オペレーティングシステムのセキュリティ管理方式及びそのセキュリティ管理方法及びそのプログラム
【課題】外部からの不正なシステム妨害を防護する、プロセス全体のセキュリティを増強する。
【解決手段】セキュリティ権限を、システムコール発行元アドレス域対応にプロセス管理情報部22に設定し、プロセス部11がシステムコールを発行するとき、発行元アドレスによってプロセス管理情報部22を参照し、アドレス対応のセキュリティ権限と、対象リソースに付されたセキュリティ属性と、システムサービスの種別に基づくセキュリティポリシーによって、システムサービスの可否を定める。
【解決手段】セキュリティ権限を、システムコール発行元アドレス域対応にプロセス管理情報部22に設定し、プロセス部11がシステムコールを発行するとき、発行元アドレスによってプロセス管理情報部22を参照し、アドレス対応のセキュリティ権限と、対象リソースに付されたセキュリティ属性と、システムサービスの種別に基づくセキュリティポリシーによって、システムサービスの可否を定める。
【発明の詳細な説明】
【技術分野】
【0001】
この発明は、オペレーティングシステムが提供するセキュリティ管理に関し、特に、ユーザプログラムを実行するプロセス部が発行するシステムコールに対して、発行元アドレス域対応に設定するセキュリティ権限と、システムコールが要求するシステムサービス種別と、システムサービス対象リソースに付されたセキュリティ属性と、によって、システムサービスのセキュリティを管理するオペレーティングシステムのセキュリティ管理方式及びそのセキュリティ管理方法及びそのプログラムに関する。
【背景技術】
【0002】
ユーザプログラムを実行するプロセスのセキュリティ権限をLinuxのセキュリティ機能を例に説明する。プロセスの実行環境を例示した図4を説明すると、実行プロセスを指すプロセス部51は、オペレーティングシステム2によって起動されるとき、プロセス管理情報部62にプロセス部51に対するプロセス管理情報をロードする。プロセス管理情報は、プロセスの呼び出し元アドレスを含むコンテキスト情報部620と、プロセス部51のテキストセグメント511,ライブラリセグメント512,データセグメント513に対応するアドレス域を指すアドレス情報を保持するアドレス情報部621乃至アドレス情報部62nと、プロセス部51のセキュリティ権限を規定するプロセス固有セキュリティ情報部6201と、を含んでいる。
【0003】
このプロセス固有セキュリティ情報部6201は、プロセス部51に対して、1個のセキュリティ権限が対応するものである。プロセス部51のテキストセグメント511,ライブラリセグメント512,データセグメント513は、一つ以上の機能モジュールから構成されているにもかかわらず、一つのセキュリティ権限で全体を規定するため、システムコールの発行元あるいはサービス要求先のリソースによっては、セキュリティ権限に問題が生じることがある。例えば、ライブラリセグメント512の認証モジュールにのみパスワードファイルへのアクセスを許可するセキュリティ権限を与えて、他のテキストセグメント511やデータセグメント513には該アクセスを不許可にして、セキュリティ性を高めるといったことができない。
【0004】
不正なアクセスから資源を保護するセキュリティ管理に関する従来例で、管理対象のファイルやユーザプログラムの資源へのアクセスを監視して、コンピュータ状況が、該アクセスの許可条件に合致するとき、該アクセスを許可する。このコンピュータ状況は、認証された利用者によって、起動あるいは停止させられるタスク状態を意味する。このタスクはアドレス空間に相当し、このアドレス空間に一つのセキュリティ権限を与える上述の例に同じで、複数のセキュリティ権限を与えることができない問題がある(特許文献1)。
【0005】
更に、他の例に、ユーザIDのユーザ識別情報を元に、アドレス空間を作成し、ユーザタスクのためにセキュリティ環境を作成し、このアドレス空間でユーザタスクを実行する。このアドレス空間は、プロセスのアドレス空間を指しており、一つのプロセスに一つのセキュリティ権限を与えるものである。したがって、複数のセキュリティ権限を与えるものではない(特許文献2)。
【0006】
【特許文献1】特開2004−295504号公報(カラム0020乃至0023)
【特許文献2】特開平10−161933号公報(カラム0022乃至0029)
【発明の開示】
【発明が解決しようとする課題】
【0007】
従来のオペレーティングシステムにおいて、プロセスあるいはユーザタスクに割り当てられる権限は一つだけであった。このため、プロセスにセキュリティ権限を割り当てる際には、プロセスの寿命の中でアクセスする必要のあるリソースの全てに対するアクセスを許可する権限を割り当てるか、又はプロセス側の明示的な操作によってプロセス全体のセキュリティ権限を切り替える必要があった。
【0008】
前者の方法を取った場合、プロセスの処理の中でごく一部しか必要でない処理のための権限を常に持ち続けることになり、セキュリティ上の脆弱性が存在した場合には、オペレーティングシステムに対して危険なシステムサービス要求を行う可能性がある。例えば、パスワードファイルをアクセスする権限が必要なのは、プロセスの中でもユーザの認証を行う部分だけであり、その他の部分には必要がない。
【0009】
後者の方法を用いて、必要に応じて複数のセキュリティ権限を使い分けるためには、プロセス側の明示的な操作によってプロセス全体のセキュリティ権限を切り替える必要があり、前述の方法と同様の問題点を抱えることになる。
【0010】
この発明の目的は、上記のアイデアを拡張して、一つのプロセスに対して、複数の任意数のセキュリティ権限を対応させ、システムサービスを呼び出したプロセスのアドレスに関連付けられたセキュリティ権限を、当該システムサービス要求におけるプロセスのセキュリティ権限として使用し、該セキュリティ権限と、システムサービス対象の各リソースに付されたセキュリティ属性と、システムコールの要求システムサービスの種別と、に基づくセキュリティポリシーによってセキュリティ管理することにある。
【課題を解決するための手段】
【0011】
そのため、この発明の、オペレーティングシステムのセキュリティ管理方式は、プロセスがオペレーティングシステムにシステムコールを発行してシステムサービスを要求するとき、前記プロセスが固有に持つセキュリティ権限と、前記オペレーティングシステムが管理するリソースに付されたセキュリティ属性と、によって、前記システムサービスの対象リソースへのアクセスを許可する、あるいは不許可するオペレーティングシステムにおいて、オペレーティングシステムがプロセスを起動するとき、前記プロセスのシステムコール発行元のアドレス域対応に設定するセキュリティ権限をプロセス管理情報に登録し、前記プロセスがシステムコールを発行してシステムサービスを要求するとき、前記オペレーティングシステムが前記アドレス域対応のセキュリティ権限と、前記システムサービス対象のリソースに付されたセキュリティ属性と、要求するシステムサービスの種別と、で規定されるセキュリティポリシーによって、前記リソースへのアクセスを許可する、あるいは不許可することを特徴とする。
【0012】
更に、前記オペレーティングシステムのセキュリティ管理方式は、テキストセグメントとライブラリセグメントとデータセグメントとを含むユーザプログラムを実行するプロセス部と、前記プロセス部のユーザプログラムの実行を制御するオペレーティングシステム部と、前記プロセス部がシステムコールを発行して要求するシステムサービスの実行対象であるリソースと、を有し、前記オペレーティングシステム部は、前記プロセス部が発行するシステムコールを受け付けるエントリ部と、前記プロセス部が起動されたとき、前記プロセス部の呼び出し元アドレスを含むコンテキスト情報と、システムコール発行元アドレス域対応に設定されるセキュリティ権限と、を含むプロセス管理情報をロードするプロセス管理情報部と、前記プロセス管理情報部を前記システムコール発行元アドレスによって探索し、前記アドレス域対応のセキュリティ権限を入手するセキュリティ情報探索部と、前記システムコールが要求するシステムサービスを前記リソースに対して実行するシステムサービス部と、前記セキュリティ情報探索部が前記プロセス管理情報部から入手するセキュリティ権限と、前記リソースに付されたセキュリティ属性と、前記システムサービスの種別と、によって、前記リソースに対するアクセスを許可する、あるいは不許可するセキュリティポリシーを保持するセキュリティポリシー部と、前記セキュリティポリシーによって、前記システムサービス部が前記リソースにアクセスしてサービスを実行することを許可する、あるいは不許可するセキュリティ管理部と、を備えることを特徴とする。
【0013】
更に、前記オペレーティングシステムのセキュリティ管理方式の前記プロセス管理情報部は、前記プロセス部がオペレーティングシステム部によって起動されるとき、ロードされるプロセス管理情報を保持し、前記プロセス管理情報は、前記プロセス部のユーザプログラムの呼び出し元アドレスを含むコンテキスト情報を登録するコンテキスト情報部と、システムコール発行元アドレス域対応にセキュリティ権限を登録するアドレス対応セキュリティ情報部と、を有し、前記システムコール発行元アドレス域は、前記プロセスのテキストセグメントと、ライブライセグメントと、データセグメントと、がそれぞれに占めるアドレス域を指すことを特徴とする。
【0014】
更に、前記オペレーティングシステムのセキュリティ管理方式の前記セキュリティポリシーは、前記システムコールが要求するシステムサービスの種別と、前記システムコール発行元アドレス域対応のセキュリティ権限と、前記リソース付されるセキュリティ属性と、で記述するリソースへのアクセスを許可する、あるいは不許可するルールであることを特徴とする。
【発明の効果】
【0015】
この発明の効果は、単一プロセスの内部でも機能別/信頼度別に複数のセキュリティ権限を設定し、セキュリティ強度の向上を図ることができる。その理由は、ユーザプログラムを実行するプロセス部に対して付与するセキュリティ権限をシステムコール発行元アドレス域対応に設定し、セキュリティ権限をプロセス全体にでなく、限定した機能モジュールに与えてシステムサービスを実行させることができるからである。
【発明を実施するための最良の形態】
【0016】
この発明を実施するための最良の形態について図面を参照して説明する。オペレーティングシステム1は、ユーザプログラムのプロセス部11と、プロセス部11の実行を制御するオペレーティングシステム部20と、備える。
【0017】
プロセス部11は、手続きのテキストセグメント12と、関数やサブルーチンのライブラリセグメント13と、変数やデータのデータセグメント14と、を含む。
【0018】
オペレーティングシステム部20は、プロセス部11が発行するシステムコールを受け取るエントリー部21と、プロセス部11が起動されたとき、プロセス部11のプロセス管理情報をロードするプロセス管理情報部22と、システムコールに対するシステムサービス対象リソースのセキュリティを管理するセキュリティ管理部23と、システムコールの発行元アドレス域がもつセキュリティ権限をプロセス管理情報部22に照会するセキュリティ情報探索部4と、システムコールが要求するシステムサービスの実行を許可あるいは不許可するルールと対象リソースに付されるセキュリティ属性とを含むセキュリティポリシーを保持するセキュリティポリシー部25と、システムコールが要求するシステムサービスを実行するシステムサービス部26と、システムサービスの実行対象であるファイルやソケットなどを指すリソース271乃至27nと、を含む。
【0019】
プロセス管理情報部22は、プロセス部11で実行するプログラムの呼び出し元アドレスを持つコンテキスト情報部220と、プロセス部11で実行するプログラムが発行するシステムコールの発行元アドレス域対応にセキュリティ権限を規定するアドレス域対応セキュリティ情報部221乃至22nと、を含む。
【0020】
セキュリティポリシー部25は、プロセス部11が起動されるとき、ロードされるセキュリティポリシーを保持し、セキュリティポリシーはシステムコールが要求するシステムサービスの実行を許可するか、あるいは不許可するかのルールと、システムサービス対象リソースに付されるセキュリティ属性と、を含む。
【0021】
オペレーティングシステム部20のセキュリティ管理部23に関連する機能動作を概説すると、プロセス部11のシステムコール発行元のセキュリティ権限をアドレス対応で判定するため、セキュリティ管理部23はセキュリティ情報探索部24に問合せを行う。セキュリティ情報探索部24は、プロセス管理情報管理部22に照会して、プロセス部11のシステムコール発行元アドレスと、それに関連付けられたセキュリティ権限をアドレス域対応セキュリティ情報部221乃至22nから入手して、セキュリティ管理部23に回答する。セキュリティ管理部23は、セキュリティポリシー部25がもつセキュリティポリシー及びリソースに付されたセキュリティ属性を参照して、該セキュリティ権限と、システムコールが要求しているシステムサービスと、該システムサービスの対象リソースに付されたセキュリティ属性と、によって、対象リソースに対するアクセスの可否を判定する。
【0022】
次に、この実施の形態の動作について、実施の形態を示す図1を援用し、フローチャートの図2を参照して説明する。プロセス部11で実行するプログラムは、プログラミングされた処理を進めるため、オペレーティングシステム部20に、システムコールによって、システムサービスを要求し、オペレーティング部20が管理するリソース271乃至27nの一つにアクセスする必要がある。そのため、プロセス部11が起動されるとき(図2のステップ31)、プロセス部11の呼び出し元アドレスを含むプロセス管理情報をオペレーティングシステム部20のプロセス管理情報部22にロードする。プロセス管理情報は、オペレーティングシステム部20からプロセス部11への復帰と呼び出し元アドレスを特定するコンテキスト情報がコンテキスト情報部220に、プロセス部11のユーザプログラムが発行するシステムコールの発行元アドレスがそれのセキュリティ権限と共にアドレス域対応セキュリティ情報部221乃至22nに、それぞれ保持される(ステップ32)。
【0023】
プロセス部11が実行中にシステムコールを発行すると、該システムコールがエントリ部21を経由して、オペレーティングシステム部20に制御を移行する(ステップ33)。オペレーティングシステム部20は、プロセス部11からシステムコールがあるたびに、エントリー部21を通じてシステムコールが要求するシステムサービスの種別と、システムコール発行元アドレスと、システムサービス対象リソースと、をセキュリティ管理部23に渡し、プロセス装置11のシステムコール発行元と、要求サービスと、がセキュリティポリシーに合致しているか否かを照会する。このため、セキュリティ管理部23は、プロセス部11の発行元アドレスを入手し(ステップ34)、セキュリティ情報探索部24を通じて、要求元のセキュリティ権限をアドレス域対応セキュリティ情報部221乃至22nを探索して入手し(ステップ35)、システムサービス対象リソースに付されたセキュリティ属性と、要求システムサービスの種別と、セキュリティ権限と、によって、セキュリティポリシー部25がシステムポリシーによって、システムサービス実行の可否を判定する(ステップ37)。
【0024】
セキュリティ管理部23は、上記の操作で得たセキュリティ権限・セキュリティ属性・システムサービスの種別の組み合わせが、セキュリティポリシー部25が持つセキュリティポリシーに合致するか否かを照会する。プロセス部11のシステムコールの要求システムサービスがセキュリティポリシーに合致する場合(ステップ38のY)、システムサービス部26に制御を移行し、サービス対象リソースへのアクセスが行われる(ステップ40)。セキュリティポリシーに反する場合(ステップ38のN)、システムサービス部26へは制御を移行せずに、要求されたシステムサービスは実行されずにプロセス部11の呼び出し元に戻る。
【0025】
この実施の形態における一実施例を図3によって説明する。初期状態において、プロセス部11はアドレス域に応じてセキュリティ権限Aを持ったテキストセグメント12と、セキュリティ権限Bを持ち、データ・スタックするデータセグメント141と、を持ち、セキュリティポリシー部25には、次のセキュリティポリシー251乃至254が保持されているものとする。
(251)セキュリティ権限Aのテキストセグメントがセキュリティ属性Yのライブラリをロードすることを許可する。
(252)セキュリティ権限Aのテキストセグメントがセキュリティ属性Yのライブラリをライブラリセグメントにロードすると、該ライブラリをロードした要求元アドレス域にはセキュリティ権限Cを割り当てる。
(253)セキュリティ権限Cのライブラリセグメントがセキュリティ属性Xのファイルをアクセスすることを許可する。
(254)その他のシステムコールによるシステムサービス要求は全て拒否する。
【0026】
テキストセグメント12のシステムサービス要求において、パスワードファイルアクセス121はセキュリティ管理部23によって拒否される(ステップ71、ステップ72)。セキュリティポリシー254では、テキストセグメント121はセキュリティ権限Aであるから、セキュリティ属性Xのパスワードファイルをアクセスできない。セキュリティポリシー252によれば、テキストセグメント12のライブライロード122のシステムサービス要求73は、ライブラリがセキュリティ属性Yを持つので、セキュリティポリシー部25によって許可される(ステップ74)。このとき、ロードされたライブライのアドレス域にはセキュリティ権限Cが割り当てられる。
【0027】
テキストセグメント12のライブライロード122を経由したシステムサービス要求73において、認証モジュールライブラリ27iへのアクセスはセキュリティ管理部251,252によって許可される(ステップ75)。セキュリティポリシー251によれば、ライブラリロード122は、セキュリティ権限Aであるから、セキュリティ属性Yを持つ認証モジュール27iにアクセスが許可されて(ステップ75)、システムサービス部26の認証モジュールライブライロード261が実行し(ステップ76)、認証モジュール27iがライブライセグメント13にロードされる(ステップ77)。ライブラリセグメント13はセキュリティ権限Cを持ち、セキュリティ属性Xを有するパスワードファイル27kにアクセスが許可される(ステップ82)。セキュリティポリシ253は、セキュリティ権限Cのライブラリセグメントがセキュリティ属性Xのファイルをアクセスすることを(ステップ80)、許可するからである(ステップ81)。
【0028】
プロセス部11のデータスタック14からのシステムサービス要求では、データセグメント14を発行元とするシステムサービス要求は(ステップ78)、セキュリティ属性Bであるから、システムポリシー254によって、全て拒否される(ステップ79)。
【0029】
以上の実施例の説明によれば、秘匿性の高いパスワードファイル27kに対するアクセスを認証モジュール・ライブラリ27iに限定できるので、プロセス部11全体にパスワードファイル27kへのアクセス権限を与えることがない。また、データセグメント14からのシステムサービス要求を全て拒否することで、バッファ・オーバフローに対する脆弱性に対する攻撃を防御することができる。
【0030】
更に、以上のオペレーティングシステムのセキュリテイ管理方法は、図示しないコンピュータのファイル装置からロードされるプログラムによって、実行されることは明らかである。
【産業上の利用可能性】
【0031】
プロセスを構成するプログラムにおける、個々の機能モジュールのアドレス域に関連付けてセキュリティ権限を与えて、プロセス全体のセキュリティを増強できるので、外部からの不正なシステム妨害を防護する分野に適用する。
【図面の簡単な説明】
【0032】
【図1】この発明の実施の形態を示す図である。
【図2】この実施の形態が実行する動作を示すフローチャートである。
【図3】この実施の形態における実施例を例示する図である。
【図4】従来技術を例示する図である。
【符号の説明】
【0033】
1 オペレーティングシステム
11 プロセス部
12 テキストセグメント
13 ライブラリセグメント
14 データセグメント
20 オペレーティングシステム部
21 エントリ部
22 プロセス管理情報部
23 セキュリティ管理部
24 セキュリティ情報探索部
25 セキュリティポリシー部
26 システムサービス部
220 コンテキスト情報部
221乃至22n アドレス域対応セキュリティ情報部
271乃至27n リソース
【技術分野】
【0001】
この発明は、オペレーティングシステムが提供するセキュリティ管理に関し、特に、ユーザプログラムを実行するプロセス部が発行するシステムコールに対して、発行元アドレス域対応に設定するセキュリティ権限と、システムコールが要求するシステムサービス種別と、システムサービス対象リソースに付されたセキュリティ属性と、によって、システムサービスのセキュリティを管理するオペレーティングシステムのセキュリティ管理方式及びそのセキュリティ管理方法及びそのプログラムに関する。
【背景技術】
【0002】
ユーザプログラムを実行するプロセスのセキュリティ権限をLinuxのセキュリティ機能を例に説明する。プロセスの実行環境を例示した図4を説明すると、実行プロセスを指すプロセス部51は、オペレーティングシステム2によって起動されるとき、プロセス管理情報部62にプロセス部51に対するプロセス管理情報をロードする。プロセス管理情報は、プロセスの呼び出し元アドレスを含むコンテキスト情報部620と、プロセス部51のテキストセグメント511,ライブラリセグメント512,データセグメント513に対応するアドレス域を指すアドレス情報を保持するアドレス情報部621乃至アドレス情報部62nと、プロセス部51のセキュリティ権限を規定するプロセス固有セキュリティ情報部6201と、を含んでいる。
【0003】
このプロセス固有セキュリティ情報部6201は、プロセス部51に対して、1個のセキュリティ権限が対応するものである。プロセス部51のテキストセグメント511,ライブラリセグメント512,データセグメント513は、一つ以上の機能モジュールから構成されているにもかかわらず、一つのセキュリティ権限で全体を規定するため、システムコールの発行元あるいはサービス要求先のリソースによっては、セキュリティ権限に問題が生じることがある。例えば、ライブラリセグメント512の認証モジュールにのみパスワードファイルへのアクセスを許可するセキュリティ権限を与えて、他のテキストセグメント511やデータセグメント513には該アクセスを不許可にして、セキュリティ性を高めるといったことができない。
【0004】
不正なアクセスから資源を保護するセキュリティ管理に関する従来例で、管理対象のファイルやユーザプログラムの資源へのアクセスを監視して、コンピュータ状況が、該アクセスの許可条件に合致するとき、該アクセスを許可する。このコンピュータ状況は、認証された利用者によって、起動あるいは停止させられるタスク状態を意味する。このタスクはアドレス空間に相当し、このアドレス空間に一つのセキュリティ権限を与える上述の例に同じで、複数のセキュリティ権限を与えることができない問題がある(特許文献1)。
【0005】
更に、他の例に、ユーザIDのユーザ識別情報を元に、アドレス空間を作成し、ユーザタスクのためにセキュリティ環境を作成し、このアドレス空間でユーザタスクを実行する。このアドレス空間は、プロセスのアドレス空間を指しており、一つのプロセスに一つのセキュリティ権限を与えるものである。したがって、複数のセキュリティ権限を与えるものではない(特許文献2)。
【0006】
【特許文献1】特開2004−295504号公報(カラム0020乃至0023)
【特許文献2】特開平10−161933号公報(カラム0022乃至0029)
【発明の開示】
【発明が解決しようとする課題】
【0007】
従来のオペレーティングシステムにおいて、プロセスあるいはユーザタスクに割り当てられる権限は一つだけであった。このため、プロセスにセキュリティ権限を割り当てる際には、プロセスの寿命の中でアクセスする必要のあるリソースの全てに対するアクセスを許可する権限を割り当てるか、又はプロセス側の明示的な操作によってプロセス全体のセキュリティ権限を切り替える必要があった。
【0008】
前者の方法を取った場合、プロセスの処理の中でごく一部しか必要でない処理のための権限を常に持ち続けることになり、セキュリティ上の脆弱性が存在した場合には、オペレーティングシステムに対して危険なシステムサービス要求を行う可能性がある。例えば、パスワードファイルをアクセスする権限が必要なのは、プロセスの中でもユーザの認証を行う部分だけであり、その他の部分には必要がない。
【0009】
後者の方法を用いて、必要に応じて複数のセキュリティ権限を使い分けるためには、プロセス側の明示的な操作によってプロセス全体のセキュリティ権限を切り替える必要があり、前述の方法と同様の問題点を抱えることになる。
【0010】
この発明の目的は、上記のアイデアを拡張して、一つのプロセスに対して、複数の任意数のセキュリティ権限を対応させ、システムサービスを呼び出したプロセスのアドレスに関連付けられたセキュリティ権限を、当該システムサービス要求におけるプロセスのセキュリティ権限として使用し、該セキュリティ権限と、システムサービス対象の各リソースに付されたセキュリティ属性と、システムコールの要求システムサービスの種別と、に基づくセキュリティポリシーによってセキュリティ管理することにある。
【課題を解決するための手段】
【0011】
そのため、この発明の、オペレーティングシステムのセキュリティ管理方式は、プロセスがオペレーティングシステムにシステムコールを発行してシステムサービスを要求するとき、前記プロセスが固有に持つセキュリティ権限と、前記オペレーティングシステムが管理するリソースに付されたセキュリティ属性と、によって、前記システムサービスの対象リソースへのアクセスを許可する、あるいは不許可するオペレーティングシステムにおいて、オペレーティングシステムがプロセスを起動するとき、前記プロセスのシステムコール発行元のアドレス域対応に設定するセキュリティ権限をプロセス管理情報に登録し、前記プロセスがシステムコールを発行してシステムサービスを要求するとき、前記オペレーティングシステムが前記アドレス域対応のセキュリティ権限と、前記システムサービス対象のリソースに付されたセキュリティ属性と、要求するシステムサービスの種別と、で規定されるセキュリティポリシーによって、前記リソースへのアクセスを許可する、あるいは不許可することを特徴とする。
【0012】
更に、前記オペレーティングシステムのセキュリティ管理方式は、テキストセグメントとライブラリセグメントとデータセグメントとを含むユーザプログラムを実行するプロセス部と、前記プロセス部のユーザプログラムの実行を制御するオペレーティングシステム部と、前記プロセス部がシステムコールを発行して要求するシステムサービスの実行対象であるリソースと、を有し、前記オペレーティングシステム部は、前記プロセス部が発行するシステムコールを受け付けるエントリ部と、前記プロセス部が起動されたとき、前記プロセス部の呼び出し元アドレスを含むコンテキスト情報と、システムコール発行元アドレス域対応に設定されるセキュリティ権限と、を含むプロセス管理情報をロードするプロセス管理情報部と、前記プロセス管理情報部を前記システムコール発行元アドレスによって探索し、前記アドレス域対応のセキュリティ権限を入手するセキュリティ情報探索部と、前記システムコールが要求するシステムサービスを前記リソースに対して実行するシステムサービス部と、前記セキュリティ情報探索部が前記プロセス管理情報部から入手するセキュリティ権限と、前記リソースに付されたセキュリティ属性と、前記システムサービスの種別と、によって、前記リソースに対するアクセスを許可する、あるいは不許可するセキュリティポリシーを保持するセキュリティポリシー部と、前記セキュリティポリシーによって、前記システムサービス部が前記リソースにアクセスしてサービスを実行することを許可する、あるいは不許可するセキュリティ管理部と、を備えることを特徴とする。
【0013】
更に、前記オペレーティングシステムのセキュリティ管理方式の前記プロセス管理情報部は、前記プロセス部がオペレーティングシステム部によって起動されるとき、ロードされるプロセス管理情報を保持し、前記プロセス管理情報は、前記プロセス部のユーザプログラムの呼び出し元アドレスを含むコンテキスト情報を登録するコンテキスト情報部と、システムコール発行元アドレス域対応にセキュリティ権限を登録するアドレス対応セキュリティ情報部と、を有し、前記システムコール発行元アドレス域は、前記プロセスのテキストセグメントと、ライブライセグメントと、データセグメントと、がそれぞれに占めるアドレス域を指すことを特徴とする。
【0014】
更に、前記オペレーティングシステムのセキュリティ管理方式の前記セキュリティポリシーは、前記システムコールが要求するシステムサービスの種別と、前記システムコール発行元アドレス域対応のセキュリティ権限と、前記リソース付されるセキュリティ属性と、で記述するリソースへのアクセスを許可する、あるいは不許可するルールであることを特徴とする。
【発明の効果】
【0015】
この発明の効果は、単一プロセスの内部でも機能別/信頼度別に複数のセキュリティ権限を設定し、セキュリティ強度の向上を図ることができる。その理由は、ユーザプログラムを実行するプロセス部に対して付与するセキュリティ権限をシステムコール発行元アドレス域対応に設定し、セキュリティ権限をプロセス全体にでなく、限定した機能モジュールに与えてシステムサービスを実行させることができるからである。
【発明を実施するための最良の形態】
【0016】
この発明を実施するための最良の形態について図面を参照して説明する。オペレーティングシステム1は、ユーザプログラムのプロセス部11と、プロセス部11の実行を制御するオペレーティングシステム部20と、備える。
【0017】
プロセス部11は、手続きのテキストセグメント12と、関数やサブルーチンのライブラリセグメント13と、変数やデータのデータセグメント14と、を含む。
【0018】
オペレーティングシステム部20は、プロセス部11が発行するシステムコールを受け取るエントリー部21と、プロセス部11が起動されたとき、プロセス部11のプロセス管理情報をロードするプロセス管理情報部22と、システムコールに対するシステムサービス対象リソースのセキュリティを管理するセキュリティ管理部23と、システムコールの発行元アドレス域がもつセキュリティ権限をプロセス管理情報部22に照会するセキュリティ情報探索部4と、システムコールが要求するシステムサービスの実行を許可あるいは不許可するルールと対象リソースに付されるセキュリティ属性とを含むセキュリティポリシーを保持するセキュリティポリシー部25と、システムコールが要求するシステムサービスを実行するシステムサービス部26と、システムサービスの実行対象であるファイルやソケットなどを指すリソース271乃至27nと、を含む。
【0019】
プロセス管理情報部22は、プロセス部11で実行するプログラムの呼び出し元アドレスを持つコンテキスト情報部220と、プロセス部11で実行するプログラムが発行するシステムコールの発行元アドレス域対応にセキュリティ権限を規定するアドレス域対応セキュリティ情報部221乃至22nと、を含む。
【0020】
セキュリティポリシー部25は、プロセス部11が起動されるとき、ロードされるセキュリティポリシーを保持し、セキュリティポリシーはシステムコールが要求するシステムサービスの実行を許可するか、あるいは不許可するかのルールと、システムサービス対象リソースに付されるセキュリティ属性と、を含む。
【0021】
オペレーティングシステム部20のセキュリティ管理部23に関連する機能動作を概説すると、プロセス部11のシステムコール発行元のセキュリティ権限をアドレス対応で判定するため、セキュリティ管理部23はセキュリティ情報探索部24に問合せを行う。セキュリティ情報探索部24は、プロセス管理情報管理部22に照会して、プロセス部11のシステムコール発行元アドレスと、それに関連付けられたセキュリティ権限をアドレス域対応セキュリティ情報部221乃至22nから入手して、セキュリティ管理部23に回答する。セキュリティ管理部23は、セキュリティポリシー部25がもつセキュリティポリシー及びリソースに付されたセキュリティ属性を参照して、該セキュリティ権限と、システムコールが要求しているシステムサービスと、該システムサービスの対象リソースに付されたセキュリティ属性と、によって、対象リソースに対するアクセスの可否を判定する。
【0022】
次に、この実施の形態の動作について、実施の形態を示す図1を援用し、フローチャートの図2を参照して説明する。プロセス部11で実行するプログラムは、プログラミングされた処理を進めるため、オペレーティングシステム部20に、システムコールによって、システムサービスを要求し、オペレーティング部20が管理するリソース271乃至27nの一つにアクセスする必要がある。そのため、プロセス部11が起動されるとき(図2のステップ31)、プロセス部11の呼び出し元アドレスを含むプロセス管理情報をオペレーティングシステム部20のプロセス管理情報部22にロードする。プロセス管理情報は、オペレーティングシステム部20からプロセス部11への復帰と呼び出し元アドレスを特定するコンテキスト情報がコンテキスト情報部220に、プロセス部11のユーザプログラムが発行するシステムコールの発行元アドレスがそれのセキュリティ権限と共にアドレス域対応セキュリティ情報部221乃至22nに、それぞれ保持される(ステップ32)。
【0023】
プロセス部11が実行中にシステムコールを発行すると、該システムコールがエントリ部21を経由して、オペレーティングシステム部20に制御を移行する(ステップ33)。オペレーティングシステム部20は、プロセス部11からシステムコールがあるたびに、エントリー部21を通じてシステムコールが要求するシステムサービスの種別と、システムコール発行元アドレスと、システムサービス対象リソースと、をセキュリティ管理部23に渡し、プロセス装置11のシステムコール発行元と、要求サービスと、がセキュリティポリシーに合致しているか否かを照会する。このため、セキュリティ管理部23は、プロセス部11の発行元アドレスを入手し(ステップ34)、セキュリティ情報探索部24を通じて、要求元のセキュリティ権限をアドレス域対応セキュリティ情報部221乃至22nを探索して入手し(ステップ35)、システムサービス対象リソースに付されたセキュリティ属性と、要求システムサービスの種別と、セキュリティ権限と、によって、セキュリティポリシー部25がシステムポリシーによって、システムサービス実行の可否を判定する(ステップ37)。
【0024】
セキュリティ管理部23は、上記の操作で得たセキュリティ権限・セキュリティ属性・システムサービスの種別の組み合わせが、セキュリティポリシー部25が持つセキュリティポリシーに合致するか否かを照会する。プロセス部11のシステムコールの要求システムサービスがセキュリティポリシーに合致する場合(ステップ38のY)、システムサービス部26に制御を移行し、サービス対象リソースへのアクセスが行われる(ステップ40)。セキュリティポリシーに反する場合(ステップ38のN)、システムサービス部26へは制御を移行せずに、要求されたシステムサービスは実行されずにプロセス部11の呼び出し元に戻る。
【0025】
この実施の形態における一実施例を図3によって説明する。初期状態において、プロセス部11はアドレス域に応じてセキュリティ権限Aを持ったテキストセグメント12と、セキュリティ権限Bを持ち、データ・スタックするデータセグメント141と、を持ち、セキュリティポリシー部25には、次のセキュリティポリシー251乃至254が保持されているものとする。
(251)セキュリティ権限Aのテキストセグメントがセキュリティ属性Yのライブラリをロードすることを許可する。
(252)セキュリティ権限Aのテキストセグメントがセキュリティ属性Yのライブラリをライブラリセグメントにロードすると、該ライブラリをロードした要求元アドレス域にはセキュリティ権限Cを割り当てる。
(253)セキュリティ権限Cのライブラリセグメントがセキュリティ属性Xのファイルをアクセスすることを許可する。
(254)その他のシステムコールによるシステムサービス要求は全て拒否する。
【0026】
テキストセグメント12のシステムサービス要求において、パスワードファイルアクセス121はセキュリティ管理部23によって拒否される(ステップ71、ステップ72)。セキュリティポリシー254では、テキストセグメント121はセキュリティ権限Aであるから、セキュリティ属性Xのパスワードファイルをアクセスできない。セキュリティポリシー252によれば、テキストセグメント12のライブライロード122のシステムサービス要求73は、ライブラリがセキュリティ属性Yを持つので、セキュリティポリシー部25によって許可される(ステップ74)。このとき、ロードされたライブライのアドレス域にはセキュリティ権限Cが割り当てられる。
【0027】
テキストセグメント12のライブライロード122を経由したシステムサービス要求73において、認証モジュールライブラリ27iへのアクセスはセキュリティ管理部251,252によって許可される(ステップ75)。セキュリティポリシー251によれば、ライブラリロード122は、セキュリティ権限Aであるから、セキュリティ属性Yを持つ認証モジュール27iにアクセスが許可されて(ステップ75)、システムサービス部26の認証モジュールライブライロード261が実行し(ステップ76)、認証モジュール27iがライブライセグメント13にロードされる(ステップ77)。ライブラリセグメント13はセキュリティ権限Cを持ち、セキュリティ属性Xを有するパスワードファイル27kにアクセスが許可される(ステップ82)。セキュリティポリシ253は、セキュリティ権限Cのライブラリセグメントがセキュリティ属性Xのファイルをアクセスすることを(ステップ80)、許可するからである(ステップ81)。
【0028】
プロセス部11のデータスタック14からのシステムサービス要求では、データセグメント14を発行元とするシステムサービス要求は(ステップ78)、セキュリティ属性Bであるから、システムポリシー254によって、全て拒否される(ステップ79)。
【0029】
以上の実施例の説明によれば、秘匿性の高いパスワードファイル27kに対するアクセスを認証モジュール・ライブラリ27iに限定できるので、プロセス部11全体にパスワードファイル27kへのアクセス権限を与えることがない。また、データセグメント14からのシステムサービス要求を全て拒否することで、バッファ・オーバフローに対する脆弱性に対する攻撃を防御することができる。
【0030】
更に、以上のオペレーティングシステムのセキュリテイ管理方法は、図示しないコンピュータのファイル装置からロードされるプログラムによって、実行されることは明らかである。
【産業上の利用可能性】
【0031】
プロセスを構成するプログラムにおける、個々の機能モジュールのアドレス域に関連付けてセキュリティ権限を与えて、プロセス全体のセキュリティを増強できるので、外部からの不正なシステム妨害を防護する分野に適用する。
【図面の簡単な説明】
【0032】
【図1】この発明の実施の形態を示す図である。
【図2】この実施の形態が実行する動作を示すフローチャートである。
【図3】この実施の形態における実施例を例示する図である。
【図4】従来技術を例示する図である。
【符号の説明】
【0033】
1 オペレーティングシステム
11 プロセス部
12 テキストセグメント
13 ライブラリセグメント
14 データセグメント
20 オペレーティングシステム部
21 エントリ部
22 プロセス管理情報部
23 セキュリティ管理部
24 セキュリティ情報探索部
25 セキュリティポリシー部
26 システムサービス部
220 コンテキスト情報部
221乃至22n アドレス域対応セキュリティ情報部
271乃至27n リソース
【特許請求の範囲】
【請求項1】
プロセスがオペレーティングシステムにシステムコールを発行してシステムサービスを要求するとき、前記プロセスが固有に持つセキュリティ権限と、前記オペレーティングシステムが管理するリソースに付されたセキュリティ属性と、によって、前記システムサービスの対象リソースへのアクセスを許可する、あるいは不許可するオペレーティングシステムにおいて、
オペレーティングシステムがプロセスを起動するとき、前記プロセスのシステムコール発行元のアドレス域対応に設定するセキュリティ権限をプロセス管理情報に登録し、前記プロセスがシステムコールを発行してシステムサービスを要求するとき、前記オペレーティングシステムが前記アドレス域対応のセキュリティ権限と、前記システムサービス対象のリソースに付されたセキュリティ属性と、要求するシステムサービスの種別と、で規定されるセキュリティポリシーによって、前記リソースへのアクセスを許可する、あるいは不許可することを特徴とするオペレーティングシステムのセキュリティ管理方式。
【請求項2】
前記オペレーティングシステムのセキュリティ管理方式は、
テキストセグメントとライブラリセグメントとデータセグメントとを含むユーザプログラムを実行するプロセス部と、
前記プロセス部のユーザプログラムの実行を制御するオペレーティングシステム部と、
前記プロセス部がシステムコールを発行して要求するシステムサービスの実行対象であるリソースと、
を有し、
前記オペレーティングシステム部は、
前記プロセス部が発行するシステムコールを受け付けるエントリ部と、
前記プロセス部が起動されたとき、前記プロセス部の呼び出し元アドレスを含むコンテキスト情報と、システムコール発行元アドレス域対応に設定されるセキュリティ権限と、を含むプロセス管理情報をロードするプロセス管理情報部と、
前記プロセス管理情報部を前記システムコール発行元アドレスによって探索し、前記アドレス域対応のセキュリティ権限を入手するセキュリティ情報探索部と、
前記システムコールが要求するシステムサービスを前記リソースに対して実行するシステムサービス部と、
前記セキュリティ情報探索部が前記プロセス管理情報部から入手するセキュリティ権限と、前記リソースに付されたセキュリティ属性と、前記システムサービスの種別と、によって、前記リソースに対するアクセスを許可する、あるいは不許可するセキュリティポリシーを保持するセキュリティポリシー部と、
前記セキュリティポリシーによって、前記システムサービス部が前記リソースにアクセスしてサービスを実行することを許可する、あるいは不許可するセキュリティ管理部と、
を備えることを特徴とする請求項1記載のオペレーティングシステムのセキュリティ管理方式。
【請求項3】
前記プロセス管理情報部は、
前記プロセス部がオペレーティングシステム部によって起動されるとき、ロードされるプロセス管理情報を保持し、
前記プロセス管理情報は、
前記プロセス部のユーザプログラムの呼び出し元アドレスを含むコンテキスト情報を登録するコンテキスト情報部と、
システムコール発行元アドレス域対応にセキュリティ権限を登録するアドレス対応セキュリティ情報部と、を有し、
前記システムコール発行元アドレス域は、
前記プロセスのテキストセグメントと、ライブライセグメントと、データセグメントと、がそれぞれに占めるアドレス域を指すことを特徴とする請求項2記載のオペレーティングシステムのセキュリティ管理方式。
【請求項4】
前記セキュリティポリシーは、
前記システムコールが要求するシステムサービスの種別と、前記システムコール発行元アドレス域対応のセキュリティ権限と、前記リソース付されるセキュリティ属性と、で記述するリソースへのアクセスを許可する、あるいは不許可するルールであることを特徴とする請求項2記載のオペレーティングシステムのセキュリティ管理方式。
【請求項5】
プロセスがオペレーティングシステムにシステムコールを発行してシステムサービスを要求するとき、前記プロセスが固有に持つセキュリティ権限と、前記オペレーティングシステムが管理するリソースに付されたセキュリティ属性と、によって、前記システムサービスの対象リソースへのアクセスを許可する、あるいは不許可するオペレーティングシステムのセキュリティ管理方法において、
オペレーティングシステム部が、テキストセグメントとライブラリセグメントとデータセグメントを含むユーザプログラムを実行するプロセス部を起動するステップと、
前記プロセス部のユーザプログラムの呼び出し元アドレスを含むコンテキスト情報と、システムコール発行元アドレス域対応のセキュリティ権限と、をプロセス管理情報部にロードするステップと、
前記プロセス部のユーザプログラムがシステムコールを発行し、エントリ部を通じて、セキュリティ管理部が前記システムコールを受け取るステップと、
前記セキュリティ管理部が、システムコール発行元アドレスを入手するステップと、
前記セキュリティ管理部が前記システムコール発行元アドレスによってセキュリティ情報探索部を通じ、前記プロセス管理情報部から前記アドレス対応域のセキュリティ権限を入手するステップと、
前記システムコールのシステムサービス対象リソースに付されたセキュリティ属性を入手するステップと、
前記セキュリティ管理部が、セキュリティポリシー部のセキュリティポリシーを参照して、前記システムコールが要求するシステムサービスの種別と、前記セキュリティ権限と、前記セキュリティ属性と、に基づいて、システムサービス部の対象リソースに対するアクセスを許可する、あるいは不許可する判定するステップと、
前記判定が不許可のとき、前記プロセス部に制御を戻すステップと、
前記判定が許可のとき、前記システムサービス部の対象リソースへのアクセスを許可するステップと、
前記システムサービス部が対象リソースに対して、システムサービスを実行するステップと、
を含むことを特徴とするオペレーティングシステムのセキュリティ管理方法。
【請求項6】
コンピュータに、
オペレーティングシステム部が、テキストセグメントとライブラリセグメントとデータセグメントを含むユーザプログラムを実行するプロセス部を起動するステップと、
前記プロセス部のユーザプログラムの呼び出し元アドレスを含むコンテキスト情報と、システムコール発行元アドレス域対応のセキュリティ権限と、をプロセス管理情報部にロードするステップと、
前記プロセス部のユーザプログラムがシステムコールを発行し、エントリ部を通じて、セキュリティ管理部が前記システムコールを受け取るステップと、
前記セキュリティ管理部が、システムコール発行元アドレスを入手するステップと、
前記セキュリティ管理部が前記システムコール発行元アドレスによってセキュリティ情報探索部を通じ、前記プロセス管理情報部から前記アドレス対応域のセキュリティ権限を入手するステップと、
前記システムコールのシステムサービス対象リソースに付されたセキュリティ属性を入手するステップと、
前記セキュリティ管理部が、セキュリティポリシー部のセキュリティポリシーを参照して、前記システムコールが要求するシステムサービスの種別と、前記セキュリティ権限と、前記セキュリティ属性と、に基づいて、システムサービス部の対象リソースに対するアクセスを許可する、あるいは不許可する判定するステップと、
前記判定が不許可のとき、前記プロセス部に制御を戻すステップと、
前記判定が許可のとき、前記システムサービス部の対象リソースへのアクセスを許可するステップと、
前記システムサービス部が対象リソースに対して、システムサービスを実行するステップと、
を実行させるプログラム。
【請求項1】
プロセスがオペレーティングシステムにシステムコールを発行してシステムサービスを要求するとき、前記プロセスが固有に持つセキュリティ権限と、前記オペレーティングシステムが管理するリソースに付されたセキュリティ属性と、によって、前記システムサービスの対象リソースへのアクセスを許可する、あるいは不許可するオペレーティングシステムにおいて、
オペレーティングシステムがプロセスを起動するとき、前記プロセスのシステムコール発行元のアドレス域対応に設定するセキュリティ権限をプロセス管理情報に登録し、前記プロセスがシステムコールを発行してシステムサービスを要求するとき、前記オペレーティングシステムが前記アドレス域対応のセキュリティ権限と、前記システムサービス対象のリソースに付されたセキュリティ属性と、要求するシステムサービスの種別と、で規定されるセキュリティポリシーによって、前記リソースへのアクセスを許可する、あるいは不許可することを特徴とするオペレーティングシステムのセキュリティ管理方式。
【請求項2】
前記オペレーティングシステムのセキュリティ管理方式は、
テキストセグメントとライブラリセグメントとデータセグメントとを含むユーザプログラムを実行するプロセス部と、
前記プロセス部のユーザプログラムの実行を制御するオペレーティングシステム部と、
前記プロセス部がシステムコールを発行して要求するシステムサービスの実行対象であるリソースと、
を有し、
前記オペレーティングシステム部は、
前記プロセス部が発行するシステムコールを受け付けるエントリ部と、
前記プロセス部が起動されたとき、前記プロセス部の呼び出し元アドレスを含むコンテキスト情報と、システムコール発行元アドレス域対応に設定されるセキュリティ権限と、を含むプロセス管理情報をロードするプロセス管理情報部と、
前記プロセス管理情報部を前記システムコール発行元アドレスによって探索し、前記アドレス域対応のセキュリティ権限を入手するセキュリティ情報探索部と、
前記システムコールが要求するシステムサービスを前記リソースに対して実行するシステムサービス部と、
前記セキュリティ情報探索部が前記プロセス管理情報部から入手するセキュリティ権限と、前記リソースに付されたセキュリティ属性と、前記システムサービスの種別と、によって、前記リソースに対するアクセスを許可する、あるいは不許可するセキュリティポリシーを保持するセキュリティポリシー部と、
前記セキュリティポリシーによって、前記システムサービス部が前記リソースにアクセスしてサービスを実行することを許可する、あるいは不許可するセキュリティ管理部と、
を備えることを特徴とする請求項1記載のオペレーティングシステムのセキュリティ管理方式。
【請求項3】
前記プロセス管理情報部は、
前記プロセス部がオペレーティングシステム部によって起動されるとき、ロードされるプロセス管理情報を保持し、
前記プロセス管理情報は、
前記プロセス部のユーザプログラムの呼び出し元アドレスを含むコンテキスト情報を登録するコンテキスト情報部と、
システムコール発行元アドレス域対応にセキュリティ権限を登録するアドレス対応セキュリティ情報部と、を有し、
前記システムコール発行元アドレス域は、
前記プロセスのテキストセグメントと、ライブライセグメントと、データセグメントと、がそれぞれに占めるアドレス域を指すことを特徴とする請求項2記載のオペレーティングシステムのセキュリティ管理方式。
【請求項4】
前記セキュリティポリシーは、
前記システムコールが要求するシステムサービスの種別と、前記システムコール発行元アドレス域対応のセキュリティ権限と、前記リソース付されるセキュリティ属性と、で記述するリソースへのアクセスを許可する、あるいは不許可するルールであることを特徴とする請求項2記載のオペレーティングシステムのセキュリティ管理方式。
【請求項5】
プロセスがオペレーティングシステムにシステムコールを発行してシステムサービスを要求するとき、前記プロセスが固有に持つセキュリティ権限と、前記オペレーティングシステムが管理するリソースに付されたセキュリティ属性と、によって、前記システムサービスの対象リソースへのアクセスを許可する、あるいは不許可するオペレーティングシステムのセキュリティ管理方法において、
オペレーティングシステム部が、テキストセグメントとライブラリセグメントとデータセグメントを含むユーザプログラムを実行するプロセス部を起動するステップと、
前記プロセス部のユーザプログラムの呼び出し元アドレスを含むコンテキスト情報と、システムコール発行元アドレス域対応のセキュリティ権限と、をプロセス管理情報部にロードするステップと、
前記プロセス部のユーザプログラムがシステムコールを発行し、エントリ部を通じて、セキュリティ管理部が前記システムコールを受け取るステップと、
前記セキュリティ管理部が、システムコール発行元アドレスを入手するステップと、
前記セキュリティ管理部が前記システムコール発行元アドレスによってセキュリティ情報探索部を通じ、前記プロセス管理情報部から前記アドレス対応域のセキュリティ権限を入手するステップと、
前記システムコールのシステムサービス対象リソースに付されたセキュリティ属性を入手するステップと、
前記セキュリティ管理部が、セキュリティポリシー部のセキュリティポリシーを参照して、前記システムコールが要求するシステムサービスの種別と、前記セキュリティ権限と、前記セキュリティ属性と、に基づいて、システムサービス部の対象リソースに対するアクセスを許可する、あるいは不許可する判定するステップと、
前記判定が不許可のとき、前記プロセス部に制御を戻すステップと、
前記判定が許可のとき、前記システムサービス部の対象リソースへのアクセスを許可するステップと、
前記システムサービス部が対象リソースに対して、システムサービスを実行するステップと、
を含むことを特徴とするオペレーティングシステムのセキュリティ管理方法。
【請求項6】
コンピュータに、
オペレーティングシステム部が、テキストセグメントとライブラリセグメントとデータセグメントを含むユーザプログラムを実行するプロセス部を起動するステップと、
前記プロセス部のユーザプログラムの呼び出し元アドレスを含むコンテキスト情報と、システムコール発行元アドレス域対応のセキュリティ権限と、をプロセス管理情報部にロードするステップと、
前記プロセス部のユーザプログラムがシステムコールを発行し、エントリ部を通じて、セキュリティ管理部が前記システムコールを受け取るステップと、
前記セキュリティ管理部が、システムコール発行元アドレスを入手するステップと、
前記セキュリティ管理部が前記システムコール発行元アドレスによってセキュリティ情報探索部を通じ、前記プロセス管理情報部から前記アドレス対応域のセキュリティ権限を入手するステップと、
前記システムコールのシステムサービス対象リソースに付されたセキュリティ属性を入手するステップと、
前記セキュリティ管理部が、セキュリティポリシー部のセキュリティポリシーを参照して、前記システムコールが要求するシステムサービスの種別と、前記セキュリティ権限と、前記セキュリティ属性と、に基づいて、システムサービス部の対象リソースに対するアクセスを許可する、あるいは不許可する判定するステップと、
前記判定が不許可のとき、前記プロセス部に制御を戻すステップと、
前記判定が許可のとき、前記システムサービス部の対象リソースへのアクセスを許可するステップと、
前記システムサービス部が対象リソースに対して、システムサービスを実行するステップと、
を実行させるプログラム。
【図1】
【図2】
【図3】
【図4】
【図2】
【図3】
【図4】
【公開番号】特開2006−331137(P2006−331137A)
【公開日】平成18年12月7日(2006.12.7)
【国際特許分類】
【出願番号】特願2005−154806(P2005−154806)
【出願日】平成17年5月27日(2005.5.27)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.Linux
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
【公開日】平成18年12月7日(2006.12.7)
【国際特許分類】
【出願日】平成17年5月27日(2005.5.27)
【公序良俗違反の表示】
(特許庁注:以下のものは登録商標)
1.Linux
【出願人】(000004237)日本電気株式会社 (19,353)
【Fターム(参考)】
[ Back to top ]