JP4550558B2 - Access control setting system - Google Patents
Access control setting system Download PDFInfo
- Publication number
- JP4550558B2 JP4550558B2 JP2004339105A JP2004339105A JP4550558B2 JP 4550558 B2 JP4550558 B2 JP 4550558B2 JP 2004339105 A JP2004339105 A JP 2004339105A JP 2004339105 A JP2004339105 A JP 2004339105A JP 4550558 B2 JP4550558 B2 JP 4550558B2
- Authority
- JP
- Japan
- Prior art keywords
- domain
- access control
- file
- resource
- log
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Images
Landscapes
- Storage Device Security (AREA)
Description
本発明は、セキュアOSのアクセス制御ログを利用したアクセス制御設定システムに関する。 The present invention relates to an access control setting system using an access control log of a secure OS.
現在広く使われているOS(Operating System)のアクセス制御は、リソースの所有者がそのリソースへのアクセス(操作)権限を設定する。また、全ての権限をもつ特権というものが存在する。それに対して、セキュアOSとは、全権を持つ特権を排除し、実際の処理を実行するプロセス毎にドメイン(リソースへのアクセス権限)を割り当て、各プロセスはそれに割り当てられたドメイン内でリソースにアクセスできるようにしたOSである。 In the OS (Operating System) access control that is widely used at present, the resource owner sets the access (operation) authority to the resource. There is also a privilege with all the authority. On the other hand, the secure OS eliminates privileges with all rights, assigns a domain (resource access authority) to each process that executes the actual processing, and each process accesses resources within the assigned domain. It is an OS that can be used.
セキュアOSのこの機能により、権限のないリソースに対するプロセスからの全てのアクセス及び権限のあるリソースアクセス以外の当該リソースに対するプロセスからの全てのアクセスが排除(拒否)されることが保証される。従って、プログラムにセキュリティホール(欠陥)があり、攻撃者にプロセスが乗っ取られたとしても、このプロセスからアクセス権限がないリソースへのアクセスは排除されるため、その被害を最小限にすることができる。 This function of the secure OS ensures that all access from the process to the unauthorized resource and all access from the process to the resource other than authorized resource access are excluded (denied). Therefore, even if there is a security hole (defect) in the program and the attacker hijacks the process, access to resources without access privileges from this process is eliminated, so the damage can be minimized. .
また、ドメインをプロセスに割り当てる際には、「ドメイン遷移」というメカニズムが使用されている。ドメインAが割り当てられているプロセスPが子プロセスQを生成した場合、この生成された子プロセスQのドメインは、デフォルトでは、親のプロセスPと同じドメインAのままである。しかし、ドメイン遷移を行なうことにより、子プロセスQのドメインを変えることができる。 When assigning a domain to a process, a mechanism called “domain transition” is used. When the process P to which the domain A is assigned generates a child process Q, the domain of the generated child process Q remains the same domain A as the parent process P by default. However, the domain of the child process Q can be changed by performing domain transition.
ここで、ドメイン遷移とは、生成された子プロセスに、生成されたときにデフォルトとして割り当てられているドメインとは異なるドメインを割り当てる機能のことであり、予めドメイン遷移を設定しておくことでこの機能が有効になる。ドメイン遷移の例としては、「ドメインAを割り当てられたプロセスPが子プロセスQを生成した場合、生成された子プロセスQにドメインBを割り当てる」というものである。この例では、子プロセスQにドメインBが割り当てられ、親プロセスPのドメインAとは異なったドメインが割り当てられたことなる。 Here, the domain transition is a function for assigning a domain different from the domain assigned as a default when it is created to the created child process. The function is enabled. An example of domain transition is “if process P assigned domain A generates child process Q, domain B is assigned to the generated child process Q”. In this example, the domain B is assigned to the child process Q, and a domain different from the domain A of the parent process P is assigned.
セキュアOSは、プロセスのリソースに対するアクセス結果をアクセス制御ログファイルにログとして出力することができる。そこで、アクセス制御ログファイルを解析することにより、セキュアOSの運用管理に活用することができる。 The secure OS can output the access result for the process resource to the access control log file as a log. Therefore, by analyzing the access control log file, it can be used for operation management of the secure OS.
アクセス制御ログファイルを利用して、システムの運用管理に活用する技術の一例として、ログをキーワードでマッチングし、障害に対する対処方法をテキストで表示する技術が知られている(例えば、特許文献1参照)。 As an example of a technique used for system operation management using an access control log file, a technique for matching a log with a keyword and displaying a coping method for a failure in a text is known (for example, see Patent Document 1). ).
また、他の例として、ログの統計情報を取り、システムの運用に活用することができるようにした技術が提案されている(例えば、特許文献2参照)。
セキュアOSからは、あるドメインが割り当てられているプロセスがリソースにアクセスして拒否された場合、項目「拒否―ドメイン―プロセス―リソース―操作」の組からなる情報が、ログとして、アクセス制御ログファイルに出力される。例えば、「ドメインhttpd_t」が割り当てられている「プロセス/sbin/httpd」がリソースである「ファイル/var/www」に対して操作「読み込み」をしたところ、これが拒否された場合、「拒否―ドメインhttpd_t―プロセス/sbin/httpd―ファイル/var/www―読み込み」というログがアクセス制御ログファイルに出力される。従って、このログから、「ドメインhttpd_t」には、「ファイル/var/www」に対して「読み込み可」という設定を追加することが必要なことが分かる。 From a secure OS, when a process to which a certain domain is assigned is denied when accessing a resource, the information consisting of the item "deny-domain-process-resource-operation" is stored as an access control log file. Is output. For example, if "process / sbin / httpd" to which "domain httpd_t" is assigned performs an operation "read" on the resource "file / var / www" and this is rejected, "reject-domain" The log “httpd_t—process / sbin / httpd—file / var / www—read” is output to the access control log file. Therefore, it can be seen from this log that it is necessary to add a setting “readable” to “file / var / www” in “domain httpd_t”.
なお、アクセスが許可された場合でも、ログが出力される。例えば、「許可―ドメインhttpd_t―プロセス/sbin/httpd―ファイル/var/www―読み込み」というログは、「ドメインhttpd_t」が割り当てられている「プロセス/sbin/httpd」が「ファイル/var/www」に対して「読み込みが許可された」ということを意味している。 Even when access is permitted, a log is output. For example, the log “permission-domain httpd_t-process / sbin / httpd-file / var / www-read” indicates that “process / sbin / httpd” to which “domain httpd_t” is assigned is “file / var / www” Means that "reading is permitted".
実際に、セキュアOSにおいて、アクセス制御の設定(アクセス制御設定)、即ち、ドメインの設定(ドメイン設定)とドメイン遷移の設定(ドメイン遷移設定)をする場合には、システムをテスト稼動し、プロセスのリソースに対するアクセスが拒否されたとき、このアクセス結果のログを見て、このプロセスに対してこのアクセスを許可するドメインの設定とドメイン遷移の設定をすることでアクセス制御設定を行なう。 In fact, in secure OS, when setting access control (access control setting), that is, when setting domain (domain setting) and domain transition (domain transition setting), test the system, When access to a resource is denied, access control setting is performed by setting a domain that permits this access and a domain transition by looking at the log of the access result.
アクセス制御ログファイルを利用してアクセス制御設定を自動化しようとする場合、上記特許文献1に記載の技術は、キーワードマッチングを利用して、アクセスが拒否されたログを抽出し、そのログに対応するアクセス制御設定を単に提示するだけに留まる。このため、この特許文献1に記載の技術では、可読性の高いドメイン設定やドメイン遷移を考慮したアクセス制御の設定をすることはできない。
When attempting to automate access control settings using an access control log file, the technique described in
また、上記特許文献2に記載の技術は、ログの統計情報を表示するだけであるので、ログからアクセス制御を設定することはできない。
Further, since the technique described in
このように従来の技術では、アクセス制御ログファイルから可読性が高いドメイン設定やドメイン遷移を考慮したセキュアOSにおけるアクセス制御を設定することはできなかった。 As described above, in the conventional technology, it is not possible to set access control in a secure OS in consideration of domain setting or domain transition with high readability from the access control log file.
本発明の目的は、かかる問題を解消し、セキュアOSのアクセス制御ログファイルを利用して、可読性が高いドメイン設定やドメイン遷移を考慮したアクセス制御を設定することができるようにしたアクセス制御設定システムを提供することにある。 An object of the present invention is to solve the above problem and use an access control log file of a secure OS to set an access control in consideration of domain settings and domain transition with high readability. Is to provide.
上記目的を達成するために、本発明は、プロセス毎に指定されたリソースに対するアクセス制御設定を可能としたアクセス制御設定システムであって、プロセス毎にドメインを割り当て、割り当てたドメインの範囲でプロセスからのリソースに対するアクセスを許可することにより、プロセス毎にリソースに対するアクセス制御を行なうアクセス制御手段と、各ドメイン間の階層関係を表わしたドメイン遷移設定ファイルを基に、ドメインをノードとして、階層関係をツリー構造で表わすドメイン遷移図を描画して表示し、指定されたリソースへの操作が拒否されたプロセスを、ドメイン遷移図での該当するドメインのノード内に、選択可能に描画するドメイン遷移図作成手段と、ドメインのノード内のプロセスを選択することにより、プロセスのドメイン遷移をドメイン遷移設定ファイルに反映させる設定生成手段とを備え、リソースへの操作が拒否されたプロセスに対して、割り当てられたドメインとは異なるドメインに遷移させるものである。 In order to achieve the above object, the present invention provides an access control setting system that enables access control setting for a resource specified for each process, and assigns a domain to each process, and from the process within the allocated domain range. Based on the access control means that controls access to resources for each process by permitting access to each resource and the domain transition setting file that represents the hierarchical relationship between each domain, the hierarchical relationship is represented as a tree using the domain as a node. Domain transition diagram creation means for drawing and displaying a domain transition diagram represented by a structure, and drawing a process in which an operation to a specified resource is rejected in a node of the corresponding domain in the domain transition diagram in a selectable manner And select the process in the node of the domain And a setting generation means for reflecting the scan of the domain transition in the domain transition configuration file, for processes operation is rejected to the resource, the assigned domain in which shifts in different domains.
また、プロセス毎のリソースに対する操作が許可されたか、または拒否されたかのアクセス結果を含むログを作成し、アクセス制御ログファイルに出力するログ形成・出力手段と、アクセス制御ログファイルにおいて、リソースに対する操作が拒否されたプロセス毎に、アクセス制御ログファイルから抽出されたログでの「リソース−操作」の組に対する重要度を、予め各「リソース−操作」の組に対して重要度が設定された重要度テーブルを基に、求め、かつ求めた重要度を加算してプロセスに対するドメイン生成推奨度とするドメイン生成推奨度計算手段とを備え、ドメイン遷移図作成手段が、ドメイン遷移図でのノードに描画された当するプロセスにドメイン生成推奨度を描画するとともに、ドメイン生成推奨度が描画されたプロセスを含むノードに色付けをするものである。 Also, a log formation / output unit that creates an access result that indicates whether the operation for the resource for each process is permitted or denied, and outputs the log to the access control log file. For each rejected process, the importance with respect to the “resource-operation” pair in the log extracted from the access control log file is set in advance for each “resource-operation” pair. Based on the table, it has a domain generation recommendation degree calculation means that is obtained and adds the obtained importance to make a domain generation recommendation degree for the process, and the domain transition diagram creation means is drawn on the node in the domain transition diagram A process that draws the domain creation recommendation level to the corresponding process and draws the domain creation recommendation level The nodes including those that coloring.
また、ドメイン遷移図でのドメインのノード内に描画されたプロセスの1つのプロセスPが選択されることにより、プロセスPに対して、プロセスPを含むノードのドメインDを基に、新たなドメインDNを生成し、ドメインDNをドメインDから遷移されたものとしてドメイン遷移設定ファイルに登録することにより、ドメイン遷移を設定し、かつドメイン設定ファイルに登録することにより、アクセス制御可能なドメインとして設定するものである。 Further, by selecting one process P of the processes drawn in the node of the domain in the domain transition diagram, a new domain DN is selected for the process P based on the domain D of the node including the process P. Is created, and the domain DN is registered as a transition from the domain D in the domain transition configuration file, and the domain transition is set and registered in the domain configuration file to be set as an access controllable domain It is.
こまた、ドメインDとプロセスPとの組「ドメインD−プロセスP」を表わすログをアクセス制御ログファイルから抽出し、マクロ毎にリソースと操作との組を定義したマクロ定義ファイルでの抽出したログでの「リソース−操作」の組と一致する組数を求め、求めた一致の組数が予め設定された閾値を超えるとき、ログでの「リソース−操作」の組に対する新たなドメインDNに対するドメイン記述文をログでの「リソース−操作」の組に共有のマクロで記述した記述文とするものである。 In addition, a log representing the group “domain D-process P” of the domain D and the process P is extracted from the access control log file, and the log is extracted in the macro definition file in which the combination of the resource and the operation is defined for each macro. When the number of sets that match the “resource-operation” pair in the log is exceeded, and the number of found matches exceeds a preset threshold, the domain for the new domain DN for the “resource-operation” pair in the log The descriptive sentence is a descriptive sentence that is described by a shared macro in the “resource-operation” pair in the log.
本発明によると、新たにドメインの付与対象となるプロセスが一目で認識することができ、プロセスに新たに割り当てられたドメインを含め、全体のドメイン遷移を明確にかつ容易に把握することができる。 According to the present invention, a process to which a domain is newly assigned can be recognized at a glance, and the entire domain transition including a domain newly assigned to the process can be clearly and easily grasped.
また、マクロを使用してドメイン設定の記述ができるため、ドメイン設定の可読性も高めることができる。 Moreover, since the domain setting can be described using a macro, the readability of the domain setting can be improved.
以下、本発明の実施形態を図面を用いて説明する。 Hereinafter, embodiments of the present invention will be described with reference to the drawings.
図1は本発明よるアクセス制御設定システムの一実施形態の全体構成を概略的に示す図であって、1はサーバ、10はセキュアOS、20は設定ファイル、30はアクセス制御ログファイル、40は設定ツール、50はディスプレイ、Aはオペレータである。 FIG. 1 is a diagram schematically showing an overall configuration of an embodiment of an access control setting system according to the present invention. 1 is a server, 10 is a secure OS, 20 is a setting file, 30 is an access control log file, and 40 is A setting tool, 50 is a display, and A is an operator.
同図において、サーバ1には、セキュアOS10や設定ファイル20,アクセス制御ログファイル30,設定ツール40などが搭載されてされており、また、ディスプレイ50を備えている。
In FIG. 1, the
セキュアOS10は、設定ファイル20を参照してプロセスのリソースへのアクセス制御を行なうものであって、リソースへのアクセス(操作)が行なわれた結果、そのアクセスが拒否されても、また、許可されても、このプロセスに対してかかるアクセス結果を含むログを作成し、アクセス制御ログファイル30に出力する。
The
オペレータAが設定ツール40を用いてディスプレイ50での所定の画面操作を行なうと(編集操作)、アクセス制御ログファイル30から所定のログが読み込まれ、セキュアOS10でのドメインの設定及びドメイン遷移の設定によるアクセス制御設定が行なわれる。この設定結果は、設定ファイル20に登録される。これにより、所望のプロセスのドメインの設定及びドメイン遷移の設定が行なわれ、このプロセスに対しては、新たなドメインが付与されたことになる。
When the operator A performs a predetermined screen operation on the
図2は図1におけるサーバ1の一具体例を示す機能構成図であって、11はアクセス制御機能、12はドメイン制御機能、13はログ出力機能、21はドメイン設定ファイル、22はドメイン遷移設定ファイル、23はマクロ定義ファイル、24はドメイン記述文ファイル、41はドメイン遷移図作成機能、42はドメイン生成推奨度計算機能、43は設定生成機能、60は重要度テーブル、70は推奨度テーブル、80はマクロ―閾値テーブル、90はマクロ展開機能であり、図1に対応する部分には同一符号を付けている。
FIG. 2 is a functional configuration diagram showing a specific example of the
同図において、セキュアOS10は、ドメインのアクセス制御機能11とドメイン遷移機能12とログ形成・出力機能13を備えている。
In the figure, the
アクセス制御機能11は、プロセス毎にドメイン(アクセス権限)を割り当て、割り当てたドメインの範囲でプロセスからのリソースに対する操作(アクセス)を許可することにより、プロセス毎にリソースに対するアクセス制御を行なう機能である。
The
なお、プロセスとは実行中の一つ一つのプログラムのことであり、あるプログラムが並列的に複数(n)の処理を実行中の場合、このプログラムでは、n個のプロセス(プロセスP1〜Pn)が実行中であるという。また、プロセス同士を識別するために、プロセスを生成したOSはプロセス毎にユニークなIDを付加する。プロセスに関しては、一般に、同一プログラム内を複数のプロセスが並列的に実行されるマルチプロセス方式であるが、この実施形態では、説明の簡略にするため、同一プログラム内では、1つのプロセスしか実行しないシングルプロセス方式を仮定する。また、この仮定の下に、プロセスをプログラムの名称で表現する。 A process is an individual program being executed. When a program is executing a plurality (n) of processes in parallel, n processes (processes P1 to Pn) are included in this program. Is said to be running. In addition, in order to identify the processes, the OS that generated the process adds a unique ID for each process. In general, the process is a multi-process method in which a plurality of processes are executed in parallel in the same program. However, in this embodiment, only one process is executed in the same program in order to simplify the description. A single process method is assumed. Under this assumption, the process is expressed by the name of the program.
ドメイン遷移機能12は、ドメイン遷移により、プロセスにドメインを割り当てる機能である。
The
ログ形成・出力機能13は、リソースに対してアクセスしたプログラムのアクセス制御機能11によるアクセス結果(リソースへの操作が許可または拒否)を含むログを作成し、これをアクセス制御ログファイル30に出力する機能である。
The log formation /
設定ツール40は、ドメイン遷移図作成機能41とドメイン生成推奨度計算機能42と設定生成機能43とからなり、これらの機能41〜43を用い、アクセス制御ログファイル30を基に、設定ファイル20でのドメイン設定ファイル21やドメイン遷移設定ファイル22を設定する。
The
ここで、ドメイン遷移図作成機能41は、ドメイン遷移によるドメインの階層関係をツリー構造などで表わすドメイン遷移図を作成する機能である。
Here, the domain transition
また、ドメイン生成推奨度計算機能42は、アクセス制御ログファイル30を基にリソースへの操作が拒否されたプロセスを検出し、これらプロセスの推奨度を重要度テーブル60を基に計算し、推奨度テーブル70に登録する機能である。
The domain generation recommendation
また、設定生成機能43は、ドメイン遷移図作成機能41によって作成されたドメイン遷移図での選択されたドメインについて、ドメイン設定及びドメイン遷移設定を行なう機能である。
The
設定ファイル20は、ドメイン設定ファイル21とドメイン遷移設定ファイル22とマクロ定義ファイル23とドメイン記述文ファイル24とから構成されている。
The setting
ドメイン設定ファイル21には、アクセス制御機能11により所定のリソースに対してアクセスが許可されたプロセスのドメインが登録されるものであって、これについては、図3で説明する。
In the
ドメイン遷移設定ファイル22には、ドメイン遷移機能12によるドメイン遷移の遷移元ドメインと遷移先ドメインとが登録されているものであって、これについては、図4で説明する。
In the domain
マクロ定義ファイル23は、ドメインの設定を簡略化するために用意されたものであって、これについては、図5で説明する。
The
ドメイン記述文ファイル24は、ドメインの設定を記述したドメイン記述文を格納したファイルであって、これについては、図6で説明する。
The domain
重要度テーブル60は、ドメイン遷移図作成機能41によるドメイン遷移図の作成の際に用いるものであって、これについては、図8で説明する。
The importance level table 60 is used when a domain transition diagram is created by the domain transition
推奨度テーブル70は、ドメイン遷移図作成機能41とドメイン生成推奨度計算機能42で用いるものであって、これについては、図9で説明する。
The recommendation level table 70 is used by the domain transition
マクロ―閾値テーブル80は、ドメイン設定ファイル21とドメイン遷移設定ファイル22を出力する設定生成機能43で用いるものであって、これについては、図10で説明する。
The macro-threshold table 80 is used by the setting
マクロ展開機能90は、マクロ定義ファイル23に格納されているマクロがドメイン記述文のマクロに一致した場合、マクロ定義ファイル23に定義されている当該マクロに関する「リソース―操作」を当該ドメイン記述文で記述のドメインの設定としてドメイン設定ファイル21に設定する機能である。
When the macro stored in the
図3は図2におけるドメイン設定ファイル21の構成を示した図である。
FIG. 3 is a diagram showing the configuration of the
同図において、このドメイン設定ファイル21には、アクセスするリソースでの操作が許可(allow)されたプロセスのドメインが設定されているものであって、ドメイン21aと、このドメイン21a内(アクセス権限内)のリソース21bと、このリソースに対して許可された操作21cと、これらドメイン21a,リソース21b及び操作21cをまとめて表現する「allow文」が記述される文字列表現21dとからなっている。
In this figure, the
このドメイン設定ファイル21の、例えば、第1行目のプロセスについてみると、このプロセスの「ドメインkernel_t」は「リソース(この場合、ファイル)/sbin/init」に対して「読み込み可」という設定がなされていることになる。
For example, regarding the process in the first line of the
文字列表現21dには、設定されるドメインを補助的な情報で記述したものであり、ドメイン21a,リソース21b及びこのリソース21bに対して許可する操作21cを文字列で表現し、この文字列を許可を表わす文字列に続けた「allow文」が記述されている。即ち、「allow文」は「allow <ドメイン> <リソース> <許可する操作>;」のように記述する。文字列表現21dには、図6で説明するように、マクロに関する情報を記述することも可能である。
The
なお、ドメイン設定ファイル21において、リソース21bとリソース21bへの操作21cとが記述されていないプロセスは、このプロセスからのリソースへの操作が全て不可ということになる。
It should be noted that in the
図4は図2におけるドメイン遷移設定ファイル22の構成を示した図である。
FIG. 4 is a diagram showing the configuration of the domain
ドメイン遷移は、上記のように、「ドメインAを割り当てられたプロセスPが子プロセスQを生成した場合、生成した子プロセスQにはドメインBを割り当てる」というものである。かかるドメイン遷移は、遷移元ドメインと遷移先プログラムのエントリポイントと遷移先ドメインの組を指定することにより、設定を行なう。この設定が図4に示すドメイン遷移設定ファイル22で行なわれる。
As described above, the domain transition is “when the process P to which the domain A is allocated generates the child process Q, the domain B is allocated to the generated child process Q”. Such domain transition is set by designating a combination of a transition source domain, a transition destination program entry point, and a transition destination domain. This setting is performed in the domain
なお、エントリポイントとは、プログラムが実行される際、このプログラム内の命令の中で最初に実行される命令のアドレスをいう。プロセスPaがプログラムBのエントリポイントEbを呼び出すと、OSはプログラムBを実行するユニークなIDを付加したプロセスPbを生成する。生成されたプロセスPbはプログラムBのエントリポイントEbから実行を開始する。この場合、プロセスPaがプロセスPbを生成する(または、生成した)、またはプロセスPbはプロセスPaによって生成される(または、生成された)と表現し、この場合、プロセスPaをプロセスPbの親プロセス、プロセスPbをプロセスPaの子プロセスという。この実施形態では、説明を簡単にするために、エントリポイントEbをプログラム名称で表現する。 The entry point refers to the address of the instruction that is executed first among the instructions in the program when the program is executed. When the process Pa calls the entry point Eb of the program B, the OS generates a process Pb to which a unique ID for executing the program B is added. The generated process Pb starts execution from the entry point Eb of the program B. In this case, it is expressed that the process Pa generates (or generated) the process Pb, or the process Pb is generated (or generated) by the process Pa. In this case, the process Pa is the parent process of the process Pb. The process Pb is called a child process of the process Pa. In this embodiment, in order to simplify the description, the entry point Eb is expressed by a program name.
ドメイン遷移設定ファイル22は、図4に示すように、遷移元ドメイン22aとエントリポイント22cと遷移先ドメイン22dとから構成されている。
As shown in FIG. 4, the domain
例えば、ドメイン遷移設定ファイル22で第2行目に記載のドメイン遷移の設定では、「ドメインinit_t」が割り当てられている「親プロセスPm(/sbin/init)」が「エントリポイント/etc/init.dプログラム」を実行し、「子プロセスPs(/etc/init.d)」を生成すると、この「子プロセスPs」には「ドメインinitrc_t」が割り当てられることになる。
For example, in the domain transition setting described in the second line in the domain
デフォルトでは、生成された子プロセスPsのドメインは親プロセスPmのドメインと同じで「ドメインinit_t」であるが、このようにドメイン遷移が設定されている場合には、ドメイン遷移が起こり、上記のように、子プロセスのドメインが変化して「ドメインinitrc_t」が割り当てられることになる。 By default, the domain of the generated child process Ps is the same as the domain of the parent process Pm and is “domain init_t”. However, when the domain transition is set in this way, the domain transition occurs, as described above. Then, the domain of the child process changes and “domain initrc_t” is assigned.
図5は図2におけるマクロ定義ファイル23の構成を示す図である。
FIG. 5 is a diagram showing the configuration of the
マクロは、多数のリソースに対して許可するアクセス、即ち、ドメイン設定の記述を簡単にするものであり、また、可読性の高い(一目で認識し易い)ドメイン設定を可能とするものである。 The macro simplifies the access permitted for a large number of resources, that is, the description of the domain setting, and enables domain setting with high readability (easy to recognize at a glance).
マクロ設定とは、予めマクロ定義されている「リソース―操作」の組を、ドメイン記述文に記述されているドメイン名でドメインを設定するものである。例えば、マクロとして「can_network」が定義されている場合、「can_network(a_domain)」と記述すると、マクロcan_networkで定義されている「リソース―操作」の組をこの記述文に記述されている「ドメインa_domain」でドメイン設定する。マクロ設定でドメインを記述することによりドメイン設定の可読性が高まる。 In the macro setting, a domain is set using a domain name described in a domain description sentence for a “resource-operation” pair defined in advance as a macro. For example, if “can_network” is defined as a macro, and “can_network (a_domain)” is described, the “resource-operation” pair defined in the macro can_network is described in the “domain a_domain” ”To set the domain. By describing the domain with macro settings, the readability of the domain settings is enhanced.
このように、セキュアOSのアクセス制御ログファイル30(図1,図2)とマクロ設定を利用して、可読性を高めたドメインの設定やドメイン遷移の設定ができることにより、アクセス制御の設定を容易に行なうことができる。 In this way, the access control log file 30 (FIGS. 1 and 2) and the macro setting of the secure OS can be used to set the domain and the domain transition with improved readability, thereby making it easy to set the access control. Can be done.
マクロ定義ファイル23は、図5に示すように、マクロ23aとリソース23bとこのリソース23bで許可される操作23cとで構成される。マクロ23aは、リソースやその操作は異なるが、同じドメインをまとめて表わしており、図3に示すドメイン設定ファイル21と対応させると、このドメイン設定ファイル21で設定されている同じドメイン21aが1つのマクロ23aで総称されていることになる。
As shown in FIG. 5, the
そこで、マクロ定義ファイル23では、「TCPソケット−作成」,「TCPソケット−データ送信」,……,「1024以上のポート−利用」といった13種の「リソース23b−操作23c」の組が同じドメインに対して許可されていることになるが、かかるドメインを「マクロ can_network」とまとめて表現しているものである。「UNIX(登録商標)ソケット−作成」,「UNIX(登録商標)ソケット−データ送信」,「UNIX(登録商標)ソケット−データ受信」といった3種の「リソース23b−操作23c」の組が許可されているドメインは「マクロ can_syslog」で表現されている。
Therefore, in the
このように、ドメインがマクロ定義された場合には、先に図3で説明したドメイン設定ファイル21では、図6(b)に示すように、マクロ定義されたドメインに対して、文字列表現21dでの記述を、ドメイン毎に「allow文」で記述する代わりに、定義された1つのマクロで記述するものである。ここで、図6(b)に示すように、第1行目から第13行目までの「ドメインhttpd_t」に対して「マクロcan_network」が定義されているとすると、これら「ドメインhttpd_t」に対して文字列表現21dが共通となり、これに定義されたマクロとドメインとからなる文字列(「マクロ(ドメイン)」)、即ち、この例では、マクロ「can_network(httpd_t)」が記述されることになる。
As described above, when the domain is macro-defined, the
なお、図6(b)において、第14行目〜第24行のドメインはマクロ定義がなされていないものであり、このようなドメインに対しては、図3で説明したように、文字列表現21dには、「allow文」が記述される。 In FIG. 6B, the domains in the 14th to 24th lines are not defined as macros. For such domains, as described in FIG. 21d describes “allow statement”.
図6(a)は図2におけるドメイン記述文ファイル24の構成を示す図である。なお、図6はこのドメイン記述文ファイル24とドメイン設定ファイル21との関係を示しているものである。
FIG. 6A shows the structure of the
ドメイン記述文ファイル24では、ドメイン設定ファイル21での文字列表現21dが記述されるものである。従って、図6(b)に示すドメイン設定ファイル21の場合、マクロ定義された「ドメインhttpd_t」に対しては、マクロ「can_network(httpd_t)」24aが記述され、マクロ定義されていないドメイン(例えば、第14行目以降の「ドメインhttpd_t」や「ドメインkernel_t」など)に対しては、「allow文」24bが記述される。
In the
マクロ展開機能90は、ドメイン記述文ファイル24の記述を、ドメイン設定ファイル21に展開する機能である。ドメイン記述文ファイル24での記述が、記述24aとして示すように、マクロによるものであるときには、マクロ定義ファイル23(図5)を利用して、展開24cとして示すように、「リソース21b−操作21c」の組毎にドメインを展開し、文字列表現21dに定義されたマクロを記述する。また、ドメイン記述文ファイル24での記述が、記述24bとして示すように、マクロによらず直接のドメイン記述である「allow文」による場合には、展開24dとして示すように、「allow文」毎にドメインを設定し、文字列表現21dに「allow文」を記述する。
The
文字列表現21dから明らかなように、ドメインを「allow文」によって個々に記述するよりも、マクロを利用した記述の方が記述文の数が少なく、このため、マクロを利用した方がドメイン設定の可読性が増大する。
As is clear from the
図7は図2におけるアクセス制御ログファイル30の構成を示す図である。
FIG. 7 is a diagram showing the configuration of the access
同図において、アクセス制御ログファイル30は、種別31,ドメイン32,プロセス33,リソース34及び操作35からなるログのファイルである。
In the figure, an access
種別31はアクセスが拒否されたログと許可されたログとを区別するものであり、アクセスが拒否されたログに対しては種別31を「拒否」とし、許可されたログに対しては種別31を「許可」とする。ドメイン32はセキュアOS10(図2)からのログの出力対象となったドメイン、プロセス33は同じくログの出力対象となったプロセス、リソース34はこのプロセスがアクセスしたリソース、操作35はプロセスがこのリソースに対して行なった操作である。
The
例えば、アクセス制御ログファイル30の第2行目のログは、「ドメインinitrc_t」が割り当てられている「プロセス/sbin/httpd」が「TCPソケット」(リソース)を「作成」(操作)しようとして「拒否」されたということを表わしている。第9行目のログは、「ドメインinitrc_t」が割り当てられている「プロセス/sbin/httpd」が「パケット」(リソース)を「送信」(操作)しようとして「許可」されたことを表わしている。
For example, the log on the second line of the access
このように、アクセス制御ログファイル30には、セキュアOS10(図2)でアクセス制御されるプロセスのリソースへのアクセス結果が登録されており、アクセス制御ログファイル30から夫々のアクセス結果を認識できるものである。
As described above, the access
図8は図2における重要度テーブル60の構成を示す図である。 FIG. 8 shows the structure of the importance table 60 in FIG.
同図において、この重要度テーブル60は、リソースに対する操作がどの程度重要なのかを示す重要度をリソース毎に設定するためのものであり、リソース61と、このリソースに対して許可する操作62と、その操作の重要度63から構成される。この重要度は1〜10であって、重要度テーブル60に存在しない「リソース61−操作62」の組の重要度は1とする。
In this figure, this importance level table 60 is for setting the importance level indicating how important the operation for the resource is for each resource, and includes a
図示する重要度テーブル60において、第1行目に記述される「リソース61−操作62」の組は、「passwd(パスワード)」という重要な情報を格納している「パスワード格納ファイル/etc/passwd」というリソース61に対する操作62を「読み込み」とするものであり、高い重要度の「10」が設定されている。また、第2行目に記述されるリソース「/www/index.html」に対する操作「読み込み」には、重要度63が「5」と設定されている。
In the importance table 60 shown in the figure, the “resource 61-
図9は図2における推奨度テーブル70の構成を示す図である。 FIG. 9 is a diagram showing the configuration of the recommendation degree table 70 in FIG.
推奨度テーブル70は、図8に示す重要度テーブル60を基に求めたドメインの推奨度を登録するものであり、この推奨度は子プロセスを生成する場合の目安に用いられる。 The recommendation degree table 70 registers the recommendation degree of the domain obtained based on the importance degree table 60 shown in FIG. 8, and this recommendation degree is used as a guideline when a child process is generated.
この推奨度テーブル70は、ドメイン71とプロセス72とドメイン生成推奨度73とから構成されている。ここでは、「ドメインinitrc_t−プロセス/sbin/httpd」の組に対しては、ドメイン生成推奨度73が「12」と登録されており、「ドメインinitrc_t−プロセス/sbin/xinetd」の組に対しては、ドメイン生成推奨度73が「10」と登録されている。
This recommendation degree table 70 is composed of a
図10は図2におけるマクロ―閾値テーブル80の構成を示す図である。 FIG. 10 is a diagram showing the configuration of the macro-threshold table 80 in FIG.
このマクロ―閾値テーブル80は、図5に示すマクロ定義ファイル23で定義されたマクロを用いてドメインを定義するか否かを決めるための閾値が設定されているものであり、マクロ81と閾値82とから構成されている。この設定されている閾値82を越えるとき、そのマクロはドメインとして設定されることになる。マクロ―閾値テーブル80に存在しないマクロの閾値は100%とする。
This macro-threshold table 80 is set with thresholds for determining whether to define a domain using the macro defined in the
次に、この実施形態のドメイン設定,ドメイン遷移の処理の一具体例について説明する。これは、オペレータA(図1)の操作のもとに設定ツール40(図2)が実行されることにより、アクセス制御ログファイル30(図2)に格納されているリソースへの操作が「拒否」のプロセスのうち、オペレータA(図1)が選択したプロセスに対して行なわれるものである。 Next, a specific example of domain setting and domain transition processing according to this embodiment will be described. This is because when the setting tool 40 (FIG. 2) is executed under the operation of the operator A (FIG. 1), the operation to the resource stored in the access control log file 30 (FIG. 2) is “rejected”. ”Is performed on the process selected by the operator A (FIG. 1).
ここで、ドメイン設定ファイル21は図3に示すように、ドメイン遷移設定ファイル22は図4に示すように、アクセス制御ログファイル30は図7に示すように、重要度テーブル60は図8に示すように、マクロ―閾値テーブル80は図10に示すように夫々構成されているものとする。
Here, the
図11は図2に示す設定ツール40によるドメイン設定及びドメイン遷移の処理の流れの全体を示すフローチャートである。
FIG. 11 is a flowchart showing the overall flow of domain setting and domain transition processing by the
《ステップ90》
まず、ドメイン生成推奨度計算機能42(図2)の実行により、アクセス制御ログファイル30を基に、新たなドメインを割り当てた方がよいとするプロセスを抽出し、図9に示すように、推奨度テーブル70を作成する。
<< Step 90 >>
First, by executing the domain generation recommendation level calculation function 42 (FIG. 2), a process that should be assigned a new domain is extracted based on the access
《ステップ100》
そして、ドメイン遷移図作成機能41(図2)の実行により、図4に示すドメイン遷移設定ファイル22を基に、設定されているドメイン間の関係、即ち、かかるドメインをノードとしたドメイン遷移を表わすドメイン遷移図を作成し、ディスプレイ50(図1)に表示する。このドメイン遷移図では、また、上記ステップ90で抽出された新たなドメインを割り当てた方がよいとするプロセスが存在するノード(ドメイン)を色付けして表示し、オペレータAがドメイン設定,ドメイン遷移した方がよいドメインを容易に認識できるようにしているので、オペレータは色のついているノードの1つを選択する。
<< Step 100 >>
Then, by executing the domain transition diagram creation function 41 (FIG. 2), based on the domain
《ステップ110》
上記のドメイン遷移図の色付け表示されたノードの1つをオペレータAが選択すると、この選択されたノード内の新たなドメインを割り当てた方がよいとするプロセスを表わすドメイン生成推奨プロセス一覧画面がディスプレイ50に表示され、新たなドメインを割り当てたいプロセスをオペレータAが選択することができるようにする。
<< Step 110 >>
When the operator A selects one of the colored nodes in the domain transition diagram, a domain generation recommended process list screen representing a process that should be assigned a new domain in the selected node is displayed. 50, allowing operator A to select the process for which a new domain is to be assigned.
《ステップ120》
オペレータAがこのドメイン生成推奨プロセス一覧画面から所望とするプロセスを選択すると、設定生成機能43(図2)の実行により、選択されたプロセスに関する新たなドメインがドメイン設定ファイル21に自動的に設定され、また、ドメインの遷移がドメイン遷移設定ファイル22に自動的になされる。
<Step 120>
When the operator A selects a desired process from the domain generation recommended process list screen, a new domain related to the selected process is automatically set in the
次に、図11における各ステップの詳細について説明する。 Next, details of each step in FIG. 11 will be described.
図12はドメイン生成推奨度計算機能42(図2)による図11におけるステップ90の処理の流れを示すフローチャートである。
FIG. 12 is a flowchart showing the flow of the process of
この処理は、アクセス制御ログファイル30から新たなドメインを割り当てた方がよいプロセスとこのプロセスに割り当てられたドメインとの組を抽出し、これらの組毎に推奨度テーブル70(図9)を作成するものである。このために、図7に示すアクセス制御ログファイル30から設定ツール40にかかる組のログが読み取られる。
In this process, a set of a process that should be assigned a new domain and a domain assigned to this process is extracted from the access
《ステップ91》
アクセス制御ログファイル30から種別31が「拒否」のログを抽出する(読み取る)。かかるログを抽出するのは、期待するアクセスが拒否されているのであれば、拒否されたアクセスを許可する設定にしなければならないため、アクセスが拒否されたログに注目する必要があるためである。図7に示すアクセス制御ログファイル30では、項目「種別」31が「拒否」となっているログは、第2〜8行目,第11行目,第13行目及び第14行目のログである。
<< Step 91 >>
A log of
《ステップ92》
ステップ91で抽出したログについて、その「ドメイン32―プロセス33」(図7)の組毎に、次のステップ92a〜92bの処理を行なう。
<Step 92>
With respect to the log extracted in
《ステップ92a》
即ち、同じ「ドメイン32―プロセス33」の組を持つ全ての抽出したログ(以下、抽出ログという)について、その抽出ログの「リソース34―操作35」を図8に示す重要度テーブル60で検索して、この抽出ログの「リソース34―操作35」と一致するこの重要度テーブル60での「リソース61―操作62」に対する重要度63を全て取得する。そして、このようにして取得した同じ「ドメイン32―プロセス33」の組を持つ全ての抽出ログの重要度63の値を加算し、この加算値をこの「ドメイン32―プロセス33」の組に対するドメイン生成推奨度とする。
<< Step 92a >>
That is, for all the extracted logs having the same “domain 32-
いま、重要度テーブル60には、図8に示すように、2つの「リソース61―操作62」の組に対する重要度63が登録されているものとして、図7に示すアクセス制御ログファイル30で「種別」31が「拒否」であるために抽出される「ドメイン32―プロセス33」の組を「ドメインinitrc_t―プロセス/sbin/httpd」の組とすると、図7において、第2〜8行目及び第11行目のログが抽出の対象となるが、第2〜8行目の「リソース34―操作35」の組は図8に示す重要度テーブル60に存在しないため、夫々の組の重要度63はデフォルトの「1」とする。また、「リソース34―操作35」の組が「リソース/www/index.html−読み込み」である第11行目の抽出ログについては、図8に示す重要度テーブル60に重要度「5」として登録されている。以上のことから、この「ドメインinitrc_t―プロセス/sbin/httpd」の組のドメイン生成推奨度は1×7+5×1=12となる。
Now, as shown in FIG. 8, it is assumed that the
また、図7に示すアクセス制御ログファイル30で「種別」31が「拒否」であるために抽出される「ドメイン32―プロセス33」の組を「ドメインinitrc_t―プロセス/sbin/xinetd」の組とすると、図7において、第13行目及び第14行目のログが抽出の対象となるが、第13行目の「リソース34―操作35」の組は図8に示す重要度テーブル60に存在しないため、その組の重要度63はデフォルトの「1」となる。また、「リソース/etc/passwd−読み込み」の組である第14行目のログについては、図8に示す重要度テーブル60に重要度「9」として登録されている。以上のことから、この「ドメインinitrc_t―プロセス/sbin/xinetd」の組のドメイン生成推奨度は1×1+9×1=10となる。
Further, in the access
《ステップ92b》
ステップ92aで得られた「ドメイン32―プロセス33」の組のドメイン生成推奨度を図9に示す推奨度テーブル70に「ドメイン71―プロセス72―ドメイン生成推奨度73」として登録する。上記の例では、「ドメインinitrc_t―プロセス/sbin/httpd」の組がドメイン生成推奨度「12」として登録され、「ドメインinitrc_t―プロセス/sbin/xinetd」の組がドメイン生成推奨度「10」として登録される。
<< Step 92b >>
The domain generation recommendation level of the group “domain 32-
《ステップ93》
以上の処理が図7に示すアクセス制御ログファイル30からの抽出ログの「ドメイン32―プロセス33」の組毎に行なわれ、全て組の処理が終了すると、ドメイン生成推奨度計算機能42の処理(図11でのステップ90)が終了する。
<Step 93>
The above processing is performed for each pair of “domain 32-
図13はドメイン遷移図作成機能41(図2)による図11でのステップ100の処理の流れの一具体例を示すフローチャートである。
FIG. 13 is a flowchart showing a specific example of the processing flow of
《ステップ101》
ドメイン遷移設定ファイル22(図4)を読み込み、その遷移元ドメイン22a,エントリポイント22c及び遷移先ドメイン22dを基に、ドメインをノードとし、ドメインの階層関係を示すツリー構造を描画する。
<< Step 101 >>
The domain transition setting file 22 (FIG. 4) is read, and based on the
これを図14によってこれを説明すると、図4での第1行目に記載のドメイン遷移では、親プロセスに「ドメインkernel_t」が割り当てられていて、この親プロセスから生成された子プロセスは、エントリポイントが「/sbin/init」であって、ドメイン遷移により、「ドメインinit_t」が割り当てられていることになる。そこで、図14に示すように、子プロセスに割り当てられた「ドメインinit_t」を表わす四角枠が親プロセスの「ドメインkernel_t」を表わす四角枠の下側に描画されてこれらプロセスの階層関係が形成されるとともに、子プロセスの「エントリポイント/sbin/init」が子プロセスに割り当てられた「ドメインinit_t」の枠内に描画される。ここで、ドレインを表わす枠とエントリポイントを表わす枠とは異なる形状をなしている。 This will be described with reference to FIG. 14. In the domain transition described in the first line in FIG. 4, “domain kernel_t” is assigned to the parent process, and the child process generated from this parent process is an entry. The point is “/ sbin / init”, and “domain init_t” is assigned by domain transition. Therefore, as shown in FIG. 14, a square frame representing “domain init_t” assigned to the child process is drawn below the square frame representing “domain kernel_t” of the parent process to form a hierarchical relationship between these processes. At the same time, the “entry point / sbin / init” of the child process is drawn in the frame of “domain init_t” assigned to the child process. Here, the frame representing the drain and the frame representing the entry point have different shapes.
また、図4での第2行目及び第3行目の記載から、「ドメインinit_t」が割り当てられた上記の子プロセスからは、さらに、この子プロセスが親プロセスとなって、エントリポイントが「/etc/init.d」と「/sbin/login」との2つの子プロセスが生成され、ドメイン遷移により、夫々に「ドメインinitrc_t」と「ドメインlogin_t」とが割り当てられている。これにより、図14に示すように、この親プロセスの「ドメインinit_t」を表わす枠の下側に「ドメインinitrc_t」の枠と「ドメインlogin_t」の枠とが描画され、「ドメインinit_t」と「ドメインinitrc_t」,「ドメインlogin_t」とのプロセスの階層関係が形成される。また、「ドメインinitrc_t」の枠内に「エントリポイント/etc/init.d」が、「ドメインlogin_t」の枠内に「エントリポイント/sbin/login」が夫々描画される。 In addition, from the description in the second and third lines in FIG. 4, the child process becomes a parent process from the child process to which “domain init_t” is assigned, and the entry point is “ Two child processes of “/etc/init.d” and “/ sbin / login” are generated, and “domain initrc_t” and “domain login_t” are respectively assigned by domain transition. As a result, as shown in FIG. 14, the frame of “domain initrc_t” and the frame of “domain login_t” are drawn below the frame representing “domain init_t” of this parent process, and “domain init_t” and “domain” A hierarchical relationship of processes is formed with “initrc_t” and “domain login_t”. In addition, “entry point /etc/init.d” is drawn in the “domain initrc_t” frame, and “entry point / sbin / login” is drawn in the “domain login_t” frame.
さらに、図4の第4行目の記載から、「ドメインinitrc_t」が割り当てられた子プロセスからは、さらに、この子プロセスが親プロセスとなって、エントリポイント「/sbin/sendmail」の子プロセスが生成され、ドメイン遷移により、「ドメインmail_server_t」が割り当てられている。これにより、図14に示すように、この親プロセスの「ドメインinitrc_t」を表わす枠の下側に「ドメインmail_server_t」の枠が描画され、「ドメインinitrc_t」と「ドメインmail_server_t」とのプロセスの階層関係が形成される。また、この「ドメインmail_server_t」の枠内に「エントリポイント/sbin/sendmail」が描画される。 Furthermore, from the description on the fourth line in FIG. 4, from the child process to which “domain initrc_t” is assigned, this child process becomes the parent process, and the child process of the entry point “/ sbin / sendmail” “Domain mail_server_t” is assigned by domain transition. As a result, as shown in FIG. 14, the frame of “domain mail_server_t” is drawn below the frame representing “domain initrc_t” of this parent process, and the hierarchical relationship of the processes of “domain initrc_t” and “domain mail_server_t” Is formed. In addition, “entry point / sbin / sendmail” is drawn in the frame of “domain mail_server_t”.
このようにして、まず、図13でのステップ101の処理により、図4に示すドメイン遷移設定ファイル22で設定されているドメイン遷移が、ドメインをノードとするツリー構造をなすドメイン遷移図130の骨子として、描画される。
In this way, first, the outline of the domain transition diagram 130 in which the domain transition set in the domain
《ステップ102》
次に、図12におけるステップ91の処理でアクセス制御ログファイル30(図7)から読み込んだ「種別31」が「拒否」の「ドメイン32−プロセス33」の組を該当するノード内に描画する。
上記の例では、図12におけるステップ91により、アクセス制御ログファイル30の第2行目〜第8行目及び第11行目の「ドメインinitrc_t−プロセス/sbin/httpd」の組が抽出されたが、この組はドメインが「「initrc_t」であるから、「ドメインinitrc_t」のノード131内に描画される。この場合、この組の「プロセス/sbin/httpd」が、「エントリポイント/sbin/httpd」134として、このノード131内に描画されることになる。この「エントリポイント/sbin/httpd」134には、デフォルトとして、「ドメインinitrc_t」が付与されているものであり、図7に示すリソース34に対する操作35が拒否されているものである。
また、図12におけるステップ91により、アクセス制御ログファイル30の第13行目及び第14行目の「ドメインinitrc_t−プロセス/sbin/xinetd」の組も抽出されたが、この組もドメインが「「initrc_t」であるから、「ドメインinitrc_t」のノード131内に描画される。この場合、この組の「プロセス/sbin/xinetd」が、「エントリポイント/sbin/xinetd」133として、このノード131内に描画されることになる。そして、この「エントリポイント/sbin/xinetd」133にも、デフォルトとして、「ドメインinitrc_t」が付与されているものであり、図7に示すリソース34に対する操作35が拒否されているものである。
このようにして、ノード131内に2つのエントリポイント、即ち、「エントリポイント/sbin/httpd」134と「エントリポイント/sbin/xinetd」133とが描画されるが、これらのエントリポイント、即ち、プロセスは「ドメインinitrc_t」のプロセスの子プロセスであり、これを示すために、ノード131において、これら「エントリポイント/sbin/httpd」134と「エントリポイント/sbin/xinetd」133とは「ドメインinitrc_t」の「エントリポイント/etc/init.d」の下側に描画され、かつ「エントリポイント/etc/init.d」132からこれら「エントリポイント/sbin/httpd」134と「エントリポイント/sbin/xinetd」133とに向けて矢印を描画される。
《ステップ103》
次に、図13のステップ102で得られたツリー構造のノード(ドメイン)のうち、ドメインが図9に示す推奨度テーブル70に存在するノードに対して色付けをし、さらに、この推奨度テーブル70に存在するプロセスについては、そのドメイン生成推奨度の値も表示する。この推奨度テーブル70では、「ドメインinitrc_t」が登録されているので、図14に示すように、この「ドメインinitrc_t」のノード131に色付けがなされ(ここでは、点のハッチングで示す)、また、推奨度テーブル70を基に、このノード131での「エントリポイント/etc/init.d」132に対して子プロセスとなる「エントリポイント/sbin/httpd」134にドメイン生成推奨度「12」が、同じく子プロセスとなる「エントリポイント/sbin/xinetd」133にドメイン生成推奨度「10」が夫々付加される。
<< Step 102 >>
Next, the “
In the above example, the group “domain initrc_t-process / sbin / httpd” in the second to eighth lines and the eleventh line of the access
Further, in
In this way, two entry points, ie, “entry point / sbin / httpd” 134 and “entry point / sbin / xinetd” 133, are drawn in the
<Step 103>
Next, among the nodes (domains) of the tree structure obtained in
以上の処理結果が、図14に示すように、ドメイン遷移図130としてディスプレイ50(図1)に表示され、ドメイン遷移図作成機能41によるこの処理100が終了する。
As shown in FIG. 14, the above processing results are displayed on the display 50 (FIG. 1) as a domain transition diagram 130, and this
このように、ドメイン遷移図130では、ドメインの階層関係がドメインをノードとするツリー構造で表示されるので、この階層関係を一目で認識できて見易いものとなるし、また、ドメイン遷移の対象となるプロセスが該当するノード内に、このノードのエントリポイントと階層関係で描画されるので、しかも、かかるエントリポイントを含むノードが色付けされているので、かかるドメイン遷移の対象となるプロセスを簡単に認識することができ、ユーザに対して可読性が向上してドメイン遷移のための操作が容易となる。 In this way, in the domain transition diagram 130, the hierarchical relationship of the domains is displayed in a tree structure with the domain as a node. Therefore, this hierarchical relationship can be recognized at a glance and is easy to see. Is drawn in a hierarchical relationship with the entry point of this node in the corresponding node, and since the node containing such an entry point is colored, the process subject to such domain transition can be easily recognized The readability is improved for the user, and the operation for domain transition is facilitated.
次に、このドメイン遷移図130において、オペレータAが色付けされたノードのいずれか、この場合、「ドメインinitrc_t」のノード131を選択すると、図15に示すようなドメイン推奨プロセス一覧画面140がディスプレイ50(図1)に表示される。
Next, in the domain transition diagram 130, when one of the nodes colored by the operator A, in this case, the
このドメイン推奨プロセス一覧画面140では、図14に示すドメイン遷移図130の色付けされた「ドメインinitrc_t」のノード131内での「エントリポイント/sbin/httpd」134及び「エントリポイント/sbin/xinetd」133のドメイン生成推奨度が登録される。
In the domain recommended
即ち、ドメイン推奨プロセス一覧画面140では、図14に示すドメイン遷移図130で選択されたノードの「ドメイン名」141が表示され、また、このノード(の枠内)に含まれるエントリポイント名によって表わされる「プロセス」142とその「ドメイン生成推奨度」143との一覧が表示される。
That is, on the domain recommended
いま、図14におけるノード131が選択されたとすると、ドメイン推奨プロセス一覧画面140では、このノード131の「ドメインinitrc_t」が「ドメイン」141として表示され、この選択されたノード131の「エントリポイント/etc/init.d」132の下位階層(子プロセス)となり、かつ図9に示す推奨度テーブル70に登録されているプロセスの「エントリポイント/sbin/httpd」134と「エントリポイント/sbin/xinetd」133とが「プロセス」142として表示され、これら「エントリポイント/sbin/httpd」134と「エントリポイント/sbin/xinetd」133との推奨度テーブル70(図9)に登録されている「ドメイン生成推奨度」が「ドメイン生成推奨度」143として表示される。ここでは、図14でのノード131が選択され、かつこのノード131でのエントリポイント134,133については、図9に示す推奨度テーブル70にドメイン生成推奨度が「12」,「10」と登録されているので、ドメイン推奨プロセス一覧画面140では、「エントリポイント/sbin/httpd」134について、「プロセス」142が「/sbin/httpd」で、かつ「ドメイン生成推奨度」143が「12」のプロセスとして表示され、「エントリポイント/sbin/xinetd」133について、「プロセス」142が「/sbin/xinetd」で、かつ「ドメイン生成推奨度」143が「10」のプロセスとして表示される。
If the
図15に示すドメイン生成推奨プロセス一覧画面140から新たなドメインを生成し、そのドメインを割り当てたいプロセスをオペレータAが選択することができる(図11でのステップ110)。
A new domain is generated from the domain generation recommended
例えば、図15において、オペレータAがドメイン生成推奨プロセス一覧画面140での第1行目の「プロセス/sbin/httpd」を選択すると、設定生成機能43(図2)が起動し、図16に示すように処理が行なわれて新たなドメインが生成され、この「プロセス/sbin/httpd」、従って、図14のドメイン遷移図130で選択された「エントリポイント/sbin/httpd」134のプロセスにこの生成した新たなドメインを割り当てるドメイン遷移設定が行なわれる。また、図14において、「エントリポイント/sbin/httpd」134または「エントリポイント/sbin/xinetd」133を直接選択することにより、図16に示す処理が行なわれて新たなドメインが生成され、これを選択されたエントリポイント(プロセス)に割り当てるようにすることも可能である。
For example, in FIG. 15, when the operator A selects “process / sbin / httpd” on the first line on the domain generation recommended
図16は設定生成機能43(図2)による図11でのステップ120の処理の流れの一具体例を示すフローチャートである。
FIG. 16 is a flowchart showing a specific example of the processing flow of
《ステップ121》
オペレータAが図15のドメイン生成推奨一覧画面140で、例えば、第1行目に示す「プロセス/sbin/httpd」を選択すると、設定ツール40(図1,図2)に、この「プロセス/sbin/httpd」に対するドメイン生成推奨一覧画面140でのドメイン141としての「initrc_t」がドメインDとして入力され、「/sbin/httpd」142がプロセスPとして入力される。
<Step 121>
When the operator A selects, for example, “process / sbin / httpd” shown in the first line on the domain generation
《ステップ122》
そして、このプロセスPの名称「/sbin/httpd」を基に、新たなドメインDNの名称を自動的に生成し、ドメインDからドメインDNに遷移するドメインの遷移をドメイン遷移設定ファイル22に、図4に示すように、設定する。ここで、新たなドメインDNの名称は、プロセスPの名称に「_t」という文字列を付与したものになる。プロセスPが「/sbin/httpd」である場合には、新たなドメインDNは「httpd_t」となる。従って、ドメイン遷移設定ファイル22には、図4に示すのと同様、「遷移元ドメインinitrc_t―エントリポイント/sbin/httpd―遷移先ドメインhttpd_t」が新たに設定されることになる。
<< Step 122 >>
Based on the name “/ sbin / httpd” of the process P, a new domain DN name is automatically generated, and the domain transition from the domain D to the domain DN is transferred to the domain
このドメイン遷移により、図14に示すドメイン遷移図130が図17に示すドメイン遷移図130’に変更される。このドメイン遷移図130’では、図14におけるドメインがデフォルトの「ドメインinitrc_t」である「エントリポイント/sbin/httpd」134の子プロセスがドメイン遷移し、新たな「ドメインhttpd_t」135のプロセスとして「ドメインinitrc_t」の下側に同じ色付けで描画される。この「ドメインhttpd_t」135のエントリポイントはもとの「エントリポイント/sbin/httpd」である。 Due to this domain transition, the domain transition diagram 130 shown in FIG. 14 is changed to the domain transition diagram 130 ′ shown in FIG. 17. In this domain transition diagram 130 ′, the child process of “entry point / sbin / httpd” 134 whose domain in FIG. 14 is the default “domain initrc_t” performs domain transition, and the process of “domain httpd_t” 135 is changed to “domain”. It is drawn with the same coloring at the bottom of initrc_t. The entry point of this “domain httpd_t” 135 is the original “entry point / sbin / httpd”.
このようにして、ドメイン遷移があったことも、また、新たにドメイン遷移したドメインも明確に表示され、可読性が向上してドメイン遷移の認識が容易に、かつ確実に行なうことができる。 In this way, it is possible to easily and surely recognize domain transitions as well as the fact that there has been a domain transition and that the domain that has undergone a new domain transition is clearly displayed, improving readability.
《ステップ123》
次に、この新たなドメインDNをドメイン設定ファイル21(図2,図3)に設定するために、アクセス制御ログファイル30(図7)から「ドメイン32―プロセス33」の組が「ドメインD―プロセスP」と一致するログを抽出する。ここでは、上記の例から、ドメインDが「ドメインinitrc_t」、プロセス(エントリポイント)は「エントリポイント/sbin/httpd」であるから、「ドメインD―プロセスP」は「ドメインinitrc_t−プロセス/sbin/httpd」であり、これと一致する図7でのアクセス制御ログファイル30での「ドメイン32―プロセス33」の組のログは第2行目〜第11行目のログであり、これらのログが抽出されることになる。このように、アクセス制御ログファイル30からの抽出されたログを図18に示す。これら抽出ログのプロセスに新たなドメインDNである「ドメインhttpd_t」が設定されることになる。
<< Step 123 >>
Next, in order to set this new domain DN in the domain configuration file 21 (FIGS. 2 and 3), the set of “DOMAIN 32-
《ステップ124》
次に、ドメイン設定をマクロで行なうかどうかを決めるために、マクロ定義ファイル23(図5)を読み込む。
<< Step 124 >>
Next, the macro definition file 23 (FIG. 5) is read in order to determine whether or not the domain setting is performed with a macro.
《ステップ125》
そして、マクロ定義ファイル23で定義された「マクロ」23a毎に、次のステップ125a〜125bの処理を行なう。図5で示すマクロ定義ファイル23の場合、まず、「マクロcan_network」について処理を行ない、次に、「マクロcan_syslog」について処理を行なうことになる。この処理は、図18に示すように抽出したログで示すプロセスに新たな「ドメインhttpd_t」を設定する場合、「マクロcan_network」でドメイン設定するか、「マクロcan_syslog」でドメイン設定するか、あるいは個々の「リソース−操作」の組毎にドメイン設定するかを決めるものである。
<Step 125>
Then, for each “macro” 23a defined in the
《ステップ125a》
マクロ定義ファイル23の「リソース23b―操作23c」の組と図18に示す抽出ログの「リソース34―操作35」とを比較し、一致している抽出ログの個数をカウントする。抽出ログに同一の「リソース34―操作35」の組がある場合、これら抽出ログ毎に上記のカウントを行なってもよいし、カウントは1つの抽出ログに対して行なうのみとしてもよく、システムの都合によってどちらかを採用すればよい。「マクロcan_network」については、図18の第1行目〜第9行目の抽出ログが一致しているので、カウント値(即ち、一致個数)は「9」となる。また、「マクロcan_syslog」については、一致する抽出ログがないので、カウント値(一致個数)は「0」である。
<< Step 125a >>
The “
《ステップ125b》
次に、夫々のマクロに関して、上記の一致個数をn、マクロ定義ファイル23に定義されているマクロの「リソース―操作」の定義数をmとして、
「リソース―操作」当りの一致個数N=一致個数n÷定義数m
を求め、図10に示すマクロ−閾値テーブル80を基に、「リソース―操作」当りの一致個数Nを閾値82と比較し、「リソース―操作」当りの個数Nがこの閾値82を越えるドメインDNに対しては、マクロを用いてドメイン設定を行なうようにする。
<< Step 125b >>
Next, regarding each macro, n is the number of matches, and m is the definition number of the “resource-operation” of the macro defined in the
Number of matches per “resource-operation” N = number of matches n ÷ number of definitions m
Based on the macro-threshold table 80 shown in FIG. 10, the number N of matches per “resource-operation” is compared with the
上記の場合、「マクロcan_network」については、
「一致個数」÷「定義組数」=9÷13=69%
であって、マクロ―閾値テーブル80での「マクロcan_network」に対する閾値60%より大であるから、これら「リソース―操作」のドメイン設定にマクロを利用する。この場合、図6で示すように、「can_network(httpd_t)」という記述24aを図6(a)に示すドメイン記述文ファイル24に登録する。「マクロcan_syslog」については、一致個数n=0であるので、この「マクロcan_syslog」を利用してのドメイン設定は行なわない。
In the above case, for "macro can_network"
“Number of matches” ÷ “Number of defined pairs” = 9 ÷ 13 = 69%
Since the threshold value is larger than 60% for the “macro can_network” in the macro-threshold value table 80, the macro is used for the domain setting of these “resource-operation”. In this case, as shown in FIG. 6, a description 24a “can_network (httpd_t)” is registered in the
《ステップ126》
マクロ定義ファイル23(図5)で定義される全てのマクロについて以上の処理が行なわれると、次の処理へと進む。
<< Step 126 >>
When the above processing is performed for all the macros defined in the macro definition file 23 (FIG. 5), the processing proceeds to the next processing.
《ステップ127》
上記ステップ125bの処理でマクロによる記述ができなかったプロセスについて、直接のドメイン記述である「allow文」による記述をドメイン記述文ファイル24に登録する。図18に示す抽出ログのうち、第10行目の「/www/index.html―読み込み」の組に対しては、マクロ定義ファイル23にマクロが定義されていないので、「allow」文による記述24bである「allow httpd_t /www/index/html read」をドメイン記述文ファイル24に登録する。
<Step 127>
For the process that could not be described by the macro in the process of
以上のステップ125a,127の処理によると、ドメイン記述文ファイル24に登録される内容は
can_network(httpd_t)
allow httpd_t/var/www read;
の2行となる。ここで、ドメイン記述文「can_network(httpd_t)」は、「(httpd_t)」の記述から、「ドメインhttpd_t」の記述文であることが明確である。このように、マクロを用いることにより、生成されたドメインに対する「リソース―操作」の組が多数あっても、新たに設定されるドメイン記述文が簡単なものとなり、ドメイン記述ファイル24をディスプレイ50(図1)に表示してプロセスを確認する場合には、非常に簡潔となって見易いものであり、可読性が向上する。
《ステップ128》
次に、マクロ展開機能90(図2)により、ドメイン記述文ファイル(図6)24の記述24aを、マクロ定義ファイル23(図5)を利用して、図6に展開24cとして示すように、ドメイン設定ファイル21(図3,図6(b))に複数のドメインに展開して設定し、その文字列表現21dに記述24aと同じものを設定する。また、ドメイン記述文ファイル24の記述24bの「allow文」は、図6に展開24dとして示すように、ドメイン設定ファイル21に設定する。
According to the processing of
can_network (httpd_t)
allow httpd_t / var / www read;
It becomes two lines. Here, it is clear from the description of “(httpd_t)” that the domain description sentence “can_network (httpd_t)” is a description sentence of “domain httpd_t”. As described above, by using the macro, even if there are many “resource-operation” pairs for the generated domain, the newly set domain description sentence becomes simple, and the
<Step 128>
Next, the macro expansion function 90 (FIG. 2) uses the macro definition file 23 (FIG. 5) to convert the description 24a of the domain description sentence file (FIG. 6) 24 as an
以上のようにして、ドメイン記述文ファイル(図6)24やドメイン設定ファイル21へのドメイン設定が行なわれ、図16に示す処理(図11でのステップ120の処理)が終了する。
As described above, domain setting is performed on the domain description file (FIG. 6) 24 and the
このように、デフォルトのドメインから新たに生成された「ドメインhttpd_t」がドメイン遷移設定ファイル22(図2,図4)に登録されることにより、この「ドメインhttpd_t」のドメイン遷移が設定され、また、ドメイン記述文ファイル24を介してドメイン設定ファイル21(図2,図3)に登録されることにより、この「ドメインhttpd_t」がセキュアOS10(図1,図2)によってアクセス制御可能に設定されることになる。
Thus, the domain transition of this “domain httpd_t” is set by registering the “domain httpd_t” newly generated from the default domain in the domain transition setting file 22 (FIGS. 2 and 4). By registering in the domain setting file 21 (FIGS. 2 and 3) via the
そして、このように、親プロセスのドメインとしてのデフォルトのドメインから子プロセスのドメインが生成されるドメイン遷移が行なわれるので、親プロセスのアクセス制御の権限が子プロセスに分割されるので、ドメインの権限の細分化が実現し、1つのドメインに多くの権限を与えることによるセキュリティの問題を解消できることになる。 In this way, the domain transition in which the child process domain is generated from the default domain as the parent process domain is performed, so that the access control authority of the parent process is divided into child processes. As a result, the problem of security caused by giving a lot of authority to one domain can be solved.
A オペレータ
1 サーバ
10 セキュアOS
20 設定ファイル
30 アクセス制御ログファイル
40 設定ツール
50 ディスプレイ
11 アクセス制御機能
12 ドメイン制御機能
13 ログ出力機能
21 ドメイン設定ファイル
22 ドメイン遷移設定ファイル
23 マクロ定義ファイル
24 ドメイン記述文ファイル
41 ドメイン遷移図作成機能
42 ドメイン生成推奨度計算機能
43 設定生成機能
60 重要度テーブル
70 推奨度テーブル
80 マクロ―閾値テーブル
90 マクロ展開機能
130,130’ ドメイン遷移図
131 ノード(ドメイン)
132〜134 エントリポイント
135 ドメイン
136 エントリポイント
140 ドメイン生成推奨プロセス一覧画面
A
20
132-134
Claims (4)
プロセス毎にドメインを割り当て、割り当てたドメインの範囲で該プロセスからのリソースに対するアクセスを許可することにより、該プロセス毎にリソースに対するアクセス制御を行なうアクセス制御手段と、
各ドメイン間の階層関係を表わしたドメイン遷移設定ファイルを基に、該ドメインをノードとして、該階層関係をツリー構造で表わすドメイン遷移図を描画して表示し、指定されたリソースへの操作が拒否されたプロセスを、該ドメイン遷移図での該当するドメインのノード内に、選択可能に描画するドメイン遷移図作成手段と、
該ドメインのノード内の該プロセスを選択することにより、該プロセスのドメイン遷移をドメイン遷移設定ファイルに反映させる設定生成手段と
を備え、
該リソースへの操作が拒否された該プロセスに対して、該割り当てられたドメインとは異なるドメインに遷移させることを特徴とするアクセス制御設定システム。 An access control setting system that enables access control settings for resources specified for each process,
An access control means for performing access control on resources for each process by assigning a domain for each process and permitting access to the resource from the process within the allocated domain;
Based on the domain transition setting file representing the hierarchical relationship between domains, the domain transition diagram representing the hierarchical relationship in a tree structure is drawn and displayed using the domain as a node, and operations on specified resources are denied. A domain transition diagram creating means for drawing the selected process in the node of the corresponding domain in the domain transition diagram in a selectable manner;
Setting generation means for reflecting the domain transition of the process in the domain transition setting file by selecting the process in the node of the domain;
With
An access control setting system characterized in that a transition to a domain different from the assigned domain is made to the process for which an operation on the resource is denied .
前記プロセス毎のリソースに対する操作が許可されたか、または拒否されたかのアクセス結果を含むログを作成し、アクセス制御ログファイルに出力するログ形成・出力手段と、
該アクセス制御ログファイルにおいて、前記リソースに対する操作が拒否された前記プロセス毎に、該アクセス制御ログファイルから抽出されたログでの「リソース−操作」の組に対する重要度を、予め各「リソース−操作」の組に対して重要度が設定された重要度テーブルを基に、求め、かつ求めた該重要度を加算して前記プロセスに対するドメイン生成推奨度とするドメイン生成推奨度計算手段と
を備え、
前記ドメイン遷移図作成手段が、前記ドメイン遷移図での前記ノードに描画された該当する前記プロセスに該ドメイン生成推奨度を描画するとともに、該ドメイン生成推奨度が描画された前記プロセスを含む前記ノードに色付けをすることを特徴とするアクセス制御設定システム。 In claim 1,
Log forming / outputting means for creating a log including an access result indicating whether an operation on the resource for each process is permitted or denied, and outputting the log to an access control log file;
In the access control log file, for each process for which an operation on the resource is rejected, the importance of the “resource-operation” pair in the log extracted from the access control log file is set in advance for each “resource-operation”. A domain generation recommendation degree calculation means that is obtained on the basis of the importance table in which importance is set for the set of "
With
The node including the process in which the domain transition diagram creation means renders the domain generation recommendation degree in the corresponding process drawn in the node in the domain transition diagram, and the domain generation recommendation degree is rendered An access control setting system characterized by coloring .
前記ドメイン遷移図での前記ドメインのノード内に描画された前記プロセスの1つのプロセスPが選択されることにより、該プロセスPに対して、該プロセスPを含む前記ノードのドメインDを基に、新たなドメインDNを生成し、該ドメインDNを該ドメインDから遷移されたものとして前記ドメイン遷移設定ファイルに登録することにより、ドメイン遷移を設定し、かつドメイン設定ファイルに登録することにより、アクセス制御可能なドメインとして設定することを特徴とするアクセス制御設定システム。 In claim 1 or 2 ,
By selecting one process P of the processes drawn in the node of the domain in the domain transition diagram, the process P is determined based on the domain D of the node including the process P. Access control by creating a new domain DN, registering the domain DN in the domain transition configuration file as having been transitioned from the domain D, and setting the domain transition and registering it in the domain configuration file An access control setting system characterized by setting as a possible domain .
前記ドメインDと前記プロセスPとの組「ドメインD−プロセスP」を表わすログを前記アクセス制御ログファイルから抽出し、
マクロ毎にリソースと操作との組を定義したマクロ定義ファイルでの抽出した該ログでの「リソース−操作」の組と一致する組数を求め、求めた一致の組数が予め設定された閾値を超えるとき、該ログでの「リソース−操作」の組に対する前記新たなドメインDNに対するドメイン記述文を該ログでの「リソース−操作」の組に共有のマクロで記述した記述文とすることを特徴とするアクセス制御設定システム。 In claim 3 ,
A log representing the set of domain D and process P “domain D-process P” is extracted from the access control log file;
The number of sets that match the “resource-operation” set in the log extracted in the macro definition file that defines the set of resources and operations for each macro is obtained, and the number of found sets of matches is a preset threshold value. The domain description sentence for the new domain DN for the “resource-operation” pair in the log is a description sentence described in the “resource-operation” pair in the log with a shared macro. A featured access control setting system.
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004339105A JP4550558B2 (en) | 2004-11-24 | 2004-11-24 | Access control setting system |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2004339105A JP4550558B2 (en) | 2004-11-24 | 2004-11-24 | Access control setting system |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| JP2006146788A JP2006146788A (en) | 2006-06-08 |
| JP4550558B2 true JP4550558B2 (en) | 2010-09-22 |
Family
ID=36626369
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| JP2004339105A Expired - Fee Related JP4550558B2 (en) | 2004-11-24 | 2004-11-24 | Access control setting system |
Country Status (1)
| Country | Link |
|---|---|
| JP (1) | JP4550558B2 (en) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP4882550B2 (en) * | 2006-07-03 | 2012-02-22 | 富士ゼロックス株式会社 | Object management system, object management method, and computer program |
| JP5014191B2 (en) * | 2008-02-13 | 2012-08-29 | 株式会社リコー | Device and operation authority judgment method |
| JP5483249B2 (en) * | 2009-03-03 | 2014-05-07 | 日本電気株式会社 | HTTP request processing system, Web server, HTTP request processing method, and HTTP request processing program |
| JP6783812B2 (en) * | 2018-03-13 | 2020-11-11 | 株式会社東芝 | Information processing equipment, information processing methods and programs |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US5551037A (en) * | 1993-11-19 | 1996-08-27 | Lucent Technologies Inc. | Apparatus and methods for visualizing operation of a system of processes |
-
2004
- 2004-11-24 JP JP2004339105A patent/JP4550558B2/en not_active Expired - Fee Related
Also Published As
| Publication number | Publication date |
|---|---|
| JP2006146788A (en) | 2006-06-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| JP7018920B2 (en) | Confidential information processing methods, devices, servers, and security decision systems | |
| Zhang et al. | A framework and dataset for bugs in ethereum smart contracts | |
| US11348597B2 (en) | Intent-based network validation | |
| JP5462254B2 (en) | Granting least privilege access for computing processes | |
| Dalton et al. | Analyzing attack trees using generalized stochastic petri nets | |
| CN103530564B (en) | A kind of SQL injection loophole test and validation method and system | |
| WO2017034917A1 (en) | Object-relation user interface for viewing security configurations of network security devices | |
| US9807108B2 (en) | Computer network attribute bilateral inheritance | |
| US20200057843A1 (en) | Secure file sharing using semantic watermarking | |
| CN107733863A (en) | Daily record adjustment method and device under a kind of distributed hadoop environment | |
| JP2004158007A (en) | Computer access authorization | |
| US12021694B2 (en) | Virtualized network functions | |
| Buinevich et al. | Method and algorithms of visual audit of program interaction. | |
| JP4550558B2 (en) | Access control setting system | |
| CN112052156B (en) | A fuzz testing method, device and system | |
| Zhu et al. | Detecting privilege escalation attacks through instrumenting web application source code | |
| JP4390263B2 (en) | Visualization display method of process access authority in secure OS | |
| JP7744294B2 (en) | System construction equipment | |
| JP2019020794A (en) | Document management apparatus, document management system, and program | |
| CN110569987A (en) | Automatic operation and maintenance method, operation and maintenance equipment, storage medium and device | |
| CN119271686A (en) | Structured query language SQL defense method, system and computing device | |
| Ahn et al. | Systematic policy analysis for high-assurance services in SELinux | |
| TWI801855B (en) | System and method of application control based on root node | |
| Chawla et al. | VMGuard: State-based proactive verification of virtual network isolation with application to NFV | |
| JP2007109016A (en) | Access policy creation system, method and program |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A621 | Written request for application examination |
Free format text: JAPANESE INTERMEDIATE CODE: A621 Effective date: 20070612 |
|
| A977 | Report on retrieval |
Free format text: JAPANESE INTERMEDIATE CODE: A971007 Effective date: 20100329 |
|
| A131 | Notification of reasons for refusal |
Free format text: JAPANESE INTERMEDIATE CODE: A131 Effective date: 20100406 |
|
| A521 | Request for written amendment filed |
Free format text: JAPANESE INTERMEDIATE CODE: A523 Effective date: 20100603 |
|
| TRDD | Decision of grant or rejection written | ||
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 Effective date: 20100622 |
|
| A01 | Written decision to grant a patent or to grant a registration (utility model) |
Free format text: JAPANESE INTERMEDIATE CODE: A01 |
|
| A61 | First payment of annual fees (during grant procedure) |
Free format text: JAPANESE INTERMEDIATE CODE: A61 Effective date: 20100708 |
|
| R150 | Certificate of patent or registration of utility model |
Free format text: JAPANESE INTERMEDIATE CODE: R150 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130716 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20130716 Year of fee payment: 3 |
|
| FPAY | Renewal fee payment (event date is renewal date of database) |
Free format text: PAYMENT UNTIL: 20160716 Year of fee payment: 6 |
|
| LAPS | Cancellation because of no payment of annual fees |