JPH02194450A - コンピュータ・システムのファイルに対する機密的アクセスの管理方法 - Google Patents

コンピュータ・システムのファイルに対する機密的アクセスの管理方法

Info

Publication number
JPH02194450A
JPH02194450A JP1309440A JP30944089A JPH02194450A JP H02194450 A JPH02194450 A JP H02194450A JP 1309440 A JP1309440 A JP 1309440A JP 30944089 A JP30944089 A JP 30944089A JP H02194450 A JPH02194450 A JP H02194450A
Authority
JP
Japan
Prior art keywords
file
read
write
label
security label
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP1309440A
Other languages
English (en)
Other versions
JP2603344B2 (ja
Inventor
M Douglas Mcilroy
エム.ダグラス マックローイ
James A Reeds
ジェームス エイ.リーズ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
AT&T Corp
Original Assignee
American Telephone and Telegraph Co Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by American Telephone and Telegraph Co Inc filed Critical American Telephone and Telegraph Co Inc
Publication of JPH02194450A publication Critical patent/JPH02194450A/ja
Application granted granted Critical
Publication of JP2603344B2 publication Critical patent/JP2603344B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2113Multi-level security, e.g. mandatory access control

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Storage Device Security (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

(57)【要約】本公報は電子出願前の出願データであるた
め要約のデータは記録されません。

Description

【発明の詳細な説明】 [産業上の利用分野] 本発明はコンピュータ・システムにおける機密保護、特
に、認可されたユーザによるコンピュータ・システム内
ファイルへの機密的なアクセスの制御に関する。
[従来技術の説明] コンピュータ機密保護はますます重要かつ緊急な課題と
なってきている。これを裏付けるものとして、今日懸念
されるものは、コンピュータウィルスである。このコン
ピュータ争ウィルスがもしコンピュータシステムに導入
された場合、それは保護されていないデータを読取る能
力、あるいは破壊する能力、またはその両方を持つ。実
際に、多くのこのようなウィルスの攻撃は最近全国的な
注[1を浴びている。
コンピュータ機密保護とは、包括的な用語である。この
言葉は、コシピユータやコンピュータシステムを保訛す
る多くの側面を含んでいる。機密保護問題は、認111
されていないユーザやプログラムによるシステムと、限
られたユーザやユーザ集団・\のファイルアクセスの限
界とを含む。ここでは主にファイルへのアクセスの制御
に関し”C述べる。ファイルへのアクセスを保護するた
めの標準的な技術は許容(perIlsslon)とい
う手段による。
例えばユニックス(UNIX)(AT&Tの登録商標)
オペレーティングシステムの商業用ベージョンでは、各
ファイルは1組の“読取り゛許容ビット及び“書込み゛
許容ビットとを結合されている。実際に、各ファイル用
として、このような許容ビットの組が3組あり、1組は
ファイルの所有者用、1組はファイルに提携している集
団の構成員用、そして残る1組は、システムの他の全て
のユーザー用である。ファイルの所有者はこれら3組の
許容ビットの状態を制御する。従ってファイル所有者は
、集団のメンバーや他のシステムユーザー用の″読取り
′ビット及び″書込み″ビットを非許容状態に、するこ
とによって、他人がファイルを読取ったり、書込んだり
することを防ぐことができる。反対に、ファイル所有者
は、“読取り“ビット及び′書込み“ビットを全ユーザ
ーに結び付けるように設定することによって、全システ
ムユーザーにファイルの全アクセスをj可することもで
きる。
このファイル許容技術は、ユーザーが機密保護問題に敏
感であり、制御すべき許容ビットをこつこつと処理する
場合には、全てのシステムにおいて効果がある。しかし
、全てのシステムユーザーが勤勉なわけではない。許容
ビ・ソト案は、それrノ体では、総合的なシステム機本
体jにおいて潜在的に弱いリンクを示す。さらに、許容
ビット案が不利な点は、必然的にその融通性が制限され
ることである。いくつかのシステムは、ユーザーと、同
様にファイルについても、多数のレベルの定めらt’l
た機本体3分類を要求する。′シ(用システムはこのよ
うなシステムの好例であり、このシステムにおいCは、
ファイルは非機密扱いから最高機密事項までのレベル及
び、さらにレベルが適用されるコンパートメントに分類
される。このようなファイルへのアク上1月よ、適当な
機密保護関与許可(c I earance)を持つユ
ーザーに制限されるべきであり、機密保護分類はシステ
ム内をファイルが動くにあたっで、ファイルに伴なわね
ばならない。
このようなラベルシステムにおいて、ファイルとユーザ
ープロセスには機密保護ラベルが割当てられる。ユーザ
ープロセスは、プロセス機密保護ラベルがファイルの機
密保護ラベルより優位にない限りファイルを読取れない
。“優位にある°とは、プロセスの機密保護ラベルが、
ファイル機密保護ラベルに従ってファイルへのアクセス
が許可されるに十分であるとされる場合を意味する。同
様に、プロセスは、ファイルのラベルがプロセスのラベ
ルと最低でも同じ高さにない限り、ファイルを書込むこ
とはできない。
ファイルアクセス制御は、上述の許容方式及びラベル方
式を含めて°暗号手法とデータ機密保護゛(crypt
ography and Date 5ecurity
)  (デイー―デニング(D、Dennl、ng、)
、アディソンφウニスリー<Addison、Vesl
ey) 、1982年、第4巻、191頁・−258頁
)に論述されている。さらにこの本の287頁には、通
例、動的機密保護ラベルと呼ばれる方式も論述されてい
る。この動的機密保護ラベル方式では、ファイルとプロ
セスの機密保護ラベルは必要に応じて引上げられ、プロ
セスにファイルのアクセスを許容する。このような動的
ラベル方式と共に、システム外部の宛先への根本的に認
IJJされないデータ漏れを防ぐために、いくつかの追
加の保護形態を用いなければならない。動的機密保護ラ
ベル方式は固定ラベル型の方式よりa効である。固定ラ
ベル方式は、システムユーザーを抑圧する( sur 
roeate)傾向があり、深刻な場合には、システム
の融通のきく、生産的な使用をほとんど不可能にする恐
れがある。動的ラベルは機密保護の適当なレベルを供給
する一方、固定ラベルのこのような抑圧傾向を和らげる
。しかし、動的機密保護ラベル方式は、2つの理由のた
め一般的には全く使われなでいない。第1に、この技術
は、機本体4妨害の(breach)の起こりiQる隠
れたチャネルを導入することが知られている。しかし、
これ(よ深刻な問題ではない。生じる隠れたチャネルは
一般に、帯域幅において、システムコール当たりおよそ
1ビツトの情報に制限されている。従って、このような
隠されたチャネルを通しての白°効な量の情報の”密出
入(ssugl;le)″の試みは、比較的簡単な手段
によって検出できる。さらに、このようなチャネルを使
用するためには、ユーザーは既にデータを使うためにク
リアされていなければならない。第2に、さらに重要な
問題として、各読取り、書込み操作におけるプロセスと
ファイルのラベルの確認(verl 「1catlon
)はへルーチンシステム処理に巨額の経費の追加を要す
る。従ってアクセス認可ラベルのこの経費を減少する方
法を見出し、それによって動的機密保護ラベル方式のa
効な使用を可能にすることが望ましいし。
(発明の概要) 本発明は、コンピュータ・システムのファイルへの機密
的なアクセスを管理する方法に閃すS。
第1及び第2の機密保護ラベルがファイルとプロセスに
それぞれ結合される。与えられたプロセス・ファイル対
において、第1の機密保護ラベルは、プロセスによるフ
ァイル読取り(又は書込み)の試みに応じて、第2の機
密保護ラベルと比較される。読取り(又は書込み)操作
の宛先ファイル又は宛先プロセスの機密保護ラベルがソ
ースファイル又はソースプロセスの機密保護ラベルより
優位にない場合は、宛先の機密保護ラベルが動的に1−
万引上げられ、ソースの機密保護ラベルより優位となる
。読取り操作のソースと宛先は、例えば、名々ファイル
とプi7セスである。プロセスとファイルの機密保護ラ
ベルのIJ、較の後、このプロセスとファイルに結合し
たm=は、そのファイルはこのプロセスパ′7アイル々
4に対し、では安全であることを示A第1状想に設定さ
れる。目下、このファイルのアクセスがi」能である他
の全プロセスの標識は、このファイルはこれらはプロセ
ス・ファイル対に対して安全でないことを示す第2の状
態に設定される。ご取り(又は書込み)操作におけるフ
ァイルとプロセスの機密保護ラベルを検査する段階は、
プロセス・ファイル対のt、i、iが安全状態に設定さ
れている場合は省略される。
あるファイルの機密保護ラベルは凍結状部にある。この
ようなファイルの機密保護ラベルは、読取り、書込み操
作の試みに応じて変更されi等ない。
従っ°C凍結状態にあるファイルの書込みの試みは、書
込みプロセスの機密保護ラベルが、そのファイルのそれ
より優位にある場合には拒絶される。ここの機構は外部
媒体の機密保護ラベルが、データへのアクセスのための
媒体をクリアしない限り、データが、端末ディスクドラ
イブ、テープドライブやその他局様のもののような、シ
ステムの外部媒体へ書込まれ得ないことσ)保証に用い
られる。
本発明の1つの実施例では、各プロセス・ファイル対の
安全/′非安全標識は実際には、“読取り安全°標識と
“書込みム全′機構の2つの標識からなる。Ljえられ
たプロセスやファイルにおいて、その対の“読取り安全
゛標識は、プロセスによるファイル読取り要求に対して
、プロセスの機密保護ラベルがファイルの機密保護ラベ
ルの優位に(:iる場合、又はプロセスの機密保護ラベ
ルが読取りの結果、引上げられる場合には安全状態に、
設定される。同様にこの対の“書込み安全”標識はファ
イル書込み要求に対して、ファイルのラベルが優位にあ
るか又は引上げられる場合には安全状態に設定される。
当該ファイルと結合する他の全プロセスの全“読取り安
全′標識は、ファイル書込み要求に対して、ファイルラ
ベルが引」−けられる場合には非安全状態に設定され、
当該プロセスと結合する他の全ファイルの全“書込み安
全゛標識は、プロセスラベルが引」二げられる場合には
非安全状態に設定される。
(実施例の説明) ここで述べる動的機密保護ラベルの方式はユニックス(
UN I X)オペレーティングシステムの研究・ぐ−
ジョンを補充するものである。(ユニー7り7、(UN
jX)はA T & T (7)登録商標)。本発明は
このオペレージランシステムによって説明する。しかし
ながらこの補充は本発明の、−実施であり、他のオペレ
ーティングシステムへの本発明の適用を制限するもので
はない。ユニックス(UNIX)システムにおいてプロ
セス(P)はファイル(f)に動作する。1つのファイ
ルはいつでも1つ以上のプロセスと結合できる。このよ
うな各プロセス・ファイル関係はファイル記述子(d)
によって確認される。プロセスは、子プロセス、すなわ
ちそれ自身のイメージを生じt9る。このような子プロ
セスは、プロセス機密保護ラベルのような、ある特性を
親プロセスから受は継ぐ。しかし、、子プロセスについ
ては新しいファイル記述子が生じる。従って、ファイル
記述子は独自に、プロセス・ファイル関係の各事例を確
認する。ユニックス(UN I X)システムのもう1
つの特性は、システム外部媒体もまたフr 4ルによっ
て表わされることである。従って、端末、ディスクドラ
イブ、テープドライブや同様の外部媒体はシステム内部
ではファイルとして表わされる。従って端末への書込み
は、端末を表わす内部ファイルへの書込みとして達成さ
れる。ユニラス(UNIX)システムのさらなる特性は
、同様にファイルによって表わされるデイレクト11へ
・分割されるファイルシステムである。各ディレクトリ
は通常のファイルから構成可能であり、また、他のサブ
ディレクトリも同様である。
第1図はプロセス(P)またはファイル(f)結合して
いる機密保護ラベルの概念を紹介している。第1図の機
密保護ラベルの実施例は2つのセクションに分割されて
いる。第1の“機密保護レベル°セクションは総合的な
機密保護レベルの数表示を記憶する。このセクションは
例えば3ビットからなり、通例の軍事文書分類レベル、
すなわち非機密扱い事項、一般機密事項、重要機密及び
最高機密事項を表わすために、2進コード化される。第
1図の第2セクシクン“機密保護コンバーメント″は、
さらに“機密保護レベル“を分割する。これらのビット
は、例えば、機密保護レベルが適用される個々の国々を
表わす。例えば、“機密保護コンバーメント”の最初の
2ビツトは、各4国Aと国Bを表わす。動的機密保護ラ
ベルの使用によって、ファイルがシステム内で読取られ
、書込まれると共に、そのファイルと読取り・書込み操
作を実行するプロセスに結合した各ラベルは、必要に応
じて引上げられる。読取り操作において、プロセスラベ
ルは引上げられ、読取られる操作において、プロセスラ
ベルは引上げられ、読取られるファイルのラベルより優
位となる。書込み操作において、ファイルラベルは引上
げられ、書込みを実行するプロセスのラベルより優位と
なる。しかし、本発明の一側面に従って、端末、ブイス
フドライブ、テープドライブなどのような外部媒体に結
合する機密保護ラベルは凍結して、本発明とは関連のな
い機構によらなけれ変更され得ない。
従って、書込みプロセスのラベルより優位にない機密保
護ラベルを持つ、外部媒体を表わすファイルへの書込み
の試みは拒絶される。
動的ラベルの使用の一例として、プロセスが、初期機密
保護ラベル°O1l 00・・・ (国A1国Bに対す
るクリアランスを持たない、重要機密保護レベル)を持
つ処理であると仮定する。さらにそのプロセスが新しい
ファイル“新ファイノじを生成すると仮定する。新しい
ファイルは初めはデフォルト(default)により
“ooo oo・・・“とラベルされる。そのプロセス
がファイルの名称のディレクトリへの書込みを試みると
、ディレクトリの機密保護ラベルが、必要であれば最低
でもプロセスの機密保護ラベルと同じまで引上げられる
。そのプロセスが、国Aに対する一般機密(00110
・・・)とラベルされているもう1つのファイル“旧フ
ァイル“を読取ると仮定する。この場合、プロセスラベ
ルは、そのプロセスとファイル1旧フアイル′のラベル
の論理結ei (union) [((Ill 00−
) U(union)(0011(]・・・) −(0
1110・・・)]まで引上げられる。
最後に、プロセスが出力端末に結合されたファイル・\
の″旧ファイル”の書込みを試みると仮定する。端末に
結合されたファイルの機密保護ラベルが、“旧ファイル
°の機密保護ラベルより優位にない場合、書込みは拒絶
される。従って機密保護は維持される。ファイルとプロ
セスの機密保護ラベルは、必要に応じてシステム内部動
作のために引上げられる。しかし、外部アクセスが試み
られる場合のポイントに対しては、その外部アクセス・
ポイントが適切な認可を持っていない限り、アクセスは
拒絶される。
ユニックス(UN I X)  ψオペレーティングー
システムにおいて、プロセス(P)によって確認される
。2つの別個のプロセスが、同じファイルを開放すると
、各プロセス・ファイル対は両プロセスが同じファイル
を使用しているにも拘らず、異なるファイル記述子によ
って同様に、確認される。第2図はこのプロセス・ファ
イル配合(arvangament)を示す図である。
この図において、ファイル(f)とプロセス(P)は点
線によってファイル記述子(d)に連結されている。プ
ロセスがファイルを引用する場合は、この動作は、ファ
イル記述子によってオペレーティングシステムを通して
行なわれる。本発明に従って、他の2つの標識、すなわ
ち“読取り安全“ビットと“書込み安全” ビットがフ
ァイル記述子に結合される。これらのビットは第2図に
おいてファイル記述子に実線によって取付けられて示さ
れている。″安全“ビットは、受容できるシステム経費
での動的ラベル機密保護方式の使用を、以下に述べるよ
うに可能にする。本発明にすると、各ファイルにはさら
に“凍結′標識が、第2図に示すように結合されている
。この標識の状態は、ファイルの機密保護ラベルが、読
取り及び書込み時に引上げ可能か否かを決定する。この
ファイル特性の使用については、端末のようなシステム
外部の媒体へのデータ書込みの試みに関連して、さらに
以下に述べる。
第3図及び第4図は各々、プロセスによって読取りe+
作あるいはM込み動作が要求された場合においで、オベ
レー・デイ−・ゲ・システムによっ゛C実行される各々
のア、ルゴリズムの流れ図を示す、2第3図において、
プロセスによって読取り動作が要求されると、ステップ
300は、問題のファイル記述子に結合し一ζいる。°
読取り安仝″ビットを調べる。゛読取り安全゛ビットが
設定されている場8“1は、このプロセスとファイルの
機密保護う(ルが、、す期の読取り動作におい゛cb電
認されており、必要な5B 、’7はラベルが引上げら
れていることを意味する。ビットの安坐状態は、その時
!ユ来、そのす朋の確認を無効にするよっなシステム動
作が起こらなかったことを意味する。従って“読取り安
全°ビットが設定されてい6 ta =は、アルゴリズ
ムはillに出n 3f12に移り、図示されていない
オペレーティ;・グ・システムの他の部分が読取り動作
を実行する。
スナップ300  “読取り安全゛ビットにおいC1設
定されていない場合は、プロセスとファイルのfiδj
保護ラベルが確認される。ステ・lブ31)4は、問題
のツーどイILのラベルより1.読取l′l要求を1.
′Cいるプロセスのラベルの方が優位であるか否かを1
’l断する。らしプロセスのラベルの方が優位であわば
、ブ■】セスによる°7フイル読取りは他に1i1]の
[続きもなく認iiJされる。この場合ステップ310
において、“読取11安全゛ビツトが設定され、アルゴ
リ、てムは出口312に移り、オペレーティング・シス
テムの他の部分25(読取り動作を実行する。
ステップ304において、プロセスの機密保護ラベルが
ファイルの機密保護ラベルより優位にない場合は、ステ
・・lブ306がプロセスのラベルを適当量だけ引上げ
る。木実通例において、ブUセスラベルの引上げは1.
曳P21eのブDセスラベルと現段階でのファイルラベ
ルとを一理和演木(ORIng、)することによって実
行される。lりにステ、・プ308において、すベレー
ティング・システムは1.現段階でのプロセス(P)に
結合する全ファイル把連子(d)を検索し、これらを決
定する。ステップ308は、発見されたファイル記述子
に結合する全“書込み安全”ビットをクリアする。これ
は、プロセス機密保護ラベルの引上げが、このプロセス
による将来の書込み動作を再確認なしでは安全でないよ
うにするために必要なことである。これらの動作が実行
された後、ステップ310は“読取り安全′ビットをこ
の特定のファイル記述子に設定し、アルゴリズムは、出
口312において終γする。
第・4図において、プロセスによって書込み動作が、要
求されると、ステップ400は、問題のファイル記述子
に結合し−Cいる″書込み安全″ビットを調べる。“n
込み安全゛ビットが設定されている場合は、このプロセ
スとファイルの機密保護ラベルが早期の書込み動作によ
って確認され、必要な場合にはラベルh(引上げられて
いることを意味する。ビットの安全状態は、その時以来
、その早期の確認を無効にするようなシステム動作が、
起こっていないことを意味する。従って″書込み安全゛
ビットが設定されている場合は、アルゴリズムは単に出
目402に移り、図示されていないオペレーティング・
システムの他の部分が書込み動作を実行する。
ステップ400において、“書込み安全″ビット・が設
定されていない場合は、プロセスとファイルの機密保護
ラベルが確認される。ステップ404は、問題のファイ
ルのラベルが、書込み要求をしているプロセスのラベル
より優位であるか否かを決定する。も1.ファ・イルの
ラベルが優位であれば、プロセスによるファイルの書込
みは他の何の手続きもなく認可される。この場合、ステ
ップ414書において、″書込み安全゛ビットが設定さ
れアルゴリズムは出口4f6に移り、オペレーティング
・システムの他の部分が書込み動作を実行する。
書込み動作は特別な考慮に従う。すなわち、外部媒体パ
\の書込みは、弔に媒体に結合するファ・イルの機密保
護ラベルを引上げるだけでは認可されない。むしろ、こ
のような外部媒体の機密保護ラベルは、割当てられた状
態において、凍結している。従って、ステップ404に
おいて、ファイルの機密保護ラベルがプロセスの機密保
護ラベルより優位にない場合、ステップ408はファイ
ルの機密保護ラベルが凍結しているか否かを判断する。
うベルが凍結1.でいるだ二合It、書込み動1′1は
、408にjメいでtべl/−ティング手システムへの
エラー1ン−二が実イ】“されること1こよっ゛C拒李
色される。
ファ・イルの機密保護ラベルが凍結し75いない場合は
、ベテ・!ブ4106<、ファイルのラベルを適当量だ
1+引りげる。本−し;也仲トごは、ファ・イルのラベ
ルの引1−げは、現、段階ブロセブ、ラベルと現段mで
の7−r 4 、/lラベルを論即+n演算(O刺ng
>することによデC夫j子きれる。次17ステツプ41
2において、オペレ−ティング・システムは現段階での
ファ・イル(f)に結1″′lする全ファイル記連子(
d)を検索しSこれらを決定する。ステップ412は発
見された7アイ!]1記述−j′lこ結合する全“読取
り安全″じソトをクリアする。“読取り安全゛ビットの
り11ア;町、ファイルのR密保設貴ベルの引り一げが
、このファイルの将来の読取り動作の全てを、再確認な
1ては′ム仝でないようにするために、必要である。こ
れらの動作が実行された後、ステップ414が゛符込み
安全゛ビットをこの特定のファイル記J□3了1こ設定
し1、アルゴリズムは出口41Bに移り、オペレーティ
ング・システムの他の部分が即刻書込み動作を実行する
上述し5た装置は本発明の原理を適用したー実施例1:
過ぎず、当業者によって、本発明の主旨と範囲を離れな
い他の装置も考案可能である。
【図面の簡単な説明】
第1図は、第1セクシヨンが機密レベルを決定し、第2
のセクションが、機密保護レベルを、各々に機密保護レ
ベルが適用されるコンパートメント示し.た図、 第;2図は、本発明を説明する実施例のシステムにおい
て、ラベル確認経費を減少するために用いる、ファイル
、プロセス、ファイル;己述子及び読取り/′書込み安
全ビットの関係を示した図、第3図は、読取り動作のた
めの確認プロセスの流れ図、 第4図は、書込み動作のための確認プロセスの流れ図で
ある。 FIG. 1 FIG. 3 FiG. 2

Claims (10)

    【特許請求の範囲】
  1. (1)(a)ファイルに第1の機密保護ラベルを結合す
    るステップと、 (b)プロセスに第2の機密保護ラベルを結合するステ
    ップと、 (c)プロセスによるファイル読取り(又は書込み)の
    試みに応じて、第1の機密保護ラベルと第2の機密保護
    ラベルを比較するステップと、(d)宛先の機密保護ラ
    ベルがソース(ファイル又はプロセス)の機密保護ラベ
    ルより優位にない場合は、ファイルの読取り(又は書込
    み)動作の宛先(ファイル又はプロセス)の機密保護ラ
    ベルを動的に引上げるステップと (e)このプロセスとファイルに結合された標識を、ス
    テップ(c)を実行した後、ファイルが安全であること
    を示す第1状態に設定するステップと、(f)その時点
    において、このファイルをアクセスし得る他の全プロセ
    スに結合された標識を、ステップ(d)で機密保護ラベ
    ルが変化した場合には、ファイルが他のプロセスに関し
    て安全でないことを示す第2状態に設定するステップと
    、 (g)プロセス・ファイル対に結合された標識が第1状
    態に設定されている場合に、プロセスによる次のファイ
    ル読取り(又は書込み)の試みにおいて、ステップ(c
    )から(f)までを省略するステップと を有することを特徴とするコンピュータ・システムのフ
    ァイルに対する機密的アクセスの管理方法。
  2. (2)さらに、所定のファイルの機密保護ラベルに凍結
    状態を結合し、それによってこのようなファイルの機密
    保護ラベルが、読取り動作又は書込み動作の試みに応じ
    て変更されることを不可能にするステップを有すること
    を特徴とする請求項1に記載の方法。
  3. (3)ファイルが凍結状態にあり、かつ、プロセスの機
    密保護ラベルがファイルの機密保護ラベルより優位にあ
    る場合に、ファイルの書込みを拒絶することを特徴とす
    る請求項2に記載の方法。
  4. (4)前記所定のファイルは、システム外部の媒体を表
    わすことを特徴とする請求項3に記載の方法。
  5. (5)前記媒体が、システムへのアクセスポートを含む
    ことを特徴とする請求項4に記載の方法。
  6. (6)前記システムへのアクセスポートが、端末、ディ
    スクドライブ、テープドライブを含むことを特徴とする
    請求項5に記載の方法。
  7. (7)ファイル・プロセス対に結合された標識が、さら
    に“読取り安全”標識と“書込み安全”標識とを有する
    ことを特徴とする請求項1に記載の方法。
  8. (8)ステップ(e)が、さらに、ファイル・プロセス
    に結合された“読取り安全”標識を、プロセスによるフ
    ァイル読取り要求に応じて安全状態に設定するステップ
    と、 ファイル・プロセス対に結合された“読取り安全”標識
    を、ファイル書込み要求に応じて、安全状態に設定する
    ステップと を含むことを特徴とする請求項7に記載の方法。
  9. (9)ステップ(f)が、さらに、前記ファイルに結合
    された他のプロセスの全“読取り安全”標識を、ファイ
    ル書込み要求に応じて、非安全状態に設定するステップ
    を含むことを特徴とする請求項7に記載の方法。
  10. (10)ステップ(f)が、さらに、前記ファイルに結
    合された他の全プロセスの全“書込み安全”標識を、フ
    ァイル読取り要求に応じて、非安全状態に設定するステ
    ップを含むことを特徴とする請求項7に記載の方法。
JP1309440A 1988-11-30 1989-11-30 コンピュータ・システムのファイルに対する機密的アクセスの管理方法 Expired - Fee Related JP2603344B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US277630 1988-11-30
US07/277,630 US4984272A (en) 1988-11-30 1988-11-30 Secure file handling in a computer operating system

Publications (2)

Publication Number Publication Date
JPH02194450A true JPH02194450A (ja) 1990-08-01
JP2603344B2 JP2603344B2 (ja) 1997-04-23

Family

ID=23061714

Family Applications (1)

Application Number Title Priority Date Filing Date
JP1309440A Expired - Fee Related JP2603344B2 (ja) 1988-11-30 1989-11-30 コンピュータ・システムのファイルに対する機密的アクセスの管理方法

Country Status (4)

Country Link
US (1) US4984272A (ja)
EP (1) EP0371673B1 (ja)
JP (1) JP2603344B2 (ja)
CA (1) CA2001863C (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH09507914A (ja) * 1994-10-31 1997-08-12 テーウー エレクトロニクス カンパニー リミテッド 3方向加速度の信号を利用した車両の衝突類型を半別する方法及びこれを遂行するための装置

Families Citing this family (118)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB2222899B (en) * 1988-08-31 1993-04-14 Anthony Morris Rose Securing a computer against undesired write operations or from a mass storage device
US5315657A (en) * 1990-09-28 1994-05-24 Digital Equipment Corporation Compound principals in access control lists
US5504814A (en) * 1991-07-10 1996-04-02 Hughes Aircraft Company Efficient security kernel for the 80960 extended architecture
US5475833A (en) * 1991-09-04 1995-12-12 International Business Machines Corporation Database system for facilitating comparison of related information stored in a distributed resource
US5627967A (en) * 1991-09-24 1997-05-06 International Business Machines Corporation Automated generation on file access control system commands in a data processing system with front end processing of a master list
US5305456A (en) * 1991-10-11 1994-04-19 Security Integration, Inc. Apparatus and method for computer system integrated security
US5454000A (en) * 1992-07-13 1995-09-26 International Business Machines Corporation Method and system for authenticating files
IL103062A (en) * 1992-09-04 1996-08-04 Algorithmic Res Ltd Data processor security system
US5832227A (en) * 1992-12-14 1998-11-03 The Commonwealth Of Australia Of Anzak Park Method for providing message document security by deleting predetermined header portions and attaching predetermined header portions when seal is validly associated with message or document
US5369707A (en) * 1993-01-27 1994-11-29 Tecsec Incorporated Secure network method and apparatus
US5349643A (en) * 1993-05-10 1994-09-20 International Business Machines Corporation System and method for secure initial program load for diskless workstations
US7174352B2 (en) 1993-06-03 2007-02-06 Network Appliance, Inc. File system image transfer
US5963962A (en) 1995-05-31 1999-10-05 Network Appliance, Inc. Write anywhere file-system layout
US6604118B2 (en) 1998-07-31 2003-08-05 Network Appliance, Inc. File system image transfer
DE69434381T2 (de) 1993-06-04 2006-01-19 Network Appliance, Inc., Sunnyvale Verfahren zur Paritätsdarstellung in einem Raid-Untersystem unter Verwendung eines nichtflüchtigen Speichers
US5572711A (en) * 1993-09-28 1996-11-05 Bull Hn Information Systems Inc. Mechanism for linking together the files of emulated and host system for access by emulated system users
US5369702A (en) * 1993-10-18 1994-11-29 Tecsec Incorporated Distributed cryptographic object method
US5680452A (en) * 1993-10-18 1997-10-21 Tecsec Inc. Distributed cryptographic object method
US5644444A (en) * 1995-03-10 1997-07-01 Iomega Corporation Read/write protect scheme for a disk cartridge and drive
US6724554B1 (en) 1995-03-10 2004-04-20 Iomega Corporation Read/write protect scheme for a disk cartridge and drive
GB2299000B (en) * 1995-03-14 1999-10-27 Marconi Gec Ltd A communications system
JPH08272625A (ja) * 1995-03-29 1996-10-18 Toshiba Corp マルチプログラム実行制御装置及び方法
US6011847A (en) * 1995-06-01 2000-01-04 Follendore, Iii; Roy D. Cryptographic access and labeling system
JP4162099B2 (ja) 1995-06-02 2008-10-08 富士通株式会社 ウィルス感染に対処する機能を持つ装置及びその記憶装置
US5999622A (en) * 1995-11-22 1999-12-07 Microsoft Corporation Method and apparatus for protecting widely distributed digital information
US5692124A (en) * 1996-08-30 1997-11-25 Itt Industries, Inc. Support of limited write downs through trustworthy predictions in multilevel security of computer network communications
US5844497A (en) * 1996-11-07 1998-12-01 Litronic, Inc. Apparatus and method for providing an authentication system
US6367017B1 (en) 1996-11-07 2002-04-02 Litronic Inc. Apparatus and method for providing and authentication system
US6268788B1 (en) 1996-11-07 2001-07-31 Litronic Inc. Apparatus and method for providing an authentication system based on biometrics
US5920570A (en) * 1996-11-26 1999-07-06 Lucent Technologies Inc. Reliable multi-cast queue
US7212632B2 (en) 1998-02-13 2007-05-01 Tecsec, Inc. Cryptographic key split combiner
US6105132A (en) * 1997-02-20 2000-08-15 Novell, Inc. Computer network graded authentication system and method
US5937159A (en) * 1997-03-28 1999-08-10 Data General Corporation Secure computer system
US6212636B1 (en) 1997-05-01 2001-04-03 Itt Manufacturing Enterprises Method for establishing trust in a computer network via association
US6694433B1 (en) 1997-05-08 2004-02-17 Tecsec, Inc. XML encryption scheme
US6192408B1 (en) * 1997-09-26 2001-02-20 Emc Corporation Network file server sharing local caches of file access information in data processors assigned to respective file systems
US6516351B2 (en) * 1997-12-05 2003-02-04 Network Appliance, Inc. Enforcing uniform file-locking for diverse file-locking protocols
US8077870B2 (en) * 1998-02-13 2011-12-13 Tecsec, Inc. Cryptographic key split binder for use with tagged data elements
US7095852B2 (en) * 1998-02-13 2006-08-22 Tecsec, Inc. Cryptographic key split binder for use with tagged data elements
US7079653B2 (en) * 1998-02-13 2006-07-18 Tecsec, Inc. Cryptographic key split binding process and apparatus
US6457130B2 (en) * 1998-03-03 2002-09-24 Network Appliance, Inc. File access control in a multi-protocol file server
US6317844B1 (en) 1998-03-10 2001-11-13 Network Appliance, Inc. File server storage arrangement
US6279011B1 (en) 1998-06-19 2001-08-21 Network Appliance, Inc. Backup and restore for heterogeneous file server environment
US6574591B1 (en) 1998-07-31 2003-06-03 Network Appliance, Inc. File systems image transfer between dissimilar file systems
US6119244A (en) * 1998-08-25 2000-09-12 Network Appliance, Inc. Coordinating persistent status information with multiple file servers
AUPP660298A0 (en) * 1998-10-20 1998-11-12 Canon Kabushiki Kaisha Apparatus and method for preventing disclosure of protected information
US6073106A (en) * 1998-10-30 2000-06-06 Nehdc, Inc. Method of managing and controlling access to personal information
US6343984B1 (en) 1998-11-30 2002-02-05 Network Appliance, Inc. Laminar flow duct cooling system
JP4294142B2 (ja) 1999-02-02 2009-07-08 株式会社日立製作所 ディスクサブシステム
US20040034686A1 (en) * 2000-02-22 2004-02-19 David Guthrie System and method for delivering targeted data to a subscriber base via a computer network
US7058817B1 (en) 1999-07-02 2006-06-06 The Chase Manhattan Bank System and method for single sign on process for websites with multiple applications and services
US6961749B1 (en) 1999-08-25 2005-11-01 Network Appliance, Inc. Scalable file server with highly available pairs
EP1085396A1 (en) 1999-09-17 2001-03-21 Hewlett-Packard Company Operation of trusted state in computing platform
US7043553B2 (en) * 1999-10-07 2006-05-09 Cisco Technology, Inc. Method and apparatus for securing information access
US7519905B2 (en) * 1999-10-12 2009-04-14 Webmd Corp. Automatic formatting and validating of text for a markup language graphical user interface
US7305475B2 (en) 1999-10-12 2007-12-04 Webmd Health System and method for enabling a client application to operate offline from a server
US7877492B2 (en) * 1999-10-12 2011-01-25 Webmd Corporation System and method for delegating a user authentication process for a networked application to an authentication agent
US20040034833A1 (en) * 1999-11-12 2004-02-19 Panagiotis Kougiouris Dynamic interaction manager for markup language graphical user interface
US20050028171A1 (en) * 1999-11-12 2005-02-03 Panagiotis Kougiouris System and method enabling multiple processes to efficiently log events
US20020007284A1 (en) * 1999-12-01 2002-01-17 Schurenberg Kurt B. System and method for implementing a global master patient index
US6883120B1 (en) 1999-12-03 2005-04-19 Network Appliance, Inc. Computer assisted automatic error detection and diagnosis of file servers
US6715034B1 (en) 1999-12-13 2004-03-30 Network Appliance, Inc. Switching file system request in a mass storage system
US8612245B2 (en) * 2000-02-24 2013-12-17 Webmd Llc Personalized health history system with accommodation for consumer health terminology
US8775197B2 (en) * 2000-02-24 2014-07-08 Webmd, Llc Personalized health history system with accommodation for consumer health terminology
US8712792B2 (en) * 2000-02-24 2014-04-29 Webmd, Llc Personalized health communication system
US7103556B2 (en) * 2000-11-02 2006-09-05 Jpmorgan Chase Bank, N.A. System and method for aggregate portfolio client support
GB2376763B (en) * 2001-06-19 2004-12-15 Hewlett Packard Co Demonstrating integrity of a compartment of a compartmented operating system
US7065644B2 (en) * 2001-01-12 2006-06-20 Hewlett-Packard Development Company, L.P. System and method for protecting a security profile of a computer system
GB0102516D0 (en) * 2001-01-31 2001-03-21 Hewlett Packard Co Trusted gateway system
GB0102518D0 (en) * 2001-01-31 2001-03-21 Hewlett Packard Co Trusted operating system
GB0102515D0 (en) * 2001-01-31 2001-03-21 Hewlett Packard Co Network adapter management
GB2372592B (en) 2001-02-23 2005-03-30 Hewlett Packard Co Information system
GB2372595A (en) * 2001-02-23 2002-08-28 Hewlett Packard Co Method of and apparatus for ascertaining the status of a data processing environment.
US8849716B1 (en) 2001-04-20 2014-09-30 Jpmorgan Chase Bank, N.A. System and method for preventing identity theft or misuse by restricting access
WO2002099598A2 (en) 2001-06-07 2002-12-12 First Usa Bank, N.A. System and method for rapid updating of credit information
GB2376762A (en) * 2001-06-19 2002-12-24 Hewlett Packard Co Renting a computing environment on a trusted computing platform
GB0114898D0 (en) * 2001-06-19 2001-08-08 Hewlett Packard Co Interaction with electronic services and markets
GB2376764B (en) * 2001-06-19 2004-12-29 Hewlett Packard Co Multiple trusted computing environments
US7962950B2 (en) * 2001-06-29 2011-06-14 Hewlett-Packard Development Company, L.P. System and method for file system mandatory access control
AU2002315565B2 (en) * 2001-06-29 2007-05-24 Secure Systems Limited Security system and method for computers
US7266839B2 (en) * 2001-07-12 2007-09-04 J P Morgan Chase Bank System and method for providing discriminated content to network users
GB2378013A (en) * 2001-07-27 2003-01-29 Hewlett Packard Co Trusted computer platform audit system
GB2382419B (en) * 2001-11-22 2005-12-14 Hewlett Packard Co Apparatus and method for creating a trusted environment
US7987501B2 (en) 2001-12-04 2011-07-26 Jpmorgan Chase Bank, N.A. System and method for single session sign-on
GB0130690D0 (en) * 2001-12-21 2002-02-06 Esselte Nv Label printer
US7318238B2 (en) * 2002-01-14 2008-01-08 Microsoft Corporation Security settings for markup language elements
US7249379B2 (en) * 2002-02-01 2007-07-24 Systems Advisory Group Enterprises, Inc. Method and apparatus for implementing process-based security in a computer system
US20040243845A1 (en) * 2002-02-01 2004-12-02 Larsen Vincent Alan System and method for process-based security in a network device
US20040093525A1 (en) * 2002-02-01 2004-05-13 Larnen Vincent Alan Process based security tai building
US20040158734A1 (en) * 2002-02-01 2004-08-12 Larsen Vincent Alan System and method for process-based security in a portable electronic device
US20180165441A1 (en) 2002-03-25 2018-06-14 Glenn Cobourn Everhart Systems and methods for multifactor authentication
US20030226014A1 (en) * 2002-05-31 2003-12-04 Schmidt Rodney W. Trusted client utilizing security kernel under secure execution mode
US7134022B2 (en) * 2002-07-16 2006-11-07 Flyntz Terence T Multi-level and multi-category data labeling system
US7058660B2 (en) 2002-10-02 2006-06-06 Bank One Corporation System and method for network-based project management
US8301493B2 (en) * 2002-11-05 2012-10-30 Jpmorgan Chase Bank, N.A. System and method for providing incentives to consumers to share information
JP2004234378A (ja) * 2003-01-30 2004-08-19 Fujitsu Ltd セキュリティ管理装置及びセキュリティ管理方法
US7265193B2 (en) * 2003-01-31 2007-09-04 Exxonmobil Chemical Patents Inc. Polymerization process
US7296010B2 (en) * 2003-03-04 2007-11-13 International Business Machines Corporation Methods, systems and program products for classifying and storing a data handling method and for associating a data handling method with a data item
US7373647B2 (en) * 2003-04-30 2008-05-13 International Business Machines Corporation Method and system for optimizing file table usage
US20040268139A1 (en) * 2003-06-25 2004-12-30 Microsoft Corporation Systems and methods for declarative client input security screening
US7669239B2 (en) * 2003-09-15 2010-02-23 Jpmorgan Chase Bank, N.A. Secure network system and associated method of use
US7810153B2 (en) * 2005-01-28 2010-10-05 Microsoft Corporation Controlling execution of computer applications
US7802294B2 (en) 2005-01-28 2010-09-21 Microsoft Corporation Controlling computer applications' access to data
US8296162B1 (en) 2005-02-01 2012-10-23 Webmd Llc. Systems, devices, and methods for providing healthcare information
US7650501B1 (en) * 2005-02-15 2010-01-19 Sun Microsystems, Inc. System and methods for construction, fusion, prosecution, and maintenance of minimized operating environments
EP1866825A1 (en) 2005-03-22 2007-12-19 Hewlett-Packard Development Company, L.P. Methods, devices and data structures for trusted data
US8078740B2 (en) * 2005-06-03 2011-12-13 Microsoft Corporation Running internet applications with low rights
US8117441B2 (en) * 2006-06-20 2012-02-14 Microsoft Corporation Integrating security protection tools with computer device integrity and privacy policy
US8185737B2 (en) 2006-06-23 2012-05-22 Microsoft Corporation Communication across domains
US8127133B2 (en) * 2007-01-25 2012-02-28 Microsoft Corporation Labeling of data objects to apply and enforce policies
US8380530B2 (en) * 2007-02-02 2013-02-19 Webmd Llc. Personalized health records with associative relationships
KR101742525B1 (ko) * 2007-05-18 2017-06-15 씨큐어 키즈 피티와이 리미티드 보안 토큰과 그 보안 토큰을 생성하고 복호화하는 시스템 및 방법
US10019570B2 (en) * 2007-06-14 2018-07-10 Microsoft Technology Licensing, Llc Protection and communication abstractions for web browsers
US9594901B2 (en) * 2008-12-02 2017-03-14 At&T Intellectual Property I, L.P. Methods, systems, and products for secure access to file system structures
US8930324B2 (en) * 2012-06-15 2015-01-06 Russell A. Blaine Guarded file descriptors
US10586076B2 (en) * 2015-08-24 2020-03-10 Acronis International Gmbh System and method for controlling access to OS resources
US9674201B1 (en) 2015-12-29 2017-06-06 Imperva, Inc. Unobtrusive protection for large-scale data breaches utilizing user-specific data object access budgets
US9674202B1 (en) 2015-12-29 2017-06-06 Imperva, Inc. Techniques for preventing large-scale data breaches utilizing differentiated protection layers

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4135240A (en) * 1973-07-09 1979-01-16 Bell Telephone Laboratories, Incorporated Protection of data file contents
US4858117A (en) * 1987-08-07 1989-08-15 Bull Hn Information Systems Inc. Apparatus and method for preventing computer access by unauthorized personnel
US4864616A (en) * 1987-10-15 1989-09-05 Micronyx, Inc. Cryptographic labeling of electronically stored data
US4918653A (en) * 1988-01-28 1990-04-17 International Business Machines Corporation Trusted path mechanism for an operating system
US4885789A (en) * 1988-02-01 1989-12-05 International Business Machines Corporation Remote trusted path mechanism for telnet
US4926476A (en) * 1989-02-03 1990-05-15 Motorola, Inc. Method and apparatus for secure execution of untrusted software

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH09507914A (ja) * 1994-10-31 1997-08-12 テーウー エレクトロニクス カンパニー リミテッド 3方向加速度の信号を利用した車両の衝突類型を半別する方法及びこれを遂行するための装置

Also Published As

Publication number Publication date
CA2001863C (en) 1995-12-05
US4984272A (en) 1991-01-08
EP0371673B1 (en) 1997-08-27
EP0371673A2 (en) 1990-06-06
JP2603344B2 (ja) 1997-04-23
CA2001863A1 (en) 1990-05-31
EP0371673A3 (en) 1991-04-03

Similar Documents

Publication Publication Date Title
JPH02194450A (ja) コンピュータ・システムのファイルに対する機密的アクセスの管理方法
US9881013B2 (en) Method and system for providing restricted access to a storage medium
US8402269B2 (en) System and method for controlling exit of saved data from security zone
KR910005995B1 (ko) 데이터처리 시스템 및 그 시스템파일의 보호방법
US7536524B2 (en) Method and system for providing restricted access to a storage medium
US8234477B2 (en) Method and system for providing restricted access to a storage medium
US7987496B2 (en) Automatic application of information protection policies
McIlroy et al. Multilevel security in the UNIX tradition
US8838994B2 (en) Method for protecting computer programs and data from hostile code
US20180067812A1 (en) System and method for secured backup of data
CA2496664C (en) Encrypting operating system
JP5722337B2 (ja) リソースプロパティに基づくリソースアクセス制御
US20070180257A1 (en) Application-based access control system and method using virtual disk
US8769271B1 (en) Identifying and enforcing strict file confidentiality in the presence of system and storage administrators in a NAS system
US20110231378A1 (en) Method and system for security of file input and output of application programs
US20080107261A1 (en) Method for Protecting Confidential Data
JPH0341535A (ja) コンピュータ・システムにおけるセキュリティ保護の強制的実施方法
US12013943B2 (en) Data processing system and method capable of separating application processes
Low et al. Fine grained object protection in UNIX
US20080133714A1 (en) Eagleeyeos zone: method of control of separation technology of file sharing for network computers
CN117725630B (zh) 安全防护方法、设备、存储介质和计算机程序产品
KR20200139000A (ko) 보조기억장치에서의 파일시스템 보호장치 및 방법
JPH0553895A (ja) フアイルセキユリテイ制御方式
JPH0387945A (ja) ファイルセキュリティ制御方式

Legal Events

Date Code Title Description
LAPS Cancellation because of no payment of annual fees