2012 Fiscal Year Annual Research Report
次世代情報セキュリティ基盤を実現するOS強化に向けた資源アクセス制御方式
| Project/Area Number |
24300009
|
|---|
| Research Category |
Grant-in-Aid for Scientific Research (B)
|
| Research Institution | Institute of Information Security |
|---|
Principal Investigator |
田中 英彦 情報セキュリティ大学院大学, 情報セキュリティ研究科, 教授 (60011102)
|
|---|
| Co-Investigator(Kenkyū-buntansha) |
辻 秀典 情報セキュリティ大学院大学, 情報セキュリティ研究科, 客員準教授 (90398975)
橋本 正樹 情報セキュリティ大学院大学, 情報セキュリティ研究科, 助教 (10582158)
|
|---|
| Project Period (FY) |
2012-04-01 – 2015-03-31
|
| Keywords | OS / アクセス制御 / セキュリティ / 分散システム |
|---|
| Research Abstract |
本研究では、厳密且つ安全なアクセス制御機構を応用と基盤の協調により実現し、情報システムに階層的防御網を適用する新たなOS技術を提案する。その中核は、応用の実行状況等を考慮して動的に最小のアクセス権限を与える機構の提案と、その強固な実現手段、及びこれらを実用的なものとする、明快・簡便なポリシ記述・管理系の提案がその内容である。また、これらをLinux上に実装し、分散トランザクション処理やクラウド環境への適用法と有効性を示す。本研究の特徴は、従来OSでは粗すぎるアクセス制御により攻撃遅延・被害局所化が機能しない問題と、SELinuxに代表されるセキュアOSの細粒度アクセス制御は複雑すぎて実利用に耐えない問題の、両方を解決できることにある。
初年度の研究では、汎用的基本アクセス制御アーキテクチャのうちで、アクセス権記述から認可判定機構までの一連の仕組みと、TOMOYO Linuxの強制アクセス制御機構を連結し、高レベルのポリシ記述言語とその設定系を中心とした強制アクセス制御の実用的な実装を実現した。具体的には、強制アクセス制御機構に与えるポリシ記述表現を、プロトタイプ言語の拡張により実現し、その処理系を実装をした。その後、拡張したポリシ記述・処理系と強制アクセス制御機構を、安全・確実に接続するパスとして、ポリシ管理用の常駐プロセスを用いる新規手法を開発した。言語拡張の要件は、実行履歴によって分類された細かなアクセス主体と、実行時パラメータや環境変数によるプログラムの実行可否を過不足なく明快に表現できることで、ポリシ管理プロセスの目的は、ポリシの差分管理に基づく前ポリシからの特定アクセス権限付加や除去、自動学習モードへの移行、特定環境条件・トリガー監視取得等を常駐しながら実行し、従来以上に細粒度化した強制アクセス制御を実用的に構成可能とすることにある。
|
| Current Status of Research Progress |
Current Status of Research Progress
2: Research has progressed on the whole more than it was originally planned.
Reason
ポリシ管理プロセスの実装に一部残作業があるものの、その他については予定通り研究が進捗しているため。
|
| Strategy for Future Research Activity |
平成25年度は、分散環境において、階層的防御網による被害局所化を有効に実現するために、アクセス主体と対象をその状態に基づいて細かに分類する新規アクセス制御モデルを設計し、ポリシーの分散管理・配布を含む分散型強制アクセス制御アーキテクチャを提案・実装する。また、ポリシー記述言語を拡張することで、細粒度の分散処理を記述可能とし、同時に、国際標準であるSAMLモデルやXACML言語とのマッピング方式を検討する。
|
| Expenditure Plans for the Next FY Research Funding |
平成24年度のソフトウェア作成委託費によるプログラム開発では若干の遅れが生じたので、その分の作業を平成25年度に繰り越し、これに合わせて、それにかかる費用を直接経費次年度使用額として計上した。従って、直接経費次年度使用額として報告した予算は、平成25年度のソフトウェア作成委託に充当する計画である。
|
