JP3691519B2 - 異なった機密保護レベルのネットワークを相互に連絡させる方法及び手段 - Google Patents

異なった機密保護レベルのネットワークを相互に連絡させる方法及び手段 Download PDF

Info

Publication number
JP3691519B2
JP3691519B2 JP52871796A JP52871796A JP3691519B2 JP 3691519 B2 JP3691519 B2 JP 3691519B2 JP 52871796 A JP52871796 A JP 52871796A JP 52871796 A JP52871796 A JP 52871796A JP 3691519 B2 JP3691519 B2 JP 3691519B2
Authority
JP
Japan
Prior art keywords
information
network
flow control
control means
output
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Lifetime
Application number
JP52871796A
Other languages
English (en)
Other versions
JPH11502976A (ja
Inventor
アンダーソン・マーク・ステファン
グリフィン・ジョン・エドモンド
ノース・クリストファー・ジェームス・ギルドフォード
イエスバーグ・ジョン・デスボラフ
ユイ・ケネス・コウヘイ
ミルナー・ロバート・ブルニー
Original Assignee
ザ・コモンウェルス・オブ・オーストラリア
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Priority claimed from AUPN2081A external-priority patent/AUPN208195A0/en
Priority claimed from AUPN4559A external-priority patent/AUPN455995A0/en
Application filed by ザ・コモンウェルス・オブ・オーストラリア filed Critical ザ・コモンウェルス・オブ・オーストラリア
Publication of JPH11502976A publication Critical patent/JPH11502976A/ja
Application granted granted Critical
Publication of JP3691519B2 publication Critical patent/JP3691519B2/ja
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/82Protecting input, output or interconnection devices
    • G06F21/85Protecting input, output or interconnection devices interconnection devices, e.g. bus-connected or in-line devices
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/606Protecting data by securing the transmission between two devices or processes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6236Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database between heterogeneous systems
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2211/00Indexing scheme relating to details of data-processing equipment not covered by groups G06F3/00 - G06F13/00
    • G06F2211/009Trust
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2113Multi-level security, e.g. mandatory access control

Description

本発明は、異なったレベルの機密保護分類を有するコンピュータネットワーク間の情報データの選択的入出力に関する。
背景
コンピュータおよびコンピュータネットワークに責任を負うべき人々が、コンピュータデータの機密保護についてはますます関心を寄せるようになってきている。
いくつかのコンピューティング環境においてネットワークの物理的独立が、各ネットワークにとって最大限の機密保護を与える。この例としては、低めのレベルで機密扱いされたその他すべてのネットワークから物理的に独立した模範的な防衛部局ネットワークがあげられる。
しかしながら、ネットワーク間の接続をとる正当な理由が日ごろからありうるし、また少なくとも防衛の環境においては低めのレベルに機密扱いされた別のネットワークとデータを交換することのできる独立したネットワーク内で使用されるコンソールまたはワークステーションを保有することは必要でありうる。また、広告業界においても商業上敏感な情報を扱う会社は、彼らのネットワーク内で1つ以上のコンソールまたはワークステーションが産業ローカル・エリア・ネットワーク(LANS)や広域エリアネットワーク(WANS)およびインターネットとは一層接続されることを必要としている。
もし異なった機密分類のネットワークが接続されることが許されているなら、低めのレベルに機密扱いされたネットワークで動作するコンピュータから高めのレベルに機密扱いされたネットワークで動作するコンピュータへの情報の流れが許されることは、一般的に認められている。制限を必要とするのは、高めのレベルに機密扱いされたネットワークから低めのレベルに機密扱いされたネットワークへの流れである。このような処理のよく知られた例としては、ベルアンドラパドゥラ(Bell & La Padula)のセキュリティポリシーがある。
このようなアレンジメントが、図2に示されている。ここでは、高機密保護ネットワークから低機密保護ネットワークへの情報の転送は、ただ許可された提供者が特有なシールを情報に適用した場合にそのアレンジメントによって許可される。低機密保護および高機密保護ネットワークの接合点に位置づけられたゲートウエイ装置は、ただ適切に封止された情報が低機密保護ネットワークを通過することを許しうる。そのゲートウエイは、封止が合法のものであることを確認し、その情報転送を監査する。
このアプローチは、封止及び/又は必要ならば情報をコード化することができる高価なカスタムワークステーションや付加的信用構成要素を通常必要とするこのようなネットワークの使い勝手や費用に大きく影響を与える優位性がある。
この発明は、これらの問題を排除するかまたは軽減し、ある状況のもとでこのアレンジメントと協調して機能することができる。
また、高機密保護ネットワークの利用者が、情報をアップロードしたりまたは他のネットワークに遠隔的にログインするために低機密保護ネットワークへの接続を希望することや例えばインターネットのようなあの低機密保護ネットワークで利用可能な施設を使用することも、不合理なことではない。この種の利用では、低機密保護ネットワークから得られた情報を表示する彼らの通常のワークステーションに高機密保護ネットワークの利用者がコマンドをタイプすることを必要とする。
オーストラリア特許(No.AU663406、Secure Computing Corporation)は、秘密保護されていないワークステーションで作業している利用者と遠隔ホストコンピュータ間の秘密保護されていない通信媒体上での秘密通信を保証する方法および装置を開示している。セキュアユーザーインターフェイス(secure user interface)は、ワークステーションへの入出力装置とワークステーション自身との間に信用パスサブシステム(trusted path subsystem)を挿入することにより作成される。しかしながらこの特許では、主題発明のインターフェイスに対する重大な多くの異なったアプローチが存在する。
最も重要なことはAU663406のセキュアユーザインターフェイスが、そのインタフェイスを介して通過するすべての情報を暗号化および非暗号化するためにユーザインターフェイス内に位置づけられた暗号エンティティを使用しなければならないことである。セキュアユーザインターフェイスは、低レベルの秘密保護にあるネットワークから高レベルの秘密保護にあるネットワークへの情報の自由な流れを許さない。遠隔ホストコンピュータは、信用サブシステムと、セキュアユーザインターフェイス内の暗号エンティティに対応する暗号化及び非暗号化機構とを持たなければならない。セキュアユーザインターフェイスは、当該セキュアユーザインターフェイス内で非暗号化された情報を絶えず処理するビデオRAMによって発生させられた“信用”ウインド(“trusted” winbdow)を作成するビデオマネージャーを持たなければならない。
この明細書で記載されるように、よりよい使い勝手やデザインのさらなる簡素化や暗号エンティティの回避は、ユーザやコンピュータ装置により入力されている情報および低めのレベルに機密保護されたネットワークから発信された情報との関係に対する異なったアプローチによって成し得ることができる。
発明者は、異なった機密保護レベルにある2つ以上のネットワークの接合点は、高機密保護ネットワークの内部か外部のどちらかに位置づけられた1つ以上の選択されたワークステーションまたはコンピュータ情報処理装置にあり得ることと、低機密保護ネットワークから高機密保護ネットワークへの情報の流れを許すことによりネットワークは比較的容易にこうして接続することができることを認識している。本発明は、高機密保護情報を登録(例えばタイプによる)するユーザに、情報は高気密保護ネットワークにだけ入力されている(他には入力されない)こと、さらに低機密保護ネットワークはどんなときでも高機密保護ネットワークからの情報をダウンロードすることができなことを保証することができる。
発明の簡単な説明
本発明の幅広い解釈では、第一コンピュータネットワークが第二コンピュータネットワークより高い機密保護分類を有するところの前記第一及び第二ネットワーク間の位置に対しての情報フロー制御手段であって、
下記を有する情報スイッチ、
情報入力、
前記第一ネットワークに接続する第一出力
前記第二ネットワークに接続する第二出力、
前記入力を前記第一出力に接続するために前記情報スイッチを制御する第一状態と前記入力を前記第二出力に接続するために前記情報スイッチを制御する第二状態の少なくとも二つの状態を有する制御装置、
前記第二ネットワークから情報を受信するための入力と、前記第二ネットワークから受信した情報を当該情報ダイオードの出力から前記第一ネットワークへの接続を通して前記第一ネットワークに転送するための出力とを有するとともに、情報が前記出力から前記入力へ流れることを防止する情報ダイオード、
を備える。
本発明のその上さらなる幅広い解釈では、第一コンピュータネットワークが第二コンピュータネットワークより高い機密保護分類を有するとともに第一ネットワーク内に少なくとも1つの情報処理手段を有するところの前記第一及び第二ネットワーク間の位置に対する情報フロー制御手段であって、
以下を有する情報スイッチ、
情報入力、
前記第一ネットワーク内の前記少なくとも1つの情報処理手段と接続する第一出力、
前記第二ネットワークと接続する第二出力、
前記入力を前記第一出力に接続するために前記情報スイッチを制御する第一状態と前記入力を前記第二出力に接続するために前記情報スイッチを制御する第二状態の少なくとも二つの状態を有する制御装置、
前記第二ネットワークから情報を受信するための入力と、前記第二ネットワークから受信した情報を当該情報ダイオードの出力から前記第一ネットワークへの接続を通して前記第一ネットワークに転送するための出力とを有するとともに、情報前記出力から前記入力へ流れることを防止する情報ダイオード、
を備える。
本発明のその上さらなる幅広い解釈では、第一コンピュータネットワークが第二コンピュータネットワークより高い機密保護分類を有するとともに、前記第一及び前記第二ネットワークのどちらかの範囲内以外に少なくとも1つの情報処理手段を有するところの前記第一及び第二ネットワーク間に位置づけられた情報フロー制御手段であって、
以下を有する情報スイッチ、
情報入力、
前記第一ネットワークに接続する第一出力と前記第二ネットワークに接続する第二出力と前記情報処理手段と接続する第三出力との少なくとも3つの出力、
前記入力を前記第一出力に接続するために前記情報スイッチを制御する第一状態と前記入力を前記第二出力に接続するために前記情報スイッチを制御する第二状態と前記入力を前記第三出力に接続するために前記情報スイッチを制御する第三状態との少なくとも三つの状態を有する制御装置、
前記第二ネットワークから情報を受信するための入力と、前記第二ネットワークから受信した情報を前記第一ネットワーク及び/又は前記情報処理手段に転送するための出力とを有する情報ダイオード、
を備える。
本発明のさらなる解釈では、制御装置は、もし制御装置が第二状態に強制されないなら前記第一状態にある。
本発明のさらなる解釈では、情報フロー制御は、さらに以下を備える。
前記制御装置の状態を情報フロー制御手段のユーザに示す指示手段。
本発明のその上さらなる解釈では、情報スイッチは、それぞれのさらなるネットワークと接続する少なくとも1つのさらなる出力と、前記入力をそれぞれのさらなる出力と接続するために前記情報スイッチを制御するさらなる状態を有する前記制御装置とを備える。
情報フロー制御手段のさらなる解釈では、前記第二出力からの情報出力は、特有なシールを前記第二出力からの前記情報出力と関連づける情報封止手段さらに備える前記第一ネットワークに与えられる。
本発明のさらなる解釈では、情報フロー制御手段において前記第一ネットワークは、高い側のクライアント表示アプリケーションとして運用操作する情報処理手段を有しており、このことによって情報スイッチ制御装置が第二状態にあるときに、前記情報入力が前記情報ダイオードを通して前記高い側のクライアント表示アプリケーションと通信する前記低い側のアプリケーションサーバーに接続されるように、遠隔表示コマンドは前記情報ダイオードを通して前記第一ネットワーク情報処理手段に伝えられる。
本発明のさらなる解釈では、情報フロー制御手段において、第一ネットワークは高い側のXサーバーと高い側の模造Xクライアントを有し、第二ネットワークは、前記情報スイッチ制御装置が第二状態にあるときに前記情報ダイオードを通して前記低い側のクライアント及び前記高い側の模造Xクライアントと通信する前記低い側の模造Xサーバーに前記情報入力が接続されるように、低い側の模造Xサーバーと低い側のXクライアントとを有するとともに、前記低い側のXクライアントは、前記入力によって受信された情報に対して安全なX環境を供給するために両方が互いに通信する、前記高い側の模造Xクライアントおよび前記低い側模造Xサーバーと、前記情報ダイオードを介した前記高い側のXサーバーとの、両方に情報を送ることを特徴とする。
発明の実施例は、これから付随の図面を参照してまた説明されたようにいくつかのさらなる詳細で記載される。
【図面の簡単な説明】
図1は、2つの物理的に独立したコンピュータネットワークを示す。
図2は、2つのコンピュータネットワーク間に取り付けられたデータ情報フィルタを示す。
図3は、異なった機密保護レベルの2つのネットワーク間の情報の流れを制御する本発明の機能的ブロック図である。
図4は、ワークステーションと関連づけられた本発明を絵入りで示す。
図5は、本発明によって使用可能なネットワークトポロジイを示す。
図6は、本発明を用いたネットワーク相互接続を絵入りで示す。
図7は、本発明を用いたネットワーク相互接続を絵入りで示す。
図8は、異なった機密保護レベルにあるネットワーク間のサーバー/クライアント環境において使用されている本発明を示す。
図9は、本発明の情報フロー制御装置の動作を示す図表である。
図10は、本発明を用いたネットワーク相互接続を絵入りで示す。
図11は、異なった機密保護レベルにあるネットワーク間の遠隔表示アプリケーションに対して使用されている本発明を示す。
発明の実施例の詳細な説明
図1は、低レベルに機密扱いされた情報を収録管理するコンピューターネットワーク12より高機密保護分類にある情報を収録管理するさらなるコンピュータネットワーク10を示す。例えば、ネットワーク10は最高機密情報を収録することもあり得るし、ネットワーク12は機密扱いされない情報を収録することもあり得る。どちらのネットワークも互いに独立して機能し、情報がそれらの間を流れることを可能にするかもしれないどんな方法においても接続されない。これは、質の異なる機密保護レベルの情報を有するネットワークが運用操作されるべきところの最も安全な方法である。高レベルおよび低レベルに機密扱いされた情報を引き合いに出したのは、ほんの一例にすぎないことと、また情報間の格差というものは公共的または民間的な明示に対する感受性の大小であるかもしれないことは留意されるべきである。
しかしながら、ユーザ間の情報交換が、それぞれのネットワーク内の彼らのワークステーションで許される多くの正当な理由がある。低めのレベルに機密扱いされたネットワーク(例えば、非分類の機密保護レベルネットワーク)から高めのレベルに機密扱いされたネットワーク(例えば、最高機密保護レベルネットワーク)へ情報が流れるのを許しうることは広く認められている。
情報が高機密保護ネットワークから低機密保護ネットワークへ流れることを可能とするために信用されたハードウエアー及びソフトウエアーの使用を求める他のネットワークによる機密保持に関するアレンジメントがある。設計によっては、その設計内のネットワーク運用処理およびワークステーションは、高めのレベルに機密扱いされたネットワークで機能しようが低めのレベルに機密扱いされたネットワークで機能しようが特有な構成要素にとって所定のレベルの機密保護性を保証する。しかしながら、これらの機密保護を実施する構成要素は、両者とも処理又は転送されうる情報の種類を制限し、製造および使用において非常にコスト的に高いものとなる。
図2は、それぞれ高レベルに機密扱いおよび低レベルに機密扱いされている2つのコンピュータネットワーク10、12を絵入りで示している。ネットワーク10は、高レベルに機密扱いされたネットワーク10を低レベルに機密扱いされたネットワーク12に接続する情報フィルター装置(ゲートウエイ)16を有している。情報フィルター装置16は、ある条件下においてだけ機密保護されたネットワークから機密保護されないネットワークへの情報の流れを許すように構成され、情報は、低レベルに機密扱いされたネットワーク12から高レベルに機密扱いされたネットワーク10へは流れない。
これらの条件は前述されたが1つの例としては、信用封止装置(trusted sealer)17によって適切に封止された情報だけが信用フィルター16を介してネットワーク10からネットワーク12へ移ることを確実にするために、フィルターを設けることができる。当業者にとってシールは、情報対象(information object)を一意的に同定するために使用することができる情報対象のある要素で、事実情報対象の内容により定義されるものであるとして理解されるだろう。また、当業者にとってデジタル署名は、情報対象や存在しないか1以上の付加的情報要素を一意的に同定するために使用することができる情報対象を含むことが理解され、したがってデジタル署名は、シールだけかそれに加えてそれら自身ユーザIDやワークステーションIDやネットワークIDやそれらの組み合わせでありうる1以上の情報要素であると考えることができる。
図3に、例えば高機密保護ネットワークワークステーションのキーボード(入力装置32)から低機密保護ネットワーク12への情報の流れを許すように意図された情報スイッチ手段20を有する本発明の一実施例の機能的ブロック図を示す。ここにおいても、オペレーターが信用できるという前出の仮定が当てはまる。しかしながら、入力されている情報(例えば、自身のキーボードでタイプされている情報)が直接低機密保護ネットワーク12に進行しているのが何時なのかを知ることは、オペレーター(ユーザ)にとって極めて重要であり、またさらに重要なことには、ユーザはそれ以外のすべての時にキーボードや他の入力装置から入力されている情報は、一般的には唯一高機密保護ネットワーク(10)内の関連情報処理手段に転送され、他には転送されないことを信用しなけらばならず、このようにしてユーザに情報スイッチ手段20に入力している情報を受信しているのは高機密保護ネットワークでそれ以外ではないことを確約する。
また、入力装置32でユーザにより入力されている情報が低レベルに機密扱いされたネットワークに転送されている時と、またその情報が例えば関連ワークステーションを介して高機密保護ネットワークに転送されている時とを正確に明確にユーザに示す表示手段を提供することは、本発明の特徴である。
図3に、独立したネットワーク10、12を示し、それぞれ高めおよび低レベルに機密保護されている。情報スイッチ手段20は、高レベルに機密扱いされたネットワークからスイッチ手段20への接続部22とスイッチ手段20と低レベルに機密扱いされたネットワーク12とのさらなる接続部24との間に位置づけられている。
接続部22はスイッチ手段20のポート26に設けられ、接続部24がスイッチ手段20のポート28に設けられている。
一実施例においては、接続部24は、低機密保護ネットワーク12に直接接続されている。
その上さらなる実施例においては、ポート28を通して与えられた出力は、輸送媒体の一部として高機密保護ネットワーク10の部分でありうる接続部24に与えられる。
情報が高機密保護ネットワークから直接与えられ、情報スイッチ手段が高機密保護ネットワークを低機密保護ネットワークに接続するよう調整される場合のさらなる例において、ポート28を通して与えられた出力が、もしそれが適当な信用された方法でモディファイされた(好ましくは封止された)ならポート28の向こうに位置する高機密保護ネットワーク10をただ発することができ、その後信用されるゲートウエイ16を通過することによってネットから放出されうる。図2に、ネットワークから放出された情報の種類を制御するために封止装置17およびゲートウエイ16を用いる高機密保護ネットワークを示す。
さらなる例において、ゲートウエイは、ただ許可されたユーザによってデジタル的に封止された情報を転送し得る。その代わりとして、ポート26からの出力が低機密保護ネットワーク内でアプリケーションにより処理された後その出力が情報フロー回路を作成するとともに一方向情報ダイオード23を介して例えば高機密保護ネットワーク情報処理手段に適切な表示コマンドを与えるために使用されるように、その出力は適当な信用された手段でモディファイされた後にだけ高機密保護ネットワークを発することが必要であろう。
さらなるポート30は、スイッチ手段20を情報入力装置32に接続する。そのスイッチ情報手段は、この実施例においてはキーボードを備えるが、ポインティング・デバイス(マウスやキーボードとマウスの組み合わせ)や、スキャナーや、手元で仕事するのに適したその他の情報入力装置のどれかでもよい。
スイッチ48は、ユーザ入力装置32から入力信号を受信する為のポート30に接続された第一入力部48aを備えている。また、スイッチ48は、二つの出力部48b、48cを備え、それぞれポート26、28に接続している。スイッチ48の状態は、第一入力部48がポート30をポート26または28のどちらに接続するか決定する制御装置(この実施例では状態マシン37)によって制御されている。
図4において、指示手段34は、情報スイッチ手段20と関連づけて示され、この実施例においては情報スイッチ手段20の状態をユーザに視覚的に表示するために輝くランプを備えている。しかしながら代わりとしては、指示手段は、使用環境に相応するように再度適合させたオーディオ信号生成装置または触知可能信号指示装置を備えるか、またはそれらの組み合わせを備えてもよい。
さらにさらなる実施例において、指示装置34は情報スイッチ手段20と離れて位置づけられてもよい。しかしながら、交換されているネットワークとの接続のリスクと違わず、当業者にとってこの代替例である指示装置に対するアレンジメントは、信用されないことは認識されるだろう。というのも指示装置の正確な動作に対して偶然または悪意の変更の可能性があるように、そのアレンジメントは与えられた指示信号が本物でない確立を増加させるだろうからである。
また、情報スイッチ手段20が、アクチュエーションアクセプタ装置(actuation acceptor device)とともに示される。この例における一時的接触スイッチ36の原理は、この明細書のあとほどでさらに詳しく記載される。
一実施例において、情報スイッチ手段は、ユーザのワークステーションが発生させた入力信号によってデータの流れを向け直すために制御され得る。このワークステーションは、一般的にはネットワーク10内にあり、したがってこの入力信号は“格下(downgrade)”データへの要求としてみなされることもある。この格下信号は、例えば情報スイッチ手段の制御装置37の専用入力ポート35で受信した高レベルから低レベルへのデジタル遷移を含むこともある。その入力信号は、情報フロー制御手段により前記第一ネットワークに由来するものとして証明できるタイプであることもある。
格下要求信号を受け取ると指示装置34は、入力装置(例えばマウス/キーボード構成)でのどんな情報入力も低レベルに機密扱いされたネットワーク12に転送されることをユーザに示すために照明する。スイッチ手段20は、その後ポート30で受信した情報をユーザ入力装置32からポート28及び接続部24を通してネットワーク12に向ける。ある種の実施例においては、この情報もまたハードワイヤード接続を介してかまたはネットワーク12からエコーすることによってネットワーク10に送られる。明らかに、格下要求が受けられないなら、その場合ユーザは、ユーザ入力装置32を介して入力されたすべての情報が高レベルに機密扱いされたネットワーク10にだけ転送されていると確信し得る。というのも指示装置34が光っていないからである。
情報スイッチの好ましい実施例を、明細書で後ほど記載する。
上記の実施例の情報スイッチ手段は、入力装置32によって書き込まれた情報が低レベルに機密扱いされたネットワークにスイッチされるべきかどうかを高機密保護ネットワークからの到来信号が決定することを信頼している。しかしながら、到来信号が特定の発生源をもつことは重大でない。というのも到来信号は、どちらのネットワークからでも使用可能であるユーザ使用可能ハードワイヤードスイッチ(例えばアクチュエーション装置36または信用されていないソフトウエアーアプリケーション)によっても発生されることができるだろうからである。
情報スイッチが信用された方法(すなわち、その意図した運用操作を破壊するすべての試みに抵抗する方法)で動作することは重要であるから、情報手段スイッチ内の回路(点線内に描かれた回路)は、好ましい例としては信用される。これには、情報スイッチ手段に用いられたハードウエアおよびソフトウエアの両方が信用性という点で評価され、信用された機能性および外部の脅威の様々なレベルに対する抵抗性に関して当業者によって認められた基準に適合することを必要である。
運用操作の1形態においては、運用操作のデフォルトモードとしての指示装置34の消灯状態を情報スイッチ手段20が維持することを保証する事は、選択自由となっている。そのとき(デフォルトモードとき)には、入力装置32のユーザは、キーボードに入力されている情報は高レベルに機密扱いされたネットワークに向けてのものであると絶えずみなす。
低レベルに機密扱いされたネットワークへ入力装置を介して情報転送することを主導するためには、例えば、ユーザにより使用可能なハードワイヤードスイッチ(アクチュエイション36など)やネットワークのどちらからでもポート35を介して主導される所定の信号のような、上述されたものの代用となる処理手順を必要とする。
その処理手順は、多数の運用操作を含む。しかしながら1形態においては、図4で38として示した高レベルに機密扱いされたネットワークワークステーションは、GUI環境に基づいたウインドーズ(例えば、Xまたはマイクロソフト)の使用を含め通常の方法で運用操作され得る。
高レベルに機密扱いされたネットワークの外部に情報を転送するためのウインドウを作成すると、ポート35を介した到来信号は、情報スイッチ手段20に送られる。そのウインドウの作用が、到来信号を主導するのに十分であることもあるし、またはこのプロセス専用のウインドウ内へのカーソルの移動が、到来信号を再初期化することもある。
本発明の情報スイッチ手段は、その時ユーザ入力装置(例えば、キーボード)から低レベルに機密扱いされたネットワークへ情報が流れるのを許すようにはたらく。一実施例においては、低レベルに機密扱いされたネットワークは、高レベルに機密扱いにされたネットワーク内のワークステーション38で開かれたウインドウに見えるようにスイッチ手段を介してキーボードで書き込んだ情報をエコーする。これは、高レベルに機密扱いされたネットワークの機密保護を侵害しない。別の実施例においては、ユーザ入力装置を介して入力された情報は、また高レベルに機密扱いされたネットワークに向けられる(例えば、マウス制御コマンド)。この後者の実施例においては、信用されたスイッチは、データT−ジャンクション(data T-junction)としてはたらく。
図4に、情報処理手段(一般的には高レベルに機密扱いされたネットワーク内に位置づけられたワークステーション38)を示す上述の構成例を示す。図3および4において共通の構成要素を識別する数表示が与えられる。
高レベルに機密扱いされたネットワーク内に位置づけられたワークステーションは、機密扱いされた情報がその範囲内で表示されるウインドウ40および機密扱いされない情報がその範囲内で表示されるさらなるウインドウ42を示す。
ウインドウ42内の情報は、低レベルに機密扱いされたネットワークにより提供されるか、またはキーボード32を介して両ネットワークへの情報入力が同時に向けられた結果である。この例において、キーボード32から低レベルに機密扱いされたネットワークへの情報の転送を制御するためにスイッチ手段により使用された入力信号は、ポート35を介してワークステーションによって与えられる。その入力信号は、低レベルに機密扱いされたネットワークへの接続期間を制御する。
このタイプのデュアルウインドウオペレーションは、ときどき多階層対話式セッション(multi-level interactive session)として呼ばれ、そこでは信用されていないソフトウエアは、高レベルに機密扱いされたネットワーク内のワークステーションと低レベルに機密扱いされたネットワークとの情報スイッチ手段を介した通信経路を必要とする。情報スイッチ手段は、低レベルに機密扱いされたネットワークへの情報伝達の完全な制御を担う。その時には好都合にも、ユーザは両ネットワークへのアクセスを有する。しかしながら、一方でこれはユーザが偶然または故意のどちらかで不適切に情報を転送する時運を非常に増大させることを意味する。この危険があまりに高いと評価された場合には、実施例によってはポート28を介してスイッチを発する全てのデータを(信用された方法で)記録することが可能である。もし必要ならばこの方法は監査証跡を与えることができる。
多階層対話式セッションを与えることにおいて、ワークステーション38は、高レベルに機密扱いされたネットワークに接続され、そして通常の運用操作の間にキーボード入力はワークステーション38に向けられる。情報スイッチ手段は、キーボード32からワークステーション38のキーボード入力44へデータを単に転送する“非機能”状態にある。
ユーザが、多階層対話式セッションを開始しそれによって低レベルに機密扱いされたネットワークに接続したいとき、ユーザが低レベルに機密扱いされたネットワークと対話処理する間に得られた情報を表示するために作成されたウインドウ内、またはスクリーンの予め規定された別の領域内に、ワークステーション38のポインタは移動される。
ワークステーション38から入力部35への信号は、低レベルに機密扱いされたネットワークとの多階層対話式セッションが要求されることを示すために、ワークステーション上で実行されている信用されないプロセスから情報スイッチ手段へ与えられる。前述されたような信号は、他のどこかで発することができ、多くの形態をとり得る。図4に別々の情報ポートとしてポート35、46に示すが、それらは単一双方向ポートとして構成されることもできるであろう。
その信号を受け取ると情報スイッチ手段は、好ましくはキーボードデータを高レベルに機密扱いされたネットワークへ転送することを中止することもでき、続くキーボードデータを低レベルに機密扱いされたネットワークに送ることを開始する。接続部24は、あらゆる媒体、例えばシリアル、SCSI、イーサーネット通信媒体を表している。
低レベルに機密扱いされたネットワーク内でホストによってエコーされたキャラクターが、ワークステーション38(ワークステーション38の入力ポート46)に情報スイッチ手段を介して与えられる。高気密保護ネットワークから低気密保護ネットワークへのデータの流れは、図3に示したようにデータダイオード23によって妨害される。入力ライン(シリアルラインであろう)で受信された情報は、一般的にはワークステーション38の機密扱いされないウインドウ42に表示される。
ワークステーション38に接続されたマウスがウインドウ42から移動するとき、情報スイッチ手段は、合図を受け、そして直ちに書き込まれたどのキーボード情報でもワークステーション38のキーボード入力44に向ける。ここでは、通常のGUIがキーボード情報をワークステーションのウインドウ40内へ向ける。別の実施例においては、セッションマネジャーが情報スイッチ手段のこの信号送受信を取り扱う。この構成において、ワークステーション38に接続するマウスは、スイッチが“非機能”モードに戻すことなしにウインドウ42から移動させられそして戻らされる。セッションマネジャーが書き込まれたキーボード情報をワークステーション38のキーボード入力44に向けるよう、情報スイッチに合図を送ることをユーザは明示的に要求する。ここでは、通常のGDIがキーボード情報をワークステーションのウインドウ40内へ向ける。信号の形態は、多くの形態をとり得る。例えば、印加された電圧を取り除く、データのコード化された列が転送されるなど。
もっと重要なことは、情報が情報スイッチによってキーボードから低レベルに機密扱いされたネットワークに向けられているあいだ指示装置34は点灯し、それによってあいまいでなくユーザに彼らによってタイプされたどの情報も低レベルに機密扱いされたネットワークに転送されることを示すということである。
この方法においては、低レベルに機密扱いされたネットワークに転送されることができる唯一の情報は、指示装置34が動作している間にキーボードに直接タイプされたものである。
キーボードは、情報スイッチがキーボード入力を低レベルに機密扱いされたネットワークに向けられる前にキーボード上のどの搭載記憶装置もリセットされるようなものであることが好ましい。これは、時情報スイッチが低レベルに機密扱いされたネットワークに送られることが許されるように構成されている期間中で、低レベルに機密扱いされたネットワークへの入力がそのまま又は圧縮された形で記憶され、その後キーボード入力で低レベルに機密扱いされたネットワークに送られる間に書き込まれるキーストロークの機会を排除する。このタイプの運用操作には、情報スイッチへのはたらきかけにより、キーボードから低レベルに機密扱いされたネットワークへ情報転送が許されるようになる前に、キーボードと交信する情報スイッチ手段によって発生させられる信号を必要とする。
都合上の問題としては、低レベルに機密扱いされたネットワークに表示されたどの情報もカットまたはコピーされ、その後GUI環境の規格どおり別のウインドウ内にペーストされることもある。しかし、リバースは許されない。
この例における1つの威嚇としては、ウインドウ42のオープンと同時に起こるのではなくむしろウインドウ40のオープンと同時に起こる多階層対話式セッションの要請があることを示す、ワークステーション38から情報スイッチ手段への要求信号の発生である。ユーザは、その時低レベルに機密扱いされたネットワーク内に転送されなかったであろう機密扱いされた情報をタイプしているかもしれない。
この威嚇を小さくするために、もし情報スイッチが低レベルに機密扱いされたネットワークに与えられるように構成されるならいつでも指示装置が動作するよう意図されている。
上述の威嚇を小さくするさらなる手段は、指示手段と協力してはたらく“アクセプトボタン(accept button)”を採用することである。そのアクセプトボタンは、アクチュエーター36として以前に示されている。
ワークステーション38からの要求信号が情報スイッチ手段20に送られそこで受信されると(これが信用されないプロセスであることを認めること)、情報スイッチ手段は、“保留中”状態に入り、その状態では指示ランプは閃く。ワークステーションのユーザがこれを観察するとき、ユーザは“アクセプトボタン”を発動させることを要求される。結果としてランプは継続的に灯され、それによってキーボードで書き込まれた情報が低レベルに機密扱いされたネットワークに転送されることが示される。その他の場合はすべて情報スイッチは、キーボードで書き込まれた情報が高レベルに機密扱いされたネットワークに転送されるように構成される。好ましい実施例においては、情報スイッチは信用された装置であるとともに、ランプの発動性および“アクセプトボタン”入力の受信が、照明可能な信頼があり確実であるように意図されている。
スイッチをその最初の位置にリセットする要求は、ウインドウ42外にあるポインタが別のウインドウ40またはスクリーン上の他のどこかに移動することで与えられ得る。他の実施例においては、格下要求はワークステーション38上で実行されているセッションマネジャーによって制御される。マネジャーは、スイッチが“非機能”モードに戻るよう合図し、そこでは指示ランプ34は消え、その時キーボード情報は高レベルに機密扱いされたネットワーク10内のワークステーション38にただ与えられる。
図4に示した情報スイッチ手段20は、上述した手続きを首尾よく実行するために信用された装置である必要があり、好ましい実施例としては図3に示される。点線の境界内に示された各構成要素は、組み合わせであるので信頼された要素である。
前述したように、ポート35を介した入力信号は、高レベルに機密扱いされたネットワーク10内に位置づけられたワークステーション38の信用されないソフトウエアまたはハードウエアによって発生させられ、制御装置37によって受信される。その制御装置は、好ましくは有限状態オートマトンであるが、他の多くの方法で実行され得る。明らかなように、実行が簡単になればなるほど必要なレベルの信頼性に対して情報スイッチ手段のあの部分を評価することはより容易であろう。
前出の記載に適合する多階層対話式セッション用の制御装置37の1つの状態セットを図9に示す。
“非機能”状態において、情報スイッチは、ユーザ入力を第一ネットワーク10にだけ通過させる。第二ネットワーク12で出力は見られない。スイッチ要求が信用されたスイッチ20により受信されたとき、スイッチは“保留中”状態に入り、ユーザに指示手段34を介してスイッチ要求が発行されたことを示す。ユーザは、そのとき要求が有効であることを確認するためにアクセプタ手段を起動させ、そのときスイッチ20は“活動”状態に入り、キーボードからネットワーク12へ情報が転送されるのを許す。
アクセプタが起動されるまでネットワーク12への書き込みは許されない。もしユーザが明示的にデータ入力装置を使用して、それらに(ネットワーク10および12)入らないなら、ネットワーク10からネットワーク12へのデータの流れは起こらない。しかしながら、ネットワーク12は、ネットワーク10に入ることが許される。
ネットワーク12へ情報が転送される間はいつでも指示装置は、ユーザに情報がネットワーク12に転送されていることを示す。もしどんなときでも要求信号が排除処理されるなら、スイッチ20と指示装置34はそれらのそれぞれの“非機能”モードに戻る。
本発明がどんな特別な入力や表示技術に基づくものではないことは認められるとともに、接続されたネットワークの数は少しも制限されないが、一方発明を使って可能となる接続トポロジイには多くの形態があることが認められるであろう。
図5には、複数の情報フロー制御手段110、120、130、140、150、160、170、180、190をそれぞれのネットワーク内に絵入りで示されている。例えば、破線により示されたようにネットワーク20、30、40の何れかからネットワーク10内に情報が転送される間に、フロー制御手段でなくネットワーク内で終点となる実線により示めすように、フロー制御手段110への情報入力はネットワーク10、20、30、40のどれかに向けられるように、各フロー制御手段は、示したように2つ以上の出力を有することができる。
さらに、情報がネットワーク70、80、90の何れかから、情報ダイオードからの出力がどのように向けられるかに依存するネットワーク60及び/又は70へ転送される間に、ネットワーク60内のフロー制御手段160はネットワーク150、170、180、190へ出力する。
図6には、信用された方法かまたは物理的に確かな方法で高レベルに機密扱いされたネットワーク10に接続された信用されないワークステーション60を絵入りで示している。ワークステーションそれ自身は、入力装置32を有する情報フロー制御装置20の第一出力に接続されるとともに、低レベルに機密扱いされた第二ネットワーク12にスイッチ手段の第二出力を介して接続されている。
図7には、入力装置32を有する情報フロー制御手段20のスイッチ手段の一出力に接続されるとともに、スイッチ手段の第二出力を介して高レベルに機密扱いされたネットワーク10に接続されたワークステーション60を絵入りで示している。なお、情報フロー制御手段は、低レベルに機密扱いされたネットワーク10に接続されたスイッチ手段の第三出力と、ワークステーションと高レベルに機密扱いされたネットワークのどちらか又は両方に、低レベルに機密扱いされたネットワークが接続することを許す命令をするように接続された情報ダイオード出力とを有する。
以下の実施例では、図8に絵入りで示したようにGUI基底付きワークステーション環境を使って端末様セッションを記載する。
例として、マウスポインタがウインドウ42(図4参照)に入り、XcrossingEvent(XenterWindowEvent)またはXfocusChangeEvent(XfofusInEvent)の引き金となる場合を考える。ウインドウウィジェット上のコールバックセットは、第二入力46を介して特定の順番列をスイッチに書き込むことができる。これは、情報スイッチを“保留中”状態に移す。以前と同じように、“保留中”状態の間ランプは閃き、ユーザの行動を要求する。もしマウスポインタが“アクセプタ”ボタンが起動される前にウインドウ42の外に移動されているなら、要求は否認され(例えば、XleaveWindowEventまたはXfocusOutEvent上のコールバックセットを介して)、低レベルに機密扱いされたネットワークに転送されるデータはない。この時点で指示装置は、情報スイッチ自身が“非機能”状態に戻ったことを示す。さもなければ、アクセプタボタンが押された後に、ユーザ入力データは、情報スイッチが“活動”状態にあるあいだ低レベルに機密扱いされたネットワークに転送される。
低レベルに機密扱いされたネットワークへのアクセスは、テキスト基底付き遠隔ログインセッションと同じくらい簡単に実行される。低レベルに機密扱いされたネットワークの出力は、高レベルに機密扱いされたネットワークへ送られる。そこで末端(すなわち、ウインドウ)マネジャーはこの情報の表示を処理する責任がある。マウス運動のようなユーザ入力も、ウインドウマネジャーにより解釈されるように、高レベルに機密扱いされたホスト装置に送られる。この実施例においては、高レベルに機密扱いされたネットワークのマネジャーから低レベルに機密扱いされたネットワークへの肯定応答は、許されない。
高レベルに機密扱いされたネットワークから低レベルに機密扱いされたネットワークへ移動するデータがないなら、そのことを示すのは簡単であるので、表示マネジャーと関連ハードウエア及びソフトウエアは信用されないことはあり得る。指示装置は、マネジャーがXleaveWindowEvent/XfocusOutREventコールバックを正確に発行したという視覚キューを提供する。したがって表示マネジャーのトロイの木馬でさえデータの機密度を損わない。
いくつかのX基底付きソフトウエアは、XサーバからXクライアントへのXプロトコル反応を要求する。上記記載によると、これが起こることを許さない。万一この特徴が必要なら付加的ソフトウエアサポートが要求されるであろう。
図8に、低レベルに機密扱いされたネットワーク上で(この実施例では低レベルに機密扱いされたワークステーション上で)実行されるとともに、高レベルに機密扱いされたネットワーク上でXサーバーに接続させられたXアプリケーションを支援するのに必要なソフトウエアアーキテクチャおよびデータの流れを示す。肯定応答の問題を扱うこの方法は、ウィンドウィングシステムの他のタイプに適用可能である。
Xクライアントは、低レベルに機密扱いされたネットワークまたは接続されたどのネットワーク内の範囲でどこでも位置づけられる。
Xアプリケーションは、Xイベントの形態でXサーバーからの大量の情報を必要とすることもあるとともに、要求に応答する。これらの応答は、Xサーバー状態情報とサーバー上で利用できるX資源に関する情報とからなる。低レベルに機密扱いされたワークステーション上で実行されているXアプリケーション(クライアント)56がこの情報を受信するためには、低レベルに機密扱いされたワークステーション50上で実行されている“模造”Xサーバー58がこの情報を提供するために使用される。
スイッチ手段自身が活動状態にある場合、ユーザ入力は、高レベルに機密扱いされたネットワーク10および低レベルに機密扱いされたネットワーク12の両方に送られる(これは、T−ジャンクション構造であることが理解される)とともに、異なったアレンジメントユーザ入力が低い側のネットワークからエコーされることもある。これは、ワークステーション38上のXサーバーが入力に反応して表示を制御することを許すとともに、ワークステーション50上の模造Xサーバー58が発生させられる全てのXイベントを映すことを許す。ワークステーション50上のクライアントアプリケーションは、イベントデータを含むデータが高レベルに機密扱いされたネットワークから低レベルに機密扱いされたネットワークへ流れないように模造Xサーバー58からXイベントを受信する。
ワークステーション50上のXアプリケーションからのXプロトコル要求は、同時にワークステーション38上のXサーバー54と模造Xサーバー58へ送られる。表示コマンドは、ワークステーション38上のXサーバーによって正確に実行処理される。模造Xサーバーは同じように、Xサーバー環境が映されることを保証する論理的スクリーン上でこれらの表示コマンドを、実行処理する。応答を必要とする要求は、ワークステーション50上のXアプリケーション56に応答が向けられた状態で、模造Xサーバーによって取り扱われる。その応答は、ワークステーション38上の模造Xクライアント52に同時に向けられる。
高レベルに機密扱いされたワークステーション38上のXサーバーは、全ての入力を受信し、Xイベントを生成する。入力(ここからXイベント)が低レベルに機密扱いされたワークステーション上のXアプリケーション56に関係するとき、Xイベントは高レベルに機密扱いされたワークステーション上の模造クライアント52に向けられる。その模造クライアントはただ単にこれらのイベントを無視する。また、模造クライアントは、低レベルに機密扱いされたワークステーション上のXアプリケーションからの要求を処理する。例えば、模造クライアントは、模造Xサーバー58用のウインドウ識別子をXサーバー54用のウインドウ識別子に訳す。Xプロトコル要求は一旦翻訳されると、その後Xサーバー54に伝えられる。高レベルに機密扱いされたワークステーション上で実行されているXサーバーからの要求に対する応答は、模造クライアント(再びそれらを無視または処理する)によって捕らえられる。
ネットワーク上で実行されているアプリケーション次第では、入力フィルターのような他のハードウエア及びソフトウエアを加えること(例えば、テキスト基底付き端末に送られたマウスコマンドをフィルターにかけるために)と、セッションを起こし維持するためにセッションマネジャーを加えること、入力と出力ポートを扱うためにまたはスイッチ要求として順番列を解釈するためにハードウエアを加えることとは必要である。
このハードウエア及びソフトウエアが情報スイッチ手段の動きを妨害することができないかぎり、その他のハードウエア及びソフトウエアは信用されないことになる。というのは、高レベルに機密扱いされたネットワークから低レベルに機密扱いされたネットワークへ流れることを許されるデータはないからである。
このタイプの運用操作の一例としては、“テルネット”スタイルセッションマネジャーがあげられる。これは、低レベルに機密扱いされたネットワークのホスト上のテルネットセッションを開始し維持する信用されないプロセスのように、情報スイッチがリセット状態にあるときに作成されうるだろう。この単純で信用されないソフトウエアは、ネットワークプロトコル(ヘッダ構造、取り外し及びアドレス指定のような)によって要求された必要な初期接続手順を取り扱うことができるだろう。事実、セッションマネジャーは、単純なハードウエアでさえ実行されている。
一方では、同じリセット状態によりXウインドウがデスクトップ上に現われ、低レベルに機密扱いされたネットワークウインドウからの出力をそこへ向ける。このアプローチは、カット・ペースト操作が低レベルに機密扱いされたネットワークから高レベルに機密扱いされたネットワークへ行われることを許す優先性をある。というのもウインドウマネジャーは、他のどんな端末セッションとも同じ方法で低レベルに機密扱いされたウインドウを扱うからであるとともに、反位操作はもちろん不可能であるけれどユーザエントリ装置を通して書き込まれた情報だけが低レベルに機密扱いされたネットワークに常に転送されるからである。
この導入において真の脅威は、指示装置の失敗である。この理由の場合、指示装置は“リセット”状態の間に試験されるべきである。複式指示装置もまた可能であり、例えば、“非機能”及び“保留中”状態のあいだ運用操作されように製作されうり、これらの操作状態を示すものであろう。別の可能な導入としては、“安全”状態を示すために指示装置を使用することであり、なお表示がないときは“危険な”状態が示される(これは、運用操作の“フェイル・セーフ”モードである)。
図10に、低レベルに機密扱いされたネットワークへの情報フロー制御装置20の論理的接続を示す。それは通信媒体の一部であり、高レベルに機密扱いされたネットワークの一部分である。好ましくは情報フロー制御装置自身で行われる適切な信用された方法で情報が適切に封止またはサインまたは転送されるなら、情報はただこの論理的接続を通過し、高レベルに機密扱いされた(高い側)ネットワークを発する。
図11に、高レベルに機密扱いされたネットワーク内の情報処理手段(例えばワークステーション38)上でセッションの結果が表示されている間に、高レベルに機密扱いされたネットワーク内のユーザが、低レベルに機密扱いされたネットワーク内の情報処理手段(例えばワークステーション50)上でアプリケーション56を実行することを許す遠隔表示プロトコルを使用した遠隔アプリケーションセッションを示す。
そうするために、情報スイッチは“活動”状態に置かれ、ユーザのマウス41およびキーボード32を介してワークステーション50上のアプリケーションセッション56を運用操作するアプリケーションサーバー58によって受信されるとともに、低い側のアプリケーション56に向け直された情報を、ユーザは低レベルに機密扱いされたネットワークに入力する。
アプリケーションサーバー58は、局所的表示又は低レベルに機密扱いされたネットワーク内の表示を発動させるために別のやり方で使用されていた低い側のアプリケーション表示コマンドを操作するとともに、適切な遠隔表示プロトコルを使ってデータダイオードを通して高い側のクライアント表示アプリケーション52にそのようなコマンドを向ける。
前に記述されたX-ウィンドウの例は、図11に与えられた構成実施例に適用可能であるが、この構成の使用は、XウインドウシステムのGUT's及び遠隔プロトコルに制限されない。
情報スイッチのさらなる実施例の記述
情報スイッチは、状態マシンを“非機能”に戻す“リセット”状態を有する状態マシンの4状態を使って記述することができる。
テーブル1:状態マシンの状態の記述
リセット:要求されるどんな初期設定も行う。ランプは非点灯
非機能:ランプは非点灯。データはキーボードからホストに転送される。
保留中:ランプはぴかっと光る。キーボードはホストに“接続”されている。
活動:ランプは点灯、キーボードは遠隔に接続されている。
図9及び上のテーブル1は以下を示す。
状態0:リセット:これは、要求されるどんなセットアップおよびテストをも行う初期設定状態である。もし自身のテストが正しい動作を示すなら非機能に移行する。
状態1:非機能:このスイッチは自身の“安全”状態にある。キーボードからの全ての入力が表示/高レベルに機密扱いされたネットワークへ直接転送される。低レベルに機密扱いされたネットワークに出力されるデータはない。指示装置は“非機能”状態を示し、アクセプタボタンは無視される。もし格下要求が受信されるなら(アクティベートイベント)、状態マシンは“保留中”状態に変わる。データは、低レベルに機密扱いされたネットワークから高レベルに機密扱いされたネットワークへ流れる。
状態2:保留中:情報スイッチは、“アクセプタ”信号入力を待機している。指示装置は、ユーザに応答を促すことによりこの状態を表示する。もし要求が消失する前に(ディアクティベートイベント)アクセプタイベントが起こったなら、その時状態マシンは状態を“活動”状態に変える。もしディアクティベートイベントが起こったら、そのマシンは“非機能”状態に戻る。さもなければ、“保留中”状態のままである。“保留中”状態の間、キーボードからの全ての入力は、表示/高レベルに機密扱いされたネットワークに直接転送される。低レベルに機密扱いされたネットワークに転送されるデータはない。データは低レベルに機密扱いされたネットワークから高レベルに機密扱いされたネットワークへ流れる。
状態3:活動:キーボードからの入力は低レベルに機密扱いされたネットワークへ転送される。一実施例において、低レベルに機密扱いされたネットワークから戻ったデータは、高レベルに機密扱いされたネットワークにエコーされる。指示装置は、ユーザに全てのキーボード入力が低レベルに機密扱いされたネットワークへ転送されることを明確に示し、警告しなければならない。ディアクティベートイベントが起こったとき、マシンは状態を“非機能”に変える。データは、低レベルに機密扱いされたネットワークから高レベルに機密扱いされたネットワークへ流れる。
入力をキーボードから高レベルに機密扱いされたネットワーク10か低レベルに機密扱いされたネットワーク12のどちらかに移行させるキーボード32に接続した第一極を有した二極単投式スイッチとして、スイッチ48は様々な図で示される。
もしスイッチ48が機械的なら、それは好ましくは第一極が通常高レベルに機密扱いされたネットワークに接続した極に移行するようにバイアスされる。
2つ以上の出力を有するスイッチにおいてスイッチ48の位置は、制御装置内の状態マシンの許容状態に一致して制御装置37によって制御される。
発明がその使用において記述された特別な応用に限定されず、本発明がその好ましい実施例においてここで記述された特別な要素及び/又は特徴に関して限定されることもないことは、当業者によって認められるであろう。様々な改良は発明の原理から離れることなく成しうることができることが認められ、したがって、本発明はその範囲ないでこのような全ての変更を含めて理解されるべきである。

Claims (77)

  1. 第一コンピュータネットワークが第二コンピュータネットワークより高い機密保護分類を有するところの前記第一及び第二ネットワーク間の位置に対しての情報フロー制御手段であって、
    下記を有する情報スイッチ、
    情報入力、
    前記第一ネットワークに接続する第一出力、
    前記第二ネットワークに接続する第二出力、
    前記入力を前記第一出力に接続するために前記情報スイッチを制御する第一状態と前記入力を前記第二出力に接続するために前記情報スイッチを制御する第二状態の少なくとも二つの状態を有する制御装置、
    前記第二ネットワークから情報を受信するための入力と、前記第二ネットワークから受信した情報を当該情報ダイオードの出力から前記第一ネットワークへの接続を通して前記第一ネットワークに転送するための出力とを有するとともに、情報が前記出力から前記入力へ流れることを防止する情報ダイオード、
    を備える。
  2. 前記制御装置は、それが前記第二状態に強制されないなら前記第一状態にある請求項1に係る情報フロー制御手段。
  3. 前記情報フロー制御手段のユーザに前記制御装置の状態を示す指示手段を更に備えた請求項2に係る情報フロー制御手段。
  4. 前記指示手段は、前記フロー制御手段のユーザに見える請求項3に係る情報フロー制御手段。
  5. 前記制御装置は、前記入力を前記第一出力および前記第二出力の両方に接続して、前記第一状態と前記第二状態を組み合わせている請求項1に係る情報フロー制御手段。
  6. 前記制御装置は、信用されている請求項1に係る情報フロー制御手段。
  7. 前記制御装置は、さらに要求信号入力を備えるとともに、要求信号が前記要求信号入力で受信されるときに前記第二状態に強制される請求項1に係る情報フロー制御手段。
  8. 前記第一ネットワークは、要求信号入力を与える請求項7に係る情報フロー制御手段。
  9. 前記要求信号は、前記第一ネットワークにより与えられるものとして証明できる請求項8に係る情報フロー制御手段。
  10. 前記要求信号は、前記情報フロー制御装置と物理的に関連し、前記情報フロー制御手段のユーザによってだけ動作可能であるよう適応されたユーザ作動可能スイッチによって与えられる請求項7に係る情報フロー制御手段。
  11. 前記情報入力は、少なくとも1つのユーザ作動可能入力装置によって発生した情報である請求項1に係る情報フロー制御手段。
  12. 前記情報入力は、コンピュータまたはコンピュータネットワークからの情報である請求項7に係る情報フロー制御手段。
  13. 前記情報スイッチは、それぞれのさらなるネットワークと接続する少なくとも1つのさらなる出力と、前記入力をそれぞれのさらなる出力と接続するために前記情報スイッチを制御するさらなる状態を有する制御装置とをさらに備えた請求項7に係る情報フロー制御手段。
  14. 前記第一出力からの前記情報出力は、特有なシールを前記第一出力からの前記情報出力と関連づけ、前記第一ネットワーク内の前記封止された情報と通信する情報封止手段(information sealing means)をさらに備える前記第一ネットワークに与える請求項7に係る情報フロー制御手段。
  15. 前記情報封止手段は、信頼される請求項14に係る情報フロー制御手段。
  16. 前記信用された情報封止手段は、物理的に前記フロー制御手段と関連する請求項15に係る情報フロー制御手段。
  17. 前記第一ネットワークからの情報がその情報に対応づけられたシールと前記情報封止手段によって関連づけられるときにだけ、前記第一ネットワークは前記情報と通信するゲートウエイ手段をさらに備える請求項14に係る情報フロー制御手段。
  18. 前記ゲートウエイ手段は、信用される請求項17に係る情報フロー制御手段。
  19. 前記第一出力からの前記情報出力は、特有なデジタル署名を前記第一出力からの前記情報出力と関連づけ、前記第一ネットワーク内の前記サインされた情報と通信する情報デジタル署名手段をさらに備えた前記第一ネットワークに与える請求項1に係る情報フロー制御手段。
  20. 前記情報デジタル署名手段は、信用されている請求項19に係る情報フロー制御手段。
  21. 前記信用された情報デジタル署名手段は、物理的に前記フロー制御手段と関連づけられている請求項20に係る情報フロー制御手段。
  22. 前記第一ネットワークからの情報がその情報に対応づけられたデジタル署名と前記デジタル署名手段によって関係づけられるときにだけ、前記第一ネットワークは前記情報と通信するゲートウエイ手段をさらに備えている請求項19に係る情報フロー制御手段。
  23. 前記ゲートウエイ手段は、信用されている請求項19に係る情報フロー制御手段。
  24. 第一コンピュータネットワークが第二コンピュータネットワークより高い機密保護分類を有するとともに第一ネットワーク内に少なくとも1つの情報処理手段を有するところの前記第一及び第二ネットワーク間の位置に対する情報フロー制御手段であって、
    以下を有する情報スイッチ、
    情報入力、
    前記第一ネットワーク内の前記少なくとも1つの情報処理手段と接続する第一出力、
    前記第二ネットワークと接続する第二出力、
    前記入力を前記第一出力に接続するために前記情報スイッチを制御する第一状態と前記入力を前記第二出力に接続するために前記情報スイッチを制御する第二状態の少なくとも二つの状態を有する制御装置、
    前記第二ネットワークから情報を受信するための入力と、前記第二ネットワークから受信した情報を当該情報ダイオードの出力から前記第一ネットワークへの接続を通して前記少なくとも1つの情報処理手段に転送するための出力とを有するとともに、情報が前記出力から前記入力へ流れることを防止する情報ダイオード、
    を備えている。
  25. 前記第一出力と前記第一ネットワーク内の前記少なくとも1つの情報処理手段との接続は、有線または無線の接続である請求項24に係る情報フロー制御手段。
  26. 前記接続は、信用される請求項25に係る情報フロー制御手段。
  27. 前記制御装置は、それが前記第二状態に強制されないなら前記第一状態にある請求項24に係る情報フロー制御手段。
  28. 前記制御装置の状態を前記情報フロー制御手段のユーザに示す指示手段を更に備えている請求項27に係る情報フロー制御手段。
  29. 前記指示手段は、前記フロー制御手段のユーザに見える請求項28に係る情報フロー制御手段。
  30. 前記制御装置は、信用される請求項24に係る情報フロー制御手段。
  31. 前記制御手段は、さらに要求信号入力を備えるとともに、要求信号が前記要求信号入力で受信されるときに前記第二状態に強制される請求項24に係る情報フロー制御手段。
  32. 前記第一ネットワークは、前記制御装置要求信号出力に要求信号入力を与える請求項31に係る情報フロー制御手段。
  33. 前記要求信号は、前記第一ネットワークにより提供されるものとして証明できる請求項32に係る情報フロー制御手段。
  34. 前記要求信号は、前記情報フロー制御装置と物理的に関連し、前記情報フロー制御手段のユーザによってだけ動作可能であるよう適応されたユーザ作動可能スイッチによって与えられる請求項31に係る情報フロー制御手段。
  35. 前記情報入力は、少なくとも1つの作動可能入力装置によって発生する情報である請求項24に係る情報フロー制御手段。
  36. 前記情報入力は、コンピュータまたはコンピュータネットワークからの情報である請求項24に係る情報フロー制御手段。
  37. 前記情報スイッチは、それぞれのネットワークと接続する少なくとも1つのさらなる出力と、前記入力をそれぞれのさらなる出力と接続するために前記情報スイッチを制御するさらなる状態を有する制御装置とをさらに備えた請求項24に係る情報フロー制御手段。
  38. 前記第一出力からの前記情報出力は、特有なシールを前記第一出力からの前記情報出力と関連づけ、前記第一ネットワーク内の前記封止された情報と通信する情報封止手段をさらに備える前記第一ネットワークに与える請求項24に係る情報フロー制御手段。
  39. 前記情報封止手段は、信用される請求項38に係る情報フロー制御手段。
  40. 前記信用された情報封止手段は、物理的に前記フロー制御手段と関連する請求項39に係る情報フロー制御手段。
  41. 前記第一ネットワークからの情報がその情報に対応づけられたシールと前記情報封止手段によって関係づけられるときにだけ、前記第一ネットワークは前記情報と通信するゲートウエイ手段をさらに備える請求項38に係る情報フロー制御手段。
  42. 前記ゲートウエイは、信用される請求項41に係る情報フロー制御手段。
  43. 前記第一ネットワークからの前記情報出力は、特有なデジタル署名を前記第一出力からの前記情報出力と関連づけ、前記第一ネットワーク内の前記サインされた情報を通信する情報デジタル署名手段をさらに備える前記情報処理手段に与えられる請求項24に係る情報フロー制御手段。
  44. 前記情報デジタル署名手段は、信用される請求項43に係る情報フロー制御手段。
  45. 前記信用された情報デジタル署名手段は、物理的に前記フロー制御手段と関連する請求項44に係る情報フロー制御手段。
  46. 前記第一ネットワークからの情報がその情報に対応づけられたデジタル署名と前記デジタル署名手段によって関係づけられるときにだけ、前記第一ネットワークは前記情報と通信するゲートウエイ手段をさらに備える請求項43に係る情報フロー制御手段。
  47. 前記ゲートウエイ手段は、信用されている請求項46に係る情報フロー制御手段。
  48. 第一コンピュータネットワークが第二コンピュータネットワークより高い機密保護分類を有するとともに、前記第一及び前記第二ネットワークの両方の外部に少なくとも1つの情報処理手段を有するところの前記第一及び第二ネットワーク間に位置づけられた情報フロー制御手段であって、
    以下を有する情報スイッチ、
    情報入力、
    前記第一ネットワークに接続する第一出力と前記第二ネットワークに
    接続する第二出力と前記情報処理手段と接続する第三出力との少なくと
    も3つの出力、
    前記入力を前記第一出力に接続するために前記情報スイッチを制御する第一状態と前記入力を前記第二出力に接続するために前記情報スイッチを制御する第二状態と前記入力を前記第三出力に接続するために前記情報スイッチを制御する第三状態との少なくとも三つの状態を有する制御装置、
    前記第二ネットワークから情報を受信するための入力と、前記第二ネットワークから受信した情報を前記第一ネットワーク及び/又は前記情報処理手段に転送するための出力とを有する情報ダイオード、
    を備える。
  49. 前記制御装置は、もし別の状態に強制されなければ前記第一状態にある請求項48に係る情報フロー制御手段。
  50. 前記制御装置の状態を前記情報フロー制御手段のユーザに示す指示手段を更に備えている請求項49に係る情報フロー制御手段。
  51. 前記指示手段は、前記フロー制御手段のユーザに見える請求項50に係る情報フロー制御手段。
  52. 前記制御装置は、信用される請求項48に係る情報フロー制御手段。
  53. 前記制御装置は、さらに要求信号入力を備えるとともに、要求信号が前記要求信号入力で受信されるときに前記第二状態に強制される請求項48に係る情報フロー制御手段。
  54. 前記第一ネットワークまたは前記情報処理手段は、前記制御装置要求信号入力に要求信号入力を与える請求項53に係る情報フロー制御手段。
  55. 前記要求信号は、前記第一ネットワークまたは前記情報処理手段によりそれぞれに提供されるものとして証明できる請求項54に係る情報フロー制御手段。
  56. 前記要求信号は、前記情報フロー制御装置と物理的に関連し、前記情報フロー制御手段のユーザによってだけ動作可能であるよう適応されたユーザ作動可能スイッチによって与えられる請求項53に係る情報フロー制御手段。
  57. 前記情報入力は、少なくとも1つのユーザ作動入力装置によって発生した情報である請求項48に係る情報フロー制御手段。
  58. 前記情報入力は、コンピュータまたはコンピュータネットワークからの情報である請求項48に係る情報フロー制御手段。
  59. 前記情報スイッチは、それぞれのネットワークと接続する少なくとも1つのさらなる出力と、前記入力をそれぞれのさらなる出力と接続するために前記情報スイッチを制御するさらなる状態を有する制御装置とをさらに備えた請求項48に係る情報フロー制御手段。
  60. 前記第一出力からの前記情報出力は、特有なシールを前記第一出力からの前記情報出力と関連づけ、前記第一ネットワーク内の前記封止された情報と通信する情報封止手段をさらに備える前記第一ネットワークに与える請求項48に係る情報フロー制御手段。
  61. 前記情報封止手段は、信用される請求項60に係る情報フロー制御手段。
  62. 前記信用された情報封止手段は、物理的にフロー制御手段と関連付けられている請求項61に係る情報フロー制御手段。
  63. 前記第一ネットワークからの情報がその情報に対応づけられたシールと前記情報封止手段によって関係づけられるときにだけ、前記第一ネットワークは前記情報と通信するゲートウエイ手段をさらに備える請求項60に係る情報フロー制御手段。
  64. 前記ゲートウエイは、信用される請求項63に係る情報フロー制御手段。
  65. 前記第一出力からの前記情報出力は、特有なデジタル署名を前記第一出力からの前記情報出力と関連づけ、前記第一ネットワーク内の前記サインされた情報と通信する情報デジタル署名手段をさらに備えた前記情報処理手段に与える請求項48に係る情報フロー制御手段。
  66. 前記情報デジタル署名手段は、信用される請求項65に係る情報フロー制御手段。
  67. 前記信用された情報デジタル署名手段は、物理的に前記フロー制御手段と関連付けられている請求項66に係る情報フロー制御手段。
  68. 前記第一ネットワークからの情報その情報に対応づけられたデジタル署名と前記デジタル署名手段によって関係づけられるときにだけ、前記第一ネットワークは前記情報と通信するゲートウエイ手段をさらに備える請求項65に係る情報フロー制御手段。
  69. 前記ゲートウエイは、信用される請求項68に係る情報フロー制御手段。
  70. 前記制御装置は、前記情報スイッチを前記第一状態に強制するためのリセット状態を備えている請求項1、24又は48に係る情報フロー制御手段。
  71. もし前記情報スイッチ手段に対して電力を失う場合、前記制御装置が前記リセット状態に入って電力の回収にあてる請求項70に係る情報フロー制御手段。
  72. 前記第一ネットワークは、高い側のクライアント表示アプリケーションを動作する情報処理手段を有しており、
    そして前記第二ネットワークは、アプリケーションサーバーを動作する情報処理手段を有しており、
    このことによって、遠隔表示コマンドは、前記情報ダイオードを通して前記第一ネットワーク情報処理手段に伝達され、
    前記情報スイッチ制御装置が前記第二状態にあるとき、前記情報入力が前記情報ダイオードを通して前記高い側のクライアント表示アプリケーションと通信する前記低い側のアプリケーションサーバーに接続される請求項1に係る情報フロー制御手段。
  73. 前記第一ネットワーク情報処理手段はマルチタスク動作システムを有し、前記第二ネットワーク情報処理手段はマルチタスク動作システムを有する請求項72に係る情報フロー制御手段。
  74. 前記第一ネットワークは高い側のXサーバーと高い側の模造Xクライアントを有し、前記第二ネットワークは、前記情報スイッチ制御装置が第二状態にあるときに前記情報ダイオードを通して前記低い側のクライアント及び前記高い側の模造Xクライアントと通信する前記低い側の模造Xサーバーに前記情報入力が接続されるように、低い側の模造Xサーバーと低い側のXクライアントとを有し:そして
    前記低い側のXクライアントは、前記入力によって受信された情報に対して安全なX環境を供給するために両方が互いに通信する、前記高い側の模造Xクライアントおよび前記低い側の模造Xサーバーと、前記情報ダイオードを介した前記高い側のXサーバーとの、両方に情報を送る請求項1に係る情報フロー制御手段。
  75. 前記第一ネットワーク情報処理手段はシングルタスク動作システムを有し、前記第二ネットワーク情報処理手段はマルチタスク動作システムを有する請求項72に係る情報フロー制御手段。
  76. 前記第一ネットワーク情報処理手段はマルチタスク動作システムを有し、前記第二ネットワーク情報処理手段はシングルタスク動作システムを有する請求項72に係る情報フロー制御手段。
  77. 前記第一ネットワーク情報処理手段はシングルタスク動作システムを有し、前記第二ネットワーク情報処理手段はシングルタスク動作システムを有する請求項72に係る情報フロー制御手段。
JP52871796A 1995-03-31 1996-03-29 異なった機密保護レベルのネットワークを相互に連絡させる方法及び手段 Expired - Lifetime JP3691519B2 (ja)

Applications Claiming Priority (5)

Application Number Priority Date Filing Date Title
AUPN2081A AUPN208195A0 (en) 1995-03-31 1995-03-31 Method and means for interconnecting different security level networks
AU4559 1995-08-01
AU2081 1995-08-01
AUPN4559A AUPN455995A0 (en) 1995-08-01 1995-08-01 Secure multi-level interactive network link method and means
PCT/AU1996/000186 WO1996030840A1 (en) 1995-03-31 1996-03-29 Method and means for interconnecting different security level networks

Publications (2)

Publication Number Publication Date
JPH11502976A JPH11502976A (ja) 1999-03-09
JP3691519B2 true JP3691519B2 (ja) 2005-09-07

Family

ID=25644892

Family Applications (1)

Application Number Title Priority Date Filing Date
JP52871796A Expired - Lifetime JP3691519B2 (ja) 1995-03-31 1996-03-29 異なった機密保護レベルのネットワークを相互に連絡させる方法及び手段

Country Status (5)

Country Link
US (1) US6108787A (ja)
EP (1) EP0818007B1 (ja)
JP (1) JP3691519B2 (ja)
DE (1) DE69636116T2 (ja)
WO (1) WO1996030840A1 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2021536641A (ja) * 2018-09-05 2021-12-27 ロンメラク イーラブス ゲゼルシャフト ミット ベシュレンクテル ハフツング 少なくとも1台の製造機械をデータ保護下で接続するための装置

Families Citing this family (67)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US6711613B1 (en) * 1996-07-23 2004-03-23 Server Technology, Inc. Remote power control system
US7506020B2 (en) 1996-11-29 2009-03-17 Frampton E Ellis Global network computers
US7926097B2 (en) 1996-11-29 2011-04-12 Ellis Iii Frampton E Computer or microchip protected from the internet by internal hardware
WO1998031138A1 (en) * 1997-01-13 1998-07-16 John Overton Automated system for image archiving
AU744891B2 (en) * 1997-10-02 2002-03-07 Compucat Research Pty Limited Improved data switch
AUPO959897A0 (en) * 1997-10-02 1997-10-30 Compucat Research Pty Limited Data switch
KR100513793B1 (ko) * 1998-03-30 2005-12-08 삼성전자주식회사 모니터제조장치
US7233978B2 (en) * 1998-07-08 2007-06-19 Econnectix, Llc Method and apparatus for managing location information in a network separate from the data to which the location information pertains
US7103640B1 (en) 1999-09-14 2006-09-05 Econnectix, Llc Network distributed tracking wire transfer protocol
US6578089B1 (en) * 1999-04-19 2003-06-10 Emcon Emanation Control Ltd. Multi-computer access secure switching system
US7343622B1 (en) * 2000-04-27 2008-03-11 Raytheon Company Multi-level secure multi-processor computer architecture
US6718385B1 (en) 2000-05-19 2004-04-06 Galaxy Computer Services, Inc. System for controlling movement of information using an information diode between a source network and a destination network
US20080005275A1 (en) * 2000-06-02 2008-01-03 Econnectix, Llc Method and apparatus for managing location information in a network separate from the data to which the location information pertains
CA2310538A1 (en) * 2000-06-09 2001-12-09 Christopher Kirchmann Data line interrupter switch
US6986040B1 (en) * 2000-11-03 2006-01-10 Citrix Systems, Inc. System and method of exploiting the security of a secure communication channel to secure a non-secure communication channel
US7660902B2 (en) * 2000-11-20 2010-02-09 Rsa Security, Inc. Dynamic file access control and management
US7181017B1 (en) 2001-03-23 2007-02-20 David Felsher System and method for secure three-party communications
GB0117243D0 (en) * 2001-07-14 2001-09-05 Qinetiq Ltd Computer multiplexor
WO2004015576A1 (en) 2002-08-09 2004-02-19 Visto Corporation System and method for preventing access to data on a compromised remote device
US7475240B2 (en) * 2002-11-06 2009-01-06 Symantec Corporation System and method for add-on services, secondary authentication, authorization and/or secure communication for dialog based protocols and systems
US9818136B1 (en) 2003-02-05 2017-11-14 Steven M. Hoffberg System and method for determining contingent relevance
US20040162992A1 (en) * 2003-02-19 2004-08-19 Sami Vikash Krishna Internet privacy protection device
WO2004095797A1 (en) * 2003-04-24 2004-11-04 Koninklijke Philips Electronics N.V. Class-based content transfer between devices
US7660985B2 (en) * 2003-04-30 2010-02-09 At&T Corp. Program security through stack segregation
US7469417B2 (en) * 2003-06-17 2008-12-23 Electronic Data Systems Corporation Infrastructure method and system for authenticated dynamic security domain boundary extension
US8001082B1 (en) 2004-10-28 2011-08-16 Good Technology, Inc. System and method of data security in synchronizing data with a wireless device
FR2881595B1 (fr) * 2005-01-28 2007-10-12 Thales Sa Systeme securise d'interconnexion monodirectionnelle
US8874477B2 (en) 2005-10-04 2014-10-28 Steven Mark Hoffberg Multifactorial optimization system and method
US8250151B2 (en) * 2005-10-12 2012-08-21 Bloomberg Finance L.P. System and method for providing secure data transmission
US7675867B1 (en) 2006-04-19 2010-03-09 Owl Computing Technologies, Inc. One-way data transfer system with built-in data verification mechanism
US20080077801A1 (en) * 2006-09-25 2008-03-27 Nokia Corporation Protecting interfaces on processor architectures
FR2906953B1 (fr) * 2006-10-06 2008-12-05 Thales Sa Systeme securise pour transferer des donnees entre deux equipements.
FR2913155B1 (fr) * 2007-02-26 2009-04-24 Sagem Defense Securite Dispositif de connexion selective permettant la connexion d'au moins un peripherique a un ordinateur cible et systeme de controle selectif comportant un tel dispositif
US8068415B2 (en) 2007-04-18 2011-11-29 Owl Computing Technologies, Inc. Secure one-way data transfer using communication interface circuitry
US7941526B1 (en) 2007-04-19 2011-05-10 Owl Computing Technologies, Inc. Transmission of syslog messages over a one-way data link
US8139581B1 (en) 2007-04-19 2012-03-20 Owl Computing Technologies, Inc. Concurrent data transfer involving two or more transport layer protocols over a single one-way data link
US8352450B1 (en) 2007-04-19 2013-01-08 Owl Computing Technologies, Inc. Database update through a one-way data link
US8024788B2 (en) * 2007-05-31 2011-09-20 The Boeing Company Method and apparatus for reliable, high speed data transfers in a high assurance multiple level secure environment
US7941828B2 (en) * 2007-08-24 2011-05-10 The Boeing Company Method and apparatus for simultaneous viewing of two isolated data sources
US20090271858A1 (en) * 2008-04-25 2009-10-29 Lockheed Martin Corporation Method For Connecting Unclassified And Classified Information Systems
US8352729B2 (en) * 2008-07-29 2013-01-08 International Business Machines Corporation Secure application routing
US8082576B2 (en) 2008-09-12 2011-12-20 At&T Mobility Ii Llc Network-agnostic content management
US9996567B2 (en) 2014-05-30 2018-06-12 Georgetown University Process and framework for facilitating data sharing using a distributed hypergraph
US11226945B2 (en) 2008-11-14 2022-01-18 Georgetown University Process and framework for facilitating information sharing using a distributed hypergraph
US8250358B2 (en) * 2009-04-01 2012-08-21 Raytheon Company Data diode system
US9305189B2 (en) 2009-04-14 2016-04-05 Owl Computing Technologies, Inc. Ruggedized, compact and integrated one-way controlled interface to enforce confidentiality of a secure enclave
US9521120B2 (en) * 2009-04-23 2016-12-13 General Electric Technology Gmbh Method for securely transmitting control data from a secure network
US8068504B2 (en) * 2009-05-18 2011-11-29 Tresys Technology, Llc One-way router
US20110066851A1 (en) 2009-09-14 2011-03-17 International Business Machines Corporation Secure Route Discovery Node and Policing Mechanism
US8429735B2 (en) 2010-01-26 2013-04-23 Frampton E. Ellis Method of using one or more secure private networks to actively configure the hardware of a computer or microchip
US8732453B2 (en) 2010-07-19 2014-05-20 Owl Computing Technologies, Inc. Secure acknowledgment device for one-way data transfer system
US9288142B2 (en) 2011-01-07 2016-03-15 Bae Systems Plc Router and system for interconnecting networks having differing levels of security classification
FR2982055B1 (fr) * 2011-10-31 2013-12-27 Thales Sa Procede de transmission de donnees d'un premier reseau vers une pluralite de reseaux destinataires de niveaux de securites heterogenes
US9858324B2 (en) 2013-06-13 2018-01-02 Northrop Grumman Systems Corporation Trusted download toolkit
DE102013225101A1 (de) * 2013-12-06 2015-07-02 Siemens Aktiengesellschaft System und Verfahren zur rückwirkungsfreien Kommunikation
US9575987B2 (en) 2014-06-23 2017-02-21 Owl Computing Technologies, Inc. System and method for providing assured database updates via a one-way data link
DE102015205370A1 (de) * 2015-03-25 2016-09-29 Robert Bosch Gmbh Verfahren und Vorrichtung zur Bereitstellung von Daten für eine Zustandsüberwachung einer Maschine
JP5836528B1 (ja) 2015-05-29 2015-12-24 三菱日立パワーシステムズ株式会社 通信接続装置及び通信システム
US9762595B2 (en) * 2015-08-11 2017-09-12 Raytheon Company Secure cross domain solution systems and methods
US10621198B1 (en) * 2015-12-30 2020-04-14 Palantir Technologies Inc. System and method for secure database replication
JP5930355B1 (ja) * 2016-01-08 2016-06-08 株式会社制御システム研究所 特定パケット中継機能付きデータダイオード装置及びその設定方法
WO2017119418A1 (ja) * 2016-01-08 2017-07-13 株式会社制御システム研究所 特定パケット中継機能付きデータダイオード装置及びその設定方法
US9967234B1 (en) 2016-04-27 2018-05-08 The United States Of America, As Represented By The Secretary Of The Navy Miniaturized real time pseudo-cross domain data communication system with air gapped full motion video device and method
US10740348B2 (en) 2016-06-06 2020-08-11 Georgetown University Application programming interface and hypergraph transfer protocol supporting a global hypergraph approach to reducing complexity for accelerated multi-disciplinary scientific discovery
JP2018063563A (ja) * 2016-10-12 2018-04-19 Jns株式会社 コンピュータ装置及びコンピュータシステム
US11003880B1 (en) 2020-08-05 2021-05-11 Georgetown University Method and system for contact tracing
US11539756B2 (en) * 2020-10-23 2022-12-27 BlackBear (Taiwan) Industrial Networking Security Ltd. Switch device for one-way transmission

Family Cites Families (17)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS61114629A (ja) * 1984-11-09 1986-06-02 Dainichi Nippon Cables Ltd 共通バス型伝送系のドライバ離脱回路
US4799153A (en) * 1984-12-14 1989-01-17 Telenet Communications Corporation Method and apparatus for enhancing security of communications in a packet-switched data communications system
US4713753A (en) * 1985-02-21 1987-12-15 Honeywell Inc. Secure data processing system architecture with format control
US4888801A (en) * 1988-05-02 1989-12-19 Motorola, Inc. Hierarchical key management system
US5023907A (en) * 1988-09-30 1991-06-11 Apollo Computer, Inc. Network license server
US5191611A (en) * 1989-04-03 1993-03-02 Lang Gerald S Method and apparatus for protecting material on storage media and for transferring material on storage media to various recipients
US5142565A (en) * 1989-06-14 1992-08-25 Ian Ruddle Controller for managing data communication with a host computer for the purpose of user verification by voice processing
JPH05134957A (ja) * 1990-10-10 1993-06-01 Fuji Xerox Co Ltd データ管理システム
US5272754A (en) * 1991-03-28 1993-12-21 Secure Computing Corporation Secure computer interface
US5276735A (en) * 1992-04-17 1994-01-04 Secure Computing Corporation Data enclave and trusted path system
US5596718A (en) * 1992-07-10 1997-01-21 Secure Computing Corporation Secure computer network using trusted path subsystem which encrypts/decrypts and communicates with user through local workstation user I/O devices without utilizing workstation processor
US5369707A (en) * 1993-01-27 1994-11-29 Tecsec Incorporated Secure network method and apparatus
US5387899A (en) * 1993-07-29 1995-02-07 At&T Corp. Alarm system with monitoring circuit for detecting a cut or short in a pair of wires
US5416842A (en) * 1994-06-10 1995-05-16 Sun Microsystems, Inc. Method and apparatus for key-management scheme for use with internet protocols at site firewalls
JP2886093B2 (ja) * 1994-07-28 1999-04-26 株式会社日立製作所 障害処理方法および情報処理システム
US5623601A (en) * 1994-11-18 1997-04-22 Milkway Networks Corporation Apparatus and method for providing a secure gateway for communication and data exchanges between networks
US5805674A (en) * 1995-01-26 1998-09-08 Anderson, Jr.; Victor C. Security arrangement and method for controlling access to a protected system

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2021536641A (ja) * 2018-09-05 2021-12-27 ロンメラク イーラブス ゲゼルシャフト ミット ベシュレンクテル ハフツング 少なくとも1台の製造機械をデータ保護下で接続するための装置
JP7192101B2 (ja) 2018-09-05 2022-12-19 ロンメラク イーラブス ゲゼルシャフト ミット ベシュレンクテル ハフツング 少なくとも1台の製造機械をデータ保護下で接続するための装置

Also Published As

Publication number Publication date
US6108787A (en) 2000-08-22
DE69636116T2 (de) 2006-12-21
DE69636116D1 (de) 2006-06-14
EP0818007A4 (en) 2001-06-13
WO1996030840A1 (en) 1996-10-03
EP0818007B1 (en) 2006-05-10
EP0818007A1 (en) 1998-01-14
JPH11502976A (ja) 1999-03-09

Similar Documents

Publication Publication Date Title
JP3691519B2 (ja) 異なった機密保護レベルのネットワークを相互に連絡させる方法及び手段
US11188652B2 (en) Access management and credential protection
US10678913B2 (en) Apparatus and method for enhancing security of data on a host computing device and a peripheral device
EP1952253B1 (en) System and method for providing secure data transmission
JP4315696B2 (ja) ホスト端末エミュレーションプログラム、中継用プログラムおよびホスト端末エミュレーション方法
EP1654642B1 (en) Methods and apparatus for verifying context participants in a context management system in a networked environment
US20120185563A1 (en) Network system, virtual private connection forming method, static nat forming device, reverse proxy server and virtual connection control device
MXPA04010156A (es) Provision de entrada segura a un sistema con un ambiente de ejecucion de alta seguridad.
WO2014100640A1 (en) Verification of password using a keyboard with a secure password entry mode
JP2003140759A (ja) 高信頼性コンピューティングプラットフォーム
CN112073380A (zh) 一种基于双处理器kvm切换与密码隔离的安全计算机架构
KR20090018125A (ko) 신뢰되지 않는 기계에 기밀 정보를 입력하기 위한 컴퓨터 구현 방법
US20030208597A1 (en) Diagnosability enhancements for multi-level secure operating environments
AU691102C (en) Method and means for interconnecting different security level networks
CA2217012C (en) Method and means for interconnecting different security level networks
AU691102B2 (en) Method and means for interconnecting different security level networks
Cisco System Configuration
EP1196851A1 (en) Arrangement and method to improve information security
JP6911723B2 (ja) ネットワーク監視装置、ネットワーク監視方法及びネットワーク監視プログラム
US11586722B2 (en) Securely managing authentication information for automated incident responses
KR20130032590A (ko) 가상화를 이용한 다중망 연계장치 및 방법
KR20010087098A (ko) 통합 서버 관리 시스템 및 관리 방법
KR100640106B1 (ko) 네트워크 가드 시스템
WO2019215442A1 (en) Secure data storage, exchange and processing system
US20040098626A1 (en) Login method

Legal Events

Date Code Title Description
A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20040928

A601 Written request for extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A601

Effective date: 20041227

A602 Written permission of extension of time

Free format text: JAPANESE INTERMEDIATE CODE: A602

Effective date: 20050214

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20050328

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20050531

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20050616

R150 Certificate of patent or registration of utility model

Free format text: JAPANESE INTERMEDIATE CODE: R150

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090624

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20090624

Year of fee payment: 4

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20100624

Year of fee payment: 5

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110624

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20110624

Year of fee payment: 6

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120624

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20120624

Year of fee payment: 7

FPAY Renewal fee payment (event date is renewal date of database)

Free format text: PAYMENT UNTIL: 20130624

Year of fee payment: 8

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

EXPY Cancellation because of completion of term