YDT2050-2009 接入网安全技术要求 无源光网络(PON)设备

YDT2050-2009 接入网安全技术要求 无源光网络(PON)设备 本标准是接入网设备安全系列标准之一，该标准系列的名称和结构预计如下 1. YD 2ω-2 接入网安全技术要求一-xDSL用户端设备 2. YDtr2ω7吃∞ 接入网设备安全测试方法一-xDSL用户端设备 3. YD 2ω8-2∞ 接入网安全技术要求一-DSL接入复用器 (DSLAM) 设备 4. YD 2049-2 接入网设备安全测试方法一一DSL接入复用器 (DSLAM) 设备 5. YD 2050吃∞ 接入网安全技术要求一一无源光网络 (PON) 设备 6. YD 2051 吃∞ 接入网设备安全测试方法一一无源光网络 (PON) 设备 7. YD 1910-2∞ 接入网安全技术要求一一综合接入系统 8. 接入网设备安全测试方法一一综合接入系统 本标准在制定过程中注意了和下列标准的协调统一 1. YD，厅 1475-2创历 接入网技术要求一一基于以太网方式的无源光网络 (EPON) 2. YD 1771 吃∞ 接入网技术要求一-EPON 系统互通性 3. YD，厅 1949-2 接入网技术要求一一吉比特的无源光网络 4. YD 1953-2∞ 接入网技术要求一-EPON/GPON 系统承载多业务 本标准由中国通信标准化协会提出并归口。 1 范围 本标准规定了PON设备〈包括EPON设备和GPON设备〉的用户平面安全要求、控制平面安全要求、 管理平面安全要求、设备可靠性和电气安全要求。 本标准适用于公众电信网环境下的PON设备，专用电信网也可参照使用。 2 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的 修改单(不包括勘误的内容)或修订版均不适用于本标准。然而，鼓励根据本标准达成协议的各方研究 是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。 GB 9254-1998 信息技术设备的无线电骚扰限值和测量方法 GBtr 17618-1998 信息技术设备抗扰度限值和测量方法 四川082-2∞ 接入网设备过电压过电流防护及基本环境适应性技术条件 YD 1475吃∞ 接入网技术要求一一基于以太网方式的无源光网络 CEPON) YD 1771 -2∞ 接入网技术要求一-EPON 系统互通性要求 1949.1吃∞ 接入网技术要求一一吉比特的无源光网络 CGPON) 部分总体要求 YD 1949.3 接入网技术要求一一吉比特的无源光网络 CGPON) 部分传输汇聚 CTC) 层要求 IEEE 802.1ag 局域网和城域网一一虚拟桥接局域网增补件5: 连接故障管理 IEEE 802.1D 局域网和城域网一-MAC IEEE802.1Q 局域网和城域网一一虚拟桥接局域网 IEEE802.1X 局域网和城域网一一基于端口的网络接入控制 IEEE802.3 信息技术一一系统间通信和信息交换一一局域网和城域网特定要求一一第 部分 CSMAlCD接入方式和物理层规范 IETF RFC1901 基于团体名的 NMPv 3 缩略语 下列缩略语适用于本标准。 BRAS Broadband Remote Access Server 宽带远程接入服务器 DHCP Dynamic Host Config Prot，∞01 动态主机配置协议 DLF Des ation lkup Failure 目的查找失败 DoS Denial of Service 拒绝服务 EPON Ethemet Passive op calNetwork 基于以太网方式的无源光网络 GPON Gigabit-Capable Passive Optical Network 吉比特无源光网络 πU-TX.805 (端到端通信系统安全框架》定义了一个完整的端到端通信系统的安全框架，定义了应 用层、业务层和基础设施层 个网络层次，并为每个网络层次定义了用户、控制和管理 个平面。对每个 层次的每个平面部分别从访问控制、鉴别、不可抵赖、数据保密性、通信安全、完整性、可用性和隐私 个方面考虑其安全性。 PON设备(包括EPON设备和GPON设备〉用户平面安全要求在面临信息安全威胁时仍然能够保证用 户数据信息在OLT上联接口和ONU下联接口之间的安全传递。 PON设备控制平面安全要求能够保障OLT ONU之间、 OLT和网络节点设备之间、 ONU和用户设备 之间控制消息和信令的安全传递，防止非法用户通过协议报文攻击网络。 PON设备管理平面安全要求在面临安全威胁时仍能够保证管理用户、网管系统和PON设备三者之间 的安全接入和管理信息的安全传递。 5 用户平面安全要求 5.1 数据加密功能 PON设备在下行方向应支持对用户单播数据进行加密，以保证用户数据的安全性。下行组播业务和 上行用户数据无需进行加密处理。 EPON设备应采用三重搅动方法对用户数据进行保护，具体应符合YD 1771-2 (接入网技术要 求一-EPON系统互通性要求》的规定。 GPON设备采用的加密算法应符合YD. 1949.3-2∞ (接入网技术要求一一吉比特的无源光网络 (GPON) 部分传输汇聚 (TC) 层要求》的规定。 OLT应支持各ONU之间的二层隔离，即同一OLT设备上同一和不同PON接口下的各ONU之间均不应 通过OLT设备上的二层桥接功能直接互通。 MDU类型的ONU应支持各用户物理端口之间的二层隔离，即各用户物理端口之间不应通过ONU 的二层桥接功能直接互通。 5.3 帧过滤 5.3.1 OLT 的帧过滤功能 OLT应支持根据以太网封装协议、源/目的MAC地址、源/目的 地址和TCP DP端口号对上、下行以 太网数据帧进行过滤。 OLT应能过滤来自用户的组播流。 缺省状态下， OLT应支持过滤表 规定的预定义和保留地址的MAC帧，但OLT可以提供改变缺省行 为的配置选项。