Thiết kế thiết bị bảo mật IP sử dụng công nghệ FPGA

Thiết kế thiết bị bảo mật IP sử dụng công nghệ FPGA

LỜI NÓI ĐẦU

Trong một mạng riêng của một công ty thì thông tin và tài nguyên được chia sẻ Ngày nay, luồng thông tin là rất quan trọng, ví dụ chi ph hoạt động của một công ty có thể được giảm xuống nếu biết khai thác dây chuyền tốt hơn Công ty đó có thể cải tiến các dịch vụ của nó bằng việc chia sẻ thông tin bên trong và với các đối tác doanh nghiệp bên ngoài của

nó Cũng bởi tính toàn cầu của môi trường kinh doanh nên việc kinh doanh

có thể diễn ra ở tất cả các văn phòng trên thế giới Các vị trí địa lý khác nhau dẫn tới việc kết nối giữa các mạng riêng khác nhau trở nên khó khăn

Mạng riêng ảo (VPN) đã trở thành cấu trúc mạng phổ biến cho các mạng liên hiệp công ty Chúng cho phép liên hiệp để kết nối các mạng cục

ộ LAN) trong các cơ quan chính và cơ quan nhánh như thể chúng trong cùng một mạng Khi các VPN được xây dựng trên cơ sở hạ tầng mạng thì

dữ liệu được chuyển đổi giữa các LAN khác nhau sẽ qua Internet và v vậy

sẽ dễ dàng bị nghe trộm, giả mạo… Do đó phương pháp an ninh bảo mật phải được sử dụng để giải quyết những vấn đề riêng tư này Giao thức bảo mật được lựa chọn trong đồ án này là giao thức IPSec

Các mảng cổng có thể lập trình được (FPGAs) là các thiết bị phần cứng mà có thể định lại cấu hình, ví dụ việc lập trình một FPGA có thể cho

ph p ch ng ta thay đổi chức năng của nó Trong đồ án này tôi lựa chọn các FPGA là thiết bị phần cứng cho mạng riêng ảo vì sử dụng các FPGA sẽ có nhiều ứng dụng mạng nhất đối với việc thay đổi các chuẩn mã mật go i

ra, các FPGA với giá thành thấp hơn, công suất nhỏ, thời gian triển khai ngắn và trên công nghệ mạch tích hợp các ứng dụng đặc biệt thì thời gian đưa ra thị trường sẽ ngắn hơn

ội dung ch nh của đồ n n y l tập trung nghi n cứu c c k thuật

cơ ản đồng thời đi s u v o thiết kế thiết ị ảo mật dựa tr n giao thức

ec iải thuật chuẩn mã ho dữ liệu DES) v giải thuật ăm ảo mật (SHA_1) được sử dụng cho việc mã ho v chứng thực dữ liệu o n ộ thiết kế được thực hiện tr n chip để có được tốc độ xử l cao v t nh mềm dẻo trong thiết kế

ồ n gồm có chương ội dung ch nh của c c chương đó l

IPS rong chương n y sẽ tr nh

y những vấn đề cơ ản về mạng ri ng ảo giao thức đặc iệt l

c c k thuật trong việc sử dụng giao thức ec

2 M P : trong chương n y sẽ tr nh y tổng quan

về mã ho v c ng nghệ c c thuật to n sử dụng cho việc ảo mật v

x c thực dữ liệu đặc iệt đi s u v o thuật to n D v

T IP P

trong chương n y sẽ tr nh y c c ước thiết kế module truyền thông Ethernet dùng Spartan-3E Starter Kit v D thiết kế module bảo mật, xác thực và các module cơ bản khác để xây dựng thiết bị IPsec sử dụng công nghệ FPGA

Do vấn đề nghi n cứu kh phức tạp v thời gian th có hạn n n

kh ng tr nh khỏi những thiếu sót k nh mong được sự đóng góp kiến của

c c thầy c v c c ạn đọc m xin gửi lời cảm ơn ch n th nh đến thầy

gi o N T c ng c c thầy c gi o đã tận t nh gi p

đ em trong qu tr nh l m đồ n n y

Chương ẠN RIÊN ẢO VÀ I O THỨ IPS

1.1 T

Công nghệ VPN cung cấp một phương thức giao tiếp an toàn giữa các mạng riêng dựa trên cơ sở hạ tầng mạng công cộng (Internet) Thay vì dùng kết nối thật khá phức tạp như đường dây thuê bao số, VPN tạo ra các liên kết ảo được truyền qua Internet giữa các văn phòng chi nhánh (branch- office), những người dùng từ xa (mobile users) về văn phòng chính

1.1.1

có thể h trợ m h nh kh c nhau:

 h nh 1.1): có thể được thiết kế h

trợ truy xuất có ảo vệ từ xa tới mạng c ng ty qua nternet ử dụng m

h nh client server như sau

- y client muốn truy cập v o mạng c ng ty th trước ti n phải kết nối đến ất k nh cung cấp dịch vụ nternet ISP) n o

- iếp theo lient phải khởi tạo kết nối đến server của c ng ty

ết nối n y được thực hiện ằng phần mềm client được c i đặt tr n

m y host ở xa

- gay khi kết nối được thiết lập m y client có thể li n lạc với hệ thống trong c ng ty c c m y kh c trong c ng ty qua nternet như l m y trong nội ộ c ng ty

1

 LAN to LAN internetworking site to site go i khả năng truy xuất

từ xa có thể l m cầu nối cho mạng với nhau để h nh th nh một ntranet mở rộng iải ph p n y cần kết nối server với

server

 Controlled access within Intranet ạng nternet cũng có thể sử dụng

k thuật để thực hiện việc truy xuất có điều khiển đến c c lớp mạng con ri ng Ở chế độ n y server đóng vai tr như gateway của mạng hương ph p n y đặc iệt th ch hợp để ảo vệ cho c c của mạng

1.1.2 Đ

 iảm chi ph thường xuy n cho ph p tiết kiệm đến 6 % chi ph

so với thu đường truyền v giảm đ ng kể tiền cước gọi đến của c c nh n

vi n l m việc ở xa iảm được cước ph đường d i khi truy cập cho

c c nh n vi n di động v c c nh n vi n l m việc ở xa nhờ v o việc họ truy cập v o mạng th ng qua c c điểm kết nối O oint of resence ở địa phương hạn chế gọi đường d i đến c c modem tập trung

 iảm chi ph đầu tư ẽ kh ng tốn chi ph đầu tư cho m y chủ ộ định tuyến cho mạng đường trục v c c ộ chuyển mạch phục vụ cho việc truy cập ởi v c c thiết ị n y do c c nh cung cấp dịch vụ quản l v l m chủ

ng ty cũng kh ng phải mua thiết lập cấu h nh hoặc quản l c c nhóm modem phức tạp go i ra họ cũng có thể thu với gi rẻ c c thiết ị phục

vụ kh ch h ng thường có sẵn ở c c nh cung cấp dịch vụ hoặc từ c c c ng

ty dịch vụ gi trị gia tăng nhờ thế việc n ng cấp mạng trở n n dễ d ng v t tốn k m hơn

 iảm chi ph quản l v h trợ ới quy m kinh tế của m nh c c nh cung cấp dịch vụ có thể mang lại cho c ng ty c c khoản tiết kiệm có gi trị

so với việc tự quản l mạng giảm hoặc loại trừ hẳn nh n vi n “ tại nh ”

ơn nữa nhận được sự h trợ v phục vụ 4 4 do những nh n vi n l nh nghề sẵn s ng đ p ứng mọi l c giải quyết nhanh chóng c c sự cố

 ruy cập mọi l c mọi nơi h ch h ng của qua mạng mở rộng

n y có c ng quyền try cập v khả năng như nhau đối với c c dịch vụ trung

t m ao gồm www email … cũng như c c ứng dụng thiết yếu kh c

khi truy cập ch ng th ng qua những phương tiện kh c nhau như qua mạng cục ộ ocal rea etwork modem modem c p đường d y thu

ao số xD … m kh ng cần quan t m đến những phần phức tạp n dưới

ảo mật v t nh ri ng tư ởi c c thuật to n mã ho v c c h m ăm ói

c ch kh c mạng ri ng ảo ảo mật m ch tới một mạng ri ng ảo với ec

ấn đề cốt yếu của mạng ri ng ảo l sự tạo đường hầm ới sự tạo đường hầm th c c sự kết nối v giao thức trong suốt giữa c c mạng ntranet kh c nhau của c ng cơ quan hay c c nhóm kh c nhau có c ng ậc

ới sự trong suốt kết nối th c c nhóm kh c nhau phải được kết nối với nhau như thể họ ở tr n c ng một mạng ọ kh ng cần iết tới cấu tr c v chi tiết của c c kết nối ới sự trong suốt giao thức th c c nhóm kh c nhau

sử dụng c ng một giao thức iều n y đạt được việc đóng gói c c gói dữ liệu ở c c điểm cuối của đường hầm với một giao thức kh c

1.2 VPN

ó rất nhiều giao thức mạng m y t nh được sử dụng cho tunening ó giao thức phổ iến v ch ng kh ng tương th ch với nhau

 PPTP oint- to- oint unneling rotocol l nghi thức iến thể của

Point to Point Protocol d ng truyền qua mạng dial up th ch hợp cho ứng dụng truy cập từ xa của nhưng cũng h trợ trong nternetworking hoạt động ở lớp của m h nh O

 Layer 2 Forwarding (L2F): l giao thức được ph t triển ởi isco

ystem c ng l c với sự ph t triển của của icrosoft y l một giao thức cho ph p c c remote host có thể truy xuất đến mạng ntranet của một

tổ chức th ng qua cơ sở hạ tầng mạng c ng cộng với t nh ảo mật v khả

năng quản l chặt chẽ

 IP sercurity (IPSec): ấu tr c ec cung cấp một framework cho việc

ảo mật tại lớp cho cả v4 v v6 ằng việc cung cấp sự ảo mật tại lớp n y c c giao thức tại c c lớp cao hơn như transport application có thể

sử dụng sự ảo mật ec m kh ng cần th m ất cứ sự thay đổi n o rong qu tr nh mã ho v chứng thực dữ liệu ec sử dụng một trong hai hoặc cả hai giao thức sau để ảo mật th ng tin uthentication header protocol v capsulating ecurity ayload protocol c thực

ec sử dụng h m ăm mật mã để cung cấp t nh to n v n v x c thực mạnh cho gói dữ liệu m x c thực kh ng cung cấp khả năng ảo mật hoặc chống lại sự ph n t ch đường truyền n ảo mật ec sử dụng mật

mã có kho để cung cấp t nh to n v n v ảo mật của gói tin huật to n ngầm định sử dụng chuẩn mã ho dữ liệu của theo chế độ ipher lock hain D nó kh ng cung cấp x c thực v chống chối ỏ ó có

thể cung cấp dịch vụ x c thực ằng c ch sử dụng iến đổi mật mã h trợ

nó uy nhi n một sự gợi nhỏ đó l nếu cần x c thực hoặc chống chối ỏ

th hãy d ng uthentication eader m ảo mật ec kh ng cung cấp ảo vệ chống kiểu tấn c ng ph n t ch truyền th ng

1.2.2 T IP

iao thức mạng nternet l một giao thức lớp mạng m chứa

th ng tin địa ch v v i th ng tin điều khiển để điều khiển c c gói dữ liệu

l giao thức tốt nhất l giao tiếp cở ản trong hệ giao thức nternet

ch r k ch thước c c gói dữ liệu khi nó đi qua nternet hần mềm thực hiện chức năng định tuyến lựa chọn đường đi cho dữ liệu sẽ được gửi ao gồm tập hợp c c quy tắc để m ph n ph t gói dữ liệu tới đ ch

ó l giao thức kh ng có kết nối m i gói được xử l độc lập với c c gói

kh c ếu việc truyền tin y u cầu độ tin cậy cao th giao thức phải được kết hợp với một giao thức tin cậy như l

truyền dữ liệu th nh c c gói m i gói được truyền đi lần lượt i gói có thể đi theo c c hướng kh c nhau

c gói lớp được gọi l c c datagram i datagram ao gồm

một header tới 6 yte v dữ liệu data datagram ao gồm một

phần yte cố định v một phần option có thể thay đổi với k ch thước tối

đa 4 yte ộ d i tối đa cho ph p của datagram l 6 6 yte

Một v4 datagram ao gồm a th nh phần ch nh eader có k ch thước

yte v chứa một số c c trường rường option gồm tập hợp c c trường có

k ch thước có thể thay đổi m có thể hoặc kh ng được iểu diễn Data l

dữ liệu được đóng gói từ lớp cao hơn thường l một đoạn hoặc gói dữ

liệu D đầy đủ Datagram header chứa địa ch nguồn v đ ch điều

khiển mảnh thứ tự ưu ti n kiểm tra tổng được sử dụng để t ch c c l i

truyền v option để ghi th ng tin định tuyến hoặc dấu hiệu thời gian

 ersion 4 its hi n ản 4 của giao thức nternet pv4 đã được

sử dụng năm nhưng phi n ản 6 v6 hoặc ng sẽ sớm thay thế

nó rường 4 it đầu ti n trong một datagram chứa phi n ản của giao thức

m được sử dụng để tạo ra datagram ó được sử dụng để x c minh lại nơi gửi nơi nhận v mọi router giữa ch ng ph hợp tr n định dạng của datagram Tr n thực tế trường n y iểu thị nhận dạng tới phần mềm đang chạy trong m y xử l m nó được y u cầu để kiểm tra trường version trước khi xử l một datagram để chắc rằng nó ph hợp với khung phần mềm y u cầu

 eader length 4 it rường 4 it n y x c định k ch thước to n

ộ của v4 datagram header ruờng n y l cần thiết ởi v k ch thước của header thay đổi từ tới 6 yte ất cả c c trường trong header có k ch thước cố định trừ c c trường option v trường corresponding padding

 ype of service O its rường it n y đặc trưng cho c ch m gói dữ liệu sẽ được điều khiển ởi c c router rường O n y được chia

th nh hai trường con precedence its v O its

Precedence

(3 bit)

D (1 bit)

T (1 bit)

R (1 bit)

C (1 bit)

Unused (1 bit)

Precedence l một trường con it với c c gi trị thay đổi từ ở chế độ nhị ph n mức ưu ti n th ng thường tới ở chế độ nhị ph n điều khiển mạng cho ph p người gửi ch thị mức quan trọng của m i datagram Precedence x c định quyền ưu ti n của m i gói dữ liệu khi có sự

cố tắc nghẽn chẳng hạn ếu một router ị tắc nghẽn v cần loại ỏ v i gói

dữ liệu th c c gói dữ liệu có quyền ưu ti n thấp nhất sẽ ị loại ỏ trước tiên ột gói dữ liệu trong mạng nternet được sử dụng cho việc quản l mạng quan trọng hơn một gói dữ liệu được sử dụng cho việc gửi th ng tin

cho c c router có thể trao đổi th ng tin khi c c mạng ị tắc nghẽn iện tại trường con precedence chưa được sử dụng ở v4 nhưng hy vọng rằng nó

sẽ được sử dụng trong c c phi n ản tương lai

rường O l một trường con it m i it có một ngh a ri ng iệt c

it D ch r loại vận chuyển mong muốn cho gói dữ liệu hi

ch ng được thiết lập th it D y u cầu độ giữ chậm thấp it y u cầu tốc

độ cao it y u cầu độ tin cậy cao v it y u cầu gi th nh thấp ất nhi n nó kh ng thể đối với nternet để đảm ảo kiểu vận chuyển đã được

y u cầu Do đó y u cầu vận chuyển có thể gợi ra c c thuật to n định tuyến

kh ng như một y u cầu c datagram mang c c kho từ một người sử dụng tới một m y t nh ở xa có thể thiết lập it D để y u cầu ch ng được

ph n ph t nhanh tới mức có thể trong khi c c datagram mang một file truyền lớn có thể có y u cầu thiết lập it để ch ng truyền qua đường có thể truyền dung lượng lớn

ặc d it trong c c it O có thể l hoặc l nhưng ch có it có thể có gi trị trong m i datagram

TOS bit Description

yte ể x c định k ch thước dữ liệu tới từ lớp cao hơn ta lấy k ch thước

to n ộ trừ đi k ch thước của header hi k ch thước của trường l 6 it

th k ch thước to n ộ của datagram lớn nhất l 16 - 6 yte trong đó k ch thước header từ đến 6 yte c n lại l dữ liệu từ lớp tr n rong thực tế v i mạng vật l kh ng thể đóng gói dữ liệu l 6 yte trong qu tr nh ph n đoạn

 dentification D 6 its rường 6 it n y đặc trưng cho sự nhận dạng một datagram đến từ host nguồn rường D được sử dụng để gi p

đ ch tập hợp lại c c đoạn nhỏ lại th nh datagram an đầu ó được thiết lập

ởi người gửi v nhận dạng duy nhất một datagram đã gửi đi từ host nguồn ự kết hợp giữa việc nhận dạng v địa ch phải x c định duy nhất

c ng datagram khi nó rời đi từ host nguồn ể ảo đảm t nh duy nhất th giao thức sử dụng một ộ couter để g n nhãn c c datagram hi một datagram được ph n đoạn th gi trị trong trường nhận thực được sao lại trong tất cả c c đoạn Do đó tất cả c c đoạn có c ng số nhận dạng giống với số nhận dạng của datagram an đầu ố nhận dạng gi p đ ch trong việc tổng hợp lại datagram

 lags it rường it n y được sử dụng trong việc ph n đoạn rường flag có độ d i it it thứ nhất được d ng để dự trữ it thứ hai được gọi l it „don‟t fragment‟ ếu gi trị của nó l th datagram kh ng

ph n đoạn it thứ a được gọi l it „more fragment‟ ếu gi trị của nó l điều đó có ngh a rằng datagram kh ng phải l đoạn cuối c ng c n có nhiều đoạn nữa đến ếu nó có gi trị l điều đó có ngh a rằng nó l đoạn cuối c ng hoặc duy nhất

 ragmentation offset its ột phần nhỏ trong datagram được gọi

l c c fragment qu tr nh ph n chia datagram được gọi l fragmentation

n y cho thấy quan hệ vị tr giữa của m i đoạn tương ứng với datagram

n o đó ể tổ hợp lại được datagram th đ ch phải nhận được tất cả c c đoạn từ đoạn có offset tới đoạn có offset cao nhất

 ime to live its ột datagram phải có một giới hạn thời gian sống trong lưu lượng đi qua nternet rường it n y iểu thị thời gian cho ph p datagram ở tr n mạng nternet

 rotocol its rường it n y x c định giao thức mức cao m sử dụng c c dịch vụ của lớp ột datagram có thể đóng gói dữ liệu từ

v i giao thức lớp cao hơn như l D v rường n y iểu thị giao thức đ ch cuối c ng tới datagram sẽ được chia

 eader checksum 6 its hương ph p ph t hiện l i được sử dụng ởi

c c giao thức được gọi l checksum rường 6 it n y ảo đảm

t nh nguy n v n của c c gi trị header hecksum ảo vệ chống lại c c l i

m có thể xảy ra trong qu tr nh truyền của gói dữ liệu

1

 Physical (local or link) address Ở lớp vật l c c host v router

được nhận dạng ởi c c địa ch vật l của ch ng ịa ch vật l l địa ch

lớp thấp nhất m được đặc trưng ởi địa ch n t hoặc địa ch local được x c định ởi mạng hoặc ịa ch local n y chứa trong một khung được sử dụng ởi lớp truy cập mạng ột địa ch local được gọi l địa ch vật l v nó thường được thực thi trong phần cứng ạng thernet hay token ring sử dụng địa ch 6 yte m được in tr n card giao diện mạng (NI được c i đặt trong host hoặc router ịa ch vật l l duy nhất trong mạng cục ộ nhưng kh ng thiết tr n to n mạng ịa ch vật l có thể l unicast multicast hoặc oardcast ịa ch vật l sẽ thay đổi khi khi một gói

dữ liệu rời từ mạng tới mạng

 IP address ột địa ch được gọi l địa ch logic ở lớp mạng ởi

v nó thường được thực thi trong phần mềm ịa ch logic sẽ nhận dạng host hay router ở lớp mạng ịa ch nternet có thể l unicast multicast hoặc oardcast ịa ch logic cần thiết cho c c dịch vụ th ng tin phổ iến

m độc lập với c c mạng vật l ở lớp dưới ịa ch được thiết kế cho một hệ thống địa ch chung m m i host có thể được nhận dạng duy nhất

ột địa ch nternet hiện nay l it có thể x c định duy nhất một host được kết nối tới nternet

 Port address hu i dữ liệu cần có địa ch v địa ch vật l để

di chuyển dữ liệu từ nguồn tới host đ ch r n thực tế việc ph t t n một gói tới một host hay một router y u cầu hai lớp địa ch logic v vật l c m y

t nh l c c thiết ị m có thể chạy nhiều chương tr nh xử l tại c ng một thời điểm ho v dụ m y t nh giao tiếp với m y t nh sử dụng

ại c ng thời điểm m y t nh có thể giao tiếp với m y t nh

sử dụng giao thức truyền file ếu c c qu tr nh n y xảy ra đồng thời ch ng ta cần một phương ph p để ghi nhãn c c qu tr nh kh c nhau rong cấu tr c nhãn được g n tới một qu tr nh được gọi l một

nternet ssigned um er uthority quản l số cổng từ tới cho c c dịch vụ c cổng từ 6 đến thường được

sử dụng ởi hệ thống cho c c dịch vụ đặc iệt nhưng hầu như kh ng thấy tr n c c hệ điều h nh kh c c dịch vụ thường được iết ởi số cổng

kh c khau

Addressing schemes

i địa ch được l m th nh hai phần như l một c ch m netid

x c định một mạng v hostid nhận dạng một host tr n mạng đó ột địa ch thường được ghi ằng ốn số nguy n thập ph n được t ch ằng ốn dấu chấm v dụ 4 ếu địa ch n y thay đổi từ k hiệu thập

ph n- chấm th nh dạng nhị ph n th nó trở th nh 1110111

10000111 01011101

ịa ch được chia th nh loại kh c nhau D v oại

v kh c nhau ở số cổng cho ph p ở m i mạng ớp D được sử dụng cho multicasting v lớp được d nh ri ng để sử dụng trong tương lai Address

(24 bits)

Fist octet (24 bits) Two octets (16 bits) Last octet (8 bits)

ảng tr n cho thấy số c c mạng v c c host trong loại địa ch

kh c nhau h rằng c c số nhị ph n trong ngoặc đơn iểu thị c c tiền tố của loại

ối quan hệ giữa c c loại địa ch v số thập ph n có nhiều dấu chấm được tổng kết trong ảng dưới đ y

127.255.255.255 191.255.255.255 223.255.255.255 239.255.255.255 255.255.255.255

1.4: Dotted decimal coressponding to IP address classes

ảng cho thấy khoảng gi trị cho m i lớp iệc sử dụng c c it ch đạo như tiền tố của lớp có ngh a rằng lớp của mạng m y t nh có thể được

x c định ởi số gi trị địa ch của nó

ố của địa ch có ngh a ri ng iệt ịa ch được dự trữ

v 4 kh ng được d ng n tr i c địa ch trong khoảng từ 10.0.0 tới có thể sử dụng trong c c mạng ntranet ri ng

c địa ch trong khoảng 4 tới l địa ch loại v được dự trữ để sử dụng trong tương lai khi m c c giao thức mới được ph t triển ịa ch l địa ch quảng được sử dụng trong tất

cả c c hệ thống tr n một li n kết cục ộ ặc d địa ch multicast của loại

D có thể mở rộng từ 4 tới nhưng địa ch

4 sẽ đến tất cả c c host multicast tr n mạng đã kết nối trực tiếp

hi cho một địa ch th có thể x c định được loại địa ch ột loại địa

ch được x c định th sẽ dễ d ng r t ra netid v hosted

IP routing

rong một hệ thống truyền dạng gói kh ng có kết nối khối truyền cơ

ản l datagram ấn đề định tuyến được m tả ởi c ch m c c router gửi c c datagram v ph n ph t ch ng như thế n o tới đ ch rong một hệ thống chuyển mạch gói „routing‟ tương ứng với qu tr nh lựa chọn đường

đi ph hợp để gửi c c gói h ng giống như việc định tuyến trong một mạng đơn lẻ sự định tuyến phải lựa chọn c c thuật to n ph hợp cho việc gửi một datagram qua nhiều mạng vật l r n thực tế việc định tuyến

tr n nternet thường khó khăn ởi v nhiều m y t nh có c c kết nối mạng vật l phức tạp

ể hiểu hơn về routing một cấu tr c n n được xem x t k

c ng nternet ao gồm nhiều mạng vật l được kết nối n trong ởi c c router i router có c c kết nối trực tiếp tới hai mạng hoặc nhiều hơn trong khi một host thường kết nối trực tiếp tới một mạng vật l uy nhi n

có thể có một host được kết nối trực tiếp tới nhiều mạng

iệc ph n ph t gói qua một mạng có thể được quản l ở ất cứ một lớp n o trong m h nh O ớp vật l chịu gi m s t ởi địa ch edia ccess ontrol lớp li n kết dữ liệu gồm có điều khiển li n kết logic v lớp mạng l nơi m hầu hết việc định tuyến được thực hiện

Delivery

iệc ph n ph t của một gói dữ liệu tới đ ch cuối c ng của nó được

ho n th nh ởi c c phương tiện ph n ph t trực tiếp hay gi n tiếp iệc

ph n ph t trực tiếp xảy ra khi nguồn v đ ch của gói được đặt tr n c ng một mạng ơi gửi có thể dễ d ng x c định việc ph n ph t gói l trực tiếp

hay kh ng ằng việc r t ra địa ch mạng của gói đ ch v so s nh địa

ch n y với địa ch của c c mạng m nó đã kết nối ếu thấy ph hợp th việc ph n ph t l trực tiếp rong sự ph n ph t trực tiếp nơi gửi sử dụng địa ch nơi gửi để x c nhận địa ch vật l đ ch u tr nh n y có thể được thực hiện ởi giao thức ph n t ch địa ch

ếu host đ ch kh ng ở tr n c ng một mạng với host nguồn th gói sẽ được ph n ph t gi n tiếp rong sự ph n ph t gi n tiếp gói dữ liệu đi từ router tới router qua một số mạng tới khi nó đến router m được kết nối tới mạng vật l như đ ch cuối c ng của nó Do vậy sự ph n ph t cuối c ng

lu n lu n l trực tiếp m lu n lu n xảy ra sau zero hoặc nhiều hơn sự ph n

ph t gi n tiếp rong sự ph n ph t gi n tiếp nơi gửi sử dụng địa ch đ ch

v một ảng định tuyến để t m ra địa ch của router tiếp theo m gói sẽ được ph n ph t tới ơi gửi sau đó sử dụng ddress esolution rotocol để t m ra địa ch vật l của router tiếp theo

1.2.3 I IPS

ộ giao thức ảo mật giao thức mạng ec được sử dụng để cung cấp c c dịch vụ có t nh ri ng tư v ảo mật ở lớp ec được thiết kế để cung cấp sự ảo mật dựa tr n mật mã mạnh c dịch vụ n y được cung cấp ở lớp dưới lớp truyền dẫn l m cho nó có t nh trong suốt đối với c c ứng dụng v người sử dụng có ngh a rằng kh ng có c c ứng dụng mạng

tr n m y t nh c nh n khi ec được thực thi trong firewall v router c dịch vụ ảo mật ao gồm

- hận thực Dịch vụ nhận thực tốt sẽ ngăn ngừa được sự chặn ắt

dữ liệu do việc sử dụng sự nhận dạng y u cầu ị sai

- nh tin cậy c dịch vụ tin cậy sẽ ngăn ngừa sự truy cập tr i ph p tới dữ liệu

- nh to n v n của dữ liệu c header nhận thực v sự thay đổi

c c mã nhận thực ản tin ăm để ảo đảm t nh to n v n của dữ liệu trong khi giao tiếp

- ự thay đổi kho sự thay đổi kho trong th ng tin gi p ảo vệ chống sự tấn c ng

c gói kh ng được ảo mật tr n nternet hật dễ d ng để l m giả sự hiện diện của một địa ch thay đổi nội dung của gói tin xem trộm

v chặn ắt c c gói dữ liệu h m v o đó ch ng ta kh ng thể ảo đảm rằng

c c gói thu được l đến từ nguồn mong muốn hay nội dung của nó có ị thay đổi hay kh ng Do đó giao thức ec được đưa ra để giải quyết c c vấn đề dưới đ y

1 Eavesdropping ột kẻ địch có thể nghe trộm c c gói dữ liệu ằng

c ch tạo ra c c số thẻ t n v password để mở ằng việc sử dụng c c giao thức ec th luồng dữ liệu được viết th nh mã để g y khó khăn cho việc thu được c c th ng tin hữu ch ởi việc nghe trộm

2 asquerading ẻ địch có thể l m giả địa ch để tạo trạm giả có địa ch như trạm thực khi việc nhận thực ằng địa ch được sử dụng iao thức ec cung cấp một phương ph p mã nhận thực để ảo vệ chống lại sự giả dạng ới giao thức ec uthenticcation th nơi thu có thể chắc chắn rằng nguồn dữ liệu l đ ng như y u cầu

3 ession hijacking ẻ địch có thể tạo một kết nối sau khi nguồn đã được nhận thực iễn cảnh n y sẽ kh ng xảy ra với giao thức ec khi kẻ địch kh ng iết kho mã c i m đã được thoả thuận trong giao thức trao đổi kho nternet ec do đó ch ng kh ng thể mã ho hoặc giải mã c c gói dữ liệu

4 Denial- of- serve ẻ địch có thể gửi rất nhiều c c y u cầu kết nối một c ch hợp lệ tới đ ch để l m tr n ộ đệm của hệ thống đ ch dụ như

om điện tử sự giả đồng ộ … ặc d loại tấn c ng n y vẫn có thể

xảy ra với việc sử dụng giao thức ec nhưng kẻ địch sẽ ị lộ địa ch thực ởi v sự thật rằng tất cả c c gói dữ liệu phải được nhận thực một c ch

đ ng đắn

iao thức ec cung cấp chức năng sử dụng giao thức kh c nhau:

- iao thức nhận thực eader

- iao thức đóng gói ảo mật dữ liệu

- iao thức trao đổi kho nternet

iao thức nhận thực eader có thể nhận thực nguồn c c gói dữ liệu

ảo vệ sự ho n ch nh của c c gói dữ liệu v ảo vệ sự tấn c ng xem trộm

dữ liệu n giao thức đóng gói ảo mật dữ liệu có tất cả c c thuộc

t nh m giao thức có v nó c n ảo vệ dữ liệu khỏi sự ph n t ch tr i

ph p v ảo vệ chống lại việc ph n t ch luồng dữ liệu ự ảo mật được cung cấp ởi giao thức ec cần sử dụng c c khóa hợp lệ để nhận thực v

mã ho luồng dữ liệu iao thức trao đổi kho được sử dụng để tham gia v o việc nhận thực động chứa trong ec thoả thuận phương ph p mã

ho được sử dụng v tạo ra c c kho

1.2.3.1 T

rước khi c c gói được truyền đi từ một m y t nh tới một m y

t nh kh c th tổ hợp ảo vệ phải được thiết lập ột tổ hợp ảo vệ l một tập hợp c c tham số m x c định c c dịch vụ v c c cơ chế như l c c kho cần thiết để ảo vệ th ng tin cho một giao thức ảo mật ột cần phải tồn tại giữa hai nhóm đang giao tiếp với nhau sử dụng ec ổ hợp

ảo vệ nternet v giao thức quản l kho x c định một khung chung để h trợ việc thiết lập c c tổ hợp ảo vệ

c ảng được thiết lập ở c c trạm nhận v được ch tới c c trạm gửi ằng c c tham số ch số được iết đến như l ch số tham số ảo mật

 iểu v chế độ hoạt động của iến đổi transform v dụ như D trong chế độ chu i khối iều n y y u cầu c c tham số ec được thiết kế độc lập với iến đổi v thế th ng tin n y phải được đồng ộ giữa c c điểm cuối khi có dữ liệu truyền đi

 ho hoặc c c kho sử dụng ởi thuật to n iến đổi ó cũng l c c tham

số ắt uộc guồn kho có nhiều dạng ch ng có thể đưa v o thủ c ng khi

c c tổ hợp được đưa v o định ngh a tr n m y hoặc m y cổng dẫn đường

h ng có thể được cung cấp th ng qua hệ thống ph n phối kho hoặc trong trường hợp hệ mật kh ng đối x ng th kho c ng khai được gửi đi tr n đường truyền trong khi kết nối được thiết lập

 ự đồng ộ thuật to n mã ho hoặc vectơ khởi điểm initialization vector ột số thuật to n mã ho đặc iệt l đối với những thuật to n

d ng chế độ chu i cần phải cung cấp cho hệ thống nhận một khối dữ liệu khởi tạo để đồng ộ thứ tự mã h ng thường khối dữ liệu mã ho đầu ti n phục vụ cho mục đ ch n y nhưng tham số n y cho ph p c c c i đặt kh c ham số n y được y u cầu đối với mọi c i đặt nhưng có thể vắng mặt nếu sự đồng ộ ho kh ng được y u cầu

 hoảng thời gian tồn tại của kho iến đổi ham số n y cũng có thể được định ngh a ằng khoảng thời gian hoặc tại một thời điểm x c định th xảy ra việc trao đổi kho h ng có sự x c định trước về khoảng thời gian cho kho mật mã hoảng mã được iến đổi phụ thuộc v o c c th nh phần

an to n tại điểm cuối ơn thế nữa tham số n y ch được gợi chứ kh ng phải ắt uộc

 hời gian tồn tại của tổ hợp ảo vệ h ng có sự x c định trước n o đối với khoảng thời gian tồn tại của một tổ hợp ảo vệ ộ d i thời gian m một tổ hợp ảo vệ c n có t c dụng phụ thuộc v o sự x c định của c c th nh phần tại điểm cuối ham số n y cũng kh ng ắt uộc

 ịa ch nguồn của tổ hợp ảo vệ ột tổ hợp ảo vệ thường được th nh lập ch theo một chiều ột phi n giao tiếp giữa hai điểm cuối thường sẽ

k o theo hai tổ hợp ảo vệ hi m có nhiều m y gửi đi sử dụng tổ hợp ảo

vệ n y th tham số có thể được đặt với gi trị có vị tr thay thế wild- card

h ng thường địa ch n y giống như địa ch nguồn trong phần header ham số n y cũng kh ng ắt uộc

 ức nhạy cảm của dữ liệu ảo vệ ham số n y được y u cầu đối với c c

m y c i đặt nhiều mức an to n v gợi đối với tất cả hệ thống kh c ham

số cung cấp phương thức g n nhãn ảo mật v dụ như ecret onfidential nclassified để đảm ảo định tuyến v xử l đ ng ởi c c điểm cuối

c tổ hợp ảo vệ ch được thiết lập một chiều rước khi một phi n trao đổi an to n có thể được th nh lập th tổ hợp ảo vệ phải được th nh lập ở

m y gửi v m y nhận hững tổ hợp ảo vệ n y có thể được cấu h nh thủ

c ng hay tự động th ng qua giao thức quản l kho hi một gói dữ liệu được gửi đi cho một m y nhận có ảo mật th hệ thống gửi sẽ t m kiếm tổ hợp ảo vệ tương ứng v chuyển gi trị kết quả tới m y nhận y nhận sẽ

sử dụng v địa ch đ ch để t m kiếm tổ hợp ảo vệ tr n hệ thống của nó rong trường hợp nhiều mức an to n nhãn an to n cũng trở th nh một

th nh phần của tiến tr nh lựa chọn tổ hợp ảo vệ tương ứng ệ thống nhận

sẽ sử dụng c c tham số của tổ hợp ảo vệ để xử l chu i gói tin nhận được

từ m y gửi ể th nh lập phi n giao tiếp x c thực đầy đủ th m y gửi v

m y nhận phải trao đổi vai tr v thiết lập một thứ hai theo chiều ngược lại

1.2.3.2 Ch SPI

l một số giả ngẫu nhi n it được sử dụng để x c định duy nhất một tổ hợp an to n guồn gốc của rất đa dạng h ng có thể được đưa v o một c ch thủ c ng khi được x c định tr n m y hoặc cổng dẫn đường hoặc ch ng được cấp qua hệ thống ph n ố iển nhi n để chức năng an to n hoạt động đ ng th c c phải được đồng ộ giữa c c điểm cuối i trị từ - được d nh để sử dụng cho

c i đặt trong tương lai y u cầu sự quản l tối thiểu nhưng một số

ph ng ngừa có thể được đặt trước để chắc chắn rằng gi trị đã được

g n kh ng được sử dụng lại qu nhanh chóng sau khi tương ứng ị xo

i trị ằng kh ng ch ra kh ng có một tổ hợp ảo vệ n o tồn tại cho phi n tương t c n y r n li n kết m t tới m t được sử dụng ởi m y nhận để t m kiếm tổ hợp ảo vệ r n kết nối theo kiểu ateway- to- ateway unicast hoặc multicast hệ thống nhận kết hợp với địa ch

đ ch để x c định ph hợp y giờ ch ng ta sẽ xem x t chức năng chứng thực v ảo mật sử dụng v như thế n o

ởi hệ thống kh ng tham gia v o việc x c thực iển nhi n l kh ng có

t nh ảo mật v cũng kh ng cần thay đổi hạ tầng nternet để h trợ h m

x c thực ec c hệ thống kh ng có phần x c thực vẫn xử l gói tin một

c ch nh thường

hần x c thực được ch n v o gói tin sau phần header đối với v4 v sau phần hop- y- hop header đối với v6 đồng thời trước phần header khi sử dụng h m ảo mật

IPv4 Header AH Header Upper Protocol (TCP, UDP)

iểu header g n cho số v được ch ra trong trường next header hoặc trường protocol của cấu tr c header trước đó ó trường tham số trong một authentication header 4 trong số ch ng hiện tại được

d ng

 rường nextheader được sử dụng để x c định giao thức được d ng trong cấu tr c header tiếp theo do g n

 rường payload length l số của c c word - it chứa trong trường dữ liệu x c thực

 rường reserved d ng cho sự mở rộng trong tương lai rường n y hiện tại đặt gi trị

 rường gi trị duy nhất x c định tổ hợp ảo vệ sử dụng cho gói tin n y

 rường authentication data dữ liệu đầu ra của h m ăm được nối th m cho th nh ội của it

Security Parameter Index

Authentication Data (variable number of 32-bit words)

m đ i hỏi gi c i đặt thấp v dễ xuất khẩu ởi v nó dựa tr n thuật to n h m ăm uy nhi n nó cũng có ngh a l m tăng đ ng kể t nh

an to n đối với hầu hết phi n li n lạc truyền th ng nternet

1.2.3 H

ảo mật ec sử dụng mật mã có kho để cung cấp t nh to n v n v

ảo mật của gói tin huật to n ngầm định sử dụng chuẩn mã ho dữ liệu của theo chế độ ipher lock hain D ó kh ng cung cấp t nh x c thực v chống chối ỏ ó có thể cung cấp dịch vụ x c thực ằng việc iến đổi mật mã h trợ nó uy nhi n một sự gợi l nếu cần x c thực hoặc chống chối ỏ th hãy d ng authentication header m ảo mật ec kh ng cung cấp ảo vệ chống kiểu tấn c ng ph n t ch truyền thông

ó hai kiểu hoạt động tunnel v transport rong chế độ tunnel th

to n ộ gói tin nguy n ản được ọc ằng ncapsulation ecurity

ayload sử dụng thuật to n v kho x c định trong ết quả phần mã

ho c ng với được x c định ởi trở th nh phần dữ liệu của gói thứ hai đi sau header ở dạng r hần đầu r n y thường được lặp đ p với phần đầu của gói tin nguy n ản đối với sự truyền th ng giữa m y với m y trong khi phần header được mã ho ch r m y cuối n o trong mạng nội ộ n kia địa ch đến thực sự rong chế độ transport th ch có

c c phần ở tầng transport v dụ D được đóng vi n trong thế phần header r sẽ lấy header nguy n ản của gói tin đó hế độ transport h trợ tất cả c c giao thức r nh xử l cả hai chế độ thực hiện trước khi xảy ra ph n đoạn ở đầu ra v sau khi hợp lại ở đầu v o

được ch n v o gói tin ất cứ ch n o sau header v trước giao thức ở tầng vận chuyển ó phải xuất hiện sau header khi ch ng ta

sử dụng nó với h m x c thực

IPv4 Header AH Header Encapsulated Security Payload

iểu header được đặt số l v tương tự như trường next header hoặc trường giao thức của cấu tr c header trước đó hần header chứa trường

 rường l định danh duy nhất cho sử dụng để xử l gói tin n y rường n y l trường ắt uộc trong trường

 rường opaque transform data l tham số th m được y u cầu để h trợ iến đổi mật mã sử dụng n y v dụ như vectơ khởi điểm Dữ liệu trong trường n y phụ thuộc v o ph p iến đổi v độ d i thay đổi ec ch

y u cầu nó được th m v o sao cho có độ d i l ội của 32-bit

 rường dữ liện mã hóa dữ liệu đầu ra của qu tr nh iến đổi mật mã

Sercurity Parameter Index

Initialization Vector Data (variable length)

Payload Data (variable length)

… adding Data Pad Length Payload type

phi n ản 4 hoặc phi n ản 6 có h trợ phải c i đặt D

 hế độ giao vận ransport mode

 hế độ đường hầm unnel mode

ng với từng chế độ giao thức v sẽ được đóng gói theo

c c c ch thức kh c nhau

ối với giao thức quy tr nh đóng gói được diễn ra như sau:

gốc ransport mode unnel mode

6

Khi đóng gói theo giao thức sec sẽ thay đổi trường protocol trong header để x c định protocol tiếp theo l header ói theo c ch

kh c l ta đã ch n header v o giữa v nhưng vẫn đảm ảo gói

dữ liệu đóng gói theo chuẩn iếp theo trường ext header của trỏ tới header trong chế độ giao vận n trong chế độ đường hầm trường ext header trỏ tới phần header của header gốc

n dưới đ y sẽ l quy tr nh đóng gói giao thức

gốc ransport mode unnel mode

7

ó thể thấy rằng giao thức ch ảo mật chống lại việc thay đổi nội dung dữ liệu trong chế độ giao vận chứ kh ng đảm ảo t nh ri ng tư của dữ liệu hi giao thức l m việc ở chế độ đường hầm khả năng ảo mật được tăng cường ằng c ch mở rộng nội dung ti u đề hương n

n y tỏ ra có hiệu quả hơn so với sử dụng ở chế độ giao vận v khi

đó cũng ch ảo mật chống nghe trộm chứ kh ng ảo mật được to n ộ lưu lượng

hế độ đường hầm đ i hỏi phải có t nh to n ở cổng nối ảo mật v

l m tăng k ch thước n n l m giảm th ng lượng mạng ử dụng chế độ giao vận giữa c c cổng nối sẽ giảm tổng ph truyền th ng v chế độ n y vẫn được d ng trong c c ứng dụng kh ng đ i hỏi t nh ảo mật cao

1.2.3.6 Q

hức năng quản l kho ao gồm sinh x c thực v ph n phối kho

mã mật được y u cầu để thiết lập đường truyền mật hức năng thường được gắn chặt v o thuật to n mã ho m ch ng h trợ nhưng c i chung việc sinh kho l chức năng d ng để tạo ra kho v quản l thời gian sống của ch ng v c ch sử dụng x c thực l tiến tr nh sử dụng để x c nhận

ch nh x c m y hoặc cổng dẫn đường y u cầu dịch vụ kho v ph n phối l

qu tr nh d ng để chuyển kho tới hệ thống y u cầu theo một phương thức

an to n

ó hai c ch tiếp cận để trao đổi kho

 ost- oriented theo hướng m y mọi người chia sẻ c ng một kho khi

m dữ liệu truyền đi giữa c c điểm cuối v dụ host v gateway

 ser- oriented theo hướng người sử dụng được th nh lập với m i kho

ri ng cho m i phi n li n lạc m nó truyền dữ liệu giữa c c điểm cuối c kho kh ng được d ng chung giữa c c người d ng v c c ứng dụng

n d ng kho theo định hướng người d ng đối với tất cả c c c i đặt quản

h trợ chức năng quản l kho chuẩn v ao gồm c c

th nh phần để ắt tay th nh lập sửa đổi v xo c c tổ hợp ảo vệ v thuộc

t nh của ch ng

1.2.3.7 T IS P)

iao thức cung cấp một phương thức chuẩn mềm dẻo v

có khả năng mở rộng để ph n phối c c tổ hợp ảo vệ v c c kho mật mã iao thức định ngh a c c thủ tục để x c thực người đối thoại tạo v quản

l c c tổ hợp ảo vệ c c k thuật để sinh v quản l kho cũng như c c tổ hợp ảo vệ v c ch để giảm nh c c nguy cơ như tấm c ng lặp lại hay tấn

c ng từ chối dịch vụ đã được thiết kế để h trợ c c dịch vụ

v nhưng nó c n đi xa hơn nữa có khả năng h trợ c c dịch

vụ ảo mật tại c c tầng vận chuyển v tầng ứng dụng cho rất nhiều cơ chế

an to n kh c iều đó có thể l do ph n t ch chức năng quản l

tổ hợp ảo vệ khỏi cơ chế trao đổi kho có giao thức trao đổi kho độc lập ó cung cấp một quy định chung để thoả thuận trao đổi sửa đổi v xo ỏ c c tổ hợp ảo vệ giữa c c hệ thống kh ng giống nhau iệc tập trung ho c ch quản l c c tổ hợp ảo vệ ằng l m giảm nhiều chức năng tr ng lặp trong m i giao thức ảo mật v giảm đ ng kể

thời gian thiết lập kết nối ởi v có thể thoả thuận một lần cho một tập c c dịch vụ

iao thức có 4 th nh phần chức năng ch nh sau

 c thực người đối thoại

 hiết lập v quản l kho mật mã

 ạo v quản l tổ hợp ảo vệ

 iảm mối đe doạ

iao thức t ch hợp c c cơ chế để chống lại c c nguy cơ như từ chối dịch vụ Denial of ervice chặn ắt ijacking v tấn c ng người đứng giữa an-in-the- iddle Dịch vụ quản l gửi trước một thẻ chống cản trở an ticlogging tocken cookie tới hệ thống y u cầu để thực hiện ất k một giao t c n o tốn nhiều c ng sức ếu người quản trị

kh ng nhận được trả lời của thẻ n y nó coi y u cầu như l kh ng hợp lệ v

ỏ y u cầu đi ặc d đ y kh ng l c ch ảo vệ chống cản trở tốt nhất nó

đủ hiệu quả để chống lại phần lớn c c tấn c ng l m tắc nghẽn th ng thường ơ chế chống cản trở cũng rất có lợi để ph t hiện tấn c ng chuyển hướng nhiều thẻ được gửi đi trong qu tr nh thiết lập m i phi n n n ất

cứ một cố gắng n o nhằm chuyển hướng d ng dữ liệu đến điểm cuối kh c

sẽ ị ph t hiện

iao thức li n kết qu tr nh x c thực v qu tr nh trao đổi kho v o một d ng dữ liệu duy nhất iều n y l m cho những tấn c ng dựa v o việc chặn ắt v thay đổi d ng dữ liệu như chặn ắt người đứng giữa ho n to n v t c dụng ọi sự can thiệp hay sửa đổi d ng dữ liệu sẽ

ị ph t hiện ởi người quản trị v mọi xử l tiếp theo sẽ ị dừng cũng p dụng một m y trạng th i c i đặt sẵn để ph t hiện việc xo ỏ dữ liệu điều n y đảm ảo cho những dựa tr n những trao đổi một phần sẽ

việc ghi nhật k v c c y u cầu cảnh o đối với tất cả c c h nh động ất thường v giới hạn việc sử dụng th ng o l i tr n đường truyền

hư một chuẩn ec nhanh chóng trở th nh phương ph p được

đ nh gi cao để ảo mật th ng tin trong mạng ược thiết kế để h trợ nhiều lược đồ mã ho v x c thực v t nh tương giao giữa nhiều người

n h ng ec có thể thay đổi để th ch hợp với y u cầu ảo mật của cả

c c tổ chức lớn hay nhỏ

rong chương n y đã tr nh y những kiến thức cơ ản về mạng

ri ng ảo vấn đề ảo mật trong mạng ri ng ảo đặc iệt l giao thức ec hững kiến thức n y sẽ gi p ch cho việc thiết kế thiết ị ảo mật rong chương sau sẽ tr nh y những c c k thuật cơ ản về mã ho v

c ng nghệ

hương MÃ HOÁ VÀ FPGAs

2.1

2.1 T

ã ho l qu tr nh chuyển c c văn ản hay t i liệu gốc th nh c c văn ản dưới dạng mật mã để kh ng ai ngo i người gửi v người nhận có thể đọc được

ã ho được dựa tr n hai th nh phần thuật to n v kho ột thuật

to n mã ho l một chức năng to n học để tạo ra một văn ản hay c c

th ng tin dễ hiểu với một chu i c c số được gọi l kho để tạo ra một văn

ản mật mã khó hiểu ã ho tr n hệ thống kho cơ ản cung cấp hai ưu điểm quan trọng hứ nhất l ằng việc d ng một kho có thể sử dụng c ng một thuật to n để truyền th ng với nhiều người tất cả những g phải l m l

sử dụng một kho kh c cho m i th nh vi n tương ứng hứ hai nếu như

ản tin được mã ho ị ẻ gãy ch cần chuyển một kho mới để ắt đầu mã

ho ản tin đó lại m kh ng cần phải đổi một kho mới để ắt đầu mã ho

ản tin đó lại m kh ng cần phải đổi một thuật to n để thực hiện qu tr nh

đó ố kho m thuật to n có thể cung cấp phụ thuộc v o số it trong kho

ố kho c ng lớn th khả năng một ản tin đã được mã ho ị ẻ kho c ng thấp tức khả năng ảo mật cao hơn

hương thức mã ho kho mật thực hiện qu tr nh mã ho một

c ch đơn giản uy nhi n có nhược điểm l nếu kho chung gửi qua mạng

th có khả năng ị đ nh cắp ặt kh c nếu như ta có nhiều sự trao đổi th

ta phải giữ một số lượng lớn kho mật v nếu ch sử dụng một kho cho nhiều trao đổi th người nhận sẽ có khả năng đọc thư của người kh c

c phương thức mã ho kho mật sử dụng thuật to n như D Triple DE lowfish …

i

hững kho n y có thể được d ng để cung cấp ản tin một c ch tin cậy v chứng minh sự tin cậy của một ản tin gốc

u điểm của phương ph p n y l kho c ng cộng của kho đ i có thể ph n ph t một c ch sẵn s ng m kh ng sợ rằng điều n y l m ảnh hưởng đến việc sử dụng c c kho ri ng h ng cần phải gửi một ản sao ch p kho c ng cộng cho tất cả c c đ p ứng m ch ng ta có thể lấy từ một m y chủ hay từ nh cung cấp dịch vụ

c phương thức mã ho c ng khai ao gồm c c k thuật như

Diffie- ellman chnorr …

2.1.3 T

2.1

hi một người muốn gửi cho ai đó một văn ản quan trọng đ i hỏi văn ản phải được k x c nhận ch nh danh người gửi hi đó người gửi văn ản sẽ cần thực hiện một quy tr nh được gọi l k chữ k điện tử hữ

k điện tử l k hiệu điện tử được gắn với văn ản điện tử kh c theo một nguy n tắc nhất định v được k văn ản đó p dụng để cung cấp dịch vụ

tr nh lập tr nh c c rất nhanh thường nhỏ hơn ph t do đó ch ng rất thuận tiện cho việc sử dụng như một nền tảng của việc có thể định lại cấu h nh c ao gồm rất nhiều khối logic s được ao quanh

ởi c c khối input output m cung cấp một giao diện giữa c c khối logic có thể định lại cấu h nh v c c ch n dữ liệu v một mạng định tuyến t i nguy n được gọi l ma trận định tuyến chung m li n kết n trong

c c khối logic ới họ ng y nay khả năng t ch hợp của nó đã vượt

qu triệu cổng ới sự giới thiệu của họ partan hiện nay inlinx có thể cạnh tranh về ma trận cổng ở mọi kh a cạnh như gi cả số lượng cổng số lượng đầu v o ra cũng như hiệu quả về gi th nh dụ như họ partan- với ch n v o ra cho người d ng tự định ngh a đóng gói ch n kiểu hơn khối logic ó cho ph p thay thế c c sản phẩm ứng dụng theo chuẩn chuy n d ng

có nhiều t nh năng đặc iệt ó có thể định lại cấu h nh có khả năng xử l song song n ng cấp dễ d ng như phần mềm go i ra nó có

gi ph t triển thấp r t ngắn thời gian đưa ra thị trường

2.2.2 2 H S P

ọ partan l tưởng d ng cho c c ứng dụng với số lượng lớn gi th nh thấp h ng được đưa ra c c thiết ị đ ch nhằm thay thế c c chip logic loại cố định v c c sản phẩm chuy n dụng chẳng hạn như chip giao tiếp us

Dưới đ y m tả cấu tr c của partan-3 FPGA

ơ đồ khối của

hối logic có thể định cấu h nh gồm hai phần i phần gồm

4 ảng tra cứu c c khối nhớ v điều khiển logic v hai thanh ghi

ó hai ộ đệm a trạng th i được kết hợp với m i m có thể được truy cập ởi tất cả c c đầu ra của

- c đầu v o đảo mức hoặc kh ng

- iều khiển đồng ộ hoặc kh ng đồng ộ

ai phần của có thể được sử dụng độc lập hoặc c ng với nhau cho c c

h m logic lớn hơn ũng trong m i phần v lip- lop có thể được sử dụng cho c c chức năng giống nhau hoặc c c chức năng độc lập

UT: l c c phần tử chủ yếu để thực thi logic i ảng

có thể thực hiện một h m ốn đầu v o ất k được iểu diễn dưới