【YD通讯标准】 基于终端安全评估的移动网络接入安全技术要求

ICS33.060.01
中华人民共和国通信行业标准
YD/T2036-2009
基于终端安全评估的
移动网络接入安全技术要求
Terminal Security Evaluation Based Security TechnologyRequirement for Mobile Network Access2009-12-11 发布
2010-01-01实施
中华人民共和国工业和信总化部发布前嵩
范围·
2规范性引屏文件，
3术语、定义和缩略语
4安个威，
5关联反应系统描述，
6关联皮成系统的策略·
7SCA和SCS之闯的道信
8NAC/ASC和SCS服务器之问的通倍9关联反应系统拍微过程
10特殊处理流程
漫谢的处理
对丁实现的考虑
参考文献·
-KAONIKAca
YD/T2036-2009
YD/T2036-2009
本标准对应丁ITU-TX.1125：《关联响应系统》，与ITU-TX.1125的一致性棍度为非等效。与X.1125相比，本标准定义的系统架构与流程与X.1125基本等间，其差异在于：文档结构有所不同：
一本标滩增加了第4章（安企威胁）：-本标准第8章（SCA和SCS之间的通信）对应ITU-TX.1125的第9章（CommunicationbetweenSCAandSCs）在对SCA与SCS之间传输的消息定义上不等同：一与ITU-TX.1125不同，本标准未对CRS传输消息的XMLschema和ASN.1格式进行定义；一本标准中的第12.1,12.2,12.3章分别马ITU-TX.1125的非规范性附录1.1,I.2,1.3对应·-本标滩中未提供scIReport利SCIResponse的示例。本标准由中国通信标准化协会提出并口。本标推起草单位：华为技术有限公司、中国移动通信集团公司、工业利信息化部电信研究院、中兴通讯股份有限公司，国家计算机网络应急技术处理中心本标主要起草人位继伟、贾、科、刘淑玲、姬长锋、郑志彬、刘利军、落红、蒋完、舒敏。1
1范围
YD/T 2036-2009
基于终端安全评估的移动网络接入安全技术要求本标准确立了在移动道信中用」应对来门不安企终端游在安全威胁的关联反应系统（CRS）的元放式体系架构。并规定了关联反应系统的系统推述、策咯及和关通信过程等内容。本标准造用于移动通信网络中的终端及接入控制设备。2规范性引用文件
下列文件市的条款道过本标准的引用剂成为本标准的条款：凡是注口期的引用义件，实随后所有的修改单（不包括勘误的内密）或修订版均不近月于本标准。然门，鼓励根据本标准达成协议的各方研究是否而使川这些文件的最新版本：凡楚不注日期的引形文件，其最新版术适用丁本标准。ITU-T X.112
移动清到端数据避信的安企技术概架（2004）IHTFRFC2748COPS部议
IETFRFC3084COPS办议净F策提供3术语、定义和缩略语
3.1术语和定义
下列术评和定义适月本标准。
移动台Mobile Station
一个实体，其具备无线网终访间功能和连按到网络利应刃服务器或其他移动台进行数据通倍的功能。在本推荐标准中，移动台包含从于机到接入无线网的笔记本等多种设备3.1.2
移动网络MobileNetwork
为移动台提供无线网络接入服务的网络3.1.3
移动用户MobileSubscriber
个人，其使用和操作移动台从应而服务提供商处款取各种服务：3.1.4
应用服务ApplicationService
网络燃付月户提供的各种服务，比如移动银行、移动商务、在线视频、下裁、网员浏览、收发邮件等等。
应用服务器ApplicationServern个实体，其连接到放的测络环境，与移动台通信并为其提供应而服务3.1.6
应用服务提供商ASPApplicationServiceProvidet1
TIKAONIKACa-
YD/T 2036-2009
一个实体（人或者组织），其通过应用服务器向移动用户提供应用服务。3.1.7
移动安全网关MobileSecurityGateway一个实体，其中继移动台和应用服务器之问的数据道信，从移动络到开放网络或者反问，更改安全参数或者通信协议，并且能执行移动端到端数据通信的安企策略管理功能。3.1.8
关联反应系统 CRS，correlative reacting system种机制，其能使移动台和网络共同应对各种潜在的安全威脚，比如病毒、蠕虫、特伊木马、移动台的不当行为导致的网络攻击等。此外，当病毒或者螨虫已经在网络中存在时，CRS能保证其传播速腹可控限度内：从也提供是够的时间来进行网络移划台的恢复，将可能的损失降低到矮小。3.1.9
网络访问控制器NAC，networkaccesscontroller移动网络的网元，提供移动用户访问网络的控制功能，能根据网络访问控制策略对特定的不安全用户进行带宽限制。网络问控制设备通常网关，比如，移动网络的SGSN或者宽带IP网络的宽带接入服务器。
应用服务控制器AsC，applicationservicecontroller移动网络的网元，提供对移动用户应用服务访问的控制功能。避过和安全相关服务器（SCS）的关联反应，极拆CRS中的应用服务控制策略对特定的不安个用广执行应用服务限制。3.1.11
安全应用软件SAS，securityapplicationsoftware为移动台系统提供特定类型安全功能的应用软件，比如，反病毒软件、防火端软件等，3.1.12
安全应用软件服务器SAs-S，security application software server位于网络侧的安全应用软件的服务器，其提供安企文件或者描述文件的更新，提供其他移动台安全应用软件的在线安全服务。
安全相关代理SCA，securitycorrelationagent嵌入移动台的个实体，其搜集移动台的安全相关信息，并和移动网络侧的SCS通信，为移动台的安全升级和SCS对移动台的安金情况评估提供实时信息。3.1.14
安全相关服务器ScS，securitycorrelationserver移动网络侧和SCA通信的服务器，负责从SCA接收安全相关信息并评估移动台的安企状况，同时根据评估结为NAC/ASC对移动台提供相应的控制信息：SCS上被定厂或者输入新的策略时，SCS也可以主动向NAC/ASC发送对移动台提供杆应的控制信息。3.1.15
安全相关信息SCl，securitycorrelativeinformation2
YD/T 2036-2009
和移动台安全坏境相关的信息块，如移动台操作系统版本、反病毒软件版木、病毒扫描结果等。3.1.16
Msos,mabile stationoperating system移动台操作系统
可按照SCA收到的SCS指示信息与MSOS-ES和ISAS-S通信，进行自身的软件升级、安全漏洞补丁更新和TOS上第三方安全应用软件的更新，比如，反病毒、防火墙等软件的更新。3.1.17
移动台操作系统更新服务器Msos-Us，mobilestationoperatingsystemupdatingserver为移动台操作系统提供补丁、软件更新、升级等服务的服务器。3.1.18
关联反应系统应用协议CRSAP，correlativereactingsystemapplicationprotocol在安全代理SCA和安全服务器SCS之间封装、传输CRS消息的应用屋协议。3.1.19
专用安全设备DSD，dedicated security device防火墙、IDS、安全网关，安全管理服务器等为无线数据网络提供的特殊安金功能的安全设备。3.1.20
受控对象Controlled Object
CRS系统控制的移动台，即单个移动台或一组（多个）移动台。3.1.2t
策略Policy
CRS系统用丁热行对移动台相应控制的规则集合。3.2缩略语
下列缩略讲适用于本标准。
GMM/SM
3rd Generation PartnershipsProjectApplication Programming IntcrfaccAccess Point Namc
Application Service ControllerApplication Service ProviderCommon Open Policy Service
Corrclative Reacting System
Dynamic Host Configuration ProtocolDomain Naime Systcm
Denial of Service
Distributed Denial of ServiceGateway GPRS Support Node
第三代合作伙伴项目
应用编程接口
访问点名称
应用服务控制器
应用服务提供商
通用开放策略服务
关联反应系统
动态主机配置协议
域名系统
报绝服务攻击
分布式拒绝服务攻击
网关 GPRS 节点
GPRS Mobility Management and Session Management GPRS移动性管理和会话管理GPRS Tumneling Protocol
Intrusion Dctection System
IKAONIKAa-
GPRS隧道协议
入慢检测系统
YD/T 2036-2009
MSOS-US
P-TMSI
4安全威胁
4.1概述
Internet Engincering Task ForceIntemational Mobile Equiprnent IdentityInternational MobileSubscriber IdentitlyInternet Protocol
Interict Service Provider
Message Block Transport
Multimcdia Messaging Service互联网工程任务组织
国际移动设备身份标识
国际移动用户身份标识
互联网协议
万联网服务提供商
消息块传输
多媒体消息服务
MohileStationOperating SystemUpdatingServer移动台操作系统更新服务器Network Access Controller
Network layer Service Acccss Point IdentifierOperaing Systen
Pac ket Dala Nelwork.
Packet Data Protocol
Protocol Data Unit
Public Lands Mobile Network
Packet TMSI
Quality of Service
Routing Arca
Routing Area Jdentity
Security Application SoftwareSecurity Application Software ServcrSecurity Correlation Agent
Security Correlation InformationSecurity Correlation Server
Service GPRS Suppoit Node
Subscriber Identity Module
Transmission Conrol ProtocolTransport Layer Security
User Datagram Protocol
Universal SIM
Wireless L.ocal Area Network网络接入控制器
网络层服务访问点标识
操作系统
分组数据网络
分组数据协议
协议数据单元
公用陆耻移动网络
分组临时移动用户识别码
服务质量
路出区
路山区标识
安全应用软件
安企应用软件服务器
安全相关代理
安全相关信息
安全相关服务器
服务GPRS节点
用户识别模块
传输控制协议
传输层安全
月户数据报协议
通用州产识别模块
线局域网
Worldwide Interoperability lorMicrowaveAcccss微波接入全球性通Wireless Transport Layer SecurityeXiensible Markup Language
无线传输层安全
可护展标记语高
随着无线数据网络的普及，越来越多的人开姓使用移动终端设备受网络服务，分组数据业务逐渐4
YD/T2036-2009
取代传统电路业务，移动运营商网络趋于IP化。传统标准3GPP、WLAN、WiMAX中的安全机制对用户接入认证，业务传输安全提供了保障，但由于应用服务提供者和P网络本身的开放性和安全洞（以TCP/IF协议为基础的因特网体系中，每个网络节点、每台主机、每个用户是平等的，如一点被突破、企网部会面临安全威），导致来口应用层面的安全威（如病毒、蠕虫，黑客攻击、用户信息盗用等）层出不穷，传统标准的安全机制对这些安全威胁无法应付。来自运营商核心网内部的安全威胁容易得到有效管理，而对从接入网接入核心网的移动台而言，其安全管相对困难得多。小的移动台因为资源有限导致防护能力较低，其操作系统漏洞或安全应用未及时更新，很容易导敛病毒入侵，而且移动台数量众多、分布范囤户泛、移动性驱，一只其感染病毒并成为病毒传播的源头，运营商从网络侧很难在保证网络安全和为户提供高品质服务之间做出台适的选择。
在传统的有线网络领域，TCG组织提出的基丁Internct网络的可官网络连架构TNC规范，提出了网络接入终端的完整性概念，只有追过网络侧验证，符合网络安全策略的终端才能接入网络：们TNC规范对下移动网络中终端的移动性、漫游、终端硬件能力、终端易丢失、光线空口连接不可靠等问题，其浒没有计对性的考虑。参考ITU-TX.1121标准中移动效据服务端到端的安全特性，移动网络用户特有的服务特性也瑞要重新考虑，例如：移动台感染病毒、蠕虫后向数据网发送垃圾信息，发送探测和攻讲报文等，往往造成运营商对移动用户的不合理收费等问题；男外，移动网络手机终端的机卡分离、独立的无线揽入协议等问题，也都足待考虑的4.2无线应用发展带来的安全威胁十无线应用业务发展迅速，第三方ASP逐渐增加，业务趋向曾值服务和精细化经营，移动用户在享受更多样化的服务的同时，其自身和移动网络面临的安全风险也大人增加。例如：由于道过无线数据网接入企业内网的员工用户身份失窃，企业有可能使自已的内部资源暴露给非授权用户，应系统可能被滥用或遭到政击、破坏，导致应用服务质量下降基至不可用。病毒技术的迅速发展，使得当病毒大规模爆发时，网络中传输的大量数据流量是市病毒产生的垃圾数据和探测、攻出流量，造成移动网络拥塞，严重影响了运营商的网络效率利安金，也对川产的终端和业务产生不利的影响和安全威胁。4.3关联反应系统应对的安全威胁关联反应系统（CorrelativeReactingSystem）的目的，是保护移动网络应对来自不安企终端（即不符台移动网络指定的安全策略的终端，例如，有安全漏沉或感染病毒的终端）的安全贼脚。攻击分为两类：基于网络层的网络政击和基工应用层的服务攻击，前者发4：在无线网络连接建立阶段利应用服务之前，后者则发生在无线网络连接建文后，在提供应州服务的过程书！，行往网络致击以服务为载体，而攻未的的是危害网络系统和服务系统，为了从源头工对抗办不安全终端带来的网络安全威胁，关联反应系统提供从网络接入控制到应前服务控制的多层安全控制手段。应用服务控侧可以与网络接入控制相厅补充，同时你补网络接入控的局限性，有效控制网络蠕内、黑客攻山等基丁复杂机制的安全风险；另：-方面，通过应用服务控制，可以从源头上阻止对特定服务的攻击帮来的网络流最冲击，有效止病毒在网络的传播，关联反应系统（CorrelaliveReactingSystem）针对移动端到端应用数据业务，构建了解决如下安全威胁的基磷：
KANiKAca
YD/T 2036-2009
·移动用户：份取移动川户私有信息：溉匝移动用户有偿服务。终端系统：系统被破坏，造成性能下降或系统不可用：成为DoS和DDoS攻击的执行者，例如，用户防范意识差、终端安全配置有限，都可能导致移动终端成为病毒攻击的跳板。·移动网络系统：病毒或蠕虫传播造成网络拥塞、资源浪费，病毒攻击特定的网元或传输体系，造成移动网络传输质量、可靠性和可用性下降。●应用服务系统：服务器被攻、中毒、用户服务签约信息泄漏等避用服务的可用性和安企性问题。关联反应系绕的实质是避过移动台和网络侧的安全联动，对移动台的网络接入进行控制，对移动自的应用服务接入进行限制，从而为网络提供抵御病毒、网络攻击等安全威胁的能力。5关联反应系统描述
5.1关联反应系统的前提
CRS服务的完成利性能基于CRS与下一些CRS系统外部功能的联动：·网络侧基了网络层执行的网络访问控制；·网络侧基于应用层执行的应用服务访问控制·移动台操作系统更新服务器和安全应州软件服务器为移动用户终端提供的自动、实时安全更新服务；
注：如无特别措明，本标雅中的安全更新是指软件程序的更新利级，包括程序更新、程序开级、补了安装等等，·防火墙、安全网关、安企管理中心服务器等专用安全设备（DSD）为无线网络提供的特殊安企功能
·安金应用软件（SAS）为SCA提供终端的安全信息，并在CRS的指示下白动同安全应用软件服务器（SAS-S）通信并进行安企更新：·移动台操作系统（MSOS）为终端提供安全相关的系统配置信息，并在CRS的指示下自动同移动台操作系统服务器（MSOS-US）通信并进行安全史新。能够实现上述外部功能的实体可以通过本文档定义的接口利ICRS实体（比如SCA利ISCS）信，为能假设可通过这些接口和ICRS联动，执行CRS安企策略。CRS消息的传输，依赖下现有的低层传输协议，例如基于TCP、UDP等CRS消想传输的安全性，依赖］现有的安全协议，例如基-TLS，AKA、IP5ec、WTLS等。5.2对关联反应系统的需求
·CRS系统能够道过网络侧对终端侧安全悄况的实时评估，非根据评估结果对移动台进行实时控制的方式防止如病毒、未马等网络崴胁在无线数据网络的快速蔓建，控制对网络的恶意攻击，最终保证无线网络的安全。
毒CRS系统能够实现网络侧辅助移动台进行安全相关的更新和升级。?CRS系统能够解决移动台在部署了CRS系统的线数据网和1未部署CRS的无线数据网问漫游时，户的无线数据业务和CRS消息传输都可以正常进行。。CRS系统能够保证SCA的可用性。具体而告：在用户E线时，CRS系统应检测移动台SCA的配置若移动台未安装SCA安装，则应该保证:SCA的安装。对已经安装有SCA的用户则该保持SCA的更新。。个SCS服务器控制一个或多个NAC/ASC,每一个NAC/ASC都有一个优先选择的SCS服务器，但NAC/ASC应可时与多个SCS服务器相连。这样当某一个SCS服务器出现问题的时候，NAC的安企策路6
供服务可实现不问断执行。
5.3关联反应系统体系结构
YD/T2036-2009
关联反应系统（CRS）是一个应对不安全移动台对移动网络所造成的潜在安全威胁的联动系统，关联反应系统通过对移动台的安企状况进行评估，来指导网络侧网元设备对移动台实施动态的网络访问控制和应用服务限制，并根据安全状况评估结果辅助移动台及时进行自身安全相关的更新、升级，从而同时给移动网络和移动台都提供了增强安全的于段，并提供了一种防止病毒或者蝙虫在网络中快速蔓延的机制。
图1显示了关联反应系统的体系结构和坏境。空中接！！
Airinurfac
终端宣
安个应
前软作
移动金换作系统此内容来自标准下载网
CRS数据
普殖数势
网络侧
络访问应用服
务议间控制器
NACIASC
安全服务
应用服务
提供商
应用服务
提洪商
网络边界
PDN/Internet
Nerwork Boundury
图1关联反应系统（CRS）体系结构和环境关联反应系统（CRS）主要的实体包括：·移动台侧的安全代理（SCA）；，网络侧的安全服务器（SCS）：。网络侧购网络接入挖制器（NAC）安企代理和安企服务器通过Ic接口进行通信，司时，安全服务器通过Ics接口和PLMN中的其他网元通信，适过它们之间的通信和交互，关联反应系统提供对移动台的控制功能。安全代理负收集移动台的安个相关信息，对其进行处理并和安全服务器进行通信。安全服务器通过安企代理收集到的安全机关信息来评估和判断移动台的安全状况和安全等级，以及移动台的安个状况是否被允诈访问网络和中请务种应用服务。当安企服务器收到安金代理发米的安全相关报告（SCI报告）后，进行相关的评估，如果安全服务器根据分析认为移动台不够安全，安企服务器会指示NAC或ASC对移动台的网络访问和应用访问作适当的控制：安全服务器也会将对移动台的控制情况通知5CA。如梁有适合移动述行自身操作系统升级的补丁、组件或者安全相关应用软件的更新时，安企服务器SCS会通知全代理SCA协助移动台进行杆U应的升级或者更新，这些更新或者补丁、升级包都在SAS-S和MSOS-US服务器上，J由这些服务器提供升级、更新服务，这些服务器的拥有者一般是移动台操作系7
-TKAONIKACa
YD/T 2036-2009
统生产商和移动台安全应用软件生产商，它们也可以被看作是一种类型的ASP。移动台的安企相关更新升级也包括安全代理SCA白身的更新和升级，当安全服务器SCS检测到安全代理SCA的版本低于目前的最新版本时，会立刻通知SCA相关信息，指示安全代理SCA进行自身的更新和升级。
如图1所示，一些ASP可以通过和PLMNV的运营商签约建立合作关系，将自己的服务部署在PLMN之中，PLMN的运营商本身也可以是ASP，这些ASP的设备应该与SCS服务器之间实现Ics接口用丁和SCS服务器进行通信，并从SCS服务器处获取不安全的移动台的列表等信息，从而可以在服务端对一些应用访问进行安全控制。
SCS服务器对下移动用户的网络访问控制和应用服务控制，是通过对用户所使川的移动台的挖制来实现的，其基础信息来源是SCA向SCS服务器发送的SCI报告和移动用户在移动数据网络（下文中“数据网络”不特指时即为移动数据网络）中已经中请或定制的各种服务。对于已经安装SCA的移动台，当移动台连接到数据网络时，SCA的功能同时启动。与关联反应系统共同工作的现有网络实体还包括但不限于以下专用安企设备（DSD）：·防火墙：为网络近界提供安全保扩。，安全网关；对流量进行分析，并可以过滤其中的病毒流量、攻击流量。●安全管理服务器：为SCS服务器提供网络侧知识和策略支持。·IDS：对网络入侵和攻击进行检测。5.4关联反应系统（CRS）的实体5.4.1安全代理（SCA）
5.4.1.1安全代理（SCA）的功能结构移动台侧安全代理的功能主要包括以下几个方面。一安全相关信息交换功能
收集来白移动台的安全相关信息，这里的安全相关信息包括：移动台安全事件、移动台操作系统版本和补丁信息、安金应用软件的版本/数据库日期、安全应用软件的口志信息、移动台用户ID、移动台ID.遗留在移动分中的网络病毒踪迹等。将SCS服务器发米的安全相关更新信息利指令，通过SCA和移动台操作系统和安余应用软件之间的接口，提供给移动台操作系统和安全应用软件的补丁、升级信息，并辅助其进行更新，升级。一安全相关信息分析筛选功能
SCA按照本地或者SCS服务器发来的策略，处理利经织移动台安全相关信息，将筛选过滤后的信总.i报给安全服务器。同时接收安全服务器的发来的安全更新命令和指示、移动台安全评估等级、移动台网络访问受限等信息，筛选后实时通知给移动台用户或者生成本地安全报告/日志供移动台用广动查询。安全通信功能
负责和SCS服务器之间进行.认证，协商、建立安企的CRS消息传输通道，保证与SCS服务器之进行靠的CRS消息传输。
一用卢界面
提供移动台用户和SCA之间进衍信息交互的功能，为用户提供提示倍息或者接受用户对SCA安全拟告、网络侧对移动台的安全等级评估结果等安全相关信息的查询。8
YD/T2036-2009
安会代理SCA应该可以根据其搜集到的移动台安全相关信息和SCS服务器反馈给SCA的移动台安全评估等级等信息，生成一份可供移动台用户查询的移动台安全状态报告。适常情况下，提供给移动台用户的安全报告上要作为SCA的运行日志等方式来存储并等待用户主动查询。如果移动台被SCS服务器评估为安企性很低或者其上实时发生了严重的安全事件，SCA可选择主动给用户发送提示消总并建议用户阅读安全报告，以提示用户注意防范安全威胁。一本地数据存储
用于存储SCA涉及的安个相关信息、H志和各种策略等。移动台侧安全代理的功能构如图2所示：移动台
安全代理SCA
用产界面
安全应用较
安众借息过
妞遮功能
本地信息存储功能
移动台操作系统
安全通信功能
图2安全相关代理（SCA）的模块结构5.4.1.2对安全代理（SCA）的要求·SCA具备从移动台上收集安全相关信息的能力，*SCA具备将移动台安企相关信息安全可靠地报告给SCS的能力。·SCA具备自动发现网络SCS的能力。?SCA具备即时响应SCS消息的能力。·SCA具备在必要时将科关信息报告移动用广的能力。，SCA具备协助终端操作系统、安会应用软件进行安全更新的能力。·SCA具备能够保证米自Ica数据真实性的能力。，SCA具备要保证武本地数据存储信息的安全的能力。安全服务器
，SCA应禁山用户对SCA配置进行任何形式更改，SCA的配置参数只能由SCS根据移动台和网络的IKAONIKAa-
小提示：此标准内容仅展示完整标准里的部分截取内容，若需要完整标准请到上方自行免费下载完整标准文档。