JPH08504287A - コンピュータシステムにおける入出力動作のアクセスセキュリティを維持する方法およびシステム - Google Patents

コンピュータシステムにおける入出力動作のアクセスセキュリティを維持する方法およびシステム

Info

Publication number
JPH08504287A
JPH08504287A JP51446594A JP51446594A JPH08504287A JP H08504287 A JPH08504287 A JP H08504287A JP 51446594 A JP51446594 A JP 51446594A JP 51446594 A JP51446594 A JP 51446594A JP H08504287 A JPH08504287 A JP H08504287A
Authority
JP
Japan
Prior art keywords
security
user
access
flag
computer system
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP51446594A
Other languages
English (en)
Other versions
JP2768834B2 (ja
Inventor
ハイエス、ジョン・エル
ハイマン、ポール・エム
Original Assignee
ヒューズ・エアクラフト・カンパニー
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by ヒューズ・エアクラフト・カンパニー filed Critical ヒューズ・エアクラフト・カンパニー
Publication of JPH08504287A publication Critical patent/JPH08504287A/ja
Application granted granted Critical
Publication of JP2768834B2 publication Critical patent/JP2768834B2/ja
Anticipated expiration legal-status Critical
Expired - Lifetime legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2113Multi-level security, e.g. mandatory access control
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2141Access rights, e.g. capability lists, access control lists, access tables, access matrices

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Storage Device Security (AREA)

Abstract

(57)【要約】 パーソナルコンピュータまたはワークステーションが、市販の動作システムにより在庫のソフトウェア応用パッケージを使用することが可能であり、一方情報がドキュメント間で移動されたときに、強制的なアクセス制御および分類レベルおよびコードワードの伝達を含む多レベルセキュリティの特徴を提供するコンピュータシステムおよび方法が開示されている。利用者は、必要に応じてドキュメントを手作業で再分類する(ランク下げを含む)ことができる。本発明はまたコンピュータがセキュアファイルサーバによってネットワークにあるときにセキュリティを提供するように構成されることができる。

Description

【発明の詳細な説明】 コンピュータシステムにおける入出力動作のアクセスセキュリティを維持する方 法およびシステム [発明の背景] 1.発明の分野 本発明は、一般にコンピュータセキュリティシステムに関し、特に利用者がド キュメントを適切に分類することを助ける各利用者に対して許された動作の予め 定められているが可変的な利用者セキュリティプロフィールにしたがって、コン ピュータに記憶された情報への利用者アクセスを自動的に制限するコンピュータ セキュリティシステムおよび方法に関する。 2.関連技術の説明 従来のセキュアコンピュータワークステーションの構造は特別な動作システム の使用を必要とし、在庫品(commercial off-the-shelf ′COTF′) ソフトウェア 応用パッケージが使用された場合には、セキュリティを提供することができなか った。一般に“区分ワークステーション”と呼ばれているこのようなシステムは 、使用し難いことが良く知られており、ドキュメントのデータ併合(merger)およ びドキュメントのランク下げ(downgrading) を行うことができない。 概して、これらの従来の構造は、(1)一般的な市販のコンピュータでランせ ず、(2)試験されて、認可されたセキ ュリティを有する“信頼できる”アプリケーションではなく、COTFアプリケ ーションの広いスペクトルの使用を許容し、(3)異なるセキュリティレベルの データの併合を許容し、(4)標準方式の動作システムの使用を許容する。 [本発明の目的および要約] したがって、本発明の目的は、“信頼できる”アプリケーションの使用を必要 とするだけでなく、在庫のソフトウェア応用パッケージの使用を許容するドキュ メントおよびデータに対するセキュリティを提供する方法およびシステムを提供 することである。 本発明の別の目的は、データがドキュメント間を移動されたときに、セキュリ ティラベルを伝達させるドキュメントおよびデータに対するセキュリティを提供 する方法およびシステムを提供することである。 本発明の別の目的は、利用者が必要なセキュリティアクセス権を有する場合、 利用者に彼等のドキュメントを制御させるドキュメントおよびデータに対するセ キュリティを提供する方法およびシステムを提供することである。 本発明のさらに別の目的は、異なるセキュリティレベルで分類されたドキュメ ントのデータの併合を阻止するのではなく、促進するドキュメントおよびデータ にセキュリティを提供する方法およびシステムを提供することである。 本発明のさらに別の目的は、ファイルおよびデータへの承認されていないアク セスを阻止するだけでなく、利用者がシステム上に保持され、或は本発明の方法 によって処理された ドキュメントおよびデータを適切に分類することを助けるドキュメントおよびデ ータに対するセキュリティを提供する方法およびシステムを提供することである 。 本発明の別の目的は:“信頼できる”動作システムの発達を必要とするのでは なく、既存の動作システムの延長として存在し;ワークステーションレベルでネ ットワーク上のドキュメントのセキュリティを提供し;高い信頼性が利用者に与 えられ、利用者にもっと親しみやすいシステムを可能にするように、このような “阻止”と対照的に利用者による“奇妙な”、“悪意のある”または“有害な” 動作の“検出および検査”に集中することである。 本発明は、パーソナルコンピュータまたはワークステーションが市販の動作シ ステムにより在庫のソフトウェア応用パッケージを使用することが可能であり、 一方情報がドキュメント間で移動されたときに、強制的(mandatory)なアクセ ス制御および分類レベルおよびコードワードの伝達を含む多レベルセキュリティ の特徴を示すことができるコンピュータシステムおよび方法を提供する。利用者 は、必要に応じてドキュメントを手作業で再分類する(制限を前提としたランク 下げを含む)ことができる。本発明はまたコンピュータがセキュアファイルサー バによってネットワークにあるときにセキュリティを提供するように構成される ことができる。 本発明の構成および動作のすぐれた特徴は、以下の説明および本発明の装置の 好ましい形態を示し、同じ参照符号が図面中の同じ部品を示している添付図面を 参照することによっ てさらに明瞭になるであろう。 [図面の簡単な説明] 図1は、本発明を含むシステムの一般的な論理の流れ全体を示したフローチャ ートである。 図2は、本発明を含むシステムの一般的な動作の流れ全体を示した理想化され たブロック図である。 図3は、本発明を含むシステムにおいて生じる種々の入出力動作を示した理想 化された概略図である。 図4は、利用者アクセス表の構造および許容可能なサブフィールド構造を示し た理想化されたブロック図である。 [好ましい実施例の説明] 以下、発生レベルを生成し、値ベースのセキュリティ保護を行い、コンピュー タシステム中の選択されたデータ対象物に関して予め選択されているが可変的な 入出力動作への各利用者のアクセスに制限を与える方法およびコンピュータシス テムにおいて実施される本発明の好ましい形態を説明する。 一般に、図1に示されているように、本発明は特有の利用者識別シンボルによ って識別される1以上の利用者間における入出力要求をインターフェイスするコ ンピュータシステムにおいて認められ、そのコンピュータシステムはそこにデー タを含む1以上のデータ対象物を有している。その方法には、以下のステップを 自動的に実行するようにコンピュータを動作することが含まれる。 利用者セキュリティアクセスレベルを定めるセキュリティプロフィールを表す データ対象物セキュリティアクセスラベ ルおよびデータ対象物に関して許された入出力動作が設定され、セキュリティ保 護のために選択された各データ対象物と関連させられる(ステップ10)。このよ うなデータ対象物は常にこのセキュリティアクセスラベルを与えられ、コンピュ ータシステムでランすることができるアプリケーションプログラムによって生成 された“蓄積(save)された”ドキュメントまたはテキストファイルを含んでいる 。 コンピュータシステムにおけるデータ対象物への入出力アクセスを有するよう に選択された各利用者に対して、特有の利用者識別シンボルにより利用者を識別 する第1のエントリィ、および特定の利用者に対する利用者セキュリティプロフ ィールを表す第2のエントリィを有する利用者セキュリティアクセス表も設定さ れる(ステップ12)。第2のエントリィは、関連した利用者のセキュリティアク セスレベルを定めるために使用される。 セッションセキュリティレベル“フラグ”は、セキュリティアクセスレベルの 1つを表す予め選択されたデホールト(default) 状態に対して設定される(ステ ッブ14)。 コンピュータシステムへの各利用者要求は、各入出力要求を抽出するために分 析(parse) される(ステップ16)。発見された入出力要求のそれぞれに対して、 (1)入出力要求を行った利用者の特有の利用者識別シンボルと、(2)入出力 要求の対象物(subject) であるデータ対象物と、および(3)要求された入出力 動作が抽出される。 特有の利用者識別シンボルは、利用者セキュリティアクセ ス表の第1のエントリィと比較される。コンピュータシステムにおける利用者セ キュリティアクセス“フラグ”は“許可”状態に設定され、利用者セキュリティ レベル“フラグ”は、整合が発見された場合に、利用者識別シンボルと関連した 利用者セキュリティアクセス表の第2のエントリィによって定められたセキュリ ティアクセスレベルに設定され、そうでなければ、“拒否”状態に各“フラグ” を設定する(ステップ18)。 要求されている要求入出力動作は、入出力要求の対象物であるデータ対象物と 関連したデータ対象物セキュリティアクセスラベルと比較され、コンピュータシ ステムにおいて、データ対象物セキュリティアクセス“フラグ”は、整合が発見 された場合に“許可”状態に設定され、そうでなければ、“拒否”状態に設定さ れる(ステップ20)。 セッションセキュリティレベル“フラグ”は、入出力要求の対象物であるデー タ対象物に対してセキュリティプロフィールで定められた利用者セキュリティア クセスレベルと比較され、セッションセキュリティレベル“フラグ”は、予め定 められた“高い”セキュリティレベルに設定される(ステップ22)。 フラグが設定されると、入出力要求は、利用者セキュリティアクセス“フラグ ”およびデータ対象物セキュリティアクセス“フラグ”の両者が共に“許可”状 態である時には常に処理するためにコンピュータシステムに戻される(ステップ 24)。 本発明の方法は、利用者セキュリティアクセスフラグ、利用者セキュリティレ ベルフラグまたはデータ対象物セキュリティアクセスフラグが前記“拒否”状態 である時は常に、コンピュータシステムにおいてセキュリティ妨害(violation) 記録(log) に特有の利用者識別シンボルを書込むことを含み、コンピュータシス テムによって分析された入出力要求の実行をキャンセルすることもまた好ましい 。 同様に、セキュリティの妨害または試みられた破棄(breach)が発見された場合 、本発明は、利用者セキュリティアクセスフラグ、利用者セキュリティレベルフ ラグまたはデータ対象物セキュリティアクセスフラグが“拒否”状態である時に は常にコンピュータシステム利用者に予め選択されたメッセージを戻す。 またこの方法において、コンピュータシステムに保持された種々のデータ対象 物の種々のセキュリティレベルの変化を容易にするために、利川者セキュリティ アクセスフラグ、利用者セキュリティレベルフラグおよびデータ対象物セキュリ ティアクセスフラグがぞれぞれ“許可”状態である時は常に、コンピュータシス テム利用者がデータ対象物セキュリティラベルにアクセスし、修正することを可 能にすることが好ましい。 最後に、データ対象物セキュリティアクセスラベル、利用者セキュリティアク セス表およびセッションセキュリティレベルフラグは、コンピュータシステム利 用者の記録がコンピュータシステムから消えるまでコンピュータシステムに保持 されることが好ましい。 図2において、本発明は、本発明を含むシステムの一般的な動作の流れ全体を 示した理想化されたブロック図で示されており、ここにおいて利用者26が2つの アプリケーション28,30にそれぞれ着手している。図面に示されているように、 利用者26および各アプリケーション28,30は、それと関連したセキュリティラベ ル26a、28a、30aをそれぞれ有する。セキュリティラベルはアクセス要求を定 めるデータ構造であり、システムに保持されたデータおよび、またはファイルに 対する伝達制限である。このようなセキュリティラベルの例は、コンフィデンシ ャル、シークレット、トップシークレット等の階級的分類および、または種々の 割当てられた“コードワード”等の一連のカテゴリィまたは“チケット”を含む 。 アプリケーション28がドキュメント32を読取るように要求するアプリケーショ ン28のようなドキュメントに関する入出力動作を要求した時には常に、要求され たドキュメントと関連したドキュメントラベル(ここでは32aとして示されてい る)がアプリケーションのラベル28aに付加される。アプリケーション28は、ロ グオン(logon) で利用者と関連した利用者ラベル26aおよび利用者識別子によっ て決定されたように、利用者26がアクセスを有しないドキュメントは開くことが できない。 アプリケーションラベルが増加した場合、利用者に対してスクリーンに表示さ れたセッションラベル34も増加される。 反対に、30のようなアプリケーションがドキュメント(こ こでは36として示されている)を書込む場合、任意の付加的なカテゴリィが表示 され、ドキュメントのラベル36aに書込まれる。その後ランするようなアプリケ ーションのセキュリティレベルがドキュメントの元のセキュリティレベルより高 い場合、高いほうのセキュリティレベルが表示される。利用者は新しいラベルが 何かを見て、以下に説明されるようにそれを受入れるか、或は変化することがで きる。 図3および4において、本発明は理想化された図で示されており、本発明を実 施するシステムにおいて生じる種々の入出力動作が示されている。利用者40は動 作システム44にオペレータ要求42を発生し、システムで利用可能なファイル54の 入出力動作のために、結果的にこれらのプログラムの実行“インスタンス”を生 じさせる1以上のシステム内蔵アプリケーション46に着手する。すると、アプリ ケーションプログラムは利用者要求ファイルを読取り、およびそれに書込むため に必要な入出力要求50および52を生成する。 複写され、ファイル間において転送されるデータの一時的保持バッファを構成 するクリップボード55が存在している。これらの読取りおよび書込み動作56およ び57は、利用者要求ごとにアプリケーションインスタンスによって実行される。 さらに、スクリーン66の利用者により選択された部分が任意のファイル54への そのイメージの後続的な転送のためにクリップボード55に59によって読取られる ことを利用者40が要求する手段が存在している。各ファイル、クリップボード、 各アプリケーションインスタンスおよびスクリーンは、図3 に示されているように情報の種々のフィールドを含むそれと関連したセキュリテ ィラベル58を有する。これらの対象46、54、55および59の関連したセキュリティ ラベル58は、分類レベル、任意の要求されるアクセス“チケット”および“複写 禁止”“印刷禁止”、“輸出(export)禁止”または“オリジネータ(originato r)のランク下げのみ”等の制限フォーマットのようないくつかのフィールドを含 む。同様に、利用者アクセス表60は、利用者の識別およびアクセスプロフィール の確認のために設定され、“利用者識別子”,“利用者パスワード”,“利用者 レベルアクセス”,“利用者チケットマップ”のようなフィールド62を含む。ロ グオンにおいて、利用者アクセス表60は、システム65にログインすることを要求 している個々の利用者40の識別子および分類アクセスプロフィールを決定し、設 定するためにシステムによってアクセスされる。 上記の説明は、ドキュメントアクセスレベルと利用者アクセスレベルを比較し 、利用者アクセスが整合しない場合にアクセスを拒否することにおいて本発明の 方法およびシステムを強調しているが、以下に説明する本発明の別の重要な新し い、明瞭でない観点が存在している。 システムが意図される利用者のニーズに基づいたこのような付加的で重要な1 つの設計考慮事項は、異なる分類のドキュメントを併合する能力であり、一方利 用者が結果的なドキュメントの適切な分類を決定することを助ける。 例えば、利用者はプレゼンテーションを行って、彼の取組 んでいる計画を示すことを希望し、プレゼンテーションを行う過程で複合的なプ レゼンテーションドキュメントを生成するために異なるセキュリティレベルのセ キュリティラベルを有する別のドキュメントからテキストおよび画面を複写して もよい。本発明のシステムおよび方法は、プレゼンテーションドキュメントを準 備するために使用されているアプリケーションに入力した全てのデータを“観察 ”または“傍受(intercept) ”し、最終的なプレゼンテーションに組立てられる 別々のドキュメントまたはデータの部分に認められる個々の分類全ての予め選択 された加重に基づいて、アプリケーションによって書込まれた全てのドキュメン トの分類を決定する。その後本発明は、利用者要求時に複合的なプレゼンテーシ ョンドキュメントに対してその示唆された分類を利用者に提供する。 利用者がドキュメントを再分類するだけである場合、本発明はその示唆された 分類をドキュメントに自動的に割当てる。本発明はまた利用者のために各ドキュ メントの元の分類と複合的なプレゼンテーションドキュメントの生成時(種々の カットおよびはり付け、およびファイルの読取り等の他のI/O動作を介して) に含まれたと考えられるラベルとを区別する。 利用者は、示唆された分類ラベルを許容するか、或は彼が適合したと認めたと きにドキュメントのランクを下げ、または上げる能力を与えられる。これは、利 用者が特定のセキュリティレベルでログインし、任意の低いレベルで分類された ドキュメントを生成せず、また高いレベルで分類されたドキュメントにアクセス も行わず、このようなワークステーションを上記に示されたタスクに対して不適 切にする区分されたモードのワークステーションと対照的である。 本発明は“ブラックボックス”としてアプリケーションを処理し、アプリケー ションに入り、そこから出る全てのデータを観察することによって在庫のアプリ ケーションの使用を可能にし、本発明を実施するシステムでランされているアプ リケーションソフトウェア、すなわち“信頼できる”または“保証された”ソフ トウェアにおいて何等特別なセキュリティ特徴を必要としない。 本発明の動作は、時には上記に示されたものより複雑である。例えば、各アプ リケーションの分類レベルが維持され、その特定のアプリケーションによって書 込まれたドキュメントに割当てられるだけでなく、全体的なセッションの分類レ ベルもまた維持される。したがって、利用者がスクリーンのスナップ写真を撮っ て、それをドキュメント中にはり付けた場合、全体的なセッションラベルがその ドキュメントに対して与えられる。これは、データを表示している任意の別の同 時にランしているアプリケーションによって所有されるスクリーンの部分がスク リーンのスナップ写真に含まれてしまっているためである。 以下の用語を使用して本発明を含む方法およびシステムの別の動作を説明する : アプリケーションインスタンス−現在システムで実行して いるアプリケーション; セキュリティラベル−アクセス要求を定めるデータ構造、およびシステムに保 持されたデータおよび、またはファイルに対する伝達制限。このようなセキュリ ティラベルの例は、コンフィデンシャル、シークレット、トップシークレット等 の階級的分類および、または種々の割当てられた“コードワード”等の一連のカ テゴリィまたは“チケット”を含む。 チケット−アクセスのための“チケット”と認められた選択グループにファイ ルまたはデータを制限する付加的なセキュリティラベル。 クリップボード−動作システムのアプリケーション間のカット/複写/はり付 けバッファユーティリティ; 最大化−加重された選択値の選択された組のような予め定められたアルゴリズ ムによる2つのセキュリティラベルの組合せ。 本発明の方法およびシステムは、以下のように動作システムへの任意の入出力 サービスの呼びを傍受する動作システムと同時にランする: 1.動作システムがアプリケーション(アプリケーションインスタンス)に“ 着手”した時には常に、この傍受は次のステップを伴う: A.アプリケーションインスタンスのセキュリティラベルは、予め選択された スタートアップアプリケーションセキュリティラベルに設定される; B.クリップボードバッファが分類中でランクを下げるこ とができないデータを含むことをセキュリティラベルが示した場合、それは利用 者を促して、読取りを許可させる(したがってアプリケーションインスタンスの セキュリティラベルをクリップボードのそれと共に最大化する)か、或はクリッ プボードバッファの内容を削除し、それがもともとそうであったアプリケーショ ンインスタンスのセキュリティラベルを残す。 C.アプリケーションインスタンスがクリップボードバッファの自動読取りを 実行し、データがランクを下げることができないデータを含まないことをセキュ リティラベルが示した場合、アプリケーションインスタンスのセキュリティラベ ルをクリップボードバッファのそれと共に最大化する。 D.全てのアプリケーションインスタンスのセキュリティラベルの最大化とし てスクリーンのセキュリティラベルを再計算する。 2.アプリケーションインスタンスがファイルの開放を行なう時には常に、こ の傍受は次のステップを伴う: A.アプリケーションインスタンスのセキュリティラベルを開放されているフ ァイルのセキュリティラベルと共に最大化する。 B.全てのアプリケーションインスタンスのセキュリティラベルの最大化とし てスクリーンのセキュリティラベルを再計算する。 3.アプリケーションインスタンスがファイルへの書込みを行なう時には常に 、この傍受は次のステップを伴う: A.アプリケーションインスタンスのセキュリティラベルにファイルのセキュ リティラベルを設定する。 B.データまたはファイルに対する“複写禁止”の制限がある場合、書込みを 許さない。 4.アプリケーションインスタンスが終了した時には常に、この傍受は次のス テップを伴う: A.全ての残りのアプリケーションインスタンスのセキュリティラベルの最大 化としてスクリーンのセキュリティラベルを再計算する。 5.システムにおけるコンピュータの動作システムの“けり出し(boot)”また は開始が試みられた時には常に、この傍受は次のステップを伴う: A.利用者に利用者の名前/パスワードを思い出させる。 B.利用者の名前/パスワードが利用者アクセス表中に存在しない場合、シス テムへの他のアクセスがさらに行われることを中止(shutdown)および拒否する。 C.他方、名前/パスワードが利用者アクセス表において認められた場合、予 め選択された開始スクリーンセキュリティラベルにスクリーンのセキュリティラ ベルを設定する。 6.アプリケーションインスタンスがクリップボードからの読取りを行う時に は常に、この傍受は次のステップを伴う: A.アプリケーションインスタンスのセキュリティラベルをクリップボードの セキュリティラベルと共に最大化する。 B.全てのアプリケーションインスタンスのセキュリティラベルの最大化とし てスクリーンのセキュリティラベルを再 計算する。 7.アプリケーションインスタンスがクリップボードへの書込みを行う時には 常に、この傍受は次のステップを伴う: A.クリップボードのセキュリティラベルをアプリケーションインスタンスの セキュリティラベルに設定する。 8.アプリケーションインスタンスがファイルの印刷を行う時には常に、この 傍受は次のステップを伴う: A.データまたはファイルに対する“印刷禁止”の制限がある場合、印刷を許 さない。 B.全てのページについてセキュリティラベルをスタンプする。 以下のユーティリティは、本発明において認められる特徴を含んでいる: 第1のユーティリティは、次のようにファイルのセキュリティラベルを表示し 、利用者が制限を有してそれを修正することを可能にする手段を提供する: A.利用者要求時、ユーティリティは選択されたファイルのセキュリティラベ ルを表示する; B.ユーティリティはまた利用者のためにセキュリティソフトウェアによって 与えられたセキュリティレベルおよびチケットと利用者によってファイルに与え られたセキュリティレベルおよびチケットとを識別する手段を提供する; C.ユーティリティは利用者の調整可能な制限に基づいてあるセキュリティラ ベル変化を妨げる。 利用者要求時、第2のユーティリティは選択されたアプリ ケーションインスタンスのセキュリティラベルを表示する手段を提供する。 第3のユーティリティは、利用者セッション中それを常に可視的にすることに よってスクリーンのセキュリティラベルを表示する手段を提供する。したがって 、スクリーン上に現れたドキュメントの種々の分類レベルを利用者にしばしば思 い出させる。 第4のユーティリティは、スクリーンの一部分を選択して、それの“写真”を 撮り、利用者による後の操作のためにクリップボードバッファ中にその結果を入 力する手段を利用者に提供する。 第5のユーティリティは、利用者アクセス表、セキュリティレベルおよび“チ ケット”、開始スクリーンセキュリティラベル、並びに開始アプリケーションセ キュリティラベルを定める手段をオペレータに提供する。 上記に示された本発明は、もちろん本発明の技術的範囲内の多数の変化、修正 および変更を容易に実施される。このような変化、修正および変更は全て本発明 および添付された請求の範囲の技術的範囲内であることが理解されるべきである 。同様に、出願人は、本発明の技術的範囲を逸脱することなく説明のためにここ に記載された本発明の好ましい実施例の全ての変更、修正および変化をカバーお よびクレームすることを意図していることが理解されるであろう。

Claims (1)

  1. 【特許請求の範囲】 1.特有の利用者識別シンボルにより識別される1以上の利用者間において入出 力要求をインターフェイスし、そこにデータを含む1以上のデータ対象物を有す るコンピュータシステムにおいて、発生レベルを生成し、値ベースのセキュリテ ィ保護を行い、コンピュータシステム中の選択されたデータ対象物に関して予め 選択されているが可変的な入出力動作への各利用者アクセスに制限を与える方法 において、 利用者セキュリティアクセスレベルおよびデータ対象物に関して許可された入 出力動作を定めるセキュリティプロフィールを表したデータ対象物セキュリティ アクセスラベルを設定し、セキュリティ保護のために選択された各データ対象物 と関連させ、 コンピュータシステムにおけるデータ対象物への入出力アクセスを有するよう に選択された各利用者に対して、特有の利用者識別シンボルによってその利用者 を識別する第1のエントリィと、それと関連した利用者セキュリティプロフィー ルを表す第2のエントリィとを有する利用者セキュリティアクセス表を設定し、 前記第2のエントリィが関連した利用者のセキュリティアクセスレベルを定め、 セッションセキュリティレベル“フラグ”を前記セキュリティアクセスレベル の1つを表す予め選択されたデホールト状態に設定し、 利用者からコンピュータシステムへの各入出力要求を分析し、(1)入出力要 求を行っている利用者の特有の利用者識 別シンボルと、(2)入出力要求の対象物であるデータ対象物と、(3)要求さ れた入出力動作とをそれから抽出し、 利用者セキュリティアクセス表の第1のエントリィと特有の利用者識別シンボ ルとを比較し、整合が発見された場合には、コンピュータシステムにおいて利用 者セキュリティアクセス“フラグ”を“許可”状態に設定し、また利用者セキュ リティレベル“フラグ”を利用者識別シンボルと関連した利用者セキュリティア クセス表の第2のエントリィによって定められたセキュリティアクセスレベルに 設定し、そうでない場合には、各“フラグ”を“拒否”状態に設定し、 入出力要求の対象物であるデータ対象物と関連したデータ対象物セキュリティ アクセスラベルと要求されている要求された入出力動作を比較し、整合が発見さ れた場合には、コンピュータシステムにおいてデータ対象物セキュリティアクセ ス“フラグ”を“許可”状態に設定し、そうでない場合には、“拒否”状態に設 定し、 入出力要求の対象物であるデータ対象物に対してセキュリティプロフィールに おいて定められた利用者セキュリティアクセスレベルに対してセッションセキュ リティレベル“フラグ”を比較し、セッションセキュリティレベル“フラグ”を 予め定められた“高い”セキュリティレベルに設定し、 前記利用者セキュリティアクセス“フラグ”および前記データ対象物セキュリ ティアクセス“フラグ”の両者が前記“許可”状態である時には常に、処理する ためにコンピュータシステムに入出力要求を戻すステップを自動的に実行する ようにコンピュータを動作する方法。 2.さらに、前記利用者セキュリティアクセスフラグ、前記利用者セキュリティ レベルフラグまたは前記データ対象物セキュリティアクセスフラグが前記“拒否 ”状態である時には常に、コンピュータシステムにおいてセキュリティ妨害記録 に対して特有の利用者識別シンボルを書込み、コンピュータシステムによる分析 された入出力要求の実行をキャンセルするステップを含んでいる請求項1記載の 方法。 3.さらに、前記利用者セキュリティアクセスフラグ、前記利用者セキュリティ レベルフラグまたは前記データ対象物セキュリティアクセスフラグが前記“拒否 ”状態である時には常に、コンピュータシステム利用者に予め選択されたメッセ ージを戻して、コンピュータシステムによる分析された入出力要求の実行をキャ ンセルするステップを含んでいる請求項1記載の方法。 4.さらに、前記利用者セキュリティアクセスフラグ、前記利用者セキュリティ レベルフラグおよび前記データ対象物セキュリティアクセスフラグがそれぞれ“ 許可”状態である時は常に、コンピュータシステム利用者がデータ対象物セキュ リティラベルにアクセスし、修正することを可能にするステップを含んでいる請 求項1記載の方法。 5.さらに、前記データ対象物セキュリティアクセスラベル、前記利用者セキュ リティアクセス表および前記セッションセキュリティレベルフラグを、コンピュ ータシステム利用者の記録がコンピュータシステムから消えるまで保持するステ ッ プを含んでいる請求項1記載の方法。 6.特有の利用者識別シンボルにより識別される1以上の利用者間において入出 力要求をインターフェイスし、そこにデータを含む1以上のデータ対象物を有す るコンピュータシステムにおいて、発生レベルを生成し、値ベースのセキュリテ ィ保護を行い、コンピュータシステム中の選択されたデータ対象物に関して予め 選択されているが可変的な入出力動作への各利用者アクセスに制限を与える方法 において、 利用者セキュリティアクセスレベルおよびデータ対象物に関して許可された入 出力動作を定めるセキュリティプロフィールを表したデータ対象物セキュリティ アクセスラベルを設定し、セキュリティ保護のために選択された各データ対象物 と関連させ、 コンピュータシステムにおけるデータ対象物への入出力アクセスを有するよう に選択された各利用者に対して、特有の利用者識別シンボルによってその利用者 を識別する第1のエントリィと、それと関連した利用者セキュリティプロフィー ルを表す第2のエントリィとを有する利用者セキュリティアクセス表を設定し、 前記第2のエントリィが関連した利用者のセキュリティアクセスレベルを定め、 セッションセキュリティレベル“フラグ”を前記セキュリティアクセスレベル の1つを表す予め選択されたデフォールト状態に設定し、 利用者からコンピュータシステムへの各入出力要求を分析し、(1)入出力要 求を行っている利用者の特有の利用者識 別シンボルと、(2)入出力要求の対象物であるデータ対象物と、(3)要求さ れた入出力動作とをそれから抽出し、 利用者セキュリティアクセス表の第1のエントリィと特有の利用者識別シンボ ルとを比較し、整合が発見された場合には、コンピュータシステムにおいて利用 者セキュリティアクセス“フラグ”を“許可”状態に設定し、また利用者セキュ リティレベル“フラグ”を利用者識別シンボルと関連した利用者セキュリティア クセス表の第2のエントリィによって定められたセキュリティアクセスレベルに 設定し、そうでない場合には、各“フラグ”を“拒否”状態に設定し、 入出力要求の対象物であるデータ対象物と関連したデータ対象物セキュリティ アクセスラベルと要求されている要求された入出力動作を比較し、整合が発見さ れた場合には、コンピュータシステムにおいてデータ対象物セキュリティアクセ ス“フラグ”を“許可”状態に設定し、そうでない場合には、“拒否”状態に設 定し、 入出力要求の対象物であるデータ対象物に対してセキュリティプロフィールに おいて定められた利用者セキュリティアクセスレベルに対してセッションセキュ リティレベル“フラグ”を比較し、セッションセキュリティレベル“フラグ”を 予め定められた“高い”セキュリティレベルに設定し、 前記利用者セキュリティアクセス“フラグ”および前記データ対象物セキュリ ティアクセス“フラグ”の両者が前記“許可”状態である時には常に、処理する ためにコンピュータシステムに入出力要求を戻し、 前記利用者セキュリティアクセスフラグ、前記利用者セキュリティレベルフラ グまたは前記データ対象物セキュリティアクセスフラグが前記“拒否”状態であ る時には常に、コンピュータシステムにおいてセキュリティ妨害記録に対して特 有の利用者識別シンボルを書込み、コンピュータシステムによる分析された入出 力要求の実行をキャンセルし、 前記利用者セキュリティアクセスフラグ、前記利用者セキュリティレベルフラ グまたは前記データ対象物セキュリティアクセスフラグが前記“拒否”状態であ る時には常に、コンピュータシステム利用者に予め選択されたメッセージを戻し て、コンピュータシステムによる分析された入出力要求の実行をキャンセルし、 前記利用者セキュリティアクセスフラグ、前記利用者セキュリティレベルフラ グおよび前記データ対象物セキュリティアクセスフラグがそれぞれ“許可”状態 である時は常に、コンピュータシステム利用者がデータ対象物セキュリティラベ ルにアクセスし、修正することを可能にし、 前記データ対象物セキュリティアクセスラベル、前記利用者セキュリティアク セス表および前記セッションセキュリティレベルフラグを、コンピュータシステ ム利用者の記録がコンビュータシステムから消えるまで保持するステップを自動 的に実行するようにコンピュータを動作する方法。
JP51446594A 1993-11-15 1994-10-28 コンピュータシステムにおける入出力動作のアクセスセキュリティを維持する方法およびシステム Expired - Lifetime JP2768834B2 (ja)

Applications Claiming Priority (3)

Application Number Priority Date Filing Date Title
US15280493A 1993-11-15 1993-11-15
US152,804 1993-11-15
US152804 1993-11-15

Publications (2)

Publication Number Publication Date
JPH08504287A true JPH08504287A (ja) 1996-05-07
JP2768834B2 JP2768834B2 (ja) 1998-06-25

Family

ID=22544522

Family Applications (1)

Application Number Title Priority Date Filing Date
JP51446594A Expired - Lifetime JP2768834B2 (ja) 1993-11-15 1994-10-28 コンピュータシステムにおける入出力動作のアクセスセキュリティを維持する方法およびシステム

Country Status (6)

Country Link
EP (1) EP0679270A1 (ja)
JP (1) JP2768834B2 (ja)
AU (1) AU8096794A (ja)
CA (1) CA2149866C (ja)
NO (1) NO952789L (ja)
WO (1) WO1995014266A1 (ja)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002288030A (ja) * 2001-03-27 2002-10-04 Hitachi Software Eng Co Ltd データ持ち出し禁止用プログラム
JP2006514808A (ja) * 2003-06-10 2006-05-11 ハーマン インターナショナル インダストリーズ インコーポレイテッド ローカルインターフェースシステムを有する音声増幅器
JP5576563B2 (ja) * 2011-06-23 2014-08-20 インターナショナル・ビジネス・マシーンズ・コーポレーション 秘密情報を管理する情報処理装置、方法およびプログラム

Families Citing this family (11)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
SE506955C2 (sv) 1995-07-06 1998-03-09 Ericsson Telefon Ab L M ATM-flödesstyrning
SE506853C2 (sv) 1996-06-20 1998-02-16 Anonymity Prot In Sweden Ab Metod för databearbetning
US6292798B1 (en) 1998-09-09 2001-09-18 International Business Machines Corporation Method and system for controlling access to data resources and protecting computing system resources from unauthorized access
US6823338B1 (en) 1998-11-19 2004-11-23 International Business Machines Corporation Method, mechanism and computer program product for processing sparse hierarchical ACL data in a relational database
US7634455B1 (en) * 1999-09-23 2009-12-15 Agile Software Corporation Method and apparatus for providing controlled access to software objects and associated documents
GB2355323A (en) * 1999-10-05 2001-04-18 Authoriszor Ltd Information security profile and policy system
US7181490B1 (en) * 2001-02-14 2007-02-20 Cisco Technology, Inc. Method and apparatus for mapping network events to names of network devices
FR2826472B1 (fr) * 2001-06-22 2003-10-03 Gemplus Card Int Procede de verification des droits d'acces a des fichiers informatiques
GB2397665A (en) * 2003-01-27 2004-07-28 Hewlett Packard Co Operating system data management
GB2416618B (en) * 2004-07-23 2008-10-15 Landis & Gyr Ag Improvements in or relating to pre-payment facilities
US20060179321A1 (en) * 2005-02-07 2006-08-10 Nigel Dawson Method and system of applying user permissions to an application program environment

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4956769A (en) * 1988-05-16 1990-09-11 Sysmith, Inc. Occurence and value based security system for computer databases
US5048085A (en) * 1989-10-06 1991-09-10 International Business Machines Corporation Transaction system security method and apparatus

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JP2002288030A (ja) * 2001-03-27 2002-10-04 Hitachi Software Eng Co Ltd データ持ち出し禁止用プログラム
JP2006514808A (ja) * 2003-06-10 2006-05-11 ハーマン インターナショナル インダストリーズ インコーポレイテッド ローカルインターフェースシステムを有する音声増幅器
JP5576563B2 (ja) * 2011-06-23 2014-08-20 インターナショナル・ビジネス・マシーンズ・コーポレーション 秘密情報を管理する情報処理装置、方法およびプログラム

Also Published As

Publication number Publication date
EP0679270A1 (en) 1995-11-02
NO952789D0 (no) 1995-07-13
CA2149866C (en) 1999-04-27
WO1995014266A1 (en) 1995-05-26
JP2768834B2 (ja) 1998-06-25
NO952789L (no) 1995-09-11
AU8096794A (en) 1995-06-06
CA2149866A1 (en) 1995-05-26

Similar Documents

Publication Publication Date Title
US8458770B2 (en) Application context based access control
US9348984B2 (en) Method and system for protecting confidential information
US5859966A (en) Security system for computer systems
US8645866B2 (en) Dynamic icon overlay system and method of producing dynamic icon overlays
Ubale Swapnaja et al. Analysis of dac mac rbac access control based models for security
KR101751088B1 (ko) 자원 속성에 기초한 자원 액세스의 제어
JP4299249B2 (ja) 複製防止装置、複製防止方法およびその方法をコンピュータに実行させるプログラム
US20080104118A1 (en) Document classification toolbar
US20030145219A1 (en) Parameter verification in an authentication system and method
JPH08504287A (ja) コンピュータシステムにおける入出力動作のアクセスセキュリティを維持する方法およびシステム
EP1225509A2 (en) Method and system for deterministic ordering of software modules
JP4676782B2 (ja) 情報処理装置、操作許可データ生成方法、操作許可データ生成許否判定方法、操作許可データ生成プログラム、操作許否データ生成許否判定プログラム及び記録媒体
JP2004158007A (ja) コンピュータアクセス権限
JP4175578B1 (ja) 管理システムおよび管理プログラム
JP4168188B2 (ja) 管理システムおよび管理サーバならびに管理プログラム
JP4723930B2 (ja) 複合的アクセス認可方法及び装置
JP2005301602A (ja) 情報処理装置、操作許否判定方法、操作許可情報生成方法、操作許否判定プログラム、操作許可情報生成プログラム及び記録媒体
RU2134931C1 (ru) Способ обеспечения доступа к объектам в операционной системе мсвс
MXPA05009332A (es) Autorizacion de acceso integrado.
JP2002304231A (ja) コンピュータシステム
KR20030090568A (ko) 단말기 내의 자원 보호 시스템 및 방법
RU2583757C2 (ru) Система сессионного контроля доступа к создаваемым файлам
CN114139127A (zh) 一种计算机系统的权限管理方法
Karabut et al. Protection technology of data processed in distributed information systems
CA2746836C (en) Dynamic icon overlay system and method of producing dynamic icon overlays