| IPSEC 安全架构、应用及展望 |
|
| |
|
|
括它的TCP和UDP头。 隧道模式通常当ESP在关联到多台主机的网络访问介入装置实现时使用,隧道模式处理整个IP数据包:包括全部TCP/IP或UDP/IP头和数据,它用自己的地址做为源地址加入到新的IP头。当隧道模式用在用户终端设置时,它可以提供更多的便利来隐藏内部服务器主机和客户机的地址。 ESP支持传输模式,这种方式保护了高层协议。传输模式也保护了IP包的内容,特别是用于两个主机之间的端对端通讯(例如,客户与服务器,或是两台工作站)。传输模式中的ESP加密及有时候会认证IP包内容,但不认证IP的包头。这种配置对于装有IPSec的小型网络特别有用。 但是,要全面实施VPN,使用隧道模式会更有效。ESP也支持隧道模式,保护了整个IP包。为此,IP包在添加了ESP字段后,整个包以及包的安全字段被认为是新的IP包外层内容,附有新的IP外层包头。原来的(及内层)包通过隧道从一个IP网络起点传输到另一个IP网点,中途的路由器可以检查IP的内层包头。因为原来的包已被打包,新的包可能有不同的源地址及目的地址,以达到安全的目的。 隧道模式被用在两端或是一端是安全网关的架构中,例如装有IPSec的路由器或防火墙。使用了隧道模式,防火墙内很多主机不需要安装IPSec 也能安全地通信。这些主机所生成的未加保护的网包,经过外网,使用隧道模式的安全组织规定(即SA,发送者与接收者之间的单向关系,定义装在本地网络边缘的安全路由器或防火墙中的IPSec软件IP交换所规定的参数)传输。 以下是隧道模式的IPSec运作的例子。某网络的主机甲生成一个IP包,目的地址是另一个网中的主机乙。这个包从起始主机被发送到主机甲的网络边缘的安全路由器或防火墙。防火墙把所有出去的包过滤,看看有哪些包需要进行IPSec的处理。如果这个从甲到乙的包需要使用IPSec,防火墙就进行IPSec的处理,并把网包打包,添加外层IP包头。 这个外层包头的源地址是防火墙,而目的地址可能是主机乙的网络边缘的防火墙。现在这个包被传送到主机乙的防火墙,中途的路由器只检查外层的IP包头。主机乙网络的防火墙会把外层IP包头除掉,把IP内层发送到主机乙去。 IPSec 及VPN 由于企业及政府用户需要把它们的专用WAN/LAN 架构与互联网连接,以便访问互联网的服务,所以他们非常热衷于部署安全的IP。用户需要把它们的网络与互联网分隔,但同时要在网上发送及接收网包。安全的IP就可以提供网上的认证及隐私机制。 因为IP安全机制是独立定义,其用途与现在的IP或IPv6不同,IP安全机制不需要依靠IPv6部署。我们可以看到安全IP的功能会首先被广泛使用,它会比IPv6先流行起来,因为对IP层的安全需求远比增加IPv6功能的需求多很多。 有了IPSec,管理人员就有了实施VPN的安全标准。此外,所有在IPSec中使用的加密及认证算法已经过仔细的研究和几年的验证,所以用户大可放心地将安全问题交付给IPSec。 展望:高集成度将使IPSec的发展产生飞跃今天,信息高速公路比以往任何时候都显得重要,但是它也面临越来越大的安全威胁,因此对加强网络中每一个节点硬件安全性的需求正在不断增长。这需要将基本的安全功能(数据加密性和完整性)构建到每一台网络设备中,这样才有可能对网络中所有的数据包进行完全地加密保护。不过,对许多网络设备的设计而言,安全性是一个事后考虑的问题。我们需要对何处、何时以及在什么情况下加入安全特性进行重新考虑。目前有三种主要的方法可以在网络硬件设备上加入安全功能。第一种也是最重要的方法就是用一个协处理器和一个网络处理器或者通用处理器一起工作。随着数据处理速率的提高,这种方法变得越来越不实用,因为数据包必须穿越共享的资源如数据总线或存储器四次。第二种方法是增加一个安全处理器串接在网络处理器的后面。这种方法可以实现高速的数据处理,这个串接的安全处理器必须能完成许多类似于网络处理器的功能,像数据包的重新达包等,因而这样的工作被重复进行并且硅片面积也不得不增大一倍。第三种方法是将加密电路集成在与网络处理器类似的芯片中,从而在网络处理器中加入了安全功能同时又保持了传输速度并且最大限度地控制了芯片面积。当采用这种集成的方案设计新的网络线路卡时,用户可以从中受益。在设计一个网络安全产品时,必须同时考虑数据包处理和安全性需求。在已有产品中,一个通用处理器与一个安全协处理器一起工作将不能达到现有产品需要的10Gbps速度。但是如果将现有的网络处理器,如英特尔的IXP1200,与一个安全协处理器搭配使用,就可能达到这种要求。但是现有的安全芯片只提供协处理器架构,这是远远不够的。在下一代的IXP2850中,我们选择将安全和加密功能集成在芯片上,这不仅因为它是一个最好的方法来实现贯穿整个网络的保密功能,而且还因为它是一个更加高效的方法来提供安全性。就性能而言,这种方案能够更好地以10Gbps以太网速率进行加密和鉴别互联网协议安全(IPSec),甚至能保证100%的数据传输安全。我们的设计采用了一个加密单元,它将大多数基本算法所需的功能整合在一起,但在某种意义上说将它集成在网络处理单元(NPU)的基本数据流程管道中更为简单。这个加密单元由几个算法组成以保证数据的机密性和完整性。每种算法有它自己在芯片面积、并行性和对称性方面的折衷考虑以及挑战。 增加的安全功能支持数据加密标准(DES)、3DES、高级加密标准(AES)算法以及安全散列算法(SHA-1),这使得硬件能直接进行数据鉴别。它由两个3DES内核、一个AES内核以及两个SHA-1内核组成。这样可以通过SHA-1内核在将密钥加入数据之前或之后来处理数据。在IXP2850中含有两个这样的内核。增加加密功能非常重要,从某种意义上说这对网络处理器的特性起到了杠杆作用。对于英特尔的网络处理器,这方面主要得益于被称作微引擎的多重、多线程处理单元。我们选择的这种多线程模型是NPU架构中的重要部分,它带来了设计上的一些挑战。例如,因为这些安全功能比较独立于硬件配置,所以希望能充分地并行利用所有的安全硬件。但实现这种硬件的并行性需要小心地管理那些公用的部件(像全局总线、局部存储器)以及数据锁存方法。它还需要保证在不牺牲系统性能的情况下充分灵活地切换初始化向量(IV)、按键和其他状态信息。用流水线方法处理协议也很重要。例如,在处理IPSec隧道模式信息包时,可以流水操作所有必需的处理。尽管在单个接口上实现10Gbps的速度很重要,但是接口的聚合也很重要,例如,把10个1Gbps的接口合并在一起。当多个接口连接到网络处理器的时候,一个特定信息包的数据可以和其它信息包数据交织在一起存放在接收缓冲器中。在NPU中集成加密微引擎管道可使一条加密数据通道每秒发送超过2,500万个IPSec信息包。这足以在10Gbps速度的情况下加密和鉴别IPSec,从而保证100%信息流量的安全性。将安全功能集成到NPU中一个很大的好处就是可以节省整个方案的功耗。现在的安全处理器达到10Gbps速度时,功耗大约是13-30瓦。而IXP2850在设计阶段特别注意降低功耗并且省去了I/O器件,故可以比其他方案节省20%-50%的功耗。 参考资料 V. Ahuja,Secure Commerce on the Internet,AP Proffesional,1998. L.J. Hughes , Internet安全技术实务 1996. 1998 VPN技术与应用趋势研讨会,1998. http://www.ietf.org/thml.charters/ipsec-charter.html http://firewall.sysware.com.tw/faq/vpn/ipsec.html http://firewall.sysware.com.tw/faq/vpn/SKIP.html http://conway.cba.ufl.edu/ism6222/Ipsec.html http://www.hsc.fr/veille/papier/papier.html.en 关于作者 陈新风,主要从事 Windows 及 UNIX 平台下平台、文件、网络等相关保护工作和安全防护。 E-mail:chenxinf@xinhuanet.com 上一页 [1] [2]
 |
频道声明:本频道的文章除部分特别声明禁止转载的专稿外,可以自由转载.但请务必注明出出处和原始作者 文章版权归本频道与文章作者所有.对于被频道转载文章的个人和网站,我们表示深深的谢意。
| 原始作者:佚名 |
录入时间:2006-12-26 2:45:28 |
| 信息来源:不详 |
投稿信箱:itqoo@126.com |
|
|
 |
|
|
|
| 文章录入:itqoo 责任编辑:itqoo |
|
上一个文章: BGP/MPLS VPN的实现技术分析
下一个文章: VPN技术方案建议书 |
| 【字体:小 大】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】 |
用户登录 
新用户注册 
网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!) 