仮想計算機を用いて
OSを介さずに行う安全な
ファイルアクセス制御
理学部 情報科学科
指導教官 千葉 滋 助教授
学籍番号 02_1474_1 滝澤 裕二
1
従来セキュリティ機構の限界

従来手法では、OSカーネルへの攻撃に無力

多くのセキュリティ機構はOSで実現


OSに脆弱性がある場合には制御不能
Linuxカーネルにも脆弱性が存在
過去に発見された脆弱性:



一般ユーザが管理者権限を得られる脆弱性
(2004/02、2003/11)
クラッシュする脆弱性(2004/06)
ローカルからDoSを招く脆弱性(2005/09)
2
OSカーネルに依存しない
アクセス制御が必要


OSカーネルの脆弱性は不可避
従来手法ではOSへの攻撃により自由に
ファイルアクセス可能

例
1.
2.
3.
一般ユーザー権限でクラッカーが不正侵入
OSカーネルの脆弱性を攻撃してクラッカーが管
理者権限を奪取
任意のファイルへのアクセスを許可


アクセス制御機構の崩壊
悪意のあるソフトウェアをインストールを許す
3
SecureAccess:仮想計算機を用いたOS
を介さないファイルアクセス制御

ファイルアクセスを認証OSに依頼して実行


仮想計算機を使い、認証OSも同一マシン上で実行
認証OSによるパスワード認証
認証OSがパスワードを直接受け取る
 作業OSによる認証を信用しない

ユーザーは作業OSで作業
ファイルは認証OSが保持
リモートからはアクセス不可
ユーザに認証を要求
ファイルアクセスを依頼
パスワード
データ
認証OS ディスク
作業OS
計算機
4
このシステムの安全性

認証の有効範囲を指定して、安全性を確保

時間的制限(認証時に指定)
 ファイルアクセスを許可する期間を限定
ユーザーが計算機にログインしていない場合
には、作業OSが攻撃されてもファイルにアクセ
スできない
空間的制限(ポリシーファイルに記述)
<thesis> グループ名
r:  ファイルやディレクトリをまとめたグループごと
パーミッション
にアクセス制御
/home/takizawa/thesis/参考文献.PDF
rw: グループ中の各ファイルやディレクトリに対して
/home/takizawa/thesis/論文.tex
パーミッションを設定可能
/home/takizawa/thesis/一章.tex
ログイン中でも、ユーザーが使用しているグループの
ファイル以外はアクセスできない

5
認証方法

認証ダイアログを認証OSが直接出す



作業OSに侵入しても認証できない
作業OSにはパスワードが渡らない
ダイアログのタイトルには、
認証OSに登録しておいた文字列を表示
作業OSによる偽の認証画面か識別可能
認証ダイアログ

スクリーン
パスワード
時間
VNC
認証OS
作業OS
6
認証OSのスクリーン
作業OSのスクリーン
7
8
実装
1.
仮想計算機
仮想計算機
プロセス
SACore
作業OS
Server
2.
認証OS
3.
仮想計算機モニタXen
認証OSに直接
入力
4.
プロセスのシステム
コールをptraceでト
ラップ
認証OSにシステム
コール呼出を転送
認証OSにより
パスワード認証
認証OSが作業OS
から転送された命
令を実行
9
実装
5.
仮想計算機
仮想計算機
プロセス
SACore
作業OS
Server
認証OS
6.
仮想計算機モニタXen
7.
認証OSから作業
OSへ返り値や読み
込んだデータを転
送
プロセスのメモリや
レジスタにptrace
でデータの書込み
プロセスの処理を
再開させる
10
実験

ファイルアクセスの
速度を比較
実験環境
CPU: PentiumD 3.00GHz、
(試行回数: 1万回)
メモリー:1GB
VMM: Xen 2.0.7、両OS:Fedora Core 4
 Writeシステムコール


Readシステムコール
結果
SA未使用
SA使用
SAのオーバーヘッドの内訳
write
実行時間の比較(ms)
Ptrace
1629
Write実行時間
Read実行時間
660
通信など
20
2309
read
536
1314
6
1856
実験100回の平均値
11
関連研究

SELinux

管理者権限を分割

クラッカーが侵入した場合に、得られる権限が微小



侵入を無効化(限られた権限内でのみ行動)
OS自体に脆弱性がある場合に機能しない危険
Storage-based Intrusion Detection
[’03 John D.Strunk et al.]


ストレージデバイスがリクエスト監視機能を持つ
侵入を検知した場合は管理者に警告や
ファイルのバージョニングを実行
 侵入者のファイルアクセスは防げない
12
まとめと今後の課題

安全なファイルアクセス制御システムの提案




ファイルアクセス制御機構を作業OSから分離
 作業OSに異常が発生した場合にも機能
認証はファイルのあるマシンのキーボードのみ可能
 作業OSから認証不可
認証の有効範囲を制限
 アクセス期間の制限、空間の制限
今後の課題

オーバーヘッドの改善
 Linuxの改造して
ptraceによるオーバーヘッドを削減

Xenの機構を利用して、通信の高速化
13
ダウンロード

仮想計算機を用いてOSを介さずに行うファイルアクセス制御