Trong hình 3: Khối IP protocol check sẽ kiểm tra địa chỉ IP, dạng giao thức của gói, nếu dữ liệu đúng là gói IP và địa chỉ đích nằm trong SA dữ liệu sẽ được đưa tới khối IP protocol re[r]
(1)XÂY DỰNG MƠ HÌNH CỨNG HĨA GIAO THỨC BẢO MẬT ESP TRÊN NỀN TẢNG CÔNG NGHỆ FPGA
Nguyễn Văn Thành1, Hồng Đình Thắng2*, Hồng Văn Tồn2, Phạm Hải Hưng2 Tóm tắt: Bài báo miêu tả giải pháp cứng hóa giao thức ESP chế độ tunel sử dụng công nghệ FPGA Ở đây, đưa lược đồ để phân tích, đóng gói, mã hóa, giải mã gói tin lớp IP để xử lý giao thức ESP chế độ tunel theo nguyên lý pipeline, đảm bảo giảm độ trễ, tăng tốc độ xử lý gói tin Giao thức thử nghiệm trên chíp spartan – Xilinx, chạy tất dịng chíp Series, Series hãng
Từ khóa: Mã hóa, Bảo mật, ESP
1 ĐẶT VẤN ĐỀ
Vấn đề lớn bảo mật thông tin sử dụng phương thức IPSec để xây dựng mạng riêng ảo (VPN – Virtual Private Networks) tăng hiệu hệ thống, tốn đóng gói liệu theo giao thức ESP đòi hỏi thời gian thực đặc biệt đóng vai trị quan trọng Các kỹ thuật thời sử dụng kết hợp công nghệ Opensources FPGA, FPGA đóng thực thuật tốn mã hóa liệu Tuy nhiên, với kỹ thuật có nhiều nhược điểm như:
- Hiệu thấp; - Độ trễ gói lớn; - Xác suất lỗi gói lớn
Để giải nhược điểm báo giới thiệu kỹ thuật cứng hóa hồn tồn giao thức ESP sử dụng chế độ tunnel tảng công nghệ FPGA
2 XÂY DỰNG MƠ HÌNH XỬ LÝ
A
Gateway Gateway
New IP Header
ESP
Header TCP Data
Orig IP Header Encrypted
B
Hình 1. Mơ hình mạng thực ESP chế độ tunnel
Mơ hình mạng thực ESP chế độ Tunnel đưa hình 1, định dạng gói tin ESP chế độ tunel đưa hình Như hình thấy để thực việc cứng hóa giao thức ESP chế độ tunnel cần giải tốn:
- Phân tích tồn gói tin mạng đến lớp IP;
- Phân tích tìm kiếm tham số gói tin như: địa IP đích, địa IP nguồn, kiểu giao thức, tham số số SPI;
(2)- Thiết lập tìm kiếm tham số gói tin SAD (Security Association DataBase);
- Thực mã hóa gói tin thuật tốn mã hóa AES, DES, 3DES thuật tốn đặc thù;
- Thực xác thực gói tin qua thuật tốn SHA, MD5
Hình Định dạng gói tin giao thức ESP chế độ tunnel.
Như vậy, việc thực mã hóa sử dụng FPGA thực nhiệm vụ chuỗi nhiệm vụ thực giao thức ESP chế độ tunnel
Sơ đồ xử lý gói tin để thực giao thức ESP chế độ Tunnel đưa hình
IP protocol
check
IP protocol
reciver
Mã hóa
Xác thực
IP protocol Transmitted Dữ liệu vào từ
lớp Ethernet Dữ liệu tới
lớp Ethernet
Hình 3. Sơ đồ xử lý gói tin để thực giao thức ESP chế độ Tunnel.
Trong hình 3: Khối IP protocol check kiểm tra địa IP, dạng giao thức gói, liệu gói IP địa đích nằm SA liệu đưa tới khối IP protocol reciever, ngược lại, địa đích nằm ngồi SA liệu bỏ qua truyền thẳng xuống lớp Ethernet để truyền vào mạng
Khối IP protocol reciever thực phân tích liệu để lấy tham số sau:
- MAC address; - IP header;
(3)Dữ liệu IP đưa tới khối mã hóa khối xác thực để thực mã hóa xác thực Dữ liệu đầu khối mã hóa xác thực đưa tới khối IP protocol Transmitted Khối IP protocol Transmitted thực đóng gói lại liệu vừa mã hóa truyền xuống lớp Ethenet để truyền vào mạng
Lưu đồ thuật tốn xử lý gói đưa hình Khi hoạt động dựa hai tín hiệu báo có SA báo tìm kiếm SA để xác định hoạt động Nếu có tín hiệu báo có SA khối thực tìm kiếm sở liệu lưu nhớ RAM, tham số địa đích SPI có khối thay tồn tham số có SA Nếu có tín hiệu báo để tìm kiếm SA hệ thống vào địa IP đích SPI để xác địch xem có tồn SA hay khơng, có tồn SA tín hiệu đồng hệ thống giá trị tham số SA đưa chu kỳ clock tương ứng với độ rộng xung báo đồng bộ, khơng có tín hiệu khơng đồng đưa để báo khơng có SA tồn tương ứng với tham số cần tìm kiếm hệ thống
Mỗi SA bao gồm giá trị: địa đích, giá trị SPI, giá trị khóa sử dụng cho thuật tốn mã hóa SA thực việc cấp phép cho cấu hình VPN, hệ thống gửi gói liệu, xem xét SA sở liệu thực việc xử lý chèn giá trị SPI, SQN,
địa đích sau xử lý gói theo thuật tốn, khóa quy định sẵn SA Mỗi SA thiết lập q trình trao đổi khóa
Kết cài đặt giao thức chíp Xilinx Spartan6 XC6SLX100-2 đưa hình
Hình 5. Kết cài đặt giao thức ESP chế độ tunnel chíp FPGA
Hình Lưu đồ thuật tốn xử lý gói tin giao thức ESP
(4)3 KẾT QUẢ THỬ NGHIỆM
Mơ hình thử nghiệm đưa hình 6, máy tính máy tính kết nối tới Gateway Gateway cài đặt giao thức ESP chế độ tunnel sử dụng chíp Spartan6 XC6SLX100-2 với Clock hệ thống 100MHZ Hai Gateway kết nối tới Switch layer 2, máy tính thứ kết nối tới cổng monitoring switch để giám sát gói tin truyền qua hệ thống qua phần mềm Wireshark
Máy tính
Máy tính Monitoring
Gateway
Gateway
Hình 6. Mơ hình thử nghiệm giao thức ESP chế độ tunnel.
Hai máy tính thực việc copy file liệu lớn sử dụng phần mềm FileZilla giao thức FTP Server sau thiết lập giao thức trao đổi khóa IKEv2.0 để thực thiết lập SAD
Bảng 1. Kết thử nghiệm
STT Tên tham số Kết thử nghiệm
cho mạng 100Mb/s
Kết thử nghiệm cho mạng 1000Mb/s
1 Tốc độ copy liệu 70Mp/s 250Mb/s
2 Thời gian trễ <1ms <1ms
3 Xác suất lỗi gói <1% <1%
4 KẾT LUẬN
Bài báo đưa giải pháp cứng hóa tồn giao thức ESP chế độ tunnel sử dụng công nghệ FPGA, việc áp dụng công nghệ mang đến số ưu điểm sau:
- Tốc độ mã hóa liệu tăng lên nhiều so với phương pháp truyền thống; - Giảm độ trễ xử lý gói;
- Tăng độ mật hệ thống chuyển từ tảng phần mềm thành tảng phần cứng
TÀI LIỆU THAM KHẢO
(5)[2] Ted Huffmire, Thuy D Nguyen, Managing Security in FPGA-Based Embedded Systems 2006
[3] Lattice, FPGA Design Security Issues, 2007
[4] Viktor K Prasanna and Andreas Dandalis, FPGA-based Cryptography for Internet Security, 2005
[5] Thomas Wollinger, Cryptography on FPGAs: State of the Art Implementations and Attacks 2003
[6] Jian Huang, FPGA Implemetations on Elliptic Curve Cryptography and Tate pairing over Binary Field, 2007
[7] Mark McLean and Jason Moore, FPGA-Based Single Chip Cryptographic Solution, 2007
[8] Arshad Aziz and Nassar Ikram, An FPGA-based AES-CCM Crypto Core For IEEE 802.11i Architecture, 2007
[9] https://tools.ietf.org/html/rfc7402
ABSTRACT
A HARDWARE STRUCTURE FOR ESP PROTOCOL SECURITY BASED ON FPGA
In the paper, a hardware structure for ESP protocol security based on FPGA in tunnel mode is presented A scheme is proposed for analyzing, packaging, encrypting/decrypting at IP layer to processing ESP protocol in tunnel mode with pipeline principle This technique improves performance of processing packet and reducing latency The hardware structure is implemented and tested on Spartan-6 of Xilinx, and it can be implemented on 6 series, series of Xilinx.
Keywords: FPGA, ESP, SA
Nhận ngày 16 tháng năm 2017 Hoàn thiện ngày 26 tháng 11 năm 2017 Chấp nhận đăng ngày 28 tháng 11 năm 2017
Địa chỉ: 1 Viện Vật lý Kỹ thuật/ Viện KHCNQS;
2
Viện CNTT/ Viện KHCNQS
*