BỘ GIÁO DỤC VÀ ĐÀO TẠO

BỘ QUỐC PHÒNG

VIỆN KHOA HỌC VÀ CÔNG NGHỆ QUÂN SỰ
------------------------------

HOÀNG VĂN QUÂN

NGHIÊN CỨU GIẢI PHÁP NÂNG CAO HIỆU QUẢ
BẢO MẬT THÔNG TIN TRÊN MẠNG TRUYỀN SỐ LIỆU
ĐA DỊCH VỤ

LUẬN ÁN TIẾN SĨ KỸ THUẬT

HÀ NỘI - 2016


BỘ GIÁO DỤC VÀ ĐÀO TẠO

BỘ QUỐC PHÒNG

VIỆN KHOA HỌC VÀ CÔNG NGHỆ QUÂN SỰ
------------------------------

HOÀNG VĂN QUÂN

NGHIÊN CỨU GIẢI PHÁP NÂNG CAO HIỆU QUẢ
BẢO MẬT THÔNG TIN TRÊN MẠNG TRUYỀN SỐ LIỆU
ĐA DỊCH VỤ

Chuyên ngành:
Mã số:

Kỹ thuật điện tử
62 52 02 03

LUẬN ÁN TIẾN SĨ KỸ THUẬT

NGƯỜI HƯỚNG DẪN KHOA HỌC:
1. TS LỀU ĐỨC TÂN
2. TS HOÀNG NGỌC MINH

HÀ NỘI - 2016


i

LỜI CAM ĐOAN

Tôi xin cam đoan đây là công trình nghiên cứu của riêng tôi. Các nội
dung, số liệu và kết quả trình bày trong luận án là hoàn toàn trung thực và
chưa có tác giả nào công bố trong bất cứ một công trình nào khác, các dữ
liệu tham khảo được trích dẫn đầy đủ.
Người cam đoan

Hoàng Văn Quân


ii


LỜI CÁM ƠN
Luận án được thực hiện tại Viện Khoa học và Công nghệ Quân sự - Bộ
Quốc phòng.
Tôi xin bày tỏ lòng biết ơn sâu sắc tới TS Lều Đức Tân và TS Hoàng
Ngọc Minh, các thầy đã tận tình giúp đỡ, trang bị phương pháp nghiên cứu,
kinh nghiệm, kiến thức khoa học và kiểm tra, đánh giá các kết quả trong suốt
quá trình nghiên cứu luận án.
Xin trân trọng cám ơn Viện Khoa học và Công nghệ Quân sự, Phòng
Đào tạo, Viện Điện tử là cơ sở đào tạo và đơn vị quản lý, các đồng chí lãnh
đạo, chỉ huy Cục Cơ yếu - Bộ Tổng Tham mưu – nơi tôi công tác đã tạo mọi
điều kiện thuận lợi, hỗ trợ và giúp đỡ tôi trong suốt quá trình học tập, nghiên
cứu thực hiện luận án. Xin chân thành cám ơn các thầy, cô của Viện Khoa học
và Công nghệ Quân sự, Viện Điện tử, các nhà khoa học, các đồng nghiệp
thuộc Trung tâm Nghiên cứu Kỹ thuật Mật mã – Cục Cơ yếu, Viện Khoa học
Công nghệ Mật mã/Ban Cơ yếu Chính phủ đã giúp đỡ, hỗ trợ tôi trong suốt
thời gian qua.
Cuối cùng, tôi xin bày tỏ lòng thành kính và luôn ghi nhớ công ơn của
cha mẹ, gia đình, những người thân và xin dành lời cảm ơn đặc biệt tới vợ
con, những người đã luôn đồng hành, động viên và là chỗ dựa về mọi mặt
giúp tôi vượt qua khó khăn để có được những kết quả nghiên cứu ngày hôm
nay.
Tác giả


iii

MỤC LỤC
Trang
DANH MỤC CÁC KÝ HIỆU, CÁC CHỮ VIẾT TẮT..................................... vi
DANH MỤC CÁC BẢNG................................................................................. ix

DANH MỤC CÁC HÌNH VẼ............................................................................. x
MỞ ĐẦU…………………………………….………………………………. 1
Chương

T NG QUAN V
T U

AN TOÀN VÀ BẢO M T T ONG MẠNG

N Ố LIỆU ĐA D CH VỤ .................................................... 8

. . Đặc điểm mạng truyền số liệu đa dịch vụ .................................................. 8
.2. An toàn và bảo mật trong mạng truyền số liệu đa dịch vụ ........................ 9
.2. . Một số khái niệm chung ................................................................... 9
.2.2. Các cơ chế an ninh dựa trên mật mã .............................................. 11
.2. . Vị trí đặt dịch vụ an ninh th o mô hình mạng phân tầng ............... 14
.2. . Ý ngh a của việc sử dụng mật mã trong bảo mật tại tầng IP ........ 15
.2.5. Bảo mật trong mạng truyền số liệu đa dịch vụ .............................. 18
.2. . Giao thức bảo mật cho mạng truyền số liệu đa dịch vụ ................. 22
. . Giao thức bảo mật IP
. . . Kiến trúc của IP

c .......................................................................... 22
c ........................................................................ 22

. .2. Modul thiết lập A ....................................................................... 24
. . . Giao thức E P ................................................................................ 24
. . . Giao thức AH ................................................................................. 25
. .5. Giao thức trao đổi khóa IKEv2 trong IP


c ................................. 26

. . Hạn chế của giải pháp bảo mật hiện tại và đề xuất hướng giải quyết. ..... 27
1.4.1. Một số hạn chế của giải pháp bảo mật ........................................... 27
1.4.2. Đề xuất các nội dung nghiên cứu của luận án................................ 28
.5. Giao thức trao đổi khóa Diffi -H llman kết hợp ECC ............................ 28


iv

.5. . Đặt vấn đề....................................................................................... 28
.5.2. Giao thức trao đổi khóa ECDH ...................................................... 31
. . Công nghệ để cứng hóa mật mã ............................................................... 34
1.7. Kết luận Chương ................................................................................... 35
Chương 2 N NG CAO HIỆU QUẢ TH C HIỆN PH P NH N ĐI M C A
ECC CHO GIAO TH C T AO Đ I KH A ................................. 36
2.1. Phép nhân điểm trên đường cong lliptic ................................................ 36
2. . . Một số thuật toán nhân điểm lliptic trên trường GF(2n)............... 36
2. .2. Thuật toán nhân điểm Elliptic dựa trên triển khai một số nguyên
th o NAF tính toán trực tiếp ........................................................... 40
2.2. Xây dựng công thức tính số xung nhịp máy trung bình để cộng hai số
nguyên khi thực hiện trên phần cứng .............................................. 43
2.2. . Cơ sở đề xuất .................................................................................. 43
2.2.2. Mạch cộng hai số nguyên và phân phối xác suất của đại
lượng F(k) ....................................................................................... 43
2.2. . Kết quả tính toán số AAF(k) và AAF(k,M) .................................. 51
2.2. .

ng dụng của kết quả..................................................................... 55


2. . Thực hiện thuật toán nhân điểm trên phần cứng FPGA .......................... 55
2. . . Phương pháp thiết kế chung ........................................................... 55
2. .2. Lựa chọn đường cong lliptic ........................................................ 56
2. . . Mô hình cứng hóa thuật toán nhân điểm ........................................ 56
2. . . Kết quả thực hiện ........................................................................... 71
2. . Kết luận Chương 2 ................................................................................... 74
Chương

N NG CAO HIỆU QUẢ TH C HIỆN THU T TOÁN M
DỮ LIỆU T ONG BẢO M T MẠNG T U

H A

N Ố LIỆU ......... 76

. . Cơ sở lý thuyết ......................................................................................... 76
. . . Các mã khối có cấu trúc PN......................................................... 76


v

. .2. Các tiêu chí đánh giá và xây dựng tầng tuyến tính hiệu quả, an toàn
cho mã khối có cấu trúc PN .......................................................... 78
.2. Chuẩn mã hóa dữ liệu AE ...................................................................... 81
3.3. Đánh giá một số ma trận MDS trong các mã pháp dạng AE ............. 85
. . . Một số định ngh a ........................................................................... 85
. .2. Đánh giá một số ma trận MD sử dụng trong mã pháp dạng AE 87
. . Đề xuất ma trận MD mới để cải tiến tầng tuyến tính cho các mã pháp
dạng AE ........................................................................................ 91
3.4.1. Đề xuất ma trận MD mới và đánh giá hiệu quả hoạt động .......... 92

3.4.2. Phân tích cài đặt các ma trận th o quan điểm phần mềm .............. 96
3.4.3. Điểm bất động của tầng tuyến tính th o ma trận đề xuất............... 99
3.4.4. Kết quả cài đặt thực nghiệm trên FPGA ...................................... 100
. .5. Kết quả cài đặt AE chuẩn và AE với ma trận MD đề xuất ... 102
.5. Kết luận Chương ................................................................................. 103
KẾT LU N ..................................................................................................... 105
DANH MỤC CÁC CÔNG T ÌNH KHOA HỌC Đ CÔNG BỐ ................ 107
TÀI LIỆU THAM KHẢO ............................................................................... 108


vi
DANH MỤC CÁC KÝ HIỆU, CÁC CHỮ VIẾT TẮT
E

Ký hiệu đường cong elliptic

O

Điểm vô cực của đường cong lliptic

G

Một điểm trên E sinh ra một nhóm cyclic cấp N

KA

Khóa bí mật A

KB


Khóa bí mật B

p

,GF(p) Ký hiệu cho trường hữu hạn chứa p phần tử với p là số nguyên tố

#{(X,Y)

Lực lượng của tập X,

#(a)

Lực lượng của a

#(b)

Lực lượng của b

x1, y1

Tọa độ điểm P trên đường cong E

x2, y2

Tọa độ điểm Q trên đường cong E

x3, y3

Tọa độ điểm


Rank(A)

Hạng của ma trận A

ATM1

An toàn mạng

ATM2

An toàn mạng 2

AES

Chuẩn mã hóa dữ liệu mở rộng (Advanc d Encryption tandard)

AH

Giao thức tiêu đề xác thực (Authentication Header)

ASIC

Mạch tích hợp cho các ứng dụng đặc biệt (Application Specific
Integrated Circuit)

ATM

Phương thức truyền tải không đồng bộ (Asynchronous Transfer
Mode)


DLP

Bài toán logarith rời rạc (Discrete Logarithm Problem)

DoS

Tấn công từ chối dịch vụ (Denial of Service )

DDoS

Tấn công từ chối dịch vụ phân tán (Distributed Denial of
Service)

DTLS

Bảo mật gói dữ liệu tầng giao vận (Datagram Transport Layer
Security)

DH

Diffie-Hellman (Elliptic Curve)

trên đường cong E


vii

EC

Đường cong lliptic


ECADD

Phép cộng hai điểm khác nhau (Elliptic Curve ADD)

ECC

Hệ mật Elliptic (Elliptic Curve Cryptosystem)

ECDBL

Phép nhân đôi (phép cộng hai điểm giống nhau - EC Double)

ECDH

Bài toán Diffie-Hellman trên Elliptic (Elliptic Curve DiffieHellman)

ECDLP

Bài toán logarith rời rạc trên đường cong lliptic (Elliptic Curve
Discrete Logarithm Problem)

ECDSA

Thuật toán chữ ký số Elliptic (Elliptic Curve Digital Signature
Algorithm)

ESP

Encapsulating Security Payload


FPGA

Mảng cổng lập trình dạng trường (Field Programmable Gate
Array)

GCD

Tìm ước số chung lớn nhất (Gr at st Common Divisor)

IP

Giao thức liên mạng (Internet Protocol)

IDPS

Hệ thống phát hiện và ngăn chặn truy cập (Intrusion Detection
Pevention System)

IPSec

Giao thức bảo mật (IP Security Protocol)

IKE

Trao đổi khóa (Internet Key Exchange)

ISO

Tổ chức Tiêu chuẩn quốc tế (International Organization for

Standardization)

MPLS

Chuyển mạch nhãn đa giao thức (Multi Protocol Label
Switching)

MDS

Phân tách có khoảng cách cực đại (Maximum Distance
Separable)

NAF

Dạng không liền kề (Non Adjacent Form)

LAN

Mạng cục bộ (Local Area Network)

LC

Tế bào logic (Logic Cell)

LE

Phần tử logic (Logic Element)

MPPE


Mã hóa điểm tới điểm (Microsoft Point to Point Encryption)


viii

OSI

Mô hình tương tác giữa các hệ thống mở (Open Systems
Interconnection )

SPN

Mạng thay thế - hoán vị (Substitution Permutation Network)

RSA

Thuật toán mã khóa công khai của iv st, hamir và Adl man

VPN

Mạng riêng ảo (Virtual Private Network)

VHDL

Ngôn ngữ mô tả phần cứng (Verilog Hardware Description
Language)


ix


DANH MỤC CÁC BẢNG
Bảng . . o sánh kích thước khóa
Bảng 2. . Kết quả thống kê

A và ECC với cùng độ an toàn ......... 30

2 giá trị của k .................................................. 52

Bảng 2.2. o sánh kết quả cứng hóa phép nhân điểm trên FPGA .................. 72
Bảng . . Độ dài khóa của AE ...................................................................... 82
Bảng .2. Danh sách

đa thức nguyên thủy bậc 8 trên

Bảng . . o sánh cài đặt các ma trận MD

2

........................... 94

x bằng phần mềm ................. 98

Bảng . . ố điểm bất động của một số ma trận đang xét ............................ 100
Bảng .5. Tài nguyên sử dụng đối với ma trận đề xuất Cir( ,

9, , ) ..... 101

Bảng .6. Kết quả cài đặt trên phần cứng FPGA của Xilinx ........................ 101
Bảng .7. o sánh kết quả cài đặt trên FPGA ............................................... 103
Bảng A.


Các thông số kỹ thuật của kít Zynq-7000 ........................................ 4


x
DANH MỤC CÁC HÌNH VẼ
Hình . . Cấu trúc mạng truyền số liệu đa dịch vụ........................................... 9
Hình 1.2. So sánh OSI và TCP/IP ................................................................... 15
Hình . . Mô hình bảo mật tại tầng IP ............................................................ 16
Hình . . Mô hình bảo mật thông tin cho mạng đa dịch vụ ........................... 20
Hình 1.5. IPSec trong mô hình TCP/IP ........................................................... 23
Hình . . Mối quan hệ giữa IKE và IP

c...................................................... 24

Hình .7. Gói tin E P của IP c ..................................................................... 24
Hình .8. Thuật toán mã khối làm việc ở chế độ CBC ................................... 25
Hình 1.9. Gói tin AH ....................................................................................... 26
Hình 1.10. o sánh mức độ bảo mật giữa ECC với

A/D A ...................... 30

Hình . . Quá trình trao đổi khóa th o giao thức ECDH ............................. 32
Hình 2. . Đồ thị các hàm AAF(k, 07)(k), AAF(k,107)+(k), log2(k) và
log2(k)+ trong khoảng [ , 09 ]. .................................................... 54
Hình 2.2. Mô hình phân lớp thiết kế trên kit phát triển ZC70 của Xilinx .... 55
Hình 2. . ơ đồ thực hiện cứng hóa phép nhân điểm lliptic. ........................ 57
Hình 2.4. Giao diện modul cứng hóa phép nhân điểm trên FPGA. ............. 57
Hình 2.5. ơ đồ thực hiện cứng hóa phép cộng điểm lliptic. ........................ 59
Hình 2. . Giao diện modul thực hiện phép cộng điểm lliptic trên FPGA. .. 59

Hình 2.7. ơ đồ thực hiện cứng hóa phép nhân đôi điểm lliptic. .................. 60
Hình 2.8. Giao diện modul thực hiện phép nhân đôi điểm lliptic trên
FPGA. ............................................................................................... 61
Hình 2.9. ơ đồ cứng hóa phép nhân th o thuật toán nhân đan x n. .............. 64
Hình 2. 0. Giao diện modul thực hiện phép nhân điểm trên FPGA. ............ 64
Hình 2.11. ơ đồ thực hiện cứng hóa phép chia/nghịch đảo GF(2m). ............ 68
Hình 2.12. Giao diện modul thực hiện phép chia/nghịch đảo trên FPGA. ... 68
Hình 2.13. Ch n bit 0 thực hiện phép bình phương thông thường. ................ 69


xi

Hình 2. . ơ đồ cứng hóa phép bình phương trên trường GF(2m). .............. 71
Hình 2. 5. Giao diện modul thực hiện phép bình phương GF(2 m) trên
FPGA. ............................................................................................. 71
Hình 2. . Kết quả mô phỏng phép nhân điểm th o thuật toán nhị phân ...... 72
Hình 2. 7. Kết quả mô phỏng nhân điểm th o thuật toán NAF thông
thường ............................................................................................. 73
Hình 2. 8. Kết quả mô phỏng nhân điểm th o thuật toán NAF trực tiếp ....... 73
Hình . . ơ đồ mã hóa và giải mã của thuật toán AE ................................. 83
Hình 3.2. Hàm ShiftRows ............................................................................... 84
Hình 3.3. Hàm MixColumns ........................................................................... 85
Hình 3.4. Phép nhân với 2 và 3 trên

28

với f  x   x8  x4  x3  x 1 ........... 90

Hình 3.5. Phép nhân với 2, 4 và 145 trên
Hình 3.6. Phép nhân với 2, 4 và 149 trên


28

28

với f  x   x8  x7  x6  x 1 .. 90
với f  x   x8  x5  x3  x 1 .... 95

Hình 3.7. Kết quả mô phỏng đối với ma trận đề xuất Cir( ,

9, , ) ........ 100

Hình 3.8. Kết quả mô phỏng đối với ma trận trong AES Cir(2, 3, 1, 1) ...... 101
Hình .9. Kết quả mô phỏng cài đặt thuật toán AE chuẩn ......................... 102
Hình . 0. Kết quả mô phỏng cài đặt thuật toán AE với ma trận MD
mới ................................................................................................ 102
Hình A.

Kit phát triển ZC70 Evaluation Kit của Xilinx .............................. 2

Hình A.2 Sơ đồ khối kiến trúc của kít Zynq-7000 XC7Z045-2FFG900C ...... 3
Hình A.

Mô tả các khối chức năng của bộ xử lý A M ................................. 5

Hình A.

Mô tả các bước thiết kế trên FPGA................................................. 6

Hình A.5 Lõi cứng hóa mật mã lliptic thực hiện trên FPGA ....................... 11

Hình A. Bus hệ thống nối lõi mật mã elliptic và ARM cortec A9................ 13
Hình A.7 Lưu đồ thuật toán chương trình điều khiển lõi ECC ...................... 14


1

MỞ ĐẦU
1. Tính cấp thiết
Mạng truyền số liệu được sử dụng rộng rãi trong hầu hết các l nh vực
đời sống, kinh tế - xã hội, an ninh quốc phòng để đáp ứng nhu cầu trao đổi
thông tin. Việc xây dựng những mạng truyền thông tốc độ cao với khả năng
bảo đảm chất lượng, dịch vụ là tiền đề để xây dựng và phát triển một xã hội
thông tin hiện đại. Tùy th o tính chất nhiệm vụ và yêu cầu của từng ngành mà
mạng truyền số liệu được xây dựng và tổ chức thành các mạng riêng, độc lập.
Tuy nhiên, các mạng vi n thông hiện nay có xu hướng chung là hội tụ để có
thể truyền được nhiều loại hình thông tin trên một nền mạng duy nhất trong
đó IP/MPL [1], [2], [4], [12] là hai công nghệ nền tảng để xây dựng những
mạng hội tụ như vậy.
Bên cạnh việc phát triển của mạng truyền số liệu thì vấn đề đảm bảo an
ninh, an toàn, bảo mật cho một mạng thông tin là một trong những yếu tố
hàng đầu quyết định chất lượng cũng như tính khả dụng của mạng, bởi vì trên
đó luôn tiềm ẩn rất nhiều nguy cơ gây mất an toàn thông tin, gây hậu quả
nghiêm trọng về kinh tế, chính trị, quân sự, an ninh quốc gia. Đặc biệt đối với
mạng thông tin của các cơ quan Đảng, Nhà nước, Quân đội yêu cầu về an
toàn và bảo mật thông tin, dữ liệu luôn là đòi hỏi cần thiết và cấp bách.
Bài toán bảo mật thông tin trên mạng truyền số liệu đã và đang được
nhiều quốc gia trên thế giới đặc biệt quan tâm, đã có rất nhiều các nghiên cứu
tạo ra các chuẩn bảo mật, các hệ mật và giải pháp bảo mật cho mạng truyền số
liệu đa dịch vụ. Trong đó giao thức bảo mật IP


c có thể được coi là giao

thức tốt nhất cho việc thực hiện mã hóa dữ liệu tại tầng IP [4], [9] trên nền
tảng công nghệ của mạng truyền số liệu đa dịch vụ. IPSec là một tập hợp các
tiêu chuẩn mở, cung cấp các dịch vụ bảo mật và điều khiển truy nhập tại tầng
IP. Tuy nhiên, do hệ thống mạng truyền số liệu là mạng truyền dẫn tốc độ cao


2

và ngày càng phát triển nhanh chóng, truyền tải nhiều loại hình dịch vụ thông
tin, vì vậy đặt ra một số vấn đề đối với IP c để phát triển và hướng tới hoàn
thiện [1], [4]. Một trong các yếu tố cần thực hiện đó là nâng cao hiệu năng,
tốc độ tính toán của thiết bị mã hóa do IP c phải xử lý nhiều giải thuật phức
tạp và tiêu tốn tài nguyên, đặc biệt là các thuật toán mật mã sử dụng trong
giao thức mã hóa dữ liệu E P hay giao thức trao đổi khóa IKE của IP c.
Trên thế giới đã có nhiều công trình nghiên cứu cải tiến nhằm cải thiện
tốc độ, nâng cao hiệu năng xử lý của IPSec, điển hình như công trình của các
tác giả A. Salman, M. Rogawski and J. Kaps [8] (năm 20

); L.Wu, Yun Niu,

X. Zhang [40] (năm 20 3) đã nghiên cứu cứng hóa giao thức IP

c trên nền

công nghệ FPGA và đạt được những thành công lớn về mặt tốc độ và hiệu
năng xử lý, trong đó về giải pháp mật mã các tác giả trên sử dụng thuật toán
mã hóa chuẩn AE cho E P và giao thức thỏa thuận khóa Diffie-Hellman với
tham số


A 02 , 20 8 bít cho IKEv2. Về cứng hóa chuẩn mã hóa dữ liệu

AES trên FPGA nhằm nâng cao hiệu năng xử lý mật mã, điển hình có các
nghiên cứu gần đây như công trình của các tác giả Kaur A, Bhardwaj P and
Naveen Kumar [37] (năm 20
[10] (năm 20

), Ashwini R. Tonde and Akshay P. Dhande

), hay kết quả khảo sát các công trình nghiên cứu th o hướng

này của các tác giả Shylashree.N, Nagarjun Bhat and V. Shridhar [58] (năm
2012) cho thấy các kết quả đạt được là rất đáng kể nhờ việc tối ưu và sử dụng
các kỹ thuật tiên tiến (pip lin ) khi thực hiện trên phần cứng. Tuy nhiên, các
công trình nghiên cứu đề cập đến việc cài đặt trên phần cứng có liên quan đến
tối ưu hoặc cải tiến các thành phần mật mã còn rất hạn chế. Đối với giao thức
trao đổi khóa IKE, trong [17] đưa ra phương án có thể thay mật mã đường
cong elliptic (ECC) cho tham số

A trong giao thức thỏa thuận khóa Diffi -

Hallman, với ECC cũng có rất nhiều các nghiên cứu về lý thuyết và thực hành
nhằm tăng hiệu quả thực hiện phép nhân điểm (là phép tính cơ bản và quan


3

trọng của ECC) để giúp giảm thời gian trao đổi khóa giữa các thực thể trong
mạng thông tin.

Dưới góc độ mật mã, hầu hết các quốc gia trên thế giới đều tổ chức xây
dựng hệ thống mật mã của riêng mình, nhằm giữ bí mật ở mức cao nhất các
thông tin nhạy cảm, đặc biệt đối với các hệ thống thông tin được sử dụng
trong l nh vực an ninh quốc phòng. Tại Việt Nam, Ban Cơ yếu Chính phủ là
nơi đi đầu trong l nh vực nghiên cứu, triển khai các giải pháp bảo mật cho các
hệ thống thông tin. Các sản phẩm bảo mật được phát triển dựa trên các chuẩn
của thế giới như IP c [9], SSL/TLS[7], OpenVPN[18], th o hướng cải tiến,
chuyên dụng hóa các sản phẩm mã nguồn mở như Op nSwan, StrongSwan,
OpenVPN hay một số giải pháp triển khai IP c dưới dạng thiết bị chuyên
dụng [1] được nghiên cứu thiết kế và tích hợp kỹ thuật mật mã của Việt Nam
bao gồm các khâu xác thực, bảo mật và toàn vẹn dữ liệu trong đó tốc độ mã
hóa, giải mã đạt khoảng 30Mb/s đối với thiết bị mã tại lớp truy nhập và
khoảng 80Mb/s đối với trung tâm mã hóa. Các cơ sở nghiên cứu trong nước
như Viện Điện tử thuộc Viện Khoa học và Công nghệ quân sự đã tổ chức
nghiên cứu đề tài cấp nhà nước về thiết kế thiết bị mật mã hiệu năng cao [3].
Tuy nhiên, việc nghiên cứu để cải tiến về thuật toán mật mã hay những phân
tích chuyên sâu về tối ưu cài đặt các giải pháp mật mã trên phần cứng nhằm
đạt hiệu quả về tốc độ, tài nguyên sử dụng ít được đề cập.
Xuất phát từ những lý do trên, nghiên cứu sinh chọn đề tài nghiên cứu
“Nghiên cứu giải pháp nâng cao hiệu quả bảo mật thông tin trên mạng
truyền số liệu đa dịch vụ”
Nhằm nghiên cứu cải tiến, tối ưu giải pháp mật mã, ứng dụng công
nghệ để cứng hóa, tối ưu cài đặt để nâng cao hiệu năng, tốc độ trao đổi khóa,
mã hóa/giải mã dữ liệu, giải quyết các yêu cầu ngày càng phát triển cao của
mạng truyền số liệu tốc độ cao, đa dịch vụ, thời gian thực. Đây là nội dung


4

khoa học trọng yếu của công trình nghiên cứu được trình bày chi tiết trong

luận án.
2. Mục tiêu nghiên cứu
Nghiên cứu đề xuất giải pháp cụ thể để nâng cao hiệu quả thực hiện các
thuật toán mật mã đảm bảo hiệu quả về tốc độ tính toán, tài nguyên sử dụng,
an toàn và bảo mật nhằm nâng cao hiệu quả bảo mật thông tin trên mạng
truyền số liệu đa dịch vụ.
3. Đối tượng nghiên cứu
Mạng truyền số liệu đang được sử dụng trong các cơ quan đảng, chính
phủ, quân đội và giải pháp bảo mật mạng. Tập trung vào nghiên cứu các kỹ
thuật mật mã hiện đại như mật mã khóa công khai trên đường cong elliptic,
các hệ mã khối khóa bí mật để mã hóa dữ liệu và khả năng thực hiện cứng
hóa các thuật toán mật mã trên phần cứng FPGA.
4. Phạm vi nghiên cứu
- Luận án tập trung nghiên cứu nâng cao hiệu quả thực hiện phép nhân
điểm trên đường cong lliptic phục vụ cho bài toán trao đổi khóa trong giao
thức trao đổi khóa IKE của giao thức bảo mật IP

c.

- Nghiên cứu, đề xuất giải pháp cải tiến nhằm nâng cao hiệu quả thực
hiện thuật toán mã hóa dữ liệu cho bài toán bảo mật.
- Nghiên cứu cứng hóa các thuật toán mật mã trên phần cứng FPGA.
5. Phương pháp nghiên cứu
- Trên cơ sở kiến trúc an ninh chung của mô hình O I, giao thức bảo mật
cho mạng truyền số liệu đa dịch vụ, thông qua khảo sát, phân tích, đánh giá
các kết quả đã nghiên cứu từ đó đề xuất các vấn đề nghiên cứu nâng cao hiệu
quả bảo mật mạng.
- Dựa trên phương pháp phân tích lý thuyết (sử dụng lý thuyết và kỹ
thuật mật mã hiện đại), tính toán giải tích, chứng minh bằng toán học và kiểm



5

chứng thông qua việc cứng hóa trên phần cứng FPGA thực hiện cài đặt, mô
phỏng để chứng minh tính đúng đắn của các kết quả nghiên cứu.
6. Nội dung nghiên cứu
- Nghiên cứu giao thức bảo mật đang được sử dụng cho mạng truyền số
liệu đa dịch vụ, đánh giá một số tồn tại trong giao thức trước yêu cầu ngày
càng cao về độ rộng băng thông, yêu cầu về tốc độ tính toán và tính thời gian
thực của các dịch vụ hoạt động trên mạng.
-

ng dụng mật mã đường cong lliptic cho bài toán trao đổi khóa trong

giao thức trong đó tập trung nghiên cứu nâng cao hiệu quả thực hiện phép
nhân điểm trong mật mã đường cong lliptic nhằm cải thiện về tốc độ tính
toán và hiệu quả sử dụng tài nguyên.
- Nghiên cứu, đề xuất cải tiến thuật toán mã hóa nhằm nâng cao hiệu quả
mã hóa dữ liệu về tốc độ, tài nguyên sử dụng.
- Khả năng cứng hóa các nguyên thủy mật mã và thực hiện cứng hóa giải
pháp mật mã đã đề xuất trên phần cứng.
7. Ý nghĩa khoa học và thực tiễn
- Ý nghĩa khoa học: Quá trình nghiên cứu luận án sẽ cho thấy rõ cơ sở
khoa học và kỹ thuật của việc nghiên cứu, đề xuất cải tiến thuật toán và ứng
dụng một số nguyên thủy mật mã vào bài toán bảo mật thông tin.
- Ý nghĩa thực tiễn: Cải tiến, nâng cao tốc độ tính toán, hiệu năng thực thi
các thuật toán mật mã trên phần cứng đảm bảo tính hiệu quả, giảm thời gian
tính toán và tài nguyên sử dụng của thiết bị mã hóa khi thiết bị này phải thực
hiện đồng thời nhiều kết nối bảo mật tại cùng một thời điểm nhằm nâng cao
năng lực, khả năng hoạt động của thiết bị mã hóa đáp ứng yêu cầu bảo mật

ngày càng cao cho mạng truyền số liệu đa dịch vụ hướng tới bảo mật cho
mạng truyền số liệu chuyên dùng.


6

8. Bố cục của luận án
Luận án gồm 0 chương, phần mở đầu, kết luận, danh mục các công
trình, bài báo khoa học đã được công bố của tác giả, tài liệu tham khảo và
phần phụ lục.
Chương 1 T ng quan v an toàn và bảo mật trong m ng truy n số liệu
đa dịch vụ.
Tổng quan về mạng truyền số liệu an ninh, an toàn trong mạng và các
yêu cầu đặt ra đối với bảo mật mạng th o các cơ chế an ninh được định ngh a
theo tiêu chuẩn I O 7 982, nghiên cứu về giao thức bảo mật IP ec và các
nội dung cần nghiên cứu đề xuất nhằm nâng cao hiệu quả bảo mật cho mạng
đa dịch vụ; đề xuất ứng dụng hệ mật đường cong lliptic cho giao thức trao
đổi khóa (Nội dung này được đăng trên bài báo số 1); trong đó nghiên cứu về
thuật toán nhân điểm của mật mã đường cong lliptic nhằm nâng cao hiệu quả
trao đổi khóa cho các ứng dụng đề xuất cải tiến thuật toán mã hóa để nâng
cao hiệu quả trong thực thi bài toán mật mã bảo đảm tốc độ mã hóa/giải mã.
Chương 2: Nâng cao hiệu quả thực hiện h

nhân đi m của

cho

giao thức trao đ i khóa.
Nghiên cứu một số thuật toán nhân điểm trong mật mã đường cong
elliptic, phân tích, so sánh đánh giá và chọn thuật toán nhân điểm th o triển

khai một số nguyên dương th o thuật toán NAF (Non Adjacent Form) tính
toán trực tiếp để thực hiện cài đặt trên phần cứng FPGA nhằm cải thiện tốc độ
tính toán và hiệu quả về tài nguyên sử dụng (Nội dung này được đăng trên bài
báo số 4).
Bằng phương pháp thống kê toán học và kỹ thuật điện tử, nghiên cứu
xây dựng công thức tính số xung nhịp trung bình cho phép cộng hai số
nguyên khi thực hiện trên phần cứng làm cơ sở cho việc đánh giá tính hiệu
quả của một số thuật toán nhân số lớn ứng dụng trong mật mã (Nội dung này


7

được đăng trên bài báo số 2).
Thực hiện cứng hóa thuật toán nhân điểm theo NAF tính toán trực tiếp
sử dụng công nghệ FPGA (Nội dung này được đăng trên bài báo số 3, số 4).
Chương 3: Nâng cao hiệu quả thực hiện thuật toán m hóa dữ liệu
trong bảo mật m ng truy n số liệu.
Nghiên cứu đề xuất ma trận MD mới có tính chất mật mã tốt và đạt
hiệu năng cao khi cài đặt trên phần cứng sử dụng cho tầng tuyến tính của các
mã pháp có cấu trúc PN nhằm đạt hiệu quả về tốc độ mã hóa và tài nguyên
sử dụng cho bảo mật mạng (Nội dung này được đăng trên bài báo số 5). Thực
hiện thiết kế, mô phỏng thuật toán AE chuẩn so với thuật toán AE với ma
trận MD mới do luận án đề xuất sử dụng công nghệ FPGA để so sánh, đánh
giá kết quả giữa lý thuyết và thực tế.


8

CHƯƠNG 1
T NG QUAN VỀ AN TOÀN VÀ BẢO MẬT

TRONG MẠNG TRUYỀN SỐ LIỆU ĐA DỊCH VỤ
1.1. Đ c i m mạng truyền số liệu a dịch vụ
Mạng truyền số liệu đa dịch vụ là mạng truyền dẫn tốc độ cao, công
nghệ hiện đại, sử dụng phương thức truyền chuyển mạch nhãn đa giao thức
(IP/MPL ). Kết nối mạng tại tất cả các đầu mối đều sử dụng cáp quang tốc độ
00/ 000Mbps, các kết nối đều đảm bảo tính dùng riêng, an ninh, an toàn và
tính dự phòng cao, cho phép hoạt động thông suốt 2 /7 [1], [2].
Trên cơ sở hạ tầng tiên tiến và đồng bộ, mạng truyền số liệu đa dịch vụ
đáp ứng cho rất nhiều dịch vụ như: Truyền hình hội nghị kết nối mạng riêng
ảo truy nhập từ xa (Remote Access IP VPN) trao đổi dữ liệu và các dịch vụ
dữ liệu, thoại IP.
Mạng truyền số liệu đa dịch vụ sử dụng giao thức TCP/IP th o mô hình
OSI, tùy th o tính chất, nhiệm vụ của từng ngành mà mạng có thể được xây
dựng riêng mang tính tương đối độc lập cho một tổ chức hoặc cơ quan. Trong
đó, các tài nguyên mạng như thiết bị mạng, dịch vụ mạng và người dùng nằm
phân tán trên một phạm vi địa lý xác định và phục vụ cho một nhu cầu xác
định. Th o [1], [2], [4] mạng đa dịch vụ gồm có

lớp chính:

- Lớp lõi: Các thiết bị truyền dẫn đảm bảo hoạt động cho toàn mạng.
- Lớp biên: Gồm các thiết bị truyền dẫn đảm bảo việc cung cấp hạ tầng
mạng cho các dịch vụ.
- Lớp truy nhập: Gồm các thiết bị truyền dẫn đảm bảo việc truy nhập
cho người dùng trên toàn mạng.
Mạng trục là xương sống của toàn bộ mạng truyền số liệu, mạng tiềm
ẩn nhiều nguy cơ về an ninh, an toàn như các truy cập trái phép hay tấn công


9


từ các mạng lớp biên, lớp truy nhập, mạng ATM hiện tại hay từ các vùng
mạng liên thông khác. Việc bảo đảm an toàn, an ninh mạng là hết sức quan
trọng [1], [2], [18], [45]

HÀ NỘI

p

ng

TP HCM

c

Mạng lõi IP/MPLS
FriewallCore

FriewallCore

ĐÀ NẴNG

GE

i

PBX

Router
Access

Switch

Ethernet

FE

Ethernet
LAN

PBX

FE

Switch

FE

u

E1

p

FE

EF

E1

E1


p biên

E1

E1

GE

FE

Router
Access

G
E

LAN

Thoại IP

Thoại IP

Hình 1.1.

ấu trúc m ng truy n số liệu đa dịch vụ

1.2. An toàn và bảo mật trong mạng truyền số liệu a dịch vụ
1.2.1. Một số khái niệm chung
1.2.1.1. An ninh mạng

Mô hình O I (Op n yst ms Int rconn ction) là mô hình tương tác
giữa các hệ thống mở được tổ chức Tiêu chuẩn quốc tế  ISO (the
International Organization for tandardization) đề xuất qua tiêu chuẩn I O
7498 [29]. An ninh mạng là một trong những vấn đề cơ bản của mạng, vì thế
sau khi đưa ra mô hình O I, I O đã đề xuất kiến trúc an ninh (s curity
archit ctur ) qua tiêu chuẩn I O 7 982 [30], trong đó định ngh a các thuật


10

ngữ, khái niệm cơ bản trong an ninh mạng và kiến trúc an ninh cho O I. An
ninh trong môi trường O I là tổng hợp những biện pháp bảo toàn tài nguyên
và tài sản của hệ thống mạng trong quá trình tương tác giữa các hệ thống mở.
Th o đó đối tượng bảo vệ của hệ thống an ninh mạng gồm:
- Thông tin và dữ liệu (bao gồm cả phần mềm và dữ liệu thụ động liên
quan đến biện pháp an ninh)
- Các dịch vụ truyền thông và dịch vụ xử lý dữ liệu
- Các thiết bị và phương tiện mạng
Nguy cơ là những sự cố tiềm tàng, có thể gây ra những tác động không
mong muốn đến hệ thống mạng truyền số liệu; Khả năng bị tấn công là bất kỳ
điểm yếu nào trên hệ thống có thể bị lợi dụng để tạo ra sự cố cho hệ thống
mạng; Tấn công là hành động cố ý tác động lên một hoặc nhiều thành phần
của hệ thống nhằm buộc một nguy cơ nào đó xảy ra.
1.2.1.2. Các dịch vụ an ninh
Các dịch vụ an ninh là các dịch vụ bổ sung tính năng an toàn an ninh
cho hệ thống và được thiết kế để chống lại một số dạng tấn công xác định.
Các dịch vụ này thường được phân loại như sau [62]:
Xác thực: Đảm bảo một người dùng khi tham gia vào hệ thống phải là
chính họ, từ lúc khởi tạo cho đến khi kết thúc một phiên giao dịch.
Kiểm soát truy nhập: Bên cạnh dịch vụ xác thực, kiểm soát truy nhập

là dịch vụ kiểm soát/giới hạn các truy nhập vào một hệ thống hoặc một ứng
dụng trên mạng.
An toàn dữ liệu: Dịch vụ này nhằm bảo vệ dữ liệu trước các tấn công
thụ động. Điều này không những chỉ đối với nội dung các gói tin mà còn bao
gồm cả việc giữ bí mật điểm đầu và điểm cuối của gói tin.
Toàn vẹn dữ liệu: Mục đích của dịch vụ này là để phát hiện các thay
đổi dữ liệu trong quá trình truyền thông.


11

Chống chối bỏ: Tính chất này nhằm giải quyết vấn đề một thực thể
tham gia truyền thông chối bỏ hành động gửi/nhận dữ liệu của mình, cả hai
phía của một giao dịch đều có thể chứng minh việc phía bên kia đã gửi/nhận
dữ liệu.
Tính sẵn sàng: Các tài nguyên trên mạng cần phải luôn sẵn sàng với
các truy nhập hợp lệ. Kẻ tấn công sẽ không thể ngăn chặn hoặc làm gián đoạn
truy nhập tới các tài nguyên này.
1.2.2. Các cơ chế an ninh dựa trên mật mã
Cơ chế an ninh là tổ hợp những thao tác kỹ thuật cụ thể, được sử dụng
để tạo ra dịch vụ an ninh [55]. Những cơ chế an ninh này được trình bày chi
tiết ở nhiều tài liệu, th o I O 7 98–2 chúng được mô tả sơ lược như sau:
1.2.2.1. Cơ ch m h a (encryption mechanism)
Cơ chế mã hóa được sử dụng để bảo mật cho dữ liệu được truyền thông
trên kênh. Hai loại chính là mật mã đối xứng và không đối xứng.
- Mật mã đối xứng, còn gọi là hệ mật khoá bí mật, là hệ mật mà trong
đó có thể tìm ra khoá được sử dụng để giải mã (khoá giải mã) từ khoá được sử
dụng để mã hoá (khoá mã) và ngược lại.
- Mật mã không đối xứng, còn gọi là hệ mật khoá công khai, là hệ mật
mà trong đó không thể tìm ra khoá giải mã từ khoá mã và ngược lại. Khoá mã

còn được gọi là khoá công khai, khoá giải mã còn được gọi là khoá riêng.
1.2.2.2. Cơ ch chữ ký điện tử (digital signature mechanism)
Bản chất của cơ chế chữ ký điện tử là chữ ký chỉ có thể được tạo ra từ
những thông tin riêng, đặc trưng của người ký. Khi kiểm tra chữ ký, có thể
xác minh rằng chỉ có người có thông tin riêng đó mới tạo ra được chữ ký, nói
cách khác chữ ký điện tử được sử dụng để khẳng định tính pháp lý của thông
tin được gửi đi trên mạng.
Cơ chế chữ ký điện tử gồm có hai thuật toán là tạo chữ ký (là bí mật và


12

duy nhất chỉ có người ký mới có) và kiểm tra chữ ký (được phổ biến công
khai). Trong thủ tục ký vào thông điệp, người gửi thông điệp (đồng thời là
người ký) sử dụng thuật toán tạo chữ ký để tính toán ra chữ ký (thường là một
chuỗi nhị phân có độ dài cố định) từ thông điệp cần ký. Trong thủ tục kiểm tra
chữ ký, người kiểm tra chữ ký (thường đồng thời là người nhận thông điệp)
sử dụng thuật toán kiểm tra chữ ký công khai của người gửi để xác minh chữ
ký gửi k m thông điệp có đúng là đã được tạo ra từ người gửi hay không.
1.2.2.3. Cơ ch kiểm soát truy nhập (access control mechanism)
Loại cơ chế này sử dụng danh tính xác thực của một thực thể để xác
định và áp đặt các quyền truy nhập phù hợp cho thực thể đó. Nếu một thực thể
tìm cách sử dụng tài nguyên mà nó không có quyền truy nhập hoặc cách thức
truy nhập của nó không thích hợp thì chức năng kiểm soát truy nhập sẽ ngăn
chặn truy nhập đó và có thể ghi lại sự việc đã xảy ra như là một phần của bản
ghi vết kiểm toán phục vụ cho hoạt động kiểm tra sau này.
1.2.2.4. Cơ ch toàn vẹn dữ liệu (data integrity mechanism)
Toàn vẹn dữ liệu có thể là sự toàn vẹn của một gói dữ liệu hoặc sự toàn
vẹn của một luồng dữ liệu. Việc xác định tính toàn vẹn của một gói dữ liệu
được thực hiện thông qua hai tiến trình, tại thực thể gửi và tại thực thể nhận.

Thực thể gửi chắp vào sau gói dữ liệu một giá trị được tính toán từ bản thân
gói dữ liệu đó thông qua hàm một chiều, giá trị này được gọi là giá trị tóm
lược thông điệp – message digest. Thực thể nhận, sau khi nhận được gói dữ
liệu sẽ tách phần dữ liệu và giá trị tóm lược, thực hiện tính toán giá trị tóm
lược từ phần dữ liệu và so sánh nó với phần nhận được, tức là giá trị tóm lược
đã được thực thể gửi gắn vào gói dữ liệu, từ đó sẽ xác định được dữ liệu có bị
sửa trong quá trình truyền hay không.
Đối với toàn vẹn luồng dữ liệu, ngoài việc thực hiện bảo đảm tính toàn
vẹn của từng gói dữ liệu, người ta còn chắp thêm một số thông tin phụ trợ như