以作者查詢圖書館館藏 、以作者查詢臺灣博碩士 、以作者查詢全國書目 、勘誤回報 、線上人數:52 、訪客IP:3.135.206.19
姓名 李建源(Jian-Yuan Li) 查詢紙本館藏 畢業系所 資訊工程學系 論文名稱 以 vTPM 為基礎之邊緣環境容器系統安全
(vTPM-based edge environment container system security)相關論文 檔案 [Endnote RIS 格式] [Bibtex 格式] [相關文章] [文章引用] [完整記錄] [館藏目錄] [檢視] [下載]
- 本電子論文使用權限為同意立即開放。
- 已達開放權限電子全文僅授權使用者為學術研究之目的,進行個人非營利性質之檢索、閱讀、列印。
- 請遵守中華民國著作權法之相關規定,切勿任意重製、散佈、改作、轉貼、播送,以免觸法。
摘要(中) 本論文提出了一個適用於邊緣環境的安全機制。我們利用物聯網設備數量龐大的特性,可以藉由周圍多個服務提供者,取得驗證相關資訊,進而達成快速檢查映像檔的完整性的功能。我們機制沒有過去單一認證的缺點:如果其中一份金鑰遺失、遭竊或認證失敗,就會對整個認證下游的服務造成安全性的風險或是服務延遲。我們在映像檔的倉庫中使用vTPM的功能進行金鑰的簽名,提高金鑰的安全性,對邊端設備(如樹莓派等嵌入式設備)達成便宜有效的安全防護。我們在x86、pine64、樹莓派3三種系統上,實際測試docker、lxd、hypercontainer三種容器技術。在容器啟動與AES加密所花費的時間,認為docker將會是比較適合於邊緣環境上的容器技術,最後實際修改當前docker與倉庫服務的程式碼,測量我們的方法在實際系統中時間上的花費,結果在有線的環境裡認證的所花時間幾乎不超過1秒,對於整個映像檔的下載總體時間而言不會佔太多比例,在無線的環境下雖然平均會高到1.6秒,但是因為金鑰證書可以使用快取的方式,減少我們認證中最主要的花費,可以在0.1秒內認證完成,達到快速的映像檔認證。 摘要(英) Security is an important issue, especially in edge environment. Due to the development of virtualization in edge environments, image file tampering is one of the most serious threat. In this paper, we design a low-cost distributed image verification scheme. We use well-known Rasberry Pi 3 and open source container technique, e.g., docker, to build an edge enviromnent,
and implement our scheme by modfiying the source code of docker-ce and registry. According to our experiment results, our scheme can achieve better security.關鍵字(中) ★ 容器系統
★ 映像檔安全
★ 倉庫關鍵字(英) ★ container system
★ image security
★ registry論文目次 中文摘要 i
Abstract ii
Contents iii
List of Figures vi
List of Tables viii
1 緒論 1
2 背景知識 5
2.1 相關研究 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
2.2 容器系統的風險與建議 . . . . . . . . . . . . . . . . . . . . . . . . . . 6
2.2.1 映像檔 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
2.2.2 倉庫 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
2.3 IoT 環境安全機制 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
2.3.1 IoT 環境與 TPM 有何關係 . . . . . . . . . . . . . . . . . . . . 8
2.3.2 Trusted Platform Module (TPM) . . . . . . . . . . . . . . . . . . 8
2.3.3 Virtual Trusted Platform Module (vTPM) . . . . . . . . . . . . . 9
3 以 vTPM 為基礎之邊緣環境容器系統安全 10
3.1 主要想法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
3.2 環境 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
3.3 系統架構 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
3.3.1 階層式管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
3.3.2 安全架構 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
3.3.3 角色 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
3.4 建立過程 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
3.4.1 私鑰的配置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
3.4.2 證書的配置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
3.5 映像檔完整性確認 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
3.5.1 映像檔資訊確認 . . . . . . . . . . . . . . . . . . . . . . . . . . 21
3.6 數量的信任 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
3.6.1 簽名的認證 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
3.6.2 映像檔的信任 . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
3.7 認證鍊 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
4 實作與實驗 29
4.1 容器系統的效能測試 . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
4.1.1 比較的容器系統 . . . . . . . . . . . . . . . . . . . . . . . . . . 29
4.1.2 實驗環境 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
4.1.3 效能測試 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
4.1.3.1 啟動時間 . . . . . . . . . . . . . . . . . . . . . . . . 32
4.1.3.2 服務增加加密所花時間 . . . . . . . . . . . . . . . . 35
5方法實做與分析 41
5.1 硬體設備 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
5.2 程式修改部份 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
5.3 實驗結果 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
5.3.1 有線網路環境 . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
5.3.1.1 未使用金鑰證書快取 . . . . . . . . . . . . . . . . . . 43
5.3.1.2 使用金鑰證書快取 . . . . . . . . . . . . . . . . . . . 46
5.3.2 無線網路環境 . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
5.3.2.1 未使用金鑰證書快取 . . . . . . . . . . . . . . . . . . 46
5.3.2.2 使用金鑰證書快取 . . . . . . . . . . . . . . . . . . . 46
6 結論 54
Bibliography 55參考文獻 [1] “Gartner 4.9 billion connected ”things” will be in use in 2015,” 2014. http://www.gartner.com/newsroom/id/2905717.
[2] “Docker Article docker network configuration document,” 2017. https://docs.docker.com/v1.7/articles/networking/.
[3] N. Fernando and W. R. Seng W. Loke, “Mobile cloud computing: A survey,” January 2013.
[4] S. Lal, S. Ravidas, I. Oliver, and T. Taleb, “Assuring virtual network function image integrity and host sealing in telco cloud,” May 2017.
[5] Y. C. Hu, M. Patel, D. Sabella, N. Sprecher, and V. Young, “Mobile edge computing a key technology towards 5g,” September 2015. http://www.etsi.org/images/files/ETSIWhitePapers/etsi_wp11_mec_a_key_technology_towards_5g.pdf.
[6] W. Shi, J. Cao, Q. Zhang, Y. Li, and L. Xu, “Edge computing: Vision and challenges,” June 2016.
[7] B. Varghese, N. Wang, S. Barbhuiya, P. Kilpatrick, and D. S. Nikolopoulos, “Challenges and opportunities in edge computing,” November 2016.
[8] “Container and kernel-based virtual machine(kvm) virtualization for network function virtualization (nfv),” August 2015. https://builders.intel.com/docs/container-and-kvm-virtualization-for-nfv.PDF.
[9] M. Souppaya, J. Morello, and K. Scarfone, “Application container security guide,” September 2017. https://doi.org/10.6028 NIST.SP.800-190.
[10] CoreOS, “Clair.” https://github.com/coreos/clair.
[11] Google, “Swarm mode overview.” https://docs.docker.com/engine/swarm/.
[12] Google, “Kubernetes.” https://kubernetes.io/.
[13] Google, “Labels and selectors.” https://kubernetes.io/docs/concepts/overview/working-with-objects/labels/.
[14] A. Grattafiori, “Understanding and hardening linux containers,” April 2016. https://www.nccgroup.trust/us/about-us/newsroom-and-events/blog/2016/april/understanding-and-hardening-linux-containers/.
[15] Canonical, “For cto’s: the no-nonsense way to accelerate your business with containers,” February 2017. https://pages.ubuntu.com/container-whitepaper.html.
[16] J. Hertz, “Abusing privileged and unprivileged linux containers,” June 2016. https://www.nccgroup.trust/us/our-research/abusing-privileged-and-unprivileged-linux-containers/.
[17] N. Bila, P. Dettori, A. Kanso, Y. Watanabe, and A. Youssef, “Leveraging the server-less architecture for securing linux containers,” June 2017.
[18] IBM, “Openwhisk.”https://github.com/apache/incubator-openwhisk.
[19] J. Rosland, “Container os comparison.” container-os-comparison/. https://blog.codeship.com/[20] D. Safford and S. Berger, “Swtpm - software tpm emulator.” https://github.com/stefanberger/swtpm.
[21] “ubuntu.” https://hub.docker.com/_/ubuntu/.
[22] B. Abinaya, S. Gurupriya, and M. Pooja, “Iot based smart and adaptive lighting in street lights,” July 2017.
[23] R. Elberg and E. Woods, “Smart street lighting as a smart city platform,” 2017. https://www.echelon.com/assets/blt339a50e1c88306c2/Navigant%20Research-Echelon%20Smart%20Street%20Lighting%20White%20Paper%20-%20Full%20Report.pdf.
[24] D. Cooper, S. Santesson, S. Farrell, S. Boeyen, R. Housley, and W. Polk, “Internet x. 509 public key infrastructure certificate and certificate revocation list (crl) profile,” May 2008. https://tools.ietf.org/html/rfc5280.
[25] “Hypercontainer - hypervisor-agnostic docker runtime.” https://github.com/hyperhq/hyperd.
[26] “About hypercontainer.” https://docs.hypercontainer.io/index.html.
[27] “Lora server, open-source lorawan network-server.” https://www.loraserver.io/.
[28] S. Berger, “runc.” https://github.com/stefanberger/runc/tree/vtpm.
[29] https://staff.csie.ncu.edu.tw/gychang/student/107/vTPM-basededgeenvironmentcontainersystemsecurity.zip.指導教授 張貴雲(Guey-Yun Chang) 審核日期 2018-8-22 推文 facebook plurk twitter funp google live udn HD myshare reddit netvibes friend youpush delicious baidu 網路書籤 Google bookmarks del.icio.us hemidemi myshare