YD_T 2095-2010基于公用电信网的宽带客户网络安全技术要求.pdf

ICS 33.040.99M 19中华人民共和国通信行业标准YD/T 2095-2010基于公用电信网的宽带客户网络安全技术要求Security technical requirements for broadband customer networkbased on telecommunication network2010-12-29 发布2011-01-01实施中华人民共和国工业和信息化部发布 YD/T 2095-2010目次前言1 范围·2规范性引用文件3 术语与定义4 缩略语·5宽带客户网络的安全概述·5.1宽带客户网络的参考模型·5.2宽带客户网络安全的特点6宽带客户网络面临的安全威胁·6.1概述6.2通用安全威胁6.3移动环境的安全威胁·7宽带客户网络的安全需求7.1概述·7.2宽带客户网络安全需求·7.3安全需求与安全威胁的关系8宽带客户网络的安全机制概述8.1加密·8.2数字签名8.3访问控制·8.4数据完整性·8.5认证·8.6密钥管理9宽带客户网络的安全算法·10设备证书轮廊10.1概述10.2设备认证框架·10.3证书轮廓·10.4证书管理11宽带客户网络安全功能要求。11.1内部联网安全11.2IP访问安全11.3用户认证和业务安全·11.4设备管理安全12安全性能要求·12参考文献131 YD/T 2095-20103）宽带客户网络的用户访问公网。认证方式由客户与服务器进行约定，如口令、数字证书和生物特征识别等。·互认证- Key 交换客户数据保护输入公网或用户安全参数设置宽带客户网络安全参数设置客户端服务器图2用户认证机制的范畴用户通过公网远程访问宽带客户网络：用户需要通过宽带客户的安全网关的认证。在宽带客户网络内部：用户要通过认证服务器的认证，认证服务器可以位于安全网关上，也可是宽带网络内部的一台单独的服务器。宽带客户网络的用户访问公网：宽带客户网络的安全网关起认证中继作用。8.5.3设备认证机制与用户认证类似，宽带客户网络的设备认证采用客户/服务器模型。设备认证有以下两种情形：1）宽带客户网关与远程管理服务器关联获得管理配置信息；2）终端设备与宽带客户网关关联并产生交互，认证方式由客户与服务器进行约定，如口令、数字证书等。8.5.4安全级别为了规范宽带客户网络的用户认证，可以根据业务的不同，规定安全级别和认证机制，如表3所示。表3安全级别与认证机制安全级别第一级第二级第三级，提供身份证明～提供身份证明无身份证明－客户认证－相互认证相互认证－单要素认证-单要素认证，密钥交换最低安全·对所存储的用户秘密进－对所存储的用户秘密进行单－对所存储的用户秘密进行单向哈希、加密或加需求行读保护和写保护向哈希、加密或加盐（Salt）盐 (Salt)·双要素认证·在认证协议中通过共享密钥保护敏感数据或结果数据8.6密钥管理密钥管理功能是用来生成、发放、传输、删除和销毁密码密钥，密钥管理功能可以在宽带客户网络的网关上实现。8 YD/T 2095-20109宽带客户网络的安全算法宽带客户网络的安全算法包括用于认证、签名、加密等过程的密码算法。10设备证书轮廓10.1概述本章规定了宽带客户网络中的设备认证，提出认证证书轮廓并规定证书的管理方法。10.2设备认证框架宽带客户网络的设备证书框架分为两种：一种是内部发放证书的模型，另一种是外部发放证书的模型。前者在宽带客户网络中包含一个内部证书机构CA，它通常在安全网关上实现，内部CA产生密钥对，并向宽带客户网络中的设备发放数字证书。后者的情形是：所有宽带客户网络中的设备都使用外部证书机构CA发放的数字证书。10.3证书轮廓宽带客户网络的设备证书轮廓遵从ITU-TX.509的规定。基本证书域包括：版本号、序列号、签名、发放者、有效性、对象、对象公开密钥信息等。由于宽带客户网络的设备计算能力有限，因此证书轮廓只包含基本证书域，不包含扩展证书域。10.4证书管理宽带客户网络的证书机构CA可以是安全网关。证书的管理涉及到设备证书的发放、查询、更新、归档、废除和有效期限管理等。11宽带客户网络安全功能要求11.1内部联网安全11.1.1有线联网技术对于家庭内部和外部网络共享媒质的有线联网技术（例如电力线、同轴电缆等），应在宽带客户网络与公众网络线路的边界处进行滤波，防止家庭内部通信信号泄露到公众网络中。11.1.2无线联网技术对于WLAN、蓝牙等使用无线媒质的联网技术，应支持通信双方链路层的互认证和数据加密功能。对于支持WLAN的宽带客户网关，还应支持对其WLAN无线信号的发送功率和工作信道的设定以及SSID隐藏的功能。11.2 IP 访问安全11.2.1防火墙功能概述作为宽带客户网络与公众网络的IP边界设备，宽带客户网关应支持IP防火墙，对内部IP网络进行隔离和保护。安全等