展望一个可信的软件定义网络生态系统

展望一个可信的软件定义网络生态系统目录SDN和OpenFlow的背景介绍威胁模型设计与挑战权限集设计隔离机制实现与测评软件定义网络的不同之处软件定义网络完全可编程的转发行为解耦控制层和数据层软件定义网络的架构支持软件定义网络的交换机可编程的数据层软件定义网络的应用提供多样化的控制层功能控制器或网络操作系统介于应用和交换机之间7开放网络协议OpenFlow是控制器和SDN交换机之间的通信协议SwitchControllerOpenFlowProtocolSwitchSwitchSwitch目录SDN和OpenFlow的背景介绍威胁模型设计与挑战权限集设计隔离机制实现与测评从安全的角度来看更加脆弱的表层第三方应用控制器OpenFlow协议比较脆弱的表层交换机目标我们的焦点:针对控制层的攻击SDN应用传统的控制软件来源第三方应用供应商开发的模块接口开源的API私有的编程接口能力控制所有交换机上的流表有限地控制一个交换机上的转发表根源:过度地授予应用权限假设顶级的控制器完全信任应用!不区分应用的功能暴露所有的特权给应用不做安全性检查威胁模型渗透现有的良性但存在bug的应用传统的缓冲区溢出攻击访问管理中的漏洞主动的网络攻击攻击者部署恶意应用从根本上挑战一个应用的可信度从应用发动的攻击攻击类型1:从控制层到数据层的直接攻击14从应用发动的攻击攻击类型2:泄露敏感的配置信息15从应用发动的攻击攻击类型3:操纵OpenFlow规则16从应用发动的攻击攻击类型4:攻击其他应用17目录SDN和OpenFlow的背景介绍威胁模型设计与挑战权限集设计隔离机制实现与测评不可信的第三方代码类似于其他开放平台移动操作系统:谷歌的Android,苹果的iOS浏览器扩展:ChromeExtension社交网络应用:Facebook应用常见的解决方案框架权限控制+运行沙盒我们采用类似的原则，但是。。。SDN带来的独特挑战不用

资产

的保护网络资产大多是共享的设备配置不完整

的访问控制控制器无法控制应用与操作系统的交互不同

活动模式

的应用例如少量与用户的交互、对延迟的高要求、定期地访问资源因此，需要独特的权限集和隔离机制的设计怎样生成权限集我们应用一个系统的过程来生成权限集权限集权限限定隔离架构相关技术沙盒组件应用线程Appthreads控制器内核Shim层(沙盒)通信应用/控制器应用/操作系统目录SDN和OpenFlow的背景介绍威胁模型设计与挑战权限集设计隔离机制实现与测评在一个最流行的开源控制器平台Floodlight上实现初步结果显示其有效地防御了上述攻击，并且额外开销可以忽略不计原型系统实验结果延迟开销在为1μs~100μs量级，比通常数据中心网络延迟小两个数量级延迟开销随app复杂度线性增长，可扩展性较好吞吐率开销有限，单线程app吞吐率降低30%~40%，但容易通过多核或多机并行弥补结论SDN和Openflow为大量的网络应用程序提供了机会目前对SDN网络在不同层面的安全性缺少关注：应用,控制器和网络操作系统作为第一步，我们的设计将保障Openflow控制器不受过度授权的应用的损害为应用授予最小权限潜在的技术基于特定域应用编程语言在线权限检查优点在客户端实现低消耗提供灵活的安全保障缺点需要修改客户的控制器只针对过度授权攻击有效主要隔离潜在技术运行沙盒进程隔离优点启用全面的访问控制简历控制器和应用的边界缺点增加异步执行的消耗目录SDN和OpenFlow的背景介绍威胁模型设计与挑战Design权限集设计隔离机制实现与测评权限描述语言语法例子权限描述语言组件权限权限限定权限权限限定设计问题一什么是最有效的权限集?可表达的低开销易于理解以上三个目标存在内在的冲突我们的亮点满足安全目标和应用功能需求的最小权限集权限集生成我们遵循一个系统的过程来生成权限集权限集权限限定例子为流量监控应用写一个权限集访问拓扑结构和流量计数器通过基于Web的管理平台例子:隔离需求权限集意味着几个隔离需求独立的流量控制隔离数据的访问全面的访问控制控制器优于应用这些需求与沙盒技术的功能相对应目录SDN和OpenFlow的背景介绍威胁模型设计与挑战Design权限集设计隔离机制实现与测评实现我们扩展Floodlight实现了一个原型机，~4000行代码对应用代码实现零修改沙盒以JavaVM为沙盒以Java线程作为应用容器用Java安全管理器来截取系统调用实现总览通讯模式事件监听器API调用到控制器内核服务调用到Java虚拟机事件监听器API调用到控制器内核服务调用到Java虚拟机开销评估两个因素的开销同步权限检查我们评估了总体的延迟和吞吐量方面的开销更多的评估实验正在进行中延迟&吞吐量相关工作FlowVisor基于前缀的网络分片只针对跨层攻击有效FortNOX和FRESCO检测新规则与安全约束的冲突只覆盖部分攻击不支持对单个应用的配置VeriFlow高效的低层次网络不变认证只覆盖主动攻击解决方案空间的范围在深入研究我们的方案之前,我对比了几个高层次的候选方案服务器端分析应用最小权限集主要