[要約] RFC 7416は、低消費電力および損失のあるネットワーク(RPL)のためのルーティングプロトコルのセキュリティ脅威分析に関するものです。このRFCの目的は、RPLプロトコルのセキュリティ上の脆弱性を特定し、対策を提案することです。

Internet Engineering Task Force (IETF)                           T. Tsao
Request for Comments: 7416                                  R. Alexander
Category: Informational            Eaton's Cooper Power Systems Business
ISSN: 2070-1721                                                M. Dohler
                                                                    CTTC
                                                                 V. Daza
                                                               A. Lozano
                                                Universitat Pompeu Fabra
                                                      M. Richardson, Ed.
                                                Sandelman Software Works
                                                            January 2015
        

A Security Threat Analysis for the Routing Protocol for Low-Power and Lossy Networks (RPLs)

低電力および損失の多いネットワーク(RPL)のルーティングプロトコルのセキュリティ脅威分析

Abstract

概要

This document presents a security threat analysis for the Routing Protocol for Low-Power and Lossy Networks (RPLs). The development builds upon previous work on routing security and adapts the assessments to the issues and constraints specific to low-power and lossy networks. A systematic approach is used in defining and evaluating the security threats. Applicable countermeasures are application specific and are addressed in relevant applicability statements.

このドキュメントでは、低電力および損失の多いネットワーク(RPL)のルーティングプロトコルのセキュリティ脅威分析について説明します。開発はルーティングセキュリティに関する以前の作業に基づいて構築され、評価を低電力および損失の多いネットワークに固有の問題と制約に適合させます。セキュリティ上の脅威の定義と評価には、体系的なアプローチが使用されます。適用可能な対策はアプリケーション固有であり、関連する適用性ステートメントで対処されます。

Status of This Memo

本文書の状態

This document is not an Internet Standards Track specification; it is published for informational purposes.

このドキュメントはInternet Standards Trackの仕様ではありません。情報提供を目的として公開されています。

This document is a product of the Internet Engineering Task Force (IETF). It represents the consensus of the IETF community. It has received public review and has been approved for publication by the Internet Engineering Steering Group (IESG). Not all documents approved by the IESG are a candidate for any level of Internet Standard; see Section 2 of RFC 5741.

このドキュメントは、IETF(Internet Engineering Task Force)の製品です。これは、IETFコミュニティのコンセンサスを表しています。公開レビューを受け、インターネットエンジニアリングステアリンググループ(IESG)による公開が承認されました。 IESGによって承認されたすべてのドキュメントが、あらゆるレベルのインターネット標準の候補になるわけではありません。 RFC 5741のセクション2をご覧ください。

Information about the current status of this document, any errata, and how to provide feedback on it may be obtained at http://www.rfc-editor.org/info/rfc7416.

このドキュメントの現在のステータス、正誤表、およびフィードバックの提供方法に関する情報は、http://www.rfc-editor.org/info/rfc7416で入手できます。

Copyright Notice

著作権表示

Copyright (c) 2015 IETF Trust and the persons identified as the document authors. All rights reserved.

Copyright(c)2015 IETF Trustおよびドキュメントの作成者として識別された人物。全著作権所有。

This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents (http://trustee.ietf.org/license-info) in effect on the date of publication of this document. Please review these documents carefully, as they describe your rights and restrictions with respect to this document. Code Components extracted from this document must include Simplified BSD License text as described in Section 4.e of the Trust Legal Provisions and are provided without warranty as described in the Simplified BSD License.

この文書は、BCP 78およびIETF文書に関するIETFトラストの法的規定(http://trustee.ietf.org/license-info)の対象であり、この文書の発行日に有効です。これらのドキュメントは、このドキュメントに関するあなたの権利と制限を説明しているため、注意深く確認してください。このドキュメントから抽出されたコードコンポーネントには、Trust Legal Provisionsのセクション4.eに記載されているSimplified BSD Licenseテキストが含まれている必要があり、Simplified BSD Licenseに記載されているように保証なしで提供されます。

Table of Contents

目次

   1.  Introduction  . . . . . . . . . . . . . . . . . . . . . . . .   3
   2.  Relationship to Other Documents . . . . . . . . . . . . . . .   4
   3.  Terminology . . . . . . . . . . . . . . . . . . . . . . . . .   5
   4.  Considerations on RPL Security  . . . . . . . . . . . . . . .   5
     4.1.  Routing Assets and Points of Access . . . . . . . . . . .   6
     4.2.  The ISO 7498-2 Security Reference Model . . . . . . . . .   8
     4.3.  Issues Specific to or Amplified in LLNs . . . . . . . . .  10
     4.4.  RPL Security Objectives . . . . . . . . . . . . . . . . .  12
   5.  Threat Sources  . . . . . . . . . . . . . . . . . . . . . . .  13
   6.  Threats and Attacks . . . . . . . . . . . . . . . . . . . . .  13
     6.1.  Threats Due to Failures to Authenticate . . . . . . . . .  14
       6.1.1.  Node Impersonation  . . . . . . . . . . . . . . . . .  14
       6.1.2.  Dummy Node  . . . . . . . . . . . . . . . . . . . . .  14
       6.1.3.  Node Resource Spam  . . . . . . . . . . . . . . . . .  15
     6.2.  Threats Due to Failure to Keep Routing Information
           Confidential  . . . . . . . . . . . . . . . . . . . . . .  15
       6.2.1.  Routing Exchange Exposure . . . . . . . . . . . . . .  15
       6.2.2.  Routing Information (Routes and Network Topology)
               Exposure  . . . . . . . . . . . . . . . . . . . . . .  15
     6.3.  Threats and Attacks on Integrity  . . . . . . . . . . . .  16
       6.3.1.  Routing Information Manipulation  . . . . . . . . . .  16
       6.3.2.  Node Identity Misappropriation  . . . . . . . . . . .  17
     6.4.  Threats and Attacks on Availability . . . . . . . . . . .  18
       6.4.1.  Routing Exchange Interference or Disruption . . . . .  18
       6.4.2.  Network Traffic Forwarding Disruption . . . . . . . .  18
       6.4.3.  Communications Resource Disruption  . . . . . . . . .  20
       6.4.4.  Node Resource Exhaustion  . . . . . . . . . . . . . .  20
        
   7.  Countermeasures . . . . . . . . . . . . . . . . . . . . . . .  21
     7.1.  Confidentiality Attack Countermeasures  . . . . . . . . .  21
       7.1.1.  Countering Deliberate Exposure Attacks  . . . . . . .  21
       7.1.2.  Countering Passive Wiretapping Attacks  . . . . . . .  22
       7.1.3.  Countering Traffic Analysis . . . . . . . . . . . . .  22
       7.1.4.  Countering Remote Device Access Attacks . . . . . . .  23
     7.2.  Integrity Attack Countermeasures  . . . . . . . . . . . .  24
       7.2.1.  Countering Unauthorized Modification Attacks  . . . .  24
       7.2.2.  Countering Overclaiming and Misclaiming Attacks . . .  24
       7.2.3.  Countering Identity (including Sybil) Attacks . . . .  25
       7.2.4.  Countering Routing Information Replay Attacks . . . .  25
       7.2.5.  Countering Byzantine Routing Information Attacks  . .  26
     7.3.  Availability Attack Countermeasures . . . . . . . . . . .  26
       7.3.1.  Countering HELLO Flood Attacks and ACK Spoofing
               Attacks . . . . . . . . . . . . . . . . . . . . . . .  27
       7.3.2.  Countering Overload Attacks . . . . . . . . . . . . .  27
       7.3.3.  Countering Selective Forwarding Attacks . . . . . . .  29
       7.3.4.  Countering Sinkhole Attacks . . . . . . . . . . . . .  29
       7.3.5.  Countering Wormhole Attacks . . . . . . . . . . . . .  30
   8.  RPL Security Features . . . . . . . . . . . . . . . . . . . .  31
     8.1.  Confidentiality Features  . . . . . . . . . . . . . . . .  32
     8.2.  Integrity Features  . . . . . . . . . . . . . . . . . . .  32
     8.3.  Availability Features . . . . . . . . . . . . . . . . . .  33
     8.4.  Key Management  . . . . . . . . . . . . . . . . . . . . .  34
   9.  Security Considerations . . . . . . . . . . . . . . . . . . .  34
   10. References  . . . . . . . . . . . . . . . . . . . . . . . . .  34
     10.1.  Normative References . . . . . . . . . . . . . . . . . .  34
     10.2.  Informative References . . . . . . . . . . . . . . . . .  35
   Acknowledgments  . . . . . .  . . . . . . . . . . . . . . . . . .  39
   Authors' Addresses  . . . . . . . . . . . . . . . . . . . . . . .  40
        
1. Introduction
1. はじめに

In recent times, networked electronic devices have found an increasing number of applications in various fields. Yet, for reasons ranging from operational application to economics, these wired and wireless devices are often supplied with minimum physical resources; the constraints include those on computational resources (RAM, clock speed, and storage) and communication resources (duty cycle, packet size, etc.) but also form factors that may rule out user-access interfaces (e.g., the housing of a small stick-on switch) or simply safety considerations (e.g., with gas meters). As a consequence, the resulting networks are more prone to loss of traffic and other vulnerabilities. The proliferation of these Low-Power and Lossy Networks (LLNs), however, are drawing efforts to examine and address their potential networking challenges. Securing the establishment and maintenance of network connectivity among these deployed devices becomes one of these key challenges.

近年、ネットワーク化された電子機器は、さまざまな分野でますます多くのアプリケーションを発見しています。しかし、運用アプリケーションから経済性に至るまでの理由により、これらの有線および無線デバイスには、多くの場合、最小限の物理リソースが提供されます。制約には、計算リソース(RAM、クロック速度、およびストレージ)および通信リソース(デューティサイクル、パケットサイズなど)に関する制約が含まれますが、ユーザーアクセスインターフェイス(例:小さなスティックのハウジング)を除外する可能性があるフォームファクターも含まれます。スイッチオン)または単に安全上の考慮事項(例:ガスメーター)。結果として、結果として得られるネットワークは、トラフィックの損失やその他の脆弱性が発生しやすくなります。ただし、これらの低電力および損失の多いネットワーク(LLN)の急増により、潜在的なネットワークの課題を調査して対処するための取り組みが進んでいます。これらの展開されたデバイス間のネットワーク接続の確立と維持を保護することは、これらの重要な課題の1つになります。

This document presents a threat analysis for securing the Routing Protocol for LLNs (RPL). The process requires two steps. First, the analysis will be used to identify pertinent security issues. The second step is to identify necessary countermeasures to secure RPL. As there are multiple ways to solve the problem and the specific trade-offs are deployment specific, the specific countermeasure to be used is detailed in applicability statements.

このドキュメントでは、LLN(RPL)のルーティングプロトコルを保護するための脅威分析について説明します。このプロセスには2つのステップが必要です。まず、分析を使用して、関連するセキュリティ問題を特定します。次に、RPLを確保するために必要な対策を特定します。問題を解決するには複数の方法があり、特定のトレードオフは展開に固有であるため、使用される特定の対策は適用性ステートメントに詳述されています。

This document uses a model based on [ISO.7498-2.1989], which describes authentication, access control, data confidentiality, data integrity, and non-repudiation security services. This document expands the model to include the concept of availability. As explained below, non-repudiation does not apply to routing protocols.

このドキュメントでは、[ISO.7498-2.1989]に基づくモデルを使用しており、認証、アクセス制御、データの機密性、データの整合性、否認防止のセキュリティサービスについて説明しています。このドキュメントでは、可用性の概念を含むようにモデルを拡張しています。以下で説明するように、否認防止はルーティングプロトコルには適用されません。

Many of the issues in this document were also covered in the IAB Smart Object Workshop [RFC6574] and the IAB Smart Object Security Workshop [RFC7397].

このドキュメントの問題の多くは、IABスマートオブジェクトワークショップ[RFC6574]とIABスマートオブジェクトセキュリティワークショップ[RFC7397]でも取り上げられました。

This document concerns itself with securing the control-plane traffic. As such, it does not address authorization or authentication of application traffic. RPL uses multicast as part of its protocol; therefore, mechanisms that RPL uses to secure this traffic might also be applicable to the Multicast Protocol for Low-Power and Lossy Networks (MPL) control traffic as well: the important part is that the threats are similar.

このドキュメントは、コントロールプレーントラフィックの保護に関するものです。そのため、アプリケーショントラフィックの許可や認証は扱いません。 RPLはプロトコルの一部としてマルチキャストを使用します。したがって、RPLがこのトラフィックを保護するために使用するメカニズムは、低電力および損失の多いネットワーク(MPL)制御トラフィックのマルチキャストプロトコルにも適用できる場合があります。重要な部分は、脅威が類似していることです。

2. Relationship to Other Documents
2. 他のドキュメントとの関係

Routing Over Low-Power and Lossy (ROLL) networks has specified a set of routing protocols for LLNs [RFC6550]. A number of applicability texts describe a subset of these protocols and the conditions that make the subset the correct choice. The text recommends and motivates the accompanying parameter value ranges. Multiple applicability domains are recognized, including Building and Home and Advanced Metering Infrastructure. The applicability domains distinguish themselves in the way they are operated, by their performance requirements, and by the most probable network structures. Each applicability statement identifies the distinguishing properties according to a common set of subjects described in as many sections.

低電力および損失の多い(ROLL)ネットワーク経由のルーティングでは、LLNの一連のルーティングプロトコルを指定しています[RFC6550]。いくつかの適用性に関するテキストは、これらのプロトコルのサブセットと、サブセットを正しい選択にする条件を説明しています。テキストは、付随するパラメーター値の範囲を推奨し、動機付けます。建物と住宅、高度な計測インフラストラクチャなど、複数の適用範囲が認識されています。適用性ドメインは、動作方法、パフォーマンス要件、および最も可能性の高いネットワーク構造によって区別されます。各適用性ステートメントは、多くのセクションで説明されている共通の主題のセットに従って、区別する特性を識別します。

The common set of security threats herein are referred to by the applicability statements, and that series of documents describes the preferred security settings and solutions within the applicability statement conditions. This applicability statement may recommend more lightweight security solutions and specify the conditions under which these solutions are appropriate.

ここでのセキュリティの脅威の一般的なセットは、適用性の声明によって参照され、その一連のドキュメントは、適用性の声明の条件内での好ましいセキュリティ設定とソリューションを説明しています。この適用性ステートメントでは、より軽量なセキュリティソリューションを推奨し、これらのソリューションが適切である条件を指定する場合があります。

3. Terminology
3. 用語

This document adopts the terminology defined in [RFC6550], [RFC4949], and [RFC7102].

このドキュメントは、[RFC6550]、[RFC4949]、および[RFC7102]で定義された用語を採用しています。

The terms "control plane" and "forwarding plane" are used in a manner consistent with Section 1 of [RFC6192].

「コントロールプレーン」と「フォワーディングプレーン」という用語は、[RFC6192]のセクション1と同じ方法で使用されます。

The term "Destination-Oriented DAG (DODAG)" is from [RFC6550].

「Destination-Oriented DAG(DODAG)」という用語は、[RFC6550]に由来します。

Extensible Authentication Protocol - Transport Layer Security (EAP-TLS) is defined in [RFC5216].

拡張認証プロトコル-トランスポート層セキュリティ(EAP-TLS)は[RFC5216]で定義されています。

The Protocol for Carrying Authentication for Network Access (PANA) is defined in [RFC5191].

ネットワークアクセスの認証を運ぶためのプロトコル(PANA)は、[RFC5191]で定義されています。

Counter with CBC-MAC (CCM) mode is defined in [RFC3610].

CBC-MAC(CCM)モードのカウンターは[RFC3610]で定義されています。

The term "sleepy node", introduced in [RFC7102], refers to a node that may sometimes go into a low-power state, suspending protocol communications.

[RFC7102]で導入された「スリーピーノード」という用語は、低電力状態になり、プロトコル通信を一時停止する可能性があるノードを指します。

The terms Service Set Identifier (SSID), Extended Service Set Identifier (ESSID), and Personal Area Network (PAN) refer to network identifiers, defined in [IEEE.802.11] and [IEEE.802.15.4].

サービスセット識別子(SSID)、拡張サービスセット識別子(ESSID)、およびパーソナルエリアネットワーク(PAN)は、[IEEE.802.11]および[IEEE.802.15.4]で定義されているネットワーク識別子を指します。

Although this is not a protocol specification, the key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "NOT RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in [RFC2119] in order to clarify and emphasize the guidance and directions to implementers and deployers of LLN nodes that utilize RPL.

これはプロトコル仕様ではありませんが、キーワード「MUST」、「MUST NOT」、「REQUIRED」、「SHALL」、「SHALL NOT」、「SHOULD」、「SHOULD NOT」、「RECOMMENDED」、「NOT RECOMMENDED」 、「MAY」、および「OPTIONAL」は、RPLを利用するLLNノードの実装者と展開者へのガイダンスと指示を明確にし、強調するために、[RFC2119]で説明されているように解釈されます。

4. Considerations on RPL Security
4. RPLセキュリティに関する考慮事項

Routing security, in essence, ensures that the routing protocol operates correctly. It entails implementing measures to ensure controlled state changes on devices and network elements, both based on external inputs (received via communications) or internal inputs (physical security of the device itself and parameters maintained by the device, including, e.g., clock). State changes would thereby involve not only authorization of the injector's actions, authentication of injectors, and potentially confidentiality of routing data, but also proper order of state changes through timeliness, since seriously delayed state changes, such as commands or updates of routing tables, may negatively impact system operation. A security assessment can, therefore, begin with a focus on the assets [RFC4949] that may be the target of the state changes and the access points in terms of interfaces and protocol exchanges through which such changes may occur. In the case of routing security, the focus is directed towards the elements associated with the establishment and maintenance of network connectivity.

ルーティングセキュリティは、本質的に、ルーティングプロトコルが正しく動作することを保証します。これには、外部入力(通信を介して受信)または内部入力(デバイス自体の物理的セキュリティと、クロックなどのデバイスによって維持されるパラメーター)の両方に基づいて、デバイスとネットワーク要素の状態変化を確実に制御するための対策の実装が含まれます。したがって、状態の変更には、インジェクターのアクションの承認、インジェクターの認証、ルーティングデータの機密性の可能性だけでなく、コマンドやルーティングテーブルの更新などの状態変更が大幅に遅れるため、適時の状態変更の適切な順序も含まれます。システムの運用に悪影響を及ぼします。したがって、セキュリティ評価は、状態の変更のターゲットとなる可能性のある資産[RFC4949]と、そのような変更が発生する可能性のあるインターフェースおよびプロトコル交換の観点からのアクセスポイントに焦点を当てることから始めることができます。ルーティングセキュリティの場合、ネットワーク接続の確立と維持に関連する要素に重点が置かれます。

This section sets the stage for the development of the analysis by applying the systematic approach proposed in [Myagmar2005] to the routing security, while also drawing references from other reviews and assessments found in the literature, particularly [RFC4593] and [Karlof2003] (i.e., selective forwarding, wormhole, and sinkhole attacks). The subsequent subsections begin with a focus on the elements of a generic routing process that is used to establish routing assets and points of access to the routing functionality. Next, the security model based on [ISO.7498-2.1989] is briefly described. Then, consideration is given to issues specific to or amplified in LLNs. This section concludes with the formulation of a set of security objectives for RPL.

このセクションは、[Myagmar2005]で提案された体系的なアプローチをルーティングセキュリティに適用することにより、分析の開発の段階を設定すると同時に、文献、特に[RFC4593]と[Karlof2003]にある他のレビューと評価からの参照も引き出します(つまり、選択転送、ワームホール、シンクホール攻撃など)。以降のサブセクションでは、ルーティングアセットを確立するために使用される一般的なルーティングプロセスの要素とルーティング機能へのアクセスポイントに焦点を当てて開始します。次に、[ISO.7498-2.1989]に基づくセキュリティモデルについて簡単に説明します。次に、LLNに固有の問題やLLNで増幅される問題について検討します。このセクションは、RPLの一連のセキュリティ対策方針の策定で終わります。

4.1. Routing Assets and Points of Access
4.1. ルーティングアセットとアクセスポイント

An asset is an important system resource (including information, process, or physical resource); the access to and corruption or loss of an asset adversely affects the system. In the control-plane context, an asset is information about the network, processes used to manage and manipulate this data, and the physical devices on which this data is stored and manipulated. The corruption or loss of these assets may adversely impact the control plane of the network. Within the same context, a point of access is an interface or protocol that facilitates interaction between control-plane assets. Identifying these assets and points of access will provide a basis for enumerating the attack surface of the control plane.

資産は重要なシステムリソース(情報、プロセス、または物理リソースを含む)です。資産へのアクセスおよび資産の破損または損失は、システムに悪影響を及ぼします。コントロールプレーンのコンテキストでは、資産とは、ネットワーク、このデータの管理と操作に使用されるプロセス、およびこのデータが格納および操作される物理デバイスに関する情報です。これらの資産の破損または損失は、ネットワークのコントロールプレーンに悪影響を与える可能性があります。同じコンテキスト内で、アクセスポイントは、コントロールプレーンアセット間の相互作用を容易にするインターフェイスまたはプロトコルです。これらの資産とアクセスポイントを特定することで、コントロールプレーンの攻撃面を列挙するための基礎が提供されます。

A level-0 data flow diagram [Yourdon1979] is used here to identify the assets and points of access within a generic routing process. The use of a data flow diagram allows for a clear and concise model of the way in which routing nodes interact and process information; hence, it provides a context for threats and attacks. The goal of the model is to be as detailed as possible so that corresponding assets, points of access, and processes in an individual routing protocol can be readily identified.

ここでは、レベル0データフロー図[Yourdon1979]を使用して、一般的なルーティングプロセス内のアセットとアクセスポイントを特定します。データフロー図を使用すると、ルーティングノードが対話して情報を処理する方法を明確かつ簡潔にモデル化できます。したがって、脅威と攻撃のコンテキストを提供します。モデルの目標は、個々のルーティングプロトコルの対応するアセット、アクセスポイント、およびプロセスを簡単に識別できるように、できるだけ詳細にすることです。

Figure 1 shows that nodes participating in the routing process transmit messages to discover neighbors and to exchange routing information; routes are then generated and stored, which may be maintained in the form of the protocol forwarding table. The nodes use the derived routes for making forwarding decisions.

図1は、ルーティングプロセスに参加しているノードがメッセージを送信して、ネイバーを発見し、ルーティング情報を交換することを示しています。次に、ルートが生成および保存されます。これは、プロトコル転送テーブルの形式で維持できます。ノードは、転送の決定を行うために派生ルートを使用します。

                    ...................................................
                    :                                                 :
                    :                                                 :
        |Node_i|<------->(Routing Neighbor       _________________    :
                    :     Discovery)------------>Neighbor Topology    :
                    :                            -------+---------    :
                    :                                   |             :
        |Node_j|<------->(Route/Topology       +--------+             :
                    :     Exchange)            |                      :
                    :           |              V            ______    :
                    :           +---->(Route Generation)--->Routes    :
                    :                                       ---+--    :
                    :                                          |      :
                    : Routing on Node_k                        |      :
                    ...................................................
                                                               |
        |Forwarding                                            |
        |on Node_l|<-------------------------------------------+
        

Notation:

表記:

(Proc) A process Proc

(手順)プロセス手順

   ________
   topology   A structure storing neighbor adjacency (parent/child)
   --------
   ________
    routes    A structure storing the forwarding information base (FIB)
   --------
        

|Node_n| An external entity Node_n

| Node_n |外部エンティティNode_n

   ------->   Data flow
        

Figure 1: Data Flow Diagram of a Generic Routing Process

図1:一般的なルーティングプロセスのデータフロー図

Figure 1 shows the following:

図1は以下を示しています。

o Assets include

o 資産には

* routing and/or topology information;

* ルーティングおよび/またはトポロジー情報。

* route generation process;

* ルート生成プロセス;

* communication channel resources (bandwidth);

* 通信チャネルリソース(帯域幅);

* node resources (computing capacity, memory, and remaining energy); and

* ノードのリソース(計算能力、メモリ、および残りのエネルギー);そして

* node identifiers (including node identity and ascribed attributes such as relative or absolute node location).

* ノード識別子(ノードのIDと、相対または絶対ノードの場所などの属性)。

o Points of access include

o アクセスポイントには、

* neighbor discovery;

* 隣人発見;

* route/topology exchange; and

* ルート/トポロジー交換;そして

* node physical interfaces (including access to data storage).

* ノードの物理インターフェイス(データストレージへのアクセスを含む)。

A focus on the above list of assets and points of access enables a more directed assessment of routing security; for example, it is readily understood that some routing attacks are in the form of attempts to misrepresent routing topology. Indeed, the intention of the security threat analysis is to be comprehensive. Hence, some of the discussion that follows is associated with assets and points of access that are not directly related to routing protocol design but are nonetheless provided for reference since they do have direct consequences on the security of routing.

上記の資産とアクセスポイントのリストに重点を置くと、ルーティングセキュリティのより直接的な評価が可能になります。たとえば、一部のルーティング攻撃はルーティングトポロジを偽装する試みの形をしていることが容易に理解されます。実際、セキュリティ脅威分析の目的は包括的であることです。したがって、以下の説明の一部は、ルーティングプロトコルの設計に直接関連しないアセットとアクセスポイントに関連していますが、ルーティングのセキュリティに直接的な影響があるため、参照用に提供されています。

4.2. The ISO 7498-2 Security Reference Model
4.2. ISO 7498-2セキュリティ参照モデル

At the conceptual level, security within an information system, in general, and applied to RPL in particular is concerned with the primary issues of authentication, access control, data confidentiality, data integrity, and non-repudiation. In the context of RPL:

概念レベルでは、一般に情報システム内のセキュリティ、特にRPLに適用されるセキュリティは、認証、アクセス制御、データの機密性、データの整合性、否認防止の主要な問題に関係しています。 RPLのコンテキストでは:

Authentication Authentication involves the mutual authentication of the routing peers prior to exchanging route information (i.e., peer authentication) as well as ensuring that the source of the route data is from the peer (i.e., data origin authentication). LLNs can be drained by unauthenticated peers before configuration per [RFC5548]. Availability of open and untrusted side channels for new joiners is required by [RFC5673], and strong and automated authentication is required so that networks can automatically accept or reject new joiners.

認証認証には、ルート情報を交換する前のルーティングピアの相互認証(つまり、ピア認証)と、ルートデータのソースがピアからのものであることを保証する(つまり、データ発信元認証)が含まれます。 [RFC5548]による構成の前に、認証されていないピアによってLLNを排出できます。 [RFC5673]では、新しい参加者に対してオープンで信頼できないサイドチャネルを利用できる必要があり、ネットワークが新しい参加者を自動的に受け入れまたは拒否できるように、強力で自動化された認証が必要です。

Access Control Access Control provides protection against unauthorized use of the asset and deals with the authorization of a node.

アクセス制御アクセス制御は、資産の不正使用に対する保護を提供し、ノードの許可を処理します。

Confidentiality Confidentiality involves the protection of routing information as well as routing neighbor maintenance exchanges so that only authorized and intended network entities may view or access it. Because LLNs are most commonly found on a publicly accessible shared medium, e.g., air or wiring in a building, and are sometimes formed ad hoc, confidentiality also extends to the neighbor state and database information within the routing device since the deployment of the network creates the potential for unauthorized access to the physical devices themselves.

機密性機密性には、ルーティング情報の保護と近隣のメンテナンス交換のルーティングが含まれるため、許可された意図されたネットワークエンティティのみが情報を表示またはアクセスできます。 LLNは最も一般的にアクセス可能な共有メディア(建物内の空気や配線など)にあり、アドホックに形成されることもあるので、ネットワークの導入により、機密性はルーティングデバイス内のネイバーステートとデータベース情報にも及ぶ物理デバイス自体への不正アクセスの可能性。

Integrity Integrity entails the protection of routing information and routing neighbor maintenance exchanges, as well as derived information maintained in the database, from unauthorized modifications, insertions, deletions, or replays to be addressed beyond the routing protocol.

Integrity Integrityは、ルーティング情報とルーティングネイバーメンテナンス交換の保護、およびルーティングプロトコルを超えて対処される不正な変更、挿入、削除、またはリプレイからのデータベースで維持される派生情報の保護を伴います。

Non-repudiation Non-repudiation is the assurance that the transmission and/or reception of a message cannot later be denied. The service of non-repudiation applies after the fact; thus, it relies on the logging or other capture of ongoing message exchanges and signatures. Routing protocols typically do not have a notion of repudiation, so non-repudiation services are not required. Further, with the LLN application domains as described in [RFC5867] and [RFC5548], proactive measures are much more critical than retrospective protections. Finally, given the significant practical limits to ongoing routing transaction logging and storage and individual device digital signature verification for each exchange, non-repudiation in the context of routing is an unsupportable burden that bears no further consideration as an RPL security issue.

否認防止否認防止とは、メッセージの送信または受信、あるいはその両方を後で拒否できないことを保証することです。否認防止のサービスは、事後に適用されます。したがって、それは、進行中のメッセージ交換と署名のロギングまたはその他のキャプチャに依存しています。ルーティングプロトコルには通常、否認防止の概念がないため、否認防止サービスは必要ありません。さらに、[RFC5867]と[RFC5548]で説明されているLLNアプリケーションドメインでは、予防的対策は遡及的保護よりもはるかに重要です。最後に、進行中のルーティングトランザクションロギングとストレージ、および各交換の個々のデバイスのデジタル署名の検証に対する実質的な実用的な制限があるため、ルーティングのコンテキストでの否認防止はサポートできない負担であり、RPLセキュリティ問題としてこれ以上考慮しません。

It is recognized that, besides those security issues captured in the ISO 7498-2 model, availability is a security requirement:

ISO 7498-2モデルでキャプチャされたセキュリティ問題に加えて、可用性はセキュリティ要件であることが認識されています。

Availability Availability ensures that routing information exchanges and forwarding services are available when they are required for the functioning of the serving network. Availability will apply to maintaining efficient and correct operation of routing and neighbor discovery exchanges (including needed information) and forwarding services so as not to impair or limit the network's central traffic flow function.

可用性可用性により、ルーティング情報の交換と転送サービスが、サービスを提供するネットワークの機能に必要なときに利用できるようになります。可用性は、ネットワークの中央トラフィックフロー機能を損なったり制限したりしないように、ルーティングおよびネイバー探索交換(必要な情報を含む)および転送サービスの効率的で正しい操作を維持するために適用されます。

It should be emphasized here that for RPL security, the above requirements must be complemented by the proper security policies and enforcement mechanisms to ensure that security objectives are met by a given RPL implementation.

ここで、RPLセキュリティの場合、上記の要件は、適切なセキュリティポリシーと適用メカニズムによって補完され、特定のRPL実装によってセキュリティ目標が確実に満たされるようにする必要があることを強調しておく必要があります。

4.3. Issues Specific to or Amplified in LLNs
4.3. LLNに固有の、またはLLNで増幅される問題

The requirements work detailed in Urban Requirements [RFC5548], Industrial Requirements [RFC5673], Home Automation [RFC5826], and Building Automation [RFC5867] have identified specific issues and constraints of routing in LLNs. The following is a list of observations from those requirements and evaluations of their impact on routing security considerations.

アーバン要件[RFC5548]、産業要件[RFC5673]、ホームオートメーション[RFC5826]、およびビルディングオートメーション[RFC5867]で詳述されている要件作業は、LLNでのルーティングの特定の問題と制約を識別しています。以下は、これらの要件の観察結果と、ルーティングセキュリティの考慮事項への影響の評価のリストです。

Limited energy, memory, and processing node resources As a consequence of these constraints, the need to evaluate the kinds of security that can be provided needs careful study. For instance, security provided at one level could be very memory efficient yet might also be very energy costly for the network (as a whole) if it requires significant effort to synchronize the security state. Synchronization of security states with sleepy nodes [RFC7102] is a complex issue. A non-rechargeable battery-powered node may well be limited in energy for it's lifetime: once exhausted, it may well never function again.

限られたエネルギー、メモリ、および処理ノードのリソースこれらの制約の結果として、提供できるセキュリティの種類を評価する必要性は、慎重に検討する必要があります。たとえば、1つのレベルで提供されるセキュリティは、メモリ効率が非常に高くなる可能性がありますが、セキュリティ状態を同期するために多大な労力を必要とする場合、ネットワーク全体として非常にエネルギーを消費する可能性もあります。セキュリティ状態とスリープ状態のノードの同期[RFC7102]は複雑な問題です。充電式ではない電池式のノードは、その寿命の間、エネルギーが十分に制限されている可能性があります。一度使い尽くされると、再び機能することはありません。

Large scale of rolled out network The possibly numerous nodes to be deployed make manual on-site configuration unlikely. For example, an urban deployment can see several hundreds of thousands of nodes being installed by many installers with a low level of expertise. Nodes may be installed and not activated for many years, and additional nodes may be added later on, which may be from old inventory. The lifetime of the network is measured in decades, and this complicates the operation of key management.

展開された大規模なネットワーク展開される可能性のある多数のノードによって、手動のオンサイト構成が行われる可能性は低くなります。たとえば、都市部の展開では、専門知識のレベルが低い多くのインストーラーによって数十万のノードがインストールされていることがわかります。ノードはインストールされ、何年もの間アクティブ化されない場合があります。また、古いインベントリからのノードが後で追加される場合があります。ネットワークの寿命は数十年で測定され、これはキー管理の操作を複雑にします。

Autonomous operations Self-forming and self-organizing are commonly prescribed requirements of LLNs. In other words, a routing protocol designed for LLNs needs to contain elements of ad hoc networking and, in most cases, cannot rely on manual configuration for initialization or local filtering rules. Network topology/ownership changes, partitioning or merging, and node replacement can all contribute to complicating the operations of key management.

自律操作自己形成と自己組織化は、LLNの一般的に規定された要件です。つまり、LLN用に設計されたルーティングプロトコルには、アドホックネットワーキングの要素を含める必要があり、ほとんどの場合、初期化またはローカルフィルタリングルールを手動で構成することはできません。ネットワークトポロジ/所有権の変更、パーティショニングまたはマージ、およびノー​​ドの交換はすべて、キー管理の操作を複雑にする一因となります。

Highly directional traffic Some types of LLNs see a high percentage of their total traffic traverse between the nodes and the LLN Border Routers (LBRs) where the LLNs connect to non-LLNs. The special routing status of and the greater volume of traffic near the LBRs have routing security consequences as a higher-valued attack target. In fact, when Point-to-MultiPoint (P2MP) and MultiPoint-to-Point (MP2P) traffic represents a majority of the traffic, routing attacks consisting of advertising incorrect preferred routes can cause serious damage.

指向性の高いトラフィック一部のタイプのLLNは、ノードとLLNが非LLNに接続するLLNボーダールーター(LBR)との間で全トラフィックの高い割合を通過します。 LBRの近くのトラフィックの特別なルーティングステータスおよび大量のトラフィックは、より価値の高い攻撃対象としてルーティングセキュリティに影響を与えます。実際、ポイントツーマルチポイント(P2MP)およびマルチポイントツーポイント(MP2P)トラフィックがトラフィックの大部分を占める場合、不適切な優先ルートのアドバタイズで構成されるルーティング攻撃が深刻な損害を引き起こす可能性があります。

While it might seem that nodes higher up in the acyclic graph (i.e., those with lower rank) should be secured in a stronger fashion, it is not, in general, easy to predict which nodes will occupy those positions until after deployment. Issues of redundancy and inventory control suggest that any node might wind up in such a sensitive attack position, so all nodes are to be capable of being fully secured.

非循環グラフの上位にあるノード(つまり、ランクが低いノード)はより強力な方法で保護する必要があるように思われるかもしれませんが、展開後まで、どのノードがそれらの位置を占めるかを予測することは一般に簡単ではありません。冗長性とインベントリ制御の問題は、どのノードもこのような機密の攻撃位置に巻き込まれる可能性があることを示唆しているため、すべてのノードは完全に保護されることができます。

In addition, even if it were possible to predict which nodes will occupy positions of lower rank and provision them with stronger security mechanisms, in the absence of a strong authorization model, any node could advertise an incorrect preferred route.

さらに、どのノードがより低いランクの位置を占めるかを予測して、より強力なセキュリティメカニズムをプロビジョニングすることができたとしても、強力な承認モデルがないと、どのノードも誤った優先ルートをアドバタイズする可能性があります。

Unattended locations and limited physical security In many applications, the nodes are deployed in unattended or remote locations; furthermore, the nodes themselves are often built with minimal physical protection. These constraints lower the barrier of accessing the data or security material stored on the nodes through physical means.

無人の場所と制限された物理的セキュリティ多くのアプリケーションでは、ノードは無人の場所またはリモートの場所に展開されます。さらに、ノード自体は多くの場合、最小限の物理的保護で構築されます。これらの制約により、物理的手段を介してノードに保存されているデータまたはセキュリティ資料にアクセスする際の障壁が低くなります。

Support for mobility On the one hand, only a limited number of applications require the support of mobile nodes, e.g., a home LLN that includes nodes on wearable health care devices or an industry LLN that includes nodes on cranes and vehicles. On the other hand, if a routing protocol is indeed used in such applications, it will clearly need to have corresponding security mechanisms.

モビリティのサポート一方で、限られた数のアプリケーションのみがモバイルノードのサポートを必要とします。たとえば、ウェアラブルヘルスケアデバイスのノードを含むホームLLNや、クレーンや車両のノードを含む業界LLNなどです。一方、そのようなアプリケーションで実際にルーティングプロトコルが使用されている場合は、対応するセキュリティメカニズムが必要になります。

Additionally, nodes may appear to move from one side of a wall to another without any actual motion involved, which is the result of changes to electromagnetic properties, such as the opening and closing of a metal door.

さらに、金属製のドアの開閉などの電磁特性の変化の結果として、ノードが実際の動きを伴わずに壁の片側から別の側に移動するように見える場合があります。

Support for multicast and anycast Support for multicast and anycast is called out chiefly for large-scale networks. Since application of these routing mechanisms in autonomous operations of many nodes is new, the consequence on security requires careful consideration.

マルチキャストとエニーキャストのサポートマルチキャストとエニーキャストのサポートは、主に大規模ネットワークで呼び出されます。多くのノードの自律動作におけるこれらのルーティングメカニズムの適用は新しいため、セキュリティへの影響には注意深い考慮が必要です。

The above list considers how an LLN's physical constraints, size, operations, and variety of application areas may impact security. However, it is the combinations of these factors that particularly stress the security concerns. For instance, securing routing for a large number of autonomous devices that are left in unattended locations with limited physical security presents challenges that are not found in the common circumstance of administered networked routers. The following subsection sets up the security objectives for the routing protocol designed by the ROLL WG.

上記のリストは、LLNの物理的制約、サイズ、操作、およびさまざまなアプリケーション領域がセキュリティにどのように影響するかを考慮しています。ただし、特にセキュリティ上の懸念を強調するのは、これらの要因の組み合わせです。たとえば、物理的なセキュリティが制限された無人の場所に残された多数の自律デバイスのルーティングをセキュリティで保護することは、管理されたネットワークルーターの一般的な状況では見られない課題を提示します。次のサブセクションでは、ROLL WGによって設計されたルーティングプロトコルのセキュリティ対策方針を設定します。

4.4. RPL Security Objectives
4.4. RPLセキュリティ対策方針

This subsection applies the ISO 7498-2 model to routing assets and access points, taking into account the LLN issues, to develop a set of RPL security objectives.

このサブセクションでは、LLNの問題を考慮して、ルーティングアセットとアクセスポイントにISO 7498-2モデルを適用し、RPLセキュリティ目標のセットを開発します。

Since the fundamental function of a routing protocol is to build routes for forwarding packets, it is essential to ensure that:

ルーティングプロトコルの基本的な機能は、パケットを転送するためのルートを構築することであるため、次のことを確認することが不可欠です。

o routing/topology information integrity remains intact during transfer and in storage;

o ルーティング/トポロジー情報の整合性は、転送中および保管中にそのまま残ります。

o routing/topology information is used by authorized entities; and

o ルーティング/トポロジー情報は、許可されたエンティティによって使用されます。そして

o routing/topology information is available when needed.

o ルーティング/トポロジー情報は、必要なときに利用できます。

In conjunction, it is necessary to be assured that:

併せて、次のことを保証する必要があります。

o Authorized peers authenticate themselves during the routing neighbor discovery process.

o 許可されたピアは、ルーティングネイバー探索プロセス中に自身を認証します。

o The routing/topology information received is generated according to the protocol design.

o 受信したルーティング/トポロジー情報は、プロトコル設計に従って生成されます。

However, when trust cannot be fully vested through authentication of the principals alone, i.e., concerns of an insider attack, assurance of the truthfulness and timeliness of the received routing/topology information is necessary. With regard to confidentiality, protecting the routing/topology information from unauthorized exposure may be desirable in certain cases but is in itself less pertinent, in general, to the routing function.

ただし、プリンシパルの認証だけでは信頼を完全に確定できない場合、つまり、インサイダー攻撃の懸念がある場合は、受信したルーティング/トポロジ情報の真実性と適時性を保証する必要があります。機密性に関して、ルーティング/トポロジー情報を不正な露出から保護することが特定の場合に望ましい場合がありますが、それ自体は一般にルーティング機能にはあまり関係がありません。

One of the main problems of synchronizing security states of sleepy nodes, as listed in the last subsection, lies in difficulties in authentication; these nodes may not have received the most recent update of security material in time. Similarly, the issues of minimal manual configuration, prolonged rollout and delayed addition of nodes, and network topology changes also complicate key management. Hence, routing in LLNs needs to bootstrap the authentication process and allow for a flexible expiration scheme of authentication credentials.

前のサブセクションにリストされているように、スリープ状態のノードのセキュリティ状態を同期することの主な問題の1つは、認証の難しさにあります。これらのノードは、セキュリティ資料の最新の更新を時間内に受信していない可能性があります。同様に、最小限の手動構成、ノードの追加の延期と遅延の追加、およびネットワークトポロジの変更の問題も、キー管理を複雑にします。したがって、LLNでのルーティングでは、認証プロセスをブートストラップし、認証資格情報の柔軟な有効期限スキームを可能にする必要があります。

The vulnerability brought forth by some special-function nodes, e.g., LBRs, requires the assurance, particularly in a security context, of the following:

LBRなどの一部の特殊機能ノードによって引き起こされる脆弱性は、特にセキュリティコンテキストにおいて、以下の保証が必要です。

o The availability of communication channels and node resources.

o 通信チャネルとノードリソースの可用性。

o The neighbor discovery process operates without undermining routing availability.

o ネイバー探索プロセスは、ルーティングの可用性を損なうことなく動作します。

There are other factors that are not part of RPL but directly affect its function. These factors include a weaker barrier of accessing the data or security material stored on the nodes through physical means; therefore, the internal and external interfaces of a node need to be adequate for guarding the integrity, and possibly the confidentiality, of stored information, as well as the integrity of routing and route generation processes.

RPLの一部ではないが、その機能に直接影響する他の要因があります。これらの要因には、物理​​的手段を介してノードに保存されているデータまたはセキュリティ資料にアクセスするためのより弱い障壁が含まれます。したがって、ノードの内部および外部インターフェースは、格納された情報の完全性、および場合によっては機密性、ならびにルーティングおよびルート生成プロセスの完全性を保護するために適切である必要があります。

Each individual system's use and environment will dictate how the above objectives are applied, including the choices of security services as well as the strengths of the mechanisms that must be implemented. The next two sections take a closer look at how the RPL security objectives may be compromised and how those potential compromises can be countered.

個々のシステムの使用と環境によって、セキュリティサービスの選択や実装する必要のあるメカニズムの長所など、上記の目的がどのように適用されるかが決まります。次の2つのセクションでは、RPLのセキュリティ対策方針がどのように侵害される可能性があるか、およびこれらの潜在的な侵害にどのように対抗できるかについて詳しく説明します。

5. Threat Sources
5. 脅威源

[RFC4593] provides a detailed review of the threat sources: outsiders and Byzantine. RPL has the same threat sources.

[RFC4593]は、脅威の出所:部外者とビザンチンの詳細なレビューを提供します。 RPLには同じ脅威源があります。

6. Threats and Attacks
6. 脅威と攻撃

This section outlines general categories of threats under the ISO 7498-2 model and highlights the specific attacks in each of these categories for RPL. As defined in [RFC4949], a threat is "a potential for violation of security, which exists when there is a circumstance, capability, action, or event that could breach security and cause harm." Per [RFC3067], an attack is "an assault on system security that derives from an intelligent threat, i.e., an intelligent act that is a deliberate attempt (especially in the sense of a method or technique) to evade security services and violate the security policy of a system."

このセクションでは、ISO 7498-2モデルでの脅威の一般的なカテゴリについて概説し、RPLのこれらの各カテゴリにおける特定の攻撃を強調します。 [RFC4949]で定義されているように、脅威は「セキュリティ違反の可能性」であり、セキュリティに違反して危害を及ぼす可能性のある状況、機能、アクション、またはイベントがある場合に発生します。 [RFC3067]によると、攻撃は「システムのセキュリティへの攻撃であり、インテリジェントな脅威、つまり、セキュリティサービスを回避してセキュリティに違反する意図的な試み(特に、方法または手法の意味で)であるインテリジェントな行為です。システムの方針。」

The subsequent subsections consider the threats and the attacks that can cause security breaches under the ISO 7498-2 model to the routing assets and via the routing points of access identified in Section 4.1. The assessment reviews the security concerns of each routing asset and looks at the attacks that can exploit routing points of access. The threats and attacks identified are based on the routing model analysis and associated review of the existing literature. The source of the attacks is assumed to be from either inside or outside attackers. While some attackers inside the network will be using compromised nodes and, therefore, are only able to do what an ordinary node can ("node-equivalent"), other attacks may not be limited in memory, CPU, power consumption, or long-term storage. Moore's law favors the attacker with access to the latest capabilities, while the defenders will remain in place for years to decades.

以降のサブセクションでは、ISO 7498-2モデルの下でルーティングアセットに対して、およびセクション4.1で特定されたルーティングのアクセスポイントを介してセキュリティ違反を引き起こす可能性がある脅威と攻撃について検討します。評価では、各ルーティングアセットのセキュリティ上の懸念を検討し、ルーティングのアクセスポイントを悪用する可能性のある攻撃を調べます。識別された脅威と攻撃は、ルーティングモデル分析と既存の文献の関連レビューに基づいています。攻撃の発信元は、内部または外部の攻撃者からのものであると想定されています。ネットワーク内の一部の攻撃者は危険にさらされたノードを使用しているため、通常のノードで可能なことだけを実行できますが(「ノードと同等」)、他の攻撃はメモリ、CPU、電力消費、または長期保管。ムーアの法則は、攻撃者が最新の機能を利用できることを支持していますが、防御側は何年から何十年もの間留まります。

6.1. Threats Due to Failures to Authenticate
6.1. 認証失敗による脅威
6.1.1. Node Impersonation
6.1.1. ので いmぺrそなちおん

If an attacker can join a network using any identity, then it may be able to assume the role of a legitimate (and existing node). It may be able to report false readings (in metering applications) or provide inappropriate control messages (in control systems involving actuators) if the security of the application is implied by the security of the routing system.

攻撃者が任意のIDを使用してネットワークに参加できる場合、正当な(および既存のノードの)役割を担うことができる可能性があります。アプリケーションのセキュリティがルーティングシステムのセキュリティによって暗示されている場合、誤った読み取り値を報告したり(メータリングアプリケーションの場合)、不適切な制御メッセージ(アクチュエータを含む制御システムの場合)を提供したりできる場合があります。

Even in systems where there is application-layer security, the ability to impersonate a node would permit an attacker to direct traffic to itself. This may permit various on-path attacks that would otherwise be difficult, such as replaying, delaying, or duplicating (application) control messages.

アプリケーション層のセキュリティがあるシステムでも、ノードを偽装する機能により、攻撃者はトラフィックを自身に誘導することができます。これにより、(制御)メッセージの再生、遅延、複製(アプリケーション)など、他の方法では困難なパス上のさまざまな攻撃が可能になります。

6.1.2. Dummy Node
6.1.2. ダミーノード

If an attacker can join a network using any identify, then it can pretend to be a legitimate node, receiving any service legitimate nodes receive. It may also be able to report false readings (in metering applications), provide inappropriate authorizations (in control systems involving actuators), or perform any other attacks that are facilitated by being able to direct traffic towards itself.

攻撃者がIDを使用してネットワークに参加できる場合、正当なノードになりすまして、正当なノードが受信するサービスを受信する可能性があります。また、(測定アプリケーションで)誤った読み取り値を報告したり、(アクチュエーターを含む制御システムで)不適切な認証を提供したり、トラフィックを自分自身に向けることができる他の攻撃を実行したりする可能性もあります。

6.1.3. Node Resource Spam
6.1.3. ので れそうrせ Sぱm

If an attacker can join a network with any identity, then it can continuously do so with new (random) identities. This act may drain down the resources of the network (battery, RAM, bandwidth). This may cause legitimate nodes of the network to be unable to communicate.

攻撃者が任意のIDでネットワークに参加できる場合、攻撃者は新しい(ランダムな)IDで継続的に参加できます。この行為により、ネットワークのリソース(バッテリー、RAM、帯域幅)が消耗する可能性があります。これにより、ネットワークの正当なノードが通信できなくなる場合があります。

6.2. Threats Due to Failure to Keep Routing Information Confidential
6.2. ルーティング情報の機密保持に失敗したことによる脅威

The assessment in Section 4.2 indicates that there are attacks against the confidentiality of routing information at all points of access. This threat may result in disclosure, as described in Section 3.1.2 of [RFC4593], and may involve a disclosure of routing information.

セクション4.2の評価は、すべてのアクセスポイントでルーティング情報の機密性に対する攻撃があることを示しています。この脅威は、[RFC4593]のセクション3.1.2で説明されているように開示される可能性があり、ルーティング情報の開示が含まれる可能性があります。

6.2.1. Routing Exchange Exposure
6.2.1. Exchangeエクスポージャーのルーティング

Routing exchanges include both routing information as well as information associated with the establishment and maintenance of neighbor state information. As indicated in Section 4.1, the associated routing information assets may also include device-specific resource information, such as available memory, remaining power, etc., that may be metrics of the routing protocol.

ルーティング交換には、ルーティング情報と、ネイバーステート情報の確立および維持に関連する情報の両方が含まれます。セクション4.1に示すように、関連するルーティング情報資産には、利用可能なメモリ、残りの電力など、ルーティングプロトコルのメトリックスであるデバイス固有のリソース情報も含まれます。

The routing exchanges will contain reachability information, which would identify the relative importance of different nodes in the network. Nodes higher up in the DODAG, to which more streams of information flow, would be more interesting targets for other attacks, and routing exchange exposures could identify them.

ルーティング交換には、ネットワーク内のさまざまなノードの相対的な重要性を識別する到達性情報が含まれます。より多くの情報の流れが流れるDODAGの上位にあるノードは、他の攻撃のより興味深いターゲットであり、ルーティングエクスチェンジのエクスポージャーがそれらを識別できます。

6.2.2. Routing Information (Routes and Network Topology) Exposure
6.2.2. ルーティング情報(ルートとネットワークトポロジ)公開

Routes (which may be maintained in the form of the protocol forwarding table) and neighbor topology information are the products of the routing process that are stored within the node device databases.

ルート(プロトコル転送テーブルの形式で維持される場合があります)とネイバートポロジ情報は、ノードデバイスデータベース内に保存されるルーティングプロセスの結果です。

The exposure of this information will allow attackers to gain direct access to the configuration and connectivity of the network, thereby exposing routing to targeted attacks on key nodes or links. Since routes and neighbor topology information are stored within the node device, attacks on the confidentiality of the information will apply to the physical device, including specified and unspecified internal and external interfaces.

この情報が公開されると、攻撃者はネットワークの構成と接続に直接アクセスできるようになるため、主要なノードまたはリンクに対する標的型攻撃にルーティングが公開されます。ルートとネイバートポロジ情報はノードデバイス内に格納されるため、情報の機密性に対する攻撃は、指定された、または指定されていない内部および外部インターフェイスを含む物理デバイスに適用されます。

The forms of attack that allow unauthorized access or disclosure of the routing information will include:

不正なアクセスやルーティング情報の開示を可能にする攻撃の形態には、次のものがあります。

o Physical device compromise.

o 物理デバイスの侵害。

o Remote device access attacks (including those occurring through remote network management or software/field upgrade interfaces).

o リモートデバイスアクセス攻撃(リモートネットワーク管理またはソフトウェア/フィールドアップグレードインターフェイスを介して発生する攻撃を含む)。

Both of these attack vectors are considered a device-specific issue and are out of scope for RPL to defend against. In some applications, physical device compromise may be a real threat, and it may be necessary to provide for other devices to securely detect a compromised device and react quickly to exclude it.

これらの攻撃ベクトルはどちらもデバイス固有の問題と見なされており、RPLが防御する範囲外です。一部のアプリケーションでは、物理デバイスの侵害が実際の脅威であり、他のデバイスが侵害されたデバイスを安全に検出し、迅速に対応してそれを排除する必要がある場合があります。

6.3. Threats and Attacks on Integrity
6.3. 完全性に対する脅威と攻撃

The assessment in Section 4.2 indicates that information and identity assets are exposed to integrity threats from all points of access. In other words, the integrity threat space is defined by the potential for exploitation introduced by access to assets available through routing exchanges and the on-device storage.

セクション4.2の評価は、情報とID資産がすべてのアクセスポイントからの整合性の脅威にさらされていることを示しています。言い換えると、整合性脅威スペースは、ルーティング交換とデバイス上のストレージを介して利用可能なアセットへのアクセスによってもたらされる悪用の可能性によって定義されます。

6.3.1. Routing Information Manipulation
6.3.1. ルーティング情報の操作

Manipulation of routing information that ranges from neighbor states to derived routes will allow unauthorized sources to influence the operation and convergence of the routing protocols and ultimately impact the forwarding decisions made in the network.

ネイバーステートから派生ルートまでのルーティング情報を操作すると、不正な送信元がルーティングプロトコルの動作と収束に影響を与え、最終的にネットワークで行われる転送の決定に影響を与えることができます。

Manipulation of topology and reachability information will allow unauthorized sources to influence the nodes with which routing information is exchanged and updated. The consequence of manipulating routing exchanges can thus lead to suboptimality and fragmentation or partitioning of the network by restricting the universe of routers with which associations can be established and maintained.

トポロジと到達可能性の情報を操作することで、不正なソースがルーティング情報の交換と更新を行うノードに影響を与えることができます。したがって、ルーティング交換の操作の結果は、関連付けを確立および維持できるルーターの領域を制限することにより、ネットワークの最適性や断片化または分割につながる可能性があります。

A suboptimal network may use too much power and/or may congest some routes leading to premature failure of a node and a denial of service (DoS) on the entire network.

次善のネットワークは、電力を使いすぎたり、一部のルートを混雑させたりして、ノード全体の早期障害やネットワーク全体でのサービス拒否(DoS)につながる可能性があります。

In addition, being able to attract network traffic can make a black-hole attack more damaging.

さらに、ネットワークトラフィックを引き寄せることができると、ブラックホール攻撃の被害が大きくなる可能性があります。

The forms of attack that allow manipulation to compromise the content and validity of routing information include:

ルーティング情報の内容と有効性を侵害する操作を可能にする攻撃の形式には、次のものがあります。

o falsification, including overclaiming and misclaiming (claiming routes to devices that the device cannot in fact reach);

o 過大請求および誤請求(デバイスが実際に到達できないデバイスへのルートを要求)を含む改ざん。

o routing information replay;

o ルーティング情報の再生。

o Byzantine (internal) attacks that permit corruption of routing information in the node even when the node continues to be a validated entity within the network (see, for example, [RFC4593] for further discussions on Byzantine attacks); and

o ノードがネットワーク内で検証されたエンティティであり続ける場合でも、ノード内のルーティング情報の破損を許可するビザンチン(内部)攻撃(たとえば、ビザンチン攻撃の詳細については、[RFC4593]を参照)。そして

o physical device compromise or remote device access attacks.

o 物理デバイスの侵害またはリモートデバイスアクセス攻撃。

6.3.2. Node Identity Misappropriation
6.3.2. ノードIDの横領

Falsification or misappropriation of node identity between routing participants opens the door for other attacks; it can also cause incorrect routing relationships to form and/or topologies to emerge. Routing attacks may also be mounted through less-sophisticated node identity misappropriation in which the valid information broadcasted or exchanged by a node is replayed without modification. The receipt of seemingly valid information that is, however, no longer current can result in routing disruption and instability (including failure to converge). Without measures to authenticate the routing participants and to ensure the freshness and validity of the received information, the protocol operation can be compromised. The forms of attack that misuse node identity include:

ルーティング参加者間のノードIDの改ざんまたは横領は、他の攻撃への扉を開きます。また、不正なルーティング関係が形成されたり、トポロジが出現したりする可能性もあります。ルーティング攻撃は、ノードがブロードキャストまたは交換した有効な情報を変更せずに再生する、あまり洗練されていないノードIDの横領を通じても発生する可能性があります。しかし、現在は有効ではないように見える有効な情報を受信すると、ルーティングが中断され、不安定になります(収束の失敗を含む)。ルーティング参加者を認証し、受信した情報の鮮度と有効性を保証する手段がないと、プロトコルの動作が危険にさらされる可能性があります。ノードIDを誤用する攻撃の形式には、次のものがあります。

o Identity attacks, including Sybil attacks (see [Sybil2002]) in which a malicious node illegitimately assumes multiple identities.

o 悪意のあるノードが不正に複数のIDを装うSybil攻撃([Sybil2002]を参照)を含むID攻撃。

o Routing information replay.

o ルーティング情報の再生。

6.4. Threats and Attacks on Availability
6.4. 可用性に対する脅威と攻撃

The assessment in Section 4.2 indicates that the process and resource assets are exposed to threats against availability; attacks in this category may exploit directly or indirectly information exchange or forwarding (see [RFC4732] for a general discussion).

セクション4.2の評価は、プロセスとリソースの資産が可用性に対する脅威にさらされていることを示しています。このカテゴリの攻撃は、直接的または間接的に情報交換または転送を悪用する可能性があります(一般的な説明については、[RFC4732]を参照してください)。

6.4.1. Routing Exchange Interference or Disruption
6.4.1. Exchangeの干渉または中断のルーティング

Interference is the threat action and disruption is the threat consequence that allows attackers to influence the operation and convergence of the routing protocols by impeding the routing information exchange.

干渉は脅威のアクションであり、妨害は脅威の結果であり、攻撃者がルーティング情報の交換を妨げることにより、ルーティングプロトコルの動作と収束に影響を与えることができます。

The forms of attack that allow interference or disruption of routing exchange include:

ルーティング交換の干渉または中断を可能にする攻撃の形式には、次のものがあります。

o routing information replay;

o ルーティング情報の再生。

o ACK spoofing; and

o ACKスプーフィング;そして

o overload attacks (Section 7.3.2).

o 過負荷攻撃(セクション7.3.2)。

In addition, attacks may also be directly conducted at the physical layer in the form of jamming or interfering.

さらに、物理層で妨害または干渉の形で攻撃が直接行われる場合もあります。

6.4.2. Network Traffic Forwarding Disruption
6.4.2. ネットワークトラフィック転送の中断

The disruption of the network traffic forwarding capability will undermine the central function of network routers and the ability to handle user traffic. This affects the availability of the network because of the potential to impair the primary capability of the network.

ネットワークトラフィック転送機能の中断は、ネットワークルーターの中心的な機能とユーザートラフィックを処理する機能を損ないます。ネットワークの主要な機能を損なう可能性があるため、これはネットワークの可用性に影響を与えます。

In addition to physical-layer obstructions, the forms of attack that allow disruption of network traffic forwarding include [Karlof2003]:

物理層の障害に加えて、ネットワークトラフィック転送の中断を可能にする攻撃の形式には、[Karlof2003]があります。

o selective forwarding attacks;

o 選択的転送攻撃;

         |Node_1|--(msg1|msg2|msg3)-->|Attacker|--(msg1|msg3)-->|Node_2|
        

Figure 2: Selective Forwarding Example

図2:選択的転送の例

o wormhole attacks; and

o ワームホール攻撃。そして

               |Node_1|-------------Unreachable---------x|Node_2|
                  |                                         ^
                  |               Private Link              |
                  '-->|Attacker_1|===========>|Attacker_2|--'
        

Figure 3: Wormhole Attacks

図3:ワームホール攻撃

o sinkhole attacks.

o シンクホール攻撃。

                |Node_1|     |Node_4|
                    |            |
                    `--------.   |
                Falsify as    \  |
                Good Link \   |  |
                to Node_5  \  |  |
                            \ V  V
                |Node_2|-->|Attacker|--Not Forwarded---x|Node_5|
                              ^  ^ \
                              |  |  \ Falsify as
                              |  |   \Good Link
                              /  |    to Node_5
                     ,-------'   |
                     |           |
                |Node_3|     |Node_i|
        

Figure 4: Sinkhole Attack Example

図4:シンクホール攻撃の例

These attacks are generally done to both control- and forwarding-plane traffic. A system that prevents control-plane traffic (RPL messages) from being diverted in these ways will also prevent actual data from being diverted.

これらの攻撃は通常、コントロールプレーントラフィックとフォワーディングプレーントラフィックの両方に対して行われます。コントロールプレーントラフィック(RPLメッセージ)がこれらの方法で迂回されるのを防ぐシステムは、実際のデータが迂回されるのも防ぎます。

6.4.3. Communications Resource Disruption
6.4.3. 通信リソースの混乱

Attacks mounted against the communication channel resource assets needed by the routing protocol can be used as a means of disrupting its operation. However, while various forms of DoS attacks on the underlying transport subsystem will affect routing protocol exchanges and operation (for example, physical-layer Radio Frequency (RF) jamming in a wireless network or link-layer attacks), these attacks cannot be countered by the routing protocol. As such, the threats to the underlying transport network that supports routing is considered beyond the scope of the current document. Nonetheless, attacks on the subsystem will affect routing operation and must be directly addressed within the underlying subsystem and its implemented protocol layers.

ルーティングプロトコルが必要とする通信チャネルリソースアセットに対する攻撃は、その動作を妨害する手段として使用できます。ただし、基盤となるトランスポートサブシステムに対するさまざまな形式のDoS攻撃はルーティングプロトコルの交換と操作に影響しますが(たとえば、ワイヤレスネットワークでの物理層の無線周波数(RF)の妨害やリンク層の攻撃)、これらの攻撃はルーティングプロトコル。そのため、ルーティングをサポートする基盤となるトランスポートネットワークに対する脅威は、現在のドキュメントの範囲を超えていると見なされます。それでも、サブシステムへの攻撃はルーティング操作に影響を与えるため、基盤となるサブシステムとその実装プロトコルレイヤー内で直接対処する必要があります。

6.4.4. Node Resource Exhaustion
6.4.4. ノードリソースの枯渇

A potential threat consequence can arise from attempts to overload the node resource asset by initiating exchanges that can lead to the exhaustion of processing, memory, or energy resources. The establishment and maintenance of routing neighbors opens the routing process to engagement and potential acceptance of multiple neighboring peers. Association information must be stored for each peer entity and for the wireless network operation provisions made to periodically update and reassess the associations. An introduced proliferation of apparent routing peers can, therefore, have a negative impact on node resources.

潜在的な脅威は、処理、メモリ、またはエネルギーリソースの枯渇につながる可能性のある交換を開始することにより、ノードリソースアセットに過負荷をかけようとする試みから生じる可能性があります。ルーティングネイバーの確立とメンテナンスにより、ルーティングプロセスが開かれ、複数のネイバーピアが関与して受け入れられるようになります。アソシエーション情報は、ピアエンティティごとに、およびアソシエーションを定期的に更新および再評価するために作成されたワイヤレスネットワーク運用の準備のために保存する必要があります。したがって、明らかなルーティングピアが急増すると、ノードのリソースに悪影響を及ぼす可能性があります。

Node resources may also be unduly consumed by attackers attempting uncontrolled topology peering or routing exchanges, routing replays, or the generating of other data-traffic floods. Beyond the disruption of communications channel resources, these consequences may be able to exhaust node resources only where the engagements are able to proceed with the peer routing entities. Routing operation and network forwarding functions can thus be adversely impacted by node resources exhaustion that stems from attacks that include:

ノードリソースは、制御されていないトポロジのピアリングまたはルーティング交換、ルーティングのリプレイ、または他のデータトラフィックフラッドの生成を試みる攻撃者によって過度に消費される可能性もあります。通信チャネルリソースの中断を超えて、これらの結果は、エンゲージメントがピアルーティングエンティティで続行できる場合にのみノードリソースを使い果たす可能性があります。したがって、ルーティング操作とネットワーク転送機能は、次のような攻撃に起因するノードリソースの枯渇によって悪影響を受ける可能性があります。

o identity (including Sybil) attacks (see [Sybil2002]);

o ID(Sybilを含む)攻撃([Sybil2002]を参照)

o routing information replay attacks;

o ルーティング情報再生攻撃;

o HELLO-type flood attacks; and

o HELLOタイプのフラッド攻撃。そして

o overload attacks (Section 7.3.2).

o 過負荷攻撃(セクション7.3.2)。

7. Countermeasures
7. 対策

By recognizing the characteristics of LLNs that may impact routing, this analysis provides the basis for understanding the capabilities within RPL used to deter the identified attacks and mitigate the threats. The following subsections consider such countermeasures by grouping the attacks according to the classification of the ISO 7498-2 model so that associations with the necessary security services are more readily visible.

ルーティングに影響を与える可能性のあるLLNの特性を認識することにより、この分析は、特定された攻撃を阻止し、脅威を軽減するために使用されるRPL内の機能を理解するための基礎を提供します。以下のサブセクションでは、ISO 7498-2モデルの分類に従って攻撃をグループ化することにより、このような対策を検討し、必要なセキュリティサービスとの関連付けがより容易に見えるようにします。

7.1. Confidentiality Attack Countermeasures
7.1. 守秘義務攻撃対策

Attacks to disclosure routing information may be mounted at the level of the routing information assets, at the points of access associated with routing exchanges between nodes, or through device interface access. To gain access to routing/topology information, the attacker may rely on a compromised node that deliberately exposes the information during the routing exchange process, on passive wiretapping or traffic analysis, or on attempting access through a component or device interface of a tampered routing node.

開示ルーティング情報への攻撃は、ルーティング情報資産のレベルで、ノード間のルーティング交換に関連するアクセスポイントで、またはデバイスインターフェイスアクセスを介して行われる可能性があります。ルーティング/トポロジ情報へのアクセスを取得するために、攻撃者は、ルーティング交換プロセス中に情報を故意に公開する侵害されたノード、パッシブな盗聴またはトラフィック分析、または改ざんされたルーティングノードのコンポーネントまたはデバイスインターフェイスを介したアクセスの試みに依存する可能性があります。 。

7.1.1. Countering Deliberate Exposure Attacks
7.1.1. 意図的な暴露攻撃への対抗

A deliberate exposure attack is one in which an entity that is party to the routing process or topology exchange allows the routing/ topology information or generated route information to be exposed to an unauthorized entity.

意図的な公開攻撃とは、ルーティングプロセスまたはトポロジ交換の当事者であるエンティティが、ルーティング/トポロジ情報または生成されたルート情報を不正なエンティティに公開できるようにする攻撃です。

For instance, due to misconfiguration or inappropriate enabling of a diagnostic interface, an entity might be copying ("bridging") traffic from a secured ESSID/PAN to an unsecured interface.

たとえば、診断インターフェースの設定ミスや不適切な有効化により、エンティティが保護されたESSID / PANから保護されていないインターフェースにトラフィックをコピー(「ブリッジング」)している可能性があります。

A prerequisite to countering this attack is to ensure that the communicating nodes are authenticated prior to data encryption applied in the routing exchange. The authentication ensures that the LLN starts with trusted nodes, but it does not provide an indication of whether the node has been compromised.

この攻撃に対抗するための前提条件は、ルーティング交換でデータ暗号化が適用される前に、通信ノードが認証されることを保証することです。認証により、LLNは信頼されたノードから始まることが保証されますが、ノードが危険にさらされているかどうかは示されません。

Reputation systems could be used to help when some nodes may sleep for extended periods of time. It is also unclear if resulting datasets would even fit into constrained devices.

レピュテーションシステムは、一部のノードが長時間スリープする可能性がある場合に役立ちます。また、結果のデータセットが制約のあるデバイスに適合するかどうかも不明です。

To mitigate the risk of deliberate exposure, the process that communicating nodes use to establish session keys must be peer-to-peer (i.e., between the routing initiating and responding nodes). As is pointed out in [RFC4107], automatic key management is critical for good security. This helps ensure that neither node is exchanging routing information with another peer without the knowledge of both communicating peers. For a deliberate exposure attack to succeed, the comprised node will need to be more overt and take independent actions in order to disclose the routing information to a third party.

意図的な暴露のリスクを軽減するために、通信ノードがセッションキーを確立するために使用するプロセスは、ピアツーピア(つまり、ルーティングの開始ノードと応答ノードの間)でなければなりません。 [RFC4107]で指摘されているように、自動キー管理は優れたセキュリティのために重要です。これにより、どちらのノードも、通信している両方のピアの知識がなくても、別のピアとルーティング情報を交換することができます。意図的な露出攻撃が成功するためには、構成されたノードがより明白であり、第三者にルーティング情報を開示するために独立したアクションを実行する必要があります。

Note that the same measures that apply to securing routing/topology exchanges between operational nodes must also extend to field tools and other devices used in a deployed network where such devices can be configured to participate in routing exchanges.

運用ノード間のルーティング/トポロジ交換のセキュリティ保護に適用されるのと同じ措置が、ルーティング交換に参加するように構成できる展開されたネットワークで使用されるフィールドツールやその他のデバイスにも拡張する必要があることに注意してください。

7.1.2. Countering Passive Wiretapping Attacks
7.1.2. 受動的な盗聴攻撃への対抗

A passive wiretap attack seeks to breach routing confidentiality through passive, direct analysis and processing of the information exchanges between nodes.

パッシブな盗聴攻撃は、ノード間の情報交換のパッシブな直接分析と処理を通じてルーティングの機密性を破ろうとします。

Passive wiretap attacks can be directly countered through the use of data encryption for all routing exchanges. Only when a validated and authenticated node association is completed will routing exchange be allowed to proceed using established session keys and an agreed encryption algorithm. The mandatory-to-implement CCM mode AES-128 method, described in [RFC3610], is believed to be secure against a brute-force attack by even the most well-equipped adversary.

パッシブな盗聴攻撃は、すべてのルーティング交換でデータ暗号化を使用することにより直接対抗できます。検証および認証されたノードの関連付けが完了した場合にのみ、確立されたセッションキーと合意された暗号化アルゴリズムを使用してルーティング交換を進めることができます。 [RFC3610]で説明されている、実装に必須のCCMモードのAES-128メソッドは、最も十分に装備された敵によるブルートフォース攻撃に対して安全であると考えられています。

The significant challenge for RPL is in the provisioning of the key, which in some modes of RFC 6550 is used network wide. This problem is not solved in RFC 6550, and it is the subject of significant future work: see, for instance, [AceCharterProposal], [SolaceProposal], and [SmartObjectSecurityWorkshop].

RPLの重要な課題は、RFC 6550の一部のモードでネットワーク全体で使用されるキーのプロビジョニングです。この問題はRFC 6550では解決されておらず、今後の重要な作業の対象となります。たとえば、[AceCharterProposal]、[SolaceProposal]、および[SmartObjectSecurityWorkshop]を参照してください。

A number of deployments, such as [ZigBeeIP] specify no Layer 3 (L3) / RPL encryption or authentication and rely upon similar security at Layer 2 (L2). These networks are immune to outside wiretapping attacks but are vulnerable to passive (and active) routing attacks through compromises of nodes (see Section 8.2).

[ZigBeeIP]などの多くのデプロイメントでは、レイヤー3(L3)/ RPL暗号化または認証は指定されておらず、レイヤー2(L2)で同様のセキュリティに依存しています。これらのネットワークは、外部の盗聴攻撃の影響を受けませんが、ノードの侵害によるパッシブ(およびアクティブ)ルーティング攻撃に対して脆弱です(セクション8.2を参照)。

Section 10.9 of [RFC6550] specifies AES-128 in CCM mode with a 32-bit Message Authentication Code (MAC).

[RFC6550]のセクション10.9は、32ビットのメッセージ認証コード(MAC)を使用するCCMモードのAES-128を指定しています。

Section 5.6 of ZigBee IP [ZigBeeIP] specifies use of CCM, with PANA and EAP-TLS for key management.

ZigBee IP [ZigBeeIP]のセクション5.6は、キー管理にPANAおよびEAP-TLSを使用したCCMの使用を指定しています。

7.1.3. Countering Traffic Analysis
7.1.3. トラフィック分析に対抗する

Traffic analysis provides an indirect means of subverting confidentiality and gaining access to routing information by allowing an attacker to indirectly map the connectivity or flow patterns (including link load) of the network from which other attacks can be mounted. The traffic-analysis attack on an LLN, especially one founded on a shared medium, is passive and relies on the ability to read the immutable source/destination L2 and/or L3 routing information that must remain unencrypted to permit network routing.

トラフィック分析は、攻撃者が他の攻撃をマウントできるネットワークの接続またはフローパターン(リンク負荷を含む)を間接的にマッピングできるようにすることで、機密性を覆し、ルーティング情報へのアクセスを取得する間接的な手段を提供します。 LLNへのトラフィック分析攻撃は、特に共有メディアで発生したものであり、パッシブであり、ネットワークルーティングを許可するために暗号化されないままである必要がある不変の送信元/宛先L2またはL3ルーティング情報を読み取る機能に依存しています。

One way in which passive traffic-analysis attacks can be muted is through the support of load balancing that allows traffic to a given destination to be sent along diverse routing paths. RPL does not generally support multipath routing within a single DODAG. Multiple DODAGs are supported in the protocol, and an implementation could make use of that. RPL does not have any inherent or standard way to guarantee that the different DODAGs would have significantly diverse paths. Having the diverse DODAGs routed at different border routers might work in some instances, and this could be combined with a multipath technology like Multipath TCP (MPTCP) [RFC6824]. It is unlikely that it will be affordable in many LLNs, as few deployments will have memory space for more than a few sets of DODAG tables.

パッシブトラフィック分析攻撃をミュートできる1つの方法は、特定の宛先へのトラフィックをさまざまなルーティングパスに沿って送信できるようにするロードバランシングをサポートすることです。 RPLは通常、単一のDODAG内のマルチパスルーティングをサポートしません。プロトコルでは複数のDODAGがサポートされており、実装ではそれを利用できます。 RPLには、さまざまなDODAGが大幅に多様なパスを持つことを保証する固有の方法や標準的な方法はありません。場合によっては、異なる境界ルーターでルーティングされる多様なDODAGが機能することがあり、これはマルチパスTCP(MPTCP)[RFC6824]などのマルチパステクノロジーと組み合わせることができます。多くのLLNで手頃な価格になることはまずありません。DODAGテーブルのいくつかのセットよりも多くのメモリスペースを持つ配置はほとんどないからです。

Another approach to countering passive traffic analysis could be for nodes to maintain a constant amount of traffic to different destinations through the generation of arbitrary traffic flows; the drawback of course would be the consequent overhead and energy expenditure.

パッシブトラフィック分析に対抗するもう1つのアプローチは、ノードが任意のトラフィックフローを生成することにより、さまざまな宛先への一定量のトラフィックを維持することです。もちろん欠点は、結果として生じるオーバーヘッドとエネルギー消費です。

The only means of fully countering a traffic-analysis attack is through the use of tunneling (encapsulation) where encryption is applied across the entirety of the original packet source/destination addresses. Deployments that use L2 security that includes encryption already do this for all traffic.

トラフィック分析攻撃に完全に対抗する唯一の手段は、元のパケットの送信元/宛先アドレス全体に暗号化が適用されるトンネリング(カプセル化)を使用することです。暗号化を含むL2セキュリティを使用する展開では、すべてのトラフィックに対してこれがすでに行われています。

7.1.4. Countering Remote Device Access Attacks
7.1.4. リモートデバイスアクセス攻撃への対抗

Where LLN nodes are deployed in the field, measures are introduced to allow for remote retrieval of routing data and for software or field upgrades. These paths create the potential for a device to be remotely accessed across the network or through a provided field tool. In the case of network management, a node can be directly requested to provide routing tables and neighbor information.

LLNノードがフィールドに展開されている場合、ルーティングデータのリモート取得とソフトウェアまたはフィールドのアップグレードを可能にするための対策が導入されています。これらのパスは、ネットワークを介して、または提供されたフィールドツールを介してデバイスにリモートアクセスされる可能性を生み出します。ネットワーク管理の場合、ノードはルーティングテーブルとネイバー情報を提供するように直接要求できます。

To ensure confidentiality of the node routing information against attacks through remote access, any local or remote device requesting routing information must be authenticated and must be authorized for that access. Since remote access is not invoked as part of a routing protocol, security of routing information stored on the node against remote access will not be addressable as part of the routing protocol.

リモートアクセスを介した攻撃に対するノードルーティング情報の機密性を確保するには、ルーティング情報を要求するローカルまたはリモートデバイスを認証し、そのアクセスを許可する必要があります。リモートアクセスはルーティングプロトコルの一部として呼び出されないため、リモートアクセスに対するノードに格納されているルーティング情報のセキュリティは、ルーティングプロトコルの一部としてアドレス指定できません。

7.2. Integrity Attack Countermeasures
7.2. 完全性攻撃対策

Integrity attack countermeasures address routing information manipulation, as well as node identity and routing information misuse. Manipulation can occur in the form of a falsification attack and physical compromise. To be effective, the following development considers the two aspects of falsification, namely, the unauthorized modifications and the overclaiming and misclaiming content. The countering of physical compromise was considered in the previous section and is not repeated here. With regard to misuse, there are two types of attacks to be deterred: identity attacks and replay attacks.

整合性攻撃対策は、ルーティング情報の操作、ノードID、ルーティング情報の誤用に対処します。操作は、改ざん攻撃と物理的妥協の形で発生する可能性があります。次の開発では、効果を上げるために、改ざんの2つの側面、つまり、許可されていない変更と、コンテンツの過剰請求および誤請求を考慮します。物理的な妥協への対抗は前のセクションで検討されており、ここでは繰り返されません。誤用に関しては、抑止される攻撃には、アイデンティティ攻撃とリプレイ攻撃の2種類があります。

7.2.1. Countering Unauthorized Modification Attacks
7.2.1. 不正な改ざん攻撃に対抗する

Unauthorized modifications may occur in the form of altering the message being transferred or the data stored. Therefore, it is necessary to ensure that only authorized nodes can change the portion of the information that is allowed to be mutable, while the integrity of the rest of the information is protected, e.g., through well-studied cryptographic mechanisms.

不正な変更は、転送されるメッセージまたは格納されているデータを変更する形で発生する可能性があります。したがって、許可されたノードのみが変更可能になる情報の部分を変更できることを保証する必要があります。一方、残りの情報の整合性は、たとえば十分に研究された暗号化メカニズムによって保護されます。

Unauthorized modifications may also occur in the form of insertion or deletion of messages during protocol changes. Therefore, the protocol needs to ensure the integrity of the sequence of the exchange sequence.

不正な変更は、プロトコルの変更中にメッセージの挿入または削除という形で発生する場合もあります。したがって、プロトコルは交換シーケンスのシーケンスの整合性を保証する必要があります。

The countermeasure to unauthorized modifications needs to:

不正な改造への対策は、

o implement access control on storage;

o ストレージにアクセス制御を実装します。

o provide data integrity service to transferred messages and stored data; and

o 転送されたメッセージと保存されたデータにデータ整合性サービスを提供します。そして

o include a sequence number under integrity protection.

o 整合性保護の下でシーケンス番号を含めます。

7.2.2. Countering Overclaiming and Misclaiming Attacks
7.2.2. 過剰請求および誤請求攻撃への対抗

Both overclaiming and misclaiming aim to introduce false routes or a false topology that would not occur otherwise, while there are not necessarily unauthorized modifications to the routing messages or information. In order to counter overclaiming, the capability to determine unreasonable routes or topology is required.

過剰請求と誤請求の両方は、ルーティングメッセージまたは情報に対する不正な変更が必ずしも必要ではないが、他の方法では発生しない誤ったルートまたは誤ったトポロジーを導入することを目的としています。過剰請求に対抗するには、不当なルートまたはトポロジを決定する機能が必要です。

The counter to overclaiming and misclaiming may employ:

過剰請求および誤請求に対するカウンターは以下を採用することができます:

o Comparison with historical routing/topology data.

o 過去のルーティング/トポロジデータとの比較。

o Designs that restrict realizable network topologies.

o 実現可能なネットワークトポロジを制限する設計。

RPL includes no specific mechanisms in the protocol to counter overclaims or misclaims. An implementation could have specific heuristics implemented locally.

RPLは、過剰請求または誤請求に対抗するためのプロトコルに特定のメカニズムを含みません。実装では、特定のヒューリスティックをローカルに実装できます。

7.2.3. Countering Identity (including Sybil) Attacks
7.2.3. ID(Sybilを含む)攻撃に対抗する

Identity attacks, sometimes simply called spoofing, seek to gain or damage assets whose access is controlled through identity. In routing, an identity attacker can illegitimately participate in routing exchanges, distribute false routing information, or cause an invalid outcome of a routing process.

ID攻撃は、スプーフィングと呼ばれることもあり、IDを介してアクセスが制御される資産を取得または損傷しようとします。ルーティングでは、アイデンティティ攻撃者がルーティング交換に不正に参加したり、誤ったルーティング情報を配布したり、ルーティングプロセスの無効な結果を引き起こしたりする可能性があります。

A perpetrator of Sybil attacks assumes multiple identities. The result is not only an amplification of the damage to routing but extension to new areas, e.g., where geographic distribution is explicitly or implicitly an asset to an application running on the LLN, for example, the LBR in a P2MP or MP2P LLN.

シビル攻撃の加害者は、複数のアイデンティティを想定しています。その結果、ルーティングへのダメージが増幅されるだけでなく、地理的分布がLLNで実行されているアプリケーション(P2MPまたはMP2P LLNのLBRなど)に対する明示的または暗黙的な資産である場合など、新しいエリアへの拡張がもたらされます。

RPL includes specific public key-based authentication at L3 that provides for authorization. Many deployments use L2 security that includes admission controls at L2 using mechanisms such as PANA.

RPLには、許可を提供するL3での特定の公開鍵ベースの認証が含まれています。多くの展開では、PANAなどのメカニズムを使用したL2でのアドミッションコントロールを含むL2セキュリティが使用されています。

7.2.4. Countering Routing Information Replay Attacks
7.2.4. ルーティング情報リプレイ攻撃への対抗

In many routing protocols, message replay can result in false topology and/or routes. This is often counted with some kind of counter to ensure the freshness of the message. Replay of a current, literal RPL message is, in general, idempotent to the topology. If replayed, an older (lower DODAGVersionNumber) message would be rejected as being stale. If the trickle algorithm further dampens the effect of any such replay, as if the message was current, then it would contain the same information as before, and it would cause no network changes.

多くのルーティングプロトコルでは、メッセージの再生によってトポロジやルートが誤ったものになる可能性があります。これは、メッセージの鮮度を確保するために、ある種のカウンターでカウントされることがよくあります。現在のリテラルRPLメッセージの再生は、通常、トポロジーに対してべき等です。再生すると、古い(低いDODAGVersionNumber)メッセージは古くなったものとして拒否されます。トリクルアルゴリズムがそのような再生の影響をさらに弱めると、メッセージが最新のものであるかのように、以前と同じ情報が含まれ、ネットワークは変更されません。

Replays may well occur in some radio technologies (though not very likely; see [IEEE.802.15.4]) as a result of echos or reflections, so some replays must be assumed to occur naturally.

エコーまたは反射の結果として、一部の無線技術ではリプレイが発生する可能性がありますが(可能性は低いですが、[IEEE.802.15.4]を参照)、一部のリプレイは自然に発生すると想定する必要があります。

Note that for there to be no effect at all, the replay must be done with the same apparent power for all nodes receiving the replay. A change in apparent power might change the metrics through changes to the Expected Transmission Count (ETX); therefore, it might affect the routing even though the contents of the packet were never changed. Any replay that appears to be different should be analyzed as a selective forwarding attack, sinkhole attack, or wormhole attack.

まったく影響がないためには、リプレイを受信するすべてのノードに対して同じ皮相電力でリプレイを実行する必要があることに注意してください。皮相電力の変化は、予想送信数(ETX)の変更を通じてメトリックを変更する可能性があります。したがって、パケットの内容が変更されていなくても、ルーティングに影響を与える可能性があります。異なるように見えるリプレイは、選択的転送攻撃、シンクホール攻撃、またはワームホール攻撃として分析する必要があります。

7.2.5. Countering Byzantine Routing Information Attacks
7.2.5. ビザンチンルーティング情報攻撃への対応

Where a node is captured or compromised but continues to operate for a period with valid network security credentials, the potential exists for routing information to be manipulated. This compromise of the routing information could thus exist in spite of security countermeasures that operate between the peer routing devices.

ノードがキャプチャまたは侵害されても、有効なネットワークセキュリティ資格情報を使用して一定期間動作し続ける場合、ルーティング情報が操作される可能性があります。したがって、ピアルーティングデバイス間で動作するセキュリティ対策にもかかわらず、ルーティング情報のこの妥協が存在する可能性があります。

Consistent with the end-to-end principle of communications, such an attack can only be fully addressed through measures operating directly between the routing entities themselves or by means of external entities accessing and independently analyzing the routing information. Verification of the authenticity and liveliness of the routing entities can, therefore, only provide a limited counter against internal (Byzantine) node attacks.

通信のエンドツーエンドの原則に従って、このような攻撃は、ルーティングエンティティ間で直接動作する手段、またはルーティング情報にアクセスして独立して分析する外部エンティティによってのみ完全に対処できます。したがって、ルーティングエンティティの信頼性と活性を検証しても、内部(ビザンチン)ノード攻撃に対して限定的なカウンターしか提供できません。

For link-state routing protocols where information is flooded with, for example, areas (OSPF [RFC2328]) or levels (IS-IS [RFC7142]), countermeasures can be directly applied by the routing entities through the processing and comparison of link-state information received from different peers. By comparing the link information from multiple sources, decisions can be made by a routing node or external entity with regard to routing information validity; see Chapter 2 of [Perlman1988] for a discussion on flooding attacks.

情報がエリア(OSPF [RFC2328])またはレベル(IS-IS [RFC7142])で溢れているリンクステートルーティングプロトコルの場合、対策は、リンクの処理と比較を通じてルーティングエンティティによって直接適用できます。異なるピアから受信した状態情報。複数のソースからのリンク情報を比較することにより、ルーティングノードまたは外部エンティティがルーティング情報の有効性に関して決定を下すことができます。洪水攻撃については、[Perlman1988]の第2章を参照してください。

For distance vector protocols, such as RPL, where information is aggregated at each routing node, it is not possible for nodes to directly detect Byzantine information manipulation attacks from the routing information exchange. In such cases, the routing protocol must include and support indirect communications exchanges between non-adjacent routing peers to provide a secondary channel for performing routing information validation. S-RIP [Wan2004] is an example of the implementation of this type of dedicated routing protocol security where the correctness of aggregate distance vector information can only be validated by initiating confirmation exchanges directly between nodes that are not routing neighbors.

情報が各ルーティングノードで集約されるRPLなどの距離ベクトルプロトコルの場合、ノードがルーティング情報交換からのビザンチン情報操作攻撃を直接検出することはできません。このような場合、ルーティング情報検証を実行するためのセカンダリチャネルを提供するには、ルーティングプロトコルに隣接していないルーティングピア間の間接的な通信交換を含めてサポートする必要があります。 S-RIP [Wan2004]は、このタイプの専用ルーティングプロトコルセキュリティの実装例であり、集約距離ベクトル情報の正確性は、ルーティングネイバーではないノード間で直接確認交換を開始することによってのみ検証できます。

RPL does not provide any direct mechanisms like S-RIP. It does listen to multiple parents and may switch parents if it begins to suspect that it is being lied to.

RPLはS-RIPのような直接的なメカニズムを提供しません。複数の親をリッスンし、嘘をついていると疑い始めたら親を切り替える可能性があります。

7.3. Availability Attack Countermeasures
7.3. 可用性攻撃対策

As alluded to before, availability requires that routing information exchanges and forwarding mechanisms be available when needed so as to guarantee proper functioning of the network. This may, e.g., include the correct operation of routing information and neighbor state information exchanges, among others. We will highlight the key features of the security threats along with typical countermeasures to prevent or at least mitigate them. We will also note that an availability attack may be facilitated by an identity attack as well as a replay attack, as was addressed in Sections 7.2.3 and 7.2.4, respectively.

前にも触れたように、可用性には、ネットワークの適切な機能を保証するために、ルーティング情報の交換と転送メカニズムが必要なときに利用可能であることが必要です。これは、例えば、とりわけ、ルーティング情報および近隣状態情報交換の正しい動作を含み得る。セキュリティの脅威の主要な機能と、それらを防止または少なくとも軽減するための一般的な対策を取り上げます。可用性攻撃は、それぞれセクション7.2.3および7.2.4で説明されているように、ID攻撃およびリプレイ攻撃によって促進される可能性があることにも注意します。

7.3.1. Countering HELLO Flood Attacks and ACK Spoofing Attacks
7.3.1. HELLOフラッド攻撃とACKスプーフィング攻撃への対抗

HELLO Flood [Karlof2003], [HELLO], and ACK spoofing attacks are different but highly related forms of attacking an LLN. They essentially lead nodes to believe that suitable routes are available even though they are not and hence constitute a serious availability attack.

HELLO Flood [Karlof2003]、[HELLO]、およびACKスプーフィング攻撃は異なりますが、LLNを攻撃する非常に関連性の高い形式です。それらは本質的にノードが適切なルートが利用できないと信じるように導き、それゆえ深刻な可用性攻撃を構成します。

A HELLO attack mounted against RPL would involve sending out (or replaying) DODAG Information Object (DIO) messages by the attacker. Lower-power LLN nodes might then attempt to join the DODAG at a lower rank than they would otherwise.

RPLに対して実行されたHELLO攻撃には、攻撃者によるDODAG情報オブジェクト(DIO)メッセージの送信(または再生)が含まれます。低電力のLLNノードは、そうでない場合よりも低いランクでDODAGに参加しようとする可能性があります。

The most effective method from [HELLO] is bidirectional verification. A number of L2 links are arranged in controller/spoke arrangements and are continuously validating connectivity at layer 2.

[HELLO]の最も効果的な方法は、双方向検証です。多数のL2リンクがコントローラー/スポークの配置で配置され、レイヤー2で接続を継続的に検証しています。

In addition, in order to calculate metrics, the ETX must be computed, and this involves, in general, sending a number of messages between nodes that are believed to be adjacent. One such protocol is [MESH-LINK].

さらに、メトリックを計算するために、ETXを計算する必要があります。これには、一般に、隣接していると考えられるノード間でいくつかのメッセージを送信することが含まれます。そのようなプロトコルの1つが[MESH-LINK]です。

In order to join the DODAG, a Destination Advertisement Object (DAO) message is sent upwards. In RPL, the DAO is acknowledged by the DAO-ACK message. This clearly checks bidirectionality at the control plane.

DODAGに参加するために、Destination Advertisement Object(DAO)メッセージが上方向に送信されます。 RPLでは、DAOはDAO-ACKメッセージによって確認されます。これにより、コントロールプレーンで双方向性が明確にチェックされます。

As discussed in Section 5.1 of [HELLO], a receiver with a sensitive receiver could well hear the DAOs and even send DAO-ACKs as well. Such a node is a form of wormhole attack.

[HELLO]のセクション5.1で説明したように、機密性の高いレシーバーを備えたレシーバーは、DAOをよく聞き取り、DAO-ACKを送信することもできます。このようなノードは、ワームホール攻撃の一種です。

These attacks are also all easily defended against using either L2 or L3 authentication. Such an attack could only be made against a completely open network (such as might be used for provisioning new nodes) or by a compromised node.

これらの攻撃はすべて、L2またはL3認証の使用に対しても簡単に防御できます。このような攻撃は、完全に開いているネットワーク(新しいノードのプロビジョニングに使用されるなど)に対して、または侵害されたノードによってのみ行われる可能性があります。

7.3.2. Countering Overload Attacks
7.3.2. 過負荷攻撃に対抗する

Overload attacks are a form of DoS attack in that a malicious node overloads the network with irrelevant traffic, thereby draining the nodes' energy store more quickly when the nodes rely on batteries or energy scavenging. Thus, it significantly shortens the lifetime of networks of energy-constrained nodes and constitutes another serious availability attack.

過負荷攻撃はDoS攻撃の一種であり、悪意のあるノードが無関係なトラフィックでネットワークに過負荷をかけることにより、ノードがバッテリーやエネルギースカベンジングに依存している場合に、ノードのエネルギーストアをより早く排出します。したがって、エネルギーに制約のあるノードのネットワークの寿命を大幅に短縮し、別の深刻な可用性攻撃を構成します。

With energy being one of the most precious assets of LLNs, targeting its availability is a fairly obvious attack. Another way of depleting the energy of an LLN node is to have the malicious node overload the network with irrelevant traffic. This impacts availability since certain routes get congested, which:

エネルギーはLLNの最も貴重な資産の1つであるため、その可用性を狙うことはかなり明白な攻撃です。 LLNノードのエネルギーを使い果たすもう1つの方法は、悪意のあるノードが無関係なトラフィックでネットワークに過負荷をかけることです。特定のルートが混雑するため、これは可用性に影響します。

o renders them useless for affected nodes; hence, data cannot be delivered;

o 影響を受けるノードに対してそれらを役に立たなくします。したがって、データを配信できません。

o makes routes longer as the shortest path algorithms work with the congested network; and

o 最短パスアルゴリズムが輻輳したネットワークで機能するため、ルートが長くなります。そして

o depletes battery and energy scavenging nodes more quickly and thus shortens the network's availability at large.

o バッテリーとエネルギースカベンジングノードの消耗が早くなるため、ネットワーク全体の可用性が低下します。

Overload attacks can be countered by deploying a series of mutually non-exclusive security measures that:

次のような相互に非排他的な一連のセキュリティ対策を導入することで、過負荷攻撃に対抗できます。

o introduce quotas on the traffic rate each node is allowed to send;

o 各ノードが送信できるトラフィックレートにクォータを導入します。

o isolate nodes that send traffic above a certain threshold based on system operation characteristics; and

o システムの動作特性に基づいて、特定のしきい値を超えるトラフィックを送信するノードを分離します。そして

o allow only trusted data to be received and forwarded.

o 信頼できるデータのみの受信と転送を許可します。

As for the first one, a simple approach to minimize the harmful impact of an overload attack is to introduce traffic quotas. This prevents a malicious node from injecting a large amount of traffic into the network, even though it does not prevent the said node from injecting irrelevant traffic at all. Another method is to isolate nodes from the network at the network layer once it has been detected that more traffic is injected into the network than allowed by a prior set or dynamically adjusted threshold. Finally, if communication is sufficiently secured, only trusted nodes can receive and forward traffic, which also lowers the risk of an overload attack.

最初の方法と同様に、過負荷攻撃による悪影響を最小限に抑える簡単な方法は、トラフィッククォータを導入することです。これにより、悪意のあるノードが大量のトラフィックをネットワークに注入することを防ぎます。ただし、そのノードが無関係なトラフィックを注入することはまったく禁止していません。別の方法は、以前の設定または動的に調整されたしきい値で許可されているよりも多くのトラフィックがネットワークに注入されていることが検出されると、ネットワーク層でノードをネットワークから分離することです。最後に、通信が十分に保護されている場合、信頼できるノードのみがトラフィックを受信して​​転送できるため、過負荷攻撃のリスクも低くなります。

Receiving nodes that validate signatures and sending nodes that encrypt messages need to be cautious of cryptographic processing usage when validating signatures and encrypting messages. Where feasible, certificates should be validated prior to use of the associated keys to counter potential resource overloading attacks. The associated design decision needs to also consider that the validation process requires resources; thus, it could be exploited for attacks. Alternatively, resource management limits can be placed on routing security processing events (see the comment in Section 6, paragraph 4, of [RFC5751]).

署名を検証する受信ノードとメッセージを暗号化する送信ノードは、署名を検証してメッセージを暗号化するとき、暗号処理の使用に注意する必要があります。可能であれば、関連するキーを使用する前に証明書を検証して、潜在的なリソース過負荷攻撃に対抗する必要があります。関連する設計決定では、検証プロセスにリソースが必要であることも考慮する必要があります。したがって、攻撃に悪用される可能性があります。あるいは、リソース管理制限をルーティングセキュリティ処理イベントに課すことができます([RFC5751]のセクション6、パラグラフ4のコメントを参照)。

7.3.3. Countering Selective Forwarding Attacks
7.3.3. 選択的転送攻撃への対抗

Selective forwarding attacks are a form of DoS attack that impacts the availability of the generated routing paths.

選択的転送攻撃は、生成されたルーティングパスの可用性に影響を与えるDoS攻撃の一種です。

A selective forwarding attack may be done by a node involved with the routing process, or it may be done by what otherwise appears to be a passive antenna or other RF feature or device, but is in fact an active (and selective) device. An RF antenna/repeater that is not selective is not a threat.

選択的フォワーディング攻撃は、ルーティングプロセスに関与するノードによって行われる場合があります。または、パッシブアンテナまたはその他のRF機能またはデバイスであるように見えますが、実際にはアクティブ(および選択的)デバイスです。選択性のないRFアンテナ/リピーターは脅威ではありません。

An insider malicious node basically blends in neatly with the network but then may decide to forward and/or manipulate certain packets. If all packets are dropped, then this attacker is also often referred to as a "black hole". Such a form of attack is particularly dangerous if coupled with sinkhole attacks since inherently a large amount of traffic is attracted to the malicious node, thereby causing significant damage. In a shared medium, an outside malicious node would selectively jam overheard data flows, where the thus caused collisions incur selective forwarding.

内部の悪意のあるノードは、基本的にはネットワークとうまく調和しますが、特定のパケットの転送や操作を行う可能性があります。すべてのパケットがドロップされた場合、この攻撃者は「ブラックホール」とも呼ばれます。このような形式の攻撃は、本質的に大量のトラフィックが悪意のあるノードに引き寄せられ、それによって重大な被害を引き起こすため、シンクホール攻撃と組み合わせると特に危険です。共有メディアでは、外部の悪意のあるノードが傍受されたデータフローを選択的に妨害するため、衝突が発生すると、選択的な転送が発生します。

Selective forwarding attacks can be countered by deploying a series of mutually non-exclusive security measures:

選択的な転送攻撃は、相互に非排他的な一連のセキュリティ対策を導入することで対抗できます。

o Multipath routing of the same message over disjoint paths.

o ばらばらのパスを介した同じメッセージのマルチパスルーティング。

o Dynamically selecting the next hop from a set of candidates.

o 一連の候補から次のホップを動的に選択します。

The first measure basically guarantees that if a message gets lost on a particular routing path due to a malicious selective forwarding attack, there will be another route that successfully delivers the data. Such a method is inherently suboptimal from an energy consumption point of view; it is also suboptimal from a network utilization perspective. The second method basically involves a constantly changing routing topology in that next-hop routers are chosen from a dynamic set in the hope that the number of malicious nodes in this set is negligible. A routing protocol that allows for disjoint routing paths may also be useful.

最初の対策では、悪意のある選択的転送攻撃によって特定のルーティングパスでメッセージが失われた場合に、データを正常に配信する別のルートが存在することを基本的に保証します。このような方法は、エネルギー消費の観点から本質的に次善のものです。また、ネットワーク使用率の観点からも最適ではありません。 2番目の方法は、基本的には絶え間なく変化するルーティングトポロジーを含み、このセット内の悪意のあるノードの数がごくわずかであることを期待して、ダイナミックセットからネクストホップルーターが選択されます。ルーティングパスをばらばらにできるルーティングプロトコルも役立ちます。

7.3.4. Countering Sinkhole Attacks
7.3.4. シンクホール攻撃に対抗する

In sinkhole attacks, the malicious node manages to attract a lot of traffic mainly by advertising the availability of high-quality links even though there are none [Karlof2003]. Hence, it constitutes a serious attack on availability.

シンクホール攻撃では、悪意のあるノードは何もないにもかかわらず、主に高品質のリンクの可用性をアドバタイズすることにより、多くのトラフィックを引き付けます[Karlof2003]。したがって、それは可用性に対する深刻な攻撃を構成します。

The malicious node creates a sinkhole by attracting a large amount of, if not all, traffic from surrounding neighbors by advertising in and outwards links of superior quality. Hence, affected nodes eagerly route their traffic via the malicious node that, if coupled with other attacks such as selective forwarding, may lead to serious availability and security breaches. Such an attack can only be executed by an inside malicious node and is generally very difficult to detect. An ongoing attack has a profound impact on the network topology and essentially becomes a problem of flow control.

悪意のあるノードは、優れた品質のリンクを内外にアドバタイズすることにより、周囲の近隣からのトラフィックのすべてではないにせよ大量のトラフィックを引き寄せることにより、シンクホールを作成します。したがって、影響を受けるノードは悪意のあるノードを介してトラフィックを熱心にルーティングし、選択転送などの他の攻撃と組み合わせると、深刻な可用性とセキュリティ違反につながる可能性があります。このような攻撃は、内部の悪意のあるノードによってのみ実行可能であり、一般的に検出が非常に困難です。進行中の攻撃はネットワークトポロジに大きな影響を与え、本質的にフロー制御の問題になります。

Sinkhole attacks can be countered by deploying a series of mutually non-exclusive security measures to:

シンクホール攻撃は、相互に非排他的な一連のセキュリティ対策を次のように展開することで対処できます。

o use geographical insights for flow control;

o フロー制御に地理的洞察を使用します。

o isolate nodes that receive traffic above a certain threshold;

o 特定のしきい値を超えるトラフィックを受信するノードを分離します。

o dynamically pick up the next hop from a set of candidates; and

o 候補のセットから次のホップを動的にピックアップします。そして

o allow only trusted data to be received and forwarded.

o 信頼できるデータのみの受信と転送を許可します。

A canary node could periodically call home (using a cryptographic process) with the home system, noting if it fails to call in. This provides detection of a problem, but does not mitigate it, and it may have significant energy consequences for the LLN.

カナリアノードは、ホームシステムで定期的にホームを呼び出し(暗号化プロセスを使用して)、呼び出しに失敗したかどうかを通知できます。これにより、問題が検出されますが、緩和されることはなく、LLNに重大なエネルギーの影響を与える可能性があります。

Some LLNs may provide for geolocation services, often derived from solving triangulation equations from radio delay calculation; such calculations could in theory be subverted by a sinkhole that transmitted at precisely the right power in a node-to-node fashion.

いくつかのLLNは地理位置情報サービスを提供する場合があり、多くの場合、無線遅延計算から三角測量方程式を解くことで得られます。このような計算は、理論的には、ノード間で正確に適切なパワーで送信されるシンクホールによって覆されます。

While geographic knowledge could help assure that traffic always goes in the physical direction desired, it would not assure that the traffic is taking the most efficient route, as the lowest cost real route might match the physical topology, such as when different parts of an LLN are connected by high-speed wired networks.

地理的な知識は、トラフィックが常に望ましい物理的な方向に進むことを保証するのに役立ちますが、LLNのさまざまな部分の場合など、最低コストの実際のルートが物理トポロジーに一致する可能性があるため、トラフィックが最も効率的なルートを取っているとは限りません。高速有線ネットワークで接続されています。

7.3.5. Countering Wormhole Attacks
7.3.5. ワームホール攻撃に対抗する

In wormhole attacks, at least two malicious nodes claim to have a short path between themselves [Karlof2003]. This changes the availability of certain routing paths and hence constitutes a serious security breach.

ワームホール攻撃では、少なくとも2つの悪意のあるノードが、それらの間に短いパスがあると主張します[Karlof2003]。これは、特定のルーティングパスの可用性を変更するため、深刻なセキュリティ違反となります。

Essentially, two malicious insider nodes use another, more powerful, transmitter to communicate with each other and thereby distort the would-be-agreed routing path. This distortion could involve shortcutting and hence paralyzing a large part of the network; it could also involve tunneling the information to another region of the network where there are, e.g., more malicious nodes available to aid the intrusion or where messages are replayed, etc.

基本的に、2つの悪意のある内部ノードは、別のより強力なトランスミッタを使用して互いに通信し、それにより、合意されるルーティングパスを歪めます。この歪みには、ネットワークの大部分をショートカットして麻痺させる可能性があります。また、侵入を助けるために利用できる悪意のあるノードが存在する、またはメッセージが再生される、ネットワークの別の領域に情報をトンネルすることも含まれます。

In conjunction with selective forwarding, wormhole attacks can create race conditions that impact topology maintenance and routing protocols as well as any security suits built on "time of check" and "time of use".

選択的転送と組み合わせて、ワームホール攻撃は、トポロジのメンテナンスとルーティングプロトコル、および「チェックの時間」と「使用の時間」に基づいて構築されたセキュリティスーツに影響を与える競合状態を引き起こす可能性があります。

A pure wormhole attack is nearly impossible to detect. A wormhole that is used in order to subsequently mount another kind of attack would be defeated by defeating the other attack. A perfect wormhole, in which there is nothing adverse that occurs to the traffic, would be difficult to call an attack. The worst thing that a benign wormhole can do in such a situation is to cease to operate (become unstable), causing the network to have to recalculate routes.

純粋なワームホール攻撃を検出することはほとんど不可能です。その後別の種類の攻撃を仕掛けるために使用されるワームホールは、他の攻撃を無効にすることで無効になります。トラフィックに悪影響を及ぼさない完全なワームホールは、攻撃とは言い難いでしょう。このような状況で良性のワームホールが実行できる最悪のことは、動作を停止し(不安定になり)、ネットワークがルートを再計算する必要があることです。

A highly unstable wormhole is no different than a radio opaque (i.e., metal) door that opens and closes a lot. RPL includes hysteresis in its objective functions [RFC6719] in an attempt to deal with frequent changes to the ETX between nodes.

非常に不安定なワームホールは、たくさん開閉するラジオ不透過性の(つまり、金属製の)ドアと同じです。 RPLは、ノード間のETXへの頻繁な変更に対処するために、目的関数[RFC6719]にヒステリシスを含めます。

8. RPL Security Features
8. RPLセキュリティ機能

The assessments and analysis in Section 6 examined all areas of threats and attacks that could impact routing, and the countermeasures presented in Section 7 were reached without confining the consideration to means only available to routing. This section puts the results into perspective, dealing with those threats that are endemic to this field, that have been mitigated through RPL protocol design, and that require specific decisions to be made as part of provisioning a network.

セクション6の評価と分析は、ルーティングに影響を与える可能性のある脅威と攻撃のすべての領域を調査し、セクション7に提示された対策は、ルーティングにのみ利用可能な手段への考慮を制限することなく達成されました。このセクションでは、このフィールドに固有の脅威であり、RPLプロトコルの設計によって軽減され、ネットワークのプロビジョニングの一部として特定の決定を行う必要がある脅威に対処して、結果を展望します。

The first part of this section, Sections 8.1 to 8.3, presents a description of RPL security features that address specific threats. The second part of this section, Section 8.4, discusses issues of the provisioning of security aspects that may impact routing but that also require considerations beyond the routing protocol, as well as potential approaches.

このセクションの最初の部分であるセクション8.1〜8.3では、特定の脅威に対処するRPLセキュリティ機能について説明します。このセクションの2番目の部分であるセクション8.4では、ルーティングに影響を与える可能性があるが、ルーティングプロトコル以外の考慮事項や潜在的なアプローチも必要となるセキュリティの側面のプロビジョニングの問題について説明します。

RPL employs multicast, so these alternative communications modes MUST be secured with the same routing security services specified in this section. Furthermore, irrespective of the modes of communication, nodes MUST provide adequate physical tamper resistance commensurate with the particular application-domain environment to ensure the confidentiality, integrity, and availability of stored routing information.

RPLはマルチキャストを採用しているため、これらの代替通信モードは、このセクションで指定されているのと同じルーティングセキュリティサービスで保護する必要があります。さらに、通信モードに関係なく、ノードは、特定のアプリケーションドメイン環境に見合った適切な物理改ざん耐性を提供して、保存されたルーティング情報の機密性、整合性、および可用性を確保する必要があります。

8.1. Confidentiality Features
8.1. 機密保持機能

With regard to confidentiality, protecting the routing/topology information from unauthorized disclosure is not directly essential to maintaining the routing function. Breaches of confidentiality may lead to other attacks or the focusing of an attacker's resources (see Section 6.2) but does not of itself directly undermine the operation of the routing function. However, to protect against and reduce consequences from other more direct attacks, routing information should be protected. Thus, to secure RPL:

機密性に関して、ルーティング/トポロジ情報を不正な開示から保護することは、ルーティング機能を維持するために直接不可欠ではありません。機密性の侵害は、他の攻撃や攻撃者のリソースの集中(6.2項を参照)につながる可能性がありますが、それ自体がルーティング機能の動作を直接損なうものではありません。ただし、他のより直接的な攻撃から保護し、結果を減らすには、ルーティング情報を保護する必要があります。したがって、RPLを保護するには:

o Implement payload encryption using L3 mechanisms described in [RFC6550] or

o [RFC6550]で説明されているL3メカニズムを使用してペイロード暗号化を実装するか、

o Implement L2 confidentiality

o L2機密性を実装する

Where confidentiality is incorporated into the routing exchanges, encryption algorithms and key lengths need to be specified in accordance with the level of protection dictated by the routing protocol and the associated application-domain transport network. For most networks, this means use of AES-128 in CCM mode, but this needs to be specified clearly in the applicability statement.

ルーティング交換に機密性が組み込まれている場合、暗号化アルゴリズムとキーの長さは、ルーティングプロトコルと関連するアプリケーションドメイントランスポートネットワークによって規定される保護レベルに従って指定する必要があります。ほとんどのネットワークでは、これはCCMモードでのAES-128の使用を意味しますが、これは適用性ステートメントで明確に指定する必要があります。

In terms of the lifetime of the keys, the opportunity to periodically change the encryption key increases the offered level of security for any given implementation. However, where strong cryptography is employed, physical, procedural, and logical data access protection considerations may have a more significant impact on cryptoperiod selection than algorithm and key size factors. Nevertheless, in general, shorter cryptoperiods, during which a single key is applied, will enhance security.

キーの有効期間に関しては、暗号化キーを定期的に変更する機会があるため、特定の実装に対して提供されるセキュリティレベルが向上します。ただし、強力な暗号化が採用されている場合、物理的、手続き的、および論理的なデータアクセス保護の考慮事項は、アルゴリズムやキーサイズの要素よりも暗号期間の選択に大きな影響を与える可能性があります。それにもかかわらず、一般的には、単一の鍵が適用される期間が短いほど、セキュリティが向上します。

Given the mandatory protocol requirement to implement routing node authentication as part of routing integrity (see Section 8.2), key exchanges may be coordinated as part of the integrity verification process. This provides an opportunity to increase the frequency of key exchange and shorten the cryptoperiod as a complement to the key length and encryption algorithm required for a given application domain.

ルーティング整合性の一部としてルーティングノード認証を実装するための必須プロトコル要件(セクション8.2を参照)を前提として、キー交換は整合性検証プロセスの一部として調整される場合があります。これにより、特定のアプリケーションドメインに必要なキーの長さと暗号化アルゴリズムを補完するものとして、キー交換の頻度を増やし、暗号化期間を短縮する機会が提供されます。

8.2. Integrity Features
8.2. 整合性機能

The integrity of routing information provides the basis for ensuring that the function of the routing protocol is achieved and maintained. To protect integrity, RPL must run either using only the secure versions of the messages or over a L2 that uses channel binding between node identity and transmissions.

ルーティング情報の整合性は、ルーティングプロトコルの機能を確実に実現および維持するための基礎を提供します。整合性を保護するために、RPLはメッセージの安全なバージョンのみを使用するか、ノードIDと送信の間のチャネルバインディングを使用するL2を介して実行する必要があります。

Some L2 security mechanisms use a single key for the entire network, and these networks cannot provide a significant amount of integrity protection, as any node that has that key may impersonate any other node. This mode of operation is likely acceptable when an entire deployment is under the control of a single administrative entity.

一部のL2セキュリティメカニズムはネットワーク全体で単一のキーを使用します。これらのネットワークは、そのキーを持つノードが他のノードになりすます可能性があるため、完全な保護を提供できません。この操作モードは、デプロイメント全体が単一の管理エンティティーの制御下にある場合に許容できる可能性があります。

Other L2 security mechanisms form a unique session key for every pair of nodes that needs to communicate; this is often called a per-link key. Such networks can provide a strong degree of origin authentication and integrity on unicast messages.

他のL2セキュリティメカニズムは、通信する必要のあるノードのペアごとに一意のセッションキーを形成します。これはしばしばリンクごとのキーと呼ばれます。このようなネットワークは、ユニキャストメッセージに強力な発信元認証と整合性を提供できます。

However, some RPL messages are broadcast, and even when per-node L2 security mechanisms are used, the integrity and origin authentication of broadcast messages cannot be as trusted due to the proliferation of the key used to secure them.

ただし、一部のRPLメッセージはブロードキャストされ、ノードごとのL2セキュリティメカニズムが使用されている場合でも、それらを保護するために使用されるキーが急増しているため、ブロードキャストメッセージの整合性と送信元認証を信頼できません。

RPL has two specific options that are broadcast in RPL Control Messages: the DIO and the DODAG Information Solicitation (DIS). The purpose of the DIS is to cause potential parents to reply with a DIO, so the integrity of the DIS is not of great concern. The DIS may also be unicast.

RPLには、RPL制御メッセージでブロードキャストされる2つの特定のオプションがあります。DIOとDODAG情報要請(DIS)です。 DISの目的は、潜在的な親にDIOで応答させることです。そのため、DISの整合性はそれほど重要ではありません。 DISはユニキャストでもかまいません。

The DIO is a critical piece of routing and carries many critical parameters. RPL provides for asymmetric authentication at L3 of the RPL Control Message carrying the DIO, and this may be warranted in some deployments. A node could, if it felt that the DIO that it had received was suspicious, send a unicast DIS message to the node in question, and that node would reply with a unicast DIS. Those messages could be protected with the per-link key.

DIOはルーティングの重要な部分であり、多くの重要なパラメーターを伝達します。 RPLは、DIOを伝送するRPL制御メッセージのL3で非対称認証を提供します。これは、一部の展開で保証される場合があります。ノードは、受信したDIOが疑わしいと感じた場合、問題のノードにユニキャストDISメッセージを送信でき、そのノードはユニキャストDISで応答します。これらのメッセージは、リンクごとのキーで保護できます。

8.3. Availability Features
8.3. 可用性機能

Availability of routing information is linked to system and network availability, which in the case of LLNs require a broader security view beyond the requirements of the routing entities. Where availability of the network is compromised, routing information availability will be accordingly affected. However, to specifically assist in protecting routing availability, nodes MAY:

ルーティング情報の可用性は、システムおよびネットワークの可用性にリンクされています。LLNの場合、ルーティングエンティティの要件を超えたより広いセキュリティビューが必要です。ネットワークの可用性が損なわれると、ルーティング情報の可用性がそれに応じて影響を受けます。ただし、ルーティングの可用性の保護を具体的に支援するために、ノードは次の場合があります。

o restrict neighborhood cardinality;

o 近隣のカーディナリティを制限します。

o use multiple paths;

o 複数のパスを使用します。

o use multiple destinations;

o 複数の宛先を使用します。

o choose randomly if multiple paths are available;

o 複数のパスが利用可能な場合はランダムに選択します。

o set quotas to limit transmit or receive volume; and o use geographic information for flow control.

o送信または受信ボリュームを制限する割り当てを設定します。 oフロー制御に地理情報を使用する。

8.4. Key Management
8.4. キー管理

The functioning of the routing security services requires keys and credentials. Therefore, even though it's not directly an RPL security requirement, an LLN MUST have a process for initial key and credential configuration, as well as secure storage within the associated devices. Anti-tampering SHOULD be a consideration in physical design. Beyond initial credential configuration, an LLN is also encouraged to have automatic procedures for the revocation and replacement of the maintained security credentials.

ルーティングセキュリティサービスを機能させるには、キーと資格情報が必要です。したがって、これは直接RPLセキュリティ要件ではありませんが、LLNには、初期のキーと資格情報の構成、および関連するデバイス内の安全なストレージのプロセスが必要です。改ざん防止は物理設計で考慮すべきです。 LLNは、初期の資格情報の構成に加えて、維持されているセキュリティ資格情報の取り消しと置換を自動的に行うことも推奨されます。

While RPL has secure modes, some modes are impractical without the use of public key cryptography, which is believed to be too expensive by many. RPL L3 security will often depend upon existing LLN L2 security mechanisms, which provide for node authentication but little in the way of node authorization.

RPLには安全なモードがありますが、いくつかのモードは、公開鍵暗号を使用しないと実用的ではありません。 RPL L3セキュリティは、既存のLLN L2セキュリティメカニズムに依存することが多く、ノード認証を提供しますが、ノード承認の方法はほとんどありません。

9. Security Considerations
9. セキュリティに関する考慮事項

The analysis presented in this document provides security analysis and design guidelines with a scope limited to RPL. Security services are identified as requirements for securing RPL. The specific mechanisms to be used to deal with each threat is specified in link-Land deployment-specific applicability statements.

このドキュメントで紹介する分析は、RPLに限定された範囲でのセキュリティ分析および設計ガイドラインを提供します。セキュリティサービスは、RPLを保護するための要件として識別されます。各脅威に対処するために使用される特定のメカニズムは、リンクランド展開固有の適用性ステートメントで指定されています。

10. References
10. 参考文献
10.1. Normative References
10.1. 引用文献

[RFC2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, March 1997, <http://www.rfc-editor.org/info/rfc2119>.

[RFC2119] Bradner、S。、「要件レベルを示すためにRFCで使用するキーワード」、BCP 14、RFC 2119、1997年3月、<http://www.rfc-editor.org/info/rfc2119>。

[RFC4107] Bellovin, S. and R. Housley, "Guidelines for Cryptographic Key Management", BCP 107, RFC 4107, June 2005, <http://www.rfc-editor.org/info/rfc4107>.

[RFC4107] Bellovin、S。およびR. Housley、「暗号鍵管理のガイドライン」、BCP 107、RFC 4107、2005年6月、<http://www.rfc-editor.org/info/rfc4107>。

[RFC6550] Winter, T., Thubert, P., Brandt, A., Hui, J., Kelsey, R., Levis, P., Pister, K., Struik, R., Vasseur, JP., and R. Alexander, "RPL: IPv6 Routing Protocol for Low-Power and Lossy Networks", RFC 6550, March 2012, <http://www.rfc-editor.org/info/rfc6550>.

[RFC6550]冬、T.、Thubert、P.、Brandt、A.、Hui、J.、Kelsey、R.、Levis、P.、Pister、K.、Struik、R.、Vasseur、JP。、およびR 。Alexander、「RPL:低電力および損失の多いネットワーク用のIPv6ルーティングプロトコル」、RFC 6550、2012年3月、<http://www.rfc-editor.org/info/rfc6550>。

[RFC6719] Gnawali, O. and P. Levis, "The Minimum Rank with Hysteresis Objective Function", RFC 6719, September 2012, <http://www.rfc-editor.org/info/rfc6719>.

[RFC6719] Gnawali、O。およびP. Levis、「最小ヒステリシス目的関数のランク」、RFC 6719、2012年9月、<http://www.rfc-editor.org/info/rfc6719>。

[RFC7102] Vasseur, JP., "Terms Used in Routing for Low-Power and Lossy Networks", RFC 7102, January 2014, <http://www.rfc-editor.org/info/rfc7102>.

[RFC7102] Vasseur、JP。、「低電力および損失の多いネットワークのルーティングで使用される用語」、RFC 7102、2014年1月、<http://www.rfc-editor.org/info/rfc7102>。

[ZigBeeIP] ZigBee Alliance, "ZigBee IP Specification", Public Document 15-002r00, March 2013.

[ZigBeeIP] ZigBee Alliance、「ZigBee IP仕様」、パブリックドキュメント15-002r00、2013年3月。

10.2. Informative References
10.2. 参考引用

[AceCharterProposal] Li, Kepeng., Ed., "Draft Charter V0.9c - Authentication and Authorization for Constrained Environment Charter", Work in Progress, December 2013, <http://trac.tools.ietf.org/wg/core/trac/wiki/ ACE_charter>.

[AceCharterProposal] Li、Kepeng。、Ed。、 "Draft Charter V0.9c-Authentication and Authorization for Constrained Environment Charter"、Work in Progress、2013年12月、<http://trac.tools.ietf.org/wg/core / trac / wiki / ACE_charter>。

[HELLO] Park, S., "Routing Security in Sensor Network: HELLO Flood Attack and Defense", Work in Progress, draft-suhopark-hello-wsn-00, December 2005.

[HELLO]パーク、S。、「センサーネットワークのルーティングセキュリティ:HELLOフラッド攻撃と防御」、進行中の作業、draft-suhopark-hello-wsn-00、2005年12月。

[IEEE.802.11] IEEE, "IEEE Standard for Information Technology - Telecommunications and information exchange between systems - Local and metropolitan area networks - Specific requirements Part 11: Wireless LAN Medium Access Control (MAC) and Physical Layer (PHY) Specifications", IEEE Std 802.11-2012, March 2012, <http://standards.ieee.org/about/get/802/802.11.html>.

[IEEE.802.11] IEEE、「情報技術に関するIEEE規格-システム間のテレコミュニケーションおよび情報交換-ローカルおよびメトロポリタンエリアネットワーク-特定の要件パート11:無線LAN媒体アクセス制御(MAC)および物理層(PHY)仕様」、IEEE Std 802.11-2012、2012年3月、<http://standards.ieee.org/about/get/802/802.11.html>。

[IEEE.802.15.4] IEEE, "IEEE Standard for Local and metropolitan area networks - Specific requirements - Part 15.4: Low-Rate Wireless Personal Area Networks (LR-WPANs)", IEEE Std 802.15.4-2011, September 2011, <http://standards.ieee.org/getieee802/802.15.html>.

[IEEE.802.15.4] IEEE、「IEEE Standard for Local and Metropolitan Area Network-Specific requirements-Part 15.4:Low-Rate Wireless Personal Area Networks(LR-WPANs)」、IEEE Std 802.15.4-2011、2011年9月、 <http://standards.ieee.org/getieee802/802.15.html>。

[ISO.7498-2.1989] International Organization for Standardization, "Information processing systems - Open Systems Interconnection -- Basic Reference Model - Part 2: Security Architecture", ISO Standard 7498-2, 1989.

[ISO.7498-2.1989]国際標準化機構、「情報処理システム-オープンシステム相互接続-基本参照モデル-パート2:セキュリティアーキテクチャ」、ISO標準7498-2、1989。

[Karlof2003] Karlof, C. and D. Wagner, "Secure Routing in Wireless Sensor Networks: Attacks and Countermeasures", Elsevier Ad Hoc Networks Journal, Special Issue on Sensor Network Applications and Protocols, 1(2):293-315, September 2003, <http://nest.cs.berkeley.edu/papers/ sensor-route-security.pdf>.

[Karlof2003] Karlof、C。およびD. Wagner、「ワイヤレスセンサーネットワークの安全なルーティング:攻撃と対策」、Elsevier Ad Hoc Networks Journal、特集号「センサーネットワークアプリケーションとプロトコル」、1(2):293-315、9月2003、<http://nest.cs.berkeley.edu/papers/ sensor-route-security.pdf>。

[MESH-LINK] Kelsey, R., "Mesh Link Establishment", Work in Progress, draft-kelsey-intarea-mesh-link-establishment-06, May 2014.

[MESH-LINK]ケルシー、R。、「メッシュリンクの確立」、作業中、draft-kelsey-intarea-mesh-link-establishment-06、2014年5月。

[Myagmar2005] Myagmar, S., Lee, AJ., and W. Yurcik, "Threat Modeling as a Basis for Security Requirements", in Proceedings of the Symposium on Requirements Engineering for Information Security (SREIS'05), Paris, France pp. 94-102, August 2005.

[Myagmar2005] Myagmar、S.、Lee、AJ。、およびW. Yurcik、「セキュリティ要件の基礎としての脅威モデリング」、情報セキュリティの要件エンジニアリングに関するシンポジウム(SREIS'05)、パリ、フランスpp 。94-102、2005年8月。

[Perlman1988] Perlman, R., "Network Layer Protocols with Byzantine Robustness", MIT LCS Tech Report, 429, August 1988.

[Perlman1988] Perlman、R。、「ビザンチンの堅牢性を備えたネットワーク層プロトコル」、MIT LCS Tech Report、429、1988年8月。

[RFC2328] Moy, J., "OSPF Version 2", STD 54, RFC 2328, April 1998, <http://www.rfc-editor.org/info/rfc2328>.

[RFC2328] Moy、J。、「OSPFバージョン2」、STD 54、RFC 2328、1998年4月、<http://www.rfc-editor.org/info/rfc2328>。

[RFC3067] Arvidsson, J., Cormack, A., Demchenko, Y., and J. Meijer, "TERENA'S Incident Object Description and Exchange Format Requirements", RFC 3067, February 2001, <http://www.rfc-editor.org/info/rfc3067>.

[RFC3067] Arvidsson、J.、Cormack、A.、Demchenko、Y。、およびJ. Meijer、「TERENA'S Incident Object Description and Exchange Format Requirements」、RFC 3067、2001年2月、<http://www.rfc-editor .org / info / rfc3067>。

[RFC3610] Whiting, D., Housley, R., and N. Ferguson, "Counter with CBC-MAC (CCM)", RFC 3610, September 2003, <http://www.rfc-editor.org/info/rfc3610>.

[RFC3610] Whiting、D.、Housley、R。、およびN. Ferguson、「Counter with CBC-MAC(CCM)」、RFC 3610、2003年9月、<http://www.rfc-editor.org/info/ rfc3610>。

[RFC4593] Barbir, A., Murphy, S., and Y. Yang, "Generic Threats to Routing Protocols", RFC 4593, October 2006, <http://www.rfc-editor.org/info/rfc4593>.

[RFC4593] Barbir、A.、Murphy、S。、およびY. Yang、「Generic Threats to Routing Protocols」、RFC 4593、2006年10月、<http://www.rfc-editor.org/info/rfc4593>。

[RFC4732] Handley, M., Rescorla, E., and IAB, "Internet Denial-of-Service Considerations", RFC 4732, December 2006, <http://www.rfc-editor.org/info/rfc4732>.

[RFC4732] Handley、M.、Rescorla、E。、およびIAB、「インターネットサービス拒否の考慮事項」、RFC 4732、2006年12月、<http://www.rfc-editor.org/info/rfc4732>。

[RFC4949] Shirey, R., "Internet Security Glossary, Version 2", RFC 4949, August 2007, <http://www.rfc-editor.org/info/rfc4949>.

[RFC4949] Shirey、R。、「インターネットセキュリティ用語集、バージョン2」、RFC 4949、2007年8月、<http://www.rfc-editor.org/info/rfc4949>。

[RFC5191] Forsberg, D., Ohba, Y., Patil, B., Tschofenig, H., and A. Yegin, "Protocol for Carrying Authentication for Network Access (PANA)", RFC 5191, May 2008, <http://www.rfc-editor.org/info/rfc5191>.

[RFC5191] Forsberg、D.、Ohba、Y.、Patil、B.、Tschofenig、H。、およびA. Yegin、「Protocol for Carrying Authentication for Network Access(PANA)」、RFC 5191、2008年5月、<http: //www.rfc-editor.org/info/rfc5191>。

[RFC5216] Simon, D., Aboba, B., and R. Hurst, "The EAP-TLS Authentication Protocol", RFC 5216, March 2008, <http://www.rfc-editor.org/info/rfc5216>.

[RFC5216]サイモン、D。、アボバ、B。、およびR.ハースト、「EAP-TLS認証プロトコル」、RFC 5216、2008年3月、<http://www.rfc-editor.org/info/rfc5216> 。

[RFC5548] Dohler, M., Watteyne, T., Winter, T., and D. Barthel, "Routing Requirements for Urban Low-Power and Lossy Networks", RFC 5548, May 2009, <http://www.rfc-editor.org/info/rfc5548>.

[RFC5548] Dohler、M.、Wattyne、T.、Winter、T。、およびD. Barthel、「都市の低電力および損失の多いネットワークのルーティング要件」、RFC 5548、2009年5月、<http://www.rfc -editor.org/info/rfc5548>。

[RFC5673] Pister, K., Thubert, P., Dwars, S., and T. Phinney, "Industrial Routing Requirements in Low-Power and Lossy Networks", RFC 5673, October 2009, <http://www.rfc-editor.org/info/rfc5673>.

[RFC5673] Pister、K.、Thubert、P.、Dwars、S.、T。Phinney、「Industrial Routing Requirements in Low-Power and Lossy Networks」、RFC 5673、2009年10月、<http://www.rfc -editor.org/info/rfc5673>。

[RFC5751] Ramsdell, B. and S. Turner, "Secure/Multipurpose Internet Mail Extensions (S/MIME) Version 3.2 Message Specification", RFC 5751, January 2010, <http://www.rfc-editor.org/info/rfc5751>.

[RFC5751] Ramsdell、B。およびS. Turner、「Secure / Multipurpose Internet Mail Extensions(S / MIME)Version 3.2 Message Specification」、RFC 5751、2010年1月、<http://www.rfc-editor.org/info / rfc5751>。

[RFC5826] Brandt, A., Buron, J., and G. Porcu, "Home Automation Routing Requirements in Low-Power and Lossy Networks", RFC 5826, April 2010, <http://www.rfc-editor.org/info/rfc5826>.

[RFC5826] Brandt、A.、Buron、J。、およびG. Porcu、「低電力および損失の多いネットワークにおけるホームオートメーションルーティング要件」、RFC 5826、2010年4月、<http://www.rfc-editor.org / info / rfc5826>。

[RFC5867] Martocci, J., De Mil, P., Riou, N., and W. Vermeylen, "Building Automation Routing Requirements in Low-Power and Lossy Networks", RFC 5867, June 2010, <http://www.rfc-editor.org/info/rfc5867>.

[RFC5867] Martocci、J.、De Mil、P.、Riou、N。、およびW. Vermeylen、「Building Automation Routing Requirements in Low-Power and Lossy Networks」、RFC 5867、2010年6月、<http:// www .rfc-editor.org / info / rfc5867>。

[RFC6192] Dugal, D., Pignataro, C., and R. Dunn, "Protecting the Router Control Plane", RFC 6192, March 2011, <http://www.rfc-editor.org/info/rfc6192>.

[RFC6192] Dugal、D.、Pignataro、C。、およびR. Dunn、「Protecting the Router Control Plane」、RFC 6192、2011年3月、<http://www.rfc-editor.org/info/rfc6192>。

[RFC6574] Tschofenig, H. and J. Arkko, "Report from the Smart Object Workshop", RFC 6574, April 2012, <http://www.rfc-editor.org/info/rfc6574>.

[RFC6574] Tschofenig、H。およびJ. Arkko、「Report from the Smart Object Workshop」、RFC 6574、2012年4月、<http://www.rfc-editor.org/info/rfc6574>。

[RFC6824] Ford, A., Raiciu, C., Handley, M., and O. Bonaventure, "TCP Extensions for Multipath Operation with Multiple Addresses", RFC 6824, January 2013, <http://www.rfc-editor.org/info/rfc6824>.

[RFC6824] Ford、A.、Raiciu、C.、Handley、M。、およびO. Bonaventure、「複数のアドレスを使用したマルチパス操作のためのTCP拡張機能」、RFC 6824、2013年1月、<http://www.rfc-editor .org / info / rfc6824>。

[RFC7142] Shand, M. and L. Ginsberg, "Reclassification of RFC 1142 to Historic", RFC 7142, February 2014, <http://www.rfc-editor.org/info/rfc7142>.

[RFC7142] Shand、M。およびL. Ginsberg、「Reclassification to RFC 1142 to Historic」、RFC 7142、2014年2月、<http://www.rfc-editor.org/info/rfc7142>。

[RFC7397] Gilger, J. and H. Tschofenig, "Report from the Smart Object Security Workshop", RFC 7397, November 2014, <http://www.rfc-editor.org/info/rfc7397>.

[RFC7397] Gilger、J。およびH. Tschofenig、「スマートオブジェクトセキュリティワークショップからのレポート」、RFC 7397、2014年11月、<http://www.rfc-editor.org/info/rfc7397>。

[SmartObjectSecurityWorkshop] Klausen, T., Ed., "Workshop on Smart Object Security", March 2012, <http://www.lix.polytechnique.fr/hipercom/ SmartObjectSecurity>.

[SmartObjectSecurityWorkshop] Klausen、T.、編、「Workshop on Smart Object Security」、2012年3月、<http://www.lix.polytechnique.fr/hipercom/ SmartObjectSecurity>。

[SolaceProposal] Bormann, C., Ed., "Notes from the SOLACE ad hoc at IETF 85", November 2012, <http://www.ietf.org/ mail-archive/web/solace/current/msg00015.html>.

[SolaceProposal] Bormann、C.、Ed。、「Notes from the SOLACE ad hoc at IETF 85」、2012年11月、<http://www.ietf.org/ mail-archive / web / solace / current / msg00015.html >。

[Sybil2002] Douceur, J., "The Sybil Attack", First International Workshop on Peer-to-Peer Systems, March 2002.

[Sybil2002] Douceur、J。、「The Sybil Attack」、ピアツーピアシステムに関する最初の国際ワークショップ、2002年3月。

[Wan2004] Wan, T., Kranakis, E., and PC. van Oorschot, "S-RIP: A Secure Distance Vector Routing Protocol", in Proceedings of the 2nd International Conference on Applied Cryptography and Network Security, pp. 103-119, June 2004.

[Wan2004] Wan、T.、Kranakis、E。、およびPC。 van Oorschot、「S-RIP:A Secure Distance Vector Routing Protocol」、Proceedings of the 2nd International Conference on Applied Cryptography and Network Security、pp。103-119、2004年6月。

[Yourdon1979] Yourdon, E. and L. Constantine, "Structured Design: Fundamentals of a Discipline of Computer Program and Systems Design", Yourdon Press, New York, Chapter 10, pp. 187-222, 1979.

[Yourdon1979] Yourdon、E.およびL. Constantine、「Structured Design:Fundamentals of a Discipline of Computer Program and Systems Design」、Yourdon Press、ニューヨーク、第10章、187-222ページ、1979年。

Acknowledgments

謝辞

The authors would like to acknowledge the review and comments from Rene Struik and JP Vasseur. The authors would also like to acknowledge the guidance and input provided by the ROLL Chairs, David Culler and JP Vasseur, and Area Director Adrian Farrel.

著者は、Rene StruikとJP Vasseurからのレビューとコメントに感謝します。著者はまた、ROLLの議長であるDavid CullerとJP Vasseur、およびエリアディレクターのAd​​rian Farrelから提供されたガイダンスとインプットを認めたいと思います。

This document started out as a combined threat and solutions document. As a result of a series of security reviews performed by Steve Kent, the document was split up by ROLL Co-Chair Michael Richardson and Security Area Director Sean Turner as it went through the IETF publication process. The solutions to the threats are application and L2 specific and have, therefore, been moved to the relevant applicability statements.

このドキュメントは、脅威とソリューションを組み合わせたドキュメントとして始まりました。 Steve Kentが一連のセキュリティレビューを実施した結果、ドキュメントはROLL共同議長のMichael RichardsonとセキュリティエリアディレクターのSean TurnerがIETFの公開プロセスを進めながら分割しました。脅威の解決策はアプリケーションとL2に固有であるため、関連する適用性の説明に移動しました。

Ines Robles and Robert Cragie kept track of the many issues that were raised during the development of this document.

Ines RoblesとRobert Cragieは、このドキュメントの作成中に発生した多くの問題を追跡しました。

Authors' Addresses

著者のアドレス

Tzeta Tsao Eaton's Cooper Power Systems Business 910 Clopper Rd., Suite 201S Gaithersburg, Maryland 20878 United States EMail: tzetatsao@eaton.com

Tzeta Tsao EatonのCooper Power Systems Business 910 Clopper Rd。、Suite 201S Gaithersburg、Maryland 20878 United States Eメール:tzetatsao@eaton.com

Roger K. Alexander Eaton's Cooper Power Systems Business 910 Clopper Rd., Suite 201S Gaithersburg, Maryland 20878 United States EMail: rogeralexander@eaton.com

ロジャーK.アレクサンダーイートンのクーパーパワーシステムビジネス910 Clopper Rd。、Suite 201S Gaithersburg、Maryland 20878 United States Eメール:rogeralexander@eaton.com

Mischa Dohler CTTC Parc Mediterrani de la Tecnologia, Av. Canal Olimpic S/N Castelldefels, Barcelona 08860 Spain EMail: mischa.dohler@kcl.ac.uk

Mischa Dohler CTTC地中海テクノロジーパーク、Av。 Canal Olimpic S / N Castelldefels、Barcelona 08860 Spain EMail:mischa.dohler@kcl.ac.uk

Vanesa Daza Universitat Pompeu Fabra P/ Circumval.lacio 8, Oficina 308 Barcelona 08003 Spain EMail: vanesa.daza@upf.edu

Vanesa Daza Pompeu Fabra University P / Circumval.lacio 8、Office 308 Barcelona 08003 Spain EMail:vanesa.daza@upf.edu

Angel Lozano Universitat Pompeu Fabra P/ Circumval.lacio 8, Oficina 309 Barcelona 08003 Spain EMail: angel.lozano@upf.edu

エンジェルロザノポンペウファブラ大学P / Circumval.lacio 8、Office 309バルセロナ08003スペインメール:angel.lozano@upf.edu

Michael Richardson (editor) Sandelman Software Works 470 Dawson Avenue Ottawa, ON K1Z5V7 Canada EMail: mcr+ietf@sandelman.ca

Michael Richardson(編集者)Sandelman Software Works 470 Dawson Avenue Ottawa、ON K1Z5V7 Canada EMail:mcr+ietf@sandelman.ca