YD T 3999-2021 以太网接入方式下源地址验证技术要求 框架.pdf
《YD T 3999-2021 以太网接入方式下源地址验证技术要求 框架.pdf》由会员分享,可在线阅读,更多相关《YD T 3999-2021 以太网接入方式下源地址验证技术要求 框架.pdf(15页珍藏版)》请在麦多课文档分享上搜索。
1、 ICS 33.040.40 M32 中 华 人 民 共 和 国 通 信 行 业 标 准 YD YD/T 以太网接入方式下源地址验证技术要求 框架 Technical requirement framework for ethernet source address validation improvement (报批稿 ) -发布 - 实施 中华人民共和国工业和信息化部 发布 YD/T i 目 次 前 言 . II 1 范围 . 1 2 规范性引用文件 . 1 3 术语、定义和缩略语 . 2 3.1 术语和定义 . 2 3.2 缩略语 . 3 4 概述 . 43 5 SAVI 模型 . 54
2、 6 部署选项 . 6 6.1 IP 地址分配方法 . 6 6.2 绑定锚 . 76 7 可扩展性优化 . 87 8 可靠性优化 . 109 9 多地址分配方式场景 . 10 10 前缀配置 . 1110 11 安全性考虑 . 11 参考文献 . 1211 YD/T ii 前 言 本标准是 以太网 接入方 式 下源地址 验证技 术要求 系 列标准之 一,本 系列标 准 的名称和 结构预 计 如下: -IP 源地 址验证 技 术要求框 架 -以 太网接 入方式 下源地址 验证技 术要求 框架 -以 太网接 入方式 下源地址 验证技 术要求 DHCPv4 场景 -以 太网接 入方式 下源地址 验证
3、技 术要求 DHCPv6 场景 -以 太网接 入方式 下源地址 验证技 术要求 SLAAC 场景 -以太网 接入方 式下源 地址验证 技术要 求 多种 地址分配 方式共 存场景 -公众无 线局域 网接入 方式下源 地址验 证技术 要 求 -以 太网接 入方式 下源地址 验证技 术要求 管理信息 库 本 标准按照 GB/T 1.1-2009 给出的 规则起 草。 请注意本 文件的 某些内 容 可能涉及 专利。 本文件 的 发布机构 不承担 识别这 些 专利的责 任。 本标准由 中国通 信标准 化 协会提出 并 归口 。 本标准 起草 单位 : 清 华大 学 。 本标准 参加 单位 : 中 国互
4、联网络 信息 中心 、华 为技 术有限 公司 、新 华三 技术 有限公 司 。 本标准 主要 起草 人: 吴建 平、 毕军 、 胡虹 雨、 王之 梁、李 星、 李 崇 荣、 刘莹 、徐恪 、任 罡、 徐 明 伟、崔 勇、 李丹 (男 )、 尹霞、 赵有 健、 王继 龙等 。 YD/T 1 以 太 网 接 入 方 式下 源 地 址 验 证 技术 要 求 框架 1 范围 本标准 规定 了 以 太网 接入 方式下 源地 址验 证 的 基本 技术要 求 , 包括: 接入 源地 址验证 的基 本过程 模 型、 绑定 锚选择 的 基本 原则 、 提高 接入 网源 地址 验 证 可扩 展性 的基 本方 法
5、、 绑定表 可靠 性保 障及 恢复 的 基本原 则 、 多种地 址分配 方法 共存 下绑定 表冲突 解 决的基本 原则 等 。 本标准 适用 于以 太网 接入 方式 下 源地 址验 证。 2 规范性引用文件 下列文 件对 于本 文件 的应 用是必 不可 少的 。 凡 是注 日期的 引用 文件 , 仅 所注 日期的 版本 适 用 于本 文 件。凡 是不 注日 期的 引用 文件, 其最 新版 本( 包括 所有的 修改 单) 适用 于本 文件 。 IETF EUI-48 48 比 特 全 球 标 识 符 指导 ( Guidelines For 48-bit Global Identifier (EU
6、I-48 ) ) IETF EUI-64 64 比 特 全 球 标 识 符 指导 ( Guidelines For 64-bit Global Identifier (EUI-64 ) ) IETF RFC2131 动态主 机配 置协 议 (Dynamic Host Configuration Protocol ,DHCP ) IETF RFC2827 网络入 口过 滤协议 (Network Ingress Filtering: Defeating Denial of Servic ) IETF RFC3315 IPv6 动态主机 配置协 议 (Dynamic Host Configurati
7、on Protocol for IPv6 (DHCPv6 ) ) IETF RFC3704 多宿主网络入口过 滤 (Ingress Filtering for Multihomed Networks ) IETF RFC3971 安全邻 居发 现协 议 (SEcure Neighbor Discovery ,SEND ) IETF RFC4862 IPv6 无状态地 址自动 (IPv6 Stateless Address Autoconfiguration ,YD/T 2 分配协 议 SLAAC ) IETF RFC5026 分 离 场 景 中 移 动 IPv6引导 (Mobile IPv6
8、Bootstrapping in Split Scenario ) IETF RFC5210 源地址验证体系结 构及测 试床 (A Source Address Validation Architecture (SAVA ) Testbed and Deployment Experience ) IETF RFC5739 Internet 密 钥 交 换 协议版本2 中的IPv6 配置 (IPv6 Configuration in Internet Key Exchange Protocol Version 2 (IKEv2) IETF RFC5996 Internet 密 钥 交 换 协议版
9、 本2 ( Internet Key Exchange Protocol Version 2 (IKEv2) )IETF RFC6620 本地 IPv6 地址 的先 到先服务源地址验 证改进 方法 (FCFS SAVI: First-Come, First-Served Source) (Address Validation Improvement for Locally Assigned IPv6 Addresses ) IETF RFC6959 源地址验证改进 威 胁范围 (Source Address Validation Improvement (SAVI) Threat Scope)
10、 IETF RFC7039 源地址验证改进 框 架 (Source Address Validation Improvement (SAVI) Framework) IETF RFC7513 源地址验证改进方 法-DHCP (Source Address Validation Improvement (SAVI ) Solution for DHCP) 3 术语、定义和缩略语 3.1 术语和定义 下列术 语和 定义 适用 于本 文件 。 3.1.1 源地址验证 Source address validation YD/T 3 在IP报 文路 由寻 址过 程中 ,对其 携带 的源 地址 的有 效
11、性进 行验 证。 3.1.2 接入网源地址验证/源地址验证增强 Source address validation improvement 在主机 所在 接入 网 执 行的 源地址 验证 技术 , 将 不允 许主机 假冒 任意 非合 法分 配或配 置的 地址 。 是源 地址验 证的 第一 步关 卡, 因此谓 之源 地址 验证 增强 。 3.1.3 绑定表 Bindings 监听地 址分 配过 程, 形成 的 合法IP地 址与 对应 绑定 锚的组 合信 息 。 3.1.4 绑定锚 Binding anchor 绑定锚是 主机的 网络连 接 部件的链 路层属 性 , 是 不 容易被假 冒的属 性,
12、 可以 是多个属 性的组 合, 如主机MAC 地址+ 交换机 端口 。 3.2 缩略语 下列缩略 语适 用于 本标 准 。 ATM 异步传 输模 式 Asynchronous Transfer Mode DAD 重复地 址检 测 Duplicate Address Detection DHCP 动态主 机配 置协 议 Dynamic Host Configuration Protocol DSL 数字用 户线 路 Digital Subscriber Line FCFS 先到先 服务 First-Come, First-Served GRE 通用路 由封 装协 议 Generic Routin
13、g Encapsulation L2TP 二层隧 道协 议 Layer 2 Tunneling Protocol IKEv2 互联网 密钥 交换 协议v2 Internet Key Exchange Protocol Version 2 MAC 媒体访 问控 制地 址 Media Access Control YD/T 4 MPLS 多协议 标签 交换 Multi-Protocol Label Switching ND 邻居发 现 Neighbor Discovery PPP 点到点 协议 Point to Point SAVI 源地址 验证 增强 Source Address Validat
14、ion Improvement SEND 安全邻 居发 现协 议 SEcure Neighbor Discovery SLAAC 无状态 地址 自动 分配 Stateless Address Autoconfiguration 4 概述 由于主 机和 网络 实体 使用IP 源地 址来 确定 数据 包的 来 源, 并 作为 返回 数据 的目 的地, 因此 造成 利用 假冒IP 源地 址可 以发 动假 冒流量 、 隐藏 流量 以及 恶 意流量 重定 向等 网络 攻击 。 不 幸的 是,Internet 的架 构设计 本身并 没有阻 止IP 源地址 欺骗RFC6959 。 由 于数据 包的IP 源地
15、 址在转 发数据 包时通 常没 有任何 作用 , 所 以它 可以 被发 送 主机任 意选 择 , 而 不会 危 及数据 包的 传递 。 因此 需 要设计 额外 的方 法来 实现IP 源地址 验证 ,即 明确 检查 给定数 据包 的IP 地址 是否 合法, 以增 强报 文的 转发 。 IP 源地址 验证可 以在不 同 粒度上进 行。入 口过滤 (Ingress filtering )RFC2827RFC3704,是 一种广 泛部 署的IP地 址验 证标准 , 在 网络 中实 现较 粗粒度 的功 能。 它对 报文IP 源地 址前 缀路 由应 去往 的 网络与 接收 该报 文的 网络 是否一 致 进
16、 行了 验证 。 入 口过滤 的优 点是 “简 单” : 即是否 接受 或拒 绝一 个IP 源地址 仅基 于路 由协 议提 供的路 由表 信息 。 然而 , 由于路 由协 议所 提供 的信 息的聚 合性 质 , 这 种简 单 造 成的代 价是 无法 在更 细的 粒度上 验证IP源 地址 。 细 粒度的IP源 地址 验证 将确 保源地 址信 息是 准确 的, 降 低发动DOS 攻 击的能 力, 并 帮助定 位主机 和识 别错误 行为主 机。存 在一 些更细 粒度的IP 源地 址验 证的解 决方案 1 , 但都 是有 版权 的,因 此通 常不 适合 企业 使用。 设计和 开发 源地 址验 证改 进
17、 (SAVI ) 方 法 , 即 实现 精 确到单 个IP 地址 的最 大细 粒度的 标准 化源 地址 验证, 来弥 补标 准的IP源 地址验 证 “ 入口 过滤 ” 方 法的不 足。 它阻 止连 接到 同一IP 链路 上的 主机 之间 假 冒其他 主机 的IP 地址 。 为 了便于 在各 种网 络中 的部 署,SAVI 方法 被设 计为 模 块化的 和可 扩展 的 。 本 标 准 描述了 如何 设计SAVI 方法 以及如 何激 发SAVI 方 法的 设计。 YD/T 5 值得注 意的 是,SAVI 也触 发了许 多重 要隐 私问 题的 考虑, 该问 题在RFC6959 中进行 了充 分地 讨
18、论 。 SAVI 的 实 现 者 在 设 计SAVI 解 决 方 案 时 必 须 考 虑 到 这 些 隐 私 问 题 , 一 方 面 遵 守 本 框 架 , 一 方 面 遵 循 RFC6959 中给 出的 建议 。 5 SAVI模型 为了使网 络管理 员无需 依 赖主机增 加支持 功能 , 就 可以部署 细粒度 的 IP 源 地址验证 ,SAVI 方 法都被设 计在在 网络侧 。SAVI 方法 实例通 过以下 三步模型 来实现 强制主 机 使用合法 的 IP 源 地址: a) 基于监听 主机交 换的报 文 ,来确定 一个主 机的合 法 IP 源地 址 ; b) 将一个合 法的 IP 地址与 主
19、机的网 络连接 部件 ( 如 网卡)的 链路层 属性( 如 MAC 地 址) 进 行绑定。 这 个属性 被称为 “绑定锚 ”, 它必 须在主 机发送的 每个包 中都可 以 验证, 而且 比 主机的IP 地址本 身更难 被假冒 ; c) 强制报文 中的 IP 源地址 与绑定的 绑定锚 相匹配 。 该模型允 许SAVI 功能 ( 一个 SAVI 的实例 ) 位 于 主机所连 接的 链 路的任 何 地方, 因此允 许 SAVI 实例部署 在不同 的位置 。SAVI 实例 的一种 部署方 法是部署 在主机 的默认 路 由器中, 在报文 穿过缺 省路由器 时对报 文IP 源 地址进行 验证。 然 而当数
20、 据包中的IP 源地 址在本 地链路进 行了交 换, 则 无 法进行验 证。另 一种部 署 SAVI 实 例的方 法是部 署在主机 和默认 路由器 之 间的交换 机上。 因此, 即 使数据包IP 源地 址在本 地链路上 进行了 交换, 仍 可对数据 包进行IP 源地 址验证。 SAVI 实例 越靠近 主机,SAVI 方法越 有效。 这是因 为 SAVI 模 型的三 个步骤 在越靠近 主机的 位置 越能够被 最好的 完成: a) 离主机越 近, 识 别主机 的 合法 IP 源 地址是 越有效 的。 因为 主机报 文绕过SAVI 实例 ( 即不 被监控) 的可能 性,随 着 SAVI 实 例和主
- 1.请仔细阅读文档,确保文档完整性,对于不预览、不比对内容而直接下载带来的问题本站不予受理。
- 2.下载的文档,不会出现我们的网址水印。
- 3、该文档所得收入(下载+内容+预览)归上传者、原创作者;如果您是本文档原作者,请点此认领!既往收益都归您。
下载文档到电脑,查找使用更方便
5000 积分 0人已下载
下载 | 加入VIP,交流精品资源 |
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- YD 3999-2021 以太网接入方式下源地址验证技术要求 框架 3999 2021 以太网 接入 方式 源地 验证 技术 要求
