Xây dựng thuật toán, thử nghiệm đánh giá mô hình cứng hóa giao thức IKEv2.0

Bài viết đưa ra lược đồ cứng hóa giao thức trên nền công nghệ FPGA để tăng độ mật, tăng tốc độ xử lý gói tin. Các giai đoạn của giao thức được thực hiện theo nguyên lý xử lý song song và được cài đặt trên ngôn ngữ VHDL.
Nội dung trích xuất từ tài liệu:
Xây dựng thuật toán, thử nghiệm đánh giá mô hình cứng hóa giao thức IKEv2.0 Công nghệ thông tin<br /> <br /> XÂY DỰNG THUẬT TOÁN, THỬ NGHIỆM ĐÁNH GIÁ MÔ HÌNH<br /> CỨNG HÓA GIAO THỨC IKEv2.0<br /> Nguyễn Văn Thành1, Hoàng Đình Thắng2*, Trần Bình Minh2, Đỗ Ngọc Phục2<br /> Tóm tắt: Giao thức IKEv20 thông thường được thực hiện trên phần mềm và sử<br /> dụng mã nguồn mở. Bài báo đưa ra lược đồ cứng hóa giao thức trên nền công nghệ<br /> FPGA để tăng độ mật, tăng tốc độ xử lý gói tin. Các giai đoạn của giao thức được<br /> thực hiện theo nguyên lý xử lý song song và được cài đặt trên ngôn ngữ VHDL.<br /> Giao thức có thể chạy trên các dòng chíp 6 Series, 7 Series của hãng Xilinx.<br /> Từ khóa: Mã hóa, Bảo mật, IKEv2.0.<br /> <br /> 1. ĐẶT VẤN ĐỀ<br /> Để tăng độ mật và tốc độ các hệ thống bảo mật thông tin trên mạng internet một<br /> trong những vấn đề cần giải quyết phải cứng hóa được giao thức IKE trên nền tảng<br /> phẩn cứng, và hiện thời công nghệ phù hợp với Việt Nam là công nghệ FPGA.<br /> Giao thức IKEv2.0 được sử dụng phổ biến trong thời điểm hiện tại. Để cứng hóa<br /> giao thức IKEv2.0 trước hết cần giải các bài toán sau:<br /> - Cứng hóa thuật toán trao đổi khóa Diffie–Hellman;<br /> - Cứng hóa các thuật toán mã hóa, xác thực, các hàm băm;<br /> - Cứng hóa các giai đoạn trong trao đổi khóa.<br /> Trong các vấn đề đó bài toán cứng hóa thuật toán trao đổi khóa, các thuật toán<br /> mã hóa, xác thực, tính toán các hàm băm để tối ưu tài nguyên là bài toán đặc biệt<br /> quan trọng, và chiếm lượng tài nguyên lớn trong toàn bộ hệ thống.<br /> 2. XÂY DỰNG LƯỢC ĐỒ XỬ LÝ<br /> Sơ đồ miêu tả lược đồ IPSec tổng quan trong hệ thống được đưa ra trên hình 1.<br /> <br /> <br /> <br /> <br /> Hình 1. Cấu trúc tổ chức hệ thống IPSEC.<br /> Như ta thấy trên hình 1 sơ đồ khối chức năng bao gồm các khối:<br /> - IP filter: Thực hiện chức năng phân tích gói để xác định gói nằm trong<br /> SAD hay nằm ngoài SAD.<br /> - IKE: Thực hiện các nhiệm vụ trao đổi khóa bao gồm:<br />  Tạo số ngẫu nhiên;<br />  Thực hiện thuật toán trao đổi khóa Diffie–Hellman trên được cong<br /> ECC;<br />  Thực hiện bộ giao thức trao đổi khóa trên chuẩn IKEv2.0.<br /> - Khối ESP: Thực hiện giao thức mã hóa và xác thực khối dữ liệu được<br /> truyền-nhận đến thiết bị.<br /> <br /> <br /> 186 N. V. Thành, …, Đ. N. Phục, “Xây dựng thuật toán, thử nghiệm … giao thức IKEv2.0.”<br /> Nghiên cứu khoa học công nghệ<br /> <br /> - Khối IPSEC control: thực hiện việc điều khiển và đồng bộ toàn bộ hệ<br /> thống;<br /> - Khối IP packet: thực hiện việc đóng gói giữ liệu theo chuẩn TCP/IP.<br /> 1. IKE_SA_INIT (Request)<br /> <br /> 2. IKE_SA_INIT (Response)<br /> <br /> 3. IKE_AUTH (Request)<br /> <br /> 4. IKE_AUTH (Response)<br /> INITIATOR 5. CREAT_CHILD (Request) RESPONDER<br /> <br /> 6. CREAT_CHILD (Response)<br /> <br /> 7. INFORMATION (Request)<br /> <br /> 8. INFORMATION (Response)<br /> <br /> <br /> Hình 2. Các bước tạo tính toán trao đổi khóa trên cơ sở IKEv2.0.<br /> Lược đồ trao đổi khóa trên cơ sở IKEv2.0 thực hiện theo các bước như trên hình<br /> 2 bao gồm 2 pha trao đổi khóa.<br /> Pha 1: bao gồm 2 bước.<br /> Bước 1, pha 1: tạo IKE SA và tính toán các nhân bảo mật;<br /> - Thương lượng thuật toán trao đổi khóa;<br /> - Tính toán các khóa bí mật cho IKE;<br /> - Tính toán các nhân bảo mật để tính toán các khóa IPSec trong pha 2.<br /> Bước 1 thực hiện việc tạo bộ số ngẫu nhiên, tính toán trao đổi khóa Diffie–<br /> Hellman. Sau khi hai bản tin trao đổi được thực hiện, mỗi thiết bị cần tính toán<br /> SKEYSEED trên cơ sở các giá trị KEi và KEr. Phần cứng FPGA trong bước này<br /> thực chất làm các việc:<br /> - Thực hiện tính toán DH để tính toán các giá trị KEi, KEr;<br /> - Thực hiện tính toán giá trị khóa chung trên cơ sở KEi, và KEr;<br /> - Tính toán khóa SKEYSEED dựa vào hàm giả ngẫu nhiên đã được thương<br /> lượng và giá trị khóa chung, cũng như các tham số ngẫu nhiên gửi đi trong<br /> bản tin trao đổi khóa;<br /> - Tính toán các khóa cho việc mã hóa, xác thực, bảo vệ tính toàn vẹn cho<br /> bước 2, pha 1 thông qua các tham số được tính toán bên trên và hàm giả<br /> ngẫu nhiên đã được thương lượng.<br /> Bước 2, pha 1: Xây dựng cặp xác thực và thương lượng các thuật toán trong<br /> giao thức IPSec;<br /> - Xác thực lẫn nhau;<br /> <br /> <br /> <br /> Tạp chí Nghiên cứu KH&CN quân sự, Số Đặc san CNTT, 12 - 2017 187<br />  Công nghệ thông tin<br /> <br /> - Thương lượng các thuật toán IPsec.<br /> Bước 2, pha 1 thực chất xác thực lại các thuật toán và các tham số đã được<br /> thương lượng trong pha 1. Nhiệm vụ của bước này bao gồm:<br /> - Tạo các payload trên cơ sở các giá trị tính toán và thương lượng trong bước<br /> 1;<br /> ...