YDT 2037-2009移动通信差异化安全服务.pdf

ICS 33.070M 37中华人民共和国通信行业标准YD/T 2037-2009移动通信差异化安全服务Differentiated security service for mobile communication2009-12-11发布2010-01-01实施中华人民共和国工业和信息化部‧发布 YD/T 2037-2009目次前 言T1范围2规范性引用文件·3．术语和定义4缩略语·5概论·6　技术要求6.1用户安全代理（CSA）零6.2网络安全代理（NSP）6.3安全策略服务器（SPS)7系统架构·7.1安全服务系统架构7.2安全等级框架··信息资产等级划分·7.37.4　安全策略框架系统架构说明.·7.58　协商流程·(8.1差异化安全服务协商流程108.2发起方CSA和NSP安全等级协商流程118.3接收方NSP和CSA安全等级协商流程128.4NSP 之间的安全等级协商流程·12附录A（资料性附录）需求分析及安全策略示例13附录B（资料性附录）应用实例·:16.20参考文献· YD/T 2037-2009前言本标准在技术上与ITU-TX.1123（2007）《安全移动端到端数据通信的区别安全服务》保持一致。本标准的附录 A、附录 B 均为资料性附录。本标准由中国通信标准化协会提出并归口。本标准起草单位：中兴通讯股份有限公司、中国移动通信集团公司。本标准主要起草人：陈剑勇、滕志猛、刘利军、刘红军、韦银星、吴波、张峰。II YD/T 2037-2009移动通信差异化安全服务1范围本标准规定了用于移动通信的差异化安全服务的需求分析、技术要求、系统架构，协商流程。本标准适用于移动通信网络和终端。2 规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改版（不包括勘误的内容）或修订版均不适用于本标准。然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。端到端通信系统安全架构ITU-T X.805 (2003)ITU-T X.1121 (2004)移动端到端数据通信技术架构3GPP TS 33.102 V.5.2.0第三代移动通信安全框架3术语和定义下列术语和定义适用于本标准。3.1用户安全代理 client security application用户安全代理是终端的一个功能单元，对用户端安全机制进行管理及与网络安全代理进行安全等级协商。3.2网络安全代理network security proxy网络安全代理是安全网关的一个功能单元，与用户端安全代理协商安全等级、报告协商结果给用户端和安全策略服务器以及在网络中建立安全网关之间的安全信道。3.3安全策略服务器security policy server安全策略服务器与应用服务器或网络安全代理连接，用于对应用服务器或网络安全代理的安全策略管理。3.4服务提供商　service provider为移动用户提供服务的实体。服务提供商不仅包括网络运营商，也包括应用服务提供商。3.5安全策略 security policy安全策略是提供安全服务的规则集合。这些规则由安全需求驱动，用于管理和控制网络实体。从用户的角度，安全策略为移动用户的安全服务提供友好接口。用户可以很方便地为不同的应用场景定制安全服务。从服务提供商的角度，安全策略可以将安全服务转化为增值服务。1 YD/T 2037-2009安全策略有3个基本需求：完备性、正确性、一致性。首先，策略的定义应该覆盖各种安全需求所对应的防范任务；其次，策略的定义应该是实际可行的，即它不与已有经验冲突；第三，不能有任何策略冲突，否则实际应用中可能会导致不一致的执行结果。3.6安全元 security elementITU-TX.805给出8个安全维度，可以抵抗所有主要的安全威胁，包括：访问控制、认证、抗抵赖、数据机密性、通信安全、数据完整性、可用性、私密性。每个安全维度满足一个类别的安全需求。它们可以通过具体的安全技术和协议来实现。这种可配置的安全维度集称为安全元。3.7资产 asset资产是移动网络中有价值的财产。资产分为三类：信息资产、服务资产和系统资产。3.8安全管理者security manager安全管理者是制定和管理安全策略相关的人或实体。3.9安全服务　security service由网络侧提供的服务，保证系统或数据传输足够安全。不仅包括ITU-TX.805中定义的8个安全需求，还包括网络可以提供的在线杀毒、入侵检测病、漏洞扫描和内容过滤等。3.10场景.scenario指具有相同数据传输特征的一类业务的集合，或者基础性的业务。如流媒体业务、Web业务、下载业务等。4缩略语下列缩略语适用于本标准。应用服务提供商AS