YD/T 1613-2007
基本信息
标准号: YD/T 1613-2007
中文名称:公众 IP 网络安全要求安全框架
标准类别:通信行业标准(YD)
标准状态:现行
出版语种:简体中文
下载格式:.zip .pdf
下载大小:462829
标准分类号
关联标准
出版信息
相关单位信息
标准简介
YD/T 1613-2007.Security Requirements for Public IP Network - Security Architecture.
1范围
YD/T 1613规定了公众IP网络的基本安全框架;提出了基于网络自身安全、业务提供安全、信息传递安全和信息内容安全的4层安全分层模型;阐述了在控制平面、管理平面以及数据平面适用的不同安全机制。
YD/T 1613适用于公众IP网络。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
GB 4943-2001 信息技术设备的安全
GB/T 18336-2001 信息技术安全评估准则
YD/T 1163-2001 IP网络安全技术要求一安全框架
ITU-T X.805 ( 2003 ) 端到端通信的安全体系架构
IETF RFC2401 ( 1998 )互联网协议的安全框架
3定义与缩略语
3.1定义
下列定义适用于本标准。
●访问控制 access control
防止对资源的未授权使用,包括防止以未授权方式使用某一资源。
●可 确认性accountability
确保一个实体的行为能够被独一无二地跟踪。
主动威胁active threat
这种威胁是对系统的状态进行故意的非授权的改变。
注:与安全有关的主动威胁的例子可能是:篡改消息、重发消息、插人伪消息、冒充已授权实体等。
鉴别authentication
1范围
YD/T 1613规定了公众IP网络的基本安全框架;提出了基于网络自身安全、业务提供安全、信息传递安全和信息内容安全的4层安全分层模型;阐述了在控制平面、管理平面以及数据平面适用的不同安全机制。
YD/T 1613适用于公众IP网络。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
GB 4943-2001 信息技术设备的安全
GB/T 18336-2001 信息技术安全评估准则
YD/T 1163-2001 IP网络安全技术要求一安全框架
ITU-T X.805 ( 2003 ) 端到端通信的安全体系架构
IETF RFC2401 ( 1998 )互联网协议的安全框架
3定义与缩略语
3.1定义
下列定义适用于本标准。
●访问控制 access control
防止对资源的未授权使用,包括防止以未授权方式使用某一资源。
●可 确认性accountability
确保一个实体的行为能够被独一无二地跟踪。
主动威胁active threat
这种威胁是对系统的状态进行故意的非授权的改变。
注:与安全有关的主动威胁的例子可能是:篡改消息、重发消息、插人伪消息、冒充已授权实体等。
鉴别authentication
标准图片预览
标准内容
ICS3304040
中华人民共和国通信行业标准
YD/T 1613-2007
公众IP网络安全要求
安全框架
Security Reguirements for Public IP NetworkSecurityArchitecture
2007-04-16发布
2007-10-01实施
中华人民共和国信息产业部发布前
1范围·
2规范性引用文件
3定义与缩畔语
3.1定义.
3.2缩略语
4公众止网络案全分层播型
4.1网络安全分层模型
4.2网络白身安全
4.3业务提供交全
4.4信息传速安全
4.5信息内穿安全
5公众P网络安全
s.1公众Ⅱ网络白身安全
5.2公P网络业务提供安全...下载标准就来标准下载网
5.3公众P网络俏息传递安全
5.4公IP络信息收容安全
参考文快
-TYKANT KAa
YD/T1613-2007
YD/T1613-2007
本标准差“公众P网络安企”系列标准之一。该系列标准顶』的结构及名称加下:1.公众IP网络安全要求一一安全根渠;2.公众P网络安全要求
基于数字证书的访问控制;
3.公众TP网络安全要求其于远端接人用户验证服务协议(RADIUS)的访间控制:4.公众P网络安全要求
于Diameter的施间控制
本标准自中国通信标准化协公提出并归1。本标准范草单位:信息产业部电信研究院中国中信集团公司
本标准主要起草人,马军率慈完唐永围彭俊余英泽
1范围
公众记网络安全要求一安全框架YD/T 1613-2007
交标准规定了公众P网络的基本安全柜架:提出了基十网势自身安全、业务提供安全,信息传递安会利信内穿安全的4层安全分层读型:阐逆了在控制平面、管理平面以改数据平面适用的不间安全机制。本标准浑用于公众P网络。
2规范性引用文件
下列文件中的条款追过本标准的引用而成为本标准的案款,凡是注已期的用文作,其随后所有的修改单(不包括书读内容)惑修订款均不适用丁本标准,端而,就根据本标准必成协议的各方研究是否可使月这些文件的册到新本。凡痘不注H谢的引用文件,其最新版小适月丁本标阵。GB 4943-2001
GB/T 18336-2001
YD/T J163-2001
ITU-T X805 ( 2003 )
[EIF RHC2401 (1998 )
定必与缩略语
3.1定义
下列定义适用于本标准。
信息技术设备的安全
信息技术安全评估准则
IP网络安全按容要求-安全掘架
端到端近信的安全体系案构
联网协议的安全据架
,访控制accessronto
防止对赞娠的木提权使用,包括防止以关投权方式使用某一资源,可劲认性accaumahilicy
确误一个实体的行为能够被独一无此限原。主办activethrea[
这种威融是对系统的状态进行放意的非授权的改变。计:与安个有关的主断戒职的例1可能品:算改消息、亚获谨息,通人伪请息,当充已控权实体年。,鉴别authentication
见“数据原疫鉴别”与“对等实体鉴别”注:在本标准中,当涉改效据完整性时不用术“鉴,”,而与用术语“数据完整性”。:鉴别信息uthentieationinformulian用以法立点份有效性的信息:
.授权thamizaan
授于权限,包括危许苯于访可控的访问:用P:uvailuhijlity
根没权实体的说求可鼓访间与使剂密文ipherlux
TYKANh KAa-
YD/T1613-2007
经加密处理心产生的数据,求语义内容足不可历的,社:密文本身可以是加密达的载人,这时快产生超加密验出。明文clearvext
可理解的数据、基语实内溶是可用的。保率性confidentiality
这一性质使信息不泄露给非控权的个人,实体或进程,不为其所用。数据完整性dataintegrity
这一性质表明教据没有速受以非投权方式所作的算改或破怀,数据原发鉴别datanriginauthenGicaticm确认接收到的数据来源是所要求的,谢decipherment
与一个可逆的加密过程和对应的反过程。服务汇绝denial of seryics
阻止对资源的授权访问或拖延时限染作。密码学
是研究秘密通信的原理和破译密码方运的一门[科学,包含密编制学和密码分析学两方而内容,数宁笼名disillsigrulure
附加在数据单元上的一些数据,或忌对数握单元所作的密码变换(见“密码学”):这仲数据或变换充许数据单元的揽收者用以确认数据单元来源和数据单元的完整性、并保护数据,正被人(例如接性者)进行伪造
:密enciplheament
数据进行举码变美(见“潮码学”)以产尘密文注:加密可以是不可的,在这神情况下,相应的样密近程使不能实陷实现了。,基于身份的安全第略idenity-basedsecuritypalicy必利安金策略能其础是用户或用户联的实份战同性,者是代装用户进行活动的实件必邀识间的资源或体的身份或性。
密key
控配加密与解密操作的一序列符号。密钥管理keymanagment
在一种安全策略指!下密的产生,存储、分配,测除、归档及成用,+含充masquerade
一个实倒装为另一个不同的实体。公证notanizarion
再信赖的第二疗对数活进行登记,以便保证数据的特征如内容、原发,时间、交付等的性确忆否致收变。
鼓动威胜passivethrear
这种成胁是对信息的非授权池麟,但并未改变系统裴态。口令password
探缔的整到情息,通案由学符率成,对等实体鉴别peerentityauthenticarion2
确认有关的对等实体是应需的实体::特理安全phyyical seuurily
为防菌督感的和要外的感威融而对资源越供物理保护所采联的措。:私率privaey
YD/T1613-2007
一种个人权限,它控制和影响与这些个体有关的哪信息可以被收集、存储以及这些信息可以被谁泄爵和泄爵谁。
注:由丁法一术语沙及到恶人权限,不可精确地于以限,因此,除了作火要求安全保长的一神动机外,应免便用、
抵 repudiatian
在一次通信中涉收到的实任之一不承认垒加了该通信的全部或部分。无连接光整性ConncetionlesyIrllegriLy实单份数倦包是否被悠改进行检查,而对数据包约到达顾序不作要求。使接完整注ConnectionInlegrity为逆接提供数规完整性,检测个完整数包序列内狂杰数据的你改、插人、删除或重放。并于规则的安全策齐nilebased securirypalicy这神安全贫略的基础感随加于全体用户的总体规则。这些规则注往依丁把被访资源的敏感性与用户,用户群或代表户适动的实快的相应用性进行比较安全r计sccuriryaudit
发系统的记求及活动独达的东查与检查,以便检测系统挖制是否充分,确保系统空制与现行策略和操作程序你持致,探测违背余性的行为,升通告控制、策略利程序中所显示的江问变化。安全策略5excuFritypnlicy
据供安全股务的套准则(见*苯份的安全策咯”与“基于税则的安全策略”),注:一种完备的安全策略势总影及超OSI范用之外的许多耳独.安全服务securilyse
山垒与通信的开效系统的层所提供的服务,它确保该系续或数据化送具有足够的安全性,3.2缩略语
下列缩略语适用于本标低。
AuthcnticationAuthurizuiunAccuunlingBullerin Boards System
Dylamic Host Canftgunutiun PrurocolDmain Name System
Dcnial of Service
Challengc Aurhenticatian ProtocolExlemsibte Auchentication ProtocolTile Transfer Frotocol
Tntermel Key Exchiange
Incermet Prctocol
Mediu Aecens Control
Paxswcrd Authencication Froroco]5inple Network Managenient Prntoc.nlTY KANh KAa-
鉴别、投权、计载
包子公告系统
动态主机置协议
城名系练
扣绝脏务攻击
质前认证办议
扩展认证办议
文性传输办设
密销交
互联网协议
炼质访控制
密码认证协议
荫单网管协议
YD.T1613·2007
Viniual Feivate Nelwork
WorldWideWcb
4公众[P网络安全分层模型
4.1网肇安全分局插型
透拟专用网
方维两
根据公众P网络的特点,安全研究可以分成网络自身安全,业务提供安全,信息传避安全以及信息内容安全4个层面,如图1所示,图中,网络层包括各类数据转发没备,如路出器、交换机及其逆接划路等,为传送用户信息据供-二个长输平合:务提供层括提供相务的网络说备,如接人证系统、计费系统等,它为用提供业务平台;信息传递安全则是要通过使用安全机制来保障用广有效信息在网落」的传输是安全的,要考虑用户激据的完整性,不可否认性、机密性、可用性等特性;信息内容安全剂尽要从救据源束控制用广传递的信息内容,过滤不符合国家相关电信法律条文约京以及垃邮件、垃圾短信、病毒等内容。从俊型可以看出,网络白身安全和业务提供安全是上退用户信息传追安全的单石,只有酬传输网销是安全的,才能整保障业务误面为用户提供业务安全、信也内安全!电何条例规定内变,垃划即件、垃拟链信、前或等)
信息详通资个(包括券生,不可否试性,列出性、可们性等
业务现交垒(包抗传晓互频原业务,分组作舌非务、VPH业多.每
两略户求全(血后网结设高,链陷等:图作公众户网究全分层模型
4.2网络自身安全
网络自身安全包括网终叮布性与生存性。网路可非性与生存性依书环境安全、物理安金、节点安全,链路安全、拓扑安全:系统安余带方面来保障。这单承载与业务网是期有自己节点,催路、赶拉利控付的网络。
网自身安全应在控制、管理和数据尽面保隔。在控制层面,应在控制息访问控制、控制信息鉴别、控制信息可用性,控制信息不可抵构,控制信息通信安全和控制信息完整性、私性等方面保障安全。在管理层面,应在管理信息问控制、管理信息鉴期、管理信息可用性、管理信息不则抵赖,管理信息通信安全和管理信息完整性、私牵性等方面保障安全。在数据了面,应在资源可用性方面供库安全,确保授权用户不会因为网络直受选冲再而造度网络不片。4.3、业务提供安全
网络服务安余包括服务可控性与服务可用性,此外还应符合电信监管部门对电信业务的监管要求。服务可控性依带服务接人安全、服务防否认,服务防攻志等方面来保降。服务可用性与承凝业务网络的可靠性以及维护能力等相关。服务可以是两络提供的患拟专线、话音业务、VPN业务、ntcrmct业务等。业务提似安全应在控制层面和管理么面保障。在控制层面,应在控制倍息谢问控制,控制信息鉴别,控制借息可同性,控制信总不可抵换,轻制信息通估安全知控制信息究整性、必渐性等方面保障安全。在督理层函应在管联信忘访叫控制、管理信息鉴别、管理信息叫月性、管理信息不可抵赖,管理信息逆信安个和督理信息完整性、密性等方面探障安全4.4信息传递安全
YD/T 1613-2007
信息独递安合包括信息完整性,保密性、不可否认性和可用性:信包完整性以依带报实整别剂例如哈希算达等实保障;信息保密性可以依案加密桃制以及旁钢分发等来保障:借息不可咨认性可以带克数疗悠名等技术来保障,
4.5值总内容安全
信息内容安全在本标性中主要是针对有告信息的控制。有害信息主要是指传递的信息十包含中华人民共和国电情条例第五1七条所规定的内容。第五十七条说定不得利用电信网制作、复制、发布、传含有违应国家先法、他去国家安全,泄露用家保谢,点爱国家政权,坏国家统:,损害国家荣登和利益,焕动民优恨、民族鼓现,被环安定团结等内容。有丧借息控制是指网结应来用足技术和普理于段防止有害信息在网络上泛溢和扩散,如垃吸邮件、BBS不良信息、病毒、非法P电话等。5公众I沪网络安全
5.1公众IP网络自身安全
公众P网络的自与安全可以从控制、管理和数据一个层丽末保降、包括网络的时靠性与生存性两个力面,依赖丁公众卫P网络的物理安全,并在此基础上应用访问控制、盗别、信息个可抵赖、信息保率,通信实全和通信究整性等机制。5.1.1公众IP网络物理安全
公众正网络的物理安全是整个通信网络系统安全的前提,它通带包括环境安全和设备安全等方面,筛益以下内容:
—.-公众IP网络物理环境安全:公众网络节点设备安全:
—确公众1P网略缆线及本改安全:5.1.1.1公IP网结物理环境安全
公众业网络环境安全要求规池设备设对所问环境温度、湿度、电醛、防盗、防没等环境的求::公众IP网络虚阅范物理环境安全要求。5.1.1.2公众IP网练节点设备安全公众IP网矫节点设备安全要求规范公众P网矫上运行的局端设备的安全,如陷出器、交换机、服务器注那:公众卫网结节点设备的安全要求可以态劳相应的设备安全标准。5.1.1.3公众IP网结线多布放零全网线续持性是指线缴传输距离,传趋质盘等特性。网络线缆布放是指物率略山要求,理放深皮,普道要求等。
公象P网等应对缆线特性以及布放原则提出要求,防止物埋递略的损坏、物理通路的资所,对物理通路的攻士(「犹等)
5.1.2控制平面
5.1.2.1访问控制
YKASNT KAA
YD/T 1613-2007
访问控制是防止对资源的术极权使用,包据附止以表授权方式使月某一资源。公众止网访问控制通带与认证·起由AAA功能实现。
公众IP网络控制平面的访间控制一般依糖于验证技术,振据验证结是求碳定是否免许访间系统或者是系统根据对报文的验证来决定总否将从设备和网格中获得的控制危良用于设备自身/网络的控制。在控制平而要确保只有授权的用户和网络设誉才能够访问网络的轻制信息,如路比信息5.1.2.2监别
别是保证使用服务的用户定经过授权的,末经受权的用户不能使用服务,公P网络上可以采用基丁端口的802.1X认证,基于端口链路层地址绑定的认证,基于用户名和口今的PAP、CHAP、EAIP等网缩层接入认证,基于用户名和口令的高么协议认证等方式,认证系统服务器端可以采用RADIUS、DIAMETER等AAA协议实现。公众P网络控制平面的认证检查控制乎而访问者(包括设备和人员)的身份,确定诉问者身份的合法性,以及发送控制信启设备的身份合法性,5.1.2.3可用性
公众P网格的可用性是挡网络准足够的资源保证用户谢问能够实施,月前对网络可用性响比较人的改市丰要是拒绝服务攻击,通过大量的非投权活动致使系统的资娠被大至占用,从而投权片户无决访问或不能顺利访间累统。
公众网终司用性要求在控制乎而确保网络投备能感从信任的器实体接收控制信息,需要采联相应的措施抵再来白外部的拒绝服务攻击和路由抖动,5.1.2.4信息不可抵赖
信息不可抵熟烂,是指使得信息发送者不否认对信息的发送、偿息接收者不可否认对信息的接收的特性。公众P网络可以使用数字签名来提供不可抵赖性服务。公众卫网络在控面不可抵赖要求对控制信息的使用动改变长凸以造溯的,通常使用日志来保存用户和设备对网路/设备的访间信息,5.1.2.5信息保密
公众P网络信息保密是指通信实体的通信内穿不应当嵌非授权用广获得知解读,套控制平面,控制数据要避免非慢权用广和攻击者获得和解读,需要提供保密性保护的数据包括存在于网绪没务上的控制信息以及在网络上传输的控制信息,司以通过所密接术实现5.1.2.6通信安全
确保控数据尺在两个授权的实休之间交立,不会被转移到非授权的第三方实体或者是中迄截取。6.1.2.7数据完整性
控制平而的控制数括要避免非授权用户和攻击者的改,需要提供整性保争的效数扰包括存在于网络设备「的控制信息以及在网绍土传输的控制信息,如路由信息,DNS信息等,5.1.2.8私密性
保证控制平山内你识网络设备或延链路的信息不被非投权访问洛或设各得和使历,包括P地证MAC施正。DNS城名等。
5.1.3管理平面
5.1.3.1访问控制
网络管理半面的访间控制只金投权的人员和设备对网络设备知通信链路实范管理活动。对丁设备和通信渐路的管用般疤含下列方式:通过SNMI或其他的网路管理协议实现的网落管理活动:一一通过本地端门实现的管理游动,如控制台接山:通过远整网资连挖登求到设备来实施的宽理活动,YD/T1613-2007
访闹控制要求在以上实现的臂理活动中对用产利管理员行标识,并三拟抵杯识和验证的结果末确定用户的访问权限,访问权限包括理员可以执行的操作,如读操作、写操作或者是读写操作,以及可以访问的对象。
5.1.3.2盗别
鉴别就是检查对网等设备和签路实随网塔暂理清动的人员或者设备的身份,鉴别可以作为访问控制的依据,通过简单的用户名,口令进行验证5.1.3.3可用性
可用性就是要确保授权的用户管理负其有对路由器、交换机和链路实现随时管理的能力,能够抵衡被动攻击(如护绝服务攻击)和主动攻末(如更收或删除管理认证信息,算理员标识和密码),日前对网络管理数错可用性影响比较大的改击主要是拒绝服务攻主,通过大量的非授权活动致使系统的资断被大整占用,从而授权用户无法访问或不能顺利访问系统。5.1.3.4信息不可抵赖
不可抵赖要求系统能够提供口志来证明用广对通信设备的访问活动确实装生,该记录可以作为管理活动的莞证。在公众卫网络中可以通过日志对用产的肾理活动进行记录从而证明用户的访问行为,5.1.3.5信息保害
网络管塑数据不应该被非授权的用广或攻出者获得和解议,这对于保持网络的安全是非营重要的一个方面:网络普理数据包拉:
..皱管埋的路山器上存在的能受、故障,安企、性能知记账数据一备份在服务器或其他存储介质上的管理数据;在网络中传输的肾数据:
对于保存在网络设备和在网络中传辅的营理数据,需要划强访间控制和验证管理来保证数据的保密性,可以结合加密技术来实规。5.1.3.6通信安全
在通过远程力式对网络设备和通信斑路进行管理时:需费避免非景权用户和改动者签改管理数据。要确保所理教据流只在片理者和被管再名之间父,不会被转移到第三方实体或书是被市途献敢,5.1.3.7数据完整性
础保网络设备中的比能流息以收在网络中传的管理信息不获非投权的朋户或攻击者破还和够改可以通过加强访问控制和验证暂理,并目结合加技术来保证数据的完整性,5.1.3.B私密性
私密性保证嵌管设备利誉理案统的标识信息不被非法获待,包括地址、DNS域名、MAC层地让、:普理员和户名和口令等。
私密性保护通常采用加密的市告来实现,物延随高和逻担端离比可以空现境私保扩:5.1.4数据平面
公众网络教携节面的安全特性重点在于资源的可用性方面、要确保接权用户对网络的访尚不会固为网终妥到改击询中断。此外也要应用相应的访司控制策略限制用户数贴访两络,及们护制用户的攻击款据进人网将,
ETYKASNGY KAcA
YD/T1613-2007
52公众IP网络业务提供安全
H前公众IP网终提供两类基本服务,即提供Intemer接人所必须的基础服务(如AAA、DHCP和DNS等)和附加增俏服务(如VPN服务)运索商也所以依托公众TP网络为用广提供例如功tetnet传统业务(www、E-mail、P等)、分组语音业等、流媒休业务等公众正网络业务握供安全可以从控制和管两个层面保障,包括公众IP网络务可择性与融务可术性
52.1控制平面
52.1.1访问控账
业务层面的访问控部要确保网络设备接收的与业务相关的控超信息来自授权的用广和设备,要避免非授权的用整所业务控制信息。逐过用产标识、1令等认证信息保证只有授权的用户能够谈用该项业务,参考见5.1.2.1。
$.2.1.2鉴别
公众P网器业务控制严面的将别检查控制平而访问者(包扫设备知人员)的份,确定访户者身份的合法性,改及发送控制信息设备的身份合病性。需考见5.1.2.2.5.2.1.3信息不可抵赖性
公众P网络业务并放和使用必须有一定的日志要求,即在:“段时间内用户对业务的惊用必纸足有记录并可追查。此外也可根据此数据进行计费。参考见5.1.2.4。5.2.1.4情息保密
公众正网络业务控制信息零避免非授权用户和攻击者获行和解读,特别显要整免用户业务认证倍息(好用片名和口令」不效非授权用户盗取。参考则5.1.2.5。5.2.1.5通信安全
确保业务控制数据只在两个授效的实体之间交工,不会获转称到非授极的第一方实体或各被中途起联
5.2.1.6数据完鉴性
避负与业务相关的整制信总被非授权用广利改击者的售改,需要提供完究整性保护的数据包括存在于网络设备上的控制后息以及在网络上.传愉的控信息。5.2.2普平面
5.2.2.1访问控制
业务管理平面需要实现严格的访间控删,则一个用户或攻击券就可能非授权访句其他的业务网,择目实施攻市剂碰坏活动。
5.2.2.2鉴别
业务网管平面票求刘访间收务管理数据的用户实规认证,并将该认证作为访间控的一部分:认证获术考5.1.2.2.
5.2.2.3信息不可抵赖性
对丁网管月户的操作和管理活动,系统要能够双用广的操作过行记录,架供日志文性。5.2.2.4信息保密
用户通常是强还未受护的网落访心网告系统,因此对网管系统的通信要据保数括保密性保护,可以采用加密的沙法来实现数据保密性。5.2.2.5通信天全
YD/T1613-2007
确误管理数据只在两个授权的实体之闻交,不会被转移刻非授权的第三方实休或者被中途截取。5.2.2.6数据完整性
避免与业务树关的管理借息被非授权用户利政左者基改或者被中途截取,妥提供究整性保护的数据包括疗在下网络议备上的管理信息以及在网络上传物的控制信息,如管理员标识、口令等。5.3公交IP网络信息传邀安全
在公众F网络传递信息(主要指用户数握信息)要保证信息的完帮性、保密性、不日否认性和用性。在技术医面涵益以下内容:加案技术、密销管事技术、数字签名技术,完整性检查、数字证书和信息流节计等。
5.3.1公众IP网络缴保密性要求
数据保盘性是指信息对丁末授权的个人、实体或进程是不可知、不可用的特性,公众止网络数握保能性要求可以调过加密的于段米实现。公众网终可以提供FSP等协议以及加密算达提供数据保编性服务,公众正网络保密性要求还与密钥普理技术关。密朗管理分对称加密技术密钥管理机制与非对称加密技术密钥管型机制。
在公众卫网络上可以使用互联网密朗交换协议(IKB)以及证书机制等方式性密钾管理。5.32公众1P网络数据不可否以性要求数据不可否认性是指他得信息发送者不可否认对信息的发送、信息接收者不可否认对偿息的接收的特性。
公众正网绍可以使用数字签名、目态等来提供不可否认性服券:5.3.3公众IP网络数据完整性要求数据完整性指接收收到的数括与原始定义的数据严格相同,即效据不能被非摄权地修格改或删除,包括数据止确性、致性和有效性。公众网络数据完整性括无连按完整性与防重放改击(影分序列完整性)。
公众业网可以使用AH等协议提供教据完整性服务。5.4公求IP网络伯息内容安全
5.4.1过游要求
过婆是指通过读取源地址、月的地址、源端口、日的端口、协议、数据内窄等信息来判定记录、挡截、转发等动作,
公双网殊可以通过设置过滤系统例如防火境等设备米实现过滤。5.42公众IP网信息过滤系统接人要求公众网络通谢帝要接人信总安全主部门的信息过滤系统,公众I网应规范对外接口来接人借息过滤系研。T.YT FANhi KAa-
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国通信行业标准
YD/T 1613-2007
公众IP网络安全要求
安全框架
Security Reguirements for Public IP NetworkSecurityArchitecture
2007-04-16发布
2007-10-01实施
中华人民共和国信息产业部发布前
1范围·
2规范性引用文件
3定义与缩畔语
3.1定义.
3.2缩略语
4公众止网络案全分层播型
4.1网络安全分层模型
4.2网络白身安全
4.3业务提供交全
4.4信息传速安全
4.5信息内穿安全
5公众P网络安全
s.1公众Ⅱ网络白身安全
5.2公P网络业务提供安全...下载标准就来标准下载网
5.3公众P网络俏息传递安全
5.4公IP络信息收容安全
参考文快
-TYKANT KAa
YD/T1613-2007
YD/T1613-2007
本标准差“公众P网络安企”系列标准之一。该系列标准顶』的结构及名称加下:1.公众IP网络安全要求一一安全根渠;2.公众P网络安全要求
基于数字证书的访问控制;
3.公众TP网络安全要求其于远端接人用户验证服务协议(RADIUS)的访间控制:4.公众P网络安全要求
于Diameter的施间控制
本标准自中国通信标准化协公提出并归1。本标准范草单位:信息产业部电信研究院中国中信集团公司
本标准主要起草人,马军率慈完唐永围彭俊余英泽
1范围
公众记网络安全要求一安全框架YD/T 1613-2007
交标准规定了公众P网络的基本安全柜架:提出了基十网势自身安全、业务提供安全,信息传递安会利信内穿安全的4层安全分层读型:阐逆了在控制平面、管理平面以改数据平面适用的不间安全机制。本标准浑用于公众P网络。
2规范性引用文件
下列文件中的条款追过本标准的引用而成为本标准的案款,凡是注已期的用文作,其随后所有的修改单(不包括书读内容)惑修订款均不适用丁本标准,端而,就根据本标准必成协议的各方研究是否可使月这些文件的册到新本。凡痘不注H谢的引用文件,其最新版小适月丁本标阵。GB 4943-2001
GB/T 18336-2001
YD/T J163-2001
ITU-T X805 ( 2003 )
[EIF RHC2401 (1998 )
定必与缩略语
3.1定义
下列定义适用于本标准。
信息技术设备的安全
信息技术安全评估准则
IP网络安全按容要求-安全掘架
端到端近信的安全体系案构
联网协议的安全据架
,访控制accessronto
防止对赞娠的木提权使用,包括防止以关投权方式使用某一资源,可劲认性accaumahilicy
确误一个实体的行为能够被独一无此限原。主办activethrea[
这种威融是对系统的状态进行放意的非授权的改变。计:与安个有关的主断戒职的例1可能品:算改消息、亚获谨息,通人伪请息,当充已控权实体年。,鉴别authentication
见“数据原疫鉴别”与“对等实体鉴别”注:在本标准中,当涉改效据完整性时不用术“鉴,”,而与用术语“数据完整性”。:鉴别信息uthentieationinformulian用以法立点份有效性的信息:
.授权thamizaan
授于权限,包括危许苯于访可控的访问:用P:uvailuhijlity
根没权实体的说求可鼓访间与使剂密文ipherlux
TYKANh KAa-
YD/T1613-2007
经加密处理心产生的数据,求语义内容足不可历的,社:密文本身可以是加密达的载人,这时快产生超加密验出。明文clearvext
可理解的数据、基语实内溶是可用的。保率性confidentiality
这一性质使信息不泄露给非控权的个人,实体或进程,不为其所用。数据完整性dataintegrity
这一性质表明教据没有速受以非投权方式所作的算改或破怀,数据原发鉴别datanriginauthenGicaticm确认接收到的数据来源是所要求的,谢decipherment
与一个可逆的加密过程和对应的反过程。服务汇绝denial of seryics
阻止对资源的授权访问或拖延时限染作。密码学
是研究秘密通信的原理和破译密码方运的一门[科学,包含密编制学和密码分析学两方而内容,数宁笼名disillsigrulure
附加在数据单元上的一些数据,或忌对数握单元所作的密码变换(见“密码学”):这仲数据或变换充许数据单元的揽收者用以确认数据单元来源和数据单元的完整性、并保护数据,正被人(例如接性者)进行伪造
:密enciplheament
数据进行举码变美(见“潮码学”)以产尘密文注:加密可以是不可的,在这神情况下,相应的样密近程使不能实陷实现了。,基于身份的安全第略idenity-basedsecuritypalicy必利安金策略能其础是用户或用户联的实份战同性,者是代装用户进行活动的实件必邀识间的资源或体的身份或性。
密key
控配加密与解密操作的一序列符号。密钥管理keymanagment
在一种安全策略指!下密的产生,存储、分配,测除、归档及成用,+含充masquerade
一个实倒装为另一个不同的实体。公证notanizarion
再信赖的第二疗对数活进行登记,以便保证数据的特征如内容、原发,时间、交付等的性确忆否致收变。
鼓动威胜passivethrear
这种成胁是对信息的非授权池麟,但并未改变系统裴态。口令password
探缔的整到情息,通案由学符率成,对等实体鉴别peerentityauthenticarion2
确认有关的对等实体是应需的实体::特理安全phyyical seuurily
为防菌督感的和要外的感威融而对资源越供物理保护所采联的措。:私率privaey
YD/T1613-2007
一种个人权限,它控制和影响与这些个体有关的哪信息可以被收集、存储以及这些信息可以被谁泄爵和泄爵谁。
注:由丁法一术语沙及到恶人权限,不可精确地于以限,因此,除了作火要求安全保长的一神动机外,应免便用、
抵 repudiatian
在一次通信中涉收到的实任之一不承认垒加了该通信的全部或部分。无连接光整性ConncetionlesyIrllegriLy实单份数倦包是否被悠改进行检查,而对数据包约到达顾序不作要求。使接完整注ConnectionInlegrity为逆接提供数规完整性,检测个完整数包序列内狂杰数据的你改、插人、删除或重放。并于规则的安全策齐nilebased securirypalicy这神安全贫略的基础感随加于全体用户的总体规则。这些规则注往依丁把被访资源的敏感性与用户,用户群或代表户适动的实快的相应用性进行比较安全r计sccuriryaudit
发系统的记求及活动独达的东查与检查,以便检测系统挖制是否充分,确保系统空制与现行策略和操作程序你持致,探测违背余性的行为,升通告控制、策略利程序中所显示的江问变化。安全策略5excuFritypnlicy
据供安全股务的套准则(见*苯份的安全策咯”与“基于税则的安全策略”),注:一种完备的安全策略势总影及超OSI范用之外的许多耳独.安全服务securilyse
山垒与通信的开效系统的层所提供的服务,它确保该系续或数据化送具有足够的安全性,3.2缩略语
下列缩略语适用于本标低。
AuthcnticationAuthurizuiunAccuunlingBullerin Boards System
Dylamic Host Canftgunutiun PrurocolDmain Name System
Dcnial of Service
Challengc Aurhenticatian ProtocolExlemsibte Auchentication ProtocolTile Transfer Frotocol
Tntermel Key Exchiange
Incermet Prctocol
Mediu Aecens Control
Paxswcrd Authencication Froroco]5inple Network Managenient Prntoc.nlTY KANh KAa-
鉴别、投权、计载
包子公告系统
动态主机置协议
城名系练
扣绝脏务攻击
质前认证办议
扩展认证办议
文性传输办设
密销交
互联网协议
炼质访控制
密码认证协议
荫单网管协议
YD.T1613·2007
Viniual Feivate Nelwork
WorldWideWcb
4公众[P网络安全分层模型
4.1网肇安全分局插型
透拟专用网
方维两
根据公众P网络的特点,安全研究可以分成网络自身安全,业务提供安全,信息传避安全以及信息内容安全4个层面,如图1所示,图中,网络层包括各类数据转发没备,如路出器、交换机及其逆接划路等,为传送用户信息据供-二个长输平合:务提供层括提供相务的网络说备,如接人证系统、计费系统等,它为用提供业务平台;信息传递安全则是要通过使用安全机制来保障用广有效信息在网落」的传输是安全的,要考虑用户激据的完整性,不可否认性、机密性、可用性等特性;信息内容安全剂尽要从救据源束控制用广传递的信息内容,过滤不符合国家相关电信法律条文约京以及垃邮件、垃圾短信、病毒等内容。从俊型可以看出,网络白身安全和业务提供安全是上退用户信息传追安全的单石,只有酬传输网销是安全的,才能整保障业务误面为用户提供业务安全、信也内安全!电何条例规定内变,垃划即件、垃拟链信、前或等)
信息详通资个(包括券生,不可否试性,列出性、可们性等
业务现交垒(包抗传晓互频原业务,分组作舌非务、VPH业多.每
两略户求全(血后网结设高,链陷等:图作公众户网究全分层模型
4.2网络自身安全
网络自身安全包括网终叮布性与生存性。网路可非性与生存性依书环境安全、物理安金、节点安全,链路安全、拓扑安全:系统安余带方面来保障。这单承载与业务网是期有自己节点,催路、赶拉利控付的网络。
网自身安全应在控制、管理和数据尽面保隔。在控制层面,应在控制息访问控制、控制信息鉴别、控制信息可用性,控制信息不可抵构,控制信息通信安全和控制信息完整性、私性等方面保障安全。在管理层面,应在管理信息问控制、管理信息鉴期、管理信息可用性、管理信息不则抵赖,管理信息通信安全和管理信息完整性、私牵性等方面保障安全。在数据了面,应在资源可用性方面供库安全,确保授权用户不会因为网络直受选冲再而造度网络不片。4.3、业务提供安全
网络服务安余包括服务可控性与服务可用性,此外还应符合电信监管部门对电信业务的监管要求。服务可控性依带服务接人安全、服务防否认,服务防攻志等方面来保降。服务可用性与承凝业务网络的可靠性以及维护能力等相关。服务可以是两络提供的患拟专线、话音业务、VPN业务、ntcrmct业务等。业务提似安全应在控制层面和管理么面保障。在控制层面,应在控制倍息谢问控制,控制信息鉴别,控制借息可同性,控制信总不可抵换,轻制信息通估安全知控制信息究整性、必渐性等方面保障安全。在督理层函应在管联信忘访叫控制、管理信息鉴别、管理信息叫月性、管理信息不可抵赖,管理信息逆信安个和督理信息完整性、密性等方面探障安全4.4信息传递安全
YD/T 1613-2007
信息独递安合包括信息完整性,保密性、不可否认性和可用性:信包完整性以依带报实整别剂例如哈希算达等实保障;信息保密性可以依案加密桃制以及旁钢分发等来保障:借息不可咨认性可以带克数疗悠名等技术来保障,
4.5值总内容安全
信息内容安全在本标性中主要是针对有告信息的控制。有害信息主要是指传递的信息十包含中华人民共和国电情条例第五1七条所规定的内容。第五十七条说定不得利用电信网制作、复制、发布、传含有违应国家先法、他去国家安全,泄露用家保谢,点爱国家政权,坏国家统:,损害国家荣登和利益,焕动民优恨、民族鼓现,被环安定团结等内容。有丧借息控制是指网结应来用足技术和普理于段防止有害信息在网络上泛溢和扩散,如垃吸邮件、BBS不良信息、病毒、非法P电话等。5公众I沪网络安全
5.1公众IP网络自身安全
公众P网络的自与安全可以从控制、管理和数据一个层丽末保降、包括网络的时靠性与生存性两个力面,依赖丁公众卫P网络的物理安全,并在此基础上应用访问控制、盗别、信息个可抵赖、信息保率,通信实全和通信究整性等机制。5.1.1公众IP网络物理安全
公众正网络的物理安全是整个通信网络系统安全的前提,它通带包括环境安全和设备安全等方面,筛益以下内容:
—.-公众IP网络物理环境安全:公众网络节点设备安全:
—确公众1P网略缆线及本改安全:5.1.1.1公IP网结物理环境安全
公众业网络环境安全要求规池设备设对所问环境温度、湿度、电醛、防盗、防没等环境的求::公众IP网络虚阅范物理环境安全要求。5.1.1.2公众IP网练节点设备安全公众IP网矫节点设备安全要求规范公众P网矫上运行的局端设备的安全,如陷出器、交换机、服务器注那:公众卫网结节点设备的安全要求可以态劳相应的设备安全标准。5.1.1.3公众IP网结线多布放零全网线续持性是指线缴传输距离,传趋质盘等特性。网络线缆布放是指物率略山要求,理放深皮,普道要求等。
公象P网等应对缆线特性以及布放原则提出要求,防止物埋递略的损坏、物理通路的资所,对物理通路的攻士(「犹等)
5.1.2控制平面
5.1.2.1访问控制
YKASNT KAA
YD/T 1613-2007
访问控制是防止对资源的术极权使用,包据附止以表授权方式使月某一资源。公众止网访问控制通带与认证·起由AAA功能实现。
公众IP网络控制平面的访间控制一般依糖于验证技术,振据验证结是求碳定是否免许访间系统或者是系统根据对报文的验证来决定总否将从设备和网格中获得的控制危良用于设备自身/网络的控制。在控制平而要确保只有授权的用户和网络设誉才能够访问网络的轻制信息,如路比信息5.1.2.2监别
别是保证使用服务的用户定经过授权的,末经受权的用户不能使用服务,公P网络上可以采用基丁端口的802.1X认证,基于端口链路层地址绑定的认证,基于用户名和口今的PAP、CHAP、EAIP等网缩层接入认证,基于用户名和口令的高么协议认证等方式,认证系统服务器端可以采用RADIUS、DIAMETER等AAA协议实现。公众P网络控制平面的认证检查控制乎而访问者(包括设备和人员)的身份,确定诉问者身份的合法性,以及发送控制信启设备的身份合法性,5.1.2.3可用性
公众P网格的可用性是挡网络准足够的资源保证用户谢问能够实施,月前对网络可用性响比较人的改市丰要是拒绝服务攻击,通过大量的非投权活动致使系统的资娠被大至占用,从而投权片户无决访问或不能顺利访间累统。
公众网终司用性要求在控制乎而确保网络投备能感从信任的器实体接收控制信息,需要采联相应的措施抵再来白外部的拒绝服务攻击和路由抖动,5.1.2.4信息不可抵赖
信息不可抵熟烂,是指使得信息发送者不否认对信息的发送、偿息接收者不可否认对信息的接收的特性。公众P网络可以使用数字签名来提供不可抵赖性服务。公众卫网络在控面不可抵赖要求对控制信息的使用动改变长凸以造溯的,通常使用日志来保存用户和设备对网路/设备的访间信息,5.1.2.5信息保密
公众P网络信息保密是指通信实体的通信内穿不应当嵌非授权用广获得知解读,套控制平面,控制数据要避免非慢权用广和攻击者获得和解读,需要提供保密性保护的数据包括存在于网绪没务上的控制信息以及在网络上传输的控制信息,司以通过所密接术实现5.1.2.6通信安全
确保控数据尺在两个授权的实休之间交立,不会被转移到非授权的第三方实体或者是中迄截取。6.1.2.7数据完整性
控制平而的控制数括要避免非授权用户和攻击者的改,需要提供整性保争的效数扰包括存在于网络设备「的控制信息以及在网绍土传输的控制信息,如路由信息,DNS信息等,5.1.2.8私密性
保证控制平山内你识网络设备或延链路的信息不被非投权访问洛或设各得和使历,包括P地证MAC施正。DNS城名等。
5.1.3管理平面
5.1.3.1访问控制
网络管理半面的访间控制只金投权的人员和设备对网络设备知通信链路实范管理活动。对丁设备和通信渐路的管用般疤含下列方式:通过SNMI或其他的网路管理协议实现的网落管理活动:一一通过本地端门实现的管理游动,如控制台接山:通过远整网资连挖登求到设备来实施的宽理活动,YD/T1613-2007
访闹控制要求在以上实现的臂理活动中对用产利管理员行标识,并三拟抵杯识和验证的结果末确定用户的访问权限,访问权限包括理员可以执行的操作,如读操作、写操作或者是读写操作,以及可以访问的对象。
5.1.3.2盗别
鉴别就是检查对网等设备和签路实随网塔暂理清动的人员或者设备的身份,鉴别可以作为访问控制的依据,通过简单的用户名,口令进行验证5.1.3.3可用性
可用性就是要确保授权的用户管理负其有对路由器、交换机和链路实现随时管理的能力,能够抵衡被动攻击(如护绝服务攻击)和主动攻末(如更收或删除管理认证信息,算理员标识和密码),日前对网络管理数错可用性影响比较大的改击主要是拒绝服务攻主,通过大量的非授权活动致使系统的资断被大整占用,从而授权用户无法访问或不能顺利访问系统。5.1.3.4信息不可抵赖
不可抵赖要求系统能够提供口志来证明用广对通信设备的访问活动确实装生,该记录可以作为管理活动的莞证。在公众卫网络中可以通过日志对用产的肾理活动进行记录从而证明用户的访问行为,5.1.3.5信息保害
网络管塑数据不应该被非授权的用广或攻出者获得和解议,这对于保持网络的安全是非营重要的一个方面:网络普理数据包拉:
..皱管埋的路山器上存在的能受、故障,安企、性能知记账数据一备份在服务器或其他存储介质上的管理数据;在网络中传输的肾数据:
对于保存在网络设备和在网络中传辅的营理数据,需要划强访间控制和验证管理来保证数据的保密性,可以结合加密技术来实规。5.1.3.6通信安全
在通过远程力式对网络设备和通信斑路进行管理时:需费避免非景权用户和改动者签改管理数据。要确保所理教据流只在片理者和被管再名之间父,不会被转移到第三方实体或书是被市途献敢,5.1.3.7数据完整性
础保网络设备中的比能流息以收在网络中传的管理信息不获非投权的朋户或攻击者破还和够改可以通过加强访问控制和验证暂理,并目结合加技术来保证数据的完整性,5.1.3.B私密性
私密性保证嵌管设备利誉理案统的标识信息不被非法获待,包括地址、DNS域名、MAC层地让、:普理员和户名和口令等。
私密性保护通常采用加密的市告来实现,物延随高和逻担端离比可以空现境私保扩:5.1.4数据平面
公众网络教携节面的安全特性重点在于资源的可用性方面、要确保接权用户对网络的访尚不会固为网终妥到改击询中断。此外也要应用相应的访司控制策略限制用户数贴访两络,及们护制用户的攻击款据进人网将,
ETYKASNGY KAcA
YD/T1613-2007
52公众IP网络业务提供安全
H前公众IP网终提供两类基本服务,即提供Intemer接人所必须的基础服务(如AAA、DHCP和DNS等)和附加增俏服务(如VPN服务)运索商也所以依托公众TP网络为用广提供例如功tetnet传统业务(www、E-mail、P等)、分组语音业等、流媒休业务等公众正网络业务握供安全可以从控制和管两个层面保障,包括公众IP网络务可择性与融务可术性
52.1控制平面
52.1.1访问控账
业务层面的访问控部要确保网络设备接收的与业务相关的控超信息来自授权的用广和设备,要避免非授权的用整所业务控制信息。逐过用产标识、1令等认证信息保证只有授权的用户能够谈用该项业务,参考见5.1.2.1。
$.2.1.2鉴别
公众P网器业务控制严面的将别检查控制平而访问者(包扫设备知人员)的份,确定访户者身份的合法性,改及发送控制信息设备的身份合病性。需考见5.1.2.2.5.2.1.3信息不可抵赖性
公众P网络业务并放和使用必须有一定的日志要求,即在:“段时间内用户对业务的惊用必纸足有记录并可追查。此外也可根据此数据进行计费。参考见5.1.2.4。5.2.1.4情息保密
公众正网络业务控制信息零避免非授权用户和攻击者获行和解读,特别显要整免用户业务认证倍息(好用片名和口令」不效非授权用户盗取。参考则5.1.2.5。5.2.1.5通信安全
确保业务控制数据只在两个授效的实体之间交工,不会获转称到非授极的第一方实体或各被中途起联
5.2.1.6数据完鉴性
避负与业务相关的整制信总被非授权用广利改击者的售改,需要提供完究整性保护的数据包括存在于网络设备上的控制后息以及在网络上.传愉的控信息。5.2.2普平面
5.2.2.1访问控制
业务管理平面需要实现严格的访间控删,则一个用户或攻击券就可能非授权访句其他的业务网,择目实施攻市剂碰坏活动。
5.2.2.2鉴别
业务网管平面票求刘访间收务管理数据的用户实规认证,并将该认证作为访间控的一部分:认证获术考5.1.2.2.
5.2.2.3信息不可抵赖性
对丁网管月户的操作和管理活动,系统要能够双用广的操作过行记录,架供日志文性。5.2.2.4信息保密
用户通常是强还未受护的网落访心网告系统,因此对网管系统的通信要据保数括保密性保护,可以采用加密的沙法来实现数据保密性。5.2.2.5通信天全
YD/T1613-2007
确误管理数据只在两个授权的实体之闻交,不会被转移刻非授权的第三方实休或者被中途截取。5.2.2.6数据完整性
避免与业务树关的管理借息被非授权用户利政左者基改或者被中途截取,妥提供究整性保护的数据包括疗在下网络议备上的管理信息以及在网络上传物的控制信息,如管理员标识、口令等。5.3公交IP网络信息传邀安全
在公众F网络传递信息(主要指用户数握信息)要保证信息的完帮性、保密性、不日否认性和用性。在技术医面涵益以下内容:加案技术、密销管事技术、数字签名技术,完整性检查、数字证书和信息流节计等。
5.3.1公众IP网络缴保密性要求
数据保盘性是指信息对丁末授权的个人、实体或进程是不可知、不可用的特性,公众止网络数握保能性要求可以调过加密的于段米实现。公众网终可以提供FSP等协议以及加密算达提供数据保编性服务,公众正网络保密性要求还与密钥普理技术关。密朗管理分对称加密技术密钥管理机制与非对称加密技术密钥管型机制。
在公众卫网络上可以使用互联网密朗交换协议(IKB)以及证书机制等方式性密钾管理。5.32公众1P网络数据不可否以性要求数据不可否认性是指他得信息发送者不可否认对信息的发送、信息接收者不可否认对偿息的接收的特性。
公众正网绍可以使用数字签名、目态等来提供不可否认性服券:5.3.3公众IP网络数据完整性要求数据完整性指接收收到的数括与原始定义的数据严格相同,即效据不能被非摄权地修格改或删除,包括数据止确性、致性和有效性。公众网络数据完整性括无连按完整性与防重放改击(影分序列完整性)。
公众业网可以使用AH等协议提供教据完整性服务。5.4公求IP网络伯息内容安全
5.4.1过游要求
过婆是指通过读取源地址、月的地址、源端口、日的端口、协议、数据内窄等信息来判定记录、挡截、转发等动作,
公双网殊可以通过设置过滤系统例如防火境等设备米实现过滤。5.42公众IP网信息过滤系统接人要求公众网络通谢帝要接人信总安全主部门的信息过滤系统,公众I网应规范对外接口来接人借息过滤系研。T.YT FANhi KAa-
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。