T-NJCESS 003-2024 内生安全网络控制器技术规范

CCSL70T/NJCESS内生安全网络控制器技术规范Technicalspecificationofendogenoussecuritynetworkcontroller2024-12-26发布I前言 II 12规范性引用文件 13术语和定义 14缩略语 15内生安全网络控制器总体架构要求 26内生安全网络控制器内部接口技术要求 36.1内生安全网络控制器内部接口功能要求 36.2内生安全网络控制器内部接口安全要求 47异构冗余控制器执行体组要求 47.1功能等价要求 47.2异构性要求 47.3异构执行体数量要求 58内生安全网络控制器模块功能要求 58.1北向协议代理功能要求 58.2南向协议代理功能要求 68.3协议语义级裁决功能要求 68.4控制器数据和状态裁决功能要求 78.5调度功能要求 79内生安全网络控制器性能要求 89.1清洗时间 89.2执行体状态收敛时间 810内生安全网络控制器安全要求 810.1差模注入情况安全要求 810.2N-1模注入情况安全要求 810.3N模注入情况安全要求 9前言本文件按照GB/T1.1-2020《标准化工作导则第一部分：标准化文件的结构和起草规则》的规定起草。本文件的发布机构提请注意，本标准涉及以下专利申请号对应专利的使用：1、CN202410439731.X一种数据传输方法、系统、设备、计算机存储介质及产品2、CN202310760842.6网元业务接口创建方法、装置及相关设备3、CN202211548444.X一种开放虚拟网络系统、一种通信方法及设备和存储介质4、CN202210728335.X一种基于BGP-LS裁决的拟态路由方法、装置及存储介质5、CN202310813240.2一种报文处理方法、装置、设备及可读存储介质6、CN202311264807.1拟态控制器与外部设备的通信方法、装置、设备及介质7、CN202410211753.0一种裁决方法、装置、设备及介质8、CN202310690290.6一种PCEP协议代理方法、装置、设备及可读存储介质9、CN202310723811.3拟态设备的构件池分配方法、设备及可读存储介质本文件的发布机构对于该专利的真实性、有效性和范围无任何立场。该专利权人已向本文件的发布机构承诺,他愿意同任何申请人在合理且无歧视的条款和条件下，就专利授权许可进行谈判。该专利权人的声明已在本文件的发布机构备案。请注意除上述专利外，本文件的某些内容仍可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件起草单位：紫金山实验室，战略支援部队信息工程大学，嵩山实验室，南京市网络空间内生安全协会本文件主要起草人：唐寅、张进、江逸茗1本文件给出了内生安全网络控制器总体架构，包括内部接口、异构性、功能、性能，安全等方面技术要求。本文件适用于支持拟态防御能力的网络控制器的设计、开发、测试、部署和维护。2规范性引用文件YD/T4223-2023支持拟态防御功能设备的总体技术指南。3术语和定义YD/T4223-2023《支持拟态防御功能设备的总体技术指南》确立的术语和定义适用于本文件。4缩略语下列缩略语适用于本文件。BGP-LS边界网关协议-链路状态HTTP超文本传输协议BorderGatewayProtocolLinkStateHypertextTransferProtocolNetconf网络配置协议NetworkConfigurationProtocolOVSDB开放虚拟交换机数据库OpenvSwitchdatabaseOpenFlow开放流协议OpenFlowP4Runtime协议无关的包处理器编程运行时ProgrammingProtocol-IndependentPacketProcessorsRuntimePCEP路径计算单元通信协议PathComputationElementCommunicationProtocol25内生安全网络控制器总体架构要求图1内生安全网络控制器总体架构内生安全网络控制器采用了拟态防御架构，通过在控制器中植入基于动态异构冗余的内生安全结构，可抵御基于未知漏洞和后门的网络攻击，确保网络控制器的高可信安全。内生安全网络控制器总体由异构冗余控制器执行体组与内生安全组件构成。异构冗余控制器执行体组：由功能等价的多个异构的控制器组成，并且在多个维度存在异构。内生安全组件：内生安全组件是支持控制器的内生安全能力而使用的多个功能模块，其中包括适配控制器的北向协议代理，南向协议代理，裁决器，调度器等功能模块。北向协议代理和南向协议代理应支持对应协议的甄别以及与其他报文的分路，其主要功能包括对输入的协议报文的动态复制分发，以及对北向协议和南向协议对应的外部组件进行协议报文回复；裁决功能通过对控制器执行体输出的数据和状态信息以及南向协议输出结果进行比对裁决，从而感知功能执行异常的控制器执行体；动态调度功能管理异构冗余控制器执行体组内的控制器，并按照反馈决策功能制定的调度策略，将指定的控制器执行体调度上线工作，或者将指定的控制器执行体调度下线；反馈决策功能应依据裁决功能、动态调度功能、异构冗余控制器执行体组等运行状态信息和产生的异常信息，进行威胁感知和综合判决，从而实现对控制器异构冗余执行体的组合方式、调度策略、裁决算法、南向协议代理以及北向协议代理等运行参数的主动调整。36内生安全网络控制器内部接口技术要求6.1内生安全网络控制器内部接口功能要求内生安全网络控制器内部接口功能要求包括：1、业务通道：主控的内生安全组件和各个控制器执行体单元的业务通道接口通过内部交换互联形成业务通道，该通道交互的内容包括：（1）南向协议报文在主控单元内生安全组件和控制器执行体之间的交互，包括但不限于BGP-LS，PCEP，OVSDB管理协议，Openflow，P4Runtime，Netconf。A、内生安全网络控制器通过南向协议接收到的报文，主控单元的内生安全组件通过专用通道，将协议报文复制分发给各个控制器执行体；B、控制器执行体通过南向协议向外发送的协议报文，通过业务通道将报文发送给主控单元的内生安全组件；（2）北向协议报文在主控单元内生安全组件和控制器执行体之间的交互，包括但不限于HTTP，OVSDB管理协议。A、内生安全网络控制器通过北向协议接收到的报文，主控单元的内生安全组件通过业务通道，将协议报文复制分发给各个控制器执行体；B、控制器执行体通过北向协议向外发送的协议报文，通过业务通道将报文发送给主控单元的内生安全组件；2、管理通道：主控单元的内生安全组件和各个执行体单元的管理通道接口通过内部交换互联形成管理通道，该通道用于执行体状态信息上报，以及内生安全组件对控制器执行体的管理。（1）控制器执行体上报状态信息，包括但不限于：控制器软件的统计状态和异常日志、承载控制器的操作系统的统计状态和异常日志；（2）内生安全组件向控制器执行体下发控制管理信息，包括但不限于：内生安全组件向控制器执行体发送查询指令获取控制器的相关信息，内生安全组件向控制器执行体发送调度指令用于执行体的下线，上线，重启等。（3）裁决模块从各个执行体获取信息，包括各执行体的配置信息，流表信息等；裁决4结果上报调度模块。6.2内生安全网络控制器内部接口安全要求内生安全网络控制器内部接口安全要求包括：1、业务通道和管理通道，需要在网络上完全隔离，保证某个通道上交互的报文不会影响另一个通道的报文交互功能。2、内生安全组件所在的单元，限定只能与特定的控制器执行体交互；3、控制器执行体，限定只能与内生安全组件所在单元进行交互，不与其他控制器执行体进行交互。7异构冗余控制器执行体组要求7.1功能等价要求异构冗余控制器执行体组中的各个执行体需要满足功能等价的要求，主要包括：4、各控制器执行体北向协议接口的格式相同；5、各控制器执行体南向协议存在一致性，包括支持的协议类型一致，同一协议对应的协议功能特性集一致；6、各控制器执行体对相同输入进行处理后的输出结果语义一致，如控制器计算网络最优路径的算法一致，生成的转发数据流表逻辑规则一致。7.2异构性要求内生安全网络控制器异构性要求的是指网络控制器执行体在结构、功能或实现方式上的差异性和多样性。1、支持控制器的异构执行体数量不小于3个；2、由多个异构冗余的控制器执行体构成，每个控制器执行体之间的异构方式不少于2个维度，异构性维度包括：5（1）运行控制器的物理环境中的CPU异构，CPU架构不少于X86、国产ARM等2类；（2）对控制器源码多样化编译，通过代码布局随机化及堆栈变换等多样化编译手段，生成多个异构的控制器二进制代码变体；（3）运行控制器的操作系统异构，包括但不限于Ubuntu，CentOs，Debian等；（4）控制器版本异构，各控制器执行体使用的控制器版本，在保证功能满足业务需要的情况下，使用不同的发行版本。（5）支持后续扩展的异构性维度。7.3异构执行体数量要求1、在线执行体数量要求：基于内生安全控制器的裁决原则，需要满足择多判决算法时的执行体数量要求，因此在线执行体数量要求为奇数个，最少为3个；2、执行体总数量要求：应构建异构执行体的资源池，执行体总数量=在线执行体数量+备份执行体数量，备份执行体数量最少为1个。8内生安全网络控制器模块功能要求8.1北向协议代理功能要求北向协议代理负责对内生安全网络控制器北向协议报文进行处理，实现各控制器执行体与外部管理系统之间的通信。1、支持对北向协议报文的基本收发功能，对从外部接收的北向协议报文进行存储、复制分发到各控制器执行体，并且只将主控制器执行体的北向协议报文对外发送；2、支持控制器执行体变化时的北向协议恢复，控制器执行体新上线后，针对内生安全网络控制器已存在的北向协议状态，北向协议代理能够主动与该新上线的控制器执行体进行连接，同步和恢复协议状态，并同步已通过北向协议交互的数据。3、支持对异步事件的周期性检查，包括北向协议连接失败时的重试操作，执行体下线后僵尸连接的清除。68.2南向协议代理功能要求南向协议代理负责对内生安全网络控制器南向协议报文进行处理，实现各控制器执行体与转发网元之间的通信。南向协议代理的功能要求包括：1、对于控制器执行体和外部网元，南向协议代理是透明的，通过外部网络无法直接访问南向协议代理；同时南向协议代理实现应该尽可能简单，降低南向协议代理自身漏洞的暴露风险。2、支持将控制器南向接收的协议消息复制分发到多个运行状态的控制器执行体；并将多个控制器执行体输出的消息进行归一化处理后，通过南向协议对外发送。3、南向协议代理应支持南向协议加密（SSL，TLS等），认证（MD5等）的处理。4、南向协议代理只对支持异构化的南向协议消息进行处理，对其他消息可以基于自定义策略处理，包括丢弃、分发至单个控制器执行体、重定向至日志处理系统等。5、支持控制器执行体变化时的南向协议恢复，控制器执行体上线或下线时，南向协议的外部邻居零感知。针对内生安全网络控制器已存在的南向协议状态，南向协议代理能够主动与该新上线的控制器执行体进行连接，同步和恢复协议状态，并同步已通过南向协议交互的数据。8.3协议语义级裁决功能要求协议语义级裁决负责对控制器执行体南向协议输出的报文进行对比处理，实现各控制器执行体的异常判断与异常信息上报。1、支持对南向协议报文的基本获取功能，各个执行体支持对收到的协议报文分别进行独立缓存。2、支持裁决等待时间可配置，周期性对存储的各个执行体的协议报文进行裁决，判断各个执行体是否存在异常情况。3、支持基于协议报文字节流的内容进行裁决的方式，必须支持择多判决算法、可选支持加权判决等算法。4、支持裁决发现异常后的信息上报，对裁决后存在异常结果的控制器执行体进行异常信息的封装打包，并发送给调度模块处理。5、支持在控制器执行体新上线时，首次裁决的周期设置。控制器执行体新上线时，从7调度模块获取执行体状态变化的通知，启动对执行体数据报文进行首次裁决的定时器，防止新上线的控制器执行体南向协议状态无法恢复的问题。8.4控制器数据和状态裁决功能要求1、对控制器执行体输出的哪些数据和状态信息进行裁决，应根据控制器的业务要求，明确控制器的数据和状态信息，是否影响控制器所管控的网络运行的可靠性和安全性为依据。如控制器的计算路径的结果数据、控制器的流表数据库等数据，需要对该信息进行裁决。2、裁决功能与控制器执行体功能解耦，裁决功能应通过控制器执行体的开放接口来获取控制器数据和状态信息。3、裁决功能在获取各个异构控制器的数据和状态信息后,应对该信息按照裁决的目的和要求进行格式化解析，得到各执行体待裁决的格式化数据。4、必须支持择多判决算法、可选支持加权判决等算法。5、支持裁决发现异常后的信息上报，对裁决后存在异常结果的控制器执行体进行异常信息的封装打包，并发送给调度模块处理。8.5调度功能要求1、调度功能是内生安全控制器中内生安全组件的总控管理单元，实现对控制器异构冗余执行体的组合方式、调度策略、裁决算法、南向协议代理以及北向协议代理等运行参数的主动调整。2、调度器与控制器执行体之间采用单向异步通信的方式，控制各个异构控制器执行体的启动、停止和重启等操作。3、支持根据裁决异常和状态反馈进行决策的功能，应依据裁决功能反馈的裁决结果、异构冗余控制器执行体组等运行状态信息和产生的异常信息，最终生成调度策略。4、按照生成的调度策略，动态调度管理异构冗余控制器执行体组内的控制器，实现对控制器异构冗余执行体的组合和调度，将指定的控制器执行体调度上线工作，或者将指定的控制器执行体调度下线。89