特許第5795449号(P5795449)IP Force 特許公報掲載プロジェクト 2022.1.31 β版

ホーム > 特許ランキング > フジツウ テクノロジー ソリューションズ インタレクチュアル プロパティ ゲーエムベーハー

このエントリーをはてなブックマークに追加

知財求人 - 知財ポータルサイト「IP Force」

▶ フジツウ テクノロジー ソリューションズ インタレクチュアル プロパティ ゲーエムベーハーの特許一覧

特許5795449コンピュータ・システムのイベント・プロトコル・データの保護された預託のための方法、コンピュータ・プログラム・プロダクトおよびコンピュータ・システム
<>
  • 特許5795449-コンピュータ・システムのイベント・プロトコル・データの保護された預託のための方法、コンピュータ・プログラム・プロダクトおよびコンピュータ・システム 図000002
  • 特許5795449-コンピュータ・システムのイベント・プロトコル・データの保護された預託のための方法、コンピュータ・プログラム・プロダクトおよびコンピュータ・システム 図000003
< >
(19)【発行国】日本国特許庁(JP)
(12)【公報種別】特許公報(B2)
(11)【特許番号】5795449
(24)【登録日】2015年8月21日
(45)【発行日】2015年10月14日
(54)【発明の名称】コンピュータ・システムのイベント・プロトコル・データの保護された預託のための方法、コンピュータ・プログラム・プロダクトおよびコンピュータ・システム
(51)【国際特許分類】
   G06F 21/62 20130101AFI20150928BHJP
【FI】
   G06F21/62
【請求項の数】9
【全頁数】14
(21)【出願番号】特願2014-558167(P2014-558167)
(86)(22)【出願日】2013年10月31日
(65)【公表番号】特表2015-508208(P2015-508208A)
(43)【公表日】2015年3月16日
(86)【国際出願番号】EP2013072801
(87)【国際公開番号】WO2014068051
(87)【国際公開日】20140508
【審査請求日】2014年8月20日
(31)【優先権主張番号】102012110510.3
(32)【優先日】2012年11月2日
(33)【優先権主張国】DE
(73)【特許権者】
【識別番号】510227632
【氏名又は名称】フジツウ テクノロジー ソリューションズ インタレクチュアル プロパティ ゲーエムベーハー
(74)【代理人】
【識別番号】100107766
【弁理士】
【氏名又は名称】伊東 忠重
(74)【代理人】
【識別番号】100070150
【弁理士】
【氏名又は名称】伊東 忠彦
(74)【代理人】
【識別番号】100091214
【弁理士】
【氏名又は名称】大貫 進介
(72)【発明者】
【氏名】クラエス, ハインツ−ヨーゼフ
【審査官】 宮司 卓佳
(56)【参考文献】
【文献】 特開2007−128359(JP,A)
【文献】 特開2000−029751(JP,A)
【文献】 特開2008−269419(JP,A)
【文献】 国際公開第2008/026238(WO,A1)
【文献】 米国特許第6064656(US,A)
(58)【調査した分野】(Int.Cl.,DB名)
G06F21/00−21/88
(57)【特許請求の範囲】
【請求項1】
コンピュータ・システム(1)のイベント・プロトコル・データ(Log_A_B)の保護された預託のための方法であって、アクセス制御(2、7、9)が提供され、該アクセス制御は、前記コンピュータ・システム内のイベント・プロトコル・データ(Log_A_B)へのアクセスを禁止するとともに、以下の段階、すなわち:
・前記コンピュータ・システムにおいて生成されるイベント・プロトコル・データの読み出し;
・読み出されたイベント・プロトコル・データの個々のデータ・セクション(A1、A2、B1、B2)を、所定の基準に従って少なくとも二つのカテゴリー(A、B)のうちの一つに逐次割り当てること;
・それぞれのカテゴリーについてのカテゴリー分けされたデータ・セクションをマージしてサブデータ(Log_A、Log_B)にすること;
・すべての生成されたサブデータの別個の記憶;および
・所定のユーザー・グループに従ってそれぞれのサブデータについて別個に個別的なアクセス・オプションをセットアップすること、
を実行する、
方法。
【請求項2】
前記コンピュータ・システムにおいて生成される前記イベント・プロトコル・データは少なくとも一つのイベント・プロトコル・ファイルから読み出される、請求項1記載の方法。
【請求項3】
生成された前記サブデータは、前記コンピュータ・システム内にローカルに記憶されるおよび/またはネットワーク・インフラストラクチャーによってさらなるコンピュータ・システム(6、8)に配送される、請求項1または2記載の方法。
【請求項4】
前記イベント・プロトコル・データの前記個々のデータ・セクションは、次の基準、すなわち、
・個別的なシンタックス命令、
・タイムスタンプ、
・あらかじめ定義されたターム、
・パターン、
・変数、
・データ型
のうちの少なくとも一つに基づいてカテゴリー分けされる、請求項1ないしのうちいずれか一項記載の方法。
【請求項5】
個々のカテゴリーは、異なるユーザー・グループおよび/または前記コンピュータ・システムに対する異なるアクセス権によって定義される、請求項1ないしのうちいずれか一項記載の方法。
【請求項6】
それぞれのカテゴリーの各データ・セクションについてチェックサムが生成される、請求項1ないしのうちいずれか一項記載の方法。
【請求項7】
あるデータ・セクションのチェックサムが、それぞれのカテゴリーのその後のデータ・セクションに加えられる、請求項記載の方法。
【請求項8】
それぞれのカテゴリーの各データ・セクションについてのチェックサムに加えて、乱数が生成される、請求項または記載の方法。
【請求項9】
コンピュータ・システム(1、6、8)であって、当該コンピュータ・システムのイベント・プロトコル・データへの制御されたアクセスのためのアクセス制御ユニット(2、7、9)を有しており、前記アクセス制御ユニットは請求項1ないしのうちいずれか一項記載の方法を実行するよう設計されている、コンピュータ・システム。
【発明の詳細な説明】
【技術分野】
【0001】
本発明は、コンピュータ・システムのイベント・プロトコル・データの保護された預託のための方法およびコンピュータ・システム上で実行されたときにこの種の方法を実行するコンピュータ・プログラムを含んでいるコンピュータ・プログラム・プロダクトに関する。本発明はまた、この種の方法を実行するよう設計されているコンピュータ・システムにも関する。
【背景技術】
【0002】
システム・マネージャまたはシステム管理者は、コンピュータ・システムのエラーのない動作またはエンドユーザーによる該コンピュータ・システムのエラーのない使用を保証するようコンピュータ・システムを維持および管理するために、ハードウェアへのアクセス・オプションまたはコンピュータ・システムのソフトウェアへのアクセス権を随意にもつ。システム・マネージャまたは管理者の広範なアクセス権が一般に、運用されるコンピュータ・システム上に記憶されている個人データまたは秘密データへのアクセスをも許容することは問題がある。たとえば、管理者はエンドユーザーの秘密データを読む能力をもつ。
【0003】
情報の秘匿性またはデータ保護一般を保証する典型的なアプローチは、たとえばコンピュータ・システムの個々のユーザー・グループの間で契約により、個別的な指示(遵守されるべきプロセス)および規則(命令および禁止)が確立されるという事実によって確立される。しかしながら、そうしたアプローチの問題は、広範なアクセス権をもつユーザー・グループ、たとえばソフトウェア・サービス・プロバイダーの従業員が犯罪者であることがありうる、あるいは脅迫されたり買収されたりするということである。したがって、コンピュータ・システム内で秘密データへのアクセスを防止する技術的施策が必要とされている。
【0004】
特に、いわゆるイベント・プロトコル・データまたはログ・データは、システム・マネージャまたは管理者による許諾されないアクセスの主題となることがある。イベント・プロトコル・データは連続的にまたは所定の時間間隔で、コンピュータ・システム内の個々のエンティティ(アプリケーション、システム・プログラム、システム・ハードウェアなど)によって生成され、コンピュータ・システムのメモリに記憶される。
【0005】
イベント・プロトコル・データはたとえば、コンピュータ・システムの個別的なシステム状態、任意的には所定のエラー・プロトコルに関する、システム・マネージャまたは管理者のために意図されている情報を含むことができる。他方、イベント・プロトコル・データはたとえば特定のエンドユーザーに割り当てられるべき情報をも含むことができる。情報はたとえば、特定のビジネス・トランザクション、個人的な顧客データ、クレジットカード番号などである。一般に、これらの情報は秘密であり、それぞれのエンドユーザーのため、あるいは可能なトレーサビリティーの理由で限られたグループの人々のため、たとえば会計マネージャのためのみに意図されている。法律上の理由により、たとえば警察または検察によって実施される捜査上の理由のため、コンピュータ・システムにおける特定のトランザクションを追跡できることが必要になることがよくある。しかしながら、一般に、システム・マネージャまたは管理者による秘密の顧客情報へのアクセスは禁止されるべきである。
【0006】
イベント・プロトコル・データの暗号化という技術的機能は、限られたアクセス保護しか許容しない。つまり、データはエキスパート・ユーザーによって復号または再構築されることができる、あるいはコンピュータ・システムにおける処理の間好適な施策の理由により暗号化されない形で(たとえばコンピュータ・システムのプロセッサ・コアに)存在することができるので、そのような機能はバイパスできる。結果として、イベント・プロトコル・データの暗号化のための施策は、それ自身では、データ保護向上を保証するために十分ではない。
【発明の概要】
【発明が解決しようとする課題】
【0007】
したがって、本発明の目的は、技術的施策によって、コンピュータ・システムのイベント・プロトコル・データの保護された預託を許容し、秘密情報への禁止されたアクセスを防止する方法、コンピュータ・プログラム・プロダクトおよびコンピュータ・システムを実証することである。
【課題を解決するための手段】
【0008】
第一の側面では、この目的は、導入部で述べた種類の方法によって達成される。ここで、コンピュータ・システムにおけるイベント・プロトコル・データへのアクセスを禁止するとともに、以下の段階を実行するアクセス制御が提供される:
・コンピュータ・システムにおいて生成されるイベント・プロトコル・データの読み出し;
・読み出されたイベント・プロトコル・データの個々のデータ・セクションを、所定の基準に従って少なくとも二つのカテゴリーのうちの一つに逐次割り当てること;
・それぞれのカテゴリーについてのカテゴリー分けされたデータ・セクションをマージしてサブデータにすること;
・すべての生成されたサブデータの別個の記憶;および
・所定のユーザー・グループに従ってそれぞれのサブデータについて別個に個別的なアクセス・オプションをセットアップすること。
【0009】
この種の方法は、生成されるイベント・プロトコル・データの種々のカテゴリーへの分離を許容する。ここで、イベント・プロトコル・データにおける個々の情報は、これらの所定のカテゴリーに割り当てられ、サブデータとして記憶される。コンピュータ・システムにおいて生データとしてもともと生成されたイベント・プロトコル・データへの一般的なアクセスは、上記アクセス制御によって防止される。あらかじめ決められたユーザーが、生成されたサブデータのそれぞれにカテゴリー分けされた情報に個別的な、別個のアクセスを許容されるだけである。
【0010】
有利には、イベント・プロトコル・データからの個々の情報はこのように個々のアクセス・モダリティまたはアクセス・オプションに割り当てられるまたは差し止められることができる。この種の方法の利点は、このように、特定の情報のみが特定のユーザーまたはユーザー・グループに対してアクセス可能であるという事実にある。したがって、第一のユーザー・グループが第一の指定されたカテゴリーの情報をもつ第一のサブデータのみへのアクセスをもち、一方、第二のユーザー・グループが第一のカテゴリーとは異なる第二のカテゴリーの情報をもつ第二のサブデータのみへのアクセスをもつことが考えられる。その代わりに、またはそれに加えて、生成されたサブデータの複数または全部へのアクセスをもつ第三のユーザー・グループを設けることが可能である。
【0011】
したがって、たとえば特定のシステム状態に関係する情報や顧客データに関係する情報を含むイベント・プロトコル・データが、説明される方法によって、カテゴリー「システム状態」およびもう一つのカテゴリー「顧客データ」に分離されることが考えられる。イベント・プロトコル・データはそのような情報に制約されない。コンピュータ・システムの動作中に生成される他の情報が組み込まれることもできる。システム状態に関係する情報をもつ諸データ・セクションはマージされ、あるカテゴリーのサブデータとして別個に記憶される、すなわち保存されることができ、顧客データに関係する情報をもつ諸データ・セクションはマージされ、別のカテゴリーのサブデータとして別個に記憶される、すなわち保存されることができる。種々のアクセス・オプションまたはアクセス権が、生成されるサブデータに割り当てられることができる。このようにして、あらかじめ決定されたユーザーが、自分たちのためにあらかじめ決定された情報へのアクセスを実際に取得するだけともなる。
【0012】
たとえば、末端顧客またはアカウント・マネージャはカテゴリー「顧客データ」にアクセスできる一方、システム・マネージャまたは管理者はカテゴリー「システム状態」へのアクセスをもつ。このようにして、同時に秘密情報の技術的に進んだデータ保護を保証しつつ、コンピュータ・システムの信頼できるシステム管理を保証することが可能となる。
【0013】
イベント・プロトコル・データが一つのカテゴリーのデータ・セクションのみを含むことも考えられる。この場合にも、上記の方法が適用できる。その際、すべてのデータ・セクションはこの一つのカテゴリーに割り当てられる。これはたとえば、情報全部がある特定のユーザー・グループにとってアクセス可能である場合を表わす。しかしながら、イベント・プロトコル・データの逐次的な読み出しおよびカテゴリー分けは実際に実行され、よって、一つだけのカテゴリーの場合にも、異なるカテゴリーのデータ・セクションを分離するオプションが存在する。カテゴリー分けされたデータ・セクションはしかるべく暗号化されることができる。
【0014】
このコンテキストにおいて、用語「サブデータ」は、アクセス制御によって、もとのイベント・プロトコル・データから分離された、一つのカテゴリーのデータを意味するものと理解される。サブデータは、連続的なデータ・ストリームとして存在することができ、しかるべく預託または記憶されることができる。これに代えてまたはこれに加えて、生成されたサブデータが「サブファイル」、つまり所定のカテゴリーのファイルとして記憶される(すなわち保存される)、あるいはネットワークを介して伝送されることも可能である。
【0015】
説明される方法は、たとえば、コンピュータ・システムにおける、いわゆるログ・コンバーターとして動作するアクセス制御によって実行されることができる。ログ・コンバーターは、たとえばシステム・ソフトウェアとしてまたマイクロコントローラ・モジュール内で論理的なシーケンス・プログラムとしてまたは両者の組み合わせとして実装されることができる。アクセス制御は、処理されるイベント・プロトコル・データを利用可能に保持するコンピュータ・システム内のみに、アクセス制御ユニットとして統合されることができる。しかしながら、アクセス制御が、イベント・プロトコル・データの処理を許容しサブデータの生成されるカテゴリーへのアクセスを許容するためにコンピュータ・ネットワーク・インフラストラクチャー内の複数のコンピュータ・システム上に配置されている複数のサブプログラムまたはソフトウェア・エージェントまたはマイクロコントローラを有することも考えられる。
【0016】
ログ・コンバーターは、説明される方法の段階を自動化された仕方で実行する。つまり、イベント・プロトコル・データは読み込まれるべくログ・コンバーターに転送され、あるいはたとえばイベント・プロトコル・データをコンピュータ・システム中のメモリに書き込む手順の間にコンピュータ・システム中の所定のインターフェースにおいてログ・コンバーターによって直接取り出される。その後、ログ・コンバーターは逐次的に読み込まれたイベント・プロトコル・データの個々のデータ・セクションを検査し、所定の基準に基づいてそれらのデータ・セクションを個々のカテゴリーに割り当てる。最後に、カテゴリー分けされたデータ・セクションはそれぞれのサブデータにマージされ、それが記憶される。よって、イベント・プロトコル・データからの情報は、用意された諸カテゴリーに依存してしかるべく導かれる。
【0017】
説明される方法の一つの可能な応用が、セキュリティで安全にされたまたは保護されたコンピュータ・ネットワーク・インフラストラクチャー、いわゆる「封印されたインフラストラクチャー」内で有利に可能になる。一般に、コンピュータ・システムは、そのようなインフラストラクチャー内にカプセル化されることができ、それによりこのコンピュータ・システム内の特定のデータまたは全データへのアクセス(すなわち、コンピュータ・システムへの論理的なアクセス)および/またはコンピュータ・システムのハードウェアへの機械的なアクセス(すなわち、物理的なアクセス)が可能ではなくなる、あるいは限られた範囲でしか可能ではなくなる。そのようなシステムは、特定のデータおよび情報のみがシステムによって、ネットワーク・システム内で一方向的に外向きに中継されることができるように構成されることができる。
【0018】
具体的には、これまで秘密情報への許諾されないアクセスの危険が伴っていたコンピュータ・システム内でのイベント・プロトコル・データの記録および預託は、このようにして、説明される方法によって改善できる。もとのイベント・プロトコル・データへのアクセスが禁止され、所定のユーザー・グループによる所定の情報へのアクセスが誘導され、制約されることができるからである。
【0019】
有利には、生成されるサブデータまたはサブファイルはコンピュータ・システム内でローカルに記憶されることができ、および/またはネットワーク・インフラストラクチャーによってさらなるコンピュータ・システムに配送されることができる。これは、アクセス保護またはアクセス権に依存して、ローカルに記憶されたサブデータを取り出すためにコンピュータ・システムへの制約されたアクセスが可能である、サブデータまたはサブファイルが他のコンピュータ・システムに自動化された仕方で配送される、あるいはコンピュータ・システムへのアクセスが一般に禁止され、生成されたサブデータへのアクセスは、コンピュータ・システム、たとえば別のコンピュータ・システムとは異なり、ネットワークを介して、該ネットワーク中の所定の位置においてのみ許容されるということを意味する。
【0020】
有利には、少なくとも一つのカテゴリーの生成されるサブデータは暗号化されることができる。好ましい仕方では、すべてのカテゴリーの生成されるサブデータのすべてが暗号化される。暗号化のためには、当業者は暗号学の確立された諸方法を利用できる。たとえば、所定の数のユーザーのために公開鍵および秘密鍵を授与する(たとえばRSAまたはDH/DSSをもつPGP)、あるいは代替的または追加的に、たとえばいわゆる「トランスポート層セキュリティ」規格(TLS)に従ってコンピュータ・ネットワーク内で暗号化された伝送チャネルを提供する。
【0021】
有利には、イベント・プロトコル・データの個々のデータ・セクションは、次の基準のうちの少なくとも一つに基づいてカテゴリー分けされる:
・個別的なシンタックス命令
・タイムスタンプ
・あらかじめ定義されたターム
・データ・セクション内のパターン、つまりあらかじめ決定された解釈可能なパターン
・変数
・データ型。
【0022】
上記の基準は、読み込まれたデータ・セクションをあらかじめ定義された諸カテゴリーに分類するための評価オプションを生じる。したがって、たとえば、イベント・プロトコル・データが読み込まれつつあるとき、上記に説明した型のアクセス制御が上記の基準の少なくとも一つに関してそのデータの解釈を実行することが可能である。これは、語彙スキャナ(lexical scanner)(レキサー(lexer))による解析と同様の仕方で実行できる。上記の基準の一つがデータ・パターンとして認識される場合、このデータ・パターンは、論理的な処理により特定のカテゴリーに割り当てられることができる。
【0023】
説明した型のアクセス制御は、イベント・プロトコル・データの個々のデータ・セクションを逐次的にスキャンし、それらのデータ・セクションを解釈し、認識される基準に基づいてあらかじめ決定された諸カテゴリーに割り当てる。たとえば、イベント・プロトコル・データのデータ・セクションにおいてターム「ログオン」にタイムスタンプが続くものがあれば、アクセス制御は、そのデータ・セクションがコンピュータ・システム上でのユーザーによるシステム手順、たとえばログオン手順であると認識することができる。結果として、アクセス制御はこのデータ・セクションをカテゴリー「システム状態」(上記参照)に割り当てる。
【0024】
他方、たとえばターム「マスターカード」にあらかじめ定義された変数または数字列が続くものがあれば、アクセス制御は、このデータ・セクションが記録された顧客手順(たとえば注文手順)であると認識することができ、それによりアクセス制御は、このデータ・セクションをカテゴリー「顧客データ」(上記参照)に割り当てる。したがって、上述した諸データ・セクションが種々のカテゴリーに割り当てられたのち、それらのデータ・セクションは異なるユーザー・グループのために誘導され、それらのアクセスに関して分離されることができる。
【0025】
したがって、たとえばシステム・マネージャまたは管理者のユーザー・グループのみが特定のログオン手順に関係する情報を取得することができること、末端顧客またはアカウント・マネージャが実行されたユーザー手順に関係する情報を対応するサブデータから取得できるだけであることが実現可能である。それぞれの他のユーザー・グループは、該グループが禁止されているサブデータへのアクセスはもたない。
【0026】
有利には、個々のカテゴリーは異なるユーザー・グループおよび/またはコンピュータ・システムへの異なるアクセス権によって定義される。すでに説明したように、カテゴリーは、たとえば、システム・マネージャもしくは管理者およびユーザー・マネージャもしくはエンドユーザー、たとえばアカウント・マネージャおよび顧客に応じて、定義されることができる。しかしながら、異なるアクセス権が所定のユーザー・グループのユーザーに授与されることも考えられる。したがって、たとえばエンドユーザーの場合、包括的なアクセス権をもつ者と制約されたアクセス権をもつ者とがいることがある。これらのアクセス権は、分離されたイベント・プロトコル・データの対応するサブファイルへの個別的なアクセスを決定することができる。
【0027】
さらなる諸側面では、本発明は、コンピュータ・プログラム・プロダクトおよびコンピュータ・システムによって達成される。コンピュータ・プログラム・プロダクトは、コンピュータ・システム上で実行されるときに、説明した型の方法を実行するコンピュータ・プログラムを含む。
【0028】
コンピュータ・システムは、コンピュータ・システムのイベント・プロトコル・データへの制御されたアクセスのためのアクセス制御ユニットを有する。ここで、アクセス制御ユニットは、説明した型の方法を実行するよう設計されている。
【0029】
実施形態の有利な発展およびさらなる諸側面が従属請求項および以下の図面の記述において開示されている。すでに説明した諸側面について、これから、いくつかの図面を参照しつつ、より詳細に説明する。
【図面の簡単な説明】
【0030】
図1】本発明に基づく方法を実装するためのコンピュータ・ネットワーク・インフラストラクチャーの概略図である。
図2】本発明の方法に基づくイベント・プロトコル・データのカテゴリー分けの概略図である。
【発明を実施するための形態】
【0031】
図1は、イベント・プロトコル・データの保護された預託のための本発明に基づく方法を実装するためのコンピュータ・ネットワーク・インフラストラクチャーの概略図である。図1に示されるように、コンピュータ・ネットワーク・インフラストラクチャーは例として三つのコンピュータ・システム、すなわち第一のコンピュータ・システム1、クライアント・コンピュータ・システム8および管理者コンピュータ・システム6を含んでいる。この構成は、単に例として示されており、コンピュータ・ネットワーク・インフラストラクチャーはさらなるコンピュータ・システム、特にさらなるクライアント・コンピュータ・システムまたは別の構成を有することもできる。
【0032】
コンピュータ・システム1はインフラストラクチャーの中央システムをなす。コンピュータ・システム1はたとえば、サービス・プロバイダーのコンピューティングまたはデータ・サーバーであることができる。ここで、少なくとも一つのアプリケーションまたはシステム・プログラム3がコンピュータ・システム1の保護されたまたはカプセル化されたシステム構造(錠の記号によって表わされている)内で実行されることができる。しかしながら、図1に示すコンポーネント3がたとえば、可能性としては作業メモリと組み合わされたプロセッサ・コアを有することも可能である。一般に、コンピュータ・システム1におけるコンポーネント3は、コンピュータ・システム1の連続的な動作の間に、所定のイベント・プロトコル・データLog_A_Bを生成するコンポーネントであると理解される。
【0033】
このイベント・プロトコル・データLog_A_Bは、コンピュータ・システム1の保護されたシステム構造におけるすべてのイベントのプロトコルを構成する。したがって、イベント・プロトコル・データLog_A_Bはたとえば、システム手順(コンピュータ・システム1への可能なアクセス、連続的なオペレーティング・システム・エンティティまたは仮想マシンの状態、ハードウェア資源手順など)および個別的な秘密ユーザー情報(ユーザー名、ビジネス・トランザクションもしくは電子支払いトランザクションに関係する情報、パスワード、他のプライベートなデータなど)を含むことができる。しかしながら、イベント・プロトコル・データLog_A_Bはそのような情報に制約されるものではない。コンピュータ・システム1の動作中に生成された他の情報も組み込まれることができる。
【0034】
図1に示されるシステムのコンテキストにおける決定的な事実は、ユニット3において生成されるイベント・プロトコル・データLog_A_Bが、保護されたまたはカプセル化されたシステム構造(錠を参照)においてのみその生成されたものとの形で利用可能に保持されるということである。したがって、イベント・プロトコル・データLog_A_Bはたとえば、保護されたシステム環境内で、ユニット3によってコンピュータ・システム1の第一のメモリ4に書き込まれることができ、この位置に記憶されることができる。さらに、イベント・プロトコル・データLog_A_Bはユニット3からアクセス制御ユニット2に直接転送されることができ、あるいはまたコンピュータ・システム1の第一のメモリ4からアクセス制御ユニット2によって読み出されることができる。このことは、ユニット3とアクセス制御ユニット2の間の、あるいは第一のメモリ4とアクセス制御ユニット2の間の二つの代替的な経路によって示されている。
【0035】
しかしながら、メモリ4を保護されたシステム構造の外部に配置することも考えられる。その場合、イベント・プロトコル・データLog_A_Bは、該イベント・プロトコル・データLog_A_Bへのアクセスを防ぐために暗号化された形で記憶される。イベント・プロトコル・データLog_A_Bがアクセス制御ユニット2によって暗号化されることが考えられる。
【0036】
アクセス制御ユニット2はたとえば、イベント・プロトコル・データLog_A_Bを処理するためのいわゆるログ・コンバーターを有することができる。その動作モードはのちに説明する。アクセス制御ユニット2は、コンピュータ・システム1の保護されたシステム構造またはシステム環境内に位置していてもよい。
【0037】
コンピュータ・システム1の保護されたシステム構造はたとえばいわゆる「封印されたインフラストラクチャー」であることができる。つまり、特に図1の構成に基づく、コンピュータ・システム1の保護されたシステム構造の外部からの、システム全体内の諸ユーザーによる、コンポーネント2、3、4へのアクセスは、可能ではないまたは非常に制約された範囲でのみ可能である。したがって、たとえば外部からの保護されたシステム構造へのアクセスは、一般には禁止されうる。この場合、システムの動作中、コンピュータ・システム1内の実行中のアプリケーションまたはシステム・コンポーネント2、3、4は、外部のアクセス・オプションまたは介入オプションなしに、独立して動作する。
【0038】
しかしながら、もう一つの代替的な場合には、コンピュータ・システム1の保護されたシステム構造への、特に保護されたシステム構造内の選択されたコンポーネントおよびユニットへの、限られたアクセスが用意されることができる。したがって、システム全体のユーザーがたとえばユニット3の個々のコンポーネント、たとえばアプリケーションまたはシステム・プログラムへのアクセスを、それを実行する、他のユーザーのためにそれを管理もしくは維持するために、もつことが考えられる。しかしながら、そのようなユーザーは、たとえば第一のメモリ4内のデータといった他のコンポーネントにアクセスすることは禁止されてもよい。
【0039】
すべての考えられる実施形態のある共通する特徴は、保護されたまたはカプセル化されたシステム構造内の生成されたイベント・プロトコル・データLog_A_Bへのアクセスが一般に禁止されるということである。このことは、アクセス制御ユニット2によって保証される。すでに説明したように、イベント・プロトコル・データLog_A_Bは、秘密であり、よって所定のユーザーのためにのみアクセス可能であることが意図されている、この上なく多様な情報を含むことができる。このようにして、許諾されないユーザーが、そのユーザーのために意図されているのでないイベント・プロトコル・データLog_A_B内の情報へのアクセスを取得することは禁止される。
【0040】
コンピュータ・システム1の保護されたまたはカプセル化されたシステム構造へのアクセス保護は、たとえば、入力インターフェースすべてが外部からアクセス可能なわけではない(いわゆるポート・フィルタリング)または保護されたシステム構造内の個々のコンポーネントがプロトコル補助によってアクセスを拒否する(たとえば、転送プロトコルの転送レイヤー上での情報の交換を抑制する)という事実によって達成できる。
【0041】
コンピュータ・システム1の保護されたシステム構造内のアクセス制御ユニット2の動作モードについて以下で説明する。
【0042】
すでに説明したように、イベント・プロトコル・データLog_A_Bは、コンポーネント3からまたは第一のメモリ4からしかるべく、アクセス制御ユニット2に転送されるまたはアクセス制御ユニット2によって取り出される。次いでアクセス制御ユニット2はイベント・プロトコル・データLog_A_Bを読み込み、逐次的に、イベント・プロトコル・データLog_A_Bの個々のデータ・セクションを、あらかじめ決められた基準に従ってたとえば二つのカテゴリーAおよびBの一つに割り当てていく。あらかじめ決められた基準はたとえば、イベント・プロトコル・データLog_A_Bの特定の情報、たとえばシステム情報はあるカテゴリーA(管理者)に割り当てられ、イベント・プロトコル・データの他の情報、たとえばユーザー情報は第二のカテゴリーB(ユーザー)に割り当てられるような仕方で選択されることができる。
【0043】
次いで、カテゴリー分けされたデータ・セクションがアクセス制御ユニット2において、指定されたカテゴリーAおよびBに対応する対応サブデータに分割される。これは、アクセス制御ユニット2がたとえばカテゴリーAのサブデータLog_AおよびカテゴリーBのサブデータLog_Bを、それぞれに割り当てられた情報を用いて生成することを意味する。最後に、生成されたサブデータはしかるべく、たとえばサブファイルとして記憶されることができ、それぞれの場合において、許諾されたユーザーのみが個々のサブファイルへのアクセスをもつようにされる。
【0044】
このことは、図1では、サブファイルLog_Aがアクセス制御ユニット2によってコンピュータ・システム1の第二のメモリ14に転送され、その位置に(任意的には暗号化された形で)記憶されるという事実によって示されている。ここで、この場合、第二のメモリ14はたとえば保護されたシステム構造の外部だがコンピュータ・システム1の内部に配置される。しかしながら、特定的に指定された宛先コンピュータ・システムなしにデータまたはファイルLog_Aを暗号化された形でネットワークに転送(ブロードキャスト)し、コンピュータ・システム1の外部の第二のメモリ14を、さらなるコンピュータ・システムまたは宛先コンピュータ・システム内に設けることも考えられる。すると、第二のメモリ14に記憶されているサブファイルLog_Aは、たとえば管理者コンピュータ・システム6およびそこに構成されている管理者ツール7(これはアクセス制御ユニット2によるアクセス制御の一部であることができる)を介して、入力および出力インターフェース5を介した対応する通信によって、取得されることができる。
【0045】
このようにして、管理者は、管理者コンピュータ・システム6を使って、該管理者のユーザー・グループのためにあらかじめ決定されているサブファイルLog_Aを、コンピュータ・システム1からロードし、次いでそれを評価することができる。それにより、たとえば保護されたシステム構造、特にシステム・ユニット3に、たとえばリセットまたはリスタート・ルーチンを実行するようにという個別的なコマンドを割り当てるために、管理者コンピュータ・システム6によってたとえば第二のメモリ14に加えてコンピュータ・システム1のさらなるコンポーネントへの制約されたアクセスが構成されることが考えられる。しかしながら、管理者コンピュータ・システム6によるもとのイベント・プロトコル・データLog_A_Bへのアクセスは、すでに説明したように、アクセス制御ユニット2によって排除される。
【0046】
サブファイルLog_Aのさらなる転送に加えて、図1に示されるように、他方のサブファイルLog_Bのクライアント・コンピュータ・システム8へのさらなる転送も、アクセス制御ユニット2において実行される。サブファイルLog_Bはコンピュータ・システム1によって、インターフェース通信5を介してクライアント・コンピュータ・システム8に転送され、その位置においてメモリ10に記憶される。次いで、クライアント・アプリケーション9(これはアクセス制御ユニット2によるアクセス制御の一部であることができる)はメモリ10にアクセスし、第二のサブファイルLog_Bを開き、読み、評価することができる。クライアント・コンピュータ・システム8は同様に、保護されたシステム構造として構築されることができ、よってクライアント・コンピュータ・システム8の許諾されたユーザーのみがサブファイルLog_Bにアクセスをもつ。その代わりにまたはそれに加えて、メモリ10はクライアント・コンピュータ・システム8の外に構成されることもできる。この場合、サブファイルLog_Bは好ましくは、許諾されないアクセスを禁止するために、暗号化された形で記憶される。
【0047】
クライアント・コンピュータ・システム8のユーザーによる、管理者コンピュータ・システム6に転送されたサブファイルLog_Aへのアクセスは、提供されない。管理者コンピュータ・システム6のユーザーによる、クライアント・コンピュータ・システム9に送られたサブファイルLog_Bへの逆のアクセスも提供されない。このことは、許諾されたユーザーのためのみに意図された所定の情報が、それぞれのユーザー・グループ(諸クライアントBまたは諸管理者A)に中継されるのみでもあることを保証する。コンピュータ・システム1の保護されたシステム構造(錠を参照)におけるもとのイベント・プロトコル・データLog_A_Bへのアクセスは、アクセス制御ユニット2によって防止される。
【0048】
コンピュータ・システム1内のアクセス制御ユニット2から個々のさらなるコンピュータ・システム6および8へのサブファイルLog_AおよびLogBの転送のすべては、有利には暗号化された形で実行されることができる。暗号化または復号のためには、当業者は、たとえば公開鍵および秘密鍵を授与することを通じてなど、この上なく多様な暗号技法または暗号化アルゴリズムを利用することができる。すでに説明したように、暗号化は好ましくはアクセス制御ユニット2によって実行されることができる。
【0049】
図2は、図1に示されるアクセス制御ユニット2内のイベント・プロトコル・データLog_A_Bの処理を例として示している。
【0050】
イベント・プロトコル・データはたとえば、複数の行エントリーA1、B1、A2、B2などが記録されているテキスト・ファイルの形で提供される。個々の行エントリーは、たとえば、一方では、特定のシステム状態を反映し、第一のユーザー・グループ(たとえば諸管理者)のために提供されている情報を、他方では特定のユーザー情報を含み、よって第二のユーザー・グループ(たとえば諸エンドユーザー)のために意図されている情報を含む。結果として、イベント・プロトコル・データLog_A_Bの行エントリーは、第一のカテゴリーAまたは第二のカテゴリーBのいずれかと関連付けられる。例として、図2では、第一のカテゴリーAおよび第二のカテゴリーBの行エントリーが交互になっており、よってエントリーA1、B1、A2、B2などをなしている。
【0051】
図1に示したようなアクセス制御ユニット2は、個々の行エントリーを読み込み、所定の基準に基づいてカテゴリーAおよび/またはカテゴリーBに割り当てることができる。所定の基準はたとえば、個別的なシンタックス命令、タイムスタンプ、あらかじめ定義されたターム、パターン、変数またはデータ型である。よって、たとえば第一の行エントリーA1は、特定のエラー・コード「エラーXYZ」に関係する情報の項目を含むことができる。このシンタックスまたはこれらの指定されているタームに基づいて、アクセス制御ユニット2はエントリーA1がシステム・エントリーであり、このエントリーをカテゴリーAに割り当てる。
【0052】
行エントリーB1は、ユーザーに関係する情報またはユーザーによって実施される電子商取引を含むことができる。たとえば、「名前:ABC、顧客番号:123」である。この情報に基づいて、アクセス制御ユニット2は行エントリーB1がユーザー・エントリーであることを認識し、これをカテゴリーBに割り当てる。これは、その後の行エントリーに関して同様の仕方で行なわれる。
【0053】
その後、イベント・プロトコル・データLog_A_Bの行エントリー、すなわちデータ・セクションのすべてが、それぞれのカテゴリーに従って、サブデータに、たとえばサブファイルにマージされる。図2は、例として、カテゴリーAの行エントリーのすべてを、例として行エントリーA1およびA2を含んでいるサブファイルLog_Aにマージすることを示している。これらのエントリーを一つのサブファイルにマージすることは必須ではない。カテゴリー分けされたデータ・セクションが連続的なデータ・ストリームとして構成されることも考えられる。サブファイルへのマージはたとえば、システム全体における別の位置で(たとえば別のコンピュータ・システムにおいて)実行されることができる。
【0054】
さらに、各行エントリーA1、B1、A2、B2などについて、チェックサム#A1、#B1、#A2、#B2などが生成される。チェックサムは、それぞれの行エントリーを双方向的に(biuniquely)マークする、それぞれの行エントリーのハッシュ値を有することができる。さらに、あるデータ・セクションのチェックサムはそれぞれのカテゴリーのその後のデータ・セクションに加えられる。これは、例として図2に示されている。ここでは、行エントリーA1のチェックサム#A1がサブファイルLog_Aにおいて行エントリーA2に加えられている。すると、対応する行エントリーA3は行エントリーA2のチェックサム#A2を取得することになる、などとなる。このようにして、行エントリーA1、A2などのいわゆる連結リスト(concatenated list)が形成され、それにより個々の行エントリーが気づかれることなく削除されることが防止される。
【0055】
行エントリーが削除される場合、次の行エントリーに付された(そして削除された行のチェックサムをなす)チェックサムはもはやいまだ存在している直前の行エントリーのチェックサムに対応しなくなる。このことは、たとえばアクセス制御ユニット2またはクライアント・アプリケーション9(図1参照)によって検証されることができ、よって少なくとも一つの行エントリーが削除されたことのマーカーをなす。このことは、生成されたサブファイルLog_Aに、気づかれることなくあとで工作できることを防止する。このようにして、たとえば、許諾されないユーザーが、実際に開始することが許されていない特定のシステム手順を開始し(たとえば、他のユーザーの盗まれたクレジットカード番号を使ってビジネス・トランザクションを実行する)、その後、対応するサブファイルにおける犯罪の証拠となる行エントリーが削除されること、が禁止される。これは、連結リストが、その削除が気づかれることを保証し、結果として、たとえば特定的な警告メッセージが出力されることができるからである。ちなみに、もともと生成されたイベント・プロトコル・データはいまだ図1に示されるようにコンピュータ・システム1の保護されたシステム構造中に存在しており、たとえば、違反が報告された場合に安全およびセキュリティを保証することを任務とする当局(警察または検察庁)によって読み出されることができる。必要な場合に欠けている行数が確かめられるよう、個々の行エントリーについての連続的なカウンタを確立することが有利である。
【0056】
同様に、図2に示したようなサブファイルLog_Aの個々の行エントリーを暗号化することが考えられる。それによりそれぞれのチェックサム、たとえば#A1が暗号化される。これは、暗号化により実際のチェックサム値を確かめるのが多大な困難を伴ってでしかできないため、対応するチェックサムのその後の再構築を介して行エントリーに工作することも回避できるという追加的な利点がある。
【0057】
サブファイルLog_A全体または各行エントリーA1、A2などに取り付けられる乱数の追加的または代替的な生成により、さらに、対応するサブファイルの不正な再構成または復号に対するさらなる保護を与える、またはそれをより難しくすることができる。この場合、鍵長を延長する、たとえば128ビットから256ビット、すなわち数バイトの鍵長への延長の既知の諸方法を考慮することができる。
【0058】
説明した方法および説明したシステム全体は、コンピュータ・システムのイベント・プロトコル・データの保護された預託を許容する。ここで、アクセス制御により、もともと生成されたイベント・プロトコル・データは複数のサブファイルに分割されることができる。個々のサブファイルは、許諾されたユーザー・グループのみに中継される。中継されるデータは任意的に暗号化される。しかしながら、もとのイベント・プロトコル・データへのアクセスは禁止される。結果として、秘密情報が許諾されない人々によるアクセスに対して保護されたままとなることを保証する技術的手段を使うことができる。
【0059】
例解した実施形態は、単に例として選ばれており、特に、図1に示されるシステム全体の代替的な可能な実施形態が考えられる。
【符号の説明】
【0060】
1 コンピュータ・システム
2 アクセス制御ユニット
3 システム・ユニット
4 コンピュータ・システム内の第一のメモリ
5 入出力インターフェース
6 管理者コンピュータ・システム
7 管理者ツール
8 クライアント・コンピュータ・システム
9 クライアント・アプリケーション
10 クライアント・コンピュータ・システム内のメモリ
14 コンピュータ・システム内の第二のメモリ
Log_A_B イベント・プロトコル・データ
Log_A、Log_B サブファイル
#A1、#A2、#B1、#B2 チェックサム
A1、A2、B1、B2 イベント・プロトコル・データ中の行エントリー
A、B カテゴリー
図1
図2
Copyright © 2010-2025 Science Impact Inc. All Rights Reserved.