1、ICS 33040 50M 42 Y口中华人民共和国通信行业标准bA 2051-2009接入网设备安全测试方法无源光网络(PON)设备Test methods of security for access network equipmentPassiVe optical network(PON)2009-12-11发布 2010-01-01实施中华人民共和国工业和信息化部发布前123456目 次YDFF 2051-2009言。-。-III范围-1规范性引用文件1缩略语1用户平面安全功能测试341数据加密功能342二层隔离功能443帧过滤功能644组播,广播DLF报文风暴抑制功能945协议报文限
2、速功能1046 MAC地址控制功能1147防止MAC地址欺骗功能1248 IP地址绑定功能1249 VLAN和VLAN Stacking功能14410 RTP报文过滤功能17411上联接口链路聚集功能17412上联口快速生成树(RSTP)功能18413端口镜像功能184 14用户环网检测功能19控制平面安全功能测试2051 ONU认证2052用户端口识别与定位功能2l53非法协议报文过滤功能2254防DoS攻击功能2255 ARP代理功能(可选)2356心跳机帝0-2357 SIP协议的注册认证功能(可选)24管理平面安全功能测试2461 口令安全检查机制测试2462 SNMP管理访问安全测试
3、2563 Telnet管理访问安全测试(可选)2564本地Console管理访问安全测试2665 WEB管理访问安全测试(可选)27、Dn 2051-200966安全策略管理功能测试2867角色管理功能测试2868账号管理功能测试2869用户登录管理测试29610在线用户管理功能测试-一29611日志管理功能测试307设备可靠性要求测试3071主控板主备倒换3072电源主备倒换功能3073环境监控功能31II月U 口YD,T 2051-2009本标准是接入网设备安全系列标准之一,该标准系列的名称和结构如下:1)YDT 20462009接入网安全技术要求xDsL用户端设备2)YDfr 20472
4、009接入网设备安全测试方法一xDSL用户端设备3)YDfr 20482009接入网安全技术要求DsL接入复用器(DSLAM)设备4)YDfr 20492009接入网设备安全测试方法_DSL接入复用器(DSLAM)设备5)YDfr 20502009接入网安全技术要求无源光网络(PON)设备6)YDfr 20512009接入网设备安全测试方法无源光网络(PON)设备7)YDfr 19102009接入网安全技术要求综合接入系统8)接入网设备安全测试方法综合接入系统本标准与YDfr 20502009接入网安全技术要求无源光网络(PON)设备配套使用。在本标准的制定过程中注意了与下列标准协调一致:1Y
5、Dfr 14752006接入网技术要求基于以太网的无源光网络(EPON)2YDfr 15312006接入网设备测试方法基于以太网方式的无源光网络(EPON)3YDq17712008接入网技术要求EPON系统互通性4YDfr 18052008接入网设备测试方法EPON系统互通性5YDfr 1949卜2009接入网技术要求吉比特的无源光网络(GPON)第l部分:总体要求6YD,r 19492009接入网设备测试方法一一吉比特的无源光网络(GPON)本标准由中国通信标准化协会提出并归口。本标准起草单位:工业和信息化部电信研究院、中兴通讯股份有限公司、华为技术有限公司、上海贝尔阿尔卡特股份有限公司、国
6、家计算机网络应急技术处理协调中心。本标准主要起草人:陈洁、程强、刘谦、赵苹、敖立、党梅梅、葛坚、李云洁、陆洋、张博山、牛乐宏、姚亦峰。iII接入网设备安全测试方法无源光网络(PON)设备YD厂r 2051-20091范围本标准规定TPON设备(包括EPON设备和GPON设备)用户平面安全功能、控制平面安全功能、管理平面安全功能和设备可靠性等功能的测试方法。本标准适用于公众电信网环境下的PON设备,专用电信网也可参照使用。2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达
7、成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。YDT 153卜2006 接入网设备测试方法基于以太网方式的无源光网络(EPON)YDT 17712008 接入网技术要求EPON系统互通性IEEE 8021ag 局域网和城域网一虚拟桥接局域网增补件5:连接故障管理IEEE 8021D 局域网和城域网一MAC桥IEEE 802IQ 局域网和城域网一虚拟桥接局域网IEEE 8021X 局域网和城域网一基于端口的网络接入控制EE 8023信息技术一系统间通信和信息交换一局域网和城域网特定要求一第3部分CSMACD接入方式和物理层规范3缩略语下列缩略语适用
8、于本标准。ARP Address Resolution ProtocolBNG Broadband Network GatewayBPDU Bridge Protocol Data UnitBRAS Broadband Remote Access ServerCFM Connectivity Fault ManagementC-VLAN Customer VLANDA Destination AddressDHCP Dynamic Host Configuration ProtocolDLF Destination Lookup FailureDoS Denial of Service地址解析
9、协议宽带网络网关网桥协议数据单元宽带远程接入服务器连接故障管理客户VLAN目的地址动态主机配置协议目的地址查找失败拒绝服务YD厂r 2051-2009EAP Extensible Authentication ProtocolEFM Ethemet in the First MileEPON Ethernet Passive Optical NetworkFCS Frame Check SequenceGARP Generic Attribute Registration ProtocolGMRP GARP Multicast Registration ProtocolGPON Gigabit
10、-Capable Passive Optical NetworkGVRP GARP VLAN Registration ProtocolHGU Home Gateway UIlitHm HyperText Transfer ProtocolICMP Intemet Control Message ProtocolIGMP Internet Group Management ProtocolIPoE Intemet Protocol over EthemetLACP Link Aggregation Control ProtocolMAC Medium Access ControlMDU Mul
11、tiDwelling UnitMPCP Multipoint control protocolOAM Operations,Administration and MaintenanceOLT Optical Line TerminalONU Optical Network UmtPDU Protocol Data UnitPON Passive Optical NetworkPPPoE Point to Point Protocol over EthernetRSlP Rapid Spanning Tree ProtocolRTP RealtimeTransport ProtocolS-V)
12、Service VLAN IdentiferSIP Session Initiation Protoc01SNMP Simple Network Management ProtocolTCP Transmission Control ProtocolUDP User Datagram ProtocolUNI User Network InterfaCCVLAN Virtual Local Area Networkv()IP v(,ice over IP2扩展认证协议第一千米的以太网基于以太网方式的无源光网络帧校验序列通用属性注册协议GARP组播注册协议吉比特无源光网络GARP虚拟局域网注册协议
13、家庭网关单元超文本传输协议互联网控制信息协议互联网组管理协议以太网上的互联网协议链路汇聚控制协议媒质访问控制多住户单元多点控制协议操作管理维护光线路终端光网络单元协议数据单元无源光网络以太网上传送点到点协议快速生成树协议实时传输队议业务VLAN标识会话初始协议简单网络管理涛议传输控制阱议用户数据报协议用户网络接口虚拟局域网IP电话YDl 2051-20094用户平面安全功能测试41数据加密功能41 1测试目的PON设备在下行方向应支持对用户单播数据进行加密,以保证用户数据的安全性。EPON设备应采用三重搅动方法对用户数据进行保护,GPON设备采用的加密算法应符合国家相关规定。412测试配置本测
14、试项以EPON系统数据加密功能为例,GPON系统数据加密功能测试可参考使用。EPON系统数据加密功能测试配置见图1。图1 EPON数据加密功能测试配置413测试步骤本测试项以EPON系统数据加密功能为例,GPON系统数据加密功能测试可参考使用。(1)按图1配置测试系统:(2)设置OLT与ONU之间PON接口处于明文(ClearText)状态:(3)启动EPON协议分析仪,捕捉PON接口的双向MPCP报文、数据报文、OAM报文;(4)通过网管配置OLT启动针对该ONU的三重搅动加密功能;(5)用数据网络分析仪发送从OLT到ONU的单播以太网数据流,用EPON协议分析仪观察PON接|:_=|上的以
15、太网数据报文是否被搅动、密钥是否定期更新、以太网帧中Preamble的Enc字节的密钥同步是否正确,同时观察数据网络分析仪从ONU的UNI口输出的下行以太网业务报文是否被正确的解搅动。41 4预期结果(I)步骤(3)中,在三重搅动功能关闭情况下,ONU的PON接口处接收到的下行以太网帧前导码的第五个字节搅动信息标识字段(Enc)的值应为“0x55”;(2)步骤(5)中,在三重搅动功能打开情况下,ONU的PON接口处接收到的下行以太网帧前导码中第五个字节搅动信息标识字段(Enc)的值应该在0x56和0x57之间定期轮换(轮换周期为密钥更新周期);(3)步骤(5)中,三重搅动的范围为DA MACl
16、IJFCS,搅动的报文类型包括数据帧、OAM帧:(4)步骤(5)中,密钥更新过程中包括新密钥请求帧(new_key_request)、新密钥通知帧(new churning key)两种扩展的OAM报文,其格式应符合YDT 17712008接入网技术要求_EPON系统互通性的规定,密钥更新过程符合图2所示流程。YDT 20512009匾口皿一 P1r选4213测试步骤(1)按图3配置测试系统4图3 0LT-层隔离功能测试配置YDI 20512009(2)配置3个ONU的用户流量为无VLAN标签方式,网络侧为N:I VLAN模式,sv=x(07接收到OLT以自身MAc地址响应的ARP响应报文。5
17、6心跳机制5 61测试目的提供Vo口业务的ONu应定期向软交换发送心跳消息,并应能正确响应软交换发送的心跳消息。562测试配置测试配置见图17。、Dn 2051-2009图17心跳机制测试配置56 3测试步骤(1)按图17配置测试系统:(2)ONU在软交换上注册:(3)不对ONU进行任何与软交换相关的操作:(4)协议分析仪跟踪ONU和软交换设备之间的消息流程。56 4预期结果在步骤(4)中,ONu能定期向软交换发送心跳消息,并应能正确响应软交换发送的心跳消息。57 SIP协议的注册认证功能(可选)571测试目的对于采用SIP协议提供VoIP业务的ONU,在向软交换注册时,可选支持认证功能。5_
18、72测试配置测试配置见图17。573测试步骤(1)按图17配置测试系统:(2)ONU在软交换上注册,协议分析仪跟踪ONU和软交换设备之间的消息流程:(3)配置软交换对ONU的认证功能,在软交换和ONU中配置正确的用户名和密码:(4)ONU重新在软交换上注册:(5)在ONU中设置错误的用户名和密码:(6)ONU重新在软交换上注册。574预期结果(1)在步骤(2)中,oNxJ r句软交换发注册消息并注册成功;(2)在步骤(4)中,ONu能够成功注册到软交换;(3)在步骤(6)中,ONU不能注册到软交换。6+管理平面安全功能测试61 口令安全检查机制测试611测试目的用户进行网络管理时所使用的登录1
19、:3令的长度应不少于八个字符,并且应由数字、字母或特殊符号组成,OLT网管系统应提供检查机制,保证每个口令至少是由前述的三类符号中的两类组成。612测试配置24测试配置见图18。YDfl2051-2009图18网管功能测试配置613测试步骤(1)以管理员身份登录网管服务器;(2)选择配置管理员口令;(3)更改为8位全数字口令;(4)更改为8位全字母口令;(5)更改为小于8位的任意口令;(6)更改为8位包含数字、字母、特殊符号中两类的口令。6 1 4预期结果(1)在步骤(3)、(4)、(5)中(2)在步骤(6)中,口令更改成功62 SNMP管理访问安全测试621测试目的系统拒绝更改口令,并给出相
20、应安全提示可以使用新口令重新登录系统。验证设备和网管之间SNMP vlv2c管理的安全性。622测试配置测试配置见图18。623测试步骤(1)在设备上配置允许使用SNMP访问设备的网管站的地址A:(2)修改网管服务器地址为非A,通过网管服务器进行管理操作:(3)配置网管服务器地址为A,通过网管服务器进行管理操作,通过协议分析仪分析SNMP报文。6 24预期结果(1)在步骤(2)中,设备应可拒绝非法网管接入设备。(2)在步骤(3)中,管理员登录网管服务器后可以进行正常的管理操作,并且不应使用publicprivate作为团体名,只读团体名和读写团体名称不应相同。63 Telnet管理访问安全测试
21、(可选)631测试目的验证设备Telnet管理的安全性。632测试配置测试配置见图19。YDr 2051-2009图19 Telnet安全功能测试配置6 33测试步骤(1)关闭OLT设备上的Telnet管理功能;(2)在PC上启动Telnet客户端,使用最高等级管理员身份登录OLT:(3)开启OLT设备上的TeNet管理功能;(4)在PC上启动Telnet客户端,使用最高等级管理员身份登录OLT;(5)通过Telnet客户端在OLT上创建一个低等级TeNet管理员;(6)设定可同时访问的TeNet用户数量为1;(7)在PC上启动Telnet另一个客户端,使用在步骤(3)中创建的用户登录;(8)
22、解除步骤(6)中的数量限定;(9)在PC上启动Tenet另一个客户端,使用在步骤(3)中创建的用户登录;(10)在OLT上设定允许Telnet方式访问的客户端主机地址为PC当前地址;(11)注销PC上的所有Telnet连接,修改自身地址为同一网段其它地址;(12)在PC上启动Telnet祥户端,试图登录OLT;(13)将PC自身地址改回:(14)在PC上启动Telnet客户端,登录OLT,不进行任何操作,等待超时;(15)退出Telnet客户端;(16)在PC上重新启动TeNet客户端,使用错误的用户名或密码连续进行登录试探。634预期结果(1)在步骤(2)中,Telnet客户端应无法连接成功
23、;(2)在步骤(4)中,用户应提供用户名,口令才能进行后续的操作,用户地址和操作应记入日志(3)在步骤(5)中,OLT立提供对TeNet用户权限的控制功能:(4)在步骤(7)中,Telnet客户端应无法登录;(5)在步骤(9)中,Telnet客户端应登录成功;(6)在步骤(12)中,Telnet客户端应无法连接成功或无法通过登录验证;(7)在步骤(14)中,在设定的时问内不进行交互,用户应自动被注销,提供终端超时锁定功能(8)在步骤(16)中,OLT应通过延时响应或限定错误尝试次数等方式防范密码试探攻击。64本地Console管理访问安全测试641测试目的验证设备本地Console管理的安全性
24、。YD,I 2051-200964 2测试配置使用Consolel5在本地连接设备。643测试步骤(1)在PC上启动Console客户端,使用最高等级管理员身份登录OLT:(2)通过Console客户端在OLT上创建一个低等级Console管理员:(3)在PC上启动Console客户端,登录OLT,不进行任何操作,等待超时;(4)退出终端:(5)在Pc上重新启动Console客户端,使用错误的用户名或密码连续进行登录试探。644预期结果(1)在步骤(1)中,用户应提供用户名,口令才能进行后续的操作,用户地址和操作应记入日志;(2)在步骤(2)中,OLT应提供对Console用户权限的控制功能;
25、(3)在步骤(3)中,在设定的时间内不进行交互,用户应自动被注销,提供终端超时锁定功能;(4)在步骤(5)中,OLT应通过延时响应或限定错误尝试次数等方式防范密码试探攻击。65 Web管理访问安全测试(可选)651测试目的验证设备Web管理的安全性。652测试配置测试配置见图19。65 3测试步骤(1)关闭OLT设备上的Web管理功能:(2)在PC上启动i-iTrPs客户端,使用最高等级管理员身份登录OLT:(3)开启OLT设备上的Web管理功能;(4)在PC上启动HTFPS客户端,使用最高等级管理员身份登录OLT;(5)在OLT上设定允许Web方式访问的客户端主机地址为PC当前地址;(6)关
26、闭PC上的HTrPS客户端,修改PC自身地址为同一网段其它地址:(7)在PC上启动ITYrPS客户端,试图登录OLT;(8)将PC自身地址改回:(9)在Pc上启动册s客户端,登录OLT,不进行任何操作,等待超时;(10)退出HTTPS客户端:(11)在PC上重新启动HTrPS客户端,使用错误的用户名或密码连续进行登录试探。654预期结果(1)在步骤(2)中,HTrPS客户端应无法连接成功;(2)在步骤(4)中,用户应提供用户名口令才能进行后续的操作,用户地址和操作应记入日志;(3)在步骤(7)中,HTrPS客户端应无法登录;(4)在步骤(9)中,HTrPS客户端应登录成功;(5)在步骤(9)中
27、,在设定的时间内不进行交互,用户应自动被注销,提供终端超时锁定功能:(6)在步骤(1 1)中,OLT应通过延时响应或限定错误尝试次数等方式防范密码试探攻击。27YD厂r 2051-200966安全策略管理功能测试661测试目的网管系统应能提供统一的安全策略控制。662测试配置测试配置见图18。663测试步骤和预期结果在图形网管中检查下列网管项目的配置。(1)登录策略管理:提供设置非法登录系统的次数及锁定时间,设置管理用户的账号有效期,设置登录超时退出时间、账号登录时间段、限制同一账号最大连接数等功能。(2)提供管理用户的功能。(3)管理用户密码设置策略:限制管理用户设置的密码长度、密码组成,提
28、供密码重置功能,设置用户密码有效天数等。(4)支持管理用户登录的口管理策略,将登录的管理用户与口地址绑定。67角色管理功能测试6_71测试目的网管系统应能提供灵活的角色控制功能。6_7_2测试配置测试配置见图18。6 7 3测试步骤和预期结果在图形网管中检查下列网管项目的配置。(1)角色管理功能应包含:增加、删除、修改角色;给角色分配管理资源(可管理的对象范围)和操作权限。(2)网管系统应可以提供以下三类缺省的角色。系统管理员:可以执行网管系统提供的所有功能项,包括权限分配功能。配置管理员:可以执行网管系统提供的对设备和系统自身有数据修改权限的功能(不包括权限分配功能),如资源维护、设备配置、
29、版本升级、系统维护等。监控管理员:可以执行网管系统提供的对设备的监控和网管系统自身的查询和审计等功能,如资源查询、告警监控、性能统计、日志查询等。(3)网管系统应提供灵活的角色创建功能。68账号管理功能测试681测试目的网管系统应能提供完善的账号管理功能。682测试配置测试配置见图18。683测试步骤和预期结果在图形网管中检查下列网管项目。YDT 2051-2009(1)对使用网管系统的管理用户账号进行管理维护,包括:增加账号;删除账号;修改账号信息;查询账号信息。(2)管理用户的账号信息包括:用户账号;用户密码:密码有效期;用户所属角色;附加说明。69用户登录管理测试691测试目的网管系统应
30、能提供完善的用户登录管理功能。692测试配置测试配置见图18。693测试步骤和预期结果在图形网管中检查下列网管项目:(1)只有在服务器中已经注册的用户才能登录到网管系统,如果启动了访问控制列表功能,则客户端必须同时满足存在于网管系统ACL表中的用户才能登录到网管系统;(2)登录的用户只具有已经被授权的指定操作;(3)登录失败告警,使用同一管理账号连续多次登录失败时,网管系统应产生非法登录告警,并对该管理账号进行锁定:(4)手工注销登录的用户:(5)手工或超时自动锁定客户端或退出。610在线用户管理功能测试6101测试目的网管系统应能提供在线用户管理功能。6102测试配置测试配置见图18。610
31、,3测试步骤和预期结果在图形网管中检查下列网管项目。(1)网管系统应能对在线用户进行监视登录用户;登录时间;操作终端信息。(2)网管系统应能对在线用户进行管理能够实时监视在线用户的登录情况,包括超级用户能够查看一般用户所做的操作,并强制其退出。、(Dn 2051-200961 1 日志管理功能测试6111测试目的管理用户可以根据给定条件对日志进行查询,并可对查询到的日志进行排序。6112测试配置测试配置见图18。61 13测试步骤和预期结果在图形网管中检查下列网管项目。日志查询的条件为:给定时间或时间段进行查询;给定用户进行查询;给定的日志类型。可以查询到的信息包括: 日志类型,包括操作日志、
32、系统日志、安全日志;操作时间;操作人:操作名称;操作对象;操作内容:操作终端;操作结果(例如成功或失败)。7设备可靠性要求测试71主控板主备倒换711测试目的OLT应提供主控板的热备份功能,在主控板倒换过程中,所有业务配置和业务连接不应发生差错或丢失,业务质量不应受到影响。主控板倒换应支持人工倒换和自动倒换两种模式。712测试配置测试配置见图5。713测试步骤(1)按照图5配置测试系统,备用主控板处于热备份状态;(2)配置网络分析仪1和网络分析仪2互发单播数据流,测试速率为PON口容量的80:(3)拔出工作主控板或通过网管强制进行主控板主备倒换操作。714预期结果在主控板倒换过程中,所有业务配
33、置和业务连接无差错或丢失,业务质量不受影响。72电源主备倒换功能721测试目的YDT 2051-2009OLT应提供两路电源模块,在任何一路电源供电失效的情况下,设备应正常工作,业务质量不应受到影响。7 212测试配置测试配置见图5。723测试步骤(1)按照图5配置测试系统,并接通双电源;(2)配置网络分析仪1和网络分析仪2互发单播数据流:(3)断掉其中一路电源供应。724预期结果在步骤(3)中,电源切换过程中和切换后,业务不受影响。73环境监控功能731测试目的OLT应能提供对设备风扇工作情况、内部温度等环境信息的收集和上报功能。732测试配置测试配置见图5。73 3测试步骤(1)登录OLT网管系统;(2)在网管系统中查看设备内环境监控信息。7 3 4预期结果在步骤(2)中,在网管上可看到设备风扇工作情况、内部温度等环境信息。中华人民共和国通信行业标准接入网设备安全测试方法无源光网络(PON)设备YDT 205 1-2009人民邮电出版社出版发行北京市崇文区夕照寺街14号A座邮政编码:100061北京新瑞铭印刷有限公司印刷版权所有不得翻印开本:8801230 116 2010年1月第1版印张:225 2010年1月北京第1次印刷字数:64千字ISBN 9787115204610108定价:20元本书如有印装质量问题请与本社联系电话:(010)67114922
