JPS61195443A - データ処理システム内のシステムフアイルを保護する方法及びデータ処理システム - Google Patents

データ処理システム内のシステムフアイルを保護する方法及びデータ処理システム

Info

Publication number
JPS61195443A
JPS61195443A JP61034038A JP3403886A JPS61195443A JP S61195443 A JPS61195443 A JP S61195443A JP 61034038 A JP61034038 A JP 61034038A JP 3403886 A JP3403886 A JP 3403886A JP S61195443 A JPS61195443 A JP S61195443A
Authority
JP
Japan
Prior art keywords
security
data
data processing
data object
access
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
JP61034038A
Other languages
English (en)
Other versions
JPH0812645B2 (ja
Inventor
ウイリアム・イー・ボーバート
リチヤード・ワイ・ケイン
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Honeywell Inc
Original Assignee
Honeywell Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Honeywell Inc filed Critical Honeywell Inc
Publication of JPS61195443A publication Critical patent/JPS61195443A/ja
Publication of JPH0812645B2 publication Critical patent/JPH0812645B2/ja
Anticipated expiration legal-status Critical
Expired - Fee Related legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F12/00Accessing, addressing or allocating within memory systems or architectures
    • G06F12/14Protection against unauthorised use of memory or access to memory
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F13/00Interconnection of, or transfer of information or other signals between, memories, input/output devices or central processing units
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/70Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
    • G06F21/71Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure computing or processing of information
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F9/00Arrangements for program control, e.g. control units
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2113Multi-level security, e.g. mandatory access control

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Computer Hardware Design (AREA)
  • Software Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Mathematical Physics (AREA)
  • Databases & Information Systems (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Storage Device Security (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

(57)【要約】本公報は電子出願前の出願データであるた
め要約のデータは記録されません。

Description

【発明の詳細な説明】 〔産業上の利用分野1 本発明は、全体として、システムファイルを有するデー
タ処理システムに関するものである。そのようなファイ
ルは1つまたはそれ以−4のセグメントより成るものと
見なすことができ、それらのセグメントはフィールドよ
り放る。それらのセグメント、データオブジェクト、お
よびフィールドは、データ・フォーマットすなわちデー
タ書式を含む多様な物理的表現をと9得る情報の論理的
な集合体である。本発明は、とくは、権限′@:Vする
ユーザー実体(user enNt7 )用に実行され
るプログラムによってのみ、および特定のタスクの実行
金許されたプログラムによってのみ、データオブジェク
トへのアクセスすなわち操作と、データオブジェクトの
ラベル付け、およびデータオブジェクトの表示が行なえ
る保障データ処理システム(aecure data 
processing system  に関するもの
である。権限に安全基準すなわち保障政策(aecur
Lt7 policy )により決定される。
その保障政策には、アクセスすなわち操作音しようとし
た時点で上記ユーザー実体およびデータオブジェクトに
付随している保障格付けすなわち保障属性(5ecur
ity attributes )  の相互間に存す
る1組の既存関係がtまれるものである。そのような保
障属性は、たとえば、データオブジェクトに含まれる情
報の機密度(degree of mensiHvit
y ) ’にそれに付随の保障属性により表わし、ユー
ザー実体の信用度(degree of  trust
worthiness )をそれに付随の保障属性によ
り表子。プログラムにより実行を許されるタスクも、タ
スクを実行する10グラム乃至プログラム群(すなわち
、サブシステム)の間に存在する1組の既存関係と、そ
れらのプログラム(乃至プログラム群、)がアクセスで
きるデータオブジェクトのフォーマットすなわち書式と
、それらのデータオブジェクトに対するアクセスモード
とを含ませられた保障政策により決定される。この場合
は、十分な信用度を有するユーザー実体のために実行さ
れる適切なプログラムによってのみ機密情報がアクセス
すなわち取扱われるようにするために保障政策、および
それを実行する保障データ処理システムを使用できる。
[先行技術〕 プログラムがデータオブジェクトをアクセスすなわち取
扱うことができるモードすなわちやり方を、たとえば、
情報の読増り(アクセス)、情報の書込み(入力)t″
行えるように許可したり、行うことを禁止する固定され
たセットに限定すること、または他のモードに単一およ
び組合せて限定すること、の少(とも一方の操作を行う
手段を設けることが関連技術において仰られている。そ
のようなセットのことをここでにアクセス権(ace0
3+1 rightJと呼ぶことVCする。この技術に
おいては、70グラムが、特定のデータオブジェクト内
のフィールドの値上設定する仁とにより、その1aグラ
ムの管理丁にあるデータオブジェクトに対してアクセス
+IIヲ認める。その特定のデータオブジェクトは、特
定のセグメント内に配置されることにより、通常のデー
タオブジェクトと区別される。特定のデータオブジェク
トハ、アクセスすなわち操作の前は、データ処理gtc
rtによりフェッチされ、データ処理システムは、デー
タオブジェクトのアクセス権フィールドの内容により許
されたアクセスすなわち操作のみを実行する。この技術
には2つの弱点がある。第1は、データ処理システムに
より実行されるプログラムが特定のセグメントと通常の
セグメント金具なるやり方で取扱わなければならないか
ら、その特定のセグメントの存在がブaグラムヲ複雑に
することである。
第2の弱点は、プログラムの実行全指示しているユーザ
ー実体も、筐たはそのユーザー実体により現在所有され
ている保障属性も何ら顧慮されることなしは、ツーログ
ラムかアクセスtifさ才してしまうことである。した
がって、ユーザー実体は、自己のために実行中の10グ
ラムに対し、既存の保障政策ではアクセス権が認められ
ないのは、アクセス権を与える別の1aグラムを実行で
きる。信用度の高′いプログラムにのみアクセス権を付
与することを認めることも関連技術において知られてい
る。ある与えられ九ユーザー実体のために実行している
プログラムが、ある与えられた通常のデータオブジェク
トに対する与えられたアクセス権を望むと、そのプログ
ラムは信用度の高いプログラムに頼る。その信用度の高
いプログラムは、与えられたユーザー実体および与えら
れた通常のデータオブジェクトに関連する現在の保障属
性會得て、保障政策により許可されたアクセス権が与え
られるようにする。この技術には、上記の信用度の高い
プログラムのようなソフトウェアプログラムにおいて信
用度の低下(compromise )が起ることが比
較的容易でめるという欠点がある。しかも、その信用度
低下に検出されることなしに放置されることかあり、か
つプログラムの信用度が舌下していないこと全示すこと
が極めて困難であることも仰られている。
特定のデータオブジェクトを認識できる装置を設けるこ
とにより、特定のデータオブジェクトと通常のデータオ
ブジェクトがセグメント内に混在することを許し、かつ
、上記のようにして、アクセス権の設定を信用度が高い
プログラムに限定することも関連技術において仰られて
いる。この技術には2つの欠点がある。第1の欠点は、
化用度の高いプログラムの信用度が上記のように低下す
ることでちる。第2の欠点は、信用度の高いプログラム
の信用度が低下しないとしても、あるユーザー実体のた
めに実行しているプログラムがある通常のデータオブジ
ェクトに対するアクセス権を設定できるが、そのアクセ
ス権は保障政策により許可されないことである。そのよ
うな信用度低下は、保障政策により許可されたアクセス
権を特定、の通常データオブジェクトへ与える特定のデ
ータオブジェクトにプログラムが得て、次に第2のユー
ザー実体のために実行するプログラムによりアクセスで
きるセグメント内は、前記第1のプログラムが前記特定
のデータオブジェクト’(i−置くことVCより起る。
そして、その第2のユーザー実体が現在上している保障
属性は第1のユーザー実体の保障属性と異なり、その第
2のユーザー実体の保障属性では、上記により得られた
アクセス権は、保障政策に従うと許可されていない鳩舎
である。
また、特定のデータと通常のデータをセグメント内に混
在させること、および特定のデータオブジェクトのgi
ミラ記のようにして設定するために化用度の高いソフト
ウェアを設けることに加えて、特定のデータオブジェク
トにより与えられるアクセス権を、保障政策に従って、
許可する可能な保障属性f:有するユーザー実体のため
に実行するプログラムによってのみ共通にアクセスされ
るセグメントは、その特定のデータオブジェク)を置く
ことに凧定するHtx役けることも知られている。
この技術には3つの欠点がある。lO欠点は、信用度の
肯いソフトウェアのイδ用度が上記のようにして低下す
ることである。wJ2の欠点は、特定のデータオブジェ
クトの格納に制約を加えることにより、ユーザー実体の
ためeC実行するプログラムの活動會制限し、そのため
にそicらのプログラムの効果と効率を低下させること
である。第3の欠点は、そのような制約音別える装置の
誤動作の結果が破滅的なことである。というのは、アク
セスを自由に行えるセグメントに特定のデータオブジェ
クトが置かれると、データ処理システム内のセグメント
の間は、見つげたり、戻したりすることが不可能なやり
方でその特定のデータオブジェクトケ移動したり、複写
[、たりできるからであるー。
以上述べた技術には、碧意のニーデー実体のために実行
できるプログラムを悪意のユーザーがシステム内に置く
こともできる、という欠点も有する。その悪意のプログ
ラムでは、悪意のユーザー実体が、実際は、データオブ
ジェクトに許可なしにアクセスするようにして情@全複
写するためは、善意のユーザー実体に刈し1許可されて
いるアクセス権を使用する。そのような慎写が行われた
こと全善意のユーザー実体に見つけられない。
更は、信用度の高いプログラムのみにシステムファイル
へのアクセスを許し、かつユーザー実体のために実行し
ているプログラムは、システムファイルをアクセスしよ
うとするたびは、信用度の高い上記フ゛ログラムに呼出
し、を求めることも関連技術において知られている。こ
の技術Vこは3つの欠点がある。第1の欠aは、上記の
ように信用度の高いプログラムの信用度が低下させられ
ること、およびプログラムにより実行される機能の数が
多いためは、プログラムの信用度が低下していないこと
を示すことが事実上不可能なことである。第2の欠点は
、信用度の高いプログラムの信用度が低下しないとして
も、信用度が高いそのプログラム以外の手段によりシス
テムファイルをアクセスすることができなムことを示す
ことが非常に困菖なことでちる。第3の欠点は、システ
ムファイルをアクセスするために仲介プログラムを実行
することにより、ユーザー実体のために実行するプログ
ラムの性能音大きく低下させることである。
アクセス権情報を含み、あるセグメントを記述する特定
のデータオブジェクトQ他のセグメント内に格納するこ
とをユーザーに許すこと、および特定のデータオブジェ
クト’を検索し、それに続いて、その特定のデータオブ
ジェクトから検索されたアクセス権情報に従って、記述
されたセグメントの内容をアクセスするととtユーザー
に許すことも関連技術において仰られている。この技術
には、あるセグメントに対するユーザーのアクセス権が
、特定のデータオブジェクトが作られた時に決定される
ためは、アクセス権の取消し後もそのユーザーが古いア
クセス権を保持できるものとすると、そのユーザーのア
クセス権を効果的に取消すことができないという欠点が
ある。
それらの先行技術の別の欠点は、あるデータオブジェク
トをアクセスすること全保障政策により許可された者が
、そのデータをマークされていない書式で出力でき、そ
れからそのデータの保障状態に反してそのデータを便用
”tfc、は:α写するといつ別の欠点もある。
〔発明が解決しようとする問題点〕
したがって、不発明の目的は、上記の意味で安全である
データ処理システムのアーキテクチャ1得ることである
本発明の別の目的は、信用度が非常に高い複雑なソフト
ウェアプログラムに頼ることなしは、上記安全を提供す
ることである。
本発明の別の目的は、保障属性tユーザー実体およびf
−タオブジェクトrこ関連させ、かつ時間の経過ととも
に制御されるやり万でそれらの保障属性が変化すること
t許す装置を得ることである。
不発明の別の目的は、ユーザー笑体プログラムが、予め
定められた保障政策によって設定された制約と適合する
アクセス権のみ全実行でさること全保証する装置を得る
ことでちる。
本発明の別の目的は、ユーザー実体プログラムが、デー
タに対するアクセス権の乱用により、予め定められてい
る保障政策により許可されていないオペレーション葡実
行しないことケ保証する装置金得ることである。
不発明の別の目的は、安全でないコンピュータアーキテ
クチャにより提供される技術の延長上にあるが、その技
術に限定されない技術−1−得ることにより、ソフトウ
ェアおよびプログラムの実務によって安全な処理が行え
るようにするためは、それらのソフトウェアおよびグミ
グラミングの実務に最少限の変更を加えるだけの技術を
用いて前記諸口的を達成することである。
本発明の別の目的は、データの機密度お、よびデータ表
示装置の性質に適合するや9万でのみ出力データ全表示
し、その出力データにラベル全村すようなデータ処理シ
ステムを得ることである。
本発明の更に別の目的は、°保護されるシステムファイ
ルすなわちシステムデータに対する古いアクセス権をユ
ーザーが保持できないようなデータ処理システムを得る
ことである。
〔問題点を解決するための手段〕
本発明の諸口的は、システムファイルのセグメント内の
特定のデータオブジェクト會認識できる装置を、データ
処理システムに設けることによって達成される。前記特
定のデータオブジェクトそれぞhfよ、単一のデータオ
ブジェクtを意味する。
あるプログラムが与えられたデータオブジェクトを特定
のモードすなわち?9方でアクセスすなわち操作できる
前は、そのグログラムは、与えられたデータオブジェク
ト金示す値を有する特定のデータオブジェク11−前記
装置が利用そきるようにせねばならない。そのgcRは
、セグメントが特定のデータと通常のデータの双方を含
むこと管許し、かつ特定のデータオブジェクトによる技
術音用いるグログラムが課す制約以外(・′Cは、どの
セグメントが特定のデータオブジェクlfむことができ
るかということについての制約は課さない。その装rt
ltは、ラベル付きのデータの表示を、データオブジェ
クトの保障レベルと、データオブジェクトが表示される
表示装置の性質とに適合するやp方でのみ許す。その装
置は、特定のデータオブジェクトに対して実行できるオ
ペレーションを制限することにより、それらの特定のデ
ータオブジェクト全信用反低下または検査から保護する
。この装aは、既存の保障政策により許可されていない
モードすなわちやり方で通常のデータオブジェクトを直
接または間接にアクセスすなわち取扱うのは、所定のユ
ーザー実体のために実行するプログラムが特定のデータ
オブジェクトを便用できないことを保証丁ふためは、保
障属性の特定の項目f、1nstance)  k%デ
ータオブジェクトに関連づける、という技術を用いる。
そのような特定の項目のことをここではデータオブジェ
クトの保障レベルと呼ぶことにする。この装置は、デー
タ処理システムがあるプログラムを現在実行しているこ
とにより利益をこうむるユーザー実体に関連する保障属
性を常に保持する。あるアクセスすなわち操作を1aグ
ラムにより実行すべき時に有効であるそのような保障属
性の項目のとと會、ここではグログラムの現在の保障コ
ンテキスF (current 5eeurity c
ontext )  と呼ぶことにする。保護されるシ
ステムファイルすなわちデータに対するアクセス権はあ
る保障プロセッサ内に常に保持される、その保障プロセ
ッサは、その中に保持されているデータ全1データ処理
システムのディレクタ実体によってのみ変更できる。こ
の装置は、あるグログラムが、特定のデータオブジェク
トにより示されたデータオブジェクト金、プログラム保
障コンテキストおよびデータオブジェクト保障レベルの
との特定の組合せに附する既存の保護氷政策により定め
られるモードすなわちやり方でアクセス、操作、弄示ま
たはラベル付けを行うことt許すだけである。その結果
、所定のユーザー実体のためにこれまで実行されたプロ
グラムは、データオブジェクトに含萱れている情報ヲ、
既存の保障政策により許可されていないやり方すなわち
モードでアクセス、掃作、表示筒−#はラベル付けを直
mまたは間接に行うことができない1)特定のデータは
、プロセッサの間で共用されているセグメント内は、保
障伝送リンクに沿って、または暗号化された形式で含ま
せることができ、それによ夕分散システムにおける全て
のデータ処mfc*のユーザー実体によるアクセスの制
御を統一的に行うととができる。
L実施例〕 以下、因面を参照して本発明の詳細な説明する。
第1図は、エーザー実体間の情報の流れを、ユーザー実
体と、それらのユーザー実体により操作すなわちアクセ
スされるデータオブジェクトとに関連する保障滴注のレ
ベル部分により、どのようにして制御できるか會示すも
のである。この例におりる保障属性のレベル部分・は部
分的に順序づけられる。すなわち、A(2)はA (1
)より大きく、A(1)はA(0)より大きく、B(2
)にB(1)より大きく、B (1)riB (0)よ
り大きく、A(2)iB(0)!5大!いj うに定め
らね、各属性にそれ自身に等しいように定められ、諸属
性のレベル部分の間にはそれ以外の関係は存在しない。
予め定められる保障政策は、ユーザー実体の保障属性の
レベル部分中の現在の値がデータオブジェクトの保障属
情のレベル部分より大きいか、それに等しい時、および
その時のみユーザー実体はデータオブジェクトから情報
を読出す(検索する)ことかでき、データオブジェクト
の保障属性のレベル部分が、ユーザー実体に現任関連し
ている保障属性のレベル部分より大きいか、それに等し
い時、およびその時のみ、ユーザー実体は情報全データ
オブジェクトに書込む(入力する)ことができることで
ある。図示のようにコンビエータのメモリ内のシステム
ファイルに含まれているデータオブジェクトにより交信
するユーザー実体に関連して、いずれのデータ処理ユー
ザー実体もメモリスペース金利用できる。どのユーザー
実体も、図において接続線が存在している任意のデータ
オブジェクトt、その&’lt!、線に付けられている
ラベル上に示されているモードすなわち態様でアクセス
または操作できる。したがって、その接続線は、例示の
保障属性を与えられて、情報がユーザー実体からユーザ
ー実体へ流れることができるようにする全ての可能な指
向性経路を定める。したがって、A(0)とA(1)か
らA(2)へ、B(0)とB(1)からB(2)へ、B
(0)からA(2)への一方向通信が可能であり、その
通信は、多くの場合に種々のデータオブジェクトを弁し
て行われる。そのようにして、それらユーザー笑体間の
厳密な階層的順序づけのような固定的関係に限定されな
いようなや9方で制御できる。たとえば、近代的な企業
経営においては、データオブジェクトの集合B(6)は
桜密F4 (sensitivit7 )がしだいに高
くなる材層データを含むことができ、データオブジェク
トの集合A (n)は機密性がしだいに高くなる生産デ
ータを含むことができる。同様は、ユーザー実体の集合
B (n)は職階がしだいに高くなり、かつ特権がしだ
いに大きくなる財務スタッフのメンバーとすることがで
き、ユーザー実体の集合A(n)は生産スタッフのメン
バーである。図示の例における情報の流れの制御は、各
スタッフ内でに情報は上方へのみ流れ、生産スタッフの
最高の職階にあるメンバーは個々の送り状のような低機
密度の財務データを調べることはできるが変llはでき
ず、それ以外の他の生産スタッフメンバーはどのような
財務データもアクセスできず、財務スタッフのメンバー
は職階を問わず生産情報を読み出すことはできない、と
いうような状況を示す。情報の流れは、ユーザー実体の
3A(Eの保障属性とデータオブジェクトの現在の保+
=属性との比較を基にしてオペレーション全許可したり
、禁止したりすることによってのみ制限を受けることは
明らかでろろう。したがって、保障属性11(nJのデ
ータオブジェクトyアクセスしようとした時にユーザー
実体が保障属性A(0)2石するものとすると、属性を
比較することにより不適合とい9結果が生ずることにな
る。
第1図においてはデータオブジェクトを別個の実体とし
て表しているが、一般は、データオブジェクト?物理的
媒体内のどこにでも置くことができることも明らかであ
ろう。
次は、特定の書式(フォーマット)の情報のアクセス金
、特定のタスクを実行するサブシステムにどのようにし
て限定できるかを示す第1a図を参照する。との例にお
いては、Fl、F2.F3はデータオブジェクトの集合
であって、各集合は特定の内部書式!−有する。81/
=82は、一致して機能して特定のタスクを実行するハ
ードウェアおよびソフトウェアで構成されたサブシステ
ムである。図示のようは、書式Flのデータは、Slと
86を含めた数多くのサブシステムで一般に利用でき、
書式F2のデータはサブシステムS1のみが取扱うこと
ができ、書式F3のデータはサブシステムS1と82の
間で交信するために使用できるだけである。
したがって、書式Flは、符号化されたキャラクタ列の
ような、マシン内のデータに対して一般に使用される書
式である。書式F2は、人が読めるような形態で表示ま
たは発生される時にコンピュータからの出力をマークす
るために用いられるキャラクタの列(たとえば、最高機
密(TOP  5ECRET)、専N (PRQPRI
 ETARY )など)のような、正しいままで彦くて
はならない情報の書式、および、どの情報をどのように
してマークせねばならないかを定める表の書式とするこ
とができる。
書式F3は、表示のために適切にマークお′よび書式化
される通常の情報とすることができる。
そうすると、サブシステムsxu、適切な’−キフグを
決定すること、および出力のためにデータに’i式化す
るタスクの一部としてそれをデータ中の適切な場所に挿
入することを、タスクとしているようなザブシステムで
ある。サブシステムS2は、タスクが、ある適当な装置
にデータを表示することであるよりなサブシステムであ
る。
例で示されているアクセスの制約は、情報に9いてのマ
ーキングが表示される時にそのマーキングを変更するこ
とにより、たとえば[専有(PROPRIETARY)
を1一般配布用に公表済(RELgASDD FORP
UBLICDISTRBUTION)Jへ変更すること
により、悪意のプログラムが、予め定められている保障
政策の意図を打ち砕くこと全阻止することが明らかであ
ろう。サブシステムSlと821!、厳しい検査および
゛テストのプロセスにより、悪意ある意図から影響を受
けないことが示されている。制限された性質のそのよう
な証明は、サブシステムが保障政策をどのようにしても
破らないという一般的な証明より十分に簡単である、と
いうことはコンピュータシステムの設計に通じている人
にとっては明らかであろう。サブシステムS1,52r
i、書式がF2とF3O情報會アクセスすることが許さ
れているという程度でのみ、特権を肩する。それらのサ
ブシステムが行うどのようなアクセスも、第1図に示す
ようは、それぞれの書式にある情報の保障レベルによっ
ても制約される。サブシステム81の部分でにない悪意
のあるプログラムは、書式F2の情報をアクセスできず
、それにより、情報上とのようにしてマークすべきかの
定義、またはマーキングの性質會変史することが阻止さ
れる。サプシステ、4810部分ではない悪意あるプロ
グラムは、書式F3の情報を発生または修正できないか
ら、データを不適切にマークして表示することも阻止さ
れる。
データ書式とサブシステムの間の予め定められている関
係を基にしてアクセスを制約するこの方法を用いて、例
示したもの以外の状況においても情報の非買収性(in
corruptability) l:維持できること
も明らかであろう。
次は、端末装置20と、プロセッサ21およびメモリ2
2で構成されているデータ処理システムが示されている
第2図を参照する。自己のためにプロセッサ21がプロ
グラムを実行することを望んでいるニーデー実体は、た
とえばパスワードを用いる精緻なログイン手続きにより
、最初に自分自身全識別してもられねばならない。別の
例として端末装置自体全利用する場合もあり、この場合
には、端末装置を識別Tることによりユーザー実体が自
動的に識別され、かつそのユーザー実体の保障属性が自
動的に定められる。ユーザー実体(または端末装置)が
プロセッサ21にひとたび結合されると、そのプロセッ
サはそのニーデー実体のためにプログラム全実行でき、
それらのプログラムはメモリ22内の情報を各種のモー
ドおよびやり方でアクセスすなわち取扱うととができる
次は、本発明を実施する主な部品のブロック図が示され
ている第3口金参照する。第2図のプロセッサ21はユ
ーザー実体識別器31と、通常データオブジェクト処理
器32と、保障プロセッサ33とで構成される。ユーザ
ー実体識別器31は、第2図の端末装置20會弁して交
信しているユーザー実体に現在関連する保障属性と、通
常データ処理Mit32により現在実行されているサブ
システムと全モニタすることにより、保障コンテキスト
・レジスタ331を維持する。保障プロセッサ33ニ、
現在の保障コンテキスト・レジスタ331と、保障政策
ユニット332 と、データオブジェクト%徴表333
と、プログラムワーキングセット表334と、特定デー
タオブジェクト処理器335と、メモリアドレス装置3
36  と、暗号器337とで構成される。保障政策ユ
ニット332 は保障政策を格納し、通常のデータオブ
ジェクトについて操作しているユーザー実体に対して許
されたアクセスモード全計算する。データオブジェクト
特徴衣333 u、特定のデータオブジェクトにより示
されているあらゆるデータオブジェクトのアドレスおよ
びその他の特徴を保持する。プログラムワーキングセッ
ト茨334は、プログラムが現在働きかけている通常の
データオブジェクトyアドレスするために必要な情報を
言む。特定データオブジェクト処理器335 U、特定
のデータオブジェクトについて限定された1組のオペレ
ーションを実行する。メモリアドレス益336 は第2
図のメモリ22に対する情報のフェッチおよび格納を行
う。2′モリアドレス器336 にタグコード認識器3
36a  を含み、このタグコード認識器336aは、
通常データ処理器32だけが通常のデータオブジェクト
七処理するようにする。暗号器337は、特定のデータ
オブジェクト%含むセグメントの伝送をm実に行うため
に含むことができる。
データ処理システムの(保障オフィサのようがディレク
タ実体のみが保障プロセッサ33をアクセスでき、かつ
それに含筐れているデータを取扱うことができる。第3
図は保障プロセッサ33を個別の装置として示している
が、保障プロセッサ33の機能はデータ処理システムの
ハードウェアとソフトウェアの全体にわたって分散でき
る(たとえば、保障プロセッサ33の機能は、汎用処理
システムにおいて特定のモードで働くソフトウェアによ
り実現できる)。
次は、特定データオブジェクトが、およびそれが示す通
常データオブジェクトとともに示されている第4図?]
−参照する。特定のデータオブジェクト40は、通常の
データオブジェク)41Jf−独自に識別するデータオ
ブジェクト識別番!401と、娯り検査コードおよび誤
り訂正コードのような情@會含むために使用できる雑フ
ィールド403と、第2図のメモリ22内での通常のデ
ータオブジェクト41の始めの位置を定める現在アドレ
ス405と、第2図のメモリ22内での通常のデータオ
ブジェクト41の長さ、したがらてその通常のデータオ
ブジェクトの終りの位鑵ヲ定める長さ406と、通常の
データオブジェクト41内の情報の保障レベルを定める
保障レベル407と、通常のデータオブジェクト41内
の情−〇書式を定める書式409 と、情報全通常のデ
ータオブジェクト41中に符号化するやり方のような通
常のデータオブジェクト41の他の諸特徴を含む他の特
徴フィールド408 とで構成される。この好適な実施
例においては、フィールド401 と 403に第2図
のメモリ22内で隣り合う場所を占め、それらの場所を
kむ物理的媒体に関連するタグコードを有する。また、
フィールド405,406.407鉱第3図のデータオ
ブジェクト特徴表333内に置かれ、データオブジェク
ト識別番号(DOID)401によりその位置が示され
る。この構成によりメモIJ i最も効率的に使用でき
、かつ保障プロセッサの性能が向上する。
他の構成であっても、保障プロセッサがフィールド40
1  の1直を与えられて、フィールド403゜405
.406,407,408 および409  のを使用
でき、かつフィールド401 會含むオブジェクトを特
定して、許可されていないアクセスすなわち許可されて
いない取扱いからそれ全保護するための識別を行う構成
であれば、機能的に同等である。
次は、入れ子構造およびオーバーラツプ構造の通常のデ
ータオブジェクトを特定のデータオブジェクトが指定す
る方法が示されている第5図を参照する。第4図の3つ
の特定のデータオブジェクト40が第2図のメモリ22
に示されている。各特定のデータオブジェクトは第4図
の各データオブジェクト識別番号ff14Q1  ’t
7Nするから、個別の通常のデータオブジェクト50,
51.52r示す。第5図は、通常のデータオブジェク
ト51が通常のデータオブジェクト50内に入れ子穴に
入れられ、通常のデータオブジェクト52が通常のデー
タオブジェクト50に重なり合うような値を、第4図の
フィールド405,406  がどのようにしてとると
とができるかを示すものである。3つの特定のデータオ
ブジェクトの全てが同一の通常のデータオブジェクトを
示すような値をフィールド405.41)S内の値がと
ることも可能である。
次は、アドレスをどのようIc l、て計算するか、お
よびアクセス権ヤどOようK l、て検査するかを示す
第6因を参照する。命令60は、第2図のメモリ22内
の通常のデータオブジェクト61のフィールド611 
に対してプログラムが実行すべき#ヘレーション11 
るオペレーションコード601  と、それに対してプ
ログラムが現在働きかけているデータオブジェクトの集
合に対して表されるフィールド611の場所であるロー
カルなアドレス602とで構成される。ローカルなアド
レス602はフィールド602a と602bを含むも
のと解される。フィールド602a t’s第3図のプ
ログラムワーキングセット表334への索引と解される
。その索引はプログラムワーキングセットエントリ62
の場所を示す。そのプログラムワーキングセットエント
リ62はデータオブジェクト識別番号フィールド621
 と、アクセス権フィールド622 と、現在のアドレ
スフィールド623と、長さフィールド624とで構成
される。フィールド602b r!通常のデータオブジ
ェクト61内のオフセットと解される。命令60は第3
図のメモリアドレス装置336へ送られる。
メモリアドレス装置336はフィールド61)2aをと
9出し、それを用いてプログラムワーキングセットエン
トリイ62の位置を定める。メモリアドレス装置336
はアクセス権622 をオペレーション:2−)−60
1とJ[L、オペレーションコード601 により求め
られるアクセスおよび取扱いのモードおよびやp方が、
アクセス41!622により許されているかどうかtg
べる。もし許されていなければ、メモリアドレス装置3
36は、割込みのような手段により、適切な管理プログ
ラム會呼出す。オペレーションコード601  とアク
セス権622が適合するものとすると、メモリアドレス
!81338 flオフセットフィールド602b を
長さフィールド624 と比較して、フィールド611
が通常のデータオブジェクト61内に実際にあるかどう
か會調べる。もし通常のデータオブジェクト内にないと
、メモリアドレス装置336は割込みのような手段を用
いて適切な管理プログラムを呼出す。もし通常のデータ
オブジェクト内にあると、フィールド611 のアドレ
スを得るためは、メモリアドレス装置336はフィール
ド602b  kフィールド623に加える。そして読
出しを希望した時は、オペレーションコード601に応
じて、フィールド611t、第3図の通常データオブジ
ェクト処理器32または第3図の特定データオブジェク
ト処理器335へ送る。第3図のタグコード認識器33
6aは転送′を調べて、タグコードを含んでいる場所に
格納されているデータが通常データオブジェクト処理器
32へ送られないヨウにする。オペレーションゴー1’
601カフイールド611 に対する他のアクセスモー
ドラ意味するものとすると、この説明をどのようlこ修
正するかは当業者にとっては明らかであろう。
次は、プログラムが現在働きかげているデータセットに
あるデータオブジェクト音別える方法が示されCいる第
7図を参照プ°る。プログラムが、希望のデータオブジ
ェクト61に上記のようにしてアクセス゛まだは取扱う
ことかでさるようにするた−めは、そのデータオブジェ
クr61に前記プログラムのワーキングセットに加える
要求を第3図の保障プロセッサ33−\送る。その要求
はオペレーションコードと、アドレスと、フィールド値
トの任意の組合せでコード化できる。それらのフィール
ド値は要求を識別し、第2図のメモリ22にtすれてい
る第4図の特定のデータオブジェクト40を示す。その
特定のデータオブジェクト40はメモリ22内の希望の
データオブジェクト61を指示し、第6図のプログラム
ワーキングセットエントリイ62を識別し、そのエント
リイをプログラムが用いて、後でデータオブジェクト6
1全参照する。第3図の特定データオブジェクト処理器
335は、第6図全参照して説明したステップを用いて
、メモIJ 22からフィールド401,403をフェ
ッチする。
特定データオブジェクト処理器335は、データオブジ
ェクト識別番号401 を用いて、保障レベル407 
とデータ書式409をデータオブジェクト特徴表333
からフェッチし、現在の保障コンテキストi現在の保障
コンテキストレジスタ331からフェッチする。そのレ
ジスタ331i’jユーザ実体識別器31により絶えず
維持され、それら3個の値を保障政策ユニット332へ
送る。保障政策ユニット332はアクセス権622の正
しい値をエントリイ62に置く。処理器335は、フィ
ールド401  ’tフィールド62へ動かし、フィー
ルド405をフィールド623へ動かし、フィールド4
06をフィールド623へ動か丁ことにより、エントリ
イ52の残9を図示のようにして構成する。
兵制して作用する第6図および第7図に示すオペレーシ
ョンにより、マシンのアラユるオペレーションを予め定
められている保障政策に一致させルコトが、コンピュー
タシステム設計に通じている人には明らかであろう。第
6図のオペレーション601 は、フィールド611 
が會んでいるg!Lをアクセスまたは取扱うためは、フ
ィールド611の位置を定めるために求められるアドレ
ス全発生しようとした時は、アクセス櫓フィールド62
2に遭遇することは避けられない。アクセス権622は
第3i21の保障プロでツサ33によV設定できるだけ
である。それらのアクセス権の設定においては、保障プ
ロセッサ33は保障政策ユニット332に遭遇すること
は避けられない。その保障政策ユニット332 [、レ
ジスタ331内の現在の保障コンテキストと、データオ
ブジェクト特徴表333に保持されているフィールド6
11 の保障レベルおよび書式との間の、外部政策によ
りyめられる関係を基にしてアクセス権を選択する。し
たかつて、外部政策を強制する機構を通じる以外は、フ
ィールド611内の情報全アクセスまたは取扱う方法に
ない。
次は、保障政策ユニット332 の動作が示されている
第8図を参照する。現在の保障コンテキスト331 は
それの構成部分であるユーザー実体属性3311  と
サブシステム3312に分けられる。
ユーザー実体属性3311  と保障レベル407は属
性比較器3321へ送られる。この属性比較器3321
に仮アクセス権3323  を発生する。仮アクセス権
3323の発生は、次に限定されるわけではないが、ユ
ーザー実体の信用度とデータの機密度の符号化された値
の比較と、ユーザーの名称と許可を受けたユーザーのリ
ストの一致との少くとも一方を含む、予め定められてい
る政策の意図を正しく反映するいくつかの手段により行
うことができる。
それから、収アクセス権3323 flサブシステム、
/書式比較器3322により確[(validated
 )される。そのサブシステム/書式比較器3322 
U、現在のサブシステム3312およびデータオブジェ
クト書式409 t’、特定の書式のデータへのアクセ
ス金特定のサブシステムにより許された諸アクセスの表
またはその他の表現と比較する。それから、サブシステ
ム/:l1lF式比較器3322 i、上記比較の結果
により許可されていないアクセスのどのモードまたはや
り方も仮アクセス権3323から削除し、それの結果を
アクセス権として発生する。
保障政策ユニット332のそれと同等の動作は、適切な
権限tVするもの(たとえば、アクセス権信号をオーパ
ーラ1ドできる予め定められている。
プログラム)により前もって許可されていない限りにお
いて、属性比較とサブシステム/書式比較のいずれかに
否認されたアクセスのモードまたはや9万をアクセス権
622が含んでいなければ、サブシステム/書式比較器
3322と属性比較器3321  との動作を異なる順
序で行うことにより、行わせることもできる。
アクセス権622は、データオブジェクト61をプログ
ラムワー千フグセットエントリイ62に加える試みに応
答してのみ発生式れる。したがって、アクセス権622
は格納する必要はなく、通常のデータオブジェクト61
がワーキングセット表334にさ1れている間は、一時
的に格納される以外は格納されない。アクセス権622
は保障プロセッサ33を離れることができないことに注
意されたい。この制約にメモリつ′ドレスiff 33
6の構造のために強いられるものであって、そのメモリ
アドレスgc貸においては、メモリ22と通常データオ
ブジェクト処理器32の間のデータの流情 れ會、アクセス格情報をデータどして送ることなしは、
制御するためにアクセス権信号が用いられる。その構造
は、現代のメモリ管理ユニットのアクセス制御部の構造
に類似する。
対応するオブジェクトがワーキングセット表334にぎ
1れている間だけアクセス権信号を格納することにより
、ひとたび許可されたアクセスを取消す問題が簡単とな
る。アクセス権をユーザーにより任意のメモリオブジェ
クト内に保持できるものとすると、アクセス権信号を得
て以来ユーザーがワーキング七ツr表金連続して保持し
なかったとしても、後でデータオブジェクト61″f、
アクセスするためにそれらの信号を使用できることにな
る。
実際は、ユーザーがプロセッサとのセツション(lle
88i0nJ  〒終った後で起り得る、ワーキングセ
ット表の破壊の後、またはユーザーがプロセッサとのセ
ツション全開始した時に起ることがある、新しいワーキ
ングセット表が初期化された時は、本発明q工未解決(
outatanding)のアクセス権を自動的に取消
す。アクセス権522が保障プロセッサ33′Kmれる
ことかできないということにより、保護されるシステム
ファイルに古いアクセス杢鑓全格納することでユーザー
が取消し規則の適用全党れることが阻止される。
動作 との実施例においては、任意の特定の時刻に特定のデー
タオブジェクトラ格納する物理的媒体に関連するタグコ
ード金特定のデータオブジェクトに持たせることにより
、特定のデータオブジェクトが通常のデ・−タオブジェ
クトから区別される。
特定のデータオブジェクトに対しては特殊な装置が作用
できるだけである。特定のデータオブジェクトは通常の
データオブジェクト中にフィールドとして含めることが
できる。その場合には、通常のデータオブジェクトを処
理する装置にとっては、それらのフィールドは禁止され
たフィールドとして見える。
特定のデータオブジェクト’6認鷹して、そのデータオ
ブジェクトに作用するfct&!、独立した保障プロセ
シングユニットとしてデータ処理システムに含1れ、そ
の保障プロセシングユニットはそれによってのみ16:
J御されるメモリ全音する。通常のデータオブジェクト
金アクセスまたは取扱う前は、ユーザー実体のために実
行するプログラムはその特定のデータオブジェクトを保
障プロセシングユニットへ転送せねばならず、その転送
が行われると保障プロセシングユニットにプログラムの
現在の保障コンテキストと、その特定のデータオブジェ
クトにより示されている通常のデータオブジェクトの保
障レベルと、通常のデータオブジェクトの書式とを保障
プロセシングユニットのメモリから取出す。それから、
保障プロセシングユニットニどのアクセス権が所定の保
障政策に適合するか、およびサブシステムと書式の間の
所定のアクセス関係に適合するか全判定する。保障プロ
セシングユニットは、前記所定の政策および前記所定の
アクセス関係に適合するモードおよびやり方でのみ、プ
ログラムが、特定のデータオブジェクトにより示されて
いる通常のデータオブジェクト金アクセスまたは取扱う
ことを許す。
特定のデータオブジェクトに2つの状況の下で作成され
る。第1の状況では、新しい通常のデータオブジェクト
を作成するという要求全プログラムが保障プロセシング
ユニットへ送る。その要求は、作成しようとする通常の
データオブジェクトの特性、たとえば、それの大きさ、
情報全データオブジェクトにコード化する方法、および
システムファイルのどこにそれ金置くか、など會含まな
ければならない。また、その要求は、作成しようとする
通常のデータオブジェクトの保障属性と書式も含萱なけ
ればならない。保障プロセシングユニットH通常のデー
タオブジェクトの特性をそれのメモリ内に置き、扇切な
物理的媒体中にスペースを割当て、新しい通常のデータ
オブジェクトラ示す新しい特定のデータオブジェクH−
作成してから、その新しい特定のデータオブジェクトi
要求しているプログラムへ送る。第2の状況においては
、特定のデータオブジェクトを複写する要求を保障プロ
セシングユニットへ送る。その要求は、原特定データと
して使用すべき特定のデータオブジェクトを含鷹なけれ
ばならない。保障プロセシンクユニットはその新しい特
定のデータオブジェクトラ要求しているプログラムへM
j。
この実施例は、一致して用いる6種類の方法により保障
を達成する。第1は、全ての情報を識別可能なデータオ
ブジェクトに集める。第2は、データオブジェクトに対
する全てのオペレーションについて、ユーザープロセス
は前記データオブジェクト會示す特定のデータオブジェ
クト’に使用することを要求する。第3は、使用中のサ
ブシステムの実体を含めて、オペレーションが実行され
ている対象であるユーザー実体の保障属性を常時認識す
る。第4は、全てのデータオブジェクトを保障属性の集
合および書式に関連づけることによりデータオブジェク
トをアクセスするためは、特定のデータオブジェクトy
使用するやり方を制御する。
第5は、予め定められている保障政策により許可されて
いるモードまたはやり方でのみオペレーションがデータ
オブジェクトラアクセスまたは、  取扱うことができ
るようは、特定のデータオブジェクトがそのオペレーシ
ョンにより使用される時にアクセスのモードおよびやり
方全通択する。第6は、全てのプログラムをサブシステ
ムに集め、通常のデータオブジェクトの書式を基にして
データオブジェクトに対するサブシステム内のプログラ
ムによる許されたアクセスを定める所定の関係を維持す
ることにより、通常のデータオブジェクトに対するプロ
グラムによるアクセスのモードおよびやり万を制限する
第1の方法の動作は第6図を参照することにより明らか
になる。第2図のメモリ22に格納されている情報は、
ローカルアドレス602 ’e介してオペレーション6
01 が利用できるだけである。
アドレス6021!、それの性質そのものにより、フィ
ールドの集9の中のフィールド611 を選択する。そ
のフィールドの集りハデータオブジェクト61である。
したがって、オペレーションにとってアクセスできる全
ての情報にデータオブジェクトの部分でなければならな
い。
第2の方法の動作は@6図および第7図を参照すること
により明らかとなる。プログラムが、フィールド611
 を選択°Tるローカルアドレス602を有する第6図
の命令60により、フィールド内の情報をアクセスまた
は取扱う。フィールド611を選択するために必要な演
算を行うためは、プログラムワーキングセットエントリ
イ62’にフェッチせねばならない。第7図には、特定
のデータオブジェクト40のフィールドからプログラム
ワーキングセットエントリイ62が取出される様子が示
されている。そのデータオブジェクト40のデータオブ
ジェクト識別番号401 がデータオブジェクト61會
指定する。したがって、あるフィールドをアドレッシン
グする動作には、アドレスを行おうとする前に特定のデ
ータオブジェクIを呈示する動作がt″すれることは避
けられない。
第3の方法の動作は、第3図のユーザー実体識別器31
の適切な任意の構成、およびそれと現在の保障コンテキ
ストレジスタ3310間の通信により行われる。ユーザ
ー実体識別器31は、第2図の端末装置20とともは、
どの属性集合をレジスタ331内に最初に置くかを決定
するためは、パスワード、保障および専用の電話線、コ
ールバック、暗号シールその他の各種の手段を単独で、
または組合せて便用できる。それと同時は、保障コンテ
キストレジスタ331 の内容に適合するアク七ス権’
k1組のエントリイ62にロードすることにより、プロ
グラムワーキングセット表334が初期化される。プロ
グラムの実行中は、オペレーションコード601 U、
アドレス602とともは、あるサブシステムから別のサ
ブシステムへ変更することt!&求できる。それからそ
のオペレーションコードは、フィールド611 のアク
セス動作に異なるプログラムワーキングセット表334
  hit!用させる。
WJ4の方法の動作は第4図を参照することにより明ら
かにされる。第4図から、保障レベルフィールド407
 と書式フィールド409 が、通常のデータオブジェ
クト41のfA在のアドレスを選択する同じデータオブ
ジェクト識別番号に関連づけられることがわかる。
第5の方法の動作に第7図會参照することにより明らか
となる。特定のデータオブジェクトの使用には、WI、
3図の特定データオブジェクト処理器335により%定
のデータオブジェクトがフェッチされること、およびフ
ィールドがそれからプログラムワーキングセットエント
リイ62へ移動すせられることが宮1れる。ひとたびフ
ェッテされたデータオブジェクト識別番号401は、第
3図のデータオブジェクト特徴表333から保障レベル
407 を得るために利用できる。特定データオブジェ
クト処理益335は、第3図に示す現在の保護1コンテ
キストレジスタ331 をアクセスすることにより、現
在の保障コンテキスト’に常に利用できる。したがって
、特定のデータオブジェクトを使用することには、デー
タオブジェクt[Iilレベルと現在の保障コンテキス
トの比較が行われること、したがって、第3囚の保障政
策ユニット332による第6図のアクセス権フィールド
622の適切な設定が含まれることは避けられない。ひ
とたび設定されると、第6図のフィールド611をアク
セスするためには、現在のアドレスフィールド623(
第6図)を求めるオペレーションによりアクセス権フィ
ールド622 が遭遇させられることに避けられない。
したがって、アクセスのモードおよびやり方の制約が一
様に強いられる。
第6の方法の動作は第8図を参照することにより明らか
となる。第6図のアクセス権622 の計算においては
、データオブジェクト書式409 (第4図)と、第3
図の現在の保障コンテキストレジスタ331 のサブシ
ステム3312がサブシステム/′4I式比較器332
2により比較され、その比較の結果を用いて、アクセス
権622により許されたアクセス金石う全てのモードお
よびやり方が、サブシステム内のプログラムにより許さ
れた、特定の書式のデータ金アクセスするアクセス権の
予め定められた集合に適合するようにする。第6図を参
照することにより、フィールド611 の現在のアドレ
ス623 を形成する間は、アクセス権フィ゛−ルド6
22 は任意のプログラムのオペ、レーションにより遭
遇させられることが避けられないことがわかる。したが
って、第8図のサブシステム/41F式比[器3322
により課されるアクセス権制約は一様に強いられる。
本発明のメカニズムと方法は、下記の2つのシステム構
Ift’i含むが、それのみに限定されない各種のやり
方で実施できる。それらの可能な実施例は第3図を参照
することにより理解できる。第1の実施例においては、
メモリアクセス要求において求められているアクセスの
種類に関する信号を与、するマイクロプロセッサのよう
な通常の処理装置により、通常データオブジェクト処理
器32の諸機能が実行される。メモリアドレス装置33
6の諸機能は、通常データオブジェクト処理器32と、
その通常データオブジェクト処理器32をメモリ22に
接続するバスとの間に設けられるハードウェアモジュー
ルによって実行される。プログラムワーキングセット表
は、メモリアドレス装置336の諸機能を実行する七ジ
ュール内か、またはメモリアドレス装置336 から容
易にアクセスでき、かつ通常データオブジェクト処理器
32による内容のアクセス動作から保護されたメモリ2
2の中に含まれる。特定データオブジェクト処理器33
5の諸機能は、メモリバスに取付けられ、または専用接
続線によりメモリアドレス装置336に取付けられてい
る特殊なハードウェアモジエールにおいて実現できる。
メモリ22は、アドレス可能な各実体に関連するタグを
含むようは、およびパス上のアドレス可能な実体の内容
とともに前記タグの僅と通信するように変更できる、メ
モリアドレス装置は、入来データに関連するタグフィー
ルドのtLt調べ、それが特定データオブジェクト内に
Mlれていることを示すタグ1@ヲ有するオブジェクト
であれば、どのようなオブジェクトの内容も通常データ
オブジェクト処理器32が決して送らないことt株証す
るようは、前記タグフィールドの値についての情報の流
れを制御する。
纂2の実施例においては、通常データオブジェクト処理
缶32の諸機能はマイクロコンピュータのようカ通常の
プロセッサにより実行され、特定データオブジェクト処
理器335の諸機能は適当にプログラムされたマイクロ
プロセッサにより実行される。メモリアドレス装置は、
第1の実施例について先に述べたようにして実現できる
。全てのオペレーションが同じ処32装置において実行
され、オペランドのタグ値が、それらに対して実行でき
る諸機能全実行するように機能するような実施例を含め
て、他の実施例が可能であることは、コンピュータの設
計に通じている者には容易にわk)る。
いずれの実施例においても、タグフィールド、したがっ
て通常のデータオブジェクトと特定のデータオブジェク
トの違いは省七できる。その結果として得られた実施例
においては、適切なサイズの任意のデータオブジェクト
全特定データオブジェクト処理器335へ与えて、その
データオブジェクトラ第4図のデータオブジェクト識別
番号401 と解釈させることができる。そのような実
施例はオペレーションに対して予測されない結果金もた
らすことがあるが、それらの結果の全ては、所定の保障
政策と、特定の書式の情報をアクセスすることをサブシ
ステムにより許された所定のアクセス集合とに適合する
ことは、コンピュータシステムの設計に通じている者に
とっては明らかである。
通常のデータオブジェクトと特定のデータオブジェクト
との差異がタグ操作の間中保たれたとすると、特定のデ
ータオブジェクトを通常のデータオブジェクトよりも自
由に書くことかで・きる。とくは、通常の情報の複写が
既存の政策により禁止サレる状況にあっては、可視情報
の流れが既存の政策を破らないようにして、特定のデー
タオブジェクトを通常のデータオブジェクトに伐写する
(これは書込みの形式である)ことr許すことが可能で
ある。そのようなオペレーションを許すと、機密度全低
下させることなしにプログラム設計の自由夏全高くでき
る。
単一のユーザ一端末5fc*を有するプロセッサについ
て以上説明したが、多数のユーザ一端末装置?!するコ
ンピュータシステムの構成に不発明を効果的に適用でき
ることが、コンピュータシステムの設計に明かるい者に
とっては明らかであろう。
関連技術において刈られているようは、種々のユーザー
に関連するプログラムの間でプロセッサを切換え、ある
ユーザーのプログラムがプロセッサから切離された時は
、そのプログラムに関連する状態情報が保持され、その
プログラムがプロセッサへ再び接続された時は、その状
態情報を確実に回復されるようにする。上記技術を本発
明に適用するには、ユーザープログラムの状態が現在の
保障コンテキストレジスタ331 の内容と、第3図の
ブaグラムワーキフグセット表334の内容を含むこと
が必要である。
アクセス領622 の設定するオペレーションは、オペ
レーション601  の実行に先立つ任意の時刻に実行
できることもコンピュータシステム設計に通じている者
にとっては明らかである。一般は、アクセス@622 
 の設定するオペレーションが後で実行されるほど一層
しはしは実行される。そして、それが実行される回数−
二増すほど、オペレーション601 の集合より成るプ
ログラムをマシンが実行するのに要する時間が長くなる
。それを実行する回数カニ増すとデータオブジェクト特
徴表333 を参照する回数も増し、したがってその表
の変更が、プログラムの挙動に課される制約に一層迅速
に反映されることになる。したがって、プログラムの性
能を高くすることと、それらのプログラムにより行われ
るアクセスを制御するデータ保障特性が時機にかなうよ
うにすることの間で妥協がなされる。データアクセス特
性が変る共通の場合というのは、名称によりユーザーに
許されるアクセスが許されるか、取消されるかの時であ
る。
各オペレーション601 に対してアクセス権622が
再び計算されたとすると、許可または増消しは次のオペ
レーションそのものに対して行われる。
ある長い間隔をおいてアクセス権622が再計算される
ものとすると、フィールド622の古い値の制御の下に
ある数のオペレーション60i  t’実行できる。
【図面の簡単な説明】
第1図は保障属性をユーザー実体に関連づけ、かつそれ
らの属性の相互関係によりアクセスおよび取扱いのモー
ドおよび態様を制御する保障政策により情報の流れの制
限をどのようにして行うかを示す線図、第1a図は特定
の書式で格納されている情報を特定のサブシステムがア
クセスするやり方を支配する付加保障政策により、情報
アクセスに対する制限をどのようにして行うことができ
るかを示す線図、第2図は典型的なデータ処理システム
の簡単化したブロック図、第3図は本発明を実現する装
置を示すデータ処理システムのブロック図、第4図は特
定のデータオブジェクトのフィールドを示す線図、第5
図は特定のデータオブジェクトがオーバラップ構造また
は入れ子構造のhxのデータオブジェクトyどのように
して示すかを示す線図、第6図はアクセス権を強制する
ようにしてデータオブジェクトがどのようにしてアドレ
スされるか七示す線図、第7図はプログラムが作用する
データオブジェクトの集合に対して、既存の保障政策が
変更されないようにして、前記プログラムがデータオブ
ジェクトをどのようにし。 て加えるかを示す線図、第8図は保障政策ユニットによ
りアクセス権がどのようにして計算されるかを示す線図
である。 20・・・・端末装置、21・・・・プロセッサ、22
・・・ψメモリ、31・・働・ニーf−実体識別器、3
2・・・・通常データオブジェクト処理器、33・・・
拳保障プロセッサ、331・・・・現在の保障フンテキ
ストレジスタ、332・・・・保障数丁ニット、335
 ・・・・特定データオブジェクト処理器、336 ・
・嘲・メそリアドレス装置、338a  ・拳−−タグ
コード認識器、337・・・嗜暗号器。 4!許出願人  ハネウェル・インコーボレーテッド復
代理人 山川数構(を勃・2名) Fig、 2 ■・ 7か21F八°4!′7           
Fig、/ahり?

Claims (4)

    【特許請求の範囲】
  1. (1)保護すべき各システムファイルが保障レベルに関
    連させられ、データ処理装置がプログラムまたはプログ
    ラム群に応答して、前記保護されるシステムファイルに
    より、または前記保護されるシステムファイルについて
    オペレーションを実行しようと試みる、データ処理シス
    テム内のシステムファイルを保護する方法において、 ユーザーを識別する過程と、 保障政策を保障プロセッサに少くとも一時的に格納する
    過程と、 前記保護されるシステムファイルを前記保障政策に従つ
    て処理する過程と、 前記保護されるシステムファイルのいずれか1つに対し
    てアクセス権信号を発生する過程と、前記アクセス権信
    号が前記保障プロセッサから出ることを禁止する過程と
    を備え、 前記保障政策は、前記保護されるシステムファイルのた
    めの許容できるアクセス権を、前記予め選択された保障
    属性の可能な値および前記保障レベルの可能な値によつ
    て定め、前記保障プロセッサに格納されているデータは
    、前記データ処理システムのディレクタ実体によつての
    み変更でき、かつ前記保障プロセッサの部分によつての
    み検索でき、 前記アクセス権信号は、前記予め選択された属性および
    前記保護されるシステムファイルのいずれか1つに関連
    した保障レベルと、前記保障政策との比較により決定さ
    れ、前記アクセス権信号発生手段は前記保障プロセッサ
    の一部であることを特徴とするデータ処理システム内の
    システムファイルを保護する方法。
  2. (2)保護すべき各システムファイルはデータ書式に関
    連させられ、特定のタスクを実行するプログラムまたは
    プログラム群に応答して動作するデータ処理システム内
    のシステムファイルを保護する方法において、 前記データ処理システムと相互作用するユーザーを識別
    する過程と、 保障政策を保障プロセッサ内に少くとも一時的に格納す
    る過程と、 前記保障プロセッサにおいて前記保護されるシステムフ
    ァイルを前記保障政策に従つて処理する過程と、 前記保護されるシステムファイルのいずれか1つに対し
    てアクセス権信号を発生する過程とを備え、 前記識別は予め選択された保障属性を前記ユーザーに関
    係させ、 前記保障政策は、前記保護されるシステムファイルに対
    する許容できるアクセス権を、前記データ書式の可能な
    値と、前記予め選択された保障属性の可能な値と、前記
    特定のタスクとの関数として定め、前記保障プロセッサ
    に格納されているデータは、前記データ処理システムの
    ディレクタ実体によつてのみ変更でき、かつ前記保障プ
    ロセッサの部分によつてのみ検索でき、 前記アクセス権信号は、前記保障政策と、前記予め選択
    された保障属性および前記保護されるシステムファイル
    の前記いずれか1つに関連した前記データ書式ならびに
    前記保護されるシステムファイルの前記いずれか1つに
    より、または前記保護されるシステムファイルのいずれ
    か1つについて実行すべき前記機能のいずれかとの比較
    により決定されることを特徴とするデータ処理システム
    内のシステムファイルを保護する方法。
  3. (3)保護される各システムファイルにデータ書式が関
    連づけられ、特定のタスクを実行するプログラムまたは
    プログラム群に応答して動作するデータ処理システムに
    おいて、 このデータ処理システムと相互作用するユーザーを識別
    し、予め選択されている保障属性を前記ユーザーに関係
    づける識別手段と、 前記データ書式の可能な値と、前記予め選択された保障
    属性の可能な値および前記特定のタスクの機能とで、前
    記保護されるシステムファイルに対する許容できるアク
    セス権を定める保障政策を少くとも一時的に格納し、か
    つその保障政策に従つてデータを処理する保障プロセッ
    サと、 前記保護されるシステムファイルのいずれか1つに対し
    てアクセス権信号を発生する手段とを備え、 前記保障プロセッサに格納されているデータは、前記デ
    ータ処理システムのディレクタ実体によつてのみ変更で
    さ、かつ前記保障プロセッサの部分のみにより検索でき
    、 前記予め選択された保障属性と前記保護されるシステム
    ファイルの前記いずれか1つに関連するデータ書式およ
    び前記保護されるシステムファイルのいずれか1つによ
    りまたは前記保護されるシステムファイルのいずれか1
    つにおいて実行すべき前記機能のいずれかと、前記保障
    政策との比較により前記アクセス権信号は決定されるこ
    とを特徴とするデータ処理システム。
  4. (4)保護されるシステムファイルを有し、保護される
    各システムファイルには保障レベルが関連づけられ、プ
    ログラムまたはプログラム群に応答して、前記保護され
    るシステムファイルにより、または前記保護されるシス
    テムファイルについてオペレーションを実行しようとす
    るデータ処理システムにおいて、 ユーザーを識別し、そのユーザーに予め選択された保障
    属性を関係づける識別手段と、 保障政策を少くとも一時的に格納し、前記プログラムに
    応答して前記保障政策に従つてデータを処理する保障プ
    ロセッサと、 前記保護されるシステムファイルを格納する手段と、 前記保護されるシステムファイルのいずれかのためにア
    クセス権信号を発生する手段と、 前記アクセス権信号が前記保障プロセッサから出ること
    を禁止する手段とを備え、 前記保障政策は前記予め選択された保障属性の可能な値
    および前記保障レベルの可能な値で、前記保護されるシ
    ステムファイルに対する許容できるアクセス権を定め、
    前記保障プロセッサに格納されているデータは、前記デ
    ータ処理システムのディレクタ実体によつてのみ変更で
    き、かつ前記保障プロセッサの部分によつてのみ受ける
    ことができ、 前記保護されるシステムファイルを格納する手段に対す
    るアクセスは前記保障プロセッサにより制御され、 前記アクセス権信号は、前記保護されるシステムファイ
    ルのいずれか1つに関連する保障レベルおよび前記予め
    選択された保障属性と、前記保障政策との比較により決
    定されることを特徴とするデータ処理システム。
JP61034038A 1985-02-21 1986-02-20 データ処理システム内のシステムフアイルを保護する方法及びデータ処理システム Expired - Fee Related JPH0812645B2 (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US703638 1985-02-21
US06/703,638 US4713753A (en) 1985-02-21 1985-02-21 Secure data processing system architecture with format control

Publications (2)

Publication Number Publication Date
JPS61195443A true JPS61195443A (ja) 1986-08-29
JPH0812645B2 JPH0812645B2 (ja) 1996-02-07

Family

ID=24826202

Family Applications (1)

Application Number Title Priority Date Filing Date
JP61034038A Expired - Fee Related JPH0812645B2 (ja) 1985-02-21 1986-02-20 データ処理システム内のシステムフアイルを保護する方法及びデータ処理システム

Country Status (7)

Country Link
US (1) US4713753A (ja)
EP (1) EP0192243B1 (ja)
JP (1) JPH0812645B2 (ja)
KR (1) KR910005995B1 (ja)
CA (1) CA1252907A (ja)
DE (1) DE3689569T2 (ja)
IL (1) IL77504A (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9860315B2 (en) 1998-09-10 2018-01-02 International Business Machines Corporation Controlling the state of duplexing of coupling facility structures

Families Citing this family (191)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4799258A (en) * 1984-02-13 1989-01-17 National Research Development Corporation Apparatus and methods for granting access to computers
DK190784D0 (da) * 1984-04-12 1984-04-12 Pengeinst Koebe Kreditkort Fremgangsmaade og apparat til datatransmission
GB8619989D0 (en) * 1986-08-16 1986-09-24 Modray Ltd Controlling length of time
US5050213A (en) * 1986-10-14 1991-09-17 Electronic Publishing Resources, Inc. Database usage metering and protection system and method
US4977594A (en) * 1986-10-14 1990-12-11 Electronic Publishing Resources, Inc. Database usage metering and protection system and method
US4951249A (en) * 1986-10-24 1990-08-21 Harcom Security Systems Corp. Method and apparatus for controlled access to a computer system
WO1988003287A1 (en) * 1986-10-24 1988-05-05 Harcom Security Systems Corporation Computer security system
US5361341A (en) * 1987-10-02 1994-11-01 Sgs-Thomson Microelectronics, S.A. Device for enabling the use of the contents of memory areas of an electronic microprocessor system
US5075884A (en) * 1987-12-23 1991-12-24 Loral Aerospace Corp. Multilevel secure workstation
JPH01175057A (ja) * 1987-12-28 1989-07-11 Toshiba Corp セキュリティの動的管理方法
US4881179A (en) * 1988-03-11 1989-11-14 International Business Machines Corp. Method for providing information security protocols to an electronic calendar
US4993030A (en) * 1988-04-22 1991-02-12 Amdahl Corporation File system for a plurality of storage classes
US5101374A (en) * 1988-05-19 1992-03-31 The United States Of America As Represented By The Director Of The National Security Agency Secure, fast storage and retrieval without interactive checking
US5235681A (en) * 1988-06-22 1993-08-10 Hitachi, Ltd. Image filing system for protecting partial regions of image data of a document
US4924514A (en) * 1988-08-26 1990-05-08 International Business Machines Corporation Personal identification number processing using control vectors
US4924515A (en) * 1988-08-29 1990-05-08 International Business Machines Coprporation Secure management of keys using extended control vectors
US5313637A (en) * 1988-11-29 1994-05-17 Rose David K Method and apparatus for validating authorization to access information in an information processing system
JPH02202642A (ja) * 1989-02-01 1990-08-10 Toshiba Corp プログラム動作監視装置
US4941175A (en) * 1989-02-24 1990-07-10 International Business Machines Corporation Tamper-resistant method for authorizing access to data between a host and a predetermined number of attached workstations
JPH0820944B2 (ja) * 1989-03-20 1996-03-04 株式会社日立製作所 電子化情報作成装置
US5065429A (en) * 1989-04-03 1991-11-12 Lang Gerald S Method and apparatus for protecting material on storage media
US5144659A (en) * 1989-04-19 1992-09-01 Richard P. Jones Computer file protection system
US5187790A (en) * 1989-06-29 1993-02-16 Digital Equipment Corporation Server impersonation of client processes in an object based computer operating system
JPH03209526A (ja) * 1989-10-23 1991-09-12 Internatl Business Mach Corp <Ibm> オブジェクト指向コンピュータシステム
US5469556A (en) * 1989-12-12 1995-11-21 Harris Corporation Resource access security system for controlling access to resources of a data processing system
GB9003112D0 (en) * 1990-02-12 1990-04-11 Int Computers Ltd Access control mechanism
US5574912A (en) * 1990-05-04 1996-11-12 Digital Equipment Corporation Lattice scheduler method for reducing the impact of covert-channel countermeasures
US5052040A (en) * 1990-05-25 1991-09-24 Micronyx, Inc. Multiple user stored data cryptographic labeling system and method
GB2246457A (en) * 1990-07-25 1992-01-29 Bluetron Limited Controlling access to stored data
US5077795A (en) * 1990-09-28 1991-12-31 Xerox Corporation Security system for electronic printing systems
JPH04205043A (ja) * 1990-11-29 1992-07-27 Mitsubishi Electric Corp 半導体記憶装置
JPH05303531A (ja) * 1991-01-31 1993-11-16 Fields Software Group Inc 電子書式処理システム及び方法
US5504814A (en) * 1991-07-10 1996-04-02 Hughes Aircraft Company Efficient security kernel for the 80960 extended architecture
US5475833A (en) * 1991-09-04 1995-12-12 International Business Machines Corporation Database system for facilitating comparison of related information stored in a distributed resource
US5627967A (en) * 1991-09-24 1997-05-06 International Business Machines Corporation Automated generation on file access control system commands in a data processing system with front end processing of a master list
US5210571A (en) * 1991-09-26 1993-05-11 Xerox Corporation System for servicing electronic printers and printing systems
WO1993011480A1 (en) * 1991-11-27 1993-06-10 Intergraph Corporation System and method for network license administration
US5301231A (en) * 1992-02-12 1994-04-05 International Business Machines Corporation User defined function facility
US5276735A (en) * 1992-04-17 1994-01-04 Secure Computing Corporation Data enclave and trusted path system
EP0810499B1 (en) * 1992-06-12 2001-10-17 The Dow Chemical Company Secure front end communication system and method for process control computers
DE69306389T2 (de) * 1992-06-12 1997-06-26 Dow Chemical Co Intelligentes prozesssteuerverbindungssystem und verfahren.
US5596718A (en) 1992-07-10 1997-01-21 Secure Computing Corporation Secure computer network using trusted path subsystem which encrypts/decrypts and communicates with user through local workstation user I/O devices without utilizing workstation processor
US5428795A (en) * 1992-07-31 1995-06-27 International Business Machines Corporation Method of and apparatus for providing automatic security control of distributions within a data processing system
US5446903A (en) * 1993-05-04 1995-08-29 International Business Machines Corporation Method and apparatus for controlling access to data elements in a data processing system based on status of an industrial process by mapping user's security categories and industrial process steps
US5369702A (en) * 1993-10-18 1994-11-29 Tecsec Incorporated Distributed cryptographic object method
US5680452A (en) * 1993-10-18 1997-10-21 Tecsec Inc. Distributed cryptographic object method
US5469363A (en) * 1994-05-19 1995-11-21 Saliga; Thomas V. Electronic tag with source certification capability
US5864683A (en) * 1994-10-12 1999-01-26 Secure Computing Corporartion System for providing secure internetwork by connecting type enforcing secure computers to external network for limiting access to data based on user and process access rights
JPH08129507A (ja) * 1994-10-31 1996-05-21 Ricoh Co Ltd 情報保管管理システム
US5742826A (en) * 1994-11-09 1998-04-21 International Business Machines Corporation Object encapsulation protection apparatus
JPH08263438A (ja) * 1994-11-23 1996-10-11 Xerox Corp ディジタルワークの配給及び使用制御システム並びにディジタルワークへのアクセス制御方法
US6963859B2 (en) 1994-11-23 2005-11-08 Contentguard Holdings, Inc. Content rendering repository
US7117180B1 (en) 1994-11-23 2006-10-03 Contentguard Holdings, Inc. System for controlling the use of digital works using removable content repositories
US6865551B1 (en) 1994-11-23 2005-03-08 Contentguard Holdings, Inc. Removable content repositories
SE504085C2 (sv) * 1995-02-01 1996-11-04 Greg Benson Sätt och system för att hantera dataobjekt i enlighet med förutbestämda villkor för användare
US6658568B1 (en) 1995-02-13 2003-12-02 Intertrust Technologies Corporation Trusted infrastructure support system, methods and techniques for secure electronic commerce transaction and rights management
US7133846B1 (en) 1995-02-13 2006-11-07 Intertrust Technologies Corp. Digital certificate support system, methods and techniques for secure electronic commerce transaction and rights management
US5892900A (en) * 1996-08-30 1999-04-06 Intertrust Technologies Corp. Systems and methods for secure transaction management and electronic rights protection
US7133845B1 (en) * 1995-02-13 2006-11-07 Intertrust Technologies Corp. System and methods for secure transaction management and electronic rights protection
US7095854B1 (en) 1995-02-13 2006-08-22 Intertrust Technologies Corp. Systems and methods for secure transaction management and electronic rights protection
US6157721A (en) 1996-08-12 2000-12-05 Intertrust Technologies Corp. Systems and methods using cryptography to protect secure computing environments
CN100365535C (zh) * 1995-02-13 2008-01-30 英特特拉斯特技术公司 用于安全交易管理和电子权利保护的系统和方法
US6948070B1 (en) * 1995-02-13 2005-09-20 Intertrust Technologies Corporation Systems and methods for secure transaction management and electronic rights protection
US5943422A (en) 1996-08-12 1999-08-24 Intertrust Technologies Corp. Steganographic techniques for securely delivering electronic digital rights management control information over insecure communication channels
EP0818007B1 (en) * 1995-03-31 2006-05-10 The Commonwealth Of Australia Method and means for interconnecting different security level networks
US6011847A (en) * 1995-06-01 2000-01-04 Follendore, Iii; Roy D. Cryptographic access and labeling system
US5819275A (en) * 1995-06-07 1998-10-06 Trusted Information Systems, Inc. System and method for superimposing attributes on hierarchically organized file systems
US6047288A (en) * 1995-07-20 2000-04-04 Canon Kabushiki Kaisha Group environment setting method and system thereof to provide an equivalent environment for plural participants
US5757924A (en) * 1995-09-18 1998-05-26 Digital Secured Networks Techolognies, Inc. Network security device which performs MAC address translation without affecting the IP address
US5859966A (en) * 1995-10-10 1999-01-12 Data General Corporation Security system for computer systems
US5898830A (en) 1996-10-17 1999-04-27 Network Engineering Software Firewall providing enhanced network security and user transparency
US5826014A (en) * 1996-02-06 1998-10-20 Network Engineering Software Firewall system for protecting network elements connected to a public network
US5867647A (en) * 1996-02-09 1999-02-02 Secure Computing Corporation System and method for securing compiled program code
US5918018A (en) 1996-02-09 1999-06-29 Secure Computing Corporation System and method for achieving network separation
US5913024A (en) * 1996-02-09 1999-06-15 Secure Computing Corporation Secure server utilizing separate protocol stacks
US20010011253A1 (en) * 1998-08-04 2001-08-02 Christopher D. Coley Automated system for management of licensed software
US6263442B1 (en) * 1996-05-30 2001-07-17 Sun Microsystems, Inc. System and method for securing a program's execution in a network environment
US5727145A (en) * 1996-06-26 1998-03-10 Sun Microsystems, Inc. Mechanism for locating objects in a secure fashion
US5809145A (en) * 1996-06-28 1998-09-15 Paradata Systems Inc. System for distributing digital information
US7356847B2 (en) * 1996-06-28 2008-04-08 Protexis, Inc. System for dynamically encrypting content for secure internet commerce and providing embedded fulfillment software
US7770230B2 (en) 2002-04-22 2010-08-03 Arvato Digital Services Canada, Inc. System for dynamically encrypting content for secure internet commerce and providing embedded fulfillment software
US7010697B2 (en) * 1996-06-28 2006-03-07 Protexis, Inc. System for dynamically encrypting information for secure internet commerce and providing embedded fulfillment software
US5987123A (en) * 1996-07-03 1999-11-16 Sun Microsystems, Incorporated Secure file system
US6003084A (en) * 1996-09-13 1999-12-14 Secure Computing Corporation Secure network proxy for connecting entities
US6144934A (en) * 1996-09-18 2000-11-07 Secure Computing Corporation Binary filter using pattern recognition
US5983350A (en) * 1996-09-18 1999-11-09 Secure Computing Corporation Secure firewall supporting different levels of authentication based on address or encryption status
US5950195A (en) * 1996-09-18 1999-09-07 Secure Computing Corporation Generalized security policy management system and method
US6072942A (en) * 1996-09-18 2000-06-06 Secure Computing Corporation System and method of electronic mail filtering using interconnected nodes
US5915087A (en) * 1996-12-12 1999-06-22 Secure Computing Corporation Transparent security proxy for unreliable message exchange protocols
JP2001508627A (ja) 1997-01-03 2001-06-26 フォートレス テクノロジーズ インコーポレイテッド 改良されたネットワークセキュリティ装置
US5968133A (en) * 1997-01-10 1999-10-19 Secure Computing Corporation Enhanced security network time synchronization device and method
US7212632B2 (en) 1998-02-13 2007-05-01 Tecsec, Inc. Cryptographic key split combiner
US6105132A (en) * 1997-02-20 2000-08-15 Novell, Inc. Computer network graded authentication system and method
US5896499A (en) * 1997-02-21 1999-04-20 International Business Machines Corporation Embedded security processor
US5920861A (en) * 1997-02-25 1999-07-06 Intertrust Technologies Corp. Techniques for defining using and manipulating rights management data structures
US6233684B1 (en) 1997-02-28 2001-05-15 Contenaguard Holdings, Inc. System for controlling the distribution and use of rendered digital works through watermaking
US6694433B1 (en) 1997-05-08 2004-02-17 Tecsec, Inc. XML encryption scheme
TW393630B (en) * 1997-07-24 2000-06-11 Checkpoint Systems Inc Protocol for storage and retrieval of data in an RFID tag which uses objects
GB2329497B (en) * 1997-09-19 2001-01-31 Ibm Method for controlling access to electronically provided services and system for implementing such method
US6192408B1 (en) * 1997-09-26 2001-02-20 Emc Corporation Network file server sharing local caches of file access information in data processors assigned to respective file systems
US6112181A (en) * 1997-11-06 2000-08-29 Intertrust Technologies Corporation Systems and methods for matching, selecting, narrowcasting, and/or classifying based on rights management and/or other information
US7079653B2 (en) * 1998-02-13 2006-07-18 Tecsec, Inc. Cryptographic key split binding process and apparatus
US7095852B2 (en) * 1998-02-13 2006-08-22 Tecsec, Inc. Cryptographic key split binder for use with tagged data elements
US8077870B2 (en) * 1998-02-13 2011-12-13 Tecsec, Inc. Cryptographic key split binder for use with tagged data elements
US6357010B1 (en) * 1998-02-17 2002-03-12 Secure Computing Corporation System and method for controlling access to documents stored on an internal network
US6321336B1 (en) 1998-03-13 2001-11-20 Secure Computing Corporation System and method for redirecting network traffic to provide secure communication
US7233948B1 (en) 1998-03-16 2007-06-19 Intertrust Technologies Corp. Methods and apparatus for persistent control and protection of content
US6182226B1 (en) 1998-03-18 2001-01-30 Secure Computing Corporation System and method for controlling interactions between networks
US6453419B1 (en) 1998-03-18 2002-09-17 Secure Computing Corporation System and method for implementing a security policy
US6160903A (en) * 1998-04-24 2000-12-12 Dew Engineering And Development Limited Method of providing secure user access
EP1016960A4 (en) * 1998-05-14 2002-04-03 Sega Enterprises Kk INFORMATION PROCESSOR, INFORMATION PROCESSING METHOD, INFORMATION RECORDING MEDIUM, AND INFORMATION PROCESSING SYSTEM
US6223288B1 (en) 1998-05-22 2001-04-24 Protexis Inc. System for persistently encrypting critical software file to prevent installation of software program on unauthorized computers
AUPP660298A0 (en) * 1998-10-20 1998-11-12 Canon Kabushiki Kaisha Apparatus and method for preventing disclosure of protected information
US7068787B1 (en) 1998-10-23 2006-06-27 Contentguard Holdings, Inc. System and method for protection of digital works
US7286665B1 (en) 1999-04-06 2007-10-23 Contentguard Holdings, Inc. System and method for transferring the right to decode messages
US7356688B1 (en) 1999-04-06 2008-04-08 Contentguard Holdings, Inc. System and method for document distribution
US6937726B1 (en) 1999-04-06 2005-08-30 Contentguard Holdings, Inc. System and method for protecting data files by periodically refreshing a decryption key
US6859533B1 (en) 1999-04-06 2005-02-22 Contentguard Holdings, Inc. System and method for transferring the right to decode messages in a symmetric encoding scheme
US7243236B1 (en) 1999-07-29 2007-07-10 Intertrust Technologies Corp. Systems and methods for using cryptography to protect secure and insecure computing environments
US6708276B1 (en) 1999-08-03 2004-03-16 International Business Machines Corporation Architecture for denied permissions in Java
US6885748B1 (en) 1999-10-23 2005-04-26 Contentguard Holdings, Inc. System and method for protection of digital works
JP2001219440A (ja) * 2000-02-09 2001-08-14 Sony Disc Technology Inc 多数個取り用成形装置およびその成形方法
JP3891539B2 (ja) * 2000-06-15 2007-03-14 シャープ株式会社 半導体装置およびその制御装置
US20040073617A1 (en) 2000-06-19 2004-04-15 Milliken Walter Clark Hash-based systems and methods for detecting and preventing transmission of unwanted e-mail
US7350204B2 (en) * 2000-07-24 2008-03-25 Microsoft Corporation Policies for secure software execution
US7257581B1 (en) 2000-08-04 2007-08-14 Guardian Networks, Llc Storage, management and distribution of consumer information
US9928508B2 (en) 2000-08-04 2018-03-27 Intellectual Ventures I Llc Single sign-on for access to a central data repository
US8566248B1 (en) 2000-08-04 2013-10-22 Grdn. Net Solutions, Llc Initiation of an information transaction over a network via a wireless device
DE10038779A1 (de) * 2000-08-09 2002-03-07 Schneider Automation Gmbh Verfahren zur Übertragung von Daten in ein oder aus einem Steuerungsgerät wie speicherprogrammierbare Steuerung sowie Steuerungsgerät
US8832852B2 (en) 2000-08-28 2014-09-09 Contentguard Holdings, Inc. Method and apparatus for dynamic protection of static and dynamic content
US6931545B1 (en) 2000-08-28 2005-08-16 Contentguard Holdings, Inc. Systems and methods for integrity certification and verification of content consumption environments
US7073199B1 (en) 2000-08-28 2006-07-04 Contentguard Holdings, Inc. Document distribution management method and apparatus using a standard rendering engine and a method and apparatus for controlling a standard rendering engine
US7743259B2 (en) 2000-08-28 2010-06-22 Contentguard Holdings, Inc. System and method for digital rights management using a standard rendering engine
US7362868B2 (en) * 2000-10-20 2008-04-22 Eruces, Inc. Hidden link dynamic key manager for use in computer systems with database structure for storage of encrypted data and method for storage and retrieval of encrypted data
US20030021417A1 (en) * 2000-10-20 2003-01-30 Ognjen Vasic Hidden link dynamic key manager for use in computer systems with database structure for storage of encrypted data and method for storage and retrieval of encrypted data
US7343324B2 (en) 2000-11-03 2008-03-11 Contentguard Holdings Inc. Method, system, and computer readable medium for automatically publishing content
DE10058391C2 (de) * 2000-11-24 2003-06-18 Siemens Ag Vorrichtung zur Objektbearbeitung
US6912294B2 (en) 2000-12-29 2005-06-28 Contentguard Holdings, Inc. Multi-stage watermarking process and system
US8069116B2 (en) 2001-01-17 2011-11-29 Contentguard Holdings, Inc. System and method for supplying and managing usage rights associated with an item repository
US7206765B2 (en) 2001-01-17 2007-04-17 Contentguard Holdings, Inc. System and method for supplying and managing usage rights based on rules
US6754642B2 (en) 2001-05-31 2004-06-22 Contentguard Holdings, Inc. Method and apparatus for dynamically assigning usage rights to digital works
US7028009B2 (en) 2001-01-17 2006-04-11 Contentguardiholdings, Inc. Method and apparatus for distributing enforceable property rights
US7774279B2 (en) 2001-05-31 2010-08-10 Contentguard Holdings, Inc. Rights offering and granting
US7085741B2 (en) 2001-01-17 2006-08-01 Contentguard Holdings, Inc. Method and apparatus for managing digital content usage rights
JP4089171B2 (ja) * 2001-04-24 2008-05-28 株式会社日立製作所 計算機システム
US8099364B2 (en) 2001-05-31 2012-01-17 Contentguard Holdings, Inc. Digital rights management of content when content is a future live event
US6976009B2 (en) 2001-05-31 2005-12-13 Contentguard Holdings, Inc. Method and apparatus for assigning consequential rights to documents and documents having such rights
US8001053B2 (en) 2001-05-31 2011-08-16 Contentguard Holdings, Inc. System and method for rights offering and granting using shared state variables
US6973445B2 (en) 2001-05-31 2005-12-06 Contentguard Holdings, Inc. Demarcated digital content and method for creating and processing demarcated digital works
US8275716B2 (en) 2001-05-31 2012-09-25 Contentguard Holdings, Inc. Method and system for subscription digital rights management
US6876984B2 (en) 2001-05-31 2005-04-05 Contentguard Holdings, Inc. Method and apparatus for establishing usage rights for digital content to be created in the future
US7725401B2 (en) 2001-05-31 2010-05-25 Contentguard Holdings, Inc. Method and apparatus for establishing usage rights for digital content to be created in the future
US8275709B2 (en) 2001-05-31 2012-09-25 Contentguard Holdings, Inc. Digital rights management of content when content is a future live event
US7152046B2 (en) 2001-05-31 2006-12-19 Contentguard Holdings, Inc. Method and apparatus for tracking status of resource in a system for managing use of the resources
US7222104B2 (en) 2001-05-31 2007-05-22 Contentguard Holdings, Inc. Method and apparatus for transferring usage rights and digital work having transferrable usage rights
US6895503B2 (en) 2001-05-31 2005-05-17 Contentguard Holdings, Inc. Method and apparatus for hierarchical assignment of rights to documents and documents having such rights
WO2002101494A2 (en) 2001-06-07 2002-12-19 Contentguard Holdings, Inc. Protected content distribution system
US20030140003A1 (en) * 2001-06-07 2003-07-24 Xin Wang Method and apparatus managing the transfer of rights
US7774280B2 (en) * 2001-06-07 2010-08-10 Contentguard Holdings, Inc. System and method for managing transfer of rights using shared state variables
KR20030096250A (ko) 2001-06-07 2003-12-24 콘텐트가드 홀딩즈 인코포레이티드 디지털 권리 관리시스템에서 다중 신뢰구역들을 지원하기위한 방법 및 장치
WO2003034308A1 (en) * 2001-10-15 2003-04-24 Kent Ridge Digital Labs Electronic document management system
WO2003077083A2 (en) * 2002-03-13 2003-09-18 Matsushita Electric Industrial Co., Ltd. Secure device for preventing unauthorised use of distributed content
GB2386710A (en) * 2002-03-18 2003-09-24 Hewlett Packard Co Controlling access to data or documents
WO2003104947A2 (en) 2002-06-06 2003-12-18 Hardt Dick C Distributed hierarchical identity management
US7194626B2 (en) * 2002-11-21 2007-03-20 International Business Machines Corporation Hardware-based secure code authentication
US8140824B2 (en) * 2002-11-21 2012-03-20 International Business Machines Corporation Secure code authentication
US7171563B2 (en) * 2003-05-15 2007-01-30 International Business Machines Corporation Method and system for ensuring security of code in a system on a chip
US7444668B2 (en) * 2003-05-29 2008-10-28 Freescale Semiconductor, Inc. Method and apparatus for determining access permission
JP4624732B2 (ja) * 2003-07-16 2011-02-02 パナソニック株式会社 アクセス方法
US7921299B1 (en) * 2003-12-05 2011-04-05 Microsoft Corporation Partner sandboxing in a shared multi-tenant billing system
US8527752B2 (en) 2004-06-16 2013-09-03 Dormarke Assets Limited Liability Graduated authentication in an identity management system
US9245266B2 (en) 2004-06-16 2016-01-26 Callahan Cellular L.L.C. Auditable privacy policies in a distributed hierarchical identity management system
US8504704B2 (en) 2004-06-16 2013-08-06 Dormarke Assets Limited Liability Company Distributed contact information management
US8321686B2 (en) 2005-02-07 2012-11-27 Sandisk Technologies Inc. Secure memory card with life cycle phases
US8423788B2 (en) 2005-02-07 2013-04-16 Sandisk Technologies Inc. Secure memory card with life cycle phases
US8108691B2 (en) 2005-02-07 2012-01-31 Sandisk Technologies Inc. Methods used in a secure memory card with life cycle phases
US7748031B2 (en) 2005-07-08 2010-06-29 Sandisk Corporation Mass storage device with automated credentials loading
EP1760619A1 (en) * 2005-08-19 2007-03-07 STMicroelectronics Ltd. System for restricting data access
US8966284B2 (en) 2005-09-14 2015-02-24 Sandisk Technologies Inc. Hardware driver integrity check of memory card controller firmware
US7934049B2 (en) 2005-09-14 2011-04-26 Sandisk Corporation Methods used in a secure yet flexible system architecture for secure devices with flash mass storage memory
US20070162390A1 (en) * 2005-12-22 2007-07-12 Macrovision Corporation Techniques for distributing and monitoring content
US8423794B2 (en) 2006-12-28 2013-04-16 Sandisk Technologies Inc. Method and apparatus for upgrading a memory card that has security mechanisms for preventing copying of secure content and applications
US8127133B2 (en) * 2007-01-25 2012-02-28 Microsoft Corporation Labeling of data objects to apply and enforce policies
US8281143B1 (en) 2008-09-29 2012-10-02 Symantec Operating Corporation Protecting against chosen plaintext attacks in untrusted storage environments that support data deduplication
US8516260B2 (en) * 2008-10-27 2013-08-20 Advanced Micro Devices, Inc. Method, apparatus, and device for providing security among a calling function and a target function
US8479304B1 (en) * 2009-03-31 2013-07-02 Symantec Corporation Selectively protecting against chosen plaintext attacks in untrusted storage environments that support data deduplication
KR102017828B1 (ko) 2012-10-19 2019-09-03 삼성전자 주식회사 보안 관리 유닛, 상기 보안 관리 유닛을 포함하는 호스트 컨트롤러 인터페이스, 상기 호스트 컨트롤러 인터페이스의 동작 방법, 및 상기 호스트 컨트롤러 인터페이스를 포함하는 장치들
DE102017005975A1 (de) * 2017-06-23 2018-12-27 Stefan Andreas Widmann Vorrichtung und Verfahren zur gerätetechnischen Erkennung inkompatibler Operandeneinheiten in Datenverarbeitungseinheiten
DE102017005945A1 (de) * 2017-06-23 2018-12-27 Stefan Andreas Widmann Vorrichtung und Verfahren zur gerätetechnischen Einschränkung der zulässigen Operationen auf Daten in Datenverarbeitungseinheiten
US20210319683A1 (en) * 2020-04-14 2021-10-14 Goodrich Corporation Real-time communication link with a cargo handling system
US11958628B2 (en) 2020-04-14 2024-04-16 Goodrich Corporation Systems and methods for run-time self-assessment of cargo handling systems

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS57195394A (en) * 1981-05-23 1982-12-01 Nippon Telegr & Teleph Corp <Ntt> Memory protection system by processor
JPS57206977A (en) * 1981-06-15 1982-12-18 Fujitsu Ltd Document processing system

Family Cites Families (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4104721A (en) * 1976-12-30 1978-08-01 International Business Machines Corporation Hierarchical security mechanism for dynamically assigning security levels to object programs
US4442484A (en) * 1980-10-14 1984-04-10 Intel Corporation Microprocessor memory management and protection mechanism
DE3381324D1 (de) * 1982-06-21 1990-04-19 Ibm Recheneinrichtung und verfahren zu ihrem betrieb.
US4621321A (en) * 1984-02-16 1986-11-04 Honeywell Inc. Secure data processing system architecture

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS57195394A (en) * 1981-05-23 1982-12-01 Nippon Telegr & Teleph Corp <Ntt> Memory protection system by processor
JPS57206977A (en) * 1981-06-15 1982-12-18 Fujitsu Ltd Document processing system

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US9860315B2 (en) 1998-09-10 2018-01-02 International Business Machines Corporation Controlling the state of duplexing of coupling facility structures
US10491675B2 (en) 2001-10-01 2019-11-26 International Business Machines Corporation Controlling the state of duplexing of coupling facility structures

Also Published As

Publication number Publication date
JPH0812645B2 (ja) 1996-02-07
EP0192243B1 (en) 1994-01-26
KR860006731A (ko) 1986-09-15
EP0192243A2 (en) 1986-08-27
KR910005995B1 (ko) 1991-08-09
DE3689569T2 (de) 1994-05-11
EP0192243A3 (en) 1989-07-19
CA1252907A (en) 1989-04-18
DE3689569D1 (de) 1994-03-10
US4713753A (en) 1987-12-15
IL77504A (en) 1989-08-15

Similar Documents

Publication Publication Date Title
JPS61195443A (ja) データ処理システム内のシステムフアイルを保護する方法及びデータ処理システム
US4701840A (en) Secure data processing system architecture
US7290279B2 (en) Access control method using token having security attributes in computer system
US6934758B2 (en) Stack-based access control using code and executor identifiers
EP0613073B1 (en) Licence management mechanism for a computer system
US5504814A (en) Efficient security kernel for the 80960 extended architecture
US6192476B1 (en) Controlling access to a resource
US7380267B2 (en) Policy setting support tool
US5859966A (en) Security system for computer systems
Karger Limiting the damage potential of discretionary Trojan horses
US5469556A (en) Resource access security system for controlling access to resources of a data processing system
US5347578A (en) Computer system security
US5283830A (en) Security mechanism for a computer system
US5870467A (en) Method and apparatus for data input/output management suitable for protection of electronic writing data
US8359467B2 (en) Access control system and method
JPH01233543A (ja) 端末と信頼のおける計算ベースのシェル部分との間に信頼のおける経路を形成する方法
Friedman The authorization problem in shared files
KR100343069B1 (ko) 다중 등급 보안 방식에 의한 강제적 객체접근 제어 방법및 이를 프로그램화하여 수록한 컴퓨터로 읽을 수 있는기록매체
RU2134931C1 (ru) Способ обеспечения доступа к объектам в операционной системе мсвс
Stallings Operating system security
JP2005149394A (ja) 情報処理装置および情報処理方法、プログラム、並びに記録媒体
US20160357953A1 (en) Decentralized information flow securing method and system for multilevel security and privacy domains
Henderson Trends in MVS Security
Izatt Domain architecture and the ICL 2900 series
Pieprzyk et al. Access Control

Legal Events

Date Code Title Description
R250 Receipt of annual fees

Free format text: JAPANESE INTERMEDIATE CODE: R250

LAPS Cancellation because of no payment of annual fees