2829303132333431 of 204
CiteExportLink to record
Permanent link

Direct link
Cite
Citation style
  • apa
  • ieee
  • modern-language-association-8th-edition
  • vancouver
  • Other style
More styles
Language
  • de-DE
  • en-GB
  • en-US
  • fi-FI
  • nn-NO
  • nn-NB
  • sv-SE
  • Other locale
More languages
Output format
  • html
  • text
  • asciidoc
  • rtf
Efficient Enclave Communication through Shared Memory: A case study of Intel SGX enabled Open vSwitch
KTH, School of Electrical Engineering and Computer Science (EECS).
2019 (English)Independent thesis Advanced level (degree of Master (Two Years)), 20 credits / 30 HE creditsStudent thesisAlternative title
Effektiv kommunikation genom delat minne - en fallstudie av Open vSwitch med SGX-stöd (Swedish)
Abstract [en]

Open vSwitch is a virtual network switch commonly used to forward network packages between virtual machines. The switch routes network packets based on a set of flow rules stored in its flow tables. Open vSwitch does not provide confidentiality or integrity protection of its flow tables; therefore, an attacker can exploit software vulnerabilities in Open vSwitch to gain access to the host machine and observe or modify installed flow rules.

Medina [1] brought integrity and confidentially guarantees to the flow tables of Open vSwitch, even in the presence of untrusted privileged software, by confining them inside of an Intel SGX enclave. However, using an enclave to protect the flow tables has significantly reduced the performance of Open vSwitch. This thesis investigates how and to what extent the performance overhead introduced by Intel SGX in Open vSwitch can be reduced.

The method consisted of the development of a general-purpose communication library for Intel SGX enclaves, and two optimized SGX enabled Open vSwitch prototypes. The library enables efficient communication between the enclave and the untrusted application through shared memory-based techniques. Integrating the communication library in Open vSwitch, combined with other optimization techniques, resulted in two optimized prototypes that were evaluated on a set of common Open vSwitch use cases.

The results of this thesis show that it is possible to reduce the overhead introduced by Intel SGX in Open vSwitch with several orders of magnitude, depending on the use case and optimization technique, without compromising its security guarantees.

Abstract [sv]

Open vSwitch är en virtuell nätverksswitch som vanligtvis används för att vidarebefordra datatrafik mellan virtuella maskiner. Switchen vidarebefordrar datatrafik baserat på en uppsättning flödesregler lagrade i dess flödestabeller. Open vSwitch garanterar inte flödestabellernas integritet eller konfidentialitet, därför är det möjligt för en angripare att utnyttja sårbarheter i Open vSwitch för att få tillgång till värdmaskinen och observera eller modifiera flödesregler.

En tidigare studie gav integritetsoch konfidentialitetsgarantier till flödestabellerna i Open vSwitch, även i närvaro av opålitlig och privilegierad mjukvara, genom att placera flödestabellerna inuti en Intel SGX-enklav [1]. Användandet av en enklav för att skydda flödestabellerna medför emellertid en signifikant försämring av Open vSwitch’s prestanda. Detta examensarbete undersöker hur och i vilken utsträckning prestandaförsämringen medförd av Intel SGX kan minimeras i Open vSwitch.

Examensarbetets metod bestod av utveckling av ett kommunikationsbibliotek för Intel SGX-enklaver och två optimerade Open vSwitch-prototyper med SGX-stöd. Det utvecklade biblioteket möjliggör effektiv kommunikation mellan en enklav och den opålitliga applikationen genom kommunikationstekniker baserade på delat minne. Kombinering av kommunikationsbibliotekets olika optimeringsfunktioner med andra optimeringstekniker resulterade i två optimerade Open vSwitch-prototyper med SGX-stöd som utvärderades på en uppsättning användningsfall.

Resultaten av detta examensarbete visar att det är möjligt att minska prestandaförsämringen genererat av Intel SGX i Open vSwitch med flera magnituder, beroende på användningsfall och optimeringsteknik, utan att kompromissa med dess säkerhetsgarantier.

Place, publisher, year, edition, pages
2019. , p. 89
Series
TRITA-EECS-EX ; 2019:838
National Category
Computer and Information Sciences
Identifiers
URN: urn:nbn:se:kth:diva-271211OAI: oai:DiVA.org:kth-271211DiVA, id: diva2:1416013
Subject / course
Computer Science
Educational program
Master of Science - Computer Science
Supervisors
Examiners
Available from: 2020-03-20 Created: 2020-03-20 Last updated: 2020-03-20Bibliographically approved

Open Access in DiVA

fulltext(1839 kB)3 downloads
File information
File name FULLTEXT01.pdfFile size 1839 kBChecksum SHA-512
79fee294760da5646acb69fcdb95eada1a1de56bbfd7fef260fb5cfcab01549ccc1f55616419aac508d9a54b1ae073ee2f5637705403f22c10c911f58c3ee18d
Type fulltextMimetype application/pdf

By organisation
School of Electrical Engineering and Computer Science (EECS)
Computer and Information Sciences

Search outside of DiVA

GoogleGoogle Scholar
Total: 3 downloads
The number of downloads is the sum of all downloads of full texts. It may include eg previous versions that are now no longer available

urn-nbn

Altmetric score

urn-nbn
Total: 8 hits
2829303132333431 of 204
CiteExportLink to record
Permanent link

Direct link
Cite
Citation style
  • apa
  • ieee
  • modern-language-association-8th-edition
  • vancouver
  • Other style
More styles
Language
  • de-DE
  • en-GB
  • en-US
  • fi-FI
  • nn-NO
  • nn-NB
  • sv-SE
  • Other locale
More languages
Output format
  • html
  • text
  • asciidoc
  • rtf