SecureCells: A Secure Compartmentalized Architecture: 두 판 사이의 차이

개요

SecureCell은 Protection domain에 관련된 연구로, 하드웨어-소프트웨어 Co-desig을 통한 Per-Virtual Memory Area Permissions을 가능하게 하여, 효율적인 User space process isolation이 가능하게 한 논문이다.

Motivation & Importance

Protection domain은 다음 3개의 Trade-off가 있다.

Security, Flexibility, and Performance

이 3개의 토끼를 한번에 잡을 수 있는 디자인을 만들어 내는 것이 이 논문의 Motivation이다.

Main Idea

본 논문은 다음과 같은 목표를 가지고 있다.

• Security objectives
  • Access control: 접근 가능한 영역 분리
  • Validity checks: Protection domain변경에 대한 권한 확인
  • Context isolation: Protection domain사이의 Context (즉 RIP, STACK과 같은 실행 유닛)분리
  • Write safety: Read-only만 있는 경우 Write할 수 없어야 함
  • Temporary exclusive access: 동시에 접근하는 경우 Atomic해야 함
  • Auditability: 접근 가능한 며모리 영역일 경우 접근할 수 있도록 해야 함
• Performance objectives
  • Single-cycle access verification: 명령어 하나로 Context를 Switching해야 함
  • CXross-compartment calls: Cross domain call을 지원하여 Optimization된 성능을 제공해야 함
  • Fast, zero-copy permission transfer: Copying없이 빠르게 Permission을 변경할 수 있어야 함
• Flexibility
  • Arbitrary sharing of data regions: 자유로운 Access permission설정이 가능해야 함
  • Security proportionality: 특정 조건에서는, 혹은 Protection이 필요없는 도메인 사이에서는, 오버헤드를 아예 없애기 위해서 Verification을 사용하는 방식등을 통해서 아예 Overhead를 없앨 수 있으면 좋음

이를 위해서 다음과 같은 디자인을 제시하였다.

1. TCB-maintained VMA scale access control
2. Unprivileged instructions implementing securely-bounded compartmentalization primitives
3. Software implementing call gates, call stacks, and context isolation

Design

Conclusion

SecureCells는 하드웨어–소프트웨어 공동 설계(Hardware–Software Co-design)를 통해 Security, Performance, Flexibility라는 세 가지 Protection domain challenge를 해결하였다. 이 세 가지 특성 간의 트레이드오프는 매우 중요한 주제로, 후속 논문을 작성할 때 참고할 만한 가치가 있다. 그러나 SecureCells는 특정 Customized 하드웨어와 Special instruction에 의존한다는 점에서 중대한 한계점을 가진다. 따라서 이러한 의존성을 해소할 수 있는 새로운 접근 방안이나 대안적 설계가 제안된다면 의미 있는 발전이 될 것이다.