一、引述
1、標(biāo)準(zhǔn)的由來
我們知道,IEEE 802標(biāo)準(zhǔn)委員會(LMSC)采用不同的技術(shù)開發(fā)出了不同媒體控制訪問方法的局域網(wǎng)(LAN)和城域網(wǎng)(MAN)標(biāo)準(zhǔn),在這些標(biāo)準(zhǔn)中,重點是對不同訪問方法(如CSMA/CD、令牌總線、令牌環(huán)、統(tǒng)一訪問法等等)的媒體訪問控制子層(MAC)和物理層(PHY)進行了詳細的技術(shù)要求規(guī)范,而對各種LAN/MAN的網(wǎng)絡(luò)安全要求卻用墨較少。這對IEEE 802規(guī)范的LAN和MAN的推廣使用帶來了極大的安全隱患。
為此,隨著網(wǎng)絡(luò)安全越來越受到重視,IEEE 802標(biāo)準(zhǔn)委員會(LMSC)在1988年專門設(shè)立了IEEE 802.10工作組,主要任務(wù)是為IEEE 802局域網(wǎng)/城域網(wǎng)的安全機制制定標(biāo)準(zhǔn),為安全服務(wù)定義模型。IEEE 802.10工作組所制定的標(biāo)準(zhǔn)稱為IEEE 802.10標(biāo)準(zhǔn),或稱為IEEE 802安全標(biāo)準(zhǔn)。
欲具體了解IEEE 802標(biāo)準(zhǔn)委員會(LMSC)下設(shè)工作組情況介紹的請進入。
2、IEEE 802.10標(biāo)準(zhǔn)情況
經(jīng)過IEEE 802.10工作組的辛勤的持續(xù)研究,在1992年發(fā)布了IEEE 802.10-1992《Local and Metropolitan Area Networks: Interoperable LAN/MAN Security (SILS) Currently Contains Secure Data Exchange (SDE) (Clause 2)》(局域網(wǎng)和城域網(wǎng):可互操作的局域網(wǎng)/城域網(wǎng)安全(SILS)目前包含安全數(shù)據(jù)交換(SDE)(第2條))標(biāo)準(zhǔn)。注意:這里的“第2條”是指IEEE 802.10標(biāo)準(zhǔn)中的第2條,或稱第2章。該標(biāo)準(zhǔn)的內(nèi)容主要是由4章和12個附錄所組成,其重點內(nèi)容是第2章“SDE”。該標(biāo)準(zhǔn)制定了了可用于保護 IEEE 802 局域網(wǎng)(LAN)和城域網(wǎng)(MAN)的安全協(xié)議:安全數(shù)據(jù)交換(SDE)協(xié)議。IEEE 802.10-1992發(fā)布后,又陸續(xù)發(fā)布有IEEE 802.10b、.10e、.10f、.10g、.10h等標(biāo)準(zhǔn)族,是對IEEE 802.10-1992標(biāo)準(zhǔn)進行的修訂及補充。
為了標(biāo)準(zhǔn)使用上的方便,在1998年又發(fā)布了IEEE 802.10-1998《IEEE Standard for Interoperable LAN/MAN Security (SILS)》(互操作的局域網(wǎng)/城域網(wǎng)安全標(biāo)準(zhǔn)(SILS)),代替了IEEE 802.10-1992,并整合了上述的后續(xù)標(biāo)準(zhǔn)族。此后,又陸續(xù)發(fā)布了IEEE 802.10a-1999和802.10c-1998,對IEEE 802.10-1998標(biāo)準(zhǔn)進行了修訂及補充。下表1-2匯總了IEEE 802.10標(biāo)準(zhǔn)及標(biāo)準(zhǔn)族情況,包括各標(biāo)準(zhǔn)(族)的概要介紹和發(fā)布時間等。
表 1-2:IEEE 802.10標(biāo)準(zhǔn)及標(biāo)準(zhǔn)族情況
需要指出的是:由于IEEE 802標(biāo)準(zhǔn)委員會(LMSC)已將IEEE 802.10工作組給解散了,從1999年后就沒有新的標(biāo)準(zhǔn)(族)被發(fā)布或修訂了,且上述表 1-2中的IEEE 802.10標(biāo)準(zhǔn)(族)都處于撤回狀態(tài)。
二、IEEE 802.10安全標(biāo)準(zhǔn)簡介
1、概述
IEEE 802.10標(biāo)準(zhǔn)在數(shù)據(jù)鏈路層(層2)中定義了一個安全數(shù)據(jù)交換(SDE,Secure Data Exchange)子層,通過在該子層中使用密碼機制來提供跨媒體訪問控制(MAC)層的安全服務(wù)。它意圖通過在IEEE 802系列協(xié)議棧中增加SDE子層,在數(shù)據(jù)鏈路層解決加密和完整性問題。這樣的話,只要配置不同的物理層收發(fā)驅(qū)動器,就可以支持采用不同傳輸媒體的標(biāo)準(zhǔn),包括以太網(wǎng)標(biāo)準(zhǔn)IEEE 802.3、令牌環(huán)標(biāo)準(zhǔn)IEEE 802.4和無線局域網(wǎng)標(biāo)準(zhǔn)IEEE 802.11等。SDE作為邏輯鏈路控制(LLC)子層的一個實體,在MAC子層上提供一種無連接服務(wù),利用密碼機制在LLC子層邊界上提供跨越MAC子層的透明安全服務(wù)。SDE與LLC子層以上的上層用戶協(xié)議棧無關(guān),SDE接口等價于未保護的MAC接口,因此用戶上層協(xié)議棧不需要做任何修改。而SDE密鑰管理和系統(tǒng)管理協(xié)議棧需要LLC協(xié)議支持。
IEEE 802.10標(biāo)準(zhǔn)詳細描述了SDE協(xié)議和相應(yīng)的密鑰管理協(xié)議。SDE協(xié)議定義了SDE子層及其提供的安全數(shù)據(jù)交換服務(wù)。安全數(shù)據(jù)交換服務(wù)根據(jù)安全關(guān)聯(lián)(SA)的屬性值來處理上下層送過來的數(shù)據(jù),以保證安全性。密鑰管理協(xié)議負責(zé)SA的創(chuàng)建、刪除和復(fù)制。
2、SDE與IEEE 802參考模型的關(guān)系
SDE是國際標(biāo)準(zhǔn)化組織(ISO)定義的開放系統(tǒng)互聯(lián)/基本參考模型(OSI/RM)的層2(數(shù)據(jù)鏈路層(DLL))的一個實體。SDE實體與IEEE 802參考模型的關(guān)系如下圖2-2所示。該實體提供允許在第二層安全交換數(shù)據(jù)的服務(wù)。作為層2中邏輯鏈路控制(LLC)子層的一部分,SDE實體在IEEE 802局域網(wǎng)和城域網(wǎng)中提供直接在媒體訪問控制(MAC)子層之上的無連接服務(wù),它使用在LLC實體邊界透明地提供的加密機制和安全服務(wù),提供跨MAC子層的安全性。
圖2-2:SDE實體與IEEE 802參考模型的關(guān)系
欲具體了解OSI/RM介紹的請進入。
3、SDE的安全服務(wù)
SDE安全服務(wù)的內(nèi)容包括:數(shù)據(jù)的機密性;無連接的完整性;數(shù)據(jù)源認證;訪問控制,其釋義見于下表2-3-1中;其安全服務(wù)之間的依賴關(guān)系詳見下表2-3-2。這些安全服務(wù)防范的威脅包括:未經(jīng)授權(quán)的披露;偽裝;未經(jīng)授權(quán)的修改數(shù)據(jù);未經(jīng)授權(quán)的資源使用。
表 2-3-1:SDE安全服務(wù)的釋義
表 2-3-2:SDE安全服務(wù)的相互依賴關(guān)系
4、SDE所謂規(guī)范要求
在IEEE 802.10標(biāo)準(zhǔn)中描述了SDE的安全服務(wù)的詳細規(guī)范,包括SDE協(xié)議數(shù)據(jù)單元(SDE PDU)結(jié)構(gòu)、SDE服務(wù)過程、SDE子層管理及密匙管理等。若要詳細了解其具體內(nèi)容的請查閱IEEE 802.10-1998及IEEE 802.10c-1998g等標(biāo)準(zhǔn)原文。其中:
安全關(guān)聯(lián)(SA)。安全關(guān)聯(lián)(SA,Secure Association)是該標(biāo)準(zhǔn)中的一個重要概念。安全關(guān)聯(lián)是通信實體之間通過共享安全管理信息而形成的一種合作關(guān)系。這個共享信息協(xié)調(diào)SDE PDU的發(fā)送和接收處理。在實踐中,有許多已定義的安全關(guān)聯(lián),但只有一個適用于特定SDE PDU的處理。安全關(guān)聯(lián)標(biāo)識符(SAID,Security Association Identifier)將一個已定義的安全關(guān)聯(lián)與特定的SDE PDU相關(guān)聯(lián)。標(biāo)準(zhǔn)中定義了安全管理信息的內(nèi)容,并描述了在查找適用的安全關(guān)聯(lián)時使用SAID的方法。
安全管理信息庫(SMIB)。SDE提供的第二層安全服務(wù)依賴于來自非第二層密鑰管理或系統(tǒng)管理實體的信息。管理實體通過安全管理信息庫(SMIB)與SDE實體進行信息通信。SMIB的實施是一個本地問題;無論如何,該標(biāo)準(zhǔn)規(guī)定了管理信息結(jié)構(gòu)(由ISO/IEC 10165-2: 1992所規(guī)范)中定義的信息結(jié)構(gòu)。標(biāo)準(zhǔn)描述了SMIB、安全管理體系結(jié)構(gòu)以及基于SMIB中包含的安全管理信息處理SDE PDU的過程。
欲更多了解管理信息庫結(jié)構(gòu)介紹的請進入。
SDE子層管理。SDE子層管理主要負責(zé)控制SDE PDU的處理,為每一個SDE PDU選擇SA(存放在本地的安全管理信息SMIB中),并根據(jù)SA的參數(shù)來控制SDE PDU的打包于拆包過程,SDE層管理的腳色可以用下圖2-4來表示。SDE子層管理指定允許遠程操作、管理和維護(OAM)SDE操作的管理對象。記錄完全指定的管理對象和部分指定的管理對象及其包含的管理信息。
圖 2-4:SDE子層管理
密匙管理。密鑰管理的目的是建立安全協(xié)議所需的密鑰材料和關(guān)聯(lián)屬性。該部分的內(nèi)容是由IEEE標(biāo)準(zhǔn)802.10c-1998單獨規(guī)范的。802.10c中定義三種密匙管理協(xié)議:手動密匙發(fā)放;基于中心的密匙發(fā)放;基于證書的密匙發(fā)放。注意,密匙管理協(xié)議在SDE子層的上層實現(xiàn)。密匙管理在實現(xiàn)802.10標(biāo)準(zhǔn)中起關(guān)鍵作用,因為SDE協(xié)議需要由上層的密匙管理協(xié)議來協(xié)商SA,確定一些必要的信息。
欲更多了解一種以IEEE 802.10標(biāo)準(zhǔn)設(shè)計的安全局域網(wǎng)介紹的請進入。
三、我國局域網(wǎng)的安全服務(wù)說明
首先,在我國,采用CSMA/CD技術(shù)作為媒體控制訪問方法的局域網(wǎng)(LAN,基于IEEE 802.3標(biāo)準(zhǔn))得到了大量的普及應(yīng)用。然而,該媒體控制訪問方法的局域網(wǎng),其安全服務(wù)要求并沒有采用IEEE 802.10標(biāo)準(zhǔn)(SILS),即安全數(shù)據(jù)交換(SDE)協(xié)議。根據(jù)我國國家標(biāo)準(zhǔn)GB/T 15629.3-2014,我國基于CSMA/CD技術(shù)的局域網(wǎng),采用了一種基于 TePA 的局域網(wǎng)媒體訪問控制安全機制 TLSec(TePA-based LAN MAC Security),它包括基于 TePA 的局域網(wǎng)鑒別協(xié)議 TLA(TePA-based LAN Authentication Protocol)和基于 TLA 的局域網(wǎng)保密通信協(xié)議 TLP(TLA-based LAN Privacy Protocol)。該安全機制是我國自主開發(fā)的,能為用戶的LAN系統(tǒng)提供更加全面的安全保護。
欲詳細了解GB/T 15629.3-2014標(biāo)準(zhǔn) 關(guān)于TePA 安全機制的請進入。
還有,在我國,對于采用CSMA/CD技術(shù)的無線局域網(wǎng)(WLAN,基于IEEE 802.11標(biāo)準(zhǔn))的安全服務(wù)要求,也沒有采用IEEE 802.10標(biāo)準(zhǔn),也沒有采用IEEE 802.11i標(biāo)準(zhǔn)。根據(jù)我國國家標(biāo)準(zhǔn)GB/T 15629.11-2003,我國的無線局域網(wǎng)(WLAN),采用了一種稱為無線局域網(wǎng)認證和保密結(jié)構(gòu)(WAPI,WLAN Authentication and Privacy Infrastructure)的安全機制。它是由無線局域網(wǎng)認證基礎(chǔ)結(jié)構(gòu)(WAI,WLAN Authentication Infrastructure)和無線局域網(wǎng)保密基礎(chǔ)結(jié)構(gòu)(WPI,WLAN Privacy Infrastructure)兩部分組成,WAI和WPI分別實現(xiàn)對用戶身份的鑒別和對傳輸?shù)臄?shù)據(jù)加密。WAPI安全機制也是由我國自主開發(fā)的,能為用戶的WLAN系統(tǒng)提供全面的安全保護。
欲詳細了解GB/T 15629.11-2003標(biāo)準(zhǔn) 關(guān)于WAPI 安全機制的請進入。
欲進一步了解信息網(wǎng)絡(luò)端到端安全服務(wù)體系框架模型的請進入。
