JP3081619B2 - コンピュータ・システムとその保安方法 - Google Patents
コンピュータ・システムとその保安方法Info
- Publication number
- JP3081619B2 JP3081619B2 JP02036020A JP3602090A JP3081619B2 JP 3081619 B2 JP3081619 B2 JP 3081619B2 JP 02036020 A JP02036020 A JP 02036020A JP 3602090 A JP3602090 A JP 3602090A JP 3081619 B2 JP3081619 B2 JP 3081619B2
- Authority
- JP
- Japan
- Prior art keywords
- level
- data
- instruction
- security
- memory
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims description 55
- 230000006870 function Effects 0.000 claims description 14
- 230000008569 process Effects 0.000 description 23
- 238000005192 partition Methods 0.000 description 12
- 238000013475 authorization Methods 0.000 description 5
- 230000007123 defense Effects 0.000 description 5
- 238000010586 diagram Methods 0.000 description 5
- 230000009471 action Effects 0.000 description 2
- 238000002372 labelling Methods 0.000 description 2
- 230000007246 mechanism Effects 0.000 description 2
- 238000012360 testing method Methods 0.000 description 2
- 241000700605 Viruses Species 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 238000004040 coloring Methods 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000012937 correction Methods 0.000 description 1
- 230000000694 effects Effects 0.000 description 1
- 210000003918 fraction a Anatomy 0.000 description 1
- 239000012634 fragment Substances 0.000 description 1
- 230000004044 response Effects 0.000 description 1
- 230000008685 targeting Effects 0.000 description 1
- 239000002699 waste material Substances 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/70—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer
- G06F21/78—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data
- G06F21/79—Protecting specific internal or peripheral components, in which the protection of a component leads to protection of the entire computer to assure secure storage of data in semiconductor storage media, e.g. directly-addressable memories
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Software Systems (AREA)
- Physics & Mathematics (AREA)
- General Engineering & Computer Science (AREA)
- General Physics & Mathematics (AREA)
- Health & Medical Sciences (AREA)
- Bioethics (AREA)
- General Health & Medical Sciences (AREA)
- Storage Device Security (AREA)
Description
【発明の詳細な説明】 産業上の利用分野 この発明は全般的にディジタル・コンピュータ・シス
テム、更に具体的に云えばコンピュータ・システム内の
データに対するユーザのアクセスを制御する装置と方法
に関する。
テム、更に具体的に云えばコンピュータ・システム内の
データに対するユーザのアクセスを制御する装置と方法
に関する。
コンピュータの短かい歴史では、データの保安性は初
めは比較的重要性がなく、コンピュータの物理的な安全
性と同義であった。然し、コンピュータに記憶され、そ
の操作を受けるデータの量、価値及び重要性が高まるに
つれて、データの保安性の重要性が着実に増大してき
た。コンピュータで使われるデータの量、価値及び重要
性の成長速度は急激に増大している。更に、データ通信
の重要性及び普及により、権限のないアクセスからコン
ピュータ・システム及びその重要なデータを保護するに
は、物理的な保安性だけでは不十分になった。
めは比較的重要性がなく、コンピュータの物理的な安全
性と同義であった。然し、コンピュータに記憶され、そ
の操作を受けるデータの量、価値及び重要性が高まるに
つれて、データの保安性の重要性が着実に増大してき
た。コンピュータで使われるデータの量、価値及び重要
性の成長速度は急激に増大している。更に、データ通信
の重要性及び普及により、権限のないアクセスからコン
ピュータ・システム及びその重要なデータを保護するに
は、物理的な保安性だけでは不十分になった。
コンピュータ・システムに対する現在の保安措置は、
アクセス制御リスト(ACL)又は同等のメカニズムを利
用するのが普通である。ACLはコンピュータ・システム
内の対象と関係する。一般的にこの対象はプログラム、
ファイル又はディレクトリである。ACLは、誰がその対
象のアクセスができるか、そしてどんな形でアクセスす
ることが出来るかを記述するリストである。典形的な形
式のアクセスは読取、書込み、実行及び削除である。典
形的なコンピュータ保安システムの要約が、1985年にア
ジソン・ウェズレー・パブリッシング・カンパニーから
出版されたJ.ピーターソン及びA.シンベルシャツの著書
「オペレーティング・システム・コンセプツ」に記載さ
れている。
アクセス制御リスト(ACL)又は同等のメカニズムを利
用するのが普通である。ACLはコンピュータ・システム
内の対象と関係する。一般的にこの対象はプログラム、
ファイル又はディレクトリである。ACLは、誰がその対
象のアクセスができるか、そしてどんな形でアクセスす
ることが出来るかを記述するリストである。典形的な形
式のアクセスは読取、書込み、実行及び削除である。典
形的なコンピュータ保安システムの要約が、1985年にア
ジソン・ウェズレー・パブリッシング・カンパニーから
出版されたJ.ピーターソン及びA.シンベルシャツの著書
「オペレーティング・システム・コンセプツ」に記載さ
れている。
サイアンティフィック・ハネウェラ誌,第6巻第2
号,1985年7月号の「安全な計算:安全なAdaターゲット
方式」に記載されている様に、ACLを使っても、コンピ
ュータ・システムをあらゆる種類の侵入から保護するこ
とができない。特に、「トロイの馬」及び「ビールス」
と呼ばれるプログラムは、ACLが施こす保護作用を側路
することができる。ACLは、重要な分類された防衛書類
を保護するのに必要なレベルの保安性を持たない。
号,1985年7月号の「安全な計算:安全なAdaターゲット
方式」に記載されている様に、ACLを使っても、コンピ
ュータ・システムをあらゆる種類の侵入から保護するこ
とができない。特に、「トロイの馬」及び「ビールス」
と呼ばれるプログラムは、ACLが施こす保護作用を側路
することができる。ACLは、重要な分類された防衛書類
を保護するのに必要なレベルの保安性を持たない。
合衆国国防省では、全ての情報は4つの分類レベルの
うちの1つになっている。即ち、未分類、機密、秘密又
は極秘である。秘密及び極秘の分類では、情報は更に
「区画」と呼ばれる類に分けられている。例えば、極秘
の分類の中で、情報は軍隊の配置、スター・ウォーズ防
衛システム、核兵器の建設及び核兵器の配置に関係する
区画に分けられることがある。単に極秘の認可を持つだ
けでは、或る人間又はコンピュータ・プロセスがこの全
ての情報をアクセスすることは許されない。更に各々の
特定の区画に対するアクセスの認可も受けていなければ
ならない。従って、ユーザがコンピュータ・システムの
情報及びプログラムにアクセスする為には、そのユーザ
は正しい分類及び区画の両方に対するアクセスの認可を
持っていなければならない。
うちの1つになっている。即ち、未分類、機密、秘密又
は極秘である。秘密及び極秘の分類では、情報は更に
「区画」と呼ばれる類に分けられている。例えば、極秘
の分類の中で、情報は軍隊の配置、スター・ウォーズ防
衛システム、核兵器の建設及び核兵器の配置に関係する
区画に分けられることがある。単に極秘の認可を持つだ
けでは、或る人間又はコンピュータ・プロセスがこの全
ての情報をアクセスすることは許されない。更に各々の
特定の区画に対するアクセスの認可も受けていなければ
ならない。従って、ユーザがコンピュータ・システムの
情報及びプログラムにアクセスする為には、そのユーザ
は正しい分類及び区画の両方に対するアクセスの認可を
持っていなければならない。
MITREテクニカル・レポートMTR2997,1975年7月号の
ベル及びパデューラの論文「安全なコンピュータ・シス
テム:統一した展示及びマルチックスの解釈」では、国
防省の基準に合格するくらいの保安性を持たせるのに十
分な保安警察モデルが開発されている。このシステムを
説明すれば、国防省で使われている保安コンピュータ・
システムの基本的な構成が分かる。
ベル及びパデューラの論文「安全なコンピュータ・シス
テム:統一した展示及びマルチックスの解釈」では、国
防省の基準に合格するくらいの保安性を持たせるのに十
分な保安警察モデルが開発されている。このシステムを
説明すれば、国防省で使われている保安コンピュータ・
システムの基本的な構成が分かる。
このベル及びパデューラのシステムでは、情報に対す
るアクセスがプロセス毎に許可される悉くのファイル又
はプログラムは、1つ又はより多くの区画を含む分類を
持ち、その種類の情報及びプログラムに対するアクセス
が認可されているユーザ及びプロセスだけがそれを利用
することができる。
るアクセスがプロセス毎に許可される悉くのファイル又
はプログラムは、1つ又はより多くの区画を含む分類を
持ち、その種類の情報及びプログラムに対するアクセス
が認可されているユーザ及びプロセスだけがそれを利用
することができる。
この様な従来のシステムがとる一般的な方式は、情報
を「コンテナ」にまとめる。コンテナは、ファイルの様
な関連するデータ、又はプログラム或いはサブプログラ
ムの様な論理的な実行し得るコードのブロックの集合を
収めてある。コンテナ内の全てのデータは、単にそれが
コンテナ内にあると云う理由で、同じレベルに分類され
る。コンテナ内の或るデータが、その場所の為に過剰分
類されることは極く普通である。データ項目を個別に分
類する試みはしない。これは、文書の残りは特に分類し
なくても、印刷された文書全体が重要な2つのパラグラ
フを含んでいる為に、高レベルに分類されると云うのと
同様である。
を「コンテナ」にまとめる。コンテナは、ファイルの様
な関連するデータ、又はプログラム或いはサブプログラ
ムの様な論理的な実行し得るコードのブロックの集合を
収めてある。コンテナ内の全てのデータは、単にそれが
コンテナ内にあると云う理由で、同じレベルに分類され
る。コンテナ内の或るデータが、その場所の為に過剰分
類されることは極く普通である。データ項目を個別に分
類する試みはしない。これは、文書の残りは特に分類し
なくても、印刷された文書全体が重要な2つのパラグラ
フを含んでいる為に、高レベルに分類されると云うのと
同様である。
例えば、ファイル内の何らかのデータが高い分類を要
求する程重要である場合、ファイル全体をその様に分類
しなければならない。特定のファイル内の重要なデータ
及び重要でないデータを分離する簡単で信頼性のあるメ
カニズムはない。この為、ある重要な情報項目がファイ
ルに入っている時には、重要なデータと関係を持つ為
に、ファイルの大部分が上級に分類されることがある。
時間がたつと、こう云う状況では多数のファイル及びプ
ログラムが高い分類になるが、この様な高い分類が大部
分のデータに対しては不用となっていることがある。未
分類であるか或いは低いレベルの分類であって、1つ又
は更に多くの高い分類の項目との関係を持つ為に一層高
いレベルに分類しなければならなくなった情報は、「色
付けした」と云うことができる。
求する程重要である場合、ファイル全体をその様に分類
しなければならない。特定のファイル内の重要なデータ
及び重要でないデータを分離する簡単で信頼性のあるメ
カニズムはない。この為、ある重要な情報項目がファイ
ルに入っている時には、重要なデータと関係を持つ為
に、ファイルの大部分が上級に分類されることがある。
時間がたつと、こう云う状況では多数のファイル及びプ
ログラムが高い分類になるが、この様な高い分類が大部
分のデータに対しては不用となっていることがある。未
分類であるか或いは低いレベルの分類であって、1つ又
は更に多くの高い分類の項目との関係を持つ為に一層高
いレベルに分類しなければならなくなった情報は、「色
付けした」と云うことができる。
コンピュータ・システムは、必要なレベルだけでデー
タを分類することができることが望ましい。高い分類に
しなければならないデータはその分類にすることを保証
すべきであるが、それより低い分類のデータは色付けさ
れることを避け、低い分類のままにしておく。
タを分類することができることが望ましい。高い分類に
しなければならないデータはその分類にすることを保証
すべきであるが、それより低い分類のデータは色付けさ
れることを避け、低い分類のままにしておく。
従って、この発明の目的は、全てのデータがその分類
を保持するが、どのデータも上級の分類に変えられない
様にする、コンピュータ・システムに対する保安方式を
提供することである。
を保持するが、どのデータも上級の分類に変えられない
様にする、コンピュータ・システムに対する保安方式を
提供することである。
即ち、この発明では、コンピュータ・システムで、メ
モリ内の悉くのワードは対応するラベルを持っている。
このラベルは保安の分類を示すと共に、データ・ワード
の区画があれば、その区画を示す。何らかの命令によっ
てワードがアクセスされる度に、アクセスが許可されて
いるかどうかを調べる為に、その分類が検査される。
モリ内の悉くのワードは対応するラベルを持っている。
このラベルは保安の分類を示すと共に、データ・ワード
の区画があれば、その区画を示す。何らかの命令によっ
てワードがアクセスされる度に、アクセスが許可されて
いるかどうかを調べる為に、その分類が検査される。
分類ラベルが、ユーザがアクセス可能なデータ・メモ
リとは別個の保安メモリに入っている。同じくユーザが
アクセス不可能である保安装置で、各々のワードのラベ
ルが検討される。コンピュータ・システムのメモリ内に
ある何れかのワードを不正にアクセスしようとする試み
は、保安の違反を発生し、その時に進行中のプロセスの
それ以上の実行を禁止する。
リとは別個の保安メモリに入っている。同じくユーザが
アクセス不可能である保安装置で、各々のワードのラベ
ルが検討される。コンピュータ・システムのメモリ内に
ある何れかのワードを不正にアクセスしようとする試み
は、保安の違反を発生し、その時に進行中のプロセスの
それ以上の実行を禁止する。
この発明を特徴付ける新規な特徴は特許請求の範囲に
記載してある。この発明の上記並びにその他の目的及び
利点は、以下明らかになろう。例として示すだけで制約
するつもりはないが、好ましい実施例が図面に示されて
いる。
記載してある。この発明の上記並びにその他の目的及び
利点は、以下明らかになろう。例として示すだけで制約
するつもりはないが、好ましい実施例が図面に示されて
いる。
実 施 例 以下の好ましい実施例の説明では、ベル及びパデュー
ラ形コンピュータ保安モデルによって保安コンピュータ
・システムに要求される性質を用いている。こう云う性
質は単純な保安性である。
ラ形コンピュータ保安モデルによって保安コンピュータ
・システムに要求される性質を用いている。こう云う性
質は単純な保安性である。
この方式の1つの特徴は、個々のデータ・ワードに保
安レベルをラベルとして付けることである。システム内
にある悉くの記憶ワード及び悉くのレジスタはラベルを
持っている。保安の為、システム中の悉くのデータ・ワ
ードは、ベル及びパデューラが云う意味での対象にな
る。
安レベルをラベルとして付けることである。システム内
にある悉くの記憶ワード及び悉くのレジスタはラベルを
持っている。保安の為、システム中の悉くのデータ・ワ
ードは、ベル及びパデューラが云う意味での対象にな
る。
コンピュータ・システムで実行される悉くのプロセス
は主体と呼ばれる。悉くの主体は、オペレーティング・
システムの保安の中核によってユーザと関係付けられ
る。これは普通、制限された物理的なアクセスと合言葉
の様な個人識別子との間のある組合せを使うことによっ
て行なわれる。悉くの主体は最高レベルの認可を有す
る。このある一つの最高レベルはプロセス状態の一部分
であって、プロセッサ内に管理される。主体の最高レベ
ルは主体によって変更することができない。ことレベル
は、オペレーティング・システムの保安核の信用のある
部分のみによって変更することができる。
は主体と呼ばれる。悉くの主体は、オペレーティング・
システムの保安の中核によってユーザと関係付けられ
る。これは普通、制限された物理的なアクセスと合言葉
の様な個人識別子との間のある組合せを使うことによっ
て行なわれる。悉くの主体は最高レベルの認可を有す
る。このある一つの最高レベルはプロセス状態の一部分
であって、プロセッサ内に管理される。主体の最高レベ
ルは主体によって変更することができない。ことレベル
は、オペレーティング・システムの保安核の信用のある
部分のみによって変更することができる。
単純保安性は、主体のレベルが対象のレベルを支配し
ていなければ、どんな主体も対象をアクセスすることが
できないことを述べるものである。支配は、2つの対象
の保安分類の間の2元的な関係であって、次に定義す
る。
ていなければ、どんな主体も対象をアクセスすることが
できないことを述べるものである。支配は、2つの対象
の保安分類の間の2元的な関係であって、次に定義す
る。
一般的に、一層低い分類の対象を修正する為に、主体
が高い分類の対象から直接的又は間接的に求めた情報を
使ってはならないことを意味する。これはもっと形式的
に云えば、「対象1のレベルが対象2のレベルによって
支配されなければ、主体は対象1に対するアクセスを
「守る」と同時に対象2に対するアクセスを「変更す
る」ことができない」と云うことができる。更に、動作
中のプロセスの制御状態に間接的に含まれているかも知
れない情報を使って、プロセスの現在の制御状態を判定
する為に使われた対象よりも、一層低い保安分類を持つ
対象の内容を修正することはできない。これを第2図及
び第4図について更に詳しく説明する。
が高い分類の対象から直接的又は間接的に求めた情報を
使ってはならないことを意味する。これはもっと形式的
に云えば、「対象1のレベルが対象2のレベルによって
支配されなければ、主体は対象1に対するアクセスを
「守る」と同時に対象2に対するアクセスを「変更す
る」ことができない」と云うことができる。更に、動作
中のプロセスの制御状態に間接的に含まれているかも知
れない情報を使って、プロセスの現在の制御状態を判定
する為に使われた対象よりも、一層低い保安分類を持つ
対象の内容を修正することはできない。これを第2図及
び第4図について更に詳しく説明する。
主体のレベルは、主体の最高分類が対象の分類より高
いか又はそれに等しい場合にだけ対象のレベルを支配
し、主体はその対象が属する悉くの区画に対するアクセ
スが許可される。これを形式的に書けば、次の様に表わ
すことができる。
いか又はそれに等しい場合にだけ対象のレベルを支配
し、主体はその対象が属する悉くの区画に対するアクセ
スが許可される。これを形式的に書けば、次の様に表わ
すことができる。
a δ b iff 分類(a)分類(b) 及び区画(b)⊆区画(a) 分類レベルは典形的には機密、秘密及び極秘である。
区画は多数の主題のどれであってもよい。次に例とし
て、以下の説明では、分類を数値レベルで考え、区画は
アルファベットの一文字で単純に表わす。
区画は多数の主題のどれであってもよい。次に例とし
て、以下の説明では、分類を数値レベルで考え、区画は
アルファベットの一文字で単純に表わす。
次に述べるδ関係の例は、表Iにある対象に対して示
した分類と区画を使う。表Iの対象では、次の関係が真
である。d δ b、及びdδ c。夫々の場合、この
関係の左側の対象の分類レベルが右側の対象の分類レベ
ルより高いか等しく、右側の対象の1組の区画にある悉
くの項目が左側の対象の1組の区画に入っている為、こ
う云う関係が真であることが容易に分る。δ関係は、表
Iにある残りの全ての対の対象に対しては虚偽である。
例えば、対象bが区画bに対するアクセスを持たない為
に、b δ aが虚偽であり、aの分類がbの分類より
低い為に、a δ bは虚偽である。 表 I 対 象 分 類 区 画 a 1 B,C b 2 C c 3 A,D d 3 A,C,D 第1図について説明すると、この発明を実施したシス
テムの高準位ブロック図が示されている。コンピュータ
・システム10が普通のデータ・メモリを12を持ってい
る。データ・メモリ12内にあるデータに対する算術及び
論理操作がデータ装置14で実行される。命令装置16がデ
ータ・メモリ12から命令を取出し、メモリ12にあるデー
タ対象に対して、データ装置14の機能を行使させる。
した分類と区画を使う。表Iの対象では、次の関係が真
である。d δ b、及びdδ c。夫々の場合、この
関係の左側の対象の分類レベルが右側の対象の分類レベ
ルより高いか等しく、右側の対象の1組の区画にある悉
くの項目が左側の対象の1組の区画に入っている為、こ
う云う関係が真であることが容易に分る。δ関係は、表
Iにある残りの全ての対の対象に対しては虚偽である。
例えば、対象bが区画bに対するアクセスを持たない為
に、b δ aが虚偽であり、aの分類がbの分類より
低い為に、a δ bは虚偽である。 表 I 対 象 分 類 区 画 a 1 B,C b 2 C c 3 A,D d 3 A,C,D 第1図について説明すると、この発明を実施したシス
テムの高準位ブロック図が示されている。コンピュータ
・システム10が普通のデータ・メモリを12を持ってい
る。データ・メモリ12内にあるデータに対する算術及び
論理操作がデータ装置14で実行される。命令装置16がデ
ータ・メモリ12から命令を取出し、メモリ12にあるデー
タ対象に対して、データ装置14の機能を行使させる。
データ・メモリ12の他に、保安メモリ18がデータ・メ
モリ12の各々のワードに対する分類情報を持っている。
保安メモリ18にある情報に対する保安操作が保安装置20
によって実行される。保安装置20の実際の機能は、命令
装置16によって保安装置20に対して同定される、現在実
行中の命令の種類に関係する。保安メモリ18及びデータ
・メモリ12は完全に並列に動作し、データ装置からアド
レス信号ADDRを通じて同時にアドレスされる。
モリ12の各々のワードに対する分類情報を持っている。
保安メモリ18にある情報に対する保安操作が保安装置20
によって実行される。保安装置20の実際の機能は、命令
装置16によって保安装置20に対して同定される、現在実
行中の命令の種類に関係する。保安メモリ18及びデータ
・メモリ12は完全に並列に動作し、データ装置からアド
レス信号ADDRを通じて同時にアドレスされる。
第1図から、このシステムの保安の特徴を比較的容易
に殆どどんな普通のコンピュータ・システムにも追加す
ることができることが理解されよう。保安装置20はデー
タ装置14と並列に動作するが、完全にそれから独立して
動作する。同様に、保安装置18及びデータ・メモリ12は
完全に独立している。
に殆どどんな普通のコンピュータ・システムにも追加す
ることができることが理解されよう。保安装置20はデー
タ装置14と並列に動作するが、完全にそれから独立して
動作する。同様に、保安装置18及びデータ・メモリ12は
完全に独立している。
保安装置20の更に詳しい機能がブロック図で第2図に
示されている。これから説明するシステムはロード/記
憶プロセッサである。然し、ここで説明するシステムを
若干修正して、当業者に明らかである様に他の形式のプ
ロセッサでも作用する様にすることは容易にできる。
示されている。これから説明するシステムはロード/記
憶プロセッサである。然し、ここで説明するシステムを
若干修正して、当業者に明らかである様に他の形式のプ
ロセッサでも作用する様にすることは容易にできる。
保安ラベルのレジスタ・ファイル22が、データ装置14
内にある同様なレジスタ・ファイル(図に示してない)
に対する全てのラベルを持っている。CDLレジスタ24
が、後で説明する制御領域レベルを持っている。CDL
は、レジスタ・ファイル22で使われるのと同一の形式の
保安ラベルである。
内にある同様なレジスタ・ファイル(図に示してない)
に対する全てのラベルを持っている。CDLレジスタ24
が、後で説明する制御領域レベルを持っている。CDL
は、レジスタ・ファイル22で使われるのと同一の形式の
保安ラベルである。
最高レベル機能(MAX)が比較ブロック26で実行され
る。ブロック26に対する入力はCDL24の内容と、レジス
タ・ファイル22からの1つ又は2つのラベル(現在の命
令の実行に使われる数だけ)である。MAXブロックが、
その入力を支配する最低保安レベルを計算する。例え
ば、表Iの対象a及びbに対するMAXの出力は、分類
(2)及び区画(B,C)である。MAXブロック26がデータ
装置のALU(図面に示していない)と大体並列に動作す
る。従って、データ装置がそのレジスタ・ファイルから
の2つのレジスタに対して作用し、その結果をレジスタ
・ファイルにある3番目のレジスタに記憶する時、MAX
機能は2つの入力レジスタの最低の支配レベルを見つ
け、その結果を3番目のレジスタに対するラベルに記憶
する。データ対象がデータ・メモリ12に書込まれる時、
その保安レベル(MAX26で発生される)が同時に保安メ
モリ18に書込まれる。
る。ブロック26に対する入力はCDL24の内容と、レジス
タ・ファイル22からの1つ又は2つのラベル(現在の命
令の実行に使われる数だけ)である。MAXブロックが、
その入力を支配する最低保安レベルを計算する。例え
ば、表Iの対象a及びbに対するMAXの出力は、分類
(2)及び区画(B,C)である。MAXブロック26がデータ
装置のALU(図面に示していない)と大体並列に動作す
る。従って、データ装置がそのレジスタ・ファイルから
の2つのレジスタに対して作用し、その結果をレジスタ
・ファイルにある3番目のレジスタに記憶する時、MAX
機能は2つの入力レジスタの最低の支配レベルを見つ
け、その結果を3番目のレジスタに対するラベルに記憶
する。データ対象がデータ・メモリ12に書込まれる時、
その保安レベル(MAX26で発生される)が同時に保安メ
モリ18に書込まれる。
MAXLレジスタ28が現在実行中のプロセスに対する保安
認可を持っている。CDLレジスタ24と同じく、MAXLは標
準保安ラベルに情報を持っている。3つの論理ブロック
30,32,34がδ機能を実行し、論理的に真及び虚偽の信号
を発生し、それらがオア・ゲート36でオアされる。
認可を持っている。CDLレジスタ24と同じく、MAXLは標
準保安ラベルに情報を持っている。3つの論理ブロック
30,32,34がδ機能を実行し、論理的に真及び虚偽の信号
を発生し、それらがオア・ゲート36でオアされる。
各々の命令を実行した時、主体(プロセス)のMAXLが
命令に対する各々の入力の保安レベルと比較される。レ
ジスタ・ファイルから1つの値を必要とする場合、それ
が論理ブロック34で比較され、レジスタから2番目の値
を必要とする場合、それが論理ブロック32で比較され
る。メモリから値を読取る時、それが論理ブロック30で
MAXLと比較される。
命令に対する各々の入力の保安レベルと比較される。レ
ジスタ・ファイルから1つの値を必要とする場合、それ
が論理ブロック34で比較され、レジスタから2番目の値
を必要とする場合、それが論理ブロック32で比較され
る。メモリから値を読取る時、それが論理ブロック30で
MAXLと比較される。
一般的に1個の命令は、3つの論理ブロック全部を同
時に使うことを必要としない。例えば、単にメモリから
値を読取る時、そのラベルを保安メモリ18から求め、MA
XLと論理ブロック30で比較する。レジスタ・ファイルか
ら何も読取らないから、論理ブロック32,34には信号が
印加されず、これは欠落により、δ関係が満たされてい
ることを示す。2つのレジスタを比較する場合、論理ブ
ロック30を必要とせず、欠落によって真の応答を発生す
る。
時に使うことを必要としない。例えば、単にメモリから
値を読取る時、そのラベルを保安メモリ18から求め、MA
XLと論理ブロック30で比較する。レジスタ・ファイルか
ら何も読取らないから、論理ブロック32,34には信号が
印加されず、これは欠落により、δ関係が満たされてい
ることを示す。2つのレジスタを比較する場合、論理ブ
ロック30を必要とせず、欠落によって真の応答を発生す
る。
論理ブロック30,32,34の出力が反転されてから、オア
・ゲート36に印加される。δ関係が成立しなかった任意
の論理ブロック30,32,34からは、オア・ゲート36に論理
1が印加される。何れかの論理ブロック30,32又は34
が、δ関係が満たされていないことを示す場合、オア・
ゲート36の出力は真であり、保安違反ハードウェアをト
リガする。このハードウェアがどう云う性質であるか
は、システムの特定の構成に関係するが、典形的には少
なくとも命令の実行の即時停止と、信用されているオペ
レーティング・システムの核による保安違反ハンドラへ
のトラップが含まれる。論理ブロック30,32,34に於ける
δ関数の計算が、権限のない主体が何れかのデータをア
クセスすることを防止することにより、単純な保安条件
を満たす。
・ゲート36に印加される。δ関係が成立しなかった任意
の論理ブロック30,32,34からは、オア・ゲート36に論理
1が印加される。何れかの論理ブロック30,32又は34
が、δ関係が満たされていないことを示す場合、オア・
ゲート36の出力は真であり、保安違反ハードウェアをト
リガする。このハードウェアがどう云う性質であるか
は、システムの特定の構成に関係するが、典形的には少
なくとも命令の実行の即時停止と、信用されているオペ
レーティング・システムの核による保安違反ハンドラへ
のトラップが含まれる。論理ブロック30,32,34に於ける
δ関数の計算が、権限のない主体が何れかのデータをア
クセスすることを防止することにより、単純な保安条件
を満たす。
CDLレジスタ24を使うのは、対象の値に関する情報
は、実行中のプロセスの現在の制御状態の中に記憶する
ことできるからである。もう一度表Iの対象を使って単
純な例を示すことができる。下記のコード断片を実行す
る場合、対象mの値が、対象cに関連してifステートメ
ントの制御構造を通じて取出された情報に基づいて計算
される。つまり、対象cの値が間接的に使われて、対象
mの値を計算する。
は、実行中のプロセスの現在の制御状態の中に記憶する
ことできるからである。もう一度表Iの対象を使って単
純な例を示すことができる。下記のコード断片を実行す
る場合、対象mの値が、対象cに関連してifステートメ
ントの制御構造を通じて取出された情報に基づいて計算
される。つまり、対象cの値が間接的に使われて、対象
mの値を計算する。
if(c0)であれば m:=a そうでなければ m:=d MAX機能26の出力を条件つき制御動作でCDLレジスタ24
に入れる。即ち、上に述べた例では、c及び0の比較を
行なう時、条件つきの先行条件に対する保安ラベルが、
c及び定数0を支配する最低分類であり、CDLレジスタ2
4に入れられる。その後、対象mに値を割当てる時、対
象cの保安分類に基づく情報が計算に間接的に使われた
事実がCDLの値によって表わされる。mに値を割当てる
時、機能MAX(a,CDL)が、if c0であれば、mに対
するラベルを決定し、機能MAX(d,CDL)が、if c0
であれば、mに対するラベルを決定する。
に入れる。即ち、上に述べた例では、c及び0の比較を
行なう時、条件つきの先行条件に対する保安ラベルが、
c及び定数0を支配する最低分類であり、CDLレジスタ2
4に入れられる。その後、対象mに値を割当てる時、対
象cの保安分類に基づく情報が計算に間接的に使われた
事実がCDLの値によって表わされる。mに値を割当てる
時、機能MAX(a,CDL)が、if c0であれば、mに対
するラベルを決定し、機能MAX(d,CDL)が、if c0
であれば、mに対するラベルを決定する。
この割当てステートメントの結果がmの値を変えるか
ら、レジスタにあると仮定した説明としては、mに対す
るラベルもMAXブロック26によって決定した値に変更す
る。この為、対象mの保安ラベルは、その値が対象cの
分類並びにa又はdの何れかの分類に依存することを示
す様に設定される。条件つき命令が実行される時、MAX
ブロック26がCDLレジスタの現在の値を他の対象と比較
し、その全ての入力を支配する保安ラベルを発生するか
ら、CDLレジスタ24の値は減少しないことが理解されよ
う。
ら、レジスタにあると仮定した説明としては、mに対す
るラベルもMAXブロック26によって決定した値に変更す
る。この為、対象mの保安ラベルは、その値が対象cの
分類並びにa又はdの何れかの分類に依存することを示
す様に設定される。条件つき命令が実行される時、MAX
ブロック26がCDLレジスタの現在の値を他の対象と比較
し、その全ての入力を支配する保安ラベルを発生するか
ら、CDLレジスタ24の値は減少しないことが理解されよ
う。
第3図には、新しいプロセスに対する開始手順を記述
するフローチャートが示されている。新しいプロセスを
開始する時、CDLを=0に設定する(工程40)。これ
は、CDLレジスタ24にある値が可能な最低の値、即ち、
未分類であることを意味する。次に、工程42で、プロセ
スに対するMAXLをシステム・プロメータから検索し、MA
XLレジスタ28に入れる。その後プロセスの通常の実行が
続けられる。これは、システムの保安の面に関する限り
は、基本ループ44で表わすことができる。
するフローチャートが示されている。新しいプロセスを
開始する時、CDLを=0に設定する(工程40)。これ
は、CDLレジスタ24にある値が可能な最低の値、即ち、
未分類であることを意味する。次に、工程42で、プロセ
スに対するMAXLをシステム・プロメータから検索し、MA
XLレジスタ28に入れる。その後プロセスの通常の実行が
続けられる。これは、システムの保安の面に関する限り
は、基本ループ44で表わすことができる。
第4図には、命令装置16及び保安メモリ18に関連し
て、保安装置20の動作の背後にある論理プロセスを示す
フローチャートが示されている。次の命令を読取り(工
程50)、その種類を判定する(52)。命令を4種類のう
ちの1つの、即ち、データ操作、条件つき命令、手続の
呼出し又は手続からの戻りに分類する。
て、保安装置20の動作の背後にある論理プロセスを示す
フローチャートが示されている。次の命令を読取り(工
程50)、その種類を判定する(52)。命令を4種類のう
ちの1つの、即ち、データ操作、条件つき命令、手続の
呼出し又は手続からの戻りに分類する。
命令が2つのレジスタの加算又は減算の様なデータ操
作である場合、MAXLが悉くの入力のレベルを支配するか
どうかを調べる為に試験を行なう(工程54)。これは第
2図について述べた様に、論理ブロック32,34で行なわ
れる。そうでない場合、保安の違反になる。この機能が
満たされた場合、制御作用はブロック56に進み、そこで
レジスタであっても或はメモリの位置であっても、動作
結果の保安レベルが、第2図について述べた様にMAXブ
ロック26の出力に等しいと設定される。このレベルが、
全ての入力を支配する最低レベルである。その後制御作
用はフローチャートの点1に進み、次の命令を読取るこ
とを許す。
作である場合、MAXLが悉くの入力のレベルを支配するか
どうかを調べる為に試験を行なう(工程54)。これは第
2図について述べた様に、論理ブロック32,34で行なわ
れる。そうでない場合、保安の違反になる。この機能が
満たされた場合、制御作用はブロック56に進み、そこで
レジスタであっても或はメモリの位置であっても、動作
結果の保安レベルが、第2図について述べた様にMAXブ
ロック26の出力に等しいと設定される。このレベルが、
全ての入力を支配する最低レベルである。その後制御作
用はフローチャートの点1に進み、次の命令を読取るこ
とを許す。
工程52の判定により、命令の種類が条件つきである場
合、悉くの先行条件のレベルを支配するかどうかを調べ
る為に、MAXLを試験する(工程58)。支配すれば、CDL
レジスタ24の値を前に述べた様に全ての先行条件を支配
するレベルに設定する(工程66)。同時に、データ装置
14が条件を評価し、条件が真であれば、命令装置16に新
しい命令の位置へ飛越す様に命令し、条件が虚偽であれ
ば、次の命令に進むように命令する。
合、悉くの先行条件のレベルを支配するかどうかを調べ
る為に、MAXLを試験する(工程58)。支配すれば、CDL
レジスタ24の値を前に述べた様に全ての先行条件を支配
するレベルに設定する(工程66)。同時に、データ装置
14が条件を評価し、条件が真であれば、命令装置16に新
しい命令の位置へ飛越す様に命令し、条件が虚偽であれ
ば、次の命令に進むように命令する。
命令の形式が手順の呼出しであれば、CDLレジスタ24
の現在の値を保護スタックに保管する(工程62)。この
スタックは、保安核によって保護されるデータ構造であ
り、手順の呼出し及び戻り以外は通常実行されるプロセ
スによってはアクセスが不可能である。この保管は、手
順の呼出しからの戻りの時に必要な現在のプロセッサの
状態が、通常の保護スタックに記憶されるのと同時に行
なわれる。データ装置によって普通の様に手順の呼出し
が行なわれる。
の現在の値を保護スタックに保管する(工程62)。この
スタックは、保安核によって保護されるデータ構造であ
り、手順の呼出し及び戻り以外は通常実行されるプロセ
スによってはアクセスが不可能である。この保管は、手
順の呼出しからの戻りの時に必要な現在のプロセッサの
状態が、通常の保護スタックに記憶されるのと同時に行
なわれる。データ装置によって普通の様に手順の呼出し
が行なわれる。
命令の形式が手順からの戻りである場合、保護スタッ
クからCDLを復元する(工程64)。同時に、プロセッサ
の状態をデータ装置14により、システム・スタックから
復元する。今述べた様に保護スタックにCDLを記憶する
ことにより、手順の呼出しの間、CDLを一層高いレベル
に高め、手順からの戻りの時、一層低いレベルに復元す
ることができる。手順からの戻りの時、手順の間に計算
されたどの情報も、プロセスの現在の制御状態に入って
いないから、手順の呼出しの間に達したかもしれないど
んな一層高い状態にも、CDLがとどまることは不必要で
ある。この一層高い状態が、手順によって発生された任
意の結果に反映している。
クからCDLを復元する(工程64)。同時に、プロセッサ
の状態をデータ装置14により、システム・スタックから
復元する。今述べた様に保護スタックにCDLを記憶する
ことにより、手順の呼出しの間、CDLを一層高いレベル
に高め、手順からの戻りの時、一層低いレベルに復元す
ることができる。手順からの戻りの時、手順の間に計算
されたどの情報も、プロセスの現在の制御状態に入って
いないから、手順の呼出しの間に達したかもしれないど
んな一層高い状態にも、CDLがとどまることは不必要で
ある。この一層高い状態が、手順によって発生された任
意の結果に反映している。
データ操作通路又は条件つき通路をたどる時、δ機能
を呼出す。この関係が成立しなければ、制御作用はフロ
ーチャートの点2に進む。この点で、現在実行中のデー
タ操作を中断し、完了を防止する(工程66)。そして制
御作用は保安核の一部分である保安違反ハンドラへ移る
(工程68)。保安違反ハンドラは、この動作が許されて
いないことをユーザに知らせ、ユーザのプロセスを復元
することを許すことができるか、或いはプロセスの動作
を中止することができる。試みられたアクセスの違反を
追跡する為に、計算ファイルに入力することができる。
を呼出す。この関係が成立しなければ、制御作用はフロ
ーチャートの点2に進む。この点で、現在実行中のデー
タ操作を中断し、完了を防止する(工程66)。そして制
御作用は保安核の一部分である保安違反ハンドラへ移る
(工程68)。保安違反ハンドラは、この動作が許されて
いないことをユーザに知らせ、ユーザのプロセスを復元
することを許すことができるか、或いはプロセスの動作
を中止することができる。試みられたアクセスの違反を
追跡する為に、計算ファイルに入力することができる。
一旦条件つきから出てしまえば、本来条件つきの実行
中に分る高い分類の情報を間接的に知ることはもはやで
きない。即ち、上に述べた例で、一旦制御作用がifステ
ートメントからすっかり外へ移れば、制御の流れに関す
る限り、対象cの値は忘れられる。他の条件つきでも同
じである。
中に分る高い分類の情報を間接的に知ることはもはやで
きない。即ち、上に述べた例で、一旦制御作用がifステ
ートメントからすっかり外へ移れば、制御の流れに関す
る限り、対象cの値は忘れられる。他の条件つきでも同
じである。
高い分類の情報を間接的に知ることに関しては、条件
つきステートメントに入ること及びそれから出ること
は、手順の呼出し/戻りと同じ効果を持つ。従って、希
望によっては、特別の手順を呼出すことにより、全ての
条件つきステートメントを実行して、条件つきを完了し
た時、CDLが前の値に戻る様にすることができる。この
方式は、CDLがいつも高くなることを防止し、コンパイ
ラによって自動的に実施することができる。
つきステートメントに入ること及びそれから出ること
は、手順の呼出し/戻りと同じ効果を持つ。従って、希
望によっては、特別の手順を呼出すことにより、全ての
条件つきステートメントを実行して、条件つきを完了し
た時、CDLが前の値に戻る様にすることができる。この
方式は、CDLがいつも高くなることを防止し、コンパイ
ラによって自動的に実施することができる。
データ保安の違反を防止する為にはコンパイラに頼ら
ない。
ない。
第5図について交代的な幾つかのラベル形式を説明す
る。第5(a)図は、保安ラベルがデータ・ワードの延
長と見做される例を示す。第1図について述べた様に、
これは物理的にはデータ・ワードから分離されているこ
とが好ましい。第5(b)図は、各々のワードに単に数
値分類を与える様な最も単純なラベル方式を示す。この
形式のラベルでは、δ機能は単純な算術的な比較であ
る。
る。第5(a)図は、保安ラベルがデータ・ワードの延
長と見做される例を示す。第1図について述べた様に、
これは物理的にはデータ・ワードから分離されているこ
とが好ましい。第5(b)図は、各々のワードに単に数
値分類を与える様な最も単純なラベル方式を示す。この
形式のラベルでは、δ機能は単純な算術的な比較であ
る。
第5(c)図は、これより幾分複雑なラベル方式を示
す。この方式では、ラベルの一部分を数値分類に使い、
残りのビットは区画に加盟していることを示す為に使わ
れる。この形式のラベルは、表Iに示す対象に使うのに
適している。分類は、例えばレベル0乃至3を示す2ビ
ットの値であってよく、区画フィールドは4ビット(又
は更に多くのビット)を持つことができる。各ビット
は、その対象が特定の区画に対する認可を必要とするか
どうかを示す。ビット・フィールドを区画A,B,C及びD
と左から右に釣合わせれば、所定の、分類に対する対象
a,b,c及びdに対するラベルは表IIに示す様になる。 表 II 対 象 分 類 区 画 ラ ベ ル a 1 B,C 01/0110 b 2 C 10/0010 c 3 A,D 11/1001 d 3 A,C,D 11/1011 区画の数が多くなり得る場合には、多数のビット位置
が使われることが理解されよう。これは1つより多くの
区画に所属する対象は少なく、区画の大抵の対は互いに
排他的であるから、これは場所の無駄になる場合が多
い。例えば、16個の区画が考えられ、分類が4レベルあ
る場合、第5(c)図の方式では、18ビット幅のラベル
が必要である。然し、これらの区画を夫々4区画づつの
4つの群にまとめることができれば、第5(d)図の方
式を使って、ラベルの幅は8ビットに短かくすることが
できる。この方式を使うには、群が互いに排他的である
こと、即ちどのデータ対象も異なる群に含まれている区
画に対する保安レベルを割当てる必要は絶対ない様に、
群を定めることができることが前以って分っていること
を必要とする。
す。この方式では、ラベルの一部分を数値分類に使い、
残りのビットは区画に加盟していることを示す為に使わ
れる。この形式のラベルは、表Iに示す対象に使うのに
適している。分類は、例えばレベル0乃至3を示す2ビ
ットの値であってよく、区画フィールドは4ビット(又
は更に多くのビット)を持つことができる。各ビット
は、その対象が特定の区画に対する認可を必要とするか
どうかを示す。ビット・フィールドを区画A,B,C及びD
と左から右に釣合わせれば、所定の、分類に対する対象
a,b,c及びdに対するラベルは表IIに示す様になる。 表 II 対 象 分 類 区 画 ラ ベ ル a 1 B,C 01/0110 b 2 C 10/0010 c 3 A,D 11/1001 d 3 A,C,D 11/1011 区画の数が多くなり得る場合には、多数のビット位置
が使われることが理解されよう。これは1つより多くの
区画に所属する対象は少なく、区画の大抵の対は互いに
排他的であるから、これは場所の無駄になる場合が多
い。例えば、16個の区画が考えられ、分類が4レベルあ
る場合、第5(c)図の方式では、18ビット幅のラベル
が必要である。然し、これらの区画を夫々4区画づつの
4つの群にまとめることができれば、第5(d)図の方
式を使って、ラベルの幅は8ビットに短かくすることが
できる。この方式を使うには、群が互いに排他的である
こと、即ちどのデータ対象も異なる群に含まれている区
画に対する保安レベルを割当てる必要は絶対ない様に、
群を定めることができることが前以って分っていること
を必要とする。
第5(d)図の方式は前に述べた様に、数値分類、数
値区画群フィールド及び区画に対するビット・フィール
ドを使う。全ての区画は、夫々4つより多くの区画を持
たない群に入る。各々の群にある数が与えられ、各々の
群にある区画は、区画フィールド内のビットと位置が対
応する様な位にする。対象がどの区画をアクセスし得る
かを決定する為に、区画ビット・フィールドを復号する
為に、区画群を決定しなければならない。16個の区画を
夫々4区画の4つの群に入れることができ、分類が4レ
ベルある場合、第5(d)図のラベル形式では、各々の
対象に完全にラベルを付けるのに、8ビットしか必要と
しない。
値区画群フィールド及び区画に対するビット・フィール
ドを使う。全ての区画は、夫々4つより多くの区画を持
たない群に入る。各々の群にある数が与えられ、各々の
群にある区画は、区画フィールド内のビットと位置が対
応する様な位にする。対象がどの区画をアクセスし得る
かを決定する為に、区画ビット・フィールドを復号する
為に、区画群を決定しなければならない。16個の区画を
夫々4区画の4つの群に入れることができ、分類が4レ
ベルある場合、第5(d)図のラベル形式では、各々の
対象に完全にラベルを付けるのに、8ビットしか必要と
しない。
第6図は別の実施例の保安装置20を示す。この実施例
の大部分の素子は第2図に示すものと同じであり、前に
述べたのと同様に動作する。2つの新しい部品、即ち、
命令ラベル・レジスタ38とδ関係を試験する為の別の論
理ブロック40が追加されている。命令ラベル・レジスタ
38は、現在実行中の命令に対する保安ラベルを持ってい
る。MAX機能ブロック26は、単に考慮すべきもう1つの
入力として、命令ラベル・レジスタ26を使う。現在の命
令に対するラベルが普通の様に論理ブロック40でMAXLと
比較され、命令の保安レベルがMAXLによって支配されな
い場合、違反のフラグを出す。
の大部分の素子は第2図に示すものと同じであり、前に
述べたのと同様に動作する。2つの新しい部品、即ち、
命令ラベル・レジスタ38とδ関係を試験する為の別の論
理ブロック40が追加されている。命令ラベル・レジスタ
38は、現在実行中の命令に対する保安ラベルを持ってい
る。MAX機能ブロック26は、単に考慮すべきもう1つの
入力として、命令ラベル・レジスタ26を使う。現在の命
令に対するラベルが普通の様に論理ブロック40でMAXLと
比較され、命令の保安レベルがMAXLによって支配されな
い場合、違反のフラグを出す。
命令ラベル・レジスタ38を含める目的は、実行可能な
コードを、データに使われるのと同じ微細レベルに分類
することができる様にすることである。主体がコードを
実行する正しい認可を持っていれば、この実行が許され
る。
コードを、データに使われるのと同じ微細レベルに分類
することができる様にすることである。主体がコードを
実行する正しい認可を持っていれば、この実行が許され
る。
この発明を好ましい実施例について説明したが、当業
者であればここに説明した装置及び方法に種々の変更を
加えることができることが理解されよう。この発明に範
囲はここで説明した実施例に制限されるものではなく、
特許請求の範囲によって定められることを承知された
い。
者であればここに説明した装置及び方法に種々の変更を
加えることができることが理解されよう。この発明に範
囲はここで説明した実施例に制限されるものではなく、
特許請求の範囲によって定められることを承知された
い。
この発明は以上の説明に関連して、更に下記の実際態
様を有する。
様を有する。
(1) 命令装置と、データ・メモリと、前記命令装置
に結合されたデータ装置とを有し、前記命令装置は前記
データ・メモリから命令を読取って、該データ・メモリ
から求めたデータに対して算術及び論理機能を前記デー
タ装置に実行させ、更に、前記データ・メモリ内の各々
の位置に対する保安ラベルを持っていて、前記データ・
メモリと並列の保安メモリと、前記データ装置で実行さ
れる各々の命令に対し、該命令で使われる全てのデータ
に対する保安レベルをユーザに対する解除レベルと比較
し、悉くの修正メモリ位置に対し、該メモリ位置の修正
値を決定する為に使われる全てのデータのレベルを左右
する保安レベルを割当てる保安装置とを有するコンピュ
ータ・システム。
に結合されたデータ装置とを有し、前記命令装置は前記
データ・メモリから命令を読取って、該データ・メモリ
から求めたデータに対して算術及び論理機能を前記デー
タ装置に実行させ、更に、前記データ・メモリ内の各々
の位置に対する保安ラベルを持っていて、前記データ・
メモリと並列の保安メモリと、前記データ装置で実行さ
れる各々の命令に対し、該命令で使われる全てのデータ
に対する保安レベルをユーザに対する解除レベルと比較
し、悉くの修正メモリ位置に対し、該メモリ位置の修正
値を決定する為に使われる全てのデータのレベルを左右
する保安レベルを割当てる保安装置とを有するコンピュ
ータ・システム。
(2) コンピュータ・システムに保安性を持たせる方
法に於いて、実行すべき各々の命令に対し、該命令の種
類を決定し、該決定する工程で決定された命令がデータ
操作である場合、ユーザの保安レベルが、前記命令によ
って使われる各々のデータ・ワードのレベルを支配する
場合、該命令の実行を許して、その結果がでれば、該結
果に対し、命令で使われる全てのデータ・ワードを支配
する保安レベル及び制御領域レベルを与え、そうでなけ
れば前記命令の実行を防止し、前記命令が条件つきであ
れば、ユーザの保安レベル該条件に対する全ての先行条
件のレベルを支配する場合、制御領域レベルをこれら全
ての先行条件を支配するレベルに設定すると共に、命令
の実行を許し、そうでなければ前記命令の実行を防止
し、命令が手順の呼出しであれば、現在の制御領域レベ
ルをスタックに記憶し、命令が手順からの戻りであれ
ば、制御領域レベルを、その手順が呼出された時にスタ
ックに記憶されていた値に設定する工程を含む方法。
法に於いて、実行すべき各々の命令に対し、該命令の種
類を決定し、該決定する工程で決定された命令がデータ
操作である場合、ユーザの保安レベルが、前記命令によ
って使われる各々のデータ・ワードのレベルを支配する
場合、該命令の実行を許して、その結果がでれば、該結
果に対し、命令で使われる全てのデータ・ワードを支配
する保安レベル及び制御領域レベルを与え、そうでなけ
れば前記命令の実行を防止し、前記命令が条件つきであ
れば、ユーザの保安レベル該条件に対する全ての先行条
件のレベルを支配する場合、制御領域レベルをこれら全
ての先行条件を支配するレベルに設定すると共に、命令
の実行を許し、そうでなければ前記命令の実行を防止
し、命令が手順の呼出しであれば、現在の制御領域レベ
ルをスタックに記憶し、命令が手順からの戻りであれ
ば、制御領域レベルを、その手順が呼出された時にスタ
ックに記憶されていた値に設定する工程を含む方法。
(3) (2)項に記載した方法に於いて、前記条件つ
き命令が条件つきステートメントからコンパイラによっ
て発生し得る方法。
き命令が条件つきステートメントからコンパイラによっ
て発生し得る方法。
(4) (3)項に記載した方法に於いて、前記条件つ
きステートメントを手順の呼出しに変換することができ
る方法。
きステートメントを手順の呼出しに変換することができ
る方法。
(5) コンピュータ・システムがメモリにある悉くの
ワードに対して保安ラベルを使う。メモリ位置(12,1
8)に対する各々のアクセスは、メモリ位置(12,18)の
保安レベルを、そのアクセスをするプロセス(16)から
の保安レベルと比較することを必要とする。プロセス
(16)からの保安レベルがメモリ位置(12,18)の保安
レベルを支配しない場合、アクセスを拒絶する。メモリ
位置(12,18)が修正される度に、メモリ位置(12,18)
を修正するのに使われた全てのデータのレベルと見合っ
た保安レベルが割当てられる。
ワードに対して保安ラベルを使う。メモリ位置(12,1
8)に対する各々のアクセスは、メモリ位置(12,18)の
保安レベルを、そのアクセスをするプロセス(16)から
の保安レベルと比較することを必要とする。プロセス
(16)からの保安レベルがメモリ位置(12,18)の保安
レベルを支配しない場合、アクセスを拒絶する。メモリ
位置(12,18)が修正される度に、メモリ位置(12,18)
を修正するのに使われた全てのデータのレベルと見合っ
た保安レベルが割当てられる。
【図面の簡単な説明】 第1図はこの発明の保安メモリ及び保安装置を含むシス
テムのブロック図、第2図は好ましい保安装置のブロッ
ク図、第3図は新しいプロセスに対する初期設定工程の
フローチャートを示す図、第4図は保安装置で行なわれ
る判定を示すフローチャートを示す図、第5図はデータ
・ワードに関連する分類レベルに使うことができる幾つ
かの別の方式を示す図、第6図はプログラムで実行され
る各々の命令に対する認可レベルの検査を含む別の実施
例の保安装置の図である。 主な符号の説明 12:データ・メモリ 14:データ装置 16:命令装置 18:保安メモリ 20:保安装置
テムのブロック図、第2図は好ましい保安装置のブロッ
ク図、第3図は新しいプロセスに対する初期設定工程の
フローチャートを示す図、第4図は保安装置で行なわれ
る判定を示すフローチャートを示す図、第5図はデータ
・ワードに関連する分類レベルに使うことができる幾つ
かの別の方式を示す図、第6図はプログラムで実行され
る各々の命令に対する認可レベルの検査を含む別の実施
例の保安装置の図である。 主な符号の説明 12:データ・メモリ 14:データ装置 16:命令装置 18:保安メモリ 20:保安装置
───────────────────────────────────────────────────── フロントページの続き (72)発明者 スチーブン ティー.ウォーカー アメリカ合衆国メリーランド州 グレン ウッド,ワシントン ロード 3100 (56)参考文献 特開 昭63−68949(JP,A) 特開 昭60−118954(JP,A) 特開 昭63−298548(JP,A) (58)調査した分野(Int.Cl.7,DB名) G06F 12/14
Claims (2)
- 【請求項1】命令装置と、 データ・メモリと、 前記命令装置に結合されたデータ装置とを有するコンピ
ュータ・システムであって、 前記命令装置は 前記データ・メモリから命令を読取って、該データ・メ
モリから求めたデータに対して算術及び論理機能を前記
データ装置に実行させ、 前記コンピュータ・システムは更に、 前記データ・メモリ内の各々の位置に対する保安ラベル
を持っていて、前記データ・メモリと並列の保安メモリ
と、 メモリ位置が修正されたときに該メモリ位置の修正のた
めに使用されたデータの最高レベルの保安レベルを割当
て、前記データ装置で実行される各々の命令に対し、該
命令で使われる全てのデータに対する保安レベルをユー
ザに対する解除レベルと比較する保安装置とを有し、も
しもユーザに対する解除レベルが該メモリ位置の保安レ
ベルよりも低い場合にはアクセスが許可されないことを
特徴とするコンピュータ・システム。 - 【請求項2】コンピュータ・システムに保安性を持たせ
る方法に於いて、 (a)実行するべき各々の命令に対し、該命令の種類を
決定し、 (b)該決定する工程で決定された命令がデータ操作で
ある場合、ユーザの解除レベルが、前記命令によって使
われる各々のデータ・ワードのレベル以上である場合、
該命令の実行を許して、その結果がでれば、該結果に対
し、命令で使われる全てのデータ・ワードのなかで最大
の保安レベル及び制御領域レベルを割当て、そうでなけ
れば前記命令の実行を防止し、 (c)前記命令が条件つきであれば、ユーザの解除レベ
ルが該条件に対する全ての先行条件のレベル以上である
場合、制御領域レベルをこれら全ての先行条件のなかで
最大のレベルに割当てると共に、命令の実行を許し、そ
うでなければ前記命令の実行を防止し、 (d)命令が手順の呼出しであれば、現在の制御領域レ
ベルをスタックに記憶し、 (e)命令が手順からの戻りであれば、制御領域レベル
を、その手順が呼出された時にスタックに記憶されてい
た値に割当てる工程を含む方法。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US312142 | 1989-02-17 | ||
| US07/312,142 US4962533A (en) | 1989-02-17 | 1989-02-17 | Data protection for computer systems |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JPH0315960A JPH0315960A (ja) | 1991-01-24 |
| JP3081619B2 true JP3081619B2 (ja) | 2000-08-28 |
Family
ID=23210061
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP02036020A Expired - Fee Related JP3081619B2 (ja) | 1989-02-17 | 1990-02-16 | コンピュータ・システムとその保安方法 |
Country Status (2)
| Country | Link |
|---|---|
| US (1) | US4962533A (ja) |
| JP (1) | JP3081619B2 (ja) |
Families Citing this family (70)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| GB2222899B (en) * | 1988-08-31 | 1993-04-14 | Anthony Morris Rose | Securing a computer against undesired write operations or from a mass storage device |
| US5048085A (en) * | 1989-10-06 | 1991-09-10 | International Business Machines Corporation | Transaction system security method and apparatus |
| US6507909B1 (en) | 1990-02-13 | 2003-01-14 | Compaq Information Technologies Group, L.P. | Method for executing trusted-path commands |
| US5504814A (en) * | 1991-07-10 | 1996-04-02 | Hughes Aircraft Company | Efficient security kernel for the 80960 extended architecture |
| US5481700A (en) * | 1991-09-27 | 1996-01-02 | The Mitre Corporation | Apparatus for design of a multilevel secure database management system based on a multilevel logic programming system |
| US5369702A (en) * | 1993-10-18 | 1994-11-29 | Tecsec Incorporated | Distributed cryptographic object method |
| US5680452A (en) * | 1993-10-18 | 1997-10-21 | Tecsec Inc. | Distributed cryptographic object method |
| EP0760978B1 (en) * | 1994-05-26 | 2004-09-29 | The Commonwealth Of Australia | Secure computer architecture |
| US5614927A (en) * | 1995-01-13 | 1997-03-25 | Bell Communications Research, Inc. | Protecting confidential information in a database for enabling targeted advertising in a communications network |
| US7124302B2 (en) | 1995-02-13 | 2006-10-17 | Intertrust Technologies Corp. | Systems and methods for secure transaction management and electronic rights protection |
| US7133845B1 (en) | 1995-02-13 | 2006-11-07 | Intertrust Technologies Corp. | System and methods for secure transaction management and electronic rights protection |
| US7069451B1 (en) | 1995-02-13 | 2006-06-27 | Intertrust Technologies Corp. | Systems and methods for secure transaction management and electronic rights protection |
| US5943422A (en) | 1996-08-12 | 1999-08-24 | Intertrust Technologies Corp. | Steganographic techniques for securely delivering electronic digital rights management control information over insecure communication channels |
| US7133846B1 (en) | 1995-02-13 | 2006-11-07 | Intertrust Technologies Corp. | Digital certificate support system, methods and techniques for secure electronic commerce transaction and rights management |
| US7143290B1 (en) | 1995-02-13 | 2006-11-28 | Intertrust Technologies Corporation | Trusted and secure techniques, systems and methods for item delivery and execution |
| US6658568B1 (en) | 1995-02-13 | 2003-12-02 | Intertrust Technologies Corporation | Trusted infrastructure support system, methods and techniques for secure electronic commerce transaction and rights management |
| US7165174B1 (en) | 1995-02-13 | 2007-01-16 | Intertrust Technologies Corp. | Trusted infrastructure support systems, methods and techniques for secure electronic commerce transaction and rights management |
| US7095854B1 (en) | 1995-02-13 | 2006-08-22 | Intertrust Technologies Corp. | Systems and methods for secure transaction management and electronic rights protection |
| US6157721A (en) | 1996-08-12 | 2000-12-05 | Intertrust Technologies Corp. | Systems and methods using cryptography to protect secure computing environments |
| US5892900A (en) | 1996-08-30 | 1999-04-06 | Intertrust Technologies Corp. | Systems and methods for secure transaction management and electronic rights protection |
| US6948070B1 (en) | 1995-02-13 | 2005-09-20 | Intertrust Technologies Corporation | Systems and methods for secure transaction management and electronic rights protection |
| ATE419586T1 (de) | 1995-02-13 | 2009-01-15 | Intertrust Tech Corp | Systeme und verfahren zur gesicherten transaktionsverwaltung und elektronischem rechtsschutz |
| JP4162099B2 (ja) | 1995-06-02 | 2008-10-08 | 富士通株式会社 | ウィルス感染に対処する機能を持つ装置及びその記憶装置 |
| US5958015A (en) * | 1996-10-29 | 1999-09-28 | Abirnet Ltd. | Network session wall passively listening to communication session, with use of access rules, stops further communication between network devices by emulating messages to the devices |
| US7212632B2 (en) | 1998-02-13 | 2007-05-01 | Tecsec, Inc. | Cryptographic key split combiner |
| US6105132A (en) * | 1997-02-20 | 2000-08-15 | Novell, Inc. | Computer network graded authentication system and method |
| US7062500B1 (en) | 1997-02-25 | 2006-06-13 | Intertrust Technologies Corp. | Techniques for defining, using and manipulating rights management data structures |
| US6694433B1 (en) | 1997-05-08 | 2004-02-17 | Tecsec, Inc. | XML encryption scheme |
| US7092914B1 (en) | 1997-11-06 | 2006-08-15 | Intertrust Technologies Corporation | Methods for matching, selecting, narrowcasting, and/or classifying based on rights management and/or other information |
| US7095852B2 (en) * | 1998-02-13 | 2006-08-22 | Tecsec, Inc. | Cryptographic key split binder for use with tagged data elements |
| US7079653B2 (en) * | 1998-02-13 | 2006-07-18 | Tecsec, Inc. | Cryptographic key split binding process and apparatus |
| US8077870B2 (en) * | 1998-02-13 | 2011-12-13 | Tecsec, Inc. | Cryptographic key split binder for use with tagged data elements |
| DK1642615T3 (da) * | 1998-10-29 | 2011-05-30 | Medtronic Minimed Inc | Reservoir-forbindelsesdel |
| US7660986B1 (en) * | 1999-06-08 | 2010-02-09 | General Instrument Corporation | Secure control of security mode |
| US8302153B1 (en) * | 1999-06-09 | 2012-10-30 | Verizon Patent And Licensing Inc. | Systems and methods for securing extranet transactions |
| US7430670B1 (en) | 1999-07-29 | 2008-09-30 | Intertrust Technologies Corp. | Software self-defense systems and methods |
| EP1085396A1 (en) | 1999-09-17 | 2001-03-21 | Hewlett-Packard Company | Operation of trusted state in computing platform |
| AU3580801A (en) * | 2000-02-28 | 2001-09-12 | Edentity Limited | Information processing system and method |
| CN1160633C (zh) * | 2000-09-12 | 2004-08-04 | 高庆狮 | 一种防止非法入侵活体破坏和盗窃的计算机系统 |
| GB2376763B (en) | 2001-06-19 | 2004-12-15 | Hewlett Packard Co | Demonstrating integrity of a compartment of a compartmented operating system |
| US7613930B2 (en) | 2001-01-19 | 2009-11-03 | Trustware International Limited | Method for protecting computer programs and data from hostile code |
| EP1225513A1 (en) * | 2001-01-19 | 2002-07-24 | Eyal Dotan | Method for protecting computer programs and data from hostile code |
| GB0102516D0 (en) * | 2001-01-31 | 2001-03-21 | Hewlett Packard Co | Trusted gateway system |
| GB0102518D0 (en) * | 2001-01-31 | 2001-03-21 | Hewlett Packard Co | Trusted operating system |
| GB2372592B (en) | 2001-02-23 | 2005-03-30 | Hewlett Packard Co | Information system |
| GB2372595A (en) | 2001-02-23 | 2002-08-28 | Hewlett Packard Co | Method of and apparatus for ascertaining the status of a data processing environment. |
| DE10113828A1 (de) * | 2001-03-21 | 2002-09-26 | Infineon Technologies Ag | Prozessor zum sicheren Verarbeiten von Daten unter Verwendung einer Datensicherheitsmarke und/oder von Befehlen unter Verwendung einer Befehlssicherheitsmarke |
| US6715050B2 (en) * | 2001-05-31 | 2004-03-30 | Oracle International Corporation | Storage access keys |
| GB2376762A (en) * | 2001-06-19 | 2002-12-24 | Hewlett Packard Co | Renting a computing environment on a trusted computing platform |
| GB0114898D0 (en) * | 2001-06-19 | 2001-08-08 | Hewlett Packard Co | Interaction with electronic services and markets |
| GB2376764B (en) * | 2001-06-19 | 2004-12-29 | Hewlett Packard Co | Multiple trusted computing environments |
| GB2378013A (en) * | 2001-07-27 | 2003-01-29 | Hewlett Packard Co | Trusted computer platform audit system |
| GB2382419B (en) * | 2001-11-22 | 2005-12-14 | Hewlett Packard Co | Apparatus and method for creating a trusted environment |
| US8316051B1 (en) * | 2001-11-30 | 2012-11-20 | Oralce International Corporation | Techniques for adding multiple security policies to a database system |
| US7865948B1 (en) | 2001-12-03 | 2011-01-04 | Advanced Micro Devices, Inc. | Method and apparatus for restricted execution of security sensitive instructions |
| US7065651B2 (en) * | 2002-01-16 | 2006-06-20 | Microsoft Corporation | Secure video card methods and systems |
| RU2313122C2 (ru) * | 2002-03-13 | 2007-12-20 | Мацусита Электрик Индастриал Ко., Лтд. | Защищенное устройство |
| JP2003271457A (ja) * | 2002-03-14 | 2003-09-26 | Sanyo Electric Co Ltd | データ記憶装置 |
| US8155314B2 (en) * | 2002-06-24 | 2012-04-10 | Microsoft Corporation | Systems and methods for securing video card output |
| US7206940B2 (en) | 2002-06-24 | 2007-04-17 | Microsoft Corporation | Methods and systems providing per pixel security and functionality |
| US7293178B2 (en) * | 2002-12-09 | 2007-11-06 | Microsoft Corporation | Methods and systems for maintaining an encrypted video memory subsystem |
| US20040255145A1 (en) * | 2003-05-06 | 2004-12-16 | Jerry Chow | Memory protection systems and methods for writable memory |
| EP1698958A1 (fr) * | 2005-02-25 | 2006-09-06 | Axalto SA | Procédé de sécurisation de l'ecriture en mémoire contre des attaques par rayonnement ou autres |
| WO2006100522A1 (en) | 2005-03-22 | 2006-09-28 | Hewlett-Packard Development Company, L.P. | Methods, devices and data structures for trusted data |
| CA2657018A1 (en) * | 2006-07-06 | 2008-01-10 | Michael D. Stovsky | Data classification system |
| US8127133B2 (en) * | 2007-01-25 | 2012-02-28 | Microsoft Corporation | Labeling of data objects to apply and enforce policies |
| US8510334B2 (en) | 2009-11-05 | 2013-08-13 | Oracle International Corporation | Lock manager on disk |
| US8850428B2 (en) | 2009-11-12 | 2014-09-30 | Trustware International Limited | User transparent virtualization method for protecting computer programs and data from hostile code |
| US8959657B2 (en) * | 2013-03-14 | 2015-02-17 | Appsense Limited | Secure data management |
| US10061940B2 (en) * | 2013-07-09 | 2018-08-28 | Andes Technology Corporation | Secure protection processor and method including comparing an instruction security attribute of an instruction and a security attribute of an operational event |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US4802218A (en) * | 1986-11-26 | 1989-01-31 | Wright Technologies, L.P. | Automated transaction system |
-
1989
- 1989-02-17 US US07/312,142 patent/US4962533A/en not_active Expired - Fee Related
-
1990
- 1990-02-16 JP JP02036020A patent/JP3081619B2/ja not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JPH0315960A (ja) | 1991-01-24 |
| US4962533A (en) | 1990-10-09 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP3081619B2 (ja) | コンピュータ・システムとその保安方法 | |
| US4926476A (en) | Method and apparatus for secure execution of untrusted software | |
| US5504814A (en) | Efficient security kernel for the 80960 extended architecture | |
| Linden | Operating system structures to support security and reliable software | |
| JP3784423B2 (ja) | データセキュリティのための改良された方法、およびコンピュータシステム | |
| US4328542A (en) | Secure implementation of transition machine computer | |
| Gasser | Building a secure computer system | |
| US7565509B2 (en) | Using limits on address translation to control access to an addressable entity | |
| US10185584B2 (en) | System and method for self-protecting data | |
| US4918653A (en) | Trusted path mechanism for an operating system | |
| US20180189300A1 (en) | Method and system for providing restricted access to a storage medium | |
| US4087856A (en) | Location dependence for assuring the security of system-control operations | |
| US20090271586A1 (en) | Method and system for providing restricted access to a storage medium | |
| JPS61195443A (ja) | データ処理システム内のシステムフアイルを保護する方法及びデータ処理システム | |
| US20050091520A1 (en) | Debugging a trusted component in a system | |
| JPS6112584B2 (ja) | ||
| JPH06202987A (ja) | データオブジェクトへのアクセス制御方法及びデータ処理システム | |
| JP2021517687A (ja) | 有界ポインタを記憶するための装置及び方法 | |
| GB2440968A (en) | Protecting system control registers in a data processing apparatus | |
| CN114035886A (zh) | 一种针对内核数据的容器安全加固系统及方法 | |
| JPH08212139A (ja) | データ保護装置及び方法 | |
| GB1585960A (en) | Information flow security mechanisms for data processing systems | |
| Rabin et al. | An integrated toolkit for operating system security | |
| KR930004434B1 (ko) | 다중 등급기밀 데이타 보호용 액세스 제어방법 | |
| Paans et al. | Surreptitious security violation in the MVS operating system |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| LAPS | Cancellation because of no payment of annual fees |