在資料、服務和工作負荷大規模遷移到雲端的趨勢推動下,資料安全是當今網路營運商考慮的最優先問題,整體性多層安全性原則的一個關鍵組成部分,是高效率且不能影響服務品質的動態資料加密(in-flight data encryption)。

透過OTN對光學層端對端進行加密是一種低延遲、與業務無關的解決方案,能夠滿足網路營運商對資料安全需求並具有很大的吸引力,可以有效地利用寶貴的網路資源。本文將探討這一發展趨勢和可用的解決方案,重點探討OTN處理晶片的創新所帶來的安全、靈活,以及可擴展的解決方案。

網路犯罪的快速增加和企業由於資料洩漏造成的損失,已經讓網路資料安全成為一個策略性商業問題而成為焦點;Ponemon研究所估計,一個機構每年在因應網路犯罪方面的花費高達6,500萬美元,衝擊全球網路的資料流量似洪水猛獸,企業和個人資料及工作負荷大規模遷移至雲端,是針對這個問題的主要爆發點。

由於資料需要在資料中心、企業,以及中央機房這些服務的源頭和終點之間透過光纖連結傳輸,資料在這些光纖連結傳輸時面臨的風險最大,因為物理安全措施已不再有效。因而動態網路層加密正在快速成為這些網路中光傳輸設備的關鍵要求(在某些情況下甚至是強制性的要求)。

網路層加密有多種形式,但並非所有形式都處於同等水準,它們之間也不是相互排斥的——營運商可以實施一個或全部形式,這取決於營運商的具體服務需求、網路技術選擇、或其他考慮因素。因此網路營運商在評估網路層加密技術選擇時,必需仔細考慮多個因素(圖1)。

20161109TA01P1
圖1 動態網路層加密需要考量的因素。



__˙複雜性和成本:__在網路中層面越高,實施和管理端對端加密的複雜性和成本也會越大。 __˙網路延遲:__動態資料保護必須不影響點播業務與任務關鍵型雲端服務的使用者體驗。 __˙網路吞吐量/使用率:__考慮到新網路容量上線會影響到資本支出(CAPEX)和營運支出(OPEX),必需仔細地評估加密引起的任何網路效率折衷。 __˙靈活性和可擴展性:__營運商必需仔細評估對於相容性,以及加密技術對於當今網路的客戶、費率、服務和網路技術及所用架構選擇方面的影響。

使用OTN進行L1資料加密,在光傳輸網路中能有效、高效和靈活地保護資料安全傳輸,這為網路營運商提供了具有吸引力的選項,且不會影響服務性能或光纖效率。

OTN是全球範圍下一代100G+都會網路和核心光傳輸網路的既有傳輸協定,由ITU G.709標準定義的OTN是一個多業務、多速率聚合層,它能夠支援幾乎所有客戶類型和協定的多工、傳輸和交換,包括從乙太網路、SONET/SDH,直至1Gbps到100Gbps資料速率的光纖通道等專注資料中心的固定位元率(CBR)客戶。

因此,與其他的L2和L3加密技術不同,OTN加密本身為網路營運商提供了在光傳輸網路中滿足所有客戶類型和協定端對端服務的單一加密解決方案。OTN加密技術與客戶類型、協定或速率無關。OTN加密針對的是傳輸有效載荷訊框,稱作OPUk。在OTN訊框開銷中現有的保留位元組用來承載認證標籤。

20161109TA01P2
圖2 OTN加密能有效率地保護資料安全傳輸。



所使用的加密區塊編碼器和認證方式因具體應用而異;然而採用強大的先進加密標準256位元(AES-256)區塊編碼器,並同時支援GCM和CTR認證模式是當今首選,市場上的一些OTN處理晶片解決方案能夠也提供這些支援。

實施網路層加密肯定會帶來成本、功耗和複雜性的折衷。但在所有的情況下,加密流量造成的成本和功耗增大都是與硬體實現相關。在OTN層,由於只需要有限的緩衝記憶體和複雜濾波硬體,由於加密/解密OPUk有效載荷,和插入/讀取認證欄位造成的處理能力需求增加微乎其微,比在L2和L3這樣做的需求要低。此外,L1端對端管理安全傳輸的複雜性與L2可以認為類似,但明顯低於IP層。

所有網路層加密技術本身都會增加網路延遲,其大小與加密負載訊框大小,以及包括硬體架構、密碼塊大小和密鑰長度、加密模式、認證模式等實施參數有關。做為一種傳輸協議,OTN具備固有的低延遲特 性,OTN加密也是如此。

使用AES-256區塊編碼器,可以在所有OPUk訊框大小實現低於180ns的延遲。這種大小的延遲增量在常見的任務關鍵型雲端服務中,能夠使可用的端對端預算留出足夠的餘量。例如,Amazon AWS EC2服務目標要求2ms或更低的延遲,以期確保可接受的用戶體驗,採用OTN加密光學層僅僅佔用了這類基於雲服務的極小部分可用餘量。

由於底層有效載荷或現有OTN訊框均沒有以任何方式填充或擴展,以期為加密或認證提供便利,使用OTN加密來保護光傳輸層安全不會以失去寶貴的光纖頻寬為代價。OTN加密提供100%輸送量,無關底層客戶類型或基於資料封包流量的訊框大小,而L2或L3實施方案則減少了超過20%的可用光纖頻寬。

使用OTN加密保護光傳輸層還可提供最大限度的部署靈活性。這種技術能融入現有的L1傳輸網路和現今使用的服務模式,並且支援新興的網路架構和全新的、高值、高收益服務。加密的OTN流量可以透過現有的基於OTN的傳輸網路,透明地進行節點至節點的穿越(traverse):僅在網路中的源頭和目的地才需要加/解密。

此外,在OTN層加密流量反映了G.709標準固有的可擴展性和靈活性,在多工進入更高速率100G OTN訊號之前,可以對1.25Gbps直至100Gbps的流量進行加密。這種可配置性水準使得網路營運商能夠使用新的「隨需付費(pay-as-you-grow)」或「次波長(sub-wavelength)」加密傳輸服務,流量保護以客戶服務的細微性進行細分,後一種模式允許客戶從低流量開始租用安全線路,其流量隨著時間增加,最大限度地降低採用新的高值安全傳輸服務的障礙。

在次波長精細度下保護流量與未來的都會網路100G切換式網路架構能良好契合,充分利用L1 OTN交換和P-OTP網路設備作為聚合和交換次波長流量的方法,以確保最高效率地使用昂貴的100G光纖基礎設施。在這種情況下,可能來自不同客戶的安全次波長資料流程,可以經由網路獨立地路由,無需在每個節點上解密資料流程(從而影響資料完整性),這保證了各個資料流程源頭的端對端安全性,而不會影響網路效率或性能。

次波長OTN加密還不限於在L1OTN切換式網路配置下採用,考慮到當今的服務提供者網路是點至點WDM和L1交換架構的混合,因而這種靈活性非常有用。次波長加密能夠應用在網路邊緣的100G Muxponder中,將較低速率流量加密並聚合至較高速率的未加密100G波長上。

隨著流量傳輸轉移至都會網路核心和骨幹網路,即主要基於網格(Flex-grid)的OTN切換式網路,各個次波長加密客戶能夠繼續獨立地穿越網路,無需解密較高速率波長,從而影響次波長資料流程的安全性。隨著網路的演進,推動L1交換更加靠近都會網路邊緣(Metro Edge),加密模型無需改變。

在公共和專有光傳輸網路中加密資料和通訊的需求龐大,並且還在不斷成長。使用OTN加密來確保光傳輸層的安全,為這個問題提供了非常具吸引力的解決方案。