Active Security Support for Active Networks

Presentation on theme: "Active Security Support for Active Networks"— Presentation transcript:

1 Active Security Support for Active Networks
Authors: Zhaoyu Liu, Roy H. Campbell, and M. Dennis Mickunas Source: IEEE TRANSACTIONS ON SYSTEMS, MAN, AND CYBERNETICS—PART C: APPLICATIONS AND REVIEWS, vol. 33, no. 4, Nov. 2003, pp Presenter: Mei-Yu Lin (林美玉) Date: 2004/10/18

2 Outline Introduction Active network Node OS Security API Conclusion
Comment

3 摘要 本文章主要在說明如何設計及如何使用active networking 原理將安全節點結構整合進active network軟體系統。此結構可依據使用者需求動態增加安全策略。 可使active node滿足程式化的動態安全防護要求。

4 Traditional Network and Active Networks
網路節點總是被動的處理經過的封包。封包只攜帶data。當網路封包進入網路節點(路由器/交換機)後，網路中的節點(switch/router)只負責路由封包，依照路由表的資料將封包路由到目的端的網路上。

5 Traditional Network and Active Networks
在主動網路中，一組封包可以包含一組程式及資料，稱為膠囊封包(capsule)。網路節點提供一個可程式化的環境，可以載入封包中的程式，並依程式執行的結果或程式的控制選擇結果來處理封包內的資料，可快速的佈署協定和服務。

6 Active network software
由三個不同的部份組成 the active application(AA) the execution environment(EE) 在Node OS上執行，似user shell，能存取routing table及封包 the active node operation system(Node OS) 似傳統OS的核心，會分配及管理系統資源

7 安全節點結構 安全節點結構包括 是active network的核心 security API
Security Guardian-安全管理員 Quality Of Protection(QoP) 是active network的核心

8 圖1.安全節點結構

9 圖2.NodeOS security API design

10 Security Guardian-安全管理員
功能： 似傳統的reference monitor。但Security Guardian是主動的，需執行和評估AC的要求來開始安全設定動作。 目的： 支援AC的評估與執行。 所有對Node資源的存取需透過它。

11 Active Capability(AC)
定義： 是一種動態表示安全策略和機制的可執行碼 目的： 為了支援動態的安全策略，讓應用程式或安全策略管理者使用的一種可客製化指令。

12 Quality Of Protection(QoP)
可定義的屬性包含： key length 安全強度 認證及隱私的安全結構 地理位置 Trust values for developers/vendors of security implementations 使用AC來指定、控制和管理QoP

13 Default level 3 (64-bit DES session key)

14 圖3.實作範例

15 Conclusion 改善原本NodeOS API功能，提出詳盡的security support.
藉由security API of NodeOS提高安全性及高度客製化 快速佈署及解除區域性的防火牆

16 Comment 系統管理者或可信任的授權者需不斷的check網路上是否有惡意的攻擊以install ACs，是否會造成loading過重?