因特网体系结构的安全
Report of IAB Workshop on
Security in the Internet Architecture
February 8-10, 1994








目录
1.简介 5
2.总述 6
2.1战略和行政观点 6
2.2安全论点 7
2.3 DNS 的证书名称 9
3防火墙体系 10
3.1简介 10
3.1.1防火墙的使用 10
3.2应用层防火墙 12
3.3IP层防火墙 12
3.3.1策略控制标准 13
3.3.2源文件鉴别 15
3.3.3其它防火墙发布 16
3.3.4防火墙友好应用 17
3.3.5结论 18
4. 安全QOS推进 18
4.1 安装要求 19
4.2 加强安装过程的安全 19
4.3 确认一个LLID 21
4.4 安装的动态 24
4.5 接受端初始安装 25
4.6 其他问题 26
4.6.1加密防火墙和辅助通路 26
4.6.2 相容特权的原理 27
4.6.3 隐含的LLID's 27
4.6.4 不需要设置的安全 28
4.6.5 生效的地址 28
4.7结论 29
5.一个鉴定服务 29
5.1名字和证书 30
5.2  基于身份的授权 31
5.3  选择凭证 31
6. 其他问题 32
6.1  隐私和认证多点传送组 32
6.2  安全的即插即用是必需之物 34
6.3  短术语机密机制 35
7.结论 36
7.1建议性的短期作用 36
7.2 建议性的中期作用 38
7.3 建议性的长期操作 38










1.简介
IAB(internet  Architecture  Board) 保存了长期以来临时(occasional)活动中心有计划的对Internet网络的一些观点和策略,为Internet体系结构的未来发展提供一些建议。在IESG(internet  Engineering Steering Group) 和地区董事会的领导下,IAB的长期目的就是对IETF(internet Engineering Steering  Group)工作组正在进行的努力做一个有益的补充。
IAB-在Internet 体系结构里承担安全任务的活动中心建立于1994/4/8-10,由美国加州的信息科学协会所创办。
它由加州的 Marina delRey  发起。另外IAB的成员,参加这次会议的包括IESG的相应董事和下列几方面的15个成员:IPng, 路由, 机动性, 实时服务, 和安全 (参见附录中的与会者名单)。IAB尽力平均各方面出席专家的人数,由于后勤服务的最大限度为30人左右,因此很遗憾许多高水平的专家没有被邀请到。
在摘要中,该活动中心的目的有如下两个方面:
(1). 对安全和Internet体系结构中其它方面的互联技术的研究
 (2).  对Internet安全方面的发展趋势做出一些建议,这些目的在IAB中总结为两个最重要的关于Internet 体系结构问题――缩放比例(Scaling )和安全。前者导致了Ipng的积极讨论。这里有少量的关于安全方面的成果。
虽然来到该中心的一些人积极讨论了Internet的短期安全问题,但该中心成立的目的是为了长期的发展的观点和主要原理。因此,该会议开始的规则是:正确的讨论主题应当不仅包括安全方面还要至少附带下表中的一个或多个方面:(a) 路由(单点传送和多点传送)(routing (unicast and multicast)), (b)机动性( mobility),和 (c)实时服务( realtime service) 。作为开始讨论的基础,被邀请者应当先发送一个email设计一个场景(参见附录)来适应这个规则。
30位参加者被分为三个“独立”(breakout)组,每个组包含所有方面的专家。然后会议就充分准备好了(参照附录议程)。到第三天的时候,小组就阐述他们组讨论的主要结果的。该备忘录就是由这些正文组成,通常再对它们做些整理和少量的校正工作。
该会议的流程决定了这些文档的特征,它应当被称作大多数自治组的工作笔记,包含了多种观点和内容的副本特征。虽然它并不是“网络安全研究团体”的产品,但它记录了Internet专家对网络安全发展的主导思想。它为Internet在发展可行性安全机制和程序处理方面提供了帮助。
2.总述
2.1战略和行政观点
尽管该中心着重在网络体制方面的讨论,但仍有很多讨论是关于安全的real-politik方面的。
几年前,IETF-IAB的赞助者一直从事于增强的私密电子邮件(PEM)的发展研究,它可以提供带有大量功能的安全的email。在该活动中心一个问题被再三的提出――为什么用户要接受PEM很慢这个事实?(why has user acceptance of PEM been slow ?)它得到了以下大量的回答:
1.高性能的执行在传送中就会变慢
2.专门技术RSA运算法则的使用,不符合Internet协会协定(social conventions)。
3.出口的限制打消了卖主的积极性。
4.当前的PEM依靠于一个命名的证书层次,并且证书来自于一个新的复杂的地方。在证书名称的地方没有一个组织的下部机构来生成和管理它。
5.为寻找证书没有一个可应用的下部目录。
由于在Internet里X.500缓慢的配置,从而导致使用X.500的决定是一个彻底的失败。由于UDP信息包的限制,即使DNS能够扩展到为个人email用户保存记录,当前在DNS中储存证书也并不是切实可行的。
看上去不只一个,甚至可能是所有存在的原因都阻碍了PEM的采用。
在吃的方面有一个恶意的评论:“我喜欢的每一样东西不是邪恶的、违法的就是猪吃的”(Everything I enjoy is either immoral ,illegal, or fattening)好像可以应用于Internet安全方面必需的加密系统技术。
2.2安全论点
几乎每个人都同意Internet需要更多、更好的安全。然而,这对不同的人可能有不同的看法,Internet安全的四个最高层的需求被确定为:端对端的安全(end-to-end ),终端系统安全(end-system),安全的QOS和安全的网络底层结构(network infrastructure)。
A.端对端的安全
为端对端的通信提供支持加密、认证和完整性的需求。这些安全的服务最好被提供在终端的基础上,目的是为了对用户信任的网络体制编码的最小化。这里的终端可以是系统本身,也可以是充当终端系统利益的代理器(例如,一个防火墙)。
对于点对点的应用软件(point-to-point),该中心认为现有的安全技术能够有效的提供机密、认证和完整性的服务。这些现有的技术包括应用于端对端的对称加密技术、信息分类功能和密钥管理的运算法则。在IETF,目前从事于这些领域工作的主要包括PEM工作组和公共认证技术工作组。
为对付出口的限制,工作组提出一个战略性的指导:从加密中分离出认证部分。这样,尽管政府限制了对加密技术的出口,工作组仍然能被容许在Internet的认证方面继续工作。反过来说,这就更容易对没有认证部分的加密进行展开,这样很好。
中心研究了端对端安全的多点传送技术。一些单点传送(unicast)的安全技术可以直接应用在多点传送的应用软件上,同时,也可以对别的进行修改。在6.2节中包含了这些讨论的结果。现概述如下:
a) 现在的技术完全可以支持多点传送包的机密性、认证和完整性。目前以单个多点传送源的水平支持认证和完整性认证的实现是有限的,这也是需要发展的技术。
b) 端对端的控制应当建立在终端系统或用户标志符的基础之上。这种需求应当与包含应用
公钥分配和加密技术的工程学相关。
B. 终端系统安全
每个主机都有自己的安全防御措施,但对于这些防御能力得依靠于分配。细心的主机安全管理员总是对内核和应用软件封闭安全漏洞,同时对用户做一些如何设置好的(难破解的)口令的训练。
好的安全管理员通常都有较强的分析能力,然而组织经常发现对于大量的内部机器很难维持它的安全。为保护他们的机器免遭外部的攻击,组织经常建立一个外部安全墙或者称为“围墙”(perimeter)的机构。围墙内部机器的通话只通过一套小的被称作“防火墙”的管理器进行。防火墙可以建立在应用层,这种情况下它们就是应用层转播器;或者建立在IP层,这种情况下它们就是防火墙路由器。
该活动中心在防火墙路由器的构建上花了大量的时间进行研究,主要在第三章进行描述。
C 安全的QOS
Intenet 被扩展到可以提供服务质量的功能,在该中心这个主题被称作为“实时服务”(real time service)。这些扩展为网络结构提出了一套新的安全策略,来确保用户不可访问他们未经授权使用的资源,同时预防资源被盗用和防止由于那些未经授权用户的访问所导致的服务器的拒绝访问(也就是防止通信的阻塞)。被保护的资源包括联机共享(link shares),服务类或队列( service classes or queues),多点传送树( multicast trees)等等,这些资源被用于网络的虚拟通道(virtual channels),每一个虚拟通道都被一个详细的传输包的子集(subset)或类(class)使用。
安全的QOS,例如,保护虚拟通道不恰当的使用,这种保护就是访问控制机构的一种形式,通常它建立在被认证类的状态模式上。这种结构可以通过管理机制使用(主要是面对前面的和全体的用户);或者被控制信息包或专门信息所使用(主要针对源用户和流程、数据的接收者)。
另外的一些状态制度,被认证的一些模式需要确保那些连续的包属于建立的类。通常解决的方法就是多点传送组,因为一般多点传送问题包括一个子集的两大方面。该中心揭露了一些安全QOS问题的方法。主要在第四章进行描述。
D.安全的网络底层结构(Secure Network infrastructure )
网络运转依靠于使用设置和操作网络底层的管理和控制协议,包括路由器和DNS服务器。在网络底层来自于用户端的攻击可以导致拒绝服务,但是如果来自于网络操作端,因为网络控制和管理信息,被攻击的信息的安全性就需要被认证和确保完整。
安全的传送协议也就成了一个直截了当的工程任务,该中心对这方面的研究包含以下内容:
a). 所有信息交换的传送通道应当被相邻的路由器认证。
b). 所有通道信息源应当被鉴别。
c). 虽然对通道信息鉴定结构的认证是可行的,对于通道信息实施的认证仍需要进一步的考虑。
由于当前的威胁很活跃,因此迫切的需要安全的通道管理协议(例如,SNMP,Telnet,TFTP)
更进一步,该设计任务应当是可直接对现有认证体制的应用。
安全的DNS是一个重要的策略,但是在该活动中心它并没有得到广泛的注意。
2.3 DNS 的证书名称
在2.1节中,在PEM上的工作是建立在使用X.509可区别的名称作为带有公钥加密的发行证书的假定基础上的。在中心最有争议的讨论就是使用DNS名称代替X.509可区别的名称作为Internet安全的一个临时基础的可行性。
讨论中大家都赞同DNS名称在Internet里具有简单易懂的特点,对一个计算机的操作来说,它可以很容易的被鉴别,同时在这个机制上接收email的用户已经拥有DNS邮箱的名称。与之相对照,为安全而引入的X.509可区别的名称在应用中则要增加一个新的名称层。更重要的是,为指派DNS名称,它没有一个现有的管理模式。也没有一个管理底层来指派X.509可区别的名称,同时它们对早期的接收体系来说可能太复杂。对使用DNS名称证书的提倡将鼓舞Internet上对安全使用的广泛性。可以预测在以后,DNS名称将被更具功能的名称机制如建立在X.509基础上的证书所取代。
反对DNS名称的人认为作为安全的一个基础它太薄弱了(weak)。它们的使用可能会导致许多情况的混乱,并且这种混乱会随着更多的组织和个人加入到Internet里而增加的更多。一些商业的email系统启用数字的邮箱名称,在许多组织它们是不可靠的。例如,"bumber@foo.edu是否属于Bill Umber 或 Tom Bumber,。不过对DNS名称做进一步的描述是可行的,这涉及到现有的带有成百万简短的,不带描述符名称的网络底层,它们对采用进一步描述符的功能构成了阻碍。
记录中谈论到有关证书使用的名称空间问题时是独立于为查询这些名称而建立一个底层机构的。由于UDP包的限制,在没有重大改变的DNS中储存证书是不可行的,即使DNS扩展到可以为个人email用户保存记录。
该组没能达成为网络安全而使用DNS名称策略的一致。因此,需要进一步的讨论。
3防火墙体系
3.1简介
防火墙是用于隔离Internet拓扑结构的一个特殊连接段。当连接段与其他Internet有多重连接时,所有连接都需要相应的防火墙机制。
防火墙可在协议堆栈的不同层执行。它们通常由发送网关在应用层执行或由过滤路由器在IP层执行。3.2章节讨论应用网关。3.3章节涉及过滤IP数据报进入或离开安全周界的Internet层防火墙。
防火墙的普通体系模型应将原则(例如:决定服务请求者是否被允许访问该项服务)与控制(例如:对已被允许访问的用户限制资源访问)分离。
3.1.1防火墙的使用
防火墙在Internet领域是一个非常敏感的话题。一些委员会成员感觉到防火墙的概念非常大,因为防火墙聚集了单个地方,单一操作,安装和配置的安全功能。其他人认为由于同样的原因防火墙又具有破坏性:它提供了“一个坚硬的,易碎的外表和一个柔软的,不易碎的中心”。例如:防火墙形成了错误的安全感,导致防火墙周界内安全性很松懈。他们还观察到在共同环境内的计算机犯罪是由知情人,对周界防御策略有免疫力的人犯下的。防火墙向用户主张防火墙象附加安全装置一样重要;它们不应该被作为周界内安全管理的代替品来看待。防火墙反对者还关注着使用防火墙的困难,需要多次登陆和其他额外的装置,并且和Internet的可用性和生动性有冲突。
然而,防火墙是当今Internet生活中的事实。由于现实原因,它们已被有关组织在更高的安全水平上进行构造。本章节将试着略述一些防火墙的优势和劣势,以及一些有用的实例。
考虑有几千个主机的一个大型组织。如果每个主机都允许直接与外界交流,则黑客通过寻找最弱的主机试图渗透到该组织,破坏其防御措施,然后利用该主机资源进一步渗透到该组织中。在某些方面,防火墙并不是安全问题的解决方法,就象它们对基本软件工程/管理问题的反应:为可靠安全性配置很多主机的系统。如果这些基本问题可以解决,则防火墙基本上就不需要了。
考虑在该组织的不同个体上运行防火墙的结果是很有趣的。首先考虑在组织中最安全的主机上运行防火墙。该主机基本上有很少或没有额外的保护措施,因为其自身周界防御措施如防火墙一样强大甚至比防火墙更强大。此外,防火墙将降低与该主机的连通性和与外界交流路径的可靠性,结果给该主机用户造成了许多麻烦。用户的观点是因为没有了防火墙。
另一方面,低安全性的主机还可以“藏”在防火墙后。由此易彼,与外界交流的一个更有限的性能,该主机能从由防火墙提供的高安全性上获益,假定它是基于整个组织中最安全的。如果该主机只想与组织内的其他主机交流,则防火墙强加的外部交流限制几乎不会被察觉到。从主机的观点来看,几乎花很少的钱甚至不花钱就可获得更可靠的安全性。
最后,把该组织作为一个整体来考虑其观点。防火墙允许通过整个组织在组织中进行最可靠的安全性扩展。这是一个益处(除了组织中所有主机周界防御措施相同)。中央访问控制也成为可能,它要么是个益处,要么是个代价,取决于该组织。组织中的“安全”主机在“不安全”主机获益时能察觉到损失。把该组织作为一个整体的代价/获益比率取决于组织中“安全”主机和“不安全”主机的相关数目。
考虑防火墙不做出反应的一些情况。个体可作为组织的一个主机来看待。所有主机的安全性是同样的,并定义该组织中最可用的。在这种情况下,防火墙的选择是单一的。该个体是不是想与外界交流呢?如果是,则“完美的”防火墙将被运行,如果不是,则主机周界就与防火墙周界一样,因此不需要防火墙。
另一个有趣的情形是一个含有少数共享利益个体的组织。它将是向网络出售公共访问权的服务供应商。用户的不相关团体应看成是个体,而不是组织。整个组织的防火墙在这种情况下作出很小的反应。
总之,防火墙的益处取决于该组织所保护的本体。防火墙可用于扩展组织中的最可靠保护,用许多管理差的主机给大量组织带来益处。防火墙能产生很少或不被察觉的益处,尽管是对已有强大主机周界的组织中的个体而言。
3.2应用层防火墙
应用层防火墙能用以下图表描述:C < - - - > F < - - - > S
客户请求C向防火墙打开其传输连接。F并非直接通向所需要的服务器S。重定向C的一种机制需要F的IP地址而不是能基于DNS的S。当C尝试解析S的名字时,其DNS查找向S返回一个“服务重定向”记录(与MX记录类似)。该服务重定向记录将返回F的IP地址。
C进入某个鉴定会话来向F确认其身份,并指定其向S请求一个特殊服务的意图。F决定C是否被授权调用该服务。如果C被授权了,则F向S启动一个传输层连接并开始该操作,传送请求和C,S间的响应。
超过IP层防火墙的该方案的主要优点是未处理的IP数据报决不可能通过防火墙。因为防火墙运行于应用层,它有处理的机会和校验通过它的所有数据,并且它对于非法的聚合点攻击能更安全(参见以下部分)。
应用层防火墙还有重大缺陷。对于所有益处,应用级防火墙必须对每个应用进行特殊编码。这严格限制了新应用的扩展。防火墙还描绘了一个新的错误点;如果它终止访问,则应用失败。应用层防火墙还可能不止影响IP层防火墙的性能,这取决于使用中的特殊机制。
3.3IP层防火墙
IP层防火墙模块是一个多端口IP路由器,它对每个引入的IP数据报应用一系列规则,以此来决定它是否被发送。“过滤”IP数据报基于可用的包头信息。
防火墙路由器通常有一套过滤规则,其中的每一个指定一个“数据包文件”和一次“操作”。数据包文件为特殊头字段指定值,例如:源文件和目标文件的IP地址,协议号,和其他适当源文件和目标文件的鉴别信息(例如:端口号)。这些可用于匹配数据包的信息称为“联盟”。联盟的本质是一种开放式的命令。
防火墙中的高速数据报发送路径处理每个到达的数据包而不是所有现行规则中的数据包文件,当文件匹配时,它实行相关操作。典型操作包括发送,撤消,传送无效响应,或记录异常追踪。当无其他规则匹配时,使用中有一个默认规则,它可指定一个撤消操作。
除了数据包文件,有些防火墙也使用一些加密信息来鉴别数据包,如3.2章节所述。
3.3.1策略控制标准
本节利用一些可能用到的详细机制实例,描绘防火墙路由器的控制模型。
1. 客户C要访问服务S。(客户这里既不是一个人也不是一次操作,它也是需要解析的一个命令)。
2. 启动访问该服务会导致经过防火墙路由器越过一个或多个保护边界。
3. 策略控制标准在防火墙路由器中设置过滤器,以此来允许或拒绝该尝试。
策略控制标准包括两种不同的功能,验证和授权。验证是一种校验用户声明身份的功能。授权功能应穿过Internet被分配的,以使一种组织中的用户能被其他组织鉴别。一旦用户被鉴别了,它就应执行对本地资源的授权服务,该本地资源是指决定用户是否授权访问该资源的请求。如果授权被允许了,防火墙中的过滤器就能被更新以便允许该访问。
作为理解该命令的辅助程序,我们介绍特殊的详细机制。我们强调该机制仅作为一个说明性实例;该机制的实际工程毫无疑问将导致许多变化。该机制由下图说明。在此用户要将防火墙F1后的计算机C与防火墙F2后的服务器S连接起来。A1是一个特殊的鉴别服务器,Z1是一个 特殊的授权服务器。
C <-------> F1 <-------> F2 <-------> S
                 \          /
                  \_____   /
                   \    \ /
                    A1  Z1
C试图通过发送一个初始数据包给S来启动会话。C利用一个普通的DNS查找来解析S的名字,并利用普通IP路由器机制。C的数据包到达防火墙路由器F1,由于它不与任何可接受数据包文件匹配而拒绝该数据包。F1返回一个“鉴别请求”错误信息给C,包括一张F1信任的鉴别/授权服务器表单。该信息可能是一种新的ICMP目标文件不可接收数据包类型,或某些与C交流的其他机制。
当C在确认A1的身份后接收到错误信息时,带有A1的鉴别,错误信息表单中的一种鉴别服务器。C向Z1服务器请求授权,通知它要执行的应用中的Z1,并对它要通过的F1的数据包提供文件。Z1执行授权功能来决定是否允许C穿透F1。如果C被允许了,Z1就通知防火墙F1允许匹配数据包文件的数据包通过防火墙F1。
在C的数据包穿透F1后,它又一次被第二个防火墙F2拒绝。C能利用F2信任的鉴别服务器A2和授权服务器Z2来执行相同的程序。这由以下事件顺序的示意图表说明。
          ----------+--------+--------+------------+------------+----
         |    C     |   A1   |   Z1   |    F1      |     F2     |  S
          ----------+--------+--------+------------+------------+----
         |发送数据包|        |        |            |            |
         | 到 S  ----------------------->  截取;   |            |
         |          |        |        |    要求    |            |
         |          |        |        |    认证                 |
         |   <-------------------------------      |            |
         |  认证    |        |        |            |            |
         | C 到 A1 ---->     |        |            |            |
         |          |  提供  |        |            |            |
         |    <------- 标签  |        |            |            |
         |   要求   |        |        |            |            |
         |   授权   |        |        |            |            |
         |   -------------------> 允许|            |            |
         |          |        |  C吗? |            |            |
         |          |        |  OK --------->      |            |
         | 再发送   |        |        |  设置过滤  |            |
         |第一个数据|        |        |            |            |
         |包到S-------------------------->(OK)------>   截取;   |
         |          |        |        |            |     要求   |
         |          |        |        |            |     认证
         |  <-------------------------------------------        |
         | ( 重复   |        |        |            |            |
         |   过程   |        |        |            |            |
         同 A2,Z2 ) |        |        |            |            |
         |  ...     |        |        |            |            |
         |再发送第  |        |        |            |            |
          一个数据包|        |        |            |            |
         |   ------------------------------>(OK)--------(OK)------>
         |          |        |        |            |            |
         -----------+--------+--------+------------+------------+----
我们再一次强调这只是可能机制的部分草图。它省略了某些重要的命令,包括不对称路径的可行性(参见以下3.3.3章节),和两种方向C,S间不同文件的可行性。
我们可以想象将此归纳成防火墙的任意顺序。然而,安全性需要每个防火墙能校验数据包确实来自于C。该数据包鉴别问题,在下一章节讨论,如果数据必须顺序通过多个或可能是两个防火墙,则这将会变得非常困难。
防火墙路由器需要再鉴别,因为:
* 它已被路由变化添加到路径中,或
* 它已超时文件入口,或
* 可能在因丢失可接受文件列表而引起崩溃后,它已被重新再次激活。
如果C要将S信任的鉴别和授权服务器连接起来,那么C可以利用开始使用S时这些服务器所给的票据,而且对S可以避免再次鉴别自己。
尽管鉴别服务器A1和授权服务器Z1概念上是分离的,但它们运行在相同的计算机或路由器上,甚至是单个程序的不同的方面。C对An的协议,C对Zn的协议和Zn对Fn的协议都未在这些注解中指定。用防火墙Fn所需的An和数据包文件鉴别机制被认为是策略的内容。
3.3.2源文件鉴别
下一步我们考虑如何保护对IP源文件地址的欺骗,例如:不是C发送但声称是C发送的注入数据包。有三种防御该IP级防火墙的欺骗机制。这些机制的概要在以下4.3章节也将得到讨论。
o  数据包外形
安全性的最低标准包括对仅仅基于数据包文件的过滤数据包降低IP层防火墙。这是被当今过滤路由器所使用的本质途径,通过附加(1)鉴别和授权服务器来控制过滤文件,和(2)自动“鉴别请求”通知机制。该途径几乎没有提供安全性;它不能保护其他计算机防止表面上由C发送的,或接管C对S的传送标准连接的欺骗性数据包。
o  密封数据包
安全性的第二层,每个数据包都是用安全哈希算法“密封”的。鉴别服务器Ai选择一个密钥并把它与源文件主机S和授权服务器Zi共享,Zi还与防火墙Fi共享该密钥。C传送的每个数据包包含一个由数据包和密钥值内容产生的哈希值。防火墙Fi能计算相同哈希函数并校验该数据包是否是由已知的共享密钥计算机产生的。
该途径提出了C信任Zi和Fi到何种程度的问题。既然它们都知道C的密钥,则Zi或Fi能欺骗C。如果C在其路径中不完全信任Z和F,则需要更强大(参见下面)的机制。
当一个以上的防火墙存位于路径中时,在鉴别C的数据包问题上还存在更多的难题。为每个被渗透的防火墙携带一个单独的密封信息就数据包大小来说将是非常昂贵的。另一方面,为了使用单个密封信息,所有防火墙必须协作,这需要一个比前面章节中的单个草图更复杂的机制。而且,它需要所有鉴别服务器Ai和授权服务器Zi的相互信任;这些服务器中的任何一个都能破坏所有其他的服务器。调查中的其他可能性是利用HOP-BY-HOP方式而不是END-TO-END方式鉴别C的数据包。也就是说,每个防火墙都替代数据包中下一个防火墙需要的哈希函数。
多防火墙源文件鉴别是一个困难的问题,它需要更多的研究。
o  数据包签名
安全性的第三层中,每个数据包都是用公钥/密钥算法“签名”的。C将其公钥与Zn共享, C又将之与Fn共享。在这种方案中,所有授权服务器和防火墙都能安全地使用一对密钥。没有哪个授权服务器或防火墙可以欺骗C,因为它们不能给数据包正确的签名。
尽管数据包签名带来了更可靠的安全性,但它需要获得专利的公钥算法和当前非常昂贵的计算机。为了哈希算法,它们的时间也必须填加到上面。同样,签名哈希通常使之更大。
3.3.3其它防火墙问题
* 执行
Internet层防火墙具有一般性和机动性的优点。然而,过滤器提出了一个潜在的执行问题。执行可能需要依靠用于过滤的包的字段的数目和位置,依赖包必须匹配的规则数。
否认服务攻击要求每一个包规则匹配,访问路径能跟上接口速度。
* 多点传送
为了让多点传送通过防火墙,所需要的规则应为接收方而不是发送方提供。然而,这将不适用于3.3.1中所描述的难题机构,因为"必须认证"的通知将要送到发送方,而非接收方。
多点传送会话可以用前面章节所述的三级安全中的任何一级,但所有的防火墙将要和数据流发送方共享同一秘密。该秘密需经过其它的渠道提供给接收方,然后在接收方传给防火墙。(和资源保存在接收方的RSVP中的方式相同)。
* 不对称路由选择
假如客户端计算机C通过防火墙F从其它的计算机S上获得服务:如果从S返回给C的包的通道不同于C到S 的通道,他们可能遇到没有授权的防火墙F'(不像已经授权的F)。F'将要核实S而不是C,而S可能没有被F'信任的证明它自身的凭证。
幸运的是,这种不对称的路由选择情形对于通用的单一本地管理域来说不是问题。不对称的路由选择将汇聚在防火墙。
* 非法汇合
没有任何机构反对来自集合点的同一防火墙两端的用户以写在可能已被授权的协议上的定制的应用穿过一个防火墙来运行。
例如:如果一个机构有这样的一个政策:确定的信息是敏感的并且其前提之外的是不允许的。如果用户可以附带上敏感的信息来邮寄并发送给外面的任意方,那么防火墙将不足以执行这个策略。
类似的,防火墙将不阻止带有输入数据的所有程序。如果用户引入数据并且执行它,这个程序可能有特洛伊木马病毒,该病毒泄漏敏感信息,或者修改,或者删除重要数据。可执行代码来源于许多的形式,包括后记文件,各种解释程序的副本,甚至发送邮件的返回地址。防火墙能够检查一些,并审查一些潜在的危险代码,但它不能阻止用户传输看起来像程序中的数据的东西。
我们考虑一些防火墙路由器机构范围之外的问题。它是拥有该防火墙并从事这些论点的机构的策略问题。
* 安全包的透明度
对于以上所述的机构,认证所需要的问题和用于在代理计算机和认证及授权服务器之间的认证/授权协议,必须被所有的防火墙自动地传输。这些可能建立在安全文件包的基础上。或者,防火墙路由器作为这些类型通讯的应用层防火墙服务。他们能验证他们传递以避免欺骗和非法聚合的数据。
3.3.4友好的防火墙应用
防火墙路由器对于某些通讯形式有困难,在这些通讯形式中请求是由服务器发起的,包括收回和多线路连接(例如:FTP)。事实表明如果给应用设计者以指南来帮助他们创建友好的防火墙应用,则它们将是很有用的,。下面是所建议的指南:
1) 无入站调用(终端仿真问题)
2) 固定端口数(没有portmapper或tcpmux)
3) 好的整形转移(申请网关)
4) 协议中没有转移
5) 32位序列数
6) 确定头字段的长度和数量
类型字段是好的但如果有固定的端口数的话,也可能不需要它。
3.3.5结论
与应用层防火墙相比,一个IP层防火墙机制能够提供许多好处:
* 对于终端主机没有额外的鉴定。
* 单一的鉴定协议能够用于所有的预期申请。
* IP层防火墙能够降低消耗。
* IP层防火墙可以崩溃或恢复状态而不需要干扰打开的TCP连接。
* 移动线路而不需要干扰打开的TCP连接。
* 没有单点失效。
* 是独立申请。
尽管如此,在设计问题上仍有实质性的困难尚待解决,特别是在多重防火墙,对称线路,多信道广播,和执行等方面。
4. 安全QOS推进
当因特网对特殊的数据包流提供专用的服务质量时,将会出现一系列新的安全问题。对于在网络资源里申请昂贵的QOS值的用户,有进行鉴别和批准的需要。因此,防止这些资源的盗窃,以及来自其它用户的否认服务攻击就显得十分必要。本节包含了对于这些问题的一个概念上的模型,我们称之为安全QOS推进。此论题有别于端端安全和防火墙,因为在路径的每一个路径上都需要加强QOS推进安全。
这并不是一个新问题,它是由Radia Perlman通过一篇论文在理论上提出和解决的。
4.1 安装要求
安装在QOS机制中非常重要。然而,在任何网络层安装安全机制,仍然有十分充分的工程理由,。抽象地说,你可以想象一个纯粹的数据报模型,其中,每一个IP包都分别携带着在前进路径上所有阶段所必需的授权,这并不可行,因为安全信息既大得无法接收,又对每个包的内容有计算上的需求。这似乎意味着对于安全安装有些状态形式上的需求。
因此,我们假定一个分成两阶段的过程,它降低了纯数据报模型的要求。在第一阶段――安装阶段,在路由器(其它网络组件)上建立了一些状态,它们描述了如何看待并发的数据包流。在第二阶段――分类阶段,到达的包与正确的状态信息相匹配,并加以处理。今天所用的称呼这些不同状态描述符的术语为“类别”,即分类的过程。
安装的形式很多。可以是动态的,也可以是如上所述的通过网络上程序的调用。安装的过程同样可以是通过协议如SNMP,或远程登录的方法来进行路由器的人工配置。例如,网络链接,如穿越大西洋的链接,由共同购买的用户所共享。他们通过配置一个路由器以实现共享。
其中用到规范,或过滤器,它描述了使用每一个共享服务所允许的包的种类。无论安装是动态的,人工的,短期的,还是半持久的,都有同样的效果:它在路由器里创建包类别,并定义了当包到达时如何分类。
目前许多关于QOS的IP扩展的研究,如实时服务,已假定了一个准确的安装步骤和分类阶段。安装阶段通过如PSVP或ST-11的协议来完成,它们同样说明了如何完成并发分类。在安装阶段安全只是对那些协议的一个扩展。应该注意,基于一个隐式的安装过程,对于实时QOS有折中的建议。
4.2 加强安装过程的安全
为加强安装过程的安全,我们要求一个安装请求应伴有用户的证书,以提供一个可信赖的保证:被怀疑的请求是认可的,并且是授权的。我们把安装过程中用到的证书看作是高级别鉴定(HLID)。
一种简单的授权就是路由器管理接口上的口令(那些口令模式的限制,众人皆知,此处不加讨论)。当安装请求是由单个的程序所发出时,必须假定一些特定用户的授权。
当有任何组织HLID的方法时,缩放的目标使得为用户命名和鉴别的全球性架构就显得十分有用。命名框架的选择将在第5节中深入讨论。注意这个讨论,它关心的是控制对网络资源和安全设备的访问,有别于端端鉴别和访问控制,然而,同样的鉴别架构对于两者都适用。
通常,重要的工程计划需要定义一个网络上的安装架构,它并不需要开发新的安全技术。然而,对于分类处理的安全方面,有与实现和耗费相关的重要问题。因此,应该集中更多的精力到全局架构的那方面。
首先,定义高级别ID(HLID)作为表示安装请求部分的信息集。它们也可以是低级别ID(LLID),有时称作“小甜饼”,携带在每个包里以便分类。在对当前的QOS的IP扩展中,包的分类是基于现有的包字段,如:源和目标地址,端口以及协议类型。
应注意到LLID有别于用户地址,这是十分重要的,最起码在概念上是这样。通过强调这些区别,我们可以认识到:用户的特权并不是由使用中的地址所决定的。如果用户的地址改变了,特权不变。
包中的LLID作为标签,路径上的部分或全部路由器用它来决定授权给包的QOS分类。LLID会在单个的源-目标地址对之间引用一个数据流,或者更一般,围绕一定范围类的数据流。并不要求LLID收录一个句法,以允许路由器来识别它所代表的QOS变量,但是同样没有任何对于这一优美结构的禁令。
我们建议一个IP数据包包含一个LLID,它可用在不同的网络阶段,以映射包到一个类别。对于网络中每一个不同的点,我们反对数据包应该有一个可变LLID号的折中性方案。而且,这不仅是个安全建议,还是一个安全隐式。
LLID的属性应摘录下来,以匹配尽可能广的请求范围。
*它的持续时间(下面所讨论的)必须既匹配安全协议的需要,以平衡健壮性和有效性,又要匹配应用程序的需要,程序必须处理LLID失效时安装的更新。一个有用的末端点设备将是自动更新安装请求的一个服务。
*信任的级别应该足够高,以适应我们将会遇到的最为严格的请求。
*对于网络中的任何资源选项,LLID结构的粒度必须允许数据包类别中的分类足够饱满。因此,我们希望每一个来自应用的独立的数据包流都有一个不同的LLID。几乎没有机会将一个LLID或认证者下的多个流聚集在一起。
4.3 确认一个LLID
最低限度,有必要确认环境中LLID的用途,如:确信在授权方式下它正待证实。未经授权的LLID使用将会导致服务的盗窃,以及否认服务的攻击,此时未经授权发送者发出的包,将与用作那个发送者(或发送者所在组)的QOS处理相一致。因此,LLID的使用应经过路由器的鉴别,使得QOS决定是基于LLID的。(注意:所有的路由器都不关心LLID)。
原则上,LLID的有效性需要在每个包上进行检查,尽管不是在每个路由器上都需要,这也许会限制安全边界的检查。在那些必须验证LLID的路由器上,一个十分明显的问题就是执行效果。例如,一个路由器会选择一些数据流样品,并对其中的一些,但不是对所有的包,加以检验。或许它会先选择一个前进的包,将选择性确认的执行作为一个后台活动。在最为自由的方法中,一个路由器会记录选择的包,并确认它们,以作为今后审计活动的一部分。
有一些其它的确认LLID使用的技术。我们已经确认了三种基本技术,它们有别于计算的执行,带宽花费和有效性(对于各种变化攻击形式的抵抗)。
*数字签名
第一个必需的技术就是公钥加密术和数字签名的使用。通过对包计算单向的哈希值,并用与LLID相关的私钥来对此哈希值进行转换,包的发送者对每一个包进行签名。因此,鉴别码的值包含在包头里。经过可长期使用公钥的连接安装过程,将公钥和LLID绑定在一起。公钥术的使用使得任何路由器都可以确认一个包,但没有任何路由器必须在数据中产生一个带有有效鉴别码(也就是:它可以被其它路由器看作是有效的)的包。从“最小特权原则”来看,这个特性使得这种技术变得理想化。
公钥加密系统,如RSA就使得签名的确认比签名快许多,它减轻了路由器的处理负担。尽管如此,除对给定现有公钥算法的实现,由路由器进行有选择性的检查外,这种方法似乎并不是到处通行。
*密封
下面的技术同样是基于同类用作数字签名的单向哈希函数的使用,但是,它并不要求签上哈希值。这里,发送者用一个私值(本质上说是“密钥”)计算一个单向哈希值。此过程就是通常作为密码封装的一个实例。在经过哈希计算后的哈希值里的内容,对于任何没有私钥的实体都是不可预测的。因此,哈希值就是鉴别码,包含在包头里。路由器用附加的同一私钥对接收的包进行哈希计算,以确认包的有效性。如果传送的哈希值与计算的哈希值相匹配,认为包是有效的。与签名技术不同,封装意味着所有能校验封装的路由器,同样也可以生成(伪造)一个封装。因此,此技术要求发送者相信路由器不会滥用私钥。
在所有需要确认LLID相关包的发送者和路由器间共享单个密钥方面,此技术已作了说明。使用同样的鉴别码技术,有一个相关的折中策略,但必须在互利的基础上共享密钥,如:在第一个路由器和发送者之间,在相邻路由器之间等。这避免了在一个大的路由器组合里分发密钥的需要,但这需要安装机制使得路由器A确信它的邻居B,这样,A就被授权在一个特定的LLID或LLID集上代表通讯。最好将包密封在一个两端都可以确认的包里面。只要策略适当,路由器在它们中间集中通信就变得最为高效,并不是在每一个LLID的基础上都提供鉴别,由于路由器对可以相互信任,以代表数据流LLID。
作为单点传送的数据流,因为私钥的对称共享,在路由器间键入互利的使用,并不代表路由器或安装机制所需求的信任有任何真正的改变。然而,对于多点传送连接,这种互利的键入方法要高级一些,它防止在多点传送树中点上的路由器产生可以插入到树中其它点的通信。最糟糕的是,对于多点传送树中下面的点,路由器可产生伪造的,但是可鉴别的通信。
要注意的是网络管理错误隔离技术的使用,如:在数据流沿途的的不同点上进行路由器通信统计采样,应允许将包伪造攻击的hoc检测进行登记,此攻击已绑定在数据流路径上的路由器中。这种技术的使用是对路由器类似活动的一种威慑,更倾向于互利键入方法。
密封技术比数字签名技术要快,因为哈希计算的增加(包括附加的私值)比要求签上哈希值的密码转换要快得多。此处的处理负担是对称的,也就是说,发送者和每一个路由器都要投入同样的处理能力,以封装包,并校验此封装。同样,一个封装的哈希值要比签名的哈希值小得多,尽管在两种情况下使用同样的函数。(这是因为公钥签名算法的模数大小和任何附加参数会增加签名哈希值的大小)。此外,可以用一个广值的哈希函数来截短那个值,如果在耗费上需要减少:当鉴别码是一个签名的哈希值,此选项将变得不可行。
作为此种技术的一个变量,你可以想象一个“票据交换所”,它用来接收来自发送者的,用于产生和确认鉴别码的私钥。需要确认包的路由器发送一份包的拷贝到票据交换所,它将检查包,并反馈给路由器与LLID相关的不确认包的有效性。显然,仅当路由器正在完成很少的选择性包确认,此变量才可行。然而,它的确避免了在所有必须对包进行确认的路由器中秘密共享鉴别码的需要。
对于这两种技术,有一个残留的可进行否认性服务攻击的弱点,此攻击是基于在数据流生命期间有效包的延迟。除非包携带有序列号,而且路由器跟踪每一个数据流的序列和窗口,一种(外部)攻击可以拷贝有效包,并将它们延迟。对付这种攻击最简单的方法就是,集中所有路由器对中的通信,形成一个单一的流,将流作为一个整体,而不是当作单个的流单位,对其提供延迟保护。
*临时口令
对于包的确认,在工作室所探究的最终技术有很大分歧。先前的技术,技术包中位的函数,并以某种方式将值加以转换,可以防止产生带有有效鉴别码的攻击。对给定LLID产生一个带有有效鉴别码的包,需要访问仅有发送者知道,或在一个给定数据流中发送者和路由器共同参与的私值。
相反,的三种技术要求鉴别码是一个短的术语,私值包含在包头里面,不受任何更深层的保护。本质上,这种技术将短术语“口令”结合到每一个包头里。这种方法,如它的前身,要求所有的路由器认证LLID对鉴别码是私有的。而且,鉴别码对于任何路径上的其它路由器和设备都是可见的,这样,这种技术比以前的更易受到攻击。
此处同样的鉴别码可以应用在带有同样LLID的所有包中,由于鉴别码不是它所鉴别的包中的函数。实际上,这意味着将LLID作为鉴别码是可行的。
然而,采用这种方法将和前两种技术不一致,它们都需要显式的,独立的鉴别码,因此,我们反对这种最优化。
但是,问题在于鉴别码是独立于包内容的,如果鉴别码是从任何非法包中截获的,那么这使得产生(伪造)显式的可信任包变得毫无价值。同样,如果鉴别码可被猜测,任何攻击者都不需要进行被动的窃听,来欺骗这种模式。后一种发现意味着鉴别码必须足够长,使得猜测变得不可行,使LLID和鉴别码都能对这种要求有更好的支持。
这种方法最大的好处就是性能。通过简单的对照,鉴别码可以很会的得到确认。与防止猜测攻击的需求相一致,鉴别码不需要假设:在包头有一个重要的区域。
使用对于路由器可见的序列号是一种有趣的技术,探索一些使易受攻击的方法变得强健的技术。如果每一个流(每一个包源)将它的包编号,那么,企图使用网络资源的入侵者必须删除这些合法的包,在很多情况下这是非常困难的。另外,被攻击的路由器将会注意到:复制的序列号和类似的异常。确切的编号细则必须得到解决,因为合法的流包可能丢失,这将引起序列空间的空白。
这里我们并不考虑合谋的问题,那样,有给定LLID和鉴别码的用户故意将LLID和其它未经授权用户共享。这种可能性将被探究,看看这样的做的可行性利益,那样将会成为真正的威胁。
4.4 安装的动态
0 LLID的持续时间
使用LLID的一个关键问题是它们可以持续多久?在一种极端情况下,它们仅持续一段很短的时间,可能是几秒。当LLID被盗窃时,这可以限制危害的程度。在另一种极端情况下,LLID是半持久的,象信用卡卡号。上述提议的加强LLID安全的技术交易的是有效性的强度,假定危险由限制的LLID的合法性来加以限制。
用原始的安装技术,如:人工配置路由器来建立包类别,使得平衡长期或半永久LLID变得可行。由于安全的发展和动态资源的分配协议不能及时的得到跟踪,这种技术在短期运行中十分重要。
我们得出结论,正确的短期行为是设计LLID,假定它们都公正的短期存在,在短期行运行,默许更长的有效期。这意味着我们可以得到一个适当的长期机制,首先,操作上将具备更低的安全级别。当我们有了更好的自动安装的工具,我们可以在个人基础上缩短有效期,而不需要在包的前进路径上替换机制。
* 安装反应时间
传统的互联网在终结点之间的通信路径上没有任何等待时间,支持快速处理的经典的数据模式等等都作为一项功能被保留了下来。
为使安装预先完成,双方都要通过管理接口或后台的终结点。反应时间一般在响应特殊应用请求的动态预约时发生。
我们观察到当反应时间是密钥的结果时,它不会被安全关系所影响。像RSVP和ST-II的资源附加协议的设计者现在争论协议的等待时间,缺少安全。作为证明人的补充请求消息需要增加使请求生效的加工,并且可能通过证明服务包含信息交换。但无法在安装阶段及时的完成实体交换。因为可能已经在安装阶段有了来回路程上的延迟。但对于安装协议的高级别的鉴定和授权方法必须了解这个过程,当不需要知道每一个包的处理级别的时候,有时仍然需要该过程。
处理安装过程的请求的方法是建立请求和在后台执行确认。这会在短时间内限制来自不利安装的破坏。注意,即使如此,系统对于一系列的安装请求仍然是脆弱的,在短时间内可能有未经授权的访问。
注意,使用无效的安装请求可能导致安装过程的溢出。所以过程都必须被处理或溢出。这可使有效使用者建立任何状态。即使如此,否定服务攻击建立在溢出级别的非常巨大的“指纹”:他们没有经常受到巨大的威胁。如果这是一个问题,等同于指纹的安装处理过程级别的机制上组成公司。限制在包装级别的破坏攻击。
4.5 接受端初始安装
最近工作在QOS Internet 扩展,补充了RSVP协议,使用接受者接收资源的模式。这种机制与现存的IP通讯机制相一致,需要接收人参加通讯组。接收方存储资源保证通讯运输达到接收方在预期的QOS下。在这种情况下,需要接收方的证书(HLIDs)提示进入安装阶段。
注意接收方初始化请求在显示安装阶段。假定是隐藏安装,且在现有的包内。通过特殊的接收方没有特定的关联包,在通讯中。接收方的地址不在包中出现。
进一步的说,没有可能在这种情况下执行“预先”安装。除非发送方和接收方非常紧密的协调。否则,接收方预先不知包中有LLID。的确可能的是,这种情况下,接收方为通讯传输建立半永久附加条款。不是安全发行;不存在补充的安全关系。但是安全建筑必须考虑在内。
4.6 其他问题
4.6.1加密防火墙和辅助通路
我们的安全观点,终接点和网络保护。包括防火墙的使用,需要或多或少的分配网络区域。在军事和信息组中加密防火墙模式的使用很普遍:红色(信任)网络从黑色(不信任)网络分开。非常有效的区别是,在军事模式中,分割使用加密编码通过黑色网络到红色网络是可能的。因此,加密目的单元,在其他中,提供非常高度的保护以防止在红色网络中泄漏数据。与之相反,我们的防火墙保护信任(红色)区域的范围免受攻击。当它进入和离开时。在网络信任部分的结点和不信任部分的结点不可以进行交流。
在军事加密防火墙的情况下,我们可以采用我们的安全QOS模式。即使如此,这种加密通过我们的安全资源管理仍然出现一个问题。讨论上面的内容,包括安全处理和分类两个阶段。这种结构是有问题的,因为它需要信息从红色区域到黑色区域清晰的通过。这些信息包括安装包本身,如果安装从终结点和数据包的分组区域(LLIDs)动态完成。显然,当信息从红色网络区域出来时不能加密,因为它对黑色区域是无意义的,因此黑色区域不能把资源分配决策建立在它的上面。
为了对控制方案进行分组,它需要加密设备执行特定的包裹和在包裹内区域来通过加密。加密操作的辅助通道极度不良。在安全要求很高的情况下,处理生成的辅助信息可能被破坏,所导致的结果是,可被控制的信息从安全网络中通过辅助通路区域包的隐藏删除。
我们因此得出结论,辅助通路问题是无论如何也不能克服的。关键是,对于所有情况的辅助通路来讲,限制比完全取缔要好。信息可以清晰的通过,为了限制信息需要辅助通路,在黑色环境中一个就可以作为管理程序完全执行安装,或者把处理分两步走。第一步,在黑色环境中再一次完全的定义安装情况的限制数目。第二步,包括发送来自红色网络一个非常小的信息用来选择一个请求在预先定义的设备中传送。
更麻烦的是包头的LLIDs,如果LLID 是一个明显区域(我们过去所讨论的,但是看下面),它在各个包中再提示一个新的区域,可能有32bits。因此限制路径的方法可以使用。但当终结点执行安装,它将指定LLID的使用。这种情况可在红色或黑色加密单元看见,这些单元能够限制构件区域到达正在使用的值。进一步改善的情况,加密单元可能被用于在黑色区域中一个流程到另一个流程总计出一个数量。这将进一步减少明显的LLIDs的数量,离开红色区域。
协议的细节,包括一些重要的发行例如LLIDs的持续时间,必须进一步考虑。即使如此,辅助通道的初始化结论可被引入到通常的资源控制机构,这是令人鼓舞的。因为它表明无论是军用还是民用安全构成都能在相同的建筑模块上建立。
4.6.2 相容特权的原理
比较好理解的安全原理是最新的特权原理。它表明当系统的组件需要最少的特权时它是最健壮的。
我们所观察的与之相关的规则原理是特权的一致性。这在拒绝服务时可被简单的说明。这里是特别相关的。对于单个规则,没有假定的服务能够分开,除非我们相信路由器发送包。如果一个路由器被破坏并且不能发送包,唯一的解决方法是找到另一个路由器。在协议中当一个路由器损坏时我们并不关心找到另一个路由器,因为这与我们的主题不符,网络安全构架。我们 仅仅关心是否从路由器得到服务。如果路由器损坏,并不关心是否会袭击我们。因此,路由器是转发路径的一部分(通常是多点传送转发树)。我们不能在其他方式取得信任,例如取得共享资源密钥或LLID验证。
这些说明了相容特权的原理。这些原理在通讯树中用于点对点或成对使LLIDs生效的机制。如果对一完整的树发行单一密钥,且特权不相容。我们只需相信树中路由器在它以下的结点。如果它在预期的传输中失效,它仅仅在这些结点中有效。但是如果我们给它一组密钥,然后它能够假的传输并能在树中任何结点注入,影响树中其他部分的传输。如果,另一方面,我们使用成对的密钥,然后一个被破坏的结点使用传输密钥产生一个假的它能直接收到的传输,它是树中能够被任何方式破坏的部分。
另一个我们必须放在网络设计的要求。如果一个防火墙安放后,我们必须相信没有构件绕过防火墙。一个方法是在区域内消除任何通过防火墙的物理路径。可以操作的技巧需要容许简单的物理限制。
4.6.3 隐含的LLID's
我们感觉到在包内地址和用于包分类的LLID间明显的概念区别。这种区别是非常重要的,但是在受限制的情况下是可以忽略一些包区域和当前包头所建立的LLID的。例如,当前包按IPv4分类,这是不安全的但是可以将包分为不同的服务类别,使用大量的包区域作为LLID:源及目的IP地址和协议类型的端口。
“隐含”的LLID分类必须是短期的,特别是如果主机能够在移动时改变IP地址。但是,如果LLID是通过一些动态安装协议建立的,如果需要,它可能会重新建立LLID。
当前的IPv4头没有认证者区域使LLID生效。一个认证者区域是可选择的;增加网络的稳定性。在建立认证者时任何机制描述都可以被用到,除了简单的密码认证者被使用,它必须是一个明显的分离区域,因为LLID不能随机选择。
4.6.4 不需要设置的安全
当我们描述构架时,安装步骤是基本的序列部分。这表明当前的Internet未安装的协议,不能抵抗拒绝服务的攻击。了解这些要点的限制是非常重要的。当我们强调上面时,安装出现在许多方式中。路由器现在建立在协议类型上提供管理选择区分包并且在头上找到其他区域,使用这个分类建立一个公平的队列级,这能够防止一种类相对于其他类超载。
这里有两个问题。第一个是对于一个完成的安装使用管理接口,在资源和路由器之间分享的使LLID有效的秘密必须在很长的一段时间内保持有效,且必须手工配置。第二个问题是种类的间隔尺寸必须近似。即使如此,它只是建议。在Radia Perlman的论文中,对每一个源地址都必须隐含的建立分离队列类。这种方法,作为隐含LLID使用地址,必须对健壮性有一定的构件形式。但是如果LLID可被信任,提供传输分类的机制仅仅建立在一个隐含安装操作上。对任何的QOS区别分类的间隔尺寸没有提供足够的支持。这个目标仅仅是保证从一个源到另一个源的传输。
4.6.5 生效的地址
我们在这里声明如果LLID和地址在包中只是概念上的区别,并且如果有合适的手段使LLID生效,且没有理由使地址生效。例如,一个失败的源地址的包不再提示任何安全问题,如果它的LLID可被置为有效。
一个意外可能会在与移动主机的交流中出现,但是它需要一个完全的威胁模式和在移动环境中确定的需求。即使如此,我们声明,作为讨论的起始点,如果LLIDs与地址区别开来,很多与移动安全相关的内容可能会减少并且被移除。这一点通过移动问题的细节考虑生效。
4.7结论
a) 从概念上区分LLID(低级标志符)在包内从地址携带。
b) 在每个包内都有一个单一的LLID。虽然与多重LLIDs相比可能会在路由器隐藏一些额   
外的情况,但是使用仅仅一个LLID选择是可伸缩的。
c) 连续跳跃的LLID机制可能提供一个高度的可伸缩的方法,这个方法限制秘密的分配。
即使如此,稳健性必须彻底的调查。
d) 统计抽样和背景探测机制可能会被路由器调用进行地址查询。
5.一个鉴定服务
一个鉴定服务的目的就像鉴定名字一样简单,或精确鉴定产地“信息”。与鉴定服务的区别决定了对加密名字有效。我们希望鉴定是世界范围内的服务,当鉴定相对于经过授权的访问资源来说是特殊的。
这种“识别”函数用于许多场合,例如:
* 一个时间口令:“对问题的反应是真实的<huitema@inria.fr>”
* 访问防火墙:“对试图传送数据到主机A的a端口是真实的<huitema@inria.fr>”
有许多Internet对象需要我们命名,例如:
主机名:sophia.inria.fr
机器名:jupiter.inria.fr
服务名:www.sophia.inria.fr(事实上的数据库)
使用者:huitema@sophia.inria.fr
处理:p112.huitema@sophia.inria.fr    p112.sophia.inria.fr
通用资源定位器:http//www.sophia.inria.fr:222/tmp/foobar 
我们试图相信鉴定服务仅仅关心个人的名字,只有人是“有责任的”,一个处理过程获得访问权利因为它代表一个人。即使如此,这将导致潜在的误导。我们可能鉴定“机器”或者硬件组件。例如:
* 当机器引导为了配置自己访问资源时,但是它没有被任何一个人所“使用”:没有使用者。
* 在一个“分布式处理器”上,组件CPU可能需要彼此互相鉴定。
机器与使用者区分开来:机器不能像人那样保证它们的“秘密”。即使如此,使用一个简单的可扩充的名字空间是有巨大意义的。
5.1名字和证书
我们假设授权服务将使用“访问控制目录”(ACLs)。例如:一些关于一批授权用户的定义。一个用来描述允许使用“通配符”授权的这样一种设备的简洁的方法, 例如,“在 <Bellcore.com> 的任何人,或“<INRIA.FR> 的任何机器””。认证服务应被设计为便于授权服务的实现,并且应该支持“通配符”。
然而, 通配符一般是不够的。假设我们有一个分层的名字空间,限制命名层次的通配符的入口。例如,象 <huitema@sophia.inria.fr> 一样的一个名字能由通配符<*@sophia.inria.frr> 匹配。只要一个通配符在 INRIA 中,这种情况成立,但是不能解决通用的问题。假定在 CNRI 的一个 IETF 文件服务器将由所有的 IAB 成员访问:它的 ACL 将明确地列出成员的名字。
命名的经典的途径,例如X.500 模型,是考虑那个人有一个“著名的名字”。一旦一个通配符通过一些这样的“白页” 服务,发现了一个名字,就能使用它作为一种全球名录的存取密钥。
个人可以从许多渠道获得授权。使用一个纯的、基于身份的存取控制系统, 用户将必须获得多重的身份 ( 即,特别的名字 ),相应地,它在其被授权存取不同的服务角色。我们在下一节讨论这个方法。
一条选择途径作为有身份的一个很小的数字的用户,并且有授权问题( 签名 )的授予者同意用户的凭证,连接到了它的 ID 。这些附加签署的凭证以“能力”被告之。然后,用户能通过一个通用的身份凭证建立它的身份, 例如,X.509 认证,并且作为请求的发送能力建立授权。在一个驱动程序的许可证上被连接到名字的信用卡的一个通配符,与此有点类似,并且发送合适的信用卡, 加上为身份的图像证实的许可证。
5.2  基于身份的授权
让我们打开一个普通人的钱包:我们从中发现若干“信用卡”。我们都有许多“信用卡”, 例如,公司卡, 信用卡, 航空公司的飞行会员卡, 驾驶许可证。这些卡事实上是的一种标志关系的联系:持有者填写的那张支票的银行证明可用于交易, 持有者了解了当局证明的车辆如何驾驶,等等。这是基于身份授权的一个例子,每个人通过不同关系相对应的不同名字进入。
如果我们想象名字空间基于 DNS ( 域 ) 名字之上,那么,涉及到以上的人与名字能被证实:
               customer@my-big-bank.com
               customer@frequent-flyer.airline.com
我们这里使用模型是“名字是一个协会”。这与名字证实过程是一致的, 从中一个人在用户和“资源代理人”之间建立“信任链”。由在信任图跟随一条特别的路径,一个人就能建立信任并且显示出用户属于一个“授权的组”。
一个人的“多重的名字”的存在可以暗示一个“等价”的存在关系。知道 <huitema@sophia.inria.fr> 和 <huitema@iab.isoc.org> 是一样的人的 2 个名字,可以是有用的,但是有许多情况下用户不想要他的所有的标志可见。
5.3  选择凭证
让我们再考虑在 CNRI 中,克里斯琴·休泰马存取一个文件的的例子。他将必须与 Inria 的输出防火墙和 Cnri 的输入控制交流。不考虑是否授权依赖于能力或多重的协会名字,一个不同的凭证可以被路径上的每个防火墙所需要。例如,假定多重的名字被使用,他将使用一个 INRIA 名,<huitema@sophia.inria.fr>,通过 INRIA 使用网络资源,并且他将使用一个 IAB 名字,<huitema@iab.isoc.org>, 来存取文件服务器。这样,显然有一个问题:他如何位特殊的防火选择特别的凭证?更确切地说,管理连接的计算机程序怎么发现这个凭证,即即将向 Inria 的防火墙挑战和另外一个到 Cnri 的请求的相应?有许多可能的答案。程序能简单地传递所有的用户凭证,并且让远程的机器选择其中一个。但是,该工作提出一些效率问题:传递所有的可能的名字是麻烦的, 浏览许多名字是累赘的。为许多名字做广告,也因为隐私和安全原因而很不受欢迎。一个人不想在远程服务器上,在一个特别的用户可以有的所有凭证上,收集统计。
另外的可能性是让请求一张授权通行证的代理人接受,愿意的凭证的集合, 例如,“我是准备好了的提供 CNRI 雇员和 IAB 成员”。这作为先前的解决方案提出一样的隐私和安全问题,尽管到更少程度。事实上, 选择一个名字的问题与“通用信任路径”一样是模型。选择的名字是仅仅在认证图的一条路径,并且网络专家原本知道是怎样发现组内路径的。
在短条款,使用“一个缺省名字”或“主要的名字”,是可能的, 至少对于本地的交易,和依靠用户到“猜测”远程的服务要求的凭证,为了离开本地的环境,我们仅仅需要本地的凭证。为了联系一个远程的服务器,我们仅仅需要目的地凭证。因此,我们需要一个或两个凭证,它可以从目的地被导出。通常情况下,通用的凭证是足够的,然后通配符,然后“FTP 提供了” 标志。
6. 其他问题
6.1  隐私和认证多点传送组
多点传送应用程序正在成为因特网通讯的日益重要的部分。声音、视频信息包和共享白板是用户的有力的生产率工具。对于他们这些有最大值的用户的应用程序,许多安全服务将被请求。现有的技术直接可用于为私人电话会议提供密钥。如果是一把单密匙被会议的每个成员分享的对称加密算法( 例如 DES ), 则现有点对点的安全技术能被扩大到保护组内通讯不受外人干扰。
然而, 现有的技术需要细微的修改来适应多点传送环境。每个包要求独立的密码处理来保证从多样的源包能独立地被众多的接收装置解密, 特别是在失去包的情况中。需要N个成员的认证和密钥管理在合适的组成员之中建立分享的密钥。这可以由成倍的扩大现有的两种密钥管理技术来做到。例如, 会议管理者可以根据每个成员的个人认证为其提供密钥;例如, 这能通过频繁的使用 PEM 技术实现。会议中每台主机经历的开支将与现有的点对点的加密应用程序的差不多, 这些开支比它低得多, 今天,当对于视频用硬件加密就足够时,软件加密能提供足够的性能保护白板和声音传送的安全。
多点传送通讯的本质增加一个附加的要求。现在的多点传送会议在包损失率增加时渐渐的降低通讯的质量。为了可接受性, 认证协议必须认可失去包。高效地完成这些技术需要被发展。一个元始的图案被构画在下面。工程工作将被要求来确认这个方法的实用性。
对称加密的使用向会议的成员提供防止外人的有效保护。然而,因为会议的所有成员分享一个密钥,故它不提供证实单个会议成员的方式。在原则上,现有的技术,基于不对称加密算法与基于单向哈希函数的数字签名相结合, 能提供单个认证。例如像 MD5 的单向哈希函数和对称加密在费用上是可比较的。然而, 在计算和通讯大小两方面数字签名是相当昂贵的。开支的程度取决于要求认证的质量。
组员关系间隔尺度的实时认证是容易并且便宜的,但是单个认证在时间和空间上都是昂贵的。将来,通讯和处理的费用被期望减少。这将帮助在单人会议参加者水平作认证成为可能。有两种冲突趋势:( 1 ) 不断增加的CPU速度提供对称加密, 并且 ( 2 ) 不断增加的通讯数据率。如果两种技术按比例增加,则将不会由净盈利,至少盈利大小以位测量,而非以一个时期的秒。
如上面所讨论的,这个组感到端对端控制的正确途径是加密的使用。这个选择是控制一个加入多点传送组作为听者或作为演讲者的用户的权力。然而,假如我们试图使用这些方法保证端对端语义,我们并不对我们能提供的这种水平的保证感到舒适。网络的任何被动的穿入,即,任何电线龙头,都能危及传送的信息的隐私。我们必须承认, 然而,有加密代码和硬件部署的那个问题, 并且特别是出口控制问题, 将创造压力来使用如在第四节所描述的工具实现端到端控制的方式。如此的一个决定将使安全技术方面没有新闻发表。现在被用作加密数据的共享密钥被取代作为认证   多点传送组加入请求的基础。这将要求修正多点传送包格式, 但是没有更多东西的修改。我们关注的不是这个方案的技术难题, 而是我们能为用户提供的保证水平。
6.2  安全的即插即用是必需之物
即插即用是插入一台新设备到网络并且让它获得它与另外的设备通信所需要的信息,却不要求有任何新配置信息的能力。安全的即插即用是因特网的一个重要要求,并且一个中心的建筑主题是它是否能在规模上被做得很好。
对于即插即用操作,一台被“插”进网络的新机器需要:
(1)  获得一个定位器以便它能与另外的设备通信。
(2)  登记或获得一个能被识别的名字 ( 例如,用机器制造名字)
(3)  发现在网络上可得到的服务 ( 例如,打印机, 路由器,文件服务器, 等等。)
(4)  在网络上发现另外的系统因此它能与他们一起通信。
在一些环境中,由于物理安全和本地用户足够的知识足以进行保护,因此不需要安全机制。而在光缆的另一端有许多组用户的一个大网络,由于不同的类型外来连接和不同的管理控制水平,因此,在这样的环境中,类似的即插即用能力是需要的,但是在能施行这些功能以前,新设备必须被“证实”。在发现进程的每一步中新设备必须在了解服务以前证实自己。
这些步骤可能是:
●从一张智能卡,智能的磁盘,或类似的设备获得一个 HLID。
●使用它自己的 HLID 与第一个即插即用服务器一起证实自己, 登记一个名字并且
发现另外的服务地点。
● 发现在网络上基于其 HLID可得到的服务 ( 例如,打印机, 路由器,文件服务器, 等等)。
●在网络上发现另外的系统以便它能与他们通信。
从盒子中取出一个系统并且开始设置它的问题与一个人暂时想要通过一个移动的或便携的机器连接到本地网络以便在那个网络上收到服务的问题类似。本地的网络怎么能证实这个人 (和他的机器 ) 并且知道哪个服务访问机器被允许使用呢?
这个人必须被赋予一个高级的标识符 ( HLID )来充当他或她的护照并且能被本地的网络验证。这个高级的标识符一定是全球性唯一的并且由一些认证权威机构注册或分配。
当此人将机器接入到本地网络中时, 机器以此人的高级别标志符证明自己。如果本地网络有允许任何人即插即用他的网络到其上的一条政策,它将忽略 HLID 并且分配一个地址 ( 定位器 ), 允许访问者不受限制存取和优惠。更有可能,本地的网络将在同意访问者一个地址或任何优惠以前证实 HLID。
在这个点上, HLID 仅仅向本地的网络证实了访问者; 访问者有权利使用的服务或资源主题没被邮寄。开发一个同意认证新用户的低消耗方案是合乎需要的。这将在访问者到一个站点的情况中有帮助,和新用户加入一台设备。
6.3  短术语机密机制
认证通常以使用口令被完成。当没有主动攻击时,计算机系统安全的最大威胁是口令能被共享介质网络中混杂的监视器轻易的“窥探”。大家知道有没有暴露口令监听者便完成认证的安全技术, 例如实现在在著名的Kerberos(克雷布斯)系统中的技术。然而, 像Kerberos 这样的认证系统当前仅仅在组织的边界以内隔离操作。开发并且发布全球的认证基础结构是一个重要的目标,但是它将花费一些年的时间。另一个短期的有效的途径是使用一个挑战反应用户认证计划( 例如,S/Key ) 。
某一个组探测另外的暂时通路来保卫密码:介绍一个基于加密 TCP 连接的,容易使用的机密机制。这将在IP水平上操作加密 IP载重, 包括 TCP 头,也允许自然的通讯内容被保持秘密。它能被实施来提供“严格”的保护 ( 如果另一方面不能解密你的数据流,连接失败 ) 或“松开”的保护 ( 如果解密失败,倒到非私人的 TCP上 )。
放松的保护将允许与更老的主机在无缝 (无用户打扰 ) 方式下互操作。
一次性密钥可以在启动 TCP 连接的 SYN 握手期间被交换。使用一次性密钥避免了对基础结构支持的需要并且不要求连接的两端组织之间相互信任。在 SYN 握手上捆绑交换密钥将避免在连接的两端不知道加密状态是连接充分打开的可能。尽管理论上拦截 SYN 交换并且以主动“中间人”攻击暗中破坏连接仍有可能性,实践上对 TCP 连接如此攻击是相当困难的,除非路由协议被推翻。
密钥能被使用指定密钥交换协议,数据加密算法和被用来解密连接的新选择交换。在相同的 SYN 段中包括多重的选择是可能的, 指定不同的加密模式;远端 然后将需要承认愿意使用的选择。在这种情况中,缺乏确认将暗示在解密数据流时公正。如果放松隐私策略被实施,连接可以在甚至没有确认的条件下继续。策略“严格”或“放松”, 将由用户或缺省设置为机器配置。
一个人必须观察到 TCP 选择仅能携带有限数量的数据。相对于Diffie-Hellmann体系加密分析而有效的保护可能要求很长系数的使用, 例如, 1024 位, 它不能在 TCP选项可利用的 40 个字节携带。一个人因此或者必须定义“扩大的选择”格式或在TCP 和 IP之间以分开的协议实现加密, 也许使用“ IP 安全”版本。如此的一个解决方案的详细的工程必须被一个工作组仔细研究。
像那样的一个TCP 连接加密机制就构画出了不要求应用程序变化, 尽管它确实要求核的变化。它有重要的缺点,包括为 UDP提供秘密的失败,和最大的出口控制限制的可能性。
如果 Diffie-Hellman 被使用,将有专利发布。
7.结论
作为适用的问题,安全应该加到Internet中。例如,作为任何进步的前提,电路应该根据应用代码而变化。DNS.路由器和防火墙在短期内很难于配置。专题研究组研究电路对于IP层来说是局部的,我们猜测其原因之一是它们在实践中易于配置。
有两个竞争性的观测,它们可以解释Internet安全。其一就像所说的“the best is the enemy of the good”,另外就是由观察所得的攻击越来越强。
最后,应该注意到特权的原理,如上所提及的,可能和最小代价的原理相反。
7.1建议性的短期作用
短期内Internet安全策略的通用标准是IETF作出短期行为列表然后和其它机构来实施它。其它的机构可以是地方性的,以便于向顾客、厂商、其它的提供商以及社会团体提供现场安全咨询服务。
我们应在共用的方向上给US政府以输入,来影响他们的安全形势。
短期初步行为的列表如下:
* 执行外部诊断的安全探测
建议组织用CRACK和其它的工具检查他们口令的稳定性。从外部运行一些安全探查也是很有用的。既然这是一个很敏感的问题,某些维护需要给予这些探测适当的支持。
可用的探测工具包括:
ISS :  Klaus(GA)
SATAN:  Farmer Venema
ICEPICK:  NRL
* 确定安全冒险发行渠道
应该用什么渠道来散布安全冒险信息呢?
* 建议用以前的口令
可用的包有:S/Key ,SecurID ,Enigma,Digital Pathways。
* 研究和发布指南给协议开发者,以达到安全友好性和防火墙友好性的目的。
* 控制集成电路以隔绝威胁
* 设置保密策略
1. 永久性的
2. 尽可能的
* 携带最新的现场安全手册
* 支持用Kerberos
“限副器芯片”的论题出现了几次,但没有充分的探讨这个话题以达成标准。据观察有许多不同的关于限副器的观点。
* 一些人接受了政府的限副器建议,包括密钥由US政府保存和用硬件加密的要求。
* 一些人不反对密钥保存原则,但反对硬件加密的要求。
* 还有一些人接受密钥保存原则,但不想政府持有密钥。他们想让拥有数据的机构持有密钥。
* 有的人不接受密钥由第三方保存。
* 有些人不介意硬件加密或者密钥由第三方保存。但他们认为这在其它国家不会被接受,所以不会在国际间广泛的运作。
这篇报告不支持任一种观点。
7.2 建议性的中期作用
这些操作需要一些协议设计和修改;他们运用已存在的安全科技,而不需要调查。
* 认证协议
* 这是一个技术的选择问题。公钥技术通常被认为是很好的,但它是专利性的,并导致相对长的计算。对称密钥技术(Needham-Schroeder 算法,用于Kerberos中)虽然不是专利的,但有一定的技术缺陷。基于对称密钥,并仅用于认证的系统将自由输出而不受到专利的限制。
* 推进Kerberos
工程需要Kerberos,以允许它自身和用公钥加密的机构合作。
* 推进PEN/RIPEM/PGP...
* 开发认证的DNS
* 开发密钥管理机构
* 建立证书服务体系
可能的服务机构包括DNS,Finger,SNMP,Email,Web和FTP
* Web的工程认证
7.3 建议性的长期操作
在这个类别中,我们的情形是:威胁以得到了鉴别,解决方案是可想象的,但原理上还没有结束。
* 可执行Apps
* 路由器破坏对应措施
* 保护Byzantine 路由选择
* 代理计算
* 计算机分解
* 有好的“病毒”吗?
附录A -专题讨论会机构
以下的出席者列表也指出了他们被分配的中断组。
中断组
组I.1领导:
1 Christian Huitema, INRIA        (IAB)

   1 Steve Bellovin, AT&T
   1 Bob Braden, ISI                 (IAB)
   1 John Curran, NEARNET
   1 Phill Gross, ANS                (IETF/IAB)
   1 Stev Knowles, FTP Software      (Internet AD)
   1 Barry Leiner, USRA              (IAB)
   1 Paul Mockapetris, ISI
   1 Yakov Rekhter, IBM              (IAB)
   1 Dave Sincoskie, Bellcore        (IAB)
组I.2领导:
2 Steve Crocker, TIS              (Security AD)
2 Jon Crowcroft
   2 Steve Deering, PARC
   2 Paul Francis, NTT
   2 Van Jacobson, LBL
   2 Phil Karn, Qualcomm
   2 Allison Mankin, NRL             (Transport AD, IPng AD)
   2 Radia Perlman, Novell
   2 John Romkey, ELF                (IAB)
   2 Mike StJohns, ARPA              (IAB)
组I.3领导:
3 Dave Clark, MIT
3 Deborah Estrin, USC
   3 Elise Gerich, Merit             (IAB)
   3 Steve Kent, BBN                 (IAB)
   3 Tony Lauck, DEC                 (IAB)
   3 Tony Li, CISCO
   3 Bob Hinden, Sun                 (IESG->IAB liaison, Routing AD)
   3 Jun Murai, WIDE                 (IAB)
   3 Scott Shenker, PARC
   3 Abel Weinrib, Bellcore
由于一个ISOC理事会议的董事长冲突的原因,以下仅能在第三天参加:
     Scott Bradner, Harvard           (IPng AD)
     Jon Postel, ISI                  (IAB)
专题讨论会议程如下:
2月8号,星期二
9:00-10:30  全体参加
讨论设施,汇合目标、议程和机构。建立一些小型的共识。给中断1组分配方案。
10:30-13:00 中断1组会议
每一个中断组审查一个或者多个方案,指定设计问题列表。中餐在11楼。
13:00-15:00  全体与会
报告。讨论。比较并缩短设计发布。组织中断11组进行发布工作。
15:00-17:30  中断11a组会议
进行设计发布
2月9号
9:00-10:00  全体与会
报告。讨论。
10:00-13:30   中断11b组会议
进一步进行设计问题。开发需求列表。
13:30-14:30   全体与会
报告。讨论。
15:30-17:30    中断111组
2月10号
9:00-9:30   全体与会
9:30-11:00   中断组(wrapup)
11:00-12:00   全体与会
 讨论可能的短期安全标准
13:00-14:00 全体与会-讨论短期安全发布
14:00-14:30  全体与会-由Steve Bellovin演示
14:30-16:00  全体与会-长期和中期的标准
以下方案作为讨论的出发点。它从security-M区别security-S (安全作为对终端系统的服务)。安全作为一个机构来支持其它的服务。讨论专题主要涉及不同的*services*之间的交互。
* Security-S
* 路由选择
* 多目的地交付(mcast-S)
* 实时包行程安排(实时的)
* 灵活性
* 统计(可能是大规模的)
这些种类适用于以下方案:
* 在与Internet相连接的可移动主机之间支持秘密远程电信会议。[Security-S, mcast-S, 时, 移动性]
* 组S1是1/3的Internet,也就是说有非常关键的定标问题。[Security-S, mcast-S, 实时, 移动性,大规模]
* 资费通讯以支持电视远程电信会议。【统计,实时,mcast-S】
* 我带着便携式电脑旅行。我调到调频IP-RADIO,并拿起信标开始使用它。谁来付帐?为什么他们认为是我呢?“我”是一个硬件或者证书使用者吗?【移动性,统计(实时,mcast-S)】
* 一个政治上的重要人物将mcast Internet 演示,而不会有被观众打断的危险。
* 旅游业想通过Internet将票提起安全的送到客户处,但用户只有拨号能力。【Security-S,灵活性】
* 我带着便携式电脑旅行,这个友好的主机运行自动配置协议。我立刻得到了一个地址“mac1.friendly.host.com”。(便携式电脑和友好的自动配置本地站的区别在那里呢?)【Security-S,灵活性】
* 多人连接到一个提供可移动性的子网(如:单元式,包无线电发送)。子网连接到固定中枢的多个地方。怎样高效的运行呢?【运行,可移动性】
以下所建议的方案不适应于论题的主要延伸,通常是因为他们是单论点论题。他们中的多数是安全论题,与安全周界相关联。最后的两个不适用我们的分类体系。
* XYZ公司在世界的两极有两个主要的部门,他们想通过Internet安全的通讯。每一个部门都和另一部门有IP-level的连通性(而不是通过应用通道)。
* 我用我的便携式电脑访问XYZ公司。我想把它接入到LAN来通过Internet远程阅读我的电子邮件。即使我在他们公司的防火墙之内,他们还在保护他们的机器以免受到我的破坏。
* XYZ公司试图用Internet来支持私网和公网。它想在它的所有资源之间提供完全的内部连接,对某些资源不提供公共访问(象匿名的ftp服务器)。
* 旅游业想通过Internet提前安全的送票给他们的客户。
* 一些黑克故意的暗中破坏运行协议,包括可移动性的和多点传送例程。设计反措施。
* 部分Internet运行Ipv4,部分运行Ipng(也就是说,Internet在转变中)。我们怎样才能保证在这个转变中是连续的安全操作呢?
* 公司用ATM连接它的许多站点。它也用Internet。它想把ATM做成它主要的载体。也想在适当的时候用其它的网络技术(如:可移动性无线电通信)。它想支持所有的媒体(数据,声音,视频)。
安全考虑:
下备忘录完全与安全发行有关。
作者地址:
   Bob Braden [Editor]
   USC Information Sciences Institute
   4676 Admiralty Way
   Marina del Rey, CA 90292-6695

   Phone: (310) 822-1511
   EMail: Braden@ISI.EDU

   David Clark
   MIT Laboratory for Computer Science
   545 Technology Square
   Cambridge, MA 02139-1986

   Phone: 617-253-6003
   EMail: ddc@lcs.mit.edu

   Steve Crocker
   Trusted Information Systems, Inc.
   3060 Washington Road (Rte 97)
   Glenwood, MD 21738

   Phone: (301) 854-6889
   EMail: crocker@tis.com

   Christian Huitema
   INRIA, Sophia-Antipolis
   2004 Route des Lucioles
   BP 109
   F-06561 Valbonne Cedex
   France

   Phone:  +33 93 65 77 15
   EMail: Christian.Huitema@MIRSA.INRIA.FR





RFC1636  Security in the Internet Architecture          因特网体系结构的安全

第 1 页