過去的家庭閘道器只須要做好基本的網路傳輸功能就可以,但今日的家庭閘道器為了滿足市場多元化的需求,以及由於家庭閘道器位於連結內外網路的樞紐位置,須處理的工作已非昔日基本的網路通訊傳輸...
隨著家庭娛樂設備的普及、網路通訊的興起,擁有多台個人電腦或資訊家電設備的家庭也越來越多。為了分享彼此的設備資源、檔案或是共用一個ISP帳號上網,透過家庭閘道器(HomeGateway)可把家中的電子設備,包括個人電腦、印表機、掃描器等資訊設備,視聽娛樂設備、語音通訊設備、家電控制設備等連結在一起,讓家中成員可以透過網路方便地使用、控制設備,或是與家人一同分享資源,透過同一個ISP帳號上網。家庭閘道器是一個消費者用戶端設備(Customer Premise Equipment, CPE)的元件,它在這個家庭網路系統中所扮演的角色,不僅是用以連結家中的分享設備,更是用以連結內部家庭網路與外部網際網路的重要隘口。
就資訊傳輸的安全性來說,一般會談到防火牆(Firewall)與虛擬私有網路(VPN)的防護,其中防火牆是由網際網路進來的封包進行偵測,以保護家庭網路能免於遭受外部網際網路的攻擊與威脅。因此防火牆一般皆位於內部網路對於外部網路連接的首當位置,藉由適當的防火牆規畫,來進行內外資料傳輸服務的偵測。VPN則是在不安全的大眾網際網路中建立一條虛擬的資料加密私有通道,讓連接兩個遠端的網路設備,能夠在此虛擬的私有通道中互相傳遞資訊而不被外界竊聽或修改,以確保資料傳送的安全。因此,相對於過去高成本的專有網路租用,VPN利用大眾且低成本的網際網路達成高安全性的專有網路需求,可說是現在資訊安全議題中相當重要的應用。
對於企業用戶而言,由於進出網路的資料量龐大,因此需要專屬的硬體處理方式來提供防火牆或VPN的功能。以一般家庭來說,由於目前進出家庭網路的資料量並不如企業般龐大,所以目前家庭閘道器皆以軟體方式來進行處理,一般來說就很夠用。不過,由於目前網路中語音應用服務的興起,這種小封包型態的語音傳輸格式越來越多,使得一般小企業型的閘道器對於防火牆與VPN資訊安全功能的小封包效能要求,愈來愈顯捉襟見肘。而在未來要求VPN小封包效能應用的時代,相信連家庭閘道器的防火牆與VPN方面的處理方式也會有革命性的變革。舉例而言,便有業者提供隨選視訊(Video on Demand, VOD)服務,在其服務端之媒體服務伺服器以及客戶家庭端之機上盒接收器配置硬體的協處理器,來達成服務的效能需求。
以處理器達成IPSec VPN功能
首先來看看閘道器應用硬體方式來針對IPSec VPN的處理方法。一般有在原處理器外加一顆專對IPSec VPN處理之安全協處理器(Security Coprocessor),其主要功能便是分擔原來在主處理器上之IPSec VPN運算處理,也就是說,原先在處理IPSec VPN所需要之雜湊函數運算以及加解密運算等處理,皆會由主處理器交由協處理器來執行,而由於主處理器不再處理這些較耗運算能力之作業,主處理器較有多餘空間來處理封包運算以及應用程式的作業。而且此針對IPSec VPN功能所設計的硬體也較善於處理繁重且複雜之運算,藉由專屬之IPSec VPN協處理器的幫助,便可使得整體之效能達到一定程度的提升。而且有些協處理器亦會將硬體的亂數產生器設計進去,對於一些在運算過程中須使用到亂數的提供,亦較為安全與快速。但是前面所謂加上一顆安全協處理器的運作方式,乃是運用所謂的「Look-aside」架構,在此系統架構下,進來的資料封包會經由網路埠至系統主記憶體的封包暫存區內,再由主處理器針對封包進行一些檢測與基本處理,然後主處理器再將須要安全協處理器處理的封包,由系統主記憶體送至協處理器處理,從一連串的動作中可見主處理器對於封包的處理效能,以及主處理器與協處理器的連接介面頻寬,其在整體系統的資料安全處理效能中扮演重要的角色,因而亦影響整個系統的資料安全處理效能。
為減輕主處理器在整體系統的資料安全處理效能中的影響,以更進一步提升IPSec VPN的效能,便有了所謂直線型(In-line)或直通式(Flow-through)的架構(圖1),在此架構下,不同於Look-aside的處理方式,由網路埠進來的資料封包將會進入專屬的封包處理引擎中,進行有關之封包基本處理與IPSec VPN有關之運算處理。在封包處理引擎中,可以針對封包的一些基本檢測,如封包的健全性檢查(Sanity Check)、IP標頭(Header)的資訊是否正確等。而另外對於防火牆功能的處理,亦提供如網路位址轉換(NAT)、封包過濾等功能。因此主處理器不須對每一個封包進行檢測與處理,也不須在介面上做繁重的交換運輸。整體系統的IPSec VPN效能不再受主處理器的處理能力影響,使得IPSec VPN的傳輸效能可獲得提升,而在設計上也可針對小封包的VPN效能作調教,使得小封包與大封包的VPN效能差距縮小,如此可以兼具兩者的性能需求。
以SoC實現In-line架構
而目前已有一些廠商以系統單晶片(SoC)的方式實現In-line架構,在單顆晶片中植入主處理器與專屬的封包處理器、IPSec VPN處理器,再搭配已整合的嵌入式作業系統與IPSec VPN應用軟體,不僅系統廠商容易研發與生產硬體,亦縮短系統整合時程,對於人力與開發成本、產品的上市時間皆有助益。
由圖2中的參考設計可以看出,在使用In-line架構的安全單晶片設計,整體系統的硬體設計相當簡單,由於廠商除了在晶片中整合主處理器以及與封包、IPSec VPN有關之處理引擎,亦將眾多的周邊如媒體存取控制(MAC)、USB等整合入。系統廠商只須再加上一些較低成本的實體(PHY)層、記憶體等元件,整個硬體設備便可完成。在除錯以及生產階段,也由於設計簡單、周邊元件數量不多,也較易於執行。且有些業者藉由可程式化引擎的設計,亦可在將來VPN協定規格有異動或作錯誤修正時,即使在客戶端亦可藉由原廠所提供的程式來提供系統的修正或升級,這對產品化後客戶端服務的升級成本,算是項很重要的議題。
家庭閘道器採用安全晶片日益普及
在現今網路應用多元化與普及化的驅使下,家庭閘道器在市場的地位亦趨於重要。而在網路攻擊事件與威脅的日趨嚴重,資訊安全議題亦漸為人們所重視。雖然許多家庭閘道器已將基本之防火牆與VPN功能加入,而使用軟體的處理方式亦能解決目前的使用需求,不過,便如企業在防火牆與VPN效能需求的演進一般,相信以硬體處理方式的家庭閘道器設備也可以在價格愈來愈低廉,以及效能需求應用的驅使下愈普及。
(本文作者為SafeNet亞太區技術經理)
(詳細圖表請見新通訊63期5月號)