JPH10154130A - 不正アクセス防止プロセッサ - Google Patents

不正アクセス防止プロセッサ

Info

Publication number
JPH10154130A
JPH10154130A JP9217317A JP21731797A JPH10154130A JP H10154130 A JPH10154130 A JP H10154130A JP 9217317 A JP9217317 A JP 9217317A JP 21731797 A JP21731797 A JP 21731797A JP H10154130 A JPH10154130 A JP H10154130A
Authority
JP
Japan
Prior art keywords
unauthorized access
access prevention
cryptographic
policy
prevention
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Withdrawn
Application number
JP9217317A
Other languages
English (en)
Inventor
Roger Merkling
ロジャー・マークリング
Helmut Fieres
ヘルムト・ファーズ
Keith Klemba
キース・クレンバ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
HP Inc
Original Assignee
Hewlett Packard Co
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hewlett Packard Co filed Critical Hewlett Packard Co
Publication of JPH10154130A publication Critical patent/JPH10154130A/ja
Withdrawn legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2211/00Indexing scheme relating to details of data-processing equipment not covered by groups G06F3/00 - G06F13/00
    • G06F2211/009Trust
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2113Multi-level security, e.g. mandatory access control

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • Software Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • Mathematical Physics (AREA)
  • Storage Device Security (AREA)

Abstract

(57)【要約】 【課題】不正アクセス防止処理、特に、国際暗号フレー
ムワークまたはその他の処理環境における不正アクセス
防止処理を保証する不正アクセス防止エレメントを備え
る装置を提供する。 【解決手段】本装置は、不正アクセス防止モジュールを
規定する1つまたは複数のパーティションを持ち当該シ
ステム内でタスクを実行するプロセス、上記不正アクセ
ス防止エレメントによって確立される不正アクセス防止
境界、不正アクセス防止実行区域を含む不正アクセス防
止処理ベースを備え、上記処理ベースは上記境界によっ
て上記プロセスから分離され、上記モジュールは上記実
行区域の範囲内で局所的に実行されるように」構成され
ることによって、上記モジュールの実行が上記防止エレ
メントによって制御され、不正アクセスが所望の通り防
止される。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、不正アクセス防止
処理、特に、国際暗号フレームワークまたはその他の処
理環境の範囲内における不正アクセス防止処理を保証す
る不正アクセス防止エレメントを提供する方法および装
置に関するものである。
【0002】
【従来の技術】大規模コンピュータ・システムの顧客
は、典型的には、全社規模のコンピュータによるソルー
ションを買い求める国際企業である。そのような企業が
特徴的に有する分散型組織は、データをその組織にわた
って伝送する公共の国際通信サービスの使用を必要とす
る。その当然の成り行きとして、そのような組織は通信
のセキュリティに関心を持ち、機密とデータの完全性を
確保するため最新のエンド・ユーザ間暗号機構の使用を
追求する。
【0003】通信における暗号の使用は、国家政策に支
配され、しかも、あいにく、通信の暗号の使用に関して
国家政策はそれぞれ異なる。各国家政策はそれぞれ独立
して開発され、一般的にいえば国際的観点からの配慮よ
りむしろ国家的観点に重点を置いて開発される。いくつ
かのグループが、国際的暗号に適する共通の暗号アルゴ
リズムの開発を追求している。しかしながら、国際暗号
規格の問題は、技術的な問題というよりはむしろその核
心に国家の統治権を持つ政治的な問題である。かくし
て、技術的な標準化プロセスによって異なる国家の暗号
政策を整合させることを期待するのは現実的でない。
【0004】暗号に対する国家的利害の問題は、世界的
市場に向けオープンな規格に基づく情報技術製品を製作
する会社にとって特別の関心事である。市場はこれらの
製品が安全保護されていることを期待する。しかし、こ
れら製品の多数のユーザがますます多国籍化するにつ
れ、かれらの世界的情報技術開発を阻む国際暗号問題の
解決に製造業者が一役を担うことが期待されている。国
家の暗号政策における未解決の相違および輸出制約の固
執が、安全でオープンなコンピュータ製品に関する国際
市場の成長に対しマイナスの影響を与えている。かくし
て、普遍的セキュリティ・エレメントを特徴として持ち
ながら、なお国家的暗号政策の独自の開発を許容するグ
ロ―バルな情報技術製品を提供する国際フレームワーク
を提供することができれば有益であろう。
【0005】国家は暗号を統制する政策を採択するいく
つかの理由を持つ。これらの理由は、しばしば、法律施
行と国家の安全問題に関連する。各国内で、政府と国民
の間でそのような政策の正しさと許容可能性に関して議
論がなされることがある。これらの議論に参加またはそ
の成果を予測することを試みるより,むしろ、通信にお
ける暗号を統制する独立の政策を確立する各国の主権を
受け入れる方がより現実的である。
【0006】国の暗号を統制する政策は、その国民と政
府の意志を表すだけではなく、暗号を実施する一定の科
学技術を受容する。技術選択は、標準化が役割を演ずる
ことができる唯一の分野である。しかし、前述の通り、
これは単なる技術的問題でなく、共通の暗号技術の選択
だけでは国家政策の相違を解決することができない。従
って、国家政策と整合する国際的暗号通信を可能にする
形態をとりながら、一方ではその国独自の技術および政
策を選択することができるような普遍的暗号フレーワー
クを提供することは有益である。
【0007】国際的暗号をサポートするフレームワーク
が、米国特許出願第08/401,588号によって開示されてい
る。このフレームワークは、国旗カード、暗号装置,ホ
スト・システムおよびネットワーク・セキュリティ・サ
ーバという4つの部分を含む。本明細書において、以
下、国旗カードはNational Flag Cardの頭文字をとって
NFC,暗号装置はCryptographic Unitの頭文字をとっ
てCU,ホスト・システムはHost Systemの頭文字をと
ってHS,ネットワーク・セキュリティ・サーバはNetw
ork Security Serverの頭文字をとってNSSとそれぞ
れ略称する場合がある。これらの4つのサービス・エレ
メントのうちの3つは、基本的に階層的な関連性を持
つ。NFCは、HSに組み入れられるCUに装着され
る。ホスト・システムHS上の暗号機能は、そのサービ
スのため国旗カードNFCの存在を必要とする暗号装置
CUなしでは実行することはできない。第4のサービス
・エレメントであるネットワーク・セキュリティ・サー
バNSSは、他の3つのサービス/エレメントの検証を
含む異なるセキュリティ・サービス範囲を提供すること
ができる。
【0008】フレームワークは、独立した国家セキュリ
ティ政策の設計、開発および運用を統一しながら、国家
政策のいずれかおよびすべての設計、実施および運用エ
レメントをサポートする。このように、フレームワーク
は国家のセキュリティ政策のサービス・エレメントに対
して標準形式を与える。この標準形式において、そのよ
うなサービス・エレメントは、ハードウェア形態要因、
通信プロトコルおよびオンライン/オフライン・データ
定義を含む。
【0009】フレームワークを実施する上で重要な点
は、種々のサービス・エレメントの作成を可能にする基
本技術の準備である。従来技術においてそのようなサー
ビス・エレメントは種々の形態で実施されているが、従
来技術を改善して、上記フレームワークの潜在能力を最
大限に引き出す必要性が存在する。
【0010】
【発明が解決しようとする課題】国際暗号フレームワー
クおよびその他の不正アクセス防止システムにおける重
要な問題の1つは、不正アクセス防止システムのあらゆ
るエレメントが不正アクセス防止特性を持たなければな
らないという構成上の問題である。なぜなら、不正アク
セス防止エレメントからのみ構成されるシステムは煩雑
で遅いという問題を持っているからである。従って、所
望の不正防止レベルが提供されることを保証するために
必要なだけの数の不正アクセス防止エレメントを提供す
ることが望まれる。
【0011】不正アクセス防止製品は、構成可能な安全
システムにいくつかの特性の配置を必要とする。そのよ
うな特性は、好ましくは、あらかじめ定義された標準に
従って提供される。例えば、フレームワークの不正アク
セス防止エレメントの相互の関係を決定することが必要
である。また、そのような関係を持つ場合の不正アクセ
ス防止エレメントのセキュリティ関連特性を定義するこ
とも必要である。更に、構成されたシステムのセキュリ
ティ関連特性について、システムの構成エレメントのセ
キュリティ関連特性から、どのような推論を引きだすこ
とことができるか、すなわち、不正アクセス防止エレメ
ントはシステムの他のエレメントから導出される知識に
よって無効にされることがあるかを判断することも必要
である。
【0012】このように、国際暗号フレームワークまた
はその他の処理システムの境界内に不正アクセス防止処
理機能を定義して実施することが必要とされる。
【0013】
【課題を解決するための手段】国際暗号フレームワーク
によって、 製造業者が暗号能力の分散を統制する可変
的国家法令に準拠することが可能となる。そのようなフ
レームワークによって、特に、(プリンタやパームトッ
プ型パーソナル・コンピュータなど)すべてのタイプの
情報処理機器における世界的規模の暗号機能を製造業者
が出荷することが可能となる。フレームワークの範囲内
で、暗号装置は、(例えばDES、RSA、ND5など
の)いくつかの暗号方法を含む。
【0014】本発明は、例えば国際暗号フレームワーク
またはその他の不正アクセス防止処理アプリケーション
における不正アクセス防止処理エレメントを提供する。
本明細書において使用する用語"不正アクセス防止エレ
メント(trusted element)"は、ISO/IEC 10081-1に従っ
て定義される。該ISO規格において、 エレメントy
がセキュリティ政策を破ることがないように行動すると
いう明確な確信をエレメントxが持つ場合に限って、そ
のセキュリティ政策の範囲内の一定のクラスの活動に関
して、エレメントxはエレメントyを信頼すると定義さ
れている。
【0015】本発明は、限定的数の不正アクセス防止実
行ストリームを持つアプリケーションによってアクセス
される不正アクセス防止処理ベースを備えることによっ
て上述の構成問題を解決する方法および装置を提供す
る。そのような実行ストリームは、不正アクセス防止ス
トリームとして容易に制御/定義することができる。本
発明のアーキテクチャはは、不正アクセス防止とみなさ
れる分野と実行される分野の間の単純な関係を定義す
る。
【0016】不正アクセス防止処理エレメントは、以下
を含む種々の原則に従って実施される。 *分離−いかなるレベルの実行においても、不正アクセ
スが防止されなければならない機能性の量を最小にする
ため、従って、達成可能な不正アクセス防止のレベルを
増加させるため、セキュリティ機能性をその他の機能性
から明確に分離することが必要である。 従って、極端
な場合、命令はただ1回実行される。実際には、システ
ムまたはカーネルの実施は、アトミック実行エレメント
を単一タスクまたはスレッドとして扱い、プロセス間通
信メカニズムをプロテクトする。不正アクセスが防止さ
れた区域または分野での実行のため、コンパートメント
(すなわち区画)の秘密性を保証することが必要である。
コンパートメントは、実行可能コードまたはコードとデ
ータの組合せを表す。かくして、分離の原則は、不正ア
クセス防止実行を実施する最初のステップを提供する。
このステップでは、システムがコンパートメント領域を
持たなければならず、不正アクセス防止処理ベースに実
行可能なコードを渡すため実行ストリームが使用され
る。この原理はシステムにおける機密性をもたらすが、
分離原則だけでは完全性を充足するには不十分である。 *局所性−情報処理を許容されるシステムのいかなる部
分も その情報を改造することができる。従って、情報
の完全性の保持は、情報を取り扱うシステムの構成部分
の不正アクセス防止レベルに依存する。データまたは命
令が局所的に実行されるならば、不正アクセス防止エレ
メントだけが不正アクセス防止境界の範囲内での情報の
制御を持つ、すなわち、その外部では制御を持たない。
一旦情報がコンパートメントの外側におかれれば、不正
アクセス防止のない実行に参画することは自由であるの
で、定義によって、不正アクセス防止境界によって確立
されたパーティションの外側には不正アクセス防止は存
在しない。 かくして、本発明は局所性の原則を実施す
る。すなわち、パーティション中のプロセスまたはタス
クに関連する実行は、不正アクセス防止処理ベース内に
おいてのみ動作する。
【0017】第1の原則の適用として、政策カードによ
って制御される暗号装置の不正アクセス防止処理能力
は、 重要なアプリケーションによって慎重に取り扱わ
れるべき機密情報が変換される不正アクセス防止実行分
野になる。そのような情報は、保護メカニズムすなわち
エンベロープを使用して、 不正アクセス防止実行分野
を残すか、あるいは暗号装置による局所的実行の前にユ
ーザ・レベル・タスクを結合する。
【0018】(例えば暗号装置に適用される)不正アクセ
ス防止処理エレメントの範囲内で、メインCPUは、政
策によって制御される不正アクセス防止パーティション
を処理することに参画する。不正アクセス防止処理エレ
メントの基本的な特性には、 *カプセル化された単一タスク、 *密に結合された再構成可能カーネル・コンポーネン
ト、および *特権事項の不許可使用を防止するため安全弁における
適合政策の実行が含まれる。
【0019】このように、システム/アプリケーション
が不正アクセスが防止された形態において処理を続行す
ることができるように、本発明が提供する不正アクセス
防止プロセッサは、不正アクセス防止モジュールを規定
する1つまたは複数のパーティションを持ち1つのシス
テム内で1つのタスクを実行するプロセス、1つの不正
アクセス防止エレメントによって確立される不正アクセ
ス防止境界、および不正アクセス防止実行区域を含む不
正アクセス防止処理ベースを備え、上記不正アクセス防
止処理ベースが上記プロセスから分離され、上記不正ア
クセス防止モジュールが上記不正アクセス防止実行区域
の範囲内で局所的に実行されるように構成される。
【0020】
【発明の実施の形態】国家の暗号政策は、産業セグメン
ト、政治風土、メッセージ機能によって変ることが多
い。このことによって、すべての産業にわたって常に1
つの統一的政策を実施することが困難とされる。従っ
て、国旗カード(NFC)を取り入れる暗号フレームワー
クの柔軟性は非常に魅力的である。従って、本発明は、
国際的暗号を取り囲む諸問題を解決することを目指
す。本発明の好ましい実施形態において、例えば、暗号
に関するいかなる国家政策の設計および開発をもサポー
トするために使用される可能性のあるフレームワーク暗
号装置との関連において不正アクセス防止処理エレメン
トが提供される。従って、本発明は、暗号の使用および
暗号によって保護されるシステムの使用の両方が不正ア
クセスを防止するような形態で制御されるように不正ア
クセス防止境界を確立する。本発明を国際暗号フレーム
ワークに関連して記述するが、不正アクセス防止処理エ
レメントが必要とされるいかなるシステム環境にも本発
明を適応できる点は理解されるべきであろう。
【0021】本発明の好ましい実施形態が実施される暗
号装置は、それぞれ異なるタイプのサービスを提供する
4つのサービス・エレメントを持つ国際暗号フレームワ
ーク内に存在する。図1は、国旗カード(以下NFCと
略称することがある)12、暗号装置(以下CUと略称す
ることがある)14、ホスト・システム(以下HSと略称
することがある)16およびネットワーク・セキュリテ
ィ・サーバ(以下NSSと略称することがある)18を含
む国際暗号フレームワーク(以下ICFと略称すること
がある)10のブロック図である。4つのサービス・エ
レメントのうちの3つは基本的に階層的関係を持つ。国
旗カード(NFC)は、暗号装置(CU)に組み込まれ、こ
の暗号装置はホスト・システム(HS)に組み入れられ
る。ホスト・システムHS上の暗号機能は、そのサービ
スのため国旗カードNFCの存在を必要とする暗号装置
CUなしでは実行することはできない。国旗カードは、
国家暗号政策を発揮する原則を提供するので、本明細書
において、国旗カードを国家政策または国家政策機能と
呼ぶことにする。従って、以下の記述において、NFC
は国家政策の同義語として使用される。
【0022】第4のサービス・エレメントであるネット
ワーク・セキュリティ・サーバ(NSS)は、他の3つの
サービス・エレメントの検証を含む異なるセキュリティ
・サービスの範囲を提供するので、信頼のおける第三者
の役割を果たす。本発明によって提供されるフレームワ
ークを使用して暗号化されたメッセージは、そのメッセ
ージが暗号化された国家暗号政策を識別する電子的スタ
ンプを搬送する。ネットワーク・セキュリティ・サーバ
は、また、メッセージ処理システムに対してスタンプ検
証サービスを提供する。
【0023】国際暗号フレームワークICFによって、
暗号機能の分散を統制する可変的国家法令に製造業者が
準拠することが可能になる。特に、このフレームワーク
は、(例えばプリンタやパームトップPCなど)すべての
タイプの情報処理機器における世界的規模の暗号機能を
製造業者が出荷することを可能にする。
【0024】フレームワークまたは他の処理システムの
境界内に不正アクセス防止処理機能を定義して実施する
ことには利点がある。そのような機能は、種々の仮定に
基づかなければならない。従って、構造に対して必要な
ガイダンスを提供するセキュリティ・モデルを記述する
ためには、フレームワーク・アーキテクチャの性質に関
してなされる仮定をリストすることが先ず必要である。
これらの仮定は、不正アクセス防止モデルの性質を方向
づける。
【0025】構成:フレームワークは、図2のようにセ
キュリティ領域権威者(以下SDAと呼称する)71およ
びアプリケーション領域権威者(以下ADAと呼称する)
73を含む不正アクセス防止ウェブで相互に接続された
4つのサービス・エレメントから構成される。この4つ
のサービス・エレメントの詳細は、国際暗号フレームワ
ークに関する米国特許出願第08/401,588号に記載されて
いる。このフレームワークは、領域境界79によって互
いに隔てられたアプリケーション領域75およびセキュ
リティ領域77の間に設定される不正アクセス防止関係
機構内に構築される。
【0026】政策(以下NFCと呼ぶこともある)サポー
トおよび暗号サービス・クラス(以下COSと呼ぶこと
もある)という2つの異なる不正アクセス防止エレメン
トが、不正アクセス防止ウェブにおける活動的関係を具
体化させる。政策サポートは、アプリケーション領域す
なわち暗号装置において開発されるセキュリティ領域、
政策手段(NFC)および不正アクセス防止エレメントか
ら成る構成エレメントである。
【0027】共存:フレームワークは、相互接続する物
理的機械/装置の確立したネットワークと共存し、既存
のネットワークの暗号次元をアクセス可能とさせる。各
機械(ホスト・システム)には、暗号サービスに対するア
クセスを必要とする多数の不正アクセス防止および非不
正アクセス防止アプリケーションが含まれる。アプリケ
ーションにとって暗号サービスは制御された政策の下で
利用できるようにされる。政策はSDAによって決定さ
れる。
【0028】存在状態:2つの不正アクセス防止エレメ
ントすなわち暗号装置および政策カードが一旦相互に認
証され不正防止関係が設定されれば、組み合わされた政
策サポートがホスト・システムに暗号メカニズムの存在
状態を生成する。
【0029】構成要素の役割:SDAは、領域の規制政
策を具体化する政策サポートを生成する。SDAは、自
ら政策を生成するかあるいは国家セキュリティ・サーバ
のようなその領域の公認機関にその権限を委譲すること
ができる。 権限委譲は無限の委譲連鎖ではなく、むし
ろ限定的機関リストを使用した限定的連鎖である。政策
サポート・エレメントの生成は、暗号メカニズムの使用
可能化を必要とするアプリケーション・ユーザからの要
請に応答して行われる。
【0030】SDAはまたCOSを作成したり無効にし
たりし、認証構造手段を介してSDAの制御下にあるA
DAがCOSを利用できるようにする。暗号装置は、ア
プリケーション領域の不正アクセス防止を付与された機
関によって製造される。不正アクセス防止が付与された
機密情報の作成者は、ADAからSDAという2つの領
域間にもう1つ別の安全保護通信チャネルを確立する。
管理活動76、78が、領域および領域間関係の機関に
統合機能を提供することによって不正アクセス防止ウェ
ブを補足する。
【0031】図3は、本発明に従って不正アクセス防止
エレメントを組み入れることのできる図1の国際暗号フ
レームワークの種々のエレメントを示している。そのよ
うなエレメントには、例えばDB通信実行時ライブラリ
21、CU(暗号装置)ドライバ22およびNFCドライ
バ23のような典型的プロセスが含まれる。
【0032】本発明は、例えば国際暗号フレームワーク
または他の不正アクセス防止処理アプリケーションにお
ける不正アクセス防止処理エレメントを提供する。本明
細書における不正アクセス防止エレメントは、ISO/IEC
10081-1に従って定義される。該ISO規格において、
エレメントyがセキュリティ政策を破ることがないよう
に行動するという明確な確信をエレメントxが持つ場合
に限って、そのセキュリティ政策の範囲内の一定のクラ
スの活動に関して、エレメントxはエレメントyを信頼
すると定義されている。例えば、図3の構成において、
NFCドライバ23は、CUがNFC12によって指示
される政策に従って行動する場合に限り、CU14を信
頼する。
【0033】不正アクセス防止処理エレメントは、以下
のような種々の原則に従って実施される。 *分離−いかなるレベルの実行においても、不正アクセ
スが防止されなければならない機能性の量を最小にする
ため、従って、達成可能な不正アクセス防止のレベルを
増加させるため、セキュリティ機能性をその他の機能性
から明確に分離することが必要である。 従って、極端
な場合、命令はただ1回実行される。実際には、システ
ムまたはカーネルの実施は、アトミック実行エレメント
を単一タスクまたはスレッドとして扱い、プロセス間通
信メカニズムをプロテクトする。不正アクセスが防止さ
れた区域または分野での実行のため、コンパートメント
(すなわち区画)の秘密性を保証することが必要である。
コンパートメントは、実行可能コードまたはコードとデ
ータの組合せを表す。かくして、分離の原則は、不正ア
クセス防止実行を実施する最初のステップを提供する。
このステップでは、システムがコンパートメント領域を
持たなければならず、不正アクセス防止処理ベースに実
行可能なコードを渡すため実行ストリームが使用され
る。この原理はシステムにおける機密性をもたらすが、
分離原則だけでは完全性を充足するには不十分である。 *局所性−情報処理を許容されるシステムのいかなる部
分も その情報を改造することができる。従って、情報
の完全性の保持は、情報を取り扱うシステムの構成部分
の不正アクセス防止レベルに依存する。第1の原則の適
用として、政策カードによって制御される暗号装置の不
正アクセス防止処理能力は、 重要なアプリケーション
によって慎重に取り扱われるべき情報が変換される不正
アクセス防止実行分野になる。そのような情報は、保護
メカニズムすなわちエンベロープを使用して、不正アク
セス防止実行分野を残すか、あるいは暗号装置による局
所的実行の前にユーザ・レベル・タスクを結合する。
【0034】(例えば暗号装置に適用される)不正アクセ
ス防止処理エレメントの範囲内で、メインCPUは、政
策によって制御される不正アクセス防止パーティション
を処理することに参画する。不正アクセス防止処理エレ
メントの基本的な特性には、 *カプセル化された単一タスク、 *密に結合された再構成可能カーネル・コンポーネン
ト、および *特権事項の不許可使用を防止するため安全弁における
適合政策の実行が含まれる。このように、システム/ア
プリケーションが不正アクセスが防止された形態におい
て処理を続行することができるように不正アクセス防止
エレメントが不正アクセス防止プロセッサを提供する。
【0035】暗号装置が機能するためには物理的または
論理的いずれの形式であろうと政策カードが存在しなけ
れならないということは、国際暗号フレームワークの基
本的要件である。国際暗号フレームワークは、暗号機能
の分配を統制する種々の国家法令に製造業者が準拠でき
るように設計されたものである。
【0036】基本的アーキテキチャ上の仮定 *暗号装置による実行のため準備されたコードは、別の
いかなる場所でも実行されることができない。 *暗号装置による実行のため準備されたコードは修正さ
れることができない。 *暗号装置による実行のため準備されたコードは、明確
に見ることはできない。 *暗号装置におけるコードの実行は先取りすることがで
きない。 *暗号装置によって取り扱われるデータは局所的に実行
される。 *政策カード手段が不正アクセス防止処理を統制し、政
策の物理的/論理的取り出しは不正アクセス防止処理を
崩壊させる。
【0037】構成上の問題 構成問題は、システムにおける不正アクセス防止エレメ
ント相互の間の関係に関するものであり、構成されるシ
ステムのセキュリティ関連特性の関係および推論が構成
エレメントのセキュリティ関連特性から引き出される場
合の構成エレメントのセキュリティ関連特性を含む。構
成可能であるためには、特に標準化された特性が不正ア
クセス防止エレメントの実施を単純なタスクにさせる場
合に、不正アクセス防止エレメントは安全保護システム
内に配置されなければならない。
【0038】図4は、本発明に従ってオペレーティング
・システムと不正アクセス防止処理ベースの間に確立さ
れる不正アクセス防止境界を示している。図4におい
て、不正アクセス防止境界30が、オペレーティング・
システム34を不正アクセス防止処理ベース32から切
り離している。この例では、不正アクセス防止処理ベー
スは、上述の国際暗号フレームワークに従う政策によっ
て統制される暗号装置14を含む。暗号装置は、暗号機
能を実行する暗号実行区域38を含む。
【0039】暗号装置は、また、不正アクセス防止処理
の実行に責任を持つ不正アクセス防止実行区域37を含
む。上述の通り、不正アクセス防止実行は、特定の基本
的アーキテクチャ上の仮定に従って行われる。例えば、
暗号装置は、政策カードのような不正アクセス防止エレ
メントによって制御される。不正アクセス防止実行区域
は、典型的には、ホストまたは外部の装置トークンに属
するアプリケーション・モジュールの複製か、あるいは
不正アクセス防止処理ベースにおいて実行されるシステ
ム・プロセスである。唯一の相違は、政策への密着のた
めデータおよび命令へのアクセスが制御される点であ
る。本発明の不正アクセス防止処理は単純なプロセスで
あるので、プロセスまたはCPUに対する単一の割り当
てを持つ非割込み可能タスクである。従って、文脈の変
更または切り替えという特定の機能が(政策モニタのよ
うな)不正アクセス防止エレメントの制御の下にあるの
で、実行中のプロセスを置き換えることはできない。
【0040】オペレーティング・システムは、典型的に
は、各々が1つまたは複数のプロセスまたはタスク41
を含む種々のアプリケーション39、40を実行する。
各アプリケーションは、典型的には、種々のパーティシ
ョン42を含む。パーティション42の各々は、エンベ
ロープ43、44、45のようなプロテクトされたメカ
ニズムを使用して、不正アクセス防止実行区域を離れ、
例えば、暗号装置による局所的実行の前に遠隔プロセス
46を使用するかまたはユーザレベル・タスク41に加
わる。
【0041】エンベロープは、種々の既知の規格のいず
れかを使用する(暗号化された/署名された)データ集合
である。例えば、本発明の1つの実施形態において、エ
ンベロープは、暗号化ハンドルに属するX/OPEN定
義の一般的暗号サービス(GCS)暗号化データ構造を使
用し、例えば、アプリケーション認証書が安全保護関連
初期化(create_CC)の間に設定される。特定のハンドル
は、不正アクセス防止環境において使用されない場合安
全な輸出/輸入/記憶を保証するためアプリケーション
・プライベート・キーを用いて暗号化されるセッション
・キーである。
【0042】暗号装置は、ソフトウェア、仮想記憶およ
びCPUのような構成要素を含むこともある。従って、
暗号装置がアプリケーション・プログラムをメモリに記
憶して、不正アクセス防止実行のため不正アクセス防止
処理ベースまでそれらプログラムを呼び出すことが可能
である。そのようなアプリケーションは種々の不正アク
セス防止モジュールを含み、それらモジュールの各々は
典型的にはそれに割り当てられた署名を持つ。このよう
に、モジュールはいずれにしてもタスクに連結している
が、特にそれに割り当てられた署名を持っているので、
不正アクセス防止および完全性という観点からユニーク
で検証可能なものとされる。対照的に、分岐メカニズム
は、次の命令の検証および完全性のない標準制御構造ま
たは制御機能そのものにすぎない。本発明が提供する不
正アクセス防止エレメントは、例えばカーネルの中核構
成要素のいくつかをその行動が非常に特定的なものとな
るようにさせる。従来技術においてはカーネルは適応性
がなくまた再構成ができない。このように、本発明が提
供する不正アクセス防止エレメントは、政策の指示に従
った特定の形態で動作するようにアプリケーションまた
はオペレーティング・システムを事前調整する。
【0043】本発明に従えば、不正アクセス防止境界の
片側の不正アクセス防止処理ベース内に不正アクセス防
止機能が常に存在する。米国特許出願第08/401,588号に
教示されているように、政策カードによって安全保護さ
れている区域に入るかあるいはそれを修正することは可
能でない。本発明においては、不正アクセス防止エレメ
ントを使用してアプリケーションの範囲内でのタスクま
たはプロセスの実行を制御することができるようにする
ため、政策/暗号装置メタファーを使用して1つのプロ
セスの範囲内に不正アクセス防止境界を確立する。アプ
リケーションから不正アクセス防止処理ベースへの呼び
出しを停止するいかなる試みも、不正アクセス防止処理
ベースによって検出され、それによって不正アクセス防
止エレメントによって与えられるいかなる機能性も使用
禁止にされる(より正確にいえば削除される)。
【0044】かくして、MacOS, WindowsまたはLotus No
tesのようなオペレーティング・システム34は、不正
アクセス防止境界を越えて不正アクセス防止実行区域3
7において使用されるコード部分を含むこともできる。
そのようなコードは、例えば、このシステムへのアクセ
スの代金をユーザに請求するための勘定コードである。
そのようなアプリケーションにおいてはその部分のコー
ドが実行されることが極めて重要である。
【0045】国際暗号フレームワークに関連して上述し
た政策カードのような不正アクセス防止エレメントはシ
ステムにおいて絶対に必要なものである。政策カードが
削除されてもアプリケーションはなお実行できるが、不
正アクセス防止エンジンによって提供される特性を使用
することはできない。上述の経費請求の例では、アクセ
スが許可されず、経費請求機能ははたらかない。
【0046】図4に示される暗号実行区域38に関連し
て暗号が使用されるシステムにおいて、アプリケーショ
ンは、政策すなわち不正アクセス防止エレメントがない
場合暗号を使用することは許可されないであろう。この
ように、アプリケーションは実行することができるが、
暗号を使用することはできない。この例では、暗号に関
するその国の法律にとらわれず自由に暗号装置を輸出す
ることができるが、政策カードが導入される時にのみす
なわち不正アクセス防止エレメントが存在する時に限
り、その国の法律に従って暗号にアクセスすることがで
きる。
【0047】図5に示されている区画に分けられた実行
は、本発明に従った分離原則を例示している。上述の通
り、いかなるレベルの実行においても、セキュリティ機
能性を他の機能性から明確に分離することによって、不
正アクセス防止が付与される機能性の数を減少させ、従
って達成できる不正アクセス防止レベルを向上させるこ
とができる。 図5において、不正アクセス防止処理ベ
ース32は複数のパーティション44、46、48、4
9を持ち、各パーティションは、プロセスまたはタスク
の実行の間不正アクセス防止エレメントを有効にさせる
ため不正アクセス防止処理ベースにアクセスしなければ
ならないプロセスまたはタスクを定義する。不正アクセ
ス防止境界を越えた確認を各々が必要とする複数のパー
ティションに実行を区分することによって、不正アクセ
ス防止を有効にするパーティションを除いて、アプリケ
ーションの実行が不正アクセス防止境界の外側で進行す
るように、不正アクセス防止機能がプロセスまたはタス
クの実行から切り離される。
【0048】図6は、慎重な取り扱いを要する機密情報
の局所的実行を示し、本発明に従う局所性原則を例示し
ている。上述の通り、情報の処理を許可されているシス
テムのいかなる部分もその情報を破壊することができ
る。従って、不正アクセス防止処理ベースは安全保護さ
れなければならない。従って、情報の完全性の保持は、
情報を取り扱うシステムの構成要素の不正アクセス防止
レベルに依存する。定義によって、政策カードで制御さ
れる暗号装置の不正アクセス防止処理能力は、不正アク
セス防止実行区域すなわち不正アクセス防止処理ベース
32となり、そこでは重要アプリケーション59、6
0、61、62が機密情報を変換させている。このよう
に、不正アクセス防止機能が不正アクセス防止実行区域
においてのみ実行されることを局所性は要求する。
【0049】不正アクセス防止プロセッサによって、政
策手段が種々のシステム・ユーザに異なるレベルの特権
を与えることが可能にされる。このように、特定のシス
テムは、特定の政策に基づいて異なるレベルの特権を持
つユーザ・アクセスに応答する。すなわち、不正アクセ
ス防止レベルは政策手段によって決定される。監督者は
事務員より大きい特権を持ち、会社の所有者は監督者よ
り大きい特権を持つかもしれない。本発明が提供する不
正アクセス防止エレメントは、例えば政策に基づいた経
費請求機能のセキュリティを決定する。すなわち、より
高位の権威はより少ないセキュリティを、あるいはその
逆を、必要とする。
【0050】本発明の重要な点は、例えば輸出規制なし
に暗号装置を国際的に出荷することができることがいく
つかの実施形態においては望ましいので、不正アクセス
防止エレメントを物理的に切り離したことである。暗号
装置が国境を通過する際、それは実際には暗号装置では
ない。なぜならユーザが政策カードを挿入するまでそれ
を暗号装置として動作させる方法がないからである。こ
のように、暗号装置は、国境を通過するとき暗号機能を
含んでいないので、国境を越えて容易に出荷することが
できる。
【0051】本発明は分離した不正アクセス防止エレメ
ントが必要とされるような他のシステムにおいても利点
があるように上記のような構成を開拓している点に留意
されるべきであり、また、本実施形態の例である国際暗
号フレームワークおよびその構成要素は単に例示の目的
でのみ提示されていることも注意されべき点である。例
えば、本発明の1つの実施形態は、暗号政策と特権/識
別データを結合する。不正アクセス防止エレメントすな
わち政策カードが、不正アクセス防止実行区域にアクセ
スする能力を持つ暗号装置または他のエンジンに加えら
れる時、暗号装置の範囲内の暗号機能は政策機能に従っ
て活動的にされ、ユーザ/特権がシステムにとって識別
される。政策が削除され次第、ユーザがシステムから排
除させられるだけでなく暗号機能も削除される。他の誰
かがシステムにアクセスしてそれを使用しようとして
も、暗号機能がはたらかないのでなにも有効な働きをし
ない。
【0052】このように、本発明は国家政府のような機
関にとって役立つ。例えば、政府職員は、他の者が使用
を許可されないような特定の方法を使用することを許可
されることがある。結果として、特権を持つユーザが去
る時その方法を暗号装置の中に使用可能なままに放置す
ることは望ましくない。次のユーザが政府職員でなけれ
ば、その方法はシステムに存在すべきでない。どのよう
に承認情報を偽造すべきかはよく知られている。本発明
を実施する時、機密扱いされている方法を使用可能にす
る前にユーザが政府職員であるか否かのみを判断するの
では十分ではない。政策カードが挿入される時、不正ア
クセス防止エレメントが政策に対して特有であるため、
複製できないタスクまたはプロセスとの「対話」の継続
を必要とする。このように、例えば各々が不正アクセス
防止エレメントに対するアアクセスを必要とする複数の
パーティションが存在する場合、ユーザ識別情報を偽造
してもアプリケーションを使用可能にすることはできな
い。
【0053】政策(カード)を暗号装置に組み込む方法は
多数ある点に注意する必要がある。例えば、政策カード
は物理的に1個所で暗号装置に組み込まれるかもしれな
いし、あるいは、電子的に安全保護された通信経路を介
して組み込むこともできる。
【0054】制御の流れの分析 エンベロープは、不正アクセス防止シャトルであり、ま
た、接触ポイントにゲート使用可能情報を与える暗号構
築ブロックのコーナー・ストーンでもある。同様に、エ
ンベロープは、不正アクセス防止実行情報を政策モニタ
に伝える。不正アクセス防止処理政策の導入に関する制
御の流れは、米国特許出願第08/401,588号に記載の暗号
装置動作の記述を参照することによって最もよく理解す
ることができる。
【0055】図7は、本発明に従う動作段階における暗
号装置の動作を示すタイミング図である。本発明の目的
のため暗号装置動作は次のように修正される。暗号装置
は、最後に導入された暗号化方法の最初の成功信号の後
ステップ7へ進む。状態を集約するため暗号装置はまた
モードをモード8に変更する。モード8において、政策
によって制御された不正アクセス防止処理および政策に
よって制御された暗号化メカニズムの両者が使用可能に
される。注意する必要があるが、不正アクセス防止処理
は、制御された暗号機能が使用可能にされている間だけ
有効である。逆に、例えば暗号装置は1つのライフタイ
ムでステップ7モード6にとどまり別のライフタイムで
モード8に切り替わり不正アクセス防止実行を使用可能
にすることもできる。ここで、ライフタイムとは、1つ
のホスト・システム上での暗号エンジンの生涯(ライフ)
実行と定義される。ステップ7モード8は不正アクセス
防止処理のための政策カードの導入に関する時間を要約
する。
【0056】使用例:証明付きロード 図8は本発明に従った不正アクセス防止実行のための制
御の流れの例を示す。この例は、上述の国際暗号フレー
ムワークにおける不正アクセス防止処理を提供する本発
明の1つの実施形態を示す。以下の記述は本発明の好ま
しい実施形態の例として提示されているにすぎず、本発
明がこの特定の実施形態に限定されない点は認められる
べきである。図8に示されている円で囲まれた数字は以
下のステップの各々に対応する。 ステップ#1:不正アクセス防止通信が政策モニタ(す
なわちPM)70と政策カード(NFC)12の間に確立
される。すなわち、暗号装置識別のための呼びかけ/応
答およびセッション・キー設定のためのゼロ知識交換と
いう2局面が成功裡に完了している。 ステップ#2:政策モニタ(PM)70が、ローダ機能を
介して接触ポイント・データの宛先を指定した。 最後
のメカニズムに関する接触ポイント・データの導入は成
功裡に終了している。 ステップ#3:政策カード12から暗号装置/政策モニ
タへの交換エンベロープのヘッダが、エンベロープの次
の内容を不正アクセス防止実行証明書として識別する。
エンベロープの内容には、適応性カーネル識別子(AK
C1)、参照されたCOSpを実行するために使用される
べき特権レベルおよびそのようなアプリケーションと関
連したシステム供与の役割が含まれる。すべての不正ア
クセス防止AKCを導入するため、エンベロープの複数
の反復が必要な場合もある。 ステップ#4:証明されたCOSp証明書を含むアプリ
ケーション証明書がAPIを通して与えられる。 ステップ#5:不正アクセス防止された適応性カーネル
構成要素がメッセージ受け渡し機能によって駆動され、
それによって、特定の特権レベルが実施される。 ステップ#6:種々のサブAKCが、(局所的に実行さ
れる)キー解読を要求する。 ステップ#7:登録された輸入/輸出メカニズムの使用
を必要とするアプリケーションの実行の間特定のデータ
が参照される。。 ステップ#8:アプリケーションの実行は、後の起動で
取り出されるべきキー情報のカプセル化の成功と共に完
了する。
【0057】ハードウェア保護空間 図9は、適応性カーネル構成要素の局所的実行を示して
いる。図9において、不正アクセス防止処理CPUは、
カーネル構成要素に関する適応性処理政策によって制御
されている。同様に、そのような構成要素は、下部構成
要素の起動を必要とする。この点は、図8でAKC1に
ついて示されている。ACK1は、特権レベル、メソッ
ドならびに情報の収集、およびADAによって与えられ
るサービス・クラスおよび役割を含む。図9に示されて
いる実施形態のメカニズムは、図8に関連して上述した
ものと同様である。
【0058】適応性カーネルのための適合政策の実行 カーネルの新しい生成によって、(集合的にパーソナリ
ティと呼ばれる)適応性に関する特定のサポート、それ
らの基礎的構成要素の構成能力および必要とされる専用
実行時動作の重要アプリケーションへの供給が提供され
る。アプリケーションは、スケジュール作成構成要素、
同期構成要素、スレッド、記憶ハンドラ、例外ハンドラ
および割り込みなどの種々のカーネル資源を使用する。
以前の調査によれば、並列アプリケーションと共にトラ
フィック量の多いトランザクション・アプリケーション
は、動的プロセス移行および負荷平均化を頻繁に必要と
する。そのような資源管理のために要求される基本的な
特性を満たすため、構成製品の構成要素は、標準インタ
ーフェース、データ形式およびプロトコルを必要とす
る。
【0059】カーネルは、スケジュール作成構成要素、
同期構成要素、記憶域ハンドラおよび例外ハンドラのよ
うな資源をアプリケーションに提供する。これらの構成
要素のすべては、アプリケーションのために特定の実際
の実行時動作を定義する。本発明の1面は、実際には政
策の変換であるアプリケーション毎のパーソナリティを
定義する。暗号装置に導入された政策は、アプリケーシ
ョンのパーソナリティを制約することができるので、ア
プリケーションの行動は政策に基づくことになる。
【0060】例えば、政策は、同期メカニズム、割り込
みおよび例外ハンドラを構成することによってが暗号装
置のパーソナリティを制約して、特権モード動作のアプ
リケーションの使用を許容したり禁止したりすることが
できる。オペレーティング・システムが、例えばプリン
ト・モジュールのようなカーネル機能を持つとすれば、
プリント・プロセスは政策によって実行禁止にされるこ
とも可能である。例えば、ユーザはある情報を見ること
ができるがその情報を印刷することはできない。同様
に、政策はサーバに対するユーザ・アクセスを否定する
ことができる。図5および図6に関して、プリント・ド
ライバが実行すべき不正アクセス防止処理ベースにアク
セスしなければならないように、パーティションの1つ
がプリント・ドライバに配置されるかもしれない。この
場合政策が印刷能力を否定すれば、プリント・ドライバ
は実行されない。
【0061】以下は、個人トークンに関し安全保護分散
処理能力を持つアプリケーションの1例を提供する(図
10参照)。この例は、スマート・カードのような個人
トークン90にアクセスする概念を導入する。スマート
・カードは、広範囲にわたる産業セクターにおいてます
ます重要性を増している。単純で小量の情報を安全に保
持するように設計されているが、個人トークンの利点を
十分に利用するアプリケーションのため一層大容量のデ
ータ記憶域とその記憶域へアクセスする方法の改善が要
求されている。機能性と容量のトレードオフに結びつく
個人トークンの制約された能力がこの例におけるチャレ
ンジの中心をなす。適応性カーネル構成要素モデルを使
用して不正アクセス防止ウェブ全体に処理エレメントを
分配する方法が選択肢の1つである。
【0062】以下は、非常に小規模の環境に関して、S
QLのような高水準構造のアクセス方式またはアプレッ
ト(applet)のような起動方法を実施する方法を記述す
る。これは、個人トークンとホスト・システムに導入さ
れた暗号装置の間の安全な分散処理を可能にするフレー
ムワークを開発する。上述の分離および局所性の原則か
ら次の3つの主要なシナリオを定義することができる。 シナリオ1:記憶管理プログラムのための特別な実行政
策である。 シナリオ2:目標アプリケーションがアプレットである
8つのステップ分解の使用である(シナリオ2は既に図
8に関連して記述されているので、これ以上の説明は行
わない)。 シナリオ3:データおよび方法の明示的分離であって、
この場合、データは個人トークンに存在し、実行方法
は、暗号装置における不正アクセス防止処理に属してい
る。
【0063】シナリオ1は更に説明を必要とする。以下
の3つの主要構築ブロックが解決策の一部である。アプリケーション :アプリケーションは、記憶された情
報にアクセスするため個人トークンに接続するエレメン
トである。アプリケーションは、交換されるデータの不
正アクセス防止を保証するため、トークンとの相互に関
係した承認を確立する必要がある。アクセス・メソッド管理プログラム :アクセス・メソッ
ド管理プログラムは、SQL言語のような高水準抜粋機
能をアプリケーションに提供する。アプリケーションか
ら出されるすべての要求は、この高水準アクセス・メソ
ッドの形式で表現される。図11に示されるように、特
定のアクセス政策は、政策管理プログラムのブロックに
導入され、ユーザが管理者の役割を持つような特定の管
理アプリケーションに関して、(DELETE USER、CREATE K
EYおよびUNLOCKのような)SQLコマンド・クラスの唯
一の使用を可能にさせる。 具体的に述べれば、AKC
‐起動フィールドは、delete_user、create_keyおよびu
nlockというコマンド・クラスの実行を可能にする。デ
ータの暗号化が必要でなければCOSフィールドはそれ
に割り当てられない。記憶域管理プログラム :記憶域管理プログラムは、個人
トークンの内側で実施されるエレメントである。記憶域
管理プログラムの主な責任は、個人トークンの範囲内に
記憶された情報を管理することである。同様の原則が、
暗号化されたデータの伝送、変換、応答および暗号化さ
れた記憶を含む暗号化データの移動の制御に適用され
る。AKC‐起動フィールドを持つアプリケーション
は、COSフィールドを持つ特定の移動関数が暗号化記
憶に設定されることを可能にする。
【0064】シナリオ3は、図12に示されるように、
別の構築ブロック、セキュリティ・レーヤーを持つ。あ
らゆる構成要素が個人トークンの中に存在するような伝
統的アプローチにおいては、セキュリティ境界がアクセ
ス・メソッド・レベルにある。本発明は、一層低いレベ
ルにセキュリティ境界を導入することによって、そのよ
うな区分を破る方法および装置を提供する。そのため、
慎重な取り扱いを要する構造的情報は、ホスト・システ
ムのアクセス・メソッド管理プログラムと個人トークン
内の記憶管理プログラムの間で交換されなければならな
い。アクセス・メソッド管理プログラムと個人トークン
の間のすべてのメッセージは、例えばエンベロープのよ
うな暗号化された形式で交換されなければならない。暗
号サービスは、接続の両側で利用できなければならな
い。図12は、ホスト・システム上の暗号装置およびそ
の目的で個人トークンに実施される暗号サービスを使用
するシステムを示す。
【0065】接続の間両者は相互を認証する必要があ
る。アクセス管理プログラムは構造上の情報を持たなけ
ればアクセス要求を構築することができない。アクセス
管理プログラムは、接続を確立するため個人トークンに
に要求を送る。個人トークンは、呼びかけに応答して、
記憶管理プログラムに対する要求を構築するためアクセ
ス管理プログラムによって必要とされる構造上の情報を
返す。エンベロープを使用して個人トークンからのデー
タおよび構造上の情報の実行区域へのダウンロードの
後、不正アクセス防止処理は、アクセス・メソッド管理
プログラムで指定された特権命令にたずさわることがで
きる。このシナリオは、AKC_特権(AKC_privilege)
フィールドを使用して、エンベロープを介してロードさ
れたデータに関する適切な処置の実行を制御するもので
ある。
【0066】本発明の鍵は、不正アクセス防止境界が破
られることはないという事実である。この境界は物理的
でも電気的でも論理的でもあり得るが、不正アクセス防
止エレメントすなわち政策は、製造およびパーソナィテ
ィの方法によって複製不可能とされるハードウェア・エ
レメントを提供することによって、不正アクセス防止境
界を提供する。不正アクセス防止エレメントはいくつか
の安全な装置または技術のいずれでも可能であるが、本
発明の好まし実施形態は、米国特許出願第08/401,588号
によって提供される特性の利点を引き出す。本発明が活
用される可能性のあるアプリケーションのいくつかは、
ログイン審査実行、審査ログの作成、不正アクセス防止
の高い構成管理、ネットワーキングならびにシステム下
部構造、アプリケーション管理、セキュリティ権威管
理、アプリケーション権威管理、政策カード管理および
個人トークンのような消費者カードを含む。
【0067】崩壊機能 暗号装置と政策の間で伝送されるこれらのメッセージの
各々は、絶えず変わるキーを使用して暗号化される。こ
のように、キーが絶えず変わるので、システムは干渉さ
れることのない暗号化データを作成することができる。
値ki(kiはメッセージのうちの1つである)は、セッシ
ョン一連番号(RN)の関数である。これらのメッセージ
は例えば1010のようなランダムなポイントから始ま
る。このランダム・ポイントは政策と暗号装置の間で送
り出された最初の一連番号の乱数である。政策は、その
数を増分した1011を暗号装置に応答する。システム
はこのランダム・ポイントからの連番を継続する。値k
iの関数は、その乱数とkの関数であり、この場合、k
は上述のように初期状態設定段階で決定されていて、政
策および暗号装置が現在共有するユニークなキーであ
る。
【0068】任意のポイントkiにおけるキーを知るた
めには、あるいはそのキーを予測するためには、メッセ
ージのシリアル番号RNとオリジナル番号kを知ってい
なければならない。その上、機能は崩壊値を持つ。例え
ば、政策および暗号装置がしばらくの間交信していて、
RNの値2084に達したと仮定する。無資格者がたく
さんのメッセージを捕捉し最初のメッセージに戻ること
を望む場合、置き換えられる値が現在の番号から10以
上離れていると、機能しない。このように、kiはRN
から10以内にある場合に限って有効である。
【0069】崩壊機能を用いれば、政策および暗号装置
は、kiを用いて暗号化されるいかなるタイプののメッ
セージも渡すことができる。kiを入手するため1つの
メッセージに5日間かかりきるというような乱暴なこと
もあり得ることである。しかし、それはキーが2日前の
ものであったという結果となる。そのキーの知識および
この関数の知識さえもkの値を識別するため逆にするこ
とはできない。たとえkおよびkiがわかっても、計算
された値は現在の設定値から10以上離れる。
【0070】本発明の好ましい実施形態で上記のように
10という値を選択した理由は、例えば電力遮断のため
のゆらぎによって、あるいは静的RAMの番号を更新す
る前に政策を投げ込むことによって、合法的システムが
同期を失う可能性があるためである。システムの電力が
突然回復しても、システムは再びゼロに戻ることはでき
ない。電力が回復する時、システムはkiから再開する
ことが期待される。しかし、その値は消えていて、アル
ゴリズムにおける番号は例えば10だけ修正することが
可能である。
【0071】本発明の重要な面は、システムは政策を信
頼するが、暗号装置を本当に信頼しないということであ
る。政策は時々シリアル番号を変えるかもしれない。こ
のように、政策は通常はシリアル番号を1ずつ増分させ
るが、時には別の乱数を発行する。別の乱数が発行され
ると、暗号装置はその番号をメッセージの中で受け取
る。なぜならばシステムを同期させるkiを使用してメ
ッセージが暗号化されているからである。シリアル番号
が向こう側で突然ジャンプするのを観察する時、そのメ
ッセージは有効である。なぜなら、それがストリームに
あって、正しい次のキーで暗号化されていて、シリアル
番号だけがジャンプしているからである。暗号装置は、
その政策へメッセージをまさに送り戻そうとしているの
で、そのジャンプに追随する。従って、システムは、1
0番目のメッセージの前にその値が復号される場合に備
えて定期的に例えば10という崩壊値を意図的にジャン
プする。このジャンプは政策によってのみ行われる。暗
号装置はジャンプが時々あることは認識しているが、政
策はジャンプを見れば、動作しようとする。更に、ジャ
ンプの間隔は全面的にランダムであり、ジャンプは上下
いずれの方向でも可能である。
【0072】以上の通り本明細書において本発明が好ま
しい実施形態を参照して記述されているが、本発明の原
理および有効範囲を逸脱することなく上述の実施形態を
他の実施形態に置き換えることが可能である点は当業者
に認められることであろう。
【0073】本発明には、例として次のような実施様態
が含まれる。 (1)不正アクセス防止モジュールを規定する1つまた
は複数のパーティションを持ち1つのシステム内で1つ
のタスクを実行するプロセスと、1つの不正アクセス防
止エレメントによって確立される不正アクセス防止境界
と、不正アクセス防止実行区域を含む不正アクセス防止
処理ベースと、を備える不正アクセス防止プロセッサで
あって、上記不正アクセス防止処理ベースが上記プロセ
スから分離され、上記不正アクセス防止モジュールが上
記不正アクセス防止実行区域の範囲内で局所的に実行さ
れる、不正アクセス防止プロセッサ。 (2)上記不正アクセス防止エレメントが政策手段を含
む、上記(1)に記載の不正アクセス防止プロセッサ。 (3)上記政策手段がプロセッサのパーソナリティを実
現する、上記(2)に記載の不正アクセス防止プロセッ
サ。 (4)上記パーソナリティが当該不正アクセス防止プロ
セッサのユーザに与えられるべき不正アクセス防止また
は特権のレベルを定義する、上記(3)に記載の不正ア
クセス防止プロセッサ。 (5)上記不正アクセス防止境界を越えて情報を搬送す
る機能を持つエンベロープを更に備える、上記(1)な
いし(4)のいずれかに記載の不正アクセス防止プロセ
ッサ。 (6)暗号装置および政策手段を備え、上記暗号装置が
上記政策手段によって制御され、上記政策手段が上記不
正アクセス防止エレメントを含む、上記(1)ないし
(5)のいずれかに記載の不正アクセス防止プロセッ
サ。 (7)上記不正アクセス防止境界が、物理的、電気的ま
たは論理的のいずれかの障壁を含む、上記(1)ないし
(6)のいずれかに記載の不正アクセス防止プロセッ
サ。
【0074】(8)上記不正アクセス防止エレメント
が、製造方法または上記パーソナリティによって複製不
可能とされるハードウェア・エレメントを含む、上記
(1)ないし(7)のいずれかに記載の不正アクセス防
止プロセッサ。 (9)上記不正アクセス防止エレメントが、上記不正ア
クセス防止実行区域内での暗号の使用を制御する、上記
(1)ないし(8)のいずれかに記載の不正アクセス防
止プロセッサ。 (10)上記不正アクセス防止境界を越える通信を確保
するための呼び掛け/応答メカニズムをさらに備える、
上記(1)ないし(9)のいずれかに記載の不正アクセ
ス防止プロセッサ。 (11)上記呼び掛け/応答メカニズムが呼び掛け/応
答キーを動的に変更する崩壊関数を含む、上記(10)
に記載の不正アクセス防止プロセッサ。 (12)上記崩壊関数が、上記呼び掛け/応答キーをラ
ンダムに変更する機能を持ち、上記不正アクセス防止処
理ベースに関連付けられた手段を含む、上記(11)に
記載の不正アクセス防止プロセッサ。 (13)上記崩壊関数が、上記呼び掛け/応答キーに関
する受容可能な値の範囲を定義する固定値オフセットを
更に含む、上記(12)に記載の不正アクセス防止プロ
セッサ。 (14)上記呼び掛け/応答メカニズムが非反復的また
は予測不可能なメカニズムである、上記(10)に記載
の不正アクセス防止プロセッサ。 (15)上記政策手段によって与えられるパーソナリテ
ィに対して適応する機能を持つ適用性カーネルを少なく
とも1つ有する少なくとも1つのアプリケーションを更
に含む、上記(1)ないし(14)のいずれかに記載の
不正アクセス防止プロセッサ。 (16)上記不正アクセス防止エレメントが個人トーク
ンである、上記(1)ないし(15)のいずれかに記載
の不正アクセス防止プロセッサ。 (17)上記不正アクセス防止エレメントが不正アクセ
ス防止機能を持つスマート・カードである、上記(1)
ないし(16)のいずれかに記載の不正アクセス防止プ
ロセッサ。 (18)上記不正アクセス防止実行ベースがデータから
分離され、上記データが処理のため上記不正アクセス防
止実行ベースへ転送される、上記(1)ないし(17)
のいずれかに記載の不正アクセス防止プロセッサ。
【0075】
【発明の効果】本発明の不正アクセス防止装置および方
法は、国際暗号フレームワークおよびその他の不正アク
セス防止システムのすべてのエレメントが不正アクセス
防止特性を持たなければならないという構成要件から開
放され、所望の不正防止レベルの充足を保証するために
必要なだけの数の不正アクセス防止エレメントを備えれ
ばよく、このため、不正アクセス防止エレメントからの
み構成される従来技術システムの煩雑で遅いという問題
を解消することができる。
【図面の簡単な説明】
【図1】国旗カード、暗号装置、ホスト・システムおよ
びネットワーク・セキュリティ・サーバを含む国際暗号
フレームワークのブロック図である。
【図2】図1のフレームワーク・サービス・エレメント
を相互接続する不正アクセス防止ウェブを示すブロック
図である。
【図3】本発明に従って不正アクセス防止エレメントを
組入れる典型的プロセスを含む図1の国際暗号フレーム
ワークの種々のエレメントを示すブロック図である。
【図4】本発明に従ってオペレーティング・システムお
よび不正アクセス防止処理ベースの間に確立される不正
アクセス防止境界を示すブロック図である。
【図5】本発明に従う分離原則を例示するコンパートメ
ント化された実行を示すブロック図である。
【図6】本発明に従う局所性原則を例示する図示するた
め慎重に取り扱われるべき情報の局所的実行を示すブロ
ック図である。
【図7】本発明に従う動作段階での暗号装置の動作を示
すタイミング図である。
【図8】本発明に従った不正アクセス防止実行に関する
制御の流れを示すブロック図である。
【図9】本発明に従ったカーネル構成要素の局所的実行
を示すブロック図である。
【図10】本発明に従った不正アクセス防止処理におけ
る個人トークンの位置づけを表すブロック図である。
【図11】本発明に従った個人トークンの内部構造およ
び特別な不正アクセス防止実行(例えばアクセス方法管
理プログラム)と個人トークンとの関係を示すブロック
図である。
【図12】本発明に従う個人トークンおよび不正アクセ
ス防止処理における(セキュリティ特権実行のような)セ
キュリティ制御の使用を表すブロック図である。
【符号の説明】
10 国際暗号フレームワーク 12 国旗カード(NFC) 14 暗号装置(CU) 16 ホスト・システム(HS) 18 ネットワーク・セキュリティ・サーバ(NSS) 21 DB通信実行時ライブラリ 22 CUドライバ 23 NFCドライバ 30 不正アクセス防止境界 32 不正アクセス防止処理ベース 34 オペレーティング・システム 37 不正アクセス防止実行区域 38 暗号実行区域 39、40 アプリケーション 41 ユーザ・レベルのプロセスまたはタスク 42、44、46、48、49、50、52、54、5
6、58 パーティション 43、45 エンベロープ 59、60、61、62 重要アプリケーション 70 政策モニタ 71 セキュリティ領域権威者(SDA) 73 アプリケーション領域権威者(ADA) 75 アプリケーション領域 76、78 管理活動 77 セキュリティ領域 79 領域境界 90 個人トークン
───────────────────────────────────────────────────── フロントページの続き (72)発明者 キース・クレンバ アメリカ合衆国94303カリフォルニア州パ ロ・アルト、バーノン・テラス 3319

Claims (1)

    【特許請求の範囲】
  1. 【請求項1】不正アクセス防止モジュールを規定する1
    つまたは複数のパーティションを持ち1つのシステム内
    で1つのタスクを実行するプロセスと、 1つの不正アクセス防止エレメントによって確立される
    不正アクセス防止境界と、 不正アクセス防止実行区域を含む不正アクセス防止処理
    ベースと、 を備える不正アクセス防止プロセッサであって、 上記不正アクセス防止処理ベースが上記プロセスから分
    離され、上記不正アクセス防止モジュールが上記不正ア
    クセス防止実行区域の範囲内で局所的に実行される、 不正アクセス防止プロセッサ。
JP9217317A 1996-08-23 1997-08-12 不正アクセス防止プロセッサ Withdrawn JPH10154130A (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US08/702,332 US5841869A (en) 1996-08-23 1996-08-23 Method and apparatus for trusted processing
US702,332 1996-08-23

Publications (1)

Publication Number Publication Date
JPH10154130A true JPH10154130A (ja) 1998-06-09

Family

ID=24820785

Family Applications (1)

Application Number Title Priority Date Filing Date
JP9217317A Withdrawn JPH10154130A (ja) 1996-08-23 1997-08-12 不正アクセス防止プロセッサ

Country Status (4)

Country Link
US (1) US5841869A (ja)
EP (1) EP0825511B1 (ja)
JP (1) JPH10154130A (ja)
DE (1) DE69732882T2 (ja)

Families Citing this family (91)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO1998008155A1 (en) * 1996-08-20 1998-02-26 Hewlett-Packard Company Secure enablement of a processing entity
EP0881557B1 (en) * 1997-05-28 2003-04-16 Siemens Aktiengesellschaft Computer system for protecting software and a method for protecting software
US6397330B1 (en) 1997-06-30 2002-05-28 Taher Elgamal Cryptographic policy filters and policy control method and apparatus
US6389534B1 (en) 1997-06-30 2002-05-14 Taher Elgamal Cryptographic policy filters and policy control method and apparatus
US6178504B1 (en) * 1998-03-12 2001-01-23 Cheyenne Property Trust C/O Data Securities International, Inc. Host system elements for an international cryptography framework
US6609199B1 (en) * 1998-10-26 2003-08-19 Microsoft Corporation Method and apparatus for authenticating an open system application to a portable IC device
US7139915B2 (en) * 1998-10-26 2006-11-21 Microsoft Corporation Method and apparatus for authenticating an open system application to a portable IC device
US7194092B1 (en) * 1998-10-26 2007-03-20 Microsoft Corporation Key-based secure storage
US7174457B1 (en) * 1999-03-10 2007-02-06 Microsoft Corporation System and method for authenticating an operating system to a central processing unit, providing the CPU/OS with secure storage, and authenticating the CPU/OS to a third party
US6158010A (en) * 1998-10-28 2000-12-05 Crosslogix, Inc. System and method for maintaining security in a distributed computer network
US7673323B1 (en) 1998-10-28 2010-03-02 Bea Systems, Inc. System and method for maintaining security in a distributed computer network
US6988250B1 (en) 1999-02-15 2006-01-17 Hewlett-Packard Development Company, L.P. Trusted computing platform using a trusted device assembly
US6651171B1 (en) 1999-04-06 2003-11-18 Microsoft Corporation Secure execution of program code
US6775779B1 (en) * 1999-04-06 2004-08-10 Microsoft Corporation Hierarchical trusted code for content protection in computers
EP1055990A1 (en) 1999-05-28 2000-11-29 Hewlett-Packard Company Event logging in a computing platform
EP1056010A1 (en) 1999-05-28 2000-11-29 Hewlett-Packard Company Data integrity monitoring in trusted computing entity
EP1085396A1 (en) 1999-09-17 2001-03-21 Hewlett-Packard Company Operation of trusted state in computing platform
US6931130B1 (en) * 1999-10-07 2005-08-16 International Business Machines Corporation Dynamically adjustable software encryption
WO2001033355A1 (en) * 1999-11-01 2001-05-10 Secure.Net Corporation Security process for public networks
US6772416B1 (en) * 1999-11-19 2004-08-03 General Dynamics Decision Systems, Inc. Separation kernel with memory allocation, remote procedure call and exception handling mechanisms
US6757824B1 (en) 1999-12-10 2004-06-29 Microsoft Corporation Client-side boot domains and boot rules
US6671809B1 (en) * 2000-05-10 2003-12-30 General Dynamics Decision Systems, Inc. Software-defined communications system execution control
US6895502B1 (en) 2000-06-08 2005-05-17 Curriculum Corporation Method and system for securely displaying and confirming request to perform operation on host computer
US6986052B1 (en) 2000-06-30 2006-01-10 Intel Corporation Method and apparatus for secure execution using a secure memory partition
GB0020441D0 (en) * 2000-08-18 2000-10-04 Hewlett Packard Co Performance of a service on a computing platform
WO2002042880A2 (en) * 2000-10-25 2002-05-30 Thomson Financial Inc. Electronic commerce system
US7305360B1 (en) 2000-10-25 2007-12-04 Thomson Financial Inc. Electronic sales system
US7287089B1 (en) 2000-10-25 2007-10-23 Thomson Financial Inc. Electronic commerce infrastructure system
US7330830B1 (en) 2000-10-25 2008-02-12 Thomson Financial Inc. Distributed commerce system
US6938164B1 (en) 2000-11-22 2005-08-30 Microsoft Corporation Method and system for allowing code to be securely initialized in a computer
GB2376763B (en) * 2001-06-19 2004-12-15 Hewlett Packard Co Demonstrating integrity of a compartment of a compartmented operating system
GB2372345A (en) * 2001-02-17 2002-08-21 Hewlett Packard Co Secure email handling using a compartmented operating system
GB2372592B (en) * 2001-02-23 2005-03-30 Hewlett Packard Co Information system
GB2372594B (en) * 2001-02-23 2004-10-06 Hewlett Packard Co Trusted computing environment
GB2372595A (en) 2001-02-23 2002-08-28 Hewlett Packard Co Method of and apparatus for ascertaining the status of a data processing environment.
US8849716B1 (en) 2001-04-20 2014-09-30 Jpmorgan Chase Bank, N.A. System and method for preventing identity theft or misuse by restricting access
ATE242892T1 (de) 2001-05-11 2003-06-15 Sospita As Sequenznummerierungsmechanismus zur sicherung der ausführungsordnungs-integrietät von untereinander abhängigen smart-card anwendungen
US7689506B2 (en) 2001-06-07 2010-03-30 Jpmorgan Chase Bank, N.A. System and method for rapid updating of credit information
GB2376764B (en) * 2001-06-19 2004-12-29 Hewlett Packard Co Multiple trusted computing environments
GB2376762A (en) * 2001-06-19 2002-12-24 Hewlett Packard Co Renting a computing environment on a trusted computing platform
GB2376761A (en) * 2001-06-19 2002-12-24 Hewlett Packard Co An arrangement in which a process is run on a host operating system but may be switched to a guest system if it poses a security risk
GB2376765B (en) 2001-06-19 2004-12-29 Hewlett Packard Co Multiple trusted computing environments with verifiable environment identities
GB0114898D0 (en) * 2001-06-19 2001-08-08 Hewlett Packard Co Interaction with electronic services and markets
US7266839B2 (en) 2001-07-12 2007-09-04 J P Morgan Chase Bank System and method for providing discriminated content to network users
GB2378013A (en) * 2001-07-27 2003-01-29 Hewlett Packard Co Trusted computer platform audit system
GB2378272A (en) * 2001-07-31 2003-02-05 Hewlett Packard Co Method and apparatus for locking an application within a trusted environment
US7137004B2 (en) * 2001-11-16 2006-11-14 Microsoft Corporation Manifest-based trusted agent management in a trusted operating system environment
US7159240B2 (en) * 2001-11-16 2007-01-02 Microsoft Corporation Operating system upgrades in a trusted operating system environment
US7243230B2 (en) 2001-11-16 2007-07-10 Microsoft Corporation Transferring application secrets in a trusted operating system environment
GB2382419B (en) * 2001-11-22 2005-12-14 Hewlett Packard Co Apparatus and method for creating a trusted environment
US7987501B2 (en) 2001-12-04 2011-07-26 Jpmorgan Chase Bank, N.A. System and method for single session sign-on
US7350226B2 (en) * 2001-12-13 2008-03-25 Bea Systems, Inc. System and method for analyzing security policies in a distributed computer network
KR100445574B1 (ko) * 2001-12-19 2004-08-25 한국전자통신연구원 대화형 영 지식 증명을 이용한 패스워드 기반의 인증 및키 교환 프로토콜 설계 방법
US7487365B2 (en) * 2002-04-17 2009-02-03 Microsoft Corporation Saving and retrieving data based on symmetric key encryption
US7890771B2 (en) 2002-04-17 2011-02-15 Microsoft Corporation Saving and retrieving data based on public key encryption
GB0212314D0 (en) * 2002-05-28 2002-07-10 Symbian Ltd Secure mobile wireless device
US8301493B2 (en) 2002-11-05 2012-10-30 Jpmorgan Chase Bank, N.A. System and method for providing incentives to consumers to share information
US7337445B1 (en) 2003-05-09 2008-02-26 Sun Microsystems, Inc. Virtual system console for virtual application environment
US7437556B2 (en) * 2003-05-09 2008-10-14 Sun Microsystems, Inc. Global visibility controls for operating system partitions
US8892878B2 (en) * 2003-05-09 2014-11-18 Oracle America, Inc. Fine-grained privileges in operating system partitions
US7389512B2 (en) * 2003-05-09 2008-06-17 Sun Microsystems, Inc. Interprocess communication within operating system partitions
US20040226015A1 (en) * 2003-05-09 2004-11-11 Leonard Ozgur C. Multi-level computing resource scheduling control for operating system partitions
US20040226017A1 (en) * 2003-05-09 2004-11-11 Leonard Ozgur C. Mechanism for associating resource pools with operating system partitions
US7461080B1 (en) 2003-05-09 2008-12-02 Sun Microsystems, Inc. System logging within operating system partitions using log device nodes that are access points to a log driver
US7493650B2 (en) * 2003-07-01 2009-02-17 Portauthority Technologies Inc. Apparatus and method for ensuring compliance with a distribution policy
US7669239B2 (en) * 2003-09-15 2010-02-23 Jpmorgan Chase Bank, N.A. Secure network system and associated method of use
US7594112B2 (en) * 2003-10-10 2009-09-22 Bea Systems, Inc. Delegated administration for a distributed security system
US7644432B2 (en) 2003-10-10 2010-01-05 Bea Systems, Inc. Policy inheritance through nested groups
US8346909B2 (en) * 2004-01-22 2013-01-01 International Business Machines Corporation Method for supporting transaction and parallel application workloads across multiple domains based on service level agreements
US20050188075A1 (en) * 2004-01-22 2005-08-25 International Business Machines Corporation System and method for supporting transaction and parallel services in a clustered system based on a service level agreement
US20050182966A1 (en) * 2004-02-17 2005-08-18 Duc Pham Secure interprocess communications binding system and methods
US7437767B2 (en) * 2004-11-04 2008-10-14 International Business Machines Corporation Method for enabling a trusted dialog for collection of sensitive data
US8181182B1 (en) 2004-11-16 2012-05-15 Oracle America, Inc. Resource allocation brokering in nested containers
US7647626B2 (en) * 2004-12-08 2010-01-12 International Business Machines Corporation Method for establishing a trusted relationship between a data server and a middleware server
US7568039B2 (en) * 2004-12-27 2009-07-28 International Business Machines Corporation Method for providing and utilizing a network trusted context
JP2006203564A (ja) * 2005-01-20 2006-08-03 Nara Institute Of Science & Technology マイクロプロセッサ、ノード端末、コンピュータシステム及びプログラム実行証明方法
EP1866825A1 (en) 2005-03-22 2007-12-19 Hewlett-Packard Development Company, L.P. Methods, devices and data structures for trusted data
US8972743B2 (en) 2005-05-16 2015-03-03 Hewlett-Packard Development Company, L.P. Computer security system and method
US7885975B2 (en) 2006-02-23 2011-02-08 Oracle America, Inc. Mechanism for implementing file access control using labeled containers
US8938473B2 (en) 2006-02-23 2015-01-20 Oracle America, Inc. Secure windowing for labeled containers
US7882227B2 (en) 2006-02-23 2011-02-01 Oracle America, Inc. Mechanism for implementing file access control across a network using labeled containers
US8938554B2 (en) 2006-03-02 2015-01-20 Oracle America, Inc. Mechanism for enabling a network address to be shared by multiple labeled containers
GB2453518A (en) * 2007-08-31 2009-04-15 Vodafone Plc Telecommunications device security
US20110173643A1 (en) * 2008-10-10 2011-07-14 Nicolson Kenneth Alexander USING TRANSIENT PCRs TO REALISE TRUST IN APPLICATION SPACE OF A SECURE PROCESSING SYSTEM
US8321926B1 (en) * 2008-12-02 2012-11-27 Lockheed Martin Corporation System and method of protecting a system that includes unprotected computer devices
US20100293618A1 (en) * 2009-05-12 2010-11-18 Microsoft Corporation Runtime analysis of software privacy issues
US20110296430A1 (en) * 2010-05-27 2011-12-01 International Business Machines Corporation Context aware data protection
US8930896B1 (en) * 2010-07-23 2015-01-06 Amazon Technologies, Inc. Data anonymity and separation for user computation
KR20150049596A (ko) * 2013-10-30 2015-05-08 삼성전자주식회사 보안 입력 방법 및 그 전자 장치
US10341321B2 (en) 2016-10-17 2019-07-02 Mocana Corporation System and method for policy based adaptive application capability management and device attestation
US11595217B2 (en) 2018-12-06 2023-02-28 Digicert, Inc. System and method for zero touch provisioning of IoT devices

Family Cites Families (12)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
EP0266748B1 (en) * 1986-11-05 1995-02-08 International Business Machines Corporation A software protection system using a single-key cryptosystem, a hardware-based authorization system and a secure coprocessor
US4918653A (en) * 1988-01-28 1990-04-17 International Business Machines Corporation Trusted path mechanism for an operating system
US4945468A (en) * 1988-02-01 1990-07-31 International Business Machines Corporation Trusted path mechanism for virtual terminal environments
US4885789A (en) * 1988-02-01 1989-12-05 International Business Machines Corporation Remote trusted path mechanism for telnet
US4993068A (en) * 1989-11-27 1991-02-12 Motorola, Inc. Unforgeable personal identification system
US5204961A (en) * 1990-06-25 1993-04-20 Digital Equipment Corporation Computer network operating with multilevel hierarchical security with selectable common trust realms and corresponding security protocols
US5173939A (en) * 1990-09-28 1992-12-22 Digital Equipment Corporation Access control subsystem and method for distributed computer system using compound principals
US5504814A (en) * 1991-07-10 1996-04-02 Hughes Aircraft Company Efficient security kernel for the 80960 extended architecture
US5596718A (en) * 1992-07-10 1997-01-21 Secure Computing Corporation Secure computer network using trusted path subsystem which encrypts/decrypts and communicates with user through local workstation user I/O devices without utilizing workstation processor
US5341422A (en) * 1992-09-17 1994-08-23 International Business Machines Corp. Trusted personal computer system with identification
US5434919A (en) * 1994-01-11 1995-07-18 Chaum; David Compact endorsement signature systems
US5574786A (en) * 1995-02-06 1996-11-12 International Business Machines Corporation Securing trusted personal computer system against unauthorized movement

Also Published As

Publication number Publication date
EP0825511B1 (en) 2005-03-30
DE69732882T2 (de) 2006-02-23
EP0825511A3 (en) 1998-05-06
US5841869A (en) 1998-11-24
EP0825511A2 (en) 1998-02-25
DE69732882D1 (de) 2005-05-04

Similar Documents

Publication Publication Date Title
JPH10154130A (ja) 不正アクセス防止プロセッサ
EP0821508B1 (en) Cryptographic unit touch point logic
US8909555B2 (en) Information security system
CA2026739C (en) Transaction system security method and apparatus
Ferrari et al. A flexible security system for metacomputing environments
CN106462438A (zh) 包含受信执行环境的主机的证明
JPH11355264A (ja) 国際暗号体系のホストシステム要素
GB2376764A (en) A trusted computing environment with an integrity metric for both host and guest operating systems
JPH10313309A (ja) 国際暗号法フレームワークでアプリケーションが一定のサービスクラスを合法的に実行することを認証する装置
CN102523089B (zh) 用于批处理系统的第二凭证
Fabre et al. Designing secure and reliable applications using fragmentation-redundancy-scattering: an object-oriented approach
CN101305377A (zh) 通信终端装置、服务器终端装置、使用它们的通信系统
Fægri et al. A software product line reference architecture for security
Deng et al. Integrating security in CORBA based object architectures
Nicomette et al. An authorization scheme for distributed object systems
Casey Jr et al. A secure distributed operating system.
Wu et al. The mobile agent security enhanced by trusted computing technology
Obelheiro et al. Role-based access control for CORBA distributed object systems
Ojesanmi Security issues in mobile agent applications
Kostiainen et al. Key attestation from trusted execution environments
Dridi et al. CSAP—An Adaptable Security Module for the E-Government System Webocrat
Huda et al. Privacy protection in mobile agent based service domain
Kim et al. Dependable and secure TMO scheme
Malik et al. Optimizing Security Computation Cost for Mobile Agent Platforms
WO2024189940A1 (en) Method to secure data processing in computer, computer program and computer device

Legal Events

Date Code Title Description
A521 Written amendment

Free format text: JAPANESE INTERMEDIATE CODE: A523

Effective date: 20040427

A621 Written request for application examination

Free format text: JAPANESE INTERMEDIATE CODE: A621

Effective date: 20040427

A761 Written withdrawal of application

Free format text: JAPANESE INTERMEDIATE CODE: A761

Effective date: 20061120