T∕TAF 098-2021 SDN网关设备安全技术要求

ICS33.050CCSM30团体标准T/TAF098-2021SDN网关设备安全技术要求SecuritytechnicalrequirementsforSDNgatewaydevices2021-11-17发布2021-11-17实施电信终端产业协会发布T/TAF098-2021I目次前言..................................................................................II引言.................................................................................III1范围.................................................................................12规范性引用文件.......................................................................13术语和定义...........................................................................14缩略语...............................................................................15安全技术要求.........................................................................25.1授权认证.........................................................................25.2配置安全.........................................................................25.3数据安全.........................................................................25.4防DoS能力.......................................................................2附录A（资料性）SND网关设备典型应用场景示意图..........................................3T/TAF098-2021II前言本文件按照GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。请注意本文件中的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本文件由电信终端产业协会提出并归口。本文件起草单位：中兴通讯股份有限公司、中国信息通信研究院。本文件主要起草人：刘鑫、张治兵、周继华、张亚薇、栾晏。T/TAF098-2021III引言SDN网关是通过软件集中控制网络编排方式来推动家庭网关的控制能力“上云”，从而降低对网关硬件的处理能力要求，同时实现业务的快速部署。随着SDN网关的部署逐渐深入，千万数量级的SDN网关带来的安全问题将会日渐突出，安全性问题逐渐成为制约SDN网关发展的关键因素。本项目拟建立SDN网关设备安全技术要求标准，提出相关安全要求，为保障和提升SDN网关设备安全能力提供标准支撑。T/TAF098-20211SDN网关设备安全技术要求1范围本文件规定了SDN网关设备在授权认证、配置安全、数据安全、防DoS攻击能力等方面的安全技术要求。本文件适用于SDN网关设备的设计和生产厂商、系统集成商、设备使用方、安全检测和安全认证机构使用。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T25069-2010信息安全技术术语T/TAF040-2019智能网关设备安全技术要求3术语和定义GB/T25069-2010中界定的以及下列术语和定义适用于本文件。3.1SDN网关设备SDNgatewaydevicesSDN网关设备是基于Openflow协议的具备连通外部广域通信网络和居住环境内部局域网络功能，并支持Internet、VoIP、IPTV和无线接入功能的设备。SDN网管典型应用场景见附录A。3.2北向接口NorthboundInterfaceSDN网关提供给运营商进行接入和管理的接口，该接口遵循Openflow协议规范。4缩略语下列缩略语适用于本文件。DoS：拒绝服务（DenialofService）IPTV：网络协议电视（InternetProtocolTelevision）SDN：软件定义网络（SoftwareDefinedNetwork）TLS：传输层安全协议（TransportLayerSecurity）VoIP：网络电话（VoiceOverInternetProtocol）T/TAF098-202125安全技术要求5.1授权认证a)应支持OpenflowV1.3及以上协议。b)应禁止非授权控制器的访问。5.2配置安全a)SDN网关的北向接口应仅支持使用SDN控制器进行管理，禁止使用其他方式进行管理。b)SDN网关的北向接口应支持TLSV1.2及以上加密通道。c)SDN网关的WEB配置安全应满足T/TAF040-20194.3.3的要求。d)宜支持防恶意或虚假表项注入。5.3数据安全a)应支持本地用户信息安全加密存储，包括不限于：语音账号口令、无线口令、VPN账号口令等。b)应支持防流表溢出功能。c)宜支持本地用户信息的完整性校验，防止被恶意篡改。d)宜支持本地静态流表的安全加密存储。5.4防DoS能力a)应支持在转发平面遭受DoS攻击的时候，设备不脱管。b)应支持防流表洪泛攻击。c)应支持对异常控制数据请求的防护。d)宜支持针对转发至控制器的报文（Packet-in）进行攻击行为识别，并针对恶意报文进行丢弃。T/TAF098-20213附录A（资料性）SDN网关设备典型应用场景示意图SDN网关设备应用在家庭网络出入口，如图A.1所示。图中左边虚线框里包括云服务平台和集中管理平台(SDN控制器)两种典型的网络侧平台。本地管理支持用户通过浏览器对SDN网关的WiFi接入参数进行配置和设备状态查询等功能。典型的SDN网关设备是基于Openflow协议的设备，通常为用户提供Internet、WLAN接入、IPTV、光纤接入等功能。SDN网关就是通过软件集中控制网络编排方式，推动网关的控制能力“上云”。从而降低对网关硬件的处理能力要求，同时实现业务的快速部署。图A.1SDN网关设备典型应用场景示意图T/TAF098-2021电信终端产业协会团体标准SDN网关设备安全技术要求T/TAF098-2021*版权所有侵权必究电信终端产业协会印发地址：北京市西城区新街口外大街28号电话：010-82052809电子版发行网址：