YD/T 1163-2001
标准分类号
关联标准
出版信息
相关单位信息
标准简介
YD/T 1163-2001.IP Network Security Technical Requiremente - Security Frame.
1范围
YD/T 1163规定IP 网安全的总技术要求,描述IP网安全的一个框架性结构,可作为在IP网上构建安全的技术性指导文件。
2引用标准
下列标准所包含的条文,通过在本标准中引用而成为本标准的条文。本标准出版时,所示版本均为有效。所有标准都会被修订,使用本标准的各方应探讨使用下列标准最新版本的可能性。
IETF RFC 1352 SNMP Security Protocols
IETF RFC 1446 Security Protocols for SNMPv2
IETF RFC 1570 PPP LCP Extensions
IETF RFC 1847 Security Multiparts for MIME: Multipart/Signed and Multipart/Encrypted
ETF RFC 1962 The PPP Compression Control Protocol (CCP)
IETF RFC 1968 The PPP Encryption Control Protocol (ECP)
IETF RFC 2045 MIME Part 1: Format of Internet Message Bodies
IETF RFC 2046 MIME Part 2: Media Types
IETF RFC 2047 MIME Part 3: Message Header Extensions for Non-ASCII Text
IETF RFC 2048 MIME Part 4: Registration Procedures
1范围
YD/T 1163规定IP 网安全的总技术要求,描述IP网安全的一个框架性结构,可作为在IP网上构建安全的技术性指导文件。
2引用标准
下列标准所包含的条文,通过在本标准中引用而成为本标准的条文。本标准出版时,所示版本均为有效。所有标准都会被修订,使用本标准的各方应探讨使用下列标准最新版本的可能性。
IETF RFC 1352 SNMP Security Protocols
IETF RFC 1446 Security Protocols for SNMPv2
IETF RFC 1570 PPP LCP Extensions
IETF RFC 1847 Security Multiparts for MIME: Multipart/Signed and Multipart/Encrypted
ETF RFC 1962 The PPP Compression Control Protocol (CCP)
IETF RFC 1968 The PPP Encryption Control Protocol (ECP)
IETF RFC 2045 MIME Part 1: Format of Internet Message Bodies
IETF RFC 2046 MIME Part 2: Media Types
IETF RFC 2047 MIME Part 3: Message Header Extensions for Non-ASCII Text
IETF RFC 2048 MIME Part 4: Registration Procedures
标准图片预览
标准内容
中华人民共和国通信行业标准
YD/T 1163—2001
IP网络安全技术要求一一安全框架IP Network Security Technical Requiremente-Security Frame2001-10-19发布
中华人民共和国信息产业部
2001-11-01实施
YD/T1163——2001
引府标滩
符号与循略语
些本概念与定文
访问控制
路出控制-
格码依制…
土动威activethrcat)
被动或胁(pussivehaeul)..
探作检测
通信.业务(uraftic)分析
家全审计.
安会审计事例
数孚袭名
认证管忘
可边潮性
可用性
机密性
通信业务填充
密码校检值
数据完鉴些性
物程案会
安全标等
安全服务
安宁策恪
安全缴别
进择裁保
敏感性
KAN KAca-
4.31服务排绝
4.32防重放
5IP网基本要型
5. 1 TCP/TP 协议族
5.2链路层..
网络层·
54传输层
5.5应用层.
6安余股务与安全机制
概述·
安全服务·
安全机制·
7网安全体案结构
7.1安企服务、安全机测与模型分层的关系·7.2
链路层空全技水要求·
正联网络易安全技术要求·
7.4传输感安全技术要求
了.5应用层交全要术要求
8加率算法与认训算法
8.1加密法
8.2认证算法
9安全管理
9.1概述.
9.2交全管伴
附录4(据示的附录GSS-AP实现小范附录B(提尔的附录)安全背最认10
YI 1163—2001
本标准规完苯于密码装术的网路实全技木,零求RFCISOMEC等宇列标准,东办层网络中
不同层:安全性进行了他架性的范述。本标准附求2、附求B都是提示的附录本标准出信息产业部电信研究院提出关归口卡标准意节单位:信息产收部缴诺学技术研究所深圳市中兴通讯股份有限公页
信息产业部电信传输研究所
华为技术有限公司
上海贝务有限公司
本标往十要起节人:厅兆洋与星爱秀英姚赛1俊文T
KAN KAci
中华人民共租国通倍行业标准
IP网络安全技术要求一
安全框架
IP Network Sccnrity Techutkal RequtrementySecurity F'ranne
1范围
YE/T1163—2001
本标泄规定IP网安全的总技术要求,描还P网安全的!一个框架性构,可作为在P网上构建安定的技术性指文件。
2引阴标准
下列标随所包含的案文,通过在本标准中引用而成为本标造的文。本标准出版时,所示题李芯为有效:所有标准都会鼓修订,使用本标准的各方应探讨使用下列标准最新版本的可能性,GB工9387.2-1995信点处理系饰开放系统互连并本参考模型一黄二部分:安全体系结构TTUI-T X.A(KI(1991) ISO/TEC: 749R-2:1989Informarion rocessing sysrems =Open SyslemsIntcrconnection -Basic Reference Modal -Part2:Security Architecture.ITU-TX.S09(1997)IISO/EC9594-8:1997Lnfcrmation tednology -Dpen Systems Hiterconnection- The Directory:Anthenticalion framework.{EFT RFC 1352SNMP Security ProtocolsEIFRFC 1446
IEIF RFC 157()
TETF RTC 1847
LEIF RFC 1962
IETF RFC 1968
TET'F RFG 2145
IETF RFC 2046
IETF RFC 2047
DETF RFC24R
IETT RFC 249
IETFRFC2078
JETFRFC 2084
IFTT RFC 222B
IETL KHC: 2246
ETF RFC 2315
TBTF RFC 2401
IETF RFC 24U2
JBTFRFC 2403
Serurity Ptotwculy For SNMP2PPPLCP Extensions
SecurityMultipartsforMiME:MultiparvSignedandMultipart/EncryprcdThe PPP Coimprussian Cunrbl Pnlouo](CCP)The PPP Enccyplion Control Protocol (BCP)MTME Part 1: Fornar of Intemet Message BodiesMIMEPart2:MediaTypeh
MTME Pal 3. Message Header Exten sions for Non-ASCII Tex1MTMF Part 4: Registrarian Frocedures MlME Part 5: Conformnancc Cniteria and Ex umplesGeneric Security Service Application Prograin Interface(V2)Considleratinns for Web Trantactinn SecutityTTF Securiiy Lxtensions
The TLS Protacl (VI.0)
PKCS f7: Cryplographice Message Syntax Version1.5Security Architeriure for he Interiet Proioco]IAuthenticationHcuder
The Lise af HMLAC-MD5 96 within ESP aud AH中华人民共和国信息产业部2001-1号-19批准2001-11-01实施
ETF RC 244
FETFRFC2406
TETF RFC 2408
IETFRFC2409
ETF RHC 2487
ETFRFC2616
TFTF RFC 2630
IETF RFC 2631
IETFRFC 2632
IEIF RFC 2633
TE:TT RFC 2634
IETF RHC 2600
IETF RFC 2661
TFTF draf
符号与缩略语
YD/T 1163---2D01
Thc Usc of HMLAC-SHA-1-96 within ESI' and AHIP Envapaulaling Securily PuylualIntermet Security Association and Key Managelnent ProtocolThe Internet Key Exchange
SMIP Service Exicnsion for Secure SMIP ovcr TLSHyperlexl Traiisfer ProluculCryptographic Meseage SyntaxDiffie-Ieman Key Agreement MethadS/MIME Version 3 C'erificarc HanllingS/MIMEVersion 3Message SpecificationFinchanced Securitv Services frr S/MTMTIhe Sceure Hyperlext Transfer ProtocolLayer Twu Turneling Protuuul 'L2TPThe SSL Protocol (V3.o)
Adyunredl Envryplipn StundurlAuthentication Hcader
Cornpression Control ProtocolDula Eruryption Sundird
Eulsiyption Control ProtocolEncapsuiating Security PavloadFile: Transfer Pruuoco!
Hyper Text Iranspon ProtocolIntegrity Check Vahue
Internct Key Exchangc
Interrel Protocol
Tnilial Vect
Mcssage Digital (vS)
Messuge Aulentirutur Code.
Security Axciatin
Security Association DarabaseServie Dula Lnil
Sozurity Galcway
Securiey Hlash Algorithm
Security Manugcmeni Inlormation BaycSimple Mail Transfer ProtocolMaltiputpose Tnternet Mail BxtensiorSiniplc Nctwork Managcment ProtocolSecurily Policy Dalabase
Security Parameter Tndlex
Security Socker Layer
Trun srisision Cunlrul PnLecolTraulsport Layer Security
光业加整标准
认证头
不缩控制协议
数据加密标准
密控制扑设
封装安全净础
文计传送协议
超文本待输协议
定整性检测值
四料网密钥交换此内容来自标准下载网
因特控协设
初始间量
消泉滴费
消息以证码
安全关联
安全关联激据卡
服务数瑞单元
安全网关
安全Hlash算法
安全告理信息车
简单邮传送协设议
多用尬因特网邮件扩展
简节网络节玛协议
安全策珞数业库
安全参数&引
安全接房
传输控制协议
传输层发全
HYERoKAa-
L'ser Diatagran Protocol
4基本概念与定义
YD/T1163—2001
月数据报协议
下面的惯念蒸本上米1O/C498-2]或[GB/T9387.2]4.1访间整制
防止末经授权使用资源,包据防止以未经授权的方式使用资源。4.2授权
授予权力,括根据访问权进行访问的板力。4.3路由控制
在路由选洋的让程中,应用规别求选择或晓过特定的网路,链路或转接点。4.4感码体
数抚变换原理、于段和行法具体化的规程,!来隐藏效据性信息内容,防止数粘的末发现举改和或末授权使用。它与下列概念密切怀关:密文
经过密玛变拱后得到的敏据。
明文一可理解的数据,
加密一明文微快经其密码变换变必密文数据的操作.辨密
密文数据整控密码变获还原成明文数据动操作。控言加待与解操作所使用的效据。电一
密钥芒理一根据安全策略产生,分发、堵存。使用、男换和销毁密,密蚂分析
分析查码系统及其箱入与输出,以导出机密变量与敏感数据:基至期文。4.5主动成协(activehreat)
器措白改变系统状态,划:修改销息、玉播满息、插入假消息、充有权实体以及拒绝服务。4.6被敏passivetlueat)
不改变系资微态护自资等片息。4.7操作检测
检测数塔单元尼否已被修收(偶然的或有忘的)的种缸制.4.8通信业务trafrici分折
从规察通信业务流(有无通告业务流,通信业务流的,方同和频率)推断信息。4.9安全审让-
对系统的记录及活动独立的查与检查,以便检测系统控制足否充分,阐促系统控制与现行策略和梁生宁保持一致,探测达背安全性的1、为:非介绍控制、策略和起序中所显示的任何变化:4.10安会中计事件
为了便下进行交个审计也收朱的数据,4.11数7签名
附作据单元后而的数落,鼓对数据单元进行案码变换待到的效指,次许整霜的接收首证或数期的来源和完整性,保护数括人被约造,4.12认证信息
用来监定实状新由称的身份是有效的信息。4.13认证
通过信息交换费定个实体身价的机制:4.14证
用米证明实体所称的身份市传送的数据,4.15否惑
参宁通的实体告认参加了全部或部分的通信这程。4.16公远
YD/T1168--2001
委托可信任的范二力对数据进行登记法册,使他能够保证该数据特征如内容、源、时间和化逆的精确性。
4.17召充
个实体伪装成别的实体,
4.18追潮性
保证实体的行火可以追测争唯的实您4.19可用性
根起读费,信息允许有权实准访问和使用的特性。4.20机性
信息对非毅权个人、实体或进粒是不可知、小可床的特性。4.21理信业务填充
生成假通信实例,化教据单元改在数据单元中生成假邀。4.22格码校检值
对据单元进行患仍变换(见率码体制)寻出的数化,校检危是密钥和数据元的-一个数学变换的结果,通带被用求险查效括单元的宗整性。4.23数据完整值
数据免微非法变改或破还的特性:4.24物理支全
保护资源免道器意性和然情感胁所使川的指措范。4.25发全标签
性在资源(数增单元)上的款签,指定或指出该资源均安全届也4.26安全履务
通信的系缺提供的,对系绕或数据传递提集产分的安全保降的种服务:4.27安全策略
误供安全服务所使用的会准则,包含两个基本概愈:苯于规可的安全策略
卓十身份的安全策略
4.28安全级别
以全局滤则则所有用户均存效为基剂的安会策略,说则通带依赖于被访问资源的敏感性与用户(群)或代理具有的对应属性间的比较以户的身份为础的安全策略,想则逝常依赖十访门资源的用身份的特权够能力,或省依殿于有取控制表,所选择安全收务的保护质量,车文忙主要指不造拌安全保护、选择认证保扩,选择机密性保护、送择试证保护和性保护1冲
4.29迅择域保护
为要发这的消点的特定学段握供保护,4.30做感性
资源的一种利性,示资源划价值或重费社:可能包括资颂受改山约脑弱性4.31服务拍绝
阻止投权访制资源收延运时缴感操作。4.32防年放
防止对长送数据约更放击。
KAN Kca-
5 [P 网基本模型
5.1TCPIP协议城
YD/T1163—2001
TCP/P划旅是在TCP传额控利协议)和TP[立联网博双)网两个重要设的础上均成的协议族(详细记零阅对应的励设TCPP协议族基于分民的原则,每温部明确定义动能和比途,各是均能相独立:相邻层间部山动议准确定交边界接」,通过兹!证信。IF司的钮路间快送喷数措,划层间传送P拍,代愉信间情送TCP/UDP整拍,应用层闻让送应用数据。
TCPP办设族按及许多办设,在下面的几马中我们没介绍-此用得较多,同制是标难等7章将要科及范迹议,它们在分层模划中求关系人致如至」所示,H户
庐乐再序
IeIDCUSMTP/H'IIPiHTPSNMP/MEMTCPAUDP
LP《活ICM2三GMP)
ARPRARP
设务动您补
图1TCPITP协·设族在分层接型中的关系5.2链路房
信的证
链路么负责在物再齐质一北这数松,效书的传这在内个物理连接的设备间进行,处理与本地组网关拍-些问题,链路层协议上要有以太网(JEFF802.3),令钟总线TFFE802.4)、令常环(IFEE,光纤于布数据接FTT以改像中行路TPSLTIP)和点对点协议(PPP尝。6.3网络层
网经层以P拟议为你志,渠供基一P地址的、不非的,尽量人能小的,而问无连接的数据传送服务。网路层苏教还气站ICMP[nternetConuro】MesageIrotocol,IGMPIatermetGroupMaragcmenPrst(col), ARP(Addrs Reyeluriu rulocaul),R4RP(Revery Adrhess Resolutian Prutwul y等。F协议差网络层的也卡P网的十要协议,它指定广通划刚络传送的所套数据的格式,它执行略非动能以选择满传送路径,它包含一系列规则使不可我的包传逆其休化,这此规则说明-1机路由举应该怎群处理似,怎样产生、么时炭产生错误消息,在么茶牛下可以丢持过等,5.4传赖么
传输层以LIDP/TCP闪议为你忘,允许具有相气TP地址的不后机器独立地接收化发送数据。UDP通常被为E的简芹扩展,在两机器间提供H于端以及正地让的,不可非的,尽最人能力约、面间无连接的数据传送服务:[DP使用IP传送消息,但增训了在主机中区分不尚源及日的端口的能力。
TCP于客户与低多器的方式,通过利用IF,在两划器回提供三下端点以及1FP地证的、可靠的、百向连接的激裙传送服冬。与UDI样:TCP使用Ⅱ传送消点,但增切了有.机中区分不向源、H的端亡的力:TCP还为数据传送的可末性定义了些规则:5.5应用层
YD/T 1163-2001
应用层方挖为TP网应用提供股多:涉许多成用协议,常而的土要有TELNET,FTP,SMTP,HTTP,SNP莓
TEI.NET连文在TCP上,支持月广远释查录:它况供一类带本服务。第一,TELNET定.义网率成拟练端,为运端系统提供标准界而,第二,TE.VF工其有允许服务器与客产端分内送通的机制,产提供可选项的标准集:第一,TLLNET对称地处理递接的两端。FTP建立在TCP上,是供对文性交互改的访问,H能够指定文件格式自行认计挤制.SMTP注立在TCPF,后台邮件传送处理由用户代理完成:SMTP处理首先利用域名系统日的地机器名称射到正非止,然后与日的地机器的邮件股务器建立TCP造提:如迁接成功,则服务器任邮件,否购终止选接,MIME握供了危许用SMTP传送堂效据的就制。TITTP即超文本传送协议,建立ICP之上.。HITTP是构建WWW的主要议。SNMP建立在UDP上:月十网络管理:分许从网管服务器临视利控制运行网普代理(Agm)的路中器或主机:
6安全服务与安全机制
6.1概述
本章介绍适合本规范的安全服务与实现议服务的机制。述的实全服务危基本的安全服务,运些女全服务在本规范警考我型的架内有选择地提供。在实际成用,它们通带其它比务和机制相站合他用以满是必全策略和或用广的要求:本章介绍的安个讯制是基本的安全机制,有些支个机制作为实现营安全报务的组截部分:这单称为土要安全机微,。票统可以育按谢历实现本安全服券的特染组合,有些安全机制川适用十多种报务,它们的荣一部分叫以右成密销管理的某频力面。这里称为辅助安全机制,其重要通常真与所要求的安全等关。
这些带本定文表当[ISO/7498-2]或[GB/T9387.216.2安金服务
6.2.1认-
认证为通信实估和数据源提供认计服务:认证服务费求有本地存储的认证信总和火以证而传递的数掘,三要有:
当选择该服务以,服务成实律保证,通信的对右与所户称均实体相称。实体认证:
:数据源认证:当选择该证服务旺。服务问实体保证,某激据的来源与所产称拍实体相符。6.2.2激垢机穿性
逆择数据机密性服务防止数的非授权泄露。数据机帝性有以下儿种信形:连接机密性:
为连接的研有用广数势提供机密性:为单个无逆接-5DU中的所有用\数标提供机宝性:无连接机密性:
·述择域机性:
,业务流机密性:
6.2.3数据光性
为连接或单个无造控-SU中的所行州户整据中的选挫字设退供函性:为可能从对业务流的规测结果中得致的偏忌提供机学性。激据完整性服务剂来对抗士动感脚,有以“认种带形:.专换发性按完格性:
,无恢复连接完整性
、选择成连接定整性。
动过接的所有月户缴据据供数性:并检测一小完整SD:序内任意数帮的修改,折人,验成三改,有显企图,为连接的所个用户数据提供完格性:并测个完整SDL序列内在觉数据的修改、插入、删致或函效,无该友企图为在还接上传送的-证的用产数据中的选样之最提供光举忙;并采用断定选择产段民已板馨收、抵入、册除或波力式,iTT KAoNht KAci-
,无连度完整性
YD/T1163—2001
当大某层提供此服务时,为上一层实体请求的完整性提供保证,本服务为单人无连技SDU提供完载性,开采用可确定所效到的SDU是否已被修数的方式。另外也可对币感提仙有限的检测:·远择娠光连接完整性:
为单个屯连接S中的选择字段提供完整性,非深用础定选择字胶培否已被修改的方式
差生这连接时便用实位认证服务,并在该连接些存斯间使用数据完举性股多,可!同为在该连按上专送的所有数据提供数括源认证,为这些数据的完整性持供保证:同时可以使月如序列号节方式对整据的重放捉供验测
6.2.4抗抵频片
折范确忙服务可以采出如下两种方式:,有源竭游的抗我禁性:数据的源端证据鼓择供数始接收者。这将感止发这者介认发送过该数据或数据内容。
:有交证据的抗抵性:数据的交付证据板提供给数据发送者。这将随1报收者否认接收到该效据或数内容。
6.2.5访问拦制
此服务防止非投权使用资源。可用于控制对一个资源的多种访问形式(通信资源的仕压,信息资源的读谈、写或删降,资源处的抗行)或对:个资源的所有访问。6.3支全机制
6.3.1丰变安全机制
如密巩制刊用以案算法,为数据或逆后业务筑信息提供机索性。存训机带意味差存在密钢肾抑机制.
6.3.1.2数等然名机制
数等签名机台包括两人进程:对案“个数站单元迹行签名和对数据单元的签名边行验证,签名进空使用签名者的专用信忘(血私钙):包标对数据单元进行坏密或生成数据库元的密效检。
验证进栏使公开信息(如公钙):来确定数据判签名是否是用签名的专用信息产生的签名:边些公叶信总导不山签名者的专用信息,签名机制的本质特征是给名只能日给名车的专马信息产生。闪此,等名一口经过验证,任时惯都能够向旁三方(法官或件裁者证明:只有专用信息的唯一持有者才龄产生此签名,6.3.1.3访问控机制
访时控制机制通过实体的轻认让的身价、信息或权眼确定和实感实体的访问权:护绝实体的非势访问或凸不后当克式间,开H可以报告这些事件,以产生报警和或记录作为安全中计数据的一部分。
访问控礼制可以举于上划·一项或多项闪使用:,存放实流间权的访问拉制信息库:这当信息可以书权威中心或获为问的作保存,并上以访问控制表或分级式战分市式的形式保行:达需要先通过实体认证、认证信息,如口今,拥有单出具样的后息以确定读问及体的权。,权限,拥有井出工这样的信息以确定访向此实体或内此权限录定的登源的权力。:安余际签,通带根据安余策略,当安全款整与一个实体忙关联时可以用来接收或拒范访间:,证问的时间:
·访间的路山
、访问均续时有。
YD/T 1163—2001
访问控制机制可用十通信相关的任端和/或任中间点。车源端或中间点拍访控制机制用来确定发方尽否被授权与接收方通信或使用所要求的资源:光连接审计传输内一的要求的对等级访问控制机制必须究止源端给出,并录入安余管鸡信息序。6.3.1.4数据完整性机制
数据完落性包括购个方而:单个数斯单元或域的究整性:敌期单汇或域的个流的整性。确定单个数据单元的完整性包括发送实休和按收实伟两个注积,发送实体给数据单元所:上一个分量,这一分是数据单元本舟的函数。附本分量可以是补充信息,如分组校检码或码校检值,并H.身可能己被州案。接收实体产生相成的对分,并与所收到的附以分其进行比较:以确定数据在传辅中足否已被改变,此机制本身不对单个数据述行法查放保;广,在道当的结构层,燥作的检测可能导效该层或更高层采恢点指整(车年发或纠错)。对丁连接数据输:为了保护数据单元序列的完器性(如防土数据序列谱孔、丢失、发、插入或改变,需附加荣种明排序,如序列号,时避或密码粒。对于无逆接数据传输,时戏可以用来对个网数将单元提供方退形式的陷放保护6.3.1.5认证机!
认证机竟可以采用如下报术:
*使用认证信息、划出送实体据快口含,并出接收实位验证口令:·神码技术;
。使用实体的荣些特性和改趋制。步了提供对等实体认证服务,可将认证机定设在对应层,变习制证某实体头败,则将!致运单建立连接或终上逆接,开且可能导致该实体激情成为安全官计数据和减司安全管型中心报告.当使月密码报末时,可同时使用“握于”协议,以免遵年放选择认证技术:根据其应用坏境与下技术联合使用:,时载和同步时钟;
·双方和一厅握手:
自数字签名凯制和或公证却言变玩范抗抵物服务:6.3.1.6通信业务填充机制
造信业务填病机制可用来捷供不尚级别的药信业券分车保沪:该机制仪在适信业务域充得到机密性患务保护吋才有效。
B.3.1.7路山控制机部
可以迫过动态方式或预置方式安非路由:仅生用物鼎安全的子网,中连网或链路。当端系统检划判持续的操作改击时,将措示网络服务是供者通过别的路止建准变,通过安全策略的约束,带某种安个标等的数执可能被禁止追过某些子网、中继问成钮路:另外连按的发起者(或无违接数据单元的发送者),以担定降山,以过免通过特定的子对,中继网或链。
6.3.1.8公证机
两个或多个实体间通信数据的属性,如完整注、源端、间和月的端,均可通过公证机制得到保证,这保证山第三方公证人媒供,公证人行到实仆的信,并掌挥能龄以可证明的方式提生所要求的保证的所信息。模据公证人据供的服务,每个通信实例可以独用数宁笠名、加案或异举性机制,当引入证机制时,数据通过受保护的通信究例利公证人在道信实体同交流。B.3.2辅助安全机制
6.3.2.1信证功
信任功能泌效月来扩允其他安全机能的源围求建义其有效性,工何直按提供安全机的功能、或提供访问安全机制的动能应该是信懿的,8
KAN KAci
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
YD/T 1163—2001
IP网络安全技术要求一一安全框架IP Network Security Technical Requiremente-Security Frame2001-10-19发布
中华人民共和国信息产业部
2001-11-01实施
YD/T1163——2001
引府标滩
符号与循略语
些本概念与定文
访问控制
路出控制-
格码依制…
土动威activethrcat)
被动或胁(pussivehaeul)..
探作检测
通信.业务(uraftic)分析
家全审计.
安会审计事例
数孚袭名
认证管忘
可边潮性
可用性
机密性
通信业务填充
密码校检值
数据完鉴些性
物程案会
安全标等
安全服务
安宁策恪
安全缴别
进择裁保
敏感性
KAN KAca-
4.31服务排绝
4.32防重放
5IP网基本要型
5. 1 TCP/TP 协议族
5.2链路层..
网络层·
54传输层
5.5应用层.
6安余股务与安全机制
概述·
安全服务·
安全机制·
7网安全体案结构
7.1安企服务、安全机测与模型分层的关系·7.2
链路层空全技水要求·
正联网络易安全技术要求·
7.4传输感安全技术要求
了.5应用层交全要术要求
8加率算法与认训算法
8.1加密法
8.2认证算法
9安全管理
9.1概述.
9.2交全管伴
附录4(据示的附录GSS-AP实现小范附录B(提尔的附录)安全背最认10
YI 1163—2001
本标准规完苯于密码装术的网路实全技木,零求RFCISOMEC等宇列标准,东办层网络中
不同层:安全性进行了他架性的范述。本标准附求2、附求B都是提示的附录本标准出信息产业部电信研究院提出关归口卡标准意节单位:信息产收部缴诺学技术研究所深圳市中兴通讯股份有限公页
信息产业部电信传输研究所
华为技术有限公司
上海贝务有限公司
本标往十要起节人:厅兆洋与星爱秀英姚赛1俊文T
KAN KAci
中华人民共租国通倍行业标准
IP网络安全技术要求一
安全框架
IP Network Sccnrity Techutkal RequtrementySecurity F'ranne
1范围
YE/T1163—2001
本标泄规定IP网安全的总技术要求,描还P网安全的!一个框架性构,可作为在P网上构建安定的技术性指文件。
2引阴标准
下列标随所包含的案文,通过在本标准中引用而成为本标造的文。本标准出版时,所示题李芯为有效:所有标准都会鼓修订,使用本标准的各方应探讨使用下列标准最新版本的可能性,GB工9387.2-1995信点处理系饰开放系统互连并本参考模型一黄二部分:安全体系结构TTUI-T X.A(KI(1991) ISO/TEC: 749R-2:1989Informarion rocessing sysrems =Open SyslemsIntcrconnection -Basic Reference Modal -Part2:Security Architecture.ITU-TX.S09(1997)IISO/EC9594-8:1997Lnfcrmation tednology -Dpen Systems Hiterconnection- The Directory:Anthenticalion framework.{EFT RFC 1352SNMP Security ProtocolsEIFRFC 1446
IEIF RFC 157()
TETF RTC 1847
LEIF RFC 1962
IETF RFC 1968
TET'F RFG 2145
IETF RFC 2046
IETF RFC 2047
DETF RFC24R
IETT RFC 249
IETFRFC2078
JETFRFC 2084
IFTT RFC 222B
IETL KHC: 2246
ETF RFC 2315
TBTF RFC 2401
IETF RFC 24U2
JBTFRFC 2403
Serurity Ptotwculy For SNMP2PPPLCP Extensions
SecurityMultipartsforMiME:MultiparvSignedandMultipart/EncryprcdThe PPP Coimprussian Cunrbl Pnlouo](CCP)The PPP Enccyplion Control Protocol (BCP)MTME Part 1: Fornar of Intemet Message BodiesMIMEPart2:MediaTypeh
MTME Pal 3. Message Header Exten sions for Non-ASCII Tex1MTMF Part 4: Registrarian Frocedures MlME Part 5: Conformnancc Cniteria and Ex umplesGeneric Security Service Application Prograin Interface(V2)Considleratinns for Web Trantactinn SecutityTTF Securiiy Lxtensions
The TLS Protacl (VI.0)
PKCS f7: Cryplographice Message Syntax Version1.5Security Architeriure for he Interiet Proioco]IAuthenticationHcuder
The Lise af HMLAC-MD5 96 within ESP aud AH中华人民共和国信息产业部2001-1号-19批准2001-11-01实施
ETF RC 244
FETFRFC2406
TETF RFC 2408
IETFRFC2409
ETF RHC 2487
ETFRFC2616
TFTF RFC 2630
IETF RFC 2631
IETFRFC 2632
IEIF RFC 2633
TE:TT RFC 2634
IETF RHC 2600
IETF RFC 2661
TFTF draf
符号与缩略语
YD/T 1163---2D01
Thc Usc of HMLAC-SHA-1-96 within ESI' and AHIP Envapaulaling Securily PuylualIntermet Security Association and Key Managelnent ProtocolThe Internet Key Exchange
SMIP Service Exicnsion for Secure SMIP ovcr TLSHyperlexl Traiisfer ProluculCryptographic Meseage SyntaxDiffie-Ieman Key Agreement MethadS/MIME Version 3 C'erificarc HanllingS/MIMEVersion 3Message SpecificationFinchanced Securitv Services frr S/MTMTIhe Sceure Hyperlext Transfer ProtocolLayer Twu Turneling Protuuul 'L2TPThe SSL Protocol (V3.o)
Adyunredl Envryplipn StundurlAuthentication Hcader
Cornpression Control ProtocolDula Eruryption Sundird
Eulsiyption Control ProtocolEncapsuiating Security PavloadFile: Transfer Pruuoco!
Hyper Text Iranspon ProtocolIntegrity Check Vahue
Internct Key Exchangc
Interrel Protocol
Tnilial Vect
Mcssage Digital (vS)
Messuge Aulentirutur Code.
Security Axciatin
Security Association DarabaseServie Dula Lnil
Sozurity Galcway
Securiey Hlash Algorithm
Security Manugcmeni Inlormation BaycSimple Mail Transfer ProtocolMaltiputpose Tnternet Mail BxtensiorSiniplc Nctwork Managcment ProtocolSecurily Policy Dalabase
Security Parameter Tndlex
Security Socker Layer
Trun srisision Cunlrul PnLecolTraulsport Layer Security
光业加整标准
认证头
不缩控制协议
数据加密标准
密控制扑设
封装安全净础
文计传送协议
超文本待输协议
定整性检测值
四料网密钥交换此内容来自标准下载网
因特控协设
初始间量
消泉滴费
消息以证码
安全关联
安全关联激据卡
服务数瑞单元
安全网关
安全Hlash算法
安全告理信息车
简单邮传送协设议
多用尬因特网邮件扩展
简节网络节玛协议
安全策珞数业库
安全参数&引
安全接房
传输控制协议
传输层发全
HYERoKAa-
L'ser Diatagran Protocol
4基本概念与定义
YD/T1163—2001
月数据报协议
下面的惯念蒸本上米1O/C498-2]或[GB/T9387.2]4.1访间整制
防止末经授权使用资源,包据防止以未经授权的方式使用资源。4.2授权
授予权力,括根据访问权进行访问的板力。4.3路由控制
在路由选洋的让程中,应用规别求选择或晓过特定的网路,链路或转接点。4.4感码体
数抚变换原理、于段和行法具体化的规程,!来隐藏效据性信息内容,防止数粘的末发现举改和或末授权使用。它与下列概念密切怀关:密文
经过密玛变拱后得到的敏据。
明文一可理解的数据,
加密一明文微快经其密码变换变必密文数据的操作.辨密
密文数据整控密码变获还原成明文数据动操作。控言加待与解操作所使用的效据。电一
密钥芒理一根据安全策略产生,分发、堵存。使用、男换和销毁密,密蚂分析
分析查码系统及其箱入与输出,以导出机密变量与敏感数据:基至期文。4.5主动成协(activehreat)
器措白改变系统状态,划:修改销息、玉播满息、插入假消息、充有权实体以及拒绝服务。4.6被敏passivetlueat)
不改变系资微态护自资等片息。4.7操作检测
检测数塔单元尼否已被修收(偶然的或有忘的)的种缸制.4.8通信业务trafrici分折
从规察通信业务流(有无通告业务流,通信业务流的,方同和频率)推断信息。4.9安全审让-
对系统的记录及活动独立的查与检查,以便检测系统控制足否充分,阐促系统控制与现行策略和梁生宁保持一致,探测达背安全性的1、为:非介绍控制、策略和起序中所显示的任何变化:4.10安会中计事件
为了便下进行交个审计也收朱的数据,4.11数7签名
附作据单元后而的数落,鼓对数据单元进行案码变换待到的效指,次许整霜的接收首证或数期的来源和完整性,保护数括人被约造,4.12认证信息
用来监定实状新由称的身份是有效的信息。4.13认证
通过信息交换费定个实体身价的机制:4.14证
用米证明实体所称的身份市传送的数据,4.15否惑
参宁通的实体告认参加了全部或部分的通信这程。4.16公远
YD/T1168--2001
委托可信任的范二力对数据进行登记法册,使他能够保证该数据特征如内容、源、时间和化逆的精确性。
4.17召充
个实体伪装成别的实体,
4.18追潮性
保证实体的行火可以追测争唯的实您4.19可用性
根起读费,信息允许有权实准访问和使用的特性。4.20机性
信息对非毅权个人、实体或进粒是不可知、小可床的特性。4.21理信业务填充
生成假通信实例,化教据单元改在数据单元中生成假邀。4.22格码校检值
对据单元进行患仍变换(见率码体制)寻出的数化,校检危是密钥和数据元的-一个数学变换的结果,通带被用求险查效括单元的宗整性。4.23数据完整值
数据免微非法变改或破还的特性:4.24物理支全
保护资源免道器意性和然情感胁所使川的指措范。4.25发全标签
性在资源(数增单元)上的款签,指定或指出该资源均安全届也4.26安全履务
通信的系缺提供的,对系绕或数据传递提集产分的安全保降的种服务:4.27安全策略
误供安全服务所使用的会准则,包含两个基本概愈:苯于规可的安全策略
卓十身份的安全策略
4.28安全级别
以全局滤则则所有用户均存效为基剂的安会策略,说则通带依赖于被访问资源的敏感性与用户(群)或代理具有的对应属性间的比较以户的身份为础的安全策略,想则逝常依赖十访门资源的用身份的特权够能力,或省依殿于有取控制表,所选择安全收务的保护质量,车文忙主要指不造拌安全保护、选择认证保扩,选择机密性保护、送择试证保护和性保护1冲
4.29迅择域保护
为要发这的消点的特定学段握供保护,4.30做感性
资源的一种利性,示资源划价值或重费社:可能包括资颂受改山约脑弱性4.31服务拍绝
阻止投权访制资源收延运时缴感操作。4.32防年放
防止对长送数据约更放击。
KAN Kca-
5 [P 网基本模型
5.1TCPIP协议城
YD/T1163—2001
TCP/P划旅是在TCP传额控利协议)和TP[立联网博双)网两个重要设的础上均成的协议族(详细记零阅对应的励设TCPP协议族基于分民的原则,每温部明确定义动能和比途,各是均能相独立:相邻层间部山动议准确定交边界接」,通过兹!证信。IF司的钮路间快送喷数措,划层间传送P拍,代愉信间情送TCP/UDP整拍,应用层闻让送应用数据。
TCPP办设族按及许多办设,在下面的几马中我们没介绍-此用得较多,同制是标难等7章将要科及范迹议,它们在分层模划中求关系人致如至」所示,H户
庐乐再序
IeIDCUSMTP/H'IIPiHTPSNMP/MEMTCPAUDP
LP《活ICM2三GMP)
ARPRARP
设务动您补
图1TCPITP协·设族在分层接型中的关系5.2链路房
信的证
链路么负责在物再齐质一北这数松,效书的传这在内个物理连接的设备间进行,处理与本地组网关拍-些问题,链路层协议上要有以太网(JEFF802.3),令钟总线TFFE802.4)、令常环(IFEE,光纤于布数据接FTT以改像中行路TPSLTIP)和点对点协议(PPP尝。6.3网络层
网经层以P拟议为你志,渠供基一P地址的、不非的,尽量人能小的,而问无连接的数据传送服务。网路层苏教还气站ICMP[nternetConuro】MesageIrotocol,IGMPIatermetGroupMaragcmenPrst(col), ARP(Addrs Reyeluriu rulocaul),R4RP(Revery Adrhess Resolutian Prutwul y等。F协议差网络层的也卡P网的十要协议,它指定广通划刚络传送的所套数据的格式,它执行略非动能以选择满传送路径,它包含一系列规则使不可我的包传逆其休化,这此规则说明-1机路由举应该怎群处理似,怎样产生、么时炭产生错误消息,在么茶牛下可以丢持过等,5.4传赖么
传输层以LIDP/TCP闪议为你忘,允许具有相气TP地址的不后机器独立地接收化发送数据。UDP通常被为E的简芹扩展,在两机器间提供H于端以及正地让的,不可非的,尽最人能力约、面间无连接的数据传送服务:[DP使用IP传送消息,但增训了在主机中区分不尚源及日的端口的能力。
TCP于客户与低多器的方式,通过利用IF,在两划器回提供三下端点以及1FP地证的、可靠的、百向连接的激裙传送服冬。与UDI样:TCP使用Ⅱ传送消点,但增切了有.机中区分不向源、H的端亡的力:TCP还为数据传送的可末性定义了些规则:5.5应用层
YD/T 1163-2001
应用层方挖为TP网应用提供股多:涉许多成用协议,常而的土要有TELNET,FTP,SMTP,HTTP,SNP莓
TEI.NET连文在TCP上,支持月广远释查录:它况供一类带本服务。第一,TELNET定.义网率成拟练端,为运端系统提供标准界而,第二,TE.VF工其有允许服务器与客产端分内送通的机制,产提供可选项的标准集:第一,TLLNET对称地处理递接的两端。FTP建立在TCP上,是供对文性交互改的访问,H能够指定文件格式自行认计挤制.SMTP注立在TCPF,后台邮件传送处理由用户代理完成:SMTP处理首先利用域名系统日的地机器名称射到正非止,然后与日的地机器的邮件股务器建立TCP造提:如迁接成功,则服务器任邮件,否购终止选接,MIME握供了危许用SMTP传送堂效据的就制。TITTP即超文本传送协议,建立ICP之上.。HITTP是构建WWW的主要议。SNMP建立在UDP上:月十网络管理:分许从网管服务器临视利控制运行网普代理(Agm)的路中器或主机:
6安全服务与安全机制
6.1概述
本章介绍适合本规范的安全服务与实现议服务的机制。述的实全服务危基本的安全服务,运些女全服务在本规范警考我型的架内有选择地提供。在实际成用,它们通带其它比务和机制相站合他用以满是必全策略和或用广的要求:本章介绍的安个讯制是基本的安全机制,有些支个机制作为实现营安全报务的组截部分:这单称为土要安全机微,。票统可以育按谢历实现本安全服券的特染组合,有些安全机制川适用十多种报务,它们的荣一部分叫以右成密销管理的某频力面。这里称为辅助安全机制,其重要通常真与所要求的安全等关。
这些带本定文表当[ISO/7498-2]或[GB/T9387.216.2安金服务
6.2.1认-
认证为通信实估和数据源提供认计服务:认证服务费求有本地存储的认证信总和火以证而传递的数掘,三要有:
当选择该服务以,服务成实律保证,通信的对右与所户称均实体相称。实体认证:
:数据源认证:当选择该证服务旺。服务问实体保证,某激据的来源与所产称拍实体相符。6.2.2激垢机穿性
逆择数据机密性服务防止数的非授权泄露。数据机帝性有以下儿种信形:连接机密性:
为连接的研有用广数势提供机密性:为单个无逆接-5DU中的所有用\数标提供机宝性:无连接机密性:
·述择域机性:
,业务流机密性:
6.2.3数据光性
为连接或单个无造控-SU中的所行州户整据中的选挫字设退供函性:为可能从对业务流的规测结果中得致的偏忌提供机学性。激据完整性服务剂来对抗士动感脚,有以“认种带形:.专换发性按完格性:
,无恢复连接完整性
、选择成连接定整性。
动过接的所有月户缴据据供数性:并检测一小完整SD:序内任意数帮的修改,折人,验成三改,有显企图,为连接的所个用户数据提供完格性:并测个完整SDL序列内在觉数据的修改、插入、删致或函效,无该友企图为在还接上传送的-证的用产数据中的选样之最提供光举忙;并采用断定选择产段民已板馨收、抵入、册除或波力式,iTT KAoNht KAci-
,无连度完整性
YD/T1163—2001
当大某层提供此服务时,为上一层实体请求的完整性提供保证,本服务为单人无连技SDU提供完载性,开采用可确定所效到的SDU是否已被修数的方式。另外也可对币感提仙有限的检测:·远择娠光连接完整性:
为单个屯连接S中的选择字段提供完整性,非深用础定选择字胶培否已被修改的方式
差生这连接时便用实位认证服务,并在该连接些存斯间使用数据完举性股多,可!同为在该连按上专送的所有数据提供数括源认证,为这些数据的完整性持供保证:同时可以使月如序列号节方式对整据的重放捉供验测
6.2.4抗抵频片
折范确忙服务可以采出如下两种方式:,有源竭游的抗我禁性:数据的源端证据鼓择供数始接收者。这将感止发这者介认发送过该数据或数据内容。
:有交证据的抗抵性:数据的交付证据板提供给数据发送者。这将随1报收者否认接收到该效据或数内容。
6.2.5访问拦制
此服务防止非投权使用资源。可用于控制对一个资源的多种访问形式(通信资源的仕压,信息资源的读谈、写或删降,资源处的抗行)或对:个资源的所有访问。6.3支全机制
6.3.1丰变安全机制
如密巩制刊用以案算法,为数据或逆后业务筑信息提供机索性。存训机带意味差存在密钢肾抑机制.
6.3.1.2数等然名机制
数等签名机台包括两人进程:对案“个数站单元迹行签名和对数据单元的签名边行验证,签名进空使用签名者的专用信忘(血私钙):包标对数据单元进行坏密或生成数据库元的密效检。
验证进栏使公开信息(如公钙):来确定数据判签名是否是用签名的专用信息产生的签名:边些公叶信总导不山签名者的专用信息,签名机制的本质特征是给名只能日给名车的专马信息产生。闪此,等名一口经过验证,任时惯都能够向旁三方(法官或件裁者证明:只有专用信息的唯一持有者才龄产生此签名,6.3.1.3访问控机制
访时控制机制通过实体的轻认让的身价、信息或权眼确定和实感实体的访问权:护绝实体的非势访问或凸不后当克式间,开H可以报告这些事件,以产生报警和或记录作为安全中计数据的一部分。
访问控礼制可以举于上划·一项或多项闪使用:,存放实流间权的访问拉制信息库:这当信息可以书权威中心或获为问的作保存,并上以访问控制表或分级式战分市式的形式保行:达需要先通过实体认证、认证信息,如口今,拥有单出具样的后息以确定读问及体的权。,权限,拥有井出工这样的信息以确定访向此实体或内此权限录定的登源的权力。:安余际签,通带根据安余策略,当安全款整与一个实体忙关联时可以用来接收或拒范访间:,证问的时间:
·访间的路山
、访问均续时有。
YD/T 1163—2001
访问控制机制可用十通信相关的任端和/或任中间点。车源端或中间点拍访控制机制用来确定发方尽否被授权与接收方通信或使用所要求的资源:光连接审计传输内一的要求的对等级访问控制机制必须究止源端给出,并录入安余管鸡信息序。6.3.1.4数据完整性机制
数据完落性包括购个方而:单个数斯单元或域的究整性:敌期单汇或域的个流的整性。确定单个数据单元的完整性包括发送实休和按收实伟两个注积,发送实体给数据单元所:上一个分量,这一分是数据单元本舟的函数。附本分量可以是补充信息,如分组校检码或码校检值,并H.身可能己被州案。接收实体产生相成的对分,并与所收到的附以分其进行比较:以确定数据在传辅中足否已被改变,此机制本身不对单个数据述行法查放保;广,在道当的结构层,燥作的检测可能导效该层或更高层采恢点指整(车年发或纠错)。对丁连接数据输:为了保护数据单元序列的完器性(如防土数据序列谱孔、丢失、发、插入或改变,需附加荣种明排序,如序列号,时避或密码粒。对于无逆接数据传输,时戏可以用来对个网数将单元提供方退形式的陷放保护6.3.1.5认证机!
认证机竟可以采用如下报术:
*使用认证信息、划出送实体据快口含,并出接收实位验证口令:·神码技术;
。使用实体的荣些特性和改趋制。步了提供对等实体认证服务,可将认证机定设在对应层,变习制证某实体头败,则将!致运单建立连接或终上逆接,开且可能导致该实体激情成为安全官计数据和减司安全管型中心报告.当使月密码报末时,可同时使用“握于”协议,以免遵年放选择认证技术:根据其应用坏境与下技术联合使用:,时载和同步时钟;
·双方和一厅握手:
自数字签名凯制和或公证却言变玩范抗抵物服务:6.3.1.6通信业务填充机制
造信业务填病机制可用来捷供不尚级别的药信业券分车保沪:该机制仪在适信业务域充得到机密性患务保护吋才有效。
B.3.1.7路山控制机部
可以迫过动态方式或预置方式安非路由:仅生用物鼎安全的子网,中连网或链路。当端系统检划判持续的操作改击时,将措示网络服务是供者通过别的路止建准变,通过安全策略的约束,带某种安个标等的数执可能被禁止追过某些子网、中继问成钮路:另外连按的发起者(或无违接数据单元的发送者),以担定降山,以过免通过特定的子对,中继网或链。
6.3.1.8公证机
两个或多个实体间通信数据的属性,如完整注、源端、间和月的端,均可通过公证机制得到保证,这保证山第三方公证人媒供,公证人行到实仆的信,并掌挥能龄以可证明的方式提生所要求的保证的所信息。模据公证人据供的服务,每个通信实例可以独用数宁笠名、加案或异举性机制,当引入证机制时,数据通过受保护的通信究例利公证人在道信实体同交流。B.3.2辅助安全机制
6.3.2.1信证功
信任功能泌效月来扩允其他安全机能的源围求建义其有效性,工何直按提供安全机的功能、或提供访问安全机制的动能应该是信懿的,8
KAN KAci
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。