JP3742969B2 - サーバー情報処理システムのセキュリティー強化方法 - Google Patents
サーバー情報処理システムのセキュリティー強化方法 Download PDFInfo
- Publication number
- JP3742969B2 JP3742969B2 JP2001114622A JP2001114622A JP3742969B2 JP 3742969 B2 JP3742969 B2 JP 3742969B2 JP 2001114622 A JP2001114622 A JP 2001114622A JP 2001114622 A JP2001114622 A JP 2001114622A JP 3742969 B2 JP3742969 B2 JP 3742969B2
- Authority
- JP
- Japan
- Prior art keywords
- access
- access control
- control means
- information processing
- file
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Storage Device Security (AREA)
Description
【0001】
【発明の属する技術分野】
この発明は、アクセス制御リスト(Access Control List = ACL)を用いたアクセス制御技術と、グラフ解析に基づくセキュリティーレベル設定(Security Level Assignment = SLA)アルゴリズムによって設定される階層的セキュリティーレベルを用いる階層アクセス制御技術とを併用したサーバー情報処理システムのセキュリティー強化方法に関するものである。
【0002】
【従来の技術】
コンピューターと通信ネットワークの結合を基盤とする情報化社会の進展に伴い、サーバーを中核とする情報処理システムに対するセキュリティー機能の強化とその普及の重要性が高まっている。サーバー情報処理システムのセキュリティー機能は、故意的行為か偶発的行為かを問わず、サーバー情報処理システムにおける情報(データ、ファイル、ディレクトリー、など)の機密漏洩や改竄を防止する機能であり、サーバー情報処理システムのセキュリティー強化手段は、それが普及する上でも既存の情報処理システムにも適用できることが重要である。
【0003】
従来からこのセキュリティー対策として、情報へのアクセス権を適正に制限するアクセス制御技術が研究開発されている。また情報へのアクセスは、ユーザーやプログラムのようなアクセス動作を起こす主体(Subject)と、その主体のアクセスの対象となるデータ、ファイル、ディレクトリーのような客体(Object)との係わりであり、これらの主体と客体は総じてエンティティーと称されている。
【0004】
アクセス制御の方式には、エンティティーの全てにセキュリティーレベルを割り当てこのセキュリティーレベルに対応したアクセスが実行される強制アクセス制御と、エンティティーがアクセスを許可するためのアクセス権を保持しそのアクセス権の存在によりアクセスが制御される任意アクセス制御がある。
【0005】
強制アクセス制御として、階層的セキュリティーレベルを用いる階層アクセス制御、そしてグラフ解析に基づくセキュリティーレベル設定(Security Level Assignment = SLA)アルゴリズムによって設定される階層的セキュリティーレベルを用いる階層アクセス制御(本願では「SLA階層アクセス制御」と略す)が従来から知られており、任意アクセス制御として、アクセス制御リスト(Access Control List = ACL)を用いたアクセス制御(本願では「ACLアクセス制御」と略す)が知られている。
【0006】
ACLアクセス制御は、各客体(ファイル)のそれぞれについて、その客体にアクセスできる主体(ユーザー)とそのアクセス権限を特定するものである。したがって、ACLアクセス制御はファイル単位の細かなアクセス制御指定が可能である反面、アクセス権の設定量はファイル数に比例して増加するため、アクセス権の設定作業は容易ではない。
【0007】
また、ACLアクセス制御は現在多用されている既存のコンピューターのオペレーティングシステム(OS)にも採用されており、例えばUNIX(登録商標)系のオペレーションシステム(以下「UNIX系システム」と略す)には通常、ACLアクセス制御機能が標準的に備わっている。
【0008】
ACLアクセス制御は情報の機密保持機能面からの評価が高いが、情報処理システムにACLアクセス制御を実装するためには各エンティティーに個々にアクセス権を設定しなければならず、その設定は基本的にサーバーを設置し運営するシステム管理者が、ユーザー間の関係を把握して手動で行う必要がある。そのため情報処理システムが大規模になるに従い、ユーザー間の関係が複雑となってシステム管理者が考慮しなければならない内容が増大することから、各エンティティーにアクセス権を設定するために要する時間が増加し、アクセス権の設定ミスが生ずる可能性も高くなる。
【0009】
このような実態から、ACLアクセス制御をサーバー情報処理システムに実装する際のシステム管理者の負担を軽減するために、アクセス権設定支援システムが考えられおり、例えばUNIX系システムでは、当初から持つファイルに対して、UNIX系システムの設計者が勧める標準的なアクセス権が自動的に設定されるようになっており、その限りにおいてシステム管理者が改めて各ファイルにアクセス権を設定する作業の必要はない。
【0010】
しかしこのようなACLアクセス制御のアクセス権設定支援システムが備わっている場合であっても、システム管理者が後で追加したファイルやプログラム群、あるいはユーザーが作成したファイル群に対して、そのアクセス権設定支援システムが自動的に適用されるものではない。またUNIX系システムが当初から持っているファイルのアクセス権を変更した場合は、その部分がシステムの弱点となる可能性があり、システム管理者は、そのような変更に対して、プログラムとユーザーの間の関係を調べ上げて十分に検討しなければならないという問題がある。またアクセスの主体となるユーザーの区分は3区分で、ファイル所有者本人、同所有者と同グループに属するユーザー、同所有者とは異なるグループに属するユーザーの3区分でしか分けることができない。したがって、複数のプロジェクトグループが単一のサーバーを利用する運営において、あるグループに対しては情報の読み出し(read)と情報の書き込み(write)の双方を許可し、別のグループに対しては情報の読み出しのみを許可したいと考える場合でも、グループ別にそのアクセス権を変更する運営をACL制御で実現することはできない。
【0011】
さらにACLアクセス制御手段を備えた従来の情報処理システムには、セキュリティーレベルの高い権限の強いユーザーが、セキュリティーレベルの低いユーザーの所有するファイルに対し読み出しと書き込みの両権限を有するものがあるが、この強い権限が悪用された場合に、権限の強い人物によってファイルの改竄を行うことが可能となり、サーバー情報処理システムの内部からのハッキングや誤操作により、システムに大きな損傷が生ずる恐れもある。例えばUNIX系システムにおいてセキュリティー上の危険性が高いと考えられる作業の一つに、ルートユーザー(Root User)の業務がある。UNIX系システムにおいて、ルートユーザーは最大権限者であるが、実務の内容によっては過大なものとなり、その過大な権限の上でシステムの誤操作が生じた場合には、サーバー情報処理システムに致命的な損傷を与える恐れがあり、その予防手段が求められる。
【0012】
一方、SLA階層アクセス制御を含む階層アクセス制御は、情報の流れ(Information Flow)が一方向的であることが大きな特徴で、このためセキュリティーレベルの上下関係で情報の流れの有無が明確に判定できる利点がある。そして階層アクセス制御の概念を導入したセキュリティーモデルとして、Bell and LaPadulaモデル(以下「BLPモデル」と略す)が知られている。なおセキュリティーモデルは、機密情報の管理、保護、配布に関する規則や行動規範を形式的に定義したものである。
【0013】
図1は、BLPモデルの性質を図式化して示したものである。BLP モデルは、幾つかのアクセス制御の規定に基づいて設計されており、具体的には、階層的なセキュリティーレベルが存在する中で、上位セキュリティーレベルの情報に対しては情報の書き込みのみが許可され、下位セキュリティーレベルの情報に対しては情報の読み出しのみが許可され、同位セキュリティーレベル間においては、情報の書き込みと読み出しが共に許可される。すなわち例えば、ユーザー(主体)11がファイル(客体)10を読み出すためには、ユーザー11のセキュリティーレベルがファイル10のセキュリティーレベルよりも上位でなければならず、ユーザー12(客体)がファイル10に書き込むためには、ユーザー12のセキュリティーレベルがファイル10のセキュリティーレベルよりも下位でなければならない。したがって、所望のファイルを読み出すことができるユーザーは、そのファイルのセキュリティーレベルに対し上位セキュリティーレベルのユーザーに限定され、下位セキュリティーレベルの主体が上位セキュリティーレベルのファイルを読み出すことはできないので、通常生じ易い下位セキュリティーレベルのユーザーを通じた情報漏洩は防止される。このように情報の流れの一方向性というBLPモデルの特徴によって、上位セキュリティーレベルの情報の機密性が確保される。また上位セキュリティーレベルの主体が下位セキュリティーレベルの客体に書き込みすることができないので、上位セキュリティーレベルの主体によって下位セキュリティーレベルの客体が改竄されることを防止できる。
【0014】
【発明が解決しようとする課題】
この発明は、サーバー情報処理システムのセキュリティー機能における上記のような現状と問題点を改善するもので、ACLアクセス制御手段が既に実装されそれに基づくアクセス権が設定されて稼動しているサーバー情報処理システムにも適用可能で、そのACLアクセス制御の特質を活かしながら新たなアクセス権設定の柔軟性を高め、アクセス権に関して新たに区分される複数のユーザーグループが従来の一つのサーバー情報処理システムを利用するような運用形態においても、当初設定されていたセキュリティーレベル区分から新たなセキュリティーレベルへの変更割付をも可能にしようとするものである。
【0015】
同時にこの発明は、サーバーにアカウントを有するユーザー、殊に強力なアクセス権を有するルートユーザーによるサーバー情報処理システムの内部からのハッキングや誤操作によって、サーバー情報処理システムが大きなダメージを受けることを防止しようとするものである。
【0016】
【課題を解決するための手段】
上記の目的を達するために、この発明のサーバー情報処理システムのセキュリティー強化方法は、アクセス制御リストを用いるACLアクセス制御手段が既に実装されているサーバー情報処理システムに、グラフ解析に基づくセキュリティーレベル設定アルゴリズムによって設定される階層的セキュリティーレベルを用いるSLA階層アクセス制御手段を実装し、先ず前記ACLアクセス制御手段において、主体エンティティーからの客体エンティティーへのアクセス要求を受けてそのアクセス可否の判別を行いその判別結果に基づいて客体エンティティーへのアクセスを許可し、次いで前記SLA階層アクセス制御手段において、前記主体エンティティーからのアクセス要求に対するアクセス可否の判別を行い、その判別結果に基づいて客体エンティティーへのアクセス続行を許可するものである。
【0017】
【発明の実施の形態】
この発明の実施形態の一つは、アクセス制御リストを用いるACLアクセス制御手段が既に実装されているサーバー情報処理システムに、グラフ解析に基づくセキュリティーレベル設定アルゴリズムによって設定されるSLA階層アクセス制御手段を実装し、先ず前記ACLアクセス制御手段において、主体エンティティーからの客体エンティティーへのアクセス要求を受けてそのアクセス可否の判別を行いその判別結果に基づいて客体エンティティーへのアクセスを許可すると共に、その間、各客体のファイルが持つタイムスタンプ情報を監視してそのタイムスタンプ情報の変化によって前記客体エンティティーへのアクセスを検知し、このアクセス検知に次いで、前記SLA階層アクセス制御手段において、前記主体エンティティーからのアクセス要求のアクセス可否の判別を行いその判別結果に基づいて客体エンティティーへのアクセス続行を許可するサーバー情報処理システムのセキュリティー強化方法である。
【0018】
この発明の他の実施形態は、アクセス制御リストを用いるACLアクセス制御手段が既に実装されているサーバー情報処理システムに、グラフ解析に基づくセキュリティーレベル設定アルゴリズムによって設定される階層的セキュリティーレベルを用いるSLA階層アクセス制御手段を実装し、先ず前記ACLアクセス制御手段において、主体エンティティーからの客体エンティティーへのアクセス要求を受けてそのアクセス可否の判別を行いその判別結果に基づいて客体エンティティーへのアクセスを許可すると共に、各客体エンティティーのファイルサイズを監視するクォータプログラムによって前記客体エンティティーへのアクセスを検知し、このアクセス検知に次いで、前記SLA階層アクセス制御手段において、前記主体エンティティーからのアクセス要求のアクセス可否の判別を行いその判別結果に基づいて客体エンティティーへのアクセス続行を許可するサーバー情報処理システムのセキュリティー強化方法である。
【0019】
【実施例】
以下、この発明の実施例を図面を参考に説明する。SLA階層アクセス制御はACLアクセス制御と共存し得るもので、図2はこの発明に係るサーバー情報処理システムのセキュリティー強化方法の一例を説明するためのブロック図である。このサーバー情報処理システムは、現在多用されているUNIX系システムのような、アクセス制御リストを用いるACLアクセス制御手段23が既に実装されている情報処理システムに、グラフ解析に基づくセキュリティーレベル設定アルゴリズムによって設定される階層的セキュリティーレベルを用いるSLA階層アクセス制御手段24を付加実装した情報処理システムで、20はアクセスの客体となるファイル、21はアクセスの主体となるユーザーである。
【0020】
同システムで情報処理が行われる場合、次の順序でファイル20へのアクセスが実行される。
ステップA1:ユーザー21からファイル20へのアクセス要求が発生する。
ステップA2:ACLアクセス制御手段23がステップA1のアクセス要求を受けて動作しそのアクセス可否の判断を行う。そしてシステム管理者がACLに基づいて予め設定したアクセス条件に適合しない場合そのアクセス要求はこの時点で中断され、適合したアクセス要求についてはファイル20へのファイルアクセスを進行させる。
ステップA3:ステップA2でACLアクセス制御手段23がアクセス要求をチェックしている間、ACLアクセス制御手段23が、各ファイル20が持つタイムスタンプ20aを常に監視し、そのタイムスタンプ20aの内容に変化が生じた場合、前記ファイルアクセスが試みられたと判断する。タイムスタンプ20aは、アクセス要求の種類が情報の読み出しあるいは書き込みのいずれであっても書き換えられるので、タイムスタンプ20aの情報変化(情報の書き換え)を感知することにより、ファイルへアクセスが試みられたと判断できる。なお、タイムスタンプ情報の取得にはi-node情報を用いるもので、図3に示すように、i-node情報のラストアクセス(last access)部分に示される値が、ファイルアクセスの前後において変化を起こす特徴がある。
ステップA4:タイムスタンプ情報の変化によってファイル20へのアクセスが検知された後、次いでSLA階層アクセス制御手段24において前記ユーザーからのアクセス要求のアクセス可否の判別を行う。そしてシステム管理者が予め設定したセキュリティーレベルに適合しないアクセス要求と判断された場合は、直ちに前記ファイルアクセスの進行処理に割り込んでファイル20へのアクセスを中断させ、上記セキュリティーレベルに適合するアクセス要求と判断された場合は、ファイル20に対する処理が続行される。
【0021】
このようにこの発明の方法では、ユーザーからのアクセス要求が、ACLアクセス制御のアクセス適合条件とSLA階層アクセス制御のセキュリティーレベルの適合条件とを共に満たすAND条件で判別され、いずれか一方の条件でも適合しなければそのアクセス要求が受け付けられないので、サーバー情報処理システムのセキュリティー機能は強化され、またACLアクセス制御手段が既に実装されている既存の情報処理システムにも適用できるので、セキュリティー対策を普及させる上でも効果的である。
【0022】
なお、ファイルのタイムスタンプの監視によってファイルアクセスを検知する図2に示した方法では、ACLアクセス制御と並行してファイルアクセス検知が実行されるため、ファイルの監視に十分短い間隔を設定しない場合、ファイルアクセスの中断処理が遅れて間に合わなくなる事態も考えられる。
【0023】
図4はこの発明に係るサーバー情報処理システムのセキュリティー強化方法の他の実施例を示すもので、図2の実施例におけるタイムスタンプの監視によるファイルアクセス検知に代え、ファイルサイズを監視してアクセス制御を行うクォータプログラムを、システム管理者の設定した階層レベル情報を監視するように拡張してファイルアクセスを検知するようにしている。図4に示すサーバー情報処理システムの基本は、図2に示したところと同様で、UNIX系システムのような、アクセス制御リストを用いるACLアクセス制御手段43が既に実装されている情報処理システムに、グラフ解析に基づくセキュリティーレベル設定アルゴリズムによって設定される階層的セキュリティーレベルを用いるSLA階層アクセス制御手段44を付加実装した情報処理システムで、40はアクセスの客体となるファイル、40aはデフォルトアクセス制御手段、41はアクセスの主体となるユーザー、45はクォータプログラムである。
【0024】
このシステムで情報処理が行われる場合、次の順序でファイル40へのアクセスが実行される。
ステップB1:ユーザー41からファイル40へのアクセス要求が発生する。
ステップB2:ACLアクセス制御手段43がステップB1のアクセス要求を受けて動作しそのアクセス可否の判断を行う。そしてシステム管理者がACLに基づいて予め設定したアクセス条件に適合しないアクセス要求はこの時点で中断され、適合したアクセス要求については続いてクォータプログラム45でチェックされる。
ステップB3:ステップB2でACLアクセス制御手段43をパスしたアクセス要求は、クォータプログラム45を介してSLA階層アクセス制御手段44に送られ、前記ユーザーからのアクセス要求のアクセス可否の判別を行う。そこで前記ユーザーからのアクセス要求が、システム管理者が予め設定したセキュリティーレベルに適合しないと判断された場合は、直ちに前記アクセス要求のファイルアクセスを中断させる。
ステップB4:そして前記ユーザーからのアクセス要求が、システム管理者が予め設定した上記セキュリティーレベルに適合すると判断された場合は、ファイル40に対する処理が続行される。
【0025】
次にこの発明のサーバー情報処理システムのセキュリティー強化方法をUNIX系システムに適用する場合について見る。この発明の実施のためにSLA階層アクセス制御手段をUNIX系システムに実装する方式は、大別して、独自のプログラムによる割り込み処理方式、またはUNIX系システムのオリジナルソースプログラムの拡張方式となる。現在提供されている幾つかのUNIX系システムでは、ソースプログラムも合わせて提供されているため、前記のクォータプログラム方式を選択する方が、UNIX系システム自身の機能として無理なく実装可能と考えられる。ソースプログラムが提供されていないUNIX系システムに関しては、タイムスタンプ方式を用いることになるが、タイムスタンプ方式ではUNIX系システムのアクセス制御と並行してファイルアクセス監視を行うため十分短い間隔でのアクセス監視が必要と考えられるほか、動作の確実性に関してもクォータプログラム方式に比して不利と考えられる。なお、図10は上記タイムスタンプ方式とクォータプログラム方式の特徴を比較して示したものであり、図11は前記 ACL アクセス制御と SLA 階層アクセス制御の特徴を比較して示したものである。
【0026】
次にこの発明におけるSLA階層アクセス制御の適用範囲について見る。このSLA階層アクセス制御手段(プログラム)は、UNIX系システムの最大権限者であるルートユーザーを除く範囲で動作する。ルートユーザーはSLA階層アクセス制御を開始および停止させることのできる唯一のユーザーであり、SLA階層アクセス制御の動作を開始した場合でも、SLA階層アクセス制御がルートユーザーに対して適用されることはない。また、ルートユーザー以外のユーザーは、このSLA階層アクセス制御を独自に解除したり中断することはできない。UNIX系システムでは原則として、ルートユーザーによって開始されたサービスは、他のユーザーが中断することができないように設計されている。図5は、ルートユーザーの位置付けを表すもので、UNIX系システムに存在するユーザーは、ルートユーザー510と、それ以外のユーザー511に区分に分かれ、ルートユーザー510以外のユーザー511は、さらに幾つかのセキュリティーレベルに区分される。なお、図5に見られるバックアップユーザー512は、階層アクセス制御を利用した場合に形成が可能となる特殊なユーザーである。
【0027】
次にこの発明の実施によって解決できる問題や著しい実施効果について説明する。問題解決の一つは、下位権限に位置する情報(ファイル)の改竄を防止できることである。UNIX系システムでは、セキュリティーレベルが上位にある権限の大きな人物は、セキュリティーレベルが下位の人物が所有するファイルに対し読み出しと書き込みの両方の権限を有する。このような条件下おいては、この強い権限が悪用された場合、書類の改竄を容易に行うことが可能となる。現に実社会において、大きな権限を有する人物がファイルの改竄や破棄によって、不正を隠蔽する構造が見られることがある。これに対し、この発明で主要な構成をなすSLA階層アクセス制御の特徴として、情報(ファイル)の流れが一方向性であることから、下位ユーザーから上位ユーザーに送られるファイルに対し上位ユーザーが読み出し・書き込みの操作が可能であるが、下位ユーザーが所有するオリジナルファイルに対しては、読み出しのみが可能で、書き込みは不可であるので、大きな権限を有する上位ユーザーによる情報の改竄を防止することができる。すなわち図6に示すように、セキュリティーレベル:1に設定された下位ユーザー62がオリジナルファイル60を作成しそのコピーファイル601を複製しコピーファイル602をセキュリティーレベル:2の上位ユーザー61に送付することができるが、セキュリティーレベル:2の上位ユーザー61は、送られてきたコピーファイル602に対しては読み出し・書き込み双方の権限を持つが、セキュリティーレベル:1の下位ユーザー62が所有するオリジナルファイル60に書き込みをして編集することは許されておらず、したがってオリジナルファイル60を改竄することはできない。
【0028】
また、この発明による実用上の大きな効果の一つは、図5,7,8,9に示すように、サーバー情報処理システムのユーザーの中に準システム管理者の権限を形成できることである。UNIX系システムにおいて、危険性が高いと考えられる作業の一つにルートユーザーの権限を用いる業務があるが、業務の内容によっては、ルートユーザーの権限が過剰なものになる場合がある。例えばファイルのバックアップ業務は単純な作業であるが、全てのファイルを読み出す必要があるためルートユーザーの権限を必要とする。しかしルートユーザーはどのような作業も可能であるという性質上、この状態でのルートユーザーとしての誤操作はサーバー情報処理システムに致命的な損傷を与える恐れが大きい。このような危険に対し、階層アクセス制御を併用するこの発明では、サーバー情報処理システムのユーザーの中に準システム管理者の権限を形成することができ、これによってルートユーザー強大な権限にからむシステムの不測のダメージを予防することができる。
【0029】
例えば大学において、サーバーの運営に学生が関与する情況を想定した場合、サーバーのルートユーザーの権限は、基本的にはその情報処理システムを熟知した教員によって管理されるが、管理業務にボランティアとして参画する学生にも、バックアップ業務を依頼するために、ルートユーザーの権限が与えられる。このような場合に、学生の知識・経験の不足からくる誤操作によって、ファイルに大きな損傷が生ずる危険性が考えられる。これに対しこの発明のセキュリティー強化方法によれば、情報の流れが一方向である階層アクセス制御を用いているので、最上位のセキュリティーレベルを設定されたユーザーは全ての下位ユーザーのファイルの読み出しのみが可能であり、準システム管理者あるいはバックアップ業務に支障のないバックアップユーザーとしての役割を持つユーザーが形成されることになる。そしてこの準システム管理者あるいはバックアップユーザーは、階層アクセス制御の特徴から、下位のセキュリティーレベルのファイルへの書き込みが許可されていないので、バックアップ作業中に誤操作によってファイルを損傷させる危険を防止することができる。なお図7,8,9は、上記の準システム管理者の形成構造と、この発明のサーバー情報処理システムのセキュリティー強化方法における機能を示している。
【0030】
さらにまた、ハッキング行為の察知・予防に関して見れば、上記のような準システム管理者を形成した場合、スイッチユーザー(Switch User)と呼ばれるルートユーザーへの移行を準システム管理者に限定させることで、ハッキング行為の発見を助けることができる。すなわち、侵入者は通常、ルートユーザーへ移行すると自分の侵入痕跡を消去する。この消去の対象となるのはUNIXシステムが自動的に作成するログファイルであり、ルートユーザーの場合はこのログファイルが編集可能となる。しかし、準システム管理者を経由しなければルートユーザーへ移行できないという原則を設定することによって、侵入者は一旦、ファイルの変更を一切行えない準システム管理者の権限を経由しなければならないことになる。このことは、侵入者が準システム管理者への移行に成功したとしても更にルートユーザーに移行するまでの時間が余分に必要となることを意味する。したがって、この時間を長くすることは、正規のシステム管理者が侵入者の存在を察知できる機会を増すことにつながり、ハッキング行為の予防に効果を奏するものである。
【0031】
次にこの発明のサーバー情報処理システムのセキュリティー強化方法を、コンピューターを活用した大学の授業に適用する例を説明する。UNIX系システムに用いられていた初期のACLでは、自分と同グループのユーザーであれば、それらのユーザーが所持するファイルは閲覧が許可されている。ユーザーがその許可設定に修正を加えることもできるが、大部分のユーザーは初期設定のまま利用を続ける。このような場合、過去の演習内容が参照されてしまう危険がある。すなわち、既に演習を終えた人物のファイルが閲覧または複写され、不正なレポートが作成され、正常な授業の障害になることが考えられる。このような情況に、この発明にかかるサーバー情報処理システムのセキュリティー強化方法を取り入れ、学年を単位としたセキュリティーレベルを設定することにより、下位レベルに設定された学年生は上位学年のファイルの閲覧ができなくなり、コンピューターを活用した授業の実を上げることができる。
【0032】
【発明の効果】
上記の実施例からも明らかなように、この発明のサーバー情報処理システムのセキュリティー強化方法によれば、従来から多用されているACLアクセス制御の特質を活かしながら新たなアクセス権設定の柔軟性を高めることができる。したがって当初設定されていたセキュリティーレベル区分から新たなセキュリティーレベル区分への変更も柔軟に可能になる。またこの発明によれば、サーバーにアカウントを有するユーザー、殊に強力なアクセス権を有するルートユーザーによるサーバー情報処理システムの内部からのハッキングや誤操作を防止して、サーバー情報処理システムセキュリティー機能を強化することができる。
【図面の簡単な説明】
【図1】 従来公知のBLPモデルの機能説明図。
【図2】 この発明の一実施例を示すサーバー情報処理システムのセキュリティー強化方法の説明図。
【図3】 同セキュリティー強化方法において用いるi-node情報の変化図。
【図4】 この発明の他の実施例を示すサーバー情報処理システムのセキュリティー強化方法の説明図。
【図5】 この発明のサーバー情報処理システムのセキュリティー強化方法におけるユーザーの構成図。
【図6】 この発明のサーバー情報処理システムのセキュリティー強化方法の機能説明図。
【図7】 この発明のサーバー情報処理システムのセキュリティー強化方法の機能説明図。
【図8】 この発明のサーバー情報処理システムのセキュリティー強化方法の機能説明図。
【図9】 この発明のサーバー情報処理システムのセキュリティー強化方法の機能説明図。
【図10】 この発明の実施例におけるタイムスタンプ方式とクォータプログラム方式の特徴比較図。
【図11】ACLアクセス制御とSLA階層アクセス制御の特徴比較図。
【符号の説明】
20 : ファイル(客体)
20a: タイムスタンプ
21 : ユーザー(主体)
23 : ACLアクセス制御手段
24 : SLA階層アクセス制御手段
40 : ファイル(客体)
41 : ユーザー(主体)
43 : ACLアクセス制御手段
44 : SLA階層アクセス制御手段
45 : クォータプログラム
510: ルートユーザー(システム管理者)
511: ルートユーザー以外のユーザー
512: バックアップユーザー(準システム管理者)
513: ユーザー
61 : オリジナルファイル
601: コピーファイル
602: コピーファイル
61 : 上位ユーザー
62 : 下位ユーザー
【発明の属する技術分野】
この発明は、アクセス制御リスト(Access Control List = ACL)を用いたアクセス制御技術と、グラフ解析に基づくセキュリティーレベル設定(Security Level Assignment = SLA)アルゴリズムによって設定される階層的セキュリティーレベルを用いる階層アクセス制御技術とを併用したサーバー情報処理システムのセキュリティー強化方法に関するものである。
【0002】
【従来の技術】
コンピューターと通信ネットワークの結合を基盤とする情報化社会の進展に伴い、サーバーを中核とする情報処理システムに対するセキュリティー機能の強化とその普及の重要性が高まっている。サーバー情報処理システムのセキュリティー機能は、故意的行為か偶発的行為かを問わず、サーバー情報処理システムにおける情報(データ、ファイル、ディレクトリー、など)の機密漏洩や改竄を防止する機能であり、サーバー情報処理システムのセキュリティー強化手段は、それが普及する上でも既存の情報処理システムにも適用できることが重要である。
【0003】
従来からこのセキュリティー対策として、情報へのアクセス権を適正に制限するアクセス制御技術が研究開発されている。また情報へのアクセスは、ユーザーやプログラムのようなアクセス動作を起こす主体(Subject)と、その主体のアクセスの対象となるデータ、ファイル、ディレクトリーのような客体(Object)との係わりであり、これらの主体と客体は総じてエンティティーと称されている。
【0004】
アクセス制御の方式には、エンティティーの全てにセキュリティーレベルを割り当てこのセキュリティーレベルに対応したアクセスが実行される強制アクセス制御と、エンティティーがアクセスを許可するためのアクセス権を保持しそのアクセス権の存在によりアクセスが制御される任意アクセス制御がある。
【0005】
強制アクセス制御として、階層的セキュリティーレベルを用いる階層アクセス制御、そしてグラフ解析に基づくセキュリティーレベル設定(Security Level Assignment = SLA)アルゴリズムによって設定される階層的セキュリティーレベルを用いる階層アクセス制御(本願では「SLA階層アクセス制御」と略す)が従来から知られており、任意アクセス制御として、アクセス制御リスト(Access Control List = ACL)を用いたアクセス制御(本願では「ACLアクセス制御」と略す)が知られている。
【0006】
ACLアクセス制御は、各客体(ファイル)のそれぞれについて、その客体にアクセスできる主体(ユーザー)とそのアクセス権限を特定するものである。したがって、ACLアクセス制御はファイル単位の細かなアクセス制御指定が可能である反面、アクセス権の設定量はファイル数に比例して増加するため、アクセス権の設定作業は容易ではない。
【0007】
また、ACLアクセス制御は現在多用されている既存のコンピューターのオペレーティングシステム(OS)にも採用されており、例えばUNIX(登録商標)系のオペレーションシステム(以下「UNIX系システム」と略す)には通常、ACLアクセス制御機能が標準的に備わっている。
【0008】
ACLアクセス制御は情報の機密保持機能面からの評価が高いが、情報処理システムにACLアクセス制御を実装するためには各エンティティーに個々にアクセス権を設定しなければならず、その設定は基本的にサーバーを設置し運営するシステム管理者が、ユーザー間の関係を把握して手動で行う必要がある。そのため情報処理システムが大規模になるに従い、ユーザー間の関係が複雑となってシステム管理者が考慮しなければならない内容が増大することから、各エンティティーにアクセス権を設定するために要する時間が増加し、アクセス権の設定ミスが生ずる可能性も高くなる。
【0009】
このような実態から、ACLアクセス制御をサーバー情報処理システムに実装する際のシステム管理者の負担を軽減するために、アクセス権設定支援システムが考えられおり、例えばUNIX系システムでは、当初から持つファイルに対して、UNIX系システムの設計者が勧める標準的なアクセス権が自動的に設定されるようになっており、その限りにおいてシステム管理者が改めて各ファイルにアクセス権を設定する作業の必要はない。
【0010】
しかしこのようなACLアクセス制御のアクセス権設定支援システムが備わっている場合であっても、システム管理者が後で追加したファイルやプログラム群、あるいはユーザーが作成したファイル群に対して、そのアクセス権設定支援システムが自動的に適用されるものではない。またUNIX系システムが当初から持っているファイルのアクセス権を変更した場合は、その部分がシステムの弱点となる可能性があり、システム管理者は、そのような変更に対して、プログラムとユーザーの間の関係を調べ上げて十分に検討しなければならないという問題がある。またアクセスの主体となるユーザーの区分は3区分で、ファイル所有者本人、同所有者と同グループに属するユーザー、同所有者とは異なるグループに属するユーザーの3区分でしか分けることができない。したがって、複数のプロジェクトグループが単一のサーバーを利用する運営において、あるグループに対しては情報の読み出し(read)と情報の書き込み(write)の双方を許可し、別のグループに対しては情報の読み出しのみを許可したいと考える場合でも、グループ別にそのアクセス権を変更する運営をACL制御で実現することはできない。
【0011】
さらにACLアクセス制御手段を備えた従来の情報処理システムには、セキュリティーレベルの高い権限の強いユーザーが、セキュリティーレベルの低いユーザーの所有するファイルに対し読み出しと書き込みの両権限を有するものがあるが、この強い権限が悪用された場合に、権限の強い人物によってファイルの改竄を行うことが可能となり、サーバー情報処理システムの内部からのハッキングや誤操作により、システムに大きな損傷が生ずる恐れもある。例えばUNIX系システムにおいてセキュリティー上の危険性が高いと考えられる作業の一つに、ルートユーザー(Root User)の業務がある。UNIX系システムにおいて、ルートユーザーは最大権限者であるが、実務の内容によっては過大なものとなり、その過大な権限の上でシステムの誤操作が生じた場合には、サーバー情報処理システムに致命的な損傷を与える恐れがあり、その予防手段が求められる。
【0012】
一方、SLA階層アクセス制御を含む階層アクセス制御は、情報の流れ(Information Flow)が一方向的であることが大きな特徴で、このためセキュリティーレベルの上下関係で情報の流れの有無が明確に判定できる利点がある。そして階層アクセス制御の概念を導入したセキュリティーモデルとして、Bell and LaPadulaモデル(以下「BLPモデル」と略す)が知られている。なおセキュリティーモデルは、機密情報の管理、保護、配布に関する規則や行動規範を形式的に定義したものである。
【0013】
図1は、BLPモデルの性質を図式化して示したものである。BLP モデルは、幾つかのアクセス制御の規定に基づいて設計されており、具体的には、階層的なセキュリティーレベルが存在する中で、上位セキュリティーレベルの情報に対しては情報の書き込みのみが許可され、下位セキュリティーレベルの情報に対しては情報の読み出しのみが許可され、同位セキュリティーレベル間においては、情報の書き込みと読み出しが共に許可される。すなわち例えば、ユーザー(主体)11がファイル(客体)10を読み出すためには、ユーザー11のセキュリティーレベルがファイル10のセキュリティーレベルよりも上位でなければならず、ユーザー12(客体)がファイル10に書き込むためには、ユーザー12のセキュリティーレベルがファイル10のセキュリティーレベルよりも下位でなければならない。したがって、所望のファイルを読み出すことができるユーザーは、そのファイルのセキュリティーレベルに対し上位セキュリティーレベルのユーザーに限定され、下位セキュリティーレベルの主体が上位セキュリティーレベルのファイルを読み出すことはできないので、通常生じ易い下位セキュリティーレベルのユーザーを通じた情報漏洩は防止される。このように情報の流れの一方向性というBLPモデルの特徴によって、上位セキュリティーレベルの情報の機密性が確保される。また上位セキュリティーレベルの主体が下位セキュリティーレベルの客体に書き込みすることができないので、上位セキュリティーレベルの主体によって下位セキュリティーレベルの客体が改竄されることを防止できる。
【0014】
【発明が解決しようとする課題】
この発明は、サーバー情報処理システムのセキュリティー機能における上記のような現状と問題点を改善するもので、ACLアクセス制御手段が既に実装されそれに基づくアクセス権が設定されて稼動しているサーバー情報処理システムにも適用可能で、そのACLアクセス制御の特質を活かしながら新たなアクセス権設定の柔軟性を高め、アクセス権に関して新たに区分される複数のユーザーグループが従来の一つのサーバー情報処理システムを利用するような運用形態においても、当初設定されていたセキュリティーレベル区分から新たなセキュリティーレベルへの変更割付をも可能にしようとするものである。
【0015】
同時にこの発明は、サーバーにアカウントを有するユーザー、殊に強力なアクセス権を有するルートユーザーによるサーバー情報処理システムの内部からのハッキングや誤操作によって、サーバー情報処理システムが大きなダメージを受けることを防止しようとするものである。
【0016】
【課題を解決するための手段】
上記の目的を達するために、この発明のサーバー情報処理システムのセキュリティー強化方法は、アクセス制御リストを用いるACLアクセス制御手段が既に実装されているサーバー情報処理システムに、グラフ解析に基づくセキュリティーレベル設定アルゴリズムによって設定される階層的セキュリティーレベルを用いるSLA階層アクセス制御手段を実装し、先ず前記ACLアクセス制御手段において、主体エンティティーからの客体エンティティーへのアクセス要求を受けてそのアクセス可否の判別を行いその判別結果に基づいて客体エンティティーへのアクセスを許可し、次いで前記SLA階層アクセス制御手段において、前記主体エンティティーからのアクセス要求に対するアクセス可否の判別を行い、その判別結果に基づいて客体エンティティーへのアクセス続行を許可するものである。
【0017】
【発明の実施の形態】
この発明の実施形態の一つは、アクセス制御リストを用いるACLアクセス制御手段が既に実装されているサーバー情報処理システムに、グラフ解析に基づくセキュリティーレベル設定アルゴリズムによって設定されるSLA階層アクセス制御手段を実装し、先ず前記ACLアクセス制御手段において、主体エンティティーからの客体エンティティーへのアクセス要求を受けてそのアクセス可否の判別を行いその判別結果に基づいて客体エンティティーへのアクセスを許可すると共に、その間、各客体のファイルが持つタイムスタンプ情報を監視してそのタイムスタンプ情報の変化によって前記客体エンティティーへのアクセスを検知し、このアクセス検知に次いで、前記SLA階層アクセス制御手段において、前記主体エンティティーからのアクセス要求のアクセス可否の判別を行いその判別結果に基づいて客体エンティティーへのアクセス続行を許可するサーバー情報処理システムのセキュリティー強化方法である。
【0018】
この発明の他の実施形態は、アクセス制御リストを用いるACLアクセス制御手段が既に実装されているサーバー情報処理システムに、グラフ解析に基づくセキュリティーレベル設定アルゴリズムによって設定される階層的セキュリティーレベルを用いるSLA階層アクセス制御手段を実装し、先ず前記ACLアクセス制御手段において、主体エンティティーからの客体エンティティーへのアクセス要求を受けてそのアクセス可否の判別を行いその判別結果に基づいて客体エンティティーへのアクセスを許可すると共に、各客体エンティティーのファイルサイズを監視するクォータプログラムによって前記客体エンティティーへのアクセスを検知し、このアクセス検知に次いで、前記SLA階層アクセス制御手段において、前記主体エンティティーからのアクセス要求のアクセス可否の判別を行いその判別結果に基づいて客体エンティティーへのアクセス続行を許可するサーバー情報処理システムのセキュリティー強化方法である。
【0019】
【実施例】
以下、この発明の実施例を図面を参考に説明する。SLA階層アクセス制御はACLアクセス制御と共存し得るもので、図2はこの発明に係るサーバー情報処理システムのセキュリティー強化方法の一例を説明するためのブロック図である。このサーバー情報処理システムは、現在多用されているUNIX系システムのような、アクセス制御リストを用いるACLアクセス制御手段23が既に実装されている情報処理システムに、グラフ解析に基づくセキュリティーレベル設定アルゴリズムによって設定される階層的セキュリティーレベルを用いるSLA階層アクセス制御手段24を付加実装した情報処理システムで、20はアクセスの客体となるファイル、21はアクセスの主体となるユーザーである。
【0020】
同システムで情報処理が行われる場合、次の順序でファイル20へのアクセスが実行される。
ステップA1:ユーザー21からファイル20へのアクセス要求が発生する。
ステップA2:ACLアクセス制御手段23がステップA1のアクセス要求を受けて動作しそのアクセス可否の判断を行う。そしてシステム管理者がACLに基づいて予め設定したアクセス条件に適合しない場合そのアクセス要求はこの時点で中断され、適合したアクセス要求についてはファイル20へのファイルアクセスを進行させる。
ステップA3:ステップA2でACLアクセス制御手段23がアクセス要求をチェックしている間、ACLアクセス制御手段23が、各ファイル20が持つタイムスタンプ20aを常に監視し、そのタイムスタンプ20aの内容に変化が生じた場合、前記ファイルアクセスが試みられたと判断する。タイムスタンプ20aは、アクセス要求の種類が情報の読み出しあるいは書き込みのいずれであっても書き換えられるので、タイムスタンプ20aの情報変化(情報の書き換え)を感知することにより、ファイルへアクセスが試みられたと判断できる。なお、タイムスタンプ情報の取得にはi-node情報を用いるもので、図3に示すように、i-node情報のラストアクセス(last access)部分に示される値が、ファイルアクセスの前後において変化を起こす特徴がある。
ステップA4:タイムスタンプ情報の変化によってファイル20へのアクセスが検知された後、次いでSLA階層アクセス制御手段24において前記ユーザーからのアクセス要求のアクセス可否の判別を行う。そしてシステム管理者が予め設定したセキュリティーレベルに適合しないアクセス要求と判断された場合は、直ちに前記ファイルアクセスの進行処理に割り込んでファイル20へのアクセスを中断させ、上記セキュリティーレベルに適合するアクセス要求と判断された場合は、ファイル20に対する処理が続行される。
【0021】
このようにこの発明の方法では、ユーザーからのアクセス要求が、ACLアクセス制御のアクセス適合条件とSLA階層アクセス制御のセキュリティーレベルの適合条件とを共に満たすAND条件で判別され、いずれか一方の条件でも適合しなければそのアクセス要求が受け付けられないので、サーバー情報処理システムのセキュリティー機能は強化され、またACLアクセス制御手段が既に実装されている既存の情報処理システムにも適用できるので、セキュリティー対策を普及させる上でも効果的である。
【0022】
なお、ファイルのタイムスタンプの監視によってファイルアクセスを検知する図2に示した方法では、ACLアクセス制御と並行してファイルアクセス検知が実行されるため、ファイルの監視に十分短い間隔を設定しない場合、ファイルアクセスの中断処理が遅れて間に合わなくなる事態も考えられる。
【0023】
図4はこの発明に係るサーバー情報処理システムのセキュリティー強化方法の他の実施例を示すもので、図2の実施例におけるタイムスタンプの監視によるファイルアクセス検知に代え、ファイルサイズを監視してアクセス制御を行うクォータプログラムを、システム管理者の設定した階層レベル情報を監視するように拡張してファイルアクセスを検知するようにしている。図4に示すサーバー情報処理システムの基本は、図2に示したところと同様で、UNIX系システムのような、アクセス制御リストを用いるACLアクセス制御手段43が既に実装されている情報処理システムに、グラフ解析に基づくセキュリティーレベル設定アルゴリズムによって設定される階層的セキュリティーレベルを用いるSLA階層アクセス制御手段44を付加実装した情報処理システムで、40はアクセスの客体となるファイル、40aはデフォルトアクセス制御手段、41はアクセスの主体となるユーザー、45はクォータプログラムである。
【0024】
このシステムで情報処理が行われる場合、次の順序でファイル40へのアクセスが実行される。
ステップB1:ユーザー41からファイル40へのアクセス要求が発生する。
ステップB2:ACLアクセス制御手段43がステップB1のアクセス要求を受けて動作しそのアクセス可否の判断を行う。そしてシステム管理者がACLに基づいて予め設定したアクセス条件に適合しないアクセス要求はこの時点で中断され、適合したアクセス要求については続いてクォータプログラム45でチェックされる。
ステップB3:ステップB2でACLアクセス制御手段43をパスしたアクセス要求は、クォータプログラム45を介してSLA階層アクセス制御手段44に送られ、前記ユーザーからのアクセス要求のアクセス可否の判別を行う。そこで前記ユーザーからのアクセス要求が、システム管理者が予め設定したセキュリティーレベルに適合しないと判断された場合は、直ちに前記アクセス要求のファイルアクセスを中断させる。
ステップB4:そして前記ユーザーからのアクセス要求が、システム管理者が予め設定した上記セキュリティーレベルに適合すると判断された場合は、ファイル40に対する処理が続行される。
【0025】
次にこの発明のサーバー情報処理システムのセキュリティー強化方法をUNIX系システムに適用する場合について見る。この発明の実施のためにSLA階層アクセス制御手段をUNIX系システムに実装する方式は、大別して、独自のプログラムによる割り込み処理方式、またはUNIX系システムのオリジナルソースプログラムの拡張方式となる。現在提供されている幾つかのUNIX系システムでは、ソースプログラムも合わせて提供されているため、前記のクォータプログラム方式を選択する方が、UNIX系システム自身の機能として無理なく実装可能と考えられる。ソースプログラムが提供されていないUNIX系システムに関しては、タイムスタンプ方式を用いることになるが、タイムスタンプ方式ではUNIX系システムのアクセス制御と並行してファイルアクセス監視を行うため十分短い間隔でのアクセス監視が必要と考えられるほか、動作の確実性に関してもクォータプログラム方式に比して不利と考えられる。なお、図10は上記タイムスタンプ方式とクォータプログラム方式の特徴を比較して示したものであり、図11は前記 ACL アクセス制御と SLA 階層アクセス制御の特徴を比較して示したものである。
【0026】
次にこの発明におけるSLA階層アクセス制御の適用範囲について見る。このSLA階層アクセス制御手段(プログラム)は、UNIX系システムの最大権限者であるルートユーザーを除く範囲で動作する。ルートユーザーはSLA階層アクセス制御を開始および停止させることのできる唯一のユーザーであり、SLA階層アクセス制御の動作を開始した場合でも、SLA階層アクセス制御がルートユーザーに対して適用されることはない。また、ルートユーザー以外のユーザーは、このSLA階層アクセス制御を独自に解除したり中断することはできない。UNIX系システムでは原則として、ルートユーザーによって開始されたサービスは、他のユーザーが中断することができないように設計されている。図5は、ルートユーザーの位置付けを表すもので、UNIX系システムに存在するユーザーは、ルートユーザー510と、それ以外のユーザー511に区分に分かれ、ルートユーザー510以外のユーザー511は、さらに幾つかのセキュリティーレベルに区分される。なお、図5に見られるバックアップユーザー512は、階層アクセス制御を利用した場合に形成が可能となる特殊なユーザーである。
【0027】
次にこの発明の実施によって解決できる問題や著しい実施効果について説明する。問題解決の一つは、下位権限に位置する情報(ファイル)の改竄を防止できることである。UNIX系システムでは、セキュリティーレベルが上位にある権限の大きな人物は、セキュリティーレベルが下位の人物が所有するファイルに対し読み出しと書き込みの両方の権限を有する。このような条件下おいては、この強い権限が悪用された場合、書類の改竄を容易に行うことが可能となる。現に実社会において、大きな権限を有する人物がファイルの改竄や破棄によって、不正を隠蔽する構造が見られることがある。これに対し、この発明で主要な構成をなすSLA階層アクセス制御の特徴として、情報(ファイル)の流れが一方向性であることから、下位ユーザーから上位ユーザーに送られるファイルに対し上位ユーザーが読み出し・書き込みの操作が可能であるが、下位ユーザーが所有するオリジナルファイルに対しては、読み出しのみが可能で、書き込みは不可であるので、大きな権限を有する上位ユーザーによる情報の改竄を防止することができる。すなわち図6に示すように、セキュリティーレベル:1に設定された下位ユーザー62がオリジナルファイル60を作成しそのコピーファイル601を複製しコピーファイル602をセキュリティーレベル:2の上位ユーザー61に送付することができるが、セキュリティーレベル:2の上位ユーザー61は、送られてきたコピーファイル602に対しては読み出し・書き込み双方の権限を持つが、セキュリティーレベル:1の下位ユーザー62が所有するオリジナルファイル60に書き込みをして編集することは許されておらず、したがってオリジナルファイル60を改竄することはできない。
【0028】
また、この発明による実用上の大きな効果の一つは、図5,7,8,9に示すように、サーバー情報処理システムのユーザーの中に準システム管理者の権限を形成できることである。UNIX系システムにおいて、危険性が高いと考えられる作業の一つにルートユーザーの権限を用いる業務があるが、業務の内容によっては、ルートユーザーの権限が過剰なものになる場合がある。例えばファイルのバックアップ業務は単純な作業であるが、全てのファイルを読み出す必要があるためルートユーザーの権限を必要とする。しかしルートユーザーはどのような作業も可能であるという性質上、この状態でのルートユーザーとしての誤操作はサーバー情報処理システムに致命的な損傷を与える恐れが大きい。このような危険に対し、階層アクセス制御を併用するこの発明では、サーバー情報処理システムのユーザーの中に準システム管理者の権限を形成することができ、これによってルートユーザー強大な権限にからむシステムの不測のダメージを予防することができる。
【0029】
例えば大学において、サーバーの運営に学生が関与する情況を想定した場合、サーバーのルートユーザーの権限は、基本的にはその情報処理システムを熟知した教員によって管理されるが、管理業務にボランティアとして参画する学生にも、バックアップ業務を依頼するために、ルートユーザーの権限が与えられる。このような場合に、学生の知識・経験の不足からくる誤操作によって、ファイルに大きな損傷が生ずる危険性が考えられる。これに対しこの発明のセキュリティー強化方法によれば、情報の流れが一方向である階層アクセス制御を用いているので、最上位のセキュリティーレベルを設定されたユーザーは全ての下位ユーザーのファイルの読み出しのみが可能であり、準システム管理者あるいはバックアップ業務に支障のないバックアップユーザーとしての役割を持つユーザーが形成されることになる。そしてこの準システム管理者あるいはバックアップユーザーは、階層アクセス制御の特徴から、下位のセキュリティーレベルのファイルへの書き込みが許可されていないので、バックアップ作業中に誤操作によってファイルを損傷させる危険を防止することができる。なお図7,8,9は、上記の準システム管理者の形成構造と、この発明のサーバー情報処理システムのセキュリティー強化方法における機能を示している。
【0030】
さらにまた、ハッキング行為の察知・予防に関して見れば、上記のような準システム管理者を形成した場合、スイッチユーザー(Switch User)と呼ばれるルートユーザーへの移行を準システム管理者に限定させることで、ハッキング行為の発見を助けることができる。すなわち、侵入者は通常、ルートユーザーへ移行すると自分の侵入痕跡を消去する。この消去の対象となるのはUNIXシステムが自動的に作成するログファイルであり、ルートユーザーの場合はこのログファイルが編集可能となる。しかし、準システム管理者を経由しなければルートユーザーへ移行できないという原則を設定することによって、侵入者は一旦、ファイルの変更を一切行えない準システム管理者の権限を経由しなければならないことになる。このことは、侵入者が準システム管理者への移行に成功したとしても更にルートユーザーに移行するまでの時間が余分に必要となることを意味する。したがって、この時間を長くすることは、正規のシステム管理者が侵入者の存在を察知できる機会を増すことにつながり、ハッキング行為の予防に効果を奏するものである。
【0031】
次にこの発明のサーバー情報処理システムのセキュリティー強化方法を、コンピューターを活用した大学の授業に適用する例を説明する。UNIX系システムに用いられていた初期のACLでは、自分と同グループのユーザーであれば、それらのユーザーが所持するファイルは閲覧が許可されている。ユーザーがその許可設定に修正を加えることもできるが、大部分のユーザーは初期設定のまま利用を続ける。このような場合、過去の演習内容が参照されてしまう危険がある。すなわち、既に演習を終えた人物のファイルが閲覧または複写され、不正なレポートが作成され、正常な授業の障害になることが考えられる。このような情況に、この発明にかかるサーバー情報処理システムのセキュリティー強化方法を取り入れ、学年を単位としたセキュリティーレベルを設定することにより、下位レベルに設定された学年生は上位学年のファイルの閲覧ができなくなり、コンピューターを活用した授業の実を上げることができる。
【0032】
【発明の効果】
上記の実施例からも明らかなように、この発明のサーバー情報処理システムのセキュリティー強化方法によれば、従来から多用されているACLアクセス制御の特質を活かしながら新たなアクセス権設定の柔軟性を高めることができる。したがって当初設定されていたセキュリティーレベル区分から新たなセキュリティーレベル区分への変更も柔軟に可能になる。またこの発明によれば、サーバーにアカウントを有するユーザー、殊に強力なアクセス権を有するルートユーザーによるサーバー情報処理システムの内部からのハッキングや誤操作を防止して、サーバー情報処理システムセキュリティー機能を強化することができる。
【図面の簡単な説明】
【図1】 従来公知のBLPモデルの機能説明図。
【図2】 この発明の一実施例を示すサーバー情報処理システムのセキュリティー強化方法の説明図。
【図3】 同セキュリティー強化方法において用いるi-node情報の変化図。
【図4】 この発明の他の実施例を示すサーバー情報処理システムのセキュリティー強化方法の説明図。
【図5】 この発明のサーバー情報処理システムのセキュリティー強化方法におけるユーザーの構成図。
【図6】 この発明のサーバー情報処理システムのセキュリティー強化方法の機能説明図。
【図7】 この発明のサーバー情報処理システムのセキュリティー強化方法の機能説明図。
【図8】 この発明のサーバー情報処理システムのセキュリティー強化方法の機能説明図。
【図9】 この発明のサーバー情報処理システムのセキュリティー強化方法の機能説明図。
【図10】 この発明の実施例におけるタイムスタンプ方式とクォータプログラム方式の特徴比較図。
【図11】ACLアクセス制御とSLA階層アクセス制御の特徴比較図。
【符号の説明】
20 : ファイル(客体)
20a: タイムスタンプ
21 : ユーザー(主体)
23 : ACLアクセス制御手段
24 : SLA階層アクセス制御手段
40 : ファイル(客体)
41 : ユーザー(主体)
43 : ACLアクセス制御手段
44 : SLA階層アクセス制御手段
45 : クォータプログラム
510: ルートユーザー(システム管理者)
511: ルートユーザー以外のユーザー
512: バックアップユーザー(準システム管理者)
513: ユーザー
61 : オリジナルファイル
601: コピーファイル
602: コピーファイル
61 : 上位ユーザー
62 : 下位ユーザー
Claims (2)
- アクセス制御リストを用いる ACL アクセス制御手段が既に実装されているサーバー情報処理システムに、グラフ解析に基づくセキュリティーレベル設定アルゴリズムによって設定される階層的セキュリティーレベルを用いる SLA 階層アクセス制御手段を実装し、先ず前記 ACL アクセス制御手段において、主体エンティティーからの客体エンティティーへのアクセス要求を受けてそのアクセス可否の判別を行いその判別結果に基づいて客体エンティティーへのアクセスを許可すると共に、各客体エンティティーのファイルが持つタイムスタンプ情報を監視してそのタイムスタンプ情報の変化によって前記客体エンティティーへのアクセスを検知し、次いで前記 SLA 階層アクセス制御手段において、前記主体エンティティーからのアクセス要求のアクセス可否の判別を行いその判別結果に基づいて客体エンティティーへのアクセス続行を許可することを特徴とするサーバー情報処理システムのセキュリティー強化方法。
- アクセス制御リストを用いる ACL アクセス制御手段が既に実装されているサーバー情報処理システムに、グラフ解析に基づくセキュリティーレベル設定アルゴリズムによって設定される階層的セキュリティーレベルを用いる SLA 階層アクセス制御手段を実装し、先ず前記 ACL アクセス制御手段において、主体エンティティーからの客体エンティティーへのアクセス要求を受けてそのアクセス可否の判別を行いその判別結果に基づいて客体エンティティーへのアクセスを許可すると共に、各客体エンティティーのファイルサイズを監視するクォータプログラムによって前記客体エンティティーへのアクセスを検知し、次いで前記 SLA 階層アクセス制御手段において、前記主体エンティティーからのアクセス要求のアクセス可否の判別を行いその判別結果に基づいて客体エンティティーへのアクセス続行を許可することを特徴とするサーバー情報処理システムのセキュリティー強化方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001114622A JP3742969B2 (ja) | 2001-03-07 | 2001-03-07 | サーバー情報処理システムのセキュリティー強化方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2001114622A JP3742969B2 (ja) | 2001-03-07 | 2001-03-07 | サーバー情報処理システムのセキュリティー強化方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2002268945A JP2002268945A (ja) | 2002-09-20 |
| JP3742969B2 true JP3742969B2 (ja) | 2006-02-08 |
Family
ID=18965661
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2001114622A Expired - Fee Related JP3742969B2 (ja) | 2001-03-07 | 2001-03-07 | サーバー情報処理システムのセキュリティー強化方法 |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP3742969B2 (ja) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4628073B2 (ja) * | 2004-11-30 | 2011-02-09 | 株式会社エヌ・ティ・ティ・ドコモ | アクセス制御装置及びアクセス制御方法 |
-
2001
- 2001-03-07 JP JP2001114622A patent/JP3742969B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2002268945A (ja) | 2002-09-20 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP4667360B2 (ja) | ディジタル資産の管理された配布 | |
| McIlroy et al. | Multilevel security in the UNIX tradition | |
| US9917863B2 (en) | Method and system for implementing mandatory file access control in native discretionary access control environments | |
| US7290279B2 (en) | Access control method using token having security attributes in computer system | |
| EP1946238B1 (en) | Operating system independent data management | |
| JP4667361B2 (ja) | 適応的透過暗号化 | |
| JP4177957B2 (ja) | アクセス制御システム | |
| JP2008204468A (ja) | アクセス制御システム | |
| JP2002528815A (ja) | 分散コンピュータネットワーク内でのセキュリティの維持 | |
| JP2003345654A (ja) | データ保護システム | |
| US20060064387A1 (en) | Systems and methods for software licensing | |
| JP3742969B2 (ja) | サーバー情報処理システムのセキュリティー強化方法 | |
| JP4444604B2 (ja) | アクセス制御装置ならびにそのプログラム | |
| JP2004302995A (ja) | ファイルアクセス制限プログラム | |
| KR100939106B1 (ko) | 이동식 저장장치에 저장된 데이터의 임의복제 방지 방법 및이에 적합한 시스템 | |
| KR20080057918A (ko) | Unix/Linux 시스템의 보안역할 상태전이 모델을이용한 불법권한이동 차단 및 강제적 접근통제 방법 | |
| JP2002304231A (ja) | コンピュータシステム | |
| Shyamasundar et al. | An experimental flow secure file system | |
| Wee | LAFS: A logging and auditing file system | |
| Shan et al. | An OS Security Protection Model for Defeating Attacks from Network | |
| KR102222008B1 (ko) | 데이터 위변조 방지를 위한 접근제어 기술 기반 측정장비 원격 감시 시스템(tms) | |
| KR20040027682A (ko) | 변형된 파일드라이버를 이용한 사용권한 컨트롤을 통해 바이러스, 해킹, 파일의 무단사용을 예방할 수 있는 방법 | |
| JPH01220055A (ja) | 情報処理プログラムの管理方式 | |
| Jerbi et al. | An access control reference architecture | |
| JPH07182287A (ja) | アクセス制御方式 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20050223 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20050308 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20050509 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20050712 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20050906 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20051011 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20051102 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| LAPS | Cancellation because of no payment of annual fees |