YDT 基于公用电信网的宽带客户网络安全技术要求.docx
《YDT 基于公用电信网的宽带客户网络安全技术要求.docx》由会员分享,可在线阅读,更多相关《YDT 基于公用电信网的宽带客户网络安全技术要求.docx(54页珍藏版)》请在冰点文库上搜索。
YDT基于公用电信网的宽带客户网络安全技术要求
YDT2095-2010基于公用电信网的宽带客户网络安全技术要求
ICS33.040.99
M19YD
中华人民共和国通信行业标准
YD!
T2095-2010
基于公用电信网的宽带客户网络
安全技术要求
Securitytechnicalrequirementsforbroadbandcustomernetwork
basedontelecommunicationnetwork
2010-12-29发布2011-01-01实施
中华人民共和国工业和信息化部发布
YDrr2095-2010
目〉欠
前言.............................…...?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
.?
?
.?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
.?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
.?
?
?
?
..?
?
?
?
.?
?
..?
?
?
?
?
?
?
?
?
?
?
?
.........…................…........rr
1范围……
2规范性引用文件........
3术语与定义…..
4缩略语........….........……...............…..........................….......…...........................................2
5宽带客户网络的安全概述…….........…………………………………………………………………………...3
5.1宽带客户网络的参考模型.........
5.2宽带客户网络安全的特点..........
6宽带客户网络面临的安全威胁........…..................….........................................................…·…4
6.1概述……………………………………………………………………………………………………·叫
6.2通用安全威胁.........……………………………………………………………………………………4
6.3移动环境的安全威胁.................….....................…·…….......…...................................4
7宽带客户网络的安全需求................…................................
7.1概述........…·…………………………………………………………………………………………·→
7.2宽带客户网络安全需求........…........................…..?
?
?
?
?
?
?
?
?
?
..?
?
?
?
?
?
.........…........…...............…..5
7.3安全需求与安全威胁的关系.............…..?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
.?
?
.?
?
?
?
?
?
?
?
.?
?
?
?
?
?
?
?
.....…..........6
8宽带客户网络的安全机制概述.......…...................................................................................7
8.1加密............…………………………………………………………………………………………·叮
8.2数字签名........................................…...............…........................….......................7
8.3访问控制………………………………………………………………………………………………..吁
8.4数据完整性……………………………………………………………………………………………·叮
8.5认证........................………………………………………………………………………………·叮
8.6密钥管理…................…..………………………………………………………………………….'.8
9宽带客户网络的安全算法................................................…........…....................................….9
10设备证书轮廓..........................................….....................................................................9
10.1概述…………………………………………………………................................................9
10.2设备认证框架….................….........................…...?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
.?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
...….............…..9
10.3证书轮廓........................................…..?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
...….............................….........….9
10.4证书管理.....................……………………………………………………………………………9
11宽带客户网络安全功能要求..........................................….......?
?
?
?
?
?
?
?
?
?
.?
?
?
?
?
?
?
?
?
?
......…........….......……9
11.1内部联网安全…........…...............................................…......................................9
11.2IP访问安全..............…....................................…..............................................9
11.3用户认证和业务安全.........?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
.?
?
?
?
?
?
?
?
...........….......…......?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
.....11
11.4设备管理安全…...?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
....?
?
.?
?
?
?
.?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
?
.?
?
?
?
..
I
YDrr2095-2010
目IJi=i
本标准是;基于公用电信网的宽带客户网络;系列标准之一。
该系列标准的结构和名称预计如下。
1.基于公用电信网的宽带客户网络总体技术要求。
2.基于公用电信网的宽带客户网络服务质量(QoS)技术要求。
3.基于公用电信网的宽带客户网络安全技术要求。
4.基于公用电信网的宽带客户网络的远程管理z
第1部分z总体z
第2部分z协议:
第3部分:
协议互通技术要求:
第4部分z协议互通测试方法:
第5部分:
网关配置参数;
第6部分IP电话适配设备配置参数:
第7部分IPTV业务适配设备配置参数。
5.基于公用电信网的宽带客户网络联网技术要求:
第1部分z电力线(PLC)联网:
第2部分:
同轴电缆联网。
6.基于公用电信网的宽带客户网络编址技术要求。
7.基于公用电信网的宽带客户网络环境保护要求。
8.基于公用电信网的宽带客户网络设备技术要求:
第1部分:
网关:
第21部分:
适配设备E电话业务;
第22部分z适配设备IPTV业务:
第31部分z用户终端设备无线P电话:
第32部分:
用户终端设备有线E电话。
9.基于公用电信网的宽带客户网络电磁兼容要求。
10.基于公用电信网的宽带客户网络数字版权技术要求。
11.基于公用电信网的宽带客户网络业务媒体格式技术要求。
本标准由中国通信标准化协会提出井归口。
本标准起草单位z工业和信息化部电信研究院、武汉邮电科学研究院、中国电信集团公司、中兴通
讯股份有限公司、上海贝尔股份有限公司、华为技术有限公司。
本标准主要起草人:
程强、敖立、桑梓勤、王波、阳彦字、鲁林丽、张钦亮。
E
.bzfxw4>>
YD汀2095-2010
基于公用电信网的宽带客户网络安全技术要求
范围
本标准规定了基于公用电信网的宽带客户网络的安全威胁、安全需求、安全机制和安全算法、设备
认证证书轮廓以及安全功能。
本标准适用于电信网络提供的业务和应用通过网关在宽带客户网络内部实现的情况,对仅在宽带客
户网络内部设备之间信息流通的情况也可参考使用。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。
凡是注日期的引用文件,其随后所有的
修改单(不包括勘误的内容)或修订版均不适用于本标准。
然而,鼓励根据本标准达成协议的各方研究
是否可使用这些文件的最新版本。
凡是不注日期的引用文件,其最新版本适用于本标准。
YD/T1448-2006基于公用电信网的宽带客户网络总体技术要求
ITU-TX.509信息技术—开放系统互连—号码簿:
公钥和属性鉴别框架
ITU-TX.805提供端到端通信的系统的安全体系
1TU-TX.1121移动端到端数据通信的安全技术框架
BroadbandFORUMTR-069CPEWAN管理协议
Amendment1(2006)
3术语与定义
下列术语和定义适用于本标准。
3.1
授权证书AuthorizationCertificate
用于为对象授权的一个签名物。
它至少包括一个发放者和一个对象。
它可以包括有效性条件、授权
和委托信息。
通常,证书可以分为3类:
身份证书、属性证书和授权证书。
身份证书用于映射对象的名字
和公钥,属性证书用于映射对象的名字和授权,授权证书用于映射对象的授权和公钥。
获得一个授权证
书或属性证书可以代表对象从发放者获得所有或部分权限。
3.2
身份证书IDCertificate
一段信息,其中至少声明了授权发放者名称、证书对象身份、该对象公钥、证书有效期、序号和认
证中心的数字签名。
3.3
设备证书DeviceCertificate
身份证书的一种,在宽带客户网络中,它是一个符合ITU-TX.509版本3的证书,用于认证宽带客户网
络设备。
它可以由宽带客户网络内部CA发放,也可由外部CA发放。
yorr2095-2010
基于公用电信网的宽带客户网络安全技术要求
1范围
本标准规定了基于公用电信网的宽带客户网络的安全威胁、安全需求、安全机制和安全算法、设备
认证证书轮廓以及安全功能。
本标准适用于电信网络提供的业务和应用通过网关在宽带客户网络内部实现的情况,对仅在宽带客
户网络内部设备之间信息流通的情况也可参考使用。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。
凡是注日期的引用文件,其随后所有的
修改单(不包括勘误的内容〉或修订版均不适用于本标准。
然而,鼓励根据本标准达成协议的各方研究
是否可使用这些文件的最新版本。
凡是不注日期的引用文件,其最新版本适用于本标准。
四厅1448-2006基于公用电信网的宽带客户网络总体技术要求
πU-TX.509信息技术一一开放系统互连一-号码簿z公钥和属性鉴别捏架
πU-TX.805提供端到端通信的系统的安全体系
πU-TX.1l21移动端到端数据通信的安全技术框架
BroadbandFORUMTR-069CPEWAN管理协议
AJnendrnent1(2006)
3术语与定义
下列术语和定义适用于本标准。
3.1
授权证书AuthorizationCertificate
用于为对象授权的一个签名物。
它至少包括一个发放者和一个对象。
它可以包括有效性条件、授权
和委托信息。
通常,证书可以分为3类z身份证书、属性证书和授权证书。
身份证书用于映射对象的名字
和公钥,属性证书用于映射对象的名字和授权,授权证书用于映射对象的授权和公钥。
获得一个授权证
书或属性证书可以代表对象从发放者获得所有或部分权限。
3.2
身份证书10Certificate
一段信息,其中至少声明了授权发放者名称、证书对象身份、该对象公钥、证书有效期、序号和认
证中心的数字签名。
3.3
设备证书OeviceCertificate
身份证书的一种,在宽带客户网络中,它是一个符合πU-TX.509版本3的证书,用于认证宽带客户网
络设备。
它可以由宽带客户网络内部CA发放,也可由外部CA发放。
.bzfxw>
YD汀2095-2010
3.4
加盐Salt
在已执行哈希运算的密码中插入一个随机数字。
这一策略有助于阻止潜在的攻击者利用预先计算的
字典进行攻击。
3.5
Smurf攻击SmurfAttack
一种拒绝服务攻击的方法,通过伪装成受害主机的源IP地址发送目的地址为广播地址的Ping包,利用
大量的Ping响应攻击受害者。
3.6
LAND攻击LANDAttack
一种拒绝服务攻击的方法,通过向受害主机发送源和目的地址相同设为受害主机地址的IP报文,导
致受害主机连续地向自身发送响应报文。
4缩略语
下列缩略语适用于本标准。
ACLAccessControlList
APAccessPoint
ARPAddressResolutionProtocol
CACertificateAuthority
CHAPChallengeHandshakeAuthenticationProtocol
DoSDenialofService
DMZDeMilitarizedZone
EUTEEndUserTerminalEntity
FPEFunctionalProcessingEntity
FTPFileTransferProtocol
HTTPHypertextTransferProtocol
HTTPSHypertextTransferProtocolSecure
ICMPInternetControlMessageProtocol
IGMPInternetGroupManagementProtocol
IPInternetProtocol
IPoEIPoverEthernet
IPTVIPTelevision
LANLocalAreaNetwork
MACMediaAccessControl
MGCPMediaGatewayControlProtocol
NAENetworkAccessEntity
NCENetworkCoreEntity
SIPSessionInitiationProtocol
访问控制列表
接入点
地址解析协议
证书机构
质询握手认证协议
拒绝服务
隔离区
用户终端功能实体
功能处理实体
文件传输协议
超文本传送协议
超文本安全传送协议
互联网控制消息协议
互联网组管理协议
互联网协议
以太网承载IP
IP电视
局域网
媒质访问控制
媒体网关控制协议
网络接入实体
网络核心功能实体
会话初始化协议
YDrr2095-2010
3.4
加盐Salt
在己执行哈希运算的密码中插入一个随机数字。
这一策略有助于阻止潜在的攻击者利用预先计算的
字典进行攻击。
3.5
Smurf攻击SmurfAttack
一种拒绝服务攻击的方法,通过伪装成受害主机的源E地址发送目的地址为广播地址的民ng包,利用
大量的Ping响应攻击受害者。
3.6
LAND攻击LANDAttack
一种拒绝服务攻击的方法,通过向受害主机发送源和目的地址相同设为受害主机地址的E报文,导
致受害主机连续地向自身发送响应报文。
4缩略语
下列缩略语适用于本标准。
ACLAccessControlList访问控制列表
APAccessPoint接入点
ARPAddressResolutionProtocol地址解析协议
CACertificateAuthority证书机构
CHAPChallengeHandshakeAuthenticationProtocol质询握手认证协议
DoSDenia1ofService拒绝服务
DMZDeMilitarizedZone隔离区
EUTEEndUserTermina1Entity用户终端功能实体
FPEFunctiona1prωessingEntity功能处理实体
FTPFi1eTransferProtocol文件传输协议
lITTPHypertextTransferProtocol超文本传送协议
lITTPSHypertextTransferProtocolSecure超文本安全传送协议
ICMPInternetControlMessageProtocol互联网控制消息协议
IGMPInternetGroupManagementProtocol互联网组管理协议
EInternetProtocol互联网协议
IPoEIPoverEthernet以太网承载E
IPTVIPTelevisionE电视
LANL∞a1AreaNetwork局域网
MACMediaAccessControl媒质访问控制
MGCPMediaGatewayControlProt∞01媒体网关控制协议
NAENetworkAccessEntity网络接入实体
NCENetworkCoreEntity网络核心功能实体
SIPSessionInitiationProtω01会话初始化协议
2
.bzfxw>
YD汀2095-2010
SNMPSimpleNetworkManagementProtocol
PAPPasswordAuthenticationProtocol
PPPPointtoPointProtocal
PPPoEPPPoverEthernet
PPPoAPPPoverATM
QoSQualityofService
RBACRole-basedAccessControl
SIPSessionInitiationProtocol
SSHSecureShellProtocol
SSIDServiceSetidentifier
SSLSecureSocketLayer
TCPTr*nsmissionControlProtocol
TLSTransportLevelSecurity
UDPUserDatagramProtocol
WANWideAreaNetwork
WLANWirelessLocalAreaNetwork
5宽带客户网络的安全概述
简单网络管理协议
密码认证协议
点到点协议
以太网承载PPP
ATM承载PPP
服务质量
基于角色的访问控制
会话初始协议
安全壳协议
服务集标识
安全套接字层
传输控制协议
传送层安全
用户数据报协议
广域网
无线局域网
5.1宽带客户网络的参考模型
YD/T1448-2006给出了基于公用电信网的宽带客户网络的参考模型,如图1所示。
宽带客户网络
网络接入功能实体
(NAE)
网络核心功能实体
(NCE)
用户终端
功能实体
(EUTE)
功能处理实体
(FPE)
用户终端
功能实体
(EUTE)
图,宽带客户网络参考模型
在图1中,NAE为宽带客户网络提供接入功能;NCE负责完成宽带客户网络的核心功能,包括:
宽带
客户网络内部设备的联网、远程管理、QoS、安全等;FPE负责IP/非IP的转换,以及信令、媒体格式的转
换;EUTE由用户直接使用,提供UI界面。
5.2宽带客户网络安全的特点
宽带客户网络位于网络的末端,混合了有线和无线联网技术,并且直接给用户提供使用界面,具有
独特的安全特点:
一使用各种不同的传输媒质;
一混合有线和无线的联网技术;
一不同的客户有不同的应用场景和安全要求;
一用户可能随身携带终端;
yorr2095-2010
SNMPSimp1eNetworkManagementProtoco1简单网络管理协议
PAPPasswordAuthenticationProtoco1密码认证协议
PPPPointtoPointProt∞al点到点协议
PPPoEPPPoverEthemet以太网承载PPP
PPPoAPPPoverAτMATM承载PPP
QoSQualityofService服务质量
RBACRo1e-basedAccessContro1基于角色的访问控制
SIPSessionInitiationProt,臼01会话初始协议
SSHSecureShellProt∞01安全壳协议
SSIDServiceSetidentifier服务集标识
SSLSecureSocketLayer安全套接宇层
TCPTransmissionContro1Prot∞01传输控制协议
τLSTransportLevelSecurity传送层安全
UDPUserDatagramProtoco1用户数据报协议
WANWideAreaNetwork广域网
WLANWire1essL∞alAreaNetwork无线局域网
5宽带客户网络的安全概述
5.1宽带客户网络的参考模型
YD.厅1448