《内生安全网络控制器技术规范》.docxVIP

ICS35.030

CCSL70

T/NJCESS

团体标准

T/NJCESSXXX-2024

内生安全网络控制器技术规范

Technicalspecificationofendogenoussecuritynetworkcontroller

（标准征求意见稿）

2024-xx-xx发布2024-xx-xx实施

南京市网络空间内生安全协会发布

目录

TOC\o1-3\h\u159331范围 3

114602规范性引用文件 3

96053术语、定义和缩略语 3

193153.1术语和定义 3

208733.2缩略语 3

77634内生安全网络控制器总体架构要求 4

17345内生安全网络控制器内部接口技术要求 5

238495.1内生安全网络控制器内部接口功能要求 5

302685.2内生安全网络控制器内部接口安全要求 6

133106异构冗余控制器执行体组要求 6

17146.1功能等价要求 6

137876.2异构性要求 6

43546.3异构执行体数量要求 7

272267内生安全网络控制器模块功能要求 7

286377.1北向协议代理功能要求 7

299177.2南向协议代理功能要求 7

17137.3协议语义级裁决功能要求 8

26697.4控制器数据和状态裁决功能要求 8

165177.5调度功能要求 9

213828内生安全网络控制器性能要求 9

202468.1清洗时间 9

3548.1执行体状态收敛时间 10

295579内生安全网络控制器安全要求 10

231719.1差模注入情况安全要求 10

94609.2N-1模注入情况安全要求 10

1范围

本标准旨在制定一套适用于内生安全网络控制器的技术规范，以确保网络控制器在设计和应用过程中能够提高网络控制器的内生安全能力，在内部接口、异构性、功能、性能，安全等方面提出具体技术要求。

本标准适用于支持内生安全能力的网络控制器的设计、开发、测试、部署和维护等全生命周期环节。

2规范性引用文件

3术语、定义和缩略语

3.1术语和定义

3.2缩略语

下列缩略语适用于本文件。

BGP-LS边界网关协议-链路状态BorderGatewayProtocolLinkState

PCEP路径计算单元通信协议PathComputationElementCommunicationProtocol

OVSDB开放虚拟交换机数据库OpenvSwitchdatabase

OpenFlow开放流OpenFlow

P4RuntimeP4定义的数据平面实体的接口规范ProgrammingProtocol-IndependentPacketProcessorsRuntime

Netconf网络配置协议NetworkConfigurationProtocol

HTTP超文本传输协议HypertextTransferProtocol

4内生安全网络控制器总体架构要求

内生安全网络控制器总体由异构冗余控制器执行体组与内生安全组件构成。

异构冗余控制器执行体组：由功能等价的多个异构的控制器组成，并且在多个维度存在异构；

内生安全组件：包括适配控制器的北向协议代理，南向协议代理，裁决功能，调度功能。北向协议代理和南向协议代理应支持对应协议的甄别以及与其他报文的分路，其主要功能包括对输入的协议报文的动态复制分发，以及对北向协议和南向协议对应的外部组件进行协议报文回复；裁决功能通过对通过对控制器执行体输出的配置结果以及南向协议输出结果进行比对裁决，从而感知功能执行异常的控制器执行体；动态调度功能管理异构冗余控制器执行体组内的控制器，并按照反馈决策功能制定的调度策略，将指定的控制器执行体调度上线工作，或者将指定的控制器执行体调度下线；反馈决策功能应依据裁决功能、动态调度功能、异构冗余控制器执行体组等运行状态信息和产生的异常信息，进行威胁感知和综合判决，从而实现对控制器异构冗余执行体的组合方式、调度策略、裁决算法、南向协议代理以及北向协议代理等运行参数的主动调整。

5内生安全网络控制器内部接口技术要求

5.1内生安全网络控制器内部接口功能要求

1、业务通道：主控的内生安全组件和各个控制器执行