跳到主要内容

11. 安全考虑事项 (Security Considerations)

主动度量和测量长期以来都有安全考虑事项. 适用于实时路径任何主动测量的安全考虑事项也适用于此处. 见 [RFC4656] 和 [RFC5357].

在考虑将测量作为服务激活的用户或其流量被测量的用户隐私时, 使用本工作范围内的主动技术会大幅减少潜在观察者可获得的敏感信息. 为测量目的被动观察用户流量会引发许多隐私问题. 见 LMAP Framework [RFC7594] 中描述的隐私考虑事项, 该框架覆盖主动和被动技术.

以下是本文档所述容量测量的一些新增考虑事项.

  1. 要求协作的客户端和服务器主机, 以及关于测试这些主机之间路径的约定. 主机以服务器或客户端角色执行. 确保协作约定的一种方式是在可选 Authorization 模式中使用 authDigest 字段, 以及与共享密钥相关联的已知身份, 该共享密钥通过 KDF 创建 authDigest 字段. 其他方式也是可能的, 如服务器上的访问控制列表.

  2. 要求在协作主机之间进行由用户客户端发起的 setup handshake, 使防火墙能够控制到控制端口或按需创建的临时端口的入站非请求 UDP 流量. 保护各主机的防火墙可以继续正常工作.

  3. 推荐对传递测量值的反馈消息进行客户端-服务器认证和完整性保护. 为适应不同主机限制和测试环境, 可使用不同操作模式, 如第 5 节所述.

  4. 主机必须限制同时测试数量, 以避免资源耗尽和结果不准确.

  5. 发送方必须受到速率限制. 这可以使用预构建表实现, 该表定义将支持的所有提供发送速率. 默认和可选的负载速率调整算法会从表中最低速率开始 "ramp up". 可选地, 服务器可以使用客户端 Setup Request 中的 maxBandwidth 字段 (以及 CHSR_USDIR_BIT bit) 来限制其尝试达到的最大值.

  6. 执行大量容量测试的数据量受限服务订阅者可能会经历 Service Provider 对其服务施加的控制效果. 使用 Service Provider 测量主机进行测试时, 应限制测试频率和/或测试流量总体量 (例如, 应限制测试间隔持续时间值的范围).

一个已识别的特定攻击是针对 testAction 字段的 on-path attack, 攻击者会设置或清除 STOP 指示. 在连续数据包中设置该指示会提前终止测试, 这不会威胁互联网, 但会干扰测试者. 如果攻击者清除 STOP 指示, 缓解措施依赖客户端和服务器了解测试持续时间, 这些主机会在指定测试持续时间完成时停止所有流量.

认证方法和要求会持续演进. 替代认证模式通过定义新模式提供算法敏捷性, 其支持通过分配合适的 "Test Setup PDU Authentication Mode" 注册表值来指示 (见第 12.3.4 节).