Mạng riêng ảo và giao thức IPSec

g cấp một quy định chung để thoả thuận trao đổi sửa đổi v xo ỏ c c tổ hợp ảo vệ giữa c c hệ thống kh ng giống nhau iệc tập trung ho c ch quản l c c tổ hợp ảo vệ ằng l m giảm nhiều chức năng tr ng lặp trong m i giao thức ảo mật v giảm đ ng kể 32 thời gian thiết lập kết nối ởi v có thể thoả thuận một lần cho một tập c c dịch vụ iao thức có 4 th nh phần chức năng ch nh sau  c thực người đối thoại  hiết lập v quản l kho mật mã  ạo v quản l tổ hợp ảo vệ  iảm mối đe doạ iao thức t ch hợp c c cơ chế để chống lại c c nguy cơ như từ chối dịch vụ Denial of ervice chặn ắt ijacking v tấn c ng người đứng giữa an-in-the- iddle Dịch vụ quản l gửi trước một thẻ chống cản trở an ticlogging tocken cookie tới hệ thống y u cầu để thực hiện ất k một giao t c n o tốn nhiều c ng sức ếu người quản trị kh ng nhận được trả lời của thẻ n y nó coi y u cầu như l kh ng hợp lệ v ỏ y u cầu đi ặc d đ y kh ng l c ch ảo vệ chống cản trở tốt nhất nó đủ hiệu quả để chống lại phần lớn c c tấn c ng l m tắc nghẽn th ng thường ơ chế chống cản trở cũng rất có lợi để ph t hiện tấn c ng chuyển hướng nhiều thẻ được gửi đi trong qu tr nh thiết lập m i phi n n n ất cứ một cố gắng n o nhằm chuyển hướng d ng dữ liệu đến điểm cuối kh c sẽ ị ph t hiện iao thức li n kết qu tr nh x c thực v qu tr nh trao đổi kho v o một d ng dữ liệu duy nhất iều n y l m cho những tấn c ng dựa v o việc chặn ắt v thay đổi d ng dữ liệu như chặn ắt người đứng giữa ho n to n v t c dụng ọi sự can thiệp hay sửa đổi d ng dữ liệu sẽ ị ph t hiện ởi người quản trị v mọi xử l tiếp theo sẽ ị dừng cũng p dụng một m y trạng th i c i đặt sẵn để ph t hiện việc xo ỏ dữ liệu điều n y đảm ảo cho những dựa tr n những trao đổi một phần sẽ kh ng được thiết lập uối c ng để chống lại sự đe doạ định ra 33 việc ghi nhật k v c c y u cầu cảnh o đối với tất cả c c h nh động ất thường v giới hạn việc sử dụng th ng o l i tr n đường truyền hư một chuẩn ec nhanh chóng trở th nh phương ph p được đ nh gi cao để ảo mật th ng tin trong mạng ược thiết kế để h trợ nhiều lược đồ mã ho v x c thực v t nh tương giao giữa nhiều người n h ng ec có thể thay đổi để th ch hợp với y u cầu ảo mật của cả c c tổ chức lớn hay nhỏ rong chương n y đã tr nh y những kiến thức cơ ản về mạng ri ng ảo vấn đề ảo mật trong mạng ri ng ảo đặc iệt l giao thức ec hững kiến thức n y sẽ gi p ch cho việc thiết kế thiết ị ảo mật rong chương sau sẽ tr nh y những c c k thuật cơ ản về mã ho v c ng nghệ 34 hương MÃ HOÁ VÀ FPGAs 2.1 2.1 T ã ho l qu tr nh chuyển c c văn ản hay t i liệu gốc th nh c c văn ản dưới dạng mật mã để kh ng ai ngo i người gửi v người nhận có thể đọc được ã ho được dựa tr n hai th nh phần thuật to n v kho ột thuật to n mã ho l một chức năng to n học để tạo ra một văn ản hay c c th ng tin dễ hiểu với một chu i c c số được gọi l kho để tạo ra một văn ản mật mã khó hiểu ã ho tr n hệ thống kho cơ ản cung cấp hai ưu điểm quan trọng hứ nhất l ằng việc d ng một kho có thể sử dụng c ng một thuật to n để truyền th ng với nhiều người tất cả những g phải l m l sử dụng một kho kh c cho m i th nh vi n tương ứng hứ hai nếu như ản tin được mã ho ị ẻ gãy ch cần chuyển một kho mới để ắt đầu mã ho ản tin đó lại m kh ng cần phải đổi một kho mới để ắt đầu mã ho ản tin đó lại m kh ng cần phải đổi một thuật to n để thực hiện qu tr nh đó ố kho m thuật to n có thể cung cấp phụ thuộc v o số it trong kho ố kho c ng lớn th khả năng một ản tin đã được mã ho ị ẻ kho c ng thấp tức khả năng ảo mật cao hơn 2.1 2 ó hai phương thức mã ho phổ iến đó l mã ho mật v mã ho c ng cộng 2.1.2.1 P hương thức mã kho mật hay c n gọi l mã ho đối xứng ch sử dụng một ch a kho để mã ho v giải mã hi đó n gửi v n nhận cần phải thoả thuận trước kho mật n y 35 hương thức mã ho kho mật thực hiện qu tr nh mã ho một c ch đơn giản uy nhi n có nhược điểm l nếu kho chung gửi qua mạng th có khả năng ị đ nh cắp ặt kh c nếu như ta có nhiều sự trao đổi th ta phải giữ một số lượng lớn kho mật v nếu ch sử dụng một kho cho nhiều trao đổi th người nhận sẽ có khả năng đọc thư của người kh c c phương thức mã ho kho mật sử dụng thuật to n như D Triple DE lowfish … 2.1 2 2 ã ho kho c ng cộng được dựa tr n niệm của kho đ i ột phần của kho đ i l kho ri ng ch được iết đến ởi người thiết kế phần kh c l kho c ng cộng có thể được c ng ố một c ch rộng rãi nhưng vẫn được kết hợp với người sở hữu c kho đ i n y có đặc điểm l dữ liệu mã ho với một kho có thể được giải mã với một kho kh c trong c ng một cặp vậy y u cầu của phương ph p n y l phải đảm ảo kh ng thể hoặc rất khó để t m ra mã mật từ mã c ng khai i hững kho n y có thể được d ng để cung cấp ản tin một c ch tin cậy v chứng minh sự tin cậy của một ản tin gốc 36 u điểm của phương ph p n y l kho c ng cộng của kho đ i có thể ph n ph t một c ch sẵn s ng m kh ng sợ rằng điều n y l m ảnh hưởng đến việc sử dụng c c kho ri ng h ng cần phải gửi một ản sao ch p kho c ng cộng cho tất cả c c đ p ứng m ch ng ta có thể lấy từ một m y chủ hay từ nh cung cấp dịch vụ c phương thức mã ho c ng khai ao gồm c c k thuật như Diffie- ellman chnorr … 2.1.3 T 2.1 hi một người muốn gửi cho ai đó một văn ản quan trọng đ i hỏi văn ản phải được k x c nhận ch nh danh người gửi hi đó người gửi văn ản sẽ cần thực hiện một quy tr nh được gọi l k chữ k điện tử hữ k điện tử l k hiệu điện tử được gắn với văn ản điện tử kh c theo một nguy n tắc nhất định v được k văn ản đó p dụng để cung cấp dịch vụ x c thực cho người nhận ng nghệ chữ k điện tử đang được ph t triển v ứng dụng rộng rãi đặc iệt trong l nh vực thương mại điện tử như thư điện tử c c giao dịch t i ch nh… 2.1 2 H ới một ức th ng điệp lớn việc t nh to n chữ k điện tử tốn nhiều thời gian vậy người ta sử dụng h m ăm tóm tắt một th ng điệp d i ất k th nh th ng điệp có k ch thước cố định h ng điệp n y sẽ sử dụng để kiểm tra th ng điệp có to n v n hay kh ng iệc sử dụng h m ăm l m chữ k điện tử sẽ tăng cường khả năng thực thi v message digest nhỏ hơn rất nhiều so với to n ộ gói th ng điệp 37 : 2.2 T P 2.2 s l viết tắt của ield rogramma le ate rrays có ngh a l mảng cổng cho ph p lập tr nh được s l c c thiết ị phần cứng m có thể thay đổi chức năng ởi việc lập tr nh c c chip sau khi sản xuất u tr nh lập tr nh c c rất nhanh thường nhỏ hơn ph t do đó ch ng rất thuận tiện cho việc sử dụng như một nền tảng của việc có thể định lại cấu h nh c ao gồm rất nhiều khối logic s được ao quanh ởi c c khối input output m cung cấp một giao diện giữa c c khối logic có thể định lại cấu h nh v c c ch n dữ liệu v một mạng định tuyến t i nguy n được gọi l ma trận định tuyến chung m li n kết n trong c c khối logic ới họ ng y nay khả năng t ch hợp của nó đã vượt qu triệu cổng ới sự giới thiệu của họ partan hiện nay inlinx có thể cạnh tranh về ma trận cổng ở mọi kh a cạnh như gi cả số lượng cổng số lượng đầu v o ra cũng như hiệu quả về gi th nh dụ như họ partan- với ch n v o ra cho người d ng tự định ngh a đóng gói ch n kiểu hơn khối logic ó cho ph p thay thế c c sản phẩm ứng dụng theo chuẩn chuy n d ng có nhiều t nh năng đặc iệt ó có thể định lại cấu h nh có khả năng xử l song song n ng cấp dễ d ng như phần mềm go i ra nó có gi ph t triển thấp r t ngắn thời gian đưa ra thị trường 38 2.2.2 P 2.2.2 H V P ọ ilinx ertex l họ đầu ti n của m nó đưa ra một triệu cổng hệ thống v được giới thiệu v o năm D ng sản phẩm ertex về cơ ản được định ngh a lại tất cả c c đơn vị logic lập tr nh ởi việc mở rộng c c khả năng của truyền thống để có đặc t nh mạnh hơn nó được d ng cho c c thiết kế hệ thống thực thi cao 2.2.2 2 H S P ọ partan l tưởng d ng cho c c ứng dụng với số lượng lớn gi th nh thấp h ng được đưa ra c c thiết ị đ ch nhằm thay thế c c chip logic loại cố định v c c sản phẩm chuy n dụng chẳng hạn như chip giao tiếp us Dưới đ y m tả cấu tr c của partan-3 FPGA ơ đồ khối của 39 hối logic có thể định cấu h nh gồm hai phần i phần gồm 4 ảng tra cứu c c khối nhớ v điều khiển logic v hai thanh ghi ó hai ộ đệm a trạng th i được kết hợp với m i m có thể được truy cập ởi tất cả c c đầu ra của i th nh phần gồm có c c ộ phận sau  4 đầu v o - ột số h m logic 4 đầu v o - Hoặc đồng ộ 6 it x - oặc thanh ghi dịch 6-bit  hớ v điều khiển - hối logic số học nhanh - ộ nh n logic - ộ dồn k nh logic  hần tử lưu trữ - ạch lip-Flop - et v reset 40 - c đầu v o đảo mức hoặc kh ng - iều khiển đồng ộ hoặc kh ng đồng ộ ai phần của có thể được sử dụng độc lập hoặc c ng với nhau cho c c h m logic lớn hơn ũng trong m i phần v lip- lop có thể được sử dụng cho c c chức năng giống nhau hoặc c c chức năng độc lập UT: l c c phần tử chủ yếu để thực thi logic i ảng có thể thực hiện một h m ốn đầu v o ất k được iểu diễn dưới đ y h hi được định cấu h nh như ộ nhớ th nó có thể thực thi đồng ộ 6x ột có thể thực hiện như một đơn cổng 6x ai được sử dụng để thực hiện như cổng 6x c có thể được xếp tầng để cho ộ nhớ lớn hơn có thể được định cấu h nh như một thanh ghi dịch v o nối tiếp ra nối tiếp c c địa ch động có thể giữ chậm tới 6 chu k có thể lập tr nh theo dạng đường ống xếp chồng để có chu k giữ chậm lớn hơn sử dụng c c flip-flop của để tăng chiều s u 41 T : nhiều thanh ghi dịch để cho ph p mở rộng đường ống để tăng th ng lượng N i chứa định tuyến v logic ri ng iệt để tạo nhanh c c t n hiệu tổng v nhớ l m tăng hiệu quả v hiệu suất cho c c ộ cộng trừ cộng t ch lu so s nh v c c ộ đếm ogic nhớ kh ng phụ thuộc v o t i nguy n kết nối v logic cơ ản ử l nhớ hần lớn c c c ng cụ tổng hợp có thể thực hiện nhớ logic với c c h m số học ộng rừ D - B) o s nh if then… ếm count count hức năng của O - O đưa ra c c mạch gh p nối giữa c c ch n đóng gói với c c CLB. 42 - i O có thể l m việc như O một hoặc hai chiều - c đầu ra có thể được p l n mức trở kh ng cao - c đầu v o v ra có thể được đăng k - c đầu v o có thể ị giữ chậm T 43 2.2 Ứ được ứng dụng điển h nh trong c c l nh vực như xử l t n hiệu số xử l ảnh thị gi c m y nhận dạng giọng nói mã ho m phỏng… đặc iệt mạnh trong c c l nh vực hoặc ứng dụng m kiến tr c của nó y u cầu một lượng rất lớn xử l song song đặc iệt l mã ho v giải mã cũng được sử dụng trong ứng dụng cần thực thi c c thuật to n như nh n chập thay thế cho vi xử l 2.2 H P c thuật to n mã ho ho n to n có thể thực hiện được tr n phần mềm với độ linh hoạt cao gi th nh rẻ nhưng tốc độ xử l chậm đặc iệt với c c thuật to n phức tạp v dung lượng dữ liệu cần mã ho lớn Do đó để đạt được hiệu quả thực thi cao ta n n thực hiện c c thuật to n mã ho tr n phần cứng c chip logic khả tr nh như v kh ng ch xử l với tốc độ rất cao m c n thực sự mạnh trong l nh vực ảo mật như cấu tr c chip được đốt vật l ảo đảm t nh to n v n v chống tấn c ng th m thiết kế một số chip h trợ mã ho cấu h nh phần cứng… r n thực tế th sử dụng đạt hiệu quả cao hơn  Sử dụng các FPGA sẽ có nhiều ứng dụng mạng nhất đối với việc thay đổi các chuẩn mã mật. Với các FPGA có thể định lại cấu hình trên chip với các chuẩn mã hoá khác nhau.  Các FPGA với giá thành thấp hơn, công suất nhỏ, thời gian triển khai ngắn và trên công nghệ mạch tích hợp các ứng dụng đặc biệt thì thời gian đưa ra thị trường sẽ ngắn hơn.  Công nghệ và dung lượng của các FPGA liên tục được cải tiến. iện nay c ng nghệ đang được sản xuất v h trợ phần mềm ởi c c hãng như ilinx ltera ctel tmel… rong đó ilinx v ltera l hai hãng h ng đầu ilinx cung cấp phần mềm miễn ph tr n nền 44 Windows, Linux, trong khi Altera cung cấp những c ng cụ miễn ph tr n nền indows 11 ó hai loại cơ ản oại tatic andom ccess emory có thể lập tr nh lại nhiều lần v loại O One - Time Programmable lập tr nh một lần ai loại n y kh c nhau ở ch thực hiện của c c logic cell v k thuật tạo sự kết nối giữa ch ng trong thiết ị oại hay được d ng hơn cả l loại v nó có thể lập tr nh được nhiều lần hực tế th được nạp cấu h nh lại m i khi ật nguồn ởi v loại n y thực chất l một chip nhớ theo muốn 45 2.3 T 2.3 S Hình 2.12: S kh gi thu DES huật to n chuẩn mã ho dữ liệu đã D l một thuật to n mã ho kho mật phổ iến v được sử dụng trong nhiều c c ứng dụng thương mại v t i ch nh D l một mã khối xử l c c khối 64 it ản r th nh c c khối ản mật 64 it ó sử dụng kho mật mã có độ d i 64 it nhưng trong đó có 6 it kho c n it d ng để kiểm tra chẵn lẻ huật to n mã ho ao gồm giai đoạn 46 ới từ cần mã ho x có độ d i 64 it tạo ra từ 0x cũng có độ d i 64 it ằng c ch ho n vị c c it trong từ x theo một ho n vị cho trước nitial ermutation iểu diễn 0 0 0( )x IP x L R  , 0L gồm it n phải của 0x . 0L 0R 2.13 c định c c cặp từ it iL , iR với i  6 theo quy tắc sau 1i iL R  (2.1)  1 1,i i i iR L f R K   (2.2) ới  iểu diễn ph p to n O tr n hai dãy it 1 2 16, ,...,K K K l c c dãy 4 bit ph t sinh từ kho K cho trước r n thực tế m i kho được ph t sinh ằng c c ho n vị c c it trong kho K cho trước .14 i iL R 1 1i iL R  v iK p dụng ho n vị ngược 1IP đối với dãy it 16 16L R thu được từ y gồm 6 bit. hư vậy 1 16 16( )y IP R L  . 47 m f được sử dụng ở ước l Hình 2.15: S hàm f m f gồm tham số ham số thứ nhất l một dãy it tham số thứ hai J l một dãy 4 it ết quả của h m f l một dãy it c ước xử l của h m f(A,J như sau  ham số thứ nhất it được mở rộng th nh dãy 4 it ằng h m mở rộng ết quả của h m l một dãy 4 it được ph t sinh từ ằng c ch ho n vị theo một thứ tự nhất định it của trong đó có 6 it của được lặp lại lần trong 48  hực hiện ph p to n O cho dãy 4 it v J ta thu được một dãy 4 it iểu diễn th nh từng nhóm 6 it như sau 1 2 3 4 5 6 7 8B B B B B B B B B  ử dụng ma trận 1 2 8, ,...,S S S m i ma trận iS có k ch thước 4x 6 v m i d ng của ma trận nhận đủ 6 gi trị từ đến 1 2 3 4 5 6jB bb b b b b . ( )j jS B được x c định ằng c c gi trị của phần tử tại d ng r cột c của jS trong đó ch số d ng r có iểu diễn nhị ph n l 1 6b b ch số cột c có iểu diễn nhị ph n l 2 3 4 5b b b b ằng c ch n y ta x c định được c c dãy 4 it ( ),1 8j j jC S B j   .  ập hợp c c dãy 4 it jC lại ta có được dãy it 1 2 3 4 5 6 7 8C C C C C C C C C . Dãy it thu được ằng c ch ho n vị C theo một quy luật nhất định ch nh l kết quả của h m J S o n vị khởi tạo sẽ như sau IP 58 50 42 34 26 18 10 2 60 52 44 36 28 20 12 4 62 54 46 38 30 22 14 6 64 56 48 40 32 24 16 8 57 49 41 33 25 17 9 1 59 51 43 35 27 19 11 3 61 53 45 37 29 21 13 5 63 55 47 39 31 23 15 7 iều n y có ngh a l it thứ của x l it đầu ti n của x it thứ của x l it thứ của x … 49 o n vị ngược IP -1 40 8 48 16 56 24 64 32 39 7 47 15 55 23 63 31 38 6 46 14 54 22 62 30 37 5 45 13 53 21 61 29 36 4 44 12 52 20 60 28 35 3 43 11 51 19 59 27 34 2 42 10 50 18 58 26 33 1 41 9 49 17 57 25 m mở rộng được đặc tả như sau - ảng chọn it 32 1 2 3 4 5 4 5 6 7 8 9 8 9 10 11 12 13 12 13 14 15 16 17 16 17 18 19 20 21 20 21 22 23 24 25 24 25 26 27 28 29 28 29 30 31 32 1 m ma trận 1S 14 4 13 1 2 15 11 8 3 10 6 12 5 9 0 7 0 15 7 4 14 2 13 1 10 6 12 11 9 5 3 8 4 1 14 8 13 6 2 11 15 12 9 7 3 10 5 0 15 12 8 2 4 9 1 7 5 11 3 14 10 0 6 13 50 2S 15 1 8 14 6 11 3 4 9 7 2 13 12 0 5 10 3 13 4 7 15 2 8 14 12 0 1 10 6 9 11 5 0 14 7 11 10 4 13 1 5 8 12 6 9 3 2 15 13 8 10 1 3 15 4 2 11 6 7 12 0 5 14 9 3S 10 0 9 14 6 3 15 5 1 13 12 7 11 4 2 8 13 7 0 9 3 4 6 10 2 8 5 11 12 11 15 1 13 6 4 9 8 15 3 0 11 1 2 7 5 10 14 7 1 10 13 0 6 9 8 7 4 15 14 14 10 5 2 12 4S 7 13 14 3 0 6 9 10 1 2 8 5 11 12 4 15 13 8 11 5 6 15 0 3 4 7 2 12 1 5 14 9 10 6 9 0 12 11 7 13 15 1 3 14 5 10 8 4 3 15 0 6 10 1 13 8 9 4 5 11 12 0 2 14 5S 2 12 4 1 7 10 11 6 8 5 3 15 13 0 14 9 14 11 2 12 4 7 13 1 5 0 15 10 3 9 8 6 4 2 1 11 10 13 7 8 15 9 12 5 6 3 0 14 11 8 12 7 0 14 2 13 6 15 0 9 10 4 5 3 51 6S 12 1 10 15 9 2 6 8 0 13 3 4 14 7 5 11 10 15 4 2 7 12 9 5 6 1 13 14 0 11 3 8 9 14 15 5 2 8 12 3 7 0 4 10 1 13 11 6 4 3 2 12 9 5 15 10 11 14 1 7 6 0 8 13 7S 4 11 2 14 15 0 8 13 3 12 9 7 5 10 6 1 13 0 11 7 4 9 1 10 14 3 5 12 2 15 8 6 1 4 11 13 12 3 7 14 10 15 6 8 0 5 9 2 6 11 13 8 11 4 10 7 9 5 0 15 14 2 3 12 8S 13 2 8 4 6 15 11 1 10 9 3 14 5 0 12 7 1 15 13 8 10 13 7 4 12 5 6 11 0 14 9 2 7 11 4 1 9 12 14 2 0 6 10 13 15 3 5 8 2 1 14 7 4 10 8 13 15 12 9 0 3 5 6 11 o n vị P 16 7 20 21 29 12 28 17 1 15 23 26 5 18 31 10 2 8 24 14 32 27 3 9 19 13 30 6 22 11 4 25 52 l x u có độ d i 64 it trong đó có 6 it d ng l m kho v it d ng để kiểm tra sự ằng nhau để ph t hiện l i c it ở c c vị tr 6 … 64 được x c định sao cho m i yte chứa số lẻ c c số vậy từng l i có thể được ph t hiện trong m i it c it kiểm tra sự ằng nhau l lược ỏ qua khi t nh kho c ước khi t nh to n kho iK : ho kho 64 it loại ỏ c c it kiểm tra v ho n vị c c it c n lại của tương ứng với ho n vị cố định - a viết -1(K) = 0 0C D với 0C ao gồm it đầu ti n của - v 0D l it c n lại ới i nằm trong khoảng từ đến 6 ta t nh: 1( )i i iC LS C  (2.3) 1( )i i iD LS D  (2.4) 2( )i i iK PC C D  (2.5) rong đó iLS iểu diễn ph p chuyển chu tr nh cyclic shift sang tr i hoặc của một hoặc của hai vị tr tu thuộc v o gi trị của i đẩy một vị tr nếu i hoặc 6 v đẩy hai vị tr trong những trường hợp c n lại - l một ho n vị cố định kh c 53 iệc t nh lịch kho được minh hoạ như sau Hình 2.16: S tạ khoá c ho n vị - - d ng để t nh to n kho tr n như sau PC-1 57 49 41 33 25 17 9 1 58 50 42 34 26 18 10 2 59 51 43 35 27 19 11 34 60 52 44 36 63 55 7 39 31 23 15 7 62 54 46 38 30 22 14 6 61 53 45 37 29 21 13 5 28 20 12 4 54 PC-2 14 17 11 24 1 5 13 28 15 6 21 10 23 19 12 4 26 8 16 7 27 20 13 2 41 50 31 37 47 55 30 40 51 45 33 48 44 49 39 56 34 53 46 42 50 36 29 32 2.3 2 ột mã khối l một chức năng to n học m nh xạ c c khối ản r n it th nh c c khối ản mật n it ở đó n l k ch thước khối ể việc thực hiện giải mã ra duy nhất th chức mã ho l sự nh xạ - h p nh xạ đảo ngược được định ngh a như l chức năng giải mã rong hầu hết c c mã khối qu tr nh mã ho v giải mã giống nhau tới mức m ta có thể sử dụng chung phần cứng ã khối mã ho ản r v o trong c c khối có k ch thước n it uy nhi n nếu ản tin có k ch thước vượt qu n it th có thể sử dụng c c chế độ hoạt động kh c ó 4 chế độ hoạt động mã khối 1. hế độ s ch mã điện tử 2. hế độ li n kết khối mã (CBC) 3. hế độ phản hồi mã 4. hế độ phản hồi đầu ra O Thường d ng D kết hợp với để tăng t nh ảo mật 55 rong chế độ hoạt động mọi khối ản r được cộng module với khối ản mật trước đó đã ghi th nh mã ho v dụ khối ản r đầu ti n 1p được mã ho để tạo ra 1c trước khi nó được mã ho th nh 2c hối ản r tiếp theo 2p được cộng module với khối ản mật 1c u tr nh được lặp lại cho tới khi kết th c ản tin Ở chế độ r r ng mọi khối ản mật phụ thuộc v o c c khối ản mật trước đó Hình 2.17: S kh ch ộ CBC ới việc ghi mã đầu ti n kh ng có ản mật ph a trước i trị vectơ khởi điểm được đưa v o l m gi trị phản hồi an đầu i trị kh ng cần ảo mật ới c c chế độ nhận được c c khối ản mật giống nhau nếu c ng ản r được được ghi mã sử dụng c ng kho v gi trị khởi tạo ếu hoặc kho hoặc vectơ khởi tạo hoặc khối ản r ị thay đổi th sẽ nhận được một ản tin mật kh c ản mật jc phụ thuộc v o jp v tất cả 56 c c khối ản r có trước đó n n việc giải mã c c khối ản mật cần được duy tr kh ng ị gi n đoạn iệc giải mã sửa l i y u cầu tất cả c c khối ản mật có trước được giải mã một c ch ch nh x c có sự phụ thuộc dữ liệu của tất cả c c khối ản r v ản mật n n nếu một khối ản r jp ị thay đổi trong qu tr nh ghi mã th nó sẽ ảnh hưởng tới tất cả c c khối ản mật tiếp theo vậy nó kh ng thể ghi mã nhiều khối song song với nhau huật to n của chế độ được m tả như sau hi mã 0c IV với 1 j t  , 1( )j k j jc E p c   iải mã 0c IV với 1 j t  , 1 1 ( )j j k jp c E c    ho k it gi trị khởi tạo n it c c khối ản r n it ( 1,...., tp p l đầu v o v 1,..., tc c l c c khối ản mật n it đầu ra kE v 1 kE  có ngh a l c c qu tr nh ghi mã v giải mã với kho tương ứng Dưới đ y l sơ đồ khối thực thi thuật to n D trên FPGA: 8 iện nay kẻ tấn c ng đã có thể ph mã D việc mã ho ằng giải thuật D kh ng c n an to n nữa Do đó để tăng t nh ảo mật th ta phải sử dụng thuật to n kh c như D … ong do t nh đơn giản của giải thuật D ta có thể sử dụng nó ở những ch cần độ ảo mật kh ng cao 57 lắm ghi n cứu giải thuật D cũng l cơ sở nền tảng để ta tiếp tục nghi n cứu c c giải thuật phức tạp hơn 2.4 SH -1) 2.4 SH -1 c h m ăm ảo mật đóng vai tr quan trọng trong việc mã ho hiện đại như một c ng cụ để cung cấp t nh to n v n v x c thực h i niệm cơ ản của một h m ăm l sự n n chu i t n hiệu đầu v o có k ch thước ngẫu nhi n th nh chu i t n hiệu đầu ra có k ch thước cố định thường nhỏ hơn nhiều k ch thước chu i v o ởi c c đặc t nh đã được m tả của một h m ăm ảo mật n n chu i đầu ra phản nh ằng một h nh ảnh đại diện đã được n n m duy nhất có thể nhận dạng chu i đầu v o ột h m ăm mật mã mạnh được y u cầu l một chiều v chống lại sự va chạm ột h m ăm l một hướng hay kh ng thuận nghịch nếu nó có thể t nh to n để nhận được từ phần n o đó của ản tin gốc ởi sự quan s t từ kết quả h m ăm i trị ăm có thể thay đổi đ ng kể ởi một sự thay đổi nhỏ cũng ởi ch một it trong ản tin đầu v o iều n y được gọi l hiệu ứng th c ự chống lại xung đột y u cầu để nó có thể t nh to n để x c nhận hai ản tin với c ng gi trị h m ăm ột h m ăm có c c thuộc t nh n y có thể được sử dụng để kiểm tra xem ản tin có ị sửa đổi hay không. ự kiểm tra để c c ản tin thu được đến từ nguồn đã được khẳng định v kh ng ị sửa đổi thường ao gồm k thuật của c c h m ăm ảo mật ể cung cấp c c dịch vụ ảo đảm t nh to n v n v nhận thực th mã nhận thực ản tin cũng được iết đến như l thường được sử dụng hi được sử dụng c ng với một h m ăm ảo mật tương ứng với mã nhận thực ản tin đã được ăm phụ thuộc v o một kho mật để cung 58 cấp c c dịch vụ ảo mật ếu ch có nguồn v đ ch iết kho th điều n y cung cấp cả sự nhận thực dữ liệu gốc v t nh to n v n dữ liệu cho c c gói đã gửi giữa hai nhóm - x c định r thuật to n ăm ảo mật cho việc t nh to n một đại diện ngắn gọn của một ản tin hoặc một file dữ liệu hi một ản tin có k ch thước 64 it ở đầu v o th thuật to n - tạo ra một đầu ra 6 it được gọi l ản tin tóm lược huật to n - được sử dụng để t nh to n một ản tin tóm lược cho c c phi n ản của ản tin trong qu tr nh thay đổi kho ột thuật to n ăm ảo mật có thể được gọi l ảo mật nếu nó kh ng thể t nh to n để t m ra một ản tin m tương đương với ản tin tóm lược đã cho hoặc để t m ra hai ản tin kh c nhau m tạo ra c ng ản tin tóm lược ột h m ăm ảo mật cần thiết l một chiều v chống được sự tắc nghẽn ặc iệt hơn để một h m ăm l một chiều nếu nó kh ng thể t nh to n để t m ra v i đầu v o x v dụ như x h 2.4 2 T SH -1 huật to n - có thể được m tả ở a trạng th i preprocessing message schedule v message digest calculation reprocessing ao gồm một phần đệm của ản tin sự ph n t ch ản tin đệm v o trong c c khối it v sự thiết lập c c gi trị an đầu được sử dụng trong việc t nh to n c c gi trị ăm i khối đệm it sau đó được mở rộng để thực hiện việc sắp xếp ản tin ự n n logic của ản tin tóm lược sử dụng c c ảng c ng với c c h m hằng số v c c qu tr nh hoạt động để tạo lặp lại một chu i c c gi trị ăm i một ảng được th m v o giữa c c gi trị ăm hiện thời nơi m c c v c tơ x c định gi trị ăm an đầu i trị ăm cuối c ng 59 được tạo ra ởi sự t nh to n gi trị ăm được sử dụng để x c định ản tin tóm lược Pre-Processing rước khi t nh to n c c gi trị ăm th ản tin an đầu được độn th m ục đ ch của việc độn th m l để chắc chắn rằng ản tin l một khối có k ch thước l ội của it trước khi t nh to n ản tin tóm lược ho ản tin có độ d i l it qu tr nh độn th m được thực hiện theo c ch sau h m it “ ” v o cuối ản tin sau đó th m k it “ ” ở đó k l nghiệm kh ng m nhỏ nhất của phương tr nh l + 1 + k = 512 mod 448. Sau đó th m khối 64 it đại diện cho k ch thước ản tin ch thước của ản tin đã được độn y giờ l ội của it hi m i khối đã được ph n t ch có thể được iểu diễn ằng 6 từ it m i từ có thể được x c định ởi c c ch số sau 0 1,M M … 15M . Message Schedule essage schedule được mở đầu ằng việc mở rộng khối it dữ liệu th nh một chu i từ it i message schedule được n n li n tiếp ởi ản tin tóm lược để tạo th nh c c gi trị ăm trung gian essage schedule ắt nguồn từ khối it có thể được iểu diễn ởi c ng thức (2.6) dưới đ y: 0 15t  16 79t  (2.6) Message digest hức năng n n ản tin hoạt động tr n ảng ph n ố ản tin để tạo ra một h nh ảnh n n 6 it của m i khối dữ liệu essage digest được khởi tạo với từ it để thực hiện sự n n an đầu essage digest xử l lần lượt từng message schedule n dưới một tập hợp c c ph p to n n n m i t 1 t-3 t-8 t-14 t-16 w (w w w w ) tM ROTL       60 từ tạo c c gi trị ăm trung gian sau khi việc xử l m i khối it kết th c - sử dụng h ng loạt c c ph p to n để n n m i message schedule v gi trị ăm trung gian tức thời để tạo ra c c gi trị ăm 6 it trung gian  c ph p to n logic , , ,     h p cộng modul từ it  h p dịch tr i O x(n) c ph p to n logic được thực hiện ở ước phi tuyến phụ thuộc v o h m ( , , )tf B C D ước n y phụ thuộc v o c c h m được x c định trong ảng dưới đ y tf i ước sử dụng một hằng số cộng tK ằng số được sử dụng trong m i ước được cho trong ảng dưới đ y v được iểu diễn dưới dạng c c gi trị hexa 61 c ộ đệm lưu giữ c c gi trị ăm trung gian được khởi tạo với c c gi trị trong ảng dưới đ y ạ Message Digest Computation ản tin tóm lược sử dụng ảng ph n ố ản tin của từ it iến l m việc của m i từ it v một ộ đệm cho gi trị ăm của từ it ơ đồ t nh to n ản tin tóm lược được thấy trong h nh dưới đ y 62 Hình 2.19: S kh gi thu t SHA_1 hia ước của thuật to n th nh 4 chu tr nh i chu tr nh có cấu tr c giống nhau nhưng sử dụng c c h m phi tuyến kh c nhau iệc t nh to n của m i khối it được thực hiện trong ước rong m i ước iến l m việc D được t nh to n như sau 1) 5 1 t( ) ( , , ) wt t tA ROTL A f B C D E K      (2.7) 2) 1tB A  (2.8) 3) 30 1 ( )tC ROTL B  (2.9) 4) 1tD C  (2.10) 5) 1tE D  (2.11) 63 au khi c c khối dữ liệu đã được xử l đầu ra của ước thứ được cộng một c ch độc lập để tạo ra gi trị ăm trung gian mới h p cộng modulo từ it được iểu diễn như sau 1) 1 0 0 i iH A H   (2.12) 2) 1 1 1 i iH B H   (2.13) 3) 1 2 2 i iH C H   (2.14) 4) 1 3 3 i iH D H   (2.15) 5) 1 4 4 i iH E H   (2.16) au khi c c ước từ tới lặp lại lần số khối it của ản tin th kết quả tạo ra ản tin tóm lược 6 it của ản tin an đầu l ( ) ( ) ( ) ( ) ( ) 0 1 2 3 4 N N N N NH H H H H Dưới đ y l sơ đồ khối thuật to n thực hiện tr n 20 64 2 Trong chương n y đã tr nh y c c vấn đề cơ ản về mã ho tổng quan về c ng nghệ ặc iệt đi s u v o hai thuật to n D v cho việc mã ho v x c thực dữ liệu m sẽ được sử dụng trong việc thiết kế thiết ị ảo mật rong chương sẽ tr nh y c c ước thiết kế module truyền th ng thernet v module ảo mật 65 hương THIẾT Ế THIẾT Ị ẢO ẬT IP SỬ ỤN ÔN N HỆ P 3.1 3.1.1 P IS y l c ng cụ phần mềm cho ph p thiết kế v m phỏng v D dưới dạng ng n ngữ phần cứng D l một m i trường tổng hợp v thực thi một c ch to n diện cho c c chip logic khả tr nh của ilinx ới người thiết kế có thể lập tr nh g rối m phỏng dịch v nạp cấu h nh một c ch nhanh chóng dễ d ng Q * : ới t nh năng của c c sản phẩm đưa ra của ilinx phần mềm ntergrated software nvironment đã l m cho thiết kế dễ d ng hơn với logic lập tr nh được c thiết kế có thể được m tả một c ch dễ d ng v nhanh chóng ằng việc sử dụng ng n ngữ m tả DL, Verilog TM hoặc với một đóng gói từ sơ đồ nguy n l iệc lấy thiết kế từ sơ đồ nguy n l ch nh l phương ph p truyền thống m người thiết kế sử dụng để ấn định mảng c c cổng v c c thiết ị logic lập tr nh được ó l c ng cụ đồ hoạ v cho ph p ấn định ch nh x c c c cổng được y u cầu v c ch nối ch ng như thế n o Dưới đ y l 4 ước cơ ản của một thiết kế sử dụng từ sơ đồ nguy n l 1. au khi lựa chọn c ng cụ để tạo sơ đồ nguy n l v thư viện c c thiết ị ắt đầu x y dựng mạch ằng việc tải c c cổng mong muốn từ thư viện đã được chọn ó thể sử dụng ất k một tổ hợp cổng cần thiết n o c n y cần phải chọn một thư viện họ c c thiết ị ph n phối r r ng nhưng có thể kh ng cần phải thiết ị n o trong họ đó ề cơ 66 ản ch sử dụng với sự quan t m về đóng gói v tốc độ của ch ng l đủ 2. ối c c cổng lại với nhau ằng việc sử dụng c c mạng v d y nối o n tất việc điều khiển nối c c cổng theo ất cứ cấu h nh n o m cần cho ứng dụng 3. ưa th m v đặt t n cho c c ộ đệm đầu v o v đầu ra c c nhãn n y sẽ ch r c c ch n trong đóng gói v o ra của thiết ị 4. ạo danh s ch mạng c c đường nối của mạch 3.1.2 P D l c ng cụ phần mềm nh ng th ng thường được ứng dụng cho c c c ng cụ được y u cầu d ng để tạo soạn thảo dịch tải v g rối c c mã ng n ngữ ậc cao như ++ được d ng trong c c ộ m y xử l n o đó y l một c ng cụ h trợ việc x y dựng một hệ thống nh ng trong như vi xử l mềm icro laze cho tất cả họ v vi xử l cứng ower d nh ri ng cho họ irtex). D kh ng ch gi p người sử dụng dễ d ng tạo ra c c vi xử l nh ng m c n h trợ thiết kế giao tiếp với c c thiết ị một c ch dễ d ng với một thư viện ngoại vi đồ sộ hờ ộ thư viện n y D cho ph p vi xử l có thể thực thi ất cứ một nhiệm vụ n o m c c vi xử l th ng thường có thể thực hiện được như giao tiếp thernet c c ộ nhớ O c c ộ imer ounter giao tiếp c c cổng O … gười d ng cũng có thể tự x y dựng c c thư viện ngoại vi ri ng tu theo nhu cầu sử dụng 67 3.1.3 S -3E 1: Bo Spartan-3E S -3E Starter Kit - Xilinx XC3S500E Spartan-3E FPGA ch n v o ra cho người d ng tự định ngh a óng gói ch n kiểu ơn khối logic - ộ nhớ O ứng dụng c ng nghệ 4 it của ilinx có thể định cấu h nh - Xilinx 64-macrocell XC2C64A CoolRunnerTM CPLD - ộ nhớ DD D 64 yte x 6 data interface, 100+MHz - 6 yte ộ nhớ ứng dụng c ng nghệ O - 6 its ộ nhớ sử dụng giao tiếp - ổng cần thiết lập ở 68 - ai giắc cắm - ch n D v D - ổng để nạp chương tr nh v g rối. - O chuẩn giao tiếp d y nối tiếp có t ch hợp m dun ảo mật SHA_1. - go i ra c n có rất nhiều ngoại vi kh c 2 T T P IP P iến tr c của ộ giao thức được chia th nh 4 tầng cơ ản m i tầng giải quyết một tập c c vấn đề kh c nhau trong việc truyền th ng sử dụng  ầng ứng dụng h trợ c c ứng dụng cho giao thức tầng giao vận host - to - host ầng n y cung cấp một giao diện người d ng tr n m y t nh v thực thi c c ứng dụng như truy cập từ xa truyền file), HTTP (webserver, chat)...  ầng giao vận gồm giao thức ch nh l v D iao thức l giao thức kết nối hướng li n kết song c ng chịu tr ch nhiệm ảo đảm t nh ch nh x c v độ tin cậy cao iao thức D kh ng h trợ t nh năng kiểm so t l i nhưng nhanh hiệu quả hơn với mục ti u k ch thước nhỏ v y u cầu khắt khe về thời gian  ầng mạng ho ph p kết nối mềm dẻo v linh hoạt đến c c loại mạng vật l kh c c giao thức ch nh trong tầng n y l cung cấp địa ch logic cho giao diện vật l mạng v nh xạ giữa địa ch vật l v địa ch logic chuẩn đo n l i li n kết đến  ầng truy cập mạng ung cấp địa ch vật l c c giao thức truy nhập đường truyền cung cấp c c dịch vụ cho tầng mạng ph n đoạn th nh c c khung Dựa tr n kiến tr c n y việc thiết kế giao thức cần giải quyết vấn đề ch nh đó l thiết kế l i h trợ tầng truy cập mạng hardware 69 layer v l i h trợ giao thức c ng lớp ứng dụng tr n đó software layer rong đó tầng truy cập được h trợ ởi một chip điều khiển lớp vật l v c c l i ethernetlite tecmac ầng giao thức có thể thực hiện ằng c c l i mã nguồn mở v dụ như lw 3.2.1 T PHY ầng truy cập mạng được x y dựng từ th nh phần cơ ản l ộ truyền th ng lớp vật l v ộ điều khiển truy cập phương tiện (MAC). Bo partan- có sẵn chip thiết kế lớp vật l phục vụ giao tiếp thernet của tandard icrosystems v cổng J-45. ới phần điều khiển truy cập phương tiện được thực thi tr n bo mạch có thể tu chọn kết nối với chuẩn mạng thernet ể cung cấp xung clock cho chip ta d ng ộ dao động thạch anh tần số 25 MHz. 2 -45 70 3.2.2 T T P IP IP 3.2.2.1 T W IP wip l một mã nguồn mở h trợ thiết kế lớp cho c c driver phần cứng do iện khoa học m y t nh wedish nghi n cứu v ph t triển rọng t m của ứng dụng lwip l giảm việc sử dụng trong khi đó vẫn có đầy đủ t nh năng của tầng giao thức wip v a l một thư viện của D được x y dựng tr n thư viện mã nguồn mở lwip phi n ản wip v a tương th ch c c l i h trợ tốc độ v xps ll tecmac h trợ ồng thời l i n y có thể chạy tr n nền vi xử l icro laze hoặc ower 4 v 44 wip h trợ hai kiểu giao diện lập tr nh ứng dụng phụ thuộc v o y u cầu i to n thiết kế đó l  iao diện aw cho ph p tối ưu ho việc xử l  iao diện socket dễ d ng cho việc sử dụng 2 2 2 IP w h trợ c c chuẩn giao thức sau đ y:  c giao thức ở lớp - TCP (Transmission Control Protocol) - UDP (User Datagram Protocol)  c giao thức ở lớp - IP (Internet Protocol) - ICMP (Internet Control Message Protocol) - ARP (Address Resolution Protocol) - DHCP (Dynamic Host Configuration Protocol) 71 hư vậy lw h trợ tất cả c c giao thức cơ ản trong tầng c giao thức kh c cũng có thể x y dựng một c ch dễ d ng dựa tr n nền lwIP. . 3.2.3 T W S - S 3.2.3.1 e server l một tr nh ứng dụng thiết kế một trang e ột e server có thể được sử dụng trong việc điều khiển v gi m s t một hệ thống nh ng th ng qua tr nh duyệt e rowser “ hiết kế e server tr n partan- tarter it v D ” ao gồm c c ước sau đ y  ử dụng ase ystem uilder để thiết kế phần cứng  ổng hợp v nạp cấu h nh phần cứng v o  ạo mới dự n phần mềm  ạo inker- cript i n dịch thư viện v ứng dụng  ải ứng dụng v o ộ nhớ v chạy chương tr nh 3.2.3.2 T hiết kế phần cứng ằng ase ystem uilder au đ y l sơ đồ phần cứng cần thiết kế tr n partan-3E: 72 3 hạy ilinx platform tudio lựa chọn để tiếp tục hấp O rồi lựa chọn thư mục để lưu “project” h sản xuất ilinx oại o mạch partan-3E Starter board hi n ản của o D 64 DD ộ vi xử l icro laze ối với partan- lựa chọn duy nhất l ộ vi xử l mềm icro laze y l ộ vi xử l it có h trợ ngắt h ng ta có thể lựa chọn c c tu chọn cho ộ vi xử l như sau - ốc độ z mặc định - On-chip H/W debug module - Local memory cho lệnh v dữ liệu 6 sử dụng - No-cache : ựa chọn cấu h nh cho cổng D để kết nối m y t nh v D để kết nối thiết ị ngoại vi - ốc độ 6 ps it data no-parity - ử dụng - h ng sử dụng ngắt 73 Ds- it D witches 4 it v uttons 4 it sử dụng O kh ng sử dụng ngắt sử dụng DD D sử dụng thernet sử dụng sử dụng ngắt T : rong dự n n y t i th m v o thiết ị để tạo nhịp cho lw đ i hỏi ngắt ST IO ử dụng D l m cổng hiển thị chuẩn v o v ra chọn chương tr nh kiểm tra ộ nhớ thiết ị ộ nhớ được kiểm tra l DD D h ng tin về hệ thống được thiết lập như sau 74 75 Sinh Ne họn trong D Hardware  Generate Netlist Hardware  Generate Bitstream T P ết nối o mạch với m y t nh qua c p chuẩn ật nguồn của o au khi kết nối xong ta tải cấu h nh phần cứng v o trong ằng c ch chọn trong D Device Configuration  Dowload Bitstream ến đ y ta kết th c qu tr nh thiết kế phần cứng 3.2.3.3 T m hần n y ao gồm c c ước  ấu h nh m i trường ph t triển cho c c ứng dụng phần mềm  i n dịch thư viện  ạo dự n phần mềm  i n dịch phần mềm  hạy thử phần mềm 3.2.3.3.1 S iệc cấu h nh được thực hiện ằng c ch chọn trong “ oftware  oftware latform ettings” hần n y có 4 mục m i mục d ng để cấu h nh c c diện mạo cấu th nh Software Platform có c c lựa chọn  OS: standalone  Use Libraies: lwIP (3.0); xilmfs OS and Libraries cần ch định c c tham số sau  CONSOLE: RS232 DCE  lw chế độ l m việc của lw l 76  Xilmfs: Need_utils : TRUE Init_type : MFSINIT_IMAGE Base_address: 0x8c200000 Numbytes : 16480000 Drivers có c c phi n ản tu theo ộ phần mềm 3.2.3.3.2 h ng ta thực hiện việc i n dịch thư viện ằng c ch chọn trong Software  Generate Libraries and BSPs chạy i gen v tạo c ng với c c tr nh điều khiển thiết ị thư viện cấu h nh D DO v tr nh xử l ngắt tương ứng với thiết kế 3.2.3.4 P T h ng ta thực hiện việc tạo mới phần mềm ằng c ch chọn trong XPS: Software  Add Software Application Project hập t n của dự n we server sau khi nhấp O sẽ tạo ra dự n phần mềm ứng dụng T ần lượt nh y đ p v o phần ources v eaders của dự n “we server” được lưu trong thư mục “apps” c tệp thuộc dự n “apps” ao gồm  Sources: main c tệp gọi chương tr nh khởi tạo mạng we server c thiết lập connection web_utils.c một số h trợ cho we server http response c c c h m sinh esponde 77 platform c khởi tạo hệ thống ngắt … platform fs c khởi tạo platform gpio c khởi tạo O  Headers: webserver.h, platform.h, platform_fs.h, platform_gpio.h h ng ta thực hiện việc i n dịch ứng dụng của người d ng ằng c ch chọn trong Sofware  Build All User Applications hương tr nh “m -gcc” sẽ thực hiện việc i n dịch tất cả c c dự n phần mềm S ng dụng e server đ i hỏi phải có sẵn một số tệp nội dung th ng thường l c c tệp ảnh tệp … a chuẩn ị sẵn c c tệp n y v lưu v o trong emory file system theo c c ước sau đ y  rong chọn De ug  aunch D… rong cửa sổ % D thực hiện c c lệnh cd memfs t m đường dẫn rm ../image.mfs (rời file image mfs cũ đi mfsgen –cvbfs ../image.mfs 10240 index.html css js yui images tạo file image.mfs)  rong cửa sổ % D thực hiện lệnh tải image mfs v o ộ nhớ dow –data image.mfs 0x8c200000 - i trị 4 l số lock d nh cho i lock mặc định l byte. - i trị x c l địa ch ắt đầu của image mfs trong DD - D i trị n y tương ứng với khai o Driver xilmfs T 78 c chương tr nh có k ch thước nhỏ có thể tải v chạy trực tiếp trong ộ nhớ của c n c c chương tr nh có k ch thước lớn hơn phải tải v o ộ nhớ ngo i DD - D v chạy từ v ng ộ nhớ đó au đ y l c ch tải v chạy chương tr nh ứng dụng e server  rong chọn De ug  aunch D… rong cửa sổ % D thực hiện c c lệnh tải cd webserver dow executable.elf  hực hiện chạy ứng dụng con  Dừng ứng dụng stop  ho t khỏi D ằng lệnh Exit W rong m y trạm mở ứng dụng e rowser v g đến địa ch (gi trị n y mặc định do tệp nguồn “main c” quyết định rang e sẽ xuất hiện 79 5 80 3.3 T IP T P IP iao thức sec l một giao thức thuộc lớp tuy nhi n nó kh ng được lw h trợ vậy ta cần ổ sung giao thức n y dựa tr n nền có sẵn được thiết kế ởi lw 6: ộ ể nh ng sec v o trong giao thức ta cần ch n th m một tr nh điều khiển thiết ị Ipsecdev v o giữa driver lớp li n kết emaclite v driver lớp lw Driver n y nằm trong file ipsecdev.c v đảm nhận việc điều khiển v xử l to n ộ gói v o ra odule sec đặt trong file ipsecdev.c đảm nhận nhiệm vụ đóng gói dữ liệu theo chuẩn sec khi driver ipsecdev y u cầu odule n y sẽ gọi tới c c ảng D v D để x c định ch nh x c giao thức đóng gói dữ liệu hoặc u tr nh đóng gói dữ liệu được thực hiện trong module ah.c v esp.c c module n y thực hiện t ch phần dữ liệu v gọi thư viện 81 mã ho gồm c c file des.vhd, sha_1.vhd … để sử dụng dịch vụ ảo mật v x c thực sau đó đóng gói theo c c giao thức sec v gửi trở lại module ipsec. 3.3.1 T IP r nh điều khiển thiết ị sec ipsecdev được thiết kế như l một driver cho thiết ị ảo Driver n y được ch n v o giữa driver lớp vật l v driver để điều khiển phương thức hoạt động cho c c gói dữ liệu v o ra iải ph p n y sẽ tr nh việc phải ch nh sửa l i lw theo hướng xử l sec đồng thời cho ph p chương tr nh có thể tương th ch với ất k một l i n o kh c rong trường hợp sử dụng l i lw driver n y được th m v o ằng h m netif_add h m khởi tạo lớp mạng có sẵn trong thư viện lw 7 ạ ộ IPsec. hi driver lớp vật l emaclite nhận được dữ liệu từ thernet nó sẽ đưa gửi gói tin n y đến ipsecdev th ng qua h m ipsecdev_input u thuộc v o c c trường trong header của gói dữ liệu driver n y sẽ quyết định 82 gửi tới c c giao thức kh c nhau trong lớp ếu gói dữ liệu theo chuẩn giao thức sec nó sẽ chuyển tới module sec trong file ipsec.c th ng qua h m ipsec_input ại đ y gói dữ liệu mới v o cấu tr c ộ nhớ p uf của uối c ng gói dữ liệu n y được đưa tới lw th ng qua h m ip_input v xử l theo chuẩn th ng thường ối với gói dữ liệu đầu ra to n ộ gói dữ liệu đóng gói theo chuẩn giao thức sẽ đưa tới module ipsecdev th ng qua h m ipsecdev_output ại đ y dữ liệu sẽ được quyết định xem có cần ổ sung sec hay kh ng ếu dữ liệu cần theo chuẩn sec th nó sẽ được đưa tới module sec v đóng gói dựa v o tương ứng đã x c định trước từ trong ảng D uối c ng gói dữ liệu được đưa tới driver lớp vật l v gửi l n thernet 3.3.2 T sec sử dụng một ảng cơ sở dữ liệu ch nh s ch ảo mật (SPD) để lưu giữ c c ch nh s ch xử l với từng c c gói r nh điều khiển thiết ị ipsecdev sẽ tra ảng n y để kiểm tra xem gói tin v o ra có cần sử dụng giao thức sec hay kh ng ột ảng dữ liệu kh c được gọi l ảng cơ sở dữ liệu li n kết ảo mật (SAD) lưu giữ th ng tin li n quan tới cấu h nh của từng kết nối ảng n y được sử dụng để x c định c c th ng số như giao thức đóng gói thuật to n mã ho x c thực …cho gói tin khi ảng D x c định sử dụng IPsec. 3.3.2.1 X hi một gói tin đưa đến hệ thống có cấu h nh sec ước đầu ti n l tra ảng D để x c định xem xử l gói tin như thế n o ếu kh ng sử dụng sec th gói tin được đưa tới driver thiết ị hoặc trả về stack 83 kh ng l m ất cứ việc g rong trường hợp sử dụng sec gói tin phải xử l theo li n kết ảo mật được trả về từ ảng tra D ếu kh ng có n o được ph p chức năng sẽ được gọi rong trường hợp gi trị có trong D gói tin n y được đóng gói theo giao thức hoặc dựa tr n th ng số au khi gói tin đã xử l sec nó sẽ được gửi l n thernet đến địa ch cần nhận 8 3.3.3.2 X u tr nh xử l gói tin đầu v o có hơi kh c v gói dữ liệu đóng gói theo chuẩn sec nhận được sẽ k m theo gi trị cho ph p tra trực tiếp tới ảng D ảng tra D sẽ trực tiếp gửi trả lại nếu t m thấy ếu kh ng t m được th ch hợp th gói tin sẽ được hu ỏ ới gi trị hợp lệ ta có thể xử l gói tin theo chuẩn sec ói tin được mở gói trong giao thức hoặc x c thực trong giao thức au khi mở gói xong ta sẽ có văn ản gốc hoặc gói dữ liệu đã được x c thực ể đảm ảo gói tin sử dụng c c th ng số ch nh x c ta thực hiện tra 84 ảng D để kiểm tra xem có gi trị D n o hợp lệ cho kh ng ếu kh ng t m thấy gi trị hợp lệ hoặc trỏ tới gi trị kh c gói tin sẽ ị xo uối c ng gói tin được gửi tới lớp để xử l như gói th ng thường 9 85 3.3.4 T H iao thức cung cấp cho ta việc x c thực dữ liệu gốc cũng như t nh to n v n của gói đó c giải thuật x c thực thường d ng như D v Dưới đ y l ản đồ ph n v ng ộ nhớ cho gói sử dụng giao thức 10 ộ . uy tr nh đóng mở gói đặt trong module ah c thực thi hai nhiệm vụ cơ ản xử l gói dữ liệu đầu v o mở gói v xử l gói dữ liệu đầu ra đóng gói ai th nh phần n y được thực thi trong c c h m con sau  ipsec ah check h m kiểm tra t nh to n v n của gói dữ liệu ằng c ch sử dụng thuật to n h m ăm kết hợp kho c ng cộng để kiểm tra chống tấn c ng lặp lại  ipsec ah encapsulate thiết lập một giao thức v phần header mới đặt ở ph a tr n của gói tin v t nh to n h m ăm để đảm ảo kiểm tra t nh to n v n của dữ liệu 3.3.5 T SP iao thức cung cấp cả t nh năng ảo mật lẫn x c thực cho c c gói dữ liệu Dưới đ y l ản đồ ph n v ng ộ nhớ cho gói sử dụng giao thức 86 11 ộ uy tr nh xử l đặt trong module esp c cũng thực thi hai nhiệm vụ cơ ản xử l gói dữ liệu đầu v o v xử l gói dữ liệu đầu ra ai th nh phần n y được thực thi trong c c h m  ipsec_esp_check( h m kiểm tra nội dung của header tu chọn kiểm tra gi trị x c thực v chống tấn c ng lặp lại đồng thời thực hiện việc giải mã gói dữ liệu ằng kho mật  ipsec_esp_encapsulate( thiết lập một giao thức mới mã ho dữ liệu v tu chọn t nh to n gi trị trong trường hợp cần x c thực rong chương n y đã tr nh y c c ước thiết kế module truyền th ng thernet thiết kế c c module cơ ản cần thiết để thiết kế thiết ị ảo mật rong đó module truyền th ng thernet đã được thực tế ho th nh c ng tr n o mạch partan-3E. 87 ẾT UẬN rải qua hơn a th ng nghi n cứu miệt m i với a chương đồ n đã tr nh y được tổng quan về mạng ri ng ảo giao thức sec mã ho v c ng nghệ đặc iệt l thiết kế được module truyền thông Ethernet dùng FPGA Spartan-3E của Xilinx; thiết kế module bảo mật, xác thực và các module cơ bản khác để xây dựng thiết bị IPsec sử dụng công nghệ FPGA; thực tế hoá được module truyền thông Ethernet ừ đó hướng ph t triển của đồ n có thể l  o n thiện việc thiết kế thiết ị ảo mật cho mạng ri ng ảo  h t triển c c thuật to n mã ho nhằm đ p ứng nhiều i to n ảo mật  ưa thiết kế sec v o trong c c hệ điều h nh nh ng có khả năng ảo mật cao Do thời gian v khả năng c n hạn chế n n đồ n kh ng tr nh khỏi những thiếu sót ất mong được sự đóng góp của c c thầy c v c c đồng ch ột lần nữa em xin gửi lời cảm ơn ch n th nh tới c c thầy c v c c ạn đặc iệt l sự hướng dẫn tận t nh của thầy N T đã gi p em ho n th nh đồ n n y 88 TÀI IỆU TH HẢO 1. guyễn ăng ường i o tr nh ộ m n điều khiển tự động ọc viện năm 2. o ng ăn ảo ảo mật mạng d ng giao thức 3. Dương nh ức ã ho v ứng dụng hoa c ng nghệ th ng tin ại học quốc gia tp 4. Cheung Yu Hoi Ocean, Implementation of an FPGA Based Accelerator for Virtual Private Networks, The Chinese University of Hong Kong, 2002 5. Man Young Rhee, Internet Sercurity, 2003 6. Douglas L.Perry, VHDL, The McGraw- Hill Companies, 2002 7. Jen-Peter Kaps, High Speed FPGA Architecturetures for the Data Encryption Standard, 2001 8. Nazar A. Saqib, A Compact and Efficient FPGA Implemetation of the DES Algorithm, 2003 9. Roar Lien, FPGA implementations of SHA-1 sercure hash standard, 2003 10. Michael Weleschenbach, Crytography in C and C++, 2001 89 Ụ Ụ Ờ Ó Ầ .............................................................................................. 1 hương Ạ Ê ẢO À O ec ...................... 3 ổng quan về mạng ri ng ảo .............................................................. 3 c m h nh mạng ri ng ảo ......................................................... 3 1.1.2 ặc điểm của mạng ri ng ảo ........................................................ 5 ảo mật mạng ri ng ảo ....................................................................... 6 c giao thức sử dụng cho .................................................. 7 ổng quan về giao thức ........................................................... 8 ảo mật giao thức nternet ec ............................................ 18 hương MÃ HOÁ VÀ FPGAs .......................................................... 34 ã ho .............................................................................................. 34 ổng quan về mã ho .................................................................. 34 2.1.2 C c phương thức mã ho ............................................................. 34 huật to n sử dụng trong chứng thực dữ liệu ............................. 36 ổng quan về c ng nghệ ....................................................... 37 iới thiệu ..................................................................................... 37 c họ cơ ản của ............................................................ 38 2.2.3 ng dụng ..................................................................................... 43 4 iệu quả của trong l nh vực ảo mật .............................. 43 huật to n chuẩn mã ho dữ liệu ...................................................... 45 tả thuật to n D ................................................................. 45 c chế độ hoạt động mã khối ................................................... 54 4 iải thuật ăm ảo mật -1) ..................................................... 57 4 iới thiệu về giải thuật -1 .................................................. 57 4 huật to n -1 ...................................................................... 58 hương Ế Ế Ế Ị ẢO Ậ Ử DỤ .................. 65 Ô Ệ .................................................................................. 65 90 c c ng cụ được sử dụng trong thiết kế ........................................ 65 hần mềm .................................................................... 65 hần mềm D .................................................................. 66 iới thiệu về oart partan-3E ................................................... 67 hiết kế giao thức tr n .............................................. 68 hiết kế tầng truy cập mạng sử dụng l i thernet ............ 69 hiết kế tầng sử dụng l i lw ...................................... 70 hiết kế e server tr n partan- tarter it v D .. 71 hiết kế em edded sec tr n nền ....................................... 80 r nh điều khiển thiết ị sec ................................................... 81 hiết kế cơ sở dữ liệu ch nh s ch ảo mật v li n kết ảo mật . 82 4 hiết kế module đóng mở gói theo giao thức ..................... 85 hiết kế module đóng mở gói theo giao thức .................... 85 À Ệ ẢO ........................................................................... 88