YD∕T 3900-2021 IP源地址验证技术要求 框架(通信).pdf
《YD∕T 3900-2021 IP源地址验证技术要求 框架(通信).pdf》由会员分享,可在线阅读,更多相关《YD∕T 3900-2021 IP源地址验证技术要求 框架(通信).pdf(19页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、 ICS 33.040.40M32中 华 人 民 共 和 国 通 信 行 业 标 准YDYD/T IP 源地址验证技术要求 框架Technical requirement framework for IP source address validation(报批稿)-发布-实施中华人民共和国工业和信息化部 发布YD/T i 目 次 前前 言言.II 1 1 范围范围.1 2 2 规范性引用文件规范性引用文件.1 3 3 术语、定义和缩略语术语、定义和缩略语.1 3.1 术语和定义.1 3.2 缩略语.2 4 4 概述概述.3 5 5 IPIP 源地址验证体系结构源地址验证体系结构.4 5.1
2、SAVA 体系结构.4 5.2 SAVA 体系结构的优点.6 5.3 接入网 IP 源地址验证.6 5.4 自治系统内 IP 源地址验证.8 5.5 自治系统间 IP 源地址验证.9 6 6 总结总结.14 YD/T ii 前 言 本标准是以太网接入方式下源地址验证技术要求系列标准之一,本系列标准的名称和结构预计如下:-IP 源地址验证技术要求框架 -以太网接入方式下源地址验证技术要求 框架 -以太网接入方式下源地址验证技术要求 DHCPv4 场景 -以太网接入方式下源地址验证技术要求 DHCPv6 场景 -以太网接入方式下源地址验证技术要求 SLAAC 场景 -以太网接入方式下源地址验证技术
3、要求 多种地址分配方式共存场景 -公众无线局域网接入方式下源地址验证技术要求 -以太网接入方式下源地址验证技术要求 管理信息库 本标准按照 GB/T 1.1-2009 给出的规则起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由中国通信标准化协会提出并归口。本标准参加单位:清华大学、中国电信集团公司、中国移动通信集团公司、华为技术有限公司、中兴通讯股份有限公司、新华三技术有限公司、福建星网锐捷网络有限公司、烽火科技集团有限公司、中国互联网络信息中心、迈普通信技术股份有限公司。本标准主要起草人:吴建平、毕军、李星、任罡、徐恪、胡虹雨、王之梁、李崇荣、刘莹
4、、徐明伟。YD/T 1 IPIP 源地址验证技术要求源地址验证技术要求 框架框架 1 范围 本标准规定了互联网 IP 报文源地址有效性验证的层次化解决架构,并规定了各层次需实现的源地址验证的效果及目标,以系统地解决互联网 IP 源地址有效性验证问题。同时对各层次的源地址验证方案给出了可能的方案设计示例。本标准适用于互联网一般路由寻址场景下的报文源地址验证。2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。IETF RFC2827 网络入口过滤协议(Network In
5、gress Filtering:Defeating Denial of Service Attacks which employ IP Source Address Spoofing)IETF RFC3704 多宿主网络入口过滤(Ingress Filtering for Multihomed Networks)3 术语、定义和缩略语 3.1 术语和定义 下列术语和定义适用于本文件。3.1.1 源地址验证 Source address validation 在IP报文路由寻址过程中,对其携带的源地址的有效性进行验证。3.1.2 源地址验证架构 Source address validation
6、 architecture YD/T 2在互联网范围对IP报文进行源地址验证的层次化解决架构,与互联网目前路由寻址的层次化结构相对应。3.1.3 接入网源地址验证/源地址验证增强 Source address validation improvement 在主机所在接入网执行的源地址验证技术,将不允许主机假冒任意非合法分配或配置的地址。是源地址验证的第一步关卡,因此谓之源地址验证增强。3.1.3 自治系统内IP源地址验证 Intra-AS source address validation 在自治域AS内执行的源地址验证技术,将不允许主机假冒该自治域其他子网的IP地址。3.1.4 自治系统间I
7、P源地址验证 Inter-AS source address validation 在自治域AS间执行的源地址验证技术,将不允许主机假冒其他自治域网络的IP地址。3.2 缩略语 下列缩略语适用于本标准。AIMS AS-IPv6前缀映射服务器 AS-IPv6 prefix Mapping Server AS 自治系统 Autonomous System ASBR AS边界路由器 AS Border Router ASC AS控制服务器 AS Control Server DHCP 动态主机配置协议 Dynamic Host Configuration Protocol NAT 网络地址转换 Ne
8、twork Address Translation REG 注册服务器 Registration Server SAMS 源地址管理服务器 Source Address Management Sever SARC 源地址请求客户端 Source Address Request Client YD/T 3SAVP 源地址验证代理 Source Address Validation Proxy SEND 安全邻居发现协议 Security Neighbor Discovery SLAAC 无状态地址自动配置 Stateless Address Autoconfiguration VE 验证引擎 V
9、alidating Engine VR 验证规则 Validation Rule VRGE 验证规则生成器 Validation Rule Generating Engine 4 概述 现有互联网的IP分组转发,主要基于目的IP地址,很少对分组的IP源地址的有效性进行检查,这使得分组的IP源地址容易被伪造。网络攻击者常常通过伪造分组的IP源地址逃避承担责任。对IP源地址的有效性进行验证已经成为互联网面临的一个挑战性的问题。“IP源地址的有效性”包含以下三重含义:a)合法的。IP源地址必须是经互联网IP地址管理机构分配/授权的合法地址,不能伪造;b)唯一的。公网IP地址在公网内全局唯一,同一时间
10、不可复用;私网IP地址在其私网内全局唯一,同一时间不可复用;c)可追溯的。网络中转发的IP分组,可以根据其IP源地址找到其所有者和位置。互联网中实施IP源地址验证后有助于实现如下目标:a)由于携带假冒源地址的报文不能再被转发,则使用假冒源地址发动网络攻击将变得不可能,或者通过使用假冒源地址成功实施网络攻击的难度将加大;b)如果所有报文的源地址都是正确的,则网络追溯将可以准确实现并具有可信性。这将使网络诊断、网络管理、网络统计以及上层应用得到受益。要实现全网的IP源地址验证,期望任何一个单一源地址验证技术或方案在互联网单一层面完全部署是不切实际的。考虑到IP分组在互联网的路由和寻址是一个层次化的
11、结构,本标准规定了一种多层次的源地址验证的解决架构,即“IP源地址验证体系结构”(SAVA:Source Address Validation YD/T 4Architecture)。具体来说,SAVA体系结构划分为3个层次:接入网IP源地址验证、自治系统内IP源地址验证和自治系统间IP源地址验证。本标准同时针对各层次可能的源地址验证方案给出了示例。5 IP 源地址验证体系结构 5.1 SAVA 体系结构 本标准提出了一种多层次防御的源地址验证解决方案,即在网络中设计有多个“点”对数据包源地址的有效性进行检查。这是因为在当前单一(single-fence)模型下,基本上只在报文进入网络时进行了
12、源地址有效性检查RFC2827。但目前这种接入检查的部署是显著不足的(在未来仍将继续持续),因此基于伪造源地址的网络攻击总还是有机可乘。一种多层次的验证方案将弥补这种部署中的“漏洞”,整个互联网源地址有效性的可信度也将得到提升。即使源地址有效性检查没有全面部署,一定程度增加源地址有效性可信度以及减少假冒源地址攻击的几率,仍然是有意义和价值的。同时,SAVA体系结构允许多个独立的、松耦合的验证方案(或机制)同时存在。这样设计的出发点是,在Internet上,期望任何单一的IP源地址验证机制得到普遍支持是不现实的。不同的运营商和供应商可以选择部署或开发不同的方案(或机制)来实现源地址验证,同时需要
13、设计不同的方案(或机制)来解决网络中不同地方的问题。此外,局部方案(或机制)实施过程中的bug或者配置的错误都可能会导致局部验证失效。因此,本标准中的SAVA体系结构在具体实现时实际上是多个方案(或机制)同时共存、互相协作的方式。考虑到IP分组在互联网的路由和寻址是一个层次化的结构,本标准设计了与之对应的多层次的IP源地址验证体系结构-SAVA。具体来说,SAVA体系结构划分为3 个层次:接入网(Access Network)IP源地址验证、自治系统内(Intra-AS)IP源地址验证和自治系统间(Inter-AS)IP源地址验证,如图1所示。YD/T 5 图1 IP源地址验证体系结构 本标准
14、将源地址验证解决方案按三个不同层次进行分类:a)接入网源地址验证。该验证可以防止网络中的主机假冒同一网段中其他主机的地址。与域内源地址验证相比,接入网源地址验证可以实现主机粒度的保护。具体见第5.3节;b)域内源地址验证。在接入网的边缘路由器的接口上执行“入口过滤”源地址验证方案时(例如:使用RFC2827和RFC3704),可以防止主机假冒其他网段地址,实现子网粒度的保护。但如果该接口下子网没有部署接入网源地址验证时,仅实施“入口过滤”,主机仍可以假冒同一网段中其他主机的地址,除非该路由器下只接有一台主机(一种极端情况)。(因此接入网源地址验证是对“入口过滤”方案的一种补充和增强,因此接入网
15、源地址验证又称为 Source Address Validation Improvement,SAVI)。具体见第5.4节;c)域间源地址验证。在自治域间执行的数据包源地址有效性的验证机制。由于全球互联网为网状拓扑结构,并且不同的网络属于不同的管理机构,因此域间IP源地址验证更具挑战性。尽管如此,当前面两层(接入网和域内)源地址验证缺失或失效时,这第三层保护对于检测报文是否使用假冒源地址仍是十分必要的。具体见第5.5节;不同的层次实现不同粒度的 IP源地址有效性验证。在每一个层次,允许不同的运营商采用不同的方法。这一体系结构设计是一个整体结构的简单性和各部组成的灵活性的平衡。YD/T 65.2
16、 SAVA 体系结构的优点 SAVA 体系结构的优点如下:a)多重防御:对于一个伪造源地址的分组,设置接入网、自治系统内和自治系统间3道防线以实现真实源地址验证;b)不影响现有性能:设计各层次简单且轻量级源地址验证方案,将不影响现有路由和交换设备的分组转发性能;c)松耦合:该体系结构划分为自治系统内、自治系统间和接入网3个部分,各个部分相互独立,每个部分可以实现不同粒度的真实地址检查,每个部分的功能实现不依赖于其他部分;d)支持增量部署:该体系结构支持在全网渐进的、增量的部署,部分部署时仍可获得一定程度的真实源地址验证效果;e)可扩展:该体系结构划支持在整个互联网的大规模部署;f)为上层安全服
17、务和应用提供支持:以真实源地址体系结构为基础,网络追溯、网络诊断、网络管理、网络统计等上层安全服务和应用都将收益;g)激励运营商部署:该体系结构的设计体现了“谁部署,谁受益”的原则,部署了真实地址验证机制的网络可以更加容易地发现和追踪网络中伪造源地址的分组,保护自身网络利益。5.3 接入网 IP 源地址验证 该层次的方案,将不允许主机(host)假冒同一网段上的其他主机的IP地址,主机地址应该是由静态或动态分配给主机的合法地址,实现端系统IP地址一级的细粒度的IP源地址验证。接入网IP源地址验证具有以下特点:a)所有相关网络设备在同一个网络管理机构管理控制下;b)解决方案与接入网的地址管理分配
18、和控制策略密切相关;c)解决方案与端系统的接入方式密切相关。可以针对接入网的各种主机地址分配方式,如DHCP、DHCPv6、SLAAC、SEND、静态地址分配方式等,甚至是混合地址分配场景,设计其特定的接入网源地址验证方案。YD/T 7针对目前网络中大量端系统通过交换机接入网络的情形,可以采用的解决方案包括:在交换机的端口和真实合法的IP地址之间建立动态绑定,并对非法源地址报文进行过滤。接入网IP源地址验证方案示例:本标准以以太网网络为例设计了一种接入网 IP 源地址验证方案 A。方案 A 的关键步骤是在交换机端口和合法的 IP 源地址之间建立一个动态绑定,即在 MAC 地址、IP 源地址和交
19、换机物理端口之间建立一个绑定。在具体原型实现中,该绑定是通过主机使用一种新的交换机可跟踪的地址分配协议来建立的。在方案 A 中,主要由 3 部分组成:主机上的源地址请求客户端(SARC),交换机上源地址验证代理(SAVP),以及源地址管理服务器(SAMS)。如图 2 所示。解决方案分为以下基本步骤:a)终端主机上的 SARC 发送一个 IP 地址请求。交换机上的 SAVP 将此请求转发给 SAMS,并记录 MAC 地址和传入端口。如果终端主机已经预先确定了某地址,终端主机需将该地址放入请求消息中以便 SAMS 进行验证;b)SAMS 收到 IP 地址请求后,它将基于本子网的地址分配和管理策略,
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- YDT 3900-2021 IP源地址验证技术要求 框架通信 YD 3900 2021 IP 源地 验证 技术 要求 框架 通信
限制150内