[论文解读] DTLS Performance - How Expensive is Security?
本文提出了一种适用于DTLS启用应用的性能模型,通过基于DPDK和OpenSSL构建的高速、开源VPN网关(MoonSec)测量并量化了安全参数和网络特性的影响。主要发现是:每连接的设置开销是每数据包开销的368倍,基于椭圆曲线的DHE密码套件和ChaCha20加密显著降低了开销。
Secure communication is an integral feature of many Internet services. The widely deployed TLS protects reliable transport protocols. DTLS extends TLS security services to protocols relying on plain UDP packet transport, such as VoIP or IoT applications. In this paper, we construct a model to determine the performance of generic DTLS-enabled applications. Our model considers basic network characteristics, e.g., number of connections, and the chosen security parameters, e.g., the encryption algorithm in use. Measurements are presented demonstrating the applicability of our model. These experiments are performed using a high-performance DTLS-enabled VPN gateway built on top of the well-established libraries DPDK and OpenSSL. This VPN solution represents the most essential parts of DTLS, creating a DTLS performance baseline. Using this baseline the model can be extended to predict even more complex DTLS protocols besides the measured VPN. Code and measured data used in this paper are publicly available at https://git.io/MoonSec and https://git.io/Sdata.
研究动机与目标
- 开发一种通用的DTLS启用应用性能模型,以考虑网络特性和安全参数。
- 在真实世界、高性能环境中测量并量化DTLS引入的性能开销。
- 识别DTLS处理中的主要成本因素,并评估不同加密算法的影响。
- 通过模块化、开源的DTLS VPN网关(MoonSec)提供可复现的基线,以支持未来的性能建模。
提出的方法
- 基于DPDK实现快速数据包I/O,基于OpenSSL实现DTLS和加密操作,开发了名为MoonSec的模块化、高性能DTLS VPN网关。
- 设计网关以隔离并基准测试各个处理步骤:数据包I/O、状态跟踪、加密哈希以及加解密操作。
- 提出一个由四个部分组成的性能模型:每数据包成本(6323周期/字节)、每连接设置成本(576万周期)和连接状态管理。
- 推导出关键方程:overallPerPacket(p) = 6323·p 和 overallPerCon(c,p) = 5,761,437 + 2,326,558·c,最终模型为:overallC(c,p) = 5,761,437 + 2,326,558·c + 6,323·p。
- 通过在高端服务器上进行大量测量,使用长期连接以隔离并测量固定成本与可变成本,验证了该模型。
- 以开源许可证发布MoonSec源代码、测量数据和绘图脚本,以确保可复现性和可扩展性。
实验结果
研究问题
- RQ1DTLS启用应用中的主要性能成本因素是什么?它们如何随连接数量和数据包大小变化?
主要发现
- DTLS中的每连接设置开销是每数据包处理开销的368倍,因此连接持续时间是性能效率的关键因素。
- 使用基于椭圆曲线的DHE密码套件相比传统的modp-based DHE密码套件,可将握手开销降低近四倍。
- 加密算法的选择显著影响性能:在非加速环境中,最昂贵的密码套件成本接近最便宜密码套件的两倍。
- ChaCha20-Poly1305密码套件实现了最低的整体处理开销,与基于AES的替代方案相比,加密开销降低了高达50%。
- 该性能模型能准确预测MoonSec在不同连接数和数据包大小下的行为,验证了其作为性能基线的适用性。
- 该模型依赖于CPU架构,但具有通用性;在新平台上重新测量后,该模型可适配以预测不同硬件(包括移动设备和物联网设备)上的性能。
更好的研究,从现在开始
从论文设计到论文写作,大幅缩短您的研究时间。
无需绑定信用卡
本解读由 AI 生成,并经人工编辑审核。