YD/T 1658-2007
标准分类号
关联标准
出版信息
相关单位信息
标准简介
YD/T 1658-2007.Technical Specification for Broadband Network Access Server Security.
1范围
YD/T 1658规定了宽带网络接入服务器安全技术的基本要求,包括数据转发平面、控制平面和管理平面的安全威胁和安全服务要求,以及标识验证、数据保护、系统功能保护、资源分配、安全审计、安全管理、可信信道/路径和系统访问共8个安全功能需求。
YD/T 1658适用于宽带网络接入服务器。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
GB/T 18336.2信息技术安全技术信息技术安全性评估准则第2部分:安全功能要求
YD/T 1045-2000网络接入服务器(NAS)技术规范
YD/T 1148-2005网络接入服务器技术要求一宽带网络接入服务器
YD/T 1358-2005路由器设备安全技术要求一中低端路由器(基于IPv4)
3定义和缩略语
下列定义和缩略语适用于本标准。
3.1 定义
网络接入服务器(Network Access Server, NAS)
网络接入服务器是远程访问接入设备,它位于公共电话网(PATNISDN)与IP网之间,将拨号用户接入IP网,可以完成远程接入、实现拨号虚拟专网(VPDN)、构建企业内部Intranet等网络应用。
宽带网络接入服务器(Broadband Network Access Server, BNAS)
宽带网络接入服务器是面向宽带网络应用的新型接入网关,它位于骨干网的边缘层。其可以完成用户宽带的(或高速的) IP/ATM网的数据接入(目前接入手段主要基于xDSL/Cable Modem/高速以太网技术/无线宽带数据接入等)、实现VPN服务、构建企业内部Intranet、支持ISP向用户批发业务等应用。
1范围
YD/T 1658规定了宽带网络接入服务器安全技术的基本要求,包括数据转发平面、控制平面和管理平面的安全威胁和安全服务要求,以及标识验证、数据保护、系统功能保护、资源分配、安全审计、安全管理、可信信道/路径和系统访问共8个安全功能需求。
YD/T 1658适用于宽带网络接入服务器。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
GB/T 18336.2信息技术安全技术信息技术安全性评估准则第2部分:安全功能要求
YD/T 1045-2000网络接入服务器(NAS)技术规范
YD/T 1148-2005网络接入服务器技术要求一宽带网络接入服务器
YD/T 1358-2005路由器设备安全技术要求一中低端路由器(基于IPv4)
3定义和缩略语
下列定义和缩略语适用于本标准。
3.1 定义
网络接入服务器(Network Access Server, NAS)
网络接入服务器是远程访问接入设备,它位于公共电话网(PATNISDN)与IP网之间,将拨号用户接入IP网,可以完成远程接入、实现拨号虚拟专网(VPDN)、构建企业内部Intranet等网络应用。
宽带网络接入服务器(Broadband Network Access Server, BNAS)
宽带网络接入服务器是面向宽带网络应用的新型接入网关,它位于骨干网的边缘层。其可以完成用户宽带的(或高速的) IP/ATM网的数据接入(目前接入手段主要基于xDSL/Cable Modem/高速以太网技术/无线宽带数据接入等)、实现VPN服务、构建企业内部Intranet、支持ISP向用户批发业务等应用。
标准图片预览
标准内容
ICS3304040
中华人民共和国通信行业标准
YD/T 1658-2007
宽带网络接入服务器安全技术要求Technical Specification for Broadband Network Access Server Security2007-07-20 发布
2007-12-01实施
中华人民共和国信息产业部发布前言
1范围·
2规范性引用文件
3定义和缩略语.
4安全框架模型*
5数据平面安全·
6控制平面安全
?管理平面安全
附录A(资料性附录)通用TTL安全机制(GTSM)附录B(资料性附录)基于802.1x用户接入认证次
YD/T1658-2007
YD/T1658-2007
本标准是“宽带网络接入服务器安全”系列标准之一。该系列标准预计的结构及名称如下:1.YD/T1658-2007宽带网络接入服务器安全技术要求7宽带网络接入服务器安全测试方法2.YD/T1659-2007
其中,YD/T1659-2007(宽带网络接入服务器安全测试方法》是本标准的配查标准。本标准在制定过程中还参考了YD/T1148-2005《网络接入服务器技术要求-一宽带网络接入服务器》和YD/T1358-2005略由器设备安全技术要求一—中低端路由器(基于IPV4)》。本标准的附录A、附录均为资料性附录。本标准由中国通信标准化协会提出并归口。本标准起草单位:信息产业部电信研究院本标准主要起草人:马军锋、魏亮I
1范围
宽带网络接入服务器安全技术要求YD/T1658-2007
本标准规定了宽带网络接入服务器安全技术的基本要求,包括数据转发平面、控制平面和管理平面的安全威胁和安全服务要求,以及标识验证,数据保护、系统功能保护、资源分配、安全中计、安全管理、可信信道/路径和系统访问共8个安全功能需求。本标准适用于宽带网络接入服务器。2 规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。GB/T 18336.2
YD/T1045-2000
YD/T 1148-2005
YD/T 1358-2005
3定义和缩璐语
信息技术安全技术信息技术安全性评估准则第2部分:安全功能要求网络接入服务器(NA.S)技术规范网络接入服务器技术要求宽带网络接入服务器路山器设备安全技术要求—中低端路中器(基于IPv4)下列定义和缩略语适用于本标准。3.1定义
网络接入服务器(NetwarkAccessServer,NAS)网络接入服务器是远程访问接入设备,它位于公共电话网(PATN/ISDN)与IP网之间,将拨号用户接入IP网,可以完成远程接入,实现拨号虚拟专网(VPDN)、构建企业内部Intranet等网络应用宽带网络接入服务器(BroadbandNetworkAccessServer,BNAS)宽带网络接入服务器是面向宽带网络应用的新型接入网关,它位于骨干网的边缘层。其可以完成用户宽带的(或高速的)IP/ATM网的数据接入(目前接入手段主要基于xDSLCableModem/高速以太网技术/无线宽带数据接入等)、实现VPN服务,构建企业内部Intranet、支持ISP向用户批发业务等应用。访问控制(accesscontrol)
防止末经授权使用资源。
可确认性(accountability)
确保一个实体的行为能够被独一无二地跟踪。授权(authorization)
授予权限,包括根据访问权进行访间的权限。可用性(availablity)
根据需要,信息允许授权实体访问和使用的特性。TT KAONT KAca=
YD/T1658-2007
保密性(confidentiality)
信息对非授权个人、实体或进程是不可知、不可用的特性,数据完整性(dataintegrity)
数据免遭非法更改或破坏的特性。拒绝服务(denial of service)阻止授权讨间资源或延退时敏感操作。数字签名(digitalsignature)附在数据单元后面的数据,或对数据单元进行密码变换得到的数据。允许数据的接收者证明数据的来源和完整性,保护数据不被伪造,并保证数据的不可否认性。加密(encryption)
对数据进行密码变换以产生密文。注:加密可以是不可逆的,在这种情况下,相应的解密过程便不能实际实现了。基于身份的安全策略(ldentity-basedsecuritypolicy)这种安全策略的基础是用户或用户群的身份或属性,或者足代表用户进行活动的实体以及被访问的资源或客体的身份或属性。
密钥(key)
控制加密与解密操作的一序列符号。密钥管理(keymanagement)
根据安全策略产生、分发、存储、使用、更换、销毁和恢复密钥。富充(masquerade)
一个实体伪装为另一个不同的实体。完整性破坏(integritycompromise)数据的一致性通过对数据进行非授权的增加、改、重排序或伪造而受到损害。抵赖(repudiation))
在一次通信中涉及到的那些实体之一不承认参加了该避信的全部或一部分。基于规则的安全策略(rule-basedsecuritypolicy)这种安全策略的基础是强加于全体用广的总体规列。这些规则往往依赖于把被访问资源的敏感性与用户、用户群或代表用户活动的实体的相应属性进行比较。安全审计(securityaudit)
对系统的记录及活动独立的复查与检查,以便检测系统控制是否充分,确保系统控制与现行策略和操作程序保持·-致、探测违背安全性的行为。并通告控制、策略和程序中所显示的任何变化安全策略(securitypolicy)
提供安全服务的一套准则,包括“基于身份的安全策略”与“基于规则的安全策略”。安全服务(securityservice)
由参与通信的开放系统层所提供的服务,它确保该系统或数据传送具有足够的安全性。3.2缩略语
TripleDES
三重数据加密标准
Authentication Authorization AccountingAccess Control List
Asynchrmnous-Control-Character-MapAddress-and-Control-Field-CompressionAdvanced Encryption StandardAuthetication Header
Address Resolution Protocol
Asynchronous Transfer Mole
Border Gateway Pratocnl
Committed Access Rate
Challenge Handshake Atuthentication ProtocolCable Modem Terminal System
Central Proccessing Unit
Dynamic Host Configuration PratocolDenial of Service
Data Link Control Identity
Domain Name System
鉴别、授权,计费
访问控制列表
异步控制字符映射
地址、控制域压缩
高级加密标准
验证报文义协议
地址解析协设
异步转移模式
逆界网关协议
承诺接入速率
质询握手认证协议
YD/T 1658-2007
线缆调制解调器终端系统
中央处理单元
动态主机配置协议
拒绝服务攻市
数据链路控制标识
域名解析系统
DigitalSubscriberLine(DSL)AccessModule数字用户线接入模块Challenge Authenticatio ProtocolExtensible Authentication ProtocolEncapsulation Secure PayloadFault, Configuration, AccountingPerformance and Security
Field Check Sequence
Frame Relay
File Transfer Protocol
Generalized TfL Security MechanismHashed Message Authentication CodeIntermet Control Mess age Protocol Internet Key Exchange
Internet Protacol
IP Security
Integrated Service Digital NetworkIntermediate System to Intermediate SystemLayer Two Tunneling ProtacolL2TP Access Concentrator L2TPLabel Distribution Protocol
-TTKAONT KAca-
质询认证协设
扩展认证协议
封装安全净荷协议
故障,配置,计费,性能,安全域校验序号
顿中维
文件传输协议
通用TTL安全机制
散列消息验证码
互联网控制报文协议
互联网密钥交换协议
互联网协议
P安全机制
综合业务数字网
中间系统中间系统
二层隧道协议
接入集中器
标记分发协议
YD/T 1658-2007
PPPIFR
Leased Line
L2TP Network Server
Label Switch Path
Media Access Control
Message Digest 5
Management Infornation Base
Multi Protocol Label SwitchingMaximum Receive Unit
Netvork Address Port TranslatianNetwork Address Translation
Operation, Administration, Maintenanceand Provisioning
Open Shortest Path First
Password Authentication ProtocolPoint-to-Poinr Protocol
PPP over ATM
PPP In Frame Relay
PPP over Ethernet
Public Switched Telephone NetworkPermanent Virual Circuit
Remote Access Server
Route Information Protocol
Resource Reservation ProtocolSecure Hash Algorithm 1
Service Level Agreement
Service Management Center
Simple Network Management ProtocolSecure Shell
Transmission Control ProtocolTime to Live
User Datagram Protocol
User-based Security Model此内容来自标准下载网
Unicast Reverse Path Filter
Virtual Local Area Networks
Virtual Channel Identity
Virtual Path Identity
Virtual Private Netw ork
L2TP隧道网络服务器
标记交换路径
媒质访问控制
报文摘要5
管理信息库
多协议标记交换
最大接收单元
网络地址端口翻译
网络地址翻译
操作,管理,维护和配置
最短路径优先
密码认证协议
点到点协议
ATM 承载 PPP 协议
顿中继承载的PPP协议
以太网承载PPP协议
公众电话网
永久性虚电路
远程接入服务器
路由信息协议
资源预留协议
安全散列算法 1
服务水平协议
业务管理中心
简单网管协议
安全外壳程序协议
传输控制协议
生命周期
用户数据报协议
基于用户的安全模型
单播反向路径检查
壶拟局域网
避信道标识
魔通道标识
虚拟专用网
安全框架模型
YD/T1658-2007
宽带网络接入服务器位于骨干网的边缘层,作为用广接入网和骨干网之间的网关,主要用于终结来自用户接入网的连接(主要是商速的用户接入网),提供接入到宽带核心业务网(主要为IP网和ATM网)的服务,图1为宽带网络接入服务器的参考结构,装
FRLL网
PSTNASDN
XDSL接入
高以太网据人
【宽带网络接人服务器】
网络管理中心
图1宽带网络接入服务参考结构
P骨十网
ATM骨干网
FRLL骨下网
宽带网络接入服务器在网络中处于汇接层面,通常面问各种类型的接入设备(如DSLAM、CMTSRAS等),因此很容易遭受到来自网络和其他方面的威胁,这些安全威胁可以利用设备自身的脆性或者是配置上的策略漏洞,给设备造成定的危吉,而且设备一旦被攻击,性能和正常运行都将会受到很大的影响,甚至造成拒绝对正常用户的访问服务。本标催将宽带网络接入服务器的功能划分为三个平面。(1)数据平面:主要是提供用户数据的转发。宽带网络接入服务器应当可以工作在下述模式下:PPP终结模式,即凸宽带网络接入服务器终结用户发起的PPP连接:PPP中继模式,即宽带网络接入服务器透传用广的PPP连接由后继设备(如路由器)终结用广的PPP连接:DHCP+Web以太网接入模式。(2)控制平面:主要包括路由划设(单播及组播踏由垫设)等控制信令,提供与建立会话接,控制转发路径等有关的功能,并且可以采用两种方式(即DHCP中继或者是自身作为DHCP服务器)来负责用户地址的动态分配与管理:应支持PPPoE、DHCP+Web用户接入认证方式。(3)管理平面:主要是指与OAM&P有关的功能,如SNMP、管理用户Telnet登录、日志等,支持FCAPS功能。管理平面的消息传送可以采用带内和背外两种形式。为了抵御来自网络和用户的攻末,宽带网络接入服务器必须提供一定的安全功能。本标准裁减GB/T18336-2中定义的安全功能并应用到宽带网络接入服务器中,这些安全功能包括:,标识和验证。识别并确认用户的身份。·用户数据保护。保护用户数据的完整性、可用性和保密性。,系统功能保护。对实现系统关键功能包括安全功能所需要的数据(如用广身份和口令)的保护,确保相关数据的完整性、间用性和保密性。,资源分配。控制用户对资源的访问,不充许用户过量占用资源,避免因为非法占用资源造成系统对合法业务拒绝服务。
·安全审计。能够提供口志等审计记录,这些记录可以用来分析安全威胁活动和指定安全对策,5
TTKAONrKAca=
YD/T 1658-2007
探测违背安全性的行为。
,安全管理。安全功能、数据和安全属性的管理能力。,可信信道露径。宽带接入服务器回其他设备间通信信道路径要求可信,对于安全数据的通信要同其他通信隔离开来。
·系统访问。管理和控制用户会话的建立。宽带网络接入服务器安全掘架如离2所示:曾理平面
控制评面
数据乎面
安今策略
图2宽带网路接入服务器安全框架应用层
表示层
传输层
网络房
数据链路层
物理层
将粥性
为了确保宽带网络接入服务器自身和转发数据的安全,需要在实际组网中制定相应的安全控制策略,并将该策路分别映射到数据平面、控制平面和管理平面。5数据平面安全
5.1安全威助
宽带网络接入服务器面向不同类型的接入设备,是一种能够提供端到端宽带连接的新型网络路由设备,终结或中继来白用户的各种连接:包括基于PPP的会话和采用不同封装形式的PVC连接。在网络侧用户的数据都必须经由此设备来处理,因此基于流量的攻击会对设备的性能造成根大影响,如大流量攻击可能会影响设备对正常用广数据进行处理,处理畸形报文可能会占用大量的CPU和内存资源,所以需要提供安全机制来限定用广流量行为,抵御来自网络攻击者对数据平面的恶意攻击。此外,对数据流术经授权的观察、修改、插入和删除操作,会破坏数据流的完整性、可用性和保密性。宽带网络接入服务器数据平面的安全威胁主要有以下方面,但不局限在这些方面:·对数据流进行流量分析,从而获得用户数据的敏感信息:未经授权的观察、修改、插入和删除用户数据:利用用户数据流进行分布式的DoS 攻击。5.2安全功能
5.2.1标识和验证
5.2.1.1标识
宽带网络接入服务器可以支持不同类型的用户接入方式,包括:6
·PPP用户接入:
。以太网用户接入;
·专线用户接入.
5.2.1.1.1PPP用户接入
YD/T 1658-2007
宽带网络接入服务器可以工作在:PPP终结和PPP中继两种模式下,在终结模式下对于不同的封装格式,应当采用不同的用户标识方法;1)采用PPPoE的封装格式,可以采用MAC地址、VLAN_ID、端口号、IP地址、账号等组合绑定的形式来标识用户,并结合PPPoE_Session_Id来标识用户会话。PPPoE(RFC2516)建议进行魔数(magicnumber)选项协商,不建议进行协议域压缩选项协商,实现中必须不请求进行下面的选项协商,并且必须拒绝此类选项协商的请求:Field Check Sequence (FCS)Altematives:Address-and-Control-Field-Compression (ACFC) :Asynchronous-Control-Character-Map (ACCM) .MRU必须不能大于1492。
2)来用PPPoA的封装格式,可以采用VCI/VPI、端口号、IP地址、账号等组合绑定的形式米标识用户。3)采用PPPLFR的封装格式,可以采用DLCI、端口号、IP地址,账号等组合绑定的形式米标识用户。5.2.1.1.2以太网用户接入
对于以太网用户接入方式,宽带网络接入服务器可以采用VLAN_ID、MAC地址、端口号、IP地址、账号等组合绑定的形式来标识一个用户。5.2.1.1.3专线用户接入
对于专线用户接入,宽带网络接入服务器可以采用端口号和账号绑定的形式来标识一个用户。5.2.1.2验证
5.2.1.2.1概述
宽带网络接入服务器应当设置不同的访问控制策略来控制用户的接入:同时应可以选择不同的认证协议(如CHAP、802.1x)对用广进行身份验证。此外,为增强系统安全性,应可选支持EAP协议和RADIUS扩展协议,从而可以根据不同的安全性要求选择不同安全等级的认证协议来对不同用户的连接进行接入验证。
宽带网络接入服务器宜累用两种认证方式本地认证,即认证点就在宽带网络接入服务器上:,远端认证,如宽带网络接入服务器将用户认证信息通过认证协议(如RADIUS)传递到认证服务器进行认证。
5.2.1.2.2PPP用户认证
对于PPP用FI的接A,宽带网络接入服务器应采用CHAP、PAP或者EAP协设进衔认证。对于PPP中继模式,则由宽带网络接入服务器按照上行链路的封装格式封装后交由后继设备(如汇案路由墨)进行认证。为保证认证信息在传输过程中的安全,可以考虑通过建立L2TP隧道或IPSec隧道提供保护。5.2.1.2.3以太网用户认证
-TTKAONYKAc=
YD/T 1658-2007
对于以太网接入用户,宽带网络接入服务器宜实现802.1x认证协议,其体内容参见附录B部分:此外也可选实现WebPortal认证方式。5.2.2数据保护
宽带网络接入服务器应当可以为用提供IP安全服务。通过建立IPSec隧道,为用户数据提供完整性、数据源身份认证、保密性以及防重放攻击的保护。应支持AH和ESP协议,支持传输模式和隧道模式,支持安全联翌手工建立和KE协议白动建立两种方式,AH协议应支持HMAC-SHA1-96验证算法,可支持HMAC-MI5-96验证算法。ESP协议应支持HMAC-SHA1-96验证算法,可支持HMAC-MD5-96验证算法。加密算法应支持空加密算法、3DES-CBC加密算法,可支持DES-CBC,AES-CBC和国家规定的标准分组加密算法。
如果宽带网络接入服务器支持动态密钥普理IKE协议,则应支持IKE的下列特性:*支持安全联盟的于工管理和IKE自动管理。在手工管理安全联盟时,可支持以十六进制配置算法所密钥,应支持任意长度字符串形式配置密钥;,支持预共享密销验证,可支持数证书验证和RSA加密Nance验证:·应支持3DES加密算法,应支持SHA1完整性验证算法,可支持MD5完整性验证算法,同时还可支持DES、AES 加密算法和国内的分组加密算法;*在IKE的DH交换中,应支持MODP-Gtoup1、MODP-Group2:阶段2交换中应支持完美前间保护特性:·阶段1应支持主模式和野蛮模式,阶段2应支持快速模式,还应支持信息交换:·可变持NAT穿越:
在IKE阶段 1中应该能指定发起模式:,在IKE的阶段2协商中,应支持ID_IPv4_ADDRESS和ID_IPV4_SUBNET身份载荷。此外,宽带网络接入服务器应能够建立L2TP隧道为用广数据提供保护,实现LAC功能特性,可选实现LNS 的功能特性。
5.2.3系统功能保护
对于用户数据,系统要提供妥善的保护手段,通过基于角色的分级访问控制机制来实现控制对此类数据的访问(包括用户、系统进程等)。5.2.4资源分配
宽带网络接入服务器应能够提供有效的控制机制(如队列调度机制、接入带宽控制)保障网络带宽的合理利用,特别是要能够抵御来白网络的各种侵占网络资源类的攻击,如Pin Flooding、TCP SYNFlooding等,要确保网络在遭受攻击的情况下仍旧能够为合法用户提供必需的数据转发服务。宽带网络接入服务器应能构抵御以下的常见攻击类型,但并不局限于这些方面。大流量攻击。大流量可以分成两种类型:一种是流经流量,即需要宽带接入服务器转发的流量,对于这类攻所,宽带网络接入服务器宜具有端口线速转发的能力,对于超过端口处理能力的流量可以采用按比例丢弃的策略:另一种流的目的地就是宽带网络接入服务器本身,这类攻击可能会占用被攻击设备的大量CPU处理时间和内存,严重的基至会造成设备崩溃,导致中断无法为用户提供正常服务。对这类攻计流量,宽带网络接入服务器宜采取过滤和丢弃策略,同时应将必要的信息(如报文类型、源地8
址以及攻击时间等)记录到安全日志中。YD/T 1658-2007
、畸形包处理。宽带网络接入服务器应能够处理各种类型的畸形包(如超长、超短包)、链路层错误包、网络层错误包、.上层协议错误包等,对于这些报文应采取丢弃策略,不能影响设备的正常功能。此外,也要保证宽带网络接入服务器自身不会产生上述类型的畸形包。,定向广播报文攻击。SMURF攻击是一种利用定向广播报文的分布式DaS攻击方法。对于此类攻击,宽带网络接入服务器应能够提供控制策略,禁止该类报文转发或者以广播形式转发,对于分布式DoS攻击,应能够供简单策略阻止这种分布式DoS攻击向其他设备扩散。,P地址哄骗。针对网络中源地址哄骗报文,宽带网络接入服务器宜实现单播逆向路径转发(uRPF)技术来过滤这类报文,禁止其在网络中传播。宽带络接入服务器应能够提供相应机制来控制同一用户建立TCP会话的数量,以防止用过消耗网络资源;而且应能够根据用户类型对能够建立的TCP会话数量进行配置。宽带网络接入服务器应实现Pfilter和IPPool功能,来控制用户接入和过滤用户数据。Pfilter提供F包过滤功能,向不同权限的用户提供不同层次的P包过滤功能,以实现不同的用户有不同的接入能力。PPooL则是指根据用户的授权从不同的IPPoolI中读取P地址给相应的用户作为用户的主叫IP地址,在相应路由器则确定对不同主叫IP地址的不同的P包的过滤能力,从而实现不同的用户有不同的接入能力。宽带网络接入服务器应实现基于ACL的用户流量控制,通过CAR操作,对用户数据流进行整形,然后侬据与用户签订的SLA协定,为用户分配带宽资源。SLA协议包含承诺速率,峰值速率,承错突发流量、峰值突发流量等,对于超出SLA协定的流量可以采取降级、丢弃等操作。5.2.5安全审计
对于用户流量,宽带网络接入服务器应能够提供流量日志能力,相关的要求参见了7.2.5节有关安全日志方面的规定。
5.2.6安全管理
要能够提供对本章节提供的安全功能和数据的管理能力,管理方式包括但不限于控制台、远程连按或网络管理接口/系统等方式。
5.2.7可信信道/路径
宽带网络接入服务器同其他设备通信的信道/路径要求可信,对于传送敏感数据(如专线用户数据)的通信同传送其他数据的通信隔离开米,可以采用物理隔离或者是VPN逻辑隔离。5.2.8系统访间
5.2.B.1访问控制列表
访问控制是一种安全手段,它控制用和系统与其他的系统和资源进行通信和交互。它能够保护系统和资源免受未经授权的访问,并且在认证过程成功结束后授权访问的等级。访问控制能够提供控制、限制、监控以及保护资源的可用性、完整性和机密性等能力。宽带网络接入服务器应能够提供基于源/目的地址、源/目的端口和协议类型等元素的过滤,支持对ICMP报文进行过滤,支持对报文优先级进行过滤,支持对报文匹配情况进行统计计数和记入日志等。5.2.8.2NAT功能(可选)
NAT可以解决IPv4地址资源缺乏的问题,同时通过NAT可以实现内网和外网的隔离,同时内网能够访间外网资源:
-ITT KAoNii KAca=
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国通信行业标准
YD/T 1658-2007
宽带网络接入服务器安全技术要求Technical Specification for Broadband Network Access Server Security2007-07-20 发布
2007-12-01实施
中华人民共和国信息产业部发布前言
1范围·
2规范性引用文件
3定义和缩略语.
4安全框架模型*
5数据平面安全·
6控制平面安全
?管理平面安全
附录A(资料性附录)通用TTL安全机制(GTSM)附录B(资料性附录)基于802.1x用户接入认证次
YD/T1658-2007
YD/T1658-2007
本标准是“宽带网络接入服务器安全”系列标准之一。该系列标准预计的结构及名称如下:1.YD/T1658-2007宽带网络接入服务器安全技术要求7宽带网络接入服务器安全测试方法2.YD/T1659-2007
其中,YD/T1659-2007(宽带网络接入服务器安全测试方法》是本标准的配查标准。本标准在制定过程中还参考了YD/T1148-2005《网络接入服务器技术要求-一宽带网络接入服务器》和YD/T1358-2005略由器设备安全技术要求一—中低端路由器(基于IPV4)》。本标准的附录A、附录均为资料性附录。本标准由中国通信标准化协会提出并归口。本标准起草单位:信息产业部电信研究院本标准主要起草人:马军锋、魏亮I
1范围
宽带网络接入服务器安全技术要求YD/T1658-2007
本标准规定了宽带网络接入服务器安全技术的基本要求,包括数据转发平面、控制平面和管理平面的安全威胁和安全服务要求,以及标识验证,数据保护、系统功能保护、资源分配、安全中计、安全管理、可信信道/路径和系统访问共8个安全功能需求。本标准适用于宽带网络接入服务器。2 规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。GB/T 18336.2
YD/T1045-2000
YD/T 1148-2005
YD/T 1358-2005
3定义和缩璐语
信息技术安全技术信息技术安全性评估准则第2部分:安全功能要求网络接入服务器(NA.S)技术规范网络接入服务器技术要求宽带网络接入服务器路山器设备安全技术要求—中低端路中器(基于IPv4)下列定义和缩略语适用于本标准。3.1定义
网络接入服务器(NetwarkAccessServer,NAS)网络接入服务器是远程访问接入设备,它位于公共电话网(PATN/ISDN)与IP网之间,将拨号用户接入IP网,可以完成远程接入,实现拨号虚拟专网(VPDN)、构建企业内部Intranet等网络应用宽带网络接入服务器(BroadbandNetworkAccessServer,BNAS)宽带网络接入服务器是面向宽带网络应用的新型接入网关,它位于骨干网的边缘层。其可以完成用户宽带的(或高速的)IP/ATM网的数据接入(目前接入手段主要基于xDSLCableModem/高速以太网技术/无线宽带数据接入等)、实现VPN服务,构建企业内部Intranet、支持ISP向用户批发业务等应用。访问控制(accesscontrol)
防止末经授权使用资源。
可确认性(accountability)
确保一个实体的行为能够被独一无二地跟踪。授权(authorization)
授予权限,包括根据访问权进行访间的权限。可用性(availablity)
根据需要,信息允许授权实体访问和使用的特性。TT KAONT KAca=
YD/T1658-2007
保密性(confidentiality)
信息对非授权个人、实体或进程是不可知、不可用的特性,数据完整性(dataintegrity)
数据免遭非法更改或破坏的特性。拒绝服务(denial of service)阻止授权讨间资源或延退时敏感操作。数字签名(digitalsignature)附在数据单元后面的数据,或对数据单元进行密码变换得到的数据。允许数据的接收者证明数据的来源和完整性,保护数据不被伪造,并保证数据的不可否认性。加密(encryption)
对数据进行密码变换以产生密文。注:加密可以是不可逆的,在这种情况下,相应的解密过程便不能实际实现了。基于身份的安全策略(ldentity-basedsecuritypolicy)这种安全策略的基础是用户或用户群的身份或属性,或者足代表用户进行活动的实体以及被访问的资源或客体的身份或属性。
密钥(key)
控制加密与解密操作的一序列符号。密钥管理(keymanagement)
根据安全策略产生、分发、存储、使用、更换、销毁和恢复密钥。富充(masquerade)
一个实体伪装为另一个不同的实体。完整性破坏(integritycompromise)数据的一致性通过对数据进行非授权的增加、改、重排序或伪造而受到损害。抵赖(repudiation))
在一次通信中涉及到的那些实体之一不承认参加了该避信的全部或一部分。基于规则的安全策略(rule-basedsecuritypolicy)这种安全策略的基础是强加于全体用广的总体规列。这些规则往往依赖于把被访问资源的敏感性与用户、用户群或代表用户活动的实体的相应属性进行比较。安全审计(securityaudit)
对系统的记录及活动独立的复查与检查,以便检测系统控制是否充分,确保系统控制与现行策略和操作程序保持·-致、探测违背安全性的行为。并通告控制、策略和程序中所显示的任何变化安全策略(securitypolicy)
提供安全服务的一套准则,包括“基于身份的安全策略”与“基于规则的安全策略”。安全服务(securityservice)
由参与通信的开放系统层所提供的服务,它确保该系统或数据传送具有足够的安全性。3.2缩略语
TripleDES
三重数据加密标准
Authentication Authorization AccountingAccess Control List
Asynchrmnous-Control-Character-MapAddress-and-Control-Field-CompressionAdvanced Encryption StandardAuthetication Header
Address Resolution Protocol
Asynchronous Transfer Mole
Border Gateway Pratocnl
Committed Access Rate
Challenge Handshake Atuthentication ProtocolCable Modem Terminal System
Central Proccessing Unit
Dynamic Host Configuration PratocolDenial of Service
Data Link Control Identity
Domain Name System
鉴别、授权,计费
访问控制列表
异步控制字符映射
地址、控制域压缩
高级加密标准
验证报文义协议
地址解析协设
异步转移模式
逆界网关协议
承诺接入速率
质询握手认证协议
YD/T 1658-2007
线缆调制解调器终端系统
中央处理单元
动态主机配置协议
拒绝服务攻市
数据链路控制标识
域名解析系统
DigitalSubscriberLine(DSL)AccessModule数字用户线接入模块Challenge Authenticatio ProtocolExtensible Authentication ProtocolEncapsulation Secure PayloadFault, Configuration, AccountingPerformance and Security
Field Check Sequence
Frame Relay
File Transfer Protocol
Generalized TfL Security MechanismHashed Message Authentication CodeIntermet Control Mess age Protocol Internet Key Exchange
Internet Protacol
IP Security
Integrated Service Digital NetworkIntermediate System to Intermediate SystemLayer Two Tunneling ProtacolL2TP Access Concentrator L2TPLabel Distribution Protocol
-TTKAONT KAca-
质询认证协设
扩展认证协议
封装安全净荷协议
故障,配置,计费,性能,安全域校验序号
顿中维
文件传输协议
通用TTL安全机制
散列消息验证码
互联网控制报文协议
互联网密钥交换协议
互联网协议
P安全机制
综合业务数字网
中间系统中间系统
二层隧道协议
接入集中器
标记分发协议
YD/T 1658-2007
PPPIFR
Leased Line
L2TP Network Server
Label Switch Path
Media Access Control
Message Digest 5
Management Infornation Base
Multi Protocol Label SwitchingMaximum Receive Unit
Netvork Address Port TranslatianNetwork Address Translation
Operation, Administration, Maintenanceand Provisioning
Open Shortest Path First
Password Authentication ProtocolPoint-to-Poinr Protocol
PPP over ATM
PPP In Frame Relay
PPP over Ethernet
Public Switched Telephone NetworkPermanent Virual Circuit
Remote Access Server
Route Information Protocol
Resource Reservation ProtocolSecure Hash Algorithm 1
Service Level Agreement
Service Management Center
Simple Network Management ProtocolSecure Shell
Transmission Control ProtocolTime to Live
User Datagram Protocol
User-based Security Model此内容来自标准下载网
Unicast Reverse Path Filter
Virtual Local Area Networks
Virtual Channel Identity
Virtual Path Identity
Virtual Private Netw ork
L2TP隧道网络服务器
标记交换路径
媒质访问控制
报文摘要5
管理信息库
多协议标记交换
最大接收单元
网络地址端口翻译
网络地址翻译
操作,管理,维护和配置
最短路径优先
密码认证协议
点到点协议
ATM 承载 PPP 协议
顿中继承载的PPP协议
以太网承载PPP协议
公众电话网
永久性虚电路
远程接入服务器
路由信息协议
资源预留协议
安全散列算法 1
服务水平协议
业务管理中心
简单网管协议
安全外壳程序协议
传输控制协议
生命周期
用户数据报协议
基于用户的安全模型
单播反向路径检查
壶拟局域网
避信道标识
魔通道标识
虚拟专用网
安全框架模型
YD/T1658-2007
宽带网络接入服务器位于骨干网的边缘层,作为用广接入网和骨干网之间的网关,主要用于终结来自用户接入网的连接(主要是商速的用户接入网),提供接入到宽带核心业务网(主要为IP网和ATM网)的服务,图1为宽带网络接入服务器的参考结构,装
FRLL网
PSTNASDN
XDSL接入
高以太网据人
【宽带网络接人服务器】
网络管理中心
图1宽带网络接入服务参考结构
P骨十网
ATM骨干网
FRLL骨下网
宽带网络接入服务器在网络中处于汇接层面,通常面问各种类型的接入设备(如DSLAM、CMTSRAS等),因此很容易遭受到来自网络和其他方面的威胁,这些安全威胁可以利用设备自身的脆性或者是配置上的策略漏洞,给设备造成定的危吉,而且设备一旦被攻击,性能和正常运行都将会受到很大的影响,甚至造成拒绝对正常用户的访问服务。本标催将宽带网络接入服务器的功能划分为三个平面。(1)数据平面:主要是提供用户数据的转发。宽带网络接入服务器应当可以工作在下述模式下:PPP终结模式,即凸宽带网络接入服务器终结用户发起的PPP连接:PPP中继模式,即宽带网络接入服务器透传用广的PPP连接由后继设备(如路由器)终结用广的PPP连接:DHCP+Web以太网接入模式。(2)控制平面:主要包括路由划设(单播及组播踏由垫设)等控制信令,提供与建立会话接,控制转发路径等有关的功能,并且可以采用两种方式(即DHCP中继或者是自身作为DHCP服务器)来负责用户地址的动态分配与管理:应支持PPPoE、DHCP+Web用户接入认证方式。(3)管理平面:主要是指与OAM&P有关的功能,如SNMP、管理用户Telnet登录、日志等,支持FCAPS功能。管理平面的消息传送可以采用带内和背外两种形式。为了抵御来自网络和用户的攻末,宽带网络接入服务器必须提供一定的安全功能。本标准裁减GB/T18336-2中定义的安全功能并应用到宽带网络接入服务器中,这些安全功能包括:,标识和验证。识别并确认用户的身份。·用户数据保护。保护用户数据的完整性、可用性和保密性。,系统功能保护。对实现系统关键功能包括安全功能所需要的数据(如用广身份和口令)的保护,确保相关数据的完整性、间用性和保密性。,资源分配。控制用户对资源的访问,不充许用户过量占用资源,避免因为非法占用资源造成系统对合法业务拒绝服务。
·安全审计。能够提供口志等审计记录,这些记录可以用来分析安全威胁活动和指定安全对策,5
TTKAONrKAca=
YD/T 1658-2007
探测违背安全性的行为。
,安全管理。安全功能、数据和安全属性的管理能力。,可信信道露径。宽带接入服务器回其他设备间通信信道路径要求可信,对于安全数据的通信要同其他通信隔离开来。
·系统访问。管理和控制用户会话的建立。宽带网络接入服务器安全掘架如离2所示:曾理平面
控制评面
数据乎面
安今策略
图2宽带网路接入服务器安全框架应用层
表示层
传输层
网络房
数据链路层
物理层
将粥性
为了确保宽带网络接入服务器自身和转发数据的安全,需要在实际组网中制定相应的安全控制策略,并将该策路分别映射到数据平面、控制平面和管理平面。5数据平面安全
5.1安全威助
宽带网络接入服务器面向不同类型的接入设备,是一种能够提供端到端宽带连接的新型网络路由设备,终结或中继来白用户的各种连接:包括基于PPP的会话和采用不同封装形式的PVC连接。在网络侧用户的数据都必须经由此设备来处理,因此基于流量的攻击会对设备的性能造成根大影响,如大流量攻击可能会影响设备对正常用广数据进行处理,处理畸形报文可能会占用大量的CPU和内存资源,所以需要提供安全机制来限定用广流量行为,抵御来自网络攻击者对数据平面的恶意攻击。此外,对数据流术经授权的观察、修改、插入和删除操作,会破坏数据流的完整性、可用性和保密性。宽带网络接入服务器数据平面的安全威胁主要有以下方面,但不局限在这些方面:·对数据流进行流量分析,从而获得用户数据的敏感信息:未经授权的观察、修改、插入和删除用户数据:利用用户数据流进行分布式的DoS 攻击。5.2安全功能
5.2.1标识和验证
5.2.1.1标识
宽带网络接入服务器可以支持不同类型的用户接入方式,包括:6
·PPP用户接入:
。以太网用户接入;
·专线用户接入.
5.2.1.1.1PPP用户接入
YD/T 1658-2007
宽带网络接入服务器可以工作在:PPP终结和PPP中继两种模式下,在终结模式下对于不同的封装格式,应当采用不同的用户标识方法;1)采用PPPoE的封装格式,可以采用MAC地址、VLAN_ID、端口号、IP地址、账号等组合绑定的形式来标识用户,并结合PPPoE_Session_Id来标识用户会话。PPPoE(RFC2516)建议进行魔数(magicnumber)选项协商,不建议进行协议域压缩选项协商,实现中必须不请求进行下面的选项协商,并且必须拒绝此类选项协商的请求:Field Check Sequence (FCS)Altematives:Address-and-Control-Field-Compression (ACFC) :Asynchronous-Control-Character-Map (ACCM) .MRU必须不能大于1492。
2)来用PPPoA的封装格式,可以采用VCI/VPI、端口号、IP地址、账号等组合绑定的形式米标识用户。3)采用PPPLFR的封装格式,可以采用DLCI、端口号、IP地址,账号等组合绑定的形式米标识用户。5.2.1.1.2以太网用户接入
对于以太网用户接入方式,宽带网络接入服务器可以采用VLAN_ID、MAC地址、端口号、IP地址、账号等组合绑定的形式来标识一个用户。5.2.1.1.3专线用户接入
对于专线用户接入,宽带网络接入服务器可以采用端口号和账号绑定的形式来标识一个用户。5.2.1.2验证
5.2.1.2.1概述
宽带网络接入服务器应当设置不同的访问控制策略来控制用户的接入:同时应可以选择不同的认证协议(如CHAP、802.1x)对用广进行身份验证。此外,为增强系统安全性,应可选支持EAP协议和RADIUS扩展协议,从而可以根据不同的安全性要求选择不同安全等级的认证协议来对不同用户的连接进行接入验证。
宽带网络接入服务器宜累用两种认证方式本地认证,即认证点就在宽带网络接入服务器上:,远端认证,如宽带网络接入服务器将用户认证信息通过认证协议(如RADIUS)传递到认证服务器进行认证。
5.2.1.2.2PPP用户认证
对于PPP用FI的接A,宽带网络接入服务器应采用CHAP、PAP或者EAP协设进衔认证。对于PPP中继模式,则由宽带网络接入服务器按照上行链路的封装格式封装后交由后继设备(如汇案路由墨)进行认证。为保证认证信息在传输过程中的安全,可以考虑通过建立L2TP隧道或IPSec隧道提供保护。5.2.1.2.3以太网用户认证
-TTKAONYKAc=
YD/T 1658-2007
对于以太网接入用户,宽带网络接入服务器宜实现802.1x认证协议,其体内容参见附录B部分:此外也可选实现WebPortal认证方式。5.2.2数据保护
宽带网络接入服务器应当可以为用提供IP安全服务。通过建立IPSec隧道,为用户数据提供完整性、数据源身份认证、保密性以及防重放攻击的保护。应支持AH和ESP协议,支持传输模式和隧道模式,支持安全联翌手工建立和KE协议白动建立两种方式,AH协议应支持HMAC-SHA1-96验证算法,可支持HMAC-MI5-96验证算法。ESP协议应支持HMAC-SHA1-96验证算法,可支持HMAC-MD5-96验证算法。加密算法应支持空加密算法、3DES-CBC加密算法,可支持DES-CBC,AES-CBC和国家规定的标准分组加密算法。
如果宽带网络接入服务器支持动态密钥普理IKE协议,则应支持IKE的下列特性:*支持安全联盟的于工管理和IKE自动管理。在手工管理安全联盟时,可支持以十六进制配置算法所密钥,应支持任意长度字符串形式配置密钥;,支持预共享密销验证,可支持数证书验证和RSA加密Nance验证:·应支持3DES加密算法,应支持SHA1完整性验证算法,可支持MD5完整性验证算法,同时还可支持DES、AES 加密算法和国内的分组加密算法;*在IKE的DH交换中,应支持MODP-Gtoup1、MODP-Group2:阶段2交换中应支持完美前间保护特性:·阶段1应支持主模式和野蛮模式,阶段2应支持快速模式,还应支持信息交换:·可变持NAT穿越:
在IKE阶段 1中应该能指定发起模式:,在IKE的阶段2协商中,应支持ID_IPv4_ADDRESS和ID_IPV4_SUBNET身份载荷。此外,宽带网络接入服务器应能够建立L2TP隧道为用广数据提供保护,实现LAC功能特性,可选实现LNS 的功能特性。
5.2.3系统功能保护
对于用户数据,系统要提供妥善的保护手段,通过基于角色的分级访问控制机制来实现控制对此类数据的访问(包括用户、系统进程等)。5.2.4资源分配
宽带网络接入服务器应能够提供有效的控制机制(如队列调度机制、接入带宽控制)保障网络带宽的合理利用,特别是要能够抵御来白网络的各种侵占网络资源类的攻击,如Pin Flooding、TCP SYNFlooding等,要确保网络在遭受攻击的情况下仍旧能够为合法用户提供必需的数据转发服务。宽带网络接入服务器应能构抵御以下的常见攻击类型,但并不局限于这些方面。大流量攻击。大流量可以分成两种类型:一种是流经流量,即需要宽带接入服务器转发的流量,对于这类攻所,宽带网络接入服务器宜具有端口线速转发的能力,对于超过端口处理能力的流量可以采用按比例丢弃的策略:另一种流的目的地就是宽带网络接入服务器本身,这类攻击可能会占用被攻击设备的大量CPU处理时间和内存,严重的基至会造成设备崩溃,导致中断无法为用户提供正常服务。对这类攻计流量,宽带网络接入服务器宜采取过滤和丢弃策略,同时应将必要的信息(如报文类型、源地8
址以及攻击时间等)记录到安全日志中。YD/T 1658-2007
、畸形包处理。宽带网络接入服务器应能够处理各种类型的畸形包(如超长、超短包)、链路层错误包、网络层错误包、.上层协议错误包等,对于这些报文应采取丢弃策略,不能影响设备的正常功能。此外,也要保证宽带网络接入服务器自身不会产生上述类型的畸形包。,定向广播报文攻击。SMURF攻击是一种利用定向广播报文的分布式DaS攻击方法。对于此类攻击,宽带网络接入服务器应能够提供控制策略,禁止该类报文转发或者以广播形式转发,对于分布式DoS攻击,应能够供简单策略阻止这种分布式DoS攻击向其他设备扩散。,P地址哄骗。针对网络中源地址哄骗报文,宽带网络接入服务器宜实现单播逆向路径转发(uRPF)技术来过滤这类报文,禁止其在网络中传播。宽带络接入服务器应能够提供相应机制来控制同一用户建立TCP会话的数量,以防止用过消耗网络资源;而且应能够根据用户类型对能够建立的TCP会话数量进行配置。宽带网络接入服务器应实现Pfilter和IPPool功能,来控制用户接入和过滤用户数据。Pfilter提供F包过滤功能,向不同权限的用户提供不同层次的P包过滤功能,以实现不同的用户有不同的接入能力。PPooL则是指根据用户的授权从不同的IPPoolI中读取P地址给相应的用户作为用户的主叫IP地址,在相应路由器则确定对不同主叫IP地址的不同的P包的过滤能力,从而实现不同的用户有不同的接入能力。宽带网络接入服务器应实现基于ACL的用户流量控制,通过CAR操作,对用户数据流进行整形,然后侬据与用户签订的SLA协定,为用户分配带宽资源。SLA协议包含承诺速率,峰值速率,承错突发流量、峰值突发流量等,对于超出SLA协定的流量可以采取降级、丢弃等操作。5.2.5安全审计
对于用户流量,宽带网络接入服务器应能够提供流量日志能力,相关的要求参见了7.2.5节有关安全日志方面的规定。
5.2.6安全管理
要能够提供对本章节提供的安全功能和数据的管理能力,管理方式包括但不限于控制台、远程连按或网络管理接口/系统等方式。
5.2.7可信信道/路径
宽带网络接入服务器同其他设备通信的信道/路径要求可信,对于传送敏感数据(如专线用户数据)的通信同传送其他数据的通信隔离开米,可以采用物理隔离或者是VPN逻辑隔离。5.2.8系统访间
5.2.B.1访问控制列表
访问控制是一种安全手段,它控制用和系统与其他的系统和资源进行通信和交互。它能够保护系统和资源免受未经授权的访问,并且在认证过程成功结束后授权访问的等级。访问控制能够提供控制、限制、监控以及保护资源的可用性、完整性和机密性等能力。宽带网络接入服务器应能够提供基于源/目的地址、源/目的端口和协议类型等元素的过滤,支持对ICMP报文进行过滤,支持对报文优先级进行过滤,支持对报文匹配情况进行统计计数和记入日志等。5.2.8.2NAT功能(可选)
NAT可以解决IPv4地址资源缺乏的问题,同时通过NAT可以实现内网和外网的隔离,同时内网能够访间外网资源:
-ITT KAoNii KAca=
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。