Upload
trinhduong
View
222
Download
0
Embed Size (px)
Citation preview
Provedor deServiço 1
(SP1)
Provedor deServiço 2
(SP2)
Provedor deInfraestrutura 1
(InP1)
Provedor deInfraestrutura 2
(InP2)U1 U2 U3
Rede Virtual 1
Rede Virtual 2
Nó virtualNó físicoEstação finalEnlace virtualEnlace físico
Carga útil protegida
Cabeçalho IPsec
Cabeçalho IP Carga útilCabeçalho
IP
Carga útil protegida
Cabeçalho IPsec
Cabeçalho IP Carga útilCabeçalho
IP
Sede
Filial
Carga útil protegida
Cabeçalho IPsec
Cabeçalho IP Acesso
remoto
Gateway com IPsec
Gateway com IPsec
Notebook com IPsec
Internetpública
Próximo Cabeçalho
Tamanho Cab. AH Reservado
SPI (Security Parameter Index)
Número de Sequência
ICV (Integrity Check Value)(variável)
32 bits
Enchimento (0-255 bytes) Tamanho
Enchim.Próximo
Cabeçalho
SPI (Security Parameter Index)
Número de Sequência
Carga útil Protegida(variável)
Cabeçalho
Trailer
32 bits
Enchimento (0-255 bytes) Tamanho
Enchim.Próximo
Cabeçalho
32 bits
ICV (Integrity Check Value)(variável)
SPI (Security Parameter Index)
Número de Sequência
Carga útil Protegida(variável)
! !
! !
! !
! ! !
Internet
SA
172.16.1.0/24 172.16.2.0/24200.168.1.100 193.68.2.23
R1 R2
Carga útil CabeçalhoTCP
CabeçalhoIP Original
Carga útil CabeçalhoTCP
CabeçalhoAH
CabeçalhoIP Original
ESPtrl Carga útil Cabeçalho
TCPCab.ESP
CabeçalhoIP Original
ESPtrl Carga útil Cabeçalho
TCPCab.ESP
CabeçalhoIP Original
ESPICV
Protocolo AH
Protocolo ESP
Datagrama IP original
Autenticado (exceto os campos mutáveis do cabeçalho IP original)
Criptografado
Criptografado
Autenticado
Carga útil CabeçalhoIP Original
CabeçalhoAH
CabeçalhoIP Novo
ESPtrl Carga útil Cabeçalho
IP OriginalCab.ESP
CabeçalhoIP Novo
ESPtrl Carga útil Cabeçalho
IP OriginalCab.ESP
CabeçalhoIP Novo
ESPICV
CabeçalhoTCP
CabeçalhoTCP
CabeçalhoTCP
Autenticado (exceto os campos mutáveis do cabeçalho IP novo)
Criptografado
Autenticado
Criptografado
A D
F
E
B C
a
b
c
d e
f
g h
Requisição 1 Requisição 2 Requisição 3
d
e f
20
20
15
15 30
3
3
3 4
44
5 5
9 9
9b
c
40
15
15
15
a
10
40
9 9
9
2020
20
15
15
n
n Capacidade dos Nós
Capacidade dos Enlaces
3
3
3
4
4 4
g5
A D
F
E
B C
d
e f
9 9
9b
c
40
15
15
15
a
10
40
9 9
9
2020
20
15
15
n
n Capacidade dos Nós
Capacidade dos Enlaces
3
3
3
4
4 4
h510
20 20
Gateway Moon:Interface 0: 10.1.0.1 Interface 1: 192.168.0.1
Rede 1 Rede 2
10.1.0.0/16 10.2.0.0/16192.168.0.0/24
(ET) (ET)
Gateway Sun:Interface 0: 10.2.0.1 Interface 1: 192.168.0.2
(GT) (RT)
Alice:Interface 0: 10.1.0.10
Bob:Interface 0: 10.2.0.10
eth0 eth0 eth1 eth1 eth0 eth0
Sun(descripto)
Moon(cripto)
BobRT
Experimento 1
AliceGT
Monitorada
Moon(descripto)
Sun(cripto)
BobRT
Experimento 2
AliceGT
Monitorada
Geradora deTráfego
Execução Iperf
Execução perf
20 seg 10 seg 30 seg
60 seg
Aguarda 1 minuto e repete
(x30)
Aguarda 1 minuto e repete
(x30)
Encaminhadora deTráfego
0
200
400
600
800
1000
1200
1400
0 300 600 900 1200 1500
Vaz
ão (M
bps)
MSS (bytes)
Com IPsecSem IPsec
0
2000
4000
6000
8000
10000
0 300 600 900 1200 1500
Inst
ruçõ
es (M
IPS)
MSS (bytes)
Com IPsecSem IPsec
0
200
400
600
800
1000
0 300 600 900 1200 1500
IPB
T (in
stru
ções
/byt
e)
MSS (bytes)
Com IPsecSem IPsec
IPsec teórico
0 50
100 150 200 250 300 350 400
0 300 600 900 1200 1500
Milh
ares
de
paco
tes
por s
egun
do
MSS (bytes)
0
200
400
600
800
1000
1200
1400
0 300 600 900 1200 1500
Vaz
ão (M
bps)
MSS (bytes)
Com IPsecSem IPsec
0
2000
4000
6000
8000
10000
0 300 600 900 1200 1500
Inst
ruçõ
es (M
IPS)
MSS (bytes)
Com IPsecSem IPsec
0 200 400 600 800
1000 1200 1400 1600
0 300 600 900 1200 1500
IPB
T (in
stru
ções
/byt
e)
MSS (bytes)
Com IPsecSem IPsec
IPsec teórico
0
50
100
150
200
250
300
0 300 600 900 1200 1500
IPB
T (in
stru
ções
/byt
e)
Carga útil (bytes)
Com IPsecSem IPsec
0
50
100
150
200
250
300
0 300 600 900 1200 1500
IPB
T (in
stru
ções
/byt
e)
Carga útil (bytes)
Com IPsecSem IPsec
SunMoon BobAlice100 B 100 B
180 B
(ET) (ET)(GT) (RT)
Cab.ESPútil Vetor de
Inicialização
Enchimento
Próximo Cabeçalho
Tamanho Enchim.
CabeçalhoIP
Cab.UDPCargaEnchim. …ICV
8B20B8B16B100B16B12B
!Pl +HUDP +HIP + TrESP
Bl
"× Bl − (Pl +HUDP +HIP + TrESP ).
!Pl +HTCP +HIP + TrESP
Bl
"×Bl+HESP +HIP + ICVHMAC−SHA−1+ IV.
0
20
40
60
80
100
0 300 600 900 1200 1500
Sobr
ecar
ga (b
ytes
)
MSS (bytes)
0
20
40
60
80
100
0 300 600 900 1200 1500
Sobr
ecar
ga (%
)
MSS (bytes)
20 Gbps10 Gbps3 Gbps1 Gbps220 Mbps100 Mbps40 Mbps
α
β γ
δ
grau#
k=1
Ck × Ipbt,
α
10!i=0
IpbtSSi
10
β IpbtSS0
γ IpbtSS10
δIpbtSS
0 ×4+9!
i=1IpbtSS
i × 49+IpbtSS
10 ×2
10
αProc βProc γProc δProc αBand βBand γBand
δBand
ααProc =
10!i=0
IpbtCSi
10!i=0
IpbtSSi
αBand =
10!i=0
TCSi
10!i=0
TSSi
ββProc =
IpbtCS0
IpbtSS0
βBand =TCS0
TSS0
γγProc =
IpbtCS10
IpbtSS10
γBand =TCS10
TSS10
δδProc =
IpbtCS0 ×4+
9!i=1
IpbtCSi × 4
9+IpbtCS10 ×2
IpbtSS0 ×4+
9!i=1
IpbtSSi × 4
9+IpbtSS10 ×2
δBand =TCS0 ×4+
9!i=1
TCSi × 4
9+T10CS×2
T0SS×4+9!
i=1TSSi × 4
9+TSS10 ×2
Geração das Topologias
Ambiente Base α (distribuição uniforme)
Ambiente Base β(apenas pacotes
pequenos)
Ambiente Base γ(apenas pacotes
grandes)
Ambiente Base δ(distribuição bimodal)
Substrato Físico+
XML XML XML XML
Ambiente Seguro α(distribuição uniforme)
Ambiente Seguro β(apenas pacotes
pequenos)
Ambiente Seguro γ(apenas pacotes
grandes)
Ambiente Seguro δ(distribuição bimodal)
XML XML XML XML
Penalização(αproc αband)
Penalização(βproc βband)
Penalização(γproc γband)
Penalização(δproc δband)
α β γ δ
β
γ
0
20
40
60
80
100
α β γ δ
Taxa
de
Ace
itaçã
o (%
)
BaseSeguro
0
20
40
60
80
100
CPU Banda
Taxa
de
Util
izaç
ão (%
)
BaseSeguro
0
20
40
60
80
100
CPU Banda
Taxa
de
Util
izaç
ão (%
)
BaseSeguro
0
20
40
60
80
100
CPU Banda
Taxa
de
Util
izaç
ão (%
)
BaseSeguro
0
20
40
60
80
100
CPU Banda
Taxa
de
Util
izaç
ão (%
)
BaseSeguro
0
0.5
1
1.5
2
2.5
3
3.5
4
CPU Banda
Taxa
de
Util
izaç
ão p
or
Req
uisi
ção
Ace
ita (%
)
BaseSeguro
0
0.5
1
1.5
2
2.5
3
3.5
4
CPU Banda
Taxa
de
Util
izaç
ão p
or
Req
uisi
ção
Ace
ita (%
)
BaseSeguro
0
0.5
1
1.5
2
2.5
3
3.5
4
CPU Banda
Taxa
de
Util
izaç
ão p
or
Req
uisi
ção
Ace
ita (%
)
BaseSeguro
0
0.5
1
1.5
2
2.5
3
3.5
4
CPU Banda
Taxa
de
Util
izaç
ão p
or
Req
uisi
ção
Ace
ita (%
)
BaseSeguro
0
10
20
30
40
50
60
0 50 100 150 200 250 300
Taxa
de
Ace
itaçã
o (%
)
Capacidade da CPU dos nós (103 MIPS)
α baseα seguroβ base
β seguroγ base
γ seguroδ base
δ seguro
UAES−ENC(Sd) =
!8× Sd
128
"× TAES−ENC ,
UAES−DEC(Sd) =
!8× Sd
128
"× TAES−DEC .
UHMAC−SHA−1(Sd) = 3362 + 1110×$!
(8× Sd) + 64
512
"%.
SLESP−CNF−ATH(Sd) =
!Sd +HTCP +HIP + TrESP
Bl
"×Bl+HESP+HIP+AuTESP .