著者
谷川 嘉伸 手塚 悟 小黒 博昭 橋川 善之
出版者
一般社団法人情報処理学会
雑誌
情報処理学会論文誌 (ISSN:18827764)
巻号頁・発行日
vol.48, no.9, pp.3110-3124, 2007-09-15
参考文献数
19

タイムスタンプの統一的な検証およびタイムスタンプの時刻信頼性の検証を実現するタイムスタンプ検証サーバを開発した.実用性と拡張性を重視し,RFC 3029 を拡張したタイムスタンプ検証プロトコルを設計・開発し,任意の方式で作成されたタイムスタンプを統一的に検証できるようにした.また,検証対象とするタイムスタンプ方式において商用サービスの独自方式を含めることを目標とし,非公開の検証モジュールをタイムスタンプ検証サーバにアドオンするために使用できる共通インタフェースを設計・開発した.さらに,時刻信頼性検証方式として時刻監査証明書確認方式と時刻監査レポート確認方式を設計・開発した.実装したタイムスタンプ検証サーバを用いてRFC 3161 ベースのタイムスタンプとISO/IEC 18014-2 アーカイブ方式ベースのタイムスタンプの検証動作を確認し,対話環境において実用性があることを確認した.We developed a time-stamp validation server which provides universal time-stamp verification and time reliability verification. We designed and developed the time-stamp validation protocol based on RFC 3029 for its practicality and extensibility. Moreover, we designed a common interface for verification modules of original non-standard time-stamping schemes. As time reliability verification schemes, we also designed time attribute certificate verification scheme and time audit report verification scheme. We constructed a prototype client-server system, and confirmed that the server successfully performed time-stamp validation of two types of time-stamps, which are based on RFC 3161 and the ISO/IEC 18014-2 archiving scheme.
著者
小黒 博昭 市原 尚久 道坂 修
出版者
一般社団法人情報処理学会
雑誌
情報処理学会研究報告コンピュータセキュリティ(CSEC) (ISSN:09196072)
巻号頁・発行日
vol.2008, no.45, pp.97-102, 2008-05-15

Web アプリケーションのセキュリティ上の脆弱性を発見するための手法の 1 つにソースコード診断ツールの適用がある。しかし、従来のソースコード診断ツールは、Web アプリケーションのセキュリティに特化したものは少なく、ほとんどはパターンマッチングまたは構文解析を応用した手法を利用しており、高精度で検出可能なセキュリティ上の脆弱性は SQL インジェクションのような主要な脆弱性に限定されるという問題があった。特に、レースコンディション脆弱性については、ブラックボックス試験では検出が困難であり、その高精度な検出は重要な課題であった。我々は Java 言語で実装された Web アプリケーションのセキュリティ上の脆弱性を検出するツールを開発した。特に、レースコンディション脆弱性の検出に対しては、バイトコード解析と独自のオペランドスタックを導入することにより、精度の高い検出を実現した。The application of source code diagnosis tools is one of the techniques to detect Web application vulnerability with respect to the security. However, there are few conventional tools specialized to the security of Web applications. Since most of the tools use the technique of either a pattern matching or a syntax analysis, there is a problem that vulnerability which the tools can detect with high precision is limited to major vulnerability such as SQL injection. Especially, detecting race condition vulnerability with high precision is important because it is difficult to detect it in black-box tests. We have developed a tool which detects vulnerability with respect to the security of Web application implemented with Java language. As for the detection of the race condition vulnerability, we have realized it with high precision by introducing a bytecode analysis and an original operand stack.