YDT1906-2009 IPv6 网络设备安全技术要求-核心路由器

本标准是"路由器设备安全"系列标准之一，本系列的标准结构和名称预计如下: 1. YDff 1358-2005 路由器设备安全技术要求一一中低端路由器(基于IPv4) 2. YDff 1359-2005 路由器设备安全技术要求-一一高端路由器(基于IPv4) 3. 四厅 1439-2005 路由器设备安全测试方法一一高端路由器(基于IPv4) 4. YDff 1440-2005 路由器设备安全测试方法一一中低端路由器(基于IPv4) 5. YDff 1907-2009 IPv6 网络设备安全技术要求一一边缘路由器 6. IPv6 网络设备安全测试方法一一边缘路由器 7. 四厅 1906-2009 IPv6 网络设备安全技术要求一一核心路由器 8. IPv6 网络设备安全测试方法一一核心路由器 本标准与 «IPv6 网络设备安全测试方法一一核心路由器》配套使用。 与本系列标准相关的标准还有"支持 IPv6 的路由器设备"系列标准，该系列的标准结构和名称如 下: 1.四厅 1452-2006 IPv6 网络设备技术要求一一支持 IPv6 的边缘路由器 2. 四厅 1453-2006 IPv6 网络设备测试方法一一支持 IPv6 的边缘路由器 3. YDff 1454-2006 IPv6 网络设备技术要求一一支持 IPv6 的核心路由器 4. YDff 1455-2006 IPv6 网络设备测试方法一一支持 IPv6 的核心路由器 本标准的附录 为规范性附录，附录 为资料性附录。 本标准由中国通信标准化协会提出并归口。 1 范围 本标准规定了支持 IPv6 协议的核心路由器的安全技术要求，包括数据转发平面安全、控制平面安全、 管理平面安全等。 本标准下文中所有对路由器的安全规定均指对支持 IPv6 的核心路由器的规定。 本标准适用于支持 IPv6 的核心路由器设备。 2 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的 修改单(不包括勘误的内容)或修订版均不适用于本标准。然而，鼓励根据本标准达成协议的各方研究 是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。 GBrr 18336.2 信息技术安全技术信息技术安全性评估准则第 部分:安全功能要求 YDrr 1454-2006 IPv6 网络设备技术要求一一支持 IPv6 的核心路由器 IETF RFC2827(2000) 网络入口过滤:防范基于 源地址伪造的拒绝服务攻击 IETF RFC3704(2004) 用于 Multihome 网络的入口过滤 3 术语、定义和缩略语 3.1 术语和定义 下列术语和定义适用于本标准。 3.1.1 路由器 Routers 路由器是通过转发数据包来实现网络互连的设备。路由器可以支持多种协议，可以在多个层次上转 发数据包(例如数据链路层，网络层，应用层)。如果没有特殊指明，本标准的正文中路由器特指基于 TCP/IP协议簇，工作在 层上的网络设备。 路由器需要连接两个或多个由IPv6 链路本地地址或点到点协议标识的逻辑端口，至少拥有一个物理 端口。路由器根据收到的数据包中网络层地址以及路由器内部维护的路由表决定输出端口以及下一条路 由器地址或主机地址井且重写链路层数据包头。 路由表必须动态维护来反映当前的网络拓扑。路由器通常通过与其他路由器交换路由信息来完成动 态维护路由表。 路由器只提供数据包传输服务。为实现路由选择的通用性和鲁棒性(Robust)，路由器的实现应使用 最少状态信息来维持上述服务。 3.1.2 核心路由器 Core Routers 通常位于网络骨干层，用作扩大互联网的路由处理能力和传输带宽的路由器。在本标准中，要求核 心路由器的系统交换容量至少达到60Gbi的。 3.1.3 访问控制 Access Control 防止未经授权使用资源。 3.1.4 授权 Authorization 授予权限，包括根据访问权进行访问的权限。 3.1.5 密钥管理 Key Management 根据安全策略产生、分发、存储、使用、更换、销毁和恢复密钥。 3.1.6 安全审计 Security Audit 对系统的记录及活动独立的复查与检查，以便检测系统控制是否充分，确保系统与现行策略和操作 程序保持一致、探测违背安全性的行为，并介绍控制、策略和程序中所显示的任何变化。 3.1.7 数字签名 Digital Signature 附在数据单元后面的数据，或对数据单元进行密码变换得到的数据。允许数据的接收者证明数据的 来源和完整性，保护数据不被伪造，并保证数据的不可否认性。 3.1.8 否认 Repudiation 参与通信的实体否认参加了全部或部分的通信过程。 3.1.9 可阳性 Availability 根据需要，信息允许有权实体访问和使用的特性。 3.1.10 保密性 Confidentiality 信息对非授权个人、实体或进程是不可知、不可用的特性。 3.1.11 数据完整性 Data Integrity 数据免遭非法更改或破坏的特性。 3.1.12 安全服务 Security Service 由通信的系统提供的，对系统或数据传递提供充分的安全保障的一种服务。 3.1.13 安全策略 Security Policy 提供安全服务的一套规则。