ICS 33.040.40 CCS L79 YD 中华人民共和国通信行业标准 YD/TXXXXX-XXXX 域间源地址验证(SAVA-X)技术要求 第2部分:数据平面 Technical requirements for the inter-domain source address validation (SAVA-X) Part 2: Data plane 行业标 (报批稿) (本稿完成时间:2023年2月7日) 息服务平台 XXXX-XX-XX发布 XXXX-XX-XX实施 中华人民共和国工业和信息化部 发 布
YD/T XXXXXXXXX 目次 前言, 引言. III 1范围... 2规范性引用文件 3术语和定义 4缩略语... .3 5总体机制. .4 6状态机机制... .4 7标签机制 .5 7.1标签的生成算法 .5 7.1.1伪随机数算法.
.5 7.1.2哈希链算法.. .5 7.2标签的更新方式 .6 7.3标签的报文格式 6 8MTU问题 .7 9标签在路由器上的处理流程.
.7 9.1总体要求. .7 9.2端口分类. .8 9.3源地址检查.. .8 9.4报文分类. .8 9.5添加标签. 9 9.6验证标签. .9 9.7标签替换. .9 10包签名机制 10 参考文献 服务平台 12
YD/TXXXXXXXXX 前言 本文件按照GB/T1.1-2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定起 草.
本文件是《域间源地址验证(SAVA-X)技术要求》系列标准的第2部分,已经发布了以下几个部分: 第1部分:控制平面; 第2部分:数据平面: 第3部分:控制服务器和边界路由器通信协议; 第4部分:地址域的创建、选择和注册指南: 第5部分:地址域部署.
请注意本文件的某些内容可能涉及专利.
本文件的发布机构不承担识别专利的责任.
本文件由中国通信标准化协会提出并归口.
本文件起草单位:清华大学、北京中关村实验室、中国电信集团有限公司、中国信息通信研究院、 华为技术有限公司、新华三技术有限公司.
本文件主要起草人:徐恪、王晓亮、郭阳飞、吴建平、史凡、赵锋、顾钰楠、万晓兰.
行业标准信息服务平台 I1
YD/T XXXXXXXXX 引言 互联网设计之初没有考虑对IP源地址的真实性进行验证,IP地址的伪造欺骗仍然是互联网安全 威胁之一,是许多攻击及恶意行为的基础.
对于自治域间的源地址验证方法相对乏,没有形成相关技 术标准.
“域间源地址验证(SAVA-X)技术"系列标准规定了自治域间的源地址验证及追溯SAVA-X方案.
本 技术方案的标准化和推广应用,在没有或者不具备实施接入网的真实源地址验证方案的自治域,可以使 得在自治域间的网络更加安全可信,可以对网络设备真实位置溯源、监控等,为从源头上治理互联网垫 定坚实的基础.
为保证方案可以增量部署,《域间源地址验证(SAVA-X)技术要求》系列标准拟由五个部分组成.
一第1部分:控制平面.
目的在于规定SAVA-X技术方案控制平面的技术原理和功能特性.
-第2部分:数据平面.
目的在于规定SAVA-X技术方案数据平面的技术原理和功能特性.
-第3部分:控制服务器和边界路由器通信协议.
目的在于规定SAVA-X技术方案控制服务器 和边界路由器之间信息传递协议格式和步骤流程.
一第4部分:地址域的创建、选择和注册指南.
目的在于规定地址域的创建和管理的内容.
第5部分:地址域部署.
目的在于规定SAVA-X方案向地址域扩展的内容.
行业标准信息服务平台 II1
YD/TXXXXXXXXX 域间源地址验证(SAVA-X)技术要求第2部分:数据平面 1范围 本文件规定了在域间源地址验证方案中数据平面的技术要求,包括状态机机制、标签生成更新方式、 标签报文格式、标签在路由器上的处理流程以及逐包签名的内容.
本文件适用于IPv6互联网地址域之间真实源地址验证方案.
2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款.
其中,注日期的引用文件, 仅该日期对应的版本适用于本文件:不注日期的引用文件,其最新版本(包括的修改单)适用于本 文件.
IETF RFC1760 S/KEY-次性密钥系统(The S/KEY One-Time Password System) IETF RFC2289一次性密钥系统(AOne-Time Password System) IETF RFC5210 源地址验证体系结构测试平台和部署经验(A Source Address Validation Architecture (SAVA) Testbed and Deployment Experience) IETF RFC8200互联网协议第6版(IPv6)规范(IntermetProtocol Version 6(IPv6)Specification) 3术语和定义 下列术语和定义适用于本文件.
3. 1 IP源地址验证IPsourceaddress validation 一种确保数据包中源地址字段数据真实可靠,并确保数据包来自真实用户的功能.
3. 2 源地址验证体系结构source adressvalidation architecture 多种网络环境的源地址验证技术总称,具体包括接入网环境SAVA-A(SAVA-Access)、域内环境 SAVA-P(SAVA-Prefix)和域间环境SAVA-X(SAVA-cXtemal)三种网络环境可以同时部署源地址 验证技术,也可以从其中任意一个角度单独部署.
3. 3 域间源地址验证方案source address validation architecture-external 地址域之间的源地址验证方案,隶属于SAVA源地址验证体系结构在域间环境的方案的改善.
地址 域是域间源地址验证方案的基本单位.
3. 4