新型互联网信息安全设计和高性能VPN设备的研究

姚蕾

摘要：本课题从移动网络的发源讲起，分析了影响网络安全的各项技术指标，同时从安全策略、方式，途径等方面进行详细的剖析，并进行了软硬件等全面的研究，为保护移动互联网大安全具有重大的使用意义。

关键字：新型互联网；信息安全；VPN设备

中图分类号：TP393.08

0 引 言

近年来，随着智能移动终端的高度普及，移动互联网飞速推广态势，特别是以智能手机为代表的移动终端设备体现的丰富优越性，正在悄然深刻地改变着社会发展运作模式。这也必将使移动网络面临重大冲击，因而如何保障网络数据的安全性即已成为时下学界的研究焦点。这既是商机也是挑战，为此必须重点改进提升实践开发技术，增强网络的安全性和保密性。

1 新型互联网信息安全的现状

众所周知，智能终端的用户数量成级数倍增长，不可否认，在以后很长一段时间里移动互联网都将持续发展。针对这一情况，如何在现有国内外常见的集中信息安全准则的基础上，提出一个新的适用于移动互联网应用的安全风险评估模型，具体包括如何对资产、弱点以及威胁的可能性进行定性分析，并對威胁的影响实现定量化。这已成为目前应用研究的焦点和难点。移动互联网舆情安全的分析探讨是一个多学科交叉的研究，其中涉及社会学、社会心理学、舆论学、新闻传播学以及网络科学与技术等关键领域的重要基础知识和前沿理念，这就使得对于网络舆情安全的理解、分析与把握存在较大难度。同时隐私信息的保护问题较也呈现出复杂性质，应用开发或服务提供者希望从用户获取尽可能多的信息，而用户希望提供尽可能少的信息，与之相关的度量权衡也已成为一个实效研究课题。

基于此，本次研究提出适用于移动互联网的风险评估模型，对移动互联网的资产价值、潜在的安全威胁、薄弱环节、防护措施等进行分析，发现网络中的主要安全问题，并且依据这些隐患进一步提出相应的防护措施和策略，力求最大限度地减少损失和负面影响，更加合理地设计实现移动互联网的管理。

2 网络安全硬件平台

研究中与国内技术先进的信息安全公司展开合作研究，共同设计开发全新的网络安全硬件平台和网关软件平台等，因而将重点针对网络安全保障、监测等方面提供重要探索及有益改进。

随着万兆网络应用部署，安全网关产品高端化成为市场的主要趋势，分布式高性能安全网关硬件平台也已成为专业安全厂商核心掌握的基础技术。为应对这一技术发展趋势，前期研究的分布式高性能安全网关硬件平台已经过应用测试，陆续应用于后续研发的网关产品中。该平台采用标准工业机架式结构，根据不同的应用需求，最多可插入10个用户接口板或者安全业务处理板。

高性能分布式硬件平台的外观示意如图1所示。

在如图1所示的硬件平台中，总共设有12个槽位。总地来说，中间2个槽位为主控板专用，用于插入主控板，其余的10个槽位，可根据用户需求和实际网络环境，插入接口板或者业务板。在需要较为强大支持的网络端口时，可以多插入一些接口板；在需要较高的处理性能时，可适当多插入一些业务板。

分布式高性能安全网关硬件平台采用基于全交换网络，这个网络将主控板、安全业务板及用户接口板连接在一起。在处理网络安全应用的业务板上，采用了CPU+ASIC的体系架构。除了引入高性能处理器外，还采用了Intel最新的网络加速芯片- Cave Creek。该芯片内置多种网络安全加速功能，比如加解密、压缩和解压缩、规则匹配，等等。这些加速功能可以切实降低CPU的计算负载，提升系统的整体性能。

随着多核技术广泛应用，云计算、移动互联网等新型IT应用模式的出现，虚拟化、并行化处理逐步成为提升安全引擎的主要技术，并行高可靠的安全网关软件平台成为专业安全厂商必备的重点关键技术。

3 网络安全软件平台

综合前述技术潮流趋势的探讨结论，本次研究中与合作公司提出了并行高可靠安全网关软件平台研发项目，项目成果日益成熟，陆续应用于多项公司后续研发的网关产品中。

本项目通过对并行高可靠安全网关软件平台相关核心技术构建设计方案，进而研发并行高可靠安全网关软件平台，满足下一代高性能高可靠性网关产品需求。

并行高可靠安全网关软件平台系统分为2个处理平面：管理平面和数据平面。管理平面和数据平面都设定在操作系统的用户态，以用户态进程的方式运行。这2个平面不直接与操作系统接口，而是通过硬件抽象层HAL与操作系统进行接口。HAL屏蔽硬件特性，将底层硬件的网络安全加速功能以驱动或者库函数的形式提供给各个安全引擎。

并行高可靠安全网关软件平台支持多种硬件方案，即可以在单机上运行，此时并行高可靠安全网关软件平台通过网络接口直接与外界通信。也可以作为机架设备安全业务卡的软件平台，通过交换背板接收和发送报文。

并行高可靠安全网关软件平台是一个与底层硬件及操作系统无关的架构，运行在操作系统的用户态，具有如下优势特性：

1）具有完整的知识产权。

2）支持多种硬件架构，如X86、MIPS、ARM、PPC等等。

3）通过可扩展架构支持多种安全应用，如防火墙、IPSEC VPN、IPS/IDS、SSL VPN、WAF、AntiVirus、URL过滤等等。

4）支持虚拟设备，如虚拟防火墙、虚拟IPS、虚拟VPN等。

5）支持多种硬件方案，既可以在单机上运行，也可以作为机架安全业务卡的软件平台。主要的硬件平台是x86、RMI XLR/XLP、cavium octeon，以及天融信的可编程ASIC TopASIC。

并行高可靠安全网关软件平台充分利用了多核处理器的计算资源，提高了软件处理的并行性。平台数据平面由多个进程组成，每个进程运行在独享的CPU核上，具备专有的局部数据以及基本的共享数据。在处理过程中，每个进程可以自由地访问隶属的局部数据，不需要互斥；只有在访问绝对必须的共享数据时才需要互斥操作。这种设计显著提升了软件的并行性，从而进一步挖掘了多核处理器的性能潜力。

并行高可靠安全网关软件平台的成功研发，可以满足云计算多租户、虚拟化安全引擎应用需求，解决了云计算安全基础设施中存在的首要安全风险——多租户访问控制，由此将推动云计算的高效拓展应用。

此后，为获取网络的更佳安全性，以及实现IPSec VPN产品密码检测工作的全面推进，同时结合IPSec VPN产品的实际检测经验，探讨研制功能全面、性能先进的新一代检测平台。

IPSec VPN密码检测平台基于X86服务器的设计研发，集成《IPSec VPN技术规范》中规定的所有密码算法套件，能够支持对网关和客户端产品进行密码算法正确性、IPSec VPN功能、IPSec VPN性能和安全管理检测，并支持对国际标准的IPSec VPN产品进行检测。IPSec VPN密码检测平台是一个包括软硬件设备和各种操作规程的有机整体，由检测硬件设备、检测用例、组网环境和用户文档几个部分联合构建组成。

检测平台的设计方案充分考虑了检测系统的性能需求，创新性地采用了集群技术并为未来的技术发展预留了足够的性能冗余。目前，检测平台是由多个基准检测服务器组成集群，受集群控制器统一动态调度，自动适应各种性能待测设备的现实检测需要；部分基准检测服务器运行出现故障也不致影响检测平台的运行，因而具有较强的系统鲁棒性；此外，还可通过在系统中再行添加新的基準检测服务器，扩展改善检测平台的性能检测容量。

4 高性能VPN硬件架构设计和软件平台设计

4.1 硬件架构设计

高性能VPN的硬件平台采用分布式的并行处理架构。在此结构中，主控板需插在固定槽位中，业务板和接口板则可以按任意需要的搭配方式自由插在其它槽位上。和固定槽位的结构相比，这种架构在保障高处理性能的同时，还表现出良好的扩展性和灵活性。另外，这种架构也利于保持业务板的冗余机制，由此即使整个VPN产品的可靠性也得到大幅提升。

高性能VPN的硬件结构由1个主控板和6个VPN业务板组成。VPN业务板的硬件结构如图2所示。

在VPN业务板上，通过高性能的加解密芯片来提高VPN性能。每片加解密芯片均具有1Gbps的加解密性能，而每块VPN业务板上则可以支持4片芯片，这样，每块VPN业务板就随即配备了4Gbps的加解密性能。若能插入6块可并行工作的VPN业务板，将可获得20Gbps以上的加解密性能。

业务板上的ASIC采用具有完全自主知识产权的可编程ASIC -- TopASIC。该类ASIC芯片主要根据定置的表项来实现用户流量的快速转发。由于设计中考虑了软硬件功能的基准优化集成，并结合业界领先的40nm铜工艺制造技术，使得此ASIC芯片既具有高速的处理性能，同时还极大地降低芯片功耗，简化了外围电路的设计，进一步提升了业务板的可靠性。

4.2 软件架构设计

高性能VPN的软件架构基于NGTOS平台，这是一种内置NUMA结构的多核处理软件架构。NGTOS采用主控板1～2个核用于管理平面，主要用于处理配置管理、网络中断、复杂应用等；针对安全业务板的处理核则分别用于数据平面的操作控制，具体包括轮询收包队列以及一系列的安全数据处理。数据平面的核上分别运行着安全处理引擎单进程，对从收包队列收到的包实现无阻塞、无切换安全处理。这其中也包括可以进行VPN处理。

VPN安全业务板的软件架构如图3所示。

VPN安全业务板上的和VPN有关的软件模块主要可解析为6个组成部分，分别是：上层隧道维护模块、PKI/PMI模块、密钥管理模块、客户端接入模块、HA模块和底层的IPSec加密、解密处理引擎。其中，各模块的主要功能可概述如下：

1）隧道维护模块。为用户提供更高层、更友好的视图概念，可以显示隧道的状态信息（协商成功、协商失败、正在协商等）、隧道断线后自动重新建立隧道、无流量自动拆除隧道等。

2）PKI/PMI模块。PKI模块重点用于创建、导入、导出证书等，同时为密钥协商中的证书认证等提供接口支持；PMI模块则是实际用于客户端接入时，认证成功后，根据定制角色、分组等授予相应权限及资源等；

3）密钥管理模块。提供密钥的创建、销毁、使用、更新等。

4）客户端接入模块。可以提供客户端认证和隧道建立的功能，借助PKI/PMI模块可以为客户端接入生成丰富的认证方式和灵活的授权模式。

5）HA模块。提供VPN高可用性功能，可以进行IPSec的A/S双机热备，当主机或者从机出现故障后，从机或主机均可以实施接管，及时恢复隧道的畅通。

6）IPSec加解密处理。具有查询SADB、查询SPDB、对IPv4和IPv6的IPSec协议报文进行解封装、解密、将数据封装、加密成Pv4或IPv6的IPSec协议报文、异步调用加密卡接口等功能。

4.3 VPN安全引擎设计

VPN安全引擎内部模块如图4所示。

IPSec处理引擎主要包括IPSec接收模块、IPSec发送模块、加密卡管理模块、流量统计模块、隧道维护模块等。其中，各模块的主要实现功能可做如下分述：

1）IPSec接收模块。用于对IPsec流量进行验证、解密、解压缩等处理。

2）IPSec发送模块。用于对将要发送流量进行压缩、加密、校验等处理。

3）加密卡管理模块。用于对加密卡进行各种操作（包括加载、卸载、发出同步/异步加解密请求、返回结果）、管理进出队列、配置等功能设计。

4）流量统计。对各SADB中的各SA所处理数据的结果（例如成功加解密包个数或者字节数、加解密失败的包个数或者字节数、验证失败的包个数或者字节数灯、持续时间、空闲无流量时间等）及时进行统计。

5）隧道维护模块。对隧道所对应的SADB以及SPDB等进行管理和维护，包括删除过期的SA、SP，密钥更新后或重新协商后更新SA、查找SA、SP等。

5 结束语

时下，随着用户智能机时代的全面来临，研究探讨新型互联网信息安全设计即已突显其重要现实意义及实用价值。文中，首先论述了新型互联网信息安全的现状，进而提出了网络安全硬、软件平台的实用研发设计方案。在此基础上，又针对高性能VPN硬件架构设计和软件平台设计展开了全面、系统分析。本文开发成果可为该领域进一步研究提供颇具实效的有益借鉴作用。

参考文献：

[1] 朱爱华. 移动IPv6技术在3G系统应用前景[J]. 通信与信息技术，2007（9）：41-44.

[2] 郭倩，唐晓梅.移动IPv6绑定注册安全问题及解决方案[J]. 微电子学与计算机， 2007，24（8）：132-135.

[3] 苏明. 移动IPv6安全性分析[J]. 北京广播电视大学学报，2009（4）：61-64.

[4] 刘念，张建华. 互动用电方式下的信息安全风险与安全需求分析[J].电力系统自动化，2011，35（2）：79-83.

[5]姜春风. VoIP业务移动切换技术研究[J]. 煤炭技术，2010，29（10）：172-174.