-15 2007-05-29 Sony Corporation Method and apparatus for implementing revocation in broadcast networks
US7054948B2 (en) * 2000-03-07 2006-05-30 Opcoast Llc Collaborative host masquerading system
DE60102934T2 (de) * 2000-08-04 2005-03-10 Xtradyne Technologies Ag Verfahren und system für sitzungsbasierte berechtigung und zugangskontrolle für vernetzte anwendungsobjekte
US7237125B2 (en) 2000-08-28 2007-06-26 Contentguard Holdings, Inc. Method and apparatus for automatically deploying security components in a content distribution system
US6931545B1 (en) * 2000-08-28 2005-08-16 Contentguard Holdings, Inc. Systems and methods for integrity certification and verification of content consumption environments
US7743259B2 (en) * 2000-08-28 2010-06-22 Contentguard Holdings, Inc. System and method for digital rights management using a standard rendering engine
US7343324B2 (en) 2000-11-03 2008-03-11 Contentguard Holdings Inc. Method, system, and computer readable medium for automatically publishing content
US20040024714A1 (en) * 2000-12-29 2004-02-05 Wells Thomas E. Electronic safe deposit box
US6912294B2 (en) 2000-12-29 2005-06-28 Contentguard Holdings, Inc. Multi-stage watermarking process and system
US8069116B2 (en) 2001-01-17 2011-11-29 Contentguard Holdings, Inc. System and method for supplying and managing usage rights associated with an item repository
US7774279B2 (en) * 2001-05-31 2010-08-10 Contentguard Holdings, Inc. Rights offering and granting
US6754642B2 (en) * 2001-05-31 2004-06-22 Contentguard Holdings, Inc. Method and apparatus for dynamically assigning usage rights to digital works
US7028009B2 (en) 2001-01-17 2006-04-11 Contentguardiholdings, Inc. Method and apparatus for distributing enforceable property rights
US20020143961A1 (en) * 2001-03-14 2002-10-03 Siegel Eric Victor Access control protocol for user profile management
US20020133702A1 (en) * 2001-03-16 2002-09-19 Stevens Curtis E. Methods of granting access to a protected area
US7454788B2 (en) * 2001-04-26 2008-11-18 International Business Machines Corporation Method for adding and enforcing enhanced authorization policy on devices in computer operation systems
US8099364B2 (en) 2001-05-31 2012-01-17 Contentguard Holdings, Inc. Digital rights management of content when content is a future live event
US6876984B2 (en) 2001-05-31 2005-04-05 Contentguard Holdings, Inc. Method and apparatus for establishing usage rights for digital content to be created in the future
US8001053B2 (en) * 2001-05-31 2011-08-16 Contentguard Holdings, Inc. System and method for rights offering and granting using shared state variables
US6895503B2 (en) * 2001-05-31 2005-05-17 Contentguard Holdings, Inc. Method and apparatus for hierarchical assignment of rights to documents and documents having such rights
US8275716B2 (en) * 2001-05-31 2012-09-25 Contentguard Holdings, Inc. Method and system for subscription digital rights management
US7725401B2 (en) 2001-05-31 2010-05-25 Contentguard Holdings, Inc. Method and apparatus for establishing usage rights for digital content to be created in the future
US8275709B2 (en) 2001-05-31 2012-09-25 Contentguard Holdings, Inc. Digital rights management of content when content is a future live event
US20030009424A1 (en) * 2001-05-31 2003-01-09 Contentguard Holdings, Inc. Method for managing access and use of resources by verifying conditions and conditions for use therewith
US7350082B2 (en) 2001-06-06 2008-03-25 Sony Corporation Upgrading of encryption
US7895616B2 (en) 2001-06-06 2011-02-22 Sony Corporation Reconstitution of program streams split across multiple packet identifiers
US7139398B2 (en) 2001-06-06 2006-11-21 Sony Corporation Time division partial encryption
US7747853B2 (en) * 2001-06-06 2010-06-29 Sony Corporation IP delivery of secure digital content
US7774280B2 (en) * 2001-06-07 2010-08-10 Contentguard Holdings, Inc. System and method for managing transfer of rights using shared state variables
CN1539115A (zh) * 2001-06-07 2004-10-20 ��̹�е¿عɹɷ����޹�˾ 管理权限转移的方法和装置
WO2002101490A2 (en) * 2001-06-07 2002-12-19 Contentguard Holdings, Inc. Cryptographic trust zones in digital rights management
US7421411B2 (en) * 2001-07-06 2008-09-02 Nokia Corporation Digital rights management in a mobile communications environment
EP1456763A4 (en) 2001-11-20 2005-10-12 Contentguard Holdings Inc SYSTEMS AND METHODS FOR CREATING, HANDLING AND PROCESSING RIGHTS EXPRESSIONS AND CONTRACTS USING SEGMENTED TEMPLATES
US7840488B2 (en) * 2001-11-20 2010-11-23 Contentguard Holdings, Inc. System and method for granting access to an item or permission to use an item based on configurable conditions
US7974923B2 (en) 2001-11-20 2011-07-05 Contentguard Holdings, Inc. Extensible rights expression processing system
US6679885B2 (en) * 2001-11-29 2004-01-20 Bioplate, Inc. Bone alignment and fixation device and installation method, using multiple clip section attachment structure
US7478418B2 (en) 2001-12-12 2009-01-13 Guardian Data Storage, Llc Guaranteed delivery of changes to security policies in a distributed system
US7921288B1 (en) 2001-12-12 2011-04-05 Hildebrand Hal S System and method for providing different levels of key security for controlling access to secured items
US7178033B1 (en) 2001-12-12 2007-02-13 Pss Systems, Inc. Method and apparatus for securing digital assets
US7921450B1 (en) 2001-12-12 2011-04-05 Klimenty Vainstein Security system using indirect key generation from access rules and methods therefor
US8065713B1 (en) 2001-12-12 2011-11-22 Klimenty Vainstein System and method for providing multi-location access management to secured items
US7681034B1 (en) 2001-12-12 2010-03-16 Chang-Ping Lee Method and apparatus for securing electronic data
US7921284B1 (en) 2001-12-12 2011-04-05 Gary Mark Kinghorn Method and system for protecting electronic data in enterprise environment
US10360545B2 (en) 2001-12-12 2019-07-23 Guardian Data Storage, Llc Method and apparatus for accessing secured electronic data off-line
US7930756B1 (en) * 2001-12-12 2011-04-19 Crocker Steven Toye Multi-level cryptographic transformations for securing digital assets
US7380120B1 (en) 2001-12-12 2008-05-27 Guardian Data Storage, Llc Secured data format for access control
USRE41546E1 (en) 2001-12-12 2010-08-17 Klimenty Vainstein Method and system for managing security tiers
US8006280B1 (en) 2001-12-12 2011-08-23 Hildebrand Hal S Security system for generating keys from access rules in a decentralized manner and methods therefor
US7783765B2 (en) * 2001-12-12 2010-08-24 Hildebrand Hal S System and method for providing distributed access control to secured documents
US7260555B2 (en) 2001-12-12 2007-08-21 Guardian Data Storage, Llc Method and architecture for providing pervasive security to digital assets
US7565683B1 (en) 2001-12-12 2009-07-21 Weiqing Huang Method and system for implementing changes to security policies in a distributed security system
US7631184B2 (en) 2002-05-14 2009-12-08 Nicholas Ryan System and method for imposing security on copies of secured items
US7562232B2 (en) * 2001-12-12 2009-07-14 Patrick Zuili System and method for providing manageability to security information for secured items
US10033700B2 (en) * 2001-12-12 2018-07-24 Intellectual Ventures I Llc Dynamic evaluation of access rights
US7950066B1 (en) 2001-12-21 2011-05-24 Guardian Data Storage, Llc Method and system for restricting use of a clipboard application
US7765567B2 (en) 2002-01-02 2010-07-27 Sony Corporation Content replacement by PID mapping
US7376233B2 (en) 2002-01-02 2008-05-20 Sony Corporation Video slice and active region based multiple partial encryption
US7292690B2 (en) 2002-01-02 2007-11-06 Sony Corporation Video scene change detection
US7155012B2 (en) * 2002-01-02 2006-12-26 Sony Corporation Slice mask and moat pattern partial encryption
US7823174B2 (en) 2002-01-02 2010-10-26 Sony Corporation Macro-block based content replacement by PID mapping
US7302059B2 (en) * 2002-01-02 2007-11-27 Sony Corporation Star pattern partial encryption
US7215770B2 (en) 2002-01-02 2007-05-08 Sony Corporation System and method for partially encrypted multimedia stream
US8176334B2 (en) 2002-09-30 2012-05-08 Guardian Data Storage, Llc Document security system that permits external users to gain access to secured files
US7912971B1 (en) * 2002-02-27 2011-03-22 Microsoft Corporation System and method for user-centric authorization to access user-specific information
US7076558B1 (en) 2002-02-27 2006-07-11 Microsoft Corporation User-centric consent management system and method
US20030229593A1 (en) * 2002-03-14 2003-12-11 Michael Raley Rights expression profile system and method
JP4740543B2 (ja) * 2002-03-14 2011-08-03 コンテントガード ホールディングズ インコーポレイテッド 使用権表現を処理する方法および装置
US7805371B2 (en) 2002-03-14 2010-09-28 Contentguard Holdings, Inc. Rights expression profile system and method
US8613102B2 (en) 2004-03-30 2013-12-17 Intellectual Ventures I Llc Method and system for providing document retention using cryptography
WO2003094076A1 (en) 2002-04-29 2003-11-13 Contentguard Holdings, Inc. Rights management system using legality expression language
US8818896B2 (en) 2002-09-09 2014-08-26 Sony Corporation Selective encryption with coverage encryption
US7512810B1 (en) 2002-09-11 2009-03-31 Guardian Data Storage Llc Method and system for protecting encrypted files transmitted over a network
US7836310B1 (en) 2002-11-01 2010-11-16 Yevgeniy Gutnik Security system that uses indirect password-based encryption
US8572408B2 (en) * 2002-11-05 2013-10-29 Sony Corporation Digital rights management of a digital device
US7724907B2 (en) * 2002-11-05 2010-05-25 Sony Corporation Mechanism for protecting the transfer of digital content
US7890990B1 (en) 2002-12-20 2011-02-15 Klimenty Vainstein Security system with staging capabilities
US7334013B1 (en) 2002-12-20 2008-02-19 Microsoft Corporation Shared services management
US7577838B1 (en) 2002-12-20 2009-08-18 Alain Rossmann Hybrid systems for securing digital assets
GB2397665A (en) * 2003-01-27 2004-07-28 Hewlett Packard Co Operating system data management
US7409702B2 (en) 2003-03-20 2008-08-05 Sony Corporation Auxiliary program association table
US7292692B2 (en) * 2003-03-25 2007-11-06 Sony Corporation Content scrambling with minimal impact on legacy devices
US8707034B1 (en) 2003-05-30 2014-04-22 Intellectual Ventures I Llc Method and system for using remote headers to secure electronic files
US7685642B2 (en) * 2003-06-26 2010-03-23 Contentguard Holdings, Inc. System and method for controlling rights expressions by stakeholders of an item
GB0314908D0 (en) * 2003-06-26 2003-07-30 Ibm User access to a registry of business entity definitions
US7730543B1 (en) 2003-06-30 2010-06-01 Satyajit Nath Method and system for enabling users of a group shared across multiple file security systems to access secured files
US7555558B1 (en) 2003-08-15 2009-06-30 Michael Frederick Kenrich Method and system for fault-tolerant transfer of files across a network
US20050055583A1 (en) * 2003-09-05 2005-03-10 Matsushita Electric Industrial Co., Ltd. Data management apparatus, data management method and program thereof
US7286667B1 (en) 2003-09-15 2007-10-23 Sony Corporation Decryption system
US7401215B2 (en) * 2003-09-29 2008-07-15 Sun Microsystems, Inc. Method and apparatus for facilitating cryptographic layering enforcement
US8127366B2 (en) 2003-09-30 2012-02-28 Guardian Data Storage, Llc Method and apparatus for transitioning between states of security policies used to secure electronic documents
US7703140B2 (en) 2003-09-30 2010-04-20 Guardian Data Storage, Llc Method and system for securing digital assets using process-driven security policies
GB2406922B (en) * 2003-10-09 2005-11-23 Vodafone Plc Data processing
US7346163B2 (en) 2003-10-31 2008-03-18 Sony Corporation Dynamic composition of pre-encrypted video on demand content
US7343013B2 (en) 2003-12-16 2008-03-11 Sony Corporation Composite session-based encryption of video on demand content
US7853980B2 (en) 2003-10-31 2010-12-14 Sony Corporation Bi-directional indices for trick mode video-on-demand
US7620180B2 (en) 2003-11-03 2009-11-17 Sony Corporation Preparation of content for multiple conditional access methods in video on demand
US7590705B2 (en) 2004-02-23 2009-09-15 Microsoft Corporation Profile and consent accrual
CN100552690C (zh) * 2004-07-05 2009-10-21 科学园株式会社 数据管理方法
US7707427B1 (en) 2004-07-19 2010-04-27 Michael Frederick Kenrich Multi-level file digests
JP4532237B2 (ja) 2004-10-29 2010-08-25 株式会社日立製作所 計算機および計算機におけるアクセス制御方法
US20060107326A1 (en) * 2004-11-12 2006-05-18 Demartini Thomas Method, system, and device for verifying authorized issuance of a rights expression
US8660961B2 (en) 2004-11-18 2014-02-25 Contentguard Holdings, Inc. Method, system, and device for license-centric content consumption
US8041190B2 (en) 2004-12-15 2011-10-18 Sony Corporation System and method for the creation, synchronization and delivery of alternate content
US7895617B2 (en) 2004-12-15 2011-02-22 Sony Corporation Content substitution editor
US20060225055A1 (en) * 2005-03-03 2006-10-05 Contentguard Holdings, Inc. Method, system, and device for indexing and processing of expressions
US7720767B2 (en) * 2005-10-24 2010-05-18 Contentguard Holdings, Inc. Method and system to support dynamic rights and resources sharing
CN100580642C (zh) * 2006-02-28 2010-01-13 国际商业机器公司 通用串行总线存储设备及其访问控制方法
US8185921B2 (en) 2006-02-28 2012-05-22 Sony Corporation Parental control of displayed content using closed captioning
US7555464B2 (en) 2006-03-01 2009-06-30 Sony Corporation Multiple DRM management
US8510859B2 (en) 2006-09-26 2013-08-13 Intel Corporation Methods and arrangements to launch trusted, co-existing environments
US8607071B2 (en) * 2008-02-20 2013-12-10 International Business Machines Corporation Preventing replay attacks in encrypted file systems
US8935753B1 (en) * 2008-02-22 2015-01-13 Healthcare Interactive, Inc. Network based healthcare management system
US8191075B2 (en) * 2008-03-06 2012-05-29 Microsoft Corporation State management of operating system and applications
US8645423B2 (en) 2008-05-02 2014-02-04 Oracle International Corporation Method of partitioning a database
US8397290B2 (en) * 2008-06-27 2013-03-12 Microsoft Corporation Granting least privilege access for computing processes
US8392973B2 (en) * 2009-05-28 2013-03-05 International Business Machines Corporation Autonomous intelligent user identity manager with context recognition capabilities
JP5463112B2 (ja) * 2009-09-24 2014-04-09 Necパーソナルコンピュータ株式会社 情報処理装置、ファイルアクセス制御方法、プログラム及びコンピュータ読取可能な記録媒体
KR102201218B1 (ko) * 2013-10-15 2021-01-12 한국전자통신연구원 모바일 단말의 보안 엔진의 접근 제어 시스템 및 방법
US20150106871A1 (en) * 2013-10-15 2015-04-16 Electronics And Telecommunications Research Institute System and method for controlling access to security engine of mobile terminal
CN108092945B (zh) * 2016-11-22 2022-02-22 中兴通讯股份有限公司 访问权限的确定方法和装置、终端
WO2019186227A1 (en) * 2018-03-25 2019-10-03 Pratik Sharma Application data manager

Family Cites Families (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4525780A (en) * 1981-05-22 1985-06-25 Data General Corporation Data processing system having a memory using object-based information and a protection scheme for determining access rights to such information
US4652990A (en) * 1983-10-27 1987-03-24 Remote Systems, Inc. Protected software access control apparatus and method
US5148481A (en) * 1989-10-06 1992-09-15 International Business Machines Corporation Transaction system security method and apparatus
US5249230A (en) * 1991-11-21 1993-09-28 Motorola, Inc. Authentication system
US5276901A (en) * 1991-12-16 1994-01-04 International Business Machines Corporation System for controlling group access to objects using group access control folder and group identification as individual user

Non-Patent Citations (3)

* Cited by examiner, † Cited by third party
Title
1991年電子情報通信学会春季全国大会論文集,P.1−301
コンピュータ・ユーティリティの構造−MULTICSの解剖−,昭晃堂,P.108
情報処理,29〜4!,P.359−367

Also Published As

Publication number Publication date
JPH06202987A (ja) 1994-07-22
US5414852A (en) 1995-05-09

Similar Documents

Publication Publication Date Title
JP2739029B2 (ja) データ・オブジェクトへのアクセスを制御する方法
KR910005995B1 (ko) 데이터처리 시스템 및 그 시스템파일의 보호방법
US5347578A (en) Computer system security
US5822771A (en) System for management of software employing memory for processing unit with regulatory information, for limiting amount of use and number of backup copies of software
US7536524B2 (en) Method and system for providing restricted access to a storage medium
US6766397B2 (en) Controlling access to a storage device
US5765153A (en) Information handling system, method, and article of manufacture including object system authorization and registration
Downs et al. Issues in discretionary access control
Karger Limiting the damage potential of discretionary Trojan horses
EP0570123B1 (en) Computer system security method and apparatus having program authorization information data structures
US5412717A (en) Computer system security method and apparatus having program authorization information data structures
US7962950B2 (en) System and method for file system mandatory access control
US7380267B2 (en) Policy setting support tool
US4984272A (en) Secure file handling in a computer operating system
KR100450402B1 (ko) 컴퓨터 시스템에 있어서 보안속성을 갖는 토큰을 이용한접근 제어방법
EP1122629B1 (en) Controlling access to a storage device
US7484245B1 (en) System and method for providing data security
JP4414092B2 (ja) 制限付きトークンを介した最小権限
US20090271586A1 (en) Method and system for providing restricted access to a storage medium
Kain et al. On access checking in capability-based systems
JPH1027123A (ja) コンピュータソフトウェアのコピープロテクト方法
Graubart et al. A Preliminary Neval Surveillance OBMS Sacurity
RU2134931C1 (ru) Способ обеспечения доступа к объектам в операционной системе мсвс
Low et al. Fine grained object protection in UNIX
JPH07141244A (ja) ファイル保護方法

Legal Events

Date Code Title Description
LAPS Cancellation because of no payment of annual fees