YDT 1905-2009 IPv6网络设备安全技术要求—宽带网络接入服务器

IPv6网络设备安全技术要求 ——宽带网络接入服务器 1范围 本标准规定了支持口v6的宽带网络接入服务器安全技术的基本要求，包括数据平面、控制平面和管 理平面的安全威胁和安全服务要求，以及标识验证、数据保护、系统功能保护、资源分配、安全审计、 安全管理、可信信道，路径和系统访问等八个安全功能需求。本标准中出现的所有未指明的宽带网络接入 服务器、接入服务器等均特指IPv6宽带网络接入服务器。 本标准适用于支持IPv6的宽带网络接入服务器。 2规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的 修改单(不包括勘误的内容)或修订版均不适用于本标准。然而，鼓励根据本标准达成协议的各方研究 是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。 GB／T 18336．2 信息技术安全技术信息技术安全性评估准则第2部分：安全功能要求 YD／T 1162．卜2005 多协议标记交换(MPLS)技术要求 YD／T 1466—2006 IP安全协议(IPSec)技术要求 YD／T 1897-2009 互联网密钥交换协议(IKEv2)技术要求 IETERFC 1352(1992) SNMP安全协议 IETFRFC 2385(1998) 通L立TCP MD5选项保护BG哙话 IETF褂；c 2472(1998)PPP上的肼6 3术语、定义和缩略语 3．1术语和定义 下列术语和定义适用于本标准。 3．1．1 网络接入服务器Network Access Server(NAS) 是远程访问接入设备，它位于公共电话网(PSn叭sDN)与P网之间，将拨号用户接入口网，它可以 完成远程接入、实现虚拟专用拨号网(VPDN)构建企业内部hltmet等网络应用。 3．1．2 宽带网络接入服务器Broadband Network Access Server(BNAS) 是面向宽带网络应用的新型接入网关，它位于骨干网的边缘层，可以完成用户宽带的(或高速的) IP／ATMN的数据接入、实现vPN服务、构建企业内部Intranet、支持ISPI句用户批发业务等应用： 3．1．3 YDrr 1905-2009 IPv6宽带网络接入服务器IPv6 Broadband Network Access Sewer(IPv6 BNAS) 是基于Ⅱ．v6协议簇工作在]Pv6骨干网的边缘，具有Ⅱ～6用户接入管理和路由功能，面向Ⅱ’v6网络应用 的宽带网络接入服务器。 3．1．4 访问控制Access Control(AC) 防止未经授权使用资源。 3．1．5 可确认性Accountability 确保一个实体的行为能够被独一无二地跟踪。 3．1．6 授权Authorization 授予权限，包括根据访问权进行访问的权限。 3．1_7 可用性Availability 根据需要，信息允许授权实体访问和使用的特性。 3．1．8 信道Channel 系统内的信息传输通道。 3．1．9 保密性Confidentiality 信息对非授权个人、实体或进程是不可知、不可用的特性。 3．1．10 数据完整性Data Integrity 数据免遭非法更改或破坏的特性。 3．1．11 拒绝服务Denial of Service 阻止授权访问资源或延迟时间敏感操作。 3．1．12 数字签名Digital Signature 附在数据单元后面的数据，或对数据单元进行密码变换得到的数据。允许数据的接收者证明数据的 来源和完整性，保护数据不被伪造，并保证数据的不可否认性。 3．1．13 加密EncrypUon 对数据进行密码变换以产生密文。加密可以是不可逆的，在进行不可逆加密的情况下，相应的解密 过程是不能实际实现的。 3．1．14 基于身份的安全策略Identity-based security policy 2 YD厂r 1 905—2009 这种安全策略的基础是用户或用户群的身份或属性，或者是代表用户进行活动的实体以及被访问的资 源或客体的身份或属性。 3．1．15 完整性破坏l Integrity compromise 数据的一致性通过对数据进行非授权的增加、修改、重排序或伪造而受到损害。 3．1．16 密钥Key 控制加密与解密操作的一序列符号。 3．1．17 密钥管理Key management 根据安全策略产生、分发、存储、使用j更换、销毁和恢复密钥。 3．1．18 冒充Masquerade 一个实体伪装为另一个不同的实体。 3．1．19 路径Path 数据信息按特定次序经由的通路或路线。 3．1．20 抵赖Repudiation 在一次通信中涉及到的那些实体之一不承认参加了该通信的全部或一部分。 3．1．21 基于规则的安全策略Rule-based Security Policy 这种安全策略的基础是强加于全体用户的总体规则。这些规则往往依赖于把被访问资源的敏感性与 用户、用户群、或代表用户活动的实体的相应属性进行比较。 3．1．22 安全审计Security Audit 对系统的记录及活动独立的复查与检查，以便检测系统控制是否充分，确保系统控制与现行策略和 操作程序保持一致、探测违背安全性的行为，并通告控制、策略和程序中所显示的任何变化。 3．1．23 安全策略Security Policy 提供安全服务的一套准则，包括“基于身份的安全策略”与“基于规则的安全策略”等。 3．1．24 安全服务Security Service 由参与通信的开放系统层所提供的服务，它确保该系统或数据传送具有足够的安全性。