Download presentation
Presentation is loading. Please wait.
1
Active Security Support for Active Networks
Authors: Zhaoyu Liu, Roy H. Campbell, and M. Dennis Mickunas Source: IEEE TRANSACTIONS ON SYSTEMS, MAN, AND CYBERNETICS—PART C: APPLICATIONS AND REVIEWS, vol. 33, no. 4, Nov. 2003, pp Presenter: Mei-Yu Lin (林美玉) Date: 2004/10/18
2
Outline Introduction Active network Node OS Security API Conclusion
Comment
3
摘要 本文章主要在說明如何設計及如何使用active networking 原理將安全節點結構整合進active network軟體系統。此結構可依據使用者需求動態增加安全策略。 可使active node滿足程式化的動態安全防護要求。
4
Traditional Network and Active Networks
網路節點總是被動的處理經過的封包。封包只攜帶data。當網路封包進入網路節點(路由器/交換機)後,網路中的節點(switch/router)只負責路由封包,依照路由表的資料將封包路由到目的端的網路上。
5
Traditional Network and Active Networks
在主動網路中,一組封包可以包含一組程式及資料,稱為膠囊封包(capsule)。網路節點提供一個可程式化的環境,可以載入封包中的程式,並依程式執行的結果或程式的控制選擇結果來處理封包內的資料,可快速的佈署協定和服務。
6
Active network software
由三個不同的部份組成 the active application(AA) the execution environment(EE) 在Node OS上執行,似user shell,能存取routing table及封包 the active node operation system(Node OS) 似傳統OS的核心,會分配及管理系統資源
7
安全節點結構 安全節點結構包括 是active network的核心 security API
Security Guardian-安全管理員 Quality Of Protection(QoP) 是active network的核心
8
圖1.安全節點結構
9
圖2.NodeOS security API design
10
Security Guardian-安全管理員
功能: 似傳統的reference monitor。但Security Guardian是主動的,需執行和評估AC的要求來開始安全設定動作。 目的: 支援AC的評估與執行。 所有對Node資源的存取需透過它。
11
Active Capability(AC)
定義: 是一種動態表示安全策略和機制的可執行碼 目的: 為了支援動態的安全策略,讓應用程式或安全策略管理者使用的一種可客製化指令。
12
Quality Of Protection(QoP)
可定義的屬性包含: key length 安全強度 認證及隱私的安全結構 地理位置 Trust values for developers/vendors of security implementations 使用AC來指定、控制和管理QoP
13
Default level 3 (64-bit DES session key)
14
圖3.實作範例
15
Conclusion 改善原本NodeOS API功能,提出詳盡的security support.
藉由security API of NodeOS提高安全性及高度客製化 快速佈署及解除區域性的防火牆
16
Comment 系統管理者或可信任的授權者需不斷的check網路上是否有惡意的攻擊以install ACs,是否會造成loading過重?
Similar presentations