一、引述
1、標準的由來
我們知道,IEEE 802標準委員會(LMSC)采用不同的技術開發出了不同媒體控制訪問方法的局域網(LAN)和城域網(MAN)標準,在這些標準中,重點是對不同訪問方法(如CSMA/CD、令牌總線、令牌環、統一訪問法等等)的媒體訪問控制子層(MAC)和物理層(PHY)進行了詳細的技術要求規范,而對各種LAN/MAN的網絡安全要求卻用墨較少。這對IEEE 802規范的LAN和MAN的推廣使用帶來了極大的安全隱患。
為此,隨著網絡安全越來越受到重視,IEEE 802標準委員會(LMSC)在1988年專門設立了IEEE 802.10工作組,主要任務是為IEEE 802局域網/城域網的安全機制制定標準,為安全服務定義模型。IEEE 802.10工作組所制定的標準稱為IEEE 802.10標準,或稱為IEEE 802安全標準。
欲具體了解IEEE 802標準委員會(LMSC)下設工作組情況介紹的請進入。
2、IEEE 802.10標準情況
經過IEEE 802.10工作組的辛勤的持續研究,在1992年發布了IEEE 802.10-1992《Local and Metropolitan Area Networks: Interoperable LAN/MAN Security (SILS) Currently Contains Secure Data Exchange (SDE) (Clause 2)》(局域網和城域網:可互操作的局域網/城域網安全(SILS)目前包含安全數據交換(SDE)(第2條))標準。注意:這里的“第2條”是指IEEE 802.10標準中的第2條,或稱第2章。該標準的內容主要是由4章和12個附錄所組成,其重點內容是第2章“SDE”。該標準制定了了可用于保護 IEEE 802 局域網(LAN)和城域網(MAN)的安全協議:安全數據交換(SDE)協議。IEEE 802.10-1992發布后,又陸續發布有IEEE 802.10b、.10e、.10f、.10g、.10h等標準族,是對IEEE 802.10-1992標準進行的修訂及補充。
為了標準使用上的方便,在1998年又發布了IEEE 802.10-1998《IEEE Standard for Interoperable LAN/MAN Security (SILS)》(互操作的局域網/城域網安全標準(SILS)),代替了IEEE 802.10-1992,并整合了上述的后續標準族。此后,又陸續發布了IEEE 802.10a-1999和802.10c-1998,對IEEE 802.10-1998標準進行了修訂及補充。下表1-2匯總了IEEE 802.10標準及標準族情況,包括各標準(族)的概要介紹和發布時間等。
表 1-2:IEEE 802.10標準及標準族情況
需要指出的是:由于IEEE 802標準委員會(LMSC)已將IEEE 802.10工作組給解散了,從1999年后就沒有新的標準(族)被發布或修訂了,且上述表 1-2中的IEEE 802.10標準(族)都處于撤回狀態。
二、IEEE 802.10安全標準簡介
1、概述
IEEE 802.10標準在數據鏈路層(層2)中定義了一個安全數據交換(SDE,Secure Data Exchange)子層,通過在該子層中使用密碼機制來提供跨媒體訪問控制(MAC)層的安全服務。它意圖通過在IEEE 802系列協議棧中增加SDE子層,在數據鏈路層解決加密和完整性問題。這樣的話,只要配置不同的物理層收發驅動器,就可以支持采用不同傳輸媒體的標準,包括以太網標準IEEE 802.3、令牌環標準IEEE 802.4和無線局域網標準IEEE 802.11等。SDE作為邏輯鏈路控制(LLC)子層的一個實體,在MAC子層上提供一種無連接服務,利用密碼機制在LLC子層邊界上提供跨越MAC子層的透明安全服務。SDE與LLC子層以上的上層用戶協議棧無關,SDE接口等價于未保護的MAC接口,因此用戶上層協議棧不需要做任何修改。而SDE密鑰管理和系統管理協議棧需要LLC協議支持。
IEEE 802.10標準詳細描述了SDE協議和相應的密鑰管理協議。SDE協議定義了SDE子層及其提供的安全數據交換服務。安全數據交換服務根據安全關聯(SA)的屬性值來處理上下層送過來的數據,以保證安全性。密鑰管理協議負責SA的創建、刪除和復制。
2、SDE與IEEE 802參考模型的關系
SDE是國際標準化組織(ISO)定義的開放系統互聯/基本參考模型(OSI/RM)的層2(數據鏈路層(DLL))的一個實體。SDE實體與IEEE 802參考模型的關系如下圖2-2所示。該實體提供允許在第二層安全交換數據的服務。作為層2中邏輯鏈路控制(LLC)子層的一部分,SDE實體在IEEE 802局域網和城域網中提供直接在媒體訪問控制(MAC)子層之上的無連接服務,它使用在LLC實體邊界透明地提供的加密機制和安全服務,提供跨MAC子層的安全性。
圖2-2:SDE實體與IEEE 802參考模型的關系
欲具體了解OSI/RM介紹的請進入。
3、SDE的安全服務
SDE安全服務的內容包括:數據的機密性;無連接的完整性;數據源認證;訪問控制,其釋義見于下表2-3-1中;其安全服務之間的依賴關系詳見下表2-3-2。這些安全服務防范的威脅包括:未經授權的披露;偽裝;未經授權的修改數據;未經授權的資源使用。
表 2-3-1:SDE安全服務的釋義
表 2-3-2:SDE安全服務的相互依賴關系
4、SDE所謂規范要求
在IEEE 802.10標準中描述了SDE的安全服務的詳細規范,包括SDE協議數據單元(SDE PDU)結構、SDE服務過程、SDE子層管理及密匙管理等。若要詳細了解其具體內容的請查閱IEEE 802.10-1998及IEEE 802.10c-1998g等標準原文。其中:
安全關聯(SA)。安全關聯(SA,Secure Association)是該標準中的一個重要概念。安全關聯是通信實體之間通過共享安全管理信息而形成的一種合作關系。這個共享信息協調SDE PDU的發送和接收處理。在實踐中,有許多已定義的安全關聯,但只有一個適用于特定SDE PDU的處理。安全關聯標識符(SAID,Security Association Identifier)將一個已定義的安全關聯與特定的SDE PDU相關聯。標準中定義了安全管理信息的內容,并描述了在查找適用的安全關聯時使用SAID的方法。
安全管理信息庫(SMIB)。SDE提供的第二層安全服務依賴于來自非第二層密鑰管理或系統管理實體的信息。管理實體通過安全管理信息庫(SMIB)與SDE實體進行信息通信。SMIB的實施是一個本地問題;無論如何,該標準規定了管理信息結構(由ISO/IEC 10165-2: 1992所規范)中定義的信息結構。標準描述了SMIB、安全管理體系結構以及基于SMIB中包含的安全管理信息處理SDE PDU的過程。
欲更多了解管理信息庫結構介紹的請進入。
SDE子層管理。SDE子層管理主要負責控制SDE PDU的處理,為每一個SDE PDU選擇SA(存放在本地的安全管理信息SMIB中),并根據SA的參數來控制SDE PDU的打包于拆包過程,SDE層管理的腳色可以用下圖2-4來表示。SDE子層管理指定允許遠程操作、管理和維護(OAM)SDE操作的管理對象。記錄完全指定的管理對象和部分指定的管理對象及其包含的管理信息。
圖 2-4:SDE子層管理
密匙管理。密鑰管理的目的是建立安全協議所需的密鑰材料和關聯屬性。該部分的內容是由IEEE標準802.10c-1998單獨規范的。802.10c中定義三種密匙管理協議:手動密匙發放;基于中心的密匙發放;基于證書的密匙發放。注意,密匙管理協議在SDE子層的上層實現。密匙管理在實現802.10標準中起關鍵作用,因為SDE協議需要由上層的密匙管理協議來協商SA,確定一些必要的信息。
欲更多了解一種以IEEE 802.10標準設計的安全局域網介紹的請進入。
三、我國局域網的安全服務說明
首先,在我國,采用CSMA/CD技術作為媒體控制訪問方法的局域網(LAN,基于IEEE 802.3標準)得到了大量的普及應用。然而,該媒體控制訪問方法的局域網,其安全服務要求并沒有采用IEEE 802.10標準(SILS),即安全數據交換(SDE)協議。根據我國國家標準GB/T 15629.3-2014,我國基于CSMA/CD技術的局域網,采用了一種基于 TePA 的局域網媒體訪問控制安全機制 TLSec(TePA-based LAN MAC Security),它包括基于 TePA 的局域網鑒別協議 TLA(TePA-based LAN Authentication Protocol)和基于 TLA 的局域網保密通信協議 TLP(TLA-based LAN Privacy Protocol)。該安全機制是我國自主開發的,能為用戶的LAN系統提供更加全面的安全保護。
欲詳細了解GB/T 15629.3-2014標準 關于TePA 安全機制的請進入。
還有,在我國,對于采用CSMA/CD技術的無線局域網(WLAN,基于IEEE 802.11標準)的安全服務要求,也沒有采用IEEE 802.10標準,也沒有采用IEEE 802.11i標準。根據我國國家標準GB/T 15629.11-2003,我國的無線局域網(WLAN),采用了一種稱為無線局域網認證和保密結構(WAPI,WLAN Authentication and Privacy Infrastructure)的安全機制。它是由無線局域網認證基礎結構(WAI,WLAN Authentication Infrastructure)和無線局域網保密基礎結構(WPI,WLAN Privacy Infrastructure)兩部分組成,WAI和WPI分別實現對用戶身份的鑒別和對傳輸的數據加密。WAPI安全機制也是由我國自主開發的,能為用戶的WLAN系統提供全面的安全保護。
欲詳細了解GB/T 15629.11-2003標準 關于WAPI 安全機制的請進入。
欲進一步了解信息網絡端到端安全服務體系框架模型的請進入。
