新型互聯網信息安全設計和高性能VPN設備的研究

姚蕾

摘要：本課題從移動網絡的發源講起，分析了影響網絡安全的各項技術指標，同時從安全策略、方式，途徑等方面進行詳細的剖析，并進行了軟硬件等全面的研究，為保護移動互聯網大安全具有重大的使用意義。

關鍵字：新型互聯網；信息安全；VPN設備

中圖分類號：TP393.08

0 引 言

近年來，隨著智能移動終端的高度普及，移動互聯網飛速推廣態勢，特別是以智能手機為代表的移動終端設備體現的豐富優越性，正在悄然深刻地改變著社會發展運作模式。這也必將使移動網絡面臨重大沖擊，因而如何保障網絡數據的安全性即已成為時下學界的研究焦點。這既是商機也是挑戰，為此必須重點改進提升實踐開發技術，增強網絡的安全性和保密性。

1 新型互聯網信息安全的現狀

眾所周知，智能終端的用戶數量成級數倍增長，不可否認，在以后很長一段時間里移動互聯網都將持續發展。針對這一情況，如何在現有國內外常見的集中信息安全準則的基礎上，提出一個新的適用于移動互聯網應用的安全風險評估模型，具體包括如何對資產、弱點以及威脅的可能性進行定性分析，并對威脅的影響實現定量化。這已成為目前應用研究的焦點和難點。移動互聯網輿情安全的分析探討是一個多學科交叉的研究，其中涉及社會學、社會心理學、輿論學、新聞傳播學以及網絡科學與技術等關鍵領域的重要基礎知識和前沿理念，這就使得對于網絡輿情安全的理解、分析與把握存在較大難度。同時隱私信息的保護問題較也呈現出復雜性質，應用開發或服務提供者希望從用戶獲取盡可能多的信息，而用戶希望提供盡可能少的信息，與之相關的度量權衡也已成為一個實效研究課題。

基于此，本次研究提出適用于移動互聯網的風險評估模型，對移動互聯網的資產價值、潛在的安全威脅、薄弱環節、防護措施等進行分析，發現網絡中的主要安全問題，并且依據這些隱患進一步提出相應的防護措施和策略，力求最大限度地減少損失和負面影響，更加合理地設計實現移動互聯網的管理。

2 網絡安全硬件平臺

研究中與國內技術先進的信息安全公司展開合作研究，共同設計開發全新的網絡安全硬件平臺和網關軟件平臺等，因而將重點針對網絡安全保障、監測等方面提供重要探索及有益改進。

隨著萬兆網絡應用部署，安全網關產品高端化成為市場的主要趨勢，分布式高性能安全網關硬件平臺也已成為專業安全廠商核心掌握的基礎技術。為應對這一技術發展趨勢，前期研究的分布式高性能安全網關硬件平臺已經過應用測試，陸續應用于后續研發的網關產品中。該平臺采用標準工業機架式結構，根據不同的應用需求，最多可插入10個用戶接口板或者安全業務處理板。

高性能分布式硬件平臺的外觀示意如圖1所示。

在如圖1所示的硬件平臺中，總共設有12個槽位。總地來說，中間2個槽位為主控板專用，用于插入主控板，其余的10個槽位，可根據用戶需求和實際網絡環境，插入接口板或者業務板。在需要較為強大支持的網絡端口時，可以多插入一些接口板；在需要較高的處理性能時，可適當多插入一些業務板。

分布式高性能安全網關硬件平臺采用基于全交換網絡，這個網絡將主控板、安全業務板及用戶接口板連接在一起。在處理網絡安全應用的業務板上，采用了CPU+ASIC的體系架構。除了引入高性能處理器外，還采用了Intel最新的網絡加速芯片- Cave Creek。該芯片內置多種網絡安全加速功能，比如加解密、壓縮和解壓縮、規則匹配，等等。這些加速功能可以切實降低CPU的計算負載，提升系統的整體性能。

隨著多核技術廣泛應用，云計算、移動互聯網等新型IT應用模式的出現，虛擬化、并行化處理逐步成為提升安全引擎的主要技術，并行高可靠的安全網關軟件平臺成為專業安全廠商必備的重點關鍵技術。

3 網絡安全軟件平臺

綜合前述技術潮流趨勢的探討結論，本次研究中與合作公司提出了并行高可靠安全網關軟件平臺研發項目，項目成果日益成熟，陸續應用于多項公司后續研發的網關產品中。

本項目通過對并行高可靠安全網關軟件平臺相關核心技術構建設計方案，進而研發并行高可靠安全網關軟件平臺，滿足下一代高性能高可靠性網關產品需求。

并行高可靠安全網關軟件平臺系統分為2個處理平面：管理平面和數據平面。管理平面和數據平面都設定在操作系統的用戶態，以用戶態進程的方式運行。這2個平面不直接與操作系統接口，而是通過硬件抽象層HAL與操作系統進行接口。HAL屏蔽硬件特性，將底層硬件的網絡安全加速功能以驅動或者庫函數的形式提供給各個安全引擎。

并行高可靠安全網關軟件平臺支持多種硬件方案，即可以在單機上運行，此時并行高可靠安全網關軟件平臺通過網絡接口直接與外界通信。也可以作為機架設備安全業務卡的軟件平臺，通過交換背板接收和發送報文。

并行高可靠安全網關軟件平臺是一個與底層硬件及操作系統無關的架構，運行在操作系統的用戶態，具有如下優勢特性：

1）具有完整的知識產權。

2）支持多種硬件架構，如X86、MIPS、ARM、PPC等等。

3）通過可擴展架構支持多種安全應用，如防火墻、IPSEC VPN、IPS/IDS、SSL VPN、WAF、AntiVirus、URL過濾等等。

4）支持虛擬設備，如虛擬防火墻、虛擬IPS、虛擬VPN等。

5）支持多種硬件方案，既可以在單機上運行，也可以作為機架安全業務卡的軟件平臺。主要的硬件平臺是x86、RMI XLR/XLP、cavium octeon，以及天融信的可編程ASIC TopASIC。

并行高可靠安全網關軟件平臺充分利用了多核處理器的計算資源，提高了軟件處理的并行性。平臺數據平面由多個進程組成，每個進程運行在獨享的CPU核上，具備專有的局部數據以及基本的共享數據。在處理過程中，每個進程可以自由地訪問隸屬的局部數據，不需要互斥；只有在訪問絕對必須的共享數據時才需要互斥操作。這種設計顯著提升了軟件的并行性，從而進一步挖掘了多核處理器的性能潛力。

并行高可靠安全網關軟件平臺的成功研發，可以滿足云計算多租戶、虛擬化安全引擎應用需求，解決了云計算安全基礎設施中存在的首要安全風險——多租戶訪問控制，由此將推動云計算的高效拓展應用。

此后，為獲取網絡的更佳安全性，以及實現IPSec VPN產品密碼檢測工作的全面推進，同時結合IPSec VPN產品的實際檢測經驗，探討研制功能全面、性能先進的新一代檢測平臺。

IPSec VPN密碼檢測平臺基于X86服務器的設計研發，集成《IPSec VPN技術規范》中規定的所有密碼算法套件，能夠支持對網關和客戶端產品進行密碼算法正確性、IPSec VPN功能、IPSec VPN性能和安全管理檢測，并支持對國際標準的IPSec VPN產品進行檢測。IPSec VPN密碼檢測平臺是一個包括軟硬件設備和各種操作規程的有機整體，由檢測硬件設備、檢測用例、組網環境和用戶文檔幾個部分聯合構建組成。

檢測平臺的設計方案充分考慮了檢測系統的性能需求，創新性地采用了集群技術并為未來的技術發展預留了足夠的性能冗余。目前，檢測平臺是由多個基準檢測服務器組成集群，受集群控制器統一動態調度，自動適應各種性能待測設備的現實檢測需要；部分基準檢測服務器運行出現故障也不致影響檢測平臺的運行，因而具有較強的系統魯棒性；此外，還可通過在系統中再行添加新的基準檢測服務器，擴展改善檢測平臺的性能檢測容量。

4 高性能VPN硬件架構設計和軟件平臺設計

4.1 硬件架構設計

高性能VPN的硬件平臺采用分布式的并行處理架構。在此結構中，主控板需插在固定槽位中，業務板和接口板則可以按任意需要的搭配方式自由插在其它槽位上。和固定槽位的結構相比，這種架構在保障高處理性能的同時，還表現出良好的擴展性和靈活性。另外，這種架構也利于保持業務板的冗余機制，由此即使整個VPN產品的可靠性也得到大幅提升。

高性能VPN的硬件結構由1個主控板和6個VPN業務板組成。VPN業務板的硬件結構如圖2所示。

在VPN業務板上，通過高性能的加解密芯片來提高VPN性能。每片加解密芯片均具有1Gbps的加解密性能，而每塊VPN業務板上則可以支持4片芯片，這樣，每塊VPN業務板就隨即配備了4Gbps的加解密性能。若能插入6塊可并行工作的VPN業務板，將可獲得20Gbps以上的加解密性能。

業務板上的ASIC采用具有完全自主知識產權的可編程ASIC -- TopASIC。該類ASIC芯片主要根據定置的表項來實現用戶流量的快速轉發。由于設計中考慮了軟硬件功能的基準優化集成，并結合業界領先的40nm銅工藝制造技術，使得此ASIC芯片既具有高速的處理性能，同時還極大地降低芯片功耗，簡化了外圍電路的設計，進一步提升了業務板的可靠性。

4.2 軟件架構設計

高性能VPN的軟件架構基于NGTOS平臺，這是一種內置NUMA結構的多核處理軟件架構。NGTOS采用主控板1～2個核用于管理平面，主要用于處理配置管理、網絡中斷、復雜應用等；針對安全業務板的處理核則分別用于數據平面的操作控制，具體包括輪詢收包隊列以及一系列的安全數據處理。數據平面的核上分別運行著安全處理引擎單進程，對從收包隊列收到的包實現無阻塞、無切換安全處理。這其中也包括可以進行VPN處理。

VPN安全業務板的軟件架構如圖3所示。

VPN安全業務板上的和VPN有關的軟件模塊主要可解析為6個組成部分，分別是：上層隧道維護模塊、PKI/PMI模塊、密鑰管理模塊、客戶端接入模塊、HA模塊和底層的IPSec加密、解密處理引擎。其中，各模塊的主要功能可概述如下：

1）隧道維護模塊。為用戶提供更高層、更友好的視圖概念，可以顯示隧道的狀態信息（協商成功、協商失敗、正在協商等）、隧道斷線后自動重新建立隧道、無流量自動拆除隧道等。

2）PKI/PMI模塊。PKI模塊重點用于創建、導入、導出證書等，同時為密鑰協商中的證書認證等提供接口支持；PMI模塊則是實際用于客戶端接入時，認證成功后，根據定制角色、分組等授予相應權限及資源等；

3）密鑰管理模塊。提供密鑰的創建、銷毀、使用、更新等。

4）客戶端接入模塊。可以提供客戶端認證和隧道建立的功能，借助PKI/PMI模塊可以為客戶端接入生成豐富的認證方式和靈活的授權模式。

5）HA模塊。提供VPN高可用性功能，可以進行IPSec的A/S雙機熱備，當主機或者從機出現故障后，從機或主機均可以實施接管，及時恢復隧道的暢通。

6）IPSec加解密處理。具有查詢SADB、查詢SPDB、對IPv4和IPv6的IPSec協議報文進行解封裝、解密、將數據封裝、加密成Pv4或IPv6的IPSec協議報文、異步調用加密卡接口等功能。

4.3 VPN安全引擎設計

VPN安全引擎內部模塊如圖4所示。

IPSec處理引擎主要包括IPSec接收模塊、IPSec發送模塊、加密卡管理模塊、流量統計模塊、隧道維護模塊等。其中，各模塊的主要實現功能可做如下分述：

1）IPSec接收模塊。用于對IPsec流量進行驗證、解密、解壓縮等處理。

2）IPSec發送模塊。用于對將要發送流量進行壓縮、加密、校驗等處理。

3）加密卡管理模塊。用于對加密卡進行各種操作（包括加載、卸載、發出同步/異步加解密請求、返回結果）、管理進出隊列、配置等功能設計。

4）流量統計。對各SADB中的各SA所處理數據的結果（例如成功加解密包個數或者字節數、加解密失敗的包個數或者字節數、驗證失敗的包個數或者字節數燈、持續時間、空閑無流量時間等）及時進行統計。

5）隧道維護模塊。對隧道所對應的SADB以及SPDB等進行管理和維護，包括刪除過期的SA、SP，密鑰更新后或重新協商后更新SA、查找SA、SP等。

5 結束語

時下，隨著用戶智能機時代的全面來臨，研究探討新型互聯網信息安全設計即已突顯其重要現實意義及實用價值。文中，首先論述了新型互聯網信息安全的現狀，進而提出了網絡安全硬、軟件平臺的實用研發設計方案。在此基礎上，又針對高性能VPN硬件架構設計和軟件平臺設計展開了全面、系統分析。本文開發成果可為該領域進一步研究提供頗具實效的有益借鑒作用。

參考文獻：

[1] 朱愛華. 移動IPv6技術在3G系統應用前景[J]. 通信與信息技術，2007（9）：41-44.

[2] 郭倩，唐曉梅.移動IPv6綁定注冊安全問題及解決方案[J]. 微電子學與計算機， 2007，24（8）：132-135.

[3] 蘇明. 移動IPv6安全性分析[J]. 北京廣播電視大學學報，2009（4）：61-64.

[4] 劉念，張建華. 互動用電方式下的信息安全風險與安全需求分析[J].電力系統自動化，2011，35（2）：79-83.

[5]姜春風. VoIP業務移動切換技術研究[J]. 煤炭技術，2010，29（10）：172-174.