以太网安全之企业网络的西电捷通TLSec解决方案

导读：作为20世纪最伟大的发明之一，互联网已有30多年的历史。根据网络传输介质的不同，一般将网络分为有线网络和无线网络，其中有线网络中使用最广泛的是由以太网技术构建的局域网。而各种网络通信协议则是构成有线网络和无线网络的基础。迄今为止，以太网协议已经发展成为最通用的通信协议标准，基于该协议又形成了ISO/IEC 8802.3簇，以太网也被称作802.3网络。其中也包括以太网安全协议。目前，解决以太网链路层的安全技术标准包括两个，一个是由干国际标准化组织制定的ISO/IEC 8802.1ae标准，即MACSec，该标准仅定义了数据的保护；另一个是由我国研制的基于三元对等架构的局域网安全（TePA-based LAN Security，简称TLSec）GB/T15629.3-2014标准，该标准定义了数据链路层的鉴别及保密通信机制。从定义范围上看，802.1ae不涉及鉴别需要使用额外的其它标准。做过安全设计的工程师都知道，将两个完全独立的安全技术标准结合在一起时，可能会带来新的安全问题。相比之下，TLSec鉴别和加密已经天生结合为一体，属于紧耦合关系，具备原子性安全的特质。

长期以来，以太网生态系统的安全性饱备受挑战，诸如非法入侵、数据篡改、数据窃听、重放攻击、中间人攻击等安全威胁不时出现。本文将介绍如何基于西电捷通TLSec技术实现网络的安全接入及保密通信，从而解决上述以太网安全威胁。

“用设备防御威胁”的安全解决思路日趋落伍

普遍应用于各个领域的以太网，目前面临的安全威胁主要有非法入侵、数据篡改、数据窃听、重放攻击、中间人攻击等。作为以太网的一大应用场景的企业网络也不例外。以企业网络为例，遇到上述安全威胁，网络管理者原先都采用在网内增加各种安全设备的方法来解决安全问题。例如，安装杀毒软件、防火墙、安全网关、入侵检测系统、漏洞扫描、网络安全存储器、域系统及审计系统等产品。尽管这样的解决思路在一定程度上保护了网络资源不受侵害，但也存在一些缺陷。首先，各产品之间受厂家、型号、作用范围及安全策略配置的差异和不可协调性等因素影响，导致最终的保护作用大打折扣；其次，伴随着安全威胁种类的不断演进，对应的安全防护产品数量需求势必越来越多，这意味着企业网络的维护费用将只增不减；最重要的是，现有的安全产品并不能彻底有效地解决非法接入、数据篡改和中间人攻击等安全威胁。

正因如此，我们必须另辟蹊径，寻找解决之道。从技术架构进行分析，按照ISO组织定义的网络七层模型，物理层与数据链路层是其以上各层安全的基础，而以太网物理层的安全技术目前并没有特别重大的变革。同时，现有的安全设施及手段只是聚焦于应对来自物理层的威胁。因此，数据链路层的安全技术将是以太网安全研究的重点和突破口。

西电捷通TLSec技术及原理解析

TLSec技术包括基于三元对等架构的局域网鉴别协议（TePA-based LAN Authentication Protocol，简称TLA）和基于TLA协议的局域网保密通信协议（TLA-based LAN Privacy Protocol,简称TLP）。在以太网中，TLA协议和TLP协议分工协作，TLA协议的作用在于保障有线局域网节点合法访问，而TLP协议解决有线局域网节点之间保密数据通信。TLSec技术框架示意图见图1：

图1 TLSec技术框架示意图

此TLSec技术框架中，定义了三种不同的角色：鉴别访问控制器（Authentication access controller，简称AAC）、请求者（Requester，简称REQ）和鉴别服务器（Authentication Server，简称AS）。图2清晰展现了TLSec技术原理。其中消息1到7及密钥协商包含于TLA协议中，主要负责对AAC和REQ的双向身份鉴别。这时候，鉴别服务器AS可部署在局域网内部，也可安装于局域网外部；保密通信数据通过TLP协议进行封装，加密保护则采用TLA协议的点对点会话密钥对通信数据。TLSec技术是我国自主创新研制，符合国家标准GB/T 15629.3-2014。支持国家密码管理局公开的密码算法SM2、SM3、SM4。

图2 TLSec工作原理图

以太网广泛应用于金融、电力、企业、政府等各行各业，基于以太网的行业应用必然存在基本相似的安全威胁，下面我们具体以企业网络为例来阐述TLSec如何进行企业网络的安全构建。

西电捷通TLSec改造现有企业网络

在经历了多年的理论研究和最佳工程实践之后，如今西电捷通TLSec技术已形成一套完整的产品解决方案。TLSec系统产品被成功研发而成，产品包括：以太网安全控制器、TLSec客户端和AS服务器。其中以太网安全控制器，作为准入设备提供鉴别和加密服务，同时具备一定的二层交换能力；TLSec客户端作为接入设备提供接入鉴别和加密服务；而AS服务器为可信第三方提供证书管理和鉴别服务。图3、图4是TLSec的典型应用方式：

图3 TLSec典型应用场景-全链路安全模式

图4 TLSec典型应用场景-异构安全模式

TLSec的两种典型应用场景：全链路安全模式和异构安全模式。全链路安全模式网络适用于整个网络点之间的安全保护，硬件环境除了部署一台AS服务器，以及在终端上安装客户端外，还需要将网络中的交换设备更换为以太网安全控制器，其缺点是改造费用较大。异构安全模式作用于网络中的某段安全保护，硬件环境只需要部署一台AS服务器，一台以太网安全控制器，在终端上安装客户端，即可达到安全保护的目的，该方式对其网络拓扑改动较小，费用较低，企业可根据实际情况进行应用选择，改造后，未经过安全认证的设备将无法接入网络及访问受保护的资源。

作为一项网络安全基础技术，TLSec集接入控制与保密通信于一身，当企业网纳入TLSec技术的保护后，可有效防止内部网络的非法用户接入，保证了通信数据的机密性，同时可结合网络安全设备进行内网与外网的安全隔离、防护，构建高安全的以太网络。

总结

西电捷通TLSec适用于星型或总线型LAN等以太网拓扑结构，也可支持点对点系统。以太网原先存在的包括窃听、假冒等安全隐患，通过部署TLSec将得到有效解决，从而成为企业内网防护的第一道有效闸门。