| 研究課題/領域番号 |
16K00101
|
|---|
| 研究機関 | 九州工業大学 |
|---|
研究代表者 |
光来 健一 九州工業大学, 大学院情報工学研究院, 准教授 (60372463)
|
|---|
| 研究期間 (年度) |
2016-04-01 – 2019-03-31
|
| キーワード | オペレーティングシステム / 仮想化 / セキュリティ / クラウド |
|---|
| 研究実績の概要 |
今年度は前年度に引き続き、監視システムのセキュア・オフロード(課題(1))、リモート管理システムのセキュア・オフロード(課題(2))、仮想化システムの外側でのセキュアな仮想マシン(VM)特定(課題(3))に取り組んだ。
課題(1)については、開発した監視システムの詳細な性能を測定した。メモリ監視については、ハイパーバイザ呼び出しの高速化により従来より41%性能が向上した。ストレージ監視についても、二つの仮想ディスクによる二重の先読み効果により性能が20%向上した。一方、ネットワーク監視についてはネストのオーバヘッドのより10%程度の性能低下が見られた。一方、既存のIDSを動作させた場合、従来とほぼ同じ性能が実現できた。
課題(2)については、仮想化システムの外側でグラフィカルなリモート管理システムを実現した。このシステムはVMが入力命令を実行した際に、それを横取りして仮想キーボードや仮想マウスで処理を行う。VMが画面出力を行った際には、それを横取りして仮想ビデオカードで処理を行う。さらに、仮想化システムとしてXenだけでなくKVMにも部分的に対応し、テキストベースのリモート管理を行えるようにした。また、VMをマイグレーションした際でもテキストベースのリモート管理を継続できるようにした。
課題(3)については、VMの起動時に発行した識別子を用いてVMのセキュアな管理を実現できるようにした。VM管理は複雑なハイパーバイザ呼び出しを伴うため、識別子とVM管理を結びつけるためにハイパーバイザ呼び出しのオートマトンを利用した。ハイパーバイザ呼び出しがオートマトンに受理されない状態にならない限りは、識別子によって指定されたVMへの操作を許可する。また、VMのマイグレーション後にも同じ識別子を用いてVM管理を行えるようにした。
|
| 現在までの達成度 (区分) |
現在までの達成度 (区分)
1: 当初の計画以上に進展している
理由
課題(1)については、今年度に計画していたネットワーク監視は前倒しで前年度に実現できていたため、次年度に計画していた詳細な評価を行うことができた。さらに、その結果をセキュリティに関する著名な国際会議で発表することができた。
課題(2)については、計画通りにグラフィカルなリモート管理を仮想化システムの外側で実現することができた。仮想ビデオカードに関する実装は事前の予想通り困難であったが、仮想化インフラにほぼ依存しない形で実装することができた。一方、次年度に計画していたKVMを用いた仮想化システムへの対応を一部、前倒しで行うことができた。その結果、仮想割り込みに関する部分にXenとは異なる実装が必要であることが明らかになった。また、当初計画していなかったVMマイグレーションへの対応も行うことができた。
課題(3)については、計画を早めて前年度から取り組みを開始していたため、次年度に予定していたマイグレーションへの対応も完了することができた。一方、VMをセキュアに特定した後の管理について当初の計画では検討が不足していたことが判明した。そこでセキュアなVM管理についての検討を行い、ハイパーバイザ呼び出しのオートマトンを用いることで実現した。
|
| 今後の研究の推進方策 |
課題(1)については、KVMを用いた仮想化システムへの対応を行う。また、仮想化システム内のVMだけでなく、仮想化インフラの監視も行えるようにする。
課題(2)については、仮想化システムの外側で実現したリモート管理について詳細な性能評価を行う。また、KVMを用いた仮想化システムに対してもグラフィカルなリモート管理を実現する。仮想ビデオカードの実装は部分的に仮想化システムに依存するため、その部分について統一的に扱えないかを検討する。また、グラフィカルなリモート管理を行っている際にもVMをマイグレーションできるようにする。これらの結果について国際会議の論文執筆を行う。
課題(3)については、セキュアなVM管理についての詳細な性能評価を行う。VMの起動などの操作を行う際のオーバヘッドやネスト用インフラでディスクの暗号化・復号化を行うオーバヘッドなどを測定し、必要に応じて性能改善を行う。その結果について国際会議の論文執筆を行う。
|
