总第178期2009年第4期舰船电子工程

ShipElectronicEngineeringVol.29No.4

133　

ATM安全协议分析3薛丽敏(海军指挥学院信息战研究系　南京　211800)摘　要　利用ATM做为下一代因特网传送骨干已成为技术发展之趋势,因此,ATM的安全问题日显突出。文章从ATM的网络安全的目标入手,对ATM安全协议的内容从用户平面安全服务和控制平面安全服务作了分析和研究。关键词　ATM;ATM安全协议;用户平面安全服务;控制平面安全服务中图分类号　TP393.08

AnalysisofATMSecurityProtocolXueLimin(NavyCommandAcademy,Nanjing　211800)Abstract　ItπsthetrendoftechniquedevelopmenttousingATMasnextgenerationInternettransmissionbackbone.So

thesecurityproblemofATMisincreasinglyopenning.Thispaperstartswiththetargetofnetworksecurity.ItanalysisandstudiesATMSecurityProtocolfromuserplanesecurityservicetocontrolplanesecurityservice.Keywords

ATM,ATMsecurityprotocol,userplanesecurityservice,controlplanesecurityservice

ClassNumber

TP393.08

1　引言异步传输模式(AsynchronousTransferMode,ATM)作为一种时下流行的高速网络传输技术,它的发展非常令人瞩目。预计ATM将是一个可以把很多不同的应用(如:声音、影像、数据等)都集中在网络中,并具有不同服务质量(QoS)要求的高速定向连接的连网标准,利用ATM作为下一代因特网传送骨干已成为技术发展之趋势。但由于在现有的因特网上,大都是在上层通信(UpperLayer)协议中考虑数据安全性的问题,例如,SSL、及IPSec等。这是因为因特网技术的发展已有相当时日,很难在既有的架构上,大幅修改以提供安全通讯的服务。理论上,从网络通信层的架构而言,若能在越下层考虑安全问题,则越能得到安全保障。2　ATM网络安全的目标和安全功能ATM网络安全的目的就是保证网络的正常运行和用户及业务提供者的合法权益,综合起来可分为以下四个方面[1]:

・保密性(Confidentiality):保证传输和存储的信息不被非法窃取;

・数据完整性(DataIntegrity):保证传输和存储的信息不被非法修改;

・责任明确(Accountability):对网络业务的引入和任何网络管理行为都应承担相应的责任,为一切产生的后果负责,任何实体(包括个人)也要为其所有的行为负责,又成为不可否认性;

・可用性(Availability):所有合法实体应该能正确地访问ATM设备。

3收稿日期:2008年12月18日,修回日期:2009年1月23日作者简介:薛丽敏,女,副教授,研究方向:信息安全。134　薛丽敏:ATM安全协议分析总第178期 根据上述四项安全性目标,ATM网络安全框架主要考虑了七种安全性威胁,它们包括假冒、窃听、非授权访问、信息丢失和损坏、抵赖、伪造和服务拒绝。ATM安全系统应该提供的主要安全功能如下[2]:・身份验证:确认和验证ATM网络中任何行为主体的身份;・受控的访问与授权:保证只有授权的行为主体才能访问信息或资源;・保护机密:存储和传输的数据应该是保密的;・数据完整性保护:保证存储和传输的数据的完整性;・强化责任:实体应无法推卸其行为及其后果所负的责任;・行为日志:安全系统应该支持对网络单元中与安全有关的行为及相关信息的查询,以便跟踪个人或网络实体的行为;・报警:对于与安全有关的某些事件,系统应能产生报警信息;・审计:当系统安全性出现问题时,系统应能分析与安全相关的记录数据,确定相关的事件;・安全性恢复与管理:当安全系统受到破坏时,系统应具有恢复功能。这些安全功能需求都是针对特定的威胁而提出的,对付不同的威胁需要不同的安全功能,并且,为了对付一种威胁需要多种安全功能。为了实现上述安全功能,ATM网络应该提供一些基本的安全性业务及相应的支持业务,这些安全性业务包括认证(Authentication)、保密性(Con2fidentiality)、完整性(Integrity)、访问控制(AccessControl)、安全性报警(SecurityAlarm)和审计追踪(AuditTrail)等。3　ATM安全协议的内容目前ATM论坛提出的ATM安全性规范所绘出的用户平面上的安全性业务有认证、保密性、完整性和访问控制;控制平面的安全性业务有认证和完整性;支持业务包括安全消息交换和协商(Se2curityMessageExchangeandNegotiation)、密钥交换(KeyExchange)、会话密钥更新(SessionKeyUpdata)和签证机构(CertificationInfrastruc2ture)。就ATM技术的安全问题,目前ATM专题安全工作组正在拟制相关的安全规范,由它定义的ATM安全是仿照ATM协议参考模型拟制的。该协议参考模型被划分为三个平面:用户平面、控制平面和管理平面。管理平面执行管理、协调用户和控制平面双方的相关功能。ATM专题安全规范目前在第一阶段,主要是提供用户平面(数据)安全服务和控制平面(信令)安全服务规范[1]。另外,用于承载相关安全报文的机制和要求有安全基础设施的机制也都正在进行规定。这些机制都要求承担建设ATM网络的组织机构,不仅要满足它的性能目标,而且还要按照当地的网络安全策略的规定,满足它的信息保护要求。3.1　ATM用户平面安全服务用户平面保证供给传输用户的数据,它包含物理层、ATM层和多ATM适配层(AAL)几种类型。用户平面安全服务是要对很多在虚连接上承载的用户信息提供保护。由ATM专题组定义的用户平面安全服务应用于点到点和点到多点连接的虚通道连接(VCC)和虚通路连接(VPC)。对第一阶段的安全规范来说,对用户到用户、用户到网络和网络到网络三种情况安全服务作出了规定。凡是能实现安全的ATM节点都具有“安全代理”的职能,这个安全代理就可以执行在连接建立时和连接的生存期间起作用的安全协议和安全机制。“安全代理”在ATM网络架构中可以有几种组态及应用方式,下面以“安全代理”对应在一条虚拟电路(virtualcircuit)的两端,相互协调以提供安全服务为例作一简要介绍,如图1所示,末端系统经由UNI到ATM网络,“安全代理”存在于一条已建立虚拟信道之末端系统之间。在此图中,安全服务的协调和应用,都经由对等的“安全代理”之间的安全信道(securityassociations)达成。

图1　两端安全代理者依附于ATM虚拟通道中1)安全消息交换和协商

在ATM安全规范中给出了与密码算法无关2009年第4期舰船电子工程135

的安全消息交换协议,用于实体的认证、会话密钥的分配及安全参数的协商,因而是其它安全业务的基础。根据不同的应用场合,可采用三次交换(Three-Way)协议或二次交换(Two-Way)协议。此时,协议的一方用户担负着“起动”的角色,代表其操作的“安全代理”就认为是“起动者”,另一方用户担负着“响应”的角色,代表其操作的就认为是“响应者”。在安全消息交换协议中,当采用非对称性(公开)密钥算法时,可假定每个鉴别实体(即A、B)拥有一个公开密钥/私密密钥对。用于加密时,Ka表示A的非对称密钥的公共部分。用于数字签名时,Ka就表示A的非对称密钥的专用部分;对B实体情况类似。当采用对称(秘密的)密钥算法时,则要假定鉴别的实体A和B共享两个单向秘密密钥Ka和Kb或单一的秘密密钥Ka=Kb。安全协商是通过使用参数在三次交换协议中完成的,它主要是为了支持体系结构中的灵活性,即允许执行者和用户可以选择密码算法和他们所喜欢用的协议。在第一个流程中,起动者提供一个安全服务目录和连接使用的参数(如:算法类型、密钥长度、公开密钥的具体算法参数)。在第二个流程中,响应者要根据服务目录和连接参数予以回答。如果起动者与响应者的相一致,那就是执行了协议,而且双方都采用了服务和响应者回答所包含的参数,否则,此协议和连接请求失败。2)访问控制访问控制根据网络配置参数和安全消息交换协议中的数据,在连接建立时实施。与其它类型的网络相比,ATM网络由于具有QoS保证的特点,因而访问控制尤为重要,没有可靠的访问控制机制就不可能提供完善的QoS保证。ATM安全规范采用的是基于标记的访问控制机制,标记信息是在安全消息交换协议中传送。基于标记的访问控制是根据敏感性等级(SensitivityLevel)来实施控制的。敏感性等级包括一个呈线序关系的级别和一组访问类型,因而敏感性等级构成一偏序关系。在ATM访问控制机制中,每个端口规定了可建立连接的敏感性等级范围,每个连接赋予特定的敏感性等级,根据端口可接受的敏感性等级范围确定是否允许建立连接。3)完整性和数据源的鉴别与上述的安全服务不同,完整性服务(有时又称为“数据源的鉴别”)是针对恶意修改和数插入攻击(它能使欺骗端系统在错误的情况下工作)的,它只要建立起ATM虚电路,就得以激活。完整性服务的工作原理是,通过运用报文鉴别码(MAC),即在传送之前要追加上AAL服务数据单元(SDU),在AALSDU级(不是ATM层)要提供数据完整性功能,这是因为其ATM信元仅有一个固定的规模而且没有任何空间留给MAC,这种MAC用的密钥是在连接建立期间经协商的密钥,能把数据约束在数据源。这样,在连接建立时对自身受鉴别的数据源产生的AALSDU接收者就有了保证。4)保密性

保密性安全服务是针对“窃听”攻击的,能防止数据未经授权而泄密。此项服务采用加密以保证只有拥有正当的密钥接收者才能够对那些更具深层意义的数据解密。ATM安全规范规定数据加密在ATM层实现,即在信元级对信元的净负荷加密,加密算法采用秘密密钥算法(DES、DES40、三重DES和FEAL)实现,工作方式可以是CBC、ECB和计数器方式。从安全性可实现性考虑应该首选计数器方式。计数器方式的加解密运算按流密码方式对信息进行加解密运算。首先用会话密钥对状态向量按所选定的加密算法进行加密,然后利用加密结果对明文信息进行按位异或,加密完一个信元更新一次状态向量。解密运算只要对密文再做一次异或操作即可恢复明文。与其他方式相比,计数器方式具有运算速度高、多个数据块可并行处理等优点。但是,加解密双方的状态向量必须相同,其更新必须同步进行,丢失一个信元将导致双方状态向量更新的不同步,因而必须有相应的同步机制,保证收发双方的同步。5)会话密钥更新