【通信行业标准(YD)】 基于终端安全评估的移动网络接入安全技术要求

1CS33.060.01
中华人民共和国通信行业标准
YD/T 2036-2009
基于终端安全评估的
移动网络接入安全技术要求
Terminal Security Evaluation Based Security TechnologyReguirement forMobile NetworkAccess2009-12-11 发布
2010-01-01实施
中华人民共和国工业和信息化部　发 布前
2规范性引用文件·
3术语、定义和缩略语·
安全威胁
关联反应系统描述
关联反应系统的策略
SCA和SCS之间的通信·
8NAC/ASC和SCS服务器之问的通信·9
关联反应系统的一般过程…·
特殊处理流程
漫游的处理
12对于实现的考虑
参考文献·
YD/T2036-2009
YD/T2036-2009
本标准对应于ITU-TX.1125：《关联响应系统》，与ITU-TX.1125的一致性程度为非等效。与X.1125相比，本标准定义的系统架构与流程与X.1125基本等同，其差异在于：一文结构有所不同；
本标准增加了第4章（安全威胁）；本标准第8章（SCA和SCS之间的通信）对应ITU-TX.1125的第9章（CommunicationbetweenSCAand SCS）在对SCA与SCS之间传输的消息定义上不等同；与ITU-TX.1125不同，本标准未对CRS传输消息的XMLschema和ASN.1格式进行定义；本标准中的第12.1,12.2,12.3章分别与ITU-TX.1125的非规范性附录I.1,I.2,I.3对应；本标准中未提供SCIReport和SCIResponse的示例。本标准由中国通信标准化协会提出并归口。本标准起草单位：华为技术有限公司、中国移动通信集团公司、工业和信息化部电信研究院、中兴通讯股份有限公司、国家计算机网络应急技术处理中心。本标准主要起草人：位继伟、贾科、刘淑玲、姬长锋、郑志彬、刘利军、落红卫、蒋亮、舒敏。I
1范围
YD/T2036-2009
基于终端安全评估的移动网络接入安全技术要求本标准确立了在移动通信中用于应对来自不安全终端潜在安全威胁的关联反应系统（CRS）的开放式体系架构。并规定了关联反应系统的系统描述、策略及相关通信过程等内容。本标准适用于移动通信网络中的终端及接入控制设备。2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准。然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。ITU-TX.1121
IETFRFC2748
IETFRFC3084
移动端到端数据通信的安全技术框架（2004）COPS协议
COPS协议用于策略提供
3术语、定义和缩略语
3.1术语和定义
下列术语和定义适用于本标准。3.1.1
移动台MobileStation
一个实体，其具备无线网络访问功能和连接到网络和应用服务器或其他移动台进行数据通信的功能。在本推荐标准中，移动台包含从手机到接入无线网的笔记本等多种设备。3.1.2
移动网络MobileNetwork
为移动台提供无线网络接入服务的网络。3.1.3
移动用户MobileSubscriber
一个人，其使用和操作移动台从应用服务提供商处获取各种服务。3.1.4
应用服务ApplicationService
网络侧对用户提供的各种服务，比如移动银行、移动商务、在线视频、下载、网页浏览、收发邮件等等。
应用服务器ApplicationServer
一个实体，其连接到开放的网络环境，与移动台通信并为其提供应用服务。3.1.6
应用服务提供商ASPApplicationServiceProvide1
YD/T2036-2009
一个实体（人或者组织），其通过应用服务器向移动用户提供应用服务。3.1.7
移动安全网关MobileSecurityGateway一个实体，其中继移动台和应用服务器之间的数据通信，从移动网络到开放网络或者反向，更改安全参数或者通信协议，并且能执行移动端到端数据通信的安全策略管理功能。3.1.8
关联反应系统CRS，correlativereactingsystem一种机制，其能使移动台和网络共同应对各种潜在的安全威胁，比如病毒、蠕虫、特洛伊木马、移动台的不当行为导致的网络攻击等。此外，当病毒或者蠕虫已经在网络中存在时，CRS能保证其传播速度可控限度内，从而提供足够的时间来进行网络和移动台的恢复，将可能的损失降低到最小。3.1.9
网络访问控制器NAC，networkaccesscontroller移动网络的网元，提供移动用户访问网络的控制功能，能根据网络访问控制策略对特定的不安全用户进行带宽限制。网络访问控制设备通常网关，比如，移动网络的SGSN或者宽带IP网络的宽带接入服务器。
应用服务控制器AsC，applicationservicecontroller移动网络的网元，提供对移动用户应用服务访问的控制功能。通过和安全相关服务器（SCS）的关联反应，根据CRS中的应用服务控制策略对特定的不安全用户执行应用服务限制。3.1.11
安全应用软件SAS，securityapplicationsoftware为移动台系统提供特定类型安全功能的应用软件，比如，反病毒软件、防火墙软件等。3.1.12
安全应用软件服务器SAS-S，securityapplicationsoftwareserver位于网络侧的安全应用软件的服务器，其提供安全文件或者描述文件的更新，提供其他移动台安全应用软件的在线安全服务。
安全相关代理SCA，securitycorrelationagent嵌入移动台的一个实体，其搜集移动台的安全相关信息，并和移动网络侧的SCS通信，为移动台的安全升级和SCS对移动台的安全情况评估提供实时信息。3.1.14
安全相关服务器ScS，securitycorrelationserver移动网络侧和SCA通信的服务器，负责从SCA接收安全相关信息并评估移动台的安全状况，同时根据评估结果为NAC/ASC对移动台提供相应的控制信息；当SCS上被定义了或者输入新的策略时，SCS也可以主动向NAC/ASC发送对移动台提供相应的控制信息。3.1.15
安全相关信息SCl，securitycorrelative information2
YD/T2036-2009
和移动台安全环境相关的信息块，如移动台操作系统版本、反病毒软件版本、病毒扫描结果等。3.1.16
移动台操作系统
Msos，mobilestationoperatingsystem可按照SCA收到的SCS指示信息与MSOS-ES和SAS-S通信，进行自身的软件升级、安全漏洞补丁更新和TOS上第三方安全应用软件的更新，比如，反病毒、防火墙等软件的更新。3.1.17
移动台操作系统更新服务器Msos-uS，mobilestationoperatingsystemupdatingserver为移动台操作系统提供补丁、软件更新、升级等服务的服务器。3.1.18
关联反应系统应用协议CRSAP，correlativereactingsystemapplicationprotocol在安全代理SCA和安全服务器SCS之间封装、传输CRS消息的应用层协议。3.1.19
专用安全设备DsD，dedicatedsecuritydevice防火墙、IDS、安全网关、安全管理服务器等为无线数据网络提供的特殊安全功能的安全设备。3.1.20
受控对象ControlledObject
CRS系统控制的移动台，即单个移动台或一组（多个）移动台。3.1.21
策略Policy
CRS系统用于执行对移动台相应控制的规则集合。3.2缩略语
下列缩略语适用于本标准。
GMM/SM
3rdGenerationPartnershipsProjectApplication Programming InterfaceAccessPointName
Application ServiceControllerApplication Service ProviderCommonOpenPolicyService
Correlative Reacting System
DynamicHostConfigurationProtocolDomain Name System
Denial of Service
Distributed Denial of ServiceGatewayGPRSSupportNode
第三代合作伙伴项目
应用编程接口
访问点名称
应用服务控制器
应用服务提供商
通用开放策略服务
关联反应系统
动态主机配置协议
域名系统
拒绝服务攻击
分布式拒绝服务攻击
网关GPRS节点
GPRSMobilityManagementandSessionManagementGPRS移动性管理和会话管理GPRS Tunneling Protocol
Intrusion Detection System
GPRS隧道协议
入侵检测系统
YD/T2036-2009
MSOS-US
P-TMSI
4安全威胁
4.1概述
InternetEngineeringTaskForceInternational MobileEquipmentIdentityInternational Mobile Subscriber IdentityInternet Protocol
Internet Service Provider
Message Block Transport
Multimedia Messaging Service互联网工程任务组织
国际移动设备身份标识
国际移动用户身份标识
互联网协议
互联网服务提供商
消息块传输
多媒体消息服务
MobileStationOperatingSystemUpdatingServer移动台操作系统更新服务器NetworkAccess Controller
Network layer Service Access Point IdentifierOperating System
Packet Data Network
PacketData Protocol
Protocol Data Unit
Public Lands Mobile Network
PacketTMSI
Quality of Service
RoutingArea
Routing Area Identity
SecurityApplication SoftwareSecurityApplicationSoftwareServerSecurity Correlation Agent
Security Correlation InformationSecurity Correlation Server
Service GPRS Support Node
SubscriberIdentityModule
Transmission Control ProtocolTransport Layer Security
User Datagram Protocol
Universal SIM
Wireless Local Area Network
网络接入控制器
网络层服务访问点标识
操作系统
分组数据网络
分组数据协议
协议数据单元
公用陆地移动网络此内容来自标准下载网
分组临时移动用户识别码
服务质量
路由区
路由区标识
安全应用软件
安全应用软件服务器
安全相关代理
安全相关信息
安全相关服务器
服务GPRS节点
用户识别模块
传输控制协议
传输层安全
用户数据报协议
通用用户识别模块
无线局域网
WorldwideInteroperabilityforMicrowaveAccess微波接入全球性互通WirelessTransportLayerSecurityeXtensible Markup Language
无线传输层安全
可扩展标记语言
随着无线数据网络的普及，越来越多的人开始使用移动终端设备享受网络服务，分组数据业务逐渐4
YD/T2036-2009
取代传统电路业务，移动运营商网络趋于IP化。传统标准3GPP、WLAN、WiMAX中的安全机制对用户接入认证、业务传输安全提供了保障，但由于应用服务提供者和IP网络本身的开放性和安全漏洞（以TCP/IP协议为基础的因特网体系中，每个网络节点、每台主机、每个用户是平等的，如一点被突破、全网都会面临安全威胁），导致来自应用层面的安全威胁（如病毒、蠕虫、黑客攻击、用户信息盗用等）层出不穷，传统标准中的安全机制对这些安全威胁无法应付。来自运营商核心网内部的安全威胁容易得到有效管理，而对于从接入网接入核心网的移动台而言，其安全管理相对困难得多。小的移动台因为资源有限导致防护能力较低，其操作系统漏洞或安全应用未及时更新，很容易导致病毒入侵，而且移动台数量众多、分布范围广泛、移动性强，一旦其感染病毒并成为病毒传播的源头，运营商从网络侧很难在保证网络安全和为用户提供高品质服务之间做出合适的选择。
在传统的有线网络领域，TCG组织提出的基于Internet网络的可信网络互连架构TNC规范，提出了网络接入终端的完整性概念，只有通过网络侧验证，符合网络安全策略的终端才能接入网络；但TNC规范对于移动网络中终端的移动性、漫游、终端硬件能力、终端易丢失、无线空口连接不可靠等问题，其并没有针对性的考虑。参考ITU-TX.1121标准中移动数据服务端到端的安全特性，移动网络用户特有的服务特性也需要重新考虑，例如：移动台感染病毒、虫后向数据网发送垃圾信息，发送探测和攻击报文等，往往造成运营商对移动用户的不合理收费等问题；另外，移动网络手机终端的机卡分离、独立的无线接入协议等问题，也都是待考虑的。4.2无线应用发展带来的安全威胁由于无线应用业务发展迅速，第三方ASP逐渐增加，业务趋向增值服务和精细化经营，移动用户在享受更多样化的服务的同时，其自身和移动网络面临的安全风险也大大增加。例如：由于通过无线数据网接入企业内网的员工用户身份失窃，企业有可能使自己的内部资源暴露给非授权用户，应用系统可能被滥用或遭到攻击、破坏，导致应用服务质量下降甚至不可用。病毒技术的迅速发展，使得当病毒大规模爆发时，网络中传输的大量数据流量是由病毒产生的垃圾数据和探测、攻击流量，造成移动网络拥塞，严重影响了运营商的网络效率和安全，也对用户的终端和业务产生不利的影响和安全威胁。4.3关联反应系统应对的安全威肋关联反应系统（CorrelativeReactingSystem）的目的，是保护移动网络应对来自不安全终端（即不符合移动网络指定的安全策略的终端，例如，有安全漏洞或感染病毒的终端）的安全威胁。攻击分为两类：基于网络层的网络攻击和基于应用层的服务攻击，前者发生在无线网络连接建立阶段和应用服务之前，后者则发生在无线网络连接建立后，在提供应用服务的过程中。往往网络攻击以服务为载体，而攻击的目的是危害网络系统和服务系统。为了从源头上对抗由不安全终端带来的网络安全威胁，关联反应系统提供从网络接入控制到应用服务控制的多层安全控制手段。应用服务控制可以与网络接入控制相互补充，同时弥补网络接入控制的局限性，有效控制网络蠕虫、黑客攻击等基于复杂机制的安全风险；另一方面，通过应用服务控制，可以从源头上阻止针对特定服务的攻击带来的网络流量冲击，有效阻止病毒在网络的传播关联反应系统（CorrelativeReactingSystem）针对移动端到端应用数据业务，构建了解决如下安全威胁的基础：
YD/T2036-2009
·移动用户：窃取移动用户私有信息；滥用移动用户有偿服务。·终端系统：系统被破坏，造成性能下降或系统不可用；成为DoS和DDoS攻击的执行者，例如，用户防范意识差、终端安全配置有限，都可能导致移动终端成为病毒攻击的跳板。·移动网络系统：病毒或蠕虫传播造成网络拥塞、资源浪费，病毒攻击特定的网元或传输体系，造成移动网络传输质量、可靠性和可用性下降。·应用服务系统：服务器被攻击、中毒、用户服务签约信息泄漏等应用服务的可用性和安全性问题。关联反应系统的实质是通过移动台和网络侧的安全联动，对移动台的网络接入进行控制，对移动台的应用服务接入进行限制，从而为网络提供抵御病毒、网络攻击等安全威胁的能力。5关联反应系统描述
5.1关联反应系统的前提
CRS服务的完成和性能基于CRS与如下一些CRS系统外部功能的联动：·网络侧基于网络层执行的网络访问控制；网络侧基于应用层执行的应用服务访问控制；。移动台操作系统更新服务器和安全应用软件服务器为移动用户终端提供的自动、实时安全更新服务；
注：如无特别指明，本标准中的安全更新是指软件程序的更新和升级，包括程序更新、程序升级、补丁安装等等。·防火墙、安全网关、安全管理中心服务器等专用安全设备（DSD）为无线网络提供的特殊安全功能；
·安全应用软件（SAS）为SCA提供终端的安全信息，并在CRS的指示下自动同安全应用软件服务器（SAS-S）通信并进行安全更新；·移动台操作系统（MSOS）为终端提供安全相关的系统配置信息，并在CRS的指示下自动同移动台操作系统服务器（MSOS-US）通信并进行安全更新。能够实现上述外部功能的实体可以通过本文档定义的接口和CRS实体（比如SCA和SCS）通信，并能假设可通过这些接口和CRS联动，执行CRS安全策略。CRS消息的传输，依赖于现有的低层传输协议，例如基于TCP、UDP等。CRS消息传输的安全性，依赖于现有的安全协议，例如基于TLS、AKA、IPsec、WTLS等。5.2对关联反应系统的需求
·CRS系统能够通过网络侧对终端侧安全情况的实时评估，并根据评估结果对移动台进行实时控制的方式防止如病毒、木马等网络威胁在无线数据网络的快速蔓延，控制对网络的恶意攻击，最终保证无线网络的安全。
·CRS系统能够实现网络侧辅助移动台进行安全相关的更新和升级。·CRS系统能够解决移动台在部署了CRS系统的无线数据网和未部署CRS的无线数据网间漫游时，用户的无线数据业务和CRS消息传输都可以正常进行。●CRS系统能够保证SCA的可用性。具体而言：在用户上线时，CRS系统应检测移动台SCA的配置若移动台未安装SCA安装，则应该保证SCA的安装。对已经安装有SCA的用户则应该保持SCA的更新。●一个SCS服务器可控制一个或多个NAC/ASC,每一个NAC/ASC都有一个优先选择的SCS服务器，但NACIASC应同时与多个SCS服务器相连。这样当某一个SCS服务器出现问题的时候，NAC的安全策略6
提供服务可实现不间断执行。
5.3关联反应系统体系结构
YD/T2036-2009
关联反应系统（CRS）是一个应对不安全移动台对移动网络所造成的潜在安全威胁的联动系统，关联反应系统通过对移动台的安全状况进行评估，来指导网络侧网元设备对移动台实施动态的网络访问控制和应用服务限制，并根据安全状况评估结果辅助移动台及时进行自身安全相关的更新、升级，从而同时给移动网络和移动台都提供了增强安全的手段，并提供了一种防止病毒或者蠕虫在网络中快速蔓延的机制。
图1显示了关联反应系统的体系结构和环境。空中接口
Airinterface
终端侧
安全应
用软件
移动台操作系统
CRS数据
普通数据
网络侧
安全服务器
网络访间/应用服
务访问控制器
NACIASC
应用服务
提供商
应用服务
提供商
网络边界
PDN/Internet
Network Boundary
图1关联反应系统（CRS）体系结构和环境关联反应系统（CRS）主要的实体包括：·移动台侧的安全代理（SCA）；·网络侧的安全服务器（SCS）；·网络侧的网络接入控制器（NAC）。安全代理和安全服务器通过Ic接口进行通信，同时，安全服务器通过Ics接口和PLMN中的其他网元通信，通过它们之间的通信和交互，关联反应系统提供对移动台的控制功能。安全代理负责收集移动台的安全相关信息，对其进行处理并和安全服务器进行通信。安全服务器通过安全代理收集到的安全相关信息来评估和判断移动台的安全状况和安全等级，以及移动台的安全状况是否被允许访问网络和申请各种应用服务。当安全服务器收到安全代理发来的安全相关报告（SCI报告）后，进行相关的评估，如果安全服务器根据分析认为移动台不够安全，安全服务器会指示NAC或ASC对移动台的网络访问和应用访问作适当的控制，安全服务器也会将对移动台的控制情况通知SCA。如果有适合移动台进行自身操作系统升级的补丁、组件或者安全相关应用软件的更新时，安全服务器SCS会通知安全代理SCA协助移动台进行相应的升级或者更新，这些更新或者补丁、升级包都在SAS-S和MSOS-US服务器上，并由这些服务器提供升级、更新服务，这些服务器的拥有者一般是移动台操作系7
YD/T 2036-2009
统生产商和移动台安全应用软件生产商，它们也可以被看作是一种类型的ASP。移动台的安全相关更新升级也包括安全代理SCA自身的更新和升级，当安全服务器SCS检测到安全代理SCA的版本低于目前的最新版本时，会立刻通知SCA相关信息，指示安全代理SCA进行自身的更新和升级。
如图1所示，一些ASP可以通过和PLMN的运营商签约建立合作关系，将自己的服务部署在PLMN之中，PLMN的运营商本身也可以是ASP，这些ASP的设备应该与SCS服务器之间实现Ics接口用于和SCS服务器进行通信，并从SCS服务器处获取不安全的移动台的列表等信息，从而可以在服务端对一些应用访问进行安全控制。
SCS服务器对于移动用户的网络访问控制和应用服务控制，是通过对用户所使用的移动台的控制来实现的，其基础信息来源是SCA向SCS服务器发送的SCI报告和移动用户在移动数据网络（下文中“数据网络”不特指时即为移动数据网络）中已经申请或定制的各种服务。对于已经安装SCA的移动台，当移动台连接到数据网络时，SCA的功能同时启动。与关联反应系统共同工作的现有网络实体还包括但不限于以下专用安全设备（DSD）：·防火墙：为网络边界提供安全保护。·安全网关：对流量进行分析，并可以过滤其中的病毒流量、攻击流量。安全管理服务器：为SCS服务器提供网络侧知识和策略支持。·IDS：对网络入侵和攻击进行检测。5.4关联反应系统（CRS）的实体5.4.1安全代理（SCA）
5.4.1.1安全代理（SCA）的功能结构移动台侧安全代理的功能主要包括以下几个方面。一安全相关信息交换功能
收集来自移动台的安全相关信息，这里的安全相关信息包括：移动台安全事件、移动台操作系统版本和补丁信息、安全应用软件的版本/数据库日期、安全应用软件的日志信息、移动台用户ID、移动台ID、遗留在移动台中的网络病毒踪迹等。将SCS服务器发来的安全相关更新信息和指令，通过SCA和移动台操作系统和安全应用软件之间的接口，提供给移动台操作系统和安全应用软件的补丁、升级信息，并辅助其进行更新、升级。一安全相关信息分析筛选功能
SCA按照本地或者SCS服务器发来的策略，处理和组织移动台安全相关信息，将筛选过滤后的信息上报给安全服务器。同时接收安全服务器的发来的安全更新命令和指示、移动台安全评估等级、移动台网络访问受限等信息，筛选后实时通知给移动台用户或者生成本地安全报告/日志供移动台用户主动查询。一安全通信功能
负责和SCS服务器之间进行互认证，协商、建立安全的CRS消息传输通道，保证与SCS服务器之问进行可靠的CRS消息传输。
一用户界面
提供移动台用户和SCA之间进行信息交互的功能，为用户提供提示信息或者接受用户对SCA安全报告、网络侧对移动台的安全等级评估结果等安全相关信息的查询。8
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。