YDT 1613-2007公众IP网络安全要求——安全框架.pdf

ICS 33 040 40L78YD中华人民共和国通信行业标准YD/T 1613-2007公众IP网络安全要求一安全框架Security Requirements for Public IP NetworkSecurity Architecture2007-10-01 实施2007-04-16 发布中华人民共和国信息产业部发布 YD/T 1613-2007目次前言范围·12规范性引用文件定义与缩略语33.1 定义…3.2缩略语·公众IP网络安全分层模型44.1网络安全分层模型4.2网络自身安全..d.4.3业务提供安全4.4信息传递安全·4.5信息内容安全·5　公众IP网络安全·5.1公众IP网络自身安全5.2公众IP网络业务提供安全5.3公众IP网络信息传递安全母量量业专量量5.4　公众IP网络信息内容安全·参考文献·10 YD/T 1613-2007前言本标准是“公众IP网络安全”系列标准之一。该系列标准预计的结构及名称如下：1．公众IP网络安全要求一安全框架；2．公众IP网络安全要求一基于数字证书的访问控制；3．公众IP网络安全要求一—基于远端接人用户验证服务协议（RADIUS）的访问控制；4．公众IP网络安全要求一一基于Diameter的访问控制。本标准由中国通信标准化协会提出并归口。本标准起草单位：信息产业部电信研究院中国电信集团公司本标准主要起草人：马军锋魏‧亮唐永丽彭俊余英泽V YD/T 1613-2007公众IP网络安全要求一安全框架1 范围本标准规定了公众IP网络的基本安全框架；提出了基于网络自身安全、业务提供安全、信息传递安全和信息内容安全的4层安全分层模型；阐述了在控制平面、管理平面以及数据平面适用的不同安全机制。本标准适用于公众IP网络。2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准。然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。GB 4943-2001信息技术设备的安全GB/T 18336-2001信息技术安全评估准则YD/T 1163-2001P网络安全技术要求-安全框架ITU-T X.805 ( 2003 )端到端通信的安全体系架构IETF RFC2401 （1998 )互联网协议的安全框架3 定义与缩略语3.1　定义下列定义适用于本标准。访问控制 access control防止对资源的未授权使用，包括防止以未授权方式使用某一资源。可确认性 accountability确保一个实体的行为能够被独一无二地跟踪。主动威胁 active threat这种威胁是对系统的状态进行故意的非授权的改变。注：与安全有关的主动威胁的例子可能是：篡改消息、重发消息、插人伪消息、冒充已授权实体等。·鉴别 authentication见“数据原发鉴别”与“对等实体鉴别”注：在本标准中，当涉及数据完整性时不使用术语“鉴别”，而另用术语“数据完整性”鉴别信息authentication information用以建立身份有效性的信息。：授权authorization授予权限，包括允许基于访问权的访问。。可用性 availability根据授权实体的请求可被访问与使用。密文 ciphertext YD/T 1613-2007经加密处理而产生的数据，其语义内容是不可用的。注：密文本身可以是加密算法的输入，这时候产生超加密输出。·．明文cleartext可理解的数据，其语义内容是可用的。保密性 confidentiality这一性质使信息不泄露给非授权的个人、实体或进程，不为其所用。。数据完整性 data integrity这一性质表明数据没有遭受以非授权方式所作的篡改或破坏。数据原发鉴别 data origin authentication确认接收到的数据来源是所要求的。·解密 decipherment与一个可逆的加密过程相对应的反过程。服务拒绝 denial of service阻止对资源的授权访问或拖延时限操作。密码学是研究秘密通信的原理和破译密码方法的一门科学，包含密码编制学和密码分析学两方面内容。·数字签名 digital signature附加在数据单元上的一些数据，或是对数据单元所作的密码变换（见“密码学”）。这种数据或变换允许数据单元的接收者用以确认数据单元来源和数据单元的完整性，并保护数据，防止被人（例如接收者）进行伪造。加密 encipherment·对数据进行密码变换（见“密码学”）以产生密文。注：加密可以是不可逆的，在这种情况下，相应的解密过程便不能实际实现了。基于身份的安全策略identity-based security pol