Hướng tiếp cận DPDK trong tối ưu hiệu năng xử lý bảo mật gói tin trên hệ thống gNodeB 5G

THÔNG TIN TÀI LIỆU

Bài viết trình bày một cách tiếp cận hoàn toàn mới bằng DPDK (Data Plane Development Kit), để giải quyết việc xử lý độ phức tạp trong việc bảo mật gói tin, nhưng vẫn đảm bảo được những yêu cầu rất cao về mặt băng thông của hệ thống trạm gNodeB 5G.

Hội nghị Quốc gia lần thứ 24 Điện tử, Truyền thông Công nghệ Thông tin (REV-ECIT2021) Hướng tiếp cận DPDK tối ưu hiệu xử lý bảo mật gói tin hệ thống gNodeB 5G Nguyễn Chí Kiên*, Bùi Việt Hùng, Phạm Ngọc Hải, Phạm Xuân Trà, Nguyễn Thị Huyền Trang, Phạm Kim Anh Dũng Trung tâm vô tuyến băng rộng – Tổng công ty Công nghiệp Cơng nghệ cao Viettel Email: kiennc7@viettel.com.vn tính tồn vẹn gồm NIA1, NIA2 NIA3 dựa SNOW3G UIA2 [4], AES CMAC 128bit [7], ZUC EIA3 [6] Tất thuật tốn bảo mật có thư viện C để thực phần mềm thông thường, cách tiếp cận truyền thống để xử lý bảo mật Tuy nhiên với độ phức tạp tăng dần thuật toán với yêu cầu cao mặt băng thơng, thuật tốn bảo mật thực thư viện C có sẵn, thể rõ nhược điểm Thách thức lớn xử lý bảo mật đảm bảo tính logic thuật toán, đảm bảo hiệu hệ thống Ví dụ với thuật tốn mã hóa thơng dụng mạng Internet áp dụng vào mạng di động 5G NEA2 (AES CTR 128), tin băm thành 128bit để thực mã hóa Hình Thuật tốn AES viết tắt từ Advanced Encryption Standard, hay biết đến với tên gốc Rijindael[8], thuật tốn mã hóa khối phủ Hoa kỳ áp dụng làm tiêu chuẩn mã hóa AES làm việc với khối liệu (đầu vào đầu ra) 128bit khóa có độ dài 128bit Từ khóa ban đầu, AES tạo khóa cho khối để thực mã hóa Mỗi khối liệu 128bit đầu vào chia thành 16bytes (mỗi byte bao gồm bits) để tạo thành ma trận 4x4 để thực mã hóa Trên vi xử lý Pentium Pro, việc mã hóa thuật tốn AES yêu cầu 18 clock cycles[8] (thời gian chu kỳ CPU) byte Điều tương đương với việc xử lý AES với thông lượng 11MBps cho 200MHz, tức khoảng 880Mbps cho 2.00Ghz hệ thống trạm gNodeB 5G Với yêu cầu xử lý phức tạp vậy, việc sử dụng phần mềm thư viện C để bảo mật, đảm bảo yêu cầu xử lý giao thức khác băng thông 5G điều bất khả thi Do đó, hướng tiếp cận Data Plane Development Kit việc tối ưu hiệu xử lý bảo mật gói tin 5G điều tất yếu cần phải có DPDK thư viện mã nguồn mở Intel phát triển, cung cấp API làm việc với phần cứng để phục vụ giảm tải gói tin Ngồi ra, làm việc với DPDK, phần ứng dụng bỏ qua thủ tục kernel (như độ trễ system call, chế polling kernel) DPDK tối ưu hiệu việc sử dụng hugepage (một tính Linux dùng để cấp đơn vị vùng nhớ lớn bình thường Tóm tắt — Trong bối cảnh 5G (hệ thống mạng di động hệ thứ 5) bước trở thành hạ tầng số cốt lõi phục vụ cho công chuyển đổi số cho xã hội số, kinh tế số phủ số, việc bảo đảm an tồn thơng tin cho mạng 5G vấn đề tất yếu cho quốc gia giới, Việt Nam Tổ chức toàn cầu xây dựng tiêu chuẩn cho trạm gốc 5G - 3GPP đưa thuật toán bảo mật phức tạp so với hệ trước để đảm bảo an tồn thơng tin cho trạm gốc 5G Với độ phức tạp khâu xử lý thuật toán vậy, cách phát triển xây dựng giao thức bảo mật truyền thống cho mạng 5G bộc lộ nhiều khuyết điểm, đặc biệt phần tải CPU Vì vậy, cách tiếp cận không đảm bảo thông lượng mạng 5G, kết cho thấy đảm bảo mức thông lượng mạng 4G Và để đáp ứng tiêu chuẩn tốc độ nhanh khoảng 10 lần so với mạng 4G nay, tức khoảng 10Gbps Ở báo này, chúng tơi trình bày cách tiếp cận hoàn toàn DPDK (Data Plane Development Kit), để giải việc xử lý độ phức tạp việc bảo mật gói tin, đảm bảo yêu cầu cao mặt băng thông hệ thống trạm gNodeB 5G Keywords – DPDK, xử lý bảo mật, mã hóa, trạm thu phát sóng 5G, NG-RAN I GIỚI THIỆU Chuẩn 5G định nghĩa giao diện hệ cho Mạng truy cập RAN (gọi NG – Next Generation RAN) cấu thành từ thành phần gồm: CU (Central Unit), DU (Distribute Unit) RU (Radio Unit) [1] Các giao thức bảo mật 5G thực CU, cụ thể giao thức Packet Data Convergence Protocol (PDCP) Trong mã hóa phương thức bảo mật chung cho mặt phẳng CP – Control Plane (đường điều khiển, cấu hình) UP – User Plane (đường liệu người dùng), việc bảo vệ tính tồn vẹn liệu áp dụng cho CP [2] Các thuật toán mã hóa bảo vệ tính tồn vẹn PDCP phát triển dựa lý thuyết thuật toán bảo mật theo chuẩn giới Theo chuẩn 3GPP [3], thuật tốn bảo mật mã hóa gồm NEA1, NEA2 NEA3 tương ứng phát triển dựa thuật toán SNOW3G UE2 [4], AES CTR 128 [5], ZUC EEA3 [6] Tương tự, thuật toán bảo vệ ISBN 978-604-80-5958-3 284 Hội nghị Quốc gia lần thứ 24 Điện tử, Truyền thông Công nghệ Thông tin (REV-ECIT2021) RAM), để trao đổi gói tin ứng dụng phần cứng Điều cuối quan trọng DPDK tối ưu hiệu bảo mật, DPDK cung cấp Poll Mode Driver (PMD) đặc thù để làm việc phần cứng chuyên dụng cho việc xử lý mã hóa, hay bảo vệ tính tồn vẹn Trong phần tiếp theo, mô tả hướng áp dụng DPDK vào giao thức PDCP để thực bảo mật kết mà DPDK mang lại thủ tục đề theo chuẩn PDCP, vấn đề gửi nhận gói tin hay việc xóa gói tin phải đảm bảo đồng Về trình gửi nhận Queue riêng biệt phát triển dựa cấu trúc linked list riêng biệt, theo luồng xử gửi nhận CP UP Từ đó, đảm bảo xử lý thủ tục bảo mật cho gói tin Ngoài ra, biến, struct global định nghĩa thêm để quản lí gói tin khối xử lý bảo mật thực thể PDCP Bài báo bao gồm hai phần chính: Mơ hình hệ thống đánh giá hiệu hệ thống Trong đó, phần mơ hình hệ thống mơ tả cách mà DPDK áp dụng vào hệ thống trạm gNodeB 5G, cụ thể lớp PDCP (Packet Data Convergence Protocol) Từ chúng tơi tập trung khái qt việc xử lí bảo mật gói tin theo giao thức mạng 5G Ở phần đánh giá hiệu hệ thống, kết đánh giá trình bày để thể khác biệt cách tiếp cách truyền thống tiếp cận theo DPDK Ngoài ra, kết cho thấy tiềm phương pháp cho hệ thống trạm thu phát sóng gNodeb 5G B Q TRÌNH XỬ LÝ GIỮA KHỐI BẢO MẬT VÀ THIẾT BỊ PHẦN CỨNG XỬ LÝ BẢO MẬT Ở phần này, trình bày cấu hình tham số cách giao tiếp khối bảo mật thiết bị phần cứng Sẽ có hai tham số để cấu hình cho gói tin trước đưa vào phần cứng xử lý, là: session context Initialization Vector (IVs) Đối với session context, tổng hợp tất cấu hình bất biến cho đường liệu thiết bị User Equipment (UE) Nó bao gồm tham số cấu chuỗi xử lý bảo mật thực hiện, key bảo mật (là chuỗi 128bit cấu hình từ lớp theo chuẩn 3GPP), thuật toán bảo mật, đường liệu downlink hay uplink Trong chuỗi xử lý bảo mật chuỗi phương thức cần thực cho gói tin Các chuỗi bảo mật khai báo, nối với qua trỏ next khởi tạo session context hình Hình Mơ hình thuật tốn NEA2 (AES CTR 128) II MƠ HÌNH HỆ THỐNG A MƠ HÌNH ÁP DỤNG DPDK Ở GIAO THỨC PDCP Trong hệ thống trạm gNode 5G, PDCP lớp giao thức giao tiếp với mạng lõi nằm khối CU Các gói tin đầu vào PDCP thực qua giao thức chuẩn 3GPP đề cho PDCP[3] Những giao thức bao gồm: đánh số thứ tự cho gói, nén tiêu đề, thực bảo mật thêm tiêu đề PDCP sau hoàn thành Tương tự ngược lại với thực thể truyền tin PDCP, PDCP nhận loại bỏ tiêu đề PDCP, thực giải mã, giải nén tiêu đề xếp lại thứ tự tin Phần xử lý bảo mật tách riêng thành khối độc lập, thread riêng chạy song song với với PDCP Các gói tin vào queue nối hai thread, khối xử lý bảo mật có nhiệm vụ nhận packet từ queue để xử lý vào gửi lại cho PDCP sau hồn thành Hình Hình 2: Mơ hình xử lý PDCP áp dụng DPDK Khối bảo mật thực cấu hình tham số, bối cảnh cần thiết cho gói tin trước thực bảo mật Sau gói tin sẵn sàng, khối bảo mật gọi API DPDK để đưa vào phần cứng xử lý thông qua PMD Khối có nhiệm vụ lấy gói tin xử lý thông qua API DPDK, đưa thực thể PDCP để có xử lý tiếp giao thức lại Để đảm bảo việc đồng hai thread, xử lý ISBN 978-604-80-5958-3 Hình 3: Cấu trúc session context 285 Hội nghị Quốc gia lần thứ 24 Điện tử, Truyền thông Công nghệ Thông tin (REV-ECIT2021) Một session context cấp vùng nhớ qua API DPDK rte_cryptodev_sym_session_create() khởi tạo sau cấu hình tham số qua API DPDK rte_cryptodev_sym_session_init() Trong session context tham số bất biến IV tham số thay đổi theo gói tin IVs tham số khơng q xa lạ với thuật tốn mã hóa liệu nói chung, thuật tốn bảo mật nói riêng 5G Đây coi biến private, mà hai thiết bị đầu cuối tự ngầm hiểu cho theo quy luật riêng mà chúng quy định Khác với key, hai điểm đầu cuối cấu hình key từ ban đầu Theo chuẩn 3GPP, giá trị IVs tạo dựa tham số gói tin 5G count, bearer Id, direction Tùy thuộc vào thuật toán mà giá trị IVs khởi tạo khác Toàn q trình xử lý mơ tả hình thư viện Multi-buffer Intel[10] phát triển, từ DPDK giao tiếp làm việc với phần cứng AES NI xử lý kiến trúc Intel hình Hình 5: Kiến trúc xử lý bảo mật với phần cứng AESNI MB PMD Để giao tiếp với AESNI Crypto Intel cung cấp nhiều thư viện API khác để thực Tuy nhiên, để DPDK hỗ trợ đầy đủ thuật tốn bảo mật cho hệ thống thu phát sóng 5G AESNI MB đáp ứng đủ[11] III Hình 4: Q trình xử lý gói tin với phần cứng bảo mật liệu Sau gói tin vào, khối bảo mật tìm session context tạo trước cho gói tin Một struct đặc biệt OP để giao tiếp với Crypto PMD khởi tạo qua API rte_crypto_op_alloc() Struct dùng để chứa session context, IVs gói tin cần bảo mật Sau giá trị IVs khởi tạo đưa vào OP với tham số khác, OP đưa vào Crypto PMD để xử lý qua API rte_cryptodev_enqueue_burst() Các gói tin đưa ngồi theo API rte_cryptodev_dequeue_burst(), q trình xử lý thành cơng chuyển gói tin lại PDCP giải phóng OP C PHẦN CỨNG HỖ TRỢ BẢO MẬT MẠNG DI ĐỘNG 5G THEO DPDK Như đề cập, DPDK cung cấp PMD riêng biệt để làm việc với phần cứng khác Dựa hệ thống trạm gNodeB 5G tại, phần cứng đảm bảo xử lý tồn thuật tốn bảo mật theo chuẩn 3GPP là: AESN-NI Multi Buffer Crypto Poll Mode Driver (AESNI MB PMD) AESNI MB PMD phần cứng bảo mật phát triển dựa tập hợp lệnh tiêu chuẩn AES NI (Advanced Encryption Standard New Instruction) Intel phát triển Nó mơ đun tích hợp nhiều xử lý khác kiến trúc x86 cho vi xử lý Intel AMD vào tháng 3, 2008[9] Mặc dù AES NI ban đầu thiết kế để xử lý thuật toán bảo mật AES, nhiên DPDK phát triển cung cấp API để AES NI xử lý thuật tốn cịn lại thuộc mạng 5G Hệ thống trạm gNodeB 5G phải cài ISBN 978-604-80-5958-3 ĐÁNH GIÁ HIỆU NĂNG HỆ THỐNG Đầu tiên, để đánh giá khả xử lý tối đa phần cứng bảo mật API DPDK Chúng thực phát triển ứng dụng đơn giản, độc lập với giao thức PDCP Ứng dụng thực nhận gói tin xử lý bảo mật theo key IVs cấu hình mặc định Thơng tin mức độ xử lý tốc độ băng thông, số gói tin xử lý giây thống kế đánh giá Tiếp theo, hiệu xử lý bảo mật đánh giá trực tiếp hệ thống trạm gNodeB 5G Viettel Các kết so sánh việc sử dụng bảo mật phần mềm bảo mật sau tích hợp với DPDK Crypto Device Multi-buffer library version DPDK Version CPU RAM Thuật toán đánh giá AESNI MB PMD 0.54 20.11.1 (LTS) Intel (R) Xeon (R) CPU E5-2620 @ 2.00GHz 32Gb NEA2 (AES CTR 128 Bits) Bảng 1: Thông tin hệ thống dùng để đánh giá Ở đánh giá đầu tiên, phát triển thêm ứng dụng đơn giản để tạo liệu gửi liên tục qua ứng dụng xử lý bảo mật Các thống kế kết tính tốn ứng dụng nhận, tức ứng dụng bảo mật thể qua Bảng Test case Throughput Rx khối bảo mật Throughput Tx khối bảo mật Số gói tin downlink/giây 1.28 Gbps 1.28 Gbps 119890 gói tin 3.8 Gbps 3.8 Gbps 354709 gói tin 5.7 Gbps ~5.7 Gbps 531519 gói tin 9.8 Gbps ~9.8 Gbps 917323 gói tin Bảng 2: Kết đánh giá chạy riêng khối bảo mật Kết tối đa đạt đánh giá riêng phần xử lí bảo mật (chỉ thực nhận, mã hóa tin gửi đi) với 286 Hội nghị Quốc gia lần thứ 24 Điện tử, Truyền thông Công nghệ Thông tin (REV-ECIT2021) giao thức PDCP xấp xỉ 10Gbps Đây giới hạn tối đa card mạng gửi nhận Tuy nhiên với kết chứng minh rằng, việc sử dụng DPDK để giảm tải xử lý bảo mật đảm bảo yêu cầu khắt khe tốc độ băng thông mạng 5G Ở đánh giá tiếp theo, thực so sánh kết việc xử lý bảo mật hệ thống trạm 5G Với kết Hình thấy với mức tải 400Mbps, khối bảo mật xử lý thư viện C thông thường bị tải, đạt mức thông lượng cao Tải CPU với phương pháp thông thường tăng lớn mức thơng lượng tăng dần Trong đó, dù mức tải 1.8Gbps CPU load khối bảo mật tốn khoảng 25% cho thuật toán NEA2 sử dụng DPDK Ngồi ra, mức thơng lượng tăng dần lên từ 200Mbps lên 1.8Gbps tải CPU khơng tăng đáng kể mật Từ cho kết khác biệt rõ rệt phương pháp bảo mật truyền thống bảo mật theo DPDK Với phương pháp bảo mật thơng thường kết việc xử lí gói tin kém, tải CPU thường xuyên bị tải Ở đánh giá cao tải, cách bảo mật chí cịn ảnh hưởng trực tiếp đến hiệu hệ thống Dẫn đến thiết bị di động bị ngắt kết nối tiếp tục dùng dịch vụ Trong đó, với hướng tiếp cận DPDK, tải CPU cải thiện đáng kể thông lượng đạt cao Kết cho thấy, mức thông lượng đánh giá DPDK ngang với thông lượng hệ thống mạng 5G, cấu hình khơng dùng chức bảo mật Điều chức rằng, hiệu hệ thống hoàn toàn đảm bảo áp dụng DPDK cho việc bảo mật Bài báo đưa kết đánh giá riêng phần cứng bảo mật Các kết mặt thông lượng cho thấy việc áp dụng DPDK bảo mật, hoàn toàn đảm bảo thách thức mặt tiêu chuẩn mạng 5G Tuy nhiên, với giới hạn hệ thống trạm gNodeB 5G đánh giá, kết tích hợp DPDK chưa thể hết tối đa khả xử lý phần cứng Việc tích hợp DPDK vào hệ thống trạm gNodeB 5G để phục vụ bảo mật liệu, cần nâng cấp tối ưu nghiên cứu TÀI LIỆU THAM KHẢO Hình 6: Kết đánh giá tải CPU khối bảo mật hệ mô UE 3GPP 5G, “5G; NG-RAN; Architecture description,” ETSI TS 138 401 V15.2.0, July 2018 [2] 3GPP 5G, “5G; Security architecture and procedures for 5G System” ETSI TS 133 501 V15.2.0 Oct.2018 [3] 3GPP 5G, “5G; NR; Packet Data Convergence Protocol (PDCP)” ETSI TS 138 323 V15.2.0 Sept.2018 [4] Ghizlane Orhanou, Said El Hajji, Youssef Bentaleb, “SNOW 3G Stream Cipher Operation and Complexity Study” Contemporary Engineering Sciences, Vol (PDF) 2010 [5] Jin Hyung Park, Dong Hoon Lee, “FACE: Fast AES CTR mode Encryption Techniques based on the Reuse of Repetitive Data” (PDF) 2018 [6] Gautham Sekar, “The Stream Cipher Core of the 3GPP Encryption Standard 128-EEA3: Timing Attacks and Countermeasures” Aug.2011 [7] Dworkin, Morris (2016) "Recommendation for Block Cipher Modes of Operation: The CMAC Mode for Authentication" (PDF) [8] Daemen, Joan; Rijmen, Vincent (March 9, 2003) "AES Proposal: Rijndael" (PDF) National Institute of Standards and Technology Archived (PDF) Retrieved 21 February 2013 [9] "Intel Software Network" Intel Archived from the original on April 2008 Retrieved 2008-04-05 [10] Jim Guiford, Sean Gulley, Erdinic Ozturk, Kirik Yap, Vinodh Gopal, Wajdi Feghali, “Fast Multi-buffer IPsec Implementations on Intel®” (PDF) Dec.2012 [11] DPDK, “Crypto Device Supported Functionality Matrices”, Document dpdk https://doc.dpdk.org/guides/cryptodevs/overview.html [12] IEEE, “Requirements and challenges of 5G cellular systems”, Published 27-28 Feb.2016 [1] Kết đánh giá tương tự với hệ xử lý với UE thật Hình Hình 7: Kết đánh giá tải CPU khối bảo mật hệ UE thật IV KẾT LUẬN Hệ thống mạng di động 5G ngày phổ biến thách thức giới hạn mạng di động Do đó, để đảm bảo tiêu chuẩn tốc độ băng thông 5G, thực giao thức bảo mật liệu phức tạp, việc áp dụng DPDK vào hệ thống để giảm tải điều tất yếu cần phải có Bài báo mơ tả kĩ thuật hướng tiếp cận DPDK, phương pháp để lớp giao thức PDCP hệ thống trạm 5G giao tiếp với phần cứng bảo ISBN 978-604-80-5958-3 287 ... tin mức độ xử lý tốc độ băng thơng, số gói tin xử lý giây thống kế đánh giá Tiếp theo, hiệu xử lý bảo mật đánh giá trực tiếp hệ thống trạm gNodeB 5G Viettel Các kết so sánh việc sử dụng bảo mật. .. gói tin khối xử lý bảo mật thực thể PDCP Bài báo bao gồm hai phần chính: Mơ hình hệ thống đánh giá hiệu hệ thống Trong đó, phần mơ hình hệ thống mô tả cách mà DPDK áp dụng vào hệ thống trạm gNodeB. .. tiếp cách truyền thống tiếp cận theo DPDK Ngoài ra, kết cho thấy tiềm phương pháp cho hệ thống trạm thu phát sóng gNodeb 5G B Q TRÌNH XỬ LÝ GIỮA KHỐI BẢO MẬT VÀ THIẾT BỊ PHẦN CỨNG XỬ LÝ BẢO MẬT

Ngày đăng: 29/04/2022, 10:12

Xem thêm: