CCSL70T/NJCESS內生安全網絡控制器技術規范Technicalspecificationofendogenoussecuritynetworkcontroller2024-12-26發布I前言 II 12規范性引用文件 13術語和定義 14縮略語 15內生安全網絡控制器總體架構要求 26內生安全網絡控制器內部接口技術要求 36.1內生安全網絡控制器內部接口功能要求 36.2內生安全網絡控制器內部接口安全要求 47異構冗余控制器執行體組要求 47.1功能等價要求 47.2異構性要求 47.3異構執行體數量要求 58內生安全網絡控制器模塊功能要求 58.1北向協議代理功能要求 58.2南向協議代理功能要求 68.3協議語義級裁決功能要求 68.4控制器數據和狀態裁決功能要求 78.5調度功能要求 79內生安全網絡控制器性能要求 89.1清洗時間 89.2執行體狀態收斂時間 810內生安全網絡控制器安全要求 810.1差模注入情況安全要求 810.2N-1模注入情況安全要求 810.3N模注入情況安全要求 9前言本文件按照GB/T1.1-2020《標準化工作導則第一部分：標準化文件的結構和起草規則》的規定起草。本文件的發布機構提請注意，本標準涉及以下專利申請號對應專利的使用：1、CN202410439731.X一種數據傳輸方法、系統、設備、計算機存儲介質及產品2、CN202310760842.6網元業務接口創建方法、裝置及相關設備3、CN202211548444.X一種開放虛擬網絡系統、一種通信方法及設備和存儲介質4、CN202210728335.X一種基于BGP-LS裁決的擬態路由方法、裝置及存儲介質5、CN202310813240.2一種報文處理方法、裝置、設備及可讀存儲介質6、CN202311264807.1擬態控制器與外部設備的通信方法、裝置、設備及介質7、CN202410211753.0一種裁決方法、裝置、設備及介質8、CN202310690290.6一種PCEP協議代理方法、裝置、設備及可讀存儲介質9、CN202310723811.3擬態設備的構件池分配方法、設備及可讀存儲介質本文件的發布機構對于該專利的真實性、有效性和范圍無任何立場。該專利權人已向本文件的發布機構承諾,他愿意同任何申請人在合理且無歧視的條款和條件下，就專利授權許可進行談判。該專利權人的聲明已在本文件的發布機構備案。請注意除上述專利外，本文件的某些內容仍可能涉及專利。本文件的發布機構不承擔識別專利的責任。本文件起草單位：紫金山實驗室，戰略支援部隊信息工程大學，嵩山實驗室，南京市網絡空間內生安全協會本文件主要起草人：唐寅、張進、江逸茗1本文件給出了內生安全網絡控制器總體架構，包括內部接口、異構性、功能、性能，安全等方面技術要求。本文件適用于支持擬態防御能力的網絡控制器的設計、開發、測試、部署和維護。2規范性引用文件YD/T4223-2023支持擬態防御功能設備的總體技術指南。3術語和定義YD/T4223-2023《支持擬態防御功能設備的總體技術指南》確立的術語和定義適用于本文件。4縮略語下列縮略語適用于本文件。BGP-LS邊界網關協議-鏈路狀態HTTP超文本傳輸協議BorderGatewayProtocolLinkStateHypertextTransferProtocolNetconf網絡配置協議NetworkConfigurationProtocolOVSDB開放虛擬交換機數據庫OpenvSwitchdatabaseOpenFlow開放流協議OpenFlowP4Runtime協議無關的包處理器編程運行時ProgrammingProtocol-IndependentPacketProcessorsRuntimePCEP路徑計算單元通信協議PathComputationElementCommunicationProtocol25內生安全網絡控制器總體架構要求圖1內生安全網絡控制器總體架構內生安全網絡控制器采用了擬態防御架構，通過在控制器中植入基于動態異構冗余的內生安全結構，可抵御基于未知漏洞和后門的網絡攻擊，確保網絡控制器的高可信安全。內生安全網絡控制器總體由異構冗余控制器執行體組與內生安全組件構成。異構冗余控制器執行體組：由功能等價的多個異構的控制器組成，并且在多個維度存在異構。內生安全組件：內生安全組件是支持控制器的內生安全能力而使用的多個功能模塊，其中包括適配控制器的北向協議代理，南向協議代理，裁決器，調度器等功能模塊。北向協議代理和南向協議代理應支持對應協議的甄別以及與其他報文的分路，其主要功能包括對輸入的協議報文的動態復制分發，以及對北向協議和南向協議對應的外部組件進行協議報文回復；裁決功能通過對控制器執行體輸出的數據和狀態信息以及南向協議輸出結果進行比對裁決，從而感知功能執行異常的控制器執行體；動態調度功能管理異構冗余控制器執行體組內的控制器，并按照反饋決策功能制定的調度策略，將指定的控制器執行體調度上線工作，或者將指定的控制器執行體調度下線；反饋決策功能應依據裁決功能、動態調度功能、異構冗余控制器執行體組等運行狀態信息和產生的異常信息，進行威脅感知和綜合判決，從而實現對控制器異構冗余執行體的組合方式、調度策略、裁決算法、南向協議代理以及北向協議代理等運行參數的主動調整。36內生安全網絡控制器內部接口技術要求6.1內生安全網絡控制器內部接口功能要求內生安全網絡控制器內部接口功能要求包括：1、業務通道：主控的內生安全組件和各個控制器執行體單元的業務通道接口通過內部交換互聯形成業務通道，該通道交互的內容包括：（1）南向協議報文在主控單元內生安全組件和控制器執行體之間的交互，包括但不限于BGP-LS，PCEP，OVSDB管理協議，Openflow，P4Runtime，Netconf。A、內生安全網絡控制器通過南向協議接收到的報文，主控單元的內生安全組件通過專用通道，將協議報文復制分發給各個控制器執行體；B、控制器執行體通過南向協議向外發送的協議報文，通過業務通道將報文發送給主控單元的內生安全組件；（2）北向協議報文在主控單元內生安全組件和控制器執行體之間的交互，包括但不限于HTTP，OVSDB管理協議。A、內生安全網絡控制器通過北向協議接收到的報文，主控單元的內生安全組件通過業務通道，將協議報文復制分發給各個控制器執行體；B、控制器執行體通過北向協議向外發送的協議報文，通過業務通道將報文發送給主控單元的內生安全組件；2、管理通道：主控單元的內生安全組件和各個執行體單元的管理通道接口通過內部交換互聯形成管理通道，該通道用于執行體狀態信息上報，以及內生安全組件對控制器執行體的管理。（1）控制器執行體上報狀態信息，包括但不限于：控制器軟件的統計狀態和異常日志、承載控制器的操作系統的統計狀態和異常日志；（2）內生安全組件向控制器執行體下發控制管理信息，包括但不限于：內生安全組件向控制器執行體發送查詢指令獲取控制器的相關信息，內生安全組件向控制器執行體發送調度指令用于執行體的下線，上線，重啟等。（3）裁決模塊從各個執行體獲取信息，包括各執行體的配置信息，流表信息等；裁決4結果上報調度模塊。6.2內生安全網絡控制器內部接口安全要求內生安全網絡控制器內部接口安全要求包括：1、業務通道和管理通道，需要在網絡上完全隔離，保證某個通道上交互的報文不會影響另一個通道的報文交互功能。2、內生安全組件所在的單元，限定只能與特定的控制器執行體交互；3、控制器執行體，限定只能與內生安全組件所在單元進行交互，不與其他控制器執行體進行交互。7異構冗余控制器執行體組要求7.1功能等價要求異構冗余控制器執行體組中的各個執行體需要滿足功能等價的要求，主要包括：4、各控制器執行體北向協議接口的格式相同；5、各控制器執行體南向協議存在一致性，包括支持的協議類型一致，同一協議對應的協議功能特性集一致；6、各控制器執行體對相同輸入進行處理后的輸出結果語義一致，如控制器計算網絡最優路徑的算法一致，生成的轉發數據流表邏輯規則一致。7.2異構性要求內生安全網絡控制器異構性要求的是指網絡控制器執行體在結構、功能或實現方式上的差異性和多樣性。1、支持控制器的異構執行體數量不小于3個；2、由多個異構冗余的控制器執行體構成，每個控制器執行體之間的異構方式不少于2個維度，異構性維度包括：5（1）運行控制器的物理環境中的CPU異構，CPU架構不少于X86、國產ARM等2類；（2）對控制器源碼多樣化編譯，通過代碼布局隨機化及堆棧變換等多樣化編譯手段，生成多個異構的控制器二進制代碼變體；（3）運行控制器的操作系統異構，包括但不限于Ubuntu，CentOs，Debian等；（4）控制器版本異構，各控制器執行體使用的控制器版本，在保證功能滿足業務需要的情況下，使用不同的發行版本。（5）支持后續擴展的異構性維度。7.3異構執行體數量要求1、在線執行體數量要求：基于內生安全控制器的裁決原則，需要滿足擇多判決算法時的執行體數量要求，因此在線執行體數量要求為奇數個，最少為3個；2、執行體總數量要求：應構建異構執行體的資源池，執行體總數量=在線執行體數量+備份執行體數量，備份執行體數量最少為1個。8內生安全網絡控制器模塊功能要求8.1北向協議代理功能要求北向協議代理負責對內生安全網絡控制器北向協議報文進行處理，實現各控制器執行體與外部管理系統之間的通信。1、支持對北向協議報文的基本收發功能，對從外部接收的北向協議報文進行存儲、復制分發到各控制器執行體，并且只將主控制器執行體的北向協議報文對外發送；2、支持控制器執行體變化時的北向協議恢復，控制器執行體新上線后，針對內生安全網絡控制器已存在的北向協議狀態，北向協議代理能夠主動與該新上線的控制器執行體進行連接，同步和恢復協議狀態，并同步已通過北向協議交互的數據。3、支持對異步事件的周期性檢查，包括北向協議連接失敗時的重試操作，執行體下線后僵尸連接的清除。68.2南向協議代理功能要求南向協議代理負責對內生安全網絡控制器南向協議報文進行處理，實現各控制器執行體與轉發網元之間的通信。南向協議代理的功能要求包括：1、對于控制器執行體和外部網元，南向協議代理是透明的，通過外部網絡無法直接訪問南向協議代理；同時南向協議代理實現應該盡可能簡單，降低南向協議代理自身漏洞的暴露風險。2、支持將控制器南向接收的協議消息復制分發到多個運行狀態的控制器執行體；并將多個控制器執行體輸出的消息進行歸一化處理后，通過南向協議對外發送。3、南向協議代理應支持南向協議加密（SSL，TLS等），認證（MD5等）的處理。4、南向協議代理只對支持異構化的南向協議消息進行處理，對其他消息可以基于自定義策略處理，包括丟棄、分發至單個控制器執行體、重定向至日志處理系統等。5、支持控制器執行體變化時的南向協議恢復，控制器執行體上線或下線時，南向協議的外部鄰居零感知。針對內生安全網絡控制器已存在的南向協議狀態，南向協議代理能夠主動與該新上線的控制器執行體進行連接，同步和恢復協議狀態，并同步已通過南向協議交互的數據。8.3協議語義級裁決功能要求協議語義級裁決負責對控制器執行體南向協議輸出的報文進行對比處理，實現各控制器執行體的異常判斷與異常信息上報。1、支持對南向協議報文的基本獲取功能，各個執行體支持對收到的協議報文分別進行獨立緩存。2、支持裁決等待時間可配置，周期性對存儲的各個執行體的協議報文進行裁決，判斷各個執行體是否存在異常情況。3、支持基于協議報文字節流的內容進行裁決的方式，必須支持擇多判決算法、可選支持加權判決等算法。4、支持裁決發現異常后的信息上報，對裁決后存在異常結果的控制器執行體進行異常信息的封裝打包，并發送給調度模塊處理。5、支持在控制器執行體新上線時，首次裁決的周期設置?？刂破鲌绦畜w新上線時，從7調度模塊獲取執行體狀態變化的通知，啟動對執行體數據報文進行首次裁決的定時器，防止新上線的控制器執行體南向協議狀態無法恢復的問題。8.4控制器數據和狀態裁決功能要求1、對控制器執行體輸出的哪些數據和狀態信息進行裁決，應根據控制器的業務要求，明確控制器的數據和狀態信息，是否影響控制器所管控的網絡運行的可靠性和安全性為依據。如控制器的計算路徑的結果數據、控制器的流表數據庫等數據，需要對該信息進行裁決。2、裁決功能與控制器執行體功能解耦，裁決功能應通過控制器執行體的開放接口來獲取控制器數據和狀態信息。3、裁決功能在獲取各個異構控制器的數據和狀態信息后,應對該信息按照裁決的目的和要求進行格式化解析，得到各執行體待裁決的格式化數據。4、必須支持擇多判決算法、可選支持加權判決等算法。5、支持裁決發現異常后的信息上報，對裁決后存在異常結果的控制器執行體進行異常信息的封裝打包，并發送給調度模塊處理。8.5調度功能要求1、調度功能是內生安全控制器中內生安全組件的總控管理單元，實現對控制器異構冗余執行體的組合方式、調度策略、裁決算法、南向協議代理以及北向協議代理等運行參數的主動調整。2、調度器與控制器執行體之間采用單向異步通信的方式，控制各個異構控制器執行體的啟動、停止和重啟等操作。3、支持根據裁決異常和狀態反饋進行決策的功能，應依據裁決功能反饋的裁決結果、異構冗余控制器執行體組等運行狀態信息和產生的異常信息，最終生成調度策略。4、按照生成的調度策略，動態調度管理異構冗余控制器執行體組內的控制器，實現對控制器異構冗余執行體的組合和調度，將指定的控制器執行體調度上線工作，或者將指定的控制器執行體調度下線。89