在過去的幾個(gè)世紀(jì)里，軍事手段和方法隨著技術(shù)的發(fā)展而發(fā)展。通信網(wǎng)絡(luò)已成為軍隊(duì)日常運(yùn)作的重要組成部分，因此對(duì)通信網(wǎng)絡(luò)的保護(hù)需求日益增長(zhǎng)。以加密作為網(wǎng)絡(luò)保護(hù)的基礎(chǔ)，Oren 比較了兩種最常見的方法，即 IPSec 和第 2 層加密，其中第 2 層是明顯的贏家。

現(xiàn)代戰(zhàn)爭(zhēng)要求以網(wǎng)絡(luò)為中心的通信技術(shù)必須與強(qiáng)有力的作戰(zhàn)計(jì)劃和紀(jì)律嚴(yán)明的士兵一樣，成為成功的軍事行動(dòng)的核心。

因此，以網(wǎng)絡(luò)為中心的通信基礎(chǔ)設(shè)施必須具有靈活性、敏捷性、可擴(kuò)展性、冗余性，以及在關(guān)鍵網(wǎng)絡(luò)層中吸收信息安全性的能力（圖 1）。還需要進(jìn)行綜合管理，以便所有各級(jí)工作人員都能共同了解情況。但最重要的是，必須保護(hù)以網(wǎng)絡(luò)為中心的通信基礎(chǔ)設(shè)施 - 在面臨眾多可能致命的安全威脅時(shí)，這是一個(gè)艱巨的挑戰(zhàn)。

圖1

通過FIPS、ITU-T、IEEE、IETF等通用標(biāo)準(zhǔn)平臺(tái)，世界各地的軍事通信系統(tǒng)管理員能夠共享和交流有關(guān)最常見威脅的知識(shí)。這些威脅包括攔截或未經(jīng)授權(quán)的一方獲得對(duì)敏感資產(chǎn)的訪問;中斷，或使系統(tǒng)資產(chǎn)變得無用;修改或未經(jīng)授權(quán)的人篡改資產(chǎn);以及制造，或由未經(jīng)授權(quán)的一方將新對(duì)象插入系統(tǒng)。

打擊這些網(wǎng)絡(luò)安全威脅的最常用和最有效的解決方案之一是加密，以色列國(guó)防部將其定義為：“通過使用數(shù)學(xué)方程式或算法修改數(shù)據(jù)或傳輸方式，無論是通過密鑰還是通過密鑰，全部或部分加擾數(shù)據(jù)”。

防御網(wǎng)絡(luò)威脅是有代價(jià)的，安裝適當(dāng)?shù)募用芟到y(tǒng)可能很昂貴。在某些情況下，成本可能高達(dá)總鏈路成本的 10%。然而，許多軍事網(wǎng)絡(luò)管理員面臨的挑戰(zhàn)不僅是管理加密預(yù)算和支出，而且還要找到一個(gè)高效且不會(huì)對(duì)性能產(chǎn)生重大影響的加密平臺(tái)。

在接下來的部分中，我們將研究這些性能影響，即網(wǎng)絡(luò)復(fù)雜性、抖動(dòng)和延遲。我們還將研究第 2 層解決方案如何以合理的成本克服大多數(shù)這些缺點(diǎn)，以及為什么它們是常用 IPSec 的更好替代品。

加密缺點(diǎn)：網(wǎng)絡(luò)復(fù)雜性的來龍去脈

隨著現(xiàn)代 IPSec 加密的使用不斷增加，網(wǎng)絡(luò)復(fù)雜性已成為網(wǎng)絡(luò)管理員關(guān)注的重要問題。需要注意的原因包括：

如果使用 IPSec 隧道模式，則會(huì)創(chuàng)建一個(gè)新的 IP 標(biāo)頭來屏蔽整個(gè)數(shù)據(jù)包，這意味著 IP 數(shù)據(jù)包會(huì)變大并且需要更多時(shí)間才能通過路由，因此處理時(shí)間會(huì)增加。這也使網(wǎng)絡(luò)復(fù)雜化，因?yàn)檫\(yùn)營(yíng)商需要持有兩組地址（用于加密數(shù)據(jù)包和解密數(shù)據(jù)包）。

加密通常適用于點(diǎn)對(duì)點(diǎn)或點(diǎn)對(duì)多點(diǎn)連接。更多的鏈接意味著需要更多的加密密鑰。這使得操作更加復(fù)雜，并可能導(dǎo)致人為錯(cuò)誤，從而導(dǎo)致網(wǎng)絡(luò)故障。

例如，IP 語音網(wǎng)絡(luò)要求端到端延遲低于 250 毫秒 （msec），在大多數(shù)情況下，可以通過設(shè)計(jì)滿足這一要求。在示例網(wǎng)絡(luò)中，最長(zhǎng)跨度延遲達(dá)到最大 200 毫秒。這是代表性網(wǎng)絡(luò)中兩個(gè)遠(yuǎn)程節(jié)點(diǎn)之間的特征延遲。

但是，如果引入了點(diǎn)對(duì)點(diǎn)加密，并且在此過程中有多個(gè)躍點(diǎn)，則每個(gè)躍點(diǎn)表示加密器引入的延遲的兩倍。如果加密器引入 5 毫秒延遲，則只需 7 跳即可對(duì)網(wǎng)絡(luò)性能產(chǎn)生重大不利影響。

由于最大跨度達(dá)到 200 毫秒，并且跨度包含七個(gè)躍點(diǎn)，因此組合延遲變?yōu)?270 毫秒（200 毫秒跨度延遲 + 5x14 加密器延遲 = 270 毫秒）。超過所需的最低 250 毫秒延遲水平會(huì)導(dǎo)致語音質(zhì)量迅速下降，偶爾還會(huì)呈現(xiàn)聽不見的對(duì)話。

IPSec 問題：延遲和抖動(dòng)

另外兩個(gè)主要缺點(diǎn)是延遲和抖動(dòng)。如上一個(gè)示例中所述使用 IPSec 加密時(shí)，數(shù)據(jù)包大小可能會(huì)以非確定性方式更改。此更改會(huì)影響網(wǎng)絡(luò)性能，主要體現(xiàn)在延遲和抖動(dòng)方面。

圖 2 表明，除了處理加密器中的信息外，新 IPSec 加密數(shù)據(jù)包的總體數(shù)據(jù)包大小可能會(huì)有所不同。在這種情況下，不僅會(huì)發(fā)生延遲，而且還會(huì)發(fā)生數(shù)據(jù)包大小的變化，從而給系統(tǒng)帶來不必要的抖動(dòng)。

圖2

除了抖動(dòng)之外，我們假設(shè)網(wǎng)絡(luò)有 20 個(gè)節(jié)點(diǎn)（一個(gè)小網(wǎng)絡(luò)），每個(gè)節(jié)點(diǎn)連接到 3 個(gè)其他節(jié)點(diǎn)。在這種情況下，路由表在每個(gè)節(jié)點(diǎn)上最多包含 19 個(gè) IP 地址。在隧道模式下引入 IPSec 意味著將需要額外的 19 個(gè)或更多（如果我們?cè)诠?jié)點(diǎn)之間使用多個(gè)密鑰）IP 地址，因?yàn)槲覀円部梢栽诓皇鼙Ｗo(hù)的模式下工作（對(duì)于較低分類的應(yīng)用程序）。

因此，我們面臨一個(gè)嚴(yán)重和復(fù)雜的兩難境地。如果我們使用加密，成本會(huì)增加，性能會(huì)受到影響，并且網(wǎng)絡(luò)背負(fù)著許多復(fù)雜性，使其非常難以管理。如果我們不使用加密，成本會(huì)更低;但是，該網(wǎng)絡(luò)非常脆弱。

分析可能的解決方案

人們普遍認(rèn)為，沒有加密，軍事網(wǎng)絡(luò)將無法“運(yùn)行”，因?yàn)闄C(jī)密應(yīng)用程序需要越來越多的網(wǎng)絡(luò)資源。因此，解決方案是找到性能最佳且最具成本效益的加密器（表 1）。此系統(tǒng)應(yīng)包括以下屬性：

表1

高性能 - 最小延遲，最大吞吐量

成本低

最小的網(wǎng)絡(luò)影響 - IP 地址沒有變化

對(duì)網(wǎng)絡(luò)的最大保護(hù) - 在國(guó)際標(biāo)準(zhǔn)化組織 （ISO） 的開放系統(tǒng)互連基本參考模型 （OSI 模型） 七層模型上盡可能低。再次參見圖 1。

讓我們檢查幾個(gè)選項(xiàng)，看看它們?nèi)绾螡M足這些要求。

由于不采用加密系統(tǒng)對(duì)于當(dāng)今的國(guó)防網(wǎng)絡(luò)來說不是一個(gè)現(xiàn)實(shí)的選擇，并且考慮到基于應(yīng)用程序的加密性能不佳，讓我們將注意力轉(zhuǎn)向傳輸與IP加密器。

IPSec 技術(shù)是第 3 層技術(shù)，可保護(hù)從網(wǎng)絡(luò)到應(yīng)用程序的所有層。IPSec 是當(dāng)今用于互聯(lián)網(wǎng)流量安全和業(yè)務(wù)敏感流量解決方案的通用民用解決方案。另一方面，傳輸加密是一種第 2 層技術(shù)，它保護(hù)從數(shù)據(jù)鏈路層一直到應(yīng)用層的所有層。

為了確定首選方法，ECI Telecom 對(duì)傳輸和 IP 加密器進(jìn)行了多次試驗(yàn)，以審查這兩種選擇并比較性能。試驗(yàn)設(shè)置基于點(diǎn)對(duì)點(diǎn)鏈路，兩端都有流量生成器，并使用可更改的數(shù)據(jù)包/幀大小進(jìn)行負(fù)載測(cè)試。此方法用于比較第 2 層和第 3 層加密器的行為方式。

流量生成器創(chuàng)建了標(biāo)記為“明文”的流量，具有可變的數(shù)據(jù)包/幀大小。兩個(gè)加密器在不同的時(shí)間進(jìn)行了測(cè)試，并記錄了流量生成器的報(bào)告。

如前所述，加密器減少通過它的流量（限制吞吐量）是可以接受的。但是，建議吞吐量盡可能接近實(shí)際明文流量，以最大程度地減少性能問題。試驗(yàn)重復(fù)幾次，平均測(cè)試結(jié)果如圖4所示。

圖4

同時(shí)，ECI Telecom還測(cè)試了延遲性能。對(duì)于這些測(cè)試，使用相同的測(cè)試設(shè)置，但測(cè)量鏈路的延遲（通過第 2 層加密器和介質(zhì)模擬器），將中型模擬器設(shè)置為 10 微秒，以消除對(duì)總鏈路延遲的影響。這些試驗(yàn)的結(jié)果總結(jié)在表2中。

表2

從測(cè)試結(jié)果中可以明顯看出，即使 IPSec 加密產(chǎn)生了可接受的延遲和抖動(dòng)性能，但第 2 層加密對(duì)網(wǎng)絡(luò)性能的影響更大。第 2 層加密具有更好的網(wǎng)絡(luò)保護(hù)，并簡(jiǎn)化了網(wǎng)絡(luò)操作。

第 2 層是“數(shù)字 1”

ECI Telecom 的廣泛測(cè)試表明，第 3 層加密器的平均延遲接近 2 毫秒，變化（抖動(dòng)）為 13%，而第 2 層加密的延遲性能提高了 30 倍，變化穩(wěn)定性提高了兩倍。

這些結(jié)果表明，對(duì)于當(dāng)今大多數(shù)運(yùn)行大型多跳復(fù)雜通信基礎(chǔ)設(shè)施的軍事網(wǎng)絡(luò)來說，第 2 層是一種更優(yōu)越、更有效的方法。這為他們提供了一個(gè)最終的解決方案，以平衡成本和性能，同時(shí)更深入地保護(hù)他們的網(wǎng)絡(luò)。

審核編輯：郭婷