在我们实现了信息的联网和自由交换之后,信息的安全性很自然地变成了我们最关注的事情,因为网络黑客和不断冒出的网络病毒正在从根本上动摇用户使用网络的信心,尤其对商业用户来说,信息是否安全直接影响到他们的生死存亡,岂敢不十二万分小心。
在为下一代中小企业(SME)设计集中型安全设备时,必须要考虑方方面面的安全硬件、软件和算法技术。
当下一代安全设备设计师评估将要面临的挑战时,他们必须首先考虑目标市场。有多少用户需要支持?需要提供多大的安全带宽?
所有的系统都要满足这些要求,不管是大型公司总部配置的大型安全设备,还是只为少数用户服务而设计的SoHo网关。显然,这两类安全设备会试图以不同的方式解决技术挑战。本文讨论的重点将集中在中小企业用安全设备上,它们一般规定同时支持的用户最多不超过一百个,并提供最高可达100Mbps的全双工安全带宽。
第二个设计考虑就是如何在单芯片架构和双芯片架构之间做出选择。一些半导体供应商已经推出具有片上安全引擎的集成式处理器来满足SoHo市场的需要。尽管这种单芯片解决方案对一些特定应用(SoHo就是其一)非常合适,但这种类型的安全设备传统上都采用一种双芯片嵌入式架构进行设计,该架构由一个集成式通信处理器和一个专用安全协处理器组成,它可提供互联网协议安全(IPsec)加速处理能力,而这是虚拟专网(VPN)隧道技术的基础。集成式通信处理器提供关键的片上接口,用以与各种网络端口和外部设备连接。
对有安全需要的应用来讲,双芯片解决方案可同时提供灵活性和较高的安全度。双芯片设计使设计师能够选择最佳的解决方案;集成式单芯片方法则不得不在某些性能方面打折扣。
例如,早先提到的设计师守则之一就是提供一条升级路径,以便在新的安全性威胁出现之后能快速采取预防措施。为做到这一点,选择一种具备一定处理裕量的更快速处理器,或者至少选择一种与后续型号针脚兼容的更高主频处理器,不失为一种明智之举。
不过,集成式解决方案常常做不到这一点,因为它已针对某个特定的价格/性能点进行了优化。下一代安全设备的设计师必须分配一定的处理器性能裕量,以通过添加一些软件来应付最新的黑客攻击。类似地,外部安全协处理器的选取应基于其应对灵活设计的能力。安全性需求会随时间而改变,它们包括加密/散列算法、需要支持的并行VPN隧道数目、以及所提供的总安全带宽。
此外,双芯片架构也许是一种更保险的安全设备设计方法。NIST(国家标准与技术研究所)是美国商务部技术管理局下的一家非强制联邦机构,它已经定义了安全性要求,这就是所谓的联邦信息记录标准(FIPS)140-2,并对加密模块制定了一套有效的验证程序。该标准已为所有联邦机构所采用,并在金融、法律以及医疗机构中获得了广泛认同,这些单位非常关注安全的数据通信和一致的安全性设计。
双芯片嵌入式架构提供为满足FIPS-142标准所需的边界。通过隔离各安全功能并把关键性安全参数存储在外部安全协处理器的内存上,相关设计可满足FIPS 140-2所定义的最高安全级别。
单芯片架构常常无法满足FIPS标准,因为难以将安全性功能从操作系统中分割出来,这个脆弱之处一般被黑客当作目标来攻击。如果安全设备的主要目标之一是要获得高级安全认证,这些问题就必须得到解决。
一旦硬件规范考虑之后,下一个目标就是把一种能实现今天和明天安全性要求目标的软件结构加进来。当然,有多个安全层需要考虑。上图表示的例子阐明了开放系统互连(OSI)模型中的各个安全层,以及它们映射到一种推荐性安全设备设计中的方式。下面的图例说明,几乎在每层都要应用不同的安全协议。
嵌入式操作系统是实现安全系统最关键的元素之一。黑客在破坏一个系统以及企业网络时,攻击操作系统漏洞是他们最常采取的手段之一。不过,有几种权衡可考虑。软件工程师大都希望使用一种灵活的操作系统,它可当作一种通用平台以便集成新应用。另一方面,安全系统设计师希望采用一种强调安全性的操作系统。事实上,许多开发专有操作系统的厂商认为,在开发一种安全设备时,专有操作系统才是知识产权中最具价值的部分。决定许可使用其操作系统的设计师必须为其设计确定最重要的安全性标准。
标准嵌入式开放源代码分发目前已不足以确保系统能够抵御入侵者的攻击。当然,开放源代码确有其优势,因为有大量的开发人员持续不断地监守安全弱点并努力尝试在它们被利用之前提供补丁。另一种选择是从所谓的安全性硬化操作系统入手,但它可能存在成本高且与现有应用兼容性少的缺点。这些产品试图分割主要功能,以求能够阻止黑客访问较为敏感的服务。有些供应商现在可以提供嵌入式Linux操作系统升级版本,能满足此类设计所需的安全强化标准。
软件协议也是保障安全的重要一环,它们对系统设计的影响需要充分认识。最常提及的协议是IPsec。通过严格定义,这种协议应以一种改进的TCP/IP联网堆栈的形式嵌入到操作系统之中。但其实现也可采用一种“冲撞堆栈”方法,即在操作系统TCP/IP堆栈处理数据包之前就完成IPsec处理。
一条类似的路径就是采用MAC层认证标准802.1x,它最常用于新型的WPA和802.11i无线安全项目计划,当然也可用于有线和无线网络。一些供应商已选择提供一种捆绑在操作系统内的认证引擎;另一些厂商在应用层进行操作。802.1x不规定加密、短消息完备性检查或短消息认证,而是规定一条安全的信道,这有时叫作基于端口的网络访问控制。进一步讲,802.1x使用可扩展认证协议,它允许使用多种认证方案。安全设备的构建师将必须决定支持哪种类型的认证。
防火墙和入侵侦测技术一直是安全业最为活跃的研发领域。防火墙的目标是抵御攻击,通过执行一套规则,它允许或拒绝企业网与公共互联网之间的通信作业。今天,由于外部的黑客攻击变得极为复杂,需要有一套新的算法。状态检测防火墙技术监控每个TCP/IP连接的状态,确保源地址和目的地址都有效。通过检查有关数据包的包头,它能够阻挡想通过假冒一种合法连接进行访问的入侵者。协议级的防火墙算法做得更深入一层,它全方位监控直至应用层的通信信息以便侦测未授权的访问。
随着每数据包处理周期数的上升,对设计的影响就是要求软件量和相关CPU性能的增加。类似地,入侵侦测技术已开发出来,它使用一组预定义规则扫描网络通信并识别不寻常活动。此外,因为存在更复杂的软件活动,这些算法需要大量的运算能力。为实现这些安全技术以及今后更为复杂的新技术,当这些软件模块发挥作用时,安全设备设计师将必须或者引入一种更高性能的处理器,或者规定一种较低的系统带宽吞吐量。
作者:Alex Soohoo
技术应用经理
网络互连产品部
IDT公司
京公网安备 11011202001138号
