|
今年度は昨年度に引き続き、Intel SGXの保護領域を用いた仮想マシン(VM)の安全な監視(課題(1))、および、SGX保護領域での高度な侵入検知システム(IDS)の実行(課題(2))、複数のSGX保護領域を用いた監視機能の分割(課題(3))に取り組んだ。
課題(1)については、これまでの成果をまとめて論文を執筆し、クラウドに関する国際会議で発表を行った。
課題(2)については、SGX保護領域内で既存のIDSを実行可能なシステムを開発するために、昨年度からSCONEと呼ばれるライブラリOSを用い始めたが、IDSが複数のプロセスを実行する際のオーバヘッドが大きいことが判明した。そこで、今年度はOcclumと呼ばれるライブラリOSを用いてSGX保護領域内で既存のIDSを実行するシステムも並行して開発した。Occlumは複数プロセスの実行を軽量に行うことを可能にする機能を提供しているため、開発したシステムで動作するIDSのオーバヘッドを大幅に削減することができた。SCONEとOcclumを用いたシステムについて機能および性能の評価を行い、それぞれのトレードオフを明らかにした。そして、ここまでの成果をまとめて国際会議論文の執筆を行った。
課題(3)については、昨年度に引き続き、IDSをSGX保護領域とシステム管理モード(SMM)に分割してより安全に実行可能にするシステムの開発を行った。昨年度は、SGX保護領域からSMMで動作するプログラム経由で簡単なOS情報しか取得することができていなかったが、今年度はより複雑なOS情報を取得できるように改良した。そのために、課題(1)で開発したSGX保護領域で動作するIDSのプログラムを自動変換するツールをSMMに対応させた。
|
