ICS 33.040.40 CCS L79 YD 中华人民共和国 通信行业标准 YD/T XXXXX—XXXX 域间源地址验证 (SAVA-X) 技术要求 第1部分：控制平面 Technical requirements for the inter-domain source address validation (SAVA-X) — Part 1: Control plane （报批稿） （本稿完成时间： 2023年2月7日） XXXX - XX - XX发布 XXXX - XX - XX实施 中华人民共和国工业和信息化部 发 布 YD/T XXXXX—XXXX I目 次 前言 .................................................................................. II 引言 ................................................................................. III 1 范围 ................................................................................. 1 2 规范性引用文件 ....................................................................... 1 3 术语和定义 ........................................................................... 1 4 缩略语 ............................................................................... 2 5 总体机制 ............................................................................. 3 6 联盟链的设计 ......................................................................... 3 6.1 信任联盟 ......................................................................... 3 6.2 联盟链 ........................................................................... 4 7 节点的准入准出 ....................................................................... 4 7.1 节点准入 ......................................................................... 4 7.2 节点准出 ......................................................................... 5 8 基于联盟链的联盟信息维护以及状态机维护 ............................................... 5 9 时间同步 ............................................................................. 7 参考文献 ............................................................................... 9 YD/T XXXXX—XXXX II前 言 本文件按 照GB/T 1.1-2020《标准化工作导则 第1部分：标准化文件的结构和起草规则 》的规定起 草。 本文件是《域间源地址验证 (SAVA-X) 技术要求 》系列标准的 第1部分，已经发布了以下几个 部分： ——第1部分：控制平面； ——第2部分：数据平面； ——第3部分：控制服务器和边界路由器通信协议； ——第4部分：地址域的创建、选择和注册指南； ——第5部分：地址域部署。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由中国通信标准化协会提出并归口。 本文件起草单位：清华大学、北京中关村实验室、中国电信集团有限公司、中国信息通信研究院 、 华为技术有限公司、新华三技术有限公司。 本文件主要起草人：徐恪、王晓亮、郭阳飞、吴建平、史凡、赵锋、顾钰楠、万晓兰。 YD/T XXXXX—XXXX III引 言 互联网设计之初没有考虑对 IP源地址的真实性进行验证， IP地址的伪造欺骗仍然是互联网安全 威胁之一 ，是许多攻击及恶意行为的基础 。对于自治域间的源地址验证方法相对匮乏 ，没有形成相关技 术标准。 “域间源地址验证 (SAVA-X) 技术 ”系列标准规定 了自治域间的源地址验证及追溯 SAVA-X 方案。本 技术方案的标准化和推广应用 ，在没有或者不具备实施接入网的真实源地址验证方案的自治域 ，可以使 得在自治域间的网络更加安全可信 ，可以对网络设备真实位置溯源 、监控等，为从源头上治理互联网垫 定坚实的基础。 为保证方案可以增量部署 ，《域间源地址验证 (SAVA-X) 技术要求》系列标准拟由五个部分组成。 ——第1部分：控制平面。目的在于 规定 SAVA-X 技术方案控制平面的技术原理和功能特性。 ——第2部分：数据平面。目的在于 规定 SAVA-X 技术方案数据平面的技术原理和功能特性。 ——第3部分：控制服务器和边界路由器通信协议。目的在于 规定 SAVA-X 技术方案控制服务器 和边界路由器之间信息传递协议格式和步骤流程。 ——第4部分：地址域的创建、选择和注册指南。目的在于规定地址域的创建和管理的内容。 ——第5部分：地址域部署。目的在于 规定 SAVA-X 方案向地址域扩展的内容。 YD/T XXXXX—XXXX 1域间源地址验证 (SAVA-X) 技术要求 第1部分：控制平面 1　范围 本文件规定了在地址域间源地址验证方案中控制平面的技术要求 ，包括规定了控制平面的功能 、联 盟链的设计、节点的准入准出、基于联盟链的状态机维护以及时间同步机制。 本文件适用于 IPv6互联网的真实源地址验证方案。 2　规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款 。其中，注日期的引用文件 ， 仅该日期对应的版本适用于本文件 ；不注日期的引用文件，其最新版本（包括所有的修改单 ）适用于本 文件。 IETF RFC5210 源地址验证体系结构测试平台和部署经验 （A Source Address Validation Architecture (SAVA) Testbed and Deployment Experience ） IETF RFC5905 网络时间协议（第 4版）规范和实现（ Network Time Protocol Version 4: Protocol and Algorithms Specification ） IETF RFC8200 互联网协议第 6版（ IPv6）规范（ .Internet Protocol, Version 6 (IPv6) Specification ） 3　术语和定义 下列术语和定义适用于本文件。 3.1 IP源地址验证 IP source address validation 一种确保数据包中源地址字段数据真实可靠，并确保数据包来自真实用户的功能。 3.2 源地址验证体系结构 source address validation architecture 多种网络环境的源地址验证技术总称，具体包括接入网环境 SAVA-A （SAVA-Access ）、域内环境 SAVA-P（SAVA-Prefix ）和域间环境 SAVA-X （SAVA-eXternal ）。三种网络环境可以同时部署源地址 验证技术，也可以从其中任意一个角度单独部署。 3.3 域间源地址验证方案 source address validation architecture-external 地址域之间的源地址验证方案 ，隶属于 SAVA源地址验证体系结构在域间环境的方案的改善 。地址 域是域间源地址验证方案的基本单位。 YD/T XXXXX—XXXX 23.4 地址域 address domain 一个 IP地址前缀所对应的所有 IP地址组成的地址集合。 3.5 地址域注册信息 AD registration information AD加入联盟所需要的本地址域的信息 ，包括 AD号、控制服务器的 IP地址、加入联盟的时间以及 地址域的公钥信息。 3.6 地址