YD/T 1905-2009
基本信息
标准号: YD/T 1905-2009
中文名称:IPv6 网络设备安全技术要求——宽带网络接入服务器
标准类别:通信行业标准(YD)
标准状态:现行
出版语种:简体中文
下载格式:.zip .pdf
下载大小:649441
标准分类号
关联标准
出版信息
相关单位信息
标准简介
YD/T 1905-2009.Security Technical Requirements for - Broadband Network Access Server IPv6 Network Equipment.
1范围
YD/T 1905规定了支持IPv6的宽带网络接入服务器安全技术的基本要求,包括数据平面、控制平面和管理平面的安全威胁和安全服务要求,以及标识验证、数据保护、系统功能保护、资源分配、安全审计、安全管理、可信信道/路径和系统访问等八个安全功能需求。本标准中出现的所有未指明的宽带网络接入服务器、接入服务器等均特指IPv6宽带网络接入服务器。
YD/T 1905适用于支持IPv6的宽带网络接入服务器。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
GB/T 18336.2信息技术安全技术信息技术安全性评估准则第2部分:安全功能要求
YD/T 1162.1-2005多协议标记交换(MPLS)技术要求
YD/T 1466-2006IP安全协议(IPSec) 技术要求
YD/T 1897-2009互联网密钥交换协议(IKEv2)技术要求
IETERFC 1352 (1992) SNMP安全协议
ETF RPC 2385 (1998) 通过TCP MD5选项保护BGP会话
IETF RFC 2472 (1998) PPP上的IPv6
3术语、定义和缩略语
3.1术语和定义
下列术语和定义适用于本标准。
3.1.1
网络接入服务器Network Access Server (NAS)
是远程访问接入设备,它位于公共电话网(PSTNISDN)与P网之间,将拨号用户接入IP网,它可以完成远程接入、实现虚拟专用拨号网(VPDN) 构建企业内部Intranet等网络应用。
1范围
YD/T 1905规定了支持IPv6的宽带网络接入服务器安全技术的基本要求,包括数据平面、控制平面和管理平面的安全威胁和安全服务要求,以及标识验证、数据保护、系统功能保护、资源分配、安全审计、安全管理、可信信道/路径和系统访问等八个安全功能需求。本标准中出现的所有未指明的宽带网络接入服务器、接入服务器等均特指IPv6宽带网络接入服务器。
YD/T 1905适用于支持IPv6的宽带网络接入服务器。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
GB/T 18336.2信息技术安全技术信息技术安全性评估准则第2部分:安全功能要求
YD/T 1162.1-2005多协议标记交换(MPLS)技术要求
YD/T 1466-2006IP安全协议(IPSec) 技术要求
YD/T 1897-2009互联网密钥交换协议(IKEv2)技术要求
IETERFC 1352 (1992) SNMP安全协议
ETF RPC 2385 (1998) 通过TCP MD5选项保护BGP会话
IETF RFC 2472 (1998) PPP上的IPv6
3术语、定义和缩略语
3.1术语和定义
下列术语和定义适用于本标准。
3.1.1
网络接入服务器Network Access Server (NAS)
是远程访问接入设备,它位于公共电话网(PSTNISDN)与P网之间,将拨号用户接入IP网,它可以完成远程接入、实现虚拟专用拨号网(VPDN) 构建企业内部Intranet等网络应用。
标准图片预览
标准内容
ICS33.040.40
中华人民共和国通信行业标准
YD/T 1905-2009
IPV6网络设备安全技术要求
宽带网络接入服务器
Security Technical Requirements forBroadbandNetworkAccessServerIPv6NetworkEquipment2009-06-15 发布
2009-09-01实施
中华人民共和国工业和信息化部发布前言
1范围
2规范性引用文件·
3术谱、定义和缩略语·
4安全框架模型.
5数据平面安全
6控制平面安全·
7管理平面安全
附录A(资料性附录)通用TTL安全机制(GTSM)·附录B(资料性附录)基于EEB802.1x用户接入认证参考文献
YD/T1905-2009
YD/T 1905-2009
本标准是v%网络设备一一究带网络接入服务器安全系列标准之一,该系列标准预计的结构和名称如下:
Pv6网络设备安全技术要求一宽带网络接入服务器“Pv6网络设备安全测试方法一宽带网络接入服务器》2.
本标准与《IPv6网络设备安全测试方法一一宽带网络接入服务器》配套使用。本标准附录A,附录均为资料性附录。本标准由中国通信标准化协会提出开归口。本标准起草单位:工业和信息化部电信研究院本标准主要起草人!杨剑锋
IPv6网络设备安全技术要求
一宽带网络接入服务器
YD/T 1905-2009
本标准规定了支持Pv6的宽带网络接入服务器安全技术的基本要求,包括数据平面、控制平面和管理平面的安全戴胁和安全服务要求,以及标识验证、数据保护、系统功能保护、资源分配、安全审计、安全管理、可信信道/路径和系统访问等八个安全功能需求。本标准中出现的所有未指明的宽带网络接入务器、接入服务器等均特指Pv6宽带网络接入服务器。本标准适用于支持Pv6的宽带网络接入服务器。2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标推。然而,鼓励根据本标达成协议的各方研究是否可使用这些文件的最新版本,凡是不注日期的引用文件,其最新版本适用于本标谁。GB/T 18336.2
YD/T 1162.1-2005
YD/T 1466-2006
YD/T 1897-2009
IETERFC 1352 (1992)
IETFRFC 2385 (1998)
IETFRFC 2472 (1998)
3术语,定义和缩略语
3.1术语和定义
信息技术安全技术信息技术安全性评估准则第2部分:安全功能要求多协议标记交换(MPLS)技术要求IP安企协议(IPSec)技术要求
互联网密钥交换协设议(IKEv2)技术要求SNMP安全协议
通过TCPMD5选项保护BGP会话
PPP上的IPv6
下列术语和定义适用于本标准。3.1.1
网络接入服务器NetworkAccessServer(NAS)是远程访问接入设备,它位于公共电话网.(PSTN/ISDN)与IP网之间,将拨号用户接入P网,它可以完成远程接入,实现虚拟专用拨号网(VPDN)构建企业内Intranet等网络应用。3.1.2
宽带网络接入服务器BraadbandNetworkAccessServer(BNAS)是面向宽带网络应用的新型接入网关,它位于骨干网的边缘层,可以完成用户宽带的(或高速的)P/ATM网的数据接入,实现VPN服务,构建企业内部IntraDet、支持ISP向用户批发业务等应用。3.1.3
YD/T 1905-2009
IPv6宽带网络接入服务器IPv6BroadbandNetworkAccessServer(IPv6BNAS)是基于IPv6协议簇工作在IPv6骨干网的边缘,具有IPv6用户接入管理和路由功能,面向Pv6网络成用的宽带网络接入服务器。
访问控制Access Contral (AC)
防止未经授权使用资源。
可确认性Accountability
确保一个实体的行为能够被独一无二地跟踪。3.1.6
授权 Authorization
授子权限,包括根据访问权进行访问的权限。3.1.7
可用性Availability
根据需要,信息允许授权实体访间和使用的特性。3.1.8
信道 Channel
系统内的信息传输通道。
保密性Confidentiality
信息对非授权个人、实体或进程是不可知、不可用的特性。3.1.10
数据完整性Data Integrity
数据免遭非法更改或破坏的特性。3.1.11
拒绝服务Denialof Service
阻止授权访问资源或延迟时间数感操作。3.1.12
数字签名Digital Signature
附在数据单元后面的数据,或对数据单元进行密码变换得到的数据。允许数据的接收者证明数据的来源和完整性,保护数据不被伪造,并保证数据的不可否认性。3.1.13
加密Encryption
对数据进行密码变换以产生密文。加密可以是不可逆的,在进行不可逆加密的情况下,相应的解密过程是不能实际实现的。
基于身份的安全策略Identity-based security policy2
YD/T 1905-2008
这种安全策略的基础是用户或用户群的身份属性,或者是代表用户进行活动的实体以及被访间的资源或客体的身份或属性。
完整性破坏IIntegriycompromise数据的一致性通过对数据进行非授权的增加、像改、重排序或伪造而受到损害。3.1.16
密钥KeybzxZ.net
控制加密与解密操作的一序列符号。3.1.17
密钥管理Key management
根据安全策略产生、分发、存储、使用、更换、销毁和恢复密钥。3.1.18
留充 Masquerade
一个实体伪装为另一个不同的实体。3.1.19
路径Path
数据信息按特定次序经由的通路或路线。3.1.20
抵赖Repudiation
在一次通信中涉及到的那些实体之一不承认参加了该通信的全部或一部分。3.1.21
基于规则的安全策略Rule-based SecurityPolicy这种安全策略的基础是强加于全体用户的总体规则。这些规则往往依赖于把被访问资源的敏感性与用户。用户群、或代表用户活动的实体的相应展性进行比较。3.1.22
安全审计Security Aucit
对系统的记录及活动独立的复查与检查,以便检测系统控制是否充分,确保系统控制与现行策略和操作程序保持一致、探测违背安全性的行为,并通告控制、策略和程序中所显示的任何变化。3.1.23
安全策略Security Policy
提供安全服务的一套准则,包括“基于身份的安全策略\与\基于规则的安全策略\等。3.1.24
安全服务Secunity Servlce
由参与通信的并放系统层所提供的服务,它确保该系统或数据传送具有足够的安全性。3.2缩略语
下列缩略语适用于本标准。
Triple DES
三重数据加密标准
YD/T 1905-2009
CR-LDP
ICMPv6
Authentication Authorization AccountingAddress Based Keys
Access Control List
Advanced Encryption StandardAuthentication Header
Asynchronous Transfer Mode
Border Gateway Protocol
BGP version 4 Plus
Broadband Network Access ServerCommitted Access Rate
CarlisleAdans-Stafford Tavares encryptionCipher Block Chaining
Cryptographically Generated AddressesChallenge Handshake Authentication ProtocolCentral Processing Unit
Cunstraint Route-LDP
Distributed Dos
Data Encryption Standard
Diffie-Hellman key
Denial Of Service
Digital Signiature Standard
Extensible Authentication ProtocolExtensible Authenticatiom Protocol over LANEncapsulation Secure Payload鉴别、授权、计费
基于密钥的地址
访问控制列表
高级加密标准
认证头
异步转移模式
边界网关协议
支持IPv6的BGP协议版本4
宽带网络接入服务器
承诺接入速率
CAST加密算法
密码块链
加密产生地址
质询握乎认证协议
中央处理单元
约策路由的 LDP 协议
分布式DaS攻击
数字加密标准
DH密钥
拒绝服务攻击
数字签名标准
扩展认证协议
局域网扩展认证协议
封装安全净荷
Fault,Configuration,Accounting.PerfomanceandSecurity故障,配置,账务,性能,安全File Transfer Protocol
Generalized TTL Security MechanismHashed Message Authentication CodeInternet Contrel Message ProtocnlICMP version 6
Identification
International Data Encryption AlgorithmInternet Key Exchange
IKEversion1
Intermet Protocol
Intermet Protocol version 6
IPSeeurity
文件传输协议
通用 TTL 安全机制
散列消,息验证码
互联网控制报文协议
ICMP协议版本 6
国际数据加出算法
互联网密钥交换
IKE 协议版本1
互联网协议
互联网协议版本6
P安全机制
IPy6CP
OSPFu3
RADIUS
RSVP-TE
IPv6 Control Protocol
Integrated Serviced Digital NetworkIntemet Service Provider
Intermediate System to Internediate SystemIS-IS versian 6
Layer 2 Tunneling Protocol
Layer 2 VPN
Layer 3 VPN
L2TP Access Concentrator
Local Area Networ
Label Distribution Protacol
L2TP Network Server
Label Switch Path
Label Switching Router
Media Aecess Control
Message Digest version S
Modular Exponentiation GroupMulti Protocol Label SwitchingNetwork Access Server
Neighbor Discovery
Network Fime Protocol
YD/T 1905-2009
IPv6 控制协议
综合业务数字网
互联网业务提供商
中间系统一中间系统
IS-IS协议版本 6
二层隧道协议
二层VPN
三层VPN
L2TP接入集中器
府域网
标记分发协议
L2TP隧道网络服务器
标记交换路径
标记交换路由器
媒质访问控制
报文摘要版本5
模求氣组
多协议标记交换
网络接入服务器
邻居发现
网络时间协议
OperationAdministration,Maintenanceand Provisioning运行、管理,维护和预置Open Shortest Path First
OSPF version 3
Physical Address Extentions
Password Authentication ProtocolPoint-to-Point Protocol
Public Switched Telephone NetworkRemote Authentication Dial In User ServiceRoute Infocmatiou Protocol
RoutingInformationProtocol,nextgenerationRivest-Shamir-Adleman encryptionResource Reservation ProtocolRSVP-Traffic Engineering
Security Association
Secure Hash Algorithn
SHA version 1
最短路径优先
QSPF 协议版本 3
物理地址扩展
密码认证协议
点到点协议
公众电话交换网
远程身份验证拨入用户服务
路由信息协议
下一代路由信息协议
RSA加密算法
资源预留协议
基于流量工程扩展的RSVP
安全联盟
安全散列算法
SHA版本 1
YD/T 1905-2009
SNMPv1
SNMPv2c
SNMPy3
4安全框架模型
Service Level Agreement
SimpleNetwork ManagementProtocolSNMP version 1
SNMP version 2c
SNMP version 3
Secure Shell
SSH version 1
SSH version 2
Secure Socket Layer
Trasmission Control ProtocolTrivial File Tranisfer ProtocolTransport Layer Security
Time to Live
User Datagran Protocol
UnicastReversePathForwardingUser-based Security Model
View-based Access Control ModelVirtual Local Area Networks
Virtual Private Dial NetworkVirtual Private Network
VPN Routing and forwarding
服务水平协议
简单网管协议
SNMP 协议版本 1
SNMP 协议版本 2c
SNMP协议版本 3
安全外壳程序
SSH版本 1
SSH版本2
安全套接层
传输控制协议
简单文件传输协议
传输层安全
生命周期
用户数据报协议
单播反向路径转发
基于用心的安全模型
基于视图的访问控制模型
虚拟局域网
虚拟专用拨号网
整拟专用网
VPN 路由和转发
IPv6宽带网络接入服务器是一种能提供端到端宽带连接的IPv6网络设备,通常位于IPv6骨干网的边缘层,作为用户接入网和骨干网之间的网关,终结或中继来自用户接入网的连接,提供接入到Pv6宽带核心业务网的服务。
[Pv6宽带网络接入服务器在网络中处于汇接层面,通常面向多种类型的用户接入设备,很容易遭受到来自网络和其他方面的戚胁,这些安全威脚可以利用设备自身的跪弱性或者是配置上的策略漏洞,给设备造成一定的危害前且设备一且被攻击,性能和正常运行都将会受到很大的影响,其至造成拒绝对正常用户的访问服务。
如图1所示,本标准将Pv6宽带网络接入服务器的功能划分为3个平面:a)数据平面:主要是指为用户访问和利用网络而提供的功能,如提供用户数据的转发。b)控制平面:也可称为信令平面,主要包括路由协议(单播及组播路由协议)等控制信令,提供与建立会话连接、控制转发路径等有关的功能。c)管理平面:主要是指与OAM&P有关的功能,如SNMP、管理用户Telnet登录、日志等:支持FCAPS功能。管理苹面的消息传送可以采用带内和带外两种形式。为了抵御来自网络和用户的攻击,IPv6宽带网络接入服务器必须提供一定的安企功能。本标准将GB/T18336.2中定义的安全功能应用到IPv6宽带网络接入服务器中,这些安全功能包括:6
a)标识和认证:识别以及确认用户的身份,并确保用户与正确的安全属性相关联。b)用户数据保护:保护用户数据的完整性、可用性和保密性。YD/T 1905-2009
℃)系统功能保护:对系统实现的关键功能(如用户接入功能等),以及相关功能所涉及数据(如安全功能所需的用户身份、口令等数据)完整性、可用性和保密性的保护。d)资源分配:系统容错、资源调度和控制的能力,对系统资源进行有效的控制,限制用户对资源的访问和过度占用,避免造成系统对合法业务拒绝服务。e)安全审计:识别、记录、存储和分析那些与安全相关活动有关的信息,提供日志等审计记录,以用来分析安全威胁活动和对策。f)安全管理,系统对安全属性、数据和功能的管理能力。)可信信道/路径:通信所使用的通道要求可信,即符合系统安全策略,对于通道两端的身份具有鉴别和抗抵赖的特性。
h)系统访问:管理和控制用户会话的能力。普现平面
控制平面
数帮平间
安全策略
应用层
表示层
会话层
两整层
数据略层
物理层
图 1IPv6 宽带网络接入服务器安全横型版胁
为了确保IPv6宽带网络接入服务器自身和转发数据的安全,需要在实际组网中制定相应的安全控制策略,并将该策略分别映射到数据平面、控制平面和管埋平面。5数据平面安全
5.1安全威胁
IPv6宽带网络接入服务器数据平面功能主要是终结或中继来自用户的各种连接,设备面临的安全威胁主要有以下方面,但不局限在这些方面:a)对数据流进行流量分析,从而获得用户数据的敏感信息:b)未经授权的观察、修改、插入和删除用户数据)利用用户数据流的拒绝服务攻击。5.2安全功能
5.2.1标识和认证
v6宽带网络接入服务器可支持多种不同类型的用户接入方式,设备应能以特定的形式对用户进行标识,并设置访间控制策略来控制用户的接入,同时应可选择有效的认证协议对用户进行身份验证。设备应支持PPP用户和以太网用户接入的标识和认证功能,相关要求见6.2.1节。7
YD/T 1905-2009
5.2.2数据保护
5.2.2.1IPSec隧道
P宽带网络接入服务器应能够通过建立PSec隧道,为用户数据提供完整性、数据源身份认证、保密性以及防重放攻击的保护。
设备应支持AH和ESP协议,IPSec的相关协议要求见YD/T1466-2006。设备应支持传输模式和隧道模式,应支持SA安全联盟手工建立和IKE协议自动建立两种方式。AH协议应支持HMAC-SHAI-96验证算法和HMAC-MD5-96验证算法。ESP协议应支持HMAC-SHA1-96验证算法和HMAC-MD5-96验证算法。加密算法应支持空加密算法、3DES-CBC、DES-CBC、AES-CBC及国家规定的标准分组加密算法。设备宜支持动态密销管理IKE协议,IKE相关要求参见YD/T1466-2006及YD/T1897-2009互联网密钥交换协议(IKEV2)技术要求》。5.2.2.2L2TP隧道
IPv6宽带网络接入服务器可选支持L2TP。当设备支持L2TP时,应能通过建立L2TP隧道为用户数据提供保护,应实现LAC和LNS功能特性,应支持CHAP鉴别协议。
5.2.3系统功能保护
IPv6宽带网络接入服务器对数据平面的相关功能(如数据转发功能)、及相应功能的安全数据成提供妥善的手段(如通过基于用户的安全策略来实现相关数据的分级访问控制机制)以进行保护,相关功能要求见5.2.1节、5.2.4节、5.2.8节。5.2.4资源分配
5.2.4.1攻击防护
Pv6宽带网络接入服务器应能够提供有效的控制机制(妞队列调度机制、接入带宽控制等)保障设备资源和网络带宽的合理利用,特别是要能够限制和抵御来白网络的各种慢占密源类的政击,要确保网络在道受攻市的情况下仍旧能够为合法用产提供必需的服务。Pv6宽带网络接入服务器应能够抵御以下的常见攻击类型,但并不局限于这些方面:a)大流量攻击:大流盘可以分成两种类型,一种是流经流量,即需要设备转发的流量,对于这类攻击,Pv6宽带网络接入服务器数据端口置具有线速转发的能打,对于超过端口处理能力的流量可以采用按策略对数据包进行丢弃:另一种流的目的地就是设备本身(如DoS/DDoS),这类攻击可能会占用大量CPU处理时间和内存,严重的甚至会造成设备期溃,导致服务中断从而无法为用户提供正常服务,对这类攻击流量,IPv6宽带网络接入服务器应采取过滤和丢弃等保护策略拒绝数据接门接收的目的地为设备本身的数据包,同时应将必要的信息(如报文类型、源地址以及攻击时间等)记录到安全日志中。b)畸形包处理:1Pv6宽带网络接入服务器应能够处理各种类型的畸形包,如超长,超短包,链路层错误包,网络层错误包,上层协议错误包等,对于这些报文应采取丢弃策略,设备的正常功能不应受到影响。此外,也应保证Pv6宽带网络接入服务器自身不会产生上述类型的畸形包。)P地址哄骗:设备应能对网络中源地址哄骗报文进行过滤,设备虚支持URPF功能【见6.2.4.2节)IPv6宽带网络接入服务器应能够提供相应机制,以便于在必要时对同一用产允许建立TCP会话的数进行控制,来防止用户过渡消耗网络资源。设备应能够根据用户属性(如,接入类型)对允许其建立8
的T整会话数量进行限制和管理。5.2.4.2数据包过滤
YD/T 1905-2009
IPy6宽带网络接入服务器应能够提供控制用户接入和过滤用户数据的能力。通常有两种方式可以采用,一种是向不同权限的用户提供不同层次的P包过滤功能,以实现不同的用户有不同的接入能力。另一种是指根据不同用户的授权提供特定的前缀信息,以作为用户的P地址,通过网络的包过滤策略,实现不同的用户有不同的接入能力。IPv6宽带网络接入服务器应实现基于ACL的用户流量控制,通过CAR操作,对用户数据流进行整形,依据SLA为用户分配带宽资源。SLA包含承诺速率、峰值速率,承诺突发流量,峰值突发流盘等,对于超。出协定的流量设备可以采取降级、丢弃等操作。5.2.5安全审计
Pv6宽带网络接入服务器应提供对数据平面的相关信息进行日志记录的功能,安全日志室少应包含数据接口状态、出向/入向用产数据流量等。IPv6宽带网络接入服务器应实现对用户数据流量的安全审计的功能。相关要求见了.2.5节。5.2.6安全管理
IPv6宽带网络接入服务应能够提供本标准数据平面安全部分要求的安全功能和数据管理能力,要求见7.2.6节。
5.2.7可信信道/路径
Pv6宽带网络接入服务器与其他设备通信的借道/路径要求可借,设备应能使用专用的通道以保证对数据进行安全鉴别和防抵赖的需求(如对于传送敏感数据、专线用户数据的通信应能同传送其他数据的通信隔离开来)。设备应能够求取物理隔离或逻辑隔离的方式进行通道隔离。IPv6宽带网络接入服务器逻辑通道隔离的方式包括VPN(见5.2.8.2节)、隧道(见5.2.2节)等。5.2.8系统访问
5.2.8.1 ACL 功能
Pv6宽带网络接入服务器应实现访问控制列表功能,以此作为-种安全手段,按照相应的安全规则来对进出的数据报文进行匹配,保护系统和资源免受未经授权的访问。IPv6宽带网络接入服务器应能够提供基于源P地址、目的P地址、源端口、目的端口和协议类型等元系的ACL功能。设备应支持对报支匹配情况进行绕计计数和记入日志等。P6宽带网络接入服务器可选支持基于IPv6包头流量类别和流标签的访问控制列表,可选支持指定有效时问的访问控制列表的功能,5.2.8.2VPN功能
IPv6宽带网络接入服务器应实现VPN功能,通过VPN来实现不同用*数据的离,避免VPN外部数据对VPN内部的数据造成影响。设备在功能实现上应确保不同VPN信息不能相互泄漏,向时应采取必要的路由过滤策略保证VPN路山表和MAC表的穿量空问不会溢出。设备应支持通过IPSec隧道或通过L2TP隧道实现VPN,相应隧道的要求参见5.2.2.2节。设备应支持通过MPLSLSP实现VPN。对于数据平面,IPv6宽带网络接入服务器实现的MIPLSVPN应满足如下要求:
a)不管是L2VPN还是L3VPN,数据应严格基于标签沿着LSP转发,除非需要,一个VPN的数据不应被发送到该VPN之外:
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国通信行业标准
YD/T 1905-2009
IPV6网络设备安全技术要求
宽带网络接入服务器
Security Technical Requirements forBroadbandNetworkAccessServerIPv6NetworkEquipment2009-06-15 发布
2009-09-01实施
中华人民共和国工业和信息化部发布前言
1范围
2规范性引用文件·
3术谱、定义和缩略语·
4安全框架模型.
5数据平面安全
6控制平面安全·
7管理平面安全
附录A(资料性附录)通用TTL安全机制(GTSM)·附录B(资料性附录)基于EEB802.1x用户接入认证参考文献
YD/T1905-2009
YD/T 1905-2009
本标准是v%网络设备一一究带网络接入服务器安全系列标准之一,该系列标准预计的结构和名称如下:
Pv6网络设备安全技术要求一宽带网络接入服务器“Pv6网络设备安全测试方法一宽带网络接入服务器》2.
本标准与《IPv6网络设备安全测试方法一一宽带网络接入服务器》配套使用。本标准附录A,附录均为资料性附录。本标准由中国通信标准化协会提出开归口。本标准起草单位:工业和信息化部电信研究院本标准主要起草人!杨剑锋
IPv6网络设备安全技术要求
一宽带网络接入服务器
YD/T 1905-2009
本标准规定了支持Pv6的宽带网络接入服务器安全技术的基本要求,包括数据平面、控制平面和管理平面的安全戴胁和安全服务要求,以及标识验证、数据保护、系统功能保护、资源分配、安全审计、安全管理、可信信道/路径和系统访问等八个安全功能需求。本标准中出现的所有未指明的宽带网络接入务器、接入服务器等均特指Pv6宽带网络接入服务器。本标准适用于支持Pv6的宽带网络接入服务器。2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标推。然而,鼓励根据本标达成协议的各方研究是否可使用这些文件的最新版本,凡是不注日期的引用文件,其最新版本适用于本标谁。GB/T 18336.2
YD/T 1162.1-2005
YD/T 1466-2006
YD/T 1897-2009
IETERFC 1352 (1992)
IETFRFC 2385 (1998)
IETFRFC 2472 (1998)
3术语,定义和缩略语
3.1术语和定义
信息技术安全技术信息技术安全性评估准则第2部分:安全功能要求多协议标记交换(MPLS)技术要求IP安企协议(IPSec)技术要求
互联网密钥交换协设议(IKEv2)技术要求SNMP安全协议
通过TCPMD5选项保护BGP会话
PPP上的IPv6
下列术语和定义适用于本标准。3.1.1
网络接入服务器NetworkAccessServer(NAS)是远程访问接入设备,它位于公共电话网.(PSTN/ISDN)与IP网之间,将拨号用户接入P网,它可以完成远程接入,实现虚拟专用拨号网(VPDN)构建企业内Intranet等网络应用。3.1.2
宽带网络接入服务器BraadbandNetworkAccessServer(BNAS)是面向宽带网络应用的新型接入网关,它位于骨干网的边缘层,可以完成用户宽带的(或高速的)P/ATM网的数据接入,实现VPN服务,构建企业内部IntraDet、支持ISP向用户批发业务等应用。3.1.3
YD/T 1905-2009
IPv6宽带网络接入服务器IPv6BroadbandNetworkAccessServer(IPv6BNAS)是基于IPv6协议簇工作在IPv6骨干网的边缘,具有IPv6用户接入管理和路由功能,面向Pv6网络成用的宽带网络接入服务器。
访问控制Access Contral (AC)
防止未经授权使用资源。
可确认性Accountability
确保一个实体的行为能够被独一无二地跟踪。3.1.6
授权 Authorization
授子权限,包括根据访问权进行访问的权限。3.1.7
可用性Availability
根据需要,信息允许授权实体访间和使用的特性。3.1.8
信道 Channel
系统内的信息传输通道。
保密性Confidentiality
信息对非授权个人、实体或进程是不可知、不可用的特性。3.1.10
数据完整性Data Integrity
数据免遭非法更改或破坏的特性。3.1.11
拒绝服务Denialof Service
阻止授权访问资源或延迟时间数感操作。3.1.12
数字签名Digital Signature
附在数据单元后面的数据,或对数据单元进行密码变换得到的数据。允许数据的接收者证明数据的来源和完整性,保护数据不被伪造,并保证数据的不可否认性。3.1.13
加密Encryption
对数据进行密码变换以产生密文。加密可以是不可逆的,在进行不可逆加密的情况下,相应的解密过程是不能实际实现的。
基于身份的安全策略Identity-based security policy2
YD/T 1905-2008
这种安全策略的基础是用户或用户群的身份属性,或者是代表用户进行活动的实体以及被访间的资源或客体的身份或属性。
完整性破坏IIntegriycompromise数据的一致性通过对数据进行非授权的增加、像改、重排序或伪造而受到损害。3.1.16
密钥KeybzxZ.net
控制加密与解密操作的一序列符号。3.1.17
密钥管理Key management
根据安全策略产生、分发、存储、使用、更换、销毁和恢复密钥。3.1.18
留充 Masquerade
一个实体伪装为另一个不同的实体。3.1.19
路径Path
数据信息按特定次序经由的通路或路线。3.1.20
抵赖Repudiation
在一次通信中涉及到的那些实体之一不承认参加了该通信的全部或一部分。3.1.21
基于规则的安全策略Rule-based SecurityPolicy这种安全策略的基础是强加于全体用户的总体规则。这些规则往往依赖于把被访问资源的敏感性与用户。用户群、或代表用户活动的实体的相应展性进行比较。3.1.22
安全审计Security Aucit
对系统的记录及活动独立的复查与检查,以便检测系统控制是否充分,确保系统控制与现行策略和操作程序保持一致、探测违背安全性的行为,并通告控制、策略和程序中所显示的任何变化。3.1.23
安全策略Security Policy
提供安全服务的一套准则,包括“基于身份的安全策略\与\基于规则的安全策略\等。3.1.24
安全服务Secunity Servlce
由参与通信的并放系统层所提供的服务,它确保该系统或数据传送具有足够的安全性。3.2缩略语
下列缩略语适用于本标准。
Triple DES
三重数据加密标准
YD/T 1905-2009
CR-LDP
ICMPv6
Authentication Authorization AccountingAddress Based Keys
Access Control List
Advanced Encryption StandardAuthentication Header
Asynchronous Transfer Mode
Border Gateway Protocol
BGP version 4 Plus
Broadband Network Access ServerCommitted Access Rate
CarlisleAdans-Stafford Tavares encryptionCipher Block Chaining
Cryptographically Generated AddressesChallenge Handshake Authentication ProtocolCentral Processing Unit
Cunstraint Route-LDP
Distributed Dos
Data Encryption Standard
Diffie-Hellman key
Denial Of Service
Digital Signiature Standard
Extensible Authentication ProtocolExtensible Authenticatiom Protocol over LANEncapsulation Secure Payload鉴别、授权、计费
基于密钥的地址
访问控制列表
高级加密标准
认证头
异步转移模式
边界网关协议
支持IPv6的BGP协议版本4
宽带网络接入服务器
承诺接入速率
CAST加密算法
密码块链
加密产生地址
质询握乎认证协议
中央处理单元
约策路由的 LDP 协议
分布式DaS攻击
数字加密标准
DH密钥
拒绝服务攻击
数字签名标准
扩展认证协议
局域网扩展认证协议
封装安全净荷
Fault,Configuration,Accounting.PerfomanceandSecurity故障,配置,账务,性能,安全File Transfer Protocol
Generalized TTL Security MechanismHashed Message Authentication CodeInternet Contrel Message ProtocnlICMP version 6
Identification
International Data Encryption AlgorithmInternet Key Exchange
IKEversion1
Intermet Protocol
Intermet Protocol version 6
IPSeeurity
文件传输协议
通用 TTL 安全机制
散列消,息验证码
互联网控制报文协议
ICMP协议版本 6
国际数据加出算法
互联网密钥交换
IKE 协议版本1
互联网协议
互联网协议版本6
P安全机制
IPy6CP
OSPFu3
RADIUS
RSVP-TE
IPv6 Control Protocol
Integrated Serviced Digital NetworkIntemet Service Provider
Intermediate System to Internediate SystemIS-IS versian 6
Layer 2 Tunneling Protocol
Layer 2 VPN
Layer 3 VPN
L2TP Access Concentrator
Local Area Networ
Label Distribution Protacol
L2TP Network Server
Label Switch Path
Label Switching Router
Media Aecess Control
Message Digest version S
Modular Exponentiation GroupMulti Protocol Label SwitchingNetwork Access Server
Neighbor Discovery
Network Fime Protocol
YD/T 1905-2009
IPv6 控制协议
综合业务数字网
互联网业务提供商
中间系统一中间系统
IS-IS协议版本 6
二层隧道协议
二层VPN
三层VPN
L2TP接入集中器
府域网
标记分发协议
L2TP隧道网络服务器
标记交换路径
标记交换路由器
媒质访问控制
报文摘要版本5
模求氣组
多协议标记交换
网络接入服务器
邻居发现
网络时间协议
OperationAdministration,Maintenanceand Provisioning运行、管理,维护和预置Open Shortest Path First
OSPF version 3
Physical Address Extentions
Password Authentication ProtocolPoint-to-Point Protocol
Public Switched Telephone NetworkRemote Authentication Dial In User ServiceRoute Infocmatiou Protocol
RoutingInformationProtocol,nextgenerationRivest-Shamir-Adleman encryptionResource Reservation ProtocolRSVP-Traffic Engineering
Security Association
Secure Hash Algorithn
SHA version 1
最短路径优先
QSPF 协议版本 3
物理地址扩展
密码认证协议
点到点协议
公众电话交换网
远程身份验证拨入用户服务
路由信息协议
下一代路由信息协议
RSA加密算法
资源预留协议
基于流量工程扩展的RSVP
安全联盟
安全散列算法
SHA版本 1
YD/T 1905-2009
SNMPv1
SNMPv2c
SNMPy3
4安全框架模型
Service Level Agreement
SimpleNetwork ManagementProtocolSNMP version 1
SNMP version 2c
SNMP version 3
Secure Shell
SSH version 1
SSH version 2
Secure Socket Layer
Trasmission Control ProtocolTrivial File Tranisfer ProtocolTransport Layer Security
Time to Live
User Datagran Protocol
UnicastReversePathForwardingUser-based Security Model
View-based Access Control ModelVirtual Local Area Networks
Virtual Private Dial NetworkVirtual Private Network
VPN Routing and forwarding
服务水平协议
简单网管协议
SNMP 协议版本 1
SNMP 协议版本 2c
SNMP协议版本 3
安全外壳程序
SSH版本 1
SSH版本2
安全套接层
传输控制协议
简单文件传输协议
传输层安全
生命周期
用户数据报协议
单播反向路径转发
基于用心的安全模型
基于视图的访问控制模型
虚拟局域网
虚拟专用拨号网
整拟专用网
VPN 路由和转发
IPv6宽带网络接入服务器是一种能提供端到端宽带连接的IPv6网络设备,通常位于IPv6骨干网的边缘层,作为用户接入网和骨干网之间的网关,终结或中继来自用户接入网的连接,提供接入到Pv6宽带核心业务网的服务。
[Pv6宽带网络接入服务器在网络中处于汇接层面,通常面向多种类型的用户接入设备,很容易遭受到来自网络和其他方面的戚胁,这些安全威脚可以利用设备自身的跪弱性或者是配置上的策略漏洞,给设备造成一定的危害前且设备一且被攻击,性能和正常运行都将会受到很大的影响,其至造成拒绝对正常用户的访问服务。
如图1所示,本标准将Pv6宽带网络接入服务器的功能划分为3个平面:a)数据平面:主要是指为用户访问和利用网络而提供的功能,如提供用户数据的转发。b)控制平面:也可称为信令平面,主要包括路由协议(单播及组播路由协议)等控制信令,提供与建立会话连接、控制转发路径等有关的功能。c)管理平面:主要是指与OAM&P有关的功能,如SNMP、管理用户Telnet登录、日志等:支持FCAPS功能。管理苹面的消息传送可以采用带内和带外两种形式。为了抵御来自网络和用户的攻击,IPv6宽带网络接入服务器必须提供一定的安企功能。本标准将GB/T18336.2中定义的安全功能应用到IPv6宽带网络接入服务器中,这些安全功能包括:6
a)标识和认证:识别以及确认用户的身份,并确保用户与正确的安全属性相关联。b)用户数据保护:保护用户数据的完整性、可用性和保密性。YD/T 1905-2009
℃)系统功能保护:对系统实现的关键功能(如用户接入功能等),以及相关功能所涉及数据(如安全功能所需的用户身份、口令等数据)完整性、可用性和保密性的保护。d)资源分配:系统容错、资源调度和控制的能力,对系统资源进行有效的控制,限制用户对资源的访问和过度占用,避免造成系统对合法业务拒绝服务。e)安全审计:识别、记录、存储和分析那些与安全相关活动有关的信息,提供日志等审计记录,以用来分析安全威胁活动和对策。f)安全管理,系统对安全属性、数据和功能的管理能力。)可信信道/路径:通信所使用的通道要求可信,即符合系统安全策略,对于通道两端的身份具有鉴别和抗抵赖的特性。
h)系统访问:管理和控制用户会话的能力。普现平面
控制平面
数帮平间
安全策略
应用层
表示层
会话层
两整层
数据略层
物理层
图 1IPv6 宽带网络接入服务器安全横型版胁
为了确保IPv6宽带网络接入服务器自身和转发数据的安全,需要在实际组网中制定相应的安全控制策略,并将该策略分别映射到数据平面、控制平面和管埋平面。5数据平面安全
5.1安全威胁
IPv6宽带网络接入服务器数据平面功能主要是终结或中继来自用户的各种连接,设备面临的安全威胁主要有以下方面,但不局限在这些方面:a)对数据流进行流量分析,从而获得用户数据的敏感信息:b)未经授权的观察、修改、插入和删除用户数据)利用用户数据流的拒绝服务攻击。5.2安全功能
5.2.1标识和认证
v6宽带网络接入服务器可支持多种不同类型的用户接入方式,设备应能以特定的形式对用户进行标识,并设置访间控制策略来控制用户的接入,同时应可选择有效的认证协议对用户进行身份验证。设备应支持PPP用户和以太网用户接入的标识和认证功能,相关要求见6.2.1节。7
YD/T 1905-2009
5.2.2数据保护
5.2.2.1IPSec隧道
P宽带网络接入服务器应能够通过建立PSec隧道,为用户数据提供完整性、数据源身份认证、保密性以及防重放攻击的保护。
设备应支持AH和ESP协议,IPSec的相关协议要求见YD/T1466-2006。设备应支持传输模式和隧道模式,应支持SA安全联盟手工建立和IKE协议自动建立两种方式。AH协议应支持HMAC-SHAI-96验证算法和HMAC-MD5-96验证算法。ESP协议应支持HMAC-SHA1-96验证算法和HMAC-MD5-96验证算法。加密算法应支持空加密算法、3DES-CBC、DES-CBC、AES-CBC及国家规定的标准分组加密算法。设备宜支持动态密销管理IKE协议,IKE相关要求参见YD/T1466-2006及YD/T1897-2009互联网密钥交换协议(IKEV2)技术要求》。5.2.2.2L2TP隧道
IPv6宽带网络接入服务器可选支持L2TP。当设备支持L2TP时,应能通过建立L2TP隧道为用户数据提供保护,应实现LAC和LNS功能特性,应支持CHAP鉴别协议。
5.2.3系统功能保护
IPv6宽带网络接入服务器对数据平面的相关功能(如数据转发功能)、及相应功能的安全数据成提供妥善的手段(如通过基于用户的安全策略来实现相关数据的分级访问控制机制)以进行保护,相关功能要求见5.2.1节、5.2.4节、5.2.8节。5.2.4资源分配
5.2.4.1攻击防护
Pv6宽带网络接入服务器应能够提供有效的控制机制(妞队列调度机制、接入带宽控制等)保障设备资源和网络带宽的合理利用,特别是要能够限制和抵御来白网络的各种慢占密源类的政击,要确保网络在道受攻市的情况下仍旧能够为合法用产提供必需的服务。Pv6宽带网络接入服务器应能够抵御以下的常见攻击类型,但并不局限于这些方面:a)大流量攻击:大流盘可以分成两种类型,一种是流经流量,即需要设备转发的流量,对于这类攻击,Pv6宽带网络接入服务器数据端口置具有线速转发的能打,对于超过端口处理能力的流量可以采用按策略对数据包进行丢弃:另一种流的目的地就是设备本身(如DoS/DDoS),这类攻击可能会占用大量CPU处理时间和内存,严重的甚至会造成设备期溃,导致服务中断从而无法为用户提供正常服务,对这类攻击流量,IPv6宽带网络接入服务器应采取过滤和丢弃等保护策略拒绝数据接门接收的目的地为设备本身的数据包,同时应将必要的信息(如报文类型、源地址以及攻击时间等)记录到安全日志中。b)畸形包处理:1Pv6宽带网络接入服务器应能够处理各种类型的畸形包,如超长,超短包,链路层错误包,网络层错误包,上层协议错误包等,对于这些报文应采取丢弃策略,设备的正常功能不应受到影响。此外,也应保证Pv6宽带网络接入服务器自身不会产生上述类型的畸形包。)P地址哄骗:设备应能对网络中源地址哄骗报文进行过滤,设备虚支持URPF功能【见6.2.4.2节)IPv6宽带网络接入服务器应能够提供相应机制,以便于在必要时对同一用产允许建立TCP会话的数进行控制,来防止用户过渡消耗网络资源。设备应能够根据用户属性(如,接入类型)对允许其建立8
的T整会话数量进行限制和管理。5.2.4.2数据包过滤
YD/T 1905-2009
IPy6宽带网络接入服务器应能够提供控制用户接入和过滤用户数据的能力。通常有两种方式可以采用,一种是向不同权限的用户提供不同层次的P包过滤功能,以实现不同的用户有不同的接入能力。另一种是指根据不同用户的授权提供特定的前缀信息,以作为用户的P地址,通过网络的包过滤策略,实现不同的用户有不同的接入能力。IPv6宽带网络接入服务器应实现基于ACL的用户流量控制,通过CAR操作,对用户数据流进行整形,依据SLA为用户分配带宽资源。SLA包含承诺速率、峰值速率,承诺突发流量,峰值突发流盘等,对于超。出协定的流量设备可以采取降级、丢弃等操作。5.2.5安全审计
Pv6宽带网络接入服务器应提供对数据平面的相关信息进行日志记录的功能,安全日志室少应包含数据接口状态、出向/入向用产数据流量等。IPv6宽带网络接入服务器应实现对用户数据流量的安全审计的功能。相关要求见了.2.5节。5.2.6安全管理
IPv6宽带网络接入服务应能够提供本标准数据平面安全部分要求的安全功能和数据管理能力,要求见7.2.6节。
5.2.7可信信道/路径
Pv6宽带网络接入服务器与其他设备通信的借道/路径要求可借,设备应能使用专用的通道以保证对数据进行安全鉴别和防抵赖的需求(如对于传送敏感数据、专线用户数据的通信应能同传送其他数据的通信隔离开来)。设备应能够求取物理隔离或逻辑隔离的方式进行通道隔离。IPv6宽带网络接入服务器逻辑通道隔离的方式包括VPN(见5.2.8.2节)、隧道(见5.2.2节)等。5.2.8系统访问
5.2.8.1 ACL 功能
Pv6宽带网络接入服务器应实现访问控制列表功能,以此作为-种安全手段,按照相应的安全规则来对进出的数据报文进行匹配,保护系统和资源免受未经授权的访问。IPv6宽带网络接入服务器应能够提供基于源P地址、目的P地址、源端口、目的端口和协议类型等元系的ACL功能。设备应支持对报支匹配情况进行绕计计数和记入日志等。P6宽带网络接入服务器可选支持基于IPv6包头流量类别和流标签的访问控制列表,可选支持指定有效时问的访问控制列表的功能,5.2.8.2VPN功能
IPv6宽带网络接入服务器应实现VPN功能,通过VPN来实现不同用*数据的离,避免VPN外部数据对VPN内部的数据造成影响。设备在功能实现上应确保不同VPN信息不能相互泄漏,向时应采取必要的路由过滤策略保证VPN路山表和MAC表的穿量空问不会溢出。设备应支持通过IPSec隧道或通过L2TP隧道实现VPN,相应隧道的要求参见5.2.2.2节。设备应支持通过MPLSLSP实现VPN。对于数据平面,IPv6宽带网络接入服务器实现的MIPLSVPN应满足如下要求:
a)不管是L2VPN还是L3VPN,数据应严格基于标签沿着LSP转发,除非需要,一个VPN的数据不应被发送到该VPN之外:
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。