Этот раздел описывает поддержку сигнализации для протоколов обмена сообщениями защиты в соединениях типа точка-точка и точка-много точек.

При интерфейсе UNI, поток FLOW1-2WE переносится в УСТАНОВОЧНОМ (SETUP-сообщение) сообщении, а поток FLOW2-2WE идет в сообщении ПОДКЛЮЧЕНИЯ (CONNECT-сообщение).

В PNNI и B-ICI интерфейсах , поток FLOW1-2WE переносится в сетевом эквиваленте UNI SETUP-СООБЩЕНИЯ, а поток FLOW2-2WE идет соответственно в сетевом эквиваленте UNI CONNECT-СООБЩЕНИЯ.

Процедуры сигнализации для установления соединения радиально-узловой многоточечной связи

(соединения типа точка-много точек) описаны в спецификации АТМ Форум UNI 4.0 [3] сигнализация и ITU Q.2971 [22].

Установка подключения для последующих сторон (листьев) обеспечивается с двухсторонним обменом сообщениями защиты.

При интерфейсе UNI на звонящей стороне, FLOW1-2WE переносится в ADD PARTY-сообщении, а FLOW2-2WE соответственно идет в ADD PARTY ACK-сообщении (ACK = УВЕДОМЛЕНИЕ ОБ УСПЕШНОМ ПОЛУЧЕНИИ).

При интерфейсе UNI на вызываемой стороне, FLOW1-2WE переносится в SETUP-СООБЩЕНИИ, а FLOW2-2WE идет в CONNECT-СООБЩЕНИИ.

В PNNI и B-ICI интерфейсах , FLOW1-2WE переносится в сетевом эквиваленте UNI ADD PARTY-сообщения, а FLOW2-2WE идет соответственно в сетевом эквиваленте UNI CONNECT-СООБЩЕНИЯ.

Процедуры сигнализации для инициализированной листом возможности связи описаны в Разделе 6.0 Сигнализация UNI 4.0 Форума ATM .

Имеются два режима работы, связанные с инициализированной листом возможности связи: корень запрошенная связь и лист запрошенная связь без корневого уведомления. Первое SETUP-СООБЩЕНИЕ исходящее от корня укажет, является ли данный режим режимом корнем запрошенной связи или же режимом лист запрошенной связи без уведомления корня.

В этом режиме работы, так как любое прибавление (или перемещение) листа обрабатывается корнем, то применяются процедуры безопасности соединения типа точка-много точек, описанные выше, и никакое дополнительное расширение этих процедур не требуется.

В этом режиме работы, если запрос листа - для существующего соединения, сеть обрабатывает запрос.

Корень не уведомлен, когда лист добавлен к нему или удален (отключен). Этот тип подключения упомянут как LIJ-сеть соединение.

В этом режиме работы, так как добавление (или перемещение) листа не обрабатывается корнем, то текущие процедуры безопасности соединения типа точка-много точек, описанные выше не применяются. Поддержка этого режима работы - вне контекста этих Технических требований.

Обратитесь к Разделу 1.3, где дается определение понятия "Агент Безопасности" ("Security Agent"="SA").

SAsme должен установить индикатор [5] Pass Along в один, так те узлы PNNI, что не реализуют SA по пути ВИРТУАЛЬНОГО КАНАЛА, пропустят SSIE к следующему узлу. Индикатор Действия Элемента Информации (IE Action Indicator) в Поле Команды Элемента Информации (IE Instruction Field) из SSIE будет установлен в 001 " Элемент Информации Брака и Продолжения работы ". Рекомендуется, чтобы Агенты Безопасности были способны к обработке отчета состояния, сгенерированного по значению 010 " Элемент Информации Брака, Продолжения работы и Отчета о состоянии. " Потеря SSIE будет отмечена в CONNECT-СООБЩЕНИИ так, чтобы могли быть вызваны соответствующие действия политики безопасности.

Секции Защищенного Соединения (SAS'ы) в пределах SSIE обрабатываются как "атомарные" объекты, и так они обрабатываются все до последнего, причем последовательно.

В случае, когда ошибки происходят в течение обработки, и службы безопасности не могут быть выполнены или установлены, агент безопасности должен сам уведомить сигнализацию, чтобы очистить запрос, и обеспечить код ошибки(причины) и диагностику.

Следующие процедуры описывают действия, принятые агентами безопасности для получения сообщения, содержащего SSIE. Агенты Безопасности Версии 1 игнорируют SSIE'ы, встречающиеся в любом другом сообщении.

По получении SETUP-СООБЩЕНИЯ с помощью инициирующего агента безопасности ATM, все SSIE Секции Защищенного Соединения (SAS'ы), которые присутствуют в сигнальном сообщении, анализируются и самый большой Relative ID, Security Association ID отмечается. Если не имеется существующих SSIE SAS'ов, то самый большой Relative ID - нулевой по определению.

Базирующийся на службе безопасности, которую агент безопасности должен обеспечивать, инициирующий агент безопасности, генерирует соответствующие Секции Защищенного Соединения (SAS) для вложения в сообщения, обеспечения всех принудительных полей, которые могут требоваться. Инициирующий SA будет гарантировать что:

1. Номер версии для всех Служб безопасности Версии 1.0 Форума ATM нулевой.

2. Транспортный метод выбран и обозначен в поле Transport Indicator, используя рекомендации, точно установленные в Разделе 5.1.3.2.4 этого документа.

3. Состояние Обмена Сообщениями Безопасности установлено на нуль. Это указывает, что этот SAS содержит информацию для FLOW1 двустороннего или трехстороннего протокола обмена сообщениями.

6. Агент безопасности распределяет новое значение Security Association ID для служб безопасности SAS, как описано в Разделе 5.1.3.2.8. Security Association ID отмечен и используется, чтобы опознавать соответствующий SSIE SAS в ожидаемом CONNECT-СООБЩЕНИИ.

Ошибку. В этом случае, сообщение возвращается объекту сигнализации.

Если не имеется никакого существующего SSIE, тогда инициирующий SA должен определить, является ли запрос ошибкой. Это решение основано на политике безопасности инициирующего SA. Если SAS'ы нерешены или частично решены, инициирующий SA может возвратиться к внутриполосному обмену сообщениями, чтобы установить службу безопасности.

Инициирующий агент безопасности обрабатывает все соответствующие SAS'ы, в убывающем порядке, основанном на Relative ID. Если ошибка происходит в течение обработки, агент безопасности возвратит условие отказа " Протокол Безопасности, обрабатывающий Отказ. "

Для каждой SAS, инициирующий агент безопасности обрабатывает содержание SAS до ее конца. Если обработка завершается успешно, то инициирующий агент безопасности может исполнять дополнительную обработку, в зависимости от значения поля Transport Indicator. Если Transport Indicator (Индикатор Переноса) - Основанная на сигнализации передача сообщений, то никакая дополнительная обработка не выполняется. Если Transport Indicator (Индикатор Переноса) - Внутриполосная Передача сообщений, то инициирующий агент безопасности исполняет Внутриполосный Обмен сообщениями Безопасности как выделено в Разделе 5.1.5. Если ошибка происходит в течение расширенной обработки SME, агент безопасности возвратит условие отказа: " Протокол Безопасности, обрабатывающий Отказ. " После успешного завершения расширенного SME, инициирующий агент безопасности обрабатывает следующую соответствующую SAS. В этом случае, сообщение возвращается объекту сигнализации.

Отвечаующий агент безопасности обрабатывает все соответствиющии SAS'ы, в порядке убывания, основанном на Relative ID SAS'ов. Если ошибка происходит в течение обработки, агент безопасности возвратит условие отказа " Протокол Безопасности, обрабатывающий Отказ".

Каждая SAS обрабатывается до конца, а затем уже обработка может переходить к следующей SAS.

Поддерживаются любые последовательные потоки или запросы к обработанным SAS'ам, ожидающим достижения соответствующего CONNECT-СООБЩЕНИЯ для этого ВИРТУАЛЬНОГО КАНАЛА.

Если бит Брака в поле Scope установлен (1), агент безопасности удаляет SAS из SSIE и корректирует длину SSIE. Если никаких других SAS'ов не остается, то SSIE удаляется из сигнального сообщения. Если Бит Брака нулевой (0), SAS запоминается и не модифицируется в сигнальном сообщении. В этом случае сообщение возвращается объекту сигнализации.

По получении CONNECT-СООБЩЕНИЯ отвечающим агентом безопасности, все SSIE Секции Защищенного Соединения (SAS), которые присутствуют в сигнальном сообщении, анализируются и самый большой Relative ID Security Association ID отмечается. Если не имеется никаких существующих SSIE SAS'ов, то самый большой Relative ID нулевой. Агент безопасности определяет, что Relative ID любого ожидающего решения второго (2 nd) потока или запросы SAS'ов - не меньше чем самый большой наблюдаемый Relative ID в текущем сообщении. Если только это выполнено, агент безопасности формирует одну или большее количество SAS'ов (с Flow Indicatorom'ом, установленным в 1, чтобы указать FLOW2 сообщение), и записывает или конкатенирует ожидаемые SAS'ы к SSIE. Если любые ошибки обработки происходят, агент безопасности возвратит соответствующую аварийную ситуацию, и объект сигнализации снимит запрос с условием отказа: " Протокол Безопасности, обрабатывающий Отказ " (см. Раздел 5.1.6). В этом случае, сообщение возвращается объекту сигнализации.

Оконечная точка или узел (host), который не обеспечивает службы безопасности, может (как опция) запросить службы безопасности из закачиваемого потока агента безопасности следующим образом:

1. Вставить Элемент Информации Служб безопасности в SETUP-СООБЩЕНИЕ на канале сигнализации.

2. Установить поле Security message exchange Protocol Type (октет 5.9) к "неопределенному" кодпоинту (" 0 0 ").

3. Вставить любую комбинацию следующих дополнительных полей, указывая желательную(ые) службу(ы) и-или алгоритм (ы):

- Объявление Службы безопасности,

- Алгоритм конфиденциальности Данных,

- Алгоритм целостности Данных,

- Алгоритм Хэш-функции,

- Алгоритм Сигнатуры,

- Алгоритм Обмена ключами,

- Алгоритм модификации Сеансового ключа,

- Алгоритм Управления доступом.

Множественные алгоритмы могут быть вставлены в порядке предпочтения для каждой запрошенной службы безопасности.

По получении такого запроса(заявки), агент безопасности заменяет Элемент Информации Служб безопасности одним его по собственному выбору, основанному на политике безопасности. Агент безопасности не находится ни под каким обязательством использовать параметры, запрашиваемые оконечной точкой или узлом (host). Должно быть отмечено, что этот процесс не безопасен, и что доверенная связь между оконечной точкой и агентом безопасности допускается в данной систиме.

Агент безопасности должен подтвердить запрос безопасности, полученный от оконечной точки следующим образом:

1. Вставить Элемент Информации Служб безопасности в CONNECT-СООБЩЕНИЕ на канале сигнализации.

2. Установить протокол обмена сообщениями безопасности к неопределенному кодпоинту ("00").

3. Указать, которую(ые) службу(ы), и-или алгоритм(ы) были согласованы агентами безопасности, только для тех объектов, где специальный запрос был сделан.

Оконечная точка (или host) тогда бы имела опцию отказа запроса, если она не получала службу(ы) и-или алгоритм(ы), которые она желала получить.