T_CIITA 115-2021 PKS体系 可信网络架构要求.docx

ICS 35.110CCS L78团 体 标 准T/CIITA 115—2021PKS 体系 可信网络架构要求PKS system—Requirements of trusted network2021-12-20 发布 2022-02-01 实施中 国 信 息 产 业 商 会发布T/CIITA 115-2021目 次前言 ...............................................................................  III1 范围 ...............................................................................  12 规范性引用文件 .....................................................................  13 术语和定义 .........................................................................  14 缩略语 .............................................................................  35 可信网络的组成 .....................................................................  36 产品硬件和分档要求 .................................................................  46.1 可信交换机硬件和分档要求 .......................................................  46.2 可信路由器硬件和分档要求 .......................................................  56.3 可信网络控制器硬件要求 .........................................................  67 产品功能要求 .......................................................................  77.1 可信交换机基本功能和可信安全功能要求 ...........................................  77.2 可信路由器技术和功能要求 .......................................................  77.3 可信网络控制器功能要求 .........................................................  8附 录 A （资料性） 可信数据中心网络部署场景 ..........................................  9附 录 B （资料性） 可信园区网络部署场景 .............................................  10附 录 C （资料性） 可信广域网络部署场景 .............................................  11IT/CIITA 115-2021前 言本文件按照 GB/T 1.1-2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定起草。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任本文件由中国信息产业商会团体标准委员会提出并归口本文件起草单位：迈普通信技术股份有限公司、中国长城科技集团股份有限公司、中电智能科技有限公司、中电（海南）联合创新研究院有限公司、中国电子信息产业集团有限公司本文件主要起草人：林茂、罗向征、郭久明、唐仁圣、尹永杰、赵向军、成联国、席文帅、胡祥新、程永灵、袁泉IIIT/CIITA 115-2021PKS 体系 可信网络架构要求1 范围本文件提出了PKS体系的可信网络架构的组成、规定了产品硬件要求和功能要求本文件适用于在PKS体系下构建和运行的可信网络通信系统2 规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件T/CIITA 100-2021 PKS 体系 术语T/CIITA 104-2021 PKS 体系 以太网交换芯片参考板3 术语和定义T/CIITA 100-2021界定的以及下列术语和定义适用于本文件3.1PK 体系 Phytium/Kylin systemPK system以飞腾（Phytium）中央处理器（CPU）和麒麟（Kylin）操作系统（OS）为基础的产品、技术、管理、服务、生态、方案和应用的集成系统。

[来源：T/CIITA 100-2021，3.1.1]3.2PKS 架构 Phytium/Kylin/security architecturePKS architecture基于飞腾（Phytium）中央处理器（CPU）和麒麟（Kylin）操作系统（OS），具有双体系防护结构，具备内生内置安全能力的自主安全体系架构[来源：T/CIITA 100-2021，3.1.2]3.3PKS 体系 Phytium/Kylin/security systemPKS system基于PKS架构（3.2）的PK体系（3.1）[来源：T/CIITA 100-2021，3.1.3]3.4中央处理器 central processing unit由运算器、控制器、寄存器和实现它们之间联系的各类总线，以及包含在同一产品内的其他功能模块组成的集成电路1T/CIITA 115-2021[来源：GB/T 36630.2-2018，3.1.1]3.5操作系统 operating systemOS用于管理硬件资源、控制程序运行、提供人机界面，并为应用软件提供支持的一种系统软件产品[来源：GB/T 36630.3-2018，3.1，有修改：添加“操作系统”的缩略语“OS”，删除注]3.6SM3 算法 SM3 algorithm由GB/T 32905定义的一种密码杂凑算法。

[GB/T 25056-2018，3.15，有修改：术语中英文名称“SM3密码杂凑算法  SM3 cryptographic hashalgorithm”改为“SM3算法 SM3 algorithm”等]3.7可信网络 trusted network由可信网络设备组成的网络[来源：T/CIITA 100-2021，3.4.30]3.8可信网络设备 trusted network device采用可信安全技术的交换机、路由器和软件定义网络（SDN）控制器等网络设备[来源：T/CIITA 100-2021，3.4.31]3.9软件定义网络 software defined networkingSDN一组能够直接编程、编排、控制和管理网络资源的技术，以动态和可扩展的方式促进网络服务的设计、交付和操作[来源：ITU-T Y.3300，3.2.1]3.10SDN 控制器 SDN controller以网络控制器服务器和SDN软件定义管理软件组成的网络管理系统3.11叶脊拓扑结构 leaf spine topology叶脊拓扑结构由 Leaf（叶）层交换机和 Spine(脊)层交换机组成 Spine 层交换机采用数据中心核心交换机负责连接 Leaf 交换机。

Leaf 层交换机采用数据中心接入交换机为服务器提供网络连接Leaf交换机又分为 Server Leaf 负责连接服务器和 Border Leaf 负责连接上级网络2T/CIITA 115-20214 缩略语下列缩略语适用于本文件AAA 验证、授权、记账（authentication、authorization、accounting）ACL 访问控制列表（access control lists）ARP 地址解析协议（address resolution protocol）BGP 边界网关协议（border gateway protocol）CBWFQ 基于类别的加权公平队列（class-based weighted fair queuing）CPU 中央处理器（central processing unit）EVPN 以太虚拟专用网络（ethernet virtual private network）GRE 通用路由封装（generic routing encapsulation）HDLC 高级数据链路控制（high-level data link control）H-QoS 分层服务质量（hierachical quality of service）IPSec 互联网安全协议（internet protocol security）IPv4 互联网协议第4版（internet protocol version 4）IPv6 互联网协议第6版（internet protocol version 6）L2TP 第二层隧道协议（layer 2 tunneling protocol）LLQ 低延迟排队（low latency queueing）MAC 媒体存取控制（media access control）MD5 消息摘要算法5（message-digest algorithm 5）MPLS 多协议标签交换（multi-protocol label switching）NAT 网络地址转换（network address translation）OS 操作系统（operation system）OSPF 开放式最短路径优先（open shortest path first）PK 飞腾中央处理器和麒麟操作系统（Phytium CPU and Kylin OS）PPP 。