閉じ込めの問題

クライアントとサーバーを検討します。 クライアントのリクエストを発行したときには、サーバー、クライアントのいくつかのデータをサーバーに送信します。 次に、サーバーを使用してデータを実行する機能といくつかの結果を返す（または結果ません）をクライアントにします。 アクセス制御の機能をサーバーに影響を及ぼす2つの方法があります。

最初の要件は、サービスプロバイダの目標を表しています。 を防ぐことを目標として、クライアントからメッセージを送信するには、サーバーにアクセスすることが原因、改変、送信する、またはリソースを消費して、クライアントにアクセスする権限がありませんが、改変、送信する、または消費します。 2つ目の要件は、サービスの利用者目標を表しています。 を防ぐことを目標として、サーバーから機密情報を送信するサービスプロバイダにします。 どちらの場合も、サーバーへのアクセスのみに限定される必要があり、特定のリソースを設定します。

例：サーバーのアカウント残高を加入します。 を送信して加入者を使用するクライアントのエントリを登録して、現在の銀行の残高、およびそれらの預金引き出しとしていクリアするには、サーバーへの銀行です。 サーバーのリストを返すかを確認し、未払いの預金と違い任意の残高と銀行の残高を登録しています。 それぞれの使用料を支払う加入します。 サービスプロバイダを必要とし、サーバーを正しく使用してサービスを記録するたびにそれが使用されます。 そうしないと、サービスプロバイダの請求書を使用することはできませんが、サービスします。 の脅威には、このサービスを利用する可能性を検出せずに（せずに、その請求）または偽装してユーザーが別の加入者（結果的に間違って加入者が請求さ）します。 サービスプロバイダにも望んでいない請求書を送信するサーバーに記録またはその他の不正な情報をクライアントにします。 すべき情報をサーバーに送信するだけで、それから派生したデータがクライアントに送信されます。 閉じ込められなければならないので、サーバー上でのみ動作し、データが送信されます。 加入者を期待して特定のサーバーからのセキュリティサービスです。 サーバーのログを正しくする必要があり、ユーザーの呼び出しではありませんので、ユーザーの誤って請求されます。 （この試合の必要性は、サービスプロバイダ）サーバーに送信する必要がありません。レコードまたはデータを送信して加入しているため、加入者のデータは機密情報ではありませんが、加入者やサービスプロバイダに関連しています。 閉じ込められなければならないので、サーバーにそれ自体を維持するためのデータを送信すると、検索結果にのみ加入しています。

このため、問題のコールランプソン閉じ込めました。

この問題は、問題の閉じ込めを防止するサーバーから流出した情報を、ユーザーの本サービスの秘密を考慮します。

1つの特徴であるプロセス情報をリークしていないことから来るの観測データを保存する必要があり、処理後の検索（漏れ）します。 プロセスで情報を格納することはできませんことはできません漏れています。 しかし、極端なのは、このようなプロセスを実行することはできません計算でも、可能性のあるアナリストを観察するための流れを制御する（または、プロセスの状態）との流れから推測することについての情報を入力します。 このプロセスにつながるとの観測が観測されたことはできませんが、他のプロセスと通信できません。情報を漏らすことはできませんします。 この合計ランプソンコール隔離します。

実際には、隔離を達成するための合計が困難になります。 通常のプロセスに閉じ込められcpuのリソースを共有するなど、ネットワーク、および他のディスクストレージ、放し飼いのプロセスです。 放し飼いのプロセスの情報を送信することができ、それらのリソースを共有します。

秘密の通信チャネルは、パスに設計されていないものの通信に使用されます。

例：プロセスpは限定されるようなプロセスと通信することができない問い しかし、問pとプロセスを共有するファイルシステムです。 pを処理するためにメッセージを送信するプロセス問、それと呼ばれたファイルを作成して送信するディレクトリの両方のプロセスを読むことができます。 問は、直前のプロセスの情報を読んで、問を削除したファイルを送信します。 問のいずれかのファイルを検出したとき、それを記録したファイルを削除するとビットします。 これまで続くpと呼ばれるファイルを作成するために、どの時点での通信は停止されます。

監禁で推移します。 と仮定して、漏れを防ぐためのプロセスpは閉じ込められました。 問2つ目のプロセスを起動している場合、その問同様に閉じ込められなければならない可能性またはq pリーク情報を渡した。

監禁州の支配を推移している場合に限られ、 2つ目のプロセスを呼び出す過程で、 2つ目のプロセスとして発信しなければならないとして閉じ込められました。

閉じ込め機構は、最小権限の原則を実施します。 正常に閉じ込めプロセスにデータを送信することはできませんしない限り、 2つ目のプロセスは、必要に応じて伝送タスクを完了しています。 問題は、そのニーズに閉じ込めプロセスへのアクセスにデータを送信されるとしなければならないので、監禁して伝送されていないデータにアクセスできます。 事を複雑にするには、いくつかの情報を送信するプロセスの可能性があり、 2つ目のプロセスです。 このケースでは、閉じ込め機構を区別する必要があり、認可伝送データの不正なデータや伝送します。

の組み合わせは、これらの問題の漏えい防止の難しさを示しています。 ジレンマは、現代のコンピュータは、リソースを共有するよう設計さにもかかわらず、共有される彼らの行為の通信チャネルを作成するに沿って情報を流出することができます。

lipnerその問題を検討しモデリングの側面からの政策とします。 彼は2つのタイプのチャネルをひそかにします。 最初の記憶装置の使用を呼び、情報を送信します。 すべてのモデルを記述した場合は正しく保存できる方法で情報を読んで、その両方のモデルの要約とひそかに合法的なチャンネルでの情報は流れに沿っています。 モデルconstrainsすべてのアクセスを記憶します。 のみにアクセス許可が委任されているこれらのポリシーではないので、合法的な情報が流れた。 しかし、すべての場合、このようなモデルはありません捕獲フロー、そして不正なフロー、または暗黙のチャンネル、発生します。

lipner次に注意してすべてのプロセスを得ることができる、少なくとも大まかには理解できます。 これにより通信チャネルの時間です。 プログラムは"既読"をチェックして時間をシステムクロックまたは（または）の数を数えることが手順を実行する期間に柱時計の時間です。 プログラムは"書き込み"を実行する時間を設定すると停止命令数は、別のプロセスを実行できるようにします。 この共有することはできませんチャネルない限り、排他的なプロセスで作られていません別のプロセスでコンピュータを共有し、これを提案する救済策として隔離します。

コッヘルのタイミングの攻撃を暗号システムを説明するこの問題を解決します。 コッヘル注意して手順を実行される暗号システムの実装に依存して、設定のビットは、キーを押します。 たとえば、高速モジュラー累乗アルゴリズムを実装する機能は以下のとおりです。 もしビットが1 、 2つの乗算が発生し;それ以外の場合、 1つの乗算が発生します。 余分な余分な時間を乗算します。 コッヘルを決定しビットの計算時間を測定することによって、機密指数ます。

高速モジュラールーチン累乗します。 このルーチン計算× = az mod n. このビットのzはzk1 。 します。 します。 、 z0ます。

  × ： = 1 ; atmp ： = 、 ;私： = 0からk - 1でない場合を始める子= 1それから× ： =と（ x * atmp ） mod n ; atmp ： = （ atmp * atmp ） mod n ;最後に;結果： × = ; 

私たちのメカニズムを探る最初に隔離します。 次に、ひそかに検討するチャネルの詳細については、他のアプローチを分析して話し合うなど、テクニックを識別するために隠密チャンネルと隔離してください。