[要約] RFC 5192は、PANA認証エージェントのためのDHCPオプションに関する規格です。このRFCの目的は、ネットワークアクセスの認証を行うためのPANAプロトコルに関連する情報をDHCPオプションとして提供することです。

Network Working Group                                          L. Morand
Request for Comments: 5192                            France Telecom R&D
Category: Standards Track                                       A. Yegin
                                                                 Samsung
                                                                S. Kumar
                                                       Tech Mahindra Ltd
                                                          S. Madanapalli
                                                                 Samsung
                                                                May 2008
        

DHCP Options for Protocol for Carrying Authentication for Network Access (PANA) Authentication Agents

ネットワークアクセス(PANA)認証エージェントの認証を運ぶためのプロトコルのDHCPオプション

Status of This Memo

本文書の位置付け

This document specifies an Internet standards track protocol for the Internet community, and requests discussion and suggestions for improvements. Please refer to the current edition of the "Internet Official Protocol Standards" (STD 1) for the standardization state and status of this protocol. Distribution of this memo is unlimited.

このドキュメントは、インターネットコミュニティのインターネット標準トラックプロトコルを指定し、改善のための議論と提案を要求します。このプロトコルの標準化状態とステータスについては、「インターネット公式プロトコル標準」(STD 1)の現在のエディションを参照してください。このメモの配布は無制限です。

Abstract

概要

This document defines new DHCPv4 and DHCPv6 options that contain a list of IP addresses to locate one or more PANA (Protocol for carrying Authentication for Network Access) Authentication Agents (PAAs). This is one of the methods that a PANA Client (PaC) can use to locate PAAs.

このドキュメントでは、1つ以上のパナ(ネットワークアクセス用の認証を運ぶためのプロトコル)認証エージェント(PAAS)を見つけるためのIPアドレスのリストを含む新しいDHCPV4およびDHCPV6オプションを定義します。これは、PANAクライアント(PAC)がPAASを見つけるために使用できる方法の1つです。

Table of Contents

目次

   1.  Introduction  . . . . . . . . . . . . . . . . . . . . . . . . . 2
   2.  Specification of Requirements . . . . . . . . . . . . . . . . . 2
   3.  Terminology . . . . . . . . . . . . . . . . . . . . . . . . . . 2
   4.  PANA Authentication Agent DHCPv4 Option . . . . . . . . . . . . 3
   5.  PANA Authentication Agent DHCPv6 Option . . . . . . . . . . . . 4
   6.  IANA Considerations . . . . . . . . . . . . . . . . . . . . . . 5
   7.  Security Considerations . . . . . . . . . . . . . . . . . . . . 5
   8.  Acknowledgements  . . . . . . . . . . . . . . . . . . . . . . . 5
   9.  References  . . . . . . . . . . . . . . . . . . . . . . . . . . 6
     9.1.  Normative References  . . . . . . . . . . . . . . . . . . . 6
     9.2.  Informative References  . . . . . . . . . . . . . . . . . . 6
        
1. Introduction
1. はじめに

The Protocol for carrying Authentication for Network Access (PANA) [RFC5191] defines a new Extensible Authentication Protocol (EAP) [RFC3748] lower layer that uses IP between the protocol end-points.

ネットワークアクセスの認証を運ぶためのプロトコル(PANA)[RFC5191]は、プロトコルエンドポイント間でIPを使用する新しい拡張可能な認証プロトコル(EAP)[RFC3748]下層を定義します。

The PANA protocol is run between a PANA Client (PaC) and a PANA Authentication Agent (PAA) in order to perform authentication and authorization for the network access service.

パナプロトコルは、ネットワークアクセスサービスの認証と承認を実行するために、PANAクライアント(PAC)とPANA認証エージェント(PAA)の間で実行されます。

This document specifies DHCPv4 [RFC2131] and DHCPv6 [RFC3315] options that allow PANA clients (PaCs) to discover PANA Authentication Agents (PAAs). This is one of the methods for locating PAAs.

このドキュメントは、PANAクライアント(PACS)がPANA認証エージェント(PAAS)を発見できるようにするDHCPV4 [RFC2131]およびDHCPV6 [RFC3315]オプションを指定します。これは、PAASを見つける方法の1つです。

The DHCP options defined in this document are used only as a PAA discovery mechanism. These DHCP options MUST NOT be used to perform any negotiation of the use of PANA between the PaC and a PAA.

このドキュメントで定義されているDHCPオプションは、PAA発見メカニズムとしてのみ使用されます。これらのDHCPオプションは、PACとPAAの間でパナの使用に関する交渉を実行するために使用してはなりません。

2. Specification of Requirements
2. 要件の仕様

In this document, several words are used to signify the requirements of the specification. These words are often capitalized. The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in [RFC2119].

このドキュメントでは、仕様の要件を示すためにいくつかの単語を使用しています。これらの言葉はしばしば大文字になります。「必須」、「そうしない」、「必須」、「必要」、「「しない」、「そうでない」、「そうではない」、「そうでない」、「推奨」、「5月」、および「オプション」は、[RFC2119]に記載されているように解釈される。

3. Terminology
3. 用語

This document uses the DHCP terminology defined in [RFC2131], [RFC2132], and [RFC3315].

このドキュメントでは、[RFC2131]、[RFC2132]、および[RFC3315]で定義されたDHCP用語を使用しています。

This document uses the PANA terminology defined in [RFC5191]. In particular, the following terms are defined:

このドキュメントでは、[RFC5191]で定義されているパナの用語を使用しています。特に、次の用語が定義されています。

PANA Client (PaC):

パナクライアント(PAC):

The client side of the protocol that resides in the access device (e.g., laptop, PDA, etc.). It is responsible for providing the credentials in order to prove its identity (authentication) for network access authorization. The PaC and the EAP peer are co-located in the same access device.

アクセスデバイス(ラップトップ、PDAなど)にあるプロトコルのクライアント側。ネットワークアクセス認証のためのアイデンティティ(認証)を証明するために、資格情報を提供する責任があります。PACとEAPピアは、同じアクセスデバイスに共同住宅されています。

PANA Authentication Agent (PAA):

パナ認証エージェント(PAA):

The protocol entity in the access network whose responsibility it is to verify the credentials provided by a PANA client (PaC) and authorize network access to the access device. The PAA and the EAP authenticator (and optionally the EAP server) are colocated in the same node.

PANAクライアント(PAC)が提供する資格情報を検証し、アクセスデバイスへのネットワークアクセスを承認することが責任を負うアクセスネットワーク内のプロトコルエンティティ。PAAとEAP Authenticator(およびオプションでは、EAPサーバー)は、同じノードにコロッキングされます。

4. PANA Authentication Agent DHCPv4 Option
4. PANA認証エージェントDHCPV4オプション

This DHCPv4 option carries a list of 32-bit (binary) IPv4 addresses indicating PANA Authentication Agents (PAAs) available to the PANA client (PaC).

このDHCPV4オプションには、PANAクライアント(PAC)が利用できるPANA認証エージェント(PAA)を示す32ビット(バイナリ)IPv4アドレスのリストが搭載されています。

The DHCPv4 option for PANA Authentication Agent has the format shown in Figure 1.

Pana認証エージェントのDHCPV4オプションには、図1に示す形式があります。

      0                   1
      0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6
      +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
      |  option-code  | option-length |
      +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
      |                               |
      +      PAA IPv4 Address         +
      |                               |
      +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
      |             ...               |
      +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
         Figure 1: PAA DHCPv4 option
        

option-code: OPTION_PANA_AGENT (136).

オプションコード:option_pana_agent(136)。

option-length: Length of the 'options' field in octets; MUST be a multiple of four (4).

オプション長:オクテットの「オプション」フィールドの長さ。4つの倍数でなければなりません(4)。

PAA IPv4 Address: IPv4 address of a PAA for the client to use. The PAAs are listed in the order of preference for use by the client.

PAA IPv4アドレス:クライアントが使用できるPAAのIPv4アドレス。PAASは、クライアントが使用するための好みの順にリストされています。

A PaC (DHCPv4 client) SHOULD request the PAA DHCPv4 Option in a Parameter Request List, as described in [RFC2131] and [RFC2132].

PAC(DHCPV4クライアント)は、[RFC2131]および[RFC2132]で説明されているように、パラメーター要求リストにPAA DHCPV4オプションを要求する必要があります。

If configured with a (list of) PAA address(es), a DHCPv4 server SHOULD send a client the PAA DHCPv4 option, even if this option is not explicitly requested by the client.

(PAAアドレスのリスト(ES)で構成されている場合、DHCPV4サーバーは、クライアントによって明示的に要求されていなくても、クライアントにPAA DHCPV4オプションを送信する必要があります。

A PaC (DHCPv4 client) receiving the PAA DHCPv4 option SHOULD use the (list of) IP address(es) to locate PAA(s).

PAA DHCPV4オプションを受信するPAC(DHCPV4クライアント)は、(s)を見つけてPAA(s)を見つける必要があります。

The PaC (DHCPv4 client) MUST try the records in the order listed in the PAA DHCPv4 option received from the DHCPv4 server.

PAC(DHCPV4クライアント)は、DHCPV4サーバーから受信したPAA DHCPV4オプションに記載されている注文のレコードを試す必要があります。

5. PANA Authentication Agent DHCPv6 Option
5. PANA認証エージェントDHCPV6オプション

This DHCPv6 option carries a list of 128-bit (binary) IPv6 addresses indicating PANA Authentication Agents (PAAs) available to the PANA client (PaC).

このDHCPV6オプションには、PANAクライアント(PAC)が利用できるPANA認証エージェント(PAA)を示す128ビット(バイナリ)IPv6アドレスのリストが搭載されています。

The DHCPv6 option for PANA Authentication Agent has the format shown in Figure 2.

PANA認証エージェントのDHCPV6オプションには、図2に示す形式があります。

      0                   1                   2                   3
      0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
      +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
      |       option-code             |       option-length           |
      +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
      |                                                               |
      +                                                               +
      |                                                               |
      +                         PAA IPv6 Address                      +
      |                                                               |
      +                                                               +
      |                                                               |
      +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
      |                          ....                                 |
      +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
                        Figure 2: PAA DHCPv6 option
        

option-code: OPTION_PANA_AGENT (40).

オプションコード:option_pana_agent(40)。

option-length: Length of the 'options' field in octets; MUST be a multiple of sixteen (16).

オプション長:オクテットの「オプション」フィールドの長さ。16の倍数でなければなりません(16)。

PAA IPv6 Address: IPv6 address of a PAA for the client to use. The PAAs are listed in the order of preference for use by the client.

PAA IPv6アドレス:クライアントが使用するPAAのIPv6アドレス。PAASは、クライアントが使用するための好みの順にリストされています。

A PaC DHCPv6 client SHOULD request the PAA DHCPv6 option in an Options Request Option (ORO) as described in the DHCPv6 specification [RFC3315].

PAC DHCPV6クライアントは、DHCPV6仕様[RFC3315]に記載されているように、オプションリクエストオプション(ORO)でPAA DHCPV6オプションを要求する必要があります。

If configured with a (list of) PAA address(es), a DHCPv6 server SHOULD send a client the PAA DHCPv6 option, even if this option is not explicitly requested by the client.

(PAAアドレスのリスト(ES)で構成されている場合、DHCPV6サーバーは、クライアントによって明示的に要求されていなくても、クライアントにPAA DHCPV6オプションを送信する必要があります。

A PaC (DHCPv6 client) receiving the PAA DHCPv6 option SHOULD use the (list of) IP address(es) to locate PAA(s).

PAA DHCPV6オプションを受信するPAC(DHCPV6クライアント)は、(s)を見つけてPAA(s)を見つける必要があります。

The PaC (DHCPv6 client) MUST try the records in the order listed in the PAA DHCPv6 option received from the DHCPv6 server.

PAC(DHCPV6クライアント)は、DHCPV6サーバーから受信したPAA DHCPV6オプションに記載されている注文のレコードを試す必要があります。

6. IANA Considerations
6. IANAの考慮事項

The following DHCPv4 option code for PANA Authentication Agent options has been assigned by IANA:

PANA認証エージェントオプションの次のDHCPV4オプションコードは、IANAによって割り当てられています。

      Option  Name           Value       Described in
      -----------------------------------------------
      OPTION_PANA_AGENT       136         Section 4
        

The following DHCPv6 option code for PANA Authentication Agent options has been assigned by IANA:

PANA認証エージェントオプションの次のDHCPV6オプションコードは、IANAによって割り当てられています。

      Option  Name            Value       Described in
      ------------------------------------------------
      OPTION_PANA_AGENT        40         Section 5
        
7. Security Considerations
7. セキュリティに関する考慮事項

The security considerations in [RFC2131], [RFC2132], and [RFC3315] apply. If an adversary manages to modify the response from a DHCP server or insert its own response, a PANA Client could be led to contact a rogue PANA Authentication Agent, possibly one that then intercepts authentication requests and/or denies network access to the access device.

[RFC2131]、[RFC2132]、および[RFC3315]のセキュリティ上の考慮事項が適用されます。敵がDHCPサーバーからの応答を変更したり、独自の応答を挿入した場合、PANAクライアントはRogue Pana認証エージェントに連絡するように導かれる可能性があります。

In most networks, the DHCP exchange that delivers the options prior to network access authentication is neither integrity protected nor origin authenticated. Therefore, the options defined in this document MUST NOT be used to perform any negotiation on the use of PANA between the PANA Client and a PANA Authentication Agent. Using the presence (or absence) of these DHCP options as an indication of network mandating PANA authentication (or not) is an example of such a negotiation mechanism. This negotiation would allow bidding-down attacks by making the clients choose to use a lower-grade security mechanism (or even no security at all).

ほとんどのネットワークでは、ネットワークアクセス認証の前にオプションを提供するDHCP交換は、整合性保護されたものでも、認証されていません。したがって、このドキュメントで定義されているオプションは、PANAクライアントとPANA認証エージェントの間のパナの使用に関する交渉を実行するために使用してはなりません。これらのDHCPオプションの存在(または不在)を、パナ認証を義務付ける(またはそうでない)ネットワークの指示として使用することは、このような交渉メカニズムの例です。この交渉により、クライアントに低グレードのセキュリティメカニズム(またはまったくセキュリティなし)を使用することを選択させることにより、入札ダウン攻撃が可能になります。

8. Acknowledgements
8. 謝辞

We would like to thank Ralph Droms, Stig Venaas, Ted Lemon, Andre Kostur and Bernie Volz for their valuable comments. We would also like to thank Jari Arkko, Thomas Narten and Bernard Aboba that provided several reviews, as well as all members of the PANA and DHC working groups that contribute to improve this document.

Ralph Droms、Stig Venaas、Ted Lemon、Andre Kostur、Bernie Volzの貴重なコメントに感謝します。また、いくつかのレビューを提供したJari Arkko、Thomas Narten、Bernard Aboba、およびこのドキュメントの改善に貢献するPanaおよびDHCワーキンググループのすべてのメンバーに感謝します。

9. References
9. 参考文献
9.1. Normative References
9.1. 引用文献

[RFC2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, March 1997.

[RFC2119] Bradner、S。、「要件レベルを示すためにRFCで使用するためのキーワード」、BCP 14、RFC 2119、1997年3月。

[RFC2131] Droms, R., "Dynamic Host Configuration Protocol", RFC 2131, March 1997.

[RFC2131] DROMS、R。、「動的ホスト構成プロトコル」、RFC 2131、1997年3月。

[RFC2132] Alexander, S. and R. Droms, "DHCP Options and BOOTP Vendor Extensions", RFC 2132, March 1997.

[RFC2132] Alexander、S。およびR. Droms、「DHCPオプションとBOOTPベンダー拡張機能」、RFC 2132、1997年3月。

[RFC3315] Droms, R., Bound, J., Volz, B., Lemon, T., Perkins, C., and M. Carney, "Dynamic Host Configuration Protocol for IPv6 (DHCPv6)", RFC 3315, July 2003.

[RFC3315] DROMS、R.、R.、Bound、J.、Volz、B.、Lemon、T.、Perkins、C。、およびM. Carney、「IPv6の動的ホスト構成プロトコル」、RFC 3315、2003年7月。

[RFC5191] Forsberg, D., Ohba, Y., Patil, B., Tschofenig, H., and A. Yegin, "Protocol for Carrying Authentication for Network Access (PANA)", RFC 5191, May 2008.

[RFC5191] Forsberg、D.、Ohba、Y.、Patil、B.、Tschofenig、H。、およびA. Yegin、「ネットワークアクセスの認証を運ぶためのプロトコル(PANA)」、RFC 5191、2008年5月。

9.2. Informative References
9.2. 参考引用

[RFC3748] Aboba, B., Blunk, L., Vollbrecht, J., Carlson, J., and H. Levkowetz, "Extensible Authentication Protocol (EAP)", RFC 3748, June 2004.

[RFC3748] Aboba、B.、Blunk、L.、Vollbrecht、J.、Carlson、J.、およびH. Levkowetz、「拡張可能な認証プロトコル(EAP)」、RFC 3748、2004年6月。

Authors' Addresses

著者のアドレス

Lionel Morand France Telecom R&D

Lionel Morand France Telecom R&D

   EMail: lionel.morand@orange-ftgroup.com
        

Alper E. Yegin Samsung

Alper E. Yegin Samsung

   EMail: a.yegin@partner.samsung.com
        

Suraj Kumar Tech Mahindra Ltd

Suraj Kumar Tech Mahindra Ltd

   EMail: surajk@techmahindra.com
        

Syam Madanapalli Samsung

Syam Madanapalli Samsung

   EMail: syam@samsung.com
        

Full Copyright Statement

Copyright (C) The IETF Trust (2008).

著作権(c)The IETF Trust(2008)。

This document is subject to the rights, licenses and restrictions contained in BCP 78, and except as set forth therein, the authors retain all their rights.

この文書は、BCP 78に含まれる権利、ライセンス、および制限の対象となり、そこに記載されている場合を除き、著者はすべての権利を保持しています。

This document and the information contained herein are provided on an "AS IS" basis and THE CONTRIBUTOR, THE ORGANIZATION HE/SHE REPRESENTS OR IS SPONSORED BY (IF ANY), THE INTERNET SOCIETY, THE IETF TRUST AND THE INTERNET ENGINEERING TASK FORCE DISCLAIM ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.

このドキュメントとここに含まれる情報は、「現状のまま」に基づいて提供され、貢献者、彼/彼女が代表する組織(もしあれば)、インターネット協会、IETFトラスト、インターネットエンジニアリングタスクフォースがすべてを否認します。明示的または黙示的な保証。ここでの情報の使用は、特定の目的に対する商品性または適合性の権利または暗黙の保証を侵害しないという保証を含むがこれらに限定されない。

Intellectual Property

知的財産

The IETF takes no position regarding the validity or scope of any Intellectual Property Rights or other rights that might be claimed to pertain to the implementation or use of the technology described in this document or the extent to which any license under such rights might or might not be available; nor does it represent that it has made any independent effort to identify any such rights. Information on the procedures with respect to rights in RFC documents can be found in BCP 78 and BCP 79.

IETFは、知的財産権またはその他の権利の有効性または範囲に関して、本書に記載されている技術の実装または使用、またはそのような権利に基づくライセンスに基づくライセンスの範囲に関連すると主張される可能性のある他の権利に関しては、立場を取得しません。利用可能になります。また、そのような権利を特定するために独立した努力をしたことも表明していません。RFCドキュメントの権利に関する手順に関する情報は、BCP 78およびBCP 79に記載されています。

Copies of IPR disclosures made to the IETF Secretariat and any assurances of licenses to be made available, or the result of an attempt made to obtain a general license or permission for the use of such proprietary rights by implementers or users of this specification can be obtained from the IETF on-line IPR repository at http://www.ietf.org/ipr.

IETF事務局に行われたIPR開示のコピーと、利用可能にするライセンスの保証、またはこの仕様の実装者またはユーザーによるそのような独自の権利の使用のための一般的なライセンスまたは許可を取得しようとする試みの結果を取得できます。http://www.ietf.org/iprのIETFオンラインIPRリポジトリから。

The IETF invites any interested party to bring to its attention any copyrights, patents or patent applications, or other proprietary rights that may cover technology that may be required to implement this standard. Please address the information to the IETF at ietf-ipr@ietf.org.

IETFは、関心のある当事者に、著作権、特許、または特許出願、またはこの基準を実装するために必要なテクノロジーをカバーする可能性のあるその他の独自の権利を注意深く招待します。ietf-ipr@ietf.orgのIETFへの情報をお問い合わせください。