T/NJCESS 003-2024 内生安全网络控制器技术规范

ICS 35.030
CCS L70
团体标准
T/NJCESS 003-2024
内生安全网络控制器技术规范
Technical specification of endogenous security networkcontroller
2024-12-26 发布2025-6-30 实施
南京市网络空间内生安全协会发布

目录
前言............................................................................................................................................II
1 范围....................................................................................................................................... 1
2 规范性引用文件.................................................................................................................... 1
3 术语和定义............................................................................................................................ 1
4 缩略语................................................................................................................................... 1
5 内生安全网络控制器总体架构要求.................................................................................... 2
6 内生安全网络控制器内部接口技术要求............................................................................3
6.1 内生安全网络控制器内部接口功能要求.................................................................3
6.2 内生安全网络控制器内部接口安全要求.................................................................4
7 异构冗余控制器执行体组要求............................................................................................ 4
7.1 功能等价要求.............................................................................................................. 4
7.2 异构性要求.................................................................................................................. 4
7.3 异构执行体数量要求................................................................................................. 5
8 内生安全网络控制器模块功能要求.................................................................................... 5
8.1 北向协议代理功能要求............................................................................................. 5
8.2 南向协议代理功能要求............................................................................................. 6
8.3 协议语义级裁决功能要求......................................................................................... 6
8.4 控制器数据和状态裁决功能要求.............................................................................7
8.5 调度功能要求............................................................................................................. 7
9 内生安全网络控制器性能要求............................................................................................ 8
9.1 清洗时间..................................................................................................................... 8
9.2 执行体状态收敛时间................................................................................................. 8
10 内生安全网络控制器安全要求.......................................................................................... 8
10.1 差模注入情况安全要求........................................................................................... 8
10.2 N-1 模注入情况安全要求......................................................................................... 8
10.3 N 模注入情况安全要求.............................................................................................9
II
前言
本文件按照GB/T 1.1-2020《标准化工作导则第一部分：标准化文件的结构和起草规则》
的规定起草。
本文件的发布机构提请注意，本标准涉及以下专利申请号对应专利的使用：
1、CN202410439731.X 一种数据传输方法、系统、设备、计算机存储介质及产品
2、CN202310760842.6 网元业务接口创建方法、装置及相关设备
3、CN202211548444.X 一种开放虚拟网络系统、一种通信方法及设备和存储介质
4、CN202210728335.X 一种基于BGP-LS 裁决的拟态路由方法、装置及存储介质
5、CN202310813240.2 一种报文处理方法、装置、设备及可读存储介质
6、CN202311264807.1 拟态控制器与外部设备的通信方法、装置、设备及介质
7、CN202410211753.0 一种裁决方法、装置、设备及介质
8、CN202310690290.6 一种PCEP 协议代理方法、装置、设备及可读存储介质
9、CN202310723811.3 拟态设备的构件池分配方法、设备及可读存储介质
本文件的发布机构对于该专利的真实性、有效性和范围无任何立场。
该专利权人已向本文件的发布机构承诺,他愿意同任何申请人在合理且无歧视的条款和
条件下，就专利授权许可进行谈判。该专利权人的声明已在本文件的发布机构备案。
请注意除上述专利外，本文件的某些内容仍可能涉及专利。本文件的发布机构不承担识
别专利的责任。
本文件起草单位：紫金山实验室，战略支援部队信息工程大学，嵩山实验室，南京市网
络空间内生安全协会
本文件主要起草人：唐寅、张进、江逸茗
1
1 范围
本文件给出了内生安全网络控制器总体架构，包括内部接口、异构性、功能、性能，安
全等方面技术要求。
本文件适用于支持拟态防御能力的网络控制器的设计、开发、测试、部署和维护。
2 规范性引用文件
YD/T 4223-2023 支持拟态防御功能设备的总体技术指南。
3 术语和定义
YD/T 4223-2023 《支持拟态防御功能设备的总体技术指南》确立的术语和定义适用于
本文件。
4 缩略语
下列缩略语适用于本文件。
BGP-LS 边界网关协议-链路状态Border Gateway Protocol Link State
HTTP 超文本传输协议Hypertext Transfer Protocol
Netconf 网络配置协议Network Configuration Protocol
OVSDB 开放虚拟交换机数据库Open vSwitch database
OpenFlow 开放流协议OpenFlow
P4Runtime 协议无关的包处理器编程运行时Programming Protocol-Independent Packet
Processors Runtime
PCEP 路径计算单元通信协议Path Computation Element Communication Protocol
2
5 内生安全网络控制器总体架构要求
图1 内生安全网络控制器总体架构
内生安全网络控制器采用了拟态防御架构，通过在控制器中植入基于动态异构冗余的内
生安全结构，可抵御基于未知漏洞和后门的网络攻击，确保网络控制器的高可信安全。内生
安全网络控制器总体由异构冗余控制器执行体组与内生安全组件构成。
异构冗余控制器执行体组：由功能等价的多个异构的控制器组成，并且在多个维度存在
异构。
内生安全组件：内生安全组件是支持控制器的内生安全能力而使用的多个功能模块，其
中包括适配控制器的北向协议代理，南向协议代理，裁决器，调度器等功能模块。北向协议
代理和南向协议代理应支持对应协议的甄别以及与其他报文的分路，其主要功能包括对输入
的协议报文的动态复制分发，以及对北向协议和南向协议对应的外部组件进行协议报文回复；
裁决功能通过对控制器执行体输出的数据和状态信息以及南向协议输出结果进行比对裁决，
从而感知功能执行异常的控制器执行体；动态调度功能管理异构冗余控制器执行体组内的控
制器，并按照反馈决策功能制定的调度策略，将指定的控制器执行体调度上线工作，或者将
指定的控制器执行体调度下线；反馈决策功能应依据裁决功能、动态调度功能、异构冗余控
制器执行体组等运行状态信息和产生的异常信息，进行威胁感知和综合判决，从而实现对控
制器异构冗余执行体的组合方式、调度策略、裁决算法、南向协议代理以及北向协议代理等
运行参数的主动调整。
3
6 内生安全网络控制器内部接口技术要求
6.1 内生安全网络控制器内部接口功能要求
内生安全网络控制器内部接口功能要求包括：
1、业务通道：主控的内生安全组件和各个控制器执行体单元的业务通道接口通过内部
交换互联形成业务通道，该通道交互的内容包括：
（1）南向协议报文在主控单元内生安全组件和控制器执行体之间的交互，包括但不限
于BGP-LS，PCEP，OVSDB 管理协议，Openflow，P4Runtime，Netconf。
A、内生安全网络控制器通过南向协议接收到的报文，主控单元的内生安全组件
通过专用通道，将协议报文复制分发给各个控制器执行体；
B、控制器执行体通过南向协议向外发送的协议报文，通过业务通道将报文发送
给主控单元的内生安全组件；
（2）北向协议报文在主控单元内生安全组件和控制器执行体之间的交互，包括但不限
于HTTP，OVSDB 管理协议。
A、内生安全网络控制器通过北向协议接收到的报文，主控单元的内生安全组件
通过业务通道，将协议报文复制分发给各个控制器执行体；
B、控制器执行体通过北向协议向外发送的协议报文，通过业务通道将报文发送
给主控单元的内生安全组件；
2、管理通道：主控单元的内生安全组件和各个执行体单元的管理通道接口通过内部交
换互联形成管理通道，该通道用于执行体状态信息上报，以及内生安全组件对控制器执行体
的管理。
（1）控制器执行体上报状态信息，包括但不限于：控制器软件的统计状态和异常日志、
承载控制器的操作系统的统计状态和异常日志；
（2）内生安全组件向控制器执行体下发控制管理信息，包括但不限于：内生安全组件
向控制器执行体发送查询指令获取控制器的相关信息，内生安全组件向控制器执行体发
送调度指令用于执行体的下线，上线，重启等。
（3）裁决模块从各个执行体获取信息，包括各执行体的配置信息，流表信息等；裁决
4
结果上报调度模块。
6.2 内生安全网络控制器内部接口安全要求
内生安全网络控制器内部接口安全要求包括：
1、业务通道和管理通道，需要在网络上完全隔离，保证某个通道上交互的报文不会影
响另一个通道的报文交互功能。
2、内生安全组件所在的单元，限定只能与特定的控制器执行体交互；
3、控制器执行体，限定只能与内生安全组件所在单元进行交互，不与其他控制器执行
体进行交互。
7 异构冗余控制器执行体组要求
7.1 功能等价要求
异构冗余控制器执行体组中的各个执行体需要满足功能等价的要求，主要包括：
4、各控制器执行体北向协议接口的格式相同；
5、各控制器执行体南向协议存在一致性，包括支持的协议类型一致，同一协议对应的
协议功能特性集一致；
6、各控制器执行体对相同输入进行处理后的输出结果语义一致，如控制器计算网络最
优路径的算法一致，生成的转发数据流表逻辑规则一致。
7.2 异构性要求
内生安全网络控制器异构性要求的是指网络控制器执行体在结构、功能或实现方式上的
差异性和多样性。
1、支持控制器的异构执行体数量不小于3 个；
2、由多个异构冗余的控制器执行体构成，每个控制器执行体之间的异构方式不少于2
个维度，异构性维度包括：
5
（1）运行控制器的物理环境中的CPU 异构，CPU 架构不少于X86、国产ARM 等2 类；
（2）对控制器源码多样化编译，通过代码布局随机化及堆栈变换等多样化编译手段，
生成多个异构的控制器二进制代码变体；
（3）运行控制器的操作系统异构，包括但不限于Ubuntu，CentOs，Debian 等；
（4）控制器版本异构，各控制器执行体使用的控制器版本，在保证功能满足业务需要
的情况下，使用不同的发行版本。
（5）支持后续扩展的异构性维度。
7.3 异构执行体数量要求
1、在线执行体数量要求：基于内生安全控制器的裁决原则，需要满足择多判决算法时
的执行体数量要求，因此在线执行体数量要求为奇数个，最少为3 个；
2、执行体总数量要求：应构建异构执行体的资源池，执行体总数量=在线执行体数量+
备份执行体数量，备份执行体数量最少为1 个。
8 内生安全网络控制器模块功能要求
8.1 北向协议代理功能要求
北向协议代理负责对内生安全网络控制器北向协议报文进行处理，实现各控制器执行体
与外部管理系统之间的通信。
1、支持对北向协议报文的基本收发功能，对从外部接收的北向协议报文进行存储、复
制分发到各控制器执行体，并且只将主控制器执行体的北向协议报文对外发送；
2、支持控制器执行体变化时的北向协议恢复，控制器执行体新上线后，针对内生安全
网络控制器已存在的北向协议状态，北向协议代理能够主动与该新上线的控制器执行体进行
连接，同步和恢复协议状态，并同步已通过北向协议交互的数据。
3、支持对异步事件的周期性检查，包括北向协议连接失败时的重试操作，执行体下线
后僵尸连接的清除。
6
8.2 南向协议代理功能要求
南向协议代理负责对内生安全网络控制器南向协议报文进行处理，实现各控制器执行体
与转发网元之间的通信。南向协议代理的功能要求包括：
1、对于控制器执行体和外部网元，南向协议代理是透明的，通过外部网络无法直接访
问南向协议代理；同时南向协议代理实现应该尽可能简单，降低南向协议代理自身漏洞的暴
露风险。
2、支持将控制器南向接收的协议消息复制分发到多个运行状态的控制器执行体；并将
多个控制器执行体输出的消息进行归一化处理后，通过南向协议对外发送。
3、南向协议代理应支持南向协议加密（SSL，TLS 等），认证（MD5 等）的处理。
4、南向协议代理只对支持异构化的南向协议消息进行处理，对其他消息可以基于自定
义策略处理，包括丢弃、分发至单个控制器执行体、重定向至日志处理系统等。
5、支持控制器执行体变化时的南向协议恢复，控制器执行体上线或下线时，南向协议
的外部邻居零感知。针对内生安全网络控制器已存在的南向协议状态，南向协议代理能够主
动与该新上线的控制器执行体进行连接，同步和恢复协议状态，并同步已通过南向协议交互
的数据。
8.3 协议语义级裁决功能要求
协议语义级裁决负责对控制器执行体南向协议输出的报文进行对比处理，实现各控制器
执行体的异常判断与异常信息上报。
1、支持对南向协议报文的基本获取功能，各个执行体支持对收到的协议报文分别进行
独立缓存。
2、支持裁决等待时间可配置，周期性对存储的各个执行体的协议报文进行裁决，判断
各个执行体是否存在异常情况。
3、支持基于协议报文字节流的内容进行裁决的方式，必须支持择多判决算法、可选支
持加权判决等算法。
4、支持裁决发现异常后的信息上报，对裁决后存在异常结果的控制器执行体进行异常
信息的封装打包，并发送给调度模块处理。
5、支持在控制器执行体新上线时，首次裁决的周期设置。控制器执行体新上线时，从
7
调度模块获取执行体状态变化的通知，启动对执行体数据报文进行首次裁决的定时器，防止
新上线的控制器执行体南向协议状态无法恢复的问题。
8.4 控制器数据和状态裁决功能要求
1、对控制器执行体输出的哪些数据和状态信息进行裁决，应根据控制器的业务要求，
明确控制器的数据和状态信息，是否影响控制器所管控的网络运行的可靠性和安全性为依据。
如控制器的计算路径的结果数据、控制器的流表数据库等数据，需要对该信息进行裁决。
２、裁决功能与控制器执行体功能解耦，裁决功能应通过控制器执行体的开放接口来获
取控制器数据和状态信息。
３、裁决功能在获取各个异构控制器的数据和状态信息后,应对该信息按照裁决的目的
和要求进行格式化解析，得到各执行体待裁决的格式化数据。
４、必须支持择多判决算法、可选支持加权判决等算法。
５、支持裁决发现异常后的信息上报，对裁决后存在异常结果的控制器执行体进行异常
信息的封装打包，并发送给调度模块处理。
8.5 调度功能要求
1、调度功能是内生安全控制器中内生安全组件的总控管理单元，实现对控制器异构冗
余执行体的组合方式、调度策略、裁决算法、南向协议代理以及北向协议代理等运行参数的
主动调整。
2、调度器与控制器执行体之间采用单向异步通信的方式，控制各个异构控制器执行体
的启动、停止和重启等操作。
3、支持根据裁决异常和状态反馈进行决策的功能，应依据裁决功能反馈的裁决结果、
异构冗余控制器执行体组等运行状态信息和产生的异常信息，最终生成调度策略。
4、按照生成的调度策略，动态调度管理异构冗余控制器执行体组内的控制器，实现对
控制器异构冗余执行体的组合和调度，将指定的控制器执行体调度上线工作，或者将指定的
控制器执行体调度下线。
8
9 内生安全网络控制器性能要求
9.1 清洗时间
清洗时间是内生安全控制器对控制器执行体重置和替换所需的时间。异构控制器执行体
可以运行在容器、虚机、实体服务器等载体上，对应的清洗操作也有不同的实现方式，因此
异构运行环境和清洗操作的差异决定了异构控制器的清洗时间差异。建议控制器执行体单次
清洗时间不大于3 分钟。
9.2 执行体状态收敛时间
执行体状态收敛时间是被清洗的控制器执行体重新调度上线后，收敛到与其他在线控制
器执行体状态一致的时间。当某个控制器执行体上线后，需要恢复通过北向协议接收的数据，
以及南向协议的连接状态和协议数据，进而继续后续的控制器运行。建议单个控制器执行体
状态收敛时间不大于3 分钟。
10 内生安全网络控制器安全要求
10.1 差模注入情况安全要求
差模注入情况是指攻击者利用单个控制器执行体的漏洞/后门篡改了控制器执行体的数
据后，内生安全网络控制器的协议语义级裁决以及控制器数据和状态裁决功能，使得被篡改
的记录无法生效。
10.2 N-1 模注入情况安全要求
N-1 模注入情况是指超过半数的控制器执行体被攻击者利用漏洞/后门篡改了控制器执
行体的数据后，内生安全网络控制器的裁决功能以及调度功能可以让被篡改的数据在有限的
时间内恢复正常，最终使得被篡改的记录无法生效。
9
10.3 N 模注入情况安全要求
N 模注入情况是指攻击者利用所有控制器执行体的漏洞/后门篡改了多个控制器执行体
的数据后，内生安全网络控制器的裁决功能以及调度功能可以让被篡改的数据在有限的时间
内恢复正常，最终使得被篡改的记录无法生效。