1、 ICS 33.040.40 M32 中 华 人 民 共 和 国 通 信 行 业 标 准 YD YD/T 公众无线局域网接入方式下源地址验证技 术要求 Technical requirements of ethernet source address validation improvement for wlan (报批稿) -发布 - 实施中 华 人 民 共 和 国 工 业 和 信 息 化 部 发布 YD/T i 目 次 前 言 .II 1 范围 .1 2 规范性引用文件 .1 3 术语、定义和缩略语 .1 3.1 术语和定义 .1 3.2 缩略语 .2 4 概述 .3 5 IP-MAC 绑
2、定 .3 5.1 数据结构 .3 5.1.1 IP-MAC 映射表 .3 5.1.2 MAC-IP 映射表 .4 5.2 绑定的先决条件 .4 5.3 绑定建立: 将 IP 地址绑定到 MAC 地址 .4 5.4 绑定迁移 .5 5.5 绑定清除 .5 6 源地址验证 .6 7 部署场景 .6 7.1 集中式 WLAN 场景 .6 7.1.1 AP 过滤模式 .6 7.1.2 AC 过滤模式 .9 7.2 自治式 WLAN 场景 .9 8 安全注意事项 .10 YD/T ii 前 言 本标准是以太网接入方式下源地址验证技术要求系列标准之一,本系列标准的名称和结构 预计如下: IP 源地址验证技
3、术要求框架 以太网接入方式下源地址验证技术要求 框架 以太网接入方式下源地址验证技术要求 DHCPv4 场景 以太网接入方式下源地址验证技术要求 DHCPv6 场景 以太网接入方式下源地址验证技术要求 SLAAC 场景 以太网接入方式下源地址验证技术要求 多种地址分配方式共存场景 公众无线局域网接入方式下源地址验证技术要求 以太网接入方式下源地址验证技术要求 管理信息库 本标准 按照 GB/T 1.1-2009 给出的规则起草。 本标准由中国通信标准化协提出并归口。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准起草单位:清华大学。 本标准主要起草人:毕
4、军、吴建平、王优、胡虹雨等。 YD/T 1 公众无线局域网接入方式下源地址验证技术要求 1 范围 本标准规定 了在 WLAN 中对数据包进行 IP 源地址验证的机制, 包括 3 种部署场景: 集中式 AP 过滤 模式、 集中式 AC 过滤模式、 自治式 WLAN 模式。 本标准适用于公众无线局域网接入方式下源地址验证。 2 规范性引用 文件 下列文件对于本文件的应用是必不可少的 。 凡是注日期的引用文件 , 仅所注日期的版本适用于本文 件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 IETF EUI-48 48 比特全球标识符指 导 Guidelines For 48
5、-bit Global Identifier ( EUI-48) IETF EUI-64 64 比特全球标识符指 导 Guidelines For 64-bit Global Identifier ( EUI-64) IETF RFC3315 IPv6动态主机配置协议 Dynamic Host Configuration Protocol for IPv6 ( DHCPv6) IETF RFC4862 IPv6无状态地址自动分 配协议 IPv6 Stateless Address Autoconfiguration, SLAAC IETF RFC5415 无线接入点控制和配置 协议规范 Con
6、trol And Provisioning of Wireless Access Points ( CAPWAP) Protocol Specification IETF RFC6620 本地 IPv6 地址的先到 先服务源地址验证改进 方法 FCFS SAVI: First-Come, First-Served Source Address Validation Improvement for Locally Assigned IPv6 Addresses IETF RFC7513 源地址验证改进方法 -DHCP Source Address Validation Improvement (
7、 SAVI ) Solution for DHCP YD/T 2 3 术语 、 定义和缩略语 3.1 术语和定义 下列术语和定义适用于本文件。 3.1.1 源地址验证 Source address validation 在 IP报文路由寻址过程中,对其携带的源地址的有效性进行验证。 3.1.2 接入网源地址验证 /源地址验证增强 Source address validation improvement 在主机所在接入网执行的源地址验证技术 , 将不允许主机假冒任意非合法分配或配置的地址 。 是源 地址验证的第一步关卡,因此谓之源地址验证增强。 3.1.3 绑定表 Bindings 监听地址分
8、配过程,形成的合法 IP地址与对应绑定锚的组合信息。 3.1.4 绑定锚 Binding anchor 绑定锚是主机的网络连接部件的链路层属性 , 是不容易被假冒的属性 , 可以是多个属性的组合 , 如主机 MAC 地址 +交换机端口 。 3.2 缩略语 下列缩略语适用于本标准。 AP Access Point 无线访问节点 DAD Duplicate Address Detection 重复地址检测 DHCP Dynamic Host Configuration Protocol 动态主机配置协议 FCFS First-Come, First-Served 先到先服务 YD/T 3 SAVI
9、 Source Address Validation Improvement 源地址验证增强 SLAAC Stateless Address Autoconfiguration 无状态地址自动分配 WAPI Wireless LAN Authentication and Privacy Infrastructure 无线局域网鉴别和保密基础结 构 WLAN Wireless Local Area Networks 无线局域网 4 概述 本标准规定了在 WLAN中对每个数据包进行 IP源地址验证的机制 。 该机制执行 ND监听或 DHCP监听 , 以 将分配的 IP地址与经过授权的 MAC地址进
10、行绑定 。 静态 IP地址将通过手动方式与对应主机的 MAC地址进行 绑定 。 根据绑定关系 , 该机制可以检查本地数据包中源 IP地址的有效性 。 MAC地址的安全性由 802.11i或 其他机制来保证,因此绑定关系也是安全的。 一个接口具有多个 MAC地址是一种特例。这种情况需要 MAC-IP绑定表进行特殊处理。本标准对处理 这种情况的机制进行了定义。 本标准描述了三种部署场景 。 该机制在不同场景中被部署在不同设备上 。 本标准就部署细节进行了 具体描述。 当主机从一个访问接入点移动到另一个访问接入点时 , 可能会根据特定的迁移场景触发绑定条目的 迁移。本标准定义了不同部署场景下主机迁移
11、的处理机制。 5 IP-MAC 绑定 本章定义了创建和删除 IP 地址和 MAC 地址绑定的相关操作。 5.1 数据结构 5.1.1 IP-MAC 映射表 该表将 IP 地址映射到相应的 MAC 地址。 IP 地址是该表的索引。 一个 IP 地址只能有一个对应 的 MAC 地址, 而不同的 IP 地址可以映射到相同的 MAC 地址。 YD/T 4 此表用于控制过程 (而非数据传输过程) 。 在创建新的 IP-MAC 绑定时 , 如果绑定条目发生冲 突 , 必须首先查询该表 。 另外 , 在做任何包过滤之前 , 也必须查询该表 。 此表 必须与第 5.1.2 节中 指定的 MAC-IP 表同步。
12、 在 IP-MAC 映射表中的每个条目还必须记录 IP 地址的绑定状态。 在 DHCP 地址分配过程中监 听的地址必须将其状态标记为“ DHCPv6”,而在重复地址检测过程中监听到的地址,必须将其状 态记录为“ SLAAC”。 IP-MAC 映射表中的每个条目都有其生命周期 。 根据 RFC3315, DHCP 分配的地址具有有限的 生命周期 , 因此标记相关条目的生命周期与地址的相同 。 根据 RFC4862, 无状态地址也有一个有 限的生命周期,由主机自己设置该生命周期。因此,标记相关条目的生命周期与地址的相同。 5.1.2 MAC-IP 映射表 该表将 MAC 地址映射到相应的 IP 地
13、址 。 MAC 地址是该表的索引 。 它是一个一对多的映射表 , 这意味着 MAC 地址可以映射到多个 IP 地址。 虽然多个 MAC 地址可能存在于一个接口上, 但这些 MAC 地址必须映射到不同的 IP 地址上。 该表用于过滤。不同于有线网络, MAC-IP 映射表和 IP-MAC 映射表可以分别在不同的设备上 进行维护。两表之间的同步机制必须服务于绑定的一致性。 将在第 7 章中,针对不同的部署场描 述该表的细节。 5.2 绑定的先决条件 在基于绑定的机制中, IP 地址的安全性基于所绑定的锚的安全性。 在 WLAN 中,链路层上的 一些安全机制使 MAC 地址成为足够强的绑定锚,例如,
14、 802.11i, WAPI, WEP 等。 如果 MAC 地址没有被保护 , 攻击者可以假冒 MAC 地址来通过验证 。 然而 , 一般情况下 , 如果 MAC 地址不受保护, 就可以启动比 IP 假冒攻击更严重的攻击。 5.3 绑定建立: 将 IP 地址绑定到 MAC 地址 所有静态的 IP-MAC 地址对儿,在机制被允许的情况下, 通过手工方式配置到 IP-MAC 映射表 中。 YD/T 5 处理 DHCP 地址到 MAC 地址的绑定,是一个独立的过程。 该过程监听接入主机和 DHCP 服务 器之间的 DHCP 地址分配过程 。 在 WLAN 中 , DHCP 监听与 RFC7513中描
15、述的有线网络中的监听 相同。 处理无状态地址到 MAC 地址的绑定,也是一个独立的过程。该过程监听重复地址检测过程。 WLAN 中的 ND 监听与在 RFC6620中描述的有线网络中的监听相同。 数据包也可能触发创建新的 IP-MAC 绑定条目。 对未绑定源 IP 地址的数据包以限定速度进行 采样 , 来处理在 SLAAC 过程中 DAD 消息的丢失 , 这在无线网络中可能会经常发生 。 过程的细节将 在第 6 章中定义 。 然而 , 这一机制将带来潜在的安全风险 ( 例如目标为耗尽可用 IP 地址的攻击) 。 因此 , 是否启用该机制是可选的 , 如果启用了该机制 , 还必须使用额外的安全机
16、制来应对风险 。 有 关的安全考虑将在第 8 章中讨论。 在一些部署场景中 , 地址监听功能和 IP-MAC 表维护的功能也可以被分离到不同的设备上 。 因 此 , 为了防止绑定条目中的冲突 , 监听地址的设备必须与维护 IP-MAC 表的设备进行交互 。 将在第 7.1.1 节中定义具体细节。 5.4 绑定迁移 不同于有线网络,当移动主机从一个访问接入点移动到另一个访问接入点时, WLAN 的 SAVI 必须处理绑定条目的迁移 。 由于主机在移动之后 , 不会执行新的地址分配过程来获得新的 IP 地址 , 而是继续使用现有的 IP 地址。因此,移动主机接入的漫游地设备,其绑定表项不能通过监听
17、来建 立。需要一种新的机制, 来正确地将与移动主机的 IP 地址有关的绑定表项,从家乡设备迁移到漫 游地设备。 将在第 7 章中根据不同的部署场景描述绑定迁移的具体细节。 5.5 绑定清除 三种事件将触发绑定清除: a) 一个条目的 IP 地址的生命周期已经过期。 该 IP 条目必须清除。 b) 主机离开该访问接入点。 所有相关 MAC 地址的条目必须清除。 c) 收到来自 IP 地址的所有者的 DHCP Release 消息。 该 IP 条目必须清除。 YD/T 6 6 源地址验证 本章描述数据包的源地址验证过程 。 在本过程中 , 假定所有帧都已通过了 802.11i 或其他安全 机制的验
18、证。 本过程包含以下步骤: 步骤 1: 从数据包中提取 IP 源和 MAC 源 。 在 MAC-IP 映射表中查找 MAC 地址 , 并检查是否存 在 MAC-IP 对。如果是,则转发数据包。 否则进入第 2 步。 步骤 2: 在 IP-MAC 映射表中查找 IP 地址, 检查 IP 地址是否存在。如果不存在, 则转到第 3 步 。 如果存在 , 则检查条目中的 MAC 地址是否与数据包中的 MAC 地址相同 。 如果是 , 则转发该数 据包。否则丢弃该数据包。 步骤 3: 如果允许数据包触发建立新的 IP-MAC 绑定条目的机制被启用,则插入一个新的条目 到 IP-MAC 映射表中并转发该数
19、据包。否则丢弃该数据包。 在步骤 2 中,当数据包被判定有效并被转发后, 应该触发 MAC-IP 和 IP-MAC 映射表之间的同 步。 数据包的 MAC-IP 绑定应该从 IP-MAC 映射表同步到 MAC-IP 映射表中,因此, 后续携带相同 MAC-IP 对的数据包, 将被直接转发而不用执行步骤 2。 同样在步骤 3 中, 如果建立了一个新的 IP-MAC 绑定条目, 则应该同步到 MAC-IP 映射表中。 7 部署场景 本章定义了三种部署场景, 包括两个集中式 WLAN 和一个自治式 WLAN。同时,对每个场景 下主机迁移(在访问接入点间)的部署细节和解决方案进行了分别描述。 7.1
20、集中式 WLAN 场景 集中的 WLAN 由瘦 AP 和访问控制器( AC)组成。在该场景中,本标准提出了以下两种部署 解决方案。 7.1.1 AP 过滤模式 在该场景中, AC 维护 IP-MAC 映射表, 而 AP 则维护 MAC-IP 映射表并执行地址监听。 7.1.1.1 候选绑定 YD/T 7 AP 执行第 5.3 节中定义的过程 。 在监听过程后生成候选绑定 。 候选绑定必须经 AC 确认才有效 。 7.1.1.2 报文过滤 如第 6 章中所定义 , 对于传入的数据包 , AP 在本地 MAC-IP 映射表中查找 MAC 地址 , 并检查 是否存在 MAC-IP 表项 。 如果是
21、, 则 AP 转发数据包 。 否则 , AP 将数据包发送到 AC 进行进一步处 理。 当 AC 从 AP 接收到数据包时, AC 在本地 IP-MAC 映射表中查找 IP 地址, 并检查 IP 地址是否 存在。如果不存在, 则根据 AC 的配置是否允许数据包触发绑定条目的创建, AC 创建一个新的 IP-MAC 条目然后转发数据包 , 否则丢弃该数据包 。 如果 IP 地址已存在 , 则 AC 将检查条目中的 MAC 地址与数据包中的 MAC 地址是否相同。如果相同, 则 AC 转发数据包, 否则 AC 丢弃该数据包。 在 AC 转发一个有效的数据包之后 , 它将相关的 MAC-IP 绑定与
22、接收数据包的 AP 上的 MAC-IP 映射表进行同步。 后续携带相同 MAC-IP 对的数据包将会被 AP 直接转发, 而不用发送给 AC。 7.1.1.3 CAPWAP 扩展 CAPWAP 协议用于 AP 和 AC 之间的通信。本标准设计了一种扩展了 RFC5415的新的 CAPWAP 协议消息元素 -主机 IP 消息元素 , 如图 1 所示 。 AP 和 AC 都使用主机 IP 消息元素来交换 主机的绑定信息。 主机 IP 消息元素被用于确认候选绑定的过程中。 当 AP 生成一个候选绑定时,它会使用此消 息向 AC 报告 MAC 地址和相关 IP 地址 , 并给出每个 IP 地址的状态和
23、生命周期 ( 根据第 5.1.1 节中 定义的 ) 的建议 。 在 AC 对候选绑定进行验证之后 , 它会使用一个相同格式的消息来回复 AP 每个 IP 地址的验证情况,以及建议的状态和生命周期。 主机 IP 消息元素也被用于绑定迁移的过程中。在移动场景中,移动主机接入的目的地设备需 要向家乡设备请求相关绑定, 而主机 IP 消息元素可以用于它们之间的交互。详细信息,根据不同 的部署场景,将在后面章节中定义。 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+
24、-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Radio ID | Total Length + YD/T 8 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Sender ID | Length | Description + +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | MAC flag | Length | MAC Address. + +-+-+-+-+-+-+-
25、+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | MAC Address. + +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | IPv4 flag | Length | IPv4 Address. + +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | IPv4 Address. + +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-
26、+-+-+-+-+-+-+-+-+-+-+-+ | IPv6 flag | Length | IPv6 Address. + +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | IPv6 地址 . + +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ 图 1 扩展的 CAPWAP 协议消息元素 -主机 IP 消息元素 无线信号 ID( Radio ID): 一个 8 位的值,表示无线信号, 其值在 1 到 31 之间。 总长度(
27、Total Length) :以下字段的总长度。 发送者 ID( Sender ID) : 一个 8 位的值,表示消息的发送方。 AP 用值 1 表示, AC 用值 2 表示。 长度( Length): Value 字段的长度。 描述( Description):描述发送者的字段, 长度 16-bit。 MAC 标志( MAC flag): 表示 MAC 地址子域的类型, 长度 8-bit。 MAC 地址的长度( Length): MAC 地址的长度,支持 EUI-48和 EUI-64中指定的格式和长度。 MAC 地址( MAC Address): 主机的 MAC 地址。 IPv6 标志( I
28、Pv4 flag): 表示 IP 地址子域的类型, 长度 8-bit, 值为 2。 长度( Length): IPv4 地址字段的长度。 IPv4 地址( IPv4 Address) : 主机的 IPv4 地址。 可能存在许多条目, 每个条目由一个 IPv4 地址 、 一个 8 位的地址状态值( 现在只使用值 1) 、 以及一个 32 位的生命值组成。 IPv6 标志( IPv6 flag): 表示 IPv6 地址子域的类型, 长度 8-bit, 其值为 3。 YD/T 9 长度( Length): IPv6 地址字段的长度。 IPv6 地址( IPv6 Address) : 主机的 IPv6
29、 地址。 可能存在许多条目, 每个条目由一个 IPv6 地址 、 一个 8 位的地址状态值(现在仅使用了一个值 ) 、 以及一个 32 位的生命值组成。 7.1.1.4 移动解决方案 当一个主机从一个 AP 移动到另一个 AP 时, 在 IP 数据包传输之前 需要完成 2 层(链路层)关联。 当移动主机断开连接时 , 家乡 AP 会删除相关绑定 , 而 目的地 AP 将立即通过 主机 IP 消息元素 ( 7.1.1.3 节中定义 ) , 向 AC 请求 与 MAC 地址相关的绑定地址 。 AC 同样通过 新的 CAPWAP 协议消息返回绑定表 , 并 给出其状态和生命周期的建议。 在 AP 获
30、得地址后并进行绑定后,绑定迁移完成。 在 WLAN 中 , 主机可以从 AC 移动到另一个 AC, 同时保持使用相同的 IP 地址 。 为与该场景兼容 , AC 间必须进行绑定迁移的交互通讯。在 第 7.1.1.3 节中定义 的 CAPWAP 扩展也可用于 AC 之间的通信。 7.1.2 AC 过滤模式 在此场景中, AC 维护 MAC-IP 和 IP-MAC 映射表,并执行地址监听和报文过滤。所以所有的报 文 必须先转发给 AC。 AC 执行第 5.3 节中定义的过程,通过查询 本地 IP-MAC 映射表检查 IP-MAC 对儿的有效性。不 需要其他 额外的过程来建立 IP-MAC 绑定。
31、AC 执行 第 6 章中定义的过程来进行分组过滤,不涉及其他额外的过程。 主机 在一个 AC 内的移动,不会触发任何绑定迁移。 在不同 AC 间的迁移会触发绑定迁移。 AC 必须进行通信以进行绑定迁移。在 第 7.1.1.3 节中定义 的 CAPWAP 扩展可用于 AC 间的通信。 7.2 自治式 WLAN 场景 自治式 WLAN 仅由 胖 AP 组成。在这个场景中, 胖 AP 维护 MAC-IP 和 IP-MAC 映射表,并执行地 址监听和报文过滤。 胖 AP 执行第 5.3 节中定义的过程, 通过查阅本地 IP-MAC 映射表检查 IP-MAC 对儿的有效性。 不需要其他 额外的过程来建立
32、 IP-MAC 绑定。 胖 AP 执行 第 6 章中定义的过程过滤数据包,不涉及额外的过程。 YD/T 10 主机在不同 胖 AP 之间移动,将触发绑定迁移。 胖 AP 之间必须就绑定迁移进行通信。在 第 7.1.1.3 节中定义 的 CAPWAP 扩展可用于 胖 AP 之间的通信。 8 安全注意事项 地址分配方法的安全性关系到本机制的安全性 。 因此 , 首先需要提高无状态自动地址分配方法 和 DHCP 的安全性。 在第 5.3 节中 , 描述了一种机制 , 允许数据包触发建立新的绑定项 。 如果启用了该机制 , 该机 制可被利用发起攻击, 最终可能导致可用 IP 地址耗尽。如果不采取任何限制,攻击者可以使用相 同的 MAC 地址产生尽可能多的 IP-MAC 绑定 。 这样 , 其他主机可能无法触发任何绑定条目的配置 , 进而让数据包无法通过 SAVI 设备 。 为了应对潜在的安全风险 , 必须引入新的机制 , 例如限制同一 MAC 地址可以关联的 IP 地址的最大数量。
