YDT 2050-2009 接入网安全技术要求-无源光网络(PON)设备

ICS33.040.50M19YD中华人民共和国通信行业标准YDrr2050-2009接入网安全技术要求无源光网络CPON)设备Technicalrequirementsforsecurityofpassiveopticalnetwork(PON)equipment2009-12-11发布2010-01-01实施中华人民共和国工业和信息化部发布yorr2050-2009自次前言...........................…...•••.......•.•...••••..........….....................•..............•..•..••.........….111范围….............2规范性引用文件........……·3缩略语….......…·4概述........…...••..............•.......…........•••......….....•...........….........…..........•....•.•..•.........224589求求求要要要求全全全要全安安安性安面面面靠气平平平可电户制理备备用控管设设ZJ正U吁roonyIYDrr2050-2009前言本标准是接入网设备安全系列标准之一，该标准系列的名称和结构预计如下z1.YD厅2ω-2ω接入网安全技术要求一-xDSL用户端设备2.YDtr2ω7吃∞9接入网设备安全测试方法一-xDSL用户端设备3.YD厅2ω8-2∞9接入网安全技术要求一-DSL接入复用器(DSLAM)设备4.YD厅2049-21∞9接入网设备安全测试方法一一DSL接入复用器(DSLAM)设备5.YD厅2050吃∞9接入网安全技术要求一一无源光网络(PON)设备6.YD厅2051吃∞9接入网设备安全测试方法一一无源光网络(PON)设备7.YD厅1910-2∞9接入网安全技术要求一一综合接入系统8.接入网设备安全测试方法一一综合接入系统本标准在制定过程中注意了和下列标准的协调统一z1.YD，厅1475-2创历接入网技术要求一一基于以太网方式的无源光网络(EPON)2.YD厅1771吃∞8接入网技术要求一-EPON系统互通性3.YD，厅1949-21∞9接入网技术要求一一吉比特的无源光网络4.YD厅1953-2∞9接入网技术要求一-EPON/GPON系统承载多业务本标准由中国通信标准化协会提出并归口。本标准起草单位z工业和信息化部电信研究院、中兴通讯股份有限公司、华为技术有限公司、上海贝尔股份有限公司、国家计算机网络应急技术处理协调中心。本标准主要起草人z陈洁、程强、刘谦、赵苹、敖立、党梅梅、葛坚、李云洁、张博山、牛乐宏、姚亦峰。HYDrr2050-2009接入网安全技术要求一一无源光网络(PON)设备1范围本标准规定了PON设备〈包括EPON设备和GPON设备〉的用户平面安全要求、控制平面安全要求、管理平面安全要求、设备可靠性和电气安全要求。本标准适用于公众电信网环境下的PON设备，专用电信网也可参照使用。2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。GB9254-1998信息技术设备的无线电骚扰限值和测量方法GBtr17618-1998信息技术设备抗扰度限值和测量方法四川082-2∞o接入网设备过电压过电流防护及基本环境适应性技术条件YD厅1475吃∞6接入网技术要求一一基于以太网方式的无源光网络CEPON)YD厅1771-2∞8接入网技术要求一-EPON系统互通性要求m厅1949.1吃∞9接入网技术要求一一吉比特的无源光网络CGPON)第1部分总体要求YD厅1949.3吃ω接入网技术要求一一吉比特的无源光网络CGPON)第3部分传输汇聚CTC)层要求IEEE802.1ag局域网和城域网一一虚拟桥接局域网增补件5:连接故障管理IEEE802.1D局域网和城域网一-MAC桥IEEE802.1Q局域网和城域网一一虚拟桥接局域网IEEE802.1X局域网和城域网一一基于端口的网络接入控制IEEE802.3信息技术一一系统间通信和信息交换一一局域网和城域网特定要求一一第3部分CSMAlCD接入方式和物理层规范IETFRFC1901基于团体名的SNMPv23缩略语下列缩略语适用于本标准。BRASBroadbandRemoteAccessServer宽带远程接入服务器DHCPDynamicHostConfigProt，∞01动态主机配置协议DLFDes出ationL∞lkupFailure目的查找失败DoSDenialofService拒绝服务EPONEthemetPassiveop咀calNetwork基于以太网方式的无源光网络GPONGigabit-CapablePassiveOpticalNetwork吉比特无源光网络1YDfT2050-2009IGMPIntemetGroupManagementProt∞01互联网组管理协议MDUMulti-DwellingUnit多住户单元OLTOpticalLineTenninal光线路终端OMCIONTManagementandControlInterface0盯管理控制接口ONUOpticalNetworkUnit光网络单元PONPassiveOpticalNetwork无源光网络PPPPointtoPointProt∞01点到点协议PPPoEPPPoverEthemet以太网承载PPPSCBSingleCopyBroadcast单拷贝广播SSLSecureSocketsLayer安全套件层TCTransmissionConvergence传输汇聚TCPTransmissionControlProtocol传输控制协议τLSTransportLayerSecurity传输层安全UDPUserDatagramProt∞01用户数据协议USMUser-basedSecurityModel基于用户的安全模型VLANVrrtua1LocalAreaNetwork虚拟局域网4概述πU-TX.805(端到端通信系统安全框架》定义了一个完整的端到端通信系统的安全框架，定义了应用层、业务层和基础设施层3个网络层次，并为每个网络层次定义了用户、控制和管理3个平面。对每个层次的每个平面部分别从访问控制、鉴别、不可抵赖、数据保密性、通信安全、完整性、可用性和隐私8个方面考虑其安全性。PON设备(包括EPON设备和GPON设备〉用户平面安全要求在面临信息安全威胁时仍然能够保证用户数据信息在OLT上联接口和ONU下联接口之间的安全传递。PON设备控制平面安全要求能够保障OLT和ONU之间、OLT和网络节点设备之间、ONU和用户设备之间控制消息和信令的安全传递，防止非法用户通过协议报文攻击网络。PON设备管理平面安全要求在面临安全威胁时仍能够保证管理用户、网管系统和PON设备三者之间的安全接入和管理信息的安全传递。5用户平面安全要求5.1数据加密功能PON设备在下行方向应支持对用户单播数据进行加密，以保证用户数据的安全性。下行组播业务和上行用户数据无需进行加密处理。EPON设备应采用三重搅动方法对用户数据进行保护，具体应符合YD厅1771-2∞8(接入网技术要求一-EPON系统互通性要求》的规定。GPON设备采用的加密算法应符合YD.厅1949.3-2∞9(接入网技术要求一一吉比特的无源光网络(GPON)第3部分传输汇聚(TC)层要求》的规定。5.2二层隔离2YDrr2050-2009OLT应支持各ONU之间的二层隔离，即同一OLT设备上同一和不同PON接口下的各ONU之间均不应通过OLT设备上的二层桥接功能直接互通。MDU类型的ONU应支持各用户物理端口之间的二层隔离，即各用户物理端口之间不应通过ONU上的二层桥接功能直接互通。5.3帧过滤5.3.1OLT的帧过滤功能OLT应支持根据以太网封装协议、源/目的MAC地址、源/目的E地址和TCP用DP端口号对上、下行以太网数据帧进行过滤。OLT应能过滤来自用户的组播流。缺省状态下，OLT应支持过滤表1规定的预定义和保留地址的MAC帧，但OLT可以提供改变缺省行为的配置选项。表1预定义和保留MAC地址MAC地址作用缺省行为可选配置引用标准01-80-C2-00-仪L∞桥组地址(BPDUs)BlωkNoneIEEE802.ID,Table7-901-80-C2-00-仪头01PAUSEBlωkNoneIEEE802.301-80-C2-00-仪)..02慢速协议(LACP，EFMOAMPDUs)BlockPeerIEEE802.3,Table43B-101-80-C2-α)，，00-03EAPoverLANsBlωkPeerIEEE802.1X,Table7-201-80-C2-α〉α)，，04保留Bl∞kNoneIEEE802.ID,Table7-901-80-C2-αLα)..OF01-80-C2-α〉仪)..10所有LAN的桥管理地址Bl∞kNoneIEEE802.ID,Table7-1001-80-C2-α)..α)，，20GMRPBlωkNoneIEEE802.ID,Table12-101-80-C2-α〉α)，，21GVRPBlωkNoneIEEE802.吨，Table11-101-80-C2-α〉α)..22-保留GARP应用地址Bl∞kForw缸dIEEE802.ID,Table12-101-80-C2-00-00-2F01-80-C2-xx-口-xyCFMForw缸dBlωkIEEE802.1ag-时，Table8-95.3.2ONU的帧过滤功能ONU应支持根据物理端口、以太网帧封装协议、源/目的MAC地址、以太网优先级标记CP-bit)对上、下行以太网数据帧进行过滤。缺省状态下，ONU应支持过滤表1规定的预定义和保留地址的MAC帧，但ONU可以提供改变缺省行为的配置选项。建议ONU支持基于源/目的E地址和TCP/UDP端口号对数据帧进行过滤。建议ONU过滤来自用户的组播流。5.4姐播/广播IDLF报文风暴抑制OLT应对二层组播/广播IDL时民文的速率进行抑制，在上行方向应默认开启此功能。OLT应支持基于全局的抑制方式，建议支持基于VLAN和端口的抑制方式。5.5协议报文眼速OLT和MDU类型ONU应支持对特定协议报文(例如，DHCP,IGMP,ICMP等〉进行限速处理。5.6MAC地址控制功能5.6.1OLT的MAC地址控制功能3YDrr2050-2009OLT应能配置并限制从每个ONU学习到的MAC地址的数量，限制的数量应可以灵活配置。当达到MAC地址表深度时，OLT应支持忽略新MAC地址直到i日MAC地址老化等不同策略。5.6.2ONU的MAC地址控制功能ONU应支持限制从每个用户物理端口学习到的MAC地址的数量，且限制的数量应可以灵活配置。当达到MAC地址表深度时，ONU应支持忽略新MAC地址直到|日MAC地址老化等不同策略。5.7防止MAC地址欺骗OLT应能够防止用户MAC地址欺骗，应支持丢弃重复的MAC地址的帧。OLT应能够防止用户仿冒宽带网络网关(如BRAS)的MAC地址。5.8IP地址绑定功能OLT和MDU类型的ONU应支持E地址与端口或VLAN等的绑定，地址绑定功能应包含下面两个子功能:(1)端口a被限制仅能使用地址A，不能使用除地址A外的其他地址:(2)端口b不能盗用端口a使用的地址A。OLT和MDU类型的ONU应支持基于静态配置用户E地址与用户端口或VLAN的绑定功能。OLT和MDU类型的ONU可选支持眼踪DHCP中的E地址分配过程进行端口和E地址的动态绑定功能。5.9VLAN辛日VLANStackingOLT和0阳应支持通过VLAN实现用户隔离和业务隔离，并应