Đang tải... (xem toàn văn)
Cơ sở để tạo số ngẫu nhiên trên nền Xilinx FPGA là dựa vào đặc tính jitter trong các xung clock của chíp, các giá trị jitter trên chíp FPGA có thể được điều chỉnh bởi b[r]
(1)XÂY DỰNG THUẬT TOÁN, THỬ NGHIỆM ĐÁNH GIÁ MƠ HÌNH CỨNG HĨA GIAO THỨC IKEv2.0
Nguyễn Văn Thành1, Hồng Đình Thắng2*, Trần Bình Minh2, Đỗ Ngọc Phục2 Tóm tắt: Giao thức IKEv20 thơng thường thực phần mềm sử dụng mã nguồn mở Bài báo đưa lược đồ cứng hóa giao thức cơng nghệ FPGA để tăng độ mật, tăng tốc độ xử lý gói tin Các giai đoạn giao thức thực theo nguyên lý xử lý song song cài đặt ngơn ngữ VHDL Giao thức chạy dịng chíp Series, Series hãng Xilinx
Từ khóa: Mã hóa, Bảo mật, IKEv2.0
1 ĐẶT VẤN ĐỀ
Để tăng độ mật tốc độ hệ thống bảo mật thông tin mạng internet vấn đề cần giải phải cứng hóa giao thức IKE tảng phẩn cứng, thời công nghệ phù hợp với Việt Nam công nghệ FPGA Giao thức IKEv2.0 sử dụng phổ biến thời điểm Để cứng hóa giao thức IKEv2.0 trước hết cần giải tốn sau:
- Cứng hóa thuật tốn trao đổi khóa Diffie–Hellman; - Cứng hóa thuật tốn mã hóa, xác thực, hàm băm;
- Cứng hóa giai đoạn trao đổi khóa
Trong vấn đề tốn cứng hóa thuật tốn trao đổi khóa, thuật tốn mã hóa, xác thực, tính tốn hàm băm để tối ưu tài nguyên toán đặc biệt quan trọng, chiếm lượng tài nguyên lớn toàn hệ thống
2 XÂY DỰNG LƯỢC ĐỒ XỬ LÝ
Sơ đồ miêu tả lược đồ IPSec tổng quan hệ thống đưa hình
Hình Cấu trúc tổ chức hệ thống IPSEC
Như ta thấy hình sơ đồ khối chức bao gồm khối:
- IP filter: Thực chức phân tích gói để xác định gói nằm SAD hay nằm ngồi SAD
- IKE: Thực nhiệm vụ trao đổi khóa bao gồm: Tạo số ngẫu nhiên;
Thực thuật tốn trao đổi khóa Diffie–Hellman trên cong ECC;
Thực giao thức trao đổi khóa chuẩn IKEv2.0
(2)- Khối IPSEC control: thực việc điều khiển đồng toàn hệ thống;
- Khối IP packet: thực việc đóng gói giữ liệu theo chuẩn TCP/IP
INITIATOR RESPONDER
1 IKE_SA_INIT (Request) IKE_SA_INIT (Response)
3 IKE_AUTH (Request) IKE_AUTH (Response) CREAT_CHILD (Request)
6 CREAT_CHILD (Response) INFORMATION (Request) INFORMATION (Response)
Hình 2. Các bước tạo tính tốn trao đổi khóa sở IKEv2.0
Lược đồ trao đổi khóa sở IKEv2.0 thực theo bước hình bao gồm pha trao đổi khóa
Pha 1: bao gồm bước
Bước 1, pha 1: tạo IKE SA tính tốn nhân bảo mật; - Thương lượng thuật tốn trao đổi khóa;
- Tính tốn khóa bí mật cho IKE;
- Tính tốn nhân bảo mật để tính tốn khóa IPSec pha Bước thực việc tạo số ngẫu nhiên, tính tốn trao đổi khóa Diffie– Hellman Sau hai tin trao đổi thực hiện, thiết bị cần tính tốn SKEYSEED sở giá trị KEi KEr Phần cứng FPGA bước thực chất làm việc:
- Thực tính tốn DH để tính tốn giá trị KEi, KEr; - Thực tính tốn giá trị khóa chung sở KEi, KEr;
- Tính tốn khóa SKEYSEED dựa vào hàm giả ngẫu nhiên thương lượng giá trị khóa chung, tham số ngẫu nhiên gửi tin trao đổi khóa;
- Tính tốn khóa cho việc mã hóa, xác thực, bảo vệ tính tồn vẹn cho bước 2, pha thơng qua tham số tính tốn bên hàm giả ngẫu nhiên thương lượng
Bước 2, pha 1: Xây dựng cặp xác thực thương lượng thuật toán giao thức IPSec;
(3)- Thương lượng thuật toán IPsec
Bước 2, pha thực chất xác thực lại thuật toán tham số thương lượng pha Nhiệm vụ bước bao gồm:
- Tạo payload sở giá trị tính tốn thương lượng bước 1;
- Mã hóa gói tin mã trao đổi; - Tính tốn xác thực lại tham số trao đổi; - Thương lượng lại thuật toán cho pha Pha 2: Tạo SA
- Thiết lập SA cho AH ESP
2.1 Thực tính tốn trao đổi khóa Diffie–Hellman
Lược đồ tính tốn trao đổi khóa sử dụng sở đường cong ECC, miêu tả hình (https://tools.ietf.org/html/rfc5753)
Hình 3. Các bước tính tốn trao đổi khóa dựa đường cong Eliptic
Phép nhân điểm tính tốn đường cong ECC thực hiên hình:
Hình 4. Phép nhân điểm thực FPGA
(4)Lược đồ tính tốn phép tốn giả ngẫu nhiên thực hình
Hình 5. Lược đồ tính tốn hàm giả ngẫu nhiên SHA – 256
2.3 Thực tạo tín hiệu ngẫu nhiên tảng công nghệ FPGA
Cơ sở để tạo số ngẫu nhiên Xilinx FPGA dựa vào đặc tính jitter xung clock chíp, giá trị jitter chíp FPGA điều chỉnh nhân tần PLL tài ngun chíp
Kỹ thuật thơng thường sử dụng để tạo bit ngẫu nhiên FPGA sử dụng mạch đảo mạch XOR giống hình
Hình 6. Mạch dao động vòng sở sử dụng mạch đảo mạch XOR
Bằng việc lấy mẫu đầu ra, mạch vòng sở bit dao động ngẫu nhiên lấy mẫu với giá trị ngẫu nhiên tương ứng Hình miêu tả mạch lấy mẫu bit sử dụng mạch fip-flop
Hình 7. Mạch lấy mẫu bit ngẫu nhiên
Bài toán thực tạo giả ngãu nhiên sở 1024 vòng dao động hình
3 KẾT QUẢ THỬ NGHIỆM
3.1 Kết thử nghiệm lược đồ trao đổi khóa Diffie–Hellman
Kiểm tra phép tính:
(5)yP = "010" & x"89070fb05d38ff58321f2e800536d538ccdaa3d9"; kP0 = "000" & x"fe13c0537bbc11acaa07d793de4e6d5e5c94eee8"; kP1 = "000" & x"89070fb05d38ff58321f2e800536d538ccdaa3d9"
Hình 8. Tính đắn phép tính k1k2P = k2k1P
Kết luận: với trường hợp đặc khóa k có số bít lớn thời gian tính tốn khoảng 56663 chu kỳ clock, với clock chạy 100MHz thời gian tính tốn cho lần mã hóa là: 0,56 ms
3.2 Kết thử nghiệm tính tốn giả ngẫu nhiên sử dụng thuật toán SHA–256
Các tham số cài đặt khối HMAC-SHA1 sở phần mềm Xilinx ISE 14.5 thực với chíp Xilinx Spartan6 XC6SLX100-2 miêu tả hình 9, 10
Hình 9. Tài nguyên sử dụng khối chíp FPGA
Hình 10. Tốc độ xử lý khối chíp FPGA
Nhận thấy số chu kỳ tính tốn cho block 512 bít liệu hết 64 chu kỳ clock hệ thống
3.3 Kết thử nghiệm tạo tín hiệu ngẫu nhiên tảng cơng nghệ FPGA
Mơ hình test thực sau:
Hình 11. Mơ hình test thuật toán ngẫu nhiên
(6)máy tính thu thập lượng tính tốn xác suất số (0-255) vẽ kết thành đồ thị
Như ta thấy hình, xác suất xuất số có tần xuất hình khơng giống nhau, nhiên, giá trị chúng xuất giao động quanh giá trị 0,39% tương ứng với tần xuất xuất 1/256
Hình 12. Đồ thị biểu diễn xác suất giá trị bit
4 KẾT LUẬN
Bài báo đưa giải pháp cứng hóa tồn giao thức IKEv2 dựa công nghệ FPGA, việc áp dụng công nghệ mang đến số ưu điểm sau:
- Tốc độ mã hóa liệu tăng lên nhiều so với phương pháp truyền thống; - Giảm độ trễ xử lý gói;
- Tăng độ mật hệ thống chuyển từ tảng phần mềm thành tảng phần cứng
TÀI LIỆU THAM KHẢO
[1] CJ Clark, “FPGA Security, FPGA Configuration, FPGA Bitstream”, FPGA Authentication, 2009
[2] Ted Huffmire, Thuy D Nguyen, “Managing Security in FPGA-Based Embedded Systems” 2006
[3] Lattice, FPGA Design Security Issues, 2007
[4] Viktor K Prasanna and Andreas Dandalis, “FPGA-based Cryptography for Internet Security”, 2005
[5].Thomas Wollinger, “Cryptography on FPGAs: State of the Art Implementations and Attacks” 2003
[6] Jian Huang, “FPGA Implemetations on Elliptic Curve Cryptography and Tate pairing over Binary Field”, 2007
[7] Mark McLean and Jason Moore, “FPGA-Based Single Chip Cryptographic Solution”, 2007
[8] Arshad Aziz and Nassar Ikram, “An FPGA-based AES-CCM Crypto Core For IEEE 802.11i Architecture”, 2007
(7)ABTRACT
IMPLEMENTATION AND EVALUATION ALGORITHM FOR IKEA PROTOCOL BASED ON FPGA
In the paper, IKEv.20 protocol is implemented and evaluated based on FPGA Usually, IKEv20 protocol is implemented as software module and it is known open source project A new scheme based on FPGA is proposed in order to improving security and speed up packet processing Phases of protocol is implemented based on parallel techniques and using VHDL language The results show that this protocol can be used in hardware security module The implementation can be run on series, series of Xilinx
Keyword: Security, Encryption, IKEv2.0
Nhận ngày 16 tháng năm 2017 Hoàn thiện ngày 26 tháng 11 năm 2017 Chấp nhận đăng ngày 28 tháng 11 năm 2017
Địa chỉ: 1 Viện Vật lý kỹ thuật/ Viện KHCNQS;
Viện CNTT/ Viện KHCNQS
*