抄録/ポイント:
抄録/ポイント
文献の概要を数百字程度の日本語でまとめたものです。
部分表示の続きは、JDreamⅢ(有料)でご覧頂けます。
J-GLOBALでは書誌(タイトル、著者名等)登載から半年以上経過後に表示されますが、医療系文献の場合はMyJ-GLOBALでのログインが必要です。
オペレーティングシステムカーネルへの攻撃として,カーネル脆弱性を利用したメモリ破壊によるカーネルデータの改ざんが知られている.メモリ破壊により,特権昇格攻撃やセキュリティ機能の無効化が可能とされている.カーネルへの攻撃困難化として,KCoFIによるカーネルコードの実行順序の検査,KASLRによるカーネルコード,およびカーネルデータの仮想アドレス配置のランダム化がある.しかし,これらのセキュリティ機構では,カーネルデータへの書込みは禁止されない.カーネル脆弱性の利用に成功した場合,カーネルデータは依然として改ざん可能であり,特権昇格やセキュリティ機能が無効化される可能性は存在する.我々はカーネルにおいて特定のカーネルデータを保護するセキュリティ機構を提案しており,Memory Protection Key(MPK)を利用し,カーネルデータへの書込み制限制御を可能としている.本稿では,先に提案したセキュリティ機構によるユーザプロセスの権限情報の保護機能の整理,ならびに,提案しているセキュリティ機構の拡張性を検討し,書き込み制限対象領域の細粒度化と負荷低減のための機能について考察を進めた.提案方式は,MPKを利用可能なエミュレータ上のLinuxにて実現しており,権限情報保護機能の性能評価として,システムコール呼出しに対して2.96%から9.01%のオーバヘッドであること,ならびにMPK操作にかかる性能負荷を計測した.(著者抄録)