保证网络设备控制及数据平面安全性的集成方法
发布时间:2007/8/23 0:00:00 访问次数:528
要找出一个瑕疵来攻击某种理论远比证明该理论完美无缺容易。安全网络就像一种理论,找出网络安全方案的漏洞也比消除其中所有可能的漏洞要容易。不过,理论与安全网络之间的类似性并非完全是负面的。一个理论即便没有经过证明,甚至不正确,它也可能是有用的。众所周知,牛顿的物理学定律是错误的,但它提供了对现实的准确模拟,因此可用于太阳系内的运动。
今天的大多数网络都还不能算是接近于安全,但它们仍可能是非常有用,甚至是至关重要的。有安全意识却又注重实效的IT经理及系统工程师们在购买可提高网络安全性却不影响其效用的设备。IT经理们对安全网络所固有的理论属性已有了较为成熟的理解,因而不再期待那种神奇的全功能安全设备。结果,即便是在经济不景气的时期,那些能够堵住经常被人攻击的漏洞,同时又可维持或扩展网络带宽及用户接入的系统销量都很好。一个最具说服力的例子是带有加密加速及802.11i无线接入点的VPN路由器。由于具有加密功能的系统使用得越来越多,预计在2~3年内,“安全的”网络流量所占总流量的百分比将从2003年的5-10%上升到75%。
控制与数据通路安全协议
容易受到攻击的安全漏洞同时存在于数据平面及控制平面。VPN路由器是数据平面安全性的一个例证。利用一种称为IPSec的第三层协议可保证数据包转发的安全。VPN/IPSec路由器根据网络管理员定义的安全规则,在路由IP数据包之前可以有选择地将加密和密码消息完整性算法应用于这些IP数据包。受到IPSec安全保护的数据包不会被偷窃或被恶意操纵。虽然单凭这种方式并不能确保网络的安全,但保密性及数据完整性是一个良好的开端。
SSL是另一种常用的数据平面安全协议。SSL位于OSI模型的第4层,虽然所采用的具体方法不尽相同,但SSL可为TCP有效载荷提供保密性及数据完整性。SSL位于网络中较高的一层是因为它就是被设计用来为网络端点提供安全决策控制。SSL端点与网络的安全规则无关,它在用户定义的策略下直接与另一个SSL端点进行安全会话协商,以确定另一端点是否有足够的数据保护能力。在一次SSL握手中,如果发起者或响应者无法就一系列加密和完整性算法达成一致,那么这一会话就无法建立起来。PC及服务器组成了当今最常见的SSL端点,不过其它类型的设备也在使用SSL协议(或经过IETF批准的类似协议TLS)进行代理认证。
IPSec和SSL是为网络通信提供保密性及数据完整性的最常见及广为人知的方法。几种新的数据平面安全协议也在实施或定义中,其中包括安全实时传输协议(SRTP)、802.1AE媒体存取控制安全(即LinkSec或MACSec)、iSCSI和802.11i。所有这些协议都能提供保密性及数据完整性,但每种协议工作的网络层以及具体方法却不尽相同。
SRTP专门用于保护语音和视频,在这类应用中组播和数据包低扩展是必须考虑的重要因素。SRTP位于网络第4层顶部,因而专门用于网络端点的部署,包括服务器、PC及手机。它采用AES算法,以计数器模式(零扩展加密)进行加密,并使用SHA-1算法实现数据完整性。不过,SRTP以牺牲数据完整性(低于SSL或IPSec)来获得低扩展完整性校验和。这种折衷之所以能够实现,是因为SRTP专用于语音和视频,而不像SSL和IPSec那样一般用于传送数据。最终的会话端点--人的耳朵及眼睛能够检测出数据包的插入、操纵及回放(由于完整性校验和较弱,回放是可能的)。
在新的高层安全协议实施的同时,IEEE也在制定802.1AE(MACSec)协议,这是一种用于提高有线以太网连接安全性的第2层安全协议,其机理与802.11i保护无线以太网的方式类似。尽管人们一直认为有线以太网比无线以太网更加安全,但仔细观察一下建立在以太网交换机上的城域网,就会发现仍有很多可能被攻击的漏洞。VLAN与虚拟专用LAN有所不同,但具有AES加密功能的802.1AE也许能改变这一切。
上述对保密性及数据完整性协议的简要回顾清楚地表明加密技术在网络数据平面中的使用越来越普遍。随着加密网络流量的增长,加密算法的计算密集特性要求现有系统必须进行升级或替换。一些类型的网络设备只需为某一种安全协议提供加速即可,而其它的设备则不会这么幸运,它们必须具有可将网络流量从一种安全协议转换到另一种协议的能力。
由于数据通路第一个被保护数据安全所需的加密处理所控制,它已受到最大的关注。这颇有讽刺意味,因为不能成功地保证控制流量的安全就会破坏该数据通路的任何安全措施。假设一个网络窃密者无法对两个节点间传送的用户信息进行解密,但可以清楚地看到路由表更新、网络状态消息及RSVP消息等控制流量,而且这些消息未被认证,那么不需太长时间该窃密者便可找到一条最佳途径来获取用户信息,即故意插入错误命令使数据通路安全机制关闭或无效。该例子是假定网络攻击者对某些特定的用户信息流感兴趣。实际上,网络攻击大都极具破坏性,网络节点要么因为破坏性指令而崩溃,要么因受到扰乱而产生大量消息,
要找出一个瑕疵来攻击某种理论远比证明该理论完美无缺容易。安全网络就像一种理论,找出网络安全方案的漏洞也比消除其中所有可能的漏洞要容易。不过,理论与安全网络之间的类似性并非完全是负面的。一个理论即便没有经过证明,甚至不正确,它也可能是有用的。众所周知,牛顿的物理学定律是错误的,但它提供了对现实的准确模拟,因此可用于太阳系内的运动。
今天的大多数网络都还不能算是接近于安全,但它们仍可能是非常有用,甚至是至关重要的。有安全意识却又注重实效的IT经理及系统工程师们在购买可提高网络安全性却不影响其效用的设备。IT经理们对安全网络所固有的理论属性已有了较为成熟的理解,因而不再期待那种神奇的全功能安全设备。结果,即便是在经济不景气的时期,那些能够堵住经常被人攻击的漏洞,同时又可维持或扩展网络带宽及用户接入的系统销量都很好。一个最具说服力的例子是带有加密加速及802.11i无线接入点的VPN路由器。由于具有加密功能的系统使用得越来越多,预计在2~3年内,“安全的”网络流量所占总流量的百分比将从2003年的5-10%上升到75%。
控制与数据通路安全协议
容易受到攻击的安全漏洞同时存在于数据平面及控制平面。VPN路由器是数据平面安全性的一个例证。利用一种称为IPSec的第三层协议可保证数据包转发的安全。VPN/IPSec路由器根据网络管理员定义的安全规则,在路由IP数据包之前可以有选择地将加密和密码消息完整性算法应用于这些IP数据包。受到IPSec安全保护的数据包不会被偷窃或被恶意操纵。虽然单凭这种方式并不能确保网络的安全,但保密性及数据完整性是一个良好的开端。
SSL是另一种常用的数据平面安全协议。SSL位于OSI模型的第4层,虽然所采用的具体方法不尽相同,但SSL可为TCP有效载荷提供保密性及数据完整性。SSL位于网络中较高的一层是因为它就是被设计用来为网络端点提供安全决策控制。SSL端点与网络的安全规则无关,它在用户定义的策略下直接与另一个SSL端点进行安全会话协商,以确定另一端点是否有足够的数据保护能力。在一次SSL握手中,如果发起者或响应者无法就一系列加密和完整性算法达成一致,那么这一会话就无法建立起来。PC及服务器组成了当今最常见的SSL端点,不过其它类型的设备也在使用SSL协议(或经过IETF批准的类似协议TLS)进行代理认证。
IPSec和SSL是为网络通信提供保密性及数据完整性的最常见及广为人知的方法。几种新的数据平面安全协议也在实施或定义中,其中包括安全实时传输协议(SRTP)、802.1AE媒体存取控制安全(即LinkSec或MACSec)、iSCSI和802.11i。所有这些协议都能提供保密性及数据完整性,但每种协议工作的网络层以及具体方法却不尽相同。
SRTP专门用于保护语音和视频,在这类应用中组播和数据包低扩展是必须考虑的重要因素。SRTP位于网络第4层顶部,因而专门用于网络端点的部署,包括服务器、PC及手机。它采用AES算法,以计数器模式(零扩展加密)进行加密,并使用SHA-1算法实现数据完整性。不过,SRTP以牺牲数据完整性(低于SSL或IPSec)来获得低扩展完整性校验和。这种折衷之所以能够实现,是因为SRTP专用于语音和视频,而不像SSL和IPSec那样一般用于传送数据。最终的会话端点--人的耳朵及眼睛能够检测出数据包的插入、操纵及回放(由于完整性校验和较弱,回放是可能的)。
在新的高层安全协议实施的同时,IEEE也在制定802.1AE(MACSec)协议,这是一种用于提高有线以太网连接安全性的第2层安全协议,其机理与802.11i保护无线以太网的方式类似。尽管人们一直认为有线以太网比无线以太网更加安全,但仔细观察一下建立在以太网交换机上的城域网,就会发现仍有很多可能被攻击的漏洞。VLAN与虚拟专用LAN有所不同,但具有AES加密功能的802.1AE也许能改变这一切。
上述对保密性及数据完整性协议的简要回顾清楚地表明加密技术在网络数据平面中的使用越来越普遍。随着加密网络流量的增长,加密算法的计算密集特性要求现有系统必须进行升级或替换。一些类型的网络设备只需为某一种安全协议提供加速即可,而其它的设备则不会这么幸运,它们必须具有可将网络流量从一种安全协议转换到另一种协议的能力。
由于数据通路第一个被保护数据安全所需的加密处理所控制,它已受到最大的关注。这颇有讽刺意味,因为不能成功地保证控制流量的安全就会破坏该数据通路的任何安全措施。假设一个网络窃密者无法对两个节点间传送的用户信息进行解密,但可以清楚地看到路由表更新、网络状态消息及RSVP消息等控制流量,而且这些消息未被认证,那么不需太长时间该窃密者便可找到一条最佳途径来获取用户信息,即故意插入错误命令使数据通路安全机制关闭或无效。该例子是假定网络攻击者对某些特定的用户信息流感兴趣。实际上,网络攻击大都极具破坏性,网络节点要么因为破坏性指令而崩溃,要么因受到扰乱而产生大量消息,
相关技术资料- 5-14高精度智能磁性传感器芯片KTM5900
- 5-14新一代全光纤工业光总线技术应用前景
- 5-14通感控一体全光网芯片TS-PON Gen2
- 5-14Sub-GHz/Wi-SUN 收发器技术参数设计
- 5-14低功耗 8 位和 16 位微控制器(MCU)
- 5-14双 LVDS (OpenLDI) LCD 视频处理器
- 5-13业界新型“Dauerpower”逆变器SiC MOS
- 5-13电源管理芯片 (PMIC)应用详解
- 5-13 Power Management Buck/降压转换器̴
- 5-13AI GPU 和 TPU的超高功率密度电源模块
- 5-13高性能CMOS图像传感器芯片参数设计
- 5-13四丛集架构10核心方案SS1101处理器
- 相关IC型号
公网安备44030402000607
