ICS 35.100.30 CCS L79 YD 中 华 人 民 共 和 国 通 信 行 业 标 准 YD/T XXXXX—XXXX 基于SRv6的安全能力调度技术要求 Technical requirements for SRv6-based security capability scheduling XXXX - XX - XX发布 XXXX - XX - XX实施 中华人民共和国工业和信息化部 发布 YD/T XXXXX—XXXX I目次 前 言 ........................................................................ II 1 范围 .............................................................................. 3 2 规范性引用文件 .................................................................... 3 3 术语和定义 ........................................................................ 3 4 缩略语 ............................................................................ 4 5 总体技术框架 ...................................................................... 4 6 运营层服务与能力 .................................................................. 5 6.1 服务订购 ...................................................................... 5 6.2 网络服务订购 .................................................................. 5 6.3 安全服务订购 .................................................................. 5 7 编排调度层技术要求 ................................................................ 5 7.1 总体业务流程 .................................................................. 5 7.2 云网安业务编排调度器 .......................................................... 6 7.3 网络控制器 .................................................................... 6 7.4 安全控制器 .................................................................... 6 7.5 报文封装 ...................................................................... 7 8 基础设施层技术要求 ................................................................ 7 8.1 网络基础设施 .................................................................. 7 8.2 安全基础设施 .................................................................. 7 参 考 文 献 ...................................................................... 8 YD/T XXXXX—XXXX II 前言 本文件按照 GB/T 1.1—2020《标准化工作导则 第1部分：标准化文件的结构和起草 规则》的规定起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由中国通信标准化协会提出并归口。 本文件起草单位 ：中国电信集团有限公司、华为技术有限公司、杭州安恒信息技术股 份有限公司 、新华三技术有限公司 、中兴通讯股份有限公司 、东软集团股份有限公司 、北 京神州绿盟科技有限公司 、中国移动通信集团有限公司 、东方通信股份有限公司 、北京启 明星辰信息安全技术有限公司、恒安嘉新（北京）科技股份公司。 本文件主要起草人：白冰、邵涛、穆俊龙、王嫘、李志民、马彧嵩、赵毅、田辉辉、 尹作鹏、张亚伟、刘持奇、林明峰、李剑锋、田丽丹、万晓兰、彭雪娜、霍玉臻、吴小文、 程潞样。 YD/T XXXXX—XXXX 3 基于SRv6的安全能力调度技术要求 1　范围 本文件规定了基于 SRv6的安全能力调度总体架构、编排调度层技术要求、网络基础设施技术要求、 安全基础设施技术要求。 本文件适用于指导基于 SRv6网络设备 、云化安全资源池对应一体化产品及服务的研发 、测试、部署 和运营。 2　规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款 。其中，注日期的引用文件 ， 仅该日期对应的版本适用于本文件 ；不注日期的引用文件，其最新版本（包括所有的修改单） 适用于本 文件。 GB/T 20281-2020 信息安全技术 防火墙安全技术要求和测试评价办法 GB/T 22239-2019 　信息安全技术 网络安全等级保护基本要求 YD/T 1452-2014 IPv6网络设备技术要求 边缘路由器 YD/T 1454-2014 IPv6网络设备技术要求 核心路由器 IETF RFC 8754 IPv6段路由头 IETF RFC 8986 SRv6网络编程 3　术语和定义 下列术语和定义适用于本文件。 3.1 SRv6流量工程策略 srv6 traffic engineering policy 利用分段路由技术的源路由机制 ，通过在头端设备封装一个有序的指令列表 （路径信息 ）来指导报 文穿越网络，用于实现流量工程，提升网络质量，满足业务的端到端需求。 3.2 用户标识符 user identifier 由云网安业务编排调度器分配 给订购服务的用户 的唯一标识，应采用 USER-Group-ID 字段携带。 注：用户标识符在网络业务链头端设备中被封装，安全基础设施解析此标识，匹配 用户安全服务映 射表进入对应的安全业务链。 3.3 应用标识符 application identifier 由网络控制器分配 给特定应用发送的流量的唯一标识 ，应采用 APP-Group-ID 字段携带 。 注：携带应用标识符的 SRv6报文，在网络业务链的头端设备被解析，匹配对应的网络业务链，实现 引流到安全资源池。 3.4 云网安业务 cloud network security service 服务提供商面向用户提供的具备业务随需部署 、敏捷开通 、路径可编程 、资源弹性自适应的网络和 基于云化安全能力一体化服务。 3.5 安全资源池网关 security resource pool gateway 外部承载网络与安全资源池内部云化安全组件连接的实体 。与承载网络设备相连 ，部署在安全资源 池的入口 ，参与网络层 SRv6业务链编排调度 ，通过解析用户和应用信息 ，匹配上层控制器下发的安全服 务映射表进行安全资源调度，并将流量转发至对应的资源处理。 YD/T XXXXX—XXXX 44　缩略语 下列缩略语适用于本文件。 APN6 基于IPv6的应用感知网络 Application-aware IPv6 Networking APN-ID 应用标识符 Application Identifier CE 用户网络边缘设备 Customer Edge DOH 目的选项扩展头 Destination Options Header FW 防火墙 Fire Wall IPS 入侵防御系统 Intrusion Prevention System IPv6 互联网协议第 6版 Internet Protocol Version 6 PE