1、ICS 3304050M 19 1;Y口中华人民共和国通信行业标准YDT 2048-2009接入网安全技术要求DSL接入复用器(DSLAM)设备Technical requirements for security of Digital Subscriber LineAccess Multiplexer(DSLAM)2009-12-11发布 2010-01-01实施中华人民共和国工业和信息化部发布目 次言范围1规范性引用文件1缩略语1概述2用户平面安全要求2控制平面安全要求3管理平面安全要求4可靠性要求7设备电气安全8前l23456789前 言本标准是接入网安全系列标准之一,该系列标准预计结构
2、及名称如下:1YDVI2046-2009接入网安全技术要求1DSL用户端设备2YDT 20472009接入网设备安全测试方法xDsL用户端设备3YDT 20482009接入网安全技术要求DsL接入复用器(DSLAM)设备4YDT 20492009接入网设备安全测试方法DSL接入复用器(DSLAM)设备5YDT 2050-2009接入网安全技术要求无源光网络(PON)设备6YDT 20512009接入网设备安全测试方法一无源光网络(I ON)设备7YDT 1910-2009接入网安全技术要求综合接入系统8接入网设备安全测试方法一综合接入系统在本标准的制定过程中注意了与以下标准的协调统一:1YDT
3、 13232004接入网技术要求不对称数字用户线(ADsL)2YDVf 1239-2002接入阿技术要求甚高速数字用户线(VDSL)3YDT 1055-2005接入网设备测试方法一带话音分离器的不对称数字用户线(ADSL)4YDgr 1530-2006接入网技术要求频谱扩展的第二代不对称数字用户线(ADSL2+)5YD仃1706-2007接入网技术要求数字用户线(DsL)承载宽带业务6YDr 1996-2009接入网技术要求一第二代甚高速数字用户线(VDSL2)本标准由中国通信标准化协会提出并归口。本标准起草单位:工业和信息化部电信研究院、中兴通讯股份有限公司、华为技术有限公司、上海贝尔股份有
4、限公司、大唐电信科技产业集团、国家计算机网络应急技术处理协调中心。本标准主要起草人:程强、刘谦、赵苹、陈洁、敖立、牛乐宏、袁立权、姚亦峰、党梅梅、葛坚、李云沽。接入网安全技术要求DSL接入复用器(DSLAM)设备1范围本标准规定了数字用户线接入复用设备(DSLAM)的用户平面、控制平面和管理平面的安全性要求,以及对设备可靠性和电气安全方面的要求。本标准适用于公众电信网的局端xDSL接入复用器设备,对于放置在远端的DSL接入复用设备可以参考使用。专用电信网也可参考使用。2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)
5、或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。YDJT 1082-2000 接入网设备过电压过电流防护及基本环境适应性技术条件YD厂r 1244-2002 数字用户线(xDSL)设备电磁兼容性要求和测量方法YDT 1706-2007 接入网技术要求数字用户线(DSL)承载宽带业务ITU-TX805 端到端通信系统安全框架IETF RFCll57 简单网络管理协议IETF RFCl901 基于团体的SNMPv2简介IEEE 8021ad 虚拟桥接的局域网附件4:运营商桥IEEE 8023 局域网和城域
6、网第三部分t CSMACD接入方法和物理层规范3缩略语下列缩略语适用于本标准。AAA Authentication。AuthorizationandAccountingADSL Asymmetric Digital Subscriber LineADSL2+ Asymmetric Digiml Subscriber Line 2 plusARPBNGCVIDDELTDHCPDLFDSLAddress Resolution ProtocolBroadband Network GatewayCustomAN卫DentifierDoubleEnded Line TestDynamic Host Co
7、nfig ProtocolDestination Lookup FailureDigital Subscriber Line认证、鉴权和计费不对称数字用户线频谱扩展的第二代不对称数字用户线地址解析协议宽带网络网关客户VID双端线路测试动态主机配置协议目的查找失败数字用户线YD厂r 2048-_2009DSLAM Digital Subscriber Line Access MultipllexerHm HyperText Transfer ProtocolIGMP Internet Group Management Protocolm Internet ProtOCOlMAC Media Ac
8、cess ControlPPP Point to Point ProtocolPPPoE PPP over EthernetRSTP Rapid Spanning Tree ProtocolSELl Single-Ended Line TestSNMP Simple Network Management ProtocolSSH Secure SheUSSL Secure Socket LayerSVID Service VLAN口)entifierTLS Transport Layer SecurityUSM User-based Security ModelVDSL vefy high sp
9、eed Digital Subscriber LineVDSL2 Very high speed Digital Subscriber Line 2VID VLANmVLAN Virtual Local Area Network4概述数字用户线接入复用器超文本传输协议因特网组管理协议互联网协议媒质访问控制点到点协议以太网承载PPP快速生成树协议单端线路测试简单网络管理协议安全Shell安全套接字层业务V11)传送层安全用户安全模型甚高速数字用户线第二代甚高速数字用户线VLAN标识虚拟局域网rruT X805端到端通信系统安全框架定义了一个完整的端到端通信系统的安全框架,应用层、业务层和基础设施
10、层定义了3个网络层次,并为每个网络层次定义了用户、控制和管理3个平面。对每个层次的每个平面都分别从访问控制、鉴别、不可抵赖、数据保密性、通信安全、完整性、可用性和隐私8个方面考惑其安全性。DSLAM设备作为基础设施层的网元设备,在用户、控制和管理3个平面上的安全功能主要用于保障自身及网络安全、业务提供的安全和信息传递的安全。用户平面安全要求能够使设备在面临一些安全威胁时仍能安全可靠地转发用户业务流。控制平面安全要求能够保证设备自身信令功能正常运行与其他业务节点(如BNG、软交换等)之问的信令安全传送,防止用户通过协议报文进行攻击。管理平面安全要求能够保证设备和网管系统在面临管理方面的安全威胁时
11、仍能正常运转。5用户平面安全要求51二层隔离功能DSLAM设备应对用户侧的所有DSL端口之间提供二层隔离的功能,即同-DSLAM设备下的不同DSL端口上的用户不应通过DSLAM设备上的二层桥接功能直接互通。52 VLAN功能DSLAM中的VLAN功能可用来标记不同的广播域,用于业务区分、用户区分等目的。VLAN功能的2YD厂r 2048-2009具体规定见YDrI1706-2007的接入网技术要求数字用户线(DSL)承载宽带业务的71。53帧过滤功能DSLAM应能根据MAC源地址和,或目的地址设置过滤条目。对于预定义和保留地址的MAC帧(见YDT 1706-2007接入网技术要求数字用户线(D
12、SL)承载宽带业务表1),DSLAM缺省应过滤掉,不进行转发,但设备可以提供改变缺省行为的配置选项。DSLAM宜支持基于MAC目的地址、MAC源地址、MAC协议类型、P目的地址、口源地址的五元组过滤规则功能。DSLAM应可配置为过滤从用户端口发出目的地址为组播的UDP流。54 MAC地址控制功能DSLAM应当可以配置并限制从每个用户端口学习到的源MAC地址的数量。DSLAM应能防止用户盗用BNG(例如接入服务器或业务路由器)端口的MAC地址。DSLAM应可以拒绝向存在MAC地址重复的用户提供业务。55广播组播DLF帧速率抑制DSL,M应具备对MAC目的地址为广播或组播地址的报文以及DLF报文进
13、行速率限制的功能,在上行方向应默认开启此功能。DSLAM应支持基于全局的抑制方式。宜支持基于VLAN和端口的抑制方式。56绑定功能DSLAM设备应支持对MAC地址、口地址与端口或VLAN等的绑定。DSLAM应支持基于静态配置用户口地址与DSL端口或VLAN的绑定功能。DSLAM可选支持跟踪DHCP中的地址分配过程进行端口、MAC地址和地址的动态绑定功能。5-7上联口相关功能DSLAM设备应具备提供至少2个上联以太接口的能力。DSLAM设备上联口应支持IEEE 8023链路聚集功能。DSLAM设备应支持上联端口通过链路聚合进行链路冗余保护功能。DSLAM设备应支持多个上联接口通过链路聚合进行链路
14、负载均衡功能。DSLAM设备上联口应支持快速生成树(RSTP)功能。58端口镜像功能DSLAM设备宜支持对特定的物理端口或逻辑端口的流镜像功能。59协议报文限速DSLAM设备应支持对特定协议报文(例如,DHCP、IGMP、ICMP等)进行限速处理。510用户环网检测DSLAM设备应支持对用户侧端口是否成环的检测,防止环网形成。6控制平面安全要求61 IGMP Snooping代理功能及可控组播功能DsLAM设备应支持IGMP sno叩iIlg代理功能,该功能定义见YD,r 1706-2007的接入网技术要求一一数字用户线(DSL)承载宽带业务的38。DSLAM设备应支持基于用户和组播组的访问控
15、制功能,防止非法用户获得无权限收看的胄容。3YD厂r 2048-2009可控组播功能规定见YDtr 1706-2007接入网技术要求数字用户线(DSL)承载宽带业务的762。62非法组播源过滤DSLAIVl应可配置为过滤从用户端口发出的IGMP查询包。DSLAIvl应支持对网络侧合法组播源的配置和对非法组播源进行过滤的配置。63 ARP代理功能DSLAM宜支持对Al理协议的代理功能。对于支持三层转发功能的DLSAIvl,该功能为必选。64 DHCP下行处理要求针对特定用户的下行DHCP响应报文不应被转发到其他用户端El,防止其他用户通过嗅探该报文获得该用户的口地址。65端口定位功能端口定位功能
16、用于标识DSLAM设备的用户业务流通道,并对每个通道按照端口编号计划进行惟一编号,该编号可用于:(1)AAA服务器对用户账号的防盗用;(2)通过AAA服务器日志中的用户名、m地址、端口号等对故障进行追踪和判断:(3)业务网关和策略服务器等可以根据端口编号关联用户特定的业务配置文件;(4)用户的位置可溯;(5)其他应用等。DSI,AIvI应支持二层DHCPq日继代理、PPPoE中继代理和VLAN堆叠功能。二层DHCPqh继代理功能见YDfr 1706-2007接入网技术要求数字用户线(DSL)承载宽带业务的742。PPPoEqa继代理功能见YDfr 1706-2007接入网技术要求数字用户线(D
17、SL)承载宽带业务的743。AN堆叠功能参见IEEE 8021ad,DSLADI设备应支持采用SVII、C-VID的惟一组合标识惟一的用户。66防DoS攻击应具备对攻击目标为本设备的DoS攻击抵御能力,例如Ping ofDeath、SYNFlood、LAND等攻击。7管理平面安全要求71管理员口令不论在何种管理方式下,对设备的管理用户都需要鉴别和认证,鉴别和认证是系统访问的基础。与管理员权限相关的安全数据应得到妥善的保护。用户进行网络管理时所使用的登录口令的长度应不少于8个字符,并且应由数字、字母或特殊符号组成,DsLlM网管系统应提供检查机制,保证每个口令至少是由前述的三类符号中的两类组成。
18、无论在设备还是网管系统中,口令不应使用明文保存。72设备访问方式721 SNMP访问4YD厂r 204争-2009DSLAM应支持SNMP协议。应支持SNMP vl(见IETFRFCll57)或SNMPv2c(gmTFRFCl901),宜支持SNMPv3。当采用SNMPvl和SNMPv2c时,应可以和访问控制列表相结合,控制非法网管接入设备,同时不使用publicprivate作为缺省团体名,缺省只读团体名和读写团体名称不能够相同,并且具有提示管理员修改团体名的功能。支持SNMPv3时,支持USM等安全机制。DSLAM宣实现对网管站的访问控制,限定用户通过哪些m地址使用SNMP对设备进行访问。
19、72-2 Telnet访问(可选)DSLAM可选支持frelnet。若支)孛:Ielnet,则应支持以下安全要求:(1)用户应提供用户名,口令才能进行后续的操作,用户地址和操作应记入日志;(2)Telnet访问时应提供对用户的账号的分级管理机制,提供对Telnet用户权限的控制功能:(3)应限制同时访问的用户数目;(4)在设定的时间内不进行交互,用户应自动被注销,提供终端超时锁定功能;(5)可限定用户通过哪些m地址使用Telnet服务对设备进行访问;(6)能够针对Telnet的密码试探攻击进行防范;(7)必要时可关闭Tclnet服务。723本地CONSOLE访问DSLAM应能通过其所带的CON
20、SOLED对其进行带外方式的操作维护,在维护终端与设备进行交互的过程中应提供与Telaet访问方式相同的安全保护能力。724 Web管理(可选)DSLAM可选支持Web管理方式。若支持Web管理方式,则应支持以下安全要求:(1)用户应提供用户名1:3令才能进行后续的操作,用户地址和操作应记入日志;(2)可限定用户通过哪些P地址使用HTrP对设备进行访问;(3)可关闭HTrP服务;(4)支持SSIrLS安全协议或提供其他安全措施,实现对管理用户数据的完整性保护。725 88H支持(可选)DSLAM设备可选提供SSH协议支持,提供到设备的TCP连接的安全性保护。在SSH方式下可以承载TclIIet
21、、FTP、HTrP等管理协议。73网管系统安全要求731安全策略管理网管系统应能提供统一的安全策略控制,包括以下几项。(1)登录策略管理:提供设置非法登录系统的次数及锁定时间,设置管理用户的账号有效期,设置登录超时退出时间、账号登录时间段、限制同账号最大连接数等功能。(2)提供管理用户的功能。(3)管理用户密码设置策略:限制管理用户设置的密码长度、密码组成,提供密码重置功能i设置用户密码有效天数等。(4)支持管理用户登录的P管理策略,将登录的管理用户与疋地址绑定。lYD厂r 2048-200973_2角色管理角色表示一类特定的权限的集合,包括管理用户可以登录的客户端m地址范围,管理用户可以进行
22、的操作,管理用户可以管理的资源等。通过安全管理可以动态地创建、删除和修改角色,形成新的权限集合,以便分配给管理用户,达到控制管理用户权限的目的。角色管理功能应包含以下几项。(1)增加、删除、修改角色;(2)给角色分配管理资源(-f管理的对象范围)和操作权限。(3)从操作权限来说。网管系统应可以提供三类缺省的角色t系统管理员t可以执行网管系统提供的所有功能项,包括权限分配功能。配置管理员t可以执行网管系统提供的对设备和系统自身有数据修改权限的功能(不包括权限分配功能),如资源维护、设备配置、版本升级、系统维护等。监控管理员:可以执行网管系统提供的对设备的监控和网管系统自身的查询和审计等功能,如资
23、源查询、告警监控、性能统计、日志查询等。网管系统应提供灵活的角色创建功能,如可以根据管理用户的需要再单独创建版本管理员、统计管理员等角色。从管理资源来说,这些操作权限都应可以指定管理的范围。733账号管理对使用网管系统的管理用户账号进行管理维护,包括,(1)增加账号;(2)删除账号;(3)修改账号信息;(4)查询账号信息。管理用户的账号信息包括:(I)用户账号;(2)用户密码:(3)密码有效期;(4)用户所属角色;(5)附加说明。支持同一个管理员账号属于多个角色组。734管理用户登录管理网管系统应能提供完善的用户登录管理功能,包括:(1)只有在服务器中已经注册的用户才能登录到网管系统,如果启动
24、了访问控制列表功能,则客户端必须同时满足存在于网管系统ACL表中的用户才能登录到网管系统;(2)登录的用户只具有已经被授权的指定操作;(3)登录失败告警,使用同一管理账号连续多次登录失败时,网管系统应产生非法登录告警,并对该管理账号进行锁定;6YD厂r 204争-2009(4)手工注销登录的用户;(5)手工或超时自动锁定客户端或退出。735在线管理用户管理网管系统应能对在线用户进行监视,能够实时监视在线用户的登录情况,包括:(1)登录用户:(2)登录时间;(3)操作终端信息。网管系统应能对在线用户进行管理,超级用户能够查看一般用户所做的操作,并强制其退出。736日志管理管理用户可以根据给定条件
25、对日志进行查询,并可对查询到的日志进行排序。查询的条件为;(1)给定时间或时间段进行查询;(2)给定用户进行查询;(3)给定的日志类型。可以查询到的信息包括:(1)日志类型,包括操作日志、系统日志、安全日志;(2)操作时间;(3)操作人;(4)操作名称;(5)操作对象;(6)操作内容;(7)操作终端;(8)操作结果(例如成功或失败)。8可靠性要求81线路故障诊断DSLAM应提供对ADSL2ADSL2+和VDSL2线路的内置的DELT和SELT测试功能,以帮助判断线路故障。82设备故障大容量的DSLAM应支持主控板的1+1备份功能,在主控板倒换过程中不应丢失配置数据,用户业务不发生中断。83环境
26、监控DSLAM设备应能提供对设备风扇工作情况、内部温度等环境信息的收集和上报功能。84电源安全性对于采用单独电源模块集中供电设备,应支持双电源模块热备份功能。对于分散单板供电设备,应提供两个互为备份的电源接口。79设备电气安全91绝缘电阻正常情况下,设备的绝缘电阻不应小于50Mfl。92设备接地要求设备的接地电阻应小于5fl。93过压、过流保护ADSL,I蜀端和用户端设备应安装过压、过流保护器。过压、过流保护器在外接电源异常时保护设备的核心部分。ADSL设备应满足YDff 1082-2000接入网设备过电压过电流防护及基本环境适应性技术条件对模拟雷电冲击、电力线感应、电力线接触等指标的要求。94电磁兼容设备的电磁兼容性指标应满足YDT 1244-2002数字用户线(xDSL)设备电磁兼容性要求和测量方法的要求。8中华人民共和国通信行业标准接入网安全技术要求DSL接入复用器(DSLAM)设备YD,r 2048伽9人民邮电出版社出版发行北京市崇文区夕照寺街14号A座邮政编码:100061北京新瑞铭印刷有限公司印刷版权所有不得翻印开本:8801230 116 2010年1月第1版印张:075 2010年1月北京第1次印刷宇散:21千字ISBN 9787115197810-40定价:B元本书如宥印装质量问题请与本杜联系电话:f010)67114922