Bài viết đề xuất thực hiện một bộ bảo mật dữ liệu IPSec trên FPGA Xilinx Virtex-6. Giao thức bảo mật IP (IPSec) là một giao thức quan trọng trong giao thức bảo mật mạng được sử dụng trong lớp IP. Thông thường các bộ bảo mật IPSec đều được thực hiện bằng phần mềm như trên Windows hoặc Linux, trong IPSec các bộ xử lý, mã hóa và xác thực chiếm nhiều thời gian xử lý của CPU do đó rất khó thực hiện hệ thống IPSec tốc độ cao.
BỘ BẢO MẬT IP (IPSEC) TỐC ĐỘ CAO 10Gbgs TRÊN FPGA Lê Thị Thanh Bình1 Tóm tắt: Trong báo này, đề xuất thực bảo mật liệu IPSec FPGA Xilinx Virtex-6 Giao thức bảo mật IP (IPSec) giao thức quan trọng giao thức bảo mật mạng sử dụng lớp IP Thông thường bảo mật IPSec thực phần mềm Windows Linux, IPSec xử lý, mã hóa xác thực chiếm nhiều thời gian xử lý CPU khó thực hệ thống IPSec tốc độ cao Vì vậy, tơi trình bày bảo mật IPSec tốc độ cao kết hợp xử lý phần mềm phần cứng Phần mềm Racoon với chức quản lý, đàm phán trao đổi khóa IKEV2 chạy lõi xử lý Microblaze Phần cứng thực phần logic FPGA với chức quan trọng xử lý liệu cho mã hóa AES xác thực HMAC. Khi IPSec trở thành đồng xử lý với CPU giúp hệ thống thực với tốc độ xử lý cao - 10Gbps Từ khóa: IPSec, IP security, bảo mật IP, Giao thức bảo mật IP, bảo mật mạng Mở đầu Trong năm gần công mạng xảy ngày nhiều hầu hết quốc gia giới, tính chất vụ cơng ngày phức tạp khó lường Như thơng tin từ tờ báo NBC News đưa tin “Tin tặc Trung Quốc tiếp cận hộp thư điện tử cá nhân quan chức thương mại an ninh quốc gia hàng đầu Mỹ từ tháng 4/2010” số tờ báo đưa tin “Mỹ nghe điện thoại 35 nhà lãnh đạo giới” làm cho quốc gia lo ngại đảm bảo thông tin mạng an ninh quốc gia Các công mạng với thiết bị triển khai từ xa qua mạng Internet công thụ động công chủ đích Khi hệ thống bị cơng làm thay đổi hành vi hệ thống chí làm tê liệt tồn hệ thống Những loại cơng phố biến bao gồm: Nghe lén: Người sử dụng trái phép sử dụng mã độc gây hại để khai thác mạng, chép phân tích liệu Nếu họ thấy thông tin văn rõ thông tin cấu hình họ phát điểm yếu hệ thông để công Giả mạo: Người sử dụng trái phép giành quyền kiểm sốt thiết bị từ xa cách phát hành gói tin điều khiển giả Loại cơng làm thay đổi hành vi hệ thống làm tê liệt hệ thống CN, Trường Đại học Quảng Nam 15 BỘ BẢO MẬT IP (IPSEC) TỐC ĐỘ CAO 10Gbgs TRÊN FPGA Tấn công truyền lại: Người sử dụng trái phép đứng chắn ngang việc truyền tin hợp lệ sử dụng lại để truyền lại, thay đổi hành vi hệ thống cách thiết lập lại số trạng thái trước hệ thống Tấn công từ chối dịch vụ (DOS): Tấn công DOS làm giảm hiệu suất hệ thống cách làm tải hệ thống với lưu lượng lớn Nó nguyên nhân làm giao tiếp từ chối dịch vụ Dịch vụ bảo vệ hệ thống chia bốn lại sau: Bí mật: Đảm bảo đơn vị có thẩm quyền có quyền xem nội dung liệu bảo vệ cách mã hóa liệu AES thuật toán khác để đảm bảo liệu an toàn Xác thực: Xác thực để đảm bảo chắn thực thể truyền Thực thể xác thực bao gồm xác thực ngang hàng xác thực nguồn gốc liệu Chữ ký số tạo thuật tốn cơng khai RSA El-Gaman khó để giả mạo Tính tồn vẹn: Đảm bảo liệu nhận xác giống liệu gửi đi, đảm bảo khơng bị chỉnh sửa, chèn, xóa hay thay xảy trình truyền liệu Message Authentication Code (MAC) tính cách băm khóa bí mật với thơng điệp nhằm cung cấp tính tồn vẹn văn ký Kiếm soát truy cập: Bảo vệ tài nguyên từ việc sử dụng trái phép Các sách an ninh điểm truy cập mạng xác định để kiểm sốt quyền truy cập có điều kiện có quyền truy cập Bí mật khóa mã hóa khóa hàm băm cần thiết cho dịch vụ an ninh xác định Giao thức trao đổi khóa, chẳng hạn IKEV cung cấp chế thương lượng, đàm phán trao đổi chia khóa bí mật thực thể truyền nhận Sự đồng thuận chung tầm quan trọng liên quan đến bảo mật mạng dẫn đến phát triển IPSec IPSec cung cấp tiêu chuẩn để đảm bảo thông tin liên lạc mạng Internet Nó thiết kế tương thích với Ipv4 Ipv6 Nhiều cơng ty, Cisco triển khai IPSec sản phẩm họ Trong báo tơi trình bày việc thực IPSec chế độ đường hầm (tunnel) kit phát triển ML605 với chíp FPGA Virtex Nội dung 2.1 IPSec Freamwork Giao thức IPsec bao gồm Authentication Hearder (AH) Encapsulating Security Payload (ESP) tất AH ESP sử dụng số sequence number để bảo vệ gói IP chống cơng lặp lại Thêm vào AH cấp xác thực liệu ESP cung cấp vừa xác thực vừa mã hoá liệu Mỗi giao thức cung cấp hai chế độ hoạt động 16 LÊ THỊ THANH BÌNH chế độ vận chuyển (transport) chế độ đường hầm (tunnel) Transport mode sử dụng giao tiếp cuối đến cuối (end-to-end) nơi mà hai host Ipsec điểm cuối Trong chế độ đường hầm thường sử dụng đích gói liệu khác từ cổng định tuyến khác, chúng cung cấp dịch vụ IPSec cho gói liệu chuyển tiếp Trong báo này, tập trung mô tả chế độ đường hầm (turnnel mode) Chế độ đường hầm giao thức ESP thêm phần header ESP vào trước IP header thêm phần IP header vào trước ESP Thêm phần liệu (trailer) vào phần cuối gói tin Giao thức ESP hoạt động chế độ đường hầm hình sau: Hình Giao thức ESP chế độ đường hầm Trong giao thức AH chế độ đường hầm phần header AH chèn vào trước IP header IP header chèn vào trước AH header Giao thức AH hoạt động chế độ đường hầm hình sau: Hình Giao thức AH chế độ đường hầm 2.2 IPSec Xilinx board ML605 (Virtex-6) Trong năm gần đây, Field Programmable Gate Arrays (FPGA) đạt đầy đủ khả để thực tính phức tạp xử lý mạng máy tính việc lập trình phần cứng Các thiết bị mạng sử dụng FPGA cho thấy cân hiệu suất tính linh hoạt, chúng làm cho FPGA thích hợp tối ưu tài nguyên cho giải pháp ASIC Xilinx Virtex-6 dòng có tốc độ cao, hỗ trợ hệ thống xử lý nhúng (Embedded system) McroBlaze 32bit RISC, Tri-speed Ethernet, DDR3 SO-DIMM, cổng IO giao tiếp mở rộng FPGA Mezzanine Card (FMC) Bộ IPSec tốc độ cao báo thực chíp FPGA Virtex6 board ML605 nhằm tận dụng lợi vi xử lý nhúng, khối RAM chíp cho phép 17 BỘ BẢO MẬT IP (IPSEC) TỐC ĐỘ CAO 10Gbgs TRÊN FPGA thực lưu trữ khóa mở rộng cho khối AES MicroBlaze thực nhúng OS chạy chương trình ứng dụng IKEv2 2.3 Thực FPGA 2.3.1 Phần mềm Phương thức trao đổi khóa tự động phần mềm Racoon với thuật toán trao đổi khóa IKEV2 phiên nâng cao cho giao thức trao đổi khóa, tăng cường chức thực trao đổi khóa xác thực Phần mền Racoon chay hệ điều hành RTOS ecos cho phép tối ưu hệ thống kết hợp phương thức trao đổi khóa, mã hóa xác thực dễ dàng, linh hoạt 2.3.2 Phần cứng Bộ IPSec thực phần cứng cho phép thay đổi số lượng mã hóa xác thực AES, HMAC-SHA-256 thiết kế cấu hình để đáp ứng ứng dụng khác Sơ đồ kiến trúc hệ thống Hình Sơ đồ kiến trúc IPSec thực phần cứng Khối IPSec mã hóa AES xác thực HMAC(SHA256) thực phần cứng FPGA Để Kernel RTOS giao tiếp với khối IPSec cần phải có driver Ở ứng dụng mạng, ứng dụng IKEV thực việc trao đổi khóa cho IPSec Sơ đồ kiến trúc phần cứng IPSec FPGA 18 LÊ THỊ THANH BÌNH 2.3.3 Mơ Hình Sơ đồ khối thực IPSec Bằng phương pháp mô phỏng, với giao thức IP AH core IP AES HMAC kết nối bên IPSec thực đồng thời cho phép tăng tốc độ mã hóa xác thực Băng thơng thực 6.44Gbs mức trung bình chiều dài 512 byte gói liệu đồng hồ tốc độ 214MHz với 68 xung nhịp core mã hóa xác thực thực đồng thời Việc thực IPSec kit Virtex-6 XC6VLX240T Phương pháp thiết kế sử dụng kỹ thuật pipeline cho việc nâng cao tốc độ thiết kế giảm công suất để giảm tiêu hao lượng 2.4 Kết đạt 2.4.1 Kết mơ Hình Tài nguyên AES core Hình Tốc độ AES core 19 BỘ BẢO MẬT IP (IPSEC) TỐC ĐỘ CAO 10Gbgs TRÊN FPGA Key in Data in Data out Hình Kết mơ AES core ModeSim Hình Tốc độ core HMAC Hình Tài nguyên core HMAC Kết lý thuyết chạy HMAC (SHA256): Key = 0b0b0b0b0b0b0b0b0b0b0b0b0b0b0b0b0b0b0b0b Data = 4869205468657265 (“Hi There”) PRF-HMAC-SHA-256 = b0344c61d8db38535ca8afceaf0bf12b 881dc200c9833da726e9376c2e32cff7 Kết chạy HMAC mô Modelsim: 20 (20 bytes) LÊ THỊ THANH BÌNH Key in Data in Data out Hình 10 Kết mơ chạy HMAC(SHA256) Modelsim 2.4.2 Kết chạy thực tế chạy toàn hệ thống: [root@localhost sbin]# tcpdump -i p2p1 -v | grep 172.17.67.201 bytes tcpdump: listening on p2p1, link-type EN10MB (Ethernet), capture size 65535 172.17.67.201 >localhost.localdomain: ESP(spi=0xc3c2b98f,seq=0x1), length 120 localhost.localdomain >172.17.67.201: ESP(spi=0xc363183b,seq=0x1), length 200 172.17.67.201 >localhost.localdomain: ESP(spi=0xc3c2b98f,seq=0x2), length 120 localhost.localdomain >172.17.67.201: ESP(spi=0xc363183b,seq=0x2), length 120 172.17.67.201 >localhost.localdomain: ESP(spi=0xc3c2b98f,seq=0x3), length 120 localhost.localdomain >172.17.67.201: ESP(spi=0xc363183b,seq=0x3), length 120 172.17.67.201 >localhost.localdomain: ESP(spi=0xc3c2b98f,seq=0x4), length 120 localhost.localdomain >172.17.67.201: ESP(spi=0xc363183b,seq=0x4), length 120 172.17.67.201 >localhost.localdomain: ESP(spi=0xc3c2b98f,seq=0x5), length 120 localhost.localdomain >172.17.67.201: ESP(spi=0xc363183b,seq=0x5), length 120 16:46:59.304792 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has localhost localdomain tell 172.17.67.201, length 46 21 BỘ BẢO MẬT IP (IPSEC) TỐC ĐỘ CAO 10Gbgs TRÊN FPGA 172.17.67.201 >localhost.localdomain: ESP(spi=0xc3c2b98f,seq=0x6), length 120 localhost.localdomain >172.17.67.201: ESP(spi=0xc363183b,seq=0x6), length 120 172.17.67.201 >localhost.localdomain: ESP(spi=0xc3c2b98f,seq=0x7), length 120 localhost.localdomain >172.17.67.201: ESP(spi=0xc363183b,seq=0x7), length 120 172.17.67.201 >localhost.localdomain: ESP(spi=0xc3c2b98f,seq=0x8), length 120 localhost.localdomain >172.17.67.201: ESP(spi=0xc363183b,seq=0x8), length 120 172.17.67.201 >localhost.localdomain: ESP(spi=0xc3c2b98f,seq=0x9), length 120 localhost.localdomain >172.17.67.201: ESP(spi=0xc363183b,seq=0x9), length 120 172.17.67.201.isakmp > localhost.localdomain.isakmp: isakmp 2.0 msgid 00000000: parent_sa child_sa: localhost.localdomain.isakmp >172.17.67.201.isakmp: isakmp 2.0 msgid 00000000: parent_sa child_sa[IR]: 172.17.67.201.isakmp > localhost.localdomain.isakmp: isakmp 2.0 msgid 00000001: child_sa inf2: localhost.localdomain.isakmp > 172.17.67.201.isakmp: isakmp 2.0 msgid 00000001: child_sa inf2[IR]: 172.17.67.201 >localhost.localdomain: ESP(spi=0xc818c848,seq=0x1), length 120 localhost.localdomain >172.17.67.201: ESP(spi=0xcbc9e516,seq=0x1), length 120 16:47:04.454742 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has 172.17.67.201 tell localhost.localdomain, length 28 16:47:04.455153 ARP, Ethernet (len 6), IPv4 (len 4), Reply 172.17.67.201 is-at 00:0a:35:00:01:22 (oui Unknown), length 46 172.17.67.201 >localhost.localdomain: ESP(spi=0xc818c848,seq=0x2), length 120 localhost.localdomain >172.17.67.201: ESP(spi=0xcbc9e516,seq=0x2), length 120 172.17.67.201 >localhost.localdomain: ESP(spi=0xc818c848,seq=0x3), length 120 localhost.localdomain >172.17.67.201: ESP(spi=0xcbc9e516,seq=0x3), length 120 172.17.67.201 >localhost.localdomain: ESP(spi=0xc818c848,seq=0x4), length 120 localhost.localdomain >172.17.67.201: ESP(spi=0xcbc9e516,seq=0x4), length 120 172.17.67.201 >localhost.localdomain: ESP(spi=0xc818c848,seq=0x5), length 120 172.17.67.201 >localhost.localdomain: ESP(spi=0xc818c848,seq=0x6), length 120 Kết luận Kiểm sốt an tồn cấu hình thiết bị mạng từ xa cần thiết để bảo vệ hệ thống khỏi bị công Các thiết bị điện tử đại sử dụng công nghệ FPGA cung cấp hiệu 22 LÊ THỊ THANH BÌNH suất cao khả lập trình phần cứng Lỗi xứ lý Microblaze nâng cao khả xử lý nhúng Bằng việc thực chức không tốn nhiều tài nguyên xứ lý phần mềm chạy Microblaze phần chức tốn nhiều thời gian xứ lý thực phần cứng Hiệu suất hệ thống tổng thể đạt cao thực chíp đầy đủ tính Trong báo này, tơi trình bày IPSec FPGA Xilinx Virtex-6, IPSec với chức quản lý, đàm phán trao đổi khóa vào phần mềm Racoon chạy Microblaze Phần cứng thực chức mã hóa xác thực IPSec việc xử lý liệu với việc can thiệp phần mềm tối thiểu Ưu điểm IPSec tách biệt phần liệu với phần điều khiển, nơi mà phần cứng kiểm sốt tồn liệu phần mềm điều khiển cần thiết Thông qua việc thực core AES HMAC-SHA256, thấy IPSec đặt vào chíp FPGA mà đạt tốc độ cao 10Gbs áp dụng đến thiết bị mạng để cung cấp kênh giao tiếp điều khiển thiết bị đảm bảo an toàn TÀI LIỆU THAM KHẢO [1] Dương Anh Đức (2005), Mã hóa ứng dụng, Trường Đại học quốc gia TP Hồ Chí Minh [2] Nguyễn Đức Thọ (2012), Giao thức liên mạng máy tính an tồn IPSEC giao thức trao đổi khóa ứng dụng bảo mật thông tin kinh tế xã hội, Học viện công nghệ bưu viễn thơng [3] FREESWAN Online:http://www.freeswan.org [4] FIPSP-180-1 (1995), Apr [5] FIPS-197(2001):AdvancedEncryptionStandard(AES).http://csrc.nist.gov/ encryption/aes/ [6] Road Lien (2003), FPGA implementation of SHA-1 sercure hash standard [7] Man Young Rhee (2003), Internet security [8] J W Lockwood, J S Turner, and D E Taylor (Feb 2000), Field Pro-grammable Port Extender (FPX) for Distributed Routing and Queuing In ACM International Symposium on Field Pro-grammable Gate Arrays (FPGA’2000), Monterey, CA, USA [9] J.W Lockwood, C Zuver, C Neely, J.Moscola, S Dharma-purikar, and D Lim An Extensible (2003), System-On-Programmable-Chip, Content-Aware Internet Firewall In Field Programmable Logic and Applications (FPL’2003), Lisbon, Portugal 23 BỘ BẢO MẬT IP (IPSEC) TỐC ĐỘ CAO 10Gbgs TRÊN FPGA Title: THE HIGH-SPEED INTERNET PROTOCOL SECURITY (IPSEC) 10GBGS ON THE FIELD PROGRAMMABLE GATE ARRAY (FPGA) LE THI THANH BINH Quang Nam University Abstract: In this paper, we propose an Internet Protocol Security on a FPGA Xilinx Virtex-6 IPSec Protocol is an important protocol suite using in the Internet Protocol Layer Normally, IPSec Protocol is used by software such as Windows or Linux However their processor, encrypting sensitive data, authentication in the CPU take the time to handle; so it is very difficult to process the high-speed IPSec system Thus, I will present a high-speed IPSec based on a combination of hardware and software The Racoon Software with the function of management, negotiation and Internet Key Exchange (IKEv2) that implemented in the Microblaze soft processor core The hardware has been performed in the FPGA logic block with the significant function of the data performance for the Advanced Encryption Standard (AES) and the Keyed-Hash Message authentication Code (HMAC) Then, IPSec and CPU become a co-processor protocol that helps the system to implement with a high-speed – 10Gbps Keywords: IPSec, IP security, IPSec Protocol, network security 24 ... FPGA Mezzanine Card (FMC) Bộ IPSec tốc độ cao báo thực chíp FPGA Virtex6 board ML605 nhằm tận dụng lợi vi xử lý nhúng, khối RAM chíp cho phép 17 BỘ BẢO MẬT IP (IPSEC) TỐC ĐỘ CAO 10Gbgs TRÊN FPGA. .. mơ Hình Tài ngun AES core Hình Tốc độ AES core 19 BỘ BẢO MẬT IP (IPSEC) TỐC ĐỘ CAO 10Gbgs TRÊN FPGA Key in Data in Data out Hình Kết mơ AES core ModeSim Hình Tốc độ core HMAC Hình Tài nguyên core... Lisbon, Portugal 23 BỘ BẢO MẬT IP (IPSEC) TỐC ĐỘ CAO 10Gbgs TRÊN FPGA Title: THE HIGH-SPEED INTERNET PROTOCOL SECURITY (IPSEC) 10GBGS ON THE FIELD PROGRAMMABLE GATE ARRAY (FPGA) LE THI THANH BINH