ICS 33. 020 CCS M 04 YD 中华人民共和国通信行业标准 YD/T[xxxxx][xxxx] 面向家庭宽带场景的IPv6安全隔离技术 要求 Technical requirements of IPv6 security isolation for home broadband 行业标准信息服务平台 (报批稿) XXXx-XX-XX发布 XXXx-XX-XX实施 中华人民共和国工业和信息化部发布
YD/T XXXXX-XXXX 目次 前言 3 1范围 4 2规范性引用文件 4 3术语和定义 4 4缩略语 4 5典型家庭宽带组网方案 4 6家庭宽带IPv6地址安全风险 5 7家庭宽带IPv6地址段安全隔离总体原则 6 8家庭宽带IPv6地址段安全隔离技术要求 6 8.1总体要求 6 8.2安全隔离场景 7 8.2.1同一个城域网控制层设备(如BRAS)下的家庭宽带设备互相隔离技术要求 7 8.2.2不同城域网控制层设备(如BRAS)下的家庭宽带设备互相隔离技术要求 8 8.2.3不同汇聚层设备(如OLT)下的家庭宽带设备互相隔离技术要求 8 8.2.4互联网不应访问家庭宽带设备技术要求 8 8.2.5家庭宽带网络设备只与其管理平台互相通信安全隔离技术要求 9 8.2.6家庭宽带网络设备管理平台只允许最小范围访问安全隔离技术要求 9 8.3白名单隔离场景 9 8.3.1特例1:允许某个特定端口可被访问安全隔离技术要求 9 8.3.2特例2:允许某个接入层设备(如ONU)可以单向访问另一个接入层设备安全隔离技术要求 10 8.3.3特例3:允许某个接入层设备(如ONU)被人访问安全隔离技术要求 10 9家庭宽带IPv6地址段安全隔离配置验证要求 11 9.1配置设置和配置生效验证要求 11 9.2现网家庭宽带设备测试性验证要求 11 附录A(资料性)家庭宽带IPv6地址段安全隔离配置示例 12 A.1同一个城域网控制层设备(如BRAS)下的家庭宽带设备互相隔离现网配置示例 12 A.2允许某个特定端口可被访问安全隔离现网配置示例 12 A.3允许某两个接入层设备(如ONU)之间可以互通安全隔离现网配置示例 理信息服务平台 13 A.4允许某个接入层设备(如ONU)被人访问安全隔离现网配置示例 13
YD/TXXXXXXXXX 前言 本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定起草.
本文件的某些内容可能涉及专利.
本文件的发布机构不承担识别专利的责任.
本文件由中国通信标准化协会提出并归口.
本文件起草单位:中国移动通信集团有限公司、中国信息通信科技集团有限公司、北京天融信网络安 全技术有限公司、中国信息通信研究院.
本文件主要起草人:陈璨璨、姜一娇、栗栗、杨凯、王悦、李肖肖、苏丙康、梁睿、梁业裕、肖凡、 吴国燕、王、贺倩.
行业标准信息服务平台
YD/T XXXXX-XXXX 面向家庭宽带场景的IPv6安全隔离技术要求 1范围 本文件规定了面向家庭宽带场景的IPv6安全隔离的技术要求,主要包括家庭宽带IPv6地址段安全隔离总 体原则以及在各类家庭宽带网络设备上进行IPv6安全隔离配置的具体要求等.
本文件适用于电信运营商家庭宽带网络,适用的场景包括对现有家庭宽带网络IPv6安全隔离情况进行安 全评估和加固,以及对家庭宽带网络进行IPv6地址大规模升级改造.
2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款.
其中,注日期的引用文件, 仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括的修改单)适用于本文 件.
GB/T25069-2022信息安全技术术语 3术语和定义 GB/T25069界定的及下列术语和定义适用于本文件.
3. 1 IPv6安全隔离IPv6security isolation 通过对某个IPv6地址段内设备与其他IPv6地址段内设备或网络间进行网络访问控制,实现应用层信息安 全交换和资源安全共享.
4缩略语 下列缩略语适用于本文件.
标 ACL 访问控制列表 Access Control List BRAS 宽带接入服务器 Broadband Remote Access Server IPv6 网际协议版本6 Internet Protocol Version 6 170 光线路终端 Optical Line Terminal ONU 光网络单元 Optical Network Unit RAIDUS 远程用户拨号认证系统 Remote Authentication Dial In User Service 5典型家庭宽带组网方案 典型的家庭宽带组网方案如图1所示.
家庭宽带网络中,城域网控制层设备(如BRAS等)提供宽带接入服务、实现多种业务的汇聚与转发 和宽带接入网管理功能:汇聚层设备(如OLT等)提供面向用户的无源光纤网络的光纤接口,完成网络的 上行接入,下连用户端接入层设备(如ONU等),实现对用户端接入层设备的控制、管理和测距等功能, 相当于传统通信网中的交换机或路由器:用户端接入层设备对汇聚层设备发送的广播进行选择性接收,对
YD/TXXXXX-XXXX 用户的摄像头、机项盒等需要发送的以太网数据进行收集和缓存,按照被分配的发送窗口向汇聚层设备发 送该缓存数据.
BRAS管理平台 RMS 监测终端 互联网电视CDN平台 城域网、骨干网 BRAS 城域网 控制层 1T0 OLT 汇聚层 ONU 接入层 机顶盒 摄像头 机顶盒摄像头 机顶盒 摄像头 图1典型家庭宽带组网方案 6家庭宽带IPv6地址安全风险 方面当前IPv6地址段未进行合理的安全隔离配置,导致家庭设备可以互相访问,这样会产生较大安全 风险.
a)同一个城域网控制层设备(如BRAS)下多个汇聚层设备(如OLT)未安全隔离,各家庭的家宽 设备可互相访问,可能存在隐私泄露等风险: b)不同城域网控制层设备(如BRAS)之间多个汇聚层设备(如OLT)设备未安全隔离,各家庭的 家宽设备可互相访问,可能存在隐私泄露等风险: c)同一个汇聚层设备(如OLT)下多个接入层设备(如ONU)未安全隔离,各家庭的家宽设备可互 相访问,可能存在隐私泄露等风险; d)不同汇聚层设备(如OLT)之间多个接入层设备(如ONU)未安全隔离,各家庭的家宽设备可互 相访问,可能存在隐私泄露等风险: e)家庭宽带设备与互联网之间未安全隔离,家宽设备暴露在互联网上,可被人访问,增加被攻 击的风险: f家庭宽带网络设备与其管理平台之间如未做任何访问限制,则可能导致各个家庭宽带网络设备与管 理平台之间互相访问,增加家庭宽带网络设备被攻击的风险; g)家庭宽带设备网络设备管理平台未做访问限制,如允许人访问或开放大量非必要端口,都会 5
