JPH0812645B2 - データ処理システム内のシステムフアイルを保護する方法及びデータ処理システム - Google Patents

データ処理システム内のシステムフアイルを保護する方法及びデータ処理システム

Info

Publication number
JPH0812645B2
JPH0812645B2 JP61034038A JP3403886A JPH0812645B2 JP H0812645 B2 JPH0812645 B2 JP H0812645B2 JP 61034038 A JP61034038 A JP 61034038A JP 3403886 A JP3403886 A JP 3403886A JP H0812645 B2 JPH0812645 B2 JP H0812645B2
Authority
JP
Japan
Prior art keywords
data object
access
program
user
subsystem
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Expired - Fee Related
Application number
JP61034038A
Other languages
English (en)
Other versions
JPS61195443A (ja
Inventor
ウイリアム・イー・ボーバート
リチヤード・ワイ・ケイン
Original Assignee
ハネウエル・インコーポレーテツド
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ハネウエル・インコーポレーテツド filed Critical ハネウエル・インコーポレーテツド
Publication of JPS61195443A publication Critical patent/JPS61195443A/ja
Publication of JPH0812645B2 publication Critical patent/JPH0812645B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F13/00Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2113Multi-level security, e.g. mandatory access control

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Mathematical Physics (AREA)
  • Databases & Information Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Storage Device Security (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Description

【発明の詳細な説明】 〔産業上の利用分野〕 本発明は、全体として、システムフアイルを有するデ
ータ処理システムに関するものである。そのようなフア
イルは1つまたはそれ以上のセグメントより成るものと
見なすことができ、それらのセグメントはフイールドよ
り成る。それらのセグメント、データオブジエクト、お
よびフイールドは、データ・フオーマツトすなわちデー
タ書式を含む多様な物理的表現をとり得る情報の論理的
な集合体である。本発明は、とくに、権限を有するユー
ザー実体(user entity)用に実行されるプログラムに
よつてのみ、および特定のタスクの実行を許されたプロ
グラムによつてのみ、データオブジエクトへのアクセス
すなわち操作と、データオブジエクトのラベル付け、お
よびデータオブジエクトの表示が行なえる保障データ処
理システム(secure data processing systemに関する
ものである。権限は安全基準すなわち保障政策(securi
ty policy)により決定される。その保障政策には、ア
クセスすなわち操作をしようとした時点で上記ユーザー
実体およびデータオブジエクトに付随している保障格付
けすなわち保障属性(security attributes)の相互間
に存する1組の既存関係が含まれるものである。そのよ
うな保障属性は、たとえば、データオブジエクトに含ま
れる情報の機密度(degree of sensitivity)をそれに
付随の保障属性により表わし、ユーザー実体の信用度
(degree of trustworthiness)をそれに付随の保障属
性により表す。プログラムにより実行を許されるタスク
も、タスクを実行するプログラム乃至プログラム群(す
なわち、サブシステム)の間に存在する1組の既存関係
と、それらのプログラム(乃至プログラム群)がアクセ
スできるデータオブジエクトのフオーマツトすなわち書
式と、それらのデータオブジエクトに対するアクセスモ
ードとを含ませられた保障政策により決定される。この
場合に、十分な信用度を有するユーザー実体のために実
行される適切なプログラムによつてのみ機密情報がアク
セスすなわち取扱われるようにするために保障政策、お
よびそれを実行する保障データ処理システムを使用でき
る。
〔先行技術〕
プログラムがデータオブジエクトをアクセスすなわち
取扱うことができるモードすなわちやり方を、たとえ
ば、情報の読取り(アクセス)、情報の書込み(入力)
を行えるように許可したり、行うことを禁止する固定さ
れたセツトに限定すること、または他のモードに単一お
よび組合せて限定すること、の少くとも一方の操作を行
う手段を設けることが関連技術において知られている。
そのようなセツトのことをここではアクセス権(access
right)と呼ぶことにする。この技術においては、プロ
グラムが、特定のデータオブジエクト内のフイールドの
値を設定することにより、そのプログラムの管理下にあ
るデータオブジエクトに対してアクセス権を認める。そ
の特定のデータオブジエクトは、特定のセグメント内に
配置されることにより、通常のデータオブジエクトと区
別される。特定のデータオブジエクトは、アクセスすな
わち操作の前に、データ処理装置によりフエツチされ、
データ処理システムは、データオブジエクトのアクセス
権フイールドの内容により許されたアクセスすなわち操
作のみを実行する。この技術には2つの弱点がある。第
1に、データ処理システムにより実行されるプログラム
が特定のセグメントと通常のセグメントを異なるやり方
で取扱わなければならないから、その特定のセグメント
の存在がプログラムを複雑にすることである。第2の弱
点は、プログラムの実行を指示しているユーザー実体
も、またはそのユーザー実体により現在所有されている
保障属性も何ら顧慮されることなしに、プログラムがア
クセスを許されてしまうことである。したがつて、ユー
ザー実体は、自己のために実行中のプログラムに対し、
既存の保障政策ではアクセス権が認められないのに、ア
クセス権を与える別のプログラムを実行できる。信用度
の高いプログラムにのみアクセス権を付与することを認
めることも関連技術において知られている。ある与えら
れたユーザー実体のために実行しているプログラムが、
ある与えられた通常のデータオブジエクトに対する与え
られたアクセス権を望むと、そのプログラムは信用度の
高いプログラムに頼る。その信用度の高いプログラム
は、与えられたユーザー実体および与えられた通常のデ
ータオブジエクトに関連する現在の保障属性を得て、保
障政策により許可されたアクセス権が与えられるように
する。この技術には、上記の信用度の高いプログラムの
ようなソフトウエアプログラムにおいて信用度の低下
(compromise)が起ることが比較的容易であるという欠
点がある。しかも、その信用度低下は検出されることな
しに放置されることがあり、かつプログラムの信用度が
低下していないことを示すことが極めて困難であること
も知られている。
特定のデータオブジエクトを認識できる装置を設ける
ことにより、特定のデータオブジエクトと通常のデータ
オブジエクトがセグメント内に混在することを許し、か
つ、上記のようにして、アクセス権の設定を信用度が高
いプログラムに限定することも関連技術において知られ
ている。この技術には2つの欠点がある。第1の欠点
は、信用度の高いプログラムの信用度が上記のように低
下することである。第2の欠点は、信用度の高いプログ
ラムの信用度が低下しないとしても、あるユーザー実体
のために実行しているプログラムがある通常のデータオ
ブジエクトに対するアクセス権を設定できるが、そのア
クセス権は保障政策により許可されないことである。そ
のような信用度低下は、保障政策により許可されたアク
セス権を特定の通常データオブジエクトへ与える特定の
データオブジエクトをプログラムが得て、次に第2のユ
ーザー実体のために実行するプログラムによりアクセス
できるセグメント内に、前記第1のプログラムが前記特
定のデータオブジエクトを置くことにより起る。そし
て、その第2のユーザー実体が現在有している保障属性
は第1のユーザー実体の保障属性と異なり、その第2の
ユーザー実体の保障属性では、上記により得られたアク
セス権は、保障政策に従うと許可されていない場合であ
る。
また、特定のデータと通常のデータをセグメント内に
混在させること、および特定のデータオブジエクトの値
を上記のようにして設定するために信用度の高いソフト
ウエアを設けることに加えて、特定のデータオブジエク
トにより与えられるアクセス権を、保障政策に従つて、
許可する可能な保障属性を有するユーザー実体のために
実行するプログラムによつてのみ共通にアクセスされる
セグメントに、その特定のデータオブジエクトを置くこ
とに限定する装置を設けることも知られている。この技
術には3つの欠点がある。1の欠点は、信用度の高いソ
フトウエアの信用度が上記のようにして低下することで
ある。第2の欠点は、特定のデータオブジエクトの格納
に制約を加えることにより、ユーザー実体のために実行
するプログラムの活動を制限し、そのためにそれらのプ
ログラムの効果と効率を低下させることである。第3の
欠点は、そのような制約を加える装置の誤動作の結果が
破滅的なことである。というのは、アクセスを自由に行
えるセグメントに特定のデータオブジエクトが置かれる
と、データ処理システム内のセグメントの間に、見つけ
たり、戻したりすることが不可能なやり方でその特定の
データオブジエクトを移動したり、複写したりできるか
らである。
以上述べた技術には、善意のユーザー実体のために実
行できるプログラムを悪意のユーザーがシステム内に置
くこともできる、という欠点も有する。その悪意のプロ
グラムでは、悪意のユーザー実体が、実際に、データオ
ブジエクトを許可なしにアクセスするようにして情報を
複写するために、善意のユーザー実体に対して許可され
ているアクセス権を使用する。そのような複写が行われ
たことを善意のユーザー実体は見つけられない。
更に、信用度の高いプログラムのみにシステムフアイ
ルへのアクセスを許し、かつユーザー実体のために実行
しているプログラムは、システムフアイルをアクセスし
ようとするたびに、信用度の高い上記プログラムに呼出
しを求めることも関連技術において知られている。この
技術には3つの欠点がある。第1の欠点は、上記のよう
に信用度の高いプログラムの信用度が低下させられるこ
と、およびプログラムにより実行される機能の数が多い
ために、プログラムの信用度が低下していないことを示
すことが事実上不可能なことである。第2の欠点は、信
用度の高いプログラムの信用度が低下しないとしても、
信用度が高いそのプログラム以外の手段によりシステム
フアイルをアクセスすることができないことを示すこと
が非常に困難なことである。第3の欠点は、システムフ
アイルをアクセスするために仲介プログラムを実行する
ことにより、ユーザー実体のために実行するプログラム
の性能を大きく低下させることである。
アクセス権情報を含み、あるセグメントを記述する特
定のデータオブジエクトを他のセグメント内に格納する
ことをユーザーに許すこと、および特定のデータオブジ
エクトを検索し、それに続いて、その特定のデータオブ
ジエクトから検索されたアクセス権情報に従つて、記述
されたセグメントの内容をアクセスすることをユーザー
に許すことも関連技術において知られている。この技術
には、あるセグメントに対するユーザーのアクセス権
が、特定のデータオブジエクトが作られた時に決定され
るために、アクセス権の取消し後もそのユーザーが古い
アクセス権を保持できるものとすると、そのユーザーの
アクセス権を効果的に取消すことができないという欠点
がある。
それらの先行技術の別の欠点は、あるデータオブジエ
クトをアクセスすることを保障政策により許可された者
が、そのデータをマークされていない書式で出力でき、
それからそのデータの保障状態に反してそのデータを使
用または複写するという別の欠点もある。
〔発明が解決しようとする問題点〕
したがつて、本発明の目的は、上記の意味で安全であ
るデータ処理システムのアーキテクチヤを得ることであ
る。
本発明の別の目的は、信用度が非常に高い複雑なソフ
トウエアプログラムに頼ることなしに、上記安全を提供
することである。
本発明の別の目的は、保障属性をユーザー実体および
データオブジエクトに関連させ、かつ時間の経過ととも
に制御されるやり方でそれらの保障属性が変化すること
を許す装置を得ることである。
本発明の別の目的は、ユーザー実体プログラムが、予
め定められた保障政策によつて設定された制約と適合す
るアクセス権のみを実行できることを保証する装置を得
ることである。
本発明の別の目的は、ユーザー実体プログラムが、デ
ータに対するアクセス権の乱用により、予め定められて
いる保障政策により許可されていないオペレーシヨンを
実行しないことを保証する装置を得ることである。
本発明の別の目的は、安全でないコンピユータアーキ
テクチヤにより提供される技術の延長上にあるが、その
技術に限定されない技術を得ることにより、ソフトウエ
アおよびプログラムの実務によつて安全な処理が行える
ようにするために、それらのソフトウエアおよびプログ
ラミングの実務に最少限の変更を加えるだけの技術を用
いて前記諸目的を達成することである。
本発明の別の目的は、データの機密度およびデータ表
示装置の性質に適合するやり方でのみ出力データを表示
し、その出力データにラベルを付すようなデータ処理シ
ステムを得ることである。
本発明の更に別の目的は、保護されるシステムフアイ
ルすなわちシステムデータに対する古いアクセス権をユ
ーザーが保持できないようなデータ処理システムを得る
ことである。
〔問題点を解決するための手段〕
本発明の諸目的は、システムフアイルのセグメント内
の特定のデータオブジエクトを認識できる装置を、デー
タ処理システムに設けることによつて達成される。前記
特定のデータオブジエクトそれぞれは、単一のデータオ
ブジエクトを意味する。あるプログラムが与えられたデ
ータオブジエクトを特定のモードすなわちやり方でアク
セスすなわち操作できる前に、そのプログラムは、与え
られたデータオブジエクトを示す値を有する特定のデー
タオブジエクトを前記装置が利用できるようにせねばな
らない。その装置は、セグメントが特定のデータと通常
のデータの双方を含むことを許し、かつ特定のデータオ
ブジエクトによる技術を用いるプログラムが課す制約以
外には、どのセグメントが特定のデータオブジエクトを
含むことができるかということについての制約は課さな
い。その装置は、ラベル付きのデータの表示を、データ
オブジエクトの保障レベルと、データオブジエクトが表
示される表示装置の性質とに適合するやり方でのみ許
す。その装置は、特定のデータオブジエクトに対して実
行できるオペレーションを制限することにより、それら
の特定のデータオブジエクトを信用度低下または検査か
ら保護する。この装置は、既存の保障政策により許可さ
れていないモードすなわちやり方で通常のデータオブジ
エクトを直接または間接にアクセスすなわち取扱うの
に、所定のユーザー実体のために実行するプログラムが
特定のデータオブジエクトを使用できないことを保証す
るために、保障属性の特定の項目(instance)を各デー
タオブジエクトに関連づける、という技術を用いる。そ
のような特定の項目のことをここではデータオブジエク
トの保障レベルと呼ぶことにする。この装置は、データ
処理システムがあるプログラムを現在実行していること
により利益をこうむるユーザー実体に関連する保障属性
を常に保持する。あるアクセスすなわち操作をプログラ
ムにより実行すべき時に有効であるそのような保障属性
の項目のことを、ここではプログラムの現在の保障コン
テキスト(current security context)と呼ぶことにす
る。保護されるシステムフアイルすなわちデータに対す
るアクセス権はある保障プロセツサ内に常に保持され
る。その保障プロセツサは、その中に保持されているデ
ータを、データ処理システムのデイレクタ実体によつて
のみ変更できる。この装置は、あるプログラムが、特定
のデータオブジエクトにより示されたデータオブジエク
トを、プログラム保障コンテキストおよびデータオブジ
エクト保障レベルのこの特定の組合せに対する既存の保
障政策により定められるモードすなわちやり方でアクセ
ス、操作、表示またはラベル付けを行うことを許すだけ
である。その結果、所定のユーザー実体のためにこれま
で実行されたプログラムは、データオブジエクトに含ま
れている情報を、既存の保障政策により許可されていな
いやり方すなわちモードでアクセス、操作、表示または
ラベル付けを直接または間接に行うことができない。
特定のデータは、プロセツサの間で共用されているセ
グメント内に、保障伝送リンクに沿つて、または暗号化
された形式で含ませることができ、それにより分散シス
テムにおける全てのデータ処理装置のユーザー実体によ
るアクセスの制御を統一的に行うことができる。
〔実施例〕
以下、図面を参照して本発明を詳しく説明する。
第1図は、ユーザー実体間の情報の流れを、ユーザー
実体と、それらのユーザー実体により操作すなわちアク
セスされるデータオブジエクトとに関連する保障属性の
レベル部分により、どのようにして制御できるかを示す
ものである。この例における保障属性のレベル部分は部
分的に順序づけられる。すなわち、A(2)はA(1)
より大きく、A(1)はA(0)より大きく、B(2)
はB(1)より大きく、B(1)はB(0)より大き
く、A(2)はB(0)より大きいように定められ、各
属性はそれ自身に等しいように定められ、諸属性のレベ
ル部分の間にはそれ以外の関係は存在しない。予め定め
られる保障政策は、ユーザー実体の保障属性のレベル部
分中の現在の値がデータオブジエクトの保障属性のレベ
ル部分より大きいか、それに等しい時、およびその時の
みユーザー実体はデータオブジエクトから情報を読出す
(検索する)ことができ、データオブジエクトの保障属
性のレベル部分が、ユーザー実体に現在関連している保
障属性のレベル部分より大きいか、それに等しい時、お
よびその時のみ、ユーザー実体は情報をデータオブジエ
クトに書込む(入力する)ことができることである。図
示のようにコンピユータのメモリ内のシステムフアイル
に含まれているデータオブジエクトにより交信するユー
ザー実体に関連して、いずれのデータ処理ユーザー実体
もメモリスペースを利用できる。どのユーザー実体も、
図において接続線が存在している任意のデータオブジエ
クトを、その接続線に付けられているラベル上に示され
ているモードすなわち態様でアクセスまたは操作でき
る。したがつて、その接続線は、例示の保障属性を与え
られて、情報がユーザー実体からユーザー実体へ流れる
ことができるようにする全ての可能な指向性経路を定め
る。したがつて、A(0)とA(1)からA(2)へ、
B(0)とB(1)からB(2)へ、B(0)からA
(2)への一方向通信が可能であり、その通信は、多く
の場合に種々のデータオブジエクトを介して行われる。
そのようにして、それらユーザー実体間の厳密な階層的
順序づけのような固定的関係に限定されないようなやり
方で制御できる。たとえば、近代的な企業経営において
は、データオブジエクトの集合B(n)は機密性(sens
itivity)がしだいに高くなる財務データを含むことが
でき、データオブジエクトの集合A(n)は機密性がし
だいに高くなる生産データを含むことができる。同様
に、ユーザー実体の集合B(n)は職階がしだいに高く
なり、かつ特権がしだいに大きくなる財務スタツフのメ
ンバーとすることができ、ユーザー実体の集合A(n)
は生産スタツフのメンバーである。図示の例における情
報の流れの制御は、各スタツフ内では情報は上方へのみ
流れ、生産スタツフの最高の職階にあるメンバーは個々
の送り状のような低機密度の財務データを調べることは
できるが変更はできず、それ以外の他の生産スタツフメ
ンバーはどのような財務データもアクセスできず、財務
スタツフのメンバーは職階を問わず生産情報を読み出す
ことはできない、というような状況を示す。情報の流れ
は、ユーザー実体の現在の保障属性とデータオブジエク
トの現在の保障属性との比較を基にしてオペレーシヨン
を許可したり、禁止したりすることによつてのみ制限を
受けることは明らかであろう。したがつて、保障属性B
(n)のデータオブジエクトをアクセスしようとした時
にユーザー実体が保障属性A(0)を有するものとする
と、属性を比較することにより不適合という結果が生ず
ることになる。第1図においてはデータオブジエクトを
別個の実体として表しているが、一般に、データオブジ
エクトを物理的媒体内のどこにでも置くことができるこ
とも明らかであろう。
次に、特定の書式(フオーマツト)の情報のアクセス
を、特定のタスクを実行するサブシステムにどのように
して限定できるかを示す第1a図を参照する。この例にお
いては、F1,F2,F3はデータオブジエクトの集合であつ
て、各集合は特定の内部書式を有する。S1とS2は、一致
して機能して特定のタスクを実行するハードウエアおよ
びソフトウエアで構成されたサブシステムである。図示
のように、書式F1のデータは、S1とS6を含めた数多くの
サブシステムで一般に利用でき、書式F2のデータはサブ
システムS1のみが取扱うことができ、書式F3のデータは
サブシステムS1とS2の間で交信するために使用できるだ
けである。
したがつて、書式F1は、符号化されたキヤラクタ列の
ような、マシン内のデータに対して一般に使用される書
式である。書式F2は、人が読めるような形態で表示また
は発生される時にコンピユータからの出力をマークする
ために用いられるキヤラクタの列(たとえば、最高機密
(TOP SECRET)、専有(PRQPRIETARY)など)のよう
な、正しいままでなくてはならない情報の書式、およ
び、どの情報をどのようにしてマークせねばならないか
を定める表の書式とすることができる。書式F3は、表示
のために適切にマークおよび書式化される通常の情報と
することができる。
そうすると、サブシステムS1は、適切なマーキングを
決定すること、および出力のためにデータを書式化する
タスクの一部としてそれをデータ中の適切な場所に挿入
することを、タスクとしているようなサブシステムであ
る。サブシステムS2は、タスクが、ある適当な装置にデ
ータを表示することであるようなサブシステムである。
例で示されているアクセスの制約は、情報についての
マーキングが表示される時にそのマーキングを変更する
ことにより、たとえば「専有(PROPRIETARY)を「一般
配布用に公表済(RELEASDD FOR PUBLIC DISTRBUTIO
N)」へ変更することにより、悪意のプログラムが、予
め定められている保障政策の意図を打ち砕くことを阻止
することが明らかであろう。サブシステムS1とS2は、厳
しい検査およびテストのプロセスにより、悪意ある意図
から影響を受けないことが示されている。制限された性
質のそのような証明は、サブシステムが保障政策をどの
ようにしても破らないという一般的な証明より十分に簡
単である、ということはコンピユータシステムの設計に
通じている人にとつては明らかであろう。サブシステム
S1,S2は、書式がF2とF3の情報をアクセスすることが許
されているという程度でのみ、特権を有する。それらの
サブシステムが行うどのようなアクセスも、第1図に示
すように、それぞれの書式にある情報の保障レベルによ
つても制約される。サブシステムS1の部分ではない悪意
のあるプログラムは、書式F2の情報をアクセスできず、
それにより、情報をどのようにしてマークすべきかの定
義、またはマーキングの性質を変更することが阻止され
る。サブシステムS1の部分ではない悪意あるプログラム
は、書式F3の情報を発生または修正できないから、デー
タを不適切にマークして表示することも阻止される。
データ書式とサブシステムの間の予め定められている
関係を基にしてアクセスを制約するこの方法を用いて、
例示したもの以外の状況においても情報の非買収性(in
corruptability)を維持できることも明らかであろう。
次に、端末装置20と、プロセツサ21およびメモリ22で
構成されているデータ処理システムが示されている第2
図を参照する。自己のためにプロセツサ21がプログラム
を実行することを望んでいるユーザー実体は、たとえば
パスワードを用いる精緻なログイン手続きにより、最初
に自分自身を識別してもらわねばならない。別の例とし
て端末装置自体を利用する場合もあり、この場合には、
端末装置を識別することによりユーザー実体が自動的に
識別され、かつそのユーザー実体の保障属性が自動的に
定められる。ユーザー実体(または端末装置)がプロセ
ツサ21にひとたび結合されると、そのプロセツサはその
ユーザー実体のためにプログラムを実行でき、それらの
プログラムはメモリ22内の情報を各種のモードおよびや
り方でアクセスすなわち取扱うことができる。
次に、本発明を実施する主な部品のブロツク図が示さ
れている第3図を参照する。第2図のプロセツサ21はユ
ーザー実体識別器31と、通常データオブジエクト処理器
32と、保障プロセツサ33とで構成される。ユーザー実体
識別器31は、第2図の端末装置20を介して交信している
ユーザー実体に現在関連する保障属性と、通常データ処
理器32により現在実行されているサブシステムとをモニ
タすることにより、保障コンテキスト・レジスタ331を
維持する。保障プロセツサ33は、現在の保障コンテキス
ト・レジスタ331と、保障政策ユニツト332と、データオ
ブジエクト特徴表333と、プログラムワーキングセツト
表334と、特定データオブジエクト処理器335と、メモリ
アドレス装置336と、暗号器337とで構成される。保障政
策ユニツト332は保障政策を格納し、通常のデータオブ
ジエクトについて操作しているユーザー実体に対して許
されたアクセスモードを計算する。データオブジエクト
特徴表333は、特定のデータオブジエクトにより示され
ているあらゆるデータオブジエクトのアドレスおよびそ
の他の特徴を保持する。プログラムワーキングセツト表
334は、プログラムが現在働きかけている通常のデータ
オブジエクトをアドレスするために必要な情報を含む。
特定データオブジエクト処理器335は、特定のデータオ
ブジエクトについて限定された1組のオペレーシヨンを
実行する。メモリアドレス器336は第2図のメモリ222に
対する情報のフエツチおよび格納を行う。メモリアドレ
ス器336はタグコード認識器336aを含み、このタグコー
ド認識器336aは、通常データ処理器32だけが通常のデー
タオブジエクトを処理するようにする。暗号器337は、
特定のデータオブジエクトを含むセグメントの伝送を確
実に行うために含むことができる。
データ処理システムの(保障オフイサのような)デイ
レクタ実体のみが保障プロセツサ33をアクセスでき、か
つそれに含まれているデータを取扱うことができる。第
3図は保障プロセツサ33を個別の装置として示している
が、保障プロセツサ33の機能はデータ処理システムのハ
ードウエアとソフトウエアの全体にわたつて分散できる
(たとえば、保障プロセツサ33の機能は、汎用処理シス
テムにおいて特定のモードで働くソフトウエアにより実
現できる)。
次に、特定データオブジエクトが、通常データオブジ
エクトとともに示されている第4図を参照する。特定の
データオブジエクト40は、通常のデータオブジエクト41
を独自に識別するデータオブジエクト識別番号401と、
誤り検査コードおよび誤り訂正コードのような情報を含
むために使用できる雑フイールド403と、第2図のメモ
リ22内での通常のデータオブジエクト41の始めの位置を
定める現在アドレス405と、第2図のメモリ22内での通
常のデータオブジエクト41の長さ、したがつてその通常
のデータオブジエクトの終りの位置を定める長さ406
と、通常のデータオブジエクト41内の情報の保障レベル
を定める保障レベル407と、通常のデータオブジエクト4
1内の情報の書式を定める書式409と、情報を通常のデー
タオブジエクト41中に符号化するやり方のような通常の
データオブジエクト41の他の諸特徴を含む他の特徴フイ
ールド408とで構成される。この好適な実施例において
は、フイールド401と403は第2図のメモリ22内で隣り合
う場所を占め、それらの場所を含む物理的媒体に関連す
るタグコードを有する。また、フイールド405,406,407
は第3図のデータオブジエクト特徴表333内に置かれ、
データオブジエクト識別番号(DOID)401によりその位
置が示される。この構成によりメモリを最も効率的に使
用でき、かつ保障プロセツサの性能が向上する。
他の構成であつても、保障プロセツサがフイールド40
1の値を与えられて、フイールド403,405,406,407,408お
よび409を使用でき、かつフイルド401を含むオブジエク
トを特定して、許可されていないアクセスすなわち許可
されていない取扱いからそれを保護するための識別を行
う構成であれば、機能的に同等である。
次に、入れ子構造およびオーバーラツプ構造の通常の
データオブジエクトを特定のデータオブジエクトが指定
する方法が示されている第5図を参照する。第4図の3
つの特定のデータオブジエクト40が第2図のメモリ22に
示されている。各特定のデータオブジエクトは第4図の
各データオブジエクト識別番号値401を有し、それら
は、個別の通常のデータオブジエクト50,51,52を示す。
第5図は、通常のデータオブジエクト51が通常のデータ
オブジエクト50内に入れ子式に入れられ、通常のデータ
オブジエクト52が通常のデータオブジエクト50に重なり
合うような値を、第4図のフイールド405,406がどのよ
うにしてとることができるかを示すものである。3つの
特定のデータオブジエクトの全てが同一の通常のデータ
オブジエクトを示すような値をフイールド405,406内の
値がとることも可能である。
次に、アドレスをどのようにして計算するか、および
アクセス権をどのようにして検査するかを示す第6図を
参照する。命令60は、第2図のメモリ22内の通常のデー
タオブジエクト61のフイールド611に対してプログラム
が実行すべきオペレーシヨンを定めるオペレーシヨンコ
ード601と、それに対してプログラムが現在働きかけて
いるデータオブジエクトの集合に対して表されるフイー
ルド611の場所であるローカルなアドレス602とで構成さ
れる。ローカルなアドレス602はフイールド602aと602b
を含むものと解される。フイールド602aは第3図のプロ
グラムワーキングセツト表334への索引と解される。そ
の索引はプログラムワーキングセツトエントリ62の場所
を示す。そのプログラムワーキングセツトエントリ62は
データオブジエクト識別番号フイールド621と、アクセ
ス権フイールド622と、現在のアドレスフイールド623
と、長さフイールド624とで構成される。フイールド602
bは通常のデータオブジエクト61内のオフセツトと解さ
れる。命令60は第3図のメモリアドレス装置336へ送ら
れる。
メモリアドレス装置336はフイールド602aをとり出
し、それを用いてプログラムワーキングセツトエントリ
イ62の位置を定める。メモリアドレス装置336はアクセ
ス権622をオペレーシヨンコード601と比較し、オペレー
シヨンコード601により求められるアクセスおよび取扱
いのモードおよびやり方が、アクセス権622により許さ
れているかどうかを調べる。もし許されていなければ、
メモリアドレス装置336は、割込みのような手段によ
り、適切な管理プログラムを呼出す。オペレーシヨンコ
ード601とアクセス権622が適合するものとすると、メモ
リアドレス装置336はオフセツトフイールド602bを長さ
フイールド624と比較して、フイールド611が通常のデー
タオブジエクト61内に実際にあるかどうかを調べる。も
し通常のデータオブジエクト内にないと、メモリアドレ
ス装置336は割込みのような手段を用いて適切な管理プ
ログラムを呼出す。もし通常のデータオブジエクト内に
あると、フイールド611のアドレスを得るために、メモ
リアドレス装置336はフイールド602bをフイールド623に
加える。そして読出しを希望した時は、オペレーシヨン
コード601に応じて、フイールド611を、第3図の通常デ
ータオブジエクト処理器32または第3図の特定データオ
ブジエクト処理器335へ送る。第3図のタグコード認識
器336aは転送を調べて、タグコードを含んでいる場所に
格納されているデータが通常データオブジエクト処理器
32へ送られないようにする。オペレーシヨンコード601
がフイールド611に対する他のアクセスモードを意味す
るものとすると、この説明はどのように修正するかは当
業者にとつては明らかであろう。
次に、プログラムが現在働きかけているデータセツト
にあるデータオブジエクトを加える方法が示されている
第7図を参照する。プログラムが、希望のデータオブジ
エクト61を上記のようにしてアクセスまたは取扱うこと
ができるようにするために、そのデータオブジエクト61
を前記プログラムのワーキングセツトに加える要求を第
3図の保障プロセツサ33へ送る。その要求はオペレーシ
ヨンコードと、アドレスと、フイールド値との任意の組
合せでコード化できる。それらのフイールド値は要求を
識別し、第2図のメモリ22に含まれている第4図の特定
のデータオブジエクト40を示す。その特定のデータオブ
ジエクト40はメモリ22内の希望のデータオブジエクト61
を指示し、第6図のプログラムワーキングセツトエント
リイ62を識別し、そのエントリイをプログラムが用い
て、後でデータオブジエクト61を参照する。第3図の特
定データオブジエクト処理器335は、第6図を参照して
説明したステツプを用いて、メモリ22からフイールド40
1,403をフエツチする。
特定データオブジエクト処理器335は、データオブジ
エクト識別番号401を用いて、保障レベル407とデータ書
式409をデータオブジエクト特徴表333からフエツチし、
現在の保障コンテキストを現在の保障コンテキストレジ
スタ331からフエツチする。そのレジスタ331はユーザー
実体識別器31により絶えず維持され、それら3個の値を
保障政策ユニツト332へ送る。保障政策ユニツト332はア
クセス権622の正しい値をエントリイ62に置く。処理器3
35は、フイールド401をフイールド62へ動かし、フイー
ルド405をフイールド623へ動かし、フイールド406をフ
イールド623へ動かすことにより、エントリイ62の残り
を図示のようにして構成する。
共調して作用する第6図および第7図に示すオペレー
シヨンにより、マシンのあらゆるオペレーシヨンを予め
定められている保障政策に一致させることが、コンピユ
ータシステム設計に通じている人には明らかであろう。
第6図のオペレーシヨン601は、フイールド611が含んで
いる値をアクセスまたは取扱うために、フイールド611
の位置を定めるために求められるアドレスを発生しよう
とした時に、アクセス権フイールド622に遭遇すること
は避けられない。アクセス権622は第3図の保障プロセ
ツサ33により設定できるだけである。それらのアクセス
権の設定においては、保障プロセツサ33は保障政策ユニ
ツト332に遭遇することは避けられない。その保障政策
ユニツト332は、レジスタ331内の現在の保障コンテキス
トと、データオブジエクト特徴表333に保持されている
フイールド611の保障レベルおよび書式との間の、外部
政策により定められる関係を基にしてアクセス権を選択
する。したがつて、外部政策を強制する機構を通じる以
外は、フイールド611内の情報をアクセスまたは取扱う
方法はない。
次に、保障政策ユニツト332の動作が示されている第
8図を参照する。現在の保障コンテキスト331はそれの
構成部分であるユーザー実体属性3311とサブシステムコ
ンポーネント3312に分けられる。ユーザー実体属性3311
と保障レベル407は属性比較器3321へ送られる。この属
性比較器3321は仮アクセス権3323を発生する。仮アクセ
ス権3323の発生は、次に限定されるわけではないが、ユ
ーザー実体の信用度とデータの機密度の符号化された値
の比較と、ユーザーの名称と許可を受けたユーザーのリ
ストの一致との少くとも一方を含む、予め定められてい
る政策の意図を正しく反映するいくつかの手段により行
うことができる。それから、仮アクセス権3323はサブシ
ステム/書式比較器3322により確認(validated)され
る。そのサブシステム/書式比較器3322は、現在のサブ
システムコンポーネント3312およびデータオブジエクト
書式409を、特定の書式のデータへのアクセスを特定の
サブシステムにより許された諸アクセスの表またはその
他の表現と比較する。それから、サブシステム/書式比
較器3322は、上記比較の結果により許可されていないア
クセスのどのモードまたはやり方も仮アクセス権3323か
ら削除し、それの結果をアクセス権として発生する。保
障政策ユニツト332のそれと同等の動作は、適切な権限
を有するもの(たとえば、アクセス権信号をオーバーラ
イドできる予め定められているプログラム)により前も
つて許可されていない限りにおいて、属性比較とサブシ
ステム/書式比較のいずれかに否認されたアクセスのモ
ードまたはやり方をアクセス権622が含んでいなけれ
ば、サブシステム/書式比較器3322と属性比較器3321と
の動作を異なる順序で行うことにより、行わせることも
できる。
アクセス権622は、データオブジエクト61をプログラ
ムワーキングセツトエントリイ62に加える試みに応答し
てのみ発生される。したがつて、アクセス権622は格納
する必要はなく、通常のデータオブジエクト61がワーキ
ングセツト表334に含まれている間は、一時的に格納さ
れる以外は格納されない。アクセス権622は保障プロセ
ツサ33を離れることができないことに注意されたい。こ
の制約はメモリアドレス装置336の構造のために強いら
れるものであつて、そのメモリアドレス装置において
は、メモリ22と通常データオブジエクト処理器32の間の
データの流れを、アクセス権情報をデータとして送るこ
となしに、制御するためにアクセス権信号が用いられ
る。その構造は、現代のメモリ管理ユニツトのアクセス
制御部の構造に類似する。
対応するオブジエクトがワーキングセツト表334に含
まれている間だけアクセス権信号を格納することによ
り、ひとたび許可されたアクセスを取消す問題が簡単と
なる。アクセス権をユーザーにより任意のメモリオブジ
エクト内に保持できるものとすると、アクセス権信号を
得て以来ユーザーがワーキングセツト表を連続して保持
しなかつたとしても、後でデータオブジエクト61をアク
セスするためにそれらの信号を使用できることになる。
実際に、ユーザーがプロセツサとのセツシヨン(sess
ion)を終つた後で起り得る、ワーキングセツト表の破
壊の後、またはユーザーがプロセツサとのセツシヨンを
開始した時に起ることがある、新しいワーキングセツト
表が初期化された時に、本発明は未解決(outstandin
g)のアクセス権を自動的に取消す。アクセス権622が保
障プロセツサ33を離れることができないということによ
り、保護されるシステムフアイルに古いアクセス権を格
納することでユーザーが取消し規則の適用を免れること
が阻止される。
動作 この実施例においては、任意の特定の時刻に特定のデ
ータオブジエクトを格納する物理的媒体に関連するタグ
コードを特定のデータオブジエクトに持たせることによ
り、特定のデータオブジエクトが通常のデータオブジエ
クトから区別される。特定のデータオブジエクトに対し
ては特殊な装置が作用できるだけである。特定のデータ
オブジエクトは通常のデータオブジエクト中にフイール
ドとして含めることができる。その場合には、通常のデ
ータオブジエクトを処理する装置にとつては、それらの
フイールドは禁止されたフイールドとして見える。
特定のデータオブジエクトを認識して、そのデータオ
ブジエクトに作用する装置は、独立した保障プロセシン
グユニツトとしてデータ処理システムに含まれ、その保
障プロセシングユニツトはそれによつてのみ制御される
メモリを有する。通常のデータオブジエクトをアクセス
または取扱う前に、ユーザー実体のために実行するプロ
グラムはその特定のデータオブジエクトを保障プロセシ
ングユニツトへ転送せねばならず、その転送が行われる
と保障プロセシングユニツトはプログラムの現在の保障
コンテキストと、その特定のデータオブジエクトにより
示されている通常のデータオブジエクトの保障レベル
と、通常のデータオブジエクトの書式とを保障プロセシ
ングユニツトのメモリから取出す。それから、保障プロ
セシングユニツトはどのアクセス権が所定の保障政策に
適合するか、およびサブシステムと書式の間の所定のア
クセス関係に適合するかを判定する。保障プロセシング
ユニツトは、前記所定の政策および前記所定のアクセス
関係に適合するモードおよびやり方でのみ、プログラム
が、特定のデータオブジエクトにより示されている通常
のデータオブジエクトをアクセスまたは取扱うことを許
す。
特定のデータオブジエクトは2つの状況の下で作成さ
れる。第1の状況では、新しい通常のデータオブジエク
トを作成するという要求をプログラムが保障プロセシン
グユニツトへ送る。その要求は、作成しようとする通常
のデータオブジエクトの特性、たとえば、それの大き
さ、情報をデータオブジエクトにコード化する方法、お
よびシステムフアイルのどこにそれを置くか、などを含
まなければならない。また、その要求は、作成しようと
する通常のデータオブジエクトの保障属性と書式も含ま
なければならない。保障プロセシングユニツトは通常の
データオブジエクトの特性をそれのメモリ内に置き、適
切な物理的媒体中にスペースを割当て、新しい通常のデ
ータオブジエクトを示す新しい特定のデータオブジエク
トを作成してから、その新しい特定のデータオブジエク
トを要求しているプログラムへ送る。第2の状況におい
ては、特定のデータオブジエクトを複写する要求を保障
プロセシングユニツトへ送る。その要求は、原特定デー
タとして使用すべき特定のデータオブジエクトを含まな
ければならない。保障プロセシングユニツトはその新し
い特定のデータオブジエクトを要求しているプログラム
へ戻す。
この実施例は、一致して用いる6種類の方法により保
障を達成する。第1に、全ての情報を識別可能なデータ
オブジエクトに集める。第2に、データオブジエクトに
対する全てのオペレーシヨンについて、ユーザープロセ
スは前記データオブジエクトを示す特定のデータオブジ
エクトを使用することを要求する。第3に、使用中のサ
ブシステムの実体を含めて、オペレーシヨンが実行され
ている対象であるユーザー実体の保障属性を常時認識す
る。第4に、全てのデータオブジエクトを保障属性の集
合および書式に関連づけることによりデータオブジエク
トをアクセスするために、特定のデータオブジエクトを
使用するやり方を制御する。第5に、予め定められてい
る保障政策により許可されているモードまたはやり方で
のみオペレーシヨンがデータオブジエクトをアクセスま
たは取扱うことができるように、特定のデータオブジエ
クトがそのオペレーシヨンにより使用される時にアクセ
スのモードおよびやり方を選択する。第6に、全てのプ
ログラムをサブシステムに集め、通常のデータオブジエ
クトの書式を基にしてデータオブジエクトに対するサブ
システム内のプログラムによる許されたアクセスを定め
る所定の関係を維持することにより、通常のデータオブ
ジエクトに対するプログラムによるアクセスのモードお
よびやり方を制限する。
第1の方法の動作は第6図を参照することにより明ら
かになる。第2図のメモリ22に格納されている情報は、
ローカルアドレス602を介してオペレーシヨン601が利用
できるだけである。アドレス602は、それの性質そのも
のにより、フイールドの集りの中のフイールド611を選
択する。そのフイールドの集りはデータオブジエクト61
である。したがつて、オペレーシヨンにとつてアクセス
できる全ての情報はデータオブジエクトの部分でなけれ
ばならない。
第2の方法の動作は第6図および第7図を参照するこ
とにより明らかとなる。プログラムが、フイールド611
を選択するローカルアドレス602を有する第6図の命令6
0により、フイールド内の情報をアクセスまたは取扱
う。フイールド611を選択するために必要な演算を行う
ために、プログラムワーキングセツトエントリイ62をフ
エツチせねばならない。第7図には、特定のデータオブ
ジエクト40のフイールドからプログラムワーキングセツ
トエントリイ62が取出される様子が示されている。その
データオブジエクト40のデータオブジエクト識別番号40
1がデータオブジエクト61を指定する。したがつて、あ
るフイールドをアドレツシングする動作には、アドレス
を行おうとする前に特定のデータオブジエクトを呈示す
る動作が含まれることは避けられない。
第3の方法の動作は、第3図のユーザー実体識別器31
の適切な任意の構成、およびそれと現在の保障コンテキ
ストレジスタ331の間の通信により行われる。ユーザー
実体識別器31は、第2図の端末装置20とともに、どの属
性集合をレジスタ331内に最初に置くかを決定するため
に、パスワード、保障および専用の電話線、コールバツ
ク、暗号シールその他の各種の手段を単独で、または組
合せて使用できる。それと同時に、保障コンテキストレ
ジスタ331の内容に適合するアクセス権を1組のエント
リイ62にロードすることにより、プログラムワーキング
セツト表334が初期化される。プログラムの実行中は、
オペレーシヨンコード601は、アドレス602とともに、あ
るサブシステムから別のサブシステムへ変更することを
要求できる。それからそのオペレーシヨンコードは、フ
イールド611のアクセス動作に異なるプログラムワーキ
ングセツト表334を使用させる。
第4の方法の動作は第4図を参照することにより明ら
かにされる。第4図から、保障レベルフイールド407と
書式フイールド409が、通常のデータオブジエクト41の
現在のアドレスを選択する同じデータオブジエクト識別
番号に関連づけられることがわかる。
第5の方法の動作は第7図を参照することにより明ら
かとなる。特定のデータオブジエクトの使用には、第3
図の特定データオブジエクト処理器335により特定のデ
ータオブジエクトがフエツチされること、およびフイー
ルドがそれからプログラムワーキングセツトエントリイ
62へ移動させられることが含まれる。ひとたびフエツチ
されたデータオブジエクト識別番号401は、第3図のデ
ータオブジエクト特徴表333から保障レベル407を得るた
めに利用できる。特定データオブジエクト処理器335
は、第3図に示す現在の保障コンテキストレジスタ331
をアクセスすることにより、現在の保障コンテキストを
常に利用できる。したがつて、特定のデータオブジエク
トを使用することには、データオブジエクト保障レベル
と現在の保障コンテキストの比較が行われること、した
がつて、第3図の保障政策ユニツト332による第6図の
アクセス権フイールド622の適切な設定が含まれること
は避けられない。ひとたび設定されると、第6図のフイ
ールド611をアクセスするためには、現在のアドレスフ
イールド623(第6図)を求めるオペレーシヨンにより
アクセス権フイールド622が遭遇させられることは避け
られない。したがつて、アクセスのモードおよびやり方
の制約が一様に強いられる。
第6の方法の動作は第8図を参照することにより明ら
かとなる。第6図のアクセス権622の計算においては、
データオブジエクト書式409(第4図)と、第3図の現
在の保障コンテキストレジスタ331のサブシステム3312
がサブシステム/書式比較器3322により比較され、その
比較の結果を用いて、アクセス権622により許されたア
クセスを行う全てのモードおよびやり方が、サブシステ
ム内のプログラムにより許された、特定の書式のデータ
をアクセスするアクセス権の予め定められた集合に適合
するようにする。第6図を参照することにより、フイー
ルド611の現在のアドレス623を形成する間に、アクセス
権フイールド622は任意のプログラムのオペレーシヨン
により遭遇させられることが避けられないことがわか
る。したがつて、第8図のサブシステム/書式比較器33
22により課されるアクセス権制約は一様に強いられる。
本発明のメカニズムと方法は、下記の2つのシステム
構成を含むが、それのみに限定されない各種のやり方で
実施できる。それらの可能な実施例は第3図を参照する
ことにより理解できる。第1の実施例においては、メモ
リアクセス要求において求められているアクセスの種類
に関する信号を与えるマイクロプロセツサのような通常
の処理装置により、通常データオブジエクト処理器32の
諸機能が実行される。メモリアドレス装置336の諸機能
は、通常データオブジエクト処理器32と、その通常デー
タオブジエクト処理器32をメモリ22に接続するバスとの
間に設けられるハードウエアモジユールによつて実行さ
れる。プログラムワーキングセツト表は、メモリアドレ
ス装置336に諸機能を実行するモジユール内か、または
メモリアドレス装置336から容易にアクセスでき、かつ
通常データオブジエクト処理器32による内容のアクセス
動作から保護されたメモリ22の中に含まれる。特定デー
タオブジエクト処理器335の諸機能は、メモリバスに取
付けられ、または専用接続線によりメモリアドレス装置
336の取付けられている特殊なハードウエアモジユール
において実現できる。メモリ22は、アドレス可能な各実
体に関連するタグを含むように、およびバス上のアドレ
ス可能な実体の内容とともに前記タグの値と通信するよ
うに変更できる。メモリアドレス装置は、入来データに
関連するタグフイールドの値を調べ、それが特定データ
オブジエクト内に含まれていることを示すタグ値を有す
るオブジエクトであれば、どのようなオブジエクトの内
容も通常データオブジエクト処理器32が決して送らない
ことを保証するように、前記タグフイールドの値につい
ての情報の流れを制御する。
第2の実施例においては、通常データオブジエクト処
理器32の諸機能はマイクロコンピユータのような通常の
プロセツサにより実行され、特定データオブジエクト処
理器335の諸機能は適当にプログラムされたマイクロプ
ロセツサにより実行される。メモリアドレス装置は、第
1の実施例について先に述べたようにして実現できる。
全てのオペレーシヨンが同じ処理装置において実行さ
れ、オペランドのタグ値が、それらに対して実行できる
諸機能を実行するように機能するような実施例を含め
て、他の実施例が可能であることは、コンピユータの設
計に通じている者には容易にわかる。
いずれの実施例においても、タグフイールド、したが
つて通常のデータオブジエクトと特定のデータオブジエ
クトの違いは省略できる。その結果として得られた実施
例においては、適切なサイズの任意のデータオブジエク
トを特定データオブジエクト処理器335へ与えて、その
データオブジエクトを第4図のデータオブジエクト識別
番号401と解釈させることができる。そのような実施例
はオペレーシヨンに対して予測されない結果をもたらす
ことがあるが、それらの結果の全ては、所定の保障政策
と、特定の書式の情報をアクセスすることをサブシステ
ムにより許された所定のアクセス集合とに適合すること
は、コンピユータシステムの設計に通じている者にとつ
ては明らかである。
通常のデータオブジエクトと特定のデータオブジエク
トとの差異がタグ操作の間中保たれたとすると、特定の
データオブジエクトを通常のデータオブジエクトよりも
自由に書くことができる。とくに、通常の情報の複写が
既存の政策により禁止される状況にあつては、可視情報
の流れが既存の政策を破らないようにして、特定のデー
タオブジエクトを通常のデータオブジエクトに複写する
(これは書込みの形式である)ことを許すことが可能で
ある。そのようなオペレーシヨンを許すと、機密度を低
下させることなしにプログラム設計の自由度を高くでき
る。
単一のユーザー端末装置を有するプロセツサについて
以上説明したが、多数のユーザー端末装置を有するコン
ピユータシステムの構成に本発明を効果的に適用できる
ことが、コンピユータシステムの設計に明かるい者にと
つては明らかであろう。関連技術において知られている
ように、種々のユーザーに関連するプログラムの間でプ
ロセツサを切換え、あるユーザーのプログラムがプロセ
ツサから切離された時に、そのプログラムに関連する状
態情報が保持され、そのプログラムがプロセツサへ再び
接続された時に、その状態情報を確実に回復されるよう
にする。上記技術を本発明に適用するには、ユーザープ
ログラムの状態が現在の保障コンテキストレジスタ331
の内容と、第3図のプログラムワーキングセツト表334
の内容を含むことが必要である。
アクセス権622の設定するオペレーシヨンは、オペレ
ーシヨン601の実行に先立つ任意の時刻に実行できるこ
ともコンピユータシステム設計に通じている者にとつて
は明らかである。一般に、アクセス権622の設定するオ
ペレーシヨンが後で実行されるほど一層しばしば実行さ
れる。そして、それが実行される回数が増すほど、オペ
レーシヨン601の集合より成るプログラムをマシンが実
行するのに要する時間が長くなる。それを実行する回数
が増すとデータオブジエクト特徴表333を参照する回数
も増し、したがつてその表の変更が、プログラムの挙動
に課される制約に一層迅速に反映されることになる。し
たがつて、プログラムの性能を高くすることと、それら
のプログラムにより行われるアクセスを制御するデータ
保障特性が時機にかなうようにすることの間で妥協がな
される。データアクセス特性が変る共通の場合というの
は、名称によりユーザーに許されるアクセスが許される
か、取消されるかの時である。各オペレーシヨン601に
対してアクセス権622が再び計算されたとすると、許可
または取消しは次のオペレーシヨンそのものに対して行
われる。ある長い間隔をおいてアクセス権622が再計算
されるものとすると、フイールド622の古い値の制御の
下にある数のオペレーシヨン601を実行できる。
【図面の簡単な説明】 第1図は保障属性をユーザー実体に関連づけ、かつそれ
らの属性の相互関係によりアクセスおよび取扱いのモー
ドおよび態様を制御する保障政策により情報の流れの制
限をどのようにして行うかを示す線図、第1a図は特定の
書式で格納されている情報を特定のサブシステムがアク
セスするやり方を支配する付加保障政策により、情報ア
クセスに対する制限をどのようにして行うことができる
かを示す線図、第2図は典型的なデータ処理システムの
簡単化したブロツク図、第3図は本発明を実現する装置
を示すデータ処理システムのブロツク図、第4図は特定
のデータオブジエクトのフイールドを示す線図、第5図
は特定のデータオブジエクトがオーバラツプ構造または
入れ子構造の通常のデータオブジエクトをどのようにし
て示すかを示す線図、第6図はアクセス権を強制するよ
うにしてデータオブジエクトがどのようにしてアドレス
されるかを示す線図、第7図はプログラムが作用するデ
ータオブジエクトの集合に対して、既存の保障政策が変
更されないようにして、前記プログラムがデータオブジ
エクトをどのようにして加えるかを示す線図、第8図は
保障政策ユニツトによりアクセス権がどのようにして計
算されるかを示す線図である。 20……端末装置、21……プロセツサ、22……メモリ、31
……ユーザー実体識別器、32……通常データオブジエク
ト処理器、33……保障プロセツサ、331……現在の保障
コンテキストレジスタ、332……保障政策ユニツト、335
……特定データオブジエクト処理器、336……メモリア
ドレス装置、336a……タグコード認識器、337……暗号
器。
───────────────────────────────────────────────────── フロントページの続き (56)参考文献 特開 昭57−206977(JP,A) 特開 昭57−195394(JP,A)

Claims (9)

    【特許請求の範囲】
  1. 【請求項1】データ処理システムに記憶された情報を保
    護する方法において、 データオブジェクト(41)内で情報を収集する過程と、 そのデータオブジェクトに保証レベル(407)とデータ
    オブジェクト書式(409)を与えて、前記データオブジ
    ェクト(41)に対するアクセス権を割り当てる過程と、 サブシステムにサブシステムコンポーネント(3312)を
    与えてサブシステム(S1−S8)を定義する過程と、 第1プログラムを含むプログラムを前記サブシステム
    (S1−S8)に与える過程と、 各ユーザにユーザ実体属性(3311)を与えて第1ユーザ
    を含むユーザに保証属性与える過程と、 データオブジェクトの保証レベル(407)とデータオブ
    ジェクト書式(409)、サブシステムのサブシステムコ
    ンポーネント(3312)、及びユーザ実体属性(3311)の
    関数としてデータオブジェクトへアクセスできるユーザ
    とプログラムとを特定する保証政策を定める過程と、 a)第1ユーザがデータオブジェクトへアクセスできる
    かどうかを決定するために、データオブジェクトの保証
    レベル(407)を第1ユーザのユーザ実体属性(3311)
    と比較し、かつ、 b)第1プログラムがデータオブジェクトへアクセスで
    きるかどうかを決定するために、データオブジェクトの
    データオブジェクト書式(409)を第1プログラムのサ
    ブシステムコンポーネント(3312)と比較し、 第1ユーザがデータオブジェクトにアクセスでき、第1
    プログラムがデータオブジェクトにアクセスできると
    き、第1プログラムがデータオブジェクトに対して実行
    できるオペレーションを決めてアクセス権(622)を与
    える、 第1ユーザオブジェクトが第1プログラムでデータオブ
    ジェクトにアクセスできるかどうかを決定する過程と、 を有することを特徴とする方法。
  2. 【請求項2】前記第1のプログラムは、各命令がオペレ
    ーションを表すオペレーションコード(601)を有する
    複数の命令を有しており、 データオブジェクトへの前記動作が許されるか否かを決
    定するために各命令のオペレーションコード(601)を
    アクセス権(622)と比較し、オペレーションが許され
    ていない場合はその命令の実行を行わない過程を含む特
    許請求の範囲第1項記載の方法。
  3. 【請求項3】通常データオブジェクト処理手段(32)
    と、 複数の命令を有し、複数のサブシステムから第1のサブ
    システムへ割り当てられているプログラムを実行する特
    定データオブジェクト処理手段(335)と、 前記通常データオブジェクト処理手段(32)と特定デー
    タオブジェクト処理手段(335)とに結合され、ユーザ
    実体にユーザ実体属性を持たせる識別手段(31)と、 前記通常データオブジェクト処理手段(32)と特定デー
    タオブジェクト処理手段(335)とに結合され、その通
    常データオブジェクト(41)と特定データオブジェクト
    (40)とを検索し、特定データオブジェクト(40)に保
    証レベル(407)と、データオブジェクト書式(409)と
    与えるメモリアドレス装置(336)と、 特定データオブジェクト(40)へのアクセス権を有する
    ユーザ実体とサブシステムとを決める保証政策を格納す
    る保証政策ユニット(332)であって、 メモリアドレス装置(336)に結合され、ユーザ実体の
    ユーザ実体属性を特定データオブジェクト(40)の保証
    レベル(407)と比較し、仮アクセス権(3323)を決定
    する属性比較器(3321)、及び メモリアドレス装置(336)と属性比較器(3321)とに
    結合され、第1サブシステムのサブシステムコンポーネ
    ント(3312)を特定データオブジェクト(40)のデータ
    オブジェクト書式(409)と比較し、仮アクセス権(332
    3)と、保証政策で決められており、第1サブシステム
    内のプログラムが特定データオブジェクトにアクセスで
    きる経路との双方の関数としてプログラムのアクセス権
    を生成するサブシステム/書式比較器(3322) を含む保証政策と、 からなる保証データ処理システム。
  4. 【請求項4】各命令がオペレーションコード(601)を
    備え、メモリアドレス装置(336)がオペレーションコ
    ード(601)をアクセス権(622)と比較する手段を有す
    る特許請求の範囲第3項記載の保証データ処理システ
    ム。
  5. 【請求項5】データ処理システムに格納された情報を保
    護する方法において、 通常データオブジェクト(61)内で情報を収集する過程
    と、 通常データオブジェクト(61)に関連した現在のアドレ
    ス(623)を有する特定データオブジェクト(40)を決
    定する過程と、 保証レベルを特定データオブジェクトに与える過程を備
    えている、アクセス権を通常データオブジェクト(61)
    に割り当てる過程と、 ユーザ実体属性(3311)を各ユーザと関連させる過程を
    備えている、第1ユーザを含むユーザに保証属性を割り
    当てる過程と、 通常データオブジェクト(61)へアクセスを特定データ
    オブジェクト(40)とユーザのユーザ実体属性(3311)
    との関数として決める保証政策を決定する過程と、 決められた保証政策に基づいて保証レベル(407)を第
    1ユーザのユーザ実体属性(3311)と比較する過程を備
    えた、第1ユーザが通常データオブジェクト(61)にア
    クセスできるかどうかを決定する過程と、 第1ユーザが通常データオブジェクトにアクセスできる
    とき、第1ユーザの通常データオブジェクト(61)への
    アクセス権(622)を決めるプログラムワーキングセッ
    トエントリイを生成する過程と を有することを特徴とする方法。
  6. 【請求項6】各サブシステムにサブシステムコンポーネ
    ント(3312)を与える過程を備える、サブシステム(S1
    −S8)を定義する過程と、 そのサブシステム(S1−S8)へ第1プログラムを含むプ
    ログラムを割り当てる過程とを有し、 前記通常データオブジェクト(61)へアクセス権を割り
    当てる過程が、特定データオブジェクト(40)にデータ
    オブジェクト書式(409)を与えるステップを含み、 保証政策を決定する過程が、通常データオブジェクト
    (61)へのアクセスを特定データオブジェクト(40)の
    データオブジェクト書式(409)と各サブシステムのサ
    ブシステムコンポーネント(3312)との関数として決定
    する過程を含み、 アクセス権(622)を決めるプログラムワーキングセッ
    トエントリイを生成する過程が、特定データオブジェク
    ト(40)のデータオブジェクト書式(409)を第1プロ
    グラムのサブシステムコンポーネント(3312)と比較
    し、第1プログラムがデータオブジェクトにアクセスで
    きる経路を決定する過程を含む特許請求の範囲第5項記
    載の方法。
  7. 【請求項7】第1プログラムが複数の命令を含み、各命
    令が動作を表すオペレーションコード(601)を含み、 各命令のオペレーションコード(601)をアクセス権(6
    22)と比較し、データオブジェクトへのオペレーション
    が許されるかどうかを決定する過程と、 それが許されないとき、その命令の実行が禁止される過
    程と を有する特許請求の範囲第5項又は第6項記載の方法。
  8. 【請求項8】通常データオブジェクト処理手段(32)
    と、 複数の命令を有するプログラムを実行する特定データオ
    ブジェクト処理手段(335)と、 前記通常データオブジェクト処理手段(32)と特定デー
    タオブジェクト処理手段(335)とに結合され、ユーザ
    実体にユーザ実体属性(3311)を持たせる識別手段(3
    1)と、 前記通常データオブジェクト処理手段(32)と特定デー
    タオブジェクト処理手段(335)とに結合され、その通
    常データオブジェクト(41)と保証レベル(407)を含
    む特定データオブジェクト(40)とを検索するメモリア
    ドレス装置(336)と、 前記メモリアドレス装置へ結合され、特定データオブジ
    ェクト(40)へのアクセス権を有するユーザ実体を決定
    し、そのユーザ実体のユーザ実体属性(3311)を特定デ
    ータオブジェクト(40)の保証レベル(407)と比較
    し、特定データオブジェクトへのユーザ実体のアクセス
    権(622)を決定する、保証政策を格納する保証政策ユ
    ニット(332)と、 特定データオブジェクト(40)の特定データオブジェク
    ト処理ユニット(335)へのアクセスを制限する手段(3
    36a)と、 からなる保証データ処理システム。
  9. 【請求項9】各命令がオペレーションコード(601)を
    含み、前記メモリアドレス装置(336)がオペレーショ
    ンコード(601)をアクセス権(622)と比較する手段を
    有する特許請求の範囲第8項記載の保証データ処理シス
    テム。
JP61034038A 1985-02-21 1986-02-20 データ処理システム内のシステムフアイルを保護する方法及びデータ処理システム Expired - Fee Related JPH0812645B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US06/703,638 US4713753A (en) 1985-02-21 1985-02-21 Secure data processing system architecture with format control
US703638 1985-02-21

Publications (2)

Publication Number Publication Date
JPS61195443A JPS61195443A (ja) 1986-08-29
JPH0812645B2 true JPH0812645B2 (ja) 1996-02-07

Family

ID=24826202

Family Applications (1)

Application Number Title Priority Date Filing Date
JP61034038A Expired - Fee Related JPH0812645B2 (ja) 1985-02-21 1986-02-20 データ処理システム内のシステムフアイルを保護する方法及びデータ処理システム

Country Status (7)

Country Link
US (1) US4713753A (ja)
EP (1) EP0192243B1 (ja)
JP (1) JPH0812645B2 (ja)
KR (1) KR910005995B1 (ja)
CA (1) CA1252907A (ja)
DE (1) DE3689569T2 (ja)
IL (1) IL77504A (ja)

Families Citing this family (192)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4799258A (en) * 1984-02-13 1989-01-17 National Research Development Corporation Apparatus and methods for granting access to computers
DK190784D0 (da) * 1984-04-12 1984-04-12 Pengeinst Koebe Kreditkort Fremgangsmaade og apparat til datatransmission
GB8619989D0 (en) * 1986-08-16 1986-09-24 Modray Ltd Controlling length of time
US4977594A (en) * 1986-10-14 1990-12-11 Electronic Publishing Resources, Inc. Database usage metering and protection system and method
US5050213A (en) * 1986-10-14 1991-09-17 Electronic Publishing Resources, Inc. Database usage metering and protection system and method
US4951249A (en) * 1986-10-24 1990-08-21 Harcom Security Systems Corp. Method and apparatus for controlled access to a computer system
AU8232187A (en) * 1986-10-24 1988-05-25 Harcom Security Systems Corp. Computer security system
US5361341A (en) * 1987-10-02 1994-11-01 Sgs-Thomson Microelectronics, S.A. Device for enabling the use of the contents of memory areas of an electronic microprocessor system
US5075884A (en) * 1987-12-23 1991-12-24 Loral Aerospace Corp. Multilevel secure workstation
JPH01175057A (ja) * 1987-12-28 1989-07-11 Toshiba Corp セキュリティの動的管理方法
US4881179A (en) * 1988-03-11 1989-11-14 International Business Machines Corp. Method for providing information security protocols to an electronic calendar
US4993030A (en) * 1988-04-22 1991-02-12 Amdahl Corporation File system for a plurality of storage classes
US5101374A (en) * 1988-05-19 1992-03-31 The United States Of America As Represented By The Director Of The National Security Agency Secure, fast storage and retrieval without interactive checking
US5235681A (en) * 1988-06-22 1993-08-10 Hitachi, Ltd. Image filing system for protecting partial regions of image data of a document
US4924514A (en) * 1988-08-26 1990-05-08 International Business Machines Corporation Personal identification number processing using control vectors
US4924515A (en) * 1988-08-29 1990-05-08 International Business Machines Coprporation Secure management of keys using extended control vectors
US5313637A (en) * 1988-11-29 1994-05-17 Rose David K Method and apparatus for validating authorization to access information in an information processing system
JPH02202642A (ja) * 1989-02-01 1990-08-10 Toshiba Corp プログラム動作監視装置
US4941175A (en) * 1989-02-24 1990-07-10 International Business Machines Corporation Tamper-resistant method for authorizing access to data between a host and a predetermined number of attached workstations
JPH0820944B2 (ja) * 1989-03-20 1996-03-04 株式会社日立製作所 電子化情報作成装置
US5065429A (en) * 1989-04-03 1991-11-12 Lang Gerald S Method and apparatus for protecting material on storage media
US5144659A (en) * 1989-04-19 1992-09-01 Richard P. Jones Computer file protection system
US5187790A (en) * 1989-06-29 1993-02-16 Digital Equipment Corporation Server impersonation of client processes in an object based computer operating system
JPH03209526A (ja) * 1989-10-23 1991-09-12 Internatl Business Mach Corp <Ibm> オブジェクト指向コンピュータシステム
US5469556A (en) * 1989-12-12 1995-11-21 Harris Corporation Resource access security system for controlling access to resources of a data processing system
GB9003112D0 (en) * 1990-02-12 1990-04-11 Int Computers Ltd Access control mechanism
US5574912A (en) * 1990-05-04 1996-11-12 Digital Equipment Corporation Lattice scheduler method for reducing the impact of covert-channel countermeasures
US5052040A (en) * 1990-05-25 1991-09-24 Micronyx, Inc. Multiple user stored data cryptographic labeling system and method
GB2246457A (en) * 1990-07-25 1992-01-29 Bluetron Limited Controlling access to stored data
US5077795A (en) * 1990-09-28 1991-12-31 Xerox Corporation Security system for electronic printing systems
JPH04205043A (ja) * 1990-11-29 1992-07-27 Mitsubishi Electric Corp 半導体記憶装置
JPH05303531A (ja) * 1991-01-31 1993-11-16 Fields Software Group Inc 電子書式処理システム及び方法
US5504814A (en) * 1991-07-10 1996-04-02 Hughes Aircraft Company Efficient security kernel for the 80960 extended architecture
US5475833A (en) * 1991-09-04 1995-12-12 International Business Machines Corporation Database system for facilitating comparison of related information stored in a distributed resource
US5627967A (en) * 1991-09-24 1997-05-06 International Business Machines Corporation Automated generation on file access control system commands in a data processing system with front end processing of a master list
US5210571A (en) * 1991-09-26 1993-05-11 Xerox Corporation System for servicing electronic printers and printing systems
WO1993011480A1 (en) * 1991-11-27 1993-06-10 Intergraph Corporation System and method for network license administration
US5301231A (en) * 1992-02-12 1994-04-05 International Business Machines Corporation User defined function facility
US5276735A (en) * 1992-04-17 1994-01-04 Secure Computing Corporation Data enclave and trusted path system
KR100302222B1 (ko) * 1992-06-12 2001-11-22 그레이스 스테펀 에스 프로세스제어컴퓨터용보안프론트엔드통신시스템과그방법
ES2097517T3 (es) * 1992-06-12 1997-04-01 Dow Chemical Co Sistema y metodo de comunicaciones inteligente para el control de procesos.
US5596718A (en) * 1992-07-10 1997-01-21 Secure Computing Corporation Secure computer network using trusted path subsystem which encrypts/decrypts and communicates with user through local workstation user I/O devices without utilizing workstation processor
US5428795A (en) * 1992-07-31 1995-06-27 International Business Machines Corporation Method of and apparatus for providing automatic security control of distributions within a data processing system
US5446903A (en) * 1993-05-04 1995-08-29 International Business Machines Corporation Method and apparatus for controlling access to data elements in a data processing system based on status of an industrial process by mapping user's security categories and industrial process steps
US5680452A (en) * 1993-10-18 1997-10-21 Tecsec Inc. Distributed cryptographic object method
US5369702A (en) * 1993-10-18 1994-11-29 Tecsec Incorporated Distributed cryptographic object method
US5469363A (en) * 1994-05-19 1995-11-21 Saliga; Thomas V. Electronic tag with source certification capability
US5864683A (en) * 1994-10-12 1999-01-26 Secure Computing Corporartion System for providing secure internetwork by connecting type enforcing secure computers to external network for limiting access to data based on user and process access rights
JPH08129507A (ja) * 1994-10-31 1996-05-21 Ricoh Co Ltd 情報保管管理システム
US5742826A (en) 1994-11-09 1998-04-21 International Business Machines Corporation Object encapsulation protection apparatus
US6963859B2 (en) * 1994-11-23 2005-11-08 Contentguard Holdings, Inc. Content rendering repository
JPH08263438A (ja) 1994-11-23 1996-10-11 Xerox Corp ディジタルワークの配給及び使用制御システム並びにディジタルワークへのアクセス制御方法
US7117180B1 (en) 1994-11-23 2006-10-03 Contentguard Holdings, Inc. System for controlling the use of digital works using removable content repositories
US6865551B1 (en) 1994-11-23 2005-03-08 Contentguard Holdings, Inc. Removable content repositories
SE504085C2 (sv) * 1995-02-01 1996-11-04 Greg Benson Sätt och system för att hantera dataobjekt i enlighet med förutbestämda villkor för användare
CN101398871B (zh) 1995-02-13 2011-05-18 英特特拉斯特技术公司 用于安全交易管理和电子权利保护的系统和方法
US5892900A (en) 1996-08-30 1999-04-06 Intertrust Technologies Corp. Systems and methods for secure transaction management and electronic rights protection
US6948070B1 (en) * 1995-02-13 2005-09-20 Intertrust Technologies Corporation Systems and methods for secure transaction management and electronic rights protection
US7133846B1 (en) 1995-02-13 2006-11-07 Intertrust Technologies Corp. Digital certificate support system, methods and techniques for secure electronic commerce transaction and rights management
US5943422A (en) * 1996-08-12 1999-08-24 Intertrust Technologies Corp. Steganographic techniques for securely delivering electronic digital rights management control information over insecure communication channels
US7095854B1 (en) * 1995-02-13 2006-08-22 Intertrust Technologies Corp. Systems and methods for secure transaction management and electronic rights protection
US6157721A (en) 1996-08-12 2000-12-05 Intertrust Technologies Corp. Systems and methods using cryptography to protect secure computing environments
US6658568B1 (en) 1995-02-13 2003-12-02 Intertrust Technologies Corporation Trusted infrastructure support system, methods and techniques for secure electronic commerce transaction and rights management
US7133845B1 (en) * 1995-02-13 2006-11-07 Intertrust Technologies Corp. System and methods for secure transaction management and electronic rights protection
US6108787A (en) * 1995-03-31 2000-08-22 The Commonwealth Of Australia Method and means for interconnecting different security level networks
US6011847A (en) * 1995-06-01 2000-01-04 Follendore, Iii; Roy D. Cryptographic access and labeling system
US5819275A (en) * 1995-06-07 1998-10-06 Trusted Information Systems, Inc. System and method for superimposing attributes on hierarchically organized file systems
US6047288A (en) * 1995-07-20 2000-04-04 Canon Kabushiki Kaisha Group environment setting method and system thereof to provide an equivalent environment for plural participants
US5757924A (en) * 1995-09-18 1998-05-26 Digital Secured Networks Techolognies, Inc. Network security device which performs MAC address translation without affecting the IP address
US5859966A (en) * 1995-10-10 1999-01-12 Data General Corporation Security system for computer systems
US5898830A (en) 1996-10-17 1999-04-27 Network Engineering Software Firewall providing enhanced network security and user transparency
US5826014A (en) * 1996-02-06 1998-10-20 Network Engineering Software Firewall system for protecting network elements connected to a public network
US5913024A (en) * 1996-02-09 1999-06-15 Secure Computing Corporation Secure server utilizing separate protocol stacks
US5918018A (en) 1996-02-09 1999-06-29 Secure Computing Corporation System and method for achieving network separation
US5867647A (en) * 1996-02-09 1999-02-02 Secure Computing Corporation System and method for securing compiled program code
US20010011253A1 (en) * 1998-08-04 2001-08-02 Christopher D. Coley Automated system for management of licensed software
US6263442B1 (en) * 1996-05-30 2001-07-17 Sun Microsystems, Inc. System and method for securing a program's execution in a network environment
US5727145A (en) * 1996-06-26 1998-03-10 Sun Microsystems, Inc. Mechanism for locating objects in a secure fashion
US7010697B2 (en) * 1996-06-28 2006-03-07 Protexis, Inc. System for dynamically encrypting information for secure internet commerce and providing embedded fulfillment software
US7770230B2 (en) * 2002-04-22 2010-08-03 Arvato Digital Services Canada, Inc. System for dynamically encrypting content for secure internet commerce and providing embedded fulfillment software
US5809145A (en) * 1996-06-28 1998-09-15 Paradata Systems Inc. System for distributing digital information
US7356847B2 (en) * 1996-06-28 2008-04-08 Protexis, Inc. System for dynamically encrypting content for secure internet commerce and providing embedded fulfillment software
US5987123A (en) * 1996-07-03 1999-11-16 Sun Microsystems, Incorporated Secure file system
US6003084A (en) * 1996-09-13 1999-12-14 Secure Computing Corporation Secure network proxy for connecting entities
US5950195A (en) * 1996-09-18 1999-09-07 Secure Computing Corporation Generalized security policy management system and method
US6072942A (en) * 1996-09-18 2000-06-06 Secure Computing Corporation System and method of electronic mail filtering using interconnected nodes
US5983350A (en) * 1996-09-18 1999-11-09 Secure Computing Corporation Secure firewall supporting different levels of authentication based on address or encryption status
US6144934A (en) * 1996-09-18 2000-11-07 Secure Computing Corporation Binary filter using pattern recognition
US5915087A (en) * 1996-12-12 1999-06-22 Secure Computing Corporation Transparent security proxy for unreliable message exchange protocols
US6240513B1 (en) 1997-01-03 2001-05-29 Fortress Technologies, Inc. Network security device
US5968133A (en) * 1997-01-10 1999-10-19 Secure Computing Corporation Enhanced security network time synchronization device and method
US7212632B2 (en) 1998-02-13 2007-05-01 Tecsec, Inc. Cryptographic key split combiner
US6105132A (en) * 1997-02-20 2000-08-15 Novell, Inc. Computer network graded authentication system and method
US5896499A (en) * 1997-02-21 1999-04-20 International Business Machines Corporation Embedded security processor
US5920861A (en) * 1997-02-25 1999-07-06 Intertrust Technologies Corp. Techniques for defining using and manipulating rights management data structures
US6233684B1 (en) 1997-02-28 2001-05-15 Contenaguard Holdings, Inc. System for controlling the distribution and use of rendered digital works through watermaking
US6694433B1 (en) 1997-05-08 2004-02-17 Tecsec, Inc. XML encryption scheme
TW393630B (en) * 1997-07-24 2000-06-11 Checkpoint Systems Inc Protocol for storage and retrieval of data in an RFID tag which uses objects
GB2329497B (en) * 1997-09-19 2001-01-31 Ibm Method for controlling access to electronically provided services and system for implementing such method
US6192408B1 (en) * 1997-09-26 2001-02-20 Emc Corporation Network file server sharing local caches of file access information in data processors assigned to respective file systems
US6112181A (en) * 1997-11-06 2000-08-29 Intertrust Technologies Corporation Systems and methods for matching, selecting, narrowcasting, and/or classifying based on rights management and/or other information
US7095852B2 (en) * 1998-02-13 2006-08-22 Tecsec, Inc. Cryptographic key split binder for use with tagged data elements
US8077870B2 (en) * 1998-02-13 2011-12-13 Tecsec, Inc. Cryptographic key split binder for use with tagged data elements
US7079653B2 (en) * 1998-02-13 2006-07-18 Tecsec, Inc. Cryptographic key split binding process and apparatus
US6357010B1 (en) 1998-02-17 2002-03-12 Secure Computing Corporation System and method for controlling access to documents stored on an internal network
US6321336B1 (en) 1998-03-13 2001-11-20 Secure Computing Corporation System and method for redirecting network traffic to provide secure communication
US7233948B1 (en) 1998-03-16 2007-06-19 Intertrust Technologies Corp. Methods and apparatus for persistent control and protection of content
US6453419B1 (en) 1998-03-18 2002-09-17 Secure Computing Corporation System and method for implementing a security policy
US6182226B1 (en) 1998-03-18 2001-01-30 Secure Computing Corporation System and method for controlling interactions between networks
US6160903A (en) * 1998-04-24 2000-12-12 Dew Engineering And Development Limited Method of providing secure user access
EP1016960A4 (en) * 1998-05-14 2002-04-03 Sega Enterprises Kk INFORMATION PROCESSOR, INFORMATION PROCESSING METHOD, INFORMATION RECORDING MEDIUM, AND INFORMATION PROCESSING SYSTEM
US6223288B1 (en) 1998-05-22 2001-04-24 Protexis Inc. System for persistently encrypting critical software file to prevent installation of software program on unauthorized computers
US7013305B2 (en) 2001-10-01 2006-03-14 International Business Machines Corporation Managing the state of coupling facility structures, detecting by one or more systems coupled to the coupling facility, the suspended state of the duplexed command, detecting being independent of message exchange
AUPP660298A0 (en) * 1998-10-20 1998-11-12 Canon Kabushiki Kaisha Apparatus and method for preventing disclosure of protected information
US7068787B1 (en) 1998-10-23 2006-06-27 Contentguard Holdings, Inc. System and method for protection of digital works
US7356688B1 (en) 1999-04-06 2008-04-08 Contentguard Holdings, Inc. System and method for document distribution
US6937726B1 (en) 1999-04-06 2005-08-30 Contentguard Holdings, Inc. System and method for protecting data files by periodically refreshing a decryption key
US7286665B1 (en) 1999-04-06 2007-10-23 Contentguard Holdings, Inc. System and method for transferring the right to decode messages
US6859533B1 (en) 1999-04-06 2005-02-22 Contentguard Holdings, Inc. System and method for transferring the right to decode messages in a symmetric encoding scheme
US7243236B1 (en) 1999-07-29 2007-07-10 Intertrust Technologies Corp. Systems and methods for using cryptography to protect secure and insecure computing environments
US6708276B1 (en) 1999-08-03 2004-03-16 International Business Machines Corporation Architecture for denied permissions in Java
US6885748B1 (en) 1999-10-23 2005-04-26 Contentguard Holdings, Inc. System and method for protection of digital works
JP2001219440A (ja) * 2000-02-09 2001-08-14 Sony Disc Technology Inc 多数個取り用成形装置およびその成形方法
JP3891539B2 (ja) * 2000-06-15 2007-03-14 シャープ株式会社 半導体装置およびその制御装置
US20040073617A1 (en) 2000-06-19 2004-04-15 Milliken Walter Clark Hash-based systems and methods for detecting and preventing transmission of unwanted e-mail
US7350204B2 (en) * 2000-07-24 2008-03-25 Microsoft Corporation Policies for secure software execution
US8566248B1 (en) 2000-08-04 2013-10-22 Grdn. Net Solutions, Llc Initiation of an information transaction over a network via a wireless device
US7257581B1 (en) 2000-08-04 2007-08-14 Guardian Networks, Llc Storage, management and distribution of consumer information
US9928508B2 (en) 2000-08-04 2018-03-27 Intellectual Ventures I Llc Single sign-on for access to a central data repository
DE10038779A1 (de) * 2000-08-09 2002-03-07 Schneider Automation Gmbh Verfahren zur Übertragung von Daten in ein oder aus einem Steuerungsgerät wie speicherprogrammierbare Steuerung sowie Steuerungsgerät
US7412605B2 (en) 2000-08-28 2008-08-12 Contentguard Holdings, Inc. Method and apparatus for variable encryption of data
US6931545B1 (en) 2000-08-28 2005-08-16 Contentguard Holdings, Inc. Systems and methods for integrity certification and verification of content consumption environments
US7743259B2 (en) 2000-08-28 2010-06-22 Contentguard Holdings, Inc. System and method for digital rights management using a standard rendering engine
US7073199B1 (en) 2000-08-28 2006-07-04 Contentguard Holdings, Inc. Document distribution management method and apparatus using a standard rendering engine and a method and apparatus for controlling a standard rendering engine
US7362868B2 (en) * 2000-10-20 2008-04-22 Eruces, Inc. Hidden link dynamic key manager for use in computer systems with database structure for storage of encrypted data and method for storage and retrieval of encrypted data
US20030021417A1 (en) * 2000-10-20 2003-01-30 Ognjen Vasic Hidden link dynamic key manager for use in computer systems with database structure for storage of encrypted data and method for storage and retrieval of encrypted data
US7343324B2 (en) 2000-11-03 2008-03-11 Contentguard Holdings Inc. Method, system, and computer readable medium for automatically publishing content
DE10058391C2 (de) * 2000-11-24 2003-06-18 Siemens Ag Vorrichtung zur Objektbearbeitung
US6912294B2 (en) 2000-12-29 2005-06-28 Contentguard Holdings, Inc. Multi-stage watermarking process and system
US7085741B2 (en) 2001-01-17 2006-08-01 Contentguard Holdings, Inc. Method and apparatus for managing digital content usage rights
US6754642B2 (en) 2001-05-31 2004-06-22 Contentguard Holdings, Inc. Method and apparatus for dynamically assigning usage rights to digital works
US7028009B2 (en) 2001-01-17 2006-04-11 Contentguardiholdings, Inc. Method and apparatus for distributing enforceable property rights
US8069116B2 (en) 2001-01-17 2011-11-29 Contentguard Holdings, Inc. System and method for supplying and managing usage rights associated with an item repository
US7206765B2 (en) 2001-01-17 2007-04-17 Contentguard Holdings, Inc. System and method for supplying and managing usage rights based on rules
US7774279B2 (en) 2001-05-31 2010-08-10 Contentguard Holdings, Inc. Rights offering and granting
JP4089171B2 (ja) * 2001-04-24 2008-05-28 株式会社日立製作所 計算機システム
US8275716B2 (en) 2001-05-31 2012-09-25 Contentguard Holdings, Inc. Method and system for subscription digital rights management
US7222104B2 (en) 2001-05-31 2007-05-22 Contentguard Holdings, Inc. Method and apparatus for transferring usage rights and digital work having transferrable usage rights
US6976009B2 (en) 2001-05-31 2005-12-13 Contentguard Holdings, Inc. Method and apparatus for assigning consequential rights to documents and documents having such rights
US6973445B2 (en) 2001-05-31 2005-12-06 Contentguard Holdings, Inc. Demarcated digital content and method for creating and processing demarcated digital works
US6895503B2 (en) 2001-05-31 2005-05-17 Contentguard Holdings, Inc. Method and apparatus for hierarchical assignment of rights to documents and documents having such rights
US6876984B2 (en) 2001-05-31 2005-04-05 Contentguard Holdings, Inc. Method and apparatus for establishing usage rights for digital content to be created in the future
US7152046B2 (en) 2001-05-31 2006-12-19 Contentguard Holdings, Inc. Method and apparatus for tracking status of resource in a system for managing use of the resources
US8099364B2 (en) 2001-05-31 2012-01-17 Contentguard Holdings, Inc. Digital rights management of content when content is a future live event
US7725401B2 (en) 2001-05-31 2010-05-25 Contentguard Holdings, Inc. Method and apparatus for establishing usage rights for digital content to be created in the future
US8001053B2 (en) 2001-05-31 2011-08-16 Contentguard Holdings, Inc. System and method for rights offering and granting using shared state variables
US8275709B2 (en) 2001-05-31 2012-09-25 Contentguard Holdings, Inc. Digital rights management of content when content is a future live event
MXPA03011338A (es) * 2001-06-07 2004-07-08 Contentguard Holdings Inc Metodo y aparato para administrar la transferencia de derechos.
US7774280B2 (en) * 2001-06-07 2010-08-10 Contentguard Holdings, Inc. System and method for managing transfer of rights using shared state variables
KR20030096250A (ko) 2001-06-07 2003-12-24 콘텐트가드 홀딩즈 인코포레이티드 디지털 권리 관리시스템에서 다중 신뢰구역들을 지원하기위한 방법 및 장치
AU2002345577A1 (en) 2001-06-07 2002-12-23 Contentguard Holdings, Inc. Protected content distribution system
US20050044369A1 (en) * 2001-10-15 2005-02-24 Lakshminarayanan Anantharaman Electronic document management system
RU2313122C2 (ru) * 2002-03-13 2007-12-20 Мацусита Электрик Индастриал Ко., Лтд. Защищенное устройство
GB2386710A (en) * 2002-03-18 2003-09-24 Hewlett Packard Co Controlling access to data or documents
WO2003104947A2 (en) 2002-06-06 2003-12-18 Hardt Dick C Distributed hierarchical identity management
US8140824B2 (en) * 2002-11-21 2012-03-20 International Business Machines Corporation Secure code authentication
US7194626B2 (en) * 2002-11-21 2007-03-20 International Business Machines Corporation Hardware-based secure code authentication
US7171563B2 (en) * 2003-05-15 2007-01-30 International Business Machines Corporation Method and system for ensuring security of code in a system on a chip
US7444668B2 (en) * 2003-05-29 2008-10-28 Freescale Semiconductor, Inc. Method and apparatus for determining access permission
JP4624732B2 (ja) * 2003-07-16 2011-02-02 パナソニック株式会社 アクセス方法
US7921299B1 (en) * 2003-12-05 2011-04-05 Microsoft Corporation Partner sandboxing in a shared multi-tenant billing system
US8504704B2 (en) 2004-06-16 2013-08-06 Dormarke Assets Limited Liability Company Distributed contact information management
US8527752B2 (en) 2004-06-16 2013-09-03 Dormarke Assets Limited Liability Graduated authentication in an identity management system
US9245266B2 (en) 2004-06-16 2016-01-26 Callahan Cellular L.L.C. Auditable privacy policies in a distributed hierarchical identity management system
US8321686B2 (en) 2005-02-07 2012-11-27 Sandisk Technologies Inc. Secure memory card with life cycle phases
US8108691B2 (en) 2005-02-07 2012-01-31 Sandisk Technologies Inc. Methods used in a secure memory card with life cycle phases
US8423788B2 (en) 2005-02-07 2013-04-16 Sandisk Technologies Inc. Secure memory card with life cycle phases
US7748031B2 (en) 2005-07-08 2010-06-29 Sandisk Corporation Mass storage device with automated credentials loading
EP1760619A1 (en) * 2005-08-19 2007-03-07 STMicroelectronics Ltd. System for restricting data access
US20070061597A1 (en) 2005-09-14 2007-03-15 Micky Holtzman Secure yet flexible system architecture for secure devices with flash mass storage memory
US7536540B2 (en) 2005-09-14 2009-05-19 Sandisk Corporation Method of hardware driver integrity check of memory card controller firmware
US20070162390A1 (en) * 2005-12-22 2007-07-12 Macrovision Corporation Techniques for distributing and monitoring content
US8423794B2 (en) 2006-12-28 2013-04-16 Sandisk Technologies Inc. Method and apparatus for upgrading a memory card that has security mechanisms for preventing copying of secure content and applications
US8127133B2 (en) * 2007-01-25 2012-02-28 Microsoft Corporation Labeling of data objects to apply and enforce policies
US8281143B1 (en) 2008-09-29 2012-10-02 Symantec Operating Corporation Protecting against chosen plaintext attacks in untrusted storage environments that support data deduplication
US8516260B2 (en) * 2008-10-27 2013-08-20 Advanced Micro Devices, Inc. Method, apparatus, and device for providing security among a calling function and a target function
US8479304B1 (en) * 2009-03-31 2013-07-02 Symantec Corporation Selectively protecting against chosen plaintext attacks in untrusted storage environments that support data deduplication
KR102017828B1 (ko) 2012-10-19 2019-09-03 삼성전자 주식회사 보안 관리 유닛, 상기 보안 관리 유닛을 포함하는 호스트 컨트롤러 인터페이스, 상기 호스트 컨트롤러 인터페이스의 동작 방법, 및 상기 호스트 컨트롤러 인터페이스를 포함하는 장치들
DE102017005945A1 (de) * 2017-06-23 2018-12-27 Stefan Andreas Widmann Vorrichtung und Verfahren zur gerätetechnischen Einschränkung der zulässigen Operationen auf Daten in Datenverarbeitungseinheiten
DE102017005975A1 (de) * 2017-06-23 2018-12-27 Stefan Andreas Widmann Vorrichtung und Verfahren zur gerätetechnischen Erkennung inkompatibler Operandeneinheiten in Datenverarbeitungseinheiten
US11958628B2 (en) 2020-04-14 2024-04-16 Goodrich Corporation Systems and methods for run-time self-assessment of cargo handling systems
US20210319683A1 (en) * 2020-04-14 2021-10-14 Goodrich Corporation Real-time communication link with a cargo handling system

Family Cites Families (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4104721A (en) * 1976-12-30 1978-08-01 International Business Machines Corporation Hierarchical security mechanism for dynamically assigning security levels to object programs
US4442484A (en) * 1980-10-14 1984-04-10 Intel Corporation Microprocessor memory management and protection mechanism
JPS57195394A (en) * 1981-05-23 1982-12-01 Nippon Telegr & Teleph Corp <Ntt> Memory protection system by processor
JPS57206977A (en) * 1981-06-15 1982-12-18 Fujitsu Ltd Document processing system
EP0097258B1 (en) * 1982-06-21 1990-03-14 International Business Machines Corporation Computing apparatus and method for operating the same
US4621321A (en) * 1984-02-16 1986-11-04 Honeywell Inc. Secure data processing system architecture

Also Published As

Publication number Publication date
IL77504A (en) 1989-08-15
EP0192243A3 (en) 1989-07-19
DE3689569D1 (de) 1994-03-10
EP0192243A2 (en) 1986-08-27
EP0192243B1 (en) 1994-01-26
CA1252907A (en) 1989-04-18
JPS61195443A (ja) 1986-08-29
KR910005995B1 (ko) 1991-08-09
US4713753A (en) 1987-12-15
KR860006731A (ko) 1986-09-15
DE3689569T2 (de) 1994-05-11

Similar Documents

Publication Publication Date Title
JPH0812645B2 (ja) データ処理システム内のシステムフアイルを保護する方法及びデータ処理システム
US4621321A (en) Secure data processing system architecture
US7290279B2 (en) Access control method using token having security attributes in computer system
US8402269B2 (en) System and method for controlling exit of saved data from security zone
US5870467A (en) Method and apparatus for data input/output management suitable for protection of electronic writing data
EP1380916B1 (en) Data protection program, method and apparatus
EP0613073B1 (en) Licence management mechanism for a computer system
US6389540B1 (en) Stack based access control using code and executor identifiers
Karger Limiting the damage potential of discretionary Trojan horses
KR100596135B1 (ko) 가상 디스크를 이용한 응용 프로그램 별 접근통제시스템과 그 통제방법
US20110231378A1 (en) Method and system for security of file input and output of application programs
KR980010772A (ko) 컴퓨터 소프트웨어의 복사 방지 방법
US8132261B1 (en) Distributed dynamic security capabilities with access controls
KR100343069B1 (ko) 다중 등급 보안 방식에 의한 강제적 객체접근 제어 방법및 이를 프로그램화하여 수록한 컴퓨터로 읽을 수 있는기록매체
KR101227187B1 (ko) 보안영역 데이터의 반출 제어시스템과 그 제어방법
RU2134931C1 (ru) Способ обеспечения доступа к объектам в операционной системе мсвс
JP4507569B2 (ja) 情報処理装置および情報処理方法、プログラム、並びに記録媒体
KR930004434B1 (ko) 다중 등급기밀 데이타 보호용 액세스 제어방법
US9507929B1 (en) Decentralized information flow securing method and system for multilevel security and privacy domains
KR20230173619A (ko) 데이터 보호 시스템
Henderson Trends in MVS Security
Jaeger Multics
Pieprzyk et al. Access Control
JP2004341769A (ja) 回路装置及びその不正アクセス防止方法

Legal Events

Date Code Title Description
R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees