第七章 安全考量（Security Consideration）

7.1 iSNS潜在危险分析（iSNS Security Threat Analysis）
        当iSNSP配置后，iSNS服务器和iSNS客户端之间的交互受到以下几个安全威胁：
            1）、攻击者可能改变iSNSP消息，比如：通过欺诈设备旁路iSNSI和iFCP设备的连接，或稍弱/删除iSCSI或iFCP通讯的IPSec保护。
            2）、攻击者可能通过发送错误iSNS HearBeat消息，实现欺诈iSNS服务器。这导致iSCSI和iFCP设备使用欺诈iSNS服务器。
            3）、攻击者可能通过监听iSNSP消息，获得iSCSI和iFCP设备的信息。这些信息可能被用来直接实施对iSCSI和iFCP设备的攻击，或直接进行偷窃。
        为了防止这些攻击，必须要有以下几种能力：
            1）、单路的iSNSP消息需要验证。另外，为了防止威胁3），iSNS服务器的一些功能需要实现加密通讯。
            2）、广播的iSNSP消息需要鉴别，比如iSNS Heartbeat消息。因为它们不泄露消息，所以不需要加密。
7.2 iSNS Security Implementation and Usage Requirements
        如果iSNS服务器被用来给iFCP和iSCSI设备的连接分发许可（authorizations），NULL传输的IPSec ESP必须（MUST）实现，NON-NULL传输的IPSec ESP可以（MAY）实现。如果实现了NON-NULL的传输，那么DES加密算法不应该（SHOULD NOT）被使用。
        如果iSNS服务器被用来给iFCP和iSCSI设备分发security policy，那么authentication, data integrity, and confidentiality必须（MUST）实现。那里需要保持机密性（confidentiality），就应该（SHALL）实现Non- Null通讯的IPSec ESP，并且DES加密算法不应该（SHOULD NOT）使用。
        如果iSNS服务器为客户端提供boot list（Section 6.11.2.9），那么这个iSCSI Boot Client应该（SHOULD）实现一个安全的iSNS连接。
        为了预防攻击者的伪装成iSNS服务器，客户度的设备必须（MUST）支持鉴别iSNS HeartBeat之类的Broadcast或Multicast消息。iSNS Authentication Block（which is identical in format to the SLP authentication block）应该（SHALL）在这时被使用。iSNS客户端必须（MUST）实现iSNS Authentication Block，并必须（MUST）支持值为0x002BSD。如果iSNS服务器支持Broadcast或Multicast消息（如： Heartbeat），那么服务器必须（MUST）实现iSNS Authentication Block，并必须（MUST）支持值为0x002BSD。注意：iSNS Authentication Block只能用在Broadcast或Multicast消息中，并且必须不能（MUST NOT）在单路消息中使用。
        这里没有要求iSNSP消息在通讯工程中加密。特别是iSNS服务器的身份和位置没有加密。为了保护单路iSNSP消息，iSNS服务器必须（MUST）实现ESP in Tunnel Mode，并且可能（MAY）实现Transport Mode。
        所有iSNS实现的安全机制必须（MUST）支持IPsec中的重复包含机制（Replay Protection Mechanisms of IPSec）。
        iSNS实现必须（MUST）支持Authentication的IKE Main Mode和Aggressive Mode。

（可能不需要实现，以后看！）