JPH027640A - 端末コンソール及び高信頼性仮想端末間に高信頼性伝送路を確立する装置 - Google Patents
端末コンソール及び高信頼性仮想端末間に高信頼性伝送路を確立する装置Info
- Publication number
- JPH027640A JPH027640A JP63318668A JP31866888A JPH027640A JP H027640 A JPH027640 A JP H027640A JP 63318668 A JP63318668 A JP 63318668A JP 31866888 A JP31866888 A JP 31866888A JP H027640 A JPH027640 A JP H027640A
- Authority
- JP
- Japan
- Prior art keywords
- terminal
- virtual
- console
- highly reliable
- user
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 230000005540 biological transmission Effects 0.000 title claims abstract description 67
- 238000012545 processing Methods 0.000 claims description 20
- 238000013475 authorization Methods 0.000 claims description 12
- 230000003213 activating effect Effects 0.000 claims 1
- 230000004913 activation Effects 0.000 claims 1
- 238000000034 method Methods 0.000 abstract description 184
- 230000008569 process Effects 0.000 abstract description 173
- 230000004044 response Effects 0.000 abstract description 7
- 101001072903 Homo sapiens Phosphoglucomutase-2 Proteins 0.000 abstract description 2
- 102100036629 Phosphoglucomutase-2 Human genes 0.000 abstract description 2
- 244000118350 Andrographis paniculata Species 0.000 abstract 1
- 101000583553 Homo sapiens Phosphoglucomutase-1 Proteins 0.000 abstract 1
- 102100030999 Phosphoglucomutase-1 Human genes 0.000 abstract 1
- 239000000872 buffer Substances 0.000 description 21
- 230000006870 function Effects 0.000 description 20
- 230000007246 mechanism Effects 0.000 description 12
- 238000010586 diagram Methods 0.000 description 6
- ZXQYGBMAQZUVMI-GCMPRSNUSA-N gamma-cyhalothrin Chemical compound CC1(C)[C@@H](\C=C(/Cl)C(F)(F)F)[C@H]1C(=O)O[C@H](C#N)C1=CC=CC(OC=2C=CC=CC=2)=C1 ZXQYGBMAQZUVMI-GCMPRSNUSA-N 0.000 description 5
- 101000833350 Homo sapiens Phosphoacetylglucosamine mutase Proteins 0.000 description 4
- 102100024440 Phosphoacetylglucosamine mutase Human genes 0.000 description 4
- 238000013461 design Methods 0.000 description 3
- 241000283086 Equidae Species 0.000 description 2
- 238000006243 chemical reaction Methods 0.000 description 2
- 238000004891 communication Methods 0.000 description 1
- 230000001010 compromised effect Effects 0.000 description 1
- 239000013078 crystal Substances 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 238000005192 partition Methods 0.000 description 1
- 230000005582 sexual transmission Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/48—Program initiating; Program switching, e.g. by interrupt
- G06F9/4806—Task transfer initiation or dispatching
- G06F9/4843—Task transfer initiation or dispatching by program, e.g. task dispatcher, supervisor, operating system
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/53—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F9/00—Arrangements for program control, e.g. control units
- G06F9/06—Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
- G06F9/46—Multiprogramming arrangements
- G06F9/468—Specific access rights for resources, e.g. using capability register
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F2211/00—Indexing scheme relating to details of data-processing equipment not covered by groups G06F3/00 - G06F13/00
- G06F2211/009—Trust
Landscapes
- Engineering & Computer Science (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Storage Device Security (AREA)
- Computer And Data Communications (AREA)
Abstract
(57)【要約】本公報は電子出願前の出願データであるた
め要約のデータは記録されません。
め要約のデータは記録されません。
Description
【発明の詳細な説明】
A、産業上の利用分野
本発明はデータ処理に関するものであり、更に詳しくは
仮想端末手段を有するシステム間に高信頼性(トラステ
ッド)伝送路を設定することに関する。
仮想端末手段を有するシステム間に高信頼性(トラステ
ッド)伝送路を設定することに関する。
B、従来技術及び問題点
データ処理業務の中には財政に関する業務、国家機密に
関する業務等のように高度に機密の情報を取扱うものが
あり、その情報はデータ処理システムに接続されたユー
ザ端末で、その情報をユーザがタイプ作業することによ
ってシステムに入力される。正当な権限を有しない人物
又はプログラムがユーザ端末でデータを読出すことを防
止するための効果的な手段は、従来技術には無かった。
関する業務等のように高度に機密の情報を取扱うものが
あり、その情報はデータ処理システムに接続されたユー
ザ端末で、その情報をユーザがタイプ作業することによ
ってシステムに入力される。正当な権限を有しない人物
又はプログラムがユーザ端末でデータを読出すことを防
止するための効果的な手段は、従来技術には無かった。
従来のデータ処理システムに於ては、処理装置間の伝送
回線及びオペレーティングシステムのソフトウェアはト
ロイの木馬として知られている不法なプログラムによっ
て偽造されたり、破壊されたすすることがあった。トロ
イの木馬はユーザが送ろうとしているプログラムである
かのように変造したり、ユーザが自分の端末で入力して
いる機密情報を盗用したり、写し取ったり、安全性を損
ったりすることが可能である。
回線及びオペレーティングシステムのソフトウェアはト
ロイの木馬として知られている不法なプログラムによっ
て偽造されたり、破壊されたすすることがあった。トロ
イの木馬はユーザが送ろうとしているプログラムである
かのように変造したり、ユーザが自分の端末で入力して
いる機密情報を盗用したり、写し取ったり、安全性を損
ったりすることが可能である。
米国政府は国家の安全に係る適用業務に対して、DOD
基準と呼ばれる基準を作った。そのDOD基準は高信頼
性(トラステッド)コンピュータ・システムとは、一定
範囲の極秘情報又は機密指定された情報を同時処理のた
めに使用することが許される十分なハードウェア及びソ
フトウェアの完全性基準を採用したシステムであると定
義している。高信頼性コンピューティング・ベース(T
CB)とは、ハードウェア、ファームウェア及びソフト
ウェアを含むコンピュータ・システム内の保護機構の全
体像として、そしてそれらの組合せが安全に対する政策
を実施する責任を負うものとして定義されている。高信
頼性コンピューティング・ベース(TCB)はシステム
全体に亘って統一的な安全政策を実施する1つ以上の構
成要素より成る。安全政策を正し〈実施するためのTC
Bの能力は、TCB内の機構と、安全政策に関連したユ
ーザ手続などのパラメータをシステム管理者が正しく入
力したか否かによってのみ決まる。高信頼性伝送路はD
OD基準によれば、プロセッサの端末に居る人物が高信
頼性コンピューティング・ベースの下で直接的にコミュ
ニケートできる機構であると定義されている。高信頼性
伝送路機構は信顛性コンピューティング・ベースの要員
によってのみ動作可能であって、非高信鎖性(アントラ
ステッド)ソフトウェアで擬似(イミテート)すること
は不可能である。高信頼性ソフトウェアとハ、高信頼性
コンピューティング・ベースのソフトウェア部分である
と定義されている。
基準と呼ばれる基準を作った。そのDOD基準は高信頼
性(トラステッド)コンピュータ・システムとは、一定
範囲の極秘情報又は機密指定された情報を同時処理のた
めに使用することが許される十分なハードウェア及びソ
フトウェアの完全性基準を採用したシステムであると定
義している。高信頼性コンピューティング・ベース(T
CB)とは、ハードウェア、ファームウェア及びソフト
ウェアを含むコンピュータ・システム内の保護機構の全
体像として、そしてそれらの組合せが安全に対する政策
を実施する責任を負うものとして定義されている。高信
頼性コンピューティング・ベース(TCB)はシステム
全体に亘って統一的な安全政策を実施する1つ以上の構
成要素より成る。安全政策を正し〈実施するためのTC
Bの能力は、TCB内の機構と、安全政策に関連したユ
ーザ手続などのパラメータをシステム管理者が正しく入
力したか否かによってのみ決まる。高信頼性伝送路はD
OD基準によれば、プロセッサの端末に居る人物が高信
頼性コンピューティング・ベースの下で直接的にコミュ
ニケートできる機構であると定義されている。高信頼性
伝送路機構は信顛性コンピューティング・ベースの要員
によってのみ動作可能であって、非高信鎖性(アントラ
ステッド)ソフトウェアで擬似(イミテート)すること
は不可能である。高信頼性ソフトウェアとハ、高信頼性
コンピューティング・ベースのソフトウェア部分である
と定義されている。
遠隔プロセッサ中の高信頼性コンピューティング・ベー
スと近辺のプロセッサとの間の高信頼性伝送路を維持す
る上での問題は、複数のユーザに対してサービスするオ
ペレーティングシステムと妥協させられる。高信頼性伝
送路を確立するのに有効な機構を提供していない従来技
術の複数ユーザ用のオペレーティングシステムの実例と
して、UN I X (ATTベル研の商標)、XEN
IX(マイクロソフト社の商標)、AIX (18M社
の商標)が挙げられる。UNIXは広い範囲のミニコン
ピユータ及びマイクロコンピュータ用のオペレーティン
グシステムとしてATTが開発したものである。
スと近辺のプロセッサとの間の高信頼性伝送路を維持す
る上での問題は、複数のユーザに対してサービスするオ
ペレーティングシステムと妥協させられる。高信頼性伝
送路を確立するのに有効な機構を提供していない従来技
術の複数ユーザ用のオペレーティングシステムの実例と
して、UN I X (ATTベル研の商標)、XEN
IX(マイクロソフト社の商標)、AIX (18M社
の商標)が挙げられる。UNIXは広い範囲のミニコン
ピユータ及びマイクロコンピュータ用のオペレーティン
グシステムとしてATTが開発したものである。
ATTベル研はUNIXオペレーティングシステムを使
用することを多数の関係者にライセンスして来た。そし
て今や幾ものバージョンが存在する。ATTが出した最
新バージョンは5.2である。UNIXオペレーティン
グシステムのバークレイ・バージョンとして知られる別
バージョンがバークレイにあるカリフォルニア大学で開
発された。マイクロソフト社はXENIXなる商標で知
られるバージョンを持っている。
用することを多数の関係者にライセンスして来た。そし
て今や幾ものバージョンが存在する。ATTが出した最
新バージョンは5.2である。UNIXオペレーティン
グシステムのバークレイ・バージョンとして知られる別
バージョンがバークレイにあるカリフォルニア大学で開
発された。マイクロソフト社はXENIXなる商標で知
られるバージョンを持っている。
1985年にIBM RT PC(RT PCは
18M社の商標)、RISC(短縮命令セット・コンピ
ュータ)技術を使ったパソコンを発表するに際して、1
8M社はATXと呼ばれる新らしいオペレーティングシ
ステムを公開した。AIXはATTのUNIXオペレー
ティングシステムのバージョン5.2と適用業務インタ
ーフェイスのレベルで互換性があり、そのバージョン5
.2への拡張を包含している。
18M社の商標)、RISC(短縮命令セット・コンピ
ュータ)技術を使ったパソコンを発表するに際して、1
8M社はATXと呼ばれる新らしいオペレーティングシ
ステムを公開した。AIXはATTのUNIXオペレー
ティングシステムのバージョン5.2と適用業務インタ
ーフェイスのレベルで互換性があり、そのバージョン5
.2への拡張を包含している。
八、ジョグ及びG、ルケンバウの発明に係り、1988
年1月28日に併行して出願された18M社の米国特許
出願は、端末キーボードでユーザがタイプしたデータは
授権されていない(正当な権限のない)プログラムの命
令から保護されることを保証する高信頼性伝送路機構に
係る発明を開示している。その発明は、ユーザの端末と
高信頼性オペレーティングシステムのソフトウェアとの
間に偽造不能で侵入不能のコミュニケーション伝送路を
ユーザが構築できるようにしている。ユーザは端末キー
ボード上の安全性注意キー(SAK)と呼ばれるキーを
押すだけで、高信頼性伝送路を構築できる。この操作は
、ユーザが真実のログイン・プログラムでコミュニケー
ションしつつあり、ログイン・プログラムとして板面を
かぶってユーザのパスワードを盗むかも知れないトロイ
の木馬ではないことを確かめるためにシステム中にユー
ザがログインするときに利用することが出来る。
年1月28日に併行して出願された18M社の米国特許
出願は、端末キーボードでユーザがタイプしたデータは
授権されていない(正当な権限のない)プログラムの命
令から保護されることを保証する高信頼性伝送路機構に
係る発明を開示している。その発明は、ユーザの端末と
高信頼性オペレーティングシステムのソフトウェアとの
間に偽造不能で侵入不能のコミュニケーション伝送路を
ユーザが構築できるようにしている。ユーザは端末キー
ボード上の安全性注意キー(SAK)と呼ばれるキーを
押すだけで、高信頼性伝送路を構築できる。この操作は
、ユーザが真実のログイン・プログラムでコミュニケー
ションしつつあり、ログイン・プログラムとして板面を
かぶってユーザのパスワードを盗むかも知れないトロイ
の木馬ではないことを確かめるためにシステム中にユー
ザがログインするときに利用することが出来る。
ユーザは高信頼性伝送路を設定した後に、パスワードの
ような機密データを入力することが出来ると共に、自分
のパスワードは侵入者のプログラムによって盗まれよう
としてはいないことを確かめることが出来る。そしてユ
ーザはログアウトした後に、高信頼性伝送路がそのユー
ザをシステムから本当にログアウトしており、トロイの
木馬プログラムはユーザが起動したセツションを承継し
得ないようになっていることを確かめることが出来る。
ような機密データを入力することが出来ると共に、自分
のパスワードは侵入者のプログラムによって盗まれよう
としてはいないことを確かめることが出来る。そしてユ
ーザはログアウトした後に、高信頼性伝送路がそのユー
ザをシステムから本当にログアウトしており、トロイの
木馬プログラムはユーザが起動したセツションを承継し
得ないようになっていることを確かめることが出来る。
その併行米国特許出願に開示された発明は、安全性注意
キー付きのキーボードを有する少(とも1つの端末を持
った、複数個の端末に接続されたメモリを含むデータ処
理システムに包含されている。安全性注意キーに応答し
て、その端末と高信頼性コンピューティング・ベースの
高信頼性シェル部分、即ちオペレーティングシステムの
下での1nit (初期)プロセスの子供に当るプロセ
ス、との間に高信頼性伝送路を構築するのが、UNIX
型のオペレーティングシステムでの方法である。その方
法はキーボードに接続されたキーボード・デバイス駆動
器中の安全注意キーを検出し、そのキーが検出されたと
言う情報をキーボード・デバイス駆動器から安全注意キ
ー信号発生器へ出力することを含んでいる。更に、その
端末の処理グループ内で動作しているすべてのプロセス
に対して、安全注意キー発生器から5IGSAK信号を
出力し、その端末の処理グループに於けるすべての処理
を打切ることを含んでいる。その方法は更に、端末とイ
ンターフェイス関係にあるすべてのデバイス駆動器に組
合わされた授権テーブル(表)をアクセスするために、
そして初期プロセスを除いて、データ処理システム中の
すべての処理に対する授権のアクセスを拒むために、5
IGSAK信号を適用することを含んでいる。その方法
は更に、5IGSAK信号をファイル・アクセス・テー
ブルに送って、端末とインターフェイス関係にあるデバ
イス駆動器と関連のあるすべてのアドレス用情報を除去
することを含んでいる。更に、新たなチャイルド(子)
プロセスのため1nit(初期)プロセスにより分岐(
fork)システム・コールを実行することを含んでい
る。更に、高信頼性シェル・プロセスを新たなチャイル
ド・プロセスに、端末とインターフェイス関係にあるデ
バイス駆動器へのアクセス授権を有する高信頼性シェル
・プロセスに、及び端末とインターフェース関係にある
デバイス駆動器に対するファイル・アクセス・テーブル
に定義されたアドレス関係を有する高信頼性シェル・プ
ロセスに、夫々オーバレイするため実行システム・コー
ルを実行することを含んでいる。これによって高信頼性
伝送路が端末と高信頼性シェル・プロセスとの間に確立
される。
キー付きのキーボードを有する少(とも1つの端末を持
った、複数個の端末に接続されたメモリを含むデータ処
理システムに包含されている。安全性注意キーに応答し
て、その端末と高信頼性コンピューティング・ベースの
高信頼性シェル部分、即ちオペレーティングシステムの
下での1nit (初期)プロセスの子供に当るプロセ
ス、との間に高信頼性伝送路を構築するのが、UNIX
型のオペレーティングシステムでの方法である。その方
法はキーボードに接続されたキーボード・デバイス駆動
器中の安全注意キーを検出し、そのキーが検出されたと
言う情報をキーボード・デバイス駆動器から安全注意キ
ー信号発生器へ出力することを含んでいる。更に、その
端末の処理グループ内で動作しているすべてのプロセス
に対して、安全注意キー発生器から5IGSAK信号を
出力し、その端末の処理グループに於けるすべての処理
を打切ることを含んでいる。その方法は更に、端末とイ
ンターフェイス関係にあるすべてのデバイス駆動器に組
合わされた授権テーブル(表)をアクセスするために、
そして初期プロセスを除いて、データ処理システム中の
すべての処理に対する授権のアクセスを拒むために、5
IGSAK信号を適用することを含んでいる。その方法
は更に、5IGSAK信号をファイル・アクセス・テー
ブルに送って、端末とインターフェイス関係にあるデバ
イス駆動器と関連のあるすべてのアドレス用情報を除去
することを含んでいる。更に、新たなチャイルド(子)
プロセスのため1nit(初期)プロセスにより分岐(
fork)システム・コールを実行することを含んでい
る。更に、高信頼性シェル・プロセスを新たなチャイル
ド・プロセスに、端末とインターフェイス関係にあるデ
バイス駆動器へのアクセス授権を有する高信頼性シェル
・プロセスに、及び端末とインターフェース関係にある
デバイス駆動器に対するファイル・アクセス・テーブル
に定義されたアドレス関係を有する高信頼性シェル・プ
ロセスに、夫々オーバレイするため実行システム・コー
ルを実行することを含んでいる。これによって高信頼性
伝送路が端末と高信頼性シェル・プロセスとの間に確立
される。
しかし、併行出願の高信頼性伝送路は複数のウィンドウ
又は仮想端末を働らかせているデータ・プロセッサに適
用すると若干の問題を生じる。何故ならば、仮想端末の
うちの1つに高信頼性伝送路を確立することは、同じプ
ロセッサ上の他の仮想端末で同時に動作中のセツション
を破壊することがありうるからである。
又は仮想端末を働らかせているデータ・プロセッサに適
用すると若干の問題を生じる。何故ならば、仮想端末の
うちの1つに高信頼性伝送路を確立することは、同じプ
ロセッサ上の他の仮想端末で同時に動作中のセツション
を破壊することがありうるからである。
18M社の他の併行米国特許出願(1986年1月17
日出願820451号)は、処理システム上で幾つかの
適用業務を同時に走らせるための方法及び装置を開示し
ている。複数の適用業務を走らせるために、複数の仮想
端末が創設される。
日出願820451号)は、処理システム上で幾つかの
適用業務を同時に走らせるための方法及び装置を開示し
ている。複数の適用業務を走らせるために、複数の仮想
端末が創設される。
それにも拘らずすべての仮想端末は処理システムが単一
の端末を持ったシステムであるかのように行動する。こ
のため、この多重仮想端末環境に於ても、単一端末シス
テム用に書かれた適用業務が動作可能になる。このシス
テムで動作している幾つかの適用業務のうちの1つと相
互動作するためには、システムの実際の物理的資源は選
択された適用業務を走らせている仮想端末にリロケート
される。
の端末を持ったシステムであるかのように行動する。こ
のため、この多重仮想端末環境に於ても、単一端末シス
テム用に書かれた適用業務が動作可能になる。このシス
テムで動作している幾つかの適用業務のうちの1つと相
互動作するためには、システムの実際の物理的資源は選
択された適用業務を走らせている仮想端末にリロケート
される。
18M社の併行米国特許出願(1986年1417日出
願820453号)は、オペレーティングシステム・ダ
イレクト・アクセスで走行する適用業務を出力デイスプ
レィに与えるデータ処理システムを開示している。その
システムは2モードで動作できる。第1のモードでは、
若しも適用業務が出力デイスプレィにテキストを表示さ
せるなら、出力データはそれが出力デイスプレィに到達
する前に処理システムのすべての階層を通過しなければ
ならない。第2のモードでは、適用業務は処理システム
の多くの階層を通過することなく出力デイスプレィへ直
接的にデータを出力することが可能である。このような
第2のモードでは、適用業務によってバッファが限定さ
れる。入力デバイスからの入力データはこのバッファに
記憶される。適用業務はそのバッファをアクセスして、
デイスプレィへの直接的な出力とする。
願820453号)は、オペレーティングシステム・ダ
イレクト・アクセスで走行する適用業務を出力デイスプ
レィに与えるデータ処理システムを開示している。その
システムは2モードで動作できる。第1のモードでは、
若しも適用業務が出力デイスプレィにテキストを表示さ
せるなら、出力データはそれが出力デイスプレィに到達
する前に処理システムのすべての階層を通過しなければ
ならない。第2のモードでは、適用業務は処理システム
の多くの階層を通過することなく出力デイスプレィへ直
接的にデータを出力することが可能である。このような
第2のモードでは、適用業務によってバッファが限定さ
れる。入力デバイスからの入力データはこのバッファに
記憶される。適用業務はそのバッファをアクセスして、
デイスプレィへの直接的な出力とする。
上述の従来技術のマルチユーザ・オペレーティングシス
テムでは、授権されていないプログラムが仮想端末から
データを読み出すことを防止するのに有効な高信頼性伝
送路を提供できないのが問題点である。
テムでは、授権されていないプログラムが仮想端末から
データを読み出すことを防止するのに有効な高信頼性伝
送路を提供できないのが問題点である。
本発明の目的は仮想端末に於て高信頼性伝送路を確立す
るための機構を提供することである。
るための機構を提供することである。
他の目的は、仮想端末を走らせるマルチユーザ・オペレ
ーティングシステムのための高信頼性伝送路を確立する
ことである。
ーティングシステムのための高信頼性伝送路を確立する
ことである。
更に他の目的は、仮想端末を走らせるUNl、X型のオ
ペレーティングシステムのための高信頼性伝送路機構を
提供することである。
ペレーティングシステムのための高信頼性伝送路機構を
提供することである。
C0問題点を解決するための手段
複数の仮想端末を走らせているプロセッサに対してユー
ザがログオンし、且つ安全注意キーを押したとき、動作
中の仮想端末は破壊されない。それとは異って本発明は
新たな仮想端末を創設し、その新たな仮想端末のために
高信頼性伝送路を確立し、その新たな仮想端末を現行仮
想端末とした後に、その新たな仮想端末で高信頼性プロ
セスを走らせる。
ザがログオンし、且つ安全注意キーを押したとき、動作
中の仮想端末は破壊されない。それとは異って本発明は
新たな仮想端末を創設し、その新たな仮想端末のために
高信頼性伝送路を確立し、その新たな仮想端末を現行仮
想端末とした後に、その新たな仮想端末で高信頼性プロ
セスを走らせる。
D、実施例
第1図乃至第7図は仮想端末環境のための高信頼性伝送
路の概略図である。第1図乃至第6図は、一連のユーザ
適用業務プログラムと共に、ディスク駆動装置からUN
IX型のオペレーティングシステムをロードしたメモリ
に接続されたマイクロプロセッサを含むデータ・プロセ
ッサの種々の状態を示す図である。デイスプレィ・モニ
タ及びキーボードを含む端末もそのメモリに接続されて
、ユーザがデータ・プロセッサで動作中のプログラムに
働きかけることを可能にしている。データ・プロセッサ
は、前述の併行出願に開示されたような、仮想端末サポ
ート機能を含んだAIXオペレーティングシステムを走
らせるIBMRTPOでもよい。
路の概略図である。第1図乃至第6図は、一連のユーザ
適用業務プログラムと共に、ディスク駆動装置からUN
IX型のオペレーティングシステムをロードしたメモリ
に接続されたマイクロプロセッサを含むデータ・プロセ
ッサの種々の状態を示す図である。デイスプレィ・モニ
タ及びキーボードを含む端末もそのメモリに接続されて
、ユーザがデータ・プロセッサで動作中のプログラムに
働きかけることを可能にしている。データ・プロセッサ
は、前述の併行出願に開示されたような、仮想端末サポ
ート機能を含んだAIXオペレーティングシステムを走
らせるIBMRTPOでもよい。
原UN I X型のオペレーティングシステム・ファイ
ルは、ディスク駆動装置からメモリヘロードされるカー
ネル(kernel、核)であって、高信頼性コンピュ
ーティング・ベースの1部であると考えられる。カーネ
ルは初期化動作を実行し、マルチ・ユーザ動作及び仮想
端末動作を実行するのに必要なシステム・ファイル及び
開始のために必須のファイルを組織化(オーガナイズ)
する。カーネルは、初期化の基本的プロセスを完了した
後に、そのシステムに於けるすべての他のプロセスの祖
先である1nit (初期)プロセスを起動する。
ルは、ディスク駆動装置からメモリヘロードされるカー
ネル(kernel、核)であって、高信頼性コンピュ
ーティング・ベースの1部であると考えられる。カーネ
ルは初期化動作を実行し、マルチ・ユーザ動作及び仮想
端末動作を実行するのに必要なシステム・ファイル及び
開始のために必須のファイルを組織化(オーガナイズ)
する。カーネルは、初期化の基本的プロセスを完了した
後に、そのシステムに於けるすべての他のプロセスの祖
先である1nit (初期)プロセスを起動する。
ここで用いる「プロセス」なる用語は、所望の結果を作
るために必要な、ユーザ・プログラム又はサブルーチン
のような一連の動作を指す。プロセスの実行は、シェル
・プログラムを走らせるコマンドを入力することにより
、又は他のプロセスで起動することにより開始できる。
るために必要な、ユーザ・プログラム又はサブルーチン
のような一連の動作を指す。プロセスの実行は、シェル
・プログラムを走らせるコマンドを入力することにより
、又は他のプロセスで起動することにより開始できる。
初期プロセスはシステムが動作する状態を制御する。こ
れも又、高信頼性コンピューティング・ベースの一部で
ある。本発明に従うと、キーボード上の安全注意キーを
ユーザが押すことに応答して高信頼性伝送路を創設する
ことが出来る高信頼性伝送路機能が、初期プロセス中に
含まれる。仮想端末動作を支援。
れも又、高信頼性コンピューティング・ベースの一部で
ある。本発明に従うと、キーボード上の安全注意キーを
ユーザが押すことに応答して高信頼性伝送路を創設する
ことが出来る高信頼性伝送路機能が、初期プロセス中に
含まれる。仮想端末動作を支援。
していないシステムのための高信頼性伝送路動作に関す
る背景情報は、前述の併行出願に記載されている。仮想
端末マネジャ機能も又初期プロセスの一部として含まれ
ているか、又はカーネル・プロセスの一部として存在し
うる。
る背景情報は、前述の併行出願に記載されている。仮想
端末マネジャ機能も又初期プロセスの一部として含まれ
ているか、又はカーネル・プロセスの一部として存在し
うる。
第1図に見られるように、端末又はコンソールはデイス
プレィを持ち、メモリの一部であるスクリーン・バッフ
ァに接続されており、デイスプレィ・スクリーン上に現
在表示されるべき英数字又は全点アドレス可能なデータ
を記憶する。データ・プロセッサ中で動作するプロセス
は、デイスプレィ・スクリーン上に表示されているイメ
ージを修正するためスクリーン・バッファと相互作用す
ることが可能である。但し若しも、スクリーン/キーボ
ード・アクセス授権デープル中に適当な入力手段によっ
てスクリーン・バッファをアクセスすることが授権され
ているなら、それが可能である。端末のキーボードは、
キーボードからの文字出力を処理するキーボード駆動器
へ接続される。
プレィを持ち、メモリの一部であるスクリーン・バッフ
ァに接続されており、デイスプレィ・スクリーン上に現
在表示されるべき英数字又は全点アドレス可能なデータ
を記憶する。データ・プロセッサ中で動作するプロセス
は、デイスプレィ・スクリーン上に表示されているイメ
ージを修正するためスクリーン・バッファと相互作用す
ることが可能である。但し若しも、スクリーン/キーボ
ード・アクセス授権デープル中に適当な入力手段によっ
てスクリーン・バッファをアクセスすることが授権され
ているなら、それが可能である。端末のキーボードは、
キーボードからの文字出力を処理するキーボード駆動器
へ接続される。
英数文字及び若干の制御文字はキーボード駆動器からキ
ーボード・バッファへパスされる。キーボード・イメー
ジは、種々のキーの意味するところ及びキーボード上の
キー組合わせを制御するためキーボード駆動器へ出力を
戻すことができるキーボード・バッファに記憶させるこ
とが可能である。
ーボード・バッファへパスされる。キーボード・イメー
ジは、種々のキーの意味するところ及びキーボード上の
キー組合わせを制御するためキーボード駆動器へ出力を
戻すことができるキーボード・バッファに記憶させるこ
とが可能である。
キーボード上の特別の安全注意キー(SAK)はキーボ
ード駆動器によって割込まれて、高信頼性伝送路の確立
を開始するため初期プロセスに高信頼性伝送路機能ヘパ
スされる。キーボード上の仮想端末選択キーはキーボー
ド駆動器によって割込まれて、データ・プロセッサ上に
ユーザが開設した幾つかの仮想端末のうちの1つの端末
の選別と選択的に相互作用することをユーザに許容する
ため、初期プロセスの仮想端末ラネジャ機能へパスする
。
ード駆動器によって割込まれて、高信頼性伝送路の確立
を開始するため初期プロセスに高信頼性伝送路機能ヘパ
スされる。キーボード上の仮想端末選択キーはキーボー
ド駆動器によって割込まれて、データ・プロセッサ上に
ユーザが開設した幾つかの仮想端末のうちの1つの端末
の選別と選択的に相互作用することをユーザに許容する
ため、初期プロセスの仮想端末ラネジャ機能へパスする
。
UNIXのような環境に於て動作するUNIX型のプロ
セスは、3つの基本的部分、即ちプログラム・テキスト
部分、第1図にプロセスPGMI及びPGM2と示され
たようなデータ部分及びスタック部分から成る。高信頼
性コンピューティング・ベースの一部であり、しかも初
期プロセスの一部又はカーネルの一部又はメモリ中の別
々の隔壁の何れかでありうるプロセス状態テーブルが、
ユーザ10、高信頼性プロセスであるか無信頼性プロセ
スであるかの状態、及びそれの現在の動作状態と一緒に
メモリ中に駐在する夫々のプロセスの状態の更新された
記録を維持する。UNIX型のオペレーティングシステ
ムに於ては、システム・コール「フォーク」が1つのプ
ロセスの2つの新らしい同じコピーを作る。1つのプロ
セスが確立されたとき、初期プロセスはそれ自身を親プ
ロセスとしてコピーし、1つの子(チャイルド)プロセ
スを生み出すであろう。親プロセスのイメージのすべて
の部分はオープン・ファイルを含む子プロセスによって
承は継がれる。子プロセスはそれ自身のデータ部分とス
タック部分を持つ。親と子で共有する唯一の資源(リソ
ース)は親プロセスが「フォーク」システム・コールを
受けたときにオープンされるファイルである。子プロセ
スは、確立されるべき次のプロセスのイメージそれ自身
に基づいてオーバレイ動作を行なう。オーバレイ動作は
、他のUNIX型シスナシステムル、即ち「実行」シス
テム・コールによって達成される。「実行」システム・
コールは新たなプログラムと共に動作している子プロセ
スをオーバレイし、その入口地点で新たなプログラムの
実行を開始する。新たなプログラムの処理IDは「実行
」システム・コールによつ°ζは変更されない。若しも
成功したならば、「実行」システム・コールは復帰せず
、コールしたプログラムのイメージは失なわれる。この
要領で、U、N I X型のオペレーティングシステム
は新たなプロセスを創設する。新たなプロセスの動作状
態は5つ以上の状態のうちの任意の1つでありうる。マ
ルチ・プログラミングの動作モードに於ては、プロセス
が現在実行されているか、或は実行されるため一時的な
待機状態からスイッチ・インされるのを待機しているか
、の何れかに依存して、プロセスは動作中又は動作可能
の何れかとなる。プロセスは停止した状態に止まってい
ることも可能であり、その場合にはプロセスは駐在状態
に止まるが、確かに再起動されるまでは実行されない。
セスは、3つの基本的部分、即ちプログラム・テキスト
部分、第1図にプロセスPGMI及びPGM2と示され
たようなデータ部分及びスタック部分から成る。高信頼
性コンピューティング・ベースの一部であり、しかも初
期プロセスの一部又はカーネルの一部又はメモリ中の別
々の隔壁の何れかでありうるプロセス状態テーブルが、
ユーザ10、高信頼性プロセスであるか無信頼性プロセ
スであるかの状態、及びそれの現在の動作状態と一緒に
メモリ中に駐在する夫々のプロセスの状態の更新された
記録を維持する。UNIX型のオペレーティングシステ
ムに於ては、システム・コール「フォーク」が1つのプ
ロセスの2つの新らしい同じコピーを作る。1つのプロ
セスが確立されたとき、初期プロセスはそれ自身を親プ
ロセスとしてコピーし、1つの子(チャイルド)プロセ
スを生み出すであろう。親プロセスのイメージのすべて
の部分はオープン・ファイルを含む子プロセスによって
承は継がれる。子プロセスはそれ自身のデータ部分とス
タック部分を持つ。親と子で共有する唯一の資源(リソ
ース)は親プロセスが「フォーク」システム・コールを
受けたときにオープンされるファイルである。子プロセ
スは、確立されるべき次のプロセスのイメージそれ自身
に基づいてオーバレイ動作を行なう。オーバレイ動作は
、他のUNIX型シスナシステムル、即ち「実行」シス
テム・コールによって達成される。「実行」システム・
コールは新たなプログラムと共に動作している子プロセ
スをオーバレイし、その入口地点で新たなプログラムの
実行を開始する。新たなプログラムの処理IDは「実行
」システム・コールによつ°ζは変更されない。若しも
成功したならば、「実行」システム・コールは復帰せず
、コールしたプログラムのイメージは失なわれる。この
要領で、U、N I X型のオペレーティングシステム
は新たなプロセスを創設する。新たなプロセスの動作状
態は5つ以上の状態のうちの任意の1つでありうる。マ
ルチ・プログラミングの動作モードに於ては、プロセス
が現在実行されているか、或は実行されるため一時的な
待機状態からスイッチ・インされるのを待機しているか
、の何れかに依存して、プロセスは動作中又は動作可能
の何れかとなる。プロセスは停止した状態に止まってい
ることも可能であり、その場合にはプロセスは駐在状態
に止まるが、確かに再起動されるまでは実行されない。
プロセスのうちのあるものは、実行される前に何事かが
起きるのを待機する。この状態を「休眠」状態と呼ぶ。
起きるのを待機する。この状態を「休眠」状態と呼ぶ。
最後に、打切られてしまっているもののメモリ内の駐在
状態から未だ外されていないプロセスは「シンビル」プ
ロセスと呼ばれる。これらの種々の動作状態は、第1図
のデータ・プロセッサ中に示されたプロセス状態テーブ
ル中に記憶される。
状態から未だ外されていないプロセスは「シンビル」プ
ロセスと呼ばれる。これらの種々の動作状態は、第1図
のデータ・プロセッサ中に示されたプロセス状態テーブ
ル中に記憶される。
第1図はユーザがログインする前のデータ・プロセッサ
の状態を示す。ログイン・プロセスPGl及び起動プロ
セスPC2がユーザに非高信頼性ログイン動作を提供し
ているこの状態下では、データ・プロセッサの端末はリ
アルモードで動作している。ユーザが直面する安全」二
の問題は次の通りである。即ちログインして、自分のユ
ーザ・パスワード又は他の安全情報を流出させることな
(パスワードの有効性確認をなしうるかどうかを確かめ
ようがないことである。高信頼性ログイン・プロセスに
対して高信頼性伝送路を確立するために、ユーザは第1
図及び第7図のキーボード上で安全注意キー(SAK)
を押す。
の状態を示す。ログイン・プロセスPGl及び起動プロ
セスPC2がユーザに非高信頼性ログイン動作を提供し
ているこの状態下では、データ・プロセッサの端末はリ
アルモードで動作している。ユーザが直面する安全」二
の問題は次の通りである。即ちログインして、自分のユ
ーザ・パスワード又は他の安全情報を流出させることな
(パスワードの有効性確認をなしうるかどうかを確かめ
ようがないことである。高信頼性ログイン・プロセスに
対して高信頼性伝送路を確立するために、ユーザは第1
図及び第7図のキーボード上で安全注意キー(SAK)
を押す。
第2図では、ユーザがSAKキーを押したことに応答し
て、SAK情報がキーボード駆動器によって傍受され、
初期プロセスに於て高信頼性伝送路機能ヘパスされる。
て、SAK情報がキーボード駆動器によって傍受され、
初期プロセスに於て高信頼性伝送路機能ヘパスされる。
それに応答して初期プロセスは、スクリーン/キーボー
ド・アクセス授権テーブル中の内容の変化によって知ら
れるように、スクリーン・バッファ及びキーボード・バ
ッファに対する現在のプロセスによるすべてのアクセス
を無効にする。それに加えて初期プロセースは、端末処
理グループに於て現存するすべての処理を終了し、これ
によってメモリ中に駐在している如何なる正当でないト
ロイの木馬プログラムでも確実に除去できるようにする
(第7図参照)。
ド・アクセス授権テーブル中の内容の変化によって知ら
れるように、スクリーン・バッファ及びキーボード・バ
ッファに対する現在のプロセスによるすべてのアクセス
を無効にする。それに加えて初期プロセースは、端末処
理グループに於て現存するすべての処理を終了し、これ
によってメモリ中に駐在している如何なる正当でないト
ロイの木馬プログラムでも確実に除去できるようにする
(第7図参照)。
第3図に於て、高信頼性シェル・プロセスPGM3が確
立される。本発明によればカーネル・プロセス又は初期
プロセスの何れも、ディスク記憶装置から読込まれる核
心部の一部分でもよく、又はそれに代えてカーネル・プ
ロセス或は初期プロセスのコマンドで読込まれるディス
ク記憶装置上の別個の高信頼性ファイルでもよい、高信
頼性シェル・プロセスを含む。シェル・コマンドは、キ
ーボードで入力されたコマンドを読取って実行のために
備えることができるシステムコマンド・インタープリー
タ(プログラム語)である。PGM3高信頼性プロセス
は、高信頼性ログイン・プロセスを含んだシェル・プロ
セスであってもよい。
立される。本発明によればカーネル・プロセス又は初期
プロセスの何れも、ディスク記憶装置から読込まれる核
心部の一部分でもよく、又はそれに代えてカーネル・プ
ロセス或は初期プロセスのコマンドで読込まれるディス
ク記憶装置上の別個の高信頼性ファイルでもよい、高信
頼性シェル・プロセスを含む。シェル・コマンドは、キ
ーボードで入力されたコマンドを読取って実行のために
備えることができるシステムコマンド・インタープリー
タ(プログラム語)である。PGM3高信頼性プロセス
は、高信頼性ログイン・プロセスを含んだシェル・プロ
セスであってもよい。
初期プロセスは初期の子プロセスとしてPGMa高信頼
高信頼性ファイルバレイするため「実行」システム・コ
ールを後続させる「フォーク」システム・コールを実行
する。PGM3は初期プロセスの子プロセスなので、端
末用のスクリーン・バッファ及びキーボード・バッファ
をアクセスすることが、スクリーン/キーボード・アク
セス授権テーブルに於て授権(オーソライズ)される。
高信頼性ファイルバレイするため「実行」システム・コ
ールを後続させる「フォーク」システム・コールを実行
する。PGM3は初期プロセスの子プロセスなので、端
末用のスクリーン・バッファ及びキーボード・バッファ
をアクセスすることが、スクリーン/キーボード・アク
セス授権テーブルに於て授権(オーソライズ)される。
その端末処理グループと関連した他のすべてのプロセス
は終了されそしてメモリから除去されるので、しかもP
GM3はスクリーン・バッファ及びキーボード・バッフ
ァと相互作用することが今や授権された唯一の駐在プロ
セスなので、今やユーザのために高信頼性ログイン動作
を実行することができる高信頼性プロセスPGM3へと
、端末から高信頼性伝送路が確立される。第7図の流れ
図を参照されたい。
は終了されそしてメモリから除去されるので、しかもP
GM3はスクリーン・バッファ及びキーボード・バッフ
ァと相互作用することが今や授権された唯一の駐在プロ
セスなので、今やユーザのために高信頼性ログイン動作
を実行することができる高信頼性プロセスPGM3へと
、端末から高信頼性伝送路が確立される。第7図の流れ
図を参照されたい。
第4図は、ユーザがログインして非高信頼性仮想端末V
TIを開設した後の状態を示す。IBMRT PCな
とのデータ・プロセッサに於ける仮想端末の創設及び管
理の詳細説明は、前述の米国特許出願820451号に
開示されている。UNIX型のオペレーティングシステ
ムに関する仮想端末動作では、夫々別個の仮想端末処理
を含む幾つものUNIX型のプロセスがマルチプログラ
ミング・モードで同時に走ることができる。UNIX型
の処理のような、第4図に示されたVTlなどの仮想端
末処理は、プログラム部分、データ部分、及びスタック
部分を含む。仮想端末処理のデータ部分は、スクリーン
・イメージS1を持つことが出来る。Slは、スクリー
ン・バッファに書込まれたとき、仮想端末VTIで走っ
ている適用業務に関連した端末で表示されるべきイメー
ジを供与する。VTIのデータ部分は、キーボード・イ
メージに1をも持つことができる。K1は、キーボード
・バッファに書込まれるときキーボード上のすべてのキ
ーに対して個人的なキーボード定義を供与し、且つキー
ボード・バッファからキーボード・イメージに1へ読出
されるときキーボードから出力されたがしかしVTIプ
ログラムによって未だ動作されていない任意の文字スト
リングを記憶する。スクリーン・イメージS1及びキー
ボード・イメージに1はVTIプロセスのデータ部分の
一部として示されたけれども、両イメージはメモリのど
こにでも記憶可能であるので本発明の範囲内にある。V
TIのデータ部分はVTI仮想端末上で走る特定の適用
業務のために必要な、他のデータを含むことも出来る。
TIを開設した後の状態を示す。IBMRT PCな
とのデータ・プロセッサに於ける仮想端末の創設及び管
理の詳細説明は、前述の米国特許出願820451号に
開示されている。UNIX型のオペレーティングシステ
ムに関する仮想端末動作では、夫々別個の仮想端末処理
を含む幾つものUNIX型のプロセスがマルチプログラ
ミング・モードで同時に走ることができる。UNIX型
の処理のような、第4図に示されたVTlなどの仮想端
末処理は、プログラム部分、データ部分、及びスタック
部分を含む。仮想端末処理のデータ部分は、スクリーン
・イメージS1を持つことが出来る。Slは、スクリー
ン・バッファに書込まれたとき、仮想端末VTIで走っ
ている適用業務に関連した端末で表示されるべきイメー
ジを供与する。VTIのデータ部分は、キーボード・イ
メージに1をも持つことができる。K1は、キーボード
・バッファに書込まれるときキーボード上のすべてのキ
ーに対して個人的なキーボード定義を供与し、且つキー
ボード・バッファからキーボード・イメージに1へ読出
されるときキーボードから出力されたがしかしVTIプ
ログラムによって未だ動作されていない任意の文字スト
リングを記憶する。スクリーン・イメージS1及びキー
ボード・イメージに1はVTIプロセスのデータ部分の
一部として示されたけれども、両イメージはメモリのど
こにでも記憶可能であるので本発明の範囲内にある。V
TIのデータ部分はVTI仮想端末上で走る特定の適用
業務のために必要な、他のデータを含むことも出来る。
第5図は、第2の非高信頼性仮想端末VT2がユーザに
よって開設され、仮想モードで動作しているデータ・プ
ロセッサを示す。VTI及びVT2はUNIX型のプロ
セッサなので、初期プロセスによって確立されてシステ
ム・コール「フォーク」及び「実行」を順次実行する。
よって開設され、仮想モードで動作しているデータ・プ
ロセッサを示す。VTI及びVT2はUNIX型のプロ
セッサなので、初期プロセスによって確立されてシステ
ム・コール「フォーク」及び「実行」を順次実行する。
新らしい各仮想端末プロセスが初期プロセスによって確
立されるので、最後のアクチブな又は走行中のプロセス
は、仮想端末スタック(VTスタック)の頭に置かれた
プロセスIDを持ち、若しもユーザがアクチブな仮想端
末プロセスを終了するならば、最後の先行するアクチブ
端末プロセスはそのIDを■Tスタックからはじき出す
ことによって固定され、且つアクチブな走行状態を回復
することが出来る。
立されるので、最後のアクチブな又は走行中のプロセス
は、仮想端末スタック(VTスタック)の頭に置かれた
プロセスIDを持ち、若しもユーザがアクチブな仮想端
末プロセスを終了するならば、最後の先行するアクチブ
端末プロセスはそのIDを■Tスタックからはじき出す
ことによって固定され、且つアクチブな走行状態を回復
することが出来る。
ユーザは自分のキーボード上の仮想端末選択キーを押す
ことによって開設された幾つかの仮想端末のうちの任意
の1つを選択的に観察(ビュー)したり手を加えたり(
インターアクト)することが出来る。キーボード駆動器
は仮想端末選択キー情報を初期プロセスと関連した仮想
端末管理機能ヘパスし、仮想端末管理動作が前述の併行
米国特許用1iJJ!820451号に示されたように
実行される。
ことによって開設された幾つかの仮想端末のうちの任意
の1つを選択的に観察(ビュー)したり手を加えたり(
インターアクト)することが出来る。キーボード駆動器
は仮想端末選択キー情報を初期プロセスと関連した仮想
端末管理機能ヘパスし、仮想端末管理動作が前述の併行
米国特許用1iJJ!820451号に示されたように
実行される。
第6図は、ユーザが既に2つの非高信頼性仮想端末プロ
セスVTI及びVT2を確立しメモリ中に駐在させてお
り、ユーザは今や自分のデータ・プロセッサで高信頼性
コンピュータ処理の実行を望んでいる状況を示す。これ
を実現するために、ユーザは安全注意キー(SAK)を
押す。その信号はキーボード駆動器によって初期プロセ
スの高信頼性伝送路機能へ送られる。これに応答して初
期プロセスは、スクリーン・バッファ及びキーボード・
バッファに対する現在のプロセスにより、スクリーン/
キーボード・アクセス授権テーブル中の内容を変えるこ
とにより、すべてのアクセスを無効にする。若しも特定
の仮想端末、例えばVTlが長々しい統計計算のような
バックグランド動作を行なう通用業務を持っているなら
ば、そのバックグランド実行を継続することをそのプロ
セスは随意的に許容可能である。但しスクリーン・バッ
ファ又はキーボード・バッファに対するアクセスを要求
しない場合に限られる。現在の仮想端末処理がそのよう
なアクセスを要求するや否や、そのアクセスはスクリー
ン/キーボード・アクセス授権テーブルによって拒否さ
れ、アクセスの走行状態が停止されることになる。その
状態を示す事項がプロセス状態テーブルに記入される。
セスVTI及びVT2を確立しメモリ中に駐在させてお
り、ユーザは今や自分のデータ・プロセッサで高信頼性
コンピュータ処理の実行を望んでいる状況を示す。これ
を実現するために、ユーザは安全注意キー(SAK)を
押す。その信号はキーボード駆動器によって初期プロセ
スの高信頼性伝送路機能へ送られる。これに応答して初
期プロセスは、スクリーン・バッファ及びキーボード・
バッファに対する現在のプロセスにより、スクリーン/
キーボード・アクセス授権テーブル中の内容を変えるこ
とにより、すべてのアクセスを無効にする。若しも特定
の仮想端末、例えばVTlが長々しい統計計算のような
バックグランド動作を行なう通用業務を持っているなら
ば、そのバックグランド実行を継続することをそのプロ
セスは随意的に許容可能である。但しスクリーン・バッ
ファ又はキーボード・バッファに対するアクセスを要求
しない場合に限られる。現在の仮想端末処理がそのよう
なアクセスを要求するや否や、そのアクセスはスクリー
ン/キーボード・アクセス授権テーブルによって拒否さ
れ、アクセスの走行状態が停止されることになる。その
状態を示す事項がプロセス状態テーブルに記入される。
それに代えて、高信頼性伝送路が動作状態にある間、す
べての現在の仮想端末プロセス■T1及びVT2が停止
されてもよい。初期プロセスは今や、仮想端末プロセス
である高信頼性プロセスVT3をオーバレイするためシ
ステムコール「実行」を後続させてシステムコール「フ
ォーク」を実行する。
べての現在の仮想端末プロセス■T1及びVT2が停止
されてもよい。初期プロセスは今や、仮想端末プロセス
である高信頼性プロセスVT3をオーバレイするためシ
ステムコール「実行」を後続させてシステムコール「フ
ォーク」を実行する。
核心プロセスであろうと初期プロセスであろうと、高信
頼性コンピュータ処理ベースの一部として高信頼性仮想
端末プロセスVT3を含みうる。高信頬性仮想プロセス
VT3は初期プロセスの子プロセスであるので、スクリ
ーン/キーボード・アクセス授櫓テーブル中の記入事項
によってスクリーン・バッファ及びキーボード・バッフ
ァをアクセスすることが授権される。端末コンソールに
関連した他のすべてのプロセスは停止されているものの
メモリ中に駐在状態に留まっており、しかもスクリーン
・バッファ及びキーボード・バッファに対してアクセス
するためにそれらのプロセスの授権が無効化されている
ので、今や端末コンソールから高信頼性仮想端末VT3
へ高信頼性伝送路が確立される。高信頼性仮想端末VT
3は、VT3で走行中の任意のシェル・プロセス適用業
務内に含まれた種々のコマンド、機能、及び補助プログ
ラムを持ちうる。その1例は安全ログイン機能である。
頼性コンピュータ処理ベースの一部として高信頼性仮想
端末プロセスVT3を含みうる。高信頬性仮想プロセス
VT3は初期プロセスの子プロセスであるので、スクリ
ーン/キーボード・アクセス授櫓テーブル中の記入事項
によってスクリーン・バッファ及びキーボード・バッフ
ァをアクセスすることが授権される。端末コンソールに
関連した他のすべてのプロセスは停止されているものの
メモリ中に駐在状態に留まっており、しかもスクリーン
・バッファ及びキーボード・バッファに対してアクセス
するためにそれらのプロセスの授権が無効化されている
ので、今や端末コンソールから高信頼性仮想端末VT3
へ高信頼性伝送路が確立される。高信頼性仮想端末VT
3は、VT3で走行中の任意のシェル・プロセス適用業
務内に含まれた種々のコマンド、機能、及び補助プログ
ラムを持ちうる。その1例は安全ログイン機能である。
これにより端末コンソールに於てユーザは、授権されて
いないユーザ又はプログラムによって自分のパスワード
又は他の機密データが盗み見される必要なしに、自分の
rDをログインしたり、自分のパスワードを入力したり
することが出来る。
いないユーザ又はプログラムによって自分のパスワード
又は他の機密データが盗み見される必要なしに、自分の
rDをログインしたり、自分のパスワードを入力したり
することが出来る。
ユーザが高信頼性仮想端末VT3への高信頼性伝送路を
通して自分の作業を完了した後に、VT3プロセスを終
了できる。VTスタックは今や最後のアクチブ・プロセ
スとしてVT2仮想端末アクセスを持っているので、V
T2は今やシステムにとってのアクチブ走行プロセスと
なる。
通して自分の作業を完了した後に、VT3プロセスを終
了できる。VTスタックは今や最後のアクチブ・プロセ
スとしてVT2仮想端末アクセスを持っているので、V
T2は今やシステムにとってのアクチブ走行プロセスと
なる。
初期プロセスの一部である上述の高信頼性伝送路機能は
第7図の流れ図で示される。
第7図の流れ図で示される。
上述の説明は、本発明の動作の基本原理を教示するため
のものであって、実施に関する限り必然的に一般化され
ていた。本発明は仮想端末動作をサポートしたAIXオ
ペレーティングシステムで動作するIBM RT
PCデータ・プロセッサに適用できる。その実施態様に
於て、前述のキーボード駆動器はIBM RT P
Cデータ・プロセッサ及びAIXオペレーティングシス
テムの、仮想資源管理(VRM)、高度機能端末(hf
t)、及び伝送制御手順によって多様に達成される機能
を持っている。前述のプロセス状態テーブルの機能は/
IXオペレーティングシステムの“/etc /ute
mp ”と名付けられたファイルによって達成される。
のものであって、実施に関する限り必然的に一般化され
ていた。本発明は仮想端末動作をサポートしたAIXオ
ペレーティングシステムで動作するIBM RT
PCデータ・プロセッサに適用できる。その実施態様に
於て、前述のキーボード駆動器はIBM RT P
Cデータ・プロセッサ及びAIXオペレーティングシス
テムの、仮想資源管理(VRM)、高度機能端末(hf
t)、及び伝送制御手順によって多様に達成される機能
を持っている。前述のプロセス状態テーブルの機能は/
IXオペレーティングシステムの“/etc /ute
mp ”と名付けられたファイルによって達成される。
AIXオペレーティングシステムを走らせるIBM
RT PC(AIX/RT)の端末コンソールは高度
機能端末(hft)であり、多数の(最大16セツトま
での)仮想端末をサポートする。
RT PC(AIX/RT)の端末コンソールは高度
機能端末(hft)であり、多数の(最大16セツトま
での)仮想端末をサポートする。
コンソールは主端末として取扱われ、iノード/deν
/コンソール及びそれ自身の/etc /utmp記人
事項を持つ。独立しているとは言っても他のすべての仮
想端末は同じ単一の多重化されたiノード(/dev
/hft )を用いて開設される。1つの仮想端末が開
設された後に、独立iノードがその仮想端末のためにメ
モリ中に創設される。ユーザは一部コンソールにログイ
ンすると、16セツトまでの仮想端末を開設できる。高
度機能端末(hft)装置は、ユーザがどれかのキーボ
ード・キーを他のキーに組かえる(マツプする)ことを
可能にするキー変換機構をもサポートする。
/コンソール及びそれ自身の/etc /utmp記人
事項を持つ。独立しているとは言っても他のすべての仮
想端末は同じ単一の多重化されたiノード(/dev
/hft )を用いて開設される。1つの仮想端末が開
設された後に、独立iノードがその仮想端末のためにメ
モリ中に創設される。ユーザは一部コンソールにログイ
ンすると、16セツトまでの仮想端末を開設できる。高
度機能端末(hft)装置は、ユーザがどれかのキーボ
ード・キーを他のキーに組かえる(マツプする)ことを
可能にするキー変換機構をもサポートする。
高度機能端末装置のための高信頼性伝送路機構は、下記
の通りいつでもユーザがSAKキーを押すことを許容す
る。
の通りいつでもユーザがSAKキーを押すことを許容す
る。
(i)ユーザがコンソールにログインする前。
変装したログイン・プログラムではなく真実のログイン
・プログラムとコミュニケートしようとしていることを
確認するために。
・プログラムとコミュニケートしようとしていることを
確認するために。
(ii )ユーザがコンソールにログインした後(そし
てOセット又はそれが以上の仮想端末を開設したかも知
れない後)。パスワードのようなユーザ機密データを入
力し、侵入者のプログラムによって盗用されようとして
いないことを確認するために。
てOセット又はそれが以上の仮想端末を開設したかも知
れない後)。パスワードのようなユーザ機密データを入
力し、侵入者のプログラムによって盗用されようとして
いないことを確認するために。
(iii )ユーザがコンソールからログアウトした後
。自分が本当にシステムからログアウトしてしまったか
を確認するために。
。自分が本当にシステムからログアウトしてしまったか
を確認するために。
仮想端末のための高信頼性伝送路機構のデザインは任意
のUNIX又はUNIX型のオペレーティングシステム
に適用される。しかしコンソールに対して高度機能端末
をサポートしたAIXオペレーティングシステムに対す
る実施態様のデザインについて説明する。
のUNIX又はUNIX型のオペレーティングシステム
に適用される。しかしコンソールに対して高度機能端末
をサポートしたAIXオペレーティングシステムに対す
る実施態様のデザインについて説明する。
下記の特徴が、仮想端末サポート機能を有する高信頼性
伝送路機構を実施するためAIXオペレーティングシス
テムに与えられる。
伝送路機構を実施するためAIXオペレーティングシス
テムに与えられる。
(i)伝送制御手順駆動器が、高度機能端末(hft)
駆動器からSAKを受取るとき、5IGSAK信号を初
期プロセス(IDIを処理している)へ直接的に送出す
る。
駆動器からSAKを受取るとき、5IGSAK信号を初
期プロセス(IDIを処理している)へ直接的に送出す
る。
(ii)UNIXプログラムの初期プロセスは下記の機
能を持つ。(a)SIGSAK信号を伝送制御手順駆動
器から直接的に受取る機能。(b)高信頼性伝送路で新
たな仮想端末を創設する機能。(C)高信頼性伝送路に
ある間に、授権されていないアクセスからユーザのコン
ソール又は仮想端末を守る機能。(d)高信頼性伝送路
を創設した後に、ユーザのコンソール又は仮想端末のた
めに高信頼性プロセスを走らせる機能。(e)ユーザの
高度機能端末のための高信頼性伝送路の存在を表示して
いる/etc /utmpファイル中のユーザのコンソ
ール記入内容を更新する機能。(f)高信頼性シェルの
プロセスI D (pid)を貯える機能。及び(g)
晶信頼性伝送路の終了を検出する機能。
能を持つ。(a)SIGSAK信号を伝送制御手順駆動
器から直接的に受取る機能。(b)高信頼性伝送路で新
たな仮想端末を創設する機能。(C)高信頼性伝送路に
ある間に、授権されていないアクセスからユーザのコン
ソール又は仮想端末を守る機能。(d)高信頼性伝送路
を創設した後に、ユーザのコンソール又は仮想端末のた
めに高信頼性プロセスを走らせる機能。(e)ユーザの
高度機能端末のための高信頼性伝送路の存在を表示して
いる/etc /utmpファイル中のユーザのコンソ
ール記入内容を更新する機能。(f)高信頼性シェルの
プロセスI D (pid)を貯える機能。及び(g)
晶信頼性伝送路の終了を検出する機能。
(iii )仮想資源管理者(VRM)は、キー変換す
ることなく低レベルでSAKを検出し、そのSAKを対
応する高度機能端末(hft)駆動器ヘバスすることが
出来る。VRMはモニタ・モードにあってさえSAKを
検出し、SAKキー・シーケンスを高度機能端末(hf
t)駆動器ヘバスする。AIX/RTのモニタ・モード
はメモリでマツプされたI10バスを介して直接的に、
仮想端末と相互作用するためプログラムに対して効果的
なモードを提供し、かくて読み/書きシステムコールを
不要化する。
ることなく低レベルでSAKを検出し、そのSAKを対
応する高度機能端末(hft)駆動器ヘバスすることが
出来る。VRMはモニタ・モードにあってさえSAKを
検出し、SAKキー・シーケンスを高度機能端末(hf
t)駆動器ヘバスする。AIX/RTのモニタ・モード
はメモリでマツプされたI10バスを介して直接的に、
仮想端末と相互作用するためプログラムに対して効果的
なモードを提供し、かくて読み/書きシステムコールを
不要化する。
ユーザは、コンソール又は高度機能端末の開設された複
数の仮想端末のうちの1つで、SAKを押すことによっ
て何時でも高信頼性伝送路を創設することが出来る。S
AKは端末の原モード及びフォーマットされたI10モ
ードの両方で動作する。ユーザは、自分が真実のログイ
ン・プログラムとコミュニケートしており偽のログイン
・プログラムとコミュニケートしていないことを確認す
るため、コンソールにログインする前にSAKを押すこ
とが出来る。さもなければユーザは、パスワードを変更
するような機密作業を行なうため、コンソールにログイ
ンした後でSAKを押すことが出来る。又はユーザは、
自分が本当にシステムからログアウトしたことを確認す
るため、コンソールからログアウトした後でSAKを押
すことが出来る。
数の仮想端末のうちの1つで、SAKを押すことによっ
て何時でも高信頼性伝送路を創設することが出来る。S
AKは端末の原モード及びフォーマットされたI10モ
ードの両方で動作する。ユーザは、自分が真実のログイ
ン・プログラムとコミュニケートしており偽のログイン
・プログラムとコミュニケートしていないことを確認す
るため、コンソールにログインする前にSAKを押すこ
とが出来る。さもなければユーザは、パスワードを変更
するような機密作業を行なうため、コンソールにログイ
ンした後でSAKを押すことが出来る。又はユーザは、
自分が本当にシステムからログアウトしたことを確認す
るため、コンソールからログアウトした後でSAKを押
すことが出来る。
下記のことは仮想端末サポートを有する高信頼性伝送路
の階層化デザインを与える。
の階層化デザインを与える。
SAK及び5IGSAKの検出:
高度機能端末に於てユーザがSAKを押したとき、伝送
制御手順駆動器はSAKが高度機能端末から来たもので
あることを検出し、5IGSAK信号を直接的に初期プ
ロセスへ送る。
制御手順駆動器はSAKが高度機能端末から来たもので
あることを検出し、5IGSAK信号を直接的に初期プ
ロセスへ送る。
高信頼性伝送路の創設:
5IGSAK信号を受信すると、初期プロセスは高信頼
性伝送路を創設し、SAKが押される以前のコンソール
での走行プロセスの状態に依存して、端末上に高信頼性
プロセスを走らせる。下記は高信頼性伝送路の創設及び
高信頼性プロセスの実行のため初期プロセスが実行する
動作の説明である。
性伝送路を創設し、SAKが押される以前のコンソール
での走行プロセスの状態に依存して、端末上に高信頼性
プロセスを走らせる。下記は高信頼性伝送路の創設及び
高信頼性プロセスの実行のため初期プロセスが実行する
動作の説明である。
コンソールにログインする前に、若しもユーザがSAK
を押したなら、初期プロセスは伝送制御手順駆動器から
直接的に5IGSAKを受取る。
を押したなら、初期プロセスは伝送制御手順駆動器から
直接的に5IGSAKを受取る。
初期プロセスは/etc /utmpファイル中のコン
ソール記入事項のためにut型のフィールドを読取るこ
とにより、コンソール上の走行プロセスの型を決定する
。若しもユーザがコンソールにログインしていないなら
ば、ユーザは仮想端末が存在しないままで、しかもut
型は若しもゲテイ(getty)プロセッサが動作中で
あるならば初期プロセス型か又は、若しもログイン・プ
ロセッサが動作中であるならばログイン・プロセス型か
の何れかとなる。
ソール記入事項のためにut型のフィールドを読取るこ
とにより、コンソール上の走行プロセスの型を決定する
。若しもユーザがコンソールにログインしていないなら
ば、ユーザは仮想端末が存在しないままで、しかもut
型は若しもゲテイ(getty)プロセッサが動作中で
あるならば初期プロセス型か又は、若しもログイン・プ
ロセッサが動作中であるならばログイン・プロセス型か
の何れかとなる。
初期プロセスはゲテイプロセス又はログイン・プロセス
を終了させた後に新たな子プロセス「分岐jを創設する
。子プロセスに於て、コンソールのアクセス・モードを
rw −(オーナーのみが読み書き可能)に変更し、オ
ーナーID及びグループIDをroot(uid=o
、 gid=o)に変更し、コンソールを開設し、そ
して■ハングアップ・システムコールを用いているすべ
てのプロセスに対し、コンソールの読み/書きアクセス
を無効にする。これは複数のプログラムによる以前のア
クセスからコンソールを解放する。これはユーザのコン
ソールに対して高信頼性伝送路を創設し、授権されてい
ないプログラムによって読み書きされることからコンソ
ールを守る。
を終了させた後に新たな子プロセス「分岐jを創設する
。子プロセスに於て、コンソールのアクセス・モードを
rw −(オーナーのみが読み書き可能)に変更し、オ
ーナーID及びグループIDをroot(uid=o
、 gid=o)に変更し、コンソールを開設し、そ
して■ハングアップ・システムコールを用いているすべ
てのプロセスに対し、コンソールの読み/書きアクセス
を無効にする。これは複数のプログラムによる以前のア
クセスからコンソールを解放する。これはユーザのコン
ソールに対して高信頼性伝送路を創設し、授権されてい
ないプログラムによって読み書きされることからコンソ
ールを守る。
アクセス・モード及び所有権の理由で、今や特権を有す
るユーザだけがコンソールを開設できる。
るユーザだけがコンソールを開設できる。
特権を有するプログラムである初期プロセスは今やコン
ソールを開設し、新たなログインをユーザに促すゲテイ
・プロセス(高信頼性プロセス)を実行する。
ソールを開設し、新たなログインをユーザに促すゲテイ
・プロセス(高信頼性プロセス)を実行する。
コンソールにログインした後:
ユーザが既にコンソールにログした後になって、若しも
ユーザがSAKを押したならば、コンソールのトップレ
ベルのプロセスはユーザプロセス(通常はユーザのログ
イン・シェル)である。コンソールのためのut型ラフ
イールド、/etc/u tmpファイルのTSHプロ
セス又はユーザ・プロセスの何れかである。コンソール
に於て、又は開設された任意の仮想端末に於て、ユーザ
がSAKを押したとき、伝送制御手順駆動器は初期プロ
セスに対して5IGSAK信号を送る。初期プロセスが
5IGSAK信号を受取ったとき、/etc/utmp
ファイルのコンソール記入事項のためut型ラフイール
ド読むことにより、ユーザがコンソールにログインして
いるかどうかをチエツクする。ユーザがログインしてい
ればut型は、若しも高信頼性伝送路が創設されていな
ければユーザ・プロセスか又は、若しも高信頼性伝送路
が既に創設されていればTSHプロセスかの何れかであ
る。若しも高信頼性伝送路が既に創設されていたならば
、初期プロセスはコンソールに於てメツセージを印刷し
て、高信頼性伝送路が既に創設されておりそして高信頼
性シェルが既に動作していることを表示する。
ユーザがSAKを押したならば、コンソールのトップレ
ベルのプロセスはユーザプロセス(通常はユーザのログ
イン・シェル)である。コンソールのためのut型ラフ
イールド、/etc/u tmpファイルのTSHプロ
セス又はユーザ・プロセスの何れかである。コンソール
に於て、又は開設された任意の仮想端末に於て、ユーザ
がSAKを押したとき、伝送制御手順駆動器は初期プロ
セスに対して5IGSAK信号を送る。初期プロセスが
5IGSAK信号を受取ったとき、/etc/utmp
ファイルのコンソール記入事項のためut型ラフイール
ド読むことにより、ユーザがコンソールにログインして
いるかどうかをチエツクする。ユーザがログインしてい
ればut型は、若しも高信頼性伝送路が創設されていな
ければユーザ・プロセスか又は、若しも高信頼性伝送路
が既に創設されていればTSHプロセスかの何れかであ
る。若しも高信頼性伝送路が既に創設されていたならば
、初期プロセスはコンソールに於てメツセージを印刷し
て、高信頼性伝送路が既に創設されておりそして高信頼
性シェルが既に動作していることを表示する。
若しも高信頼性伝送路が創設されていなかったならば、
初期プロセスは新たな子プロセスを分岐(フォーク)し
てこのプロセスのpidを記憶する。
初期プロセスは新たな子プロセスを分岐(フォーク)し
てこのプロセスのpidを記憶する。
存在するユーザのプログラムは終了されない。子プロセ
スは新たな仮想端末(若しも利用可能なものがあれば)
を、仮想端末のアクセスモードでrwにする(オーナー
のみが読み書き出来るようにする)ように開設し、その
仮想端末をユーザの現行の端末とし、コンソール記入内
容のためのut型ラフイールド/etc /utmpフ
ィールドのTSHプロセスに変更し、仮想端末のターミ
オ(termio)パラメータを/ejC/utmpフ
ィールドに於けるコンソール記入内容のために定義され
たターミオ値にセットし、その後に高信頼性シェルを実
行する。新たな仮想端末のオーナー(及びグループ)は
、uid−=O1gid=0 、即ちルート(根)であ
ることに注意されたい。何故ならば仮想端末はルート・
プロセスで走る初期プロセスに創設されたからである。
スは新たな仮想端末(若しも利用可能なものがあれば)
を、仮想端末のアクセスモードでrwにする(オーナー
のみが読み書き出来るようにする)ように開設し、その
仮想端末をユーザの現行の端末とし、コンソール記入内
容のためのut型ラフイールド/etc /utmpフ
ィールドのTSHプロセスに変更し、仮想端末のターミ
オ(termio)パラメータを/ejC/utmpフ
ィールドに於けるコンソール記入内容のために定義され
たターミオ値にセットし、その後に高信頼性シェルを実
行する。新たな仮想端末のオーナー(及びグループ)は
、uid−=O1gid=0 、即ちルート(根)であ
ることに注意されたい。何故ならば仮想端末はルート・
プロセスで走る初期プロセスに創設されたからである。
若しも利用可能な仮想端末がないならば、子プロセスは
高信頼性伝送路を創設し且つ高信頼性シェルを走らせる
ために、ユーザが少くとも1つの現存する仮想端末を閉
鎖する筈であることを表わすメツセージをコンソールで
印刷し、その後で子プロセスはエフジット(終了)する
。子プロセスが終了したとき、初期プロセスは記憶され
ているpidを−lに変更する。
高信頼性伝送路を創設し且つ高信頼性シェルを走らせる
ために、ユーザが少くとも1つの現存する仮想端末を閉
鎖する筈であることを表わすメツセージをコンソールで
印刷し、その後で子プロセスはエフジット(終了)する
。子プロセスが終了したとき、初期プロセスは記憶され
ているpidを−lに変更する。
若しもユーザが、高信頼性伝送路の創設及び高信頼性シ
ェルの実行の後でSAKを押すと、伝送制御手順(ライ
ン・デシプリン)駆動器は再び5IGSAK信号を初期
プロセスへ送る。高信頼性シェルが創設済みの高信頼性
伝送路で既に動作していることを、初期プロセスは記憶
された高信頼性シェルpidの正の値によって検証する
。この例では初期プロセスは、高信頼性シェルが既に動
作しておりそれ以上何も行なわないことを表わすメツセ
ージをコンソールで印刷する。
ェルの実行の後でSAKを押すと、伝送制御手順(ライ
ン・デシプリン)駆動器は再び5IGSAK信号を初期
プロセスへ送る。高信頼性シェルが創設済みの高信頼性
伝送路で既に動作していることを、初期プロセスは記憶
された高信頼性シェルpidの正の値によって検証する
。この例では初期プロセスは、高信頼性シェルが既に動
作しておりそれ以上何も行なわないことを表わすメツセ
ージをコンソールで印刷する。
ユーザが高信頼性シェルを終了するとき、初期プロセス
は終了しようとしているプロセスのpidを高信頼性シ
ェルのために以前に記憶したpidと比較することによ
り、それが高信頼性シェルであったことを検証する。そ
の後で初期プロセスは記憶されたpidの値を−1に変
更する。高信頼性シェルが終了するときその仮想端末は
閉鎖されて、ユーザを以前の仮想端末に戻される。
は終了しようとしているプロセスのpidを高信頼性シ
ェルのために以前に記憶したpidと比較することによ
り、それが高信頼性シェルであったことを検証する。そ
の後で初期プロセスは記憶されたpidの値を−1に変
更する。高信頼性シェルが終了するときその仮想端末は
閉鎖されて、ユーザを以前の仮想端末に戻される。
コンソールからログアウトされた後:
すべての仮想端末が閉鎖されて、コンソールからログア
ウトした後に若しもユーザがSAKを押しても、その効
果は既に述べた以前のログインの場合と同じである。
ウトした後に若しもユーザがSAKを押しても、その効
果は既に述べた以前のログインの場合と同じである。
E8発明の効果
授権されていないプログラムによって仮想端末からデー
タ、例えば機密情報が盗まれるおそれのないマルチユー
ザ・システムの高信頼性伝送路が得られる。
タ、例えば機密情報が盗まれるおそれのないマルチユー
ザ・システムの高信頼性伝送路が得られる。
第1図はユーザが安全注意キー(SAK)を押したとき
、ログイン前のデータ・プロセッサの状態を示す概略図
、第2図は第1図に続く状態を示す図であって、安全注
意キーに応答してスクリーン及びキーボードに対するす
べてのアクセスが無効にされ、すべての現存するプロセ
スが終了されることを示し、第3図は第2図に続く状態
を示す図であって、高信頼性ログイン・プロセスが確立
されることを示し、第4図はユーザがログインを終って
高信頼性でない仮想端末を開設した後のデータ・プロセ
ッサの状態を示し、第5図は第4図に続く状態を示す図
あって、第2の高信頼性でない仮想端末が開設されるこ
とを示し、第6図は第5図に続く状態を示す図であって
、ユーザは高信頼性仮想端末を開設するため安全注意キ
ーを押すが、現存の高信頼性でない仮想端末は駐在した
状態に止まることを示し、第7図は初期プロセスに於け
る高信頼性伝送路の機能を示す流れ図である。 1・・・・マイクロプロセッサ、2・・・・ディスク駆
動装置、3・・・・端末コンソール、4・・・・仮想端
末選択キー 5・・・・安全注意キー(SAK)、6・
・・・メモリ。 出願人 インターナショナル・ビジネス・マシーンズ・
コーポレーション
、ログイン前のデータ・プロセッサの状態を示す概略図
、第2図は第1図に続く状態を示す図であって、安全注
意キーに応答してスクリーン及びキーボードに対するす
べてのアクセスが無効にされ、すべての現存するプロセ
スが終了されることを示し、第3図は第2図に続く状態
を示す図であって、高信頼性ログイン・プロセスが確立
されることを示し、第4図はユーザがログインを終って
高信頼性でない仮想端末を開設した後のデータ・プロセ
ッサの状態を示し、第5図は第4図に続く状態を示す図
あって、第2の高信頼性でない仮想端末が開設されるこ
とを示し、第6図は第5図に続く状態を示す図であって
、ユーザは高信頼性仮想端末を開設するため安全注意キ
ーを押すが、現存の高信頼性でない仮想端末は駐在した
状態に止まることを示し、第7図は初期プロセスに於け
る高信頼性伝送路の機能を示す流れ図である。 1・・・・マイクロプロセッサ、2・・・・ディスク駆
動装置、3・・・・端末コンソール、4・・・・仮想端
末選択キー 5・・・・安全注意キー(SAK)、6・
・・・メモリ。 出願人 インターナショナル・ビジネス・マシーンズ・
コーポレーション
Claims (1)
- 【特許請求の範囲】 データ処理装置と、端末コンソールと、上記端末コンソ
ールに接続されたシステム・メモリとを含み、上記シス
テム・メモリは、メモリ中に現存する複数個の仮想端末
を制御する仮想端末管理手段と、メモリ中の高信頼性(
トラステッド)仮想端末及び端末コンソール間に高信頼
性伝送路を確立するための手段とを含んでオペレーティ
ングシステムで動作するようになつているシステムに於
て、 ユーザからの安全注意要求を出力するため上記端末コン
ソールに設けた安全注意要求手段と、上記安全注意要求
を受取るため上記安全注意要求手段に結合された高信頼
性伝送路制御手段と、上記端末コンソールをアクセスす
るため上記現存する仮想端末の各々に対する授権(オー
ソライゼーシヨン)を記憶するように、上記高信頼性伝
送路制御手段に結合された端末コンソール・アクセス授
権手段と、 上記高信頼性伝送路制御手段は上記安全注意要求に応答
して、上記アクセス授権手段に取消しメッセージを出力
し、上記端末コンソールをアクセスするための上記現存
する各仮想端末の授権を取消すようにすることと、 上記高信頼性伝送路制御手段は、高信頼性コンピューテ
ィング・ベースの一部である上記メモリ中に高信頼性仮
想端末を確立し、且つ上記アクセス授権手段に対して授
権メッセージを出力して上記端末コンソールをアクセス
することを上記高信頼性仮想端末に授権することと、 上記高信頼性伝送路制御手段は、上記仮想端末管理手段
に結合されて、上記端末コンソールをアクセスするよう
に上記高信頼性仮想端末を作動させるための作動メッセ
ージを出力することとを特徴とする、 端末コンソール及び高信頼性仮想端末間に高信頼性伝送
路を確立する装置。
Applications Claiming Priority (2)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
US07/150,965 US4945468A (en) | 1988-02-01 | 1988-02-01 | Trusted path mechanism for virtual terminal environments |
US150965 | 1998-09-10 |
Publications (2)
Publication Number | Publication Date |
---|---|
JPH027640A true JPH027640A (ja) | 1990-01-11 |
JPH0582098B2 JPH0582098B2 (ja) | 1993-11-17 |
Family
ID=22536754
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
JP63318668A Granted JPH027640A (ja) | 1988-02-01 | 1988-12-19 | 端末コンソール及び高信頼性仮想端末間に高信頼性伝送路を確立する装置 |
Country Status (4)
Country | Link |
---|---|
US (1) | US4945468A (ja) |
EP (1) | EP0326700B1 (ja) |
JP (1) | JPH027640A (ja) |
DE (1) | DE3852292T2 (ja) |
Families Citing this family (39)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
AU640181B2 (en) * | 1989-12-26 | 1993-08-19 | Digital Equipment Corporation | Method for securing terminal and terminal apparatus for use with the method |
US6507909B1 (en) | 1990-02-13 | 2003-01-14 | Compaq Information Technologies Group, L.P. | Method for executing trusted-path commands |
US5134580A (en) * | 1990-03-22 | 1992-07-28 | International Business Machines Corporation | Computer with capability to automatically initialize in a first operating system of choice and reinitialize in a second operating system without computer shutdown |
US6836548B1 (en) | 1991-10-29 | 2004-12-28 | The Commonwealth Of Australia | Communications security and trusted path method and means |
US5317695A (en) * | 1992-04-03 | 1994-05-31 | International Business Machines Corporation | Method and system for permitting communication between a data processing system and input pointing devices of multiple types |
GB2449410B (en) * | 1992-10-30 | 2009-04-08 | Commw Of Australia | Communications trusted path means |
US5566326A (en) * | 1993-09-28 | 1996-10-15 | Bull Hn Information Systems Inc. | Copy file mechanism for transferring files between a host system and an emulated file system |
US6006328A (en) * | 1995-07-14 | 1999-12-21 | Christopher N. Drake | Computer software authentication, protection, and security system |
WO1997004394A1 (en) * | 1995-07-14 | 1997-02-06 | Christopher Nathan Drake | Computer software authentication, protection, and security system |
JPH09190267A (ja) * | 1995-08-23 | 1997-07-22 | Toshiba Corp | 外部イベントに基づきキーボード割当を動的に構成し直すシステムおよび方法 |
US5841869A (en) * | 1996-08-23 | 1998-11-24 | Cheyenne Property Trust | Method and apparatus for trusted processing |
JP2974280B2 (ja) * | 1996-09-11 | 1999-11-10 | 日本電気通信システム株式会社 | ネットワーク接続のブリッジ装置における仮想グループ情報管理方法 |
US5854890A (en) * | 1996-10-15 | 1998-12-29 | National Instruments Corporation | Fieldbus function block shell with user selectable data ownership |
US5937159A (en) * | 1997-03-28 | 1999-08-10 | Data General Corporation | Secure computer system |
US6714930B1 (en) | 2000-05-31 | 2004-03-30 | International Business Machines Corporation | Lightweight directory access protocol, (LDAP) trusted processing of unique identifiers |
US6883098B1 (en) * | 2000-09-20 | 2005-04-19 | International Business Machines Corporation | Method and computer system for controlling access by applications to this and other computer systems |
AU2002220540A1 (en) * | 2000-12-11 | 2002-06-24 | Apomon Aps | Changing of operating modes in a computer |
US8209753B2 (en) * | 2001-06-15 | 2012-06-26 | Activcard, Inc. | Universal secure messaging for remote security tokens |
US20040218762A1 (en) | 2003-04-29 | 2004-11-04 | Eric Le Saint | Universal secure messaging for cryptographic modules |
US7124403B2 (en) * | 2001-08-15 | 2006-10-17 | Sun Microsystems, Inc. | Methods and apparatus for managing defunct processes |
KR100439171B1 (ko) * | 2001-11-21 | 2004-07-05 | 한국전자통신연구원 | 접근제어 처리 기법을 이용한 클라이언트와 시스템간의신뢰경로 보장 방법 |
GB0212308D0 (en) * | 2002-05-28 | 2002-07-10 | Symbian Ltd | Trusted user interface for a secure mobile wireless device |
US7085933B2 (en) * | 2002-06-11 | 2006-08-01 | Lenvo (Singapore) Pte, Ltd. | Computer system apparatus and method for improved assurance of authentication |
US7421736B2 (en) * | 2002-07-02 | 2008-09-02 | Lucent Technologies Inc. | Method and apparatus for enabling peer-to-peer virtual private network (P2P-VPN) services in VPN-enabled network |
US20040123152A1 (en) * | 2002-12-18 | 2004-06-24 | Eric Le Saint | Uniform framework for security tokens |
US20040221174A1 (en) * | 2003-04-29 | 2004-11-04 | Eric Le Saint | Uniform modular framework for a host computer system |
US7907935B2 (en) | 2003-12-22 | 2011-03-15 | Activcard Ireland, Limited | Intelligent remote device |
US20050138380A1 (en) * | 2003-12-22 | 2005-06-23 | Fedronic Dominique L.J. | Entry control system |
US7783891B2 (en) * | 2004-02-25 | 2010-08-24 | Microsoft Corporation | System and method facilitating secure credential management |
US8719591B1 (en) | 2004-05-14 | 2014-05-06 | Radix Holdings, Llc | Secure data entry |
GB2415065B (en) | 2004-06-09 | 2009-01-21 | Symbian Software Ltd | A computing device having a multiple process architecture for running plug-in code modules |
US7631198B2 (en) * | 2005-05-10 | 2009-12-08 | Seagate Technology | Protocol scripting language for safe execution in embedded system |
US8645683B1 (en) | 2005-08-11 | 2014-02-04 | Aaron T. Emigh | Verified navigation |
US7996682B2 (en) * | 2005-10-17 | 2011-08-09 | Microsoft Corporation | Secure prompting |
JP5735509B2 (ja) * | 2009-08-04 | 2015-06-17 | カーネギー メロン ユニバーシティ | マルウェアがある状態でユーザが検証可能な信頼性のあるパスを得るための方法および機器 |
US8938644B2 (en) * | 2010-12-03 | 2015-01-20 | Teradata Us, Inc. | Query execution plan revision for error recovery |
WO2013159289A1 (en) * | 2012-04-25 | 2013-10-31 | Hewlett-Packard Development Company | Switching of operating systems |
CN103685399B (zh) * | 2012-09-17 | 2018-03-23 | 腾讯科技(深圳)有限公司 | 一种登录类Unix虚拟容器的方法、装置和系统 |
TWI475483B (zh) * | 2012-10-19 | 2015-03-01 | Taibotics Co Ltd | 自動裝置的程式開發方法 |
Family Cites Families (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
GB1561482A (en) * | 1976-11-18 | 1980-02-20 | Ibm | Protection of data processing system against unauthorised programmes |
US4218738A (en) * | 1978-05-05 | 1980-08-19 | International Business Machines Corporation | Method for authenticating the identity of a user of an information system |
US4253145A (en) * | 1978-12-26 | 1981-02-24 | Honeywell Information Systems Inc. | Hardware virtualizer for supporting recursive virtual computer systems on a host computer system |
US4488217A (en) * | 1979-03-12 | 1984-12-11 | Digital Equipment Corporation | Data processing system with lock-unlock instruction facility |
US4328542A (en) * | 1979-11-07 | 1982-05-04 | The Boeing Company | Secure implementation of transition machine computer |
US4442484A (en) * | 1980-10-14 | 1984-04-10 | Intel Corporation | Microprocessor memory management and protection mechanism |
US4593353A (en) * | 1981-10-26 | 1986-06-03 | Telecommunications Associates, Inc. | Software protection method and apparatus |
JPH0664536B2 (ja) * | 1986-01-17 | 1994-08-22 | インタ−ナショナル ビジネス マシ−ンズ コ−ポレ−ション | 仮想端末サブシステムの制御方法 |
US4885789A (en) * | 1988-02-01 | 1989-12-05 | International Business Machines Corporation | Remote trusted path mechanism for telnet |
-
1988
- 1988-02-01 US US07/150,965 patent/US4945468A/en not_active Expired - Lifetime
- 1988-12-19 JP JP63318668A patent/JPH027640A/ja active Granted
- 1988-12-20 EP EP88121293A patent/EP0326700B1/en not_active Expired - Lifetime
- 1988-12-20 DE DE3852292T patent/DE3852292T2/de not_active Expired - Fee Related
Also Published As
Publication number | Publication date |
---|---|
JPH0582098B2 (ja) | 1993-11-17 |
EP0326700B1 (en) | 1994-11-30 |
US4945468A (en) | 1990-07-31 |
EP0326700A3 (en) | 1992-01-08 |
DE3852292T2 (de) | 1995-05-24 |
DE3852292D1 (de) | 1995-01-12 |
EP0326700A2 (en) | 1989-08-09 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
JPH027640A (ja) | 端末コンソール及び高信頼性仮想端末間に高信頼性伝送路を確立する装置 | |
US4918653A (en) | Trusted path mechanism for an operating system | |
EP0443423B1 (en) | Method and apparatus for executing trusted-path commands | |
US5809230A (en) | System and method for controlling access to personal computer system resources | |
JP4823481B2 (ja) | 安全な環境を初期化する命令を実行するシステムおよび方法 | |
US7937540B2 (en) | Storage-access control system for preventing unauthorized access to a storage device | |
JP5242747B2 (ja) | システム管理割り込みを再命令し、仮想マシンコンテナを生成することによる、信頼性のないシステム管理コードに対する保護方法 | |
US8340290B2 (en) | Security method of keyboard input directly controlling the keyboard controller | |
US8874931B2 (en) | System and method for securing a user interface | |
JPS63124151A (ja) | 論理的に安全なプロセツサ・システム | |
US20060230454A1 (en) | Fast protection of a computer's base system from malicious software using system-wide skins with OS-level sandboxing | |
JP7146812B2 (ja) | 独立した復元領域を有する補助記憶装置およびこれを適用した機器 | |
US9454652B2 (en) | Computer security system and method | |
JP2000207363A (ja) | ユ―ザ・アクセス制御装置 | |
US7178165B2 (en) | Additional layer in operating system to protect system from hacking | |
Rabin et al. | An integrated toolkit for operating system security | |
US8332940B2 (en) | Techniques for securing a computing environment | |
JPS63148358A (ja) | プロテクト装置 | |
Needham et al. | Access Control | |
Poll | Operating System Security | |
JP2003085042A (ja) | コンピュータのセキュリティシステム | |
JPH04349545A (ja) | ファイルシステム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
LAPS | Cancellation because of no payment of annual fees |