システムセキュリティーの基本概念であり重要な構築ブロックであるのが、保護ドメイン [Saltzer and Schroeder 75] です。ドメインとは、ある主体が現在直接にアクセスできるオブジェクトのセットであると考えられます。 ここで主体とは、アクセス権を与えられる (その結果としての責任がある)、コンピュータシステム内の存在を意味します。JDK 1.0 で使用される sandbox は、固定された境界を持つ保護ドメインの一例です。
保護ドメインの概念は、保護の単位のグループ化と分離に便利な機構として働きます。たとえば、許可された相互動作が必ず、信頼できるシステムコードを通じたものか、関係するドメインによって明示的に許可されたもののどちらかであるようにするために、保護ドメインを分離して相互動作ができないようにすることができます。 ただしこの機能は、まだ組み込み機能としては提供されていません。オブジェクトアクセスに関する既存の規則は、新しいセキュリティーアーキテクチャーの元でも有効であることに注意してください。
保護ドメインは、一般に 2 つの異なるカテゴリ、つまりシステムドメインとアプリケーションドメインに分類されます。重要な点は、「ファイルシステムやネットワーク設備、画面やキーボードなどの保護された外部資源はすべて、システムドメインを通じてだけアクセスできる」ということです。次の図は、Java アプリケーション環境のドメイン構成です。
ドメインには、概念上、各クラスのインスタンスに同一のアクセス権セットが与えられている 1 組のクラスが含まれます。保護ドメインは、現在有効なポリシーによって決定されます。Java アプリケーション環境は、次の図のように、コード (クラスとインスタンス) から保護ドメインへ、さらに保護ドメインのアクセス権へのマッピングを保持します。
実行のスレッド (これはたいてい 1 つの Java スレッドに結びつくが、必ずしもその必要はなく、また背後のオペレーティングシステムのスレッドの概念に結びつく必要もない) は、単一の保護ドメインの範囲内で発生することもあり、またアプリケーションドメインとシステムドメインに関係することもあります。たとえば、出力ストリームへの唯一のアクセスポイントはシステムドメインなので、メッセージを出力するアプリケーションにはシステムドメインとの相互動作が必要です。この場合に重要なのは、アプリケーションがシステムドメインを呼び出すことによって、それ以外のアクセス権を獲得することが決してないことです。そうでない場合、セキュリティー上重要な問題が発生する可能性があります。
逆に、たとえば AWT システムドメインがあるアプレットのペイントメソッドを呼び出して、そのアプレットを表示する場合のように、システムドメインがアプリケーションドメインからメソッドを起動する場合は、有効なアクセス権が、そのアプリケーションドメインで現在有効になっているアクセス権と同一のものであることが重要です。
つまり、「弱い」ドメインは、強いドメインを呼び出した結果として、または強いドメインに呼び出された結果として追加のアクセス権を得ることはできません。
2 つの保護ドメインに関係するスレッドについてのこの議論は、複数の保護ドメインにまたがるスレッドにも当然あてはめて考えることができます。アクセス権の計算には、次のような簡潔で賢明な経験則があります。