【YD通讯标准】 基于公用电信网的宽带客户网络安全技术要求

ICS 33.040.99
中华人民共和国通信行业标准
YD/T2095-2010
基于公用电信网的宽带客户网络安全技术要求，
Securitytechnical reguirements forbroadband customer networkbasedontelecommunicationnetwork2010-12-29发布
2011-01-01实施
中华入民共和国工业和信息化部发布前盲·
1范围·
2规范性引用文件
3术语与定义·
4缩略语·..
5宽带客户网络的安全概述
5.1宽带客户网络的参考模型
5.2宽带客户网络安全的特点
6宽带客户网络面临的安全威胁
6.1概述
6.2通用安全威胁
6.3移动环境的安企威胁.
7宽带客户网络的安全籍求
7.1概述
7.2宽带客户网络安全需求·
7.3安全需求与安全威胁的关系
8宽带客户网络的安全机制概述.8.1加密-
8.2数字签名·
8.3访问控制·
8.4数据完整性.
8.6密钊管理
9宽带客户网络的安全算法…
10设备证书轮廓·
10.2设备认证框架
10.3证书轮廓
10.4证书管理
11宽带客户网络安全功能要求·11.内部联网安全..
11.2P访问安全
11.3用户认证和业务安全
11.4设备管理安金：
12安全性能要求
参考安康
HYYKANKAa
YD/T2095-2010
YD/T 2095-2010
本标准是“基于公用电信网的宽带客户网络”系列标准之一。该系列标准的结构和名称预计如下。1：基于公用电信网的宽带客户网络总体技术要求。2．基于公用电信网的宽带客户网络服务质量（QoS）技术要求。3．基于公用电信网的宽带客户网络安全技术要求。4．基于公用电信网的宽带客户网络的远程管理：第1部分：总体：
第2部分：协议：
第3部分：协议互通技术要求；
第4部分：协议互通测试方法：
第5部分：网关配置参数；
第6部分：IP电话适配设备配置参数：第7部分：IPTV业务适配设备配置参数。5、基于公用电信网的宽带客户网络联网技术要求：第1部分：电力线（PLC）联网；第2部分；同轴电缆联网。
6，基于公用电信网的宽带客户网络编址技术要求。7．基于公用电信网的宽带客户网络环境保护要求。8，基工公用电信网的宽带客户网络设备技术要求：第1部分：网关：
第21部分：适配设备IP电话业务；第22部分：适配设备IPTV业务：第31部分：用户终端设备无线IP电话：第32部分：用户终端设备有线IP电话。9基于公用中信网的宽带客户网络中磁兼容要求10.基于公用电信网的宽带客户网络数字版权技术要求。11.基于公用电信网的宽带客户网络业务媒体格式技术要求。本标准由中国通信标准化协会提出并归口。本标雅起草单位：工业和信息化部电信研究院、武汉邮电科学研究院、中国电信集团公司、中兴通讯股份有限公司、上海贝尔股份有限公司、华为技术有限公司。本标准主要起草人：程强、敖立、桑梓勤、王波、阳意字、鲁林丽、张钦亮。I
1范围
基于公用电信网的宽带客户网络安全技术要求YD/T2095-2010
本标准规定了基于公用电信网的宽带客户网络的安全威胁、安全需求，安全机制和安全算法、设备认证证书轮廊以及安全功能
本标准适用于电信网络提供的业务和应用通过网关在宽带客户网络内部实现的情况，对仪在宽带客户网络内部设备之问信息流通的情况也可参考便用。2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准。然而，鼓励根据本标雅达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。YD/T 1448-2006
ITU-T X.509
ITU-T X.805
TTU-T X.1121
Broadband FORUM TR-069
Amendment 1(2006)
3术语与定义
下列术语和定义适用于本标准。3.1
基工公用电信网的宽带客户网络总体技术要求信息技术一开放系统万连一一号码薄：公钥和属性鉴别框架提供端到端通信的系统的安全体系移动端到端数据通信的安全技术框架CPEWAN管理协议
授权证书Autharization Certificate用于为对象授权的一个签名物。它至少包括一个发放者和一个对象。它可以包括有效性条件、授权和委托信息。通常，证书可以分为3类：身份证书、属性证书和授权证书。身份证书门于映射对象的名字和公钥，属性证书用于映射对象的名学和授权，授权证书用于映射对象的授权和公钥。获得一个授权证书或属性证书可以代表对象从发放者获得所有或部分权限。3.2
身份证书ID Certificate
·段信息，其中至少声明了授权发放者名称、证书对象身份、该对象公钥、证书有效期、序号和认证中心的数字签名。
设备证书DeviceCertificate
身份证书的一-种，在宽带客户网络中，它是一个符合ITU-TX.509版本3的证书，用于认证宽带客户网络设备。它可以由宽带客网络内部CA发放，也可由外部CA发放。1
HTYKANIKa
YD/T 2095-2010
加盐Salt
在已执行哈希运算的密码中插入一个随机数字。这一策略有助丁阻止潜在的攻击者利用预先计算的字典进行攻击。
Smurf玫击Smurf Attack
一种拒绝服务攻击的方法，通过伪装成受害主机的源P地址发送H的地址为广播地址的Ping包，利用大量的Ping响应攻击受害者。
LAND攻击LANDAttack
一种拒绝服务攻出的方法，通过向受害主机发送源和目的地址相同设为受害主机地址的IP报文，导致受害主机连续地向自身发送响应报文。4缩略语
下列缩略语适用于本标准。
Access Control List
Access Point
Address Resolution Protocol
Certificate Authority
ChallengeHandshake Authentication ProtocolDenial of Service
DeMilitarized Zone
End User Terminal Entity
FunctionalProcessingEntity
File Transfer Protocol
Hypertext Transfer Protocol
HypertextTransferProtocolSccureInternet Control Message ProtocolInternet GroupManagemcnt ProtocolInternet Protocol
PoverEthernet
IPTelevision
Local Area Network
Media Access Control
Media Gateway Control ProtocolNetwork Access Entity
Network Core Entity
Session Initiation Protocol
访问控制列表
接入点
地址解析协议
证书机构
质询操手认证协议
拒绝服务
隔离区
用广终端功能实体
功能处理实体
文件传输协议
超文本传送协议
超文本安全传送协议
互联网控制消息协议
互联网组管理协议
互联网协议
以太网承载
IP电视
局域网
媒质访问控制
媒体网关控制协议
网络接入实体
网络核心功能实体
会话初始化协议
Simple Network Management ProtccolPassword Authcntication ProtocolPoint to Point Protocal
PPP over Ethernet
PPP over ATM
Quality of Service
Role-based Access Control
Session Initiation Protocol
Secure Shell Protocol
Service Set identifier
Secure Socket Layer
Transmissiun Control PratocolTransport Level Security
User Datagram Protocol
Wide Area Network
Wircless Local Area Network
5宽带客户网络的安全概述
5.1宽带客户网络的参考模型
简单网络管理协议
密码认证协议
点到点协议
以太网承载PPP
ATM 承载PPP
服务质量
基于角色的访问控制
会话初始协议
安金壳协议
服务集标识
安全套接字层
传输控制协议
传送层安全
用户数据报协议
广域网
无线扇域网
YD/T1448~2006给出了基于公用电信网的宽带客户网络的参考模型，如图1所示，宽带客户网络
网络接入助能实体
网络核心功能实体
功能处理实体
图1宽带客户网络参考模型
州户终朔
功能实体
（EUTE>
用户络端
功能实体
(RUTE>
YD/T 2095-2010
在图1中，NAE为宽带客户网络提供接入功能：NCE负责完成宽带客户网络的核心功能，包括：宽带客户网络内部设备的联网、远程管理、QoS、安全等：FPE负责IP/非P的转换，以及信令、媒体格式的转换；EUTE由用户直接使用，提供UI界面。5.2宽带客户网络安全的特点
宽带客户网络位于网络的末端，混合了有线和无线联网技术，并且直接给用户提供使用界面，具有独特的安全特点：
使用各种不同的传输媒质：
一混合有线和无线的联网技术；一不同的客户有不同的应用场景和安全要求，一用户可能随身携带终端：
HYYKAONKAa
YD/T2095~2010
宽带客户网络设备多种多样，安全能力各不相同。6宽带客户网络面临的安全威胁
6.1概述
宽带客户网络可以出有线联网和无线联网或其混合组成，因此宽带客户网络面临的安全威胁包括了有线网络和无线网络，宽带客户网络的安全威胁可以分为两类：通用的安全威胁和移动环境的安全威胁。6.2通用安全威胁
6.2.1窃听/泄露
在开放的网络环境下最易遭遐的安全问题是通过窃听进行匿名攻出。窃听攻击者可以土动地截获传输的数据，从而导致信息的泄露。6.2.2通信阻断/通信拥塞
当一个通信链路上的需要收发的数据量通过有意或无意的方式超过了链路容量，可以有效地使该链路失效。例如DoS攻击可以严生该威胁。6.2.3数据修改/注入
当未授权的通信实体为了劫持数据连接或恶意发送数据而对传输的数据进行插入，修改或删除时产生该威胁。其中未授权的实体可以是人员，程序或计算机等设备。例如DoS攻击或中间人（man-in-the-middle）攻击可以产生该威胁。6.2.4未授权访问
访问控制是限制和控制通过通信链路对业务/服务的访间的能力。当非法的实体通过仿冒合法用户获得对业务/服务的访问权时产生该威胁。试图进行未授权访问的实体应被鉴别或认证。例如，馨露的WAN口的网关管理接口容易受到非授权访问威胁。6.2.5抵赖
当发送者或接收者否认曾经发送或接收某消息的事实时产生该威胁。6.2.6数据包错误转发
该威胁是数据流中的数据包并术预定的端点转发或被预定端点收取。例如在家庭网关中的路由表的配置错误可导做该威胁。
6.3移动环境的安全威胁
6.3.1窃听/泄露
在移动通信环境中，由于无线信号传输的开放性，截获发送的信号并解码其中的数据更加容易。例如，宽带客户网络内未经加密传输的WLAN数据有可能被窃听6.3.2通信阻断/通信拥塞
对于使用无线传输技术的网络，该威胁更易实施。该威胁有两种不同的方式：拥塞终端设备和拥塞网元设备。通过前者可以仿昌和干扰合法的无线终端，通过后者可以伤冒和干扰带有无线接口的网元设备，阻断正常的通信。例如WLAN的AP会受到此种威胁。6.3.3移动终端丢失
由于移动终端被用户四处携带，丢失终端将导致存储其中的信息的泄露或损失，6.3.4通信意外中断
由于移动终端有限的电源供应或通信环境不稳定，该威胁可能造成数据去失。4
7宽带客户网络的安全需求
7.1概述
YD/T 2095-2010
考虑到宽带客户网络混合了有线和无线网络技术，宽带客户网络中的安全需求与ITU-TX.1121中描述的安全需求类似。另外，加入了ITU-TX,805中对通信流安全的要求。7.2宽带客户网络安全需求
7.2.1数据保密性
数据保密性是保护数据防范未经授权的泄露。数据保案性应确保数据内容无法被未授权的实体读取。加密、访问控制和文件权限都是用来提供数据保密性的常用方法。7.2.2数据完整性
数据完整性应确保数据的正确性和精确性。数据应可以防范未投权的修改、删除、创建和复制，并可以提供这些未授权活动的指示。7.2.3认证
认证过程是指鉴别用户身份与其所声称的是否·致或是确保消息的来源与其官称的发送者是否一致。有两种不同的认证：
一实体认证
—消息认证
实体认证确保实体身份的有效性：消息认证确保消息来源的有效性。实体认证用于证实参与通信的实体的身份，消息认证证实参与通信的实体所声明的身份（例如，个人，设备、服务或应用）并且提供手段防止实体试图假冒或非法重放过去的通信过程。认证可以通过使用D证书和宽带客户网络设备证书实现。7.2.4访问控制或授权
访问控制防止未授权的使用网络资源。访问控制应保证只有获授权的个人或设备才可访问网络、存储的信息、信息流、业务或应用。另外，基丁角色的访问控制可提供不同的访问级别来精细化个人或设备被授权可以访问的内容和热行的操作。有3种不同的授权方式：
使用 ACL授权
—使用认证服务器授权；
一便用授权证书或属性证书和身份证书。访问控制或授权可以通过使用授权证书和ACL完成。在宽带客户网络的入口点的访问控制和授权可以通过宽带客户网络网关中的防火墙实现。防火墙的主要目的是阻止来百公众网络的未授权的访问。防火墙常用于阻止未授权的互联网用户访问连接到互联网的私有网络，例如，内联网（Intraet）。所有进出内联网的消息都要经过防火增，阻止那些不符合特定的安全准则或安全策略的消息7.2.5不可抵赖性
不可抵赖性通过各种网络相关的活动的证据，用于防止个人或实体否认曾经对数据进行过特定的操作。这些证据包括委托或许诺的证据、数据来源的证据、拥有权的证据、资源使用的证据等。不可抵赖性提供的证据可以提供给第三方用于证明某个事件或行为曾经发生过。7.2.6通信流安全
HTYKANIKa
YDT 2095-2010
通信流安全确保信息流仅在授权的通信端点问流动。在宽带客户网络环境下通信流安全应通过宽带客户网络网关实现。
7.2.7隐私安全
隐私安全保护有利于防止通过观察网络活动或通信推测用户信息。这些隐私信息包括：用户访问的Web站点信息、用户的地理位置、业务提供商网络设备的源和目的P地址以及域名。另外，隐私还包括宽带客户网络中的ID隐私。
7.2.8可用性
可用性确保不可通过网络活动试图阻碍对网络、存储的信息、信息流、业务和应用的授权的访问。有多种攻击可以导致可用性的丧失或下降。有些攻击手段可以通过认证和加密来应对，然而防范其他类型的政击需要通过某些物理的方式防止可用性的丧失，7.3安全需求与安全威胁的关系
本标准描述的每个安企需求是为了应对宽带客户网络中的某些特定的安全威胁。安全需求和安全威胁的关系见表1和表2。
表1安全需求与通用安全威胁的关系留婴通信阻断通信签网数据保改注入易未授权访间安全需求
保密性
完整性
不可抵赖
访问控制
可用性
殖信流安全
存储数据通信数据存储数据通信数据存储数据通信数据 存储数据通信数据通情数据
存储数据
通信数据
存储数据
退信数据
存储数据
通信数据
存储数据
通信数据
存储数据
注：表中的“Y”表示为了抵衍特定的威胁所循的安全需求r
表2安全需求与移动环境安全威胁的关系安茶需求
保密性
完整性
不可抵赖
通借数据
存储数据
通信数据
存储数据
存储数据此内容来自标准下载网
通信数据
通信阻断
存储数据
端窖失然
通恼数据
数据包
链误转发
意外中断
安全需求
访问控制
可用性
通信流安全
通信数据
存储数据
通信数据
存储激据
通信数据
存椭数据
表2（续）
存储数据
信教据
注：表中的“Y”表示为了抵御特定的威胁所需的安全需求8宽带客户网络的安全机制概述
8.1加密
通信用新
存储数据
通信数据
YD/T2095-2010
终端丢失
意外净斯
对数据加密可保证通信的保性，也可保证存储数据的保密性，在宽带穿户网络中，加密功能可以在网关上实现。
8.2数字签名
数签名包括两个方面：第一是对数据加签名，即采用私钥产生签名；第二是对已加签名的数据进行验证，即采用公钥验证签名的有效性。8.3访问控制
为了确定和实现实体的访问能力，要使用实体的已认证身份进行访问控制。如果实体企图使用未授权的资源、或对已授权的资源进行超权限的访问，那么访问控制机制应拒绝此类企图，或在安全审计记录上留下一条记录。访问控制功能可以在宽带客户网络的网关上实现。8.4数据完整性
数据完整性要保证数据的正确性和推确性，即接收方收到的数据与发送方发出的数据完全相问。数据完整性要保证数据在传送过程中未被修改、删除、生成，复制。数据完整性函数一般使用哈希函数或数字签名算法。在宽带客户网络中，数据完整性功能一般在宽带客户网络的网关上实现。8.5认证
B.5.1概述
认证包括对用户的认证和对设备的认证。对宽带客户网络的用户进行认证，规定认证方法，如口令、数字证书和生物特征识别等。根据业务的不同，规定安全级别和相应的用户认证模型。对宽带客户网络的设备进行认证以及客户宽带网络设备对公网设备进行的万认证，用于标识设备的身份和归属。
8.5.2用户认证机制
宽带客户网络的用户认证采乃客户/服务器模型如图2所示。根据访间方式的不同，用户认证有以下3种情形：
1）用户通过公网远程访问宽带客户网络。2）在宽带客户网络内部。
HYKANiKca
YD/T 2D95-2010
3）宽带客户网络的门户访问公网。认证方式由客户与服务器进行约定，如口令、数字证书和生物特征识别等。
·互认证
Key交换
客户数据保护
安全欲数设置
客户端
公网或
宽带客户网络
图2用户认证机制的范畴
安全整数设置
服务器
用户通过公网远程访问宽带客户网络：用户需要通过宽带客户的安全网关的认证。在宽带客户网络内部：用户要通过认证服务器的认证，认证服务器可以位于安全网关上，也可是宽带网络内部的一台单独的服务器。宽带客户网络的用户访问公网：宽带客户网络的安全网关起认证中继作用。B.5.3设备认证机制
与用户认证类似，宽带客户网络的设备认证采用客户/服务器模型。设备认证有以下两种情形：1）宽带客户网关与远程管理服务器关联获得管理配置信息：2）终端设备与宽带客户网关关联并产生交互，认证方式由客户与服务器进行约定，如口令、数字证书等。
8.5.4安全级别
为了规范宽带客户网络的用户认证，可以根据业务的不同，规定安全级别和认证机制，如表3所示。表3安全级别与认证机制
安全级别
最低安全
第一级
-无身份证明
一客户认证
-单要认证
，对所存储的用户秘密进
行读保护和写保护
8.6密钥管理
第二级
-提供身份证明
-相互认证
单要素认证
-对所存储的用户秘密进行单
向哈希、加密或加盐（Sait）
，提供身份证明
-相互认证
，密钥交换
第三级
，对所存储的用户秘密进行单向哈希、加密或加盐（Salt)）
，双要案认证
-在认证协议中通过共亨密钥保护敏感数据或结果数据
密切管理功能是用来生成、发放、传输、删除和销毁密码密钥，密钥管理功能可以在宽带客户网络的网关上实现。
9宽带客户网络的安全算法
宽带客户网络的安全算法包括用于认证、签名、加密等过程的密码算法。10设备证书轮廓
10.1概述
YD/T 2095-2010
本章规定了宽带客户网络中的设备认证，提出认证证书轮廓并规定证书的管理方法。10.2设备认证框架
宽带客户网络的设备证书框架分为两种：一种是内部发放证书的模型，另一种是外部发放证书的模型。前者在宽带客户网络中包含一个内部证书机构CA，它通常在安金网关上实现，内部CA产生密钥对，并向宽带客户网络中的设备发放数字证书。后者的情形是：所有宽带客户网络中的设备都使用外部证书机构CA发放的数字证书。
10.3证书轮廓
宽带客户网络的设备证书轮廊遵从ITU-TX.509的规定。基本证书域包括：版本号、序列号、签名、发放者、有效性、对象、对象公开密钥信息等。由于宽带客户网络的设备计算能力有限，因此证书轮廓只包含基本证书域，不包含扩展证书城。10.4证书管理
宽带客户网络的证书机构CA可以是安全网关。证书的管理涉及到设备证书的发放、查询、更新、归挡、废除和有效期限管理等。
竹1宽带客户网络安全功能要求
11.1内部联网安全
11.1.1有线联网技术
对于家庭内部和外部网络共享媒质的有线联网技术（例如电力线、同轴电缆等）：应在宽带客户网络与公众网络线路的边界处进行滤波，防止家庭内部通信信号泄露到公众网络中。11.1.2无线联网技术
对于WLAN、蓝穿等使用无线媒质的联网技术，避支持遗信效方链路层的互认证和数据加密功能。对于支持WLAN的宽带客户网关，还应支持对其WLAN无线信号的发送功率和工作信道的设定以及SSID隐藏的功能。
11.2 IP 访问安全
11.2.1防火墙功能
11.2.1.1 概述
作为宽带客户网络与公众网络的IP边界设备，宽带客户网关应支持P防火墙，对内部IP网络进行隔离和保护。
11.2.1.2安全等级设定
支持防火墙高中低等级设置，每个安全等级的内容可以修改。可选支持在本地web界而配置阶火墙的等级，分为对高，中、低三级。11.2.1.3报文过滤
HTYKANKAca
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。