YD T 1910-2009 接入网安全技术要求.综合接入系统.pdf

1、ICS 3304050M 19 Y口中华人民共和国通信行业标准YD厂r 1910-2009接入网安全技术要求综合接入系统Technical requirements for Security_Multi-Service Access Node(MSAN)2009-06-1 5发布 2009-09-01实施中华人民共和国工业和信息化部发布目 次YD厂r 191小_2009言II范围1规范性引用文件1缩略语1概述2用户平面安全要求2控制平面安全要求4管理平面安全要求7可靠性要求9电气安全要求i10i123456789YD玎1919-2009前 言本标准是接入网安全系列标准之一，该系列标准预计结构及

2、名称如下：1xDSL用户端设备安全技术要求2xDSL用户端设备安全测试方法3DSL接入复用器(DsLAM)设备安全技术要求4DSL接入复用器(DSLAM)设备安全测试方法5无源光网络(PON)设备安全技术要求6无源光网络(PON)设备安全测试方法7接入网安全技术要求综合接入系统8接入网安全测试方法综合接入系统在本标准的制定过程中注意了与以下标准的协调统一：YD厂r 1418-2008接入网技术要求综合接入系统YD厂r 17722008接入网设备测试方法一综合接入系统本标准由中国通信标准化协会提出并归口。本标准起草单位：工业和信息化部电信研究院、华为技术有限公司、中兴通讯股份有限公司、国家计算机

3、网络应急技术处理协调中心、大唐电信科技产业集团、上海贝尔阿尔卡特股份有限公司本标准主要起草人：刘谦、程强、赵苹、陈洁、敖立、党梅梅、葛坚、李云洁、岳素华、牛乐宏、袁立权、姚亦峰接入网安全技术要求综合接入系统1范围本标准规定了综合接入系统(MSAN)的用户平面安全要求、控制平面安全要求、管理平面安全要求、设备可靠性和电气安全要求。本标准适用于公众电信网的综合接入设备，专用电信网上的综合接入设备也可参考使用。2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而，鼓励根据本标准达成协议的各方研究

4、是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。YDfI1082-2000 接入网设备过电压过电流防护及基本环境适应性技术条件yDrr 1244-2002 数字用户线(xDSL)设备电磁兼容性要求和测量方法IEEE 8021ad 业务提供者桥IEEE 8021ag 连通性故障管理IEEE 8021D 媒体访问控制网桥IEEE 8021Q 虚拟桥接局域网IEEE 8021X 基于端口的网络接入控制IEEE 8023 CSMACD存取方法和物理层规范IETF RFCll57 简单网络管理协议(SNMP v1)IETF RFcl901 基于团体名的SNMPv2IETF

5、RFC2131 动态主机配置协议IETF RFC3046 DHCP中继代理信息选项3缩略语下列缩略语适用于本标准。ADSL Asymmetric Digital Subscriber LineARP Address Resolution ProtocolBNG Broadband Network GatewayCFM Connectivity Fault ManagementDELJr DoubleEnded Line TestDHCP Dynamic Host Configuration ProtocolDSL Digital Subscriber Line不对称数字用户线地址解析协议宽带网

6、络网关连通性故障管理双端线路测试动态主机配置协议数字用户线YD厂r 1910-2009FTP FIle 1j阻nsfer PrOtOCOIGARP Generic Attribute Registration ProtocolGVRP GARP VLAN Registration ProtocolH肿HyperText Transfer ProtocolIGMP Intemet Group Management ProtocolIP Internet ProtocolMAC Mediam Access ControlMSAN Multi*Service Access NodePPPoE PPP

7、 Ovet EtllemetRSTP Rapid Spanning Tree ProtocolSEIJ Single-Ended Line TestSNMP Simple Network Management ProtocolSSL Secure Socket LayerSSH Secure SheUTLS Transport Layer SecurityUSM User-based Secudty ModelAN Virtual LOCal Atea Network4概述文件传输协议通用属性注册协议GARP VLAN注册协议超文本传输协议因特网组管理协议互联网协议媒质访问控制综合接入系统以太

8、网上传送PPP协议快速生成树协议单端线路测试简单网络管理协议安全套接字层安全Shell传送层安全基于用户的安全模型虚拟局域网ITUT X805定义了一个完整的端到端通信系统的安全框架，定义了3个网络层次：应用层、业务层和基础设施层，并为每个网络层次定义了用户、控制和管理3个平面。对每个层次的每个平面都分别从访问控制、鉴别、不可抵赖、数据保密性、通信安全、完整性、可用性和隐私等8个方面考虑其安全性。MSAN设备作为基础设施层的网元设备，其安全要求包括：用户平面安全要求、控制平面安全要求、管理平面安全要求、设备可靠性要求和电气安全要求。用户平面安全要求能够使设备在面临一些安全威胁时仍能安全可靠地转

9、发用户业务流。控制平面安全要求能够保h正MSAN与网络之间、MSAN与用户终端之间控制消息和信令的安全传递，防止用户通过协议报文进行攻击。管理平面安全要求能够保证对设备和网管系统在面临管理方面的安全威胁时设备和网管系统仍能正常运转。5用户平面安全要求51二层隔离在N：I VLAN模式下时，MSAN应提供对于用户之间的二层隔离。52广播多播抑制为了防止形成广播风暴，MSAN应对协议特定的广播，多播包(例如DHCP，ARP，IGMP等)进行速率抑制。MSAN应支持基于全局的抑制方式，建议支持基于VLAN和端口的抑制方式。2YD厂r 1910-200953绑定策略MSAN应支持基于静态配置用户m地址

10、与用户端口或VLAN的绑定功能。MSAN可选支持跟踪DHCP中的璎地址分配过程进行端口、MAC地址和P地址的动态绑定的功能。54 MAC地址防盗用MSAN应能防止用户盗用BNG的MAC地址。MSAN应可以拒绝向同一AN中存在MAC地址重复的用户提供业务。55 MAC地址表保护为了防止MAC泛洪攻击，MSAN应当可以配置并限制从每个用户端口学习到的源MAC地址的数量。56帧过滤MSAN应可以针对MAC源地址和，或目的地址设置过滤条目。对于预定义和保留地址的MAC帧(见表1)，MSAN缺省应过滤掉，不进行转发，但设备可以提供改变缺省行为的配置选项。MSAN建议支持基于MAC目的地址、MAC源地址、

11、MAC协议类型、口目的地址、口源地址的5元组过滤规则功能。表1 MSAN对预定义和保留地址的MAC帧处理目的MAC地址 作用 缺省行为 可选配置为 引用标准0180-C200-0000 桥组地址(BPDUs) Block None IEEE 8021D，1hble 7-90180C2-Oo-00-01 PAUSE Block None IEEE 802301-80-C2-00-00-02 慢速协议(LACP，EFM OAM PDUs) B10ck Peer I唧8023，Table43B-l0180C20000-03 EAP over LANs Block Peer lEEE 802lX，Ta

12、ble 7-201_80一C2-0000-04-保留 Block None IE髓8021D，Table7-901-80C200-00-OF01-80C20000-10 所有LAN的桥管理地址 B10ck None IEEE 802 1D，Table7100180C20000-20 GMRP Block None m髓8021D，Table 121叭一80一C200002l GVRP Block None IEEE 802 1Q，Table 11-10180C2Oo00-22保留GARP应用地址 B10ck Forward IEEE 802 1D，1曲1e 12-10180_C200-002F

13、0180C2XXXXXy CFM Forward Block IEEE 8021agD6，Table 8-95_7非法组播源控制为防止组播资源被盗用，MSAN应阻止从用户端口发出的组播流。MSAN应支持对网络侧合法组播源的配置和对非法组播源进行过滤的配置。58用户侧环网检测MSAN可选具有用户侧环网检测功能，即当综合接入设备的单个或多个ADSL端口成环时，不影响其他端口的正常工作。59综合接入设备上联口安全相关功能MSAN本身应具备提供至少2个上联以太接口的能力。MSAN上联口应支持IEEE 8023链路聚集功能。MSAN应支持上联端口通过链路聚合进行链路冗余保护功能。YD厂r 1910-20

14、09MSAN应支持多个上联接口通过链路聚合进行链路负载均衡功能。MSANAz联口应支持快速生成树(RsTP)功能。510 VLANMSAN)直li皂,将信令、业务流、网管映射到不同VLAN中。5”拥塞避免功能MSAN应支持T缸1Drop算法。可以支持wRED，RED拥塞避免方法。512 RTP报文过滤功能未建立呼叫的目的为本设备的RTP报文攻击时MSAN语音业务质量应不受影响。6控制平面安全要求61用户端口识别与定位功能611二层DHCP中继代理MSAN应实现L2DHCP中继功能。DHCP见IETFRFC 2131。IETF RH2 3046定义了DHCP中继的选项82(Option 82)的

15、两个子选项：目前定义的两个子选项：一代理电路ID(AgentCircuitIDSub-option，实现中继代理的结点终结的电路ID)；一代理远端ID(Agent Remote ID Suboption，远端节点终结的电路ID)。MSAN的二层DHCP中继代理应支持Suboptionl“代理电路”。代理电路m中包含I由MSAN产生的一个本地可配置的ASCI字符串，其编码应唯一的标明了MsAN和接收DHCP消息的环路的逻辑端口。当MSAN旬业务网关或BRAS等设备上报用户环路识别信息中的“代理电路”的值时，使用ASCII码进行编码，建议格式如下：一“AccessNodeIdentifier at

16、m sloffport：vpivci”(当使用ATMDSL)；一“AccessNodeIdentifier eth slotport：vlan-id”(当使用EthemetDSL)。其中：MSAN插入的“代理电路m”域的长度不应超过63个字符。“AccessNode-Identifier”域应可以配置，并且其中必须不能包含空白字符(空格、TAB等)，长度不能超过20个字符。“slot”域长度不应超过6个字符。“port”域长度不应超过3个字符。MSAN应提供支持“代理远端”的选项进一步标明接入的逻辑端口。该包含最大63个字符的运营商可配置串，可以唯一的标明接收至IDHCP discovery消

17、息所代表的环路的用户。DHCPOption82的格式如图1所示。Code Len Agent Informadon Field+一一一十一+一1一一-+-一一+一一+一一十一一一+ 82N il i2 I i3 i4 iN+一一+一一+一一+一一-+-一一+一+一一一一一+图1 DHCPOption82格式Agent Information Held中包括多个子选项，每个子选项格式为SubOptLengthValue三元组，如4YD，T 191吨009图2所示。SubOpt Len Sub-option Value+一一+一一一一+一一+一一+一+一+一一十一一+l N s1 s2 s3 s4

18、 sN+一一+一+一一十一一十一一+一+一一十SubOpt Len Sub-option Value+一十一一一+一一+一一+一一+一一一。卜一十2 N it i2 i3 I“I iN+一。卜一一十1一一十+一一+一一一一一一+图2 Agent Information Field格式综合接入设备应丢弃来自用户含有Option82的DHCP报文。612 PPPoE中继代理PPPoEq6继代理解析所有PPPoE发现阶段的包，例如：PADI，PADO，PADR，PADS和PADT包，但是不修改这些包的源、目的地址。一旦收到的客户端发出的PADI或PADR包，中介代理在上行转发的报文中加入一个PPPo

19、E TAG。TAG中包含了接收至tJPADI或PADR包的环路的识别码。如果加入TAG后PADI或PADR消息的长度超过1500字节，中继代理应不向BNG发送此报文，建议向客户端回送Generic-ErrorTAG。TAG格式如图3所示。+一一+一+一+一一一一一+0x0105(Vendor-Specific) TAG_LENGTH+一一一一一tf一一一一+一一一一一+一一+0x00000DE9(3561 decimal，ieADSLForumIANAentry)I+一一P一一一一一+h一一+0xol length Agent Circllit ID value+一一一一一一一一一一一十一一一

20、一一一一一一一一+IAgentCircuitID value(cont)0x02 length Agent Remom ID value+一一一一一一+一一一一一+一一一一一一一+Agent Remo”ID value(cont)+一一一一一+一一一一一+一+一一一一一一一一一+图3 TAG格式TAG值的前4个字节中包含Vendor ID，ADSL论坛申请的标识为0x00000DE9(十进制值为3561)，为了标识DSL用户线，应采用611节的相关规定。613 VLAN堆叠VLAN堆叠功能应符合IEEE 8021ad的规定，并且VLAN，F层TPID应可配置，配置参数范围应包含0x88A8。6

21、2防DoS攻击MsAN应具备对攻击目标为本设备的Dos攻击的抵御能力，例如Ping ofDeath、SYN Flood、LAND等攻击。63 ARP代理5YD厂r 191小-2009为了防止形成广播风暴，MSAN建议支持对ARP协议的代理功能，对三层设备应支持该功能。64 DHCP下行广播帧处理针对特定用户的DHCP下行广播报文不应被转发到其他用户端口。65 IGMP Snooping功能MSAN设备应支持IGMP Snooping透明功能或GMP Snooping代理功能。66可控组播MSAN应支持基于用户端口的组播控制功能，具体包括：a)MSAN应支持在用户侧端口上启用，禁止组播服务功能；

22、b)MSAN应支持用户的组播权限控制，例如，允许用户加入授权的组播组或允许预览的组播组；c)MSAN应支持基于每个用户设置组播访问权限，每个用户对每个节目的权限可选单独设置，例如，包括是否允许访问某个组播组，是否允许预览某个组播组；d)MSAN应支持对用户端口所能同时加入的组播组的个数进行限制；e)MSAN应支持根据用户端口带宽资源情况限制用户端口对组播业务的加入；f)MSAN应支持组播权限业务包(Package)，每个业务包(Package)可包括任意多个频道(组播组)：g)MSAN应支持组播预览控制功能；h)MSAN应支持组播日志生成功能，日志应包括：每个端口加离开组播组的具体时间、组播地

23、址等，并可以将日志上报到服务器：i)对用户加入组播组的控制，MSAN应支持通过SNMP网管协议，实现用户端口的组播控制Mm库。MSAN应支持静态配置方式。67非法组播查询控制为防止组播资源被盗用，MSAN应阻止从用户端口发出的IGMP查询包。68注册认证MSAN在向软交换进行注册时，可选支持认证功能。69心跳机制由于UDP传送的不可靠，MSAN应定期向软交换设备发送心跳消息，并能正常响应软交换设备发送的心跳消息。610双归属MSAN应具备双归属到两台软交换的功能，当MSAN与主用软交换设备之间连接的中断，MSAN应能发起向备用软交换的注册请求，并与备用软交换建立连接。在中断期间，MSAN可以将

24、已有呼叫保持至与软交换连接恢复后收到软交换指令进行资源复位，也可以保持一段时间后主动释放已建立的所有呼叫的资源。当已注册到备用软交换的MSAN收到备用软交换要求其切回主用软交换的命令时，应能发起向主用软交换的注册请求。611拥塞处理拥塞处理是指当网络出现拥塞时，MSAN为保持己接通的话路或准备接续话路的一定服务质量而采用的措施。在软交换的控制下，MSAN可以采取动态语音编码的转换降低网络的负荷；由于资源耗尽或资源的暂时不可用，MSAN应能够向软交换设备指示不能执行所请求的行为，由软交换根据其话务控制6YD厂r 191D_2009策略控韵JMSAN接续话路的数量来维持己接续话路的通信质量。拥塞过

25、去后，设备应能恢复正常工作。7管理平面安全要求71设备管理方式711 SNMP访问MSAN应支持SNMP协议(应支持SNMP vl或SNMPv2c，分别见IETF RFCll57或IETF RFCl901，建议支持SNMPv3)。当采用SNMPvl和SNMPv2c时应可以和访问控制列表相结合，控制非法网管接入设备，同时不使用publicprivate作为缺省团体名，缺省只读团体名和读写团体名称不能够相同，并且具有提示管理员修改团体名的功能。支持SNMPv3时，支持uSM等安全机制。建议MSAN实现对网管站的访问控制，限定用户通过哪些口地址使用SNMP对设备进行访问。712 Telnet访问(可

26、选)MSAN可选支持TELNET。若支持TELNET，则应支持以下安全要求：a)用户应提供用户名，口令才能进行后续的操作，用户地址和操作应记入日志；b)口令的长度应不少于八个字符，并且应由数字、字母或特殊符号组成；c)Telnet访问时应提供对用户的账号的分级管理机制，提供对Tekaet用户权限的控制功能；d)应限制同时访问的用户数目；e)在设定的时间内不进行交互，用户应自动被注销，提供终端超时锁定功能；f)可限定用户通过哪些m地址使用Telnet服务对设备进行访问；g)能够针对Telnet的密码试探攻击进行防范，应能限定来自同一个婵地址的失败登录次数和锁定时间，并将失败登录记入日志；h)必要

27、时可关闭Telnet服务。713本地CONSOLE访问MSAN应能通过其所带的CONSOLE口对其进行带外方式的操作维护，在维护终端与设备进行交互的过程中应提供与Telnet访问方式相同的安全保护能力。714 Web管理(可选)MSAN可选支持Web管理方式。若支持Web管理方式，则应支持以下安全要求：a)用户应提供用户名VI令才能进行后续的操作，用户地址和操作应记入日志；b)口令的长度应不少于八个字符，并且应由数字、字母或特殊符号组成：c)可限定用户通过哪些口地址使用HTTP对设备进行访问；d)必要时可关闭HTTP服务；e)应支持SSLrLS安全协议，实现对管理用户数据的完整性保护。715

28、SSH(可选)MSAN可选支持SSH协议，提供到设备的TCP连接的安全性保护。在SSH方式下可承载Telnet、FIP、HTTP等管理协议。72网管系统的安全管理功能7Y【)厂r 1910-2009721安全策略管理网管系统应能提供统一的安全策略控制，包括：一登录策略管理：提供设置失败登录系统的次数及锁定时间，设置管理用户的账号有效期，设置登录超时退出时间、设置账号登录时间段、限制同一账号的最大连接数；一提供管理用户密码的功能：密码重置、设置用户密码有效天数：一管理用户密码设置策略：限制管理用户设置的密码长度、密码组成等；一支持管理用户登录的P管理策略，将登录的管理用户与地址绑定。722角色管

29、理角色表示一类特定的权限的集合，包括管理用户可以登录的客户端IP地址范围，管理用户可以进行的操作，管理用户可以管理的资源等。通过安全管理可以动态地创建、删除和修改角色，形成新的权限集合，以便分配给管理用户，达到控制管理用户权限的目的。角色管理功能应包含：一增加、删除、修改角色；一给角色分配管理资源(可管理的对象范围)和操作权限。从操作权限来说，网管系统应可以提供三类缺省的角色：一系统管理员：可以执行网管系统提供的所有功能项，包括权限分配功能；一配置管理员：可以执行网管系统提供的对设备和系统自身有数据修改权限的功能(不包括权限分配功能)，如：资源维护、设备配置、版本升级、系统维护等；一监控管理员

30、：可以执行网管系统提供的对设备的监控和网管系统自身的查询和审计等功能，如：资源查询、告警监控、性能统计、日志查询等。网管系统应提供灵活的角色创建功能，如可以根据管理用户的需要再单独创建版本管理员、统计管理员等角色。从管理资源来说，这些操作权限都应可以指定管理的范围。723账号管理对使用网管系统的管理用户账号进行管理维护，包括：一增加账号：一删除账号；一修改账号信息；一查询账号信息。管理用户的账号信息包括：一用户账号：一用户密码(密码的长度应不少于8个字符，并且应由数字、字母或特殊符号组成，网管系统应应提供检查机制，保证每个密码至少是由前述的三类符号中的两类组成)；一密码有效期；一用户所属角色；

31、一附加说明。8YD厂r 1910-2009支持同一个管理员账号属于多个角色组。724管理用户登录管理网管系统应能提供完善的用户登录管理功能，包括：一只有在服务器中已经注册的用户才能登录到网管系统，如果启动了访问控制列表功能，则客户端必须同时满足存在于网管系统ACL表中的用户才能登录到网管系统；一登录的用户只具有已经被授权的指定操作；一登录失败告警，使用同一管理账号连续多次登录失败时，网管系统应产生非法登录告警，并对该管理账号进行锁定；一手工注销登录的用户；一手工或超时自动锁定客户端或退出。725在线管理用户管理网管系统应能对在线用户进行监视，能够实时监视在线用户的登录情况，包括：一登录用户；一

32、登录时间：一操作终端信息。网管系统应能对在线用户进行管理，超级用户能够查看一般用户所做的操作，并强制其退出。73网管系统的日志功能管理用户可以根据给定条件对日志进行查询，并可对查询到的日志进行排序。查询的条件为：一给定时间或时间段进行查询：一给定用户进行查询；一给定的El志类型。可以查询到的信息包括：一日志类型：包括操作日志、系统日志、安全日志；一操作时间：一操作人；一操作名称；一操作对象：一操作内容；一操作终端。一操作结果(成功或失败)。8可靠性要求81主备倒换设备的主控板、电源板等关键板件应支持冗余热备份，可实现自动倒换，倒换时宽窄带业务不受影响。8_2环境监控9YD厂r 1910-200

33、9MSAN应能提供对设备风扇工作情况、内部温度等环境信息的收集和上报功能。83线路故障诊断MSAN应提供对ADSL2+和VDSL2线路的内置的DELT和SELT测试功能，可以帮助判断线路故障。9电气安全要求911绝缘电阻正常情况下，设备的绝缘电阻不应小于50MQ。912设备接地要求设备的接地电阻应小于5Q。913过压、过流保护设备应安装过压、过流保护器。过压、过流保护器在外接电源异常时保护设备的核心部分。设备应满足YDT 1082-2000对模拟雷电冲击、电力线感应、电力线接触等指标的要求。914电磁兼容设备的电磁兼容性指标应满足YDT 1244-2002的要求。10中华人民共和国通信行业标准接入网安全技术要求综合接入系统YD，r 19102009人民邮电出版社出版发行北京市祟文区夕照寺街14号A座邮政编码：100061北京新瑞铭印刷有限公司印刷版权所有不得翻印开本：880x1230 116 2009年8月第1版印张：1 2009年8月北京第1扶印刷字数：25千字ISBN97871151907，09149定价：10元本书如有印装质量问题，请与本社联系电话：(01 0)67114922