YD∕T 3818-2021 公众无线局域网接入方式下源地址验证技术要求(通信).pdf

资源描述

1、 ICS 33.040.40M32中华人民共和国通信行业标准YDYD/T 公众无线局域网接入方式下源地址验证技术要求Technical requirements of ethernet source address validation improvement for wlan（报批稿）-发布-实施中华人民共和国工业和信息化部发布YD/T i 目次前前言言 .II 1 1 范围范围 .1 2 2 规范性引用文件规范性引用文件 .1 3 3 术语、定义和缩略语术语、定义和缩略语 .1 3.1 术语和定义 .1 3.2 缩略语 .2 4 4 概述概述 .3 5 5

2、IP-MACIP-MAC 绑定绑定 .3 5.1 数据结构 .3 5.1.1 IP-MAC 映射表 .3 5.1.2 MAC-IP 映射表 .4 5.2 绑定的先决条件 .4 5.3 绑定建立：将 IP 地址绑定到 MAC 地址 .4 5.4 绑定迁移 .5 5.5 绑定清除 .5 6 6 源地址验证源地址验证 .6 7 7 部署场景部署场景 .6 7.1 集中式 WLAN 场景 .6 7.1.1 AP 过滤模式 .6 7.1.2 AC 过滤模式 .9 7.2 自治式 WLAN 场景 .9 8 8 安全注意事项安全注意事项 .10 YD/T ii 前言本标准是以太网接入方式下源地址验证技术

3、要求系列标准之一，本系列标准的名称和结构预计如下： IP 源地址验证技术要求框架以太网接入方式下源地址验证技术要求框架以太网接入方式下源地址验证技术要求 DHCPv4 场景以太网接入方式下源地址验证技术要求 DHCPv6 场景以太网接入方式下源地址验证技术要求 SLAAC 场景以太网接入方式下源地址验证技术要求多种地址分配方式共存场景公众无线局域网接入方式下源地址验证技术要求以太网接入方式下源地址验证技术要求管理信息库本标准按照 GB/T 1.1-2009 给出的规则起草。本标准由中国通信标准化协提出并归口。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识

4、别这些专利的责任。本标准起草单位：清华大学。本标准主要起草人：毕军、吴建平、王优、胡虹雨等。 YD/T 1公众无线局域网接入方式下源地址验证技术要求公众无线局域网接入方式下源地址验证技术要求 1 范围本标准规定了在 WLAN 中对数据包进行 IP 源地址验证的机制，包括 3 种部署场景：集中式 AP 过滤模式、集中式 AC 过滤模式、自治式 WLAN 模式。本标准适用于公众无线局域网接入方式下源地址验证。 2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

5、 IETF EUI-48 48 比特全球标识符指导 Guidelines For 48-bit Global Identifier （EUI-48） IETF EUI-64 64 比特全球标识符指导 Guidelines For 64-bit Global Identifier （EUI-64） IETF RFC3315 IPv6动态主机配置协议 Dynamic Host Configuration Protocol for IPv6（DHCPv6） IETF RFC4862 IPv6无状态地址自动分配协议 IPv6 Stateless Address Autoconfiguration，SL

6、AAC IETF RFC5415 无线接入点控制和配置协议规范 Control And Provisioning of Wireless Access Points （CAPWAP） Protocol Specification IETF RFC6620 本地 IPv6 地址的先到先服务源地址验证改进方法 FCFS SAVI: First-Come, First-Served Source Address Validation Improvement for Locally Assigned IPv6 Addresses IETF RFC7513 源地址验证改进方法-DHCP Source A

7、ddress Validation Improvement （SAVI） Solution for DHCP YD/T 23 术语、定义和缩略语 3.1 术语和定义下列术语和定义适用于本文件。 3.1.1 源地址验证 Source address validation 在IP报文路由寻址过程中，对其携带的源地址的有效性进行验证。 3.1.2 接入网源地址验证/源地址验证增强 Source address validation improvement 在主机所在接入网执行的源地址验证技术，将不允许主机假冒任意非合法分配或配置的地址。是源地址验证的第一步关卡，因此谓之源地址验证增强。 3.1

8、.3 绑定表 Bindings 监听地址分配过程，形成的合法IP地址与对应绑定锚的组合信息。 3.1.4 绑定锚 Binding anchor 绑定锚是主机的网络连接部件的链路层属性，是不容易被假冒的属性，可以是多个属性的组合，如主机 MAC 地址+交换机端口。 3.2 缩略语下列缩略语适用于本标准。 AP Access Point 无线访问节点 DAD Duplicate Address Detection 重复地址检测 DHCP Dynamic Host Configuration Protocol 动态主机配置协议 FCFS First-Come, First-Served 先到先

9、服务 YD/T 3SAVI Source Address Validation Improvement 源地址验证增强 SLAAC Stateless Address Autoconfiguration 无状态地址自动分配 WAPI Wireless LAN Authentication and Privacy Infrastructure 无线局域网鉴别和保密基础结构 WLAN Wireless Local Area Networks 无线局域网 4 概述本标准规定了在WLAN中对每个数据包进行IP源地址验证的机制。该机制执行ND监听或DHCP监听，以将分配的IP地址与经过授权的MAC

10、地址进行绑定。静态IP地址将通过手动方式与对应主机的MAC地址进行绑定。根据绑定关系，该机制可以检查本地数据包中源IP地址的有效性。MAC地址的安全性由802.11i或其他机制来保证，因此绑定关系也是安全的。一个接口具有多个MAC地址是一种特例。这种情况需要MAC-IP绑定表进行特殊处理。本标准对处理这种情况的机制进行了定义。本标准描述了三种部署场景。该机制在不同场景中被部署在不同设备上。本标准就部署细节进行了具体描述。当主机从一个访问接入点移动到另一个访问接入点时，可能会根据特定的迁移场景触发绑定条目的迁移。本标准定义了不同部署场景下主机迁移的处理机制。 5 IP-MAC 绑定

11、本章定义了创建和删除 IP 地址和 MAC 地址绑定的相关操作。 5.1 数据结构 5.1.1 IP-MAC 映射表该表将 IP 地址映射到相应的 MAC 地址。IP 地址是该表的索引。一个 IP 地址只能有一个对应的 MAC 地址，而不同的 IP 地址可以映射到相同的 MAC 地址。 YD/T 4此表用于控制过程（而非数据传输过程）。在创建新的 IP-MAC 绑定时，如果绑定条目发生冲突，必须首先查询该表。另外，在做任何包过滤之前，也必须查询该表。此表必须与第 5.1.2 节中指定的 MAC-IP 表同步。在 IP-MAC 映射表中的每个条目还必须记录 IP 地址的绑定状态。在 DHC

12、P 地址分配过程中监听的地址必须将其状态标记为“DHCPv6”，而在重复地址检测过程中监听到的地址，必须将其状态记录为“SLAAC”。 IP-MAC 映射表中的每个条目都有其生命周期。根据RFC3315，DHCP 分配的地址具有有限的生命周期，因此标记相关条目的生命周期与地址的相同。根据RFC4862，无状态地址也有一个有限的生命周期，由主机自己设置该生命周期。因此，标记相关条目的生命周期与地址的相同。 5.1.2 MAC-IP 映射表该表将 MAC 地址映射到相应的 IP 地址。MAC 地址是该表的索引。它是一个一对多的映射表，这意味着 MAC 地址可以映射到多个 IP 地址。虽然多个 M

13、AC 地址可能存在于一个接口上，但这些MAC 地址必须映射到不同的 IP 地址上。该表用于过滤。不同于有线网络，MAC-IP 映射表和 IP-MAC 映射表可以分别在不同的设备上进行维护。两表之间的同步机制必须服务于绑定的一致性。将在第 7 章中，针对不同的部署场描述该表的细节。 5.2 绑定的先决条件在基于绑定的机制中，IP 地址的安全性基于所绑定的锚的安全性。在 WLAN 中，链路层上的一些安全机制使 MAC 地址成为足够强的绑定锚，例如，802.11i，WAPI，WEP 等。如果 MAC 地址没有被保护，攻击者可以假冒 MAC 地址来通过验证。然而，一般情况下，如果MAC 地址不受

14、保护，就可以启动比 IP 假冒攻击更严重的攻击。 5.3 绑定建立：将 IP 地址绑定到 MAC 地址所有静态的 IP-MAC 地址对儿，在机制被允许的情况下，通过手工方式配置到 IP-MAC 映射表中。 YD/T 5处理 DHCP 地址到 MAC 地址的绑定，是一个独立的过程。该过程监听接入主机和 DHCP 服务器之间的 DHCP 地址分配过程。在 WLAN 中，DHCP 监听与RFC7513中描述的有线网络中的监听相同。处理无状态地址到 MAC 地址的绑定，也是一个独立的过程。该过程监听重复地址检测过程。WLAN 中的 ND 监听与在RFC6620中描述的有线网络中的监听相同。数据包

15、也可能触发创建新的 IP-MAC 绑定条目。对未绑定源 IP 地址的数据包以限定速度进行采样，来处理在 SLAAC 过程中 DAD 消息的丢失，这在无线网络中可能会经常发生。过程的细节将在第 6 章中定义。然而，这一机制将带来潜在的安全风险（例如目标为耗尽可用 IP 地址的攻击）。因此，是否启用该机制是可选的，如果启用了该机制，还必须使用额外的安全机制来应对风险。有关的安全考虑将在第 8 章中讨论。在一些部署场景中，地址监听功能和 IP-MAC 表维护的功能也可以被分离到不同的设备上。因此，为了防止绑定条目中的冲突，监听地址的设备必须与维护 IP-MAC 表的设备进行交互。将在第7.1.1

16、节中定义具体细节。 5.4 绑定迁移不同于有线网络，当移动主机从一个访问接入点移动到另一个访问接入点时，WLAN 的 SAVI必须处理绑定条目的迁移。由于主机在移动之后，不会执行新的地址分配过程来获得新的 IP 地址，而是继续使用现有的 IP 地址。因此，移动主机接入的漫游地设备，其绑定表项不能通过监听来建立。需要一种新的机制，来正确地将与移动主机的 IP 地址有关的绑定表项，从家乡设备迁移到漫游地设备。将在第 7 章中根据不同的部署场景描述绑定迁移的具体细节。 5.5 绑定清除三种事件将触发绑定清除： a）一个条目的 IP 地址的生命周期已经过期。该 IP 条目必须清除。 b）主机离

17、开该访问接入点。所有相关 MAC 地址的条目必须清除。 c）收到来自 IP 地址的所有者的 DHCP Release 消息。该 IP 条目必须清除。 YD/T 66 源地址验证本章描述数据包的源地址验证过程。在本过程中，假定所有帧都已通过了 802.11i 或其他安全机制的验证。本过程包含以下步骤：步骤 1：从数据包中提取 IP 源和 MAC 源。在 MAC-IP 映射表中查找 MAC 地址，并检查是否存在 MAC-IP 对。如果是，则转发数据包。否则进入第 2 步。步骤 2：在 IP-MAC 映射表中查找 IP 地址，检查 IP 地址是否存在。如果不存在，则转到第 3步。如果存在

18、，则检查条目中的 MAC 地址是否与数据包中的 MAC 地址相同。如果是，则转发该数据包。否则丢弃该数据包。步骤 3：如果允许数据包触发建立新的 IP-MAC 绑定条目的机制被启用，则插入一个新的条目到 IP-MAC 映射表中并转发该数据包。否则丢弃该数据包。在步骤 2 中，当数据包被判定有效并被转发后，应该触发 MAC-IP 和 IP-MAC 映射表之间的同步。数据包的 MAC-IP 绑定应该从 IP-MAC 映射表同步到 MAC-IP 映射表中，因此，后续携带相同MAC-IP 对的数据包，将被直接转发而不用执行步骤 2。同样在步骤 3 中，如果建立了一个新的 IP-MAC 绑定条目，

19、则应该同步到 MAC-IP 映射表中。 7 部署场景本章定义了三种部署场景，包括两个集中式 WLAN 和一个自治式 WLAN。同时，对每个场景下主机迁移（在访问接入点间）的部署细节和解决方案进行了分别描述。 7.1 集中式 WLAN 场景集中的 WLAN 由瘦 AP 和访问控制器（AC）组成。在该场景中，本标准提出了以下两种部署解决方案。 7.1.1 AP 过滤模式在该场景中，AC 维护 IP-MAC 映射表，而 AP 则维护 MAC-IP 映射表并执行地址监听。 7.1.1.1 候选绑定 YD/T 7AP 执行第 5.3 节中定义的过程。在监听过程后生成候选绑定。候选绑定必须经 A

20、C 确认才有效。 7.1.1.2 报文过滤如第 6 章中所定义，对于传入的数据包，AP 在本地 MAC-IP 映射表中查找 MAC 地址，并检查是否存在 MAC-IP 表项。如果是，则 AP 转发数据包。否则，AP 将数据包发送到 AC 进行进一步处理。当 AC 从 AP 接收到数据包时，AC 在本地 IP-MAC 映射表中查找 IP 地址，并检查 IP 地址是否存在。如果不存在，则根据 AC 的配置是否允许数据包触发绑定条目的创建，AC 创建一个新的IP-MAC 条目然后转发数据包，否则丢弃该数据包。如果 IP 地址已存在，则 AC 将检查条目中的 MAC地址与数据包中的 MAC

21、地址是否相同。如果相同，则 AC 转发数据包，否则 AC 丢弃该数据包。在 AC 转发一个有效的数据包之后，它将相关的 MAC-IP 绑定与接收数据包的 AP 上的 MAC-IP映射表进行同步。后续携带相同 MAC-IP 对的数据包将会被 AP 直接转发，而不用发送给 AC。 7.1.1.3 CAPWAP 扩展 CAPWAP 协议用于 AP 和 AC 之间的通信。本标准设计了一种扩展了RFC5415的新的CAPWAP 协议消息元素-主机 IP 消息元素，如图 1 所示。AP 和 AC 都使用主机 IP 消息元素来交换主机的绑定信息。主机 IP 消息元素被用于确认候选绑定的过程中。当 AP

22、生成一个候选绑定时，它会使用此消息向 AC 报告 MAC 地址和相关 IP 地址，并给出每个 IP 地址的状态和生命周期（根据第 5.1.1 节中定义的）的建议。在 AC 对候选绑定进行验证之后，它会使用一个相同格式的消息来回复 AP 每个 IP地址的验证情况，以及建议的状态和生命周期。主机 IP 消息元素也被用于绑定迁移的过程中。在移动场景中，移动主机接入的目的地设备需要向家乡设备请求相关绑定，而主机 IP 消息元素可以用于它们之间的交互。详细信息，根据不同的部署场景，将在后面章节中定义。 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9

25、. + +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | IPv6 flag | Length | IPv6 Address. + +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | IPv6 地址. + +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ 图 1 扩展的 CAPWAP 协议消息元素-主机 IP 消息元素无线信号 ID（Radio

26、 ID）：一个 8 位的值，表示无线信号，其值在 1 到 31 之间。总长度（Total Length）：以下字段的总长度。发送者 ID（Sender ID）：一个 8 位的值，表示消息的发送方。AP 用值 1 表示，AC 用值 2 表示。长度（Length）：Value 字段的长度。描述（Description）：描述发送者的字段，长度 16-bit。 MAC 标志（MAC flag）：表示 MAC 地址子域的类型，长度 8-bit。 MAC 地址的长度（Length）：MAC 地址的长度，支持EUI-48和EUI-64中指定的格式和长度。 MAC 地址（MAC Address）：主

27、机的 MAC 地址。 IPv6 标志（IPv4 flag）：表示 IP 地址子域的类型，长度 8-bit，值为 2。长度（Length）：IPv4 地址字段的长度。 IPv4 地址（IPv4 Address）：主机的 IPv4 地址。可能存在许多条目，每个条目由一个 IPv4 地址、一个 8 位的地址状态值（现在只使用值 1）、以及一个 32 位的生命值组成。 IPv6 标志（IPv6 flag）：表示 IPv6 地址子域的类型，长度 8-bit，其值为 3。 YD/T 9长度（Length）：IPv6 地址字段的长度。 IPv6 地址（IPv6 Address）：主机的 IPv6 地址

28、。可能存在许多条目，每个条目由一个 IPv6 地址、一个 8 位的地址状态值（现在仅使用了一个值）、以及一个 32 位的生命值组成。 7.1.1.4 移动解决方案当一个主机从一个 AP 移动到另一个 AP 时，在 IP 数据包传输之前需要完成 2 层（链路层）关联。当移动主机断开连接时，家乡 AP 会删除相关绑定，而目的地 AP 将立即通过主机 IP 消息元素（7.1.1.3节中定义），向 AC 请求与 MAC 地址相关的绑定地址。AC 同样通过新的 CAPWAP 协议消息返回绑定表，并给出其状态和生命周期的建议。在 AP 获得地址后并进行绑定后，绑定迁移完成。在 WLAN 中

29、，主机可以从 AC 移动到另一个 AC，同时保持使用相同的 IP 地址。为与该场景兼容，AC间必须进行绑定迁移的交互通讯。在第 7.1.1.3 节中定义的 CAPWAP 扩展也可用于 AC 之间的通信。 7.1.2 AC 过滤模式在此场景中，AC 维护 MAC-IP 和 IP-MAC 映射表，并执行地址监听和报文过滤。所以所有的报文必须先转发给 AC。 AC 执行第 5.3 节中定义的过程，通过查询本地 IP-MAC 映射表检查 IP-MAC 对儿的有效性。不需要其他额外的过程来建立 IP-MAC 绑定。 AC 执行第 6 章中定义的过程来进行分组过滤，不涉及其他额外的过程。主机在一个 A

30、C 内的移动，不会触发任何绑定迁移。在不同 AC 间的迁移会触发绑定迁移。AC必须进行通信以进行绑定迁移。在第 7.1.1.3 节中定义的 CAPWAP 扩展可用于 AC 间的通信。 7.2 自治式 WLAN 场景自治式 WLAN 仅由胖 AP 组成。在这个场景中，胖 AP 维护 MAC-IP 和 IP-MAC 映射表，并执行地址监听和报文过滤。胖 AP 执行第 5.3 节中定义的过程，通过查阅本地 IP-MAC 映射表检查 IP-MAC 对儿的有效性。不需要其他额外的过程来建立 IP-MAC 绑定。胖 AP 执行第 6 章中定义的过程过滤数据包，不涉及额外的过程。 YD/T 10主机在

31、不同胖 AP 之间移动，将触发绑定迁移。胖 AP 之间必须就绑定迁移进行通信。在第7.1.1.3 节中定义的 CAPWAP 扩展可用于胖 AP 之间的通信。 8 安全注意事项地址分配方法的安全性关系到本机制的安全性。因此，首先需要提高无状态自动地址分配方法和 DHCP 的安全性。在第 5.3 节中，描述了一种机制，允许数据包触发建立新的绑定项。如果启用了该机制，该机制可被利用发起攻击，最终可能导致可用 IP 地址耗尽。如果不采取任何限制，攻击者可以使用相同的 MAC 地址产生尽可能多的 IP-MAC 绑定。这样，其他主机可能无法触发任何绑定条目的配置，进而让数据包无法通过 SAVI 设备。为了应对潜在的安全风险，必须引入新的机制，例如限制同一MAC 地址可以关联的 IP 地址的最大数量。

展开阅读全文