YDT1613-2007 公众IP网络安全要求--安全框架

范 围 本标准规定了公众IP网络的基本安全框架;提出了基于网络自身安全、业务提供安全、信息传递安 全和信息内容安全的4层安全分层模型;阐述了在控制平面、管理平面以及数据平面适用的不同安全机制。 本标准适用于公众IP网络。 2 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的 修改单 (不包括勘误的内容)或修订版均不适用于本标准。然而，鼓励根据本标准达成协议的各方研究 是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。 GB4943一2001 信息技术设备的安全 GB fr18336一2001 信息技术安全评估准则 YD厅H63一200l lP网络安全技术要求— 安全框架 rr1)一x·805(2003) 端到端通信的安全体系架构 正TFRFC2401 (1998) 互联网协议的安全框架 3 定义与缩略语 3.1 定义 下列定义适用于本标准。 访问控制accesscontrol 防止对资源的未授权使用，包括防止以未授权方式使用某一资源。 可确认性accountabillty 确保一个实体的行为能够被独一无二地跟踪。 主动威胁activethreat 这种威胁是对系统的状态进行故意的非授权的改变。 注:与安全有关的主动威胁的例子 可能是 :篡 改消息、重发消息 、插人伪消息 、冒充 已授权实体等。 鉴别authentication 见 “数据原发鉴别”与 “对等实体鉴别”。 注:在本标准中，当涉及数据完整性时不使用术语 “鉴别，，，而另用术语 “数据完整性”。 鉴别信息 authentication in6〕rnlation 用以建立身份有效性的信息。 授权 authonzation 授予权限，包括允许基于访问权的访问。 可用性availability 根据授权实体的请求可被访问与使用。 经加密处理而产生的数据，其语义内容是不可用的。 注:密文本身可以是加密算法的输人，这时候产生超加密输出。 明文 cle别rtext 可理解的数据，其语义内容是可用的。 保密性confidentialty 这一性质使信息不泄露给非授权的个人、实体或进程，不为其所用。 数据完整性dataintegrity 这一性质表明数据没有遭受以非授权方式所作的篡改或破坏。 数据原发鉴别dataoriginauthentication 确认接收到的数据来源是所要求的。 解密decipherme nt 与一个可逆的加密过程相对应的反过程。 服务拒绝denialofs如 ce 阻止对资源的授权访问或拖延时限操作。 密码学 是研究秘密通信的原理和破译密码方法的一门科学，包含密码编制学和密码分析学两方面内容。 数字签名digitalsignature 附加在数据单元上的一些数据，或是对数据单元所作的密码变换 (见 “密码学”)。这种数据或变 换允许数据单元的接收者用以确认数据单元来源和数据单元的完整性，并保护数据，防止被人 (例如接 收者)进行伪造。 加密enciPherme nt 对数据进行密码变换 (见 “密码学”)以产生密文。 注:加密可以是不可逆的，在这种情况下，相应的解密过程便不能实际实现了。 基于身份的安全策略记即tity一basedsecuritypolicy 这种安全策略的基础是用户或用户群的身份或属性，或者是代表用户进行活动的实体以及被访问的 资源或客体的身份或属性。 密钥key 控制加密与解密操作的一序列符号。 密钥管理keyman agement 在一种安全策略指导下密钥的产生、存储、分配、删除、归档及应用。 冒充masquerade 一个实体伪装为另一个不同的实体。 公证 notarization 由可信赖的第三方对数据进行登记，以便保证数据的特征如内容、原发、时间、交付等的准确性不 致改变。 被动威胁passivetllreat 这种威胁是对信息的非授权泄露，但并未改变系统状态。 确认有关的对等实体是所需的实体。 物理安全physicalsec而ty 为防范蓄意的和意外的威胁而对资源提供物理保护所采取的措施。 私密Privacy 一种个人权限，它控制和影响与这些个体有关的哪些信息可以被收集、存储以及这些信息可以被谁 泄露和泄露给谁。 注:由于这一术语涉及到私人权限 ，不可能精确地予 以限定 ，因此，除了作 为要求 安全保护 的一种 动机外 ，应避免使 用 。 抵赖rePudiation 在一次通信中涉及到的实体之一不承认参加了该通信的全部或一部分。 无连接完整性Connectionlesslntegrity 对单份数据包是否被修改进行检查，而对数据包的到达顺序不作要求。 连接完整性Connectionlntegrity 为连接用户提供数据完整性，检测一个完整数据包序列内任意数据的修改、插人、删除或重放。 基于规则的安全策略rule一basedsecuritypollcy 这种安全策略的基础是强加于全体用户的总体规则。这些规则往往依赖于把被访问资源的敏感性与 用户、用户群或代表用户活动的实体的相应属性进行比较。 安全审计securityaudit 对系统的记录及活动独立的复查与检查，以便检测系统控制是否充分，确保系统控制与现行策略和 操作程序保持一致、探测违背安全性的行为，并通告控制、策略和程序中所显示的任何变化。 安全策略secuntypolicy 提供安全服务的一套准则 (见 “基于身份的安全策略”与 “基于规则的安全策略”)。 注 :一种 完备 的安全策略势必涉及超 出051范围之外的许多事项 。 安全服务sec明tyso ee 由参与通信的开放系统的层所提供的服务，它确保该系统或数据传送具有足够的安全性。 3.2 缩略语 下列缩略语适用于本标准。 AAA AuthenticationAuthonz ati0nAcconnting 鉴别、授权、计费 BBS BulletinBoard sS”tem 电子公告系统 0毗P D”咖cHostConfigurationprofocol 动态主机配置协议 DNS D呻 nName system 域名系统 DoS Denialofse币ce 拒绝服务攻击 cHAp ch日lengeAu小enticationprotocol 质询认证协议 EAP ExtensibleAuthenticationR0tocol 扩展认证协议 可P FileTransfer Protocol 文件传输协议 4 公众IP网络安全分层模型 4.1 网络安全分层模型 根据公众护网络的特点，安全研究可以分成网络自身安全、业务提供安全、信息传递安全以及信息 内容安全 4个层面，如图1所示。图中，网络层包括各类数据转发设备，如路由器、交换机及其连接链 路等，它为传送用户信息提供一个传输平台;业务提供层包括提供相关业务的网络设备，如接人认证系 统、计费系统等，它为用户提供业务平台;信息传递安全则是要通过使用安全机制来保障用户有效信息 在网络上的传输是安全的，主要考虑用户数据的完整性、不可否认性、机密性、可用性等特性;信息内 容安全则是要从数据源来控制用户传递的信息内容，过滤不符合国家相关电信法律条文约束以及垃圾邮 件、垃圾短信、病毒等内容。从该模型可以看出，网络自身安全和业务提供安全是上层用户信息传递安 全的基石，只有基础传输网络是安全的，才能够保障业务层面为用户提供业务安全。