基于神经网络算法密码芯片的以太网卡加密的研究

基于神经网络算法密码芯片的以太网卡加密的研究 基于神经网络算法密码芯片的以太网卡加 密的研究 观察与交流 基于神经网络算法密码芯片的以太网卡加密的研究 马宏斌,王英丽,丁群 (黑龙江大学电子工程学院哈尔滨150080) 1引言 目前,网络安全技术主要包括数据加密,防火墙,防病毒技 术等.数据加密技术是为提高信息系统的数据安全性,保密性和 防止秘密数据被破解所采用的主要手段之一目前大多数网络 设备在数据链路层都是明文传输,特别是IP地址,端口,应用协 议等信息暴露在外.给攻击者和入侵者带来了可乘之机很多安 全如IPSec等都是针对IP层和传输层的解决方案.对网络 层并没有提供保护因此需要采用数据链路层上的通信安全解 决方案.对一个局域网内的所有链路层数据提供加密和认证服 务.保护IP地址等信息的安全.加密网卡对上层各种应用来说 是透明的,在一个局域网内部.使用加密网卡对用户数据进行加 密是实现局域网安全的有效方案 2以太网MAC帧格式的特征 局域网常用的MAC帧格式有以太网DIX和IEEE802_3+ .以太网IP数据报的封装是在RFC894中定义的, 802.2两种 IEEE802网络的IP数据报封装是在RFC1042中定义的.局域 网中默认条件下是RFC894分组.两种帧格式都采用相同的 6byte的目的地址和源地址字段.但接下来的2byte字段各不 黑龙江省高校重点实验室(黑龙江大学)基金资助项目 (N0.2oo3AFXXJ022) 相同.在802标准定义的帧格式中.这2bvte是长度字段.是指 后续数据的字节长度.但不包括CRC检验码以太网帧中的这 2byte是类型字段.定义了后续数据的类型.在802标准定义的 帧格式中,类型字段则由后续的SNAP(子网络访问协议)的 首部给出,共有3种类型:0800表示数据段是IP数据报.0806 表示数据段是ARP请求,应答.8035表示数据段是RARP请 求,应答.由于802定义的有效长度值与以太网的有效类型值 不同,从而可以对两种帧格式进行区分.网卡的数据加密也可 以利用这两个字节进行加密设置IEEE802.3ac标准就是通 过在以太网帧的源地址和长度/类型之间捕入4byte值设置为 0X8100(大于长度值0X0600)的字段以支持VLAN的.称为 802.1Q标记类型 在嵌入式系统中也有试验采用SCRATCHP议.它通过在 每个帧的类型字段中加一个协议类型标记来实现.同时为了不 与以太网标准发生冲突.在数据段共加载了】2byte的自定义格 式.MAC帧中类型字段的多种控制方式为以太网卡的加密提供 了数据链路层的协议支持.所以可以在此字段加入特征值加密 网卡甚至在应用层通过控制此字段来进行加密 网卡要实现数据的串/并转换,CRC校验,数据的发送与接 收,冲突检测,数据帧的封装与解封等任务.各部件都要在网络 控制器和微处理器的统一协调下工作.当发送数据时.主机将已 封装成帧的IP数据包通过主机接口送入网卡上的数据缓冲区 发送队列从发送缓冲区取出数据.将数据按一定的格式装配成 j一墨一,. 观察与流 帧.即配以前导码,帧定界符,目的地址,源地址以及填充段等, 然后再把并行数据转换成串行数据,并在数据的末尾附加该帧 的CRC校验码当电缆收发控制逻辑检测到介质空闲时,将数 据帧转换成曼彻斯特码,然后发送.接收数据时,在数据转换为 NRZ码(单极性不归零码)之后,首先鉴别目的地址,如与本机 地址不符.则将此信息丢弃,否则进行串/并转换,再将信息帧解 封.把有效数据送往缓冲存储器.接收完一个信息帧后,如校验 正确.则向发送站送出一个ACK应答帧,如有错误,则发出 NAK否定应答帧 加密网卡除了要具备普通以太网卡的功能外.还需要专用 的芯片实现数据的加解密.不能因为加密而影响到以太网MAC 帧格式的有效长度(64l518byte).序列密码是密码学中最重 要的加密方式之一.基于神经网络算法的序列密码加密芯片设 计采用FPGA技术进行序列密码芯片电路的.在保留原序 列良好统计特性基础上.使输出序列的周期性和线性复杂性均 有增加 3密码芯片算法 本文密码芯片采用流密码进行加密流密码是一种针对比 特的重要加密方法.使用非常简单的规则.每次只对二进制串的 一 个比特进行编码.相对于分组密码来说.流密码更快速,更容 易实现.在硬件中尤其如此.流密码的主要优点是加密和解密的 速度极快.可以构造特殊的硬件来产生密钥流和执行加密与解 密操作 由于以太网帧格式非常简单,严谨.各字段标志明显,而且 有7byte的起始帧.很容易被嗅探器等黑客软件截获.如果非法 用户无法截获到起始帧(或者说无法分析出起始帧).发送的以 太网帧就能相对安全 流密码最简单的类型也是最安全的类型是一次一密.有时 也被称为Vemam密码,即给定明文(具有n比特的串).选择的 密钥流是只使用一次的n比特随机串即使明文(例如起始字 段)不是随机的,生成的密文仍然也是随机比特串.这样密文就 不会具有密码破译者能够利用的规律性或模式.以太网帧格式 也就不会被分析出来 尽管能够提供绝对的安全性.一次一密通常仍是不切实际 的.流密码实际上使用的密钥流是伪随机比特串.本算法采用线 性反馈移位寄存器(1inearfeedbackshiftregister.LFSR)产生伪 随机比特 本项目采用8个LFSR序列作为驱动源的组合序列密码 电路.将神经网络模块等视为序列发生器部分.这样根据多个 LFSR序列作为驱动源的特性得知.当这多个LFSR序列的级 数两两互素(增加破译难度)且满足一定条件时,该组合序列 与单个LFSR输出序列相比.输出序列周期,密钥选择空间均 大幅度增加 LFSR模块中8个移位寄存器的输出作为神经网络模块 运算的初始数据,在时序控制电路(状态机)的控制下变换数 据形成序列输出采用离散Hopfield神经网络构成迭代系统, 对来自组合LFSR序列的并行输入信号进行迭代.从而产生加 密输出 4加密网卡的实现 加密网卡系统用于为局域网中设备间的通信提供加解密和完 整性保护服务.适用于各种主流操作系统.并且对上层应用是透明 的.另外经软件设置后也可以屏蔽加密功能.作为普通网卡使用 由于涉及了网卡的MAC帧格式类型字段.网卡驱动程序 需要改动为此采用嵌入式ARM系统作为硬件平台.实现密码 芯片和板卡上相关硬件模块的控制以及数据的接收,加解密和 发送软件平台采用嵌入式实时操作系统p~CLinux.它提供了一 个轻量级的TCP/IP协议栈的改造——znet协议znet协议实现 框架中设计了两个任务和一个中断响应函数.此外znet协议栈 还有一个接口良好的API层.以方便用户编写自己的网络应用 程序.znet协议栈最底层是基于中断的以太网驱动程序,它以中 断的方式把数据发送给协议栈主任务.中间经过了协议处理数 据的缓冲区.用户程序通过API层接收和发送数据.定时协议 任务专门处理TCP相关的数据.非TCP的数据则直接交给以太 网络驱动程序发送整个协议栈的数据传输都通过全局缓冲区 管理模块来管理 5加密网卡对网络嗅探器的防范 .既可以被网络管理员 网络嗅探器作为一种网络监测T具 用来进行网络安全维护.也可能成为网络黑客窃取信息的有效 手段.嗅探器可通过使用BSD系统的包过滤器(BPF)提供的编 程接口.在数据链路层截获数据包为此Linux系统为用户提供 了基于网卡驱动程序的SOCKPACKET套接字.网卡把网络上 的电平信号转化成数据包.再把截取到的数据传给系统自带协 议栈,交由系统处理捕获帧后系统要使用SOCKPACKET套 接字,需要超级用户权限和指明所用的协议类型.该协议类型与 以太网帧的类型相对应,定义如下: #defineETHPALL0x0003//数据帧 #defineETHPIP0x0800//IP协议帧 #defineETHPARP0x0806//ARP协议帧 #defineETHPRARP0x8035//RARP协议帧 之后创建一个套接字SOckfd来处理所有协议类型的帧: sockfd=socket(AFJNET),SOCKPACKET,htons(ETH—P—ALL) 观察与交流 IPTV,FTTH与EPON/GPON:市场决定命运 孙曙和 (北京格林威尔科技发展有限公司北京100085) FrrH,EPON/GPON持续成为近几年光纤通信中的热点话 题,但实际的应用推广依然还很初级.主要的原因是什么?未来 两三年的发展会怎样?本文从如下几个方面谈谈自己的看法.与 业界分享和交流. 1IPTV与Triple—Play的发展现状 作为FrrH的业务引擎.IP,rV的发展对于FrrH来讲至 关重要.表面上看IP,rv是要促进网络融合.在电视终端上做 业务的融合.实际上面临的更加深刻的问题是业务模式,广 电-q电信体制的冲突和融合.再加上涉及内容/媒体管制.这 些都远比电信运营商自身的固定-q移动的网络融合(FMC), 3G运营许可的问题更复杂,将挑战主管政府的政策制定能力 和运营商的智慧 除此之外,电信运营商一直是电信产业链上强势的链主.而 IP,rV业务的生态环境还会有视频广播等强势媒体的利益集团 参与,运营商不会满足成为内容提供商单纯的"业务渠道"和营 收系统,如何建立与其他利益方的合作共赢模式还有待探索和 成熟.其次,有线电视长期以来接近于公益性的收费水平.也考 验着IP,rV的商业模式和赢利能力最后.从技术和标准上讲 (IPTV的标准要有6070项,现在完成数量不超过l0项)IP,rV 还不具备完成大规模商用的条件 在F不H解决方案的实施中,语音虽然不是卖点.但一定 当数据链路层捕获到网络上的数据帧并将其剥离出以太帧 结构后,按帧结构中的协议类型交由不同的模块进行处理 而基于神经网络算法的序列密码加密芯片的加密网卡需要 在网卡驱动程序中设置: }}defineETH— P— INTOXFEECh//加密帧 在事件的例外处理中.它通过执行中断程序访问数据缓存 区,加密芯片实现数据信息的安全控制 因此从软件检测方面为网络嗅探器解密数据包设置了障 碍,而且由于加密由电路实现.与以软件实现为主的网络嗅探器 的解密时间不是一个数量级,从而提高了解密难度.为加密网卡 提供了底层的安全. 6结语 对于以太网卡加密来说,需要注意不要使帧的格式受到加 密的影响.另外可以利用帧格式的特殊字段.辅助加密电路实现 链路层加密,方便应用层对加密过程的控制.其中密码芯片的选 取是加密的关键,既要有较强的安全性,又要考虑网卡的性能. (收稿日期:2006,)7—08)