JPH0341535A - コンピュータ・システムにおけるセキュリティ保護の強制的実施方法 - Google Patents

コンピュータ・システムにおけるセキュリティ保護の強制的実施方法

Info

Publication number
JPH0341535A
JPH0341535A JP2170411A JP17041190A JPH0341535A JP H0341535 A JPH0341535 A JP H0341535A JP 2170411 A JP2170411 A JP 2170411A JP 17041190 A JP17041190 A JP 17041190A JP H0341535 A JPH0341535 A JP H0341535A
Authority
JP
Japan
Prior art keywords
security
security label
integrity
file
label
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP2170411A
Other languages
English (en)
Inventor
Larry A Wehr
ラリー アラン ウェーア
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
AT&T Corp
Original Assignee
American Telephone and Telegraph Co Inc
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by American Telephone and Telegraph Co Inc filed Critical American Telephone and Telegraph Co Inc
Publication of JPH0341535A publication Critical patent/JPH0341535A/ja
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2145Inheriting rights or properties, e.g., propagation of permissions or restrictions within a hierarchy
    • GPHYSICS
    • G06COMPUTING OR CALCULATING; COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2149Restricted operating environment

Landscapes

  • Engineering & Computer Science (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Computer Hardware Design (AREA)
  • Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Databases & Information Systems (AREA)
  • Storage Device Security (AREA)

Abstract

(57)【要約】本公報は電子出願前の出願データであるた
め要約のデータは記録されません。

Description

【発明の詳細な説明】 (産業上の利用分野) 本発明は、一般的にコンピュータ・システムにおけるセ
キュリティの分野に係り、特に、機密性とデータ保全性
(Integrtty)とによる分類の両方により、コ
ンピュータ・システムでの特権ユーザによるファイル・
アクセスの強制的な制御、に関する。
(従来技術) コンピュータ・セキュリティはますます重要で早急な問
題になってきている。このことに対する例証として、コ
ンピュータ・ウィルスに対する今日の関心が挙げられ、
コンピュータ・ウィルスはもしコンピュータ・システム
内に取り込まれれば、保護されていないデータを読み、
かつ(あるいは)破壕する能力を持ち得る。実際に、多
くのこのようなウィルスの攻撃は、最近、国家規模の注
目を浴びている。
コンピュータ・セキュリティという言葉は多くを含んで
いる。この言葉は、古くからコンピュータ、あるいはコ
ンピュータ・システムを保護する多くの側面を含んでい
る。セキュリティの問題は、権限のないユーザあるいは
プログラムによるシステム・アクセスと、機密性の概念
に基づく制限されたユーザあるいはユーザ・グループへ
のファイル・アクセスの制限とを有する。最近数年間で
、セキュリティはまた、ファイル内に記憶されたデータ
の認知された保全性(percclved Integ
rHy)、すなわち適合性あるいは妥当性、に基づくフ
ァイル・アクセス制限の概念をも含み始めた。データ保
全性に基づくセキュリティの考えは、1977年4月に
ケイ・ジエイ・ビバ(K、J、Biba)による、”安
全なコンピュータ・システムのための保全性の考慮(I
ntegrity Con5iderations f
orSecure Computer System 
) ’  r技術雑誌(Technlcal Repo
rt) ESD−TR−76−372J 7サチユーセ
ツツ州ベツドフオード、ハンスコム空軍基地、電子シス
テム部門、AFSC1制御管理システム課、と題された
論文により始まった。現在では、セキュリティの高いシ
ステムは機密性保護(secrecy protect
ion)と保全性保:Jk (Integritypr
otect 1on)との両方の要素を有する、と一般
に認識されている。機密性保護は、権限のないユーザに
よる情報への読み出しアクセスを防ぐことに主に関係す
る。保全性保護は、コンピュータ・システムに記憶され
ている情報の権限のない修正を防ぐことに主に関係する
。機密性保護と保全性保護の目的はそれぞれ異なるにも
関わらず、両方の保護は観察(ObserVatlOn
;データの読み出し)と修正(godll’1catl
on;データの書き込み)との側面を有する。不要な詳
細には触れず、機密性と保全性との両方を支配するルー
ルは一般に次のように記述される。機密性に対しては、
ユーザがデータの機密性以上の機密許可を持たない限り
、データの観察(読み出し)はできないし、また、ユー
ザがデータの機密性以下の機密許可を持たない限り、デ
ータの修正(書き込み)はできない。保全性の目的に対
しては、このルールは反対になる。
ユーザがデータの保全性以上の保全性許可を持たない限
り、データの修正(書き込み)はできないし、また、ユ
ーザがデータの保全性以下の保全性許可を持たない限り
、データの読み出しはできない。あるシステムにおいて
は、機密性ラベル及び/又は保全性ラベルが一致しない
限り、ファイル書き込みは禁止されている。機密性に関
するルールは、データが機密性レベルで上方へのみ転送
されることを保証する。保全性に関するルールは、デー
タが保全性レベルで下方へのみ転送されることを保証す
る。
現在では、多くの市販のシステムが、ある程度の機密性
制御を導入している。しかし、機密性保護と保全性保護
との両方を導入しているシステムはほとんどない。この
理由は次の通りである。機密性と保全性が双対関係にあ
ることは当業者には周知の通りだが、両者を与えるには
、同様だが異なる強制的な方法と実施とが必要であると
信じられ、また実践されている。つまり、単一システム
での機密性保護と保全性保護の両方の理解は、セキュリ
ティ政策を強制するための穴なるラベルと5+4なるコ
ードを必要とし、この政策はシステムでの直接のまた間
接のファイル・アクセス各々またすべてに対して真なる
機密性ラベルと保全性ラベルとの検査を含んでいる。フ
ァイル◆アクセスすべてに対する異なる機密性ラベルと
保全性ラベルとの検査は、逆に、機密性と保全性という
異なる政策を強制するためにシステム・タイムにおいて
オーバーヘッドの付加を必要とする。要するに、同一シ
ステム内に両方のセキュリティ政策を実現することはあ
まりに不経済であると現在では信じられている。よって
、保全性保護と機密保護とを含む高レベルの保護を有す
る数少ないシステムの、より高度な保護が、一般には、
オプションのセキュリティ・パッケージとして追加価格
で別々に市販されている。
(発明のは要) 本発明は、データ観察に関する機密性側面と、データの
修正とデータの(認知されている)適合性とに関する保
全性側面との両方に基づき、データ・アクセスに対し、
セキュリティ保護を与える能力をもたらす。このことは
、機密性側面のみに基づく保護のみに関する従来技術に
対する追加諸経費なしに達成される。本発明は、アクセ
ス権限を適切に有するコンピュータ処理に対してのみ、
コンピュータ・システムのファイルへのアクセスを保証
するために、強制的にセキュリティ保護を実施する方性
である。異なるセキュリティ・ラベルが、システムの各
ファイルと各処理とにつけられ、つけられたファイルや
処理に関する特権セキュリティ・クラスを定義する。処
理につけられた各セキュリティ・ラベルは、データ機密
性とデータ保全性に基づく権限を示す情報を有する。同
様に、ファイルにつけられた各権限は、ファイルへの読
み出しアクセスや書き込みアクセスを許可された処理の
データ機密性クラスとデータ保全性クラスとに基づく情
報を有する。処理につけられた機密性ラベルとファイル
につけられたセキュリティ・ラベルとの処理により、フ
ァイルのアクセス試行に対する比較がなされる。この比
較に基づき、処理がファイルにアクセス許可されるか検
査がなされる。大切なことは、機密性側面と保全性側面
と両方に関する検査は、単一検査ステップで達成される
ことである。
一つの実施例では、検査ステップが、データの機密性の
実施に古くから関係するルールに従うが、この実施は、
すなわち、読みだしアクセス試行に対して、読み出し処
理につけられたセキュリティ・ラベルがファイルにつけ
られたセキュリティ・ラベルを支配するかを検査するこ
とであり、また書き込みアクセス試行に対して、ファイ
ルにつけられたセキュリティ・ラベルが書き込み処理に
つけられたセキュリティ・ラベルを支配するかを検査す
ることである。支配により、支配しているものの機密性
レベルが支配されているものの機密性レベルより等しい
か大きいかを示し、支配しているものに対する部分的許
可は支配されているものの部分的許可の少なくとも一部
を有する。前記の場合には、保全性に基づくセキュリテ
ィ・ラベルでの特権情報は、実際の保全性情報の逆とし
て記憶される。しかし、二者択一の実施例は同等に満足
させる、例えば、実現は、ファイルにつけられたセキュ
リティ・ラベルが処理につけられたセキュリティ・ラベ
ルを支配する読み出しアクセス試行に対する検査と、処
理につけられたセキュリティ◆ラベルがファイルにつけ
られたセキュリティ・ラベルを支配する書き込みアクセ
ス試行に対する検査と、により達成される。この場合で
は、機密性に基づくセキュリティ・ラベルでの特権情報
は、実際の機密性情報の逆として記憶される。
より一般的な意味では、本発明は次のように特徴付けら
れる。各セキュリティ・ラベルは複数のフィールドを含
み、これは機密性と保全性に基づく異なるセキュリティ
権限の処理やファイルに対する複数の異なるセットを定
義する集合状態である。検査ステップは、ファイルアク
セス試行に対して、データを特権セットにのみ確実に流
す。このことは、データが第一のセットから第二のセッ
トへ流れることが許可されるのは、第二のセットのセキ
ュリティ◆ラベルの内容が第一のセットのそれに等しい
かあるいは第一のセットのセキュリティ・ラベルに含ま
れたあらゆる権限を有する時のみであること、を検査す
ることにより達成される。この場合に、セキュリティ・
ラベルは機密性情報と保全性情報との両方を有するが、
機密性権限と保全性権限とを有するセキュリティ・ラベ
ルの別々に識別可能な部分を結び付けることは必ずしも
容易ではなく、可能でもないことだろう。
(実施例) 第1図は単純化機密性ラベルを示すが、これは次の文献
に記述された機密性要求を満たすシステムにより一般に
使用されている。いわゆる連邦政府国防省オレンジブッ
ク(Federal Government Dapa
rtment of Defense 0RANGE 
book) 、”国防省高信頼コンピュータ・システム
評価基1 (Departsent o[’ Def’
ense Trusted Computer Sys
tem Evaluatlon Cr1teria )
“DOD5200.28−8TD、ナショナル・コンピ
ュータ・セキュリティ・センター、1985年12月。
機密性ラベルの一つのセクション10は、ユーザかある
いはファイルにつけられた機密性ラベルを記述している
。政府のシステム、また他のシステムにつけられた機密
性ラベルの例は、最高機密(TOP  5ECRET)
 、機密(SECRET)、非機密(UNCLASS 
I F IED)という周知の分類を含む。政府以外の
システムでは、これらのラベルは、望ましいと思われる
いくつかの分類を有する。一般に、これらの機密性ラベ
ルは2進コード化されている。例えば、最高機密はレベ
ル2としてコード化されるが、非機密はレベル0として
コード化される。
機密性ラベルの第2セクシヨンは、複数の異なるコンパ
ートメント(第1図では14と16)を記述するが、セ
クション10の機密性レベルはこれらに当てはまる。−
例として、12の各コンパートメントは、国別や国際的
な地域別を示す。実際のどのシステムにおいても、一般
に12のコンパートメントが数多くある。現目的に対し
ては、二つのコンパートメント、14と16のみがそれ
ぞれ単純化のために示されている。コンパートメントA
とBの定義は、現目的に対しては関連性がない。例えば
、AとBがそれぞれ全非共産国と全共産国とを示すと考
えれば、理解の一助となるかもしれない。
第2図はユーザ、処理、ファイルの四つのセットの状態
図であるが、システム管理者は、機密性目的のために、
システムをこの閃のように分離したいと考える。四つの
ユーザ・セットは、図示されルヨうに、0BSERVE
 (監視者)、US(私達) 、THEM (彼ら) 
、PUBLIC(−般)である。この例に対して、各セ
ットの最初の桁に示されるように、二つの機密性レベル
0と1のみが必要であることが仮定される。機密性レベ
ルは、園内のコンマによってコンパートメントAとBか
ら切り離される。よって、例えばセットUSは機密性レ
ベル0とコンパートメントASBセット1.0とを持つ
。コンパートメントの定義は、この議論には大切ではな
い。ユーザ・セット間の矢印は、許容データ・フローの
方向を示す。セット間のデータ・フローは、ファイルと
ユーザ(あるいはユーザを表す処理〉の機密性ラベルに
基づく許容ファイル読み出しと許容ファイル書き込みに
対する前述のルールを応用することにより決定される。
機密性ルールとは、ユーザあるいは処理がファイルに書
き込みできるのは、そのラベルがファイルのラベルを支
配しているときのみであることを示す。逆に、ファイル
・ラベルがユーザや処理のラベルを支配しているときの
み、ユーザや処理はファイル読みたしが可能である。換
言すると、データは、上方へあるいは機密性ラベル鎖で
のセット内のみを流れる。よって、PUBLIC内ノユ
ーザ内部ユーザOBSERVESUSSTHEM内に位
置されるファイルに書き込める、そノ理由は0BSER
VE、US、THEMI:つけられた機密性ラベルはP
UBL I Cの機密性ラベルを支配するからである。
加えて、USとTHEMでのユーザと処理は、同じ理由
で0BSERVE内のファイルに書き込みを行える。逆
に、0BSERVE内ノユーザと処理は、US、THE
M。
PUBL I Cに位置されるファイルからのデータを
読み出せる、その理由は0BSERVEでの処理とユー
ザの機密性ラベルは、US、THEM。
PUBLICの機密性ラベルを支配するからである。支
配により、支配しているものの機密性ラベルは支配され
ているものの機密性ラベルに等しいかより大きく、また
支配しているものに対する部分的許容性は支配されてい
るものに対する部分的許容性の少なくともセットを有し
ている。
付録Aは、ファイルアクセス試行の許容を決定するため
に前述の機密性ルールを機密性ラベルに応用したプログ
ラムのソース−コードを表す。コードは親しみやすいプ
ログラム言語Cで記述されており、この言語に親しんで
いれば誰でも容易に理解できるコードである。
第3図は、保全性の実施を導入するシステムで使用され
る保全性ラベルを示す。図示されるように、保全性ラベ
ルは第1図の機密性ラベルと同様である。保全性レベル
30は第1図の機密性レベル10に対応している。保全
性レベルは、所定のシステムで意味をなす複数の分類セ
ットである。
前記のビバの出版物は、政府の機密性分類(すなわち、
最高機密(TOP  5ECRET) 、機密(SEC
RET) 、非機密(UNCLASS I FIED)
)と同じ保全性レベルの分類を使用している。ここで本
発明の目的には、図示される保全性分類、高(HIGH
(H)) 、中(MEDIUM (M)) 、低(LO
W (L))が採用される。
保全性ラベルはまた、コンパートメント32をも含むが
、これは原理的に第1図のような機密性ラベルの機密性
コンパートメントに一致する。二つの保全性コンパート
メントCとD134と36それぞれが第3図に示されて
いる。どのシステムにも必要とされるだけ保全性コンパ
ートメントがありうる。一般的に、保全性コンパートメ
ントはいずれのシステムでも存在するかしないかであり
、機密性ラベルのコンパートメントとは定義において一
致しないとみなされている。
第4図は、保全性原理に基づく制約付きデータ・フロー
の一例である。0BSERVE (監視者)、US(私
達) 、THEM (彼ら)、PUBLIC(一般)の
各セットに割り当てられた保全性ラベルは、前述のデー
タ・フロー・ルールを反映する。すなわち、保全性目的
のために、データは等しいかあるいはより低い保全性ラ
ベルのセットへと下方にのみ流れる。よって、この例で
は、0BSERVEとPUBLICでのユーザと処理は
USあるいはTHEM内のファイルを読み込み可能であ
る。PUBLIC内ノユーザ内部ユーザRVE内のファ
イルを読み込める。しかし、例えば、0BSERVE内
のユーザあるいは処理はPUBLIC内のファイルを読
み込み不可能である、その理由は、そうすることは上方
(OBSERVEでのCコンパートメントはPUBLI
CでのCコンパートメントより高い)へのデータ・フロ
ーを必要とするからである。同様に、0BSERVEで
のユーザや処理は、PUBLICでのファイルに書き込
み可能だが、USあるいはT)IEMでのファイルには
不可能である。
従来技術よると、単一システムにおいて第2図と第4図
に図示された機密性保護と保全性保護との特徴の導入は
、第1図と第3図に示されたような別個のラベルと、異
なるコードによるラベルの別個の検査とが必要であり、
コードは適当なデータ・フロー−ルールを、システムに
より遂行されるあらゆるファイル・アクセスに対して、
あてはめる。
しかし、本発明により、機密性保護と保全性保護との両
方が、機密性のルールかあるいは、二者択一で保全性の
ルールかのみをあてはめる単一ステップで達成される。
よって、機密性保護と保全性保護の両方が単一セキュリ
ティ・レベルで与えられ、通常の機密性ラベルと保全性
ラベルを処理するために必要なシステム・オーバーヘッ
ドは無い。第5図は、機密性データと保全性データの両
方を導入する単一セキュリティ・ラベル図を示す。
第1セクシヨン50は、機密性レベルを含む。TS (
TOP  5ECRET (最高機密))、5(SEC
RET (機密)) 、U (UNCLASSIFIE
D(非機密))の各レベルに対し、別個のビットは”1
″′で与えられ、例えば、これは、ビットの中では、相
当するレベルが有効であることを示すビットである。こ
の場合に、全てのより低い機密性レベル・ビットはまた
、適切な支配関係を維持するために、1′を含む。通常
の実施例のように、レベル数の準備が本発明でも使用さ
れている。しかし、別個の機密性ビットの準備は、便宜
上使用される。二つの機密性コンパートメント・ビット
、EとF (52)が第5図に図示されテイル。二つの
コンパートメントの意味はt&’ではない。同様に、別
個のビット54は保全性レベルを特定するために与えら
れる。議論の目的のために、これら保全性レベルは高保
全性(HIGHINTEGRITY (H)) 、中保
全性(MEDIUM  INTEGRITY (M))
 、低保全性(LOW  INTEGRITY(L))
とされている。また二つの保全性コンパートメントGと
H(56)が図示されている。
第3図のような分かれた保全性ラベルの場合と違って、
保全性レベル・ビットと保全性コンパートメントとの状
態は、実際の保全性状態の逆の状態として、第5図に記
憶される。換言すると、もし処理やファイルがコンパー
トメントGに対して高保全性を必要とすると考えられる
ならば、HlMSL、G、Hの実際の保全性ビットの状
態、(1,1,1,1,0)が、0.0.0.0.1と
して第5図のラベルに記憶され、機密性に関するデータ
・フロー・ルールがファイル・アクセスに対してこの単
一ラベルに当てはめられる。同等に満足すべき二者択一
として、保全性ビットの状態は実際の値として記憶され
、機密性ビット50と52の状態はこの逆の値として記
憶される。この場合に、保全性に関するデータ・フロー
◆ルールは単一ラベルにあてはめられる。第6図は、第
1図と第3図の機密性ラベルと保全性ラベルと、逆の値
を持つ保全性ビットとを組み合わせて、単一セキュリテ
ィラベルにすることにより、またセキュリティのデータ
・フロー・ルールをあてはめることにより、0BSER
VE (監視者)、US(私達) 、THEM (彼ら
) 、PUBLIC(−般)というセット間のデータフ
ローを許容する。
この図において、ラベルの機密性部分は、便宜上、コロ
ンによりラベルの保全性部分から分離されている。また
、保全性の状態は前述のように逆になる。機密性のデー
タ・フロー・ルールをあてはめると、すなわち、データ
が上方にのみ流れると、昂6図で示されるような矢印の
方向になる。よって、第2図と第4図それぞれの機密性
の制約と保全性の制約とを結合することにより、結果は
、0BSERVEでのユーザと処理は、同じラベルを持
つファイル、あるいはUSとTHEMから、のみ読み込
み可能であり、USとTHEMでのユーザと処理は、0
BSERVE内のファイルにのみ書き込み可能である。
PUBL I Cでのユーザと処理は、PUBLICの
セキュリティ・ラベルに一致するセキュリティラベルを
持つファイルにのみ読み出しと書き込みが可能である。
他の全てのデータ・アクセスは禁じられる。よって、P
UBLICでのユーザと処理はシステムの他の部分から
分離されている。
珀7図は、第6図と同等な図を示すが、保全性状態のみ
ならず、機密性状態が逆になり、保全性のデータ・フロ
ー◆ルール(すなわち、データが下方にのみ流れる)が
ファイル・アクセス試行にあてはめられている、ことが
異なっている。図でわかるように、第7図での許容デー
タ・フローは第6図のそれと一致している。
どんなシステムに対しても、本発明で説かれた原理に沿
って、機密性保護と保全性保護との両方を導入すること
が可能であり、そのために、機密性や保全性に関して明
瞭に考えなければならないシステム設計者やシステム管
理者は不要であることが本発明で示された。必要なこと
は、設計者や管理者が、ユーザあるいは処理の所定のシ
ステム◆セットやファイルのセットの間のデータ・フロ
ーに対する望ましい制約に関して考える、ことのみであ
る。望ましいセットが定義され、データ・フローの方向
が設定されれば、セキュリティ・ラベルの状態は設定さ
れ、機密性かあるいは保全性いずれかのルールをあては
めることにより、セット間のデータ・フローに対する望
ましい制約を保証する。
第8.9.10図は、セット間のデータ・フローに対し
望ましい制約を含む、処理とファイルとの定義されたセ
ットを有するシステムの他の実例だが、このシステムで
は、異なるセットにつけられたセキュリティ・ラベルが
、全体として、機密性情報かあるいは保全性情報か必ず
しも別々に認識できないようにラベルに包括された、機
密性情報と保全性情報の両方を有する。
再度、第8図は、ユーザ、処理、ファイルの四つのセッ
ト、0BSERVE (監視者) 、USER3(ユー
ザ) 、PRIVATE (私有)、PUBLIC(一
般)を示し、これらはセット間のデータ・フローに対す
る制約を持つことが図示されている。このアーキテクチ
ャでは、0BSERVEでのユーザと処理は、USER
8とPUBLIC内のファイルを読み出し可能だが、U
SERSあるいはPUBL I Cに書き込むことは不
可能である。PRIVATEでのユーザと処理は、PU
BLIC内のデータを読みだし可能だが、書き込めない
。同様に、USER8は、PUBLICのデータに対し
、読みだし可能で書き込み不可能である。PRIVAT
EのデータからUSER3は完全に分離されている。も
しこのシステムがUNtXオペレーティング・システム
であれば、例えば、/etc/passwd  ファイ
ルはPUBLICセットに割り当てられるが、暗号化さ
れたパスワードはPRIVATEセットのファイル内に
あることになる。信頼されたオペレーティング・システ
ムは、USER3を暗号化されたパスワードのよ1うな
機密性の高いデータの読み出しや書き込みから防いでい
る。管理者は、権限のあるタスクを行う際には、PRI
VATEセットでシステムにログインする。権限のある
タスクを行うために必要なシステム・コマンドは、PR
IVATEセット内のまた実行可能ファイルに含まれて
いる。同じ管理者が、USERの問題に対し作業する時
には、0BSERVEセツトでシステムにログインする
ことになる。これは、周知のシステム破りから管理者を
守ることになるが、このシステム破りは、悪意のあるユ
ーザが、権限のあるコマンドを実行する管理者をからか
おうとする時に起こる。ファイル・アクセスは間接アク
セスと同様に直接アクセスを有し、それらに望ましいデ
ータ・フロー・ルールがあてはまることもまた注目に値
する。再度、例として、UNIXオペレーティング・シ
ステムを使用すると、処理に関する限り、デバイスは単
にセキュリティ・ラベルがつけられたファイルであり、
ファイル・インダイレクション(〉)やパイプ(1)の
ような周知のオペレータもまた間接的なファイル・アク
セスであり、データ・フロー・ルールがあてはまる。
第8図のシステムについて注目すべき重要なことの一つ
は、この図が機密性保護と保全性保護との両方を有する
こと、すなわち、セット間のデータ・フローに対して、
全ての望ましい制約を有することである。機密性かある
いは保全性かのルール−たとえどちらかがあてはまるよ
う選ばれるにしても−により、望ましいデータ・フロー
が維持されることを保証するために、第8図のセットに
対してセキュリティ・ラベルを単に定義することが必要
である。第9図は、機密性のルールにより任意に選択さ
れたようなラベルを示す。第10図は、機密性のルール
により第9図のラベルと同じ結果を達成するラベルの他
の異なるセットを示す。
第9図と第10図のラベルは両方とも機密性と保全性の
概念を有するが、これらの概念は、ラベルの冗長な状態
に包括されており、またラベルの別個のビットとして識
別可能であることは不要であるか望ましくない。さらに
、第9図と第10図での各ラベルのビットを逆にし、ま
た保全性のルールをあてはめることにより、設計者ある
いは管理者は正確に同じ結果を達成することが可能であ
る。
上記の配列は、本発明の原理の応用の単なる例示であり
、他の配列が、本発明の技術思想及び範囲から離れるこ
となく、当業者により工夫されることが可能である、こ
とが理解されるだろう。
(以下余白) 付 録 /傘 ” Mandatory 5ecrecy Label
 Access Check傘l #define NF  100 /” number
 of fields ”/#define READ
  1 #define WRrrE 2 #define YES  1 #define No  0 struct m5label ( int field[NF]; l*00、傘l ); 5ruct proct ( struct m5label 1abel;/傘16
.傘l ); 5truct filet ( struct m5label 1abel;/” 、
、、傘! ): m1access(proc、 file、 how)
struct proct proc;5truct 
filet file;int how; if(how&READ) if (!dominate(proc、]abel、
 file、1abel))return (No); if (how & WRITE) if (!dominate(file、1abel、
 proc、Iabel))return (No); returr+ (YES); 】 dominate(1abelA、 1abelB)s
truct m5label 1abelA、 Iab
elB;( register i; for (i−O; i□F; i++)if (!(
labelA、field[i] >= 1abelB
、field[1l))return (No); return (YES); )
【図面の簡単な説明】
第1図は、連邦政府により使用されているような機密性
ラベル(例えば、機密性レベルのフィールドと複数の機
密性コンパートメントとを有する)の実例となる書式の
一例を示す説明図、第2図は、各セットに対し、第1図
の機密性ラベルの状態により定義されたユーザ、処理、
データ・ファイルの異なるセットと、機密性セキュリテ
ィ制御に関する通常のルールによるセット間の許容デー
タ・フローの実例図、 第3図は、保全性ラベルの実例となる書式を示す説明図
、 第4図は、各セットに対し、第3図の保全性ラベルの状
態により定義されたユーザ、処理、データ・ファイルの
異なるセットと、保全性セキュリティ制御に関する通常
のルールによるセット間の許容データ・フローの実例図
、 第5図は、機密性情報と保全性情報の両方の単一ラベル
へと組み入れる、実例となる単一セキュリティ・ラベル
を示す説明図、 第6図は、第2図の機密性保護と第4図の保全性保護と
を組み合わせて単一ラベルにし、また機密性データ・フ
ローの通常のルールを含む本発明の側面に沿って処理と
ファイルとのラベルの内容を定義し、テストする、こと
による結果として、第1図のセット間の許容データ・フ
ローの実例図、第7図は、保全性データ・フローの通常
のルールを含む二者択一の方法で、第5図の処理とファ
イルのセキュリティ◆ラベルの内容を定義し、テストす
る、ことにより得られた第6図と同等のデータ・フロー
を示す実例図、 第8.9.10図は、セット間のデータ・フローに対し
望ましい制約を含む、処理とファイルとの定義されたセ
ットを有するシステムの他の実例図である。 出 願 人:アメリカン テレフォン アンド2 コンパ−トメ゛ント分類 PUBLIC(一般) 2 コンパートメント分類 FIG、 5 FIG、 6 PuBLIC(一般) FIG、 7 OBSERVE (監視者) FIG、 8 OBSERVE (監視者) PUBLIC(一般)

Claims (3)

    【特許請求の範囲】
  1. (1)別々のセキュリティ・ラベルがシステムの各ファ
    イルおよび処理に付けられ、そのファイルまたは処理に
    関する権限のあるセキュリティ・クラスを定義し、コン
    ピュータ・システムのファイルへのアクセスをアクセス
    に対して正当な権限のあるコンピュータ処理に対しての
    み保証するために、セキュリティ保護を強制的に実施す
    るための方法において、 ある処理によるあるファイルのアクセス試行に対して、
    前記処理に付けられたセキュリティ・ラベルと前記ファ
    イルに付けられたセキュリティ・ラベルとを比較するス
    テップと、前記比較結果に基づき、前記処理が前記ファ
    イルにアクセスすることを許可されるかを検査するステ
    ップと、を有し、 各セキュリティ・ラベルがデータの機密性とデータの保
    全性とに基づく権限を記述する情報を有し、前記処理の
    権限を有する機密性および保全性のクラスの両方に基づ
    く権限とアクセスのためにファイルにより必要とされる
    権限とは前記単一の検査ステップで達成される、 ことを特徴とするセキュリティ保護の強制的実施方法。
  2. (2)前記検査ステップは、 a)読み出しアクセス試行に対して、前記処理に付けら
    れたセキュリティ・ラベルが前記ファイルに付けられた
    セキュリティ・ラベルを支配するかを検査するステップ
    か、又は、b)書き込みアクセス試行に対して、前記フ
    ァイルに付けられたセキュリティ・ラベルが前記処理に
    付けられたセキュリティ・ラベルを支配するかを検査す
    るステップを有し、 保全性に基づくセキュリティ・ラベルでの権限情報は実
    際の保全性情報の逆として記憶され、また、第2のセキ
    ュリティ・ラベルの少なくとも全ての機密性および保全
    性の権限が第1のセキュリティ・ラベルにもまた存在す
    る時に、第1のセキュリティ・ラベルが第2のセキュリ
    ティ・ラベルを支配する、 ことを特徴とする請求項1記載の方法。
  3. (3)前記検査ステップは、 a)読みだしアクセス試行に対し、前記ファイルに付け
    られたセキュリティ・ラベルが前記処理に付けられたセ
    キュリティ・ラベルを支配するかを検査するステップか
    、又は、 b)書き込みアクセス試行に対し、前記処理に付けられ
    たセキュリティ・ラベルが前記ファイルに付けられたセ
    キュリティ・ラベルを支配するかを検査するステップを
    有し、 機密性に基づくセキュリティ・ラベルでの前記権限情報
    は実際の機密性情報の逆として記憶され、また、第2の
    セキュリティ・ラベルでの少なくとも全ての機密性およ
    び保全性の権限が第1のセキュリティ・ラベルにもまた
    存在する時に、第1のセキュリティ・ラベルが第2のセ
    キュリティ・ラベルを支配する、 ことを特徴とする請求項1記載の方法。
JP2170411A 1989-06-30 1990-06-29 コンピュータ・システムにおけるセキュリティ保護の強制的実施方法 Pending JPH0341535A (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US37438089A 1989-06-30 1989-06-30
US374,380 1989-06-30

Publications (1)

Publication Number Publication Date
JPH0341535A true JPH0341535A (ja) 1991-02-22

Family

ID=23476563

Family Applications (1)

Application Number Title Priority Date Filing Date
JP2170411A Pending JPH0341535A (ja) 1989-06-30 1990-06-29 コンピュータ・システムにおけるセキュリティ保護の強制的実施方法

Country Status (4)

Country Link
EP (1) EP0407060B1 (ja)
JP (1) JPH0341535A (ja)
CA (1) CA2018319C (ja)
DE (1) DE69029880T2 (ja)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH05250247A (ja) * 1991-12-16 1993-09-28 Internatl Business Mach Corp <Ibm> アクセスの制御方法及びデータ処理装置

Families Citing this family (13)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5574912A (en) * 1990-05-04 1996-11-12 Digital Equipment Corporation Lattice scheduler method for reducing the impact of covert-channel countermeasures
US5414844A (en) * 1990-05-24 1995-05-09 International Business Machines Corporation Method and system for controlling public access to a plurality of data objects within a data processing system
US5657470A (en) * 1994-11-09 1997-08-12 Ybm Technologies, Inc. Personal computer hard disk protection system
US5586301A (en) * 1994-11-09 1996-12-17 Ybm Technologies, Inc. Personal computer hard disk protection system
US5819091A (en) * 1994-12-22 1998-10-06 Arendt; James Wendell User level control of degree of client-side processing
RU2145727C1 (ru) * 1998-09-11 2000-02-20 Щеглов Андрей Юрьевич Система обеспечения целостности информации вычислительных систем
US7406603B1 (en) * 1999-08-31 2008-07-29 Intertrust Technologies Corp. Data protection systems and methods
GB9923340D0 (en) * 1999-10-04 1999-12-08 Secr Defence Improvements relating to security
DE10008153A1 (de) * 2000-02-22 2001-06-21 Primasoft Gmbh Verfahren zur Sicherung von in einer digitalen Verarbeitungseinheit abgelegten Daten gegen unbefugten Zugriff
DE10113828A1 (de) * 2001-03-21 2002-09-26 Infineon Technologies Ag Prozessor zum sicheren Verarbeiten von Daten unter Verwendung einer Datensicherheitsmarke und/oder von Befehlen unter Verwendung einer Befehlssicherheitsmarke
EP1698958A1 (fr) * 2005-02-25 2006-09-06 Axalto SA Procédé de sécurisation de l'ecriture en mémoire contre des attaques par rayonnement ou autres
GB2442273A (en) * 2006-09-29 2008-04-02 Ibm Mechanism for allowing access to unsecured resources via a security engine using inverted security policies
EP2819057B1 (en) * 2013-06-24 2017-08-09 Nxp B.V. Data processing system, method of initializing a data processing system, and computer program product

Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS5917650A (ja) * 1982-07-22 1984-01-28 Fujitsu Ltd フアイル機密保護方式
JPS62242273A (ja) * 1986-04-14 1987-10-22 Nec Corp セキユリテイ管理方式
JPS6337446A (ja) * 1986-08-01 1988-02-18 Hitachi Ltd フアイルアクセス権限検査方式

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US3916385A (en) * 1973-12-12 1975-10-28 Honeywell Inf Systems Ring checking hardware
US4926476A (en) * 1989-02-03 1990-05-15 Motorola, Inc. Method and apparatus for secure execution of untrusted software

Patent Citations (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPS5917650A (ja) * 1982-07-22 1984-01-28 Fujitsu Ltd フアイル機密保護方式
JPS62242273A (ja) * 1986-04-14 1987-10-22 Nec Corp セキユリテイ管理方式
JPS6337446A (ja) * 1986-08-01 1988-02-18 Hitachi Ltd フアイルアクセス権限検査方式

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH05250247A (ja) * 1991-12-16 1993-09-28 Internatl Business Mach Corp <Ibm> アクセスの制御方法及びデータ処理装置

Also Published As

Publication number Publication date
EP0407060A2 (en) 1991-01-09
EP0407060B1 (en) 1997-02-05
DE69029880T2 (de) 1997-08-21
CA2018319A1 (en) 1990-12-31
DE69029880D1 (de) 1997-03-20
CA2018319C (en) 1997-01-07
EP0407060A3 (en) 1991-12-27

Similar Documents

Publication Publication Date Title
Chen et al. A software-hardware architecture for self-protecting data
KR100450402B1 (ko) 컴퓨터 시스템에 있어서 보안속성을 갖는 토큰을 이용한접근 제어방법
CN102034052B (zh) 基于三权分立的操作系统体系结构及实现方法
KR101414580B1 (ko) 다중 등급 기반 보안 리눅스 운영 시스템
US7577838B1 (en) Hybrid systems for securing digital assets
JPH0341535A (ja) コンピュータ・システムにおけるセキュリティ保護の強制的実施方法
CN104462950A (zh) 一种用于操作系统的应用程序执行权限控制方法
CN104318176A (zh) 用于终端的数据管理方法、数据管理装置和终端
Omar New insights into database security: An effective and integrated approach for applying access control mechanisms and cryptographic concepts in Microsoft Access environments
Pramanik et al. Security policies to mitigate insider threat in the document control domain
US7529946B2 (en) Enabling bits sealed to an enforceably-isolated environment
KR980010772A (ko) 컴퓨터 소프트웨어의 복사 방지 방법
WO2007001046A1 (ja) セキュリティ対策アプリケーションの機密ファイル保護方法、及び機密ファイル保護装置
Lee Essays about computer security
US20100088770A1 (en) Device and method for disjointed computing
KR102493066B1 (ko) 프로세스 내부 공격에 대응하기 위한 세밀한 고립 기술
KR100523843B1 (ko) 디지털 저작권 관리 클라이언트에서의 접근권한 제어를위한 접근 제어 목록 기반의 제어 장치
Michalska et al. Security risks and their prevention capabilities in mobile application development
KR930004434B1 (ko) 다중 등급기밀 데이타 보호용 액세스 제어방법
KR102623168B1 (ko) 데이터 보호 시스템
Nimbalkar et al. Advanced linux security
KR100454231B1 (ko) 확장된 blp보안시스템
Xu et al. A study on confidentiality and integrity protection of SELinux
Jaidi Requirements, Compliance and Future Directives
Fataniya A Survey of Database Security Challenges, Issues and Solution