ICS33.040.99 M19 中华人民共和国国家标准 GB/T29234—2012 基 于公用电信网的宽带客户网络 安全技术要求 Securitytechnicalrequirementsforbroadbandcustomernetworkbasedon telecommunicationnetwork 2012-12-31发布 2013-06-01实施 中华人民共和国国家质量监督检验检疫总局 中国国家标准化管理委员会发布 前 言 本标准按照GB/T1.1—2009给出的规则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由中华人民共和国工业和信息化部提出。 本标准由中国通信标准化协会归口。 本标准起草单位:工业和信息化部电信研究院。 本标准主要起草人:程强、敖立、刘谦、陆洋。 ⅠGB/T29234—2012 基于公用电信网的宽带客户网络 安全技术要求 1 范围 本标准规定了基于公用电信网的宽带客户网络的安全威胁、安全需求、安全机制和安全算法、设备 认证证书轮廓以及安全功能。 本标准适用于电信网络提供的业务和应用通过网关在宽带客户网络内部实现的情况,对仅在宽带 客户网络内部设备之间信息流通的情况也可参考使用。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文 件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 YD/T1448—2006 基于公用电信网的宽带客户网络总体技术要求 ITU-TX.509 信息技术 开放系统互连 号码簿:公钥和属性鉴别框架(Informationtechnology— Opensystemsinterconnection—Thedirectory:Public-keyandattributecertificateframeworks) ITU-TX.805 提供端到端通信的系统的安全体系(Securityarchitectureforsystemsproviding end-to-endcommunications) ITU-TX.1121 移动端到端数据通信的安全技术框架(Frameworkofsecuritytechnologiesfor mobileend-to-enddatacommunications) BroadbandForumTR-069Amendment1(2006) CPEWAN管理协议(CPEWANManagement Protocol) 3 术语和定义 下列术语和定义适用于本文件。 3.1 授权证书 authorizationcertificate 用于为对象授权的一个签名物。它至少包括一个发放者和一个对象。它可以包括有效性条件、授 权和委托信息。通常,证书可以分为三类:身份证书、属性证书和授权证书。身份证书用于映射对象的 名字和公钥,属性证书用于映射对象的名字和授权,授权证书用于映射对象的授权和公钥。获得一个授 权证书或属性证书可以代表对象从发放者获得所有或部分权限。 3.2 身份证书 IDcertificate 一段信息,其中至少声明了授权发放者名称、证书对象身份、该对象公钥、证书有效期、序号和认证 中心的数字签名。 3.3 设备证书 devicecertificate 身份证书的一种,在宽带客户网络中,它是一个符合ITU-TX.509版本3的证书,用于认证宽带客 1GB/T29234—2012 户网络设备。它可以由宽带客户网络内部CA发放,也可由外部CA发放。 3.4 加盐 salt 就是在已执行哈希运算的密码中插入一个随机数字。这一策略有助于阻止潜在的攻击者利用预先 计算的字典进行攻击。 3.5 Smurf攻击 smurfattack 一种拒绝服务攻击的方法,通过伪装成受害主机的源IP地址发送目的地址为广播地址的PING 包,利用大量的PING响应攻击受害者。 3.6 LAND攻击 LANDattack 一种拒绝服务攻击的方法,通过向受害主机发送源和目的地址相同设为受害主机地址的IP报文, 导致受害主机连续地向自身发送响应报文。 3.7 拒绝服务攻击 DoSattack 阻止正常合法用户对资源的访问或对时间关键的操作进行延迟的攻击。 3.8 中间人攻击 man-in-the-middleattack 一种主动窃取被攻击者之间的通信的手段。通过在被攻击者之间对消息进行截取并转发,获得被 攻击者的通信信息或插入伪造的信息。 4 缩略语 下列缩略语适用于本文件。 ACL:访问控制列表(AccessControlList) ANY:任意(Any) ARP:地址解析协议(AddressResolutionProtocol) CA:证书机构(CertificateAuthority) CHAP:质询握手认证协议(ChallengeHandshakeAuthenticationProtocol) DoS:拒绝服务(DenialofService) DMZ:隔离区(DeMilitarizedZone) EUTE:用户终端功能实体(EndUserTerminalEntity) FPE:功能处理实体(FunctionalProcessingEntity) FTP:文件传输协议(FileTransferProtocol) HTTP:超文本传送协议(HypertextTransferProtocol) HTTPS:超文本安全传送协议(HypertextTransferProtocolSecure) ICMP:互联网控制消息协议(InternetControlMessageProtocol) IGMP:互联网组管理协议(InternetGroupManagementProtocol) ID:身份(Identity) IP:互联网协议(InternetProtocol) IPoE:以太网承载IP(IPoverEthernet) IPTV:IP电视(IPTelevision) 2GB/T29234—2012