中定义的实验与本地使用(EXP/LU)预留,剩下的有16个池三的值开始四是用作实验与本
地使用,但可能会在标准指定的池一耗尽后补充使用 。这三个池的定义如下表(‘x’指‘0’
或‘1’):
池码值空间分配策略
------------------------------------
1xxxxx0标准操作
2xxxx11EXP/LU
3xxxx01EXP/LU(*)
(*)可能将来需要使用作标准操作
本文指定的八个建议码值(‘xxx000’),是从上面所说的池一中取的 。这些码值必须被
映射,不是映射到特定的PHB,而是按先前4.2.2.2中所要求的最低要求来提供与[RFC791]
中定义的IP优先级(当今的一些设备所用)的最小限度的向后兼容性 。
7. 安全性考虑
本节讨论由差分服务的引入所带来的安全性问题,主要问题在于拒绝访问攻击与未授权
的业务流的窃取服务的潜在可能性(7.1) 。7.2节着重讲在IPsec的情况下差分服务的操作,
还有它与IPsec隧道模式和其他隧道模式协议的交互 。有关差分服务整个结构的安全性问题
的广泛讨论请参阅[ARCH] 。
7.1盗用与拒绝差分服务
差分服务的最初目标在于在相同的网络基础结构下,为业务流提供不同级别的服务 。许
多技术都可以用来达到这一目标,即最终一些包将受到与其它包不同的(比如说更好的)服
务 。将网络中的流映射于特定的转发行为将最终得到不同(好或坏)的服务,而这个服务从
根本上说是由DS码值所决定的 。因此我们的对手可以通过改变码值,使码值代表增强服务,
或直接将有这种码值的包注入网络来得到更好的服务 。作为这个问题的极端,当修改过的或
注入的流耗尽了用来转发它与其它业务流的资源时,这种盗用服务就成了拒绝服务攻击 。对
于这种盗用与拒绝服务攻击的防范措施在于DS域边界的业务流整形与DS域网络基础构造
的安全性与整体性的结合 。DS与边界节点必须保证所有进入域中的流所作的标记码值对本
地情况都是恰当的,且必要的话对流重新做标记 。这些DS边界节点是防范基于码值修改的
盗用与拒绝服务攻击的第一道防线,因为这种攻击的成功表示攻击流所用的码值是不正确的
码值 。需要指出的是边缘节点可以是DS域中任一流的源节点 。DS域内的节点依靠DS码
字来确定流转发的PHB,不用再使用码值之前检查它 。所以,内部节点可依靠DS域边界节
点的正确操作来防止得到不正确码值流或超出预备级别的服务而中断域的正常工作 。
7.2与IPsec和隧道技术的交互
在[ESP,AH]中定义的IPsec协议没有对IP包头的DS字段进行加密计算(在隧道模式中,
在外部的IP包头的DS字段未加密) 。网络节点对DS字段的改变对于IPsec的端到端安全
性并没有任何影响,因为它不能使任何IPsec的校验失败 。作为结论,IPsec并不提供任何
用来防范我们对手改变DS字段(换句话说,是中间人攻击)的方法,正如同我们对手对
DS字段的改变对IPsec的端到端安全性没作用一样 。
IPsec的隧道模式对封装了的IP头中的DS字段提供安全保证 。在隧道模式下的IPsec
包有两个包头:外部包头由隧道入口节点提供,而封装了的内部包头由包的源提供 。但差封
服务网络(全部或部分)建立了IPsec隧道后,中间网络节点只能在外部包头的DS地段操
作了 。在隧道的出口节点,IPsec的操作包括去掉外部包头与按包的内部包头转发(假如要
求这样的话) 。IPsec协议要求内部包头的DS字段在解封装的过程中不改变,以次来保证在
推荐阅读
- U58与他的兄弟姐妹们
- 皮革和真皮的区别 如何鉴别真皮与皮革
- ISO8473基础上的端系统与中介系统间的路由信息的交换
- 历览前贤国与家写的哪个朝代
- 如何认识专业学习与就业的关系
- 氢氧化钾与稀盐酸反应方程式氢氧化钾与稀盐酸反应方程式是什么
- 鸽子肉不能和什么一起吃 鸽子肉与什么食物相克
- SE M600i与Nokia E50比较之一:外在篇
- SE M600i与Nokia E50比较之二:操作系统篇
- 什么是债务人与债权人