电信级IP承载网安全框架new

1、 YDYD 中中华华人人民民共共和和国国通通信信行行业业标标准准 YD/TYD/T XXXXXXXX200200 x x 电信级电信级 IPIP 承载网安全框架承载网安全框架 SecuritySecurity ArchitectureArchitecture ofof Carrier-classCarrier-class IPIP NetworkNetwork （征求意见稿）（征求意见稿） 200X200XXXXXXXXX 发布发布200X200XXXXXXXXX 实施实施 中中华华人人民民共共和和国国信信息息产产业业部部发发布布 YD/T XXXX-2004 前前 言言 本标准采用了 ITU

2、-T X.805端到端通讯系统安全框架作为基础，对电 信级 IP 承载网的安全框架进行了分析。 本标准的附录为规范性附录。 本标准由中国通讯标准化协会提出并归口。 本标准起草单位： 本标准主要起草人： YD/T XXXX-2004 目录 前前 言言 .2 1 1范围范围.5 2引用标准引用标准.5 3 3术语和缩略语术语和缩略语.6 3.1 术语.6 3.2 缩略语.7 4 简介简介 .8 4.1 电信级 IP 承载网.8 4.2 X.805.8 5 5 基础设施层基础设施层 .8 5.1 端用户平面.8 5.1.1 访问控制.8 5.1.2 验证.9 5.1.3 不可抵赖.9 5.1.4 数

3、据保密性.10 5.1.5 通讯安全.10 5.1.6 数据完整性.10 5.1.7 可用性.10 5.1.8 隐私.11 5.2 控制平面.11 5.2.1 访问控制.11 5.2.2 验证.11 5.2.3 不可抵赖.11 5.2.4 数据保密性.12 5.2.5 通讯安全.12 5.2.6 数据完整性.12 5.2.7 可用性.12 5.2.8 隐私.13 5.3 管理平面.13 5.3.1 访问控制.13 5.3.2 验证.13 5.3.3 不可抵赖.14 5.3.4 数据保密性.14 5.3.5 通讯安全.14 5.3.6 数据完整性.14 5.3.7 可用性.15 5.3.8 隐私

4、.15 YD/T XXXX-2004 6 6 业务层业务层 .15 6.1 端用户平面.15 6.1.1 访问控制.15 6.1.2 验证.16 6.1.3 不可抵赖.16 6.1.4 数据保密性.16 6.1.5 通讯安全.16 6.1.6 数据完整性.16 6.1.7 可用性.16 6.1.8 隐私.16 6.2 控制平面.16 6.2.1 访问控制.16 6.2.2 验证.17 6.2.3 不可抵赖.17 6.2.4 数据保密性.17 6.2.5 通讯安全.17 6.2.6 数据完整性.17 6.2.7 可用性.17 6.2.8 隐私.17 6.3 管理平面.17 6.3.1 访问控制.

5、17 6.3.2 验证.17 6.3.3 不可抵赖.18 6.3.4 数据保密性.18 6.3.5 通讯安全.18 6.3.6 数据完整性.18 6.3.7 可用性.18 6.3.8 隐私.18 7 7 应用层应用层 .18 YD/T XXXX-2004 5 电信级电信级 IPIP 承载网安全框架承载网安全框架 Security Architecture of Carrier-class IP Network YD/TYD/T XXXX-200XXXXX-200X 中华人民共和国通信行业标准中华人民共和国通信行业标准 1 1范围范围 本标准参照 ITU-T X.805端到端通讯系统安全框架定义

6、了电信级 IP 承载网络的安 全框架，包括对电信级 IP 网络的基础设施层、业务层和应用层的端用户、控制和管理三个 平面的访问控制、验证、不可抵赖、数据保密性、通讯安全、数据完整性、可用性和隐私 八个安全维度进行分析。 本标准适用于各种承载电信业务的 IP 专用网络。 2 2引用标准引用标准 Security architecture for system providing end to end communications X.805 Security architecture for open systems interconnection for CCITT application X

7、.800 Information Technology Open Systems Interconnection Security Frameworks for Open Systems: Overview X.810 Information Technology Open System Interconnection The Directory: Authentication Framework ITU-T X.509 IP 网络安全技术要求安全框架 YD/T 1163-2001 信息技术安全性评估准则 GB/T 18336-2001 信息技术设备的安全 GB 4943-2001 多协议标记

8、交换(MPLS)总体技术要求YD/T 1162.1-.3 基于端口的虚拟局域网（VLAN）技术要求 和测试方法 YD/T 1260-2003 IPsec 技术要求 YD/T xxxx-2003 基于网络的虚拟 IP 专用网（IP-VPN）框 架 YD/T 1190-2002 MPLS/BGP VPN 技术要求 YD/T xxxx-2003 MPLS/BGP VPN 组网技术要求 YD/T xxxx-2003 SNMP Security ProtoclRFC 1352 Security Protocols for SNMPv2RFC 1446 PPP LCP ExtensionsRFC 1570

9、 The IP Network Address TranslatorRFC 1631 YD/T XXXX-2004 6 The PPP Compression Control ProtocolRFC 1962 The PPP Encryption Control ProtocolRFC 1968 Generic Security Service Application Programming Interface(V2) RFC 2078 Consideration for Web Transaction Security RFC 2084 FTP Security ExtensionRFC 2

10、228 The TLS Protocol(V1.0)RFC 2246 PKCS #7L: Cryptographic Message Syntax Version 1.5 RFC 2315 Security Architecture for the Internet Protocol RFC 2401 IP Authentication HeaderRFC 2402 The Use of HMAC-MD5-96 Whithin ESP and AH RFC 2403 Th Use of HMAC-SHA-1-96 Whithin ESp and AH RFC 2404 IPEncapsulat

11、ing Security PayloadRFC 2406 Internet Security Association and Key Management Protocol RFC 2408 The Internet Key ExchangeRFC 2409 Hypertext Transfer ProtocolRFC 2616 Diffie-Hellman Key Agreement MethodRFC 2631 Layer Two Tunnelling ProtocolRFC 2661 NAT Terminology and ConsiderationsRFC 2663 3 3术语和缩略语

12、术语和缩略语 3.13.1 术语术语 YD/T XXXX-2004 7 3.23.2 缩略语缩略语 YD/T XXXX-2004 8 4 4 简介简介 本章介绍电信级 IP 承载网的特征，以及其所面对的安全威胁。 4 4.1 1 电信级电信级 IP 承载网承载网 电信级 IP 承载网络承载当前的关键电信业务，如语音、多媒体、视频会议等，IP 技术 以其开放性使在其上开发新业务非常容易实现，但是以 Internet 为代表的 IP 网络承载电信 业务仍旧具有一定的困难，如： 服务质量问题； 安全问题； 业务的运营和供给。 本标准通过 X.805 的框架对 IP 网络的安全性进行全面地分析，以及在

13、承载电信业务应 该实现的安全功能。 4.2 X.805 X.805 定义了一个完整的提供端到端通讯的系统的安全框架，该标准定义了三个层次： 应用层、业务层和基础设施层，并为每个网络层次定义了控制、管理和端用户三个平面。 对每个层次的每个平面都分别从八个方面考虑其安全性： 访问控制：只有合法的拥护才被授权访问； 验证：确定用户的身份是真实的； 不可抵赖：保证有合适的证据证明访问的存在； 数据保密性：保证数据不被泄露和解读； 通讯安全：保证传输的数据的安全性； 完整性：保证数据不被篡改； 可用性：保证业务获得适当的资源； 隐私：不泄露身份和标识信息。 YD/T XXXX-2004 9 5 5 基础

14、设施层基础设施层 5.15.1 端用户平面端用户平面 5.1.1 访问控制访问控制 在端用户平面，基础设施层次的访问控制分为两个方面，第一个方面是基础设施，如 路由器，对用户端用户数据的访问，第二个方面是端用户对基础设施的功能的使用，如路 由器的数据转发功能。 在第一个方面，对于电信级的承载网络，本身存在用户对网络一定程度的信任关系 （通过用户和运营商之间的 SLA 协议实现） ，所以对这个方面要求不高或没有要求。但是， 基础设施应该尽量保证自身的安全，防止其他的非授权用户或攻击者通过基础设施的安全 缺陷非授权访问端用户数据。 路由器、交换机和通讯链路是网络提供接入和其他通讯业务的基础，在 I

15、P 承载网络层， 对端用户的访问控制主要表现在对网络接入和带宽的控制。针对于不同的网络层次和接入 技术存在不同的接入控制技术，如针对以太网的 802.1X 技术。目前主要的验证和访问控制 技术基本上是依赖于二层技术，独立于二层的工作在 IP 层的访问控制和验证技术也逐渐出 现。 因为端用户的数量很大，而网络设备本身的处理能力相对有限，为了能够实现访问控 制的可规模化，通常在网络边缘第一个三层设备来实现访问控制，网络的后端使用验证服 务器来实现用户的接入验证，并且在网络设备和验证服务器之间使用 RADIUS 或 DIAMETER 等协议来实现通讯。 5.1.2 验证验证 验证检查企图接入网络的端

16、用户的身份，验证往往同访问控制技术结合起来使用。根 据上一节的内容，实际执行验证的设备可以是存在于网络后端的验证服务器。 通常，在用户（或用户设备）同网络之间可能采用各种不同的验证技术和验证算法， 如： 基于智能卡的验证； 基于 X.509 证书的验证； 给予公共密钥的验证算法； 基于共享秘密的验证算法。 为了能够支持各种算法，通常在用户（或用户设备）同网络之间采用 EAP 协议来支持 各种验证技术，该技术也可以用于网络和后端的验证服务器之间。 5.1.3 不可抵赖不可抵赖 不可抵赖要求网络保存端用户对网络的访问记录，并且将该记录作为用户曾经访问网 络的证明。 严格的不可抵赖是通过数字签名来实

17、现的，通过为每个报文添加一个签名来证明该报 文来源于某个用户，并且以来公共密钥技术来作为用户访问网络的证明。在承载网络中， YD/T XXXX-2004 10 数字签名是以单个的报文来转发的，因此对每个报文都要完成一次签名检查和归档，所以 存在严重的性能缺陷。 在 IP 网络中往往通过计帐技术来实现不可抵赖，该技术依赖于验证以及访问控制，在 这两个技术的基础上，对端用户的访问信息形成一个记录，包括如用户名称、访问时间段 和流量等，然后通过 RADIUS/DIAMETER 协议将数据发送到计帐服务器保存和处理，作 为日后审计和收费的依据。 5.1.4 数据保密性数据保密性 在端用户平面，数据保密

18、性要求其他用户不能获得和解读用户发送的数据。 实现数据保密性的方法可以通过加密技术来实现，如用户之间实现端到端的 IPsec 加 密，对于网络设备，也存在一些技术来实现对端用户数据的加密传送，如数据链路层的加 密技术和隧道模式的 IPsec，但是因为需要大量的计算，对于所有或大部分数据通过加密来 提供保护是很困难的，但是可以对关键的接入用户数据提供加密来保证保密性。 通过访问控制技术可以实现数据保密性，因为访问控制可以限制了一个端用户对另外 一个端用户数据的访问。 在接入网，可以采用有连接的技术来保证每个端用户的数据都限制在各自的连接内， 避免了一个端用户从另外一个连接内获得信息，间接地实现了

19、数据的保密性。 5.1.5 通讯安全通讯安全 端用户数据在网络中传输的时候需要保证数据的保密性、完整性和可用性，相关的分 析和技术参考相应章节。 5.1.6 数据完整性数据完整性 在端用户平面，数据完整性要求其他用户不能修改端用户发送的数据，即使能够修改 能够检测出发生了变化。 实现数据完整性的方法可以通过加密技术来实现，如用户之间实现端到端的 IPsec 验 证头（AH）技术，对于网络设备，也存在一些技术来实现对端用户数据的加密传送，如数 据链路层的完整性检查技术和隧道模式的 IPsec AH，但是因为需要大量的计算，对于所有 或大部分数据通过完整性检查来提供保护是很困难的，但是可以对关键的

20、接入用户数据提 供完整性检查来保证完整性性。 通过访问控制技术可以实现数据完整性，因为访问控制可以限制了一个端用户对另外 一个端用户数据的访问。 在接入网，可以采用有连接的技术来保证每个端用户的数据都限制在各自的连接内， 避免了一个端用户从另外一个连接内获得信息，间接地实现了数据的完整性。 5.1.7 可用性可用性 在端用户访问网络时，网络要能够有充足的资源保证端用户的访问能够实施，可以通 过如下的方法来实现和改进可用性： YD/T XXXX-2004 11 对网络资源实现严格的控制，避免端用户误用和过量占用大量资源； 隔离管理和控制流量，避免端用户通过针对这两个平面内发起的 DoS 攻击占用

21、大 量的资源，从而造成网络对端用户不可用； 在网络边缘实现严格的访问控制机制； 使用防火墙来加强访问控制。 5.1.8 隐私隐私 保证端用户信息不被其他端用户或攻击者非法获得，隐私信息包括： 用户的位置信息； 端用户设备的 IP 地址和 DNS 名； 端用户登录网络的用户名和口令等信息； 端用户要访问的目的系统。 5.25.2 控制平面控制平面 5.2.1 访问控制访问控制 基础设施的控制平面保证只有授权的人员和设备才被允许访问网络中的控制信息，如 存在于路由器中的路由信息，此外，该功能也保证只有来自授权的人员和设备的信息才被 设备接受。 控制平面的访问控制一般依赖于验证技术，根据验证结果来决

22、定是否允许访问系统或 者是系统根据对报文的验证来决定是否将从设备和网络中获得的控制信息用于设备自身/网 络的控制。目前，主要的 IGP 和 EGP 协议都实现了报文验证功能，如 OSPF、RIPv2 和 BGP。 此外，访问控制可以根据设备物理上不可变更的特定来决定是否授权访问，如基于端 口的访问控制。这种方法可以同路由结合起来来实现比较严格的访问控制，如根据报文入 端口进行反向转发检查，即单播反向路径转发。 承载电信业务的 IP 承载网对网络的安全性有很高的要求，并且能够对业务可以进行比 较严格的控制，因此可以采用平面分离的方法，保证端用户平面的数据不可能进入控制平 面，这样就杜绝了来自于端

23、用户利用控制信息对网络和设备发起的攻击。 5.2.2 验证验证 验证检查控制平面访问者（包括设备和人员）的身份，确定访问者的身份是合法的， 以及发送控制信息的设备的身份是合法的。 验证技术通常是访问控制技术的一部分，验证通常采用加密技术来实现，如通过检查 ICV（完整性检查值）来确定是否该报文的来源一个合法的设备。 5.2.3 不可抵赖不可抵赖 不可抵赖要求对控制信息的使用和改变是可以追溯的，通常使用一个记录来保存用户 和设备对网络/设备的访问信息，该记录通常称为操作日志。 路由器等网络设备一般都实现了日志功能，能够记录每次对控制数据的访问信息，如： YD/T XXXX-2004 12 访问时

24、间； 访问者/设备； 访问对象； 访问结果。 该数据可以作为访问和修改控制信息的证据，但是日志是一种单向的证据，即记录日 志者不仅对于交互双方而且对第三方也是可信的，而这个条件往往在权利对等的实体间是 不成立的。 路由器等网络设备对于如下控制信息的发送和访问可以记录日志来提供不可抵赖性： 本地存储的控制信息的访问，如路由表； 地址分配活动，如 DHCP 报文的接收； 对网络和设备有比较大的影响的控制 ICMP 报文； 来自于网络的路由信息/拓扑变化信息。 实现不可抵赖的另外一种技术是数字签名技术，该技术采用公共密钥技术来实现，能 够实现严格的不可抵赖，但是在网络的控制平面该技术使用并不广泛，因

25、为公共密钥平台 在网络中还有待进一步的普及。 5.2.4 数据保密性数据保密性 控制平面的控制数据要避免非授权用户和攻击者获得和解读，需要提供保密性保护的 数据包括存在于网络设备上的控制信息，如路由表，以及在网络上传输的控制信息。 对于设备上的存储的控制信息，访问控制技术能够避免非授权用户和攻击者获得该信 息，这样就间接地地提供了保密性。此外，还可以采用加密的方法对本地存储的数据进行 加密，但是路由器等网络设备的计算能力有限，因此要考虑性能和安全之间的平衡。 对于网络中传输的控制数据，一般可以采用加密技术来提供保密性，如 3DES 加密算 法。目前大多数的路由协议本身都没有实现加密，如 RIP

26、 和 BGP，但是可以在该协议的下 层协议来实现，如 IPsec（网络层安全协议）来保护 BGP 协议。此外，也可以使用数据链 路层的加密技术来实现保密性，相对于端到端的加密方法（如传输模式的 IPsec） ，它更适 合控制信息的传递路径上的一些设备需要根据报文内容改变自身的状态。 实现保密性另外一种方式是实现平面隔离，参考访问控制部分。 5.2.5 通讯安全通讯安全 控制数据在网络中传输的时候需要保证数据的保密性、完整性和可用性，相关的要求 分析和技术参考相应章节。 5.2.6 数据完整性数据完整性 控制平面的控制数据要避免非授权用户和攻击者的篡改，需要提供完整性保护的数据 包括存在于网络设

27、备上的控制信息，如路由表，以及在网络上传输的控制信息。 对于设备上的存储的控制信息，访问控制技术能够避免非授权用户和攻击者获得该信 息，这样就间接地地提供了完整性。此外，还可以采用加密技术的方法，如有密钥的哈斯 YD/T XXXX-2004 13 技术，对本地存储的数据进行处理，产生一个完整性检查值作为是否被非法篡改的依据， 但是路由器等网络设备的计算能力有限，因此要考虑性能和安全之间的平衡。 对于网络中传输的控制数据，一般可以采用加密技术来提供完整性。目前大多数的路 由协议本身都实现了完整性保护，如 OSPFv2 和 BGP。 5.2.7 可用性可用性 控制平面的可用性对于网络是非常重要的，

28、保证可用性的措施包括： 保证控制协议，如路由协议，不存在可以被用来发起拒绝服务攻击的缺陷，数据 完整性机制一定程度上能够避免发起拒绝服务攻击； 访问控制，对于来自于网络的控制报文实现数据源验证； 将控制信息隔离到专用的通道中，并且为控制信息的传输和处理分配充足的资源， 如 CPU 处理周期、存储和带宽。 5.2.8 隐私隐私 保证控制平面内标识网络设备或人员的信息不被非授权访问者获得和使用，包括： IP 地址； MAC 地址； DNS 名。 5.35.3 管理平面管理平面 5.3.1 访问控制访问控制 在基础设施的管理平面，访问控制安全维度只允许授权的人员和设备对网络设备和通 讯链路实施管理活

29、动。对于设备和通讯链路的管理一般包含下列方式： 通过 SNMP 或其他的网络管理协议实现的网络管理活动； 通过本地端口实现的管理活动，如控制台接口； 通过远程网络连接登录到设备来实施的管理活动； 其他管理活动。 访问控制安全维度需要能够在以上实现的管理活动中对用户/管理员进行标识，并根据 标识和验证的结果确定用户的访问权限，访问权限包括： 允许的操作类型，如读操作或写操作/完全控制等； 允许的操作对象。 访问控制安全功能根据本地或远程存储的对象表示和访问权限决定对具体被管理对象 的访问授权和授权类型。 此外，一些网络管理活动是通过中间设备来实现对某个设备的管理，对于这种类型管 理活动，访问控制

30、根据中间设备或原始用户（通过中间设备实施管理的人员）的标识信息 实施访问控制。 5.3.2 验证验证 验证检查对网络设备和链路实施网络管理活动的人员的身份，验证技术网络通常是访 YD/T XXXX-2004 14 问控制技术实施的一个环节。 验证首先要标识访问者的身份，该身份可以采用用户名、证书、智能卡等方式来实现。 此外，在采用共享秘密的对称密钥加密技术的情况下，还需要对方拥有共享秘密，根据该 秘密产生一个验证密钥，作为检查对方声称的身份是否确实的依据。在公开密钥加密技术 中，验证的依据是使用访问者私有密钥加密的数据和公开密钥作为检查访问者声称的身份 是否确实的依据。 EAP 在当前 IP

31、网络的数据平面的验证中得到广泛采用，因为其统一的用户和协议接口， 在管理平面的验证中也逐渐得到采用。 SNMP 和 Telnet/SSH 等协议中都实现了身份验证。 5.3.3 不可抵赖不可抵赖 不可抵赖要求系统提供记录来证明用户对通讯设备和链路的访问活动确实发生，该记 录可以作为管理活动的证据。 在 IP 网络中，日志是主要的提供不可抵赖的工具，通过对用户的管理活动进行记录来 证明用户确实访问了系统，记录的信息包括： 访问者身份； 访问时间； 操作对象； 操作类型； 操作结果。 5.3.4 数据保密性数据保密性 网络管理数据不应该被非授权的用户或攻击者获得和解读，这对于保持网络的安全是 非常

32、重要的一个方面。网络管理数据包括： 被管理的路由器上存在的配置、故障、安全、性能和计帐数据； 备份在服务器或其他存储介质上的管理数据； 在网络中传输的管理数据。 对于路由器上的管理数据，需要加强访问控制和验证管理来保证数据的保密性，此外 可以结合加密技术来实现保密。对于备份数据，应该严格管理这些数据，确保数据的安全， 如果必要，可以采用加密技术来实现这些数据的安全。 对于网络中传输的管理数据，可以有几种方式避免数据保密性被破坏： 避免非授权用户或攻击者物理上/逻辑上获得该数据，如采用物理隔离的方式； 采用加密技术，如 3DES 加密算法，即使攻击者获得该管理信息，但是仍旧不能 够解读该数据。

33、5.3.5 通讯安全通讯安全 当使用远程访问的方式来管理路由器、交换机等设备和通讯链路，需要保证该通讯是 安全的，包括数据保密性、完整性和可用性，该部分内容的分析和实现可以参考相应章节。 YD/T XXXX-2004 15 5.3.6 数据完整性数据完整性 网络管理数据不应该被非授权的用户或攻击者破坏和篡改，这是保持网络的安全的另 外一个非常重要的方面。网络管理数据包括： 被管理的路由器上存在的配置、故障、安全、性能和计帐数据； 备份在服务器或其他存储介质上的管理数据； 在网络中传输的管理数据。 对于路由器上的管理数据，需要加强访问控制和验证管理来保证数据的完整性，此外 可以结合加密技术来实现保密。对于备份数据，应该严格管理这些数据，确保数据的安全， 如果必要，可以采用加密技术来实现这些数据的安全。 对于网络中传输的管理数据，可以有几种方式避免数据完整性被破坏： 避免非授权用户或攻击者物理上/逻辑上获得该数据，如采用物理隔离的方式； 采用加密技术，如 MAC 算法，即使攻击者篡改了该管理信息，系统能够检测出 报文已经被非授权改变，避免被欺骗。 数据完整性保护通常同访问控制和验证机制等一起来保证系统的安全。 5.3.7 可用性可用性 可用性确保授权用户能够对