講演抄録/キーワード |
講演名 |
2022-03-10 12:05
コンテナ型仮想化を利用した分散アクセス制御システムの実装と評価 ○立花斐斗・入江英嗣・坂井修一(東大) CPSY2021-47 DC2021-81 |
抄録 |
(和) |
分散アクセス制御 (DIFC)はポリシーをアプリケーション開発者によって設定することで,強制アクセス制御(MAC)に比べ効果的に脆弱性被害を防ぐ手法である.
しかし既存手法によるDIFCの実装ではOSの改変が必要になり,導入の障壁が高いことが課題となっている.ここでOSへの改変が必要ない手法として,我々はDIFCシステムをコンテナ型仮想化環境上に実装する手法が提案している.
本研究ではこの手法をコンテナ型仮想化環境上に実装し,そのシステム上で実用Webアプリケーションを動作させてセキュリティおよびパフォーマンス評価を行った.セキュリティ評価の結果,実用プログラムの脆弱性を防げることが示された.さらにパフォーマンス評価を行った結果,既存のコンテナ環境に対して33%程度のオーバーヘッドであり,既存手法より影響は小さかった. |
(英) |
Decentralized Information Flow Control(DIFC) is a method to prevent vulnerabilities more effectively than Mandatory Access Control(MAC) by allowing application developers to set policies.
However, the implementation of DIFC using existing methods requires modifications to the operating system, which creates a high barrier to implementation. As a method that does not require any modification to the OS, we proposed a method of implementing the DIFC system on a Container-based virtualization environment.
In this study, we implemented this method on a Container-based virtualization environment and evaluated it by running a practical web application on the system. The results of the security evaluation showed that the method can prevent vulnerabilities of a practical web application. In addition, the performance evaluation showed that the overhead was about 33% compared to the existing container environment, and there was less impact than existing methods. |
キーワード |
(和) |
ディレクトリトラバーサル / 情報フロー追跡 / アクセス制御 / 分散情報フロー制御(DIFC) / コンテナ型仮想化 / gVisor / / |
(英) |
Directory Traversal / Information Flow Tracking / Access Control / Decentralized Information Flow Control (DIFC) / Container-based virtualization / gVisor / / |
文献情報 |
信学技報, vol. 121, no. 425, CPSY2021-47, pp. 14-19, 2022年3月. |
資料番号 |
CPSY2021-47 |
発行日 |
2022-03-03 (CPSY, DC) |
ISSN |
Online edition: ISSN 2432-6380 |
著作権に ついて |
技術研究報告に掲載された論文の著作権は電子情報通信学会に帰属します.(許諾番号:10GA0019/12GB0052/13GB0056/17GB0034/18GB0034) |
PDFダウンロード |
CPSY2021-47 DC2021-81 |