home *** CD-ROM | disk | FTP | other *** search
/ Internet Info 1997 December / Internet_Info_CD-ROM_Walnut_Creek_December_1997.iso / isoc / pub / isoc_news / 1-4 / n-1-4-040.33.1a < prev    next >
Text File  |  1994-03-26  |  4KB  |  81 lines
  1. Subject: 040.33
  2. Towards an Internet Security Architecture: Part II
  3. Stephen Kent, Chief Scientist, BBN Communications
  4. <kent@bbn.com>
  5.  
  6.  
  7. This is the second installment in a multi-part series
  8. addressing architectural security issues in the Internet.  As
  9. noted in the first installment, policy statements about user,
  10. vendor, system administrator, and network provider
  11. responsibilities have been published (RFC 1281), as have more
  12. detailed statements about good security procedures (RFC 1244).
  13. However, these very high level and very low level approaches to
  14. security should be complemented by an architectural view of
  15. security for the Internet. This installment begins to
  16. explore security services and the mechanisms used
  17. to provide these services, using the terminology introduced in ISO
  18. 7498-2, the OSI security architecture.
  19.  
  20. The security service which often comes to mind first is that
  21. of confidentiality.  Data afforded confidentiality is only
  22. disclosed to authorized individuals, processes, networks, or
  23. computers.  ISO 7498-2 characterizes this service as being
  24. either connection-oriented, connectionless, selective field,
  25. or traffic flow confidentiality.
  26.  
  27. From a practical standpoint,
  28. connection-oriented and connectionless confidentiality are the
  29. same service, distinguished only by the communication context in
  30. which the service is offered.  However, the security mechanism
  31. implementations used to for confidentiality may differ for the
  32. connection-oriented vs. connectionless service variants.  In both
  33. cases, and in most instances where confidentiality is required,
  34. cryptographic techniques are the primary security mechanisms
  35. employed.
  36.  
  37. Selective field confidentiality is a distinct service,
  38. applicable in the context of application protocols.  It permits an
  39. application to protect from disclosure selected portions of a
  40. packet or message.  An example of this form of service is often
  41. exhibited by automated teller machines (the other ATMs).  A
  42. transaction message sent from an ATM to a bank computer may
  43. contain the ID of the ATM, the customer's account number, a
  44. transaction serial number, a code to identify the type of
  45. transaction (deposit, withdrawal, transfer, etc.), and parameters
  46. specific to the transaction (e.g., amount of deposit, withdrawal,
  47. or transfer). All of this data is often transmitted without
  48. benefit of confidentiality, but the customer's personal
  49. identification number (PIN) is afforded confidentiality.
  50.  
  51. Traffic flow confidentiality is a service which conceals
  52. "external" characteristics of communication, such as the identity
  53. of the source and destination of the data, the size of
  54. packets, and the frequency with which packet are transmitted.
  55. These external features of traffic can reveal quite a bit about
  56. the nature of the communication.  For example, observing that
  57. two competitive companies are exchanging messages might indicate
  58. that the companies are engaging in some joint project or that a
  59. merger is being explored.  Very high quality traffic flow security
  60. is available for point-to-point circuits, through the use of layer
  61. 1 cryptographic techniques, or for certain types of radio
  62. networks, through the use of spread spectrum technology.
  63.  
  64.         In contrast, concealing traffic patterns in packet network
  65. environments requires a certain degree of trust in intermediate
  66. switches/routers.  This is because of the need for the packet
  67. header information to be visible at switches.  In theory one could
  68. transmit "dummy" packets of randomly varying sizes to a variety of
  69. destinations, to conceal the true traffic characteristics in a
  70. packet network.  However, concerns over traffic congestion
  71. or over the cost of sending lots of packets to other than the intended
  72. destination, make these traffic flow
  73. confidentiality techniques impractical in general.  Instead, if
  74. one requires this form of confidentiality in packet networks, one
  75. tends to use point-to-point traffic flow confidentiality
  76. techniques and to provide physical security for the switches.
  77.  
  78.         Subsequent columns will examine other security services and
  79. briefly discuss the primary security mechanisms used to effect
  80. these services.
  81.