信道加密设备与网络加密设备差异性研究 和运维保障管理*

刘俊杰，周 勇，邱海彬，闫雪强

（中国电子科技集团公司第三十研究所，四川 成都 610041）

0 引 言

随着信息网络的快速发展，网络安全威胁不断增加，企事业单位敏感信息防护压力与日俱增。信息加密是网络安全防护最常用、最直接、最有效的技术手段之一。目前，信道加密设备和网络加密设备是在企事业单位信息化建设中最常用，部署最为广泛的两型加密设备。但国内缺少对两型设备的运维保障和差异性等问题的相关研究，导致用户单位对两型设备的选型和运维保障存在切实困难。因此，有必要从运维角度对两型加密设备功能、使用和保障进行对比研究。

1 概述

加密技术是网络安全的核心技术与基础支撑。随着信息化建设的发展，用于安全防护的加密系统同步建设任务也随之快速推进。在功能实现方面，信道加密设备和网络加密设备都可以实现信息在链路上的加密防护，但两者在功能原理、运用方式、保障方式方面有所不同。在信息系统建设部署时，若对加密设备盲目选型、缺少规划，将会造成装备使用浪费、防护级别不够以及保障难度大等诸多问题。

在各种信息网络中，IP技术逐渐占据主导地位，从业务到应用都逐渐向基于IP方向发展，但在链路层中还是同步数字体系（Synchronous Digital Hierarchy，SDH）最为常见，根据不同应用场景、网络架构以及保障运维能力选择合适的加密设备进行信息加密防护，确保加密设备投入有效、投入产出最优。而在加密设备保障领域，特别是信道加密设备和网络加密设备部署应用方面缺少相关文献，基于运维角度探讨两型设备在部署应用及差异性方面具有广泛的实用性。

2 两型加密设备概述

本节分别从功能原理和部署运用两个方面对两型加密设备进行介绍。

2.1 信道加密设备

信道加密设备属于链路层加密设备，包括短波、微波、散射、卫星等无线信道加密设备和以SDH信道加密设备为代表的有线信道加密设备。常见的信息网络通用的信道传输设备一般采用SDH制式，在SDH协议层（链路层）切入，对信道净荷实施加解密，常见的传输速率体系有E1（2 Mb/s）、STM-1（155 Mb/s）、STM-4（622 Mb/s）、STM-16（2.5 Gb/s）和STM-64（10 Gb/s）。

SDH信道加密设备一般置于传输设备和用户设备之间，对两个节点间的某一条通信链路实施加密，采用门卫式加密方式对信道传输的信息进行加密保护，通过点到点方式进行配置，成对出现，网络拓扑结构固定，通信对象一般不会发生改变，并且不会对SDH网络自身的运行、维护、管理造成任何影响。

2.2 网络加密设备

网络加密设备通过软件和硬件结合方式实现IPsec协议体系，常见的是IP网络加密设备单独使用IPsec协议的封装安全载荷（Encapsulating Security Payload，ESP）协议[1]，在网络层将IP报文进行处理之后再传输，增强了IP报文的安全性，实现了IP数据包的机密性、完整性和真实性保护，同时抵御重放攻击。

在通信模式上，根据网络加密设备对原始IP报文的封装模式，可分为传输模式和隧道模式两种工作方式（如图1、图2所示）[2]。其中，传输模式不影响原数据包在网络节点的转发寻址，加密设备相当于透明接入网络中，在实际应用更为广泛。同时，根据网络加密设备部署在网络节点是否影响网络拓扑结构可分为两种接入方式，即网桥方式和网关方式[3]，以网桥方式较为常用。

图1 传输模式

图2 隧道模式

因网络加密设备常见的应用场景为传输模式、网桥方式接入信息系统，本文以传输模式、网桥方式的网络加密设备作为典型代表进行探讨分析。

3 两型加密设备差异性

本节通过对两型加密设备的功能、原理、适用场景和运维保障等维度进行对比，呈现两型设备之间差异性。

3.1 加密层级不一样

SDH信道加密设备属于链路层加密，工作在计算机网络5层模型中的数据链路层。在网络层或IP层以下，加密对象是链路层的帧，加密数据报文无法跨越网段通信，而网络加密设备对网络数据进行加密，工作在计算机网络5层模型中的网络层，加密对象为IP数据包，对链路层协议透明，两型加密设备所在工作层级如图3所示。

图3 两型加密设备工作层级

3.2 部署位置不一样

SDH信道加密设备部署在路由器之间或传输设备之间（支持SDH接口的路由器），属于典型的线路加密措施，保护两个网络节点间的一段通信链路[4]，包括路由信息在内的消息均以密文形式出现，掩盖了消息的源地址和目的地址，因为信道加密设备仅在通信链路上提供加密防护，在网络节点的消息以明文形式存在，这就要求网络节点处于可信、可控的物理环境中，否则就有明文泄露的风险。

网络加密设备一般部署在交换机和路由器之间，属于节点加密措施，通常保护局域网的数据。和链路加密不同的是，消息在网络节点以密文的形式存在，消息的源地址和目的地址通常未加密处理，网络中间节点可对IP包头进行转发和处理，但也会有所缺陷，加密消息对于防止攻击者分析通信业务是脆弱的。

两型设备典型部署方式如图4、图5所示。

图4 信道加密设备部署

图5 网络加密设备部署

3.3 部署方式不一样

SDH信道加密设备是对两个网络节点间的某一条通信链路实施加密，部署在链路的端节点，在每个端节点必须加解密，进行一对一成对部署，而IP网络加密设备在网络端节点不必都进行加解密处理，可以一对多部署，以A和B、C两个节点通信为例，使用信道加密机共需要4台设备，而使用IP网络加密只需要3台设备，如图6所示。

图6 部署数量对比

3.4 防护粒度不一样

信道加密设备对节点数据进行一致性处理，即全加密处理，所保护节点内信息设备或设备群无法选择性透传，即使小部分数据需要加密，也使所有传输数据被加密。而IP网络加密设备可以根据IP范围选择性透传设备及设备群，加密粒度可控，防护灵活性强，在网络部署位置相对灵活。

3.5 保障要求不一样

一般来说，信道加密设备开设容易，无需复杂的策略配置，保障相对容易。而网络加密设备有不同通信模式和接入方式，并且设备开设需要根据保护的网段（或地址范围）、网络结构以及通信节点数量等因素进行策略配置，同时，通信对象的数量和策略配置顺序同样影响设备开设能否顺利完成。在运维保障阶段，故障排查定位涉及的专业知识面广，保障技术难度相对较高。

4 如何选型

本节从信息系统业务类型、用户单位技术保障能力、信息系统网络情况以及设备采购经费预算等维度对两型设备在不同因素条件的型号选择进行深入探讨。

4.1 业务类型

信道加密设备加密不增加额外的开销，将链路层及以上的所有业务进行全加密处理，不会造成丢包率和吞吐量问题，达到线速处理，具有延时小且固定的特点。而网络加密设备对IP数据包加密时会产生几十字节的开销，在传输大数据包时，加上加密设备开销总长度比最大传输单元（Maximum Transmission Unit，MTU）还大，经过有路由器等三层网络设备的广域网时，很可能会被分片处理，而分片往往造成丢包，对于视频业务而言，丢包的直接后果就是视频卡顿等异常情况。所以，对实时性有要求或对报文长度有严格限制等条件的业务，建议优先选用信道加密设备。

4.2 保障能力

无论设备首次开设，还是后期运维保障，信道加密设备相对网络加密设备更为简单，信道加密设备初始化开通后串入链路即可使用。

网络加密设备开设除了需要线缆连接，还要根据设备部署关系、网络环境以及保护范围进行部署规划和策略配置，设备中间有安全防护设备（如防火墙）需要调整其策略以放行加密报文，后期设备对通关系改变、保护对象调整、新增设备等因素都涉及策略调整和故障排查，网络加密设备全寿命周期运维保障对保障人员专业水平、保障水平要求较高，因此，在保障人力和保障水平有限的情况下，优先考虑信道加密设备。两型设备保障要素如图7所示。

图7 两型设备保障要素对比

4.3 网络情况

第一，根据设备部署的网络规模情况。考虑设备部署数量问题、可维护性以及加密防护粒度选择等方面因素，小规模网络优先考虑信道加密设备，大规模网络优先考虑网络加密设备。

第二，根据网络节点是否可控的情况。考虑网络中间节点三层网络设备（如路由器或三层交换机）是否安全可控， 是否存在明文数据被窃听、窃取、篡改等网络安全风险，若网络中间节点不可控，就必须选择网络加密设备，因为经过网络加密设备加密后的数据在网络中间节点依然是密文状态，而经过信道加密设备加密后的数据在网络中间节点前已解密，在网络节点中是明文状态。

第三，根据信道类型情况。一些信息网络系统中包含多类型信道，若分别匹配不同类型信道则要采购不同类型的信道加密设备，对于已经IP化的信息网络，优先考虑网络加密设备，因为网络加密设备无须考虑底层传输协议，对于多类型信道具有很强的适应性。

第四，根据信道匹配情况。信道速率不是常规标准，比如信道速率为100 Mb/s，其没有相匹配或难以采购相应速率的信道加密设备，要优先考虑通过网络加密设备对IP化的数据进行加密。

4.4 经费预算

信道加密设备是点对点部署，即每个通信对象都需要成对的设备相互匹配。在中心节点用户和N个支节点单位加密互通时，需要部署N台信道加密设备，就需要N台设备的采购预算，N数值越大，中心节点在经费支出方面的比重越大，这种情况也优先考虑网络加密设备，无论和多少个支节点单位加密互通，都只需考虑1台设备预算。

另外，若通信链路中存在多个不可控的网络节点时，优先考虑网络加密设备，因为信道加密只对链路主干进行加密，消息在网络节点已是明文存在，如图8所示。若使用信道加密设备，需要考虑每个网络节点提供加密硬件和一个安全物理环境所需要的费用，可能产生的费用包括且不限于：（1）为保护物理节点物理安全的技术人员或雇员的开销；（2）为确保安全策略和程序正确执行进行的运维费用；（3）为防止安全性被破坏带来损失加固部署环境所产生的费用。

图8 信道加密设备保护段

4.5 其他方面

在保障能力方面，信道加密设备的开设和保障相对网络加密设备更简单，日常运维不需要保障人员过多介入参与，对于保障人力和能力相对欠缺的用户单位，可以优先考虑信道加密设备。

为了防止窃听者对通信业务分析，信道加密设备对消息进行全加密处理，包括路由信息及传输消息的源点和终点，由于填充技术的使用以及填充字符在不需要传输数据情况下就可以进行加密，使消息的频率和长度特性得以掩盖，从而防止对通信业务进行分析。

5 设备组合运用

该节对两型设备组合使用场景进行概括，并以案例方式讲解信道加密设备和网络加密设备组合使用，最后就两型设备组合使用的保障注意事项进行分析。

5.1 组合使用场景

由于两型设备加密层级不一样，在小规模信息网络系统中，两型设备组合使用比较少见，但在高级别防护大规模的信息系统中，两型设备组合使用比较常见，甚至和终端类、应用类加密设备组合使用，对敏感数据进行多层次、全程化的加密防护。对于信道加密设备和网络加密设备组合使用场景，设计需求通常有以下两种情况。

一是网络设备加密后无法掩盖源地址和目的地址，为避免搭线攻击，在容易受到搭线窃听的主干线路加上信道加密设备，通过链路层全加密避免攻击者对通信业务数据的IP报头进行分析。

二是防护级别需要，在骨干线路部署信道加密设备对信息流进行无差别加密，通过网络加密设备对局域网或终端进行选择性加密，两型设备组合使用提升信息系统安全防护强度。

在部署阶段，两型设备组合使用无须考虑设备混合使用带来的限定条件，各型设备只需按照正常步骤开通即可。在运维保障阶段，两型设备组合使用要考虑混合使用时因故障排查定位带来的不便。

5.2 组合使用案例

某信息系统由3个不同地方的局域网组成，在局域网出口的汇聚交换机和路由器之间部署网络加密设备，路由器和路由器之间的链路部署信道加密设备（信道加密设备之间不能有三层网络设备），信道加密区域为二次加密区域，该信息系统网络拓扑如图9所示。

图9 设备部署网络拓扑

信道加密设备对信息系统所承载的业务和组网方式无关，可实现对信息的线性处理；网络加密设备部署需考虑承载业务、组网方式以及部署位置，比如视频业务就需要更改终端设备的MTU值，使数据包经过网络加密设备进行加密处理后依然小于网络节点的MTU，避免数据包被分片处理。同时，网络加密设备内网侧一般为二层交换机，若为三层交换机或路由器，则需要将该地址透传、路由协议透传，使三层网络设备之间路由信息可以正常交互。

5.3 保障注意事项

两型设备组合使用的保障运维，从实际运用总结经验来看，主要集中在两型设备的故障源判断，当面临业务异常时，通常做法是先将其中一型设备下线，观察业务状态，若业务依然异常，再将另外一型设备下线，观察业务状态，以判断是设备问题还是网络自身问题所致。

6 设备的保障运维

在加密设备部署开通后，就涉及加密设备的使用和保障，为确保设备加密时能正常稳定进行、设备故障能够迅速反映恢复、设备长期可用能用，此节从几个重要维度讲解两型设备的运维保障管理。

6.1 备份措施

系统备份是防止由硬件损坏、黑客攻击、系统崩溃等原因导致设备不可用的有效防范措施，两型加密设备都是串联在链路中，设备故障影响网络通断及用户业务。在可靠性与稳定性要求较高的信息系统中，要考虑设备备份问题，以便设备故障后可以通过故障定位进行设备及时替换。两型设备备份与恢复有所不同，对于信道加密设备，进行相同初始化操作，备件与主机替换即可上线运行，对于网络加密设备，除了要进行相同初始化操作，还需要配置相应策略（该类加密设备一般都支持策略导入导出，可将主机策略导出，备件将策略导入即可），备件与主机替换才能正常运行。有些网络加密设备支持热备，两台设备通过网线连接热备口，当备机检测到主机故障时，即可切换到主机模式，3台及以上网络加密设备则需要二层交换机（或集线器）进行连接热备，通过群组方式并入线路中，如图10所示。

图10 网络加密设备群组热备

6.2 故障排查

加密设备部署前都需要确保原信息网络链路和业务正常，在架设加密设备之后出现业务异常，可分以下两种情况。

首次部署时业务异常：对于信道加密设备，常见故障原因有两端设备初始化不同步、连线或接口异常、设备故障（比如无法同步）等；对于网络加密设备，常见故障原因有初始化不同步、连线或接口异常、设备故障、策略问题、安全防护设备（如防火墙）未放开ESP协议等，策略问题又细分为本端或远端地址范围不正确、策略之间地址有重叠、内网的路由器（或三层交换机）未透传、不正确的明密选择等。

在使用过程中业务异常：对于信道加密设备，可能是通信线路异常（可以两边同时跳开设备进行验证）、设备异常等原因；对于网络 加密设备，可能是通信线路异常、设备异常、网络环境变化、新增通信对象导致策略地址范围冲突等原因。

对于网络加密设备，除了常规故障排查手段，还可以通过获取加密流量包的方式进行分析定位，除通信两端同时跳开加密设备看业务是否正常，两端设备同时开启全明策略业务是否正常以及核对两端加密设备策略等常规故障排查方式外，还可以通过抓包进行排查定位，在网络加密设备外网口串接镜像交换机进行抓包，通过协议关键字“ESP”查看是否有加密数据包发出去或者到达加密设备接口，判断加解密机制是否启用，或者是否被网络中间设备分片重组，简单网络拓扑图如图11所示。

图11 抓包分析

6.3 运维管理

确保设备可用、能用，对部署设备的信息系统提供长期有效防护，除了防范设备、数据失泄密风险，还需要具备有效的运维管理措施，例如设备的定期巡检、故障响应与闭环、设备维护人员的赋能培训、设备配置权限限定以及部署环境设施的安全管理要求等方面。

7 结 语

文章侧重从特点和差异性角度对两型设备进行对比分析，从运维保障管理角度对设备适用环境、设备选型和运维保障注意事项进行了探讨，以解决用户单位在型号选择、保障维护所面临的困境，提升用户单位对两型加密设备原理、功能、使用和维护保障能力。