Anton Burtsev, Vikram Narayanan, Youngzhe Huang, Kaiming Huang, Gang Tan, Trent Jaeger HotOS '23: 19th Workshop on Hot Topics in Operating Systems
개요
Driver isolation을 구현할때 고려해야 하는 점과, 잠정적으로 가능한 새로운 디자인을 제시하였다.
Attack across isolation boundaries
- Spatial memory bug: Out-of-bound 메모리 접근을 막아야 한다.
- Temporal memory bug: Use-after-free와 double-free를 막아야 한다.
- Function pointers: Semantic에 해당하는 Function pointer만들 사용하도록 하여야 한다.
- Dential of service: DoS공격을 막아야 한다.
- Syncrhonization and consistency: Deadlock과 같은 공격을 막아야 한다.
- Protocol violation: 함수의 실행 순서처럼, 정해진 프로토콜을 따르도록 해야 한다.
즉, 아무리 복잡한 Device driver isolation기법도 위에 제시된 모든 Isolation을 성공적으로 수행하는 기법은 아직 연구된적 없다.
Towards secure boundaries
두개의 Protection domain (kerne, 그리고 Device driver)사이의 Isolation of heap과 Single ownership모델을 적용하면 된다. 또한 여기에 Fault isolation도 더하면 된다. Fault isolation은 크게 3개를 해결해야 한다.
- Heap isolation
- Single ownership
- Linearity