下一代以太网安全与西电捷通TLSec技术.docxVIP

（安全篇03） 以太网研究报告集下一代以太网安全与西电捷通TLSec技术西电捷通系统安全技术研究摘要：伴随云计算的蓬勃发展，全球以太网交换机市场近两年频频刷新历史记录，运营商级以太网技术标准制定的行业组织“城域以太网论坛”（MEF）认为，以太网正在迎来“以太网即服务”的“下一代以太网”时代。但在美国佐治亚州计算机安全系统服务研究机构Principle Logic,LLC创始人Kevin Beaver等网络安全研究者眼里，过去忽视以太网安全问题的人们需要转变观念，随着下一代以太网的蓬勃兴起，以太网安全必须得到足够重视。幸运的是人们不必在以太网的崭新阶段才开始对安全问题投石问路，在众多以太网安全技术解决方案中，西电捷通的以太网安全技术（TLSec）通过强鉴别、信任连接和通信保护等技术能力，正在为构建安全、可信赖的以太网基础安全做出贡献。关键词：以太网，安全，TLSec5以太网焕发新生机，来势凶猛因为部署灵活简单、低成本和运行可靠、稳定等显著优势，以太网已经取代其他技术成为使用最普遍的局域网技术，甚至大多数广域网（WAN）所提供的全球性语音、视频和数据通信流量也都基于以太网。以太网的通用性以及不断提高的容量和性能，也使它成为许多新兴应用的基本选择。电信级以太网、工业以太网、车载以太网等逐渐从单纯的技术概念成熟为可以落地的产品和应用。物联网时代的到来更是进一步刺激了全球以太网市场的增长，很多业内人士甚至认为以太网是物联网能否普及的关键。据市场研究公司DellOro Group最新报道显示，2015年，全球Layer 2&3以太网交换机市值超过了240亿美元；2016年第二季度全球以太网交换机第二和第三层市场营收超过60亿美元，同比增幅达6%。DellOro集团副总裁Alan Weckel认为，2015年是以太网交换机市场刷新纪录的一年，而2016年第二季度市场几乎所有供应商的表现都极为抢眼，中国地区以及云计算领域创纪录的销量都是推动该市场增长的因素。也有行业分析师早在2014年推测，云计算的兴起，进一步推动了企业和运营商对于拥有更快、更好性能的网络的需求。在此背景下，以太网进入一个崭新时代，作为运营商级以太网技术标准制定者的全球性非盈利行业组织MEF就认为，以太网正在迎来“下一代以太网”时期。下一代以太网（也称为Third Network，第三网络），旨在将以太网作为服务，通过（或代替）互联网服务提供商（Internet Service Provider，ISP）按需提供“网络即服务”类型的软件定义网络连接，并且是跨多个运营商和服务提供商。用网络即服务（NaaS）的观念造就出构建网络、配置网络、管理网络的不同思路。这样的观念允许网络变成一种可消费的资源，而不只是将所有基础设施组件连接在一起的基础构件。链路层安全成以太网最薄弱环节当以太网技术将以崭新的姿态开始覆盖前所未有的广泛领域时，以太网的安全问题是时候该得到重视了。和诸多业内专家一样，Kevin Beaver对于以太网的安全问题直言不讳，“我认为我们会看到围绕拒绝服务和用户会话的传统网络协议，及应用级的安全漏洞，还会出现与网络/用户配置、访问等相关的其他安全挑战。”一位业内专家指出，为了更多应用领域的共同需求，以太网技术必须发展演进，并为三项关键功能提供原生支持，即：可靠性和确定性；精确的授时和同步；安全性。其中安全性问题是最为迫切和关键的核心问题。因为以太网技术虽然具有前文所述的优点，但也存在一个致命问题，那就是其本身的安全性几乎等于零。以太网以广播技术为基础，通过载波监听、冲突检测以及多址访问的方式收取数据。“载波监听、冲突检测”即带冲突检测的载波监听多路访问技术（Carrier Sense Multiple Access with Collision Detection，CSMA/CD），就是指在发送数据之前，以太网会“监听”线缆，判断是否已经有其他数据传输，若线路空闲则发送数据，若检测到冲突则等待随机时间后重新尝试发出。而“多址访问”则指每个站点发送的数据，可以同时被多个站点接收。收件人根据MAC地址来判断是否是发给自己的数据，若是则接受、不是则抛弃。这种开放的模式导致以太网极易遭受来自内部的攻击。例如，处于网络内部的恶意人士可以通过修改列表收取整个线路的所有数据，并且以太网技术本身不对数据进行加密，攻击者获取数据包后很容易解析得到其中的明文信息。“内部攻击”分两种情况，一种是指恶意的内部人士，另一种是外部人士通过搭线及接入不被注意的以太网端口等方式进入网络内部。传统封闭的企业内部局域网或小型园区还能通过管理手段防范第二种攻击行为，然而随着以太网越铺越大，这个所谓的“内部”范围也越来越大，越来越多的用户处于同一以太网构建的网络内，物理上对线路和端口进行保护几乎不可能。因此，链路层可以说是以太网最薄弱的安全环节。TLSec技术从链路层保障以太网安全由于以太网技术原理层面上的不完整性，导致其面临着严重安全威胁，因此需要叠加安全技术进行保障。西电捷通多年前就已注意到这一问题，并研发出TLSec技术用以保障以太网安全。TLSec全称是基于三元对等架构的有线局域网媒体访问控制安全，和美国电气和电子工程师协会（IEEE）提出的媒体访问控制安全协议（MACSec）技术所解决的问题类似，两者都是作用于链路层，以保障以太网安全为核心目的。其中TLSec技术方案被我国局域网国家标准GB/T 15629.3-2014采纳；而后者则是IEEE于2006年提出的技术方案，在IEEE的标准号为IEEE 802.1AE。尽管所处的安全层次以及要解决的问题类似，但TLSec和MACSec有着显著的区别： 1、TLSec引入可信第三方实现终端和网络设备双向鉴别，最终实现基于端口的访问控制，并提供保密通信服务；而MACSec提供终端与服务器之间的双向鉴别，网络接入设备无身份，为网络攻击留下了可乘之机。2、TLSec协议完整，包括身份鉴别机制及保密通信；MACSec协议重点定义了保密通信，其身份鉴别依赖于使用扩展认证协议（Extensible Authentication Protocol，EAP）。3、TLSec具有高度可扩展性，支持多种鉴别方法，支持国产密码算法。而MACSec使用的是国外的高级加密标准算法（Advanced Encryption Standard，AES）。4、更重要的是，TLSec通过支持三段式加密、端到端加密以及逐跳加密可以支持混合组网，MACSec因为仅支持逐跳加密而不能支持混合组网。 TLSec在协议设计时就考虑到保护当前网络的已有投资，支持对当前网络进行局部改造，满足升级过程中与现有网络兼容及互联互通的需求；此外，通过采用混合组网，使得TLSec部署灵活，并且大幅度节约使用单位的部署成本；MACSec升级则需要对全网设备进行升级，不支持具备MACSec能力的交换设备和普通交换设备的混合组网，这也是MACSec推出