Thông thường các bộ bảo mật IPSec đều được thực hiện bằng phần mềm như trên Windows hoặc Linux, trong IPSec các bộ xử lý, mã hóa và xác thực chiếm nhiều thời gian xử lý của CPU do đó r[r]
(1)BỘ BẢo MẬT IP (IPSEC) TỐC ĐỘ CAo 10GBGS TRÊN FPGA
Lê Thị Thanh Bình1
Tóm tắt: Trong báo này, tơi đề xuất thực bảo mật liệu IPSec
trên FPGA Xilinx Virtex-6 Giao thức bảo mật IP (IPSec) giao thức quan trọng trong giao thức bảo mật mạng sử dụng lớp IP Thông thường bảo mật IPSec thực phần mềm Windows Linux, IPSec xử lý, mã hóa xác thực chiếm nhiều thời gian xử lý CPU khó thực hệ thống IPSec tốc độ cao Vì vậy, tơi trình bày bảo mật IPSec tốc độ cao kết hợp xử lý phần mềm phần cứng Phần mềm Racoon với chức quản lý, đàm phán trao đổi khóa IKEV2 chạy lõi xử lý Microblaze Phần cứng thực phần logic FPGA với chức quan trọng xử lý liệu cho mã hóa AES xác thực HMAC Khi IPSec trở thành đồng xử lý với CPU giúp hệ thống thực với tốc độ xử lý cao - 10Gbps.
Từ khóa: IPSec, IP security, bảo mật IP, Giao thức bảo mật IP, bảo mật mạng.
1 Mở đầu
Trong năm gần công mạng xảy ngày nhiều hầu hết quốc gia giới, tính chất vụ cơng ngày phức tạp khó lường Như thông tin từ tờ báo NBC News đưa tin “Tin tặc Trung Quốc tiếp cận hộp thư điện tử cá nhân quan chức thương mại an ninh quốc gia hàng đầu Mỹ từ tháng 4/2010” số tờ báo đưa tin “Mỹ nghe điện thoại 35 nhà lãnh đạo giới” làm cho quốc gia lo ngại đảm bảo thông tin mạng an ninh quốc gia
Các công mạng với thiết bị triển khai từ xa qua mạng Internet công thụ động cơng chủ đích Khi hệ thống bị cơng làm thay đổi hành vi hệ thống chí làm tê liệt tồn hệ thống Những loại công phố biến bao gồm:
Nghe lén: Người sử dụng trái phép sử dụng mã độc gây hại để khai thác mạng, chép phân tích liệu Nếu họ thấy thông tin văn rõ thơng tin cấu hình họ phát điểm yếu hệ thông để công
(2)Tấn công truyền lại: Người sử dụng trái phép đứng chắn ngang việc truyền tin hợp lệ sử dụng lại để truyền lại, thay đổi hành vi hệ thống cách thiết lập lại số trạng thái trước hệ thống
Tấn cơng từ chối dịch vụ (DoS): Tấn công DOS làm giảm hiệu suất hệ thống cách làm tải hệ thống với lưu lượng lớn Nó nguyên nhân làm giao tiếp từ chối dịch vụ
Dịch vụ bảo vệ hệ thống chia bốn lại sau:
Bí mật: Đảm bảo đơn vị có thẩm quyền có quyền xem nội dung liệu bảo vệ cách mã hóa liệu AES thuật toán khác để đảm bảo liệu an toàn
Xác thực: Xác thực để đảm bảo chắn thực thể truyền Thực thể xác thực bao gồm xác thực ngang hàng xác thực nguồn gốc liệu Chữ ký số tạo thuật tốn cơng khai RSA El-Gaman khó để giả mạo
Tính tồn vẹn: Đảm bảo liệu nhận xác giống liệu gửi đi, đảm bảo khơng bị chỉnh sửa, chèn, xóa hay thay xảy trình truyền liệu Message Authentication Code (MAC) tính cách băm khóa bí mật với thơng điệp nhằm cung cấp tính tồn vẹn văn ký
Kiếm soát truy cập: Bảo vệ tài nguyên từ việc sử dụng trái phép Các sách an ninh điểm truy cập mạng xác định để kiểm sốt quyền truy cập có điều kiện có quyền truy cập
Bí mật khóa mã hóa khóa hàm băm cần thiết cho dịch vụ an ninh xác định Giao thức trao đổi khóa, chẳng hạn IKEV cung cấp chế thương lượng, đàm phán trao đổi chia khóa bí mật thực thể truyền nhận
Sự đồng thuận chung tầm quan trọng liên quan đến bảo mật mạng dẫn đến phát triển IPSec IPSec cung cấp tiêu chuẩn để đảm bảo thông tin liên lạc mạng Internet Nó thiết kế tương thích với Ipv4 Ipv6 Nhiều công ty, Cisco triển khai IPSec sản phẩm họ Trong báo tơi trình bày việc thực IPSec chế độ đường hầm (tunnel) kit phát triển ML605 với chíp FPGA Virtex
2 Nội dung
2.1 IPSec Freamwork
(3)chế độ vận chuyển (transport) chế độ đường hầm (tunnel) Transport mode sử dụng giao tiếp cuối đến cuối (end-to-end) nơi mà hai host Ipsec điểm cuối Trong chế độ đường hầm thường sử dụng đích gói liệu khác từ cổng định tuyến khác, chúng cung cấp dịch vụ IPSec cho gói liệu chuyển tiếp Trong báo này, tập trung mô tả chế độ đường hầm (turnnel mode) Chế độ đường hầm giao thức ESP thêm phần header ESP vào trước IP header thêm phần IP header vào trước ESP Thêm phần liệu (trailer) vào phần cuối gói tin Giao thức ESP hoạt động chế độ đường hầm hình sau:
Hình Giao thức ESP chế độ đường hầm
Trong giao thức AH chế độ đường hầm phần header AH chèn vào trước IP header IP header chèn vào trước AH header Giao thức AH hoạt động chế độ đường hầm hình sau:
Hình Giao thức AH chế độ đường hầm
2.2 IPSec Xilinx board ML605 (Virtex-6)
Trong năm gần đây, Field Programmable Gate Arrays (FPGA) đạt đầy đủ khả để thực tính phức tạp xử lý mạng máy tính việc lập trình phần cứng Các thiết bị mạng sử dụng FPGA cho thấy cân hiệu suất tính linh hoạt, chúng làm cho FPGA thích hợp tối ưu tài nguyên cho giải pháp ASIC Xilinx Virtex-6 dịng có tốc độ cao, hỗ trợ hệ thống xử lý nhúng (Embedded system) McroBlaze 32bit RISC, Tri-speed Ethernet, DDR3 SO-DIMM, cổng IO giao tiếp mở rộng FPGA Mezzanine Card (FMC)
(4)thực lưu trữ khóa mở rộng cho khối AES MicroBlaze thực nhúng OS chạy chương trình ứng dụng IKEv2
2.3 Thực FPGA
2.3.1 Phần mềm
Phương thức trao đổi khóa tự động phần mềm Racoon với thuật tốn trao đổi khóa IKEV2 phiên nâng cao cho giao thức trao đổi khóa, tăng cường chức thực trao đổi khóa xác thực Phần mền Racoon chay hệ điều hành RTOS ecos cho phép tối ưu hệ thống kết hợp phương thức trao đổi khóa, mã hóa xác thực dễ dàng, linh hoạt
2.3.2 Phần cứng
Bộ IPSec thực phần cứng cho phép thay đổi số lượng mã hóa xác thực AES, HMAC-SHA-256 thiết kế cấu hình để đáp ứng ứng dụng khác
Sơ đồ kiến trúc hệ thống
Hình Sơ đồ kiến trúc IPSec thực phần cứng
(5)Hình Sơ đồ khối thực IPSec
2.3.3 Mô phỏng
Bằng phương pháp mô phỏng, với giao thức IP AH core IP AES HMAC kết nối bên IPSec thực đồng thời cho phép tăng tốc độ mã hóa xác thực Băng thơng thực 6.44Gbs mức trung bình chiều dài 512 byte gói liệu đồng hồ tốc độ 214MHz với 68 xung nhịp core mã hóa xác thực thực đồng thời Việc thực IPSec kit Virtex-6 XC6VLX240T Phương pháp thiết kế sử dụng kỹ thuật pipeline cho việc nâng cao tốc độ thiết kế giảm công suất để giảm tiêu hao lượng.
2.4 Kết đạt được
(6)Hình Kết mô AES core ModeSim
Kết lý thuyết chạy HMAC (SHA256):
Key = 0b0b0b0b0b0b0b0b0b0b0b0b0b0b0b0b0b0b0b0b (20 bytes) Data = 4869205468657265 (“Hi There”)
PRF-HMAC-SHA-256 = b0344c61d8db38535ca8afceaf0bf12b 881dc200c9833da726e9376c2e32cff7
Key in
Data in Data out
(7)Hình 10 Kết mơ chạy HMAC(SHA256) Modelsim
2.4.2 Kết chạy thực tế chạy toàn hệ thống:
[root@localhost sbin]# tcpdump -i p2p1 -v | grep 172.17.67.201
tcpdump: listening on p2p1, link-type EN10MB (Ethernet), capture size 65535 bytes
172.17.67.201 >localhost.localdomain: ESP(spi=0xc3c2b98f,seq=0x1), length 120 localhost.localdomain >172.17.67.201: ESP(spi=0xc363183b,seq=0x1), length 200 172.17.67.201 >localhost.localdomain: ESP(spi=0xc3c2b98f,seq=0x2), length 120 localhost.localdomain >172.17.67.201: ESP(spi=0xc363183b,seq=0x2), length 120 172.17.67.201 >localhost.localdomain: ESP(spi=0xc3c2b98f,seq=0x3), length 120 localhost.localdomain >172.17.67.201: ESP(spi=0xc363183b,seq=0x3), length 120 172.17.67.201 >localhost.localdomain: ESP(spi=0xc3c2b98f,seq=0x4), length 120 localhost.localdomain >172.17.67.201: ESP(spi=0xc363183b,seq=0x4), length 120 172.17.67.201 >localhost.localdomain: ESP(spi=0xc3c2b98f,seq=0x5), length 120 localhost.localdomain >172.17.67.201: ESP(spi=0xc363183b,seq=0x5), length 120 16:46:59.304792 ARP, Ethernet (len 6), IPv4 (len 4), Request who-has localhost
Key in Data in