高速密碼技術(shù)在數(shù)據(jù)通信中的運用

密碼技術(shù)在網(wǎng)絡(luò)通信中也需要不斷深化應(yīng)用,但是由于數(shù)據(jù)通信網(wǎng)絡(luò)高速發(fā)展帶來的更大的數(shù)據(jù)帶寬、對傳輸可靠性的更高要求以及網(wǎng)絡(luò)的自身開放性的特點,如何將更高速的加密技術(shù)應(yīng)用到數(shù)據(jù)通信中去,也是一個需要持續(xù)關(guān)注的課題。

引用本文:趙紅海,楊海軍.高速密碼技術(shù)在數(shù)據(jù)通信中的運用[J].信息安全與通信保密,2020(11):20-27.

摘 要

隨著5G、物聯(lián)網(wǎng)等技術(shù)的發(fā)展,網(wǎng)絡(luò)通信正在更高速、更廣泛地滿足各行業(yè)的應(yīng)用;但是近年來各種網(wǎng)絡(luò)安全事件頻發(fā),數(shù)據(jù)安全及通信安全越來越受到重視,《密碼法》也于今年正式頒布實施。因此,密碼技術(shù)在網(wǎng)絡(luò)通信中也需要不斷深化應(yīng)用,但是由于數(shù)據(jù)通信網(wǎng)絡(luò)高速發(fā)展帶來的更大的數(shù)據(jù)帶寬、對傳輸可靠性的更高要求以及網(wǎng)絡(luò)的自身開放性的特點,如何將更高速的加密技術(shù)應(yīng)用到數(shù)據(jù)通信中去,也是一個需要持續(xù)關(guān)注的課題。

關(guān)鍵詞:網(wǎng)絡(luò);通信;密碼技術(shù);數(shù)據(jù)安全

內(nèi)容目錄:

0 引 言

1 網(wǎng)絡(luò)通信中的主要數(shù)據(jù)以及面臨的主要安全風(fēng)險

1.1 網(wǎng)絡(luò)通信數(shù)據(jù)分類

1.2 網(wǎng)絡(luò)通信數(shù)據(jù)的安全風(fēng)險

1.3 網(wǎng)絡(luò)通信安全面臨的挑戰(zhàn)

2 網(wǎng)絡(luò)通信中保護數(shù)據(jù)安全的方法

2.1 創(chuàng)新高速密碼技術(shù)

2.2 端到端隧道技術(shù)

2.3 自動隧道技術(shù)

3 密碼技術(shù)在網(wǎng)絡(luò)通信數(shù)據(jù)安全中的典型應(yīng)用

3.1 中小型企業(yè)扁平化分層網(wǎng)絡(luò)應(yīng)用

3.2 大型企業(yè)扁平化分層網(wǎng)絡(luò)應(yīng)用

3.3 寬帶準入認證的網(wǎng)絡(luò)應(yīng)用

4 結(jié) 語

0 引 言

近些年不斷爆發(fā)的網(wǎng)絡(luò)安全事件、商業(yè)信息以及個人信息泄露等都對社會和經(jīng)濟發(fā)展造成了極大的危害;隨著去年頒布、今年實施的《密碼法》等法規(guī)的不斷出臺,社會各種層面都展現(xiàn)對應(yīng)用密碼技術(shù)來保證網(wǎng)絡(luò)通信及數(shù)據(jù)安全的重視。

另外,隨著信息技術(shù)的高速發(fā)展,IT和CT的快速融合,以及5G、物聯(lián)網(wǎng)等新技術(shù)的持續(xù)推進,從物聯(lián)網(wǎng)終端、個人移動通信,到企事業(yè)辦公、國計民生重要應(yīng)用,網(wǎng)絡(luò)通信的應(yīng)用范圍在不斷擴大,網(wǎng)絡(luò)數(shù)據(jù)量也在飛速增加。

因此隨著網(wǎng)絡(luò)帶寬的高速增長,數(shù)據(jù)安全應(yīng)用對密碼技術(shù)的性能提升也同步提出更高要求。高速密碼技術(shù)結(jié)合網(wǎng)絡(luò)通信數(shù)據(jù)安全的應(yīng)用也在不斷深化,共同來保障各行業(yè)對網(wǎng)絡(luò)通信的快速、安全、穩(wěn)定、可靠等高質(zhì)量的需求。本文將通過分析當(dāng)今網(wǎng)絡(luò)通信中的安全風(fēng)險及面臨的新挑戰(zhàn),結(jié)合已有安全方法和創(chuàng)新的高速密碼技術(shù),簡要闡明在用戶數(shù)據(jù)通信網(wǎng)絡(luò)中應(yīng)用高速密碼技術(shù)的實踐方法,滿足日益增長的用戶數(shù)據(jù)安全需求。

1 網(wǎng)絡(luò)通信中的主要數(shù)據(jù)以及面臨的主要安全風(fēng)險

1.1 網(wǎng)絡(luò)通信數(shù)據(jù)分類

網(wǎng)絡(luò)通信中的數(shù)據(jù),大致可分為兩類:

(1)網(wǎng)絡(luò)管理類協(xié)議報文,首先是各類路由協(xié)議如BGP(Border Gateway Protocol,邊界網(wǎng)關(guān)協(xié)議)、OSPF(Open Shortest Path First,開放最短路徑優(yōu)先),這些協(xié)議交互路由信息,指導(dǎo)網(wǎng)絡(luò)用戶數(shù)據(jù)的轉(zhuǎn)發(fā);然后是各類網(wǎng)絡(luò)管理協(xié)議,如SNMP(Simple Network Management Protocol,簡單網(wǎng)絡(luò)管理協(xié)議)、SSH(Secure Shell,安全外殼)、Telnet(Telecommunications Network,遠程登錄協(xié)議)等,主要提供用戶管理、登錄網(wǎng)絡(luò)設(shè)備等進行的網(wǎng)絡(luò)管理能力。這些協(xié)議類的數(shù)據(jù),關(guān)系著用戶網(wǎng)絡(luò)的實際運行,必須是要首先通過密碼技術(shù)做有效保護。

(2)網(wǎng)絡(luò)用戶業(yè)務(wù)類數(shù)據(jù)報文,主要是用戶實際運行的業(yè)務(wù),如視頻業(yè)務(wù)、5G通信業(yè)務(wù)、互聯(lián)網(wǎng)訪問業(yè)務(wù)、物聯(lián)網(wǎng)數(shù)據(jù)業(yè)務(wù)等。這些數(shù)據(jù)是用戶實際生產(chǎn)、生活中可直觀感受到的信息,其安全保護也同樣受到特別的重視。

這兩類主要數(shù)據(jù),都切實關(guān)系著用戶實際業(yè)務(wù)的安全與穩(wěn)定運行。其中協(xié)議報文數(shù)據(jù)由于數(shù)據(jù)量小,在現(xiàn)有的低速密碼技術(shù)上都可以實現(xiàn)保護;而對于業(yè)務(wù)類數(shù)據(jù),由于網(wǎng)絡(luò)規(guī)模擴大,低速密碼技術(shù)已經(jīng)成為掣肘,亟待更高速的密碼技術(shù)方法來匹配網(wǎng)絡(luò)安全需求。

1.2 網(wǎng)絡(luò)通信數(shù)據(jù)的安全風(fēng)險

由于網(wǎng)絡(luò)通信自身的開放性、互聯(lián)性等特點,并且大量數(shù)據(jù)需要在公有網(wǎng)絡(luò)中傳輸,隨著網(wǎng)絡(luò)應(yīng)用的不斷豐富,網(wǎng)絡(luò)覆蓋范圍的不斷擴大,數(shù)據(jù)在網(wǎng)絡(luò)中傳遞的各環(huán)節(jié)都將可能遭受到不同的安全威脅。

網(wǎng)絡(luò)中數(shù)據(jù)安全風(fēng)險主要包括以下幾種情況,分別如圖1所示:

(1)中斷,網(wǎng)絡(luò)數(shù)據(jù)在傳遞過程中被攻擊丟棄。

(2)截獲,網(wǎng)絡(luò)數(shù)據(jù)在傳遞過程中被復(fù)制。

(3)篡改,網(wǎng)絡(luò)數(shù)據(jù)在傳遞過程中被截獲并修改。

(4)偽造,網(wǎng)絡(luò)數(shù)據(jù)來自于偽造的發(fā)送端。

1.png

圖1  數(shù)據(jù)通信中的安全風(fēng)險

從原因上來分析,主要威脅數(shù)據(jù)安全的因素包括:

(1)網(wǎng)絡(luò)管理原因。在通信管理層面,路由發(fā)布等協(xié)議數(shù)據(jù)要確保安全可靠,防止出現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)傳遞中斷、截獲等。

(2)網(wǎng)絡(luò)數(shù)據(jù)原因。網(wǎng)絡(luò)數(shù)據(jù)在傳遞過程中,未做有效加密保護,也易出現(xiàn)被截獲、篡改等。

(3)網(wǎng)絡(luò)架構(gòu)原因。網(wǎng)絡(luò)由于其靈活開放和易接入性,在設(shè)計時未考慮到在架構(gòu)層面的系統(tǒng)數(shù)據(jù)安全,未能確保網(wǎng)絡(luò)用戶的安全可靠接入,也容易出現(xiàn)被私接、冒接入等,出現(xiàn)偽造網(wǎng)絡(luò)數(shù)據(jù)等。

因此,在整個網(wǎng)絡(luò)架構(gòu)中,所有網(wǎng)絡(luò)數(shù)據(jù)的發(fā)送方與其接收方之間,構(gòu)建安全可靠的數(shù)據(jù)傳輸通道,是高速密碼技術(shù)在數(shù)據(jù)安全中要解決的主要問題。

1.3 網(wǎng)絡(luò)通信安全面臨的挑戰(zhàn)

根據(jù)上述網(wǎng)絡(luò)通信中數(shù)據(jù)的分類情況,以及數(shù)據(jù)安全的風(fēng)險,結(jié)合當(dāng)前數(shù)據(jù)通信網(wǎng)絡(luò)的發(fā)展現(xiàn)狀,主要有以下挑戰(zhàn)急需通過完善技術(shù)方案來解決。

(1)數(shù)據(jù)安全保護。利用主流的密碼技術(shù),通過IPSec(IP Security,IP安全)隧道等方式, 建立發(fā)送方和其接收方之間的安全通道。

(2)更高速的密碼技術(shù)。隨著網(wǎng)絡(luò)規(guī)模不斷增大,網(wǎng)絡(luò)中傳遞的和待保護的數(shù)據(jù)量也不斷增長,對如何利用軟硬件創(chuàng)新技術(shù)實現(xiàn)密碼算法的更高效功能提出更高要求。

(3)便捷的部署。隨著網(wǎng)絡(luò)規(guī)模擴大,接入網(wǎng)絡(luò)的用戶量也突飛猛進,如何快速部署網(wǎng)絡(luò)、簡化新用戶接入、增加網(wǎng)絡(luò)運維效率,也是一項挑戰(zhàn)。

只有通過技術(shù)層面實現(xiàn)更高速的密碼技術(shù)來保護數(shù)據(jù)安全,同時在網(wǎng)絡(luò)架構(gòu)層面提供高效的安全部署方法,才能有效滿足當(dāng)今數(shù)據(jù)通信網(wǎng)絡(luò)中對高速安全應(yīng)用的需求。

2 網(wǎng)絡(luò)通信中保護數(shù)據(jù)安全的方法

網(wǎng)絡(luò)通信的數(shù)據(jù)進行加密保護,需要使用密碼技術(shù)。目前國內(nèi)外商用密碼算法已經(jīng)發(fā)展成熟,相關(guān)密碼技術(shù)從業(yè)者也一直致力于通過硬件芯片實現(xiàn)高性能的高速密碼技術(shù),來滿足網(wǎng)絡(luò)通信高可靠、低延時、大數(shù)據(jù)量的要求。用戶網(wǎng)絡(luò)通信數(shù)據(jù)中的協(xié)議類報文數(shù)據(jù)量小,但對交互的優(yōu)先級、實時性、安全性要求更高;而數(shù)據(jù)類報文數(shù)據(jù)量大,業(yè)務(wù)種類復(fù)雜,特別是隨著4K/8K、AR/VR及短視頻、云應(yīng)用的不斷普及與深化,對帶寬的要求越來越高,傳統(tǒng)的低速10M/100M連接方式已經(jīng)完成不了業(yè)務(wù)及應(yīng)用的需要,更需要1G/10G乃至100G骨干接入技術(shù)、數(shù)據(jù)中心更需要400G乃至800G的接入技術(shù),而只有更高性能的數(shù)據(jù)加密技術(shù)才能滿足當(dāng)今網(wǎng)絡(luò)突飛猛進的發(fā)展,否則,在網(wǎng)絡(luò)數(shù)據(jù)安全上,密碼技術(shù)本身將成為制約網(wǎng)絡(luò)通信快速發(fā)展的瓶頸。

2.1 創(chuàng)新高速密碼技術(shù)

當(dāng)前網(wǎng)絡(luò)通信設(shè)備上,主流的商用密碼技術(shù)性能還集中在5Gbps及以下的中低速數(shù)據(jù)加密;通過發(fā)揮硬件性能,提升軟硬件交互方法,一種創(chuàng)新的高速密碼技術(shù)已將網(wǎng)絡(luò)數(shù)據(jù)商用密碼加密性能提升到50Gbps以上 , 能較好地滿足各行業(yè)核心用戶對高速通信數(shù)據(jù)安全的應(yīng)用。

該高速密碼技術(shù)主要在硬件層面通過FPGA(Field Programmable Gate Array,現(xiàn)場可編程門陣列)等可編程硬件來實現(xiàn),利用硬件高性能算法核以及流水線操作,可以較好突破原有使用軟件算法受限于CPU處理能力、加密業(yè)務(wù)與網(wǎng)絡(luò)通信業(yè)務(wù)互相搶占系統(tǒng)資源等限制。簡要原理如圖2所示。

2.png

圖2  數(shù)據(jù)通信路由器高速密碼技術(shù)實現(xiàn)

創(chuàng)新的高速密碼技術(shù)實現(xiàn),將網(wǎng)絡(luò)通信路由器原有轉(zhuǎn)發(fā)單元和商用密碼高速算法單元集成在同一路由器系統(tǒng)中,統(tǒng)一調(diào)度網(wǎng)絡(luò)數(shù)據(jù)的轉(zhuǎn)發(fā)和加密。兩者之間通過雙路PCIE接口互聯(lián), 并由轉(zhuǎn)發(fā)單元完成其負載均衡調(diào)度,實現(xiàn)兩路FPGA的協(xié)同處理,有效的保證整機系統(tǒng)數(shù)據(jù)交互的效率和速率。

商用密碼算法單元內(nèi)部集成了雙路高性能FPGA芯片。每路FPGA芯片獨立掛載多個SM3算法核心和SM4算法核心。同時為了進一步發(fā)揮FPGA芯片的計算性能,F(xiàn)PGA內(nèi)部采用異步處理流水線操作以及內(nèi)存處理優(yōu)化技術(shù),最大化的利用所有算法核心,使所有核心可以同時滿負荷工作,從而達到高速加解密性能。

通過當(dāng)前的研發(fā)與性能調(diào)優(yōu),可以實現(xiàn)更高速密碼處理性能,如表1所示:

表1  高速密碼技術(shù)性能提升數(shù)據(jù)

3.png

2.2 端到端隧道技術(shù)

網(wǎng)絡(luò)通信通過端到端的隧道技術(shù),可以簡化網(wǎng)絡(luò)架構(gòu),同時提供更高的安全性和加密處理能力。網(wǎng)絡(luò)關(guān)鍵節(jié)點之間,建立端到端IPSec隧道,提供網(wǎng)絡(luò)數(shù)據(jù)可靠傳輸;中間設(shè)備只需簡單IP路由轉(zhuǎn)發(fā),不參與數(shù)據(jù)密碼加密。IPsec是一種傳統(tǒng)的實現(xiàn)三層VPN(Virtual Private Network,虛擬專用網(wǎng)絡(luò))的安全技術(shù)。

在典型的網(wǎng)絡(luò)通信應(yīng)用中,各網(wǎng)絡(luò)通信主要節(jié)點間(如企業(yè)分支與總部之間、企業(yè)分支與分支之間等)通過各自的IPSec網(wǎng)關(guān)設(shè)備建立端到端IPSec隧道,實現(xiàn)用戶網(wǎng)絡(luò)數(shù)據(jù)在公用互聯(lián)網(wǎng)上的安全連接。目前根據(jù)用戶需求,主要會應(yīng)用三種組網(wǎng)方式:

(1)IPSec Tunnel,網(wǎng)關(guān)設(shè)備之間直接建立IPSec隧道,對數(shù)據(jù)進行加密保護。

(2)L2TP over IPSec Tunnel,網(wǎng)關(guān)設(shè)備之間的數(shù)據(jù)先進行L2TP(Layer2 TunnelingProtocol,二層隧道協(xié)議)封裝,再通過密碼技術(shù)做IPSec數(shù)據(jù)加密保護。使用L2TP技術(shù),在分支和總部之間通過LAC/LNS(L2TP Access Concentrator/Network Server,L2TP訪問集中器/網(wǎng)絡(luò)服務(wù)器)認證策略,可以有效控制非法用戶的接入,提高網(wǎng)絡(luò)可靠性。

(3)GRE over IPSec Tunnel,網(wǎng)關(guān)設(shè)備之間的數(shù)據(jù)先進行GRE(Generic Routing Encapsulation,通用路由封裝)封裝,再通過密碼技術(shù)做IPSec數(shù)據(jù)加密保護。該組網(wǎng)能適應(yīng)更廣泛的用戶網(wǎng)絡(luò)類型,如廣域網(wǎng)POS(Packet over Synchronous Optical Network,同步光網(wǎng)絡(luò)承載數(shù)據(jù)包)接入、MPLS(Multiprotocol Label Switching,多協(xié)議標簽交換)接入等。

如圖3所示,在企業(yè)路由器網(wǎng)關(guān)之間,可通過創(chuàng)建端到端的IPSec隧道,應(yīng)用高速密碼技術(shù),完成數(shù)據(jù)的加解密處理,保證網(wǎng)絡(luò)不同節(jié)點之間,通過端到端的高速密碼隧道,實現(xiàn)大帶寬、高可靠的數(shù)據(jù)安全傳遞;同時可結(jié)合實際應(yīng)用,使用不同的協(xié)議承載到IPSec隧道上。

4.png

圖3  數(shù)據(jù)通信中端到端IPSec隧道的應(yīng)用

2.3 自動隧道技術(shù)

隨著5G、物聯(lián)網(wǎng)等新技術(shù)的持續(xù)應(yīng)用,網(wǎng)絡(luò)規(guī)模也在快速擴大,通過原有端到端配置用戶IPSec隧道的加密算法、認證算法、兩端地址等方法建立手工隧道,增加了大型網(wǎng)絡(luò)運維的成本和難度。因此對用戶網(wǎng)絡(luò)能快速建立基于密碼技術(shù)的端到端隧道提出更高要求。

通過ADVPN(Auto Discovery Virtual Private Network,自動發(fā)現(xiàn)虛擬專用網(wǎng)絡(luò))技術(shù),可以在企業(yè)各分支和總部機構(gòu)間使用動態(tài)地址接入到互聯(lián)網(wǎng)并自動建立端到端隧道,同時在隧道上引用IPSec策略,實現(xiàn)利用高速密碼技術(shù)對用戶業(yè)務(wù)數(shù)據(jù)進行加密。

ADVPN是一種基于VAM(VPN Address Management,VPN地址管理)協(xié)議的動態(tài)VPN技術(shù)。一般應(yīng)用中,企業(yè)總部網(wǎng)關(guān)作為HUB設(shè)備,是局域網(wǎng)中路由等信息交換的中心,分支網(wǎng)關(guān)作為Spoke設(shè)備。各Hub和Spoke設(shè)備作為Client向VAM Server提交身份信息,安全檢查通過后,Hub和Spoke之間可自動建立ADVPN 隧道,同時可在隧道上應(yīng)用IPSec策略,通過密碼技術(shù)進一步保證企業(yè)網(wǎng)絡(luò)之間數(shù)據(jù)在互聯(lián)網(wǎng)上的安全傳遞。

如圖4所示,在企業(yè)總部和分支之間利用ADVPN隧道,主動創(chuàng)建IPSec密碼技術(shù)隧道,可有效簡化網(wǎng)絡(luò)運維。

5.png

圖4  ADVPN隧道技術(shù)在數(shù)據(jù)通信中應(yīng)用

3 密碼技術(shù)在網(wǎng)絡(luò)通信數(shù)據(jù)安全中的典型應(yīng)用

新華三技術(shù)有限公司路由器產(chǎn)品線一直致力于企業(yè)網(wǎng)、運營商網(wǎng)絡(luò)等安全可靠研究,并通過與業(yè)界領(lǐng)先的密碼技術(shù)提供商緊密合作,緊跟國家政策導(dǎo)向要求,不斷豐富自身產(chǎn)品線中對商用密碼算法的支持和性能提升。目前新華三路由器產(chǎn)品,涵蓋中低端路由器的低速加密技術(shù),和高端核心路由器的高速加密技術(shù),在業(yè)界率先實現(xiàn)整套網(wǎng)絡(luò)的商用密碼多層級、多性能場景滿足,并利用新華三路由器在行業(yè)網(wǎng)、運營商的多年積累,不斷豐富商用密碼技術(shù)的網(wǎng)絡(luò)應(yīng)用場景。

3.1 中小型企業(yè)扁平化分層網(wǎng)絡(luò)應(yīng)用

當(dāng)前網(wǎng)絡(luò)通信的架構(gòu)設(shè)計正在逐步向扁平化過渡,該結(jié)構(gòu)層次劃分簡單清晰,對于網(wǎng)絡(luò)維護、數(shù)據(jù)安全的部署都帶來便利。對于中小型企業(yè)網(wǎng)絡(luò),由于用戶規(guī)模相對少,且內(nèi)部數(shù)據(jù)流量帶寬相對小,因此網(wǎng)絡(luò)設(shè)計是建立二級扁平化分層,在企業(yè)分支和總部之間直接建立IPSec隧道或自動ADVPN/IPSec隧道。通過二級扁平化分層,能在中小型網(wǎng)絡(luò)中,快速有效地建立數(shù)據(jù)安全隧道,同時也簡化了企業(yè)總部對各分支網(wǎng)絡(luò)設(shè)備的維護復(fù)雜度,以更低的成本實現(xiàn)用戶數(shù)據(jù)通信的安全需求。如圖5所示。

6.png

圖5  中小型網(wǎng)絡(luò)中的密碼技術(shù)應(yīng)用

企業(yè)分支網(wǎng)關(guān)采用中低端接入路由器,根據(jù)自身分支局域網(wǎng)內(nèi)數(shù)據(jù)安全的要求(加密性能、效率等)選擇中低速密碼設(shè)備,而企業(yè)總部部署高端核心路由器并支持高性能密碼技術(shù)數(shù)據(jù)加密,對分支與總部之間、分支與分支之間經(jīng)總部的數(shù)據(jù)流量進行高效加密,保證整個企業(yè)內(nèi)部數(shù)據(jù)安全。

3.2 大型企業(yè)扁平化分層網(wǎng)絡(luò)應(yīng)用

對于大型企業(yè)網(wǎng)絡(luò),由于用戶規(guī)模大,分支機構(gòu)眾多,內(nèi)部數(shù)據(jù)流量大,并且網(wǎng)絡(luò)數(shù)據(jù)一般呈現(xiàn)地區(qū)內(nèi)交互量大,而地區(qū)間交互相對少,因此網(wǎng)絡(luò)設(shè)計時,按照地區(qū)層級對網(wǎng)絡(luò)架構(gòu)按分支、地區(qū)、總部三級層次規(guī)劃。通過三級層次規(guī)劃,將自動安全隧道的創(chuàng)建范圍以區(qū)域方式管理,在區(qū)域內(nèi)部,可以有效利用中小型網(wǎng)絡(luò)二級層次劃分的快速高效的特點;而在企業(yè)總部,重點維護跨區(qū)域的數(shù)據(jù)安全需求。通過層次劃分,可以有效減輕企業(yè)總部的安全加密壓力,同時對企業(yè)區(qū)域內(nèi)的數(shù)據(jù)安全管理也能更加高效。

企業(yè)分支與該地區(qū)的出口路由器之間組成Hub- Spoke組網(wǎng),建立端到端的ADVPN/IPSec隧道,網(wǎng)絡(luò)結(jié)構(gòu)類似于中小型扁平化分層網(wǎng)絡(luò)。而在各地區(qū)出口網(wǎng)關(guān)與企業(yè)總部之間,是第二層的Hub-Spoke組網(wǎng),建立新的端到端ADVPN/IPSec隧道。如圖6所示。

7.png

圖6  大型網(wǎng)絡(luò)中的密碼技術(shù)應(yīng)用

在大企業(yè)三級扁平化網(wǎng)絡(luò)中,地區(qū)總部路由器處理該地區(qū)內(nèi)多個分支間以及與地區(qū)總部網(wǎng)關(guān)的網(wǎng)絡(luò)數(shù)據(jù)加密。而對于分支節(jié)點到企業(yè)總部之間的數(shù)據(jù)安全,由地區(qū)總部網(wǎng)關(guān)做兩段IPSec 隧道的加解密,先對來自分支的加密隧道數(shù)據(jù)進行解密,再根據(jù)與企業(yè)總部之間的隧道密碼要求,重新對數(shù)據(jù)加解密,交由企業(yè)總部處理。因此,在地區(qū)總部和企業(yè)總部都需要部署高端核心路由器設(shè)備,支持高速密碼技術(shù)數(shù)據(jù)加密,以保證企業(yè)整個網(wǎng)絡(luò)中高帶寬的數(shù)據(jù)量加解密。

3.3 寬帶準入認證的網(wǎng)絡(luò)應(yīng)用

為了進一步滿足當(dāng)前寬帶準入認證的網(wǎng)絡(luò)實際使用,可以將運營商或園區(qū)網(wǎng)中廣泛使用的 BRAS(Broadband Remote Access Server,寬帶遠程接入服務(wù)器,L2TP即為一種網(wǎng)絡(luò)接入方法) 技術(shù)與密碼安全技術(shù)綜合應(yīng)用,通過BRAS技術(shù)來完成用戶接入網(wǎng)絡(luò)的AAA(Authentication Authorization Accounting,認證、授權(quán)、計費)安全功能,確??尚庞脩舻木W(wǎng)絡(luò)接入和訪問權(quán)限。同時融合IPSec密碼技術(shù)對數(shù)據(jù)的高速加密,保證用戶接入認證的管理協(xié)議報文、訪問互聯(lián)網(wǎng)的業(yè)務(wù)數(shù)據(jù)報文都是安全可靠的,從而從網(wǎng)絡(luò)架構(gòu)到網(wǎng)絡(luò)管理和數(shù)據(jù)各層面確保通信網(wǎng)絡(luò)的安全。

如圖7所示,比較典型的應(yīng)用就是L2TP over IPSec Tunnel。企業(yè)分支各終端設(shè)備(PC、移動設(shè)備、啞終端等)通過分支局域網(wǎng)接入分支網(wǎng)關(guān),分支網(wǎng)關(guān)作為LAC設(shè)備,對相關(guān)認證協(xié)議報文、數(shù)據(jù)報文做L2TP封裝,然后再通過LAC和LNS之間的端到端 ADVPN/IPSec 隧道進行加密,最終由企業(yè)總部的網(wǎng)關(guān)設(shè)備解密并根據(jù)L2TP報文類型選擇進一步處理,認證協(xié)議報文則將與AAA/Radius(Remote Authentication Dial In User Service,遠程用戶撥號認證系統(tǒng))服務(wù)器交互完成認證,數(shù)據(jù)訪問流量則由網(wǎng)關(guān)設(shè)備交由運營商互聯(lián)網(wǎng)。目前新華三高端核心路由器可以同時支持 BRAS 接入功能和高速密碼技術(shù),在寬帶準入認證的應(yīng)用場景下,部署于企業(yè)分支和總部,能高效解決網(wǎng)絡(luò)數(shù)據(jù)的高速加密技術(shù),提升網(wǎng)絡(luò)的安全性。

8.png

圖7  帶準入認證的企業(yè)網(wǎng)絡(luò)通信密碼技術(shù)應(yīng)用

4 結(jié) 語

加密技術(shù)提供了一種保證數(shù)據(jù)安全的有效方法,而在網(wǎng)絡(luò)通信中,結(jié)合網(wǎng)絡(luò)架構(gòu)、準入安全等網(wǎng)絡(luò)設(shè)計方法,能進一步提升系統(tǒng)安全性,保證用戶網(wǎng)絡(luò)數(shù)據(jù)可靠。當(dāng)前通過硬件設(shè)備實現(xiàn)的高速密碼技術(shù),將網(wǎng)絡(luò)單機商用密碼加密性能提升到50Gbps,但是隨著網(wǎng)絡(luò)通信、5G、物聯(lián)網(wǎng)等的繼續(xù)高速發(fā)展,數(shù)據(jù)帶寬已在逐步從10Gbps往100Gbps甚至400Gbps/800Gbps更高帶寬方向發(fā)展,需要更進一步通過軟硬件、網(wǎng)絡(luò)架構(gòu)及新技術(shù)方法提升高速密碼能力,如何將網(wǎng)絡(luò)單機商用密碼加密性能提升到100Gbps乃至400Gbps將是一個需要持續(xù)研究的課題。

作者簡介 >>>

趙紅海(1986—),男,學(xué)士,系統(tǒng)工程師,主要研究方向為高端路由器系統(tǒng)架構(gòu)及應(yīng)用;

楊海軍(1976—),男,碩士,技術(shù)規(guī)劃與市場支持部總經(jīng)理,主要研究方向為未來網(wǎng)絡(luò)的體系架構(gòu)與技術(shù)趨勢。

選自《信息安全與通信保密》2020年第11期(為便于排版,已省去原文參考文獻)

THEEND

最新評論(評論僅代表用戶觀點)

更多
暫無評論