YDT1486-2006 承载电信级业务的IP专用网络安全框架

YDT1486-2006 承载电信级业务的IP专用网络安全框架 范围 本标准规定了承载电信级业务的IP专用网络的安全框架，包括三个层面的三个平面，即基础设施层业务层和应用层的用户、控制和管理三个平面，从访问控制和鉴别等8个安全维度对基础设施层和业务层的每个平面的安全性进行了规定。本标准没有规定应用层的安全性。 本标准适用于各种承载电信级业务的IP专用网络。 2 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。 ITU-T X.805端到端通信系统安全框架 3缩略语 下列缩略语适用于本标准。 AH Authentication Header鉴别报文头协议 BGP Border Gateway Protocol边界网关协议 CNM Customer Network Management客户网络管理 CPU Central Processing Unit中央处理器 DIAMETER Diameter AAA Protocol一种验证、授权和计账协议 DHCP Dynamic Host Configuration Protocol动态主机配置协议 DNS Domain Name System域名系统 DoS Denial of Service拒绝服务攻击 EAPEGP Extensible Authentication Protocol External Gateway Protocol扩展鉴别协议 ICV Integrity Check Value外部网关协议完整性检查值 IGP Internal Gateway Protocol IMS IP Multimedia Subsystem内部网关协议 IP 多媒体子系统 IP Internet Protocol IPsec IP Security互联网协议 IP 安全协议 IS-IS Intermediary System to Intermediary System MAC Message Authentication Code中间系统到中间系统协议 报文鉴别码 MLD Multicast Listener Discovery组播侦听者发现协议 概述 IP技术逐渐成为电信业务的基本承载技术。对于承载电信级业务的IP网络，为了保证电信业务的正常开展，网络被限定只提供一种或几种业务，为电信业务提供电信级的可靠性和可用性。但是IP 网络承载电信业务还存在一些不足，其中IP网络安全性需要提商。目前IP网络上存在各类安全机制，分别处于不同层面和角度来考虑安全问题，并获得不同的安全特性（如完整性和保密性）。本标准采用 ITU-T X.805“端到端通信系统安全框架”的模型方法，对电信级IP 承载网安全性和采用的安全技术进行规定。 rrU-T X.805 定义了一个完整的端到端通信系统的安全框架，定义了三个网络层次：应用层、业务层和基础设施层，并为每个网络层次定义了控制、管理和用户三个平面。对每个层次的每个平面都分别人8 个方面考虑其安全性： 访问控制：只有合法的用户才被授权访问；鉴别：确定用户的身份是真实的；不可抵赖：保证有合适的证据证明事件的存在；数据保密性：保证数据不被泄露和或泄露后被解读；通信安全：保证传输的数据的安全性；完整性：保证数据不被篡改；可用性：保证业务获得适当的资源；隐私：不泄露身份和标识信息。 本标准将 X.805 安全框架应用到电信级 IP 承载网络的三个网络层次： 基础设施层，由路由器等转发设备组成的网络；业务层，主要是传输类业务，如VPN和 AAA 业务，本标准只规定了 VPN 业务；应用层，转发设备上实现业务和传输的应用，考虑到应用的丰富性，本标准没有对这部分内容作出规定。 每个层次上都有用户、控制和管理三个平面，在每个平面上都规定了访问控制、保密性和完整性等8 个方面的安全功能。 5 基础设施层 5.1 用户平面 5.1.1 访问控制 在用户平面，基础设施层次的访问控制分为两个方面，第一个方面是基础设施本身（如路由器）对用户数据的访问；第二个方面是用户报文访问转发基础设施，如路由器的数据转发功能。 对于第一个方面，对于电信级的承载网络，用户选择网络业务时是依赖于对运营商的信任作为基础.