≡ 分类 ≡
≡ 推荐 ≡
- Jquery+ajax返回的数据类型为script,且含有多个变量
- PHP类使用详解
- jQuery AJAX success 回调中的返回值处理
- PHP解压缩Gzip文件方法总结
- JavaScript Promise 用法详解
- PHP PDO 导出指定表数据(导入前清空表)
- PHP 中使用 try-catch 捕获错误信息
- JavaScript数组求平均值方法总结
- MySQL 5.7 忘记 root 密码解决方法
- HTML 图片异步加载
- 根据某数组,在另一个数组中检索并输出对应值
- 弹出Div右侧边缘与控件右侧对齐
- 分页的时候从url中移除page页码(多种方案)
- PHP函数之htmlspecialchars的用法
- Qt Designer窗体,QScrollArea里label不能完全撑开
- 用vscode搭建原生app开发环境
≡ 热点 ≡
- 用Javascript为图片img添加onclick事件
- 图解Windows Installer制作软件安装包
- 轻型数据库SQLite结合PHP的研发
- 在没有MySQL支持的虚拟主机,在PHP中使用文本数据库
- PHP之glob函数
- DIY服务器硬盘RAID选用
- PHP代码优化及PHP相关问题总结
- Windows操作系统发展历史二
- 用PHP函数解决SQL injection
- ISP如何在网内部署BGP路由协议
- Div+CSS:absolute与relative
- Photoshop CS3:为美女刷出亮白牙齿
- PHP CURL 发送和接收XML数据
- 采集cz88.net免费代理的小程序
- Fireworks打造热力四射手机广告
- 记录搜索蜘蛛爬行记录的Asp代码
ATM安全
作者:未知, 来源:网络, 阅读:125, 发布时间:2014-05-09
异步传输模式(AsynchronousTransferMode,ATM)作为一种时下流行的高速网络传输技术,它的发展非常令人瞩目。对于企业来说,要应用ATM技术,安全是一个势必要考虑的问题。就目前的情况来说,ATM专题安全工作组正在拟制这方面的安全规范,该规范定义了ATM用户和控制平面的许多安全服务,另外,用于承载相关安全报文的机制和要求有安全基础设施的机制也都正在进行规定。这些机制都将要求承担建设ATM网络的组织机构,不仅要满足它的性能目标,而且还要按照当地的网络安全策略的规定,满足它的信息保护要求。本报选编了严育民老师的一组文章,将ATM安全概况、ATM安全服务以及ATM安全发报等诸方面介绍给大家,希望读者能全面地了解ATM安全的当前发展状况。
ATM安全概况
预计ATM将是一个可以把很多不同的应用(如:声音、影像、数据等)都集中在网络中,并具有不同服务质量(QoS)要求的高速定向连接的连网标准。作为定向连接赋予ATM的特性表明,连接采用固定路由的整个网络和构成路由链路上的保留带宽都是为了满足QoS的应用要求。为了对给定的源目的地的对偶节点建立连接,要选择好整个网络的路由。ATM网络中的路由既是预先建立的(即不完全是永久性的连接)也是在动态情况的要求下立即按连接要求建立的。在称为ATM信元的短固定长度分组包中载有很多不同种类的信息。ATM信元长度是由53个字节组成的,其中48个字节是有效负载,另外的5个字节构成信元的首部。在边缘的网络用户信息帧都被划入ATM信元。在网络的指定(目的)侧,用户信息帧都是由接入的信元重新构成的。
ATM目前表现出来的弱点之一是它不提供安全服务,这在为客户实施ATM能力时则是一个主要障碍。尽管愈来愈多的商业机构、金融业界和政府部门都纷纷要求转向ATM,但是为了充分发挥ATM的潜力,人们都迫切要求ATM应有安全服务。目前绝大多数的ATM电路都只能以永久虚电路(PVC)存在,并以专线连接固定公司的所在地。但是,当它抵达横跨共同边界的交换虚电路(SVC)或者横跨服务提供者网络的公司内部的SVC时,ATM的有效使用价值就成了决定能否推广使用ATM的主要因素。
ATM可能会在将来用于对任务要求极为严密的通信应用领域,像金融交易、医疗信息系统、国防军事通信等。这些应用都要求在安全的通信中具有高可靠的密码算法和协议作保证。就很强的ATM安全机制来说,对防欺骗、防恶意的数据修改以及防窃听等都要有切实可靠的保证措施。如果在没有这些机制保证的情况下,重要任务的应用就只能靠昂贵的开支才能存在下去,也许这都是因为没有可以互操作的设备之故。
安全ATM必须提供的最低等级是ATM端点的鉴别以及保护用户数据的措施。ATM高速信元中继的性能在确保其安全的任务中表现出了一些特殊的问题。其中有些问题可以概述如下:
1)安全服务必须适应于有效ATM信元级的细粒度多路传输,要求密钥应具有相应的灵活性,也就是对不同数据源的信元要采用不同的密钥。
2)由于ATM网络的高速和严格的服务质量(QoS)要求,安全服务不应带来附加的延迟或信元延迟的变化。
3)高速传输速率使会话存活期的密钥只有一个很短的周期。因此,传统的全密钥交换协议是不适用的,而且为了能更新这些密钥需要频繁地对这些密钥进行修改。换句话说,要求在一个较长时间的基础上重新修改密钥还必须有新的机制。
4)密码机制必须在密钥具有灵活性的情况下,以1Gbps的速度操作。目前,众所周知的密码机制可能很难适应这些要求。
5)密码机制还必须在不同的速率下进行互操作。例如:可以把一台客户机经过同步光纤网络(SONET)OC-3C连到ATM网络上,而它的服务器可以备有OC-48C的连接。显然,服务器的加密装置(可以为一个平行实现的算法)必须与客户机的加密装置(可以是一个串行实现的同样算法)进行互操作。
由ATM专题安全工作组定义的ATM安全是仿照ATM协议参考模型拟制的。该协议参考模型被划分为三个平面:用户平面、控制平面和管理平面。用户平面保证供给传输用户的数据,它包含物理层、ATM层和多ATM适配层(AAL)几种类型。控制平面要处理连接的建立、释放和其它连接功能。控制平面与用户平面共享物理层和ATM层。另外,它还包括根据AAL5和更高一层的信令协议规定的信令AAL。管理平面执行管理和协调用户和控制平面双方的相关功能。ATM专题安全规范在第一阶段就是要提供用户平面(数据)安全服务和控制平面(信令)安全服务规范。对管理平面的安全服务也许要在将来规范发布时才会提供。
ATM用户平面安全服务
用户平面安全服务是要对很多途径在虚连接上承载的用户信息提供保护。鉴别就是要使得呼叫方和被呼叫方彼此得到绝对的确认,并使得第三方不得假冒其二者之一。
密钥交换服务就是要使得呼叫方和被呼叫方取得的密钥一致,该密钥是用于在虚连接的生存期间提供数据完整性和保密性服务的。完整性服务是要提供由虚连接承载的数据不能被第三方修改的保证。保密性服务是要提供防止在虚连接上发送的数据不受第三方“窃听”的保护。最后,访问控制服务是要提供另外相关安全信息的保护,即在连接建立的时候,要使得终端能确定是否按照现场的安全策略接受连接的请求。
正在由ATM专题组定义的用户平面安全服务将会应用于点到点和点到多点连接的虚通道连接(VCC)和虚通路连接(VPC)。对第一阶段的安全规范来说,正在对三种情况安全服务作出规定,即:用户到用户、用户到网络和网络到网络。凡是能实现安全的ATM节点都具有“安全代理”的职能,这个安全代理就可以执行在连接建立时和连接的生存期间起作用的安全协议和安全机制。
鉴别、密钥交换和安全选项的协商
鉴别是用户平面安全服务,它可以使连接建立全过程的双方彼此得到绝对的确认。这不仅对它的直接利益有着很重要的作用,而且因为对其它安全服务,如密钥交换也是需要的。鉴别、密钥交换和安全选项的协商在这里要一起予以叙述,因为要实现这三项特征需要采用同样的协议。
不像定向数据报协议那样,它们只有在每个分组包的基础上完成鉴别,而ATM的定向连接特性可使得在连接建立期间两部分都使用更为精确的鉴别协议,因为与数字签名相关联的总开销成本要在整个连接生存期偿还,所以在连接建立期间可以采用更强的(即使较慢)鉴别协议。这也可以使得其它安全功能(像密钥交换)同时以小量的附加开销即可完成。
考虑到上述这种特性,ATM专题工作组已规定了在建立VCC或VPC时用的协议,该协议就可完成鉴别、密钥交换和安全选项的协商。此项协议主要是根据国际标准化组织(ISO)国际电子委员会(IEC)拟制的ISO/IEC9594-8和ISO/IEC11770-2标准为依据,它提供了采用三流程或二流程作相互鉴别。二次和三次的用户平面安全报文交换协议并不决定采用何种特定的密码算法。对每一种方法来说,鉴别都可以采用不对称或对称密码算法来完成。
安全报文交换协议
在二和三次安全报文交换协议中,协议的一方用户担负着“起动”的角色,另一方用户起着“响应”的角色。代表起动用户操作的“安全代理”就认为是“起动者”,代表响应用户操作的就认为是“响应者”。
在安全报文交换协议中,当采用非对称性(公开)密钥算法时,可假定每个鉴别实体(即A、B)拥有一个公开密钥/私密密钥对。当用于加密时,Ka表示A的非对称密钥的公共部分。当于数字签名时,Ka就表示A的非对称密钥的专用部分。对B实体情况类似。当采用对称(秘密的)密钥算法时,则要假定鉴别的实体A和B共用两个单向秘密密钥 Ka和Kb或单一的秘密密钥Ka=Kb。
安全协商是通过使用参数在三次交换协议中完成的。为了支持体系结构中的灵活性则需要进行协商。这种灵活性要允许执行者和用户可选择密码算法和他们所喜欢用的协议。在第一个流程中,起动者提供一个安全服务目录和连接使用的参数(如:算法类型、密钥长度、公开密钥的具体算法参数)。在第二个流程中,响应者要根据服务目录和连接参数予以回答。如果起动者与响应者相一致,那就是执行了协议,而且双方都采用了服务和响应者回答所包含的参数,否则,此协议和连接请求就出故障了。
协议的调整
当选定ATM二次或三次安全报文发报协议时,应当考虑有多种调整措施存在。这些调整措施下文将要对其进行叙述,其概要见表1(n是网络中节点的数目,安全服务要对它们进行申请)。为了保护鉴别协议远离采用众所周知的“重放攻击”的欺骗,鉴别流程必须是唯一的、有序的而且是最新的。对此可以有两种方式来达到:采用时间戳和顺序号或者经由一个“查询响应”协议。
如果在两个流程中要求相互鉴别或在一个流程中要求对源发方进行鉴别,那么就应采用基于时间戳的途径。根据源发方的鉴别证书,如果采用ATM"防火墙”来被动地滤掉(与端系统有关)连接请求,那么后者是重要的。但是,基于时间戳途径的不利因素是在报文的源发方和证明鉴别证书的实体之间要求有一定程度的时间同步。
通过采用一次随机数或临时数,其“查询响应”方式就提供了单一的、排列有序的和最新式的必不可少的保证。这就要通过发送一个临时数作为“查询”来实现,即对远程距离实体要以计数法标识并回归到要查询的实体。
另外,协调还关系到采用非对称(公开密钥)算法对抗对称(秘密密钥)算法的问题。非对称算法提供的每个实体都具有由该实体保持的“私密密钥”,而公开密钥,它可以自由地予以扩散,而且可以由其它人使用以证实由属于实体的密钥产生的数字签名是有效的。非对称算法(对数字签名和加密这二者来说)的优点是,私密密钥仅要求每一个用户出现一次,这就使得密钥管理变得复杂,但是,非对称算法由于采用复杂的函数,像“模数取幂”,所以在计算上它就很精密。
在另一方面,对称算法可以很快地进行计算,因为它们专门运用了“移位和排序”操作。但是,对称算法要求其源发和目的地实体要共享同一个公共密钥。对一个具有几个节点的网络,具有二和三次交换协议彼此鉴别的能力要求每个节点与所有其它节点都要有共同的密钥,这样就可以以O(n2)表示密钥管理的复杂性。在大型网络中,密钥管理复杂性要根据对称算法来进行鉴别。
访问控制
访问控制是一项ATM服务,该项服务决定着是否已获得授权连接。除了在鉴别协议中包含有相关安全的信息外,在第一阶段的安全规范定义了一个“基于标号访问控制”的信息成分,这就使得某个可信的呼叫方(像一个处于被分割状态的工作站,CMW)能以“标号”方式标明请求连接的敏感性,如果此标号落入可接受界限范围内(由呼叫方或某一中介设备决定的),该连接请求即得以进行。这对所呼叫的多级安全的(MLS)ATM网络是一项重要的安全服务,该网络包含着在多重灵敏度级别下产生数据的可靠部件。
完整性和数据源的鉴别
与上述的安全服务不同,完整性服务(有时称为“数据源的鉴别”)只要建立起ATM虚电路,就得以激活,该机制提供了防恶意修改和数插入攻击的保护,因为这种攻击可能欺骗端系统在错误的情况下工作。要实现此项保护则需要通过运用报文鉴别码(MAC),即在传送之前要追加上AAL服务数据单元(SDU)。在AALSDU级(不是ATM层)要提供数据完整性功能,这是因为其ATM信元仅有一个固定的规模而且没有任何空间留给MAC。这种MAC用的密钥是在连接建立期间经协商的密钥,能把数据约束在数据源。这在连接建立时对自身受鉴别的数据源产生的AALSDU接收者就有了保证。
保密性
保密性安全服务提供了由于“窃听”攻击为防止未经授权而泄密数据的保护。此项服务要采用加密以保证只有拥有正当的密钥接收者才能够对那些更具深层意义的数据解密。
数据保密性服务,按第一阶段ATM安全规范的规定,它是ATM信元级服务。根据此项服务,ATM信元的48个字节有效负荷都是要加密的,首部的5个字节保持原封不动。这对ATM加密机制的开发人员来说是幸运的,因为ATM信元被固定在一定的长度上,这就使得高速、基于硬件的执行成为可能。这对速率在155Mb/s以上的加密设备的操作是特别重要的。
会话密钥更新
当建立连接时,用于完整性和保密性服务的密钥都要协商而定。但是,当密钥用于保密性和完整性保护时,成功“破坏”密钥的概率会随着时间的推移而增加。为了防止这种攻击不会得逞,则必须定期更换密钥(其更换的频率决定于在给定密钥期间被传输数据的速率)。为此,对已经规定的“会话密钥更新”程序要支持周期性的密钥更换。
该程序采用了一个主密钥,该主密钥用来加密短期存活的会话密钥,于是此会话密钥就用作一个周期时间内的完整性和保密性服务。此主密钥和最初的会话密钥要在一开始的协商期间进行交换。但是,以后的会话密钥必须在数据通道中传输,以使接收者可以对它加载并在适当的时间使用它。
控制平面安全服务
ATM控制平面是使网络设备达到目的的主要因素。例如,控制平面被端系统和网络设备采用时,就是为了建立起SVC,因为控制平面在网络配置和操作中起着很重要的角色。它对隔离有预谋和非预谋(偶然的)活动是很重要的。
对第一阶段的ATM安全规范来说,安全工作组正在考虑提供控制平面报文的鉴别机制,其它控制平面的安全功能将在未来规范的版本中提出。
正如用户平面的鉴别那样,控制平面鉴别对防欺骗具有很强的保护。它就使得源于“可信赖的”部件的控制平面请求(如信令报文)的网络部件是可信的。这也就提供了防止某些“拒绝服务攻击”的保护,因为不是真实的报文(即未表明产生于“可信赖的”源)就可能会被忽略掉。
安全工作组目前正在为“鉴别信息元素”拟制定义,该鉴别信息元素包括数字签名和时间戳(提供了新式的、有序的和前面已叙述的对用户平面鉴别的唯一保护)。另外,鉴别信息元素还包含在数字签名中的报文部件所述及的信息。
ATM安全发报
为了完成上述的安全服务,需要有相关的安全报文的传送机制,通过安全服务改变所采用的发报机制取决于是在连接建立时还是在连接生存期内要求服务。在连接建立时,安全报文可以经过信令通道或重新建立的数据通道进行交换。在连接生存期间,OAM信元用来承载安全报文。
在连接建立时的安全发报
对连接建立来说,有两种方法用于安全发报。如果在端系统中的信令实体和网络设备都支持安全发报,那么安全报文就可以在信令通道中交换。但是,如果这些设备不支持安全报文,那么端系统和安全代理都必须在连接建立之后,在新的VCC/VPC上发送数据之前,在数据通道中交换安全报文。
连接生存期的安全发报
一旦数据连接得以建立,有关交换安全报文的机制就要求密码同步并执行会话密钥的更新。因为这些报文都是与数据业务量有关的敏感时间,它们必须作为附加的数据在相同的VCC/VPC中传输。另外,如果再同步报文可能抵达太迟,从而脱离了同步的解密处理。
安全工作组采纳的途径是利用承载相关安全信息的OAM信元。这种OAM信元既可以是F4(VPC级),也可以是F5(VCC级)的OAM信元,而且像这样就能很快地被接收的端系统或安全代理识别。在这两种情况下,其OAM信元的类型就是“系统管理”,为了表明安全功能才规定有适当的“功能类型”。
小结
ATM安全除了提供网络基础设施的有关保护外,还会提供用户信息的保护。ATM安全是在ATM协议参考模型之后模仿拟制的,它所划分的三个平面为:用户平面、控制平面和管理平。第一阶段ATM专题安全规范主要安排了用户平面安全服务和控制平面的有限服务。
ATM用户平面服务规定了在虚电路内以大量的方法承载对用户信息的保护。访问控制服务强调了什么可以允许访问连接ATM的服务和资源。鉴别服务保证了对呼叫方和被呼叫方获得真实的确认。机密性服务规定了加密机制,保护了整个ATM连接承载经授权的信息,完整性服务保证避免对用户数据值修改或探测用户数据顺序。
ATM安全概况
预计ATM将是一个可以把很多不同的应用(如:声音、影像、数据等)都集中在网络中,并具有不同服务质量(QoS)要求的高速定向连接的连网标准。作为定向连接赋予ATM的特性表明,连接采用固定路由的整个网络和构成路由链路上的保留带宽都是为了满足QoS的应用要求。为了对给定的源目的地的对偶节点建立连接,要选择好整个网络的路由。ATM网络中的路由既是预先建立的(即不完全是永久性的连接)也是在动态情况的要求下立即按连接要求建立的。在称为ATM信元的短固定长度分组包中载有很多不同种类的信息。ATM信元长度是由53个字节组成的,其中48个字节是有效负载,另外的5个字节构成信元的首部。在边缘的网络用户信息帧都被划入ATM信元。在网络的指定(目的)侧,用户信息帧都是由接入的信元重新构成的。
ATM目前表现出来的弱点之一是它不提供安全服务,这在为客户实施ATM能力时则是一个主要障碍。尽管愈来愈多的商业机构、金融业界和政府部门都纷纷要求转向ATM,但是为了充分发挥ATM的潜力,人们都迫切要求ATM应有安全服务。目前绝大多数的ATM电路都只能以永久虚电路(PVC)存在,并以专线连接固定公司的所在地。但是,当它抵达横跨共同边界的交换虚电路(SVC)或者横跨服务提供者网络的公司内部的SVC时,ATM的有效使用价值就成了决定能否推广使用ATM的主要因素。
ATM可能会在将来用于对任务要求极为严密的通信应用领域,像金融交易、医疗信息系统、国防军事通信等。这些应用都要求在安全的通信中具有高可靠的密码算法和协议作保证。就很强的ATM安全机制来说,对防欺骗、防恶意的数据修改以及防窃听等都要有切实可靠的保证措施。如果在没有这些机制保证的情况下,重要任务的应用就只能靠昂贵的开支才能存在下去,也许这都是因为没有可以互操作的设备之故。
安全ATM必须提供的最低等级是ATM端点的鉴别以及保护用户数据的措施。ATM高速信元中继的性能在确保其安全的任务中表现出了一些特殊的问题。其中有些问题可以概述如下:
1)安全服务必须适应于有效ATM信元级的细粒度多路传输,要求密钥应具有相应的灵活性,也就是对不同数据源的信元要采用不同的密钥。
2)由于ATM网络的高速和严格的服务质量(QoS)要求,安全服务不应带来附加的延迟或信元延迟的变化。
3)高速传输速率使会话存活期的密钥只有一个很短的周期。因此,传统的全密钥交换协议是不适用的,而且为了能更新这些密钥需要频繁地对这些密钥进行修改。换句话说,要求在一个较长时间的基础上重新修改密钥还必须有新的机制。
4)密码机制必须在密钥具有灵活性的情况下,以1Gbps的速度操作。目前,众所周知的密码机制可能很难适应这些要求。
5)密码机制还必须在不同的速率下进行互操作。例如:可以把一台客户机经过同步光纤网络(SONET)OC-3C连到ATM网络上,而它的服务器可以备有OC-48C的连接。显然,服务器的加密装置(可以为一个平行实现的算法)必须与客户机的加密装置(可以是一个串行实现的同样算法)进行互操作。
由ATM专题安全工作组定义的ATM安全是仿照ATM协议参考模型拟制的。该协议参考模型被划分为三个平面:用户平面、控制平面和管理平面。用户平面保证供给传输用户的数据,它包含物理层、ATM层和多ATM适配层(AAL)几种类型。控制平面要处理连接的建立、释放和其它连接功能。控制平面与用户平面共享物理层和ATM层。另外,它还包括根据AAL5和更高一层的信令协议规定的信令AAL。管理平面执行管理和协调用户和控制平面双方的相关功能。ATM专题安全规范在第一阶段就是要提供用户平面(数据)安全服务和控制平面(信令)安全服务规范。对管理平面的安全服务也许要在将来规范发布时才会提供。
ATM用户平面安全服务
用户平面安全服务是要对很多途径在虚连接上承载的用户信息提供保护。鉴别就是要使得呼叫方和被呼叫方彼此得到绝对的确认,并使得第三方不得假冒其二者之一。
密钥交换服务就是要使得呼叫方和被呼叫方取得的密钥一致,该密钥是用于在虚连接的生存期间提供数据完整性和保密性服务的。完整性服务是要提供由虚连接承载的数据不能被第三方修改的保证。保密性服务是要提供防止在虚连接上发送的数据不受第三方“窃听”的保护。最后,访问控制服务是要提供另外相关安全信息的保护,即在连接建立的时候,要使得终端能确定是否按照现场的安全策略接受连接的请求。
正在由ATM专题组定义的用户平面安全服务将会应用于点到点和点到多点连接的虚通道连接(VCC)和虚通路连接(VPC)。对第一阶段的安全规范来说,正在对三种情况安全服务作出规定,即:用户到用户、用户到网络和网络到网络。凡是能实现安全的ATM节点都具有“安全代理”的职能,这个安全代理就可以执行在连接建立时和连接的生存期间起作用的安全协议和安全机制。
鉴别、密钥交换和安全选项的协商
鉴别是用户平面安全服务,它可以使连接建立全过程的双方彼此得到绝对的确认。这不仅对它的直接利益有着很重要的作用,而且因为对其它安全服务,如密钥交换也是需要的。鉴别、密钥交换和安全选项的协商在这里要一起予以叙述,因为要实现这三项特征需要采用同样的协议。
不像定向数据报协议那样,它们只有在每个分组包的基础上完成鉴别,而ATM的定向连接特性可使得在连接建立期间两部分都使用更为精确的鉴别协议,因为与数字签名相关联的总开销成本要在整个连接生存期偿还,所以在连接建立期间可以采用更强的(即使较慢)鉴别协议。这也可以使得其它安全功能(像密钥交换)同时以小量的附加开销即可完成。
考虑到上述这种特性,ATM专题工作组已规定了在建立VCC或VPC时用的协议,该协议就可完成鉴别、密钥交换和安全选项的协商。此项协议主要是根据国际标准化组织(ISO)国际电子委员会(IEC)拟制的ISO/IEC9594-8和ISO/IEC11770-2标准为依据,它提供了采用三流程或二流程作相互鉴别。二次和三次的用户平面安全报文交换协议并不决定采用何种特定的密码算法。对每一种方法来说,鉴别都可以采用不对称或对称密码算法来完成。
安全报文交换协议
在二和三次安全报文交换协议中,协议的一方用户担负着“起动”的角色,另一方用户起着“响应”的角色。代表起动用户操作的“安全代理”就认为是“起动者”,代表响应用户操作的就认为是“响应者”。
在安全报文交换协议中,当采用非对称性(公开)密钥算法时,可假定每个鉴别实体(即A、B)拥有一个公开密钥/私密密钥对。当用于加密时,Ka表示A的非对称密钥的公共部分。当于数字签名时,Ka就表示A的非对称密钥的专用部分。对B实体情况类似。当采用对称(秘密的)密钥算法时,则要假定鉴别的实体A和B共用两个单向秘密密钥 Ka和Kb或单一的秘密密钥Ka=Kb。
安全协商是通过使用参数在三次交换协议中完成的。为了支持体系结构中的灵活性则需要进行协商。这种灵活性要允许执行者和用户可选择密码算法和他们所喜欢用的协议。在第一个流程中,起动者提供一个安全服务目录和连接使用的参数(如:算法类型、密钥长度、公开密钥的具体算法参数)。在第二个流程中,响应者要根据服务目录和连接参数予以回答。如果起动者与响应者相一致,那就是执行了协议,而且双方都采用了服务和响应者回答所包含的参数,否则,此协议和连接请求就出故障了。
协议的调整
当选定ATM二次或三次安全报文发报协议时,应当考虑有多种调整措施存在。这些调整措施下文将要对其进行叙述,其概要见表1(n是网络中节点的数目,安全服务要对它们进行申请)。为了保护鉴别协议远离采用众所周知的“重放攻击”的欺骗,鉴别流程必须是唯一的、有序的而且是最新的。对此可以有两种方式来达到:采用时间戳和顺序号或者经由一个“查询响应”协议。
如果在两个流程中要求相互鉴别或在一个流程中要求对源发方进行鉴别,那么就应采用基于时间戳的途径。根据源发方的鉴别证书,如果采用ATM"防火墙”来被动地滤掉(与端系统有关)连接请求,那么后者是重要的。但是,基于时间戳途径的不利因素是在报文的源发方和证明鉴别证书的实体之间要求有一定程度的时间同步。
通过采用一次随机数或临时数,其“查询响应”方式就提供了单一的、排列有序的和最新式的必不可少的保证。这就要通过发送一个临时数作为“查询”来实现,即对远程距离实体要以计数法标识并回归到要查询的实体。
另外,协调还关系到采用非对称(公开密钥)算法对抗对称(秘密密钥)算法的问题。非对称算法提供的每个实体都具有由该实体保持的“私密密钥”,而公开密钥,它可以自由地予以扩散,而且可以由其它人使用以证实由属于实体的密钥产生的数字签名是有效的。非对称算法(对数字签名和加密这二者来说)的优点是,私密密钥仅要求每一个用户出现一次,这就使得密钥管理变得复杂,但是,非对称算法由于采用复杂的函数,像“模数取幂”,所以在计算上它就很精密。
在另一方面,对称算法可以很快地进行计算,因为它们专门运用了“移位和排序”操作。但是,对称算法要求其源发和目的地实体要共享同一个公共密钥。对一个具有几个节点的网络,具有二和三次交换协议彼此鉴别的能力要求每个节点与所有其它节点都要有共同的密钥,这样就可以以O(n2)表示密钥管理的复杂性。在大型网络中,密钥管理复杂性要根据对称算法来进行鉴别。
访问控制
访问控制是一项ATM服务,该项服务决定着是否已获得授权连接。除了在鉴别协议中包含有相关安全的信息外,在第一阶段的安全规范定义了一个“基于标号访问控制”的信息成分,这就使得某个可信的呼叫方(像一个处于被分割状态的工作站,CMW)能以“标号”方式标明请求连接的敏感性,如果此标号落入可接受界限范围内(由呼叫方或某一中介设备决定的),该连接请求即得以进行。这对所呼叫的多级安全的(MLS)ATM网络是一项重要的安全服务,该网络包含着在多重灵敏度级别下产生数据的可靠部件。
完整性和数据源的鉴别
与上述的安全服务不同,完整性服务(有时称为“数据源的鉴别”)只要建立起ATM虚电路,就得以激活,该机制提供了防恶意修改和数插入攻击的保护,因为这种攻击可能欺骗端系统在错误的情况下工作。要实现此项保护则需要通过运用报文鉴别码(MAC),即在传送之前要追加上AAL服务数据单元(SDU)。在AALSDU级(不是ATM层)要提供数据完整性功能,这是因为其ATM信元仅有一个固定的规模而且没有任何空间留给MAC。这种MAC用的密钥是在连接建立期间经协商的密钥,能把数据约束在数据源。这在连接建立时对自身受鉴别的数据源产生的AALSDU接收者就有了保证。
保密性
保密性安全服务提供了由于“窃听”攻击为防止未经授权而泄密数据的保护。此项服务要采用加密以保证只有拥有正当的密钥接收者才能够对那些更具深层意义的数据解密。
数据保密性服务,按第一阶段ATM安全规范的规定,它是ATM信元级服务。根据此项服务,ATM信元的48个字节有效负荷都是要加密的,首部的5个字节保持原封不动。这对ATM加密机制的开发人员来说是幸运的,因为ATM信元被固定在一定的长度上,这就使得高速、基于硬件的执行成为可能。这对速率在155Mb/s以上的加密设备的操作是特别重要的。
会话密钥更新
当建立连接时,用于完整性和保密性服务的密钥都要协商而定。但是,当密钥用于保密性和完整性保护时,成功“破坏”密钥的概率会随着时间的推移而增加。为了防止这种攻击不会得逞,则必须定期更换密钥(其更换的频率决定于在给定密钥期间被传输数据的速率)。为此,对已经规定的“会话密钥更新”程序要支持周期性的密钥更换。
该程序采用了一个主密钥,该主密钥用来加密短期存活的会话密钥,于是此会话密钥就用作一个周期时间内的完整性和保密性服务。此主密钥和最初的会话密钥要在一开始的协商期间进行交换。但是,以后的会话密钥必须在数据通道中传输,以使接收者可以对它加载并在适当的时间使用它。
控制平面安全服务
ATM控制平面是使网络设备达到目的的主要因素。例如,控制平面被端系统和网络设备采用时,就是为了建立起SVC,因为控制平面在网络配置和操作中起着很重要的角色。它对隔离有预谋和非预谋(偶然的)活动是很重要的。
对第一阶段的ATM安全规范来说,安全工作组正在考虑提供控制平面报文的鉴别机制,其它控制平面的安全功能将在未来规范的版本中提出。
正如用户平面的鉴别那样,控制平面鉴别对防欺骗具有很强的保护。它就使得源于“可信赖的”部件的控制平面请求(如信令报文)的网络部件是可信的。这也就提供了防止某些“拒绝服务攻击”的保护,因为不是真实的报文(即未表明产生于“可信赖的”源)就可能会被忽略掉。
安全工作组目前正在为“鉴别信息元素”拟制定义,该鉴别信息元素包括数字签名和时间戳(提供了新式的、有序的和前面已叙述的对用户平面鉴别的唯一保护)。另外,鉴别信息元素还包含在数字签名中的报文部件所述及的信息。
ATM安全发报
为了完成上述的安全服务,需要有相关的安全报文的传送机制,通过安全服务改变所采用的发报机制取决于是在连接建立时还是在连接生存期内要求服务。在连接建立时,安全报文可以经过信令通道或重新建立的数据通道进行交换。在连接生存期间,OAM信元用来承载安全报文。
在连接建立时的安全发报
对连接建立来说,有两种方法用于安全发报。如果在端系统中的信令实体和网络设备都支持安全发报,那么安全报文就可以在信令通道中交换。但是,如果这些设备不支持安全报文,那么端系统和安全代理都必须在连接建立之后,在新的VCC/VPC上发送数据之前,在数据通道中交换安全报文。
连接生存期的安全发报
一旦数据连接得以建立,有关交换安全报文的机制就要求密码同步并执行会话密钥的更新。因为这些报文都是与数据业务量有关的敏感时间,它们必须作为附加的数据在相同的VCC/VPC中传输。另外,如果再同步报文可能抵达太迟,从而脱离了同步的解密处理。
安全工作组采纳的途径是利用承载相关安全信息的OAM信元。这种OAM信元既可以是F4(VPC级),也可以是F5(VCC级)的OAM信元,而且像这样就能很快地被接收的端系统或安全代理识别。在这两种情况下,其OAM信元的类型就是“系统管理”,为了表明安全功能才规定有适当的“功能类型”。
小结
ATM安全除了提供网络基础设施的有关保护外,还会提供用户信息的保护。ATM安全是在ATM协议参考模型之后模仿拟制的,它所划分的三个平面为:用户平面、控制平面和管理平。第一阶段ATM专题安全规范主要安排了用户平面安全服务和控制平面的有限服务。
ATM用户平面服务规定了在虚电路内以大量的方法承载对用户信息的保护。访问控制服务强调了什么可以允许访问连接ATM的服务和资源。鉴别服务保证了对呼叫方和被呼叫方获得真实的确认。机密性服务规定了加密机制,保护了整个ATM连接承载经授权的信息,完整性服务保证避免对用户数据值修改或探测用户数据顺序。
标签:ATM
以下是用户评论查看全部评论