서지주요정보
Privilege separation of applications using protection rings on x86 = x86 보호 링을 이용한 어플리케이션 권한 분리 기법
서명 / 저자 Privilege separation of applications using protection rings on x86 = x86 보호 링을 이용한 어플리케이션 권한 분리 기법 / Chihyun Song.
저자명 Song, Chihyun ; 송치현
발행사항 [대전 : 한국과학기술원, 2019].
Online Access 원문보기 원문인쇄

소장정보

등록번호

8033878

소장위치/청구기호

학술문화관(도서관)2층 패컬티라운지(학위논문)

MIS 19002

SMS전송 소장위치

도서상태

이용가능

대출가능

반납예정일

초록정보

Modern applications lack the ability to separate sensitive information (e.g. private keys) from unimportant data (e.g. welcome messages) in different memory spaces, making it easy for attackers to steal sensitive data via memory disclosure attacks. A recent study has devised an isolated execution environment to support a privileged layer between user and kernel using protection rings: a privuser mode. However, the mode is in 32-bit, which leads to a degradation in performance. This paper presents privuser64, an additional execution mode between user and kernel that is fast and portable, but in 64bit. Kernel Page Table Isolation (KPTI) is employed to prevent the layer from accessing the kernel. The framework was faster up to 57% than the previous work, 32-bit privuser. In addition, to show the feasibility of this work, it has been applied to the widely used web server Nginx with the cryptographic library LibreSSL to secure private keys, and it showed near 0% of overhead as the response header size of HTTP grew larger.

현대의 어플리케이션은 개인키와 같이 중요한 정보를 다른 중요하지 않은 정보들과 분리된 공간에 저장하는 것이 불가능하고, 이로 인해 공격자는 정보 누출 공격을 통하여 중요한 데이터를 훔치는 것이 가능하다. 최근 보호 링을 이용하여 유저 모드와 커널 모드 외의 추가적인 보호유저 모드를 구현하는 연구가 진행되었다. 이 모드는 유저 모드보다 권한이 높아 유저 모드로부터 메모리 공간이 독립되어 있지만, 32비트에서 동작하므로 성능의 감소가 필연적이다. 이 논문은 보다 빠르고 이식성이 좋은 64비트의 보호유저 모드, 즉 보호유저64 모드를 새로이 제시한다. 커널 페이지 테이블 분리 기법을 이용하여 보호유저64 모드가 커널에 접근하지 못하도록 하였다. 이 프레임워크는 이전 연구의 32비트 보호유저 모드보다 최대 57%까지 성능을 향상시킬 수 있었다. 추가적으로, 이 연구의 실현 가능성을 보이기 위하여 널리 사용되는 Nginx 웹 서버 및 LibreSSL 암호 라이브러리에 보호유저64 모드를 적용시키어 개인키를 보호하였고, HTTP 헤더 사이즈가 증가함에 따라 오버헤드가 0%에 수렴하는 것을 확인할 수 있었다.

서지기타정보

서지기타정보
청구기호 {MIS 19002
형태사항 iv, 24 p. : 삽도 ; 30 cm
언어 영어
일반주기 저자명의 한글표기 : 송치현
지도교수의 영문표기 : Brent Byunghoon Kang
지도교수의 한글표기 : 강병훈
학위논문 학위논문(석사) - 한국과학기술원 : 정보보호대학원,
서지주기 References : p. 23-24
주제 privilege separation
memory protection
isolated execution environment
protection rings
kernel page table isolation
권한 분리
메모리 보호 기법
독립 실행 환경
보호 링
커널 페이지 테이블 분리 기법
QR CODE qr code