1、 ICS 33.040.40 M32 中 华 人 民 共 和 国 通 信 行 业 标 准 YD YD/T 以太网接入方式下源地址验证技术要求 多种地址分配方式共存场景 Technical requirements of ethernet source address validation improvement for mixed address assignment methods scenario (报批稿) -发布 - 实施 中华人民共和国工业和信息化部 发布 YD/T i 目 次 前 言 . II 1 范围 . 1 2 规范性引用文件 . 1 3 术语、定义和缩略语 . 2 3.1 术
2、语和定义 . 2 3.2 缩略语 . 2 4 介绍 . 3 5 本标准的范围 . 3 6 整体架构 . 4 7 地址分配分离的建议 . 5 8 绑定冲突的处理 . 6 8.1 同一地址绑定 不同的 绑 定锚 . 6 8.1.1 处理冲突的基本原则-先到先服务 . 6 8.1.2 例外情况 . 7 8.1.3 多个 SAVI 设备场景 . 8 8.2 同一地址绑定 同一绑 定 锚 . 8 9 安全注意事项 . 8 10 隐私方面的考虑 . 8 YD/T ii 前 言 本标准是 以太 网接入 方 式下源地 址验证 技术要 求 系列标 准之一 ,本系 列 标准的名 称和结 构 预计如下 : IP 源
3、地址 验证技 术 要求框架 以太 网接入 方式下 源地址验 证技术 要求 框架 以太 网接入 方式下 源地址验 证技术 要求 DHCPv4 场景 以太 网接入 方式下 源地址验 证技术 要求 DHCPv6 场景 以太 网接入 方式下 源地址验 证技术 要求 SLAAC 场景 以太网接 入方式 下源地 址验证技 术要求 多种地 址分配方 式共存 场景 公众无线 局域网 接入方 式下源地 址验证 技术要 求 以太 网接入 方式下 源地址验 证技术 要求 管 理信息库 本 标准按照 GB/T 1.1-2009 给出的 规则起 草。 请注意本 文件的 某些内 容 可能涉及 专利。 本文件 的 发布机构
4、 不承担 识别这 些 专利的责 任。 本标准由 中国通 信标准 化 协会提出 并归口 。 本标准 起草 单位 : 清华大 学 、 中 国互 联网 络信 息中 心、 华为 技术 有限 公司 、 新华三 技术 有限 公司 。 本标准主 要起草 人: 吴 建 平、 毕军 、 姚广 、胡虹 雨 、刘莹、 徐恪、 徐 明伟 、 李丹(男 )、杨 家海、赵 有健、 王继龙 、 李风华、 施新刚 、何林 。 YD/T 1 以 太 网 接 入 方 式下 源 地 址 验 证 技术 要 求 多 种 地 址 分 配 方式 共 存 场 景 1 范围 本标准 规定 多种 地址 分配 方式共 存场 景下 以太 网接 入源
5、地 址验 证技 术要 求 , 主要 包 括避 免各 种 SAVI 方法 产生 绑定 冲突 的 建议、 以及 处理 绑定 冲突 的原则 和方 法。 本标准 适用 于 以 太网 接入 方式下 源地 址验 证 。 2 规范性引用文件 下列文 件对 于本 文件 的应 用是必 不可 少的 。 凡 是注 日期的 引用 文件 , 仅 所注 日期的 版本 适用 于本 文 件。凡 是不 注日 期的 引用 文件, 其最 新版 本( 包括 所有的 修改 单) 适用 于本 文件。 IETF RFC2131 动态主 机配 置协 议 (Dynamic Host Configuration Protocol ,DHCP )
6、 IETF RFC3315 IPv6 动 态主 机配 置协 议 ( Dynamic Host Configuration Protocol for IPv6 (DHCPv6 ) ) IETF RFC3971 安全 邻 居发 现协 议 (SEcure Neighbor Discovery ,SEND ) ITTF RFC4861 IPv6 邻 居发 现协 议 (Neighbor Discovery for IP version 6 (IPv6 ) ) IETF RFC4862 IPv6 无 状 态 地 址 自 动 分 配协议 (IPv6 Stateless Address Autoconfigu
7、ration , SLAAC ) IETF RFC6085 以太网IPv6 组 播 报 文 的 地址映 射协议 (Address Mapping of IPv6 Multicast Packets on Ethernet ) IETF RFC6620 本地 IPv6 地 址的 先到 先 服 务 源 地 址 验 证 改 进 方 法 ( FCFS SA VI: First-Come, First-Served Source Address Validation Improvement for Locally Assigned IPv6 Addresses ) YD/T 2 IETF RFC7039
8、 源地址 验证 改进 框架 (Source Address Validation Improvement (SA VI ) Framework ) IETF RFC7219 源 地 址 验 证 改 进 方法 -SEND ( SEcure Neighbor Discovery ( SEND ) Source Address Validation Improvement (SA VI ) ) IETF RFC7513 源 地 址 验 证 改 进 方 法 -DHCP (Source Address Validation Improvement (SA VI ) Solution for DHCP )
9、 3 术语、定义和缩略语 3.1 术语和定义 下列术 语和 定义 适用 于 本 文件。 3.1.1 源地址验证 source address validation 在IP报 文路 由寻 址过 程中 ,对其 携带 的源 地址 的有 效性进 行验 证。 3.1.2 接入网源地址验证/源地址验证增强 source address validation improvement 在主机 所在 接入 网 执 行的 源地址 验证 技术 , 将 不允 许主机 假冒 任意 非合 法分 配或配 置的 地址 。 是源 地址验 证的 第一 步关 卡, 因此谓 之源 地址 验证 增强 。 3.1.3 绑定表 bindi
10、ngs 监听地 址分 配过 程, 形成 的 合法IP地 址与 对应 绑定 锚的组 合信 息 。 3.1.4 绑定锚 binding anchor 主机的网 络连接 部件的 链 路层属性 , 是不 容易被 假 冒的属性 , 可以 是多个 属 性的组合 , 如主 机 MAC 地址+ 交换机 端口 。 3.2 缩略语 YD/T 3 下列缩略 语适 用于 本标 准 。 CGA 加密生 成地 址 Cryptographically Generated Addresses DAD 重复地 址检 测 Duplicate Address Detection DHCP 动态主 机配 置协 议 Dynamic H
11、ost Configuration Protocol FCFS 先到先 服务 First-Come, First-Served NA 邻居通 告消 息 Neighbor Advertisement RS 路由请 求消 息 Router Solicit SAVI 源地址 验证 增强 Source Address Validation Improvement SEND 安全邻 居发 现协 议 SEcure Neighbor Discovery 4 介绍 目前 已 存在 几个 源地 址验 证改进 (SAVI ) 相关 规范 (RFC6620 、RFC7513 和RFC7219 ) ,它 们 描述了
12、交换 机发 现和 生成 IP 地 址和 绑 定 锚之 间绑 定 的各种 方法 ,并 如何 使用 绑定来 执行 源地 址验 证。 这些规 范 都 定义 了如 何根 据地址 分配 技术 在 “ 线上 (on-link ) ” 学 习/ 监听 地址, 包括: 无状 态地 址 自 动配置 协议 (SLAAC )、 动 态主机 控制 协议 (DHCP ) 和安全 邻居 发现 协议 (SEND )。 这些 规范 中都 描述 了一个 具体 的SAVI 方法 如 何处理 地址 冲突 的问 题( 同一个 地址 ,但 是绑 定锚 不同) 。 然而多 个 IP 地 址分 配技 术 可以在 同一 层 2 网域 中同
13、时使用 , 这意 味着 一台SAVI 设备 可能 需要 处理 多种SAVI 方法 混合的 情况 。 本标 准首 先给 出如 何避 免 这类冲 突的 相关 建议 , 其 次 给出当 两个 或多 个SAVI 方法产 生绑 定冲 突时 冲突 的处理 方法 。 5 本标准的范围 SAVI 针对 三种 不同 IP 地 址分配 技术 进行 了分 析: a) 无状态 地址 自动 配置 方法 (SLAAC ) 在 FCFS SAVI (先 到先 得) 中进 行了 分析RFC6620 ; b) 动态主 机控 制协 议地 址分 配方法 (DHCP ) 在 SAVI-DHCP 中 进行 了分 析RFC7513 ;
14、YD/T 4 c) 安全的 邻居 发现 (发 送) 地址分 配方 法在 SEND-SAVI 中进 行了 分析RFC7219 。 此外 , 还 有第 四种 在交 换 机上管 理 (即 创建 、 管 理 和删除 ) 绑定 的技 术, 即 “手 动配 置” 方式 。 它 是通过 手动 配置 方式 来管 理绑定 。由 于手 动绑 定是 管理员 配置 生成 的, 因此 没有用 于手 工地 址 的SAVI 方法。 在一个 二层 网域 中, 所有 地址分 配技 术都 可以 共存 。如 果 SAVI 设 备要 提供 源 地址验 证功 能, 就必 须为网 络中 使用 的每 种地 址分配 方式 都实 现对 应的
15、绑定建 立方 法( 称为 “SAVI 方法 ”) 。 SAVI 方法 通常 都是 独立 运 行的, 每个 方法 分别 处理 自己的 绑定 条目 。如 果在 同一设 备中 同时 运行 了多 个SAVI 方 法而 不进 行 协调, 则每 个方 法可 能将 丢弃那 些不 是本 方法 发现 的源地 址的 相关 数据 包。 为了防 止一 个SAVI 方法 发 现的地 址被 另一 个方 法过 滤掉,SAVI 绑 定表 应该 被 设备中 正在 运行 的所 有 SAVI 方法 所共 享。 当两种 不同 的方 法生 成相 同条目 时, 这就 会产 生一 些冲突 。 本 标准 的目 的有 两方面 : 一 方面 提
16、供 建 议和方 法以 避免 产生 冲突 , 另一 方面 在冲 突发 生时 如何解 决冲 突。 某一 具体SAVI 方 法内 部发 生的 冲突 , 不在本 标准 的范 围内 。 6 整体架构 SAVI 设备 可以 实现 和使 用 多种 SAVI 方法 。 本 标准 定 义了一 种 “SAVI-MIX ” 机制 , 用 于这 些多 种 SAVI 方法的 绑定 生成 算法 的仲 裁,并 生成 最终 的绑 定条 目,如图 1 所示 。一 旦SAVI 方 法生 成了 一个 候选 绑 定, 它 将请 求SAVI-MIX 在 绑定表 中创 建一 个对 应的 条目。 然后 ,SAVI-MIX 将 检查绑 定表
17、 中是 否存 在冲 突。如 果没 有冲 突, 将生 成一个 新的 绑定 。如 果存 在冲突 , 则SAVI-MIX 将 根 据第 8 章中 定义 的策 略, 来决定 是替 换现 有的 绑定 还是拒 绝候 选绑 定。 因此, 这种 情况 下,SAVI 设备中 的包 过滤 将不 会由 每个 SAVI 方法 分别 执行 , 而是 由 SAVI-MIX 产 生的绑 定表 来执 行过 滤。 因此, 报文 过滤 是基 于不 同的 SAVI 机制 综合 的结 果 。描述 过滤 机制 的细 节和 使用混 合SAVI 绑定 表的 细 节,不 在本 标准 描述 的范 围内。 YD/T 5 图 1 SAVI-MIX
18、 架构 绑定表 中的 每个 条目 将包 含以下 字段 : a) IP 源 地址 ; b) 绑定锚 (RFC7039 ); c) 生命周 期; d) 创建时 间; e) 绑定方 法: 用于 本表 项 的SAVI 方法 。 7 地址分配隔离的建议 如果每 个地 址分 配技 术使 用独立 的 IP 地 址空 间部 分 ,那么 冲突 就不 会发 生。 因此, 建议 地址 分配 技术间 以 及SAVI 技 术间 使 用非重 叠地 址空 间。 为此 ,建议 : YD/T 6 a) DHCP 和SLAAC:为 DHCP 和SLAAC 分配 一个 非重 叠前 缀 (地 址空 间) 。 在 路由 通 告 RA
19、消息 的前 缀信息 选项 中, 如果 是 SLAAC 前 缀则 将 A 位置 位, 如 果是DHCP 前缀 则将M 位 置 位。 有 关 这些位 的详 细解 释, 可参 见RFC4861 和RFC4862 ; b) SEND 和非SEND :避 免混 合 场景( 即在 其 中 SEND 和非 SEND 方 法都 被部 署) , 或者分 离通 告给 SEND 节点 和非 SEND 节点 的前缀 信息 。 一 种分 离前 缀空间 的方 法是 : 让 路由 器为 SEND 和 非SEND 节 点通 告不 同的 ( 非重叠 的) 前缀 空间 ,即 单播路 由通 告 RA 消息 RFC6085 来 响应
20、 SEND 节点 和非SEND 节点的 路由 请 求 RS 消息 。 8 绑定冲突的处理 通过“ 地址 分配 隔离 ”仍 不能避 免冲 突的 情况 下, 以下两 种情 况需 要解 决: a) 同一地 址由 不同 的 SAVI 方 法绑定 在两 个不 同的 绑定 锚上; b) 同一地 址由 不同 的 SAVI 方 法绑定 在同 一个 绑定 锚上 。 8.1 同一 地址 绑定 不同 的 绑定锚 如果所 分配 的地 址空 间不 能隔离 开来 ,就 会发 生“ 同一地 址绑 定不 同的 绑定 锚”的 这种 冲突 情况 。 例如 , SLAAC 分配 一地 址给 节点 X , 通过FCFS SAVI 方
21、 法在绑 定表 中建 立绑 定表 , 对 应绑 定锚 为 “锚- X”。 稍后 ,DHCP 将 同一 地址 分 配给节 点 Y,而 SAVI-DHCP 方法将 生成 一个 候选 绑定 条目 , 绑 定锚为 “ 锚- Y”。 8.1.1 处理冲突的基本原则-先到先服务 如果有 手动 配置 的 绑 定,SAVI 设 备应 该优 先选 择手 动配置 的绑 定锚 。 对于不 是任 何手 工绑 定中 的地址 ,SAVI 设备 必须 决 定该地 址应 该绑 定到 哪个 绑定锚 上( 在上 面这 个例子 中是 锚-X 或锚-Y ) 。当前 地址 分配 方法 的标 准规范 文档 已经 提示 了一 种基于 时间
22、 顺序 的优 先级 关系, 即, 先到 先服 务。 SLAAC :RFC4862的第 5.4.5 节; DHCPv4 :RFC2131 的第3.1 节第 5 点; DHCPv6 :RFC3315 的第18.1.8 节; SEND :RFC3971的第 8 章 。 YD/T 7 如果没 有任 何手 工配 置或 协议信 息提 示 (如 第 8.1.2 节所 示 ) ,SAVI 设 备应 该选择 第一 个绑 定锚 , 而不管 它是 从SLAAC 、SEND 还是DHCP 中 学习 到的 。 8.1.2 例外情况 对于一 般情 况下 的“ 先到 先服务 ”的 优先 级模 式, 存在两 个例 外的 情况
23、 :一 个是 CGA 地址 (Cryptographically Generated Addresses 加密 生 成地址 )RFC3971 优先 , 另一个 是交 换机 手工 配 置控制 优先 。 8.1.2.1 CGA 地址优先 当使 用CGA 地址 作为 锚并 检测到 冲突 时, 应该 优先 选择携 带 了 CGA 标识 的锚 ,只要 它们 通过 验证 , 特别是 通 过CGA 参数 和 RSA 选项 验证 时。 提示 : 如 果 攻击者 试图 重 放 CGA 标识 , 那么 他仍 需在 “先 到先 服务” (FCFS ) 的原 则下 进行竞 争。 8.1.2.2 手工配置优先 对于手
24、工配 置优 先 , 其方 式是 :SAVI 设 备通 过手 工 方式配 置三 元组 ( “前 缀” 、 “ 绑定 锚” 、 “SAVI 方法” )或 (“ 地址 ”、 “绑定 锚” 、“SAVI 方 法 ”)来 创建 绑定 表。 “前 缀”或 “地 址” 表示 该优 先表项 应用 于的 地址 或地 址前缀 。 “绑 定锚” 是一 个 “知 名” 绑 定锚 的值, 是使用 对应 地址 或使 用来 自 对应前 缀的 地址 时, 交换 机期望 看到 的 “ 绑定 锚” 的值。 “ 方法” 是该 设备 希望为 该地 址或 来自 该前 缀 的地址 ,进 行地 址绑 定条 目验 证 时使 用 的SAVI
25、方 法 。手工 配置 的表 项中 ,每 个地址 或前 缀必 须指 定至 少一个 “绑 定锚 ”和 “方 法”。 配置 之后 ,如 果交 换机收 到一 个重 复地 址检 测(DAD ) 消息RFC4861 , 并伴有 以下 情况 : a) DAD 消 息中 的目 标地 址并 不存在 于绑 定表 中; b) 目标地 址存 在于 手工 配置 的绑定 的“ 前缀 ”中 (或 等于“ 地址 ”) ; c) 目标地 址对 应绑 定的 锚, 与表中 配置 的锚 不同 ; d) 绑定的 “方 法” ,如 果有 ,但不 是 FCFS SAVI 方法 时 。 则交换 机应 代表 目标 节点 , 使 用邻 居广 播
26、 (NA ) 消 息以响 应 DAD 消 息 , 以 保 护该地 址 。 它 不能 将该 条目创 建到 绑定 表中 。 该DAD 消 息应 该被 丢弃 ,不 能再转 发。 转发 它可 能会 导致其 他 SAVI 设备 发送 不 必要的 防御 性的NA 消 息。 网络中 的SEND 节 点必 须禁 用某选 项, 以忽 略非 安全 的 广播消 息 ( 参见RFC3971YD/T 8 第8 条 ) 。 如 果启 用了 该 选项, 则该 情况 超出 了本 标准的 范围 。 建 议限 制拒 绝邻居 发现 协议 (NA) 的 速 度,以 减少 对交 换机 的安 全威胁 。否 则, 恶意 主机 可通过 洪泛
27、 的DAD 消 息大 量消耗 交换 机的 资源 。 以上方 式可 以简 单地 阻止 其他节 点使 用该 地址 , 同 时手工 配置 的绑 定锚 成为 事实上 的优 先表 项。 对 保护一 些 “ 知名 ” 的 绑定 不被其 他主 机抢 占地 址是 非常有 用的 , 例 如配 置了 静态地 址的 服务 器, 即使 是 服务器 关机 后。 它也 是一 种 让从 SAVI-DHCP 中学 习到 的绑定 的优 先级 高于 从FCFS-SAVI 中 学习 到的 绑定 的优先 级的 方法 。 8.1.3 多个 SAVI 设备场景 单独一 台SAVI 设备 不具 有 SAVI 范 围内 所有 绑定 地 址的
28、信 息。 因此, 仅查 找本 地绑定 来判 断是 否产 生绑定 冲突 是不 够的 。假 设在 SAVI 范围 内为 所有 地 址(不 论哪 种地 址分 配方 法产生 的) 执行 重复 地址 检测DAD , 那么 如果 有任 何冲突 的 话 DAD 响应 消息 将通知 所 有 SAVI 设 备。 在 这种情 况下 ,“ 先到 先服 务” 将与 单个 交换 机场 景 中应用 的方 式相 同 。 如 果 管理员 在其 中 一 台交 换机 上配置 了一 个静 态绑 定 , 则 由该交 换机 生成 的DAD 响 应也将 阻止 该绑 定在 其他 交换机 上创 建 ( 即绑 定冲 突, 不 能创 建) 。
29、同 一 二 层 网域中 的所 有SAVI 设备 的 SAVI-MIX 优 先级 配置 应 该是一 致的 。不 一致 的配 置可能 会导 致网 络中 断。 8.2 同一 地址 绑定 同一 绑 定锚 一个绑 定可 以由 多 个 SAVI 方法绑 定到 同一 个绑 定锚 上,典 型的 如FCFS SAVI 和SAVI-DHCP 。 如果 从两种 方法 获得 的绑 定生 命周期 不同 , 则 也产 生绑 定冲突 , 则 优先 顺序 建议 如下: (1) 手动 配置 ; (2 ) SAVI-DHCP ;(3 )FCFS SAVI 。当 优先 级高 方法 生成 的绑定 的生 命周 期结 束时 ,则该 绑定
30、 将被 删除 ,即 使优先 级低 的方 法具 有更 长的生 命周 期。 9 安全注意事项 将SAVI 方 法( 如在SAVI-MIX 中 )组 合起 来并 没有 改善或 消除 与每 个SAVI 方 法相关 的安 全方 面的 考虑。 因此 , 每 个启 用的SAVI 方 法的 安全 考虑 应该 在该方 法的 对 应RFC 中描 述。 此 外, 混合 形式 (如 在SAVI-MIX 中 ) 对 安全 性 有两个 额外 的影 响。 首先 , 它可 能增 加对DoS 攻击 的易感 性, 因为SAVI 绑定 建立的 速度 将是 所有 已启 用的 SAVI 方法 的速 度之 和 。实现 者必 须考 虑到 这些 额外的 资源 需求 。其 次, 由于SAVI-MIX 支持 多种 绑 定机制 ,因 此它 可能 会降 低所支 持机 制中 最弱 机制 的安全 指数 ,除 非采 取额 外的步 骤( 例如 ,要 求不 同方法 使用 非重 叠地 址空 间)。 10 隐私方面的考虑 YD/T 9 在实现 多 个SAVI 方 法时 , 所有 SAVI 方法 对隐 私的 考 虑都继 续适 用。
