展望一个可信的软件定义网络生态系统陈焰美国西北大学 / 浙江大学. 简介 ( 陈焰 ) 2003 年获加州大学伯克利分校计算机科学博士学位，现为美国西北大学电子工程与计算机科学系终生副教授, 互联网安全技术实验室主任. 2011 年入选浙江省海鸥计划加盟浙大, 特聘教授。主要研究方向为网络及系统安全。

展望一个可信的软件定义网络生态系统陈焰美国西北大学 / 浙江大学

简介 ( 陈焰 ) 2003 年获加州大学伯克利分校计算机科学博士学位，现为美国西北大学电子工程与计算机科学系终生副教授, 互联网安全技术实验室主任. 2011 年入选浙江省海鸥计划加盟浙大, 特聘教授。主要研究方向为网络及系统安全。 2005 年获得美国能源部青年成就奖（ Early CAREER Award) 2007 年获得美国国防部青年学者奖（ Young Investigator Award) 2004 和 2005 年分别获得 Microsoft 可信计算奖（ Trustworthy Computing Awards ）。 2

简介 (cont’d) Google Scholar 显示，论文总引用超过 5000 次， H- index 指数为 29 有 1 项美国专利，另有 3 项美国专利和 2 项中国专利已申请曾获 SIGCOMM 2010 最佳论文候选，应邀直接在 ACM/IEEE ToN 上出版. 在 ACM/IEEE Transaction on Networking (ToN) 等顶级期刊和 SIGCOMM 、 IEEE Symposium on Security and Privacy （ Oakland ）等顶级会议上发表了 80 余篇论文 3

简介 (cont’d) 担任 IEEE IWQoS2007 、 SecureComm 2009 和 IEEE Globecom 2010 NGN 等国际会议的技术程序委员会主席担任 ACM CCS 2011 的总主席及 World Wide Web (WWW) 2012 的技术程序委员会副主席 ( 分管计算机安全和隐私领域 ) 多次受邀在美国自然科学基金委信息科学与工程处担任评委, 并多次受邀担任美国能源部 (DOE) 和美国空军科研部 SBIR 及 STTR 计划的评委研究项目获美国自然科学基金委多次资助，并与 Motorola, NEC, 华为等多家公司有项目合作并获资助。中国互联网企业安全工作组学术委员会成员。 4

主要研究领域 Smart Phone and Embedded System Security （智能终端安全） Web Security and Online Social Networks Security (Web 及在线社交网络安全） Software Defined Networking and Next Generation Internet Security ( 软件定义网络和下一代互联网技术安全 ) Next Generation Network Intrusion Detection, Protection and Forensics System ( 下一代入侵检测，防御及取证系统） 5

目录 SDN 和 OpenFlow 的背景介绍威胁模型设计与挑战 – 权限集设计 – 隔离机制实现与测评

软件定义网络的不同之处软件定义网络 – 完全可编程的转发行为 – 解耦控制层和数据层

软件定义网络的架构支持软件定义网络的交换机 – 可编程的数据层软件定义网络的应用 – 提供多样化的控制层功能控制器或网络操作系统 – 介于应用和交换机之间 11

开放网络协议 OpenFlow 是控制器和 SDN 交换机之间的通信协议 Switch Controller OpenFlow Protocol Switch

从安全的角度来看更加脆弱的表层 – 第三方应用 – 控制器 – OpenFlow 协议比较脆弱的表层 – 交换机目标

我们的焦点 : 针对控制层的攻击 SDN 应用传统的控制软件来源第三方应用供应商开发的模块接口开源的 API 私有的编程接口能力控制所有交换机上的流表有限地控制一个交换机上的转发表

根源 : 过度地授予应用权限假设顶级的控制器完全信任应用 ! 不区分应用的功能暴露所有的特权给应用不做安全性检查

威胁模型渗透现有的良性但存在 bug 的应用 – 传统的缓冲区溢出攻击 – 访问管理中的漏洞 – 主动的网络攻击攻击者部署恶意应用 – 从根本上挑战一个应用的可信度

从应用发动的攻击攻击类型 1: 从控制层到数据层的直接攻击 18

从应用发动的攻击攻击类型 2: 泄露敏感的配置信息 19

从应用发动的攻击攻击类型 3: 操纵 OpenFlow 规则 20

从应用发动的攻击攻击类型 4: 攻击其他应用 21

不可信的第三方代码类似于其他开放平台 – 移动操作系统 : 谷歌的 Android, 苹果的 iOS – 浏览器扩展 : Chrome Extension – 社交网络应用 : Facebook 应用常见的解决方案框架 – 权限控制 + 运行沙盒我们采用类似的原则，但是。。。

SDN 带来的独特挑战不用资产的保护 – 网络资产大多是共享的设备配置不完整的访问控制 – 控制器无法控制应用与操作系统的交互不同活动模式的应用 – 例如少量与用户的交互、对延迟的高要求、定期地访问资源因此，需要独特的权限集和隔离机制的设计

怎样生成权限集我们应用一个系统的过程来生成权限集

权限集

权限限定

隔离架构相关技术 – 沙盒组件 – 应用线程 App threads – 控制器内核 – Shim 层 ( 沙盒 ) 通信 – 应用 / 控制器 – 应用 / 操作系统

目录 SDN 和 OpenFlow 的背景介绍威胁模型设计与挑战 – 权限集设计 – 隔离机制实现与测评 – 在一个最流行的开源控制器平台 Floodlight 上实现 – 初步结果显示其有效地防御了上述攻击，并且额外开销可以忽略不计

原型系统实验结果延迟开销在为 1μs~100μs 量级，比通常数据中心网络延迟小两个数量级延迟开销随 app 复杂度线性增长，可扩展性较好吞吐率开销有限，单线程 app 吞吐率降低 30%~40% ，但容易通过多核或多机并行弥补

结论 SDN 和 Openflow 为大量的网络应用程序提供了机会目前对 SDN 网络在不同层面的安全性缺少关注：应用, 控制器和网络操作系统作为第一步，我们的设计将保障 Openflow 控制器不受过度授权的应用的损害

为应用授予最小权限潜在的技术 – 基于特定域应用编程语言 – 在线权限检查优点 – 在客户端实现低消耗 – 提供灵活的安全保障缺点 – 需要修改客户的控制器 – 只针对过度授权攻击有效

主要隔离潜在技术 – 运行沙盒 – 进程隔离优点 – 启用全面的访问控制 – 简历控制器和应用的边界缺点 – 增加异步执行的消耗

目录 SDN 和 OpenFlow 的背景介绍威胁模型设计与挑战 Design – 权限集设计 – 隔离机制实现与测评

权限描述语言语法例子

权限描述语言组件 – 权限 – 权限限定权限权限限定

设计问题一什么是最有效的权限集 ? – 可表达的 – 低开销 – 易于理解以上三个目标存在内在的冲突我们的亮点 – 满足安全目标和应用功能需求的最小权限集

权限集生成我们遵循一个系统的过程来生成权限集

权限集

权限限定

例子为流量监控应用写一个权限集 – 访问拓扑结构和流量计数器 – 通过基于 Web 的管理平台例子 :

隔离需求权限集意味着几个隔离需求 – 独立的流量控制 – 隔离数据的访问 – 全面的访问控制 – 控制器优于应用这些需求与沙盒技术的功能相对应

目录 SDN 和 OpenFlow 的背景介绍威胁模型设计与挑战 Design – 权限集设计 – 隔离机制实现与测评

实现我们扩展 Floodlight 实现了一个原型机， ~4000 行代码对应用代码实现零修改沙盒 – 以 Java VM 为沙盒 – 以 Java 线程作为应用容器 – 用 Java 安全管理器来截取系统调用

实现总览

通讯模式事件监听器 API 调用到控制器内核服务调用到 Java 虚拟机

事件监听器

API 调用到控制器内核

服务调用到 Java 虚拟机

开销评估两个因素的开销 – 同步 – 权限检查我们评估了总体的延迟和吞吐量方面的开销更多的评估实验正在进行中

延迟 & 吞吐量

相关工作 FlowVisor – 基于前缀的网络分片 – 只针对跨层攻击有效 FortNOX 和 FRESCO – 检测新规则与安全约束的冲突 – 只覆盖部分攻击 – 不支持对单个应用的配置 VeriFlow – 高效的低层次网络不变认证 – 只覆盖主动攻击

解决方案空间的范围在深入研究我们的方案之前, 我对比了几个高层次的候选方案 – 服务器端分析 – 应用最小权限集 – 主要隔离 – 异常活动检测

服务器端分析潜在技术 – 完整性检查 – 程序分析优点 – 客户端无额外开销缺点 – 安全性保障较低 – 需要集中应用的分布

异常活动检测潜在技术 – 在线恶意行为检测 – 离线取证分析优点 – 可能具有高检测率 ( 低错误率 ) 缺点 – 高开销 – 需要输入活动日志

Similar presentations

Similar presentations

About project

反馈

请登录

Auth with social network:

Similar presentations

Similar presentations

About project

反馈