| 研究概要 |
仮想計算環境の概念に基づいて安全にソフトウェアパッケージを流通および実行するシステムSoftwarePotにおいて,アクセス制御機能を導入する方式の設計と実現を行った.公開暗号系基盤(PKI)を利用可能であることを仮定し,オープンなネットワーク環境上で,RSA方式に代表される非対称暗号鍵方式と電子署名技術を組み合わせて,アドホックに設定されたオープンネットワーク環境上のグループメンバーユーザに対して,アクセス制御を行う.アクセス制御権としては,読み出し権と書き出し権を別々に設定することが可能で,最初にSoftwarePotを作成したときにこの設定が行われる.アクセス制御に違反したファイル読み出しは,暗号技術によって禁止される.アクセス制御に違反したファイル書き出しは,読み出し時に検出され,無効化される.
また,我々がこれまでに開発を行ってきたホストベース侵入検知システムにおいて,実行時のオーバーヘッドを軽減する方式についての検討も行った.我々の方式は,システムコールが発せられる度にプログラムの実行状態を検査し,プログラム制御の流れが不正に変更されていないか検査する.従来の方法では,直前の状態から現在の状態まで合法的に遷移可能な経路が存在するかどうか,システムコールが発行された時点で動的に探索を行っていた.探索結果を再利用することによって2回目以降の探索時間は回避しているが,1回目の探索時間は避けることができなかった.新しい方法では,プログラム実行前の静的な検査によってすべての遷移可能性を網羅的に計算し,プログラム中の任意の二つのシステムコール発行間の遷移可能性を瞬時に計算する.
|
