TTAF 098-2021 SDN网关设备安全技术要求

ICS 33.050 CCS M 30 团体标准 T/TAF 098-2021 SDN网关设备安全技术要求 Security technical requirements for SDN gateway devices 2021-11-17发布 2021-11-17实施电信终端产业协会发布 T/TAF 098-2021 I 目次前言 ................................ ................................ .................. II 引言 ................................ ................................ ................. III 1 范围 ................................ ................................ ................. 1 2 规范性引用文件 ................................ ................................ .......1 3 术语和定义 ................................ ................................ ........... 1 4 缩略语 ................................ ................................ ............... 1 5 安全技术要求 ................................ ................................ ......... 2 5.1 授权认证 ................................ ................................ ......... 2 5.2 配置安全 ................................ ................................ ......... 2 5.3 数据安全 ................................ ................................ ......... 2 5.4 防DoS能力 ................................ ................................ .......2 附录A（资料性） SND网关设备典型应用场景示意图 ................................ .......... 3 T/TAF 098-2021 II 前言本文件按照 GB/T 1.1 -2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。请注意本文件中的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本文件由电信终端产业协会提出并归口。本文件起草单位：中兴通讯股份有限公司、中国信息通信研究院。本文件主要起草人：刘鑫、张治兵、周继华、张亚薇、栾晏。 T/TAF 098-2021 III 引言 SDN网关是通过软件集中控制网络编排方式来推动家庭网关的控制能力 “上云”，从而降低对网关硬件的处理能力要求，同时实现业务的快速部署。随着 SDN网关的部署逐渐深入，千万数量级的 SDN网关带来的安全问题将会日渐突出，安全性问题逐渐成为制约 SDN网关发展的关键因素。本项目拟建立 SDN 网关设备安全技术要求标准，提出相关安全要求，为保障和提升 SDN网关设备安全能力提供标准支撑。 T/TAF 098 -2021 1 SDN网关设备安全技术要求 1 范围本文件规定了 SDN网关设备在授权认证、配置安全、数据安全、防 DoS攻击能力等方面的安全技术要求。本文件适用于 SDN网关设备的设计和生产厂商、系统集成商、设备使用方、安全检测和安全认证机构使用。 2 规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 25069 -2010 信息安全技术术语 T/TAF 040 -2019 智能网关设备安全技术要求 3 术语和定义 GB/T 25069 -2010中界定的以及下列术语和定义适用于本文件。 3.1 SDN网关设备 SDN gateway devices SDN网关设备是基于 Openflow 协议的具备连通外部广域通信网络和居住环境内部局域网络功能，并支持 Internet、VoIP、IPTV和无线接入功能的设备。 SDN网管典型应用场景见附录 A。 3.2 北向接口 Northbound Interface SDN网关提供给运营商进行接入和管理的接口，该接口遵循 Openflow 协议规范。 4 缩略语下列缩略语适用于本文件。 DoS：拒绝服务（ Denial of Service ） IPTV：网络协议电视（ Internet Protocol Television ） SDN：软件定义网络（ Software Defined Network ） TLS：传输层安全协议（ Transport Layer Security ） VoIP：网络电话（ Voice Over Internet Protocol ） T/TAF 098 -2021 2 5 安全技术要求 5.1 授权认证 a) 应支持 OpenflowV1.3 及以上协议。 b) 应禁止非授权控制器的访问。 5.2 配置安全 a) SDN网关的北向接口应仅支持使用 SDN控制器进行管理，禁止使用其他方式进行管理。 b) SDN网关的北向接口应支持 TLSV1.2 及以上加密通道。 c) SDN网关的 WEB配置安全应满足 T/TAF 040 -2019 4.3.3 的要求。 d) 宜支持防恶意或虚假表项注入。 5.3 数据安全 a) 应支持本地用户信息安全加密存储，包括不限于：语音账号口令、无线口令、 VPN账号口令等。 b) 应支持防流表溢出功能。 c) 宜支持本地用户信息的完整性校验，防止被恶意篡改。 d) 宜支持本地静态流表的安全加密存储。 5.4 防DoS能力 a) 应支持在转发平面遭受 DoS攻击的时候，设备不脱管。 b) 应支持防流表洪泛攻击。 c) 应支持对异常控制数据请求的防护。 d) 宜支持针对转发至控制器的报文（ Packet -in）进行攻击行为识别，并针对恶意报文进行丢弃。 T/TAF 098 -2021 3 附录 A （资料性） SDN网关设备典型应用场景示意图 SDN网关设备应用在家庭网络出入口，如图 A.1所示。图中左边虚线框里包括云服务平台和集中管理平台 (SDN控制器 )两种典型的网络侧平台。本地管理支持用户通过浏览器对 SDN网关的 WiFi接入参数进行配置和设备状态查询等功能。典型的 SDN网关设备是基于 Open flow协议的设备，通常为用户提供 Internet、WLAN接入、 IPTV、光纤接入等功能。 SDN网关就是通过软件集中控制网络编排方式，推动网关的控制能力 “上云”。从而降低对网关硬件的处理能力要求，同时实现业务的快速部署。图A.1 SDN网关设备典型应用场景示意图 T/TAF 098 -2021 电信终端产业协会团体标准 SDN网关设备安全技术要求 T/TAF 098-2021 * 版权所有侵权必究电信终端产业协会印发地址：北京市西城区新街口外大街28号电话：010-82052809 电子版发行网址： www.taf.org.cn