SDH专线加密技术

SDH专线是一种目前广泛应用的企业专线，对于重要企业和部门，其安全性至关重要。

一、SDH专线的特点和应用

1、SDH专线

现有企业专线的一般是租用电信运营商的DDN、帧中继、ATM、SDH线路，或者采用VPN（虚拟专用网）的方式。目前，DDN、帧中继、ATM的市场占有率越来越低，比较主流的是SDH专线和VPN。相对于VPN，SDH专线以其具有固定的带宽、低时延、对上层业务透明等特点，受到一些对服务质量和安全性要求较高的企业用户的青睐。

SDH，即同步数字系列，是针对PDH（准同步数字系列）的不足而发展起来的一种传送网技术，上世纪九十年代以来，SDH在我国得到了迅猛的发展，已经成为传输网的主流和成熟技术，前面提到的DDN、ATM及IP网，其广域传输都是采用SDH技术。最初SDH主要用于传输网，发展到现在，SDH越来越向网络边缘渗透，甚至直接提供给终端用户，作为一种业务出现，这就是SDH专线业务。目前，国内电信运营商都有SDH专线业务供租赁，根据用户的需求，有多种速率可以提供。在实际应用中，由于技术体制的相似，通常将PDH系列也划归在SDH系列中，从而构成速率由低到高、适应各种需求的速率系列。常用的速率有E1 (2Mbit/s)、STM-1( 155 Mbit/s)、STM-4( 622 Mbit/s)和STM-16(2.5 Gbit/s)等。

2、SDH专线的主要特点

SDH专线的主要特点如下：

①多业务透明传输：SDH处于OSI模型的物理层，与上层业务无关，可以支持几乎所有的通信业务；

②支持混合业务组网：SDH内部可拆分成独立的多个虚容器，分别承载不同业务，实现混合业务组网及综合接入；

③对实时业务的良好支持：SDH专线基于时分复用方式，针对话音等实时业务设计的，无阻塞、低时延；

④支持IP数据业务：通过POS (Packet over SDH)和虚容器级联等技术，可以较好地支持IP等数据业务。

3、SDH专线的应用方式

SDH专线可构成点对点或点对多点的组网方式。对于只有两个部门的企业，可采用点对点的线形网络。业务量少的情况，2M专线即可满足要求；如果需要更多的带宽，可以使用多条2M合并的方式，如4个2M构成8M；如果需要的带宽远高于2M，可以使用155M专线，甚至622M、2.5G专线。对于具有总部和多个分部的企业，其企业专线组网形式为点对多点的星形，总部接入的带宽高，分部接入的带宽低，总部与每个分部独立通信，分部之间不通信。对于这种非对称速率的应用，SDH专线也可以方便地实现。其原理是SDH的复用技术，即高速率是由低速率复用而成，反之，低速率可由高速率拆分而成。当前比较常用的点对多点组网方式是155M-2M，根据SDH复用体系，155 M可拆分为63个2M，这样，就可以构成一个总部和63个分部的星形网络，总部带宽是155 M，每个分部则是2M。对于业务量更大的需求，可以构建2.5 G-155 M的点对多点网络。

二、基于虚容器的SDH加密技术

1、SDH专线加密

采用SDH专线意味着获得了相对较高的安全性，因为SDH专线具有独立的信道和固定的带宽，与VPN不同，不易受到诸如流量攻击的威胁。但由于它仍然运行于公共网络上，在网络节点都有安全隐患，并且铜缆、光纤都可能被窃听（尽管光纤窃听的难度更大），因此，对SDH专线进行加密是有必要的。根据加密层次的不同，SDH加密可有多种方法。

SDH专线的协议栈可分为承载、业务、应用三个层次。

(1)承载层

包括SDH通道层、段层（群路）及传送介质（光纤、铜缆）。对应OSI模型的物理层。在本层的加密可以采用虚容器加密、段层加密甚至光信号加密的方式。

(2)业务层

包括IP、ATM、帧中继等业务，对应OSI模型的数据链路层和网络层。在本层的加密方法有IPSec、ATM信元加密等。

(3)应用层

包括IP应用和TDM应用，如文件传输、Web浏览、视频会议、话音等，对应OSI模型的上层。在本层的加密一般是端到端的，如文件加密、话音加密等。

当前，IP技术逐渐占据主导地位，从应用（如VoIP）到业务(如VPN)都逐渐向基于IP发展，但承载层还是以SDH为主，因此，IP over SDH得到了广泛应用。它的原理是采用POS技术将IP包通过PPP或HDLC等链路层协议映射到SDH的虚容器内。基于IP的SDH专线协议栈如图1所示。

在SDH专线诸多的加密方法中，现在比较普遍使用的一般是在应用层或业务层，如对话音、视频、文件的端到端加密，又如采用IPSec隧道模式或ATM信元加密。它们的优点是组网和配置安全策略较为灵活，但这些方法还是有局限性的。首先，应用层的加密无法对信令实施保护，易被流量分析。其次，IPSec的实现要占用部分用户带宽，目前市场上的IP加密机都对网络有显著影响，无法实现线速处理。因此，对于很多对服务质量要求较高、网络相对简单的用户，虚容器加密是很好的选择。

2、虚容器加密的原理

虚容器是SDH网络中传输的基本单元，它在网内传输中保持不变。上层业务为了在SDH网络中传输，必须将特定的帧、包结构映射到容器(C)中，容器添加上通道开销(POH)即构成虚容器(VC)。我国常用的虚容器有VC4、VC12两种，速率分别是150.336 M、2.24 M。VC4和VC12都可以装载IP数据包、ATM信元；另外，VC12还可以装载PDH系列中常用的E1 (2.048 M)。POH的地位相当于VC
的帧头，包含校验、定位等信息。为了保证VC在网内的顺利传输，POH不能加密。一般的加密对象是容器(C)，对于一端是E1接入，而另一端是STM-1接入的情况，为了保证加密解密端的一致性，加密对象应为E1，因为贯穿网络全程保持不变的是E1，而不是C12。

3、虚容器加密的实现

虚容器加密有两种实现方法，一种是在路由器和传输设备之间增加加密设备，如SDH加密机；另一种可在路由器广域网侧或传输设备接入侧加入密码模块。二者均可实现对虚容器的链路保护。下文以SDH加密机为例说明。

图2示意了SDH专线的两种典型应用方式，分别是155M-155M的点对点和155M-2M的点对多点方式。

A地和B地之间是155 M专线，用户侧各放置一台具有POS端口的路由器，路由器通过SDH传输网的虚容器VC4连接功能实现对接。这里的加密设备为155 M加密机，加密对象是C4。E地和C、D二地之间构成点对多点的2M专线。E地放置一台具有cPOS( channelized Packet over SDH)端口的路由器，以155 M的速率接入SDH传输网。此处的155 M是信道化的，可将数据包分别映射到相应虚容器VC12中；C、D二地放置具有E1端口的路由器，以2M的速率接入SDH传输网。SDH传输网可将E1映射至VC12中。路由器通过SDH传输网内部的VC12的交叉连接功能，实现了点对多点的对接。这里，E地的加密设备是信道化155M加密机，可对每个VC12中装载的E1单独加密，C、D两地的加密设备是2M加密机，加密对象是E1。

加密设备（模块）主要由SDH协议解析、数据加（解）密（包括算法实现）、SDH协议封装三部分组成。由于对速度有较高要求，适合用FPGA及通信专用芯片实现。

4、性能分析

对于虚容器加密和IPSec作了测试对比，测试网络拓扑如图3所示。两部背对背连接的Cisco路由器（内置IPSec加密模块），广域网接口是2.5G POS口，通过2.5G SDH连接，路由器的局域网侧使用网络测试仪发送和接收测试IP包。图3 (a)中，分别测试关闭和开启IPSec加密模块两种情形，作为基准测试和IPSec加密的结果，基准测试即不做加密处理的情况。图3 (b)中，关闭IPSec加密模块，而改用虚容器加密，方法是在路由器中插入一对SDH加密机，测试虚容器加密的性能。

测试结果表明：

①吞吐量：虚容器加密与基准测试结果完全一致，IPSec加密相对基准则有明显损失；

②时延：虚容器加密相对基准有较小的固定时延，IPSec加密的延时很大，且跟包长有关，并不固定；

⑨丢包率：虚容器加密与基准测试结果完全一致，IPSec加密相对基准则有明显增加，尤其是包长较小的情况。

以上测试结果可以通过理论分析加以证实。虚容器加密不增加额外的开销，将SDH上承载的链路层以上的所有业务全部加密，因此不会在吞吐量、丢包率上造成影响，可达到线速处理；由于是对TDM数据加密，具有延时小且固定的特点。IPSec则不同，它需要在包头增加一些字节作为必不可少的开销（每包约50字节），因此会明显影响原有网络。

当然，虚容器加密也有缺点，它的加密单元颗粒较大，无法实现细粒度的加密，在应用场合上会有一定的限制。

admin普通用户

海报分享