YD T 3818-2021 公众无线局域网接入方式下源地址验证技术要求.pdf

《YD T 3818-2021 公众无线局域网接入方式下源地址验证技术要求.pdf》由会员分享，可在线阅读，更多相关《YD T 3818-2021 公众无线局域网接入方式下源地址验证技术要求.pdf（13页珍藏版）》请在麦多课文档分享上搜索。

1、 ICS 33.040.40 M32 中 华 人 民 共 和 国 通 信 行 业 标 准 YD YD/T 公众无线局域网接入方式下源地址验证技 术要求 Technical requirements of ethernet source address validation improvement for wlan （报批稿） -发布 - 实施中 华 人 民 共 和 国 工 业 和 信 息 化 部 发布 YD/T i 目 次 前 言 .II 1 范围 .1 2 规范性引用文件 .1 3 术语、定义和缩略语 .1 3.1 术语和定义 .1 3.2 缩略语 .2 4 概述 .3 5 IP-MAC 绑

2、定 .3 5.1 数据结构 .3 5.1.1 IP-MAC 映射表 .3 5.1.2 MAC-IP 映射表 .4 5.2 绑定的先决条件 .4 5.3 绑定建立： 将 IP 地址绑定到 MAC 地址 .4 5.4 绑定迁移 .5 5.5 绑定清除 .5 6 源地址验证 .6 7 部署场景 .6 7.1 集中式 WLAN 场景 .6 7.1.1 AP 过滤模式 .6 7.1.2 AC 过滤模式 .9 7.2 自治式 WLAN 场景 .9 8 安全注意事项 .10 YD/T ii 前 言 本标准是以太网接入方式下源地址验证技术要求系列标准之一，本系列标准的名称和结构 预计如下： IP 源地址验证技

3、术要求框架 以太网接入方式下源地址验证技术要求 框架 以太网接入方式下源地址验证技术要求 DHCPv4 场景 以太网接入方式下源地址验证技术要求 DHCPv6 场景 以太网接入方式下源地址验证技术要求 SLAAC 场景 以太网接入方式下源地址验证技术要求 多种地址分配方式共存场景 公众无线局域网接入方式下源地址验证技术要求 以太网接入方式下源地址验证技术要求 管理信息库 本标准 按照 GB/T 1.1-2009 给出的规则起草。 本标准由中国通信标准化协提出并归口。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准起草单位：清华大学。 本标准主要起草人：毕

4、军、吴建平、王优、胡虹雨等。 YD/T 1 公众无线局域网接入方式下源地址验证技术要求 1 范围 本标准规定 了在 WLAN 中对数据包进行 IP 源地址验证的机制， 包括 3 种部署场景： 集中式 AP 过滤 模式、 集中式 AC 过滤模式、 自治式 WLAN 模式。 本标准适用于公众无线局域网接入方式下源地址验证。 2 规范性引用 文件 下列文件对于本文件的应用是必不可少的 。 凡是注日期的引用文件 ， 仅所注日期的版本适用于本文 件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 IETF EUI-48 48 比特全球标识符指 导 Guidelines For 48

5、-bit Global Identifier （ EUI-48） IETF EUI-64 64 比特全球标识符指 导 Guidelines For 64-bit Global Identifier （ EUI-64） IETF RFC3315 IPv6动态主机配置协议 Dynamic Host Configuration Protocol for IPv6 （ DHCPv6） IETF RFC4862 IPv6无状态地址自动分 配协议 IPv6 Stateless Address Autoconfiguration， SLAAC IETF RFC5415 无线接入点控制和配置 协议规范 Con

6、trol And Provisioning of Wireless Access Points （ CAPWAP） Protocol Specification IETF RFC6620 本地 IPv6 地址的先到 先服务源地址验证改进 方法 FCFS SAVI: First-Come, First-Served Source Address Validation Improvement for Locally Assigned IPv6 Addresses IETF RFC7513 源地址验证改进方法 -DHCP Source Address Validation Improvement （

7、 SAVI ） Solution for DHCP YD/T 2 3 术语 、 定义和缩略语 3.1 术语和定义 下列术语和定义适用于本文件。 3.1.1 源地址验证 Source address validation 在 IP报文路由寻址过程中，对其携带的源地址的有效性进行验证。 3.1.2 接入网源地址验证 /源地址验证增强 Source address validation improvement 在主机所在接入网执行的源地址验证技术 ， 将不允许主机假冒任意非合法分配或配置的地址 。 是源 地址验证的第一步关卡，因此谓之源地址验证增强。 3.1.3 绑定表 Bindings 监听地址分

8、配过程，形成的合法 IP地址与对应绑定锚的组合信息。 3.1.4 绑定锚 Binding anchor 绑定锚是主机的网络连接部件的链路层属性 ， 是不容易被假冒的属性 ， 可以是多个属性的组合 ， 如主机 MAC 地址 +交换机端口 。 3.2 缩略语 下列缩略语适用于本标准。 AP Access Point 无线访问节点 DAD Duplicate Address Detection 重复地址检测 DHCP Dynamic Host Configuration Protocol 动态主机配置协议 FCFS First-Come, First-Served 先到先服务 YD/T 3 SAVI

9、 Source Address Validation Improvement 源地址验证增强 SLAAC Stateless Address Autoconfiguration 无状态地址自动分配 WAPI Wireless LAN Authentication and Privacy Infrastructure 无线局域网鉴别和保密基础结 构 WLAN Wireless Local Area Networks 无线局域网 4 概述 本标准规定了在 WLAN中对每个数据包进行 IP源地址验证的机制 。 该机制执行 ND监听或 DHCP监听 ， 以 将分配的 IP地址与经过授权的 MAC地址进

10、行绑定 。 静态 IP地址将通过手动方式与对应主机的 MAC地址进行 绑定 。 根据绑定关系 ， 该机制可以检查本地数据包中源 IP地址的有效性 。 MAC地址的安全性由 802.11i或 其他机制来保证，因此绑定关系也是安全的。 一个接口具有多个 MAC地址是一种特例。这种情况需要 MAC-IP绑定表进行特殊处理。本标准对处理 这种情况的机制进行了定义。 本标准描述了三种部署场景 。 该机制在不同场景中被部署在不同设备上 。 本标准就部署细节进行了 具体描述。 当主机从一个访问接入点移动到另一个访问接入点时 ， 可能会根据特定的迁移场景触发绑定条目的 迁移。本标准定义了不同部署场景下主机迁移

11、的处理机制。 5 IP-MAC 绑定 本章定义了创建和删除 IP 地址和 MAC 地址绑定的相关操作。 5.1 数据结构 5.1.1 IP-MAC 映射表 该表将 IP 地址映射到相应的 MAC 地址。 IP 地址是该表的索引。 一个 IP 地址只能有一个对应 的 MAC 地址， 而不同的 IP 地址可以映射到相同的 MAC 地址。 YD/T 4 此表用于控制过程 （而非数据传输过程） 。 在创建新的 IP-MAC 绑定时 ， 如果绑定条目发生冲 突 ， 必须首先查询该表 。 另外 ， 在做任何包过滤之前 ， 也必须查询该表 。 此表 必须与第 5.1.2 节中 指定的 MAC-IP 表同步。

12、 在 IP-MAC 映射表中的每个条目还必须记录 IP 地址的绑定状态。 在 DHCP 地址分配过程中监 听的地址必须将其状态标记为“ DHCPv6”，而在重复地址检测过程中监听到的地址，必须将其状 态记录为“ SLAAC”。 IP-MAC 映射表中的每个条目都有其生命周期 。 根据 RFC3315， DHCP 分配的地址具有有限的 生命周期 ， 因此标记相关条目的生命周期与地址的相同 。 根据 RFC4862， 无状态地址也有一个有 限的生命周期，由主机自己设置该生命周期。因此，标记相关条目的生命周期与地址的相同。 5.1.2 MAC-IP 映射表 该表将 MAC 地址映射到相应的 IP 地

13、址 。 MAC 地址是该表的索引 。 它是一个一对多的映射表 ， 这意味着 MAC 地址可以映射到多个 IP 地址。 虽然多个 MAC 地址可能存在于一个接口上， 但这些 MAC 地址必须映射到不同的 IP 地址上。 该表用于过滤。不同于有线网络， MAC-IP 映射表和 IP-MAC 映射表可以分别在不同的设备上 进行维护。两表之间的同步机制必须服务于绑定的一致性。 将在第 7 章中，针对不同的部署场描 述该表的细节。 5.2 绑定的先决条件 在基于绑定的机制中， IP 地址的安全性基于所绑定的锚的安全性。 在 WLAN 中，链路层上的 一些安全机制使 MAC 地址成为足够强的绑定锚，例如，

14、 802.11i， WAPI， WEP 等。 如果 MAC 地址没有被保护 ， 攻击者可以假冒 MAC 地址来通过验证 。 然而 ， 一般情况下 ， 如果 MAC 地址不受保护， 就可以启动比 IP 假冒攻击更严重的攻击。 5.3 绑定建立： 将 IP 地址绑定到 MAC 地址 所有静态的 IP-MAC 地址对儿，在机制被允许的情况下， 通过手工方式配置到 IP-MAC 映射表 中。 YD/T 5 处理 DHCP 地址到 MAC 地址的绑定，是一个独立的过程。 该过程监听接入主机和 DHCP 服务 器之间的 DHCP 地址分配过程 。 在 WLAN 中 ， DHCP 监听与 RFC7513中描

15、述的有线网络中的监听 相同。 处理无状态地址到 MAC 地址的绑定，也是一个独立的过程。该过程监听重复地址检测过程。 WLAN 中的 ND 监听与在 RFC6620中描述的有线网络中的监听相同。 数据包也可能触发创建新的 IP-MAC 绑定条目。 对未绑定源 IP 地址的数据包以限定速度进行 采样 ， 来处理在 SLAAC 过程中 DAD 消息的丢失 ， 这在无线网络中可能会经常发生 。 过程的细节将 在第 6 章中定义 。 然而 ， 这一机制将带来潜在的安全风险 （ 例如目标为耗尽可用 IP 地址的攻击） 。 因此 ， 是否启用该机制是可选的 ， 如果启用了该机制 ， 还必须使用额外的安全机

16、制来应对风险 。 有 关的安全考虑将在第 8 章中讨论。 在一些部署场景中 ， 地址监听功能和 IP-MAC 表维护的功能也可以被分离到不同的设备上 。 因 此 ， 为了防止绑定条目中的冲突 ， 监听地址的设备必须与维护 IP-MAC 表的设备进行交互 。 将在第 7.1.1 节中定义具体细节。 5.4 绑定迁移 不同于有线网络，当移动主机从一个访问接入点移动到另一个访问接入点时， WLAN 的 SAVI 必须处理绑定条目的迁移 。 由于主机在移动之后 ， 不会执行新的地址分配过程来获得新的 IP 地址 ， 而是继续使用现有的 IP 地址。因此，移动主机接入的漫游地设备，其绑定表项不能通过监听

17、来建 立。需要一种新的机制， 来正确地将与移动主机的 IP 地址有关的绑定表项，从家乡设备迁移到漫 游地设备。 将在第 7 章中根据不同的部署场景描述绑定迁移的具体细节。 5.5 绑定清除 三种事件将触发绑定清除： a） 一个条目的 IP 地址的生命周期已经过期。 该 IP 条目必须清除。 b） 主机离开该访问接入点。 所有相关 MAC 地址的条目必须清除。 c） 收到来自 IP 地址的所有者的 DHCP Release 消息。 该 IP 条目必须清除。 YD/T 6 6 源地址验证 本章描述数据包的源地址验证过程 。 在本过程中 ， 假定所有帧都已通过了 802.11i 或其他安全 机制的验

18、证。 本过程包含以下步骤： 步骤 1： 从数据包中提取 IP 源和 MAC 源 。 在 MAC-IP 映射表中查找 MAC 地址 ， 并检查是否存 在 MAC-IP 对。如果是，则转发数据包。 否则进入第 2 步。 步骤 2： 在 IP-MAC 映射表中查找 IP 地址， 检查 IP 地址是否存在。如果不存在， 则转到第 3 步 。 如果存在 ， 则检查条目中的 MAC 地址是否与数据包中的 MAC 地址相同 。 如果是 ， 则转发该数 据包。否则丢弃该数据包。 步骤 3： 如果允许数据包触发建立新的 IP-MAC 绑定条目的机制被启用，则插入一个新的条目 到 IP-MAC 映射表中并转发该数

19、据包。否则丢弃该数据包。 在步骤 2 中，当数据包被判定有效并被转发后， 应该触发 MAC-IP 和 IP-MAC 映射表之间的同 步。 数据包的 MAC-IP 绑定应该从 IP-MAC 映射表同步到 MAC-IP 映射表中，因此， 后续携带相同 MAC-IP 对的数据包， 将被直接转发而不用执行步骤 2。 同样在步骤 3 中， 如果建立了一个新的 IP-MAC 绑定条目， 则应该同步到 MAC-IP 映射表中。 7 部署场景 本章定义了三种部署场景， 包括两个集中式 WLAN 和一个自治式 WLAN。同时，对每个场景 下主机迁移（在访问接入点间）的部署细节和解决方案进行了分别描述。 7.1

20、集中式 WLAN 场景 集中的 WLAN 由瘦 AP 和访问控制器（ AC）组成。在该场景中，本标准提出了以下两种部署 解决方案。 7.1.1 AP 过滤模式 在该场景中， AC 维护 IP-MAC 映射表， 而 AP 则维护 MAC-IP 映射表并执行地址监听。 7.1.1.1 候选绑定 YD/T 7 AP 执行第 5.3 节中定义的过程 。 在监听过程后生成候选绑定 。 候选绑定必须经 AC 确认才有效 。 7.1.1.2 报文过滤 如第 6 章中所定义 ， 对于传入的数据包 ， AP 在本地 MAC-IP 映射表中查找 MAC 地址 ， 并检查 是否存在 MAC-IP 表项 。 如果是

21、， 则 AP 转发数据包 。 否则 ， AP 将数据包发送到 AC 进行进一步处 理。 当 AC 从 AP 接收到数据包时， AC 在本地 IP-MAC 映射表中查找 IP 地址， 并检查 IP 地址是否 存在。如果不存在， 则根据 AC 的配置是否允许数据包触发绑定条目的创建， AC 创建一个新的 IP-MAC 条目然后转发数据包 ， 否则丢弃该数据包 。 如果 IP 地址已存在 ， 则 AC 将检查条目中的 MAC 地址与数据包中的 MAC 地址是否相同。如果相同， 则 AC 转发数据包， 否则 AC 丢弃该数据包。 在 AC 转发一个有效的数据包之后 ， 它将相关的 MAC-IP 绑定与

22、接收数据包的 AP 上的 MAC-IP 映射表进行同步。 后续携带相同 MAC-IP 对的数据包将会被 AP 直接转发， 而不用发送给 AC。 7.1.1.3 CAPWAP 扩展 CAPWAP 协议用于 AP 和 AC 之间的通信。本标准设计了一种扩展了 RFC5415的新的 CAPWAP 协议消息元素 -主机 IP 消息元素 ， 如图 1 所示 。 AP 和 AC 都使用主机 IP 消息元素来交换 主机的绑定信息。 主机 IP 消息元素被用于确认候选绑定的过程中。 当 AP 生成一个候选绑定时，它会使用此消 息向 AC 报告 MAC 地址和相关 IP 地址 ， 并给出每个 IP 地址的状态和

23、生命周期 （ 根据第 5.1.1 节中 定义的 ） 的建议 。 在 AC 对候选绑定进行验证之后 ， 它会使用一个相同格式的消息来回复 AP 每个 IP 地址的验证情况，以及建议的状态和生命周期。 主机 IP 消息元素也被用于绑定迁移的过程中。在移动场景中，移动主机接入的目的地设备需 要向家乡设备请求相关绑定， 而主机 IP 消息元素可以用于它们之间的交互。详细信息，根据不同 的部署场景，将在后面章节中定义。 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+

24、-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Radio ID | Total Length + YD/T 8 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Sender ID | Length | Description + +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | MAC flag | Length | MAC Address. + +-+-+-+-+-+-+-

25、+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | MAC Address. + +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | IPv4 flag | Length | IPv4 Address. + +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | IPv4 Address. + +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-

26、+-+-+-+-+-+-+-+-+-+-+-+ | IPv6 flag | Length | IPv6 Address. + +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | IPv6 地址 . + +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ 图 1 扩展的 CAPWAP 协议消息元素 -主机 IP 消息元素 无线信号 ID（ Radio ID）： 一个 8 位的值，表示无线信号， 其值在 1 到 31 之间。 总长度（

27、Total Length） ：以下字段的总长度。 发送者 ID（ Sender ID） ： 一个 8 位的值，表示消息的发送方。 AP 用值 1 表示， AC 用值 2 表示。 长度（ Length）： Value 字段的长度。 描述（ Description）：描述发送者的字段， 长度 16-bit。 MAC 标志（ MAC flag）： 表示 MAC 地址子域的类型， 长度 8-bit。 MAC 地址的长度（ Length）： MAC 地址的长度，支持 EUI-48和 EUI-64中指定的格式和长度。 MAC 地址（ MAC Address）： 主机的 MAC 地址。 IPv6 标志（ I

28、Pv4 flag）： 表示 IP 地址子域的类型， 长度 8-bit， 值为 2。 长度（ Length）： IPv4 地址字段的长度。 IPv4 地址（ IPv4 Address） ： 主机的 IPv4 地址。 可能存在许多条目， 每个条目由一个 IPv4 地址 、 一个 8 位的地址状态值（ 现在只使用值 1） 、 以及一个 32 位的生命值组成。 IPv6 标志（ IPv6 flag）： 表示 IPv6 地址子域的类型， 长度 8-bit， 其值为 3。 YD/T 9 长度（ Length）： IPv6 地址字段的长度。 IPv6 地址（ IPv6 Address） ： 主机的 IPv6

29、 地址。 可能存在许多条目， 每个条目由一个 IPv6 地址 、 一个 8 位的地址状态值（现在仅使用了一个值 ） 、 以及一个 32 位的生命值组成。 7.1.1.4 移动解决方案 当一个主机从一个 AP 移动到另一个 AP 时， 在 IP 数据包传输之前 需要完成 2 层（链路层）关联。 当移动主机断开连接时 ， 家乡 AP 会删除相关绑定 ， 而 目的地 AP 将立即通过 主机 IP 消息元素 （ 7.1.1.3 节中定义 ） ， 向 AC 请求 与 MAC 地址相关的绑定地址 。 AC 同样通过 新的 CAPWAP 协议消息返回绑定表 ， 并 给出其状态和生命周期的建议。 在 AP 获

30、得地址后并进行绑定后，绑定迁移完成。 在 WLAN 中 ， 主机可以从 AC 移动到另一个 AC， 同时保持使用相同的 IP 地址 。 为与该场景兼容 ， AC 间必须进行绑定迁移的交互通讯。在 第 7.1.1.3 节中定义 的 CAPWAP 扩展也可用于 AC 之间的通信。 7.1.2 AC 过滤模式 在此场景中， AC 维护 MAC-IP 和 IP-MAC 映射表，并执行地址监听和报文过滤。所以所有的报 文 必须先转发给 AC。 AC 执行第 5.3 节中定义的过程，通过查询 本地 IP-MAC 映射表检查 IP-MAC 对儿的有效性。不 需要其他 额外的过程来建立 IP-MAC 绑定。

31、AC 执行 第 6 章中定义的过程来进行分组过滤，不涉及其他额外的过程。 主机 在一个 AC 内的移动，不会触发任何绑定迁移。 在不同 AC 间的迁移会触发绑定迁移。 AC 必须进行通信以进行绑定迁移。在 第 7.1.1.3 节中定义 的 CAPWAP 扩展可用于 AC 间的通信。 7.2 自治式 WLAN 场景 自治式 WLAN 仅由 胖 AP 组成。在这个场景中， 胖 AP 维护 MAC-IP 和 IP-MAC 映射表，并执行地 址监听和报文过滤。 胖 AP 执行第 5.3 节中定义的过程， 通过查阅本地 IP-MAC 映射表检查 IP-MAC 对儿的有效性。 不需要其他 额外的过程来建立

32、 IP-MAC 绑定。 胖 AP 执行 第 6 章中定义的过程过滤数据包，不涉及额外的过程。 YD/T 10 主机在不同 胖 AP 之间移动，将触发绑定迁移。 胖 AP 之间必须就绑定迁移进行通信。在 第 7.1.1.3 节中定义 的 CAPWAP 扩展可用于 胖 AP 之间的通信。 8 安全注意事项 地址分配方法的安全性关系到本机制的安全性 。 因此 ， 首先需要提高无状态自动地址分配方法 和 DHCP 的安全性。 在第 5.3 节中 ， 描述了一种机制 ， 允许数据包触发建立新的绑定项 。 如果启用了该机制 ， 该机 制可被利用发起攻击， 最终可能导致可用 IP 地址耗尽。如果不采取任何限制，攻击者可以使用相 同的 MAC 地址产生尽可能多的 IP-MAC 绑定 。 这样 ， 其他主机可能无法触发任何绑定条目的配置 ， 进而让数据包无法通过 SAVI 设备 。 为了应对潜在的安全风险 ， 必须引入新的机制 ， 例如限制同一 MAC 地址可以关联的 IP 地址的最大数量。