一、引述
1、标准的由来
我们知道,IEEE 802标准委员会(LMSC)采用不同的技术开发出了不同媒体控制访问方法的局域网(LAN)和城域网(MAN)标准,在这些标准中,重点是对不同访问方法(如CSMA/CD、令牌总线、令牌环、统一访问法等等)的媒体访问控制子层(MAC)和物理层(PHY)进行了详细的技术要求规范,而对各种LAN/MAN的网络安全要求却用墨较少。这对IEEE 802规范的LAN和MAN的推广使用带来了极大的安全隐患。
为此,随着网络安全越来越受到重视,IEEE 802标准委员会(LMSC)在1988年专门设立了IEEE 802.10工作组,主要任务是为IEEE 802局域网/城域网的安全机制制定标准,为安全服务定义模型。IEEE 802.10工作组所制定的标准称为IEEE 802.10标准,或称为IEEE 802安全标准。
欲具体了解IEEE 802标准委员会(LMSC)下设工作组情况介绍的请进入。
2、IEEE 802.10标准情况
经过IEEE 802.10工作组的辛勤的持续研究,在1992年发布了IEEE 802.10-1992《Local and Metropolitan Area Networks: Interoperable LAN/MAN Security (SILS) Currently Contains Secure Data Exchange (SDE) (Clause 2)》(局域网和城域网:可互操作的局域网/城域网安全(SILS)目前包含安全数据交换(SDE)(第2条))标准。注意:这里的“第2条”是指IEEE 802.10标准中的第2条,或称第2章。该标准的内容主要是由4章和12个附录所组成,其重点内容是第2章“SDE”。该标准制定了了可用于保护 IEEE 802 局域网(LAN)和城域网(MAN)的安全协议:安全数据交换(SDE)协议。IEEE 802.10-1992发布后,又陆续发布有IEEE 802.10b、.10e、.10f、.10g、.10h等标准族,是对IEEE 802.10-1992标准进行的修订及补充。
为了标准使用上的方便,在1998年又发布了IEEE 802.10-1998《IEEE Standard for Interoperable LAN/MAN Security (SILS)》(互操作的局域网/城域网安全标准(SILS)),代替了IEEE 802.10-1992,并整合了上述的后续标准族。此后,又陆续发布了IEEE 802.10a-1999和802.10c-1998,对IEEE 802.10-1998标准进行了修订及补充。下表1-2汇总了IEEE 802.10标准及标准族情况,包括各标准(族)的概要介绍和发布时间等。
表 1-2:IEEE 802.10标准及标准族情况
需要指出的是:由于IEEE 802标准委员会(LMSC)已将IEEE 802.10工作组给解散了,从1999年后就没有新的标准(族)被发布或修订了,且上述表 1-2中的IEEE 802.10标准(族)都处于撤回状态。
二、IEEE 802.10安全标准简介
1、概述
IEEE 802.10标准在数据链路层(层2)中定义了一个安全数据交换(SDE,Secure Data Exchange)子层,通过在该子层中使用密码机制来提供跨媒体访问控制(MAC)层的安全服务。它意图通过在IEEE 802系列协议栈中增加SDE子层,在数据链路层解决加密和完整性问题。这样的话,只要配置不同的物理层收发驱动器,就可以支持采用不同传输媒体的标准,包括以太网标准IEEE 802.3、令牌环标准IEEE 802.4和无线局域网标准IEEE 802.11等。SDE作为逻辑链路控制(LLC)子层的一个实体,在MAC子层上提供一种无连接服务,利用密码机制在LLC子层边界上提供跨越MAC子层的透明安全服务。SDE与LLC子层以上的上层用户协议栈无关,SDE接口等价于未保护的MAC接口,因此用户上层协议栈不需要做任何修改。而SDE密钥管理和系统管理协议栈需要LLC协议支持。
IEEE 802.10标准详细描述了SDE协议和相应的密钥管理协议。SDE协议定义了SDE子层及其提供的安全数据交换服务。安全数据交换服务根据安全关联(SA)的属性值来处理上下层送过来的数据,以保证安全性。密钥管理协议负责SA的创建、删除和复制。
2、SDE与IEEE 802参考模型的关系
SDE是国际标准化组织(ISO)定义的开放系统互联/基本参考模型(OSI/RM)的层2(数据链路层(DLL))的一个实体。SDE实体与IEEE 802参考模型的关系如下图2-2所示。该实体提供允许在第二层安全交换数据的服务。作为层2中逻辑链路控制(LLC)子层的一部分,SDE实体在IEEE 802局域网和城域网中提供直接在媒体访问控制(MAC)子层之上的无连接服务,它使用在LLC实体边界透明地提供的加密机制和安全服务,提供跨MAC子层的安全性。
图2-2:SDE实体与IEEE 802参考模型的关系
欲具体了解OSI/RM介绍的请进入。
3、SDE的安全服务
SDE安全服务的内容包括:数据的机密性;无连接的完整性;数据源认证;访问控制,其释义见于下表2-3-1中;其安全服务之间的依赖关系详见下表2-3-2。这些安全服务防范的威胁包括:未经授权的披露;伪装;未经授权的修改数据;未经授权的资源使用。
表 2-3-1:SDE安全服务的释义
表 2-3-2:SDE安全服务的相互依赖关系
4、SDE所谓规范要求
在IEEE 802.10标准中描述了SDE的安全服务的详细规范,包括SDE协议数据单元(SDE PDU)结构、SDE服务过程、SDE子层管理及密匙管理等。若要详细了解其具体内容的请查阅IEEE 802.10-1998及IEEE 802.10c-1998g等标准原文。其中:
安全关联(SA)。安全关联(SA,Secure Association)是该标准中的一个重要概念。安全关联是通信实体之间通过共享安全管理信息而形成的一种合作关系。这个共享信息协调SDE PDU的发送和接收处理。在实践中,有许多已定义的安全关联,但只有一个适用于特定SDE PDU的处理。安全关联标识符(SAID,Security Association Identifier)将一个已定义的安全关联与特定的SDE PDU相关联。标准中定义了安全管理信息的内容,并描述了在查找适用的安全关联时使用SAID的方法。
安全管理信息库(SMIB)。SDE提供的第二层安全服务依赖于来自非第二层密钥管理或系统管理实体的信息。管理实体通过安全管理信息库(SMIB)与SDE实体进行信息通信。SMIB的实施是一个本地问题;无论如何,该标准规定了管理信息结构(由ISO/IEC 10165-2: 1992所规范)中定义的信息结构。标准描述了SMIB、安全管理体系结构以及基于SMIB中包含的安全管理信息处理SDE PDU的过程。
欲更多了解管理信息库结构介绍的请进入。
SDE子层管理。SDE子层管理主要负责控制SDE PDU的处理,为每一个SDE PDU选择SA(存放在本地的安全管理信息SMIB中),并根据SA的参数来控制SDE PDU的打包于拆包过程,SDE层管理的脚色可以用下图2-4来表示。SDE子层管理指定允许远程操作、管理和维护(OAM)SDE操作的管理对象。记录完全指定的管理对象和部分指定的管理对象及其包含的管理信息。
图 2-4:SDE子层管理
密匙管理。密钥管理的目的是建立安全协议所需的密钥材料和关联属性。该部分的内容是由IEEE标准802.10c-1998单独规范的。802.10c中定义三种密匙管理协议:手动密匙发放;基于中心的密匙发放;基于证书的密匙发放。注意,密匙管理协议在SDE子层的上层实现。密匙管理在实现802.10标准中起关键作用,因为SDE协议需要由上层的密匙管理协议来协商SA,确定一些必要的信息。
欲更多了解一种以IEEE 802.10标准设计的安全局域网介绍的请进入。
三、我国局域网的安全服务说明
首先,在我国,采用CSMA/CD技术作为媒体控制访问方法的局域网(LAN,基于IEEE 802.3标准)得到了大量的普及应用。然而,该媒体控制访问方法的局域网,其安全服务要求并没有采用IEEE 802.10标准(SILS),即安全数据交换(SDE)协议。根据我国国家标准GB/T 15629.3-2014,我国基于CSMA/CD技术的局域网,采用了一种基于 TePA 的局域网媒体访问控制安全机制 TLSec(TePA-based LAN MAC Security),它包括基于 TePA 的局域网鉴别协议 TLA(TePA-based LAN Authentication Protocol)和基于 TLA 的局域网保密通信协议 TLP(TLA-based LAN Privacy Protocol)。该安全机制是我国自主开发的,能为用户的LAN系统提供更加全面的安全保护。
欲详细了解GB/T 15629.3-2014标准 关于TePA 安全机制的请进入。
还有,在我国,对于采用CSMA/CD技术的无线局域网(WLAN,基于IEEE 802.11标准)的安全服务要求,也没有采用IEEE 802.10标准,也没有采用IEEE 802.11i标准。根据我国国家标准GB/T 15629.11-2003,我国的无线局域网(WLAN),采用了一种称为无线局域网认证和保密结构(WAPI,WLAN Authentication and Privacy Infrastructure)的安全机制。它是由无线局域网认证基础结构(WAI,WLAN Authentication Infrastructure)和无线局域网保密基础结构(WPI,WLAN Privacy Infrastructure)两部分组成,WAI和WPI分别实现对用户身份的鉴别和对传输的数据加密。WAPI安全机制也是由我国自主开发的,能为用户的WLAN系统提供全面的安全保护。
欲详细了解GB/T 15629.11-2003标准 关于WAPI 安全机制的请进入。
欲进一步了解信息网络端到端安全服务体系框架模型的请进入。
