ICS33.040.99 M19 中华人民共和国国家标准 GB/T29234—2012 基 于公用电信网的宽带客户网络 安全技术要求 Securitytechnicalrequirementsforbroadbandcustomernetworkbasedon telecommunicationnetwork 2012-12-31发布 2013-06-01实施 中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会发布前 言 本标准按照GB/T1.1—2009给出的规则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由中华人民共和国工业和信息化部提出。 本标准由中国通信标准化协会归口。 本标准起草单位:工业和信息化部电信研究院。 本标准主要起草人:程强、敖立、刘谦、陆洋。 ⅠGB/T29234—2012 基于公用电信网的宽带客户网络 安全技术要求 1 范围 本标准规定了基于公用电信网的宽带客户网络的安全威胁、安全需求、安全机制和安全算法、设备 认证证书轮廓以及安全功能。 本标准适用于电信网络提供的业务和应用通过网关在宽带客户网络内部实现的情况,对仅在宽带 客户网络内部设备之间信息流通的情况也可参考使用。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文 件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 YD/T1448—2006 基于公用电信网的宽带客户网络总体技术要求 ITU-TX.509 信息技术 开放系统互连 号码簿:公钥和属性鉴别框架(Informationtechnology— Opensystemsinterconnection—Thedirectory:Public-keyandattributecertificateframeworks) ITU-TX.805 提供端到端通信的系统的安全体系(Securityarchitectureforsystemsproviding end-to-endcommunications) ITU-TX.1121 移动端到端数据通信的安全技术框架(Frameworkofsecuritytechnologiesfor mobileend-to-enddatacommunications) BroadbandForumTR-069Amendment1(2006) CPEWAN管理协议(CPEWANManagement Protocol) 3 术语和定义 下列术语和定义适用于本文件。 3.1 授权证书 authorizationcertificate 用于为对象授权的一个签名物。它至少包括一个发放者和一个对象。它可以包括有效性条件、授 权和委托信息。通常,证书可以分为三类:身份证书、属性证书和授权证书。身份证书用于映射对象的 名字和公钥,属性证书用于映射对象的名字和授权,授权证书用于映射对象的授权和公钥。获得一个授 权证书或属性证书可以代表对象从发放者获得所有或部分权限。 3.2 身份证书 IDcertificate 一段信息,其中至少声明了授权发放者名称、证书对象身份、该对象公钥、证书有效期、序号和认证 中心的数字签名。 3.3 设备证书 devicecertificate 身份证书的一种,在宽带客户网络中,它是一个符合ITU-TX.509版本3的证书,用于认证宽带客 1GB/T29234—2012 户网络设备。它可以由宽带客户网络内部CA发放,也可由外部CA发放。 3.4 加盐 salt 就是在已执行哈希运算的密码中插入一个随机数字。这一策略有助于阻止潜在的攻击者利用预先 计算的字典进行攻击。 3.5 Smurf攻击 smurfattack 一种拒绝服务攻击的方法,通过伪装成受害主机的源IP地址发送目的地址为广播地址的PING 包,利用大量的PING响应攻击受害者。 3.6 LAND攻击 LANDattack 一种拒绝服务攻击的方法,通过向受害主机发送源和目的地址相同设为受害主机地址的IP报文, 导致受害主机连续地向自身发送响应报文。 3.7 拒绝服务攻击 DoSattack 阻止正常合法用户对资源的访问或对时间关键的操作进行延迟的攻击。 3.8 中间人攻击 man-in-the-middleattack 一种主动窃取被攻击者之间的通信的手段。通过在被攻击者之间对消息进行截取并转发,获得被 攻击者的通信信息或插入伪造的信息。 4 缩略语 下列缩略语适用于本文件。 ACL:访问控制列表(AccessControlList) ANY:任意(Any) ARP:地址解析协议(AddressResolutionProtocol) CA:证书机构(CertificateAuthority) CHAP:质询握手认证协议(ChallengeHandshakeAuthenticationProtocol) DoS:拒绝服务(DenialofService) DMZ:隔离区(DeMilitarizedZone) EUTE:用户终端功能实体(EndUserTerminalEntity) FPE:功能处理实体(FunctionalProcessingEntity) FTP:文件传输协议(FileTransferProtocol) HTTP:超文本传送协议(HypertextTransferProtocol) HTTPS:超文本安全传送协议(HypertextTransferProtocolSecure) ICMP:互联网控制消息协议(InternetControlMessageProtocol) IGMP:互联网组管理协议(InternetGroupManagementProtocol) ID:身份(Identity) IP:互联网协议(InternetProtocol) IPoE:以太网承载IP(IPoverEthernet) IPTV:IP电视(IPTelevision) 2GB/T29234—2012 LAN:局域网(LocalAreaNetwork) MAC:媒质访问控制(MediaAccessControl) MGCP:媒体网关控制协议(MediaGatewayControlProtocol) NAE:网络接入实体(NetworkAccessEntity) NAT:网络地址翻译(NetworkAddressTranslation) NCE:网络核心功能实体(NetworkCoreEntity) PAP:密码认证协议(PasswordAuthenticationProtocol) PPP:点到点协议(PointtoPointProtocal) PPPoE:以太网承载PPP(PPPoverEthernet) PPPoA:ATM承载PPP(PPPoverATM) QoS:服务质量(QualityofService) RBAC:基于角色的访问控制(Role-basedAccessControl) SIP:会话初始协议(SessionInitiationProtocol) SNMP:简单网络管理协议(SimpleNetworkManagementProtocol) SSH:安全壳协议(SecureShellProtocol) SSID:服务集标识(ServiceSetidentifier) SSL:安全套接字层(SecureSocketLayer) TCP:传输控制协议(TransmissionControlProtocol) TLS:传送层安全(TransportLevelSecurity) UDP:用户数据报协议(UserDatagramProtocol) VoIP:IP承载的语音(VoiceoverIP) WAN:广域网(WideAreaNetwork) WLAN:无线局域网(WirelessLocalAreaNetwork) 5 宽带客户网络的安全概述 5.1 宽带客户网络的参考模型 YD/T1448—2006给出了基于公用电信网的宽带客户网络的参考模型,如图1所示。 图1 宽带客户网络参考模型 在图1中: ———NAE为宽带客户网络提供接入功能; 3GB/T29234—2012 ———NCE负责完成宽带客户网络的核心功能,包括:宽带客户网络内部设备的联网、远程管理、 QoS、安全等; ———FPE负责IP/非IP的转换,以及信令、媒体格式的转换; ———EUTE由用户直接使用,提供UI界面。 5.2 宽带客户网络安全的特点 宽带客户网络位于网络的末端,混合了有线和无线联网技术,并且直接给用户提供使用界面,具有 以下独特的安全特点: ———使用各种不同的传输媒质; ———混合有线和无线的联网技术; ———不同的客户有不同的应用场景和安全要求; ———用户可能随身携带终端; ———宽带客户网络设备多种多样,安全能力各不相同。 6 宽带客户网络面临的安全威胁 6.1 概述 宽带客户网络可以由有线联网和无线联网或其混合组成,因此宽带客户网络面临的安全威胁包括 了有线网络和无线网络。宽带客户网络的安全威胁可以分为两类:通用的安全威胁和移动环境的安全 威胁。 6.2 通用安全威胁 6.2.1 窃听/泄露 在开放的网络环境下最易遭遇的安全问题是通过窃听进行匿名攻击。窃听攻击者可以主动地截获 传输的数据导致信息的泄露。 6.2.2 通信阻断/通信拥塞 当一个通信链路上的需要收发的数据量通过有意或无意的方式超过了链路容量,可以有效地使该 链路失效。例如DoS攻击可以产生该威胁。 6.2.3 数据