1、 ICS 33.040.40 M32 中 华 人 民 共 和 国 通 信 行 业 标 准 YD YD/T 以太网接入方式下源地址验证技术要求以太网接入方式下源地址验证技术要求 多种地址分配方式共存场景多种地址分配方式共存场景 Technical requirements of ethernet source address validation improvement for mixed address assignment methods scenario (报批稿) -发布 - 中华人民共和国工业和信息化部 发布 YD/T i 目 次 前前 言言 . II 1 1 范围范围 . 1 2 2
2、 规范性引用文件规范性引用文件 . 1 3 3 术语、定义和缩略语术语、定义和缩略语 . 2 3.1 术语和定义 . 2 3.2 缩略语 . 2 4 4 介绍介绍 . 3 5 5 本标准的范围本标准的范围 . 3 6 6 整体架构整体架构 . 4 7 7 地址分配分离的建议地址分配分离的建议 . 5 8 8 绑定冲突的处理绑定冲突的处理 . 6 8.1 同一地址绑定不同的绑定锚 . 6 8.1.1 处理冲突的基本原则-先到先服务 . 6 8.1.2 例外情况 . 7 8.1.3 多个 SAVI 设备场景 . 8 8.2 同一地址绑定同一绑定锚 . 8 9 9 安全注意事项安全注意事项 . 8
3、10 10 隐私方面的考虑隐私方面的考虑 . 8 YD/T ii 前 言 本标准是以太网接入方式下源地址验证技术要求系列标准之一,本系列标准的名称和结构预计如下: IP 源地址验证技术要求框架 以太网接入方式下源地址验证技术要求 框架 以太网接入方式下源地址验证技术要求 DHCPv4 场景 以太网接入方式下源地址验证技术要求 DHCPv6 场景 以太网接入方式下源地址验证技术要求 SLAAC 场景 以太网接入方式下源地址验证技术要求 多种地址分配方式共存场景 公众无线局域网接入方式下源地址验证技术要求 以太网接入方式下源地址验证技术要求 管理信息库 本标准按照 GB/T 1.1-2009 给出
4、的规则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由中国通信标准化协会提出并归口。 本标准起草单位:清华大学、中国互联网络信息中心、华为技术有限公司、新华三技术有限公司。 本标准主要起草人:吴建平、毕军、姚广、胡虹雨、刘莹、徐恪、徐明伟、李丹(男)、杨家海、赵有健、王继龙、李风华、施新刚、何林。 YD/T 1 以太网接入方式下源地址验证技术要求以太网接入方式下源地址验证技术要求 多种地址分配方式共存场景多种地址分配方式共存场景 1 范围 本标准规定多种地址分配方式共存场景下以太网接入源地址验证技术要求,主要包括避免各种SAVI 方法产生绑定冲突
5、的建议、以及处理绑定冲突的原则和方法。 本标准适用于以太网接入方式下源地址验证。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。 凡是注日期的引用文件, 仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 IETF RFC2131 动态主机配置协议 (Dynamic Host Configuration Protocol,DHCP) IETF RFC3315 IPv6动态主机配置协议 (Dynamic Host Configuration Protocol for IPv6(DHCPv6) IETF RFC3971 安全邻居发现协议
6、(SEcure Neighbor Discovery,SEND) ITTF RFC4861 IPv6邻居发现协议 (Neighbor Discovery for IP version 6(IPv6) IETF RFC4862 IPv6无状态地址自动分配协议 (IPv6 Stateless Address Autoconfiguration, SLAAC) IETF RFC6085 以太网IPv6组播报文的地址映射协议 (Address Mapping of IPv6 Multicast Packets on Ethernet) IETF RFC6620 本地IPv6地址的先到先服务源地址验证改
7、进方法 ( FCFS SAVI: First-Come, First-Served Source Address Validation Improvement for Locally Assigned IPv6 Addresses) YD/T 2 IETF RFC7039 源地址验证改进框架 (Source Address Validation Improvement (SAVI) Framework) IETF RFC7219 源地址验证改进方法-SEND (SEcure Neighbor Discovery (SEND) Source Address Validation Improvem
8、ent (SAVI) ) IETF RFC7513 源地址验证改进方法-DHCP (Source Address Validation Improvement (SAVI) Solution for DHCP) 3 术语、定义和缩略语 3.1 术语和定义 下列术语和定义适用于本文件。 3.1.1 源地址验证 source address validation 在IP报文路由寻址过程中,对其携带的源地址的有效性进行验证。 3.1.2 接入网源地址验证/源地址验证增强 source address validation improvement 在主机所在接入网执行的源地址验证技术, 将不允许主机假
9、冒任意非合法分配或配置的地址。 是源地址验证的第一步关卡,因此谓之源地址验证增强。 3.1.3 绑定表 bindings 监听地址分配过程,形成的合法IP地址与对应绑定锚的组合信息。 3.1.4 绑定锚 binding anchor 主机的网络连接部件的链路层属性,是不容易被假冒的属性,可以是多个属性的组合,如主机MAC 地址+交换机端口。 3.2 缩略语 YD/T 3 下列缩略语适用于本标准。 CGA 加密生成地址 Cryptographically Generated Addresses DAD 重复地址检测 Duplicate Address Detection DHCP 动态主机配置协
10、议 Dynamic Host Configuration Protocol FCFS 先到先服务 First-Come, First-Served NA 邻居通告消息 Neighbor Advertisement RS 路由请求消息 Router Solicit SAVI 源地址验证增强 Source Address Validation Improvement SEND 安全邻居发现协议 SEcure Neighbor Discovery 4 介绍 目前已存在几个源地址验证改进(SAVI)相关规范(RFC6620、RFC7513和RFC7219),它们描述了交换机发现和生成 IP 地址和绑定
11、锚之间绑定的各种方法,并如何使用绑定来执行源地址验证。这些规范都定义了如何根据地址分配技术在“线上(on-link)”学习/监听地址,包括:无状态地址自动配置协议(SLAAC)、动态主机控制协议(DHCP)和安全邻居发现协议(SEND)。这些规范中都描述了一个具体的 SAVI 方法如何处理地址冲突的问题(同一个地址,但是绑定锚不同)。 然而多个 IP 地址分配技术可以在同一层 2 网域中同时使用, 这意味着一台 SAVI 设备可能需要处理多种SAVI方法混合的情况。 本标准首先给出如何避免这类冲突的相关建议, 其次给出当两个或多个SAVI方法产生绑定冲突时冲突的处理方法。 5 本标准的范围 S
12、AVI 针对三种不同 IP 地址分配技术进行了分析: a) 无状态地址自动配置方法(SLAAC)在 FCFS SAVI(先到先得)中进行了分析RFC6620; b) 动态主机控制协议地址分配方法(DHCP)在 SAVI-DHCP 中进行了分析RFC7513; YD/T 4 c) 安全的邻居发现(发送)地址分配方法在 SEND-SAVI 中进行了分析RFC7219。 此外,还有第四种在交换机上管理(即创建、管理和删除)绑定的技术,即“手动配置”方式。它是通过手动配置方式来管理绑定。由于手动绑定是管理员配置生成的,因此没有用于手工地址的 SAVI方法。 在一个二层网域中,所有地址分配技术都可以共存
13、。如果 SAVI 设备要提供源地址验证功能,就必须为网络中使用的每种地址分配方式都实现对应的绑定建立方法(称为“SAVI 方法”)。 SAVI 方法通常都是独立运行的,每个方法分别处理自己的绑定条目。如果在同一设备中同时运行了多个 SAVI 方法而不进行协调,则每个方法可能将丢弃那些不是本方法发现的源地址的相关数据包。为了防止一个 SAVI 方法发现的地址被另一个方法过滤掉,SAVI 绑定表应该被设备中正在运行的所有SAVI 方法所共享。 当两种不同的方法生成相同条目时,这就会产生一些冲突。本标准的目的有两方面:一方面提供建议和方法以避免产生冲突, 另一方面在冲突发生时如何解决冲突。 某一具体
14、 SAVI 方法内部发生的冲突,不在本标准的范围内。 6 整体架构 SAVI 设备可以实现和使用多种 SAVI 方法。 本标准定义了一种 “SAVI-MIX” 机制, 用于这些多种 SAVI方法的绑定生成算法的仲裁,并生成最终的绑定条目,如图 1 所示。一旦 SAVI 方法生成了一个候选绑定,它将请求 SAVI-MIX 在绑定表中创建一个对应的条目。然后,SAVI-MIX 将检查绑定表中是否存在冲突。如果没有冲突,将生成一个新的绑定。如果存在冲突,则 SAVI-MIX 将根据第 8 章中定义的策略,来决定是替换现有的绑定还是拒绝候选绑定。 因此,这种情况下,SAVI 设备中的包过滤将不会由每个
15、 SAVI 方法分别执行,而是由 SAVI-MIX 产生的绑定表来执行过滤。因此,报文过滤是基于不同的 SAVI 机制综合的结果。描述过滤机制的细节和使用混合 SAVI 绑定表的细节,不在本标准描述的范围内。 YD/T 5 图 1 SAVI-MIX 架构 绑定表中的每个条目将包含以下字段: a) IP 源地址; b) 绑定锚(RFC7039); c) 生命周期; d) 创建时间; e) 绑定方法:用于本表项的 SAVI 方法。 7 地址分配隔离的建议 如果每个地址分配技术使用独立的 IP 地址空间部分,那么冲突就不会发生。因此,建议地址分配技术间以及 SAVI 技术间使用非重叠地址空间。为此,
16、建议: YD/T 6 a) DHCP 和 SLAAC:为 DHCP 和 SLAAC 分配一个非重叠前缀(地址空间)。在路由通告 RA 消息的前缀信息选项中,如果是 SLAAC 前缀则将 A 位置位,如果是 DHCP 前缀则将 M 位置位。有关这些位的详细解释,可参见RFC4861和RFC4862; b) SEND 和非 SEND:避免混合场景(即在其中 SEND 和非 SEND 方法都被部署),或者分离通告给SEND 节点和非 SEND 节点的前缀信息。一种分离前缀空间的方法是:让路由器为 SEND 和非 SEND 节点通告不同的(非重叠的)前缀空间,即单播路由通告 RA 消息 RFC6085
17、来响应 SEND 节点和非 SEND 节点的路由请求 RS 消息。 8 绑定冲突的处理 通过“地址分配隔离”仍不能避免冲突的情况下,以下两种情况需要解决: a) 同一地址由不同的 SAVI 方法绑定在两个不同的绑定锚上; b) 同一地址由不同的 SAVI 方法绑定在同一个绑定锚上。 8.1 同一地址绑定不同的绑定锚 如果所分配的地址空间不能隔离开来,就会发生“同一地址绑定不同的绑定锚”的这种冲突情况。例如, SLAAC 分配一地址给节点 X, 通过 FCFS SAVI 方法在绑定表中建立绑定表, 对应绑定锚为 “锚- X” 。稍后, DHCP 将同一地址分配给节点 Y, 而 SAVI-DHCP
18、 方法将生成一个候选绑定条目, 绑定锚为 “锚- Y” 。 8.1.1 处理冲突的基本原则-先到先服务 如果有手动配置的绑定,SAVI 设备应该优先选择手动配置的绑定锚。 对于不是任何手工绑定中的地址,SAVI 设备必须决定该地址应该绑定到哪个绑定锚上(在上面这个例子中是锚-X 或锚-Y)。当前地址分配方法的标准规范文档已经提示了一种基于时间顺序的优先级关系,即,先到先服务。 SLAAC:RFC4862的第 5.4.5 节; DHCPv4:RFC2131的第 3.1 节第 5 点; DHCPv6:RFC3315的第 18.1.8 节; SEND:RFC3971的第 8 章。 YD/T 7 如果
19、没有任何手工配置或协议信息提示(如第 8.1.2 节所示),SAVI 设备应该选择第一个绑定锚,而不管它是从 SLAAC、SEND 还是 DHCP 中学习到的。 8.1.2 例外情况 对于一般情况下的“先到先服务”的优先级模式,存在两个例外的情况:一个是 CGA 地址(Cryptographically Generated Addresses 加密生成地址)RFC3971优先,另一个是交换机手工配置控制优先。 8.1.2.1 CGA 地址优先 当使用 CGA 地址作为锚并检测到冲突时,应该优先选择携带了 CGA 标识的锚,只要它们通过验证,特别是通过 CGA 参数和 RSA 选项验证时。提示:
20、如果攻击者试图重放 CGA 标识,那么他仍需在“先到先服务”(FCFS)的原则下进行竞争。 8.1.2.2 手工配置优先 对于手工配置优先,其方式是:SAVI 设备通过手工方式配置三元组(“前缀”、 “绑定锚”、 “SAVI方法”)或(“地址”、“绑定锚”、“SAVI 方法”)来创建绑定表。“前缀”或“地址”表示该优先表项应用于的地址或地址前缀。“绑定锚”是一个“知名”绑定锚的值,是使用对应地址或使用来自对应前缀的地址时,交换机期望看到的“绑定锚”的值。“方法”是该设备希望为该地址或来自该前缀的地址,进行地址绑定条目验证时使用的 SAVI 方法。手工配置的表项中,每个地址或前缀必须指定至少一个
21、“绑定锚”和“方法”。配置之后,如果交换机收到一个重复地址检测(DAD)消息RFC4861,并伴有以下情况: a) DAD 消息中的目标地址并不存在于绑定表中; b) 目标地址存在于手工配置的绑定的“前缀”中(或等于“地址”); c) 目标地址对应绑定的锚,与表中配置的锚不同; d) 绑定的“方法”,如果有,但不是 FCFS SAVI 方法时。 则交换机应代表目标节点,使用邻居广播(NA)消息以响应 DAD 消息,以保护该地址。它不能将该条目创建到绑定表中。该 DAD 消息应该被丢弃,不能再转发。转发它可能会导致其他 SAVI 设备发送不必要的防御性的NA消息。 网络中的SEND节点必须禁用某
22、选项, 以忽略非安全的广播消息 (参见RFC3971YD/T 8 第 8 条)。如果启用了该选项,则该情况超出了本标准的范围。建议限制拒绝邻居发现协议(NA)的速度,以减少对交换机的安全威胁。否则,恶意主机可通过洪泛的 DAD 消息大量消耗交换机的资源。 以上方式可以简单地阻止其他节点使用该地址, 同时手工配置的绑定锚成为事实上的优先表项。 对保护一些“知名”的绑定不被其他主机抢占地址是非常有用的,例如配置了静态地址的服务器,即使是服务器关机后。 它也是一种让从 SAVI-DHCP 中学习到的绑定的优先级高于从 FCFS-SAVI 中学习到的绑定的优先级的方法。 8.1.3 多个 SAVI 设
23、备场景 单独一台 SAVI 设备不具有 SAVI 范围内所有绑定地址的信息。 因此, 仅查找本地绑定来判断是否产生绑定冲突是不够的。假设在 SAVI 范围内为所有地址(不论哪种地址分配方法产生的)执行重复地址检测 DAD,那么如果有任何冲突的话 DAD 响应消息将通知所有 SAVI 设备。在这种情况下,“先到先服务”将与单个交换机场景中应用的方式相同。如果管理员在其中一台交换机上配置了一个静态绑定,则由该交换机生成的 DAD 响应也将阻止该绑定在其他交换机上创建(即绑定冲突,不能创建)。同一二层网域中的所有 SAVI 设备的 SAVI-MIX 优先级配置应该是一致的。不一致的配置可能会导致网络
24、中断。 8.2 同一地址绑定同一绑定锚 一个绑定可以由多个 SAVI 方法绑定到同一个绑定锚上,典型的如 FCFS SAVI 和 SAVI-DHCP。如果从两种方法获得的绑定生命周期不同,则也产生绑定冲突,则优先顺序建议如下: (1)手动配置; (2)SAVI-DHCP;(3)FCFS SAVI。当优先级高方法生成的绑定的生命周期结束时,则该绑定将被删除,即使优先级低的方法具有更长的生命周期。 9 安全注意事项 将 SAVI 方法(如在 SAVI-MIX 中)组合起来并没有改善或消除与每个 SAVI 方法相关的安全方面的考虑。因此,每个启用的 SAVI 方法的安全考虑应该在该方法的对应 RFC 中描述。此外,混合形式 (如在 SAVI-MIX 中)对安全性有两个额外的影响。首先,它可能增加对 DoS 攻击的易感性,因为 SAVI 绑定建立的速度将是所有已启用的 SAVI 方法的速度之和。实现者必须考虑到这些额外的资源需求。其次,由于 SAVI-MIX 支持多种绑定机制,因此它可能会降低所支持机制中最弱机制的安全指数,除非采取额外的步骤(例如,要求不同方法使用非重叠地址空间)。 10 隐私方面的考虑 YD/T 9 在实现多个 SAVI 方法时,所有 SAVI 方法对隐私的考虑都继续适用。
浙ICP备2021020529号-1 | 浙B2-20240490 
