ICS35.110CCSL78团体标准T/CIITA1152021PKS体系可信网络架构要求PKSsystemRequirementsoftrustednetwork2021-12-20发布2022-02-01实施中国信息产业商会发布T/CIITA115-2021目次前言.III1范围.12规范性引用文件.13术语和定义.14缩略语.35可信网络的组成.36产品硬件和分档要求.46.1可信交换机硬件和分档要求.46.2可信路由器硬件和分档要求.56.3可信网络控制器硬件要求.67产品功能要求.77.1可信交换机基本功能和可信安全功能要求.77.2可信路由器技术和功能要求.77.3可信网络控制器功能要求.8附录A（资料性）可信数据中心网络部署场景.9附录B（资料性）可信园区网络部署场景.10附录C（资料性）可信广域网络部署场景.11IT/CIITA115-2021前言本文件按照GB/T1.1-2020标准化工作导则第1部分：标准化文件的结构和起草规则的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由中国信息产业商会团体标准委员会提出并归口。本文件起草单位：迈普通信技术股份有限公司、中国长城科技集团股份有限公司、中电智能科技有限公司、中电（海南）联合创新研究院有限公司、中国电子信息产业集团有限公司。本文件主要起草人：林茂、罗向征、郭久明、唐仁圣、尹永杰、赵向军、成联国、席文帅、胡祥新、程永灵、袁泉。IIIT/CIITA115-2021PKS体系可信网络架构要求1范围本文件提出了PKS体系的可信网络架构的组成、规定了产品硬件要求和功能要求。本文件适用于在PKS体系下构建和运行的可信网络通信系统。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。T/CIITA100-2021PKS体系术语T/CIITA104-2021PKS体系以太网交换芯片参考板3术语和定义T/CIITA100-2021界定的以及下列术语和定义适用于本文件。3.1PK体系Phytium/KylinsystemPKsystem以飞腾（Phytium）中央处理器（CPU）和麒麟（Kylin）操作系统（OS）为基础的产品、技术、管理、服务、生态、方案和应用的集成系统。来源：T/CIITA100-2021，3.1.13.2PKS架构Phytium/Kylin/securityarchitecturePKSarchitecture基于飞腾（Phytium）中央处理器（CPU）和麒麟（Kylin）操作系统（OS），具有双体系防护结构，具备内生内置安全能力的自主安全体系架构。来源：T/CIITA100-2021，3.1.23.3PKS体系Phytium/Kylin/securitysystemPKSsystem基于PKS架构（3.2）的PK体系（3.1）。来源：T/CIITA100-2021，3.1.33.4中央处理器centralprocessingunit由运算器、控制器、寄存器和实现它们之间联系的各类总线，以及包含在同一产品内的其他功能模块组成的集成电路。1T/CIITA115-2021来源：GB/T36630.2-2018，3.1.1。3.5操作系统operatingsystemOS用于管理硬件资源、控制程序运行、提供人机界面，并为应用软件提供支持的一种系统软件产品。来源：GB/T36630.3-2018，3.1，有修改：添加“操作系统”的缩略语“OS”，删除注3.6SM3算法SM3algorithm由GB/T32905定义的一种密码杂凑算法。GB/T25056-2018，3.15，有修改：术语中英文名称“SM3密码杂凑算法SM3cryptographichashalgorithm”改为“SM3算法SM3algorithm”等3.7可信网络trustednetwork由可信网络设备组成的网络。来源：T/CIITA100-2021，3.4.303.8可信网络设备trustednetworkdevice采用可信安全技术的交换机、路由器和软件定义网络（SDN）控制器等网络设备。来源：T/CIITA100-2021，3.4.313.9软件定义网络softwaredefinednetworkingSDN一组能够直接编程、编排、控制和管理网络资源的技术，以动态和可扩展的方式促进网络服务的设计、交付和操作。来源：ITU-TY.3300，3.2.13.10SDN控制器SDNcontroller以网络控制器服务器和SDN软件定义管理软件组成的网络管理系统。3.11叶脊拓扑结构leafspinetopology叶脊拓扑结构由Leaf（叶）层交换机和Spine(脊)层交换机组成。Spine层交换机采用数据中心核心交换机负责连接Leaf交换机。Leaf层交换机采用数据中心接入交换机为服务器提供网络连接。Leaf交换机又分为ServerLeaf负责连接服务器和BorderLeaf负责连接上级网络。2T/CIITA115-20214缩略语下列缩略语适用于本文件。AAA验证、授权、记账（authentication、authorization、accounting）ACL访问控制列表（accesscontrollists）ARP地址解析协议（addressresolutionprotocol）BGP边界网关协议（bordergatewayprotocol）CBWFQ基于类别的加权公平队列（class-basedweightedfairqueuing）CPU中央处理器（centralprocessingunit）EVPN以太虚拟专用网络（ethernetvirtualprivatenetwork）GRE通用路由封装（genericroutingencapsulation）HDLC高级数据链路控制（high-leveldatalinkcontrol）H-QoS分层服务质量（hierachicalqualityofservice）IPSec互联网安全协议（internetprotocolsecurity）IPv4互联网协议第4版（internetprotocolversion4）IPv6互联网协议第6版（internetprotocolversion6）L2TP第二层隧道协议（layer2tunnelingprotocol）LLQ低延迟排队（lowlatencyqueueing）MAC媒体存取控制（mediaaccesscontrol）MD5消息摘要算法5（message-digestalgorithm5）MPLS多协议标签交换（multi-protocollabelswitching）NAT网络地址转换（networkaddresstranslation）OS操作系统（operationsystem）OSPF开放式最短路径优先（openshortestpathfirst）PK飞腾中央处理器和麒麟操作系统（PhytiumCPUandKylinOS）PPP