YD/T 3062-2016
基本信息
标准号:
YD/T 3062-2016
中文名称:认证、授权、计费(AAA)系统支持 IPv6 的技术要求
标准类别:通信行业标准(YD)
标准状态:现行
出版语种:简体中文
下载格式:.zip .pdf
下载大小:2512045
相关标签:
认证
授权
计费
系统
技术
标准分类号
关联标准
出版信息
相关单位信息
标准简介
YD/T 3062-2016.Technical Requirements for AAA system supporting IPv6.
1范围
YD/T 3062规定了AAA系统支持IPv6的扩展,通过定义新的RADIUS属性,以实现RADIUS对IPv6网络接入的支持。
YD/T 3062适用于使用RADIUS协议的AAA系统。
2规范性引用文件
本文件应用下列文件。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
IETF RFC2373(1998) IPv6地址结 构(IP Version 6 Addressing Architecture)
IETF RFC2607(1999)漫游时的代理链和策略实现(Proxy Chaining and Policy Implementation in Roaming)
IETF RFC2856(2000)附加高容量数据类型的书面用语(Textual Conventions for Aditional High Capacity Data Types)
IETF RFC2865(2000)远程认证拨号用户服务协议(Remote Authentication Dial In User Service (RADIUS))
IETF RFC2868(2000) 用于隧道协议支持的RADIUS参数(RADIUS Attributes for Tunnel Protocol Support)
标准内容
ICS33.040.040
中华人民共和宝玉通信行标准
YD/T3062-2016
认证、授权、计费(AAA)系统
支持IPv6的技术要求
TechnicalRequirementsforAAAsystemsupportingIPv62016-04-05发布
2016-07-01实施
中华人民共和国工业和信息化部发布前
1范围·
2规范性引用文件
3缩略语
4概述
5部署场景
6参数·
7属性列表
8安全性考虑·
YD/T3062-2016
YD/T3062-2016
本标准按照GB/T1.1-2009给出的规则起草。注意本文件的某些内容可能涉及专利,本文件的发布机构不承担识别这些专利的责任本标准由中国通信标准化协会提出并归口。本标准起草单位:工业和信息化部电信研究院、中国普天信息产业股份有限公司、中国科学院计算技术研究所。
本标准主要起草人:赵
、锋、李振、张瀚文、王奕、张玉军、李自攀。I
TiiKAoNiKAca
YD/T3062-2016bzxZ.net
认证、授权,计费(AAA)系统支持IPv6的技术要求1范围
本标准规定了AAA系统支持IPv6的扩展,通过定义新的RADIUS属性,以实现RADIUS对IPv6网络接入的支持。
本标准适用于使用RADIUS协议的AAA系统。2规范性引用文件
本文件应用下列文件。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。IETFRFC2373(1998)
IETFRFC2607(1999)
IETF RFC2856(2000)
IETFRFC2865(2000)
IETFRFC2868(2000)
IETFRFC2869(2000)
IETFRFC3162(2001)
IETFRFC3315(2003)
IETFRFC3633(2003)
IETFRFC3646(2003)
IETFRFC4191(2005)
IETFRFC4818(2007)
IETFRFC6911(2008)
IETFRFC6106(2010)
IPv6地址结构(IPVersion6AddressingArchitecture)漫游时的代理链和策略实现(ProxyChainingandPolicyImplementationinRoaming)
附加高容量数据类型的书面用语(TextualConventionsforAdditionalHighCapacity Data Types
远程认证拨号用户服务协议(RemoteAuthenticationDialInUserService(RADIUS))
用于隧道协议支持的RADIUS参数(RADIUSAttributesforTunnelProtocolSupport)
RADIUS协议扩展(RADIUSExtensions)RADIUS和IPv6(RADIUS and IPv6)DHCPv6协议(Dynamic Host Configuration Protocol for IPv6 (DHCPv6))用于DHCPv6协议的IPv6前缀选项(IPv6PrefixOptionsforDynamicHostConfigurationProtocol(DHCP)version6)用于DHCPv6协议的DNS设置选项(DNSConfigurationoptionsforDynamicHostConfigurationProtocolforIPv6)(DHCPv6)默认路由选项和详细路由设置(DefaultRouterPreferencesandMore-Specific Routes)
RADIUSDelegated-IPv6-Prefix属性(RADIUSDelegated-IPv6-PrefixAttribute)
用于IPv6接入网络的RADIUS属性(RADIUSAttributesforIPv6AccessNetworks)
用于DNS设置的IPv6路由宣告选项(IPv6RouterAdvertisementOptionsforDNS Configuration)
HiiKAoNiKAca
YD/T3062-2016
3缩略语
下列缩略语适用于本文件。
DHCPv6
IPv6CP
RADIUS
4概述
Authentication, Authorization and AccountingAccess Node
Dynamic Host Configuration Protocol for IPv6Digital Subscriber Line Access MultiplexerIPv6 Control Protocol
Link Control Protocol
NetworkAccess Server
Neighbor Discovery
RemoteAuthenticationDialInUserServiceResidential Gateway
Stateless Address Autoconfiguration认证、授权和计费
接入节点
动态主机配置协议
数字用户线路接入多路复用器
IPv6控制协议
链接控制协议
网络接入服务器
邻居发现
远程用户拨号认证服务
家庭网关
无状态地址自动配置
本标准定义了RADIUS协议的IPv6扩展,通过定义新的RADIUS属性实现RADIUS协议对IPv6网络接入的支持,支持对DHCPv6和ICMPv6路由器宣告(RA)的各种参数配置,具体包括:一支持通过DHCPv6为主机分配IPv6地址:一支持分配命名授权前缀池,用于DHCPv6(见IETFRFC3633):一支持分配命名有状态地址池,用于DHCPv6的有状态地址分配(见IETFRFC3315):一支持通过DHCPv6或RA,分配DNS服务器地址(见IETFRFC6106);一支持IETFRFC4191中定义的路由信息选项,为用户配置更详细的路由信息。5部署场景
5.1概述
本标准提出的RADIUS扩展将应用于多种的网络接入场景。图1所示给出了其中一个典型的应用场景,该场景包括:一个IP路由家庭网关(ResidentialGateway,RG)或者主机(host);一个二层的接入节点(AccessNode,AN),比如数字用户线路接入多路复用器(DigitalSubscriberLineAccessMultiplexer,DSLAM):一个网络接入服务器(NetworkAccessServer,NAS),即AAA客户端(AAAClient);一个AAA服务器。
该场景中,NAS可能使用IP地址分配协议(如DHCPv6)为家庭网关或主机分配地址。RADIUS服务器对每个家庭网关和主机进行认证,并返回用于授权和计费的属性。这些属性可能包括主机的IPv6地址、DNS服务器地址、一组按照相应协议(如邻居发现,NeighborDiscovery,ND)宣告的IPv6路由信息。AAA服务器也可以通过RADIUS属性向NAS提供用于DHCPv6前缀授权的前缀池的名字、用于DHCPv6地址分配的地址池的名字等信息。NAS在发送RADIUSAccess-Request时可能事先并不确定家庭网关或主机将使用IPv4、IPv6,还是同时使用。比如,在PPP中,IPv6CP就发生在LCP之后,因此,地址分配发生在RADIUS认证和授权2
HiiKAoNiKAca
YD/T3062-2016
完成之后。因此文档定义的IPv6属性可能同时与IPv4相关属性通过同一RADIUS消息进行发送,NAS将决定使用哪些属性。NAS应该仅为用户分配器分配能够使用的地址和前缀。比如,NAS无需为仅支持IPv6的主机分配IPv4地址。
.(RADIUS)
5.2IPv6地址分配
(Ethernet)
图1部署场景
为了支持ICMPv6中的无状态地址自动配置(StatelessAddressAutoconfiguration,SLAAC),本标准定义了Framed-Interface-Id和Framed-IPv6-Prefix两个属性,结合这两个属性即可指定一个IPv6地址。除了AAA服务器直接分配地址前缀给用户(主机),还可以指示NAS从其前缀池中选择一个分配给用户,本标准定义了Framed-IPv6-Pool参数,用于为NAS指定一个前缀池。DHCPv6提供了一个向主机分配一个或多个IPv6非临时地址的机制。为了向实现于NAS上的DHCPv6服务器提供一个或多个可供分配的IPv6地址,本标准指定了Framed-IPv6-Address属性。尽管结合Framed-Interface-Id和Framed-IPv6-Prefix参数可以指定IPv6地址,但是如上文提到的,这种分配方式更适用于IPv6CP协议,而不适用于DHCPv6,并且使用一个单一的地址简化了计费的处理。由于ICMPv6无状态地址配置协议和DHCPv6协议可能同时部署于同一网络中,所以NAS可能需要有状态和无状态两种配置信息。因此Framed-IPv6-Address、Framed-IPv6-Prefix和Framed-Interface-Id可能出现在同一个消息中。当三个属性都出现时,为了避免出现歧义,Framed-IPv6-Address用于DHCPv6分配地址的授权和计费,Framed-IPv6-Prefix和Framed-Interface-Id则用于由SLACC分配地址的授权和计费。
5.3有状态IPv6地址池
DHCPv6提供了一种分配机制,可以为主机分配一个或者多个非临时的IPv6地址。本标准5.1节提到的Framed-IPv6-Address属性可以向NAS一侧的DHCPv6服务器提供一个或者多个IPv6地址分配给用户。另一种能获得相似效果的做法就是由NAS从本地的地址池中选择分配给用户的IPv6地址。本标准定义了Stateful-IPv6-Address-Pool属性使得AAA服务器可以将一个地址池的名字传递给NAS,指示NAS从该特定的地址池中为用户分配地址。5.4IPv6前缀授权
DHCPv6前缀授权即为用户分配IPv6地址前缀,用户可以在用户网络中使用该前缀。为了对其进行支持,本标准定义了Delegated-IPv6-Prefix属性,该属性携带将要授权给用户的IPv6前缀。在Delegated-IPv6-Prefix属性中携带的前缀可以由用户通过DHCP前缀指定(DHCPPrefixDelegation)分配给另一节点。
HiiKAoiKAca
YD/T3062-2016
Delegated-IPv6-Prefix属性可用于前缀代理路由器(DelegatingRouter)和RADIUS服务器间的DHCF前缀授权,消息流程如图2所示
Requesting Router
-Solicit
Delegating Router
-Reques
RADIUS Server
-Accept(Delegated-IPv6-Prefix)-<--Advertise(Prefix)-
-Request(Prefix)-
<--Reply(Prefix)-
DHCPPD
RADIUS
图2DHCP前缀授权流程
值得注意的是,Framed-IPv6-Prefix属性并不能支持对将在用户网络中所使用的IPv6前缀的授权。因此,Framed-IPv6-Prefix和Delegated-IPv6-Prefix属性可能出现在同一个RADIUS消息中。5.5授权IPv6前缀池
DHCPv6前缀授权(DHCPv6PrefixDelegation,DHCPv6-PD)涉及到前缀代理路由器选择前缀,并将其授权给请求的路由器。前缀代理路由器可能实现许多策略以实现前缀授权时前缀的选择,其中一种策略就是本地命名前缀池。本标准中定义了Delegateed-IPv6-Prefix-Pool属性,使得AAA服务器可以向NAS指示一个前缀池的名字,该前缀池相关DHCPv6-PD服务器将作为前缀代理路由器。由于DHCPv6前缀授权和无状态地址自动配置(SLAAC)可能共存同一网络中,因此,Delegated-IPv6-Prefix-Pool和Framed-IPv6-Pool两个属性可能同时出现在一个RADIUS消息中。为了避免这种情况下出现的歧义,Delegated-IPv6-Prefix-Pool属性用于DHCPv6前缀授权时对前缀池的授权和计费,而Framed-IPv6-Pool属性则用于SLAAC中前缀池的授权和计费。5.6DNS服务器
DHCPv6提供了一个供主机配置IPv6DNS服务器的选项。DNS服务器地址也可以通过路由通告中的递归域名服务器参数被传递给主机(见IETFRFC6106)。为了向NAS提供一个或者更多的DNS服务器地址,本标准指定了DNS-Server-IPv6-Address属性。5.7IPv6路由信息
本标准定义了Framed-IPv6-Route属性,由AAA服务器向NAS提供NAS应为用户配置的路由信息。NAS可以根据Framed-IPv6-Route属性配置用户路由信息,并使用IP路由协议将其宣告出去,但是却不能将这些路由信息通过RA消息进行宣告。IPv6的路由信息选项(见IETFRFC4191),可用于向连接到NAS的主机宣告特定路由。本标准定义了Route-IPv6-Information属性,使得AAA服务器可以将路由信息传递给NAS,NAS再以路由信息选项的方式传递给接入的主机。NAS可能使用(见IETFRFC4191)中描述的方式或者其它方式将这些信息传递给主机。在实际传播中需要的任何其它的信息(如默认值、生存时间等)的传播方式由NAS决定,本标准并没有指定。
6参数
6.1NAS-IPv6-Address
该属性指示为用户提出认证请求的NAS的IPv6地址,该IPv6地址应该在RADIUS服务器管理的范4
HiiKANiKAca
YD/T3062-2016
围内是唯一的。NAS-IPv6-Address只出现在Access-Request消息中。NAS-IPv6-Address和/或NAS-IP-Address可能同时出现在Access-Request消息中;如果两者均未出现时,该Access-Request消息应包含NAS-Identifier属性。
NAS-IPv6-Addresss属性格式如图3所示。o
012345678901
Address
图3中各字段的值:
类型(Type):95;
—长度(Length):18:
Length
Address
Address
Address
012345678901
图3NAS-IPv6-Address属性格式
地址(Address):地址字段为16字节。6.2 Login-IPv6-Host
当RADIUS消息中包含了Login-Services属性时,Login-IPv6-Host属性指示供用户连接的系统。该属性可能出现在Access-Accept消息中。NAS可能通过该属性向AAA服务器暗示,它将优先选择的主机,但是不要求服务器遵循这个暗示。Login-IPv6-Host属性的格式如图4所示。0
01234567890123456789012345678901+-+-+-+-+-+-+-
+-+-+-+-
++-+-+-+-+
Address
图4中各字段的值:
一类型(Type):98:
—长度(Length):18:
Length
Address
Address
Address
+++++++++++++
Address
+-+-+-+
图4Login-IPv6-Host属性格式
一地址(Address):地址字段为16字节。如果数值为OxFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF,5
HiiKAoNiKAca
YD/T3062-2016
则表示NAS应该允许用户选择要连接的地址或者名字。如果数值为O,则表示NAS应当选择一个主机供用户连接。其它值表示NAS应当将用户连接到该地址。6.3Framed-Interface-ld
Framed-Interface-Id属性指示将分配给用户的IPv6接口标识符。它可能出现在Access-Accept消息中。如果已成功协商出了Interface-IdentifierIPv6CP选项,那么Framed-Interface-Id属性应被包含在Access-Request消息包中,用于NAS向AAA服务器暗示,它将优先选择协商出的接口标识。推荐但是不要求服务器遵循该暗示。
Framed-Interface-Id属性格式如图5所示。0
01234567890123456789012345678901-+
Interface-Id
++-+-+
图5中各字段的值:
一类型:96:
长度:10:
Length
Interface-Id
图5Framed-Interface-ld属性格式一接口标识(Interface-Id):接口标识字段为8字节。6.4 Framed-IPv6-Prefix
Interface-Id
十-十-十
Framed-IPv6-Prefix属性指示将配置给用户的一个IPv6前缀(及对应的路由)。该属性可能出现在Access-Accept消息中,并且可能出现多次。该属性也可能出现在Access-Request消息中,用于NAS向AAA服务器暗示,它将优先选择的前缀,但不要求服务器遵循该暗示。因为假设NAS将会生成与前缀相对应的路由表项,因此AAA服务器没有必要发送相同前缀对应的Frame-IPv6-Route属性。Framed-IPv6-Prefix属性格式如图6所示。0
012345678901
图6中各字段的值:
一类型(Type):97;
Length
3456元
Prefix
Prefix
Prefix
Prefix
Framed-IPv6-Prefix属性格式
345678901
Prefix
Length
HiiKAoNiKAca
长度(Length):最少为4字节,最多为20字节:一保留字段(Reserved):保留字段应要出现在属性中,且应置O:前缀长度(Prefix-Length):前缀的比特长度,最短为0,最长为128:YD/T3062-2016
一前缀(Prefix):前缀字段最长为16字节,“前缀长度\以外的字节,如果有,应为0。6.5Framed-IPv6-Pool
Framed-IPv6-Pool属性包含一个所分配的地址池的名字,NAS使用该地址池为用户分配IPv6前缀。如果NAS不支持多个地址池,那么NAS应忽略该属性。Framed-IPv6-Pool属性格式如图7所示。0
012345678901234567890123
图7中各字段的值:
一类型(Type):100;
—长度(Length):>3:
Length
图7Framed-IPv6-Pool属性格式
字符串(String):String字段包分配的IPv6前缀池(配置与NAS)的名字。6.6 Framed-IPv6-Address
Framed-IPv6-Address属性指示了将要分配给与NAS相连用户(家庭网关或主机)的IPv6地址。Framed-IPv6-Address属性可能出现在Access-Accept消息中,并且可能出现多次。Framed-IPv6-Address属性也可能出现在Access-Request包中,作为NAS向服务器的一个暗示,它将优先选择这个地址,但是不要求服务器遵循这个暗示。由于假设NAS将会根据这条地址增加一条对应的路由项,所以RADIUS服务器不需要发送针对该地址的Framed-IPv6-Route属性。该属性可以被NAS上的DHCPv6进程用于为用户(家庭网关或主机)分配一个唯一的IPv6地址。Framed-IPv6-Address属性格式如图8所示,其中,地址字段的格式与NAS-IPv6-Address属性的相应字段定义一致。
Length
Address (cont)
012345678901
Address
Address(cont)
Address (cont)
Address (cont)
-+-+-+-+-+-+-+
图8Framed-IPv6-Address属性格式7
YD/T3062-2016
图8中各字段的值:
类型(Type):168:
长度(Length):18:
一地址(Address):128bit的IPv6地址。6.7 Delegated-IPv6-Prefix
Delegated-IPv6-Prefix属性携带将要授权给用户的IPv6前缀。Delegated-IPv6-Prefix可能出现在Access-Accept消息中,并且可能出现多次。该属性可能出现在Access-Request消息中,用作NAS向AAA服务器暗示,它将优先选择该前缀,但是不要求服务器遵循该暗示。Delegated-IPv6-Prefix属性也可能出现在Accounting-Request消息中。除此之外,Delegated-IPv6-Prefix属性不应该出现在其它RADIUS消息中。
Delegated-IPv6-Prefix属性的格式如图9所示。0
01234567890123456789012345678901Type
图9中各字段的值:
类型(Type):123:
Length
Prefis
Reserved
Prefix
Prefix
Prefix
图9Delegated-IPv6-Prefix属性格式Prefix-Length
长度(Length):整个属性的长度,单位为字节。至少4个字节(包括类型/长度/保留位/前缀长度几个字段,前缀字段为0),最多为20字节(包括类型/长度/保留位/前缀长度/前缀,其中前缀为128bit):保留位(Reserved):发送者将该字段置O,接收者忽略该字段;前缀长度(Prefix-Length):被授权前缀的长度,单位bit,最短0,最长128(标识一个IPv6地址):
,前缀(Prefix):前缀字段只要求包含前缀的有效位即可,可以少于16字节。前缀有效位之外的字段应该被置为0。
6.8Delegated-IPv6-Prefix-PoolDelegated-IPv6-Prefix-Pool属性指示一个前缀池的名字,NAS应该从这个前缀池为用户分配授权IPv6前缀。如果NAS不支持前缀池,则应忽略该属性。Delegated-IPv6-Prefix-Pool属性可能出现在Access-Request消息中,作为NAS向AAA服务器的暗示,但是不要求服务器遵循该暗示。Delegated-IPv6-Prefix-Pool属性格式如图10所示。01
图10中各字段的值:
一类型(Type):171;
Length
图10Delegated-IPv6-Prefix-Pool属性格式一长度(Length):单位为字节,至少为3:一字符串(String):该字段包括预先配置在NAS中的一个IPv6前缀池的名字。6.9Stateful-IPv6-Address-PoolYD/T3062-2016
Stateful-IPv6-Address-Pool属性包括一个地址池的名字,NAS应使用该地址池为用户分配IPv6地址如果NAS不支持地址池,则应忽略该属性。Stateful-IPv6-Address-Pool属性可能出现在Access-Request消息中,作为NAS向AAA服务器的暗示,但是不要求服务器遵循该暗示。Stateful-IPv6-Address-Pool属性格式如图11所示0
012345678901234567890123
Length
string
图11Stateful-IPv6-Address-Pool属性格式图11中各字段的值:
一类型(Type):172;
一长度(Length):单位为字节,至少为3:一字符串(String):该字段包括一个预先配置在NAS中的IPv6地址池的名字。6.10DNS-Server-IPv6-Address
DNS-SerVer-IPv6-Address属性指示一个DNS服务器的IPv6地址。当NAS需要向用户(家庭网关或主机)发送多个DNS服务器地址时,DNS-Server-IPv6-Address属性可能在Access-Accept消息中出现多次。DNS-Server-IPv6-Address属性可能出现在Access-Request消息中,作为NAS向服务器的一个暗示,它将优先选择该DNS服务器地址,但是不要求服务器遵循该暗示。DNS-SerVer-IPv6-Address属性的内容可以被复制到DHCPv6DNS递归域名服务器选项(见IETFRFC3646),或者IPv6路由宣告(RA)的递归域名服务器选项(见IETFRFC6106)中。如果AccesS-Accept消息中包含多个DNS-Server-IPv6-Address属性,应该按相同顺序复制这些地址。DNS-Server-IPv6-Address属性格式如图12所示,其中,地址字段的格式与NAS-IPv6-Address属性的相应字段定义一致。
图12中各字段的值:
类型(Type):169:
—长度(Length):18;
地址(Address):DNS服务器的IPv6地址(128bit)。9
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。