在数据、服务和工作负荷大规模迁移到云端的趋势推动下, 数据安全是当今网络运营商考虑的最优先问题,整体性多层安全策略的一个关键组成部分是高效且不能影响服务质量的动态数据加密(in-flight data encryption)。通过OTN(光传送网)对光学层端至端进行加密是一种低延迟、与业务无关的解决方案,能够满足上述需求并具有很大的吸引力,可以有效地利用宝贵的网络资源。本文将探讨这一发展趋势和可用的解决方案,重点探讨OTN处理芯片的创新所带来的安全、灵活、以及可扩展的解决方案,这些解决方案最适合于云时代的新一代网络。
“去年给我们揭示的铁证是互联网上未加密通信不再安全,任何通信都应该默认加密。”(Edward Snowden— The Guardian Interview,莫斯科,2014年7月)
网络犯罪的快速增加和企业由于数据泄漏说造成的损失,已经将网络数据安全作为一个策略性商业问题带到了舞台中心。Ponemon研究所估计一个机构每年在应对网络犯罪方面的花费高达到6,500万美元,冲击全球网络的数据流量似洪水猛兽,企业和个人数据及工作负荷大规模迁移至云端,是针对这个问题的主要爆发点。由于数据需要在数据中心、企业以及中央机房这些服务的源和终点之间通过光纤链接传输,数据在这些光纤链接传输时面临的风险最大,因为物理安全措施已不再有效。因而动态网络层加密正在快速成为这些网络中光传输设备的关键要求(在某些情况下,甚至是强制性的要求),这一点并不令人奇怪。
网络层加密有多种形式,但并非所有形式都处于同等水平,它们之间也不是相互排斥的—运营商可以实施一个或全部形式,这取决于运营商的具体服务需求、网络技术选择、或其它考虑因素。因此网络运营商在评估网络层加密技术选择时,必需仔细考虑多个因素。
图1:网络层加密技术评估涉及的因素。
•复杂性和成本:在网络中层面越高,实施和管理端至端加密的复杂性和成本也会越大。
•网络延迟:动态数据保护必须不影响点播业务,任务关键型云服务的用户体验。
• 网络吞吐量/使用率:考虑到新网络容量上线会影响到资本投入(CAPEX)和运营投入(OPEX),必需仔细地评估加密引起的任何网络效率折衷。
• 灵活性和可扩展性:运营商必需仔细评估对于兼容性,以及加密技术对于当今网络的客户、费率、服务和网络技术及所用架构选择方面的影响。
使用OTN进行第一层(L1)数据加密,在光传输网络中能有效、高效和灵活地保护数据安全传输,这为网络运营商提供了具有吸引力的选项,且不会影响服务性能或光纤效率。
图2:OTN加密提供100%链路效率,即没有光纤带宽浪费。
OTN是全球范围下一代100G+城域和核心光传输网络的事实传输协议,由ITU G.709标准定义的OTN是一个多业务、多速率聚合层, 它能够支持几乎所有客户类型和协议的复用、传输和交换, 包括从以太网、SONET/SDH,直至1Gbps到100Gbps数据速率的光纤通道等专注数据中心的恒定比特率(CBR)客户。因此,与其它的第二层(L2)和第三层(L3)加密技术不同,OTN加密本身为网络运营商提供了在光传输网络中满足所有客户类型和协议端至端服务的单一加密解决方案。OTN加密技术与客户类型、协议或速率无关。OTN加密针对的是传输有效载荷帧,称作OPUk。在OTN帧开销中现有的保留字节用来承载认证标签。所使用的加密分组密码和认证方式因具体应用而异,然而,采用强大的先进加密标准256位(AES-256)分组密码,并同时支持GCM和CTR认证模式是当今首选,市场上的一些OTN处理芯片解决方案能够也提供这些支持。
实施网络层加密肯定会带来成本、功耗和复杂性的折衷。但在所有的情况下,加密流量造成的成本和功耗增大都是与硬件实现相关。在OTN层,由于只需要有限的缓存和复杂滤波硬件,由于加密/解密OPUk有效载荷和插入/读取认证字段造成的处
理能力需求增加微乎其微,比在L2和L3层这样做的需求要低。此外,L1层端至端管理安全传输的复杂性与L2层可以认为类似,但要显著低于IP层。
所有网络层加密技术本身都会增加网络延迟, 其大小与加密负载帧大小, 以及包括硬件架构、密码块大小和密匙长度、加密模式、认证模式等实施参数有关。作为一种传输协议,OTN具备固有的低延迟特性,OTN加密也是如此。使用AES-
256分组密码,可以在所有OPUk帧大小实现低于180ns的延迟。这种大小的延迟增量在常见的任务关键型云基服务中能够使可用的端至端预算留出足够的余量。例如,Amazon AWS EC2 服务目标要求2ms或更低的延迟,以期确保可接受的用户体验,采用OTN加密光学层仅仅占用了这类基于云服务的极小部分可用余量。
由于底层有效载荷或现有OTN帧均没有以任何方式填充或扩展,以期为加密或认证提供便利,使用OTN加密来保护光传输层安全并未以失去宝贵的光纤带宽为代价。OTN加密提供100%吞吐量,无关底层客户类型或基于数据包流量的帧大小,而L2或L3实施方案则减少了超过20%的可用光纤带宽。
使用OTN加密来保护光传输层还可提供最大限度的部署灵活性。这种技术能够融入现有的L1传输网络和现今使用的服务模式,并且支持新兴的网络架构和全新的、高价值、高收益服务。加密的OTN流量可以通过现有的基于OTN的传输网络,透明地进行节点至节点的穿越:仅仅在网络中的源和目的地才需要加密/解密。此外,在OTN层加密流量反映了G.709标准固有的可扩展性和灵活性,在复用进入更高速率100GOTN信号之前,可以对1.25Gbps直至100Gbps的流量进行加密。这种可配置性水平使得网络运营商能够使用新的“随增长付费”或“亚波长”加密传输服务,流量保护以客户服务的粒度进行细分,后一种模式允许客户从低流量开始租用安全线路,其流量随着时间增长,最大限度地减小采用新的高价值安全传输服务的障碍。
图3:具有可配置性水平的OTN加密传输服务。
此外, 在亚波长粒度下保护流量,这与未来的城域100G交换网络架构能够很好相符,充分利用L1 OTN交换和聚合分组光传输(P-OTP) 网络设备作为聚合和交换亚波长流量的方法, 以确保最高效地使用昂贵的100G光纤基础设施。在这种情况下,
可能来自不同客户的安全亚波长数据流,可以经由网络独立地路由,无需在每个节点上解密数据流(从而影响数据完整性),这保证了各个数据流源头的端至端安全性,而不会影响网络效率或性能。
亚波长OTN加密还不限于在L1 OTN交换网络配置下采用,考虑到当今的服务提供商网络是点至点WDM和L1交换架构的混合,因而这种灵活性非常有用。亚波长加密能够应用在网络边缘的100G Muxponder中,将较低速率流量加密并聚合至较高速率的未加密100G波长上。随着流量传输转移至城域核心和骨干网络,即主要基于网格的OTN交换网络,各个亚波长加密客户能够继续独立地穿越网络,无需解密较高速率波长,从而影响亚波长数据流的安全性。随着网络的演进,推动L1交换更加靠近城域边缘(Metro Edge),加密模型无需改变。
在公共和专有光传输网络中加密数据和通信的需求巨大,并且还在不断增长。使用OTN加密来确保光传输层的安全为解决这个问题提供了非常具有吸引力的解决方案。OTN加密是一种低延迟、与服务和协议无关的实现方案,且能够有效地利用网络
带宽,这是网络运营商在数据洪流中努力保持领先的一个关键要求。而且,OTN处理芯片的不断创新正在推动网络运营商支持灵活和可扩展的网络和服务模式,包括L1 OTN交换或点至点WDM。这不仅使网络运营商能够提升现有的产品和服务,还可以寻求新的营收和赢利服务,在市场竞争中实现差异化,而不是单纯得靠建设新的网络。
《电子技术设计》2016年10月刊版权所有,谢绝转载。