GB T 29234-2012 基于公用电信网的宽带客户网络安全技术要求.pdf
《GB T 29234-2012 基于公用电信网的宽带客户网络安全技术要求.pdf》由会员分享,可在线阅读,更多相关《GB T 29234-2012 基于公用电信网的宽带客户网络安全技术要求.pdf(20页珍藏版)》请在麦多课文档分享上搜索。
1、ICS 33.040.99 M 19 GB 卢万二汗;:.-:,;且中华人民共和国国家标准Gl/T 29234-2012 基于公用电信网的宽带客户网络安全技术要求Security technical requirements for broadband customer network based on tenecommunication network 2012-12-31发布2013-06-01实施r需要飞中华人民共和国国家质量监督检验检菇总局也立忖仨中国国家标准化管理委员会Q(.11 GB/T 29234-2012 -. _._ 目。自本标准按照GB/T1. 1-2009给出的规则起草。
2、请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由中华人民共和国工业和信息化部提出。本标准由中国通信标准化协会归口。本标准起草单位:工业和信息化部电信研究院。本标准主要起草人z程强、敖立、刘谦、陆洋。I 1 范围基于公用电信网的宽带客户网络安全技术要求GB/T 29234-2012 本标准规定了基于公用电信网的宽带客户网络的安全威胁、安全需求、安全机制和安全算法、设备认证证书轮廓以及安全功能。本标准适用于电信网络提供的业务和应用通过网关在宽带客户网络内部实现的情况,对仅在宽带客户网络内部设备之间信息流通的情况也可参考使用。2 规范性引用文件下列文件对于本文件
3、的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单适用于本文件。YD/T 1448-2006 基于公用电信网的宽带客户网络总体技术要求ITU-T X. 509信息技术开放系统互连号码篝z公钥和属性鉴别框架(Informationtechnology Open systems interconnection-The directory: Public-key and attribute certificate frameworks) ITU-T X. 805 提供端到端通信的系统的安全体系(Security archi te
4、cture for systems providing end-to-end communications) ITU-T X. 1121 移动端到端数据通信的安全技术框架(Frameworkof security technologies for mobile end-to-end data communications) Broadband Forum TR-069 Amendment 1 (2006) CPE W AN管理协议(CPEWAN Management Protocol) 3 术语和定义下列术语和定义适用于本文件。3. 1 授权证书authorization certificat
5、e 用于为对象授权的一个签名物。它至少包括一个发放者和一个对象。它可以包括有效性条件、授权和委托信息。通常,证书可以分为三类z身份证书、属性证书和授权证书。身份证书用于映射对象的名字和公钥,属性证书用于映射对象的名字和授权,授权证书用于映射对象的授权和公钥。获得一个授权证书或属性证书可以代表对象从发放者获得所有或部分权限。3.2 身份证书ID certificate 一段信息,其中至少声明了授权发放者名称、证书对象身份、该对象公钥、证书有效期、序号和认证中心的数字签名。3.3 设备证书device certificate 身份证书的一种,在宽带客户网络中,它是一个符合ITU-TX.509版本3
6、的证书,用于认证宽带客GB/T 29234-2012 户网络设备。它可以由宽带客户网络内部CA发放,也可由外部CA发放。3.4 加盐salt 就是在已执行哈希运算的密码中插入一个随机数字。这一策略有助于阻止潜在的攻击者利用预先计算的字典进行攻击。3.5 Smurf攻击smurf attack 一种拒绝服务攻击的方法,通过伪装成受害主机的源IP地址发送目的地址为广播地址的PING包,利用大量的PING响应攻击受害者。3.6 LAND攻击LAND attack_/;二 一种拒绝服务攻击的方法J通过自受害主机发送源和目前跑址相同设为受害主机地址的IP报文,导致受害主机连续地向版发送响应报文。3. 7
7、 4 2 CHAP:质询握手认DoS:拒绝服务(DenialoFPE:功能处理实体(FunctionalProcessing Entity) FTP:文件传输协议(FileTransfer Protocol) HTTP:超文本传送协议(HypertextTransfer Protocol) HTTPS:超文本安全传送协议(HypertextTransfer Protocol Secure) ICMP:互联网控制消息蜘议(lnternetControl Message Protocol) IGMP:互联网组管理协议(lnternetGroup Management Protocol) ID:身份
8、(ldentity)IP:互联网协议(lnternetProtocoD IPoE:以太网承载IP(lPover Ethernet) IPTV:IP电视(lPTelevision) LAN:局域网(LocalArea Network) MAC:媒质访问控制I(Media Access ControD MGCP:媒体网关控制协议(MediaGateway Control ProtocoD NAE:网络接入实体(NetworkAccess Entity) NAT:网络地址翻译(NetworkAddress Translation) NCE:网络核心功能实体(NetworkCore Entity) P
9、AP:密码认证协议(PasswordAuthentication ProtocoD PPP:点到点协议(Pointto Point ProtocaD PPPoE:以太网承载PPP(PPPover Ethernet) PPPoA:ATM承载PPP(PPPover ATM) QoS:服务质量(QuaHtyof Service) RBAC:基于角色的访问控制(Role-basedAccess ControD SIP:会话初始协议(SessionInitiation ProtocoD SNMP:简单网络管理协议(SimpleNetwork Management Protocol) SSH:安全壳协议(
10、SecureShell ProtocoD SSID:服务集标识(ServiceSet identifier) SSL:安全套接宇层(SecureSocket Layer) TCP:传输控制协议(TransmissionControl ProtocoD TLS:传送层安全(TransportLevel Security ) UDP:用户数据报协议(UserDatagram ProtocoD VoIP:IP承载的语音(Voiceover IP) WAN:广域网(WideArea Network) WLAN:元钱局域网(WirelessLocal Area Network) 5 宽带害户网络的安全概
11、述5. 1 宽带窑户网络的参考模型GB/T 29234-2012 YD/T 1448-2006给出了基于公用电信网的宽带客户网络的参考模型,如图1所示。在图1中z宽带客户网络网络接入功能实体(NAE) 网络核心功能实体(NCE) 圄1宽带害户网络参考模型NAE为宽带客户网络提供接人功能z功能处理实体(FPE) 3 GB/T 29234-2012 NCE负责完成宽带客户网络的核心功能,包括z宽带客户网络内部设备的联网、远程管理、QoS、安全等z一-FPE负责IPj非IP的转换,以及信令、媒体格式的转换;一EUTE由用户直接使用,提供UI界面。5.2 宽带窑户网络安全的特点宽带客户网络位于网络的末
12、端,混合了有线和元线联网技术,并且直接给用户提供使用界面,具有以下独特的安全特点:使用各种不同的传输媒质s混合有线和元钱的联网技术z一一不同的客户有不同的应捧景和安全要求:一一用户可能随身携带络端;三一一宽带客户网络设备多种多样,安全能力各不相同。威胁飞之, , 6. 1 概述l / , 川宽带客户Y阴络N以由有线联网和元钱联网或其1昆合组成飞因此宽带客户网路面白的邹全威胁包括了有线网络和阵线网络。宽带客户网络的安全威胁可以升为两类沮用的安全威胁和移动环境的安全威胁。!1 1? / / / t / 6.2 通用安全威胁 6.2. 1 窃昕怦露飞, 在开放的闸络环境下最传输的数据导致信息胁泄露a
13、6.2. 当一个通信链叫时链路失效。例如DoS攻击进山产工队脚咽。/ 6.2.3 数据修改/注入二号仨二/当未授权的通信实体为了劫持数据连接或恶意发送数据而对传输的数据进行插入、修改或删除时产生该威胁。其中未授权的实体可以是人员、程序或计算机等设备。例如DoS攻击或中间人(man-inthe-middle)攻击可以产生该威胁。6.2.4 未授权访问访问控制是限制和控制通过通信链路对业务/服务的访问的能力。当非法的实体通过仿冒合法用户获得对业务/服务的访问权时产生该威胁。试图进行未授权访问的实体应被鉴别或认证。例如,暴露的WAN口的网关管理接口容易收到非授权访问威胁。6.2.5 抵赖当发送者或接
14、收者否认曾经发送或接收某消息的事实时产生该威胁。4 GB/T 29234-2012 6.2.6 数据包错误转发该威胁是数据流中的数据包并未向预定的端点转发或被预定端点收取。例如在家庭网关中的路由表的配置错误可导致该威胁。6.3 移动环璋的安全威胁6.3. 1 窃昕/泄露在移动通信环境中,由于无线信号传输的开放性,截获发送的信号并解码其中的数据更加容易。例如,宽带客户网络内未经加密传输的WLAN数据有可能被窃听。6.3.2 通信阻断/通信拥塞对于使用无线传输技术的网络,该威胁更易实施。该威胁有两种不同的方式z拥塞终端设备和拥塞网元设备。通过前者可以仿冒和干扰合法的元线终端,通过后者可以仿冒和干扰
15、带有元线接口的网元设备,阻断正常的通信。例如WLAN的AP会受到此种威胁。6.3.3 移动终端丢失由于移动终端被用户四处携带,丢失终端将导致存储其中的信息的泄露或损失。6.3.4 通信意外中断由于移动终端有限的电源供应或通信环境不稳定,该威胁可能造成数据丢失。7 宽带害户网络的安全需求7. 1 概述考虑到宽带客户网络混合了有线和元线网络技术,宽带客户网络中的安全需求与ITU-TX. 1121 中描述的安全需求类似。另外,加入了ITU-TX. 805中对通信流安全的要求。7.2 宽带害户网络安全需求7.2. 1 数据保密性数据保密性保护数据防范未经授权的泄露。数据保密性应确保数据内容元法被未授权
16、的实体读取。加密、访问控制和文件权限都是用来提供数据保密性的常用方法。7.2.2 数据完整性数据完整性应确保数据的正确性和精确性。数据应可以防范未授权的修改、删除、创建和复制,并可以提供这些未授权活动的指示。7.2.3 认证认证过程是指鉴别用户身份与其所声称的是否一致或是确保消息的来源与其宣称的发送者是否一致。有两种不同的认证z一一实体认证z一一消息认证。5 GB/T 29234-2012 实体认证确保实体身份的有效性,消息认证确保消息的来源的有效性。实体认证用于证实参与通信的实体的身份,消息认证证实参与通信的实体所声明的身份(例如,个人、设备、服务或应用并且提供手段防止实体试图假冒或非法重放
17、过去的通信过程。认证可以通过使用ID证书和宽带客户网络设备证书实现。7.2.4 访问控制或授权访问控制防止未授权地使用网络资源。访问控制应保证只有获授权的个人或设备才可访问网络、存储的信息、信息流、业务或应用。另外,基于角色的访问控制可提供不同的访问级别来精细化个人或设备被授权可以访问的内容和执行的操作。有三种不同的授权方式z一一使用ACL授权z使用认证服务器授权z一一使用授权证书或属性证书和身份证书。访问控制或授权可以通过使用授权证书和ACL完成。在宽带客户网络的人口点的访问控制和授权可以通过宽带客户网络网关中的防火墙实现。防火墙的主要目的是阻止来自公众网络的未授权的访问。防火墙常用于阻止未
18、授权的因特网用户访问连接到因特网的私有网络,例如,内联网(Intranet)。所有进出内联网的消息都要经过防火墙,阻止那些不符合特定的安全准则或安全策略的消息。7.2.5 不可抵赖性不可抵艘性通过各种网络相关的活动的证据用于防止个人或实体否认曾经对数据进行过特定的操作。这些证据包括委托或许诺的证据、数据来源的证据、拥有权的证据、资源使用的证据等。不可抵赖性提供的证据可以提供给第三方用于证明某个事件或行为曾经发生过。7.2.6 通信流安全通信流安全确保信息流仅在授权的通信端点间流动。在宽带客户网络环境下通信流安全应通过宽带客户网络网关实现。7.2.7 隐私安全隐私安全保护有利于防止通过观察网络活
- 1.请仔细阅读文档,确保文档完整性,对于不预览、不比对内容而直接下载带来的问题本站不予受理。
- 2.下载的文档,不会出现我们的网址水印。
- 3、该文档所得收入(下载+内容+预览)归上传者、原创作者;如果您是本文档原作者,请点此认领!既往收益都归您。
下载文档到电脑,查找使用更方便
5000 积分 0人已下载
下载 | 加入VIP,交流精品资源 |
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- GB 29234 2012 基于 公用 电信 宽带 客户 网络 安全技术 要求