• KSII Transactions on Internet and Information Systems (TIIS)
• /
• 제10권12호
• /
• pp.5375-5400
• /
• 2016

IOMMU is a hardware unit that is indispensable for DMA. Besides address translation and remapping, it also provides I/O virtual address space isolation among devices and memory access control on DMA transactions. However, currently commodity virtualization platforms lack of IOMMU virtualization, so that the virtual machines are vulnerable to DMA security threats. Previous works focus only on DMA security problem of directly assigned devices. Moreover, these solutions either introduce significant overhead or require modifications on the guest OS to optimize performance, and none can achieve high I/O efficiency and good compatibility with the guest OS simultaneously, which are both necessary for production environments. However, for simulated virtual devices the DMA security problem also exists, and previous works cannot solve this problem. The reason behind that is IOMMU circuits on the host do not work for this kind of devices as DMA operations of which are simulated by memory copy of CPU. Motivated by the above observations, we propose an IOMMU para-virtualization solution called PVIOMMU, which provides general functionalities especially DMA security guarantees for both directly assigned devices and simulated devices. The prototype of PVIOMMU is implemented in Qemu/KVM based on the virtio framework and can be dynamically loaded into guest kernel as a module, As a result, modifying and rebuilding guest kernel are not required. In addition, the device model of Qemu is revised to implement DMA access control by separating the device simulator from the address space of the guest virtual machine. Experimental evaluations on three kinds of network devices including Intel I210 (1Gbps), simulated E1000 (1Gbps) and IB ConnectX-3 (40Gbps) show that, PVIOMMU introduces little overhead on DMA transactions, and in general the network I/O performance is close to that in the native KVM implementation without IOMMU virtualization.

• 정보처리학회논문지:소프트웨어 및 데이터공학
• /
• 제2권2호
• /
• pp.113-118
• /
• 2013

현재 개발된 GPU 가상화 기술은 모두 미세한 시분할 기법에 의한 스케줄링을 사용하기 때문에 어플리케이션 실행을 위한 오버헤드를 필요 이상으로 유발한다. 또한 이들은 가상 머신 모니터에 GPU 컴퓨팅 API를 포함하고 있어서, 가상 머신 모니터의 이식성이 약하다. 본 논문에서는 이질적 컴퓨팅 시스템에서 바이오 어플리케이션에 최적화된 GPU 가상화 기술을 제안하며, 공개 소스 Xen을 사용하여 개발하였다. 우리가 제안하는 방법은 가상 머신 간의 GPU 공유를 시분할에 의존하지 않는다. 대신에 하나의 가상 머신이 GPU를 할당 받으면 그 가상 머신이 어플리케이션을 종료할 때까지 GPU를 사용하도록 허용한다. 이렇게 하여 바이오 어플리케이션의 성능을 향상시키고 GPU의 활용률을 높인다. GPU 가상화의 이식성을 높이기 위해 하드웨어가 지원하는 IOMMU 가상화를 이용하여 GPU에 대한 직접 접근 통로를 제공한다. 미생물 유전체 분석 어플리케이션을 대상으로 성능을 분석한 결과, 본 연구에서 제안하는 직접 통로 방식에 의한 GPU 가상화는 Domain0를 통한 접근에 비해 오버헤드가 적었다. 또한 직접 접근 방식에 의한 가상 머신의 GPU 접근은, 비가상화된 머신과 거의 성능의 차이가 없었다.

• 한국정보처리학회:학술대회논문집
• /
• 한국정보처리학회 2013년도 추계학술발표대회
• /
• pp.853-856
• /
• 2013

최근 클라우드 서비스가 발전함에 따라 향상된 자원 활용과 소프트웨어 이식성을 증가시키기 위한 하드웨어 가상화 기술 또한 성장하고 있다. 가상화의 특성상 이를 구동하고 관리하는 시스템 관리자가 메모리, 하드디스크 드라이브와 같은 컴퓨팅 리소스에 접근할 수 있다. 관리자에 의한 Cold-boot Attack이나 내부 명령어를 통해서 메모리 상의 데이터가 유출될 수 있으므로 개인정보와 기밀문서와 같은 민감한 데이터의 노출 위험이 발생한다. C. Li 등은 Guest OS의 가상 메모리 기본 단위인 페이지를 암호화하여 관리자에게 메모리 상의 데이터가 노출되지 않도록 막는 기법을 제안하였다. 하지만 페이지 암호화에 사용되는 키를 하이퍼바이저상에서 구하는 과정에서 키가 노출된다는 문제점이 발생한다. 본 논문에서는 내부자 공격에 안전한 가상 머신 프레임워크를 제안한다. IOMMU(Input/Output Memory Management Unit)를 사용하여 직접 하드웨어 디바이스에 접근 가능한 Guest OS를 생성하고 TPM(Trusted Platform Module) 가상화를 사용하여 시스템 관리자가 알 수 없도록 암호 키를 생성/관리한다. 하이퍼바이저는 이 암호 키를 사용하여 Guest OS의 페이지를 암호화한다. 이를 통해 관리자에게 키를 노출하지 않고 Guest OS 메모리 상의 데이터를 보호할 수 있다.