[要約] RFC 5904は、IEEE 802.16 Privacy Key Management Version 1(PKMv1)プロトコルのためのRADIUS属性についての規格です。このRFCの目的は、PKMv1プロトコルのサポートを提供するために必要なRADIUS属性を定義することです。

Internet Engineering Task Force (IETF)                           G. Zorn
Request for Comments: 5904                                   Network Zen
Category: Informational                                        June 2010
ISSN: 2070-1721
        

RADIUS Attributes for IEEE 802.16 Privacy Key Management Version 1 (PKMv1) Protocol Support

IEEE 802.16プライバシーキー管理バージョン1(PKMV1)プロトコルサポートのRADIUS属性

Abstract

概要

This document defines a set of Remote Authentication Dial-In User Service (RADIUS) Attributes that are designed to provide RADIUS support for IEEE 802.16 Privacy Key Management Version 1.

このドキュメントでは、IEEE 802.16プライバシーキー管理バージョン1のRADIUSサポートを提供するように設計されたリモート認証ダイヤルインユーザーサービス(RADIUS)属性のセットを定義します。

Status of This Memo

本文書の位置付け

This document is not an Internet Standards Track specification; it is published for informational purposes.

このドキュメントは、インターネット標準の追跡仕様ではありません。情報目的で公開されています。

This document is a product of the Internet Engineering Task Force (IETF). It represents the consensus of the IETF community. It has received public review and has been approved for publication by the Internet Engineering Steering Group (IESG). Not all documents approved by the IESG are a candidate for any level of Internet Standard; see Section 2 of RFC 5741.

このドキュメントは、インターネットエンジニアリングタスクフォース(IETF)の製品です。IETFコミュニティのコンセンサスを表しています。公開レビューを受けており、インターネットエンジニアリングステアリンググループ(IESG)からの出版が承認されています。IESGによって承認されたすべてのドキュメントが、あらゆるレベルのインターネット標準の候補者ではありません。RFC 5741のセクション2を参照してください。

Information about the current status of this document, any errata, and how to provide feedback on it may be obtained at http://www.rfc-editor.org/info/rfc5904.

このドキュメントの現在のステータス、任意のERRATA、およびそのフィードバックを提供する方法に関する情報は、http://www.rfc-editor.org/info/rfc5904で取得できます。

Copyright Notice

著作権表示

Copyright (c) 2010 IETF Trust and the persons identified as the document authors. All rights reserved.

Copyright(c)2010 IETF Trustおよび文書著者として特定された人。全著作権所有。

This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents (http://trustee.ietf.org/license-info) in effect on the date of publication of this document. Please review these documents carefully, as they describe your rights and restrictions with respect to this document. Code Components extracted from this document must include Simplified BSD License text as described in Section 4.e of the Trust Legal Provisions and are provided without warranty as described in the Simplified BSD License.

このドキュメントは、BCP 78およびIETFドキュメント(http://trustee.ietf.org/license-info)に関連するIETF Trustの法的規定の対象となります。この文書に関するあなたの権利と制限を説明するので、これらの文書を注意深く確認してください。このドキュメントから抽出されたコードコンポーネントには、セクション4.Eで説明されている法的規定のセクション4.Eで説明されており、単純化されたBSDライセンスで説明されているように保証なしで提供される簡略化されたBSDライセンステキストを含める必要があります。

This document may contain material from IETF Documents or IETF Contributions published or made publicly available before November 10, 2008. The person(s) controlling the copyright in some of this material may not have granted the IETF Trust the right to allow modifications of such material outside the IETF Standards Process. Without obtaining an adequate license from the person(s) controlling the copyright in such materials, this document may not be modified outside the IETF Standards Process, and derivative works of it may not be created outside the IETF Standards Process, except to format it for publication as an RFC or to translate it into languages other than English.

このドキュメントには、2008年11月10日までに公開または公開されたIETFドキュメントまたはIETFの寄付からの資料が含まれている場合があります。IETF標準プロセスの外。そのような資料の著作権を制御する人から適切なライセンスを取得せずに、このドキュメントはIETF標準プロセスの外側に変更されない場合があり、その派生作業は、ITF標準プロセスの外側で作成されない場合があります。RFCとしての出版またはそれを英語以外の言語に翻訳するため。

Table of Contents

目次

   1.  Introduction . . . . . . . . . . . . . . . . . . . . . . . . .  3
   2.  Acronyms . . . . . . . . . . . . . . . . . . . . . . . . . . .  3
   3.  Attributes . . . . . . . . . . . . . . . . . . . . . . . . . .  3
     3.1.  PKM-SS-Cert  . . . . . . . . . . . . . . . . . . . . . . .  4
     3.2.  PKM-CA-Cert  . . . . . . . . . . . . . . . . . . . . . . .  5
     3.3.  PKM-Config-Settings  . . . . . . . . . . . . . . . . . . .  6
     3.4.  PKM-Cryptosuite-List . . . . . . . . . . . . . . . . . . .  8
     3.5.  PKM-SAID . . . . . . . . . . . . . . . . . . . . . . . . .  9
     3.6.  PKM-SA-Descriptor  . . . . . . . . . . . . . . . . . . . .  9
     3.7.  PKM-AUTH-Key . . . . . . . . . . . . . . . . . . . . . . . 10
       3.7.1.  AUTH-Key Protection  . . . . . . . . . . . . . . . . . 12
   4.  Table of Attributes  . . . . . . . . . . . . . . . . . . . . . 12
   5.  Diameter Considerations  . . . . . . . . . . . . . . . . . . . 13
   6.  Security Considerations  . . . . . . . . . . . . . . . . . . . 13
   7.  IANA Considerations  . . . . . . . . . . . . . . . . . . . . . 13
   8.  Contributors . . . . . . . . . . . . . . . . . . . . . . . . . 14
   9.  Acknowledgements . . . . . . . . . . . . . . . . . . . . . . . 14
   10. References . . . . . . . . . . . . . . . . . . . . . . . . . . 14
     10.1. Normative References . . . . . . . . . . . . . . . . . . . 14
     10.2. Informative References . . . . . . . . . . . . . . . . . . 14
        
1. Introduction
1. はじめに

Privacy Key Management Version 1 (PKMv1) [IEEE.802.16-2004] is a public-key-based authentication and key establishment protocol typically used in fixed wireless broadband network deployments. The protocol utilizes X.509 v3 certificates [RFC2459], RSA encryption [RFC2437], and a variety of secret key cryptographic methods to allow an 802.16 Base Station (BS) to authenticate a Subscriber Station (SS) and perform key establishment and maintenance between an SS and BS.

プライバシーキー管理バージョン1(PKMV1)[IEEE.802.16-2004]は、公開キーベースの認証と、固定ワイヤレスブロードバンドネットワークの展開で通常使用される主要な確立プロトコルです。このプロトコルは、X.509 V3証明書[RFC2459]、RSA暗号化[RFC2437]、およびさまざまな秘密のキー暗号化方法を利用して、802.16ベースステーション(BS)を許可し、サブスクライバーステーション(SS)を認証し、主要な確立とメンテナンスを実行できるようにします。SSおよびBS。

This document defines a set of RADIUS Attributes that are designed to provide support for PKMv1. The target audience for this document consists of those developers implementing RADIUS support for PKMv1; therefore, familiarity with both RADIUS [RFC2865] and the IEEE 802.16-2004 standard is assumed.

このドキュメントでは、PKMV1のサポートを提供するように設計された一連の半径属性を定義します。このドキュメントのターゲットオーディエンスは、PKMV1のRADIUSサポートを実装する開発者で構成されています。したがって、半径[RFC2865]とIEEE 802.16-2004の両方の標準に精通していることが想定されています。

Please note that this document relies on IEEE.802.16-2004, which references RFC 2437 and RFC 2459, rather than any more recent RFCs on RSA and X.509 certificates (e.g., RFC 3447 and RFC 5280).

このドキュメントは、RSAおよびX.509証明書の最近のRFCではなく、RFC 2437およびRFC 2459を参照するIEEE.802.16-2004に依存していることに注意してください(例:RFC 3447およびRFC 5280)。

2. Acronyms
2. 頭字語

CA Certification Authority; a trusted party issuing and signing X.509 certificates.

CA認証局。X.509証明書を発行および署名する信頼できる当事者。

For further information on the following terms, please see Section 7 of [IEEE.802.16-2004].

次の用語の詳細については、[IEEE.802.16-2004]のセクション7を参照してください。

SA Security Association

SAセキュリティ協会

SAID Security Association Identifier

セキュリティ協会の識別子

TEK Traffic Encryption Key

Tekトラフィック暗号化キー

3. Attributes
3. 属性

The following subsections describe the Attributes defined by this document. This specification concerns the following values:

次のサブセクションでは、このドキュメントで定義された属性について説明します。この仕様は、次の値に関するものです。

137 PKM-SS-Cert

137 PKM-SS-CERT

138 PKM-CA-Cert

138 pkm-ca-cert

139 PKM-Config-Settings 140 PKM-Cryptosuite-List

139 pkm-config-settings 140 pkm-cryptosuite-list

141 PKM-SAID

141 PKM-SAID

142 PKM-SA-Descriptor

142 pkm-sa-descriptor

143 PKM-Auth-Key

143 pkm-auth-key

3.1. PKM-SS-Cert
3.1. PKM-SS-CERT

Description

説明

The PKM-SS-Cert Attribute is variable length and MAY be transmitted in the Access-Request message. The Value field is of type string and contains the X.509 certificate [RFC2459] binding a public key to the identifier of the Subscriber Station.

PKM-SS-CERT属性は長さが可変であり、Access-Requestメッセージで送信される場合があります。値フィールドは型文字列であり、x.509証明書[RFC2459]が含まれています[RFC2459]サブスクライバーステーションの識別子に公開キーをバインドしています。

The minimum size of an SS certificate exceeds the maximum size of a RADIUS attribute. Therefore, the client MUST encapsulate the certificate in the Value fields of two or more instances of the PKM-SS-Cert Attribute, each (except possibly the last) having a length of 255 octets. These multiple PKM-SS-Cert Attributes MUST appear consecutively and in order within the packet. Upon receipt, the RADIUS server MUST recover the original certificate by concatenating the Value fields of the received PKM-SS-Cert Attributes in order.

SS証明書の最小サイズは、半径属性の最大サイズを超えています。したがって、クライアントは、PKM-SS-CERT属性の2つ以上のインスタンスの値フィールドの証明書をカプセル化する必要があります。これらの複数のPKM-SS-CERT属性は、パケット内で連続して順番に表示される必要があります。受信時に、RADIUSサーバーは、受信したPKM-SS-CERT属性の値フィールドを順番に連結することにより、元の証明書を回復する必要があります。

A summary of the PKM-SS-Cert Attribute format is shown below. The fields are transmitted from left to right.

PKM-SS-CERT属性形式の概要を以下に示します。フィールドは左から右に送信されます。

                          1                   2
      0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3
      +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
      |    Type       |      Len      |    Value...
      +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
        

Type

タイプ

137 for PKM-SS-Cert

137 PKM-SS-CERTの場合

Len

レン

> 2

> 2

Value

価値

The Value field is variable length and contains a (possibly complete) portion of an X.509 certificate.

値フィールドは長さが可変であり、X.509証明書の(おそらく完全な)部分が含まれています。

3.2. PKM-CA-Cert
3.2. PKM-CA-CERT

Description

説明

The PKM-CA-Cert Attribute is variable length and MAY be transmitted in the Access-Request message. The Value field is of type string and contains the X.509 certificate [RFC2459] used by the CA to sign the SS certificate carried in the PKM-SS-Cert attribute (Section 3.1) in the same message.

PKM-CA-CERT属性は長さが可変であり、Access-Requestメッセージで送信される場合があります。値フィールドは型文字列であり、CAが使用するX.509証明書[RFC2459]が含まれています。PKM-SS-CERT属性(セクション3.1)に掲載されたSS証明書に署名します。

The minimum size of a CA certificate exceeds the maximum size of a RADIUS attribute. Therefore, the client MUST encapsulate the certificate in the Value fields of two or more instances of the PKM-CA-Cert Attribute, each (except possibly the last) having a length of 255 octets. These multiple PKM-CA-Cert Attributes MUST appear consecutively and in order within the packet. Upon receipt, the RADIUS server MUST recover the original certificate by concatenating the Value fields of the received PKM-CA-Cert Attributes in order.

CA証明書の最小サイズは、半径属性の最大サイズを超えています。したがって、クライアントは、PKM-CA-CERT属性の2つ以上のインスタンスの値フィールドの証明書をカプセル化する必要があります。これらの複数のPKM-CA-CERT属性は、パケット内で連続して順番に表示される必要があります。受信時に、RADIUSサーバーは、受信したPKM-CA-CERT属性の値フィールドを順番に連結することにより、元の証明書を回復する必要があります。

A summary of the PKM-CA-Cert Attribute format is shown below. The fields are transmitted from left to right.

PKM-CA-CERT属性形式の概要を以下に示します。フィールドは左から右に送信されます。

                          1                   2
      0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3
      +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
      |    Type       |      Len      |    Value...
      +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
        

Type

タイプ

138 for PKM-CA-Cert

138 PKM-CA-CERTの場合

Len

レン

> 2

> 2

Value

価値

The Value field is variable length and contains a (possibly complete) portion of an X.509 certificate.

値フィールドは長さが可変であり、X.509証明書の(おそらく完全な)部分が含まれています。

3.3. PKM-Config-Settings
3.3. PKM-Config-Settings

Description

説明

The PKM-Config-Settings Attribute is of type string [RFC2865]. It is 30 octets in length and consists of seven independent fields, each of which is conceptually an unsigned integer. Each of the fields contains a timeout value and corresponds to a Type-Length-Value (TLV) tuple encapsulated in the IEEE 802.16 "PKM configuration settings" attribute; for details on the contents of each field, see Section 11.9.19 of [IEEE.802.16-2004]. One instance of the PKM-Config-Settings Attribute MAY be included in the Access-Accept message.

PKM-Config-Settings属性は、型文字列[RFC2865]です。長さは30オクテットで、7つの独立したフィールドで構成されており、それぞれが概念的に署名されていない整数です。各フィールドにはタイムアウト値が含まれており、IEEE 802.16 "PKM構成設定"属性にカプセル化されたタイプ長値(TLV)タプルに対応します。各フィールドの内容の詳細については、[IEEE.802.16-2004]のセクション11.9.19を参照してください。PKM-Config-Settings属性の1つのインスタンスは、Access-Acceptメッセージに含まれる場合があります。

A summary of the PKM-Config-Settings Attribute format is shown below. The fields are transmitted from left to right.

PKM-Config-Settings属性形式の概要を以下に示します。フィールドは左から右に送信されます。

                        1                   2                   3
    0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
   |    Type       |      Len      |       Auth Wait Timeout
   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
       Auth Wait Timeout (cont.)   |      Reauth Wait Timeout
   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
      Reauth Wait Timeout (cont.)  |        Auth Grace Time
   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
        Auth Grace Time (cont.)    |        Op Wait Timeout
   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
        Op Wait Timeout (cont.)    |       Rekey Wait Timeout
   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
      Rekey Wait Timeout (cont.)   |         TEK Grace Time
   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
        TEK Grace Time (cont.)     |     Auth Rej Wait Timeout
   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
     Auth Rej Wait Timeout (cont.) |
   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
        

Type

タイプ

139 for PKM-Config-Settings

139 PKM-Config-Settingsの場合

Len

レン

30

30

Auth Wait Timeout

auth wait timeout

The Auth Wait Timeout field is 4 octets in length and corresponds to the "Authorize wait timeout" field of the 802.16 "PKM configuration settings" attribute.

Auth Wait Timeoutフィールドの長さは4オクテットで、802.16 "PKM構成設定"属性の「Authorize Wait Timeout」フィールドに対応します。

Reauth Wait Timeout

reauth wait timeout

The Reauth Wait Timeout field is 4 octets in length and corresponds to the "Reauthorize wait timeout" field of the 802.16 "PKM configuration settings" attribute.

Reauth待機タイムアウトフィールドの長さは4オクテットで、802.16 "PKM構成設定"属性の「Wait Timeoutを再承認する」フィールドに対応します。

Auth Grace Time

Auth Grace Time

The Auth Grace Time field is 4 octets in length and corresponds to the "Authorize grace time" field of the 802.16 "PKM configuration settings" attribute.

Auth Grace Timeフィールドの長さは4オクテットで、802.16 "PKM構成設定"属性の「猶予タイムを認定する」フィールドに対応しています。

Op Wait Timeout

OP待機タイムアウト

The Op Wait Timeout field is 4 octets in length and corresponds to the "Operational wait timeout" field of the 802.16 "PKM configuration settings" attribute.

OP待機タイムアウトフィールドの長さは4オクテットで、802.16 "PKM構成設定"属性の「操作待機タイムアウト」フィールドに対応します。

Rekey Wait Timeout

reky wait timeout

The Rekey Wait Timeout field is 4 octets in length and corresponds to the "Rekey wait timeout" field of the 802.16 "PKM configuration settings" attribute.

Rekey Wait Timeoutフィールドの長さは4オクテットで、802.16 "PKM構成設定"属性の「Rekey Wait Timeout」フィールドに対応します。

TEK Grace Time

Tek Grace Time

The TEK Grace Time field is 4 octets in length and corresponds to the "TEK grace time" field of the 802.16 "PKM configuration settings" attribute.

Tek Grace Timeフィールドの長さは4オクテットで、802.16 "PKM構成設定"属性の「Tek Grace Time」フィールドに対応しています。

Auth Rej Wait Timeout

auth rej wait timeout

The Auth Rej Wait Timeout field is 4 octets in length and corresponds to the "Authorize reject wait timeout" field of the 802.16 "PKM configuration settings" attribute.

AUTH REJ待機タイムアウトフィールドの長さは4オクテットで、802.16の「PKM構成設定」属性の「Authorize Reject Wait Timeout」フィールドに対応しています。

3.4. PKM-Cryptosuite-List
3.4. PKM-CRYPTOSUITE-LIST

Description

説明

The PKM-Cryptosuite-List Attribute is of type string [RFC2865] and is variable length; it corresponds roughly to the "Cryptographic-Suite-List" 802.16 attribute (see Section 11.19.15 of [IEEE.802.16-2004]), the difference being that the RADIUS Attribute contains only the list of 3-octet cryptographic suite identifiers, omitting the IEEE Type and Length fields.

PKM-CRIPTOSUITE-LIST属性は、型文字列[RFC2865]であり、長さは可変です。これは、「暗号化スイートリスト」802.16属性([IEEE.802.16-2004]のセクション11.19.15を参照)にほぼ対応しています。違いは、半径属性に3オクテットの暗号化スイート識別子のリストのみが含まれていることです。IEEEタイプと長さのフィールド。

The PKM-Cryptosuite-List Attribute MAY be present in an Access-Request message. Any message in which the PKM-Cryptosuite-List Attribute is present MUST also contain an instance of the Message-Authenticator Attribute [RFC3579].

PKM-CRIPTOSUITE-LIST属性は、アクセス要求メッセージに存在する場合があります。PKM-CRIPTOSUITE-LIST属性が存在するメッセージには、メッセージ-Authenticator属性[RFC3579]のインスタンスも含まれている必要があります。

Implementation Note

実装ノート

The PKM-Cryptosuite-List Attribute is used as a building block to create the 802.16 "Security-Capabilities" attribute ([IEEE.802.16-2004], Section 11.9.13); since this document only pertains to PKM version 1, the "Version" sub-attribute in that structure MUST be set to 0x01 when the RADIUS client constructs it.

PKM-CRIPTOSUITE-LIST属性は、802.16の「セキュリティ対応」属性([IEEE.802.16-2004]、セクション11.9.13)を作成するための構成要素として使用されます。このドキュメントはPKMバージョン1にのみ関係しているため、RADIUSクライアントがそれを構築する場合、その構造の「バージョン」サブアトリブは0x01に設定する必要があります。

A summary of the PKM-Cryptosuite-List Attribute format is shown below. The fields are transmitted from left to right.

PKM-CRYPTOSUITE-LIST属性形式の概要を以下に示します。フィールドは左から右に送信されます。

                        1                   2                   3
    0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
   |      Type     |      Len      |          Value...
   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
        

Type

タイプ

140 for PKM-Cryptosuite-List

140 PKM-CRYPTOSUITE-LISTの場合

Len

レン

2 + 3n < 39, where 'n' is the number of cryptosuite identifiers in the list.

2 3N <39、ここで、「n」はリスト内の暗号化機能識別子の数です。

Value

価値

The Value field is variable length and contains a sequence of one or more cryptosuite identifiers, each of which is 3 octets in length and corresponds to the Value field of an IEEE 802.16 Cryptographic-Suite attribute.

値フィールドは長さが可変であり、1つ以上の暗号化機能識別子のシーケンスが含まれており、それぞれが長さ3オクテットで、IEEE 802.16暗号化スイート属性の値フィールドに対応しています。

3.5. PKM-SAID
3.5. PKMSAID

Description

説明

The PKM-SAID Attribute is of type string [RFC2865]. It is 4 octets in length and contains a PKM Security Association Identifier ([IEEE.802.16-2004], Section 11.9.7). It MAY be included in an Access-Request message.

PKM-SAID属性は、型文字列[RFC2865]です。長さは4オクターで、PKMセキュリティ協会の識別子([IEEE.802.16-2004]、セクション11.9.7)が含まれています。アクセスリクエストメッセージに含まれる場合があります。

A summary of the PKM-SAID Attribute format is shown below. The fields are transmitted from left to right.

PKM-SAID属性形式の概要を以下に示します。フィールドは左から右に送信されます。

                        1                   2                   3
    0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
   |      Type     |      Len      |            SAID               |
   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
        

Type

タイプ

141 for PKM-SAID

141 PKMSAIDの場合

Len

レン

4

4

SAID

言った

The SAID field is two octets in length and corresponds to the Value field of the 802.16 PKM SAID attribute

上記のフィールドの長さは2オクテットで、802.16 pkmの値フィールドに対応しています。

3.6. PKM-SA-Descriptor
3.6. PKM-SA-Descriptor

Description

説明

The PKM-SA-Descriptor Attribute is of type string and is 8 octets in length. It contains three fields, described below, which together specify the characteristics of a PKM security association. One or more instances of the PKM-SA-Descriptor Attribute MAY occur in an Access-Accept message.

PKM-SA-Descriptor属性は型文字列であり、長さ8オクテットです。以下で説明する3つのフィールドが含まれており、PKMセキュリティ協会の特性を一緒に指定します。PKM-SA-Descriptor属性の1つ以上のインスタンスは、アクセスacceptメッセージで発生する場合があります。

A summary of the PKM-SA-Descriptor Attribute format is shown below. The fields are transmitted from left to right.

PKM-SA-Descriptor属性形式の概要を以下に示します。フィールドは左から右に送信されます。

                        1                   2                   3
    0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
   |      Type     |      Len      |            SAID               |
   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
   |    SA Type    |                Cryptosuite                    |
   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
        

Type

タイプ

142 for PKM-SA-Descriptor

142 PKM-SA-Descriptorの場合

Len

レン

8

8

SAID

言った

The SAID field is two octets in length and contains a PKM SAID (Section 3.5).

上記のフィールドの長さは2オクターで、PKMが含まれています(セクション3.5)。

SA Type

SAタイプ

The SA Type field is one octet in length. The contents correspond to those of the Value field of an IEEE 802.16 SA-Type attribute.

SAタイプフィールドの長さは1オクテットです。内容は、IEEE 802.16 SAタイプ属性の値フィールドの内容に対応しています。

Cryptosuite

CryptoSuite

The Cryptosuite field is 3 octets in length. The contents correspond to those of the Value field of an IEEE 802.16 Cryptographic-Suite attribute.

暗号化されたフィールドの長さは3オクターです。内容は、IEEE 802.16暗号化スイート属性の値フィールドの内容に対応しています。

3.7. PKM-AUTH-Key
3.7. PKM-Auth-Key

Description

説明

The PKM-AUTH-Key Attribute is of type string, 135 octets in length. It consists of 3 fields, described below, which together specify the characteristics of a PKM authorization key. The PKM-AUTH-Key Attribute MAY occur in an Access-Accept message. Any packet that contains an instance of the PKM-AUTH-Key Attribute MUST also contain an instance of the Message-Authenticator Attribute [RFC3579].

PKM-Auth-Key属性は、長さ135オクテットの型文字列です。以下で説明する3つのフィールドで構成されており、PKM認証キーの特性を一緒に指定します。PKM-Auth-Key属性は、アクセスacceptメッセージで発生する場合があります。PKM-Auth-Key属性のインスタンスを含むパケットには、メッセージ-Authenticator属性[RFC3579]のインスタンスも含める必要があります。

A summary of the PKM-AUTH-Key Attribute format is shown below. The fields are transmitted from left to right.

PKM-Auth-Key属性形式の概要を以下に示します。フィールドは左から右に送信されます。

                        1                   2                   3
    0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
   |      Type     |      Len      |           Lifetime
   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
             Lifetime (cont.)      |    Sequence   |     Key...
   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
        

Type

タイプ

143 for PKM-AUTH-Key

143 PKM-Auth-Keyの場合

Len

レン

135

135

Lifetime

一生

The Lifetime field is 4 octets in length and represents the lifetime, in seconds, of the authorization key. For more information, see Section 11.9.4 of [IEEE.802.16-2004].

生涯フィールドの長さは4オクテットで、承認キーの生涯を秒単位で表します。詳細については、[IEEE.802.16-2004]のセクション11.9.4を参照してください。

Sequence

順序

The Sequence field is one octet in length. The contents correspond to those of the Value field of an IEEE 802.16 Key-Sequence-Number attribute (see [IEEE.802.16-2004], Section 11.9.5).

シーケンスフィールドの長さは1オクテットです。内容は、IEEE 802.16キーシーケンス番号属性の値フィールドの内容に対応しています([IEEE.802.16-2004]、セクション11.9.5を参照)。

Key

The Key field is 128 octets in length. The contents correspond to those of the Value field of an IEEE 802.16 AUTH-Key attribute. The Key field MUST be encrypted under the public key from the Subscriber Station certificate (Section 3.1) using RSA encryption [RFC2437]; see Section 7.5 of [IEEE.802.16-2004] for further details.

キーフィールドの長さは128オクテットです。内容は、IEEE 802.16 Auth-Key属性の値フィールドの内容に対応しています。キーフィールドは、RSA暗号化[RFC2437]を使用して、サブスクライバーステーション証明書(セクション3.1)から公開キーの下で暗号化する必要があります。詳細については、[IEEE.802.16-2004]のセクション7.5を参照してください。

Implementation Note

実装ノート

It is necessary that a plaintext copy of this field be returned in the Access-Accept message; appropriate precautions MUST be taken to ensure the confidentiality of the key.

このフィールドのプレーンテキストコピーをAccess-Acceptメッセージに返す必要があります。キーの機密性を確保するために、適切な予防措置を講じる必要があります。

3.7.1. AUTH-Key Protection
3.7.1. 認証保護

The PKM-AUTH-Key Attribute (Section 3.7) contains the AUTH-Key encrypted with the SS's public key. The BS also needs the AK, so a second copy of the AK needs to be returned in the Access-Accept message.

PKM-Auth-Key属性(セクション3.7)には、SSの公開キーで暗号化された認証キーが含まれています。BSにはAKも必要なので、AKの2番目のコピーをAccess-Acceptメッセージで返す必要があります。

It is RECOMMENDED that the AK is encapsulated in an instance of the MS-MPPE-Send-Key Attribute [RFC2548]. However, see Section 4.3.4 of RFC 3579 [RFC3579] for details regarding weaknesses in the encryption scheme used.

AKは、MS-MPPEセンドキー属性[RFC2548]のインスタンスでカプセル化されることをお勧めします。ただし、使用される暗号化スキームの弱点に関する詳細については、RFC 3579 [RFC3579]のセクション4.3.4を参照してください。

If better means for protecting the Auth-Key are available (such as RADIUS key attributes with better security properties, or means of protecting the whole Access-Accept message), they SHOULD be used instead of (or in addition to) the MS-MPPE-Send-Key Attribute.

Auth-Keyを保護するためのより良い手段が利用可能である場合(より良いセキュリティプロパティを備えたRADIUSキー属性、またはAccess-Acceptメッセージ全体を保護する手段など)、MS-MPPEの代わりに(または追加)使用する必要があります-Send-Key属性。

4. Table of Attributes
4. 属性の表

The following table provides a guide to which attributes may be found in which kinds of packets, and in what quantity.

次の表は、どの種類のパケットとどの量の属性が見つかるかについてのガイドを示します。

   Request Accept Reject Challenge Acct-Req  #   Attribute
   0+      0      0      0         0        137 PKM-SS-Cert [Note 1]
   0+      0      0      0         0        138 PKM-CA-Cert [Note 2]
   0       0-1    0      0         0        139 PKM-Config-Settings
   0-1     0      0      0         0        140 PKM-Cryptosuite-List
   0-1     0      0      0         0        141 PKM-SAID
   0       0+     0      0         0        142 PKM-SA-Descriptor
   0       0-1    0      0         0        143 PKM-Auth-Key
   0       0-1    0      0         0             MS-MPPE-Send-Key
                                                    [Note 3]
        

[Note 1] No more than one Subscriber Station Certificate may be transferred in an Access-Request packet.

[注1] Access-Requestパケットでは、サブスクライバーステーション証明書を1つ以下に転送できません。

[Note 2] No more than one CA Certificate may be transferred in an Access-Request packet.

[注2] Access-Requestパケットで1つのCA証明書を転送することはできません。

[Note 3] MS-MPPE-Send-Key is one possible attribute that can be used to convey the AK to the BS; other attributes can be used instead (see Section 3.7.1).

[注3] MS-MPPE-Send-Keyは、AKをBSに伝えるために使用できる可能性のある属性の1つです。代わりに他の属性を使用できます(セクション3.7.1を参照)。

The following table defines the meaning of the above table entries.

次の表は、上記のテーブルエントリの意味を定義しています。

0 This attribute MUST NOT be present in packet 0+ Zero or more instances of this attribute MAY be present in packet 0-1 Zero or one instance of this attribute MAY be present in packet 1 Exactly one instance of this attribute MUST be present in packet

0この属性はパケットに存在しないでください。この属性のゼロ以上のインスタンスはパケット0-1ゼロに存在する場合があります。または、この属性の1つのインスタンスがパケットに存在する場合があります。

5. Diameter Considerations
5. 直径の考慮事項

Since the Attributes defined in this document are allocated from the standard RADIUS type space (see Section 7), no special handling is required by Diameter nodes.

このドキュメントで定義されている属性は標準の半径型空間から割り当てられているため(セクション7を参照)、直径ノードでは特別な取り扱いは必要ありません。

6. Security Considerations
6. セキュリティに関する考慮事項

Section 4 of RFC 3579 [RFC3579] discusses vulnerabilities of the RADIUS protocol.

RFC 3579 [RFC3579]のセクション4では、RADIUSプロトコルの脆弱性について説明しています。

Section 3 of the paper "Security Enhancements for Privacy and Key Management Protocol in IEEE 802.16e-2005" [SecEn] discusses the operation and vulnerabilities of the PKMv1 protocol.

論文のセクション3「IEEE 802.16E-2005のプライバシーと主要な管理プロトコルのセキュリティ強化」[Secen]は、PKMV1プロトコルの操作と脆弱性について説明しています。

If the Access-Request message is not subject to strong integrity protection, an attacker may be able to modify the contents of the PKM-Cryptosuite-List Attribute, weakening 802.16 security or disabling data encryption altogether.

Access-Requestメッセージが強力な整合性保護の対象でない場合、攻撃者はPKM-Cryptosuite-List属性の内容を変更し、802.16セキュリティを弱め、データ暗号化を完全に無効にすることができます。

If the Access-Accept message is not subject to strong integrity protection, an attacker may be able to modify the contents of the PKM-Auth-Key Attribute. For example, the Key field could be replaced with a key known to the attacker.

Access-Acceptメッセージが強力な整合性保護の対象でない場合、攻撃者はPKM-Auth-Key属性のコンテンツを変更できる場合があります。たとえば、キーフィールドは、攻撃者に知られているキーに置き換えることができます。

See Section 3.7.1 for security considerations of sending the authorization key to the BS.

BSに承認キーを送信するセキュリティに関する考慮事項については、セクション3.7.1を参照してください。

7. IANA Considerations
7. IANAの考慮事項

IANA has assigned numbers for the following Attributes:

IANAは、次の属性に番号を割り当てました。

137 PKM-SS-Cert

137 PKM-SS-CERT

138 PKM-CA-Cert

138 pkm-ca-cert

139 PKM-Config-Settings

139 pkm-config-settings

140 PKM-Cryptosuite-List

140 pkm-cryptosuite-list

141 PKM-SAID 142 PKM-SA-Descriptor

141 PKM-SAID 142 pkm-sa-descriptor

143 PKM-Auth-Key

143 pkm-auth-key

The Attribute numbers are to be allocated from the standard RADIUS Attribute type space according to the "IETF Review" policy [RFC5226].

属性番号は、「IETFレビュー」ポリシー[RFC5226]に従って、標準のRADIUS属性タイプスペースから割り当てられます。

8. Contributors
8. 貢献者

Pasi Eronen provided most of the text in Section 3.7.1.

Pasi Eronenは、セクション3.7.1でテキストのほとんどを提供しました。

9. Acknowledgements
9. 謝辞

Thanks (in no particular order) to Bernard Aboba, Donald Eastlake, Dan Romascanu, Avshalom Houri, Juergen Quittek, Pasi Eronen, and Alan DeKok for their mostly useful reviews of this document.

この文書のほとんど有用なレビューをしてくれたバーナード・アボバ、ドナルド・イーストレイク、ダン・ロマスカヌ、アヴシャロム・ホーイ、ジュエルゲン・キッテク、パシ・エロネン、アラン・デコクに感謝します。

10. References
10. 参考文献
10.1. Normative References
10.1. 引用文献

[IEEE.802.16-2004] Institute of Electrical and Electronics Engineers, "IEEE Standard for Local and metropolitan area networks, Part 16: Air Interface for Fixed Broadband Wireless Access Systems", IEEE Standard 802.16, October 2004.

[IEEE.802.16-2004]電気およびエレクトロニクスエンジニア研究所、「ローカルおよびメトロポリタンエリアネットワークのIEEE標準、パート16:固定ブロードバンドワイヤレスアクセスシステム用エアインターフェイス」、IEEE Standard 802.16、2004年10月。

[RFC2865] Rigney, C., Willens, S., Rubens, A., and W. Simpson, "Remote Authentication Dial In User Service (RADIUS)", RFC 2865, June 2000.

[RFC2865] Rigney、C.、Willens、S.、Rubens、A。、およびW. Simpson、「リモート認証ダイヤルインユーザーサービス(RADIUS)」、RFC 2865、2000年6月。

[RFC3579] Aboba, B. and P. Calhoun, "RADIUS (Remote Authentication Dial In User Service) Support For Extensible Authentication Protocol (EAP)", RFC 3579, September 2003.

[RFC3579] Aboba、B。およびP. Calhoun、「RADIUS(リモート認証ダイヤルインユーザーサービス)拡張可能な認証プロトコル(EAP)のサポート」、RFC 3579、2003年9月。

[RFC5226] Narten, T. and H. Alvestrand, "Guidelines for Writing an IANA Considerations Section in RFCs", BCP 26, RFC 5226, May 2008.

[RFC5226] Narten、T。およびH. Alvestrand、「RFCSでIANA考慮事項セクションを書くためのガイドライン」、BCP 26、RFC 5226、2008年5月。

10.2. Informative References
10.2. 参考引用

[RFC2437] Kaliski, B. and J. Staddon, "PKCS #1: RSA Cryptography Specifications Version 2.0", RFC 2437, October 1998.

[RFC2437] Kaliski、B。and J. Staddon、「PKCS#1:RSA暗号仕様バージョン2.0」、RFC 2437、1998年10月。

[RFC2459] Housley, R., Ford, W., Polk, T., and D. Solo, "Internet X.509 Public Key Infrastructure Certificate and CRL Profile", RFC 2459, January 1999.

[RFC2459] Housley、R.、Ford、W.、Polk、T。、およびD. Solo、「インターネットX.509公開キーインフラストラクチャ証明書とCRLプロファイル」、RFC 2459、1999年1月。

[RFC2548] Zorn, G., "Microsoft Vendor-specific RADIUS Attributes", RFC 2548, March 1999.

[RFC2548] Zorn、G。、「Microsoft Vendor固有のRADIUS属性」、RFC 2548、1999年3月。

[SecEn] Altaf, A., Jawad, M., and A. Ahmed, "Security Enhancements for Privacy and Key Management Protocol in IEEE 802.16e-2005", Ninth ACIS International Conference on Software Engineering, Artificial Intelligence, Networking, and Parallel/Distributed Computing, 2008.

[Secen] Altaf、A.、Jawad、M。、およびA. Ahmed、「IEEE 802.16E-2005のプライバシーと主要な管理プロトコルのセキュリティ強化」、ソフトウェアエンジニアリング、人工知能、ネットワーキング、および並列に関する第9 ACIS国際会議/分散コンピューティング、2008年。

Author's Address

著者の連絡先

Glen Zorn Network Zen 1463 East Republican Street #358 Seattle, WA 98112 US

Glen Zorn Network Zen 1463 East Republican Street#358シアトル、ワシントン州98112 US

   EMail: gwz@net-zen.net