| Item type |
SIG Technical Reports(1) |
| 公開日 |
2020-05-07 |
| タイトル |
|
|
タイトル |
クライアントプロセスの権限情報に基づくTCPを介した透過的な権限分離方式の設計 |
| タイトル |
|
|
言語 |
en |
|
タイトル |
A Design of Access Control Architecture Separating Privilege Transparently via TCP Connection Based on Process Information |
| 言語 |
|
|
言語 |
jpn |
| 資源タイプ |
|
|
資源タイプ識別子 |
http://purl.org/coar/resource_type/c_18gh |
|
資源タイプ |
technical report |
| 著者所属 |
|
|
|
さくらインターネット株式会社さくらインターネット研究所 |
| 著者所属 |
|
|
|
さくらインターネット株式会社さくらインターネット研究所 |
| 著者所属(英) |
|
|
|
en |
|
|
SAKURA Research Center, SAKURA Internet Inc. |
| 著者所属(英) |
|
|
|
en |
|
|
SAKURA Research Center, SAKURA Internet Inc. |
| 著者名 |
松本, 亮介
坪内, 佑樹
|
| 著者名(英) |
Ryosuke, Matsumoto
Yuuki, Tsubouchi
|
| 論文抄録 |
|
|
内容記述タイプ |
Other |
|
内容記述 |
単一の OS 環境に複数のテナントを配置し,リソースを共有するようなマルチテナント環境において,一般的に各テナント間での権限分離はプロセスのオーナやパーミッション情報を利用する.一方で,Web ホスティングサービスをはじめ,Web サービスにおいても,コンテナによって計算処理を担うプロセスの権限分離が普及している状況において,データ処理に関しては,複数の異なるオーナのプロセスがデータベースのようなミドルウェアをネットワークを介して通信し共有することで実現されるケースがある.そのようなシステム構成において,単一の OS 内でのプロセス間は権限分離されていても,ネットワークを介した分散システムと捉えたときには,OS 側の権限分離とは独立してユーザとパスワードによりミドルウェアの認証を行うことになる.すなわち,アプリケーションやシステムの脆弱性によって,特定のプロセスが他のオーナのプロセスのユーザとパスワードを取得できた場合,容易に通信先ミドルウェアの情報にアクセスできる.本研究では,Linux のプロセスのオーナ情報を TCP を介したミドルウェアの認証に付与し,特定のオーナからのみミドルウェアの認証を可能とする透過的な TCP を介した権限分離手法の設計について述べる. |
| 論文抄録(英) |
|
|
内容記述タイプ |
Other |
|
内容記述 |
In a multi-tenant environment in a single OS environment, privilege separation between tenants generally uses process owner and permission information. In web hosting services and web services, the separation of privilege between processes that perform calculation processing by containers has become widespread. As for data processing, there are cases in which multiple different owner processes communicate and share with middleware, such as a database via a TCP network. The system separates privilege between processes in a single OS environment. On the other hand, the system is also a network distributed system, and the middleware authenticates the client with the user and password independently of the privilege separation on the OS side. In other words, if a specific process can acquire the user and password of another owner's process due to the vulnerability of the application or system, the client breaks through the authentication and can easily access the middleware information of the communication destination. In this research, we describe the design of the privilege separation method via TCP, which gives the owner information of Linux processes to middleware authentication via TCP and enables middleware authentication only from a specific owner. |
| 書誌レコードID |
|
|
収録物識別子タイプ |
NCID |
|
収録物識別子 |
AA12326962 |
| 書誌情報 |
研究報告インターネットと運用技術(IOT)
巻 2020-IOT-49,
号 11,
p. 1-6,
発行日 2020-05-07
|
| ISSN |
|
|
収録物識別子タイプ |
ISSN |
|
収録物識別子 |
2188-8787 |
| Notice |
|
|
|
SIG Technical Reports are nonrefereed and hence may later appear in any journals, conferences, symposia, etc. |
| 出版者 |
|
|
言語 |
ja |
|
出版者 |
情報処理学会 |
IPSJ-IOT20049011.pdf (471.3 kB)
