A rapid and steady development of cloud computing and network function virtualization (NFV) makes various security services running on the cloud platform to utilize powerful resources in terms of computation and storage. However, this trend introduces new attack surface to security applications running on the cloud platform as an attacker takes full control over the privilege software once the cloud is compromised. Meanwhile, signicant progress in hardware-based protection and security have also made into the market. The radical development of hardware-based protection gives new opportunities to address the new threats. However, there exists a fundamental problem to leverage recent hardware-based technologies: It takes long time until the complete deployment of the new TEE technology. This dissertation answers the key question: what can we do for each TEE deployment stage to enhance the security of legacy networked systems? In this dissertation, we argue that an appropriate methodology of building software counterparts of hardware-based protection for each deployment stage helps researchers to establish a pioneer design of secure networked systems. To substantiate our claim, we systematically explore the possibility of leveraging a recent hardware-based TEE technology, Intel SGX, and splits it into four dierent phases. First, we propose a proof-of-concept simulation to explore new design space and functionalities of TEE-based networked system. As a showcasing example, we demonstrate practical implications on path computation of SGX-enabled SDN-based inter-domain routing. Second, we build an SGX emulation framework, called OpenSGX, and perform a system emulation to get performance and implementation implications. We show that OpenSGX enables to qualify an engineering eort and for building non-trivial applications, Tor anonymity network. In addition, we design and implement a SGX-Tor, a Tor running on top of real hardware, to characterize performance overhead and evaluate its practicality. Finally, we leverage a recent optimization technique to improve the performance of SGX-enabled middleboxes. In summary, this dissertation demonstrates that it is possible to proactively adopt hardware-based TEE on networking to address security and privacy issues by developing a proper software counterparts during the deployment cycle.

최근 클라우드와 네트워크 기능 가상화 기술이 발전함에 따라, 다양한 보안 서비스들이 클라우드가 제공하는 방대한 연산능력과 저장소를 활용하기 위해 클라우드 플랫폼에서 동작하고 있다. 하지만 이러한 트렌드와 함께, 클라우드 플랫폼을 공격하여 소프트웨어 특권 계층의 권한을 공격자가 행사할 수 있는 유형의 공격이 새로운 문제로 제기되었다. 한편, 하드웨어 기반 보안 솔루션 및 보호 기술의 큰 진전으로 인해, 해당 기술을 제공하는 제품이 시장에 활발히 출시되기 시작하였다. 하드웨어 기반 보호 기술의 발전은 새롭게 대두된 공격에 대한 해결책으로 주목받았으나, 해당 기술의 완전한 배포 및 배치까지에는 많은 시간이 소요된다는 근본적인 문제점을 가진다. 본 학위논문에서는 신뢰 실행 환경 기술의 각 배포 단계에서 기존 네트워크 시스템의 보안성을 강화하기 위해서 어떠한 연구를 수행할 수 있는지에 대해 탐구하였다. 특히, 본 연구는 하드웨어 기반 기술의 배포 단계에서 대응되는 소프트웨어 파트의 적절한 선행 개발을 통해, 안전한 네트워크 시스템 개발에 관한 연구를 선제적으로 수행할 수 있음을 주장한다. 이를 입증하기 위해, 최신 하드웨어 기반 신뢰 실행 환경 기술인 Intel SGX 기술의 네트워킹에 대한 활용 가능성을 4개의 배포 단계로 나눠 체계적으로 탐구하였다. 먼저, 개념 증명 시뮬레이션 단계를 통해 신뢰 실행 환경 기반 네트워크 시스템의 새로운 설계 공간과 기능성에 대해 탐구하였다. 이를 위해, SGX를 활용한 소프트웨어 정의 네트워크 기반 도메인 간 라우팅 경로 계산의 보안성 강화를 예시로 시뮬레이션을 수행하였다. 상용 신뢰 실행 환경 기술을 적용할 때의 성능 및 구현 영향을 탐구하기 위해, OpenSGX라는 SGX 에뮬레이션 프레임워크를 개발하고, 이를 통해 토어 익명 네트워크와 같은 비단순 어플리케이션에 대한 시스템 에뮬레이션을 수행하였다. 또한, 실제 SGX 하드웨어에서 구동되는 토어 네트워크인 SGX-Tor를 개발하여 성능 오버헤드를 분석하고 해당 기술의 실용성을 평가하였다. 마지막으로 최적화 기법을 SGX 기반 미들박스에 적용하여 성능에 대한 개선을 수행하였다. 요약하면, 본 학위논문은 하드웨어 기반 신뢰 실행 환경을 네트워크 시스템에 적용할 때, 각 배포 주기에 적절한 대응 소프트웨어 파트를 개발함으로써 현존하는 보안 및 정보 보호 문제를 선제적으로 해결할 수 있음을 제안한다.