1、ICS 3304050M 19 Y口中华人民共和国通信行业标准接入网安全技术要求无源光网络(PON)设备Technical requirements for security of passive optical network(PON)equipment2009-12-11发布 20lo-0101实施中华人民共和国工业和信息化部发布目 次YD厂r 20502009言II范围1规范性引用文件1缩略语1概述2用户平面安全要求2控制平面安全要求4管理平面安全要求5设备可靠性要求8设备电气安全9_1日123456789刖 吾本标准是接入网设备安全系列标准之一,该标准系列的名称和结构预计如下:1YDT
2、 20462009接入网安全技术要求xDSL用户端设备2YDgl20472009接入网设备安全测试方法一xDSL用户端设备3YDrr 2048-2009接入网安全技术要求DsL接入复用器(DSLAM)设备4YDT 20492009接入网设备安全测试方法_DSL接入复用器(DsLAM)设备5YDT 2050-2009接入网安全技术要求无源光网络(PON)设备6YDT 20512009接入网设备安全测试方法一无源光网络(PON)设备7YDT 19102009接入网安全技术要求综合接入系统8接入网设备安全测试方法一综合接入系统本标准在制定过程中注意了和下列标准的协调统一:1YDT 14752006接
3、入网技术要求基于以太网方式的无源光网络(EPON)2YDr 17712008接入网技术要求EPoN系统互通性3YDT 1949-2009接入网技术要求吉比特的无源光网络4YDrr 1953-2009接入网技术要求-EPONGPON系统承载多业务本标准由中国通信标准化协会提出并归口。本标准起草单位;工业和信息化部电信研究院、中兴通讯股份有限公司、华为技术有限公司、上海贝尔股份有限公司、国家计算机网络应急技术处理协调中心本标准主要起草人:陈洁、程强、刘谦、赵苹、敖立、党梅梅、葛坚、李云洁、张博山、牛乐宏、姚亦峰。YDT 2050-2009接入网安全技术要求无源光网络(PON)设备1范围本标准规定7
4、PON设备(包括EPON设备和GPON设各)的用户平面安全要求、控制平面安全要求、管理平面安全要求、设备可靠性和电气安全要求。本标准适用于公众电信网环境下的PON设备,专用电信网也可参照使用。2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。GB 9254-1998 信息技术设备的无线电骚扰限值和测量方法GBT 17618-1998 信息技术设备抗扰度限值和测量方法YDtT 1
5、0822000 接入网设备过电压过电流防护及基本环境适应性技术条件YDT 14752006 接入网技术要求基于以太网方式的无源光网络(EPON)YDT 1771-2008 接入网技术要求EPON系统互通性要求YDT 19491-2009 接入网技术要求吉比特的无源光网络(GPON)第1部分总体要求YDT 194932009 接入网技术要求吉比特的无源光网络(GPON)第3部分传输汇聚(TC)层要求IEEE 8021ag 局域网和城域网虚拟桥接局域网增补件5:连接故障管理IEEE 8021D 局域网和城域网MAc桥IEEE 802IQ 局域网和城域网虚拟桥接局域网IEEE 8021X 局域网和城
6、域网基于端口的网络接入控制IEEE 8023 信息技术系统间通信和信息交换局域网和城域网特定要求第3部分:CSMACD接入方式和物理层规范IETF RFCl901 基于团体名的SNMPv23缩略语下列缩略语适用于本标准。BRAS Broadband Remote Access ServerDHCP Dynamic Host Config ProtocolDLF Destination Lookup FmlureDoS Denial of ServiceEPON Ethemet Passive Optical NetworkGPON Gigabit-Capable Passive Optical
7、 Network宽带远程接入服务器动态主机配置协议目的查找失败拒绝服务基于以太网方式的无源光网络吉比特无源光网络IGMP Internet Group Management ProtocolMDU Multi-Dwelling UnitOLT Optical LfinererminalOMCI ONT Management and Control InterfaceONU Optical Network UnitPON Passive Opfical NetworkPPP Point to Point ProtocolPPPoE PPP over EtllerectSCB Single Cop
8、y BroadcastSSL Secure Sockets LaverTC Transmission ConvergenceTCP Transmission Conlrol ProtocolTLS Transport Layer SecurityLIDP User Datagram ProtocolUSM Uset-based Security MedelVLANnual Local Area Network4概述互联网组管理协议多住户单元光线路终端ONT管理控制接口光网络单元无源光网络点到点协议以太网承载PPP单拷贝广播安全套件层传输汇聚传输控制协议传输层安全用户数据协议基于用户的安全模型虚
9、拟局域网ITU-T X805端到端通信系统安全框架定义了一个完整的端到端通信系统的安全框架,定义了应用层、业务层和基础设施层3个网络层次,并为每个网络层次定义了用户、控制和管理3个平面。对每个层次的每个平面都分别从访问控制、鉴别、不可抵赖、数据保密性、通信安全、完整性、可用性和隐私8个方面考虑其安全性。PON设备(包括EPON设备和GPON设备)用户平面安全要求在面临信息安全威胁时仍然能够保证用户数据信息在OLTA二联接口和ONU下联接口之间的安全传递。PON设备控制平面安全要求能够保障OLT和ONU之间、OLT和网络节点设备之间、ONU和用户设备之间控制消息和信令的安全传递,防止非法用户通过
10、协议报文攻击网络。PON设备管理平面安全要求在面临安全威胁时仍能够保证管理用户、网管系统和PON设备三者之间的安全接入和管理信息的安全传递。5用户平面安全要求51数据加密功能PON设备在下行方向应支持对用户单播数据进行加密,以保证用户数据的安全性。下行组播业务和上行用户数据无需进行加密处理。EPON设备应采用三重搅动方法对用户数据进行保护,具体应符合yD,rr 17712008接入网技术要求EPON系统互通性要求的规定。GPON设备采用的加密算法应符合YDT 194932009接入网技术要求吉比特的无源光网络(GPON)第3部分传输汇聚(Tc)层要求的规定。52二层隔离2YD,T 2050-2
11、009OLT应支持各ONU之间的二层隔离,即同一oLT设备上同一和不同PON接口下的各ONU之间均不应通过OLT设备上的二层桥接功能直接互通。MDU类型的ONU应支持各用户物理端口之间的二层隔离,即各用户物理端口之问不应通过ONU上的二层桥接功能直接互通。53帧过滤531 OLT的帧过滤功能OLT应支持根据以太网封装协议、源目的MAC地址、源,目的口地址和TCPLrDP端口号对上、下行以太网数据帧进行过滤。OLT应能过滤来自用户的组播流。缺省状态下,OLT应支持过滤表1规定的预定义和保留地址的MAC帧,但OLT可以提供改变缺省行为的配置选项。寰1预定义和保留MAC地址MAC地址 作 用 缺省行
12、为 可选配置 引用标准0180C200-004)0 桥组地址(BPDUs) Block None WEE 8021DTable 7190180-C2-00-00-0l PAUSE B10ck None 伍EE 802 30l-80-C2-00-00-02 慢速协议(LACE EFM OAM PDUs) Block M WEE 8023,Table 43B-10180-C2-00-00-03 EAP ovcF LANs Block Pecr IEEE 802 1X,Table 7-20180C200-00-04 保留 Blk None 腰EE 8021DTable 7-901-80-C2-00-
13、00-0F0180_C2-O阻00-10 所有LAN的桥管理地址 B10ck Nonc IEEE 8021D1曲le 7-10Ol-80C2-00-00-20 Gh肿 Block None IEEE 802】DTable 12-101-80_C2-00-00-2l GVRp Block None WEE 8021Q;Table 11101-80C200-00_22 保留GARP应用地址 B10ck Forward IEEE 802 1D,Table 1210180一C200-00-2F0180-C2xx-xxxv CFM Forward B10ck WEE 8021ag-D6,Table 8-
14、9532 ONU的帧过滤功能ONU应支持根据物理端口、以太网帧封装协议、源目的MAC地址、以太网优先级标记(P-bit)对上、下行以太网数据帧进行过滤。缺省状态下,ONU应支持过滤表l规定的预定义和保留地址的MAC帧,但ONU可以提供改变缺省行为的配置选项。建议ONU支持基于源,目的P地址和TCP,uDP端口号对数据帧进行过滤。建议ONU过滤来自用户的组播流。54组播广播DLF报文风暴抑制OLT应对二层组播,广播巾LF报文的速率进行抑制,在上行方向应默认开启此功能。OLT位支持基于全局的抑制方式,建议支持基于VLAN和端口的抑制方式。55协议报文限速OLT和MDU类型ONU应支持对特定协议报文
15、(例如,DHCP、IGMP、ICMP等)进行限速处理。56 MAC地址控制功能561 0LT的MAC地址控制功能Y)l 205012009OLT应能配置并限制从每个ONU学习到的MAC地址的数量,限制的数量应可以灵活配置。当达NMAC地址表深度时,OLT应支持忽略新MAC地址直到IEIMAC地址老化等不同策略。562 ONU的MAC地址控制功能ONTO应支持限制从每个用户物理端口学习到的MAC地址的数量,且限制的数量应可以灵活配置。当达iIJMAC地址表深度时,ONU应支持忽略新MAC地址直到旧MAc地址老化等不同策略。57防止MAC地址欺骗OLT应能够防止用户MAC地址欺骗,应支持丢弃重复的
16、MAC地址的帧。OLl应能够防止用户仿冒宽带网络网关(如BRAS)的MAC地址。58 IP地址绑定功能OLT和MDU类型的ONU应支持口地址与端口或VLAN等的绑定,地址绑定功能应包含下面蕊个子功能:(1)端ISla被限制仅能使用地址A,不能使用除地址A外的其他地址;(2)端lob不能盗用端口a使用的地址A。OLT和MDU类型的ONU应支持基于静态配置用户地址与用户端口或VLAN的绑定功能。OLT和MDU类型的ONU可选支持跟踪DHCP中的口地址分配过程进行端口和口地址的动态绑定功能。59 VLAN和VLAN StackingOLT和ONU应支持通过VLAN实现用户隔离和业务隔离,并应支持对不
17、信任用户的VLAN ID进行丢弃或切换处理。OLT和ONU应支持的VLAN和VLAN Stacking具体功能要求见YDfT 19491-2009接入网技术要求吉比特的无源光网络(GPON)第1部分总体要求的规定。510 RTP报文过滤功能对于内置qolP语音功能的ONU,当遭到未建立呼叫的、目的为本设备的RTP报文攻击时,ONU应丢弃所有的非法I玎P报文,并且语音业务质量应不受影响。51 1上联端口安全相关功能PON设备的OLT应具备提供至少2个上联以太接口的能力。PON设备的OLT上联端口应支持IEEE 8023规定的链路聚集功能,应实现链路负载分担和链路冗余保护功能。PON设备的OLT上
18、联端口应支持快速生成树(RSTP)功能。PON设备的OLT上联端口应支持对特定的物理端口或逻辑端E1的流镜像功能。512用户环网检测ONU应支持对用户侧端口是否成环的检测,防止环网形成。6控制平面安全要求61 ONU认证EPON设备的OLT应支持根据ONU的MAC地址对其合法性进行认证的能力,应拒绝非法ONU接入网络获得服务。GPON设备MOLT应支持根据ONU序列号对其合法性进行认证的能力,可选支持同时采用序列号和4YD厂r 2050-2009password对ONu进行合法性认证,应拒绝非法ONU接入网络获得服务。非法ONU事件应记入系统日志,并应产生相应警告信息。6_2用户端口识别与定位
19、功能OLT设备和MDU类型的ONU应支持用户物理端口的识别和标记功能,并按照端口编号计划进行惟一编号。OLT和MDU类型的ONU应支持通过二层DHCP中继代理、PPPoE中继代理和VLAN stachng功能传递用户端口信息,端口信息可包括OLT设备标识、槽位号、PON端口号、ONU标识、用户物理端口号、VLAN和VPIVCI等信息。63可控组播PON设备应支持组播权限控制功能阻止非法用户获取组播业务,具体要求见YDT 19491-2009接入网技术要求吉比特的无源光网络(GPON)第1部分总体要求的规定。64过滤功能OLT应能够过滤来自用户端口的IGMP查询帧和DHCPOFFERACKNAK
20、帧。OLT应支持对网络侧合法组播源的配置和对非法组播源进行过滤的配置。建议ONU支持过滤来自用户端口的IGMP查询帧和DHCPOFFERACKNAK帧。65防DoS攻击OLT、HGU类型ONU和MDU类型的ONU均应支持防止攻击目标为本设备的Ping of Death、SYNRood、LAND攻击和口欺骗等DoS攻击,当遭遇DoS攻击时,应能保证用户正常数据流的正常转发。66 ARP代理功能为了防止形成广播风暴,建议OLT支持ARP防议代理功能。对支持三层功能的OLT设备,应支持ARP代理功能。67心瑚I机制提供VoIP业务的ONU应定期向软交换发送心跳消息,并应能正确响应软交换发送的心跳消息
21、。6 8 SIP协议的注册认证功能对于采用SIP协议提供VoIP业务的ONU,在向软交换注册时,可选支持认证功能。7管理平面安全要求71管理员口令(1)应对PON设备的管理用户进行鉴别和认证,鉴别和认证是系统访问的基础。与管理员权限相关的安全数据应得到妥善的保护。(2)用户进行网络管理时所使用的登录口令的长度应不少于8个字符,并且应由数字、字母或特殊符号组成,PON网管系统应提供检查机制,保证每个口令至少是由前述的三类符号中的两类组成。(3)无论在设备还是网管系统中,管理员口令不应使用明文保存。7_2设备访问方式721 基本要求OLT设备应支持带内和带外访问的管理方式。建议使用带外方式进行管理
22、。在保证通信安全的前提下,PON设备也可采用带内方式管理。5YD厂r 2050_2009OLT设备应支持SNMP管理控制方式和CONSOLE管理控制方式,可选支持Telnct(ssH)和Web管理控制方式。722 SNMP访问OLT设备应支持SNMPv2c(见IETF RFCl901),宜支持SNMPv3。支持SNMPv2c时,应可以和访问控制列表相结合,控制非法网管接入设备,同时不使用publicprivate作为缺省团体名,缺省只读团体名和读写团体名称不能够相同,并且在适当的时机提示管理员修改团体名。支持SNMPv3时,支持USM等安全机制。建议OLT实现对网管站的访问控制,限定通过哪些P
23、地址使用SNMP对设备进行访问。723 本地CONSOLE访问OLT设备应能通过其所带的CONSOLE口对其进行带外方式的操作维护,在维护终端与设备进行交互的过程中应提供与Tclnet访问方式相同的安全保护能力。724 ToInet访问(n-i选)OLT设备可选支持Tehle妨问方式。若支持Telnet则应支持以下安全要求:(1)用户应提供用户名N令才能进行后续的操作,用户地址和操作应记入日志;(2)Telnet访问时应提供对用户账号的分级管理机制,提供对Telnet用户权限的控制功能;(3)应限制同时访问的用户数目;(4)在设定的时间内不进行交互,用户应自动被注销,提供终端超时锁定功能;(5
24、)可限定用户通过哪些口地址使用Telnet服务对设备进行访问;(6)能够针对Telnet的密码试探攻击进行防范,可对同一个P地址使用延时响应机制,也可利用限定来自同一个m地址的登录尝试次数;(7)应支持关闭Tehlet服务。725 Web访问(可选)OLT设备可选支持Web访问方式。若支持web访问方式,则应支持以下安全要求;(1)用户应提供用户名El令才能进行后续的操作,用户地址和操作应记入日志;(2)可限定用户通过哪些口地址使用HTrP对设备进行访问;(3)应支持关闭l-rrl哪务;(4)应支持SSIWLS安全协议或提供其他安全措施,实现对管理用户数据的完整性保护。73网管系统安全要求73
25、1安全策略管理网管系统应能提供统一的安全策略控制,包括以下几项。(1)登录策略管理:提供设置非法登录系统的次数及锁定时间,设置管理用户账号有效期,设置登录超时退出时间、账号登录时间段、限制同一账号最大连接数等功能。(2)提供管理用户的功能。(3)管理用户密码设置策略:限制管理用户设置的密码长度、密码组成,提供密码重置功能,设置用户密码有效天数等。(4)支持管理用户登录的P管理策略,将登录的管理用户与P地址绑定。6YD厂T。2050-2009732角色管理角色表示一类特定的权限的集合,包括管理用户可以登录的客户端口地址范围,管理用户可以进行的操作,管理用户可以管理的资源等。通过安全管理可以动态地
26、创建、删除和修改角色,形成新的权限集合,以便分配给管理用户,达到控制管理用户权限的目的。角色管理功能应包含以下几项。(1)增加、删除、修改角色。(2)给角色分配管理资源(可管理的对象范围)和操作权限。(3)从操作权限来说,网管系统应可以提供三类缺省的角色:系统管理员:可以执行网管系统提供的所有功能项,包括权限分配功能;配置管理员:可以执行网管系统提供的对设备和系统自身有数据修改权限的功能(不包括权限分配功能),如资源维护、设备配置、版本升级、系统维护等;监控管理员:可以执行网管系统提供的对设备的监控和网管系统自身的查询和审计等功能,如资源查询、告警监控、性能统计、日志查询等。网管系统应提供灵活
27、的角色创建功能,如可以根据管理用户的需要再单独创建版本管理员、统计管理员等角色。从管理资源来说,这些操作权限都应可以指定管理的范围。733账号管理对使用网管系统的管理用户账号进行管理维护,包括:(1)增加账号;(2)删除账号;(3)修改账号信息;(4)查询账号信息。管理用户的账号信息包括:(1)用户账号;(2)用户密码:(3)密码有效期;(4)用户所属角色;(5)附加说明。支持同一个管理员账号属于多个角色组。734管理用户登录管理网管系统应能提供完善的用户登录管理功能,包括:(1)只有在服务器中已经注册的用户才能登录到网管系统,如果启动了访问控制列表功能,则客户端必须同时满足存在于网管系统AC
28、L表中的用户才能登录到网管系统;(2)登录的用户只具有已经被授权的指定操作:(3)登录失败告警,使用同一管理账号连续多次登录失败时,网管系统应产生非法登录告警,并对该管理账号进行锁定;7YD厂r 2050-2009(4)手工注销登录的用户;(5)手工或超时自动锁定客户端或退出。7 35在线管理用户管理网管系统应能对在线用户进行监视,能够实时监视在线用户的登录情况,包括:(1)登录用户;(2)登录时间;(3)操作终端信息。网管系统应能对在线用户进行管理,超级用户能够查看一般用户所做的操作,并强制其退出。7,36日志管理管理用户可以根据给定条件对日志进行查询,并可对查询到的日志进行排序。查询的条件
29、为:(1)给定时间或时间段进行查询:(2)给定用户进行查询;(3)给定的日志类型。可以查询到的信息包括:(1)日志类型,包括操作日志、系统日志、安全日志;(2)操作时间;(3)操作人;(4)操作名称;(5)操作对象;(6)操作内容;(7)操作终端;(8)操作结果(例如成功或失败)。8设备可靠|生要求81光纤保护倒换PON设备可选支持光纤保护倒换功能,光纤保护倒换主要包括主干光纤保护倒换和全光纤保护倒换两种方式。EPON设备应符合YDT 1475-2006接入网技术要求基于以太网的无源光网络(EPON)对光纤保护倒换功能的具体规定。GPON设备应符合YDT 194912009接入网技术要求吉比特
30、的无源光网络(GPON)第1部分总体要求对光纤保护倒换功能的具体规定。82主控板主备倒换OLT应提供主控板的热备份功能,在主控板倒换过程中,所有业务配置和业务连接不应发生差错或丢失,业务质量不应受到影响。主控板倒换应支持人工倒换和自动倒换两种模式。83电源主备倒换YD厂r 2050-2009OLT应提供两路电源模块,在任何一路电源供电失效的情况下,设备应正常工作,业务质量不应受到影响。84环境监控OLT应能提供对设备风扇工作情况、内部温度等环境信息的收集和上报功能。9设备电气安全91绝缘电阻正常情况下,OLT和ONU设备的绝缘电阻不应小于50Mn。92设备接地要求OLlI和ONU设备的接地电阻
31、应小于5Q。93过压、过流保护OLT和ONU设备应安装过压、过流保护器。过压、过流保护器在外接电源异常时保护设备的核心部分。设备应满足YD,r 1082-2000接入网设备过电压过电流防护及基本环境适应性技术条件对模拟雷电冲击、电力线感应、电力线接触等指标的要求。94电磁兼容Our和ONU设备的电磁兼容性指标应符合GB 92541998信息技术设备的无线电骚扰限值和测量方法以及GBF 176181998信息技术设备抗扰度限值和测量方法的规定。9中华人民共和国通信行业标准接入网安全技术要求无源光网络(PON)设备YD厂r 20502009人民邮电出版社出版发行北京市崇文区夕照寺街14号A座邮政编码:100061北京新瑞铭印刷有限公司印刷版权所有不得翻印十开本:8801230 1116 20lO年1月第1版印张:075 20lO年1月北京第1次印刷字数:23千字ISBN 978711519801042定价:8元本书如有印装质量问题,请与本社联系电话:(01 o)67114922