访问控制
访问控制是一项ATM服务,该项服务决定着是否已获得授权连接。除了在鉴别协议中包含有相关安全的信息外,在第一阶段的安全规范定义了一个“基于标号访问控制”的信息成分,这就使得某个可信的呼叫方(像一个处于被分割状态的工作站,CMW)能以“标号”方式标明请求连接的敏感性,假如此标号落入可接受界限范围内(由呼叫方或某一中介设备决定的),该连接请求即得以进行。这对所呼叫的多级安全的(MLS)ATM网络是一项重要的安全服务,该网络包含着在多重灵敏度级别下产生数据的可靠部件。
完整性和数据源的鉴别
与上述的安全服务不同,完整性服务(有时称为“数据源的鉴别”)只要建立起ATM虚电路,就得以激活,该机制提供了防恶意修改和数插入攻击的保护,因为这种攻击可能欺骗端系统在错误的情况下工作。要实现此项保护则需要通过运用报文鉴别码(MAC),即在传送之前要追加上AAL服务数据单元(SDU)。在AALSDU级(不是ATM层)要提供数据完整性功能,这是因为其ATM信元仅有一个固定的规模而且没有任何空间留给MAC。这种MAC用的密钥是在连接建立期间经协商的密钥,能把数据约束在数据源。这在连接建立时对自身受鉴别的数据源产生的AALSDU接收者就有了保证。
保密性
保密性安全服务提供了由于“窃听”攻击为防止未经授权而泄密数据的保护。此项服务要采用加密以保证只有拥有正当的密钥接收者才能够对那些更具深层意义的数据解密。
数据保密性服务,按第一阶段ATM安全规范的规定,它是ATM信元级服务。根据此项服务,ATM信元的48个字节有效负荷都是要加密的,首部的5个字节保持原封不动。这对ATM加密机制的开发人员来说是幸运的,因为ATM信元被固定在一定的长度上,这就使得高速、基于硬件的执行成为可能。这对速率在155Mb/s以上的加密设备的操作是非凡重要的。
会话密钥更新
当建立连接时,用于完整性和保密性服务的密钥都要协商而定。但是,当密钥用于保密性和完整性保护时,成功“破坏”密钥的概率会随着时间的推移而增加。为了防止这种攻击不会得逞,则必须定期更换密钥(其更换的频率决定于在给定密钥期间被传输数据的速率)。为此,对已经规定的“会话密钥更新”程序要支持周期性的密钥更换。
该程序采用了一个主密钥,该主密钥用来加密短期存活的会话密钥,于是此会话密钥就用作一个周期时间内的完整性和保密性服务。此主密钥和最初的会话密钥要在一开始的协商期间进行交换。但是,以后的会话密钥必须在数据通道中传输,以使接收者可以对它加载并在适当的时间使用它。
控制平面安全服务
ATM控制平面是使网络设备达到目的的主要因素。例如,控制平面被端系统和网络设备采用时,就是为了建立起SVC,因为控制平面在网络配置和操作中起着很重要的角色。它对隔离有预谋和非预谋(偶然的)活动是很重要的。
对第一阶段的ATM安全规范来说,安全工作组正在考虑提供控制平面报文的鉴别机制,其它控制平面的安全功能将在未来规范的版本中提出。
正如用户平面的鉴别那样,控制平面鉴别对防欺骗具有很强的保护。它就使得源于“可信赖的”部件的控制平面请求(如信令报文)的网络部件是可信的。这也就提供了防止某些“拒绝服务攻击”的保护,因为不是真实的报文(即未表明产生于“可信赖的”源)就可能会被忽略掉。
安全工作组目前正在为“鉴别信息元素”拟制定义,该鉴别信息元素包括数字签名和时间戳(提供了新式的、有序的和前面已叙述的对用户平面鉴别的唯一保护)。另外,鉴别信息元素还包含在数字签名中的报文部件所述及的信息。(未完待续)
