新一代分组平台的安全性架构

       随着全业务时代的到来，网络逐渐以开放架构的IP网络为主，网络需求已经从简单的高带宽转向可提供高质量、多业务、高可靠性不间断通信的方向发展。因此，作为网络质量的基础之一，网络安全问题已越来越受到运营商的重视。如何应对无处不有、无时不在的各类安全威胁，是运营商和设备厂商遇到的一个重大挑战，也是现阶段网络必须要解决的重要问题。网络安全威胁给网络世界的进一步发展蒙上了阴影。在这种情况下，网络设备自身的安全特性和防攻击能力显得尤其重要。

    下一代分组平台涵盖了电信级IP接入网、骨干传输网和无线通信核心网网关，这些设备出现安全问题后果不堪设想。中兴通讯在下一代分组平台的设计中着重考虑以下方面：

• 转发层面提供层次化、多方位的流量监管和调度功能；
• 区分不同接口、不同槽位进入路由器的控制面流量，分别加以约束；
• 区分同一个接口上不同类用户的接入处理，动态调整；
• 提供友好的可控、可溯的安全策略部署界面；
• 完善的基于账号和角色的管理面安全措施。

控制平面

    控制平面是整个分组平台的控制中心，管理所有的路由计算、路由更新和发布、链路保活和故障切换等工作。控制平面的安全性设计主要解决两个问题，一是总量控制，二是质量控制，也就是确保流量之间的优先级。

层次化结构

    图1是中兴通讯新一代分组平台的安全设计架构。完成控制平面安全的功能主要有两条路径，一是协议报文上送过程中的主动限速，二是各协议报文的最终使用者的动态监测统计以及动态抑制。

  图1  中兴通讯新一代分组平台的安全设计架构

流量识别与分类

    接口卡PIU进行流分类，将协议报文优先发送到转发引擎。转发引擎根据协议字段对各种报文进行识别和分类，并根据分类结果进行调度优先级的封装，用于后续的层次化调度。

层次化限速与整形

• 网络处理器（I-NP和E-NP）的限速第一级限速基于接口，将报文分成高、低两种类型，使接口之间、优先级之间的报文流互不影响。第二级限速基于接口+流类型，通过该级限速，可以使同一接口下不同流类型的报文流之间互不影响。
  
• 控制平面流量管理器（CTM）的限速CTM按照目的CPU、接口、队列的粒度进行限速，队列深度可以设置。
  
• 单板以太网交换单元（L-Switch）的限速与本单板CPU（L-CPU或者R-CPU）协议网口相连的端口配置限速策略用以控制到CPU的总上送速率。  

层次化调度

    层次化调度包括PIU调度、控制平面流量管理器调度、Switch上调度、CPU调度。

• PIU调度：PIU进行简单流分类调度，将协议报文优先发送到转发引擎。
  
• 控制平面流量管理器调度：控制平面流量管理器（CTM）采用优先级队列、接口、目的CPU的三级调度模式，可以使同一接口下送往不同CPU的报文按照优先级得到处理。
  
• Switch调度：Switch采用严格调度或加权轮询调度，区分控制消息和协议报文，确保不同单板间的消息的优先级得到保证。
  
• CPU调度：CPU在接收数据时区分内部控制通道和协议报文通道的优先级。当两个通道的数据到达速率超过设置的阈值时，优先从内部控制通道中收消息。

动态监控与抑制

    转发引擎按接口+流类型统计收到和丢弃的包个数，送给路由引擎（R-CPU/DR-CPU）。路由引擎根据用户事先设定的阈值实时检查接收+丢弃报文个数，超过用户设置的配额时，通知路由引擎动态降低或抑制接口上相应流的上送速率，同时将告警和日志上报管理面，使用户可以追溯到受攻击的端口和流量类型。

协议白名单功能

    设备安全的一个重要目标是保障已经建立起来的业务不受攻击的影响。分组平台通过白名单特性保护基于会话的应用层数据。所谓协议白名单就是受信任的或高优先级的用户集合。

    此功能是将同一协议各个状态的报文类型区分开来，动态生成高优先级的白名单或低优先级的灰名单，对应到流类型中的3种级别，从而使路由引擎能动态修改同一个用户不同时期的报文优先级。已经建立连接的会话报文上送优先级最高，保证已经建立会话的业务不受攻击或后续要建立的会话的影响。

管理平面

    管理平面是分组平台人机交互的界面，安全架构着重解决用户的甄别、用户的权限控制、用户的行为记录等问题。确保系统既能提供友好、高效的管理手段，又能阻挡外部的恶意侵入、篡改行为。

用户账号的防暴力破解

    当防暴检测功能启动后，就进入“监测模式”。在“监测模式”下，服务接受各连接的建立尝试，并以“监测周期”为单位，对失败次数进行统计累计，如果失败次数累计达到“最大失败尝试次数”，则切换到“安静模式”。进入“安静模式”后，服务端不再响应任何非信赖节点的建链报文，直接丢弃这些报文，这个状态持续“阻塞时间（安静期时长）”结束后，则服务重新切换到“监测模式”，继续响应新建链请求。状态切换如图2所示。

    上述机制有效遏制了账号暴力破解工具的尝试企图，并节约了设备响应暴力攻击的性能损耗。

  图2  安全检测状态机制

用户账号的服务类型授权

    基于每个用户账号，可以配置其能够使用的管理层管道服务，比如，串口管理服务、telnet服务、ssh服务、FTP服务等，一个用户账户可以享受其中一种或多种服务。当用户登陆认证时，系统不仅对其账号的合法性进行校验，同时也检查其登陆管道是否受限，只有都与系统配置吻合的账号，才被允许登陆。

用户账号的日志权限授权

    对设备日志的管理权限进行授权，是一个新的安全特色。设备支持多种日志文件，目前按类型可分为4类：命令日志、系统日志、告警日志、业务日志。对日志的操作包括读、拷贝、写等。

用户账号的自定义命令组授权

    用户可以通过配置，自己定义一个命令组，它包含一组命令，这个命令组可以授权给指定的用户。授权的方式有独享和追加两种。

基于角色的用户账户授权

    基于角色的安全模型是新一代平台的安全新机制，该模型将权限的控制与访问通道隔离，无论用户是通过命令行还是Web、网管访问设备，只要用户归属的“角色”是同一个，就可以获得设备上完全一致的访问授权。这种模型给管理面的账户权限安全的统一奠定了理论基础。

    中兴通讯新一代分组平台从转发面到管理面，对可能存在的攻击点都进行了周密的防范，且由于整个防范系统是可以通过用户部署的，所以能应对不断演变的网络攻击，达到保护设备、维护网络安全的目的。