摘要 TISec(IP网络安全可信技术,Trust of IP Security,简称TISec)是一项用来保护 IP 协议的的安全技术,也是西电捷通三元对等鉴别安全架构在IP安全领域的应用实例。它最大的特点是通过对流经网络的每个 IP 数据包进行身份验证和加密,在网络层为IP协议提供安全服务,进而解决数据完整性、安全性、抗重放、节点身份鉴别等隐患。
关键词 IP网络安全可信技术 TISec应用场景
TISec作用于IP层,支持IPv4/IPv6的IP网络体系架构,能够满足更多的应用协议安全保护,最大化符合IP网络安全通信需求和用户利益。无论是端点鉴别协议、数据封装,还是数据转交,TISec从协议设计层面克服以往IP安全协议的诸多问题,从而满足多层次应用场景的IP数据安全需求。
TISec基于鉴别协议AKE,通过TUE协议实现端点之间的IP数据安全保护。同时数据转交DR协议的引入又为TISec应用特性增加了灵活性,从而扩展以IP漫游的技术特征至任意接入网络的安全应用范围。
尽管TISec用以提供多种安全服务,但是各种安全功能完全独立工作,甚至可以与其它协议叠加使用,比如TUE可以借助其它类型的鉴别协议完成TISec节点的身份鉴别以及密钥交换。例如,TISec在保障通信端点之间的身份安全和IP数据安全的同时,同步使用数据转交技术为TISec节点构建更为灵活的VPN。
图1 TISec服务功能
为了充分使用TISec所提供的安全服务,并使用TISec为用户构建安全的业务网络,可以通过以下三种业务应用场景进行说明。
1 场景一:构建可信网络连接
网络安全的攻击和破坏60%是来自于内部,目前技术界的安全解决方案往往侧重于身份鉴别和访问控制,而忽略执行这些安全服务的网络设备平台的安全性。可信计算技术从根本上解决设备的可信问题,为身份鉴别和访问控制等安全提供基础的可实施平台, 即通过可信赖的组件来构建更大的可信网络安全系统。TISec所提供的TCA可信网络连接服务能够结合可信硬件对上层开展保护,提供网络平台的完整性度量服务,为业务应用提供身份鉴别、访问控制以及可信连接,从而为用户构建可信网络运行环境。
图2 可信网络连接
2 场景二:构建高效VPN
虚拟专用网络 (VPN) 是企业的私有内部网络跨公共网络的扩展应用,它通过私有隧道创建安全的安全连接。VPN 可以安全地通过 Internet 传输信息,把远程用户、分支机构办公室和业务伙伴连接成扩大的企业网络。
相比传统的IP安全保护核心应用是在公共网络基础上构建VPN,TISec更为安全、高效和灵活。对于VPN应用中典型的NAT设备支持、IP数据包封装冗余、网络端点存活等问题均有良好的支持。TISec协议通过对数据、协议报头的压缩和封装协议的优化设计,降低了传统IP安全协议所带来的数据封装冗余,减小了安全协议头所带来的封装开销,广泛适用于流量敏感型的IP安全应用,为高效的VPN应用提供了良好的支撑。
同时TISec多样化的终端类型能够快速为企业用户构建虚拟专用网络,从而满足用户借助互联网及其他公共网络实现企业业务应用的安全需求。TISec的安全性和易用性能够快速为企业构建服务于多种业务的虚拟专用网络。例如企业远程办公、行业终端数据安全保护及手持终端数据保护等。IP地址漫游技术能够为用户带来更为便捷的应用感受,弥补传统IP VPN和应用层VPN的应用限制。
TISec支持VPN典型的应用场景,包括网关-网关、主机-主机和主机-网关三种模式,同时在具体的产品实现和用户部署中,三种模式可以独立应用也可以混合使用。
图3 网关-网关VPN
图4 主机-主机VPN
图5 主机-网关VPN
3 场景三:IP网络漫游
IP网络漫游是为满足TISec移动节点在网络位置发生改变时,移动节点能够继续使用归属IP地址进行网络通信的一种机制,实现跨越不同网段的漫游功能。TISec引入部分归属网络IP的特性以满足应用中存在的IP漫游需求,例如将私网地址在外部网络或不同网段实现漫游,保持IP地址的归属网络属性并是实现安全接入,从而实现网络节点在不同物理位置接入保持原IP地址属性的功能,满足业务网络IP权限管理的应用需求。
图6 IP网络漫游
综上,结合TISec自身提供的安全服务,可以为用户构建不同目标的安全业务网络,以上三种应用场景并不是孤立的应用示例,可以相互结合形成更为适用于用户业务安全需求的安全网络。西电捷通通过TISec在不同的应用领域工程化经验,已经完成TISec的技术和工程方案的进化,形成应用于电力配网无线、物联网感知传输等多个领域经典应用案例,并不断扩展和加强TISec作为下一代IP网络的可信安全技术应用范围。