YDB 036-2009
基本信息
标准号:
YDB 036-2009
中文名称:下一代网络(NGN)安全框架
标准类别:通信行业标准(YD)
标准状态:现行
出版语种:简体中文
下载格式:.zip .pdf
下载大小:3088852
相关标签:
下一代
网络
安全
框架
标准分类号
关联标准
出版信息
相关单位信息
标准简介
YDB 036-2009.The security framework of next generation network.
1范围
YDB 036报告规定了下一代网络(NGN) 的体系结构、安全目标、ITU-T X. 805安全框架下的安全体系与NGN网络中实现网络安全的措施。
YDB 036报告适用于下一-代网络(NGN) 的网络安全研究,不涉及业务与应用的安全研究。
2规范性引用文件
下列文件中的条款通过本技术报告的引用而成为本技术报告的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本技术报告,然而,鼓励根据本技术报告达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本技术报告。
YD/T 1467 IP安全协议
ITU-T X. 805 提供端到端安全通信系统的安全体系
ITU-T Y. 2011 NGN总则和通用参考模型
ITU-T Y. 2012 NGN第一阶段功能需求与架构
ITU-T Y. 2701 NGN第-阶段安全需求
3缩略语
下列缩略语适用于本技术报告。
AKA Authentication and Key Agreement 认证与密钥协商
AN Access Node 访问节点
ANI Application Network Interface 应用网络接口
4 NGN的体系结构
4.1 概述
本技术报告基于ITU-T Y. 2012中的下一代网络(NGN) 体系结构,国际上对于下一代网络(NGN)安全的研究可参见附录B。图1为NGN体系结构。NGN体系结构的功能应符合Y.2011的规定,分为传送层与业务层。
标准内容
通信标准类技
术报告
YDB0362009
下一代网络(NGN)安全框架
The securityframework of next generation network2009-12-09印发
中国通信标准化协会
前言,
1范围
2规范性引用文件
3编略语,
4NGN的体系结构
4.1概述.
4.2传送层功能,
4.3业务层功能.
4.4最终用户功能
4.5管理功能....
SNGN网络安全的目标
5.1安全总目标,
5.2跨多网络运营商域的安全目标6NGN网络安全框架,
6.1X.805模型与NGN网络安全的关系目
6.2NGN网络中ITU-TX.805安全纬度要达到的目标7NGN网络安全的实现
7.1NGN网络通信与数据安全实现7.2接入与认证的实现
7.3可用性与隐私性实现
附录A(资料性附录)
A.1概述
A.2AAA概念
A.2.1AAA概述
A.2.2认证功能,
A.2.3授权功能..
A.2.4计费功能,
A.3RADIUS简介
A.3.1概述..
A.3.2体系结构,
A.3.3协议特点...
A.4Diameter简介
A.4.1概达..
用户认证技术
A.4.2Diameter服务器体系中的组成部分A.4.3Diameter服务器的模型
A.5TACACS简介
A.6域用户管理
A.7IMS为基础的NGN网络中用户接入使用的AKA算法附录B(资料性附录)国际标准组织对NGN安全研究的现状YDB036—2009
YDB036-2009
B.2ETSITISPAN
参考文献,
+++++++++++
-KAoNiiKAca
YDB036-2009
本技术报告是下一代网络(NGN)控制的系列技术报告之一,该系列技术报告结构如下:下一代网络(NGN)中网络附着子系统(NASS)技术要求:一下一代网络(NGN)中资源和接纳控制功能架构(RACF)技术要求下-代网络(NGN)安全框架
随着技术的发展,还将制定后续的相关标准。本技术报告的附录A、附录B为资料性附录为适应信息通信业发展对通信标准文件的需要,在工业和信息化部统一安择下,对于技术尚在发展中,又需要有相应的标准性文件引导其发展的领域,由中国通信标准化协会组织制定“通信标准类技术报告”,推荐有关方而参考采用,有关对本技术报告的建议和意见,向中国通信标准化协会反映本技术报告由中国通信标准化协会提出并归口。本技术报告起草单位:工业和信息化部电信研究院。本技术报告主要起草人:刘述、武静、毕立波-KAONiiKAca
1范围
下一代网络
(NGN)安全框架
YDB036—2009
本技术报告规定了下一代网络(NGN)的体系结构、安全目标、ITU-TX805安全框架下的安全体系与NGN网络中实现网络安全的措施。本技术报告适用于下一代网络(NGN)的网络安全研究,不涉及业务与应用的安全研究,规范性引用文件
下列文件中的条款通过本技术报告的引用而成为本技术报告的条款,凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本技术报告,然而,鼓励根据本技术报告达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本技术报告。
YD/T1467
ITU-TX.805
ITU-TY.2011
ITU-TY.2012
ITU-T Y.2701
3缩略语免费标准下载网bzxz
IP安全协议
提供端到端安全通信系统的安全体系NGN总则和通用参考模型
NGN第一阶段功能需求与架构
NGN第一阶段安全需求
下列缩略语适用于本技术报告。AKA
APA-RACF
I-CSCF
Authentication and Key AgreementAccessNode
Application Network InterfaceAccessPoint
AuthenticationProxyAccess-ResourceAdmission ControlFunction
Application Server
EncapsulatingSecurityProtocolFunctional Entity
Generic Authentication ArchitectureHomeLocation Register
Home Subscriber Server
Hyper Text Transport ProtocolIntcrrogatingCallSessionControlFunctionIDentity
InterFace
IntemetKeyExchange
IMSPublicUser
IP Multimedia Subsystem
Internet Protocol
认证与密钥协商
访间节点
应用网络接口
访间点
认证代理访问-资源接纳控
制功能
应用服务器
封装安全协议
功能实体
一般认证体系
归属位置注册
归属用户服务器
超文本传输协议
询间呼叫控制功能
互联网密钥交换
IMS公共用户
IP多媒体子系统
互联网协议
-KAoNiKAca
YDB036—2009
P-CSCF
RADIUS
S-CSCF
NGN的体系结构
Internet Protocol Security
Integrated ServicesDigital NetworkIMS Subscriber Identity ModuleKey Management service
Media Gateway Controller
Media Gateway Control FunctionNetwork Attachment Control FunctionNetwork Application FunctionNetwork Address and Port TranslationNetwork Attachment SubSystemNetwork Address Translation
Next Generation Network
Network Node Interface
ProxyCallSessionControlFunctionPackage Switched
Public Switched Telephone NetworkQualityof Service
ResourceandAdmissionControlFunctionResourceAdmissionControlSubsystemRemoteAuthenticationDial InUserServiceSecurityAssociation
Serving Call Session Control FunctionSEcurity Gateway Function
Subscriber Identity Model
Session Initiation Protocol
Signaling Gateway Function
Transport LayerSecurity
User Agent
User Equipment
Universal Integrated Circuit CardUniversalMobileTelecommunicationSystemUser-To-Network Interface
User Profile Server FunctionUMTS Subscriber Identity ModuleWireless Local Area Network
XMLConfiguration Access ProtocoleXtensibleMarkup Language
安全IP
综合业务数字网
IMS了系统标识模块
密钥管理服务
媒体网关控制器
媒体网关控制功能
网络附着控制功能
网络应用功能
网络地址与端口转换
网络附着子系统
网络地址转换
下一代网络
网络节点接口
代理呼叫会话控制功能
分组交换
公共交换电话网络
服务质量
资源和接纳控制功能
资源接纳控制子系统
远程认证援号接入用户业务
安全联盟
服务呼叫会话控制功能
安全网关功能
客户识别模块
会话发起协议
信令网关功能
传送层安全
用户代理
用户设备
通用集成电路卡
通用移动通信系统
用户网络接口
用户属性服务器功能
UMTS用户标识模块
无线局域网
XML配置访问协议
扩展标记语言
本技术报告基于ITU-TY2012中的下一代网络(NGN)体系结构,国际上对于下一代网络(NGN)安全的研究可参见附录B。图1为NGN体系结构。NGN体系结构的功能应符合Y.2011的规定,分为传送层与业务层。
-KAoNiKAca
最费用
整著用产
业务层
应用支持动能专业务支持功能
业务控制功能
控制错
传送用户信息
索乱有
特活教制动重
传送功能
传送层
......
图1NGN体系结构
YDB036—2009
业务与应用间的通信,通过应用支持功能、业务支持功能与其它相关功能来提供。NGN体系结构支持一个称为应用网络接口(ANI)的参考点,该参考点提供了应用与NGN功能的一个互道与交换通道,ANI提供了应用所需要的能力与资源等信息,在传送控制功能的控制下,传送层为NGN用户提供了IP连接的服务,包括网络附着控制功能(NACF)与资源和接纳控制功能(RACF)。4.2传送层功能
4.2.1概述
传送层功能包括传送功能与传送控制功能4.2.2传送功能
传送功能提供了NGN体系结构内所有要素与物理上相互分离的各功能的连接,这些功能提供了媒体信息、控制与管理信息传送。
传送功能包括网络接纳功能,边缘功能,核心传送功能与网关功能。网络接纳功能:网络接纳功能负责最终用户的接入,并汇聚来自接入网络到核心网络的流量。这些功能直接对用户流量运行QoS控制机制,包括缓存管理、排队、包过滤、包分级、标记、策略与整形等,边缘功能:当来自不同接入网的流量,要在核心网络汇聚,边缘功能用于媒体与流量处理,这些功能包括QoS与流量控制的支持。边缘功能也应用手核心网络问。核心传送功能:核心传送功能保证流量信息经过核心网络的传送。核心传送功能提供了核心网络不同QoS级别的差异处理方式。应直接对用户流量实施QoS控制机制,包括缓存管理、排队、包过滤、包分级、标记、策略与整形。
网关功能:网关功能提供了图1中“最终用户功能”与/或“其它网络”相关功能,包括其它类型的NGN网络与PSTN/ISDN网络,公众互联网等。网关功能应道过业务控制功能或通过传送控制功能实现控制。媒体处理功能:这一系列功能提供了媒体处理。这些功能在传送层面是针对媒体资源处理的。3
-KAONKAca
YDB036—2009
4.2.3传送控制功能
4.2.3.1资源和接纳控制功能
在NGN体系结构里,资源和接纳控制功能(RACF)在接入与核心网络间进行关于QOS的传送资源控制相关的判决基于传送业务的信息,如SLA、网络策略、业务优先级及传送资源状态以及使用率信息等。RACF提供了针对业务控制功能的传送网络基础设施的抽象视图,并对业务提供者屏蔽了传送设施的细节,比如网络拓扑,连接性等,对于各种应用,RACF通过与业务控制功能及传送功能的交互完成,RACF对NGN网络的传送资源进行控制:包括QoS控制、NAPT/防火墙控制与NAPT穿越RACF根据业务控制功能的请求,实施基于传送资源控制的策略,判断资源可用性与可接入性,对传送功能进行控制来实施策略的判决。对于下述功能,RACF与传送功能进行互动实现控制:。带宽预留与分配、包过滤、流量分类、标记、策略及优先级处理:·网络地址与端口翻译:
·防火墙,
RACF根据传送网络与相关传送协议信息等因素,实现对传送资源控制的支持。RACF与NACF协同工作,进行网络接入注册、认证与授权、参数配置等,以进行传送协议信息的验证。对于多业务提供者间的业务,业务控制功能、RACF与传送功能可能与其它的NGN的相关功能进行交互。
4.2.3.2网络附着控制功能(NACF)NACF提供了接入层的注册且对最终用户NGN业务接入进行初始化。这些功能提供了传送层面的标识与认证,对IP地址空间进行管理并对接入会话进行认证。它们向最终用户告知业务层里NGN功能的联络点
NACF提供了下述功能:
·动态提供IP地址与其它用户设备配置参数。自动发现用户设备的能力与其它参数,接受用户。在IP层对最终用户及网络认证。根据用户的属性授权网络的接入,根据用户的属性配置接入网络
在IP层进行位置的管理。
NACP包括传送层用户的属性,该用户属性为面向传送层的一个数据库表格,表格中包括用户信息与其它控制数据。这个功能数据库应为一组分布于NGN网络内部任何地方,具有各种相应功能的数据库集4.3业务层功能
业务层按功能分组的抽象化表示包括:8):业务控制功能:业务控制功能包括种裁及非仲裁业务在业务层的资源控制、注册与认证授权功能,同时也具有控制媒体源的功能,例如特定业务信令级的资源与网关。对于认证来说,在用户与业务间要进行双向的认证。
业务控制功能提供业务用户属性,该用户属性为用户信息与其它控制数据的集合,存放于功能数据库的表格中,在业务层面使用。功能数据库应为一组分布于NGN网络内部任何地方,具有各种相应功能数据库的集合
b)应用支持功能与业务支持功能:应用支持功能与业务支持功能包括应用层的关口、注册、认证与授权功能。这些功能作用于图1中“应用”与“最终用户”功能组。应用支持功能与业务支持功能起与业务控制功能协调工作,根据请求间用产与应用提供NGN业务通过UNI接口,应用支持功能与业务支持功能提供了一个到最终用户功能的参考点,应用与应用支持功能及业务支持功能协同工作,通ANI参考点进行处理。4.4最终用户功能
最终用户终端为移动或固定终缩4
-KAoNiiKAca
4.5管理功能
YDB036-2009
对管理功能的支持是一个基本的要求。这些功能对NGN网络与业务进行管理,提供可以达到预期服务质量、安全等级与可靠性的业务这些功能在每一个功能实体中以分布式方式分布,与网元管理、网络管理与业务管理FE进行交互。5NGN网络安全的目标
5.1安全总目标
按照ITU-T建议Y.2701的要求,NGN网络安全的总日标如下:●NGN网络安全特性应为可扩展的,灵活应用于多种需求:·安全需求应考患到性能、可用性、扩展性、NGN的开销等:。安全方法应基于现有的安全标准:·NGN网络安全体系应可以扩展到全球:·NGN网络安全应能安全地部署、安全地管理:?NGN网络安全体系应能区别对待信令与控制流量、用户流量与管理流量:。NGN网络应提供所有层面的安全:业务、网络、用户等:。安全措范实施应不会影障提供业务的业务质量·安全应提供简单、安全的部署及配置:·TMN管理中的一般性安全要求,NGN网络中均应遵守。5.2跨多网络运营商域的安全目标要提供跨多个网络运营商安全通信总体目标,应提供基于逐跳的方式通过不同的运营商来实现端到端的安全,每一个运营商的网络提供最终用户的安全。每一个运营商的网络有本区域内的专门安全响应措施来实现跨多网络运营商的NGN网络通信安全性与可用性。6NGN网络安全框架
6.1X.805模型与NGN网络安全的关系ITU-T在X.805建议中,安全模型包括3层3面8个维度,即应用层、业务层和传送层:管理平面、控制平面和用户平面:接入控制、认证、不可否认性、数据安全性、通信安全性,数据完整性、可用性、秘密性。
ITU-TX.805模型各个层(或面)上的安全相互独立,可以防止一个层(或面)的安全被攻破而波及到其他层(或面)的安全,该模型为抽象的网络安全模型,可做为开发一个特定网络安全体系架构的依据指导安全策略、安全事件处理和网络安全体系架构的综合制定和安全评估,ITU-TX.805列举了安全纬度并描述了安全纬度到安全威胁的映射,如表1所示:-KAoNiiKAca
YDB 0362009
安全新度
接入控制Acce8S
Eontrol)
(Authentication)
不可否认性
(Non Tepudlatlon)
数据机密性((Datn
Confidentiality)
遵信安全性
(Commupication
Security)
数据完整性(Data
Integrity)
可用性
Avatlabilitx
私密性(riva
表1安全威胁与安全纬度的映射
安全能肤
旋环信息成其它
收信品
除、丢失
信息与其宅资源
NGN网络安全体系的框架应满足ITU-T建议X.805的要求,如图2所示:泄露信息
图2中可见,NGN体系结构中各层功能与ITU-T建议X.805中安全纬度的关系中服务
·NACF与RACF对于用户进行接入的控制与网络资源的分配,主要实现接入控制这一安全纬度:·按照NGN体系结构中功能的分配,NACF与RACF进行交互,完成对用户接入的认证,用户接入到网络后,相应的业务与应用仍然可能需要认证,以识别用户的身份:。不可否认性、数据安全性、通信安全性、完整性几个安全纬度均可通过相的手段来实现,而这几个安全的纬度主要用于保护通信实体间通信与数帮的安全,因此主要应用于传送层与接入用户间、传送层与其它网络间、用户平面与管理平面的管理功能间:在用户平面内,应用层、业务层、传送层间的控制信令与媒体流均为在运营商可管理的域内,因此实现不可否认性、数据安全性、通信安全性、完整性几个安全纬度为可选:·可用性安全纬度,主要应用于接入控制层面:由RACF完成对恶意的流量进行识别与源定位,必要时进行阻断:
。私密性安全纬度,可在所有层面进行应用,首先保证存放用户数据的设备,如传送层用户数据库,业务层用户数据库等不会受到非法的访问:其次,保证信令与媒体流信息不会被第三方截获.
图2NGN网络安全体系架构
YDB036—2009
YDB036—2009
6.2NGN网络中1TU-TX.805安全纬度要达到的目标6.2.1概述
针对安全纬度的目标可适用于NGN网络中所有的设备接口。6.2.2接入控制
对于NGN业务提供者来说,能够限制授权用户的网络接入:a)应能够接受由其它网络提供者授权的用户终端。b)应能够进行隐式的授权。
对于NGN网络而言,应限制入侵者通过置仿授权用户得到对NGN业务未授权的访间。6.2.3认证
对NGN业务提供者,应对用户,用户设备,网元或其它网络与业务提供者进行认证,NGN业务提供者的认证能力如下,但不限于下述的能力:a)
认证用户的网络接入能力
认证用户接入业务的启始时间与时长能力:如果需要,提供用户对NGN业务提供者进行认证的能力允许用户进行端到端认证的能力:允许相互的网络认证,以进行信令、管理、媒体流量的交换:允许通过ANI与其它业务提供者进行认证:应支持基于SIM与/或不基于SIM的方式。6.2.4
不可否认性
应通过相应的手段,记录用户接入网络的线路标识,用户访问业务提供的用户标识,必要时可通过证书方式,来实现用户身份的不可否认性。业务提供者间必要时可建立安全联盟,安全联盟的建立可以保证业务提供者间发送的数据源身份的可靠,与不可否认性。
6.2.5数据保密性
对于NGN业务提供者,应能够通过加密或其它方式保护用户流量的保密性。6.2.6通信安全
NGN业务提供者应提供保证信息不被算改或截获的机制。6.2.7
数据完整性
NGN业务提供者应可以通过加密或其它方式保护用户流量的完整性。如果安全策略需要,NGN业务提供者应可以道过加密或其它方式保护控制消息的完整性,6.2.8可用性
为了减轻DoS攻击、病毒或端虫的传播与其它的攻击,NGN应支持安全措施的部署,以防止与终止不良用户设备。这些措施在紧急通信时,可暂停个NGN网络应能够根据安全的策略过滤出被认为是恶意的数据包或流量。NGN网络应能够支持灾难恢复的功能与处理程序。
6.2.9私密性
NGN网络应保护用户的个人信息,如位置、标识、电话号码、网络地址或呼叫账号。7NGN网络安全的实现
7.1NGN网络通信与数据安全实现7.1.1:NGN网络的安全域
安全域是在一定安全策略下的一组元素,该安全策略由一个针对特定安全相关行为的安全权威机关所管理。安全域里的行为包括该域中的一个或多个元素,但是至少个元素必须处于该域中。总的来说一个安全域需要:
·保护其功能元素与行为的完整性、真实性8
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。