[要約] RFC 6028は、Host Identity Protocol(HIP)のマルチホップルーティング拡張機能に関するものであり、HIPを使用して複数のホップを経由する通信を可能にすることを目的としています。
Internet Engineering Task Force (IETF) G. Camarillo
Request for Comments: 6028 A. Keranen
Category: Experimental Ericsson
ISSN: 2070-1721 October 2010
Host Identity Protocol (HIP) Multi-Hop Routing Extension
ホストIDプロトコル(HIP)マルチホップルーティング拡張機能
Abstract
概要
This document specifies two extensions to the Host Identity Protocol (HIP) to implement multi-hop routing. The first extension allows implementing source routing in HIP. That is, a node sending a HIP packet can define a set of nodes that the HIP packet should traverse. The second extension allows a HIP packet to carry and record the list of nodes that forwarded it.
このドキュメントは、ホストIDプロトコル(HIP)の2つの拡張機能を指定して、マルチホップルーティングを実装します。最初の拡張により、股関節でソースルーティングを実装できます。つまり、股関節パケットを送信するノードは、股関節パケットがトラバースする一連のノードを定義できます。2番目の拡張機能を使用すると、股関節パケットが転送されたノードのリストを持ち運んで記録できます。
Status of This Memo
本文書の位置付け
This document is not an Internet Standards Track specification; it is published for examination, experimental implementation, and evaluation.
このドキュメントは、インターネット標準の追跡仕様ではありません。試験、実験的実装、および評価のために公開されています。
This document defines an Experimental Protocol for the Internet community. This document is a product of the Internet Engineering Task Force (IETF). It represents the consensus of the IETF community. It has received public review and has been approved for publication by the Internet Engineering Steering Group (IESG). Not all documents approved by the IESG are a candidate for any level of Internet Standard; see Section 2 of RFC 5741.
このドキュメントは、インターネットコミュニティの実験プロトコルを定義しています。このドキュメントは、インターネットエンジニアリングタスクフォース(IETF)の製品です。IETFコミュニティのコンセンサスを表しています。公開レビューを受けており、インターネットエンジニアリングステアリンググループ(IESG)からの出版が承認されています。IESGによって承認されたすべてのドキュメントが、あらゆるレベルのインターネット標準の候補者ではありません。RFC 5741のセクション2を参照してください。
Information about the current status of this document, any errata, and how to provide feedback on it may be obtained at http://www.rfc-editor.org/info/rfc6028.
このドキュメントの現在のステータス、任意のERRATA、およびそのフィードバックを提供する方法に関する情報は、http://www.rfc-editor.org/info/rfc6028で取得できます。
Copyright Notice
著作権表示
Copyright (c) 2010 IETF Trust and the persons identified as the document authors. All rights reserved.
Copyright(c)2010 IETF Trustおよび文書著者として特定された人。全著作権所有。
This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents (http://trustee.ietf.org/license-info) in effect on the date of publication of this document. Please review these documents carefully, as they describe your rights and restrictions with respect to this document. Code Components extracted from this document must include Simplified BSD License text as described in Section 4.e of the Trust Legal Provisions and are provided without warranty as described in the Simplified BSD License.
このドキュメントは、BCP 78およびIETFドキュメント(http://trustee.ietf.org/license-info)に関連するIETF Trustの法的規定の対象となります。この文書に関するあなたの権利と制限を説明するので、これらの文書を注意深く確認してください。このドキュメントから抽出されたコードコンポーネントには、セクション4.Eで説明されている法的規定のセクション4.Eで説明されており、単純化されたBSDライセンスで説明されているように保証なしで提供される簡略化されたBSDライセンステキストを含める必要があります。
Table of Contents
目次
1. Introduction ....................................................2
2. Terminology .....................................................3
2.1. Requirements Language ......................................3
2.2. Definitions ................................................3
3. Protocol Definitions ............................................3
3.1. Creating and Processing Via Lists ..........................4
3.2. Creating Destination Lists .................................4
3.3. Processing Destination Lists ...............................5
3.4. Fragmentation Considerations ...............................5
4. Packet Formats ..................................................5
4.1. Source and Destination Route List Parameters ...............6
5. IANA Considerations .............................................7
6. Security Considerations .........................................8
6.1. Forged Destination and Via Lists ...........................8
6.2. Forwarding Loops ...........................................8
7. Acknowledgments .................................................9
8. References ......................................................9
8.1. Normative References .......................................9
8.2. Informative References .....................................9
When the Host Identity Protocol (HIP) [RFC5201] is used in certain contexts, nodes need the ability to perform source routing. That is, a node needs the ability to send a HIP signaling packet that will traverse a set of nodes before reaching its destination. Such features are needed, e.g., in the HIP-Based Overlay Networking Environment (HIP BONE) [HIP-BONE] or if two nodes wish to keep a third, or more, HIP nodes on the signaling path. This document defines an extension that provides HIP with this functionality.
ホストIDプロトコル(HIP)[RFC5201]が特定のコンテキストで使用される場合、ノードはソースルーティングを実行する機能を必要とします。つまり、ノードには、宛先に到達する前にノードのセットを通過する股関節信号パケットを送信する機能が必要です。このような機能は、たとえば、股関節ベースのオーバーレイネットワーキング環境(股関節骨)[股関節骨]または2つのノードが3番目またはそれ以上のシグナリングパスに保持したい場合です。このドキュメントは、この機能をhipに提供する拡張機能を定義します。
Additionally, when HIP signaling packets are routed through multiple nodes, some of these nodes (e.g., the destination host) need the ability to know the nodes that a particular packet traversed. This document defines another extension that provides HIP with this functionality.
さらに、股関節信号パケットが複数のノードを介してルーティングされると、これらのノードの一部(宛先ホストなど)には、特定のパケットが通過したノードを知る機能が必要です。このドキュメントでは、この機能を股関節に提供する別の拡張機能を定義します。
These two extensions enable multi-hop routing in HIP. Before these extensions were specified, there were standardized ways for supporting only a single intermediate node (e.g., a rendezvous server [RFC5204]) between the source of a HIP packet and its destination.
これらの2つの拡張機能は、股関節でマルチホップルーティングを可能にします。これらの拡張機能が指定される前に、股関節パケットのソースとその宛先の間に単一の中間ノード(例えば、ランデブーサーバー[RFC5204])のみをサポートする標準化された方法がありました。
The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in RFC 2119 [RFC2119].
この文書のキーワード "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", および "OPTIONAL" はRFC 2119 [RFC2119]で説明されているように解釈されます。
The following terms used in this document are similar to those defined by REsource LOcation And Discovery (RELOAD) [P2PSIP-BASE] but are used here in the context of HIP.
このドキュメントで使用される次の用語は、リソースの場所と発見(リロード)[P2PSIPベース]で定義されている用語と類似していますが、ここでは股関節のコンテキストで使用されます。
Destination list: A list of Host Identity Tags (HITs) of the nodes that a HIP packet should traverse.
宛先リスト:股関節パケットが横断するノードのホストIDタグ(ヒット)のリスト。
Via list: A list of HITs of the nodes that a HIP packet has traversed.
リスト経由:股関節パケットが横断したノードのヒットのリスト。
Symmetric routing: A response to a message is routed back using the same set of intermediary nodes as the original message used, except in reversed order. Also known as symmetric recursive routing.
対称ルーティング:メッセージへの応答は、逆の順序を除いて、使用された元のメッセージと同じ中間ノードのセットを使用してルーティングされます。対称再帰ルーティングとしても知られています。
The multi-hop routing extensions may be used in different contexts, and whether a new HIP signaling packet should, for example, include a Via list or have different options enabled can depend on the particular use case, local policies, and different protocols using the extension. This section defines how the new parameters are handled, but when to use these extensions, or how to configure them, is out of scope for this document.
マルチホップルーティング拡張機能は、さまざまなコンテキストで使用される場合があります。たとえば、新しいヒップシグナリングパケットには、viaリストを含めるか、異なるオプションを有効にする必要があるかどうかは、特定のユースケース、ローカルポリシー、およびを使用した異なるプロトコルに依存します。拡大。このセクションでは、新しいパラメーターの処理方法を定義しますが、これらの拡張機能を使用するタイミング、またはそれらを構成する方法は、このドキュメントの範囲外です。
When a node sending a HIP packet needs to record the nodes that are on the path that the HIP packet traverses, it includes an empty ROUTE_VIA parameter in the packet.
股関節パケットを送信するノードでは、股関節パケットが通過するパス上にあるノードを記録する必要がある場合、パケットに空のroute_viaパラメーターが含まれます。
A node that receives a packet with a ROUTE_VIA parameter SHOULD add its own HIT to the end of the ROUTE_VIA parameter, unless it is the final recipient of the packet. If the node uses a different HIT on the HIP association it used for receiving the packet than for sending it forward, it SHOULD also add the receiving HIT to the route list before the sending HIT.
route_viaパラメーターを使用してパケットを受信するノードは、パケットの最終的な受信者でない限り、route_viaパラメーターの最後に独自のヒットを追加する必要があります。ノードがパケットを送信するのと同じように使用したヒップアソシエーションで異なるヒットを使用する場合、送信ヒット前にルートリストに受信ヒットを追加する必要があります。
If the node is the final recipient of the packet, and the received packet generates a response HIP packet, the node checks the SYMMETRIC flag from the ROUTE_VIA parameter. If the SYMMETRIC flag is set, the node MUST create a ROUTE_DST parameter from the ROUTE_VIA parameter, as described in Section 3.2, and include it in the response packet. Also, if an intermediary node generates a new HIP packet (e.g., an error NOTIFY packet) due to a HIP packet that had a ROUTE_VIA parameter with the SYMMETRIC flag set, and the new packet is intended for the sender of the original HIP packet, the node SHOULD construct and add a ROUTE_DST parameter into the new packet as in the previous case.
ノードがパケットの最終受信者であり、受信したパケットが応答ヒップパケットを生成する場合、ノードはRoute_Viaパラメーターから対称フラグをチェックします。対称フラグが設定されている場合、ノードは、セクション3.2で説明されているように、route_viaパラメーターからroute_dstパラメーターを作成し、応答パケットに含める必要があります。また、中間ノードが対称フラグセットを備えたroute_viaパラメーターを備えた股関節パケットのために新しいヒップパケット(例:エラー通知パケット)を生成する場合、新しいパケットは元の股関節パケットの送信者を対象としています。ノードは、前のケースのように、route_dstパラメーターを新しいパケットに追加して追加する必要があります。
A node that needs to define the other nodes that should be on the path a HIP packet traverses adds a ROUTE_DST parameter to the HIP packet. The node may either decide the path independently, or it may create the path based on a ROUTE_VIA parameter. Only the originator of a signed HIP packet can add a ROUTE_DST parameter to the HIP packet, and none of the nodes on the path can modify it, since the parameter is covered by the signature.
パス上にある必要がある他のノードを定義する必要があるノードは、股関節パケットトラバースが股関節パケットにroute_dstパラメーターを追加します。ノードは、パスを個別に決定するか、Route_Viaパラメーターに基づいてパスを作成する場合があります。署名された股関節パケットのオリジネーターのみがhipパケットにroute_dstパラメーターを追加でき、パラメーターは署名でカバーされているため、パス上のノードはそれを変更できません。
When a node creates a ROUTE_DST parameter due to receiving a packet with a ROUTE_VIA parameter, it copies all the HITs in the ROUTE_VIA parameter to the ROUTE_DST parameter, but in reversed order. This results in the HIP response packet being forwarded using the same path as the packet for which the response was generated. If exactly the same set of nodes should be traversed by the response packet, the MUST_FOLLOW flag (see Table 1) also SHOULD be set in the ROUTE_VIA parameter (and eventually copied to the ROUTE_DST parameter) to prevent the response packet from possibly skipping some nodes on the list.
route_viaパラメーターを使用してパケットを受信するためにノードがroute_dstパラメーターを作成すると、route_viaパラメーターのすべてのヒットをroute_dstパラメーターにコピーしますが、順序が逆になります。これにより、応答が生成されたパケットと同じパスを使用して、股関節応答パケットが転送されます。まったく同じノードのセットを応答パケットによってトラバースする必要がある場合、Must_Followフラグ(表1を参照)もRoute_Viaパラメーター(および最終的にはRoute_DSTパラメーターにコピー)に設定する必要があります。リストに。
When a node receives a HIP packet that contains a ROUTE_DST parameter, it first looks up its own HIT from the route list. If the node's own HIT is not in the list and the node is not the receiver of the packet, the packet was incorrectly forwarded and MUST be dropped. If the node's HIT is in the list more than once, the list is invalid and the packet MUST be dropped to avoid forwarding loops. The next hop for the packet is the HIT after the node's own HIT in the list. If the node's HIT was the last HIT in the list, the next hop is the receiver's HIT in the HIP header.
ノードがroute_dstパラメーターを含むヒップパケットを受信すると、最初にルートリストから独自のヒットを検索します。ノード自身のヒットがリストに含まれておらず、ノードがパケットの受信機ではない場合、パケットは誤って転送され、ドロップする必要があります。ノードのヒットがリストに複数回載っている場合、リストは無効であり、転送ループを避けるためにパケットをドロップする必要があります。パケットの次のホップは、リストにノード自身のヒットの後のヒットです。ノードのヒットがリストの最後のヒットであった場合、次のホップは股関節ヘッダーのレシーバーのヒットです。
If the MUST_FOLLOW flag in the ROUTE_DST parameter is not set, the node SHOULD check whether it has a valid locator for one of the nodes later in the list, or for the receiver of the packet, and it MAY select such a node as the next hop. If the MUST_FOLLOW flag is set, the node MUST NOT skip any nodes in the list.
route_dstパラメーターのnust_followフラグが設定されていない場合、ノードは、リストの後半のノードの1つの有効なロケーターがあるか、パケットの受信機の有効なロケーターがあるかどうかを確認する必要があります。ホップ。Must_Followフラグが設定されている場合、ノードはリスト内のノードをスキップしてはなりません。
If the node has a valid locator for the next hop, it MUST forward the HIP packet to the next-hop node. If the node cannot determine a valid locator for the next-hop node, it SHOULD drop the packet and SHOULD send back a NOTIFY error packet with type UNKNOWN_NEXT_HOP (value 90). The Notification Data field for the error notifications SHOULD contain the HIP header of the rejected packet and the ROUTE_DST parameter.
ノードに次のホップ用の有効なロケーターがある場合、ヒップパケットを次のホップノードに転送する必要があります。ノードがNext-Hopノードの有効なロケーターを決定できない場合、パケットをドロップし、Type nownext_next_hop(値90)を使用してNotifyエラーパケットを送信する必要があります。エラー通知の通知データフィールドには、拒否されたパケットの股関節ヘッダーとroute_dstパラメーターを含める必要があります。
Via and Destination lists with multiple HITs can substantially increase the size of the HIP packets, and thus fragmentation issues (see Section 5.1.3 of [RFC5201]) should be taken into consideration when these extensions are used. Via lists in particular should be used with care, since the final size of the packet is not known unless the maximum possible amount of hops is known beforehand. Both parameters do still have a maximum size based on the maximum number of allowed HITs (see Section 4.1).
複数のヒットを備えたVIAおよび宛先リストは、股関節パケットのサイズを大幅に増加させる可能性があるため、これらの拡張機能を使用すると、断片化の問題が考慮される必要があります。特にリストを介して、パケットの最終サイズは事前に可能な限り最大の量がわかっていない限り知られていないため、注意して使用する必要があります。どちらのパラメーターも、許可されたヒットの最大数に基づいて最大サイズを持っています(セクション4.1を参照)。
This memo defines two new HIP parameters that are used for recording a route via multiple nodes (ROUTE_VIA) and for defining a route that a packet should traverse by the sender of the packet (ROUTE_DST).
このメモは、複数のノード(Routh_Via)を介してルートを記録するために使用される2つの新しい股関節パラメーターと、パケットがパケットの送信者(route_dst)によってトラバースされるルートを定義するために定義されます。
The ROUTE_DST parameter is integrity protected with the signature (where present) but ROUTE_VIA is not, so that intermediary nodes can add their own HITs to the list. Both ROUTE_DST and ROUTE_VIA are critical parameters (as defined in Section 5.2.1 of [RFC5201]), since the packet will not be properly routed unless all nodes on the path recognize the parameters.
route_dstパラメーターは署名(存在する場所)で整合性保護されていますが、route_viaはそうではないため、中間ノードが独自のヒットをリストに追加できます。route_dstとroute_viaは両方とも重要なパラメーターです([rfc5201]のセクション5.2.1で定義されています)。パス上のすべてのノードがパラメーターを認識しない限り、パケットは適切にルーティングされないためです。
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Type | Length |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Flags | Reserved |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| |
| HIT #1 |
| |
| |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
. . .
. . .
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| |
| HIT #n |
| |
| |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Type ROUTE_DST: 4601 ROUTE_VIA: 64017 Length length in octets, excluding Type and Length (i.e., number-of-HITs * 16 + 4) Flags bit flags that can be used for requesting special handling of the parameter Reserved reserved for future use HIT Host Identity Tag of one of the nodes on the path
タイプルート_dst:4601 route_via:64017オクテットの長さの長さ、つまりタイプと長さ(つまり、ヒット数 * 16 4)を除くフラグは、将来の使用のために予約されているパラメーターの特別な処理を要求するために使用できるフラグフラグパス上のノードの1つのタグ
Figure 1. Format of the ROUTE_VIA and ROUTE_DST Parameters
図1. route_viaおよびroute_dstパラメーターの形式
Figure 1 shows the format of both ROUTE_VIA and ROUTE_DST parameters. The ROUTE_DST parameter, if present, MUST have at least one HIT, but the ROUTE_VIA parameter can also have zero HITs. The ROUTE_DST and ROUTE_VIA parameters SHALL NOT contain more than 32 HITs. The Flags field is used for requesting special handling for Via and Destination lists. The flags defined in this document are shown in Table 1. The Reserved field can be used by future extensions; it MUST be zero when sending and ignored when receiving this parameter.
図1は、route_viaとroute_dstパラメーターの両方の形式を示しています。Route_DSTパラメーターは、存在する場合は、少なくとも1つのヒットが必要ですが、Route_Viaパラメーターにはヒットもゼロにすることができます。route_dstとroute_viaパラメーターには、32ヒットを超えるものは含まれていません。Flagsフィールドは、VIAおよび宛先リストの特別な取り扱いを要求するために使用されます。このドキュメントで定義されているフラグを表1に示します。予約済みフィールドは、将来の拡張機能で使用できます。このパラメーターを受信するときに送信および無視するときはゼロでなければなりません。
+-----+-------------+-----------------------------------------------+
| Pos | Name | Purpose |
+-----+-------------+-----------------------------------------------+
| 0 | SYMMETRIC | The response packet MUST be sent with a |
| | | ROUTE_DST list made from the ROUTE_VIA list |
| | | containing this flag, i.e., using symmetric |
| | | routing. |
| 1 | MUST_FOLLOW | All the nodes in a ROUTE_DST list MUST be |
| | | traversed, i.e., even if a node would have a |
| | | valid locator for a node beyond the next hop, |
| | | it MUST NOT forward the packet there but to |
| | | the next-hop node. |
+-----+-------------+-----------------------------------------------+
Table 1. Bit Flags in ROUTE_VIA and ROUTE_DST Parameters
表1. route_viaおよびroute_dstパラメーターのビットフラグ
The "Pos" column in Table 1 shows the bit position of the flag (as in Figure 1) in the Flags field, "Name" gives the name of the flag used in this document, and "Purpose" gives a brief description of the meaning of that flag.
表1の「POS」列は、フラグフィールドのフラグのビット位置(図1のような)を示しています。「名前」はこのドキュメントで使用されているフラグの名前を示し、「目的」はの簡単な説明を示しています。その旗の意味。
The flags apply to both ROUTE_VIA and ROUTE_DST parameters, and when a ROUTE_DST parameter is added to a packet because of a ROUTE_VIA parameter, the same flags MUST be copied to the ROUTE_DST parameter.
フラグはroute_viaとroute_dstパラメーターの両方に適用され、route_viaパラメーターのためにroute_dstパラメーターがパケットに追加される場合、同じフラグをroute_dstパラメーターにコピーする必要があります。
This section is to be interpreted according to [RFC5226].
このセクションは、[RFC5226]に従って解釈されます。
This document updates the IANA Registry for HIP Parameter Types [RFC5201] by assigning new HIP Parameter Type values for the new HIP Parameters: ROUTE_VIA and ROUTE_DST (defined in Section 4). This document also defines a new Notify Packet Type [RFC5201], UNKNOWN_NEXT_HOP, in Section 3.3.
このドキュメントは、新しい股関節パラメーターの新しい股関節パラメータータイプ値を割り当てることにより、股関節パラメータータイプ[RFC5201]のIANAレジストリを更新します。Route_ViaおよびRoute_DST(セクション4で定義)。このドキュメントは、セクション3.3の新しいNotifyパケットタイプ[RFC5201]、不明_NEXT_HOPも定義しています。
The ROUTE_DST and ROUTE_VIA parameters utilize bit flags, for which IANA has created and now maintains a new sub-registry entitled "HIP Via Flags" under the "Host Identity Protocol (HIP) Parameters" registry. Initial values for the registry are given in Table 1; future assignments are to be made through IETF Review or IESG Approval [RFC5226]. Assignments consist of the bit position and the name of the flag.
route_dstとroute_viaパラメーターはビットフラグを利用しています。これは、IANAが作成した「ホストIDプロトコル(HIP)パラメーター」の下で「フラグを介してHIPを介してHIP」というタイトルの新しいサブレジストリを維持しています。レジストリの初期値を表1に示します。将来の割り当ては、IETFレビューまたはIESG承認[RFC5226]を通じて行われます。割り当ては、ビット位置とフラグの名前で構成されています。
The standard HIP mechanisms (e.g., using signatures, puzzles, and the ENCRYPTED parameter [RFC5201]) provide protection against eavesdropping; replay; message insertion, deletion, and modification; and man-in-the-middle attacks. Yet, the extensions described in this document allow nodes to route HIP messages via other nodes and hence possibly try to mount Denial-of-Service (DoS) attacks against them. The following sections describe possible attacks and means to mitigate them.
標準の股関節メカニズム(例:署名、パズル、暗号化されたパラメーター[RFC5201]を使用)は、盗聴に対する保護を提供します。リプレイ;メッセージの挿入、削除、および変更。そして中間の攻撃。しかし、このドキュメントで説明されている拡張機能により、ノードは他のノードを介して股関節メッセージをルーティングすることができ、したがって、それらに対して拒否攻撃(DOS)攻撃をマウントしようとする可能性があります。次のセクションでは、可能な攻撃とそれらを軽減する手段について説明します。
The Destination list is protected by the HIP signature so that the receiver of the message can check that the list was indeed created by the sender of the message and not modified on the path. Also, the nodes forwarding the message MAY check the signature of the forwarded packets if they have the Host Identity (HI) of the sender (e.g., from an I2 or R1 message [RFC5201]) and drop packets whose signature check fails. With forwarding nodes checking the signature and allowing messages to be forwarded only from nodes for which there is an active HIP association, it is also possible to reliably identify attacking nodes.
宛先リストは股関節署名によって保護されているため、メッセージの受信者がリストの送信者によって実際に作成され、パスで変更されていないことを確認できます。また、メッセージを転送するノードは、送信者のホストID(HI)(I2またはR1メッセージ[RFC5201]から)のホストID(HI)がある場合、転送パケットの署名をチェックし、署名チェックが失敗したドロップパケットをチェックする場合があります。署名をチェックし、アクティブな股関節関連があるノードからのみメッセージを転送できるようにすると、攻撃ノードを確実に識別することも可能です。
The limited amount of HITs allowed in a Destination list limits the impact of attacks using a forged Destination list, and the attacker also needs to know a set of HIP nodes that are able to route the message hop-by-hop for the attack to be effective.
宛先リストで許可されている限られた量のヒットは、偽造された宛先リストを使用して攻撃の影響を制限します。また、攻撃者は、攻撃のホップバイホップをルーティングできるヒップノードのセットを知る必要があります。効果的。
A forged Via list results in a similar attack as with the Destination list and with similar limitations. However, in this attack the Destination list generated from the Via list is validly signed by the responding node. To limit the effect of this kind of attack, a responding node may further decrease the maximum acceptable number of nodes in the Via lists or allow only certain HITs in the lists. However, using these mechanisms requires either good knowledge of the overlay network (i.e., maximum realistic amount of hops) or knowing the HITs of all potential nodes forwarding the messages.
Forged Viaリストは、宛先リストと同様の攻撃と同様の制限があります。ただし、この攻撃では、VIAリストから生成された宛先リストは、応答ノードによって有効に署名されます。この種の攻撃の効果を制限するために、応答するノードは、Viaリスト内の最大許容数のノード数をさらに減らすか、リスト内の特定のヒットのみを許可する場合があります。ただし、これらのメカニズムを使用するには、オーバーレイネットワークの適切な知識(つまり、最大の現実的な量のホップ)またはメッセージを転送するすべての潜在的なノードのヒットを知る必要があります。
A malicious node could craft a destination route list that contains the same HIT more than once and thus create a forwarding loop. The check described in Section 3.3 should break such loops, but nodes MAY in addition utilize the OVERLAY_TTL [HIP-BONE] parameter for additional protection against forwarding loops.
悪意のあるノードは、同じヒットを複数回含む宛先ルートリストを作成し、転送ループを作成できます。セクション3.3で説明したチェックはそのようなループを破壊する必要がありますが、ノードはさらに、転送ループから追加の保護のためにoverlay_ttl [hip-bone]パラメーターを利用する場合があります。
Tom Henderson provided valuable comments and improvement suggestions for this document.
トム・ヘンダーソンは、この文書に貴重なコメントと改善の提案を提供しました。
[RFC2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, March 1997.
[RFC2119] Bradner、S。、「要件レベルを示すためにRFCで使用するためのキーワード」、BCP 14、RFC 2119、1997年3月。
[RFC5201] Moskowitz, R., Nikander, P., Jokela, P., Ed., and T. Henderson, "Host Identity Protocol", RFC 5201, April 2008.
[RFC5201] Moskowitz、R.、Nikander、P.、Jokela、P.、Ed。、およびT. Henderson、「Host Identity Protocol」、RFC 5201、2008年4月。
[RFC5204] Laganier, J. and L. Eggert, "Host Identity Protocol (HIP) Rendezvous Extension", RFC 5204, April 2008.
[RFC5204] Laganier、J。およびL. Eggert、「ホストアイデンティティプロトコル(HIP)Rendezvous Extension」、RFC 5204、2008年4月。
[RFC5226] Narten, T. and H. Alvestrand, "Guidelines for Writing an IANA Considerations Section in RFCs", BCP 26, RFC 5226, May 2008.
[RFC5226] Narten、T。およびH. Alvestrand、「RFCSでIANA考慮事項セクションを書くためのガイドライン」、BCP 26、RFC 5226、2008年5月。
[HIP-BONE] Camarillo, G., Nikander, P., Hautakorpi, J., Keranen, A., and A. Johnston, "HIP BONE: Host Identity Protocol (HIP) Based Overlay Networking Environment", Work in Progress, June 2010.
[Hip-Bone] Camarillo、G.、Nikander、P.、Hautakorpi、J.、Keranen、A。、およびA. Johnston、「Hip Bone:Host Identity Protocol(HIP)オーバーレイネットワーキング環境」、進行中の作業、2010年6月。
[P2PSIP-BASE] Jennings, C., Lowekamp, B., Ed., Rescorla, E., Baset, S., and H. Schulzrinne, "REsource LOcation And Discovery (RELOAD) Base Protocol", Work in Progress, March 2010.
[P2PSIP-Base] Jennings、C.、Lowekamp、B.、Ed。、Rescorla、E.、Baset、S.、およびH. Schulzrinne、「リソースの場所と発見(リロード)ベースプロトコル」、進行中の作業、3月2010年。
Authors' Addresses
著者のアドレス
Gonzalo Camarillo Ericsson Hirsalantie 11 02420 Jorvas Finland
ゴンザロ・カマリロ・エリクソン・ヒルサランティ11 02420ヨルヴァス・フィンランド
EMail: Gonzalo.Camarillo@ericsson.com
Ari Keranen Ericsson Hirsalantie 11 02420 Jorvas Finland
Ari Keranen Ericsson Hirsalantie 11 02420 Jorvas Finland
EMail: Ari.Keranen@ericsson.com