GB/T 29234-2012
基本信息
标准号: GB/T 29234-2012
中文名称:基于公用电信网的宽带客户网络安全技术要求
标准类别:国家标准(GB)
标准状态:现行
出版语种:简体中文
下载格式:.rar .pdf
下载大小:1393KB
标准分类号
关联标准
出版信息
相关单位信息
标准简介
GB/T 29234-2012 基于公用电信网的宽带客户网络安全技术要求
GB/T29234-2012
标准压缩包解压密码:www.bzxz.net
标准图片预览
标准内容
ICS33.040.99
中华人民共和国国家标准
GB/T29234—2012
基于公用电信网的宽带客户网络安全技术要求
Security technical reguirements for broadband customer network based ontelecommunicationnetwork
2012-12-31发布
中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会
2013-06-01实施
本标准按照GB/T1.1—2009给出的规则起草。GB/T29234—2012
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由中华人民共和国工业和信息化部提出。本标准由中国通信标准化协会归口。本标准起草单位:工业和信息化部电信研究院。本标准主要起草人:程强、敖立、刘谦、陆洋。1
1范围
基手公用电信网的宽带客户网络安全技术要求
GB/T29234—2012
本标准规定了基于公用电信网的宽带客户网络的安全威胁、安全需求,安全机制和安全算法,设备认证证书轮廊以及安全功能。
本标准适用于电信网络提供的业务和应用通过网关在宽带客户网络内部实现的情况,对仅在宽带客户网络内部设备之间信息流通的情况也可参考使用。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。YD/T1448—2006基于公用电信网的宽带客户网络总体技术要求ITU-TX509信息技术开放系统互连号码筹:公钥和属性鉴别框架(InformationtechnologyOpen systems interconnection-Thedirectory:Public-key and attribute certificate frameworks)ITU-TX.805提供端到端通信的系统的安全体系(Securityarchitectureforsystemsprovidingend-to-end communications)
ITU-TX.1121移动端到端数据通信的安全技术框架(Frameworkof securitytechnologiesformobileend-to-enddata communications)BroadbandForumTR-069Amendment1(2006)CPEWAN管理协议(CPEWANManagementProtocol)
3术语和定义
下列术语和定义适用于本文件
授权证书authorizationcertificate用于为对象授权的一个签名物。它至少包括一个发放者和一个对象,它可以包括有效性条件、授权和委托信息。通常,证书可以分为三类:身份证书、属性证书和授权证书。身份证书用于映射对象的名字和公钥,属性证书用于映射对象的名字和授权,授权证书用于映射对象的授权和公钥。获得一个授权证书或属性证书可以代表对象从发放者获得所有或部分权限。3.2
身份证书IDcertificate
一段信息,其中至少声明了授权发放者名称、证书对象身份、该对象公钥、证书有效期、序号和认证中心的数字签名。
设备证书deicecertificate
身份证书的一种,在宽带客户网络中,它是一个符合ITU-TX.509版本3的证书,用于认证宽带客1
GB/T29234—2012
户网络设备。它可以由宽带客户网络内部CA发放,也可由外部CA发故。3.4
加盐salt
就是在已执行哈希运算的密码中插入一个随机数字。这一策略有助于阻止潜在的攻击者利用预先计算的字典进行攻击。
Smurf攻击smurfattack
一种拒绝服务攻击的方法,通过伪装成受害主机的源IP地址发送目的地址为广播地址的PING包,利用大量的PING响应攻击受害者。3.6
LAND攻击LANDattack
一种拒绝服务攻击的方法,通过向受害主机发送源和目的地址相同设为受害主机地址的IP报文,导致受害主机连续地向自身发送响应报文。3.7
拒绝服务攻击Dosattack
阻止正常合法用户对资源的访问或对时间关键的操作进行延迟的攻击。3.8
中间人攻击man-in-the-middleattack一种主动窃取被攻击者之间的通信的手段。通过在被攻击者之间对消息进行截取并转发,获得被攻击者的通信信息或插人伪造的信息。4缩略语
下列缩略语适用于本文件。
ACL,访问控制列表(AccessControlList)ANY:任意(Any)
ARP:地址解析协议(AddressResolutionProtocol)CA:证书机构(CertificateAuthority)CHAP:质询握手认证协议(ChallengeHandshakeAuthenticationProtocol)DoS:拒绝服务(DenialofService)DMZ.隔离区(DeMilitarizedZone)EUTE.用户终端功能实体(EndUserTerminalEntity)FPE:功能处理实体(FunctionalProcessingEntity)FTP:文件传输协议(FileTransferProtoco)HTTP:超文本传送协议(HypertextTransferProtocol)HTTPS:超文本安全传送协议(HypertextTransferProtocolSecure)ICMP:互联网控制消息协议(InternetControlMessageProtocol)IGMP:互联网组管理协议(InternetGroupManagementProtocol)ID:身份(Identity)
IP:互联网协议(InternetProtocol)IPoE:以太网承载IP(IPoverEthernet)IPTV.IP电视(IPTelevision)
rrKacaOiaiKAca
LAN:局域网(LocalAreaNetwork)MAC:媒质访间控制(MediaAccessControl)MGCP:媒体网关控制协议(MediaGatewayControlProtocol)NAE:网络接人实体(NetworkAccessEntity)NAT:网络地址翻译(NetworkAddressTranslation)NCE:网络核心功能实体(NetworkCoreEntity)PAP:密码认证协议(PasswordAuthenticationProtocol)PPP:点到点协议(PointtoPointProtocal)PPPoE:以太网承载PPP(PPPoverEthernet)PPPoA:ATM承载PPP(PPPoverATM)QoS:服务质量(QualityofService)RBAC.基于角色的访间控制(Role-basedAccessControl)SIP:会话初始协议(SessionInitiationProtacol)SNMP:简单网络管理协议(SimpleNetworkManagementProtocol)SSH:安全壳协议(SecureShellProtocol)SSID:服务集标识(Service Setidentifier)SSL:安全套接字层(SecureSocketLayer)TCP:传输控制协议(TransmissionControlProtocol)TLS:传送层安全(TransportLevelSecurity)UDP:用户数据报协议(UserDatagramProtoeol)VoIP.IP承载的语音(VoiceoverIP)WAN.广域网(WideArea Network)WLAN:无线局域网(WirelessLocalAreaNetwork)5宽带客户网络的安全概述
5.1宽带客户网络的参考模型
GB/T29234—2012
YD/T1448一2006给出了基于公用电信网的宽带客户网络的参考模型,如图1所示。宽带客户网络
在图1中:
网络接入功能实体
网络核心功能实体
图1宽带客户网络参考模型
NAE为宽带客户网络提供接人功能:功能处理实体
用户终端
功能实体
(EUTE)
用户终端
功能实体
(EUTE)
GB/T29234—2012
-NCE负责完成宽带客户网络的核心功能,包括:宽带客户网络内部设备的联网、远程管理、QoS、安全等;
-FPE负责IP/非IP的转换,以及信令、媒体格式的转换:-EUTE由用户直接使用,提供UI界面。5.2宽带客户网络安全的特点
宽带客户网络位于网络的末端,混合了有线和无线联网技术,并且直接给用户提供使用界面,具有以下独特的安全特点:
使用各种不同的传输媒质:
混合有线和无线的联网技术;
不同的客户有不同的应用场景和安全要求;用户可能随身携带终端:
宽带客户网络设备多种多样,安全能力各不相同。6宽带客户网络面临的安全威助
6.1概述
宽带客户网络可以由有线联网和无线联网或其混合组成,因此宽带客户网络面临的安全威胁包括了有线网络和无线网络。宽带客户网络的安全威胁可以分为两类:通用的安全威胁和移动环境的安全威胁。
6.2通用安全威胁
6.2.1窃听/泄露
在开放的网络环境下最易遭遇的安全问题是通过窃听进行匿名攻击。窃听攻击者可以主动地截获传输的数据导致信息的泄露。
6.2.2通信阻断/通信拥塞
当一个通信链路上的需要收发的数据量通过有意或无意的方式超过了链路容量,可以有效地使该链路失效。例如DoS攻击可以产生该威胁。6.2.3数据修改/注入
当未授权的通信实体为了劫持数据连接或恶意发送数据而对传输的数据进行插入、修改或删除时产生该威胁。其中未授权的实体可以是人员、程序或计算机等设备:例如DoS攻击或中间人(man-in-the-middle>攻击可以产生该威胁。6.2.4未授权访问
访问控制是限制和控制通过通信链路对业务/服务的访问的能力。当非法的实体通过仿冒合法用户获得对业务/服务的访问权时产生该威胁。试图进行未授权访问的实体应被鉴别或认证。例如,暴露的WAN口的网关管理接口容易收到非授权访间威胁。6.2.5抵赖
当发送者或接收者否认曾经发送或接收某消息的事实时产生该威胁。4
rKacadiaiKAca
6.2.6数据包错误转发
GB/T29234—2012
该威胁是数据流中的数据包并未向预定的端点转发或被预定端点收取。例如在家庭网关中的路由表的配置错误可导致该威胁。
6.3移动环境的安全威助
6.3.1窃听/泄露
在移动通信环境中,由于无线信号传输的开放性,截获发送的信号并解码其中的数据更加容易。例如,宽带客户网络内未经加密传输的WLAN数据有可能被听。6.3.2通信阻断/通信拥塞
对于使用无线传输技术的网络,该威胁更易实施。该威胁有两种不同的方式:拥塞终端设备和拥塞网元设备。通过前者可以仿冒和干扰合法的无线终端,通过后者可以仿冒和干扰带有无线接口的网元设备,阻断正常的通信。例如WLAN的AP会受到此种威胁。6.3.3移动终端丢失
由手移动终端被用户四处携带,丢失终端将导致存储其中的信息的泄露或损失。6.3.4通信意外中断
由于移动终端有限的电源供应或通信环境不稳定,该威胁可能造成数据丢失。7宽带客户网络的安全需求
7.1概述
考虑到宽带客户网络混合了有线和无线网络技术,宽带客户网络中的安全需求与ITU-TX.1121中描述的安全需求类似。另外,加人了ITU-TX805中对通信流安全的要求。7.2宽带客户网络安全需求
7.2.1数据保密性
数据保密性保护数据防范未经授权的泄露。数据保密性应确保数据内容无法被未授权的实体读取。加密、访问控制和文件权限都是用来提供数据保密性的常用方法。7.2.2数据完整性
数据完整性应确保数据的正确性和精确性。数据应可以防范未授权的修改、删除、创建和复制,并可以提供这些未授权活动的指示。7.2.3认证
认证过程是指鉴别用户身份与其所声称的是否一致或是确保消息的来源与其宣称的发送者是否一致。有两种不同的认证:
实体认证:
消息认证。
GB/T29234—2012
实体认证确保实体身份的有效性,消息认证确保消息的来源的有效性。实体认证用于证实参与通信的实体的身份,消息认证证实参与通信的实体所声明的身份(例如,个人、设备、服务或应用)并且提供手段防止实体试图假冒或非法重放过去的通信过程。认证可以通过使用ID证书和宽带客户网络设备证书实现。
7.2.4访问控制或授权
访问控制防止未授权地使用网络资源。访问控制应保证只有获授权的个人或设备才可访问网络、存储的信息、信息流、业务或应用。另外,基于角色的访问控制可提供不同的访问级别来精细化个人或设备被授权可以访问的内容和执行的操作。有三种不同的授权方式:
使用ACL授权;
一使用认证服务器授权:
一使用授权证书或属性证书和身份证书。访问控制或授权可以通过使用授权证书和ACL完成。在宽带客户网络的入口点的访问控制和授权可以通过宽带客户网络网关中的防火墙实现。防火墙的主要目的是阻止来自公众网络的未授权的访问。防火端常用于阻止未授权的因特网用户访问连接到因特网的私有网络,例如,内联网(Intranet)所有进出内联网的消息都要经过防火墙,阻止那些不符合特定的安全准则或安全策略的消息。7.2.5不可抵赖性
不可抵赖性通过各种网络相关的活动的证据用于防止个人或实体否认曾经对数据进行过特定的操作。这些证据包括委托或许诺的证据、数据来源的证据、拥有权的证据、资源使用的证据等。不可抵赖性提供的证据可以提供给第三方用于证明某个事件或行为曾经发生过。7.2.6通信流安全
通信流安全确保信息流仅在授权的通信端点间流动。在宽带客户网络环境下通信流安全应通过宽带客户网络网关实现。
7.2.7隐私安全
隐私安全保护有利于防止通过观察网络活动或通信推测用户信息。这些隐私信息包括:用户访问的Web站点信息、用户的地理位置、业务提供商网络设备的源和目的IP地址以及域名。另外,隐私还包括宽带客户网络中的ID隐私。7.2.8可用性
可用性确保不可通过网络活动试图阻碍对网络、存储的信息、信息流,业务和应用的授权的访问。有多种攻击可以导致可用性的丧失或下降。有些攻击手段可以通过认证和加密来应对,然而防范其他类型的攻击需要通过某些物理的方式防止可用性的丧失。7.3安全需求与安全威胁的关系
本标准描述的每个安全需求是为了应对宽带客户网络中的某些特定的安全威胁。安全需求和安全威胁的关系见表1和表2。表格中的“Y”表示为了抵御特定的威胁所需的安全需求。6
HiiKacaOiaiKAca
保密性
完整性
通信数据
存储数据
通信数据
存储数据
不可抵赖
访向控制
可用性
通信数据
存储数据
通信数据
存储数据
通信数据
存储数据
通信流安全
保密性
完整性
通信数据
存储数据
通信数据
存储数据
不可抵赖
访问控制
可用性
通信数据
存储数据
通信数据
存储数据
表1安全需求与通用安全威胁的关系威胁
通信阻断/
通信拥塞
数据修改/
未授权访间
表2安全需求与移动环境安全威胁的关系威胁
存储数据
通信数据
通信阻断
存储数据
GB/T29234—2012
婆端丢失
通信数据
数据包
错误转发
意外中断
GB/T29234—2012
通信数据
存储数据
通信流安全
存储数据
8宽带客户网络的安全机制概述
8.1加密
表2(续)
通信数据
通信阻断
存储数据
通信数据
终端丢失
意外中断
对数据加密可保证通信的保密性,也可保证存储数据的保密性。在宽带客户网络中,加密功能可以在网关上实现。
8.2数字签名
数字签名包括两个方面:第一是对数据加签名,即采用私钥产生签名:第二是对已加签名的数据进行验证,即采用公钥验证签名的有效性。8.3访问控制
为了确定和实现实体的访问能力,要使用实体的已认证身份进行访问控制。如果实体企图使用未授权的资源,或对已授权的资源进行超权限的访问,那么访间控制机制应拒绝此类企图,或在安全审计记录上留下一条记录。访间控制功能可以在宽带客户网络的网关上实现。8.4数据完整性
数据完整性要保证数据的正确性和准确性,即接收方收到的数据与发送方发出的数据完全相同。数据完整性要保证数据在传送过程中未被修改、删除生成、复制。数据完整性函数一般使用哈希函数或数字签名算法。在宽带客户网络中,数据完整性功能一般在宽带客户网络的网关上实现。8.5认证
8.5.1概述
认证包括对用户的认证和对设备的认证对宽带客户网络的用户进行认证,规定认证方法,如口令、数字证书和生物特征识别等。根据业务的不同,规定安全级别和相应的用户认证模型。对设备的认证包括对宽带客户网络的设备进行认证以及客户宽带网络设备对公网设备进行的互认证,用于标识设备的身份和归属。8.5.2用户认证机制
如图2所示,宽带客户网络的用户认证采用客户/服务器模型。根据访问方式的不同,用户认证有三种情形:
ikacadiaikAca
a)用户通过公网远程访问宽带客户网络;b)在宽带客户网络内部;
宽带客户网络的用户访问公网。e
安全参数设置
客户端
·互认证
·Key交换
·客户数据保护
公网或
宽带客户网络
图2用户认证机制的范畴
认证方式由客户与服务器进行约定,如口令,数字证书和生物特征识别等。GB/T29234—2012
安全参数设置
服务器
用户通过公网远程访问宽带客户网络:用户需要通过宽带客户的安全网关的认证。在宽带客户网络内部:用户要通过认证服务器的认证,认证服务器可以位于安全网关上,也可是宽带网络内部的一台单独的服务器。宽带客户网络的用户访问公网:宽带客户网络的安全网关起认证中继作用。8.5.3设备认证机制
与用户认证类似,宽带客户网络的设备认证采用客户/服务器模型。设备认证有两种情形:a)宽带客户网关与远程管理服务器关联获得管理配置信息;b)终端设备与宽带客户网关关联并产生交互。认证方式由客户与服务器进行约定,如口令、数字证书等。8.5.4安全级别下载标准就来标准下载网
为了规范宽带客户网络的用户认证,可以根据业务的不同,规定安全级别和认证机制,如表3所示。表3安全级别与认证机制
安全级别
最低安全
第一级
·无身份证明
客户认证
单要素认证
对所存储的用户秘密进行读
保护和写保护
第二级
。提供身份证明
·相互认证
·单要素认证
·对所存储的用户秘密进行单
向哈希加密或加盐(salt))
第三级
·提供身份证明
·相互认证
·密钥交换
·对所存储的用户秘密进行单
向哈希、加密或加盐(salt)
双要索认证
·在认证协议中通过共享密钥
保护敏感数据或结果数据
GB/T29234-—2012
8.6密钥管理
密钥管理功能是用来生成、发放、传输、删除和销毁密码密钥,密钥管理功能可以在宽带客户网络的网关上实现。
9宽带客户网络的安全算法
宽带客户网络的安全算法包括用于认证、签名、加密等过程的密码算法。10设备证书轮廓
10.1概述
本章规定了宽带客户网络中的设备认证,提出认证证书轮廓并规定证书的管理方法。10.2设备认证框架
宽带客户网络的设备证书框架分为两种:一种是内部发放证书的模型,另一种是外部发放证书的模型。前者在宽带客户网络中包含一个内部证书机构CA,它通常在安全网关上实现,内部CA产生密钥对,并向宽带客户网络中的设备发放数字证书。后者是所有宽带客户网络中的设备都使用外部证书机构CA发放的数字证书。
10.3证书轮廊
宽带客户网络的设备证书轮廊避从ITU-TX.509的规定。基本证书域包括:版本号、序列号、签名、发放者、有效性、对象,对象公开密钥信息等。由于宽带客户网络的设备计算能力有限,因此证书轮廓只包含基本证书域,不包含扩展证书域。10.4证书管理
宽带客户网络的证书机构CA可以是安全网关。证书的管理涉及到设备的证书的发放、查询、更新、归档、废除和有效期限管理等。11宽带客户网络安全功能要求
11.1内部联网安全
11.1.1有线联网技术
对于家庭内部和外部网络共享媒质的有线联网技术(例如电力线、同轴电缆等),应在宽带客户网络与公众网络线路的边界处进行滤波,防止家庭内部通信信号泄露到公众网络中。11.1.2无线联网技术
对于WIL.AN、蓝牙等使用无线媒质的联网技术,应支持通信双方链路层的互认证和数据加密功能对于支持WLAN的宽带客户网关,还应支持对其WLAN无线信号的发送功率和工作信道的设定,以及SSID隐藏的功能。
iiKacaQiaiKAca
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国国家标准
GB/T29234—2012
基于公用电信网的宽带客户网络安全技术要求
Security technical reguirements for broadband customer network based ontelecommunicationnetwork
2012-12-31发布
中华人民共和国国家质量监督检验检疫总局中国国家标准化管理委员会
2013-06-01实施
本标准按照GB/T1.1—2009给出的规则起草。GB/T29234—2012
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由中华人民共和国工业和信息化部提出。本标准由中国通信标准化协会归口。本标准起草单位:工业和信息化部电信研究院。本标准主要起草人:程强、敖立、刘谦、陆洋。1
1范围
基手公用电信网的宽带客户网络安全技术要求
GB/T29234—2012
本标准规定了基于公用电信网的宽带客户网络的安全威胁、安全需求,安全机制和安全算法,设备认证证书轮廊以及安全功能。
本标准适用于电信网络提供的业务和应用通过网关在宽带客户网络内部实现的情况,对仅在宽带客户网络内部设备之间信息流通的情况也可参考使用。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。YD/T1448—2006基于公用电信网的宽带客户网络总体技术要求ITU-TX509信息技术开放系统互连号码筹:公钥和属性鉴别框架(InformationtechnologyOpen systems interconnection-Thedirectory:Public-key and attribute certificate frameworks)ITU-TX.805提供端到端通信的系统的安全体系(Securityarchitectureforsystemsprovidingend-to-end communications)
ITU-TX.1121移动端到端数据通信的安全技术框架(Frameworkof securitytechnologiesformobileend-to-enddata communications)BroadbandForumTR-069Amendment1(2006)CPEWAN管理协议(CPEWANManagementProtocol)
3术语和定义
下列术语和定义适用于本文件
授权证书authorizationcertificate用于为对象授权的一个签名物。它至少包括一个发放者和一个对象,它可以包括有效性条件、授权和委托信息。通常,证书可以分为三类:身份证书、属性证书和授权证书。身份证书用于映射对象的名字和公钥,属性证书用于映射对象的名字和授权,授权证书用于映射对象的授权和公钥。获得一个授权证书或属性证书可以代表对象从发放者获得所有或部分权限。3.2
身份证书IDcertificate
一段信息,其中至少声明了授权发放者名称、证书对象身份、该对象公钥、证书有效期、序号和认证中心的数字签名。
设备证书deicecertificate
身份证书的一种,在宽带客户网络中,它是一个符合ITU-TX.509版本3的证书,用于认证宽带客1
GB/T29234—2012
户网络设备。它可以由宽带客户网络内部CA发放,也可由外部CA发故。3.4
加盐salt
就是在已执行哈希运算的密码中插入一个随机数字。这一策略有助于阻止潜在的攻击者利用预先计算的字典进行攻击。
Smurf攻击smurfattack
一种拒绝服务攻击的方法,通过伪装成受害主机的源IP地址发送目的地址为广播地址的PING包,利用大量的PING响应攻击受害者。3.6
LAND攻击LANDattack
一种拒绝服务攻击的方法,通过向受害主机发送源和目的地址相同设为受害主机地址的IP报文,导致受害主机连续地向自身发送响应报文。3.7
拒绝服务攻击Dosattack
阻止正常合法用户对资源的访问或对时间关键的操作进行延迟的攻击。3.8
中间人攻击man-in-the-middleattack一种主动窃取被攻击者之间的通信的手段。通过在被攻击者之间对消息进行截取并转发,获得被攻击者的通信信息或插人伪造的信息。4缩略语
下列缩略语适用于本文件。
ACL,访问控制列表(AccessControlList)ANY:任意(Any)
ARP:地址解析协议(AddressResolutionProtocol)CA:证书机构(CertificateAuthority)CHAP:质询握手认证协议(ChallengeHandshakeAuthenticationProtocol)DoS:拒绝服务(DenialofService)DMZ.隔离区(DeMilitarizedZone)EUTE.用户终端功能实体(EndUserTerminalEntity)FPE:功能处理实体(FunctionalProcessingEntity)FTP:文件传输协议(FileTransferProtoco)HTTP:超文本传送协议(HypertextTransferProtocol)HTTPS:超文本安全传送协议(HypertextTransferProtocolSecure)ICMP:互联网控制消息协议(InternetControlMessageProtocol)IGMP:互联网组管理协议(InternetGroupManagementProtocol)ID:身份(Identity)
IP:互联网协议(InternetProtocol)IPoE:以太网承载IP(IPoverEthernet)IPTV.IP电视(IPTelevision)
rrKacaOiaiKAca
LAN:局域网(LocalAreaNetwork)MAC:媒质访间控制(MediaAccessControl)MGCP:媒体网关控制协议(MediaGatewayControlProtocol)NAE:网络接人实体(NetworkAccessEntity)NAT:网络地址翻译(NetworkAddressTranslation)NCE:网络核心功能实体(NetworkCoreEntity)PAP:密码认证协议(PasswordAuthenticationProtocol)PPP:点到点协议(PointtoPointProtocal)PPPoE:以太网承载PPP(PPPoverEthernet)PPPoA:ATM承载PPP(PPPoverATM)QoS:服务质量(QualityofService)RBAC.基于角色的访间控制(Role-basedAccessControl)SIP:会话初始协议(SessionInitiationProtacol)SNMP:简单网络管理协议(SimpleNetworkManagementProtocol)SSH:安全壳协议(SecureShellProtocol)SSID:服务集标识(Service Setidentifier)SSL:安全套接字层(SecureSocketLayer)TCP:传输控制协议(TransmissionControlProtocol)TLS:传送层安全(TransportLevelSecurity)UDP:用户数据报协议(UserDatagramProtoeol)VoIP.IP承载的语音(VoiceoverIP)WAN.广域网(WideArea Network)WLAN:无线局域网(WirelessLocalAreaNetwork)5宽带客户网络的安全概述
5.1宽带客户网络的参考模型
GB/T29234—2012
YD/T1448一2006给出了基于公用电信网的宽带客户网络的参考模型,如图1所示。宽带客户网络
在图1中:
网络接入功能实体
网络核心功能实体
图1宽带客户网络参考模型
NAE为宽带客户网络提供接人功能:功能处理实体
用户终端
功能实体
(EUTE)
用户终端
功能实体
(EUTE)
GB/T29234—2012
-NCE负责完成宽带客户网络的核心功能,包括:宽带客户网络内部设备的联网、远程管理、QoS、安全等;
-FPE负责IP/非IP的转换,以及信令、媒体格式的转换:-EUTE由用户直接使用,提供UI界面。5.2宽带客户网络安全的特点
宽带客户网络位于网络的末端,混合了有线和无线联网技术,并且直接给用户提供使用界面,具有以下独特的安全特点:
使用各种不同的传输媒质:
混合有线和无线的联网技术;
不同的客户有不同的应用场景和安全要求;用户可能随身携带终端:
宽带客户网络设备多种多样,安全能力各不相同。6宽带客户网络面临的安全威助
6.1概述
宽带客户网络可以由有线联网和无线联网或其混合组成,因此宽带客户网络面临的安全威胁包括了有线网络和无线网络。宽带客户网络的安全威胁可以分为两类:通用的安全威胁和移动环境的安全威胁。
6.2通用安全威胁
6.2.1窃听/泄露
在开放的网络环境下最易遭遇的安全问题是通过窃听进行匿名攻击。窃听攻击者可以主动地截获传输的数据导致信息的泄露。
6.2.2通信阻断/通信拥塞
当一个通信链路上的需要收发的数据量通过有意或无意的方式超过了链路容量,可以有效地使该链路失效。例如DoS攻击可以产生该威胁。6.2.3数据修改/注入
当未授权的通信实体为了劫持数据连接或恶意发送数据而对传输的数据进行插入、修改或删除时产生该威胁。其中未授权的实体可以是人员、程序或计算机等设备:例如DoS攻击或中间人(man-in-the-middle>攻击可以产生该威胁。6.2.4未授权访问
访问控制是限制和控制通过通信链路对业务/服务的访问的能力。当非法的实体通过仿冒合法用户获得对业务/服务的访问权时产生该威胁。试图进行未授权访问的实体应被鉴别或认证。例如,暴露的WAN口的网关管理接口容易收到非授权访间威胁。6.2.5抵赖
当发送者或接收者否认曾经发送或接收某消息的事实时产生该威胁。4
rKacadiaiKAca
6.2.6数据包错误转发
GB/T29234—2012
该威胁是数据流中的数据包并未向预定的端点转发或被预定端点收取。例如在家庭网关中的路由表的配置错误可导致该威胁。
6.3移动环境的安全威助
6.3.1窃听/泄露
在移动通信环境中,由于无线信号传输的开放性,截获发送的信号并解码其中的数据更加容易。例如,宽带客户网络内未经加密传输的WLAN数据有可能被听。6.3.2通信阻断/通信拥塞
对于使用无线传输技术的网络,该威胁更易实施。该威胁有两种不同的方式:拥塞终端设备和拥塞网元设备。通过前者可以仿冒和干扰合法的无线终端,通过后者可以仿冒和干扰带有无线接口的网元设备,阻断正常的通信。例如WLAN的AP会受到此种威胁。6.3.3移动终端丢失
由手移动终端被用户四处携带,丢失终端将导致存储其中的信息的泄露或损失。6.3.4通信意外中断
由于移动终端有限的电源供应或通信环境不稳定,该威胁可能造成数据丢失。7宽带客户网络的安全需求
7.1概述
考虑到宽带客户网络混合了有线和无线网络技术,宽带客户网络中的安全需求与ITU-TX.1121中描述的安全需求类似。另外,加人了ITU-TX805中对通信流安全的要求。7.2宽带客户网络安全需求
7.2.1数据保密性
数据保密性保护数据防范未经授权的泄露。数据保密性应确保数据内容无法被未授权的实体读取。加密、访问控制和文件权限都是用来提供数据保密性的常用方法。7.2.2数据完整性
数据完整性应确保数据的正确性和精确性。数据应可以防范未授权的修改、删除、创建和复制,并可以提供这些未授权活动的指示。7.2.3认证
认证过程是指鉴别用户身份与其所声称的是否一致或是确保消息的来源与其宣称的发送者是否一致。有两种不同的认证:
实体认证:
消息认证。
GB/T29234—2012
实体认证确保实体身份的有效性,消息认证确保消息的来源的有效性。实体认证用于证实参与通信的实体的身份,消息认证证实参与通信的实体所声明的身份(例如,个人、设备、服务或应用)并且提供手段防止实体试图假冒或非法重放过去的通信过程。认证可以通过使用ID证书和宽带客户网络设备证书实现。
7.2.4访问控制或授权
访问控制防止未授权地使用网络资源。访问控制应保证只有获授权的个人或设备才可访问网络、存储的信息、信息流、业务或应用。另外,基于角色的访问控制可提供不同的访问级别来精细化个人或设备被授权可以访问的内容和执行的操作。有三种不同的授权方式:
使用ACL授权;
一使用认证服务器授权:
一使用授权证书或属性证书和身份证书。访问控制或授权可以通过使用授权证书和ACL完成。在宽带客户网络的入口点的访问控制和授权可以通过宽带客户网络网关中的防火墙实现。防火墙的主要目的是阻止来自公众网络的未授权的访问。防火端常用于阻止未授权的因特网用户访问连接到因特网的私有网络,例如,内联网(Intranet)所有进出内联网的消息都要经过防火墙,阻止那些不符合特定的安全准则或安全策略的消息。7.2.5不可抵赖性
不可抵赖性通过各种网络相关的活动的证据用于防止个人或实体否认曾经对数据进行过特定的操作。这些证据包括委托或许诺的证据、数据来源的证据、拥有权的证据、资源使用的证据等。不可抵赖性提供的证据可以提供给第三方用于证明某个事件或行为曾经发生过。7.2.6通信流安全
通信流安全确保信息流仅在授权的通信端点间流动。在宽带客户网络环境下通信流安全应通过宽带客户网络网关实现。
7.2.7隐私安全
隐私安全保护有利于防止通过观察网络活动或通信推测用户信息。这些隐私信息包括:用户访问的Web站点信息、用户的地理位置、业务提供商网络设备的源和目的IP地址以及域名。另外,隐私还包括宽带客户网络中的ID隐私。7.2.8可用性
可用性确保不可通过网络活动试图阻碍对网络、存储的信息、信息流,业务和应用的授权的访问。有多种攻击可以导致可用性的丧失或下降。有些攻击手段可以通过认证和加密来应对,然而防范其他类型的攻击需要通过某些物理的方式防止可用性的丧失。7.3安全需求与安全威胁的关系
本标准描述的每个安全需求是为了应对宽带客户网络中的某些特定的安全威胁。安全需求和安全威胁的关系见表1和表2。表格中的“Y”表示为了抵御特定的威胁所需的安全需求。6
HiiKacaOiaiKAca
保密性
完整性
通信数据
存储数据
通信数据
存储数据
不可抵赖
访向控制
可用性
通信数据
存储数据
通信数据
存储数据
通信数据
存储数据
通信流安全
保密性
完整性
通信数据
存储数据
通信数据
存储数据
不可抵赖
访问控制
可用性
通信数据
存储数据
通信数据
存储数据
表1安全需求与通用安全威胁的关系威胁
通信阻断/
通信拥塞
数据修改/
未授权访间
表2安全需求与移动环境安全威胁的关系威胁
存储数据
通信数据
通信阻断
存储数据
GB/T29234—2012
婆端丢失
通信数据
数据包
错误转发
意外中断
GB/T29234—2012
通信数据
存储数据
通信流安全
存储数据
8宽带客户网络的安全机制概述
8.1加密
表2(续)
通信数据
通信阻断
存储数据
通信数据
终端丢失
意外中断
对数据加密可保证通信的保密性,也可保证存储数据的保密性。在宽带客户网络中,加密功能可以在网关上实现。
8.2数字签名
数字签名包括两个方面:第一是对数据加签名,即采用私钥产生签名:第二是对已加签名的数据进行验证,即采用公钥验证签名的有效性。8.3访问控制
为了确定和实现实体的访问能力,要使用实体的已认证身份进行访问控制。如果实体企图使用未授权的资源,或对已授权的资源进行超权限的访问,那么访间控制机制应拒绝此类企图,或在安全审计记录上留下一条记录。访间控制功能可以在宽带客户网络的网关上实现。8.4数据完整性
数据完整性要保证数据的正确性和准确性,即接收方收到的数据与发送方发出的数据完全相同。数据完整性要保证数据在传送过程中未被修改、删除生成、复制。数据完整性函数一般使用哈希函数或数字签名算法。在宽带客户网络中,数据完整性功能一般在宽带客户网络的网关上实现。8.5认证
8.5.1概述
认证包括对用户的认证和对设备的认证对宽带客户网络的用户进行认证,规定认证方法,如口令、数字证书和生物特征识别等。根据业务的不同,规定安全级别和相应的用户认证模型。对设备的认证包括对宽带客户网络的设备进行认证以及客户宽带网络设备对公网设备进行的互认证,用于标识设备的身份和归属。8.5.2用户认证机制
如图2所示,宽带客户网络的用户认证采用客户/服务器模型。根据访问方式的不同,用户认证有三种情形:
ikacadiaikAca
a)用户通过公网远程访问宽带客户网络;b)在宽带客户网络内部;
宽带客户网络的用户访问公网。e
安全参数设置
客户端
·互认证
·Key交换
·客户数据保护
公网或
宽带客户网络
图2用户认证机制的范畴
认证方式由客户与服务器进行约定,如口令,数字证书和生物特征识别等。GB/T29234—2012
安全参数设置
服务器
用户通过公网远程访问宽带客户网络:用户需要通过宽带客户的安全网关的认证。在宽带客户网络内部:用户要通过认证服务器的认证,认证服务器可以位于安全网关上,也可是宽带网络内部的一台单独的服务器。宽带客户网络的用户访问公网:宽带客户网络的安全网关起认证中继作用。8.5.3设备认证机制
与用户认证类似,宽带客户网络的设备认证采用客户/服务器模型。设备认证有两种情形:a)宽带客户网关与远程管理服务器关联获得管理配置信息;b)终端设备与宽带客户网关关联并产生交互。认证方式由客户与服务器进行约定,如口令、数字证书等。8.5.4安全级别下载标准就来标准下载网
为了规范宽带客户网络的用户认证,可以根据业务的不同,规定安全级别和认证机制,如表3所示。表3安全级别与认证机制
安全级别
最低安全
第一级
·无身份证明
客户认证
单要素认证
对所存储的用户秘密进行读
保护和写保护
第二级
。提供身份证明
·相互认证
·单要素认证
·对所存储的用户秘密进行单
向哈希加密或加盐(salt))
第三级
·提供身份证明
·相互认证
·密钥交换
·对所存储的用户秘密进行单
向哈希、加密或加盐(salt)
双要索认证
·在认证协议中通过共享密钥
保护敏感数据或结果数据
GB/T29234-—2012
8.6密钥管理
密钥管理功能是用来生成、发放、传输、删除和销毁密码密钥,密钥管理功能可以在宽带客户网络的网关上实现。
9宽带客户网络的安全算法
宽带客户网络的安全算法包括用于认证、签名、加密等过程的密码算法。10设备证书轮廓
10.1概述
本章规定了宽带客户网络中的设备认证,提出认证证书轮廓并规定证书的管理方法。10.2设备认证框架
宽带客户网络的设备证书框架分为两种:一种是内部发放证书的模型,另一种是外部发放证书的模型。前者在宽带客户网络中包含一个内部证书机构CA,它通常在安全网关上实现,内部CA产生密钥对,并向宽带客户网络中的设备发放数字证书。后者是所有宽带客户网络中的设备都使用外部证书机构CA发放的数字证书。
10.3证书轮廊
宽带客户网络的设备证书轮廊避从ITU-TX.509的规定。基本证书域包括:版本号、序列号、签名、发放者、有效性、对象,对象公开密钥信息等。由于宽带客户网络的设备计算能力有限,因此证书轮廓只包含基本证书域,不包含扩展证书域。10.4证书管理
宽带客户网络的证书机构CA可以是安全网关。证书的管理涉及到设备的证书的发放、查询、更新、归档、废除和有效期限管理等。11宽带客户网络安全功能要求
11.1内部联网安全
11.1.1有线联网技术
对于家庭内部和外部网络共享媒质的有线联网技术(例如电力线、同轴电缆等),应在宽带客户网络与公众网络线路的边界处进行滤波,防止家庭内部通信信号泄露到公众网络中。11.1.2无线联网技术
对于WIL.AN、蓝牙等使用无线媒质的联网技术,应支持通信双方链路层的互认证和数据加密功能对于支持WLAN的宽带客户网关,还应支持对其WLAN无线信号的发送功率和工作信道的设定,以及SSID隐藏的功能。
iiKacaQiaiKAca
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。