ICS 33.040.40 CCS M32 YD 中华人民共和国 通信行业标准 YD/T XXXXX—XXXX 安全DHCPv6技术要求 Secure DHCPv6 technical requirements 点击此处添加与国际标准一致性程度的标识 （报批稿） XXXX - XX - XX发布 XXXX - XX - XX实施 中华人民共和国工业和信息化部 发 布 XX/T XXXXX—XXXX I目 次 前言 .................................................................................. II 1　范围 ................................................................................ 1 2　规范性引用文件 ...................................................................... 1 3　术语、定义和缩略语 .................................................................. 1 3.1　术语和定义 ...................................................................... 1 3.2　缩略语 .......................................................................... 2 4　DHCPv6的安全问题 ................................................................... 2 5　安全DHCPv6概述 ..................................................................... 3 5.1　解决方案概述 .................................................................... 3 5.2　算法支持 ........................................................................ 3 5.3　适用性 .......................................................................... 4 6　DHCPv6客户端行为 ................................................................... 4 7　DHCPv6服务器行为 ................................................................... 5 8　中继代理行为 ........................................................................ 6 9　对DHCPv6扩展 ....................................................................... 6 9.1　新DHCPv6选项 ................................................................... 6 9.2　新DHCPv6消息 ................................................................... 8 10　安全性考虑 ......................................................................... 8 参考文献 .............................................................................. 10 XX/T XXXXX—XXXX II前 言 本文件按照 GB/T 1.1—2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规 定 起草。 本文件由中国通信标准化协会提出并归口。 本文件起草单位 ：清华大学、北京中关村实验室、中国信息通信研究院、中国移动通信集团有限公 司、华为技术有限公司 本文件起草人： 崔勇、张蕾、孙霖晖、孙琪、徐璐、田辉、赵锋；刘鹏；郑凯、蒋胜 XX/T XXXXX—XXXX 1安全DHCPv6技术要求 1　范围 本文件描述了 DHCPv6存在的安全隐患 ，并对其进行扩展 ，提出了提高服务器抵御类似欺骗等攻击的 能力的客户端认证和服务器和客户端间通信加密两种提高安全性的方式。 本 文 件 规 定 了 Encrypted-Query, Encrypted-Response 新DHCPv6消 息 ， 以 及 Certificate, Signatue, Increasing-number, Encrypted-message 新DHCPv6选项，用于实现 DHCPv6的认证加密过程， 以提高DHCPv6协议安全性。 本文件适用于 IPv6网络中动态分配用户地址的场景。 2　规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款 。其中，注日期的引用文件 ， 仅该日期对应的版本适用于本文件 ；不注日期的引用文件，其最新版本（包括所有的更改单 ）适用于本 文件。 IETF RFC3315 IPv6动态主机配置协议（ Dynamic Host Configuration Protocol for IPv6 （DHCPv6）） IETF RFC5652 密码消息语法（ Cryptographic Message Syntax (CMS)） IETF RFC6273 安全邻居发现协议哈希威胁分析 （The Secure Neighbor Discovery (SEND) Hash Threat Analysis ） IETF RFC7283 处理未知 DHCPv6消息（Handling Unknown DHCPv6 Messages ） IETF RFC7296 互联网密钥交换协议版本 2（Internet Key Exchange Protocol Version 2 (IKEv2)） IETF RFC7435 机会安全：大部分时间的保护 （Opportunistic Security: Some Protection Most of the Time） IETF RFC7824 对DHCPv6的隐私考虑（ Privacy Considerations for DHCPv6） 3　术语、定义和缩略语 3.1　术语和定义 下列术语和定义适用于本文件。 3.1.1　 加密请求消息 Encrypted-Query message 加密请求消息，本标准中提出的新消息类型，用于承载加密后的客户端请求消息。 3.1.2　 XX/T XXXXX—XXXX 2加密应答消息 Encrypted-Response message 加密应答消息，本标准中 提出的新消息类型，由于承载加 密后的服务器回复消息。 3.1.3　 加密消息选项 Encrypted-message Option 加密消息选项，本标准中提出的新选项类型，用于携带 接收方公钥加密的 DHCPv6消息。 3.1.4　 数字证书选项 Certificate Option 数字证书选项，本标准中提出的新选项类型，用 于承载DHCPv6客户端/服务器的数字证书。 3.1.5　 数字签名选项 Signature Option 数字签名选项，本标准中提出的新选项类型，用于承载在 DHCPv6消息中密钥生成的签名。 3.1.6　 计数选项 Increasing-number Option 计数选项 ，本标准中提出的新选项类型 ，Increasing-number 选项携带了大于客户端或服务器本 地储存的计数值，用于防范重复播放攻击 . 3.1.7　 中继转发消息 Relay-Forward message DHCPv6中继代理产生中继转发消息，用于在客户端与服务器或者其他中继代理之间转发消息。 3.1.8　 中继应答消息 Relay-Reply message DHCPv6中继应答消息，当一个中继代理部署在 DHCPv6服务器和客户端之间时， DHCPv6服务器产 生中继-应答消息向 DHCP客户端发送参数 ，包括链路地址等内容 。DHCPv6服务器一般在收到中继 -转发消息后发送中继 -应答消息。 3.2　缩略语 下列缩略语适用于本文件： DHCPv4 IPv4动态主机配置协议 IPv4 Dynamic Host Con