JPH07509086A

JPH07509086A - ワークステーション用の信用化されたパスサブシステム

Info

Publication number: JPH07509086A
Application number: JP6503552A
Authority: JP
Inventors: ロバート、ウイリアム・イー; ハンソン、マーク・エイチ; マークハム、トーマス・アール
Original assignee: セキュア・コンピューティング・コーポレーション
Priority date: 1992-07-10
Filing date: 1993-07-09
Publication date: 1995-10-05
Also published as: AU4672693A; US5596718A; EP0649546A1; AU663406B2; WO1994001821A1; US5822435A; CA2139744A1; IL106304A0

Abstract

(57)【要約】本公報は電子出願前の出願データであるため要約のデータは記録されません。

Description

【発明の詳細な説明】信用化されたパスサブシステム λ匪卑１１発明の分野この発明は、信用化されていないコンピュータに基づいて、信用化されたコンピュータシステムを提供するための装置および方法に関し、特に、信用化されて（為な（Ｘコンピュータまたはワークステーションに基づくユーザノードと、信用化されたサブシステムとの間に、信用化されたパス機構を提供するための装置および方法に関する。

背景情報コンピュータおよび通信技術の進歩は、ネツトワーク化されたコンピュータシステム内における情報の自由な流動を向上した。その利益は絶大であるが、このような情報の自由な流動は、機密情報を処理するサブシステムにとっては不利である。このような脅威に対処するために、機密情報に対するアクセスを、十分なレベルの権限を有するものにのみ制限するための信用化（された）コンピュータシステムが提案されている。このようなシステムは、ユーザを識別し、（ノクスワード、生物測定学的データなどによって）該ユーザの身元を識別し、該ユーザのアクセスを該ユーザが権利を有するファイルのみに制限することに依存するものである。さらに、信用化フンピユータベース（Ｔｒｕｓｔｅｄ　Ｃｏｍｐｕｔｅｒ　Ｂａ５ｅ：ＴＣＢ）とユーザとの間の通信パスが悪意のあるノ１−ドウエアまたはソフトウェアによって真似られたり聞かれたりしないことを保証する、信用化パス機構が提供されている。このようなシステムは、Ｂｏｅｂｅｒｔらに付与され、この出願の譲受人に譲渡された米国特許Ｎｏ、４．６２１．３２１．４，７１３，７５３および４，７０１，８４０に開示されており、これらの全開示内容はこの明細書において参照されている。

最近１０年において、コンピュータ資源の分布に変化があった。自動データ処理環境は、多数の比較的“無口”″な端末をメインフレームコンピュータに接続する代りに、徐々に、多数のシステムがファイルサーバーシステムである環境にシフトしている。ファイルサーバーシステムにおいては、比較的低いコストのコンピュータは各ユーザのデスクに置かれるが、プリンタおよび大容量データ格納装置はサーバーの近くに置かれる。前記大容量データ格納装置に格納されたファイルは、ユーザのコンピュータに送られて処理され、その後、ローカルの格納装置に保存されるか、前記大容量データ格納装置に送り返される。印刷すべき文書は、ファイルとしてプリントサーバーに送られる。こうして、該プリントサーバーは、前記文書の印刷を管理する。

より緩く結合された分散型コンピュータ技術は、クライアント−サーバ一方式に基づいている。該クライアント−サーバ一方式によると、ユーザのワークステーションで動作する１または２以上のクライアントシステムは、ネットワークで動作する１または２以上のサーノく一システムにアクセスする。ファイルサーバーシステムと同様に、前記クライアントの処理はユーザインターフェイスを取り扱い、前記サーバーの処理はファイルの格納および印刷を取り扱う。しかし、ファイルサーバーシステムとは異なり、前記クライアント処理およびサーバー処理は、データ処理責任を共有する。分散型コンピュータ技術に関するより完全な議論は、米国計算機学会（ＡＣＭ）発行の”　Ｃｏｍｍｕｎｉｃａｔｉｏｎｓ″の１９９２年７月号において、Ａｌｏｋ　５ｉｎｈａ著による“Ｃ１１ｅｎｔ−５ｅｒｖｅｒ　Ｃｏｍｐｕｔｉｎｇ”になされている。

前記ファイルサーバ一方式およびクライアント−サーバ一方式は、共に、各ユーザのデスクに置くことができる低コストコンピュータシステムの利用可能性に大きく依存する。前記低コストコンピュータシステムは、ＬＡＮまたはＶＡＮなどのネットワークを介して、サーバーシステムに接続される。このようなネットワーク化されたシステムは、図１のブロック図に示されている。

図１において、ワークステーション処理ユニツト４０は、ネットワーク５０を介して、ホストコンピュータ６０に接続されている。前記ワークステーション処理ユニット４０は、また、ビデオポート４４およびキーボードポート４６を介して、表示ユニット１０およびキーボード２０に接続されている。

典型的な分散型コンピュータシステムにおいて、前記ワークステーション処理ユニツト４０、ホストコンピュータ６０および接続用ネットワーク５０は、すべて、セキュリティ　（機密）が侵害されるという大きな危険にさらされている。図１に示した多重レベル機密保護（ＭＬＳ）コンピュータ６０のようなホストコンピュータに基づく信用化コンピュータシステムは、機密性が不可欠な（信用化）サブシステムを機密性が不可欠ではない（非信用化）サブシステムから絶縁するようシステムを仕切ることによって、前記ホストコンピュータ６０における機密侵害をより困難にする。しかし、このようなコンピュータは、前記ネットワーク５ｏまたはユーザワークステーション処理ユニット４０における機密侵害を防止する策をほとんど行っていない。

図１に示した多重レベル機密保護（ＭＬＳ）コンピュータは、機密度が異なるデータおよび権限が異なるユーザを識別可能であり、ユーザが権限が与えられたデータのみにアクセスすることを保証することが可能である。例えば、！ＩＩＬｓコンピュータは、会社所有データと公開データとの差異を識別可能である。また、ＭＬＳコンピュータは、会社の従業員であるユーザと、会社の客であるユーザとを識別可能である。故に、前記ＭＬＳコンピュータを使用して、会社所有データが会社の従業員であるユーザにのみ利用可能であることを保証することができる。

ＭＬＳコンピュータの設計者は、権限なき個人が悪意のあるコード、能動的および受動的な盗聴のような様々な手段を利用してその制御を妨害する、ことを想定している。従って、ＭＬＳコンピュータの前記信用化サブシステムは、悪意のあるソフトウェアの作用を制限しこれを無害なもとにすることができるよう、前記非信用化サブシステムで実行されている悪意のあるソフトウェアに耐えるよう設計される必要がある。悪意のあるソフトウェアを回避する１つの機構は、ユーザと前記信用化サブシステムとの間に、信用化パス、すなわち、機密保護化された通信パスを設けることである。適切に設計された信用化ハスによって、前記信用化サブシステムに送られる情報が途中でコピーされたり変更されない、ことが保証される。しかし、前記ネットワークを介してユーザに至る前記信用化パスの拡張は困難である。先に出願され、この出願と同じ譲受人によって所有されている “５ｅｃｕｒｅ　Ｃｏｍｐｕｔｅｒ　Ｉｎｔｅｒｆａｃｅ”と題する米国特許出願（Ｗｉｌｌｉａｍ　Ｅ。

Ｂｏｅｂｅｒｔによって１９９１年３月２８日に出願された米国特許Ｎｏ、０７／６７６．８８５）に記載されているように、“能動的”および“受動的”ネットワークアタックは、ネットワーク機密を侵害するために使用されることができる。

能動的なネットワークアタックでは、仮装用の゛°インチキ”ハードウェアまたはソフトウェアがネットワーク通信リンクに挿入される。例えば、機密情報にアクセスするための特権をユーザにエミュレートするノ１−ドウエアが挿入される。“受動的”なネットワークアタックは、ある装置がリンク上のデータを盗聴し、該データをコピーしてその他のユーザに送るアタックを含む。機密保護化されていないネットワークでの安全なデータ通信を保証するためのシステムは、上記特許出願に記載されている。

また、能動的および受動的なネットワークアタックは、多重レベル機密保護コンピュータの非信用化ユーザコンピュータ、非信用化ホストコンピュータまたは非信用化サブシステムで実行されるソフトウェアを通して、コンピュータの機密性を侵害するために使用可能である。例えば、ワークステーションで実行される悪意のあるソフトウェアは、信用化サブシステムとして、許可されたユーザの前に出現し、該ユーザにパスワードのような機密性の高いデータを人力させる。このデータは、捕らえられ、アタツカに与えられる。受動的なソフトウェアによると、−人のユーザに対して意図されたデータがコピーされ、それを取り扱うことが許可されていないユーザに送られる。

機密保護化されていないネットワークでの安全なデータ通信を保証するためのシステムは、今日まで、前記ネットワークに対して送られるデータを暗号化し、前記ネットワークから受け取ったデータを解読するスクランプリング装置に制限されてきた。このようなシステムは、ユーザのコンピュータが安全であり、または、前記ユーザが信用化サブシステムへの信用化パスを実際に確立した旨保証しない、という点で制限がある。故に、通信リンクが安全であるという事実にも関わらず、ユーザが、彼のコンピュータで実行されているプログラムがホストコンピュータで実際に実行されていると誤解する可能性がある。

ここで必要なのは、前記信用化パスを、ホストコンピュータの信用化サブシステムがら非信用化コンピュータまたはワークステーションのユーザにまで拡張するためのメカニズムである。このような方法は、秘密データが機密保護化されていないワークステーションで実行されているソフトウェアによって読み取られないよう該秘密データをシールドしながら、通常のワークステーション処理動作のために前記ワークステーションにアクセスする必要がある。

ｌ匪皇鷹Ｉこの発明は、非信用化コンピュータまたはワークステーションを操作するユーザとホストコンピュータとの間で、機密保護化されていない通信媒体を介した秘密通信を保証するための方法および装置を提供する。機密保護化されたユーザインターフェイスは、ワークステーションに対する入出力装置と該ワークステーション自体との間に、信用化されたパスサブシステムを挿入することによって形成される。前記入出力装置から送られたデータは、傍受され、暗号化され、パケットでホストコンピュータに送られる。前記ホストコンピュータからの画面表示データのパケットは、解読され、ユーザが定義した画面オーバーレイ領域内に表示される。

この発明の他の観点によると、機密保護化されていないワークステーションとホストコンピュータとの間における機密保護化されたファイル伝送を保証するための方法が開示されている。伝送されるファイルは、前記ワークステーションとそのキーボードと表示装置との間に挿入された信用化パスサブシステムにダウンロードされる。

前記信用化パスサブシステムは前記表示装置に前記ファイルを表示し、これにより、ユーザは前記ファイルが予期された通りであることを確認できる。こうして確認されたファイルは、暗号化され、パケットとして前記ホストコンピュータに送られる。

Ｃ１ｉ紹り腹崖ノＵ凌朋図１は、ネットワークコンピュータシステムのプロ・ツク図、図２は、この発明に係る機密ネ・ノドワーク化したコンピュータシステムのブロック図、図３は、この発明に係る信用化パスサブシステムを含むユーザノートのブロック図、図４は、この発明に係る信用化パスサブシステムの他の実施例を含むユーザノードのブロック図、図５は、この発明に係る信用化パスサブシステムの１つの実施例を示すブロック図、図６は、この発明に係る機密保護ウィンドウオーバーレイを示す図。

ましい実施　の−細な者日この発明は、非信用化コンピュータまたはワークステーションを操作するユーザとホスト；ンピュータとの間で、機密保護化されていない通信媒体を介した秘密通信を保証するための方法および装置を提供する。機密保護化されたユーザインターフェイスは、ワークステーションに対する入出力装置と該ワークステーション自体との間に、信用化されたパスサブシステムを挿入することによって形成される。前記入出力装置から送られたデータは、傍受され、暗号化され、パケットでホストコンピュータに送られる。前記ホストコンピュータからの画面表示データのパケットは、解読され、ユーザが定義した画面オーバーレイ領域内に表示される。

前記信用化されたパスサブシステムおよびホストコンピュータにおける暗号部は、前記ネットワークに対してやり取りされる秘密データにエンド・ツー・エンド暗号化処理を施す。該エンド・ツー・エンド暗号化処理とは、データができる限りその発生源に近い所で暗号化され、その最終的な目的地でのみ解読される技術である。この技術は、データが送り手から受取手に移動する間に解読され、再び暗号化されるリンク暗号化処理とは異なるものである。

この発明は、従来のシステムに比べて、送り手および受取手により近い所で暗号化／解読を行うことによって、前記エンド・ツー・エンド暗号化の概念を拡張するものである。この発明において、前記暗号化／解読は、データが前記入出力装置に入出力される際に行われる。従って、前記データは、前記ワークステーションで動作する悪意のあるソフトウェア、および、前記ネットワークに対する能動的または受動的なアタックから保護される。

この発明に従って構成された機密保護化されたコンピュータシステムの全体は、図２に示されている。図２において、ワークステーション処理ユニット４０は、ネットワーク５０を介して、ホストコンピュータ６０に接続されている。前記ワークステーション処理ユニット４０は、信用化パスサブシステム３０と該ワークステーション処理ユニット４０との間で通信を行うための個別のデータバスを有する任意のコンピュータ、ワークステーションまたはＸ端末であってよい。例えば、前記ワークステーション処理ユニット４０は、カルフォルニア州、Ｍ。

ｕｎｔａｉｎ　ＶｉｅｗのＳｕｎ　Ｍｉｃｒｏｓｙｓｔｅｍｓによって製造されるＵＮＩＸワークステーション、テキサス州、ＨｏｕｓｔｏｎのＣｏｍｐａｑがら入手可能なもののようなＩＢＭ　ＰＣｃｏｍｐａｔｉｂｌｅ、または、カルフォルニア州、Ｍｏｕｎｔａｉｎ　ＶｉｅｗのＮｅｔｗｏｒｋ　ＣｏｍｐｕｔｉｎｇＤｅｖｉｃｅｓから入手可能なＭｏｄｅｌ　ＮＣＤ１９ｑのようなＸ端末、などの商業的に入手可能なワークステーションで構成することができる。

前記信用化パスサブシステム３０は、（補助データポート４２を介して）前記ワークステーション処理ユニット４０に接続され、且つ、キーボード２０および表示器１０に接続されている。前記信用化パスサブシステム３０は、前記表示器１０とキーボード２０とワークステーション処理ユニット４０との間で伝送される情報を暗号化し、解読するための暗号部３５を有する。

ホストコンピュータ６０は、信用化サブシステム６７と非信用化サブシステム６３とを有する多重レベル機密保護コンピュータである。前記信用化サブシステム６７は、該信用化サブシステム６７と非信用化サブシステム６３とネットワーク５０との間で伝送される情報を暗号化し、解読するための暗号部６９を有する。

この発明の他の実施例において、前記ホストコンピュータ６ｏは、信用化サブシステムのソフトウェアパッケージを実行するコンピュータである。その実施例において、暗号部６９は、ソフトウェアによって実行される。

図２に示した実施例において、前記信用化パスサブシステム３０とホストコンピュータ６ｏとの間のすべての通信は、前記ワークステーション処理ユニット４ｏを介して行われる。このような実施例において、前記補助データポート４２は、前記ワークステーション処理ユニット４０とサブシステム３０とを接続するＲ３ −２３２ラインである。前記ワークステーション処理ユニット４０で実行される通信ソフトウェアは、前記信用化パスサブシステムから暗号化されたパケットを受け取り、前記ホストコンピュータ６０に送る。同様に、前記ホストコンピュータ６０からの暗号化されたパケットは、前記ワークステーション処理ユニット４０によって受け取られ、前記サブシステム３０に送られて解読される。この種のインターフェイスは、前記サブシステム３０とホストコンピュータ６０の間の伝送のために標準的な通信プロトコルが定義可能であるので、有利である。こうして、前記ワークステーション処理ユニット４０は、ホストコンピュータ６０に接続する通信媒体のための前記通信プロトコルを実行する。

ネットワーク５０は、ＦＤＤＩから２つのモデム間の単純な電話通信線に至る、広い範囲の通信プロトコルで実現可能である。この際、前記サブシステム３０は暗号化されたファイルのみを提供し、前記ワークステーション処理ユニット４０は、ネットワーク５０での信頼できる通信に必要なプロトコルの層を提供する。

図３は、前記信用化パスサブシステム３０の詳細を示す。該信用化パスサブシステム３０は、キーボード管理部３７、ビデオ管理部３８および暗号部３５に接続されたプロセッサ３１からなる。信用化パスサブシステム３Ｏは、通常モードと信用化パスモードとで動作する。前記通常モードにおいて、前記信用化パスサブシステム３０は、前記ワークステーション処理ユニット４０に対して隠される。

論理スイッチ３７．３８は、アップ位置にあり、前記ワークステーション処理ユニット４０をキーボード２０および表示器１０に対して直接接続する。このようにして、前記キーボード２０からワークステーション処理ユニット４０への、および、ワークステーション処理ユニット４０から表示器１０への自由な情報伝送が可能になる。前記通常モードにおいて、前記ワークステーション処理ユニット４０は、ソフトウェアを実行し、ネットワーク５０を介してホストコンピュータ６０と通信する。

一方、ユーザが前記信用化パスモードを起動すると、ワークステーション処理ユニット４０は、論理スイッチ３７．３８によって、前記キーボード２０および表示器１０から断続される。そして、前記キーボード２０および表示器１０は、前記信用化パスサブシステム３０のそれぞれの管理部に接続される。

図６に示すように、前記信用化パスモードにおいて、ビデオ管理部３４は、表示器１０のために前記ワークステーション処理ユニット４０によって発生された画面表示８０に表示される信用化ウィンドウ８２を作り出す。

前記ウィンドウ８２は信用化要素によって前記ワークステーション処理ユニット４０の外で作り出されるので、前記ワークステーション処理ユニット４０における悪意のソフトウェアが前記ウィンドウ８２のビデオを制御することはできない。好ましい実施例において、前記信用化ウィンドウ８２のサイズは可変である。

十分なビデオＲＡＭが存在する場合、前記ウィンドウ８２は表示画面全体と同じ大きさでよい。

同様に、前記信用化パスモードにおいて、キーボード管理部３６は、前記ワークステーション処理ユニット４０に向けられるキーボードデータを傍受する。その後、前記キーボードデータは、補助ポート４２を介して前記ワークステーション処理ユニット４０に送られる前に、暗号部３５において暗号化される。こうして、キーボード人力は、ホストコンピュータ６０の暗号部６９によって解読されるまで、盗み聞きおよび検出不能な変更から保護される。

図３の信用化パスモードの一実施例において、前記暗号部３５は、１対のキーを使用して、前記キーボード２０からホストコンピュータ６０に送られるべきデータを暗号化する。同時に、前記暗号部３５は、ホストコンピュータ６ｏから表示器１０に送られるデータを解読する。

前記暗号部は、前記データが前記ワークステーション処理ユニット４０、ネットワーク５０およびホストコンピュータ６０の非信用化サブシステム６３を通過する際に、該データを盗み聞きおよび検出不能な変更から保護する。

データ暗号化規格（ＤＥＳ）のような他の種類の対称的暗号化アルゴリズム、および、公開キーのような非対称的解読技術が、使用されてもよい。さらに、前記暗号化アルゴリズムは、ソフトウェア、プログラマブル／％−ドウエアまたはカスタムハードウェアによって実現されてよい。

前記信用化パスモードは、様々異なる方法で起動されてよい。１つの実施例において、信用化バスサブシステム３０のスイッチは、信用化パスモードをマニュアルに起動するために使用可能である。第２の方法は、前記キーボード２０で同時に押されるキーの組合わせ（例えば、ＰＣ−ｃｏｍｐａｔｉｂｌｅコンピュータにおけるコントロールキー／変更（ａｌｔ）キー／削除（ｄｅｌｅｔｅ）キーのシーケンス）によって、信用化パスモードを起動することである。トークンデバイスとしては、スマートカードから解読スタートキーまでが考えられる。好ましい実施例において、前記サブシステム３０は、該サブシステム３０が信用化パスモードであることをユーザに知らせるライトのような、フィードバック機構をさらに有する。

前記ホストコンピュータ６０の暗号部６９と共に使用される信用化パスモードは、ユーザ認証、データ機密性、データ保全性、データ起点認証、悪意のあるソフトウェアの拘束のような機密保護サービスを提供する。前記ユーザは前記信用化バスサブシステム３０に対して認証され、この認証は、ＭＬＳコンピュータ６０の信用化サブシステム６７に安全に送られる。前記暗号部３５．６９の間で伝送されるデータは、許可無き開示および検出されない変更から保護される。また、前記暗号部３５．６９は、前記データが一方の暗号部から対応する暗号装置に送られたことを保証する。さらに、前記ワークステーション処理ユニット４０．ネットワーク５０または非信用化サブシステム６３の悪意のソフトウェアは、ユーザまたは信用化されるサブシステム６９を機密保護されていない動作を行うよう欺くことができないよう、拘束される。

ユーザは、前記信用化バスサブシステム３０に対して直接に自分自身を認証することによって、または、前記サブシステム３０を介してホストコンピュータ６０にアクセスすることによって、信用化コンピュータシステムに対して認証されることができる。前記第１の方法において、前記ユーザは個人身分証明番号（Ｐ　Ｉ　Ｎ）　、パスワード、生物測定学的データ、または、スマートカードもしくは暗号スタートキーのようなトークンデバイスなとの手段を介して、自分自身を前記サブシステム３０に認証可能である。前記ユーザが自分自身を前記サブシステム３０に認証すると、該サブシステム３０は信用化サブシステム６５にその認証を送る。前記認証を送る工程は、認証プロセスの一部として信用化パスモードを自動的に開始することによって、または、前記サブシステム３０か後で認証データを送るようにさせることによって、実行可能である。

ユーザを認証するための第２の方法は、まず信用化パスモードを開始し、その後、ホストコンピュータ６０に対して前記ユーザを直接に認証することである。この方法は、前記サブシステム３０で必要な処理能力を減少させる。

最も簡単な形態において、前記信用化バスサブシステム３０は、前記ワークステーション処理ユニット４０、表示く１０およびキーボード２０と共に、保証された端末を形成する。前記キーボード２０でタイプされたデータ、または、マウスのような位置決め装置から出力されたデータは、暗号化され、前記ネットワーク５０を介してホストコンピュータ６０に送られる。前記ホストコンピュータ６０から送られた画面表示データは、解読され、信用ウィンドウ８２内に表示される。このような端末は、ＶＴｌｏｏのような比較的無言の端末として実現されるか、または、Ｘウィンドウとして実現されてよい。該Ｘウィンドウを使用した実施例は、多重信用化ウィンドウ８２を作り出し、各ウィンドウに異なる機密保護レベルを割り当て可能であるので、有用である。このような機構は、資格の有るユーザがある機密性レベルの文書から情報を切り取り、異なる機密性レベルの文書に貼り付ける、ことを可能にする。

保証された端末は、１つの機密保護レベルでのみ動作するワークステーションを有するにも関わらず、多くの機密保護レベルを維持しようとする環境において特に有用である。その−例は、１つの機密保護レベルを持つワークステーションと、極秘扱いではない（最も低い）レベル、秘密（より機密レベルが高い）レベルおよび最高秘密（最も機密レベルが高い）レベルである３つの機密保護レベルを持つ多重機密保護レベルコンピュータとミックスする信用化コンピュータシステムである。前記信用化パスサブシステム３０は、ユーザが該サブシステム３０を基本的に不能化し、彼のワークステーションのすべての可能性、および、前記多重レベル機密保護コンピュータで利用可能なすべての機能を利用して、該ワークステーションによって許可されるレベル（例えば、秘密レベル）のすべての作業を行うことを可能にするので、単一レベルコンピュータの能力を拡張するために使用可能である。ユーザが極秘で行う必要がある作業を少量だけ有する場合、前記ユーザは、前記サブシステム３ｏの信用化モードを起動し、ワークステーション、そのプロセッサメモリおよび格納装置を隔離でき、実際上、キー保護された通信装置に接続させる。こうして、前記ユーザは、極秘で、必要な処理を行うことができる。

前記サブシステム３０において適用される暗号技術は、多重レベルの機密保護コンピュータに対してやり取りされる極秘情報のいずれもが前記ワークステーション処理ユニット４０内のファイルにリンクされず、または、前記ネットワークによって捕捉されコピーされないことを、保証する。

同様に、ユーザが少量の極秘扱いではない仕事を行わなければならない場合、該ユーザは、前記サブシステム３０を使用して、前記ワークステーション処理ユニットを信用化パスモードにする。前記ユーザは信用化パスを介して秘密扱いではないレベルを起動でき、再び、前記リンクの各終端部において適用される暗号技術は、秘密情報が極秘扱いではない情報に混入されることを阻止する。前記システムは、基本的に、１つの機密レベルからのデータが異なる機密レベルのデータに混入されるのを阻止する。

しかし、前記信用化サブシステム３０は、保証された端末としての役割に制限されるものではない。ファイルサーバー用途において、ホストコンピュータ６０に、または、ワークステーション処理ユニット４０内に格納されたファイルは、編集、再検討または電子メイルとしての伝送などのデータ処理タスクのために、前記サブシステム３０に送られる。また、クライアントサーバー用途において、プロセッサ３１は、エディタまたは通信処理のような１または２以上のクライアント処理を実行可能である。前記信用化サブシステム３０内で実行可能なソフトウェアまたはファームウェアは、前記サブシステム３０内の格納量、および、クリーンなソフトウェアを提供するために必要とされる再検討承認処理によってのみ、制限される。

前記信用化サブシステム３０は、前記ホストコンピュータ６０のファイルのみならず前記ワークステーション処理ユニット４０のファイルにもアクセスできる。

前記コンピュータ６０またはワークステーション処理ユニット４０から送られるファイルは、操作され、他方側であるコンピュータ６０またはワークステーション処理ユニット４０に送られることかできる。例えば、メツセージを再検討し、再分類し、電子的に署名するために信用化サブシステム３０が使用される、機密保護された電子メイルシステムが実現可能である。前記コンピュータ６０またはワークステーション処理ユニット４０からの文書ファイルは、表示され、再検討されることができる。もしそれか適当な場合、ユーザは、前記文書に異なる機密レベルを割り当てることによって、その機密レベルを下げてよい。こうして、完成したファイルが、電子メイルを介して、他のユーザに送られることができる。

このような電子メイル機能の１つの実施例において、前記サブシステム３０は、名前、電子メイルアドレスおよび意図された受け取り人の公開キー情報を呼び出すために、前記ネットワークを介してディレクトリサーバーにアクセスする。前記ディレクトリサーバーは、ホストコンピュータ６０または１也のネットワークコンピュータの信用化もしくは非信用化処理として、実現可能である。

こうして、前記サブシステム３０は、前記ファイルにアドレスおよびディジタル署名を付加し、最終的なプロダクトを暗号化した後、ホストコンピュータ６０を介して、指定されたアドレスに送る。

前記機能の他の実施例によると、ＭＬＳコンピュータを備えていないシステムにおいて、機密保護された電子メイルは、最初に、ユーザからプロセッサ３１に至る信用化パスを確立することによって可能である。そして、ユーザは、ワークステーション処理ユニット４０（または、他のネットワークコンピュータ）のファイルにアクセスし、該ファイルを表示して再検討し、前記名前、電子メイルアドレスおよび公開キー情報を呼出すために機密保護されていないディレクトリサーバーにアクセスし、さらに、電子メイルを介して、暗号化されたメツセージをその受け取り人に送る。

前記プロセッサ３１は、ユーザインターフェイスを実現し制御するために、ビデオ管理部３４を制御するためにも使用可能である。このような方法は、前記ホストコンピュータ６０によって送られる画面情報の量を減少させる信用化ウィンドウ８２内でグラフィックユーザインターフェイスを使用する、ことを可能にする。また、この方法は、上述した切り取り・貼り付は機能を実行するために、ユーザが、前記プロセッサ３１を介して、ユーザノートで多重信用化ウィンドウ８２を実行することを可能にする。

好ましい実施例において、前記サブシステム３０は、プロセッサ３１および暗号部３５が一定に保たれ、ビデオ管環部３４およびキーボード管理部３６が異なる表示器およびキーボードを取り扱うために容易に交換可能なよう設計された、モジュール設計となっている。１つの実施例において、前記サブシステム３ｏはポータプル式に設計されている。該ポータプル式のサブシステム３゜は、必要な補助データポートを備えモデムを備えた任意ノコンヒュータを、機密保護データ端末またはコンピュータに変えるために使用可能である。

図４は、前記信用化サブシステム３ｏの他の実施例を示すブロック図である。図４において、プロセッサ３１は、ネットワークインターフェイス３９を介してネットワーク５０に接続され、通信ポート４８を介してワークステーション処理ユニット４ｏに接続されている。図４の実施例において、前記ワークステーション処理ユニット４０は、前記ネットワークから隔離されている。この方法は、ユーザノードに関連したすべてのネットワーク通信の暗号化を可能にする。図４の実施例において、前記通信ポート４８は、Ｒ５０２３２から機密保護化されていないイーサネット（Ｅｔｈｅｒｎｅｔ）に及ぶ通信媒体とすることができる。

前記信用化サブシステム３０の一実施例のより詳細な構成は、図５に示されている。図５において、キーボード論理スイッチ３７は、キーボード２ｏがらのデータを受け取り、該データをプロセッサ３１に送る。通常モードにおいて、前記プロセッサ３１は、キーボードポート４６を介して、前記受は取ったキーボードデータを直接にワークステーション処理ユニット４０に送る。

これに対して、信用パスモードにおいて、前記プロセッサ３１は、前記受は取ったキーボードデータを捕捉し、該データを暗号化のために暗号部３５に送る。キーボードポート４６を介してワークステーション処理ユニット４０には、情報は送られない。その代り、このようにして暗号化されたキーボードデータは、補助データポート４２を介してワークステーション処理ユニット４ｏに送られ、該処理ユニット４０から前記コンピュータ６ｏに送られる。

前記ワークステーション処理ユニット４ｏがらのビデオデータは、ビデオポート４４からビデオ管理部３４に送られる。通常モードにおいて、前記ビデオデータは、変更無しに表示器１０に送られる。しがし、信用化パスモードにおいては、前記ビデオポート４４がら送られたビデオデータは、少なくとも部分的に、前記ビデオ管理部３４によって発生されたビデオデータによってオーバーレイされる。

前記ビデオ管理部３４の代表例は、図５に示されている。前記ビデオ管理部３４は、ビデオ同期化ハードウェア７２、ビデオＲＡＭ７４、ビデオドライバ７８およびビデオマルチプレクサ７６からなる。前記ビデオ同期化ハードウェア７２は、ビデオポート４４がら同期信号をデータ表示を、ワークステーション処理ユニット４０によって発生された表示と対応させる。前記通常モードにおいて、前記ビデオＲＡＭ７４からのデータは使用されず、ビデオは、ワークステーション処理ユニット４０から、ビデオマルチプレクサ７６を介して表示器１０に直接送られる。しかし、前記信用化サブシステム３０が信用化パスモードにされると、前記ビデオＲＡＭ７４に格納されたビデオデータは、信用化ウィンドウ８２を作り出すために、通常ビデオストリームの代りに使用される。

１つの実施例において、前記ビデオ同期化ハードウェア７２は、前記ワークステーション処理ユニット４０から受け取った同期信号を使用して、前記ビデオＲＡＭ７４からのデータ読み取り、および、ビデオドライバ７８によって行われる前記データからビデオ信号への変換を制御する。前記ビデオドライバ７８の出力は、ビデオマルチプレクサ７６を駆動するために使用される。前記ビデオ同期化ハードウェア７２の出力は、ビデオアンプを介して表示器１０に送られる。

１つの表示を他のものの上にオーバーレイするために必要とされるビデオハードウェアの設計は、当該技術分野ではよく知られている。前記ウィンドウ８２は、表示１０に送られるビデオに同期されることができる。典型的には、前記ウィンドウ８２が画面全体に及ぶものではない場合、前記ビデオ同期化ハードウェア７２は、ウィンドウ８２の１番目のラインまでのライン数を計数し、画素の数に組入れ、その箇所にビデオを挿入する。そして、信用化パスビデオデータが所望数の画素について書込まれ、ビデオマルチプレクサ７６が、残りのビデオラインについて、通常ビデオに切替え復帰される。この機構は、画面８０上におけるウィンドウ８２の配置およびサイズに関する自由度を提供する。

前記ビデオマルチプレクサ７６は、Ｍａｘｉｔｎ　ＩｎｔｅｇｒａｔｅｄＰｒｏｄｕｃｔｓによって製造されるＭＡＸ４５６のような座標点スイッチに対してやり取りされるビデオデータは、ＭａｘｉＬＩＩＩｎｔｅｇｒａｔｅｄ　ＰｒｏｄｕｃｔｓによるＭＡＸ４５７を使用してバッファリングされることができる。前記ビデオＲＡＭ７４は、任意のビデオＲＡＭでよい。典型的なビデオＲＡＭは、Ｍｉｃｒｏｎ　Ｔｅｃｈｎｏｌｏｇｉｅｓ　Ｉｎｃ、によって製造されるＭＴ４２Ｃ８２５６である。なお、カラー表示もしくは白黒表示、または、カラー表示における白色オーバーレイについても、前記特定の設計を容易に適合させることができる、ことは自明である。

１つの実施例において、ホストコンピュータ６０は、信用化ウィンドウ８２内に表示すべきビデオデータを、暗号化されたパケットとして伝送する。該暗号化されたパケットは、前記ワークステーション処理ユニット４０によってプロセッサ３１に送られ、さらに、暗号部３５に送られる。該暗号部３５は、前記ビデオデータ解読し、ビデオＲＡＭ７６に格納する。そして、前記ビデオ同期化ハードウェア７２は、前記解読された機密ビデオデ−夕を表示するために、ビデオマルチプレクサ７６およびビデオＲＡＭ７４をオンする。

（図示しない）第２の実施例において、プロセッサ３１は、ビデオオーバーレイデータを作り出し、該データをビデオＲＡＭ７４に書込む。前記データの表示動作は、上述のようである。

信用化されいない商業的に入手可能なワークステーション、信用化バスサブシステム、および、多重レベル機密保護コンピュータは、強力で、高度に機密保護されたコンピュータ環境を提供する。このようなシステムの、機密保護されていないワークステーションを補償する能力は、このようなシステムの設計者が、該システムの機密保護性を損なうこと無く、商業的に入手可能なハードウェアおよびソフトウェアの最新バージョンを使用することを可能にする。

例えば、ワークステーションのユーザは、秘密文書を編集し、該編集された文書を秘密扱されない文書として再分類することを希望するかもしれない。前記文書は、前記ワークステーションにロードされ、ユーザが好むワードブロセソシングソフトウエアバゲージによって編集され、保存されることができる。そして、前記文書を秘密扱されない文書として再分類するために、前記ユーザが信用化パスモードを起動し、信用化ウィンドウが表示され、こうして、前記ユーザは、付加的な情報が前記ファイルに付されなかったことを確認するために、前記訂正された文書を再検討できる。前記再検討された文書は秘密扱されない文書として公開されることができ、こうして、前記ユーザは通常モードに復帰することになる。

前記ワークステーション処理ユニット４０に関する暗号部３５のユニークな配置は、単一のワークステーションが様々に異なるレベルの機密性で使用される、ことを可能にする。従って、各レベルの機密保護性ごとに個別のワークステーションが必要とされるシステムとは異なり、このシステムでは、単一の商業的に入手可能なワークステーションを使用して、広い範囲の機密保護レベルを実現し、アクセスすることができる。

最後に、前記暗号化のエンド・ツー・エンド構成は、ネットワークコントローラのような複雑な要素に関する、高コストでの分析を行うことを必要とすることなく、機密保護された通信を可能にする。また、この発明は、商業的に直に入手可能なワークステーションおよびネットワーク構成要素の使用を可能にし、様々なキーボードおよび表示器と共に使用可能である。

多重レベルｎＧ、　１先行技術ＦＩＧ、　２ＦＩＧ、　５ＦＩＧ、　６補正書の翻訳文提出書（特許法第１８４条の８）平成７年１月１０１川

Claims

【特許請求の範囲】

１．信用化されたサブシステムと、該信用化されたサブシステムに対してやり取りされるデータを暗号化し、解読するための暗号手段とを備えたネットワークコンピュータと、前記ネットワークコンピュータに接続されていて、前記ネットワークコンピュータと他のコンピュータとの間のデータ伝送を可能にする通信手段と、入出力装置と、ワークステーションであって、前記通信手段に接続されていて該ワークステーションと前記ネットワークコンピュータとの間でデータ伝送を行う第１の通信インターフェイス手段と、該ワークステーションと前記入出力装置との間でデータ伝送を行う入出力装置インターフェイス手段と、前記ワークステーションと他のプロセッサとの間でデータ伝送を行う第２の通信インターフェイス手段と、を備えた前記ワークステーションと、前記入出力装置と前記入出力装置インターフェイス手段との間のデータ伝送を傍受するために、前記入出力装置と前記入出力装置インターフェイス手段との間に挿入されていて、前記第２の通信インターフェイス手段に接続された信用化されたパス手段であって、前記データ伝送を暗号化し、解読するとともに、前記第２の通信手段を介して前記データ伝送を前記信用化されたサブシステムに送るための手段を備えた、前記信用化されたパス手段とを具備した機密保護コンピュータネットワーク。
２．前記ネットワークコンピュータが、異なる機密度を有するデータ、および、異なる権限を有するユーザを識別することが可能な多重レベル機密保護コンピュータである請求の範囲第１項に記載の機密保護コンピュータネットワーク。
３．前記入出力装置がキーボードである請求の範囲第１項に記載の機密保護コンピュータネットワーク。
４．前記入出力装置が表示器である請求の範囲第１項に記載の機密保護コンピュータネットワーク。
５．前記入出力装置が位置決め装置である請求の範囲第１項に記載の機密保護コンピュータネットワーク。
６．信用化されたサブシステムと、該信用化されたサブシステムに対してやり取りされるデータを暗号化し、解読するための暗号手段とを備えたネットワークコンピュータと、前記ネットワークコンピュータに接続されていて、前記ネットワークコンピュータと他のコンピュータとの間のデータ伝送を可能にする通信手段と、入出力装置と、ワークステーションであって、該ワークステーションと前記入出力装置との間でデータ伝送を行う入出力装置インターフェイス手段と、該ワークステーションと他のプロセッサとの間でデータ伝送を行うワークステーション通信手段とを備えた、前記ワークステーションと、前記入出力装置と前記入出力装置インターフェイス手段との間のデータ伝送を傍受するために、前記入出力装置と前記人出力装置インターフェイス手段との間に挿入されていて、前記ワークステーション通信手段に接続された信用化されたパス手段であって、前記データ伝送を暗号化し、解読する暗号手段と、前記通信手段に接続されていて、前記信用化されたパス手段と前記信用化されたサブシステムとの間で前記暗号化されたデータ伝送を行うネットワークインターフェイス手段とを具備した機密保護コンピュータネットワーク。
７．前記ネットワークコンピュータが、異なる機密度を有するデータ、および、異なる権限を有するユーザを識別することが可能な多重レベル機密保護コンピュータである請求の範囲第６項に記載の機密保護コンピュータネットワーク。
８．前記入出力装置がキーボードである請求の範囲第６項に記載の機密保護コンピュータネットワーク。
９．前記入出力装置が表示器である請求の範囲第６項に記載の機密保護コンピュータネットワーク。
１０．前記入出力装置が位置決め装置である請求の範囲第６項に記載の機密保護コンピュータネットワーク。
１１．多重レベル機密保護コンピュータネットワークサーバーとの機密保護通信を提供するために、入出力装置とワークステーションのプロセッサとの間に接続可能な、信用化されたパスサブシステムであって、前記入出力装置から前記プロセッサに送られるデータ、および、前記プロセッサから前記入出力装置に送られるデータを、ユーザによる制御の下に、選択的に傍受する入出力管理手段と、前記プロセッサに送る前に、前記傍受したデータを暗号化する暗号手段と、前記入出力装置に送る前に、前記傍受したデータを解読する解読手段とを具備した信用化されたパスサブシステム。
１２．前記入出力装置がキーボード管理ロジックを備えており、前記キーボード管理ロジックが、キーボードによって発生された情報を捕捉するキーボボードインターフェイスと、前記捕捉された情報をワークステーションプロセッサに送る処理手段とを碗えており、前記処理手段が、第１のモードにおいては第１のパスによって前記捕捉された情報を送り、第２のモードにおいては第２のパスによって前記捕捉された情報を送ることを特徴とする請求の範囲第１１項に記載の信用化されたパスサブシステム。
１３．前記入出力管理手段が、ビデオ画面に信用化されたウィンドウオーバーレイを発生するために使用可能なビデオ管理部を備えており、該ビデオ管理部が、第１の入力ポートおよび第２の入力ポートならびに出力ポートを有するビデオマルチプレクサであって、前記第１の入力ポートが外部ビデオ信号に接続可能であり、前記出力ポートがビデオ表示器に接続可能である、前記ビデオマルチプレクサと、ビデオデータメモリと、前記ビデオデータメモリおよび前記第２の入力ポートに接続されていて、前記ビデオデータメモリから読み出されたデータを、該データを表す信用化されたビデオ信号に変換し、該信用化されたビデオ信号を前記第２の入力ポートに与える変換手段と、前記ビデオデータメモリおよびビデオマルチプレクサに接続されていて、前記信用化されたビデオ信号を前記出力ポートで発生された前記ビデオ信号に挿入するために、前記ビデオデータメモリおよびビデオマルチプレクサを制御するビデオ同期化手段とを備えた請求の範囲第１１項に記載の信用化されたパスサブシステム。
１４．多重レベル機密保護コンピュータサーバーに接続された機密保証化されていないワークステーションを備えたネットワークにおいてデータを伝送する方法であって、前記ワークステーションがプロセッサと入出力装置とを備えており、前記多重レベル機密保護コンピュータサーバーが、信用化されたサブシステムと、該信用化されたサブシステムに対してやり取りされるデータを暗号化し、解読する暗号手段とを備えており、前記方法が、前記入出力装置と信用化されたサブシステムとの間において、ユーザによって選択可能な機密保護化された通信パスを提供する信用化されたパス手段を提供する工程と、前記入出力装置と前記プロセッサとの間に前記信用化されたパス手段を挿入する工程とからなる方法。
１５．ネットワークによって第２のコンピュータに接続された機密保護化されていないワークステーションに機密保護化されたファイル伝送能力を提供する方法であって、前記ワークステーションがワークステーションプロセッサと入出力装置とを備えており、前記第２のコンピュータが、信用化されたサブシステムと、該信用化されたサブシステムに対してやり取りされるデータを暗号化し、解読する暗号手段とを備えており、前記方法が、前記入出力装置と、機密保護化された電子メイルプログラムを実行可能な信用化されたプロセッサを含む信用化されたサブシステムとの間に信用化されたパスを作り出す手段を提供する工程と、前記入出力装置と前記ワークステーションプロセッサとの間に前記信用化されたパス手段を挿入する工程と、前記第２のニコンピュータに送るべきファイルを、前記ワークステーションプロセッサから前記信用化されたプロセッサにダウンロードする工程と、前記入出力装置において、前記送るべきファイルを表示する工程と、前記ファイルが予期された通りである場合、該ファイルを前記第２のコンピュータに送る工程と、前記ファイルが予期された通りではない場合、エラーメッセージを発生する工程とからなる方法。
１６．前記エラーメッセージを発生する工程が、前記フアイルについて機密保証化処理を可能にする工程を含む請求の範囲第１５項に記載の方法。