下一代以太网安全与西电捷通TLSec技术.docxVIP

（安全篇·03） 以太网研究报告集 PAGE \* MERGEFORMAT5 下一代以太网安全与西电捷通TLSec技术 西电捷通系统安全技术研究 摘要：伴随云计算的蓬勃发展，全球以太网交换机市场近两年频频刷新历史记录，运营商级以太网技术标准制定的行业组织“城域以太网论坛”（MEF）认为，以太网正在迎来“以太网即服务”的“下一代以太网”时代。但在美国佐治亚州计算机安全系统服务研究机构Principle Logic,LLC创始人Kevin Beaver等网络安全研究者眼里，过去忽视以太网安全问题的人们需要转变观念，随着下一代以太网的蓬勃兴起，以太网安全必须得到足够重视。幸运的是人们不必在以太网的崭新阶段才开始对安全问题投石问路，在众多以太网安全技术解决方案中，西电捷通的以太网安全技术（TLSec）通过强鉴别、信任连接和通信保护等技术能力，正在为构建安全、可信赖的以太网基??安全做出贡献。 关键词：以太网，安全，TLSec 以太网焕发新生机，来势凶猛 因为部署灵活简单、低成本和运行可靠、稳定等显著优势，以太网已经取代其他技术成为使用最普遍的局域网技术，甚至大多数 HYPERLINK /keyword/%B9%E3%D3%F2%CD%F8 \t _blank 广域网（WAN）所提供的全球性语音、视频和 HYPERLINK /keyword/%CA%FD%BE%DD%CD%A8%D0%C5 \t _blank 数据通信流量也都基于 HYPERLINK /keyword/%D2%D4%CC%AB%CD%F8 \t _blank 以太网。 以太网的通用性以及不断提高的容量和性能，也使它成为许多新兴应用的基本选择。电信级以太网、工业以太网、车载以太网等逐渐从单纯的技术概念成熟为可以落地的产品和应用。物联网时代的到来更是进一步刺激了全球以太网市场的增长，很多业内人士甚至认为以太网是物联网能否普及的关键。 据市场研究公司DellOro Group最新报道显示，2015年，全球Layer 23以太网交换机市值超过了240亿美元；2016年第二季度全球以太网交换机第二和第三层市场营收超过60亿美元，同比增幅达6%。DellOro集团副总裁Alan Weckel认为，2015年是以太网交换机市场刷新纪录的一年，而2016年第二季度市场几乎所有供应商的表现都极为抢眼，中国地区以及云计算领域创纪录的销量都是推动该市场增长的因素。也有行业分析师早在2014年推测，云计算的兴起，进一步推动了企业和运营商对于拥有更快、更好性能的网络的需求。 在此背景下，以太网进入一个崭新时代，作为运营商级以太网技术标准制定者的全球性非盈利行业组织MEF就认为，以太网正在迎来“下一代以太网”时期。下一代以太网（也称为Third Network，第三网络），旨在将以太网作为服务，通过（或代替）互联网服务提供商（Internet Service Provider，ISP）按需提供“网络即服务”类型的软件定义网络连接，并且是跨多个运营商和服务提供商。用网络即服务（NaaS）的观念造就出构建网络、配置网络、管理网络的不同思路。这样的观念允许网络变成一种可消费的资源，而不只是将所有基础设施组件连接在一起的基础构件。 链路层安全成以太网最薄弱环节 当以太网技术将以崭新的姿态开始覆盖前所未有的广泛领域时，以太网的安全问题是时候该得到重视了。 和诸多业内专家一样，Kevin Beaver对于以太网的安全问题直言不讳，“我认为我们会看到围绕拒绝服务和用户会话的传统网络协议，及应用级的安全漏洞，还会出现与网络/用户配置、访问???相关的其他安全挑战。” 一位业内专家指出，为了更多应用领域的共同需求，以太网技术必须发展演进，并为三项关键功能提供原生支持，即：可靠性和确定性；精确的授时和同步；安全性。其中安全性问题是最为迫切和关键的核心问题。因为以太网技术虽然具有前文所述的优点，但也存在一个致命问题，那就是其本身的安全性几乎等于零。 以太网以广播技术为基础，通过载波监听、冲突检测以及多址访问的方式收取数据。“载波监听、冲突检测”即带冲突检测的载波监听多路访问技术（Carrier Sense Multiple Access with Collision Detection，CSMA/CD），就是指在发送数据之前，以太网会“监听”线缆，判断是否已经有其他数据传输，若线路空闲则发送数据，若检测到冲突则等待随机时间后重新尝试发出。而“多址访问”则指每个站点发送的数据，可以同时被多个站点接收。收件人根据MAC地址来判断是否是发给自己的数据，若是则接受、不是则抛弃。这种开放的模式导致以太网极易遭受来自内部的攻击。例如，处于网络内部的恶意人士可以通过修改列表收取整个线路的所有数据