要找出一个瑕疵来攻击某种理论远比证明该理论完美无缺容易。安全网络就像一种理论,找出网络安全方案的漏洞也比消除其中所有可能的漏洞要容易。不过,理论与安全网络之间的类似性并非完全是负面的。一个理论即便没有经过证明,甚至不正确,它也可能是有用的。众所周知,牛顿的物理学定律是错误的,但它提供了对现实的准确模拟,因此可用于太阳系内的运动。
今天的大多数网络都还不能算是接近于安全,但它们仍可能是非常有用,甚至是至关重要的。有安全意识却又注重实效的IT经理及系统工程师们在购买可提高网络安全性却不影响其效用的设备。IT经理们对安全网络所固有的理论属性已有了较为成熟的理解,因而不再期待那种神奇的全功能安全设备。结果,即便是在经济不景气的时期,那些能够堵住经常被人攻击的漏洞,同时又可维持或扩展网络带宽及用户接入的系统销量都很好。一个最具说服力的例子是带有加密加速及802.11i无线接入点的VPN路由器。由于具有加密功能的系统使用得越来越多,预计在2~3年内,“安全的”网络流量所占总流量的百分比将从2003年的5-10%上升到75%。
控制与数据通路安全协议
容易受到攻击的安全漏洞同时存在于数据平面及控制平面。VPN路由器是数据平面安全性的一个例证。利用一种称为IPSec的第三层协议可保证数据包转发的安全。VPN/IPSec路由器根据网络管理员定义的安全规则,在路由IP数据包之前可以有选择地将加密和密码消息完整性算法应用于这些IP数据包。受到IPSec安全保护的数据包不会被偷窃或被恶意操纵。虽然单凭这种方式并不能确保网络的安全,但保密性及数据完整性是一个良好的开端。
SSL是另一种常用的数据平面安全协议。SSL位于OSI模型的第4层,虽然所采用的具体方法不尽相同,但SSL可为TCP有效载荷提供保密性及数据完整性。SSL位于网络中较高的一层是因为它就是被设计用来为网络端点提供安全决策控制。SSL端点与网络的安全规则无关,它在用户定义的策略下直接与另一个SSL端点进行安全会话协商,以确定另一端点是否有足够的数据保护能力。在一次SSL握手中,如果发起者或响应者无法就一系列加密和完整性算法达成一致,那么这一会话就无法建立起来。PC及服务器组成了当今最常见的SSL端点,不过其它类型的设备也在使用SSL协议(或经过IETF批准的类似协议TLS)进行代理认证。
IPSec和SSL是为网络通信提供保密性及数据完整性的最常见及广为人知的方法。几种新的数据平面安全协议也在实施或定义中,其中包括安全实时传输协议(SRTP)、802.1AE媒体存取控制安全(即LinkSec或MACSec)、iSCSI和802.11i。所有这些协议都能提供保密性及数据完整性,但每种协议工作的网络层以及具体方法却不尽相同。
SRTP专门用于保护语音和视频,在这类应用中组播和数据包低扩展是必须考虑的重要因素。SRTP位于网络第4层顶部,因而专门用于网络端点的部署,包括服务器、PC及手机。它采用AES算法,以计数器模式(零扩展加密)进行加密,并使用SHA-1算法实现数据完整性。不过,SRTP以牺牲数据完整性(低于SSL或IPSec)来获得低扩展完整性校验和。这种折衷之所以能够实现,是因为SRTP专用于语音和视频,而不像SSL和IPSec那样一般用于传送数据。最终的会话端点--人的耳朵及眼睛能够检测出数据包的插入、操纵及回放(由于完整性校验和较弱,回放是可能的)。
在新的高层安全协议实施的同时,IEEE也在制定802.1AE(MACSec)协议,这是一种用于提高有线以太网连接安全性的第2层安全协议,其机理与802.11i保护无线以太网的方式类似。尽管人们一直认为有线以太网比无线以太网更加安全,但仔细观察一下建立在以太网交换机上的城域网,就会发现仍有很多可能被攻击的漏洞。VLAN与虚拟专用LAN有所不同,但具有AES加密功能的802.1AE也许能改变这一切。
上述对保密性及数据完整性协议的简要回顾清楚地表明加密技术在网络数据平面中的使用越来越普遍。随着加密网络流量的增长,加密算法的计算密集特性要求现有系统必须进行升级或替换。一些类型的网络设备只需为某一种安全协议提供加速即可,而其它的设备则不会这么幸运,它们必须具有可将网络流量从一种安全协议转换到另一种协议的能力。
由于数据通路第一个被保护数据安全所需的加密处理所控制,它已受到最大的关注。这颇有讽刺意味,因为不能成功地保证控制流量的安全就会破坏该数据通路的任何安全措施。假设一个网络窃密者无法对两个节点间传送的用户信息进行解密,但可以清楚地看到路由表更新、网络状态消息及RSVP消息等控制流量,而且这些消息未被认证,那么不需太长时间该窃密者便可找到一条最佳途径来获取用户信息,即故意插入错误命令使数据通路安全机制关闭或无效。该例子是假定网络攻击者对某些特定的用户信息流感兴趣。实际上,网络攻击大都极具破坏性,网络节点要么因为破坏性指令而崩溃,要么因受到扰乱而产生大量消息,作为分布式拒绝服务攻击的一部分来保护网络。
一些网络设备供应商已提供了对控制流量进行保护的专用方案,但这些方案只能保护网络管理员用来对系统进行远程配置的控制端口。尽管提供这种方案的供应商依赖于现有的加密安全协议,包括IPSec和SSL,但这些方案都是专用的,因为还没有安全保护控制端口的行业标准。
由于控制通路安全的应用最初仅限于控制端口,所以与加密及完整性检查相关的CPU负荷还是比较容易管理的。如果不使用加密加速安全技术,在增强版本的控制协议中,如OSPF(v2)、(S)BGP和SNMP(v3),太多的加密和完整性检查将迅速成为CPU无法承受的负担。
“开放最短路径优先(OSPF)”是在路由器间传送链路状态协定的一种协议。OSPF消息以固定的间隔在路由器间传送,在OSPF v2标准化之前,这些消息很容易被恶意篡改。OSPF v2采用了一种加密散列算法(MD-5)来计算OSPF消息的完整性校验和,从而为接收方路由器提供了一种机制来检测(或拒绝)被恶意篡改的LSA。由于OSPFv2消息未加密,因此对潜在的攻击者是可见的,但这种可见性并不会引起对OSPF协议的攻击。
OSPFv2中MD-5校验和的使用意味着对控制流量进行最小程度的加密保护。MD-5是一种比较老的散列(hashing)算法,最好不要用于新的设计。尽管加密硬件在计算MD-5时速度更快,但通常利用一个通用CPU(性能带有一些余量)来分担与OSPFv2相关的计算负荷,这样不会影响其它方面的性能。
控制通路安全应用的另一端是所建议的安全边界网关协议(BGP)。与OSPF功能类似,BGP UPDATE消息可在路由器之间传送路径属性。在S-BGP中,每一个路径属性都包含一个路由证明,它是一个节点“发过誓的证词”,即经过该路由,一个数据包必须达到其目的地。每一个“路由证明”都由产生该证明的路由器进行数字签名,而接收S-BGP Update消息的路由器必须核实一个或多个数字签名,以确保这些路由证明不是伪造的。S-BGP通过路由器间的IPSec通道进行传输,因为IPSec可为整个消息提供保密性及数据完整性。由IPSec提供的完整性检查可能与路由证明中的数字签名重复,但数字签名不会涵盖S-BGP UPDATE的所有部分,而且如果不用IPSec,有效的签名也可能被附加在伪造的路径属性报头上。
数字签名是利用RSA算法产生的,该算法使用大的私钥对被保护数据包散列进行加密。利用私钥对散列加密称为签署(signing)。经由私钥加密的消息的接收方可到一个可靠的信息源查寻对应于发送方的公钥。如果该发送方的公钥能够解密这一数据散列,那么接收方就知道该消息的确是由发送方发出的,而且该消息在签名后并没被修改。使用公钥解密数据散列称为验证(verification)。数字签名的计算量很大,甚至比最强的“大块”加密算法还要大许多倍。如果一个S-BGP消息中包括一个以上的路由证明,即使功能最强的通用CPU也不能在几秒之内处理完这些任务。
在未来几年内S-BGP是否能得到广泛应用目前还是未知,这很可能取决于所发生的重大事件。如果一些对不安全路由协议的攻击得逞,而且导致系统大面积瘫痪或被保护的用户数据被暴露的话,S-BGP开发者就不会再充满幻想。现在人们已普遍认识到,即使安全性已得到很大提高的OSPF v2也不会走太远。IETF已成立了一个称为RPSec(路由协议安全)的工作组来开发可用于现有路由协议的安全机制。这些机制可能不包括多个数字签名,但几乎可以肯定它们会采用功能强大的加密完整性算法(如SHA-1),而且极可能依靠IPSec或SSL来保证网络节点间控制流量的安全。
整合加密加速的实现方案
在决定如何实现加密加速时,第一步是了解你的系统将要处理的安全协议,并且判断系统中有哪些物理单元(IC、模块、刀片和线卡等)跟安全协议所工作的层上的流量处理有关。例如,IPSec工作于第3层。如果第3层前向决策由电路板A上的网络处理器做出,则IPSec加速应位于A板上,或尽可能靠近该网络处理器。SSL工作于第4层。如果TCP终止发生在电路板B上的主处理器中,则SSL加速应位于B板,或尽可能靠近该主处理器。这种分析方法的前提是系统结构能够满足明确的网络吞吐量或业务目标,而且只是由于加密工作负荷增加而需要一些协助。
确定系统中的哪些物理单元需要加密加速器的帮助后,下一步是确定它们需要多少帮助。如果网络处理器需要处理几百Mbps甚至高达Gbps的IPSec流量,那么协处理器必须具有很好的初始性能,以及一个高性能接口与网络处理器相连。还需要了解该协处理器的编程要求,具体地说,就是除了需要加密或解密的数据包,该协处理器还需要从该网络处理器获得什么?一些协处理器要求设备卸下负荷以提供命令列表,另一些则需要会话ID并根据这些信息来确定自己的命令,功能最强的协处理器可能只需要数据包就够了。性能要求及接口(硬件和软件)将确定所需安全协处理器的类型。
如果系统的IPSec负荷很高,并且NPU的可编程能力太低而不能集成协处理器的设备驱动程序,就需要一个安全数据包处理器。这类器件通常与NPU一样大,具有类似的外部存储器要求及价位。其大小与功耗决定了它们只能安装在自己的线路板上,除非在NPU板上有足够的可用空间。无论哪种情况,设备间的接口都采用一种背板,如SPI-4。数据流会让所有需要3层处理的数据包到达NPU,而将需要IPSec处理的数据包路由到安全数据包处理器。然后由安全数据包处理器决定该数据包属于哪一个IPSec会话,完成IPSec转换,并将该数据包路由回NPU。
这种系统结构在高端VPN路由器中是典型的。该方法承担了NPU与安全数据包处理器之间的大部分冗余成本,因此降低了灵活性。安全数据包处理器可处理IPSec流量,但对可能需要减轻加密控制流量负荷的系统的其它板没有任何帮助。在路由器建立起一个会话并将会话信息放入每个设备使用的表之前, NPU或安全网络处理器可能都不会对数据包进行处理。对于NPU,路由处理器会放入路由表及潜在的QoS信息。对于安全数据包处理器,会话信息包含VPN路由器及IPSec遂道另一端(可能是另一个VPN路由器)通过互联网密钥交换(IKE)协议进行协商的参数及密钥。
IKE与上文中提到的数字签名有很多相似之处,所需计算量很大。IKE是一种安全控制流量,路由处理器或许不能将IKE及控制流量解密的负荷卸载到安全数据包处理器。高端路由器中的路由处理器通常是功能最强大的通用嵌入式处理器,大多数系统都依赖IKE不太常用的特性得以混过,而不必向路由处理器提供其协处理器。随着IPSec通信量速率的提高,IKE将变得更加频繁,而且受到保护的控制流量(RPSec)将要求系统设计者开始为路由处理器提供安全协处理器。幸运的是,这种器件不必具备安全数据包处理器那样的高性能及专用性。具有PCI接口的小型、低价协处理器便足够了。
这种安全结构的前提是网络处理器完成所有第3层前转任务,主安全协议为IPSec,并且对IPSec及非IPSec流量均有较高的性能要求。在中等性能的应用中,NPU和路由处理器则让位于通信处理器,它包括可编程CPU内核,以及集成的网络接口、外围总线和存储控制器。在通信处理器中,控制与数据平面仍然存在,但它们是逻辑而不是物理分离的。而且,安全协处理器等资源在控制与数据平面操作间共享也变得更加容易。
以飞思卡尔的PowerQUICC通信处理器为例,所有网络接口均连接到通信处理器模块(CPM),包括以太网MAC、串行通信控制器,以及与一个微编码RISC引擎合在一起的ATM信元处理硬件。大多数第2层操作都由CPM进行处理,无须CPU介入,这包括以太网与以太网、以太网与ATM以及ATM与ATM之间的交换。通过在CPU上运行上层MAC软件,可以提供增强的第2层业务,包括MAC Sec等新兴的第2层安全协议,同时加密负荷被卸载到一个称为SEC的片上安全协处理器。
在围绕通信处理器而建成的区域性VPN路由器中,很容易找出需要安全加速的器件。那就是通信处理器,而对控制及数据平面的加密进行卸载是由协处理器完成的,或者就PowerQUICC来说,则是由内部SEC完成的。IPSec路由使用了PowerQUICC的所有功能组件。CPM用于管理第2层的LAN与WAN接口,并将一个第3层数据包放入内存后,集成的PowerPC接手过来,运行IPSec栈,以确定该数据包是否需要加密或解密,如果是,怎么加密或解密。然后,它会为SEC产生一个命令列表,并将SEC指向该命令列表。SEC作为内部总线操作者,获取密钥、Ivs及数据,并将完成的数据写回内存中。操作完成后,SEC向CPU发出信号,CPU将该数据包放入CPM的传送队列中。PowerQUICC就是一个单芯片VPN路由器。
与目前及未来VPN路由器相关的控制路径操作也完全在PowerQUICC器件内处理。CPM从网络接收数据,并将其传送给CPU。路由表更新可由CPU在SEC的协助下进行完整性检查,新的IPSec会话也可充分利用SEC中的公钥加速器在几个微秒内以极低的CPU开销建立起来。飞思卡尔的SEC允许不同的加密操作并行运行,这样数据通路操作(如带3DES-HMAC-SHA-1的IPSec)就可利用RSA与IKE同步完成。
PowerQUICC等通信处理器的应用远不止中低档VPN路由器。许多应用都需要这种按顺序将一种网络协议转换成另一种的能力。未来几年内,网络互连及协议转换还将不断改进,以便网络中的几乎每个接口都可使用加密及解密。利用通信处理器,尤其是具有广泛加密支持的通信处理器,网络系统设计者所设计的设备不仅能够封住目前的许多安全漏洞,还可灵活地承受与解决下一轮漏洞的方案相关的加密负荷。
作者:Geoff Waters
安全技术部高级应用工程师
飞思卡尔半导体公司
京公网安备 11011202001138号
