【正文】 夠強壯的密碼完整性檢查（這里的“足夠”取決于局部安全策略），那么隧道出口節(jié)點就可以安全的假設內層包頭的DS段值與在隧道入口時相同。這就允許與隧道入口節(jié)點位于同一DS域的隧道出口節(jié)點，可以象對待從同一DS域其它節(jié)點來的數據包一樣（即是說，省略DS入口節(jié)點業(yè)務量調節(jié)處理）處理從隧道流出的數據包，并保證安全性。這樣做的一個重要后果就是，局部于DS域的其它不安全鏈路可以使用足夠強壯的IPsec隧道使其安全。此分析和隱含適用于任何進行完整性檢查的隧道協(xié)議，只是對內層包頭DS段的確保水平依賴于隧道協(xié)議進行的完整性檢查力度。在隧道可能穿越當前DS域之外的節(jié)點時，如果缺少對這類隧道足夠的信任，封裝的數據包就必須象對待從域外到達DS入口節(jié)點的數據包同樣處理。當前IPsec協(xié)議不允許在隧道出口節(jié)點處除IPsec封裝時改變內層包頭的DS段。這保證了不能利用修改DS段的方法穿越IPsec隧道終點實施竊取服務或拒絕服務攻擊，因為任何這類修改都會在隧道終點處丟棄。本文檔不對IPsec做任何修改。如果IPsec的未來版本允許在隧道出口節(jié)點處根據外層包頭DS段值修改內層包頭DS段值（例如，復制外層DS段的部分或全部內容到內層DS段），那么就還需對由此而來的安全性問題額外考慮。當一條隧道完全處于一個DS域中，并且這條鏈路絕對安全，外層DS段不會被修改，在修改內層DS段時的唯一限制來自于域服務提供策略。另外，進行這種修改的隧道出口節(jié)點對流出隧道的業(yè)務流來說，應是DS入口節(jié)點，必須實施必要的業(yè)務量調節(jié)功能，包括防止竊取服務和拒絕服務攻擊（）。如果隧道不是在其出口節(jié)點處進入DS域，那么隧道出口節(jié)點就依靠上游的DS入口節(jié)點確保外層DS段值是可接受的。即使在這種情況下，也有某些檢查是必須由隧道出口節(jié)點實施的（例如，加密隧道內層和外層DS段值一致性檢查）。任何檢查出的錯誤都必須留有審查記錄，記錄內容包括數據包到達的日期/時間，源和目的IP地址，和所攜帶的不可接收DS編碼點。從體系結構角度，至少可以有兩種不同的方式看待IPsec隧道。如果隧道被看作邏輯上只有一跳的“虛鏈路”，那么隧道中間節(jié)點轉發(fā)隧道中數據流的行為，對隧道終點來說就應該是不可見的，并且在解除封裝過程中也不應該修改DS段值。相反的，如果隧道被看作是多跳的，那么在隧道解除封裝的過程中修改DS段值，就是可以的了。后一種情況的具體例子如下。隧道終止于DS域內部節(jié)點，而域管理者并不想在此節(jié)點安裝業(yè)務量調節(jié)功能（例如，為了簡化業(yè)務量管理）。一種解決方案是，根據外層IP包頭的DS編碼點（根據此值在DS入口節(jié)點處進行業(yè)務量調節(jié)）設置內層IP包頭DS編碼點。這樣就有效將業(yè)務量調節(jié)功能從IPsec隧道出口節(jié)點轉移到了適當的上游DS入口節(jié)點（DS入口節(jié)點必須已經對未解除封裝的業(yè)務流進行了業(yè)務量調節(jié)）。] 審查并不是所有支持分類業(yè)務的系統(tǒng)都要實現審查功能。然而，如果分類業(yè)務支持融入了一個提供審查功能的系統(tǒng)中，那么分類業(yè)務實現也必須支持審查。如果支持審查功能，那么就必須允許系統(tǒng)管理者整體性的開啟或禁止分類業(yè)務審查功能，并且允許部分的開啟或禁止這類審查。大多數情況下，審查功能的粒度是局部問題。然而，本文檔中定義了一些審查事件，以及每一事件記錄應包括的最小信息集。額外信息（如，引起此審查事件的數據包本身）也可被包括在記錄信息中。并未在本文檔中提到的其他事件，也可以導致一條審查記錄。檢測到審查事件后，并不要求接收者向發(fā)送者傳送任何的消息，因為回傳任何消息都有可能導致包括拒絕服務攻擊在內的危險。7 感謝本文檔得益于早期由Steven Blake, David Clark, Ed Ellesson, Paul Ferguson, Juha Heinanen, Van Jacobson, Kalevi Kilkki, Kathleen Nichols, Walter Weiss, John Wroclawski, 和Lixia Zhang撰寫的初稿。很多人為本文檔提供了有幫助的建議和意見，作者在此向他們表示感謝：Kathleen Nichols, Brian Carpenter, Konstantinos Dovrolis, Shivkumar Kalyana, Wuchang Feng, Marty Borden, Yoram Bernet, Ronald Bonica, James Binder, Borje Ohlman, Alessio Casati, Scott Brim, Curtis Villamizar, Hamid Ould Brahi, Andrew Smith, John Renwick, Werner Almesberger, Alan O39。Neill, James Fu, 和 Bob Braden.8 參考文獻 [] ISO/IEC Final CD 158023 Information technology Telemunications and information exchange between systems Local and metropolitan area networks Common specifications Part 3: Media Access Control (MAC) bridges, (current draft available as IEEE ). [AH] Kent, S. and R. Atkinson, IP Authentication Header, RFC 2402, November 1998. [ATM] ATM Traffic Management Specification Version , ATM Forum, April 1996. [Bernet] Y. Bernet, R. Yavatkar, P. Ford, F. Baker, L. Zhang, , and M. Speer, A Framework for Use of RSVP with Diffserv Networks, Work in Progress. [DSFIELD] Nichols, K., Blake, S., Baker, F. and D. Black, Definition of the Differentiated Services Field (DS Field) in the IPv4 and IPv6 Headers, , December，1998. [EXPLICIT] D. Clark and W. Fang, Explicit Allocation of Best Effort Packet Delivery Service, IEEE/ACM Trans. on Networking, vol. 6, no. 4, August 1998, pp. 362373. [ESP] Kent, S. and R. Atkinson, IP Encapsulating Security Payload (ESP), , November 1998. [FRELAY] ANSI T1S1, DSSI Core Aspects of Frame Rely, March 1990. [] Postel, J., Editor, Internet Protocol, STD 5, , September 1981. [] Almquist, P., Type of Service in the Internet Protocol Suite, , July 1992. [] Braden, R., Clark, D. and S. Shenker, Integrated Services in the Internet Architecture: An Overview, RFC 1633, July 1994. [] Baker, F., Editor, Requirements for IP Version 4 Routers, , June 1995. [RSVP] Braden, B., Zhang, L., Berson S., Herzog, S. and S. Jamin, Resource ReSerVation Protocol (RSVP) Version 1 Functional Specification, , September 1997. [2BIT] K. Nichols, V. Jacobson, and L. Zhang, A Twobit Differentiated Services Architecture for the Internet, , November 1997. [TR] ISO/IEC 88025 Information technology Telemunications and information exchange between systems Local and metropolitan area networks Common specifications Part 5: Token Ring Access Method and Physical Layer Specifications, (also ANSI/IEEE Std 1995), 1995.9 作者聯(lián)系地址 Steven Blake Torrent Networking Technologies 3000 Aerial Center, Suite 140 Morrisville, NC 27560 Phone: +19194688466 x232 EMail: David L. Black EMC Corporation 35 Parkwood Drive Hopkinton, MA 01748 Phone: +15084351000 x76140 EMail: Mark A. Carlson Sun Microsystems, Inc. 2990 Center Green Court South Boulder, CO 80301 Phone: +13034480048 x115 EMail: Elwyn Davies Nortel UK London Road Harlow, Essex CM17 9NA, UK Phone: +441279405498 EMail: Zheng Wang Bell Labs Lucent Technologies 101 Crawfords Corner Road Holmdel, NJ 07733 EMail: Walter Weiss Lucent Technologies 300 Baker Avenue, Suite 100 Concord, MA 017422168EMail: 10 完整版權聲明Copyright 169。 The Internet Society (1998)，版權所有。本文件及其譯文可以復制并對外提供。可以部分或全部編著、復制、出版、分發(fā)與其有關的評議、解釋和有助于實施的派生著作，沒有任何限制，但要求在復制文件和派生著作中包括上述版權警告及本節(jié)版權聲明內容。但是，本文件的內容不允許做任何形式的修改，諸如刪除版權警告或者關于Internet Society或者其他Internet組織的介紹，除非為了開發(fā)Internet標準或翻譯成英語以外的其他語言的需要，即使在這種情況下，也仍然必須遵循Internet標準過程中確定的版權程序。上述許可是永久性的，不會由The Internet Society，它的繼承者或轉讓者予以廢除。本文件及其提供的信息以“現狀”為基礎，The Internet Society與IETF(因特網工程任務小組)否認所有的保證明示或暗示，包含但并不限于任何保證。所含信息的使用將不會侵犯具有特殊目的的商用性或者適用性的任何權利或隱含的保證。24 / 24