JPH027640A - 端末コンソール及び高信頼性仮想端末間に高信頼性伝送路を確立する装置 - Google Patents

端末コンソール及び高信頼性仮想端末間に高信頼性伝送路を確立する装置

Info

Publication number
JPH027640A
JPH027640A JP63318668A JP31866888A JPH027640A JP H027640 A JPH027640 A JP H027640A JP 63318668 A JP63318668 A JP 63318668A JP 31866888 A JP31866888 A JP 31866888A JP H027640 A JPH027640 A JP H027640A
Authority
JP
Japan
Prior art keywords
terminal
virtual
console
highly reliable
user
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP63318668A
Other languages
English (en)
Other versions
JPH0582098B2 (ja
Inventor
Mark E Carson
マーク・アーウイン・カースン
Abhai Johri
アブハイ・ジヨリ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of JPH027640A publication Critical patent/JPH027640A/ja
Publication of JPH0582098B2 publication Critical patent/JPH0582098B2/ja
Granted legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/48Program initiating; Program switching, e.g. by interrupt
    • G06F9/4806Task transfer initiation or dispatching
    • G06F9/4843Task transfer initiation or dispatching by program, e.g. task dispatcher, supervisor, operating system
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/52Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
    • G06F21/53Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by executing in a restricted environment, e.g. sandbox or secure virtual machine
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • G06F9/06Arrangements for program control, e.g. control units using stored programs, i.e. using an internal store of processing equipment to receive or retain programs
    • G06F9/46Multiprogramming arrangements
    • G06F9/468Specific access rights for resources, e.g. using capability register
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2211/00Indexing scheme relating to details of data-processing equipment not covered by groups G06F3/00 - G06F13/00
    • G06F2211/009Trust

Landscapes

  • Engineering & Computer Science (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Storage Device Security (AREA)
  • Computer And Data Communications (AREA)

Abstract

(57)【要約】本公報は電子出願前の出願データであるた
め要約のデータは記録されません。

Description

【発明の詳細な説明】 A、産業上の利用分野 本発明はデータ処理に関するものであり、更に詳しくは
仮想端末手段を有するシステム間に高信頼性(トラステ
ッド)伝送路を設定することに関する。
B、従来技術及び問題点 データ処理業務の中には財政に関する業務、国家機密に
関する業務等のように高度に機密の情報を取扱うものが
あり、その情報はデータ処理システムに接続されたユー
ザ端末で、その情報をユーザがタイプ作業することによ
ってシステムに入力される。正当な権限を有しない人物
又はプログラムがユーザ端末でデータを読出すことを防
止するための効果的な手段は、従来技術には無かった。
従来のデータ処理システムに於ては、処理装置間の伝送
回線及びオペレーティングシステムのソフトウェアはト
ロイの木馬として知られている不法なプログラムによっ
て偽造されたり、破壊されたすすることがあった。トロ
イの木馬はユーザが送ろうとしているプログラムである
かのように変造したり、ユーザが自分の端末で入力して
いる機密情報を盗用したり、写し取ったり、安全性を損
ったりすることが可能である。
米国政府は国家の安全に係る適用業務に対して、DOD
基準と呼ばれる基準を作った。そのDOD基準は高信頼
性(トラステッド)コンピュータ・システムとは、一定
範囲の極秘情報又は機密指定された情報を同時処理のた
めに使用することが許される十分なハードウェア及びソ
フトウェアの完全性基準を採用したシステムであると定
義している。高信頼性コンピューティング・ベース(T
CB)とは、ハードウェア、ファームウェア及びソフト
ウェアを含むコンピュータ・システム内の保護機構の全
体像として、そしてそれらの組合せが安全に対する政策
を実施する責任を負うものとして定義されている。高信
頼性コンピューティング・ベース(TCB)はシステム
全体に亘って統一的な安全政策を実施する1つ以上の構
成要素より成る。安全政策を正し〈実施するためのTC
Bの能力は、TCB内の機構と、安全政策に関連したユ
ーザ手続などのパラメータをシステム管理者が正しく入
力したか否かによってのみ決まる。高信頼性伝送路はD
OD基準によれば、プロセッサの端末に居る人物が高信
頼性コンピューティング・ベースの下で直接的にコミュ
ニケートできる機構であると定義されている。高信頼性
伝送路機構は信顛性コンピューティング・ベースの要員
によってのみ動作可能であって、非高信鎖性(アントラ
ステッド)ソフトウェアで擬似(イミテート)すること
は不可能である。高信頼性ソフトウェアとハ、高信頼性
コンピューティング・ベースのソフトウェア部分である
と定義されている。
遠隔プロセッサ中の高信頼性コンピューティング・ベー
スと近辺のプロセッサとの間の高信頼性伝送路を維持す
る上での問題は、複数のユーザに対してサービスするオ
ペレーティングシステムと妥協させられる。高信頼性伝
送路を確立するのに有効な機構を提供していない従来技
術の複数ユーザ用のオペレーティングシステムの実例と
して、UN I X (ATTベル研の商標)、XEN
IX(マイクロソフト社の商標)、AIX (18M社
の商標)が挙げられる。UNIXは広い範囲のミニコン
ピユータ及びマイクロコンピュータ用のオペレーティン
グシステムとしてATTが開発したものである。
ATTベル研はUNIXオペレーティングシステムを使
用することを多数の関係者にライセンスして来た。そし
て今や幾ものバージョンが存在する。ATTが出した最
新バージョンは5.2である。UNIXオペレーティン
グシステムのバークレイ・バージョンとして知られる別
バージョンがバークレイにあるカリフォルニア大学で開
発された。マイクロソフト社はXENIXなる商標で知
られるバージョンを持っている。
1985年にIBM  RT  PC(RT  PCは
18M社の商標)、RISC(短縮命令セット・コンピ
ュータ)技術を使ったパソコンを発表するに際して、1
8M社はATXと呼ばれる新らしいオペレーティングシ
ステムを公開した。AIXはATTのUNIXオペレー
ティングシステムのバージョン5.2と適用業務インタ
ーフェイスのレベルで互換性があり、そのバージョン5
.2への拡張を包含している。
八、ジョグ及びG、ルケンバウの発明に係り、1988
年1月28日に併行して出願された18M社の米国特許
出願は、端末キーボードでユーザがタイプしたデータは
授権されていない(正当な権限のない)プログラムの命
令から保護されることを保証する高信頼性伝送路機構に
係る発明を開示している。その発明は、ユーザの端末と
高信頼性オペレーティングシステムのソフトウェアとの
間に偽造不能で侵入不能のコミュニケーション伝送路を
ユーザが構築できるようにしている。ユーザは端末キー
ボード上の安全性注意キー(SAK)と呼ばれるキーを
押すだけで、高信頼性伝送路を構築できる。この操作は
、ユーザが真実のログイン・プログラムでコミュニケー
ションしつつあり、ログイン・プログラムとして板面を
かぶってユーザのパスワードを盗むかも知れないトロイ
の木馬ではないことを確かめるためにシステム中にユー
ザがログインするときに利用することが出来る。
ユーザは高信頼性伝送路を設定した後に、パスワードの
ような機密データを入力することが出来ると共に、自分
のパスワードは侵入者のプログラムによって盗まれよう
としてはいないことを確かめることが出来る。そしてユ
ーザはログアウトした後に、高信頼性伝送路がそのユー
ザをシステムから本当にログアウトしており、トロイの
木馬プログラムはユーザが起動したセツションを承継し
得ないようになっていることを確かめることが出来る。
その併行米国特許出願に開示された発明は、安全性注意
キー付きのキーボードを有する少(とも1つの端末を持
った、複数個の端末に接続されたメモリを含むデータ処
理システムに包含されている。安全性注意キーに応答し
て、その端末と高信頼性コンピューティング・ベースの
高信頼性シェル部分、即ちオペレーティングシステムの
下での1nit (初期)プロセスの子供に当るプロセ
ス、との間に高信頼性伝送路を構築するのが、UNIX
型のオペレーティングシステムでの方法である。その方
法はキーボードに接続されたキーボード・デバイス駆動
器中の安全注意キーを検出し、そのキーが検出されたと
言う情報をキーボード・デバイス駆動器から安全注意キ
ー信号発生器へ出力することを含んでいる。更に、その
端末の処理グループ内で動作しているすべてのプロセス
に対して、安全注意キー発生器から5IGSAK信号を
出力し、その端末の処理グループに於けるすべての処理
を打切ることを含んでいる。その方法は更に、端末とイ
ンターフェイス関係にあるすべてのデバイス駆動器に組
合わされた授権テーブル(表)をアクセスするために、
そして初期プロセスを除いて、データ処理システム中の
すべての処理に対する授権のアクセスを拒むために、5
IGSAK信号を適用することを含んでいる。その方法
は更に、5IGSAK信号をファイル・アクセス・テー
ブルに送って、端末とインターフェイス関係にあるデバ
イス駆動器と関連のあるすべてのアドレス用情報を除去
することを含んでいる。更に、新たなチャイルド(子)
プロセスのため1nit(初期)プロセスにより分岐(
fork)システム・コールを実行することを含んでい
る。更に、高信頼性シェル・プロセスを新たなチャイル
ド・プロセスに、端末とインターフェイス関係にあるデ
バイス駆動器へのアクセス授権を有する高信頼性シェル
・プロセスに、及び端末とインターフェース関係にある
デバイス駆動器に対するファイル・アクセス・テーブル
に定義されたアドレス関係を有する高信頼性シェル・プ
ロセスに、夫々オーバレイするため実行システム・コー
ルを実行することを含んでいる。これによって高信頼性
伝送路が端末と高信頼性シェル・プロセスとの間に確立
される。
しかし、併行出願の高信頼性伝送路は複数のウィンドウ
又は仮想端末を働らかせているデータ・プロセッサに適
用すると若干の問題を生じる。何故ならば、仮想端末の
うちの1つに高信頼性伝送路を確立することは、同じプ
ロセッサ上の他の仮想端末で同時に動作中のセツション
を破壊することがありうるからである。
18M社の他の併行米国特許出願(1986年1月17
日出願820451号)は、処理システム上で幾つかの
適用業務を同時に走らせるための方法及び装置を開示し
ている。複数の適用業務を走らせるために、複数の仮想
端末が創設される。
それにも拘らずすべての仮想端末は処理システムが単一
の端末を持ったシステムであるかのように行動する。こ
のため、この多重仮想端末環境に於ても、単一端末シス
テム用に書かれた適用業務が動作可能になる。このシス
テムで動作している幾つかの適用業務のうちの1つと相
互動作するためには、システムの実際の物理的資源は選
択された適用業務を走らせている仮想端末にリロケート
される。
18M社の併行米国特許出願(1986年1417日出
願820453号)は、オペレーティングシステム・ダ
イレクト・アクセスで走行する適用業務を出力デイスプ
レィに与えるデータ処理システムを開示している。その
システムは2モードで動作できる。第1のモードでは、
若しも適用業務が出力デイスプレィにテキストを表示さ
せるなら、出力データはそれが出力デイスプレィに到達
する前に処理システムのすべての階層を通過しなければ
ならない。第2のモードでは、適用業務は処理システム
の多くの階層を通過することなく出力デイスプレィへ直
接的にデータを出力することが可能である。このような
第2のモードでは、適用業務によってバッファが限定さ
れる。入力デバイスからの入力データはこのバッファに
記憶される。適用業務はそのバッファをアクセスして、
デイスプレィへの直接的な出力とする。
上述の従来技術のマルチユーザ・オペレーティングシス
テムでは、授権されていないプログラムが仮想端末から
データを読み出すことを防止するのに有効な高信頼性伝
送路を提供できないのが問題点である。
本発明の目的は仮想端末に於て高信頼性伝送路を確立す
るための機構を提供することである。
他の目的は、仮想端末を走らせるマルチユーザ・オペレ
ーティングシステムのための高信頼性伝送路を確立する
ことである。
更に他の目的は、仮想端末を走らせるUNl、X型のオ
ペレーティングシステムのための高信頼性伝送路機構を
提供することである。
C0問題点を解決するための手段 複数の仮想端末を走らせているプロセッサに対してユー
ザがログオンし、且つ安全注意キーを押したとき、動作
中の仮想端末は破壊されない。それとは異って本発明は
新たな仮想端末を創設し、その新たな仮想端末のために
高信頼性伝送路を確立し、その新たな仮想端末を現行仮
想端末とした後に、その新たな仮想端末で高信頼性プロ
セスを走らせる。
D、実施例 第1図乃至第7図は仮想端末環境のための高信頼性伝送
路の概略図である。第1図乃至第6図は、一連のユーザ
適用業務プログラムと共に、ディスク駆動装置からUN
IX型のオペレーティングシステムをロードしたメモリ
に接続されたマイクロプロセッサを含むデータ・プロセ
ッサの種々の状態を示す図である。デイスプレィ・モニ
タ及びキーボードを含む端末もそのメモリに接続されて
、ユーザがデータ・プロセッサで動作中のプログラムに
働きかけることを可能にしている。データ・プロセッサ
は、前述の併行出願に開示されたような、仮想端末サポ
ート機能を含んだAIXオペレーティングシステムを走
らせるIBMRTPOでもよい。
原UN I X型のオペレーティングシステム・ファイ
ルは、ディスク駆動装置からメモリヘロードされるカー
ネル(kernel、核)であって、高信頼性コンピュ
ーティング・ベースの1部であると考えられる。カーネ
ルは初期化動作を実行し、マルチ・ユーザ動作及び仮想
端末動作を実行するのに必要なシステム・ファイル及び
開始のために必須のファイルを組織化(オーガナイズ)
する。カーネルは、初期化の基本的プロセスを完了した
後に、そのシステムに於けるすべての他のプロセスの祖
先である1nit (初期)プロセスを起動する。
ここで用いる「プロセス」なる用語は、所望の結果を作
るために必要な、ユーザ・プログラム又はサブルーチン
のような一連の動作を指す。プロセスの実行は、シェル
・プログラムを走らせるコマンドを入力することにより
、又は他のプロセスで起動することにより開始できる。
初期プロセスはシステムが動作する状態を制御する。こ
れも又、高信頼性コンピューティング・ベースの一部で
ある。本発明に従うと、キーボード上の安全注意キーを
ユーザが押すことに応答して高信頼性伝送路を創設する
ことが出来る高信頼性伝送路機能が、初期プロセス中に
含まれる。仮想端末動作を支援。
していないシステムのための高信頼性伝送路動作に関す
る背景情報は、前述の併行出願に記載されている。仮想
端末マネジャ機能も又初期プロセスの一部として含まれ
ているか、又はカーネル・プロセスの一部として存在し
うる。
第1図に見られるように、端末又はコンソールはデイス
プレィを持ち、メモリの一部であるスクリーン・バッフ
ァに接続されており、デイスプレィ・スクリーン上に現
在表示されるべき英数字又は全点アドレス可能なデータ
を記憶する。データ・プロセッサ中で動作するプロセス
は、デイスプレィ・スクリーン上に表示されているイメ
ージを修正するためスクリーン・バッファと相互作用す
ることが可能である。但し若しも、スクリーン/キーボ
ード・アクセス授権デープル中に適当な入力手段によっ
てスクリーン・バッファをアクセスすることが授権され
ているなら、それが可能である。端末のキーボードは、
キーボードからの文字出力を処理するキーボード駆動器
へ接続される。
英数文字及び若干の制御文字はキーボード駆動器からキ
ーボード・バッファへパスされる。キーボード・イメー
ジは、種々のキーの意味するところ及びキーボード上の
キー組合わせを制御するためキーボード駆動器へ出力を
戻すことができるキーボード・バッファに記憶させるこ
とが可能である。
キーボード上の特別の安全注意キー(SAK)はキーボ
ード駆動器によって割込まれて、高信頼性伝送路の確立
を開始するため初期プロセスに高信頼性伝送路機能ヘパ
スされる。キーボード上の仮想端末選択キーはキーボー
ド駆動器によって割込まれて、データ・プロセッサ上に
ユーザが開設した幾つかの仮想端末のうちの1つの端末
の選別と選択的に相互作用することをユーザに許容する
ため、初期プロセスの仮想端末ラネジャ機能へパスする
UNIXのような環境に於て動作するUNIX型のプロ
セスは、3つの基本的部分、即ちプログラム・テキスト
部分、第1図にプロセスPGMI及びPGM2と示され
たようなデータ部分及びスタック部分から成る。高信頼
性コンピューティング・ベースの一部であり、しかも初
期プロセスの一部又はカーネルの一部又はメモリ中の別
々の隔壁の何れかでありうるプロセス状態テーブルが、
ユーザ10、高信頼性プロセスであるか無信頼性プロセ
スであるかの状態、及びそれの現在の動作状態と一緒に
メモリ中に駐在する夫々のプロセスの状態の更新された
記録を維持する。UNIX型のオペレーティングシステ
ムに於ては、システム・コール「フォーク」が1つのプ
ロセスの2つの新らしい同じコピーを作る。1つのプロ
セスが確立されたとき、初期プロセスはそれ自身を親プ
ロセスとしてコピーし、1つの子(チャイルド)プロセ
スを生み出すであろう。親プロセスのイメージのすべて
の部分はオープン・ファイルを含む子プロセスによって
承は継がれる。子プロセスはそれ自身のデータ部分とス
タック部分を持つ。親と子で共有する唯一の資源(リソ
ース)は親プロセスが「フォーク」システム・コールを
受けたときにオープンされるファイルである。子プロセ
スは、確立されるべき次のプロセスのイメージそれ自身
に基づいてオーバレイ動作を行なう。オーバレイ動作は
、他のUNIX型シスナシステムル、即ち「実行」シス
テム・コールによって達成される。「実行」システム・
コールは新たなプログラムと共に動作している子プロセ
スをオーバレイし、その入口地点で新たなプログラムの
実行を開始する。新たなプログラムの処理IDは「実行
」システム・コールによつ°ζは変更されない。若しも
成功したならば、「実行」システム・コールは復帰せず
、コールしたプログラムのイメージは失なわれる。この
要領で、U、N I X型のオペレーティングシステム
は新たなプロセスを創設する。新たなプロセスの動作状
態は5つ以上の状態のうちの任意の1つでありうる。マ
ルチ・プログラミングの動作モードに於ては、プロセス
が現在実行されているか、或は実行されるため一時的な
待機状態からスイッチ・インされるのを待機しているか
、の何れかに依存して、プロセスは動作中又は動作可能
の何れかとなる。プロセスは停止した状態に止まってい
ることも可能であり、その場合にはプロセスは駐在状態
に止まるが、確かに再起動されるまでは実行されない。
プロセスのうちのあるものは、実行される前に何事かが
起きるのを待機する。この状態を「休眠」状態と呼ぶ。
最後に、打切られてしまっているもののメモリ内の駐在
状態から未だ外されていないプロセスは「シンビル」プ
ロセスと呼ばれる。これらの種々の動作状態は、第1図
のデータ・プロセッサ中に示されたプロセス状態テーブ
ル中に記憶される。
第1図はユーザがログインする前のデータ・プロセッサ
の状態を示す。ログイン・プロセスPGl及び起動プロ
セスPC2がユーザに非高信頼性ログイン動作を提供し
ているこの状態下では、データ・プロセッサの端末はリ
アルモードで動作している。ユーザが直面する安全」二
の問題は次の通りである。即ちログインして、自分のユ
ーザ・パスワード又は他の安全情報を流出させることな
(パスワードの有効性確認をなしうるかどうかを確かめ
ようがないことである。高信頼性ログイン・プロセスに
対して高信頼性伝送路を確立するために、ユーザは第1
図及び第7図のキーボード上で安全注意キー(SAK)
を押す。
第2図では、ユーザがSAKキーを押したことに応答し
て、SAK情報がキーボード駆動器によって傍受され、
初期プロセスに於て高信頼性伝送路機能ヘパスされる。
それに応答して初期プロセスは、スクリーン/キーボー
ド・アクセス授権テーブル中の内容の変化によって知ら
れるように、スクリーン・バッファ及びキーボード・バ
ッファに対する現在のプロセスによるすべてのアクセス
を無効にする。それに加えて初期プロセースは、端末処
理グループに於て現存するすべての処理を終了し、これ
によってメモリ中に駐在している如何なる正当でないト
ロイの木馬プログラムでも確実に除去できるようにする
(第7図参照)。
第3図に於て、高信頼性シェル・プロセスPGM3が確
立される。本発明によればカーネル・プロセス又は初期
プロセスの何れも、ディスク記憶装置から読込まれる核
心部の一部分でもよく、又はそれに代えてカーネル・プ
ロセス或は初期プロセスのコマンドで読込まれるディス
ク記憶装置上の別個の高信頼性ファイルでもよい、高信
頼性シェル・プロセスを含む。シェル・コマンドは、キ
ーボードで入力されたコマンドを読取って実行のために
備えることができるシステムコマンド・インタープリー
タ(プログラム語)である。PGM3高信頼性プロセス
は、高信頼性ログイン・プロセスを含んだシェル・プロ
セスであってもよい。
初期プロセスは初期の子プロセスとしてPGMa高信頼
高信頼性ファイルバレイするため「実行」システム・コ
ールを後続させる「フォーク」システム・コールを実行
する。PGM3は初期プロセスの子プロセスなので、端
末用のスクリーン・バッファ及びキーボード・バッファ
をアクセスすることが、スクリーン/キーボード・アク
セス授権テーブルに於て授権(オーソライズ)される。
その端末処理グループと関連した他のすべてのプロセス
は終了されそしてメモリから除去されるので、しかもP
GM3はスクリーン・バッファ及びキーボード・バッフ
ァと相互作用することが今や授権された唯一の駐在プロ
セスなので、今やユーザのために高信頼性ログイン動作
を実行することができる高信頼性プロセスPGM3へと
、端末から高信頼性伝送路が確立される。第7図の流れ
図を参照されたい。
第4図は、ユーザがログインして非高信頼性仮想端末V
TIを開設した後の状態を示す。IBMRT  PCな
とのデータ・プロセッサに於ける仮想端末の創設及び管
理の詳細説明は、前述の米国特許出願820451号に
開示されている。UNIX型のオペレーティングシステ
ムに関する仮想端末動作では、夫々別個の仮想端末処理
を含む幾つものUNIX型のプロセスがマルチプログラ
ミング・モードで同時に走ることができる。UNIX型
の処理のような、第4図に示されたVTlなどの仮想端
末処理は、プログラム部分、データ部分、及びスタック
部分を含む。仮想端末処理のデータ部分は、スクリーン
・イメージS1を持つことが出来る。Slは、スクリー
ン・バッファに書込まれたとき、仮想端末VTIで走っ
ている適用業務に関連した端末で表示されるべきイメー
ジを供与する。VTIのデータ部分は、キーボード・イ
メージに1をも持つことができる。K1は、キーボード
・バッファに書込まれるときキーボード上のすべてのキ
ーに対して個人的なキーボード定義を供与し、且つキー
ボード・バッファからキーボード・イメージに1へ読出
されるときキーボードから出力されたがしかしVTIプ
ログラムによって未だ動作されていない任意の文字スト
リングを記憶する。スクリーン・イメージS1及びキー
ボード・イメージに1はVTIプロセスのデータ部分の
一部として示されたけれども、両イメージはメモリのど
こにでも記憶可能であるので本発明の範囲内にある。V
TIのデータ部分はVTI仮想端末上で走る特定の適用
業務のために必要な、他のデータを含むことも出来る。
第5図は、第2の非高信頼性仮想端末VT2がユーザに
よって開設され、仮想モードで動作しているデータ・プ
ロセッサを示す。VTI及びVT2はUNIX型のプロ
セッサなので、初期プロセスによって確立されてシステ
ム・コール「フォーク」及び「実行」を順次実行する。
新らしい各仮想端末プロセスが初期プロセスによって確
立されるので、最後のアクチブな又は走行中のプロセス
は、仮想端末スタック(VTスタック)の頭に置かれた
プロセスIDを持ち、若しもユーザがアクチブな仮想端
末プロセスを終了するならば、最後の先行するアクチブ
端末プロセスはそのIDを■Tスタックからはじき出す
ことによって固定され、且つアクチブな走行状態を回復
することが出来る。
ユーザは自分のキーボード上の仮想端末選択キーを押す
ことによって開設された幾つかの仮想端末のうちの任意
の1つを選択的に観察(ビュー)したり手を加えたり(
インターアクト)することが出来る。キーボード駆動器
は仮想端末選択キー情報を初期プロセスと関連した仮想
端末管理機能ヘパスし、仮想端末管理動作が前述の併行
米国特許用1iJJ!820451号に示されたように
実行される。
第6図は、ユーザが既に2つの非高信頼性仮想端末プロ
セスVTI及びVT2を確立しメモリ中に駐在させてお
り、ユーザは今や自分のデータ・プロセッサで高信頼性
コンピュータ処理の実行を望んでいる状況を示す。これ
を実現するために、ユーザは安全注意キー(SAK)を
押す。その信号はキーボード駆動器によって初期プロセ
スの高信頼性伝送路機能へ送られる。これに応答して初
期プロセスは、スクリーン・バッファ及びキーボード・
バッファに対する現在のプロセスにより、スクリーン/
キーボード・アクセス授権テーブル中の内容を変えるこ
とにより、すべてのアクセスを無効にする。若しも特定
の仮想端末、例えばVTlが長々しい統計計算のような
バックグランド動作を行なう通用業務を持っているなら
ば、そのバックグランド実行を継続することをそのプロ
セスは随意的に許容可能である。但しスクリーン・バッ
ファ又はキーボード・バッファに対するアクセスを要求
しない場合に限られる。現在の仮想端末処理がそのよう
なアクセスを要求するや否や、そのアクセスはスクリー
ン/キーボード・アクセス授権テーブルによって拒否さ
れ、アクセスの走行状態が停止されることになる。その
状態を示す事項がプロセス状態テーブルに記入される。
それに代えて、高信頼性伝送路が動作状態にある間、す
べての現在の仮想端末プロセス■T1及びVT2が停止
されてもよい。初期プロセスは今や、仮想端末プロセス
である高信頼性プロセスVT3をオーバレイするためシ
ステムコール「実行」を後続させてシステムコール「フ
ォーク」を実行する。
核心プロセスであろうと初期プロセスであろうと、高信
頼性コンピュータ処理ベースの一部として高信頼性仮想
端末プロセスVT3を含みうる。高信頬性仮想プロセス
VT3は初期プロセスの子プロセスであるので、スクリ
ーン/キーボード・アクセス授櫓テーブル中の記入事項
によってスクリーン・バッファ及びキーボード・バッフ
ァをアクセスすることが授権される。端末コンソールに
関連した他のすべてのプロセスは停止されているものの
メモリ中に駐在状態に留まっており、しかもスクリーン
・バッファ及びキーボード・バッファに対してアクセス
するためにそれらのプロセスの授権が無効化されている
ので、今や端末コンソールから高信頼性仮想端末VT3
へ高信頼性伝送路が確立される。高信頼性仮想端末VT
3は、VT3で走行中の任意のシェル・プロセス適用業
務内に含まれた種々のコマンド、機能、及び補助プログ
ラムを持ちうる。その1例は安全ログイン機能である。
これにより端末コンソールに於てユーザは、授権されて
いないユーザ又はプログラムによって自分のパスワード
又は他の機密データが盗み見される必要なしに、自分の
rDをログインしたり、自分のパスワードを入力したり
することが出来る。
ユーザが高信頼性仮想端末VT3への高信頼性伝送路を
通して自分の作業を完了した後に、VT3プロセスを終
了できる。VTスタックは今や最後のアクチブ・プロセ
スとしてVT2仮想端末アクセスを持っているので、V
T2は今やシステムにとってのアクチブ走行プロセスと
なる。
初期プロセスの一部である上述の高信頼性伝送路機能は
第7図の流れ図で示される。
上述の説明は、本発明の動作の基本原理を教示するため
のものであって、実施に関する限り必然的に一般化され
ていた。本発明は仮想端末動作をサポートしたAIXオ
ペレーティングシステムで動作するIBM  RT  
PCデータ・プロセッサに適用できる。その実施態様に
於て、前述のキーボード駆動器はIBM  RT  P
Cデータ・プロセッサ及びAIXオペレーティングシス
テムの、仮想資源管理(VRM)、高度機能端末(hf
t)、及び伝送制御手順によって多様に達成される機能
を持っている。前述のプロセス状態テーブルの機能は/
IXオペレーティングシステムの“/etc /ute
mp ”と名付けられたファイルによって達成される。
AIXオペレーティングシステムを走らせるIBM  
RT  PC(AIX/RT)の端末コンソールは高度
機能端末(hft)であり、多数の(最大16セツトま
での)仮想端末をサポートする。
コンソールは主端末として取扱われ、iノード/deν
/コンソール及びそれ自身の/etc /utmp記人
事項を持つ。独立しているとは言っても他のすべての仮
想端末は同じ単一の多重化されたiノード(/dev 
/hft )を用いて開設される。1つの仮想端末が開
設された後に、独立iノードがその仮想端末のためにメ
モリ中に創設される。ユーザは一部コンソールにログイ
ンすると、16セツトまでの仮想端末を開設できる。高
度機能端末(hft)装置は、ユーザがどれかのキーボ
ード・キーを他のキーに組かえる(マツプする)ことを
可能にするキー変換機構をもサポートする。
高度機能端末装置のための高信頼性伝送路機構は、下記
の通りいつでもユーザがSAKキーを押すことを許容す
る。
(i)ユーザがコンソールにログインする前。
変装したログイン・プログラムではなく真実のログイン
・プログラムとコミュニケートしようとしていることを
確認するために。
(ii )ユーザがコンソールにログインした後(そし
てOセット又はそれが以上の仮想端末を開設したかも知
れない後)。パスワードのようなユーザ機密データを入
力し、侵入者のプログラムによって盗用されようとして
いないことを確認するために。
(iii )ユーザがコンソールからログアウトした後
。自分が本当にシステムからログアウトしてしまったか
を確認するために。
仮想端末のための高信頼性伝送路機構のデザインは任意
のUNIX又はUNIX型のオペレーティングシステム
に適用される。しかしコンソールに対して高度機能端末
をサポートしたAIXオペレーティングシステムに対す
る実施態様のデザインについて説明する。
下記の特徴が、仮想端末サポート機能を有する高信頼性
伝送路機構を実施するためAIXオペレーティングシス
テムに与えられる。
(i)伝送制御手順駆動器が、高度機能端末(hft)
駆動器からSAKを受取るとき、5IGSAK信号を初
期プロセス(IDIを処理している)へ直接的に送出す
る。
(ii)UNIXプログラムの初期プロセスは下記の機
能を持つ。(a)SIGSAK信号を伝送制御手順駆動
器から直接的に受取る機能。(b)高信頼性伝送路で新
たな仮想端末を創設する機能。(C)高信頼性伝送路に
ある間に、授権されていないアクセスからユーザのコン
ソール又は仮想端末を守る機能。(d)高信頼性伝送路
を創設した後に、ユーザのコンソール又は仮想端末のた
めに高信頼性プロセスを走らせる機能。(e)ユーザの
高度機能端末のための高信頼性伝送路の存在を表示して
いる/etc /utmpファイル中のユーザのコンソ
ール記入内容を更新する機能。(f)高信頼性シェルの
プロセスI D (pid)を貯える機能。及び(g)
晶信頼性伝送路の終了を検出する機能。
(iii )仮想資源管理者(VRM)は、キー変換す
ることなく低レベルでSAKを検出し、そのSAKを対
応する高度機能端末(hft)駆動器ヘバスすることが
出来る。VRMはモニタ・モードにあってさえSAKを
検出し、SAKキー・シーケンスを高度機能端末(hf
t)駆動器ヘバスする。AIX/RTのモニタ・モード
はメモリでマツプされたI10バスを介して直接的に、
仮想端末と相互作用するためプログラムに対して効果的
なモードを提供し、かくて読み/書きシステムコールを
不要化する。
ユーザは、コンソール又は高度機能端末の開設された複
数の仮想端末のうちの1つで、SAKを押すことによっ
て何時でも高信頼性伝送路を創設することが出来る。S
AKは端末の原モード及びフォーマットされたI10モ
ードの両方で動作する。ユーザは、自分が真実のログイ
ン・プログラムとコミュニケートしており偽のログイン
・プログラムとコミュニケートしていないことを確認す
るため、コンソールにログインする前にSAKを押すこ
とが出来る。さもなければユーザは、パスワードを変更
するような機密作業を行なうため、コンソールにログイ
ンした後でSAKを押すことが出来る。又はユーザは、
自分が本当にシステムからログアウトしたことを確認す
るため、コンソールからログアウトした後でSAKを押
すことが出来る。
下記のことは仮想端末サポートを有する高信頼性伝送路
の階層化デザインを与える。
SAK及び5IGSAKの検出: 高度機能端末に於てユーザがSAKを押したとき、伝送
制御手順駆動器はSAKが高度機能端末から来たもので
あることを検出し、5IGSAK信号を直接的に初期プ
ロセスへ送る。
高信頼性伝送路の創設: 5IGSAK信号を受信すると、初期プロセスは高信頼
性伝送路を創設し、SAKが押される以前のコンソール
での走行プロセスの状態に依存して、端末上に高信頼性
プロセスを走らせる。下記は高信頼性伝送路の創設及び
高信頼性プロセスの実行のため初期プロセスが実行する
動作の説明である。
コンソールにログインする前に、若しもユーザがSAK
を押したなら、初期プロセスは伝送制御手順駆動器から
直接的に5IGSAKを受取る。
初期プロセスは/etc /utmpファイル中のコン
ソール記入事項のためにut型のフィールドを読取るこ
とにより、コンソール上の走行プロセスの型を決定する
。若しもユーザがコンソールにログインしていないなら
ば、ユーザは仮想端末が存在しないままで、しかもut
型は若しもゲテイ(getty)プロセッサが動作中で
あるならば初期プロセス型か又は、若しもログイン・プ
ロセッサが動作中であるならばログイン・プロセス型か
の何れかとなる。
初期プロセスはゲテイプロセス又はログイン・プロセス
を終了させた後に新たな子プロセス「分岐jを創設する
。子プロセスに於て、コンソールのアクセス・モードを
rw −(オーナーのみが読み書き可能)に変更し、オ
ーナーID及びグループIDをroot(uid=o 
、  gid=o)に変更し、コンソールを開設し、そ
して■ハングアップ・システムコールを用いているすべ
てのプロセスに対し、コンソールの読み/書きアクセス
を無効にする。これは複数のプログラムによる以前のア
クセスからコンソールを解放する。これはユーザのコン
ソールに対して高信頼性伝送路を創設し、授権されてい
ないプログラムによって読み書きされることからコンソ
ールを守る。
アクセス・モード及び所有権の理由で、今や特権を有す
るユーザだけがコンソールを開設できる。
特権を有するプログラムである初期プロセスは今やコン
ソールを開設し、新たなログインをユーザに促すゲテイ
・プロセス(高信頼性プロセス)を実行する。
コンソールにログインした後: ユーザが既にコンソールにログした後になって、若しも
ユーザがSAKを押したならば、コンソールのトップレ
ベルのプロセスはユーザプロセス(通常はユーザのログ
イン・シェル)である。コンソールのためのut型ラフ
イールド、/etc/u tmpファイルのTSHプロ
セス又はユーザ・プロセスの何れかである。コンソール
に於て、又は開設された任意の仮想端末に於て、ユーザ
がSAKを押したとき、伝送制御手順駆動器は初期プロ
セスに対して5IGSAK信号を送る。初期プロセスが
5IGSAK信号を受取ったとき、/etc/utmp
ファイルのコンソール記入事項のためut型ラフイール
ド読むことにより、ユーザがコンソールにログインして
いるかどうかをチエツクする。ユーザがログインしてい
ればut型は、若しも高信頼性伝送路が創設されていな
ければユーザ・プロセスか又は、若しも高信頼性伝送路
が既に創設されていればTSHプロセスかの何れかであ
る。若しも高信頼性伝送路が既に創設されていたならば
、初期プロセスはコンソールに於てメツセージを印刷し
て、高信頼性伝送路が既に創設されておりそして高信頼
性シェルが既に動作していることを表示する。
若しも高信頼性伝送路が創設されていなかったならば、
初期プロセスは新たな子プロセスを分岐(フォーク)し
てこのプロセスのpidを記憶する。
存在するユーザのプログラムは終了されない。子プロセ
スは新たな仮想端末(若しも利用可能なものがあれば)
を、仮想端末のアクセスモードでrwにする(オーナー
のみが読み書き出来るようにする)ように開設し、その
仮想端末をユーザの現行の端末とし、コンソール記入内
容のためのut型ラフイールド/etc /utmpフ
ィールドのTSHプロセスに変更し、仮想端末のターミ
オ(termio)パラメータを/ejC/utmpフ
ィールドに於けるコンソール記入内容のために定義され
たターミオ値にセットし、その後に高信頼性シェルを実
行する。新たな仮想端末のオーナー(及びグループ)は
、uid−=O1gid=0 、即ちルート(根)であ
ることに注意されたい。何故ならば仮想端末はルート・
プロセスで走る初期プロセスに創設されたからである。
若しも利用可能な仮想端末がないならば、子プロセスは
高信頼性伝送路を創設し且つ高信頼性シェルを走らせる
ために、ユーザが少くとも1つの現存する仮想端末を閉
鎖する筈であることを表わすメツセージをコンソールで
印刷し、その後で子プロセスはエフジット(終了)する
。子プロセスが終了したとき、初期プロセスは記憶され
ているpidを−lに変更する。
若しもユーザが、高信頼性伝送路の創設及び高信頼性シ
ェルの実行の後でSAKを押すと、伝送制御手順(ライ
ン・デシプリン)駆動器は再び5IGSAK信号を初期
プロセスへ送る。高信頼性シェルが創設済みの高信頼性
伝送路で既に動作していることを、初期プロセスは記憶
された高信頼性シェルpidの正の値によって検証する
。この例では初期プロセスは、高信頼性シェルが既に動
作しておりそれ以上何も行なわないことを表わすメツセ
ージをコンソールで印刷する。
ユーザが高信頼性シェルを終了するとき、初期プロセス
は終了しようとしているプロセスのpidを高信頼性シ
ェルのために以前に記憶したpidと比較することによ
り、それが高信頼性シェルであったことを検証する。そ
の後で初期プロセスは記憶されたpidの値を−1に変
更する。高信頼性シェルが終了するときその仮想端末は
閉鎖されて、ユーザを以前の仮想端末に戻される。
コンソールからログアウトされた後: すべての仮想端末が閉鎖されて、コンソールからログア
ウトした後に若しもユーザがSAKを押しても、その効
果は既に述べた以前のログインの場合と同じである。
E8発明の効果 授権されていないプログラムによって仮想端末からデー
タ、例えば機密情報が盗まれるおそれのないマルチユー
ザ・システムの高信頼性伝送路が得られる。
【図面の簡単な説明】
第1図はユーザが安全注意キー(SAK)を押したとき
、ログイン前のデータ・プロセッサの状態を示す概略図
、第2図は第1図に続く状態を示す図であって、安全注
意キーに応答してスクリーン及びキーボードに対するす
べてのアクセスが無効にされ、すべての現存するプロセ
スが終了されることを示し、第3図は第2図に続く状態
を示す図であって、高信頼性ログイン・プロセスが確立
されることを示し、第4図はユーザがログインを終って
高信頼性でない仮想端末を開設した後のデータ・プロセ
ッサの状態を示し、第5図は第4図に続く状態を示す図
あって、第2の高信頼性でない仮想端末が開設されるこ
とを示し、第6図は第5図に続く状態を示す図であって
、ユーザは高信頼性仮想端末を開設するため安全注意キ
ーを押すが、現存の高信頼性でない仮想端末は駐在した
状態に止まることを示し、第7図は初期プロセスに於け
る高信頼性伝送路の機能を示す流れ図である。 1・・・・マイクロプロセッサ、2・・・・ディスク駆
動装置、3・・・・端末コンソール、4・・・・仮想端
末選択キー 5・・・・安全注意キー(SAK)、6・
・・・メモリ。 出願人 インターナショナル・ビジネス・マシーンズ・
コーポレーション

Claims (1)

  1. 【特許請求の範囲】 データ処理装置と、端末コンソールと、上記端末コンソ
    ールに接続されたシステム・メモリとを含み、上記シス
    テム・メモリは、メモリ中に現存する複数個の仮想端末
    を制御する仮想端末管理手段と、メモリ中の高信頼性(
    トラステッド)仮想端末及び端末コンソール間に高信頼
    性伝送路を確立するための手段とを含んでオペレーティ
    ングシステムで動作するようになつているシステムに於
    て、 ユーザからの安全注意要求を出力するため上記端末コン
    ソールに設けた安全注意要求手段と、上記安全注意要求
    を受取るため上記安全注意要求手段に結合された高信頼
    性伝送路制御手段と、上記端末コンソールをアクセスす
    るため上記現存する仮想端末の各々に対する授権(オー
    ソライゼーシヨン)を記憶するように、上記高信頼性伝
    送路制御手段に結合された端末コンソール・アクセス授
    権手段と、 上記高信頼性伝送路制御手段は上記安全注意要求に応答
    して、上記アクセス授権手段に取消しメッセージを出力
    し、上記端末コンソールをアクセスするための上記現存
    する各仮想端末の授権を取消すようにすることと、 上記高信頼性伝送路制御手段は、高信頼性コンピューテ
    ィング・ベースの一部である上記メモリ中に高信頼性仮
    想端末を確立し、且つ上記アクセス授権手段に対して授
    権メッセージを出力して上記端末コンソールをアクセス
    することを上記高信頼性仮想端末に授権することと、 上記高信頼性伝送路制御手段は、上記仮想端末管理手段
    に結合されて、上記端末コンソールをアクセスするよう
    に上記高信頼性仮想端末を作動させるための作動メッセ
    ージを出力することとを特徴とする、 端末コンソール及び高信頼性仮想端末間に高信頼性伝送
    路を確立する装置。
JP63318668A 1988-02-01 1988-12-19 端末コンソール及び高信頼性仮想端末間に高信頼性伝送路を確立する装置 Granted JPH027640A (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US07/150,965 US4945468A (en) 1988-02-01 1988-02-01 Trusted path mechanism for virtual terminal environments
US150965 1998-09-10

Publications (2)

Publication Number Publication Date
JPH027640A true JPH027640A (ja) 1990-01-11
JPH0582098B2 JPH0582098B2 (ja) 1993-11-17

Family

ID=22536754

Family Applications (1)

Application Number Title Priority Date Filing Date
JP63318668A Granted JPH027640A (ja) 1988-02-01 1988-12-19 端末コンソール及び高信頼性仮想端末間に高信頼性伝送路を確立する装置

Country Status (4)

Country Link
US (1) US4945468A (ja)
EP (1) EP0326700B1 (ja)
JP (1) JPH027640A (ja)
DE (1) DE3852292T2 (ja)

Families Citing this family (39)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
AU640181B2 (en) * 1989-12-26 1993-08-19 Digital Equipment Corporation Method for securing terminal and terminal apparatus for use with the method
US6507909B1 (en) 1990-02-13 2003-01-14 Compaq Information Technologies Group, L.P. Method for executing trusted-path commands
US5134580A (en) * 1990-03-22 1992-07-28 International Business Machines Corporation Computer with capability to automatically initialize in a first operating system of choice and reinitialize in a second operating system without computer shutdown
US6836548B1 (en) 1991-10-29 2004-12-28 The Commonwealth Of Australia Communications security and trusted path method and means
US5317695A (en) * 1992-04-03 1994-05-31 International Business Machines Corporation Method and system for permitting communication between a data processing system and input pointing devices of multiple types
GB2449410B (en) * 1992-10-30 2009-04-08 Commw Of Australia Communications trusted path means
US5566326A (en) * 1993-09-28 1996-10-15 Bull Hn Information Systems Inc. Copy file mechanism for transferring files between a host system and an emulated file system
US6006328A (en) * 1995-07-14 1999-12-21 Christopher N. Drake Computer software authentication, protection, and security system
WO1997004394A1 (en) * 1995-07-14 1997-02-06 Christopher Nathan Drake Computer software authentication, protection, and security system
JPH09190267A (ja) * 1995-08-23 1997-07-22 Toshiba Corp 外部イベントに基づきキーボード割当を動的に構成し直すシステムおよび方法
US5841869A (en) * 1996-08-23 1998-11-24 Cheyenne Property Trust Method and apparatus for trusted processing
JP2974280B2 (ja) * 1996-09-11 1999-11-10 日本電気通信システム株式会社 ネットワーク接続のブリッジ装置における仮想グループ情報管理方法
US5854890A (en) * 1996-10-15 1998-12-29 National Instruments Corporation Fieldbus function block shell with user selectable data ownership
US5937159A (en) * 1997-03-28 1999-08-10 Data General Corporation Secure computer system
US6714930B1 (en) 2000-05-31 2004-03-30 International Business Machines Corporation Lightweight directory access protocol, (LDAP) trusted processing of unique identifiers
US6883098B1 (en) * 2000-09-20 2005-04-19 International Business Machines Corporation Method and computer system for controlling access by applications to this and other computer systems
AU2002220540A1 (en) * 2000-12-11 2002-06-24 Apomon Aps Changing of operating modes in a computer
US8209753B2 (en) * 2001-06-15 2012-06-26 Activcard, Inc. Universal secure messaging for remote security tokens
US20040218762A1 (en) 2003-04-29 2004-11-04 Eric Le Saint Universal secure messaging for cryptographic modules
US7124403B2 (en) * 2001-08-15 2006-10-17 Sun Microsystems, Inc. Methods and apparatus for managing defunct processes
KR100439171B1 (ko) * 2001-11-21 2004-07-05 한국전자통신연구원 접근제어 처리 기법을 이용한 클라이언트와 시스템간의신뢰경로 보장 방법
GB0212308D0 (en) * 2002-05-28 2002-07-10 Symbian Ltd Trusted user interface for a secure mobile wireless device
US7085933B2 (en) * 2002-06-11 2006-08-01 Lenvo (Singapore) Pte, Ltd. Computer system apparatus and method for improved assurance of authentication
US7421736B2 (en) * 2002-07-02 2008-09-02 Lucent Technologies Inc. Method and apparatus for enabling peer-to-peer virtual private network (P2P-VPN) services in VPN-enabled network
US20040123152A1 (en) * 2002-12-18 2004-06-24 Eric Le Saint Uniform framework for security tokens
US20040221174A1 (en) * 2003-04-29 2004-11-04 Eric Le Saint Uniform modular framework for a host computer system
US7907935B2 (en) 2003-12-22 2011-03-15 Activcard Ireland, Limited Intelligent remote device
US20050138380A1 (en) * 2003-12-22 2005-06-23 Fedronic Dominique L.J. Entry control system
US7783891B2 (en) * 2004-02-25 2010-08-24 Microsoft Corporation System and method facilitating secure credential management
US8719591B1 (en) 2004-05-14 2014-05-06 Radix Holdings, Llc Secure data entry
GB2415065B (en) 2004-06-09 2009-01-21 Symbian Software Ltd A computing device having a multiple process architecture for running plug-in code modules
US7631198B2 (en) * 2005-05-10 2009-12-08 Seagate Technology Protocol scripting language for safe execution in embedded system
US8645683B1 (en) 2005-08-11 2014-02-04 Aaron T. Emigh Verified navigation
US7996682B2 (en) * 2005-10-17 2011-08-09 Microsoft Corporation Secure prompting
JP5735509B2 (ja) * 2009-08-04 2015-06-17 カーネギー メロン ユニバーシティ マルウェアがある状態でユーザが検証可能な信頼性のあるパスを得るための方法および機器
US8938644B2 (en) * 2010-12-03 2015-01-20 Teradata Us, Inc. Query execution plan revision for error recovery
WO2013159289A1 (en) * 2012-04-25 2013-10-31 Hewlett-Packard Development Company Switching of operating systems
CN103685399B (zh) * 2012-09-17 2018-03-23 腾讯科技(深圳)有限公司 一种登录类Unix虚拟容器的方法、装置和系统
TWI475483B (zh) * 2012-10-19 2015-03-01 Taibotics Co Ltd 自動裝置的程式開發方法

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
GB1561482A (en) * 1976-11-18 1980-02-20 Ibm Protection of data processing system against unauthorised programmes
US4218738A (en) * 1978-05-05 1980-08-19 International Business Machines Corporation Method for authenticating the identity of a user of an information system
US4253145A (en) * 1978-12-26 1981-02-24 Honeywell Information Systems Inc. Hardware virtualizer for supporting recursive virtual computer systems on a host computer system
US4488217A (en) * 1979-03-12 1984-12-11 Digital Equipment Corporation Data processing system with lock-unlock instruction facility
US4328542A (en) * 1979-11-07 1982-05-04 The Boeing Company Secure implementation of transition machine computer
US4442484A (en) * 1980-10-14 1984-04-10 Intel Corporation Microprocessor memory management and protection mechanism
US4593353A (en) * 1981-10-26 1986-06-03 Telecommunications Associates, Inc. Software protection method and apparatus
JPH0664536B2 (ja) * 1986-01-17 1994-08-22 インタ−ナショナル ビジネス マシ−ンズ コ−ポレ−ション 仮想端末サブシステムの制御方法
US4885789A (en) * 1988-02-01 1989-12-05 International Business Machines Corporation Remote trusted path mechanism for telnet

Also Published As

Publication number Publication date
JPH0582098B2 (ja) 1993-11-17
EP0326700B1 (en) 1994-11-30
US4945468A (en) 1990-07-31
EP0326700A3 (en) 1992-01-08
DE3852292T2 (de) 1995-05-24
DE3852292D1 (de) 1995-01-12
EP0326700A2 (en) 1989-08-09

Similar Documents

Publication Publication Date Title
JPH027640A (ja) 端末コンソール及び高信頼性仮想端末間に高信頼性伝送路を確立する装置
US4918653A (en) Trusted path mechanism for an operating system
EP0443423B1 (en) Method and apparatus for executing trusted-path commands
US5809230A (en) System and method for controlling access to personal computer system resources
JP4823481B2 (ja) 安全な環境を初期化する命令を実行するシステムおよび方法
US7937540B2 (en) Storage-access control system for preventing unauthorized access to a storage device
JP5242747B2 (ja) システム管理割り込みを再命令し、仮想マシンコンテナを生成することによる、信頼性のないシステム管理コードに対する保護方法
US8340290B2 (en) Security method of keyboard input directly controlling the keyboard controller
US8874931B2 (en) System and method for securing a user interface
JPS63124151A (ja) 論理的に安全なプロセツサ・システム
US20060230454A1 (en) Fast protection of a computer's base system from malicious software using system-wide skins with OS-level sandboxing
JP7146812B2 (ja) 独立した復元領域を有する補助記憶装置およびこれを適用した機器
US9454652B2 (en) Computer security system and method
JP2000207363A (ja) ユ―ザ・アクセス制御装置
US7178165B2 (en) Additional layer in operating system to protect system from hacking
Rabin et al. An integrated toolkit for operating system security
US8332940B2 (en) Techniques for securing a computing environment
JPS63148358A (ja) プロテクト装置
Needham et al. Access Control
Poll Operating System Security
JP2003085042A (ja) コンピュータのセキュリティシステム
JPH04349545A (ja) ファイルシステム

Legal Events

Date Code Title Description
LAPS Cancellation because of no payment of annual fees