Luận văn thạc sĩ Kỹ thuật điện tử: Nghiên cứu, Thiết kế IPSEC trên nền tảng FPGA

ĈҤI HӐC QUӔC GIA TP HCM

75ѬӠ1*ĈҤI HӐC BÁCH KHOA

-

NGUYӈN TRӐNG NGÔ NHҰT DU

1*+,Ç1&Ӭ87+,ӂ7.ӂ,36(& 75Ç11ӄ17Ҧ1*)3*$

Mã sӕ : 60520203

LUҰ19Ă1THҤ&6Ƭ

TP HӖ CHÍ MINH, tháng 01 QăP2020

75ѬӠ1*ĈҤI HӐC BÁCH KHOA ±Ĉ+4*-HCM

Cán bӝ Kѭӟng dүn khoa hӑc :

Cán bӝ chҩm nhұn xét 1 :

Cán bӝ chҩm nhұn xét 2 :

LuұQYăQWKҥFVƭÿѭӧc bҧo vӋ tҥL7UѭӡQJĈҥi hӑF%iFK.KRDĈ+4*7S+&0ngày 09 tháng 01 QăP2020

Thành phҫn HӝLÿӗQJÿiQKJLiOXұQYăQWKҥFVƭJӗm: 1 Chӫ TӏFK3Ky*LiR6ѭ7LӃQ6ƭ+j+RjQJ.KD 2 Phҧn BiӋn 1: TiӃQ6ƭ%L7Uӑng Tú

3 Phҧn BiӋn 2: TiӃQ6ƭ1JX\ӉQ0LQK6ѫQ 4 Uӹ Viên: TiӃQ6ƭ7Uҫn Hoàng Linh

5 7Kѭ.ê7LӃQ6ƭ1JX\ӉQ/ê7KLrQ7Uѭӡng

Xác nhұn cӫa Chӫ tӏch HӝLÿӗQJÿiQKJLi/9Yj7Uѭӣng Khoa quҧn lý chuyên ngành sau khi luұQYăQÿmÿѭӧc sӱa chӳa (nӃu có)

CHӪ TӎCH HӜ,ĈӖNG 75ѬӢ1*.+2$Ĉ,ӊN ± Ĉ,ӊN TӰ

75ѬӠ1*ĈҤI HӐC BÁCH KHOA NAM Ĉӝc lұp - Tӵ do - Hҥnh phúc

1+,ӊ09Ө/8Ұ19Ă17+Ҥ&6Ƭ

Hӑ tên hӑc viên: NguyӉn Trӑng Ngô Nhұt Du MSHV : 1670520 1Jj\WKiQJQăPVLQK1ѫLVLQK%Ӄn Tre Chuyên ngành: Kӻ thuұWĈLӋn tӱ Mã sӕ : 60520203

I 7Ç1Ĉӄ TÀI:

NGHIÊN CӬU, THIӂT Kӂ IPSEC TRÊN NӄN TҦNG FPGA

II NHIӊM VӨ VÀ NӜI DUNG:

+ Tum hiӇu khii niӋm vj lê thuyӃt vӅ IPsec

+ Nghiên cӭu giҧi thuұt mm hya xic thӵc vj giҧi mm xic thӵc GCM-AES 128bits + ThiӃt kӃ vj xây dӵng phҫn cӭng ӣ cҩSÿӝ RTL bҵng ngôn ngӳ Verilog

+ Tәng hӧp, mô phӓQJÿӇ ÿҧm bҧo thӵc hiӋQÿ~ng chӭFQăQJ*&0-AES 128 bits + Thӵc hiӋn thiӃt kӃ trên kit FPGA : Aller Artix 7 M-2

III NGÀY GIAO NHIӊM VӨ : 11/02/2019

IV NGÀY HOÀN THÀNH NHIӊM VӨ: 08/12/2019 V CÁN BӜ +ѬӞNG DҮN : PGS.TS Hojng Trang

i

Trong quá trình thӵc hiӋn luұQYăQFNJQJQKѭWURQJWKӡi gian hӑc tұp ӣ WUѭӡng, em xin gӱi lӡi biӃWѫQÿӃn các thҫy trong bӝ P{QÿLӋn tӱ ÿmWUX\ӅQÿҥt và giҧng dҥy cho em nhiӅu kiӃn thӭc bә ích Bên cҥQKÿyOjVӵ cҧm thông vӅ tính chҩt công viӋc, thӡi gian dành cho viӋc hӑc tұp và tҥo mӑLÿLӅu kiӋQÿӇ chúng em nghiên cӭu tӕWKѫQ

Em vô cùng biӃWѫQVӵ Kѭӟng dүn, chӍ bҧo tұn tình cӫa thҫy Hoàng Trang trong suӕt thӡi gian qua Ngoài nhӳng kiӃn thӭc chuyên môn quý báu tӯ thҫy, em còn hӑc ÿѭӧc tӯ thҫy nhӳQJNƭQăQJQLӅPÿDPPrF{QJYLӋc và lӕi sӕQJÿyOjQKӳQJÿLӅu sӁ giúp ích rҩt nhiӅu cho chһQJÿѭӡng tiӃp theo cӫDHPWURQJWѭѫQJODL

Em xin cҧPѫQFiFWKҫy và các bҥn trong phòng thí nghiӋP%ÿmWҥRÿLӅu kiӋn, gi~Sÿӥ vj hӛ trӧ ÿӇ em hoàn thành luұQYăQ

Sau cùng xin cҧPѫQÿӃQJLDÿuQKÿmOjÿLӇm tӵa vӅ vұt chҩt lүn tinh thҫQÿӇ con có thӇ hoàn thành chһQJÿѭӡng này

Trong quá trình thӵc hiӋn luұQYăQFNJQJNK{QJWUiQKNKӓi nhӳQJÿLӅu thiӃu sót

và hҥn chӃ, kính mong quý thҫy cô thông cҧm và góp ý Em xin chân thjnh cҧPѫQ

Tp H͛ &Kt0LQKQJj\«WKiQJ«QăP««

Hӑc viên

NguyӉn Trӑng Ngô Nhұt Du

ii

LuұQYăQWUuQKEj\PӝWSKѭѫQJSKiSEҧo mұt IP, IP security, hay gӑi tҳt là IPsec IPsec là mӝWSKѭѫQJSKiSÿѭӧFÿiQKJLiFyQKLӅXѭXÿLӇm cho vҩQÿӅ bҧo mұt mҥng internet hiӋQQD\ÿһc biӋt trong bӕi cҧnh có nhiӅu cuӝc tҩn công mҥng và an toàn thông tin trên mҥQJÿѭӧFÿһWOrQKjQJÿҫu trong các OƭQKYӵFWKѭѫQJPҥLÿLӋn tӱ, tài chính, QJkQKjQJ«

Dӵa trên nhu cҫXÿyÿӅ tji trình bày mӝt giҧi thuұt mã hóa và giҧi mã thông dөng nhҩt hiӋn nay là AES (Advanced Encryption Standard) kӃt hӧp vӟLKjP*&0ÿӇ tҥo ra mӝt IP (soft macro) GCM ± AES 128 bits có chӭFQăQJWKӵc hiӋn mã hóa xic thӵc vj giҧi mã xic thӵFÿҧm bҧo chuҭn IPsec

TiӃn trunh thӵc hiӋQÿӅ tjLÿѭӧc thӇ hiӋQQKѭVDX7LӃn hành thӵc hiӋn dӵDÿһc tҧ hӋ thӕng cӫa thiӃt kӃ ThiӃt kӃ vj xây dӵng phҫn cӭng ӣ cҩSÿӝ RTL dӵa trên ngôn ngӳ lұp trunh Verilog ViӃt testbench cho thiӃt kӃ vj tiӃn hjnh tәng hӧp vj mô phӓng Tәng hӧp thӵc nghiӋm và chҥy trên kit FPGA Aller Artix 7 sӱ dөng phҫn mӅm Vivado KiӇm tra vj ÿinh gii cic bio cio hiӋXQăng sau qui trunh thӵc hiӋn

ThiӃt kӃ ÿmKRҥWÿӝQJÿ~ng vӟi chӭFQăQJPmKyD[ic thӵc vj giҧi mã xic thӵc WKHRÿҥt chuҭn IPsec GCM ± AES 128 bits, tәng hӧp thjnh công và thӵc hiӋQÿ~ng chӭc QăQJNKLFKҥy vӟi kit FPGA Aller Artix 7 vӟi tҫn sӕ 100 MHz

ĈӅ tji cy thӇ mӣ rӝng vj phit triӇQWKrPÿӇ ÿҥWÿѭӧc hiӋXQăQJWӕWKѫQYj ӭng dөng thӵc tӃ vjo viӋc thiӃt kӃ mӝt router IPsec cy chӭFQăQJEҧo vӋ, bҧo mұt an tojn thông tin mҥng

The thesis presents a method of IP security, or referred to as IPsec IPsec is a method that has been assessed to have many advantages for current internet security, especially in the context of many cyber attacks and cyber-information security at the forefront of commercial areas e-commerce, finance, banking,

Based on that requirement, the topic presenting one of the most popular encryption and decryption algorithms is AES (Advanced Encryption Standard) combined with GCM function to create an IP (soft macro) GCM - AES 128 bits with authentication encryption and decryption function to ensure IPsec standard

The process of implementing the project is shown as follows: Carry out the implementation based on the system specification of the design Design and build hardware at RTL level based on Verilog programming language Write testbench for design, run synthesis and simulation Experimental synthesis, implementation and running on FPGA Aller Artix 7 kit using Vivado software Check and evaluate performance reports after implementation

The topic can be expanded and further developed to achieve better performance and practical application in the design of an IPsec router with the function of protecting, protecting network information security

iii

HӑFYLrQ[LQFDPÿRDQ ÿk\Oj công trunh nghiên cӭu cӫa bҧQWKkQGѭӟi sӵ Kѭӟng dүn trӵc tiӃp cӫa thҫy Hojng Trang, cng vӟi mӝt sӕ hӛ trӧ cӫa nhym nghiên cӭu phzng ODE%NKRDĈLӋn ± ĈLӋn tӱÿҥi hӑc Bich Khoa thjnh phӕ Hӗ Cht Minh Cic kӃt quҧ nghiên cӭu vj cic kӃt luұQWURQJÿӅ tji lj trung thӵc, không sao chpp tӯ bҩt cӭ nguӗn njo vj FKѭD WӯQJ ÿѭӧc công bӕ WUѭӟF ÿk\ Yӟi bҩt cӭ hunh thӭc njo Trong qui trunh nghiên cӭu vj thӵc hiӋQÿӅ tji cy tham khҧo cic tji liӋu trong vj ngojLQѭӟc cy liên quan Sӵ tham khҧo njy lj quan trӑng vj cҫn thiӃWFKRÿӅ tji ViӋc tham khҧo cic nguӗn tji liӋXÿm ÿѭӧc trtch dүn vj ghi r} nguӗn tham khҧRWKHRÿ~QJTX\ÿӏnh

Tp H͛ &Kt0LQKQJj\«WKiQJ«QăP««

Hӑc viên

NguyӉn Trӑng Ngô Nhұt Du

1.3 HoҥWÿӝng chung, các thành phҫn và giao thӭc cӫa IPsec 2

1.3.1 Giao thӭc cӕt lõi IPsec 3

1.3.2 ChӃ ÿӝ hoҥWÿӝng cӫa IPsec 3

1.3.3 Vai trò và lӧi ích cӫa IPsec 4

2.3 Yêu cҫu cho mӝt ӭng dөng bҧo mұt thành công 8

2.4 Mӝt sӕ ÿӅ tài nghiên cӭXQJRjLQѭӟc tham khҧo cho luұQYăQ 9

2.4.1 Thӵc hiӋn bӝ giao thӭc IPsec cho mҥng multigigabit trên FPGA9 2.4.2 Khҧo sát so sánh viӋc thӵc hiӋn các thuұt toán mã hóa hiӋu suҩt cao trên FPGA 16

v

3.1 Mã hóa khӕi 23

3.2 Mã hóa AES 23

3.2.1 Giӟi thiӋu AES 23

3.2.2 Tәng quan vӅ giҧi thuұt AES 24

3.4 Giӟi thiӋu kiӃn trúc IPsec dӵa trên nӅn tҧng FPGA 52

3.4.1 Khҧo sit cҩu hunh cӫa FPGA 52

3.4.2 Khҧo sit hiӋXQăQJFӫa Ipsec AES -GCM thӵc hiӋn trên cic FPGA tham khҧo 53

3.5 Các kiӇu kiӃn trúc bҧo mұt xây dӵng trên nӅn tҧng IPsec 56

3.6.1 Ĉӏnh dҥng gói dӳ liӋu IPv4 ESP 62

3.6.2 Ĉӏnh dҥng gói dӳ liӋu IPv6 ESP 63

&+ѬѪ1*4 THIӂT Kӂ VÀ THӴC HIӊN 64

5.1 KӃt luұn 86

5.2 Hѭӟng phát triӇn 86

TÀI LIӊU THAM KHҦO 87

vii

Hình 2.1 - Giao thͱc c͙t lõi IPsec 3

Hình 2.2 - IPsec Transport mode 4

Hình 2.3 - IPsec Tunnel mode 4

Hình 2.1 Gói IP b̫o m̵t vͣi giao thͱc ESP qua 2 ch͇ ÿ͡ tunnel - transport 10

Hình 2.2 Ki͇n trúc cͯa h͏ th͙ng IPsec 10

+uQK6˯ÿ͛ kh͙i cͯa prototype 11

Hình 2.4 Ki͇n trúc cͯa c͝ng IPsec 12

+uQK6˯ÿ͛ thu̵t toán HMAC-SHA1 13

Hình 2.6 M͙i liên h͏ giͷa Throughput-slice trong th͹c hi͏n AES giͷa các h͕ FPGA 19 Hình 2.7 M͙i liên h͏ throughput-area trong vi͏c th͹c hi͏n AES giͷa các h͕ FPGA 19

+uQK6˯ÿ͛ kh͙i AES 24

+uQK6˯ÿ͛ kh͙i AES 27

Hình 3.3 Hai phép bi͇Qÿ͝i trong AES S-box 29

Hình 3.4 - 6˯ÿ͛ kh͙i khóa 128 bit 32

Hình 3.5 - Qu̫n lý khóa 256 bit 33

Hình 3.6 - Qu̫n lý khóa 256 bit 34

Hình 3.7 - 6˯ÿ͛ kh͙i gi̫i mã AES 35

Hình 3.8 Các lͣp ngh͓FKÿ̫o cͯa gi̫i mã AES 36

Hình 3.15 Khái ni͏m h͏ th͙ng b̫o m̵t Lookaside 57

Hình 3.16 Khái ni͏m h͏ th͙ng b̫o m̵t Flow-through 58

Hình 3.17 So sánh yêu c̯u máy chͯ c̯n giͷa ph̯n m͉m, lookaside và flow-through 60 Hình 3.18 S͵ dͭQJSK˱˯QJSKiSIORZ-WKURXJKÿ͋ thêm chͱFQăQJ,.(Yj,3VHFYjRVPN ch͑ s͵ dͭng ph̯n m͉m 62

+uQKĈ͓nh d̩ng IPv4 ESP 63

viii

Hình 4.1 Lu͛ng dͷ li͏u (data path) top 64

Hình 4.2 Ĉ̿c t̫ top level thi͇t k͇ 64

Hình 4.3 Giao di͏n module top gcm aes 128 bits 65

Hình 4.4 B͡ ÿL͉u khi͋n ttn hi͏u ± miy tr̩ng thii top level 65

Hình 4.5 Giao di͏n module gcm_aes_core 67

Hình 4.6 B͡ ÿL͋u khi͋n ± miy tr̩ng thii gcm_aes_core 68

Hình 4.7 Giao di͏n module aes_cipher_top 69

Hình 4.8 Thi͇t k͇ chi ti͇t kh͙i aes cipher top 69

Hình 4.9 Bo m̩ch FPGA Aller Artix 7 72

Hình 4.10 6˯ÿ͛ nguyên lê cͯa kit 73

Hình 4.11 K͇t qu̫ waveform sau khi ch̩y VCS 76

Hình 4.12 K͇t qu̫ mô ph͗ng gi̫i mã xác th͹c và so sánh giá tr͓ Tag 77

Hình 4.13 K͇t qu̫ mô ph͗ng mã hóa xác th͹c 77

Hình 4.14 K͇t qu̫ Message trên Vivado 79

Hình 4.15 Utilization sau khi synthesis 79

Hình 4.16 Utilization sau khi Implementation 80

Hình 4.17 K͇t qu̫ báo cáo công sṷt 81

Hình 4.18 Báo cáo t͝ng hͫp timing 81

Hình 4.19 Báo cáo setup timing 82

Hình 4.20 Báo cáo hold timing 83

Hình 4.21 Layout cͯa thi͇t k͇ sau khi implementation 84

Hình 4.22 6˯ÿ͛ schematic cͯa thi͇t k͇ 85

ix

B̫ng 2.1 Các chu̱n IPSec 2

B̫ng 2.1- Hi͏u sṷt cͯa Prototype c͝ng IPsec 11

B̫ng 2.2 K͇t qu̫ cͯa vi͏c th͹c hi͏n thi͇t k͇ vͣi thi͇t l̵p DES 14

B̫QJ7K{QJO˱ͫng cho Packet 64 Bytes 14

B̫QJ7K{QJO˱ͫng cho Packet 240 Bytes 14

B̫QJ7K{QJO˱ͫng cho Packet 1500 Bytes 14

B̫ng 2.6 K͇t qu̫ cho vi͏c th͹c hi͏n vͣi thi͇t l̵p AES 15

B̫QJ7K{QJO˱ͫng cho Packet 64 Bytes 15

B̫QJ7K{QJO˱ͫng cho Packet 240 Bytes 15

B̫QJ7K{QJO˱ͫng cho Packet 1500 Bytes 15

B̫ng 2.10 Th͙ng kê vi͏c th͹c thi AES trên dòng Xilin Virtex FPGAs 17

B̫ng 2.11 K͇t qu̫ th͹c hi͏n IDEA trên dòng Xilinx 20

B̫ng 2.12 Thu̵t toán h͟ trͫ ÿmF{QJE͙ và th͹c hi͏n trên FPGA cͯa gi̫i thu̵WEăP 20 B̫ng 2.13 Hi͏u sṷt và di͏n tích yêu c̯u trong các công b͙ th͹c hi͏n gi̫i thu̵t EăPWUrQ)3*$ 21

B̫ng 3.1 B̫ng liên h͏ giͷa chi͉u dài khóa và s͙ O˱ͫng vòng l̿p cͯa gi̫i thu̵t AES 25 B̫ng 3.2 AES S-box 26

B̫ng 3.10 B̫ng tra bi͇Qÿ͝LQJ˱ͫc Sub-bute 37

B̫ng 3.11 C̭u hình ph̯n cͱng tham kh̫o cho RFC7321 53

B̫ng 3.12 C̭u hình ph̯n cͱng tham kh̫o cho RFC8221 53

B̫ng 3.13 Các gi̫i pháp AES-GCM tiêu chu̱n hi͏n có s̽n 54

B̫ng 3.14 th͓ s͙ chu kǤ YjWK{QJO˱ͫng dͷ li͏u t͙LÿD 55

B̫ng 3.15 ph̩m vi l͹a ch͕n các h͕ thi͇t b͓ Xilinx 55

B̫ng 4.3 K͇t qu̫ chi ti͇t Utilization sau synthesis 79

B̫ng 4.4 K͇t qu̫ chi ti͇t Utilization sau implementation 80

xi

xii

DANH SÈCH Ké HIӊU MӜT SӔ H¬07521*Ĉӄ T¬I

cho khӕi X

X vӟi bӝ ÿӃPEDQÿҫu ICB

Giao thӭF³,36HFXULW\´KD\,3VHFÿmÿѭӧc phát triӇQFKѭѫQJQj\VӁ mô tҧ ngҳn gӑn vӅ các khái niӋm và giao thӭc IPsec bao gӗm lӏch sӱ phát triӇn, công nghӋ Yjÿӏnh QJKƭDFӫa các tiêu chuҭn cӫa bӝ IPsec

1.1.1 7әQJTXDQYӅOӏFKVӱFӫD,3VHF

VҩQÿӅ lӟn vӟi phiên bҧn IP gӕc (IPv4) là sӵ giӟi hҥQNK{QJJLDQÿӏa chӍ Tình trҥng này phát sinh do sӵ mӣ rӝng và phát triӇn nhanh chóng cӫa mҥng Internet toàn cҫu YѭӧWTXiPRQJÿӧi cӫDFRQQJѭӡLNKL,3YÿѭӧFSKiWPLQK1JѭӡLWDÿmNK{QJWtQKÿӃn sӵ bùng nә cӫD,QWHUQHWQKѭKLӋn nay Và hiӋn tҥLQyÿmGүQÿӃn mӝt vҩQÿӅ khác lӟn KѫQWKLӃXSKѭѫQJWLӋQÿӇ ÿҧm bҧo an ninh trên mҥng nӝi bӝ IP [1]

Mӝt sӕ SKѭѫQJSKiSÿmSKiWWULӇn qua nhiӅXQăPÿӇ giҧi quyӃt nhu cҫu vӅ bҧo mұt Hҫu hӃt trong sӕ Qj\ÿӅu tұp trung ӣ nhӳng lӟSFDRWURQJVѫÿӗ OSI 7 lӟSÿӇ bù ÿҳp cho sӵ thiӃu bҧo mұt cӫa IP Nhӳng giҧi pháp này chӍ có giá trӏ tình huӕng nhҩt ÿӏQKQKѭQJFK~QJNK{QJGӉ GjQJÿӇ tәng quát hóa cho toàn bӝ thiӃt bӏ và ӭng dөng bӣi vì chúng ÿһc biӋt khác nhau cho các ӭng dөng Ví dө: chúng ta có thӇ sӱ dөng lӟp cәng bҧo mұt ± Secure Sockets Layer (SSL) cho mӝt sӕ ӭng dөng nhҩW ÿӏQK QKѭ WUX\ Fұp ³:RUOG:LGH:HE´KRһc giao thӭc truyӅn tӋp ± )LOH7UDQVIHU3URWRFRO)73 QKѭQJFyrҩt nhiӅu các ӭng dөng khác mà loҥi bҧo mұt này không thӇ làm viӋFÿѭӧc [1]

'RÿyÿLӅu thұt sӵ cҫn thiӃt là mӝt giҧi pháp cho phép bҧo mұt ӣ cҩSÿӝ IP, các giao thӭc lӟSFDRKѫQWURQJ7&3,3FyWKӇ tұn dөQJÿѭӧc lӧi thӃ cӫa nó Khi quyӃWÿӏnh tҥo ra chuҭn IP mӟi (IPv6), sӵ thiӃu bҧo mұWQKѭ,3YYүQFKѭDÿѭӧc khҳc phөc triӋWÿӇ Yjÿk\OjFѫKӝLYjQJÿӇ IPsec giҧi quyӃt vҩQÿӅ bҧo mұt Công nghӋ bҧo mұt mӟLÿѭӧc phát triӇn vӟL,3YQKѭQJGRPҩt nhiӅXQăPÿӇ phát triӇn và triӇn khai, và nhu cҫu bҧo mұt hiӋn nay, thì giҧLSKiSÿѭӧc thiӃt kӃ ÿӇ có thӇ sӱ dөng cho cҧ IPv4 và IPv6 [1]

Công nghӋ mang lҥi sӵ an toàn, bҧo mұt trong giao tiӃp mҥQJ,3ÿѭӧc gӑLOj³,36HFXULW\´YLӃt tҳt là IPsec hay IPSEC

1.1.2 7әQJTXDQYӅFKӭFQăQJFӫD,3VHF

IPsec không phҧi là mӝt giao thӭFÿѫQOҿ mà là mӝt tұp hӧp các dӏch vө và giao thӭc cung cҩp mӝt giҧi pháp bҧo mұt hoàn chӍnh cho mҥng IP Nhӳng dӏch vө và giao thӭc kӃt hӧSÿӇ cung cҩp tính bҧo mұt cho hӋ thӕng Vì IPsec hoҥWÿӝng ӣ lӟp IP (hay lӟp Network), nên nó có thӇ cung cҩp các biӋn pháp bҧo vӋ này cho mӑi ӭng dөng hoһc giao thӭc TCP/IP lӟSFDRKѫQPjNK{QJFҫQFiFSKѭѫQJSKiSEҧo mұt bә VXQJÿyOjmӝt lӧi thӃ chính cӫDSKѭѫQJSKiSQj\VRYӟLFiFSKѭѫQJSKiSNKiF[1] Mӝt sӕ loҥi bҧo mұt cung cҩp bӣi IPsec bao gӗm:

- Mã hóa dӳ liӋXQJѭӡLGQJÿӇ bҧo mұt

ӭng nhu cҫu bҧo mұt cӫa chúng

PRGH ÿӇ ÿiSӭng các nhu cҫu bҧo mұt khác nhau trên các mҥng khác nhau.

1.2 Chuҭn IPsec

Vì IPsec thӵc sӵ là mӝt tұp hӧp các kӻ thuұt và giao thӭFQrQQyNK{QJÿѭӧc ÿӏQKQJKƭDQKѭPӝt tiêu chuҭn Internet duy nhҩW7KD\YjRÿyVӁ có mӝt bӝ 5)&ÿӏnh QJKƭDNLӃn trúc, dӏch vө và giao thӭc cө thӇ ÿѭӧc sӱ dөng trong IPsec Các thông sӕ này ÿѭӧc thӕng kê ӣ bҧQJGѭӟi, tҩt cҧ ÿӅXÿѭӧc công bӕ YjRWKiQJQăP[1]:

B̫ng 1.1 Các chu̱n IPSec

2401 KiӃn trúc bҧo mұt cho giao thӭc Internet

Tài liӋu chính IPsec, mô tҧ kiӃn trúc và hoҥWÿӝng chung cӫa công nghӋ, cho thҩy các thành phҫn khác nhau khӟp vӟLQKDXQKѭWKӃ nào

2402 7LrXÿӅ xác thӵc - IP Authentication Header

;iFÿӏnh giao thӭF$+$XWKHQWLFDWLRQ+HDGHU ÿѭӧc sӱ dөng cho viӋFÿҧm bҧo tính toàn vҽn dӳ liӋu và xác minh nguӗn gӕc dӳ liӋu

2403 Sӱ dөng MD5-96 vӟi ESP và AH

HMAC-Mô tҧ mӝt thuұt toán mã hóa cө thӇ ÿӇ sӱ dөng qua AH và giao thӭc ESP (Encapsulation Security 3D\ORDG ÿѭӧc gӑi là MD5 (Message Digest 5), biӃn thӇ HMAC

2404 Sӱ dөng SHA1-96 vӟi ESP và AH

HMAC-Mô tҧ mӝt thuұt toán mã hóa cө thӇ ÿӇ sӱ dөng qua AH và giao thӭc ESP gӑi là SHA-1 (Security Hash Algorithm 1), biӃn thӇ HMAC

2406 IP Encapsulating Security Payload (ESP)

Mô tҧ giao thӭc IPsec ESP, cung cҩp bҧo mұt dӳ liӋu bҵng viӋc mã hóa

2408 Internet Security Association and Key Management

Protocol (ISAKMP)

;iFÿӏQKFiFSKѭѫQJWKӭFWUDRÿәLNKyDYjÿjPSKiQbҧo mұt

2409 The Internet Key Exchange (IKE)

Mô tҧ giao thӭF,.(ÿѭӧc sӱ dөQJÿӇ ÿjPSKiQEҧo mұWYjWUDRÿәi khóa giӳa các thiӃt bӏ ÿӇ giao tiӃp an toàn Dӵa trên ISAKMP và Oakley

2412 The Oakley Key Determination Protocol

Mô tҧ mӝt giao thӭFFKXQJÿӇ WUDRÿәi khóa

1.3 HoҥWÿӝng chung, các thành phҫn và giao thӭc cӫa IPsec

IPsec cung cҩp dӏch vө bҧo mұt ӣ lӟp IP cho các ӭng dөng và giao thӭc TCP/IP NKiFÿӇ sӱ dөQJĈLӅXQj\FyQJKƭDOj,3VHFFXQJFҩp các công cө mà các thiӃt bӏ trên mҥng TCP/IP cҫQÿӇ giao tiӃp an toàn Khi hai thiӃt bӏ (mӝt trong hai là máy chӫ và QJѭӡi dùng cuӕi hoһc thiӃt bӏ WUXQJJLDQQKѭEӝ ÿӏnh tuyӃn ± routers hoһFWѭӡng lӱa)

3

muӕn tham gia vào giao tiӃp bҧo mұt, chúng phҧi thiӃt lұp mӝWÿѭӡng dүn bҧo mұt giӳa các thiӃt bӏ có thӇ ÿLTXDQKLӅu hӋ thӕng trung gian không bҧo mұWĈӇ thӵc hiӋQÿLӅu này, hӑ phҧi thӵc hiӋn (ít nhҩt) các tác vө sau [1]:

- PhҧLÿӗng ý vӅ mӝt bӝ giao thӭc bҧo mұt sӁ sӱ dөQJÿӇ mӛLQJѭӡi gӱi dӳ liӋu trong mӝWÿӏnh dҥng khác có thӇ hiӇu

- Phҧi quyӃWÿӏnh mӝt thuұt toán mã hóa cө thӇ ÿӇ sӱ dөng trong dӳ liӋu mã hóa - PhҧLWUDRÿәLFiFNKyDÿѭӧc sӱ dөQJÿӇ mӣ khóa dӳ liӋu cӫa dӳ liӋXÿmÿѭӧc mã hóa - Sau khi hoàn thành các công viӋc nӅn tҧng này, mӛi thiӃt bӏ phҧi sӱ dөng các giao thӭFSKѭѫQJWKӭFYjNKyDWUѭӟFÿyÿmWKҧo luұQÿӇ mã hóa dӳ liӋu và gӱi dӳ liӋXÿmPiKyDÿyTXDPҥng

1.3.1 Giao thӭc cӕt lõi IPsec

AH và ESP là hai giao thӭFFKtQKÿѭӧc sӱ dөng bӣi IPsec, chúng hoҥWÿӝng ӣ wire-OHYHO QKѭ WURQJ KuQK Gѭӟi, hai thành phҫQ ÿѭӧc gӑi là giao thӭc cӕt lõi - ³FRUHSURWRFRO´Fӫa Ipsec [1]:

Hình 1.1 - Giao thͱc c͙t lõi IPsec

IPsec Authentication Header (AH) [1]ÿѭӧc sӱ dөQJÿӇ xác thӵc ± QKѭQJNK{QJmã hóa ± OѭXOѭӧng IP Nó xác thӵc bҵng cách tính toán mӝt mã xác thӵc tin nhҳn dӵa WUrQPmKyDEăPWUrn hҫu hӃWFiFWUѭӡng cӫa gói IP (không bao gӗm nhӳQJWUѭӡng có thӇ ÿѭӧc sӱDÿәi trong quá trình chҷng hҥQQKѭKHDGHUFKHFNVXP YjOѭXWUӳ QKѭPӝt WLrXÿӅ (AH header) mӟLÿѭӧc thêm vào và gӱLÿӃQÿҫXNLD7LrXÿӅ Qj\ÿѭӧc chèn vào giӳa bҧn gӕc IP header và payload

Encapsulating Security Payload (ESP) [1]: cung cҩp mã hóa và xác thӵc tùy chӑn Nó bao gӗPFiFWUѭӡQJWLrXÿӅ YjWUDLOHUÿӇ hӛ trӧ mã hóa và xác thӵc lҥi tùy chӑn Mã KyDFKRJyL,3ÿѭӧc hӛ trӧ trong chӃ ÿӝ transport và cho toàn bӝ gói trong chӃ ÿӝ tunnel Xác thӵc áp dөQJFKRWLrXÿӅ ESP và mã hóa dӳ liӋu

1.3.2 ChӃ ÿӝ hoҥWÿӝng cӫa IPsec

IPsec có hai chӃ ÿӝ hoҥWÿӝng:

- IPsec Transport mode: chӃ ÿӝ transport cung cҩp mӝt kӃt nӕi an toàn giӳDKDLÿLӇm cuӕLYuQyÿyQJJyL,3SDyload

4

Transport layer payload

Transport layer payload

IP payload

IP-HTransport layer

IPsec layer

Network layer

Hình 1.2 - IPsec Transport mode

+ Mã hóa và tùy chӑn xác thӵc dӳ liӋu IP + Có thӇ SKkQWtFKOѭXOѭӧng

+ TӕWFKROѭXOѭӧng máy chӫ ESP host to host

- IPsec Tunnel mode: có chӭFQăQJWѭѫQJWӵ QKѭ931WURQJÿyWRjQEӝ gói IP packets ÿѭӧFÿyQJJyLErQWURQJYjJӱLÿӃQÿtFK1yÿyQJJyLÿҫ\ÿӫ KHDGHU,3FNJQJQKѭpayload

IPsec layer

Network layer

New header

Hình 1.3 - IPsec Tunnel mode

+ Mã hóa toàn bӝ IP packet

+ Thêm header mӟLFKREѭӟc tiӃp theo

+ Không có bӝ ÿӏnh tuyӃn nào có thӇ kiӇPWUDÿѭӧc header IP bên trong + Tính bҧo mұt cao cho mҥng VPNs, gateway to gateway

1.3.3 Vai trò và lӧi ích cӫa IPsec

1.3.3.1 Vai trò cͯa IPsec

Cho phép xác thӵc hai chiӅXWUѭӟc và trong quá trình truyӅn tҧi dӳ liӋu 0mKyDÿѭӡng truyӅn giӳDPi\NKLÿѭӧc gӱi qua 1 mҥng

Bҧo vӋ gói dӳ liӋu IP và phòng ngӵ WUѭӟc các cuӝc tҩn công mҥng không bҧo mұt Bào vӋ FiFOѭXOѭӧng bҵng viӋc sӱ dөQJPmKyDYjÿiQKGҩu dӳ liӋu

5

&KtQKViFK,3VHFFKRSKpSÿӏQKQJKƭDUDFiFORҥLOѭXOѭӧng mà IPSec kiӇm tra YjFiFOѭXOѭӧQJÿyVӁ ÿѭӧc bҧo mұWYjPmKyDQKѭWKӃ nào

'Rÿy,3VHFFXQJFҩp các gói phòng thӫ chuyên sâu chӕng lҥi:

- Các cuӝc tҩn cӝng mҥng tӯ FiFPi\WtQKNK{QJÿiQJWLn cұy, và các cuӝc tҩn công có thӇ dүQÿӃn viӋc tӯ chӕi cung cҩp dӏch vө cӫa các ӭng dөng hoһc dӏch vө mҥng - ĈiQKFҳp dӳ liӋu

- Trӝm cҳSWK{QJWLQQJѭӡi dùng

- KiӇm soát quҧn trӏ máy chӫ (servers), máy tính khác và mҥng

1.3.3.2 Lͫi ích cͯa IPsec

Tính bҧo mұt: Bҵng cách mã hóa dӳ liӋu

Tính toàn vҽn: Bӝ ÿӏnh tuyӃn (router) tҥi mӛLÿLӇm cuӕi cӫDÿѭӡng hҫm tính toán ÿҧm bҧo giá trӏ checksum hoһc giá trӏ EăPKDVKYDOXH Fӫa dӳ liӋXÿѭӧc bҧo toàn

,36HFÿѭӧc thӵc hiӋQErQGѭӟi lӟS7&3Yj8'3ÿӗng thӡi nó hoҥWÿӝng trong suӕWÿӕi vӟi các lӟp này Do vұy không cҫn phҧLWKD\ÿәi phҫn mӅm hay cҩu hình lҥi các dӏch vө NKL,36HFÿѭӧc triӇn khai

6

IPSec có thӇ ÿѭӧc cҩXKuQKÿӇ hoҥWÿӝng mӝt cách trong suӕWÿӕi vӟi các ӭng dөQJÿҫu cuӕLÿLӅu này giúp che dҩu nhӳng chi tiӃt cҩu hình phӭc tҥSPjQJѭӡi dùng phҧi thӵc hiӋn khi kӃt nӕLÿӃn mҥng nӝi bӝ tӯ xa thông qua internet [2]

ThiӃt lұp kӃt nӕi extranet và mҥng nӝi bӝ vӟLFiFÿӕi tác: IPsec có thӇ ÿѭӧc sӱ dөQJÿӇ bҧo mұt liên lҥc vӟi các tә chӭFNKiFÿҧm bҧo xác thӵc và bҧo mұWFNJQJQKѭcung cҩSFѫFKӃ WUDRÿәi khóa (key exchange)

7ăQJFѭӡng bҧo mұWWURQJWKѭѫQJPҥLÿLӋn tӱ: mһc dù mӝt sӕ ӭng dөQJWKѭѫQJmҥLÿLӋn tӱ YjFiFWUDQJZHEWKѭѫQJPҥLÿLӋn tӱ ÿmWtFKKӧp các giao thӭc bҧo mұt, tuy nhiên viӋc sӱ dөng IPsec sӁ cӫng cӕ thêm tính bҧo mұt và an toàn cho các hӋ thӕng WKѭѫQJPҥLÿLӋn tӱ ÿDQJFy[2]

1.4.3 KhuyӃWÿLӇm cӫa IPsec

Tҩt cҧ FiFJyLÿѭӧc xӱ lý theo IPsec sӁ bӏ WăQJNtFKWKѭӟc do phҧi thêm vào các WLrXÿӅ NKiFQKDXYjÿLӅXQj\OjPFKRWK{QJOѭӧng hiӋu dөng cӫa mҥng giҧm xuӕng VҩQÿӅ này có thӇ ÿѭӧc khҳc phөc bҵng cách nén dӳ liӋXWUѭӟFNKLPmKyDVRQJFiFNƭthuұWQKѭYұy vүQFzQÿDQJQJKLrQFӭXYjFKѭDÿѭӧc chuҭn hóa

,36HFÿѭӧc thiӃt kӃ chӍ ÿӇ hӛ trӧ bҧo mұWFKROѭXOѭӧng IP, không hӛ trӧ các dҥng lѭXOѭӧng khác

ViӋc tính toán nhiӅu giҧi thuұt phӭc tҥp trong IPSec vүn còn là mӝt vҩQÿӅ khó ÿӕi vӟi các trҥm làm viӋc và máy PC cҩu hình yӃu

ViӋc phân phӕi các phҫn cӭng và phҫm mӅm mұt mã vүn còn bӏ hҥn chӃ ÿӕi vӟi chính phӫ mӝt sӕ quӕc gia [2]

7

1ѬӞC

2.1 ĈiQKJLiWuQKKuQKEҧo mұt hiӋn tҥi

An ninh mҥng là mӝt vҩQÿӅ quan trӑQJÿӕi vӟi viӋc áp dөng các công nghӋ mӟi trong mӑLOƭQKYӵc cӫa xã hӝi và nӅn kinh tӃĈLӅXQj\ÿһc biӋt quan trӑQJÿӕi vӟi các giao dӏFKÿLӋn tӱÿk\OjÿLӅu kiӋn tiên quyӃWÿӇ truyӅQÿҥt niӅPWLQYjRQJѭӡi dùng [3] Tuy nhiên, các mӕLÿHGӑa hiӋn tҥLYjWѭѫQJODLÿӕi vӟi an ninh mҥng vүn còn nghiêm trӑng và cҫQÿѭӧc nhìn nhұn mӝWFiFKQJKLrPW~FÿLӅXQj\WK~Fÿҭy cho viӋc tiӃp tөc ÿҫXWѭQJKLrQFӭXYjROƭQKYӵc này [4]

Theo khҧo sát cӫa Computer Security Institute (CSI), chi phí trung bình hàng QăPGRWӝi phҥm an ninh mҥQJWăQJJҩSÿ{LWURQJQăPVRYӟLQăPWUѭӟc Các công ty báo cáo thiӋt hҥL WUXQJ EuQK QăP Oj  WURQJ QăP  WăQJ Pҥnh so vӟi $168.000 trong QăP[5] Các dӳ liӋXQj\ÿmSKҧn ánh tình hình nghiêm trӑng vӅ an ninh mҥQJFNJQJQKѭFiFWKjQKWӵXÿҥWÿѭӧc trong trұn chiӃn này

Các cuӝc tҩn công có mөFÿtFKÿmWUӣ thành mӝW[XKѭӟng trong an ninh mҥng Mӝt cuӝc tҩn công có mөFÿtFKOjPӝt cuӝc tҩn công phҫn mӅPÿӝc hҥi nhҵm vào mӝt tә chӭc hoһc các tә chӭc trong mӝt khu vӵc hay mӝt thӏ WUѭӡng nhҩWÿӏnh [6] Khoҧng 20% sӕ QJѭӡLÿѭӧc hӓi cӫa cuӝc khҧo sát cӫD&6,ÿmWUҧi qua sӵ cӕ an ninh này Các cuӝc tҩn công nhҳm vào mөc tiêu phҥm vi hҽSQKѭYұ\ÿDQJWUӣ nên phә biӃQKѫQEDRgiӡ hӃt [6]

Là mӝt loҥi tҩn công có mөFÿtFKQәi tiӃng nguy hiӇm, Denial-of-Service (DoS) tiӃp tөFÿHGӑDÿӃn an ninh mҥng Tӯ QăPFiFFXӝc tҩn côQJ'R6ÿmSKiWWULӇn nhanh chóng và là mӝt trong nhӳng mӕLÿHGӑDFKtQKÿӕi vӟi tính khҧ dөQJYjÿӝ tin cұy cӫa các dӏch vө trên mҥng KiӇu tҩQF{QJQj\ÿѭӧc liӋt kê là nguyên nhân gây ra tәng chi phí do tӝi phҥm an ninh mҥng cao thӭ KDLWURQJQăP0һc dù tӹ lӋ tәn thҩt do các cuӝc tҩn công DoS trӵc tiӃSJk\UDÿmJLҧm trong nhӳQJQăPJҫQÿk\QKѭQJtәng thiӋt hҥi lҥLÿDQJJLDWăQJ1JX\rQQKkQOjGRWәn thҩt tài chính phát sinh mӛi phút sau khi mӛi trang web bӏ hӓng [5]

Ngoài UD[XKѭӟng cӫa các mӕLÿHGӑa nguy hiӇPÿmWKD\ÿәLWKHRKѭӟng sâu rӝQJSKkQWiQPmÿӝc hҥi trên internet và phҫn mӅPJLiQÿLӋp Khi kӃt hӧp vӟi các cuӝc tҩn công DoS, thiӋt hҥi vӅ tài chính có thӇ là rҩt cao Ví dө, CodeRed, mӝt con sâu nәi tiӃQJÿѭӧc tích hӧp tҩQF{QJ'R6ÿmOk\QKLӉPKѫQKӋ thӕng chӍ trong 9 giӡ YjRQJj\WKiQJQăP[7]; và nhiӅu loҥLVkX0\'RRPPDQJFiFFKѭѫQJWUuQKtҩn công DoS kích hoҥt theo thӡi gian, gây ra các hұu quҧ nһng nӅ YjRQăP004 [8]

2.2 Bҧo mұWFѫVӣ hҥ tҫng mҥng

ViӋc bҧo vӋ FѫVӣ hҥ tҫng mҥQJÿmÿѭӧFѭXWLrQFDRGRFiFWtQKQăQJFѫEҧn cӫa QyOjÿӇ bҧo vӋ dӳ liӋXWKѭѫQJPҥLÿLӋn tӱ và thұm chí cҧ an ninh quӕc gia [9] Mӝt mҥQJÿáng tin cұy nên có ít nhҩt hai mӭFÿӝ bҧo mұt: bҧo mұt thông tin và bҧo mұWFѫsӣ hҥ tҫng Bҧo mұt thông tin dӵa trên lý thuyӃt thông tin và chӫ yӃu tұp trung vào bҧo vӋ dӳ liӋu bҵng các kӻ thuұWQKѭ[iFWKӵc và mã hóa [10] Mһc dù quan trӑQJQKѭQJchӫ ÿӅ này nҵm ngoài phҥm vi cӫa bài báo cӫa chúng tôi Mһt khác, bҧo mұWFѫVӣ hҥ tҫng tұp trung vào viӋc bҧo vӋ tài nguyên mҥng, thӭ GQJÿӇ hӛ trӧ chia sҿ thông tin [11] Tҫm quan trӑng và tính cҩp thiӃt cӫa nó dҫn dҫQÿѭӧFFRLOjWѭѫQJÿѭѫQJYӟi bҧo mұt thông tin vӟi sӵ xuҩt hiӋQYjWăQJQKDQKFӫa các mӕLÿHGӑa nhҳPYjRFѫVӣ hҥ tҫng

Rҩt ít vҩQÿӅ bҧo mұWÿm ÿѭӧFÿѭDYjRWjLNKRҧQYjÿѭӧc tiêu chuҭQKyDQKѭOjcác giao thӭc trong thiӃt kӃ EDQÿҫu cӫa Internet Sӵ thiӃu hөWErQWURQJQj\ÿmFKRSKpSnhiӅXFѫKӝi tҩn công Các nguyên nhân khác cӫa lӛ hәQJWURQJFѫVӣ hҥ tҫng mҥng bao gӗm lҳSÿһt thiӃu sót, cҩu hình sai và sai sót trong lӵa chӑn cҩu trúc liên kӃt và giao thӭc MһFGWuQKKuQKÿmÿѭӧc cҧi thiӋn nhӡ sӵ xuҩt hiӋn cӫa các giao thӭc bҧo mұt QKѭ,36HFEҧo mұt IP) [14], cҫn có thӡLJLDQÿӇ FK~QJÿѭӧc áp dөng rӝng rãi Ngoài ra, sӵ WăQJWUѭӣng theo cҩp sӕ nhân cӫD,QWHUQHWÿmGүQÿӃn mӝWFѫVӣ hҥ tҫng mҥng NK{QJÿӗng nhҩt có thӇ làm chұm lҥi viӋc chҩp nhұn các giҧi pháp giao thӭc KӃt quҧ là, các chiӃQOѭӧc bҧo mұt bӏ quá hҥQÿӇ có thӇ bҧo vӋ FѫVӣ hҥ tҫng mҥQJĈӇ cung cҩp chҩWOѭӧng dӏch vө FKRQJѭӡi dùng, mӝWFѫVӣ hҥ tҫng mҥng mҥnh mӁ là bҳt buӝc

NhiӅu giҧi pháp bҧo mұWFѫVӣ hҥ tҫng dӵDWUrQSKkQWtFKOѭXOѭӧng mҥng [15] 'RÿyEҩt kǤ ӭng dөng hӳXtFKQjRFKRSKkQWtFKOѭXOѭӧng có thӇ ÿѭӧc coi là mӝt ӭng dөng bҧo mұWWURQJOƭQKYӵc an ninh mҥng Xӱ lý dòng TCP, phân loҥLJyLÿӕi chiӃu mүu, phòng thӫ tҩn công chuӝWFKYjQJăQFKһQVkXOjÿҥi diӋn cho các loҥi ӭng dөng chính, tұp trung vào các phҫn cө thӇ trong bҧo mұWFѫVӣ hҥ tҫng mҥng [16] [17] HӋ thӕng phát hiӋn xâm nhұp mҥng và hӋ thӕQJQJăQFKһn xâm nhұp mҥng, ӣ SKѭѫQJGLӋn khác, tұp trung vào sӵ bҧo mұt cӫa toàn bӝ FѫVӣ hҥ tҫng [18]

2.3 Yêu cҫu cho mӝt ӭng dөng bҧo mұt thành công

Sau khi khҧo sát các ӭng dөng bҧo mұt hiӋn tҥLOLrQTXDQÿӃQFѫVӣ hҥ tҫng mҥng, thҩy rҵng mӝt giҧLSKiSWKjQKF{QJWKѭӡQJPDQJFiFÿһFÿLӇm sau:

- Bҧo vӋ thӡi gian thӵF1yOjÿLӅu cҫn thiӃt cho mӝWFѫFKӃ bҧo vӋ hiӋu quҧ ÿӇ xӱ lý dӳ liӋu ӣ tӕFÿӝ cao vӟi chi phí phҧLFKăQJ7ҩt cҧ OѭXOѭӧng truy cұp phҧLÿѭӧc kiӇm tra mӝt cách kӏp thӡi, và tҥo ra cҧnh báo mӝt cách chính xác khi các tình huӕng bҩt WKѭӡng xҧy ra

- Cұp nhұt linh hoҥt Các cuӝc tҩn công nguy hiӇm liên tөc phát triӇn yêu cҫu các giҧi pháp bҧo mұt phҧLWKtFKQJKLÿӇ duy trì hiӋu quҧ Bҧn cұp nhұt có thӇ OjFѫVӣ dӳ liӋu tri thӭc (signatures) mà phân tích bҧo mұt phө thuӝc vào, giҧi pháp mӟLÿӇ giҧi quyӃt hoһc thұm chí là chính hӋ thӕng ViӋc cұp nhұt mӝt ӭng dөQJWKѭӡng sӁ thӵc tӃ hѫQlà thay thӃ nó

- KiӇm soát tӕt khҧ QăQJPӣ rӝng Khҧ QăQJPӣ rӝng là mӝt mӕi quan tâm quan trӑng NKiFÿӇ triӇn khai thӵc tӃ NhiӅXSKѭѫQJSKiSÿѭӧc báo cáo hoҥWÿӝng tӕt trên mӝt mҥQJ Oѭӟi nghiên cӭu có quy mô nhӓ QKѭQJ KLӋu suҩt cӫa chúng giҧP ÿL QKDQK

9

FKyQJNKLÿѭӧc triӇn khai tӟi các mҥng quy mô thӵc tӃ, chҷng hҥQQKѭPҥng cҩp WUѭӡng hoһc lӟQKѫQ/êGRFKtQKFKRÿLӅu này là sӵ phӭc tҥp cӫa hӋ thӕQJWKѭӡng WăQJQKDQKKѫQQKLӅu so vӟLNtFKWKѭӟc mҥng mà nó hoҥWÿӝng

2.4 Mӝt sӕ ÿӅ tài nghiên cӭXQJRjLQѭӟc tham khҧo cho luұQYăQ

2.4.1 Thӵc hiӋn bӝ giao thӭc IPsec cho mҥng multigigabit trên FPGA

ĈӅ tài: Mateusz Korona, Krzysztof Showron, Mateusz Trzepinski, Mariusz

5DZVNL    ³7Kӵc hiӋn bӝ giao thӭc IPsec cho mҥQJ PXOWLJLJDELW WUrQ )3*$´Poland

2.4.1.1 Tóm t̷Wÿ͉ tài

IPsec là mӝt bӝ các giao thӭc bә sung tính bҧo mұt cho giao tiӃp ӣ cҩp IP Tuy nhiên, sӭc mҥQKWtQKWRiQFDRÿѭӧc yêu cҫu bӣi các thuұt toán IPsec giӟi hҥn hiӋXQăQJkӃt nӕi mҥng Bài viӃt trình bày viӋc triӇn khai phҫn cӭng cәng IPsec trong FPGA HiӋu quҧ cӫa giҧLSKiSÿѭӧFÿӅ xuҩt cho phép sӱ dөng IPsec trong các mҥng có tӕFÿӝ dӳ liӋu tҫm vài Gbit/s

2.4.1.2 Giͣi thi͏u

Cùng vӟi sӵ phát triӇn không ngӯng cӫa internet, nhӳng trang web toàn cҫu càng dӉ bӏ tәQWKѭѫQJEӣi nhiӅu cuӝc tҩn công mҥng Dӳ liӋXÿѭӧc truyӅn qua nhiӅu bӝ ÿӏnh tuyӃn (router), và kӃt quҧ là dӉ bӏ chһQSDFNHWVQLIILQJ &iFSKѭѫQJWKӭc tҩn công chӫ ÿӝng, bao gӗm giҧ mҥo gói dӳ liӋXFNJQJÿѭӧc sӱ dөng Toàn cҫu hóa vӅ mһt kinh tӃ ÿmWăQJQKXFҫu vӅ FiFFѫFKӃ truyӅn thông an toàn cho các công ty quӕc tӃ và bҧo vӋ lӧi nhuұQÿѭӧc tҥo ra bӣLNLQKGRDQKÿLӋn tӱÿLӅXQj\ÿmWK~Fÿҭy tҥRUDFiFFѫFKӃ an toàn thích hӧp

Mһc dù các giҧLSKiSQK~QJÿѭӧc áp dөng trong các lӟSFDRKѫQFӫa mô hình 26,QKѭ66/KRһc SSH), công viӋc trên IPsec, bӝ giao thӭc cung cҩp bҧo mұt trong lӟp thӭ ba cӫD26,50ÿmÿѭӧc bҳWÿҫXѬXÿLӇm chính cӫDQyOj³WtQKPLQKEҥFK´FKRcác lӟSFDRKѫQ1yKRҥWÿӝng vӟi các giao thӭc mҥng khác nhau và cho phép dӉ dàng chuyӇQÿәi giӳa các thuұWWRiQPmKyDWURQJWUѭӡng hӧp vi phҥm chuҭn an toàn) Vӟi IPsec, có thӇ tҥo ra VPN (Mҥng riêng ҧo ± Virtual Private Networks) phù hӧp vӟi nhu cҫXNLQKGRDQKÿLӋn tӱ nói trên

Tӗn tҥi mӝt loҥt các giҧi pháp IPsec có sҹn ViӋc triӇn khai phҫn mӅm nguӗn mӣ chӍ phù hӧp cho sӱ dөng cá nhân (ví dө: Linux OpenWRT distribution [19]ÿѭӧc thiӃt kӃ cho các bӝ ÿӏnh tuyӃQJLDÿuQKFXQJFҩSWK{QJOѭӧng hàng chөc Mbit/s) Các giҧi pháp hiӋu quҧ KѫQÿzLKӓi tài nguyên phҫn cӭng nhiӅXKѫQKѫQFKөc lõi bӝ xӱ Oê ÿӇ ÿҥWÿѭӧFWK{QJOѭӧng tӕLÿDOj*ELWVGӵ án strongSwan [21]) TriӇQNKDLWKѭѫQJPҥi WKѭӡng sӱ dөng hӛ trӧ phҫn cӭng (ví dөWKѭ viӋQ,QWHO,3VHFÿѭӧc thiӃt kӃ cho bӝ vi xӱ lý Intel Architecture vӟi bӝ lӋnh mӣ rӝng [22]) Nhӳng giҧi pháp này cung cҩp thông OѭӧQJFDRKѫQWKHRWKӭ tӵ cӫa mӝt sӕ Gbit/s, [23] [24]