コンテナ向けカーネル仮想記憶空間の分離制御機構

書誌事項

タイトル別名
  • Design and Implementation of Kernel Address Isolation for Container

抄録

複数の計算機環境を単一計算機上へ実現するためにオペレーティングシステム<br>のカーネルが提供する仮想化機能やコンテナ機能が利用される.<br><br>仮想化機能の仮想ハードウェアやコンテナ機能の資源管理に関するデータはカー<br>ネルの仮想記憶空間に配置し制御される.<br><br>カーネルの仮想記憶空間は全プロセスで共有されるため,サイドチャネル攻撃<br>として,攻撃プロセスからCPUキャッシュなどへサイドチャネルを行い,本来<br>は参照不可能な被害プロセスの利用するカーネルデータを推測が可能なことが<br>指摘されている.<br><br>サイドチャネル攻撃への対策として,Kernel page table isolation は,カー<br>ネルモードとユーザモードにて仮想記憶空間のページテーブルを分離した.さ<br>らにAddress space isolationでは,カーネルの仮想記憶空間から仮想化機能<br>を分離する手法が検討された.<br><br>本稿では,カーネルでのサイドチャネル攻撃対策をさらに進め,コンテナ機能<br>の利用プロセス毎にページテーブルを備えるカーネル仮想記憶空間の分離制御<br>機構を提案し,サイドチャネル攻撃に対する有効性を評価する.

Operating system kernel provides the virtualization and the container<br>technology support the cloud service to create multiple environments<br>on the one physical computer.<br><br>The virtual machine process or the container process store their<br>management data on the kernel memory region.<br><br>Recent software-based cache side-channel attacks target CPU and MMU<br>caches to speculate the data on the protected memory region belongs to<br>kernel.<br><br>To tackle with side-channel, kernel page table isolation separates<br>virtual address space for user mode and kernel mode. The address space<br>isolation also supports the multiple page tables for dedicated feature<br>(e.g, virtualization).<br><br>We provide a novel kernel virtual address space isolation mechanism<br>for the kernel data of container process to reduce the attack surface<br>of the cache side-channel.<br><br>Our mechanism is realized to the latest Linux that can protect the<br>actual side-channel attack and indicates better overhead performance<br>at the evaluation.

収録刊行物

詳細情報 詳細情報について

  • CRID
    1050855522098887552
  • NII論文ID
    170000183975
  • Web Site
    http://id.nii.ac.jp/1001/00208446/
  • 本文言語コード
    ja
  • 資料種別
    conference paper
  • データソース種別
    • IRDB
    • CiNii Articles

問題の指摘

ページトップへ