YD_T 2852-2015移动增值业务公共安全框架和安全功能.pdf

ICS 33.030M 30YD中华人民共和国通信行业标准YD/T2852-2015移动增值业务公共安全框架和安全功能Technical requirement of security common functions formobilevalueaddedservices2015-04-30发布2015~07-01实施中华人民共和国工业和信息化部发布 YD/T 285220156适合SEC_CF的TLS特征6.1概述TLS(TransportLayerSecurity）在通信双方之闻提供一个安全可靠的传输机制。它还可以依照不同的实现方式提供单向或双向认证。TLS工作于客户端-服务器模式，发起方称为客户端，响应方称为服务器，大多数情况下，TLS客户端可以用公钥证书认证TLS服务器，使用公钥证书或共享密钥（PSK-TLS）还可能实现双向认证。TLS可以用来为承载层之.上的协议，例如HTTP协议，提供安全保护，目前的TLS规范要求操作在可靠的传输协议之上，例如TCP协议。本标准目的是提供一个共同的TLS协议实现，使其适用于所有OMA业务引擎，制定一个安全且可互操作的共同的TLS实现规范，而无需在每个OMA引掌的规范中再分别定义其相关的安全需求，本标准还定义了OMA引擎如何通过HTTP代理实现TLS隧道，6.22TLS特征OMATLSProfile基于规范TLS1.0（见IETFRFC2246)。所有遵从OMA的TLSProfile实现应遵从TLS1.0规范。本标准制定了TLS1.0和其他可和TLS1.0共用的规范（例如PSK-TLS)的一个具体应用。PSK-TLS的实现应遵从PSK-TLS规范。本节的规范性描述是现有TLS和其相关规范的扩展，本节所有的术语须放在TLS1.0及其相关规范的上下文中去理解。6.2.1支持TLS的加密工具服务器应支持以下加密工具：TLS_RSA_WITH_3DES_EDE_CBC_SHA:—TLS_RSA_WTTH_AES_EDE_CBC_SHA。客户端应支持以下加密工具：TLS_RSA_WTTH_AES_EDE_CBC_SHA;-TLS_RSA_WTTH_NULL_SHA。客户端宜支持TLS_RSA_WITH_3DES_EDE_CBC_SHA6.2.2支持PSK-TLS的加密工具如果要支持PSK-TLS，应满足以下关于加密工具的需求服务器应支持下列加密工具：——TLS_PSK_WITH_AES_128_CBC_SHA:-—TLS_PSK_WITH_3DES_EDE_CBC_SHA.客户端应支持以下加密工具之TLS_PSK_WITH_AES_128_CBC_SHA;—TLS_PSK_WITH_3DES_EDE_CBC_SHA。6.2.3会话重起客户端和服务器应支持TLS中定义的会话重起。会话生命期应长一些（例如12小时），具体应参照TLS1.0中的相关指导。7 YD/T 285220156.2.4服务器认证客户端和服务器须支持TLS1.0服务器认证。服务器须支持WAP证书和ICRLProfile中所述的X.509服务器证书。客户端应遵从IETFRFC2818（3.1节）所述的服务器标识指导。另外，客户端应参考关于处理X.509服务器证书的指导，包括中描述的末知属性和扩展的处理。服务器应使用应用于WAP的X.509服务器证书，也可同时使用X.509服务器证书（免IETFRFC2459)。如果支持PSK-TLS，客户端和服务器之间的双向互认证可使用共享密实现。6.2.5客户端认证服务器应支持客户端认证。如果支持客户端认证，服务器须支持使用于WAP的X.509的客户端证书和X.509客户证书（见IETFRFC2459)。服务器还须在证书请求中包含RSA证书类型（即，rsa_sign）（见IETFRFC2246)，且支持RSA用户证书和签名的验证。RFC2459的X.509证书。客户端应支持RSA客户证书和签名。CA应发放WAP的X.509客户证书，如果支持PSK-TLS，客户端和服务器的互认证可以用共享密钥实现，前提是共享密钥只由两个端点共享。6.2.6STLS道使用TLS协议的客户端和服务器之间可能有HTTP代理。为了保证有代理介入时的端到端的传输层安全，发起服务器和客户端之间应使用隧道。客户端在使用HTTP代理时应支持TLS隧道。为了建立TLS随道，客户端应使用HTTPCONNECT方法，见IETFRFC2817。此外，客户端只能在一个原始TCP连接上建立隧道，不可在已升级（upgraded）的连接上建立隧道，见IETFRFC2817。HTTP代理应支持IETFRFC2817所描述的HTTPCONNECT方法。注意，在一个TLS隧道上可能介入多个HTTP代理服务器，包括不支持HTTP的代理服务器。