分享
 
 
 

ATM安全

王朝other·作者佚名  2008-05-31
窄屏简体版  字體: |||超大  

ATM安全概况

预计ATM将是一个可以把很多不同的应用(如:声音、影像、数据等)都集中在网络中,并具有不同服务质量(QoS)要求的高速定向连接的连网标准。作为定向连接赋予ATM的特性表明,连接采用固定路由的整个网络和构成路由链路上的保留带宽都是为了满足QoS的应用要求。为了对给定的源目的地的对偶节点建立连接,要选择好整个网络的路由。ATM网络中的路由既是预先建立的(即不完全是永久性的连接)也是在动态情况的要求下立即按连接要求建立的。在称为ATM信元的短固定长度分组包中载有很多不同种类的信息。ATM信元长度是由53个字节组成的,其中48个字节是有效负载,另外的5个字节构成信元的首部。在边缘的网络用户信息帧都被划入ATM信元。在网络的指定(目的)侧,用户信息帧都是由接入的信元重新构成的。

ATM目前表现出来的弱点之一是它不提供安全服务,这在为客户实施ATM能力时则是一个主要障碍。尽管愈来愈多的商业机构、金融业界和政府部门都纷纷要求转向ATM,但是为了充分发挥ATM的潜力,人们都迫切要求ATM应有安全服务。目前绝大多数的ATM电路都只能以永久虚电路(PVC)存在,并以专线连接固定公司的所在地。但是,当它抵达横跨共同边界的交换虚电路(SVC)或者横跨服务提供者网络的公司内部的SVC时,ATM的有效使用价值就成了决定能否推广使用ATM的主要因素。

ATM可能会在将来用于对任务要求极为严密的通信应用领域,像金融交易、医疗信息系统、国防军事通信等。这些应用都要求在安全的通信中具有高可靠的密码算法和协议作保证。就很强的ATM安全机制来说,对防欺骗、防恶意的数据修改以及防窃听等都要有切实可靠的保证措施。假如在没有这些机制保证的情况下,重要任务的应用就只能靠昂贵的开支才能存在下去,也许这都是因为没有可以互操作的设备之故。

安全ATM必须提供的最低等级是ATM端点的鉴别以及保护用户数据的措施。ATM高速信元中继的性能在确保其安全的任务中表现出了一些非凡的问题。其中有些问题可以概述如下:

1)安全服务必须适应于有效ATM信元级的细粒度多路传输,要求密钥应具有相应的灵活性,也就是对不同数据源的信元要采用不同的密钥。

2)由于ATM网络的高速和严格的服务质量(QoS)要求,安全服务不应带来附加的延迟或信元延迟的变化。

3)高速传输速率使会话存活期的密钥只有一个很短的周期。因此,传统的全密钥交换协议是不适用的,而且为了能更新这些密钥需要频繁地对这些密钥进行修改。换句话说,要求在一个较长时间的基础上重新修改密钥还必须有新的机制。

4)密码机制必须在密钥具有灵活性的情况下,以1Gbps的速度操作。目前,众所周知的密码机制可能很难适应这些要求。

5)密码机制还必须在不同的速率下进行互操作。例如:可以把一台客户机经过同步光纤网络(SONET)OC-3C连到ATM网络上,而它的服务器可以备有OC-48C的连接。显然,服务器的加密装置(可以为一个平行实现的算法)必须与客户机的加密装置(可以是一个串行实现的同样算法)进行互操作。

由ATM专题安全工作组定义的ATM安全是仿照ATM协议参考模型拟制的。该协议参考模型被划分为三个平面:用户平面、控制平面和治理平面。用户平面保证供给传输用户的数据,它包含物理层、ATM层和多ATM适配层(AAL)几种类型。控制平面要处理连接的建立、释放和其它连接功能。控制平面与用户平面共享物理层和ATM层。另外,它还包括根据AAL5和更高一层的信令协议规定的信令AAL。治理平面执行治理和协调用户和控制平面双方的相关功能。ATM专题安全规范在第一阶段就是要提供用户平面(数据)安全服务和控制平面(信令)安全服务规范。对治理平面的安全服务也许要在将来规范发布时才会提供。

ATM 用户平面安全服务

用户平面安全服务是要对很多途径在虚连接上承载的用户信息提供保护。鉴别就是要使得呼叫方和被呼叫方彼此得到绝对的确认,并使得第三方不得假冒其二者之一。

密钥交换服务就是要使得呼叫方和被呼叫方取得的密钥一致,该密钥是用于在虚连接的生存期间提供数据完整性和保密性服务的。完整性服务是要提供由虚连接承载的数据不能被第三方修改的保证。保密性服务是要提供防止在虚连接上发送的数据不受第三方“窃听”的保护。最后,访问控制服务是要提供另外相关安全信息的保护,即在连接建立的时候,要使得终端能确定是否按照现场的安全策略接受连接的请求。

正在由ATM专题组定义的用户平面安全服务将会应用于点到点和点到多点连接的虚通道连接(VCC)和虚通路连接(VPC)。对第一阶段的安全规范来说,正在对三种情况安全服务作出规定,即:用户到用户、用户到网络和网络到网络。凡是能实现安全的ATM节点都具有“安全代理”的职能,这个安全代理就可以执行在连接建立时和连接的生存期间起作用的安全协议和安全机制。

鉴别、密钥交换和安全选项的协商

鉴别是用户平面安全服务,它可以使连接建立全过程的双方彼此得到绝对的确认。这不仅对它的直接利益有着很重要的作用,而且因为对其它安全服务,如密钥交换也是需要的。鉴别、密钥交换和安全选项的协商在这里要一起予以叙述,因为要实现这三项特征需要采用同样的协议。

不像定向数据报协议那样,它们只有在每个分组包的基础上完成鉴别,而ATM的定向连接特性可使得在连接建立期间两部分都使用更为精确的鉴别协议,因为与数字签名相关联的总开销成本要在整个连接生存期偿还,所以在连接建立期间可以采用更强的(即使较慢)鉴别协议。这也可以使得其它安全功能(像密钥交换)同时以小量的附加开销即可完成。

考虑到上述这种特性,ATM专题工作组已规定了在建立VCC或VPC时用的协议,该协议就可完成鉴别、密钥交换和安全选项的协商。此项协议主要是根据国际标准化组织(ISO)国际电子委员会(IEC)拟制的ISO/IEC 9594-8和ISO/IEC 11770-2标准为依据,它提供了采用三流程或二流程作相互鉴别。二次和三次的用户平面安全报文交换协议并不决定采用何种特定的密码算法。对每一种方法来说,鉴别都可以采用不对称或对称密码算法来完成。

安全报文交换协议

在二和三次安全报文交换协议中,协议的一方用户担负着“起动”的角色,另一方用户起着“响应”的角色。代表起动用户操作的“安全代理”就认为是“起动者”,代表响应用户操作的就认为是“响应者”。

在安全报文交换协议中,当采用非对称性(公开)密钥算法时,可假定每个鉴别实体(即A、B)拥有一个公开密钥/私密密钥对。当用于加密时,Ka表示A的非对称密钥的公共部分。当于数字签名时,Ka就表示A的非对称密钥的专用部分。对B实体情况类似。当采用对称(秘密的)密钥算法时,则要假定鉴别的实体A和B共用两个单向秘密密钥Ka和Kb或单一的秘密密钥Ka=Kb。

安全协商是通过使用参数在三次交换协议中完成的。为了支持体系结构中的灵活性则需要进行协商。这种灵活性要答应执行者和用户可选择密码算法和他们所喜欢用的协议。在第一个流程中,起动者提供一个安全服务目录和连接使用的参数(如:算法类型、密钥长度、公开密钥的具体算法参数)。在第二个流程中,响应者要根据服务目录和连接参数予以回答。假如起动者与响应者相一致,那就是执行了协议,而且双方都采用了服务和响应者回答所包含的参数,否则,此协议和连接请求就出故障了。

协议的调整

当选定ATM二次或三次安全报文发报协议时,应当考虑有多种调整措施存在。这些调整措施下文将要对其进行叙述,其概要见表1(n是网络中节点的数目,安全服务要对它们进行申请)。为了保护鉴别协议远离采用众所周知的“重放攻击”的欺骗,鉴别流程必须是唯一的、有序的而且是最新的。对此可以有两种方式来达到:采用时间戳和顺序号或者经由一个“查询响应”协议。

假如在两个流程中要求相互鉴别或在一个流程中要求对源发方进行鉴别,那么就应采用基于时间戳的途径。根据源发方的鉴别证书,假如采用ATM“防火墙”来被动地滤掉(与端系统有关)连接请求,那么后者是重要的。但是,基于时间戳途径的不利因素是在报文的源发方和证实鉴别证书的实体之间要求有一定程度的时间同步。

通过采用一次随机数或临时数,其“查询响应”方式就提供了单一的、排列有序的和最新式的必不可少的保证。这就要通过发送一个临时数作为“查询”来实现,即对远程距离实体要以计数法标识并回归到要查询的实体。

另外,协调还关系到采用非对称(公开密钥)算法对抗对称(秘密密钥)算法的问题。非对称算法提供的每个实体都具有由该实体保持的“私密密钥”,而公开密钥,它可以自由地予以扩散,而且可以由其它人使用以证实由属于实体的密钥产生的数字签名是有效的。非对称算法(对数字签名和加密这二者来说)的优点是,私密密钥仅要求每一个用户出现一次,这就使得密钥治理变得复杂,但是,非对称算法由于采用复杂的函数,像“模数取幂”,所以在计算上它就很精密。

在另一方面,对称算法可以很快地进行计算,因为它们专门运用了“移位和排序”操作。但是,对称算法要求其源发和目的地实体要共享同一个公共密钥。对一个具有几个节点的网络,具有二和三次交换协议彼此鉴别的能力要求每个节点与所有其它节点都要有共同的密钥,这样就可以以O(n2)表示密钥治理的复杂性。在大型网络中,密钥治理复杂性要根据对称算法来进行鉴别。

ATM安全发报

为了完成上述的安全服务,需要有相关的安全报文的传送机制,通过安全服务改变所采用的发报机制取决于是在连接建立时还是在连接生存期内要求服务。在连接建立时,安全报文可以

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有