型付きアセンブリ言語を用いた安全なカーネル拡張

Slides:

Advertisements

Similar presentations

2006/10/26 山下諒蔵佐藤春旗前田俊行大山恵弘佐藤秀明住井英二郎

Advertisements

Chapter11-4(前半) 加藤健.

最新ファイルの提供を保証する代理FTPサーバの開発

セキュリティ機構のオフロードを考慮した仮想マシンへの動的メモリ割当

榮樂英樹 LilyVM と仮想化技術榮樂英樹

クラウド上の仮想マシンの安全なリモート監視機構

クラウドにおけるネストした仮想化を用いた安全な帯域外リモート管理

IaaS 仮想マシン(VM)をネットワーク経由で提供負荷に応じてVM数や性能を変更できるハードウェアの導入・管理・維持コストの削減

情報工学基礎(改訂版) 岡崎裕之.

中村孝介（九州工業大学）光来健一（九州工業大学/JST CREST）

KVMにおけるIDSオフロードのための仮想マシン監視機構

新規ファイルシステムの開発におけるＯＳの多段階保護機構の必要性

プログラミング言語論第6回　型情報工学科　篠埜　功.

ファイルシステムキャッシュを考慮した仮想マシン監視機構

App. A アセンブラ、リンカ、 SPIMシミュレータ

OSが乗っ取られた場合にも機能するファイルアクセス制御システム

侵入検知システム（IDS）停止 IDS サーバへの不正アクセスが増加している

2006/10/19 山下諒蔵佐藤春旗前田俊行大山恵弘佐藤秀明住井英二郎

大きな仮想マシンの複数ホストへのマイグレーション

コンパイラ演習第 4 回 (2011/10/27) 中村晃一野瀬貴史前田俊行秋山茂樹池尻拓朗鈴木友博渡邊裕貴

ファイルシステムキャッシュを考慮したIDSオフロード

Ibaraki Univ. Dept of Electrical & Electronic Eng.

2007/1/11 山下諒蔵佐藤春旗前田俊行大山恵弘佐藤秀明住井英二郎

Linuxカーネルについて 2014/01.

オペレーティングシステム i386アーキテクチャ(2)

ネストした仮想化を用いた VMの安全な帯域外リモート管理

クラウドの内部攻撃者に対する安全なリモートVM監視機構

アスペクト指向プログラミングを用いたIDSオフロード

POPLミーティング 5/11 型付きアセンブリ言語の一般化実装に関する展望

TAL : Typed Assembly Language について

仮想マシン間にまたがるプロセススケジューリング

仮想計算機を用いて OSを介さずに行う安全なファイルアクセス制御

セキュリティ（３） 05A2013 大川内　斉.

コンピュータ系実験Ⅲ 「ワンチップマイコンの応用」第１週目アセンブリ言語講座

ユーザ毎にカスタマイズ可能な Webアプリケーションの効率の良い実装方法

実行時情報に基づく OSカーネルのコンフィグ最小化

仮想メモリを用いた VMマイグレーションの高速化

オペレーティングシステムイントロダクション

複数ホストに分割されたメモリを用いる仮想マシンの監視機構

仮想計算機を用いたサーバ統合における高速なリブートリカバリ

A Provably Sound TAL for Back-end Optimization について

第7回授業計画の修正中間テストの解説・復習前回の補足（クロックアルゴリズム・PFF) 仮想記憶方式のまとめ特別課題について

クラウドにおけるIntel SGXを用いた VMの安全な監視機構

依存型で型付けされた副作用のある関数のための型保存コンパイラ

東京工業大学情報理工学研究科数理・計算科学専攻千葉研究室栗田亮

アスペクト指向言語のための独立性の高いパッケージシステム

Intel SGXを用いた仮想マシンの安全な監視機構

軽量な仮想マシンを用いたIoT機器の安全な監視

C言語を用いたマシン非依存な JITコンパイラ作成フレームワーク

信頼できないクラウドにおける仮想化システムの監視機構

先週の復習: CPU が働く仕組みコンピュータの構造 pp 制御装置＋演算装置＋レジスタ制御装置がなければ電卓と同様

ウェブアプリケーションサーバの Degradation Schemeの制御に向けて

仮想環境を用いた侵入検知システムの安全な構成法

Peer-to-Peerシステムにおける動的な木構造の生成による検索の高速化

Cell/B.E.のSPE Isolationモードを用いた監視システム

第5回メモリ管理（２）オーバレイ方式論理アドレスとプログラムの再配置静的再配置と動的再配置仮想記憶とメモリ階層セグメンテーション

Ibaraki Univ. Dept of Electrical & Electronic Eng.

実装について前田俊行.

仮想マシンに対する高いサービス可用性を実現するパケットフィルタリング

Cell/B.E. のSPE上で動作する安全なOS監視システム

Mondriaan Memory Protection の調査

コンピュータアーキテクチャ第 5 回.

VMリダイレクト攻撃を防ぐための安全なリモート管理機構

ネットワーク・プログラミングデバイスドライバと環境変数.

コンピュータアーキテクチャ第 5 回.

強制パススルー機構を用いた VMの安全な帯域外リモート管理

SMP/マルチコアに対応した型付きアセンブリ言語

IPmigrate：複数ホストに分割されたVMのマイグレーション手法

L4-Linux のメモリ管理における問題点とその解決策

強制パススルー機構を用いた VMの安全な帯域外リモート管理

Presentation transcript:

型付きアセンブリ言語を用いた安全なカーネル拡張前田俊行米澤研究室

古典的なOSの問題点システムコールが遅い遅い! 割り込みやコンテキスト切替えのコストのためコンテキスト切替えプログラムサービスユーザ空間カーネル空間

システムコールのオーバーヘッドを解消するには? プログラムをカーネル拡張としてカーネル内で実行すればよいシステムコールは単なる関数呼び出しになる速い! カーネル拡張プログラムサービスシステムコールカーネル空間

任意のプログラムをカーネル内で実行するのは危険古典的なカーネル拡張の方法では、任意のメモリアクセスや任意のコード実行が可能なため危ない! 悪いプログラムディスクをフォーマットする実行可能他のプログラムを攻撃するカーネル空間

本研究の目的安全! 安全なカーネルの拡張を実現する「型」によって不正なメモリアクセスやコード実行を防ぐこの目的ために、型付きアセンブリ言語 TAL [Morrisett et al. 98]を用いる安全! 悪いプログラムディスクをフォーマットする実行不可能他のプログラムを攻撃するカーネル空間

関連研究 SPIN [Bershad et al. 95] 1つの高級言語(Modula-3)に依存 Software Fault Isolation [Wahbe et al. 93] 実行時のオーバーヘッドが大きい Proof-Carrying Code [Necula and Lee 96] 証明の生成が複雑で困難ハードウェアの仮想記憶機構による保護機能を用いた手法ページ単位でしか保護できない

TALとは何か? 型付けされたアセンブリ言語型があること以外は普通のアセンブリ言語レジスタ操作、メモリアクセス、分岐などただし、メモリ管理にはGCを利用する

TALを用いることの利点型により次の2つの安全性を保証できる機械語コードの安全性を型チェックによって検証できるメモリの安全性不正なメモリをアクセスしないこと制御フローの安全性不正なコードを実行しないこと機械語コードの安全性を型チェックによって検証できる TALのアセンブラが、機械語コードと共に型情報を生成するため

本研究のアプローチカーネル拡張をTALを用いて作成するカーネル拡張をロードする前に型チェックで安全性を検証するカーネル空間安全ならロードする TALで作られたカーネル拡張型チェック

本研究のアプローチの特徴カーネル拡張を安全に実行できるカーネル拡張の実行効率がよいメモリと制御フローの安全性が保証されるため実行時の安全性チェックがほぼ不要なため安全性はロード時に検証されるただし、配列の境界チェックは実行時に行われる

本研究の手法にもとづいたプロトタイプシステムの実装 x86のLinuxカーネル上で実装カーネル拡張をカーネル内にロードする仕組み Linuxのカーネルモジュールロード機能を流用カーネル拡張からシステムコールを呼ぶ仕組みシステムコールによって、メモリや制御フロー以上の安全性を保証ファイルのパーミッションなど GCは未実装

カーネル拡張からシステムコールを呼ぶ仕組み正しいアドレスに跳ぶことを保証システムコール sys_read シンボルをインポート TALカーネル拡張 … call sys_read … ret カーネルは呼ばせたいシステムコールをシンボルとして公開する TALカーネル拡張では外部シンボルを用いて呼び出すように書く不正なアドレスへジャンプすることが防げるまた、関数の型もインポートする不正な引数や返り値を与えることを防げる型をインポート sys_read = int (*)(int, char*, int) 外部シンボル正しい引数、返り値で呼び出すことを保証

プロトタイプシステムを用いた性能測定実験目的プログラムがカーネル空間で効率よく実行されることを確認する方法同一プログラムをカーネル空間、ユーザ空間で実行し、実行時間を比較プログラムの作成にはTALを生成するCもどき言語 “Popcorn” [Morrisett et al. 99]を用いた環境マシン : Pentium III 350MHz 主記憶 : 384MB OS : Linux Kernel 2.4.5

実験対象プログラムその1 “getpid” システムコールgetpidを呼ぶだけのプログラムシステムコールのオーバーヘッドが最も大きくあらわれる getpidの行う処理が簡単なため Pentium IIから追加された、システムコールを高速に呼び出すための命令sysenter/sysexitとも比較した

getpidの実行結果カーネル空間で実行することで、約19倍高速化された sysenter/sysexitと比べても約10倍高速 gpid * 1000000 times [USER] real 0m0.992s user 0m0.430s sys 0m0.560s [KERNEL] real 0m0.061s user 0m0.000s sys 0m0.060s

実験対象プログラムその2 “find” ディレクトリツリーを探索するプログラムディレクトリ情報がディスクキャッシュに存在している状態で実行探索したディレクトリ数 : 1396 探索したファイル数 : 23690 C言語で作成したものとも比較 PopcornとCの性能差を見るため利用したCコンパイラ : gcc –O2

findの実行結果カーネル空間で実行することで、約1.4倍高速化された PopcornとCの性能差より高速化の度合いは大きい [USER] real 0m0.148s user 0m0.050s sys 0m0.100s [KERNEL] real 0m0.103s user 0m0.000s

まとめ型付きアセンブリ言語を用いた安全なカーネル拡張の手法を示した本研究の手法でプログラムをカーネル内で実行することにより、実行効率が改善されることが確認できた

今後の仕事 Webサーバーなど、より現実的なプログラムもカーネル内で安全に実行できるようにするマルチスレッド環境における安全性を考慮