特許 6183889 コンピュータシステムの構成要素間の相互作用を制御するためのセキュリティシステムおよびセキュリティ方法

(19)【発行国】日本国特許庁(JP)

(12)【公報種別】特許公報(B2)

(11)【特許番号】6183889

(24)【登録日】2017年8月4日

(45)【発行日】2017年8月23日

(54)【発明の名称】コンピュータシステムの構成要素間の相互作用を制御するためのセキュリティシステムおよびセキュリティ方法

(51)【国際特許分類】

   G06F 21/62 20130101AFI20170814BHJP

   G06F 9/48 20060101ALI20170814BHJP

【ＦＩ】

   G06F21/62 318

   G06F9/46 457

【請求項の数】7

【外国語出願】

【全頁数】28

(21)【出願番号】特願2013-90839(P2013-90839)

(22)【出願日】2013年4月24日

(65)【公開番号】特開2013-242860(P2013-242860A)

(43)【公開日】2013年12月5日

【審査請求日】2016年4月19日

(31)【優先権主張番号】1207404.3

(32)【優先日】2012年4月27日

(33)【優先権主張国】GB

(73)【特許権者】

【識別番号】509133300

【氏名又は名称】ジーイー・アビエイション・システムズ・リミテッド

【氏名又は名称原語表記】ＧＥ ＡＶＩＡＴＩＯＮ ＳＹＳＴＥＭＳ ＬＩＭＩＴＥＤ

(74)【代理人】

【識別番号】100137545

【弁理士】

【氏名又は名称】荒川 聡志

(74)【代理人】

【識別番号】100105588

【弁理士】

【氏名又は名称】小倉 博

(74)【代理人】

【識別番号】100129779

【弁理士】

【氏名又は名称】黒川 俊久

(74)【代理人】

【識別番号】100113974

【弁理士】

【氏名又は名称】田中 拓人

(72)【発明者】

【氏名】クリストファー・ジェームズ・スライフィルド

【審査官】 岸野 徹

(56)【参考文献】

【文献】 米国特許出願公開第２０１２／００１７２６０（ＵＳ，Ａ１）

【文献】 特開２００２−２８８０３０（ＪＰ，Ａ）

【文献】 特開２００６−１２７１２７（ＪＰ，Ａ）

【文献】 米国特許出願公開第２００６／００９５７６２（ＵＳ，Ａ１）

(58)【調査した分野】（Int.Cl.，ＤＢ名）

Ｇ０６Ｆ ２１／６２

Ｇ０６Ｆ ９／４８

(57)【特許請求の範囲】

【請求項1】

コンピュータシステムの１つまたは複数の構成要素間の相互作用を制御する方法であって、前記コンピュータシステムが、互いと相互作用して、活動に従事するように適合された複数の構成要素を含み、前記方法が、
固定セキュリティレベルを前記コンピュータシステムのそれぞれの構成要素にコンピュータが割り当てるステップと、
前記コンピュータシステムの構成要素間のすべての現在アクティブな相互作用および新しく要求された相互作用をコンピュータが監視するステップであって、新しく要求された相互作用が、宛先構成要素と相互作用するための、発信元構成要素による要求を含む、監視するステップと、
を含み、
前記発信元構成要素および前記宛先構成要素の前記セキュリティレベル間の差が１つのレベルを上回る場合、前記要求された相互作用をコンピュータが禁じ、
前記発信元構成要素がそれ自体のセキュリティレベルよりもより低く割り当てられたセキュリティレベルを有するいずれかの構成要素との相互作用に従事しており、前記要求された相互作用が、より高く割り当てられたセキュリティレベルを有する宛先構成要素に関わっている場合、前記要求された相互作用をコンピュータが禁じ、
発信元構成要素がそれ自体のセキュリティレベルよりもより高く割り当てられたセキュリティレベルを有するいずれかの構成要素との相互作用に従事しており、前記要求された相互作用がより低く割り当てられたセキュリティレベルを有する宛先構成要素に関わっている場合、前記要求された相互作用をコンピュータが禁じ、
発信元構成要素が前記発信元構成要素に割り当てられたセキュリティレベルよりもより高いセキュリティレベルを有するデータを含み、前記要求された相互作用がより低く割り当てられたセキュリティレベルを有する宛先構成要素に関わっている場合、前記要求された相互作用をコンピュータが禁じ、
発信元構成要素が前記発信元構成要素に割り当てられたセキュリティレベルよりもより低いセキュリティレベルを有するデータを含み、前記要求された相互作用がより高く割り当てられたセキュリティレベルを有する宛先構成要素に関わっている場合、前記要求された相互作用をコンピュータが禁じ、
そうでない場合、前記要求された相互作用をコンピュータが許可する、
方法。

【請求項2】

前記コンピュータシステムの構成要素間のすべての現在アクティブな相互作用および新しく要求された相互作用をコンピュータが監視するステップが、
要求された相互作用の前記発信元構成要素および前記宛先構成要素のそれぞれに関する状態値をコンピュータが判断するステップであって、前記状態値が、前記要求された相互作用の前記発信元構成要素および前記宛先構成要素との相互作用に現在従事している構成要素の前記割り当てられたセキュリティレベルに依存して判断されている、判断するステップと、
前記要求された相互作用の前記発信元構成要素および前記宛先構成要素の前記状態値をコンピュータが比較するステップと、
前記要求された相互作用の前記発信元構成要素および前記宛先構成要素の前記状態値間に１つを超えるセキュリティレベルの差が存在するとき、状態ブロック条件をコンピュータが課すステップと、
状態ブロック条件が存在する間、前記要求された相互作用をコンピュータが禁じるステップと、
を含む、請求項１に記載の方法。

【請求項3】

相互作用の間に構成要素が従事できるそれぞれの活動に優先レベルをコンピュータが割り当てるステップと、
状態ブロック条件が課されているとき、前記状態ブロック条件を引き起こした前記発信元構成要素および前記宛先構成要素の前記既存の相互作用をコンピュータが分離するステップと、
前記分離された相互作用に関わる前記活動に関連する前記優先レベルを前記発信元構成要素および前記宛先構成要素の間で前記要求された相互作用に関わる前記活動に関連する前記優先レベルとコンピュータが比較するステップと、
前記分離された相互作用の前記活動の前記優先レベルが前記発信元構成要素および前記宛先構成要素の間で前記要求された相互作用の活動の優先レベルよりもより低いとき、前記状態ブロック条件をコンピュータが解除して、前記要求された相互作用をコンピュータが許可するステップと、
そうでない場合、前記状態ブロック条件をコンピュータが維持して、前記発信元構成要素および前記宛先構成要素の間で前記要求された相互作用をコンピュータが禁じるステップと、
をさらに含む、請求項２に記載の方法。

【請求項4】

要求された相互作用の前記発信元構成要素および前記宛先構成要素に関する状態値をコンピュータが判断する前記ステップが、
前記発信元構成要素および前記宛先構成要素に割り当てられた前記セキュリティレベルをコンピュータが比較するステップを含み、
前記発信元構成要素の前記割り当てられたセキュリティレベルが前記宛先構成要素の前記割り当てられたセキュリティレベルよりもより低い場合、前記発信元構成要素が相互作用に現在従事している最も安全でない構成要素の前記セキュリティレベルに対応する状態値を前記発信元構成要素に割り当て、前記宛先構成要素が相互作用に現在従事している最も安全な構成要素の前記セキュリティレベルに対応する状態値を前記宛先構成要素にコンピュータが割り当て、
前記発信元構成要素の前記割り当てられたセキュリティレベルが前記宛先構成要素の前記割り当てられたセキュリティレベルよりもより高い場合、前記発信元構成要素が相互作
用に現在従事している最も安全な構成要素の前記セキュリティレベルに対応する状態値を前記発信元構成要素に割り当て、前記宛先構成要素が相互作用に現在従事している最も安全でない構成要素の前記セキュリティレベルに対応する状態値を前記宛先構成要素にコンピュータが割り当て、
そうでない場合、前記それぞれの発信元構成要素および宛先構成要素が相互作用に現在従事している最も安全な構成要素の前記セキュリティレベルに対応する状態値を前記発信元構成要素および前記宛先構成要素にコンピュータが割り当てるステップと、
を含む、請求項２または３に記載の方法。

【請求項5】

コンピュータシステムの１つまたは複数の構成要素間の相互作用を制御するセキュリティシステムであって、前記コンピュータシステムが、互いと相互作用して、活動に従事するように適合された複数の構成要素を含み、前記セキュリティシステムが、
固定セキュリティレベルを前記コンピュータシステムのそれぞれの構成要素に割り当て、
前記コンピュータシステムの構成要素間のすべての現在アクティブな相互作用および新しく要求された相互作用を監視する
ように構成されたセキュリティモデル実施機構を含み、
新しく要求された相互作用が、宛先構成要素と相互作用するための、発信元構成要素による要求を含み、
前記発信元構成要素および前記宛先構成要素の前記セキュリティレベル間の差が１つのレベルを上回る場合、前記セキュリティモデル実施機構が前記要求された相互作用を禁じるように構成され、
前記発信元構成要素がそれ自体のセキュリティレベルよりもより低く割り当てられたセキュリティレベルを有するいずれかの構成要素との相互作用に従事しており、前記要求された相互作用が、より高く割り当てられたセキュリティレベルを有する宛先構成要素に関わっている場合、前記セキュリティモデル実施機構が前記要求された相互作用を禁じるように構成され、
発信元構成要素がそれ自体のセキュリティレベルよりもより高く割り当てられたセキュリティレベルを有するいずれかの構成要素との相互作用に従事しており、前記要求された相互作用がより低く割り当てられたセキュリティレベルを有する宛先構成要素に関わっている場合、前記セキュリティモデル実施機構が前記要求された相互作用を禁じるように構成され、
発信元構成要素が前記発信元構成要素に割り当てられたセキュリティレベルよりもより高いセキュリティレベルを有するデータを含み、前記要求された相互作用がより低く割り当てられたセキュリティレベルを有する宛先構成要素に関わっている場合、前記セキュリティモデル実施機構が前記要求された相互作用を禁じるように構成され、
発信元構成要素が前記発信元構成要素に割り当てられたセキュリティレベルよりもより低いセキュリティレベルを有するデータを含み、前記要求された相互作用がより高く割り当てられたセキュリティレベルを有する宛先構成要素に関わっている場合、前記セキュリティモデル実施機構が前記要求された相互作用を禁じるように構成され、
そうでない場合、前記セキュリティモデル実施機構が前記要求された相互作用を許可するように構成された、
セキュリティシステム。

【請求項6】

前記セキュリティモデル実施機構が、前記コンピュータシステムのオペレーティングシステム内で実施される、請求項５に記載のシステム。

【請求項7】

前記セキュリティモデル実施機構が、前記コンピュータシステムのいずれかの構成要素によってアクセスまたは回避可能でない安全な環境で実施される、請求項５または６に記載のシステム。

【発明の詳細な説明】

【技術分野】

【0001】

本発明は、コンピュータシステムに関し、詳細には、コンピュータシステム内のアクセス制御に関する。

【背景技術】

【0002】

情報技術が普及し続けるのに伴って、増え続けるデータ量はデジタル形態であり、より安全であると同時に、よりアクセス可能なシステムを配備することによって、すべてのアクセスポイントにおけるデータの保護を必要とする、そのようなデータの保全は、ほとんどの企業が今日直面する主な課題である。営利会社は、その組織のコンピュータ資産の他のサーバとネットワークで接続されたサーバ上でそのウェブサイトをホストする。多くの営利組織および非営利（例えば、政府、軍隊、保健、および教育）組織は、ネットワークを介して通信し、秘密データを記憶および処理するシステムとやはりネットワーク接続されたワークステーションからそのウェブにアクセスする。移動体デバイスおよび関連アプリケーションの幅広い採用は、そのようなデバイスが銀行取引および消費者取引に関してますます使用されるのに伴って、さらなる範囲を加えた。単一のクライアントまたはサーバのサブバージョンは、攻撃者に組織全体の情報リソースおよびコンピューティングリソースに対する即座の接続性を提供し、それによって、機密情報を危険にさらし、潜在的に組織の経営に大損害を与える。データ攻撃の数は過去５年間で３倍を上回り、セキュリティと増大するアクセス需要との間の均衡を保つ必要をさらに重要な優先事項にした。

【0003】

セキュリティモデルを構築する際の一般的な要素は、機密性、完全性、アクセス性、およびデータ保証である。データ機密性は認可を受けたアクセスだけに開示を制限することによって保証されるのに対して、データ完全性は、意図的であれ、偶発的であれ、データが修正から保護されることを保証する。データアクセス性はデータに対するアクセスの容易さを意味するのに対して、データ保証は特定の実施が事前に確立されたセキュリティ目標に関してある程度の信頼を提供することを意味し、例えば、機密性は防衛適用業務において最重要であり、機密性とデータ完全性は両方とも医療管理適用業務および金融適用業務において等しく適切である。

【0004】

マルチレベルセキュリティモデルは、データの秘密性に従った機密指定（ｃｌａｓｓｉｆｉｃａｔｉｏｎ）手法を使用する。異なるセキュリティ機密指定を有するデータは、すべて単一の領域内に存在することができ、その領域内のすべてのユーザがその領域内のすべてのデータにアクセスするためのセキュリティクリアランスを有するとは限らないにもかかわらず、そのデータを受信、処理、記憶、および普及することが可能である。最もよく知られているマルチレベルセキュリティモデルは、システムが主体と対象物とを備えるＢｅｌｌ−ＬａＰａｄｕｌａおよびＢｉｂａであり、読取り動作はデータが対象物から主体に流れることに関し、書込み動作はデータが主体から対象物に流れることに関する。Ｂｅｌｌ−ＬａＰａｄｕｌａモデルはデータ機密性だけに対処し、それぞれの主体および対象物は、データの保護レベルを示す、機密指定またはクリアランスからなるセキュリティレベル（すなわち、秘密、機密扱いなど）を有する。Ｂｅｌｌ−ＬａＰａｄｕｌａモデルは、２つの特性を実施する。すなわち：
（ｉ）単純なセキュリティ特性：所与のセキュリティレベルの主体は、上位セキュリティレベルの対象物を読み取ってはならない（上位読取り禁止（ｎｏ ｒｅａｄ ｕｐ））、および
（ｉｉ）^*−特性：所与のセキュリティレベルの主体は、下位セキュリティレベルの対象物に書き込んではならない（下位書込み禁止（ｎｏ ｗｒｉｔｅ ｄｏｗｎ））、である。

【0005】

Ｂｉｂａモデルは、完全性だけに対処し、機密性を完全に無視し、Ｂｅｌｌ−ＬａＰａｄｕｌａの特性とは逆の２つの特性をやはり実施する。すなわち：
（ｉ）単純な完全性特性：所与のレベルの完全性の主体は、下位完全性レベルの対象物を読み取ってはならない（下位読取り禁止（ｎｏ ｒｅａｄ ｄｏｗｎ））、
（ｉｉ）^*完全性特性：所与の完全性レベルの主体は、上位完全性レベルのいずれかの対象物に書き込んではならない（上位書込み禁止（ｎｏ ｗｒｉｔｅ ｕｐ））、である。

【0006】

Ｂｅｌｌ−ＬａＰａｄｕｌａセキュリティモデルとＢｉｂａセキュリティモデルは両方とも、複数のセキュリティレベルのデータフローに対処することを試みたが、これらは両方とも、限定的であり、柔軟性がないことで知られている。これらのモデルは両方とも、一方向のデータフローだけを効果的に可能にし、Ｂｅｌｌ−ＬａＰａｄｕｌａは（セキュリティレベルに対して）下位読取りと上位書込みだけを許可し、それによって、データ機密性を保証し、Ｂｉｂａは上位読取りと下位書込みだけを許可し、それによって、データ完全性を保証する。しかし、いずれのモデルも、データの完全性と機密性の両方を保証しない。厳密に実施された場合、データが一方向だけに進むシステムを実施するのは実際的には不可能であるため、これらのモデルは両方とも固有の問題を有する。

【0007】

実際の状況で、これら両方のモデルを実施するために、禁じられた方向に限定された帯域幅のフローを許可する「ワークアラウンド（ｗｏｒｋａｒｏｕｎｄ）」が考案された。しかし、これは、実際には、機密指定解除（ｄｅｃｌａｓｓｉｆｉｃａｔｉｏｎ）の形態は、少なくともある程度、システムのセキュリティを常に危険にさらすことになる。加えて、そのような機密指定解除は、通常、リスクを最小化するために、主体もしくは対象物のセキュリティレベルまたは完全性レベルを増大させることを伴い、これは、最終的に、大部分の主体／対象物にトップレベルのセキュリティまたは完全性を持たせることになり、結果として、セキュリティレベルまたは完全性レベルのパーティションがないシステムを事実上もたらす。システムの最も秘密性の高い構成要素およびデータのセキュリティを保証するために、これらの構成要素の周囲に巨大な防衛機構を構築することを伴うチャイニーズウォール手法が使用されているが、この場合も、これは、結果的に、柔軟性のないシステムをもたらし、経済的なリソース使用法ではない。

【発明の概要】

【0008】

システムまたはデータのセキュリティが害されないような形で、コンピュータシステムの構成要素間の相互作用を制御する様式を提供することが本発明の目的である。

【0009】

システムまたはデータのセキュリティが害されず、かつ双方向のデータフローを許可するように、異なるセキュリティレベルで存在する構成要素間の相互作用を制御するための様式を提供することが本発明のさらなる目的である。

【0010】

本発明は、コンピュータシステムの１つまたは複数の構成要素間の相互作用を制御する方法にあり、このシステムは、互いと相互作用して、活動に従事するように適合された複数の構成要素を含み、この方法は、固定セキュリティレベルをシステムのそれぞれの構成要素に割り当てるステップと、システムの構成要素間のすべての現在アクティブな相互作用および新しく要求された相互作用を監視するステップであって、新しく要求された相互作用が、宛先構成要素と相互作用するための、発信元構成要素による要求を含む、監視するステップとを含む。まず、構成要素に割り当てられたセキュリティレベルが査定されて、発信元構成要素および宛先構成要素のセキュリティレベル間の差が１つのレベルを上回る場合、要求された相互作用は禁じられる。これらの構成要素のセキュリティレベル間に１つのレベルの差が存在する場合、両方の構成要素の相互作用が査定される。構成要素が、それ自体のセキュリティレベルよりもより低く割り当てられたセキュリティレベルを有するいずれかの構成要素との相互作用に従事しており、要求された相互作用が、より高く割り当てられたセキュリティレベルを有する発信元構成要素もしくは宛先構成要素に関わっているか、またはより高く割り当てられたセキュリティレベルを有するいずれかの構成要素との相互作用に現在従事している場合、要求された相互作用は禁じられる。しかし、構成要素がそれ自体のセキュリティレベルよりもより高く割り当てられたセキュリティレベルを有するいずれかの構成要素との相互作用に従事しており、要求された相互作用がより低く割り当てられたセキュリティレベルを有する発信元構成要素もしくは宛先構成要素に関わっているか、またはより低く割り当てられたセキュリティレベルを有するいずれかの構成要素との相互作用に現在従事している場合、要求された相互作用は禁じられる。さらに、構成要素がその構成要素に割り当てられたセキュリティレベルよりもより高いセキュリティレベルを有するデータを含み、要求された相互作用がより低く割り当てられたセキュリティレベルを有する発信元構成要素もしくは宛先構成要素に関わっているか、または要求された相互作用がより低く割り当てられたセキュリティレベルを有するいずれかの構成要素との相互作用に現在従事している場合、要求された相互作用は禁じられる。しかし、構成要素が構成要素に割り当てられたセキュリティレベルよりもより低いセキュリティレベルを有するデータを含み、要求された相互作用がより高く割り当てられたセキュリティレベルを有する発信元構成要素もしくは宛先構成要素に関わっているか、または要求された相互作用がより高く割り当てられたセキュリティレベルを有するいずれかの構成要素との相互作用に現在従事している場合、要求された相互作用は禁じられる。すべてのその他の場合、要求された相互作用は許可される。

【0011】

システムの構成要素間のすべての現在アクティブな相互作用および新しく要求された相互作用を監視する際に、要求された相互作用の発信元構成要素および宛先構成要素のそれぞれに関する状態値が判断され、これらの状態値は、要求された相互作用の発信元構成要素および宛先構成要素との相互作用に現在従事している構成要素の割り当てられたセキュリティレベルに依存している。要求された相互作用の発信元構成要素および宛先構成要素の状態値が比較され、宛先構成要素および発信元構成要素の状態値間に１つを超えるセキュリティレベルの差が存在するとき、状態ブロック条件が課される。状態ブロック条件が存在する間、要求された相互作用は禁じられる。

【0012】

相互作用の間に構成要素が従事できるそれぞれの活動に優先レベルが割り当てられる。状態ブロック条件が課せられているとき、状態ブロック条件を引き起こした発信元構成要素および宛先構成要素の既存の相互作用は分離されて、分離された相互作用に関わる活動に関連する優先レベルが発信元構成要素および宛先構成要素の間で要求された相互作用に関わる活動に関連する優先レベルと比較される。分離された相互作用の活動の優先レベルが発信元構成要素および宛先構成要素の間で要求された相互作用の活動の優先レベルよりもより低いとき、状態ブロック条件は解除され、要求された相互作用は許可される。そうでない場合、状態ブロック条件は維持され、発信元構成要素および宛先構成要素の間で要求された相互作用は禁じられた状態に留まる。

【0013】

本発明は、さらに、上述の方法のすべてのステップを実行するように適合されたコンピュータプログラムコード手段を備えたコンピュータプログラムと、コンピュータ可読媒体上に埋め込まれたコンピュータプログラムとにある。

【0014】

別の態様では、本発明は、コンピュータシステムの１つまたは複数の構成要素間の相互作用を制御するセキュリティシステムにあり、このコンピュータシステムは、互いと相互作用して、活動に従事するように適合された複数の構成要素を含み、このシステムは、上記のコンピュータプログラムを含むセキュリティモデル実施機構ＳＭＥＭを含む。

【0015】

次に、添付の図を参照して、単なる例として、本発明の実施形態が説明される。

【図面の簡単な説明】

【0016】

【図1】本発明を実施できるコンピュータシステムのシステムブロック図である。

【図2】本発明によって実施されるセキュリティモデルの単純な実用的な実装形態の例を示す図である。

【図3】本発明によって実施されるセキュリティモデルの単純な実用的な実装形態の例を示す図である。

【図4】本発明によって実施されるセキュリティモデルの単純な実用的な実装形態の例を示す図である。

【図5】新しく要求されたトランザクションの２つの構成要素の既存の相互作用を例示するブロック図である。

【図6】構成要素の状態、および状態ブロックが存在するかどうかがどのように判断されるかを例示する流れ図である。

【図7】本明細書の方程式７を例示する図である。

【発明を実施するための形態】

【0017】

本出願で使用される場合、「構成要素」という用語は、ハードウェア、ハードウェアとソフトウェアの組合せ、ソフトウェア、または実行中のソフトウェアのいずれかのコンピュータ関連エンティティを指す。例えば、構成要素は、プロセッサ上で実行しているプロセス、プロセッサ、オブジェクト、実行可能物、実行のスレッド、プログラム、および／またはコンピュータであってよいが、これらであると限定されない。１つもしくは複数の構成要素はプロセス内および／または実行のスレッド内に存在することが可能であり、構成要素は、１つのコンピュータ上に配置されてよく、かつ／または２つ以上のコンピュータ間で分散されてもよい。本発明はソフトウェア構成要素の観点から説明されるが、本発明はこれに限定されない点を理解されたい。

【0018】

図１を参照すると、セキュリティモデル実施機構ＳＭＥＭ（１３０）を含むオペレーティングシステム１２０の制御下で実行している複数の構成要素１１０を含むコンピュータシステム１００が示される。セキュリティモデル実施機構ＳＭＥＭ（１３０）は、コンピュータシステム１００のすべての構成要素１１０間のすべての相互作用１４０を制御し、オペレーティングシステム１２０と同じ権利を有するコンピュータオペレーティングシステム１２０のカーネルレベルで実行し、その結果、すべての相互作用を監視および制御することができる。相互作用１４０は、１つもしくは複数のプロセスまたはアクセスデータを実行するために相互作用するための、ある構成要素１１０から別の構成要素に対する要求であり、相互作用の間に構成要素１１０間で送信されているデータを含むことが可能である。セキュリティモデル実施機構ＳＭＥＭ１３０は、システムの構成要素１１０間のすべての要求された相互作用を評価して、その評価に基づいて、構成要素１１０間に要求された相互作用を許可または拒否するセキュリティモデル１５０を実施するように構成される。セキュリティモデル実施機構ＳＭＥＭ１３０は、システム１００のいずれかの構成要素１１０がアクセスまたは回避することができない安全な環境で実施される。

【0019】

セキュリティモデル１５０は、用いられるアーキテクチャに応じて、多くの形で実施可能であることを理解されたい。例えば、ＳＭＥＭ１３０は、すべての相互作用を監視および制御する権利を有する独立した安全なアプリケーションであり得る。

【0020】

システム１００のそれぞれの構成要素１１０には、その機能性および／または記憶されたデータの相対的な重要性もしくは秘密性に基づいて、セキュリティレベルｑ１．．．ｑｎが割り当てられ、この場合、ｑ１は最高のセキュリティレベルを示し、ｑｎは最低のセキュリティレベルを示す。本発明のオペレーティングシステム１２０は、それぞれの構成要素１１０がシステム１００の１つもしくは複数の他の構成要素と相互作用して、１つもしくは複数の活動またはプロセス１６０を同時に実行することができるマルチタスク環境を動作させる。本発明を説明するために、発信元構成要素１１２は、相互作用１４０を要求している構成要素であり、宛先構成要素１１４は、相互作用が望まれる相手の構成要素である。本発明のセキュリティモデル１５０によれば、２つの構成要素１１０間の相互作用が許容できるかどうかに関してＳＭＥＭ１３０によって行われる評価は、構成要素の割り当てられたセキュリティレベルｑ１．．．ｑｎに基づいてだけでなく、２つの構成要素１１０のそれぞれによって実行されている現在の活動１６０にも依存して行われる。

【0021】

ＳＭＥＭ１３０によって実施される本発明のセキュリティモデル１５０の規則の簡素化された要約は、以下のとおりである。

【0022】

１．構成要素１１０がより低いセキュリティレベルの構成要素１１０との相互作用１４０に従事している場合、その構成要素１１０は、自らよりもより高いセキュリティレベルのものであるか、もしくは自らよりもより高いセキュリティレベルの構成要素との相互作用に現在従事している構成要素１１０との新しい相互作用１４０を開始すること、またはその構成要素１１０からの新しい相互作用要求を受け入れることはできない。

【0023】

２．構成要素１１０がより高いセキュリティレベルの構成要素１１０との相互作用１４０に従事している場合、その構成要素１１０は、自らよりもより低いセキュリティレベルのものであるか、もしくは自らよりもより低いセキュリティレベルの構成要素との相互作用１４０に現在従事している構成要素１１０との相互作用１４０を開始すること、またはその構成要素１１０からの相互作用１４０要求を受け入れることはできない。

【0024】

３．構成要素１１０がその構成要素１１０よりもより高いセキュリティレベルのデータを含む場合、その構成要素１１０は、自らよりもより低いセキュリティレベルのものであるか、もしくは自らよりもより低いセキュリティレベルの構成要素１１０との相互作用１４０に現在従事している構成要素１１０との相互作用１４０を開始すること、またはその構成要素１１０からの相互作用要求を受け入れることはできない。

【0025】

４．構成要素１１０がその構成要素１１０よりもより低いセキュリティレベルのデータを含む場合、その構成要素１１０は、自らよりもより高いセキュリティレベルのものであるか、もしくは自らよりもより高いセキュリティレベルの構成要素１１０との相互作用１４０に現在従事している構成要素との相互作用１４０を開始すること、またはその構成要素１１０からの相互作用要求を受け入れることはできない。

【0026】

図２から４は、本発明のセキュリティモデル１５０の規則の実用的な実装形態の３つの異なる単純な例を示す。レベル１からレベル４（Ｌ１〜Ｌ４）に及ぶセキュリティレベルｑがそれぞれの構成要素１１０に割り当てられ、レベル１は最も安全であることを示し、レベル４は最も安全でないことを示す。図２を参照すると、レベル２のセキュリティレベルを有する構成要素１１２は、その中に秘密性の高いデータを記憶していることにより、レベル１のセキュリティレベルが割り当てられた構成要素１１６からのデータにアクセスしているのに対して、やはりレベル２のセキュリティレベルを有する構成要素１１４は、それらの両方ともレベル３のセキュリティレベルが割り当てられている構成要素１１７および１１８と相互作用している。この状況で、構成要素１１２はより高いセキュリティレベルを有する構成要素１１６と相互作用しており、構成要素１１４はより低いセキュリティレベルの構成要素１１７および１１８との相互作用に現在関わっているため、構成要素１１２および１１４の間の相互作用は禁じられる。構成要素１１４がより低いセキュリティレベルの構成要素１１７および１１８との相互作用に現在従事している結果として、構成要素１１４と構成要素１１６の間の相互作用は禁じられる。構成要素１１７および１１８は、同じセキュリティレベルを有するため、より高いセキュリティレベルの構成要素１１４とのその相互作用に依存せずに、互いと相互作用することができるが、より低いセキュリティレベルのいずれかの構成要素１１０との通信は禁じられることになる。構成要素１１２が構成要素１１６内のデータに現在アクセスしている結果として、構成要素１１７および１１８と構成要素１１２との通信は禁じられる。

【0027】

図３を参照すると、構成要素１１２および１１４は両方とも、構成要素１１６内の秘密性の高いデータにアクセスしている。構成要素１１２および１１４は同じセキュリティレベルを有するため、構成要素１１２および１１４は両方とも構成要素１１６との構成要素に関わっているにもかかわらず、データを共有するための構成要素１１２および１１４の間の相互作用は許可される。しかし、構成要素１１２および１１４が構成要素１１６内のデータに現在アクセスしている結果として、構成要素１１２および１１４のいずれか、ならびに構成要素１１７または１１８のいずれかに関わる相互作用トランザクションは禁じられることになる。構成要素１１７および１１８は同じセキュリティレベルを有し、いずれもより高いセキュリティレベルまたはより低いセキュリティレベルの構成要素１１０とのいずれの相互作用にも関わっていないため、構成要素１１７および１１８の間の相互作用は許可される。

【0028】

図４に示されたシナリオでは、構成要素１１２は、構成要素１１７との相互作用に関わっているのに対して、構成要素１１４は、構成要素１１８とのトランザクションに関わっている。本発明のモデル１５０の規則を適用すると、より低いセキュリティレベルの構成要素１１７および１１８との相互作用に関わっている結果として、構成要素１１２および１１４は両方とも構成要素１１６内のデータにアクセスすることを禁じられるが、互いとの相互作用を要求すること、または互いからの相互作用要求を受け入れることは可能である。構成要素１１２は、構成要素１１８との通信を開始すること、または構成要素１１８から要求を受け入れることも可能であるのに対して、構成要素１１４は、構成要素１１７との相互作用を要求すること、または構成要素１１７から相互作用に関する要求を受け入れることが可能である。構成要素１１７および１１８は同じセキュリティレベルを有するため、構成要素１１７および１１８は、互いと通信することも可能であるが、より低いセキュリティレベルの構成要素１１０とのいずれの通信も禁じられることになる。

【0029】

ＳＭＥＭ１３０によって実施される本発明のセキュリティモデル１５０が次により詳細に説明される。形式的に表すと、セキュリティモデル１５０は、以下のセットに基づく：
（ｉ）システム構成要素ｃ：システムのそれぞれの構成要素を識別するｃ∈Ｃ（ｃ₁．．． ．．．ｃ_n）、
（ｉｉ）特定の時点で、構成要素によって実行されている特定の活動に依存する動的値であるセキュリティ状態Ｓ、
（ｉｉｉ）セキュリティレベルｑ：その機能性もしくはその中に記憶されたいずれかのデータの相対的な重要性または秘密性に基づいて、それぞれの構成要素に割り当てられた固定値であるｑ＝Ｑ（ｑ₁．．． ．．．ｑ_n）であり、式中、ｑ₁は最高のセキュリティ度を示し、ｑ_nは最低のセキュリティ度を示す。ｑの値が高ければ高いほど、それに割り当てられるセキュリティレベルは低くなること（すなわち、ｑ₁の値が割り当てられた構成要素は、ｑ₃の値が割り当てられた構成要素よりもより高いセキュリティレベルを有する）ことを理解されたい。例えば、航空機システムでは、航空機の制御に関する構成要素には、安全性の理由から、最高のセキュリティレベルｑ₁を割り当てることができるのに対して、航空機の機構部品の動きを監視および航空機の機構部品の動きに関するデータ提供する、航空機システム内のセンサネットワークは、それぞれｑ₃のより低いセキュリティレベルが割り当てられたセンサノードを有する場合があるが、これは、それらの構成要素の重要性が航空機の制御よりもより低いためである。センサと制御の間に機能的な関連性が存在するが、これらはｑ₂のセキュリティレベルが割り当てられた意思決定機能エンティティによって分離されている。構成要素のセキュリティレベルｑはシステムの実行時間に固定されるが、割り当てられたセキュリティレベルは、システム要件が変更するにつれて、必要に応じて再構成可能である点を理解されたい。

【0030】

（ｉｖ）優先レベルｐ：構成要素のそれぞれの活動に割り当てられた固定値であるｐ＝Ｐ（ｐ₁．．． ．．．ｐ_n）であり、式中、ｐ₁は最高優先度を示し、ｐ_nは最低優先度を示す。セキュリティレベルｑと同様に、ｐの値が高ければ高いほど、それに割り当てられる優先度は低くなる（すなわち、ｐ₁の値が割り当てられた活動は、ｐ₃の値が割り当てられた活動に勝る優先度を有することになる）点を理解されたい。例えば、航空機システムでは、アクチュエータの駆動など、優先レベルｐ₃が割り当てられたルーチン機能は、より高いｐ₂の優先レベルを有する、センサによって検出された警告しきい値など、特殊な条件によって割り込まれる場合がある。

【0031】

（ｖ）構成要素のアクティブな関連性ｔ∈Ｔ（ｔ₁．．．．．．ｔ_l）^cであり、式中、ｔ_l⊆ｃ_k×ｃ_nは、２つの構成要素ｃ_kおよびｃ_nの間の現在の相互作用を示し、ｔ_l+1はＳＭＥＭ１３０によって評価されることになる、新しく要求された相互作用を示す。

【0032】

システムのそれぞれの構成要素ｃ_k１１０は、そのセキュリティ状態

【0033】

【数1】

、その構成要素に割り当てられた固定セキュリティレベル

【0034】

【数2】

、および構成要素のアクティブな関連性の現在のセット

【0035】

【数3】

の点で定義され、

【0036】

【数4】

は

【0037】

【数5】

として表される。

【0038】

それぞれの活動ｔは、その活動に関わる２つの構成要素１１０（すなわち、相互作用を要求した発信元構成要素ｋ１１２、およびその相互作用が要求される相手の宛先構成要素ｎ１１４）および活動ｔに割り当てられる固定優先レベル

【0039】

【数6】

の点で定義され、

【0040】

【数7】

は

【0041】

【数8】

として表される。

【0042】

既存の活動は、構成要素ｋ

【0043】

【数9】

および構成要素ｎ

【0044】

【数10】

に関わる現在の活動を示すｔ_lとして表され、式中、構成要素ｋは、宛先構成要素ｎと相互作用を開始した発信元構成要素である。新しい活動は、構成要素ｋによって開始され、その相互作用が許可される前に、ＳＭＥＭ１３０によって評価されることになる構成要素ｋ

【0045】

【数11】

と構成要素ｎ

【0046】

【数12】

の間の相互作用に関わる、新しく要求された活動を示す（ｔ_l+1）として表される。

【0047】

状態値Ｓは、それぞれの新しい相互作用要求の発信元構成要素１１２および宛先構成要素１１４に関してＳＭＥＭ１３０によって判断された動的値であり、それぞれの構成要素の現在の活動を反映する。判断された状態値は、発信元構成要素１１２または宛先構成要素１１４が現在アクティブに関連している（すなわち、それらの構成要素との相互作用に関わっている）すべての構成要素１１０間のセキュリティレベルの差を考慮に入れなければならない。例えば、図５に例示されるように、構成要素ｋは、構成要素ｄ、ｅ、ｆ、およびｇと現在相互作用しており、この場合、構成要素ｄにはｑ₂のセキュリティレベル、構成要素ｅにはｑ₁のセキュリティレベル、構成要素ｆおよびｇにはｑ₃のセキュリティレベルが割り当てられている（すなわち、構成要素ｅはすべての相互作用している構成要素のうち最も安全であり、構成要素ｆおよびｇは最も安全でない、ｑ_f＞ｑ_e）。一方、構成要素ｎは、構成要素ｈおよびｉと現在相互作用しており、この場合、構成要素ｉにはｑ₂のセキュリティレベル、構成要素ｈにはｑ₃のセキュリティレベルが割り当てられている（すなわち、構成要素ｉは構成要素ｈよりもより安全である）。このとき、構成要素ｋおよび構成要素ｎに関わるさらなる相互作用が発信元構成要素ｋによって要求される。

【0048】

まず、構成要素ｋおよびｎのセキュリティレベルに関して、その要求の正当性が判断されなければならない。構成要素が１つを超えるセキュリティレベルだけ離れている場合、通信は禁じられ、いずれのさらなる査定も不要である。

【0049】

【数13】

次に、ＳＭＥＭ１３０が本発明のセキュリティモデル１５０を適用することによる、図５に例示されるような構成要素ｋおよびｎに関する状態値の判断が、図６の流れ図を参照して説明される。このプロセスは、ステップ２００で開始し、ステップ２０２で、構成要素ｋおよびｎの割り当てられたセキュリティレベルｑ_kならびにｑ_nが読み取られる。ステップ２０４で、ＳＭＥＭは、構成要素ｋおよびｎのそれぞれのすべての現在アクティブな関連性（すなわち、現在の相互作用）を調べ、関わっている構成要素のセキュリティレベルを読み取る。ステップ２０６で、ＳＭＥＭは、構成要素ｋおよびｎのセキュリティレベルｑ_kならびにｑ_nを比較する。ステップ２０８で、構成要素ｋが構成要素ｎのセキュリティ度よりもより低いセキュリティ度を有する（すなわち、安全性がより低い）（すなわち、ｑ_k＞ｑ_n）と判断された場合、構成要素ｋの状態

【0050】

【数14】

には、構成要素ｋがアクティブに関連している最も安全でない構成要素１１０のセキュリティレベルに対応する値（すなわち、Ｑ^max）を割り当てなければならないのに対して、構成要素ｎの状態

【0051】

【数15】

には、構成要素ｎが関連している最も安全な構成要素１１０に対応する値（すなわち、Ｑ^min）を割り当てなければならない。したがって、ステップ２１０で、構成要素ｋには、構成要素ｆまたはｇのセキュリティレベルに対応する状態値

【0052】

【数16】

を割り当てることになり

【0053】

【数17】

、構成要素ｎには、構成要素ｉのセキュリティレベルに対応する状態値

【0054】

【数18】

を割り当てることになる

【0055】

【数19】

。

【0056】

しかし、ステップ２０８で、構成要素ｋが構成要素ｎのセキュリティ度よりもより低いセキュリティ度を有さない（すなわち、ｑ_k＞ｑ_n）と判断された場合、プロセスはステップ２１２に続き、ここで、構成要素ｋが構成要素ｎよりもより高いセキュリティ度を有する（ｑ_k＜ｑ_n）（すなわち、より安全である）かどうかが判断される。そうである場合、構成要素ｋの状態

【0057】

【数20】

には、構成要素ｋがアクティブに関連している、最も安全な構成要素１１０のセキュリティレベルに対応する値（すなわち、Ｑ^min）を割り当てなければならないのに対して、構成要素ｎの状態

【0058】

【数21】

には、構成要素ｎがアクティブに関連している最も安全でない構成要素１１０のセキュリティレベルに対応する値（すなわち、Ｑ^max）を割り当てなければならない。したがって、ステップ２１４で、構成要素ｋには、構成要素ｅのセキュリティレベルに対応する状態値

【0059】

【数22】

を割り当てなければならず

【0060】

【数23】

、構成要素ｎには、構成要素ｈのセキュリティレベルに対応する状態値Ｓを割り当てることになる

【0061】

【数24】

。

【0062】

しかし、ステップ２１２で、構成要素ｋおよびｎに同じセキュリティレベルが割り当てられていることが判断された場合、状態Ｓには、構成要素ｋまたはｎが現在アクティブに関連している最も安全な構成要素１１０のセキュリティレベルに対応する値（すなわち、Ｑ_min）が割り当てられる。したがって、ステップ２１６で、構成要素ｋには、構成要素ｅのセキュリティレベルに対応する状態値

【0063】

【数25】

が割り当てられることになり

【0064】

【数26】

、構成要素ｎには、構成要素ｉのセキュリティレベルに対応する状態値

【0065】

【数27】

が割り当てられることになる

【0066】

【数28】

。

【0067】

構成要素ｋおよびｎのそれぞれの状態を構成要素ｋおよびｎが現在アクティブに関連しているいずれかの構成要素１１０の最低または最高のセキュリティレベルのうちの１つに対応する値に設定することによって、任意の時点ですべてのアクティブな関連性同士の間に最大のセキュリティクリアランスが存在することを確実にする。これは、異なるセキュリティレベルの構成要素間で禁じられた相互作用のリスクを除去する。

【0068】

形式的に表すと、アクティブに関連している構成要素のセキュリティ状態は、以下のように割り当てられる：

【0069】

【数29】

発信元構成要素１１２および宛先構成要素１１４のそれぞれの状態値

【0070】

【数30】

ならびに

【0071】

【数31】

が、上で図５および６を参照して説明されたように、ＳＭＥＭ１３０によって判断された後で、構成要素ｋおよびｎの状態値の差に基づいて、要求された相互作用が許可されることになるかどうかが決定される。構成要素ｋおよびｎの判断された状態Ｓ値の差が１を超える（すなわち、構成要素ｋおよびｎの最高レベル／最低レベルの現在の関連活動間に１つを超えるセキュリティレベルが存在する）場合、セキュリティ状態ブロックが発生し、それらの２つの構成要素間の相互作用は禁じられる。すなわち、本発明のセキュリティモデル１５０は、セキュリティレベルを１つだけ上回る構成要素と、セキュリティレベルを１つだけ下回る構成要素との間の相互作用を許可する（すなわち、１つのレベルだけが発見可能である）。したがって、２つの構成要素間で要求される相互作用は、結果として、それら２つの構成要素が現在相互作用しているいずれかの構成要素のセキュリティレベル間の差が１つのセキュリティレベルを上回る場合、状態ブロック条件を引き起こすことになる。

【0072】

したがって、図６を再び参照すると、ステップ２０８で、構成要素ｋが構成要素ｎのセキュリティ度よりもより低いセキュリティ度（すなわち、ｑ_k＞ｑ_n）を有することにより、構成要素ｋの状態値が

【0073】

【数32】

として割り当てられ、構成要素ｎの状態値が

【0074】

【数33】

として割り当てられているステップ２１０で、構成要素ｋおよびｎの状態値間（すなわち、ｑ₃とｑ₂の間）に１つのセキュリティレベルの差が存在する。したがって、ステップ２１８で、セキュリティブロック状況は存在せず、構成要素ｋおよびｎの間で要求された新しい相互作用は許可されることになる。

【0075】

しかし、ステップ２１２で、構成要素ｋが構成要素ｎのセキュリティ度よりもより高いセキュリティ度（すなわち、ｑ_k＞ｑ_n）を有することにより、図６のステップ２１４で、構成要素ｋの状態値が

【0076】

【数34】

と判断され、構成要素ｎの状態値が

【0077】

【数35】

と判断されている場合、構成要素ｋおよびｎの状態値間（すなわち、ｑ₁とｑ₃の間）に２つのセキュリティレベルの差が存在する。したがって、ステップ２２０で、状態ブロック状況が存在し、構成要素ｋおよびｎの間で要求された新しい相互作用は禁じられることになる。図６のステップ２１６の場合、構成要素ｋおよびｎが同じセキュリティレベルを有する（すなわち、ステップ２０８も２１２も真ではない）ことにより、構成要素ｋの状態値が

【0078】

【数36】

と判断され、構成要素ｎの状態値が

【0079】

【数37】

と判断されている場合、構成要素ｋおよびｎの状態値間（すなわち、ｑ₁およびｑ₂の間）に１つのセキュリティレベルの差が存在すると（すなわち、ｑ₁およびｑ₂の間で）判断される。したがって、ステップ２２２で、状態ブロック状況は存在せず、新しい相互作用は許可される。

【0080】

これは、形式的には、以下のように表すことができる：

【0081】

【数38】

要約すると、状態ブロックは、以下の３つの条件下で発生することになる：
（ｉ）発信元構成要素１１２のセキュリティレベル

【0082】

【数39】

が宛先構成要素１１４のセキュリティレベル

【0083】

【数40】

よりもより低く（すなわち、安全がより低く）、発信元構成要素１１２が現在アクティブに関連している最も安全性でない構成要素１１０のセキュリティレベル

【0084】

【数41】

と、宛先構成要素１１４がアクティブに関連している最も安全な構成要素１１０のセキュリティレベル

【0085】

【数42】

の間の差が１を超える、
（ｉｉ）発信元構成要素１１２のセキュリティレベル

【0086】

【数43】

が宛先構成要素１１４のセキュリティレベル

【0087】

【数44】

よりもより高く（すなわち、より安全であり）、発信元構成要素１１２がアクティブに関連している最も安全な構成要素１１０のセキュリティレベル

【0088】

【数45】

と、宛先構成要素１１４がアクティブに関連している最も安全でない構成要素１１０のセキュリティレベル

【0089】

【数46】

の間の差が１を超える、
（ｉｉｉ）発信元構成要素１１２のセキュリティレベル

【0090】

【数47】

が宛先構成要素１１４のセキュリティレベル

【0091】

【数48】

と等しく、発信元構成要素１１２および宛先構成要素１１４のそれぞれが現在アクティブに関連している最も安全な構成要素１１０のセキュリティレベル

【0092】

【数49】

および

【0093】

【数50】

の間の差が１を超える。

【0094】

しかし、状態ブロック条件が存在するときですら、優先度ベースの割込みが発生し得る場合、発信元構成要素１１２と宛先構成要素１１４との間の相互作用を依然として許可することが可能である。先に説明されたように、すべての活動に優先値が割り当てられ、状態ブロック条件の場合、要求された相互作用がより高い優先値を有する活動に関わっている場合、より低い優先度の活動に割り込むことができる。優先割込みが発し得るかどうかを判断するために、状態ブロックを引き起こしている相互作用１６０は分離される。

【0095】

状態ブロック条件の場合、状態ブロックを引き起こしている発信元構成要素１１２の既存の相互作用（ｔ_l）が発信元構成要素１１２によって要求された、構成要素１１２および１１４の間で新しく要求された相互作用（ｔ_l+1）よりもより低い優先度を有する

【0096】

【数51】

場合、ＳＭＥＭ１３０は、優先割込みを発生させて、既存の相互作用

【0097】

【数52】

を中断し、構成要素１１２および１１４の間の相互作用に関わっている、より高い優先度の要求された新しい活動（ｔ_l+1）を開始すべきであることを判断する。しかし、既存の相互作用（ｔ_l）が新しく要求された活動（ｔ_l+1）よりもより低い優先度を有さない

【0098】

【数53】

場合、ＳＭＥＭ１３０は、既存の相互作用は継続し、新しく要求された相互作用は依然として禁じられた状態に留まることを判断する。

【0099】

要約すれば、状態ブロックを引き起こしているすべての活動に関して、既存の活動の優先度が要求された新しい活動の優先度以上である場合、既存の活動は継続し、要求された相互作用は禁じられた状態に留まる。しかし、要求された新しい活動の優先度が状態ブロックを引き起こしている既存の活動の優先度よりも大きい場合、優先割込みが発生し、既存の活動を中断させ、２つの構成要素間で要求された相互作用を開始させる。

【0100】

これは、方程式６および７で形式的に表される。

【0101】

【数54】

すなわち、さらに詳細には、

【0102】

【数55】

方程式７は、図７にも示されている。

【0103】

要約すると、提案される新しい関連性

【0104】

【数56】

の発信元構成要素１１２のすべてのアクティブな関連性（すなわち、他の構成要素とのすべての現在の相互作用）と、提案される新しい関連性

【0105】

【数57】

の宛先構成要素１１４のすべてのアクティブな関連性とに関して、提案される新しい関連性

【0106】

【数58】

の発信元構成要素１１２の状態値が提案される関連性

【0107】

【数59】

の宛先構成要素１１４の状態値よりもより低いかどうか、またはその逆を判断することがまず必要である。発信元構成要素１１２および宛先構成要素１１４のセキュリティレベル間の差はすでに判断されているため、等しい状態値オプションは存在しない点に留意することが重要である。次に、提案される新しい関連性が、発信元構成要素１１２に属するアクティブな関連性

【0108】

【数60】

のセットのメンバーであるか、または宛先構成要素に属するアクティブな関連性

【0109】

【数61】

のセットのメンバーであるかが判断される。次いで、既存の関連性（ｔ_l）の構成要素１１０および構成要素１１４のセキュリティレベルの差が状態ブロックを引き起こすことになるかどうかが査定されなければならない。例えば、

【0110】

【数62】

および

【0111】

【数63】

の場合、構成要素１１０のうちの１つが

【0112】

【数64】

よりもより高いセキュリティレベルを有するいずれのｔ_lも状態ブロックを引き起こすことになる。状態ブロックが存在しない場合、既存の関連性（ｔ_l）は継続可能である。状態ブロックが存在する場合、優先度査定が行われる。既存の相互作用（ｔ_l）が新しく要求された関連性以上の優先度を有する場合、その関連性は継続可能であり、そうでない場合、既存の相互作用は終了しなければならず、新しく要求された相互作用は許可される。

【0113】

上で概要が説明された４つのステップは組み合わされて、発信元構成要素１１０が宛先構成要素１１４との活動を要求しているときはいつでも実行され、結果として、新しい関連性（すなわち、

【0114】

【数65】

＝真）が形成されることを許可するか否かの決定をもたらす単一の査定になる。

【0115】

本発明は、現在、最も実用的かつ好ましい実施形態と見なされるものに関して説明されているが、本発明は、開示された実施形態に限定されず、本明細書の基本的な教示から逸脱せずに、改変形態を使用することが可能である点を理解されたい。

【符号の説明】

【0116】

１００ コンピュータシステム
１１０ 複数の構成要素
１１２ 構成要素
発信元構成要素
１１４ 構成要素
宛先構成要素
１１６ 構成要素
１１７ 構成要素
１１８ 構成要素
１２０ オペレーティングシステム
１３０ セキュリティモデル実施機構（ＳＭＥＭ）
１４０ 相互作用
１５０ セキュリティモデル
１６０ プロセス
活動
相互作用

【図1】

【図2】

【図3】

【図4】

【図5】

【図6】

【図7】