| 研究課題/領域番号 |
19K11902
|
|---|
| 研究機関 | 九州工業大学 |
|---|
研究代表者 |
光来 健一 九州工業大学, 大学院情報工学研究院, 教授 (60372463)
|
|---|
| 研究期間 (年度) |
2019-04-01 – 2022-03-31
|
| キーワード | 仮想マシン / 保護領域 / 侵入検知 / 監視 / クラウド |
|---|
| 研究実績の概要 |
今年度は、Intel SGXの保護領域を用いた仮想マシン(VM)の安全な監視(課題(1))と、SGX保護領域での高度な侵入検知システム(IDS)の実行(課題(2))に取り組んだ。
課題(1)については、オフロードしたIDSをSGX保護領域で動作させられるようにするために、SGX保護領域からVMのメモリを監視する機構を開発した。IDSがVM内のOSデータにアクセスする時には保護領域外のプログラムを呼び出し、そこからハイパーバイザを呼び出すことで要求されたVMのメモリデータを取得する。この処理をIDSの開発者から隠蔽するためのツールを開発し、IDSをOSのカーネルモジュールのように記述できるようにした。
IDSが安全にVMのメモリを監視できるようにするために、IDSとハイパーバイザの間のやり取りを暗号化し、整合性を検査する機構を開発した。IDSが保護領域外のプログラムを実行する際には要求する仮想アドレスを暗号化し、ハッシュ値を付加する。要求を受け取ったハイパーバイザはハッシュ値を検証して、改ざんされていなければ仮想アドレスを復号してVMのメモリデータを取得する。同様に、ハイパーバイザは取得したメモリデータを暗号化してハッシュ値を付加し、IDSはハッシュ値を検証してからメモリデータを復号する。
課題(2)については、SGX保護領域内で既存の高度なIDSを実行させられるようにするために、ライブラリOSを用いてIDSが透過的にVM内のOS情報を取得できるようにした。既存のIDSはprocファイルシステムを用いてOS情報を取得することが多いため、VM内のOS情報を返せるようにGraphene-SGXのprocファイルシステムを改造した。しかし、調査の結果、Graphene-SGXでは既存のIDSを動かすのが容易ではないことが分かった。
|
| 現在までの達成度 (区分) |
現在までの達成度 (区分)
1: 当初の計画以上に進展している
理由
課題(2)についてはライブラリOSの調査を行うことを予定していたが、実際にGraphene-SGXを用いてVM内のOS情報を返すシステムの開発に着手することができた。
|
| 今後の研究の推進方策 |
課題(1)については、SGX保護領域からVMのストレージを監視できるようにする。安全に監視を行えるようにするために、SGX保護領域内で動作するファイルシステムを開発する。
課題(2)については、Graphene-SGXでは既存のIDSを動かすのが容易ではないことが分かったため、他のライブラリOSについての調査を行う。現在のところの候補は、SCONEやSGX-LKLなどである。そして、選定したライブラリOSに今年度、開発したprocファイルシステムを移植し、既存のIDSを動かせるようにする。
複数のSGX保護領域を用いた監視機能の分割(課題(3))についての取り込みも開始する。まず、オフロードしたIDSをどのようにVMの内部と外部に分割するのが最適かを検討し、システムの設計を行う。
|
