在過(guò)去的幾個(gè)世紀(jì)里,軍事手段和方法隨著技術(shù)的發(fā)展而發(fā)展。通信網(wǎng)絡(luò)已成為軍隊(duì)日常運(yùn)作的重要組成部分,因此對(duì)通信網(wǎng)絡(luò)的保護(hù)需求日益增長(zhǎng)。以加密作為網(wǎng)絡(luò)保護(hù)的基礎(chǔ),Oren 比較了兩種最常見(jiàn)的方法,即 IPSec 和第 2 層加密,其中第 2 層是明顯的贏家。
現(xiàn)代戰(zhàn)爭(zhēng)要求以網(wǎng)絡(luò)為中心的通信技術(shù)必須與強(qiáng)有力的作戰(zhàn)計(jì)劃和紀(jì)律嚴(yán)明的士兵一樣,成為成功的軍事行動(dòng)的核心。
因此,以網(wǎng)絡(luò)為中心的通信基礎(chǔ)設(shè)施必須具有靈活性、敏捷性、可擴(kuò)展性、冗余性,以及在關(guān)鍵網(wǎng)絡(luò)層中吸收信息安全性的能力(圖 1)。還需要進(jìn)行綜合管理,以便所有各級(jí)工作人員都能共同了解情況。但最重要的是,必須保護(hù)以網(wǎng)絡(luò)為中心的通信基礎(chǔ)設(shè)施 - 在面臨眾多可能致命的安全威脅時(shí),這是一個(gè)艱巨的挑戰(zhàn)。
圖1
通過(guò)FIPS、ITU-T、IEEE、IETF等通用標(biāo)準(zhǔn)平臺(tái),世界各地的軍事通信系統(tǒng)管理員能夠共享和交流有關(guān)最常見(jiàn)威脅的知識(shí)。這些威脅包括攔截或未經(jīng)授權(quán)的一方獲得對(duì)敏感資產(chǎn)的訪問(wèn);中斷,或使系統(tǒng)資產(chǎn)變得無(wú)用;修改或未經(jīng)授權(quán)的人篡改資產(chǎn);以及制造,或由未經(jīng)授權(quán)的一方將新對(duì)象插入系統(tǒng)。
打擊這些網(wǎng)絡(luò)安全威脅的最常用和最有效的解決方案之一是加密,以色列國(guó)防部將其定義為:“通過(guò)使用數(shù)學(xué)方程式或算法修改數(shù)據(jù)或傳輸方式,無(wú)論是通過(guò)密鑰還是通過(guò)密鑰,全部或部分加擾數(shù)據(jù)”。
防御網(wǎng)絡(luò)威脅是有代價(jià)的,安裝適當(dāng)?shù)募用芟到y(tǒng)可能很昂貴。在某些情況下,成本可能高達(dá)總鏈路成本的 10%。然而,許多軍事網(wǎng)絡(luò)管理員面臨的挑戰(zhàn)不僅是管理加密預(yù)算和支出,而且還要找到一個(gè)高效且不會(huì)對(duì)性能產(chǎn)生重大影響的加密平臺(tái)。
在接下來(lái)的部分中,我們將研究這些性能影響,即網(wǎng)絡(luò)復(fù)雜性、抖動(dòng)和延遲。我們還將研究第 2 層解決方案如何以合理的成本克服大多數(shù)這些缺點(diǎn),以及為什么它們是常用 IPSec 的更好替代品。
加密缺點(diǎn):網(wǎng)絡(luò)復(fù)雜性的來(lái)龍去脈
隨著現(xiàn)代 IPSec 加密的使用不斷增加,網(wǎng)絡(luò)復(fù)雜性已成為網(wǎng)絡(luò)管理員關(guān)注的重要問(wèn)題。需要注意的原因包括:
如果使用 IPSec 隧道模式,則會(huì)創(chuàng)建一個(gè)新的 IP 標(biāo)頭來(lái)屏蔽整個(gè)數(shù)據(jù)包,這意味著 IP 數(shù)據(jù)包會(huì)變大并且需要更多時(shí)間才能通過(guò)路由,因此處理時(shí)間會(huì)增加。這也使網(wǎng)絡(luò)復(fù)雜化,因?yàn)檫\(yùn)營(yíng)商需要持有兩組地址(用于加密數(shù)據(jù)包和解密數(shù)據(jù)包)。
加密通常適用于點(diǎn)對(duì)點(diǎn)或點(diǎn)對(duì)多點(diǎn)連接。更多的鏈接意味著需要更多的加密密鑰。這使得操作更加復(fù)雜,并可能導(dǎo)致人為錯(cuò)誤,從而導(dǎo)致網(wǎng)絡(luò)故障。
例如,IP 語(yǔ)音網(wǎng)絡(luò)要求端到端延遲低于 250 毫秒 (msec),在大多數(shù)情況下,可以通過(guò)設(shè)計(jì)滿足這一要求。在示例網(wǎng)絡(luò)中,最長(zhǎng)跨度延遲達(dá)到最大 200 毫秒。這是代表性網(wǎng)絡(luò)中兩個(gè)遠(yuǎn)程節(jié)點(diǎn)之間的特征延遲。
但是,如果引入了點(diǎn)對(duì)點(diǎn)加密,并且在此過(guò)程中有多個(gè)躍點(diǎn),則每個(gè)躍點(diǎn)表示加密器引入的延遲的兩倍。如果加密器引入 5 毫秒延遲,則只需 7 跳即可對(duì)網(wǎng)絡(luò)性能產(chǎn)生重大不利影響。
由于最大跨度達(dá)到 200 毫秒,并且跨度包含七個(gè)躍點(diǎn),因此組合延遲變?yōu)?270 毫秒(200 毫秒跨度延遲 + 5x14 加密器延遲 = 270 毫秒)。超過(guò)所需的最低 250 毫秒延遲水平會(huì)導(dǎo)致語(yǔ)音質(zhì)量迅速下降,偶爾還會(huì)呈現(xiàn)聽(tīng)不見(jiàn)的對(duì)話。
IPSec 問(wèn)題:延遲和抖動(dòng)
另外兩個(gè)主要缺點(diǎn)是延遲和抖動(dòng)。如上一個(gè)示例中所述使用 IPSec 加密時(shí),數(shù)據(jù)包大小可能會(huì)以非確定性方式更改。此更改會(huì)影響網(wǎng)絡(luò)性能,主要體現(xiàn)在延遲和抖動(dòng)方面。
圖 2 表明,除了處理加密器中的信息外,新 IPSec 加密數(shù)據(jù)包的總體數(shù)據(jù)包大小可能會(huì)有所不同。在這種情況下,不僅會(huì)發(fā)生延遲,而且還會(huì)發(fā)生數(shù)據(jù)包大小的變化,從而給系統(tǒng)帶來(lái)不必要的抖動(dòng)。
圖2
除了抖動(dòng)之外,我們假設(shè)網(wǎng)絡(luò)有 20 個(gè)節(jié)點(diǎn)(一個(gè)小網(wǎng)絡(luò)),每個(gè)節(jié)點(diǎn)連接到 3 個(gè)其他節(jié)點(diǎn)。在這種情況下,路由表在每個(gè)節(jié)點(diǎn)上最多包含 19 個(gè) IP 地址。在隧道模式下引入 IPSec 意味著將需要額外的 19 個(gè)或更多(如果我們?cè)诠?jié)點(diǎn)之間使用多個(gè)密鑰)IP 地址,因?yàn)槲覀円部梢栽诓皇鼙Wo(hù)的模式下工作(對(duì)于較低分類的應(yīng)用程序)。
因此,我們面臨一個(gè)嚴(yán)重和復(fù)雜的兩難境地。如果我們使用加密,成本會(huì)增加,性能會(huì)受到影響,并且網(wǎng)絡(luò)背負(fù)著許多復(fù)雜性,使其非常難以管理。如果我們不使用加密,成本會(huì)更低;但是,該網(wǎng)絡(luò)非常脆弱。
分析可能的解決方案
人們普遍認(rèn)為,沒(méi)有加密,軍事網(wǎng)絡(luò)將無(wú)法“運(yùn)行”,因?yàn)闄C(jī)密應(yīng)用程序需要越來(lái)越多的網(wǎng)絡(luò)資源。因此,解決方案是找到性能最佳且最具成本效益的加密器(表 1)。此系統(tǒng)應(yīng)包括以下屬性:
表1
高性能 - 最小延遲,最大吞吐量
成本低
最小的網(wǎng)絡(luò)影響 - IP 地址沒(méi)有變化
對(duì)網(wǎng)絡(luò)的最大保護(hù) - 在國(guó)際標(biāo)準(zhǔn)化組織 (ISO) 的開放系統(tǒng)互連基本參考模型 (OSI 模型) 七層模型上盡可能低。再次參見(jiàn)圖 1。
讓我們檢查幾個(gè)選項(xiàng),看看它們?nèi)绾螡M足這些要求。
由于不采用加密系統(tǒng)對(duì)于當(dāng)今的國(guó)防網(wǎng)絡(luò)來(lái)說(shuō)不是一個(gè)現(xiàn)實(shí)的選擇,并且考慮到基于應(yīng)用程序的加密性能不佳,讓我們將注意力轉(zhuǎn)向傳輸與IP加密器。
IPSec 技術(shù)是第 3 層技術(shù),可保護(hù)從網(wǎng)絡(luò)到應(yīng)用程序的所有層。IPSec 是當(dāng)今用于互聯(lián)網(wǎng)流量安全和業(yè)務(wù)敏感流量解決方案的通用民用解決方案。另一方面,傳輸加密是一種第 2 層技術(shù),它保護(hù)從數(shù)據(jù)鏈路層一直到應(yīng)用層的所有層。
為了確定首選方法,ECI Telecom 對(duì)傳輸和 IP 加密器進(jìn)行了多次試驗(yàn),以審查這兩種選擇并比較性能。試驗(yàn)設(shè)置基于點(diǎn)對(duì)點(diǎn)鏈路,兩端都有流量生成器,并使用可更改的數(shù)據(jù)包/幀大小進(jìn)行負(fù)載測(cè)試。此方法用于比較第 2 層和第 3 層加密器的行為方式。
流量生成器創(chuàng)建了標(biāo)記為“明文”的流量,具有可變的數(shù)據(jù)包/幀大小。兩個(gè)加密器在不同的時(shí)間進(jìn)行了測(cè)試,并記錄了流量生成器的報(bào)告。
如前所述,加密器減少通過(guò)它的流量(限制吞吐量)是可以接受的。但是,建議吞吐量盡可能接近實(shí)際明文流量,以最大程度地減少性能問(wèn)題。試驗(yàn)重復(fù)幾次,平均測(cè)試結(jié)果如圖4所示。
圖4
同時(shí),ECI Telecom還測(cè)試了延遲性能。對(duì)于這些測(cè)試,使用相同的測(cè)試設(shè)置,但測(cè)量鏈路的延遲(通過(guò)第 2 層加密器和介質(zhì)模擬器),將中型模擬器設(shè)置為 10 微秒,以消除對(duì)總鏈路延遲的影響。這些試驗(yàn)的結(jié)果總結(jié)在表2中。
表2
從測(cè)試結(jié)果中可以明顯看出,即使 IPSec 加密產(chǎn)生了可接受的延遲和抖動(dòng)性能,但第 2 層加密對(duì)網(wǎng)絡(luò)性能的影響更大。第 2 層加密具有更好的網(wǎng)絡(luò)保護(hù),并簡(jiǎn)化了網(wǎng)絡(luò)操作。
第 2 層是“數(shù)字 1”
ECI Telecom 的廣泛測(cè)試表明,第 3 層加密器的平均延遲接近 2 毫秒,變化(抖動(dòng))為 13%,而第 2 層加密的延遲性能提高了 30 倍,變化穩(wěn)定性提高了兩倍。
這些結(jié)果表明,對(duì)于當(dāng)今大多數(shù)運(yùn)行大型多跳復(fù)雜通信基礎(chǔ)設(shè)施的軍事網(wǎng)絡(luò)來(lái)說(shuō),第 2 層是一種更優(yōu)越、更有效的方法。這為他們提供了一個(gè)最終的解決方案,以平衡成本和性能,同時(shí)更深入地保護(hù)他們的網(wǎng)絡(luò)。
審核編輯:郭婷
-
通信系統(tǒng)
+關(guān)注
關(guān)注
6文章
1187瀏覽量
53334 -
加密器
+關(guān)注
關(guān)注
0文章
4瀏覽量
6577
發(fā)布評(píng)論請(qǐng)先 登錄
相關(guān)推薦
評(píng)論