JPH08263356A - コンピュータシステムにおけるシステムクリティカルなファイルに対する不注意による変更を防止するための方法および装置 - Google Patents
コンピュータシステムにおけるシステムクリティカルなファイルに対する不注意による変更を防止するための方法および装置Info
- Publication number
- JPH08263356A JPH08263356A JP8008884A JP888496A JPH08263356A JP H08263356 A JPH08263356 A JP H08263356A JP 8008884 A JP8008884 A JP 8008884A JP 888496 A JP888496 A JP 888496A JP H08263356 A JPH08263356 A JP H08263356A
- Authority
- JP
- Japan
- Prior art keywords
- access
- request
- sub
- disk
- identification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- G—PHYSICS
- G06—COMPUTING OR CALCULATING; COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/50—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
- G06F21/52—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow
- G06F21/54—Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems during program execution, e.g. stack integrity ; Preventing unwanted data erasure; Buffer overflow by adding security routines or objects to programs
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
- Storage Device Security (AREA)
Abstract
(57)【要約】
【課題】 リザーブサブボリウムへの改変アクセスを、
このようなアクセスを行う必要のあるアプリケーション
プロセスのみに制限する方法を提供することである。 【解決手段】 システムクリティカルなファイルは、記
憶装置のリザーブネームスペースにそれらを置き、リザ
ーブネームスペースへの改変アクセスを求めているプロ
セスがそうする権利を有することを必要とするようにす
ることにより、不注意により改変させられたり削除され
たりしないように、保護される。改変アクセスへの権利
は、呼び出しているプロセスに関連したメモリ記憶デー
タ構造が改変させられるようにするシステムライブラリ
処理手続を最初に呼び出し、そのプロセスがリザーブネ
ームスペースへの改変アクセスをなす権利を有するもの
であると識別するようなプロセスによって、獲得され
る。リザーブネームスペースに存在するファイルを改変
したり削除したり作成したりする試みは、そのような権
利なしでは、拒絶される。
このようなアクセスを行う必要のあるアプリケーション
プロセスのみに制限する方法を提供することである。 【解決手段】 システムクリティカルなファイルは、記
憶装置のリザーブネームスペースにそれらを置き、リザ
ーブネームスペースへの改変アクセスを求めているプロ
セスがそうする権利を有することを必要とするようにす
ることにより、不注意により改変させられたり削除され
たりしないように、保護される。改変アクセスへの権利
は、呼び出しているプロセスに関連したメモリ記憶デー
タ構造が改変させられるようにするシステムライブラリ
処理手続を最初に呼び出し、そのプロセスがリザーブネ
ームスペースへの改変アクセスをなす権利を有するもの
であると識別するようなプロセスによって、獲得され
る。リザーブネームスペースに存在するファイルを改変
したり削除したり作成したりする試みは、そのような権
利なしでは、拒絶される。
Description
【0001】
【発明の属する技術分野】本発明は、データ処理システ
ムに関するものであり、特に、記憶媒体に記憶されたフ
ァイルが不注意で改変されたり、変更されたり、削除さ
れたりしないようにするための方法およびこの方法を実
施する装置に関するものである。
ムに関するものであり、特に、記憶媒体に記憶されたフ
ァイルが不注意で改変されたり、変更されたり、削除さ
れたりしないようにするための方法およびこの方法を実
施する装置に関するものである。
【0002】
【従来の技術】コンピュータシステムにおいては、侵さ
れてはならず、および/または不注意による改変に対し
て保護されていなければならないような敏感でシステム
クリティカルなファイルが作成されることがよくある。
本発明に関するシステムクリティカルなファイルの一つ
の例は、データベースに対してなされた変更のヒストリ
を追跡するのに使用される追跡監査ファイルである。こ
の追跡監査ファイルは、どのような理由であろうとも、
データベースが破損したり、失われたりした場合におい
て、そのデータベースを再構成するのに使用することが
できる。データベースを管理し且つ維持するための責任
あるアプリケーションプログラムまたはプロセスは、そ
の管理しているデータベースに対して定期的に変更や改
変を加える(例えば、あるレコードを加えたり、改変し
たりする等)。データベースに対するこのような変更ま
たは改変の都度、その変更を表す監査レコードが作成さ
れる。この監査レコードは、ディスクに保持された関連
した追跡監査ファイルに付け加えられる。
れてはならず、および/または不注意による改変に対し
て保護されていなければならないような敏感でシステム
クリティカルなファイルが作成されることがよくある。
本発明に関するシステムクリティカルなファイルの一つ
の例は、データベースに対してなされた変更のヒストリ
を追跡するのに使用される追跡監査ファイルである。こ
の追跡監査ファイルは、どのような理由であろうとも、
データベースが破損したり、失われたりした場合におい
て、そのデータベースを再構成するのに使用することが
できる。データベースを管理し且つ維持するための責任
あるアプリケーションプログラムまたはプロセスは、そ
の管理しているデータベースに対して定期的に変更や改
変を加える(例えば、あるレコードを加えたり、改変し
たりする等)。データベースに対するこのような変更ま
たは改変の都度、その変更を表す監査レコードが作成さ
れる。この監査レコードは、ディスクに保持された関連
した追跡監査ファイルに付け加えられる。
【0003】
【発明が解決しようとする課題】もし、この追跡監査フ
ァイルに関連していないある他のプロセスによって、な
んらかの理由により、その追跡監査ファイルが不注意に
より改変されたり、または、削除されたりするならば、
その関連したデータベースを再構成することができなく
なってしまう可能性がある。このような理由のために、
追跡監査ファイルは、関連するデータベースを正しく再
構成できないようになってしまうような不注意による変
更を受けないように、保護されねばならない。したがっ
て、データベース(または、その他の維持されるデータ
セグメント/構造体)の追跡監査ファイルに対するリー
ドオンリアクセスを許しつつ、その追跡監査ファイルに
対する改変アクセスは、そのようなアクセスを必要とす
るプロセスのみに制限されねばならない。
ァイルに関連していないある他のプロセスによって、な
んらかの理由により、その追跡監査ファイルが不注意に
より改変されたり、または、削除されたりするならば、
その関連したデータベースを再構成することができなく
なってしまう可能性がある。このような理由のために、
追跡監査ファイルは、関連するデータベースを正しく再
構成できないようになってしまうような不注意による変
更を受けないように、保護されねばならない。したがっ
て、データベース(または、その他の維持されるデータ
セグメント/構造体)の追跡監査ファイルに対するリー
ドオンリアクセスを許しつつ、その追跡監査ファイルに
対する改変アクセスは、そのようなアクセスを必要とす
るプロセスのみに制限されねばならない。
【0004】
【発明の概要】本発明は、追跡監査ファイルを含む種々
なファイルを維持するための二次記憶装置(例えば、デ
ィスク)に関連して使用される。本発明に関連していな
い目的のためには、二次記憶装置の名称を、追跡監査フ
ァイルの如きシステムクリティカルなファイルを含むデ
ィスク上のすべてのファイルについて構成要素(すなわ
ち、2つ以上ある場合にどの物理的ディスクである
か)、サブボリウムおよびファイル名にしたがって区分
けするのが便利である。関連したファイルは、異なるサ
ブボリウムに記憶されていることがありうる。本発明に
よれば、それらサブボリウムの1つが、関連したデータ
ベース構造の追跡監査ファイルのためのリザーブサブボ
リウムとして指定される。
なファイルを維持するための二次記憶装置(例えば、デ
ィスク)に関連して使用される。本発明に関連していな
い目的のためには、二次記憶装置の名称を、追跡監査フ
ァイルの如きシステムクリティカルなファイルを含むデ
ィスク上のすべてのファイルについて構成要素(すなわ
ち、2つ以上ある場合にどの物理的ディスクである
か)、サブボリウムおよびファイル名にしたがって区分
けするのが便利である。関連したファイルは、異なるサ
ブボリウムに記憶されていることがありうる。本発明に
よれば、それらサブボリウムの1つが、関連したデータ
ベース構造の追跡監査ファイルのためのリザーブサブボ
リウムとして指定される。
【0005】さらにまた、本発明を使用するシステム
は、アプリケーションプロセス(例えば、データベース
管理プロセス)に対して、一般的に通常の仕方で、サー
ビスプロセスの形にて、種々なサービスを提供するよう
に構成されている。したがって、もし、あるアプリケー
ションが二次記憶装置、例えば、ディスクにアクセスす
る必要がある場合には、そのアプリケーションは、その
二次記憶装置を管理する責任のあるサービスプロセス
(ディスクプロセス)に対してある要求を送る。
は、アプリケーションプロセス(例えば、データベース
管理プロセス)に対して、一般的に通常の仕方で、サー
ビスプロセスの形にて、種々なサービスを提供するよう
に構成されている。したがって、もし、あるアプリケー
ションが二次記憶装置、例えば、ディスクにアクセスす
る必要がある場合には、そのアプリケーションは、その
二次記憶装置を管理する責任のあるサービスプロセス
(ディスクプロセス)に対してある要求を送る。
【0006】本発明は、リザーブサブボリウムへの改変
アクセスを、このようなアクセスを行う必要のあるアプ
リケーションプロセスのみに制限する方法を提供する。
その他のすべてのプロセスは、リザーブサブボリウムに
維持されたファイルのどれに対しても検索のために読み
取りアクセスすることができるが、そのリザーブサブボ
リウムにあるファイルのいずれについてもそれを改変し
たり、削除したり、または作成したりする試みは、拒絶
される。
アクセスを、このようなアクセスを行う必要のあるアプ
リケーションプロセスのみに制限する方法を提供する。
その他のすべてのプロセスは、リザーブサブボリウムに
維持されたファイルのどれに対しても検索のために読み
取りアクセスすることができるが、そのリザーブサブボ
リウムにあるファイルのいずれについてもそれを改変し
たり、削除したり、または作成したりする試みは、拒絶
される。
【0007】上位概念で言えば、本発明の方法は、アプ
リケーションプロセスに対して、サブボリウムへの改変
アクセスをなす権利を有するものとしてそれらを識別す
る能力を与えるものである。この権利は、アプリケーシ
ョンプロセスによってディスクプロセスへ送られるディ
スクサービスのための要求に含まれる。もし、その要求
がリザーブサブボリウムへの改変アクセスを求めている
場合には、そのディスクプロセスは、その要求がその権
利を含むか否かについて検査し、もし、その権利が含ま
れていない場合には、その要求に応ずることを拒絶す
る。
リケーションプロセスに対して、サブボリウムへの改変
アクセスをなす権利を有するものとしてそれらを識別す
る能力を与えるものである。この権利は、アプリケーシ
ョンプロセスによってディスクプロセスへ送られるディ
スクサービスのための要求に含まれる。もし、その要求
がリザーブサブボリウムへの改変アクセスを求めている
場合には、そのディスクプロセスは、その要求がその権
利を含むか否かについて検査し、もし、その権利が含ま
れていない場合には、その要求に応ずることを拒絶す
る。
【0008】本発明の一実施例によれば、アクセスのた
めのディスクプロセスに対する要求は、その要求プロセ
スに関連しそれを記述した情報を含むフラッグワードを
含んでいる。このフラッグワードの1つのビットは、一
方の状態にセットされているときに、その要求プロセス
がリザーブサブボリウム領域の改変アクセスを行う権利
を有するものとして識別させる。
めのディスクプロセスに対する要求は、その要求プロセ
スに関連しそれを記述した情報を含むフラッグワードを
含んでいる。このフラッグワードの1つのビットは、一
方の状態にセットされているときに、その要求プロセス
がリザーブサブボリウム領域の改変アクセスを行う権利
を有するものとして識別させる。
【0009】本発明の別の実施例によれば、要求は、主
メモリに維持されていてそのアプリケーションプロセス
に関連したデータセグメントから引き出される情報に基
づいて、そのアプリケーションプロセスによって組み立
てられる。そのデータセグメントは、その関連したプロ
セスによって使用される情報を含む。その情報のうちの
あるものは、その要求プロセスについての詳細(例え
ば、アイデンティティーおよびタイプ等)を与えるため
にそのサービス要求に含まれ、勿論、フラッグワードを
含む。リザーブサブボリウムへの改変アクセスを行う権
利を得るために、そのアプリケーションプロセスは、あ
る時に、システムライブラリ処理手続を呼び出さねばな
らない。このシステムライブラリ処理手続によれば、リ
ザーブサブボリウムへの改変アクセスのために必要とさ
れるフラッグワードにおけるビットがその要求プロセス
によって必要とされる適切な状態へとセットせしめられ
る。フラッグワードにおけるこのビットは、そのプロセ
スの続いている間はセット状態のままとされる。
メモリに維持されていてそのアプリケーションプロセス
に関連したデータセグメントから引き出される情報に基
づいて、そのアプリケーションプロセスによって組み立
てられる。そのデータセグメントは、その関連したプロ
セスによって使用される情報を含む。その情報のうちの
あるものは、その要求プロセスについての詳細(例え
ば、アイデンティティーおよびタイプ等)を与えるため
にそのサービス要求に含まれ、勿論、フラッグワードを
含む。リザーブサブボリウムへの改変アクセスを行う権
利を得るために、そのアプリケーションプロセスは、あ
る時に、システムライブラリ処理手続を呼び出さねばな
らない。このシステムライブラリ処理手続によれば、リ
ザーブサブボリウムへの改変アクセスのために必要とさ
れるフラッグワードにおけるビットがその要求プロセス
によって必要とされる適切な状態へとセットせしめられ
る。フラッグワードにおけるこのビットは、そのプロセ
スの続いている間はセット状態のままとされる。
【0010】本発明の方法は、多くの利点を有してい
る。第一に、システムクリティカルファイルへの改変ア
クセスを与えるために、従来において必要であったよう
な特別なサービスプロセスを発生する必要がない。むし
ろ、サービスプロセスは、通常のものでよく、リザーブ
サブボリウムへの改変アクセスを行う必要のあるものを
含めてどのアプリケーションプロセスによっても使用で
きる。特定のサービスプロセスは、その要求に基づい
て、リザーブサブボリウムへの改変アクセスを要求して
いるアプリケーションプロセスが適切な権利を有してい
るか否かを決定する能力のみを必要としている。
る。第一に、システムクリティカルファイルへの改変ア
クセスを与えるために、従来において必要であったよう
な特別なサービスプロセスを発生する必要がない。むし
ろ、サービスプロセスは、通常のものでよく、リザーブ
サブボリウムへの改変アクセスを行う必要のあるものを
含めてどのアプリケーションプロセスによっても使用で
きる。特定のサービスプロセスは、その要求に基づい
て、リザーブサブボリウムへの改変アクセスを要求して
いるアプリケーションプロセスが適切な権利を有してい
るか否かを決定する能力のみを必要としている。
【0011】本発明による機密保護されたシステムクリ
ティカルファイルは、パスワードを必要とする従来の方
法またはその他の既知の機密保護によって与えられる機
密保護よりも高い機密保護のなされるものである。
ティカルファイルは、パスワードを必要とする従来の方
法またはその他の既知の機密保護によって与えられる機
密保護よりも高い機密保護のなされるものである。
【0012】本発明のこれらの特徴および利点、並びに
その他の特徴および利点は、添付図面に関連して以下に
なされる本発明の詳細な説明から、当業者には明らかと
なろう。
その他の特徴および利点は、添付図面に関連して以下に
なされる本発明の詳細な説明から、当業者には明らかと
なろう。
【0013】
【発明の実施の形態】本発明は、米国特許第42284
96号明細書に例示されたような多重プロセッサシステ
ムに使用するために開発されたものである。このような
システムに関連して、多重プロセッサのうちの一つのプ
ロセッサに対して動作するアプリケーションプロセス
は、ディスク記憶装置によって実施されるシステムの二
次記憶装置の部分を管理し、維持し且つアクセスする責
任のあるディスクプロセスの如き別のプロセッサに存在
するサービスプロセスのあるサービスを要求することが
ありうる。あるサービスプロセスのサービスに対するプ
ロセッサ間要求は、多重プロセッサの間にメッセージを
ルーティングできるようにするプロセッサ間バスアーキ
テクチャおよびメッセージングシステムを使用する。し
かしながら、もし、そのアプリケーションプロセス要求
サービスおよびその要求されたサービスプロセスが同じ
プロセッサに存在する場合には、次の点を除いて、同じ
メッセージング方法が使用される。要求メッセージは、
プロセッサ間通信アーキテクチャに置かれずに、そのプ
ロセッサ内で内部的に転送されて、処理のためのサービ
スプロセスのキューに置かれる。この特定のメッセージ
システムの詳細については、本発明を理解し使用するた
めに必要でないので、ここでは、詳述しない。当業者に
は容易に推測できるように、本発明は、単一プロセッサ
の環境を含む種々な環境において使用できるものである
ことを述べておく。
96号明細書に例示されたような多重プロセッサシステ
ムに使用するために開発されたものである。このような
システムに関連して、多重プロセッサのうちの一つのプ
ロセッサに対して動作するアプリケーションプロセス
は、ディスク記憶装置によって実施されるシステムの二
次記憶装置の部分を管理し、維持し且つアクセスする責
任のあるディスクプロセスの如き別のプロセッサに存在
するサービスプロセスのあるサービスを要求することが
ありうる。あるサービスプロセスのサービスに対するプ
ロセッサ間要求は、多重プロセッサの間にメッセージを
ルーティングできるようにするプロセッサ間バスアーキ
テクチャおよびメッセージングシステムを使用する。し
かしながら、もし、そのアプリケーションプロセス要求
サービスおよびその要求されたサービスプロセスが同じ
プロセッサに存在する場合には、次の点を除いて、同じ
メッセージング方法が使用される。要求メッセージは、
プロセッサ間通信アーキテクチャに置かれずに、そのプ
ロセッサ内で内部的に転送されて、処理のためのサービ
スプロセスのキューに置かれる。この特定のメッセージ
システムの詳細については、本発明を理解し使用するた
めに必要でないので、ここでは、詳述しない。当業者に
は容易に推測できるように、本発明は、単一プロセッサ
の環境を含む種々な環境において使用できるものである
ことを述べておく。
【0014】さらにまた、アプリケーション管理プロセ
スおよびディスクプロセスを含むデータベース管理シス
テムに関連して、本発明を説明する。この場合において
は、そのディスクプロセスは、ディスクによって実施さ
れる二次記憶スペースにおいて追跡監査ファイルを含む
データファイルを作成し、改変し、および/または削除
するための要求に応答する責任がある。二次記憶装置に
おける管理システムの実際の実施、および追跡監査ファ
イルの作成および管理は、アプリケーション管理プロセ
ス、およびデータディスクプロセス(記憶されたデータ
ベースに対する実際の形成、管理、アクセスのタスクを
実行するための)、追跡監査ディスクプロセス(追跡監
査ファイルを維持し且つ更新するための)、およびトラ
ンザクション監視プロセス(なかでも、追跡監査ファイ
ルを作成するための責任がある)を含むので、いくぶん
複雑である。この実際の実施においては、データディス
クプロセスは、追跡監査ファイルの更新のため追跡監査
ディスクプロセスに通される監査を発生する。
スおよびディスクプロセスを含むデータベース管理シス
テムに関連して、本発明を説明する。この場合において
は、そのディスクプロセスは、ディスクによって実施さ
れる二次記憶スペースにおいて追跡監査ファイルを含む
データファイルを作成し、改変し、および/または削除
するための要求に応答する責任がある。二次記憶装置に
おける管理システムの実際の実施、および追跡監査ファ
イルの作成および管理は、アプリケーション管理プロセ
ス、およびデータディスクプロセス(記憶されたデータ
ベースに対する実際の形成、管理、アクセスのタスクを
実行するための)、追跡監査ディスクプロセス(追跡監
査ファイルを維持し且つ更新するための)、およびトラ
ンザクション監視プロセス(なかでも、追跡監査ファイ
ルを作成するための責任がある)を含むので、いくぶん
複雑である。この実際の実施においては、データディス
クプロセスは、追跡監査ファイルの更新のため追跡監査
ディスクプロセスに通される監査を発生する。
【0015】しかしながら、本発明の理解および使用に
ついて必ずしも適切であるとは考えられない実際の環境
ではあるが、本発明の説明を不必要に複雑なものとしな
いために、本発明を、アプリケーション管理プロセスお
よびディスクプロセスを行う単一プロセッサおよび関連
する入力/出力(I/O)システムに関連させて、以下
説明する。アプリケーション管理プロセスは、ディスク
プロセスのサービスによりデータベースおよび追跡監査
ファイルの両者の作成を実行し、それら両者を維持し且
つ更新する責任を有している。本発明を使用する実際の
環境について知りたいのであれば、本願に対応する米国
特許出願と同時に出願され本出願人に譲渡された「Mult
i-Volume Audit Trails for Fault Tolerant Computer
s」と題する米国特許出願(代理人整理番号第10577-034
200)の明細書を参照されたい。
ついて必ずしも適切であるとは考えられない実際の環境
ではあるが、本発明の説明を不必要に複雑なものとしな
いために、本発明を、アプリケーション管理プロセスお
よびディスクプロセスを行う単一プロセッサおよび関連
する入力/出力(I/O)システムに関連させて、以下
説明する。アプリケーション管理プロセスは、ディスク
プロセスのサービスによりデータベースおよび追跡監査
ファイルの両者の作成を実行し、それら両者を維持し且
つ更新する責任を有している。本発明を使用する実際の
環境について知りたいのであれば、本願に対応する米国
特許出願と同時に出願され本出願人に譲渡された「Mult
i-Volume Audit Trails for Fault Tolerant Computer
s」と題する米国特許出願(代理人整理番号第10577-034
200)の明細書を参照されたい。
【0016】図1を参照するに、全体として参照番号1
0を付して示された処理システムは、ディスクシステム
16を含む二次記憶装置15にI/Oバス18によって
結合されたメモリ14を含む中央処理装置(CPU)1
2を備える。図示していないが、二次記憶装置15は、
テープまたは半導体の如きその他の記憶媒体を含みうる
ものであることは理解されよう。その上、二次記憶装置
15は、他の周辺装置(例えば、通信装置、プリンタ、
端末機等)とI/Oバス18を共用しうる。データ、制
御情報等は、CPU12とディスクシステム16との間
で、I/Oバス18を介して、通常の仕方でやり取りさ
れる。ディスクシステム16を構成するために多重ディ
スク装置を使用することもできることは、理解されよ
う。
0を付して示された処理システムは、ディスクシステム
16を含む二次記憶装置15にI/Oバス18によって
結合されたメモリ14を含む中央処理装置(CPU)1
2を備える。図示していないが、二次記憶装置15は、
テープまたは半導体の如きその他の記憶媒体を含みうる
ものであることは理解されよう。その上、二次記憶装置
15は、他の周辺装置(例えば、通信装置、プリンタ、
端末機等)とI/Oバス18を共用しうる。データ、制
御情報等は、CPU12とディスクシステム16との間
で、I/Oバス18を介して、通常の仕方でやり取りさ
れる。ディスクシステム16を構成するために多重ディ
スク装置を使用することもできることは、理解されよ
う。
【0017】CPU12は、ランニング(例えば、通常
の時分割または多重タスキング方法を使用する)アプリ
ケーションまたはその他のプログラムまたはサービス
(ディスク)プロセスPiを含むプロセスP1、P
2、...、Pnを有しうる。各プロセスP
1、、...、Pnに関連して、メモリ14には、デー
タ構造体D(P1)、...、D(Pn)が記憶されて
いる。
の時分割または多重タスキング方法を使用する)アプリ
ケーションまたはその他のプログラムまたはサービス
(ディスク)プロセスPiを含むプロセスP1、P
2、...、Pnを有しうる。各プロセスP
1、、...、Pnに関連して、メモリ14には、デー
タ構造体D(P1)、...、D(Pn)が記憶されて
いる。
【0018】例えば、プロセスP1は、ディスクシステ
ム16に記憶されているデータベースを管理し維持する
ための責任があるデータベース管理プロセスであると仮
定する。さらに、通常よくそうであるように、関連する
追跡監査ファイルは、データベースプロセスP1によっ
て作成され定期的に更新される。そのデータベースおよ
び追跡監査ファイルの両者は、ディスクシステム16に
記憶されてよいが、耐故障性能を改善するためには、異
なるディスク装置に記憶されるのが好ましい。どちらか
にアクセスするために、データベースプロセスP1は、
ディスクプロセスPiのサービスを使用する。ディスク
プロセスPiは、ファイルを作成し、移し、パージ(削
除)し、改変したりするために要求にしたがってディス
クへのアクセスを開始するに必要な動作、またはその他
の関連した動作を行うように、構成されている。したが
って、例えば、データベースプロセスP1によって管理
されるデータベースは、それら要求を、ディスクシステ
ム16に関するデータベースファイルを先ず作成するの
に必要なディスクプロセスPiへ送る。その後、そのデ
ータベースプロセスP1は、そのデータベースを管理し
維持するので、これらタスクを実行するためにディスク
プロセスPiへ付加的な要求を送る。
ム16に記憶されているデータベースを管理し維持する
ための責任があるデータベース管理プロセスであると仮
定する。さらに、通常よくそうであるように、関連する
追跡監査ファイルは、データベースプロセスP1によっ
て作成され定期的に更新される。そのデータベースおよ
び追跡監査ファイルの両者は、ディスクシステム16に
記憶されてよいが、耐故障性能を改善するためには、異
なるディスク装置に記憶されるのが好ましい。どちらか
にアクセスするために、データベースプロセスP1は、
ディスクプロセスPiのサービスを使用する。ディスク
プロセスPiは、ファイルを作成し、移し、パージ(削
除)し、改変したりするために要求にしたがってディス
クへのアクセスを開始するに必要な動作、またはその他
の関連した動作を行うように、構成されている。したが
って、例えば、データベースプロセスP1によって管理
されるデータベースは、それら要求を、ディスクシステ
ム16に関するデータベースファイルを先ず作成するの
に必要なディスクプロセスPiへ送る。その後、そのデ
ータベースプロセスP1は、そのデータベースを管理し
維持するので、これらタスクを実行するためにディスク
プロセスPiへ付加的な要求を送る。
【0019】処理システム10の二次記憶装置15に記
憶されたファイルは、これらのファイルの二次記憶装置
15内の記憶スペースを識別するために、構成要素、サ
ブボリウム、ファイル名の前述したようなネーミング取
決めを使用する。したがって、データベースプロセスP
1によって作成され維持されるデータベースは、サブボ
リウム修飾名およびファイル名と共に、それが記憶され
ている物理的ディスクユニットによって識別される。デ
ータベースプロセスP1によって管理されるデータベー
スに対する変更、改変等の任意のものおよびすべてのヒ
ストリを維持するために作成される追跡監査ファイル
は、同様にして、作成され、維持され、ネーミングされ
る。前述したように、そのデータベースおよびそれに関
連した追跡監査ファイルは、二次記憶装置15における
同じ媒体(すなわち、ディスク装置)に記憶されている
のであるが、これらは、異なる装置に維持される方が好
ましい。
憶されたファイルは、これらのファイルの二次記憶装置
15内の記憶スペースを識別するために、構成要素、サ
ブボリウム、ファイル名の前述したようなネーミング取
決めを使用する。したがって、データベースプロセスP
1によって作成され維持されるデータベースは、サブボ
リウム修飾名およびファイル名と共に、それが記憶され
ている物理的ディスクユニットによって識別される。デ
ータベースプロセスP1によって管理されるデータベー
スに対する変更、改変等の任意のものおよびすべてのヒ
ストリを維持するために作成される追跡監査ファイル
は、同様にして、作成され、維持され、ネーミングされ
る。前述したように、そのデータベースおよびそれに関
連した追跡監査ファイルは、二次記憶装置15における
同じ媒体(すなわち、ディスク装置)に記憶されている
のであるが、これらは、異なる装置に維持される方が好
ましい。
【0020】今、図2を参照するに、リザーブサブボリ
ウムスペース22を含む二次記憶装置の部分を構成する
ディスク装置16aが例示されている。リザーブサブボ
リウムスペース22は、図2に示されるように、ディス
ク装置16aの物理的仕切り壁ではなく、リザーブサブ
ボリウムスペース22を概念的に表示しているものであ
る。これは、ネームスペースであって、媒体上の物理的
場所ではない。
ウムスペース22を含む二次記憶装置の部分を構成する
ディスク装置16aが例示されている。リザーブサブボ
リウムスペース22は、図2に示されるように、ディス
ク装置16aの物理的仕切り壁ではなく、リザーブサブ
ボリウムスペース22を概念的に表示しているものであ
る。これは、ネームスペースであって、媒体上の物理的
場所ではない。
【0021】図2をさらに参照するに、ディスクプロセ
スP1は、通常のように、二次記憶装置へのアクセス要
求に基づいて、その要求に付随した構成要素/サブボリ
ウム/ファイル名からそのアクセスがその二次記憶装置
15の記憶スペースのどこになされるべきかを決定する
ように構成されている。また、ディスクプロセスは、そ
の要求をしているプロセス、要求されたアクセスの種
類、およびその要求を実行するのにそれが必要としてい
るその他のどのような情報でも、それらを識別する。さ
らに、もし、その要求がサブボリウム22の修飾名を有
するファイルを改変するというものである場合には、そ
のディスクプロセスP1は、その要求がその要求からそ
のような要求をなす権利を有するか否かについて判定す
る。もし、その要求がその権利を識別しない場合には、
その要求は否定され、その要求をしているプロセスにそ
の旨が通知される。
スP1は、通常のように、二次記憶装置へのアクセス要
求に基づいて、その要求に付随した構成要素/サブボリ
ウム/ファイル名からそのアクセスがその二次記憶装置
15の記憶スペースのどこになされるべきかを決定する
ように構成されている。また、ディスクプロセスは、そ
の要求をしているプロセス、要求されたアクセスの種
類、およびその要求を実行するのにそれが必要としてい
るその他のどのような情報でも、それらを識別する。さ
らに、もし、その要求がサブボリウム22の修飾名を有
するファイルを改変するというものである場合には、そ
のディスクプロセスP1は、その要求がその要求からそ
のような要求をなす権利を有するか否かについて判定す
る。もし、その要求がその権利を識別しない場合には、
その要求は否定され、その要求をしているプロセスにそ
の旨が通知される。
【0022】プロセスP1、P2、...、Pnは、そ
のような権利を許可するため特にシステムライブラリ処
理手続を呼ぶことにより、改変アクセスへの権利を得る
ことができる。呼ばれたシステムライブラリ処理手続
は、その呼び出しているプロセスに関連したデータセグ
メントDにアクセスし、そのデータセグメントの一部を
構成するフラッグワードにおけるあるビットを、特定の
状態へとセットする。これらのプロセス(例えば、前述
した例のデータベースプロセスP1)のみが、このよう
な呼びを行うように構成されている。したがって、二次
記憶装置のリザーブサブボリウムスペース22における
ファイルに対する改変アクセスを必要とするこれらのプ
ロセスのみが、その権利を得ることができるのである。
のような権利を許可するため特にシステムライブラリ処
理手続を呼ぶことにより、改変アクセスへの権利を得る
ことができる。呼ばれたシステムライブラリ処理手続
は、その呼び出しているプロセスに関連したデータセグ
メントDにアクセスし、そのデータセグメントの一部を
構成するフラッグワードにおけるあるビットを、特定の
状態へとセットする。これらのプロセス(例えば、前述
した例のデータベースプロセスP1)のみが、このよう
な呼びを行うように構成されている。したがって、二次
記憶装置のリザーブサブボリウムスペース22における
ファイルに対する改変アクセスを必要とするこれらのプ
ロセスのみが、その権利を得ることができるのである。
【0023】一例として、データベースP1が、それが
維持しているデータベースに関連した追跡監査ファイル
を保護することを望んでいると仮定する。このような保
護を行うために、データベースプロセスP1は、そのフ
ァイルへの許可されていないような改変アクセスを阻止
するため、リザーブサブボリウムスペース22に追跡監
査ファイルを作成して維持することを望む。したがっ
て、追跡監査ファイルを作成するためにこのようなアク
セスを成す権利を得るために、データベースプロセスP
1は、所定の処理手続へのシステムライブラリ処理手続
呼びをなす。その所定の処理手続は、呼ばれたときに、
メモリ14に記憶されそのプロセスP1に関連したデー
タセグメントD1のフラッグワードを改変すべく、その
フラッグワードのフラッグビットを改変する。この改変
により、そのフラッグビットは、二次記憶装置のリザー
ブサブボリウムスペース、すなわち、サブボリウムスペ
ース22に対する改変アクセスをなす権利を有するもの
として、そのデータベースプロセスP1を識別する状態
へと、セットされる。
維持しているデータベースに関連した追跡監査ファイル
を保護することを望んでいると仮定する。このような保
護を行うために、データベースプロセスP1は、そのフ
ァイルへの許可されていないような改変アクセスを阻止
するため、リザーブサブボリウムスペース22に追跡監
査ファイルを作成して維持することを望む。したがっ
て、追跡監査ファイルを作成するためにこのようなアク
セスを成す権利を得るために、データベースプロセスP
1は、所定の処理手続へのシステムライブラリ処理手続
呼びをなす。その所定の処理手続は、呼ばれたときに、
メモリ14に記憶されそのプロセスP1に関連したデー
タセグメントD1のフラッグワードを改変すべく、その
フラッグワードのフラッグビットを改変する。この改変
により、そのフラッグビットは、二次記憶装置のリザー
ブサブボリウムスペース、すなわち、サブボリウムスペ
ース22に対する改変アクセスをなす権利を有するもの
として、そのデータベースプロセスP1を識別する状態
へと、セットされる。
【0024】データベースプロセスP1がそのデータベ
ースに関連した追跡監査ファイルを作成して、その後改
変し、管理するとき、そのデータベースプロセスP1
は、ディスクプロセスPiへ送られる要求メッセージを
形成する。このアクセス要求メッセージは、フラッグワ
ードを含むデータベースプロセスP1に関連したデータ
セグメントD1からの特定の情報を使用することによっ
て形成される。したがって、そのアクセス要求メッセー
ジがディスクプロセスPiによって受け取られるとき、
そのメッセージは、なにが要求されているかを決定する
ために検査される。検査の時で、その要求がリザーブサ
ブボリウム22への改変アクセスのためのものである
と、そのディスクプロセスPiが判定する場合には、ま
た、それは、権利フラッグビットがセットされているか
否かを知るための検査を行う。もし、権利フラッグビッ
トがセットされていない場合には、その要求は、拒絶さ
れ、動作しない。しかしながら、もし、そのビットが必
要な状態へとセットされている場合には、その要求は、
受け入れられる。
ースに関連した追跡監査ファイルを作成して、その後改
変し、管理するとき、そのデータベースプロセスP1
は、ディスクプロセスPiへ送られる要求メッセージを
形成する。このアクセス要求メッセージは、フラッグワ
ードを含むデータベースプロセスP1に関連したデータ
セグメントD1からの特定の情報を使用することによっ
て形成される。したがって、そのアクセス要求メッセー
ジがディスクプロセスPiによって受け取られるとき、
そのメッセージは、なにが要求されているかを決定する
ために検査される。検査の時で、その要求がリザーブサ
ブボリウム22への改変アクセスのためのものである
と、そのディスクプロセスPiが判定する場合には、ま
た、それは、権利フラッグビットがセットされているか
否かを知るための検査を行う。もし、権利フラッグビッ
トがセットされていない場合には、その要求は、拒絶さ
れ、動作しない。しかしながら、もし、そのビットが必
要な状態へとセットされている場合には、その要求は、
受け入れられる。
【0025】要約するに、以上説明してきた機構は、改
変アクセスをそうする必要のあるプロセスのみにリザー
ブすることにより、不注意による改変プロセスに対し
て、記憶スペースに維持されたシステムクリティカルな
ファイルを保護するものである。本発明を、簡単なデー
タベース管理システムに関連して説明してきたのである
が、当業者には、本発明がその他のシステムクリティカ
ルなファイルを維持し同様に保護するのに使用されうる
ものであることは、明らかであろう。例えば、本発明
を、追跡監査ファイルを保護するのに使用することに関
連させて説明してきたのであるが、本発明は、パスワー
ドファイルまたはデータベースカタログファイルの如き
その他のシステムクリティカルなファイルを同様にして
保護するのに使用できるものである。
変アクセスをそうする必要のあるプロセスのみにリザー
ブすることにより、不注意による改変プロセスに対し
て、記憶スペースに維持されたシステムクリティカルな
ファイルを保護するものである。本発明を、簡単なデー
タベース管理システムに関連して説明してきたのである
が、当業者には、本発明がその他のシステムクリティカ
ルなファイルを維持し同様に保護するのに使用されうる
ものであることは、明らかであろう。例えば、本発明
を、追跡監査ファイルを保護するのに使用することに関
連させて説明してきたのであるが、本発明は、パスワー
ドファイルまたはデータベースカタログファイルの如き
その他のシステムクリティカルなファイルを同様にして
保護するのに使用できるものである。
【図1】本発明を使用しうる処理システムを示す概略図
である。
である。
【図2】本発明の教示にしたがってシステムクリティカ
ルファイルのためにリザーブされたサブボリウムスペー
スを含むディスクシステムの形の図1の二次記憶スペー
スの部分を示す概念図である。
ルファイルのためにリザーブされたサブボリウムスペー
スを含むディスクシステムの形の図1の二次記憶スペー
スの部分を示す概念図である。
12 中央処理装置(CPU) 14 メモリ 15 二次記憶装置 16 ディスクシステム 16a ディスク装置 18 I/Oバス 22 リザーブサブボリウムスペース
───────────────────────────────────────────────────── フロントページの続き (72)発明者 ジェームズ エイ ライアン アメリカ合衆国 カリフォルニア州 95125 サン ホセ マーリン ウェイ 1766 (72)発明者 マシュー シー マックリーン アメリカ合衆国 ワシントン州 98007 ベルヴィュー ユニット ビー2 ノース イースト ワンハンドレッドアンドフォー ティセヴンス プレイス 4421 (72)発明者 マイケル ジェイ スカーペロス アメリカ合衆国 カリフォルニア州 95129 サン ホセ ビヴァンス ドライ ヴ 597
Claims (4)
- 【請求項1】 処理装置および1つまたはそれ以上のサ
ブボリウムスペースにデータファイルを記憶するように
構成された記憶システムを含み、前記処理装置は、多数
のアプリケーションプロセスに応答して動作するもので
あり、前記多数のアプリケーションプロセスの中には、
前記多数のプロセスのうちのあるプロセスによる要求に
応答して前記記憶システムへのアクセスをなすための責
任がある記憶プロセスが含まれているような型のデータ
処理システムにおいて、前記サブボリウムのうちのリザ
ーブされたサブボリウムにおけるファイルが不注意によ
って改変されたり作成されたりしないように保護するた
めの方法であって、前記多数のサブボリウムのうちの前
記リザーブされたサブボリウムへの改変アクセスを必要
とするプロセスの各々にアイデンティフィケーションを
与え、前記サブボリウムのうちの前記リザーブされたサ
ブボリウムへのアクセスを、前記アイデンティフィケー
ションを有した記憶プロセスを通して要求し、前記リザ
ーブされたサブボリウムに対して改変アクセスを求めて
いる要求に対しては、前記記憶プロセスが、そのアイデ
ンティフィケーションを検査し、もし、そのアイデンテ
ィフィケーションが改変アクセスのためのものでない場
合には、アクセスを拒絶し、もし、そのアイデンティフ
ィケーションがそれを認めているものである場合には、
アクセスを許可することを特徴とする方法。 - 【請求項2】 前記アイデンティフィケーションを与え
る段階は、改変アクセスを必要とするプロセスがライブ
ラリ処理手続を呼ぶようにすることを含む請求項1記載
の方法。 - 【請求項3】 前記アクセスを要求する段階は、前記記
憶プロセスと通信する要求メッセージを形成することを
含む請求項1記載の方法。 - 【請求項4】 前記処理システムは、データを記憶する
ためのメモリを含み、前記要求メッセージを形成する段
階は、前記メモリから前記アイデンティフィケーション
を含むメッセージデータを検索することを含む請求項1
記載の方法。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US08/377,385 US5978914A (en) | 1995-01-23 | 1995-01-23 | Method and apparatus for preventing inadvertent changes to system-critical files in a computing system |
| US08/377385 | 1995-01-23 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| JPH08263356A true JPH08263356A (ja) | 1996-10-11 |
Family
ID=23488909
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP8008884A Pending JPH08263356A (ja) | 1995-01-23 | 1996-01-23 | コンピュータシステムにおけるシステムクリティカルなファイルに対する不注意による変更を防止するための方法および装置 |
Country Status (5)
| Country | Link |
|---|---|
| US (1) | US5978914A (ja) |
| EP (1) | EP0723231B1 (ja) |
| JP (1) | JPH08263356A (ja) |
| CA (1) | CA2167791A1 (ja) |
| DE (1) | DE69613722T2 (ja) |
Families Citing this family (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| AU4568299A (en) * | 1998-06-15 | 2000-01-05 | Dmw Worldwide, Inc. | Method and apparatus for assessing the security of a computer system |
| US6256646B1 (en) * | 1998-07-13 | 2001-07-03 | Infraworks Corporation | Method and system for identifying the state of a media device by monitoring file system calls |
| CA2244626A1 (en) * | 1998-07-31 | 2000-01-31 | Kom Inc. | A hardware and software system |
| US8234477B2 (en) | 1998-07-31 | 2012-07-31 | Kom Networks, Inc. | Method and system for providing restricted access to a storage medium |
| US9361243B2 (en) | 1998-07-31 | 2016-06-07 | Kom Networks Inc. | Method and system for providing restricted access to a storage medium |
| US7536524B2 (en) | 1998-07-31 | 2009-05-19 | Kom Networks Inc. | Method and system for providing restricted access to a storage medium |
| US6862683B1 (en) | 2000-03-24 | 2005-03-01 | Novell, Inc. | Method and system for protecting native libraries |
| US6775668B1 (en) * | 2000-09-11 | 2004-08-10 | Novell, Inc. | Method and system for enhancing quorum based access control to a database |
| US10963179B2 (en) | 2019-01-29 | 2021-03-30 | International Business Machines Corporation | Accidental-volume-removal prevention |
Family Cites Families (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4228496A (en) * | 1976-09-07 | 1980-10-14 | Tandem Computers Incorporated | Multiprocessor system |
| JPS60107155A (ja) * | 1983-11-16 | 1985-06-12 | Hitachi Ltd | 記憶ボリユ−ムのデ−タ保護方式 |
| US5107443A (en) * | 1988-09-07 | 1992-04-21 | Xerox Corporation | Private regions within a shared workspace |
| US5113442A (en) * | 1989-03-06 | 1992-05-12 | Lachman Associates, Inc. | Method and apparatus for providing access control in a secure operating system |
| US5146593A (en) * | 1989-03-06 | 1992-09-08 | International Business Machines Corporation | Procedure call interface |
| GB9003890D0 (en) * | 1990-02-21 | 1990-04-18 | Rodime Plc | Method and apparatus for controlling access to and corruption of information in computer systems |
| US5032979A (en) * | 1990-06-22 | 1991-07-16 | International Business Machines Corporation | Distributed security auditing subsystem for an operating system |
| US5325519A (en) * | 1991-10-18 | 1994-06-28 | Texas Microsystems, Inc. | Fault tolerant computer with archival rollback capabilities |
| US5235642A (en) * | 1992-07-21 | 1993-08-10 | Digital Equipment Corporation | Access control subsystem and method for distributed computer system using locally cached authentication credentials |
| US5450593A (en) * | 1992-12-18 | 1995-09-12 | International Business Machines Corp. | Method and system for controlling access to objects in a data processing system based on temporal constraints |
| US5365587A (en) * | 1993-03-11 | 1994-11-15 | International Business Machines Corporation | Self modifying access code for altering capabilities |
-
1995
- 1995-01-23 US US08/377,385 patent/US5978914A/en not_active Expired - Lifetime
-
1996
- 1996-01-15 DE DE69613722T patent/DE69613722T2/de not_active Expired - Lifetime
- 1996-01-15 EP EP96300261A patent/EP0723231B1/en not_active Expired - Lifetime
- 1996-01-22 CA CA002167791A patent/CA2167791A1/en not_active Abandoned
- 1996-01-23 JP JP8008884A patent/JPH08263356A/ja active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| CA2167791A1 (en) | 1996-07-24 |
| EP0723231A2 (en) | 1996-07-24 |
| DE69613722D1 (de) | 2001-08-16 |
| EP0723231B1 (en) | 2001-07-11 |
| EP0723231A3 (en) | 1996-09-18 |
| US5978914A (en) | 1999-11-02 |
| DE69613722T2 (de) | 2002-05-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US10805227B2 (en) | System and method for controlling access to web services resources | |
| KR100974149B1 (ko) | 네임스페이스에 대한 정보 유지 방법, 시스템 및 컴퓨터 판독가능 저장 매체 | |
| US7653647B2 (en) | System and method for determining file system data integrity | |
| US7562216B2 (en) | System and method for applying a file system security model to a query system | |
| US7551572B2 (en) | Systems and methods for providing variable protection | |
| US7979416B1 (en) | Metadirectory namespace and method for use of the same | |
| US7536524B2 (en) | Method and system for providing restricted access to a storage medium | |
| US7680932B2 (en) | Version control system for software development | |
| US8996482B1 (en) | Distributed system and method for replicated storage of structured data records | |
| US11093558B2 (en) | Providing accountability of blockchain queries | |
| US20060010301A1 (en) | Method and apparatus for file guard and file shredding | |
| US5758334A (en) | File system remount operation with selectable access modes that saves knowledge of the volume path and does not interrupt an executing process upon changing modes | |
| EP1421515B1 (en) | Selectively auditing accesses to rows within a relational database at a database server | |
| AU2001236686A1 (en) | Selectively auditing accesses to rows within a relational database at a database server | |
| ES2965381T3 (es) | Capacidad para olvidar en una cadena de bloques | |
| CA2177022A1 (en) | Customer information control system and method with temporary storage queuing functions in a loosely coupled parallel processing environment | |
| JPH08263356A (ja) | コンピュータシステムにおけるシステムクリティカルなファイルに対する不注意による変更を防止するための方法および装置 | |
| US8095503B2 (en) | Allowing client systems to interpret higher-revision data structures in storage systems | |
| Dannenberg et al. | A butler process for resource sharing on spice machines | |
| US20230066617A1 (en) | Methods and Systems for Securely Storing Unstructured Data in a Storage System | |
| US7660790B1 (en) | Method and apparatus for utilizing a file change log | |
| KR20010039297A (ko) | 그룹핑을 이용한 파일시스템에서의 데이터 저장방법 | |
| US20020078205A1 (en) | Resource control facility | |
| JP2002244922A (ja) | ネットワークストレージシステム | |
| JP2828252B2 (ja) | ファイルアクセス制御方式 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20060118 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20060130 |
|
| A02 | Decision of refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A02 Effective date: 20060626 |