一、引述
1、標(biāo)準(zhǔn)的由來(lái)
我們知道,IEEE 802標(biāo)準(zhǔn)委員會(huì)(LMSC)采用不同的技術(shù)開(kāi)發(fā)出了不同媒體控制訪問(wèn)方法的局域網(wǎng)(LAN)和城域網(wǎng)(MAN)標(biāo)準(zhǔn),在這些標(biāo)準(zhǔn)中,重點(diǎn)是對(duì)不同訪問(wèn)方法(如CSMA/CD、令牌總線、令牌環(huán)、統(tǒng)一訪問(wèn)法等等)的媒體訪問(wèn)控制子層(MAC)和物理層(PHY)進(jìn)行了詳細(xì)的技術(shù)要求規(guī)范,而對(duì)各種LAN/MAN的網(wǎng)絡(luò)安全要求卻用墨較少。這對(duì)IEEE 802規(guī)范的LAN和MAN的推廣使用帶來(lái)了極大的安全隱患。
為此,隨著網(wǎng)絡(luò)安全越來(lái)越受到重視,IEEE 802標(biāo)準(zhǔn)委員會(huì)(LMSC)在1988年專(zhuān)門(mén)設(shè)立了IEEE 802.10工作組,主要任務(wù)是為IEEE 802局域網(wǎng)/城域網(wǎng)的安全機(jī)制制定標(biāo)準(zhǔn),為安全服務(wù)定義模型。IEEE 802.10工作組所制定的標(biāo)準(zhǔn)稱(chēng)為IEEE 802.10標(biāo)準(zhǔn),或稱(chēng)為IEEE 802安全標(biāo)準(zhǔn)。
欲具體了解IEEE 802標(biāo)準(zhǔn)委員會(huì)(LMSC)下設(shè)工作組情況介紹的請(qǐng)進(jìn)入。
2、IEEE 802.10標(biāo)準(zhǔn)情況
經(jīng)過(guò)IEEE 802.10工作組的辛勤的持續(xù)研究,在1992年發(fā)布了IEEE 802.10-1992《Local and Metropolitan Area Networks: Interoperable LAN/MAN Security (SILS) Currently Contains Secure Data Exchange (SDE) (Clause 2)》(局域網(wǎng)和城域網(wǎng):可互操作的局域網(wǎng)/城域網(wǎng)安全(SILS)目前包含安全數(shù)據(jù)交換(SDE)(第2條))標(biāo)準(zhǔn)。注意:這里的“第2條”是指IEEE 802.10標(biāo)準(zhǔn)中的第2條,或稱(chēng)第2章。該標(biāo)準(zhǔn)的內(nèi)容主要是由4章和12個(gè)附錄所組成,其重點(diǎn)內(nèi)容是第2章“SDE”。該標(biāo)準(zhǔn)制定了了可用于保護(hù) IEEE 802 局域網(wǎng)(LAN)和城域網(wǎng)(MAN)的安全協(xié)議:安全數(shù)據(jù)交換(SDE)協(xié)議。IEEE 802.10-1992發(fā)布后,又陸續(xù)發(fā)布有IEEE 802.10b、.10e、.10f、.10g、.10h等標(biāo)準(zhǔn)族,是對(duì)IEEE 802.10-1992標(biāo)準(zhǔn)進(jìn)行的修訂及補(bǔ)充。
為了標(biāo)準(zhǔn)使用上的方便,在1998年又發(fā)布了IEEE 802.10-1998《IEEE Standard for Interoperable LAN/MAN Security (SILS)》(互操作的局域網(wǎng)/城域網(wǎng)安全標(biāo)準(zhǔn)(SILS)),代替了IEEE 802.10-1992,并整合了上述的后續(xù)標(biāo)準(zhǔn)族。此后,又陸續(xù)發(fā)布了IEEE 802.10a-1999和802.10c-1998,對(duì)IEEE 802.10-1998標(biāo)準(zhǔn)進(jìn)行了修訂及補(bǔ)充。下表1-2匯總了IEEE 802.10標(biāo)準(zhǔn)及標(biāo)準(zhǔn)族情況,包括各標(biāo)準(zhǔn)(族)的概要介紹和發(fā)布時(shí)間等。
表 1-2:IEEE 802.10標(biāo)準(zhǔn)及標(biāo)準(zhǔn)族情況
需要指出的是:由于IEEE 802標(biāo)準(zhǔn)委員會(huì)(LMSC)已將IEEE 802.10工作組給解散了,從1999年后就沒(méi)有新的標(biāo)準(zhǔn)(族)被發(fā)布或修訂了,且上述表 1-2中的IEEE 802.10標(biāo)準(zhǔn)(族)都處于撤回狀態(tài)。
二、IEEE 802.10安全標(biāo)準(zhǔn)簡(jiǎn)介
1、概述
IEEE 802.10標(biāo)準(zhǔn)在數(shù)據(jù)鏈路層(層2)中定義了一個(gè)安全數(shù)據(jù)交換(SDE,Secure Data Exchange)子層,通過(guò)在該子層中使用密碼機(jī)制來(lái)提供跨媒體訪問(wèn)控制(MAC)層的安全服務(wù)。它意圖通過(guò)在IEEE 802系列協(xié)議棧中增加SDE子層,在數(shù)據(jù)鏈路層解決加密和完整性問(wèn)題。這樣的話,只要配置不同的物理層收發(fā)驅(qū)動(dòng)器,就可以支持采用不同傳輸媒體的標(biāo)準(zhǔn),包括以太網(wǎng)標(biāo)準(zhǔn)IEEE 802.3、令牌環(huán)標(biāo)準(zhǔn)IEEE 802.4和無(wú)線局域網(wǎng)標(biāo)準(zhǔn)IEEE 802.11等。SDE作為邏輯鏈路控制(LLC)子層的一個(gè)實(shí)體,在MAC子層上提供一種無(wú)連接服務(wù),利用密碼機(jī)制在LLC子層邊界上提供跨越MAC子層的透明安全服務(wù)。SDE與LLC子層以上的上層用戶(hù)協(xié)議棧無(wú)關(guān),SDE接口等價(jià)于未保護(hù)的MAC接口,因此用戶(hù)上層協(xié)議棧不需要做任何修改。而SDE密鑰管理和系統(tǒng)管理協(xié)議棧需要LLC協(xié)議支持。
IEEE 802.10標(biāo)準(zhǔn)詳細(xì)描述了SDE協(xié)議和相應(yīng)的密鑰管理協(xié)議。SDE協(xié)議定義了SDE子層及其提供的安全數(shù)據(jù)交換服務(wù)。安全數(shù)據(jù)交換服務(wù)根據(jù)安全關(guān)聯(lián)(SA)的屬性值來(lái)處理上下層送過(guò)來(lái)的數(shù)據(jù),以保證安全性。密鑰管理協(xié)議負(fù)責(zé)SA的創(chuàng)建、刪除和復(fù)制。
2、SDE與IEEE 802參考模型的關(guān)系
SDE是國(guó)際標(biāo)準(zhǔn)化組織(ISO)定義的開(kāi)放系統(tǒng)互聯(lián)/基本參考模型(OSI/RM)的層2(數(shù)據(jù)鏈路層(DLL))的一個(gè)實(shí)體。SDE實(shí)體與IEEE 802參考模型的關(guān)系如下圖2-2所示。該實(shí)體提供允許在第二層安全交換數(shù)據(jù)的服務(wù)。作為層2中邏輯鏈路控制(LLC)子層的一部分,SDE實(shí)體在IEEE 802局域網(wǎng)和城域網(wǎng)中提供直接在媒體訪問(wèn)控制(MAC)子層之上的無(wú)連接服務(wù),它使用在LLC實(shí)體邊界透明地提供的加密機(jī)制和安全服務(wù),提供跨MAC子層的安全性。
圖2-2:SDE實(shí)體與IEEE 802參考模型的關(guān)系
欲具體了解OSI/RM介紹的請(qǐng)進(jìn)入。
3、SDE的安全服務(wù)
SDE安全服務(wù)的內(nèi)容包括:數(shù)據(jù)的機(jī)密性;無(wú)連接的完整性;數(shù)據(jù)源認(rèn)證;訪問(wèn)控制,其釋義見(jiàn)于下表2-3-1中;其安全服務(wù)之間的依賴(lài)關(guān)系詳見(jiàn)下表2-3-2。這些安全服務(wù)防范的威脅包括:未經(jīng)授權(quán)的披露;偽裝;未經(jīng)授權(quán)的修改數(shù)據(jù);未經(jīng)授權(quán)的資源使用。
表 2-3-1:SDE安全服務(wù)的釋義
表 2-3-2:SDE安全服務(wù)的相互依賴(lài)關(guān)系
4、SDE所謂規(guī)范要求
在IEEE 802.10標(biāo)準(zhǔn)中描述了SDE的安全服務(wù)的詳細(xì)規(guī)范,包括SDE協(xié)議數(shù)據(jù)單元(SDE PDU)結(jié)構(gòu)、SDE服務(wù)過(guò)程、SDE子層管理及密匙管理等。若要詳細(xì)了解其具體內(nèi)容的請(qǐng)查閱IEEE 802.10-1998及IEEE 802.10c-1998g等標(biāo)準(zhǔn)原文。其中:
安全關(guān)聯(lián)(SA)。安全關(guān)聯(lián)(SA,Secure Association)是該標(biāo)準(zhǔn)中的一個(gè)重要概念。安全關(guān)聯(lián)是通信實(shí)體之間通過(guò)共享安全管理信息而形成的一種合作關(guān)系。這個(gè)共享信息協(xié)調(diào)SDE PDU的發(fā)送和接收處理。在實(shí)踐中,有許多已定義的安全關(guān)聯(lián),但只有一個(gè)適用于特定SDE PDU的處理。安全關(guān)聯(lián)標(biāo)識(shí)符(SAID,Security Association Identifier)將一個(gè)已定義的安全關(guān)聯(lián)與特定的SDE PDU相關(guān)聯(lián)。標(biāo)準(zhǔn)中定義了安全管理信息的內(nèi)容,并描述了在查找適用的安全關(guān)聯(lián)時(shí)使用SAID的方法。
安全管理信息庫(kù)(SMIB)。SDE提供的第二層安全服務(wù)依賴(lài)于來(lái)自非第二層密鑰管理或系統(tǒng)管理實(shí)體的信息。管理實(shí)體通過(guò)安全管理信息庫(kù)(SMIB)與SDE實(shí)體進(jìn)行信息通信。SMIB的實(shí)施是一個(gè)本地問(wèn)題;無(wú)論如何,該標(biāo)準(zhǔn)規(guī)定了管理信息結(jié)構(gòu)(由ISO/IEC 10165-2: 1992所規(guī)范)中定義的信息結(jié)構(gòu)。標(biāo)準(zhǔn)描述了SMIB、安全管理體系結(jié)構(gòu)以及基于SMIB中包含的安全管理信息處理SDE PDU的過(guò)程。
欲更多了解管理信息庫(kù)結(jié)構(gòu)介紹的請(qǐng)進(jìn)入。
SDE子層管理。SDE子層管理主要負(fù)責(zé)控制SDE PDU的處理,為每一個(gè)SDE PDU選擇SA(存放在本地的安全管理信息SMIB中),并根據(jù)SA的參數(shù)來(lái)控制SDE PDU的打包于拆包過(guò)程,SDE層管理的腳色可以用下圖2-4來(lái)表示。SDE子層管理指定允許遠(yuǎn)程操作、管理和維護(hù)(OAM)SDE操作的管理對(duì)象。記錄完全指定的管理對(duì)象和部分指定的管理對(duì)象及其包含的管理信息。
圖 2-4:SDE子層管理
密匙管理。密鑰管理的目的是建立安全協(xié)議所需的密鑰材料和關(guān)聯(lián)屬性。該部分的內(nèi)容是由IEEE標(biāo)準(zhǔn)802.10c-1998單獨(dú)規(guī)范的。802.10c中定義三種密匙管理協(xié)議:手動(dòng)密匙發(fā)放;基于中心的密匙發(fā)放;基于證書(shū)的密匙發(fā)放。注意,密匙管理協(xié)議在SDE子層的上層實(shí)現(xiàn)。密匙管理在實(shí)現(xiàn)802.10標(biāo)準(zhǔn)中起關(guān)鍵作用,因?yàn)?/span>SDE協(xié)議需要由上層的密匙管理協(xié)議來(lái)協(xié)商SA,確定一些必要的信息。
欲更多了解一種以IEEE 802.10標(biāo)準(zhǔn)設(shè)計(jì)的安全局域網(wǎng)介紹的請(qǐng)進(jìn)入。
三、我國(guó)局域網(wǎng)的安全服務(wù)說(shuō)明
首先,在我國(guó),采用CSMA/CD技術(shù)作為媒體控制訪問(wèn)方法的局域網(wǎng)(LAN,基于IEEE 802.3標(biāo)準(zhǔn))得到了大量的普及應(yīng)用。然而,該媒體控制訪問(wèn)方法的局域網(wǎng),其安全服務(wù)要求并沒(méi)有采用IEEE 802.10標(biāo)準(zhǔn)(SILS),即安全數(shù)據(jù)交換(SDE)協(xié)議。根據(jù)我國(guó)國(guó)家標(biāo)準(zhǔn)GB/T 15629.3-2014,我國(guó)基于CSMA/CD技術(shù)的局域網(wǎng),采用了一種基于 TePA 的局域網(wǎng)媒體訪問(wèn)控制安全機(jī)制 TLSec(TePA-based LAN MAC Security),它包括基于 TePA 的局域網(wǎng)鑒別協(xié)議 TLA(TePA-based LAN Authentication Protocol)和基于 TLA 的局域網(wǎng)保密通信協(xié)議 TLP(TLA-based LAN Privacy Protocol)。該安全機(jī)制是我國(guó)自主開(kāi)發(fā)的,能為用戶(hù)的LAN系統(tǒng)提供更加全面的安全保護(hù)。
欲詳細(xì)了解GB/T 15629.3-2014標(biāo)準(zhǔn) 關(guān)于TePA 安全機(jī)制的請(qǐng)進(jìn)入。
還有,在我國(guó),對(duì)于采用CSMA/CD技術(shù)的無(wú)線局域網(wǎng)(WLAN,基于IEEE 802.11標(biāo)準(zhǔn))的安全服務(wù)要求,也沒(méi)有采用IEEE 802.10標(biāo)準(zhǔn),也沒(méi)有采用IEEE 802.11i標(biāo)準(zhǔn)。根據(jù)我國(guó)國(guó)家標(biāo)準(zhǔn)GB/T 15629.11-2003,我國(guó)的無(wú)線局域網(wǎng)(WLAN),采用了一種稱(chēng)為無(wú)線局域網(wǎng)認(rèn)證和保密結(jié)構(gòu)(WAPI,WLAN Authentication and Privacy Infrastructure)的安全機(jī)制。它是由無(wú)線局域網(wǎng)認(rèn)證基礎(chǔ)結(jié)構(gòu)(WAI,WLAN Authentication Infrastructure)和無(wú)線局域網(wǎng)保密基礎(chǔ)結(jié)構(gòu)(WPI,WLAN Privacy Infrastructure)兩部分組成,WAI和WPI分別實(shí)現(xiàn)對(duì)用戶(hù)身份的鑒別和對(duì)傳輸?shù)臄?shù)據(jù)加密。WAPI安全機(jī)制也是由我國(guó)自主開(kāi)發(fā)的,能為用戶(hù)的WLAN系統(tǒng)提供全面的安全保護(hù)。
欲詳細(xì)了解GB/T 15629.11-2003標(biāo)準(zhǔn) 關(guān)于WAPI 安全機(jī)制的請(qǐng)進(jìn)入。
欲進(jìn)一步了解信息網(wǎng)絡(luò)端到端安全服務(wù)體系框架模型的請(qǐng)進(jìn)入。
