展望一个可信的软件定义网络 生态系统 陈焰 美国西北大学 / 浙江大学
简介 ( 陈焰 ) 2003 年获加州大学伯克利分校计算机科学博士学位, 现为美国西北大学电子工程与计算机科学系终生副 教授, 互联网安全技术实验室主任 年入选浙江 省海鸥计划加盟浙大, 特聘教授。 主要研究方向为网络及系统安全。 2005 年获得美国能源部青年成就奖( Early CAREER Award) 2007 年获得美国国防部青年学者奖( Young Investigator Award) 2004 和 2005 年分别获得 Microsoft 可信计算奖 ( Trustworthy Computing Awards )。 2
简介 (cont’d) Google Scholar 显示,论文总引用超过 5000 次, H- index 指数为 29 有 1 项美国专利,另有 3 项美国专利和 2 项中国专 利已申请 曾获 SIGCOMM 2010 最佳论文候选,应邀直接在 ACM/IEEE ToN 上出版. 在 ACM/IEEE Transaction on Networking (ToN) 等顶 级期刊和 SIGCOMM 、 IEEE Symposium on Security and Privacy ( Oakland )等顶级会议上发表了 80 余篇论文 3
简介 (cont’d) 担任 IEEE IWQoS2007 、 SecureComm 2009 和 IEEE Globecom 2010 NGN 等国际会议的技术程序委员会主 席 担任 ACM CCS 2011 的总主席及 World Wide Web (WWW) 2012 的技术程序委员会副主席 ( 分管计算机 安全和隐私领域 ) 多次受邀在美国自然科学基金委信息科学与工程处 担任评委, 并多次受邀担任美国能源部 (DOE) 和美国 空军科研部 SBIR 及 STTR 计划的评委 研究项目获美国自然科学基金委多次资助, 并与 Motorola, NEC, 华为等多家公司有项目合作并获资助。 中国互联网企业安全工作组学术委员会成员。 4
主要研究领域 Smart Phone and Embedded System Security (智能终端安全) Web Security and Online Social Networks Security (Web 及在线社交网络安全) Software Defined Networking and Next Generation Internet Security ( 软件定义网络和 下一代互联网技术安全 ) Next Generation Network Intrusion Detection, Protection and Forensics System ( 下一代入侵检测, 防御及取证系统) 5
目录 SDN 和 OpenFlow 的背景介绍 威胁模型 设计与挑战 – 权限集设计 – 隔离机制 实现与测评
软件定义网络的不同之处 软件定义网络 – 完全可编程的转发行为 – 解耦控制层和数据层
软件定义网络的架构 支持软件定义网络的交 换机 – 可编程的数据层 软件定义网络的应用 – 提供多样化的控制层功能 控制器或网络操作系统 – 介于应用和交换机之间 11
开放网络协议 OpenFlow 是控制器和 SDN 交换机之间的通信 协议 Switch Controller OpenFlow Protocol Switch
目录 SDN 和 OpenFlow 的背景介绍 威胁模型 设计与挑战 – 权限集设计 – 隔离机制 实现与测评
从安全的角度来看 更加脆弱的表层 – 第三方应用 – 控制器 – OpenFlow 协议 比较脆弱的表层 – 交换机 目标
我们的焦点 : 针对控制层的攻击 SDN 应用传统的控制软件 来源第三方应用供应商开发的模块 接口开源的 API 私有的编程接口 能力控制所有交换机上的 流表 有限地控制一个交换机上 的转发表
根源 : 过度地授予应用权限 假设顶级的控制器完全信任应用 ! 不区分应用的功能 暴露所有的特权给应用 不做安全性检查
威胁模型 渗透现有的良性但存在 bug 的应用 – 传统的缓冲区溢出攻击 – 访问管理中的漏洞 – 主动的网络攻击 攻击者部署恶意应用 – 从根本上挑战一个应用的可信度
从应用发动的攻击 攻击类型 1: 从控制层到数据层的直接攻击 18
从应用发动的攻击 攻击类型 2: 泄露敏感的配置信息 19
从应用发动的攻击 攻击类型 3: 操纵 OpenFlow 规则 20
从应用发动的攻击 攻击类型 4: 攻击其他应用 21
目录 SDN 和 OpenFlow 的背景介绍 威胁模型 设计与挑战 – 权限集设计 – 隔离机制 实现与测评
不可信的第三方代码 类似于其他开放平台 – 移动操作系统 : 谷歌的 Android, 苹果的 iOS – 浏览器扩展 : Chrome Extension – 社交网络应用 : Facebook 应用 常见的解决方案框架 – 权限控制 + 运行沙盒 我们采用 类似的原则,但是。。。
SDN 带来的独特挑战 不用 资产 的保护 – 网络资产大多是共享的设备配置 不完整 的访问控制 – 控制器无法控制应用与操作系统的交互 不同 活动模式 的应用 – 例如少量与用户的交互、对延迟的高要求、定期地 访问资源 因此,需要独特的权限集和隔离机制的设计
怎样生成权限集 我们应用一个系统的过程来生成权限集
权限集
权限限定
隔离架构 相关技术 – 沙盒 组件 – 应用线程 App threads – 控制器内核 – Shim 层 ( 沙盒 ) 通信 – 应用 / 控制器 – 应用 / 操作系统
目录 SDN 和 OpenFlow 的背景介绍 威胁模型 设计与挑战 – 权限集设计 – 隔离机制 实现与测评 – 在一个最流行的开源控制器平台 Floodlight 上实现 – 初步结果显示其有效地防御了上述攻击,并且额 外开销可以忽略不计
原型系统实验结果 延迟开销在为 1μs~100μs 量级,比通常数据中心 网络延迟小两个数量级 延迟开销随 app 复杂度线性增长,可扩展性较好 吞吐率开销有限,单线程 app 吞吐率降低 30%~40% ,但容易通过多核或多机并行弥补
结论 SDN 和 Openflow 为大量的网络应用程序提供 了机会 目前对 SDN 网络在不同层面的安全性缺少关 注:应用, 控制器和网络操作系统 作为第一步,我们的设计将保障 Openflow 控制器不受过度授权的应用的损害
为应用授予最小权限 潜在的技术 – 基于特定域应用编程语言 – 在线权限检查 优点 – 在客户端实现低消耗 – 提供灵活的安全保障 缺点 – 需要修改客户的控制器 – 只针对过度授权攻击有效
主要隔离 潜在技术 – 运行沙盒 – 进程隔离 优点 – 启用全面的访问控制 – 简历控制器和应用的边界 缺点 – 增加异步执行的消耗
目录 SDN 和 OpenFlow 的背景介绍 威胁模型 设计与挑战 Design – 权限集设计 – 隔离机制 实现与测评
权限描述语言 语法 例子
权限描述语言 组件 – 权限 – 权限限定 权限 权限限定
设计问题一 什么是最有效的权限集 ? – 可表达的 – 低开销 – 易于理解 以上三个目标存在内在的冲突 我们的亮点 – 满足安全目标和应用功能需求的最小权限集
权限集生成 我们遵循一个系统的过程来生成权限集
权限集
权限限定
例子 为流量监控应用写一个权限集 – 访问拓扑结构和流量计数器 – 通过基于 Web 的管理平台 例子 :
隔离需求 权限集意味着几个隔离需求 – 独立的流量控制 – 隔离数据的访问 – 全面的访问控制 – 控制器优于应用 这些需求与沙盒技术的功能相对应
目录 SDN 和 OpenFlow 的背景介绍 威胁模型 设计与挑战 Design – 权限集设计 – 隔离机制 实现与测评
实现 我们扩展 Floodlight 实现了一个原型机, ~4000 行代码 对应用代码实现零修改 沙盒 – 以 Java VM 为沙盒 – 以 Java 线程作为应用容器 – 用 Java 安全管理器来截取系统调用
实现总览
通讯模式 事件监听器 API 调用到控制器内核 服务调用到 Java 虚拟机
事件监听器
API 调用到控制器内核
服务调用到 Java 虚拟机
开销评估 两个因素的开销 – 同步 – 权限检查 我们评估了总体的延迟和吞吐量方面的开 销 更多的评估实验正在进行中
延迟 & 吞吐量
相关工作 FlowVisor – 基于前缀的网络分片 – 只针对跨层攻击有效 FortNOX 和 FRESCO – 检测新规则与安全约束的冲突 – 只覆盖部分攻击 – 不支持对单个应用的配置 VeriFlow – 高效的低层次网络不变认证 – 只覆盖主动攻击
解决方案空间的范围 在深入研究我们的方案之前, 我对比了几个高层次 的候选方案 – 服务器端分析 – 应用最小权限集 – 主要隔离 – 异常活动检测
服务器端分析 潜在技术 – 完整性检查 – 程序分析 优点 – 客户端无额外开销 缺点 – 安全性保障较低 – 需要集中应用的分布
异常活动检测 潜在技术 – 在线恶意行为检测 – 离线取证分析 优点 – 可能具有高检测率 ( 低错误率 ) 缺点 – 高开销 – 需要输入活动日志