Обзор спецификации безопасности
Спецификация ATM, определяет три сегмента —
сегмент пользователя, сегмент контроля, и сегмент управления — каждый сегмент
включает три или большее количество (протокольных) уровней — физический
уровень, уровень ATM, Уровень Адаптации ATM (AAL), и верхние уровни в случае
надобности. Сегмент пользователя обеспечивает передачу данных пользователя
через Виртуальные Подключения Канала (VCC) и Виртуальные Подключения Пути
(VPC). Сегмент контроля отвечает за установление соединения, разъединение, и
другие функции связи, включая UNI, NNI, и сигнализацию ICI. Сегмент управления
выполняет функции управления и координирования, связанные, и с пользователем и
сегментом контроля (включая функции PNNI, связанные с маршрутизацией).
Документ определяет механизмы для аутентификации,
конфиденциальности, целостности данных, и управление доступом для сегмента
пользователя. Он также определяет механизмы аутентификации и целостности для
сегмента контроля (сигнализации UNI и NNI). Защита сегмента управления
исключена из этих технических требований; однако, так как объекты сегмента
управления используют для своих целей соединения сегмента пользователя , защита
сегмента пользователя, указанная здесь может способствовать защите сегмента
управления. Также рассматривается инфраструктура, необходимая, чтобы поддержать
эти службы безопасности: обмен данными и параметрами служб безопасности ,
ключевого обмена, и инфраструктуры сертификации.
Спецификация ограничивает защиту ATM:
механизмы, которые должны использоваться на уровнях ATM и-или AAL. Акцент
повсюду ставится больше на обеспечении защиты соединения(per-connection) чем,
например, линии или узла. Спецификация включает все типы подключений ATM: канал
и путь; двухточечный и многоточечный(типа "звезда") ; переключаемый и
постоянный. Этот документ предоставляет определения (определенных) механизмов
защиты и протоколов для поддержания развития взаимодействующих служб
безопасности ATM. Эти службы безопасности предназначены для использования в
сочетании с соответствующими системными и сетевыми техническими действиями
защиты для усиления политики защиты. Как отмечено выше, этот документ
определяет службы безопасности для сегмента пользователя (соединения для
передачи данных) и контрольного сегмента (сигнальные потоки). Кроме того, также
определены услуги обеспечивающие защиту сегмента пользователя и контрольного
сегмента.
1. Службы безопасности Сегмента
Пользователя
Службы безопасности сегмента пользователя
применяют на базе виртуального канала (VC), где виртуальный канал мог быть или
VCC (виртуальное подключение канала) или VPC (виртуальное подключение пути).
службы безопасности для физических связей (которые могут нести много
виртуальных каналов) не обсуждаются в этих Технических требованиях. Следующие
службы безопасности для сегмента пользователя определены: аутентификация,
конфиденциальность данных, целостность данных, и управление доступом. Эти
службы поддержаны в подключениях точка-точка и точка-много точек для обоих
вариантов: коммутируемый виртуальный канал (временно существующее виртуальное соединение
между двумя оконечными компьютерами) и постоянный виртуальный канал (постоянно
существующее виртуальное соединение между двумя оконечными компьютерами).
1.1. Аутентификация
Аутентификация сегмента Пользователя (также
описано, как "аутентификация объекта ") решает в начале подключения,
что тождества запроса и-или называемых сторон подлинные. Этот служба
обеспечивает защиту против имитации или spoofing-угроз, что необходимо для
установления безопасных подключений.
По этой причине, аутентификация необходима
для функционирования других сервисов безопасности, включая обмен ключами
(описанное ниже), и безопасный обмен параметрами защиты при переговорах.
Аутентификация может быть или взаимной, или
односторонней. Если аутентификация взаимна, то обе стороны подтверждают
подлинность друг другу, при односторонней аутентификации, только одна сторона
заверена к другой.
Аутентификация определеная в этом Документе,
использует (для своей реализации) криптогафические алгоритмы, включая
асимметричный (открытый ключ) алгоритмы (например, RSA) и симметричный
(секретный ключ) алгоритмы (например, - MAC).
1.2. Конфиденциальность
Конфиденциальность сегмента Пользователя
обеспечивает криптогафические механизмы, которые защищают данные
"пользователя" в ВИРТУАЛЬНОМ КАНАЛЕ от неправомочного раскрытия.
(Термин "пользователь" относится к объекту протокола, который
непосредственно использует услуги ATM.)
Эти Технические требования определяют
конфиденциальность ATM скорее на уровне ячеек, чем на AAL уровене (сокр. от ATM
Adaptation Level правила, определяющие способ подготовки информации для
передачи по сети ATM), потому что фиксированная длина ячейки ATM {53 байта}
позволяет эффективно ее зашифровывать. Кроме того, только полезный груз
{нагрузка} ячейки зашифрован - заголовок же послан открытым текстом. Это
позволяет зашифрованной ячейке пересылаться сетью без расшифровки при каждом
перелете.
Служба конфиденциальности определенная в этом
Документе, использует симметричные (секретный ключ) алгоритмы. Это - в
значительной степени вследствие того, что эти алгоритмы обычно быстрее
асимметричных, что делает их более подходящими для шифрования данных ATM.
1.3. Целостность
Служба целостности данных (также описано, как
" удостоверение(аутентификация) начала координат данных ")
обеспечивает механизм, который детектирует модификации значений данных или
последовательности значений данных, даже в присутствии злонамеренных угроз
модификации. Эта служба обеспечивается между оконечными точками в AAL(см. выше)
Служебном блоке данных (SDU) уровень для AAL 3/4 и AAL 5. Кроме того,
предусмотрены еще две возможности для этой службы: 1) целостность данных без
защиты переигры / переупорядочения, и 2) целостность данных с защитой переигры
/ переупорядочения.
Когда целостность данных обеспечивается без
защиты переигры / переупорядочения, источник добавляет в конец криптогафическую
сигнатуру (ЦП) к хвосту каждого AAL-SDU перед передачей. Эта сигнатура (ЦП)
рассчитана по полному AAL- SDU. Эта опция полезна для протоколов более высокого
уровня, которые обеспечивают их собственные порядковые номера (например, TCP),
без добавления сверху требуемым, чтобы дублировать эту функцию в AAL.
Когда целостность данных обеспечивается
опцией защиты с возможностью переигры/переупорядочения, служба целостности
данных обеспечивает защиту против переигры и переупорядочивающих нападений,
так, чтобы "старый" или "переупорядоченный" AAL-SDU был
обнаружен и мог быть отвергнут. В источнике, это достигнуто первым добавлением
в конец порядкового номера к хвосту каждого AAL-SDU и затем вычисления
сигнатуры (ЦП) на всем количестве AAL-SDU, включая порядковый номер. Эта
сигнатура (ЦП), которая защищает, и AAL-SDU и порядковый номер, тогда добавлена
в конец к общему количеству AAL-SDU (который включает порядковый номер). Этот
метод обеспечивает защиту для прикладных программ ATM, которые не поддерживают
их собственные порядковые номера.
Аналогично службе конфиденциальности, служба
целостности определенная в этом документе, использует симметричные (секретный
ключ) алгоритмы.
1.4. Управление доступом
Управление доступом - приложение набора
правил к просьбе об обслуживании. Эти правила могут зависеть от атрибутов
объекта вызова, типа тождества, атрибуты упомянутых параметров, типа целевого
адреса, системных атрибутов, типа времени, и хронологии предшествующих запросов
этим и-или другими объектами клиента.
О правилах Управления доступом можно думать
как предикат по пространству состояний, сформированному всеми такими
атрибутами. Если предикат удовлетворен, требуемое обслуживание будет выполнено,
если предикат не удовлетворен, требуемое обслуживание не будет выполнено.
Управление доступом в сегменте Пользователя
требует, чтобы механизмы транспортировали информацию управления доступом,
используемую в течение учреждения подключения, также как механизмы в пределах
компонентов ATM, чтобы использовать ту информацию, посредством которой
определить, нужно ли предоставлять доступ к подключению. Управление доступом
сегмента Пользователя может быть основано на метках защиты (системы меток)
(например, Стандартная Метка Защиты [10]), тождество источника или адресата,
время дня, тип обслуживания,поля протокола верхнего уровня (например,
Internet-протокола), или другие параметры, которые могут быть определены в
течение учреждения подключения.
Управление доступом в сегменте Пользователя
определено для каждого интерфейса АTM: конечная точка-switch и switch-switch. В
каждом случае, управление доступом в сегменте пользователя обеспечивается на
уровне ATM.
2. Службы безопасности cегмента контроля
Cегмент контроля - механизм, который
позволяет устройствам конфигурировать сеть, для достижения некоторой цели (
Например, чтобы установить переключенный виртуальный канал). Так как сообщения
сегмента контроля могут затрагивать состояние и работоспособность сети, их
защита чрезвычайно важна.
В этих Технических Требованиях Защиты,
механизм для сигнализации определен так, что может обеспечивать сильную
криптогафическую целостность данных с защитой подлога(replay). Этот механизм
позволяет объектам сегмента контроля ATM проверить источник и содержание
сигнального сообщения прежде, чем ресурсы предоставляются согласно запросу. Это
защищает сеть от ряда нападений, описанных ниже.
Другие механизмы защиты для сегмента контроля
(например конфиденциальность сегмента контроля) будут рассмотрены в последующих
версиях Технических Требований Защиты.
2.1. Аутентификация и Целостность
Аутентификация и целостность сегмента
контроля - служба безопасности ATM, которые привязывают сигнальное сообщение
ATM к его источнику. С помощью создания этой связи, получатель сообщения может
удостовериться, что сообщение послано указаным источником. Это обеспечивает
механизм, который снижает ряд угроз.
Например, нападение типа отказ в
обслуживании, которое пытается разорвать активное подключение путем скрытого
введения команд ОТКЛЮЧЕНИЕ или ПОКИНУТЬ СЕАНС, может быть предотвращено, когда
имеет место обеспечение подлинности в сигнальном канале. Эта служба также
защищает против спуфинга(имитации соединения)(spoofing) предумышленной
модификации. В этих технических требованиях определен механизм аутентификации
сегмента контроля и целостности между смежными сигнальными объектами .
Используемый механизм идентичен механизму, используемому для целостности данных
сегмента пользователя с защитой против подлога / переупорядочивания.
3. Вспомогательные службы
Эти технические требования также определяют
набор " вспомогательных служб", которые необходимы, чтобы обеспечить
иерархичную и высокоэффективную систему
служб безопасности:
· Обмен сообщениями защиты и согласование
параметров защиты,
· Ключевой обмен,
· Обновление ключей,
· инфраструктура сертификации.
3.1. Обмен Сообщениями Защиты и их
Согласование
Чтобы выполнить многие из служб безопасности,
описанных выше, сообщения должны передаваться между участвующими агентами
защиты (SA). Эти технические требования описывают два метода для обмена
сообщениями защиты - обмен сообщениями с помощью сигнализации UNI 4.0 и
внутриполосный обмен сообщениями (то есть обмен сообщениями защиты в пределах
виртуального канала сегмента пользователя).
Эти методы обмена сообщениями также
обеспечивают механизм для согласования параметров защиты. Так как требования
защиты различаются у (разных) организаций, важно обеспечить многообразие служб
безопасности, алгоритмов, и длины ключа, которые удовлетворяют широкому
диапазону потребностей в защите. Кроме того, экспортные и-или импортные законы
некоторых стран предусматривают ограничения, на экспорт/импорт изделий
шифрования.
По этим причинам, механизмы защиты ATM
поддерживают различные службы безопасности, алгоритмы, и длины
ключей.Надлежащим образом для агентов защиты, чтобы cогласовать общие параметры
защиты (типы алгоритмов и длины ключей), эти методы обмена сообщениями защиты
предусматривают согласование этих параметров как часть процедуры установления
защиты для VC.
3.2. Ключевой Обмен
Ключевой обмен - механизм, с помощью которого
два агента защиты обмениваются секретными ключами для использования службами
обеспечения конфиденциальности и-или целостности. Чтобы защищать надлежащим
образом против атак типа " человек в середине " (нарушение
конфиденциальности, вклинивание), ключевой обмен - часто объединен со службой
аутентификации. Это можно сделать путем включения "конфиденциальных"
параметров ключевого обмена в аутентификационные потоки.
Подобно аутентификации, ключевой обмен
реализован с помощью и симметричных (секретный ключ) и асимметричных (открытый
ключ) алгоритмов. Кроме того, ключевой обмен может быть двунаправленным или
однонаправленным.
3.3. Обновление сеансового ключа
Сеансовые ключи - это ключи, используемые
непосредственно, для обеспечения конфиденциальности сегмента пользователя и служб
целостности виртуального канала АТМ.
Из-за потенциально высокой скорости передачи
данных виртуального канала, необходимо периодически заменять эти ключи , чтобы
избежать " перекрытия шифра. " Эти технические требования определяют
службу обновления сеансового ключа которая обеспечивает эту возможность.
Эта служба состоит из двух этапов - этап
обмена сенсовым ключем и стадия замены сеансового ключа.
Этап обмена сеансовым ключом использует
"мастер-ключ", который задается при установке подключения (используя
службу ключевого обмена), для зашифрования нового сеансового ключа. После
получения зашифрованного сеансового ключа, получатель расшифровывает сеансовый
ключ используя общий мастер-ключ, и хранит это для второй стадии -замены ключа
3.4. Инфраструктура Сертификации
В криптосистеме с открытым ключом, каждая
сторона (агент защиты) X имеет пару ключей: один из которых - общедоступный,
называемый " открытым ключом " X (PKX), а другой известный только X,
называемый "секретным ключом" X (SKX). В случае если стороне А
необходимо послать секретную информацию стороне B (или Стороне А иметь
возможность проверить подпись стороны B), А нужно иметь открытый ключ B, PKB.
Хотя PKB является открытым по определению, он не должен быть доступен любой
стороне X для модификации (например, PKX) .Для предотвращения этого вида атак,
открытые ключи могут обмениваться в форме "сертификатов".
Сертификат содержит имя стороны, его открытый
ключ, некоторую дополнительную информацию и подписан доверенной стороной,
" подтвердителем подлинности " (CА). Эта подпись связывает открытый
ключ с определенным субъектом. Любая сторона знающая открытый ключ CА может
проверить подлинность сертификата ( проверкой подписи СА в сертификате) и
восстанавить сертифицированный открытый ключ. Подписанные сертификакты могут
передаваться через незасекреченые каналы.