YDT 1905-2009IPv6网络设备安全技术要求——宽带网络接入服务器.pdf

ICS 33.040.40M 32YD中华人民共和国通信行业标准YD/T 1905-2009IPv6网络设备安全技术要求宽带网络接入服务器Security Technical Requirements forBroadband Network Access Server IPv6 Network Equipment2009-06-15 发布2009-09-01实施中华人民共和国工业和信息化部发布 YD/T 1905-2009次目前 創言·范围·1 2规范性引用文件3＇术语、定义和缩略语安全框架模型4.5数据平面安全·控制平面安全610管理平面安全73附录A（资料性附录）通用TTL安全机制（GTSM）18附录B（资料性附录）基于IEEE802.1x用户接入认证·参考文献·20 YD/T 1905-2009前言本标准是IPv6网络设备一宽带网络接入服务器安全系列标准之一，该系列标准预计的结构和名称如下：《IPv6网络设备安全技术要求一1.一宽带网络接入服务器》《IPv6网络设备安全测试方法-一宽带网络接入服务器》2.本标准与《IPv6网络设备安全测试方法一一宽带网络接入服务器》配套使用。本标准附录A、附录B均为资料性附录。本标准由中国通信标准化协会提出并归口。本标准起草单位：工业和信息化部电信研究院本标准主要起草人：杨剑锋 YD/T 1905-2009IPv6网络设备安全技术要求一宽带网络接入服务器1范围本标准规定了支持IPv6的宽带网络接入服务器安全技术的基本要求，包括数据平面、控制平面和管理平面的安全威胁和安全服务要求，以及标识验证、数据保护、系统功能保护、资源分配、安全审计、安全管理、可信信道/路径和系统访问等八个安全功能需求。本标准中出现的所有未指明的宽带网络接入服务器、接入服务器等均特指IPv6宽带网络接入服务器。本标准适用于支持Pv6的宽带网络接入服务器。2 规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。·凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准。然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。GB/T 18336.2信息技术安全技术信息技术安全性评估准则第2部分：·安全功能要求多协议标记交换（MPLS）技术要求YD/T 1162.1-2005YD/T 1466-2006JP安全协议（IPSec）技术要求YD/T 1897-2009互联网密钥交换协议（IKEv2）技术要求IETF RFC 1352 (1992)SNMP安全协议IETF RFC 2385 (1998)通过TCPMD5选项保护BGP会话PPP上的IPv6IETF RFC 2472 (1998)3术语、定义和缩略语3.1 术语和定义下列术语和定义适用于本标准。3.1.1网络接入服务器Network Access Server （NAS)是远程访问接入设备，它位于公共电话网（PSTN/ISDN）与IP网之间，将拨号用户接入IP网，它可以完成远程接入、·实现虚拟专用拨号网（VPDN）构建企业内部Intranet等网络应用。3.1.2宽带网络接入服务器Broadband Network Access Server （BNAS)是面向宽带网络应用的新型接入网关，它位于骨干网的边缘层，可以完成用户宽带的（或高速的）PIATM网的数据接入、实现VPN服务、构建企业内部Intranet、支持ISP向用户批发业务等应用。3.1.3 YD/T 1905-2009IPv6宽带网络接入服务器。 IPv6 Broadband Network Access Server （IPv6 BNAS)是基于IPv6协议簇工作在Pv6骨干网的边缘，具有IPv6用户接入管理和路由功能，面向IPv6网络应用的宽带网络接入服务器。3.1.4访问控制 Access Control （AC)防止未经授权使用资源。3.1.5可确认性Accountability确保一个实体的行为能够被独一无二地跟踪。3.1.6.授权 Authorization授予权限，包括根据访问权进行访问的权限。3.1.7可用性 Availabifity根据需要，信息允许授权实体访问和使用的特性。3:1.8信道 Channel系统内的信息传输通道。3.1.9保密性EConfidentiality信息对非授权个人、实体或进程是不可知、不可用的特性。3.1.10数据完整性Data Integrity数据免遭非法更改或破坏的特性。3.1.11拒绝服务·Denia! of Service阻止授权访问资源或延迟时间敏感操作。3.1.12数字签名Digital Signature附在数据单元后面的数据，或对数据单元进行