9.6 保護機構 • 多くの保護機構は参照モニタと呼ばれるプ ログラムによって実現されている 9.6.1 保護ドメイン • ドメイン:(オブジェクトと権限)の対の集合 – オブジェクト:ファイルやプリンタなど – 権限:読み,書きなど • UNIXが例として分かりやすい • 意味的に,図9-22=図9-23 • ドメインをオブジェクトとして扱うと,ドメイン 切替を実現しやすい 9.6.2 アクセス制御リスト • 実際には図9-24のように実装しない – 疎行列だから,中身がスカスカ – 現実的な実装手法は2つ • ACL(アクセス制御リスト) – セキュリティ関連の文献ではユーザを主体・主因,所 有物を対象と呼ぶことが多い – 図9-25の例だとファイル1に対して,プロセスAは読み 書き,プロセスBは読みが可能 – 読み書き実行以外にも応用しやすい(消去など) • ACL(続き) – グループの概念 – ユーザが複数のグループに存在している場合 • ログイン時にグループを選択する • ファイルアクセス時に,そのファイルに対して最も権限の強い グループを自動的に選ぶ – ワイルドカード • sada, *:RW というファイルがあれば,sadaはどのグループに いてもそのファイルの読み書きが出来る • sada,*:(none); *,*:RW というファイルはsadaだけ読み書きでき ず,他の人は読み書きできる.最初にマッチしたらその時点 で終了 • 資格リスト or C-List (Capability List) – ユーザごとに資格を保有する – 資格リストを改竄されないようにする • タグアーキテクチャ(ハードウェアアーキテクチャ) • OS内部に保存 • 暗号化して保存(分散システムに適している) 9.7 信頼システム • 安全なコンピュータは作れるのか? – 作れます • MULTICSはかなり安全だったらしい • もし作れるなら,なぜそうしないのか – 現在のシステムは安全ではないが,ユーザが それを捨てないから – 機能の追加と安全はトレードオフだから 9.7.1 信頼計算処理機構 • 信頼システム – 公式に述べられた安全性要求を持つ • 信頼計算処理機構 – ハードウェアのほとんど,カーネル,管理者権 限をもつプロセスから成る – システムコールを全て監視,迂回する手段は ない – 完璧な信頼計算処理機構を作れば安全なOS になるが,実際はそうではない 9.7.2 安全なシステムのフォー マルモデル • 保護命令,6種類 – オブジェクト生成・削除 – ドメイン生成・削除 – 権限追加・削除 9.7.3 マルチレベルセキュリティ • アクセス制御 – 随意アクセス制御 • 個々のユーザに対してファイル・オブジェクトへのアクセス制御ができる – 委任アクセス制御 • 権限をもつユーザが,他のユーザへ権限を委任できる • モデル – ベルーラパデュラモデル • レベルkのユーザはレベルk以下のオブジェクトだけ読める • レベルkのユーザはレベルk以下のオブジェクトだけ書ける – ビバモデル • ベルーラパデュラモデルの逆 • データの完全性を保証するには,これとは全く逆の特性が必要 9.7.4 オレンジブックのセキュリティ • 国防総省標準がまとめた文書 • レベル (図9-32) – – – – D C1, C2 B1, B2, B3 A1 • 例 – D:MS-DOS,Windows ME – C1:UNIX (rwx方式) 9.7.5 秘密チャネル • 幽閉問題 – クライアントから秘密をしったサーバは,他の プロセスへ漏らさないようにできるのか?
© Copyright 2024 ExpyDoc
