[论文解读] Private Processing of Outsourced Network Functions: Feasibility and Constructions
本文提出了一种密码学安全的框架,用于将网络功能(如防火墙)私密地外包给不可信的云提供商,采用部分同态加密和支持关键词搜索的公钥加密(PEKS)。结果表明,当前即可实现私密处理,10条规则下数据包处理时间低于250毫秒,并在面对诚实但好奇的攻击者时提供可证明的隐私保护,同时保持功能完整性。
Aiming to reduce the cost and complexity of maintaining networking infrastructures, organizations are increasingly outsourcing their network functions (e.g., firewalls, traffic shapers and intrusion detection systems) to the cloud, and a number of industrial players have started to offer network function virtualization (NFV)-based solutions. Alas, outsourcing network functions in its current setting implies that sensitive network policies, such as firewall rules, are revealed to the cloud provider. In this paper, we investigate the use of cryptographic primitives for processing outsourced network functions, so that the provider does not learn any sensitive information. More specifically, we present a cryptographic treatment of privacy-preserving outsourcing of network functions, introducing security definitions as well as an abstract model of generic network functions, and then propose a few instantiations using partial homomorphic encryption and public-key encryption with keyword search. We include a proof-of-concept implementation of our constructions and show that network functions can be privately processed by an untrusted cloud provider in a few milliseconds.
研究动机与目标
- 解决网络功能虚拟化(NFV)中的关键隐私缺口,即云提供商可访问敏感的防火墙规则和网络策略。
- 形式化一个保护策略免受云提供商、其他租户及第三方访问的私密NFV安全模型。
- 设计并实现基于现有密码学原原子(如BGN和PEKS)的高效、可证明安全的构造方案。
- 通过将外包防火墙作为用例,在概念验证实现中评估性能表现。
- 证明使用当前密码学技术,私密NFV在可接受的性能开销下具备实际可行性。
提出的方法
- 提出一种通用网络功能的抽象模型,可捕捉无状态和有状态行为,例如防火墙中的连接跟踪。
- 提出两种主要密码学构造:一种基于部分同态加密(BGN),另一种基于支持关键词搜索的公钥加密(PEKS)。
- 使用BGN加密,使云能够在不获知策略或数据包内容的情况下同态地评估访问控制决策。
- 采用PEKS实现基于关键词的匹配,将数据包字段与加密规则进行匹配,支持无状态和有状态网络功能。
- 设计一种转换协议,在入口点对策略和数据包进行加密,实现向云的安全委托。
- 通过真实网络功能工作负载进行概念验证实现,测量端到端处理延迟。
实验结果
研究问题
- RQ1是否可以在不暴露敏感逻辑或配置的前提下,将网络功能策略安全地外包给不可信的云提供商?
- RQ2哪些密码学原原子能够实现高效、私密的网络功能处理,同时保持正确性和性能?
- RQ3不同的敌手模型——强敌手(如主动攻击)与弱敌手(如诚实但好奇)——如何影响私密NFV方案的设计与安全性?
- RQ4在端到端隐私保证下,是否能够支持有状态网络功能,如连接跟踪防火墙?
- RQ5私密NFV的实际性能开销如何?能否扩展到真实工作负载?
主要发现
- 在弱敌手模型下,处理一个包含10条策略的5元组防火墙规则耗时109毫秒;在强敌手模型下为180毫秒。
- 当有10条策略和5个数据包字段时,基于PEKS的方案总处理时间为250毫秒,显著优于基于BGN的方案(1,208毫秒)。
- 基于PEKS的方案在策略数量和数据包字段数量上呈线性扩展,每条策略的解密和云处理时间保持恒定。
- 网络功能转换算法(策略和数据包加密)在字段数和策略数上均为线性,基于PEKS方案中,10个字段和10条策略的最大耗时为341毫秒。
- 即使未进行优化,PEKS方案的吞吐量仍达每秒4个数据包(pps),BGN方案为0.82 pps,通过多线程和更优硬件,潜在吞吐量可超过2,300 pps。
- 结果表明,使用现有密码学原原子,私密NFV具备可行性,尤其在采用PEKS时表现更优,且在安全性和性能上均优于先前方案。
更好的研究,从现在开始
从论文设计到论文写作,大幅缩短您的研究时间。
无需绑定信用卡
本解读由 AI 生成,并经人工编辑审核。