姚蕾

摘要：本課題從移動(dòng)網(wǎng)絡(luò)的發(fā)源講起，分析了影響網(wǎng)絡(luò)安全的各項(xiàng)技術(shù)指標(biāo)，同時(shí)從安全策略、方式，途徑等方面進(jìn)行詳細(xì)的剖析，并進(jìn)行了軟硬件等全面的研究，為保護(hù)移動(dòng)互聯(lián)網(wǎng)大安全具有重大的使用意義。

關(guān)鍵字：新型互聯(lián)網(wǎng)；信息安全；VPN設(shè)備

中圖分類號(hào)：TP393.08

0 引 言

近年來，隨著智能移動(dòng)終端的高度普及，移動(dòng)互聯(lián)網(wǎng)飛速推廣態(tài)勢(shì)，特別是以智能手機(jī)為代表的移動(dòng)終端設(shè)備體現(xiàn)的豐富優(yōu)越性，正在悄然深刻地改變著社會(huì)發(fā)展運(yùn)作模式。這也必將使移動(dòng)網(wǎng)絡(luò)面臨重大沖擊，因而如何保障網(wǎng)絡(luò)數(shù)據(jù)的安全性即已成為時(shí)下學(xué)界的研究焦點(diǎn)。這既是商機(jī)也是挑戰(zhàn)，為此必須重點(diǎn)改進(jìn)提升實(shí)踐開發(fā)技術(shù)，增強(qiáng)網(wǎng)絡(luò)的安全性和保密性。

1 新型互聯(lián)網(wǎng)信息安全的現(xiàn)狀

眾所周知，智能終端的用戶數(shù)量成級(jí)數(shù)倍增長，不可否認(rèn)，在以后很長一段時(shí)間里移動(dòng)互聯(lián)網(wǎng)都將持續(xù)發(fā)展。針對(duì)這一情況，如何在現(xiàn)有國內(nèi)外常見的集中信息安全準(zhǔn)則的基礎(chǔ)上，提出一個(gè)新的適用于移動(dòng)互聯(lián)網(wǎng)應(yīng)用的安全風(fēng)險(xiǎn)評(píng)估模型，具體包括如何對(duì)資產(chǎn)、弱點(diǎn)以及威脅的可能性進(jìn)行定性分析，并對(duì)威脅的影響實(shí)現(xiàn)定量化。這已成為目前應(yīng)用研究的焦點(diǎn)和難點(diǎn)。移動(dòng)互聯(lián)網(wǎng)輿情安全的分析探討是一個(gè)多學(xué)科交叉的研究，其中涉及社會(huì)學(xué)、社會(huì)心理學(xué)、輿論學(xué)、新聞傳播學(xué)以及網(wǎng)絡(luò)科學(xué)與技術(shù)等關(guān)鍵領(lǐng)域的重要基礎(chǔ)知識(shí)和前沿理念，這就使得對(duì)于網(wǎng)絡(luò)輿情安全的理解、分析與把握存在較大難度。同時(shí)隱私信息的保護(hù)問題較也呈現(xiàn)出復(fù)雜性質(zhì)，應(yīng)用開發(fā)或服務(wù)提供者希望從用戶獲取盡可能多的信息，而用戶希望提供盡可能少的信息，與之相關(guān)的度量權(quán)衡也已成為一個(gè)實(shí)效研究課題。

基于此，本次研究提出適用于移動(dòng)互聯(lián)網(wǎng)的風(fēng)險(xiǎn)評(píng)估模型，對(duì)移動(dòng)互聯(lián)網(wǎng)的資產(chǎn)價(jià)值、潛在的安全威脅、薄弱環(huán)節(jié)、防護(hù)措施等進(jìn)行分析，發(fā)現(xiàn)網(wǎng)絡(luò)中的主要安全問題，并且依據(jù)這些隱患進(jìn)一步提出相應(yīng)的防護(hù)措施和策略，力求最大限度地減少損失和負(fù)面影響，更加合理地設(shè)計(jì)實(shí)現(xiàn)移動(dòng)互聯(lián)網(wǎng)的管理。

2 網(wǎng)絡(luò)安全硬件平臺(tái)

研究中與國內(nèi)技術(shù)先進(jìn)的信息安全公司展開合作研究，共同設(shè)計(jì)開發(fā)全新的網(wǎng)絡(luò)安全硬件平臺(tái)和網(wǎng)關(guān)軟件平臺(tái)等，因而將重點(diǎn)針對(duì)網(wǎng)絡(luò)安全保障、監(jiān)測(cè)等方面提供重要探索及有益改進(jìn)。

隨著萬兆網(wǎng)絡(luò)應(yīng)用部署，安全網(wǎng)關(guān)產(chǎn)品高端化成為市場(chǎng)的主要趨勢(shì)，分布式高性能安全網(wǎng)關(guān)硬件平臺(tái)也已成為專業(yè)安全廠商核心掌握的基礎(chǔ)技術(shù)。為應(yīng)對(duì)這一技術(shù)發(fā)展趨勢(shì)，前期研究的分布式高性能安全網(wǎng)關(guān)硬件平臺(tái)已經(jīng)過應(yīng)用測(cè)試，陸續(xù)應(yīng)用于后續(xù)研發(fā)的網(wǎng)關(guān)產(chǎn)品中。該平臺(tái)采用標(biāo)準(zhǔn)工業(yè)機(jī)架式結(jié)構(gòu)，根據(jù)不同的應(yīng)用需求，最多可插入10個(gè)用戶接口板或者安全業(yè)務(wù)處理板。

高性能分布式硬件平臺(tái)的外觀示意如圖1所示。

在如圖1所示的硬件平臺(tái)中，總共設(shè)有12個(gè)槽位?？偟貋碚f，中間2個(gè)槽位為主控板專用，用于插入主控板，其余的10個(gè)槽位，可根據(jù)用戶需求和實(shí)際網(wǎng)絡(luò)環(huán)境，插入接口板或者業(yè)務(wù)板。在需要較為強(qiáng)大支持的網(wǎng)絡(luò)端口時(shí)，可以多插入一些接口板；在需要較高的處理性能時(shí)，可適當(dāng)多插入一些業(yè)務(wù)板。

分布式高性能安全網(wǎng)關(guān)硬件平臺(tái)采用基于全交換網(wǎng)絡(luò)，這個(gè)網(wǎng)絡(luò)將主控板、安全業(yè)務(wù)板及用戶接口板連接在一起。在處理網(wǎng)絡(luò)安全應(yīng)用的業(yè)務(wù)板上，采用了CPU+ASIC的體系架構(gòu)。除了引入高性能處理器外，還采用了Intel最新的網(wǎng)絡(luò)加速芯片- Cave Creek。該芯片內(nèi)置多種網(wǎng)絡(luò)安全加速功能，比如加解密、壓縮和解壓縮、規(guī)則匹配，等等。這些加速功能可以切實(shí)降低CPU的計(jì)算負(fù)載，提升系統(tǒng)的整體性能。

隨著多核技術(shù)廣泛應(yīng)用，云計(jì)算、移動(dòng)互聯(lián)網(wǎng)等新型IT應(yīng)用模式的出現(xiàn)，虛擬化、并行化處理逐步成為提升安全引擎的主要技術(shù)，并行高可靠的安全網(wǎng)關(guān)軟件平臺(tái)成為專業(yè)安全廠商必備的重點(diǎn)關(guān)鍵技術(shù)。

3 網(wǎng)絡(luò)安全軟件平臺(tái)

綜合前述技術(shù)潮流趨勢(shì)的探討結(jié)論，本次研究中與合作公司提出了并行高可靠安全網(wǎng)關(guān)軟件平臺(tái)研發(fā)項(xiàng)目，項(xiàng)目成果日益成熟，陸續(xù)應(yīng)用于多項(xiàng)公司后續(xù)研發(fā)的網(wǎng)關(guān)產(chǎn)品中。

本項(xiàng)目通過對(duì)并行高可靠安全網(wǎng)關(guān)軟件平臺(tái)相關(guān)核心技術(shù)構(gòu)建設(shè)計(jì)方案，進(jìn)而研發(fā)并行高可靠安全網(wǎng)關(guān)軟件平臺(tái)，滿足下一代高性能高可靠性網(wǎng)關(guān)產(chǎn)品需求。

并行高可靠安全網(wǎng)關(guān)軟件平臺(tái)系統(tǒng)分為2個(gè)處理平面：管理平面和數(shù)據(jù)平面。管理平面和數(shù)據(jù)平面都設(shè)定在操作系統(tǒng)的用戶態(tài)，以用戶態(tài)進(jìn)程的方式運(yùn)行。這2個(gè)平面不直接與操作系統(tǒng)接口，而是通過硬件抽象層HAL與操作系統(tǒng)進(jìn)行接口。HAL屏蔽硬件特性，將底層硬件的網(wǎng)絡(luò)安全加速功能以驅(qū)動(dòng)或者庫函數(shù)的形式提供給各個(gè)安全引擎。

并行高可靠安全網(wǎng)關(guān)軟件平臺(tái)支持多種硬件方案，即可以在單機(jī)上運(yùn)行，此時(shí)并行高可靠安全網(wǎng)關(guān)軟件平臺(tái)通過網(wǎng)絡(luò)接口直接與外界通信。也可以作為機(jī)架設(shè)備安全業(yè)務(wù)卡的軟件平臺(tái)，通過交換背板接收和發(fā)送報(bào)文。

并行高可靠安全網(wǎng)關(guān)軟件平臺(tái)是一個(gè)與底層硬件及操作系統(tǒng)無關(guān)的架構(gòu)，運(yùn)行在操作系統(tǒng)的用戶態(tài)，具有如下優(yōu)勢(shì)特性：

1）具有完整的知識(shí)產(chǎn)權(quán)。

2）支持多種硬件架構(gòu)，如X86、MIPS、ARM、PPC等等。

3）通過可擴(kuò)展架構(gòu)支持多種安全應(yīng)用，如防火墻、IPSEC VPN、IPS/IDS、SSL VPN、WAF、AntiVirus、URL過濾等等。

4）支持虛擬設(shè)備，如虛擬防火墻、虛擬IPS、虛擬VPN等。

5）支持多種硬件方案，既可以在單機(jī)上運(yùn)行，也可以作為機(jī)架安全業(yè)務(wù)卡的軟件平臺(tái)。主要的硬件平臺(tái)是x86、RMI XLR/XLP、cavium octeon，以及天融信的可編程ASIC TopASIC。

并行高可靠安全網(wǎng)關(guān)軟件平臺(tái)充分利用了多核處理器的計(jì)算資源，提高了軟件處理的并行性。平臺(tái)數(shù)據(jù)平面由多個(gè)進(jìn)程組成，每個(gè)進(jìn)程運(yùn)行在獨(dú)享的CPU核上，具備專有的局部數(shù)據(jù)以及基本的共享數(shù)據(jù)。在處理過程中，每個(gè)進(jìn)程可以自由地訪問隸屬的局部數(shù)據(jù)，不需要互斥；只有在訪問絕對(duì)必須的共享數(shù)據(jù)時(shí)才需要互斥操作。這種設(shè)計(jì)顯著提升了軟件的并行性，從而進(jìn)一步挖掘了多核處理器的性能潛力。

并行高可靠安全網(wǎng)關(guān)軟件平臺(tái)的成功研發(fā)，可以滿足云計(jì)算多租戶、虛擬化安全引擎應(yīng)用需求，解決了云計(jì)算安全基礎(chǔ)設(shè)施中存在的首要安全風(fēng)險(xiǎn)——多租戶訪問控制，由此將推動(dòng)云計(jì)算的高效拓展應(yīng)用。

此后，為獲取網(wǎng)絡(luò)的更佳安全性，以及實(shí)現(xiàn)IPSec VPN產(chǎn)品密碼檢測(cè)工作的全面推進(jìn)，同時(shí)結(jié)合IPSec VPN產(chǎn)品的實(shí)際檢測(cè)經(jīng)驗(yàn)，探討研制功能全面、性能先進(jìn)的新一代檢測(cè)平臺(tái)。

IPSec VPN密碼檢測(cè)平臺(tái)基于X86服務(wù)器的設(shè)計(jì)研發(fā)，集成《IPSec VPN技術(shù)規(guī)范》中規(guī)定的所有密碼算法套件，能夠支持對(duì)網(wǎng)關(guān)和客戶端產(chǎn)品進(jìn)行密碼算法正確性、IPSec VPN功能、IPSec VPN性能和安全管理檢測(cè)，并支持對(duì)國際標(biāo)準(zhǔn)的IPSec VPN產(chǎn)品進(jìn)行檢測(cè)。IPSec VPN密碼檢測(cè)平臺(tái)是一個(gè)包括軟硬件設(shè)備和各種操作規(guī)程的有機(jī)整體，由檢測(cè)硬件設(shè)備、檢測(cè)用例、組網(wǎng)環(huán)境和用戶文檔幾個(gè)部分聯(lián)合構(gòu)建組成。

檢測(cè)平臺(tái)的設(shè)計(jì)方案充分考慮了檢測(cè)系統(tǒng)的性能需求，創(chuàng)新性地采用了集群技術(shù)并為未來的技術(shù)發(fā)展預(yù)留了足夠的性能冗余。目前，檢測(cè)平臺(tái)是由多個(gè)基準(zhǔn)檢測(cè)服務(wù)器組成集群，受集群控制器統(tǒng)一動(dòng)態(tài)調(diào)度，自動(dòng)適應(yīng)各種性能待測(cè)設(shè)備的現(xiàn)實(shí)檢測(cè)需要；部分基準(zhǔn)檢測(cè)服務(wù)器運(yùn)行出現(xiàn)故障也不致影響檢測(cè)平臺(tái)的運(yùn)行，因而具有較強(qiáng)的系統(tǒng)魯棒性；此外，還可通過在系統(tǒng)中再行添加新的基準(zhǔn)檢測(cè)服務(wù)器，擴(kuò)展改善檢測(cè)平臺(tái)的性能檢測(cè)容量。

4 高性能VPN硬件架構(gòu)設(shè)計(jì)和軟件平臺(tái)設(shè)計(jì)

4.1 硬件架構(gòu)設(shè)計(jì)

高性能VPN的硬件平臺(tái)采用分布式的并行處理架構(gòu)。在此結(jié)構(gòu)中，主控板需插在固定槽位中，業(yè)務(wù)板和接口板則可以按任意需要的搭配方式自由插在其它槽位上。和固定槽位的結(jié)構(gòu)相比，這種架構(gòu)在保障高處理性能的同時(shí)，還表現(xiàn)出良好的擴(kuò)展性和靈活性。另外，這種架構(gòu)也利于保持業(yè)務(wù)板的冗余機(jī)制，由此即使整個(gè)VPN產(chǎn)品的可靠性也得到大幅提升。

高性能VPN的硬件結(jié)構(gòu)由1個(gè)主控板和6個(gè)VPN業(yè)務(wù)板組成。VPN業(yè)務(wù)板的硬件結(jié)構(gòu)如圖2所示。

在VPN業(yè)務(wù)板上，通過高性能的加解密芯片來提高VPN性能。每片加解密芯片均具有1Gbps的加解密性能，而每塊VPN業(yè)務(wù)板上則可以支持4片芯片，這樣，每塊VPN業(yè)務(wù)板就隨即配備了4Gbps的加解密性能。若能插入6塊可并行工作的VPN業(yè)務(wù)板，將可獲得20Gbps以上的加解密性能。

業(yè)務(wù)板上的ASIC采用具有完全自主知識(shí)產(chǎn)權(quán)的可編程ASIC -- TopASIC。該類ASIC芯片主要根據(jù)定置的表項(xiàng)來實(shí)現(xiàn)用戶流量的快速轉(zhuǎn)發(fā)。由于設(shè)計(jì)中考慮了軟硬件功能的基準(zhǔn)優(yōu)化集成，并結(jié)合業(yè)界領(lǐng)先的40nm銅工藝制造技術(shù)，使得此ASIC芯片既具有高速的處理性能，同時(shí)還極大地降低芯片功耗，簡化了外圍電路的設(shè)計(jì)，進(jìn)一步提升了業(yè)務(wù)板的可靠性。

4.2 軟件架構(gòu)設(shè)計(jì)

高性能VPN的軟件架構(gòu)基于NGTOS平臺(tái)，這是一種內(nèi)置NUMA結(jié)構(gòu)的多核處理軟件架構(gòu)。NGTOS采用主控板1～2個(gè)核用于管理平面，主要用于處理配置管理、網(wǎng)絡(luò)中斷、復(fù)雜應(yīng)用等；針對(duì)安全業(yè)務(wù)板的處理核則分別用于數(shù)據(jù)平面的操作控制，具體包括輪詢收包隊(duì)列以及一系列的安全數(shù)據(jù)處理。數(shù)據(jù)平面的核上分別運(yùn)行著安全處理引擎單進(jìn)程，對(duì)從收包隊(duì)列收到的包實(shí)現(xiàn)無阻塞、無切換安全處理。這其中也包括可以進(jìn)行VPN處理。

VPN安全業(yè)務(wù)板的軟件架構(gòu)如圖3所示。

VPN安全業(yè)務(wù)板上的和VPN有關(guān)的軟件模塊主要可解析為6個(gè)組成部分，分別是：上層隧道維護(hù)模塊、PKI/PMI模塊、密鑰管理模塊、客戶端接入模塊、HA模塊和底層的IPSec加密、解密處理引擎。其中，各模塊的主要功能可概述如下：

1）隧道維護(hù)模塊。為用戶提供更高層、更友好的視圖概念，可以顯示隧道的狀態(tài)信息（協(xié)商成功、協(xié)商失敗、正在協(xié)商等）、隧道斷線后自動(dòng)重新建立隧道、無流量自動(dòng)拆除隧道等。

2）PKI/PMI模塊。PKI模塊重點(diǎn)用于創(chuàng)建、導(dǎo)入、導(dǎo)出證書等，同時(shí)為密鑰協(xié)商中的證書認(rèn)證等提供接口支持；PMI模塊則是實(shí)際用于客戶端接入時(shí)，認(rèn)證成功后，根據(jù)定制角色、分組等授予相應(yīng)權(quán)限及資源等；

3）密鑰管理模塊。提供密鑰的創(chuàng)建、銷毀、使用、更新等。

4）客戶端接入模塊?？梢蕴峁┛蛻舳苏J(rèn)證和隧道建立的功能，借助PKI/PMI模塊可以為客戶端接入生成豐富的認(rèn)證方式和靈活的授權(quán)模式。

5）HA模塊。提供VPN高可用性功能，可以進(jìn)行IPSec的A/S雙機(jī)熱備，當(dāng)主機(jī)或者從機(jī)出現(xiàn)故障后，從機(jī)或主機(jī)均可以實(shí)施接管，及時(shí)恢復(fù)隧道的暢通。

6）IPSec加解密處理。具有查詢SADB、查詢SPDB、對(duì)IPv4和IPv6的IPSec協(xié)議報(bào)文進(jìn)行解封裝、解密、將數(shù)據(jù)封裝、加密成Pv4或IPv6的IPSec協(xié)議報(bào)文、異步調(diào)用加密卡接口等功能。

4.3 VPN安全引擎設(shè)計(jì)

VPN安全引擎內(nèi)部模塊如圖4所示。

IPSec處理引擎主要包括IPSec接收模塊、IPSec發(fā)送模塊、加密卡管理模塊、流量統(tǒng)計(jì)模塊、隧道維護(hù)模塊等。其中，各模塊的主要實(shí)現(xiàn)功能可做如下分述：

1）IPSec接收模塊。用于對(duì)IPsec流量進(jìn)行驗(yàn)證、解密、解壓縮等處理。

2）IPSec發(fā)送模塊。用于對(duì)將要發(fā)送流量進(jìn)行壓縮、加密、校驗(yàn)等處理。

3）加密卡管理模塊。用于對(duì)加密卡進(jìn)行各種操作（包括加載、卸載、發(fā)出同步/異步加解密請(qǐng)求、返回結(jié)果）、管理進(jìn)出隊(duì)列、配置等功能設(shè)計(jì)。

4）流量統(tǒng)計(jì)。對(duì)各SADB中的各SA所處理數(shù)據(jù)的結(jié)果（例如成功加解密包個(gè)數(shù)或者字節(jié)數(shù)、加解密失敗的包個(gè)數(shù)或者字節(jié)數(shù)、驗(yàn)證失敗的包個(gè)數(shù)或者字節(jié)數(shù)燈、持續(xù)時(shí)間、空閑無流量時(shí)間等）及時(shí)進(jìn)行統(tǒng)計(jì)。

5）隧道維護(hù)模塊。對(duì)隧道所對(duì)應(yīng)的SADB以及SPDB等進(jìn)行管理和維護(hù)，包括刪除過期的SA、SP，密鑰更新后或重新協(xié)商后更新SA、查找SA、SP等。

5 結(jié)束語

時(shí)下，隨著用戶智能機(jī)時(shí)代的全面來臨，研究探討新型互聯(lián)網(wǎng)信息安全設(shè)計(jì)即已突顯其重要現(xiàn)實(shí)意義及實(shí)用價(jià)值。文中，首先論述了新型互聯(lián)網(wǎng)信息安全的現(xiàn)狀，進(jìn)而提出了網(wǎng)絡(luò)安全硬、軟件平臺(tái)的實(shí)用研發(fā)設(shè)計(jì)方案。在此基礎(chǔ)上，又針對(duì)高性能VPN硬件架構(gòu)設(shè)計(jì)和軟件平臺(tái)設(shè)計(jì)展開了全面、系統(tǒng)分析。本文開發(fā)成果可為該領(lǐng)域進(jìn)一步研究提供頗具實(shí)效的有益借鑒作用。

參考文獻(xiàn)：

[1] 朱愛華. 移動(dòng)IPv6技術(shù)在3G系統(tǒng)應(yīng)用前景[J]. 通信與信息技術(shù)，2007（9）：41-44.

[2] 郭倩，唐曉梅.移動(dòng)IPv6綁定注冊(cè)安全問題及解決方案[J]. 微電子學(xué)與計(jì)算機(jī)， 2007，24（8）：132-135.

[3] 蘇明. 移動(dòng)IPv6安全性分析[J]. 北京廣播電視大學(xué)學(xué)報(bào)，2009（4）：61-64.

[4] 劉念，張建華. 互動(dòng)用電方式下的信息安全風(fēng)險(xiǎn)與安全需求分析[J].電力系統(tǒng)自動(dòng)化，2011，35（2）：79-83.

[5]姜春風(fēng). VoIP業(yè)務(wù)移動(dòng)切換技術(shù)研究[J]. 煤炭技術(shù)，2010，29（10）：172-174.