Transcript PowerPoint プレゼンテーション

9.6 保護機構
• 多くの保護機構は参照モニタと呼ばれるプ
ログラムによって実現されている
9.6.1 保護ドメイン
• ドメイン：（オブジェクトと権限）の対の集合
– オブジェクト：ファイルやプリンタなど
– 権限：読み，書きなど
• UNIXが例として分かりやすい
• 意味的に，図9-22＝図9-23
• ドメインをオブジェクトとして扱うと，ドメイン
切替を実現しやすい
9.6.2 アクセス制御リスト
• 実際には図9-24のように実装しない
– 疎行列だから，中身がスカスカ
– 現実的な実装手法は2つ
• ACL（アクセス制御リスト）
– セキュリティ関連の文献ではユーザを主体・主因，所
有物を対象と呼ぶことが多い
– 図9-25の例だとファイル1に対して，プロセスAは読み
書き，プロセスBは読みが可能
– 読み書き実行以外にも応用しやすい（消去など）
• ACL（続き）
– グループの概念
– ユーザが複数のグループに存在している場合
• ログイン時にグループを選択する
• ファイルアクセス時に，そのファイルに対して最も権限の強い
グループを自動的に選ぶ
– ワイルドカード
• sada, *:RW というファイルがあれば，sadaはどのグループに
いてもそのファイルの読み書きが出来る
• sada,*:(none); *,*:RW というファイルはsadaだけ読み書きでき
ず，他の人は読み書きできる．最初にマッチしたらその時点
で終了
• 資格リスト or C-List (Capability List)
– ユーザごとに資格を保有する
– 資格リストを改竄されないようにする
• タグアーキテクチャ（ハードウェアアーキテクチャ）
• OS内部に保存
• 暗号化して保存（分散システムに適している）
9.7 信頼システム
• 安全なコンピュータは作れるのか？
– 作れます
• MULTICSはかなり安全だったらしい
• もし作れるなら，なぜそうしないのか
– 現在のシステムは安全ではないが，ユーザが
それを捨てないから
– 機能の追加と安全はトレードオフだから
9.7.1 信頼計算処理機構
• 信頼システム
– 公式に述べられた安全性要求を持つ
• 信頼計算処理機構
– ハードウェアのほとんど，カーネル，管理者権
限をもつプロセスから成る
– システムコールを全て監視，迂回する手段は
ない
– 完璧な信頼計算処理機構を作れば安全なOS
になるが，実際はそうではない
9.7.2 安全なシステムのフォー
マルモデル
• 保護命令，6種類
– オブジェクト生成・削除
– ドメイン生成・削除
– 権限追加・削除
9.7.3 マルチレベルセキュリティ
• アクセス制御
– 随意アクセス制御
• 個々のユーザに対してファイル・オブジェクトへのアクセス制御ができる
– 委任アクセス制御
• 権限をもつユーザが，他のユーザへ権限を委任できる
• モデル
– ベルーラパデュラモデル
• レベルkのユーザはレベルk以下のオブジェクトだけ読める
• レベルkのユーザはレベルk以下のオブジェクトだけ書ける
– ビバモデル
• ベルーラパデュラモデルの逆
• データの完全性を保証するには，これとは全く逆の特性が必要
9.7.4 オレンジブックのセキュリティ
• 国防総省標準がまとめた文書
• レベル （図9-32）
–
–
–
–
D
C1, C2
B1, B2, B3
A1
• 例
– D：MS-DOS，Windows ME
– C1:UNIX (rwx方式)
9.7.5 秘密チャネル
• 幽閉問題
– クライアントから秘密をしったサーバは，他の
プロセスへ漏らさないようにできるのか？