YDB 034-2009
标准分类号
关联标准
出版信息
相关单位信息
标准简介
YDB 034-2009 电信网安全需求
YDB034-2009
标准压缩包解压密码:www.bzxz.net
标准图片预览
标准内容
通信标准类技术报告
YDB034-2009
电信网安全需求
Security requirement of telecommunication network2009-04-29发布
中国通信标准化协会发布
1范围
2规范性引用文件
3术语和定义
3.1电信网..
3.2安全域.
3.3网络安全策略
4缩略语
5电信网安全需求的研究对象
5.1概述.
5.2电信网的层次结构
5.3安全求的研究对象
6安全域的划分原则
7电信网的安全目标
8电信网的安全高求
81概述
8.2安全策略需求
8.3认证、授权、访间控制与计费品器求、8.4身份管理与安全注服诺求
8.5通信与数据安企价求
8.6私秘性求
8.7安全管理品求
8.8不可抵赖性洁求
8.9可用性品求
8.10密码支持和密钥管理器求
谢录A(规范性阳录)电信网安全端求映射A.1网络接入层的资产、资源、信息与接口A.2传送层的资产、资源、信息与接口。A3控制层的资产、资源、信息与接口A4业务层的资产、资源、信息接口A.5与支挤系统有关的资产,资源,信息与接口A.6与端到端通信有关的资产、资源、信息与接口附录B:(资料性附录)电信网安全品求研究方法比较B.1TTU-TX.805的研究方法,
B.2U-TE.408的研究方法
B.3本技术报告的研究方法
发光文锁
YDB034-2009
本技术报告是”电前网安全”示列报告之一,该系列技术报告的结构预计期下:电信网安全品求
2.电信网安全成助、脆弱性、风险分析3,电倍限安全体系
为适应借息通信业发展对通前标准文件的品要,在信息产业部统一安排下,对于技本尚在发展中又品要有相应的标准性文件习导英发展的领域,山中国通信标准化协会组织制定“理信标准类技不报告”推荐在关方通参考采用。有关对本技术报登的建议和意见,向中国通信标准化协会反映不技术报告中通信标准化协会提出拜妇本技术报告起求单位:武汉邮电科学研究院、两安册电学院、国象计筑机网络应急技术处理助调中心、中国移动通估集团公司、中国电信集团公司,大唐电信科技产业集团、信息产业部电信研究院。本技术报告主要起草人:采格勤、刘建华、英元飞、刘黏、送阳、刘尚森、落红卫,1范围
电信网安全需求
本技术报告定义了电信网的安全需求,规定了安全温求的目的是:保护电信网的资产与资,保护终端与网络的私有信息,促进跨多个管理域的端到端的安全通信,本技不报告适用工现有的电信网络,并考惠期内电信网络的发展,特别是下一代网络(NGN)固网移动网的融合(C)的发展,广电传送网不在本技术报告范围之内。2、规范性引用文件
下列文件中的条款通过本技术报告的引用而成为本技术报告的条款。凡是注日期的引用文件,其后所有的修改单(不包括势误的内容)或修订版均不适用手本标准文件,然面,鼓厨根据不技不报告达成协议的各方研究是否可使用这非文件的最新版本,凡是不注日期的引用文件,其新版个适用王本技报告。
GB/T9387.2
ITU-TX.805(2003)
3术语租定义
信息处理系统开放系统互联基本参考模型第二部分:安全体系结构提供端到竭通信的系统的安全体系结构下列术语和定义以及GB/T9387.2确立的尽语和定义适用于本标准。3.1
电信网
TelecommunicationNetwork
利用有线和/或无线的电磁、光电系统,进行文字、声音、数据、图象或其宅任何媒体的信息传递的网络。
安全域SecurityDomain
指润一环境内有相同的安全保护需求、相互信任、并具有相同的安全访问控制和边界控制策略的网络或票统
网络安全策略NetworkSecurityPolicy指各种论还、规则租准期的集合,供运营商解释怎样使用网络资源、说明网络租业务怎样进行保护,4缩略语
下列缩略语适用于本标准。
3rd Generation
3rdGenerationPartnershipProjectAuthentication&AuthorizationAccessControlList
AccessGatewayControlFunctionApplicationLayerGateway
AccessNetwork
AuthenticationProxy
第三代移动通信
第三代伙伴计
认证与授权
访问控制列表
接入网关控制器
应用层网关
接入网
认证代理
YDB034-2009
A-RACF
S-CSCF
Access Resource Admission Control FumctionApplication Server
Application Service ProvidetCuslomer Neiwork Gateway
CustomerPremisesEquipment
Cireuit Switched
Call Session Control FunctionDenial-of-Service
EncapsulatingSecurityProtocolFiber ToThe CabinevCurb/Building/HomeFirewall
HomeGateway
Home Subseriber Server
Integrated Access Device
Ideantity
Interface
IntemetKey Exchange
IMS Private UserID
IMSPublicUscrID
IPMultimedia Subsystem
Intemet Protocol
InternerProtocol Sccurity
IMS Subscriber IdentityModuleMedia Gateway Controller
Medin Gateway Control FunctionMedin Gateway
Nelwork Address and Port TrinslationNetwork Aecess Subsystem
NetworkAddressTranslatior
Network Domain Security
Network Element
Next Generation Network
Proxy Cnll Session Control FunctionPSTN/ISDN EmulationSubsystemPublic Land Mobile Network
Packet Switched
Public Switched Telephone NetworkResounceAdmissionControl SubsystemServing Call Session Control FunctionSecurity GatewnyFunetion
Session Initiation Protocpl
Terminal Equipment
Transport Layer Security
接入资源允许控制器
应用服务器
应用业务提供商
用户网络网关
户驻地设备
电路交换
呼目会话控制器
担绝服务
均包安全协议
光纤到户。
小区等的统称
防火墩
家庭网关
国地用户服务器
综合接入设备
互联网密钥交换
IMS私有用户身份
IMS公共用户身份
IP多数体广系统
互联网协议
IP安全协议
IMS川产身份模块
媒体网美持制器
媒体网美控制器
媒体固关
网络地址编口译
网络接入子系统
网络地胜耀择
络或安全
下一代网络
代理型于会话控调器
PSTN/ISDN仿真子系统
公用陶地移动电话网
分维交换
公用电话交换网
资源充许控制子系筑
服务型呼川会话控制器
安全网关功能
会话初始化协议
终端设备
传输层安全
ThreatVulnerabilityRiskAssessmentUserEqupment
Universal Integrated Circuit CardUniversal Mobile Telecommunication SystemWirelessLocal Area Network
5电信网安全需求的研究对象
5.1概述
减肠、脆弱性、风险评估
用户设备
通用集成电路卡
通用移动通信系统
无线局域网
传统的电信阿与重联网是在不同时期发展起来的,随着网络演进,电信网与互联网进一步融合,产生广下一代网络,这种网络演进,既有STN/PLMN向NGN的演进,也有固网与移动网的避合电信送需商的网络划分方法,多种多样,例如,按络构成划分,可以分为:·
接入网,包括各种有线、无线和卫接入两等传送网,包括光缆,波分叉旧,SDH租IP承载网等核心网,包括南定交换、移动交换、软交换,集群系统、卫星网、3G网络利NGN核心网等互联网,是组成互联网的相关系统,包括接入网、传送网、数期承载网,用户终端等,互联网提供包括Web浏宽、电于邮件、FTP、公众信息发布、在线数据处理与交易处理、互联网接入服务等多种业务
信令网,即七号信令网络,是一种国际性的标准化的通用公共信道信导系统,由信令点、借含转接点以及连接宅们的信令链路组成同步网,指数字同步网,它为电信网的数字设备提供高精度的定时基准,使通信两内运行的所有数字设备工作在一个相同的半均建率上。数字同步网由同步节点设备以及连接节点设备的定时链路构成
支控网,包括业务支撑系统利网管系统增值业务网,包括智能网,消息网的业务平台租业务管理平台等网络终端,包括手机、电话座机、PDA、IAD设备等按业务划分,电信运营商的网络包括:·
提供基确电信业务的网络,如PSTN、懒中维、DDN、专线接入、VPN等提供增值业务的网络:刻163、IDC、想信平台领?
随各电信业务与广电业务的相互渗透,电信网与广电网也有融合的趋势。本技不报告仪限于研究现有的电信网络的安全品求问题,重点是从网络层次的角度考察电信网络的成胁来源,安全日标所产生的安全求。
5.2电信网的层次结构
如图1所示,整个电信网络可以分为用户(包括家庭网络、企业网络等)、电信运需商的网络和第三方业务网络等部分,不同部分通过标准接口进行连接:UNI:用户与运营商的网络之间的接口:?
NNI:同一运营离的不同网络之间的接口,或不同运益商的网络之间的接口::AN:第三方业务提供商与运营商的网络之间的接口把图1按层次维分,用户、运营商的网络及第三方业务义可分为以下儿个层次(如图2所示):?
终端:包括固定终端、移动终端,特别是随若技术的发展,还有各种能够主的信息家电等设备等,还包括家庭网络与企业网络。
接入层:包括移动接入线路与设备(3G、PHS、WiFi/WiMAX等基站设备或热点设备),固定接入线路与设备C铜线接入、HFC、FTTx、CPE、xDSL、准带/宽带接入设备等),以及卫星接入链路与设备等:
YDB034-2009
家庭网络
企业网络
第二方业务
运营商的
运营高的
端到端的通信
图1基本网络结构
家庭网络
企业网络
传送层包括现存的以光红为主的线路与SDH/MSTPIASON/WDM为主的传设备:?
承载层:包括以TDM/ATM/IPV4/IPv6/MPLS等为主的线路导设备:控制层:包括进行承载控制租业务控制的贷源行设备(传送链路、路由器、交换设备、IMS设备、服务盟、存储设备等),提供售令或管理协议:业务层:位括送营商提供的电路交换成分组交换成的活、视频、多媒体、数批业务,以及ASP/ISP/ICP等提供的第一方电路交换域与分组变换成业务支授系统:包据括网络支控系统、业务支招系统和企业管理信息系统,它货穿以上各层,提供网络管理、运维支持、用产管理、计费、安全、帐账单、业务统计、电手工单、资产管理等功能、业务服
收新最
(业普的)
(来我程材)
传进层
第车方务门
周检利
IPv6/MPLS
电际自营社者
全理指产限委婴票
用产管
业务投制
DWDMIASONMSTP
卫星道
用户与终染@
WITI/WIMAX
计营执PDA
电视线
电信网的层次结构
雪桶美管理
理费管理
莞全管理
和户督理
配营理
在能管理
我入缝
道户可建
企业内部同
净元营理
完入与降临管
5.3安全需求的研究对象
电信网安全品求的研究对象是运需商的网络,它应用1TU-T×,805建议,为电信吨,各种接口(UINNI和ANI)和网络信息提供安全要求。在多个运贷商、多种网络环度下,这此要求用来保护:1)运营商租业务提供商的资产与整源,包括:@
网络基础设施,妞各种网络设备、各种传输链路、各种系统软件、应用软件租控制软件等送营商之间和网络之间的接口,包括UNI、NNI、ANI领接口数据,包括源代码、数期库数据、系绕文档、运行管理规程、计划:报告、加户手期等文档,理纸质的成电形的各种文件,如设计文档、管理规定租技术要求等送装道业务提供商的信息,包括:2)
回络指扑结构
网络间的信会、协议、控制流等与运靠有美的情息,如业务量的大小,峰值流无额3)电信业务能力,包括:
络所能操供的业备:妞语音、频、多媒体、教据等业务4)端用户的通信和信息(例如私有信息)等丰述内个方而,是电值两安全逼求的最主要的内容,租对来说最求要。是上述四个方面分别对应到1TU-TX.805的3个层、3个面租8个维度的情说华端设施
业务房
管理书箱
控制平面
用户平面
医营销租
业务提供
新的资产
专费覆
运营高霜
电信务
业务提供
商的信息
端用户的
酒信和信
魔用层
访间控制
不可抵较性
数据保密性
通情安全
数完整性
可用链
图3电信网安全需求的研究对象到ITU-TX.805的映射6安全域的划分原则
安全域是指一环境内有相同的安全保护品求、相互信任、并具在相同的安全访间控制租边界控制策略的络或系统。电信运营企业由于网络复杂,通过安全域的划分,可使要保扩的络结购必用清晰可对网络进行更有效的安全管理。不同的电信运营企业之间,可以通过安全域的划分,进行网络之间的安全协通
安全域的划分要遵循以下原:
等级保护原则:不同的网络有不同的安全等级,因此可以根据安全等级划分为不同的安全域。YDB034-2009
从业务数据流角度来看,允许高等级安全域向低等级安全域发起业务访问,面低等级安全域或向高等级安全域只允许进行受限访间,安全策略最火化除期:当任在多项安全策略时,安全或防护策略应包含这费策略的合集,并选取最严格的防护策略,将可配暨同类安全策略的网络或系统划刻分在同一安全成,便于进行集中化的安全适打全理(如SOC),方使部暑实施。业务品求一致性最则:在分安全域范国用,边界的界定不能与慢务分离。o
结构简化原期:安全或划分的直接日标是将整个网络结构变得更加清脂,简单的网络结构便于段计扩体票,并且要与现有网络结构、国络拓扑紧密结合。电信网的安全目标
以下是电信网的总的安全自标:?
安全特性应该广泛、灵活,满是各种各样的安全要求安全品求回释合考遇性能、用性、开级、成不代价安全方法应尽请基于现有的、已经过龄证的安全标准安全体系应全两可升级(但括在一一个运营简的一个网络,一个运营商的多个两络,以没多个这营商的多个网路)
安全体系应避照现有的、根据信令或控制流、用户流最,管理流量所作的物理器离或逆解隔尚安全方法不能影响业务质量
电信网的安全要从达营商、业务提供商,户等方用进行综合考店安全配置对主业务提供商利用户来说,做简单易行只有经授权的送营商、业务提供高租用户在权访润电信网络只有经授权的需商,业务提供和用广术能在授仪的范用内检索为之相的电留两的安全信息
。,如果检测到违射安全策略,应控制在须先规的猫情内,以成少潜在的期害8电信网的安全需求
B1概述
电信网必颈为用户,适营商租服务提供者范供安全,可信的环境,以满是通信的码不安全固求,以下从安全策略、秋证/授权/访间控制和计费,身份管理与安全注期,增信马数期安全品求(包据保密性、无教等,私秘性,不可抵物性,安全管理满码支持密钥管理等方拍,用电信及电信各成带分的安全品求,电网的成册,脆骑性风险分析,以及电信网的安全体案特在男外两个建议中还。
为了便手快连在我,以下对安全品求进行编导,品婴指出的是:在下述的划分中,有品求有诺分重登:缩号的次形不代表有优先级的差别。本牵按条日刻出了8大类安全品求,附录是个纳说明您样在我电借网年个虑次中的安全品求。8.2安全策略需求
安全策略是各种论述、解期和准则的集合,供运营商解群彩样使用络资源、说明聘络租业务怎样进行保护。从用户和第三方业务提俱简的角度活,安全策略定义广一个合法的旧产可以作佳么,它会说明赚典信息被保护。从营商的角度看。在复杂的两络环嗮中,通带有多简的设备,有不同的成册,如果没有强有力的安全策路,就很难保证安全SP-电销网的安全要从运营商、业务提供商、用广等方询进打综合考惠SP-2:电信网在超辑土和租物理上通常可划分为不同的安全成,把业务如电信运背商的自营业务。第三方提供的业务)控制(如业务控制租承载控制)、承载(如IP、MPLS)、传送(如DWDM、ASON、MSTP)与接入(xDSL、FTTx、UMTS、WMAX)分开,相同络(如软交换、6
1MS)的不同运登留也出可执行不同的安全策略。SP-3:安全机制及其参数应是可配置的,对NNI租ANI接口可不变,对UNI接口可协商,安全机制协商应有最低要求,以避免尝试攻击(bidding-cownaxtacks),用户应能拒绝达不到最低全策略的通信www.bzxz.net
SP-4:安全机制可划分,认证、数期完整性、保密性等功能被此可独立实现,也可独立选择,SP-5:安全方法应尽量基于现有的、已经过验证的安全标准SP-6:安全体系应避照现有的、根据信令或控制流、用户流量、管理流量所作的物理隔离或逻辑险S-7:如果检测到犯安全策略,应控制在预先规划的范围内,以减少潜在的预害8.3认证、授权、访问控制与计费需求AA:只有授权用户才能有微接入到电信网络,使用电信业务利应用,以及第方提供的业务,只有经授权的运营商业务提供商租用户才能个授权的范内检相关电信网的安全信息,AA-2:用广认证可以是基于使件的,出可是基于软件的AA-3:广设备UE与应川服务器AS在进行授权之通,应支持相互认证AA4:用广设备UE与认证代理AP(家庭网关,企业网络网关)之间,应支持相五认证AA-5:认证代理AP(家庭网关、企业网络网关》可决定一个特定的用广是否可被投权访间一个特定的应用服务器AS,应用服务器AS只对相关资源进行访制授权AA-6:在用产非地设备CPE租网络接入子系统NASS之间,用户访间网络进行注期时,应支持租有认
入A-7:接入网应能够对用产进行认证和授权,接入网的认证租授权,应由接入网送营商控制AA-8:络接入子系统应支持对用户的显生认证《如PPP或IEE802.1x)成隐付在线认证(如MAC地认证或线路认证),在隐性认证时,通过物理愿或传输层的逆辑身份,进行陷性认证
AA-9对于CS域业务·应租业务通过MSC、IMS对用产进行投权租访问控制对工PS域业务成用和业务通过AAA服务器对用产进行授权租访问控制。AA-10:媒体网美控制器要能对多个媒体网关进行认证,不同的媒体网关可以有不同的安全联亲,AA-:保护所有的传送网元、构件,以防未经授权的访间,保护所有的管两元、构件和接口,以防未经授权的访间。
AA-2:对于第三方业务提供格的接入,送需商应对网元租资源进行安全保护。AA-13:对于端到端的通信,可以租直认证,也可山第方进行认证人A-14:月广的认证街与终端的认证分开A-15:运签支择系统(包括常业系统、计费系统和账务系统等)应能对接入的用产进行流量统计应当确保账单的准确健,保证账单不求复、不丢失且不被修改8.4身份管理与安全注册需求
下列品求用于减少以下情形:伪装、骗或假网络终端,设备/系统和用户,出用于对业务/应用的身份份取、温用进行放量。
很-可使川包括生物特征识别、数学证书在内的个人身份管理体制。很-2:用户的接入身份可用于接入认证。IR-3:在线身份可用于在线认证很4:对了两管和运维支撑系统,品要身份管理和安全注用,开具备定的安全策略将用产分级,根据其访间权限限制其可访间的内容。对访问内容的任何改动都记录在案。R-5:跨网络的身份管理与安全注期应有协商机制R-6:对于端到端的通信,可以使用数字证进行身份识别,R-7:用广身份管理应具备安全措施,防止用广牙份温露。YDB034-2009
8.5通信与数据安全需求
本节中数据包括保存在设备上的各种重要数据,包括网络配置数摄、管员操作维护记录、用户信息、计费数据服革等,出包据管理数据如信令协议等相关的数据)。CD-I对穿过UNI、NNI和ANI按口的信令与管理数据提供安全保护CD-2:对穿过UNI、NNI租ANI接自的媒体流款与承载流量提供安全保护CD-3:同一运营商的不间网络之间,对媒体流书租承我流应择供安全保护,CD-4:所有通过UNI接配配用户设备UE的数期要进行保护,以防失去保密性租完整性。CD-5:元之间的充整性保护取决于网络域安全机谢CD-6:果用IMS用户身份模快ISIM的IMS系统,应支持用户到借令的接入安全(包据认证、保性与完整性保护)。IMS川户身份模快ISIM的特定信感应通过安全方式更新。CD-7:要保护敏感数期以防攻街(相务斯,露改利重放政击)CD-%:温要确保认证数最的薄头、完繁性有及时更新,特别是加来密销。CD9:业务提供商如案存储或持有用户身份信息,谢质保护这非值息的保密性CD-10:用户设备UE专应用服务器之间应支持数期完整性CD-:用产设备UE每P-CSCF之间要进行完整性保护,以保护SIP信令CD-12道信的保流性通过密码加需实现,存储数据的保密性通过密码器或访间控制实现,CD-13:网络安全协议应专通用防火瑞协间上作,座能工作在NAT/NAPT环境中,保存在设备中尚各种重要数据以当有本地备份,根据品求还应当存异地备份CD-14
保存在改备中的重要数最应根嘉求加需,实现数的保無性8.6私秘性需求
P-:富要保护网络拓扑,以免照落给其它或,对于安全域。器要通行保护,以防对信令租其它管理协议的流量分析
P-2:用产位置使用校式应保,避免无错的导请。P-3:要保护加声的身份数摄的保密性。P4,对了运营商来说,应保证发起呼的用产的身份真实性,特期是这次呼用全程处在该运营育的网络中(印呼邮的发起方租终结方郡处在间国络中)任何使用量晚业务信息的业务在释放量现业务信息时,要确保符合私秘生协议。量现业务不P-5t
免费处理中此带求的,坚现业务共非私稳性管理的要求,P-6:发送方可以要求对接收方隐减公其ID.中:在发起会话发送消息时,用户间选择向对方品示自已的,面对方在间复时可要求验证此D
8.7安全管理需求
本节中安全管理偏重手安全管理技术。SM-:在设备用网络管理方面,成有元余配置,设备应支指系统硬件、软件的故障自动储换和备份,门动制换后,系统成能正带工作SM-2:在网管方血,网用广应配置成不同级期租权限,用广只能在权限范期内进行操作,用户进人网管兼统必须认证:网管对用法用户餐录虚能感生安个生告警,未经投权的操作尝试山系统口志记录并严生安全整告提求SM-3:在选维管理方面,随山不满的或有预谋的内部人员进行恶意破环,或采用内外勾结的方式盗窃信息或进行款设:所止盗有、删除,无失没备和信息:防建搭载窃斯信息。SM-4:应按操作规程实现网络设备的启动移山,加电/断电等操作,加强对设备操作的1志文件管理租监控舒理。并对定期进扩检真。SM-5:成建立你储介质安全管理度,对存站介质的信放环境、使用、维扩和销没等方面作闻规定。
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
YDB034-2009
电信网安全需求
Security requirement of telecommunication network2009-04-29发布
中国通信标准化协会发布
1范围
2规范性引用文件
3术语和定义
3.1电信网..
3.2安全域.
3.3网络安全策略
4缩略语
5电信网安全需求的研究对象
5.1概述.
5.2电信网的层次结构
5.3安全求的研究对象
6安全域的划分原则
7电信网的安全目标
8电信网的安全高求
81概述
8.2安全策略需求
8.3认证、授权、访间控制与计费品器求、8.4身份管理与安全注服诺求
8.5通信与数据安企价求
8.6私秘性求
8.7安全管理品求
8.8不可抵赖性洁求
8.9可用性品求
8.10密码支持和密钥管理器求
谢录A(规范性阳录)电信网安全端求映射A.1网络接入层的资产、资源、信息与接口A.2传送层的资产、资源、信息与接口。A3控制层的资产、资源、信息与接口A4业务层的资产、资源、信息接口A.5与支挤系统有关的资产,资源,信息与接口A.6与端到端通信有关的资产、资源、信息与接口附录B:(资料性附录)电信网安全品求研究方法比较B.1TTU-TX.805的研究方法,
B.2U-TE.408的研究方法
B.3本技术报告的研究方法
发光文锁
YDB034-2009
本技术报告是”电前网安全”示列报告之一,该系列技术报告的结构预计期下:电信网安全品求
2.电信网安全成助、脆弱性、风险分析3,电倍限安全体系
为适应借息通信业发展对通前标准文件的品要,在信息产业部统一安排下,对于技本尚在发展中又品要有相应的标准性文件习导英发展的领域,山中国通信标准化协会组织制定“理信标准类技不报告”推荐在关方通参考采用。有关对本技术报登的建议和意见,向中国通信标准化协会反映不技术报告中通信标准化协会提出拜妇本技术报告起求单位:武汉邮电科学研究院、两安册电学院、国象计筑机网络应急技术处理助调中心、中国移动通估集团公司、中国电信集团公司,大唐电信科技产业集团、信息产业部电信研究院。本技术报告主要起草人:采格勤、刘建华、英元飞、刘黏、送阳、刘尚森、落红卫,1范围
电信网安全需求
本技术报告定义了电信网的安全需求,规定了安全温求的目的是:保护电信网的资产与资,保护终端与网络的私有信息,促进跨多个管理域的端到端的安全通信,本技不报告适用工现有的电信网络,并考惠期内电信网络的发展,特别是下一代网络(NGN)固网移动网的融合(C)的发展,广电传送网不在本技术报告范围之内。2、规范性引用文件
下列文件中的条款通过本技术报告的引用而成为本技术报告的条款。凡是注日期的引用文件,其后所有的修改单(不包括势误的内容)或修订版均不适用手本标准文件,然面,鼓厨根据不技不报告达成协议的各方研究是否可使用这非文件的最新版本,凡是不注日期的引用文件,其新版个适用王本技报告。
GB/T9387.2
ITU-TX.805(2003)
3术语租定义
信息处理系统开放系统互联基本参考模型第二部分:安全体系结构提供端到竭通信的系统的安全体系结构下列术语和定义以及GB/T9387.2确立的尽语和定义适用于本标准。3.1
电信网
TelecommunicationNetwork
利用有线和/或无线的电磁、光电系统,进行文字、声音、数据、图象或其宅任何媒体的信息传递的网络。
安全域SecurityDomain
指润一环境内有相同的安全保护需求、相互信任、并具有相同的安全访问控制和边界控制策略的网络或票统
网络安全策略NetworkSecurityPolicy指各种论还、规则租准期的集合,供运营商解释怎样使用网络资源、说明网络租业务怎样进行保护,4缩略语
下列缩略语适用于本标准。
3rd Generation
3rdGenerationPartnershipProjectAuthentication&AuthorizationAccessControlList
AccessGatewayControlFunctionApplicationLayerGateway
AccessNetwork
AuthenticationProxy
第三代移动通信
第三代伙伴计
认证与授权
访问控制列表
接入网关控制器
应用层网关
接入网
认证代理
YDB034-2009
A-RACF
S-CSCF
Access Resource Admission Control FumctionApplication Server
Application Service ProvidetCuslomer Neiwork Gateway
CustomerPremisesEquipment
Cireuit Switched
Call Session Control FunctionDenial-of-Service
EncapsulatingSecurityProtocolFiber ToThe CabinevCurb/Building/HomeFirewall
HomeGateway
Home Subseriber Server
Integrated Access Device
Ideantity
Interface
IntemetKey Exchange
IMS Private UserID
IMSPublicUscrID
IPMultimedia Subsystem
Intemet Protocol
InternerProtocol Sccurity
IMS Subscriber IdentityModuleMedia Gateway Controller
Medin Gateway Control FunctionMedin Gateway
Nelwork Address and Port TrinslationNetwork Aecess Subsystem
NetworkAddressTranslatior
Network Domain Security
Network Element
Next Generation Network
Proxy Cnll Session Control FunctionPSTN/ISDN EmulationSubsystemPublic Land Mobile Network
Packet Switched
Public Switched Telephone NetworkResounceAdmissionControl SubsystemServing Call Session Control FunctionSecurity GatewnyFunetion
Session Initiation Protocpl
Terminal Equipment
Transport Layer Security
接入资源允许控制器
应用服务器
应用业务提供商
用户网络网关
户驻地设备
电路交换
呼目会话控制器
担绝服务
均包安全协议
光纤到户。
小区等的统称
防火墩
家庭网关
国地用户服务器
综合接入设备
互联网密钥交换
IMS私有用户身份
IMS公共用户身份
IP多数体广系统
互联网协议
IP安全协议
IMS川产身份模块
媒体网美持制器
媒体网美控制器
媒体固关
网络地址编口译
网络接入子系统
网络地胜耀择
络或安全
下一代网络
代理型于会话控调器
PSTN/ISDN仿真子系统
公用陶地移动电话网
分维交换
公用电话交换网
资源充许控制子系筑
服务型呼川会话控制器
安全网关功能
会话初始化协议
终端设备
传输层安全
ThreatVulnerabilityRiskAssessmentUserEqupment
Universal Integrated Circuit CardUniversal Mobile Telecommunication SystemWirelessLocal Area Network
5电信网安全需求的研究对象
5.1概述
减肠、脆弱性、风险评估
用户设备
通用集成电路卡
通用移动通信系统
无线局域网
传统的电信阿与重联网是在不同时期发展起来的,随着网络演进,电信网与互联网进一步融合,产生广下一代网络,这种网络演进,既有STN/PLMN向NGN的演进,也有固网与移动网的避合电信送需商的网络划分方法,多种多样,例如,按络构成划分,可以分为:·
接入网,包括各种有线、无线和卫接入两等传送网,包括光缆,波分叉旧,SDH租IP承载网等核心网,包括南定交换、移动交换、软交换,集群系统、卫星网、3G网络利NGN核心网等互联网,是组成互联网的相关系统,包括接入网、传送网、数期承载网,用户终端等,互联网提供包括Web浏宽、电于邮件、FTP、公众信息发布、在线数据处理与交易处理、互联网接入服务等多种业务
信令网,即七号信令网络,是一种国际性的标准化的通用公共信道信导系统,由信令点、借含转接点以及连接宅们的信令链路组成同步网,指数字同步网,它为电信网的数字设备提供高精度的定时基准,使通信两内运行的所有数字设备工作在一个相同的半均建率上。数字同步网由同步节点设备以及连接节点设备的定时链路构成
支控网,包括业务支撑系统利网管系统增值业务网,包括智能网,消息网的业务平台租业务管理平台等网络终端,包括手机、电话座机、PDA、IAD设备等按业务划分,电信运营商的网络包括:·
提供基确电信业务的网络,如PSTN、懒中维、DDN、专线接入、VPN等提供增值业务的网络:刻163、IDC、想信平台领?
随各电信业务与广电业务的相互渗透,电信网与广电网也有融合的趋势。本技不报告仪限于研究现有的电信网络的安全品求问题,重点是从网络层次的角度考察电信网络的成胁来源,安全日标所产生的安全求。
5.2电信网的层次结构
如图1所示,整个电信网络可以分为用户(包括家庭网络、企业网络等)、电信运需商的网络和第三方业务网络等部分,不同部分通过标准接口进行连接:UNI:用户与运营商的网络之间的接口:?
NNI:同一运营离的不同网络之间的接口,或不同运益商的网络之间的接口::AN:第三方业务提供商与运营商的网络之间的接口把图1按层次维分,用户、运营商的网络及第三方业务义可分为以下儿个层次(如图2所示):?
终端:包括固定终端、移动终端,特别是随若技术的发展,还有各种能够主的信息家电等设备等,还包括家庭网络与企业网络。
接入层:包括移动接入线路与设备(3G、PHS、WiFi/WiMAX等基站设备或热点设备),固定接入线路与设备C铜线接入、HFC、FTTx、CPE、xDSL、准带/宽带接入设备等),以及卫星接入链路与设备等:
YDB034-2009
家庭网络
企业网络
第二方业务
运营商的
运营高的
端到端的通信
图1基本网络结构
家庭网络
企业网络
传送层包括现存的以光红为主的线路与SDH/MSTPIASON/WDM为主的传设备:?
承载层:包括以TDM/ATM/IPV4/IPv6/MPLS等为主的线路导设备:控制层:包括进行承载控制租业务控制的贷源行设备(传送链路、路由器、交换设备、IMS设备、服务盟、存储设备等),提供售令或管理协议:业务层:位括送营商提供的电路交换成分组交换成的活、视频、多媒体、数批业务,以及ASP/ISP/ICP等提供的第一方电路交换域与分组变换成业务支授系统:包据括网络支控系统、业务支招系统和企业管理信息系统,它货穿以上各层,提供网络管理、运维支持、用产管理、计费、安全、帐账单、业务统计、电手工单、资产管理等功能、业务服
收新最
(业普的)
(来我程材)
传进层
第车方务门
周检利
IPv6/MPLS
电际自营社者
全理指产限委婴票
用产管
业务投制
DWDMIASONMSTP
卫星道
用户与终染@
WITI/WIMAX
计营执PDA
电视线
电信网的层次结构
雪桶美管理
理费管理
莞全管理
和户督理
配营理
在能管理
我入缝
道户可建
企业内部同
净元营理
完入与降临管
5.3安全需求的研究对象
电信网安全品求的研究对象是运需商的网络,它应用1TU-T×,805建议,为电信吨,各种接口(UINNI和ANI)和网络信息提供安全要求。在多个运贷商、多种网络环度下,这此要求用来保护:1)运营商租业务提供商的资产与整源,包括:@
网络基础设施,妞各种网络设备、各种传输链路、各种系统软件、应用软件租控制软件等送营商之间和网络之间的接口,包括UNI、NNI、ANI领接口数据,包括源代码、数期库数据、系绕文档、运行管理规程、计划:报告、加户手期等文档,理纸质的成电形的各种文件,如设计文档、管理规定租技术要求等送装道业务提供商的信息,包括:2)
回络指扑结构
网络间的信会、协议、控制流等与运靠有美的情息,如业务量的大小,峰值流无额3)电信业务能力,包括:
络所能操供的业备:妞语音、频、多媒体、教据等业务4)端用户的通信和信息(例如私有信息)等丰述内个方而,是电值两安全逼求的最主要的内容,租对来说最求要。是上述四个方面分别对应到1TU-TX.805的3个层、3个面租8个维度的情说华端设施
业务房
管理书箱
控制平面
用户平面
医营销租
业务提供
新的资产
专费覆
运营高霜
电信务
业务提供
商的信息
端用户的
酒信和信
魔用层
访间控制
不可抵较性
数据保密性
通情安全
数完整性
可用链
图3电信网安全需求的研究对象到ITU-TX.805的映射6安全域的划分原则
安全域是指一环境内有相同的安全保护品求、相互信任、并具在相同的安全访间控制租边界控制策略的络或系统。电信运营企业由于网络复杂,通过安全域的划分,可使要保扩的络结购必用清晰可对网络进行更有效的安全管理。不同的电信运营企业之间,可以通过安全域的划分,进行网络之间的安全协通
安全域的划分要遵循以下原:
等级保护原则:不同的网络有不同的安全等级,因此可以根据安全等级划分为不同的安全域。YDB034-2009
从业务数据流角度来看,允许高等级安全域向低等级安全域发起业务访问,面低等级安全域或向高等级安全域只允许进行受限访间,安全策略最火化除期:当任在多项安全策略时,安全或防护策略应包含这费策略的合集,并选取最严格的防护策略,将可配暨同类安全策略的网络或系统划刻分在同一安全成,便于进行集中化的安全适打全理(如SOC),方使部暑实施。业务品求一致性最则:在分安全域范国用,边界的界定不能与慢务分离。o
结构简化原期:安全或划分的直接日标是将整个网络结构变得更加清脂,简单的网络结构便于段计扩体票,并且要与现有网络结构、国络拓扑紧密结合。电信网的安全目标
以下是电信网的总的安全自标:?
安全特性应该广泛、灵活,满是各种各样的安全要求安全品求回释合考遇性能、用性、开级、成不代价安全方法应尽请基于现有的、已经过龄证的安全标准安全体系应全两可升级(但括在一一个运营简的一个网络,一个运营商的多个两络,以没多个这营商的多个网路)
安全体系应避照现有的、根据信令或控制流、用户流最,管理流量所作的物理器离或逆解隔尚安全方法不能影响业务质量
电信网的安全要从达营商、业务提供商,户等方用进行综合考店安全配置对主业务提供商利用户来说,做简单易行只有经授权的送营商、业务提供高租用户在权访润电信网络只有经授权的需商,业务提供和用广术能在授仪的范用内检索为之相的电留两的安全信息
。,如果检测到违射安全策略,应控制在须先规的猫情内,以成少潜在的期害8电信网的安全需求
B1概述
电信网必颈为用户,适营商租服务提供者范供安全,可信的环境,以满是通信的码不安全固求,以下从安全策略、秋证/授权/访间控制和计费,身份管理与安全注期,增信马数期安全品求(包据保密性、无教等,私秘性,不可抵物性,安全管理满码支持密钥管理等方拍,用电信及电信各成带分的安全品求,电网的成册,脆骑性风险分析,以及电信网的安全体案特在男外两个建议中还。
为了便手快连在我,以下对安全品求进行编导,品婴指出的是:在下述的划分中,有品求有诺分重登:缩号的次形不代表有优先级的差别。本牵按条日刻出了8大类安全品求,附录是个纳说明您样在我电借网年个虑次中的安全品求。8.2安全策略需求
安全策略是各种论述、解期和准则的集合,供运营商解群彩样使用络资源、说明聘络租业务怎样进行保护。从用户和第三方业务提俱简的角度活,安全策略定义广一个合法的旧产可以作佳么,它会说明赚典信息被保护。从营商的角度看。在复杂的两络环嗮中,通带有多简的设备,有不同的成册,如果没有强有力的安全策路,就很难保证安全SP-电销网的安全要从运营商、业务提供商、用广等方询进打综合考惠SP-2:电信网在超辑土和租物理上通常可划分为不同的安全成,把业务如电信运背商的自营业务。第三方提供的业务)控制(如业务控制租承载控制)、承载(如IP、MPLS)、传送(如DWDM、ASON、MSTP)与接入(xDSL、FTTx、UMTS、WMAX)分开,相同络(如软交换、6
1MS)的不同运登留也出可执行不同的安全策略。SP-3:安全机制及其参数应是可配置的,对NNI租ANI接口可不变,对UNI接口可协商,安全机制协商应有最低要求,以避免尝试攻击(bidding-cownaxtacks),用户应能拒绝达不到最低全策略的通信www.bzxz.net
SP-4:安全机制可划分,认证、数期完整性、保密性等功能被此可独立实现,也可独立选择,SP-5:安全方法应尽量基于现有的、已经过验证的安全标准SP-6:安全体系应避照现有的、根据信令或控制流、用户流量、管理流量所作的物理隔离或逻辑险S-7:如果检测到犯安全策略,应控制在预先规划的范围内,以减少潜在的预害8.3认证、授权、访问控制与计费需求AA:只有授权用户才能有微接入到电信网络,使用电信业务利应用,以及第方提供的业务,只有经授权的运营商业务提供商租用户才能个授权的范内检相关电信网的安全信息,AA-2:用广认证可以是基于使件的,出可是基于软件的AA-3:广设备UE与应川服务器AS在进行授权之通,应支持相互认证AA4:用广设备UE与认证代理AP(家庭网关,企业网络网关)之间,应支持相五认证AA-5:认证代理AP(家庭网关、企业网络网关》可决定一个特定的用广是否可被投权访间一个特定的应用服务器AS,应用服务器AS只对相关资源进行访制授权AA-6:在用产非地设备CPE租网络接入子系统NASS之间,用户访间网络进行注期时,应支持租有认
入A-7:接入网应能够对用产进行认证和授权,接入网的认证租授权,应由接入网送营商控制AA-8:络接入子系统应支持对用户的显生认证《如PPP或IEE802.1x)成隐付在线认证(如MAC地认证或线路认证),在隐性认证时,通过物理愿或传输层的逆辑身份,进行陷性认证
AA-9对于CS域业务·应租业务通过MSC、IMS对用产进行投权租访问控制对工PS域业务成用和业务通过AAA服务器对用产进行授权租访问控制。AA-10:媒体网美控制器要能对多个媒体网关进行认证,不同的媒体网关可以有不同的安全联亲,AA-:保护所有的传送网元、构件,以防未经授权的访间,保护所有的管两元、构件和接口,以防未经授权的访间。
AA-2:对于第三方业务提供格的接入,送需商应对网元租资源进行安全保护。AA-13:对于端到端的通信,可以租直认证,也可山第方进行认证人A-14:月广的认证街与终端的认证分开A-15:运签支择系统(包括常业系统、计费系统和账务系统等)应能对接入的用产进行流量统计应当确保账单的准确健,保证账单不求复、不丢失且不被修改8.4身份管理与安全注册需求
下列品求用于减少以下情形:伪装、骗或假网络终端,设备/系统和用户,出用于对业务/应用的身份份取、温用进行放量。
很-可使川包括生物特征识别、数学证书在内的个人身份管理体制。很-2:用户的接入身份可用于接入认证。IR-3:在线身份可用于在线认证很4:对了两管和运维支撑系统,品要身份管理和安全注用,开具备定的安全策略将用产分级,根据其访间权限限制其可访间的内容。对访问内容的任何改动都记录在案。R-5:跨网络的身份管理与安全注期应有协商机制R-6:对于端到端的通信,可以使用数字证进行身份识别,R-7:用广身份管理应具备安全措施,防止用广牙份温露。YDB034-2009
8.5通信与数据安全需求
本节中数据包括保存在设备上的各种重要数据,包括网络配置数摄、管员操作维护记录、用户信息、计费数据服革等,出包据管理数据如信令协议等相关的数据)。CD-I对穿过UNI、NNI和ANI按口的信令与管理数据提供安全保护CD-2:对穿过UNI、NNI租ANI接自的媒体流款与承载流量提供安全保护CD-3:同一运营商的不间网络之间,对媒体流书租承我流应择供安全保护,CD-4:所有通过UNI接配配用户设备UE的数期要进行保护,以防失去保密性租完整性。CD-5:元之间的充整性保护取决于网络域安全机谢CD-6:果用IMS用户身份模快ISIM的IMS系统,应支持用户到借令的接入安全(包据认证、保性与完整性保护)。IMS川户身份模快ISIM的特定信感应通过安全方式更新。CD-7:要保护敏感数期以防攻街(相务斯,露改利重放政击)CD-%:温要确保认证数最的薄头、完繁性有及时更新,特别是加来密销。CD9:业务提供商如案存储或持有用户身份信息,谢质保护这非值息的保密性CD-10:用户设备UE专应用服务器之间应支持数期完整性CD-:用产设备UE每P-CSCF之间要进行完整性保护,以保护SIP信令CD-12道信的保流性通过密码加需实现,存储数据的保密性通过密码器或访间控制实现,CD-13:网络安全协议应专通用防火瑞协间上作,座能工作在NAT/NAPT环境中,保存在设备中尚各种重要数据以当有本地备份,根据品求还应当存异地备份CD-14
保存在改备中的重要数最应根嘉求加需,实现数的保無性8.6私秘性需求
P-:富要保护网络拓扑,以免照落给其它或,对于安全域。器要通行保护,以防对信令租其它管理协议的流量分析
P-2:用产位置使用校式应保,避免无错的导请。P-3:要保护加声的身份数摄的保密性。P4,对了运营商来说,应保证发起呼的用产的身份真实性,特期是这次呼用全程处在该运营育的网络中(印呼邮的发起方租终结方郡处在间国络中)任何使用量晚业务信息的业务在释放量现业务信息时,要确保符合私秘生协议。量现业务不P-5t
免费处理中此带求的,坚现业务共非私稳性管理的要求,P-6:发送方可以要求对接收方隐减公其ID.中:在发起会话发送消息时,用户间选择向对方品示自已的,面对方在间复时可要求验证此D
8.7安全管理需求
本节中安全管理偏重手安全管理技术。SM-:在设备用网络管理方面,成有元余配置,设备应支指系统硬件、软件的故障自动储换和备份,门动制换后,系统成能正带工作SM-2:在网管方血,网用广应配置成不同级期租权限,用广只能在权限范期内进行操作,用户进人网管兼统必须认证:网管对用法用户餐录虚能感生安个生告警,未经投权的操作尝试山系统口志记录并严生安全整告提求SM-3:在选维管理方面,随山不满的或有预谋的内部人员进行恶意破环,或采用内外勾结的方式盗窃信息或进行款设:所止盗有、删除,无失没备和信息:防建搭载窃斯信息。SM-4:应按操作规程实现网络设备的启动移山,加电/断电等操作,加强对设备操作的1志文件管理租监控舒理。并对定期进扩检真。SM-5:成建立你储介质安全管理度,对存站介质的信放环境、使用、维扩和销没等方面作闻规定。
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。