Skip to main content
QUICK REVIEW

[논문 리뷰] Private Processing of Outsourced Network Functions: Feasibility and Constructions

Luca Melis, Hassan Jameel Asghar|arXiv (Cornell University)|2016. 01. 25.
Security and Verification in Computing참고 문헌 18인용 수 26
한 줄 요약

이 논문은 부분적 힐버트 암호화와 키워드 검색 기능이 있는 공개키 암호화(PEKS)를 사용하여 신뢰할 수 없는 클라우드 제공자에게 네트워크 기능(예: 방화벽)을 기밀적으로 외주할 수 있는 암호학적으로 안전한 프레임워크를 제안한다. 현재 기술로도 개인 정보 보호가 가능한 처리가 가능함을 입증하며, 10개의 규칙로 250ms 이내의 패킷 처리 성능을 달성하고, 솔직하지만 호기심 많은 공격자에 대해 증명 가능한 기밀성을 확보하면서도 기능성을 유지함을 보여준다.

ABSTRACT

Aiming to reduce the cost and complexity of maintaining networking infrastructures, organizations are increasingly outsourcing their network functions (e.g., firewalls, traffic shapers and intrusion detection systems) to the cloud, and a number of industrial players have started to offer network function virtualization (NFV)-based solutions. Alas, outsourcing network functions in its current setting implies that sensitive network policies, such as firewall rules, are revealed to the cloud provider. In this paper, we investigate the use of cryptographic primitives for processing outsourced network functions, so that the provider does not learn any sensitive information. More specifically, we present a cryptographic treatment of privacy-preserving outsourcing of network functions, introducing security definitions as well as an abstract model of generic network functions, and then propose a few instantiations using partial homomorphic encryption and public-key encryption with keyword search. We include a proof-of-concept implementation of our constructions and show that network functions can be privately processed by an untrusted cloud provider in a few milliseconds.

연구 동기 및 목표

  • 클라우드 제공자가 민감한 방화벽 규칙과 네트워크 정책에 접근할 수 있는 네트워크 기능 가상화(NFV)의 핵심 기밀성 격차를 해결하기 위해.
  • 클라우드 제공자, 다른 테넌트, 제3자로부터 정책을 보호하는 기밀 NFV를 위한 보안 모델을 체계화하기 위해.
  • 기존 암호 기법(예: BGN 및 PEKS)을 사용하여 효율적이고 증명 가능한 보안 구조를 설계하고 구현하기 위해.
  • 사용 사례로 외주된 방화벽을 활용한 개념 증명 구현을 통해 성능을 평가하기 위해.
  • 기존 암호 기법을 사용하여 기밀 NFV가 실용적이며 수용 가능한 성능 오버헤드로 구현 가능함을 입증하기 위해.

제안 방법

  • 스테이트리스 및 스테이트풀 동작을 모두 포괄하는 일반적인 네트워크 기능의 추상 모델을 제안하며, 방화벽의 연결 추적 기능을 포함한다.
  • 부분적 힐버트 암호화(BGN) 기반과 공개키 암호화와 키워드 검색(PEKS) 기반의 두 가지 주요 암호 기법을 도입한다.
  • BGN 암호화를 사용하여 클라우드가 정책이나 패킷 내용을 알지 못하면서도 암호적으로 액세스 제어 결정을 평가할 수 있도록 한다.
  • PEKS를 사용하여 패킷 필드를 암호화된 규칙과 기반 키워드 매칭을 가능하게 하여, 스테이트리스 및 스테이트풀 네트워크 기능을 모두 지원한다.
  • 정책과 패킷을 입구에서 암호화하는 변환 프로토콜을 설계하여 클라우드에 안전하게 위임할 수 있도록 한다.
  • 실제 네트워크 기능 워크로드를 사용한 개념 증명 구현을 수행하고, 종단 간 처리 지연 시간을 측정한다.

실험 결과

연구 질문

  • RQ1민감한 논리나 구성 정보를暴露하지 않고도, 신뢰할 수 없는 클라우드 제공자에게 네트워크 기능 정책을 기밀적으로 외주할 수 있는가?
  • RQ2정확성과 성능을 유지하면서도 효율적이고 기밀적인 네트워크 기능 처리를 가능하게 하는 암호 기법은 무엇인가?
  • RQ3강력한 공격자(예: 주도적 공격)와 약한 공격자(예: 솔직하지만 호기심 있는 공격)의 서로 다른 공격자 모델은 기밀 NFV 기법의 설계와 보안에 어떤 영향을 미치는가?
  • RQ4종단 간 기밀 보장 하에 연결 추적 기능이 있는 스테이트풀 네트워크 기능(예: 연결 추적 방화벽)을 지원할 수 있는가?
  • RQ5실제로 기밀 NFV의 성능 오버헤드는 얼마이며, 현실적인 워크로드에 대해 확장 가능한가?

주요 결과

  • 10개의 정책을 가진 5-튜플 방화벽 규칙의 기밀 처리는 약한 공격자 모델 하에서 109ms, 강한 공격자 모델 하에서는 180ms 소요된다.
  • 10개의 정책과 5개의 패킷 필드를 가진 PEKS 기반 기법은 총 처리 시간이 250ms를 기록하며, BGN 기반 기법(1,208ms)보다 뚜렷이 빠르게 성능을 발휘한다.
  • PEKS 기반 기법은 정책 수와 패킷 필드 수에 대해 선형적으로 확장되며, 각 정책당 복호화 및 클라우드 처리 시간은 일정하게 유지된다.
  • 네트워크 기능 변환 알고리즘(정책 및 패킷 암호화)은 필드 수와 정책 수에 대해 선형이며, PEKS 기법에서 10개의 필드와 10개의 정책로 최대 341ms 소요된다.
  • 최적화 없이도 PEKS 기법에서는 4패킷/초(packets per second, pps)의 처리량을 달성하고, BGN 기법에서는 0.82pps를 기록하며, 멀티스레딩과 고성능 하드웨어를 활용하면 2,300pps 이상으로 확장 가능성이 있다.
  • 결과적으로, 기존 암호 기법을 사용할 경우 기밀 NFV가 실용적이며, 특히 PEKS를 사용할 경우 이전 기법보다 보안성과 성능 면에서 뛰어나다는 것이 입증된다.

더 나은 연구,지금 바로 시작하세요

연구 설계부터 논문 작성까지, 연구 시간을 획기적으로 줄여보세요.

카드 등록 없음 · 무료 플랜 제공

이 리뷰는 AI가 만들고, 인간 에디터가 검토했습니다.