Thiết kế thiết bị định tuyến với bộ mã hóa xác thực trên FPGA hỗ trợ tăng tốc giao thức bảo mật IPSEC VPN

Bài viết trình bày việc đề xuất mô hình hệ thống tăng tốc giao thức IPsec VPN trên board thiết bị định tuyến router sử dụng FPGA Artix 7 của hãng Xilinx, trong đó thực hiện mã hóa theo giải thuật AES-GCM.
Nội dung trích xuất từ tài liệu:
Thiết kế thiết bị định tuyến với bộ mã hóa xác thực trên FPGA hỗ trợ tăng tốc giao thức bảo mật IPSEC VPN Hội nghị Quốc gia lần thứ 23 về Điện tử, Truyền thông và Công nghệ Thông tin (REV-ECIT2020) Thiết kế thiết bị định tuyến với bộ mã hóa xác thực trên FPGA hỗ trợ tăng tốc giao thức bảo mật IPSEC VPN Nguyễn Phan Hải Phú, Phạm Minh Hiếu, Nguyễn Hồng Hòa, Đoàn Ngọc Cẩm, Bùi Quốc Bảo, Hoàng Trang Khoa Điện-Điện Tử, Trường Đại học Bách Khoa TP. HCM Đại học Quốc gia Thành phố Hồ Chí Minh Email: hoangtrang@hcmut.edu.vn Abstract— Trong bài báo này, chúng tôi đề xuất mô sẽ thực thi xử lý từng giai đoạn. Điều này gây ra hiện hình hệ thống tăng tốc giao thức IPsec VPN trên board tượng “nút cổ chai” khi CPU vừa phải thực hiện xử lý thiết bị định tuyến router sử dụng FPGA Artix 7 của thông tin lớp mạng vừa phải tiến hành mã hóa và giải hãng Xilinx, trong đó thực hiện mã hóa theo giải thuật mã gói tin nhận được từ lớp mạng [5]. AES-GCM. Hệ thống này sẽ bao gồm lõi IP cho giai đoạn mã hóa, xác thực sử dụng giải thuật AES-GCM 128 bit Trong thiết kế IPsec VPN, việc thực thi xử lý gói được xây dựng trên FPGA và Linux device driver để tích theo giao thức IPsec có thể làm tăng lên sự tiêu thụ tài hợp hệ thống tăng tốc mã hóa này vào các thiết bị chạy nguyên của CPU một cách đáng kể và sự tiêu thụ tài hệ điều hành Linux. Thiết bị định tuyến được thiết kế và nguyên CPU này phụ thuộc vào lưu lượng IPsec [2], chế tạo để thử nghiệm các giải thuật đề nghị và đo đạc [5]. Do đó giải pháp dựa trên phần cứng tăng tốc mã các kết quả. hóa sẽ đóng vai trò quan trọng trong việc đạt đến hiệu năng cao ở trong hệ thống lớn cũng như là một cách Keywords- Tăng tốc IPsec, AES – GCM 128 bit, giao tiếp cận hữu ích trong việc làm giảm mức sử dụng tiếp PCIe, Linux device driver. CPU ở hệ thống nhỏ và chậm. Để khắc phục các vấn đề trên, trong bài báo này, I. GIỚI THIỆU chúng tôi đề xuất mô hình thiết kế, chế tạo một hệ Trong thời đại kỉ nguyên số hiện nay, việc bảo mật thống thiết bị định tuyến router hoàn chỉnh, trong đó thông tin là một việc vô cùng quan trọng. Thông khối board chính với CPU thực thi các giai đoạn như thường, người ta thường tận dụng cơ sở hạ tầng mạng tra bảng SA, đóng gói hay gỡ gói, và chống phát lại vốn có để có thể truyền và nhận dữ liệu, hay còn gọi là trong một quy trình IPsec VPN; còn giai đoạn mã hóa mạng riêng ảo VPN. Đây là một mạng ảo được xây hay giải mã gói tin sẽ được phần cứng FPGA đảm dựng trên mạng vật lý hiện có và là một công nghệ nhiệm. Kiến trúc thực thi này còn được gọi là kiến trúc đang rất phổ biến trong hạ tầng mạng công cộng, đặc Look-aside. Chúng tôi sẽ trình bày thiết kế thiết bị biệt trong thiết kế thiết bị định tuyến router. Hiện nay, tăng tốc mã hóa xác thực sử dụng thuật toán AES – có nhiều kỹ thuật, công nghệ để triển khai mạng riêng GCM 128 bit hỗ trợ IPsec VPN trên card FPGA (theo ảo (VPN) mà nổi bật trong đó phải kể đến IPsec kiến trúc Look-aside) có giao tiếp PCIe với CPU VPN [1],[2]. IPsec là một bộ giao thức bổ sung bảo chính. Phần II miêu tả việc xây dựng mô hình thiết kế mật đối với thông tin trao đổi ở lớp mạng (network) phần mềm và FPGA của hệ thống. Các kết quả mô trong mô hình mạng TCP/IP [3],[4]. Bộ giao thức này phỏng và đánh giá hiệu năng mã hóa của thiết bị tăng ngày càng trở nên quan trọng hơn vì nó là cơ chế bảo tốc khi truyền gửi gói tin qua PCIe trên board Router mật bắt buộc trong IPv6. Khi IPsec được kích hoạt được trình bày trong phần III. Phần IV, chúng tôi sẽ trên một mạng, các nút mạng ở mỗi đầu IPsec phải đưa ra kết luận. thực hiện xử lý bổ sung để cung cấp chức năng mã hóa II. XÂY DỰNG MÔ HÌNH HỆ THỐNG và bảo vệ toàn vẹn trên gói tin IPsec. Đối với một nút mạng điển hình, việc thực thi giao thức IPsec được Sơ đồ khối tổng quát của hệ thống được chia làm mặc định sử dụng phần mềm để mã hóa và ít nhiều đã hai phần chính: Board Router với Chip xử lý SoC gây ra tình trạng giảm thông lượng mạng đi qua nút do Marvel Cortex A9 (ARMv7) chủ yếu các khối hệ làm quá tải CPU của thiết bị đó. Cụ thể hơn, một quy thống phần mềm liên quan đến việc giao tiếp với trình IPsec VPN, bao gồm các giai đoạn tra bảng SA, board FPGA. Các IP chính trong board FPGA Artix 7 đóng gói và gỡ gói, mã hóa và chống phát lại,… sẽ liên quan đến việc mã hóa và di chuyển dữ liệu được được thực hiện hoàn toàn bằng phần mềm, tức là CPU mô tả trong hình 1. Về mặt vật lý, hai board giao tiếp ISBN: 978-604-80-5076-4 152 Hội nghị Quốc gia lần thứ 23 về Điện tử, Truyền thông và Công nghệ Thông tin (REV-ECIT2020) với nhau bằng giao tiếp PCIe qua khe M.2. Phiên bản PCIe mà hai board hỗ trợ là PCIe 2.0, trong đó, PCIe trên board Router có 1 làn và 3 làn còn lại dùng cho mô-đun Wifi và SFP, còn trên board FPGA tùy theo cấu hình có thể chọn cấu hình 1 làn hoặc 4 làn. Hình 2 thể hiện các khối chính thực thi quy trình IPsec VPN trên board Router. Trong board ...