仮想计算机用.pptVIP

仮想計算機を用いてOSを介さずに行う安全なファイルアクセス制御 理学部　情報科学科 指導教官　千葉　滋　助教授 学籍番号　02_1474_1　滝澤　裕二 従来セキュリティ機構の限界 従来手法では、OSカーネルへの攻撃に無力 多くのセキュリティ機構はOSで実現 OSに脆弱性がある場合には制御不能 Linuxカーネルにも脆弱性が存在 　過去に発見された脆弱性： 一般ユーザが管理者権限を得られる脆弱性（2004/02、2003/11） クラッシュする脆弱性（2004/06） ローカルからDoSを招く脆弱性（2005/09） OSカーネルに依存しないアクセス制御が必要 OSカーネルの脆弱性は不可避 従来手法ではOSへの攻撃により自由にファイルアクセス可能 例 一般ユーザー権限でクラッカーが不正侵入 OSカーネルの脆弱性を攻撃してクラッカーが管理者権限を奪取 任意のファイルへのアクセスを許可 アクセス制御機構の崩壊 悪意のあるソフトウェアをインストールを許す SecureAccess：仮想計算機を用いたOSを介さないファイルアクセス制御 ファイルアクセスを認証OSに依頼して実行 仮想計算機を使い、認証OSも同一マシン上で実行 認証OSによるパスワード認証 認証OSがパスワードを直接受け取る 作業OSによる認証を信用しない このシステムの安全性 認証の有効範囲を指定して、安全性を確保 時間的制限（認証時に指定） ファイルアクセスを許可する期間を限定ユーザーが計算機にログインしていない場合には、作業OSが攻撃されてもファイルにアクセスできない 空間的制限（ポリシーファイルに記述） ファイルやディレクトリをまとめたグループごとにアクセス制御 グループ中の各ファイルやディレクトリに対してパーミッションを設定可能ログイン中でも、ユーザーが使用しているグループのファイル以外はアクセスできない 認証方法 認証ダイアログを認証OSが直接出す 作業OSに侵入しても認証できない 作業OSにはパスワードが渡らない ダイアログのタイトルには、認証OSに登録しておいた文字列を表示 作業OSによる偽の認証画面か識別可能 実装 プロセスのシステムコールをptraceでトラップ 認証OSにシステムコール呼出を転送 認証OSによりパスワード認証 認証OSが作業OSから転送された命令を実行 実装 認証OSから作業OSへ返り値や読み込んだデータを転送 プロセスのメモリやレジスタにptraceでデータの書込み プロセスの処理を再開させる 実験 ファイルアクセスの速度を比較 （試行回数: 1万回） Writeシステムコール Readシステムコール 結果 関連研究 SELinux 管理者権限を分割 クラッカーが侵入した場合に、得られる権限が微小 侵入を無効化（限られた権限内でのみ行動） OS自体に脆弱性がある場合に機能しない危険 Storage-based Intrusion Detection [’03 John D.Strunk et al.] ストレージデバイスがリクエスト監視機能を持つ 侵入を検知した場合は管理者に警告やファイルのバージョニングを実行 侵入者のファイルアクセスは防げない まとめと今後の課題 安全なファイルアクセス制御システムの提案 ファイルアクセス制御機構を作業OSから分離 作業OSに異常が発生した場合にも機能 認証はファイルのあるマシンのキーボードのみ可能 作業OSから認証不可 認証の有効範囲を制限 アクセス期間の制限、空間の制限 今後の課題 オーバーヘッドの改善 Linuxの改造してptraceによるオーバーヘッドを削減 Xenの機構を利用して、通信の高速化 * * 計算機 作業OS 認証OS ディスク ユーザーは作業OSで作業 ファイルは認証OSが保持 リモートからはアクセス不可 データ タタタ??? パスワード ファイルアクセスを依頼 ユーザに認証を要求 thesis r: /home/takizawa/thesis/参考文献.PDF rw: /home/takizawa/thesis/論文.tex /home/takizawa/thesis/一章.tex グループ名 パーミッション 作業OS 認証OS スクリーン パスワード 時間 認証ダイアログ VNC 認証OSのスクリーン 作業OSのスクリーン 作業OS プロセス SACore 仮想計算機 認証OS Server 仮想計算機 仮想計算機モニタXen 認証OSに直接 入力 作業OS プロセス SACore 仮想計算機 認証OS Server 仮想計算機 仮想計算機モニタXen 6 １８５６ 20 ２３０９ SA未使用 SA使用 Read実行時間 Write実