Escolar Documentos
Profissional Documentos
Cultura Documentos
Baker,
Petición de Comentarios: 6272 D. Meyer
Categoría: Informativo Cisco Systems
ISSN: 2070-1721 de junio de 2011
Abstracto
Esta nota se identifican los protocolos de infraestructura clave de protocolos de Internet para
su uso en la red inteligente. El público objetivo son aquellas personas que buscan orientación
sobre cómo construir un perfil de Internet Protocol Suite apropiado para la red inteligente. En la
práctica, tal perfil consistiría en seleccionar lo que se necesita para el despliegue de redes
inteligentes de la imagen que se presenta aquí.
Este documento no es una especificación de normas de Internet; que se publica con fines
informativos.
Información sobre el estado actual de este documento, cualquier errata, y cómo proporcionar
retroalimentación sobre el mismo puede obtenerse en
http://www.rfc-editor.org/info/rfc6272 .
Aviso de copyright
Copyright (C) 2011 IETF Trust y las personas identificadas como los autores del documento.
Todos los derechos reservados.
Tabla de contenido
1 . Introducción . . . . . . . . . . . . . . . . . . . . . . . . . 4
2 . El conjunto de protocolos de Internet. . . . . . . . . . . . . . . . . 6
2.1 . Capas de protocolo de Internet. . . . . . . . . . . . . . . . . 6
2.1.1 . Solicitud . . . . . . . . . . . . . . . . . . . . . 7
2.1.2 . Transporte . . . . . . . . . . . . . . . . . . . . . . 8
2.1.3 . Red . . . . . . . . . . . . . . . . . . . . . . . 8
2.1.3.1 . Protocolo de Internet . . . . . . . . . . . . . . . . 9
2.1.3.2 . Las redes de capa inferior. . . . . . . . . . . . . . . 9
2.1.4 . Capas de medios de comunicación: físico y de enlace. . . . . . . . . . . 9
2.2 . Temas de seguridad . . . . . . . . . . . . . . . . . . . . . 9
2.2.1 . Seguridad de la capa física y de enlace de datos. . . . . . . . 10
2.2.2 . Red, Transporte y Seguridad de capa de aplicación. . 11
2.3 . Infraestructura de red . . . . . . . . . . . . . . . . . . 13
2.3.1 . Sistema de nombres de dominio (DNS). . . . . . . . . . . . . . . 13
2.3.2 . Administración de redes . . . . . . . . . . . . . . . . . . 13
3 . Protocolos específicos. . . . . . . . . . . . . . . . . . . . . . 14
3.1 . Caja de herramientas de seguridad. . . . . . . . . . . . . . . . . . . . . 14
3.1.1. Autenticación, autorización y contabilidad (AAA). 14
3.1.2 . Red de Seguridad de la capa. . . . . . . . . . . . . . . . 15
3.1.3 . Transport Layer Security . . . . . . . . . . . . . . . dieciséis
1 . Introducción
Este documento proporciona diseñadores de redes inteligentes con consejos sobre cómo mejor "perfil" de
protocolos de Internet (IPS) para su uso en redes inteligentes. Proporciona una visión general del IPS y los
protocolos de infraestructura clave que son fundamentales en la integración de dispositivos de red
inteligente en una infraestructura basada en IP.
Una red inteligente es una forma de red eléctrica que utiliza la tecnología digital. Una red inteligente suministra
electricidad de los proveedores a los consumidores que utilizan las comunicaciones digitales de dos vías para
controlar electrodomésticos en los hogares de los consumidores; Esto ahorra energía, reduce los costes y
aumenta la fiabilidad y la transparencia. Esto se superpone con la red eléctrica ordinaria con un sistema de
información y medición neta, que incluye medidores inteligentes. Las redes inteligentes están siendo
promovidos por muchos gobiernos como una forma de hacer frente a la independencia energética, los
problemas del calentamiento y la capacidad de recuperación de emergencia globales.
Una red inteligente se hace posible mediante la aplicación de dispositivos de detección, medición y
control con comunicaciones de dos vías a la producción de electricidad, transmisión, distribución y
piezas de consumo de la red eléctrica que se comunican información sobre la rejilla condición a los
usuarios del sistema, operadores y dispositivos automatizados, por lo que es posible responder
dinámicamente a los cambios en la rejilla condición.
Una red inteligente incluye un sistema de control inteligente que realiza un seguimiento de toda la
electricidad que fluye en el sistema. También tiene la capacidad de integración de la electricidad renovable,
como la solar y eólica. Cuando la energía es menos costosa que el usuario puede permitir que la red
inteligente para encender electrodomésticos seleccionados, tales como lavadoras o procesos de fabricación
que se pueden ejecutar en horas arbitrarias. En las horas punta que podría apagar los aparatos
seleccionados para reducir la demanda.
Otros nombres para una red inteligente (o de propuestas similares) incluyen inteligente red
eléctrica o potencia, redes inteligentes (o IntelliGrid), futureGrid, y la más moderna red
interconectada y intraGrid.
En el momento de escribir estas líneas, no existe un documento único que se puede describir como que
comprende un estándar internacionalmente aceptado para la red inteligente; esto es, en parte, el problema de
ser abordado en su desarrollo. Las aproximaciones más cercanas son probablemente Modelo Conceptual de la
cuadrícula del Grupo de Interoperabilidad inteligente [
Modelo ] Y los documentos
que comprende [ IEC61850 ].
El IPS está estandarizado por la Internet Engineering Task Force (IETF). protocolos IETF están
documentados en la Petición de comentarios (RFC). Varios RFC se han escrito que describe
cómo debe implementarse el IPS. Éstas incluyen:
Este documento tiene por objeto proporcionar Smart Grid arquitectos y diseñadores con un
compendio de RFC relevantes (y en cierta medida, borradores de Internet), y está organizada
como una lista comentada de RFC. Para tal fin, el resto del documento se organiza de la
siguiente manera:
o Seccion 3 esboza un conjunto de protocolos que pueden ser útiles en el despliegue de redes
inteligentes. No es exhaustiva.
Mientras que la arquitectura de Internet utiliza las definiciones y un lenguaje similar al lenguaje
utilizado por la interconexión de sistema abierto ISO (ISO-OSI) modelo de referencia (Figura 1), que
en realidad es anterior a modelo. Como resultado, hay una cierta asimetría en la terminología. Por
ejemplo, el modelo ISO-OSI utiliza "sistema final", mientras que la arquitectura de Internet utiliza
"host". Del mismo modo, un "sistema intermedio" en el modelo ISO-OSI se denomina una "puerta de
enlace a Internet" o "router" en la jerga de Internet. A pesar de estas diferencias, los conceptos
fundamentales son básicamente los mismos.
+ --------------------+
| Capa de aplicación |
+ --------------------+
| Capa de Presentación |
+ --------------------+
| capa de sesión |
+ --------------------+
| Capa de transporte |
+ --------------------+
| Capa de red |
+ --------------------+
| Capa de enlace de datos |
+ --------------------+
| Capa fisica |
+ --------------------+
+ ---------------------------------+
| Aplicación |
| + --------------------------- + | |
| Protocolo de Aplicaciones ||
| + ---------- + ---------------- + | |
| codificación | Control de Sesión | | | +
---------- + ---------------- + |
+ ---------------------------------+
| Transporte |
| + --------------------------- + | |
| Capa de transporte ||
| + --------------------------- + |
+ ---------------------------------+
| Red |
| + --------------------------- + | |
| protocolo de Internet ||
| + --------------------------- + | |
| Más bajas capas de red ||
| + --------------------------- + |
+ ---------------------------------+
Capas de medios | |
| + --------------------------- + | |
| Capa de enlace de datos ||
| + --------------------------- + | |
| Capa fisica ||
| + --------------------------- + |
+ ---------------------------------+
2.1.1 . Solicitud
2.1.2 . Transporte
En la pila de protocolos de Internet, el "transporte" es la capa de protocolo más baja que viaja de
extremo a extremo no modificado, y es responsable de los servicios de entrega de datos de
extremo a extremo. En el Internet, la capa de transporte es la capa por encima de la capa de red.
Los protocolos de capa de transporte tienen un único requisito mínimo: la capacidad de multiplexar
varias aplicaciones en una sola dirección IP. UDP [
RFC0768 ], TCP
[ RFC0793 ], DCCP [ RFC4340 ], SCTP [ RFC4960 ], Y la norma [ RFC5740 ] Cada lograr esto usando un par de números de
puerto, uno para el emisor y otro para el receptor. Un número de puerto identifica una instancia de aplicación, lo que podría
ser un "oyente" en general que los compañeros o clientes pueden abrir sesiones, o un corresponsal específico con un
"oyente" tales. La identificación de sesión en un datagrama IP a menudo se llama el "cinco-tupla", y consta de los IP de
origen y destino direcciones, la fuente y puertos de destino, y un identificador para el protocolo de transporte en uso.
2.1.3 . Red
IPv4 e IPv6, cada uno de los cuales se llama el Protocolo de Internet, son sin conexión (
"datagramas") arquitecturas. Están diseñados como elementos comunes que los elementos de red
de interconexión a través de una red de redes de capa inferior. Además del servicio básico de
identificación de origen y el destino de un datagrama, que ofrecen servicios a los fragmentos y volver
a montar los datagramas cuando sea necesario, ayudar en el diagnóstico de fallas en la red, y llevan
la información adicional necesaria en casos especiales.
La capa de Internet proporciona una red de abstracción de red uniforme que oculta las
diferencias entre las diversas tecnologías de red. Esta es la capa que permite diversas
redes, tales como Ethernet,
802.15.4, etc., para ser combinados en una red IP uniforme. Nuevas tecnologías de red pueden
ser introducidos en el protocolo IP Suite de la definición de cómo se lleva a IP sobre esas
tecnologías, dejando a las otras capas de la IPS y las aplicaciones que utilizan los protocolos sin
cambios.
La capa de red se puede subdividir de forma recursiva como sea necesario. Esto puede lograrse
por un túnel, en el que un datagrama IP se encapsula en otro encabezado IP para la entrega a un
desencapsulador. IP se realiza con frecuencia en redes privadas virtuales (VPN) a través de la
Internet pública utilizando tecnologías de túneles, tales como el modo de túnel de IPsec, IP-en-IP, y
la encapsulación de ruta genérica (GRE) [
RFC2784 ].
Además, IP también se realiza con frecuencia en redes de circuitos tales como MPLS [
RFC4364 ], GMPLS, y ATM. Por último, IP también se traslada
redes inalámbricas (IEEE 802.11, 802.15.4, o 802.16) y cambiaron de Ethernet (IEEE 802.3)
redes.
En la capa más baja de la arquitectura IP, los datos se codifica en mensajes y transmitidos a través de los
medios de comunicación físico. Mientras que el IETF especifica algoritmos para llevar a IPv4 e IPv6 tipos
distintos medios de comunicación, es raro que en realidad define los medios de comunicación - que
felizmente utiliza las especificaciones de IEEE, ITU y otras fuentes.
Mientras se quejan acerca de la seguridad de Internet es muy popular, es importante distinguir entre los ataques a
los protocolos y los ataques a los usuarios (por ejemplo, el phishing). Los ataques contra los usuarios son en gran
parte independiente de los detalles de protocolo, lo que refleja los problemas de diseño de interfaz de usuario o
problemas de educación, y están fuera del alcance de este documento. Los problemas de seguridad con los
protocolos de Internet son en su alcance, por supuesto, y puede
Estas soluciones, sin embargo, necesitan conseguir desplegado también. El camino hacia la
implantación generalizada a veces puede ser doloroso ya menudo múltiples partes interesadas deben
tomar acciones. La experiencia ha demostrado que esto lleva algún tiempo, y muy a menudo sólo ocurre
cuando los incentivos son lo suficientemente altos en relación con los costos.
Por otra parte, es importante hacer hincapié en que las normas disponibles son importantes, pero la
gama de problemas de seguridad es más grande que una norma que falta; muchos problemas de
seguridad son el resultado de errores de ejecución y el resultado de ciertas opciones de despliegue. Si
bien estos son fuera del ámbito de la elaboración de normas, que desempeñan un papel importante en
la seguridad del sistema en su conjunto. La seguridad tiene que ser integrado en todo el proceso.
El IETF toma en serio la seguridad en el diseño de sus protocolos y arquitecturas; todas las
especificaciones IETF tiene que tener una sección Consideraciones de Seguridad para
documentar las amenazas y contramedidas de seguridad que ofrece.
RFC 3552 [ RFC3552 ] Proporciona recomendaciones sobre
escribir una sección Consideraciones tales Seguridad. También se describe el modelo clásico
amenaza a la seguridad de Internet y las listas de objetivos comunes de seguridad.
En pocas palabras, la seguridad tiene que ser integrado en cada protocolo, la extensión de
protocolo y, en consecuencia, cada capa de la pila de protocolo para ser útil. Ilustramos esto
también en este documento con referencias a discusiones adicionales de seguridad. Nuestra
experiencia ha demostrado que se trata de la seguridad en el último momento no conduce al
resultado deseado.
La discusión de las amenazas de seguridad y los mecanismos de seguridad disponibles pretende ilustrar
algunos de los aspectos de diseño que aparecen comúnmente.
En las capas física y de enlace de datos, amenazas por lo general se centran en ataques físicos
en la red - los efectos de retroexcavadoras, deterioro del medio físico, y diversos tipos de ruido
ambiental. redes basada en radio están sujetas a la señal de desvanecimiento debido a la
distancia, la interferencia, y los factores ambientales; se observa ampliamente que IEEE
802.15.4 redes frecuentemente colocan una placa de tierra de metal entre el medidor y el
dispositivo que gestiona. La fibra fue en un
tiempo de desplegado, ya que se creía que era untappable; ya que hemos aprendido a utilizar por
flexión de la fibra y la recolección incidental luz, y hemos aprendido sobre retroexcavadoras. Como
resultado, algunas instalaciones encierran cable de fibra óptica en una funda a presión, tanto para
identificar rápidamente la ubicación de un corte y para que sea más difícil de aprovechar.
Si bien existen comportamientos de protocolo que pueden detectar ciertas clases de defectos físicos, tales
como intercambios de mantenimiento de conexión, seguridad física generalmente no se considera que sea un
problema de protocolo.
Para las tecnologías de transmisión inalámbrica, las escuchas en las tramas transmitidas
también suele ser una preocupación. Además, esas redes que operan pueden querer
asegurarse de que el acceso a su infraestructura está restringido a aquellos que están
autenticado y autorizado (normalmente llamado 'autenticación de acceso a la red'). Este
procedimiento se ofrece a menudo por las primitivas de seguridad en la capa de enlace de
datos.
En las capas de red, transporte y aplicación, es común para exigir unos requisitos de seguridad
básicos, comúnmente conocida como la CIA (confidencialidad, integridad y disponibilidad):
1. Confidencialidad: Proteger los datos transmitidos desde la divulgación no autorizada (es decir,
mantener los fisgones de aprender lo que se transmite). Por ejemplo, para la confianza en las
aplicaciones de comercio electrónico, transacciones de tarjetas de crédito se intercambian cifran
entre el navegador web y un servidor Web.
* Compañeros necesitan para verificar que la información que aparece a ser de un compañero de
confianza es realmente de esa pares. Normalmente, esto se llama 'origen autenticación de datos'.
* Los compañeros tienen que validar que el contenido de los datos intercambiados es sin modificar. El
término que se utiliza típicamente de esta propiedad es 'integridad de los datos'.
Los tres ejemplos siguientes tienen por objeto ilustrar estos requisitos de seguridad.
Un ataque común contra una sesión TCP es bombardear la sesión con mensajes de
restablecimiento. Otros ataques contra TCP incluyen el ataque "SYN flooding", en el que un
atacante intenta agotar la memoria del objetivo mediante la creación de estado TCP. En particular,
el atacante intenta agotar la memoria de la diana mediante la apertura de un gran número de
conexiones TCP únicos, cada uno de los cuales está representado por un bloque de control de
transmisión (TCB). El ataque tiene éxito si el atacante puede hacer que el objetivo llenar su
memoria con los TCB.
Varios mecanismos se han desarrollado para hacer frente a este tipo de ataques de denegación de servicio.
Uno de ellos, "SYN cookies", los retrasos establecimiento del estado en el lado del servidor para una fase
posterior en el intercambio de protocolo. Otro mecanismo, específicamente el ataque de reposición antes
citada, proporciona servicios de autenticación en sí mismo TCP para asegurar que se restablece falsos son
rechazados.
Otro enfoque sería que ofrecen ya la protección de seguridad en una capa inferior, como
IPsec (véase sección 3.1.2 ) O TLS (véase
sección 3.1.3 ) , de manera que un host puede identificar los mensajes legítimos y
descartar los otros, así mitigar cualquier daño que pueda haber sido causado por el ataque.
Otro ataque común implica el acceso no autorizado a los recursos. Por ejemplo, una parte no autorizada
podría tratar de conectarse a una red. Para protegerse contra este tipo de ataque, un proveedor de
servicios de Internet (ISP) requiere normalmente la red de autenticación de acceso de nuevos huéspedes
que solicitan el acceso a la red ya Internet antes de ofrecer el acceso. Este intercambio típicamente
requiere la autenticación de la entidad y una verificación en los ISPs de base de datos de servicios de
fondo para determinar si existen correspondientes registros de abonados y siguen siendo válidos (por
ejemplo, suscripción activa y créditos suficientes).
De la discusión anterior, se establece un canal de comunicación seguro es claramente un concepto importante que
se utiliza con frecuencia para mitigar una serie de ataques. Por desgracia, al centrarse sólo en la seguridad del canal
puede no ser suficiente para una tarea determinada. modelos de amenazas han evolucionado e incluso algunos de
los puntos finales de comunicación no pueden ser considerados totalmente digno de confianza, es decir, los
compañeros incluso de confianza pueden actuar maliciosamente.
Además, muchos protocolos son más sofisticados en su interacción protocolo e implican más
de dos partes en el intercambio de protocolo. Muchos de los protocolos de capa de aplicación,
tales como correo electrónico, mensajería instantánea, voz sobre IP, y aplicaciones basadas
en presencia, entran en esta categoría. Con esta clase de protocolos, datos seguros, como los
registros DNS, y comunicaciones seguras con el middleware, servidores intermedios y
aplicaciones de apoyo deben tenerse en cuenta, así como la seguridad de la comunicación
directa. Un tratamiento detallado de las amenazas de seguridad y requisitos de estos
protocolos múltiples partes está más allá de esta especificación, pero el lector interesado
puede consultar los ejemplos antes mencionados para una ilustración de qué mecanismos
técnicos se han investigado y propuesto en el pasado.
Si bien los protocolos siguientes no son críticos para el diseño de un sistema específico, son
importantes a la ejecución de una red, y como tal se estudian aquí.
sección 3.4.1 .
gestión de la red ha demostrado ser un problema difícil. Como tal, se han propuesto varias
soluciones, implementado y desplegado. Cada solución tiene sus defensores, todos los cuales
tienen argumentos sólidos para sus puntos de vista. El IETF tiene dos soluciones de gestión de red
principales para el funcionamiento del dispositivo: SNMP, que es ASN.1 codificada y se utiliza
principalmente para el control de las variables del sistema, y NETCONF [ RFC4741 ], Que es
codificada en XML y se utiliza principalmente para la configuración del dispositivo.
aprovisionamiento y configuración, estos problemas han sido resueltos utilizando protocolos IP en las
especificaciones, tales como DOCSIS 3.0 [ SP-MULPIv3.0 ].
3 . Protocolos específicos
Como se ha indicado, una consideración clave en las soluciones de seguridad es un buen análisis de la
amenaza junto con estrategias de mitigación apropiadas en cada capa. El IETF ha desarrollado con el
tiempo una serie de bloques de construcción para la seguridad basada en la observación de que los
protocolos menudo demandar servicios de seguridad similares. Las siguientes subsecciones describen
algunos de esos bloques de construcción de seguridad de uso común. La reutilización de ellos ofrece
varias ventajas, tales como la disponibilidad de código fuente abierto, la experiencia con los sistemas
existentes, un número de extensiones que se han desarrollado, y la confianza de que las tecnologías
enumeradas han sido revisados y analizados por una serie de expertos en seguridad.
Es importante destacar que, además de las herramientas de seguridad mencionadas, todos los
protocolos a menudo viene con las consideraciones de seguridad adicionales, a menudo únicos
que son específicos para el dominio en el que opera el protocolo. Muchos protocolos incluyen
características específicamente diseñadas para mitigar estos riesgos específicos del protocolo.
En otros casos, las consideraciones de seguridad identificarán servicios relevantes para la
seguridad que se requieren de otras capas de red para lograr niveles adecuados de seguridad.
Mientras que el término AAA suena genérica y aplicable a todo tipo de protocolos de
seguridad, ha sido, en el IETF, que se utiliza en relación con la red de autenticación de
acceso y está asociado con el radio ([
RFC2865 ]) Y el protocolo Diámetro ([ RFC3588 ], [ DIME-BASE ]) En
especial.
El procedimiento de autenticación para el acceso a la red tiene como objetivo hacer frente a la tarea de
verificar que un compañero está autenticado y autorizado antes de acceder a un recurso en particular (a
menudo conectividad a Internet). Por lo general, la arquitectura de autenticación para el acceso a la red
se compone de los siguientes componentes básicos: el Extensible
Más recientemente, la misma arquitectura con EAP y radio / diámetro está siendo reutilizado para
protocolos de capa de aplicación. Más detalles acerca de esta variante arquitectónica se pueden encontrar
en [ ABFAB-ARCH ].
La arquitectura prevé una división entre el consume bastante tiempo (a) la autenticación y el paso
protocolo de intercambio de claves que también establece una asociación de seguridad (una
estructura de datos con keying parámetros de material y de seguridad) y (b) la protección real del
tráfico de datos.
Para la protección de datos real, se han utilizado históricamente dos tipos de protocolos,
a saber, la cabecera de autenticación IP (AH)
TLS se compone de dos capas: el protocolo TLS Record y el protocolo TLS Handshake. El
protocolo TLS Record proporciona seguridad de conexión que tiene dos propiedades básicas:
(a) protección de la confidencialidad y protección (b) integridad.
El protocolo TLS apretón de manos permite que el servidor y el cliente para autenticarse entre
sí y que negocien un algoritmo de cifrado y las claves de cifrado antes de que el protocolo de
aplicación transmite o recibe su primer byte de datos. Los parámetros negociados y el material
de claves derivada se utiliza entonces por el protocolo TLS Record para realizar su trabajo.
A diferencia de IKEv2 / IPsec, TLS negocia estos parámetros criptográficos en las suites, los
llamados 'paquetes de cifrado. Ejemplos de conjuntos de cifrado que pueden ser negociados con TLS
incluyen criptografía de curva elíptica (ECC) [ RFC4492 ] [ RFC5289 ] [ AES-CCM-ECC ], Camellia [
RFC5932 ], Y la suite
B Perfil [ RFC5430 ]. [ IEC62351-3 ] Esboza el uso de diferentes TLS
conjuntos de cifrado para su uso en la red inteligente. Los mecanismos criptográficos básicos
para la ECC se han documentado en [ RFC6090 ].
TLS debe pasar por un canal de transporte fiable - normalmente TCP. Con el fin de ofrecer los
mismos servicios de seguridad para el tráfico de datagramas no fiable, como UDP, la seguridad de
la capa de datagramas de Transporte (DTLS [ RFC4347 ] [ DTLS ]) fue desarrollado.
Nos centraremos nuestra descripción de unos mecanismos que se utilizan comúnmente en todo
el Internet.
RFC5280 ]. los
CMS ha sido aprovechado para suministrar servicios de seguridad en una variedad de protocolos, incluyendo
Relacionado trabajo incluye el uso de firmas digitales en documentos XML codificado, que ha sido
estandarizado conjuntamente por el W3C y el IETF [ RFC3275 ]. XML firmado digitalmente es una
buena opción donde las aplicaciones soportan nativamente datos XML codificados, como la
mensajería extensible and Presence Protocol (XMPP).
Más recientemente, el trabajo de la autenticación y autorización delegado menudo exigido por las
aplicaciones Web se han desarrollado con la autenticación Open Web (OAuth) Protocolo [
RFC5849 ] [ OAUTHv2 ]. OAuth es
utilizado por las aplicaciones de terceros para obtener acceso a los recursos protegidos (como la
información sobre el consumo de energía de un hogar específico) sin tener el recurso propietario
Compartir sus credenciales a largo plazo con ese tercero. En OAuth, la aplicación de terceros
solicita acceso a los recursos controlados por el propietario del recurso y alojados en el servidor
de recursos, y se emite un conjunto diferente de credenciales que los del propietario del recurso.
Más específicamente, las aplicaciones de terceros obtengan una señal de acceso durante el
intercambio de protocolo OAuth. Esta señal indica un alcance específico, duración y otros
atributos de acceso. Como resultado, se obtiene de forma segura el acceso al recurso protegido
con el consentimiento del propietario del recurso.
Todos los protocolos de seguridad mencionados anteriormente dependen de la criptografía para la seguridad, y
por lo tanto requieren alguna forma de gestión de claves. La mayoría de los protocolos de IETF, al menos
nominalmente requieren alguna forma escalable de gestión de claves a ser definidos como obligatorios para
poner en práctica; de hecho, la falta de tales características clave de gestión en el pasado ha sido una razón para
retrasar la aprobación de protocolos. Hay dos esquemas de gestión de claves genéricas que son ampliamente
utilizados por otros protocolos de Internet, PKIX y Kerberos, cada uno de los cuales se describen brevemente a
continuación.
3.1.6.1 . PKIX
Infraestructura de Clave Pública (PKI) se refiere a la clase de gestión de claves que se basa en las
autoridades de certificación (CA) de la emisión de certificados de clave pública para otros titulares clave.
Encadenando de un ancla de confianza (una copia de confianza a nivel local de una clave pública CA) a la
clave pública de algún protocolo de pares, PKI permite la segura unión entre las teclas y los nombres
específicos del protocolo, tales como direcciones de correo electrónico, y por lo tanto permite a los servicios
de seguridad tal como datos y autenticación del mismo nivel, integridad de datos, y confidencialidad (cifrado).
PKI se percibe generalmente a mejores casos de uso de la manija que abarcan múltiples
dominios independientes en comparación con Kerberos.
3.1.6.2 . Kerberos
RFC1964 ] [ RFC2743 ]
[ RFC4121 ], Kerberos se puede utilizar para administrar la autenticación para la mayoría de aplicaciones.
Mientras que Kerberos funciona mejor dentro de las organizaciones y empresas, que tiene instalaciones que
autoricen la autenticación para ser compartido entre los dominios administrativos.
El IPS especifica dos protocolos de capa de red: IPv4 y IPv6. Las siguientes secciones
describen los mecanismos de coexistencia y de transición de la IETF para IPv4 y IPv6.
Tenga en cuenta que el 3 de febrero de 2011, se agotó conjunto de direcciones IPv4 de la IANA (el
conjunto de direcciones IPv4 disponibles, sin asignar), y se espera que los de Internet Registradores
Regionales (RIR) piscinas gratuitas a agotarse durante el próximo año, si no antes . El IETF, la IANA, y
los RIR recomiendan que las nuevas implementaciones utilizan IPv6, y que las infraestructuras IPv4 ser
apoyados a través de los mecanismos descritos en
sección 3.2.1 .
El IETF ha especificado una variedad de mecanismos diseñados para facilitar IPv4 / IPv6
coexistencia. El IETF recomienda realmente relativamente pocos de ellos: el consejo actual para
los operadores de red se encuentra en Directrices para el uso Mecanismos de Transición IPv6 [
RFC6180 ]. los
pensamientos en ese documento se replican aquí.
o Asegurar que los servidores y sus aplicaciones de manera similar soportan ambos protocolos, y
El resultado neto es que con el tiempo todos los sistemas se vuelven protocolo agnóstico, y que con el
tiempo el mantenimiento del apoyo IPv4 se convierte en una decisión de negocios. Este enfoque se
describe en los mecanismos básicos de transición para hosts y enrutadores IPv6 [
RFC4213 ].
En aquellos lugares en la red que admiten sólo IPv4, el método más sencillo y fiable de la
convivencia es proporcionar conectividad virtual a través de túneles o encapsulados. Temprano
en el despliegue de IPv6, esto se hace a menudo el uso de túneles estáticos. Un enfoque más
dinámico se documenta en IPv6 Despliegue rápido sobre Infraestructuras de IPv4 (6rd) [
RFC5569 ].
En aquellos casos en que un sólo IPv4 anfitrión desea comunicarse con un host sólo IPv6 (o
viceversa), una necesidad de traducción de protocolo puede ser indicada. A primera vista, la
traducción protocolo puede parecer trivial; en una inspección más profunda, resulta que la traducción
de protocolo puede ser complicado.
El enfoque más fiable de traducción de protocolo es proporcionar proxies o puertas de enlace de capa
de aplicación, que permiten de forma nativa conexiones de aplicación a aplicación utilizando ambos
protocolos y puede utilizar según sea apropiado. Por ejemplo, un proxy web puede utilizar ambos
protocolos y como resultado permitir que un sólo IPv4 sistema para ejecutar HTTP a través de un sólo
IPv6 red o en un servidor Web que implementa solamente IPv6. Desde este enfoque es un servicio
de un servidor de protocolo agnóstico, no es el tema de la normalización por el IETF.
Para aquellas aplicaciones en las que está indicado traducción capa de red, la IETF ha
diseñado un mecanismo de traducción, que se describe en los siguientes documentos:
Al igual que con la traducción de direcciones de red IPv4 / IPv4, la traducción entre IPv4 e IPv6 ha
limitado aplicabilidad al mundo real para un protocolo de aplicación que lleva a direcciones IP en su
capacidad de carga y espera que dichas direcciones sean significativos para el cliente y el servidor.
Sin embargo, para aquellos protocolos que no lo hacen, la traducción de protocolo puede
proporcionar una extensión útil red.
Traducción basada en la red prevé dos tipos de servicios: sin estado (y, por tanto, escalable y de
carga compartible) de traducción entre las direcciones IPv4 e IPv6 que incorporan una dirección
IPv4 en ellos, y de traducción con estado similar a la traducción de IPv4 / IPv4 entre las
direcciones IPv4. El modo sin estado es sencillo de implementar, pero debido a la incrustación,
requiere direcciones IPv4 a ser asignado a una por lo demás sólo IPv6 a la red, y es sobre todo útil
para los servidores IPv4accessible implementados en la red IPv6. El modo de estado permite a los
clientes en la red IPv6 para acceder a los servidores de la red IPv4, pero no proporciona dicho
servicio para los clientes acceso IPv4 IPv6 compañeros o servidores con direcciones generales;
tiene la ventaja de que no requiere que una única dirección IPv4 puede incrustar en la dirección
IPv6 de los ejércitos que utilizan este mecanismo.
Por último, tenga en cuenta que algunas redes de sitios son sólo IPv6, mientras que algunas redes
de tránsito son sólo IPv4. En estos casos, puede ser necesario hacer un túnel IPv6 sobre IPv4 o
traducir entre IPv6 e IPv4.
IPv4 apoyado originalmente un tipo experimental de campo de servicio que identifica ocho
niveles de prioridad operativa de estilo después de los requisitos de la telefonía militar, además
de tres y más tarde de cuatro banderas de bits que OSI IS-IS para IPv4 (IS-IS) [
RFC1195 ] Y OSPF Versión 2
[ RFC2328 ] Interpretado como el tráfico de control; este tráfico de control tiene la seguridad de que
no se cayó cuando la cola o bajo recibo, incluso si se está eliminando el resto del tráfico. Estos bits
de control resultaron ser menos útiles que los diseñadores habían esperado. Fueron reemplazados
por la arquitectura de servicios diferenciados [
RFC2474 ] [ RFC2475 ], cual
contiene un punto de código de seis bits que se utiliza para seleccionar un algoritmo (un "comportamiento por
salto") que se aplicará a los datagramas. El IETF también ha producido un conjunto de Directrices de
configuración para clases de servicio DiffServ [ RFC4594 ], Que describe un conjunto de clases de servicio
que pueden ser útiles a un operador de red.
Las direcciones IPv4 se administrativamente asignados, por lo general utilizando métodos automatizados,
utilizando el Dynamic Host Configuration Protocol (DHCP) [ RFC2131 ]. En la mayoría de los tipos de
interfaces, sistemas vecinos identifican las direcciones de los demás utilizando el protocolo de resolución de
direcciones (ARP) [ RFC0826 ].
IETF especifica los protocolos de enrutamiento incluyen RIP Versión 2 [ RFC2453 ], OSI
IS-IS para IPv4 [ RFC1195 ], OSPF Versión 2 [ RFC2328 ], Y BGP-4
[ RFC4271 ]. existe investigación activa en el móvil de encaminamiento ad hoc y otros paradigmas de
enrutamiento; estos resultado en nuevos protocolos y paradigmas de reenvío modificados.
mensajes de multidifusión.
IPv6 [ RFC2460 ], Con el "v6" control de Internet Protocolo de mensajes de [ RFC4443 ], Que
constituye la próxima generación de protocolo de Internet. IPv6 proporciona para la transmisión de
datagramas desde la fuente a los hosts de destino, que se identifican por las direcciones de longitud
fija.
IPv6 también proporciona para la fragmentación y reensamblaje de datagramas de largo por el host de
origen, si es necesario, para la transmisión a través de redes "pequeño de paquetes". ICMPv6, que es
un protocolo implementado por separado junto con IPv6, permite a la red para informar errores y otros
problemas a los hosts que se originan datagramas problemáticos.
El IPv6 a través de bajo consumo personal inalámbrica redes de área RFC [ RFC4919 ]
y el formato de compresión para IPv6 Datagramas en 6LoWPAN Redes documento [
6LoWPAN-HC ] Direcciones IPv6 de compresión de cabecera y la subred
arquitectura en al menos algunas redes de sensores, y puede ser apropiado a la infraestructura de
red inteligente avanzada de medición u otros dominios de sensores.
hoy en día tienden a desplegar RIPng para IPv6 [ RFC2080 ] Y RIP Versión 2
[ RFC2453 ]. Brevemente, RIP es un protocolo de enrutamiento de vector de distancia que se basa en
una variante distribuida del ampliamente conocido algoritmo Bellman-Ford. En los protocolos de
enrutamiento vector distancia, cada router anuncia el contenido de su tabla de enrutamiento a los
routers vecinos, que integran los resultados con sus tablas de rutas y volver a anunciar a los demás.
Se ha caracterizado como "encaminamiento por rumor", y sufre muchos de los males que
encontramos en el chisme humana - propagación de información obsoleta o incorrecta en ciertos
escenarios de fallo, y estar en los casos que no responden a los cambios en la topología. [
RFC1058 ] proporciona
orientación a los diseñadores de algoritmos para mitigar estos problemas.
El primero (OSPF) protocolo de enrutamiento ruta libre más corta es uno de los protocolos
más utilizados en Internet. OSPF se basa en primer lugar bien conocido (SPF) algoritmo de la
ruta más corta de Dijkstra. Se implementa como OSPF Versión 2 [
RFC2328 ] Para IPv4, OSPF para IPv6
[ RFC5340 ] Para IPv6, y el Apoyo de Familias de direcciones en OSPFv3 [ RFC5838 ] para permitir
[ RFC5340 ] Encaminamiento IPv4 e IPv6.
La ventaja de cualquier protocolo basado en SPF (es decir, OSPF e IS-IS) es principalmente
que cada router en la red construye su vista de la
la red de conocimiento de primera mano en lugar de los "chismes" que los protocolos de vector de
distancia se propagan. Como tal, la topología se cambia de forma rápida y fácilmente con sólo
anunciar el cambio. La desventaja de los protocolos basados en SPF es que cada router debe
almacenar una declaración en primera persona de la conectividad de cada router en el dominio.
[ RFC5308 ].
Al igual que con OSPF, los aspectos positivos de cualquier protocolo basado en SPF y
específicamente IS-IS son principalmente que la red se describe como un entramado de routers con
conectividad a subredes y hosts aislados. Es topología se cambia de forma rápida y fácilmente con
sólo anunciar el cambio, sin los problemas de "encaminamiento por rumor", ya que cada equipo
dentro del dominio de enrutamiento tiene una declaración en primera persona de la conectividad de
cada router en el dominio. Los negativos son un corolario: cada router debe almacenar una
declaración en primera persona de la conectividad de cada router en el dominio.
El grupo de trabajo ad hoc móvil del IETF ha desarrollado, entre otros protocolos, Ad hoc
On-Demand de vector de distancia (AODV) Routing [ RFC3561 ].
Este protocolo capturado las mentes de algunos en la industria de dispositivos embebidos, pero
experimentó problemas en las redes inalámbricas, tales como
AODV y DYMO son esencialmente los protocolos de enrutamiento reactivos diseñados para redes
móviles ad hoc, y utilizables en otras formas de redes ad hoc. Ellos proporcionan conectividad entre un
dispositivo dentro de una subred distribuida y unos dispositivos (incluyendo tal vez una puerta de
enlace o router a otra subred) sin el seguimiento conectividad a otros dispositivos. En esencia, el
enrutamiento se calcula y se descubrió en la necesidad, y un host o router sólo necesita mantener las
rutas que actualmente trabajan y son necesarios.
El Protocolo de Enrutamiento IPv6 de la energía baja y redes con pérdida (RPL) [ RPL ] Es un
protocolo de encaminamiento reactivo diseñado para su uso en redes con recursos limitados.
Requisitos para redes con recursos limitados se definen en [
RFC5548 ], [ RFC5673 ], [ RFC5826 ] Y [ RFC5867 ].
O se construyen con limitado poder de procesamiento y memoria, y algunas veces la energía cuando
se opera con baterías.
o están interconectados a través de una interfaz de red-velocidad de datos baja y son potencialmente
vulnerables a la inestabilidad de comunicación y las tasas de entrega de paquetes bajos.
o potencialmente tener una mezcla de papeles tales como ser capaz de actuar como un anfitrión (es
decir, la generación de tráfico) y / o un router (es decir, tanto de reenvío y la generación de tráfico
RPL).
Un protocolo de enrutamiento de multidifusión tiene dos funciones básicas: la construcción del árbol de
Ethernet / IEEE 802.3: IPv4 ha ejecutar en cada entorno de capa de enlace que utiliza la
cabecera de Ethernet (es decir, 10 y 100 MBPS cable Ethernet, 1 y 10 Gbps cable
Ethernet, y las diferentes versiones de IEEE 802.11) utilizando [
RFC0894 ]. IPv6 hace lo mismo
utilizando [ RFC2464 ].
PPP: El IETF ha definido un protocolo de línea de serie, el Protocolo de Punto a Punto (PPP) [
RFC1661 ], Que utiliza alto nivel de control de enlace de datos
encuadre (bit-síncrono o asíncrono byte). La especificación adaptación IPv4 es
[ RFC1332 ], Y la adaptación IPv6
especificación es [ RFC5072 ]. El uso actual de este protocolo es en
líneas serie tradicionales, intercambios de autenticación en redes DSL utilizando PPP
sobre Ethernet (PPPoE) [ RFC2516 ], Y la digital
Señalización Jerarquía (denominado generalmente como Packet-on-SONET / SDH), utilizando PPP sobre
SONET / SDH [ RFC2615 ].
Existen numerosas otras especificaciones de adaptación, incluyendo ATM, Frame Relay, X.25,
otras tecnologías LAN estandarizados y de propiedad, entre otros.
En esta sección se describe la funcionalidad de la UDP, TCP, SCTP y DCCP. UDP y TCP son mejor
conocidos y más ampliamente utilizados en el Internet hoy en día, mientras que SCTP y DCCP son nuevos
protocolos que fueron construidos para propósitos específicos. Otros protocolos de transporte se pueden
construir cuando sea necesario.
Muchos diseños de cambio se han construido utilizando UDP, y muchos de ellos no han funcionado. Como
resultado, el uso de UDP realmente debe ser tratado como el diseño de un nuevo transporte. Asesoramiento
sobre el uso de la UDP en nuevas aplicaciones se pueden encontrar en Unicast UDP Directrices de uso
para los diseñadores de aplicaciones [
RFC5405 ].
La interfaz de usuario para TCP es una interfaz de flujo de bytes - una aplicación que utiliza TCP
podría "escribir" a varias veces sólo para que los datos compactados en un segmento común y
entregados como tal a su igual. Para las interfaces mensaje-stream, ACSE / ROSA utiliza el servicio
de transporte ISO sobre TCP [
RFC1006 ] [RFC2126] en la aplicación.
Por último, señalar que el TCP ha sido objeto de investigación y desarrollo en curso desde que
fue escrito. El Plan de trabajo para documentos de especificación TCP [
RFC4614 ] Capta esta historia, y está destinada a ser una
guiar a los desarrolladores actuales y futuras de la zona.
SCTP [ RFC4960 ] Es un protocolo de transporte fiable más reciente que puede ser imaginado como un
contexto TCP similar que contiene múltiples flujos de mensajes separados e independientes (a diferencia
de flujos de bytes de TCP). El diseño de SCTP incluye el comportamiento apropiado para evitar la
congestión y la resistencia a las inundaciones y ataques de máscaras. Como se utiliza una interfaz de
flujo de mensajes, también puede ser más apropiada para el servicio de transporte ISO de utilizar
SCTP ofrece varias opciones de entrega. El servicio básico es la entrega secuencial no duplicada de
mensajes dentro de una corriente, para cada flujo en uso. Dado que los flujos son independientes, una
corriente puede hacer una pausa debido al bloqueo de cabeza de línea, mientras que otra corriente en la
misma sesión continúa entregando datos. Además, SCTP proporciona un mecanismo para pasar por el
servicio de entrega secuenciada. mensajes de los usuarios enviados a través de este mecanismo se
entregan al usuario SCTP tan pronto como se reciben.
DCCP [ RFC4340 ] Es un protocolo de "poco fiable" transporte (por ejemplo, uno que no garantiza la
entrega de mensajes) que proporciona conexiones de unidifusión bidireccionales de datagramas no
fiables de congestión controlada. DCCP es adecuado para aplicaciones que transfieren bastante
grandes cantidades de datos y que pueden beneficiarse de control sobre el equilibrio entre la
puntualidad y fiabilidad.
DCCP implementa un sencillo mecanismo de "cookie" pretende limitar la eficacia de los ataques de
inundación por una autenticación mutua. Esto demuestra que la aplicación está conectada a la misma por
pares, pero no identifica los pares. Datagrama Transport Layer Security [ RFC5238 ] Se puede utilizar para
impedir la escucha, manipulación o falsificación de mensajes. Alternativamente, DCCP se puede ejecutar a
través de IPsec.
3.4 . Infraestructura
Los dispositivos también pueden actualizar opcionalmente su propio registro DNS. Por ejemplo, un sensor que
está usando Autoconfiguración dirección sin estado [ RFC4862 ] Para crear una dirección podría querer asociar
con un nombre mediante DNS dinámico de actualización [
RFC2136 ] O Asegurar la actualización dinámica de DNS
[ RFC3007 ].
Hay otros parámetros que pueden necesitar ser asignada a hosts que requieren configuración
administrativa; Los ejemplos incluyen las direcciones de los servidores DNS, claves para Secure
DNS y servidores de tiempo de red.
El Protocolo de Tiempo de Red fue diseñado originalmente por Dave Mills de la Universidad de Delaware y
CSNET, la aplicación de una medida temporal en el protocolo de enrutamiento de Fuzzball y en general la
coordinación de los experimentos de tiempo. Las versiones actuales del protocolo de tiempo son el
Protocolo de Tiempo de Red [
RFC5905 ].
El IETF ha desarrollado dos protocolos de gestión de red: SNMP y NETCONF. SNMP se discute en
sección 3.5.1 Y es NETCONF
discutido en sección 3.5.2 .
o Una Arquitectura para la Descripción de Simple Network Management Protocol (SNMP Marcos)
Gestión [ RFC3411 ]
Proporciona capacidades para las actividades controladas por eventos encuestados y, y por tanto el
seguimiento y la configuración de sistemas en el campo. Históricamente, se ha utilizado
principalmente para el seguimiento de nodos en una red. Los mensajes y sus datos constitutivos se
codifican utilizando un perfil de ASN.1.
NETCONF fue desarrollado en respuesta a las solicitudes de operador para un protocolo de configuración
común basado en texto ASCII, a diferencia de ASN.1. En esencia, se realiza llamada a procedimiento remoto
codificados en XML (RPC) de datos. En respuesta a los requisitos de red inteligente, no es la consideración de
una variante del protocolo que podría ser utilizado para actividades de gestión de encuestados y eventdriven,
y tanto para la supervisión y configuración de sistemas en el campo.
Servicio y la localización de recursos son algunos de los protocolos más importantes para las redes de
auto-organización de recursos limitados. Estos incluyen varias redes de sensores, así como las redes de
área local de (Hans), área de construcción Networks (BAN), y redes de área de campo (ventiladores)
previstos por los arquitectos de redes inteligentes.
Detección de recursos se refiere con el descubrimiento de los recursos ofrecidos por puntos finales y es
extremadamente importante en aplicaciones de circuito cerrado de la máquina-tomachine (es decir, los que
no tienen los seres humanos en el bucle). Los objetivos de los protocolos de descubrimiento de recursos
incluyen:
o extensibilidad
Para simplificar, COAP hace la suposición de que todos los servidores coap escuchar en el puerto por defecto
COAP o de otra manera se han configurado o descubierto el uso de algún mecanismo de descubrimiento de
servicios generales tales como Descubrimiento de servicio DNS (DNS-SD) [
DNS-SD ].
descubrimiento de recursos en el COAP se logra mediante el uso de los recursos bien conocidos
que describen los enlaces ofrecidos por un servidor COAP. Coap define un URI conocido para el
descubrimiento: "/.well-known/r" [ RFC5785 ]. Por ejemplo, la consulta [GET /.well-known/r] devuelve
una lista de enlaces (que representa los recursos) disponibles desde el servidor coap consultado.
Una consulta como [GET /.well-known/r?n=Voltage] devuelve los recursos con el nombre de tensión.
Hay muchas aplicaciones que dependen de la infraestructura IP, pero no se cree correctamente de
como parte de la infraestructura IP en sí. Estas aplicaciones pueden ser útiles en el contexto de la
red inteligente. Las decisiones tomadas en la construcción de un perfil de Internet del perfil suite
puede afectar la forma en tales aplicaciones podría ser utilizado. Algunos de ellos, de ninguna
manera una lista exhaustiva, se discuten aquí.
sí SIP no elegir si es una sesión de voz o de vídeo, ni identifica las direcciones IP de los
puntos finales reales. El Protocolo de Descripción de Sesión (SDP) [
RFC4566 ] Está destinado para esos fines.
Dentro del SDP, que es transportado por el SIP, códecs son ofrecidos y aceptados (o no), y el
número de puerto y la dirección IP a la que cada punto final quiere recibir su Protocolo de
transporte en tiempo real (RTP) [ RFC3550 ] Se determinan paquetes. La introducción de la
tecnología de dirección de red (NAT) en el perfil, ya sea IPv4 /
3.7.3 . calendario
calendario de Internet, como se aplica en Apple iCal, Outlook y Microsoft Entourage, y Google
Calendar, se especifica en Internet Calendarios y especificación del objeto Programación Core
(iCalendar) [ RFC5545 ] Y está en proceso de ser actualizado a un esquema XML en iCalendar
representación XML [
xcal ]. Existen varios protocolos de
llevar a los eventos del calendario, incluido el Protocolo de iCalendar independiente del transporte de
Interoperabilidad (iTIP) [ RFC5546 ], El iCalendar Mensaje-
Protocolo de interoperabilidad basada (iMIP) [ RFC6047 ], Y el código abierto
trabajar en el protocolo de publicación Atom [ RFC5023 ].
La Internet es una red de redes en las que las redes están interconectadas de una manera
específica y son operados de forma independiente. Es importante señalar que la arquitectura
de Internet subyacente no pone restricciones sobre las formas en que las redes están
interconectadas; interconexión es una decisión de negocios. Como tal, la Internet
Fundamental para la estructura de negocios de Internet son las redes que proporcionan conectividad con otras redes, llamadas
"redes de tránsito". Estas redes venden servicios de ancho de banda y encaminamiento a granel entre sí y con otras redes como
clientes. Alrededor de la periferia de la red de tránsito son empresas, escuelas y otras redes que proporcionan servicios
directamente a los individuos. Estos por lo general pueden ser divididos en "redes de empresa" y "redes de acceso"; redes
empresariales proporcionan conectividad "libre" a sus propios empleados o miembros, y también les proporcionan un conjunto de
servicios que incluyen el correo electrónico, servicios web, y así sucesivamente. redes de acceso venden conectividad de banda
ancha (DSL, módem por cable, inalámbrica 802.11, o inalámbrica 3GPP) o en un servicio "Dial" (incluyendo PSTN telefónica y
RDSI) a los suscriptores. Los suscriptores son típicamente los clientes residenciales o de oficina pequeña / oficina en casa (SOHO).
Los clientes residenciales son generalmente depende enteramente de su proveedor de acceso a todos los servicios, mientras que
un SOHO compra algunos servicios del proveedor de acceso y puede proporcionar otros por sí mismo. Las redes que venden
servicios de tránsito a nadie más - SOHO, y redes empresariales residenciales - son generalmente arbitrados como "redes EDGE";
redes de tránsito son considerados como parte del "núcleo" de la Internet y las redes de acceso están entre los dos. Esta estructura
general se representa en la Figura 3. mientras que una compra SOHO algunos servicios del proveedor de acceso y puede
proporcionar otros por sí mismo. Las redes que venden servicios de tránsito a nadie más - SOHO, y redes empresariales
residenciales - son generalmente arbitrados como "redes EDGE"; redes de tránsito son considerados como parte del "núcleo" de la
Internet y las redes de acceso están entre los dos. Esta estructura general se representa en la Figura 3. mientras que una compra
SOHO algunos servicios del proveedor de acceso y puede proporcionar otros por sí mismo. Las redes que venden servicios de
tránsito a nadie más - SOHO, y redes empresariales residenciales - son generalmente arbitrados como "redes EDGE"; redes de
tránsito son considerados como parte del "núcleo" de la Internet y las redes de acceso están entre los dos. Esta estructura general
se representa en la Figura 3.
------ ------
/ \ / \
/-\ / \ / \
| SOHO | --- + Acceso | | Empresa |
\-/ | servicio | | red |
/-\ | proveedor | | |
| Inicio | --- + | ------ | |
\-/ \ + ---+ + ---+ /
\ // \\ /
------ | tránsito | ----- |
servicio | | proveedor | |
|
\ /
\ /
------
o la red doméstica,
O Cox Communications, una red de acceso utilizando la tecnología de módem por cable,
o la Universidad de California en Santa Bárbara, que en este contexto podría ser visto como
una red de acceso de sus estudiantes y profesores o como una red empresarial.
Otro ejemplo específico se pudo demostrar en un traceroute desde el hogar a través de una red
privada virtual (túnel VPN) de la casa, cruzando Cox Cable (una red de acceso) y Pacific Bell (una
red de tránsito), y que termina en Cisco Systems (una empresa red); un traceroute de la ruta no
muestra que a medida que es invisible dentro de la VPN y el contenido de la VPN son invisibles,
debido a la encriptación, a las redes en el camino. En cambio, el traceroute en la Figura 5 está
enteramente dentro de la red interna de Cisco.
Nótese que en ambos casos, la red doméstica utiliza la dirección privada del espacio [ RFC1918 ]
Mientras que otras redes suelen utilizar espacio de direcciones públicas, y que las tres tecnologías de
middleware están en uso aquí. Estos son los usos de un cortafuegos, un traductor de direcciones de
red (NAT) y una red privada virtual (VPN).
Los cortafuegos se venden generalmente como y consideradas por muchos como una tecnología de
seguridad. Esto se basa en el hecho de que un servidor de seguridad impone una frontera entre dos
dominios administrativos. Por lo general, un servidor de seguridad se desplegará entre un residencial,
SOHO, o red de la empresa y su acceso o proveedor de tránsito. En su esencia, un firewall es un
diodo de datos, la imposición de una política sobre lo que pueden pasar entre sesiones de un dominio
protegido y el resto de Internet. políticas simples generalmente permiten sesiones que se originó a
partir de la red protegida, pero no desde el exterior; políticas más complejas pueden permitir sesiones
adicionales desde el exterior, tales como el correo electrónico a un servidor de correo o una sesión
web a un servidor web, y pueden prevenir ciertas aplicaciones de acceso global a pesar de que se
originan desde el interior.
Tenga en cuenta que la eficacia de los cortafuegos sigue siendo controvertido. Mientras que los administradores
de red a menudo insisten en el despliegue de servidores de seguridad, ya que imponen un límite, otros señalan
que su valor como solución de seguridad es discutible. Esto se debe a que la mayoría de los ataques provienen
de detrás del firewall. Además, los cortafuegos no protegen contra ataques a nivel de aplicación, tales como los
virus que transmiten en el correo electrónico. Por lo tanto, como solución de seguridad, los cortafuegos están
justificadas como una capa en la defensa en profundidad. Es decir, mientras un sistema final debe ser al final
responsable de su propia seguridad, un firewall puede inhibir o prevenir ciertos tipos de ataques, por ejemplo, el
consumo de tiempo de CPU en el servidor crítico.
Los documentos clave que describen la tecnología de servidor de seguridad y las cuestiones que plantea incluir:
La traducción de direcciones de red es una tecnología que fue desarrollada en respuesta a los comportamientos del
Redes privadas virtuales vienen en muchas formas; lo que tienen en común es que son generalmente
túnel a través de la red troncal de Internet, por lo que, como en la Figura 5, aparece la conectividad
estar totalmente dentro de la red de borde a pesar de que es, de hecho, a través de la red de un
proveedor de servicios. Los ejemplos incluyen IPsec en modo túnel túneles cifrados, iPIN-IP o túneles
GRE, y MPLS LSP [
RFC3031 ] [RFC3032].
5 . Consideraciones de Seguridad
6 . Expresiones de gratitud
Revisar comentarios fueron hechos por Adrian Farrel, Andrew Yourtchenko, Ashok Narayanan, Bernie
Volz, Chris Lonvick, Dan Romascanu, Dave McGrew, Dave Oran, David Harrington, David Su, Don
Sturek, Francis Cleveland, Hemant Singh, James Polk, Jari Arkko, John Meylor, Joseph Salowey, Julien
Abeille, Kerry Lynn, Lars Eggert, Magnus Westerlund, Murtaza Chiba, Paul Duffy, Paul Hoffman, Peter
Saint-Andre, Ralph Droms, Robert Sparks, Russ blanca, Sean Turner, Sheila Frankel, Stephen Farrell,
Tim Polk, Toerless Eckert, Tom Herbst, Vint Cerf, y Yoshihiro Ohba. Varios de los individuos sugirió un
texto, que era muy útil, ya que los autores no pretenden conocer la mitad que sus revisores
colectivamente hacen.
7 . referencias
[RFC1195] Callon, R., "El uso de OSI IS-IS para el encaminamiento en TCP / IP y
ambientes duales", RFC 1195 , Diciembre de 1990.
[RFC2328] Moy, J., "OSPF Versión 2", STD 54, RFC 2328 ,
Abril de 1998.
[RFC2357] Mankin, A., Romanov, A., Bradner, S., y V. Paxson, "Criterios IETF para la
evaluación fiable de Transporte de multidifusión y protocolos de aplicación",
RFC 2357 ,
Junio de 1998.
[RFC2453] Malkin, G., "RIP Versión 2", STD 56, RFC 2453 ,
Noviembre de 1998.
[RFC2474] Nichols, K., Blake, S., Baker, F., y D. Negro, "Definición del
campo de servicios diferenciados (DS Field) en los encabezados de
IPv4 e IPv6", RFC 2474 ,
Diciembre de 1998.
[RFC2475] Blake, S., Negro, D., Carlson, M., Davies, E., Wang,
Z., y W. Weiss, "Una Arquitectura de Servicios
diferenciados", RFC 2475 , Diciembre de 1998.
[RFC2516] Mamakos, L., Lidl, K., Evarts, J., Carrel, D., Simone, D., y
R. Wheeler, "un método para transmitir PPP sobre Ethernet
(PPPoE)", RFC 2516 ,
Febrero de 1999.
[RFC2616] Fielding, R., Gettys, J., Mogul, J., Frystyk, H., Masinter, L.,
Leach, P. y T. Berners-Lee, "Protocolo de Transferencia de
Hipertexto - HTTP / 1.1", RFC 2616 ,
Junio de 1999.
[RFC2784] Farinacci, D., Li, T., Hanks, S., Meyer, D., y P. Traina, "Generic
Routing Encapsulation (GRE)",
RFC 2784 , Marzo de 2000.
[RFC2865] Rigney, C., Willens, S., Rubens, A., y W. Simpson, "Dial de autenticación
remota de usuario Service (RADIUS)",
RFC 2865 , Junio de 2000.
[RFC3032] Rosen, E., Tappan, D., Fedorkow, G., Rekhter, Y., Farinacci, D., Li,
T., y A. Conta, "MPLS Label pila de codificación",
RFC 3032 , Enero de 2001.
[RFC3235] Senie, D., "de direcciones de red (NAT del traductor) que admite
Directrices de diseño de la aplicación", RFC 3235 ,
Enero de 2002.
[RFC3315] Droms, R., Bound, J., Volz, B., limón, T., Perkins,
C. y M. Carney, "Dynamic Host Configuration Protocol para IPv6
(DHCPv6)", RFC 3315 , Julio de 2003.
[RFC3418] Presuhn, R., "Management Information Base (MIB) para el Simple Network
Management Protocol (SNMP)", STD 62,
RFC 3418 , Diciembre de 2002.
[RFC3453] Luby, M., Vicisano, L., Gemmell, J., Rizzo, L., Handley, M., y J.
Crowcroft, "El uso de Forward Error Correction (FEC) en Multicast
fiable",
RFC 3453 , Diciembre de 2002.
[RFC3561] Perkins, C., Belding-Royer, E., y S. Das, "Ad hoc On-Demand Vector
de Distancia (AODV) Routing", RFC 3561 ,
Julio de 2003.
[RFC3853] Peterson, J., "S / MIME Advanced Encryption Standard (AES) Requisito
para el Protocolo de Iniciación de Sesión (SIP)",
RFC 3853 , Julio de 2004.
[RFC3971] Arkko, J., Kempf, J., Zill, B., y P. Nikander, "Secure Vecino
Descubrimiento (SEND)", RFC 3971 ,
Marzo de 2005.
[RFC4120] Neuman, C., Yu, T., Hartman, S., y K. Raeburn, "El Servicio de
autenticación de red Kerberos (V5)",
RFC 4120 , Julio de 2005.
[RFC4210] Adams, C., Farrell, S., Kause, T. y T. Mononen, "Internet X.509 Public
Key Infrastructure Protocolo de Gestión de certificados (CMP)",
RFC 4210 ,
Septiembre de 2005.
[RFC4271] Rekhter, Y., Li, T., y S. liebres, "una frontera de pasarela de protocolo 4
(BGP-4)", RFC 4271 , Enero de 2006.
[RFC4320] Sparks, R., "Acciones para afrontar identificado problemas con (SIP)
NonINVITE Transacción del Protocolo de Iniciación de Sesión",
RFC 4320 , Enero de 2006.
[RFC4492] Blake-Wilson, S., Bolyard, N., Gupta, V., Hawk, C., y B. Moeller,
"criptografía de curva elíptica (ECC) Cipher Suites para la Seguridad de capa
de transporte (TLS)",
RFC 4492 , Mayo de 2006.
[RFC4614] Duke, M., Braden, R., Eddy, W. y E. Blanton, "Plan de trabajo para
Transmission Control Protocol (TCP Documentos) Especificación",
RFC 4614 , Septiembre de 2006.
[RFC4987] Eddy, W., "ataques por inundación TCP SYN y mitigaciones comunes",
RFC 4987 , Agosto de 2007.
[RFC5072] Varada, S., Ed., Haskins, D., y E. Allen, "IP versión 6 sobre
PPP", RFC 5072 , Septiembre de 2007.
[RFC5191] Forsberg, D., Ohba, Y., Patil, B., Tschofenig, H., y A. Yegin,
"Protocolo de llevar autenticación para el acceso de red (PANA)",
RFC 5191 , Mayo de 2008.
[RFC5280] Cooper, D., Santesson, S., Farrell, S., Boeyen, S., housley, R. y W.
Polk, "Internet X.509 infraestructura de clave pública y la lista de certificados
revocados (CRL) Perfil",
RFC 5280 , Mayo de 2008.
[RFC5289] Rescorla, E., "TLS cifrado de curva elíptica Suites con SHA-256/384 y
AES Galois modo contador (GCM)",
RFC 5289 , Agosto de 2008.
[RFC5340] Coltun, R., Ferguson, D., Moy, J., y A. Lindem, "OSPF para IPv6",
RFC 5340 , Julio de 2008.
[RFC5932] Kato, A., Kanda, M., y S. Kanno, "Camellia Cipher Suites para TLS",
RFC 5932 , Junio de 2010.
[RFC5996] Kaufman, C., Hoffman, P., Nir, Y., y P. Eronen, "Internet Key
Cambio Protocol Version 2 (IKEv2)",
RFC 5996 , Septiembre de 2010.
[RFC6052] Bao, C., Huitema, C., Bagnulo, M., Boucadair, M., y X. Li, "IPv6
Direccionamiento de IPv4 / IPv6 Translators",
RFC 6052 , Octubre de 2010.
[RFC6144] Baker, F., Li, X., Bao, C., y K. Yin, "Marco para IPv4 / IPv6
Translation", RFC RFC6144 , Abril de 2011.
[RPL] Winter, T., Thubert, P., Brandt, A., Clausen, T., Hui, J., Kelsey,
R., Levis, P., Pister, K., Struik,
R., y J. Vasseur, "RPL: Protocolo de enrutamiento de IPv6 para la energía
baja y con pérdidas Redes", Work in Progress, marzo de 2011.
CableLabs ", DOCSIS 3.0 Protocolos de capa [MULPIv3.0 SP-] MAC y superiores
Especificación de interfaz, CM-SP-MULPIv3.0-I10090529" , mayo
de 2009.
En este apéndice se ofrece un ejemplo práctico del uso del conjunto de protocolos de
Internet en una red como la infraestructura de medición avanzada de la red inteligente (IAM).
Hay varios modelos posibles.
La Figura 6 muestra la estructura de la AMI ya que llega hacia un conjunto de residencias. En esta
estructura, tenemos la casa en sí y su red de área Inicio (HAN), la Red de Vecindario (NAN) que la
utilidad utiliza para acceder al metro en la casa, y la red de acceso utilidad que conecta un conjunto de
NAN a la propia utilidad. A los efectos de esta discusión, supongamos que la NAN contiene una
aplicación distribuida en un conjunto de colectores, que por supuesto es sólo una forma en que la
aplicación podría ser implementado.
- - UN
termostatos, electrodomésticos, etc |
------ + ---------------------------------- |
|
| "HAN" | <--- Energy Services Interface (ESI) | + --- + --- + |
\
--- \
UN \ | /
| \|/
| "NAN" + - + - + - + --- + probable un router, pero pude |
| Colector | ser una aplicación de V-extremo delantero
--- \
UN \ | /
| \|/
| "AMI" + --+ -+ -+ --+
| | IAM |
| | cabecera | V
+ ---------+
---
Hay varias preguntas que tienen que ser respondidas en la descripción de esta imagen, que
posibles respuestas dadas rinden diversos modelos posibles. Ellos incluyen al menos:
* El IAM cabecera gestiona las interfaces con los metros, la recogida de datos de
medición y transmitirlo a las aplicaciones apropiadas por el bus de la empresa, o
En la aplicación, estos modelos son idealizada; la realidad puede incluir algunos aspectos de
cada modelo en los casos especificados.
1. Apéndice A.2 presume que la HAN, la NAN, y la red de la utilidad son dominios
administrativos separados y hablan una aplicación a través de esos dominios.
Una consideración clave en el Internet ha sido el desarrollo de nuevas tecnologías de enlace con el
tiempo. La ARPANET originalmente utiliza una capa de enlace de propiedad BBN llamado BBN 1822
[ r1822 ]. A finales de la década de 1970,
la ARPANET cambió a X.25 como una interfaz a la red 1822. Con el despliegue de las
tecnologías de la serie IEEE 802 en la década de 1980, se desplegó IP en Ethernet (IEEE
802.3), Token Ring (IEEE
802.5) y WiFi (IEEE 802.11), así como Arcnet, líneas serie de diversos tipos, Frame Relay, y
ATM. Una cuestión clave en esta evolución fue que las aplicaciones desarrolladas para
funcionar en las API de uso de Internet
relacionado con el IPS, y como resultado requieren poco o ningún cambio de continuar operando en
una nueva arquitectura de capa de enlace o una mezcla de ellos.
La red inteligente es probable que veamos una evolución similar en el tiempo. Considere la red de
área Inicio (HAN) como una red pequeña fácilmente comprensible. En esta coyuntura, las
tecnologías propuestas para las redes residenciales incluyen IEEE P1901, varias versiones de
IEEE
802.15.4, e IEEE 802.11. Es razonable esperar que otras tecnologías que se desarrollarán en
el futuro. A medida que la ZigBee Alliance ha aprendido (y como resultó incorporado el IPS en
Smart Energy Perfil 2.0), hay un valor significativo en el suministro de una dirección virtual que
está asignado a interfaces o nodos conectados a cada una de esas tecnologías.
Utilidad NAN / /
Hay dos modelos de comunicación posibles dentro del Han, ambos de los cuales son
susceptibles de ser útiles. Los dispositivos pueden comunicarse directamente entre sí, o pueden
ser gestionados por algún controlador central. Un ejemplo de comunicación directa podría ser un
interruptor de luz que manda directamente una lámpara para encender o apagar. Un ejemplo de
comunicaciones indirectas podría ser una aplicación de control en un cliente o un edificio que
acepte la telemetría de un termostato, se aplica alguna forma de política, y controla los sistemas
de calefacción y aire acondicionado. Además, hay aparatos de alta gama en el mercado hoy en
día que utilizan banda ancha residencial para comunicarse con sus fabricantes, y, obviamente, el
medidor tiene que comunicarse con la utilidad.
La figura 7 muestra dos redes simples, una de las cuales utiliza 802.15.4 IEEE y IEEE 1901
dominios, y uno de los cuales utiliza una LAN arbitraria dentro de la casa, lo que podría ser IEEE
802.3 / Ethernet, IEEE 802.15.4, IEEE
1901, IEEE 802.11, o cualquier otra cosa que tenía sentido en su contexto. Ambos muestran la
conectividad entre ellos como un router separado del sistema de gestión de energía (EMS). Esto
es para mayor claridad; los dos podrían, por supuesto, ser incorporados en un solo sistema, y uno
podría imaginar aparatos que quieren comunicarse con sus fabricantes que sean compatibles
tanto con una interfaz Han y una interfaz Wi-Fi en lugar de en función del router. Estas son todas
las decisiones de diseño del fabricante.
La HAN puede ser visto como la comunicación con los dos tipos de redes no-HAN. Uno de ellos es
el hogar de LAN, que a su vez puede ser conectado a Internet y, en general, ya sea obtendrá su
prefijo de la ISP aguas arriba o utilizar un auto-generado único direccionamiento local (ULA). Otra
es NAN de la utilidad, que a través de una ESI proporciona conectividad utilidad para la HAN; en
este caso la HAN será abordado por un auto-generado ULA (nota, sin embargo, que en algunos
casos ESI también puede proporcionar un prefijo a través de DHCP [
Redes 802.11), y que debe ser capaz de establecer redes ad hoc entre varios sensores en el hogar
(por ejemplo, entre el medidor y decir, un termostato) en el caso de que no haya otras redes
disponibles.
Capa de enlace: ¿Por qué es su máquina capaz de hablar en mi red? Los SSID WiFi utilizan a
menudo alguna forma de control de acceso autenticado, que puede ser un simple mecanismo de
contraseña cifrada o puede utilizar una combinación de cifrado y autenticación + EAP-TLS IEEE
802.1X /
Autorización para asegurarse de que sólo las personas autorizadas comunicantes pueden usarlo. Si una LAN
tiene un router conectado, el router también puede implementar un cortafuegos para filtrar los accesos remotos.
Capa de red: Teniendo en cuenta que su máquina está autorizado el acceso a mi red, ¿por qué su
máquina hablando con mi máquina? IPsec es una forma de asegurar que los ordenadores que se
pueden conectar a una red se les permite hablar entre sí, también puede cumplir la
confidencialidad, y puede proporcionar servicios VPN para hacer que un dispositivo o red parecen
ser parte de una red remota.
Aplicación remota: ¿Cómo sé que los datos que he recibido es que los datos que envió? Especialmente
en aplicaciones como el correo electrónico, donde los datos pasa a través de una serie de
intermediarios que uno puede o no realmente quieren munging ella (¿cuántas veces has visto una URL
roto por un servidor de correo?), Disponemos de herramientas (DKIM, S / MIME y W3C firmas XML
para nombrar unos pocos) que proporcionan no repudio y la verificación de la integridad. Esto también
puede tener ramificaciones legales: si un registro de la lectura del contador se va a utilizar en la
facturación, y la factura se disputa en los tribunales, uno podría imaginar la cancha con ganas prueba
de que el registro de hecho vino de ese metro en ese momento y contenido esos datos.
Los dispositivos de la HAN quieren acceso controlado a la red local de que se trate, por razones
obvias. Además, debe haber alguna forma de autenticación mutua entre dispositivos - el
controlador de la lámpara va a querer saber que el interruptor de la luz diciendo que cambie de
estado es el interruptor de la luz derecha, por ejemplo. El EMS también puede querer autenticación
fuerte de accesos - los padres pueden no querer a los niños
En este primer modelo, considere los tres dominios de la Figura 6 a ser literalmente dominios
administrativos separados, potencialmente operados por diferentes entidades. Por ejemplo, la
NAN podría ser una red WiMAX operado por un operador de telecomunicaciones tradicional, la
red de la utilidad (incluyendo el colector) es su propia, y la red residencial es operado por el
residente. En este modelo, mientras que las comunicaciones entre el colector y el medidor son
normales, la utilidad no tiene otro acceso a los aparatos en el hogar, y el colector no lo hace
directamente hacia delante los mensajes de la NAN aguas arriba.
En este caso, como se muestra en la Figura 7, tendría más sentido para el diseño del colector, el
medidor y el SME como anfitriones en la NAN -Diseño como sistemas cuyas aplicaciones pueden
originar y terminar sesiones de intercambios o en el NAN, pero el tráfico no hacia adelante desde o
hacia otros dispositivos.
En tal configuración, respuesta a la demanda tiene que ser realizada por tener el SME aceptar mensajes
tales como señales de los precios de la "parte superior del poste", aplique alguna forma de política, y
luego orquestar acciones dentro de la casa. Otra posibilidad es que el SME comunicarse con el ESI se
encuentra en el medidor. Si el termostato tiene una alta demanda y baja demanda de configuración (día /
noche o por la mañana / día / tarde / noche), respuesta a la demanda podría dar lugar a que se mueva a
una posición menor demanda, y el SME también puede desactivar los circuitos especificados en el hogar
de disminuir la iluminación.
En este escenario, la calidad de servicio (QoS) problemas surgen cuando los informes, mensajes de
prioridad alta se deben enviar a través del colector a la casa; Si el colector está ocupada sondeo de los
metros o hacer alguna otra tarea, la aplicación no puede ceder el control del procesador a la aplicación
que brinda servicio al mensaje. Claramente, esto es o bien una aplicación o un problema del sistema
operativo; aplicaciones deben ser diseñados de una manera que no bloquea mensajes de prioridad alta.
El colector también tiene que utilizar los servicios de NAN apropiadas, si es que existen, para
proporcionar la calidad de servicio que necesita NAN. Por ejemplo, si WiMax está en uso, puede utilizar
un servicio a nivel de rutina para los intercambios normales, pero un servicio de mayor prioridad para
estos mensajes.
En este segundo modelo, imaginemos que la utilidad accede directamente a los artefactos dentro de los
Han. En lugar de esperar un EMS para responder a las señales de precios en respuesta a la demanda, se
manda directamente dispositivos como aparatos de aire acondicionado para cambiar de estado, o lanza
relés en circuitos o dentro de la casa.
En este caso, como se muestra en la Figura 8, el medidor y EMS actúan como hosts de la HAN,
y hay un enrutador entre el HAN y la NAN.
Como uno puede imaginar, hay consideraciones de seguridad graves en este modelo. El
tráfico entre la NAN y la red de banda ancha residencial debe ser filtrada, y las cuestiones
planteadas en Apéndice A.1.2
asumir un nuevo nivel de significado. Una de las mayores amenazas puede ser un legal o al menos
un problema de relaciones públicas; Si la utilidad deshabilita intencionalmente un circuito de una
forma o en un momento que amenaza la vida (máquina de diálisis de riñón del residente es en él, o un
respirador, por ejemplo), la materia podría hacer que los papeles. El acceso no autorizado podría ser
parte de travesuras juveniles u otras cosas así. Así que uno realmente quiere los aparatos sólo por
obedecer órdenes bajo estrictos controles de autenticación / autorización.
EMail: fred@cisco.com
EMail: dmm@cisco.com