1. Trang chủ
  2. » Luận Văn - Báo Cáo

Bảo mật dữ liệu truyền trong mạng quang thụ động

98 34 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 98
Dung lượng 2,63 MB

Nội dung

giáo dục đào tạo trờng đại học bách khoa hà nội -XW - LÊ THỊ THÚY HẰNG BẢO MẬT DỮ LIỆU TRUYỀN TRONG MẠNG QUANG THỤ ĐỘNG LUẬN VĂN THẠC SĨ KỸ THUẬT ĐIỆN TỬ ng−êi h−íng dÉn KHOA HC: PGS.TS Phạm minh hà Hà Nội - 2009 MỤC LỤC LỜI MỞ ĐẦU THUẬT NGỮ VIẾT TẮT CHƯƠNG TỔNG QUAN VỀ MẠNG QUANG THỤ ĐỘNG VÀ CÔNG NGHỆ ETHERNET 11 1.1 Giới thiệu chung 11 1.2 Cấu trúc mạng quang thụ động 11 1.3 Các thành phần mạng quang thụ động 13 1.3.1 Bộ tách/ghép quang 13 1.3.2 Các đầu cuối mạng PON 15 1.4 Mơ hình PON 15 1.5 Phân loại PON: WDM TDM PON 17 1.5.1 Phương pháp phân chia theo bước sóng (WDM PON) 17 1.5.2 Phương pháp phân chia theo thời gian (TDM PON) 17 1.6 Công nghệ Ethernet 20 1.6.1 Tổng quan Ethernet 20 1.6.2 Các phần tử mạng Ethernet 20 1.6.3 Kiến trúc mơ hình mạng Ethernet 21 1.6.4 Quan hệ vật lý IEEE802.3 mơ hình tham chiếu OSI 22 1.6.5 Lớp MAC Ethernet 25 1.6.6 Lớp vật lý Ethernet 28 1.6.7 Quan hệ lớp vật lý Ethernet mơ hình tham chiếu ISO 29 CHƯƠNG MẠNG TRUY NHẬP QUANG THỤ ĐỘNG ETHERNET (EPON) 31 2.1 Lợi ích mạng truy cập quang thụ động Ethernet 31 2.2 Nguyên lý hoạt động 32 2.2.1 Giao thức điều khiển đa điểm MPCP (Multi Point Control Protocol) 34 2.2.2 2.3 Sự tương thích EPON với kiến trúc 802 38 Phân phối băng thông EPON 44 2.3.1 Mơ hình truy cập 44 2.4 Cấp phát băng thông cố định 53 2.5 Cấp phát băng thông cân đối 53 2.6 Sự cấp phát băng thông theo quyền ưu tiên 54 2.7 SLA aware p-DBA 55 2.8 SLA aware Adaptive DBA 57 2.9 Những bước phát triển 59 CHƯƠNG CƠ BẢN VỀ BẢO MẬT VÀ Mà HÓA 60 3.1 Các nguyên lý q trình bảo mật mã hóa 60 3.2 Khái niệm chìa khố 61 3.3 Thuật tốn mã hóa 62 3.4 Một số thuật toán tiếng 65 3.5 Hàm hash 68 3.6 Thuật tốn mã hóa tiên tiến AES 69 3.6.1 Giới thiệu 69 3.6.2 Mô tả thuật toán 69 3.6.3 AddRoundKey 70 3.6.4 SubBytes 71 3.6.5 ShiftRows 71 3.6.6 MixColumns 72 3.6.7 Tối ưu hóa 72 3.6.8 Bảo mật 73 3.7 Bảo mật điều khiển truy nhập MACSec 74 CHƯƠNG THIẾT KẾ VÀ THỰC HIỆN BẢO MẬT MAC TRONG EPON 81 4.1 Khái niệm bảo mật EPON 82 4.2 MACsec EPON 84 4.3 Thiết kế bảo mật MAC 86 4.3.1 Module MACsec bên phát 89 4.3.2 Module MACsec phía nhận 90 4.3.3 Lõi GCM-AES 128 bit 92 KẾT LUẬN 94 TÀI LIỆU THAM KHẢO 95 TÓM TẮT LUẬN VĂN 96 ABSTRACT 97 DANH MỤC CÁC HÌNH VẼ, ĐỒ THỊ Hình 1.1: Cấu trúc mạng quang thụ động PON 12 Hình 1.2: Cấu hình loại Couper 13 Hình 1.3: Coupler 8x8 tạo từ nhiều Coupler 14 Hình 1.4: Các mơ hình mạng PON 16 Hình 1.5: Mạng PON sử dụng sợi quang 18 Hình 1.7: Mơ hình kết nối bus 22 Hình 1.8: Mơ hình kết nối 22 Hình 1.9: Quan hệ vật lý Ethernet với mơ hình tham chiếu OSI 23 Hình 1.10: Lớp vật lý lớp MAC tương thích với yêu cầu cho truyền thông liệu sở 24 Hình 1.11: Khuôn dạng truyền liệu song công 28 Hình 1.12: Mơ hình tham chiếu lớp vật lý Ethernet 30 Hình 2.1: Lưu lượng hướng xuống EPON 32 Hình 2.2: Lưu lượng hướng lên EPON 33 Hình 2.3: Thời gian round-trip 35 Hình 2.4 : Giao thức MPCP-hoạt động tin Gate 36 Hình 2.5: Giao thức MPCP-hoạt động tin Report 38 Hình 2.6: Trường LinkID nhúng mào đầu 39 Hình 2.7: Mơ hình điểm-điểm 41 Hình 2.8: Cầu ONU mơ hình điểm-điểm 42 Hình 2.9: Mơ hình chia sẻ phương tiện 43 Hình 2.10: Mơ hình mạng truy cập EPON 45 Hình 2.11: Sự phân phát lưu lượng EPON 46 Hình 2.12: Các bước thuật toán Interleaved Polling 48 Hình 2.13 : Các thành phần trễ gói 52 Hình 3.1: Thuật tốn mã hóa đối xứng 63 Hình 3.2: Thuật tốn mã hóa bất đối xứng 64 Hình 3.3: 16 bước trình mã hóa DES 67 Hình 3.4:Tạo khóa sử dụng phép tốn XOR 71 Hình 3.5:Quá trình thay Byte 71 Hình 3.6: Bước dịch hàng 72 Hình 3.7: Q trình biến đổi tuyến tính cột 72 Hình 3.8: Vị trí LinkSec mơ hình mạng lớp 75 Hình 3.9: Kết nối an tồn thiết bị A, B C 75 Hình 3.10: Các kênh thiết bị A, B C 76 Hình 3.11: Định dạng khung MACsec 77 Hình 3.12: MACsec 78 Hình 3.13: Sự hoạt động MACsec 79 Hình 4.1: Truyền dẫn theo hướng lên xuống EPON 82 Hình 4.2: Mối quan hệ MACsec KEYsec 84 Hình 4.3: MACsec với EPON 85 Hình 4.4: Kiến trúc logic kênh truyền thơng MACsec 87 Hình 4.5: Định dạng khung MACsec 88 Hình 4.6: MACsec phía phát q trình xử lý khung 89 Hình 4.7: Bộ thu MACsec trình xử lý khung 91 LỜI MỞ ĐẦU Trong mạng viễn thông ngày nay, mạng quang sử dụng thiết bị chủ động thiết bị thụ động Các thiết bị thiết bị nằm tổng đài nhà cung cấp dịch vụ, thiết bị đầu cuối khách hàng trạm lặp, thiết bị chuyển tiếp số thiết bị khác đường truyền Việc thay thiết bị chủ động thiết bị thụ động tiết kiệm chi phí cho nhà cung cấp dịch vụ họ khơng cịn cần đến lượng thiết bị chủ động đường truyền EPON mạng quang thụ động môi trường Ethernet dựa mạng môi trường chia sẻ cấu hình quang kiểu điểm-đa điểm Các khung truyền tới ONU truyền quảng bá đồng thời tới tất ONU Trong EPON, việc bảo mật liệu quan trọng, bảo vệ riêng tư người dùng tính bảo mật người dùng MACsec phương pháp bảo mật đường truyền tuân theo tiêu chuẩn IEEE802.1AE tiêu chuẩn MACsec cung cấp bảo mật liệu người dùng, kiểm tra toàn vẹn liệu khung xác thực gốc liệu Vì cung cấp khả bảo mật chống công DoS trễ, Những phương pháp bảo mật cung cấp chế mã hóa GCM-AES 128 bit Bố cục luận văn sau: Chương giới thiệu tổng quan mạng quang thụ động công nghệ Ethernet, Chương trình bày mạng quang truy nhập thụ động EPON, Chương trình bày bảo mật mã hóa, Chương kết thực bảo mật EPON Trong thêi gian thùc hiÖn nghiên cứu hoàn thiện luận văn, em đà nhận đợc nhiều ủng hộ, tạo điều kiện giúp đỡ hớng dẫn tận tình PGS.TS Phạm Minh Hµ Tuy nhiên, thời gian có hạn, luận văn khó tránh khỏi thiếu sót, em mong nhận đóng góp ý kiến thầy giáo để luận văn hồn thiện Em xin chân thành cảm ơn THUẬT NGỮ VIẾT TẮT VIẾT TẮT A-DBA APON ATM BPON CA CO CSMA/CD DA DCE DTE DSL EMS EPON FCS FR FSAN FTTB FTTC FTTH GCM GPON ICV IEEE ID IP ISDN ITU TÊN TIẾNG ANH Adaptive Dynamic Bandwidth Allocation ATM Passive Optical Network Asynchronous Transfer Mode Broadband Passive Optical Network Secure Connectivity Association Central Office Carrier Sense Multiple Access with Collision Detect Destination Address Data Communication Equipment Data Terminal Equipment Digital Subscriber Line Element Management System Ethernet Passive Optical Network Frame Check Sequence Frame Relay Full Service Access Network Fiber To The Building Fiber To The Curb Fiber To The Home Galois Counter Mode Gigabit Passive Optical Network Integrity Check Value Institute of Electrical and Electronics Engineers Indentify Destination Internet Protocol Integrated Services Digital Network International Telecommunication TÊN TIẾNG VIỆT Cấp phát băng thơng thích ứng liệu Chế độ truyền không đồng Sự kết hợp kết nối bảo mật Văn phòng trung tâm/Tổng đài Đa truy nhập cảm nhận sóng mang có phát xung đột Địa đích Thiết bị giao dịch liệu Thiết bị liệu đầu cuối Đường dây thuê bao số Hệ thống quản lý Mạng quang thụ động Ethernet Kiểm tra khung Công nghệ Frame Relay Mạng truy cập dịch vụ đầy đủ Sợi quang đến tòa nhà Sợi quang đến cụm thuê bao Sợi quang đến tận nhà th bao Giá trị kiểm tra tính tồn vẹn Hiệp hội kỹ sư điện điện tử giới Chỉ định địa đích Giao thức Internet Mạng tích hợp dịch vụ số Liên hiệp viễn thông quốc tế LAN LLC MAN Union MAC Security Key Agreement Entity Local Area Network Logical Link Control Metropolitan Area Network MAC Media Access Control MACsec MAC Security MDI Medium Depentdent Interface MII Medium Indepentdent Interface Giao diện độc lập phương tiện MPCP Multi Point Control Protocol MPDU MACsec Protocol Data Unit MPtP MSDU Multi Point to Point MAC Service Data Unit MTBF Mean Time Between Failures NGN NIC ODN OLT ONU PCS PDH PMA PN PON POTS PRE PtP PtPE PtMP RS RTT Next Generation Network Network Interface Card Optical Distribution Network Optical Line Terminal Optical Network Unit Physical Coding Sublayer Plesiochoronous Digital Hierarchy Physical Medium Attachment Packet Number Passive Optical Network Plain Old Telephony System Preamble Point to Point Point-to-Point Emulation Point-to-Multi-Point Reconciliation Sublayer Round Trip Time Giao thức điều khiển đa điểm Đơn vị liệu giao thức MACsec Mơ hình điểm đa điểm Đơn vị liệu dịch vụ MAC Khoảng thời gian trung bình lần sai hỏng Mạng hệ sau Card giao tiếp mạng Mạng phân phối quang Kết cuối đường truyền quang Đơn vị mạng quang Lớp mã hóa vật lý Phân cấp số cận đồng Lớp thuộc lớp vật lý Chỉ số gói Mạng quang thụ động Hệ thống điện thoại kiểu cũ Mào đầu Mơ hình điểm-điểm Mơ hình điểm-điểm Mơ hình điểm -đa điểm Phân lớp điều hịa Thời gian hành trình KaY Thực thể thỏa thuận khóa bảo mật MAC Mạng cục Điều khiển kết nối logic Mạng khu vực nội thị Lớp điều khiển truy nhập phương tiện Bảo mật MAC Giao diện phụ thuộc phương tiện 83 mật, ONU khơng có khả lọc giám sát tất lưu lượng hình 4.1 Hướng lên EPON bảo mật cách tương đối Nhờ vào định hướng splitter thụ động, lưu lượng theo hướng lên nhận thấy OLT Tuy nhiên, lưu lượng theo hướng lên bị chặn splitter thụ động Kẻ cơng giả mạo hướng lên thể ONU khác truyền thêm liệu tài nguyên hợp pháp mạng Việc ăn cắp dịch vụ xảy thuê bao mạo danh hàng xóm truyền khung mà khơng phí tới tài khoản kẻ giả mạo Một OLT xác thực thuê bao qua trường LLID thêm vào ONU tiêu đề khung Trường LLID bị giả mạo ONU giả mạo truyền theo hướng lên Để truyền khe thời gian bị ăn cắp, ONU giả mạo phải có khả nghe trộm theo hướng xuống để nhận tin GATE gửi cho nạn nhân Vì thế, việc mạo danh thay đổi khung cơng xảy theo hướng Để bảo vệ khỏi cơng này, thực tính tồn vẹn xác thực EPON Việc bảo mật quan trọng hướng xuống xác thực thông điệp, xác thực liệu gốc đảm bảo theo hướng lên Bảo mật hướng lên điều tất yếu xác thực theo hướng xuống quan trọng IEEE802.1AE tiêu chuẩn hóa bảo mật điều khiển truy nhập MACsec IEEE802.1af tiêu chuẩn hóa thỏa thuận khóa nhận thực cho MACsec Hai chức bảo mật gộp thành bảo mật đường truyền (LinkSec) IEEE802.1AE rõ cách tất phần mạng bảo mật cách suốt thể giao thực ngang hàng Các thực thể sử dụng dịch vụ MAC cung cấp IEEE802® LANs để truyền thơng Nó khơng rõ Ethernet chí EPON MACsec cung cấp việc bảo mật liệu người dùng, toàn vẹn liệu khung nhận thực gốc liệu không kết nối 84 IEEE802.1af rõ giao thức để phát thiết lập bảo mật sử dụng MACsec Mối quan hệ MACsec KEYsec thể hình 4.2 Hình 4.2: Mối quan hệ MACsec KEYsec 4.2 MACsec EPON Trong tiêu chuẩn IEEE Std 802.3 định mạng quang thụ động Ethernet (EPON) sử dụng mơ hình quang vật lý để cung cấp kết nối điểm-đa điểm có hiệu từ OLT đến nhiều ONU Cũng tiêu chuẩn này, đưa ví dụ cụ thể nhiều thực thể MAC OLT, thực thể với ONU kết nối điểm-điểm Một ví dụ MAC bổ sung cung cấp điểm truy cập dịch vụ Single Copy Broadcast (SCB), cho phép lại khung nhận tất ONU MACsec cung cấp trường hợp riêng MAC Service bảo mật để cung cấp kết nối hai chiều ONU OLT, minh họa hình 85 4.3, đảm bảo tính bảo mật, tồn vẹn, xác thực gốc khung liệu gửi nhận OLT ONU Những đảm bảo cung cấp khả kẻ công để truyền tải nhận khung đến từ OLT ONU, kẻ cơng bắt chước cách xác hành vi truy cập EPON thành phần truyền cách an tồn Hình 4.3: MACsec với EPON Trong OLT, trường hợp MAC Service an toàn cung cấp SecY riêng biệt Mỗi SecY sử dụng trường hợp khơng an tồn MAC Server cung cấp thực thể MAC điểm-điểm OLT Dịch vụ MAC, xác định ISO / IEC 15.802-1, không cung cấp kết nối đơn hướng điểm-đa điểm Tuy nhiên, MACsec hỗ trợ điểm truy cập dịch vụ SCB với SC chuyên dụng Phân phối dành riêng đến ONUs mã hóa khóa xác thực cho trình tự SA 86 mà tạo nên SC đảm bảo tính bảo mật, tồn vẹn, nguồn gốc khung gửi sử dụng SCB 4.3 Thiết kế bảo mật MAC Để bảo mật tất khung EPON, thực thể MACsec (MACsecY) thay lớp MAC lớp điều khiển MAC Sau MACsecY mã hóa khung liệu từ Bridge, khung MPCP, khung OAM thứ khác theo lựa chọn cấu hình người dùng Thực thể thỏa thuận khóa (KaY) tồn Client, cho phép quản lý khóa quản lý trạng thái MACsecY MACsecY bao gồm Tx MACsecY Rx MACsecY Tx MACsecY thực việc mã hóa khung phát giá trị kiểm tra lỗi tính tồn vẹn Rx MACsecY thực giải mã khung kiểm tra thay đổi, trễ, chống công DoS, Để thực chức này, MACsecY sử dụng thuật tốn mã hóa GCM-AES 128 bit Nó thuật tốn mã hóa khối sử dụng hàm hash tồn cục thông qua trường nhị phân Galois bảo mật liệu người dùng, tính nguyên vẹn liệu khung chức xác thực liệu gốc EPON Người ta thiết kế phần cứng MACsecY bao gồm theo hướng lên hướng xuống Nó bao gồm EPMC (bộ điều khiển EPON) đặt OLT EPSC (bộ điều khiển phụ EPON) đặt ONU MACsecY đặt OLT hỗ trợ bảo mật đường truyền logic cho 64-LLID SCB, MACsecY ONU hỗ trợ bảo mật đường truyền logic cho 1LLID SCB Hình 4.3 kiến trúc logic kênh truyền thông ảo MACsec P2P Như hình 4.3, OLT, MACsecY cung cấp dịch vụ bảo mật tới ONU thông qua nhiều MACsecY P2P ảo nối với kết nối P2P tới ONU Nó cung cấp dịch vụ bảo mật tới tất ONU thông qua thực thể SCB Mặc định, cung cấp dịch vụ khơng bảo mật, dịch vụ mà 87 khơng thực mã hóa nhận thực, cung cấp dịch vụ bảo mật khoảng hai kết nối logic hướng xuống kết nối logic đơn theo hướng lên ONU Nó hỗ trợ tối đa 64 MACsecY P2P ảo Hình 4.4: Kiến trúc logic kênh truyền thông MACsec Giống OLT, ONU, module MACsec cung cấp dịch vụ bảo mật khoảng hai kết nối logic theo hướng xuống kết nối logic đơn theo hướng lên Khối bypass module MACsec truyền khung mà khơng cần thêm hay thay đổi khung, có nghĩa khơng sử dụng module MACsec Module MACsec mã hóa/ giải mã trường payload khung MAC, mã hóa tiêu đề MAC thành mã Nó kèm theo mào đầu 24 byte, gồm TAG bảo mật (SecTAG) trị số kiểm tra toàn vẹn (ICV) cho dịch vụ bảo 88 mật LLID lựa chọn thực thể bảo mật đường truyền P2P ảo ONU OLT SecTAG byte bao gồm loại Ethernet bảo mật MAC (MACsec Ethertype) thông tin điều khiển TAG (TCI) số liên kết (AN), cỡ ngắn (SL), số gói (PN) TCI bao gồm dung lượng SCB, thông tin lựa chọn bảo mật hay toàn vẹn Và trường AN lên tới khóa mã hóa khác PN có nghĩa số khung sử dụng khóa mã hóa cung cấp bảo vệ xem lại ICV bảo vệ toàn vẹn khung địa MAC trường payload Định dạng khung MACsec thể hình 4.5 Hình 4.5: Định dạng khung MACsec Bảng đặc tính mã hóa khung MACsecY cung cấp tính tồn vẹn tính xác thực tất trường khung tính bảo mật trường payload Trường Tính bảo mật Tính xác thực Tính tồn vẹn DA Khơng Có Có SA Khơng Có Có MACsec EtherType Khơng Có Có SecTAG Khơng Có Có EtherType Có Có Có Data Có Có Có 89 4.3.1 Module MACsec bên phát Hình 4.6 biểu thị kiến trúc module MACsec đầu phát OLT/ONU Bởi module MACsec OLT cung cấp việc mã hóa xác thực ONU, phức tạp so với ONU Module cấu hình Tx Parser, FCS Remover, Tx Encoder, Tx Framer, GCMAES, Generation Parameter Set, Tx Bypass Tx Mux Hình 4.6: MACsec phía phát trình xử lý khung 1) Tx Parser: phát khung tới Tx Bypass khối FCS Remover theo chế độ bật/tắt (on/off) bảo mật, chế độ đặt LLID Nếu chế độ tắt (off), khung truyền tới khối Tx Bypass, ngược lại, truyền tới khối FCS 90 Remover Vì thế, hủy khung khóa liên quan khơng tồn Module khơng sử dụng LLID để lựa chọn chế độ bật/tắt bảo mật ONU 2) FCS Remover: gỡ FCS byte từ khung có trường FCS 3) Bộ mã hóa phát Tx Encoder: trích thơng số GCM-AES từ khung đầu vào phân phối theo giao diện GCM-AES Vì nhận khóa 128 bit IV 96 bit chế độ hoạt động GCM-AES từ khối thiết lập thông số phát cần thiết để biểu thị mã hóa xác thực Trong module phát SecTAG chèn vào tất khung Và chuyển đổi địa MAC SecTAG tới khối Tx Framer 4) Bộ phát thông số (Generation Parameter Set): chứa các thông số LLID thực thể thỏa thuận khóa (KaY) thơng qua giao diện quản lý lớp (LMI) chuyển đổi thông số yêu cầu từ khối Tx Encoder Các thông số bao gồm khóa tại/khóa tiếp theo/IV/AN LLID Vì khối thực việc ngắt khóa LLID Khối ONU có thơng số riêng 5) GCM-AES: thực chế độ phát thẻ nhận thực mã hóa xác thực mã hóa khối 128 bit Chế độ thiết lập KaY 6)Tx Framer: đóng gói liệu nhận từ GCM-AES với tiêu đề MAC bao gồm SecTAG nhận từ Tx Encoder 7) Tx Bypass: phân phối khung khơng bảo mật, khơng mã hóa nhận thực Nó làm trễ khoảng thời gian thời gian cho phân/ghép khung 8) Frame Mux: phân/ghép khung phát từ khối Tx Bypass Tx Framer 4.3.2 Module MACsec phía nhận Module đảm bảo tính tồn vẹn khung nhận thực gốc tính bảo mật liệu Nó chống lại việc phát lại chống công từ chối dịch vụ DoS Module tương tự kiến trúc module MACsec phía phát Hình 4.7 biểu diễn kiến trúc module MACsec phía nhận OLT 91 ONU Hoạt động khối trừ FCS Remover Rx Bypass Rx Mux thực chức tương tự module MACsec phía phát Hình 4.7: Bộ thu MACsec trình xử lý khung 1) Rx Parser: phân chia khung (một khung MAC mã hóa khung MAC/MPCP/OAM khơng mã hóa) thơng qua trường Ethernet chuyển đổi hủy bỏ khung chế độ bật/tắt bảo mật Vì thế, giải nén khung chống DoS theo chế độ mã hóa khung OLT ONU thiết lập KaY Nếu chế độ bảo mật chế độ mã hóa khung đầu vào, khung mã hóa khơng bị cơng DoS chuyển Mặt khác, khung chống DoS hủy bỏ cách có chọn lọc chế độ DoS 92 2) Rx Decoder (Bộ giải mã nhận): phân chia trường payload AAD (Dữ liệu không nhận thực bổ sung) theo giao diện GCM-AES Bộ giải mã truyền SecTAG tới khối thiết lập thông số xác minh để lựa chọn thông số yêu cầu cho việc giải mã nhận thực GCM-AES Nó bảo vệ chống lại cơng truyền lại Một khung truyền lại trích với PN SecTAG Nếu PN khung đầu vào không lớn PN khung trước, khung đầu vào khung công truyền lại bị hủy 3) Bộ thông số xác minh (Verification Parameter Set): thực chức giống thông số phát (Generation Parameter Set) module phát MACsec chứa thông số cần thiết việc giải mã nhận thực 4) GCM-AES: hỗ trợ việc giải mã nhận thực kiểm tra tính tồn vẹn Khối thực việc xác nhận khung đến bị thay đổi kẻ công đưa tín hiệu báo lỗi FAIL Nếu FAIL xác nhận, nghĩa tính tồn vẹn khung bị lỗi 5) Rx Framer: khung MAC không bảo mật sử dụng trường payload mã hóa trường tiêu đề MAC 6) Máy phát FCS: phát trường FCS byte cho khung thay đổi việc giải mã khung 4.3.3 Lõi GCM-AES 128 bit GCM-AES 128 bit cung cấp việc mã hóa giải mã nhận thực GCMAES 128 bit bao gồm giao diện 32bit-to-128bit giao diện 128bit-to-32bit CTR-AES song song, mở rộng khóa, nhân GF Bởi GCM-AES thơng thường sử dụng CTR-AES đơn tập bước lặp 10 bước, điều khiển tần số đồng hồ 250MHz với EPON tốc độ 2Gbps phương trình (4.1) Để cung cấp việc bảo mật đường truyền cách có hiệu EPON 2Gbps, GCM-AES 128 bit tách thành bước CTR-AES CTRAES song song bước GCM-AES mã hóa liệu bước Vì 93 vậy, GCM-AES sử dụng kích thước liệu 128 bit tần số đồng hồ 62,5MHz tốc độ 1Gbps 125MHz tốc độ 2Gbps phương trình (4.2) CTR-AES cung cấp chức mã hóa tốc độ cao chế AES cung cấp chế mã hóa liệu với chiều dài thay đổi Hàm mở rộng khóa phát khóa với số bước cần thiết CTR-AES Bộ nhân GF sử dụng thuật tốn băm nhị phân tồn cục phát thẻ nhận thực Fc 128bit x chu kỳ ≥ 10 bước (1 chu kỳ = ) Fio Wd (4.1) Fio x Wd (32 bits) = tốc độ truyền EPON Fc x chu kỳ ≥ bước Fio (4.2) Trong Fc tần số đồng hồ GCM-AES, Fio tần số đồng hồ giao diện, Wd độ rộng cụm liệu (32 bit) chu kỳ số bước yêu cầu GCM-AES 94 KẾT LUẬN EPON kết hợp mạng truy cập quang thụ động PON kỹ thuật Ethernet nên mang ưu điểm hai kỹ thuật Nó có khả cung cấp băng thơng cao, lên tới Gbps hai hướng lên xuống EPON hỗ trợ đồng thời dịch vụ thoại, liệu video; cho phép nhà cung cấp nâng cao dịch vụ băng rộng cách linh hoạt EPON mạng quang thụ động môi trường Ethernet dựa mạng môi trường chia sẻ cấu hình quang kiểu điểm-đa điểm Các khung truyền tới ONU truyền quảng bá đồng thời tới tất ONU Trong EPON, việc bảo mật liệu quan trọng, bảo vệ riêng tư người dùng tính bảo mật người dùng Đề tài “Bảo mật liệu truyền mạng quang thụ động” đưa mơ hình thiết kế thực việc bảo mật EPON Tuy nhiên, hạn chế thời gian lực, việc thực phần cứng chưa thực phạm vi luận văn Một lần em xin chân thành cảm ơn PGS.TS Phạm Minh Hà tận tình bảo giúp đỡ em trình thực luận văn Em xin gửi lời cảm ơn đến tồn thể Thầy, Cơ giáo bạn khoa Điện tử - Viễn thông, trường Đại học Bách Khoa Hà Nội giúp đỡ em suốt trình học tập 95 TÀI LIỆU THAM KHẢO Glen Kramer (2005), Ethernet Passive Optical Networks, McGraw-Hill A Menezes, P van Oorschot and S Vanstone (1997), Handbook of Applied Cryptography, CRC Press, New York J Damen, V.Rijmen (1999), AES Proposal: Rijndael, AES Algorithm Submission NIST (1999), Advanced Encryption Standard (DES), Federal Information Processing Standards Publication FIPS PUB 197 Bruce Schneier (1996), Applied Cryptography, Second Edition, John Wiley & Sons, Inc Paul E Green, Jr (2006), Fiber To The Home: The New Empowerment, John Wiley & Sons, Inc., Hoboken, New Jersey NIST (2001), Recommendation for Block Cipher Modes of Operation, Special Publication 800-38A IEEE (2006), IEEE Standard for Local and metropolitan area networks: Media Access Control (MAC) Security, The Institute of Electrical and Electronics Engineers, Inc., USA 96 TÓM TẮT LUẬN VĂN EPON mạng quang thụ động môi trường Ethernet dựa mạng môi trường chia sẻ cấu hình quang kiểu điểm-đa điểm Các khung truyền tới ONU truyền quảng bá đồng thời tới tất ONU Trong EPON, việc bảo mật liệu quan trọng, bảo vệ riêng tư người dùng tính bảo mật người dùng Nội dung luận văn gồm chương: Chương 1: Tổng quan mạng quang thụ động công nghệ Ethernet Chương đưa kiến trúc, thành phần mạng quang thụ động; giới thiệu tổng quan kỹ thuật Ethernet, quan hệ mơ hình Ethernet với mơ hình lớp OSI, kiến trúc khung Ethernet, phương thức phát liệu Ethernet chuẩn Từ cho thấy mạnh công nghệ mạng truy nhập quang thụ động Chương 2: Mạng truy nhập quang thụ động Ethernet EPON Chương nói lên ích lợi việc sử dụng mạng truy nhập EPON, phân tích ngun lý hoạt động nó, phân tích chuẩn IEEE 802 Chương phân tích hai mơ hình mơi trường chia sẻ song cơng Từ cho thấy q trình truyền liệu mạng EPON Chương 3: Cơ bảo mật mã hóa Chương trình bày ngun lý bảo mật mã hóa, khái niệm, số thuật tốn, đặc biệt thuật tốn mã hóa tiên tiến AES; tiêu chuẩn MACsec Chương 4: Thiết kế thực bảo mật MAC EPON Chương trình bày khái niệm bảo mật EPON, giới thiệu module MACsec bên phát bên thu Từ khóa: EPON, bảo mật MAC, AES, AES-GCM, MACsec 97 ABSTRACT Ethernet passive optical network (EPON) is based on shared-medium network and a point-to-multipoint optical tree configuration, frames transmitted to any ONU are actually broadcast broadcast simultaneously to all ONUs In EPON, the security of data transmission is critical in protecting the privacy of users and confidentiality of their communication The thesis includes chapters: Chaper 1: Overview of passive optical networks and Ethernet technology This chapter presents architecture and components of passive optical network PON; overview of Ethernet, the relationship of Ethernet and OSI model, frame structure, transmission method and standards of Ethernet Chapter 2: Ethernet passive Optical Network EPON This chapter shows the advantage of using EPON, analysing its principle and IEEE 802 standards This chapter also presents two models shared-medium and pointto-point emualation Chapter 3: Encryption principle This chapter presents security concepts, standards and algorithms, especially AES This chapter also gives MAC Security - MACsec Chapter 4: Design and implemention MAC in EPON This chapter gives transmitter and receiver MACsec modules Keywords: EPON, AES, AES-GCM, MACsec, MAC security ... phần mạng quang thụ động 1.3.1 Bộ tách/ghép quang Một mạng quang thụ động sử dụng thiết bị thụ động để tách tín hiệu quang từ sợi quang sang vài sợi quang ngược lại Thiết bị Coupler quang Để đơn... TỔNG QUAN VỀ MẠNG QUANG THỤ ĐỘNG VÀ CÔNG NGHỆ ETHERNET 11 1.1 Giới thiệu chung 11 1.2 Cấu trúc mạng quang thụ động 11 1.3 Các thành phần mạng quang thụ động 13... phối mạng quang ODN bao gồm cáp quang, thiết bị ghép/tách thụ 12 động (splitter) Hoạt động mạng PON điều khiển giao thức truy nhập theo địa MAC (lớp 2) Hình 1.1: Cấu trúc mạng quang thụ động

Ngày đăng: 28/02/2021, 07:31

Nguồn tham khảo

Tài liệu tham khảo Loại Chi tiết
1. Glen Kramer (2005), Ethernet Passive Optical Networks, McGraw-Hill 2. A. Menezes, P. van Oorschot and S. Vanstone (1997), Handbook ofApplied Cryptography, CRC Press, New York Sách, tạp chí
Tiêu đề: Ethernet Passive Optical Networks", McGraw-Hill 2. A. Menezes, P. van Oorschot and S. Vanstone (1997), "Handbook of "Applied Cryptography
Tác giả: Glen Kramer (2005), Ethernet Passive Optical Networks, McGraw-Hill 2. A. Menezes, P. van Oorschot and S. Vanstone
Năm: 1997
3. J. Damen, V.Rijmen (1999), AES Proposal: Rijndael, AES Algorithm Submission Sách, tạp chí
Tiêu đề: AES Proposal: Rijndael
Tác giả: J. Damen, V.Rijmen
Năm: 1999
4. NIST (1999), Advanced Encryption Standard (DES), Federal Information Processing Standards Publication FIPS PUB 197 Sách, tạp chí
Tiêu đề: Advanced Encryption Standard (DES)
Tác giả: NIST
Năm: 1999
5. Bruce Schneier (1996), Applied Cryptography, Second Edition, John Wiley & Sons, Inc Sách, tạp chí
Tiêu đề: Applied Cryptography, Second Edition
Tác giả: Bruce Schneier
Năm: 1996
6. Paul E. Green, Jr (2006), Fiber To The Home: The New Empowerment, John Wiley & Sons, Inc., Hoboken, New Jersey Sách, tạp chí
Tiêu đề: Fiber To The Home: The New Empowerment
Tác giả: Paul E. Green, Jr
Năm: 2006
7. NIST (2001), Recommendation for Block Cipher Modes of Operation, Special Publication 800-38A Sách, tạp chí
Tiêu đề: Recommendation for Block Cipher Modes of Operation
Tác giả: NIST
Năm: 2001
8. IEEE (2006), IEEE Standard for Local and metropolitan area networks: Media Access Control (MAC) Security, The Institute of Electrical and Electronics Engineers, Inc., USA Sách, tạp chí
Tiêu đề: IEEE Standard for Local and metropolitan area networks: Media Access Control (MAC) Security
Tác giả: IEEE
Năm: 2006

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w