IPsec隧道两端之间对DS字段的修改不会达到盗用与拒绝服务攻击的目的 。本文对这一条
件没有变动 。假如内部IP由于隧道出口节点在域内而未被DS边界节点处理的话,隧道的
出口节点就成为对于业务流出隧道的边界节点,因此必须确保得到的业务流有正确的DS码
值 。
当在IPsec隧道出口的解封装过程中包含足够强度的对已封装的包的密码完整性的校验
(此处的强度是由本地安全策略决定的)时,隧道的出口节点可以安全的假设内部包头的
DS字段在与其到达隧道入口节点的值是相同 。所以我们可以得到结论:DS域中的非安全链
路的安全性可以通过足够强度的IPsec隧道来保证 。这一结论及其含义适用于任何进行完整
性校验的隧道协议技术,但内部包头DS字段的安全程度还有赖于隧道协议所进行的校验的
强度 。在使用缺乏足够信任度的、可能经过当前DS域外的节点(或是易受攻击)的隧道的
情况下,封装了的包必须被当作是从DS域外来到了域边界来处理 。
8. 致谢
作者在此感谢差分服务工作组,谢谢你们有助于定型本文的的讨论 。
9. 参考资料
[AH]Kent,S.andR.Atkinson,"IPAuthenticationHeader",
RFC2402,November1998.
[ARCH]Blake,S.,Black,D.,Carlson,M.,Davies,E.,Wang,Z.
andW.Weiss,"AnArchitectureforDifferentiated
Services",RFC2475,December1998.
[CBQ]S.FloydandV.Jacobson,"Link-sharingandResource
ManagementModelsforPacketNetworks",IEEE/ACM
TransactionsonNetworking,Vol.3no.4,pp.365-386,
August1995.
[CONS]Narten,T.andH.Alvestrand,"GuidelinesforWritingan
IANAConsiderationsSectioninRFCs",RFC2434,October
1998.
[DRR]M.ShreedharandG.Varghese,"EfficientFairQueueing
usingDeficitRoundRobin",Proc.ACMSIGCOMM95,1995.
[ESP]Kent,S.andR.Atkinson,"IPEncapsulatingSecurity
Payload(ESP)",RFC2406,November1998.
[HPFQA]J.BennettandHuiZhang,"HierarchicalPacketFair
QueueingAlgorithms",Proc.ACMSIGCOMM96,August1996.
[IPv6]Deering,S.andR.Hinden,"InternetProtocol,Version6
(IPv6)Specification",RFC2460,December1998.
[RFC791]Postel,J.,Editor,"InternetProtocol",STD5,RFC791,
September1981.
[RFC1122]Braden,R.,"RequirementsforInternethosts-
communicationlayers",STD3,RFC1122,October1989.
[RFC1812]Baker,F.,Editor,"RequirementsforIPVersion4
Routers",RFC1812,June1995.
[RFC2119]Bradner,S.,"KeyWordsforuseinRFCstoIndicate
RequirementLevels",BCP14,RFC2119,March1997.
[RPS]D.StiliadisandA.Varma,"Rate-ProportionalServers:A
DesignMethodologyforFairQueueingAlgorithms",IEEE/
ACMTrans.onNetworking,April1998.
10. 作者地址
KathleenNichols
CiscoSystems
170WestTasmanDrive
SanJose,CA95134-1706
Phone: 1-408-525-4857
EMail:kmn@cisco.com
StevenBlake
TorrentNetworkingTechnologies
3000AerialCenter,Suite140
Morrisville,NC27560
Phone: 1-919-468-8466x232
EMail:slblake@torrentnet.com
FredBaker
CiscoSystems
519LadoDrive
SantaBarbara,CA93111
Phone: 1-408-526-4257
EMail:fred@cisco.com
DavidL.Black
EMCCorporation
35ParkwoodDrive
Hopkinton,MA01748
Phone: 1-508-435-1000x76140
EMail:black_david@emc.com
11. 版权陈述
版权?theInternetSociety(1998) 。版权所有 。
本文和它的翻译可能被复制和提供给别人,并且引出一些评论或者解释它或援助它执行
可能被预备,拷贝,出版和分配,不管是整体的还是局部的,没有任何限制,提供这上面的
版权告示和包含所有拷贝和起源工作的章节 。但是,这个文章它自己本身不能以任何方式修
改,例如通过移走版权告示或因特网团体或别的因特网组织的参考书目,除了发展因特网标
推荐阅读
- U58与他的兄弟姐妹们
- 皮革和真皮的区别 如何鉴别真皮与皮革
- ISO8473基础上的端系统与中介系统间的路由信息的交换
- 历览前贤国与家写的哪个朝代
- 如何认识专业学习与就业的关系
- 氢氧化钾与稀盐酸反应方程式氢氧化钾与稀盐酸反应方程式是什么
- 鸽子肉不能和什么一起吃 鸽子肉与什么食物相克
- SE M600i与Nokia E50比较之一:外在篇
- SE M600i与Nokia E50比较之二:操作系统篇
- 什么是债务人与债权人