PowerPoint プレゼンテーション

9.6 保護機構
• 多くの保護機構は参照モニタと呼ばれるプ
ログラムによって実現されている
9.6.1 保護ドメイン
• ドメイン:(オブジェクトと権限)の対の集合
– オブジェクト:ファイルやプリンタなど
– 権限:読み,書きなど
• UNIXが例として分かりやすい
• 意味的に,図9-22=図9-23
• ドメインをオブジェクトとして扱うと,ドメイン
切替を実現しやすい
9.6.2 アクセス制御リスト
• 実際には図9-24のように実装しない
– 疎行列だから,中身がスカスカ
– 現実的な実装手法は2つ
• ACL(アクセス制御リスト)
– セキュリティ関連の文献ではユーザを主体・主因,所
有物を対象と呼ぶことが多い
– 図9-25の例だとファイル1に対して,プロセスAは読み
書き,プロセスBは読みが可能
– 読み書き実行以外にも応用しやすい(消去など)
• ACL(続き)
– グループの概念
– ユーザが複数のグループに存在している場合
• ログイン時にグループを選択する
• ファイルアクセス時に,そのファイルに対して最も権限の強い
グループを自動的に選ぶ
– ワイルドカード
• sada, *:RW というファイルがあれば,sadaはどのグループに
いてもそのファイルの読み書きが出来る
• sada,*:(none); *,*:RW というファイルはsadaだけ読み書きでき
ず,他の人は読み書きできる.最初にマッチしたらその時点
で終了
• 資格リスト or C-List (Capability List)
– ユーザごとに資格を保有する
– 資格リストを改竄されないようにする
• タグアーキテクチャ(ハードウェアアーキテクチャ)
• OS内部に保存
• 暗号化して保存(分散システムに適している)
9.7 信頼システム
• 安全なコンピュータは作れるのか?
– 作れます
• MULTICSはかなり安全だったらしい
• もし作れるなら,なぜそうしないのか
– 現在のシステムは安全ではないが,ユーザが
それを捨てないから
– 機能の追加と安全はトレードオフだから
9.7.1 信頼計算処理機構
• 信頼システム
– 公式に述べられた安全性要求を持つ
• 信頼計算処理機構
– ハードウェアのほとんど,カーネル,管理者権
限をもつプロセスから成る
– システムコールを全て監視,迂回する手段は
ない
– 完璧な信頼計算処理機構を作れば安全なOS
になるが,実際はそうではない
9.7.2 安全なシステムのフォー
マルモデル
• 保護命令,6種類
– オブジェクト生成・削除
– ドメイン生成・削除
– 権限追加・削除
9.7.3 マルチレベルセキュリティ
• アクセス制御
– 随意アクセス制御
• 個々のユーザに対してファイル・オブジェクトへのアクセス制御ができる
– 委任アクセス制御
• 権限をもつユーザが,他のユーザへ権限を委任できる
• モデル
– ベルーラパデュラモデル
• レベルkのユーザはレベルk以下のオブジェクトだけ読める
• レベルkのユーザはレベルk以下のオブジェクトだけ書ける
– ビバモデル
• ベルーラパデュラモデルの逆
• データの完全性を保証するには,これとは全く逆の特性が必要
9.7.4 オレンジブックのセキュリティ
• 国防総省標準がまとめた文書
• レベル (図9-32)
–
–
–
–
D
C1, C2
B1, B2, B3
A1
• 例
– D:MS-DOS,Windows ME
– C1:UNIX (rwx方式)
9.7.5 秘密チャネル
• 幽閉問題
– クライアントから秘密をしったサーバは,他の
プロセスへ漏らさないようにできるのか?