iSec
IntelligentSecurity
技术介绍
CloudSecurity
简介
iSec(IntelligentSecurity,智能安全)是一种新型的三层网络加密技术,旨
在为互联网数据传输提供高质量的点到多点安全保障,且便于部署和扩展。
iSec可以被认为是IPsec的迭代升级技术,其通过BGP协议的扩展属性携带
iSec相关加密信息,随路由发布到各个BGP对等体设备。在BGP对等体之间
自动建立iSec隧道,对iSec隧道中的网络数据进行加密保护。
iSec不需要配置引流策略、不需要指定对端,可大幅降低网络的配置和运维难
度。匹配BGP路由即可对报文进行加密,适用于在大型加密网络中进行部署。
总部使用本地配
置的iSec信息对
密文进行解密密文
分支使用iSec信
总部向分支发布息对发往总部的
BGP路由,并携报文进行加密
带iSec信息总部
BGPpeer分支
密文
BGP路由
BGPpeer
Network
分支
分支
BGPpeer
密文BGPpeer
技术优势
点到多点加密随路加密能力
iSec只需要单点配置即可通过在iSec组网中,加密与隧道解
01
BGP协议向多个节点分发加密耦,业务数据直接随路由加密,
策略,避免逐个隧道部署。后续无需额外隧道,简化网络设计。
即使新增节点也只需要新增02解决了传统业务承载隧道配合
BGP相关配置就可以完成扩展。IPsec加密的高复杂度问题。
密钥协商自动化03高性能
iSec结合DH算法生成的动态密iSec封装字段直接插入到原始
钥计算材料,可以携带在BGP04报文中,并且通过随路加密,
路由信息中进行多点同步更新。提高了报文处理的效率。
原理机制
iSec认证和加密
iSec认证和加密的具体流程如下:
①iSec对等体之间使用对称密钥来进行加密和认证。用于加密和认证的对称
密钥通过BGP交换的密钥计算材料经过DH算法计算得出。
②报文发送方对明文报文进行加密处理,目前支持的加密算法包括:AES-
CBC-256和SM4-CBC