博碩士論文 105522105 詳細資訊




以作者查詢圖書館館藏 以作者查詢臺灣博碩士 以作者查詢全國書目 勘誤回報 、線上人數:7 、訪客IP:54.162.133.222
姓名 李建源(Jian-Yuan Li)  查詢紙本館藏   畢業系所 資訊工程學系
論文名稱 以 vTPM 為基礎之邊緣環境容器系統安全
(vTPM-based edge environment container system security)
相關論文
★ 在無線感測網路中連續型物體的偵測與追蹤協定之設計★ 在車用無線網路中利用虛擬地標的封包繞徑協定
★ 在無線感測網路下處理不同重要性區域的覆蓋問題★ 在車用網路環境下分散式計程車呼叫協定
★ 車用無線網路車輛密度偵測方法★ 在車用無線網路中利用適應道路分割法提供區域性階層式定位服務
★ 在無線感測網路中以延長網路生命週期為目的之避洞繞徑協定★ 利用車用無線網路尋找空停車位之協定
★ 在車載無線網路中以區域性為基礎的資源分享協定★ 設計於城市環境之分散式車載隨意行動網路位置服務
★ 在無線感測網路下以方向性天線為基礎的定位方法★ 在移動式感測網路中利用移動方向的定位演算法
★ 無線感測網路中移動節點之偵測★ 在無線感測網路環境下的流量平衡資料收集與無碰撞排程協定
★ 無線感測網路中之共同移動節點偵測★ 無線感測網路克服障礙物及延長網路存活時間之繞徑協定
檔案 [Endnote RIS 格式]    [Bibtex 格式]    至系統瀏覽論文 (2023-7-1以後開放)
摘要(中) 本論文提出了一個適用於邊緣環境的安全機制。我們利用物聯網設備數量龐大的特性,可以藉由周圍多個服務提供者,取得驗證相關資訊,進而達成快速檢查映像檔的完整性的功能。我們機制沒有過去單一認證的缺點:如果其中一份金鑰遺失、遭竊或認證失敗,就會對整個認證下游的服務造成安全性的風險或是服務延遲。我們在映像檔的倉庫中使用vTPM的功能進行金鑰的簽名,提高金鑰的安全性,對邊端設備(如樹莓派等嵌入式設備)達成便宜有效的安全防護。我們在x86、pine64、樹莓派3三種系統上,實際測試docker、lxd、hypercontainer三種容器技術。在容器啟動與AES加密所花費的時間,認為docker將會是比較適合於邊緣環境上的容器技術,最後實際修改當前docker與倉庫服務的程式碼,測量我們的方法在實際系統中時間上的花費,結果在有線的環境裡認證的所花時間幾乎不超過1秒,對於整個映像檔的下載總體時間而言不會佔太多比例,在無線的環境下雖然平均會高到1.6秒,但是因為金鑰證書可以使用快取的方式,減少我們認證中最主要的花費,可以在0.1秒內認證完成,達到快速的映像檔認證。
摘要(英) Security is an important issue, especially in edge environment. Due to the development of virtualization in edge environments, image file tampering is one of the most serious threat. In this paper, we design a low-cost distributed image verification scheme. We use well-known Rasberry Pi 3 and open source container technique, e.g., docker, to build an edge enviromnent,
and implement our scheme by modfiying the source code of docker-ce and registry. According to our experiment results, our scheme can achieve better security.
關鍵字(中) ★ 容器系統
★ 映像檔安全
★ 倉庫
關鍵字(英) ★ container system
★ image security
★ registry
論文目次 中文摘要 i
Abstract ii
Contents iii
List of Figures vi
List of Tables viii
1 緒論 1
2 背景知識 5
2.1 相關研究 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
2.2 容器系統的風險與建議 . . . . . . . . . . . . . . . . . . . . . . . . . . 6
2.2.1 映像檔 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6
2.2.2 倉庫 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
2.3 IoT 環境安全機制 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
2.3.1 IoT 環境與 TPM 有何關係 . . . . . . . . . . . . . . . . . . . . 8
2.3.2 Trusted Platform Module (TPM) . . . . . . . . . . . . . . . . . . 8
2.3.3 Virtual Trusted Platform Module (vTPM) . . . . . . . . . . . . . 9
3 以 vTPM 為基礎之邊緣環境容器系統安全 10
3.1 主要想法 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
3.2 環境 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
3.3 系統架構 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
3.3.1 階層式管理 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
3.3.2 安全架構 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
3.3.3 角色 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16
3.4 建立過程 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
3.4.1 私鑰的配置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
3.4.2 證書的配置 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
3.5 映像檔完整性確認 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
3.5.1 映像檔資訊確認 . . . . . . . . . . . . . . . . . . . . . . . . . . 21
3.6 數量的信任 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
3.6.1 簽名的認證 . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
3.6.2 映像檔的信任 . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
3.7 認證鍊 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
4 實作與實驗 29
4.1 容器系統的效能測試 . . . . . . . . . . . . . . . . . . . . . . . . . . . 29
4.1.1 比較的容器系統 . . . . . . . . . . . . . . . . . . . . . . . . . . 29
4.1.2 實驗環境 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
4.1.3 效能測試 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32
4.1.3.1 啟動時間 . . . . . . . . . . . . . . . . . . . . . . . . 32
4.1.3.2 服務增加加密所花時間 . . . . . . . . . . . . . . . . 35
5方法實做與分析 41
5.1 硬體設備 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 41
5.2 程式修改部份 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
5.3 實驗結果 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
5.3.1 有線網路環境 . . . . . . . . . . . . . . . . . . . . . . . . . . . 43
5.3.1.1 未使用金鑰證書快取 . . . . . . . . . . . . . . . . . . 43
5.3.1.2 使用金鑰證書快取 . . . . . . . . . . . . . . . . . . . 46
5.3.2 無線網路環境 . . . . . . . . . . . . . . . . . . . . . . . . . . . 46
5.3.2.1 未使用金鑰證書快取 . . . . . . . . . . . . . . . . . . 46
5.3.2.2 使用金鑰證書快取 . . . . . . . . . . . . . . . . . . . 46
6 結論 54
Bibliography 55
參考文獻 [1] “Gartner 4.9 billion connected ”things” will be in use in 2015,” 2014. http://www.gartner.com/newsroom/id/2905717.
[2] “Docker Article docker network configuration document,” 2017. https://docs.docker.com/v1.7/articles/networking/.
[3] N. Fernando and W. R. Seng W. Loke, “Mobile cloud computing: A survey,” January 2013.
[4] S. Lal, S. Ravidas, I. Oliver, and T. Taleb, “Assuring virtual network function image integrity and host sealing in telco cloud,” May 2017.
[5] Y. C. Hu, M. Patel, D. Sabella, N. Sprecher, and V. Young, “Mobile edge computing a key technology towards 5g,” September 2015. http://www.etsi.org/images/files/ETSIWhitePapers/etsi_wp11_mec_a_key_technology_towards_5g.pdf.
[6] W. Shi, J. Cao, Q. Zhang, Y. Li, and L. Xu, “Edge computing: Vision and challenges,” June 2016.
[7] B. Varghese, N. Wang, S. Barbhuiya, P. Kilpatrick, and D. S. Nikolopoulos, “Challenges and opportunities in edge computing,” November 2016.
[8] “Container and kernel-based virtual machine(kvm) virtualization for network function virtualization (nfv),” August 2015. https://builders.intel.com/docs/container-and-kvm-virtualization-for-nfv.PDF.
[9] M. Souppaya, J. Morello, and K. Scarfone, “Application container security guide,” September 2017. https://doi.org/10.6028 NIST.SP.800-190.
[10] CoreOS, “Clair.” https://github.com/coreos/clair.
[11] Google, “Swarm mode overview.” https://docs.docker.com/engine/swarm/.
[12] Google, “Kubernetes.” https://kubernetes.io/.
[13] Google, “Labels and selectors.” https://kubernetes.io/docs/concepts/overview/working-with-objects/labels/.
[14] A. Grattafiori, “Understanding and hardening linux containers,” April 2016. https://www.nccgroup.trust/us/about-us/newsroom-and-events/blog/2016/april/understanding-and-hardening-linux-containers/.
[15] Canonical, “For cto’s: the no-nonsense way to accelerate your business with containers,” February 2017. https://pages.ubuntu.com/container-whitepaper.html.
[16] J. Hertz, “Abusing privileged and unprivileged linux containers,” June 2016. https://www.nccgroup.trust/us/our-research/abusing-privileged-and-unprivileged-linux-containers/.
[17] N. Bila, P. Dettori, A. Kanso, Y. Watanabe, and A. Youssef, “Leveraging the server-less architecture for securing linux containers,” June 2017.
[18] IBM, “Openwhisk.”https://github.com/apache/incubator-openwhisk.
[19] J. Rosland, “Container os comparison.” container-os-comparison/. https://blog.codeship.com/[20] D. Safford and S. Berger, “Swtpm - software tpm emulator.” https://github.com/stefanberger/swtpm.
[21] “ubuntu.” https://hub.docker.com/_/ubuntu/.
[22] B. Abinaya, S. Gurupriya, and M. Pooja, “Iot based smart and adaptive lighting in street lights,” July 2017.
[23] R. Elberg and E. Woods, “Smart street lighting as a smart city platform,” 2017. https://www.echelon.com/assets/blt339a50e1c88306c2/Navigant%20Research-Echelon%20Smart%20Street%20Lighting%20White%20Paper%20-%20Full%20Report.pdf.
[24] D. Cooper, S. Santesson, S. Farrell, S. Boeyen, R. Housley, and W. Polk, “Internet x. 509 public key infrastructure certificate and certificate revocation list (crl) profile,” May 2008. https://tools.ietf.org/html/rfc5280.
[25] “Hypercontainer - hypervisor-agnostic docker runtime.” https://github.com/hyperhq/hyperd.
[26] “About hypercontainer.” https://docs.hypercontainer.io/index.html.
[27] “Lora server, open-source lorawan network-server.” https://www.loraserver.io/.
[28] S. Berger, “runc.” https://github.com/stefanberger/runc/tree/vtpm.
[29] https://staff.csie.ncu.edu.tw/gychang/student/107/vTPM-basededgeenvironmentcontainersystemsecurity.zip.
指導教授 張貴雲(Guey-Yun Chang) 審核日期 2018-8-22
推文 facebook   plurk   twitter   funp   google   live   udn   HD   myshare   reddit   netvibes   friend   youpush   delicious   baidu   
網路書籤 Google bookmarks   del.icio.us   hemidemi   myshare   

若有論文相關問題,請聯絡國立中央大學圖書館推廣服務組 TEL:(03)422-7151轉57407,或E-mail聯絡  - 隱私權政策聲明