ICS 33.040 M 30 中 华 人 民 共 和 国 通 信 行 业 标 准YD YD/T 20××—×××× 网络功能虚拟化（NFV）安全技术要求 Technical requirements for Network Function Virtualization(NFV) security （报批稿） 20××-××-××发布 20××-××-××实施 中华人民共和国工业和信息化部 发布YD/T ××××—×××× I目 次 前 言 .............................................................................. III 1 范围 .................................................................................. 1 2 规范性引用文件 ........................................................................ 1 3 术语、定义和缩略语 .................................................................... 1 3.1 术语和定义 1 3.2 缩略语 2 4 NFV基本架构 .......................................................................... 3 5 虚拟化基础设施安全要求 ................................................................ 3 5.1 硬件环境安全要求 3 5.2 主机系统安全要求 4 5.3 虚拟化层安全要求 9 6 虚拟网元安全要求 ..................................................................... 12 6.1 VNF实例化安全要求 12 6.2 VNF运行安全要求 12 6.3 VNF退出服务安全要求 13 6.4 VNF通信安全要求 13 7 MANO安全要求 ........................................................................ 13 7.1 MANO实体共性安全要求 13 7.2 MANO各实体独有安全要求 13 7.3 MANO实体间交互安全要求 13 7.4 MANO与其他实体间交互安全要求 13 8 NFV环境可信关系构建要求 ............................................................. 13 8.1 概述 14 8.2 可信技术要求 14 附录A （资料性附录） NFV安全技术手段及措施 ............................................ 15 附录B （资料性附录） 可信计算基础 ..................................................... 20 附录C （规范性附录） 本地鉴定与远程鉴定 ............................................... 21 参考文献 ............................................................................... 24 YD/T ××××—×××× II前 言 本标准按照 GB/T 1.1-2009给出的规则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由中国通信标准化协会提出并归口。 本标准起草单位 ：中国信息通信研究院、华为技术有限公司、中国移动通信集团有限公司、中兴通 讯股份有限公司、上海诺基亚贝尔股份有限公司、中国电子科技网络信息安全有限公司。 本标准主要起草人： 吴宏建、段峰、王琦、李飞、游世林、陆伟、庄小君、胡志远 。 YD/T ××××—×××× 1网络功能虚拟化（ NFV）安全技术要求 1　范围 本标准规定了网络功能虚拟化（ NFV）安全技术要求，包括硬件环境、主机、虚拟化层、虚拟机、 管理和编排功能（ MANO）、虚拟网元以及 NFV环境可信关系构建指南等。 本标准适用于使用 NFV技术的通信网元设备。 2　规范性引用文件 下列文件对于本文件的应用是必不可 少的。凡是注日期的引用文件 ，仅所注日期的版本适用于本文 件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 ISO/IEC 18031:2011 信息技术 安全技术 随机比特生成（ Information technology--Security techniques--Random bit generation ） ETSI TS 133 210 数字蜂窝电信系统 （阶段 2+）（全球移动通信系统） 通用移动电信系统 长期演 进 3G安全 网络域安全 IP网络层安全（ Digital cellular telecommunications system (Phase 2+) (GSM);Universal Mobile Telecommunications System (UMTS);LTE;3G security;Network Domain Security (NDS);IP network layer security (3GPP TS 33.210)） ETSI TS 133 310 通用移动电信系统 长期演进 网络域安全 认证框架（ Universal Mobile Telecommunications System (UMTS);LTE;Network Domain Security (NDS);Authentication Framework (AF) (3GPP TS 33.310)） NIST SP 800-88 Rev.1 媒介无害化处理指南（ Guidelines for Media Sanitization ） NIST SP 800-90b 用于随机比特生成的熵源建议（ Recommendation for the Entropy Sources Used for Random Bit Generation ） NIST SP 800-162 基于属性的访问控制定义和注意事项指南（ Guide to Attribute Based Access Control (ABAC) Definition and Considerations ） 3　术语、定义和缩略语 3.1　术语和定义 下列术语和定义适用于本标准。 3.1.1 网络功能 network function 网络中特定的功能组件 ，有着明确的外部接口和标准定义的功能行为 。从实践来看 ，目前的网络功 能通常指一个网络节点或是物理设备。 3.1.2 网络功能虚拟化 network functions virtualisation (NFV) 通过虚拟硬件技术将网络功能从它所运行的物理硬件中分离出来的原则及技术。 3.1.3 网络功能虚拟化基础设施 network functions virtualisation infrastructure （NFVI） YD/T ××××—×××× 2部署 VNF所需的所有软硬件组件的集合。 3.1.4 虚拟机 virtual machine （VM） 与物理计算机或服务器功能行为相类似的虚拟计算环境。 3.1.5 虚拟网络功能 virtualised network function (VNF) 在NFVI上实现的网络功能。 3.2　缩略语 下列缩略语适用于本标准。 ABAC 基于属性的访问控制 Attribute-Based Access Control ACL 访问控制列表 Access Control List API 应用程序接口 Application Programming Interface AUC 认证中心 AUthentication Center BIOS 基本输入输出系统 Basic Input Output System DC 数据中心 Data Center DDoS 分布式拒绝服务 Distributed Denial of Service DMA 直接内存访问 Direct Memory Access DoS 拒绝服务 Denial of Service DRTM 用于测量的动态可信根 Dynamic Root of Trust for Measurement FTP 文件传送协议 Fi