Presentation is loading. Please wait.

Presentation is loading. Please wait.

Java セキュリティ(その1) 萩谷 昌己 (東京大学) with the help of 戸沢 晶彦 (東京大学)

Published byありさ たなせ Modified 約 7 年前

Similar presentations

Presentation on theme: "Java セキュリティ(その1) 萩谷 昌己 (東京大学) with the help of 戸沢 晶彦 (東京大学)"— Presentation transcript:

1 Java セキュリティ(その1) 萩谷 昌己 (東京大学) with the help of 戸沢 晶彦 (東京大学)

2 Java セキュリティの階層 バイトコード検証系 (bytecode verifier) → JDK1.2 ローダ制約 (loader constraint) の導入 クラスローダ (class loader) → JDK1.2 安全なクラスローダ (secure class loader) セキュリティ・マネージャ (security manager) → JDK1.2 アクセス・コントローラ (access controller) RMI セキュリティ拡張 (RMI security extension) JINI セキュリティ

3 Java アタックの歴史 http://java.sun.com/sfaq/chronology.html

4 Java セキュリティ・アーキテ クチャ JDK1.0 砂場モデル (sandbox model) リモート・コード ( 信頼できないコード ) は、 システム・リソースにアクセスできない ( 砂場の中でしか遊べない ) 。 JDK1.1 署名付きアプレット (signed applet) 信頼できる署名の付いたコードは、 ローカル・コードと同様に扱われる。 JDK1.2 保護ドメイン (protection domain) 保護ドメインを単位とした精密なアクセス制 御

5 保護ドメイン (protection domain) コードベース + 署名者名 – コードベース (codebase) … URL – 署名者名 (signer name) … 複数指定可 (and が取られる )

6 セキュリティ・ポリシー (security policy) どの保護ドメインに どのような許可 (permission) を与えるか。 ポリシー・ファイル (policy file) による簡潔な 記述 grant [SignedBy "signer_names"] [, CodeBase "URL"] { permission permission_class_name [ "target_name" ] [, "action"] [, SignedBy "signer_names"]; permission … };

7 アクセス制御 AccessController クラスの checkPermission メソッド その呼び出し方 : FilePermission perm = new FilePermission("path/file", "read"); AccessController.checkPermission(perm); 現在の実行コンテキストのもとで、 アクセスの許可を調べる。

8 アクセス制御 アルゴリズム : i = m; while (i > 0) { if ( caller i 's domain does not have the permission ) throw AccessControlException; else if ( caller i is marked as privileged ) return; i = i - 1; }; inheritedContext.checkPermission(permission); inheritedContext … 親スレッドのコンテキスト

9 特権 (previlege) 実行コンテキストに特権を与える。 class A implements PrivilegedAction { Object run() {... } } A a = new A(); Object o = AccessController.doPrivileged(a); 実行コンテキストに privileged のマークが付い て、 run メソッドが実行される。 run メソッドの実行中は、 doPrivileged の呼び手のところで、 アクセスのチェックが終了する。

10 アクセス制御コンテキスト コンテキストの取得 : AccessControlContext acc = AccessController.getContext(); コンテキストを指定した制御 : acc.checkPermission(permission); コンテキストを指定した特権の付与 : Object o = AccessController.doPrivileged(a, acc);

11 アルゴリズム (コンテキストの指定がある場 合) : i = m; while (i > 0) { if ( caller i 's domain does not have the permission ) throw AccessControlException; else if ( caller i is marked as privileged ) if ( a context was specified in the call to doPrivileged) context.checkPermission(permission); return; i = i - 1; }; inheritedContext.checkPermission(permission); アクセス制御

12 Permission クラス 抽象クラス abstract boolean implies(Permission permission) – a.implies(b) は、許可 a が許可 b を 包含することを意味する。 サブクラス : –AllPermission, BasicPermission, –FilePermission, SocketPermission, –UnresolvedPermission

13 FilePermission クラス new FilePermission("myfile", "read,write"); new FilePermission("/home/gong/", "read"); new FilePermission("/tmp/mytmp", "read,delete"); new FilePermission("/bin/*", "execute"); new FilePermission("*", “read”); new FilePermission("/-", "read,execute"); new FilePermission("-", "read,execute"); new FilePermission(" >", "read");

14 クラスローダ クラス・ファイルをロードするオブ ジェクト ClassLoader クラスのサブクラスの インスタンス クラスの名前空間を作る働きも担って いる。

15 クラス解消アルゴリズム (class resolution algorithm) --- SecureClassLoader の場合 クラスが既にロードされていないかチェック。 現在のクラスローダに委譲関係の親があれば、 親にクラスのロードを委譲。 –SecureClassLoader は親を指定して作成でき る。 – 親が指定されていない場合は、 primordial class loader に委譲する。 親が解消できなければ findClass を呼び出 す。

16 public class RT { public static void main(String arg[]) { RR rr = new RR(); R r = rr.getR(); r.speakUp(); } public class RR { public R getR() { return new R(); } } public class R { public void Icantspeak() {... } } public class R { public void speakUp() {... } } Saraswat のバグ RT のローダは R をロード。 RT のローダは RR のロードを システム・ローダに委譲。 システム・ローダは R をロード。

17

18

19

20

21

22

23

24

25 class B extends A {... } class C extends A {... } public class D { static boolean t = true; public D() { A a; if (t) a = new B(); else a = new C(); a.speakUp(); } Tozawa のバグ(その1) バイトコード検証系は、 B と C のスーパークラス(の名前)を A と計算するが、 A をロードしない。 名前だけで A と A を等しいとみなす。

26 Package java.lang; public class A { pulic java.lang.C foo(java.lang.B x) { return x; } public class D { public D() { java.lang.B b = new java.lang.B(); java.lang.C c = (new java.lang.A()).foo(b); } Tozawa のバグ(その2) Java2 のバイトコード検証系は、 システム・クラスを検証しない。

27

28 バイトコード検証 バイトコードに対する型推論 データフロー解析の一種 JVM のバイトコードには、 バイトコード検証が可能なように、 型の情報が含まれている。 –aload –iload –dload

29 バイトコード検証の問題点 サブルーチン – 帰り番地が変数に格納される。 – 必ずしも直接の呼び手に帰らない。 – サブルーチンによって変数の使い方が異なる。(多 相性) オブジェクトの初期化 – 初期化されていないオブジェクトの参照を 禁止しなければならない。 – ソース・コードでは保証されているが、 バイトコードでは、バイトコード検証系が 保証しなければならない。

30 loading constraint scheme との関連 – 必ずしも loading constraint scheme との 連携がうまくいっていない。 システム・クラスや署名付きクラスの 検証 – システム・クラスや署名付きクラスは、 その正しさが保証されているので、 バイトコード検証を省略したい。しかし、 安易に省略すると、問題が生じる。 バイトコード検証の問題点

31 バイトコード検証の定式化 型システムによる定式化 – バイトコードに対する型体系 – 各命令に対する型規則 – バイトコード検証を型推論として定式化す る。 – 型安全性 型推論が成功すれば実行時の型エラーは 起こらない。

Download ppt "Java セキュリティ(その1) 萩谷 昌己 (東京大学) with the help of 戸沢 晶彦 (東京大学)"

Similar presentations

アルゴリズムとプログラミン グ (Algorithms and Programming) 第6回:クラスとインスタンス クラスの宣言 アクセス修飾子 インスタンスの生成 (new キーワード) this キーワード フィールドとメソッドの実際の定義と使い 方 クラスの宣言 アクセス修飾子 インスタンスの生成.

アルゴリズムとプログラミン グ (Algorithms and Programming) 第6回:クラスとインスタンス クラスの宣言 アクセス修飾子 インスタンスの生成 (new キーワード) this キーワード フィールドとメソッドの実際の定義と使い 方 クラスの宣言 アクセス修飾子 インスタンスの生成.
オブジェクト指向 言語 論 第八回 知能情報学部 新田直也. 多相性(最も単純な例) class A { void m() { System.out.println( “ this is class A ” ); } } class A1 extends A { void m() { System.out.println(

オブジェクト指向 言語 論 第八回 知能情報学部 新田直也. 多相性(最も単純な例) class A { void m() { System.out.println( “ this is class A ” ); } } class A1 extends A { void m() { System.out.println(
独習JAVA Chapter 6 6.6 クラスの修飾子 6.7 変数の修飾子 結城 隆. 6.6 クラスの修飾 abstract インスタンス化できないクラス。1つまたは複数のサブクラスで 実装してはじめてインスタンス化できる。 final 継承されたくないことを明示する。これ以上機能拡張 / 変更でき.

独習JAVA Chapter 6 6.6 クラスの修飾子 6.7 変数の修飾子 結城 隆. 6.6 クラスの修飾 abstract インスタンス化できないクラス。1つまたは複数のサブクラスで 実装してはじめてインスタンス化できる。 final 継承されたくないことを明示する。これ以上機能拡張 / 変更でき.
モバイルエージェントシステムの実装 エージェント移動(状態とコードの一括移送) エージェント移動の特徴 システム構成 エージェントプログラム

モバイルエージェントシステムの実装 エージェント移動(状態とコードの一括移送) エージェント移動の特徴 システム構成 エージェントプログラム
6.4継承とメソッド 6.5継承とコンストラクタ 11月28日 時田 陽一

6.4継承とメソッド 6.5継承とコンストラクタ 11月28日 時田 陽一
社会人学習講座 「Javaプログラミング概論」

社会人学習講座 「Javaプログラミング概論」
Remote Method Invocation

Remote Method Invocation
Applet 岡部 祐典 鈴木 敬幸.

Applet 岡部 祐典 鈴木 敬幸.
酒居敬一(sakai.keiichi@kochi-tech.ac.jp) アルゴリズムとデータ構造 2010年7月5日 酒居敬一(sakai.keiichi@kochi-tech.ac.jp) http://www.info.kochi-tech.ac.jp/k1sakai/Lecture/ALG/2010/index.html.

アルゴリズムとデータ構造 2010年7月5日
Javaのための暗黙的に型定義される構造体

Javaのための暗黙的に型定義される構造体
コンポーネントの再利用に必要な情報 えムナウ (児玉宏之)

コンポーネントの再利用に必要な情報 えムナウ (児玉宏之)
コンポーネントの再利用に必要な情報 えムナウ (児玉宏之)

コンポーネントの再利用に必要な情報 えムナウ (児玉宏之)
Iアプリプログラミング その1 0312006125 鳥居秀徳.

Iアプリプログラミング その1  鳥居秀徳.
第2回:Javaの変数と型の宣言 プログラミングII 2007年10月2日.

第2回:Javaの変数と型の宣言 プログラミングII 2007年10月2日.
アルゴリズムとプログラミング (Algorithms and Programming)

アルゴリズムとプログラミング (Algorithms and Programming)
Java2セキュリティ, クラスローダー,ベリファイア

Java2セキュリティ, クラスローダー,ベリファイア
社会人学習講座 「Javaプログラミング概論」

社会人学習講座 「Javaプログラミング概論」
インタフェース yukita@k.hosei.ac.jp プログラミング 第14回 インタフェース yukita@k.hosei.ac.jp プログラミング第14回.

インタフェース プログラミング 第14回 インタフェース プログラミング第14回.
Javaプログラムの実行まで バイト Javaの コード 実行 ソースコード Java ファイル名 ファイル名 abc.java

Javaプログラムの実行まで バイト Javaの コード 実行 ソースコード Java ファイル名 ファイル名 abc.java
RMI ソフトウェア特論 第6回 / 2004-06-04.

RMI ソフトウェア特論 第6回 /

Similar presentations

Ads by Google