Bài viết đưa ra lược đồ cứng hóa giao thức trên nền công nghệ FPGA để tăng độ mật, tăng tốc độ xử lý gói tin. Các giai đoạn của giao thức được thực hiện theo nguyên lý xử lý song song và được cài đặt trên ngôn ngữ VHDL.
Cơng nghệ thơng tin XÂY DỰNG THUẬT TỐN, THỬ NGHIỆM ĐÁNH GIÁ MƠ HÌNH CỨNG HĨA GIAO THỨC IKEv2.0 Nguyễn Văn Thành1, Hồng Đình Thắng2*, Trần Bình Minh2, Đỗ Ngọc Phục2 Tóm tắt: Giao thức IKEv20 thơng thường thực phần mềm sử dụng mã nguồn mở Bài báo đưa lược đồ cứng hóa giao thức công nghệ FPGA để tăng độ mật, tăng tốc độ xử lý gói tin Các giai đoạn giao thức thực theo nguyên lý xử lý song song cài đặt ngôn ngữ VHDL Giao thức chạy dòng chíp Series, Series hãng Xilinx Từ khóa: Mã hóa, Bảo mật, IKEv2.0 ĐẶT VẤN ĐỀ Để tăng độ mật tốc độ hệ thống bảo mật thông tin mạng internet vấn đề cần giải phải cứng hóa giao thức IKE tảng phẩn cứng, thời công nghệ phù hợp với Việt Nam công nghệ FPGA Giao thức IKEv2.0 sử dụng phổ biến thời điểm Để cứng hóa giao thức IKEv2.0 trước hết cần giải tốn sau: - Cứng hóa thuật tốn trao đổi khóa Diffie–Hellman; - Cứng hóa thuật tốn mã hóa, xác thực, hàm băm; - Cứng hóa giai đoạn trao đổi khóa Trong vấn đề tốn cứng hóa thuật tốn trao đổi khóa, thuật tốn mã hóa, xác thực, tính tốn hàm băm để tối ưu tài nguyên toán đặc biệt quan trọng, chiếm lượng tài nguyên lớn toàn hệ thống XÂY DỰNG LƯỢC ĐỒ XỬ LÝ Sơ đồ miêu tả lược đồ IPSec tổng quan hệ thống đưa hình Hình Cấu trúc tổ chức hệ thống IPSEC Như ta thấy hình sơ đồ khối chức bao gồm khối: - IP filter: Thực chức phân tích gói để xác định gói nằm SAD hay nằm SAD - IKE: Thực nhiệm vụ trao đổi khóa bao gồm: Tạo số ngẫu nhiên; Thực thuật toán trao đổi khóa Diffie–Hellman cong ECC; Thực giao thức trao đổi khóa chuẩn IKEv2.0 - Khối ESP: Thực giao thức mã hóa xác thực khối liệu truyền-nhận đến thiết bị 186 N V Thành, …, Đ N Phục, “Xây dựng thuật toán, thử nghiệm … giao thức IKEv2.0.” Nghiên cứu khoa học công nghệ - Khối IPSEC control: thực việc điều khiển đồng toàn hệ thống; Khối IP packet: thực việc đóng gói giữ liệu theo chuẩn TCP/IP IKE_SA_INIT (Request) IKE_SA_INIT (Response) IKE_AUTH (Request) IKE_AUTH (Response) INITIATOR CREAT_CHILD (Request) RESPONDER CREAT_CHILD (Response) INFORMATION (Request) INFORMATION (Response) Hình Các bước tạo tính tốn trao đổi khóa sở IKEv2.0 Lược đồ trao đổi khóa sở IKEv2.0 thực theo bước hình bao gồm pha trao đổi khóa Pha 1: bao gồm bước Bước 1, pha 1: tạo IKE SA tính tốn nhân bảo mật; - Thương lượng thuật tốn trao đổi khóa; - Tính tốn khóa bí mật cho IKE; - Tính tốn nhân bảo mật để tính tốn khóa IPSec pha Bước thực việc tạo số ngẫu nhiên, tính tốn trao đổi khóa Diffie– Hellman Sau hai tin trao đổi thực hiện, thiết bị cần tính tốn SKEYSEED sở giá trị KEi KEr Phần cứng FPGA bước thực chất làm việc: - Thực tính tốn DH để tính tốn giá trị KEi, KEr; - Thực tính tốn giá trị khóa chung sở KEi, KEr; - Tính tốn khóa SKEYSEED dựa vào hàm giả ngẫu nhiên thương lượng giá trị khóa chung, tham số ngẫu nhiên gửi tin trao đổi khóa; - Tính tốn khóa cho việc mã hóa, xác thực, bảo vệ tính tồn vẹn cho bước 2, pha thơng qua tham số tính tốn bên hàm giả ngẫu nhiên thương lượng Bước 2, pha 1: Xây dựng cặp xác thực thương lượng thuật toán giao thức IPSec; - Xác thực lẫn nhau; Tạp chí Nghiên cứu KH&CN quân sự, Số Đặc san CNTT, 12 - 2017 187 Công nghệ thông tin - Thương lượng thuật toán IPsec Bước 2, pha thực chất xác thực lại thuật toán tham số thương lượng pha Nhiệm vụ bước bao gồm: - Tạo payload sở giá trị tính tốn thương lượng bước 1; - Mã hóa gói tin mã trao đổi; - Tính tốn xác thực lại tham số trao đổi; - Thương lượng lại thuật toán cho pha Pha 2: Tạo SA - Thiết lập SA cho AH ESP 2.1 Thực tính tốn trao đổi khóa Diffie–Hellman Lược đồ tính tốn trao đổi khóa sử dụng sở đường cong ECC, miêu tả hình (https://tools.ietf.org/html/rfc5753) Hình Các bước tính tốn trao đổi khóa dựa đường cong Eliptic Phép nhân điểm tính tốn đường cong ECC thực hiên hình: Hình Phép nhân điểm thực FPGA 2.2 Thực hàm giả ngẫu nhiên sử dụng thuật toán SHA – 256 188 N V Thành, …, Đ N Phục, “Xây dựng thuật toán, thử nghiệm … giao thức IKEv2.0.” Nghiên cứu khoa học công nghệ Lược đồ tính tốn phép tốn giả ngẫu nhiên thực hình Hình Lược đồ tính tốn hàm giả ngẫu nhiên SHA – 256 2.3 Thực tạo tín hiệu ngẫu nhiên tảng công nghệ FPGA Cơ sở để tạo số ngẫu nhiên Xilinx FPGA dựa vào đặc tính jitter xung clock chíp, giá trị jitter chíp FPGA điều chỉnh nhân tần PLL tài nguyên chíp Kỹ thuật thông thường sử dụng để tạo bit ngẫu nhiên FPGA sử dụng mạch đảo mạch XOR giống hình Hình Mạch dao động vòng sở sử dụng mạch đảo mạch XOR Bằng việc lấy mẫu đầu ra, mạch vòng sở bit dao động ngẫu nhiên lấy mẫu với giá trị ngẫu nhiên tương ứng Hình miêu tả mạch lấy mẫu bit sử dụng mạch fip-flop Hình Mạch lấy mẫu bit ngẫu nhiên Bài toán thực tạo giả ngãu nhiên sở 1024 vòng dao động hình KẾT QUẢ THỬ NGHIỆM 3.1 Kết thử nghiệm lược đồ trao đổi khóa Diffie–Hellman Kiểm tra phép tính: xP = "010" & x"fe13c0537bbc11acaa07d793de4e6d5e5c94eee8"; Tạp chí Nghiên cứu KH&CN quân sự, Số Đặc san CNTT, 12 - 2017 189 Công nghệ thông tin yP = "010" & x"89070fb05d38ff58321f2e800536d538ccdaa3d9"; kP0 = "000" & x"fe13c0537bbc11acaa07d793de4e6d5e5c94eee8"; kP1 = "000" & x"89070fb05d38ff58321f2e800536d538ccdaa3d9" Hình Tính đắn phép tính k1k2P = k2k1P Kết luận: với trường hợp đặc khóa k có số bít lớn thời gian tính tốn khoảng 56663 chu kỳ clock, với clock chạy 100MHz thời gian tính tốn cho lần mã hóa là: 0,56 ms 3.2 Kết thử nghiệm tính tốn giả ngẫu nhiên sử dụng thuật toán SHA–256 Các tham số cài đặt khối HMAC-SHA1 sở phần mềm Xilinx ISE 14.5 thực với chíp Xilinx Spartan6 XC6SLX100-2 miêu tả hình 9, 10 Hình Tài nguyên sử dụng khối chíp FPGA Hình 10 Tốc độ xử lý khối chíp FPGA Nhận thấy số chu kỳ tính tốn cho block 512 bít liệu hết 64 chu kỳ clock hệ thống 3.3 Kết thử nghiệm tạo tín hiệu ngẫu nhiên tảng cơng nghệ FPGA Mơ hình test thực sau: Hình 11 Mơ hình test thuật tốn ngẫu nhiên Khi có lệnh từ máy tính mạch FPGA thực lấy mẫu tạo số ngẫu nhiên đưa lên máy tính PC số bit (tương ứng giá trị từ 0-255), 190 N V Thành, …, Đ N Phục, “Xây dựng thuật toán, thử nghiệm … giao thức IKEv2.0.” Nghiên cứu khoa học cơng nghệ máy tính thu thập lượng tính tốn xác suất số (0-255) vẽ kết thành đồ thị Như ta thấy hình, xác suất xuất số có tần xuất hình khơng giống nhau, nhiên, giá trị chúng xuất giao động quanh giá trị 0,39% tương ứng với tần xuất xuất 1/256 Hình 12 Đồ thị biểu diễn xác suất giá trị bit KẾT LUẬN Bài báo đưa giải pháp cứng hóa tồn giao thức IKEv2 dựa công nghệ FPGA, việc áp dụng công nghệ mang đến số ưu điểm sau: - Tốc độ mã hóa liệu tăng lên nhiều so với phương pháp truyền thống; - Giảm độ trễ xử lý gói; - Tăng độ mật hệ thống chuyển từ tảng phần mềm thành tảng phần cứng TÀI LIỆU THAM KHẢO [1] CJ Clark, “FPGA Security, FPGA Configuration, FPGA Bitstream”, FPGA Authentication, 2009 [2] Ted Huffmire, Thuy D Nguyen, “Managing Security in FPGA-Based Embedded Systems” 2006 [3] Lattice, FPGA Design Security Issues, 2007 [4] Viktor K Prasanna and Andreas Dandalis, “FPGA-based Cryptography for Internet Security”, 2005 [5].Thomas Wollinger, “Cryptography on FPGAs: State of the Art Implementations and Attacks” 2003 [6] Jian Huang, “FPGA Implemetations on Elliptic Curve Cryptography and Tate pairing over Binary Field”, 2007 [7] Mark McLean and Jason Moore, “FPGA-Based Single Chip Cryptographic Solution”, 2007 [8] Arshad Aziz and Nassar Ikram, “An FPGA-based AES-CCM Crypto Core For IEEE 802.11i Architecture”, 2007 [9].https://tools.ietf.org/html/rfc7402 Tạp chí Nghiên cứu KH&CN quân sự, Số Đặc san CNTT, 12 - 2017 191 Công nghệ thông tin ABTRACT IMPLEMENTATION AND EVALUATION ALGORITHM FOR IKEA PROTOCOL BASED ON FPGA In the paper, IKEv.20 protocol is implemented and evaluated based on FPGA Usually, IKEv20 protocol is implemented as software module and it is known open source project A new scheme based on FPGA is proposed in order to improving security and speed up packet processing Phases of protocol is implemented based on parallel techniques and using VHDL language The results show that this protocol can be used in hardware security module The implementation can be run on series, series of Xilinx Keyword: Security, Encryption, IKEv2.0 Nhận ngày 16 tháng năm 2017 Hoàn thiện ngày 26 tháng 11 năm 2017 Chấp nhận đăng ngày 28 tháng 11 năm 2017 Địa chỉ: Viện Vật lý kỹ thuật/ Viện KHCNQS; Viện CNTT/ Viện KHCNQS * Email: hoangdinhthang@gmail.com 192 N V Thành, …, Đ N Phục, “Xây dựng thuật toán, thử nghiệm … giao thức IKEv2.0.” ... 188 N V Thành, …, Đ N Phục, Xây dựng thuật toán, thử nghiệm … giao thức IKEv2.0. ” Nghiên cứu khoa học cơng nghệ Lược đồ tính tốn phép tốn giả ngẫu nhiên thực hình Hình Lược đồ tính tốn hàm giả... Đ N Phục, Xây dựng thuật toán, thử nghiệm … giao thức IKEv2.0. ” Nghiên cứu khoa học cơng nghệ máy tính thu thập lượng tính tốn xác suất số (0-255) vẽ kết thành đồ thị Như ta thấy hình, xác suất... Viện KHCNQS * Email: hoangdinhthang@gmail.com 192 N V Thành, …, Đ N Phục, Xây dựng thuật toán, thử nghiệm … giao thức IKEv2.0. ”