リソース指向オペレーティングシステムに関する研究

2003 年度 実績報告書

• 研究課題/領域番号: 13480075
• 研究機関: 筑波大学
• 研究代表者: 加藤 和彦 筑波大学, 電子・情報工学系, 助教授 (90224493)
• キーワード: SoftwarePot / 仮想ファイルシステム / セキュリティ / インターネット / 仮想ホスティング / セキュリティポリシー

研究概要

外部より入手したソフトウェアを安全に実行するサンドボックスシステムSoftwarePotの研究開発を進めている.SoftwarePotはソフトウェアを,独自の仮想ファイルシステムをもつサンドボックスに閉じ込めて実行することができる.ソフトウェアは明示的な指示が与えられない限り,仮想ファイルシステム外のファイルにアクセスすることはできない.ソフトウェアパッケージ開発者が作成したパッケージは,仮想的なファイルシステムの構築に必要な情報を含むアーカイブファイルとして配布される.パッケージを入手したユーザーは,ファイルへのアクセスや通信といった計算機資源へのアクセスを制限することができる.
今年度は,SoftwarePotシステムの実用性を高めるため,システム設計の見直しを行い,機能のモジュール化を行った.それにより,システムの拡張性が向上し,新しい機能の実現が容易になった.更に,上記の新システムを利用して,SoftwarePotの応用に向け,SoftwarePotを仮想ホスティングのためのプラットフォームとして利用するために必要な機能の実現を行った.SoftwarePotを利用して仮想ホスティングを行うことによって,複数のサービスを完全に隔離しながら一台の計算機上で実行することが可能になる.SoftwarePotに仮想ホスティング機能を持たせるためには,それぞれのサービス毎に個別のIPアドレスを持たせ,その利用を強制する機能が必要になる.これらの機能は,SoftwarePotの拡張モジュールとして実現されており,システム本体を修正することなく実現された.
また,今年度は,プログラムの実行中に,動的にプログラムの持つ権限を変化させることを可能にするシステムの開発を行った.本システムは,プログラムの実行を監視し,セキュリティポリシー記述によって指定されたポイントを通過するたびに権限を切り替える.これにより,プログラムに与えられるべき権限を,従来の一般的なアクセス制御よりもさらに細かい制御を実現することが可能になり,バッファオーバーラン攻撃などによる被害を最小限に抑えることが可能になった.

研究成果

• [文献書誌] 大山 恵弘: "静的解析に基づく侵入検知システムの最適化"日本ソフトウェア科学会第6回プログラミングおよび応用のシステムに関するワークショップオンライン論文集. (Web公開). (2003)
• [文献書誌] 高橋 慎: "インクリメンタルな更新機構を備えた全文検索インデックスの分散並列処理方式"情報処理学会主催先進的計算基盤システムシンポジウム論文集. 381-388 (2003)
• [文献書誌] 阿部 洋丈: "セキュリティポリシーの動的切替機構を持つリファレンスモニタシステム"コンピュータソフトウェア、日本ソフトウェア科学会. Vol.20-No.3. 2-16 (2003)
• [文献書誌] Kazuhiko Kato: "Persistently Cached B-Trees"IEEE Transactions on Knowledge and Data Engineering. Vol.15-No.3. 706-720 (2003)
• [文献書誌] 大山 恵弘: "異常検知システムにおける正常動作データのモジュール化"情報処理学会論文誌. Vol.44 No.SIG10. 36-47 (2003)
• [文献書誌] 神田 勝規: "Windowsにおけるリファレンスモニタの実現"並列/分散/協調処理に関するサマー・ワークショップ第94回OS研究会. 41-46 (2003)
• [文献書誌] 高橋 慎: "インクリメンタルな更新機構を備えた全文検索インデックスの分散並列処理方式"情報処理学会論文誌:コンピューティングシステム. Vol.44 No.SIG11. 267-276 (2003)
• [文献書誌] Mizuki Oka: "Intrusion Detection System Based on Binary Code and Execution Stack Analysis"日本ソフトウェア科学会第20回記念大会. 4 (2003)
• [文献書誌] 中村 理: "Software-Potにおける仮想実行環境の動的切り替え機構の実装"情報処理学会・電子情報通信学会コンピュータソサイエティ主催第2回情報科学技術フォーラム. 2 (2003)
• [文献書誌] Mizuki Oka: "Intrusion Detection System Based on Static Analysis and Dynamic Detection"情報処理学会・電子情報通信学会コンピュータソサイエティ主催第2回情報科学技術フォーラム. 2 (2003)
• [文献書誌] Hirotake Abe: "Security Policy Descriptions through the Use of Control Structure in a Target Program"In proceedings of the 3^<rd> International Symposium on Software Security. 20 (2003)
• [文献書誌] 阿部 洋丈: "静的解析に基づく侵入検知システムの最適化"コンピュータシステムシンポジウム論文集. 7-16 (2003)
• [文献書誌] 阿部 洋丈: "WWWのため完全分散匿名プロキシ"コンピュータシステムシンポジウム論文集. 27-35 (2003)
• [文献書誌] Kazuhiko Kato: "Software-Pot : An Encapsulated Transferable File System for Secure Software are Circulation"Proc. of Int. Symp. on Software Security, Springer, LNCS-2609. 112-132 (2003)
• [文献書誌] 加藤 和彦: "安全なソフトウェア流通実行システムSoftwarePot"「科学」コンピュータセキュリティ特集号. 74巻2号. 198-202 (2004)
• [文献書誌] Suranyi Peter: "General Virtual Hosting with Software Pot"IPSJ SIGOS. (To appear). (2004)
• [文献書誌] Mizuki Oka: "Eigen Co-occurrence Matrix Method for Masquerade Detection"JSSST 7^<th> Symp. On Programming and Application Systems. (To appear). (2004)
• [文献書誌] 阿部 洋丈: "静的解析に基づく侵入検知システムの最適化"情報処理学会論文誌:コンピューティングシステム. 45・SIG03(採録決定). 11-20 (2004)