上接 SDH专线加密技术(上)
二、SDH加密技术基于虚拟容器。
1.SDH专线加密。
使用SDH专线意味着获得相对较高的安全性,因为SDH专线具有独立的通道和固定的带宽,这与VPN不同,不容易受到交通攻击等威胁。然而,由于它仍然在公共网络上运行,并且在网络节点上存在安全隐患,并且可能窃听铜缆和光纤(尽管光纤更难窃听),因此有必要对SDH专线进行加密。根据不同的加密级别,SDH加密的方法有很多。
SDH专线的协议栈可以分为三个层次:承载、业务和应用。
(1)承载层。
包括SDH通道层。分段层(群体道路)和传输介质(光纤。铜电缆)。与OSI模型对应的物理层。虚拟容器加密可用于本层的加密。分段层加密,甚至光信号加密。
(2)业务层。
对应OSI模型的数据链路层和网络层,包括IP.ATM.帧中继等业务。IPSec.ATM信元加密等。
(3)应用层。
包括IP应用和TDM应用,如文件传输、Web浏览、视频会议、语音等。,对应于OSI模型的上层。本层的加密通常是端到端的,如文件加密、语音加密等。
目前,IP技术逐渐占据主导地位,从应用(如VOIP)到业务(如VPN),但承载层仍以SDH为主。因此,IPoverSDH得到了广泛的应用。其原理是利用POS技术通过PPP或HDLC等链路协议将IP包映射到SDH的虚拟容器中。
在SDH专线的许多加密方法中,它通常用于应用程序层或业务层,如对话声音。视频。文件的端到端加密,如IPSec隧道模式或ATM字母元加密。它们的优点是网络和配置安全策略更灵活,但这些方法仍然有局限性。首先,应用层的加密不能保护信令,而且很容易进行流量分析。其次,IPSec的实现占据了部分用户的带宽。目前,市场上的IP加密机对网络有显著影响,无法实现线路速度处理。因此,对于许多对服务质量要求较高的用户来说,虚拟容器加密是一个很好的选择。
2.虚拟容器加密的原理。
虚拟容器是SDH网络中传输的基本单元,在网内传输中保持不变。为了在SDH网络中传输,上层服务必须将特定的帧和包结构映射到容器(C)中,并在容器中添加通道成本(POH),形成虚拟容器(VC)。VC4.VC12在我国常用,速率分别为150.336m.2.2.24m。VC4和VC12都可以装载IP数据包。此外,VC12还可以装载PDH系列中常用的E1(2.048m)。POH的位置相当于VC。
帧头,包含验证。定位和其他信息。POH不能加密,以确保VC在网络中的顺利传输。一般加密对象是容器(C),一端是E1接入,另一端是STM-1接入。为了保证加密解密端的一致性,加密对象应该是E1,因为E1,而不是C12,在整个贯穿网络的过程中保持不变。
3.实现虚拟容器加密。
实现虚拟容器加密的方法有两种,一种是在路由器和传输设备之间添加加密设备,如SDH加密器,另一种是在路由器广域网侧或传输设备接入侧添加密码模块。两者都可以实现虚拟容器的链路保护。以下是SDH加密器的示例。
SDH专线有两种典型应用,即155M-155M点对点和155M-2M点对多点。
A地和B地之间有一条155M的专线,用户侧各放置一个带有POS端口的路由器,路由器可以通过SDH传输网络的虚拟容器VC4连接功能进行对接。这里的加密设备是155M加密机,加密对象是C4。E地和C.D之间有一条2M的专线,形成点对点。E放置一个带有CPOS的路由器(chanelizedpacketoverSDH)端口,以155M的速度接入SDH传输网络。这里的155M是信道化的,可以将数据包映射到相应的虚拟容器VC12中;C.D放置带有E1端口的路由器,以2M的速度接入SDH传输网络。SDH传输网络可以将E1映射到VC12。路由器通过SDH传输网络中VC12的交叉连接功能,实现点对多点对接。在这里,E地的加密设备是信道化的155M加密机,可以单独加密每个VC12中的E1。C.D的加密设备是2M加密机,加密对象是E1。
加密设备(模块)主要由三部分组成:SDH协议分析、数据加(解)密(包括算法实现)和SDH协议封装。FPGA和通信芯片适合使用,因为对速度要求很高。
4.性能分析。
测试虚拟容器加密和IPSEC之间的比较,两个背对背连接的Cisco路由器(内置IPSec加密模块),广域网接口为2.5GPOS端口,通过2.5GSDH连接,路由器局域网侧使用网络测试仪发送和接收测试IP包。有两种情况:关闭测试和打开IPSEC加密模块。作为基准测试和IPSEC加密的结果,基准测试是指不进行加密处理的情况。关闭IPSEC加密模块,通过在路由器中插入一对SDH加密机来测试虚拟容器加密的性能。
试验结果表明:
①吞吐量:虚拟容器加密与基准测试结果完全一致,IPSec加密相对基准有明显损失;
②时延:虚拟容器加密相对基准的固定时延较小,IPSec加密的延时较大,且与包长有关,不固定;
⑨丢包率:虚拟容器加密与基准测试结果完全一致,IPSec加密相对基准显著增加,尤其是包长较小的情况。
上述测试结果可以通过理论分析得到证实。虚拟容器加密不会增加额外的成本,并加密SDH上链路层以上的所有业务,因此不会影响吞吐量和丢包率,可以实现线速处理;因为它是对TDM数据进行加密的,所以它具有延迟小、固定的特点。IPSec则不同。它需要在包头上添加一些字节作为必要的费用(每个包大约50字节),这将显著影响原始网络。
当然,虚拟容器加密也有缺点,其加密单元颗粒较大,能实现细粒度的加密,在应用场合会有一定的限制。