T_TAF 098-2021 SDN网关设备安全技术要求.docxVIP

ICS33.050CCSM30

团体标准

T/TAF098-2021

SDN网关设备安全技术要求

SecuritytechnicalrequirementsforSDNgatewaydevices

2021-11-17发布2021-11-17实施

电信终端产业协会发布

I

T/TAF098-2021

目次

前言 II

引言 III

1范围 1

2规范性引用文件 1

3术语和定义 1

4缩略语 1

5安全技术要求 2

5.1授权认证 2

5.2配置安全 2

5.3数据安全 2

5.4防DoS能力 2

附录A（资料性）SND网关设备典型应用场景示意图 3

T/TAF098-2021

II

前言

本文件按照GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定

起草。

请注意本文件中的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本文件由电信终端产业协会提出并归口。

本文件起草单位：中兴通讯股份有限公司、中国信息通信研究院。

本文件主要起草人：刘鑫、张治兵、周继华、张亚薇、栾晏。

T/TAF098-2021

III

引言

SDN网关是通过软件集中控制网络编排方式来推动家庭网关的控制能力“上云”，从而降低对网关硬件的处理能力要求，同时实现业务的快速部署。随着SDN网关的部署逐渐深入，千万数量级的SDN网关带来的安全问题将会日渐突出，安全性问题逐渐成为制约SDN网关发展的关键因素。本项目拟建立SDN网关设备安全技术要求标准，提出相关安全要求，为保障和提升SDN网关设备安全能力提供标准支撑。

T/TAF098-2021

1

SDN网关设备安全技术要求

1范围

本文件规定了SDN网关设备在授权认证、配置安全、数据安全、防DoS攻击能力等方面的安全技术要求。本文件适用于SDN网关设备的设计和生产厂商、系统集成商、设备使用方、安全检测和安全认证机构使用。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T25069-2010信息安全技术术语

T/TAF040-2019智能网关设备安全技术要求

3术语和定义

GB/T25069-2010中界定的以及下列术语和定义适用于本文件。

3.1

SDN网关设备SDNgatewaydevices

SDN网关设备是基于Openflow协议的具备连通外部广域通信网络和居住环境内部局域网络功能，并支持Internet、VoIP、IPTV和无线接入功能的设备。SDN网管典型应用场景见附录A。

3.2

北向接口NorthboundInterface

SDN网关提供给运营商进行接入和管理的接口，该接口遵循Openflow协议规范。

4缩略语

下列缩略语适用于本文件。

DoS：拒绝服务（DenialofService）

IPTV：网络协议电视（InternetProtocolTelevision）SDN：软件定义网络（SoftwareDefinedNetwork）TLS：传输层安全协议（TransportLayerSecurity）

VoIP：网络电话（VoiceOverInternetProtocol）

T/TAF098-2021

2

5安全技术要求

5.1授权认证

a)应支持OpenflowV1.3及以上协议。

b)应禁止非授权控制器的访问。

5.2配置安全

a)SDN网关的北向接口应仅支持使用SDN控制器进行管理，禁止使用其他方式进行管理。

b)SDN网关的北向接口应支持TLSV1.2及以上加密通道。

c)SDN网关的WEB配置安全应满足T/TAF040-20194.3.3的要求。

d)宜支持防恶意或虚假表项注入。

5.3数据安全

a)应支持本地用户信息安全加密存储，包括不限于：语音账号口令、无线口令、VPN账号口令等。

b)应支持防流表溢出功能。

c)宜支持本地用户信息的完整性校验，防止被恶意篡改。

d)宜支持本地静态流表的安全加密存储。

5.4防DoS能力

a)应