1、lCS 3304040M 32 Y口中华人民共和国通信行业标准YD厂r 1 905-2009IPv6网络设备安全技术要求宽带网络接入服务器Security Technical Requirements forBrOadband Network Access Server I Pv6 Network Equipment2009-09-04实施中华人民共和国工业和信息化部发布目 次前言”II1范围12规范性引用文件13术语、定义和缩略语14安全框架模型65数据平面安全76控制平面安全-107管理平面安全13附录A(资料性附录)通用rIL安全机制(GTSM)18附录B(资料性附录)基于IEEE 80
2、21x用户接入认证19参考文献20如下刖 菁YD厂r 1 9052009本标准是IPv6网络设备宽带网络接入服务器安全系列标准之一,该系列标准预计的结构和名称1 lPv6网络设备安全技术要求宽带网络接入服务器2(IPv6网络设备安全测试方法宽带网络接入服务器本标准与(1Pv6网络设备安全测试方法宽带网络接入服务器配套使用。本标准附录A、附录B均为资料性附录。本标准由中国通信标准化协会提出并归口。本标准起草单位:工业和信息化部电信研究院本标准主要起草人:杨剑锋IPv6网络设备安全技术要求宽带网络接入服务器1范围本标准规定了支持口v6的宽带网络接入服务器安全技术的基本要求,包括数据平面、控制平面和
3、管理平面的安全威胁和安全服务要求,以及标识验证、数据保护、系统功能保护、资源分配、安全审计、安全管理、可信信道,路径和系统访问等八个安全功能需求。本标准中出现的所有未指明的宽带网络接入服务器、接入服务器等均特指IPv6宽带网络接入服务器。本标准适用于支持IPv6的宽带网络接入服务器。2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。GBT 183362 信息技术安全技术信息技术
4、安全性评估准则第2部分:安全功能要求YDT 1162卜2005 多协议标记交换(MPLS)技术要求YDT 14662006 IP安全协议(IPSec)技术要求YDT 1897-2009 互联网密钥交换协议(IKEv2)技术要求IETERFC 1352(1992) SNMP安全协议IETFRFC 2385(1998) 通L立TCP MD5选项保护BG哙话IETF褂;c 2472(1998)PPP上的肼63术语、定义和缩略语31术语和定义下列术语和定义适用于本标准。311网络接入服务器Network Access Server(NAS)是远程访问接入设备,它位于公共电话网(PSn叭sDN)与P网之
5、间,将拨号用户接入口网,它可以完成远程接入、实现虚拟专用拨号网(VPDN)构建企业内部hltmet等网络应用。312宽带网络接入服务器Broadband Network Access Server(BNAS)是面向宽带网络应用的新型接入网关,它位于骨干网的边缘层,可以完成用户宽带的(或高速的)IPATMN的数据接入、实现vPN服务、构建企业内部Intranet、支持ISPI句用户批发业务等应用:313YDrr 1905-2009IPv6宽带网络接入服务器IPv6 Broadband Network Access Sewer(IPv6 BNAS)是基于v6协议簇工作在Pv6骨干网的边缘,具有6用
6、户接入管理和路由功能,面向v6网络应用的宽带网络接入服务器。314访问控制Access Control(AC)防止未经授权使用资源。315可确认性Accountability确保一个实体的行为能够被独一无二地跟踪。316授权Authorization授予权限,包括根据访问权进行访问的权限。31_7可用性Availability根据需要,信息允许授权实体访问和使用的特性。318信道Channel系统内的信息传输通道。319保密性Confidentiality信息对非授权个人、实体或进程是不可知、不可用的特性。3110数据完整性Data Integrity数据免遭非法更改或破坏的特性。3111拒绝
7、服务Denial of Service阻止授权访问资源或延迟时间敏感操作。3112数字签名Digital Signature附在数据单元后面的数据,或对数据单元进行密码变换得到的数据。允许数据的接收者证明数据的来源和完整性,保护数据不被伪造,并保证数据的不可否认性。3113加密EncrypUon对数据进行密码变换以产生密文。加密可以是不可逆的,在进行不可逆加密的情况下,相应的解密过程是不能实际实现的。3114基于身份的安全策略Identity-based security policy2YD厂r 1 9052009这种安全策略的基础是用户或用户群的身份或属性,或者是代表用户进行活动的实体以及被
8、访问的资源或客体的身份或属性。3115完整性破坏l Integrity compromise数据的一致性通过对数据进行非授权的增加、修改、重排序或伪造而受到损害。3116密钥Key控制加密与解密操作的一序列符号。3117密钥管理Key management根据安全策略产生、分发、存储、使用j更换、销毁和恢复密钥。3118冒充Masquerade一个实体伪装为另一个不同的实体。3119路径Path数据信息按特定次序经由的通路或路线。3120抵赖Repudiation在一次通信中涉及到的那些实体之一不承认参加了该通信的全部或一部分。3121基于规则的安全策略Rule-based Security
9、Policy这种安全策略的基础是强加于全体用户的总体规则。这些规则往往依赖于把被访问资源的敏感性与用户、用户群、或代表用户活动的实体的相应属性进行比较。3122安全审计Security Audit对系统的记录及活动独立的复查与检查,以便检测系统控制是否充分,确保系统控制与现行策略和操作程序保持一致、探测违背安全性的行为,并通告控制、策略和程序中所显示的任何变化。3123安全策略Security Policy提供安全服务的一套准则,包括“基于身份的安全策略”与“基于规则的安全策略”等。3124安全服务Security Service由参与通信的开放系统层所提供的服务,它确保该系统或数据传送具有足
10、够的安全性。32缩略语下列缩略语适用于本标准。3DES Triple DES 三重数据加密标准3YDT 1 905-2009AAA Authentication Authorization Accounting 鉴别、授权、计费ABK Address Based Keys 基于密钥的地址ACL Access Control List 访问控制列表AES Advanced Encryption Standard 高级加密标准AH Authentieation Header 认证头ATM Asynchronous Transfer Mode 异步转移模式BGP Border Gateway Pro
11、tocol 边界网关协议BGP4+ BGP version 4 Plus 支持IPv6的BGP协议版本4BNAS Broadband NetworkAccess Server 宽带网络接入服务器CAR Committed Access Rate 承诺接入速率CAST Carlisle AdamsStafford Tavares encryption CAST加密算法CBC Cipher Block Chaining 密码块链CGA Cryptographically Generated Addresses 加密产生地址CHAP Challenge Handshake Authenticatio
12、n Protocol 质询握手认证协议CPU Central Processing Unit 中央处理单元CR-LDP Constraint RouteLDP 约束路由的LDP协议DDoS Distributed DoS 分布式DoS攻击DES Data Encryption Standard 数字加密标准DH Dime-Hellman key DH密钥DoS Denial Of Service 拒绝服务攻击DSS Digital Signature Standard 数字签名标准EAP Extensible Authentication Protocol 扩展认证协议EAPoL Extens
13、ible Authentication Protocol over LAN 局域网扩展认证协议ESP Encapsulation Secure Payload 封装安全净荷FCAPS Fault,ConfigurationAccountingPerformance and Security故障,配置,账务,性能,安全FIP File Transfer Protocol 文件传输协议GTSM GeneralizedrIL Security Mechanism 通用TrL安全机制HMAC HashedMessageAuthenticationCode 散列消息验证码ICMP Internet Co
14、ntrol Message Protocol 互联网控制报文协议ICMPv6 ICMP version 6 ICMP协议版本6ID Identification 身份IDEA International Data Encryption Algorithm 国际数据加密算法IKE Interact Key Exchange 互联网密钥交换IKEvl IKE version 1 IKE协议版本1m Intemet Protocol 互联网协议IPv6 Internet Protocol version 6 互联网协议版本6IPScc IP Security IP安全机制4YD厂r 1 905200
15、9Pv(512P Pv6 Control Protocol IPv6控制协议ISDN Integrated Serviced Digital Network 综合业务数字网ISP Interact Service Provider 互联网业务提供商IsIS Intermediate System to Intermediate System 中间系统一中间系统IS-ISv6 ISIS version 6 ISIS协议版本6L2TP Layer 2 Tunneling Protocol 二层隧道协议L2VPN Layer 2 VPN 二层VPNL3VPN Layer 3 VPN 三层VPNLAC
16、 L2TPAccess Concentrator L2TP接入集中器LAN Local Area Networ 局域网LDP Label DiStribution Protocol 标记分发协议LNS L2TP Network Server L2TP隧道网络服务器LSP Label Switch Path 标记交换路径LSR Label Switching Routdr 标记交换路由器MAC MediaAccess Control 媒质访问控制MD5 Message Digest version 5 报文摘要版本5MODP Modular Exponentiation Group 模求幂组MP
17、LS Multi Protocol Label Switching 多协议标记交换NAS NetworkAeeess Server 网络接入服务器ND Neighbor Discovery 邻居发现NTP Network Time Protocol 网络时间协议OAM&P Operation Administration,Maintenance and Provisioning运行、管理、维护和预置OSPF Open Shortest Path First 最短路径优先OSPFv3 OSPF version 3 OSPF协议版本3PAE Physical Address Extentions
18、物理地址扩展PAP Password Authentication Protocol 密码认证协议PPP Point-toPoint Protocol 点到点协议PSTN Public Switched Telephone Network 公众电话交换网RADIUS RemoteAuthentication Dial In User Service 远程身份验证拨入用户服务RIP Route Information Protocol 路由信息协议RIPng Routing Information Protocol,next generation 下一代路由信息协议RSA Rivest-Sham
19、ir-Adleman encryption RSA加密算法RSVP Resource Reservation Protocol 资源预留协议RSVPTE RSvp-Traffic Engineering 基于流量工程扩展的RSVPSA Security Association 安全联盟SHA Secure Hash Algorithm 安全散列算法SHAI SHAversion I SHA版本I5YD厂r 19052009SLA Service Level AgreementSNMP Simple Network Management ProtocolSNMPvl SNIP version 1
20、SNMPv2c SN毋version 2eSNMPv3 SNMP version 3SSH Secure SheUSSHvl SSH version lSSHv2 SSH version 2SSL Secure Socket Layer1P Transmission Control Protocol11丌P Trivial File Transfer ProtocolTLS Transport Layer Security1TL TimetoLiveUDP User Datagram ProtocolURPF Unicast Reverse Path ForwardingUSM User-ba
21、sed Security ModelkCM View-based Access Control ModelVLAN Virtual Local Alea NetworksVPDNrtual Private Dial NetworkVPN Virtual Prirate NetworkvRF vPN Routing and forwarding服务水平协议简单网管协议SNMP协议版本1SNMP协议版本2cSNMP协议版本3安全外壳程序SSH版本tSSH版本2安全套接层传输控制协议简单文件传输协议传输层安全生命周期用户数据报协议单播反向路径转发基于用户的安全模型基于视图的访问控制模型虚拟局域网虚拟
22、专用拨号网虚拟专用网VPN路由和转发4安全框架模型IPv6宽带网络接入服务器是一种能提供端到端宽带连接的IPv6网络设备,通常位于IPv6骨干网的边缘层,作为用户接入网和骨干网之间的网关,终结或中继来自用户接入网的连接,提供接入到Pv6宽带核心业务网的服务。IPv6宽带网络接入服务器在网络中处于汇接层面,通常面向多种类型的用户接入设备,很容易遭受到来自网络和其他方面的威胁,这些安全威胁可以利用设备自身的脆弱性或者是配置上的策略漏洞,给设备造成一定的危害,而且设备一旦被攻击,性能和正常运行都将会受到很大的影响,甚至造成拒绝对正常用户的访问服务。如图1所示,本标准将IPv6宽带网络接入服务器的功能
23、划分为3个平面:a)数据平面:主要是指为用户访问和利用网络而提供的功能,如提供用户数据的转发。b)控制平面:也可称为信令平面,主要包括路由协议(单播及组播路由协议)等控制信令,提供与建立会话连接、控制转发路径等有关的功能。c)管理平面:主要是指与OAM&P有关的功能,如SNMP、管理用户Telnet登录、日志等,支持FCAPS功能。管理平面的消息传送可以采用带内和带外两种形式。为了抵御来自网络和用户的攻击,IPv6宽带网络接入服务器必须提供一定的安全功能。本标准将GBT183362中定义的安全功能应用到口v6宽带网络接入服务器中,这些安全功能包括:6YDT 1 905-2009a)标识和认证:
24、识别以及确认用户的身份,并确保用户与正确的安全属性相关联。b)用户数据保护:保护用户数据的完整性、可用性和保密性。c)系统功能保护:对系统实现的关键功能(如用户接入功能等),以及相关功能所涉及数据(如安全功能所需的用户身份、13令等数据)完整性、可用性和保密性的保护。d)资源分配:系统容错、资源调度和控制的能力,对系统资源进行有效的控制,限制用户对资源的访问和过度占用,避免造成系统对合法业务拒绝服务。e)安全审计:识别、记录、存储和分析那些与安全相关活动有关的信息,提供日志等审计记录,以用来分析安全威胁活动和对策。f)安全管理:系统对安全属性、数据和功能的管理能力。g)可信信道,路径:通信所使
25、用的通道要求可信,即符合系统安全策略,对于通道两端的身份具有鉴别和抗抵赖的特性。h)系统访问:管理和控制用户会话的能力。图1 IPv6宽带网络接入服务器安全模型为了确保6宽带网络接入服务器自身和转发数据的安全,需要在实际组网中制定相应的安全控制策略,并将该策略分别映射到数据平面、控制平面和管理平面。5数据平面安全51安全威胁IPv6宽带网络接入服务器数据平面功能主要是终结或中继来自用户的各种连接,设备面临的安全威胁主要有以下方面,但不局限在这些方面:a)对数据流进行流量分析,从而获得用户数据的敏感信息;b)未经授权的观察、修改、插入和删除用户数据;c)利用用户数据流的拒绝服务攻击。52安全功能
26、521标识和认证Pv6宽带网络接入服务器可支持多种不同类型的用户接入方式,设备应能以特定的形式对用户进行标识,并设置访问控制策略来控制用户的接入,同时应可选择有效的认证协议对用户进行身份验证。设备应支持PPP用户和以太网用户接入的标识和认证功能,相关要求见621节。7扫勾Y),r 1 905-2009522数据保护5221 IPSec隧道mv6宽带网络接入服务器应能够通过建立IPSec隧道,为用户数据提供完整性、数据源身份认证、保密性以及防重放攻击的保护。设备应支持AH和ESP协议,IPSec的相关协议要求见YDT1466-2006。设备应支持传输模式和隧道模式,应支持SA安全联盟手工建立和I
27、KE协议自动建立两种方式。AH协议应支持HMACSHAl-96验证算法和HMACMD5-96验证算法。ESP协议应支持HMACSHAl96验证算法和HMACMD596验证算法。加密算法应支持空加密算法、3DESCBC、DESCBC、AESCBC及国家规定的标准分组加密算法。设备宜支持动态密钥管理IKE协议,lIKE相关要求参见YDT14662006及YDT 18972009互联网密钥交换协议(IKEv2)技术要求。5222 L2TP隧道IPv6宽带网络接入服务器可选支持L2TP。当设备支持L2TP时,应能通过建立L2TP隧道为用户数据提供保护,应实现LAc和LNS功能特性,应支持CHAP鉴别协
28、议。523系统功能保护IPv6宽带网络接入服务器对数据平面的相关功能(如数据转发功能)、及相应功能的安全数据应提供妥善的手段(如通过基于用户的安全策略来实现相关数据的分级访问控制机制)以进行保护,相关功能要求见521节、524节、528节。524资源分配5241攻击防护IPv6宽带网络接入服务器应能够提供有效的控制机制(如队列调度机制、接入带宽控制等)保障设备资源和网络带宽的合理利用,特别是要能够限制和抵御来自网络的各种侵占资源类的攻击,要确保网络在遭受攻击的情况下仍旧能够为合法用户提供必需的服务。IPv6宽带网络接入服务器应能够抵御以下的常见攻击类型,但并不局限于这些方面:a)大流量攻击:大
29、流量可以分成两种类型,一种是流经流量,即需要设备转发的流量,对于这类攻击,IPv6宽带网络接入服务器数据端口宜具有线速转发的能力,对于超过端口处理能力的流量可以采用按策略对数据包进行丢弃;另一种流量的目的地就是设备本身(如DoSDDoS),这类攻击可能会占用大量CPU处理时间和内存,严重的甚至会造成设备崩溃,导致服务中断从而无法为用户提供正常服务,对这类攻击流量,IPv6宽带网络接入服务器应采取过滤和丢弃等保护策略拒绝数据接口接收的目的地为设备本身的数据包,同时应将必要的信息(如报文类型、源地址以及攻击时间等)记录到安全日志中。b)畸形包处理:IPv6宽带网络接入服务器应能够处理各种类型的畸形
30、包,如超长、超短包,链路层错误包,网络层错误包,上层协议错误包等,对于这些报文应采取丢弃策略,设备的正常功能不应受到影响。此外,也应保证IPv6宽带网络接入服务器自身不会产生上述类型的畸形包。c)口地址哄骗:设备应能对网络中源地址哄骗报文进行过滤,设备应支持URPF功能(见6242节)。IPv6宽带网络接入服务器应能够提供相应机制,以便于在必要时对同一用户允许建立TCP会话的数量进行控制,来防止用户过渡消耗网络资源。设备应能够根据用户属性(如,接入类型)对允许其建立YD厂r 1 905-2009的TCP会话数量进行限制和管理。5242数据包过滤IPv6宽带网络接入服务器应能够提供控制用户接入和
31、过滤用户数据的能力。通常有两种方式可以采用,一种是向不同权限的用户提供不同层次的m包过滤功能,以实现不同的用户有不同的接入能力。另一种是指根据不同用户的授权提供特定的前缀信息,以作为用户的P地址,通过网络的口包过滤策略,实现不同的用户有不同的接入能力。IPv6宽带网络接入服务器应实现基于ACL的用户流量控制,通过CAR操作,对用户数据流进行整形,依据SLA为用户分配带宽资源。SLA包含承诺速率、峰值速率,承诺突发流量、峰值突发流量等,对于超出协定的流量设备可以采取降级、丢弃等操作。525安全审计IPv6宽带网络接入服务器应提供对数据平面的相关信息进行日志记录的功能,安全日志至少应包含数据接口状
32、态、出向,入向用户数据流量等。IPv6宽带网络接入服务器应实现对用户数据流量的安全审计的功能。相关要求见725节。526安全管理IPv6宽带网络接入服务应能够提供本标准数据平面安全部分要求的安全功能和数据管理能力,要求见726节。52_7可信信道路径IPv6宽带网络接入服务器与其他设备通信的信道,路径要求可信,设备应能使用专用的通道以保证对数据进行安全鉴别和防抵赖的需求(如对于传送敏感数据、专线用户数据的通信应能同传送其他数据的通信隔离开来)。设备应能够采取物理隔离或逻辑隔离的方式进行通道隔离。IPv6宽带网络接入服务器逻辑通道隔离的方式包括VPN(见5282节)、隧道(见522节)等。528
33、系统访问5281 ACt功能IPv6宽带网络接入服务器应实现访问控制列表功能,以此作为一种安全手段,按照相应的安全规则来对进出的数据报文进行匹配,保护系统和资源免受未经授权的访问。IPv6宽带网络接入服务器应能够提供基于源口地址、目的口地址、源端口、目的端口和协议类型等元素的ACL功能。设备应支持对报文匹配情况进行统计计数和记入日志等。IPv6宽带网络接入服务器可选支持基于IPv6包头流量类别和流标签的访问控制列表,可选支持指定有效时间的访问控制列表的功能。5282 VPN功能IPv6宽带网络接入服务器应实现VPN功能,通过VPN来实现不同用户数据的隔离,避免VPN外部数据对VPN内部的数据造
34、成影响。设备在功能实现上应确保不同VPN信息不能够相互泄漏,同时应采取必要的路由过滤策略保证VPN路由表和MAC表的容量空间不会溢出。设备应支持通过IPSec隧道或通过L2TP隧道实现VPN,相应隧道的要求参见5222节。设备应支持通过MPLS LSP实现VPN。对于数据平面,IPv6宽带网络接入服务器实现的MPLS VPN应满足如下要求:a)不管是L2VPN还是L3VPN,数据应严格基于标签沿着LSP转发,除非需要,一个VPN的数据不应被发送到该VPN之外;9YD厂r 1 905-2009b)当同时支持)N服务和其他服务时,特别是在一个物理接口上通过不同的逻辑接口支持多个服务时,应能基于逻辑
35、接口对包括vPN服务在内的不同服务的接入速率进行限制。相关MPLS VPN功能要求见6282节,MPLS协议要求见YDG116212005。5283防火墙功能lPv6宽带网络接入服务器可选支持防火墙功能。设备支持防火墙功能时,除提供基本数据包过滤、ACL功能外,宜支持和提供应用代理的功能,只允许被保护的用户访问允许的网络应用,对应用层协议信息进行检查,并实时维护相应的TCP和UDP状态信息,实现基于状态的访问控制。6控制平面安全61安全威胁IPv6宽带网络接入服务器的控制平面主要负责路由信息的学习和与A从服务器协同完成用户的认证授权。控制平面的安全威胁主要有以下几个方面,但不局限在这些方面:a
36、)对协议流进行探测、或者进行流量分析,从而获得转发路径信息或者是用户的认证信息;b)获得设备服务的控制权,暴露转发路径信息,包括将转发路径信息暴露给非授权设备,VPN路由的泄漏:c)利用协议的拒绝服务攻击,如利用路由协议、MPLS标签分配协议的拒绝服务攻击,利用面向连接协议的半连接攻击等;d)非法设备进行身份哄骗,如建立路由协议、MPLS标签分配协议等的实体信任关系,非法获得转发路径信息等;e)针对路由协议、MPLS标签分配协议等的转发路径信息的欺骗。62安全功能621标识和认证6211 PPP用户接入对于PPP接入方式,IPv6宽带网络接入服务器应可以工作在PPP终结和PPP中继两种模式下。
37、设备应可以通过对MAc地址、VLAN_ID、端口号、口地址、账号等组合绑定的形式来标识用户,并结合PPP_Session_Id来标识用户会话。PPP连接建立和配置应基于IPv6CP,协议封装和网络控制应符合IETFRFC 2472的要求。同时,IPv6CP应当与其他PPP认证和加密机制共同使用,根据不同的安全性要求对接入的连接进行验证。对于PPP用户的接入,设备应采用CHAP协议,或者是EAP协议进行认证。对于PPP中继模式,设备应按照上行链路的封装格式封装后交由后继设备进行认证。为保证认证信息在传输过程中的安全,可以通过建立L2TP隧道或IPSec隧道提供保护。6212以太网用户接入对于以太
38、网用户接入方式,IPv6宽带网络接入服务器应可通过使用VLAN_ID、MAC地址、端口号、口地址、账号等组合绑定的形式来标识一个用户。IPv6宽带网络接入服务器应当设置不同的访问控制策略来控制用户的接入,同时应可以选择有效的认证协议对用户进行身份验证。设备应支持8021x认证协议,具体内容参见附录B。为增强安全性,设备lOYD厂r 1 905-2009应支持EAP协议和RADIUS扩展协议,从而实现通过不同安全等级的认证协议来对不同用户的连接进行接入安全验证。当用户通过ND协议自动配置地址时,IPv6宽带网络接入服务器应能对该类用户进行有效标识和认证,认证方式可包括本地认证、l渔DIUS服务器
39、认证等。IPv6宽带网络接入服务器可选实现web Portal认证方式。6213路由协议IPv6宽带网络接入服务器通过路由协议来传递路由信息,计算到达目的网络的最佳路由,因此必须确保路由信息的完整性和可用性,并且对路由信息通告者的真实身份进行认证,以免造成由于恶意的攻击者冒充路由对等体通告不正确或者是不一致的路由信息导致网络服务的不可达。IPv6宽带网络接入服务器应实现基于以下算法的路由协议认证,具体要求如下:a)RIPng协议应支持HMACMD5和HMACSHA1算法;b)OSPFv3协议应支持HMACMD5和I-IMACSHA1算法;c)ISISv6协议应支持接ISLevel 1Level
40、2、区域内、区域间HMACMD5和HMACSHA1算法;d)BGP4+协议应支持TCP-HMACMD5算法(见IETFRFC2385)。lPv6宽带网络接入服务器对于MPLS中两种用于建立LSP的标签分配协议主要要求如下:a)LDPCRLDP协议:发现交换过程使用的消息由UDP协议承载,对于基本Heno消息,设备应只接收与可信LSR直接相连接口上的基本HeUo消息,忽略地址不是同一子网内组播组的基本Hello消息;对于扩展Hello消息,可利用访问列表控制只接收允许的源发送来的扩展Hello消息。LDP会话过程使用的消息是由TCP协议承载,应通过TCP MD5签名选项对会话消息进行真实性和完整
41、性验证。b)RSVP-TE协议:设备应通过加密的散列函数支持邻居验证,从而实现逐跳验证机制,应支持HMACMD5算法和珊ACSHAl算法。此外,IPv6宽带网络接入服务器可选实现GTSM安全机制来提供对控制信令的简单保护,具体内容参见附录A。622数据保护IPv6宽带网络接入服务器控制平面的信息主要包括用户认证信息、路由信息、邻居及链路地址前缀信息等,对于这些信息应提供完整性、保密性和可用性保护。在实现上设备可通过建立L2TP、IPSee逻辑安全隧道(见522节)、以及加密验证算法等方式对数据进行保护。623系统功能保护IPv6宽带网络接入服务器对控制平面的相关功能(如路由功能)、以及用于相应
42、功能的安全数据(如路由协议的认证密钥)应提供妥善的方式(如,启用路由控制策略和路由过滤功能)实现保护,相关功能要求见621节、624节、628节。624资源分配6241物理资源分配控制信息的运算和存储需要消耗大量的CPUJ重算资源和内存存储资源,口v6宽带网络接入服务器在控制平面应支持路由控制策略和路由过滤功能,抑制可能的利用路由协议安全缺陷进行的资源耗尽型攻击。IPv6宽带网络接入服务器可选实现基于VPN使用的CPU、内存等资源的隔离,以防止因独占资源对其他)N造成的拒绝服务型攻击。YD厂r 1 905-20096242 URPFIPv6宽带网络接入服务器应支持URPF功能,只转发口地址和接
43、口在转发表中存在的分组,以缓解IP地址哄骗等类型的攻击造成的影响。6243 IP扩展头和选项IPv6扩展头和选项(如逐跳头、路由头、目的地选项等)可能被恶意攻击者利用,刺探网络结构或者是聚合用户流量对第三方设备进行攻击。IPv6宽带网络接入服务器应提供IPv6扩展头和选项安全处理的保护功能,并提供必要时限制或关闭处理特定扩展头和选项的能力。6244 ICMPv6协议ICMPv6作为TCPIP协议栈的基本协议之一,主要用于网络操作和故障排除,v6宽带网络接入服务器应实现ICMPv6协议的功能,并提供必要时限制或关闭ICMPv6相关功能的能力。上述ICMPv6消息类型包括但不限于:a)Type=l
44、:目的地不可达;b)Type=3超时;c)Type=128:回显请求;d)Type=129回显应答。6245 ND协议ND被用来解决相同物理链路上的节点之间的交互操作,包括路由器发现、前缀发现、地址自动配置、重复地址检测、邻居不可达检测、链路层地址解析、下一跳确定和重定向。对于开放式网络环境,网络节点可不经链路层验证即加入到设备所处的本地链路上,因此IPv6宽带网络接入服务器在本地链路存在DoS、重定向等类型攻击的威胁。IPv6宽带网络接入服务器宜提供相关地址宿主验证的措施,对本地链路节点安全性进行验证,可选支持采用CGA、ABK等协议提高ND协议消息交互的安全性。6246服务IPv6宽带网络
45、接入服务器应缺省关闭TCP和uDP特定端口的服务,或者不提供相应的服务模型。设备应缺省关闭或不提供的服务应包括但不限于Echo、Chargen、Finger、NTP等。625安全审计IPv6宽带网络接入服务器应提供对控制平面的控制数据和信息进行安全日志记录的功能,并应实现对设备相关数据信息进行安全审计的功能,特别是对设备的路由表、邻居缓存、目的地缓存、前缀列表等重要数据有影响的控制数据。相关要求见725节。626安全管理IPv6宽带网络接入服务应能够提供本标准控制平面安全部分要求的安全功能和数据管理能力,要求参见726节。627可信信道,路径IPv6宽带网络接入服务器与其他设备之间交互的控制信
46、息应保证其完整性、保密性和可用性,因此必须要确保通信信道,路径要求可信。IPv6宽带网络接入服务器应可以通过物理隔离或是建立安全的逻辑隧道来实现,如建立IPSec安全隧道(见522节)等。628系统访问12YD厂r 1 905-20096281路由策略和路由过滤IPv6宽带网络接入服务器应支持路由控制策略和路由过滤,能够只发布特定条件的路由,也能够只接受特定条件的路由,防止攻击者利用路由协议安全漏洞通告错误路由或者是倾泄大量路由信息导致设备内存溢出,或设备瘫痪。IPv6宽带网络接入服务器在控制平面应对通告路由信息的对等体进行认证,如果认证不通过,则应丢弃该对等体通告的路由信息,并将相关信息记录
47、到日志文件中。IPv6宽带网络接入服务器应支持如下的路由策略和过滤机制:a)设备应能按照口网段、自治系统路径、团体属性等特性进行过滤;b)设备应能够配置成Passive(被动)模式,只接收处理路由信息,而不向邻居对等体通告路由信息;c)设备在路由协议重发布过程中应能够按照口网段、自治系统号等信息过滤。6282 MPLS VPNIPv6宽带网络接入服务器应实现MPLS VPN功能。设备应能保证稍内部的控制信息在VPN之间和VPN与MPLS骨干之间实现相互隔离,互不干扰。IPv6宽带网络接入服务器实现的L2VPN或L3VPN均应满足如下的基本要求:a)设备在不同的VPN之间,应能够重用地址空间;b)设备对不同的VPN之间交互的控制信息应相互隔离;c)设备应可实现VPN下所使用资源(如CPU、内存)的相互隔离,防止因一个VPN独占资源而造成对其他VPN的DoS攻击;d)设备应能够提供VPN下相关表项的保护和过滤策略,防止VPN路由表、MAC表的溢出。IPv6宽带网络接入服务器实现L3VPN还
