- 著者
-
松本 亮介
坪内 佑樹
- 雑誌
- 研究報告コンピュータセキュリティ(CSEC) (ISSN:21888655)
- 巻号頁・発行日
- vol.2020-CSEC-89, no.11, pp.1-6, 2020-05-07
単一の OS 環境に複数のテナントを配置し,リソースを共有するようなマルチテナント環境において,一般的に各テナント間での権限分離はプロセスのオーナやパーミッション情報を利用する.一方で,Web ホスティングサービスをはじめ,Web サービスにおいても,コンテナによって計算処理を担うプロセスの権限分離が普及している状況において,データ処理に関しては,複数の異なるオーナのプロセスがデータベースのようなミドルウェアをネットワークを介して通信し共有することで実現されるケースがある.そのようなシステム構成において,単一の OS 内でのプロセス間は権限分離されていても,ネットワークを介した分散システムと捉えたときには,OS 側の権限分離とは独立してユーザとパスワードによりミドルウェアの認証を行うことになる.すなわち,アプリケーションやシステムの脆弱性によって,特定のプロセスが他のオーナのプロセスのユーザとパスワードを取得できた場合,容易に通信先ミドルウェアの情報にアクセスできる.本研究では,Linux のプロセスのオーナ情報を TCP を介したミドルウェアの認証に付与し,特定のオーナからのみミドルウェアの認証を可能とする透過的な TCP を介した権限分離手法の設計について述べる.