6.1. Краткий обзор Потоков OAM ячеек уровня АТМ
На уровне ATM, определены два OAM потока: F4 (виртуальный уровень путей) и F5 (виртуальный уровень каналов), которые используются для управления (operation) и обслуживания соединений. F4 поток - для виртуальных соединений пути (VPC) и поток F5 - для виртуальных соединений канала (VCC). Потоки F4 и F5 - для всех типов соединений ATM. На уровне ATM, потоки F4 и F5 переносятся посредством OAM ячеек (Операции Управления и Обслуживания). Потоки F4 и F5 двунаправленные. Во всех случаях, потоки OAM ячеек должны соответствовать контракту трафика на соответствующем им VCC/VPC. Детальное описание потоков OAM и функций дается
в [20]( ITU-T Recommendation I.610, “B-ISDN Operation and Maintenance Principles and Functions,”November 1994.).Замечание: Эти механизмы полагаются на достаточную пропускную способность, чтобы поддерживать поток OAM ячеек. Если не достигается достаточная пропускная способность, могут происходить потеря или искажение данных пользователя, и ошибки могут возникать непосредственно в механизме защиты.
Таблица 1: Типы OAM ячеек и Функциональные Идентификаторы.
Тип OAM ячейки |
Кодпойнт |
Тип Функции |
Кодпойнт |
Управление сбоем |
0001 |
AIS |
0000 |
(fault management) |
|
RDI |
0001 |
|
|
Проверка целостности |
0100 |
|
|
Возврат цикла |
1000 |
|
|
|
|
Управление работой |
0010 |
Мониторинг вперед |
0000 |
(performance management) |
|
(forward monitoring) |
|
|
|
Мониторинг назад |
0001 |
|
|
(backward monitoring) |
|
|
|
Мониторинг и сообщение |
0010 |
|
|
|
|
Активация / деактивация |
1000 |
Мониторинг работы |
0000 |
|
|
Проверка целостности |
0001 |
Управление системой |
1111 |
Защита не в реальном масштабе времени |
0001 |
|
|
Защита в реальном масштабе времени |
0010 |
Форматы OAM ячеек для OAM потоков уровня ATM показаны на
Рисунке 4. Поле типа OAM ячейки (4-бита) указывает тип функции управления, представленной OAM ячейкой. В настоящее время определены четыре типа OAM: управление сбоем, управление работой, активация / деактивация, и управление системой.Поле типа функции (4-бита) указывает функцию, представленную OAM ячейкой в рамках функции управления.
Таблица 1 показывает кодпойнты, назначенные для поля типа OAM ячейки и поля типа функции. Поле определения функции(function specific field) (45 байтов) несет информацию, связанную с текущей функцией потока OAM. Зарезервированное (6-бит) поле не используется и оставлено для будущего использования. Поле кода обнаружения ошибок (EDC) несет код обнаружения ошибок CRC -10, вычисленный по данным полезной нагрузки ячейки. з Назад
6.1.1. Поток F4 OAM ячеек
Операционная информация виртуального соединения пути (VPC) передается через поток F4 OAM ячеек. Имеется два типа потоков F4: сквозной(end-to-end) поток F4 и сегментный(segment)поток F4. Сквозные потоки F4 заканчиваются в оконечных точках VPC, а сегментные потоки F4 заканчиваются в соединительных точках(connecting points), ограничивающих(terminating) сегмент VPC. Сегмент VPC определяется или как одно соединение VPC или как конкатенация нескольких соединений VPC.
Несколько сегментов VPC может быть определено на пути VPC, но они не могут накладываться.Сквозной и сегментный потоки F4 OAM ячеек проходят, не изменяясь через все промежуточные узлы. Промежуточные узлы могут вставлять новый поток F4 OAM ячеек, однако, сквозной поток F4 OAM ячеек удаляется только оконечными точками VPC ,а сегментный поток F4 OAM ячеек удаляется только ограничивающими точками сегмента VPC.
Рисунок 4. F4 и F5 OAM ячейки.
Поток F4 OAM ячеек следует точно тем же самым физическим маршрутом что и ячейки данных пользователя VPC. Эти OAM ячейки имеют то же самое значение VPI что и ячейки данных пользователя VPC и идентифицированы заранее заданными(pre-assigned) значениями VCI. Для обоих направлений потоков F4 используются одинаковые заранее заданные значения VCI . Два уникальных значения VCI используются для каждого VPC как показано на Рисунке 4. Значение VCI = 4 используется, чтобы идентифицировать сквозные потоки F4 и значение VCI = 3 используются, чтобы идентифицировать сегментные потоки F4 .
6.1.2. Поток F5 OAM ячеек.
Операционная информация виртуального соединения канала (VCC) передается через поток F5 OAM ячеек. Имеется два типа потоков F5: сквозной поток F5 и сегментный поток F5. Сквозной поток F5 потоки заканчивается в оконечных точках VCC ,а сегментный поток F5 заканчивается в соединительных точках(connecting points), ограничивающих(terminating
) сегмент VCC. Сегмент VCC определяется или как одно соединение VCC или как конкатенация нескольких соединений VCC.Несколько сегментов VCC может быть определено на пути VCC, но они не могут накладываться.Сквозной и сегментный потоки F5 OAM ячеек проходят не изменяясь через все промежуточные узлы. Промежуточные узлы могут вставлять новый поток F5 OAM ячеек, однако, сквозной поток 54 OAM ячеек удаляется только оконечными точками VCC ,а сегментный поток F5 OAM ячеек удаляется только ограничивающими точками сегмента VCC.
Поток F5 OAM ячеек следует точно тем же самым физическим маршрутом что и ячейки данных пользователя VCC. Эти OAMячейки имеют то же самое значение VPI/VCI, что и ячейки данных пользователя VCC и идентифицированы заранее заданным кодпойнтом идентификатора типа полезного груза (PTI). Для обоих направлений потоков F5 используются одинаковые заранее заданные значения VCI . Два уникальных значения PTI используются для каждого VCC как показано в
Рисунке 4. PTI Значение = 5 (101) используется, чтобы идентифицировать сквозные потоки F5,а значение PTI = 4 (100) используется, чтобы идентифицировать сегментные потоки F5.6.2. Форматы OAM ячеек безопасности
Определено два типа OAM ячеек безопасности — один для не критических ко времени процессов (называемый 'не-в реальном масштабе времени' (non-real-time)), и один для критических ко времени процессов (называемый 'в реальном масштабе времени'(real-time)). Различие должно дифференцировать ячейки, которые могут быть обработаны независимо от трафика пользователя и которые имеют прямое влияние на трафик пользователя. SKE и SKC ячейки, определенные в разделах 6.2.1.1 и 6.2.2.1, являются примерами non-real-time и real-time OAM ячеек безопасности, соответственно. Универсальный формат для OAM ячейки безопасности показан на
Рисунке 5.
Рисунок 5. Универсальный Формат OAM ячейки безопасности.
Замечания:
1) Для VCC поле PTI установлено в 101 (двоичн).
2) Для VPC поле VCI установлено в 0004 (шестнадцатеричн).
3) Бит ПРИОРИТЕТА ПОТЕРИ ЭЛЕМЕНТА ДАННЫХ(CLP) всегда устанавливается в 0.
4) Для non-real-time OAM ячеек безопасности, поле Func Type установлены в 0001 (двоичн).
5) Для real-time OAM ячеек безопасности, поле Func Type установлены в 0010 (двоичн).
6) Использование поля Относительного ИДЕНТИФИКАТОРА(ID) определено в Разделе 5.1.7.3.
7) Использование поля ИДЕНТИФИКАТОРА(ID) функции описано в Таблице 1 и Таблице 2.
6.2.1. Форматы non-real-time OAM ячеек безопасности
Non-rel-time (NRT) OAM ячейки безопасности определены как имеющие функцию OAM типа 0001 (двоичн). Возможно до 16 типов NRT ячеек, как определено полем ИДЕНТИФИКАТОРА(ID) функции. Кодпойнты для поля ID Функции для NRT ячеек безопасности определены в
Таблице 2.Таблица 2: Кодпойнты ИДЕНТИФИКАТОРА функции для Non-real-time OAM ЯЧЕЕК безопасности.
ИДЕНТИФИКАТОР функции (Двоичн) Функция безопасности
0001 Обмен Сеансового ключа Конфиденциальности Данных (SKE)
0010 Обмен Сеансового ключа Целостности Данных (SKE)
Все другие не определенны
6.2.1.1. Формат OAM ячейки Конфиденциальности Данных SKE
Формат OAM ячейки Конфиденциальности Данных SKE определен на
Рисунке 6.
Рисунок 6. Формат OAM ячейки при Обмене Сеансового ключа (SKE) .
Замечания:
1) Использование поля Относительного ID определено в Разделе 6.3.
2) Поле Bank ID - переменный шаблон из 0 (шестнадцатеричн.) или F (шестнадцатеричн.), для поочередных ключевых обновлений.
3) Поле номера ключа(KN), 32-разрядное поле, указывает номер ключа, связанный с новым сеансовым ключом. Каждому сеансовому ключу назначен номер. Первому сеансовому ключу, который будет обменен протоколом обновления сеансового ключа присваивается 1; второму сеансовому ключу присваивается 2, и т.д. KN - криптографически защищенное поле, которое используется протоколом обновления ключей, чтобы гарантировать новизну(freshness), уникальность, и упорядочение обновлений сеансового ключа и синхронизировать инициатора и ответчика к одинаковому сеансовому ключу.
4) Зашифрованный Сеансовый ключ (ESK), 256-разрядное поле, содержит следующий сеансовый ключ зашифрованный с использованием мастер-ключа соединения. Для случаев, когда транспортируемый сеансовый ключ - меньше в длину чем 256 битов, он содержится в младших значащих битах поля ESK, старшими значащие биты 'забиваются' нулями (прежде, чем шифровать).
5) Зарезервированные байты установлены в 6A (шестнадцатеричн.), зарезервированые поля битов меньшие по длине чем 1 байт установлены в нули.
6) Зарезервированные биты, включенные после 4-разрядного поля Bank ID представляются так, чтобы поля KN И ESK были выровнены по 16 разрядным границам, чтобы упростить высокоскоростное выполнение.
6.2.1.2. Формат OAM ячейки целостности Данных SKE
Формат OAM ячейки Целостности Данных SKE определен в
Рисунке 6, за исключением того, что поле ID функции установлено в 0010 (двоичн.).
6.2.2. Форматы real-time OAM ячеек безопасности
Real-time(RT) OAM ячейки безопасности определены как имеющие OAM функции типа 0010 (двоичн.). Возможно до 16 типов RT ячейки, как определено полем ID функции. Кодпойнты для поля ID функции для RT ячеек безопасности определены в
Таблице 3.Таблица 3: Кодпойнты ID функции для real-time OAM ячеек безопасности.
ID Функция безопасности
0100 Переключение Сеансового ключа Конфиденциальности Данных (SKC)
0010 Переключение Сеансового ключа Целостности Данных (SKC)
Все другие не определены
6.2.2.1.Формат OAM ячейки Конфиденциальности Данных SKC
Формат OAM ячейки Конфиденциальности Данных SKC определен на
Рисунке 7.
Рисунок 7. Формат OAM ячейки при Переключении Сеансового ключа (SKC) .
Замечания:
1) Использование поля Относительного ID определено в Разделе 6.3.
2) Поле Bank ID - переменный шаблон из 0 (шестнадцатеричн.) или F (шестнадцатеричн.), для поочередных ключевых обновлений.
3) Поле (KN) номера ключа, 32-разрядное поле, указывает номер ключа, связанный с новым сеансовым ключом. Каждому сеансовому ключу назначен номер. Первому сеансовому ключу, который будет обменен протоколом обновления сеансового ключа присваивается 1; второму сеансовому ключу присваивается 2, и т.д.
4) Вектор Состояния (SV) содержит новый вектор состояния при использовании встречного режима(Counter mode) службы Конфиденциальности Данных , или иначе он установлен в нули.
5) Зарезервированные байты установлены в 6A (шестнадцатеричн.), зарезервированые поля битов меньшие по длине чем 1 байт установлены во все нули.
6) Зарезервированные биты, включенные после 4-разрядного поля Bank ID представляются так, чтобы поля KN и ESK были выровнены по 16 разрядным границам, чтобы упростить высокоскоростное выполнение.
6.2.2.2. Формат OAM ячейки Целостность Данных
SKCФормат OAM ячейки Целостности Данных SKC определен на
Рисунке 7, за исключением того, что поле ID функции установлено в 0010 (двоичн.).6.3. Использование Поля Относительного ID OAM ячейки безопасности
Рисунок 8. Пример Вложенных Агентов защиты.
Поле относительного ID OAM ячейки безопасности (или RID) используется, чтобы поддерживать симметричное вложение агентов защиты и-или служб безопасности. OAM ячейки безопасности обеспечивают средства связи между агентами защиты на протяжении срока службы соединения. Поле Относительного ID обеспечивает механизм индикации агента защиты который применяет конкретную OAM ячейку, когда используется вложение. Поддерживается до 16 уровней вложения. Имеются несколько потенциальных возможностей использования для вложенных агентов защиты. Основная(primary) должна обеспечивать различные "Домены"("области") безопасности в пределах сети, где внутренний домен мог бы снабжать различные характеристики безопасности внешнего домена. Разрешая вложение, пользователи во внешнем домене могут совместно использовать ту же самую сеть как пользователи внутреннего домена. Вложение может также использоваться, чтобы комбинировать функции защиты, которые, случается, используют отдельные агенты защиты (например, секретность и целостность). Рисунок 8 показывает пример вложенных агентов защиты и эффекта на поле Относительного ID (RID) .
Процедуры для обработки OAM ячеек безопасности описаны в Разделах 6.3.1, 6.3.2, и 6.3.3. Эти процедуры применяются только к тем агентам защиты, которые вставляют и-или уничтожают(убирают) OAM ячейки безопасности для целей ключевого обновления или криптогафической пересинхронизации. Агенты защиты, не выполняющие эти функции должны, очевидно, пропустить OAM ячейки.
Реализация, содержащая несколько служб безопасности в одном физическом устройстве, например целостность и шифрование, должна обрабатывать каждую службу как отдельный логический объект относительно обработки RID.
Агент защиты содержит два интерфейса: открытый текст и зашифрованный текст. Интерфейс открытого текста - интерфейс, по которому "незащищенный" трафик передается или принимается. Агент защиты получает "незащищенный" трафик ATM на интерфейсе открытого текста, применяет службы безопасности к трафику, и передает "защищенный" трафик через интерфейс зашифрованного текста. Агент защиты получает защищенный трафик ATM на интерфейсе зашифрованного текста, удаляет предохранение защиты и передает "незащищенный" трафик по интерфейсу открытого текста. OAM ячейки безопасности передаются и в направлении открытый текст в шифртекст (plaintext-to-ciphertext) и в направлении шифртекст в открытый текст (ciphertext-to-plaintext). Процедуры для обработки поля Относительного ID зависят от направления потока OAM ячейки безопасности.
6.3.1. Инициирование OAM ячеек безопасности
Следующие процедуры применяются к исходным агентам защиты вставляющим OAM ячейки безопасности. OAM ячейки безопасности вводятся агентами защиты сквозь интерфейс зашифрованного текста. Когда OAM ячейка введена в поток ячеек(cell stream) агентом защиты (для криптогафической пересинхронизация или обновления ключа), относительный ID должен быть установлен в нуль.
6.3.2. Обработка для OAM ячеек безопасности, полученных на Интерфейс Открытого текста
OAM ячейки безопасности будут получены на стороне открытого текста агента защиты, если имеется две или более вложенных пар агентов защиты, обеспечивающих конфиденциальность или услуги целостности для данного соединения. Агент защиты, который получает OAM ячейку безопасности на своем интерфейсе открытого текста, с ID функции, соответствующим службе, которую обеспечивает источник-SA(source SA) , должен увеличить относительный ID на один, вычислить новый CRC -10 по содержанию ячейки, обойдя функцию безопасности, и передать ячейку к интерфейсу зашифрованного текста. Относительный порядок OAM ячеек безопасности и других ячеек в соединение не должен нарушаться. Если поле относительного ID полученной OAM ячейки безопасности содержит одни единицы, ячейка забраковывается.
6.3.3. Обработка для OAM ячеек безопасности, полученных на Интерфейс Зашифрованного текста
OAM ячейка безопасности, полученная на интерфейс зашифрованного текста предназначена для агента защиты если поле Относительного ID установлено на нуль. Если относительный ID установлен на нуль, агент защиты должен удалить OAM ячейку безопасности из потока ячеек и использовать ее содержание, чтобы выполнить функцию OAM защиты.
Если относительный ID установлен в другое значение (чем нуль), агент защиты должен уменьшать относительный ID, вычислять новый CRC -10 по содержанию ячейки, обходя функцию защиты, и отправлять ячейку сквозь интерфейс открытого текста. Относительный порядок OAM ячейки безопасности и других ячеек в соединении не должен нарушаться.