M10 ICS 33.040
YD 中华人民共和国通信行业标准 YD/T3489-2019
SDN网络安全能力要求 Security Technology Requirements for Software Defined Networking
2019-11-11发布2020-01-01实施
中华人民共和国工业和信息化部发布
YD/T3489-2019
目次
前言.. 1范围... 2规范性引用文件 3术语、定义和缩略语. 3.1术语和定义..1 3.2缩略语.3 4概述..3 5SDN网络安全威胁..4 5.1SDN应用层安全威胁, 5.2SDN 控制层安全威胁, 5.3SDN资源层安全威胁. 5.4北向接口安全威胁.. 5.5南向接口安全威胁..6 6SDN网络安全能力要求.6 6.1SDN应用层,.6 6.2SDN控制层, 6.3SDN资源层....8 6.4北向接口... 6.5南向接口...9 附录A(资料性附录)SDN安全参考架构.11 附录B(资料性附录)SDN安全威胁实例15 参考文献..18
YD/T3489-2019
前言
本标准修改采用了ITU-TX.1038,软件定义网络的安全要求和参考架构(SecurityTechnology RequirementsforSoftwareDefinedNetworking)。
本标准与ITU-TX.1038的主要差异如下: -本标准将SDN安全参考架构由正文改为附录; -本标准在附录B中增加了针对SDN网络发起的DDoS攻击实例; 本标准删除了原标准的附录B《流表命名机制》。
本标准按照GB/T1.1一2009给出的规则起草。
请注意本文件的某些内容可能涉及专利。
本文件的发布机构不承担识别这些专利的责任。
本标准由中国通信标准化协会提出并归口。
本标准起草单位:中国信息通信研究院、上海贝尔股份有限公司、上海宽带技术及应用工程研究中 心、中兴通讯股份有限公司。
本标准主要起草人:石悦、胡志远、许延伟、陆肖元、崔涛、林兆骥。
Ⅱ
YD/T3489-2019
SDN网络安全能力要求
1范围
本标准规定了SDN网络安全能力要求,具体包括应用层安全能力要求、控制层安全能力要求、资 源层安全能力要求和通道层安全能力要求。
本标准适用于SDN网络。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。
凡是注日期的引用文件,仅所注日期的版本适用于本文 件。
凡是不注日期的引用文件,其最新版本(包括的修改单)适用于本文件。
ITU-TY.3300 SDN 架构(Framework of software-defined networking) IETF RFC 5246传输层安全协议(TheTransport Layer Security(TLS)Protocol Version1.2) IETFRFC4301因特网协议安全架构(SecurityArchitecturefor theInternetProtocol)
3术语、定义和缩略语
3.1术语和定义 下列术语和定义适用于本文件。
3.1.1 网络资源networkresource 能够执行数据包转发行为的网络设备,包括交换机、路由器、网关、无线接入点等。
3.1.2 证书管理certificatemanagement 负责生成、存储、分发、停用、撤销、归档和应用证书的统一安全策略。
3.1.3 北向接口northboundinterface SDN应用层与SDN控制层之间的通信接口。
[ITU-TY.3300]
1
YD/T3489-2019 3.1.4 南向接口southboundinterface SDN控制层与SDN资源层之间的通信接口。
[ITU-TY.3300] 3.1.5 软件定义网络software-definednetworking 一种网络虚拟化的实现方式,通过将网络控制面与数据面分离开来,并提供开放编程接口,从而实 现网络的灵活控制。
[ITU-TY.3300] 3.1.6 认证authentication 核实用户、程序或装置的身份,这常常是允许获取信息系统资源的前提条件。
[NIST-SP-800-53] 3.1.7 接入管理accesscontrol 拒绝资源被未授权用户使用的控制方法。
[ITU-TX.800] 3.1.8 授权authorization 授予用户、程序或装置某种权限。
[ITU-TX.1254] 3.1.9 公钥证书public-key certificate 一种数字签名的声明,它将公钥的值绑定到持有对应私钥的个人、设备或服务的身份。
[ITU-TX.509] 3.1.10 机密性confiden...
