YD/T 3166-2016
基本信息
标准号: YD/T 3166-2016
中文名称:IPv4/IPv6 过渡场景下基于 SAVI 技术的源地址验证及溯源技术要求
标准类别:通信行业标准(YD)
标准状态:现行
出版语种:简体中文
下载格式:.zip .pdf
标准分类号
关联标准
出版信息
相关单位信息
标准简介
YD/T 3166-2016.The specification for SAVI-based IP source address validation and traceback in IPv4/IPv6 transition scenarios.
1范围
YD/T 3166规定了在IPv4/IPv6过渡场景下,基于SAVI技术建立起的- -种通用性的数据包源地址验证及追溯框架性方案,包括方案的总体概述、隧道场景的属性解析、不同属性组合场景下的源地址验证方案、追溯方案、方案验证示例、以及双栈及翻译场景下方案的适用性等内容。
YD/T 3166适用于IPv4/IPv6过渡场景中用户主机的接入交换机,技术方案中涉及到的主要操作适用于监听地址分配协议并对主机相关属性进行绑定验证的处理过程。
2术语、定义和缩略语
2.1术语和定义
下列术语和定义适用于本文件。
2.1.1
接入网源地址改进方案Source Address Validation Improvement (SAVI)
一种接入网环境下的源地址验证方案。主要通过在IPv6接入设备( 接入交换机,无线AP/AC等)内建立三元绑定关系: <终端的IPv6地址,终端的MAC (Media Access Control)地址,接入设备的端口号>,从而确保接入的终端无法使用伪造地址访问网络。
2.1.2
4over6源主机4over6 Source Host
在过渡场景中,发起过渡访问数据包的源主机。
2.1.3
网络地址转换Network Address Translation
一种将 某一组IP地址映射 到另一组IP地址的转 换技术。
2.1.4
IP源地址验证IP Source Address Validation
一种确保数据包中源地址字段数据真实可靠,并确保来自于真实发送主机的功能。
2.1.5
IP源地址溯源IP Source Address Traceback
一种根据数据包中源地址字段数据,追溯到真实发送主机的功能。
1范围
YD/T 3166规定了在IPv4/IPv6过渡场景下,基于SAVI技术建立起的- -种通用性的数据包源地址验证及追溯框架性方案,包括方案的总体概述、隧道场景的属性解析、不同属性组合场景下的源地址验证方案、追溯方案、方案验证示例、以及双栈及翻译场景下方案的适用性等内容。
YD/T 3166适用于IPv4/IPv6过渡场景中用户主机的接入交换机,技术方案中涉及到的主要操作适用于监听地址分配协议并对主机相关属性进行绑定验证的处理过程。
2术语、定义和缩略语
2.1术语和定义
下列术语和定义适用于本文件。
2.1.1
接入网源地址改进方案Source Address Validation Improvement (SAVI)
一种接入网环境下的源地址验证方案。主要通过在IPv6接入设备( 接入交换机,无线AP/AC等)内建立三元绑定关系: <终端的IPv6地址,终端的MAC (Media Access Control)地址,接入设备的端口号>,从而确保接入的终端无法使用伪造地址访问网络。
2.1.2
4over6源主机4over6 Source Host
在过渡场景中,发起过渡访问数据包的源主机。
2.1.3
网络地址转换Network Address Translation
一种将 某一组IP地址映射 到另一组IP地址的转 换技术。
2.1.4
IP源地址验证IP Source Address Validation
一种确保数据包中源地址字段数据真实可靠,并确保来自于真实发送主机的功能。
2.1.5
IP源地址溯源IP Source Address Traceback
一种根据数据包中源地址字段数据,追溯到真实发送主机的功能。
标准图片预览
标准内容
ICS33.040.40
中华人民共和宝玉通信行标准
YD/T3166-2016
IPv4/IPv6过渡场景下基于SAVI技术的源地址验证及溯源技术要求
ThespecificationforSAVl-basedIPsourceaddressvalidationandtracebackinIPv4/IPv6transitionscenarios2016-07-11发布
2016-10-01实施
中华人民共和国工业和信息化部发布前
范围·
术语、定义和缩略语
4隧道场景…
5方案示例说明
6双栈及翻羽译场景
总结·
YD/T3166-2016
YD/T3166-2016
本标准按照GB/T1.1-2009给出的规则起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任本标准由中国通信标准化协会提出并归口。本标准起草单位:清华大学、中国电信集团公司。本标准起草人:徐恪、胡光武、吴建平、史凡、朱亮
TiiKAoNiKAca
YD/T3166-2016
IPV4/IPv6过渡场景下基于SAVI技术的源地址验证及潮源技术要求1范围
本标准规定了在IPv4/IPv6过渡场景下,基于SAVI技术建立起的一种通用性的数据包源地址验证及追溯框架性方案,包括方案的总体概述、隧道场景的属性解析、不同属性组合场景下的源地址验证方案、追溯方案、方案验证示例、以及双栈及翻译场景下方案的适用性等内容。本标准适用于IPv4/IPv6过渡场景中用户主机的接入交换机,技术方案中涉及到的主要操作适用于监听地址分配协议并对主机相关属性进行绑定验证的处理过程。2术语、定义和缩略语
2.1术语和定义
下列术语和定义适用于本文件。2.1.1
接入网源地址改进方案SourceAddressValidationImprovement(SAVI)-种接入网环境下的源地址验证方案。主要通过在IPv6接入设备(接入交换机,无线AP/AC等)内建立三元绑定关系:<终端的IPv6地址,终端的MAC(MediaAccessControl)地址,接入设备的端口号>,从而确保接入的终端无法使用伪造地址访问网络。2.1.2
4over6源主机4over6SourceHost在过渡场景中,发起过渡访问数据包的源主机。2.1.3
网络地址转换NetworkAddressTranslation一种将某一组IP地址映射到另一组IP地址的转换技术。2.1.4
IP源地址验证IPSourceAddressValidation一种确保数据包中源地址字段数据真实可靠,并确保来自于真实发送主机的功能。2.1.5
IP源地址潮源IPSourceAddressTraceback一种根据数据包中源地址字段数据,追溯到真实发送主机的功能。2.1.6
SAVI的管理数据库SAVIManagementDatabase(SMD)SAVI管理平台可以通过SNMP协议获取管理域内所有SAVI交换机的绑定条目信息,并形成管理域内接入主机统一的绑定信息数据库。2.2缩略语
下列缩略语适用于本文件:
4over6 Initiator
4over6隧道的发起点
HiiKAoNiKAca
YD/T3166-2016
4over6Concentrator
3概述
AddressFamilyTransitionRouterBaseBridgingBroadBandElementCarrier Grade NAT
CustomerPremiseEquipment
DynamicHost ConfigurationProtocolGenericRoutingEncapsulation
Internet Service Provider
Network Address Translator
4over6隧道的汇聚点
大规模NAT路由器
家庭接入网关
运营商级NAT
用户侧前端设备
动态主机配置协议
通用路由封装协议
互联网服务提供商
网络地址翻译器
本标准提出的IPv4/IPv6过渡场景下源地址验证及追溯框架方案,通过扩展SAVI(SourceAddressValidationImprovement)机制的绑定细节,并利用SAVI交换机监听接入主机的地址分配协议,根据不同的过渡场景对用户主机的IP源地址,MAC地址,交换机端口以及相关属性进行绑定,实现在用户主机第一跳位置过滤假冒源地址数据包的目的。同时方案还通过逐级定位的方法,具有对发送假冒数据包源主机追溯的能力。
本标准最大的特点在于只需在用户第一跳接入位置部署支持SAVI机制扩展的交换机,而无须修改其他网络设备或网络协议,即可实现对假冒数据包过滤及追溯的目标。同时因整体机制具有框架组合性,使得本方案不仅能够支持现有的过渡场景,同时对未来可能出现的过渡场景也具有适应性。本标准所适用的威胁模型应用于攻击者可以对数据分组中包括源地址在内的任意字段进行修改,从而实现假冒受害者主机、隐匿身份及攻击他人的非法目的,但攻击者不能对网络中的设备,如NAT(NetworkAddressTranslator)设备、路由器、防火墙、网关设备等进行操纵。本标准重点对IPv4/IPv6隧道过渡场景下的源地址验证及追溯技术进行了定义,同时对双栈及翻译场景也予以了说明。4隧道场景
4.1总体机制
本标准对于隧道场景下源地址验证及追溯机制是将IPv4/IPv6过渡场景中共有的、本质性的元素进行解析,并对每一种元素提出基于SAV机制扩展的源地址验证及追溯子方案。当某一种过渡场景由这些元素(部分或全部元素)组合而成时,该过渡场景下的源地址验证及追溯方案则由这些元素所对应的子方案组合而成。
4.2属性解析
本标准首先对过渡场景中共有而本质的属性进行了提取,从而形成单个属性的源地址验证及追溯子方案,以图1的4over6方案为例,具体解析结果如表1所示。HiiKAoNiKAca
A:源主机实际
所运行的协议栈
(双栈,单栈
IPv4,单栈IPv6)
B:分配给源主机IPv4
和IPv6地址间的关系
(有状态,无状态)
C:源主机所使用的
IPv4地址的类型(私有,
公有,私有带端口共
公有带端口共享)
IPv6headeriPv4headerIPv4payloadIPy4 Network下载标准就来标准下载网
4over6
source host
4over6 Initiator
属性组
源主机实际所运行的协议栈
源主机IPv4和IPv6地址之间的关系源主机所使用的IPV4地址的类型地址转换(NAT)设备所处的位置Pv4in-IPve
IPv6 Network
D:地址转换(NAT)设备
所处的位置(用户侧,
网络侧,两者均有)
YD/T3166-2016
IPv4 Internet
4over6
Concentrator/NAT
图1过渡场景属性解析示例
表1过渡场景属性解析列表
属性组代号
仅IPv4
仅IPv6
无状态Stateless
有状态Stateful
私有地址
公有地址
属性名称
公有地址带端口共享
私有地址带端口共享
仅在用户侧
仅在网络侧
在用户侧和网络侧都存在
属性值
如表1所示,属性组A表明了源主机实际所使用的协议栈(注意并非指接入主机所在网络所支持的协议栈。例如,尽管接入网只提供IPv6服务,但源主机可能同时运行IPv4、IPv6协议栈,即可以将IPv4数据包封装在IPv6数据包中,并运行IPv4相关服务),同时属性组还包括若于具体的属性值:属性组B表示源主机所使用的IPv4和IPv6两种地址的关系:“无状态(Stateless)表明两种地址具有映射关系,可以互相推导。“有状态(Stateful)表明两种地址没有任何关系,无法进行推导,其映射机制需要由网关设备来完成;属性组C表示了源主机使所用的IPv4地址的形式,公有IPv4或私有IPv4地址。同时,由于IPv4/IPv6网络互相访问时,无法满足IPv4和IPv6两种地址的1:1的映射关系,可能造成多台主机共享同一个IPv4地址,但通过分割上层应用端口范围进行区分的机制(如PCP协议)。属性组D表示了地址转换设备(NAT)所处的位置,D1、D2、D3表明NAT地址转换服务可以分别处于源主机所在本地网络、所访问的目的网络以及两种网络同时存在。
4.3源地址验证方案
针对上述过渡场景中解析属性,本标准规定了源地址验证及追溯的子方案。当这些基本属性组合形成不同的过渡方案时,相应的源地址验证及追溯方案随即产生。由于目前SAVI标准只能适应IPv6以太网,3
iiKAoNiKAca
YD/T3166-2016
并监听SLAAC(Statelessaddress autoconfiguration)/DHCPv6(DynamicHostConfigurationProtocol)地址分配协议,同时也只能够绑定IPv6,MAC地址及交换机端口号”三者属性,因此无法适应复杂的过渡场景。本标准通过对SAVI机制进行扩展,针对过渡场景的主要特征,对源主机绑定细节进行改进,从而实现对不同属性组合所形成的过渡场景下,SAVI交换机对接入主机关键信息的绑定及源地址验证机制,如表2所示。
表2过渡场景属性组合情况下源地址验证方案序号
A1-B1/B2-C1/C
2-(D1/D2/D3)
A1-B1/B2-C3/C
4-(D1/D2/D3)
A2-B1/B2-C1/C
2-(D1/D2/D3)
A2-B1/B2-C3/C
4-(D1/D2/D3)
A3-B1/B2
过渡方案(场景)
源地址验证方案
双栈、无/有状态、IPv4地址为SAVI交换机绑定源主机的典型方案:DS-Lite
双栈、无/有状态、IPv4地址带
端口共享
典型方案:轻量级Public4over6双栈场景
link-port>;隧道汇聚点验证源主机的IPv6与IPv4地址间的关系
SAVI交换机绑定源主机的:隧道汇聚点验证源主机IPv6与IPv4地址(带端口)间的关系单栈IPv4、无/有状态、IPv4地
SAVI交换机绑定源主机的:隧道址为公有/私有地址
典型方案:Public4over6
汇聚点验证源主机的IPv6与IPv4地址间的关系单栈IPv4、无/有状态、IPv4地SAVI交换机绑定源主机的范围>:隧道汇聚点验证源主机IPv6与IPv4地址(带端口)间的关系
典型方案:A+P:LAFT4over6
单栈IPv6、无/有状态
典型方案:6RD
SAVI交换机绑定源主机的:隧道汇聚点验证源主机的IPv6与IPv4地址间的关系在表2的属性组合列中,符号-\表示连接关系,斜线“\表示任选其一操作,而括号表示可选操作(即可以参与组合也可以不参与)。以表2中序号为1的“A1-B1-C1/C2-(D1/D2/D3)”属性组合为例予以说明,该组合表示属性A1先与属性B1组合:然后与属性C1或C2中的任一个进行组合,之后进一步地与属性D1D2或D3中的任意一个进行组合(可选)。以上属性组合所对应的过渡方案场景是\Public4over6双栈有状态或无状态场景,所对应的源地址验证方案是通过用户接入SAVI交换机绑定该主机的IPv6、MAC地址,以及接入端口号三者属性,同时在隧道的汇聚点位置来验证源主机的IPv6地址及封装的IPv4地址之间映射关系的正确性。
4.4源地址追溯方案
本标准还规定了以上属性组合下的源地址追溯方案,如表3所示。需要说明的是,这一功能的实现还要依赖于SAVI交换机在绑定主机信息后,SAVI的管理数据库SMD通过SNMP协议获取管理域内所有主机的绑定信息。因此一旦主机在接入网IP地址确定,即可通过查询SMD数据库就能直接获得主机所在的SAVI交换机及接入端口号,从而定位源主机。表3过渡场景属性组合情况下源地址追溯方案序号
A1-B1/B2-C1/C
2-(D1/D2/D3)
过渡方案(场景)
双栈、无/有状态、IPv4地址为
公有/私有地址
典型方案:DS-Lite
追溯方案
根据追溯数据包的IPv4源地址一→若网络侧存在地址转换(D2),则查询NAT转换前的IPv4地址→通过直接推导(B1)或在隧道汇聚点查询出IPv4地址所对应的IPv6地址(B2)→定位源主机
HiiKAoNiKAca
A1-B1/B2-C3/C
4-(D1/D2/D3)
A2-B1/B2-C1/C
2-(D1/D2/D3)
A2-B1/B2-C3/C
4-(D1/D2/D3)
A3-B1/B2
5方案示例说明
过渡方案(场景)
表3(续)
双栈、无/有状态、IPv4地址带
端口共享
典型方案:轻量级Public4over6双栈场景
单栈IPv4、无/有状态、IPv4地
址为公有/私有地址
典型方案:Public4over6
单栈IPv4、无/有状态、IPv4地
址带端口共享
典型方案:A+P:LAFT4over6
单栈IPv6、无/有状态
典型方案:6RD
追溯方案
YD/T3166-2016
根据追溯数据包的IPv4地址→若网络侧存在地址转换(D2),则查询NAT转换前的IPv4地址一→通过直接推导(B1)或在隧道汇聚点查询出IPv4地址及端口所对应的IPv6地址(B2)一定位源主机
根据追溯数据包的IPv4地址→若网络侧存在地址转换(D2)→通过直接推导(B1)或在隧道汇聚点查询出IPv4地址所对应的隧道发起点IPv6地址(B2)一定位隧道的发起者一,若用户侧存在地址转换(D1),则查询转换前IPv4地址一定位源主机
根据追溯数据包的IPv4地址→若网络侧存在地址转换(D2)一→通过直接推导(B1)或在隧道汇聚点查询出IPv4地址及端口号所对应的隧道发起点IPv6地址(B2)→定位隧道的发起者→若用户侧存在地址转换(D1),则查询转换前IPv4地址一→定位源主机根据追溯数据包的IPv6地址→通过直接推导(B1)或在隧道汇聚点查询出IPv6地址所对应的隧道发起点IPv4地址(B2)一定位隧道发起者→定位源主机为进一步阐述本标准在不同过渡场景下对数据包源地址验证及道溯的机理,本节将对表2及表3中所涉及的五种组合场景予以一一说明。场景一:A1-B1/B2-C1/C2-(D1/D2/D3)属性组合以DS-Lite方案为例对该场景下的源地址验证及追溯方案予以说明。DS-Lite是一种双栈场景下、通过家庭网关设备B4(BaseBridgingBroadBandElement)/CPE(CustomerPremiseEquipment)作为隧道发起者同时访问IPv4和IPv6两种网络的过渡方案,其中CPE为纯IPv6接入,在访问IPv4互联网时,通过隧道封装使IPv4数据包穿越IPv6骨干网。如图2所示,CPE为隧道的发起点,运营商的AFTR为隧道的汇聚点。因源主机的IPv4与隧道发起者CPE的IPv6地址是有状态的,需要AFTR记录其映射关系。根据本标准定义(表2第1行),需要在CPE的接入位置部署SAVI交换机,并绑定属性,同时在隧道汇聚点对IPv6与IPv4两者地址的关系进行验证。同时根据本标准定义(表3第1行),道溯路径应从查询的IPv4地址查找出NAT地址转换前的私有IPv4地址,然后通过映射表找出CPE的IPv6地址,最后查询运营商的SAVI管理数据库(SMD)从而定位CPE,也即定位了源主机的位置,图中虚线箭头表明了追溯的整个路径。
场景二:A1-B1/B2-C3/C4-(D1/D2/D3)属性组合对比场景一,本场景的主要区别在于并非每台主机都具有不同的地址,而是多台源主机共享一个IPv4地址,通过分割上层应用端口进行访问。因绑定细节不涉及到绑定IPv4地址,因此该场景下SAVI交换机的绑定内容没有差别,但需要在隧道汇聚点验证IPv6地址、IPv4地址及其端口号的匹配关系,同时在追溯时,需要使用IPv4地址及应用端口号共同作为条件来定位源主机。5
HiiKAoNiKAca
YD/T3166-2016
Src:2001:0:1:11
Dst:2001:0:1:1:2
Src:10.0.0.1
Dst:202.1.1.2
Src:10.0.0.1
Dst:202.1.1.2
DS-Lite
纯IPv6接入
2001:0:1:1::1
A1-B2-C1
双栈、有状态、私有IPv4地址
查映射表找出Src:128.0.0.1
IPv4源地址对
Dst:202.1.1.2
应的IPv6地址
双栈网络
SAVI Switch
Switch-Port>
CGN/AFTR
2001:0:0:1:2
验证映射关系
IPv6/IPv4/Port
IPv4/Port
2001:0:1:1:1/10.0.0.1
128.0.0.1/TCP5000
IPv4访问
IPv6访问
IPv4 Internet
IPv6Internet
IPv4averIPv6隧道
图2A1-B2-C1属性组合场景下的源地址验证需求及追溯路径示意场景三:A2-B1/B2-C1/C2-(D1/D2/D3)属性组合IPv4payload
以Public4over6方案为例对该场景下的源地址验证及追溯机制予以说明。Public4over6是一种数据包携带公有IPv4地址穿越IPv6骨网络的过渡方案,其具有源主机单栈IPv4有状态无状态,源主机双栈有状态/无状态四种场景,图3表示了单栈、地址无状态且源地址是公有IPv4地址的场景,其中CPE4over6initiator是隧道的发起点,而4over6Concentrator是隧道的汇聚点。因源主机的IPv4与IPv6地址是无状态的,表明二者的映射关系可以互相推导,因此无需隧道汇聚点记录二者之间的映射关系。据本标准定义(表2第3行),源主机的接入SAVI交换机应绑定,隧道汇聚点需要对IPv6与IPv4两者地址的推导关系进行验证。在追溯方面,追溯路径应从查询的IPv4地址推导出对应的IPv6地址,在“无状态“场景下,该IPv6地址即为源主机的地址。在定位隧道发起者CPE的位置后,再通过查询IPv6网络的SAVI管理数据库(SMD)即可定位源主机,图中虚线箭头表明了追溯的整个路径。值得注意的是,在无状态追溯场景下,由于隧道的汇聚点只有隧道发起点的隧道接口地址,而没有隧道发起点的设备地址,因此从隧道汇聚点无法进一步追溯至隧道发起点。为解决此问题,方案应对隧道协议(如GRE)进行扩展,使得隧道协议能携带隧道发起者的设备地址,最终使得隧道汇聚点能形成隧道发起点的隧道接口地址、以及设备地址的映射关系。其具体设计可以通过在IPv6包头中增加选项包头、或利用IPv4包头中选项字段或较少使用的字段携带这一关键信息而实现,本标准不涉及此技术细节。A2-B1-C2
单栈无状态公有
IPv4地址场景
NSP:Network Specific Prefix
ULP:UpperLayerProtocol
4over6 Initiator
IPv4 Network
DHCPV4
4over6savitwitch
Public IPv4
IPv4 addr
iPv4suffix
Hower6Concentrat
Outbound
Address-MappingTable
Initiator IPv6CPE IPv6
IPv6骨干网
IPv4-in-IPv6
IPy4Internet
4over6隧道汇聚点
DHCPv6
图3A2-B1-C2属性组合场景下的源地址验证需求及追溯路径示意6
payload
HiiKAoNiKAca
场景四:A2-B1/B2-C3/C4-(D1/D2/D3)属性组合YD/T3166-2016
以A+P方案为例对该场景下的源地址验证及追溯机制予以说明。如图4所示,A+P是源主机为私有IPv4地址、并通过限定上层应用端口范围进行IP地址复用的4over6过渡方案,即单栈私有IPv4、有状态、带端口共享(A2-B2-C4)属性组合。其中CPE是隧道的发起点,而PRR(port-rangerouter)路由器是隧道的汇聚点。由于源主机的IPv4与其IPv6地址是有状态的,因此需要PRR路由器记录其映射关系。根据本标准,源主机的接入SAVI交换机应绑定,同时隧道汇聚点PRR需要对IPv6与IPv4及端口范围的映射关系进行验证。追溯机制方面,追溯路径应根据数据包的IPv4地址,在PRR上找出对应的IPv6地址以及CPE的IPv6地址,在定位CPE后再查询SAVI管理数据库即可定位源主机,图中虚线箭头表明了追溯的整个路径。A2-B2-C4
单栈有状态么有IPv4地
DHCPv4分配
私有v4地址
定位源主机
SAVTSwitch
NAT映射,限制
端口范围
CPE隧道发起点
Port.端口范围>
址带端口共享场景
定位CPE
IPv6骨干网
验证IPv6与IPV4地址及
端口范围的映射关系
查映射表找出
IPv4源地址对应
的CPEIPv6地址
IPy4 Internet
PRR(Port-Range)
Router)
隧道汇聚及端口分配
路由器
图4A2-B2-C4属性组合场景下的源地址验证需求及追溯路径示意场景五:A3-B1/B2属性组合
IPv4payload
以6RD方案为例对该场景下的源地址验证及追溯机制予以说明。6RD是一种6over4的过渡方案,IPv6源主机通过IPv6overIPv4的隧道封装访问IPv6互联网的方案。如图5所示,源主机的接入SAVI交换机应绑定<主机IPv6地址,MAC地址,交换机端口>属性,而隧道汇聚点需要对IPv6与IPv4两者地址的映射关系进行验证。追溯机制方面,追溯路径应从在隧道汇聚点上查询数据包IPv6地址所对应的IPv4地址,在定位隧道发起点后,查询该IPv4地址所对应的主机信息,即可定位源主机,图中虚线箭头表明了追溯的整个路径。A3-B2
单栈IPv6、有状态
定位源主机
定位6over4的
隧道发起点
SAVISwitch
Tunnel Initiaton
IPv6主机
隧道发起点
IPv4骨干网
Tunnel
Concentrator
隧道汇聚点
查映射表找出IPv6源地
址对应的IPv4地址
IPv6 Internet
图5A3-B2属性组合场景下的源地址验证需求及追溯路径示意6双栈及翻译场景
IPv6payload
对于IPv4/IPv6双栈场景,本标准规定用户的接入SAVI交换机应绑定接入主机的属性。其追溯机制可以直接根据数据包的IPv4或IPv6源地址逐级定位,而对于翻译场景,本标准规定用户的接入SAVI交换机应绑定相应的属性,即在IPv4网络中的主机应绑定属性,而在IPv6网络中的主机绑定7
YD/T3166-2016
属性,同时在翻译网关处验证二者之间的映射关系。对于该场景下的追溯机制,本标准规定应在翻译网关处查找数据包IPv4(v6)源地址所对应的IPv6(v4)地址,并通过逐级映射查找(如双重翻译就有两个翻译网关)定位。
7总结
本标准定义了过渡场景下IP源地址验证及追溯框架方案的具体技术要求及主要机制,适用于隧道,双栈及翻译在内的所有过渡场景,并对未来可能出现的过渡场景也具有适应性。
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和宝玉通信行标准
YD/T3166-2016
IPv4/IPv6过渡场景下基于SAVI技术的源地址验证及溯源技术要求
ThespecificationforSAVl-basedIPsourceaddressvalidationandtracebackinIPv4/IPv6transitionscenarios2016-07-11发布
2016-10-01实施
中华人民共和国工业和信息化部发布前
范围·
术语、定义和缩略语
4隧道场景…
5方案示例说明
6双栈及翻羽译场景
总结·
YD/T3166-2016
YD/T3166-2016
本标准按照GB/T1.1-2009给出的规则起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任本标准由中国通信标准化协会提出并归口。本标准起草单位:清华大学、中国电信集团公司。本标准起草人:徐恪、胡光武、吴建平、史凡、朱亮
TiiKAoNiKAca
YD/T3166-2016
IPV4/IPv6过渡场景下基于SAVI技术的源地址验证及潮源技术要求1范围
本标准规定了在IPv4/IPv6过渡场景下,基于SAVI技术建立起的一种通用性的数据包源地址验证及追溯框架性方案,包括方案的总体概述、隧道场景的属性解析、不同属性组合场景下的源地址验证方案、追溯方案、方案验证示例、以及双栈及翻译场景下方案的适用性等内容。本标准适用于IPv4/IPv6过渡场景中用户主机的接入交换机,技术方案中涉及到的主要操作适用于监听地址分配协议并对主机相关属性进行绑定验证的处理过程。2术语、定义和缩略语
2.1术语和定义
下列术语和定义适用于本文件。2.1.1
接入网源地址改进方案SourceAddressValidationImprovement(SAVI)-种接入网环境下的源地址验证方案。主要通过在IPv6接入设备(接入交换机,无线AP/AC等)内建立三元绑定关系:<终端的IPv6地址,终端的MAC(MediaAccessControl)地址,接入设备的端口号>,从而确保接入的终端无法使用伪造地址访问网络。2.1.2
4over6源主机4over6SourceHost在过渡场景中,发起过渡访问数据包的源主机。2.1.3
网络地址转换NetworkAddressTranslation一种将某一组IP地址映射到另一组IP地址的转换技术。2.1.4
IP源地址验证IPSourceAddressValidation一种确保数据包中源地址字段数据真实可靠,并确保来自于真实发送主机的功能。2.1.5
IP源地址潮源IPSourceAddressTraceback一种根据数据包中源地址字段数据,追溯到真实发送主机的功能。2.1.6
SAVI的管理数据库SAVIManagementDatabase(SMD)SAVI管理平台可以通过SNMP协议获取管理域内所有SAVI交换机的绑定条目信息,并形成管理域内接入主机统一的绑定信息数据库。2.2缩略语
下列缩略语适用于本文件:
4over6 Initiator
4over6隧道的发起点
HiiKAoNiKAca
YD/T3166-2016
4over6Concentrator
3概述
AddressFamilyTransitionRouterBaseBridgingBroadBandElementCarrier Grade NAT
CustomerPremiseEquipment
DynamicHost ConfigurationProtocolGenericRoutingEncapsulation
Internet Service Provider
Network Address Translator
4over6隧道的汇聚点
大规模NAT路由器
家庭接入网关
运营商级NAT
用户侧前端设备
动态主机配置协议
通用路由封装协议
互联网服务提供商
网络地址翻译器
本标准提出的IPv4/IPv6过渡场景下源地址验证及追溯框架方案,通过扩展SAVI(SourceAddressValidationImprovement)机制的绑定细节,并利用SAVI交换机监听接入主机的地址分配协议,根据不同的过渡场景对用户主机的IP源地址,MAC地址,交换机端口以及相关属性进行绑定,实现在用户主机第一跳位置过滤假冒源地址数据包的目的。同时方案还通过逐级定位的方法,具有对发送假冒数据包源主机追溯的能力。
本标准最大的特点在于只需在用户第一跳接入位置部署支持SAVI机制扩展的交换机,而无须修改其他网络设备或网络协议,即可实现对假冒数据包过滤及追溯的目标。同时因整体机制具有框架组合性,使得本方案不仅能够支持现有的过渡场景,同时对未来可能出现的过渡场景也具有适应性。本标准所适用的威胁模型应用于攻击者可以对数据分组中包括源地址在内的任意字段进行修改,从而实现假冒受害者主机、隐匿身份及攻击他人的非法目的,但攻击者不能对网络中的设备,如NAT(NetworkAddressTranslator)设备、路由器、防火墙、网关设备等进行操纵。本标准重点对IPv4/IPv6隧道过渡场景下的源地址验证及追溯技术进行了定义,同时对双栈及翻译场景也予以了说明。4隧道场景
4.1总体机制
本标准对于隧道场景下源地址验证及追溯机制是将IPv4/IPv6过渡场景中共有的、本质性的元素进行解析,并对每一种元素提出基于SAV机制扩展的源地址验证及追溯子方案。当某一种过渡场景由这些元素(部分或全部元素)组合而成时,该过渡场景下的源地址验证及追溯方案则由这些元素所对应的子方案组合而成。
4.2属性解析
本标准首先对过渡场景中共有而本质的属性进行了提取,从而形成单个属性的源地址验证及追溯子方案,以图1的4over6方案为例,具体解析结果如表1所示。HiiKAoNiKAca
A:源主机实际
所运行的协议栈
(双栈,单栈
IPv4,单栈IPv6)
B:分配给源主机IPv4
和IPv6地址间的关系
(有状态,无状态)
C:源主机所使用的
IPv4地址的类型(私有,
公有,私有带端口共
公有带端口共享)
IPv6headeriPv4headerIPv4payloadIPy4 Network下载标准就来标准下载网
4over6
source host
4over6 Initiator
属性组
源主机实际所运行的协议栈
源主机IPv4和IPv6地址之间的关系源主机所使用的IPV4地址的类型地址转换(NAT)设备所处的位置Pv4in-IPve
IPv6 Network
D:地址转换(NAT)设备
所处的位置(用户侧,
网络侧,两者均有)
YD/T3166-2016
IPv4 Internet
4over6
Concentrator/NAT
图1过渡场景属性解析示例
表1过渡场景属性解析列表
属性组代号
仅IPv4
仅IPv6
无状态Stateless
有状态Stateful
私有地址
公有地址
属性名称
公有地址带端口共享
私有地址带端口共享
仅在用户侧
仅在网络侧
在用户侧和网络侧都存在
属性值
如表1所示,属性组A表明了源主机实际所使用的协议栈(注意并非指接入主机所在网络所支持的协议栈。例如,尽管接入网只提供IPv6服务,但源主机可能同时运行IPv4、IPv6协议栈,即可以将IPv4数据包封装在IPv6数据包中,并运行IPv4相关服务),同时属性组还包括若于具体的属性值:属性组B表示源主机所使用的IPv4和IPv6两种地址的关系:“无状态(Stateless)表明两种地址具有映射关系,可以互相推导。“有状态(Stateful)表明两种地址没有任何关系,无法进行推导,其映射机制需要由网关设备来完成;属性组C表示了源主机使所用的IPv4地址的形式,公有IPv4或私有IPv4地址。同时,由于IPv4/IPv6网络互相访问时,无法满足IPv4和IPv6两种地址的1:1的映射关系,可能造成多台主机共享同一个IPv4地址,但通过分割上层应用端口范围进行区分的机制(如PCP协议)。属性组D表示了地址转换设备(NAT)所处的位置,D1、D2、D3表明NAT地址转换服务可以分别处于源主机所在本地网络、所访问的目的网络以及两种网络同时存在。
4.3源地址验证方案
针对上述过渡场景中解析属性,本标准规定了源地址验证及追溯的子方案。当这些基本属性组合形成不同的过渡方案时,相应的源地址验证及追溯方案随即产生。由于目前SAVI标准只能适应IPv6以太网,3
iiKAoNiKAca
YD/T3166-2016
并监听SLAAC(Statelessaddress autoconfiguration)/DHCPv6(DynamicHostConfigurationProtocol)地址分配协议,同时也只能够绑定IPv6,MAC地址及交换机端口号”三者属性,因此无法适应复杂的过渡场景。本标准通过对SAVI机制进行扩展,针对过渡场景的主要特征,对源主机绑定细节进行改进,从而实现对不同属性组合所形成的过渡场景下,SAVI交换机对接入主机关键信息的绑定及源地址验证机制,如表2所示。
表2过渡场景属性组合情况下源地址验证方案序号
A1-B1/B2-C1/C
2-(D1/D2/D3)
A1-B1/B2-C3/C
4-(D1/D2/D3)
A2-B1/B2-C1/C
2-(D1/D2/D3)
A2-B1/B2-C3/C
4-(D1/D2/D3)
A3-B1/B2
过渡方案(场景)
源地址验证方案
双栈、无/有状态、IPv4地址为SAVI交换机绑定源主机的
双栈、无/有状态、IPv4地址带
端口共享
典型方案:轻量级Public4over6双栈场景
link-port>;隧道汇聚点验证源主机的IPv6与IPv4地址间的关系
SAVI交换机绑定源主机的
SAVI交换机绑定源主机的
典型方案:Public4over6
汇聚点验证源主机的IPv6与IPv4地址间的关系单栈IPv4、无/有状态、IPv4地SAVI交换机绑定源主机的
典型方案:A+P:LAFT4over6
单栈IPv6、无/有状态
典型方案:6RD
SAVI交换机绑定源主机的
4.4源地址追溯方案
本标准还规定了以上属性组合下的源地址追溯方案,如表3所示。需要说明的是,这一功能的实现还要依赖于SAVI交换机在绑定主机信息后,SAVI的管理数据库SMD通过SNMP协议获取管理域内所有主机的绑定信息。因此一旦主机在接入网IP地址确定,即可通过查询SMD数据库就能直接获得主机所在的SAVI交换机及接入端口号,从而定位源主机。表3过渡场景属性组合情况下源地址追溯方案序号
A1-B1/B2-C1/C
2-(D1/D2/D3)
过渡方案(场景)
双栈、无/有状态、IPv4地址为
公有/私有地址
典型方案:DS-Lite
追溯方案
根据追溯数据包的IPv4源地址一→若网络侧存在地址转换(D2),则查询NAT转换前的IPv4地址→通过直接推导(B1)或在隧道汇聚点查询出IPv4地址所对应的IPv6地址(B2)→定位源主机
HiiKAoNiKAca
A1-B1/B2-C3/C
4-(D1/D2/D3)
A2-B1/B2-C1/C
2-(D1/D2/D3)
A2-B1/B2-C3/C
4-(D1/D2/D3)
A3-B1/B2
5方案示例说明
过渡方案(场景)
表3(续)
双栈、无/有状态、IPv4地址带
端口共享
典型方案:轻量级Public4over6双栈场景
单栈IPv4、无/有状态、IPv4地
址为公有/私有地址
典型方案:Public4over6
单栈IPv4、无/有状态、IPv4地
址带端口共享
典型方案:A+P:LAFT4over6
单栈IPv6、无/有状态
典型方案:6RD
追溯方案
YD/T3166-2016
根据追溯数据包的IPv4地址→若网络侧存在地址转换(D2),则查询NAT转换前的IPv4地址一→通过直接推导(B1)或在隧道汇聚点查询出IPv4地址及端口所对应的IPv6地址(B2)一定位源主机
根据追溯数据包的IPv4地址→若网络侧存在地址转换(D2)→通过直接推导(B1)或在隧道汇聚点查询出IPv4地址所对应的隧道发起点IPv6地址(B2)一定位隧道的发起者一,若用户侧存在地址转换(D1),则查询转换前IPv4地址一定位源主机
根据追溯数据包的IPv4地址→若网络侧存在地址转换(D2)一→通过直接推导(B1)或在隧道汇聚点查询出IPv4地址及端口号所对应的隧道发起点IPv6地址(B2)→定位隧道的发起者→若用户侧存在地址转换(D1),则查询转换前IPv4地址一→定位源主机根据追溯数据包的IPv6地址→通过直接推导(B1)或在隧道汇聚点查询出IPv6地址所对应的隧道发起点IPv4地址(B2)一定位隧道发起者→定位源主机为进一步阐述本标准在不同过渡场景下对数据包源地址验证及道溯的机理,本节将对表2及表3中所涉及的五种组合场景予以一一说明。场景一:A1-B1/B2-C1/C2-(D1/D2/D3)属性组合以DS-Lite方案为例对该场景下的源地址验证及追溯方案予以说明。DS-Lite是一种双栈场景下、通过家庭网关设备B4(BaseBridgingBroadBandElement)/CPE(CustomerPremiseEquipment)作为隧道发起者同时访问IPv4和IPv6两种网络的过渡方案,其中CPE为纯IPv6接入,在访问IPv4互联网时,通过隧道封装使IPv4数据包穿越IPv6骨干网。如图2所示,CPE为隧道的发起点,运营商的AFTR为隧道的汇聚点。因源主机的IPv4与隧道发起者CPE的IPv6地址是有状态的,需要AFTR记录其映射关系。根据本标准定义(表2第1行),需要在CPE的接入位置部署SAVI交换机,并绑定
场景二:A1-B1/B2-C3/C4-(D1/D2/D3)属性组合对比场景一,本场景的主要区别在于并非每台主机都具有不同的地址,而是多台源主机共享一个IPv4地址,通过分割上层应用端口进行访问。因绑定细节不涉及到绑定IPv4地址,因此该场景下SAVI交换机的绑定内容没有差别,但需要在隧道汇聚点验证IPv6地址、IPv4地址及其端口号的匹配关系,同时在追溯时,需要使用IPv4地址及应用端口号共同作为条件来定位源主机。5
HiiKAoNiKAca
YD/T3166-2016
Src:2001:0:1:11
Dst:2001:0:1:1:2
Src:10.0.0.1
Dst:202.1.1.2
Src:10.0.0.1
Dst:202.1.1.2
DS-Lite
纯IPv6接入
2001:0:1:1::1
A1-B2-C1
双栈、有状态、私有IPv4地址
查映射表找出Src:128.0.0.1
IPv4源地址对
Dst:202.1.1.2
应的IPv6地址
双栈网络
SAVI Switch
CGN/AFTR
2001:0:0:1:2
验证映射关系
IPv6/IPv4/Port
IPv4/Port
2001:0:1:1:1/10.0.0.1
128.0.0.1/TCP5000
IPv4访问
IPv6访问
IPv4 Internet
IPv6Internet
IPv4averIPv6隧道
图2A1-B2-C1属性组合场景下的源地址验证需求及追溯路径示意场景三:A2-B1/B2-C1/C2-(D1/D2/D3)属性组合IPv4payload
以Public4over6方案为例对该场景下的源地址验证及追溯机制予以说明。Public4over6是一种数据包携带公有IPv4地址穿越IPv6骨网络的过渡方案,其具有源主机单栈IPv4有状态无状态,源主机双栈有状态/无状态四种场景,图3表示了单栈、地址无状态且源地址是公有IPv4地址的场景,其中CPE4over6initiator是隧道的发起点,而4over6Concentrator是隧道的汇聚点。因源主机的IPv4与IPv6地址是无状态的,表明二者的映射关系可以互相推导,因此无需隧道汇聚点记录二者之间的映射关系。据本标准定义(表2第3行),源主机的接入SAVI交换机应绑定
单栈无状态公有
IPv4地址场景
NSP:Network Specific Prefix
ULP:UpperLayerProtocol
4over6 Initiator
IPv4 Network
DHCPV4
4over6savitwitch
IPv4 addr
iPv4suffix
Hower6Concentrat
Outbound
Address-MappingTable
Initiator IPv6CPE IPv6
IPv6骨干网
IPv4-in-IPv6
IPy4Internet
4over6隧道汇聚点
DHCPv6
图3A2-B1-C2属性组合场景下的源地址验证需求及追溯路径示意6
payload
HiiKAoNiKAca
场景四:A2-B1/B2-C3/C4-(D1/D2/D3)属性组合YD/T3166-2016
以A+P方案为例对该场景下的源地址验证及追溯机制予以说明。如图4所示,A+P是源主机为私有IPv4地址、并通过限定上层应用端口范围进行IP地址复用的4over6过渡方案,即单栈私有IPv4、有状态、带端口共享(A2-B2-C4)属性组合。其中CPE是隧道的发起点,而PRR(port-rangerouter)路由器是隧道的汇聚点。由于源主机的IPv4与其IPv6地址是有状态的,因此需要PRR路由器记录其映射关系。根据本标准,源主机的接入SAVI交换机应绑定
单栈有状态么有IPv4地
DHCPv4分配
私有v4地址
定位源主机
SAVTSwitch
NAT映射,限制
端口范围
CPE隧道发起点
址带端口共享场景
定位CPE
IPv6骨干网
验证IPv6与IPV4地址及
端口范围的映射关系
查映射表找出
IPv4源地址对应
的CPEIPv6地址
IPy4 Internet
PRR(Port-Range)
Router)
隧道汇聚及端口分配
路由器
图4A2-B2-C4属性组合场景下的源地址验证需求及追溯路径示意场景五:A3-B1/B2属性组合
IPv4payload
以6RD方案为例对该场景下的源地址验证及追溯机制予以说明。6RD是一种6over4的过渡方案,IPv6源主机通过IPv6overIPv4的隧道封装访问IPv6互联网的方案。如图5所示,源主机的接入SAVI交换机应绑定<主机IPv6地址,MAC地址,交换机端口>属性,而隧道汇聚点需要对IPv6与IPv4两者地址的映射关系进行验证。追溯机制方面,追溯路径应从在隧道汇聚点上查询数据包IPv6地址所对应的IPv4地址,在定位隧道发起点后,查询该IPv4地址所对应的主机信息,即可定位源主机,图中虚线箭头表明了追溯的整个路径。A3-B2
单栈IPv6、有状态
定位源主机
定位6over4的
隧道发起点
SAVISwitch
Tunnel Initiaton
IPv6主机
隧道发起点
Tunnel
Concentrator
隧道汇聚点
查映射表找出IPv6源地
址对应的IPv4地址
IPv6 Internet
图5A3-B2属性组合场景下的源地址验证需求及追溯路径示意6双栈及翻译场景
IPv6payload
对于IPv4/IPv6双栈场景,本标准规定用户的接入SAVI交换机应绑定接入主机的
YD/T3166-2016
属性,同时在翻译网关处验证二者之间的映射关系。对于该场景下的追溯机制,本标准规定应在翻译网关处查找数据包IPv4(v6)源地址所对应的IPv6(v4)地址,并通过逐级映射查找(如双重翻译就有两个翻译网关)定位。
7总结
本标准定义了过渡场景下IP源地址验证及追溯框架方案的具体技术要求及主要机制,适用于隧道,双栈及翻译在内的所有过渡场景,并对未来可能出现的过渡场景也具有适应性。
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。