YD_T 4430-2023 域间路径验证（IDPV ) 技术要求 控制平面.docx

《YD_T 4430-2023 域间路径验证（IDPV ) 技术要求 控制平面.docx》由会员分享，可在线阅读，更多相关《YD_T 4430-2023 域间路径验证（IDPV ) 技术要求 控制平面.docx（16页珍藏版）》请在第壹文秘上搜索。

1、ICS33.040.40CCS1.79中华人民共和国通信行业标准YD/T44302023域间路径验证（IDPV）技术要求控制平面Therequirementsfortheinter-domainpathverification(IDPV)Contro1.p1.ane2023-11-01实施2023-07-28发布中华人民共和国工业和信息化部发布目次前言H1.1范围I2规范性引用文件I3术语和定义I4缩略语35总体机制46根密钥生成及维护47动态标签生成78路由节点提前写入动态标签89端节点申请动态标签IO10时间同步I前言本文件按照GB1.1-20204标准化工作导则第1部分：标准化文件的结构

2、和起草规则的规定起草.本文件是X域间路径验证(IDPV)技术要求系列标准之.本系列标准的名称和结构如下：控制平面；数据平面.请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的贡任.本文件由中国通信标掂化协会归口。本文件起草单位：清华大学、中国信息通信研究院、中国电信集团有限公司、华为技术有限公司、新华三技术有限公司。本文件主要起草人：徐格、王晓亮、付松涛、吴建平、赵铎、史凡、陈国义.万晓苣。域间路径验证（IPDV）技术要求控制平面1CT本文件规定了在管理域向路径验证方案中控制平面的技术要求，包括规定了控制平面的功能、根密钥的协商、动态标签的生成、动态标签的申请与分发,以及时间

3、同步和曲1.本文件适用于IPv6互联网的真实路径验证方案。2展性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注H期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件.IETFRFC5905网络时间协议（第1版）规范和实现（NetwrkTinpProtoco1.Version4:PnHocOIandA1.gorithmsSpecification）3*WWX下列术语和定义适用于本文件”3.1城间路径验证itcr-donainpathVerifkation用广源和目的用户验证数据包传输过程实际经过的路由节点是

4、否符合用户预限3.2管理域administrativedomain路径验证的基本单位.可以是一个自治系统，或一个子网.3.3密筋分发服务kevdistributionSCrVer每个管理域配置的一台（或多台）服务，用于管理域间主密钥的同步，以及为验证实体（路由节点及用户）生成及分发密钥，3.4用户user包括源用户和目的用户，源用户与目的用户可以是端节点，也可以是边界路由节点，当源用户为端节点时，目的用户也为端节点：源用户为边界路由节点时，目的用户也为边界路由节点.35路由节点ADedgerOI1.ter从源用户到目的用户的每个管理城入口边界路由节，在控制平面与Kffi通信接收标签，在数据平面

5、完成基于动态标器的认证码计算、验证以及更新操作.3.6路由节点标识符AERidentifier路由节点对应前缀或其他能在管理域唯一标识该设备的编号.3.7用户标双符useridentifier当用户为端节点时，用户标识符为用户IPv6地址；当用户为路由节点时，用户标识符为源和目的用户的路由节点标识符.3.8消息认QBmessageauthenticationcode为使用特定免法生成的一定数量的比特位，可用于瞄正认证码生成者的身份.3.9动态标签dynamictg动态的设备标识，在同一时隙，两个设备实体共享一个动态标卷，生成及验证认证码时使用该标卷作为输入之一。3.10同步酎IMSjnchro

6、nizingtimeS1.Ot网络动态标签根据时隙变化，全网控制面保持秒级的同步，以确保任意两个设备之间的时隙相差不超过一个完整的时隙.3.11时间片epoch源和目的用户执行验证策略的基本单位，每个时间片传输定数城的数据包。3.129Bpo1.icy海和目的用户共享的脸证参数如每个时间片内有多少数据包.个中间路由节点脸证多少比例的数据包.3.13部署dep1.oyment将动态标签从控制面下发到AER.将路径险证程序部署到路由节点及用户。3.14应答包acknow1.edge目的用户向源用户发送验证结果的数据包。3.15共不时间片sharedtimes1.ot网络时间同步后，设备之间仍可能存

7、在着微小的时间误差，因此设置一个共享时间片，在该共享时间片内，有多于一个标卷同时有效.3.16管理域11R信息A1.)PrVnXinformation各管理域所拥有的地址前掇的信息.下列缩略语适用于本文件。AD管理域AdministrativeDomainACK肯定应答包Acknow1.edgeAER边界路由节点ADEdgeRouterIDPV域间路径验证Inter-domainPathVerificationIP互联网协议InternetProtoco1.IPv6互联网怖议第6版InternetProtoco1.version6KIJS密钥分发服务器KeyDistributionServer

8、MAC消息认证码MessageAuthenticationCodeNAK否定应答包Rid路由节点标识符AKRNodeIdentifierTagfY动态标签DynamicTagTQ时隙TinieS1.dYD/T44302025Uki用户标识符UserIdentifkr5总体机制域间路径验证方案(IPDV)控制平面通过预先配置的方式在路由节点和端节点配置用于路径验证的动态标签.控制平面在每个管理域配置密仍分发服务器,服务器基于根密钥和路由节点信息生成和分发标签。路由节点信息1既路由节点标识和拓扑关系，右钥分发服务器报据管理域之间共享的根密钥和设备标识信息，生成可我示设缶身份的动态标签，然后向端节点

9、和边界路由节点下发对应标签。管理域边界路由节点从控制服务器获取本设备对应的动态标签信息，存入本地：端节点用户在每次需要通信前获取本路径上所有路由节点对应的标签，以及海端节点和目的端节点用户本次会话使用的标卷。源和目的用户、路径上路由节点可以使用动态标签和数据包头信息生成认证码，用于实现路径验证，提升数据传输过程安全性。本文件主要研究管理域间的路径船证方案(IpDv)的控制平面的相关现范，规定J管理域密钥分发服务器之间基于根密钥生成及维护动态标签，其推广和应用Ur以实现IPDV域间路径验证技术中控制平面的标准化，使不同厂商和机构开发的相关设备能够彼此协作，共同完成管理域间路径验证所需的动态标签维

10、护工作.捽制平面生成及共享的标签是一个层次化的结构,由根密钥经过一定的MAC算法生成动态标签,用于路径验证.密钥分发服务器在每个笆理域配设一个，管理域按照地理位置、经济关系、政治关系、社会关系、军事关系等条件划分，也可以自治域为基本单位.IPDV方案中的根密钥是两个白治域之间协商的基础密钥，仅两个自治域的密钥分发服务器拥有。其共享的方式为通过PK1.证行或纹卜方式验证对方公例,然后基于公钥和私例协商管理域i与管理何的对称密钥RK;,作为两个管理域在一段时间范围内的根密钥.该根密钥以大为单位，每天00:00:00更换，根据各管理域同步关系,在根密钥切换时间内，可同时使用新旧两个根密钥.管理域i的

11、密钥分发服务器（八）与管理域j的密钥分发服务器(B)相互协商时称密钥RK.的过程如图1所示，整个协商过程可以总结为“请求协商，确认协商，回送密的，完成协商”4个步骤，具体细节如下:a)服务器A(私例SKA.公钥PK,)向服务器B(私例SKg.公钥PKg)发送会话密钥协商请求.以私钥对随机生成的超钥Key和服务器A的标识ID,.以及时间献T作为输入生成签名Sig4.生成过程可以表示为SignKa(KCyJD,TISiga(Kcy);将请求和签名组成消息M,即KcyIIDAITSigaKey)M.然后以服务器B的公钥对消息M加密生成密文CT.具体表示为EnCryP1.Pkg(M)CT,经由公开信道

12、发给服务器B、密税协商申请报文如图2所示，b)服务器B收到监钥协商诂求后，经由服务器B的私钥解密,即DeCDP1.SXS(Cr)TM.获得信息M.然后使用服务器A的公钥验证筌名Sig.可表示为VCrifyPk(Sig4(Key1.若签名验证失败.则返回NAK,协商过程结束.O若脸证签名成功,则检查时间戳T是否在有效期内,对在有效期内的时间做.服务器B应答密钥协商请求，根据收到的对称密钥Key,以Key对服分器A、服务者B的标识和时间畿信息加裕，即EnCryPtkan)I1.1.D3)-*Mcssagc,经由公开信道将MCssagc,以及本管理域标识【D、时间戳和FIag信息发给服务器Z回送密钥

13、报文如图3所示。d)服务器A收到回送密钥信息后，使用Key解密MeSsage.然后验证ID1.I1.DPIT.验证失败，则返NAK,协商过程结束：若验证成功，则使用KCy作为本时间段内的根密钥.O服务器A发送确认信息.确认信息除ID与时间戳数值不同外,其余字段与图3的回送密钥报文一致。服务器B接收消息后,整个协商过程结束，n1*amnaa股务器A与B之间的通信采用控制报文，控制报文使用TCP负收。下面我们给出IH)Y技术要求在控制平面通信的报文格式，密钥协商申请报文格式如图2所示Type是报文类型Key为选定的随机密钥.ID是一个标识号,用于雎标识个管理域，TiIneSUW为时间StF1.ag

14、为标志符，Sig为签名字段.S2Imbi申请报文格式各字段择义见表1,1密的胡报文字M义名称长度含义Type8bits类型Type1:请求协商1.ength16bits长度Key和ID的总础长度为128bits和16bits,g1.h表示延础长度的倍数1.eng1.hJKfKZttiOzKey128bits:1ER协商报文字段理义（续名称长收含义1.ength16bits长度I:KCy256bits：1.ength次低2位：0:1016bits:1:1032bits：2;ID61bits3:1D128bits;Hfe：未分配Key变K为商密树发起出商的用户采用的机字段生成ID变长管理域标识号根据发起申请的管理域标识号糖定Tincs1.itnp48bits时间世发起出商的时间做F1.ag8bits标志衣示签名长庆和算法FkW最低两如。:RSAFIag次低两位IOSig长度e4字节I:Sig长度】28字节Ktet未分配Sig变长用户采用私的加密形成的签名密钥协商回送/确认密钥报文格式如图3所示.S3宙的协商回送/确认宙的报文格式各字段择义见表2.2宙郴牌报文字段释义名称长度含义TyPR8bits类型TyPe=2:回送密钥Iryp3:确认畲的TitrrstitfTp48bits;时间戳回送密钥的时间截2密胡的商报文字段I*义续）名称含义Mff1.