YD_T 2395-2012基于IPv6的下一代互联网体系架构.pdf

ICS 33.040.40M 32YD中华人民共和国通信行业标准YD/T2395-2012基于IPv6下一代互联网体系架构Technical requirementand networkarchitecture ofnextgenerationinternetbasedonIPv62012-05-28发布2012-06-01实施中华人民共和国工业和信息化部发布 YD/T系统架构方面，要求网元设各支持数据平面、控制平面和管理平面完全分离：数据平面支持不间断转发；控制平面支持快速故障检测、快速故障切换、快速重路由机制等，可选支持不间断路由。在软件实现方面，要求模块化，支持ISSU功能。6.2网络级可靠性要求在网络发生故障（节点或链路）或是网络拥塞的情况下，IPv6网络应能够为上层业务提供不间断传送服务，其可靠性要求包括：a）支持快速故障检测、快速收敛和选路机制。b）支持快速倒换机制，能够由各份路径替代主路径为用户提供不间断的通信业务；当网络故障恢复后，支持回切和不回切两种工作模式，7移动性要求当终端的网络接入链路发生变化时，上层应用不感知基于主机的网络层移动性管理机制应避循IETFRFC3775，要求实现移动IPv6协议基本功能模块，包括：a）采用隧道和源路由技术向连接在外地链路上的移动节点传送数据包：b）支持家乡代理的有哪些信誉好的足球投注网站机制）制;d）支持IPv6目的地可选扩展报头，实现转交地址的注册和更新；e）支持IPv6选路扩展报头，直接造过转交地址与移动节点进行通信。基于网络的移动性管理机制应遵循IETFRFC5213，要求网络实现移动节点的注册、跟踪、管理以及建立对应的路由状态等功能，通过LMA本地移动错点和MAG移动接入网关实现初始附着建立连接和切换流程，实现代理绑定更新（PBU）和代理那定确认（PBA）两个信令消息双栈移动IPv6应遵循IETFRFC5555，要求在满足移动IPv6基本协议功能的基需上，加入对IPv4网络的支持，要求移动节点移动到IPv4网络后，能够获得IPv4的转交地址，并通过绑定消息在家乡代理上注册IPv4转交地址。而且，移动节点、家乡代理根据网络的不同类型，能够支持IPv6inIPv6、IPv6inIPv4、IPv4inIPv6以及IPv6inUDP的随道时装。8安全性要求8.1概述基于IPv6的下一代互联网对于承载的数据应提供必要的安全机制以确保数据的机密性、完整性和可用性，应具备（但不局限于）以下安全功能：一鉴别/认证，确认用户的身份及其真实性：数据保护，提供必威体育官网网址性（防范未经授权的数据泄漏）和完整性（防范未经授权的修改、删除、刷建和复制）保护：访间控制/授权，防止未授权用户对网络资源的访间，以及授权用户过量使用网络资源；一不可抵赖性，网络具备追溯能力，使得信息发送者不可否认对信息的发送和信息接收者不可否7 YD/T对信息的接收；安全审计，提供日志等审计记录，通过这些记录来分析安全威胁并制定相应的安全对策：一安全管理，网络具备安全功能、数据和安全属性的管理能力。8.2安全机制8.2.1监别/认证网络应支持基于端口的802.1x认证、基于端口链路层地址绑定的认证、基于用户名和口令的PAP，CHAP，EAP等网络层接入认证、基于用户名和口令的高层协议认证等方式。认证系统服务器端可以采用RADIUS、DIAMETER等AAA协议实现，8.2.2数据保护网络应能够为用户提供IP安全服务（具体实现遵循IBTFRFC4301），网络层支持IPsec隧道，为用户数据提供完整性、数据源身份认证、必威体育官网网址性以及防重放攻击的保护。IPSec应支持AH和ESP协议，支持传输模式和隧道模式，支持安全联盟手工建立和IKE协议自动协商建立两种方式.应用层支持TLS安全机制，为通信端点提供细到端的安全信道。加密算法应支持空加密算法、3DES-CBC加密算法，可选支持AES-CBC和国家规定的标准分组加密算法。8.2.3访问控制/授权网络应能够提供有效的访问控制机制，保障网络带宽的合理利用，特别是能够抵御来自网络的各种DDos攻击，确保网络在通受攻击的情况下仍旧能够正常转发用户数据。网络应支持基于角色的访间控制机制，提供不同访间级别来精细化授权用户可以访间的网络资源和可执行的操作。访间控制/授权可以通过使用授权证书和/或ACL来实现。8.2.4不可抵赖性网络应具备溯源能力，通过数字签名机制来提供不可抵赖性服务。网络应能对攻击进行及时的发现和准确的分析，并提供攻击的原始记录以便于分析、取证和定位最终的攻击来源。对DDOS攻击溯源的要求：，应对现网流量进行实时收集、监控分析，能通过后台数据存储及挖掘技术对数据进行实时分析，并通过溯源系统对未能实时分析的攻击进行历史潮源分析或取证相关的数据：一对非法内容