電信信息技術(shù)中的安全

（信息技術(shù)）電信信息技術(shù)中

的安全

2020年5月

多年的企業(yè)咨詢顧問經(jīng)驗，經(jīng)過實戰(zhàn)險證可以落地執(zhí)行的卓越管理方案,值得您下載擁有

電信和信息技術(shù)安全

電信和信息技術(shù)安全

關(guān)于電信安全的若干議題綜述

及相關(guān)ITU-T建議書應(yīng)用簡介

致謝

很多作者為編寫本手冊做出了貢獻(xiàn)，他們或者參與制定了相關(guān)ITU-T建議

書，或者參與了ITU-T研究組的會議、講習(xí)班和研討會。特別要歸功于下

列人員：LakshmiRaman女士貢獻(xiàn)了第6.4節(jié)及第2章的部分文字，后

一部分還經(jīng)過了MessrsHerbBertine和RaoVasireddy審校；第3章威

脅和風(fēng)險的資料既來自ITU-T的工作，也來自［Shannon］的表述；第5章

和第6.5節(jié)的文字基于［Wisekey］的一般資料和DavidChadwick教授的

大力支持，尤其是對第6.5.2節(jié)Salford的E處方應(yīng)用（以及［Policy］資料）

的描述；第6.1節(jié)關(guān)于VoIP和ITU-TH.323系統(tǒng)的文字來源于

［Packetizer］和［Euchner］,以及MartinEuchner先生的貢獻(xiàn)；第6.2節(jié)

文字來自于ITU-TJ.169,EricRosenfeld先生在第6.1.2節(jié)對其還作了述

評；第6.3節(jié)文字基于ITU-TT.30和T.36中的資料。還要感謝眾多不知

名的審評人員。附件C中的資料來自回復(fù)ITU-T第17工作組安全調(diào)查問

卷的不同ITU-T研究組的眾多專家，附件B基于ITU-T課題10/17專家

尤其是SandorMazgon先生維護(hù)的安全相關(guān)建議書綱要。

電信和信息技術(shù)安全

國際電聯(lián)2003

版權(quán)所有。未經(jīng)過國際電聯(lián)事先書面許可，不得以任何形式復(fù)制其中任何部分。

目錄

致謝

目錄..........................................................................iii

前言..........................................................................v

概述.........................................................................vii

1手冊范圍..................................................................1

2基本安全體系結(jié)構(gòu)和尺度....................................................1

2.1保密和數(shù)據(jù)機(jī)密性..........................................................2

2.2認(rèn)證......................................................................2

2.3完整性....................................................................3

2.4不可否認(rèn)..................................................................3

2.5X.805描述的其他尺度......................................................3

3脆弱性、威脅和風(fēng)險........................................................3

4安全框架的要求............................................................4

5X.509的PKI和特權(quán)徵里.....................................................5

5.1秘密和公共密鑰加密........................................................5

5.2公共密鑰證書.............................................................7

5.3公共密鑰揄出設(shè)施..........................................................8

5.4特權(quán)管理撤出設(shè)施.........................................................8

6應(yīng)用.....................................................................10

6.1使用H.323系統(tǒng)的VoIP.............................................................................................10

6.1.1多媒體和VoIP中的安全問題.....................................14

6.1.2VoIP安全是如何規(guī)定的..........................................16

6.2IP同軸電纜通信系統(tǒng)......................................................18

6.2.1IP同軸電纜通信中的安全問題....................................19

6.2.2IP同軸電纜通信中的安全機(jī)制....................................19

6.3安全傳真?zhèn)魉?...........................................................22

6.3.1使用HKM和HFX的傳真安全....................................23

6.3.2使用RSA的傳真安全............................................24

6.4網(wǎng)絡(luò)管理應(yīng)用............................................................25

6.4.1網(wǎng)絡(luò)窗里體系結(jié)構(gòu)...............................................25

6.4.2管理層面和基礎(chǔ)設(shè)施層的交叉.....................................27

電信和信息技術(shù)安全

6.4.3管理層面和服務(wù)層的交叉.........................................27

6.4.4管理層面和應(yīng)用層的交叉.........................................29

6.4.5通用安全管理服務(wù)...............................................30

6.5E處方..........................................................30

6.5.1E健康應(yīng)用的PKI和PMI考慮....................................31

6.5.2Salford的E處方系統(tǒng)............................................32

7結(jié)論...............................................................34

參考資料.......................................................................35

附件A:安全術(shù)語................................................................36

A.1常用安全相關(guān)縮寫詞.......................................................36

A.2常用安全相關(guān)定義.........................................................43

A.3其他ITU-T術(shù)語和定義資料.................................................59

附件B:ITU-T安全相關(guān)建議書分類目錄.............................................60

B.1本手冊覆蓋的安全方面........................60

B.2本手冊未覆蓋的安全方面（可靠性和外部設(shè)備物理保護(hù)）........................76

附件C:研究組和安全相關(guān)課題清單................................................80

ITU-T安全構(gòu)建模塊..............................................................88

電信和信息技術(shù)安全

■■■??

刖a

長期以來一直局限于銀行、航空或軍事應(yīng)用等領(lǐng)域的數(shù)字安全的問題現(xiàn)在已逐漸變

成人民群眾每個人的事。

數(shù)字安全問題日漸受到重視的現(xiàn)象可能受到電子郵件傳播病毒或黑客竊取信用卡

信息等新聞標(biāo)題的影響。但這種影響并非問題的全部答案。隨著計算和聯(lián)網(wǎng)已如水和電

一樣成為日常生活的重要組成部分，數(shù)字安全不僅被專家們議論,還越來越多地被政府、

公司和消費者談?wù)摗４送?，如果我們的商?wù)活動和個人生活的眾多方面越來越依賴計算

機(jī)和網(wǎng)絡(luò)，毫無疑問,人們會要求這些系統(tǒng)應(yīng)該安全運(yùn)行。

同樣人們應(yīng)該把安全作為一個深思熟慮的過程，應(yīng)用于從系統(tǒng)設(shè)想和系統(tǒng)布署設(shè)

計到制訂系統(tǒng)的安裝、運(yùn)營及使用的政策和實際操作規(guī)程的全過程。在制定標(biāo)準(zhǔn)時，對

安全的考慮必須始終是初始工作的一部分，而不應(yīng)作為事后的補(bǔ)救措施-否則，系統(tǒng)的

易受攻擊的弱點就會由此產(chǎn)生。標(biāo)準(zhǔn)化委員會的角色就是認(rèn)真聽取那些市場及經(jīng)驗中已

知的問題，盡可能地提供對它們的解決辦法，頒布規(guī)范或指南，以幫助運(yùn)用者和用戶使

各項通信系統(tǒng)和各種服務(wù)能夠足夠牢靠地運(yùn)行和使用。

多年來，國際電信聯(lián)盟的標(biāo)準(zhǔn)化部門ITU-T一直積極參與電信和信息技術(shù)安全研

究。但是，鑒于各種信息繁多,人們并不總是很容易弄清楚哪些已被研究，以及到哪里去

找相關(guān)資料。本手冊嘗試將所有已知的信息綜合在一起,以方便人們的檢索。我向ITU電

信標(biāo)準(zhǔn)化局的工程師們表示贊賞，他們在來自ITU成員的有關(guān)專家們的支持下完成了本

手冊的大部分章節(jié)，任務(wù)艱巨成績顯著。本手冊旨在為技術(shù)人員、中層管理人員以及負(fù)

責(zé)制訂和執(zhí)行電信規(guī)則的相關(guān)人員提供一份指南,幫助他們實際運(yùn)用安全功能。本手冊

通過幾個應(yīng)用實例，提供了對安全問題一些事項的解釋,偏重強(qiáng)調(diào)ITU-T建議書是如何

處理這些事項的。

我相信，本手冊將成為關(guān)注安全事項人士的有用指南，我們歡迎讀者對本手冊提出

意見和建議,以便改進(jìn)我們今后的版本的編輯。

電信和信息技術(shù)安全

國際電信聯(lián)盟

電信標(biāo)準(zhǔn)化局主任

趙厚聯(lián)

2003年12月，日內(nèi)瓦

電信信息技術(shù)中的安全

概要

通信產(chǎn)業(yè)適應(yīng)日了越來越全球化的商務(wù)環(huán)境的需要，在幾乎所有的產(chǎn)業(yè)部門促進(jìn)了

生產(chǎn)率的提高，并成為促進(jìn)全球溝通的橋梁。這一通信基礎(chǔ)設(shè)施如此高效主要歸因于

ITU-T等標(biāo)準(zhǔn)化組織制定的標(biāo)準(zhǔn)。標(biāo)準(zhǔn)不僅保證了現(xiàn)有的網(wǎng)絡(luò)高效而且為下一代網(wǎng)絡(luò)打

下了基礎(chǔ)。但是，盡管標(biāo)準(zhǔn)在繼續(xù)滿足終端用戶和產(chǎn)業(yè)的需要，隨著開放界面和協(xié)議日

益增長的使用、新角色的多元化、應(yīng)用和平臺的不斷分化、未經(jīng)充分測試的實現(xiàn)導(dǎo)致對

網(wǎng)絡(luò)惡意使用的機(jī)會不斷增長。近年來，全球網(wǎng)絡(luò)上都觀察到安全侵害（諸如病毒、存

儲數(shù)據(jù)機(jī)密性被破壞）泛濫，經(jīng)常造成巨大的損失效果。問題是，如何在支持開放的通

信基礎(chǔ)設(shè)施的同時不犧牲其上交換的信息。答案在于標(biāo)準(zhǔn)組織在各個通信基礎(chǔ)設(shè)施領(lǐng)域

中與安全威脅的斗爭的努力。這種規(guī)定體現(xiàn)在從協(xié)議規(guī)范和應(yīng)用的細(xì)節(jié)直到網(wǎng)絡(luò)管理。

本安全手冊的目的在于突出并提供對ITU-T-有時與其他標(biāo)準(zhǔn)組織共同—制定的眾多

的建議書鳥瞰的視角，以保障通信基礎(chǔ)設(shè)施及相關(guān)服務(wù)和應(yīng)用的安全。

為涵蓋安全問題的多個方面，必須建立一個框架體系以形成一個討論這些概念用的

統(tǒng)一的詞匯表。

第2章總結(jié)了在ITU-T建議書X.805中定義的體系要素以及已被定義的涵蓋網(wǎng)絡(luò)

應(yīng)用端到端安全的8個尺度-保密、數(shù)據(jù)機(jī)密性、認(rèn)證、完整性、不可抵賴性、訪問控

制、通信安全及可用性。這些通用原則用于指導(dǎo)和理解其他章節(jié)的具體問題。主要要素

包括安全層、安全層面和用于任何層和層面結(jié)合的尺度。

第3章介紹了討論安全的三個關(guān)鍵術(shù)語：脆弱性、威脅和風(fēng)險，描述了三個術(shù)語不

同的特性，并給出了一些例證。本章的關(guān)鍵是注意安全風(fēng)險如何來自于脆弱性和威脅的

狂

幻A口。

第4章在前幾章的基礎(chǔ)上定義了基礎(chǔ)要求以形成安全框架。戰(zhàn)勝威脅實現(xiàn)安全的關(guān)

鍵要素是制定認(rèn)證、訪問控制、數(shù)據(jù)加密等機(jī)制、算法及安全措施。第5章定義了公共

密鑰概念相關(guān)的機(jī)制和權(quán)限管理基礎(chǔ)設(shè)施，這些機(jī)制和基礎(chǔ)設(shè)施可用于很多不同的終端

用戶應(yīng)用。

8參考資料

在這個框架、體系和機(jī)制之外，ITU-T在其建議書中制定了幾個系統(tǒng)和服務(wù)的安全

規(guī)定。因此，本手冊重要的焦點在于應(yīng)用，如第6章所見。在這第一版中包括一組應(yīng)用,

包括IP（H.323和IP同軸通信系統(tǒng)）上的語音和多媒體應(yīng)用、健康保護(hù)和傳真。在布署

體系以及如何制定協(xié)議滿足安全需求方面對這些應(yīng)用進(jìn)行了描述。在提供應(yīng)用信息的安

全之外，還需要保障網(wǎng)絡(luò)和網(wǎng)絡(luò)服務(wù)管理的安全。針對網(wǎng)絡(luò)管理方面的安全規(guī)定的標(biāo)準(zhǔn)

示例也在第6章。

此外，此手冊版本含有與安全及其他本文檔涉及的話題相關(guān)的，從ITU-T相關(guān)建議書

及其他來源例如ITU-TSANCHO數(shù)據(jù)庫和ITU-T第17研究組制定的通信

系統(tǒng)安全概略）中抽取的縮寫詞和定義的列表，在附件A里。本手冊還提供

了最新版本的ITU-T安全方面的建議書目錄，附件B廣泛且更進(jìn)一步展示

TITU-T安全方面工作的幅度。在附件C中我們總結(jié)了ITU-T每個研究組

所做的安全相關(guān)工作，這些資料不斷更新并可在

/iptel/h323/papers/primer/

[Policy]D.W.Chadwick,D.Mundy;"PolicyBasedElectronicTransmissionof

Prescriptions";IEEEPOLICY2003,4-6June,LakeComo,Italy.

sec.isi.salford.ac.uk/download/PolicyBasedETP.pdf

[SG17]ITU-TStudyGroup17;"LeadStudyGrouponCommunicationSystem

Security"

[Section2ontheCatalogueofITU-TRecommendationsrelatedto

CommunicationsSystemSecurity;Section3or\CompendiumofSecurity

DefinitionsinITU-TRecommendations）

[Shannon]G.Shannon;"SecurityVulnerabilitiesinProtocols<,;ITU-TSecurity

Workshop;13-14May2002,Seoul,Korea;

[Wisekey]S.Mandil,J.Darbellay;"PublicKeyInfrastructuresine-health";written

contributiontoWorkshoponStandardizationinE-health;Geneva,23-25

May2003;

/itudoc/itu-t/workshop/e-health/wcon/s5con002_ww9.doc

電信信息技術(shù)中的安全

10參考資料

附件A:安全術(shù)語

下列縮寫和術(shù)語摘自相關(guān)的ITU-T建議書和其他外部資料，出處見下文中。附件A.3還給出了

一些補(bǔ)充材料。

A.1常用安全相關(guān)縮寫

電信和信息技術(shù)安全

縮寫定義

3DES[H.235]三倍數(shù)據(jù)加密標(biāo)準(zhǔn)

A[M.3010]代理

A/M[M.3010]代理/管理員

AA[X.509]屬性機(jī)構(gòu)

AAA[X.805]認(rèn)證認(rèn)證、授權(quán)和計費

AARL[X.509]屬性機(jī)構(gòu)撤銷列表

ACI[X.810]接入控制信息

ACRL[X.509]屬性證書撤銷列表

AE[M.3010]應(yīng)用實體

AES[H.235][J.170]高級加密標(biāo)準(zhǔn)算法

AH[J.170]認(rèn)證報頭是一種保證全部IP數(shù)據(jù)包消息完整性的IPSec安全協(xié)議，包括IP報頭

ASCII[T.36]美國信息交換標(biāo)準(zhǔn)碼

ASD[J.170]特定應(yīng)用數(shù)據(jù)。IPSec報頭中的特定應(yīng)用字段，和目標(biāo)IP地址一起為每一個SA提供一個唯一

的編號。

ASN.l[H.680]抽象句法記法一

ASP[X.805]應(yīng)用服務(wù)提供商

ATM[X.805]異步傳輸模式

ATM[M.3010]異步傳輸模式

AuF[H.530]認(rèn)證功能（參見ITU-T建議書H.510[6]）

B(n)[T.36]基值(n)

BE[H.530]邊緣元素（參見ITU-T建議書.H.225.0附件G[2]）

BES[H.235]后臺服務(wù)器

BML[M3010]企業(yè)管理層

B-OSF[M.3010]企業(yè)管理層一操作系統(tǒng)功能

BPI+[J.170]基線保密接口+是運(yùn)行在MAC層上的J.112標(biāo)準(zhǔn)的安全部分。

CA[H.234][H.235][J.170][X.509]認(rèn)證機(jī)構(gòu),即一個接受實體證書申請、認(rèn)證申請、核發(fā)證書并保存與

證書有關(guān)的狀況信息的可信任組織。[J,170]呼叫代理。CMS中維護(hù)通信狀態(tài)的部分，并控制通信中

線路側(cè)功能。

CARL[X.509]認(rèn)證機(jī)構(gòu)撤銷列表

CBC[H.235][J.170]密碼模塊鏈

CCA[H.234]國家認(rèn)證機(jī)構(gòu)

CFB[H.235]密碼反饋模式

CHn[H.530]質(zhì)詢數(shù)n

CM[J.170]電纜調(diào)制解調(diào)器

CME[X.790]一致性管理實體

CMIP[M.3010]通用信息管理協(xié)議

CMIS[X.790]通用信息管理服務(wù)

12附件A：安全術(shù)語

循與正乂由信和信息技術(shù)安全

CMISE[X.790]通用信息管理服務(wù)要素

CMS[J.170]密碼消息句法。[J.170]呼叫管理^務(wù)器，用于控制語音通話鏈接。在MGCP/SGCP術(shù)語中也

稱做呼叫代理（這是應(yīng)用服務(wù)器的一個例子）.

CMTS[J.112]電纜調(diào)制解調(diào)器終接系統(tǒng)

CNM[X.790]客戶網(wǎng)絡(luò)管理

CORBA[SANCHO]通用對象請求代理體系結(jié)構(gòu)

CRL[H.235][X.509]證書撤銷列表

DCF[M.3010]數(shù)據(jù)通信功能

DCN[M.3010]數(shù)據(jù)通信網(wǎng)

dCRL[X.509]d-證書撤銷列表

DES[H.235][J.170]數(shù)據(jù)加密標(biāo)準(zhǔn)

DH[H.235][H.350]迪菲-赫爾曼編碼

DHCP[J.170][X.805]動態(tài)主機(jī)配置協(xié)議

DIB[X.509]號碼簿信息基

DIT[X.509]號碼簿信息樹

DN[X.790]著名的名字

DNS[H.235][J.170][X.805]域名服務(wù)器

DOCSIS[J.170]數(shù)據(jù)電纜傳輸服務(wù)接口規(guī)范

DoS[X.805]拒絕服務(wù)

DQoS[J.170]動態(tài)服務(wù)質(zhì)量

DS-3[X.805]三級數(shù)字信號

DSA[X.509]號碼簿系統(tǒng)代理

DSCP[J.170]DiffServ編碼點。每個IP包中用來確定DiffServ每跳性能的一個字段。在IPv4中，TOS字

節(jié)被重新定義為DSCP;在IPv6中，服務(wù)類別八位字節(jié)用做DSCP。參見附件C.

DSS[H.235]數(shù)字簽名標(biāo)準(zhǔn)

DTMF[H.235][1170]雙音多頻

DUA[X.509]號碼簿用戶代理

EARL[X.509]終端實體屬性證書撤銷列表

ECB[H.235]電子源碼書模式

ECC,EC[H.235]橢圓曲線密碼系統(tǒng)（參見ATM論壇安全標(biāo)準(zhǔn)vl.l中的8.7節(jié)）。一種公開密鑰密碼系統(tǒng)

EC-GDSA[H.235]與NIST數(shù)字簽名算法（DSA）類似的帶有附錄的橢圓曲線數(shù)字簽名（參見[ISO/IEC15946-2,

第五章]）

ECKAS-DH[H.235]橢圓曲線密鑰協(xié)議方案-DH.使用橢圓曲線密碼的DH密鑰協(xié)議方案。

EML[M.3010]要素管理層

EOFB[H.235]增強(qiáng)OFB模式

E-OSF[M.3010]要素管理層-操作系統(tǒng)函數(shù)

EP[H.235]終點

EPID[H.530]MT終點標(biāo)識符,參見ITU-T建議書H.225.0[1]

EPRL[X.509]終端實體公開密鑰證書撤銷列表

ESH[T.36]加密擾碼普通散列值（24位的十進(jìn)制數(shù)）

耳睪M附件幾3皺蝌僻完整性消息。一個12位的十進(jìn)制數(shù)

ESP[J.170]IPSec封裝安全

ESSK[T36]加密擾碼秘密密鑰。一個12位的十進(jìn)制數(shù)

電信和信息技術(shù)安全

16附件A：安全術(shù)語

縮寫定義

FDS[M.3210.1]欺詐探測系統(tǒng)

FEAL[T.36]快速數(shù)據(jù)加密算法。快速數(shù)據(jù)加密算法通過使用一個64位的秘密密鑰把64位明文映射為64

位的密文塊，它與DES非常相似，但是功能要簡單很多.簡單快速的設(shè)計，使它非常適合于簡單的微

處理器（如智能卡1（A.Menezes等,應(yīng)用密碼技術(shù)手冊，CRCPress,1997）

FIGS[M.3210.1]欺詐信息收集系統(tǒng)

FQDN[J.170]完全合格域名。詳情參考正TFRFC821.

FTP[X.805]文件傳輸協(xié)議

FU[X.790]功能單位

GCA[H.234]通用認(rèn)證機(jī)構(gòu)

GDMI[M.3210.1]TMN管理接口定義的指導(dǎo)方針

GDMO[M.3010]管理對象定義的指導(dǎo)方針

GK[H.235][H.510][H.530]網(wǎng)守;網(wǎng)閘

GKID[H.53O]被訪問網(wǎng)守標(biāo)識符，參見ITU-T建議書H.225.0[1]

GNM[X.790]通用網(wǎng)絡(luò)模型

GRJ[H.53O]網(wǎng)守拒絕

GRQ[H.530]網(wǎng)守請求

GW[H.235]網(wǎng)關(guān)

h[*J[H.234]將*代入函數(shù)h得到的結(jié)果

H-BE[H.530]歸屬BE

HFC[J.165]光纖/同軸混合纜

HFX[T30][T36]Hawthorne傳真密石馬

H-GK[H.530]歸屬GK

HKM[T.30][T.36]Hawthorne密鑰管理算法

[T.36]HKM算法雙編加密

HLF[H.530]歸屬位置功能

HMAC[1170]散列消息認(rèn)證碼。一種消息認(rèn)證算法，基于SHA-1或MD5散列，在RFC2104中定義

HMAC-[H.530]采用安全散列算法1的散列消息認(rèn)證碼

SHA1-96

HMACz[H.530]散列消息認(rèn)證碼/用共享秘密Z來響應(yīng),，如果沒有給出共享密秘Z,則用下一跳的秘密。

iCRL[X.509]間接證書撤銷列表

ICV[H.235]完整性檢驗值

ID[H.235]標(biāo)識符

IDEA[T.36]國際數(shù)據(jù)加密算法，是XuejiaLai和JamesMassey在1992年提出的一種加密算法，使用了

128位密鑰的塊密碼（64位的塊和128位密鑰）,被普遍認(rèn)為安全性非常之高，是一種著名的算法.

在它投入使用的幾年中，除了幾次嘗試性的攻擊，沒有關(guān)于實質(zhì)性攻擊的報告

（http://searchsecurity.techtarget.eom/gDefinition/0,294236,sidl4_gci213675,00.html）.

Idx[T.36]X的傳真標(biāo)識（傳真電話號碼）的后六位

Idy[T.36]Y的傳真標(biāo)識（傳真電話號碼）的后六位

IKE[J.170]互聯(lián)網(wǎng)密鑰交換，是用于協(xié)商并為IPSec的SA產(chǎn)生密鑰的一種密鑰管理機(jī)制。

IKE-[J.170]用來表示采用準(zhǔn)共享密鑰進(jìn)行互聯(lián)網(wǎng)密鑰交換來實現(xiàn)認(rèn)證的的規(guī)定的記法。

電信和信息技術(shù)安全

18附件A：安全術(shù)語

IM【T.36況整性信息，用來確認(rèn)或否認(rèn)接收信息的如整性（12位的十進(jìn)制數(shù)字）

IMT-2000[M.3210.1]國際移動電信2000

Imy[T.36]Y生成的完整性信息，用來確認(rèn)或否認(rèn)接收信息的完整性（12位的十進(jìn)制數(shù)字）

IN[M.3010]智能網(wǎng)

IP[X.805]網(wǎng)際協(xié)議

IPSec[H.235][H.530][J.170][X.805]互聯(lián)網(wǎng)安全協(xié)議

ISAKMP[H.235]互聯(lián)網(wǎng)安全聯(lián)系密鑰管理協(xié)議

ISDN[M.3010]綜合業(yè)務(wù)數(shù)字網(wǎng)

ISTP[J.170]互聯(lián)網(wǎng)信令傳送協(xié)議

IV[H.235]初始化向量

IVR[J.170]交互式語音應(yīng)答系統(tǒng)

K[H.530]動態(tài)會話/鏈路密鑰

KDC[J.170]密鑰發(fā)布中心

LAN[M.3010]本地網(wǎng)

LDAP[H.235]輕量級號碼簿訪問協(xié)議

LLA[M.3010]邏輯分層體系結(jié)構(gòu)

MAC[H.235][J.170]消息認(rèn)證碼。與一條消息一同發(fā)送的固定長度的數(shù)據(jù)項目，用來確保消息的完整性，

有時也記做MIC。[J.170]媒體接入控制，是數(shù)據(jù)鏈路層的子層，通常運(yùn)行于物理層之上.

MAF[M.3010]管理應(yīng)用功能

MAN[M.3010]城域網(wǎng)

MAPDU[X.790]管理應(yīng)用協(xié)議數(shù)據(jù)單元

MCU[H.235]多點傳送單元.[H.323]多點控制單元

MD5[H.235][J.170]五號消息摘要

MG[J.170]媒體網(wǎng)關(guān)

MGC[J.170]媒體網(wǎng)關(guān)控制器

MGCP[J.170]媒體網(wǎng)關(guān)控制協(xié)議

MIB[J.170][M.3010]管理信息數(shù)據(jù)庫

MIS[M.3010]信息管理服務(wù)

MO[M.3010]被管理目標(biāo)

modn[T-36]以n為模數(shù)的模算法

MPS[H.235]多有效負(fù)載流

MPx[T-36]X的共有原語.一個只由X產(chǎn)生的16位的十進(jìn)制數(shù)。X的共有原語是采用HKM算法產(chǎn)生的,

該算法使用了由Unx、UCNx、Idx和Idy形成的原語。

Mpy[T.36]Y的共有原語。

MRP[H.53O]移動性選路代理

MS[M.3210.1]管理服務(wù)

MSB[1170]最高有效位

MT[H.530]移動終端，參見ITU-T建議書H.510[6]

MTA[J.170]媒體終端適配器

NAT[H.235]網(wǎng)絡(luò)地址轉(zhuǎn)換

NCS[J.170]網(wǎng)絡(luò)呼叫信令

NE[M.3010][X.790]網(wǎng)元

NEF[M.3010]網(wǎng)元功能

電信和信息技術(shù)安全

20附件A：安全術(shù)語

循與正乂由信和信息技術(shù)安全

NEF-MAF[M.3010]網(wǎng)兀功能一管理應(yīng)用功能

NML[M.3010][M.3210.1]網(wǎng)絡(luò)管理層

NOC[X.790]網(wǎng)絡(luò)運(yùn)營中心

N-OSF[M.3010]網(wǎng)元功能一操作系統(tǒng)功能

NTP[H.530]網(wǎng)絡(luò)時間協(xié)議

0[M.3010]可選的

OA&M[M.3010]運(yùn)營、管理和維護(hù)

OAM&P[SANCHO]運(yùn)營、管理、維護(hù)和提供服務(wù)

OCSP[H.235]在線認(rèn)證狀態(tài)協(xié)議

ODP[X.810]開放分布處理

OFB[H.235]輸出反饋模式

OID[H.235][H.530][J.170][M.3010]目標(biāo)標(biāo)識符

OS[M.3010][X.790]操作系統(tǒng)

OSF[M.3010]操作系統(tǒng)功能

OSF-MAF[M.3010]操作系統(tǒng)功能一管理應(yīng)用功能

OSI[M.3010][X.790][X.805][X.810]開放系統(tǒng)互聯(lián)

OSS[J.170]運(yùn)營支援系統(tǒng)。用于配置、性能、故障、計費和安全管理的后臺軟件.

OT[T.36]一次性密鑰。兩個用戶都認(rèn)可的一個6-64位的十進(jìn)制數(shù)。

Otx[T.36]在X用Y注冊的過程中X首次使用的一次性密鑰

Oty[T.36]Y在為了完成相互注冊而用X注冊的過程中首次使用的一次性密鑰，無論該密鑰是否與Otx相

同。

P(n)[T36]相位值(n)

PBX[M.3010]專用小交換機(jī)

PDU[H.235]協(xié)議數(shù)據(jù)單元

PH[T.36]消息的簡單散列值（24位的十進(jìn)制數(shù)字）

PKCROSS[J.170]利用PKINIT建立區(qū)間密鑰和相關(guān)的區(qū)間政策，用于核發(fā)各區(qū)之間和各域之間的跨區(qū)業(yè)務(wù)許可

證，以支持域內(nèi)或域間的CMS到CMS信令（CMSS1

PKCS[H.235][J.170][X.509]公開密鑰密碼標(biāo)準(zhǔn)

PKI[H.235][H.530][X.509][J.170]公開密鑰結(jié)構(gòu)。一個下發(fā)公開密鑰證書的過程,包括標(biāo)準(zhǔn)、認(rèn)證機(jī)構(gòu)

以及用來管理證書的機(jī)構(gòu)間的通信和協(xié)議.

PMI[X.509]特權(quán)管理基礎(chǔ)設(shè)施

PRF[H.235]偽隨機(jī)功能

Primitive[T.36]T由UIN和UCN合成的64位數(shù)字

procREGxy[T.36]X和Y之間的注冊過程

procSTKxy[T.36]從X向Y安全傳送密鑰的過程

PRS[T.36]偽隨機(jī)函數(shù)

PSTN[SANCHO]公眾交換電話網(wǎng)

PTO[M.3010]公眾電信運(yùn)營商

PTR[X.790]提供商故障報告

PVC[X.805]永久虛擬電路

附件胴.嚶輟師戶密碼

QA[M.3010]Q接口適配器

QoS[SANCHO]服務(wù)質(zhì)量

電信和信息技術(shù)安仝

縮寫定義

R[M.3010]資源

Ri[H.53O]隨機(jī)數(shù)字

RADIUS[J.170]遠(yuǎn)端認(rèn)證撥入用戶業(yè)務(wù)

RBAC[X.509]基于角色的訪問控制

RC4[J.170]在密碼組中提供的一個可變長度密鑰流，用于對IPCable的媒體業(yè)務(wù)加密。

RCN[T.36]注冊密碼“一個16位的十進(jìn)制數(shù)

RDN[X.790]相關(guān)顯名

RIP[H.530]進(jìn)程請求

RKS[J.170]記錄保存服務(wù)器。收集并關(guān)聯(lián)不同事件消息的設(shè)備

RNCn[T.36]與SCn關(guān)聯(lián)的非秘密隨機(jī)數(shù)。一個4位的十進(jìn)制數(shù)

RNIM[T.36]與IM關(guān)聯(lián)的三第密隨機(jī)。一個4位的十進(jìn)制數(shù)

RNK[T-36]在加密一個SK時，用于使MPx產(chǎn)生的原語發(fā)生變化的非秘密隨機(jī)數(shù)。一個4位的十進(jìn)制數(shù)。

RNSRn[T.36]與SRn關(guān)聯(lián)的mE秘密隨機(jī)數(shù)。一個4位的十進(jìn)制數(shù)

RNSSn[T.36]與SSn關(guān)聯(lián)的非秘密隨機(jī)數(shù)。一個4位的十進(jìn)制數(shù)

RRJ[H.53O]注冊拒絕

RRQ[H.530]注冊請求

RSA[H.235][T.30][T.36]Rivest,ShamirandAdleman（公開密鑰算法）

RSVP[J.170]資源預(yù)留協(xié)議

RTCP[H.235][J.170]實時傳送控制協(xié)議

RTO[J.170]重發(fā)超時

RTP[H.225.0][H.235][J.170]實時協(xié)議

SA[1170]安全聯(lián)系

SAFERK-64[T36]1993年由J.L.Massey提出的采用64位密鑰算法的安全快速加密程序，是一種采用64位明

文和密文塊的迭代塊密碼（A.Menezes等,應(yīng)用密碼技術(shù)手冊,CRCPress,1997）。

SCn[T.36]秘密質(zhì)詢密鑰。一個12位的十進(jìn)制數(shù)

SDH[M.3010]同步數(shù)字體系

SDP[J.170]會話描述協(xié)議

SDU[H.235]服務(wù)數(shù)據(jù)單元

SG[J.170]信令網(wǎng)關(guān)，是在IP網(wǎng)絡(luò)的邊界發(fā)送/接收SCN本地信令的代理。在7號信令中，SG的功能是

把SS7國際網(wǎng)關(guān)中不同的ISUP和TCAP轉(zhuǎn)換為通用的ISUP和TCAP

SH[T.36]進(jìn)行曬的簡單散列值（24decimaldigits）

SHA1[H.235]安全散列算法No.l

SI[X.810]安全信息

SIP[J.170][X.805]會話初始協(xié)議。應(yīng)用層的控制（信令）協(xié)議，用來創(chuàng)建、更改和終止與一個或多個參

與者的會話

SIP+[J.170]會話初始協(xié)議擴(kuò)展

SK[T.36]一種秘密密鑰，可能是SCn,SRn,SSn,等―12位的十進(jìn)制數(shù)

SMAPM[X.790]系統(tǒng)管理應(yīng)用協(xié)議機(jī)

SMK[M.3010]共享管理知識

g型L附件型1.漫皇柏祥210.1]服務(wù)管理層

SMO[X.790]系統(tǒng)管理概述

SMTP[X.805]簡單郵件傳輸協(xié)議

電信和信息技術(shù)安全

26附件A：安全術(shù)語

縮寫定義

SNMP[J.170][X.805]簡單網(wǎng)絡(luò)管理協(xié)議

SNTP[H.530]簡單網(wǎng)絡(luò)時間協(xié)議

SOA[X.509]機(jī)構(gòu)源

SONET[X.805]同步光網(wǎng)絡(luò)

S-OSF[M.3010]服務(wù)管理層—操作系統(tǒng)功能

SRn[T.36]秘密響應(yīng)密鑰，第n個。一個12位的十進(jìn)制數(shù)

SRTP[H.225.0][H.235]安全實時協(xié)議

SS[T36]與HFX40-I完整性算:去一起使用的秘密會話密鑰（12位的十進(jìn)制數(shù)字）

SS7[J.170][X.805]7號信令.在電話網(wǎng)絡(luò)中實施呼叫信令的一套協(xié)議和體系結(jié)構(gòu)

SSK[T.36]擾碼秘密密鑰。一個12位的十進(jìn)制數(shù)

SSL[H.235][X.805]安全套接字協(xié)議層

SSn[T.36]秘密會話密鑰，第n個，與HFX40密碼和/或散列一起使用。一個12位的十進(jìn)制數(shù)

SSx[T.36]由X生成的秘密會話密鑰，與HFX40密碼算法一起使用（12位的十進(jìn)制數(shù)字）

TCAP[J.170]事務(wù)處理應(yīng)用協(xié)議.SS7的協(xié)議棧之一，用來在信令控制節(jié)點實施遠(yuǎn)程數(shù)據(jù)庫交易

TD[J.170]斷開超時

TF[M.3010]變換功能

TF-MAF[M.3010]變換功能一管理應(yīng)用功能

TFTP[J.170]簡單文件傳輸協(xié)議

TGS[J.170]許可證核發(fā)服務(wù)器，是KDC中用來核發(fā)許可證的一個子系統(tǒng)。

TKx[T.36]傳送密鑰,由X生成的MPx的加密操作。一個16位的十進(jìn)制數(shù)

TLS[H.235]傳輸層安全性

TMN[M.3010][M.3210.1][X.790]電信管理網(wǎng)絡(luò)

第個時間戳

Tn[H.530]n

TSAP[H.235]傳送服務(wù)訪問節(jié)點

TSP[X.790]電信服務(wù)優(yōu)先權(quán)

TTP[X.810]可信第三方

TTR[X.790]電信故障報告

UCN[T.36]惟一密碼,例如，UCNx、UCNyo只有系統(tǒng)認(rèn)知的一個16位的十進(jìn)制數(shù)

UDP[J.170]用戶數(shù)據(jù)報協(xié)議

UIN[T.36]唯一標(biāo)識碼，例如，UINx、UINy0只有系統(tǒng)認(rèn)知的一個48位的十進(jìn)制數(shù)

V-BE[H.530]被訪BE

V-GK[H.530]被訪GK

VLF[H.530]訪問者位置功能

VoIP[X.805]IP話音業(yè)務(wù)

VPN[X.805]虛擬專用網(wǎng)

W[H.530]采用Diffie-Hellman半密鑰算術(shù)組合的的復(fù)合值

WSF[M.3010]工作站功能

WSSF[M.3010]工作站支撐功能

WT[H.530]移動性清除標(biāo)記

X[T.36]一個實體的名稱

電信和信息技術(shù)安全

28附件A：安全術(shù)語

縮寫定義

X[T36]用來表示屬于X或由X生成的下標(biāo)

X<<Y>>[H.234]由X生成的Y的證書

XOR'd[T.36][H.235]（被）異或

Xp[H.234]X實體的RSA公開密鑰

Xp[*l[H.234]用Xp對白加/解密。在RSA中通過求黑運(yùn)算實施

Xs[H.234]X實體的RSA秘密密鑰

Xs[*][H.234]用Xs對[*]加/解密。在RSA中通過求幕運(yùn)算實施

XT[H.530]MT認(rèn)證的隱秘標(biāo)記

Y[T.36]第二個實體的名稱

y[T,36]用來表示屬于Y或由Y生成的下標(biāo)

zz[H.53O]移動用戶共享的秘密/口令，與相應(yīng)的AuF共享

ZZMT[H.530]移動終端共享的秘密，與相應(yīng)的AuF共享

ZZn[H.53O]第n個共享的秘密

A.2常用安全相關(guān)術(shù)語定義

電信和信息技術(shù)安全

術(shù)語定義

Accesscontrol[H.235][X.800]防止對一個資源的非授權(quán)使用，包括防止以非授權(quán)的方式使用資源（X.800）。

訪問控制[J.170]限制信息流從一個資源只流向受權(quán)個人、程序、進(jìn)程或其他網(wǎng)絡(luò)系統(tǒng)資源。[X.805]訪

問控制安全尺度防止對于網(wǎng)絡(luò)資源的非授權(quán)使用。訪問控制確保了只有受權(quán)人員或者設(shè)備才允

許訪問網(wǎng)元、存儲的信息、信息流、服務(wù)和應(yīng)用.另外,基于角色的訪問控制（RBAC）提供了不

同的訪問級別，以確保個人和設(shè)備只能夠?qū)τ谒麄儽皇跈?quán)的網(wǎng)元、存儲的信息和信息流進(jìn)行訪

問和實施操作。

Accesscontrol[X.800]一張被授權(quán)可以訪問某個資源的實體的列表，注明了實體的訪問權(quán)限。

list

訪問控制列表

AccessNode[J.170]在本文檔中使用時，一個訪問節(jié)點就是一個第二層終端設(shè)備,該設(shè)備終接到CM連接的

訪問節(jié)點網(wǎng)絡(luò)端點。它取決于所用的技術(shù)。在1112附件A中被稱做INA,在附件B中被稱做CMTS。

Accountability[X.800]確保能夠認(rèn)定一個實體的動作確為該實體所為的性能。

問責(zé)制

Activethreat[X.800]未經(jīng)授權(quán)故意改變系統(tǒng)狀態(tài)所帶來的威脅。（注—安全相關(guān)的動態(tài)威脅的例子可能包

動態(tài)威脅括：消息更改，消息重放，偽造消息插入，受權(quán)實體偽裝和拒絕服務(wù)。）

Agent[X.790]同建議書X.701"系統(tǒng)管理概述（SMO丫中的定義，但是有如下限制。對于一個特定

代理的電信業(yè)務(wù)（或資源）實例，在管理業(yè)務(wù)時，有可能一個系統(tǒng)扮演管理者角色，另一個扮演代

理角色。

Alias[X.790]對象標(biāo)識符之外的另一個名稱,（通常可由客戶）借此了解、引用和識別一個故障報告。

別名

30附件A：安全術(shù)語

術(shù)語完W電信和信息技術(shù)安全

Application[X.790]兩個應(yīng)用實體之間的合作關(guān)系，實現(xiàn)方式是在它們使用表小服務(wù)的過程中交換應(yīng)用協(xié)

association議控制信息。

應(yīng)用關(guān)聯(lián)

Application[X.790]在一個應(yīng)用關(guān)聯(lián)中，為了應(yīng)用實體的互通而明確定義的一套應(yīng)用服務(wù)元素、相關(guān)選項

context以及其他必要的信息。

應(yīng)用文檔

Application[X.790]與OSI相關(guān)的應(yīng)用過程的概念。

entity應(yīng)用實體

Associated[X.790]與特定故障相關(guān)的告警。

alarms關(guān)聯(lián)告警

Asymmetric[X.810]在加密和相應(yīng)解密的過程中對加密和解密使用不同密鑰的算法。（注一在一些非對稱

cryptographic密碼算法中，密文解碼或數(shù)字簽名的生成需要使用不止一個專用密鑰。）

algorithm

非對稱密碼算法

Attack[H.235]為繞過一個系統(tǒng)的安全機(jī)制或利用其漏洞而采取的行動。對一個系統(tǒng)的直接攻擊利用

攻擊的是安全機(jī)制基礎(chǔ)算法、原理或性能的不足。實施間接攻擊通常是繞過了安全機(jī)制或是使系統(tǒng)

不正確地使用了安全機(jī)制。

Attribute[X.790]關(guān)于被管理對象的信息,用來（局部或完整）描述被管理對象。該信息由屬性類型和

屬性相應(yīng)的屬性值（單值或多值）組成。

Attribute[X.509]通過發(fā)布屬性證書指派特權(quán)的機(jī)構(gòu)。

Authority

屬性機(jī)構(gòu)

Attribute[X.509]AARL是一個撤銷列表，包括核發(fā)給屬性機(jī)構(gòu)但核發(fā)機(jī)構(gòu)認(rèn)為其不再有效的屬性證書列

Authority表。

RevocationList

屬性機(jī)構(gòu)撤銷列表

Attribute[X.509]一種數(shù)據(jù)結(jié)構(gòu)，由屬性機(jī)構(gòu)數(shù)字簽名，通過證書擁有者的標(biāo)識信息來限定某些屬性值。

certificate

屬性證書

Attribute[X.509]ACRL是一個撤銷列表，包含核發(fā)機(jī)構(gòu)認(rèn)為不再有效的屬性證書列表.

Certificate

RevocationList

屬性證書撤銷列表

Attributetype[X.790]屬性組件，表明該屬性給出的信息的類型。

屬性類型

Attributevalue[X.790]由屬性類型表明的信息類型的一個特定實例。

屬性值

AudioServer[J.170]音頻服務(wù)器用于在IPCablecom網(wǎng)絡(luò)中播放參考性的通知。對于未完成的通信以及為了

音頻服務(wù)器向用戶提供增強(qiáng)的信息服務(wù)，媒體通知都是必需的。音頻服務(wù)器服務(wù)的組件部分是媒體播放器

和媒體播放控制器.

觸dit再腳A：安晝果科參見安全審計。

Audittrail[X.800]參見安全審計索引.

審計索引

電信和信息技術(shù)安全

34附件A：安全術(shù)語

術(shù)語定義

Authentication[H.235][X.800][X.811]向一個實體所聲明的身份提供擔(dān)保，參見數(shù)據(jù)源認(rèn)證和同等實體認(rèn)證。

認(rèn)證（注-術(shù)語"認(rèn)證”的使用與數(shù)據(jù)的完整性無直接關(guān)聯(lián)；術(shù)語"數(shù)據(jù)完整性"可以替代使用。）。

[J.170]驗證—實體向另一個實體所聲明身份的程序。[X.805]認(rèn)證安全規(guī)劃用于確認(rèn)通信實

體之間的身份。認(rèn)證確保了通信實體所聲明身份的合法性（例如，個人，設(shè)備，服務(wù)或應(yīng)用）

并且確保了一個實體不會對以前的通信過程試圖進(jìn)行偽裝或非授權(quán)重現(xiàn)。

Authentication[X.800]通過信息交換來確保實體身份的機(jī)制。

exchange

認(rèn)證交換

Authentication[H.530]在歸屬域中用于維護(hù)登記移動用戶和登記移動設(shè)備安全關(guān)系的安全功能實體。

function

認(rèn)證功能

Authentication[X.800]建立聲明身份有效性的信息。I

information

認(rèn)證信息

Authentication[X.509]在一個堅固的認(rèn)證交換過程中所傳送的信息，可以用來確認(rèn)它的發(fā)送者。

token;(token)

認(rèn)證標(biāo)記;(標(biāo)記)

Authenticity[J.170]確保得到的信息是未經(jīng)更改或偽造且的確是由聲稱發(fā)布該信息的實體所生成的能力。

真實性

Authority[X.509]負(fù)責(zé)核發(fā)證書的機(jī)構(gòu)。在本規(guī)范中規(guī)定了兩種類型：認(rèn)證機(jī)構(gòu)用來發(fā)布公開密鑰公開

機(jī)構(gòu)證書，屬性機(jī)構(gòu)用來發(fā)布屬性證書。

Authority[X.509]向一個機(jī)構(gòu)（例如一個認(rèn)證機(jī)構(gòu)或一個屬性機(jī)構(gòu)）核發(fā)的證書。

certificate

機(jī)構(gòu)證書

Authorization[H.235]根據(jù)身份認(rèn)證授予許可權(quán).[J.170]使被允許訪問者有權(quán)使用某個服務(wù)或設(shè)備的動作。

授權(quán)[X.800]權(quán)利的授予，包括根據(jù)訪問權(quán)限授予訪問權(quán)。

Availability[X.800]能夠根據(jù)受權(quán)實體的要求進(jìn)行訪問和使用的性能。

可用性

Availability[X.805]可用性安全尺度確保了在事件影響網(wǎng)絡(luò)的情況下，不拒絕經(jīng)過授權(quán)的對網(wǎng)元,存儲信

可用性息八信息流,、服務(wù)和應(yīng)用的訪問。災(zāi)害恢復(fù)解決方案在此討論范疇.

BaseCRL[X.509]用于用做生成dCRL的基礎(chǔ)的CRL

基本CRL

Business[M.3010]為整個企業(yè)負(fù)責(zé)的管理層，與標(biāo)準(zhǔn)化無關(guān)。

management

layer

商業(yè)管理層

CA-certificate[X.509]由一個CA為另一個CA核