JP6183889B2 - コンピュータシステムの構成要素間の相互作用を制御するためのセキュリティシステムおよびセキュリティ方法 - Google Patents

コンピュータシステムの構成要素間の相互作用を制御するためのセキュリティシステムおよびセキュリティ方法 Download PDF

Info

Publication number
JP6183889B2
JP6183889B2 JP2013090839A JP2013090839A JP6183889B2 JP 6183889 B2 JP6183889 B2 JP 6183889B2 JP 2013090839 A JP2013090839 A JP 2013090839A JP 2013090839 A JP2013090839 A JP 2013090839A JP 6183889 B2 JP6183889 B2 JP 6183889B2
Authority
JP
Japan
Prior art keywords
component
interaction
security level
assigned
security
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP2013090839A
Other languages
English (en)
Other versions
JP2013242860A5 (ja
JP2013242860A (ja
Inventor
クリストファー・ジェームズ・スライフィルド
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
GE Aviation Systems Ltd
Original Assignee
GE Aviation Systems Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by GE Aviation Systems Ltd filed Critical GE Aviation Systems Ltd
Publication of JP2013242860A publication Critical patent/JP2013242860A/ja
Publication of JP2013242860A5 publication Critical patent/JP2013242860A5/ja
Application granted granted Critical
Publication of JP6183889B2 publication Critical patent/JP6183889B2/ja
Expired - Fee Related legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6281Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database at program execution time, where the protection is within the operating system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/57Certifying or maintaining trusted computer platforms, e.g. secure boots or power-downs, version controls, system software checks, secure updates or assessing vulnerabilities
    • G06F21/577Assessing vulnerabilities and evaluating computer system security
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/604Tools and structures for managing or administering access control systems
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/629Protecting access to data via a platform, e.g. using keys or access control rules to features or functions of an application
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources
    • H04L63/105Multiple levels of security

Description

本発明は、コンピュータシステムに関し、詳細には、コンピュータシステム内のアクセス制御に関する。
情報技術が普及し続けるのに伴って、増え続けるデータ量はデジタル形態であり、より安全であると同時に、よりアクセス可能なシステムを配備することによって、すべてのアクセスポイントにおけるデータの保護を必要とする、そのようなデータの保全は、ほとんどの企業が今日直面する主な課題である。営利会社は、その組織のコンピュータ資産の他のサーバとネットワークで接続されたサーバ上でそのウェブサイトをホストする。多くの営利組織および非営利(例えば、政府、軍隊、保健、および教育)組織は、ネットワークを介して通信し、秘密データを記憶および処理するシステムとやはりネットワーク接続されたワークステーションからそのウェブにアクセスする。移動体デバイスおよび関連アプリケーションの幅広い採用は、そのようなデバイスが銀行取引および消費者取引に関してますます使用されるのに伴って、さらなる範囲を加えた。単一のクライアントまたはサーバのサブバージョンは、攻撃者に組織全体の情報リソースおよびコンピューティングリソースに対する即座の接続性を提供し、それによって、機密情報を危険にさらし、潜在的に組織の経営に大損害を与える。データ攻撃の数は過去5年間で3倍を上回り、セキュリティと増大するアクセス需要との間の均衡を保つ必要をさらに重要な優先事項にした。
セキュリティモデルを構築する際の一般的な要素は、機密性、完全性、アクセス性、およびデータ保証である。データ機密性は認可を受けたアクセスだけに開示を制限することによって保証されるのに対して、データ完全性は、意図的であれ、偶発的であれ、データが修正から保護されることを保証する。データアクセス性はデータに対するアクセスの容易さを意味するのに対して、データ保証は特定の実施が事前に確立されたセキュリティ目標に関してある程度の信頼を提供することを意味し、例えば、機密性は防衛適用業務において最重要であり、機密性とデータ完全性は両方とも医療管理適用業務および金融適用業務において等しく適切である。
マルチレベルセキュリティモデルは、データの秘密性に従った機密指定(classification)手法を使用する。異なるセキュリティ機密指定を有するデータは、すべて単一の領域内に存在することができ、その領域内のすべてのユーザがその領域内のすべてのデータにアクセスするためのセキュリティクリアランスを有するとは限らないにもかかわらず、そのデータを受信、処理、記憶、および普及することが可能である。最もよく知られているマルチレベルセキュリティモデルは、システムが主体と対象物とを備えるBell−LaPadulaおよびBibaであり、読取り動作はデータが対象物から主体に流れることに関し、書込み動作はデータが主体から対象物に流れることに関する。Bell−LaPadulaモデルはデータ機密性だけに対処し、それぞれの主体および対象物は、データの保護レベルを示す、機密指定またはクリアランスからなるセキュリティレベル(すなわち、秘密、機密扱いなど)を有する。Bell−LaPadulaモデルは、2つの特性を実施する。すなわち:
(i)単純なセキュリティ特性:所与のセキュリティレベルの主体は、上位セキュリティレベルの対象物を読み取ってはならない(上位読取り禁止(no read up))、および
(ii)*−特性:所与のセキュリティレベルの主体は、下位セキュリティレベルの対象物に書き込んではならない(下位書込み禁止(no write down))、である。
Bibaモデルは、完全性だけに対処し、機密性を完全に無視し、Bell−LaPadulaの特性とは逆の2つの特性をやはり実施する。すなわち:
(i)単純な完全性特性:所与のレベルの完全性の主体は、下位完全性レベルの対象物を読み取ってはならない(下位読取り禁止(no read down))、
(ii)*完全性特性:所与の完全性レベルの主体は、上位完全性レベルのいずれかの対象物に書き込んではならない(上位書込み禁止(no write up))、である。
Bell−LaPadulaセキュリティモデルとBibaセキュリティモデルは両方とも、複数のセキュリティレベルのデータフローに対処することを試みたが、これらは両方とも、限定的であり、柔軟性がないことで知られている。これらのモデルは両方とも、一方向のデータフローだけを効果的に可能にし、Bell−LaPadulaは(セキュリティレベルに対して)下位読取りと上位書込みだけを許可し、それによって、データ機密性を保証し、Bibaは上位読取りと下位書込みだけを許可し、それによって、データ完全性を保証する。しかし、いずれのモデルも、データの完全性と機密性の両方を保証しない。厳密に実施された場合、データが一方向だけに進むシステムを実施するのは実際的には不可能であるため、これらのモデルは両方とも固有の問題を有する。
実際の状況で、これら両方のモデルを実施するために、禁じられた方向に限定された帯域幅のフローを許可する「ワークアラウンド(workaround)」が考案された。しかし、これは、実際には、機密指定解除(declassification)の形態は、少なくともある程度、システムのセキュリティを常に危険にさらすことになる。加えて、そのような機密指定解除は、通常、リスクを最小化するために、主体もしくは対象物のセキュリティレベルまたは完全性レベルを増大させることを伴い、これは、最終的に、大部分の主体/対象物にトップレベルのセキュリティまたは完全性を持たせることになり、結果として、セキュリティレベルまたは完全性レベルのパーティションがないシステムを事実上もたらす。システムの最も秘密性の高い構成要素およびデータのセキュリティを保証するために、これらの構成要素の周囲に巨大な防衛機構を構築することを伴うチャイニーズウォール手法が使用されているが、この場合も、これは、結果的に、柔軟性のないシステムをもたらし、経済的なリソース使用法ではない。
システムまたはデータのセキュリティが害されないような形で、コンピュータシステムの構成要素間の相互作用を制御する様式を提供することが本発明の目的である。
システムまたはデータのセキュリティが害されず、かつ双方向のデータフローを許可するように、異なるセキュリティレベルで存在する構成要素間の相互作用を制御するための様式を提供することが本発明のさらなる目的である。
本発明は、コンピュータシステムの1つまたは複数の構成要素間の相互作用を制御する方法にあり、このシステムは、互いと相互作用して、活動に従事するように適合された複数の構成要素を含み、この方法は、固定セキュリティレベルをシステムのそれぞれの構成要素に割り当てるステップと、システムの構成要素間のすべての現在アクティブな相互作用および新しく要求された相互作用を監視するステップであって、新しく要求された相互作用が、宛先構成要素と相互作用するための、発信元構成要素による要求を含む、監視するステップとを含む。まず、構成要素に割り当てられたセキュリティレベルが査定されて、発信元構成要素および宛先構成要素のセキュリティレベル間の差が1つのレベルを上回る場合、要求された相互作用は禁じられる。これらの構成要素のセキュリティレベル間に1つのレベルの差が存在する場合、両方の構成要素の相互作用が査定される。構成要素が、それ自体のセキュリティレベルよりもより低く割り当てられたセキュリティレベルを有するいずれかの構成要素との相互作用に従事しており、要求された相互作用が、より高く割り当てられたセキュリティレベルを有する発信元構成要素もしくは宛先構成要素に関わっているか、またはより高く割り当てられたセキュリティレベルを有するいずれかの構成要素との相互作用に現在従事している場合、要求された相互作用は禁じられる。しかし、構成要素がそれ自体のセキュリティレベルよりもより高く割り当てられたセキュリティレベルを有するいずれかの構成要素との相互作用に従事しており、要求された相互作用がより低く割り当てられたセキュリティレベルを有する発信元構成要素もしくは宛先構成要素に関わっているか、またはより低く割り当てられたセキュリティレベルを有するいずれかの構成要素との相互作用に現在従事している場合、要求された相互作用は禁じられる。さらに、構成要素がその構成要素に割り当てられたセキュリティレベルよりもより高いセキュリティレベルを有するデータを含み、要求された相互作用がより低く割り当てられたセキュリティレベルを有する発信元構成要素もしくは宛先構成要素に関わっているか、または要求された相互作用がより低く割り当てられたセキュリティレベルを有するいずれかの構成要素との相互作用に現在従事している場合、要求された相互作用は禁じられる。しかし、構成要素が構成要素に割り当てられたセキュリティレベルよりもより低いセキュリティレベルを有するデータを含み、要求された相互作用がより高く割り当てられたセキュリティレベルを有する発信元構成要素もしくは宛先構成要素に関わっているか、または要求された相互作用がより高く割り当てられたセキュリティレベルを有するいずれかの構成要素との相互作用に現在従事している場合、要求された相互作用は禁じられる。すべてのその他の場合、要求された相互作用は許可される。
システムの構成要素間のすべての現在アクティブな相互作用および新しく要求された相互作用を監視する際に、要求された相互作用の発信元構成要素および宛先構成要素のそれぞれに関する状態値が判断され、これらの状態値は、要求された相互作用の発信元構成要素および宛先構成要素との相互作用に現在従事している構成要素の割り当てられたセキュリティレベルに依存している。要求された相互作用の発信元構成要素および宛先構成要素の状態値が比較され、宛先構成要素および発信元構成要素の状態値間に1つを超えるセキュリティレベルの差が存在するとき、状態ブロック条件が課される。状態ブロック条件が存在する間、要求された相互作用は禁じられる。
相互作用の間に構成要素が従事できるそれぞれの活動に優先レベルが割り当てられる。状態ブロック条件が課せられているとき、状態ブロック条件を引き起こした発信元構成要素および宛先構成要素の既存の相互作用は分離されて、分離された相互作用に関わる活動に関連する優先レベルが発信元構成要素および宛先構成要素の間で要求された相互作用に関わる活動に関連する優先レベルと比較される。分離された相互作用の活動の優先レベルが発信元構成要素および宛先構成要素の間で要求された相互作用の活動の優先レベルよりもより低いとき、状態ブロック条件は解除され、要求された相互作用は許可される。そうでない場合、状態ブロック条件は維持され、発信元構成要素および宛先構成要素の間で要求された相互作用は禁じられた状態に留まる。
本発明は、さらに、上述の方法のすべてのステップを実行するように適合されたコンピュータプログラムコード手段を備えたコンピュータプログラムと、コンピュータ可読媒体上に埋め込まれたコンピュータプログラムとにある。
別の態様では、本発明は、コンピュータシステムの1つまたは複数の構成要素間の相互作用を制御するセキュリティシステムにあり、このコンピュータシステムは、互いと相互作用して、活動に従事するように適合された複数の構成要素を含み、このシステムは、上記のコンピュータプログラムを含むセキュリティモデル実施機構SMEMを含む。
次に、添付の図を参照して、単なる例として、本発明の実施形態が説明される。
本発明を実施できるコンピュータシステムのシステムブロック図である。 本発明によって実施されるセキュリティモデルの単純な実用的な実装形態の例を示す図である。 本発明によって実施されるセキュリティモデルの単純な実用的な実装形態の例を示す図である。 本発明によって実施されるセキュリティモデルの単純な実用的な実装形態の例を示す図である。 新しく要求されたトランザクションの2つの構成要素の既存の相互作用を例示するブロック図である。 構成要素の状態、および状態ブロックが存在するかどうかがどのように判断されるかを例示する流れ図である。 本明細書の方程式7を例示する図である。
本出願で使用される場合、「構成要素」という用語は、ハードウェア、ハードウェアとソフトウェアの組合せ、ソフトウェア、または実行中のソフトウェアのいずれかのコンピュータ関連エンティティを指す。例えば、構成要素は、プロセッサ上で実行しているプロセス、プロセッサ、オブジェクト、実行可能物、実行のスレッド、プログラム、および/またはコンピュータであってよいが、これらであると限定されない。1つもしくは複数の構成要素はプロセス内および/または実行のスレッド内に存在することが可能であり、構成要素は、1つのコンピュータ上に配置されてよく、かつ/または2つ以上のコンピュータ間で分散されてもよい。本発明はソフトウェア構成要素の観点から説明されるが、本発明はこれに限定されない点を理解されたい。
図1を参照すると、セキュリティモデル実施機構SMEM(130)を含むオペレーティングシステム120の制御下で実行している複数の構成要素110を含むコンピュータシステム100が示される。セキュリティモデル実施機構SMEM(130)は、コンピュータシステム100のすべての構成要素110間のすべての相互作用140を制御し、オペレーティングシステム120と同じ権利を有するコンピュータオペレーティングシステム120のカーネルレベルで実行し、その結果、すべての相互作用を監視および制御することができる。相互作用140は、1つもしくは複数のプロセスまたはアクセスデータを実行するために相互作用するための、ある構成要素110から別の構成要素に対する要求であり、相互作用の間に構成要素110間で送信されているデータを含むことが可能である。セキュリティモデル実施機構SMEM130は、システムの構成要素110間のすべての要求された相互作用を評価して、その評価に基づいて、構成要素110間に要求された相互作用を許可または拒否するセキュリティモデル150を実施するように構成される。セキュリティモデル実施機構SMEM130は、システム100のいずれかの構成要素110がアクセスまたは回避することができない安全な環境で実施される。
セキュリティモデル150は、用いられるアーキテクチャに応じて、多くの形で実施可能であることを理解されたい。例えば、SMEM130は、すべての相互作用を監視および制御する権利を有する独立した安全なアプリケーションであり得る。
システム100のそれぞれの構成要素110には、その機能性および/または記憶されたデータの相対的な重要性もしくは秘密性に基づいて、セキュリティレベルq1...qnが割り当てられ、この場合、q1は最高のセキュリティレベルを示し、qnは最低のセキュリティレベルを示す。本発明のオペレーティングシステム120は、それぞれの構成要素110がシステム100の1つもしくは複数の他の構成要素と相互作用して、1つもしくは複数の活動またはプロセス160を同時に実行することができるマルチタスク環境を動作させる。本発明を説明するために、発信元構成要素112は、相互作用140を要求している構成要素であり、宛先構成要素114は、相互作用が望まれる相手の構成要素である。本発明のセキュリティモデル150によれば、2つの構成要素110間の相互作用が許容できるかどうかに関してSMEM130によって行われる評価は、構成要素の割り当てられたセキュリティレベルq1...qnに基づいてだけでなく、2つの構成要素110のそれぞれによって実行されている現在の活動160にも依存して行われる。
SMEM130によって実施される本発明のセキュリティモデル150の規則の簡素化された要約は、以下のとおりである。
1.構成要素110がより低いセキュリティレベルの構成要素110との相互作用140に従事している場合、その構成要素110は、自らよりもより高いセキュリティレベルのものであるか、もしくは自らよりもより高いセキュリティレベルの構成要素との相互作用に現在従事している構成要素110との新しい相互作用140を開始すること、またはその構成要素110からの新しい相互作用要求を受け入れることはできない。
2.構成要素110がより高いセキュリティレベルの構成要素110との相互作用140に従事している場合、その構成要素110は、自らよりもより低いセキュリティレベルのものであるか、もしくは自らよりもより低いセキュリティレベルの構成要素との相互作用140に現在従事している構成要素110との相互作用140を開始すること、またはその構成要素110からの相互作用140要求を受け入れることはできない。
3.構成要素110がその構成要素110よりもより高いセキュリティレベルのデータを含む場合、その構成要素110は、自らよりもより低いセキュリティレベルのものであるか、もしくは自らよりもより低いセキュリティレベルの構成要素110との相互作用140に現在従事している構成要素110との相互作用140を開始すること、またはその構成要素110からの相互作用要求を受け入れることはできない。
4.構成要素110がその構成要素110よりもより低いセキュリティレベルのデータを含む場合、その構成要素110は、自らよりもより高いセキュリティレベルのものであるか、もしくは自らよりもより高いセキュリティレベルの構成要素110との相互作用140に現在従事している構成要素との相互作用140を開始すること、またはその構成要素110からの相互作用要求を受け入れることはできない。
図2から4は、本発明のセキュリティモデル150の規則の実用的な実装形態の3つの異なる単純な例を示す。レベル1からレベル4(L1〜L4)に及ぶセキュリティレベルqがそれぞれの構成要素110に割り当てられ、レベル1は最も安全であることを示し、レベル4は最も安全でないことを示す。図2を参照すると、レベル2のセキュリティレベルを有する構成要素112は、その中に秘密性の高いデータを記憶していることにより、レベル1のセキュリティレベルが割り当てられた構成要素116からのデータにアクセスしているのに対して、やはりレベル2のセキュリティレベルを有する構成要素114は、それらの両方ともレベル3のセキュリティレベルが割り当てられている構成要素117および118と相互作用している。この状況で、構成要素112はより高いセキュリティレベルを有する構成要素116と相互作用しており、構成要素114はより低いセキュリティレベルの構成要素117および118との相互作用に現在関わっているため、構成要素112および114の間の相互作用は禁じられる。構成要素114がより低いセキュリティレベルの構成要素117および118との相互作用に現在従事している結果として、構成要素114と構成要素116の間の相互作用は禁じられる。構成要素117および118は、同じセキュリティレベルを有するため、より高いセキュリティレベルの構成要素114とのその相互作用に依存せずに、互いと相互作用することができるが、より低いセキュリティレベルのいずれかの構成要素110との通信は禁じられることになる。構成要素112が構成要素116内のデータに現在アクセスしている結果として、構成要素117および118と構成要素112との通信は禁じられる。
図3を参照すると、構成要素112および114は両方とも、構成要素116内の秘密性の高いデータにアクセスしている。構成要素112および114は同じセキュリティレベルを有するため、構成要素112および114は両方とも構成要素116との構成要素に関わっているにもかかわらず、データを共有するための構成要素112および114の間の相互作用は許可される。しかし、構成要素112および114が構成要素116内のデータに現在アクセスしている結果として、構成要素112および114のいずれか、ならびに構成要素117または118のいずれかに関わる相互作用トランザクションは禁じられることになる。構成要素117および118は同じセキュリティレベルを有し、いずれもより高いセキュリティレベルまたはより低いセキュリティレベルの構成要素110とのいずれの相互作用にも関わっていないため、構成要素117および118の間の相互作用は許可される。
図4に示されたシナリオでは、構成要素112は、構成要素117との相互作用に関わっているのに対して、構成要素114は、構成要素118とのトランザクションに関わっている。本発明のモデル150の規則を適用すると、より低いセキュリティレベルの構成要素117および118との相互作用に関わっている結果として、構成要素112および114は両方とも構成要素116内のデータにアクセスすることを禁じられるが、互いとの相互作用を要求すること、または互いからの相互作用要求を受け入れることは可能である。構成要素112は、構成要素118との通信を開始すること、または構成要素118から要求を受け入れることも可能であるのに対して、構成要素114は、構成要素117との相互作用を要求すること、または構成要素117から相互作用に関する要求を受け入れることが可能である。構成要素117および118は同じセキュリティレベルを有するため、構成要素117および118は、互いと通信することも可能であるが、より低いセキュリティレベルの構成要素110とのいずれの通信も禁じられることになる。
SMEM130によって実施される本発明のセキュリティモデル150が次により詳細に説明される。形式的に表すと、セキュリティモデル150は、以下のセットに基づく:
(i)システム構成要素c:システムのそれぞれの構成要素を識別するc∈C(c1... ...cn)、
(ii)特定の時点で、構成要素によって実行されている特定の活動に依存する動的値であるセキュリティ状態S、
(iii)セキュリティレベルq:その機能性もしくはその中に記憶されたいずれかのデータの相対的な重要性または秘密性に基づいて、それぞれの構成要素に割り当てられた固定値であるq=Q(q1... ...qn)であり、式中、q1は最高のセキュリティ度を示し、qnは最低のセキュリティ度を示す。qの値が高ければ高いほど、それに割り当てられるセキュリティレベルは低くなること(すなわち、q1の値が割り当てられた構成要素は、q3の値が割り当てられた構成要素よりもより高いセキュリティレベルを有する)ことを理解されたい。例えば、航空機システムでは、航空機の制御に関する構成要素には、安全性の理由から、最高のセキュリティレベルq1を割り当てることができるのに対して、航空機の機構部品の動きを監視および航空機の機構部品の動きに関するデータ提供する、航空機システム内のセンサネットワークは、それぞれq3のより低いセキュリティレベルが割り当てられたセンサノードを有する場合があるが、これは、それらの構成要素の重要性が航空機の制御よりもより低いためである。センサと制御の間に機能的な関連性が存在するが、これらはq2のセキュリティレベルが割り当てられた意思決定機能エンティティによって分離されている。構成要素のセキュリティレベルqはシステムの実行時間に固定されるが、割り当てられたセキュリティレベルは、システム要件が変更するにつれて、必要に応じて再構成可能である点を理解されたい。
(iv)優先レベルp:構成要素のそれぞれの活動に割り当てられた固定値であるp=P(p1... ...pn)であり、式中、p1は最高優先度を示し、pnは最低優先度を示す。セキュリティレベルqと同様に、pの値が高ければ高いほど、それに割り当てられる優先度は低くなる(すなわち、p1の値が割り当てられた活動は、p3の値が割り当てられた活動に勝る優先度を有することになる)点を理解されたい。例えば、航空機システムでは、アクチュエータの駆動など、優先レベルp3が割り当てられたルーチン機能は、より高いp2の優先レベルを有する、センサによって検出された警告しきい値など、特殊な条件によって割り込まれる場合がある。
(v)構成要素のアクティブな関連性t∈T(t1......tlcであり、式中、tl⊆ck×cnは、2つの構成要素ckおよびcnの間の現在の相互作用を示し、tl+1はSMEM130によって評価されることになる、新しく要求された相互作用を示す。
システムのそれぞれの構成要素ck110は、そのセキュリティ状態
、その構成要素に割り当てられた固定セキュリティレベル
、および構成要素のアクティブな関連性の現在のセット
の点で定義され、
として表される。
それぞれの活動tは、その活動に関わる2つの構成要素110(すなわち、相互作用を要求した発信元構成要素k112、およびその相互作用が要求される相手の宛先構成要素n114)および活動tに割り当てられる固定優先レベル
の点で定義され、
として表される。
既存の活動は、構成要素k
および構成要素n
に関わる現在の活動を示すtlとして表され、式中、構成要素kは、宛先構成要素nと相互作用を開始した発信元構成要素である。新しい活動は、構成要素kによって開始され、その相互作用が許可される前に、SMEM130によって評価されることになる構成要素k
と構成要素n
の間の相互作用に関わる、新しく要求された活動を示す(tl+1)として表される。
状態値Sは、それぞれの新しい相互作用要求の発信元構成要素112および宛先構成要素114に関してSMEM130によって判断された動的値であり、それぞれの構成要素の現在の活動を反映する。判断された状態値は、発信元構成要素112または宛先構成要素114が現在アクティブに関連している(すなわち、それらの構成要素との相互作用に関わっている)すべての構成要素110間のセキュリティレベルの差を考慮に入れなければならない。例えば、図5に例示されるように、構成要素kは、構成要素d、e、f、およびgと現在相互作用しており、この場合、構成要素dにはq2のセキュリティレベル、構成要素eにはq1のセキュリティレベル、構成要素fおよびgにはq3のセキュリティレベルが割り当てられている(すなわち、構成要素eはすべての相互作用している構成要素のうち最も安全であり、構成要素fおよびgは最も安全でない、qf>qe)。一方、構成要素nは、構成要素hおよびiと現在相互作用しており、この場合、構成要素iにはq2のセキュリティレベル、構成要素hにはq3のセキュリティレベルが割り当てられている(すなわち、構成要素iは構成要素hよりもより安全である)。このとき、構成要素kおよび構成要素nに関わるさらなる相互作用が発信元構成要素kによって要求される。
まず、構成要素kおよびnのセキュリティレベルに関して、その要求の正当性が判断されなければならない。構成要素が1つを超えるセキュリティレベルだけ離れている場合、通信は禁じられ、いずれのさらなる査定も不要である。
次に、SMEM130が本発明のセキュリティモデル150を適用することによる、図5に例示されるような構成要素kおよびnに関する状態値の判断が、図6の流れ図を参照して説明される。このプロセスは、ステップ200で開始し、ステップ202で、構成要素kおよびnの割り当てられたセキュリティレベルqkならびにqnが読み取られる。ステップ204で、SMEMは、構成要素kおよびnのそれぞれのすべての現在アクティブな関連性(すなわち、現在の相互作用)を調べ、関わっている構成要素のセキュリティレベルを読み取る。ステップ206で、SMEMは、構成要素kおよびnのセキュリティレベルqkならびにqnを比較する。ステップ208で、構成要素kが構成要素nのセキュリティ度よりもより低いセキュリティ度を有する(すなわち、安全性がより低い)(すなわち、qk>qn)と判断された場合、構成要素kの状態
には、構成要素kがアクティブに関連している最も安全でない構成要素110のセキュリティレベルに対応する値(すなわち、Qmax)を割り当てなければならないのに対して、構成要素nの状態
には、構成要素nが関連している最も安全な構成要素110に対応する値(すなわち、Qmin)を割り当てなければならない。したがって、ステップ210で、構成要素kには、構成要素fまたはgのセキュリティレベルに対応する状態値
を割り当てることになり
、構成要素nには、構成要素iのセキュリティレベルに対応する状態値
を割り当てることになる
しかし、ステップ208で、構成要素kが構成要素nのセキュリティ度よりもより低いセキュリティ度を有さない(すなわち、qk>qn)と判断された場合、プロセスはステップ212に続き、ここで、構成要素kが構成要素nよりもより高いセキュリティ度を有する(qk<qn)(すなわち、より安全である)かどうかが判断される。そうである場合、構成要素kの状態
には、構成要素kがアクティブに関連している、最も安全な構成要素110のセキュリティレベルに対応する値(すなわち、Qmin)を割り当てなければならないのに対して、構成要素nの状態
には、構成要素nがアクティブに関連している最も安全でない構成要素110のセキュリティレベルに対応する値(すなわち、Qmax)を割り当てなければならない。したがって、ステップ214で、構成要素kには、構成要素eのセキュリティレベルに対応する状態値
を割り当てなければならず
、構成要素nには、構成要素hのセキュリティレベルに対応する状態値Sを割り当てることになる
しかし、ステップ212で、構成要素kおよびnに同じセキュリティレベルが割り当てられていることが判断された場合、状態Sには、構成要素kまたはnが現在アクティブに関連している最も安全な構成要素110のセキュリティレベルに対応する値(すなわち、Qmin)が割り当てられる。したがって、ステップ216で、構成要素kには、構成要素eのセキュリティレベルに対応する状態値
が割り当てられることになり
、構成要素nには、構成要素iのセキュリティレベルに対応する状態値
が割り当てられることになる
構成要素kおよびnのそれぞれの状態を構成要素kおよびnが現在アクティブに関連しているいずれかの構成要素110の最低または最高のセキュリティレベルのうちの1つに対応する値に設定することによって、任意の時点ですべてのアクティブな関連性同士の間に最大のセキュリティクリアランスが存在することを確実にする。これは、異なるセキュリティレベルの構成要素間で禁じられた相互作用のリスクを除去する。
形式的に表すと、アクティブに関連している構成要素のセキュリティ状態は、以下のように割り当てられる:
発信元構成要素112および宛先構成要素114のそれぞれの状態値
ならびに
が、上で図5および6を参照して説明されたように、SMEM130によって判断された後で、構成要素kおよびnの状態値の差に基づいて、要求された相互作用が許可されることになるかどうかが決定される。構成要素kおよびnの判断された状態S値の差が1を超える(すなわち、構成要素kおよびnの最高レベル/最低レベルの現在の関連活動間に1つを超えるセキュリティレベルが存在する)場合、セキュリティ状態ブロックが発生し、それらの2つの構成要素間の相互作用は禁じられる。すなわち、本発明のセキュリティモデル150は、セキュリティレベルを1つだけ上回る構成要素と、セキュリティレベルを1つだけ下回る構成要素との間の相互作用を許可する(すなわち、1つのレベルだけが発見可能である)。したがって、2つの構成要素間で要求される相互作用は、結果として、それら2つの構成要素が現在相互作用しているいずれかの構成要素のセキュリティレベル間の差が1つのセキュリティレベルを上回る場合、状態ブロック条件を引き起こすことになる。
したがって、図6を再び参照すると、ステップ208で、構成要素kが構成要素nのセキュリティ度よりもより低いセキュリティ度(すなわち、qk>qn)を有することにより、構成要素kの状態値が
として割り当てられ、構成要素nの状態値が
として割り当てられているステップ210で、構成要素kおよびnの状態値間(すなわち、q3とq2の間)に1つのセキュリティレベルの差が存在する。したがって、ステップ218で、セキュリティブロック状況は存在せず、構成要素kおよびnの間で要求された新しい相互作用は許可されることになる。
しかし、ステップ212で、構成要素kが構成要素nのセキュリティ度よりもより高いセキュリティ度(すなわち、qk>qn)を有することにより、図6のステップ214で、構成要素kの状態値が
と判断され、構成要素nの状態値が
と判断されている場合、構成要素kおよびnの状態値間(すなわち、q1とq3の間)に2つのセキュリティレベルの差が存在する。したがって、ステップ220で、状態ブロック状況が存在し、構成要素kおよびnの間で要求された新しい相互作用は禁じられることになる。図6のステップ216の場合、構成要素kおよびnが同じセキュリティレベルを有する(すなわち、ステップ208も212も真ではない)ことにより、構成要素kの状態値が
と判断され、構成要素nの状態値が
と判断されている場合、構成要素kおよびnの状態値間(すなわち、q1およびq2の間)に1つのセキュリティレベルの差が存在すると(すなわち、q1およびq2の間で)判断される。したがって、ステップ222で、状態ブロック状況は存在せず、新しい相互作用は許可される。
これは、形式的には、以下のように表すことができる:
要約すると、状態ブロックは、以下の3つの条件下で発生することになる:
(i)発信元構成要素112のセキュリティレベル
が宛先構成要素114のセキュリティレベル
よりもより低く(すなわち、安全がより低く)、発信元構成要素112が現在アクティブに関連している最も安全性でない構成要素110のセキュリティレベル
と、宛先構成要素114がアクティブに関連している最も安全な構成要素110のセキュリティレベル
の間の差が1を超える、
(ii)発信元構成要素112のセキュリティレベル
が宛先構成要素114のセキュリティレベル
よりもより高く(すなわち、より安全であり)、発信元構成要素112がアクティブに関連している最も安全な構成要素110のセキュリティレベル
と、宛先構成要素114がアクティブに関連している最も安全でない構成要素110のセキュリティレベル
の間の差が1を超える、
(iii)発信元構成要素112のセキュリティレベル
が宛先構成要素114のセキュリティレベル
と等しく、発信元構成要素112および宛先構成要素114のそれぞれが現在アクティブに関連している最も安全な構成要素110のセキュリティレベル
および
の間の差が1を超える。
しかし、状態ブロック条件が存在するときですら、優先度ベースの割込みが発生し得る場合、発信元構成要素112と宛先構成要素114との間の相互作用を依然として許可することが可能である。先に説明されたように、すべての活動に優先値が割り当てられ、状態ブロック条件の場合、要求された相互作用がより高い優先値を有する活動に関わっている場合、より低い優先度の活動に割り込むことができる。優先割込みが発し得るかどうかを判断するために、状態ブロックを引き起こしている相互作用160は分離される。
状態ブロック条件の場合、状態ブロックを引き起こしている発信元構成要素112の既存の相互作用(tl)が発信元構成要素112によって要求された、構成要素112および114の間で新しく要求された相互作用(tl+1)よりもより低い優先度を有する
場合、SMEM130は、優先割込みを発生させて、既存の相互作用
を中断し、構成要素112および114の間の相互作用に関わっている、より高い優先度の要求された新しい活動(tl+1)を開始すべきであることを判断する。しかし、既存の相互作用(tl)が新しく要求された活動(tl+1)よりもより低い優先度を有さない
場合、SMEM130は、既存の相互作用は継続し、新しく要求された相互作用は依然として禁じられた状態に留まることを判断する。
要約すれば、状態ブロックを引き起こしているすべての活動に関して、既存の活動の優先度が要求された新しい活動の優先度以上である場合、既存の活動は継続し、要求された相互作用は禁じられた状態に留まる。しかし、要求された新しい活動の優先度が状態ブロックを引き起こしている既存の活動の優先度よりも大きい場合、優先割込みが発生し、既存の活動を中断させ、2つの構成要素間で要求された相互作用を開始させる。
これは、方程式6および7で形式的に表される。
すなわち、さらに詳細には、
方程式7は、図7にも示されている。
要約すると、提案される新しい関連性
の発信元構成要素112のすべてのアクティブな関連性(すなわち、他の構成要素とのすべての現在の相互作用)と、提案される新しい関連性
の宛先構成要素114のすべてのアクティブな関連性とに関して、提案される新しい関連性
の発信元構成要素112の状態値が提案される関連性
の宛先構成要素114の状態値よりもより低いかどうか、またはその逆を判断することがまず必要である。発信元構成要素112および宛先構成要素114のセキュリティレベル間の差はすでに判断されているため、等しい状態値オプションは存在しない点に留意することが重要である。次に、提案される新しい関連性が、発信元構成要素112に属するアクティブな関連性
のセットのメンバーであるか、または宛先構成要素に属するアクティブな関連性
のセットのメンバーであるかが判断される。次いで、既存の関連性(tl)の構成要素110および構成要素114のセキュリティレベルの差が状態ブロックを引き起こすことになるかどうかが査定されなければならない。例えば、
および
の場合、構成要素110のうちの1つが
よりもより高いセキュリティレベルを有するいずれのtlも状態ブロックを引き起こすことになる。状態ブロックが存在しない場合、既存の関連性(tl)は継続可能である。状態ブロックが存在する場合、優先度査定が行われる。既存の相互作用(tl)が新しく要求された関連性以上の優先度を有する場合、その関連性は継続可能であり、そうでない場合、既存の相互作用は終了しなければならず、新しく要求された相互作用は許可される。
上で概要が説明された4つのステップは組み合わされて、発信元構成要素110が宛先構成要素114との活動を要求しているときはいつでも実行され、結果として、新しい関連性(すなわち、
=真)が形成されることを許可するか否かの決定をもたらす単一の査定になる。
本発明は、現在、最も実用的かつ好ましい実施形態と見なされるものに関して説明されているが、本発明は、開示された実施形態に限定されず、本明細書の基本的な教示から逸脱せずに、改変形態を使用することが可能である点を理解されたい。
100 コンピュータシステム
110 複数の構成要素
112 構成要素
発信元構成要素
114 構成要素
宛先構成要素
116 構成要素
117 構成要素
118 構成要素
120 オペレーティングシステム
130 セキュリティモデル実施機構(SMEM)
140 相互作用
150 セキュリティモデル
160 プロセス
活動
相互作用

Claims (7)

  1. コンピュータシステムの1つまたは複数の構成要素間の相互作用を制御する方法であって、前記コンピュータシステムが、互いと相互作用して、活動に従事するように適合された複数の構成要素を含み、前記方法が、
    固定セキュリティレベルを前記コンピュータシステムのそれぞれの構成要素にコンピュータが割り当てるステップと、
    前記コンピュータシステムの構成要素間のすべての現在アクティブな相互作用および新しく要求された相互作用をコンピュータが監視するステップであって、新しく要求された相互作用が、宛先構成要素と相互作用するための、発信元構成要素による要求を含む、監視するステップと、
    を含み、
    前記発信元構成要素および前記宛先構成要素の前記セキュリティレベル間の差が1つのレベルを上回る場合、前記要求された相互作用をコンピュータが禁じ、
    前記発信元構成要素がそれ自体のセキュリティレベルよりもより低く割り当てられたセキュリティレベルを有するいずれかの構成要素との相互作用に従事しており、前記要求された相互作用が、より高く割り当てられたセキュリティレベルを有する宛先構成要素に関わっている場合、前記要求された相互作用をコンピュータが禁じ、
    発信元構成要素がそれ自体のセキュリティレベルよりもより高く割り当てられたセキュリティレベルを有するいずれかの構成要素との相互作用に従事しており、前記要求された相互作用がより低く割り当てられたセキュリティレベルを有する宛先構成要素に関わっている場合、前記要求された相互作用をコンピュータが禁じ、
    発信元構成要素が前記発信元構成要素に割り当てられたセキュリティレベルよりもより高いセキュリティレベルを有するデータを含み、前記要求された相互作用がより低く割り当てられたセキュリティレベルを有する宛先構成要素に関わっている場合、前記要求された相互作用をコンピュータが禁じ、
    発信元構成要素が前記発信元構成要素に割り当てられたセキュリティレベルよりもより低いセキュリティレベルを有するデータを含み、前記要求された相互作用がより高く割り当てられたセキュリティレベルを有する宛先構成要素に関わっている場合、前記要求された相互作用をコンピュータが禁じ、
    そうでない場合、前記要求された相互作用をコンピュータが許可する、
    方法。
  2. 前記コンピュータシステムの構成要素間のすべての現在アクティブな相互作用および新しく要求された相互作用をコンピュータが監視するステップが、
    要求された相互作用の前記発信元構成要素および前記宛先構成要素のそれぞれに関する状態値をコンピュータが判断するステップであって、前記状態値が、前記要求された相互作用の前記発信元構成要素および前記宛先構成要素との相互作用に現在従事している構成要素の前記割り当てられたセキュリティレベルに依存して判断されている、判断するステップと、
    前記要求された相互作用の前記発信元構成要素および前記宛先構成要素の前記状態値をコンピュータが比較するステップと、
    前記要求された相互作用の前記発信元構成要素および前記宛先構成要素の前記状態値間に1つを超えるセキュリティレベルの差が存在するとき、状態ブロック条件をコンピュータが課すステップと、
    状態ブロック条件が存在する間、前記要求された相互作用をコンピュータが禁じるステップと、
    を含む、請求項1に記載の方法。
  3. 相互作用の間に構成要素が従事できるそれぞれの活動に優先レベルをコンピュータが割り当てるステップと、
    状態ブロック条件が課されているとき、前記状態ブロック条件を引き起こした前記発信元構成要素および前記宛先構成要素の前記既存の相互作用をコンピュータが分離するステップと、
    前記分離された相互作用に関わる前記活動に関連する前記優先レベルを前記発信元構成要素および前記宛先構成要素の間で前記要求された相互作用に関わる前記活動に関連する前記優先レベルとコンピュータが比較するステップと、
    前記分離された相互作用の前記活動の前記優先レベルが前記発信元構成要素および前記宛先構成要素の間で前記要求された相互作用の活動の優先レベルよりもより低いとき、前記状態ブロック条件をコンピュータが解除して、前記要求された相互作用をコンピュータが許可するステップと、
    そうでない場合、前記状態ブロック条件をコンピュータが維持して、前記発信元構成要素および前記宛先構成要素の間で前記要求された相互作用をコンピュータが禁じるステップと、
    をさらに含む、請求項2に記載の方法。
  4. 要求された相互作用の前記発信元構成要素および前記宛先構成要素に関する状態値をコンピュータが判断する前記ステップが、
    前記発信元構成要素および前記宛先構成要素に割り当てられた前記セキュリティレベルをコンピュータが比較するステップを含み、
    前記発信元構成要素の前記割り当てられたセキュリティレベルが前記宛先構成要素の前記割り当てられたセキュリティレベルよりもより低い場合、前記発信元構成要素が相互作用に現在従事している最も安全でない構成要素の前記セキュリティレベルに対応する状態値を前記発信元構成要素に割り当て、前記宛先構成要素が相互作用に現在従事している最も安全な構成要素の前記セキュリティレベルに対応する状態値を前記宛先構成要素にコンピュータが割り当て、
    前記発信元構成要素の前記割り当てられたセキュリティレベルが前記宛先構成要素の前記割り当てられたセキュリティレベルよりもより高い場合、前記発信元構成要素が相互作
    用に現在従事している最も安全な構成要素の前記セキュリティレベルに対応する状態値を前記発信元構成要素に割り当て、前記宛先構成要素が相互作用に現在従事している最も安全でない構成要素の前記セキュリティレベルに対応する状態値を前記宛先構成要素にコンピュータが割り当て、
    そうでない場合、前記それぞれの発信元構成要素および宛先構成要素が相互作用に現在従事している最も安全な構成要素の前記セキュリティレベルに対応する状態値を前記発信元構成要素および前記宛先構成要素にコンピュータが割り当てるステップと、
    を含む、請求項2または3に記載の方法。
  5. コンピュータシステムの1つまたは複数の構成要素間の相互作用を制御するセキュリティシステムであって、前記コンピュータシステムが、互いと相互作用して、活動に従事するように適合された複数の構成要素を含み、前記セキュリティシステムが、
    固定セキュリティレベルを前記コンピュータシステムのそれぞれの構成要素に割り当て、
    前記コンピュータシステムの構成要素間のすべての現在アクティブな相互作用および新しく要求された相互作用を監視する
    ように構成されたセキュリティモデル実施機構を含み、
    新しく要求された相互作用が、宛先構成要素と相互作用するための、発信元構成要素による要求を含み、
    前記発信元構成要素および前記宛先構成要素の前記セキュリティレベル間の差が1つのレベルを上回る場合、前記セキュリティモデル実施機構が前記要求された相互作用を禁じるように構成され、
    前記発信元構成要素がそれ自体のセキュリティレベルよりもより低く割り当てられたセキュリティレベルを有するいずれかの構成要素との相互作用に従事しており、前記要求された相互作用が、より高く割り当てられたセキュリティレベルを有する宛先構成要素に関わっている場合、前記セキュリティモデル実施機構が記要求された相互作用を禁じるように構成され、
    発信元構成要素がそれ自体のセキュリティレベルよりもより高く割り当てられたセキュリティレベルを有するいずれかの構成要素との相互作用に従事しており、前記要求された相互作用がより低く割り当てられたセキュリティレベルを有する宛先構成要素に関わっている場合、前記セキュリティモデル実施機構が前記要求された相互作用を禁じるように構成され、
    発信元構成要素が前記発信元構成要素に割り当てられたセキュリティレベルよりもより高いセキュリティレベルを有するデータを含み、前記要求された相互作用がより低く割り当てられたセキュリティレベルを有する宛先構成要素に関わっている場合、前記セキュリティモデル実施機構が前記要求された相互作用を禁じるように構成され、
    発信元構成要素が前記発信元構成要素に割り当てられたセキュリティレベルよりもより低いセキュリティレベルを有するデータを含み、前記要求された相互作用がより高く割り当てられたセキュリティレベルを有する宛先構成要素に関わっている場合、前記セキュリティモデル実施機構が前記要求された相互作用を禁じるように構成され、
    そうでない場合、前記セキュリティモデル実施機構が前記要求された相互作用を許可するように構成された、
    セキュリティシステム。
  6. 前記セキュリティモデル実施機構が、前記コンピュータシステムのオペレーティングシステム内で実施される、請求項5に記載のシステム。
  7. 前記セキュリティモデル実施機構が、前記コンピュータシステムのいずれかの構成要素によってアクセスまたは回避可能でない安全な環境で実施される、請求項5または6に記載のシステム。
JP2013090839A 2012-04-27 2013-04-24 コンピュータシステムの構成要素間の相互作用を制御するためのセキュリティシステムおよびセキュリティ方法 Expired - Fee Related JP6183889B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
GBGB1207404.3A GB201207404D0 (en) 2012-04-27 2012-04-27 Security system and method for controlling interactions between components of a computer system
GB1207404.3 2012-04-27

Publications (3)

Publication Number Publication Date
JP2013242860A JP2013242860A (ja) 2013-12-05
JP2013242860A5 JP2013242860A5 (ja) 2016-06-16
JP6183889B2 true JP6183889B2 (ja) 2017-08-23

Family

ID=46330457

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2013090839A Expired - Fee Related JP6183889B2 (ja) 2012-04-27 2013-04-24 コンピュータシステムの構成要素間の相互作用を制御するためのセキュリティシステムおよびセキュリティ方法

Country Status (8)

Country Link
US (1) US9122883B2 (ja)
JP (1) JP6183889B2 (ja)
CN (1) CN103377337A (ja)
BR (1) BR102013009890A2 (ja)
CA (1) CA2813425C (ja)
DE (1) DE102013104053A1 (ja)
FR (1) FR2990037B1 (ja)
GB (2) GB201207404D0 (ja)

Families Citing this family (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
AU2013204965B2 (en) 2012-11-12 2016-07-28 C2 Systems Limited A system, method, computer program and data signal for the registration, monitoring and control of machines and devices
EP3111363A4 (en) 2014-02-28 2017-10-04 Temporal Defense Systems, LLC Security evaluation systems and methods
US9887984B2 (en) 2014-10-24 2018-02-06 Temporal Defense Systems, Llc Autonomous system for secure electric system access
US10372946B1 (en) * 2016-10-17 2019-08-06 Altera Corporation Systems and methods for configuring a secure computing environment on an integrated circuit
CN112948824B (zh) * 2021-03-31 2022-04-26 支付宝(杭州)信息技术有限公司 一种基于隐私保护的程序通信方法、装置及设备

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4184201A (en) 1978-04-26 1980-01-15 Sperry Rand Corporation Integrating processor element
CN1149476C (zh) * 1995-03-16 2004-05-12 松下电器产业株式会社 资源分配装置
US6934859B2 (en) 2000-06-09 2005-08-23 Northrop Grumman Corporation Authenticated search engines
JP3927376B2 (ja) * 2001-03-27 2007-06-06 日立ソフトウエアエンジニアリング株式会社 データ持ち出し禁止用プログラム
US20040139312A1 (en) * 2003-01-14 2004-07-15 General Instrument Corporation Categorization of host security levels based on functionality implemented inside secure hardware
JP4501156B2 (ja) * 2004-10-28 2010-07-14 日本電気株式会社 機密モードに応じたアクセスフォルダ切り替え方法、プログラム、及びコンピュータシステム
DE102005028663A1 (de) * 2005-06-15 2006-12-21 Volkswagen Ag Verfahren und Vorrichtung zum sicheren Kommunizieren einer Komponente eines Fahrzeugs über eine drahtlose Kommunikationsverbindung mit einem externen Kommunikationspartner
US20070143601A1 (en) 2005-12-15 2007-06-21 Arroyo Diana J System and method for authorizing information flows
FR2898445B1 (fr) * 2006-03-08 2008-11-14 Airbus France Sas Procede et dispositif de detection de tentatives d'intrusion sur une liaison de communication entre un aeronef et une station sol.
US8060744B2 (en) 2006-03-23 2011-11-15 Harris Corporation Computer architecture for an electronic device providing single-level secure access to multi-level secure file system
CN100539499C (zh) * 2006-06-02 2009-09-09 清华大学 一种安全的星形局域网计算机系统
US8826366B2 (en) * 2010-07-15 2014-09-02 Tt Government Solutions, Inc. Verifying access-control policies with arithmetic quantifier-free form constraints

Also Published As

Publication number Publication date
CN103377337A (zh) 2013-10-30
BR102013009890A2 (pt) 2017-05-02
CA2813425C (en) 2020-07-14
US20130291057A1 (en) 2013-10-31
GB201307621D0 (en) 2013-06-12
US9122883B2 (en) 2015-09-01
FR2990037A1 (fr) 2013-11-01
JP2013242860A (ja) 2013-12-05
GB2503553A (en) 2014-01-01
GB201207404D0 (en) 2012-06-13
GB2503553B (en) 2014-07-16
FR2990037B1 (fr) 2016-09-02
CA2813425A1 (en) 2013-10-27
DE102013104053A1 (de) 2013-10-31

Similar Documents

Publication Publication Date Title
US10361998B2 (en) Secure gateway communication systems and methods
US8136147B2 (en) Privilege management
US9917863B2 (en) Method and system for implementing mandatory file access control in native discretionary access control environments
JP6183889B2 (ja) コンピュータシステムの構成要素間の相互作用を制御するためのセキュリティシステムおよびセキュリティ方法
US20070124803A1 (en) Method and apparatus for rating a compliance level of a computer connecting to a network
KR101565590B1 (ko) 역할기반 접근통제 및 인가된 파일 리스트를 통한 파일접근 통제 통합 시스템
US10628560B1 (en) Permission request system and method
US20200076818A1 (en) Risk-aware sessions in role based access control systems and methods of use
Bijon et al. Risk-aware RBAC sessions
CN105827645B (zh) 一种用于访问控制的方法、设备与系统
Hamad et al. Red-Zone: Towards an Intrusion Response Framework for Intra-vehicle System.
GB2566347A (en) Computer device and method for controlling process components
US20050119902A1 (en) Security descriptor verifier
Kiszka et al. Domain and type enforcement for real-time operating systems
US10313384B1 (en) Mitigation of security risk vulnerabilities in an enterprise network
Peruma et al. Security: a critical quality attribute in self-adaptive systems
Seong et al. Security Improvement of File System Filter Driver in Windows Embedded OS.
CN112912879A (zh) 用于进程间安全消息传递的装置和方法
US9507929B1 (en) Decentralized information flow securing method and system for multilevel security and privacy domains
Benzina Towards designing secure virtualized systems
Konoplev et al. Security policy verification in grid systems
CN113343282A (zh) 强制访问控制的文件安全监控方法、系统及存储介质
Sankaranarayanan et al. QoS-T: QoS throttling to elicit user cooperation in computer systems
EP3915032A1 (en) Method for implementing system state aware security policies
EA044131B1 (ru) Способ и система предотвращения получения несанкционированного доступа к объектам корпоративной сети

Legal Events

Date Code Title Description
A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20160419

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20160419

A977 Report on retrieval

Free format text: JAPANESE INTERMEDIATE CODE: A971007

Effective date: 20170307

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20170314

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170510

A131 Notification of reasons for refusal

Free format text: JAPANESE INTERMEDIATE CODE: A131

Effective date: 20170530

A521 Request for written amendment filed

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20170616

TRDD Decision of grant or rejection written
A01 Written decision to grant a patent or to grant a registration (utility model)

Free format text: JAPANESE INTERMEDIATE CODE: A01

Effective date: 20170627

A61 First payment of annual fees (during grant procedure)

Free format text: JAPANESE INTERMEDIATE CODE: A61

Effective date: 20170720

R150 Certificate of patent or registration of utility model

Ref document number: 6183889

Country of ref document: JP

Free format text: JAPANESE INTERMEDIATE CODE: R150

R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees