[論文レビュー] Private Processing of Outsourced Network Functions: Feasibility and Constructions
本稿は、部分的準同型暗号とキーワード検索付き公開鍵暗号(PEKS)を用いて、信頼できないクラウドプロバイダーにネットワーク機能(例:ファイアウォール)をプライベートにアウトソーシングする暗号的に安全なフレームワークを提案する。本稿は、今日の技術でプライベート処理が実現可能であることを示し、10のルールで250ミリ秒未塔のパケット処理を達成しており、誠実だが好奇心の強い攻撃者に対して形式的なプライバシーを保証しながら、機能性を維持している。
Aiming to reduce the cost and complexity of maintaining networking infrastructures, organizations are increasingly outsourcing their network functions (e.g., firewalls, traffic shapers and intrusion detection systems) to the cloud, and a number of industrial players have started to offer network function virtualization (NFV)-based solutions. Alas, outsourcing network functions in its current setting implies that sensitive network policies, such as firewall rules, are revealed to the cloud provider. In this paper, we investigate the use of cryptographic primitives for processing outsourced network functions, so that the provider does not learn any sensitive information. More specifically, we present a cryptographic treatment of privacy-preserving outsourcing of network functions, introducing security definitions as well as an abstract model of generic network functions, and then propose a few instantiations using partial homomorphic encryption and public-key encryption with keyword search. We include a proof-of-concept implementation of our constructions and show that network functions can be privately processed by an untrusted cloud provider in a few milliseconds.
研究の動機と目的
- ネットワーク機能仮想化(NFV)における深刻なプライバシーのギャップ、すなわちクラウドプロバイダーが機密なファイアウォールルールやネットワークポリシーにアクセスできることを是正すること。
- クラウドプロバイダー、他のテナント、および第三者からポリシーを保護するプライベートNFVのための形式的セキュリティモデルを定式化すること。
- BGNやPEKSなどの既存の暗号原素を用いて、効率的かつ形式的に安全な構成を設計・実装すること。
- 実際のネットワーク機能ワークロードを用いたプロトタイプ実装を通じて、性能を評価すること。
- 現在の暗号技術を用いても、プライベートNFVが実用的であり、許容可能な性能オーバーヘッドで実現可能であることを示すこと。
提案手法
- 状態なしおよび状態ありの両方の動作を捉える、一般的なネットワーク機能の抽象的モデルを提案する。ファイアウォールにおける接続トラッキングなど、具体的な例を含む。
- 2つの主要な暗号的構成を導入する:1つは部分的準同型暗号(BGN)に基づくもの、もう1つはキーワード検索付き公開鍵暗号(PEKS)を用いるもの。
- BGN暗号を用いて、クラウドがポリシー内容やパケット内容を学習せずに、アクセス制御意思決定を準同型的に評価できるようにする。
- PEKSを用いて、パケットのフィールドを暗号化されたルールに対してキーワードベースで照合可能にし、状態なしおよび状態ありのネットワーク機能をサポートする。
- エントリポイントでポリシーとパケットを暗号化する変換プロトコルを設計し、クラウドへの安全な委譲を可能にする。
- 実世界のネットワーク機能ワークロードを用いたプロトタイプ実装を実行し、エンドツーエンドの処理遅延を測定する。
実験結果
リサーチクエスチョン
- RQ1機密な論理や構成を露呈せずに、信頼できないクラウドプロバイダーにネットワーク機能ポリシーを安全にアウトソーシングできるか?
- RQ2効率的かつプライベートなネットワーク機能処理を実現するための暗号原素は何か? かつ、正しくかつ性能を維持できるか?
- RQ3攻撃者モデル(強いもの:例として能動的攻撃、弱いもの:例として誠実だが好奇心の強い攻撃)の違いが、プライベートNFVスキームの設計およびセキュリティにどのように影響を与えるか?
- RQ4接続トラッキングファイアウォールのような状態ありネットワーク機能も、エンドツーエンドのプライバシー保証のもとでサポート可能か?
- RQ5実際のプライベートNFVにおける性能オーバーヘッドは何か? また、実用的ワークロードにスケーリング可能か?
主な発見
- 10のポリシーを有する5タプルファイアウォールルールのプライベート処理は、弱い攻撃者モデル下で109ミリ秒、強い攻撃者モデル下で180ミリ秒である。
- 10のポリシーと5つのパケットフィールドを有するPEKSベースのスキームでは、合計処理時間が250ミリ秒に達し、BGNベースのスキーム(1,208ミリ秒)を著しく上回る。
- PEKSベースのスキームは、ポリシー数およびパケットフィールド数に対して線形にスケーリングされ、各ポリシーあたりの復号およびクラウド処理時間は一定維持される。
- ネットワーク機能変換アルゴリズム(ポリシーおよびパケットの暗号化)は、フィールド数およびポリシー数に対して線形であり、PEKSスキームにおいて10フィールドおよび10ポリシーの最大で341ミリ秒を要する。
- 最適化なしでも、PEKSスキームでは4パケット/秒(pps)のスループットを達成し、BGNスキームでは0.82 ppsである。マルチスレーディングおよびより良いハードウェアを用いれば、2,300 ppsを超える可能性がある。
- 結果として、PEKSを用いることで、既存の暗号原素を用いてもプライベートNFVが実用的であり、かつ、セキュリティおよび性能の両面で先行研究を上回ることが示された。
より良い研究を、今すぐ始めましょう
論文設計から論文執筆まで、研究時間を劇的に削減しましょう。
クレジットカード登録不要
このレビューはAIが作成し、人間の編集者が確認しました。