カーネル仮想記憶空間における排他的ページ参照によるカーネルの攻撃耐性の実現と評価

オペレーティングシステムカーネルの仮想記憶空間は全てのプロセスで共有する管理方式が取られる．仮想化などのカーネル機能を利用するプロセスでは，CPU 状態やセキュリティポリシをカーネルの仮想記憶空間に保存する．一部のプロセスからカーネルの脆弱性を利用した攻撃を想定した場合，他のプロセスの利用するカーネル仮想記憶空間領域は侵害される可能性がある．ハードウェアでは Trusted Execution Environment による物理記憶空間の分離，ならびに，ソフトウェアでは，カーネルモードとユーザモード，およびシステムコール単位にて仮想記憶空間を分離する手法が提案されている．既存手法ではプロセス毎にカーネルの仮想記憶空間において参照可能な記憶領域は明確に分離されず，依然としてカーネルへの攻撃により全てのプロセスで共有するカーネルの仮想記憶空間は攻撃の影響を受ける．本稿では，プロセス単位やカーネルの特定機能に対しカーネル仮想記憶空間を構成する特定ページを排他的に参照可能とする動的ページ管理機構を提案する．Linux にて提案を実現し，攻撃耐性と有効性を評価し，考察を行う．

Operating System kernel has the sharing mechanism of kernel virtual memory for each user process. Some kernel features and processes store virtual CPU status or security policy on the kernel virtual memory (e.g., virtualization or container). An adversary's process compromised OS kernel via kernel vulnerability. It overwrites other process's data on the kernel virtual memory. Kernel virtual memory isolation methods separate the one kernel virtual memory to user mode, kernel mode, and system call invocation timing. Although these methods mitigate that an adversary's process occurs suspicious activity from user mode to kernel mode interaction, user processes have shared reference available pages on kernel virtual memory. In this paper, we propose a novel mechanism that provides an exclusive page reference feature. It enables that user process keeps domestic pages on the kernel virtual memory. It is implemented and evaluated on the latest Linux kernel, then discussion for kernel attack mitigation capability.