展望一個(gè)可信的軟件定義網(wǎng)絡(luò)生態(tài)系統(tǒng)目錄SDN和OpenFlow的背景介紹威脅模型設(shè)計(jì)與挑戰(zhàn)權(quán)限集設(shè)計(jì)隔離機(jī)制實(shí)現(xiàn)與測(cè)評(píng)軟件定義網(wǎng)絡(luò)的不同之處軟件定義網(wǎng)絡(luò)完全可編程的轉(zhuǎn)發(fā)行為解耦控制層和數(shù)據(jù)層軟件定義網(wǎng)絡(luò)的架構(gòu)支持軟件定義網(wǎng)絡(luò)的交換機(jī)可編程的數(shù)據(jù)層軟件定義網(wǎng)絡(luò)的應(yīng)用提供多樣化的控制層功能控制器或網(wǎng)絡(luò)操作系統(tǒng)介于應(yīng)用和交換機(jī)之間7開放網(wǎng)絡(luò)協(xié)議OpenFlow是控制器和SDN交換機(jī)之間的通信協(xié)議SwitchControllerOpenFlowProtocolSwitchSwitchSwitch目錄SDN和OpenFlow的背景介紹威脅模型設(shè)計(jì)與挑戰(zhàn)權(quán)限集設(shè)計(jì)隔離機(jī)制實(shí)現(xiàn)與測(cè)評(píng)從安全的角度來看更加脆弱的表層第三方應(yīng)用控制器OpenFlow協(xié)議比較脆弱的表層交換機(jī)目標(biāo)我們的焦點(diǎn):針對(duì)控制層的攻擊SDN應(yīng)用傳統(tǒng)的控制軟件來源第三方應(yīng)用供應(yīng)商開發(fā)的模塊接口開源的API私有的編程接口能力控制所有交換機(jī)上的流表有限地控制一個(gè)交換機(jī)上的轉(zhuǎn)發(fā)表根源:過度地授予應(yīng)用權(quán)限假設(shè)頂級(jí)的控制器完全信任應(yīng)用!不區(qū)分應(yīng)用的功能暴露所有的特權(quán)給應(yīng)用不做安全性檢查威脅模型滲透現(xiàn)有的良性但存在bug的應(yīng)用傳統(tǒng)的緩沖區(qū)溢出攻擊訪問管理中的漏洞主動(dòng)的網(wǎng)絡(luò)攻擊攻擊者部署惡意應(yīng)用從根本上挑戰(zhàn)一個(gè)應(yīng)用的可信度從應(yīng)用發(fā)動(dòng)的攻擊攻擊類型1:從控制層到數(shù)據(jù)層的直接攻擊14從應(yīng)用發(fā)動(dòng)的攻擊攻擊類型2:泄露敏感的配置信息15從應(yīng)用發(fā)動(dòng)的攻擊攻擊類型3:操縱OpenFlow規(guī)則16從應(yīng)用發(fā)動(dòng)的攻擊攻擊類型4:攻擊其他應(yīng)用17目錄SDN和OpenFlow的背景介紹威脅模型設(shè)計(jì)與挑戰(zhàn)權(quán)限集設(shè)計(jì)隔離機(jī)制實(shí)現(xiàn)與測(cè)評(píng)不可信的第三方代碼類似于其他開放平臺(tái)移動(dòng)操作系統(tǒng):谷歌的Android,蘋果的iOS瀏覽器擴(kuò)展:ChromeExtension社交網(wǎng)絡(luò)應(yīng)用:Facebook應(yīng)用常見的解決方案框架權(quán)限控制+運(yùn)行沙盒我們采用類似的原則，但是。。。SDN帶來的獨(dú)特挑戰(zhàn)不用

資產(chǎn)

的保護(hù)網(wǎng)絡(luò)資產(chǎn)大多是共享的設(shè)備配置不完整

的訪問控制控制器無法控制應(yīng)用與操作系統(tǒng)的交互不同

活動(dòng)模式

的應(yīng)用例如少量與用戶的交互、對(duì)延遲的高要求、定期地訪問資源因此，需要獨(dú)特的權(quán)限集和隔離機(jī)制的設(shè)計(jì)怎樣生成權(quán)限集我們應(yīng)用一個(gè)系統(tǒng)的過程來生成權(quán)限集權(quán)限集權(quán)限限定隔離架構(gòu)相關(guān)技術(shù)沙盒組件應(yīng)用線程Appthreads控制器內(nèi)核Shim層(沙盒)通信應(yīng)用/控制器應(yīng)用/操作系統(tǒng)目錄SDN和OpenFlow的背景介紹威脅模型設(shè)計(jì)與挑戰(zhàn)權(quán)限集設(shè)計(jì)隔離機(jī)制實(shí)現(xiàn)與測(cè)評(píng)在一個(gè)最流行的開源控制器平臺(tái)Floodlight上實(shí)現(xiàn)初步結(jié)果顯示其有效地防御了上述攻擊，并且額外開銷可以忽略不計(jì)原型系統(tǒng)實(shí)驗(yàn)結(jié)果延遲開銷在為1μs~100μs量級(jí)，比通常數(shù)據(jù)中心網(wǎng)絡(luò)延遲小兩個(gè)數(shù)量級(jí)延遲開銷隨app復(fù)雜度線性增長(zhǎng)，可擴(kuò)展性較好吞吐率開銷有限，單線程app吞吐率降低30%~40%，但容易通過多核或多機(jī)并行彌補(bǔ)結(jié)論SDN和Openflow為大量的網(wǎng)絡(luò)應(yīng)用程序提供了機(jī)會(huì)目前對(duì)SDN網(wǎng)絡(luò)在不同層面的安全性缺少關(guān)注：應(yīng)用,控制器和網(wǎng)絡(luò)操作系統(tǒng)作為第一步，我們的設(shè)計(jì)將保障Openflow控制器不受過度授權(quán)的應(yīng)用的損害為應(yīng)用授予最小權(quán)限潛在的技術(shù)基于特定域應(yīng)用編程語言在線權(quán)限檢查優(yōu)點(diǎn)在客戶端實(shí)現(xiàn)低消耗提供靈活的安全保障缺點(diǎn)需要修改客戶的控制器只針對(duì)過度授權(quán)攻擊有效主要隔離潛在技術(shù)運(yùn)行沙盒進(jìn)程隔離優(yōu)點(diǎn)啟用全面的訪問控制簡(jiǎn)歷控制器和應(yīng)用的邊界缺點(diǎn)增加異步執(zhí)行的消耗目錄SDN和OpenFlow的背景介紹威脅模型設(shè)計(jì)與挑戰(zhàn)Design權(quán)限集設(shè)計(jì)隔離機(jī)制實(shí)現(xiàn)與測(cè)評(píng)權(quán)限描述語言語法例子權(quán)限描述語言組件權(quán)限權(quán)限限定權(quán)限權(quán)限限定設(shè)計(jì)問題一什么是最有效的權(quán)限集?可表達(dá)的低開銷易于理解以上三個(gè)目標(biāo)存在內(nèi)在的沖突我們的亮點(diǎn)滿足安全目標(biāo)和應(yīng)用功能需求的最小權(quán)限集權(quán)限集生成我們遵循一個(gè)系統(tǒng)的過程來生成權(quán)限集權(quán)限集權(quán)限限定例子為流量監(jiān)控應(yīng)用寫一個(gè)權(quán)限集訪問拓?fù)浣Y(jié)構(gòu)和流量計(jì)數(shù)器通過基于Web的管理平臺(tái)例子:隔離需求權(quán)限集意味著幾個(gè)隔離需求獨(dú)立的流量控制隔離數(shù)據(jù)的訪問全面的訪問控制控制器優(yōu)于應(yīng)用這些需求與沙盒技術(shù)的功能相對(duì)應(yīng)目錄SDN和OpenFlow的背景介紹威脅模型設(shè)計(jì)與挑戰(zhàn)Design權(quán)限集設(shè)計(jì)隔離機(jī)制實(shí)現(xiàn)與測(cè)評(píng)實(shí)現(xiàn)我們擴(kuò)展Floodlight實(shí)現(xiàn)了一個(gè)原型機(jī)，~4000行代碼對(duì)應(yīng)用代碼實(shí)現(xiàn)零修改沙盒以JavaVM為沙盒以Java線程作為應(yīng)用容器用Java安全管理器來截取系統(tǒng)調(diào)用實(shí)現(xiàn)總覽通訊模式事件監(jiān)聽器API調(diào)用到控制器內(nèi)核服務(wù)調(diào)用到Java虛擬機(jī)事件監(jiān)聽器API調(diào)用到控制器內(nèi)核服務(wù)調(diào)用到Java虛擬機(jī)開銷評(píng)估兩個(gè)因素的開銷同步權(quán)限檢查我們?cè)u(píng)估了總體的延遲和吞吐量方面的開銷更多的評(píng)估實(shí)驗(yàn)正在進(jìn)行中延遲&吞吐量相關(guān)工作FlowVisor基于前綴的網(wǎng)絡(luò)分片只針對(duì)跨層攻擊有效FortNOX和FRESCO檢測(cè)新規(guī)則與安全約束的沖突只覆蓋部分攻擊不支持對(duì)單個(gè)應(yīng)用的配置VeriFlow高效的低層次網(wǎng)絡(luò)不變認(rèn)證只覆蓋主動(dòng)攻擊解決方案空間的范圍在深入研究我們的方案之前,我對(duì)比了幾個(gè)高層次的候選方案服務(wù)器端分析應(yīng)用最小權(quán)限集主要