1 导读 互联网协议以TCP/IP协议最为人们所熟知。从1973年开始,TCP/IP成为整个互联网的核心协议。不过,随着网络技术的迅速发展,互联网的应用场景日益复杂,TCP/IP协议暴露出不少安全方面的短板,诸如IP伪造欺骗、数据完整性、隐私性遭到破坏、通信节点平台不可信等安全问题不绝于耳。基于此,1995年基于对等实体鉴别机制的IPsec诞生,以解决TCP/IP中最基础的IP协议安全问题。时至今日,尽管IPsec协议已经演进至第三版,不过因为受制于历史遗留和其自身的安全架构设计问题,IPsec协议所提供的功能性和安全性仍然没有发生变化。一种基于三元对等架构设计思路的全新IP网络安全技术——TISec于2008年在西电捷通问世,并且正在引领IP网络安全可信技术的一场变革。
TISec(IP网络安全可信技术,Trust of IP Security,简称TISec)是一项用来保护 IP 通信安全的协议技术,是三元对等安全架构在IP安全领域的应用实例。它不但为通过对流经网络的每个 IP数据包进行身份验证和加密,在网络层为IP协议提供安全服务,还通过引入在线第三方实体为通信节点的身份安全和平台安全提供安全服务,进而解决IP协议的完整性、安全性、抗重放、通信节点身份鉴别和平台可信等网络安全隐患。
2 技术架构基于三元对等架构
TISec技术是一组公开的技术标准,是多种技术的组合应用,它不仅包含了对TCP/IP协议基础安全保护,还包括节点身份鉴别、IP地址漫游、第三方在线鉴别架构以及可信连接架构等多种服务能力,着力从协议安全性、功能性及适用性等多个维度满足TCP/IP基础安全。TISec安全工作于IP层,在保障通信端点之间的身份安全和IP数据安全的同时,可构建更为灵活的IP安全可信网络,全面满足IPv4和IPv6网络的安全性和功能性需求。
TISec协议包括AKE、TCA、TUE以及DR等多个子协议,其中AKE提供基于共享密钥和证书的鉴别、密钥交换方法,并为TUE协议提供安全关联所需的相关算法及其他能力参数;TCA为提供网络节点的可信安全接入服务;DR为网络节点提供自动的数据转交服务;TUE为IP数据提供机密性、源发鉴别、数据完整性及抗重放保护;其它组件包括密码算法、安全关联参数、数据压缩等一系列辅助技术内容。
图1 TISec技术框架示意图
同时,TISec采用了三元对等架构TePA(Tri-elementPeer Architecture)技术提供基于身份的鉴别方法,保障终端设备和接入控制设备身份合法性,终端和接入网络两方身份同时交由第三方在线设备认证,解决传统两元实体认证存在安全问题。
3 TISec提供三大安全砝码
图2 TISec的安全砝码
TISec能够阻止任何网络节点通信过程中外部的非法接入,从而保障系统中网络设备身份和平台本身的合法性。同时为IP通信提供端到端的保密通信服务,通过IP数据秘密性保护、完整性保护、抗重放以及数据混淆服务等,抵御来自外部网络在IP层的各种威胁,让IP网络通信在安全通道中进行。
砝码二:TISec提供的安全隧道服务,构建虚拟专网VPN服务
TISec所提供的通信节点网络层数据代理和转发机制,实现IP数据的跨子网转发能力,解决了路由转发的技术缺点,屏蔽了外部网络复杂的拓扑结构,实现节点只是私有网直联的虚拟专网结构,同时采用IP转交的IP漫游技术,为网络节点提供跨网络的IP游牧漫游能力。
砝码三:TISec提供的平台可信安全鉴别服务
TISec提供的平台可信安全鉴别服务,能够结合TCM/TPCM等可信基础芯片,满足平台的可信安全接入能力,通过实现平台身份鉴别和平台完整性评估,在底层进行防护,通过底层平台的可信鉴别,为其上运行的服务提供更强的安全防护,构建可信网络连接。
4 TISec与IPsec的技术对比
复杂性是安全最大的敌人,作为一个安全协议,IPsec的复杂性由来已久,IPsec的复杂性在于,它包含有太多的选项和太多的灵活性。这种复杂性引起了大量的歧义、矛盾、低效和缺陷。其密钥交换协议的模式组合繁多,共享密钥、公钥对、数字证书等多种凭证更是增加了协议的复杂性,可用性变差。数据封装协议由于早期美国对密码算法对外出口的限制也存在多种模式,这些因素综合导致了IPsec协议本身和应用上存在安全问题和应用场景限制。同时由于IPsec技术未定义VPN数据转交方式,被保护两端网络构建VPN必须为不同的子网。而TISec协议设计包含了IP地址漫游技术和DR数据转交技术,这两种技术主要解决VPN组网时存在的子网冲突问题以及静态路由指向问题。
本质上,IPsec设计仅用来保护IP协议的安全性,而TISec设计包含的外延更加广阔,包括IP协议安全性、可信网络连接、远程及本地接入及IP地址漫游等多种目标。
图3 TISec保护范围
根据上述协议的区别,通过图3对IPsec和TISec协议工作的范围进行说明,图中IPsec和TISec均采用通用拓扑图示,安全网关位于网络两侧边界路由之后,网关之间数据交互受到IPsec/TISec协议的保护,此时两种安全协议的设计目标均提供身份鉴别、完整性保护、数据秘密性及数据抗重放能力。
图4 TISec与IPsec主要特征对比表
5 结语
总而言之,TISec技术不仅支持IPv4和IPv6协议,而且广泛应用于各种IP网络。作用于应用层和链路层的TISec技术,面对不同的网络、设备、业务的汇聚,形成一道自主、可信的IP安全网络屏障,恰好符合未来网络发展的安全趋势和应用需求。