| Item type |
Symposium(1) |
| 公開日 |
2020-10-19 |
| タイトル |
|
|
タイトル |
コンテナ向けカーネル仮想記憶空間の分離制御機構 |
| タイトル |
|
|
言語 |
en |
|
タイトル |
Design and Implementation of Kernel Address Isolation for Container |
| 言語 |
|
|
言語 |
jpn |
| キーワード |
|
|
主題Scheme |
Other |
|
主題 |
サイドチャネル,システムセキュリティ,オペレーティンシステム,システムソフトウェア |
| 資源タイプ |
|
|
資源タイプ識別子 |
http://purl.org/coar/resource_type/c_5794 |
|
資源タイプ |
conference paper |
| 著者所属 |
|
|
|
セコム株式会社 IS 研究所 |
| 著者所属 |
|
|
|
岡山大学 大学院自然科学研究科 |
| 著者所属(英) |
|
|
|
en |
|
|
Intelligent Systems Laboratory, SECOM Co., Ltd. |
| 著者所属(英) |
|
|
|
en |
|
|
Graduate School of Natural Science and Technology, Okayama University |
| 著者名 |
葛野, 弘樹
山内, 利宏
|
| 著者名(英) |
Hiroki, Kuzuno
Toshihiro, Yamauchi
|
| 論文抄録 |
|
|
内容記述タイプ |
Other |
|
内容記述 |
複数の計算機環境を単一計算機上へ実現するためにオペレーティングシステム<br>のカーネルが提供する仮想化機能やコンテナ機能が利用される.<br><br>仮想化機能の仮想ハードウェアやコンテナ機能の資源管理に関するデータはカー<br>ネルの仮想記憶空間に配置し制御される.<br><br>カーネルの仮想記憶空間は全プロセスで共有されるため,サイドチャネル攻撃<br>として,攻撃プロセスからCPUキャッシュなどへサイドチャネルを行い,本来<br>は参照不可能な被害プロセスの利用するカーネルデータを推測が可能なことが<br>指摘されている.<br><br>サイドチャネル攻撃への対策として,Kernel page table isolation は,カー<br>ネルモードとユーザモードにて仮想記憶空間のページテーブルを分離した.さ<br>らにAddress space isolationでは,カーネルの仮想記憶空間から仮想化機能<br>を分離する手法が検討された.<br><br>本稿では,カーネルでのサイドチャネル攻撃対策をさらに進め,コンテナ機能<br>の利用プロセス毎にページテーブルを備えるカーネル仮想記憶空間の分離制御<br>機構を提案し,サイドチャネル攻撃に対する有効性を評価する. |
| 論文抄録(英) |
|
|
内容記述タイプ |
Other |
|
内容記述 |
Operating system kernel provides the virtualization and the container<br>technology support the cloud service to create multiple environments<br>on the one physical computer.<br><br>The virtual machine process or the container process store their<br>management data on the kernel memory region.<br><br>Recent software-based cache side-channel attacks target CPU and MMU<br>caches to speculate the data on the protected memory region belongs to<br>kernel.<br><br>To tackle with side-channel, kernel page table isolation separates<br>virtual address space for user mode and kernel mode. The address space<br>isolation also supports the multiple page tables for dedicated feature<br>(e.g, virtualization).<br><br>We provide a novel kernel virtual address space isolation mechanism<br>for the kernel data of container process to reduce the attack surface<br>of the cache side-channel.<br><br>Our mechanism is realized to the latest Linux that can protect the<br>actual side-channel attack and indicates better overhead performance<br>at the evaluation. |
| 書誌情報 |
コンピュータセキュリティシンポジウム2020論文集
p. 859-866,
発行日 2020-10-19
|
| 出版者 |
|
|
言語 |
ja |
|
出版者 |
情報処理学会 |
IPSJCSS2020120.pdf (1.4 MB)
