WEKO3
アイテム
コンテナのコンテキストを考慮したカーネル内メモリ隔離機構
https://ipsj.ixsq.nii.ac.jp/records/2003131
https://ipsj.ixsq.nii.ac.jp/records/2003131c2657991-824f-4cec-9f6f-2096b99cecdf
| 名前 / ファイル | ライセンス | アクション |
|---|---|---|
IPSJ-OS25168011.pdf (1.2 MB)
2027年7月28日からダウンロード可能です。
|
Copyright (c) 2025 by the Information Processing Society of Japan
|
|
| 非会員:¥660, IPSJ:学会員:¥330, OS:会員:¥0, DLIB:会員:¥0 | ||
| Item type | SIG Technical Reports(1) | |||||||||
|---|---|---|---|---|---|---|---|---|---|---|
| 公開日 | 2025-07-28 | |||||||||
| タイトル | ||||||||||
| 言語 | ja | |||||||||
| タイトル | コンテナのコンテキストを考慮したカーネル内メモリ隔離機構 | |||||||||
| 言語 | ||||||||||
| 言語 | jpn | |||||||||
| キーワード | ||||||||||
| 主題Scheme | Other | |||||||||
| 主題 | カーネル | |||||||||
| 資源タイプ | ||||||||||
| 資源タイプ識別子 | http://purl.org/coar/resource_type/c_18gh | |||||||||
| 資源タイプ | technical report | |||||||||
| 著者所属 | ||||||||||
| 東京農工大学 | ||||||||||
| 著者所属 | ||||||||||
| 東京農工大学 | ||||||||||
| 著者所属(英) | ||||||||||
| en | ||||||||||
| Tokyo University of Agriculture and Technology | ||||||||||
| 著者所属(英) | ||||||||||
| en | ||||||||||
| Tokyo University of Agriculture and Technology | ||||||||||
| 著者名 |
吉田,晃太郎
× 吉田,晃太郎
× 山田,浩史
|
|||||||||
| 論文抄録 | ||||||||||
| 内容記述タイプ | Other | |||||||||
| 内容記述 | コンテナ技術はマルチテナントなクラウドサービスで広く利用されている.オペレーティングシステム(OS)で各テナントを隔離することでリソースを効率よく利用できる.コンテナはパフォーマンスの面で仮想マシンよりも有利である.一方で,コンテナにはセキュリティ面で問題がある.仮想マシンは機能が限られた低レベルのハードウェアインターフェースを介して動作するのに対して,コンテナは豊富な機能を有するシステムコールを使って動作するためである.カーネルのバグや脆弱性を突かれやすく,その影響はOS上で稼働しているすべてのコンテナに伝播してしまう.そこで,本研究では各コンテナのオブジェクトを隔離し,カーネルにバグや脆弱性があったとしても,他のコンテナのカーネルコンテキストからアクセスできないようにする.OSのエラーを局所化するカーネル内メモリ隔離を提案する.具体的には,各コンテナが自身のメモリオブジェクトにしかアクセスできないようにする.コンテナに応じて,メモリオブジェクト単位でのアクセス制御を行い,コンテナ間で分離されるメモリオブジェクトのメモリ隔離をする.本研究ではカーネルレベルメモリ隔離に,Intel PKSを用いて,提案手法をLinux 6.5.0に実装し,Namespaceで隔離される一部のメモリオブジェクトにアクセス制御を実現した.実験の結果,提案手法でメモリ隔離したメモリオブジェクトへの不正アクセスが生じたとき,ページフォルトが発生し,実行を停止できた.また,アクセス制御を行ったメモリオブジェクトを利用するシステムコールの実行時間は従来の2から3倍程度であった. | |||||||||
| 書誌レコードID | ||||||||||
| 収録物識別子タイプ | NCID | |||||||||
| 収録物識別子 | AN10444176 | |||||||||
| 書誌情報 |
研究報告システムソフトウェアとオペレーティング・システム(OS) 巻 2025-OS-168, 号 11, p. 1-12, 発行日 2025-07-28 |
|||||||||
| ISSN | ||||||||||
| 収録物識別子タイプ | ISSN | |||||||||
| 収録物識別子 | 2188-8795 | |||||||||
| Notice | ||||||||||
| SIG Technical Reports are nonrefereed and hence may later appear in any journals, conferences, symposia, etc. | ||||||||||
| 出版者 | ||||||||||
| 言語 | ja | |||||||||
| 出版者 | 情報処理学会 | |||||||||
