[go: up one dir, main page]
More Web Proxy on the site http://driver.im/

JPH08255132A - 安全なデータ転送を行うための方法および機密レベル変更選択機構 - Google Patents

安全なデータ転送を行うための方法および機密レベル変更選択機構

Info

Publication number
JPH08255132A
JPH08255132A JP7261144A JP26114495A JPH08255132A JP H08255132 A JPH08255132 A JP H08255132A JP 7261144 A JP7261144 A JP 7261144A JP 26114495 A JP26114495 A JP 26114495A JP H08255132 A JPH08255132 A JP H08255132A
Authority
JP
Japan
Prior art keywords
selection
window
data
manager
owner
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
JP7261144A
Other languages
English (en)
Inventor
Mark E Carson
マーク・アーウィン・カーソン
Mudumbai Ranganathan
ムドゥムバイ・ランガナタン
Janet A Cugini
ジャネット・アン・クジーニ
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
International Business Machines Corp
Original Assignee
International Business Machines Corp
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by International Business Machines Corp filed Critical International Business Machines Corp
Publication of JPH08255132A publication Critical patent/JPH08255132A/ja
Pending legal-status Critical Current

Links

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/50Monitoring users, programs or devices to maintain the integrity of platforms, e.g. of processors, firmware or operating systems
    • G06F21/55Detecting local intrusion or implementing counter-measures
    • G06F21/556Detecting local intrusion or implementing counter-measures involving covert channels, i.e. data leakage between processes
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F2221/00Indexing scheme relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/21Indexing scheme relating to G06F21/00 and subgroups addressing additional information or applications relating to security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F2221/2105Dual mode as a secondary aspect

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • User Interface Of Digital Computer (AREA)
  • Storage Device Security (AREA)
  • Digital Computer Display Output (AREA)
  • Computer And Data Communications (AREA)

Abstract

(57)【要約】 (修正有) 【課題】 未承認のウィンドウ・システム・クライアン
ト・プログラムが選択マネージャという特殊承認クライ
アント・プログラムによって仲介されてユーザの制御下
で安全保護領域間でデータを転送できるようにする。 【解決手段】 使用する機構は、機密レベル変更カット
・アンド・ペースト操作に関するコンパートメント化モ
ード・ワークステーション(CMW)要件の機能を満た
すように構成することができる。CMWのカット・アン
ド・ペースト要件を満たし、機密レベル変更選択機構が
抜け道として機能するのを防止するため、この機密レベ
ル変更選択機構では、必須アクセス管理(MAC)上位
移行操作中の低レベル・プロセスへの通信にダミー・ウ
ィンドウIDを使用し、すべての機密レベル変更操作に
ついて、転送の続行を許可する前にユーザ確認を要求す
るポップアップを表示するよう選択マネージャに指示す
る。この選択機構は、カット・アンド・ペースト用の構
成可能な機密レベル変更選択操作をサポートする。

Description

【発明の詳細な説明】
【0001】
【発明の属する技術分野】本発明は、一般的に、コンピ
ュータ・ウィンドウ・システム内でのカット・アンド・
ペースト操作によるデータ転送に関し、より詳細には、
未承認ウィンドウ・システム・クライアント・プログラ
ムが特殊なクライアント・プログラムによって仲介され
る転送によってユーザの制御下でユーザの示唆により安
全保護領域間でデータを転送できるようにするための安
全な手段に関する。
【0002】
【従来の技術】コンピュータ・システムでは、ユーザに
グラフィカル・ユーザ・インタフェース(GUI)を提
供してマルチタスクのコンピュータ・プログラムを管理
するために、ウィンドウ・システムが一般に使用されて
いる。通常、コンピュータ上で現在実行されているコン
ピュータ・プログラムごとに別々のウィンドウがオープ
ンされる。とりわけ、ウィンドウ・システムは、あるプ
ログラムが作成したある文書から別の無関係のプログラ
ムが作成した別の文書へのデータ転送を容易にするため
のいくつかのツールをユーザに提供する。このようなツ
ールの1つは、あるウィンドウでデータを囲み、それを
別のウィンドウに移動して挿入する、いわゆる「カット
・アンド・ペースト」操作である。この操作は通常、マ
ウスで制御したカーソルを使用して実施される。現在使
用されているウィンドウ環境の1つは、AT&T Bell Labo
ratories社が開発したUNIXオペレーティング・シス
テム(UNIXはNovell社の商標である)上で動作する
「Xウィンドウ・システム」(Massachusetts Institut
e of Technologyの商標)である。
【0003】安全保護ラベルは、Defence Intelligence
Agency(DIA)の"Requirementsfor System High an
d Compartmented Mode Workstations"(CMW規定とい
う)の基本要件の1つである。この規定では、特に、安
全保護が異なる可能性のある複数のウィンドウをいつで
もオープンできるような、ワークステーション用の安全
なマルチレベル・ウィンドウ・システムを扱っている。
このようなウィンドウの安全保護レベルは、安全保護ラ
ベル、すなわち、1つの主題またはオブジェクトに関連
する全体的な機密レベルを示す必須アクセス管理(MA
C)ラベルと、データの集合体にラベルを付ける情報ラ
ベルという、より細分性の高いラベルとによって管理さ
れる。機密レベルまたはMACレベルは、特権ユーザを
除くすべてのユーザ向けの「上位読取りなし」(より高
い機密レベルでのオブジェクトの読取りなし)規則およ
び「下位書込みなし」(より低い機密レベルでのオブジ
ェクトの書込みなし)規則で実施される。この「上位読
取りなし」規則のため、通常のユーザはできるだけ高い
機密レベルで作業する傾向があり、そのため、何でもみ
られるようになっている。しかし、「下位書込みなし」
規則では、その内容がどんなにつまらないものでもすべ
てのオブジェクトに同一の高い機密レベルでラベルを付
けなければならない。このようなデータの過剰分類を防
止するため、CMWは、データの「真」の機密性をある
程度示す、情報ラベルのシステムを提供している。情報
ラベルはユーザ制御とシステム制御の両方があり、ユー
ザは最初に情報ラベルを設定し、必要に応じて変更する
ことができ、システムは伝播または浮動によりそれを更
新する。すなわち、プロセスが機密データを読み取る
と、それ自体の(プロセス)情報ラベルがそれが読み取
ったすべてのデータの情報ラベルの最大値(最小上限)
まで浮動し、その後それが他のオブジェクトに書き込む
ときには、そのオブジェクトがデータを受け取ることが
できると想定して、そのオブジェクトの情報ラベルが同
様に浮動する。
【0004】機密ラベルと情報ラベルの機密レベルが異
なるときにデータのウィンドウ間移動を行うことは、C
MWを有用にする基本的特徴の1つである。しかし、す
べてのウィンドウ間移動は、前述の「上位読取りなし、
下位書込みなし」の規則に適合しなければならない。具
体的には、カット・アンド・ペースト操作によるラベル
の機密レベル変更は、次のように行うことができる。M
ACラベルの上位移行はすべての特権ユーザと通常ユー
ザが行うことができ、MACラベルの下位移行は特権ユ
ーザのみ行うことができ、情報ラベルの上位移行または
下位移行はすべての特権ユーザと通常ユーザが行うこと
ができる。CMWでは、ユーザがすべてのラベル変更を
認識するように、これを対話式に行うよう要求してい
る。
【0005】Xウィンドウ・システムは、1台のXサー
バと、様々な機能を実行する複数のアプリケーション・
プログラムから構成される。Xサーバは、ユーザ入力の
結果として生成される事象の送信により、このようなア
プリケーションとやりとりする。Xウィンドウ・システ
ムでは、Xサーバは、Xtermなどの通常は未承認の
クライアント・プログラムによって開始され制御され
る、カット・アンド・ペースト操作を仲介するだけであ
る。カット・アンド・ペースト操作に直接かかわるもう
1つのアプリケーションは、ウィンドウ・マネージャで
ある。ウィンドウ・マネージャは、ウィンドウの視覚的
操作のほとんどを担当する。
【0006】SecureWareは、ベースとしてXウィンドウ
・システムを使用する市販のCMWを備えているが、カ
ット・アンド・ペースト操作には個別のクライアントで
はなくウィンドウ・マネージャを使用する。SecureWare
のインプリメンテーションでは、所与のデータ・タイプ
しか扱うことができず、クライアントは、承認後のデー
タの変更や承認前のデータの受信を内密に行う可能性が
ある。専用の文書以外には、その作業を詳述した文書が
発行されておらず、特に、カット・アント・ペースト操
作に関する処理方法については何も発行されていない。
Smith他は"Secure Multi-Level Windowing in a B1 Cer
tifiable Secure UNIX Operating System"(Winter 198
9 USENIX Conference Proceedings)において、ウィン
ドウ上でのカット・アンド・ペースト操作について記述
しているが、この研究はXウィンドウ・システムに基づ
くものではなく、単にMAC準拠に関連しているだけで
ある。情報ラベルの概念はまったく示されていない。Ca
rson他は"From B2 to CMW:Building a Compartmented M
ode Workstation on a Secure Xenix Base"(Proceedin
gs of the AIAA/ASIS/IEEE Third Aerospace Computer
Security Conference, 1987)において、CMWインプ
リメンテーションの1つについて記述しているが、この
インプリメンテーションでは、そのオペレーティング・
システムとしてXENIXを、そのベース・ウィンドウ
・システムとしてViewnixを使用し、カット・アンド・
ペースト操作では完全に中央制御下にあるまったく異な
る機構を使用している。(XENIXはマイクロソフト
社の商標であり、ViewnixはFive Paces Software社の商
標である。)
【0007】
【発明が解決しようとする課題】したがって、本発明の
目的は、未承認ウィンドウ・システム・クライアント・
プログラムが選択マネージャという特殊な承認クライア
ント・プログラムによって仲介された転送によってユー
ザの制御下でユーザの示唆により安全保護領域間でデー
タを転送できるようにするための安全な手段を提供する
ことにある。
【0008】
【課題を解決するための手段】本発明により、機密レベ
ル変更カット・アンド・ペースト操作に関するコンパー
トメント化モード・ワークステーション(CMW)要件
の機能を満たすように構成可能な機構が提供される。こ
の機構は、基礎となるオペレーティング・システムが何
であってもそのオペレーティング・システムで使用する
ことができる。CMWのカット・アンド・ペースト要件
を満たし、機密レベル変更選択機構が抜け道として機能
するのを防止するため、本発明の機密レベル変更選択機
構の解決策は以下の特徴を有する。 ・Xサーバは、MAC上位移行操作中の低レベル・プロ
セスへの通信にダミー・ウィンドウIDを使用する。 ・すべての機密レベル変更操作について、選択が転送さ
れる前にXサーバは、転送の続行を許可する前にユーザ
確認を要求するポップアップを表示するよう選択マネー
ジャに指示する事象を選択マネージャに送信する。この
選択機構は、カット・アンド・ペースト用の構成可能な
機密レベル変更選択操作をサポートする(MAC上位移
行はすべてのユーザが対象、MAC下位移行は特権ユー
ザが対象、情報ラベルの上位移行と下位移行はすべての
ユーザが対象)。Xウィンドウの選択は仲介された双方
向通信を伴うので、それが「抜け道」として使用される
のを防止するため(また、CMWのカット・アンド・ペ
ースト要件を満たすため)に、安全な選択機構によって
以下の特徴も提供される。 1.選択マネージャは、選択項目所有者の安全保護属性
を継承する特殊なウィンドウとプロパティを作成し、こ
れを選択項目所有者が使用できるようにする。このた
め、選択の要求側によって指定されたウィンドウIDと
プロパティIDは選択項目所有者から隠される。これ
は、MAC上位移行時に要求側が低レベル・プロセスと
通信するときに選択の所有者が要求側に関する安全保護
関連情報を入手できないように行われる。 1a.選択項目所有者は、通常のX機構により選択マネ
ージャに選択項目データを転送する。選択マネージャ
は、データの所有者になり、転送が完了するまでそれに
対する排他的権利を有する。 2.選択項目所有者から選択項目要求側に転送されるデ
ータをログイン・ユーザが確認できるようにするユーザ
・インタフェースが提供される。これにより、ユーザは
いつでも増分転送を取り消すこともでき、機密レベル変
更操作の場合にはデータ転送の続行が許可される前にユ
ーザ確認が要求される。 2a.ユーザが転送を確認すると、選択マネージャはデ
ータを要求側に転送する。もう1つのコピーを作成する
必要性を回避するため、「所定の場所で」転送を行うた
めに新しいプロトコル要求が使用される。 3.特権の使用を伴う操作(MAC下位移行など)を試
みる場合、ならびにデータ転送、再分類、特権の使用を
伴う安全保護違反を犯した場合には、適切な監査事象が
生成される。 4.適切に構成されている場合、選択機構は、要求側の
ウィンドウおよびプロパティに関する任意アクセス制御
(DAC)書込みアクセス制限を無効にするための十分
な特権を有する。本発明による機構では、すべてのアプ
リケーションが機密レベル変更選択バッファに書込みア
クセスすることができる。選択バッファに書き込まれる
データは、選択より高レベルにすることができ、それに
より、情報ラベルが浮動し、LabelChange事象という新
しい事象が生成される。選択項目に書き込むと、書込み
プロセスがその選択バッファの「所有者」になり、選択
バッファが所有者のラベルを継承する。特定の選択項目
の保有者が誰であるかの確認を別のアプリケーションが
必要とする場合は、情報を要求したアプリケーションよ
り選択項目の現在の保有者の方が機密レベルが高けれ
ば、何も返されない。これにより、選択項目所有権パタ
ーンによって情報の抜け道が間接的に防止される。選択
バッファ内のデータをコピーできるかどうかは、保有者
のアクセス特権によって決まる。情報を要求したアプリ
ケーションに特権が与えられていない限り、そのアプリ
ケーションより選択バッファの方が機密レベルが高けれ
ば、アプリケーションは選択項目内のデータを読み取る
ことができない。
【0009】上記およびその他の目的、態様、利点は、
添付図面を参照しながら本発明の好ましい実施例に関す
る以下の詳細な説明を読めば、よりよく理解できるであ
ろう。
【0010】
【発明の実施の形態】Xウィンドウ・システムの環境で
本発明の好ましい実施例について説明するが、本発明は
他のウィンドウ環境でも実施可能であることに留意され
たい。すべての機密レベル変更カット・アンド・ペース
ト操作に対し、Xサーバと、選択マネージャという本発
明による新しいクライアントを使用する。
【0011】ここで添付図面、特に図1を参照すると、
同図には本発明の好ましい実施例による設計済みCMW
用の安全なXウィンドウ・システムの構造が示され、新
しい承認クライアントの1つとして選択マネージャ10
0が示されている。より具体的には、通常、Xウィンド
ウ・システムは、ローカル・エリア・ネットワーク(L
AN)などの通信媒体103により接続された複数のX
サーバ101および102を含む。それぞれのXサーバ
には、ユーザがウィンドウ・システムと対話するための
ディスプレイ104、キーボード105、マウス106
が備えられている。通信媒体103には、本発明による
新しい承認クライアント・プログラムである選択マネー
ジャ100を含む、様々なアプリケーションおよび管理
プログラムが接続されている。他の管理プログラムとし
ては、監査マネージャ107、プロセス・マネージャ1
08、MWMウィンドウ・マネージャ109、XDMデ
ィスプレイ・マネージャ110などがある。Xアプリケ
ーション111の他に、擬似端末装置として機能し、接
続されたAIXterm端末アダプタ114を介して通信媒体
103と通信するマルチレベル・アプリケーション11
2と通常アプリケーション113が存在する場合もあ
る。Xサーバ101または102は、ユーザが使用して
いるものと同じワークステーション上で動作しなければ
ならない。クライアントはこのマシン上にある場合もあ
れば、他のマシン上にある場合もある。(通常、ウィン
ドウ・マネージャ109や選択マネージャ100のよう
な「特殊」クライアントは、同一マシン上でローカルに
動作するが、これは必須ではない。)
【0012】選択項目はXウィンドウの資源である。選
択項目により、アプリケーションは任意のタイプのデー
タを交換することができ、交換するデータのタイプを折
衝することができる。クライアント間通信規則マニュア
ル(ICCCM)によれば、選択はクライアント間のカ
ット・アンド・ペースト操作に適した方法である。した
がって、本発明による解決策では、機密レベル変更カッ
ト・アンド・ペースト操作のベースとして選択資源を使
用する。この手法はX選択資源の現在の使い方と整合す
るものである。というのは、この手法ではX選択資源自
体を変更するわけではないが、安全保護ラベルの機密レ
ベル変更のためのデータ転送に現在使用されているステ
ップ間に追加ステップを挿入するからである。このた
め、この解決策は、既存の選択資源の当然の拡張として
機能する。
【0013】X選択資源の目的は、複数のアプリケーシ
ョンが情報を共用できるようにすることである。各選択
項目は、一度に1人の「所有者」すなわちトークンの保
有者しか持てないため、その所有者はカットまたはペー
スト操作を実行することができる。1つのアプリケーシ
ョンがカットを行い、別のアプリケーションがペースト
を行う場合は、両方のアプリケーションが先在するX選
択要求事象により互いにやりとりする。ワークステーシ
ョンにとってグローバルな選択項目の数はいくつでもよ
い。それぞれの選択項目は、アトムによって命名され、
クライアントによって所有され、ウィンドウに接続され
る。
【0014】機密レベル変更選択機構の目的は、適切な
MACラベルおよび情報ラベルをペースとするデータに
関連づけることである。これは、ポップアップの使用に
より対話式に、または選択マネージャの構成資源ファイ
ルの構成オプションの設定により非対話式に行うことが
できる。いずれの場合でも、データのラベル変更に関す
る標準方針は変わらない。すなわち、MACラベルの上
位移行はすべての特権ユーザと通常ユーザに許可され、
MACラベルの下位移行は特権ユーザだけに許可され、
情報ラベルの上位移行または下位移行はすべての特権ユ
ーザと通常ユーザに許可される。(実際に使用する方針
もシステム管理者によって構成可能である。)ユーザが
すべてのラベル変更を認識するように、CMWの要件の
1つである対話式で機密レベル変更を行う方法について
以下に説明する。
【0015】図2は、非増分カット・アンド・ペースト
を示している。これは、データ転送が1回だけ行われる
こと、すなわち、すべてのデータが同時に転送されるこ
とを意味する。図2のアスタリスク*は、選択マネージ
ャがXSendEventを使用してこの事象を送信し、他のすべ
ての事象はXサーバによって送信されることを意味す
る。増分転送では、所与の時点でデータの一部分だけが
転送され、1回の転送ごとに所与の検査を行わなければ
ならない。まず図2を参照して非増分ケースについて説
明し、次に図3を参照して増分カット・アンド・ペース
ト操作について説明する。ただし、図2および図3にX
サーバが示されていなくても、このプロセスにはXサー
バがかかわる(Xサーバによって送信される事象のう
ち、後ろにアスタリスクが付いていない事象のすべて)
ことに留意されたい。また、構成可能なオプションがす
べて設定されているものとして説明を進めることにも留
意されたい。たとえば、システム管理者がそのオプショ
ンを禁止した場合には、以下に説明するポップアップ・
メニューが表示されない場合がある。
【0016】図2は、単純な(非増分)選択に関する選
択要求を要求するための修正済みプロトコル内の選択項
目要求側と選択項目所有者との間のプロトコルを示して
いる。第1のステップでは、要求側がXConvertSelectio
nプロトコル要求を出し、それをXサーバがSelectionRe
questLabelプロトコル要求に変換し、SelectionRequest
Label事象として選択マネージャに転送する。選択マネ
ージャは、図のステップ2に示すようにMACダイアロ
グとDACダイアログを表示する。ステップ3では、選
択マネージャが専用のウィンドウ上でプロパティを作成
し、選択項目の所有者は後でそのウィンドウ上でその選
択項目をポストすることができる。次に選択マネージャ
はステップ4でSelectionRequestを生成し、これを最初
に意図した受信側に送信する。これは標準のSelectionR
equest事象なので、この環境で機能するように受信側の
コードを変更する必要はない。
【0017】選択マネージャは、この事象でそれ自体の
プロパティを示す。この事象に応答して、選択項目所有
者がステップ5で選択マネージャのプロパティで選択項
目データをポストし、ステップ6で選択マネージャに対
してSelectionNotify事象を出す。次に選択マネージャ
は、ステップ7で選択項目所有者から選択項目要求側に
渡されるデータをユーザが検査できるようにする。これ
により、ユーザは、未修正の通過の要求を許可するか、
要求を取り消すか、または転送中のデータを下位移行で
きるようになる。要求を取り消すと、ステップ8で監査
事象を生成することができる。この場合、選択マネージ
ャは続行する前に監査レコードが書き出されるのを待
つ。これは、ダイアログのステップ9に示されている。
ステップ10では、選択マネージャが新しいXTransferP
roperty呼出しを使用して、それ自体のウィンドウ/プ
ロパティから選択項目要求側のウィンドウ/プロパティ
に選択項目データを転送する。次に選択マネージャはス
テップ11でSelectionNotify呼出しを出し、その結
果、元のXConvertSelection呼出しに指定されたプロパ
ティでその選択項目が使用可能かどうかが要求側に通知
される。ステップ12では、要求側がそのデータを読み
取り、次にステップ13でXPropertyNotify呼出しを出
し、その結果、選択マネージャに事象が送信される。選
択マネージャはステップ14でそれ自体のデータ構造を
終結し、ステップ15でプロパティ通知を所有者に転送
する。したがって、所有者は、この時点で必要とするす
べての終結処置を実行することができる。これで、図2
に示すハンドシェークにかかわるすべてのステップの説
明を完了する。
【0018】図3は、増分選択項目が転送されていると
きに行われるハンドシェーク・プロトコルを示してい
る。増分選択項目は、1つの選択項目としてではなく、
複数の部分に分けて転送することに意味があるほど、大
きいものである。このプロトコルは、要求側がまずそれ
自体のウィンドウでダミー・プロパティを出すことから
始まる。要求側はXConvertSelectionプロトコル要求を
出し、それをXサーバがSelectionRequestLabelプロト
コル要求に変換し、SelectionRequestLabel事象として
選択マネージャに転送する。ステップ2では、非増分ケ
ースのように選択マネージャがMACダイアログとDA
Cダイアログを表示する。ステップ3では、選択マネー
ジャは、選択項目の所有者が後でその選択項目をポスト
することができる専用のウィンドウ上でプロパティを作
成し、MACダイアログとDACダイアログを表示す
る。次に選択マネージャは、ステップ4で選択項目所有
者に要求を転送する。ステップ5では、選択項目所有者
(これが増分選択項目であることを認識している所有
者)が選択マネージャのウィンドウ上でそのプロパティ
をポストし、次にステップ6で、これが増分(INC
R)選択項目であることを選択マネージャに通知するSe
lectionNotifyを出す。したがって、選択マネージャ
は、そのデータが複数の部分に分かれて到着する(可能
性がある)ことを認識する。次に選択マネージャは、ス
テップ7で選択項目所有者から選択項目要求側に増分式
に渡されるデータをユーザが検査できるようにする。要
求を取り消すと、ステップ8で監査事象を生成すること
ができる。ステップ9では、選択マネージャが新しいXT
ransferProperty呼出しを使用して、それ自体のウィン
ドウ/プロパティから選択項目要求側のウィンドウ/プ
ロパティに選択項目データを転送する。次に選択マネー
ジャは、ステップ10でSelectionNotify(INCR)
呼出しを出す。したがって、要求側は、そのデータが複
数の部分に分かれて到着する可能性があることを認識す
る。実際のデータ転送は、ステップ11〜14で一連の
ChangePropertyメッセージとPropertyNotifyメッセージ
を使って行われる。選択マネージャは、データのレベル
を検査して変更し、いつでも選択項目を取り消すことが
できる機会をユーザに与える。選択マネージャは、1回
の転送分としてそれぞれの部分を転送する。唯一の違い
は、要求側が個別のXconvertselection要求を送信する
のではなく、要求側が転送されたデータを読み取って削
除することによって、その後の転送が通知される点であ
る。
【0019】このプロトコルの最後のステップは、ステ
ップ13に示すように、プロパティ所有者が選択マネー
ジャのプロパティで長さがゼロのプロパティ(ダミー)
をポストすることである。これにより、転送が完了した
ことが通知され、それに応答して選択マネージャがステ
ップ14でこの情報を選択項目要求側に転送する。これ
で選択項目要求側は転送が完了したことと、ステップ1
5〜17の単一転送ケースのようにハウスキーピング・
プロシージャを認識することになる。
【0020】このプロセスについては、図4の流れ図に
示す。データ転送を行うためには、データ所有者は選択
資源所有者にならなければならない。選択アトムは公用
資源なので、どのクライアントも選択項目所有権を確認
することができる。クライアントがこのデータの受取り
を必要とする場合、そのクライアントはデータの所有者
にXConvertSelection要求を送る。このXconvertselecti
on要求を受け取ると、Xサーバは、要求を行ったクライ
アントがその宛先として指定している要求側のウィンド
ウとプロパティに対して正しいアクセス権を持っている
ことを確認する。正しいアクセス権を持っている場合に
は、Xサーバは、SelectionRequestLabel事象という新
しい事象としてこのSelectionRequest事象を選択マネー
ジャに転送する。この事象は、選択項目所有者のMA
C、ユーザID(UID)、グループID(GID)
と、要求側のウィンドウおよびプロパティに関するMA
CラベルおよびDAC属性とを含んでいる。この事象を
受け取る際の選択マネージャの挙動は構成可能である
(すなわち、システム管理者の資源ファイル内の使用に
依存する)が、デフォルト挙動では、同じMACレベル
の要求がMACアクセス検査に合格する(そして監査を
受けない)。
【0021】特に図4を参照すると、まず判断ブロック
401では、要求側のMAC(Rmac)が所有者のM
AC(Omac)より大きいか、等しいか、小さいかを
判定するためにテストが行われる。要求側が所有者とは
異なるMACレベルにある場合、選択マネージャは、判
断ブロック402でそのユーが特権下位移行者であるか
どうかを確認し、判断ブロック403で上位移行が許可
されているかどうかを確認する。いずれの場合にも、選
択マネージャはまず、ユーザ・ログイン時にディスプレ
イ・マネージャ(xdm)によってルート・ウィンドウ
・プロパティとしてポストされたユーザおよびグループ
・リストを入手する。次に、下位移行特権の有無を検査
するために、選択マネージャは、それ自体を承認プロセ
スとして指定し、下位移行特権の有無を検査すること
と、パラメータとしてユーザID(UID)およびグル
ープID(GID)とを指定して、AIXのtcl(承
認プロセス制御リスト)機能呼出し(他のオペレーティ
ング・システムの場合は、同様の機能を持つシステム呼
出し)を行う。(AIXはIBMの商標であり、UNI
Xオペレーティング・システムのIBM版である。)
【0022】判断ブロック402でユーザが特権下位移
行者であるかどうかを判定するテストを行うケースを考
慮すると、ユーザが特権下位移行者ではないと判定され
た場合、その結果、機能ブロック404に示すように、
要求失敗が発生する。すると、図5に示すポップアップ
が表示され、機能ブロック405で要求側に失敗事象が
送られ、システムへの復帰が行われる前に機能ブロック
406で選択マネージャが監査事象を生成する。これに
対して、ユーザが特権下位移行者である場合は、図6に
示すポップアップが表示され、ユーザに下位移行確認を
要求する。判断ブロック407で判定されたように、ユ
ーザがポップアップから「取消し」を選択した場合は、
図5に示すポップアップが表示され、機能ブロック40
5で要求側に失敗事象が送られ、システムへの復帰が行
われる前に機能ブロック406で選択マネージャが監査
事象を生成する。ユーザが図6に示すポップアップから
「OK」を選択した場合は、機能ブロック408で監査
事象が生成される。というのは、下位移行はユーザのた
めの許可の用途の1つであるからである。
【0023】判断ブロック403で上位移行が許可され
ているかどうかを判定するテストを行うケースを考慮す
ると、上位移行が許可されていないと判定された場合、
その結果、図6に示すポップアップが表示される。これ
は、MAC上位移行警告である。ユーザが「取消し」を
選択した場合は、図5に示すポップアップが表示され、
機能ブロック409で要求側に失敗事象が送られ、シス
テムへの復帰が行われる前に機能ブロック410で選択
マネージャが監査事象を生成する。これに対して、ユー
ザが図6に示すポップアップで「OK」を選択したか、
判断ブロック401で判定されたように要求側ウィンド
ウMACと所有者プロセスMACが等しい場合には、判
断ブロック411で書込みアクセスが要求されたかどう
かを判定するテストが行われる。書込みアクセスが要求
されていない場合は、図7に示すポップアップが表示さ
れ、転送を続行すべきかどうか示すようユーザに要求す
る。判断ブロック412で判定されたように、ユーザが
図7のポップアップで「取消し」を選択した場合は、図
8に示すポップアップが表示される。次に機能ブロック
405で要求側に失敗事象が送られ、システムへの復帰
が行われる前に機能ブロック406で選択マネージャが
監査事象を生成する。ユーザが図7に示すポップアップ
で「OK」を選択したか、判断ブロック411で判定さ
れたように書込みアクセスが要求された場合には、機能
ブロック413で所有者がプロパティを書き込む。機能
ブロック414では、さらにデータが修正されるのを防
止するため、選択マネージャがプロパティの所有権を自
分自身に変更する。次に機能ブロック415では、図9
に示すポップアップが表示され、要求されたデータに関
するラベル情報を提供するよう要求側に要求する。
【0024】この時点で、これが増分(INCR)転送
であるかを判定するテストが判断ブロック416で行わ
れる。増分転送である場合には、次に、これが増分転送
の最初の部分であるかどうかを判定するテストが判断ブ
ロック417で行われる。最初の部分である場合には、
図10に示すポップアップが表示され、1回のデータ転
送ごとに情報ラベルを求めるプロンプトが必要かどうか
を示すよう、要求側に要求する。図10のポップアップ
から要求側が何を選択しても、図3に関連して記載した
プロトコルに従って、機能ブロック418で最初にヘッ
ダが要求側に転送され、機能ブロック419で選択項目
データの残りの部分が所有者から増分式に獲得され、プ
ロセスはループをたどって機能ブロック414に戻る。
毎回情報ラベルを要求することを要求側が選択した場合
には、1回のデータ転送ごとに図11に示すポップアッ
プが表示され、要求側に情報ラベルを要求する。増分転
送ではないか、増分転送の最初の部分以降ではない場合
には、図12に示すウィンドウが表示され、図2および
図3に関連して記載したプロトコルに従って、機能ブロ
ック419でシャドー・ウィンドウから要求側ウィンド
ウにプロパティが転送される。
【0025】簡単に要約すると、下位移行または上位移
行カット・アンド・ペースト操作の許可がユーザに与え
られていない場合、選択マネージャは、図5に示す警報
ボックスを表示し、拒否を示す監査事象を作成し、プロ
パティなしを指定したSelectionNotify事象を要求側に
戻し、選択プロセスを終了する。MAC検査が成功した
場合は、選択マネージャはDACアクセス検査を実行す
る。要求側ウィンドウ/プロパティが所有者に書込みア
クセスを許可していない場合は、図7に示すDACダイ
アログ・ポップアップにより、そのユーザが要求側のウ
ィンドウまたはプロパティへの書込みアクセスを所有者
プロセスに許諾する必要があるかどうかの質問が行われ
る。ユーザが肯定の応答を行うと、これは、ウィンドウ
/プロパティへの要求側の書込みアクセスを所有者に与
える効果を持ち、特権の使用に関する監査事象(ただ
し、選択マネージャはDAC免除者である)が生成され
る。ユーザはMAC問題が一切発生しないときにカット
・アンド・ペースト操作の実行が許可されるので、これ
は、アクセス制御リスト(ACL)とは無関係にペース
ト操作をサポートするすべてのウィンドウについて許可
される。システムがDACを迂回するように構成されて
いない場合は、図8に示す警告が表示され、選択が失敗
に終わり、監査事象が生成される。上記のMAC検査と
DAC検査が成功すると、選択マネージャは、カット・
アンド・ペースト操作に使用する「シャドー」ウィンド
ウと「シャドー」プロパティを作成する。この新しいウ
ィンドウとプロパティには、所有者のMACレベルな
ど、選択項目所有者の安全保護属性が与えられる。これ
により、選択項目所有者は選択項目データを安全に書き
出せるようになる。(選択マネージャには特権が与えら
れているので、このウィンドウとプロパティにいつでも
アクセスすることができる。)この「シャドー」ウィン
ドウIDと「シャドー」プロパティIDは、選択項目所
有者に送られる後続のすべての事象の際に、要求側のウ
ィンドウIDとプロパティIDの代わりに使用される。
このため、要求側のウィンドウIDとプロパティIDが
所有者から隠され、所有者は別のMACレベルにあると
思われるウィンドウおよびプロパティのIDを確認でき
なくなる。その場合、選択マネージャは、データ所有者
に送るSelectionRequest事象を作成する際に要求側のI
Dの代わりにこれらのIDを挿入する。また、選択マネ
ージャは、要求側のウィンドウ上でPropertyNotify事象
の送信請求も行うので、データ所有者へのこれらの事象
の送信を仲裁し、「シャドー」ウィンドウIDと「シャ
ドー」プロパティIDを挿入することができる。
【0026】所有者がSelectionRequest事象を受け取る
と、データ所有者は、XchangeProperty呼出しを使用す
ることにより、「シャドー」プロパティ上にデータをポ
ストする。次に選択項目所有者は、「シャドー」ウィン
ドウIDと「シャドー」プロパティIDとを使用して、
そのデータがプロパティにポストされたことを要求側に
示すSelectionNotify事象を要求側に送信する。このSel
ectionNotify事象はXサーバによって仲裁され、Xサー
バはそれに代わって新たに定義されたSelectionLabel事
象を選択マネージャに送る。その事象は、要求側クライ
アントおよび要求側のウィンドウの情報ラベルと、所有
者クライアントの情報ラベルとを含む。(これは、選択
マネージャによる追加照会の必要性をなくすために行わ
れる。)SelectionLabel事象を受け取ると、選択マネー
ジャはまず、そのデータの所有権を自分自身に変更す
る。これにより、選択マネージャによる偶発的または作
為的なデータの変更が防止される。特に、これにより、
黙認している選択項目所有者がユーザ承認のために無害
のデータを提示し、承認後(ただし、データが実際に要
求側に転送される前)に機密データを密かに挿入するこ
とが防止される。選択マネージャは、選択マネージャの
システム管理資源ファイルで選択された構成オプション
に応じて、選択項目データの情報ラベルを宛先のウィン
ドウの情報ラベルあるいは入力情報ラベルまたは要求側
クライアントの情報ラベルのいずれかと比較する。情報
ラベルを要求するよう構成されている場合、選択マネー
ジャは、図10に示すダイアログ・ボックスを表示し、
そのデータの情報ラベルをユーザに要求する。
【0027】上記のように、このダイアログ・ボックス
により、ユーザは選択項目のラベル情報を希望通りに変
更することができる。OKを選択した場合は、その選択
項目のラベルが変更され(必要な場合)、監査事象が作
成される。取消しを選択した場合は、(ICCCM通り
に)選択項目が削除され、プロパティなしを指定したSe
lectionNotify事象が要求側に送られる。取得オプショ
ンは、対応する表示ウィンドウ・ラベルを選択項目ラベ
ル(さらに編集される可能性がある)にコピーする。ユ
ーザが無効なラベルを入力すると、エラー・ポップアッ
プのメッセージ域に"Invalid label please re-enter"
というメッセージが表示され、監査事象が生成され、ユ
ーザはラベルを再入力する機会を得る。このメッセージ
は、そのデータについて入力された情報ラベルが要求側
のプロパティのMACレベルより高い場合にも表示され
る(この場合にも監査事象が生成される)。ユーザは、
そのデータに関する情報ラベルを選択する前にデータを
表示する機会も与えられる。(選択マネージャは、テキ
スト、ビットマップ、ピクセルマップ、整数という「標
準」形式をサポートしている。他のタイプのサポート
は、タイプ固有のハンドラを組み込むことによって追加
することができる。未知のデータ・タイプはいずれも1
6進ダンプとして表示される。)データを表示する場
合、選択マネージャは、プロパティから「シャドー」ウ
ィンドウにデータを移し、それを図12に示すウィンド
ウに表示する。
【0028】情報ラベル変更サブウィンドウをクリック
すると、ユーザは、データを表示している間に対話式に
選択項目データにラベルを付けることできる。ユーザに
対して情報ラベルが一切要求されない場合(すなわち、
情報ラベルの要求を禁止するようにシステム管理者が資
源ファイルでそのオプションを構成してある場合)に
は、情報ラベルが異なっていても(すなわち、選択項目
データのラベルがデフォルトで選択されても)選択が続
行するが、この違いを示す監査事象が生成される。
【0029】監査マネージャは、その初期設定プロセス
を完了した後、監査マネージャが監査事象を受け入れら
れる状態になっていることを選択マネージャ、Xサー
バ、その他の特権クライアントに伝えるルート・ウィン
ドウ・プロパティをポストする。選択マネージャは、こ
のルート・ウィンドウ・プロパティの有無を検査した
後、新たに定義したAuditNotify事象を使用して監査マ
ネージャに監査情報を送信する。このAuditNotify事象
は、事象が生成された理由(たとえば、特権の使用/誤
用、データのラベル変更など)を示すものである。ま
た、この事象は、「シャドー」ウィンドウIDと「シャ
ドー」プロパティIDならびにソース・ウィンドウと宛
先ウィンドウのウィンドウIDとプロパティIDも含ん
でいる。前述の図2および図3のステップ8に示すよう
に通常のカット・アンド・ペースト・プロセス(すなわ
ち、違反なし、特権の使用なし)の一部として選択マネ
ージャによってAuditNotify事象が送られる場合は、監
査データをポストする必要がない。カット・アンド・ペ
ーストがMACラベルの下位移行を伴っていた場合(す
なわち、ユーザが下位移行者特権を有していた場合)
は、CMW要件により、選択項目データも監査レコード
に含まれていなければならない。したがって、選択マネ
ージャは「シャドー」ウィンドウIDと「シャドー」プ
ロパティIDを監査事象に含める。監査マネージャはこ
れらを使用して、データのコピーを入手し、それを監査
証跡に入れる。(データが多すぎて1つの監査レコード
で処理できない場合は、元のレコードに次のレコードへ
のリンクを含める。)次に、選択マネージャは、監査マ
ネージャがAuditNotifyタイプを指定したClientMessage
事象を送り返して、監査レコードの作成とその監査証跡
バッファへの接続を完了したことを選択マネージャに示
すまで待つ。
【0030】監査マネージャからClientMessage事象を
受け取った後、選択マネージャは、新たに定義したXTra
nsferPropertyというXlibの呼出しを呼び出して、
「シャドー」プロパティから要求側のウィンドウに関連
するプロパティにデータ・ポインタを移動する。その結
果、このプロパティは要求側からアクセス可能になる。
XTransferProperty呼出しが失敗すると、選択マネージ
ャは、なしというマークを付けたSelectionNotify事象
を作成し、これを要求側に送信する。XTransferPropert
y呼出しからエラーが一切返されない場合は、選択マネ
ージャは、要求側のウィンドウIDとプロパティIDと
を含むSelectionNotify事象を作成し、これを要求側に
送信する。ICCCM要件により、要求側はそのプロパ
ティからデータを読み取って、プロパティを削除し、そ
の結果、PropertyNotify事象が送信される。PropertyNo
tify事象を受け取ると、選択マネージャは「シャドー」
ウィンドウと「シャドー」プロパティを削除する。所有
者が「シャドー」ウィンドウ上でPropertyNotify事象を
送信請求している場合、所有者は、この事象を受け取る
と、選択操作が完了したことを認識する。
【0031】増分カット・アンド・ペーストは、所有者
が「シャドー」ウィンドウ上にデータをポストする時点
まで、上記の非増分カット・アンド・ペーストと同じよ
うに進行する。所有者がデータの増分送信を必要とする
場合は、所有者は、SelectionNotify事象にINCRタ
イプと転送のサイズを含める。次にXサーバはこれをSe
lectionLabel事象に含める。上記の図9に示すように選
択マネージャが第1のセグメントの情報ラベルを要求し
た後、ユーザは、図10に示すポップアップを使用して
増分転送のオプションを選択するよう要求される。
【0032】ユーザは、それぞれの転送ごとに情報ラベ
ル・ダイアログ・ボックス(図11)を表示させるか、
それ以上の情報ラベル・ポップアップは表示させないか
を選択することができる。要求側にSelectionNotify事
象を送信する場合、選択マネージャはタイプINCRと
選択項目のデータの長さを含める。必要であれば、すべ
てのデータが送信されるまで増分転送ごとに監査事象と
情報ラベル・ポップアップを生成されて、増分転送が進
行する。所有者がデータ転送を実行すると、長さゼロを
指定した「シャドー」プロパティに関するPropertyNoti
fy事象が送信される(定義により、データを一切含まな
いオブジェクトにはシステム・ローという情報ラベルが
付いているので、転送されたプロパティの長さがゼロの
場合、選択マネージャは情報ラベル・ダイアログ・ボッ
クスを一切表示しない)。要求側のプロパティに関して
長さゼロを指定したPropertyNotify事象を受け取ると、
選択マネージャは、データの最後の部分が要求側によっ
て削除されたことを認識する。次に選択マネージャは
「シャドー」プロパティと「シャドー」ウィンドウを削
除する。所有者は、所有者がこの事象を送信請求してい
ると想定した、「シャドー」プロパティに関して長さゼ
ロのPropertyNotify事象を受け取る。これで増分転送が
完了する。
【0033】要求側がXConvertSelectionプロシージャ
のターゲットとして複数をリストする場合、要求側は、
複数のXConvertSelection要求を送信しなければならな
いわけではなく、一度に複数のプロパティに選択項目を
転送するよう所有者に要求している。これは、要求側と
所有者が同じMACレベルにある場合のみ許可されるの
で、Xサーバが複数の要求について偽IDを生成するこ
とはない。上記のものとの唯一の変化は、ペースとする
データについて新しい情報ラベルを要求するときに、デ
ータが転送されるすべてのプロパティをリストし、その
うちの1つを強調表示したボックスをウィンドウ・マネ
ージャが表示する点である。要求側がボタンを押すと、
要求側がそのデータ用の新しい情報レベルを入力できる
ように、強調表示したプロパティについて図11に示す
ダイアログ・ボックスが表示される。これは、そのプロ
パティに関するすべてのデータのラベルが変更されるま
で続行される。ただし、複数の要求はすべての同じMA
Cレベルにあるプロパティについてのみ機能し、それぞ
れのプロパティについてラベルを変更すると監査事象が
生成されることに留意されたい。
【0034】1つの好ましい実施例に関して本発明を説
明してきたが、当業者であれば、特許請求の範囲の精神
および範囲内で修正を加えた本発明が実施可能であるこ
とを理解できるであろう。
【0035】まとめとして、本発明の構成に関して以下
の事項を開示する。
【0036】(1)安全なウィンドウ・システム用の機
密レベル変更選択機構において、前記ウィンドウ・シス
テム上の個別のウィンドウで動作し、それぞれがそのウ
ィンドウ内にデータを表示する、複数のクライアント・
プログラムと、あるクライアント・プログラム・ウィン
ドウから別のクライアント・プログラム・ウィンドウに
データを転送するためのカット・アンド・ペースト操作
用の選択マネージャというクライアントとを含み、前記
選択マネージャがコンパートメント化モード・ワークス
テーション(CMW)要件を満たし、状態の変化をアプ
リケーションに通知するためにアプリケーションに事象
を送信し、前記選択マネージャが転送中のデータの所有
権およびその他の安全保護プロパティを操作して、制御
式検査可能データ転送の実行を可能にすることを特徴と
する、機密レベル変更選択機構。 (2)必須アクセス管理(MAC)上位移行操作中の低
レベル・プロセスへの通信時に、前記ウィンドウ・シス
テムがダミーのウィンドウIDを使用することを特徴と
する、上記(1)に記載の機密レベル変更選択機構。 (3)すべての機密レベル変更操作について、選択項目
が転送される前に前記ウィンドウ・システムが前記選択
マネージャに事象を送信し、その結果、転送続行が許可
される前にユーザ確認を要求するポップアップを選択マ
ネージャが表示することを特徴とする、上記(1)に記
載の機密レベル変更選択機構。 (4)安全なウィンドウ・システム内で安全保護属性を
有するデータを安全に転送する方法において、データへ
のアクセスに関する事前定義安全保護レベルを有する要
求側からデータ転送に関する要求をウィンドウ・システ
ムが受け取るステップと、要求側によって指定されたウ
ィンドウIDとプロパティIDが選択側所有者から隠さ
れて、要求側が必須アクセス管理(MAC)上位移行時
に低レベル・プロセスと通信するときに選択項目の所有
者が要求側に関する安全保護関連情報を入手できないよ
うにするために、特殊なウィンドウが選択項目所有者か
らアクセス可能になる、前記ウィンドウ・システム上で
動作する選択マネージャというクライアント・プログラ
ムが、選択項目所有者の安全保護属性を継承する特殊な
ウィンドウとプロパティを作成するステップとを含むこ
とを特徴とする、安全なデータ転送方法。 (5)前記選択項目所有者が前記選択マネージャに選択
項目データを転送するステップであって、転送が完了す
るまで前記選択マネージャがデータの所有者になり、そ
れに対する排他的権利を有するステップと、前記選択項
目所有者から選択項目要求側に転送されるデータをログ
イン・ユーザが検査できるようにし、機密レベル変更操
作について、データ転送の続行が許可される前にユーザ
確認を要求するユーザ・インタフェースを提供するステ
ップとをさらに含むことを特徴とする、上記(4)に記
載の安全なデータ転送方法。 (6)MAC下位移行の使用にかかわる操作を試みた場
合およびデータ転送および再分類にかかわる安全保護違
反を犯した場合に監査事象を生成するステップをさらに
含むことを特徴とする、上記(5)に記載の安全なデー
タ転送方法。 (7)要求側のウィンドウとプロパティに対する任意ア
クセス制御(DAC)書込みアクセス制限を指定変更す
るために十分な特権を有する選択機構を提供するステッ
プをさらに含むことを特徴とする、上記(6)に記載の
安全なデータ転送方法。 (8)選択項目要求側と選択項目所有者との間で安全な
ウィンドウ・システム内で安全保護属性を有するデータ
を安全に転送する方法において、前記選択項目要求側が
ウィンドウ・システムを動作させる選択マネージャとい
うクライアントに転送される要求を出すステップと、前
記選択マネージャが必須アクセス管理(MAC)ダイア
ログと任意アクセス制御(DAC)ダイアログを表示す
るステップと、後で選択項目の所有者が選択項目をポス
トすることができる専用のウィンドウ上で前記選択マネ
ージャがプロパティを作成し、選択項目要求を生成し、
最初に意図した受信側として前記選択項目所有者に前記
選択項目要求を送信するステップと、前記選択項目要求
に応答して、前記選択項目所有者が前記選択マネージャ
のプロパティ上で選択項目データをポストし、前記選択
マネージャに選択通知事象を出すステップと、ユーザが
未修正通過の要求を許可するか、要求を取り消すか、ま
たは転送中のデータを下位移行できるように、前記選択
項目所有者から前記選択項目要求側に渡されるデータを
ユーザが検査できるようにするステップと、ユーザが要
求を取り消した場合に監査事象を生成するステップと、
前記選択マネージャがそれ自体のウィンドウ/プロパテ
ィから前記選択項目要求側のウィンドウ/プロパティに
選択項目データを転送し、そのプロパティ上の前記選択
項目の可用性に関する通知を要求側に出すステップと、
前記選択項目要求側がデータを読み取り、前記選択マネ
ージャに通知を出すステップと、前記選択マネージャが
データ転送の完了を所有者に通知するステップとを含む
ことを特徴とする、安全なデータ転送方法。 (9)前記選択マネージャによる前記転送ステップが増
分式に実行され、それぞれの転送ごとに個別にラベルを
付けるかどうかを指定するようユーザに要求するステッ
プをさらに含むことを特徴とする、上記(8)に記載の
安全なデータ転送方法。
【図面の簡単な説明】
【図1】本発明の好ましい実施例によるXウィンドウC
MWアーキテクチャを示すブロック図である。
【図2】監査を伴う非増分カット・アンド・ペーストの
プロセスを示すブロック図である。
【図3】監査を伴う増分カット・アンド・ペーストのプ
ロセスを示すブロック図である。
【図4】本発明により実施されるデータ転送プロセスの
論理を示す流れ図である。
【図5】コンピュータ画面上に表示されるポップアップ
MAC拒否警報ボックスの模写図である。
【図6】上位移行/下位移行の確認のためにコンピュー
タ画面上に表示されるポップアップ・ダイアログ・ボッ
クスの模写図である。
【図7】コンピュータ画面上に表示されるポップアップ
DACアクセス・チェック・ボックスの模写図である。
【図8】コンピュータ画面上に表示されるポップアップ
DAC拒否警報ボックスの模写図である。
【図9】コンピュータ画面上に表示されるポップアップ
・ラベル・ダイアログ・ボックスの模写図である。
【図10】コンピュータ画面上に表示されるポップアッ
プ増分転送メニューの模写図である。
【図11】コンピュータ画面上に表示されるポップアッ
プ選択項目データ・ラベル・ダイアログ・ボックスの模
写図である。
【図12】コンピュータ画面上に選択項目データを表示
するためのウィンドウ外観の模写図である。
【符号の説明】
101 Xサーバ 102 Xサーバ 103 通信媒体 104 ディスプレイ 105 キーボード 106 マウス
───────────────────────────────────────────────────── フロントページの続き (72)発明者 ムドゥムバイ・ランガナタン アメリカ合衆国20905 メリーランド州シ ルバー・スプリング スタートヴァント・ ストリート 14405 (72)発明者 ジャネット・アン・クジーニ アメリカ合衆国21793 メリーランド州ウ ォーカーズヴィル グレープ・クリーク・ ロード 8998

Claims (9)

    【特許請求の範囲】
  1. 【請求項1】安全なウィンドウ・システム用の機密レベ
    ル変更選択機構において、 前記ウィンドウ・システム上の個別のウィンドウで動作
    し、それぞれがそのウィンドウ内にデータを表示する、
    複数のクライアント・プログラムと、 あるクライアント・プログラム・ウィンドウから別のク
    ライアント・プログラム・ウィンドウにデータを転送す
    るためのカット・アンド・ペースト操作用の選択マネー
    ジャというクライアントとを含み、前記選択マネージャ
    がコンパートメント化モード・ワークステーション(C
    MW)要件を満たし、状態の変化をアプリケーションに
    通知するためにアプリケーションに事象を送信し、前記
    選択マネージャが転送中のデータの所有権およびその他
    の安全保護プロパティを操作して、制御式検査可能デー
    タ転送の実行を可能にすることを特徴とする、機密レベ
    ル変更選択機構。
  2. 【請求項2】必須アクセス管理(MAC)上位移行操作
    中の低レベル・プロセスへの通信時に、前記ウィンドウ
    ・システムがダミーのウィンドウIDを使用することを
    特徴とする、請求項1に記載の機密レベル変更選択機
    構。
  3. 【請求項3】すべての機密レベル変更操作について、選
    択項目が転送される前に前記ウィンドウ・システムが前
    記選択マネージャに事象を送信し、その結果、転送続行
    が許可される前にユーザ確認を要求するポップアップを
    選択マネージャが表示することを特徴とする、請求項1
    に記載の機密レベル変更選択機構。
  4. 【請求項4】安全なウィンドウ・システム内で安全保護
    属性を有するデータを安全に転送する方法において、 データへのアクセスに関する事前定義安全保護レベルを
    有する要求側からデータ転送に関する要求をウィンドウ
    ・システムが受け取るステップと、 要求側によって指定されたウィンドウIDとプロパティ
    IDが選択側所有者から隠されて、要求側が必須アクセ
    ス管理(MAC)上位移行時に低レベル・プロセスと通
    信するときに選択項目の所有者が要求側に関する安全保
    護関連情報を入手できないようにするために、特殊なウ
    ィンドウが選択項目所有者からアクセス可能になる、前
    記ウィンドウ・システム上で動作する選択マネージャと
    いうクライアント・プログラムが、選択項目所有者の安
    全保護属性を継承する特殊なウィンドウとプロパティを
    作成するステップとを含むことを特徴とする、安全なデ
    ータ転送方法。
  5. 【請求項5】前記選択項目所有者が前記選択マネージャ
    に選択項目データを転送するステップであって、転送が
    完了するまで前記選択マネージャがデータの所有者にな
    り、それに対する排他的権利を有するステップと、 前記選択項目所有者から選択項目要求側に転送されるデ
    ータをログイン・ユーザが検査できるようにし、機密レ
    ベル変更操作について、データ転送の続行が許可される
    前にユーザ確認を要求するユーザ・インタフェースを提
    供するステップとをさらに含むことを特徴とする、請求
    項4に記載の安全なデータ転送方法。
  6. 【請求項6】MAC下位移行の使用にかかわる操作を試
    みた場合およびデータ転送および再分類にかかわる安全
    保護違反を犯した場合に監査事象を生成するステップを
    さらに含むことを特徴とする、請求項5に記載の安全な
    データ転送方法。
  7. 【請求項7】要求側のウィンドウとプロパティに対する
    任意アクセス制御(DAC)書込みアクセス制限を指定
    変更するために十分な特権を有する選択機構を提供する
    ステップをさらに含むことを特徴とする、請求項6に記
    載の安全なデータ転送方法。
  8. 【請求項8】選択項目要求側と選択項目所有者との間で
    安全なウィンドウ・システム内で安全保護属性を有する
    データを安全に転送する方法において、 前記選択項目要求側がウィンドウ・システムを動作させ
    る選択マネージャというクライアントに転送される要求
    を出すステップと、 前記選択マネージャが必須アクセス管理(MAC)ダイ
    アログと任意アクセス制御(DAC)ダイアログを表示
    するステップと、 後で選択項目の所有者が選択項目をポストすることがで
    きる専用のウィンドウ上で前記選択マネージャがプロパ
    ティを作成し、選択項目要求を生成し、最初に意図した
    受信側として前記選択項目所有者に前記選択項目要求を
    送信するステップと、 前記選択項目要求に応答して、前記選択項目所有者が前
    記選択マネージャのプロパティ上で選択項目データをポ
    ストし、前記選択マネージャに選択通知事象を出すステ
    ップと、 ユーザが未修正通過の要求を許可するか、要求を取り消
    すか、または転送中のデータを下位移行できるように、
    前記選択項目所有者から前記選択項目要求側に渡される
    データをユーザが検査できるようにするステップと、 ユーザが要求を取り消した場合に監査事象を生成するス
    テップと、 前記選択マネージャがそれ自体のウィンドウ/プロパテ
    ィから前記選択項目要求側のウィンドウ/プロパティに
    選択項目データを転送し、そのプロパティ上の前記選択
    項目の可用性に関する通知を要求側に出すステップと、 前記選択項目要求側がデータを読み取り、前記選択マネ
    ージャに通知を出すステップと、 前記選択マネージャがデータ転送の完了を所有者に通知
    するステップとを含むことを特徴とする、安全なデータ
    転送方法。
  9. 【請求項9】前記選択マネージャによる前記転送ステッ
    プが増分式に実行され、それぞれの転送ごとに個別にラ
    ベルを付けるかどうかを指定するようユーザに要求する
    ステップをさらに含むことを特徴とする、請求項8に記
    載の安全なデータ転送方法。
JP7261144A 1994-10-11 1995-10-09 安全なデータ転送を行うための方法および機密レベル変更選択機構 Pending JPH08255132A (ja)

Applications Claiming Priority (2)

Application Number Priority Date Filing Date Title
US08/321,644 US5590266A (en) 1994-10-11 1994-10-11 Integrity mechanism for data transfer in a windowing system
US321644 1994-10-11

Publications (1)

Publication Number Publication Date
JPH08255132A true JPH08255132A (ja) 1996-10-01

Family

ID=23251407

Family Applications (1)

Application Number Title Priority Date Filing Date
JP7261144A Pending JPH08255132A (ja) 1994-10-11 1995-10-09 安全なデータ転送を行うための方法および機密レベル変更選択機構

Country Status (2)

Country Link
US (1) US5590266A (ja)
JP (1) JPH08255132A (ja)

Cited By (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10229517A (ja) * 1997-02-13 1998-08-25 Meidensha Corp 遠隔撮影制御システム
JP2005275812A (ja) * 2004-03-24 2005-10-06 Canon Inc 情報処理装置及びその制御方法、並びに制御プログラム及び記憶媒体
JP2008522279A (ja) * 2004-11-25 2008-06-26 ソフトキャンプ カンパニー リミテッド アクセスが制御される仮想ディスク間のオンラインによるデータのセキュリティ伝送システムおよび、これを通じたセキュリティ伝送方法
JPWO2006103752A1 (ja) * 2005-03-30 2008-09-04 富士通株式会社 文書のコピーを制御する方法
JP2008250412A (ja) * 2007-03-29 2008-10-16 Ntt Data Corp 電子文書管理装置、コンピュータプログラム
US7673138B2 (en) 2004-10-28 2010-03-02 Nec Corporation Method, program, and computer system for switching folder to be accessed based on confidential mode
US8656161B2 (en) 2004-11-30 2014-02-18 Nec Corporation Information sharing system, information sharing method, group management program and compartment management program
JP5576563B2 (ja) * 2011-06-23 2014-08-20 インターナショナル・ビジネス・マシーンズ・コーポレーション 秘密情報を管理する情報処理装置、方法およびプログラム

Families Citing this family (53)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US5577209A (en) * 1991-07-11 1996-11-19 Itt Corporation Apparatus and method for providing multi-level security for communication among computers and terminals on a network
US5889957A (en) * 1995-06-07 1999-03-30 Tandem Computers Incorporated Method and apparatus for context sensitive pathsend
US5903269A (en) * 1995-10-10 1999-05-11 Anysoft Ltd. Apparatus for and method of acquiring processing and routing data contained in a GUI window
US6222542B1 (en) 1995-10-10 2001-04-24 Anysoft, Ltd Apparatus for and method of acquiring, processing and routing data contained in a GUI window
US5889518A (en) * 1995-10-10 1999-03-30 Anysoft Ltd. Apparatus for and method of acquiring, processing and routing data contained in a GUI window
US6807534B1 (en) * 1995-10-13 2004-10-19 Trustees Of Dartmouth College System and method for managing copyrighted electronic media
US5794044A (en) * 1995-12-08 1998-08-11 Sun Microsystems, Inc. System and method for runtime optimization of private variable function calls in a secure interpreter
US5995103A (en) * 1996-05-10 1999-11-30 Apple Computer, Inc. Window grouping mechanism for creating, manipulating and displaying windows and window groups on a display screen of a computer system
US6993582B2 (en) * 1996-07-30 2006-01-31 Micron Technology Inc. Mixed enclave operation in a computer network
US6272538B1 (en) * 1996-07-30 2001-08-07 Micron Technology, Inc. Method and system for establishing a security perimeter in computer networks
US6260148B1 (en) 1997-04-04 2001-07-10 Microsoft Corporation Methods and systems for message forwarding and property notifications using electronic subscriptions
US5943478A (en) * 1997-04-04 1999-08-24 Flash Communications, Inc. System for immediate popup messaging across the internet
US6212636B1 (en) 1997-05-01 2001-04-03 Itt Manufacturing Enterprises Method for establishing trust in a computer network via association
JP2000047857A (ja) * 1998-07-27 2000-02-18 Yamatake Corp イベント駆動型ファンクションブロックのプログラミング方法とプログラム記録媒体
WO2000014627A1 (fr) * 1998-09-04 2000-03-16 Fujitsu Limited Gestion du passage a une version superieure, et systeme informatique a cet effet
AU745031B2 (en) * 1998-10-20 2002-03-07 Canon Kabushiki Kaisha Apparatus and method for preventing disclosure of protected information
AUPP660298A0 (en) * 1998-10-20 1998-11-12 Canon Kabushiki Kaisha Apparatus and method for preventing disclosure of protected information
US6587124B1 (en) * 1999-03-22 2003-07-01 Virtual Access Ireland Ltd. Apparatus and method for generating configuration data for a device to access a service
ATE433245T1 (de) * 2000-03-10 2009-06-15 Herbert Street Technologies Lt Datenübertragungs- un verwaltungsverfahren
JP3488172B2 (ja) * 2000-03-27 2004-01-19 インターナショナル・ビジネス・マシーンズ・コーポレーション 情報提供方法およびシステム
AUPQ654400A0 (en) 2000-03-28 2000-04-20 Optimiser Pty Ltd Authorising use of a computer program
US7016898B1 (en) 2000-04-14 2006-03-21 International Business Machines Corporation Extension of browser web page content labels and password checking to communications protocols
US6907524B1 (en) 2000-10-13 2005-06-14 Phoenix Technologies Ltd. Extensible firmware interface virus scan
US7512407B2 (en) * 2001-03-26 2009-03-31 Tencent (Bvi) Limited Instant messaging system and method
US7594230B2 (en) 2001-06-11 2009-09-22 Microsoft Corporation Web server architecture
US7430738B1 (en) 2001-06-11 2008-09-30 Microsoft Corporation Methods and arrangements for routing server requests to worker processes based on URL
US7490137B2 (en) 2002-03-22 2009-02-10 Microsoft Corporation Vector-based sending of web content
US7159025B2 (en) * 2002-03-22 2007-01-02 Microsoft Corporation System for selectively caching content data in a server based on gathered information and type of memory in the server
US7103914B2 (en) * 2002-06-17 2006-09-05 Bae Systems Information Technology Llc Trusted computer system
JP4299249B2 (ja) * 2003-01-20 2009-07-22 富士通株式会社 複製防止装置、複製防止方法およびその方法をコンピュータに実行させるプログラム
US8689125B2 (en) * 2003-10-23 2014-04-01 Google Inc. System and method for automatic information compatibility detection and pasting intervention
US7475390B2 (en) * 2004-01-12 2009-01-06 International Business Machines Corporation System and method for automatic natural language translation during information transfer
US7496230B2 (en) * 2003-06-05 2009-02-24 International Business Machines Corporation System and method for automatic natural language translation of embedded text regions in images during information transfer
US8122361B2 (en) * 2003-10-23 2012-02-21 Microsoft Corporation Providing a graphical user interface in a system with a high-assurance execution environment
US7464412B2 (en) * 2003-10-24 2008-12-09 Microsoft Corporation Providing secure input to a system with a high-assurance execution environment
US7478336B2 (en) * 2003-11-06 2009-01-13 International Business Machines Corporation Intermediate viewer for transferring information elements via a transfer buffer to a plurality of sets of destinations
US7340685B2 (en) 2004-01-12 2008-03-04 International Business Machines Corporation Automatic reference note generator
US7346853B2 (en) * 2004-01-12 2008-03-18 International Business Machines Corporation Online learning monitor
US8719591B1 (en) 2004-05-14 2014-05-06 Radix Holdings, Llc Secure data entry
US7418709B2 (en) * 2004-08-31 2008-08-26 Microsoft Corporation URL namespace to support multiple-protocol processing within worker processes
US7418719B2 (en) * 2004-08-31 2008-08-26 Microsoft Corporation Method and system to support a unified process model for handling messages sent in different protocols
US7418712B2 (en) * 2004-08-31 2008-08-26 Microsoft Corporation Method and system to support multiple-protocol processing within worker processes
US8572755B2 (en) * 2005-03-29 2013-10-29 Microsoft Corporation Trust verification in copy and move operations
US9087218B1 (en) 2005-08-11 2015-07-21 Aaron T. Emigh Trusted path
US7882565B2 (en) * 2005-09-02 2011-02-01 Microsoft Corporation Controlled access to objects or areas in an electronic document
US8938473B2 (en) * 2006-02-23 2015-01-20 Oracle America, Inc. Secure windowing for labeled containers
US20080022353A1 (en) * 2006-03-06 2008-01-24 Tresys Technology, Llc Framework to simplify security engineering
JP5349778B2 (ja) * 2007-09-20 2013-11-20 キヤノン株式会社 情報処理装置、情報処理方法、ならびにそのプログラムおよび記憶媒体
JP5153464B2 (ja) * 2008-06-06 2013-02-27 キヤノン株式会社 文書管理システム、文書管理方法、及びコンピュータプログラム
KR102125923B1 (ko) * 2013-10-24 2020-06-24 삼성전자 주식회사 전자 장치의 운영체제 업그레이드 방법 및 장치
EP3196798A1 (en) * 2016-01-19 2017-07-26 Secude AG Context-sensitive copy and paste block
US10523590B2 (en) 2016-10-28 2019-12-31 2236008 Ontario Inc. Channel-based mandatory access controls
US10521599B2 (en) * 2017-02-28 2019-12-31 2236008 Ontario Inc. Label transition for mandatory access controls

Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH03127246A (ja) * 1989-10-13 1991-05-30 Internatl Business Mach Corp <Ibm> 情報転送方法

Family Cites Families (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US4903218A (en) * 1987-08-13 1990-02-20 Digital Equipment Corporation Console emulation for a graphics workstation
US5075884A (en) * 1987-12-23 1991-12-24 Loral Aerospace Corp. Multilevel secure workstation
FI85745C (fi) * 1989-04-13 1993-02-23 Peikkorakenne Oy Brandsaeker prefabricerad staolbalk
US5138712A (en) * 1989-10-02 1992-08-11 Sun Microsystems, Inc. Apparatus and method for licensing software on a network of computers
US5073933A (en) * 1989-12-01 1991-12-17 Sun Microsystems, Inc. X window security system
JPH03268048A (ja) * 1990-03-19 1991-11-28 Toshiba Corp 窓口端末装置の情報表示方式
US5204961A (en) * 1990-06-25 1993-04-20 Digital Equipment Corporation Computer network operating with multilevel hierarchical security with selectable common trust realms and corresponding security protocols
AU8321291A (en) * 1990-07-10 1992-02-04 Athenix Corporation Workgroup controller architecture for multiple display stations to be used with x windows
AU630567B2 (en) * 1990-07-31 1992-10-29 Digital Equipment Corporation System and method for emulating a window management environment having a uniform windowing interface

Patent Citations (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH03127246A (ja) * 1989-10-13 1991-05-30 Internatl Business Mach Corp <Ibm> 情報転送方法

Cited By (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
JPH10229517A (ja) * 1997-02-13 1998-08-25 Meidensha Corp 遠隔撮影制御システム
JP2005275812A (ja) * 2004-03-24 2005-10-06 Canon Inc 情報処理装置及びその制御方法、並びに制御プログラム及び記憶媒体
US7673138B2 (en) 2004-10-28 2010-03-02 Nec Corporation Method, program, and computer system for switching folder to be accessed based on confidential mode
JP2008522279A (ja) * 2004-11-25 2008-06-26 ソフトキャンプ カンパニー リミテッド アクセスが制御される仮想ディスク間のオンラインによるデータのセキュリティ伝送システムおよび、これを通じたセキュリティ伝送方法
US8656161B2 (en) 2004-11-30 2014-02-18 Nec Corporation Information sharing system, information sharing method, group management program and compartment management program
JPWO2006103752A1 (ja) * 2005-03-30 2008-09-04 富士通株式会社 文書のコピーを制御する方法
JP4516598B2 (ja) * 2005-03-30 2010-08-04 富士通株式会社 文書のコピーを制御する方法
JP2008250412A (ja) * 2007-03-29 2008-10-16 Ntt Data Corp 電子文書管理装置、コンピュータプログラム
JP5576563B2 (ja) * 2011-06-23 2014-08-20 インターナショナル・ビジネス・マシーンズ・コーポレーション 秘密情報を管理する情報処理装置、方法およびプログラム
US9053333B2 (en) 2011-06-23 2015-06-09 International Business Machines Corporation Managing confidential information

Also Published As

Publication number Publication date
US5590266A (en) 1996-12-31

Similar Documents

Publication Publication Date Title
JPH08255132A (ja) 安全なデータ転送を行うための方法および機密レベル変更選択機構
EP0752652B1 (en) System and method for implementing a hierarchical policy for computer system administration
US5784583A (en) Intuitive technique for building graphical menus
US9710569B2 (en) Service desk data transfer interface
US5870611A (en) Install plan object for network installation of application programs
US6772031B1 (en) Method of, system for, and computer program product for providing a job monitor
US6295607B1 (en) System and method for security control in a data processing system
US5761669A (en) Controlling access to objects on multiple operating systems
US5675782A (en) Controlling access to objects on multiple operating systems
US5838918A (en) Distributing system configuration information from a manager machine to subscribed endpoint machines in a distrubuted computing environment
US7380267B2 (en) Policy setting support tool
US7761306B2 (en) icFoundation web site development software and icFoundation biztalk server 2000 integration
JP3072387B2 (ja) 分散型情報処理環境におけるデータベース用管理インターフェース
BG64962B1 (bg) Метод и система за селективно дефиниран достъп напотребител до компютърна система
JPH0664547B2 (ja) 対話型情報取扱いシステムにおける電子文書管理方法
US7003482B1 (en) Middleware for business transactions
EP1187017A2 (en) File system locking
US6766457B1 (en) Method for controlling access to a multiplicity of objects using a customizable object-oriented access control hook
US12019421B2 (en) Robot access control and governance for robotic process automation
JP2004158007A (ja) コンピュータアクセス権限
AU739850B2 (en) Method and system for facilitating navigation among software applications and improved screen viewing
EP0774725A2 (en) Method and apparatus for distributing conditional work flow processes among a plurality of users
US6968363B1 (en) File propagation tool
CN114080576A (zh) 用于机器人流程自动化的机器人访问控制和管理
EP1076287B1 (en) Method and apparatus for performing method lookup in the presence of modularity constructs to support transitive method override