分割通信システム
2個のノード間でデータ通信を行なうためのシステムおよび方法は、各ノードに複数の分離された区画を規定して、当該複数の分離された区画の少なくとも1個に対し1個以上の主体を割り当てる。各ノードの主体は、1個以上のチャネルを介して相互にデータ通信を行なう。データ通信を行なうために、本発明はあるチャネル上のデータ通信を他のチャネルの通信から分離する。より具体的には、各ノードはノードを分割してSK設定データに従い主体を規定する分離カーネル(SK)の制御下で動作する。分割通信システム(PCS)はPCS設定データに従い通信チャネルを分離する。
【発明の詳細な説明】
【発明の分野】
【0001】
本発明は一般に通信の分野に関し、より具体的にはセキュリティ保証された環境における情報通信に関する。
【背景】
【0002】
機密の分類およびアクセスポリシーを用いて情報システムのセキュリティが促進されてきた。機密とは通常、情報への不正アクセスの防止として定義される。一般に、セキュリティ用に設計されたシステムは、機微情報の無許可アクセスおよび改竄を防止するアクセス規則の組に従う。
【0003】
米国コンピュータ・セキュリティ・センター(NCSC)は、国家安全保障局(NSA)内の米国政府組織であり、分類済みその他の機微な資料を扱う施設が高信頼コンピュータ・システムおよび機器を用いることを保証すべく、高セキュリティ・アプリケーション用の情報システムを評価する。NCSCの評価プログラムは、高信頼性製品評価プログラム(TPEP)と呼ばれる別のNSA組織により実行され、総合的なセキュリティ関連基準に基づいて商品をテストする。NCSCは1983年8月に、国防総省(DoD)高信頼性コンピュータ・システム評価基準(TCSEC)の第1版を発行した。より一般的には「オレンジブック」と呼ばれる本文書は、1985にDoD標準として再発行され、機微な資料を扱う際のセキュリティ関連標準を提供する目標宣言を含んでいる。
【0004】
しかし、各国(例:米国、カナダおよび欧州)における情報セキュリティの開発プロセスを通じて、セキュリティ機能および評価に対する保証を標準化する柔軟なアプローチに向けた共通基準(CC)を作成すべくリソース、経験、および知恵が蓄積されてきた。一般に、CCは妥当性が既知である要件の組を定め、これを用いて将来的な製品およびシステムのセキュリティ要件を確立することができる。消費者その他の関係者はCCを利用して、標準保護プロファイル(PP)の観点から製品のセキュリティ機能を指定して、評価保証レベル(EAL)を独自に選択することができる。より具体的には、PPはセキュリティに対する類似のニーズを満たす製品またはシステムのカテゴリに対して、セキュリティ要件および目的の「実装から独立した」組を規定する。現在、PPは、ファイアウォール、関係データベースその他のシステム要素向けに、7種の追補途上のEALすなわちEAL1〜EAL7の定義された組からの各種のレーティングとの互換性を可能にすべく開発されてきた。
【0005】
通常、PPは、情報へのアクセスを試みるプロセス(主体としても知られる)および試みられたアクセスの対象であるプロセス(対象として知られる)の間の相互作用を統制する規則を含んでいる。これらのプロセス間のやり取りは通常、データの機微度合を反映するセキュリティ識別子により分類される。このような識別子は「機密レベル」と呼ばれる。例えば、「最高機密」情報は、最高レベルの機密を有する者しかアクセス権を持たない最高機密レベルを備えていてよい。所与の機密レベルにある情報はまた、アクセスに関して更に規制すべく「分類」することができる。各々の機密カテゴリへのアクセスは、機密レベルに対する必要な権限、例えば「最高機密」だけでなく、特定の機密カテゴリに対する権限、例えば「知る必要」を有している者に限定することができる。機密レベルと機密カテゴリの組合せは「機密クラス」として知られている。情報へのアクセスを調停する際に、セキュリティ保証システムは、主体の機密クラスを対象の機密クラスと比較して、主体が対象にアクセスすることが許可できるか否かを決定する。
【0006】
システムのセキュリティは、「公開」または「隠れ」チャネルの存在により特徴付けることができる。公開チャネルは、セキュリティ・ポリシーに準拠するシステムの一部であることを意図した通信経路である。一方、隠れチャネルは、システムのセキュリティ・ポリシーに違反して共有システムリソースを用いる不正な経路である。例えば、システム内で不正に動作すべく設計された「トロイの木馬」等の悪質なプロセスが、価値の高いデータへのアクセス権を得て、共有リソースを公開チャネルとして用いて、本来はアクセス権を持たない「スパイエージェント」に情報を不正に送信できるようにする恐れがある。隠れチャネルのいくつかの例が、「トラフィック解析を防止する送信スケジュール」(B.R.ベンカトラマン(Venkatraman)、R.E.ニューマン−ウルフ(Newman−Wolfe)、第9回コンピュータ・セキュリティおよびアプリケーション年次会議、1993年、フロリダ州オーランド)に記載されている。
【0007】
2種類の隠れチャネル、すなわち隠れタイミング・チャネルおよび隠れ記憶チャネルがある。隠れタイミング・チャネルは、特定期間中に特定のシステムリソースが使用可能か使用不能かの結果として生じる。「キャッシュ・タイプ」および「スケジューラ・タイプ」隠れチャネルが隠れタイミング・チャネルの二つの例である。「スケジューラ・タイプ」隠れチャネルは、各種プロセスにCPU時間をリソースとして割り当てるスケジューラ機能のタイミングを不正に利用する。「キャッシュ・タイプ」隠れチャネルは、高速キャッシュ記憶を用いてキャッシュ動作の完了に要する時間を調整することにより、情報を不正に送信する。隠れ記憶チャネルは通常、一つのプロセス(隠れメッセージの送信側)による記憶メモリの直接または間接的変更、および別のプロセス(隠れメッセージの受信側)によるメモリ位置の直接または間接的読取りを含んでいる。
【0008】
EALレーティングを高めるための要件の一つは、隠れチャネルの全部でないにせよ、大多数を閉鎖することである。EALレーティングを下げるには、情報を転送可能な速度、すなわち隠れチャネルの帯域幅を減らす必要がある。キャッシュ・タイプ隠れチャネルを閉鎖する一つの手段は、CPUの制御があるプロセスから別のプロセスへ転送される際に、キャッシュ記憶をクリアすることである。スケジューラ・タイプ隠れチャネルは、各々の実行中のプロセスに固定されたCPU時間を割り当てて、実行中のプロセスがCPUを使用しない場合、残りの割り当てられた時間を全てアイドル状態にすることにより閉鎖することができる。しかし、隠れチャネルを閉鎖するこれらの方法は、システム性能を低下させる重い性能ペナルティを課す恐れがあることが知られている。また、リソース共有を避けることで隠れチャネルを排除できることも認識されているが、その実装は多くの場合、非現実的である。
【0009】
米国特許第5,923,849号明細書に、通信システムの公開および隠れ通信トラフィックを監査および制御する方法が開示されている。本方法は、システム通信を特徴付けるべく、所与のノード対間の通信量、所与のノード対間の通信頻度、ノード組間の通信順序、所与のノード対間の通信の(外部)特性、および送信の長さ(または持続時間)を含む特定のパラメータを識別して用いる。本方法はこれらのパラメータの1個または組合せを用いて、「基本」システム条件を決定して、公開および隠れ通信活動の挙動および動作を監査して「基本から外れた」トラフィック・パターンを検出する。
【0010】
分離の概念もまた、セキュリティ保証システムの構築、分析、および評価のために用いられる。分離は物理的または論理的なものであってよい。論理的分離は通常、ソフトウエア・プログラムやプロセス等の論理的エンティティ含んでいる。2個の論理的エンティティが真に分離されている場合、一方が他方の動作に影響を及ぼすことはできず、その逆も同様である。1個のエンティティの動作がシステムのセキュリティにとって重要な場合、2個を互いに分離することにより、一方がどのようにシステムのセキュリティに対応しているかを評価する際に、他方の動作を無視することができる。しかし、2個の論理的エンティティが分離されてない場合、各々がどのようにシステムのセキュリティに対応しているか否かを評価する際に両方を考慮する必要がある。両方のエンティティを評価する必要のため、セキュリティ評価の困難さおよびコストが上昇し、多くの場合セキュリティ保証の低下を招く。
【0011】
米国特許第6,772,416号明細書に、処理要素間での高度な分離に対応しているコンピュータ・システムが開示されている。コンピュータ実装されたシステムは、カーネルを有するオペレーティング・システムを実行し、且つ複数のセルを含んでいる。各セルは1個以上の処理要素、実行のドメイン、および「ストランド」またはタスクの集合を有し、各々のストランドまたはタスクは、オペレーティング・システムのカーネルにより実行可能なプログラム可能な機械命令のストリームである。分離仕様は、処理要素間の通信を統制し、分離仕様に従い処理要素間の通信を管理して、ある処理要素が別の処理要素の動作に対して当該分離仕様の規定通りにしか影響を及ぼさないようにできる。
【0012】
NSAはまた、「高い堅牢性を必要とする環境における分離カーネルに対する米国政府保護プロファイル」(SKPP)と名付けられたPPを発行しており、本明細書に引用している。SKPPは、分離カーネル(SK)のクラスのセキュリティ機能および保証要件を指定する。セキュリティ保証オペレーティング・システム用の全ての高信頼機能を実行する従来のセキュリティカーネルとは異なり、SKの主な機能は、ポリシーに基づく等価なクラスにリソースを分割または別途分離して、SKの設定データに従い当該区画に割り当てられた主体とリソースとの間の情報フローを制御することである。
【0013】
システムにおける物理的分離は、分離された導線により相互接続された、物理的に分離された装置、ノード、またはネットワーク要素の組により実装される。例えば、対応して分離されたセキュリティ分類に割り当てられている、物理的に分離されたネットワークを備えることが知られている。例えば、1個のネットワークを「最高機密」の分類に対応すべく割り当てる一方、別のネットワークを「未分類」という分類に対応すべく割り当てることができる。しかし、この構成は高価な冗長性をもたらし、調達、運用、および保守が扱い難くなる恐れがある。
【0014】
従って、高いセキュリティ保証レベルを実現するのに簡単で有効な通信システムに対するニーズが存在する。
【発明の概要】
【0015】
本発明の一態様によれば、任意の2個のノード間でデータ通信を行なうシステムおよび方法は、各ノード上の複数の分離された区画を規定して、1個以上の主体を複数の分離された区画の少なくとも1個に割り当てる。各ノード内の主体は、1個以上のチャネルを介して相互にデータ通信を行なう。本発明は、データを伝送するために、あるチャネルを介したデータ通信を他のチャネルから分離する。より具体的には、各ノードはSK設定データに従いノードを分割する分離カーネル(SK)の制御下で動作する。分割通信システム(PCS)は、PCS設定データに従いデータ通信を行なうべく当該チャネルを他のチャネルから分離する。
【0016】
本発明の当該態様のいくつかのより詳細な特徴によれば、PCS設定データはチャネル毎に、割り当てられた通信スループット、割り当てられた帯域幅、割り当てられたデータ速度、あるいは利用可能な帯域幅の比例的共有を規定する。PCSは不正な情報フローを排除すべく、データの量、データのタイミング、データの持続時間、データの通信頻度、データのサイズ、データの宛先、およびPCS設定データに従うデータのコンテンツのうち1個以上を変更する。
【0017】
本発明の別の態様によれば、ノードはデータを1個以上のチャネルを介して他のノードと通信する。ノードは、設定可能な複数の区画を生成する分離カーネルおよび1個以上のチャネルを介して複数の区画の少なくとも1個とデータをやり取りする設定可能なノード間通信を制御する通信コントローラを含んでいる。一実施形態において、当該通信コントローラは、複数のチャネル間を分離する分割通信システム(PCS)を含んでいる。
【0018】
本発明の当該態様のより詳細な特徴のいくつかによれば、PCSは、情報フローポリシー違反を防止すべく、1個以上のチャネルの少なくとも1個を介して露出した通信特性を隠蔽する情報フローポリシーに従うノード間通信を制御する。一例証的な実施形態において、情報フロー制御ポリシーは、暗号理論または暗号化によるノード間通信の秘匿を要求する。PCSはまた、1個以上のチャネルを介した主体の通信に制限を規定するアクセス制御ポリシーを実装する。
【0019】
好適には、データ通信を行なうためチャネルが用いる1個以上のリソースがこれらの区画に割り当てられる。本実施形態によれば、PCSは1個以上リソースを共有するリソース管理ポリシーを実装しており、リソース管理ポリシーはまた1個以上のチャネルが相互にどのように影響を及ぼすかを規定する。別の例証的な実施形態において、リソース管理ポリシーは、1個以上リソースを共有する配分を規定する。
【0020】
本発明の更に別の詳述された特徴によれば、PCSは、各々のリソースが使用された後で、1個以上のリソースからの残りの情報をクリアして不正に再生されたデータの配信または利用を防止する。
【発明の詳細な説明】
【0021】
本発明は、高度な堅牢性が要求される分散コンピューティング環境における情報セキュリティ要件を満たす通信コントローラに関する。本発明の通信コントローラは以下で分割通信システム(PCS)と呼ばれる。一例証的な実施形態ではPCSを用いて、共有通信リソースを介して少なくとも2個の分離されたノード間での高度なセキュリティ保証通信を提供する。例証的なPCSは、本明細書に引用する共通基準(CC)V2.2[ccv22]で定める通り、評価保証レベル7(EAL7)と同等のセキュリティ要件に準拠すべく設計されている。
【0022】
一般に、PCSは、1個以上のチャネルを介して別のノードとデータ通信を行なうノード内に通信コントローラを含んでいる。通信コントローラは、ハードウェアおよび/またはソフトウェアの組合せを配置しており、これが分離カーネル(SK)の制御の下で稼動ノード同士でノード間通信を可能にする。PCSと合わせて利用できるSKの一例証的なクラスが上述のSKPPに記載されている。SKは、自身に常駐させているソフトウエア・プログラムに対し、改竄防止且つ迂回不可能である、高度保証分割および情報フロー制御特性を提供する。これらの能力は、特定のアプリケーション・レベル(対カーネルレベル)のセキュリティ・ポリシーの施行をその上で実現可能な高信頼基盤を提供する。これらのソフトウエア・プログラムの例として、多レベルのセキュリティ保証参照モニタ、ガード、デバイス・ドライバ、ファイル・マネージャ、およびメッセージ受け渡しサービス、並びにオペレーティング・システム、ミドルウェア、および仮想マシン・モニター抽象化を実行するものを含んでいる。
【0023】
より詳細に述べるように、SKは各ノードを分割して、SK設定データに従い主体およびリソースを規定する。ノードが適切に分割されたならば、PCSは以下に詳述するように、共有通信リソースを用いるノード同士のノード間通信に設定可能なセキュリティ・ポリシーを施行する。このように、PCSは1個以上のチャネルを介して複数の区画の少なくとも1個とデータをやり取りするノード間通信を設定可能な仕方で制御する。その結果、PCSは分散処理システムにおいてポリシーで拘束されたノード間通信を可能にする。一例証的な実施形態において、PCSは、多くのより高水準の技術が層になっているセキュリティ保証分散通信を可能にする多レベルセキュリティ保証(MLS)システムに対応している。このように、信頼に足る分散処理システムを実装する構築用ブロックとしてPCSを用いることができる。
【0024】
システムの概要
図1に、PCSを適切に用いた例証的なシステムのブロック図を示す。本システムは、ネットワーク横断的にノード2と通信するノード1を含んでいる。ネットワークを介した通信は、任意の標準または特許権を有する通信プロトコルに対応する層(例:物理層、リンク層、ネットワーク層、またはトランスポート層)の任意の適切な組合せも用いてよい。本発明のシステム横断的なデータ伝送に適したトランスポート・プロトコルの例として、任意のリアルタイムまたは非リアルタイム・プロトコルが含まれる。トランスポート層はまた、ATMやTCP/IP等のサービス品質(QoS)を備えたまたは備えていない伝送技術に対応していてよい。ネットワーク横断的にノード1、2を接続するリンクは、例えばIEEE802.3で規定されたような有線リンク、あるいはIEEE802.11xで規定されたような無線リンクであってよい。本発明のシステムが用いる物理層の例として、ツイスト・ペア、同軸ケーブル、光ケーブル、その他任意の公知の適切な有線または無線技術が含まれる。
【0025】
図1は本発明の「疎結合」ネットワーク実装を表わすが、PCSを用いる分散処理システムはまた、ノードが密に一体化された仕方で、例えばVMEバックプレーン横断的に、相互に通信する任意の種類の埋め込みシステムを含んでいてよい点に注意されたい。一実施形態において、各ノードは、予測可能な最悪ケース限度(リアルタイム)プロセッサ・スケジューリングに対応するオペレーティング・システムの管理下で動作する。
【0026】
図1の各ノード1、2は、コード、プログラムおよび/またはアプリケーションを実行するためのプロセッサ・ハードウェア基盤(図示せず)、例えば、1個以上のCPU、マイクロプロセッサ、組込みコントローラ、デジタル信号プロセッサ等を含んでいる。ノード1、2の各々は、コンピュータ・ノード、有線または無線ノード、クライアント・ステーション、サーバ・ステーション、ルータ、ハブ、アクセス・ポイント、その他共有通信リソースを用いて他の装置と通信する任意の公知の装置の一つまたは組合せであってよい。ノード1、2に加え、ネットワークは他のノード、インターネット等、(公共および/また専用)ネットワークの任意の集合体を介して相互に接続された、例えばサーバ・ステーション、クライアント・ステーション、ホストまたは中央ステーションを含んでいてよい。
【0027】
各ノードはロード・プロシージャを用いて、ノードのソフトウェア実装および/または設定データを使用可能な形式に変換する。初期ロード機能は、実装または設定情報の適当な媒体(例:CD、ROMまたはフラッシュメモリ)への搭載、または実装の一部としての設定データの編集を含む、異なる形式を取り得る。好適には、信頼できる個人またはIT機構が、例えば電源投入スイッチその他のIT環境にアクセス可能な機構を介して、ノードを起動して初期化する機能を開始する。初期化には、例えば、ディスク、ROM、またはフラッシュメモリから、ノード機能およびデータに割り当てられたメモリ空間へ読み込むことにより、各ノードの実装コードおよびデータを実行ドメインへ導入するブート機能が含まれる。初期化機能はまた、ノード内のコードの完全性および設定データの検証を含んでいる。非埋め込み環境において、信頼できる個人は、更に評価されたプロシージャを用いることが必要な場合があり、その後またはその最中に初期化機能はセキュリティ保証初期状態へのノードの変換を完了し、その時点で当該ノードは一貫したセキュリティ関連データを有し、伝搬されたセキュリティ・ポリシー(SP)を正しく施行することができる。
【0028】
分離カーネル
SKは、ノード用に複数の区画を生成することを主要機能とするハードウェアおよび/またはソフトウェア機構を含んでいる。区画とは、SPの全てまたは一部を実装する設定データに従い、自身の制御下にあるリソースからのSKにより実装される抽象概念である。各SK区画は、少なくとも1個の主体および/またはリソースを含んでいる。主体とは、機能、例えばノード間通信機能、を実行するノードの制御範囲内にある任意の稼動エンティティである。リソースは、各ノード内で実行、利用、生成、保護、あるいはエクスポートされる任意のハードウェア、ファームウェア、データおよび/またはソフトウェアを含んでいる。リソースは、主体により個別または同時に使用されて、主体がリソース内の情報にアクセスできるようにする。リソースはまた、伝送、ネットワーク接続、通信バス、I/Oバス、メモリバス、ハードウェアまたはソフトウェア暗号化装置、ソケット・ライブラリ、プロトコル・スタック、デバイス・ドライバ等のリソースを含んでいてよい。
【0029】
リソースは、SKインターフェースを介して外部で利用可能か否かに応じてエクスポート用または内部用かに分類される。SKインターフェースは、SKがリソースまたは主体にアクセス可能にするプログラムまたは設定インターフェースを参照する。リソースを用いてセキュリティ機能を実装する場合、SKインターフェースを介してアクセスできないため、それは内部リソースである。しかし、リソースがどのセキュリティ機能も実装していない場合、SKインターフェースからアクセスできるため、エクスポート用リソースとなる。既定値として全ての区画からアクセスできるリソースは仮想化されてエクスポートされる。区画はそれ自身が稼動エンティティではない点に注意されたい。むしろ、各区画は、SK設定データにより規定されたように、同一ポリシーに基づいて等価である主体の組およびリソースの組を含んでいる。各ノードはSK設定データを用いて、CPU、メモリ等を含む主体およびリソースを分割または別途分離して隔離する。
【0030】
SKは、主体同士を異なる区画に隔離して、完全に各々の区画に属するように見えるリソースの組を各区画が含むようにする。これは仮想化として知られる。例えば、CPUのように一度に1個の主体からしかアクセスされないリソースの仮想化を実現すべく、SKは、異なる区画からの時間的使用パターンが互いにわからないことを保証する。メモリ等の他のリソースは、異なる区画から同時にアクセスできる一方、例えば区画にリソースの異なる非対話的部分が割り当てられていることをSKが保証する場合、理想化された隔離を維持する。更に、自身の内部リソースのSK利用もまた、所望の隔離特性を維持しなければならない。SKはまた、例えばセキュリティ障害、システム障害、またはセキュリティ違反の企図等、障害を検出する監査サービスを提供する。
【0031】
SKの設定
SKは設定データの組を用いて、区画の定義および区画へのリソースの配分を行なう。SK設定データは、初期化を行なう間にノードが用いる制御情報を提供して、セキュリティ保証初期状態および実行中の状態の挙動を規定する。SK設定データは、そのような区画を規定する目的で各々のエクスポートされたリソースを単一の区画に割り当てる(結合する)。全ての主体はまた、区画を規定する目的でSK設定データにより単一の区画に割り当てられる。SK設定データは、SKフローのポリシー設定データおよび対応ポリシー設定データで構成され、区画間および区画内で通信を行なうための情報フロー制御および区画フロー制御ポリシーを規定する。SK非フローポリシー設定データは、監査設定パラメータ、暗号設定パラメータ、クロック設定および自己テストの実行期間等、他の全ての設定可能なSK必須データを規定する。SK設定データの内容およびフォーマットは、施行される情報フロー制御および区画フロー制御ポリシーの範囲および粒度並びにシステム設計の他の要因に応じて、異なる形式を取り得る。
【0032】
ノードの分割
図2に、SKの制御下で動作するノードの例証的な実施形態を示す。当該ノードは例えば無許可データ転送またはデータの無許可モニタリングに起因してSPに違反する情報フローから保護する役割を果たす。一実施形態において、ノードは、単一のSKを実行する任意のハードウェア・リソースを含んでおり、SKはSK設定データに従いノードの複数の区画間および/または内で情報フローを制御する。特に、各ノードは、当該ノードに一意なリソースを保護する自身のSKを実行する。上述のように、SKは自身の制御下にある全てのリソースを区画に分割して、1個の区画内の主体等の稼動エンティティの動作が、当該通信に対する明確な手段がSK設定データにより確立されていない限り、他の区画の稼動エンティティから分離されて、他の稼動エンティティによる検出も、更にはこれらとの通信も不可能にする。このように、ある区画の主体が他の区画の主体と通信することをSK設定データが明示的に許可しない限り、通信は許可されない。
【0033】
図2に、主体1〜3およびリソース4〜10を用いて3個の区画A〜Cに分割されているノードを示す。図に示すように、区画Aは、主体1、2、およびリソース4〜5を含み、区画Bは主体3およびリソース6〜7を含み、区画Cはリソース9、10を含んでいるが主体は含んでいない。矢印は、SK設定データにより実装されるノードのSKフローポリシーを示す。またシステムは、PCSの制御範囲外で動作するエージェントを含んでいてよい。
【0034】
通信システムの分割
PCSが提供する主要な抽象概念がチャネルである。チャネルとは、単一のソース主体から同一または異なるノードに存在する1個以上の宛先主体への接続であり、接続をもたらした任意の物理的または論理的要素を含んでいる。一例証的な実施形態において、PCSは、2種類のセキュリティ・ポリシーに従いチャネルを介した主体の相互作用、すなわちチャネル接続性ポリシーおよびリソース管理ポリシーを調停する。
【0035】
チャネル接続性ポリシーは、主体間の許容可能な接続を記述する。基本的に、当該ポリシーは、PCSにより提供されるチャネルを介して直接通信できる主体を制限するアクセス制御ポリシーである。リソース管理ポリシーは、チャネルの実装に用いる共有通信リソースがチャネル間でどのように割り当てられるか、および共有リソースの使用を通じてチャネルが互いに影響を及ぼす(協力的にまたは偶然)度合いを記述する。リソースポリシーが、異なるチャネルが互いに影響を及ぼすのを許さない場合、主体によるチャネル利用は、第1のチャネルから分離するよう指定された他の任意のチャネルに対して実行された動作の結果を調べている主体またはエージェントからは一切見えない。
【0036】
PCSおよびSKを用いて構築可能な要素の例として、セキュリティ保証ミドルウェア(CORBA、DDS、ウェブ・サービス、SQLまたはクライアント/サーバデータベース)、電子メール、インスタント・メッセージング、分散型高信頼ダウングレーダー、およびガードを含んでいる。SKにより施行されるセキュリティ・ポリシーの「端末間」バージョンを可能にすることにより、PCSはセキュリティ保証分散処理システムの構築を容易にする。PCSが用いられるシステムは、遠隔操作プロシージャ呼出し(RPC)機能またはインターフェース定義言語(IDL)等の特徴に対応しているミドルウェアを含んでいてよい。
【0037】
PCSの設定
図3に、PCS設定データにて説明したように、チャネル接続性ポリシーおよびリソース管理ポリシーを含むPCSセキュリティ・ポリシー(SP)に関する例証的な実施形態を示す。グラフの全ての矢印は、単一のソース主体から1個以上の宛先主体への論理的一方向チャネルを表わす。図に示すように、セキュリティ・ポリシーSPにより、主体がリソースグループ1内の一方向のPCSチャネルを介して主体AおよびBと通信することを許す。同様に、セキュリティ・ポリシーにより主体Aは、リソースグループ2内の一方向PCSチャネルを介して主体Cおよび主体Dと通信することができる。しかし、主体は、SPに違反することなくそれらのリソースグループ外の他の主体と通信することはできないかもしれない。当業者によって理解されるであろうが、本図がSPの簡単な実施形態を示す点、および異なる制約、主体の数、およびリソースの数を有する他の異なるリソースポリシーを用いてもよい点に注意されたい。リソースグループの利用により、通信リソースは異なるグループに属しているチャネルから完全に分離される。PCS設定データはまた、リソースグループ内の相互作用を制約する場合がある。グループ内のリソースに基づく相互作用の程度が、PCS設定データにより指定され、より詳細なポリシーがグループ内での相互作用に対して更なる制約を課す場合がある。PCS設定データはまた、主体レベルまたは区画レベルの制御粒度を規定する。
【0038】
チャネル接続性およびリソース管理ポリシーを含む、PCS設定データの表現形式は、明示または導出されたかのいずれにせよ任意の適切な形状の仕様であってよい。好適には、PCS設定データ仕様は一義的であって、人間の審査官(恐らくはツールの支援を受けて)が、ポリシーにより何らかの所定の可能な接続が許可されて、全てのリソース配分規則がポリシーにより指定されているか否かを判定できるようにする。
【0039】
PCSの動作
PCSはSKに依存しているため、SKが自身をロードし、全てのクライアント区画(CP)、PCS区画、デバイス・ドライバ区画等を含む区画をロードするまで、自身の初期化を開始することができない。次いで、SKはPCS区画の実行を開始する。SKはPCSのコードおよびデータを正しい区画(群)に正確にロードして、回復不能なエラーが正しいロードを阻害する場合にはPCSに通知する。
【0040】
図4に、本発明による2個のノード1、2の間にノード間通信を提供するシステムの例証的な実装を示す。各ノードは、メモリ割り当て、コードのローディング、通信リソースの割り当て、I/O取扱い等を提供する対応SKl、SK2を実行する。図に示すように、SKl、SK2の各々は、対応PCSl、PCS2をノード1、2にロードしてノードを分割する。SKlはノード1をCPlおよびCP2に分割し、これらはPCS1からアクセスすべく設定され、SK2はノード2をCP3およびCP4に分割し、これらはPCS2からアクセスすべく設定される。
【0041】
SKが初期化されたならば、PCS制御区画は、チャネル接続性ポリシー、リソース管理ポリシー、およびネットワーク記述を含むPCS設定データをロードする。PCSは、検出可能な失敗に起因するチャネル接続性ポリシーまたはリソース管理ポリシーの違反が生じないことを保証する。
【0042】
図5に、図4のシステムのより詳細な実施形態を示す。破線で示すように、PCSは、信頼できない主体やエージェントにより自身および自身のリソースが外部から改竄されたり無許可に開示されたりしないよう保護すべく自身の実行ドメインを維持する。PCSドメインは、チャネル端点(CE)区画または主体を介した接続性を実装する多くの区画を含んでいる。PCS設定コードおよびデータ区画は、設定データおよびバインディングを管理する責任を負う。PCS設定データは、基盤であるSKの対応に従い、主体または分割レベルのいずれかにおいてCEへのバインディングを規定する。
【0043】
分離されたノード上の主体間でデータ通信を行なう前に、PCSは通信に関与するノードが一貫した設定データを有することを保証する。PCS設定データの全てを各ノードに保存する必要が無い点に留意されたい。各ノードで必要とされるのは、当該ノードが通信する権限を与えられている他のノードの設定と自身の設定が整合しているものと判定するに足るPCS設定データの部分集合だけである。複数の部分的なPCS設定は、ノードがそれらを利用した結果、当該部分的ポリシーが部分集合をなす完全なポリシーに違反しない場合、整合性がある。ノード間通信を実行する前に、全てのノードが互換な設定データを有することを検証することにより、PCS設定データに対する不注意または悪意による変更が防止される。
【0044】
ネットワークがアクセスするハードウェア/ソフトウェア、暗号ハードウェア/ソフトウェア等、全ての共有リソースに対して、PCSはそれらのリソースを初期化してテストする。全てのチャネルに対して、送信CEは全ての受信CEとの相互認証を実行して、それらの端点との共有機密鍵を確立する。一実施形態において、SK初期化を行なう間にチャネル用のタイムスライスおよびRAM空間等の計算リソースの割り当てが完了されて、ブート時にはPCSによる明示的な取扱いを必要としない。共有リソースおよびチャネルの初期化が完了したならば、チャネルがデータ通信の準備を完了している旨がCP内の主体に通知される。一例証的な実施形態において、主体はSKのRPC経由でチャネルを介したデータ通信を開始する。
【0045】
一例証的な実施形態において、基盤であるSKの設定により、あるノード内の主体が、PCSを起動することなく、分離されたノード内の主体とデータ通信することが防止される。SKはまた、自身の制御下のリソースを主体が利用可能になる時点の制御をPCSに行なわせることにより、PCSが許可を与えるまで当該リソースへのアクセス権を保持することができる。SKは、PCS区画に存在するデータについて当該PCSに属する主体以外の主体による変更を一切許可しないことにより、区画を相互に保護する。好適には、PCSを用いるシステムは、ネットワークの物理層における基盤である通信機構の可用性に対する脅威に対処する特徴を含んでいて、その特徴はPCSを迂回する機構を介した通信リソースへのアクセス権を有する。
【0046】
セキュリティに対する脅威
エージェントは、データ通信に対するセキュリティ脅威を及ぼす稼動エンティティを表わす。エージェントは、故意または意図しないSP違反を試みる悪意または不具合を有するソフトウェアまたはハードウェア・エンティティであってよい。エージェントは、ノードが通信する情報を不正に生成およびモニタする、ノードの不具合を有する要素であっても、あるいはノード内部または外部の悪意を有する装置であってもよい。
【0047】
セキュリティ違反を防止すべく、PCSはSKが提供するインターフェースを提供すると共に依存もする。SKが信頼するに足ると保証されたサービスを提供するインターフェースを除いて、PCSはこれらのインターフェースの使用または可用性からの脅威に対して自身を保護しなければならない。一方、悪意のあるエージェントがSPに違反してSKインターフェースを用いる恐れがある。これらのインターフェースは、PCSの認証、完全性、または秘匿要件を満たす保証をSKが提供できない点が独特である。結果的に、PCSは、ノード間通信インターフェースを介して潜在的に敵対的なソースから到来する全ての受信データを扱う。
【0048】
以下は、PCSが対処するセキュリティ脅威のいくつかの例である。悪意のあるエージェントは、自身がノード間で送信される間に、主体またはデータを損傷しようと試みる場合がある。エージェントは、ノード間通信チャネルを介して送信されるメッセージの有無を観察することにより情報を不正に取得しようと試みる場合がある。悪意または不具合を有する主体は、意図的でない通信経路を用いて別の主体と通信することにより、SPに違反しようと試みる場合がある。悪意または不具合を有する主体は、共有通信リソースを使い果たすかまたは独占することにより、他の主体の通信を阻害または遅延させようと試みる場合がある。エージェントは、直接ネットワーク・データを読むことにより、SPに違反して主体データを見ようと試みる場合がある。悪意または不具合を有する主体は、使用の準備ができていないリソースを調べることにより、主体データへの不正アクセスを試みる場合がある。悪意または不具合を有する主体は、データがPCS区画内に存在する間にこれを修正して、別の主体へ送られるデータの変更を試みる場合がある。悪意または不具合を有する主体またはエージェントは、構文的または意味論的に無効な要求をPCSに渡すことにより、PCSに自身または自身の制御下にある主体データを損傷しようと試みる場合がある。悪意または不具合を有する主体またはエージェントは、無効なデータをPCSインターフェースに提示することにより別の主体になりすまして、主体データを脅威にさらそうと試みる場合がある。悪意または不具合を有する主体は、PCSにSPの施行を失敗させて、システム・セキュリティおよび主体データの両方を脅威にさらすことにより、PCS設定データまたは他の内部データ構造を変更しようと試みる場合がある。悪意または不具合を有する主体は、不適当にクリアされたか不完全に初期化された共有リソースから不正な情報を得ようと試みる場合がある。悪意または不具合を有する主体は、自身が通信する許可を与えられていない情報を主体またはエージェントへ送ろうと試みる場合がある。
【0049】
隠れチャネル
PCSは、分離されたノードにある2個の主体間の通信の有無を、ノード間通信を調べる能力を有するエージェントが認識可能になることを防止する。PCSは、通信に関与しない主体またはエージェントが通信チャネルの使用を観察できないことを保証する。また、PCSは、チャネルがSPにより分離されることを要求された場合に、あるチャネルを使用したことで別のチャネルの認識可能な挙動に影響を及ぼすことを防止する。PCSは、PCS設定データに記述されている情報フローポリシーにより明示的に承認された情報しか流すことを許可しない。一実施形態においてPCSは、結果的に不正な情報フローを生じるエージェントにより、トラフィック分析に対する保護を提供する。PCSは、この種の不正情報フローを排除または制限する仕方で通信リソースの露出した特徴を隠蔽またはマスキングすることにより、トラフィック分析の脅威に対処する。PCSは、露出した特徴を意図された受取人以外の全てのエンティティから隠蔽する。しかしPCSは、意図した受取人に対してこれらの特性を隠蔽しない。PCSは、1個以上のチャネルを介してデータ通信を行なう際に、あるノードの主体と別のノードの1個以上の主体とを分離することにより、エージェントから特性を隠蔽する。PCS設定データは、異なるノード上の主体を分離するパラメータを設定する。
【0050】
より具体的には、PCSは、ノード間の1個以上のメッセージの通信が、CE間または1個以上の通信リソース間で露出した通信特性から独立した、既定の通信基準を満たすようにノード間通信を制御する。露出した通信特性は、1個以上のメッセージのタイミング、1個以上のメッセージの持続時間、1個以上のメッセージの通信頻度、1個以上のメッセージのサイズ、1個以上のメッセージの発信元、1個以上のメッセージの宛先、および1個以上のメッセージの内容に関係していてよい。既定の通信基準はまた、割り当てられた通信スループット、割り当てられた帯域幅、割り当てられたデータレート、またはシステムの動作モードを満たすことに関係していてよい。通信基準に全ての割り当てられた帯域幅を取り入れている実施形態の場合、利用可能な帯域幅の部分的共有または利用可能な帯域幅の比例的共有のいずれかが、利用可能な帯域幅の部分的共有または利用可能な帯域幅の比例的共有を用いてもよい。
【0051】
一実施形態において、PCSは、異なるノードの主体間で通信されるデータをパディングすることにより、チャネルを介したエージェントからの露出した通信特性を隠蔽する。この構成において、CEはCPにおいて送るべきデータがなくなるかまたは上限に達するまで、SKのIPC機構を用いてCPからデータを読む。この例の場合、上限がPCS設定データにより規定された定数であると仮定する。上限の例は、1ミリ秒のタイムスライス毎に30キロバイトである。CPが上限を満たすのに十分なデータを提供しない場合、送信側CEはデータをパディングして当該データの長さを上限に等しくする。例えば、上限が30KB/ミリ秒であってCPが10KBを提供する場合、送信側CEはデータを20KBでパディングする。あるいは、送信側CEはまた、追加的なメッセージを含んでいてもよい。送信側CPは、掲示するステップを繰り返しながら次のタイムスライスの開始を待つ。タイムスライスを満たす以外に、CEはまた、隠れチャネルおよび不正情報フローを隠蔽するかまたは排除すべく、既定の通信基準に従い通信されるメッセージの量、頻度、サイズを変更することができる。
【0052】
受信側チャネル端点が実行する動作は基本的に、送信側チャネル端点が実行するものの逆である。受信側チャネル端点は、送られてきたものからデータを取り出して、解読し、パディングを排除して、最後にクライアント区画へ渡す。受信側チャネル端点が実行するレート制限は無い。
【0053】
送信の秘匿
送信側CEもまた、以前に確立された共有機密を用いて、パディングされたデータを暗号化する。この暗号化は、CEによりソフトウェアを用いて実行することも、あるいはハードウェア暗号化装置へ受け渡されてもよい。
【0054】
好適には、エージェントによるメッセージ内容の盗聴に起因して、情報フロー制御ポリシーは、不正情報フローを排除する暗号理論または暗号化によるノード間送信の秘匿を必要とする。秘匿および認証の保証を与えるべく、PCSは信頼できる共有機密を確立して相互認証を実行する。この仕組みはしばしばシステムの「信頼アンカー」と呼ばれる。暗号理論的に強い完全性検証は(CRCの類のより弱い方法とは異なり)、悪意のあるエージェントが存在する状況で主体によりノード間で通信されるデータの完全性の検証に対応するために必要である。信頼アンカーを提供する例証的な仕組みは、静的共有機密、信頼の分散ウェブ(PGPモデル)、集中化された公開鍵インフラ(PKI)(現在使用されている最も安全な電子メールおよびウェブ識別スキームのモデル)を含んでいる。
【0055】
データの完全性
PCSは、主体によりノード間でデータ通信が行なわれる際に、SP施行のために完全性が必要な全てのユーザーデータおよび全てのセキュリティに関連したデータの完全性を検証する。PCSは、PCS設定データに保存されているチャネルの接続性およびリソース管理ポリシー属性に基づいて、システムの物理的に分離された部分間で送信される際にデータを分離する。PCSは、送信されたデータに何らかの変更が無いかを調べるため、システムの物理的に分離された部分間で送信されるユーザーデータをモニタする。PCSは、送信の完全性を実現すべく、ユーザーデータ送信後にその変更を防止する。PCSは、各々の通信要求を検証して、変更のため送信されたユーザーデータをモニタする。PCSはシステムの分離された部分間で送信されたデータについて、データの変更、データの置換、データの削除を検出する。
【0056】
リソースの共有
主体間におけるメモリバッファ等の通信リソースの共有は、これらのリソースがある主体から切り離されて別の主体へ割り当てられる際に、不正情報フローの可能性が生じる。PCSは、全ての主体からリソースが割り当てまたは切り離された場合に、過去のリソース情報が一切利用できなくなることを保証する。一実施形態において、PCSは、共有リソース、メモリ、レジスタ等の内容から、過去の利用から持ち越された関連残り情報をクリアする。
【0057】
メッセージの再生
PCSは、再生されたメッセージのノード間通信が成功しないようにする。例えば、PCSが元のメッセージを、不具合または悪意のあるエージェントから送られた元のメッセージの再生と区別できない場合、当該エージェントは再生されたメッセージを用いて不正な情報フローを生成することができる。PCSは、再生が検出された場合にメッセージを廃棄して潜在的に記録することにより、データの配信または使用を防止する。
【0058】
自己証明
不具合のある主体またはエージェントが別のエンティティになりすますことができる場合、不正な情報フローが生じる恐れがある。一実施形態において、PCSは各主体に対し、当該主体に代わって他のいずれかのPCSが調停した動作を許可する前に、自己証明するよう要求する。その結果、主体の自己証明が検証されて情報フローがチャネル接続およびリソース管理ポリシーに準拠するならば、情報フローポリシーは被制御主体と被制御情報との間での被制御動作を介した情報フローを許可する。PCSは何らかのポリシーを適用する前に、主体またはノードの自己証明を検証するが、これは主体またはノードの自己証明に応じて条件付である。
【0059】
配分
PCSは、主体がリソースを独占するのを防止することにより、当該リソースを他の主体に利用することを禁止する。共有リソースの使用から生じるサービスの拒否を防止すべく、PCSは共有リソースの使用を調停して、あるチャネルの実装に用いるリソースが別のチャネルの実装に用いるリソースに影響を及ぼすことを防止する。PCSは、PCS設定データに指定されている使用配分を施行する。より具体的には、PCSは、チャネルおよび主体が同時に使用可能な共有可能通信リソースの最大配分を施行する。PCSはまた、チャネルおよび主体が同時に使用できるように利用可能な通信リソースの各々の比例的共有の最小量の供給を保証する。
【0060】
意味論的検証
PCSは、全ての要求を検証して、要求が意味論的に妥当であって、SPを損傷したり違反したりしていないことを保証する。
【0061】
監査
PCSは、障害に続くロギング要素により保存する監査情報を生成することにより、損害評価機能を提供する。PCSは、検出した全てのセキュリティに関連した事象を記載する監査データを選択的に生成する。これらの事象には、PCSの初期化、システムの設定データの成功または失敗した検証、他のノードへの/からの接続、およびシステムセキュリティ機能を破るかまたは迂回する明らかな試みが含まれるが、これらに限定されない。
【0062】
結論
上記内容からPCSが、通信に対して設定可能な分離セキュリティ・ポリシーを施行しながら、分離されたノードの隔離された区画で実行されている主体の間でノード間通信を提供するハードウェアおよび/またはソフトウェアの任意の適当な組合せを含んでいることが理解されよう。その結果PCSは、分散処理システムにおいて分離されたノードで実行されている主体の間でのポリシー準拠の通信を可能にする。このようにして、PCSは、区画間でのノード間通信に起因するデータの秘匿または完全性に対する新たな脅威をもたらす恐れ無しに、ノードの分割の再設定を可能にし、通信のセキュリティに関して本質的に位置透過な仕方でノード間通信を保護する。
【0063】
より具体的には、PCSは、明示的に承認された情報フローしか生じさせないことにより、チャネルの利用が不正な主体またはエージェントに可視的なリソースに影響を及ぼす仕方で共有通信リソースに影響を及ぼすことを防止する。とりわけ、PCSもまた、データ秘匿保護およびトラフィック分析からの保護を提供する。PCSは、共有通信リソースを管理してチャネル分離および使用配分を行なう。PCSは、ノードおよび主体を認証して、データの完全性を検証する。
【0064】
本発明について、例証的な実施形態に関して詳細に述べてきたが、本発明のより広い態様のから逸脱することなく、変更及び改良を行ない得ること、および請求項に記載の本発明は従って、そのような変更および改良が本発明の真の精神に含まれるよう意図していることがここで上記の当業者にとって明らかになる。
【図面の簡単な説明】
【0065】
【図1】本発明によるPCSを用いるシステムの簡単なブロック図である。
【図2】図1のシステムで用いるノードの論理ブロック図である。
【図3】例証的なPCS構成を示す論理ブロック図である。
【図4】PCSを用いて2個のノード間でデータ通信を行なうシステムの論理ブロック図である。
【図5】図4のシステムのより詳細な論理ブロック図である。
【発明の分野】
【0001】
本発明は一般に通信の分野に関し、より具体的にはセキュリティ保証された環境における情報通信に関する。
【背景】
【0002】
機密の分類およびアクセスポリシーを用いて情報システムのセキュリティが促進されてきた。機密とは通常、情報への不正アクセスの防止として定義される。一般に、セキュリティ用に設計されたシステムは、機微情報の無許可アクセスおよび改竄を防止するアクセス規則の組に従う。
【0003】
米国コンピュータ・セキュリティ・センター(NCSC)は、国家安全保障局(NSA)内の米国政府組織であり、分類済みその他の機微な資料を扱う施設が高信頼コンピュータ・システムおよび機器を用いることを保証すべく、高セキュリティ・アプリケーション用の情報システムを評価する。NCSCの評価プログラムは、高信頼性製品評価プログラム(TPEP)と呼ばれる別のNSA組織により実行され、総合的なセキュリティ関連基準に基づいて商品をテストする。NCSCは1983年8月に、国防総省(DoD)高信頼性コンピュータ・システム評価基準(TCSEC)の第1版を発行した。より一般的には「オレンジブック」と呼ばれる本文書は、1985にDoD標準として再発行され、機微な資料を扱う際のセキュリティ関連標準を提供する目標宣言を含んでいる。
【0004】
しかし、各国(例:米国、カナダおよび欧州)における情報セキュリティの開発プロセスを通じて、セキュリティ機能および評価に対する保証を標準化する柔軟なアプローチに向けた共通基準(CC)を作成すべくリソース、経験、および知恵が蓄積されてきた。一般に、CCは妥当性が既知である要件の組を定め、これを用いて将来的な製品およびシステムのセキュリティ要件を確立することができる。消費者その他の関係者はCCを利用して、標準保護プロファイル(PP)の観点から製品のセキュリティ機能を指定して、評価保証レベル(EAL)を独自に選択することができる。より具体的には、PPはセキュリティに対する類似のニーズを満たす製品またはシステムのカテゴリに対して、セキュリティ要件および目的の「実装から独立した」組を規定する。現在、PPは、ファイアウォール、関係データベースその他のシステム要素向けに、7種の追補途上のEALすなわちEAL1〜EAL7の定義された組からの各種のレーティングとの互換性を可能にすべく開発されてきた。
【0005】
通常、PPは、情報へのアクセスを試みるプロセス(主体としても知られる)および試みられたアクセスの対象であるプロセス(対象として知られる)の間の相互作用を統制する規則を含んでいる。これらのプロセス間のやり取りは通常、データの機微度合を反映するセキュリティ識別子により分類される。このような識別子は「機密レベル」と呼ばれる。例えば、「最高機密」情報は、最高レベルの機密を有する者しかアクセス権を持たない最高機密レベルを備えていてよい。所与の機密レベルにある情報はまた、アクセスに関して更に規制すべく「分類」することができる。各々の機密カテゴリへのアクセスは、機密レベルに対する必要な権限、例えば「最高機密」だけでなく、特定の機密カテゴリに対する権限、例えば「知る必要」を有している者に限定することができる。機密レベルと機密カテゴリの組合せは「機密クラス」として知られている。情報へのアクセスを調停する際に、セキュリティ保証システムは、主体の機密クラスを対象の機密クラスと比較して、主体が対象にアクセスすることが許可できるか否かを決定する。
【0006】
システムのセキュリティは、「公開」または「隠れ」チャネルの存在により特徴付けることができる。公開チャネルは、セキュリティ・ポリシーに準拠するシステムの一部であることを意図した通信経路である。一方、隠れチャネルは、システムのセキュリティ・ポリシーに違反して共有システムリソースを用いる不正な経路である。例えば、システム内で不正に動作すべく設計された「トロイの木馬」等の悪質なプロセスが、価値の高いデータへのアクセス権を得て、共有リソースを公開チャネルとして用いて、本来はアクセス権を持たない「スパイエージェント」に情報を不正に送信できるようにする恐れがある。隠れチャネルのいくつかの例が、「トラフィック解析を防止する送信スケジュール」(B.R.ベンカトラマン(Venkatraman)、R.E.ニューマン−ウルフ(Newman−Wolfe)、第9回コンピュータ・セキュリティおよびアプリケーション年次会議、1993年、フロリダ州オーランド)に記載されている。
【0007】
2種類の隠れチャネル、すなわち隠れタイミング・チャネルおよび隠れ記憶チャネルがある。隠れタイミング・チャネルは、特定期間中に特定のシステムリソースが使用可能か使用不能かの結果として生じる。「キャッシュ・タイプ」および「スケジューラ・タイプ」隠れチャネルが隠れタイミング・チャネルの二つの例である。「スケジューラ・タイプ」隠れチャネルは、各種プロセスにCPU時間をリソースとして割り当てるスケジューラ機能のタイミングを不正に利用する。「キャッシュ・タイプ」隠れチャネルは、高速キャッシュ記憶を用いてキャッシュ動作の完了に要する時間を調整することにより、情報を不正に送信する。隠れ記憶チャネルは通常、一つのプロセス(隠れメッセージの送信側)による記憶メモリの直接または間接的変更、および別のプロセス(隠れメッセージの受信側)によるメモリ位置の直接または間接的読取りを含んでいる。
【0008】
EALレーティングを高めるための要件の一つは、隠れチャネルの全部でないにせよ、大多数を閉鎖することである。EALレーティングを下げるには、情報を転送可能な速度、すなわち隠れチャネルの帯域幅を減らす必要がある。キャッシュ・タイプ隠れチャネルを閉鎖する一つの手段は、CPUの制御があるプロセスから別のプロセスへ転送される際に、キャッシュ記憶をクリアすることである。スケジューラ・タイプ隠れチャネルは、各々の実行中のプロセスに固定されたCPU時間を割り当てて、実行中のプロセスがCPUを使用しない場合、残りの割り当てられた時間を全てアイドル状態にすることにより閉鎖することができる。しかし、隠れチャネルを閉鎖するこれらの方法は、システム性能を低下させる重い性能ペナルティを課す恐れがあることが知られている。また、リソース共有を避けることで隠れチャネルを排除できることも認識されているが、その実装は多くの場合、非現実的である。
【0009】
米国特許第5,923,849号明細書に、通信システムの公開および隠れ通信トラフィックを監査および制御する方法が開示されている。本方法は、システム通信を特徴付けるべく、所与のノード対間の通信量、所与のノード対間の通信頻度、ノード組間の通信順序、所与のノード対間の通信の(外部)特性、および送信の長さ(または持続時間)を含む特定のパラメータを識別して用いる。本方法はこれらのパラメータの1個または組合せを用いて、「基本」システム条件を決定して、公開および隠れ通信活動の挙動および動作を監査して「基本から外れた」トラフィック・パターンを検出する。
【0010】
分離の概念もまた、セキュリティ保証システムの構築、分析、および評価のために用いられる。分離は物理的または論理的なものであってよい。論理的分離は通常、ソフトウエア・プログラムやプロセス等の論理的エンティティ含んでいる。2個の論理的エンティティが真に分離されている場合、一方が他方の動作に影響を及ぼすことはできず、その逆も同様である。1個のエンティティの動作がシステムのセキュリティにとって重要な場合、2個を互いに分離することにより、一方がどのようにシステムのセキュリティに対応しているかを評価する際に、他方の動作を無視することができる。しかし、2個の論理的エンティティが分離されてない場合、各々がどのようにシステムのセキュリティに対応しているか否かを評価する際に両方を考慮する必要がある。両方のエンティティを評価する必要のため、セキュリティ評価の困難さおよびコストが上昇し、多くの場合セキュリティ保証の低下を招く。
【0011】
米国特許第6,772,416号明細書に、処理要素間での高度な分離に対応しているコンピュータ・システムが開示されている。コンピュータ実装されたシステムは、カーネルを有するオペレーティング・システムを実行し、且つ複数のセルを含んでいる。各セルは1個以上の処理要素、実行のドメイン、および「ストランド」またはタスクの集合を有し、各々のストランドまたはタスクは、オペレーティング・システムのカーネルにより実行可能なプログラム可能な機械命令のストリームである。分離仕様は、処理要素間の通信を統制し、分離仕様に従い処理要素間の通信を管理して、ある処理要素が別の処理要素の動作に対して当該分離仕様の規定通りにしか影響を及ぼさないようにできる。
【0012】
NSAはまた、「高い堅牢性を必要とする環境における分離カーネルに対する米国政府保護プロファイル」(SKPP)と名付けられたPPを発行しており、本明細書に引用している。SKPPは、分離カーネル(SK)のクラスのセキュリティ機能および保証要件を指定する。セキュリティ保証オペレーティング・システム用の全ての高信頼機能を実行する従来のセキュリティカーネルとは異なり、SKの主な機能は、ポリシーに基づく等価なクラスにリソースを分割または別途分離して、SKの設定データに従い当該区画に割り当てられた主体とリソースとの間の情報フローを制御することである。
【0013】
システムにおける物理的分離は、分離された導線により相互接続された、物理的に分離された装置、ノード、またはネットワーク要素の組により実装される。例えば、対応して分離されたセキュリティ分類に割り当てられている、物理的に分離されたネットワークを備えることが知られている。例えば、1個のネットワークを「最高機密」の分類に対応すべく割り当てる一方、別のネットワークを「未分類」という分類に対応すべく割り当てることができる。しかし、この構成は高価な冗長性をもたらし、調達、運用、および保守が扱い難くなる恐れがある。
【0014】
従って、高いセキュリティ保証レベルを実現するのに簡単で有効な通信システムに対するニーズが存在する。
【発明の概要】
【0015】
本発明の一態様によれば、任意の2個のノード間でデータ通信を行なうシステムおよび方法は、各ノード上の複数の分離された区画を規定して、1個以上の主体を複数の分離された区画の少なくとも1個に割り当てる。各ノード内の主体は、1個以上のチャネルを介して相互にデータ通信を行なう。本発明は、データを伝送するために、あるチャネルを介したデータ通信を他のチャネルから分離する。より具体的には、各ノードはSK設定データに従いノードを分割する分離カーネル(SK)の制御下で動作する。分割通信システム(PCS)は、PCS設定データに従いデータ通信を行なうべく当該チャネルを他のチャネルから分離する。
【0016】
本発明の当該態様のいくつかのより詳細な特徴によれば、PCS設定データはチャネル毎に、割り当てられた通信スループット、割り当てられた帯域幅、割り当てられたデータ速度、あるいは利用可能な帯域幅の比例的共有を規定する。PCSは不正な情報フローを排除すべく、データの量、データのタイミング、データの持続時間、データの通信頻度、データのサイズ、データの宛先、およびPCS設定データに従うデータのコンテンツのうち1個以上を変更する。
【0017】
本発明の別の態様によれば、ノードはデータを1個以上のチャネルを介して他のノードと通信する。ノードは、設定可能な複数の区画を生成する分離カーネルおよび1個以上のチャネルを介して複数の区画の少なくとも1個とデータをやり取りする設定可能なノード間通信を制御する通信コントローラを含んでいる。一実施形態において、当該通信コントローラは、複数のチャネル間を分離する分割通信システム(PCS)を含んでいる。
【0018】
本発明の当該態様のより詳細な特徴のいくつかによれば、PCSは、情報フローポリシー違反を防止すべく、1個以上のチャネルの少なくとも1個を介して露出した通信特性を隠蔽する情報フローポリシーに従うノード間通信を制御する。一例証的な実施形態において、情報フロー制御ポリシーは、暗号理論または暗号化によるノード間通信の秘匿を要求する。PCSはまた、1個以上のチャネルを介した主体の通信に制限を規定するアクセス制御ポリシーを実装する。
【0019】
好適には、データ通信を行なうためチャネルが用いる1個以上のリソースがこれらの区画に割り当てられる。本実施形態によれば、PCSは1個以上リソースを共有するリソース管理ポリシーを実装しており、リソース管理ポリシーはまた1個以上のチャネルが相互にどのように影響を及ぼすかを規定する。別の例証的な実施形態において、リソース管理ポリシーは、1個以上リソースを共有する配分を規定する。
【0020】
本発明の更に別の詳述された特徴によれば、PCSは、各々のリソースが使用された後で、1個以上のリソースからの残りの情報をクリアして不正に再生されたデータの配信または利用を防止する。
【発明の詳細な説明】
【0021】
本発明は、高度な堅牢性が要求される分散コンピューティング環境における情報セキュリティ要件を満たす通信コントローラに関する。本発明の通信コントローラは以下で分割通信システム(PCS)と呼ばれる。一例証的な実施形態ではPCSを用いて、共有通信リソースを介して少なくとも2個の分離されたノード間での高度なセキュリティ保証通信を提供する。例証的なPCSは、本明細書に引用する共通基準(CC)V2.2[ccv22]で定める通り、評価保証レベル7(EAL7)と同等のセキュリティ要件に準拠すべく設計されている。
【0022】
一般に、PCSは、1個以上のチャネルを介して別のノードとデータ通信を行なうノード内に通信コントローラを含んでいる。通信コントローラは、ハードウェアおよび/またはソフトウェアの組合せを配置しており、これが分離カーネル(SK)の制御の下で稼動ノード同士でノード間通信を可能にする。PCSと合わせて利用できるSKの一例証的なクラスが上述のSKPPに記載されている。SKは、自身に常駐させているソフトウエア・プログラムに対し、改竄防止且つ迂回不可能である、高度保証分割および情報フロー制御特性を提供する。これらの能力は、特定のアプリケーション・レベル(対カーネルレベル)のセキュリティ・ポリシーの施行をその上で実現可能な高信頼基盤を提供する。これらのソフトウエア・プログラムの例として、多レベルのセキュリティ保証参照モニタ、ガード、デバイス・ドライバ、ファイル・マネージャ、およびメッセージ受け渡しサービス、並びにオペレーティング・システム、ミドルウェア、および仮想マシン・モニター抽象化を実行するものを含んでいる。
【0023】
より詳細に述べるように、SKは各ノードを分割して、SK設定データに従い主体およびリソースを規定する。ノードが適切に分割されたならば、PCSは以下に詳述するように、共有通信リソースを用いるノード同士のノード間通信に設定可能なセキュリティ・ポリシーを施行する。このように、PCSは1個以上のチャネルを介して複数の区画の少なくとも1個とデータをやり取りするノード間通信を設定可能な仕方で制御する。その結果、PCSは分散処理システムにおいてポリシーで拘束されたノード間通信を可能にする。一例証的な実施形態において、PCSは、多くのより高水準の技術が層になっているセキュリティ保証分散通信を可能にする多レベルセキュリティ保証(MLS)システムに対応している。このように、信頼に足る分散処理システムを実装する構築用ブロックとしてPCSを用いることができる。
【0024】
システムの概要
図1に、PCSを適切に用いた例証的なシステムのブロック図を示す。本システムは、ネットワーク横断的にノード2と通信するノード1を含んでいる。ネットワークを介した通信は、任意の標準または特許権を有する通信プロトコルに対応する層(例:物理層、リンク層、ネットワーク層、またはトランスポート層)の任意の適切な組合せも用いてよい。本発明のシステム横断的なデータ伝送に適したトランスポート・プロトコルの例として、任意のリアルタイムまたは非リアルタイム・プロトコルが含まれる。トランスポート層はまた、ATMやTCP/IP等のサービス品質(QoS)を備えたまたは備えていない伝送技術に対応していてよい。ネットワーク横断的にノード1、2を接続するリンクは、例えばIEEE802.3で規定されたような有線リンク、あるいはIEEE802.11xで規定されたような無線リンクであってよい。本発明のシステムが用いる物理層の例として、ツイスト・ペア、同軸ケーブル、光ケーブル、その他任意の公知の適切な有線または無線技術が含まれる。
【0025】
図1は本発明の「疎結合」ネットワーク実装を表わすが、PCSを用いる分散処理システムはまた、ノードが密に一体化された仕方で、例えばVMEバックプレーン横断的に、相互に通信する任意の種類の埋め込みシステムを含んでいてよい点に注意されたい。一実施形態において、各ノードは、予測可能な最悪ケース限度(リアルタイム)プロセッサ・スケジューリングに対応するオペレーティング・システムの管理下で動作する。
【0026】
図1の各ノード1、2は、コード、プログラムおよび/またはアプリケーションを実行するためのプロセッサ・ハードウェア基盤(図示せず)、例えば、1個以上のCPU、マイクロプロセッサ、組込みコントローラ、デジタル信号プロセッサ等を含んでいる。ノード1、2の各々は、コンピュータ・ノード、有線または無線ノード、クライアント・ステーション、サーバ・ステーション、ルータ、ハブ、アクセス・ポイント、その他共有通信リソースを用いて他の装置と通信する任意の公知の装置の一つまたは組合せであってよい。ノード1、2に加え、ネットワークは他のノード、インターネット等、(公共および/また専用)ネットワークの任意の集合体を介して相互に接続された、例えばサーバ・ステーション、クライアント・ステーション、ホストまたは中央ステーションを含んでいてよい。
【0027】
各ノードはロード・プロシージャを用いて、ノードのソフトウェア実装および/または設定データを使用可能な形式に変換する。初期ロード機能は、実装または設定情報の適当な媒体(例:CD、ROMまたはフラッシュメモリ)への搭載、または実装の一部としての設定データの編集を含む、異なる形式を取り得る。好適には、信頼できる個人またはIT機構が、例えば電源投入スイッチその他のIT環境にアクセス可能な機構を介して、ノードを起動して初期化する機能を開始する。初期化には、例えば、ディスク、ROM、またはフラッシュメモリから、ノード機能およびデータに割り当てられたメモリ空間へ読み込むことにより、各ノードの実装コードおよびデータを実行ドメインへ導入するブート機能が含まれる。初期化機能はまた、ノード内のコードの完全性および設定データの検証を含んでいる。非埋め込み環境において、信頼できる個人は、更に評価されたプロシージャを用いることが必要な場合があり、その後またはその最中に初期化機能はセキュリティ保証初期状態へのノードの変換を完了し、その時点で当該ノードは一貫したセキュリティ関連データを有し、伝搬されたセキュリティ・ポリシー(SP)を正しく施行することができる。
【0028】
分離カーネル
SKは、ノード用に複数の区画を生成することを主要機能とするハードウェアおよび/またはソフトウェア機構を含んでいる。区画とは、SPの全てまたは一部を実装する設定データに従い、自身の制御下にあるリソースからのSKにより実装される抽象概念である。各SK区画は、少なくとも1個の主体および/またはリソースを含んでいる。主体とは、機能、例えばノード間通信機能、を実行するノードの制御範囲内にある任意の稼動エンティティである。リソースは、各ノード内で実行、利用、生成、保護、あるいはエクスポートされる任意のハードウェア、ファームウェア、データおよび/またはソフトウェアを含んでいる。リソースは、主体により個別または同時に使用されて、主体がリソース内の情報にアクセスできるようにする。リソースはまた、伝送、ネットワーク接続、通信バス、I/Oバス、メモリバス、ハードウェアまたはソフトウェア暗号化装置、ソケット・ライブラリ、プロトコル・スタック、デバイス・ドライバ等のリソースを含んでいてよい。
【0029】
リソースは、SKインターフェースを介して外部で利用可能か否かに応じてエクスポート用または内部用かに分類される。SKインターフェースは、SKがリソースまたは主体にアクセス可能にするプログラムまたは設定インターフェースを参照する。リソースを用いてセキュリティ機能を実装する場合、SKインターフェースを介してアクセスできないため、それは内部リソースである。しかし、リソースがどのセキュリティ機能も実装していない場合、SKインターフェースからアクセスできるため、エクスポート用リソースとなる。既定値として全ての区画からアクセスできるリソースは仮想化されてエクスポートされる。区画はそれ自身が稼動エンティティではない点に注意されたい。むしろ、各区画は、SK設定データにより規定されたように、同一ポリシーに基づいて等価である主体の組およびリソースの組を含んでいる。各ノードはSK設定データを用いて、CPU、メモリ等を含む主体およびリソースを分割または別途分離して隔離する。
【0030】
SKは、主体同士を異なる区画に隔離して、完全に各々の区画に属するように見えるリソースの組を各区画が含むようにする。これは仮想化として知られる。例えば、CPUのように一度に1個の主体からしかアクセスされないリソースの仮想化を実現すべく、SKは、異なる区画からの時間的使用パターンが互いにわからないことを保証する。メモリ等の他のリソースは、異なる区画から同時にアクセスできる一方、例えば区画にリソースの異なる非対話的部分が割り当てられていることをSKが保証する場合、理想化された隔離を維持する。更に、自身の内部リソースのSK利用もまた、所望の隔離特性を維持しなければならない。SKはまた、例えばセキュリティ障害、システム障害、またはセキュリティ違反の企図等、障害を検出する監査サービスを提供する。
【0031】
SKの設定
SKは設定データの組を用いて、区画の定義および区画へのリソースの配分を行なう。SK設定データは、初期化を行なう間にノードが用いる制御情報を提供して、セキュリティ保証初期状態および実行中の状態の挙動を規定する。SK設定データは、そのような区画を規定する目的で各々のエクスポートされたリソースを単一の区画に割り当てる(結合する)。全ての主体はまた、区画を規定する目的でSK設定データにより単一の区画に割り当てられる。SK設定データは、SKフローのポリシー設定データおよび対応ポリシー設定データで構成され、区画間および区画内で通信を行なうための情報フロー制御および区画フロー制御ポリシーを規定する。SK非フローポリシー設定データは、監査設定パラメータ、暗号設定パラメータ、クロック設定および自己テストの実行期間等、他の全ての設定可能なSK必須データを規定する。SK設定データの内容およびフォーマットは、施行される情報フロー制御および区画フロー制御ポリシーの範囲および粒度並びにシステム設計の他の要因に応じて、異なる形式を取り得る。
【0032】
ノードの分割
図2に、SKの制御下で動作するノードの例証的な実施形態を示す。当該ノードは例えば無許可データ転送またはデータの無許可モニタリングに起因してSPに違反する情報フローから保護する役割を果たす。一実施形態において、ノードは、単一のSKを実行する任意のハードウェア・リソースを含んでおり、SKはSK設定データに従いノードの複数の区画間および/または内で情報フローを制御する。特に、各ノードは、当該ノードに一意なリソースを保護する自身のSKを実行する。上述のように、SKは自身の制御下にある全てのリソースを区画に分割して、1個の区画内の主体等の稼動エンティティの動作が、当該通信に対する明確な手段がSK設定データにより確立されていない限り、他の区画の稼動エンティティから分離されて、他の稼動エンティティによる検出も、更にはこれらとの通信も不可能にする。このように、ある区画の主体が他の区画の主体と通信することをSK設定データが明示的に許可しない限り、通信は許可されない。
【0033】
図2に、主体1〜3およびリソース4〜10を用いて3個の区画A〜Cに分割されているノードを示す。図に示すように、区画Aは、主体1、2、およびリソース4〜5を含み、区画Bは主体3およびリソース6〜7を含み、区画Cはリソース9、10を含んでいるが主体は含んでいない。矢印は、SK設定データにより実装されるノードのSKフローポリシーを示す。またシステムは、PCSの制御範囲外で動作するエージェントを含んでいてよい。
【0034】
通信システムの分割
PCSが提供する主要な抽象概念がチャネルである。チャネルとは、単一のソース主体から同一または異なるノードに存在する1個以上の宛先主体への接続であり、接続をもたらした任意の物理的または論理的要素を含んでいる。一例証的な実施形態において、PCSは、2種類のセキュリティ・ポリシーに従いチャネルを介した主体の相互作用、すなわちチャネル接続性ポリシーおよびリソース管理ポリシーを調停する。
【0035】
チャネル接続性ポリシーは、主体間の許容可能な接続を記述する。基本的に、当該ポリシーは、PCSにより提供されるチャネルを介して直接通信できる主体を制限するアクセス制御ポリシーである。リソース管理ポリシーは、チャネルの実装に用いる共有通信リソースがチャネル間でどのように割り当てられるか、および共有リソースの使用を通じてチャネルが互いに影響を及ぼす(協力的にまたは偶然)度合いを記述する。リソースポリシーが、異なるチャネルが互いに影響を及ぼすのを許さない場合、主体によるチャネル利用は、第1のチャネルから分離するよう指定された他の任意のチャネルに対して実行された動作の結果を調べている主体またはエージェントからは一切見えない。
【0036】
PCSおよびSKを用いて構築可能な要素の例として、セキュリティ保証ミドルウェア(CORBA、DDS、ウェブ・サービス、SQLまたはクライアント/サーバデータベース)、電子メール、インスタント・メッセージング、分散型高信頼ダウングレーダー、およびガードを含んでいる。SKにより施行されるセキュリティ・ポリシーの「端末間」バージョンを可能にすることにより、PCSはセキュリティ保証分散処理システムの構築を容易にする。PCSが用いられるシステムは、遠隔操作プロシージャ呼出し(RPC)機能またはインターフェース定義言語(IDL)等の特徴に対応しているミドルウェアを含んでいてよい。
【0037】
PCSの設定
図3に、PCS設定データにて説明したように、チャネル接続性ポリシーおよびリソース管理ポリシーを含むPCSセキュリティ・ポリシー(SP)に関する例証的な実施形態を示す。グラフの全ての矢印は、単一のソース主体から1個以上の宛先主体への論理的一方向チャネルを表わす。図に示すように、セキュリティ・ポリシーSPにより、主体がリソースグループ1内の一方向のPCSチャネルを介して主体AおよびBと通信することを許す。同様に、セキュリティ・ポリシーにより主体Aは、リソースグループ2内の一方向PCSチャネルを介して主体Cおよび主体Dと通信することができる。しかし、主体は、SPに違反することなくそれらのリソースグループ外の他の主体と通信することはできないかもしれない。当業者によって理解されるであろうが、本図がSPの簡単な実施形態を示す点、および異なる制約、主体の数、およびリソースの数を有する他の異なるリソースポリシーを用いてもよい点に注意されたい。リソースグループの利用により、通信リソースは異なるグループに属しているチャネルから完全に分離される。PCS設定データはまた、リソースグループ内の相互作用を制約する場合がある。グループ内のリソースに基づく相互作用の程度が、PCS設定データにより指定され、より詳細なポリシーがグループ内での相互作用に対して更なる制約を課す場合がある。PCS設定データはまた、主体レベルまたは区画レベルの制御粒度を規定する。
【0038】
チャネル接続性およびリソース管理ポリシーを含む、PCS設定データの表現形式は、明示または導出されたかのいずれにせよ任意の適切な形状の仕様であってよい。好適には、PCS設定データ仕様は一義的であって、人間の審査官(恐らくはツールの支援を受けて)が、ポリシーにより何らかの所定の可能な接続が許可されて、全てのリソース配分規則がポリシーにより指定されているか否かを判定できるようにする。
【0039】
PCSの動作
PCSはSKに依存しているため、SKが自身をロードし、全てのクライアント区画(CP)、PCS区画、デバイス・ドライバ区画等を含む区画をロードするまで、自身の初期化を開始することができない。次いで、SKはPCS区画の実行を開始する。SKはPCSのコードおよびデータを正しい区画(群)に正確にロードして、回復不能なエラーが正しいロードを阻害する場合にはPCSに通知する。
【0040】
図4に、本発明による2個のノード1、2の間にノード間通信を提供するシステムの例証的な実装を示す。各ノードは、メモリ割り当て、コードのローディング、通信リソースの割り当て、I/O取扱い等を提供する対応SKl、SK2を実行する。図に示すように、SKl、SK2の各々は、対応PCSl、PCS2をノード1、2にロードしてノードを分割する。SKlはノード1をCPlおよびCP2に分割し、これらはPCS1からアクセスすべく設定され、SK2はノード2をCP3およびCP4に分割し、これらはPCS2からアクセスすべく設定される。
【0041】
SKが初期化されたならば、PCS制御区画は、チャネル接続性ポリシー、リソース管理ポリシー、およびネットワーク記述を含むPCS設定データをロードする。PCSは、検出可能な失敗に起因するチャネル接続性ポリシーまたはリソース管理ポリシーの違反が生じないことを保証する。
【0042】
図5に、図4のシステムのより詳細な実施形態を示す。破線で示すように、PCSは、信頼できない主体やエージェントにより自身および自身のリソースが外部から改竄されたり無許可に開示されたりしないよう保護すべく自身の実行ドメインを維持する。PCSドメインは、チャネル端点(CE)区画または主体を介した接続性を実装する多くの区画を含んでいる。PCS設定コードおよびデータ区画は、設定データおよびバインディングを管理する責任を負う。PCS設定データは、基盤であるSKの対応に従い、主体または分割レベルのいずれかにおいてCEへのバインディングを規定する。
【0043】
分離されたノード上の主体間でデータ通信を行なう前に、PCSは通信に関与するノードが一貫した設定データを有することを保証する。PCS設定データの全てを各ノードに保存する必要が無い点に留意されたい。各ノードで必要とされるのは、当該ノードが通信する権限を与えられている他のノードの設定と自身の設定が整合しているものと判定するに足るPCS設定データの部分集合だけである。複数の部分的なPCS設定は、ノードがそれらを利用した結果、当該部分的ポリシーが部分集合をなす完全なポリシーに違反しない場合、整合性がある。ノード間通信を実行する前に、全てのノードが互換な設定データを有することを検証することにより、PCS設定データに対する不注意または悪意による変更が防止される。
【0044】
ネットワークがアクセスするハードウェア/ソフトウェア、暗号ハードウェア/ソフトウェア等、全ての共有リソースに対して、PCSはそれらのリソースを初期化してテストする。全てのチャネルに対して、送信CEは全ての受信CEとの相互認証を実行して、それらの端点との共有機密鍵を確立する。一実施形態において、SK初期化を行なう間にチャネル用のタイムスライスおよびRAM空間等の計算リソースの割り当てが完了されて、ブート時にはPCSによる明示的な取扱いを必要としない。共有リソースおよびチャネルの初期化が完了したならば、チャネルがデータ通信の準備を完了している旨がCP内の主体に通知される。一例証的な実施形態において、主体はSKのRPC経由でチャネルを介したデータ通信を開始する。
【0045】
一例証的な実施形態において、基盤であるSKの設定により、あるノード内の主体が、PCSを起動することなく、分離されたノード内の主体とデータ通信することが防止される。SKはまた、自身の制御下のリソースを主体が利用可能になる時点の制御をPCSに行なわせることにより、PCSが許可を与えるまで当該リソースへのアクセス権を保持することができる。SKは、PCS区画に存在するデータについて当該PCSに属する主体以外の主体による変更を一切許可しないことにより、区画を相互に保護する。好適には、PCSを用いるシステムは、ネットワークの物理層における基盤である通信機構の可用性に対する脅威に対処する特徴を含んでいて、その特徴はPCSを迂回する機構を介した通信リソースへのアクセス権を有する。
【0046】
セキュリティに対する脅威
エージェントは、データ通信に対するセキュリティ脅威を及ぼす稼動エンティティを表わす。エージェントは、故意または意図しないSP違反を試みる悪意または不具合を有するソフトウェアまたはハードウェア・エンティティであってよい。エージェントは、ノードが通信する情報を不正に生成およびモニタする、ノードの不具合を有する要素であっても、あるいはノード内部または外部の悪意を有する装置であってもよい。
【0047】
セキュリティ違反を防止すべく、PCSはSKが提供するインターフェースを提供すると共に依存もする。SKが信頼するに足ると保証されたサービスを提供するインターフェースを除いて、PCSはこれらのインターフェースの使用または可用性からの脅威に対して自身を保護しなければならない。一方、悪意のあるエージェントがSPに違反してSKインターフェースを用いる恐れがある。これらのインターフェースは、PCSの認証、完全性、または秘匿要件を満たす保証をSKが提供できない点が独特である。結果的に、PCSは、ノード間通信インターフェースを介して潜在的に敵対的なソースから到来する全ての受信データを扱う。
【0048】
以下は、PCSが対処するセキュリティ脅威のいくつかの例である。悪意のあるエージェントは、自身がノード間で送信される間に、主体またはデータを損傷しようと試みる場合がある。エージェントは、ノード間通信チャネルを介して送信されるメッセージの有無を観察することにより情報を不正に取得しようと試みる場合がある。悪意または不具合を有する主体は、意図的でない通信経路を用いて別の主体と通信することにより、SPに違反しようと試みる場合がある。悪意または不具合を有する主体は、共有通信リソースを使い果たすかまたは独占することにより、他の主体の通信を阻害または遅延させようと試みる場合がある。エージェントは、直接ネットワーク・データを読むことにより、SPに違反して主体データを見ようと試みる場合がある。悪意または不具合を有する主体は、使用の準備ができていないリソースを調べることにより、主体データへの不正アクセスを試みる場合がある。悪意または不具合を有する主体は、データがPCS区画内に存在する間にこれを修正して、別の主体へ送られるデータの変更を試みる場合がある。悪意または不具合を有する主体またはエージェントは、構文的または意味論的に無効な要求をPCSに渡すことにより、PCSに自身または自身の制御下にある主体データを損傷しようと試みる場合がある。悪意または不具合を有する主体またはエージェントは、無効なデータをPCSインターフェースに提示することにより別の主体になりすまして、主体データを脅威にさらそうと試みる場合がある。悪意または不具合を有する主体は、PCSにSPの施行を失敗させて、システム・セキュリティおよび主体データの両方を脅威にさらすことにより、PCS設定データまたは他の内部データ構造を変更しようと試みる場合がある。悪意または不具合を有する主体は、不適当にクリアされたか不完全に初期化された共有リソースから不正な情報を得ようと試みる場合がある。悪意または不具合を有する主体は、自身が通信する許可を与えられていない情報を主体またはエージェントへ送ろうと試みる場合がある。
【0049】
隠れチャネル
PCSは、分離されたノードにある2個の主体間の通信の有無を、ノード間通信を調べる能力を有するエージェントが認識可能になることを防止する。PCSは、通信に関与しない主体またはエージェントが通信チャネルの使用を観察できないことを保証する。また、PCSは、チャネルがSPにより分離されることを要求された場合に、あるチャネルを使用したことで別のチャネルの認識可能な挙動に影響を及ぼすことを防止する。PCSは、PCS設定データに記述されている情報フローポリシーにより明示的に承認された情報しか流すことを許可しない。一実施形態においてPCSは、結果的に不正な情報フローを生じるエージェントにより、トラフィック分析に対する保護を提供する。PCSは、この種の不正情報フローを排除または制限する仕方で通信リソースの露出した特徴を隠蔽またはマスキングすることにより、トラフィック分析の脅威に対処する。PCSは、露出した特徴を意図された受取人以外の全てのエンティティから隠蔽する。しかしPCSは、意図した受取人に対してこれらの特性を隠蔽しない。PCSは、1個以上のチャネルを介してデータ通信を行なう際に、あるノードの主体と別のノードの1個以上の主体とを分離することにより、エージェントから特性を隠蔽する。PCS設定データは、異なるノード上の主体を分離するパラメータを設定する。
【0050】
より具体的には、PCSは、ノード間の1個以上のメッセージの通信が、CE間または1個以上の通信リソース間で露出した通信特性から独立した、既定の通信基準を満たすようにノード間通信を制御する。露出した通信特性は、1個以上のメッセージのタイミング、1個以上のメッセージの持続時間、1個以上のメッセージの通信頻度、1個以上のメッセージのサイズ、1個以上のメッセージの発信元、1個以上のメッセージの宛先、および1個以上のメッセージの内容に関係していてよい。既定の通信基準はまた、割り当てられた通信スループット、割り当てられた帯域幅、割り当てられたデータレート、またはシステムの動作モードを満たすことに関係していてよい。通信基準に全ての割り当てられた帯域幅を取り入れている実施形態の場合、利用可能な帯域幅の部分的共有または利用可能な帯域幅の比例的共有のいずれかが、利用可能な帯域幅の部分的共有または利用可能な帯域幅の比例的共有を用いてもよい。
【0051】
一実施形態において、PCSは、異なるノードの主体間で通信されるデータをパディングすることにより、チャネルを介したエージェントからの露出した通信特性を隠蔽する。この構成において、CEはCPにおいて送るべきデータがなくなるかまたは上限に達するまで、SKのIPC機構を用いてCPからデータを読む。この例の場合、上限がPCS設定データにより規定された定数であると仮定する。上限の例は、1ミリ秒のタイムスライス毎に30キロバイトである。CPが上限を満たすのに十分なデータを提供しない場合、送信側CEはデータをパディングして当該データの長さを上限に等しくする。例えば、上限が30KB/ミリ秒であってCPが10KBを提供する場合、送信側CEはデータを20KBでパディングする。あるいは、送信側CEはまた、追加的なメッセージを含んでいてもよい。送信側CPは、掲示するステップを繰り返しながら次のタイムスライスの開始を待つ。タイムスライスを満たす以外に、CEはまた、隠れチャネルおよび不正情報フローを隠蔽するかまたは排除すべく、既定の通信基準に従い通信されるメッセージの量、頻度、サイズを変更することができる。
【0052】
受信側チャネル端点が実行する動作は基本的に、送信側チャネル端点が実行するものの逆である。受信側チャネル端点は、送られてきたものからデータを取り出して、解読し、パディングを排除して、最後にクライアント区画へ渡す。受信側チャネル端点が実行するレート制限は無い。
【0053】
送信の秘匿
送信側CEもまた、以前に確立された共有機密を用いて、パディングされたデータを暗号化する。この暗号化は、CEによりソフトウェアを用いて実行することも、あるいはハードウェア暗号化装置へ受け渡されてもよい。
【0054】
好適には、エージェントによるメッセージ内容の盗聴に起因して、情報フロー制御ポリシーは、不正情報フローを排除する暗号理論または暗号化によるノード間送信の秘匿を必要とする。秘匿および認証の保証を与えるべく、PCSは信頼できる共有機密を確立して相互認証を実行する。この仕組みはしばしばシステムの「信頼アンカー」と呼ばれる。暗号理論的に強い完全性検証は(CRCの類のより弱い方法とは異なり)、悪意のあるエージェントが存在する状況で主体によりノード間で通信されるデータの完全性の検証に対応するために必要である。信頼アンカーを提供する例証的な仕組みは、静的共有機密、信頼の分散ウェブ(PGPモデル)、集中化された公開鍵インフラ(PKI)(現在使用されている最も安全な電子メールおよびウェブ識別スキームのモデル)を含んでいる。
【0055】
データの完全性
PCSは、主体によりノード間でデータ通信が行なわれる際に、SP施行のために完全性が必要な全てのユーザーデータおよび全てのセキュリティに関連したデータの完全性を検証する。PCSは、PCS設定データに保存されているチャネルの接続性およびリソース管理ポリシー属性に基づいて、システムの物理的に分離された部分間で送信される際にデータを分離する。PCSは、送信されたデータに何らかの変更が無いかを調べるため、システムの物理的に分離された部分間で送信されるユーザーデータをモニタする。PCSは、送信の完全性を実現すべく、ユーザーデータ送信後にその変更を防止する。PCSは、各々の通信要求を検証して、変更のため送信されたユーザーデータをモニタする。PCSはシステムの分離された部分間で送信されたデータについて、データの変更、データの置換、データの削除を検出する。
【0056】
リソースの共有
主体間におけるメモリバッファ等の通信リソースの共有は、これらのリソースがある主体から切り離されて別の主体へ割り当てられる際に、不正情報フローの可能性が生じる。PCSは、全ての主体からリソースが割り当てまたは切り離された場合に、過去のリソース情報が一切利用できなくなることを保証する。一実施形態において、PCSは、共有リソース、メモリ、レジスタ等の内容から、過去の利用から持ち越された関連残り情報をクリアする。
【0057】
メッセージの再生
PCSは、再生されたメッセージのノード間通信が成功しないようにする。例えば、PCSが元のメッセージを、不具合または悪意のあるエージェントから送られた元のメッセージの再生と区別できない場合、当該エージェントは再生されたメッセージを用いて不正な情報フローを生成することができる。PCSは、再生が検出された場合にメッセージを廃棄して潜在的に記録することにより、データの配信または使用を防止する。
【0058】
自己証明
不具合のある主体またはエージェントが別のエンティティになりすますことができる場合、不正な情報フローが生じる恐れがある。一実施形態において、PCSは各主体に対し、当該主体に代わって他のいずれかのPCSが調停した動作を許可する前に、自己証明するよう要求する。その結果、主体の自己証明が検証されて情報フローがチャネル接続およびリソース管理ポリシーに準拠するならば、情報フローポリシーは被制御主体と被制御情報との間での被制御動作を介した情報フローを許可する。PCSは何らかのポリシーを適用する前に、主体またはノードの自己証明を検証するが、これは主体またはノードの自己証明に応じて条件付である。
【0059】
配分
PCSは、主体がリソースを独占するのを防止することにより、当該リソースを他の主体に利用することを禁止する。共有リソースの使用から生じるサービスの拒否を防止すべく、PCSは共有リソースの使用を調停して、あるチャネルの実装に用いるリソースが別のチャネルの実装に用いるリソースに影響を及ぼすことを防止する。PCSは、PCS設定データに指定されている使用配分を施行する。より具体的には、PCSは、チャネルおよび主体が同時に使用可能な共有可能通信リソースの最大配分を施行する。PCSはまた、チャネルおよび主体が同時に使用できるように利用可能な通信リソースの各々の比例的共有の最小量の供給を保証する。
【0060】
意味論的検証
PCSは、全ての要求を検証して、要求が意味論的に妥当であって、SPを損傷したり違反したりしていないことを保証する。
【0061】
監査
PCSは、障害に続くロギング要素により保存する監査情報を生成することにより、損害評価機能を提供する。PCSは、検出した全てのセキュリティに関連した事象を記載する監査データを選択的に生成する。これらの事象には、PCSの初期化、システムの設定データの成功または失敗した検証、他のノードへの/からの接続、およびシステムセキュリティ機能を破るかまたは迂回する明らかな試みが含まれるが、これらに限定されない。
【0062】
結論
上記内容からPCSが、通信に対して設定可能な分離セキュリティ・ポリシーを施行しながら、分離されたノードの隔離された区画で実行されている主体の間でノード間通信を提供するハードウェアおよび/またはソフトウェアの任意の適当な組合せを含んでいることが理解されよう。その結果PCSは、分散処理システムにおいて分離されたノードで実行されている主体の間でのポリシー準拠の通信を可能にする。このようにして、PCSは、区画間でのノード間通信に起因するデータの秘匿または完全性に対する新たな脅威をもたらす恐れ無しに、ノードの分割の再設定を可能にし、通信のセキュリティに関して本質的に位置透過な仕方でノード間通信を保護する。
【0063】
より具体的には、PCSは、明示的に承認された情報フローしか生じさせないことにより、チャネルの利用が不正な主体またはエージェントに可視的なリソースに影響を及ぼす仕方で共有通信リソースに影響を及ぼすことを防止する。とりわけ、PCSもまた、データ秘匿保護およびトラフィック分析からの保護を提供する。PCSは、共有通信リソースを管理してチャネル分離および使用配分を行なう。PCSは、ノードおよび主体を認証して、データの完全性を検証する。
【0064】
本発明について、例証的な実施形態に関して詳細に述べてきたが、本発明のより広い態様のから逸脱することなく、変更及び改良を行ない得ること、および請求項に記載の本発明は従って、そのような変更および改良が本発明の真の精神に含まれるよう意図していることがここで上記の当業者にとって明らかになる。
【図面の簡単な説明】
【0065】
【図1】本発明によるPCSを用いるシステムの簡単なブロック図である。
【図2】図1のシステムで用いるノードの論理ブロック図である。
【図3】例証的なPCS構成を示す論理ブロック図である。
【図4】PCSを用いて2個のノード間でデータ通信を行なうシステムの論理ブロック図である。
【図5】図4のシステムのより詳細な論理ブロック図である。
【特許請求の範囲】
【請求項1】
1個以上のチャネルを介して相互に通信する少なくとも2個のノードであって、各ノードが一方のノードにある少なくとも1個の主体を規定する分離カーネル(SK)の管理下で動作し、前記少なくとも1個の主体が他方のノードにある1個以上の主体とデータ通信を行なう2個のノードと、
前記1個以上のチャネルの他方チャネルの少なくとも1個からチャネルを分離する分割通信システム(PCS)とを含む通信システム。
【請求項2】
前記PCSが、PCS設定データに従いデータの通信を制御する、請求項1に記載の通信システム。
【請求項3】
前記PCS設定データが、割り当てられた通信スループット、割り当てられた帯域幅、割り当てられたデータレート、または利用可能な帯域幅の比例的共有のうち一つ以上を規定する、請求項2に記載の通信システム。
【請求項4】
前記PCSが、前記PCS設定データに従い、データの量、データのタイミング、データの持続時間、データの通信頻度、データのサイズ、データの発信元、データの宛先、およびデータの内容のうち少なくとも一つを変更する、請求項2に記載の通信システム。
【請求項5】
前記SKが、前記1個以上のチャネルを生成すべく用いられる1個以上のリソースを規定する、請求項2に記載の通信システム。
【請求項6】
前記1個以上のリソースが、通信バスリソース、プロトコル・スタックリソース、暗号化リソース、実行タイムスライス、または実行頻度のうち一つ以上を含む、請求項5に記載の通信システム。
【請求項7】
1個以上のチャネルを介して2個のノード間でデータ通信を行なう方法であって、
各ノード上に複数の分離された区画を規定するステップと、
前記各ノード上の分離された複数の区画の少なくとも1個を、前記1個以上のチャネルを介してデータ通信を行なう1個以上の主体に割り当てるステップと、
前記1個以上のチャネルの他方チャネルの少なくとも1個からチャネルを分離するステップとを含む方法。
【請求項8】
前記PCSが、PCS設定データに従いデータの通信を制御する、請求項7に記載の方法。
【請求項9】
前記PCS設定データが、割り当てられた通信スループット、割り当てられた帯域幅、割り当てられたデータレート、または利用可能な帯域幅の比例的共有のうち一つ以上を規定する、請求項8に記載の方法。
【請求項10】
前記PCSが、前記PCS設定データに従い、データの量、データのタイミング、データの持続時間、データの通信頻度、データのサイズ、データの発信元、データの宛先、およびデータの内容のうち少なくとも一つを変更する、請求項8に記載の方法。
【請求項11】
前記分離カーネル(SK)が、前記1個以上のリソースを規定すべく前記ノードを分割する、請求項7に記載の方法。
【請求項12】
前記1個以上のリソースが、通信バスリソース、プロトコル・スタックリソース、暗号化リソース、実行タイムスライス、または実行頻度のうち一つ以上を含む、請求項11に記載の方法。
【請求項13】
1個以上のチャネルを介して別のノードとデータ通信を行なうノードであって、
複数の設定可能な区画を生成する分離カーネルと、
前記1個以上のチャネルの他方チャネルの少なくとも1個からチャネルを分離する通信コントローラとを含むノード。
【請求項14】
前記通信システムが、前記ノード内の前記複数の区画の少なくとも1個と、他方のノード内の1個以上の区画との間の1個以上のチャネルを介したデータ通信分離を提供する分割通信システム(PCS)を含む、請求項14に記載のノード。
【請求項15】
前記PCSが、情報フローポリシーに従いノード間通信を制御する、請求項15に記載のノード。
【請求項16】
前記PCSが、情報フローポリシーの違反を防止すべく、前記1個以上のチャネルの少なくとも1個を介して露出した通信特性を隠蔽する、請求項16に記載のノード。
【請求項17】
前記情報フロー制御ポリシーが、暗号理論または暗号化によるノード間通信の秘匿を要求する、請求項16に記載のノード。
【請求項18】
前記1個以上のチャネルを介してデータ通信を行なう少なくとも1個の主体が、前記複数の区画の少なくとも1個に割り当てられる、請求項15に記載のノード。
【請求項19】
前記PCSが、前記1個以上のチャネルを介した前記少なくとも1個の主体の通信の限度を規定するアクセス制御ポリシーを実装する、請求項19に記載のノード。
【請求項20】
前記PCSが、少なくとも1個の主体に自身を識別することを要求する、請求項15に記載のノード。
【請求項21】
データ通信を行なうべく前記1個以上のチャネルが用いる1個以上のリソースが、前記複数の区画の少なくとも1個に割り当てられる、請求項15に記載のノード。
【請求項22】
前記PCSが、前記1個以上のリソースを共有するリソース管理ポリシーを実装する、請求項22に記載のノード。
【請求項23】
前記リソース管理ポリシーが、前記1個以上のチャネルがどのように相互に影響を及ぼすかを規定する、請求項23に記載のノード。
【請求項24】
前記リソース管理ポリシーが、前記1個以上のリソースを共有する配分を規定する、請求項23に記載のノード。
【請求項25】
前記PCSが、前記1個以上のリソースから、各リソース使用後に残りの情報をクリアする、請求項15に記載のノード。
【請求項26】
前記PCSが、不正に再生されたデータの配信または使用を防止する、請求項15に記載のノード。
【請求項1】
1個以上のチャネルを介して相互に通信する少なくとも2個のノードであって、各ノードが一方のノードにある少なくとも1個の主体を規定する分離カーネル(SK)の管理下で動作し、前記少なくとも1個の主体が他方のノードにある1個以上の主体とデータ通信を行なう2個のノードと、
前記1個以上のチャネルの他方チャネルの少なくとも1個からチャネルを分離する分割通信システム(PCS)とを含む通信システム。
【請求項2】
前記PCSが、PCS設定データに従いデータの通信を制御する、請求項1に記載の通信システム。
【請求項3】
前記PCS設定データが、割り当てられた通信スループット、割り当てられた帯域幅、割り当てられたデータレート、または利用可能な帯域幅の比例的共有のうち一つ以上を規定する、請求項2に記載の通信システム。
【請求項4】
前記PCSが、前記PCS設定データに従い、データの量、データのタイミング、データの持続時間、データの通信頻度、データのサイズ、データの発信元、データの宛先、およびデータの内容のうち少なくとも一つを変更する、請求項2に記載の通信システム。
【請求項5】
前記SKが、前記1個以上のチャネルを生成すべく用いられる1個以上のリソースを規定する、請求項2に記載の通信システム。
【請求項6】
前記1個以上のリソースが、通信バスリソース、プロトコル・スタックリソース、暗号化リソース、実行タイムスライス、または実行頻度のうち一つ以上を含む、請求項5に記載の通信システム。
【請求項7】
1個以上のチャネルを介して2個のノード間でデータ通信を行なう方法であって、
各ノード上に複数の分離された区画を規定するステップと、
前記各ノード上の分離された複数の区画の少なくとも1個を、前記1個以上のチャネルを介してデータ通信を行なう1個以上の主体に割り当てるステップと、
前記1個以上のチャネルの他方チャネルの少なくとも1個からチャネルを分離するステップとを含む方法。
【請求項8】
前記PCSが、PCS設定データに従いデータの通信を制御する、請求項7に記載の方法。
【請求項9】
前記PCS設定データが、割り当てられた通信スループット、割り当てられた帯域幅、割り当てられたデータレート、または利用可能な帯域幅の比例的共有のうち一つ以上を規定する、請求項8に記載の方法。
【請求項10】
前記PCSが、前記PCS設定データに従い、データの量、データのタイミング、データの持続時間、データの通信頻度、データのサイズ、データの発信元、データの宛先、およびデータの内容のうち少なくとも一つを変更する、請求項8に記載の方法。
【請求項11】
前記分離カーネル(SK)が、前記1個以上のリソースを規定すべく前記ノードを分割する、請求項7に記載の方法。
【請求項12】
前記1個以上のリソースが、通信バスリソース、プロトコル・スタックリソース、暗号化リソース、実行タイムスライス、または実行頻度のうち一つ以上を含む、請求項11に記載の方法。
【請求項13】
1個以上のチャネルを介して別のノードとデータ通信を行なうノードであって、
複数の設定可能な区画を生成する分離カーネルと、
前記1個以上のチャネルの他方チャネルの少なくとも1個からチャネルを分離する通信コントローラとを含むノード。
【請求項14】
前記通信システムが、前記ノード内の前記複数の区画の少なくとも1個と、他方のノード内の1個以上の区画との間の1個以上のチャネルを介したデータ通信分離を提供する分割通信システム(PCS)を含む、請求項14に記載のノード。
【請求項15】
前記PCSが、情報フローポリシーに従いノード間通信を制御する、請求項15に記載のノード。
【請求項16】
前記PCSが、情報フローポリシーの違反を防止すべく、前記1個以上のチャネルの少なくとも1個を介して露出した通信特性を隠蔽する、請求項16に記載のノード。
【請求項17】
前記情報フロー制御ポリシーが、暗号理論または暗号化によるノード間通信の秘匿を要求する、請求項16に記載のノード。
【請求項18】
前記1個以上のチャネルを介してデータ通信を行なう少なくとも1個の主体が、前記複数の区画の少なくとも1個に割り当てられる、請求項15に記載のノード。
【請求項19】
前記PCSが、前記1個以上のチャネルを介した前記少なくとも1個の主体の通信の限度を規定するアクセス制御ポリシーを実装する、請求項19に記載のノード。
【請求項20】
前記PCSが、少なくとも1個の主体に自身を識別することを要求する、請求項15に記載のノード。
【請求項21】
データ通信を行なうべく前記1個以上のチャネルが用いる1個以上のリソースが、前記複数の区画の少なくとも1個に割り当てられる、請求項15に記載のノード。
【請求項22】
前記PCSが、前記1個以上のリソースを共有するリソース管理ポリシーを実装する、請求項22に記載のノード。
【請求項23】
前記リソース管理ポリシーが、前記1個以上のチャネルがどのように相互に影響を及ぼすかを規定する、請求項23に記載のノード。
【請求項24】
前記リソース管理ポリシーが、前記1個以上のリソースを共有する配分を規定する、請求項23に記載のノード。
【請求項25】
前記PCSが、前記1個以上のリソースから、各リソース使用後に残りの情報をクリアする、請求項15に記載のノード。
【請求項26】
前記PCSが、不正に再生されたデータの配信または使用を防止する、請求項15に記載のノード。
【図1】
【図2】
【図3】
【図4】
【図5】
【図2】
【図3】
【図4】
【図5】
【公表番号】特表2008−537613(P2008−537613A)
【公表日】平成20年9月18日(2008.9.18)
【国際特許分類】
【出願番号】特願2007−558145(P2007−558145)
【出願日】平成18年3月2日(2006.3.2)
【国際出願番号】PCT/US2006/007145
【国際公開番号】WO2006/093995
【国際公開日】平成18年9月8日(2006.9.8)
【出願人】(507296148)オブジェクティヴ インターフェイス システムズ インコーポレイテッド (1)
【Fターム(参考)】
【公表日】平成20年9月18日(2008.9.18)
【国際特許分類】
【出願日】平成18年3月2日(2006.3.2)
【国際出願番号】PCT/US2006/007145
【国際公開番号】WO2006/093995
【国際公開日】平成18年9月8日(2006.9.8)
【出願人】(507296148)オブジェクティヴ インターフェイス システムズ インコーポレイテッド (1)
【Fターム(参考)】
[ Back to top ]