[VEE 2008] Improving Xen Security through Disaggregation

Xen hypervisor에서 TCB를 줄이기 위해 dom0에서 privilege operation들을 domain builder라는 isolated domain으로 따로 분리해 낸 방법을 제안.

 

이 페이퍼의 contribution은 크게 2가지이다.

 

1. 우선 domain builder 라는 domain을 통해 dom0를 TCB에서 제거함으로써 TCB를 줄였다.

2. TCB의 trustworthness를 평가하는데 있어 code line을 가장 중요시 했던 기존의 approach와는 달리, 코드 수는 많더라도 state space size라고 해서 privilege operation을 TCB에 두는 대신 untrusted code와의 interface가 있어야 하는데 이 코드의 양도 같이 고려해 줘야한다고 주장했다.

 

Evaluation에서는 TCB크기에 따라 3가지를 비교하였다.

1. Existing (Xen+dom0 kernel+dom0 userspace)

2. Disaggregated (Xen+domain builder+dom0 kernel)

3. Ideal (Xen+domain builder)

 

음.. 대충 적은것 같은데 자세한건 다음에 추가로 정리해야겠다.