JP2005085026A - アクセス制御装置ならびにそのプログラム - Google Patents
アクセス制御装置ならびにそのプログラム Download PDFInfo
- Publication number
- JP2005085026A JP2005085026A JP2003317269A JP2003317269A JP2005085026A JP 2005085026 A JP2005085026 A JP 2005085026A JP 2003317269 A JP2003317269 A JP 2003317269A JP 2003317269 A JP2003317269 A JP 2003317269A JP 2005085026 A JP2005085026 A JP 2005085026A
- Authority
- JP
- Japan
- Prior art keywords
- access
- mode
- unauthorized access
- access control
- unauthorized
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Storage Device Security (AREA)
Abstract
【課題】 OSのセキュリティを強化し、アクセス制御情報等への外部からの干渉を回避する。
【解決手段】 状態遷移制御部4が、不正アクセス検知部3によって検知される不正アクセス定義情報に基づく不正アクセスを契機に、監査モードから保護モード、および運用モードから保護モードへの状態遷移を許可し、アクセス制御部5を介し、監査モードでは外部向けの提供サービスを不許可とし、運用モードではセキュリティ管理者によるアクセス権を不許可とし、保護モードではシステムに変更を加え得るパーミッションの全てについて不許可とする。
【選択図】 図1
【解決手段】 状態遷移制御部4が、不正アクセス検知部3によって検知される不正アクセス定義情報に基づく不正アクセスを契機に、監査モードから保護モード、および運用モードから保護モードへの状態遷移を許可し、アクセス制御部5を介し、監査モードでは外部向けの提供サービスを不許可とし、運用モードではセキュリティ管理者によるアクセス権を不許可とし、保護モードではシステムに変更を加え得るパーミッションの全てについて不許可とする。
【選択図】 図1
Description
本発明は、ネットワークを含むコンピュータシステムの各資源に対してユーザから発せられるアクセス要求を制御する、アクセス制御装置ならびにそのプログラムに関する。
不正アクセスの検知、遮断に用いられる手段に、ファイアウォールやIDS(Intrusion Detection System)が知られている。これら製品は、ネットワークパケット毎、事前に定義されたパターン情報とのマッチングを行い、不正アクセスであると判断されたものについて遮断し、警告を発するものである。
上記した製品は、前提として、既知の攻撃パターンを対象としたものであり、また、パケット監視がベースであるため、通常のリクエストを装った不正なコード実行等の検知には限界がある。最終的には、そのような悪意のあるユーザからのリクエストにより発生する不正なコード実行等の処理過程での逸脱行為を抑え得るのは、基本ソフトウェア(OS:Operating System)によるアクセス制御の機能である。
OSは、管理者を含むユーザから、ファイル、ディレクトリ、プロセス、ネットワーク、デバイス、メモリ等のシステム資源への、読み取り、書き込み、削除、新規作成、追記、実行、名称変更等のアクセス要求に対し、所定のアクセス制御情報に基づいてそれらの可否を決定する機能を持つ。
上記した製品は、前提として、既知の攻撃パターンを対象としたものであり、また、パケット監視がベースであるため、通常のリクエストを装った不正なコード実行等の検知には限界がある。最終的には、そのような悪意のあるユーザからのリクエストにより発生する不正なコード実行等の処理過程での逸脱行為を抑え得るのは、基本ソフトウェア(OS:Operating System)によるアクセス制御の機能である。
OSは、管理者を含むユーザから、ファイル、ディレクトリ、プロセス、ネットワーク、デバイス、メモリ等のシステム資源への、読み取り、書き込み、削除、新規作成、追記、実行、名称変更等のアクセス要求に対し、所定のアクセス制御情報に基づいてそれらの可否を決定する機能を持つ。
UNIX(登録商標)系のOSを例示して従来のアクセス制御の概略につき、図11に示す動作概念図を参照しながら簡単に説明する。
図11において、まず、ユーザ“jdoe”が、アプリケーションを介して、“foo”というディレクトリの削除要求を発行したとする(コマンド実行a)。この要求はシステムコール“rmdir()”により処理がユーザモードからカーネルに委託される(システムコールb)。そして、処理関数“vfs_rmdir()”の中で、パーミッションチェック“may_create()”が呼ばれ、アクセス制御が実行される(アクセス制御c)。
ここで、カーネルは、サブジェクト(アクセスする側)、オブジェクト(アクセスの対象)、メソッド(アクセスの種類)の組み合わせ対して、アクセス権が与えられているか否かを、アクセス制御情報に基づいて判定する。UNIX(登録商標)系OSでは、ファイルのオーナー、グループ、それ以外のユーザに対しての、“read/write/execute”に関するパーミッションがオブジェクト毎に付与されており、サブジェクトのUID(User Identifier)やGID(Group Identifier)に基づき、アクセス許可、不許可を判定する(パーミッションチェックd)。“rmdir:ディレクトリの削除”であれば、削除対象の上位ディレクトリに対してのwrite/execute権限が必要とされる。そして、アクセスが許可されれば、“rmdir”:処理)を実行し、不許可であればユーザにエラーを返す(判定結果に応じた処理e)。
図11において、まず、ユーザ“jdoe”が、アプリケーションを介して、“foo”というディレクトリの削除要求を発行したとする(コマンド実行a)。この要求はシステムコール“rmdir()”により処理がユーザモードからカーネルに委託される(システムコールb)。そして、処理関数“vfs_rmdir()”の中で、パーミッションチェック“may_create()”が呼ばれ、アクセス制御が実行される(アクセス制御c)。
ここで、カーネルは、サブジェクト(アクセスする側)、オブジェクト(アクセスの対象)、メソッド(アクセスの種類)の組み合わせ対して、アクセス権が与えられているか否かを、アクセス制御情報に基づいて判定する。UNIX(登録商標)系OSでは、ファイルのオーナー、グループ、それ以外のユーザに対しての、“read/write/execute”に関するパーミッションがオブジェクト毎に付与されており、サブジェクトのUID(User Identifier)やGID(Group Identifier)に基づき、アクセス許可、不許可を判定する(パーミッションチェックd)。“rmdir:ディレクトリの削除”であれば、削除対象の上位ディレクトリに対してのwrite/execute権限が必要とされる。そして、アクセスが許可されれば、“rmdir”:処理)を実行し、不許可であればユーザにエラーを返す(判定結果に応じた処理e)。
上記したように、OSによるアクセス制御は、一般ユーザはもちろん、管理者に対してもアクセス権への制御を課すことができる。しかしながら、アクセス権設定そのものへの権限を持つ管理者はシステムに必ず存在するため、このユーザ権限を不正に取得することで、システムの全権が掌握されてしまう。
Unix(登録商標)系のOSにおいては、rootユーザがこれに該当し、不正にroot権限が取得できてしまうような種々の脆弱性を解消することが望まれていた。
Unix(登録商標)系のOSにおいては、rootユーザがこれに該当し、不正にroot権限が取得できてしまうような種々の脆弱性を解消することが望まれていた。
上記した従来技術においては、アクセス制御情報を保護する上で以下の問題を有している。すなわち、アクセス制御情報そのものもオブジェクトであり、従って、それらへのアクセス、変更が可能な管理者は必ず存在するので、それがアクセス制御情報の改竄というリスクにならないようにする必要がある。
通常のUNIX(登録商標)系OSであれば、オブジェクト毎のアクセス権(所有者、グループ・パーミッション)についてはそのオブジェクトの所有者であれば、“chown/chgrp/chmod”等のコマンドにより、変更可能である。また、root等の管理者権限を持ってすれば、全てのオブジェクトについて、アクセス権の変更が可能である。このため、root権限を奪取するような形で、不正侵入が行われた場合には、アクセス権による各オブジェクトの保護の意味が低減する。
通常のUNIX(登録商標)系OSであれば、オブジェクト毎のアクセス権(所有者、グループ・パーミッション)についてはそのオブジェクトの所有者であれば、“chown/chgrp/chmod”等のコマンドにより、変更可能である。また、root等の管理者権限を持ってすれば、全てのオブジェクトについて、アクセス権の変更が可能である。このため、root権限を奪取するような形で、不正侵入が行われた場合には、アクセス権による各オブジェクトの保護の意味が低減する。
このような問題に対し、アクセス制御を管理者が定めるアクセス権設定に基づく「アクセス制御の強制」、あるいは、root権限を縮小してアクセス権設定の権限を別管理者に与える「権限縮小」等によるセキュリティの強化が施された高信頼OSが実用化されている。
また、アクセス対象であるオブジェクト、およびアクセス主体であるオブジェクトを詳細に分類し、その分類に基づいて特有の制限を強制的に加えて単一の特権利用者を排除し、プログラムの乗っ取りによる被害を最小限にとどめ、もしくは排除してセキュリティを高めるアクセス制御方法ならびにアクセス制御装置および記録媒体が出願されている(例えば、特許文献1参照)。
特開2002−149494号公報(段落0032−0033、第3図)
また、アクセス対象であるオブジェクト、およびアクセス主体であるオブジェクトを詳細に分類し、その分類に基づいて特有の制限を強制的に加えて単一の特権利用者を排除し、プログラムの乗っ取りによる被害を最小限にとどめ、もしくは排除してセキュリティを高めるアクセス制御方法ならびにアクセス制御装置および記録媒体が出願されている(例えば、特許文献1参照)。
しかしながら上記した特許文献1を含む従来技術においては、その管理者の権限が奪われてしまえば、結果的にアクセス権の設定変更という自体を招くため、リスクは低減されるものの、根本的な解決とはならない。
本発明は上記事情に鑑みてなされたものであり、不正アクセス定義情報に基づき不正アクセスが検知される毎にセキュリティレベルを更新し、それにあわせて、アクセス制御情報を制御して上記したアクセス権限の縮小を図ることでOSのセキュリティを強化し、アクセス制御情報等への外部からの干渉を回避することのできる、アクセス制御装置ならびにそのプログラムを提供することを目的とする。
また、所定の安全性判定に基づき不正アクセスの危険性が低いと判断された時点でセキュリティレベルを下げる制御を行うことで、柔軟なセキュリティ制御が可能な、アクセス制御装置ならびにそのプログラムを提供することも目的とする。
また、所定の安全性判定に基づき不正アクセスの危険性が低いと判断された時点でセキュリティレベルを下げる制御を行うことで、柔軟なセキュリティ制御が可能な、アクセス制御装置ならびにそのプログラムを提供することも目的とする。
上記した課題を解決するために本発明は、ネットワークを含むコンピュータシステムの各資源に対してユーザから発せられるアクセス要求を制御するアクセス制御装置であって、前記要求されたアクセスを、あらかじめ定義してある所定の不正アクセス定義情報と比較し、要求されたアクセスが不正アクセスであるか否かを判定する不正アクセス検知部と、前記不正アクセスの検知を契機に、監査モードから保護モード、および運用モードから保護モードへの状態遷移を許可する状態遷移制御部と、前記監査モードにおいては少なくとも外部向けの提供サービスを不許可とし、前記運用モードにおいてはセキュリティ管理者によるアクセス権を不許可とし、保護モードにおいては前記システムに変更を加え得るパーミションの全てについて不許可とするアクセス制御部と、を備えたことを特徴とする。
本発明によれば、状態遷移制御部が、不正アクセス定義情報に基づく不正アクセスの検知を契機に、監査モードから保護モード、および運用モードから保護モードへの状態遷移を許可し、アクセス制御部を介し、監査モードでは外部向けの提供サービスを不許可とし、運用モードではセキュリティ管理者によるアクセス権を不許可とし、保護モードではシステムに変更を加え得るパーミッションの全てについて不許可とすることでOSのセキュリティ強化をはかり、アクセス制御情報等への外部からの干渉を回避することのできるアクセス制御装置を提供できる。
なお、ここで、「アクセス制御情報」とは、管理者を含むユーザによって発行されるシステム資源(ファイル、ディレクトリ、プロセス、ネットワーク、デバイス、メモリ等)への利用要求(読み取り・書き込み・削除・新規作成・追記・実行・名称変更等)に対し、そのアクセス可否が規定されたものをいう。
また、「不正アクセス定義情報」とは、禁止すべきアクセスの定義情報であり、「アクセス制御情報」で許可されていない全てのアクセスとして定義しても良いし、特に注意深く監視したい不正なアクセスのみを定義しても良い。
なお、ここで、「アクセス制御情報」とは、管理者を含むユーザによって発行されるシステム資源(ファイル、ディレクトリ、プロセス、ネットワーク、デバイス、メモリ等)への利用要求(読み取り・書き込み・削除・新規作成・追記・実行・名称変更等)に対し、そのアクセス可否が規定されたものをいう。
また、「不正アクセス定義情報」とは、禁止すべきアクセスの定義情報であり、「アクセス制御情報」で許可されていない全てのアクセスとして定義しても良いし、特に注意深く監視したい不正なアクセスのみを定義しても良い。
また、本発明において、前記状態遷移制御部は、前記監査モードから運用モードへの遷移を除き、前記不正アクセス制御部検知部による不正アクセスの検知により遷移を制御することを特徴とする。
また、本発明において、前記不正アクセス定義情報は、前記モードのそれぞれについて、アクセスする側とされる側とアクセス手段との組から成り、記憶装置に格納されることを特徴とする。
また、本発明において、前記運用モードを少なくとも2つに分けて定義し、前記不正アクセス検知部による不正アクセス検知の頻度に応じて同モード間での遷移を許可することを特徴とする。
本発明によれば、不正アクセス検知の頻度に応じ不正アクセスの危険性が低いと判断された時点で、セキュリティレベルを下げる制御を行うことで、柔軟なセキュリティ制御が可能なアクセス制御装置を提供することができる。
本発明によれば、不正アクセス検知の頻度に応じ不正アクセスの危険性が低いと判断された時点で、セキュリティレベルを下げる制御を行うことで、柔軟なセキュリティ制御が可能なアクセス制御装置を提供することができる。
上記した課題を解決するために本発明は、ネットワークを含むコンピュータシステムの各資源に対してユーザから発せられるアクセス要求を制御するアクセス制御装置に用いられるプログラムであって、前記要求されたアクセスを、あらかじめ定義してある所定の不正アクセス定義情報と比較し、要求されたアクセスが不正アクセスであるか否かを判定する第1のステップと、前記不正アクセスの検知を契機に、監査モードから保護モード、および運用モードから保護モードへの状態遷移を許可する第2のステップと、前記監査モードにおいては少なくとも外部向けの提供サービスを不許可とし、前記運用モードにおいてはセキュリティ管理者によるアクセス権を不許可とし、保護モードにおいては前記システムに変更を加え得るパーミションの全てについて不許可とする第3のステップと、を前記コンピュータに実行させることを特徴とする。
また、本発明において、前記第2のステップは、前記運用モードを少なくとも2つに分けて定義し、前記不正アクセス検知の頻度に応じて同モード間での遷移を許可するサブステップを含むことを特徴とする。
本発明によれば、動作中のOSに対し、保護モード、運用モード、監査モードといった「セキュリティレベル」という概念を与え、これらセキュリティレベルのアクセス制御情報、不正アクセス定義情報をそれぞれ定義し、不正アクセス定義情報に基づき不正アクセスが検知される毎にセキュリティレベルを更新し、それにあわせてアクセス制御情報を制御し、アクセス権限の縮小を図ることで、OSのセキュリティを強化することができる。
また、アクセス制御情報、不正アクセス定義情報のそれぞれをシステム起動時に読み込み、セキュリティレベルにあわせてOSの管理化に置き、一連の制御はOS内部で行わせることで、外部からの干渉なしに安全にアクセス制御情報への変更が可能な状態と、アクセス制御情報への干渉を一切排除可能な状態の双方が両立可能となる。更に、セキュリティレベルの制御は常に高くする(厳格化する)という一方向のみの制御がフェイルセーフの観点からは望ましいが、所定の安全性判定に基づき不正アクセスの危険性が低いと判断された時点で、セキュリティレベルを下げる制御を行うことで、柔軟なセキュリティ制御が可能となる。
また、アクセス制御情報、不正アクセス定義情報のそれぞれをシステム起動時に読み込み、セキュリティレベルにあわせてOSの管理化に置き、一連の制御はOS内部で行わせることで、外部からの干渉なしに安全にアクセス制御情報への変更が可能な状態と、アクセス制御情報への干渉を一切排除可能な状態の双方が両立可能となる。更に、セキュリティレベルの制御は常に高くする(厳格化する)という一方向のみの制御がフェイルセーフの観点からは望ましいが、所定の安全性判定に基づき不正アクセスの危険性が低いと判断された時点で、セキュリティレベルを下げる制御を行うことで、柔軟なセキュリティ制御が可能となる。
図1は、本発明におけるアクセス制御装置の内部構成を示すブロック図である。ここでは、アクセス制御装置は、アクセス制御情報DB(Database)1、不正アクセス定義情報DB2、不正アクセス検知部3、状態遷移制御部4、アクセス制御部5で構成される。
ここで「アクセス制御情報」とは、管理者を含むユーザによって発行されるシステム資源(ファイル、ディレクトリ、プロセス、ネットワーク、デバイス、メモリ等)への利用要求(読み取り・書き込み・削除・新規作成・追記・実行・名称変更等)に対し、そのアクセス可否が規定されたものをいい、「不正アクセス定義情報」とは、禁止すべきアクセスの定義情報をいい、それぞれ、アクセス制御情報DB1、不正アクセス定義情報DB2に格納される。図2にそのデータ構造が示されている。
ここで「アクセス制御情報」とは、管理者を含むユーザによって発行されるシステム資源(ファイル、ディレクトリ、プロセス、ネットワーク、デバイス、メモリ等)への利用要求(読み取り・書き込み・削除・新規作成・追記・実行・名称変更等)に対し、そのアクセス可否が規定されたものをいい、「不正アクセス定義情報」とは、禁止すべきアクセスの定義情報をいい、それぞれ、アクセス制御情報DB1、不正アクセス定義情報DB2に格納される。図2にそのデータ構造が示されている。
図2に示されるように、アクセス制御情報は、アクセスを許可するサブジェクト、オブジェクト、メソッドの3つの組で定義され、不正アクセス定義情報は、許可されないアクセスの中で、不正アクセスとして検知を行うものを、サブジェクト、オブジェクト、メソッドの3つの組で定義される。なお、ここで、「サブジェクト」とは、アクセスを行う側の主体となってプロセスに与えられるラベル、「オブジェクト」とは、アクセスされる側の客体を指し、ファイル、ディレクトリ、デバイス、プロセス等のシステム資源に与えられるラベル、「メソッド」とは、read/write/execute等のアクセス種別をいう。
ここでは、rootによる/etc/passwdファイルへのアクセスを許可する、userによる/home/userディレクトリへのアクセスを許可するアクセス制御情報、および、userによる/etc/passwdファイルへのwrite,append,unlink等のアクセスを不正アクセスとして扱う、userによる/sbin/shutdownファイルへのアクセスを不正アクセスとして扱う不正アクセス定義情報のそれぞれが例示されている。
ここでは、rootによる/etc/passwdファイルへのアクセスを許可する、userによる/home/userディレクトリへのアクセスを許可するアクセス制御情報、および、userによる/etc/passwdファイルへのwrite,append,unlink等のアクセスを不正アクセスとして扱う、userによる/sbin/shutdownファイルへのアクセスを不正アクセスとして扱う不正アクセス定義情報のそれぞれが例示されている。
説明を図1に戻す。不正アクセス検知部3は、要求されたアクセスを、あらかじめ定義してある所定の不正アクセス定義情報(不正アクセス定義情報DB2)と比較し、要求されたアクセスが不正アクセスであるか否かを判定し、状態遷移制御部4へ通知する。状態遷移制御部4は、不正アクセスの検知を契機に、監査モードから保護モード、および運用モードから保護モードへの状態遷移を許可してアクセス制御部5を制御する。
アクセス制御部5は、監査モードにおいては少なくとも外部向けの提供サービスを不許可とし、運用モードにおいてはセキュリティ管理者によるアクセス権を不許可とし、保護モードにおいてはシステムに変更を加え得るパーミションの全てについて不許可とするようにOSの動作を制御する。ここでは、セキュリティレベル(監査モード、運用モード、保護モード)毎にその動作実行部51、52、53を持つこととする。
なお、運用モードのみ動作実行部52を2つ有しているが、これは、後述するように、不正アクセス検知部3による不正アクセス検知の頻度に応じて同モード間での遷移を許可するオプションを持つためである。このことによりセキュリティレベルに柔軟性を持たせることができる。また、状態遷移制御部4は、監査モードから運用モードへの遷移を除き、不正アクセス検知部3による不正アクセスの検知により遷移を制御する。更に、不正アクセス定義情報は、上記したモードのそれぞれについて、サブジェクト、オブジェクト、メソッドの3つの組から成ることは上記したとおりである。
アクセス制御部5は、監査モードにおいては少なくとも外部向けの提供サービスを不許可とし、運用モードにおいてはセキュリティ管理者によるアクセス権を不許可とし、保護モードにおいてはシステムに変更を加え得るパーミションの全てについて不許可とするようにOSの動作を制御する。ここでは、セキュリティレベル(監査モード、運用モード、保護モード)毎にその動作実行部51、52、53を持つこととする。
なお、運用モードのみ動作実行部52を2つ有しているが、これは、後述するように、不正アクセス検知部3による不正アクセス検知の頻度に応じて同モード間での遷移を許可するオプションを持つためである。このことによりセキュリティレベルに柔軟性を持たせることができる。また、状態遷移制御部4は、監査モードから運用モードへの遷移を除き、不正アクセス検知部3による不正アクセスの検知により遷移を制御する。更に、不正アクセス定義情報は、上記したモードのそれぞれについて、サブジェクト、オブジェクト、メソッドの3つの組から成ることは上記したとおりである。
本発明によれば、以下の観点からアクセス制御情報そのものへの外部アクセスからの保護が可能となる。但し、ここで使用されるOSのカーネルは、上記した強制アクセス制御(アクセス権の強制)および管理者権限の分割が可能なセキュリティカーネルであることを前提としている。そして、アクセス制御情報を操作可能なカーネル状態(以下、監査モードという)と、操作不可能なカーネル状態(以下、運用モード、保護モードという)を明確に区分している。また、セキュリティレベルとしての保護モードは、運用モードにおけるパーミッションに、更に、制限が課せられた状態と定義する。
まず、カーネル(不正アクセス検知部3)は、要求されたアクセスを所定の不正アクセス定義情報と比較し、要求されたアクセスが不正アクセスであるか、否かを判定する。不正アクセス検知は許可されないすべてのアクセスを対象としても良いし、特定の(不許可となるような)アクセスのみを対象としても良い。状態遷移制御部4は、カーネルによる不正アクセスの検知を契機として、監査モードから保護モード、及び運用モードから保護モードへの状態遷移を許可する。また、管理者のコマンド指示等による、監査モードから運用モードへの状態遷移も許可し、それ以外の状態遷移は不許可とする。
まず、カーネル(不正アクセス検知部3)は、要求されたアクセスを所定の不正アクセス定義情報と比較し、要求されたアクセスが不正アクセスであるか、否かを判定する。不正アクセス検知は許可されないすべてのアクセスを対象としても良いし、特定の(不許可となるような)アクセスのみを対象としても良い。状態遷移制御部4は、カーネルによる不正アクセスの検知を契機として、監査モードから保護モード、及び運用モードから保護モードへの状態遷移を許可する。また、管理者のコマンド指示等による、監査モードから運用モードへの状態遷移も許可し、それ以外の状態遷移は不許可とする。
アクセス制御部5は、監査モードにおいて、Web(World Wide Web)サーバ、DNS(Domain Name Sarver)、メールサーバ等の外部向け提供サービスの動作に必要なアクセス権は不許可とする。万全を期するのであれば、一切のリモートアクセスの権限も不許可とする。その一方で、アクセス制御情報への書き込み等のアクセス権はセキュリティ管理者には認められる。
アクセス制御部5は、運用モードにおいて、逆にセキュリティ管理者によるアクセス制御情報への書き込み等のアクセス権は許可する。万全を期するのであれば、セキュリティ管理者の一切の権限は不許可とする。その一方で、外部向け提供サービスに対しては通常の稼動に必要かつ十分なアクセス権が与えられるものとする。保護モードは、運用モードのアクセス権がさらに制限された状態で、外部向け提供サービスに関連する書き込みや削除、新規生成等、システムに変更を加えるパーミッションについて不許可された状態として定義する。パーミッションを制限することにより、不正アクセスによる被害を抑えることを目的としている。また、各管理者の権限に関しても、制限する。
アクセス制御部5は、運用モードにおいて、逆にセキュリティ管理者によるアクセス制御情報への書き込み等のアクセス権は許可する。万全を期するのであれば、セキュリティ管理者の一切の権限は不許可とする。その一方で、外部向け提供サービスに対しては通常の稼動に必要かつ十分なアクセス権が与えられるものとする。保護モードは、運用モードのアクセス権がさらに制限された状態で、外部向け提供サービスに関連する書き込みや削除、新規生成等、システムに変更を加えるパーミッションについて不許可された状態として定義する。パーミッションを制限することにより、不正アクセスによる被害を抑えることを目的としている。また、各管理者の権限に関しても、制限する。
なお、システム管理者(root)の権限につき、管理者権限の分割という条件の下、アクセス制御情報への書き込み等のアクセスはセキュリティ管理者のみに認められ、システム管理者にはその権限は与えられないものとする。また、カーネルの状態遷移は、監査モードから運用モードへの遷移以外は外部コマンドによる指示ではなく、不正アクセスの検知による、カーネル内部での制御に基づいて行なわれるものとする。これは、カーネル状態への外部からの直接的な干渉を防ぐのが目的である。
図3は、上記したアクセス制御装置の基本動作を説明するために引用した動作概念図である。ここでは本発明のアクセス制御装置をOS上にマッピングして示してある。以下、図3を参照しながら動作説明を行う。
サブジェクト(アクセスする側)、オブジェクト(アクセスされる側)が図示された対応関係となっており、ここでは、ユーザによるコマンド実行に基づき、システムコール“rmdir()”で処理がカーネルに委託されたときの動作が示されている。本発明では、監査モード、運用モード、保護モードのそれぞれにおいて異なるアクセス制御を行うために、カーネルおよびアクセス制御情報について以下の拡張が行なわれる。
サブジェクト(アクセスする側)、オブジェクト(アクセスされる側)が図示された対応関係となっており、ここでは、ユーザによるコマンド実行に基づき、システムコール“rmdir()”で処理がカーネルに委託されたときの動作が示されている。本発明では、監査モード、運用モード、保護モードのそれぞれにおいて異なるアクセス制御を行うために、カーネルおよびアクセス制御情報について以下の拡張が行なわれる。
すなわち、アクセス制御情報は、セキュリティレベルに応じて用意される監査モード、運用モード、保護モードのそれぞれについて定義され、その内容はアクセス情報DB1に格納される(アクセス制御情報a)。後述するパーミッションチェックの際には、現在のカーネルのセキュリティレベルに基づき、対応するアクセス制御情報を用いてアクセス制御を行う。また、不正アクセス定義情報は、監査モード、運用モード、保護モードそれぞれについての不正アクセスとして検知すべきアクセスについて定義して不正アクセス定義情報DB2に格納する。なお、不正アクセス定義情報は、アクセス制御情報の補集合として定義しても良く、また、特に注意を要する不正アクセスのみを定義しても良い(不正アクセス定義情報b)。
そして、管理者が、アプリケーション(シェル)を介して、“foo”というディレクトリの削除要求を発行したとする(コマンド実行c)。この要求はシステムコール“rmdir()”により処理がカーネルに委託される(システムコールd)。カーネルでは、該当するシステムコール処理関数が呼び出され、アクセス制御が開始される(アクセス制御e)。続いて、運用モードのアクセス制御情報によるパーミッションチェックが行われ(パーミションチェックf)、判定結果に応じた処理が実行される(判定結果に応じた処理g)。
不正アクセス検知部3は、カーネル内、パーミッションチェックにより不許可とされたアクセスに関し、不正アクセス定義情報DB2に格納された不正アクセス定義情報に基づき、それが該当するか否かを判定し、状態遷移制御部4へ伝える。状態遷移制御部4は、不正アクセス検知部3から不正アクセス検知の通知を受け、現在のモードから保護モードへの状態遷移を行い(現在のモードから保護モードへ移行h)、アクセス制御部5による上記したアクセスが実行される。
そして、管理者が、アプリケーション(シェル)を介して、“foo”というディレクトリの削除要求を発行したとする(コマンド実行c)。この要求はシステムコール“rmdir()”により処理がカーネルに委託される(システムコールd)。カーネルでは、該当するシステムコール処理関数が呼び出され、アクセス制御が開始される(アクセス制御e)。続いて、運用モードのアクセス制御情報によるパーミッションチェックが行われ(パーミションチェックf)、判定結果に応じた処理が実行される(判定結果に応じた処理g)。
不正アクセス検知部3は、カーネル内、パーミッションチェックにより不許可とされたアクセスに関し、不正アクセス定義情報DB2に格納された不正アクセス定義情報に基づき、それが該当するか否かを判定し、状態遷移制御部4へ伝える。状態遷移制御部4は、不正アクセス検知部3から不正アクセス検知の通知を受け、現在のモードから保護モードへの状態遷移を行い(現在のモードから保護モードへ移行h)、アクセス制御部5による上記したアクセスが実行される。
図4、図5は、本発明の具体的な一実施形態の動作を説明するために引用した動作概念図である。ここでは、userによる/sbin/shutdownファイルへのアクセスを不正アクセスとして不正アクセス定義情報DB2に登録されているものとして説明を行う。
カーネルは、起動されると、デフォルトでは運用モードで起動する。(セキュリティ状態は運用モードで初期化される)。運用モードでは、上記したように、userによる/sbin/shutdownへの全てのアクセスを不正アクセスとして定義されている。まず、一般ユーザuserは、許可されているアクセス“rmdir foo”を、シェルを介して実行する(図4、コマンド実行a)。このことにより、カーネルに対して、システムコール“rmdir()”が発行される(システムコールb)。カーネルでは、該当するシステムコール処理関数が呼び出される。続いて、運用モードのアクセス制御情報によるパーミッションチェックが行われる(パーミションチェックd)。パーミッション関数の処理の流れは、図7に示されている。ここでは許可されたアクセスであるため、処理が実行される(アクセス制御cとアクセス許可なら処理実行e、および図7、S71、S72)。
カーネルは、起動されると、デフォルトでは運用モードで起動する。(セキュリティ状態は運用モードで初期化される)。運用モードでは、上記したように、userによる/sbin/shutdownへの全てのアクセスを不正アクセスとして定義されている。まず、一般ユーザuserは、許可されているアクセス“rmdir foo”を、シェルを介して実行する(図4、コマンド実行a)。このことにより、カーネルに対して、システムコール“rmdir()”が発行される(システムコールb)。カーネルでは、該当するシステムコール処理関数が呼び出される。続いて、運用モードのアクセス制御情報によるパーミッションチェックが行われる(パーミションチェックd)。パーミッション関数の処理の流れは、図7に示されている。ここでは許可されたアクセスであるため、処理が実行される(アクセス制御cとアクセス許可なら処理実行e、および図7、S71、S72)。
次に、悪意あるユーザが何らかの手段(パスワードクラック、バッファオーバーフロー等)により、userの権限を取得したとする。悪意あるユーザの意図は、“/sbin/shutdown”コマンド実行によるシステムの停止である(図5、コマンドの実行f)。
この場合もカーネルに対し、システムコール“execve(sbin/shutdown)”が発行され(システムコールg)、該当するシステム処理関数が呼び出される(アクセス制御h)。これは、運用モードのアクセス制御情報によるパーミッションにおいて不許可となってそのコマンドは実行されない(バーミッションチェックi、および図7、S73)。また、不正アクセス検知部3により運用モードでの不正アクセス定義情報による不正アクセス検知が行われ(不正アクセス検知j、および図7、S74)、検知対象に該当するため、状態制御関数を呼ぶ。そして、状態遷移制御部4によって運用モードから保護モードへの状態遷移が行われる(現在のモードから保護モードに移行k、および図7、S75)。以後、アクセス制御情報、不正アクセス定義情報は保護モードのものが用いられ、アクセス制御部5による遷移モードに従う動作が実行される。
この場合もカーネルに対し、システムコール“execve(sbin/shutdown)”が発行され(システムコールg)、該当するシステム処理関数が呼び出される(アクセス制御h)。これは、運用モードのアクセス制御情報によるパーミッションにおいて不許可となってそのコマンドは実行されない(バーミッションチェックi、および図7、S73)。また、不正アクセス検知部3により運用モードでの不正アクセス定義情報による不正アクセス検知が行われ(不正アクセス検知j、および図7、S74)、検知対象に該当するため、状態制御関数を呼ぶ。そして、状態遷移制御部4によって運用モードから保護モードへの状態遷移が行われる(現在のモードから保護モードに移行k、および図7、S75)。以後、アクセス制御情報、不正アクセス定義情報は保護モードのものが用いられ、アクセス制御部5による遷移モードに従う動作が実行される。
図9に状態遷移が示されている。図9に示されるように、保護モード(53)はアクセス権が制限されたカーネル状態を示し、セキュリティ管理者の一切の権限は不許可とされる。また、外部向けの提供サービスについても読み出し専用等、制限されたアクセスのみ許可される。そして、不正アクセスの検知を契機に運用モード(52)、監査モード(51)からの遷移が可能であり、他への遷移は禁止される。
また、運用モード(52)は、アクセス制御情報を操作不可能なカーネル状態を示し、カーネルは、デフォルトとしてこのモードが選択され起動される。万全を期すのであれば、セキュリティ管理者の一切の権限は不許可とされる。また、外部向けの提供サービスについては、通常の稼働に必要かつ十分なアクセス権が与えられる。そして、不正アクセス検知を契機に、監査モード(51)からの遷移が可能であり、他への遷移は禁止される。更に、監査モード(51)は、アクセス制御情報を操作可能なカーネル状態を示し、セキュリティ管理者にアクセス制御情報への書込み等のアクセス権が認められ、万全を期すのであれば一切のリモートアクセスの権限を不許可とする。なお、監査モード(51)は、ブートオプション指定、コマンド等による起動が可能である。
また、運用モード(52)は、アクセス制御情報を操作不可能なカーネル状態を示し、カーネルは、デフォルトとしてこのモードが選択され起動される。万全を期すのであれば、セキュリティ管理者の一切の権限は不許可とされる。また、外部向けの提供サービスについては、通常の稼働に必要かつ十分なアクセス権が与えられる。そして、不正アクセス検知を契機に、監査モード(51)からの遷移が可能であり、他への遷移は禁止される。更に、監査モード(51)は、アクセス制御情報を操作可能なカーネル状態を示し、セキュリティ管理者にアクセス制御情報への書込み等のアクセス権が認められ、万全を期すのであれば一切のリモートアクセスの権限を不許可とする。なお、監査モード(51)は、ブートオプション指定、コマンド等による起動が可能である。
図6は本発明における他の実施形態の動作を説明するために引用した動作概念図である。ここでは、図4、図5に示す実施形態に加え、運用モード(52)を複数の段階に分割し、さらに安全性判定を入れることにより、運用モード間を相互に遷移可能にした場合を例示している。これは1回の不正アクセス検知により、保護モードに遷移するという処理が、過剰な措置と見られるような場合に適している。アクセス制御情報と不正アクセス定義情報については、ここに示す運用モード1、2を含め、4種類が用意される。
不正アクセス検知した場合、図10の状態遷移図に示されるように、監査モード(51)と運用モード2(52)からは保護モード(53)に遷移し、運用モード1(52)からは運用モード2(52)に遷移する。運用モード2(52)は運用モード1(52)のアクセス権に制限を課したものであり、保護モード(53)ほどは厳しくない。運用モード2(52)においては安全性判定が適用され、不正アクセスの兆候が一定時間みられない等、安全状態であると判断された場合には運用モード2(52)から運用モード1(52)への状態遷移を行い、アクセス権を緩和するような制御を行う。それ以外の遷移については図3、図4に示す実施形態と同様に禁止する。
不正アクセス検知した場合、図10の状態遷移図に示されるように、監査モード(51)と運用モード2(52)からは保護モード(53)に遷移し、運用モード1(52)からは運用モード2(52)に遷移する。運用モード2(52)は運用モード1(52)のアクセス権に制限を課したものであり、保護モード(53)ほどは厳しくない。運用モード2(52)においては安全性判定が適用され、不正アクセスの兆候が一定時間みられない等、安全状態であると判断された場合には運用モード2(52)から運用モード1(52)への状態遷移を行い、アクセス権を緩和するような制御を行う。それ以外の遷移については図3、図4に示す実施形態と同様に禁止する。
なお、「安全性判定」とは、不正アクセスが行われている予兆が見られないという判断基準、一例としては「不正アクセス定義情報」で規定される不正アクセスらしき予兆が一定時間見られなかったこと等を判断基準として安全性を判定することをいい、ここでは、一定時間不正アクセス検知されない(例えば、前回の不正アクセス検知から24時間以上が経過した場合)、サービスの稼動状況、アクセス頻度(利用中のユーザが0になった場合)によって安全と判断する。
図8に、図6に示される実施形態におけるパーミッション関数の処理の流れがフローチャートで示されている。
図8において、パーミッションチェックの結果(S81)、アクセスが許可されたときに現在のモードが運用モード2(52)で動作しているか否かがチェックされる(S83)。ここで運用モード2の場合は、更に上記した安全性の判断を行い(S84)、安全と判断されたときにモード遷移制御部4により運用モード1(52)への状態遷移がなされ、アクセス制御部5によりそのモードでの実行が開始される。
一方、パーミッションチェックの結果(S81)、アクセスが不許可となった場合(S86)、不正アクセス検知部3による不正アクセスのチェックが行われ(S87)、ここで不正アクセスが検知された場合に、現在のモードが運用モード1(52)で動作しているか否かがチェックされる(S88)。運用モード1(52)で動作していた場合は、状態遷移制御部4によって運用モード2(52)に状態遷移がなされ、運用モード1(52)以外で動作していた場合は、保護モード(51)に状態遷移がなされる。そして、アクセス制御部5により、そのモードに従う実行が開始される。
図8において、パーミッションチェックの結果(S81)、アクセスが許可されたときに現在のモードが運用モード2(52)で動作しているか否かがチェックされる(S83)。ここで運用モード2の場合は、更に上記した安全性の判断を行い(S84)、安全と判断されたときにモード遷移制御部4により運用モード1(52)への状態遷移がなされ、アクセス制御部5によりそのモードでの実行が開始される。
一方、パーミッションチェックの結果(S81)、アクセスが不許可となった場合(S86)、不正アクセス検知部3による不正アクセスのチェックが行われ(S87)、ここで不正アクセスが検知された場合に、現在のモードが運用モード1(52)で動作しているか否かがチェックされる(S88)。運用モード1(52)で動作していた場合は、状態遷移制御部4によって運用モード2(52)に状態遷移がなされ、運用モード1(52)以外で動作していた場合は、保護モード(51)に状態遷移がなされる。そして、アクセス制御部5により、そのモードに従う実行が開始される。
以上説明のように本発明は、不正アクセス定義情報に基づき不正アクセスが検知される毎にセキュリティレベルを更新し、それにあわせてアクセス制御情報を制御して上記したアクセス権限の縮小を図ることでOSのセキュリティを強化し、アクセス制御情報等への外部からの干渉を回避するものである。また、所定の安全性判定に基づき不正アクセスの危険性が低いと判断された時点でセキュリティレベルを下げる制御を行うことで、柔軟なセキュリティ制御を行うものである。
なお、図1に示される不正アクセス検知部3、状態遷移制御部4、アクセス制御部5のそれぞれで実行される手順をコンピュータ読み取り可能な記録媒体に記録し、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行することによっても本発明のアクセス制御装置を実現することができる。ここでいうコンピュータシステムとは、OSや周辺機器等のハードウェアを含む。
なお、図1に示される不正アクセス検知部3、状態遷移制御部4、アクセス制御部5のそれぞれで実行される手順をコンピュータ読み取り可能な記録媒体に記録し、この記録媒体に記録されたプログラムをコンピュータシステムに読み込ませ、実行することによっても本発明のアクセス制御装置を実現することができる。ここでいうコンピュータシステムとは、OSや周辺機器等のハードウェアを含む。
また、「コンピュータシステム」は、WWWシステムを利用している場合であれば、ホームページ提供環境(あるいは表示環境)も含むものとする。
また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。
また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。
また、上記プログラムは、このプログラムを記憶装置等に格納したコンピュータシステムから、伝送媒体を介して、あるいは、伝送媒体中の伝送波により他のコンピュータシステムに伝送されてもよい。ここで、プログラムを伝送する「伝送媒体」は、インターネット等のネットワーク(通信網)や電話回線等の通信回線(通信線)のように情報を伝送する機能を有する媒体のことをいう。
また、上記プログラムは、前述した機能の一部を実現するためのものであっても良い。さらに、前述した機能をコンピュータシステムにすでに記録されているプログラムとの組み合わせで実現できるもの、いわゆる差分ファイル(差分プログラム)であっても良い。
以上、この発明の実施形態につき、図面を参照して詳述してきたが、具体的な構成はこの実施形態に限られるものではなく、この発明の要旨を逸脱しない範囲の設計等も含まれる。
1……アクセス制御情報DB(Database)、2……不正アクセス定義情報DB、3……不正アクセス検知部、4……状態遷移制御部、5……アクセス制御部
Claims (6)
- ネットワークを含むコンピュータシステムの各資源に対してユーザから発せられるアクセス要求を制御するアクセス制御装置であって、
前記要求されたアクセスを、あらかじめ定義してある所定の不正アクセス定義情報と比較し、要求されたアクセスが不正アクセスであるか否かを判定する不正アクセス検知部と、
前記不正アクセスの検知を契機に、監査モードから保護モード、および運用モードから保護モードへの状態遷移を許可する状態遷移制御部と、
前記監査モードにおいては少なくとも外部向けの提供サービスを不許可とし、前記運用モードにおいてはセキュリティ管理者によるアクセス権を不許可とし、保護モードにおいては前記システムに変更を加え得るパーミションの全てについて不許可とするアクセス制御部と、
を備えたことを特徴とするアクセス制御装置。 - 前記状態遷移制御部は、
前記監査モードから運用モードへの遷移を除き、前記不正アクセス検知部による不正アクセスの検知により遷移を制御することを特徴とする請求項1に記載のアクセス制御装置。 - 前記不正アクセス定義情報は、前記モードのそれぞれについて、アクセスする側とされる側とアクセス手段との組から成り、記憶装置に格納されることを特徴とする請求項1または2に記載のアクセス制御装置。
- 前記運用モードを少なくとも2つに分けて定義し、前記不正アクセス検知部による不正アクセス検知の頻度に応じて同モード間での遷移を許可することを特徴とする請求項1に記載のアクセス制御装置。
- ネットワークを含むコンピュータシステムの各資源に対してユーザから発せられるアクセス要求を制御するアクセス制御装置に用いられるプログラムであって、
前記要求されたアクセスを、あらかじめ定義してある所定の不正アクセス定義情報と比較し、要求されたアクセスが不正アクセスであるか否かを判定する第1のステップと、
前記不正アクセスの検知を契機に、監査モードから保護モード、および運用モードから保護モードへの状態遷移を許可する第2のステップと、
前記監査モードにおいては少なくとも外部向けの提供サービスを不許可とし、前記運用モードにおいてはセキュリティ管理者によるアクセス権を不許可とし、保護モードにおいては前記システムに変更を加え得るパーミションの全てについて不許可とする第3のステップと、
を前記コンピュータに実行させるアクセス制御プログラム。 - 前記第2のステップは、前記運用モードを少なくとも2つに分けて定義し、前記不正アクセス検知の頻度に応じて同モード間での遷移を許可するサブステップを含むことを特徴とする請求項5に記載のアクセス制御プログラム。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003317269A JP4444604B2 (ja) | 2003-09-09 | 2003-09-09 | アクセス制御装置ならびにそのプログラム |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2003317269A JP4444604B2 (ja) | 2003-09-09 | 2003-09-09 | アクセス制御装置ならびにそのプログラム |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2005085026A true JP2005085026A (ja) | 2005-03-31 |
| JP4444604B2 JP4444604B2 (ja) | 2010-03-31 |
Family
ID=34416910
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2003317269A Expired - Fee Related JP4444604B2 (ja) | 2003-09-09 | 2003-09-09 | アクセス制御装置ならびにそのプログラム |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4444604B2 (ja) |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP2007004624A (ja) * | 2005-06-24 | 2007-01-11 | Felica Networks Inc | 情報管理装置及び情報管理方法、並びにコンピュータ・プログラム |
| JP2008152596A (ja) * | 2006-12-19 | 2008-07-03 | Fuji Xerox Co Ltd | 認証プログラム、認証サーバおよびシングルサインオン認証システム |
| JP2010044594A (ja) * | 2008-08-12 | 2010-02-25 | Fujitsu Ltd | 認証方法、プログラム、及び認証装置 |
| JP2010515175A (ja) * | 2006-12-29 | 2010-05-06 | アマゾン テクノロジーズ インコーポレイテッド | ユーザのインタラクションに関する分析による不正行為探知 |
| EP2528127A1 (en) | 2005-03-23 | 2012-11-28 | Semiconductor Energy Laboratory Co., Ltd. | Light-emitting device and electronic device |
| JP2014115833A (ja) * | 2012-12-10 | 2014-06-26 | Dna:Kk | 連続的な不正アクセスを防止する方法 |
| CN111400723A (zh) * | 2020-04-01 | 2020-07-10 | 中国人民解放军国防科技大学 | 基于tee扩展的操作系统内核强制访问控制方法及系统 |
-
2003
- 2003-09-09 JP JP2003317269A patent/JP4444604B2/ja not_active Expired - Fee Related
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2528127A1 (en) | 2005-03-23 | 2012-11-28 | Semiconductor Energy Laboratory Co., Ltd. | Light-emitting device and electronic device |
| JP2007004624A (ja) * | 2005-06-24 | 2007-01-11 | Felica Networks Inc | 情報管理装置及び情報管理方法、並びにコンピュータ・プログラム |
| JP2008152596A (ja) * | 2006-12-19 | 2008-07-03 | Fuji Xerox Co Ltd | 認証プログラム、認証サーバおよびシングルサインオン認証システム |
| JP2010515175A (ja) * | 2006-12-29 | 2010-05-06 | アマゾン テクノロジーズ インコーポレイテッド | ユーザのインタラクションに関する分析による不正行為探知 |
| JP2010044594A (ja) * | 2008-08-12 | 2010-02-25 | Fujitsu Ltd | 認証方法、プログラム、及び認証装置 |
| JP2014115833A (ja) * | 2012-12-10 | 2014-06-26 | Dna:Kk | 連続的な不正アクセスを防止する方法 |
| CN111400723A (zh) * | 2020-04-01 | 2020-07-10 | 中国人民解放军国防科技大学 | 基于tee扩展的操作系统内核强制访问控制方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP4444604B2 (ja) | 2010-03-31 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Jaeger | Operating system security | |
| US8838994B2 (en) | Method for protecting computer programs and data from hostile code | |
| US7437766B2 (en) | Method and apparatus providing deception and/or altered operation in an information system operating system | |
| EP1946238B1 (en) | Operating system independent data management | |
| US7660797B2 (en) | Scanning data in an access restricted file for malware | |
| US7296274B2 (en) | Method and apparatus providing deception and/or altered execution of logic in an information system | |
| KR100997802B1 (ko) | 정보 단말기의 보안 관리 장치 및 방법 | |
| KR100882348B1 (ko) | 보안 운영 체제를 위한 보안 정책 설정 방법 및 장치 | |
| AU1329601A (en) | System and method for providing data security | |
| JP2006134307A (ja) | アンチウィルスソフトウェアアプリケーションの知識基盤を統合するシステムおよび方法 | |
| US8646044B2 (en) | Mandatory integrity control | |
| JP3630087B2 (ja) | 自動データ処理装置 | |
| CN106411814B (zh) | 一种策略管理方法及系统 | |
| JP4444604B2 (ja) | アクセス制御装置ならびにそのプログラム | |
| KR101967663B1 (ko) | 인가된 프로세스의 역할 기반 접근 통제 시스템 | |
| CN115270157A (zh) | 一种访问控制方法及系统 | |
| KR20040083409A (ko) | 실시간 감시를 통한 컴퓨터 보호 방법 및 이에 따라보호되는 컴퓨터와 그 시스템 | |
| Seong et al. | Security improvement of file system filter driver in windows embedded OS | |
| AU2005209678B2 (en) | Integrated access authorization | |
| KR101349807B1 (ko) | 이동식 저장매체 보안시스템 및 그 방법 | |
| Viega et al. | The pros and cons of Unix and Windows security policies | |
| KR102623168B1 (ko) | 데이터 보호 시스템 | |
| KR20200122014A (ko) | 프로그램 보호를 기반으로 한 데이터 보안 방법 | |
| Choi et al. | MultiFile View: File-view-based Isolation in a Single-User Environment to Protect User Data Files | |
| JP2023516517A (ja) | データ保護システム |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20060310 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090203 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090403 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20090728 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20090928 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20100105 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100114 |
|
| R150 | Certificate of patent or registration of utility model |
Ref document number: 4444604 Country of ref document: JP Free format text: JAPANESE INTERMEDIATE CODE: R150 Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130122 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130122 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20140122 Year of fee payment: 4 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| R250 | Receipt of annual fees |
Free format text: JAPANESE INTERMEDIATE CODE: R250 |
|
| LAPS | Cancellation because of no payment of annual fees |