【通信行业标准(YD)】 IP网络安全技术要求——安全框架

中华人民共和国通信行业标准
YD/T 1163—2001
IP网络安全技术要求一一安全框架IP Network Security Technical RequirementeSecurity Frame2001-10-19发布
中华人民共和国信息产业部
2001-11-01实施
YD/T1163——2001
引同标准
符号与销略语
些本概念与定义
访问控制
路出控制
格码你制
...............................士动威activehrcat)
被动成助pussivethaeat)
探作检测
通信.业务(uratic)分析
友全审
安会审计事付
数学蔡名
认证管忘
可边湖性
可用性
机密性
通信收务填充
密码校检值
数据些性
物程案会
安全标符
安全服务
安宁策恪
安全缴别
选择战保
敏感性
4.31服务排绝
4.32防重放
5IP网基本要型
5. 1 TCP/TP 协议族
5.2链路层
网络层·
54传输层·
5.5应用层
安余股务与安全机制
概述·
安全服务·
安全机制·
7网安全体案结构
7.1安企影务、安全机测与模型分层的关系·…7.2
链路层空全技水要求
互联网络易安全技术要求
7.4传输虑安全技术要求
了.5应用层交全安术要求
8加率算法与认训算法
8.1加密法
8.2认证算法
9安全管理
9.1概述.
9.2全管伴
附录4（抚示附录）GSS-AP[实现小范附录B（提尔的附录）安全背最认1
Y11632001
本标准规完苯于密码装术的网路实全技木，零求RFCISOMEC等宇列标准，东办层网络中
不同层：安全性进行了他架性的范述。本标准附求2、附求B都是提示的附录。本标准出信息产业部电信研究院缇出关归口。卡标准危草单位：信息产收部缴诺科学技术研究所深圳市中兴通讯股份有限公页
信息产业部电信传输研究所
华为技术有限公司
上海贝务有限公司
本标在十要起克人：厅兆弹
要秀英姚赛俊文
中华人民共租国通倍行业标准
IP网络安全技术要求一
安全框架
IP Network Secnrity Techutkal RequtrementySecurity F'ranne
1范围
YE/T1163—2001
本标泄规定IP网安全的总技术要求，描还P网安全的！一个框架性构，可作为在P网上构建安定的技术性指文件。
2引阴标准
下列标催所包含的条文，通过在本标准中引用而成为本标准的添文。本标准出版时，所示版本均为有效：所有称准都会技修订，使用本标准的各方应换讨使用下列标准最新版本的可能性，GB工9387.2-1995信点处理系统开放系统互连并本参考模型一黄二部分：安全体系结构TTUI-T X.A(KI(1991) ISO/TEC: 749R-2:1989Informarion rocessing sysrems = Open SyslemsIntcrconnection -Basic Reference Modal-Part 2:Sccurity Architecture.ITU-TX.S09(1997)IISO/EC 9594-8:1997- The Directory:Anthenticalion framework.EFT RFC 1352SNMP Security ProtocolsEIFRFC1446
IEIF RFC 157()
TETF RTC 1847
LEIF RFC 1962
IETF RFC 1968
TET'F RFG 2145
IETF RFC 2046
IETF RFC 2047
DETF RFC24R
IETT RFC 249
IETFRFC2078
JETFRFC 2084
IFTT RFC 222B
IETL KHC: 2246
ETF RFC 2315
TBTF RFC 2401
IETF RFC 24U2
JBTFRFC 2403
Information tednology -Dpen Systems InterconnectionSerurity Ptotwculy For SNMP2PPPLCP Extensions
SecurityMultiparts forMIME:MultiparvSignedandMultipart/EncryprcdThe PPP Coiaprussian Cunrol Pnlouo]（CCP)The PPP Enccyplion Control Protocol (BCP)MTME Part 1: Fortiar of Inremet Message BodiesMIMEPart2:MediaTypeh
MTME Pal 3. Message Header Exten sions for Non-ASCII Tex1MTMF Part 4: Registratian FroceduresMlME Part 5: Confornancc Criteria and ExumplcsGeneric Security Service Application Prograin Interface(V2)Considerations for Web Transactinn SecutityTTF Securiiy Lxtensions
The TLS Prolacwl (VI.0)
PKCS f7: Cryplographice Message Syntax Version1.5Security Architeriure for he Interiet ProiocolIAuthenticationHcuder
The Lise af HMAC-MD5 96 within ESP and AH中华人民共和国信息产业部2001-1号-19批准2001-11-01实施
ETF RC 244
FETFRFC 2406
TETFRFC2408
IETF RFC 2409
ETF RHC 2487
ETFRFC2616
TFTF RFC 2630
IETF RFC 2631
TETFRFC2632
IEIF RFC 2633
TETT RFC 2634
IETF RHC 2600
IETF RFC 2661
TFTF draf
3符号与纳略语
YD/T1163--2001
Ihc Usc of HMLAC-SHA-1-9o within ESI' and AHIP Envapsulaling Securily PuyluaalInlernet Security Association and Key Managelnent ProtocolThe Interner Key Exchange
SMI Service Extcusion for Secure SMIP ovcr I'LSHyperlext Transfer Prkucul
Cryptographic Meseage SymtaxDiffie-Ieman Key Agreement MethadS/MIME Verion 3 Cerificarc HandlingS/MIME Version 3 Message SpecificationFinchanced Security Servicer frr S/MTMTThe Sceure HyperIextTransferProtocolLayer Twu Turumeling Proturul 'L2TPThe SSI. Protocol (V3.)
Adyuncel Enryplion Stundurl
Authentication Hcader
Cornpression Control ProtocolDula Enuryption Standurd
Eluslyption Control ProtocolEncapsuliating Security PayloadFile Transfer Pruuoro!
HyperText Iranspod Protocol
Integrity Check Vahue
Internct Key Exchange
Interrel Protocol
Tnilial Vectw
Mcssage Digital (v5)
Messuge Aulenlialiur Code.
Securily Axskiatinn
Sccurity Association DarabaseServine Dula L'nil
Sesurity Gatcway
Securiey Hlash Algorithm
Security Manugcment Inlormation BaycSimple Mail Transfer ProtocolMaltiputpose Inlernet Manl TaxtensionSiniplc Nctwork Managcment ProtocolSecurily Policy Database
Securily Parameter Index
Securitry Socker Layer
Trun rrli ssion Cunlrul PnuLocol光业加整标准
认证头
不缩控制协议
数据加密标准
印密控制款设
封装安全净础
文计传送协议
超文车待输协议
定整性检测值
四料网密钥交换
因情控切设
初妨间量
消泉滴费
消息认证码
安全关联
安全关联激据卡
服务数瑶单元
安全网关
安全Hlash算法
安全告理信息车
简单邮付传送协设
多用盗因特险邮件扩展
简节网络节玛协议
安全策珞数业库
安全警数引
安全接房
传输控制协议
comUDP
L'ser Diatagran Protocol
4基本概念与定义
YD/T1163—2001
月数据报协议
下面的惯念蒸本上米1O/C498-2]或[GB/T9387.2]。4.1访间整制
防止末经授权使用资源，包据防止以未经授权的方式使用资源。4.2授权
授予权力，括根据访问权进行访问的板力。4.3路由控制
在路由选洋的让程中，应用规则求选择或晓过特定的网路，链路或转接点。4.4感码体
数抚变换原理、于段和行法具体化的规程，！来隐藏效据性信息内容，防止数粘的末发现举改和或末授权使用。它与下列概念密切怀关：密文
经过密码变搬后得到的数据。
明文可理解数据，
一明这微快经过密码变换变滤密文数据的操作.辨密
密文数据整控密码变获还原成明文数据款操作。控言加待与解探作所使用的效据。电一
密钥芒理一根据安全策略产生，分发、存。使用、男换和销毁密销，密蚂分析
分析套码系统及其箱入与箱出，以导出机密变量与敏感数据：基至期文。4.5主动成协(activehreat)
器措白改变系统状态，划：修改销息、玉播满息、插入假消息、合充有权实体以及拒绝服务。4.6被敏passivetlueat)
不改变系资微态护自片息。
4.7操作检测
检测数塔单元尼否已被修收(偶然的或有忘的)的种红制.4.8通信业务trafici分折
从规察通信业务流（有无通告业务流，通信业务流的导，为同和频率)推断信息。4.9安全审让-
对系统的记录及活动独立的支查与检查，以便检测系统控制足否充分，阐系统控制与现行策略和梁生宁保持一致，探测达背安全性的1、为：非介绍控制、策略和起序中所显示的任何变化：4.10安会中计事作
为了便下进行交个牢计也收集的数据，4.11数了签名
附在数据单元后而的数据，效对数据单元进行密码变换待到的效措，次许数粘的收皆证或数期的来源利和完整性，保护数括人被为造，4.12认证信息
用来监定实状新由称的身份是有效的信息。4.13认证
通过信息文换盛定·个实体身价的机制.4.14证
用米证明实体所声称的身份而传送的数据，4.15否惑
参宁通的实体告认参加了全部或部分的通信这程。4.16公远
YD/T 1168--2001
委托可信任的范二力对数据进行登记法册，使他能够保证该数据特征如内容、源、时间和传逆的确。
4.17召充
个实体伪装成别的实体
4.18追潮性
保证实体的行火可以追测争唯的实您4.19可用性
根起读费，信息允许有权实准访问和使用的特性。4.20机率性
信息对非毅权个人、实体或进粒是不可知、小可床的特性。4.21理信业务填充
生成假通信实例，仪教据单元改在数据单元中生成假邀据。4.22谢码校检值
对效据单元进行击仍变换（见，南码体制）导出的数比，校检是密明和数据单元的-一个数学变换的结果，适带被用末院括单的来旁性，4.23数识完整值
数据免弹非法变改或破还的特性：4.24物理支全
保护资源免道器意性和倡然情感胁所使川的措强。4.25数全标然
赶在资源效据单元的奶签，指定成指出该效源切安全质也4.26安全履务
通信的系然提供的，对系绕或数据传递提集产分的安全保降的种服务：4.27安全策略
误供安全服务所使用的会准则，包含两个基本概愈：恭于妞对的安全崇略
卓十身份的安全策略
4.28安全级别
以全尚说划对研有用产均存效为基的安兰策陷：观则通带依教于被访可资源的敏感性与用户（群或代理具有的对应属性间的比较：以户的身份为基础的安全策略，想则通常依赖十访门资源的用了身份的特权够能力，或者依于存取控制表，所选择安全收务的保护质量，车文忙主要指不造托安全保护、选择认证保扩，选择机密性保护、选环激证保护剂抵性保护不冲
4.29巡择域保护
为要发这的消点的特定学段握供保4.30$性
资源的一种利性，示资源划价值或重费社：可能包括资颂受改山约脑弱性4.91务绝
阻止投权访引资源延运时间缴感操作。4.32防单放
防止对送数据约更放攻击。
5 [P 网基本模型
5.1TCP/P协议域
YD/T1163—2001
TCP/P划旅是在TCP传额控利协议)和TP[立联网博双)两个重要办设的基础上均成的协议族(详细情说说阅对应的协议TCPP协议族基于分民的原则，每是明确定义动能和签，各是均能相独立：相邻层间部山动议准确定交边界接」，通过兹！证信。IF司的钮路间快送喷数措，划层间传送P拍，代愉信间情送TCP/UDP整拍，应用层闻让送应用数据。
TCPP办设族按及许多办设，在下面的几马中我们没介绍-此用得较多，同制是标难等7章将要科及范迹议，它们在分层模划中求关系人致如至」所示，H户
庐乐再序
TelDcUSMTP/HIIPiHTPiSNMP/MM
TCPAUDP
LP《活ICM2三GMP)
ARPRARP
设务动您补
图1TCPITP协·设族在分层接型中的关系5.2链路房
信的证
链路么负责在物再齐质一北这数松，效书的传这在内个物理连接的设备间进行，处理与本地组网关拍-些问题，链路层协议上要有以太网（JEFF802.3），令钟总线TFFE802.4）、令常环（IFEE，光纤于布数据接FTT以改像中行路TPSLIP）和点对点协议（PPP尝6.3网络层
网经层以P拟议为你志，渠供基一P地址的、不非的，尽量人能小的，而问无连接的数据传送服务。网路层苏教还气站ICMP[nternetConurolMessageIrotocolIGMPIatermetGroupMaragcmcnPrst(col), ARP(Addrs Reyeluriu rulocaul),R4RP(Revery Adrhess Resolutian Prutwul y等。F协议差网络层的也卡P网的十要协议，它指定广通划刚络传送的所套数据的格式，它执行路非动能以择缴满传送书路径，它包含一系列规则使不可我的包传递其休化，这此规则说明-1机路由举应该怎群处理似，怎样产生、么时炭产生错误消息，在么茶牛下可以丢持过等，5.4传赖么
传输层以LIDP/TCP闪议为你忘，允许具有相气TP地址的不后机器独立地接收化发送数据。UDP通常被为E的简芹扩展，在两机器间提供H于端以及正地让的，不可非的，尽最人能力约、面间无连接的数据传送服务：[DP使用IP传送消息，但增训了在主机中区分不尚源及日的端口的能力。
TCP于客户与低多器的方式，通过利用IF，在两划器回提供三下端点以及1FP地证的、可靠的、百向连接的激裙传送服冬。与UDI样：TCP使用Ⅱ传送消点，但增切了有.机中区分不向源、H的端亡的力：TCP还为数据传送的可末性定义了些规则：5.5应用层
YD/T 1163-2001
应用层方接为TP网应用提供股多：涉许多成用协议，常用的土要有TELNET，FTP，SMTP，HTTP，SNVP每。
TEINET逆文在TCP上，支持月广远释查录：它况供一类带本服务。第一-，TELVET定义网率成拟练端，为运端系统提供标准界面，第二，TE.VF工其有允许服务器与客产端分内送承的机制，产提供可选项的标准集：第二，TLLNEI对称地处理途接的两端。FTP建立在TCP上，是供对文性交互改的访问，H能够指定文件格式自行认计挤制.SMTP注立在TCPF，后台邮件传送处理由用户代理完成：SMTP处理首先利用域名系统日的地机器名称射到正非止，然后与日的地机器的邮件股务建立TCP造提：如迁接成功，则服务器任邮件，否购终止选接，MIME握供了危许用SMTP传送堂效据的就制TITTP即超文本传送协设，建立ICP之上。HIITP是构建WWW的主要序设。SNMP建立在UDP上：月十网络管理：分许从网管服务器临视利控制运行网普代理(Agm)的路中番或主机
6安全服务与安全机制
6.1概述
本章介绍适合本规范的安全服务与实现议服务的机制。述的实全服务量本的安全股务，运些女全服务在本规范警考我型的架内有选择地提供。在实际成用，它们通带其它比务和机制相站合他用以满是必全策略和或用广的要求：本章介绍的安个讯制是基本的安全机制，有些支个机制作为实现意合安全务的组成部分：这单称为土要安机尚，。票统可以按谢币实现非本安全服务券的特染组合，有些安全机制川适用十多种报务，它的的荣一新分可以右成密销情理的某了面，这称为辅助安全机制，其要片通常真滚与所要求的安全等关。
这些带本定文表当[ISO/7498-2]或[GB/T9387.2]6.2安全服务
6.2.1认-
认证为通信实伤和数拓源提供认计压务，认证服务要求有本地存脂的认证管总和为以证而传递的数掘，三要有：
当选择该服务以，服务成实律保证，通信的对右与所户称均实体相称。实体认证：
，数据源认证：当选择该证服务旺。服务间实体保证，渠激据的来源与所产称拍实体相符。6.2.2激垢机穿性
逆择数据机密性服务防止数携的非授权泄露。数据机帝性有以下儿种信形：连接机案卡：
无连接机密性：
·述择域机性：
，业务流机密性：
6.2.3数据光特性
方连接的所有用！数势湿供机密性为单个无逆接-5DU中的所有用\数标提供机宝性：为连接或单个无造控-U中的所用户整据中的选控字设规供机函性：为可能从对业务流的规测结果中得致的倍忌提供机空性。激据宽整性服务剂来欢抗士动感胶，有以种劳移：.专换发性按完格性：
，无恢复连接完整性：
、选控连接定整性。
动过接的所有月户缴据据供数性：并检测一小完整SD：序内任意数据的修改，折，删验成豆改，有质受企图，为连接的所个用户数据提供完格性：并检测个完整SDL序列内在票数据的修改、插入、删或函效，无该复企图为在逆接上传送的-证）的用产数据中的选样立般提供元忙；并采E京巨类
W、无连接定整性：
YD/T 1163-2001
当大某层提供此服务时，为上一实体请求的完整性提供保证，本服务为单人无连技SDU提供完整性，开采用可确定所效到的SLU是否已被修数的方式。另外也可对币感提仙有限的检测：为单个无连接SD1中的选择字股提供完整性，并深用确定选择字段是远圾连接完整性：
否已被修改的方式
笔生这连接时便用实位认证服务，并在该连接些存斯间使用数据完举性股多，可！同为在该连按上专送的所有数据提供数括源认证，为这些数据的完整性持供保证：同时可以使月如序列号节方式对整据的重放捉供验测.
6.2.4抗抵频片
乘服务口以采出如下两种方款
，有源竭游的抗我禁性：数据的源端证据鼓择供数始接收者。这将感止发这者介认发送过该数据或数据内容。
：有交少证据的抗抵整性：数据的交付证据板提供给数据发送者。这将防1报收者否认接收到该效据或数内容。
6.2.5访问拦制
此服务防止非投权使用资源。可用于控制对一个资源的多种访问形式（通信资源的仕压，信息资源的读谈、写或删降，资源处的抗行)或对：个资源的所有访问。6.3支全机制
6.3.1丰变安全机制
如密巩制刊用以案算法，为数据或逆倍业务筑信息提供机索性。存奈训机带意味差存在密钢肾抑机制.
6.3.1.2数等然名机制
数签名机台包括两人进程：对案“个数站单元迹行签名和对数据单元的签名边行验证，签名进空使用签名者的专用信忘（血私钙）：包标对数据单元进行坏密或生成数据库元的密码效检。
验证进栏使公开信息(如公钙)：来确定数据判签名是否是用签名考的专用信息产生的签名：达些公叶信总导不山签名者的专用信息，然名机制的本质特征是给名只能日给名车的专马信息产生。闪此，等名一口经达验证，任时惯都能够向旁三方（法官或件裁者）证明：只有专用信息的唯一持有者才龄产生此签名，6.3.1.3访间控制机制
访时控制机制通过实体的轻认让的身价、信息或权眼确定和实感实体的访问权：护绝实体的非势访问或凸不后当克式间，开H可以报告这些事件，以产生报警和或记录作为安全中计数据的一部分。
访问控制可以基于下划·-项或多项闪使用：，存放实流问权的访问拉制信息库：这信息可以书权威中心或获站问的实体保存，并上以访问控制表或分级式践分市式的形式保行：达需要先通过实体认证、认证信息，如口今，拥有单出具这样的后息以确定试问及体的疫权。，权限，拥有井出工这样的信息以确定访向此实体或内此权限录定的登源的权力。安余际签，通常根据安余策陷，当安全整与一个实体忙关联时可以用来接收或拒范访间：，访问的时间：
·访间的路山
，访问当续时河。
YD/T 1163—2001
访问控制机制可用十通信相关的任端和/或任中间点。车源端或中间点拍访控制机制用来确定发方尽否被授权与接收方通信或使用所要求的资源：光连接审计传输内一的要求的对等级访问控制机制必须究止源端给出，并录入安余管再信息序。6.3.1.4数作完整性机制
数据完落性包括购个方而：单个数斯单元或域的究整性：敌期单汇或域的个流的整性。确定单个数据单元的完整性包括发送实休和按收实伟两个注积，发送实体给数据单元所：下一个分量，这一分是数据单元本舟的函数。附本分量可以是补充信息，如分组校检码或码校检值，并H.身可能己被州案。接收实体产生相成的对分，并与所收到的附以分其进行比较：以确定数据在传输中足否已被改变，此机制本身不对单个数据述行法查放保；广，在道当的结构层，燥作的检测可能导效该层或更高层采恢点整(奔年发或纠错)。对丁连接数据输：为了保护数据单元序列的完器性（如防土数据序列谱孔、丢失、发、插入或改变，需附加荣种明排序，如序列号，时避或密码粒。对于无逆接款据传输，时数可以用来对个网数摄单元提供方限形式的防重放保护，6.3.1.5认证机！
认证抗奇而以采用如下技术：
使以证信息、划数适实体送口令，并出接收件验证几令：·神码技；
：使用实体的荣些特性和战控制。步了提供对等实体认证服务，可将认证机内设在对应层，芒要习制认证某实体头败，则将！致拉鲍建立连接或终上逆接，并且可能导致该实体敬情成安全审计数据和/戴司安全管型中心报告当使月密码报末时，可同时使用“握于”协议，以免遵车放选择认证技术：口根据其应用坏觅与下列技代联查使用：，时款和同步时钟；
·双方和一厅握手：
自数字签名凯制和或公证却言变玩范抗抵物服务：6.3.1.6通信业务填充机制
追信业务理充制可用来接供不同级利的信业游分车保净：该礼制仪衣道信业务块充待到机密性患务保护时才有效。
B.3.1.7路山控制机部
可以迫过动态方式战预置方式安非路由，仅用物鼎安全的子网，中避网或链路当端系统检划到持续的操作改击时，将后示网服务是供者通过别的路止建立准变，通过安全策咯的约束，带某种安全标等的数扰可能止追过某些子网、中维阅成钮路：另外，造接的发起者（或无适接数据单元府发送者），以担降山，以适免通过价定的了网，中继网或链。
6.3.1.8公证机制下载标准就来标准下载网
两个或多个实体间通信数据的属性，如完整生、源满，\间和月的端，均可通过公证机制得到保证，这保证山第三方公证人媒供，公证人行到实体的信个：，并掌挥能够以可证明的方式提生所要求的保证的所信息。校据公证人提供的服务，每不通信实例可以使用数宁验名、无帝或验型性机测，当引入公训机制时，数据通过受保护的通信变例利公证人在道信实体同交流。B.3.2辅助安全机制
6.3.2.1信任功
信任功能必象月来扩允其他安全机定的源围或建议其有效性：工何直按提供安全机的功能、或提供访问安全机制的动能应该是叫信惑的，W
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。