YDT2036-2009 基于终端安全评估的移动网络接入安全技术要求

本标准对应于ITU-T X.1125：《关联响应系统》，与ITU-T X.1125的一致性程度为非等效。与X.1125相比，本标准定义的系统架构与流程与X.1125基本等同，其差异在于： 文档结构有所不同；本标准增加了第4章（安全威胁）；本标准第8章（SCA和SCS之间的通信）对应ITU-T X.1125的第9章（Communication between SCA and SCS）在对SCA与SCS之间传输的消息定义上不等同： 与ITU-T X.1125不同，本标准未对CRS传输消息的XML schema和ASN.1格式进行定义本标准中的第12.1.12.2，12.3章分别与ITU-T X.1125的非规范性附录I.1，1.2，1.3对应： -本标准中未提供SCI Report和SCI Response的示例。 本标准由中国通信标准化协会提出并归口。 范围 本标准确立了在移动通信中用于应对来自不安全终端潜在安全威胁的关联反应系统（CRS）的开放式体系架构。并规定了关联反应系统的系统描述、策略及相关通信过程等内容。 本标准适用于移动通信网络中的终端及接入控制设备。 2 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准。然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本，凡是不注日期的引用文件，其最新版本适用于本标准。 ITU-TX.1121移动端到端数据通信的安全技术框架（2004）IETF RFC 2748 COPS协议 IETF RFC 3084 COPS协议用于策略提供3 术语、定义和缩略语 3.1 术语和定义 下列术语和定义适用于本标准。 3.1.1移动台 Mobile Station一个实体，其具备无线网络访问功能和连接到网络和应用服务器或其他移动台进行数据通信的功能。 在本推荐标准中，移动台包含从手机到接入无线网的笔记本等多种设备。 3.12移动网络 Mobile Network为移动台提供无线网络接入服务的网络。 3.1.3移动用户Mobile Subscriber一个人，其使用和操作移动台从应用服务提供育处获取各种服务。 3.1.4应用服务 Application Service网络侧对用户提供的各种服务，比如移动银行、移动商务、在线视频、下载、网页浏览、收发邮件等等。 3.1.5应用服务器 Application Server一个实体，其连接到开放的网络环境，与移动台通信并为其提供应用服务。 3.1.6应用服务提供商 ASP Application Service Provider 3.1.7移动安全网关 Mobile Security Gateway一个实体，其中继移动台和应用服务器之间的数据通信，从移动网络到开放网络或者反向，更改安全参数或者通信协议，并且能执行移动端到端数据通信的安全策略管理功能， 3.1.8关联反应系统CRS.correlative reacting system一种机制，其能使移动台和网络共同应对各种潜在的安全威胁，比如病毒、蠕虫、特洛伊木马、移动台的不当行为导致的网络攻击等，此外，当病毒或者蠕虫已经在网络中存在时，CRS能保证其传播速度可控限度内，从而提供足够的时间来进行网络和移动台的恢复，将可能的损失降低到最小， 3.1.9网络访问控制器 NAC，network access controller移动网络的网元，提供移动用户访问网络的控制功能，能根据网络访问控制策略对特定的不安全用户进行带宽限制，网络访问控制设备通常网关，比如，移动网络的SGSN或者宽带IP网络的宽带接入服务器。 3.1.10应用服务控制器ASC，application service controller移动网络的网元，提供对移动用户应用服务访问的控制功能。通过和安全相关服务器（SCS）的关联反应，根据CRS中的应用服务控制策略对特定的不安全用户执行应用服务限制。 3.1.11安全应用软件 SAS，security application software为移动台系统提供特定类型安全功能的应用软件，比如，反病毒软件、防火墙软件等。 3.1.12安全应用软件服务器 SAS-S，security application software server位于网络侧的安全应用软件的服务器，其提供安全文件或者描述文件的更新，提供其他移动台安全应用软件的在线安全服务。 3.1.13安全相关代理 SCA，security correlation agent嵌入移动台的一个实体，其搜集移动台的安全相关信息，并和移动网络侧的SCS通信，为移动台的安全升级和SCS对移动台的安全情况评估提供实时信息。 3.1.14安全相关服务器 SCS，security correlation server移动网络侧和SCA通信的服务器，负责从SCA接收安全相关信息并评估移动台的安全状况，同时根据评估结果为NAC/ASC对移动台提供相应的控制信息；当SCS上被定义了或者输入新的策略时，SCS也可以主动向NAC/ASC发送对移动台提供相应的控制信息。