YD_T 3900-2021 IP源地址验证技术要求 框架.docx

ICS 33.040.40 M32 中 华 人 民 共 和 国 通 信 行 业 标 准 YD/T 3900—2021 IP 源地址验证技术要求框架 Technical requirement framework for IP source address validation 2021-05-17发布 2021-07-01 实施 中华人民共和国工业和信息化部 发布 I YD/T 3900—2021 目 次 前言 Ⅱ 1 范围 1 2 规范性引用文件 1 3 术语、定义和缩略语 1 4 概述 2 5 IP源地址验证体系结构 3 5.1 SAVA体系结构 3 5.2 SAVA体系结构的优点 4 5.3 接入网IP源地址验证 4 5.4 自治系统内IP源地址验证 6 5.5 自治系统间IP源地址验证 6 6 总 结 10 参考文献 11 Ⅱ YD/T 3900—2021 前 言 本标准是《以太网接入方式下源地址验证技术要求》系列标准之一，本系列标准的名称和结构预计 如下： ——IP源地址验证技术要求框架； —— 以太网接入方式下源地址验证技术要求框架； —— 以太网接入方式下源地址验证技术要求 DHCPv4 场景； —— 以太网接入方式下源地址验证技术要求 DHCPv6 场景； —— 以太网接入方式下源地址验证技术要求 SLAAC 场景； —— 以太网接入方式下源地址验证技术要求多种地址分配方式共存场景； ——公众无线局域网接入方式下源地址验证技术要求； —— 以太网接入方式下源地址验证技术要求管理信息库。 本标准按照GB/T1.1—2009 给出的规则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由中国通信标准化协会提出并归口。 本标准参加单位：清华大学、中国电信集团公司、中国移动通信集团公司、华为技术有限公司、 中兴通讯股份有限公司、新华三技术有限公司、福建星网锐捷网络有限公司、烽火科技集团有限公司、 中国互联网络信息中心、迈普通信技术股份有限公司。 本标准主要起草人：吴建平、毕军、李星、任罡、徐恪、胡虹雨、王之梁、李崇荣、刘莹、 徐明伟。 YD/T 3900—2021 IP 源地址验证技术要求框架 1 范围 本标准规定了互联网IP 报文源地址有效性验证的层次化解决架构，并规定了各层次需实现的源地 址验证的效果及目标，以系统地解决互联网IP源地址有效性验证问题，同时对各层次的源地址验证方案 给出了可能的方案设计示例。 本标准适用于互联网一般路由寻址场景下的报文源地址验证。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文 件。凡是不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。 IETF RFC2827 网络入口过滤协议 (Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing) IETF RFC3704 多宿主网络入口过滤 (Ingress Filtering for Multihomed Networks) 3 术语、定义和缩略语 3.1 术语和定义 下列术语和定义适用于本文件。 3.1.1 源地址验证 source address validation 在IP 报文路由寻址过程中，对其携带的源地址的有效性进行验证。 3.1.2 源地址验证架构 source address validation architecture 在互联网范围对 IP 报文进行源地址验证的层次化解决架构，与互联网目前路由寻址的层次化结构 相对应。 3.1.3 接入网源地址验证/源地址验证增强 source address validation improvement 在主机所在接入网执行的源地址验证技术，将不允许主机假冒任意非合法分配或配置的地址，是源 地址验证的第一步关卡，因此谓之源地址验证增强。 2 YD/T 3900—2021 3.1.4 自治系统内IP 源地址验证 Intra-AS source address validation 在自治域AS 内执行的源地址验证技术，将不允许主机假冒该自治域其他子网的IP 地址。 3.1.5 自治系统间 IP 源地址验证 Inter-AS source address validation 在自治域AS 间执行的源地址验证技术，将不允许主机假冒其他自治域网络的IP 地址。 3.2 缩略语 下列缩略语适