YDT 1909-2009运营商提供的虚拟专用网安全技术要求.pdf

ICS 33.040.01M 10YD中华人民共和国通信行业标准YD/T 1909-2009运营商提供的虚拟专用网安全技术要求Technique Specification ofProvider Provisioned Virtual Private Network Security2009-06-15 发布2009-09-01实施中华人民共和国工业和信息化部发布 YD/T 1909-2009目次前言11范围·2规范性引用文件·3术语、定义和缩略语4　安全威胁·5　对运营商的安全要求·6　安全技术·107运营安全防护附录A（规范性附录）三层VPN 的PE-PE数据信息的加密传送·16附录B（资料性附录）‘三三层VPN的CE-CE数据信息的加密传送·?三层VPN几种加密方式的比较附录C（资料性附录）-20 YD/T 1909-2009前．言本标准是IP虚拟专用网系列标准之一，该系列标准包括如下标准：●基于网络的虚拟 IP 专用网（IP-VPN）框架●运营商提供的虚拟专用网安全技术要求●基于边界网关协议/多协议标记交换的虚拟专用网（BGP/MPLS VPN）组网要求●基于边界网关协议/多协议标记交换的虚拟专用网（BGP/MPLS VPN）技术要求●公用三层P虚拟专用网（PPVPN）业务技术要求●基于IP 的二层虚拟专用网（VPN）业务技术要求●BGP/MPLS 虚拟专用网测试方法LDP信令的虚拟专用以太网技术要求·LDP信令的虚拟专用以太网测试规范本标准的附录 A 是规范性附录，附录 B、附录,C 是资料性附录。本标准由中国通信标准化协会提出并归口。本标准起草单位：工业和信息化部电信研究院、上海贝尔阿尔卡特股份有限公司、华为技术有限公司、中兴通讯股份有限公司本标准主要起草人：吴英桦、田辉、张立新 YD/T 1909-2009运营商提供的虚拟专用网安全技术要求.1范围本标准规定了运营商提供的虚拟专用网（PPVPN）在安全技术方面的要求，主要包括PPVPN面临的安全威胁、对运营商的安全要求、运营商使用的安全技术、运营安全防护要求等。本标准适用于单播技术的 PPVPN，不适用于组播技术的 PPVPN。PPVPN主要指MPLSVPN。2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准。然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。IETF RFC1918 (1996)专用网地址分配3术语、定义和缩略语3.1术语和定义下列术语和定义适用于本标准。3.1.1用户网络边缘设备CustomerEdge（CE）用户网络和运营商网络直接相连的设备，可以是主机或者路由器，用户边缘设备“感知不到VPN的存在。3.1.2运营商边缘设备ProviderEdge（PE）运营商网络和用户网络直接相连的设备，负责运营商网络同VPN客户网络的交互。PE处理来自CE的数据，并转发到相同VPN中的其他 PE，PE 也要能够处理来自网络的到所属VPN 的站点的资料。PE能够理解和处理VPN 用户的私网地址，并提供不同VPN用户网络之间的隔离性。3.1.3运营商设备.Provider（P）运营商骨干网络中不和 CE 相连的路由器，负责转发从 PE发过来的VPN数据，如果PE之间使用MPLS隧道，需要相应的P设备支持MPLS和LDP（或RSVP-TE）信令。如果PE之间使用其他隧道机制，P设备可以不支持MPLS和LDP（或RSVP-TE），只需要按照该隧道机制的要求支持相应技术。3.1.4站点SITEVPN 用户的网络，并通过一个 CE 或多个 CE 连接到一个或多个 PE 上。一个 SITE 可能是由位于相同地理位置的一系列主机和网络设备组成，比如一个银行的分理处，也可能是一个地理分布的网络，但作为一个逻辑的整体统一出口和 PE 连接。一个 VPN 由通过公共基础设施连接的多个 SITE 组成。 YD/T 1909-20093.2缩略语下列缩略语适用于本标准：自治系统ASAutonomous System异步传输模式ATMAsynchronous transfer mode边界网关协议BGP: Border Gateway Protocol用户网络边缘设备CECustomer Edge服务拒绝DoSdenial of service分布式服务拒绝DDoS distributed denial of service因特网工程任务组IETFInternet Engineering Task Force因特网密钥交换IKE Internet Key Exchange互联网协定:PInternet protoco