YD_T 4431-2023 域间路径验证（IDPV ) 技术要求 数据平面.docx

《YD_T 4431-2023 域间路径验证（IDPV ) 技术要求 数据平面.docx》由会员分享，可在线阅读，更多相关《YD_T 4431-2023 域间路径验证（IDPV ) 技术要求 数据平面.docx（15页珍藏版）》请在优知文库上搜索。

1、ICS33.(M4MOCCS1.79YD中华人民共和国通信行业标准YDfr44312023域间路径验证(IDPV)技术要求数据平面Therequirementsfortheinter-domainpathverification(IDPV)Datap1.ane2023T1.-O1.实施2023-07-28发布中华人民共和国工业和信息化部发布前言111范围12规范性引用文件I3术语与缩略语14缩略语35总体机制36动态标签同步机制47传输策略生成58娜初始化数据包头68.1 数据包的报文格式68.2 海用户初始化数据包89中间路由节点的处理流程109.1 总体要求IO9.2 总体机制IO9.3

2、被选中中间路由节点验证及更新认证码I1.9.4 未被选中中间路由节点验证及更新认证码19.5 数据包转发I1.9.6 最后一跳路由节点处理1110目的用户的处理流程110.1 获取动态标签I10.2 路径脱证12I1.根密钥和动态标签更新13本文件按照GB1.1-2020f标准化工作导则第1部分：标准化文件的结构和起草规则的规定起草。本文件是E域间路径验证UDPV）技术要求系列标准之一,本系列标准的名称和结构如下：尚坪面；娜平面.清注愈本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。木文件由中国通信标准化协会归口.本文件起草单位：清华大学、中国信息通信研究院、中国电信集团有

3、限公司、华为技术有限公司、新华三技术有限公司。本文件主要起草人：徐恪、王晓亮、付松涛、吴建平、赵锋、史凡陈国义、万晓兰.I1.1.域间路径验证(IDPV)技术要求数据平面1Sf1.本文件规定了在域间路径验证(IDPV)中数据平面的技术要求,包括动态标签同步、源用户路径股证策略生成与实现、路由节点认证码计算及脸证、目的用户执行路径证等内容。本文件适用于IR6互联网管理域之间其实路径验证方案.2期性引用文件卜列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款，其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件.IETFR

4、FC8200互联网协议第6版(IPV6)规苑(ImernCtProtocoItVcniion6(IPv6)Spccification)3术语与潮下列术语和定义适HJr本文件。3.1城间路径验证inter-dnuinpathvcri11cati(n用于源和目的用户验证数据包传输过程实际经过的路由节点是否符合用户预期。3.2管理域administrativedomain路径验证的是本单位，可以是一个自治系统，或一个子网。33由分发JR纲Ikey(Iistri1.)UtMM)SerVer每个管理域配区的一台(或多台)服务器,用于管理域间主密钥的同步，以及为验证实体(路由节点及用户)生成及分发密钥。3

5、.4用户user包拈源用户和目的用户，源用户与目的用户可以是端节点，也可以是边界路由节点，当源用户为端节点时，目的用户也为端节点：源用户为边界路由节点时，目的用户也为边界路由节点.3.5路由节点ADWigero1.1.ter从源用户到目的用户的每个管理域入口边界路由节点，在控制平面与K1.)S通信接收标签，在数据平面完成越丁动态标签的认证码计算、聘证以及更新操作。3.6路由节点标很符ERidentifier路由节点对应前缀或其他能在管理域唯一标识该设备的编号。3.7用户标识将Useridentifier当用户为端节点时.用户标识符为用户IPv6地址：当用户为路由节点时,用户标识符为源和目的用户

6、的路由节点标识符。3.8涌息认证码messageauthenticationCUde为使用特定算法生成的定数破的比特位，可用于验证认证码生成者的身份。3.9动态标签dynamictag动态的设备标识，在同一时隙,两个设备实体共享一个动态标签,生成及验证认证码时使用该标签作为输入之一.3.10synchronizingtimes1.ot网络动态标签根据时隙变化，全网控制面保持秒级的同步，以确保任意两个设备之间的时隙相差不超过一个完整的时隙。3.11时间片epoch源和目的用户执行验证策略的暴本单位，每个时间片传输一定数后的数据包。3.12策略po1.icy源和目的用户共享的验证参数，如每个!时间

7、片内有多少数据包，每个中间路由节点验证多少比例的数据包.3.13部署dep1.oyment将动态标签从控制面下发到路由节点，爵路径验证程序部署到路由节点及用户.3.14应答包acknow1.edge目的用户向源用户发送脸证结果的数据包.3.15共享时间片sharedtimes1.ot网络时间同步后，设备之间仍可能在:在苻微小的时间误差，因此设置一个共享时间片，在该共享时间片内，有多于一个标签同时有效.3.16管理城前霰信息/KDprefixinformation各管理域所拥有的地址前缀的信息.4g语卜列缩略语适用于本文件。AD管理域AdministrativeI)OnKIinACK肯定应答包A

8、cknow1.edgeAER边界路由节点ADEdgeRouterIDPV域间跄径验证Inter-domainPathVerificationIP互联网协议InternetPr1.IPvf.互联网协议第6版InternetProoco1.vcsion6KDS密钥分发服务器KeyDistributionScncrMAC消息认证码MessageAiHhcnticaiionCadCRid路由节点标识符AERNodeIdentifierTag动态标签DynamicTagTS时隙TimeS1.otUid用户标识符UserIdentitier5总体机域间路径验证方案UDPV)是在管理域(AdminiMMiV

9、eDOmain.AD)通过密钥分发服务器(KeyDistributionServer,KDS)建立动态共享的标卷，并把动态标签部署到管理域边界路山节.点上.源用户为每个数据包嵌入新增包头，通过包头字段指示路由节点完成把F标签的认证码生成、数据包过滤及认证码更新操作,目的用户根据包头字段和标签脸证数据包险证以时间片为单位,每个时间片结束后，眼据通过验证的数据包数量，和源、目的用户通过会话标卷生成的传输策略验证各边界路由节点传输行为，在数据而实现数据包管理域粒度传输路径验证，目的用户在每个时间片结束后，通过验证策略验证路Ihw点是否按照定路径传输了约定数量的数据包，并计算正常传输数据包的比例，当低

10、于一定阈值时，目的用户通过肯定应答报文（Acknow1.edgedmentACK）通知海用户路径险证失败：岛F阈色时表示路由节点按预定策略传输了数据包.目的用户使用ACK通知源用户脸证成功.IDIJV包括动态标签同步，源用户验证策珞规划，路由节点认证码计算及脸证、更新，目的用户监证.用于路径验证过程的步骤如图1所示，S、D为源和目的用户，1.-2-3-4为中间的4跳路由苗点.路径验证数据面处理过程包括源用户初始化数据包（第8节），路由节点验证、更新数据包（笫9节），口的用户节点计数及驶证位输策略（第10节）3个基本步骤。在IDPV中，各管理域使用监钥服务器来生成和管理标签.首先，各管理域密钥服

11、务器两两共享一个根密钥（128位）,即管理域i与管理域j共享密钥RK;.该报密引仅管理域i和管理域j的密钥服务器拥有，井以大为单位进行更新。Rid为路由节点标识，默认采用6,7JPv6地址前缀（也可以单独编号），对管理域i中的路由节点k的标识符为RidIk1.在每个时隙TS,与管理%中的标识符为Rid1.m）的路由节点m共享的动态标篮为：Tdfhn=MACek.iRi1.kJRidnjTS11cif）其中，“1”表示符号申联，Ridk与Ridm中较小的一个标识号位于前面，F1.即为一个8biI的带钥类型标志，比如F1.ag=O表示路由节点之间相互脸证时使用的动态标签Rag=I表示端节点与路由节

12、点相互验证时使用的标签，采用该方式，每两个路由节点之间根据不同时限派生出不同的动态标签。在得到TS号的情况下，路由节点m可以根据路由节点k的标识号取出预先存储的动态标签。MACo采用AES加密算法。当源（三）和日的用户（d）为路由节点时，各管理域保持时钟同步同步精度为秒级）,所有动态标签均由KDS提前写入路由节点。公式（D计算出的动态标签作为源路由节点（目的路由节点）与中间路由节点（m）的动态标签Tagkm1.也作为源（三）和目的用户（d）之间的标签Tag（Sd.当源（三）和目的用户（d）为端节点时,标签生成屈理一致,为了区分用户,加入F1.ow（流标签）作为其中一个输入,确保不同的用户得到不

13、同流标签对应的密钥，默认情况下取F1.oW为全0.标识符使用源和目的端节点本次会话所在域边界路由器标识符，即Rid与Rid1.n为S和m所在管理域的标识号，RK:为S和m所在管理域的根密钥.默认情况下取F1.oW为全0:（9）T*jh11-MACRk,Ri1.Hk）RidnITSHndFuw）源和目的用户湘节点还需要一个共享的对称密钥TaMSd用于协商险证策略，标识号使用源和目的端节点的标识符（IP地址）：Tagsd1.=MACRk.（UidIsUk1.d）ITSF1.ag11ow）（3）其中，RKy海和目的端节点所在管理域的收密钥，Uid1.S1.和UidIm为源和目的端节点的IP地址，同样

14、，也将IP地址值较小的一个置于前面。端节点用户需要使用的动态标签由用户向KDS申请。在通信前由源端节点发起查询请求KDS向源端节点发送本次通信所在时隙的动态标签（端节点T（Igsd和路由节点的THgsm）;目的端节点作收到笫一个数据包后，向本域KDS直询对应的动态标叁,实现动态标签共享.由于全网并不能保证精确的时间同步，每个路由啰点需要存储2个时隙对应的动态标签，时隙以分钟为单位进行更新.7 mm传输策略以时间片（EPoCh）为单位，即一个时间片内包含的数据包数量和每个数据包需要多少跳路由节点验证。本方案默认采用每个数树包由源端选挂其中跳路由节点验证，选挣的方式为均匀随机极率，即对于有5个中间

15、路由节点的链路，每个路由节点以1/5的概率验证及添加认证码并进行验证.因此，传输策略主要指每个时间片内数据包的总成。源和目的需要协商每个时间片的数据包总量，协商并不需要源和目的用户通过公话协商,而是直接司源和目的用户的会话标篮Tagsd与当前时间片EpoCh经过运算（可使用消息认证吗算法）得到一个数由N-M4C7WhmA)(4)其中，EPoCh字段在数掳包中定义8位，到255后从0里新开始，而公式(4)中EpOCh则取128位，F1.采用连续取值，即255之后为256,依次类推，确保每个时间片的数据包数量具有随机性.设傩个时间片的基准数m为M,取N的最低16位2进制数对H取模.得到一个数值M_ADD.H+MADD即为当前时间片的数据包数;匕这样，目的用户可以从所在管理域KPS斛到Tagsd,计算出同样的M+N1.ADD通过这样的方