An Approach to High-speed Security Middleboxes based on Programmable Data Planes

2022 Fiscal Year Research-status Report

• Project/Area Number: 21K19771
• Research Institution: Osaka University
• Principal Investigator: 小泉 佑揮 大阪大学, 大学院情報科学研究科, 准教授 (50552072)
• Project Period (FY): 2021-07-09 – 2024-03-31
• Keywords: プログラマブルデータプレーン / セキュリティ / 暗号 / P4 / ChaCha / ミドルボックス / Tofino

Outline of Annual Research Achievements

本年度は、大きく次の3つの研究成果を挙げた。第一に、前年度に設計した軽量な匿名通信プロトコルに対して、パケット転送情報の改竄の防止技術を組み込んだ。メッセージ認証コードの付与と検証プログラムをプログラマブルスイッチ上に実装した。計算に要するプログラマブルスイッチ上のパケット周回数を増やすことなく、プログラムのレイアウトをすることで、匿名通信プロトコルの通信速度を悪化させることなく安全性を向上した。
第二に、より高度なセキュリティプロトコルのプログラマブルデータプレーン上での実装を目指した暗号化手法をプログラマブルスイッチ上に実装した。具体的には、TLS 1.3などにも採用されており、AESと比較してもスイッチ上への実装に適しているストリーム暗号であるChaChaをプログラマブルスイッチ上に実装した。プログラマブルスイッチへの暗号・復号のプログラムを効果的に配置することで、処理に要するデータのプログラマブルスイッチ上の周回数を最小化し、同スイッチ上のAES実装よりも高速な 200 Gbps以上の速度で暗号化・復号を達成した。
第三に、学習型インデックスに基づくデータベース上に、IPv6プレフィクスなど大きな整数（64ビット以上）をキーとするエントリーを収容する際に、回帰誤差が設計値よりも大きくなる課題に対して、キーの空間の分割する方法を設計した。さらに、テーブルと木構造を併用することで、広大なキーをコンパクトに収容する方法を設計した。

Current Status of Research Progress

1: Research has progressed more than it was originally planned.

Reason

研究提案時よりも、プログラマブルデータプレーン上へのプロトコル処理の配置に関する研究が進展し、多くの技術をプログラマブルデータプレーン上で完結できるようになった。これにより、目標としていた100 Gbpsを超える速度でセキュリティプロトコルの通信が実現しつつある。
さらに、本研究は、提案時には想定していなかった、セキュリティプロトコルの基盤技術となる汎用的な暗号技術の実装などへも発展している。以上より、予定以上の成果があったと言える。

Strategy for Future Research Activity

今後は、今年度実装した暗号化技術の高度化と他のプロトコルへの応用、さらに、学習型インデックスに基づくテーブルデータ構造の汎用化を目指す。
暗号化技術は、セキュリティプロトコルの基盤技術であり、今年度までにプログラマブルデータプレーン上に実装した暗号法を応用することで、様々なプロトコルをプログラマブルデータプレーン上に実装できる可能性がある。これをふまえ、次年度は、この暗号技術の他のセキュリティプロトコルへの応用を検討する。
さらに、これまでに暗号化のさらなる高速化の鍵となる箇所、つまり現在の処理のボトルネックが判明している。次年度は、計算法の改善によりこのボトルネックの解消とさらなる高速な暗号計算の実現を目指す。
最後に、学習型インデックスについては、IPv6への対応法に基づいて、ICN (Information-centric networking) ルータや、5Gコアネットワーク上のUPF (User Plane Function) など、テーブル検索が必要なミドルボックスへの応用を検討する。

Causes of Carryover

プログラマブルスイッチを一部他の研究経費と供用することができたため、次年度使用額が生じている。今年度までに研究の高度化の目処がたったため、そのための追加のスイッチの購入および、最終年度の成果発表として多くの学会発表の旅費として用いることを検討している。

Research Products

• [Presentation] プログラマブルスイッチ上の転送情報の暗号化と認証法の設計 (2023)
  • Author(s): 吉仲 佑太郎, 河内山 深央, 武政 淳二, 小泉 佑揮, 長谷川 亨
  • Organizer: 電子情報通信学会研究総合大会
• [Presentation] コンプロマイズされたミドルボックスに耐性を持つセキュア通信プロトコルに関する一考察 (2022)
  • Author(s): 北 健太朗, 武政 淳二, 小泉 佑揮, 長谷川 亨
  • Organizer: コンピュータセキュリティシンポジウム2022
• [Presentation] On implementing ChaCha on a programmable switch (2022)
  • Author(s): Yutaro Yoshinaka, Junji Takemasa, Yuki Koizumi, Toru Hasegawa
  • Organizer: International Workshop on P4 in Europe
  • Int'l Joint Research
• [Remarks] ChaCha implementation on Tofino switches
  • URL: https://github.com/Hasegawa-Laboratory/ChaCha-Tofino