YDT2042-2009 IPv6 网络设备安全技术要求-具有路由功能的以太网交换机

范围 本标准规定了具有IPv6路由功能的以太网交换机安全技术的基本要求，包括数据转发平面、控制平面和管理平面的安全威胁和安全服务要求，以及鉴别验证、数据保护、系统功能保护、资源分配、安全审计、安全管理、可信信道/路径和系统访问等8个安全功能需求。本标准适用于支持IPv6协议并具有路由功能的以太网交换机设备。 2 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。 GB/T 18336.2 YD/T 1358-2005信息技术安全技术信息技术安全性评估准则第2部分：安全功能要求路由器设备安全技术要求——中低端路由器（基于IPv4）IETF RFC1195（1990） 在TCP/IP和双栈环境下使用OSI ISIS路由协议IETF RFC1352（1992） SNMP安全协议 IETF RFC2385（1998） 通过TCP MD5签名选项保护BGP会话 IETFRFC2407（1998） 基于ISAKMP的INTERNET IP安全域IETFRFC2408（1998） INTERNET安全协商和关键管理协议 IETFRFC2409（1998） 互联网密钥交换协议（IKEv1） IETFRFC2740（1999） IETF RFC2827（2000） IPv6下的OSPF协议 网络入口过滤：抵御利用IP源地址欺骗的拒绝服务攻击IETF RFC3567（2003） ISIS协议加密认证 IETF RFC3682（2004） 通用TTL安全机制 IETF RFC3882（2004） IETF RFC3971（2005）IETF RFC4291（2006）IETF RFC4301（2005） IETF RFC4302（2005）IETF RFC4303（2005） 配置BGP阻止拒绝服务攻击 安全邻居发现IP地址框架 互联网协议安全框架 IP认证头协议 IP安全载荷封裝 IETF RFC4306（2005） 互联网密钥交换协议 IETF RFC4552（2006） OSPFv3认证/机密性 3 术语、定义和缩略语 3.1 术语和定义 下列术语和定义适用于本标准。 3.1.1 具有 Pv6 路由功能的以太网交换机 ethernet LAN switch with IPv6 routing capability 具有第三层路由功能的IPv 数据包交换机。除实现数据帧转发功能外，能根据接收数据包中的网络 层地址以及交换机内部维护的路由表决定输出端口以及下一跳交换机地址或主机地址并且重写链路层数 据包头. 路由表可以通过静态配置方式维护，也可以动态维护来反映当前的网络拓扑。具有路由功能的以太 网交换机通常通过与其他类似设备(如路由器)交换路由信息来完成路由表的动态维护。如果文中没有 特别说明，那么交换机就特指此类具有路由功能的以太网交换机。 3.1.2 访问控制 ess control 防止对资源的未授权使用. 3.1.3 可确认性 ∞。un bility 确保一个实体的行为能够被独一无二地跟踪。 3.1.4 授极 authorization 授予权限，包括允许基于访问权的访问。 3.1.5 可用性 availability 根据授权实体的请求可被访问与使用。 3.1.6 保密性 confidentiality 这一性质使信息不泄露给非授权的个人、实体或进程，不为其所用。 3.1.7 数据完整性 data integrity 这一性质表明数据没有遭受以非授权方式所作的篡改或破坏。 3.1.8 服务拒绝 denial of service 阻止对资源的授权访问或拖延时限操作。 3.1.9 数字签各 digi signature 附加在数据单元上的一些数据，或是对数据单元所作的密码变换，这种数据或变换允许数据单元的 接收者用以确认数据单元来源和数据单元的完整性，并保护数据，防止被人(例如接收者)进行伪造。 3.1.10 2 DlT 2042-2∞9 加密 enc ption 对数据进行密码变换以产生密文。 3.1.11 基于身份的安全策略 ide ity-based secu ty policy 这种安全策略的基础是用户或用户群的身份或属性，或者是代表用户进行活动的实体以及被访问的资 源或客体的身份或属性。 3.1.12 密钥 key 控制加密与解密操作的一序列符号。 3.1.13 基于规则的安全策略 rule-based security policy 这种安全策略的基础是强加于全体用户的总体规则。这些规则往往依赖于把被访问资源的敏感性与 用户、用户群或代表用户活动的实体的相应属性进行比较。 3.1.14 安全审计 security audit 为了测试出系统的控制是否足够，保证与己建立的策略和操作堆积相符合，或者是发现安全中的漏 洞，以及为了建议在控制、策略和堆积中作任何指定的改变，而对系统记录与活动进行的独立观察和考 核。 3.1.15 安全策略 security policy 提供安全服务的一套准则。(见"基于身份的安全策略"与"基于规则的安全策略" ) 3.1.16 安全服务 security service 由参与通信的开放系统层所提供的服务，它确保该系统或数据传送具有足够的安全性。