什么是Xsec

📅 发布时间:2026/7/6 18:39:42 👁️ 浏览次数:
什么是Xsec
文章目录为什么需要XsecXsec是如何工作的Xsec有哪些应用场景Xsec是由X和sec组成的缩写X代表未知sec代表安全security。Xsec是华为以IPSec技术框架和BGP扩展协议为基础提出的一种新型点到多点的自适应加密技术具有高可靠、易部署等技术优势可以有力支撑SRv6组网场景的业务加密部署。为什么需要Xsec随着业务组网规模的高速增长、网络可靠性要求的日趋严格以及密码攻击方法的不断发展传统网络加密方案的短板愈发明显。以金融行业为例目前企业通常采用Hub-Spoke的组网方式将总部和多个分支网络相连便于加强企业的通信安全和统一管理。传统方式一般采用IPSec或GRE over IPSec等技术构建VPN网络由于IPSec需要点对点建立隧道因此分支间无法直接通信数据需通过总部Hub节点中转存在如下几个问题无法满足大型组网场景。IPSec是一个点对点的加密技术多点之间需要两两进行配置和协商随着网络规模的扩大加密隧道和加密协议会话数量以及会话状态数量会呈指数级增长协商效率较低配置和运维复杂。无法满足SRv6加密场景。IPSec只支持基于隧道的协商无法基于路由和业务进行加密。在SRv6场景中需要同时部署业务承载隧道和IPSec加密隧道这种叠加部署的方式造成了数据传输网络状态的高复杂度当发生IPSec隧道故障时业务重新选择其他可用的IPSec隧道业务恢复周期需要秒级以上无法满足网络高可靠的要求。为了解决上述问题基于Xsec的加密技术应运而生。Xsec加密技术继承了IPSec的安全特性通过加密与验证的方式为IP数据包提供安全服务。Xsec基于BGP扩展协议进行密钥协商的创新方案拓宽了IPSec的使用范围从而具有如下优势一点加密大幅降低配置和运维复杂度。通过BGP协议点到多点的发布方式避免了传统加密方式需要点到点逐个部署加密隧道的繁杂工作有力支撑了大规模加密网络的部署。随路加密提高网络高可靠性能力。业务随路由加密使用业务隧道直接进行加密处理无需构建加密隧道加密和隧道完全解耦解决了业务承载隧道叠加IPSec加密隧道的高复杂度问题简化了网络可靠性设计同时避免了故障处理时需额外配置策略引流动作。Xsec加密继承业务原有的可靠性保障能力可以实现节点、单板、链路多级别的高可靠保护容灾能力。Xsec是如何工作的Xsec不是一个单独的协议而是一系列为IP网络提供安全性的协议和服务的集合主要包括Xsec安全联盟、报文封装、加密验证算法、加密属性传递方法。Xsec安全联盟Xsec安全传输数据的前提是在通信双方之间成功建立SASecurity Association安全联盟简称Xsec SA。安全联盟是通信双方间对某些协商要素的约定由一个三元组来唯一标识这个三元组包括SPISecurity Parameters Index安全参数索引、目的IP地址和ESP安全协议Encapsulating Security Payload封装安全载荷。其中SPI是为唯一标识SA而生成的一个32比特的数值它被封装在ESP头中传输。Xsec SA是单向的逻辑连接输入的IP报文和输出的IP报文由入方向安全联盟和出方向安全联盟分别处理。因此必须在单个通信节点上建立两个Xsec SA一个用于处理外发IP报文另一个用于处理接收IP报文。Xsec报文封装为了保证数据传输的安全性Xsec使用ESP协议来提供加密、验证等安全服务。加密机制保证了数据的机密性防止数据在传输过程中被窃取验证机制保证了数据的真实可靠防止数据在传输过程中被仿冒和篡改。ESP协议在每一个数据包的标准IP报头与TCP协议头之间添加一个ESP头并在数据包后方追加一个ESP尾。原始报文经过封装后ESP协议的加密部分包括传输层协议头、数据和ESP尾认证部分包括ESP头、传输层协议头、数据和ESP尾。Xsec加密报文封装Xsec加密验证算法ESP协议提供的安全功能依赖于协议采用的加密、验证算法。Xsec采用对称加密算法对数据进行加密和解密。对称加密算法是指数据发送方和接收方使用相同的密钥进行加密、解密。用于加密的对称密钥通过DHDiffie-Hellman算法生成并在两端设备共享。Xsec支持CBCCipher Block Chaining模式或者GCMGalois/Counter Mode模式的AES算法。Xsec采用HMACHash-based Message Authentication Code哈希运算消息认证码验证算法比较完整性校验值ICVIntegrity Check Value对转发面数据进行认证。HMAC是哈希函数HASH和消息认证码MACMessage Authentication Code的结合HMAC利用Hash函数以一个对称密钥和一个数据包作为输入生成一个固定长度的输出这个输出被称为完整性校验值ICV。用于验证的对称密钥通过DH算法生成并在两端设备共享。Xsec支持SHA2-256位以上的验证算法。通常情况下加密和验证算法需要配合使用。如下图所示Xsec发送方会使用加密算法和对称密钥对报文进行加密即将原始数据“乔装打扮”封装起来。然后发送方和接收方分别通过相同的验证算法和对称密钥对加密后的报文进行处理得到完整性校验值ICV。如果两端计算的ICV相同则表示该报文在传输过程中没有被篡改接收方对验证通过的报文进行解密处理如果ICV不相同则直接丢弃报文。Xsec加密验证过程Xsec密钥交换使用对称密钥进行加密、验证时如何安全地共享密钥是一个很重要的问题。Xsec采用DH算法生成密钥材料通信双方通过自动协商生成动态密钥可以解决这个问题。DH算法产生的密钥材料、Xsec使用的安全协议、数据的封装模式、加密与验证算法等加密信息通过BGP协议在发送和接收设备之间进行传递。为了保证网络上携带加密属性信息的BGP报文传输的安全性BGP需要配置SSL/TLS认证。在加密属性的传递过程中BGP主要和Xsec安全组件进行交互密钥材料的生成、动态密钥的计算、安全联盟的协商均由Xsec安全组件实现。具体的传递过程如下图所示分为如下几个步骤在发送方BGP向Xsec安全组件订阅加密信息。安全组件回复后BGP生成EVPN ES-AD路由并携带Xsec加密属性向邻居节点发送。在接收方BGP收到包含Xsec加密属性的EVPN ES-AD路由后将其下发给Xsec安全组件。Xsec安全组件进行密钥计算及Xsec安全联盟协商。接收方向发送方传递加密属性的步骤同理。BGP传递Xsec加密属性示意图Xsec工作原理Xsec基本工作原理分为如下几步通信双方约定Xsec安全策略。SA建立需要通信双方提前约定好协商策略即Xsec安全策略包括Xsec使用的安全协议、数据的封装模式、加密与验证算法发起协商时的DH密钥交换算法等信息。通信双方协商Xsec安全联盟。通信双方约定好Xsec安全策略通过BGP扩展协议传递加密信息向BGP EVPN对等体或对等体组发布携带Xsec属性的ES-AD路由协商建立Xsec SA。BGP同时配置SSL/TLS认证保证网络上携带加密属性信息的BGP报文传输的安全性。通信双方加密验证传输数据。Xsec SA建立成功后双方就可以传输数据了。一个网络实体可以创建多对SA在SA数据库中统一存储管理。通信双方在传输数据的过程中Xsec对报文的处理流程如下图所示发送方外发报文时首先判断是否配置了Xsec安全策略如果已配置Xsec策略则根据安全参数索引SPI匹配SA数据库中对应的SA对报文进行加密封装然后转发报文。同理接收方接收报文时首先判断是否配置了Xsec安全策略如果已配置Xsec策略再判断是否为ESP协议封装的报文然后通过封装在ESP报文头中的SPI来判断接收到的报文应该用SA数据库中的哪个SA来做安全认证对报文进行解密完成处理。Xsec报文处理流程Xsec有哪些应用场景Xsec点到多点自适应加密技术通过BGP协议随路由对业务数据进行加密部署简化网络可靠性高在大型SRv6组网场景中具有较好的应用比较典型的有跨域云骨干专线、金融银行场景等。跨域云骨干专线场景在跨域云骨干专线中城市A和城市B之间通过SRv6 VPN跨越互联骨干网中间节点支持IPv6Xsec技术为该场景提供了随路加密能力业务仅需在两端部署解决了业务承载隧道叠加IPSec加密隧道的高复杂度问题简化了网络可靠性设计。Xsec在跨域云骨干专线的应用金融银行场景在金融行业银行分支网点和总行之间依靠SRv6技术打通接入点和云中心之间的网络连接由于金融行业对数据传输要求安全等级高现网设备通过IPSec对业务数据加密众多分行网点和总行的通信需要逐一部署增加了管理复杂性。通过Xsec随路加密技术对总行和分支网点之间的流量进行加密只需要单点配置加密成员列表即可实现对加密节点的增减极大地降低了配置和运维复杂度。Xsec在金融银行场景的应用