intTypePromotion=1
ADSENSE

Bộ bảo mật IP (IPSec) tốc độ cao 10Gbps trên FPGA

Chia sẻ: ViUzumaki2711 ViUzumaki2711 | Ngày: | Loại File: PDF | Số trang:10

41
lượt xem
2
download
 
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

Bài viết đề xuất thực hiện một bộ bảo mật dữ liệu IPSec trên FPGA Xilinx Virtex-6. Giao thức bảo mật IP (IPSec) là một giao thức quan trọng trong giao thức bảo mật mạng được sử dụng trong lớp IP. Thông thường các bộ bảo mật IPSec đều được thực hiện bằng phần mềm như trên Windows hoặc Linux, trong IPSec các bộ xử lý, mã hóa và xác thực chiếm nhiều thời gian xử lý của CPU do đó rất khó thực hiện hệ thống IPSec tốc độ cao.

Chủ đề:
Lưu

Nội dung Text: Bộ bảo mật IP (IPSec) tốc độ cao 10Gbps trên FPGA

BỘ BẢO MẬT IP (IPSEC) TỐC ĐỘ CAO 10Gbgs<br /> TRÊN FPGA<br /> Lê Thị Thanh Bình1<br /> Tóm tắt: Trong bài báo này, tôi đề xuất thực hiện một bộ bảo mật dữ liệu IPSec<br /> trên FPGA Xilinx Virtex-6. Giao thức bảo mật IP (IPSec) là một giao thức quan trọng<br /> trong giao thức bảo mật mạng được sử dụng trong lớp IP. Thông thường các bộ bảo<br /> mật IPSec đều được thực hiện bằng phần mềm như trên Windows hoặc Linux, trong<br /> IPSec các bộ xử lý, mã hóa và xác thực chiếm nhiều thời gian xử lý của CPU do đó rất<br /> khó thực hiện hệ thống IPSec tốc độ cao. Vì vậy, tôi sẽ trình bày một bộ bảo mật IPSec<br /> tốc độ cao bằng sự kết hợp xử lý giữa phần mềm và phần cứng. Phần mềm Racoon<br /> với chức năng quản lý, đàm phán và trao đổi khóa IKEV2 được chạy trên lõi xử lý<br /> Microblaze. Phần cứng thực hiện trên phần logic của FPGA với chức năng quan trọng<br /> xử lý dữ liệu cho mã hóa AES và xác thực HMAC. Khi đó bộ IPSec trở thành bộ đồng<br /> xử lý với CPU giúp hệ thống thực hiện với tốc độ xử lý cao - 10Gbps.<br /> Từ khóa: IPSec, IP security, bộ bảo mật IP, Giao thức bảo mật IP, bảo mật mạng.<br /> 1. Mở đầu<br /> Trong nhưng năm gần đây các cuộc tấn công mạng xảy ra ngày càng nhiều và ở<br /> hầu hết các quốc gia trên thế giới, tính chất của các vụ tấn công ngày càng phức tạp và<br /> khó lường. Như thông tin từ tờ báo NBC News đã đưa tin “Tin tặc của Trung Quốc đã<br /> tiếp cận hộp thư điện tử cá nhân của các quan chức thương mại và các an ninh quốc gia<br /> hàng đầu của Mỹ từ tháng 4/2010” và một số tờ báo đã đưa tin “Mỹ nghe lén điện thoại<br /> của 35 nhà lãnh đạo trên thế giới” cũng đã làm cho các quốc gia lo ngại về sự đảm bảo<br /> thông tin mạng và an ninh quốc gia.<br /> Các cuộc tấn công mạng với các thiết bị được triển khai từ xa qua mạng Internet<br /> như tấn công thụ động hoặc tấn công chủ đích. Khi hệ thống bị tấn công sẽ làm thay<br /> đổi hành vi của hệ thống hoặc thậm chí làm tê liệt toàn bộ hệ thống. Những loại tấn<br /> công phố biến bao gồm:<br /> Nghe lén: Người sử dụng trái phép đã sử dụng mã độc gây hại để khai thác<br /> mạng, sao chép phân tích dữ liệu. Nếu họ thấy được thông tin văn bản rõ và thông tin<br /> cấu hình thì họ có thể phát hiện ra điểm yếu của hệ thông để tấn công.<br /> Giả mạo: Người sử dụng trái phép có thể giành quyền kiểm soát các thiết bị từ<br /> xa bằng cách phát hành các gói tin điều khiển giả. Loại tấn công này có thể làm thay<br /> đổi hành vi của hệ thống hoặc làm tê liệt hệ thống.<br /> 1<br /> <br /> CN, Trường Đại học Quảng Nam<br /> <br /> 15<br /> <br /> BỘ BẢO MẬT IP (IPSEC) TỐC ĐỘ CAO 10Gbgs TRÊN FPGA<br /> Tấn công truyền lại: Người sử dụng trái phép đứng chắn ngang việc truyền tin<br /> hợp lệ và sử dụng lại nó để truyền lại, và có thể thay đổi hành vi của hệ thống bằng<br /> cách thiết lập lại một số trạng thái trước đó của hệ thống.<br /> Tấn công từ chối dịch vụ (DOS): Tấn công DOS làm giảm hiệu suất của hệ<br /> thống bằng cách làm quá tải của hệ thống với một lưu lượng quá lớn. Nó là nguyên<br /> nhân làm mất giao tiếp và từ chối dịch vụ.<br /> Dịch vụ bảo vệ hệ thống có thể được chia bốn lại như sau:<br /> Bí mật: Đảm bảo rằng chỉ những đơn vị có thẩm quyền mới có quyền xem nội<br /> dung dữ liệu được bảo vệ bằng cách mã hóa dữ liệu như AES hoặc các thuật toán khác<br /> để đảm bảo dữ liệu an toàn<br /> Xác thực: Xác thực để đảm bảo chắc chắn thực thể truyền là một và nó là duy<br /> nhất. Thực thể xác thực bao gồm xác thực ngang hàng và xác thực nguồn gốc dữ liệu.<br /> Chữ ký số được tạo bởi các thuật toán công khai như RSA và El-Gaman là rất khó để<br /> giả mạo.<br /> Tính toàn vẹn: Đảm bảo rằng dữ liệu nhận được là chính xác giống như dữ<br /> liệu gửi đi, đảm bảo không bị chỉnh sửa, chèn, xóa hay thay thế xảy ra trong quá trình<br /> truyền dữ liệu. Message Authentication Code (MAC) được tính bằng cách băm khóa<br /> bí mật với thông điệp nhằm cung cấp tính toàn vẹn trên văn bản ký.<br /> Kiếm soát truy cập: Bảo vệ tài nguyên từ việc sử dụng trái phép. Các chính sách<br /> an ninh tại điểm truy cập mạng được xác định để kiểm soát ai có thể được quyền truy<br /> cập và có những điều kiện gì có quyền truy cập.<br /> Bí mật khóa mã hóa và khóa hàm băm rất cần thiết cho các dịch vụ an ninh được<br /> xác định ở trên. Giao thức trao đổi khóa, chẳng hạn IKEV cung cấp một cơ chế thương<br /> lượng, đàm phán và trao đổi chia sẽ khóa bí mật giữa các thực thể truyền và nhận.<br /> Sự đồng thuận chung về tầm quan trọng liên quan đến bảo mật mạng đã dẫn đến<br /> sự phát triển của IPSec. IPSec đã cung cấp một tiêu chuẩn để đảm bảo thông tin liên<br /> lạc trên mạng Internet. Nó được thiết kế tương thích với Ipv4 và Ipv6. Nhiều công ty,<br /> như Cisco đã triển khai IPSec trong sản phẩm của họ. Trong bài báo này tôi trình bày<br /> việc thực hiện IPSec trong chế độ đường hầm (tunnel) trên kit phát triển ML605 với<br /> chíp FPGA Virtex 6.<br /> 2. Nội dung<br /> 2.1. IPSec Freamwork<br /> Giao thức IPsec bao gồm Authentication Hearder (AH) và Encapsulating Security<br /> Payload (ESP) tất cả AH và ESP đều sử dụng số sequence number để bảo vệ gói IP<br /> chống tấn công lặp lại. Thêm vào đó AH cũng cấp xác thực dữ liệu còn ESP cung cấp<br /> vừa xác thực vừa mã hoá dữ liệu. Mỗi giao thức cung cấp hai chế độ hoạt động đó là<br /> 16<br /> <br /> LÊ THỊ THANH BÌNH<br /> chế độ vận chuyển (transport) và chế độ đường hầm (tunnel). Transport mode là được<br /> sử dụng giao tiếp cuối đến cuối (end-to-end) nơi mà hai host Ipsec là điểm cuối. Trong<br /> chế độ đường hầm thường được sử dụng khi đích của gói dữ liệu khác từ cổng định<br /> tuyến khác, chúng cung cấp dịch vụ IPSec cho gói dữ liệu chuyển tiếp. Trong bài báo<br /> này, tôi tập trung mô tả chế độ đường hầm (turnnel mode). Chế độ đường hầm trong<br /> giao thức ESP thêm phần header ESP vào trước IP header và thêm phần IP header mới<br /> vào trước ESP. Thêm phần dữ liệu (trailer) vào phần cuối gói tin. Giao thức ESP hoạt<br /> động trong chế độ đường hầm như hình sau:<br /> <br /> Hình 1. Giao thức ESP ở chế độ đường hầm<br /> Trong giao thức AH chế độ đường hầm phần header AH được chèn vào trước<br /> IP header và IP header mới cũng được chèn vào trước AH header. Giao thức AH hoạt<br /> động chế độ đường hầm như hình 2 sau:<br /> <br /> Hình 2. Giao thức AH ở chế độ đường hầm<br /> 2.2. IPSec trên Xilinx board ML605 (Virtex-6)<br /> Trong những năm gần đây, Field Programmable Gate Arrays (FPGA) đã đạt<br /> được đầy đủ khả năng để thực hiện những tính năng phức tạp về xử lý mạng máy<br /> tính trong việc lập trình phần cứng. Các thiết bị mạng sử dụng FPGA cho thấy sự<br /> cân bằng giữa hiệu suất và tính linh hoạt, chúng làm cho FPGA thích hợp tối ưu tài<br /> nguyên cho giải pháp ASIC. Xilinx Virtex-6 là dòng có tốc độ cao, hỗ trợ hệ thống xử<br /> lý nhúng (Embedded system) trên McroBlaze 32bit RISC, Tri-speed Ethernet, DDR3<br /> SO-DIMM, các cổng IO giao tiếp mở rộng FPGA Mezzanine Card (FMC).<br /> Bộ IPSec tốc độ cao trong bài báo được thực hiện trên chíp FPGA Virtex6 board<br /> ML605 nhằm tận dụng lợi thế của bộ vi xử lý nhúng, khối RAM trên chíp cho phép<br /> 17<br /> <br /> BỘ BẢO MẬT IP (IPSEC) TỐC ĐỘ CAO 10Gbgs TRÊN FPGA<br /> thực hiện lưu trữ khóa mở rộng cho khối AES. MicroBlaze thực hiện nhúng OS và<br /> chạy các chương trình ứng dụng như IKEv2.<br /> 2.3. Thực hiện trên FPGA<br /> 2.3.1. Phần mềm<br /> Phương thức trao đổi khóa tự động bằng phần mềm Racoon với thuật toán trao<br /> đổi khóa IKEV2 là phiên bản nâng cao cho giao thức trao đổi khóa, tăng cường chức<br /> năng thực hiện trao đổi khóa và xác thực. Phần mền Racoon được chay trên hệ điều<br /> hành RTOS ecos cho phép tối ưu hệ thống và kết hợp phương thức trao đổi khóa, mã<br /> hóa và xác thực được dễ dàng, linh hoạt.<br /> 2.3.2. Phần cứng<br /> Bộ IPSec thực hiện bằng phần cứng cho phép thay đổi số lượng bộ mã hóa và<br /> xác thực AES, HMAC-SHA-256 trong thiết kế có thể cấu hình để đáp ứng các ứng<br /> dụng khác nhau.<br /> Sơ đồ kiến trúc hệ thống<br /> <br /> Hình 3. Sơ đồ kiến trúc IPSec thực hiện bằng phần cứng<br /> Khối IPSec đó là những bộ mã hóa AES và xác thực HMAC(SHA256) được<br /> thực hiện bằng phần cứng trên FPGA. Để Kernel RTOS giao tiếp được với khối IPSec<br /> cần phải có driver. Ở trên cùng là các ứng dụng trong mạng, ứng dụng IKEV thực hiện<br /> việc trao đổi khóa cho IPSec.<br /> Sơ đồ kiến trúc phần cứng IPSec trên FPGA<br /> 18<br /> <br /> LÊ THỊ THANH BÌNH<br /> <br /> 2.3.3. Mô phỏng<br /> <br /> Hình 4. Sơ đồ khối thực hiện IPSec<br /> <br /> Bằng phương pháp mô phỏng, với 4 giao thức IP AH và 4 core IP AES và HMAC<br /> kết nối bên trong IPSec thực hiện đồng thời cho phép tăng tốc độ mã hóa và xác thực. Băng<br /> thông thực hiện 6.44Gbs ở mức trung bình chiều dài 512 byte gói dữ liệu dưới đồng hồ<br /> tốc độ 214MHz với 68 xung nhịp và 4 core mã hóa và xác thực thực hiện đồng thời. Việc<br /> thực hiện IPSec trên kit Virtex-6 XC6VLX240T. Phương pháp thiết kế sử dụng kỹ thuật<br /> pipeline cho việc nâng cao tốc độ và thiết kế giảm công suất để giảm tiêu hao năng lượng.<br /> 2.4. Kết quả đạt được<br /> 2.4.1. Kết quả mô phỏng<br /> <br /> Hình 5. Tài nguyên AES core<br /> <br /> Hình 6. Tốc độ AES core<br /> 19<br /> <br />
ADSENSE

CÓ THỂ BẠN MUỐN DOWNLOAD

 

Đồng bộ tài khoản
2=>2