[要約] RFC 4721は、Mobile IPv4の課題/応答拡張に関するものであり、認証プロセスの改善とネットワークセキュリティの向上を目的としています。
Network Working Group C. Perkins
Request for Comments: 4721 Nokia Research Center
Obsoletes: 3012 P. Calhoun
Updates: 3344 Cisco Systems, Inc.
Category: Standards Track J. Bharatia
Nortel Networks
January 2007
Mobile IPv4 Challenge/Response Extensions (Revised)
モバイルIPv4チャレンジ/応答拡張機能(改訂)
Status of This Memo
本文書の位置付け
This document specifies an Internet standards track protocol for the Internet community, and requests discussion and suggestions for improvements. Please refer to the current edition of the "Internet Official Protocol Standards" (STD 1) for the standardization state and status of this protocol. Distribution of this memo is unlimited.
このドキュメントは、インターネットコミュニティのインターネット標準トラックプロトコルを指定し、改善のための議論と提案を要求します。このプロトコルの標準化状態とステータスについては、「インターネット公式プロトコル標準」(STD 1)の現在のエディションを参照してください。このメモの配布は無制限です。
Copyright Notice
著作権表示
Copyright (C) The IETF Trust (2007).
著作権(c)The IETF Trust(2007)。
Abstract
概要
Mobile IP, as originally specified, defines an authentication extension (the Mobile-Foreign Authentication extension) by which a mobile node can authenticate itself to a foreign agent. Unfortunately, that extension does not provide the foreign agent any direct guarantee that the protocol is protected from replays and does not allow for the use of existing techniques (such as Challenge Handshake Authentication Protocol (CHAP)) for authenticating portable computer devices.
元々指定されたモバイルIPは、モバイルノードが外国人エージェントに認証できる認証拡張機能(モバイル外定認証拡張機能)を定義します。残念ながら、この拡張機能は、外国のエージェントに、プロトコルがリプレイから保護されており、ポータブルコンピューターデバイスを認証するための既存の手法(チャレンジハンドシェイク認証プロトコル(Chap)など)の使用を許可しないという直接保証を外国人に提供しません。
In this specification, we define extensions for the Mobile IP Agent Advertisements and the Registration Request that allow a foreign agent to use a challenge/response mechanism to authenticate the mobile node.
この仕様では、モバイルIPエージェント広告の拡張機能と、外国人エージェントがチャレンジ/応答メカニズムを使用してモバイルノードを認証できるようにする登録要求を定義します。
Furthermore, this document updates RFC 3344 by including a new authentication extension called the Mobile-Authentication, Authorization, and Accounting (AAA) Authentication extension. This new extension is provided so that a mobile node can supply credentials for authorization, using commonly available AAA infrastructure elements. This authorization-enabling extension MAY co-exist in the same Registration Request with authentication extensions defined for Mobile IP Registration by RFC 3344. This document obsoletes RFC 3012.
さらに、このドキュメントは、モバイル認証、承認、および会計(AAA)認証拡張機能と呼ばれる新しい認証拡張機能を含めることにより、RFC 3344を更新します。この新しい拡張機能は、一般的に利用可能なAAAインフラストラクチャ要素を使用して、モバイルノードが認証のために資格情報を提供できるように提供されます。この承認を有する拡張機能は、RFC 3344によるモバイルIP登録のために定義された認証拡張機能と同じ登録要求と共存する場合があります。このドキュメントは、RFC 3012を廃止します。
Table of Contents
目次
1. Introduction ....................................................2
1.1. Terminology ................................................3
2. Mobile IP Agent Advertisement Challenge Extension ...............4
2.1. Handling of Solicited Agent Advertisements .................4
3. Operation .......................................................5
3.1. Mobile Node Processing of Registration Requests ............5
3.2. Foreign Agent Processing of Registration Requests ..........6
3.2.1. Foreign Agent Algorithm for Tracking Used
Challenges .........................................8
3.3. Foreign Agent Processing of Registration Replies ...........9
3.4. Home Agent Processing of Challenge Extensions .............10
3.5. Mobile Node Processing of Registration Replies ............11
4. Mobile-Foreign Challenge Extension .............................11
5. Generalized Mobile IP Authentication Extension .................12
6. Mobile-AAA Authentication Subtype ..............................13
7. Reserved SPIs for Mobile IP ....................................14
8. SPIs for RADIUS AAA Servers ....................................14
9. Configurable Parameters ........................................15
10. Error Values ..................................................16
11. IANA Considerations ...........................................16
12. Security Considerations .......................................17
13. Acknowledgements ..............................................18
14. Normative References ..........................................18
Appendix A. Changes since RFC 3012 ................................20
Appendix B. Verification Infrastructure ...........................21
Appendix C. Message Flow for FA Challenge Messaging with
Mobile-AAA Extension ..................................22
Appendix D. Message Flow for FA Challenge Messaging with
MN-FA Authentication ..................................23
Appendix E. Example Pseudo-code for Tracking Used Challenges ......24
Mobile IP defines the Mobile-Foreign Authentication extension to allow a mobile node to authenticate itself to a foreign agent. Such authentication mechanisms are mostly external to the principal operation of Mobile IP, since the foreign agent can easily route packets to and from a mobile node whether or not the mobile node is reporting a legitimately owned home address to the foreign agent. Unfortunately, that extension does not provide the foreign agent any direct guarantee that the protocol is protected from replays and does not allow for the use of CHAP [RFC1994] for authenticating portable computer devices. In this specification, we define extensions for the Mobile IP Agent Advertisements and the Registration Request that allow a foreign agent to use a challenge/ response mechanism to authenticate the mobile node. Furthermore, an additional authentication extension, the Mobile-AAA authentication extension, is provided so that a mobile node can supply credentials for authorization using commonly available AAA infrastructure elements. The foreign agent may be able to interact with an AAA infrastructure (using protocols outside the scope of this document) to obtain a secure indication that the mobile node is authorized to use the local network resources.
モバイルIPは、モバイルノードが外国人エージェントに認証できるように、モバイル外定認証拡張機能を定義します。このような認証メカニズムは、モバイルノードが正当な所有のホームアドレスを外国人エージェントに報告しているかどうかにかかわらず、モバイルノードとの間でパケットを簡単にルーティングできるため、このような認証メカニズムはモバイルIPの主要な動作の外部です。残念ながら、その拡張は、プロトコルがリプレイから保護されており、ポータブルコンピューターデバイスを認証するためにCHAP [RFC1994]を使用することを許可していないという直接的な保証を外国人エージェントに提供しません。この仕様では、モバイルIPエージェント広告の拡張機能と、外国人エージェントがチャレンジ/応答メカニズムを使用してモバイルノードを認証できるようにする登録要求を定義します。さらに、モバイルノードが一般的に利用可能なAAAインフラストラクチャ要素を使用して認証のために資格情報を提供できるように、追加の認証拡張機能であるモバイルAAA認証拡張機能が提供されます。外国人エージェントは、AAAインフラストラクチャ(このドキュメントの範囲外のプロトコルを使用)と対話して、モバイルノードがローカルネットワークリソースを使用することを許可されているという安全な兆候を取得できる場合があります。
The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in RFC 2119 [RFC2119].
この文書のキーワード "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", および "OPTIONAL" はRFC 2119 [RFC2119]で説明されているように解釈されます。
This document uses the term Security Parameters Index (SPI) as defined in the base Mobile IP protocol specification [RFC3344]. All SPI values defined in this document refer to values for the SPI as defined in that specification.
このドキュメントでは、ベースモバイルIPプロトコル仕様[RFC3344]で定義されているように、セキュリティパラメータインデックス(SPI)という用語を使用しています。このドキュメントで定義されているすべてのSPI値は、その仕様で定義されているSPIの値を指します。
The following additional terminology is used in addition to that defined in [RFC3344]:
[RFC3344]で定義されているものに加えて、次の追加の用語が使用されます。
previously used challenge:
以前に使用されていたチャレンジ:
The challenge is a previously used challenge if the mobile node sent the same challenge to the foreign agent in a previous Registration Request, and if that previous Registration Request passed all validity checks performed by the foreign agent. The foreign agent may not be able to keep records for all previously used challenges, but see Section 3.2 for minimal requirements.
課題は、以前の登録要求でモバイルノードが外国人エージェントに同じチャレンジを送信した場合、およびその前の登録要求が外国人エージェントによって実行されたすべての有効性チェックに合格した場合、以前に使用された課題です。外国のエージェントは、以前に使用されていたすべての課題の記録を保持できない場合がありますが、最小限の要件についてはセクション3.2を参照してください。
security association:
セキュリティ協会:
A "mobility security association", as defined in [RFC3344].
[RFC3344]で定義されている「モビリティセキュリティ協会」。
unknown challenge:
不明な課題:
Any challenge from a particular mobile node that the foreign agent has no record of having put either into one of its recent Agent Advertisements or into a registration reply message to that mobile node.
特定のモバイルノードからの課題は、外国人エージェントが最近のエージェント広告のいずれかに、またはそのモバイルノードへの登録返信メッセージに記録されていないという記録を持っていないという課題です。
unused challenge:
未使用の課題:
A challenge that has not already been accepted by the foreign agent from the mobile node in the Registration Request, i.e., a challenge that is neither unknown nor previously used.
登録要求でモバイルノードから外国人エージェントによってまだ受け入れられていない課題、つまり、未知でも以前に使用されていない課題。
This section defines a new extension to the Router Discovery Protocol [RFC1256] for use by foreign agents that need to issue a challenge for authenticating mobile nodes.
このセクションでは、モバイルノードを認証するためにチャレンジを発行する必要がある外国人エージェントが使用するためのルーターディスカバリープロトコル[RFC1256]の新しい拡張機能を定義します。
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Type | Length | Challenge ...
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Figure 1. The Challenge Extension
図1.チャレンジエクステンション
Type:
タイプ:
24
24
Length:
長さ:
The length of the Challenge value in octets; SHOULD be at least 4.
オクテットのチャレンジ値の長さ。少なくとも4である必要があります。
Challenge:
チャレンジ:
A random value that SHOULD be at least 32 bits.
少なくとも32ビットになるはずのランダムな値。
The Challenge extension, illustrated in Figure 1, is inserted in the Agent Advertisements by the foreign agent in order to communicate a previously unused challenge value that can be used by the mobile node to compute an authentication for its next registration request message. The challenge is selected by the foreign agent to provide local assurance that the mobile node is not replaying any earlier registration request. Eastlake et al. [RFC4086] provides more information on generating pseudo-random numbers suitable for use as values for the challenge.
図1に示すチャレンジエクステンションは、モバイルノードで使用される以前に使用されていない課題値を通信するために、次の登録要求メッセージの認証を計算することができる以前に使用されていないチャレンジ値を伝えるために、外国人エージェントによってエージェント広告に挿入されています。この課題は、モバイルノードが以前の登録要求を再生していないというローカル保証を提供するために、外国人エージェントによって選択されます。Eastlake et al。[RFC4086]は、チャレンジの値として使用するのに適した擬似ランダム数の生成に関する詳細情報を提供します。
Note that the storage of different Challenges received in Agent Advertisements from multiple foreign agents is implementation specific and hence out of scope for this specification.
複数の外国人エージェントからエージェント広告で受け取ったさまざまな課題の保存は実装固有であり、したがってこの仕様の範囲外であることに注意してください。
When a foreign agent generates an Agent Advertisement in response to a Router Solicitation [RFC1256], some additional considerations come into play. According to the Mobile IP base specification [RFC3344], the resulting Agent Advertisement may be either multicast or unicast.
外国人エージェントがルーターの勧誘[RFC1256]に応じてエージェント広告を生成すると、いくつかの追加の考慮事項が発生します。モバイルIPベース仕様[RFC3344]によると、結果のエージェント広告はマルチキャストまたはユニキャストのいずれかである可能性があります。
If the solicited Agent Advertisement is multicast, the foreign agent MUST NOT generate a new Challenge value and update its window of remembered advertised Challenges. It must instead re-use the most recent of the CHALLENGE_WINDOW Advertisement Challenge values (Section 9).
勧誘されたエージェント広告がマルチキャストである場合、外国人エージェントは新しいチャレンジ値を生成してはならず、記憶されている宣伝された課題のウィンドウを更新する必要があります。代わりに、Challenge_Window Advertisement Challenge Values(セクション9)の最新のものを再利用する必要があります。
If the agent advertisement is unicast back to the soliciting mobile node, it MUST be handled as follows: If the challenge most recently unicast to the soliciting mobile node has not been previously used (as defined in Section 1.1), it SHOULD be repeated in the newly issued unicast agent advertisement. Otherwise, a new challenge MUST be generated and remembered as the most recent challenge issued to the mobile node. For further discussion of this, see Section 12.
エージェントの広告がモバイルノードの勧誘に戻る場合、次のように処理する必要があります。最近のモバイルノードのユニキャストが以前に使用されていない場合(セクション1.1で定義されています)、新しく発行されたユニキャストエージェント広告。それ以外の場合、モバイルノードに発行された最新の課題として、新しい課題を生成し、記憶する必要があります。これについての詳細については、セクション12を参照してください。
This section describes modifications to the Mobile IP registration process [RFC3344] that may occur after the foreign agent issues a Mobile IP Agent Advertisement containing the Challenge on its local link. See Appendix C for a diagram showing the canonical message flow for messages related to the processing of the foreign agent challenge values.
このセクションでは、外国人エージェントがローカルリンクに課題を含むモバイルIPエージェント広告を発行した後に発生する可能性のあるモバイルIP登録プロセス[RFC3344]の変更について説明します。外国のエージェントチャレンジ値の処理に関連するメッセージの標準メッセージフローを示す図については、付録Cを参照してください。
Retransmission behavior for Registration Requests is identical to that specified in Mobile IP specification [RFC3344]. A retransmitted Registration Request MAY use the same Challenge value as given in the original Registration Request.
登録要求の再送信動作は、モバイルIP仕様[RFC3344]で指定されているものと同じです。再送信された登録要求は、元の登録要求で指定されたのと同じチャレンジ値を使用する場合があります。
Whenever the Agent Advertisement contains the Challenge extension, if the mobile node does not have a security association with the foreign agent, then it MUST include the Challenge value in a Mobile-Foreign Challenge extension to the Registration Request message. If, on the other hand, the mobile node does have a security association with the foreign agent, it SHOULD include the Challenge value in its Registration Request message.
エージェント広告にチャレンジ拡張機能が含まれている場合はいつでも、モバイルノードに外国人エージェントとセキュリティ関連がない場合、登録リクエストメッセージへのモバイル外定チャレンジ拡張機能にチャレンジ値を含める必要があります。一方、モバイルノードに外国人エージェントとセキュリティ関連がある場合、登録要求メッセージにチャレンジ値を含める必要があります。
If the mobile node has a security association with the Foreign Agent, it MUST include a Mobile-Foreign Authentication extension in its Registration Request message, according to the base Mobile IP specification [RFC3344]. When the Registration Request contains the Mobile-Foreign Challenge extension specified in Section 4, the Mobile-Foreign Authentication MUST follow the Challenge extension in the Registration Request. The mobile node MAY also include the Mobile-AAA Authentication extension.
モバイルノードに外国エージェントとセキュリティ関連がある場合、ベースモバイルIP仕様[RFC3344]に従って、登録要求メッセージにモバイル外定認証拡張機能を含める必要があります。登録リクエストにセクション4で指定されたモバイル外国のチャレンジ拡張が含まれている場合、モバイル外定認証は登録リクエストのチャレンジ拡張機能に従う必要があります。モバイルノードには、モバイルAAA認証拡張機能も含まれる場合があります。
If both the Mobile-Foreign Authentication and the Mobile-AAA Authentication extensions are present, the Mobile-Foreign Challenge extension MUST precede the Mobile-AAA Authentication extension, and the Mobile-AAA Authentication extension MUST precede the Mobile-Foreign Authentication extension.
モバイル外定認証とモバイルAAA認証拡張機能の両方が存在する場合、モバイル外定チャレンジ拡張はモバイルAAA認証拡張に先行する必要があり、モバイルAAA認証拡張機能はモバイル外定認証拡張機能に先行する必要があります。
If the mobile node does not have a security association with the foreign agent, the mobile node MUST include the Mobile-AAA Authentication extension as, defined in Section 6, when it includes the Mobile-Foreign Challenge extension. In addition, the mobile node SHOULD include the NAI extension [RFC2794] to enable the foreign agent to make use of available verification infrastructure that requires this. The SPI field of the Mobile-AAA Authentication extension specifies the particular secret and algorithm (shared between the mobile node and the verification infrastructure) that must be used to perform the authentication. If the SPI value is chosen as CHAP_SPI (see Section 9), then the mobile node specifies CHAP-style authentication [RFC1994] using MD5 [RFC1321].
モバイルノードに外国エージェントとのセキュリティ関連がない場合、モバイルノードには、モバイル外国のチャレンジ拡張機能を含むセクション6で定義されているモバイルAAA認証拡張機能を含める必要があります。さらに、モバイルノードには、NAI拡張機能[RFC2794]を含める必要があります。これは、外国人エージェントがこれを必要とする利用可能な検証インフラストラクチャを利用できるようにする必要があります。モバイルAAA認証拡張機能のSPIフィールドは、認証を実行するために使用する必要がある特定の秘密とアルゴリズム(モバイルノードと検証インフラストラクチャ間で共有)を指定します。SPI値がCHAP_SPIとして選択されている場合(セクション9を参照)、モバイルノードはMD5 [RFC1321]を使用してCHAPスタイルの認証[RFC1994]を指定します。
In either case, the Mobile-Foreign Challenge extension followed by one of the above specified authentication extensions MUST follow the Mobile-Home Authentication extension, if present.
どちらの場合でも、モバイル外国のチャレンジ拡張に続いて、上記の認証拡張機能の1つが続く場合は、存在する場合はモバイルホーム認証拡張機能に従う必要があります。
A mobile node MAY include the Mobile-AAA Authentication extension in the Registration Request when the mobile node registers directly with its home agent (using a co-located care-of address). In this case, the mobile node uses an SPI value of CHAP_SPI (Section 8) in the Mobile Node-Authentication, Authorization, and Accounting (MN-AAA) Authentication extension and MUST NOT include the Mobile-Foreign Challenge extension. Also, replay protection for the Registration Request in this case is provided by the Identification field defined by [RFC3344].
モバイルノードには、モバイルノードがホームエージェントと直接登録されたときに、登録要求にモバイル-AAA認証拡張機能を含めることができます(共同主よ、住所を使用して)。この場合、モバイルノードは、モバイルノード認証、承認、および会計(MN-AAA)認証拡張機能でCHAP_SPI(セクション8)のSPI値(セクション8)を使用し、モバイル外国のチャレンジ拡張機能を含めてはなりません。また、この場合の登録要求のリプレイ保護は、[RFC3344]で定義された識別フィールドによって提供されます。
Upon receipt of the Registration Request, if the foreign agent has issued a Challenge as part of its Agent Advertisements, and if it does not have a security association with the mobile node, then the foreign agent SHOULD check that the Mobile-Foreign Challenge extension exists, and that it contains a challenge value previously unused by the mobile node. This ensures that the mobile node is not attempting to replay a previous advertisement and authentication. In this case, if the Registration Request does not include a Challenge extension, the foreign agent MUST send a Registration Reply with the Code field set to missing_challenge.
登録要求を受け取ったとき、外国人エージェントがエージェント広告の一部としてチャレンジを発行した場合、およびモバイルノードとのセキュリティ関連がない場合、外国人エージェントはモバイル外定チャレンジ拡張が存在することを確認する必要があります。、およびモバイルノードで以前に使用されていないチャレンジ値が含まれていること。これにより、モバイルノードが以前の広告と認証を再生しようとしていないことが保証されます。この場合、登録リクエストにチャレンジ拡張機能が含まれていない場合、外国人エージェントは登録返信をMissing_Challengeに設定したコードフィールドを送信する必要があります。
If a mobile node retransmits a Registration Request with the same Challenge extension, and if the foreign agent still has a pending Registration Request record in effect for the mobile node, then the foreign agent forwards the Registration Request to the Home Agent again. The foreign agent SHOULD check that the mobile node is actually performing a retransmission, by verifying that the relevant fields of the retransmitted request (including, if present, the mobile node NAI extension [RFC2794]) are the same as represented in the visitor list entry for the pending Registration Request (Section 3.7.1 of [RFC3344]). This verification MUST NOT include the "remaining Lifetime of the pending registration" or the Identification field, since those values are likely to change even for requests that are merely retransmissions and not new Registration Requests. In all other circumstances, if the foreign agent receives a Registration Request with a Challenge extension containing a Challenge value previously used by that mobile node, the foreign agent SHOULD send a Registration Reply to the mobile node, containing the Code value stale_challenge.
モバイルノードが同じチャレンジ拡張機能を備えた登録リクエストを再送信し、外国人エージェントが依然としてモバイルノードに有効な保留中の登録要求レコードを持っている場合、外国人エージェントは再び登録要求をホームエージェントに転送します。外国人エージェントは、再送信要求の関連フィールド(存在する場合はモバイルノードNAI拡張子[RFC2794]を含む)が訪問者リストエントリで表されるものと同じであることを確認することにより、モバイルノードが実際に再送信を実行していることを確認する必要があります。保留中の登録要求([RFC3344]のセクション3.7.1)。この検証には、「保留中の登録の残りの寿命」または識別フィールドを含めてはなりません。これらの値は、単に再送信と新しい登録要求ではなく、単に再送信である要求でも変更される可能性が高いためです。他のすべての状況で、外国人エージェントがそのモバイルノードで以前に使用されていたチャレンジ値を含むチャレンジ拡張機能を備えた登録要求を受け取った場合、外国人エージェントはコード値Stale_Challengeを含むモバイルノードに登録返信を送信する必要があります。
The foreign agent MUST NOT accept any Challenge in the Registration Request unless it was offered in the last Registration Reply or unicast Agent Advertisement sent to the mobile node or advertised as one of the last CHALLENGE_WINDOW (see Section 9) Challenge values inserted into the immediately preceding Agent Advertisements. If the Challenge is not one of the recently advertised values, the foreign Agent SHOULD send a Registration Reply with Code value unknown_challenge (see Section 10). The foreign agent MUST maintain the last challenge used by each mobile node that has registered using any one of the last CHALLENGE_WINDOW challenge values. This last challenge value can be stored as part of the mobile node's registration records. Also, see Section 3.2.1 for a possible algorithm that can be used to satisfy this requirement.
外国人エージェントは、最後の登録返信またはモバイルノードに送信されたユニキャストエージェント広告で提供されていない、または最後のChallenge_Window(セクション9を参照)として宣伝されているユニキャストエージェント広告で提供されない限り、登録要求に課題を受け入れてはなりません。エージェント広告。課題が最近宣伝された値の1つではない場合、外国人エージェントはコード値不明_Challenge(セクション10を参照)で登録返信を送信する必要があります。外国人エージェントは、最後のChallenge_Windowチャレンジ値のいずれかを使用して登録されている各モバイルノードが使用する最後の課題を維持する必要があります。この最後のチャレンジ値は、モバイルノードの登録記録の一部として保存できます。また、この要件を満たすために使用できる可能性のあるアルゴリズムについては、セクション3.2.1を参照してください。
Furthermore, the foreign agent MUST check that there is either a Mobile-Foreign or a Mobile-AAA Authentication extension after the Challenge extension. Any registration message containing the Challenge extension without either of these authentication extensions MUST be silently discarded. If the registration message contains a Mobile-Foreign Authentication extension with an incorrect authenticator that fails verification, the foreign agent MAY send a Registration Reply to the mobile node with Code value mobile node failed authentication (see Section 10).
さらに、外国人エージェントは、チャレンジ拡張後にモバイル外定またはモバイルAAA認証拡張機能があることを確認する必要があります。これらの認証拡張機能のいずれかなしでチャレンジ拡張機能を含む登録メッセージは、静かに破棄する必要があります。登録メッセージに、検証に失敗した誤った認証器を備えたモバイル外定認証拡張機能が含まれている場合、外国人エージェントはコード値のモバイルノードに登録応答をモバイルノードに送信することができます(セクション10を参照)。
If the Mobile-AAA Authentication extension (see Section 6) is present in the message, or if a Network Access Identifier (NAI) extension is included indicating that the mobile node belongs to a different administrative domain, the foreign agent may take actions outside the scope of this protocol specification to carry out the authentication of the mobile node. If the registration message contains a Mobile-AAA Authentication extension with an incorrect authenticator that fails verification, the foreign agent MAY send a Registration Reply to the mobile node with Code value fa_bad_aaa_auth. If the Mobile-AAA Authentication extension is present in the Registration Request, the foreign agent MUST NOT remove the Mobile-AAA Authentication extension and the Mobile-Foreign Challenge extension from the Registration Request before forwarding to the home agent. Appendix C provides an example of an action that could be taken by a foreign agent.
モバイルAAA認証拡張機能(セクション6を参照)がメッセージに存在する場合、またはモバイルノードが異なる管理ドメインに属していることを示すネットワークアクセス識別子(NAI)拡張機能が含まれている場合、外国エージェントは外部のアクションを実行することができます。モバイルノードの認証を実行するためのこのプロトコル仕様の範囲。登録メッセージに、検証に失敗した誤った認証器を使用したモバイルAAA認証拡張機能が含まれている場合、外国人エージェントはコード値FA_BAD_AAA_AUTHでモバイルノードに登録返信を送信できます。モバイルAAA認証拡張機能が登録要求に存在する場合、外国人エージェントは、ホームエージェントに転送する前に、登録要求からモバイルAAA認証拡張機能とモバイル外定チャレンジ拡張機能を削除してはなりません。付録Cは、外国人エージェントがとる可能性のあるアクションの例を示しています。
In the event that the Challenge extension is authenticated through the Mobile-Foreign Authentication extension and the Mobile-AAA Authentication extension is not present, the foreign agent MAY remove the Challenge extension from the Registration Request without disturbing the authentication value used for the computation. If the Mobile-AAA Authentication extension is present and a security association exists between the foreign agent and the home agent, the Mobile-Foreign Challenge extension and the Mobile-AAA Authentication extension MUST precede the Foreign-Home Authentication extension.
モバイル外定認証拡張機能とモバイルAAA認証拡張機能が存在しない場合、チャレンジ拡張機能が認証された場合、外国人エージェントは、計算に使用される認証値を乱すことなく、登録要求からチャレンジ拡張機能を削除する場合があります。モバイルAAA認証拡張機能が存在し、外国人エージェントとホームエージェントの間にセキュリティ協会が存在する場合、モバイル外定チャレンジ拡張とモバイルAAA認証拡張は、外国在宅認証拡張に先行する必要があります。
If the foreign agent does remove the Challenge extension and applicable authentication from the Registration Request message, then it SHOULD store the Identification field from the Registration Request message as part of its record-keeping information about the particular mobile node in order to protect against replays.
外国人エージェントが登録要求メッセージからチャレンジ拡張機能と該当する認証を削除する場合、リプレイから保護するために、特定のモバイルノードに関する記録維持情報の一部として登録要求メッセージから識別フィールドを保存する必要があります。
If the foreign agent maintains a large CHALLENGE_WINDOW, it becomes more important for scalability purposes to compare incoming challenges efficiently against the set of Challenge values that have been advertised recently. This can be done by keeping the Challenge values in order of advertisement, and by making use of the mandated behavior that mobile nodes MUST NOT use Challenge values that were advertised before the last advertised Challenge value that the mobile node attempted to use. The pseudo-code in Appendix E accomplishes this objective. The maximum amount of total storage required by this algorithm is equal to Size*(CHALLENGE_WINDOW + (2*N)), where N is the current number of mobile nodes for which the foreign agent is storing challenge values. Note that whenever the stored challenge value is no longer in the CHALLENGE_WINDOW, it can be deleted from the foreign agent's records, perhaps along with all other registration information for the mobile node if it is no longer registered.
外国人エージェントが大規模なChallenge_Windowを維持している場合、スケーラビリティ目的では、最近宣伝されている一連のチャレンジ値と効率的に課題を比較することがより重要になります。これは、広告の順にチャレンジ値を維持し、モバイルノードが最後に宣伝された最後の宣伝されたチャレンジ値が使用しようとした課題の値を使用してはならない義務付けられた動作を使用してはなりません。付録Eの擬似コードは、この目的を達成します。このアルゴリズムで必要な総ストレージの最大量は、サイズ*(Challenge_Window(2*n))に等しくなります。ここで、Nは外部エージェントがチャレンジ値を保存しているモバイルノードの現在の数です。保存されたチャレンジ値がチャレンジ_windowにない場合はいつでも、外国人のエージェントの記録から削除できることに注意してください。おそらく、モバイルノードが登録されていない場合は、モバイルノードの他のすべての登録情報とともに削除できることに注意してください。
It is presumed that the foreign agent keeps an array of advertised Challenges, a record of the last advertised challenge used by a mobile node, and also a record of the last challenge provided to a mobile node in a Registration Reply or unicast Agent Advertisement.
外国人エージェントは、宣伝された課題の配列、モバイルノードで使用された最後の宣伝された課題の記録、および登録返信またはユニキャストエージェント広告でモバイルノードに提供された最後の課題の記録を保持していると推定されます。
To meet the security obligations outlined in Section 12, the foreign agent SHOULD use one of the already stored, previously unused challenges when responding to an unauthenticated Registration Request or Agent Solicitation. If none of the already stored challenges are previously unused, the foreign agent SHOULD generate a new challenge, include it in the response, and store it in the per-Mobile data structure.
セクション12で概説されているセキュリティの義務を満たすために、外国人エージェントは、認定されていない登録要求またはエージェントの勧誘に対応する際に、すでに保存されていた以前に使用されていない課題の1つを使用する必要があります。既に保存された課題のいずれも以前に使用されていない場合、外国人エージェントは新しい課題を生成し、応答に含め、モバイルごとのデータ構造に保存する必要があります。
The foreign agent SHOULD include a new Mobile-Foreign Challenge extension in any Registration Reply, successful or not. If the foreign agent includes this extension in a successful Registration Reply, the extension SHOULD precede a Mobile-Foreign authentication extension if present. Suppose that the Registration Reply includes a Challenge extension from the home agent, and that the foreign agent wishes to include another Challenge extension with the Registration Reply for use by the mobile node. In that case, the foreign agent MUST delete the Challenge extension from the home agent from the Registration Reply, along with any Foreign-Home authentication extension, before appending the new Challenge extension to the Registration Reply.
外国人エージェントには、登録返信に新しいモバイルフレインチャレンジ拡張機能を含める必要があります。外国人エージェントが登録返信を成功させてこの拡張機能を含めている場合、拡張機能は存在する場合はモバイル外定認証拡張機能に先行する必要があります。登録返信には、ホームエージェントからのチャレンジ延長が含まれており、外国人エージェントがモバイルノードで使用するための登録返信に別のチャレンジ延長を含めることを望んでいると仮定します。その場合、外国人エージェントは、登録返信に新しいチャレンジ拡張機能を追加する前に、登録返信からホームエージェントからのチャレンジ拡張機能を登録返信から削除する必要があります。
One example of a situation where the foreign agent MAY omit the inclusion of a Mobile-Foreign Challenge extension in the Registration Reply would be when a new challenge has been multicast recently.
外国人エージェントが登録返信にモバイル外定チャレンジ延長を含めることを省略する可能性のある状況の1つの例は、最近の新しい課題がマルチキャストになったときです。
If a foreign agent has conditions in which it omits the inclusion of a Mobile-Foreign Challenge extension in the Registration Reply, it still MUST respond with an agent advertisement containing a previously unused challenge in response to a subsequent agent solicitation from the same mobile node. Otherwise (when the said conditions are not met), the foreign agent MUST include a previously unused challenge in any Registration Reply, successful or not.
外国人エージェントが登録返信にモバイル外定チャレンジ拡張機能を省略する条件を省略している場合、同じモバイルノードからの後続のエージェントの勧誘に応じて、以前に使用されていないチャレンジを含むエージェント広告に応答する必要があります。それ以外の場合は(上記の条件が満たされていない場合)、外国人エージェントには、登録返信に以前に使用されていない課題を含める必要があります。
If the foreign agent does not remove the Challenge extension from the Registration Request received from the mobile node, then the foreign agent SHOULD store the Challenge value as part of the pending registration request list [RFC3344]. Also, if the Registration Reply coming from the home agent does not include the Challenge extension, the foreign agent SHOULD NOT reject the registration request. If the Challenge extension is present in the Registration Reply, it MUST be the same Challenge value that was included in the Registration Reply received from the home agent, the foreign agent MUST insert a Foreign Agent (FA) Error extension with Status value ha_wrong_challenge in the Registration Reply sent to the mobile node (see Section 10).
外国人エージェントがモバイルノードから受信した登録要求からチャレンジ拡張機能を削除しない場合、外国人エージェントは、保留中の登録要求リスト[RFC3344]の一部としてチャレンジ値を保存する必要があります。また、ホームエージェントからの登録返信にチャレンジ拡張機能が含まれていない場合、外国人エージェントは登録要求を拒否すべきではありません。登録返信にチャレンジ延長が存在する場合、ホームエージェントから受け取った登録返信に含まれたのと同じチャレンジ値である必要があります。モバイルノードに送信された登録返信(セクション10を参照)。
A mobile node MUST be prepared to use a challenge from a unicast or multicast Agent Advertisement in lieu of one returned in a Registration Reply, and it MUST solicit for one if it has not already received one either in a Registration Reply or a recent advertisement.
モバイルノードは、登録返信の代わりにユニキャストまたはマルチキャストエージェントの広告の代わりにチャレンジを使用するように準備する必要があります。登録返信または最近の広告のいずれかでまだ受け取っていない場合は、1つを求める必要があります。
If the foreign agent receives a Registration Reply with the Code value ha_bad_aaa_auth, the Registration Reply with this Code value MUST be relayed to the mobile node. In this document, whenever the foreign agent is required to reject a Registration Request, it MUST put the given code in the usual Code field of the Registration Reply, unless the Registration Reply has already been received from the home agent. In this case, the foreign agent MUST preserve the value of the Code field set by the home agent and MUST put its own rejection code in the Status field of the FA Error extension (defined in [RFC4636]).
外国人エージェントがコード値ha_bad_aaa_authで登録返信を受け取った場合、このコード値の登録返信はモバイルノードに中継する必要があります。このドキュメントでは、外国人が登録要求を拒否する必要がある場合は、登録返信が既にホームエージェントから受信されていない限り、登録返信の通常のコードフィールドに指定されたコードを配置する必要があります。この場合、外部エージェントはホームエージェントによって設定されたコードフィールドの値を保存し、FAエラー拡張のステータスフィールド([RFC4636]で定義)に独自の拒否コードを配置する必要があります。
If the home agent receives a Registration Request with the Mobile-Foreign Challenge extension and recognizes the extension, the home agent MUST include the Challenge extension in the Registration Reply. The Challenge extension MUST be placed after the Mobile-Home authentication extension, and the extension SHOULD be authenticated by a Foreign-Home Authentication extension.
ホームエージェントがMobile-Foreign Challenge Extensionで登録要求を受け取り、拡張機能を認識した場合、ホームエージェントは登録返信にチャレンジ拡張機能を含める必要があります。チャレンジ拡張機能は、モバイルホーム認証拡張機能の後に配置する必要があり、拡張機能は外国在宅認証拡張機能によって認証される必要があります。
The home agent may receive a Registration Request with the Mobile-AAA Authentication extension. If the Mobile-AAA Authentication extension is used by the home agent as an authorization-enabling extension and the verification fails due to an incorrect authenticator, the home agent MAY reject the Registration Reply with the error code ha_bad_aaa_auth.
ホームエージェントは、モバイルAAA認証拡張機能を備えた登録リクエストを受信する場合があります。モバイル-AAA認証拡張機能が認証を有効にする拡張機能としてホームエージェントによって使用され、誤った認証器のために検証が失敗した場合、ホームエージェントはエラーコードHA_BAD_AAA_AUTHで登録返信を拒否する場合があります。
Since the extension type for the Challenge extension is within the range 128-255, the home agent MUST process such a Registration Request even if it does not recognize the Challenge extension [RFC3344]. In this case, the home agent will send a Registration Reply to the foreign agent that does not include the Challenge extension.
チャレンジ拡張の拡張タイプは範囲128-255内であるため、ホームエージェントは、チャレンジ拡張[RFC3344]を認識していなくても、そのような登録要求を処理する必要があります。この場合、ホームエージェントは、チャレンジエクステンションを含まない外国人エージェントに登録返信を送信します。
A mobile node might receive the error code in the Registration Reply from the foreign agent as a response to the Registration Request. The error codes are defined in Section 10.
モバイルノードは、登録リクエストへの応答として、外国人エージェントからの登録返信でエラーコードを受信する場合があります。エラーコードはセクション10で定義されています。
In any case, if the mobile node attempts to register again after such an error, it MUST use a new Challenge value in such a registration, obtained either from an Agent Advertisement, or from a Challenge extension to the Registration Reply containing the error.
いずれにせよ、モバイルノードがそのようなエラー後に再度登録しようとする場合、エージェント広告のいずれかから、またはエラーを含む登録返信へのチャレンジ拡張から取得された登録で新しいチャレンジ値を使用する必要があります。
In the co-located care-of address mode, the mobile node receives a Registration Reply without the Challenge extension and processes the Registration Reply as specified in [RFC3344]. In this case, when the mobile node includes the MN-AAA Authentication Extension, the Challenge value 0 is recommended for the authenticator computation mentioned in Section 8.
共同配置されたケアオブアドレスモードでは、モバイルノードはチャレンジ拡張機能なしで登録返信を受信し、[RFC3344]で指定されているように登録返信を処理します。この場合、モバイルノードにMN-AAA認証拡張機能が含まれている場合、セクション8で述べた認証因子計算には、チャレンジ値0が推奨されます。
This section specifies a new Mobile IP Registration extension that is used to satisfy a Challenge in an Agent Advertisement. The Challenge extension to the Registration Request message is used to indicate the challenge that the mobile node is attempting to satisfy.
このセクションでは、エージェント広告の課題を満たすために使用される新しいモバイルIP登録拡張機能を指定します。登録要求メッセージへの課題の拡張は、モバイルノードが満たそうとしている課題を示すために使用されます。
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Type | Length | Challenge ...
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Figure 2. The Mobile-Foreign Challenge Extension
Type:
132 (skippable). (See [RFC3344]).
132(スキップ可能)。([RFC3344]を参照)。
Length:
長さ:
Length of the Challenge value.
チャレンジ値の長さ。
Challenge:
チャレンジ:
The Challenge field is copied from the Challenge field found in the received Challenge extension.
チャレンジフィールドは、受信したチャレンジ拡張機能で見つかったチャレンジフィールドからコピーされます。
Suppose that the mobile node has successfully registered using one of the Challenge Values within the CHALLENGE_WINDOW values advertised by the foreign agent. In that case, in any new Registration Request the mobile node MUST NOT use any Challenge Value that was advertised by the foreign agent before the Challenge Value in the mobile node's last Registration Request.
モバイルノードが、外国人エージェントによって宣伝されているChallenge_Window値内のチャレンジ値の1つを使用して正常に登録されていると仮定します。その場合、新しい登録リクエストでは、モバイルノードの最後の登録リクエストのチャレンジ値の前に、外国人エージェントによって宣伝されたチャレンジ値をモバイルノードを使用してはなりません。
Several new authentication extensions have been designed for various control messages proposed for extensions to Mobile IP. A new authentication extension is required for a mobile node to present its credentials to any other entity other than the ones already defined; the only entities defined in the base Mobile IP specification [RFC3344] are the home agent and the foreign agent. The purpose of the generalized authentication extension defined here is to collect together data for all such new authentication applications into a single extension type with subtypes.
モバイルIPへの拡張用に提案されているさまざまな制御メッセージ用にいくつかの新しい認証拡張機能が設計されています。モバイルノードがすでに定義されているエンティティ以外のエンティティに資格情報を提示するには、新しい認証拡張機能が必要です。ベースモバイルIP仕様[RFC3344]で定義されている唯一のエンティティは、ホームエージェントと外国人エージェントです。ここで定義されている一般化された認証拡張機能の目的は、このようなすべての新しい認証アプリケーションのデータを収集することです。
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Type | Subtype | Length |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| SPI |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Authenticator ...
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Figure 3. The Generalized Mobile IP Authentication Extension
図3.一般化されたモバイルIP認証拡張機能
Type:
タイプ:
36 (not skippable). (See [RFC3344]).
36(スキップできません)。([RFC3344]を参照)。
Subtype:
サブタイプ:
A number assigned to identify the kind of endpoints or other characteristics of the particular authentication strategy.
特定の認証戦略の種類のエンドポイントまたはその他の特性を識別するために割り当てられた番号。
Length:
長さ:
4 plus the number of octets in the Authenticator; MUST be at least 20.
4に加えて、認証者のオクテットの数。少なくとも20でなければなりません。
SPI:
SPI:
Security Parameters Index
セキュリティパラメーターインデックス
Authenticator:
Authenticator:
The variable length Authenticator field
可変長さの認証器フィールド
In this document, only one subtype is defined:
このドキュメントでは、1つのサブタイプのみが定義されています。
1 Mobile-AAA Authentication subtype (Hashed Message Authentication Code-MD5 (HMAC-MD5)) (see Section 6).
1モバイルAAA認証サブタイプ(ハッシュメッセージ認証コードMD5(HMAC-MD5))(セクション6を参照)。
The Generalized Authentication extension with subtype 1 will be referred to as a Mobile-AAA Authentication extension. The mobile node MAY include a Mobile-AAA Authentication extension in any Registration Request. This extension MAY co-exist in the same Registration Request with Authentication extensions defined for Mobile IP Registration ([RFC3344]). If the mobile node does not include a Mobile-Foreign Authentication extension, then it MUST include the Mobile-AAA Authentication extension whenever the Challenge extension is present. If both are present, the Mobile-AAA Authentication extension MUST precede the Mobile-Foreign Authentication extension.
サブタイプ1を使用した一般化された認証拡張機能は、モバイルAAA認証拡張機能と呼ばれます。モバイルノードには、登録リクエストにモバイルAAA認証拡張機能を含めることができます。この拡張機能は、モバイルIP登録用に定義された認証拡張機能([RFC3344])と同じ登録要求で共存する場合があります。モバイルノードにモバイル外定認証拡張機能が含まれていない場合、チャレンジ拡張機能が存在する場合はいつでもモバイルAAA認証拡張機能を含める必要があります。両方が存在する場合、モバイルAAA認証拡張機能は、モバイル外定認証拡張機能の前に先行する必要があります。
If the Mobile-AAA Authentication extension is present, the Mobile-Home Authentication extension MUST appear prior to the Mobile-AAA Authentication extension. The corresponding response MUST include the Mobile-Home Authentication extension and MUST NOT include the Mobile-AAA Authentication extension.
モバイルAAA認証拡張機能が存在する場合、モバイル-AAA認証拡張の前にモバイルホーム認証拡張機能が表示される必要があります。対応する応答には、モバイルホーム認証拡張機能を含める必要があり、モバイルAAA認証拡張機能を含めてはなりません。
The default algorithm for computation of the authenticator is HMAC-MD5 [RFC2104] computed on the following data, in the order shown:
認証器の計算のデフォルトのアルゴリズムは、次のデータで計算されたHMAC-MD5 [RFC2104]であり、次のようになります。
Preceding Mobile IP data || Type, Subtype, Length, SPI
前のモバイルIPデータ||タイプ、サブタイプ、長さ、SPI
where the Type, Length, Subtype, and SPI are as shown in Section 5. The Preceding Mobile IP data refers to the UDP payload (the Registration Request or Registration Reply data) and all prior extensions in their entirety. The resulting function call, as described in [RFC2104], would be:
このタイプ、長さ、サブタイプ、およびSPIはセクション5に示すとおりです。前述のモバイルIPデータは、UDPペイロード(登録要求または登録返信データ)とすべての以前の拡張機能全体を指します。[RFC2104]に記載されているように、結果の関数呼び出しは次のとおりです。
hmac_md5(data, datalen, Key, KeyLength, authenticator);
HMAC_MD5(データ、Datalen、Key、KeyLength、Authenticator);
Each mobile node MUST support the ability to produce the authenticator by using HMAC-MD5 as shown. Just as with Mobile IP, it must be possible to configure the use of any arbitrary 32-bit SPI outside of the SPIs in the reserved range 0-255 for selection of this default algorithm.
各モバイルノードは、図のようにHMAC-MD5を使用して認証器を生成する機能をサポートする必要があります。モバイルIPと同様に、このデフォルトのアルゴリズムを選択するために、予約範囲0〜255のSPIの外側の任意の32ビットSPIの使用を構成することが可能である必要があります。
Mobile IP defines several authentication extensions for use in Registration Requests and Replies. Each authentication extension carries a Security Parameters Index (SPI) that should be used to index a table of security associations. Values in the range 0-255 are reserved for special use. A list of reserved SPI numbers is to be maintained by IANA at the following URL:
モバイルIPは、登録リクエストと返信で使用するためのいくつかの認証拡張機能を定義します。各認証拡張機能には、セキュリティ協会のテーブルのインデックスを作成するために使用する必要があるセキュリティパラメータインデックス(SPI)が搭載されています。範囲0-255の値は、特別な使用のために予約されています。予約されたSPI番号のリストは、次のURLでIANAによって維持されます。
http://www.iana.org/assignments/mobileip-numbers
Some AAA servers only admit a single security association and thus do not use the SPI numbers for Mobile IP authentication extensions for use when determining the security association that would be necessary for verifying the authentication information included with the Authentication extension.
一部のAAAサーバーは、単一のセキュリティ協会のみを認めているため、認証拡張に含まれる認証情報を確認するために必要なセキュリティ協会を決定する際に、使用するためにモバイルIP認証拡張機能にSPI番号を使用しません。
SPI number CHAP_SPI (see Section 9) is reserved for indicating the following procedure for computing authentication data (called the "authenticator"), which is used by many RADIUS servers [RFC2865] today.
SPI番号chap_spi(セクション9を参照)は、今日の多くのRADIUSサーバー[RFC2865]で使用されている認証データ(「認証者」と呼ばれる)を計算するための以下の手順を示すために予約されています。
To compute the authenticator, apply MD5 [RFC1321] computed on the following data, in the order shown:
認証器を計算するには、次のデータに計算されたMD5 [RFC1321]を適用します。
High-order octet from Challenge || Key ||
チャレンジからの高次オクテット||キー||
MD5(Preceding Mobile IP data ||
MD5(前のモバイルIPデータ||
Type, Subtype (if present), Length, SPI) ||
タイプ、サブタイプ(存在する場合)、長さ、spi)||
Least-order 237 octets from Challenge
チャレンジから最小注文237オクテット
where Type, Length, SPI, and possibly Subtype are the fields of the authentication extension in use. For instance, all four of these fields would be in use when SPI == CHAP_SPI is used with the Generalized Authentication extension. In case of co-located care-of address, the Challenge value 0 is used (refer to Section 3.5). Since the RADIUS protocol cannot carry attributes of length greater than 253, the preceding Mobile IP data, type, subtype (if present), length, and SPI are hashed using MD5. Finally, the least significant 237 octets of the challenge are concatenated. If the challenge has fewer than 238 octets, this algorithm includes the high-order octet in the computation twice but ensures that the challenge is used exactly as is. Additional padding is never used to increase the length of the challenge; the input data is allowed to be shorter than 237 octets long.
ここで、タイプ、長さ、SPI、および場合によってはサブタイプは、使用中の認証拡張機能のフィールドです。たとえば、これらの4つのフィールドはすべて、SPI == CHAP_SPIが一般化された認証拡張機能で使用される場合に使用されます。共同位置の住所の場合、チャレンジ値0が使用されます(セクション3.5を参照)。RADIUSプロトコルは253を超える長さの属性を運ぶことができないため、前のモバイルIPデータ、タイプ、サブタイプ(存在する場合)、長さ、およびSPIはMD5を使用してハッシュされます。最後に、課題の最も重要ではない237オクテットが連結されています。課題のオクテットが238未満の場合、このアルゴリズムには計算の高次オクテットが2回含まれていますが、チャレンジがそのまま使用されることを保証します。追加のパディングは、チャレンジの長さを増やすために使用されません。入力データは、長さ237オクテットよりも短くなります。
Every Mobile IP agent supporting the extensions defined in this document SHOULD be able to configure each parameter in the following table. Each table entry contains the name of the parameter, the default value, and the section of the document in which the parameter first appears.
このドキュメントで定義されている拡張機能をサポートするすべてのモバイルIPエージェントは、次の表に各パラメーターを構成できるはずです。各テーブルエントリには、パラメーターの名前、デフォルト値、およびパラメーターが最初に表示されるドキュメントのセクションが含まれます。
+------------------+---------------+---------------------+
| Parameter Name | Default Value | Section of Document |
+------------------+---------------+---------------------+
| CHALLENGE_WINDOW | 2 | 3.2 |
| | | |
| CHAP_SPI | 2 | 8 |
+------------------+---------------+---------------------+
Table 1. Configurable Parameters
表1.構成可能なパラメーター
Note that CHALLENGE_WINDOW SHOULD be at least 2. This makes it far less likely that mobile nodes will register using a Challenge value that is outside the set of values allowable by the foreign agent.
Challenge_Windowは少なくとも2である必要があることに注意してください。これにより、モバイルノードは、外国人エージェントが許可される値のセットの外側にあるチャレンジ値を使用して登録する可能性がはるかに低くなります。
Each entry in the following table contains the name of the Code [RFC3344] to be returned in a Registration Reply, the value for the Code, and the section in which the error is mentioned in this specification.
次の表の各エントリには、登録返信で返されるコード[RFC3344]の名前、コードの値、およびこの仕様でエラーが記載されているセクションが含まれています。
+--------------------+-------+--------------------------+
| Error Name | Value | Section of Document |
+--------------------+-------+--------------------------+
| unknown_challenge | 104 | 3.2 |
| | | |
| mobile node failed | 67 | 3.2; also see [RFC3344] |
| authentication | | |
| | | |
| missing_challenge | 105 | 3.1, 3.2 |
| | | |
| stale_challenge | 106 | 3.2 |
| | | |
| fa_bad_aaa_auth | 108 | 3.2 |
| | | |
| ha_bad_aaa_auth | 144 | 3.4 |
| | | |
| ha_wrong_challenge | 109 | 3.2 |
+--------------------+-------+--------------------------+
Table 2. Error Values
表2.エラー値
The following are currently assigned by IANA for RFC 3012 [RFC3012] and are applicable to this document. IANA has recorded these values as part of this document.
以下は現在、RFC 3012 [RFC3012]にIANAによって割り当てられており、このドキュメントに適用されます。IANAは、このドキュメントの一部としてこれらの値を記録しました。
The Generalized Mobile IP Authentication extension defined in Section 5 is a Mobile IP registration extension. IANA has assigned a value of 36 for this extension.
セクション5で定義されている一般化されたモバイルIP認証拡張機能は、モバイルIP登録延長です。IANAは、この拡張機能に36の値を割り当てました。
A new number space is to be created for enumerating subtypes of the Generalized Authentication extension (see Section 5). New subtypes of the Generalized Authentication extension, other than the number (1) for the MN-AAA authentication extension specified in Section 6, must be specified and approved by a designated expert.
一般化された認証拡張のサブタイプを列挙するために、新しい数値スペースを作成します(セクション5を参照)。セクション6で指定されたMN-AAA認証拡張機能の数(1)以外の一般化認証拡張機能の新しいサブタイプは、指定された専門家によって指定および承認される必要があります。
The Mobile Node - Foreign Agent (MN-FA) Challenge extension, defined in Section 4, is a router advertisement extension as defined in RFC 1256 [RFC1256] and extended in RFC 3344 [RFC3344]. IANA has assigned a value of 132 for this purpose.
セクション4で定義されているモバイルノード - 外部エージェント(MN -FA)チャレンジ拡張は、RFC 1256 [RFC1256]で定義され、RFC 3344 [RFC3344]で拡張されたルーター広告拡張機能です。IANAは、この目的のために132の値を割り当てました。
The Code values defined in Section 10 are error codes as defined in RFC 3344 ([RFC3344]). They correspond to error values conventionally associated with rejection by the foreign agent (i.e., values from the range 64-127). The Code value 67 is a pre-existing value that is to be used in some cases with the extension defined in this specification. IANA has recorded the values as defined in Section 10.
セクション10で定義されているコード値は、RFC 3344([RFC3344])で定義されているエラーコードです。それらは、外国のエージェントによる拒絶に従来関連するエラー値(つまり、範囲64-127の値)に対応しています。コード値67は、この仕様で定義されている拡張機能を伴う場合によっては、場合によっては使用される既存の値です。IANAは、セクション10で定義されている値を記録しました。
A new section for enumerating algorithms identified by specific SPIs within the range 0-255 has been added by IANA. The CHAP_SPI number (2) discussed in Section 8 is assigned from this range of reserved SPI numbers. New assignments from this reserved range must be specified and approved by the Mobile IP working group. SPI number 1 should not be assigned unless in the future the Mobile IP working group decides that SKIP is not important for enumeration in the list of reserved numbers. SPI number 0 should not be assigned.
0-255の範囲内の特定のSPIによって識別される列挙アルゴリズムの新しいセクションがIANAによって追加されました。セクション8で説明したchap_spi番号(2)は、この予約されたSPI番号の範囲から割り当てられています。この予約範囲からの新しい割り当ては、モバイルIPワーキンググループによって指定および承認されなければなりません。SPI番号1は、将来、モバイルIPワーキンググループが予約数のリストの列挙にスキップが重要ではないと判断しない限り、割り当てられないでください。SPI番号0を割り当てないでください。
Additionally, the new error codes fa_bad_aaa_auth, ha_bad_aaa_auth, and ha_wrong_challenge are defined by this document. Among these, ha_wrong_challenge may appear in the Status code of the FA Error extension, defined in [RFC4636].
さらに、新しいエラーコードFA_BAD_AAA_AUTH、HA_BAD_AAA_AUTH、およびHA_WRONG_CHALLENGEは、このドキュメントで定義されています。これらのうち、ha_wrong_challengeは、[RFC4636]で定義されているFAエラー拡張のステータスコードに表示される場合があります。
In the event that a malicious mobile node attempts to replay the authenticator for an old Mobile-Foreign Challenge, the foreign agent would detect it, since the agent always checks whether it has recently advertised the Challenge (see Section 3.2). Allowing mobile nodes with different IP addresses or NAIs to use the same Challenge value does not represent a security vulnerability, as the authentication data provided by the mobile node will be computed over data that is different (at least the mobile node's IP address will vary).
悪意のあるモバイルノードがAuthenticatorを古いモバイル外来課題のために再生しようとした場合、外国人エージェントはそれを検出します。これは、エージェントが最近課題を宣伝したかどうかを常にチェックしているためです(セクション3.2を参照)。異なるIPアドレスまたはNAIが同じチャレンジ値を使用できるようにするモバイルノードを許可しても、モバイルノードによって提供される認証データは異なるデータに対して計算されるため、セキュリティの脆弱性を表しません(少なくともモバイルノードのIPアドレスは異なります)。
If the foreign agent chooses a Challenge value (see Section 2) with fewer than 4 octets, the foreign agent SHOULD include the value of the Identification field in the records it maintains for the mobile node. The foreign agent can then determine whether the Registration messages using the short Challenge value are in fact unique and thus assuredly not replayed from any earlier registration.
外国人エージェントが4オクテット未満のチャレンジ値(セクション2を参照)を選択した場合、外国人エージェントには、モバイルノードに維持されるレコードに識別フィールドの値を含める必要があります。外国人エージェントは、短いチャレンジ値を使用した登録メッセージが実際に一意であるかどうかを判断でき、したがって、以前の登録から再生されないことは間違いありません。
Section 8 (SPI For RADIUS AAA Servers) defines a method of computing the Generalized Mobile IP Authentication extension's authenticator field, using MD5 in a manner that is consistent with RADIUS [RFC2865]. The use of MD5 in the method described in Section 8 is less secure than HMAC-MD5 [RFC2104] and MUST be avoided whenever possible.
セクション8(RADIUS AAAサーバーのSPI)は、RADIUS [RFC2865]と一致する方法でMD5を使用して、一般化されたモバイルIP認証拡張子の認証器フィールドを計算する方法を定義しています。セクション8で説明した方法でのMD5の使用は、HMAC-MD5 [RFC2104]よりも安全性が低く、可能な限り避ける必要があります。
Note that an active attacker may try to prevent successful registrations by sending a large number of Agent Solicitations or bogus Registration Requests, each of which could cause the foreign agent to respond with a fresh challenge, invalidating the challenge that the MN is currently trying to use. To prevent such attacks, the foreign agent MUST NOT invalidate previously unused challenges when responding to unauthenticated Registration Requests or Agent Solicitations. In addition, the foreign agent MUST NOT allocate new storage when responding to such messages, as this would also create the possibility of denial of service.
アクティブな攻撃者は、多数のエージェントの勧誘または偽の登録リクエストを送信することにより、登録の成功を防ぐことができることに注意してください。それぞれが外国人エージェントに新たな課題で応答する可能性があり、MNが現在使用しようとしている課題を無効にします。そのような攻撃を防ぐために、外国人エージェントは、認識されていない登録要求またはエージェントの勧誘に対応する際に、以前に使用されていない課題を無効にしてはなりません。さらに、外国人エージェントは、そのようなメッセージに応答するときに新しいストレージを割り当ててはなりません。これは、サービスの拒否の可能性も生み出すためです。
The Challenge extension specified in this document need not be used for co-located care-of address mode. In this case, replay protection is provided by the Identification field in the Registration Request message [RFC3344].
このドキュメントで指定されているチャレンジ拡張機能は、共同住宅のケアオブアドレスモードに使用する必要はありません。この場合、リプレイ保護は、登録要求メッセージ[RFC3344]の識別フィールドによって提供されます。
The Generalized Mobile IP Authentication extension includes a subtype field that is used to identify characteristics of the particular authentication strategy. This document only defines one subtype, the Mobile-AAA Authentication subtype that uses HMAC-MD5. If it is necessary to move to a new message authentication algorithm in the future, this could be accomplished by defining a new subtype that uses a different one.
一般化されたモバイルIP認証拡張機能には、特定の認証戦略の特性を識別するために使用されるサブタイプフィールドが含まれます。このドキュメントでは、HMAC-MD5を使用するモバイルAAA認証サブタイプの1つのサブタイプのみを定義します。将来、新しいメッセージ認証アルゴリズムに移行する必要がある場合、これは別のものを使用する新しいサブタイプを定義することで実現できます。
The authors would like to thank Pete McCann, Ahmad Muhanna, Henrik Levkowetz, Kent Leung, Alpesh Patel, Madjid Nakhjiri, Gabriel Montenegro, Jari Arkko, and other MIP4 WG participants for their useful discussions.
著者は、ピート・マッキャン、アフマド・ムハンナ、ヘンリック・レヴコウェッツ、ケント・レオン、アルペシュ・パテル、マジッド・ナクジリ、ガブリエル・モンテネグロ、ジャリ・アークコ、およびその他のMIP4 WG参加者の有用な議論に感謝します。
[RFC1256] Deering, S., "ICMP Router Discovery Messages", RFC 1256, September 1991.
[RFC1256] Deering、S。、「ICMPルーター発見メッセージ」、RFC 1256、1991年9月。
[RFC1321] Rivest, R., "The MD5 Message-Digest Algorithm", RFC 1321, April 1992.
[RFC1321] Rivest、R。、「MD5メッセージダイジストアルゴリズム」、RFC 1321、1992年4月。
[RFC1994] Simpson, W., "PPP Challenge Handshake Authentication Protocol (CHAP)", RFC 1994, August 1996.
[RFC1994]シンプソン、W。、「PPPチャレンジハンドシェイク認証プロトコル(CHAP)」、RFC 1994、1996年8月。
[RFC2104] Krawczyk, H., Bellare, M., and R. Canetti, "HMAC: Keyed-Hashing for Message Authentication", RFC 2104, February 1997.
[RFC2104] Krawczyk、H.、Bellare、M。、およびR. CaNetti、「HMAC:メッセージ認証のためのキー付きハッシング」、RFC 2104、1997年2月。
[RFC2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, March 1997.
[RFC2119] Bradner、S。、「要件レベルを示すためにRFCで使用するためのキーワード」、BCP 14、RFC 2119、1997年3月。
[RFC2865] Rigney, C., Willens, S., Rubens, A., and W. Simpson, "Remote Authentication Dial In User Service (RADIUS)", RFC 2865, June 2000.
[RFC2865] Rigney、C.、Willens、S.、Rubens、A。、およびW. Simpson、「リモート認証ダイヤルインユーザーサービス(RADIUS)」、RFC 2865、2000年6月。
[RFC2794] Calhoun, P. and C. Perkins, "Mobile IP Network Access Identifier Extension for IPv4", RFC 2794, March 2000.
[RFC2794] Calhoun、P。およびC. Perkins、「IPv4のモバイルIPネットワークアクセス識別子拡張機能」、RFC 2794、2000年3月。
[RFC3012] Perkins, C. and P. Calhoun, "Mobile IPv4 Challenge/Response Extensions", RFC 3012, November 2000.
[RFC3012] Perkins、C。およびP. Calhoun、「モバイルIPv4チャレンジ/応答拡張機能」、RFC 3012、2000年11月。
[RFC3344] Perkins, C., "IP Mobility Support for IPv4", RFC 3344, August 2002.
[RFC3344] Perkins、C。、「IPv4のIPモビリティサポート」、RFC 3344、2002年8月。
[RFC4086] Eastlake, D., 3rd, Schiller, J., and S. Crocker, "Randomness Requirements for Security", BCP 106, RFC 4086, June 2005.
[RFC4086] Eastlake、D.、3rd、Schiller、J。、およびS. Crocker、「セキュリティのランダム性要件」、BCP 106、RFC 4086、2005年6月。
[RFC4636] Perkins, C., "Foreign Agent Error Extension for Mobile IPv4", RFC 4636, October 2006.
[RFC4636] Perkins、C。、「モバイルIPv4の外部エージェントエラー拡張」、RFC 4636、2006年10月。
The following is the list of changes from RFC 3012 ([RFC3012]):
以下は、RFC 3012([RFC3012])からの変更のリストです。
o Foreign agent recommended to include a Challenge in every Registration Reply, so that mobile node can re-register without waiting for an Advertisement.
o 外国人エージェントは、すべての登録返信にチャレンジを含めることをお勧めします。これにより、モバイルノードは広告を待たずに再登録できます。
o Foreign agent MUST record applicable challenge values used by each mobile node.
o 外国のエージェントは、各モバイルノードで使用される適用可能なチャレンジ値を記録する必要があります。
o Mobile node forbidden to use Challenge values which were advertised previous to the last Challenge value which it had used for a registration.
o 登録に使用した最後のチャレンジ値の前に宣伝されたチャレンジ値を使用することを禁じられているモバイルノード。
o Challenge definitions are cleaned up.
o チャレンジ定義はクリーンアップされています。
o Programming suggestion added as an appendix.
o プログラミングの提案は付録として追加されました。
o HMAC_CHAP_SPI option is added for Generalized Mobile IP Authentication extension. Upon receipt of HMAC_CHAP_SPI, HMAC-MD5 is used instead of MD5 for computing the authenticator.
o HMAC_CHAP_SPIオプションは、一般化されたモバイルIP認証拡張機能のために追加されています。HMAC_CHAP_SPIを受信すると、HMAC-MD5がMD5の代わりに、認証器を計算するために使用されます。
o Added fa_bad_aaa_auth and ha_bad_aaa_auth error codes to report authentication errors caused while processing Mobile-AAA Authentication extension. Also, added the error code ha_wrong_challenge to indicate that Challenge value differs in the Registration Reply received from the home agent compare to the one sent to the home agent in the Registration Request.
o FA_BAD_AAA_AUTHおよびHA_BAD_AAA_AUTHエラーコードを追加して、モバイルAAA認証拡張機能の処理中に発生した認証エラーを報告しました。また、エラーコードha_wrong_challengeを追加して、登録リクエストでホームエージェントに送信されたエージェントと比較して、ホームエージェントから受け取った登録返信が異なることを示すためにエラーコードを追加しました。
o Processing of the Mobile-AAA Authentication extension is clarified for the foreign agent and the home agent.
o モバイルAAA認証拡張機能の処理は、外国人エージェントとホームエージェント向けに明確にされています。
o Co-existence of the Mobile-AAA Authentication extension in the same Registration Request is made explicit.
o 同じ登録要求におけるモバイルAAA認証拡張機能の共存が明示的になります。
o The situation in which the foreign agent sets missing_challenge is clarified further.
o 外国人エージェントがMissing_Challengeを設定する状況はさらに明確にされます。
o The use of Mobile-AAA Authentication extension is allowed by the mobile node with co-located care-of address.
o モバイルAAA認証拡張機能の使用は、共同配置されたアドレスを備えたモバイルノードによって許可されます。
o Added protection against bogus Registration Reply and Agent Advertisement. Also, the processing of the Challenge is clarified if it is received in the multicast/unicast Agent Advertisement.
o 偽の登録返信とエージェント広告に対する保護を追加しました。また、チャレンジの処理は、マルチキャスト/ユニキャストエージェント広告で受信された場合に明確になります。
o Added reference of FA Error extension in the References section and also updated relevant text in section 3.2 and section 11.
o
The Challenge extensions in this protocol specification are expected to be useful to help the foreign agent manage connectivity for visiting mobile nodes, even in situations where the foreign agent does not have any security association with the mobile node or the mobile node's home agent. In order to carry out the necessary authentication, it is expected that the foreign agent will need the assistance of external administrative systems, which have come to be called AAA systems. For the purposes of this document, we call the external administrative support the "verification infrastructure". The verification infrastructure is described to motivate the design of the protocol elements defined in this document and is not strictly needed for the protocol to work. The foreign agent is free to use any means at its disposal to verify the credentials of the mobile node. It could, for instance, rely on a separate protocol between the foreign agent and the Mobile IP home agent and still not require any modification to the mobile node.
このプロトコル仕様の課題拡張は、外国のエージェントがモバイルノードまたはモバイルノードのホームエージェントとセキュリティ関連がない状況であっても、外国人エージェントがモバイルノードにアクセスするための接続を管理するのに役立つと予想されます。必要な認証を実行するためには、AAAシステムと呼ばれるようになった外部管理システムの支援が必要になると予想されます。このドキュメントの目的のために、外部管理サポートを「検証インフラストラクチャ」と呼びます。検証インフラストラクチャは、このドキュメントで定義されているプロトコル要素の設計を動機付けるために説明されており、プロトコルが機能するためには厳密に必要ではありません。外国人エージェントは、モバイルノードの資格情報を検証するために、あらゆる手段を自由に使用できます。たとえば、外国人エージェントとモバイルIPホームエージェントの間の別のプロトコルに依存している可能性がありますが、モバイルノードの変更は必要ありません。
In order to verify the credentials of the mobile node, we assume that the foreign agent has access to a verification infrastructure that can return a secure notification to the foreign agent that the authentication has been performed, along with the results of that authentication. This infrastructure may be visualized as shown in Figure 4.
モバイルノードの資格情報を検証するために、外国人エージェントは、その認証の結果とともに、認証が実行されたことを外部エージェントに安全な通知を返すことができる検証インフラストラクチャにアクセスできると仮定します。このインフラストラクチャは、図4に示すように視覚化できます。
+----------------------------------------------------+
| |
| Verification and Key Management Infrastructure |
| |
+----------------------------------------------------+
^ | ^ |
| | | |
| v | v
+---------------+ +---------------+
| | | |
| foreign agent | | home agent |
| | | |
+---------------+ +---------------+
Figure 4. The Verification Infrastructure
図4.検証インフラストラクチャ
After the foreign agent gets the Challenge authentication, it MAY pass the authentication to the (here unspecified) infrastructure and await a Registration Reply. If the Reply has a positive status (indicating that the registration was accepted), the foreign agent accepts the registration. If the Reply contains the Code value BAD_AUTHENTICATION (see Section 10), the foreign agent takes actions indicated for rejected registrations.
外国人エージェントがチャレンジ認証を取得した後、認証を(ここでは不特定の)インフラストラクチャに渡し、登録返信を待つことができます。返信が正のステータスを持っている場合(登録が受け入れられたことを示します)、外国人エージェントは登録を受け入れます。返信にコード値が含まれている場合(セクション10を参照)、外国人エージェントは拒否された登録に示されている措置を講じます。
Implicit in this picture is the important observation that the foreign agent and the home agent have to be equipped to make use of whatever protocol is required by the challenge verification and key management infrastructure shown in the figure.
この写真に暗黙的には、外国人エージェントとホームエージェントが、図に示されているチャレンジ検証と主要な管理インフラストラクチャに必要なプロトコルを利用するために装備する必要があるという重要な観察です。
The protocol messages for handling the authentication within the verification infrastructure and the identity of the agent performing the verification of the foreign agent challenge are not specified in this document, as those operations do not have to be performed by any Mobile IP entity.
検証インフラストラクチャ内で認証を処理するためのプロトコルメッセージと、外国のエージェントチャレンジの検証を実行するエージェントのIDは、このドキュメントでは指定されていません。これらの操作は、モバイルIPエンティティで実行する必要はないためです。
Appendix C. Message Flow for FA Challenge Messaging with Mobile-AAA Extension
付録C. モバイルAAA拡張機能を使用したFAチャレンジメッセージングのメッセージフロー
MN FA Verification home agent
|<-- Adv+Challenge--| Infrastructure |
| (if needed) | | |
| | | |
|-- RReq+Challenge->| | |
| + Auth.Ext. | | |
| | Auth. Request, incl. | |
| |--- RReq + Challenge --->| |
| | + Auth.Ext | RReq + |
| | |-- Challenge -->|
| | | |
| | | |
| | |<--- RRep ----- |
| | Authorization, incl. | |
| |<-- RRep + Auth.Ext.-----| |
| | | |
|<-- RRep+Auth.Ext--| | |
| + New Challenge | | |
Figure 5. Message Flows for FA Challenge Messaging
図5. FAチャレンジメッセージングのメッセージフロー
In Figure 5, the following informational message flow is illustrated:
図5に、次の情報メッセージの流れが示されています。
1. The foreign agent includes a Challenge Value in a unicast Agent Advertisement, if needed. This advertisement MAY have been produced after receiving an Agent Solicitation from the mobile node (not shown in the diagram).
1. 外国人エージェントには、必要に応じてユニキャストエージェント広告にチャレンジ値が含まれています。この広告は、モバイルノードからエージェントの勧誘を受信した後に作成された可能性があります(図には示されていません)。
2. The mobile node creates a Registration Request including the advertised Challenge Value in the Challenge extension, along with a Mobile-AAA authentication extension.
2. モバイルノードは、モバイルAAA認証拡張機能とともに、チャレンジ拡張機能に広告されたチャレンジ値を含む登録要求を作成します。
3. The foreign agent relays the Registration Request either to the home agent specified by the mobile node or to its locally configured Verification Infrastructure (see Appendix B), according to local policy.
3. 外国のエージェントは、登録要求を、モバイルノードで指定されたホームエージェントまたはローカルで構成された検証インフラストラクチャ(付録Bを参照)にリリースします。
4. The foreign agent receives a Registration Reply with the appropriate indications for authorizing connectivity for the mobile node.
4. 外国人エージェントは、モバイルノードの接続性を承認するための適切な適応症を備えた登録返信を受け取ります。
5. The foreign agent relays the Registration Reply to the mobile node, often along with a new Challenge Value to be used by the mobile node in its next Registration Request message.
5. 外国人エージェントは、登録返信をモバイルノードに中継します。多くの場合、次の登録要求メッセージでモバイルノードで使用される新しいチャレンジ値とともに。
Appendix D. Message Flow for FA Challenge Messaging with MN-FA Authentication
付録D. MN-FA認証を使用したFAチャレンジメッセージングのメッセージフロー
MN FA home agent
|<-- Adv+Challenge--| |
| (if needed) | |
| | |
|-- RReq+Challenge->| |
| + Auth.Ext. | |
| |--- RReq + Challenge --->|
| | + HA-FA Auth.Ext |
| | |
| |<-- RRep + Challenge ----|
| | + HA-FA Auth.Ext |
| | |
|<-- RRep+Auth.Ext--| |
| + New Challenge | |
Figure 6. Message Flows for FA Challenge Messaging with MN-FA Authentication
図6. MN-FA認証を使用したFAチャレンジメッセージングのメッセージフロー
In Figure 6, the following informational message flow is illustrated:
図6に、次の情報メッセージの流れが示されています。
1. The foreign agent disseminates a Challenge Value in an Agent Advertisement, if needed. This advertisement MAY have been produced after receiving an Agent Solicitation from the mobile node (not shown in the diagram).
1. 外国のエージェントは、必要に応じて、エージェント広告のチャレンジ値を広めます。この広告は、モバイルノードからエージェントの勧誘を受信した後に作成された可能性があります(図には示されていません)。
2. The mobile node creates a Registration Request including the advertised Challenge Value in the Challenge extension, along with a Mobile-Foreign Authentication extension.
2. モバイルノードは、モバイル外定認証拡張機能とともに、チャレンジ拡張機能に広告されたチャレンジ値を含む登録要求を作成します。
3. The foreign agent relays the Registration Request to the home agent specified by the mobile node.
3. 外国人エージェントは、モバイルノードで指定されたホームエージェントに登録要求を中継します。
4. The foreign agent receives a Registration Reply with the appropriate indications for authorizing connectivity for the mobile node.
4. 外国人エージェントは、モバイルノードの接続性を承認するための適切な適応症を備えた登録返信を受け取ります。
5. The foreign agent relays the Registration Reply to the mobile node, possibly along with a new Challenge Value to be used by the mobile node in its next Registration Request message. If the Reply contains the Code value ha_bad_aaa_auth (see Section 10), the foreign agent takes actions indicated for rejected registrations.
5. 外国人エージェントは、登録返信をモバイルノードに中継し、おそらく次の登録要求メッセージでモバイルノードで使用する新しいチャレンジ値とともに。返信にコード値ha_bad_aaa_auth(セクション10を参照)が含まれている場合、外国人エージェントは拒否された登録に示された措置を講じます。
current_chal := RegistrationRequest.challenge_extension_value
last_chal := mobile_node_record.last_used_adv_chal
if (current_chal == mobile_node_record.RegReply_challenge) {
update (mobile_node_record, current_chal)
return (OK)
}
else if (current_chal "among" VALID_ADV_CHALLENGES[]{
if (last_chal "among" VALID_ADV_CHALLENGES[]) {
if (current_chal is "before" last_chal) {
send_error(STALE_CHALLENGE)
return (FAILURE)
}
else {
update (mobile_node_record, current_chal)
return (OK)
}
}
else {
update (mobile_node_record, current_chal)
return (OK)
}
}
else {
send_error(UNKNOWN_CHALLENGE);
}
Authors' Addresses
著者のアドレス
Charles E. Perkins Nokia Research Center Communications Systems Lab 313 Fairchild Drive Mountain View, California 94043
チャールズE.パーキンスノキアリサーチセンターコミュニケーションシステムラボ313フェアチャイルドドライブマウンテンビュー、カリフォルニア94043
Phone: +1 650 625-2986
EMail: charles.perkins@nokia.com
Pat R. Calhoun Cisco Systems, Inc. 170 West Tasman Drive San Jose, CA 95134
PAT R. Calhoun Cisco Systems、Inc。170 West Tasman Drive San Jose、CA 95134
Phone: +1 408-853-5269
EMail: pcalhoun@cisco.com
Jayshree Bharatia Nortel Networks 2221, Lakeside Blvd Richardson, TX 75082
Jayshree Bharatia Nortel Networks 2221、Lakeside Blvd Richardson、TX 75082
Phone: +1 972-684-5767
EMail: jayshree@nortel.com
Full Copyright Statement
完全な著作権声明
Copyright (C) The IETF Trust (2007).
著作権(c)The IETF Trust(2007)。
This document is subject to the rights, licenses and restrictions contained in BCP 78, and except as set forth therein, the authors retain all their rights.
この文書は、BCP 78に含まれる権利、ライセンス、および制限の対象となり、そこに記載されている場合を除き、著者はすべての権利を保持しています。
This document and the information contained herein are provided on an "AS IS" basis and THE CONTRIBUTOR, THE ORGANIZATION HE/SHE REPRESENTS OR IS SPONSORED BY (IF ANY), THE INTERNET SOCIETY, THE IETF TRUST, AND THE INTERNET ENGINEERING TASK FORCE DISCLAIM ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
このドキュメントとここに含まれる情報は、「現状」に基づいて提供され、貢献者、彼/彼女が代表する組織(もしあれば)、インターネット協会、IETFトラスト、インターネットエンジニアリングタスクフォースは免責明示的または暗示されたすべての保証。ここでの情報の使用が、商品性または特定の目的に対する適合性の権利または黙示的な保証を侵害しないという保証を含むがこれらに限定されない。
Intellectual Property
知的財産
The IETF takes no position regarding the validity or scope of any Intellectual Property Rights or other rights that might be claimed to pertain to the implementation or use of the technology described in this document or the extent to which any license under such rights might or might not be available; nor does it represent that it has made any independent effort to identify any such rights. Information on the procedures with respect to rights in RFC documents can be found in BCP 78 and BCP 79.
IETFは、知的財産権またはその他の権利の有効性または範囲に関して、この文書に記載されている技術の実装または使用、またはそのような権利に基づくライセンスがどの程度であるかについての使用に関連すると主張する可能性があるという立場はありません。利用可能になります。また、そのような権利を特定するために独立した努力をしたことも表明していません。RFCドキュメントの権利に関する手順に関する情報は、BCP 78およびBCP 79に記載されています。
Copies of IPR disclosures made to the IETF Secretariat and any assurances of licenses to be made available, or the result of an attempt made to obtain a general license or permission for the use of such proprietary rights by implementers or users of this specification can be obtained from the IETF on-line IPR repository at http://www.ietf.org/ipr.
IETF事務局に行われたIPR開示のコピーと、利用可能にするライセンスの保証、またはこの仕様の実装者またはユーザーによるそのような独自の権利の使用のための一般的なライセンスまたは許可を取得するための試みの結果を取得できます。http://www.ietf.org/iprのIETFオンラインIPRリポジトリから。
The IETF invites any interested party to bring to its attention any copyrights, patents or patent applications, or other proprietary rights that may cover technology that may be required to implement this standard. Please address the information to the IETF at ietf-ipr@ietf.org.
IETFは、関心のある当事者に、著作権、特許、または特許出願、またはこの基準を実装するために必要なテクノロジーをカバーする可能性のあるその他の独自の権利を注意深く招待します。ietf-ipr@ietf.orgのIETFへの情報をお問い合わせください。
Acknowledgement
謝辞
Funding for the RFC Editor function is currently provided by the Internet Society.
RFCエディター機能の資金は現在、インターネット協会によって提供されています。