ICS 33.050 CCS M 30 团体标 准 T/TAF 098-2021 SDN网关设备安全技术 要求 Security technical requirements for SDN gateway devices 2021-11-17发布 2021-11-17实施 电信终端产业协会 发布 T/TAF 098-2021 I 目 次 前言 ................................ ................................ .................. II 引言 ................................ ................................ ................. III 1 范围 ................................ ................................ ................. 1 2 规范性引用文件 ................................ ................................ .......1 3 术语和定义 ................................ ................................ ........... 1 4 缩略语 ................................ ................................ ............... 1 5 安全技术要求 ................................ ................................ ......... 2 5.1 授权认证 ................................ ................................ ......... 2 5.2 配置安全 ................................ ................................ ......... 2 5.3 数据安全 ................................ ................................ ......... 2 5.4 防DoS能力 ................................ ................................ .......2 附录A（资料性） SND网关设备典型应用场景示意图 ................................ .......... 3 T/TAF 098-2021 II 前 言 本文件按照 GB/T 1.1 -2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件中的某些内容可能涉及专利。本 文件的发布机构不承担识别这些专利的责任。 本文件由电信终端产业协会提出并归口。 本文件起草单位 ：中兴通讯股份有限公司、中国信息通信研究院 。 本文件主 要起草人 ：刘鑫、张治兵、 周继华、 张亚薇、 栾晏。 T/TAF 098-2021 III 引 言 SDN网关是通过软件集中控制网络编排方式来推动家庭网关的控制能力 “上云”， 从而降低对网关硬 件的处理能力要求，同时实现业务的快速部署。随着 SDN网关的部署逐渐深入，千万数量级的 SDN网关 带来的安全问题将会日渐突出，安全性问题逐渐成为制约 SDN网关发展的关键因素。本项目拟建立 SDN 网关设备安全技术要求标准，提出相关安全要求，为保障和提升 SDN网关设备安全能力提供标准支撑。 T/TAF 098 -2021 1 SDN网关设备安全技术 要求 1 范围 本文件规定了 SDN网关设备在授权认证、配置安全、数据安全、防 DoS攻击能力等方面的安全技术 要求。本文件适用于 SDN网关设备的设计和生产厂商、系统集成商、设备使用方、安全检测和安全认证 机构使用。 2 规范性引用文件 下列文件中的内容通过文 中的规范性引用而构成本文件必不可少的条款。 其中， 注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件， 其最新版本（包括所有的修改单）适用于本 文件。 GB/T 25069 -2010 信息安全技术 术语 T/TAF 040 -2019 智能网关设备安全技术要求 3 术语和定义 GB/T 25069 -2010中界定的以及下列术语和定义适用于本文件。 3.1 SDN网关设备 SDN gateway devices SDN网关设备是基于 Openflow 协议的具备连通外部广域通信网络和居住环境内部局域网络功能， 并支持 Internet、VoIP、IPTV和无线接入功能的设备。 SDN网管典型应用场景见附录 A。 3.2 北向接口 Northbound Interface SDN网关提供给运营商进行接入和管理的接口，该接口遵循 Openflow 协议规范。 4 缩略语 下列缩略语适用于本文件。 DoS：拒绝服务（ Denial of Service ） IPTV：网络协议电视（ Internet Protocol Television ） SDN：软件定义网络（ Software Defined Network ） TLS：传输层安全协议（ Transport Layer Security ） VoIP：网络电话（ Voice Over Internet Protocol ） T/TAF 098 -2021 2 5 安全技术要求 5.1 授权认证 a) 应支持 OpenflowV1.3 及以上协议。 b) 应禁止非授权控制器的访问。 5.2 配置安全 a) SDN网关的北向接口应仅支持使用 SDN控制器进行管理，禁止使用其他方式进行管理。 b) SDN网关的北向接口应支持 TLSV1.2 及以上加密通道。 c) SDN网关的 WEB配置安全应满足 T/TAF 040 -2019 4.3.3 的要求。 d) 宜支持防恶意或虚假表项注入。 5.3 数据安全 a) 应支持本地用户信息安全加密存储，包括不限于：语音账号口令、无线口令、 VPN账号口令 等。 b) 应支持防流表溢出功能。 c) 宜支持本地用户信息的完整性校验，防止被恶意篡改。 d) 宜支持本地静态流表的安全加密存储。 5.4 防DoS能力 a) 应支持在转发平面遭受 DoS攻击的时候，设备不脱管。 b) 应支持防流表洪泛攻击。 c) 应支持对异常控制数据请求的防护。 d) 宜支持针对转发至控制器的报文（ Packet -in）进行攻击行为识别，并针对恶意报文进行丢弃。 T/TAF 098 -2021 3 附 录 A （资料性） SDN网关设备典型应用场景示意图 SDN网关设备应用在家庭网络出入口，如图 A.1所示。图中左边虚线框里包括云服务平台和集中管 理平台 (SDN控制器 )两种典型的网络侧平台。本地管理支持用户通过浏览器对 SDN网关的 WiFi接入参数 进行配置和设备状态查询等功能。 典型的 SDN网关设备是基于 Open flow协议的设备，通常为用户提供 Internet、WLAN接入、 IPTV、 光纤接入等功能。 SDN网关就是通过软件集中控制网络编排方式，推动网关的控制能力 “上云”。从而降 低对网关硬件的处理能力要求，同时实现业务的快速部署。 图A.1 SDN网关设备典型应用场景示意图 T/TAF 098 -2021 电信终端产业协会 团体标准 SDN网关设备安全技术要求 T/TAF 098-2021 * 版权所有 侵权必究 电信终端产业协会 印发 地址：北京市西城区新街口 外大街28号 电话：010-82052809 电子版发行网址： www.taf.org.cn