IPv6地址分配和編碼規(guī)則接口標(biāo)識(shí)符2024-04-25發(fā)布2024-11-01實(shí)施I l2規(guī)范性引用文件 3術(shù)語和定義 4縮略語 5IPv6全球單播地址格式 26接口標(biāo)識(shí)符編碼方法 26.1EUI-64編碼方法 26.2加密變換編碼方法 3附錄A(資料性)加密變換編碼方法計(jì)算實(shí)例 參考文獻(xiàn) 6Ⅲ本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請(qǐng)注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任。本文件由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)(SAC/TC260)提出。本文件由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)(SAC/TC260)和全國通信標(biāo)準(zhǔn)化技術(shù)委員會(huì)(SAC/TC485)本文件起草單位：國家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心、清華大學(xué)、四川大學(xué)、華為技術(shù)有限公司、中興通訊股份有限公司、中國信息通信科技集團(tuán)有限公司、華東師范大學(xué)、北京百度網(wǎng)訊科技有限公司、奇安信網(wǎng)神信息技術(shù)(北京)股份有限公司、北京中關(guān)村實(shí)驗(yàn)室。1IPv6地址分配和編碼規(guī)則接口標(biāo)識(shí)符1范圍本文件規(guī)定了IPv6地址接口標(biāo)識(shí)符的編碼規(guī)則。本文件適用于互聯(lián)網(wǎng)接入服務(wù)商、應(yīng)用基礎(chǔ)設(shè)施服務(wù)商、自用網(wǎng)絡(luò)運(yùn)營者、網(wǎng)絡(luò)終端廠商、網(wǎng)絡(luò)設(shè)備廠商等進(jìn)行網(wǎng)絡(luò)動(dòng)態(tài)分配IPv6地址時(shí)的接口標(biāo)識(shí)符編碼與分配。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修改單)適用于本文件。GB/T25069—2022信息安全技術(shù)術(shù)語3術(shù)語和定義GB/T25069—2022界定的以及下列術(shù)語和定義適用于本文件。接口標(biāo)識(shí)符interfaceidentifier;IID在一條鏈路上，用于標(biāo)識(shí)網(wǎng)絡(luò)內(nèi)特定接口的標(biāo)識(shí)符(IPv6地址中的低比特部分)?；ヂ?lián)網(wǎng)接入服務(wù)商internetaccessserviceprovider擁有全國性或區(qū)域性用戶接入網(wǎng)絡(luò)，為終端用戶提供專線、撥號(hào)上網(wǎng)等接入互聯(lián)網(wǎng)的服務(wù)及有限的信息服務(wù)的提供商。應(yīng)用基礎(chǔ)設(shè)施服務(wù)商applicationinfrastructureprovider提供全國性和區(qū)域性的互聯(lián)網(wǎng)數(shù)據(jù)中心服務(wù)、云計(jì)算服務(wù)、內(nèi)容分發(fā)網(wǎng)絡(luò)服務(wù)、域名注冊(cè)和解析服務(wù)的服務(wù)提供商。除互聯(lián)網(wǎng)接入服務(wù)商和應(yīng)用基礎(chǔ)設(shè)施服務(wù)商之外，從境內(nèi)地址分配機(jī)構(gòu)獲得地址或從亞太互聯(lián)網(wǎng)信息中心等具有IP地址管理權(quán)的國際機(jī)構(gòu)獲得地址的網(wǎng)絡(luò)。一種具有網(wǎng)絡(luò)功能接入能實(shí)現(xiàn)人與機(jī)器交互的終端設(shè)備。IPv6動(dòng)態(tài)主機(jī)配置協(xié)議dynamichostconfigurationprotocolforIPv6;DHCPv6一種動(dòng)態(tài)配置協(xié)議，用于配置IPv6節(jié)點(diǎn)的網(wǎng)絡(luò)配置參數(shù)、IPv6地址以及IPv6地址前綴的可擴(kuò)展2機(jī)制。由節(jié)點(diǎn)生成接口標(biāo)識(shí)符，并與節(jié)點(diǎn)通過監(jiān)聽路由通告獲得的地址前綴結(jié)合形成IPv6地址的一種動(dòng)態(tài)配置協(xié)議。4縮略語下列縮略語適用于本文件。EUI-64:64位擴(kuò)展唯一標(biāo)識(shí)符(64-bitExtendedUniqueIdentifier)IETF:國際互聯(lián)網(wǎng)工程任務(wù)組(InternetEngineeringTaskForce)IMEI:國際移動(dòng)設(shè)備識(shí)別碼(InternationalMobileEquipmentIdentity)IPv6:互聯(lián)網(wǎng)協(xié)議第6版(InternetProtocolVersion6)MAC:媒體訪問控制(MediaAccessControl)MSB:最高有效位(MostSignificantBit)RFC:請(qǐng)求評(píng)議文件(RequestforCommentsdocuments)5IPv6全球單播地址格式IPv6地址長度為128位，除了以二進(jìn)制000開始的全球單播地址外，IPv6全球單播地址的接口標(biāo)識(shí)符長度均為64位。IPv6全球單播地址一般格式見圖1。-64位—(64-n)位-路由前綴子網(wǎng)標(biāo)識(shí)符圖1IPv6全球單播地址格式接口標(biāo)識(shí)符編碼方法見第6章。6接口標(biāo)識(shí)符編碼方法6.1EUI-64編碼方法該編碼方法采用IETFRFC4291的附錄A,適用于互聯(lián)網(wǎng)接入服務(wù)商、應(yīng)用基礎(chǔ)設(shè)施服務(wù)商、自用網(wǎng)絡(luò)運(yùn)營者等IPv6地址運(yùn)營實(shí)體通過DHCPv6向網(wǎng)絡(luò)終端分配IPv6地址時(shí)的接口標(biāo)識(shí)符編碼，也適用于通過SLAAC由網(wǎng)絡(luò)終端生成的接口標(biāo)識(shí)符編碼。編碼方法如下(見圖2):a)在MAC地址的制造商標(biāo)識(shí)符和網(wǎng)絡(luò)適配器標(biāo)識(shí)符之間插入“0xff”和“0xfe”作為中間16位；b)對(duì)a)形成的64位的自左向右第7位進(jìn)行取反操作(接口標(biāo)識(shí)符第7位用于標(biāo)識(shí)該接口標(biāo)識(shí)符是全局唯一或本地唯一。0表示該接口標(biāo)識(shí)符本地唯一，1表示該接口標(biāo)識(shí)符全局唯一),生成的64位即為接口標(biāo)識(shí)符。注：MAC地址共48位，前24位為制造商標(biāo)識(shí)符，后24位為網(wǎng)絡(luò)適配器標(biāo)識(shí)符。3cccccccccccc0gccccccccccccccceXXXXXXXXXXXXXXXXXXXXXXXXOxff—64位—11111110XXXXXXXXXXXXXXXXXXXXXXXX圖2EUI-64接口標(biāo)識(shí)符編碼方法6.2加密變換編碼方法該編碼方法適用于互聯(lián)網(wǎng)接入服務(wù)商、應(yīng)用基礎(chǔ)設(shè)施服務(wù)商、自用網(wǎng)絡(luò)運(yùn)營者等IPv6地址運(yùn)營實(shí)體通過DHCPv6向網(wǎng)絡(luò)終端分配IPv6地址時(shí)的接口標(biāo)識(shí)符編碼。通過對(duì)網(wǎng)絡(luò)終端標(biāo)識(shí)進(jìn)行加密變換處理后形成接口標(biāo)識(shí)符，計(jì)算方法為：式中：E()——加密變換函數(shù)，為加密、雜湊等基本方法或其組合，輸出為64位；網(wǎng)絡(luò)終端標(biāo)識(shí)——必選參數(shù)，用于標(biāo)識(shí)網(wǎng)絡(luò)終端，如MAC地址、IMEI等；前綴——可選參數(shù)，分配給網(wǎng)絡(luò)終端的IPv6地址前綴，長度為64位；隨機(jī)數(shù)——可選參數(shù)，隨機(jī)生成的序列，用于隨機(jī)化IPv6地址；計(jì)數(shù)器——可選參數(shù)，用于擴(kuò)展IPv6地址的隨機(jī)空間；保留項(xiàng)——可選參數(shù)，用于標(biāo)識(shí)其他信息；鑒別碼——可選參數(shù)，用于鑒別前綴等輸入字段的完整性；KEY——可選參數(shù)，加密算法所需的密鑰或雜湊算法所需的鹽值；E()為加密算法時(shí)，KEY為必選參數(shù)。注1:采用不同的E(),會(huì)產(chǎn)生不同的性能開銷。注2:沖突地址校驗(yàn)?zāi)芰νㄟ^調(diào)整隨機(jī)數(shù)或計(jì)數(shù)器實(shí)現(xiàn)。應(yīng)能根據(jù)函數(shù)E()、KEY等參數(shù)以及生成的IID計(jì)算出網(wǎng)絡(luò)終端標(biāo)識(shí)或與網(wǎng)絡(luò)終端標(biāo)識(shí)具有穩(wěn)定對(duì)應(yīng)關(guān)系的映射值。加密變換編碼方法計(jì)算實(shí)例見附錄A。4(資料性)加密變換編碼方法計(jì)算實(shí)例依據(jù)6.2,編碼方法計(jì)算為：IID=Ek(ID,params)E()——輸入輸出長度為64位的密碼算法，如CAST-128、HIGHT等；K——對(duì)稱密鑰，長度要求大于或等于128位，保證加密算法的安全性，同時(shí)為了保證密鑰的ID——標(biāo)識(shí)網(wǎng)絡(luò)終端的序列，長度為m位，選取MAC地址、IMEI等網(wǎng)絡(luò)終端標(biāo)識(shí)或以上信息的雜湊截取值等；Params——與網(wǎng)絡(luò)終端標(biāo)識(shí)一同嵌入接口標(biāo)識(shí)符的額外字段，如計(jì)數(shù)器、時(shí)間戳等，其長度為A.2實(shí)例二依據(jù)6.2,編碼方法計(jì)算為：實(shí)例二的接口標(biāo)識(shí)符生成步驟如下。a)生成64位原始編碼。原始編碼格式如圖A.1所示。x位-r位--(64-m—n-r)位-保留項(xiàng)隨機(jī)數(shù)鑒別碼等網(wǎng)絡(luò)終端標(biāo)識(shí)或以上信息的雜湊截取鑒別碼——地址分發(fā)設(shè)備調(diào)用與64位地址前綴關(guān)聯(lián)的密鑰，計(jì)算消息鑒別碼，取最后(64—m—n-r)位作為鑒別碼。長度為(64—m—n-r)位。消息鑒別碼算法選用國密SM3-HMAC等。圖A.164位原始編碼格式b)使用對(duì)稱加密方法，加密生成接口標(biāo)識(shí)符：地址分發(fā)設(shè)備調(diào)用與64位地址前綴關(guān)聯(lián)的密鑰，將a)生成的64位加密后作為接口標(biāo)識(shí)符。密鑰根據(jù)安全需求定期更換，加密算法采用PRESENT等64位分組長度的對(duì)稱加密算法。依據(jù)6.2,將網(wǎng)絡(luò)終端標(biāo)識(shí)與前綴等參數(shù)的雜湊值進(jìn)行異或得到接口標(biāo)識(shí)符，編碼方法計(jì)算為：5IID=(ID||Reserved||Padding)+(MSB-(m+n)(hash(Prefix,Rand,Counter,Key))||Rand)式中：ID——標(biāo)識(shí)網(wǎng)絡(luò)終端的序列，長度為m(m≥48)位，選取MAC地址、IMEI等網(wǎng)絡(luò)終端標(biāo)識(shí)或以上信息的雜湊截取值等；Reserved——保留字段，用于標(biāo)識(shí)其他信息，長度為n位；Padding——用于填充的二進(jìn)制序列，長度為(64—m-n)位；Rand——隨機(jī)生成的二進(jìn)制序列，長度為(64—m-n)位，用于隨機(jī)化IPv6地址；Prefix——當(dāng)前網(wǎng)絡(luò)終端被分配的IPv6地址網(wǎng)絡(luò)前綴；Counter——公開的計(jì)數(shù)器，長度為8位，定期更換，用于調(diào)整隨機(jī)序列；Key——密鑰，為不低于128位的二進(jìn)制序列。注1:Ⅱ?yàn)檫B接運(yùn)算符，功能為將兩個(gè)或多個(gè)二進(jìn)制序列以連接方式合并成一個(gè)二進(jìn)制序列。注2:MSB—(m+n)表示取二進(jìn)制序列的前(m+n)位。接口標(biāo)識(shí)符生成步驟(見圖A.2)如下：a)將ID級(jí)聯(lián)Reserved,填充至64位，即ID||ReservedPadding;b)生成(64—m-n)位隨機(jī)數(shù)Rand,然后計(jì)算hash(Prefix,Rand,Counter,Key),取前(m+n)位c)將a)、b)中兩個(gè)64位取值異或，結(jié)果值與當(dāng)前同一子網(wǎng)下的有效地址接口標(biāo)識(shí)符做比對(duì)，若無沖突，則作為接口標(biāo)識(shí)符輸出；若存在值沖突的情況，則重新生成隨機(jī)數(shù)，執(zhí)行步驟b)、c)。im位n位保留項(xiàng)填充XORMSB-(m+n)(hasn(Pretix,Rand,Counter,Key))Rand接口標(biāo)識(shí)符圖A.2接口標(biāo)識(shí)符生成步驟圖示實(shí)例三選擇SM3等雜湊算法。6[1]GB