- 中华人民共和国工业和信息化部 发 布xxxx-××-××实施 xxxx-××-××发布面向家庭宽带场景的 IPv6安全隔离技术 要求 Technical requirements of IPv6 security isolation for home broadband (报批稿）YD/T [×××××]—[××××]YD 中 华 人 民 共 和 国 通 信 行 业 标 准ICS 33.020 CCS M 04YD/T XXXXX—XXXX 2目 次 前  言 3 1 范围 4 2 规范性引用文件 4 3 术语和定义 4 4 缩略语 4 5 典型家庭宽带组网方案 4 6 家庭宽带 IPv6地址安全风险 5 7 家庭宽带 IPv6地址段安全隔离总体原则 6 8 家庭宽带 IPv6地址段安全隔离技术要求 6 8.1 总体要求 6 8.2 安全隔离场景 7 8.2.1 同一个城域网控制层设备（ 如BRAS）下的家庭宽带设备互相隔离技术要求 7 8.2.2 不同城域网控制层设备（ 如BRAS）下的家庭宽带设备互相隔离技术要求 8 8.2.3 不同汇聚层设备（ 如OLT）下的家庭宽带设备互相隔离技术要求 8 8.2.4 互联网不应访问家庭宽带设备技术要求 8 8.2.5 家庭宽带网络设备只与其管理平台互相通信安全隔离技术要求 9 8.2.6 家庭宽带网络设备管理平台只允许最小范围访问安全隔离技术要求 9 8.3 白名单隔离场景 9 8.3.1 特例1：允许某个特定端口可被访问安全隔离技术要求 9 8.3.2 特例2：允许某个接入层设备（ 如ONU）可以单向访问另一个接入层设备安全隔离技术要求 10 8.3.3 特例3：允许某个接入层设备（ 如ONU）被所有人访问安全隔离技术要求 10 9 家庭宽带 IPv6地址段安全隔离配置验证要求 11 9.1 配置设置和配置生效验证要求 11 9.2 现网家庭宽带设备测试性验证要求 11 附　录　A （资料性） 家庭宽带 IPv6地址段安全隔离配置示例 12 A.1 同一个城域网控制层设备（ 如BRAS）下的家庭宽带设备互相隔离现网配置示例 12 A.2 允许某个特定端口可被访问安全隔离现网配置示例 12 A.3 允许某两个接入层设备（ 如ONU）之间可以互通安全隔离现网配置示例 13 A.4 允许某个接入层设备（ 如ONU）被所有人访问安全隔离现网配置示例 13 YD/T XXXXX—XXXX 3前  言 本文件按照 GB/T 1.1—2020《标准化工作导则 　第1部分：标准化文件的结构和起草规则》的规定起草。 本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由中国通信标准化协会提出并归口。 本文件起草单位：中国移动通信集团有限公司、中国信息通信科技集团有限公司、北京天融信网络安 全技术有限公司、中国信息通信研究院。 本文件主要起草人：陈璨璨、姜一娇、粟栗、杨凯、王悦、李肖肖、苏丙康、梁睿、梁业裕、肖凡、 吴国燕、王龑、贺倩。 YD/T XXXXX—XXXX 4面向家庭宽带场景的 IPv6安全隔离技术要求 1　范围 本文件规定了面向家庭宽带场景的 IPv6安全隔离的技术要求 ，主要包括家庭宽带 IPv6地址段安全隔离总 体原则以及在各类家庭宽带网络设备上进行 IPv6安全隔离配置的具体要求等。 本文件适用于电信运营商家庭宽带网络 ，适用的场景包括对现有家庭宽带网络 IPv6安全隔离情况进行安 全评估和加固，以及对家庭宽带网络进行 IPv6地址大规模升级改造。 2　规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文 件。 GB/T 25069—2022 信息安全技术 术语 3　术语和定义 GB/T 25069界定的及下列术语和定义适用于本文件。 3.1　 IPv6安全隔离 IPv6 security isolation 通过对某个 IPv6地址段内设备与其他 IPv6地址段内设备或网络间进行网络访问控制 ，实现应用层信息安 全交换和资源安全共享。 4　缩略语 下列缩略语适用于本文件。 ACL 访问控制列表 Access Control List BRAS 宽带接入服务器 Broadband Remote Access Server IPv6 网际协议版本 6 Internet Protocol Version 6 OLT 光线路终端 Optical Line Terminal ONU 光网络单元 Optical Network Unit RAIDUS 远程用户拨号认证系统 Remote Authentication Dial In User Service 5　典型家庭宽带组网方案 典型的家庭宽带组网方案如图 1所示。 家庭宽带网络中，城域网控制层设备（ 如BRAS等）提供宽带接入服务、实现多种业务的汇聚与转发 和宽带接入网管理功能 ；汇聚层设备（ 如OLT等）提供面向用户的无源光纤网络的光纤接口，完成网络的 上行接入，下连用户端接入层设备（ 如ONU等），实现对用户端接入层设备的控制、管理和测距等功能， 相当于传统通信网中的交换机或路由器；用户端接入层设备对汇聚层设备发送的广播进行选择性接收，对YD/T XXXXX—XXXX 5用户的摄像头、机顶盒等需要发送的以太网数据进行收集和缓存，按照被分配的发送窗口向汇聚层设备发 送该缓存数据。 图1 典型家庭宽带组网方案 6　家庭宽带 IPv6地址安全风险 家庭宽带场景下 ，与IPv4设置内网地址不同的是 ，一方面每个智能设备均有 IPv6全球单播地址 ，另一 方面当前 IPv6地址段未进行合理的安全隔离配置，导致所有家庭设备可以互相访问，这样会产生较大安全 风险。 a) 同一个城域网控制层设备（ 如BRAS）下多个汇聚层设备（ 如OLT）未安全隔离，各家庭的家宽 设备可互相访问，可能存在隐私泄露等风险； b) 不同城域网控制层设备（ 如BRAS）之间多个汇聚层设备（ 如OLT）设备未安全隔离，各家庭的 家宽设备可互相访问，可能存在隐私泄露等风险； c) 同一个汇聚层设备 （如OLT）下多个接入层设备 （如ONU）未安全隔离 ，各家庭的家宽设备可互 相访问，可能存在隐私泄露等风险； d) 不同汇聚层设备 （如OLT）之间多个接入层设备 （如ONU）未安全隔离 ，各家庭的家宽设备可互 相访问，可能存在隐私泄露等风险； e) 家庭宽带设备与互联网之间未安全隔离，家宽设备暴露在互联网上，可被所有人访问，增加被攻 击的风险； f) 家庭宽带网络设备与其管理平台之间如未做任何访问限制 ，则可能导致各个家庭宽带网络设备与管 理平台之间互相访问，增加家庭宽带网络设备被攻击的风险； g) 家庭宽带设备网络设备管理平台未做访问限制，如允许所有人访问或开放大量非必要端口，都会 YD/T XXXXX—XXXX 6增加家庭宽带网络设备管理平台可能被攻击的入口的数量 ，攻击者可通过攻击管理平台 ，进而攻击家 宽设备。 7　家庭宽带 IPv6地址段安全隔离总体原则 为避免以上家庭宽带 IPv6地址段因未隔离导致的安全风险 ，制定家庭宽带 IPv6地址段安全隔离总体原 则。 a) 无访问业务场景的情况下全部隔离原则 在无访问业务场景的情况下 ，各家庭宽带设备 IPv6地址段应互相隔离 ，所有家庭宽带设备 IPv6地址段 应与互联网隔离。 b) 权限最小化原则 家庭宽带设备管理平台应遵循权限最小化原则，只允许与其管理的家庭宽带设备通信，只允许最小范 围的访问，不开放非必要的访问端口。 c) 特殊情况白名单机制原则 考虑到可能存在的家庭宽带 IPv6地址段需要被访问的业务场景特例，应建立特殊情况白名单机制，可 配置允许被访问的家庭宽带 IPv6地址段特例。 8　家庭宽带 IPv6地址段安全隔离技术要求 8.1　总体要求 基于以上隔离原则 ，制定家庭宽带 IPv6地址段安全隔离技术要求 。待安全隔离的 IPv6地址段包括 IPv6 组播地址段和 IPv6全球单播地址段 。一般情况下 ，IPv6邻居发现协议仅在同一家庭地址段网络内有效 ，不 同家庭宽带用户之间无法通过邻居发现协议交互信息， 所以 IPv6组播地址段是默认相互隔离的。故本文件 重点对 IPv6全球单播地址段的安全隔离提出技术要求。 IPv6全球单播地址段的安全隔离，主要通过对家庭宽带网络设备进行配置，实现家庭宽带网络中各城 域网控制层设备（ 如BRAS）及其所挂的汇聚层设备（ 如OLT）、接入层设备（ 如ONU）、家庭宽带设备 形成独立的安全域，达到各家庭宽带设备之间无法互相访问、互联网无法访问家庭宽带设备、家庭宽带设 备只访问其管理平台的目的。 具体可选择的配置位置如表 1所示。 表1　家庭宽带 IPv6地址段安全隔离场景配置位置说明表 序号 预期隔离效果 配置位置 1 同一个城域网控制层设备（ 如BRAS）下的家庭宽带设备互相 隔离 城域网控制层设备（ 如BRAS） 2 不同城域网控制层设备（