[要約] RFC 9063は、Host Identity Protocol (HIP) アーキテクチャに関する文書で、インターネットのホスト同士が安全に通信するための新しい方法を提案しています。このプロトコルは、IPアドレスの代わりにホストのアイデンティティを使用して通信の認証と暗号化を行うことで、モバイルコンピューティング、マルチホーミング、プライバシー保護などの利用場面で有効です。
Internet Engineering Task Force (IETF) R. Moskowitz, Ed.
Request for Comments: 9063 HTT Consulting
Obsoletes: 4423 M. Komu
Category: Informational Ericsson
ISSN: 2070-1721 July 2021
Host Identity Protocol Architecture
ホストIDプロトコルアーキテクチャ
Abstract
概要
This memo describes the Host Identity (HI) namespace, which provides a cryptographic namespace to applications, and the associated protocol layer, the Host Identity Protocol, located between the internetworking and transport layers, that supports end-host mobility, multihoming, and NAT traversal. Herein are presented the basics of the current namespaces, their strengths and weaknesses, and how a HI namespace will add completeness to them. The roles of the HI namespace in the protocols are defined.
このメモは、アプリケーションに暗号化されたネームスペース、およびインターネットワーキング層とトランスポート層の間に配置された、エンドホストのモビリティ、マルチホーム、およびNATトラバーサルをサポートするホストID(HI)ネームスペースを記述します。。ここでは、現在の名前空間、それらの強み、短所の基本、およびHIネームスペースがそれらにどのように完全性を加えるかについて提示される。プロトコル内のHIネームスペースの役割が定義されています。
This document obsoletes RFC 4423 and addresses the concerns raised by the IESG, particularly that of crypto agility. The Security Considerations section also describes measures against flooding attacks, usage of identities in access control lists, weaker types of identifiers, and trust on first use. This document incorporates lessons learned from the implementations of RFC 7401 and goes further to explain how HIP works as a secure signaling channel.
この文書はRFC 4423を廃止し、特に暗号俊敏性のIESGによって提起された懸念に対処します。セキュリティ上の考慮事項のセクションでは、フラッディング攻撃、アクセス制御リストのアイデンティティの使用、初めての識別子の種類、および最初の使用に関する信頼について説明します。この文書には、RFC 7401の実装から学習されたレッスンを組み込んで、HIPが安全なシグナリングチャネルとしてどのように機能するかを説明するためにさらに説明します。
Status of This Memo
本文書の位置付け
This document is not an Internet Standards Track specification; it is published for informational purposes.
この文書はインターネット標準のトラック仕様ではありません。情報提供のために公開されています。
This document is a product of the Internet Engineering Task Force (IETF). It represents the consensus of the IETF community. It has received public review and has been approved for publication by the Internet Engineering Steering Group (IESG). Not all documents approved by the IESG are candidates for any level of Internet Standard; see Section 2 of RFC 7841.
この文書は、インターネットエンジニアリングタスクフォース(IETF)の製品です。IETFコミュニティのコンセンサスを表します。それは公開レビューを受け、インターネットエンジニアリングステアリンググループ(IESG)による出版の承認を受けました。IESGによって承認されたすべての文書がすべてのレベルのインターネット規格の候補者ではありません。RFC 7841のセクション2を参照してください。
Information about the current status of this document, any errata, and how to provide feedback on it may be obtained at https://www.rfc-editor.org/info/rfc9063.
この文書の現在のステータス、任意のエラータ、およびフィードバックを提供する方法は、https://www.rfc-editor.org/info/rfc9063で取得できます。
Copyright Notice
著作権表示
Copyright (c) 2021 IETF Trust and the persons identified as the document authors. All rights reserved.
著作権(C)2021 IETF信頼と文書著者として識別された人。全著作権所有。
This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents (https://trustee.ietf.org/license-info) in effect on the date of publication of this document. Please review these documents carefully, as they describe your rights and restrictions with respect to this document. Code Components extracted from this document must include Simplified BSD License text as described in Section 4.e of the Trust Legal Provisions and are provided without warranty as described in the Simplified BSD License.
このドキュメントは、このドキュメントの発行日に有効なBCP 78およびIETFドキュメントに関連するIETFトラストの法的規定(https://trustee.ietf.org/license-info)の対象となります。 これらのドキュメントは、このドキュメントに関するお客様の権利と制限について説明しているため、注意深く確認してください。 このドキュメントから抽出されたコードコンポーネントには、Trust LegalProvisionsのセクション4.eで説明されているSimplifiedBSD Licenseテキストが含まれている必要があり、Simplified BSDLicenseで説明されているように保証なしで提供されます。
This document may contain material from IETF Documents or IETF Contributions published or made publicly available before November 10, 2008. The person(s) controlling the copyright in some of this material may not have granted the IETF Trust the right to allow modifications of such material outside the IETF Standards Process. Without obtaining an adequate license from the person(s) controlling the copyright in such materials, this document may not be modified outside the IETF Standards Process, and derivative works of it may not be created outside the IETF Standards Process, except to format it for publication as an RFC or to translate it into languages other than English.
この文書には、2008年11月10日以前に公開されたIETF文書または公開されたIETFの貢献からの資料を含めることができます。この材料のいくつかの著作権を制御する人は、そのような材料の修正を許可する権利を信頼する権利を与えられなかった人物IETF標準の外部プロセス。そのような材料の著作権を制御する人から適切なライセンスを取得せずに、この文書はIETF規格プロセスの外で修正されていない可能性があり、それをフォーマットすること以外はIETF標準プロセスの外ではデリバティブ作品が作成されない可能性があります。RFCとしての出版物、または英語以外の言語に翻訳する。
Table of Contents
目次
1. Introduction
2. Terminology
2.1. Terms Common to Other Documents
2.2. Terms Specific to This and Other HIP Documents
3. Background
3.1. A Desire for a Namespace for Computing Platforms
4. Host Identity Namespace
4.1. Host Identifiers
4.2. Host Identity Hash (HIH)
4.3. Host Identity Tag (HIT)
4.4. Local Scope Identifier (LSI)
4.5. Storing Host Identifiers in Directories
5. New Stack Architecture
5.1. On the Multiplicity of Identities
6. Control Plane
6.1. Base Exchange
6.2. End-Host Mobility and Multihoming
6.3. Rendezvous Mechanism
6.4. Relay Mechanism
6.5. Termination of the Control Plane
7. Data Plane
8. HIP and NATs
8.1. HIP and Upper-Layer Checksums
9. Multicast
10. HIP Policies
11. Security Considerations
11.1. MitM Attacks
11.2. Protection against Flooding Attacks
11.3. HITs Used in ACLs
11.4. Alternative HI Considerations
11.5. Trust on First Use
12. IANA Considerations
13. Changes from RFC 4423
14. References
14.1. Normative References
14.2. Informative References
Appendix A. Design Considerations
A.1. Benefits of HIP
A.2. Drawbacks of HIP
A.3. Deployment and Adoption Considerations
A.3.1. Deployment Analysis
A.3.2. HIP in 802.15.4 Networks
A.3.3. HIP and Internet of Things
A.3.4. Infrastructure Applications
A.3.5. Management of Identities in a Commercial Product
A.4. Answers to NSRG Questions
Acknowledgments
Authors' Addresses
The Internet has two important global namespaces: Internet Protocol (IP) addresses and Domain Name Service (DNS) names. These two namespaces have a set of features and abstractions that have powered the Internet to what it is today. They also have a number of weaknesses. Basically, since they are all we have, we try to do too much with them. Semantic overloading and functionality extensions have greatly complicated these namespaces.
インターネットには2つの重要なグローバルネームスペースがあります。インターネットプロトコル(IP)アドレスとドメインネームサービス(DNS)の名前。これら2つの名前空間には、今日のものにインターネットを動かすことができた一連の機能と抽象化があります。彼らはまたいくつかの弱点を持っています。基本的に、それらはすべて私たちが持っているので、私たちは彼らと一緒にやろうとします。意味的な過負荷と機能拡張機能は、これらの名前空間を大幅に複雑にしています。
The proposed Host Identity namespace is also a global namespace, and it fills an important gap between the IP and DNS namespaces. A Host Identity conceptually refers to a computing platform, and there may be multiple such Host Identities per computing platform (because the platform may wish to present a different identity to different communicating peers). The Host Identity namespace consists of Host Identifiers (HI). There is exactly one Host Identifier for each Host Identity (although there may be transient periods of time such as key replacement when more than one identifier may be active). While this text later talks about non-cryptographic Host Identifiers, the architecture focuses on the case in which Host Identifiers are cryptographic in nature. Specifically, the Host Identifier is the public key of an asymmetric key pair. Each Host Identity uniquely identifies a single host, i.e., no two hosts have the same Host Identity. If two or more computing platforms have the same Host Identifier, then they are instantiating a distributed host. The Host Identifier can either be public (e.g., published in the DNS) or unpublished. Client systems will tend to have both public and unpublished Host Identifiers.
提案されたホストIDネームスペースもグローバルネームスペースであり、IPとDNSネームスペース間の重要なギャップを埋めます。ホストIDは概念的にコンピューティングプラットフォームを参照しており、コンピューティングプラットフォームごとに複数のそのようなホストIDがある場合があります(プラットフォームは異なる通信ピアとは異なる識別情報を提示したい場合があります)。ホストIDネームスペースは、ホスト識別子(HI)で構成されています。各ホストIDに対して正確に1つのホスト識別子があります(ただし、複数の識別子がアクティブになっている場合はキー交換などの過渡期間がある可能性があります)。このテキストは後で非暗号化ホスト識別子について話しますが、アーキテクチャは自然の中でホスト識別子が暗号化されている場合に焦点を当てています。具体的には、ホスト識別子は非対称鍵ペアの公開鍵です。各ホストIDは単一のホストを一意に識別します。すなわち、2つのホストが同じホストIDを持つことはありません。 2つ以上のコンピューティングプラットフォームが同じホスト識別子を持つ場合、それらは分散ホストをインスタンス化しています。ホスト識別子は、一般に(例えば、DNSに公開されている)または未公開のいずれかであり得る。クライアントシステムは、公共および未公開のホスト識別子の両方を持つ傾向があります。
There is a subtle but important difference between Host Identities and Host Identifiers. An Identity refers to the abstract entity that is identified. An Identifier, on the other hand, refers to the concrete bit pattern that is used in the identification process.
ホストIDとホスト識別子の間には微妙ですが重要な違いがあります。アイデンティティは、識別された抽象エンティティを指します。一方、識別子は、識別プロセスで使用される具体的なビットパターンを指す。
Although the Host Identifiers could be used in many authentication systems, such as IKEv2 [RFC7296], the presented architecture introduces a new protocol, called the Host Identity Protocol (HIP), and a cryptographic exchange, called the HIP base exchange; see also Section 6. HIP provides for limited forms of trust between systems, enhances mobility, multihoming, and dynamic IP renumbering, aids in protocol translation and transition, and reduces certain types of denial-of-service (DoS) attacks.
ホスト識別子はIKEV2 [RFC7296]のような多くの認証システムで使用することができますが、提示されたアーキテクチャは、ホストIDプロトコル(HIP)と呼ばれる新しいプロトコル、およびHIP基本Exchangeと呼ばれる暗号化されたExchangeを導入します。セクション6. HIPは、システム間の限られた形式の信頼を提供し、モビリティ、マルチホーム、および動的IPの番号の変更を強化し、プロトコルの翻訳と遷移を助け、特定の種類のサービス拒否(DOS)攻撃を削減します。
When HIP is used, the actual payload traffic between two HIP hosts is typically, but not necessarily, protected with Encapsulating Security Payload (ESP) [RFC7402]. The Host Identities are used to create the needed ESP Security Associations (SAs) and to authenticate the hosts. When ESP is used, the actual payload IP packets do not differ in any way from standard ESP-protected IP packets.
HIPが使用されるとき、2つのHIPホスト間の実際のペイロードトラフィックは通常、必ずしもそうではなく、Security Payload(ESP)[RFC7402]で保護されています。ホストIDは、必要なESPセキュリティアソシエーション(SAS)を作成し、ホストを認証するために使用されます。ESPが使用されると、実際のペイロードIPパケットは標準のESP-Protected IPパケットから何らかの方法では異なりません。
Much has been learned about HIP [RFC6538] since [RFC4423] was published. This document expands Host Identities beyond their original use to enable IP connectivity and security to enable general interhost secure signaling at any protocol layer. The signal may establish a security association between the hosts or simply pass information within the channel.
[RFC4423]が公開されて以来、HIP [RFC6538]について多くのことが学びました。このドキュメントでは、IP接続とセキュリティを有効にして、どのプロトコルレイヤで一般的なInterHost Secureシグナリングを有効にするために、オリジナルの使用を超えてホストIDが展開されます。信号は、ホスト間のセキュリティアソシエーションを確立し、単にチャネル内の情報を渡すことができる。
+==========+===================================================+
| Term | Explanation |
+==========+===================================================+
| Public | The public key of an asymmetric cryptographic key |
| key | pair. Used as a publicly known identifier for |
| | cryptographic identity authentication. Public is |
| | a relative term here, ranging from "known to |
| | peers only" to "known to the world". |
+----------+---------------------------------------------------+
| Private | The private or secret key of an asymmetric |
| key | cryptographic key pair. Assumed to be known only |
| | to the party identified by the corresponding |
| | public key. Used by the identified party to |
| | authenticate its identity to other parties. |
+----------+---------------------------------------------------+
| Public | An asymmetric cryptographic key pair consisting |
| key pair | of public and private keys. For example, Rivest- |
| | Shamir-Adleman (RSA), Digital Signature Algorithm |
| | (DSA) and Elliptic Curve DSA (ECDSA) key pairs |
| | are such key pairs. |
+----------+---------------------------------------------------+
| Endpoint | A communicating entity. For historical reasons, |
| | the term 'computing platform' is used in this |
| | document as a (rough) synonym for endpoint. |
+----------+---------------------------------------------------+
Table 1
表1
It should be noted that many of the terms defined herein are tautologous, self-referential, or defined through circular reference to other terms. This is due to the succinct nature of the definitions. See the text elsewhere in this document and the base specification [RFC7401] for more elaborate explanations.
本明細書で定義されている用語の多くは、互度が異なっている、自己参照、または他の用語に対する円形参照によって定義されることに留意されたい。これは定義の簡潔な性質によるものです。詳しく説明するためのこの文書の他の場所と基本仕様[RFC7401]を参照してください。
+==============+=============================================+
| Term | Explanation |
+==============+=============================================+
| Computing | An entity capable of communicating and |
| platform | computing, for example, a computer. See |
| | the definition of 'Endpoint', above. |
+--------------+---------------------------------------------+
| HIP base | A cryptographic protocol; see also |
| exchange | Section 6. |
+--------------+---------------------------------------------+
| HIP packet | An IP packet that carries a 'Host Identity |
| | Protocol' message. |
+--------------+---------------------------------------------+
| Host | An abstract concept assigned to a |
| Identity | 'computing platform'. See 'Host |
| | Identifier', below. |
+--------------+---------------------------------------------+
| Host | A public key used as a name for a Host |
| Identifier | Identity. |
+--------------+---------------------------------------------+
| Host | A name space formed by all possible Host |
| Identity | Identifiers. |
| namespace | |
+--------------+---------------------------------------------+
| Host | A protocol used to carry and authenticate |
| Identity | Host Identifiers and other information. |
| Protocol | |
+--------------+---------------------------------------------+
| Host | The cryptographic hash used in creating the |
| Identity | Host Identity Tag from the Host Identifier. |
| Hash | |
+--------------+---------------------------------------------+
| Host | A 128-bit datum created by taking a |
| Identity Tag | cryptographic hash over a Host Identifier |
| | plus bits to identify which hash was used. |
+--------------+---------------------------------------------+
| Local Scope | A 32-bit datum denoting a Host Identity. |
| Identifier | |
+--------------+---------------------------------------------+
| Public Host | A published or publicly known Host |
| Identifier | Identifier used as a public name for a Host |
| and Identity | Identity, and the corresponding Identity. |
+--------------+---------------------------------------------+
| Unpublished | A Host Identifier that is not placed in any |
| Host | public directory, and the corresponding |
| Identifier | Host Identity. Unpublished Host Identities |
| and Identity | are typically short lived in nature, being |
| | often replaced and possibly used just once. |
+--------------+---------------------------------------------+
| Rendezvous | A mechanism used to locate mobile hosts |
| Mechanism | based on their HIT. |
+--------------+---------------------------------------------+
Table 2
表2.
The Internet is built from three principal components: computing platforms (endpoints), packet transport (i.e., internetworking) infrastructure, and services (applications). The Internet exists to service two principal components: people and robotic services (silicon-based people, if you will). All these components need to be named in order to interact in a scalable manner. Here we concentrate on naming computing platforms and packet transport elements.
インターネットは、コンピューティングプラットフォーム(エンドポイント)、パケットトランスポート(すなわち、インターネットワーキング)インフラストラクチャ、およびサービス(アプリケーション)の3つの主要コンポーネントから構築されています。インターネットは、2つの主要なコンポーネントをサービスするために存在します:人とロボットサービス(あなたがそうであれば、シリコンベースの人々)。これらすべての構成要素は、スケーラブルな方法で相互作用するために命名する必要があります。ここでは、命名コンピューティングプラットフォームとパケット転送要素に集中しています。
There are two principal namespaces in use in the Internet for these components: IP addresses, and Domain Names. Domain Names provide hierarchically assigned names for some computing platforms and some services. Each hierarchy is delegated from the level above; there is no anonymity in Domain Names. Email, HTTP, and SIP addresses all reference Domain Names.
これらのコンポーネントのインターネットには、IPアドレス、およびドメイン名の2つの主な名前空間があります。ドメイン名は、一部のコンピューティングプラットフォームと一部のサービスに階層的に割り当てられた名前を提供します。各階層は上記のレベルから委任されます。ドメイン名に匿名性はありません。Eメール、HTTP、およびSIPはすべての参照ドメイン名をアドレス指定します。
The IP addressing namespace has been overloaded to name both interfaces (at Layer 3) and endpoints (for the endpoint-specific part of Layer 3 and for Layer 4). In their role as interface names, IP addresses are sometimes called "locators" and serve as an endpoint within a routing topology.
IPアドレス指定ネームスペースは、(レイヤ3)およびエンドポイント(レイヤ3のエンドポイント固有の部分およびレイヤ4の場合)の両方のインターフェイスとエンドポイントに名前を付けるためにオーバーロードされています。インターフェイス名としての役割では、IPアドレスは「ロケーター」と呼ばれ、ルーティングトポロジ内のエンドポイントとして機能します。
IP addresses are numbers that name networking interfaces, and typically only when the interface is connected to the network. Originally, IP addresses had long-term significance. Today, the vast number of interfaces use ephemeral and/or non-unique IP addresses. That is, every time an interface is connected to the network, it is assigned an IP address.
IPアドレスは、ネットワークインタフェースをネームにする番号であり、通常はインターフェイスがネットワークに接続されている場合にのみ使用されます。もともと、IPアドレスは長期的な重要性を持っていました。今日、膨大な数のインタフェースは、一意のIPアドレスと非一意のIPアドレスを使用します。つまり、インタフェースがネットワークに接続されるたびに、IPアドレスが割り当てられます。
In the current Internet, the transport layers are coupled to the IP addresses. Neither can evolve separately from the other. IPng deliberations were strongly shaped by the decision that a corresponding TCPng would not be created.
現在のインターネットでは、トランスポート層はIPアドレスに結合されています。どちらも他のものとは別に進化することはできません。IPNG審議は、対応するTCPNGが作成されないという決定によって強く形作られました。
There are three critical deficiencies with the current namespaces. First, the establishing of initial contact and the sustaining of data flows between two hosts can be challenging due to private address realms and the ephemeral nature of addresses. Second, confidentiality is not provided in a consistent, trustable manner. Finally, authentication for systems and datagrams is not provided. All of these deficiencies arise because computing platforms are not well named with the current namespaces.
現在の名前空間を持つ重要な欠陥は3つあります。まず、2つのホスト間の初期連絡先とデータフローの持続管理の確立は、プライベートアドレスレルムとアドレスの一時的な性質のために困難になる可能性があります。第二に、機密性は一貫した信頼できる方法で提供されていない。最後に、システムとデータグラムの認証は提供されていません。コンピューティングプラットフォームは現在のネームスペースでも命名されていないため、これらすべての欠陥が発生します。
An independent namespace for computing platforms could be used in end-to-end operations independent of the evolution of the internetworking layer and across the many internetworking layers. This could support rapid readdressing of the internetworking layer because of mobility, rehoming, or renumbering.
コンピューティングプラットフォーム用の独立したネームスペースは、インターネットワーキングレイヤの進化とは無関係のエンドツーエンド操作で、多くのインターネットワーキングレイヤを横切ることができます。これは、モビリティ、リハーミング、または番号を付け直すために、インターネットワーキングレイヤの迅速な受信をサポートする可能性があります。
If the namespace for computing platforms is based on public-key cryptography, it can also provide authentication services. If this namespace is locally created without requiring registration, it can provide anonymity.
コンピューティングプラットフォームの名前空間が公開鍵暗号化に基づいている場合は、認証サービスも提供できます。この名前空間が登録を必要とせずにローカルに作成されている場合は、匿名性を提供できます。
Such a namespace (for computing platforms) and the names in it should have the following characteristics:
そのような名前空間(プラットフォームのコンピューティング用)とその名前の名前は、次のような特徴を持つ必要があります。
* The namespace should be applied to the IP 'kernel' or stack. The IP stack is the 'component' between applications and the packet transport infrastructure.
* 名前空間はIP 'カーネルまたはスタックに適用する必要があります。IPスタックは、アプリケーションとパケットトランスポートインフラストラクチャ間の 'コンポーネント'です。
* The namespace should fully decouple the internetworking layer from the higher layers. The names should replace all occurrences of IP addresses within applications (like in the Transport Control Block, TCB). This replacement can be handled transparently for legacy applications as the Local Scope Identifiers (LSIs) and HITs are compatible with IPv4 and IPv6 addresses [RFC5338]. However, HIP-aware applications require some modifications from the developers, who may employ networking API extensions for HIP [RFC6317].
* ネームスペースは、インターネットワーキングレイヤを上位レイヤーから完全に分離する必要があります。名前はアプリケーション内のすべての出現箇所(トランスポートコントロールブロック、TCB)のように)を置き換える必要があります。ローカルスコープ識別子(LSI)およびヒットがIPv4およびIPv6アドレス[RFC5338]と互換性があるため、この置換はレガシーアプリケーションのために透過的に処理できます。ただし、HIP対応アプリケーションでは、HIP [RFC6317]のネットワークAPI拡張機能を採用することができる開発者からのいくつかの変更が必要です。
* The introduction of the namespace should not mandate any administrative infrastructure. Deployment must come from the bottom up, in a pairwise deployment.
* ネームスペースの導入は、管理インフラストラクチャを義務付けてはいけません。展開は、ペアワイズの展開で、下から起動する必要があります。
* The names should have a fixed-length representation, for easy inclusion in datagram headers and existing programming interfaces (e.g., the TCB).
* データグラムヘッダーと既存のプログラミングインタフェース(例えば、TCB)に簡単に含めるための固定長の表現を持つ必要があります。
* Using the namespace should be affordable when used in protocols. This is primarily a packet size issue. There is also a computational concern in affordability.
* ネームスペースを使用すると、プロトコルで使用されている場合は手頃な価格である必要があります。これは主にパケットサイズの問題です。手頃な価格で計算上の関心事もあります。
* Name collisions should be avoided as much as possible. The mathematics of the birthday paradox can be used to estimate the chance of a collision in a given population and hash space. In general, for a random hash space of size n bits, we would expect to obtain a collision after approximately 1.2*sqrt(2^n) hashes were obtained. For 64 bits, this number is roughly 4 billion. A hash size of 64 bits may be too small to avoid collisions in a large population; for example, there is a 1% chance of collision in a population of 640M. For 100 bits (or more), we would not expect a collision until approximately 2^50 (1 quadrillion) hashes were generated. With the currently used hash size of 96 bits [RFC7343], the figure is 2^48 (281 trillions).
* 名前の衝突はできるだけ回避する必要があります。誕生日パラドックスの数学は、特定の人口とハッシュスペースで衝突の可能性を推定するために使用できます。一般に、サイズNビットのランダムなハッシュ空間の場合、約1.2 * SQRT(2 ^ N)ハッシュが得られた後に衝突を得ることが期待されます。64ビットの場合、この数は約40億です。衝突を避けるためには、64ビットのハッシュサイズが小さすぎる可能性があります。たとえば、640mの人口に1%の衝突の可能性があります。100ビット(またはそれ以上)では、約2 ^ 50(1四重穴)ハッシュが発生するまで衝突が期待されない。現在使用されているハッシュサイズ96ビット[RFC7343]では、図は2 ^ 48(281兆)です。
* The names should have a localized abstraction so that they can be used in existing protocols and APIs.
* 名前には、既存のプロトコルやAPIで使用できるように、ローカライズされた抽象化が必要です。
* It must be possible to create names locally. When such names are not published, this can provide anonymity at the cost of making resolvability very difficult.
* ローカルに名前を作成することが可能でなければなりません。そのような名前が公開されていないとき、これは解決性を非常に困難にするコストで匿名性を提供することができます。
* The namespace should provide authentication services.
* 名前空間は認証サービスを提供する必要があります。
* The names should be long-lived, but replaceable at any time. This impacts access control lists; short lifetimes will tend to result in tedious list maintenance or require a namespace infrastructure for central control of access lists.
* 名前は長くてもずっと交換可能であるべきです。これはアクセス制御リストに影響を与えます。短いライフタイムは、退屈なリストのメンテナンスをもたらす傾向があり、アクセスリストの中心的な制御のためのネームスペースインフラストラクチャを必要とする傾向があります。
In this document, the namespace approaching these ideas is called the Host Identity namespace. Using Host Identities requires its own protocol layer, the Host Identity Protocol, between the internetworking and transport layers. The names are based on public-key cryptography to supply authentication services. Properly designed, it can deliver all of the above-stated requirements.
このドキュメントでは、これらのアイデアに近づくネームスペースはホストIDネームスペースと呼ばれます。ホストIDを使用するには、インターネットワーキングレイヤとトランスポート層の間で、独自のプロトコルレイヤー、ホストIDプロトコルが必要です。名前は認証サービスを提供するための公開鍵暗号化に基づいています。適切に設計されているため、上記の要件をすべて配信できます。
A name in the Host Identity namespace, a Host Identifier (HI), represents a statistically globally unique name for naming any system with an IP stack. This identity is normally associated with, but not limited to, an IP stack. A system can have multiple identities, some 'well known', some unpublished or 'anonymous'. A system may self-assert its own identity, or may use a third-party authenticator like DNSSEC [RFC4033], Pretty Good Privacy (PGP), or X.509 to 'notarize' the identity assertion to another namespace.
ホスト識別子(HI)であるホストIDネームスペースの名前は、IPスタックを使用して任意のシステムを命名するための統計的にグローバルに一意の名前を表します。この識別情報は通常、IPスタックと関連付けられていますが、これらに限定されません。システムは複数のアイデンティティを持つことができます、いくつかの「よく知られている」、いくつかの未公開または「匿名」。システムは独自のアイデンティティを自己アサートすることも、DNSSEC [RFC4033]、かなり良いプライバシー(PGP)、またはX.509のようなサードパーティのオーセンティケータを使用することがあります。
In theory, any name that can claim to be 'statistically globally unique' may serve as a Host Identifier. In the HIP architecture, the public key of a private-public key pair has been chosen as the Host Identifier because it can be self-managed and it is computationally difficult to forge. As specified in the Host Identity Protocol specification [RFC7401], a public-key-based HI can authenticate the HIP packets and protect them from man-in-the-middle (MitM) attacks. Since authenticated datagrams are mandatory to provide much of HIP's denial-of-service protection, the Diffie-Hellman exchange in HIP base exchange has to be authenticated. Thus, only public-key HI and authenticated HIP messages are supported in practice.
理論的には、「統計的にグローバルに一意」であると主張できる名前は、ホスト識別子として機能することがあります。HIPアーキテクチャでは、プライベートパブリックキーペアの公開鍵は自己管理済みであるため、ホスト識別子として選択されており、計算上鍛造が困難です。ホストIDプロトコル仕様[RFC7401]で指定されているように、パブリックキーベースのHIはHIPパケットを認証し、それらをMan-In-Midder(MITM)攻撃から保護することができます。AuthatiCated Datagramsは、HIPのサービス拒否保護の多くを提供するために必須であるため、HIPベース交換のDiffie-Hellman Exchangeは認証されなければなりません。したがって、公開hiと認証されたHIPメッセージのみが実際にサポートされています。
In this document, some non-cryptographic forms of HI and HIP are referenced, but cryptographic forms should be preferred because they are more secure than their non-cryptographic counterparts. There has been past research in challenge puzzles using non-cryptographic HI for Radio Frequency IDentification (RFID), in an HIP exchange tailored to the workings of such challenges (as described further in [urien-rfid] and [urien-rfid-draft]).
この文書では、HIおよびHIPのいくつかの非暗号化形態が参照されていますが、暗号化形式は、それらの非暗号化対応物よりも安全であるため好まべきです。そのような課題の働きに合わせて調整された股関節の交換のための非暗号化Hiを使用しているチャレンジパズル(RFID)および[Urien-RFID-rfid-rfid-rfid-rfid])を使用して、過去の研究が行われています。)。
Host Identity adds two main features to Internet protocols. The first is a decoupling of the internetworking and transport layers; see Section 5. This decoupling will allow for independent evolution of the two layers. Additionally, it can provide end-to-end services over multiple internetworking realms. The second feature is host authentication. Because the Host Identifier is a public key, this key can be used for authentication in security protocols like ESP.
ホストIDは、インターネットプロトコルに2つの主な機能を追加します。1つ目は、インターネットワーキング層と輸送層のデカップリングです。セクション5を参照してください。このデカップリングは2つのレイヤーの独立した進化を可能にします。さらに、複数のインターネットワーキングレルムにわたってエンドツーエンドサービスを提供できます。2番目の機能はホスト認証です。ホスト識別子は公開鍵であるため、このキーはESPのようなセキュリティプロトコルの認証に使用できます。
An identity is based on public-private key cryptography in HIP. The Host Identity is referred to by its public component, the public key. Thus, the name representing a Host Identity in the Host Identity namespace, i.e., the Host Identifier, is the public key. In a way, the possession of the private key defines the Identity itself. If the private key is possessed by more than one node, the Identity can be considered to be a distributed one.
アイデンティティは、股関節における公共秘密鍵暗号化に基づいています。ホストIDは、公開鍵である公開鍵によって参照されます。したがって、ホストIDネームスペース、すなわちホスト識別子内のホスト識別情報を表す名前は、公開鍵である。つまり、秘密鍵の所有者は身元自体を定義します。秘密鍵が複数のノードによって所有されている場合、識別情報は分散型と見なすことができます。
Architecturally, any other Internet naming convention might form a usable base for Host Identifiers. However, non-cryptographic names should only be used in situations of high trust and/or low risk. That is any place where host authentication is not needed (no risk of host spoofing) and no use of ESP. However, at least for interconnected networks spanning several operational domains, the set of environments where the risk of host spoofing allowed by non-cryptographic Host Identifiers is acceptable is the null set. Hence, the current HIP documents do not specify how to use any other types of Host Identifiers but public keys. For instance, the Back to My Mac service [RFC6281] from Apple comes pretty close to the functionality of HIP, but unlike HIP, it is based on non-cryptographic identifiers.
アーキテクチャでは、他のインターネット命名規則は、ホスト識別子に使用可能な基本を形成する可能性があります。ただし、非暗号化名は、信頼性および/またはリスクの低い状況でのみ使用する必要があります。つまり、ホスト認証が不要な場所(ホストのなりすましのリスクなし)とESPの使用なしです。ただし、少なくとも複数の運用ドメインにまたがるネットワーク間では、非暗号化ホスト識別子によって許容されるホストスプーフィングのリスクが許容できる環境のセットがNULLセットです。したがって、現在のHIP文書は、他の種類のホスト識別子を使用する方法を指定しないが、公開鍵を指定していません。たとえば、AppleのMy Macサービス[RFC6281]からHIPの機能にかなり近くなるが、HIPとは異なり、非暗号識別子に基づいています。
The actual Host Identifiers are never directly used at the transport or network layers. The corresponding Host Identifiers (public keys) may be stored in various DNS or other directories as identified elsewhere in this document, and they are passed in the HIP base exchange. A Host Identity Tag (HIT) is used in other protocols to represent the Host Identity. Another representation of the Host Identities, the Local Scope Identifier (LSI), can also be used in protocols and APIs.
実際のホスト識別子は、トランスポート層またはネットワーク層では直接使用されません。対応するホスト識別子(公開鍵)は、この文書の他の場所で識別されるようにさまざまなDNSまたは他のディレクトリに格納されていてもよく、それらはHIP基地交換に渡されます。ホストIDタグ(HIT)は、ホストIDを表すために他のプロトコルで使用されます。ホストIDのもう1つの表現、ローカルスコープ識別子(LSI)はプロトコルとAPIでも使用できます。
The Host Identity Hash (HIH) is the cryptographic hash algorithm used in producing the HIT from the HI. It is also the hash used throughout HIP for consistency and simplicity. It is possible for the two hosts in the HIP exchange to use different hash algorithms.
ホストIDハッシュ(HIH)は、HIからのヒットを生成するのに使用される暗号化ハッシュアルゴリズムである。一貫性と単純さのためにHIPを通して使用されるハッシュでもあります。HIP交換内の2つのホストが異なるハッシュアルゴリズムを使用することが可能です。
Multiple HIHs within HIP are needed to address the moving target of creation and eventual compromise of cryptographic hashes. This significantly complicates HIP and offers an attacker an additional downgrade attack that is mitigated in HIP [RFC7401].
股関節内の複数のHIHSは、暗号化ハッシュの創造の移動ターゲットと最終的な妥協点に対処するために必要です。これは股関節を著しく複雑にし、攻撃者にHIP [RFC7401]で軽減される追加のダウングレード攻撃を提供します。
A Host Identity Tag (HIT) is a 128-bit representation for a Host Identity. Due to its size, it is suitable for use in the existing sockets API in the place of IPv6 addresses (e.g., in sockaddr_in6 structure, sin6_addr member) without modifying applications. It is created from an HIH, an IPv6 prefix [RFC7343], and a hash identifier. There are two advantages of using the HIT over using the Host Identifier in protocols. First, its fixed length makes for easier protocol coding and also better manages the packet size cost of this technology. Second, it presents the identity in a consistent format to the protocol independent of the cryptographic algorithms used.
ホストIDタグ(HIT)は、ホストIDの128ビット表現です。そのサイズのために、アプリケーションを修正することなく、IPv6アドレス(例えばSOCKADDR_IN6構造、SIN6_ADDRメンバー)の代わりに既存のソケットAPIでの使用に適しています。それは、HiH、IPv6プレフィックス[RFC7343]、およびハッシュ識別子から作成されます。プロトコル内のホスト識別子を使用してヒットオーバーを使用するという2つの利点があります。第1に、その固定長は、より容易なプロトコル符号化を可能にし、またこの技術のパケットサイズコストをより良く管理する。第二に、それは、使用される暗号化アルゴリズムとは無関係に、一貫したフォーマットで識別情報を提示する。
In essence, the HIT is a hash over the public key. As such, two algorithms affect the generation of a HIT: the public-key algorithm of the HI and the used HIH. The two algorithms are encoded in the bit presentation of the HIT. As the two communicating parties may support different algorithms, [RFC7401] defines the minimum set for interoperability. For further interoperability, the Responder may store its keys in DNS records, and thus the Initiator may have to couple destination HITs with appropriate source HITs according to matching HIH.
本質的に、ヒットは公開鍵の上のハッシュです。そのように、2つのアルゴリズムはヒットの生成に影響を与えます:HIと使用されているHIHの公開鍵アルゴリズム。2つのアルゴリズムはヒットのビット表示にエンコードされています。2つの通信当事者が異なるアルゴリズムをサポートできるため、[RFC7401]は相互運用性の最小セットを定義します。さらなる相互運用性のために、レスポンダはそのキーをDNSレコードに格納することができ、したがってイニシエータはマッチングHIHに従って適切な送信元ヒットを用いて宛先ヒットを結合する必要があるかもしれない。
In the HIP packets, the HITs identify the sender and recipient of a packet. Consequently, a HIT should be unique in the whole IP universe as long as it is being used. In the extremely rare case of a single HIT mapping to more than one Host Identity, the Host Identifiers (public keys) will make the final difference. If there is more than one public key for a given node, the HIT acts as a hint for the correct public key to use.
HIPパケットでは、ヒットはパケットの送信者と受信者を識別します。その結果、HITはIP宇宙全体で使用されている限りユニークであるべきです。複数のホストIDへの単一のヒットマッピングの極めてまれな場合、ホスト識別子(公開鍵)は最終的な違いを生じさせるでしょう。特定のノードに複数の公開鍵がある場合、HITは正しい公開鍵のヒントとして機能します。
Although it may be rare for an accidental collision to cause a single HIT mapping to more than one Host Identity, it may be the case that an attacker succeeds to find, by brute force or algorithmic weakness, a second Host Identity hashing to the same HIT. This type of attack is known as a preimage attack, and the resistance to finding a second Host Identifier (public key) that hashes to the same HIT is called second preimage resistance. Second preimage resistance in HIP is based on the hash algorithm strength and the length of the hash output used. Through HIPv2 [RFC7401], this resistance is 96 bits (less than the 128-bit width of an IPv6 address field due to the presence of the Overlay Routable Cryptographic Hash Identifiers (ORCHID) prefix [RFC7343]). 96 bits of resistance was considered acceptable strength during the design of HIP but may eventually be considered insufficient for the threat model of an envisioned deployment. One possible mitigation would be to augment the use of HITs in the deployment with the HIs themselves (and mechanisms to securely bind the HIs to the HITs), so that the HI becomes the final authority. It also may be possible to increase the difficulty of a brute force attack by making the generation of the HI more computationally difficult, such as the hash extension approach of Secure Neighbor Discovery Cryptographically Generated Addresses (CGAs) [RFC3972], although the HIP specifications through HIPv2 do not provide such a mechanism. Finally, deployments that do not use ORCHIDs (such as certain types of overlay networks) might also use the full 128-bit width of an IPv6 address field for the HIT.
偶然の衝突が1つ以上のホスト識別情報へのシングルヒットマッピングを引き起こすことは稀かもしれませんが、攻撃者がブルートフォースまたはアルゴリズムの弱さによって、同じヒットを獲得する2番目のホストアイデンティティを見つけることが成功した場合があります。 。このタイプの攻撃は、プリ画像攻撃として知られており、同じヒットをハッシュする第2のホスト識別子(公開鍵)を発見する抵抗は、第2のプリメッジ抵抗と呼ばれる。 HIPにおける第2のプリーマージ抵抗は、ハッシュアルゴリズム強度および使用されるハッシュ出力の長さに基づいている。 hipv2 [RFC7401]を介して、この抵抗は96ビット(オーバーレイルーパー暗号化ハッシュ識別子(Orchid)プレフィックス(RFC7343]の存在により、IPv6アドレスフィールドの128ビット幅よりも小さい)です。 96ビットの抵抗は、股の設計中に許容される強度と考えられていましたが、最終的には想定されている展開の脅威モデルには不十分と見なされます。 1つの可能な緩和は、HIが最終的な当局になるように、彼自体の展開におけるヒットの使用を強化することであろう。また、Secure Neighbor Discovery Cryptograbily Mainmaby Addresses(CGAS)[RFC3972]のハッシュ拡張アプローチなど、HIよりも計算上困難を発生させることで、ブルートフォース攻撃の困難性を高めることも可能です。 HIPv2そのようなメカニズムを提供していません。最後に、オーキッドを使用しない展開(特定の種類のオーバーレイネットワークなど)も、ヒットのためにIPv6アドレスフィールドの完全な128ビット幅を使用することもできます。
An LSI is a 32-bit localized representation for a Host Identity. Due to its size, it is suitable for use in the existing sockets API in the place of IPv4 addresses (e.g., in sockaddr_in structure, sin_addr member) without modifying applications. The purpose of an LSI is to facilitate using Host Identities in existing APIs for IPv4-based applications. LSIs are never transmitted on the wire; when an application sends data using a pair of LSIs, the HIP layer (or sockets handler) translates the LSIs to the corresponding HITs, and vice versa for the receiving of data. Besides facilitating HIP-based connectivity for legacy IPv4 applications, the LSIs are beneficial in two other scenarios [RFC6538].
LSIは、ホストIDの32ビットのローカライズ表現です。そのサイズのために、アプリケーションを修正することなく、IPv4アドレス(例えばSOCKADDR_IN構造、SIN_ADDRメンバー)の代わりに既存のソケットAPIでの使用に適しています。LSIの目的は、IPv4ベースのアプリケーション用の既存のAPIのホストIDを使用することを容易にすることです。LSIはワイヤー上で送信されません。アプリケーションが一対のLSIを使用してデータを送信すると、HIPレイヤ(またはソケットハンドラ)はLSIを対応するヒットに変換し、データの受信のためにその逆も同様です。従来のIPv4アプリケーションのためのHIPベースの接続性を促進することに加えて、LSIは他の2つのシナリオで有益です[RFC6538]。
In the first scenario, two IPv4-only applications reside on two separate hosts connected by IPv6-only network. With HIP-based connectivity, the two applications are able to communicate despite the mismatch in the protocol families of the applications and the underlying network. The reason is that the HIP layer translates the LSIs originating from the upper layers into routable IPv6 locators before delivering the packets on the wire.
最初のシナリオでは、2つのIPv4のみのアプリケーションがIPv6専用ネットワークで接続されている2つの別々のホストにあります。HIPベースの接続性では、2つのアプリケーションは、アプリケーションのプロトコルファミリと基礎となるネットワークの不一致にもかかわらず通信できます。その理由は、HIPレイヤが、ワイヤ上のパケットを配信する前に、上位レイヤーから発生したLSIをルーティング可能なIPv6ロケーターに変換することです。
The second scenario is the same as the first one, but with the difference that one of the applications supports only IPv6. Now two obstacles hinder the communication between the applications: the addressing families of the two applications differ, and the application residing at the IPv4-only side is again unable to communicate because of the mismatch between addressing families of the application (IPv4) and network (IPv6). With HIP-based connectivity for applications, this scenario works; the HIP layer can choose whether to translate the locator of an incoming packet into an LSI or HIT.
2番目のシナリオは最初のものと同じですが、アプリケーションの1つがIPv6のみをサポートするという違いがあります。2つの障害物がアプリケーション間の通信を妨げています.2つのアプリケーションのアドレッシングファミリは異なり、IPv4専用側に存在するアプリケーションは再度通信できません。IPv6)。アプリケーションのためのHIPベースの接続性で、このシナリオは機能します。HIPレイヤーは、着信パケットのロケーターをLSIまたはヒットに変換するかどうかを選択できます。
Effectively, LSIs improve IPv6 interoperability at the network layer as described in the first scenario and at the application layer as depicted in the second example. The interoperability mechanism should not be used to avoid transition to IPv6; the authors firmly believe in IPv6 adoption and encourage developers to port existing IPv4-only applications to use IPv6. However, some proprietary, closed-source, IPv4-only applications may never see the daylight of IPv6, and the LSI mechanism is suitable for extending the lifetime of such applications even in IPv6-only networks.
事実上、LSIは、第2の例に示すように、第1のシナリオおよびアプリケーション層で説明されているネットワーク層におけるIPv6相互運用性を向上させる。IPv6への移行を避けるために相互運用性メカニズムを使用しないでください。著者らは、IPv6の採用をしっかりと確信し、開発者がIPv6を使用する既存のIPv4のみのアプリケーションをポートに奨励します。ただし、独自のクローズドソース、IPv4のみのアプリケーションの中には、IPv6の夏時間が表示されず、IPv6のみのネットワークでもそのようなアプリケーションの寿命を延ばすのに適しています。
The main disadvantage of an LSI is its local scope. Applications may violate layering principles and pass LSIs to each other in application-layer protocols. As the LSIs are valid only in the context of the local host, they may represent an entirely different host when passed to another host. However, it should be emphasized here that the LSI concept is effectively a host-based NAT and does not introduce any more issues than the prevalent middlebox-based NATs for IPv4. In other words, the applications violating layering principles are already broken by the NAT boxes that are ubiquitously deployed.
LSIの主な欠点はその地域の範囲です。アプリケーションは、アプリケーション層プロトコルで階層化原理に違反し、LSIを互いに通過することがあります。LSIはローカルホストのコンテキストでのみ有効であるため、他のホストに渡されたときにはまったく異なるホストを表すことができます。ただし、ここでは、LSIの概念は効果的にホストベースのNATであり、IPv4のための普及していないミドルボックスベースのNATよりも多くの問題を導入しないことを強調してください。言い換えれば、階層化原理に違反するアプリケーションはすでに普遍的に展開されているNATボックスによって壊れています。
The public Host Identifiers should be stored in DNS; the unpublished Host Identifiers should not be stored anywhere (besides the communicating hosts themselves). The (public) HI along with the supported HIHs are stored in a new Resource Record (RR) type. This RR type is defined in the HIP DNS extension [RFC8005].
パブリックホスト識別子はDNSに格納する必要があります。未公開のホスト識別子はどこにでも保存しないでください(通信ホスト自体の他に)。サポートされているHIHSとともに(公開)HIは、新しいリソースレコード(RR)タイプに格納されています。このRRタイプは、HIP DNS拡張[RFC8005]で定義されています。
Alternatively, or in addition to storing Host Identifiers in the DNS, they may be stored in various other directories. For instance, a directory based on the Lightweight Directory Access Protocol (LDAP) or a Public Key Infrastructure (PKI) [RFC8002] may be used. Alternatively, Distributed Hash Tables (DHTs) [RFC6537] have successfully been utilized [RFC6538]. Such a practice may allow them to be used for purposes other than pure host identification.
あるいは、またはDNSにホスト識別子を格納することに加えて、それらは他の様々なディレクトリに格納されてもよい。たとえば、軽量ディレクトリアクセスプロトコル(LDAP)または公開鍵インフラストラクチャ(PKI)[RFC8002]に基づくディレクトリを使用できます。あるいは、分散ハッシュテーブル(DHTS)[RFC6537]が正常に利用されました[RFC6538]。そのような慣行は、それらを純粋なホスト識別以外の目的に使用することを可能にし得る。
Some types of applications may cache and use Host Identifiers directly, while others may indirectly discover them through a symbolic host name (such as a Fully Qualified Domain Name (FQDN)) look up from a directory. Even though Host Identities can have a substantially longer lifetime associated with them than routable IP addresses, directories may be a better approach to manage the lifespan of Host Identities. For example, an LDAP-based directory or DHT can be used for locally published identities whereas DNS can be more suitable for public advertisement.
いくつかの種類のアプリケーションは、ホスト識別子を直接キャッシュして使用することができ、他のものはシンボリックホスト名(完全修飾ドメイン名(FQDN)など)をディレクトリから検索することができます。ホストIDがルーティング可能なIPアドレスよりも実質的に長い寿命を持つことができる場合でも、ディレクトリはホストIDの寿命を管理するためのより良いアプローチです。たとえば、LDAPベースのディレクトリまたはDHTは、ローカルに公開されているアイデンティティに使用できますが、DNSはパブリック広告に適しています。
One way to characterize Host Identity is to compare the proposed HI-based architecture with the current one. Using the terminology from the IRTF Name Space Research Group Report [nsrg-report] and, e.g., the document on "Endpoints and Endpoint Names" [chiappa-endpoints], the IP addresses currently embody the dual role of locators and endpoint identifiers. That is, each IP address names a topological location in the Internet, thereby acting as a routing direction vector, or locator. At the same time, the IP address names the physical network interface currently located at the point-of-attachment, thereby acting as an endpoint name.
ホストIDを特徴付ける1つの方法は、提案されたHIベースのアーキテクチャを現在のものと比較することです。IRTF名宇宙研究グループレポート[NSRG-Report]と、例えば、「エンドポイントとエンドポイント名」の文書からの用語を使用して、現在ロケーター識別子のデュアルロールを具体化しているIPアドレスを実現しています。すなわち、各IPアドレスはインターネット内の位相的な場所を命名し、それによってルーティング方向ベクトル、またはロケータとして機能する。同時に、IPアドレスは現在ポイントポイントにある物理ネットワークインターフェイスに名前を付け、それによってエンドポイント名として機能します。
In the HIP architecture, the endpoint names and locators are separated from each other. IP addresses continue to act as locators. The Host Identifiers take the role of endpoint identifiers. It is important to understand that the endpoint names based on Host Identities are slightly different from interface names; a Host Identity can be simultaneously reachable through several interfaces.
HIPアーキテクチャでは、エンドポイント名とロケータは互いに分離されています。IPアドレスはロケータとして機能し続けます。ホスト識別子は、エンドポイント識別子の役割を取ります。ホストIDに基づくエンドポイント名がインターフェイス名とは少し異なることを理解することが重要です。ホスト識別情報は、複数のインタフェースを介して同時に到達可能であり得る。
The difference between the bindings of the logical entities are illustrated in Figure 1. The left side illustrates the current TCP/ IP architecture and the right side the HIP-based architecture.
論理エンティティのバインディングの差を図1に示します。左側には、現在のTCP / IPアーキテクチャと右側のHIPベースのアーキテクチャが示しています。
Transport ---- Socket Transport ------ Socket
association | association |
| |
| |
| |
Endpoint | Endpoint --- Host Identity
\ | |
\ | |
\ | |
\ | |
Location --- IP address Location --- IP address
Figure 1
図1
Architecturally, HIP provides for a different binding of transport-layer protocols. That is, the transport-layer associations, i.e., TCP connections and UDP associations, are no longer bound to IP addresses but rather to Host Identities. In practice, the Host Identities are exposed as LSIs and HITs for legacy applications and the transport layer to facilitate backward compatibility with existing networking APIs and stacks.
アーキテクチャでは、HIPはトランスポート層プロトコルの異なるバインディングを提供します。すなわち、トランスポート層の関連付け、すなわちTCP接続およびUDPアソシエーションは、IPアドレスにバインドされなくなり、むしろIDをホストする。実際には、ホストアイデンティティはLSIとして公開され、従来のアプリケーションおよびトランスポート層のためのヒットは既存のネットワークAPIとスタックとの下位互換性を促進するために展開されます。
The HIP layer is logically located at Layer 3.5, between the transport and network layers, in the networking stack. It acts as shim layer for transport data utilizing LSIs or HITs but leaves other data intact. The HIP layer translates between the two forms of HIP identifiers originating from the transport layer into routable IPv4/ IPv6 addresses for the network layer and vice versa for the reverse direction.
HIPレイヤは、ネットワークスタック内のトランスポート層とネットワーク層の間のレイヤ3.5に論理的に配置されています。LSIを利用しているが他のデータをそのまま残しているが、その他のデータを残す。HIP層は、トランスポート層から発信された2つの形態のHIP識別子とネットワーク層のためのルーティング可能なIPv4 / IPv6アドレスとの間で、そして逆方向の逆に変換される。
A host may have multiple identities both at the client and server side. This raises some additional concerns that are addressed in this section.
ホストは、クライアント側とサーバー側の両方で複数のIDを持つことができます。このセクションではアドレス指定されている追加の懸念がいくつか発生します。
For security reasons, it may be a bad idea to duplicate the same Host Identity on multiple hosts because the compromise of a single host taints the identities of the other hosts. Management of machines with identical Host Identities may also present other challenges and, therefore, it is advisable to have a unique identity for each host.
セキュリティ上の理由から、単一のホストの妥協点が他のホストのアイデンティティを害するため、複数のホストで同じホストIDを複製することは悪い考えかもしれません。同一のホストIDを有するマシンの管理も他の課題を提示する可能性があり、したがって、各ホストに対して一意の身元を有することが賢明である。
At the server side, utilizing DNS is a better alternative than a shared Host Identity to implement load balancing. A single FQDN entry can be configured to refer to multiple Host Identities. Each of the FQDN entries can be associated with the related locators or with a single shared locator in the case the servers are using the same HIP rendezvous server (Section 6.3) or HIP relay server (Section 6.4).
サーバー側では、DNSを使用すると、ロードバランシングを実装するための共有ホストIDよりも優れた方法があります。単一のFQDNエントリは、複数のホストIDを参照するように設定できます。各FQDNエントリは、サーバーが同じHIP Rendezvous Server(セクション6.3)またはHIPリレーサーバーを使用している場合に、関連するロケーターまたは単一の共有ロケーターに関連付けることができます(セクション6.4)。
Instead of duplicating identities, HIP opportunistic mode can be employed, where the Initiator leaves out the identifier of the Responder when initiating the key exchange and learns it upon the completion of the exchange. The trade-offs are related to lowered security guarantees, but a benefit of the approach is to avoid the publishing of Host Identifiers in any directories [komu-leap]. Since many public servers already employ DNS as their directory, opportunistic mode may be more suitable for, e.g., peer-to-peer connectivity. It is also worth noting that opportunistic mode is also required in practice when anycast IP addresses would be utilized as locators.
アイデンティティを複製する代わりに、HIPの日和見主義的モードを採用することができ、ここでイニシエータはキー交換を開始するときにレスポンダの識別子を離れて交換完了時に学習する。トレードオフはセキュリティ保証の低下に関連していますが、アプローチの利点は、どのディレクトリでのホスト識別子の公開を避けることです[コムリープ]。多くのパブリックサーバーはすでにDNSをディレクトリとして採用しているため、日和見主義的モードは、例えばピアツーピア接続性に適している可能性があります。また、Anycast IPアドレスがロケータとして利用される場合には、機会モードも実際に必要とされることも注目に値します。
HIP opportunistic mode could be utilized in association with HIP rendezvous servers or HIP relay servers [komu-diss]. In such a scenario, the Initiator sends an I1 message with a wildcard destination HIT to the locator of a HIP rendezvous/relay server. When the receiving rendezvous/relay server is serving multiple registered Responders, the server can choose the ultimate destination HIT, thus acting as a HIP-based load balancer. However, this approach is still experimental and requires further investigation.
HIPのジャパチョスティックスモードは、HIPランデブーサーバーまたはHIPリレーサーバー[コムズリズ]と関連して利用できます。このようなシナリオでは、イニシエータはHIP Rendezvous / Relayサーバのロケータにヒットするワイルドカード先のI1メッセージを送信します。受信したRendezvous / Relay Serverが複数の登録されたレスポンダにサービスを提供している場合、サーバーはUltimate Destination Hitを選択でき、ヒップベースのロードバランサとして機能します。しかしながら、このアプローチは依然として実験的であり、さらなる調査を必要とする。
At the client side, a host may have multiple Host Identities, for instance, for privacy purposes. Another reason can be that the person utilizing the host employs different identities for different administrative domains as an extra security measure. If a HIP-aware middlebox, such as a HIP-based firewall, is on the path between the client and server, the user or the underlying system should carefully choose the correct identity to avoid the firewall unnecessarily dropping HIP-based connectivity [komu-diss].
クライアント側では、ホストは、例えばプライバシーの目的で、複数のホストIDを持つことができます。もう1つの理由は、ホストを利用する人が特別なセキュリティ対策として、さまざまな管理ドメインに対して異なるIDを採用している可能性があります。HIPベースのファイアウォールなどのHIP対応ミドルボックスがクライアントとサーバー間のパス上にある場合、ユーザーまたは基礎となるシステムは、ファイアウォールを不必要に不必要にHIPベースの接続を落とすのを防ぐために正しいIDを慎重に選択する必要があります[コム - diss]。
Similarly, a server may have multiple Host Identities. For instance, a single web server may serve multiple different administrative domains. Typically, the distinction is accomplished based on the DNS name, but also the Host Identity could be used for this purpose. However, a more compelling reason to employ multiple identities is the HIP-aware firewall that is unable to see the HTTP traffic inside the encrypted IPsec tunnel. In such a case, each service could be configured with a separate identity, thus allowing the firewall to segregate the different services of the single web server from each other [lindqvist-enterprise].
同様に、サーバーは複数のホストIDを持つことができます。たとえば、単一のWebサーバーは複数の異なる管理ドメインに役立てられます。典型的には、区別はDNS名に基づいて達成されるが、ホスト識別情報はこの目的のために使用され得る。ただし、複数のIDを採用するより説得力のある理由は、暗号化されたIPsecトンネル内のHTTPトラフィックを見ることができないHIP対応のファイアウォールです。そのような場合、各サービスは別々の識別情報を構成することができ、ファイアウォールはシングルWebサーバの異なるサービスを互いに互いに分離させることができる[LindQvist-Enterprise]。
HIP decouples the control and data planes from each other. Two end-hosts initialize the control plane using a key exchange procedure called the base exchange. The procedure can be assisted by HIP-specific infrastructural intermediaries called rendezvous or relay servers. In the event of IP address changes, the end-hosts sustain control plane connectivity with mobility and multihoming extensions. Eventually, the end-hosts terminate the control plane and remove the associated state.
HIPコントロールとデータプレーンを互いに切り離します。2つのエンドホストは、基本交換と呼ばれる鍵交換手順を使用して制御面を初期化します。この手順は、RendezvousまたはRelayサーバーと呼ばれるHIP固有のインフラストラクチャーールキュラーによって支援されます。IPアドレスが変更された場合、エンドホストはモビリティとマルチホーム拡張機能とのコントロールプレーン接続をサステインします。最終的には、エンドホストはコントロールプレーンを終了し、関連する状態を削除します。
The base exchange is a key exchange procedure that authenticates the Initiator and Responder to each other using their public keys. Typically, the Initiator is the client-side host and the Responder is the server-side host. The roles are used by the state machine of a HIP implementation but then discarded upon successful completion.
基本交換は、その公開鍵を使用して互いにイニシエータとレスポンダを認証する鍵交換手順です。通常、イニシエータはクライアントサイドホストで、レスポンダはサーバーサイドホストです。役割は、HIP実装のステートマシンによって使用されますが、成功した完了時に破棄されます。
The exchange consists of four messages during which the hosts also create symmetric keys to protect the control plane with Hash-based Message Authentication Codes (HMACs). The keys can be also used to protect the data plane, and IPsec ESP [RFC7402] is typically used as the data plane protocol, albeit HIP can also accommodate others. Both the control and data planes are terminated using a closing procedure consisting of two messages.
交換は、ホストがHASHベースのメッセージ認証コード(HMAC)で制御プレーンを保護するための対称キーを作成する4つのメッセージで構成されています。キーを保護するためにキーを使用してデータプレーンを保護するために使用でき、IPsec ESP [RFC7402]は通常、データプレーンプロトコルとして使用されます。コントロールプレーンとデータプレーンの両方が、2つのメッセージからなるクローズ手順を使用して終了します。
In addition, the base exchange also includes a computational puzzle [RFC7401] that the Initiator must solve. The Responder chooses the difficulty of the puzzle, which permits the Responder to delay new incoming Initiators according to local policies, for instance, when the Responder is under heavy load. The puzzle can offer some resiliency against DoS attacks because the design of the puzzle mechanism allows the Responder to remain stateless until the very end of the base exchange [aura-dos]. HIP puzzles have also been studied under steady-state DDoS attacks [beal-dos], on multiple adversary models with varying puzzle difficulties [tritilanunt-dos], and with ephemeral Host Identities [komu-mitigation].
さらに、基本交換は、イニシエータが解決しなければならない計算パズル[RFC7401]を含む。レスポンダはパズルの難しさを選択し、それはレスポンダがローカルポリシーに従って新しい着信イニシエータを遅らせることを可能にします。パズルメカニズムの設計は、ベース交換の最後まで応答者がステートレスのままであることを可能にするので、パズルはDOS攻撃に対していくらかの回復力を提供することができます[Aura-DOS]。股関節パズルは、様々なパズル困難を伴う複数の敵対モデルで、定常状態のDDOS攻撃[Beal-DOS]の下で研究されています[Tritilanunt-dos]、そして一時的なホストアイデンティティを持つ。
HIP decouples the transport from the internetworking layer and binds the transport associations to the Host Identities (actually through either the HIT or LSI). After the initial key exchange, the HIP layer maintains transport-layer connectivity and data flows using its extensions for mobility [RFC8046] and multihoming [RFC8047]. Consequently, HIP can provide for a degree of internetworking mobility and multihoming at a low infrastructure cost. HIP mobility includes IP address changes (via any method) to either party. Thus, a system is considered mobile if its IP address can change dynamically for any reason like PPP, DHCP, IPv6 prefix reassignments, or a NAT device remapping its translation. Likewise, a system is considered multihomed if it has more than one globally routable IP address at the same time. HIP links IP addresses together when multiple IP addresses correspond to the same Host Identity. If one address becomes unusable, or a more preferred address becomes available, existing transport associations can easily be moved to another address.
HIPインターネットワーキングレイヤからトランスポートを切り離し、トランスポートアソシエーションをホストIDにバインドします(実際にはHITまたはLSIを介して)。初期鍵交換後、HIPレイヤは、モビリティ[RFC8046]とマルチホーム[RFC8047]の拡張機能を使用してトランスポート層の接続性とデータフローを維持します。その結果、HIPは、低インフラストラクチャコストでの程度のインターネットワーキングモビリティとマルチホームを提供することができます。 HIPモビリティには、どちらかの当事者に(任意のメソッドを介して)IPアドレスの変更が含まれています。したがって、PPP、DHCP、IPv6プレフィックスの再割り当て、またはその翻訳を再マッピングしたNATデバイスのような理由で、IPアドレスが動的に変更できる場合、システムはモバイルと見なされます。同様に、システムが複数のグローバルにルーティング可能なIPアドレスを同時に持っている場合、システムはマルチホームと見なされます。複数のIPアドレスが同じホストIDに対応する場合、HIPはIPアドレスを一緒にリンクします。 1つのアドレスが使用できなくなるか、またはより好ましいアドレスが利用可能になると、既存のトランスポートアソシエーションを他のアドレスに簡単に移動できます。
When a mobile node moves while communication is ongoing, address changes are rather straightforward. The mobile node sends a HIP UPDATE packet to inform the peer of the new address(es), and the peer then verifies that the mobile node is reachable through these addresses. This way, the peer can avoid flooding attacks as further discussed in Section 11.2.
通信が進行中にモバイルノードが移動すると、アドレスの変更はかなり簡単です。モバイルノードは、新しいアドレスのピアに通知するためにHIP更新パケットを送信し、その後、ピアはこれらのアドレスを介してモバイルノードが到達可能であることを検証する。このようにして、ピアは、さらに議論された攻撃を避けることができます。
Establishing a contact to a mobile, moving node is slightly more involved. In order to start the HIP exchange, the Initiator node has to know how to reach the mobile node. For instance, the mobile node can employ Dynamic DNS [RFC2136] to update its reachability information in the DNS. To avoid the dependency to DNS, HIP provides its own HIP-specific alternative: the HIP rendezvous mechanism as defined in the HIP rendezvous specification [RFC8004].
モバイルへの連絡を確立する、移動ノードはわずかに関与しています。HIP交換を開始するために、イニシエータノードはモバイルノードに到達する方法を知る必要があります。たとえば、モバイルノードはDNS内のその到達可能性情報を更新するために動的DNS [RFC2136]を使用することができます。DNSへの依存関係を回避するために、HIPは独自のHIP固有の代替案を提供します。
Using the HIP rendezvous extensions, the mobile node keeps the rendezvous infrastructure continuously updated with its current IP address(es). The mobile nodes trusts the rendezvous mechanism in order to properly maintain their HIT and IP address mappings.
HIP Rendezvous Extensionsを使用して、モバイルノードはRendezvousインフラストラクチャを現在のIPアドレスで継続的に更新し続けます。モバイルノードは、ヒットアドレスマッピングとIPアドレスマッピングを適切に維持するためにRendezvousメカニズムを信頼します。
The rendezvous mechanism is especially useful in scenarios where both of the nodes are expected to change their address at the same time. In such a case, the HIP UPDATE packets will cross each other in the network and never reach the peer node.
ランデブーメカニズムは、両方のノードが同時にそれらのアドレスを変更すると予想されるシナリオにおいて特に役立ちます。そのような場合、HIP更新パケットはネットワーク内で互いに交差し、決してピアノードに到達することはありません。
The HIP relay mechanism [RFC9028] is an alternative to the HIP rendezvous mechanism. The HIP relay mechanism is more suitable for IPv4 networks with NATs because a HIP relay can forward all control and data plane communications in order to guarantee successful NAT traversal.
HIPリレーメカニズム[RFC9028]は、股関節ランデブー機構の代替案です。HIPリレーメカニズムは、成功したNATトラバーサルを保証するために、HIPリレーがすべての制御とデータプレーン通信を転送することができるため、NATSを備えたIPv4ネットワークに適しています。
The control plane between two hosts is terminated using a secure two-message exchange as specified in base exchange specification [RFC7401]. The related state (i.e., host associations) should be removed upon successful termination.
2つのホスト間のコントロールプレーンは、基本Exchange仕様[RFC7401]で指定されたように安全な2つのメッセージ交換を使用して終了します。関連する状態(すなわち、ホストアソシエーション)は、終了成功時に削除されるべきである。
The encapsulation format for the data plane used for carrying the application-layer traffic can be dynamically negotiated during the key exchange. For instance, HICCUPS extensions [RFC6078] define one way to transport application-layer datagrams directly over the HIP control plane, protected by asymmetric key cryptography. Also, Secure Real-time Transport Protocol (SRTP) has been considered as the data encapsulation protocol [hip-srtp]. However, the most widely implemented method is the Encapsulated Security Payload (ESP) [RFC7402] that is protected by symmetric keys derived during the key exchange. ESP Security Associations (SAs) offer both confidentiality and integrity protection, of which the former can be disabled during the key exchange. In the future, other ways of transporting application-layer data may be defined.
アプリケーション層トラフィックを搬送するために使用されるデータプレーンのカプセル化フォーマットは、キー交換中に動的にネゴシエートできます。たとえば、Hiccups Extensions [RFC6078]は、非対称鍵暗号化によって保護された、アプリケーション層データグラムを股関節制御プレーンで直接転送するための1つの方法を定義します。また、安全なリアルタイムトランスポートプロトコル(SRTP)は、データカプセル化プロトコル[HIP-SRTP]と見なされています。ただし、最も広く実装されているメソッドは、キー交換中に派生した対称キーによって保護されているカプセル化されたセキュリティペイロード(ESP)[RFC7402]です。ESPセキュリティアソシエーション(SAS)は、鍵交換中に前者を無効にすることができる機密性と整合性保護の両方を提供します。将来的には、アプリケーション層データを輸送する他の方法が定義されてもよい。
The ESP SAs are established and terminated between the Initiator and the Responder hosts. Usually, the hosts create at least two SAs, one in each direction (Initiator-to-Responder SA and Responder-to-Initiator SA). If the IP addresses of either host changes, the HIP mobility extensions can be used to renegotiate the corresponding SAs.
ESP SAは、イニシエータとレスポンダホストの間で確立され、終了します。通常、ホストは各方向に少なくとも2つのSAを作成します(イニシエータからレスポンダSAとレスポンダ - イニシエータSA)。いずれかのホストのIPアドレスが変更された場合、HIPモビリティ拡張機能を使用して対応するSAを再交渉することができます。
On the wire, the difference in the use of identifiers between the HIP control and data planes is that the HITs are included in all control packets, but not in the data plane when ESP is employed. Instead, the ESP employs Security Parameter Index (SPI) numbers that act as compressed HITs. Any HIP-aware middlebox (for instance, a HIP-aware firewall) interested in the ESP-based data plane should keep track between the control and data plane identifiers in order to associate them with each other.
ワイヤ上では、HIP制御とデータプレーンの間の識別子の使用の差は、ヒットがすべての制御パケットに含まれているが、ESPが使用されているときにデータプレーンには含まれていないことである。代わりに、ESPは圧縮ヒットとして機能するセキュリティパラメータインデックス(SPI)番号を採用しています。ESPベースのデータプレーンに関心のあるヒップ対応ミドルボックス(例えば、HIP対応ファイアウォール)は、それらを互いに関連付けるために制御とデータプレーン識別子を追跡する必要があります。
Since HIP does not negotiate any SA lifetimes, all lifetimes are subject to local policy. The only lifetimes a HIP implementation must support are sequence number rollover (for replay protection) and SA timeout. An SA times out if no packets are received using that SA. Implementations may support lifetimes for the various ESP transforms and other data plane protocols.
HIPはSAの寿命を交渉しないので、すべての寿命は地域の方針の対象となります。HIP実装がサポートするだけでは、シーケンス番号ロールオーバー(再生保護のため)とSAタイムアウトがサポートされているだけです。そのSAを使用してパケットが受信されていない場合は、SAがタイムアウトします。実装は、さまざまなESP変換および他のデータプレーンプロトコルのためのライフタイムをサポートするかもしれません。
Passing packets between different IP addressing realms requires changing IP addresses in the packet header. This may occur, for example, when a packet is passed between the public Internet and a private address space, or between IPv4 and IPv6 networks. The address translation is usually implemented as Network Address Translation (NAT) [RFC3022] or the historic NAT Protocol Translation (NAT-PT) [RFC2766].
異なるIPアドレス指定レルム間のパケットの渡しには、パケットヘッダー内のIPアドレスを変更する必要があります。これは、例えば、パケットが公衆インターネットとプライベートアドレス空間との間、またはIPv4ネットワークとIPv6ネットワーク間で渡されるときに発生する可能性がある。アドレス変換は通常、ネットワークアドレス変換(NAT)[RFC3022]または履歴NATプロトコル翻訳(NAT-PT)[RFC2766]として実装されています。
In a network environment where identification is based on the IP addresses, identifying the communicating nodes is difficult when NATs are employed because private address spaces are overlapping. In other words, two hosts cannot be distinguished from each other solely based on their IP addresses. With HIP, the transport-layer endpoints (i.e., applications) are bound to unique Host Identities rather than overlapping private addresses. This allows two endpoints to distinguish one other even when they are located in different private address realms. Thus, the IP addresses are used only for routing purposes and can be changed freely by NATs when a packet between two HIP-capable hosts traverses through multiple private address realms.
識別がIPアドレスに基づいているネットワーク環境では、プライベートアドレススペースが重なっているため、NATSが採用されている場合、通信ノードを識別することは困難である。言い換えれば、2つのホストは、IPアドレスに基づいて互いに区別することはできません。HIPでは、トランスポート層のエンドポイント(すなわちアプリケーション)は、プライベートアドレスを重ね合わせるのではなく、一意のホストIDにバインドされています。これにより、2つのエンドポイントが異なるプライベートアドレスレルムに配置されていても、もう1つを区別できます。したがって、IPアドレスはルーティングの目的でのみ使用され、2つのHIP対応ホスト間のパケットが複数のプライベートアドレスレルムを通過するときにNATによって自由に変更できます。
NAT traversal extensions for HIP [RFC9028] can be used to realize the actual end-to-end connectivity through NAT devices. To support basic backward compatibility with legacy NATs, the extensions encapsulate both HIP control and data planes in UDP. The extensions define mechanisms for forwarding the two planes through an intermediary host called HIP relay and procedures to establish direct end-to-end connectivity by penetrating NATs. Besides this "native" NAT traversal mode for HIP, other NAT traversal mechanisms have been successfully utilized, such as Teredo [RFC4380] (as described in further detail in [varjonen-split]).
HIP [RFC9028]のNATトラバーサル拡張子を使用して、NATデバイスを介した実際のエンドツーエンド接続を実現できます。レガシーNATとの基本的な下位互換性をサポートするために、拡張子はUDPのHIP制御とデータプレーンの両方をカプセル化します。拡張機能は、HIPリレーと呼ばれる中間ホストとプロシージャーと呼ばれる中間ホストを介して2つの平面を転送するためのメカニズムを定義して、NATを貫通することによって直接的なエンドツーエンドの接続性を確立します。股関節のためのこの「ネイティブ」NATトラバーサルモードの他に、Teredo [RFC4380]などの他のNATトラバーサルメカニズムがうまく利用されてきた([Varjonen-Split]でさらに詳細に説明されている)。
Besides legacy NATs, a HIP-aware NAT has been designed and implemented [ylitalo-spinat]. For a HIP-based flow, a HIP-aware NAT or HIP-aware historic NAT-PT system tracks the mapping of HITs, and the corresponding ESP SPIs, to an IP address. The NAT system has to learn mappings both from HITs and from SPIs to IP addresses. Many HITs (and SPIs) can map to a single IP address on a NAT, simplifying connections on address-poor NAT interfaces. The NAT can gain much of its knowledge from the HIP packets themselves; however, some NAT configuration may be necessary.
従来のNATSのほかに、ヒップ対応NATが設計され、実装されています[Ylitalo-Spinat]。HIPベースの流れの場合、HIP対応NATまたはHIP対応の履歴NAT-PTシステムは、ヒットのマッピング、および対応するESP SPIをIPアドレスに追跡します。NATシステムは、ヒットとSPIからIPアドレスの両方のマッピングを学ぶ必要があります。多くのヒット(およびSPI)は、NAT上の単一のIPアドレスにマッピングされ、アドレス貧弱なNATインターフェイスの接続を簡素化できます。NATは、ヒップパケット自体からその知識の多くを得ることができます。しかしながら、いくつかのNAT構成が必要な場合がある。
There is no way for a host to know if any of the IP addresses in an IP header are the addresses used to calculate the TCP checksum. That is, it is not feasible to calculate the TCP checksum using the actual IP addresses in the pseudo header; the addresses received in the incoming packet are not necessarily the same as they were on the sending host. Furthermore, it is not possible to recompute the upper-layer checksums in the NAT/NAT-PT system, since the traffic is ESP protected. Consequently, the TCP and UDP checksums are calculated using the HITs in the place of the IP addresses in the pseudo header. Furthermore, only the IPv6 pseudo header format is used. This provides for IPv4 / IPv6 protocol translation.
IPヘッダー内のIPアドレスのいずれかがTCPチェックサムの計算に使用されるアドレスであるかどうかをホストが知ることはできません。つまり、疑似ヘッダーの実際のIPアドレスを使用してTCPチェックサムを計算することは不可能です。着信パケットで受信されたアドレスは、送信元ホスト上にあると必ずしも同じではありません。また、トラフィックはESP保護されているため、NAT / NAT-PTシステムの上位レイヤチェックサムを再計算することはできません。その結果、疑似ヘッダ内のIPアドレスの場所のヒットを使用してTCPおよびUDPチェックサムが計算されます。さらに、IPv6疑似ヘッダーフォーマットのみが使用されます。これはIPv4 / IPv6プロトコル変換を提供します。
A number of studies investigating HIP-based multicast have been published (including [shields-hip], [zhu-hip], [amir-hip], [kovacshazi-host], and [zhu-secure]). In particular, so-called Bloom filters, which allow the compression of multiple labels into small data structures, may be a promising way forward [sarela-bloom]. However, the different schemes have not been adopted by the HIP working group (nor the HIP research group in the IRTF), so the details are not further elaborated here.
HIPベースのマルチキャストを調査する研究が公開されています([Shields-HIP]、[Zhu-HIP]、[Amir-HIP]、[Kovacshazi-Host]、[Zhu-Secure])。特に、複数のラベルの小さなデータ構造への圧縮を可能にする、いわゆるブルームフィルタは、有望な方法であり得る[サレラブルーム]であってもよい。ただし、股関役しグループ(IRTF内のHIP研究グループ)によって異なるスキームは採用されていないので、詳細はここではさらに詳しく説明されていません。
There are a number of variables that influence the HIP exchange that each host must support. All HIP implementations should support at least two HIs, one to publish in DNS or a similar directory service and an unpublished one for anonymous usage (that should expect to be rotated frequently in order to disrupt linkability and/or trackability). Although unpublished HIs will rarely be used as Responder HIs, they are likely to be common for Initiators. As stated in [RFC7401], "all HIP implementations MUST support more than one simultaneous HI, at least one of which SHOULD be reserved for anonymous usage", and "support for more than two HIs is RECOMMENDED". This provides new challenges for systems or users to decide which type of HI to expose when they start a new session.
各ホストがサポートしなければならない股関節交換に影響を与える変数がいくつかあります。すべてのHIP実装は、DNSまたは類似のディレクトリサービスに公開する少なくとも2つのHIS、および匿名の使用方法のための未公開のものをサポートする必要があります(リンク性を中断するために頻繁に回転されるべきではありません)。彼の未発表はめったに応答者として使用されることはめったに使われませんが、彼らはイニシエーターには一般的である可能性があります。[RFC7401]に記載されているように、「すべてのHIP実装は複数の同時HIをサポートしなければなりません。そのうちの少なくとも1つは匿名使用のために予約されるべきです」と「2つ以上のHISのサポート」をお勧めします。これにより、システムやユーザーが新しいセッションを開始するときにどのタイプのHIの種類を判断するための新しい課題があります。
Opportunistic mode (where the Initiator starts a HIP exchange without prior knowledge of the Responder's HI) presents a security trade-off. At the expense of being subject to MitM attacks, the opportunistic mode allows the Initiator to learn the identity of the Responder during communication rather than from an external directory. Opportunistic mode can be used for registration to HIP-based services [RFC8003] (i.e., utilized by HIP for its own internal purposes) or by the application layer [komu-leap]. For security reasons, especially the latter requires some involvement from the user to accept the identity of the Responder similar to how the Secure Shell (SSH) protocol prompts the user when connecting to a server for the first time [pham-leap]. In practice, this can be realized in end-host-based firewalls in the case of legacy applications [karvonen-usable] or with native APIs for HIP APIs [RFC6317] in the case of HIP-aware applications.
日和見主義的モード(開始者がレスポンダのHIについての事前の知識なしに股関節交換を開始する場合)は、セキュリティトレードオフを提示します。MITM攻撃を受けることを犠牲にして、日和見主義的モードでは、イニシエータは外部ディレクトリからではなく通信中にレスポンダの身元を学ぶことができます。日和見主義的モードは、HIPベースのサービスへの登録(RFC8003](すなわち、それ自身の内部目的のためにHIPで利用されている)またはアプリケーション層[コムリープ]によって使用することができる。セキュリティ上の理由から、特に後者は、Secure Shell(SSH)プロトコルが最初にサーバーに接続したときにユーザーがどのようにプロンプトを指示するかのように、ユーザーからの関与をユーザーから受け入れる必要があります[Pham-Leap]。実際には、これは、HIP対応アプリケーションの場合には、レガシーアプリケーション[Karvonen-Usable]またはHIP APIのネイティブAPIを使用した場合、エンドホストベースのファイアウォールで実現できます。[RFC6317]。
As stated in [RFC7401]:
[RFC7401]に記載されているように:
| Initiators MAY use a different HI for different Responders to
| provide basic privacy. Whether such private HIs are used
| repeatedly with the same Responder, and how long these HIs are
| used, are decided by local policy and depend on the privacy
| requirements of the Initiator.
According to [RFC7401]:
[RFC7401]によると:
| Responders that only respond to selected Initiators require an
| Access Control List (ACL), representing for which hosts they
| accept HIP base exchanges, and the preferred transport format and
| local lifetimes. Wildcarding SHOULD be supported for such ACLs,
| and also for Responders that offer public or anonymous services.
This section includes discussion on some issues and solutions related to security in the HIP architecture.
このセクションには、HIPアーキテクチャのセキュリティに関連するいくつかの問題と解決策についての議論が含まれています。
HIP takes advantage of the Host Identity paradigm to provide secure authentication of hosts and to provide a fast key exchange for ESP. HIP also attempts to limit the exposure of the host to various denial-of-service (DoS) and man-in-the-middle (MitM) attacks. In so doing, HIP itself is subject to its own DoS and MitM attacks that potentially could be more damaging to a host's ability to conduct business as usual.
HIPは、ホストIDパラダイムを利用して、ホストの安全な認証を提供し、ESP用の高速鍵交換を提供します。HIPはまた、様々なサービス拒否(DOS)および中間(MITM)攻撃へのホストの露出を制限しようとする。そうすることで、股関節自体は自分自身のDOSおよびMITMの攻撃の対象となり、潜在的にはいつものように事業を遂行する能力にもっと損害を与える可能性があります。
Resource exhausting DoS attacks take advantage of the cost of setting up a state for a protocol on the Responder compared to the 'cheapness' on the Initiator. HIP allows a Responder to increase the cost of the start of state on the Initiator and makes an effort to reduce the cost to the Responder. This is done by having the Responder start the authenticated Diffie-Hellman exchange instead of the Initiator, making the HIP base exchange four packets long. The first packet sent by the Responder can be prebuilt to further mitigate the costs. This packet also includes a computational puzzle that can optionally be used to further delay the Initiator, for instance, when the Responder is overloaded. The details are explained in the base exchange specification [RFC7401].
リソースの消耗DOS攻撃は、イニシエータの「安い」と比較して、レスポンダ上のプロトコルの状態を設定するコストを利用しています。HIPは、レスポンダがイニシエータの状態の始まりのコストを増加させ、レスポンダへのコストを削減するための努力をします。これは、レスポンダがイニシエータの代わりに認証されたDiffie-Hellman Exchangeを開始させることによって行われ、ヒップベースは4パケットを4パケット交換します。レスポンダによって送信された最初のパケットは、コストをさらに軽減するために前に入れることができます。このパケットはまた、応答者が過負荷になったときに、イニシエータをさらに遅らせるために任意選択で使用することができる計算パズルを含む。詳細は基本交換仕様[RFC7401]に説明されています。
MitM attacks are difficult to defend against without third-party authentication. A skillful MitM could easily handle all parts of the HIP base exchange, but HIP indirectly provides the following protection from a MitM attack. If the Responder's HI is retrieved from a signed DNS zone or securely obtained by some other means, the Initiator can use this to authenticate the signed HIP packets. Likewise, if the Initiator's HI is in a secure DNS zone, the Responder can retrieve it and validate the signed HIP packets. However, since an Initiator may choose to use an unpublished HI, it knowingly risks a MitM attack. The Responder may choose not to accept a HIP exchange with an Initiator using an unknown HI.
MITM攻撃は、サードパーティ認証なしで守ることは困難です。熟練したMITMは、HIP拠点交換のすべての部分を簡単に処理できますが、HIPは間接的にMITM攻撃から次の保護を提供します。レスポンダのHiが署名付きDNSゾーンから検索されるか、または他の何らかの手段によって安全に取得された場合、イニシエータはこれを使用して符号付きHIPパケットを認証することができる。同様に、イニシエータのHIが安全なDNSゾーンにある場合、レスポンダはそれを取得して符号付きHIPパケットを検証できます。しかし、イニシエータは未公開のこんにちはを使うことを選択するかもしれないので、それは故意にMITM攻撃を危険にさらすことができます。レスポンダは、未知のこんにちはを使用してイニシエータとの股関節交換を受け入れることを選択できます。
Other types of MitM attacks against HIP can be mounted using ICMP messages that can be used to signal about problems. As an overall guideline, the ICMP messages should be considered as unreliable "hints" and should be acted upon only after timeouts. The exact attack scenarios and countermeasures are described in full detail in the base exchange specification [RFC7401].
問題についての信号に使用できるICMPメッセージを使用して、HIPに対する他の種類のMITM攻撃をマウントすることができます。全体的なガイドラインとして、ICMPメッセージは信頼できない「ヒント」と見なされ、タイムアウト後にのみ行動する必要があります。正確な攻撃シナリオと対策は、基本交換仕様[RFC7401]で詳しく説明しています。
A MitM attacker could try to replay older I1 or R1 messages using weaker cryptographic algorithms as described in Section 4.1.4 of [RFC7401]. The base exchange has been augmented to deal with such an attack by restarting on the detection of the attack. At worst, this would only lead to a situation in which the base exchange would never finish (or would be aborted after some retries). As a drawback, this leads to a six-way base exchange, which may seem bad at first. However, since this only occurs in an attack scenario and since the attack can be handled (so it is not interesting to mount anymore), we assume the subsequent messages do not represent a security threat. Since the MitM cannot be successful with a downgrade attack, these sorts of attacks will only occur as 'nuisance' attacks. So, the base exchange would still be usually just four packets even though implementations must be prepared to protect themselves against the downgrade attack.
MITM攻撃者は、[RFC7401]の4.1.4項で説明されているように、弱い暗号化アルゴリズムを使用して古いI1またはR1メッセージを再生しようとする可能性があります。基地交換は、攻撃の検出を再開することによってそのような攻撃に対処するために増強されました。最悪の場合、これは基地交換が終わったことがない状況のみ(またはいくつかの再試行後に中止される)です。欠点として、これは六方塩基交換につながり、最初は悪いように見えるかもしれません。ただし、これは攻撃シナリオでのみ発生し、攻撃が処理される可能性があるため(それでは、もうマウントするのは面白くないため)で発生するため、その後のメッセージがセキュリティの脅威を表していないと仮定します。MITMはダウングレード攻撃で成功できないので、これらの種類の攻撃は「迷惑な」攻撃としてのみ発生します。したがって、実装をダウングレード攻撃から保護するために準備されなければならないとしても、基本交換は通常わずか4つのパケットであろう。
In HIP, the Security Association for ESP is indexed by the SPI; the source address is always ignored, and the destination address may be ignored as well. Therefore, HIP-enabled ESP is IP address independent. This might seem to make attacking easier, but ESP with replay protection is already as well protected as possible, and the removal of the IP address as a check should not increase the exposure of ESP to DoS attacks.
HIPでは、ESPのセキュリティ協会はSPIによって索引付けされています。送信元アドレスは常に無視され、宛先アドレスも無視される可能性があります。したがって、HIP対応のESPはIPアドレスに依存しません。これは攻撃を容易にするように思われるかもしれませんが、Replay Protectionを使用したESPはすでに可能な限り保護されています。
Although the idea of informing about address changes by simply sending packets with a new source address appears appealing, it is not secure enough. That is, even if HIP does not rely on the source address for anything (once the base exchange has been completed), it appears to be necessary to check a mobile node's reachability at the new address before actually sending any larger amounts of traffic to the new address.
新しい送信元アドレスでパケットを送信するだけでアドレスの変更について知らせるという考えは魅力的ではありませんが、それは十分に安全ではありません。つまり、HIPが何も起こるものであっても(基本交換が完了したら)、実際に大量のトラフィックを送信する前に、新しいアドレスでモバイルノードの到達可能性を確認する必要があるようです。新しいアドレス。
Blindly accepting new addresses would potentially lead to flooding DoS attacks against third parties [RFC4225]. In a distributed flooding attack, an attacker opens high-volume HIP connections with a large number of hosts (using unpublished HIs) and then claims to all of these hosts that it has moved to a target node's IP address. If the peer hosts were to simply accept the move, the result would be a packet flood to the target node's address. To prevent this type of attack, HIP mobility extensions include a return routability check procedure where the reachability of a node is separately checked at each address before using the address for larger amounts of traffic.
盲目的に新しい住所を受け入れると、第三者に対する洪水DOS攻撃が潜在的に潜在的につながる[RFC4225]。分散フラッディング攻撃では、攻撃者は多数のホストを持つ大量のHIP接続を開きます(未公開を使用して)、ターゲットノードのIPアドレスに移動したこれらのホストのすべてを主張します。ピアホストが単純に移動を受け入れることになっている場合、結果はターゲットノードのアドレスへのパケットフラッドになります。この種の攻撃を防ぐために、HIPモビリティ拡張には、アドレスを大量のトラフィックのために使用する前に、ノードの到達可能性が各アドレスで別々にチェックされるリターンルーテーブルチェック手順が含まれます。
A credit-based authorization approach for "Host Mobility with the Host Identity Protocol" [RFC8046] can be used between hosts for sending data prior to completing the address tests. Otherwise, if HIP is used between two hosts that fully trust each other, the hosts may optionally decide to skip the address tests. However, such performance optimization must be restricted to peers that are known to be trustworthy and capable of protecting themselves from malicious software.
アドレステストを完了する前に、データを送信するために、データを送信するためのホスト間で使用することができます。それ以外の場合、hipが互いに完全に信頼する2つのホスト間で使用される場合、ホストはオプションでアドレステストをスキップすることを決定することができます。しかしながら、そのような性能最適化は、信頼できることであり、悪意のあるソフトウェアから自分自身を保護することができるピアに制限されなければならない。
At end-hosts, HITs can be used in IP-based access control lists at the application and network layers. At middleboxes, HIP-aware firewalls [lindqvist-enterprise] can use HITs or public keys to control both ingress and egress access to networks or individual hosts, even in the presence of mobile devices because the HITs and public keys are topology independent. As discussed earlier in Section 7, once a HIP session has been established, the SPI value in an ESP packet may be used as an index, indicating the HITs. In practice, firewalls can inspect HIP packets to learn of the bindings between HITs, SPI values, and IP addresses. They can even explicitly control ESP usage, dynamically opening ESP only for specific SPI values and IP addresses. The signatures in HIP packets allow a capable firewall to ensure that the HIP exchange is indeed occurring between two known hosts. This may increase firewall security.
エンドホストでは、アプリケーションレイヤとネットワーク層のIPベースのアクセス制御リストでヒットを使用できます。ミドルボックスでは、ヒップ対応のファイアウォール[LindQvist-Enterprise]がヒットまたはパブリックキーを使用して、ヒットキーとパブリックキーがトポロジに依存しないため、モバイルデバイスが存在するため、ネットワークまたは個々のホストへの入力と出力アクセスの両方を制御できます。セクション7で前述したように、HIPセッションが確立されると、ESPパケット内のSPI値をインデックスとして使用することができ、ヒットが表示されます。実際には、ファイアウォールはヒップパケット、ヒット間のバインディング、SPIの値、およびIPアドレスを学習することを検査できます。それらは、特にESPの使用を明示的に制御し、特定のSPI値とIPアドレスについてのみESPを動的に開くことができます。HIPパケットのシグネチャは、有能なファイアウォールを使用して、股関節交換が2つの既知のホスト間で実際に発生していることを確認できます。これにより、ファイアウォールのセキュリティが向上する可能性があります。
A potential drawback of HITs in ACLs is their 'flatness', which means they cannot be aggregated, and this could potentially result in larger table searches in HIP-aware firewalls. A way to optimize this could be to utilize Bloom filters for grouping HITs [sarela-bloom]. However, it should be noted that it is also easier to exclude individual, misbehaving hosts when the firewall rules concern individual HITs rather than groups.
ACLのヒットの潜在的な欠点は、それらの「平坦度」です。これは集計することはできません。これにより、HIP対応のファイアウォールでのテーブル検索が大きくなる可能性があります。これを最適化する方法は、グループ化のためにブルームフィルタを利用することです[Sarela-Bloom]。ただし、ファイアウォールのルールがグループではなく個々のヒットに関係する場合は、個人、誤動作のホストを除外する方が簡単です。
There has been considerable bad experience with distributed ACLs that contain material related to public keys, for example, with SSH. If the owner of a key needs to revoke it for any reason, the task of finding all locations where the key is held in an ACL may be impossible. If the reason for the revocation is due to private key theft, this could be a serious issue.
例えばSSHとともに公開鍵に関連する材料を含む分散ACLに関するかなりの悪い経験がありました。鍵の所有者が何らかの理由でそれを取り消す必要がある場合、鍵がACLに保持されているすべての場所を見つけることができないタスクは不可能かもしれません。失効の理由が秘密鍵の盗難によるものである場合、これは深刻な問題になる可能性があります。
A host can keep track of all of its partners that might use its HIT in an ACL by logging all remote HITs. It should only be necessary to log Responder hosts. With this information, the host can notify the various hosts about the change to the HIT. There have been attempts to develop a secure method to issue the HIT revocation notice [zhang-revocation].
ホストは、すべてのリモートヒットをログに記録することでACLでヒットする可能性のあるパートナーすべてを追跡できます。レスポンダホストを記録する必要があります。この情報を使用すると、ホストはヒットの変更に関するさまざまなホストを通知できます。ヒット失効通知[Zhang-Revocation]を発行するための安全な方法を開発しようとしています。
Some of the HIP-aware middleboxes, such as firewalls [lindqvist-enterprise] or NATs [ylitalo-spinat], may observe the on-path traffic passively. Such middleboxes are transparent by their nature and may not get a notification when a host moves to a different network. Thus, such middleboxes should maintain soft state and time out when the control and data planes between two HIP end-hosts have been idle too long. Correspondingly, the two end-hosts may send periodically keepalives, such as UPDATE packets or ICMP messages inside the ESP tunnel, to sustain state at the on-path middleboxes.
ファイアウォール[Lindqvist-Enterprise]やNATS [YLITALO-Spinat]などのヒップ対応ミドルボックスの中には、オンパストラフィックを受動的に観察することがあります。そのようなミドルボックスはそれらの性質によって透過的であり、ホストが別のネットワークに移動したときに通知を受けることはできません。したがって、このようなミドルボックスは、2つのHIPエンドホスト間の制御およびデータプレーンがアイドルすぎると、ソフト状態とタイムアウトを維持する必要があります。それに対応して、2つのエンドホストは、ESPトンネル内の更新パケットまたはICMPメッセージなどの定期的にキープアライブを送信して、On-Pathミドルボックスで状態をサステインします。
One general limitation related to end-to-end encryption is that middleboxes may not be able to participate in the protection of data flows. While the issue may also affect other protocols, Heer et al. [heer-end-host] have analyzed the problem in the context of HIP. More specifically, when ESP is used as the data plane protocol for HIP, the association between the control and data planes is weak and can be exploited under certain assumptions. In the scenario, the attacker has already gained access to the target network protected by a HIP-aware firewall, but wants to circumvent the HIP-based firewall. To achieve this, the attacker passively observes a base exchange between two HIP hosts and later replays it. This way, the attacker manages to penetrate the firewall and can use a fake ESP tunnel to transport its own data. This is possible because the firewall cannot distinguish when the ESP tunnel is valid. As a solution, HIP-aware middleboxes may participate in the control plane interaction by adding random nonce parameters to the control traffic, which the end-hosts have to sign to guarantee the freshness of the control traffic [heer-midauth]. As an alternative, extensions for transporting the data plane directly over the control plane can be used [RFC6078].
エンドツーエンド暗号化に関連する1つの一般的な制限は、ミドルボックスがデータフローの保護に参加できない可能性があることです。問題は他のプロトコルにも影響を与えるかもしれませんが、Heer et al。 [HEER-END-HOST]は、HIPの文脈で問題を解析しました。より具体的には、ESPがHIPのデータプレーンプロトコルとして使用されている場合、制御とデータプレーンの間の関連付けは弱く、特定の仮定の下で利用することができます。シナリオでは、攻撃者はすでにHIP対応ファイアウォールによって保護されているターゲットネットワークへのアクセスを得ていますが、HIPベースのファイアウォールを回避したいと考えています。これを達成するために、攻撃者は2つのHIPホスト間の基本交換を受動的に観察し、後でそれを再生します。このように、攻撃者はファイアウォールを貫通するために管理し、それ自身のデータを転送するために偽のESPトンネルを使用することができます。これは、ESPトンネルが有効な場合にファイアウォールが区別できないためです。解決策として、HIP対応のミドルボックスは、制御トラフィックにランダムなノンスパラメータを追加することによって、制御プレーンの対話に参加することができ、エンドホストは制御トラフィックの鮮度を保証するために署名しなければならない[HEER-MIDAUTH]。代替として、データプレーンを制御プレーンに直接搬送するための拡張を使用することができる[RFC6078]。
The definition of the Host Identifier states that the HI need not be a public key. It implies that the HI could be any value, for example, a FQDN. This document does not describe how to support such a non-cryptographic HI, but examples of such protocol variants do exist ([urien-rfid], [urien-rfid-draft]). A non-cryptographic HI would still offer the services of the HIT or LSI for NAT traversal. It would be possible to carry HITs in HIP packets that had neither privacy nor authentication. Such schemes may be employed for resource-constrained devices, such as small sensors operating on battery power, but are not further analyzed here.
ホスト識別子の定義は、こんにちはが公開鍵である必要はないと述べています。HIが任意の値、例えばFQDNである可能性があることを意味します。この文書では、このような非暗号化されていないHIをサポートする方法は説明していませんが、そのようなプロトコルバリアントの例は存在します([Urien-RFID]、[Urien-RFID]ドラフト])。非暗号化HIは、NATトラバーサルのためにヒットまたはLSIのサービスを提供するでしょう。プライバシーや認証もしていなかったHIPパケットでヒットを搬送することが可能です。そのような方式は、電池電力で動作する小さなセンサなどのリソース拘束装置に使用することができるが、ここではさらに分析されない。
If it is desirable to use HIP in a low-security situation where public key computations are considered expensive, HIP can be used with very short Diffie-Hellman and Host Identity keys. Such use makes the participating hosts vulnerable to MitM and connection hijacking attacks. However, it does not cause flooding dangers, since the address check mechanism relies on the routing system and not on cryptographic strength.
公開鍵計算が高価であると見なされる低セキュリティの状況でHIPを使用することが望ましい場合は、腰を非常に短いDiffie-HellmanおよびHost Identityキーで使用できます。このような使用は、参加しているホストをMITMおよび接続ハイジャック攻撃に対して脆弱にします。ただし、アドレスチェックメカニズムは、暗号強度ではなく、アドレスチェックメカニズムがルーティングシステムに依存しているため、フラッディングの危険を引き起こさない。
[RFC7435] highlights four design principles for Leap of Faith, or Trust On First Use (TOFU), protocols that apply also to opportunistic HIP:
[RFC7435]日和見主義的な股関節にも適用される、信仰の飛躍の4つの設計原則、または最初の使用(豆腐)の信頼を強調しています。
1. Coexist with explicit policy
1. 明示的な方針で共存する
2. Prioritize communication
2. 通信を優先する
3. Maximize security peer by peer
3. ピアによるセキュリティピアを最大化する
4. No misrepresentation of security
4. セキュリティの虚偽表示はありません
According to the first TOFU design principle, "Opportunistic security never displaces or preempts explicit policy". Some application data may be too sensitive, so the related policy could require authentication (i.e., the public key or certificate) in such a case instead of the unauthenticated opportunistic mode. In practice, this has been realized in HIP implementations as follows [RFC6538].
最初の豆腐設計の原則によると、「日和見主義的なセキュリティは避難または明示的な方針を免除することはありません」。一部のアプリケーションデータが敏感すぎる可能性があるため、関連するポリシーは、認証されていない日和見的モードではなく、そのような場合に認証(すなわち、公開鍵または証明書)を必要とする可能性があります。実際には、これは以下のようにHIP実装で実現されています[RFC6538]。
The OpenHIP implementation allowed an Initiator to use opportunistic mode only with an explicitly configured Responder IP address, when the Responder's HIT is unknown. At the Responder, OpenHIP had an option to allow opportunistic mode with any Initiator -- trust any Initiator.
Openhip実装では、レスポンダのヒットが不明な場合に、明示的に設定されたレスポンダIPアドレスでのみ日和見的モードを使用するイニシエータが発生しました。レスポンダでは、Openhipはイニシエータを使用して日和見主義的モードを許可するオプションを持っていました - 任意のイニシエータを信頼しました。
HIP for Linux (HIPL) developers experimented with more fine-grained policies operating at the application level. The HIPL implementation utilized so-called "LD_PRELOAD" hooking at the application layer that allowed a dynamically linked library to intercept socket-related calls without rebuilding the related application binaries. The library acted as a shim layer between the application and transport layers. The shim layer translated the non-HIP-based socket calls from the application into HIP-based socket calls. While the shim library involved some level of complexity as described in more detail in [komu-leap], it achieved the goal of applying opportunistic mode at the granularity of individual applications.
HIP for Linux(HIPL)開発者は、アプリケーションレベルで動作するよりきめ細かい方針で実験されました。HIPL実装では、関連アプリケーションバイナリを再構築せずにソケット関連の呼び出しを傍受するために動的にリンクされたライブラリを許可するアプリケーション層でいわゆる「LD_PRELOAD」フッキングを利用しました。ライブラリは、アプリケーション層と輸送層の間にシム層として機能しました。シムレイヤーは、アプリケーションからの非HIPベースのソケット呼び出しをHIPベースのソケット呼び出しに変換しました。Shim Libraryが[KOMU-LEAP]でより詳細に説明されているようにある程度の複雑さを含みながら、それは個々のアプリケーションの粒度で日和見主義的モードを適用するという目標を達成しました。
The second TOFU principle essentially states that communication should prioritized over security. So opportunistic mode should be, in general, allowed even if no authentication is present, and even possibly a fallback to unencrypted communications could be allowed (if policy permits) instead of blocking communications. In practice, this can be realized in three steps. In the first step, a HIP Initiator can look up the HI of a Responder from a directory such as DNS. When the Initiator discovers a HI, it can use the HI for authentication and skip the rest of the following steps. In the second step, the Initiator can, upon failing to find a HI, try opportunistic mode with the Responder. In the third step, the Initiator can fall back to non-HIP-based communications upon failing with opportunistic mode if the policy allows it. This three-step model has been implemented successfully and described in more detail in [komu-leap].
2番目の豆腐の原則は、本質的に通信がセキュリティに優先されるべきであると述べています。そのため、ジャカミオスティックスモードは、一般に、認証が存在しない場合でも許可されていても、暗号化されていない通信へのフォールバックでさえ、通信をブロックするのではなく(ポリシー許可が許可されている場合)を許可することができます。実際には、これは3つのステップで実現できます。最初のステップでは、HIPイニシエータはDNSのようなディレクトリからResponderのHiを調べることができます。イニシエータがHIを検出すると、認証のためにHIを使用し、次の手順の残りの部分をスキップできます。第2のステップでは、イニシエータはHIを見つけられなかったときに、レスポンダで日和見主義的モードを試みることができる。3番目のステップでは、ポリシーがそれを許可する場合、イニシエータは日和見的モードで失敗したときに非HIPベースの通信に戻ることができます。この3段階モデルは正常に実装されており、[Komu-Leap]でより詳細に説明されています。
The third TOFU principle suggests that security should be maximized, so that at least opportunistic security would be employed. The three-step model described earlier prefers authentication when it is available, e.g., via DNS records (and possibly even via DNSSEC when available) and falls back to opportunistic mode when no out-of-band credentials are available. As the last resort, fallback to non-HIP-based communications can be used if the policy allows it. Also, since perfect forward secrecy (PFS) is explicitly mentioned in the third design principle, it is worth mentioning that HIP supports it.
3番目の豆腐の原理は、セキュリティを最大化する必要があることを示唆しているため、少なくとも日和見的セキュリティが採用されることがわかります。前述の3段階モデルは、例えばDNSレコードを介して(および利用可能な場合はDNSSECを介して)使用可能なときに認証を好み、帯域外の資格情報が利用可能な場合には日和見主義的モードに戻る。最後のリゾートとして、ポリシーがそれを許可すると、非HIPベースの通信へのフォールバックを使用できます。また、完全な前方の秘密(PFS)が3番目のデザインの原則で明示的に言及されているため、HIPがサポートすることを言及する価値があります。
The fourth TOFU principle states that users and noninteractive applications should be properly informed about the level of security being applied. In practice, non-HIP-aware applications would assume that no extra security is being applied, so misleading at least a noninteractive application should not be possible. In the case of interactive desktop applications, system-level prompts have been utilized in earlier HIP experiments [karvonen-usable] [RFC6538] to guide the user about the underlying HIP-based security. In general, users in those experiments perceived when HIP-based security was being used versus not used. However, the users failed to notice the difference between opportunistic, non-authenticated HIP and non-opportunistic, authenticated HIP. The reason for this was that the opportunistic HIP (i.e., lowered level of security) was not clearly indicated in the prompt. This provided a valuable lesson to further improve the user interface.
4番目の豆腐の原則は、適用されているセキュリティのレベルについて、ユーザーと非対応アプリケーションを適切に知らせる必要があります。実際には、非股関節対応アプリケーションは、追加のセキュリティが適用されていないため、少なくとも非対応アプリケーションを誤解してはいけません。インタラクティブデスクトップアプリケーションの場合、基礎となるHIPベースのセキュリティについてユーザーを導くために、以前のHIP実験でシステムレベルのプロンプトが利用されています[Karvonen-Usable] [RFC6538]。一般に、HIPベースのセキュリティが使用されていないときに使用されていない場合のユーザーは認識されています。ただし、ユーザーは、日和見的、認証されていないヒップと日和見的に認証されていないヒップの違いに気付くことができませんでした。その理由は、日和見主義的な股関節(すなわち、セキュリティの低下レベル)がプロンプトで明確に示されなかったことであった。これにより、ユーザインタフェースをさらに向上させるための貴重なレッスンが提供されました。
In the case of HIP-aware applications, native sockets APIs for HIP as specified in [RFC6317] can be used to develop application-specific logic instead of using generic system-level prompting. In such a case, the application itself can directly prompt the user or otherwise manage the situation in other ways. In this case, noninteractive applications also can properly log the level of security being employed because the developer can now explicitly program the use of authenticated HIP, opportunistic HIP, and plain-text communication.
HIP対応アプリケーションの場合、[RFC6317]で指定されているHIP用のネイティブソケットAPIを使用して、一般的なシステムレベルのプロンプトを使用する代わりにアプリケーション固有のロジックを開発できます。そのような場合、アプリケーション自体は、他の方法でユーザに直接促すか、そうでなければ状況を管理することができる。この場合、非対話型アプリケーションはまた、開発者が認証されたHIP、日和見主義的なヒップ、およびプレーンテキスト通信の使用を明示的にプログラムすることができるので、採用されているセキュリティレベルを適切に記録することができます。
It is worth mentioning a few additional items discussed in [RFC7435]. Related to active attacks, HIP has built-in protection against ciphersuite downgrade attacks as described in detail in [RFC7401]. In addition, pre-deployed certificates could be used to mitigate against active attacks in the case of opportunistic mode as mentioned in [RFC6538].
[RFC7435]で議論されたいくつかの追加項目について言及する価値があります。積極的な攻撃に関連して、HIPは[RFC7401]に詳細に説明されているように、暗号スイートのダウングレード攻撃に対する保護を組み込んでいます。さらに、[RFC6538]で述べたように、日和見的モードの場合に積極的な攻撃に対して軽減するために事前に展開された証明書を使用することができます。
Detection of peer capabilities is also mentioned in the TOFU context. As discussed in this section, the three-step model can be used to detect peer capabilities. A host can achieve the first step of authentication, i.e., discovery of a public key, via DNS, for instance. If the host finds no keys, the host can then try opportunistic mode as the second step. Upon a timeout, the host can then proceed to the third step by falling back to non-HIP-based communications if the policy permits. This last step is based on an implicit timeout rather an explicit (negative) acknowledgment like in the case of DNS, so the user may conclude prematurely that the connectivity has failed. To speed up the detection phase by explicitly detecting if the peer supports opportunistic HIP, researchers have proposed TCP-specific extensions [RFC6538] [komu-leap]. In a nutshell, an Initiator sends simultaneously both an opportunistic I1 packet and the related TCP SYN datagram equipped with a special TCP option to a peer. If the peer supports HIP, it drops the SYN packet and responds with an R1. If the peer is HIP incapable, it drops the HIP packet (and the unknown TCP option) and responds with a TCP SYN-ACK. The benefit of the proposed scheme is a faster, one round-trip fallback to non-HIP-based communications. The drawback is that the approach is tied to TCP (IP options were also considered, but do not work well with firewalls and NATs). Naturally, the approach does not work against an active attacker, but opportunistic mode is not supposed to protect against such an adversary anyway.
ピア機能の検出も豆腐の状況でも言及されています。このセクションで説明したように、3段階モデルを使用してピア機能を検出できます。ホストは、例えばDNSを介して、認証の最初のステップ、すなわち公開鍵の発見を達成することができる。ホストがキーを見つけなかった場合、ホストは第2のステップとして日和見主義的モードを試みることができます。タイムアウト時に、ポリシーが許可されている場合は、HIP以外の通信に戻ることで、ホストは3番目のステップに進むことができます。この最後のステップは、DNSの場合のような明示的なタイムアウトではなく、明示的なタイムアウト(負)の確認応答に基づいているため、ユーザーは接続性が失敗したことを早期に結論付けることができます。 Peerが日和見主義的な股関節を支持しているかどうかを明示的に検出することによって検出段階を高速化するために、研究者らはTCP特異的拡張[RFC6538] [甲骨跳躍]を提案した。 Nutshellでは、イニシエータは日和見主義I1パケットと特殊TCPオプションを備えた関連TCP SYNデータグラムの両方を同時にピアに送信します。ピアがHIPをサポートしている場合は、SYNパケットをドロップしてR1で応答します。ピアがhipできない場合は、HIPパケット(および不明なTCPオプション)を削除し、TCP SYN-ACKで応答します。提案された方式の利点は、非HIPベースの通信へのより速い1回のラウンドトリップフォールバックです。欠点は、アプローチがTCPに関連付けられていることです(IPオプションも考慮されていますが、ファイアウォールやNATではうまくいきません)。当然のことながら、アプローチは能動的な攻撃者に対しては機能しませんが、そのような敵対的なモードは、とにかくそのような敵対者から保護することになっていません。
It is worth noting that while the use of opportunistic mode has some benefits related to incremental deployment, it does not achieve all the benefits of authenticated HIP [komu-diss]. Namely, authenticated HIP supports persistent identifiers in the sense that hosts are identified with the same HI independent of their movement. Opportunistic HIP meets this goal only partially: after the first contact between two hosts, HIP can successfully sustain connectivity with its mobility management extensions, but problems emerge when the hosts close the HIP association and try to reestablish connectivity. As hosts can change their location, it is no longer guaranteed that the same IP address belongs to the same host. The same address can be temporally assigned to different hosts, e.g., due to the reuse of IP addresses (e.g., by a DHCP service), the overlapping of private address realms (see also the discussion on Internet transparency in Appendix A.1), or due to an attempted attack.
日和見主義的モードの使用には、増分展開に関連するいくつかの利点があるが、認証された股関節[コムスリス]のすべての利点を達成することはないことは注目に値します。すなわち、認証されたHIPは、ホストがそれらの移動とは無関係に同じHIで識別されるという意味で持続的な識別子をサポートする。日和見主義的なHIPは、この目標のみを満たしています.2つのホスト間の最初の連絡先の後、HIPはそのモビリティ管理拡張との接続を正常にサステインできますが、ホストがHIP協会を閉じて接続を再確立しようとします。ホストが自分の場所を変更できる可能性があるため、同じIPアドレスが同じホストに属していることはもはや保証されなくなりました。同じアドレスは、(DHCPサービスによる)IPアドレスの再利用(例えば、DHCPサービスによって)、プライベートアドレスレルムの重なりのために、異なるホストに一時的に割り当てられます(付録A.1のインターネットの透明度についての説明を参照)。または試みられた攻撃のため。
This document has no IANA actions.
この文書にはIANAの行動がありません。
In a nutshell, the changes from RFC 4423 [RFC4423] are mostly editorial, including clarifications on topics described in a difficult way and omitting some of the non-architectural (implementation) details that are already described in other documents. A number of missing references to the literature were also added. New topics include the drawbacks of HIP, a discussion on 802.15.4 and MAC security, HIP for IoT scenarios, deployment considerations, and a description of the base exchange.
Nutshellでは、RFC 4423 [RFC4423]からの変更は、難しい方法で説明され、他の文書で説明されているアーキテクチャのない(実装)の詳細のいくつかを省略しています。文献への多数の欠けている参照も追加されました。新しいトピックには、HIPの欠点、802.15.4のディスカッション、Macセキュリティ、IOTシナリオのためのHIP、展開に関する考慮事項、および基本交換の説明が含まれます。
[RFC5482] Eggert, L. and F. Gont, "TCP User Timeout Option", RFC 5482, DOI 10.17487/RFC5482, March 2009, <https://www.rfc-editor.org/info/rfc5482>.
[RFC5482] eggert、L.およびF. F. Gont、 "TCPユーザータイムアウトオプション"、RFC 5482、DOI 10.17487 / RFC5482、2009年3月、<https://www.rfc-editor.org/info/rfc5482>。
[RFC6079] Camarillo, G., Nikander, P., Hautakorpi, J., Keranen, A., and A. Johnston, "HIP BONE: Host Identity Protocol (HIP) Based Overlay Networking Environment (BONE)", RFC 6079, DOI 10.17487/RFC6079, January 2011, <https://www.rfc-editor.org/info/rfc6079>.
[RFC6079] Camarillo、G.、Nikander、P.、Hautakorpi、J.、Keranen、A.、A. Johnston、A. Johnston、「HIP骨:ホストアイデンティティプロトコル(HIP)ベースのオーバーレイネットワーキング環境(骨)」、RFC 6079、DOI 10.17487 / RFC6079、2011年1月、<https://www.rfc-editor.org/info/rfc6079>。
[RFC7086] Keranen, A., Camarillo, G., and J. Maenpaa, "Host Identity Protocol-Based Overlay Networking Environment (HIP BONE) Instance Specification for REsource LOcation And Discovery (RELOAD)", RFC 7086, DOI 10.17487/RFC7086, January 2014, <https://www.rfc-editor.org/info/rfc7086>.
[RFC7086]ケラネン、A。、Camarillo、G.、J.Aenpaa、「ホストアイデンティティープロトコルベースのオーバーレイネットワーキング環境(HIPボーン)インスタンス仕様およびディスカバリー(リロード)、RFC 7086、DOI 10.17487 / RFC7086、2014年1月、<https://www.rfc-editor.org/info/rfc7086>。
[RFC7343] Laganier, J. and F. Dupont, "An IPv6 Prefix for Overlay Routable Cryptographic Hash Identifiers Version 2 (ORCHIDv2)", RFC 7343, DOI 10.17487/RFC7343, September 2014, <https://www.rfc-editor.org/info/rfc7343>.
[RFC7343] Laganier、J.およびF.Dupont、「オーバーレイルーズ・クライアブル・ハッシュ識別子バージョン2(Orchidv2)」、RFC 7343、DOI 10.17487 / RFC7343、2014年9月、<https:///www.rfc-編集者のためのIPv6プレフィックス.ORG / INFO / RFC7343>。
[RFC7401] Moskowitz, R., Ed., Heer, T., Jokela, P., and T. Henderson, "Host Identity Protocol Version 2 (HIPv2)", RFC 7401, DOI 10.17487/RFC7401, April 2015, <https://www.rfc-editor.org/info/rfc7401>.
[RFC7401] Moskowitz、R.、Ed。、Heer、T.、Jokela、P.、T. Henderson、「Host Identity Protocol Version 2(HIPv2)」、RFC 7401、DOI 10.17487 / RFC7401、2015年4月、<HTTPS//www.rfc-editor.org/info/rfc7401>。
[RFC7402] Jokela, P., Moskowitz, R., and J. Melen, "Using the Encapsulating Security Payload (ESP) Transport Format with the Host Identity Protocol (HIP)", RFC 7402, DOI 10.17487/RFC7402, April 2015, <https://www.rfc-editor.org/info/rfc7402>.
[RFC7402] Jokela、P.、Moskowitz、R.、およびJ.Melen、 "Host Identity Proportion(HIP)"、RFC 7402、DOI 10.17487 / RFC7402、2015年4月、<https://www.rfc-editor.org/info/rfc7402>。
[RFC8002] Heer, T. and S. Varjonen, "Host Identity Protocol Certificates", RFC 8002, DOI 10.17487/RFC8002, October 2016, <https://www.rfc-editor.org/info/rfc8002>.
[RFC8002] HEER、T.およびS.VARJONEN、「ホストIDプロトコル証明書」、RFC 8002、DOI 10.17487 / RFC8002、2016年10月、<https://www.rfc-editor.org/info/rfc8002>。
[RFC8003] Laganier, J. and L. Eggert, "Host Identity Protocol (HIP) Registration Extension", RFC 8003, DOI 10.17487/RFC8003, October 2016, <https://www.rfc-editor.org/info/rfc8003>.
[RFC8003] Laganier、J.およびL. Eggert、RFC 8003、DOI 10.17487 / RFC8003、2016年10月、<https://www.rfc-editor.org/info/rfc8003>。
[RFC8004] Laganier, J. and L. Eggert, "Host Identity Protocol (HIP) Rendezvous Extension", RFC 8004, DOI 10.17487/RFC8004, October 2016, <https://www.rfc-editor.org/info/rfc8004>.
[RFC8004] Laganier、J.およびL. Eggert、「Host Identity Protocol(HIP)Rendezvous Extension」、RFC 8004、DOI 10.17487 / RFC8004、2016年10月、<https://www.rfc-editor.org/info/rfc8004>。
[RFC8005] Laganier, J., "Host Identity Protocol (HIP) Domain Name System (DNS) Extension", RFC 8005, DOI 10.17487/RFC8005, October 2016, <https://www.rfc-editor.org/info/rfc8005>.
[RFC8005] Laganier、J.、 "Host Identity Protocol(HIP)エクステンション"、RFC 8005、DOI 10.17487 / RFC8005、2016年10月、<https://www.rfc-editor.org/info/RFC8005>。
[RFC8046] Henderson, T., Ed., Vogt, C., and J. Arkko, "Host Mobility with the Host Identity Protocol", RFC 8046, DOI 10.17487/RFC8046, February 2017, <https://www.rfc-editor.org/info/rfc8046>.
[RFC8046]ヘンダーソン、T.、ED。、VOGT、C、およびJ.Arkko、「ホストアイデンティティプロトコルによるホストモビリティ」、RFC 8046、DOI 10.17487 / RFC8046、2017年2月、<https://ww.rfc-editor.org/info/rfc8046>。
[RFC8047] Henderson, T., Ed., Vogt, C., and J. Arkko, "Host Multihoming with the Host Identity Protocol", RFC 8047, DOI 10.17487/RFC8047, February 2017, <https://www.rfc-editor.org/info/rfc8047>.
[RFC8047]ヘンダーソン、T.、ED。、VOGT、C、およびJ.Arkko、「ホストアイデンティティプロトコルによるホストマルチホーム」、RFC 8047、DOI 10.17487 / RFC8047、2017年2月、<https://www.rfc-editor.org/info/rfc8047>。
[RFC9028] Keränen, A., Melén, J., and M. Komu, Ed., "Native NAT Traversal Mode for the Host Identity Protocol", RFC 9028, DOI 10.17487/RFC9028, July 2021, <https://www.rfc-editor.org/info/rfc9028>.
[RFC9028]Keränen、A.、Melén、J.、およびM.コム、「ホストアイデンティティプロトコルのネイティブNATトラバーサルモード」、RFC 9028、DOI 10.17487 / RFC9028、2021年7月、<HTTPS:// WWW.rfc-editor.org / info / rfc9028>。
[amir-hip] Amir, K., Forsgren, H., Grahn, K., Karvi, T., and G. Pulkkis, "Security and Trust of Public Key Cryptography for HIP and HIP Multicast", International Journal of Dependable and Trustworthy Information Systems (IJDTIS), Vol. 2, Issue 3, pp. 17-35, DOI 10.4018/jdtis.2011070102, 2013, <https://doi.org/10.4018/jdtis.2011070102>.
[Amir-HIP] Amir、K.、Forsgren、H.、Grahn、K.、Karvi、T.、G.Pulkkis、「ヒップ・ヒップマルチキャストの公開鍵暗号化の信頼」、信頼できる国際ジャーナル信頼できる情報システム(IJDTIS)、Vol。2、発行3、PP。17-35、DOI 10.4018 / JDTIS.2011070102,2013、<https://doi.org/10.4018/jdtis.2011070102>。
[aura-dos] Aura, T., Nikander, P., and J. Leiwo, "DOS-Resistant Authentication with Client Puzzles", 8th International Workshop on Security Protocols, Security Protocols 2000, Lecture Notes in Computer Science, Vol. 2133, pp. 170-177, Springer, DOI 10.1007/3-540-44810-1_22, September 2001, <https://doi.org/10.1007/3-540-44810-1_22>.
[Aura-Dos] Aura、T.、Nikander、P.、J.Leiwo、「クライアントパズルとのDOS耐性認証」、セキュリティプロトコルの第8回国際ワークショップ、セキュリティプロトコル2000、コンピュータサイエンス、Vol。2133、PP。170-177、Springer、DOI 10.1007 / 3-540-44810-1_22、2001年9月、<https://doi.org/10.1007/3-540-44810-1_22>。
[beal-dos] Beal, J. and T. Shepard, "Deamplification of DoS Attacks via Puzzles", October 2004.
[Beal-Dos] Beal、J.およびT.シェパード、2004年10月、「パズルを介したDOS攻撃の脱退」。
[camarillo-p2psip] Camarillo, G., Mäenpää, J., Keränen, A., and V. Anderson, "Reducing delays related to NAT traversal in P2PSIP session establishments", IEEE Consumer Communications and Networking Conference (CCNC), pp. 549-553, DOI 10.1109/CCNC.2011.5766540, 2011, <https://doi.org/10.1109/CCNC.2011.5766540>.
[Camarillo-P2PSIP] Camarillo、G.、Mäenpää、J.、Keränen、A.、およびV.Anderson、「P2PSIPセッション事業所におけるNATトラバーサルに関連する遅延の削減」、IEEE消費者通信およびネットワーキング会議(CCNC)、PP。549-553、DOI 10.1109 / CCNC.2011.5766540,2011、<https://doi.org/10.1109/ccnc.2011.5766540>。
[chiappa-endpoints] Chiappa, J., "Endpoints and Endpoint Names: A Proposed Enhancement to the Internet Architecture", 1999, <http://mercury.lcs.mit.edu/~jnc/tech/endpoints.txt>.
[Chiappa-Endpoints] Chiappa、J.、「エンドポイントとエンドポイント名:インターネットアーキテクチャへの提案強化」、1999、<http://mercury.lcs.mit.edu/~jnc/tech/endpoints.txt>。
[heer-end-host] Heer, T., Hummen, R., Komu, M., Gotz, S., and K. Wehrle, "End-Host Authentication and Authorization for Middleboxes Based on a Cryptographic Namespace", 2009 IEEE International Conference on Communications, DOI 10.1109/ICC.2009.5198984, 2009, <https://doi.org/10.1109/ICC.2009.5198984>.
[Heer-End-Host] Heer、T.、Hummen、R.、Komu、M.、Gotz、S.、K. Wehrle、「暗号化ネームスペースに基づくミドルボックスの承認」、2009 IEEE国際コミュニケーションに関する国際会議、DOI 10.1109 / ICC.2009.5198984,2009、<https://doi.org/10.1109/iCc.2009.5198984>。
[heer-midauth] Heer, T., Ed., Hummen, R., Wehrle, K., and M. Komu, "End-Host Authentication for HIP Middleboxes", Work in Progress, Internet-Draft, draft-heer-hip-middle-auth-04, 31 October 2011, <https://datatracker.ietf.org/doc/html/ draft-heer-hip-middle-auth-04>.
[Heer-Midauth] Heer、T.、Ed。、Hummen、R.、Wehrle、K.、およびM.コム、「HIPミドルボックスのエンドホスト認証」、進行中の作業、インターネットドラフト、ドラフトヒーター - hip-middle-auth-04,2011、<https://datatracker.ietf.org/doc/html/ドラフトHeer-Hip-Middle-Auth-04>。
[henderson-vpls] Henderson, T. R., Venema, S. C., and D. Mattes, "HIP-based Virtual Private LAN Service (HIPLS)", Work in Progress, Internet-Draft, draft-henderson-hip-vpls-11, 3 August 2016, <https://datatracker.ietf.org/doc/html/draft-henderson-hip-vpls-11>.
[Henderson-VPLS]ヘンダーソン、TR、VENEMA、SC、およびD.マット、「HIPベースの仮想プライベートLANサービス(HIPLS)」、進行中の作業、インターネットドラフト、ドラフト - HIP-VPLS-11,32016年8月、<https://datatracker.ietf.org/doc/html/draft-henderson-hip-vpls-11>。
[hip-dex] Moskowitz, R., Ed., Hummen, R., and M. Komu, "HIP Diet EXchange (DEX)", Work in Progress, Internet-Draft, draft-ietf-hip-dex-24, 19 January 2021, <https://datatracker.ietf.org/doc/html/draft-ietf-hip-dex-24>.
[HIP-DEX] Moskowitz、R.、Ed。、Hummen、R.、およびM.コム、「ヒップダイエット交換(DEX)」、進行中の作業、インターネットドラフト、ドラフト - IETF-HIP-DEX-24、2021年1月19日、<https://datatracker.ietf.org/doc/html/draft-ietf-hip-dex-24>。
[hip-lte] Liyanage, M., Kumar, P., Ylianttila, M., and A. Gurtov, "Novel secure VPN architectures for LTE backhaul networks", Security and Communication Networks, Vol. 9, pp. 1198-1215, DOI 10.1002/sec.1411, January 2016, <https://doi.org/10.1002/sec.1411>.
[HIP-LTE]リヤナージュ、M.、Kumar、P.、Yliantila、M.、およびA. Gurtov、「LTEバックホールネットワーク用の新規セキュアVPNアーキテクチャ」、セキュリティおよび通信ネットワーク、Vol。9、pp.1198-1215、DOI 10.1002 / Sec.1411、2016年1月、<https://doi.org/10.1002/SEC.1411>。
[hip-srtp] Tschofenig, H., Shanmugam, M., and F. Muenz, "Using SRTP transport format with HIP", Work in Progress, Internet-Draft, draft-tschofenig-hiprg-hip-srtp-02, 25 October 2006, <https://datatracker.ietf.org/doc/html/draft-tschofenig-hiprg-hip-srtp-02>.
[HIP-SRTP] Tschofenig、H.、Shanmugam、M.、F. Muenz、「HIPを使用したSRTPトランスポートフォーマットの使用」、進行中の作業、インターネットドラフト、ドラフト - TSchofenig-Hiprg-HIP-SRTP-02,252006年10月、<https://datatracker.ietf.org/doc/html/draft-tchofenig-hiprg-srtp-02>。
[hummen] Hummen, R., Hiller, J., Henze, M., and K. Wehrle, "Slimfit - A HIP DEX compression layer for the IP-based Internet of Things", 2013 IEEE 9th International Conference on Wireless and Mobile Computing, Networking and Communications (WiMob), pp. 259-266, DOI 10.1109/WiMOB.2013.6673370, October 2013, <https://doi.org/10.1109/WiMOB.2013.6673370>.
[ハンマー]ハムメン、R.、HILER、J.、Henze、M.、K.Wehrle、「スリムフィット - 物のIPインターネットのためのHIP DEX圧縮層」2013 IEEE第9回ワイヤレス携帯電話会議コンピューティング、ネットワーキング、通信(WiMOB)、PP。259-266、DOI 10.1109 / Wimob.2013.6673370、<https://doi.org/10.1109/wimob.2013.6673370>。
[IEEE.802.15.4] IEEE, "IEEE Standard for Low-Rate Wireless Networks", IEEE Standard 802.15.4, DOI 10.1109/IEEESTD.2020.9144691, July 2020, <https://ieeexplore.ieee.org/document/9144691>.
[IEEE.802.15.4] IEEE、「低速無線ネットワークのためのIEEE規格」、IEEE規格802.15.4、DOI 10.1109 / IEEESTD.2020.9144691、<https://ieeexplore.ieee.org/document/9144691>。
[IEEE.802.15.9] IEEE, "IEEE Draft Recommended Practice for Transport of Key Management Protocol (KMP) Datagrams", IEEE P802.15.9/D04, May 2015.
[IEEE.802.15.9] IEEE、「IEEE DRAFT推奨事例(KMP)データグラム(KMP)データグラム」、IEEE P802.15.9 / D04、2015年5月。
[karvonen-usable] Karvonen, K., Komu, M., and A. Gurtov, "Usable security management with host identity protocol", 2009 IEEE/ACS International Conference on Computer Systems and Applications, pp. 279-286, DOI 10.1109/AICCSA.2009.5069337, 2009, <https://doi.org/10.1109/AICCSA.2009.5069337>.
[Karvonen-useable]カルボネン、K.、Komu、M.、A. Gurtov、2009年の「ホストIdentity Protocolによる使用可能なセキュリティ管理」、2009年IEEE / ACS国際コンピュータシステムとアプリケーション、PP 279-286、DOI 10.1109/aiccsa.2009.5069337,2009、<https://doi.org/10.1109/aiccsa.2009.5069337>。
[komu-cloud] Komu, M., Sethi, M., Mallavarapu, R., Oirola, H., Khan, R., and S. Tarkoma, "Secure Networking for Virtual Machines in the Cloud", 2012 IEEE International Conference on Cluster Computing Workshops, pp. 88-96, DOI 10.1109/ClusterW.2012.29, 2012, <https://doi.org/10.1109/ClusterW.2012.29>.
[コムクラウド]コム、マリー、セティ、マラバラプ、R.、Oirola、H.、Khan、R.、およびS. Tarkoma、2012年の「クラウドの仮想マシンの安全なネットワーク」、2012年IEEE国際会議クラスタコンピューティングワークショップ、PP。88-96、DOI 10.1109 / ClusterW.2012.29,2012、<https://doi.org/10.1109/ClusterW.2012.29>。
[komu-diss] Komu, M., "A Consolidated Namespace for Network Applications, Developers, Administrators and Users", Dissertation, Aalto University, Espoo, Finland, ISBN 978-952-60-4904-5 (printed), ISBN 978-952-60-4905-2 (electronic), December 2012.
[コムズ・ディズ]コム、ミバ州、「ネットワークアプリケーション用の統合ネームスペース、開発者、管理者、ユーザー」、講師、アロト大学、エスポー、フィンランド、ISBN 978-952-60-4904-5(印刷)、ISBN 9782012年12月-952-60-4905-2(電子)。
[komu-leap] Komu, M. and J. Lindqvist, "Leap-of-Faith Security is Enough for IP Mobility", 2009 6th IEEE Consumer Communications and Networking Conference, Las Vegas, NV, USA, pp. 1-5, DOI 10.1109/CCNC.2009.4784729, January 2009, <https://doi.org/10.1109/CCNC.2009.4784729>.
[コムリープ]コム、M.およびJ.Lindqvist、「Leap-of-Five Securityは、IP Mobilityに十分です」、2009年6th第6回IEEE消費者コミュニケーションとネットワーキング会議、ラスベガス、NV、USA、PP。1-5、DOI 10.1109 / CCNC.2009.4784729、2009年1月、<https://doi.org/10.1109/ccnc.2009.4784729>。
[komu-mitigation] Komu, M., Tarkoma, S., and A. Lukyanenko, "Mitigation of Unsolicited Traffic Across Domains with Host Identities and Puzzles", 15th Nordic Conference on Secure IT Systems, NordSec 2010, Lecture Notes in Computer Science, Vol. 7127, pp. 33-48, Springer, ISBN 978-3-642-27936-2, DOI 10.1007/978-3-642-27937-9_3, October 2010, <https://doi.org/10.1007/978-3-642-27937-9_3>.
[緩和]コム、M.、Tarkoma、S.、A。leukyanenko、「ホストアイデンティティとパズルを搭載したドメイン間の迷惑なトラフィックの軽減」、Nordsec 2010年、コンピュータサイエンスにおける講義情報、Vol。7127、PP。33-48、Springer、ISBN 978-3-642-27936-2、DOI 10.1007 / 978-3-642-27937-9_3、2010年10月、<https://doi.org/10.1007/978-3-642-27937-9_3>。
[kovacshazi-host] Kovacshazi, Z. and R. Vida, "Host Identity Specific Multicast", International Conference on Networking and Services (ICNS '07), Athens, Greece, pp. 1-1, DOI 10.1109/ICNS.2007.66, 2007, <https://doi.org/10.1109/ICNS.2007.66>.
[Kovacshazi-host]コヴァッシェイジ、Z.およびR. VIDA、「ホストアイデンティティ固有マルチキャスト」、ネットワーキングおよびサービスに関する国際会議(ICNS '07)、アテネ、ギリシャ、PP。1-1、DOI 10.1109 / ICNS.2007.66、2007年、<https://doi.org/10.1109/iCns.2007.66>。
[levae-barriers] Levä, T., Komu, M., and S. Luukkainen, "Adoption barriers of network layer protocols: the case of host identity protocol", Computer Networks, Vol. 57, Issue 10, pp. 2218-2232, ISSN 1389-1286, DOI 10.1016/j.comnet.2012.11.024, March 2013, <https://doi.org/10.1016/j.comnet.2012.11.024>.
[Levae-Barriers]Levä、T.、Komu、M.、S.Luukkainen、「ネットワーク層プロトコルの採用障壁:ホストIDプロトコルの場合は、コンピュータネットワーク」、Vol。57、発行10、PP。2218-2232、ISI 10.1016 / J.comNet.2012.11.024、2013年3月、<https://doi.org/10.1016/j.comnet.2012.11.024>。
[lindqvist-enterprise] Lindqvist, J., Vehmersalo, E., Komu, M., and J. Manner, "Enterprise Network Packet Filtering for Mobile Cryptographic Identities", International Journal of Handheld Computing Research (IJHCR), Vol. 1, Issue 1, pp. 79-94, DOI 10.4018/jhcr.2010090905, 2010, <https://doi.org/10.4018/jhcr.2010090905>.
[LindQvist-Enterprise] Lindqvist、J.、Behomersalo、E.、Komu、M.、およびJ.Mand、「モバイル暗号化のためのエンタープライズネットワークパケットフィルタリング」、International Journal of Handheld Computing Research(IJHCR)、Vol。1、問題1、pp.79-94、DOI 10.4018 / JHCR.2010090905,2010、<https://doi.org/10.4018/jhcr.2010090905>。
[Nik2001] Nikander, P., "Denial-of-Service, Address Ownership, and Early Authentication in the IPv6 World", 9th International Workshop on Security Protocols, Security Protocols 2001, Lecture Notes in Computer Science, Vol. 2467, pp. 12-21, Springer, DOI 10.1007/3-540-45807-7_3, 2002, <https://doi.org/10.1007/3-540-45807-7_3>.
[NIK2001]ニカンダー、P、「IPv6世界でのサービス拒否、アドレスの所有権、および早期認証」、セキュリティプロトコルの第9回国際ワークショップ、セキュリティプロトコル2001、Computer Science、Vol。2467、PP。12-21、Springer、Doi 10.1007 / 3-540-45807-7_3,202、<https://doi.org/10.1007/3-540-45807-7_3>。
[nsrg-report] Lear, E. and R. Droms, "What's In A Name: Thoughts from the NSRG", Work in Progress, Internet-Draft, draft-irtf-nsrg-report-10, 22 September 2003, <https://datatracker.ietf.org/doc/html/draft-irtf-nsrg-report-10>.
[NSRG-Report] Lear、E.、R. DROMS、「名前:NSRGからの考え」、進行中の作業、インターネットドラフト、ドラフト - IRTF-NSRG-Report-10,22 9月22日、<https://datatracker.ietf.org/doc/html/draft-irtf-nsrg-report-10>。
[paine-hip] Paine, R. H., "Beyond HIP: The End to Hacking As We Know It", BookSurge Publishing, ISBN-10 1439256047, ISBN-13 978-1439256046, 2009.
[ペインヒップ]ペイン、R.H.、「腰を超えて、私たちが知っているようにハッキングした終わり」、Booksurge出版、ISBN-10 1439256047、ISBN-13 978-1439256046,2009。
[pham-leap] Pham, V. and T. Aura, "Security Analysis of Leap-of-Faith Protocols", 7th International ICST Conference, Security and Privacy for Communication Networks, SecureComm 2011, Lecture Notes of the Institute for Computer Sciences, Social Informatics and Telecommunications Engineering, Vol. 96, DOI 10.1007/978-3-642-31909-9_19, 2012, <https://doi.org/10.1007/978-3-642-31909-9_19>.
[Pham-Leap] Pham、V.およびT.オーラ、「信仰のプロトコルのセキュリティ分析」、第7回国際ICST会議、セキュリティ、およびSecureComm 2011、コンピュータ科学研究所の講義について、社会情報学と電気通信工学、Vol。96、DOI 10.1007 / 978-3-642-31909-9_19,2012、<https://doi.org/10.1007/978-3-642-31909-9_19>。
[ranjbar-synaptic] Ranjbar, A., Komu, M., Salmela, P., and T. Aura, "SynAPTIC: Secure and Persistent Connectivity for Containers", 2017 17th IEEE/ACM International Symposium on Cluster, Cloud and Grid Computing (CCGRID), Madrid, 2017, pp. 262-267, DOI 10.1109/CCGRID.2017.62, 2017, <https://doi.org/10.1109/CCGRID.2017.62>.
[Ranjbar-Synaptic] Ranjbar、A.、Komu、M.、Salmela、P.、およびT.Aura、「シナプス:コンテナの安全性と持続的な接続性」、2017年1月17日のIEEE / ACM国際シンポジウムクラスタ、クラウド、グリッドコンピューティング(CCGRID)、マドリード、2017、PP.262-267、DOI 10.1109 / CCGrid.2017.62,2017、<https://doi.org/10.1109/ccgrid.2017.62>。
[RFC2136] Vixie, P., Ed., Thomson, S., Rekhter, Y., and J. Bound, "Dynamic Updates in the Domain Name System (DNS UPDATE)", RFC 2136, DOI 10.17487/RFC2136, April 1997, <https://www.rfc-editor.org/info/rfc2136>.
[RFC2136] Vixie、P.、ED。、Thomson、S.、Rekhter、Y.、J.Bound、「ドメイン名システム(DNSアップデート)の動的更新(DNSアップデート)」、RFC 2136、DOI 10.17487 / RFC2136、1997年4月<https://www.rfc-editor.org/info/rfc2136>。
[RFC2766] Tsirtsis, G. and P. Srisuresh, "Network Address Translation - Protocol Translation (NAT-PT)", RFC 2766, DOI 10.17487/RFC2766, February 2000, <https://www.rfc-editor.org/info/rfc2766>.
[RFC2766] TSIRTSIS、G、およびP.SRISURESH、「ネットワークアドレス翻訳 - プロトコル翻訳(NAT-PT)」、RFC 2766、DOI 10.17487 / RFC2766、2000年2月、<https://www.rfc-editor.org/情報/ RFC2766>。
[RFC3022] Srisuresh, P. and K. Egevang, "Traditional IP Network Address Translator (Traditional NAT)", RFC 3022, DOI 10.17487/RFC3022, January 2001, <https://www.rfc-editor.org/info/rfc3022>.
[RFC3022] SRISURESH、P.およびK。EGEVANG、「伝統的なIPネットワークアドレス翻訳者(伝統的なIPネットワークアドレス翻訳者(伝統的なNAT)」、RFC 3022、DOI 10.17487 / RFC3022、2001年1月、<https://www.rfc-editor.org/info/RFC3022>。
[RFC3102] Borella, M., Lo, J., Grabelsky, D., and G. Montenegro, "Realm Specific IP: Framework", RFC 3102, DOI 10.17487/RFC3102, October 2001, <https://www.rfc-editor.org/info/rfc3102>.
[RFC3102] Borella、M.、Lo、J.、Grabelsky、D.、およびG.Montenegro、「レルム特有のIP:フレームワーク」、RFC 3102、DOI 10.17487 / RFC3102、2001年10月、<https://www.rfc-editor.org/info/rfc3102>。
[RFC3748] Aboba, B., Blunk, L., Vollbrecht, J., Carlson, J., and H. Levkowetz, Ed., "Extensible Authentication Protocol (EAP)", RFC 3748, DOI 10.17487/RFC3748, June 2004, <https://www.rfc-editor.org/info/rfc3748>.
[RFC3748] Aboba、B.、Blunk、L.、Vollbrecht、J.、Carlson、J.、H. Levkowetz、Ed。、「拡張認証プロトコル(EAP)」、RFC 3748、DOI 10.17487 / RFC3748、2004年6月<https://www.rfc-editor.org/info/rfc3748>。
[RFC3972] Aura, T., "Cryptographically Generated Addresses (CGA)", RFC 3972, DOI 10.17487/RFC3972, March 2005, <https://www.rfc-editor.org/info/rfc3972>.
[RFC3972] Aura、T.、「暗号的に生成されたアドレス(CGA)」、RFC 3972、DOI 10.17487 / RFC3972、2005年3月、<https://www.rfc-editor.org/info/rfc3972>。
[RFC4033] Arends, R., Austein, R., Larson, M., Massey, D., and S. Rose, "DNS Security Introduction and Requirements", RFC 4033, DOI 10.17487/RFC4033, March 2005, <https://www.rfc-editor.org/info/rfc4033>.
[RFC4033] Arends、R.、Austein、R.、Larson、M.、Massey、D.、およびS. Rose、「DNSセキュリティ紹介および要件」、RFC 4033、DOI 10.17487 / RFC4033、2005年3月、<https://www.rfc-editor.org/info/rfc4033>。
[RFC4225] Nikander, P., Arkko, J., Aura, T., Montenegro, G., and E. Nordmark, "Mobile IP Version 6 Route Optimization Security Design Background", RFC 4225, DOI 10.17487/RFC4225, December 2005, <https://www.rfc-editor.org/info/rfc4225>.
[RFC4225]ニカンダー、P.、Arkko、J.、Aura、T.、Montenegro、G.、およびE.ノルドマーク、「モバイルIPバージョン6ルート最適化セキュリティデザインの背景」、RFC 4225、DOI 10.17487 / RFC4225、2005年12月<https://www.rfc-editor.org/info/rfc4225>。
[RFC4380] Huitema, C., "Teredo: Tunneling IPv6 over UDP through Network Address Translations (NATs)", RFC 4380, DOI 10.17487/RFC4380, February 2006, <https://www.rfc-editor.org/info/rfc4380>.
[RFC4380] Huitema、C.、 "Teredo:ネットワークアドレス翻訳(NAT)"、RFC 4380、DOI 10.17487 / RFC4380、2006年2月、<https://www.rfc-editor.org/info/RFC4380>。
[RFC4423] Moskowitz, R. and P. Nikander, "Host Identity Protocol (HIP) Architecture", RFC 4423, DOI 10.17487/RFC4423, May 2006, <https://www.rfc-editor.org/info/rfc4423>.
[RFC4423] Moskowitz、R.およびP. Nikander、「ホストアイデンティティプロトコル(HIP)アーキテクチャ」、RFC 4423、DOI 10.17487 / RFC4423、2006年5月、<https://www.rfc-editor.org/info/rfc4423>。
[RFC5218] Thaler, D. and B. Aboba, "What Makes for a Successful Protocol?", RFC 5218, DOI 10.17487/RFC5218, July 2008, <https://www.rfc-editor.org/info/rfc5218>.
[RFC5218] Thaler、D.およびB. Aboba、「正常なプロトコルのために何が成功させるのか」、RFC 5218、DOI 10.17487 / RFC5218、2008年7月、<https://www.rfc-editor.org/info/rfc5218>。
[RFC5338] Henderson, T., Nikander, P., and M. Komu, "Using the Host Identity Protocol with Legacy Applications", RFC 5338, DOI 10.17487/RFC5338, September 2008, <https://www.rfc-editor.org/info/rfc5338>.
[RFC5338] Henderson、T.、Nikander、P.、およびM.コム、「レガシーアプリケーションとのホストアイデンティティプロトコルの使用」、RFC 5338、DOI 10.17487 / RFC5338、2008年9月、<https:///www.rfc-編集者.org / info / rfc5338>。
[RFC5887] Carpenter, B., Atkinson, R., and H. Flinck, "Renumbering Still Needs Work", RFC 5887, DOI 10.17487/RFC5887, May 2010, <https://www.rfc-editor.org/info/rfc5887>.
[RFC5887] Carpenter、B.、Atkinson、R.およびH.Flinck、 "Renumbering Work"、RFC 5887、Doi 10.17487 / RFC5887、2010年5月、<https://www.rfc-editor.org/info/ RFC5887>。
[RFC6078] Camarillo, G. and J. Melen, "Host Identity Protocol (HIP) Immediate Carriage and Conveyance of Upper-Layer Protocol Signaling (HICCUPS)", RFC 6078, DOI 10.17487/RFC6078, January 2011, <https://www.rfc-editor.org/info/rfc6078>.
[RFC6078] Camarillo、G.およびJ.Melen、 "Host Identity Protocol(HIP)即時キャリッジおよび上層プロトコルシグナリングの往復(Hiccups)"、RFC 6078、DOI 10.17487 / RFC6078、2011年1月、<https://www.rfc-editor.org/info/rfc6078>。
[RFC6250] Thaler, D., "Evolution of the IP Model", RFC 6250, DOI 10.17487/RFC6250, May 2011, <https://www.rfc-editor.org/info/rfc6250>.
[RFC6250] Thaler、D.、「IPモデルの進化」、RFC 6250、DOI 10.17487 / RFC6250、2011年5月、<https://www.rfc-editor.org/info/rfc6250>。
[RFC6281] Cheshire, S., Zhu, Z., Wakikawa, R., and L. Zhang, "Understanding Apple's Back to My Mac (BTMM) Service", RFC 6281, DOI 10.17487/RFC6281, June 2011, <https://www.rfc-editor.org/info/rfc6281>.
[RFC6281]チェシャー、S、Zhu、Z.、Wakikawa、R.、およびL. Zhang、「AppleのMac(BTMM)サービスへの理解(BTMM)サービス」、RFC 6281、DOI 10.17487 / RFC6281、2011年6月、<https://www.rfc-editor.org/info/rfc6281>。
[RFC6317] Komu, M. and T. Henderson, "Basic Socket Interface Extensions for the Host Identity Protocol (HIP)", RFC 6317, DOI 10.17487/RFC6317, July 2011, <https://www.rfc-editor.org/info/rfc6317>.
[RFC6317]コム、M.およびT.ヘンダーソン、「ホストアイデンティティプロトコル(HIP)の基本ソケットインタフェース拡張(HIP)」、RFC 6317、DOI 10.17487 / RFC6317、2011年7月、<https://www.rfc-editor.org/ info / rfc6317>。
[RFC6537] Ahrenholz, J., "Host Identity Protocol Distributed Hash Table Interface", RFC 6537, DOI 10.17487/RFC6537, February 2012, <https://www.rfc-editor.org/info/rfc6537>.
[RFC6537] Ahrenholz、J.、「ホストIDプロトコル分散ハッシュテーブルインタフェース」、RFC 6537、DOI 10.17487 / RFC6537、2012年2月、<https://www.rfc-editor.org/info/rfc6537>。
[RFC6538] Henderson, T. and A. Gurtov, "The Host Identity Protocol (HIP) Experiment Report", RFC 6538, DOI 10.17487/RFC6538, March 2012, <https://www.rfc-editor.org/info/rfc6538>.
[RFC6538] Henderson、T.およびA.Gurtov、「Host Identity Protocol(HIP)実験レポート」、RFC 6538、DOI 10.17487 / RFC6538、2012年3月、<https://www.rfc-editor.org/info/RFC6538>。
[RFC7296] Kaufman, C., Hoffman, P., Nir, Y., Eronen, P., and T. Kivinen, "Internet Key Exchange Protocol Version 2 (IKEv2)", STD 79, RFC 7296, DOI 10.17487/RFC7296, October 2014, <https://www.rfc-editor.org/info/rfc7296>.
[RFC7296] Kaufman、C.、Hoffman、P.、NIR、Y.、Eronen、P.、およびT.Kivinen、「インターネットキー交換プロトコル版2(IKEV2)」、STD 79、RFC 7296、DOI 10.17487 / RFC72962014年10月、<https://www.rfc-editor.org/info/rfc7296>。
[RFC7435] Dukhovni, V., "Opportunistic Security: Some Protection Most of the Time", RFC 7435, DOI 10.17487/RFC7435, December 2014, <https://www.rfc-editor.org/info/rfc7435>.
[RFC7435] Dukhovni、V.、「日和見主義的セキュリティ:ほとんどの保護」、RFC 7435、DOI 10.17487 / RFC7435、2014年12月、<https://www.rfc-editor.org/info/rfc7435>。
[sarela-bloom] Särelä, M., Esteve Rothenberg, C., Zahemszky, A., Nikander, P., and J. Ott, "BloomCasting: Security in Bloom Filter Based Multicast", Information Security Technology for Applications, NordSec 2010, Lecture Notes in Computer Science, Vol. 7127, pages 1-16, Springer, DOI 10.1007/978-3-642-27937-9_1, 2012, <https://doi.org/10.1007/978-3-642-27937-9_1>.
[サレラブルーム]Särelä、M.、Esteve Rothenberg、C.、Zahemsky、A.、Nikander、P.、およびJ. OTT、「ブルームフィルタベースのマルチキャストのセキュリティ」、アプリケーションのための情報セキュリティ技術、Nordsec 2010、コンピュータサイエンス、Vol。7127、Pages 1-16、Springer、Doi 10.1007 / 978-3-642-27937-9_1,2012、<https://doi.org/10.1007/978-3-642-27937-9_1>。
[schuetz-intermittent] Schütz, S., Eggert, L., Schmid, S., and M. Brunner, "Protocol enhancements for intermittently connected hosts", ACM SIGCOMM Computer Communication Review, Vol. 35, Issue 3, pp. 5-18, DOI 10.1145/1070873.1070875, July 2005, <https://doi.org/10.1145/1070873.1070875>.
[Schuetz-IntermitTent]シュッツ、S、Eggert、L.、Schmid、S.、およびM. Brunner、「間欠的に接続されたホストのためのプロトコルの強化」、ACM SIGCOMM Computer Computer Review、Vol。35、発行3、PP。5-18、DOI 10.1145 / 1070873.1070875、<https://doi.org/10.1145/1070873.1070875>。
[shields-hip] Shields, C. and J. J. Garcia-Luna-Aceves, "The HIP protocol for hierarchical multicast routing", Proceedings of the seventeenth annual ACM symposium on Principles of distributed computing, pp. 257-266, ISBN 0-89791-977-7, DOI 10.1145/277697.277744, 1998, <https://doi.org/10.1145/277697.277744>.
[シールド - ヒップ]シールド、C、JJガルシア - ルナエスベス、「階層的マルチキャストルーティングのためのHIPプロトコル」、分散コンピューティングの原理、PP 257-266、ISBN 0-89791-977-7、DOI 10.1145 / 277697.277744,1998、<https://doi.org/10.1145/277697.277744>。
[tempered-networks] Tempered Networks, "Identity-Defined Network (IDN) Architecture: Unified, Secure Networking Made Simple", White Paper, 2016.
[強化ネットワーク]強化ネットワーク、「アイデンティティ定義ネットワーク(IDN)アーキテクチャ:Unified、Secure Networking Med Simple」、ホワイトペーパー、2016。
[tritilanunt-dos] Tritilanunt, S., Boyd, C., Foo, E., and J.M.G. Nieto, "Examining the DoS Resistance of HIP", On the Move to Meaningful Internet Systems 2006: OTM 2006 Workshops, Lecture Notes in Computer Science, Vol. 4277, pp. 616-625, Springer, DOI 10.1007/11915034_85, 2006, <https://doi.org/10.1007/11915034_85>.
[Tritilanunt-dos] Tritilanunt、S、Boyd、C.、Foo、E.、およびJ.G.Nieto、「HIPのDOS抵抗を調べる」、意味のあるインターネットシステムへの移行について:OTM 2006ワークショップ、コンピュータサイエンスの講義、卸資料、vol。4277、PP。616-625、Springer、DOI 10.1007 / 11915034_85,2006、<https://doi.org/10.1007/11915034_85>。
[urien-rfid] Urien, P., Chabanne, H., Pepin, C., Orga, S., Bouet, M., de Cunha, D.O., Guyot, V., Pujolle, G., Paradinas, P., Gressier, E., and J.-F. Susini, "HIP-based RFID Networking Architecture", 2007 IFIP International Conference on Wireless and Optical Communications Networks, pp. 1-5, DOI 10.1109/WOCN.2007.4284140, 2007, <https://doi.org/10.1109/WOCN.2007.4284140>.
[Urien-RFID] Urien、P.、Chabanne、H.、Pepin、C.、Orga、S.、Bouet、M.、De Cunha、Do、Guyot、V.、Pujolle、G.、Paradinas、P.、Gressier、E.、およびJ.-F。Susini、「HIPベースのRFIDネットワーキングアーキテクチャ」、2007年の無線および光通信ネットワークに関するIFIP国際会議、PP。1-5、DOI 10.1109 / WOCN.2007.4284140,2007、<https://doi.org/10.1109/WOCN。2007.4284140>。
[urien-rfid-draft] Urien, P., Lee, G. M., and G. Pujolle, "HIP support for RFIDs", Work in Progress, Internet-Draft, draft-irtf-hiprg-rfid-07, 23 April 2013, <https://datatracker.ietf.org/doc/html/draft-irtf-hiprg-rfid-07>.
[Urien-Rfid-Draft] Urien、P.、Lee、GM、G. Pujolle、 "RFIDのHIPサポート"、進行中の作業、インターネットドラフト、ドラフト - IRTF-HIPRG-RFID-07,24月23日、<https://datatracker.ietf.org/doc/html/draft-irtf-hiprg-rfid-07>
[varjonen-split] Varjonen, S., Komu, M., and A. Gurtov, "Secure and Efficient IPv4/IPv6 Handovers Using Host-Based Identifier-Location Split", Journal of Communications Software and Systems, Vol. 6, Issue 1, ISSN 18456421, DOI 10.24138/jcomss.v6i1.193, 2010, <https://doi.org/10.24138/jcomss.v6i1.193>.
[Varjonen-Split] Varjonen、S.、Komu、M.、A. Gurtov、「ホストベースの識別子 - ロケーションスプリットを使用した安全で効率的なIPv4 / IPv6ハンドオーバー」、通信ソフトウェアおよびシステム、vol。6、問題1、ISSN 18456421、DOI 10.24138 / JComss.v6i1.193,2010、<https://doi.org/10.24138/jcomss.v6i1.193>。
[xin-hip-lib] Xin, G., "Host Identity Protocol Version 2.5", Master's Thesis, Aalto University, Espoo, Finland, June 2012.
[XIN-HIP-LIB] XIN、G、「ホストアイデンティティーバージョン2.5」、Masterの論文、Aalto University、Espoo、フィンランド、2012年6月。
[ylitalo-diss] Ylitalo, J., "Secure Mobility at Multiple Granularity Levels over Heterogeneous Datacom Networks", Dissertation, Helsinki University of Technology, Espoo, Finland, ISBN 978-951-22-9531-9, 2008.
[ylitalo-diss] Ylitalo、J.、「異種データコムネットワーク上の複数の粒度レベルでの安全な移動性」、Helsinki工科大学、エスポー、フィンランド、Esbn 978-951-22-9531-9,2008。
[ylitalo-spinat] Ylitalo, J., Salmela, P., and H. Tschofenig, "SPINAT: Integrating IPsec into Overlay Routing", First International Conference on Security and Privacy for Emerging Areas in Communication Networks, SECURECOMM'05, Athens, Greece, pp. 315-326, ISBN 0-7695-2369-2, DOI 10.1109/SECURECOMM.2005.53, 2005, <https://doi.org/10.1109/SECURECOMM.2005.53>.
[Ylitalo-Spinat] Ylitalo、J.、Salmela、P.、H.Tschofenig、「Spinat:オーバーレイルーティングへのIPsecの統合」、通信ネットワークの新興地域のセキュリティとプライバシーに関する最初の国際会議、SecureComm'05、Athens、ギリシャ、PP。315-326、ISI 10.1109 / SecureComm.2005.53,2005、<https://doi.org/10.1109/secureComm.2005.53>。
[zhang-revocation] Zhang, D., Kuptsov, D., and S. Shen, "Host Identifier Revocation in HIP", Work in Progress, Internet-Draft, draft-irtf-hiprg-revocation-05, 9 March 2012, <https://datatracker.ietf.org/doc/html/draft-irtf-hiprg-revocation-05>.
[Zhang-revocation] Zhang、D.、Kuptsov、D.、S. S. S. SHEN、「HIPのホスト識別子失効」、進行中の作業、インターネットドラフト、ドラフト - IRTF-HIPRG-Revocation-05、2012年3月9日、<https://datatracker.ietf.org/doc/html/draft-irtf-hiprg-revocation-05>。
[zhu-hip] Zhu, X., Ding, Z., and X. Wang, "A Multicast Routing Algorithm Applied to HIP-Multicast Model", 2011 International Conference on Network Computing and Information Security, Guilin, China, pp. 169-174, DOI 10.1109/NCIS.2011.42, 2011, <https://doi.org/10.1109/NCIS.2011.42>.
[Zhu-HIP] Zhu、X.、Ding、Z.、およびX. Wang、「ヒップマルチキャストモデルに適用されるマルチキャストルーティングアルゴリズム」、2011年国際ネットワークコンピューティングと情報セキュリティ、桂林、中国、PP。169-174、DOI 10.1109 / NCIS.2011.42,2011、<https://doi.org/10.1109/ncis.2011.42>。
[zhu-secure] Zhu, X. and J. W. Atwood, "A Secure Multicast Model for Peer-to-Peer and Access Networks Using the Host Identity Protocol", 2007 4th IEEE Consumer Communications and Networking Conference, Las Vegas, NV, USA, pages 1098-1102, DOI 10.1109/CCNC.2007.221, 2007, <https://doi.org/10.1109/CCNC.2007.221>.
[Zhu-Secure] Zhu、X.およびJW Atwood、「ホストアイデンティティプロトコルを使用したピアツーピアおよびアクセスネットワークのための安全なマルチキャストモデル」、2007年第4回IEEEコンシューマコミュニケーションとネットワーキング会議、ラスベガス、NV、USA、Pages 1098-1102、DOI 10.1109 / CCNC.2007.221,2007、<https://doi.org/10.1109/ccnc.2007.221>。
In the beginning, the network layer protocol (i.e., IP) had the following four "classic" invariants:
最初に、ネットワーク層プロトコル(すなわち、IP)は次の4つの「クラシック」不変量を有していた。
1. Non-mutable: The address sent is the address received.
1. 変更不可:送信されたアドレスは受信したアドレスです。
2. Non-mobile: The address doesn't change during the course of an "association".
2. 非モバイル:「協会」の過程で住所は変わりません。
3. Reversible: A return header can always be formed by reversing the source and destination addresses.
3. リバーシブル:ソースアドレスと宛先アドレスを逆にすることで、常にリターンヘッダーを形成できます。
4. Omniscient: Each host knows what address a partner host can use to send packets to it.
4. OMNISCITION:各ホストは、パートナーホストがパケットを送信するためにどのアドレスを使用できるかを知っています。
Actually, the fourth can be inferred from 1 and 3, but it is worth mentioning explicitly for reasons that will be obvious soon if not already.
実際には、4番目と3から推測できますが、まだ明らかにされていない場合は明示的に言及する価値があります。
In the current "post-classic" world, we are intentionally trying to get rid of the second invariant (both for mobility and for multihoming), and we have been forced to give up the first and the fourth. Realm Specific IP [RFC3102] is an attempt to reinstate the fourth invariant without the first invariant. IPv6 attempts to reinstate the first invariant.
現在の「古典的な」世界では、意図的に第2の不変(モビリティとマルチホームの両方のために)を取り除こうとしていて、私たちは最初と4番目のものをあきらめることを余儀なくされました。Realm Specific IP [RFC3102]は、最初の不変なしで4番目の不変を回復しようとしています。IPv6は最初の不変権を回復しようとします。
Few client-side systems on the Internet have DNS names that are meaningful. That is, if they have a Fully Qualified Domain Name (FQDN), that name typically belongs to a NAT device or a dial-up server, and does not really identify the system itself but its current connectivity. FQDNs (and their extensions as email names) are application-layer names; more frequently naming services than particular systems. This is why many systems on the Internet are not registered in the DNS; they do not have services of interest to other Internet hosts.
インターネット上のクライアントサイドシステムはほとんど意味があるDNS名を持っています。つまり、完全修飾ドメイン名(FQDN)がある場合、その名前は通常NATデバイスまたはダイヤルアップサーバーに属し、実際にはシステム自体を識別しませんが、現在の接続性を識別しません。FQDNS(および電子メール名としての拡張子)はアプリケーション層名です。特定のシステムよりも頻繁に命名されているサービス。これが、インターネット上の多くのシステムがDNSに登録されていない理由です。彼らは他のインターネットホストに興味のあるサービスを持っていません。
DNS names are references to IP addresses. This only demonstrates the interrelationship of the networking and application layers. DNS, as the Internet's only deployed and distributed database, is also the repository of other namespaces, due in part to DNSSEC and application-specific key records. Although each namespace can be stretched (IP with v6, DNS with KEY records), neither can adequately provide for host authentication or act as a separation between internetworking and transport layers.
DNS名はIPアドレスへの参照です。これは、ネットワーキング層とアプリケーション層の相互関係のみを示しています。DNSは、インターネットの展開および分散データベースとして、DNSSECおよびアプリケーション固有のキーレコードに起因する他のネームスペースのリポジトリでもあります。各ネームスペースを引き伸ばすことができますが(v6、鍵レコード付きDNSを搭載したIP)、ホスト認証を適切に提供することも、インターネットワーキング層とトランスポート層との間の分離として機能しません。
The Host Identity (HI) namespace fills an important gap between the IP and DNS namespaces. An interesting thing about the HI is that it actually allows a host to give up all but the 3rd network-layer invariant. That is to say, as long as the source and destination addresses in the network-layer protocol are reversible, HIP takes care of host identification, and reversibility allows a local host to receive a packet back from a remote host. The address changes occurring during NAT transit (non-mutable) or host movement (non-omniscient or non-mobile) can be managed by the HIP layer.
ホストID(HI)ネームスペースは、IPとDNSネームスペースの間に重要なギャップを埋めます。こんにちはについての興味深いことは、それが実際にホストが3番目のネットワーク層不変をあきらめることを可能にすることです。すなわち、ネットワーク層プロトコル内の送信元アドレスと宛先アドレスがリバース可能である限り、HIPはホスト識別の世話をし、ローカルホストがリモートホストからパケットを返送することを可能にする。NATトランジット(非可変)またはホスト移動中に発生するアドレスの変化(非オムニエントまたは非モバイル)は、HIPレイヤによって管理できます。
With the exception of high-performance computing applications, the sockets API is the most common way to develop network applications. Applications use the sockets API either directly or indirectly through some libraries or frameworks. However, the sockets API is based on the assumption of static IP addresses, and DNS with its lifetime values was invented at later stages during the evolution of the Internet. Hence, the sockets API does not deal with the lifetime of addresses [RFC6250]. As the majority of the end-user equipment is mobile today, their addresses are effectively ephemeral, but the sockets API still gives a fallacious illusion of persistent IP addresses to the unwary developer. HIP can be used to solidify this illusion because HIP provides persistent, surrogate addresses to the application layer in the form of LSIs and HITs.
高性能コンピューティングアプリケーションを除いて、Sockets APIはネットワークアプリケーションを開発するための最も一般的な方法です。アプリケーションは、ソケットAPIを直接的または間接的にライブラリまたはフレームワークで使用します。しかしながら、ソケットAPIは静的IPアドレスの仮定に基づいており、その寿命値を有するDNSはインターネットの進化の間に後の段階で発明された。したがって、ソケットAPIはアドレスの寿命を扱いません[RFC6250]。エンドユーザー機器の大部分は今日モバイルであるため、彼らのアドレスは効果的にエフェラルですが、ソケットAPIは依然として不要な開発者に永続的なIPアドレスの誤った錯覚を与えます。HIPは、LSIとヒットの形でアプリケーション層に持続的で代理のアドレスを提供するため、この錯覚を固めるために使用できます。
The persistent identifiers as provided by HIP are useful in multiple scenarios (see, e.g., [ylitalo-diss] or [komu-diss] for a more elaborate discussion):
HIPによって提供された持続的な識別子は、より複雑な議論のために、複数のシナリオ(例えば、ylitalo-diss]または[komu-diss]を参照)において有用である。
* When a mobile host moves physically between two different WLAN networks and obtains a new address, an application using the identifiers remains isolated regardless of the topology changes while the underlying HIP layer reestablishes connectivity (i.e., a horizontal handoff).
* モバイルホストが2つの異なるWLANネットワーク間で物理的に移動して新しいアドレスを取得するとき、基礎となるHIPレイヤが接続性を再確立しながら、識別子を使用するアプリケーションは依然として分離されたままである。
* Similarly, the application utilizing the identifiers remains again unaware of the topological changes when the underlying host equipped with WLAN and cellular network interfaces switches between the two different access technologies (i.e., a vertical handoff).
* 同様に、識別子を利用するアプリケーションは、WLANおよびセルラネットワークインタフェースを備えた基礎となるホストが2つの異なるアクセス技術(すなわち垂直ハンドオフ)を切り替えるときに、トポロジーの変更を認識しないままである。
* Even when hosts are located in private address realms, applications can uniquely distinguish different hosts from each other based on their identifiers. In other words, it can be stated that HIP improves Internet transparency for the application layer [komu-diss].
* ホストがプライベートアドレスレルムにある場合でも、アプリケーションは識別子に基づいて異なるホストを互いに一意に区別できます。言い換えれば、股関節がアプリケーション層のインターネットの透明性を向上させることが述べられている。
* Site renumbering events for services can occur due to corporate mergers or acquisitions, or by changes in Internet service provider. They can involve changing the entire network prefix of an organization, which is problematic due to hard-coded addresses in service configuration files or cached IP addresses at the client side [RFC5887]. Considering such human errors, a site employing location-independent identifiers as promoted by HIP may experience fewer problems while renumbering their network.
* サイトサービスのためのイベントの参照イベントは、企業の合併や習得、またはインターネットサービスプロバイダの変更によって発生する可能性があります。彼らは、組織のネットワークプレフィックス全体を変更することを含みます。このような人間の誤差を考慮すると、HIPによって促進された位置に依存しない識別子を採用するサイトは、ネットワークの番号を付け直す間に問題が少ないかもしれません。
* More agile IPv6 interoperability can be achieved, as discussed in Section 4.4. IPv6-based applications can communicate using HITs with IPv4-based applications that are using LSIs. Additionally, the underlying network type (IPv4 or IPv6) becomes independent of the addressing family of the application.
* 4.4節で説明したように、より機敏なIPv6の相互運用性を達成することができます。IPv6ベースのアプリケーションは、LSIを使用しているIPv4ベースのアプリケーションを使用してヒットを使用して通信できます。さらに、基礎となるネットワークタイプ(IPv4またはIPv6)はアプリケーションのアドレス指定ファミリとは無関係になります。
* HITs (or LSIs) can be used in IP-based access control lists as a more secure replacement for IPv6 addresses. Besides security, HIT-based access control has two other benefits. First, the use of HITs can potentially halve the size of access control lists because separate rules for IPv4 are not needed [komu-diss]. Second, HIT-based configuration rules in HIP-aware middleboxes remain static and independent of topology changes, thus simplifying administrative efforts particularly for mobile environments. For instance, the benefits of HIT-based access control have been harnessed in the case of HIP-aware firewalls, but can be utilized directly at the end-hosts as well [RFC6538].
* HITS(またはLSI)は、IPv6アドレスのためのより安全な置き換えとして、IPベースのアクセス制御リストで使用できます。セキュリティに加えて、ヒットベースのアクセス制御には2つの他の利点があります。第1に、IPv4の別々の規則が必要ではないので、ヒットの使用はアクセス制御リストのサイズを潜在的に半分にすることができます[komu-diss]。第二に、HIP対応ミドルボックスのヒットベースの設定規則は、静的でトポロジの変更とは無関係であるため、特にモバイル環境に関する管理上の取り組みが簡単になります。例えば、HIP対応のファイアウォールの場合には、ヒットベースのアクセス制御の利点が活用されてきたが、エンドホストで直接利用することができる[RFC6538]。
While some of these benefits could be and have been redundantly implemented by individual applications, providing such generic functionality at the lower layers is useful because it reduces software development effort and networking software bugs (as the layer is tested with multiple applications). It also allows the developer to focus on building the application itself rather than delving into the intricacies of mobile networking, thus facilitating separation of concerns.
これらの利点のいくつかは個々のアプリケーションによって冗長的に実装されている可能性があるが、下位レイヤーにそのような一般的な機能を提供することは、ソフトウェア開発努力およびネットワークソフトウェアのバグを減らすので便利である(レイヤーが複数のアプリケーションでテストされているので)。また、モバイルネットワーキングの複雑さを軽減するのではなく、開発者がアプリケーション自体を構築することに焦点を当て、したがって懸念の分離を容易にします。
HIP could also be realized by combining a number of different protocols, but the complexity of the resulting software may become substantially larger, and the interaction between multiple, possibly layered protocols may have adverse effects on latency and throughput. It is also worth noting that virtually nothing prevents realizing the HIP architecture, for instance, as an application-layer library, which has been actually implemented in the past [xin-hip-lib]. However, the trade-off in moving the HIP layer to the application layer is that legacy applications may not be supported.
HIPはまた、いくつかの異なるプロトコルを組み合わせることによって実現され得るが、結果として生じるソフトウェアの複雑さは実質的に大きくなる可能性があり、複数のおそらく階層化されたプロトコル間の相互作用は、待ち時間およびスループットに悪影響を及ぼす可能性がある。例えば、過去の[xin-hip-lib]で実際に実装されているアプリケーション層ライブラリとして、HIPアーキテクチャを実現することは事実上何も妨げません。ただし、HIP層をアプリケーション層に移動させる際のトレードオフは、レガシーアプリケーションがサポートされていない可能性があります。
In computer science, many problems can be solved with an extra layer of indirection. However, the indirection always involves some costs as there is no such a thing as a "free lunch". In the case of HIP, the main costs could be stated as follows:
コンピュータサイエンスでは、多くの問題を追加の間接層で解決できます。しかし、「無料昼食」としてそのようなものがないので、間接的な費用は常にいくらかのコストを含みます。HIPの場合、主な費用は次のように述べられています。
* In general, an additional layer and a namespace always involve some initial effort in terms of implementation, deployment, and maintenance. Some education of developers and administrators may also be needed. However, the HIP community at the IETF has spent years in experimenting, exploring, testing, documenting, and implementing HIP to ease the adoption costs.
* 一般に、追加のレイヤーと名前空間は常に実装、展開、および保守の面でいくつかの初期努力を含みます。開発者や管理者の教育も必要とされる可能性があります。しかし、IETFのHIPコミュニティは、採用費用を緩和するために、実験、探索、テスト、文書化、および実施の中で何年も過ごしました。
* HIP introduces a need to manage HIs and requires a centralized approach to manage HIP-aware endpoints at scale. What were formerly IP address-based ACLs are now trusted HITs, and the HIT-to-IP address mappings as well as access policies must be managed. HIP-aware endpoints must also be able to operate autonomously to ensure mobility and availability (an endpoint must be able to run without having to have a persistent management connection). The users who want this better security and mobility of HIs instead of IP address-based ACLs have to then manage this additional 'identity layer' in a nonpersistent fashion. As exemplified in Appendix A.3.5, these challenges have been already solved in an infrastructure setting to distribute policy and manage the mappings and trust relationships between HIP-aware endpoints.
* HIPは、HIPを管理する必要性を紹介し、HIP対応のエンドポイントを規模で管理するための集中型アプローチを必要とします。以前のIPアドレスベースのACLが現在、現在のヒット、およびアクセスポリシーを管理する必要があります。HIP対応エンドポイントは、モビリティと可用性を確保するために自律的に操作できるようにする必要があります(エンドポイントは永続管理接続を持たなくても実行できなければなりません)。IPアドレスベースのACLの代わりにこのより良いセキュリティとモビリティを必要としたいユーザーは、この追加の「IDレイヤ」を非永続的な方法で管理する必要があります。付録A.3.5に例示されているように、これらの課題は、ポリシーを配布し、HIP対応エンドポイント間のマッピングと信頼関係を管理するためのインフラストラクチャ設定ですでに解決されています。
* HIP decouples identifier and locator roles of IP addresses. Consequently, a mapping mechanism is needed to associate them together. A failure to map a HIT to its corresponding locator may result in failed connectivity because a HIT is "flat" by its nature and cannot be looked up from the hierarchically organized DNS. HITs are flat by design due to a security trade-off. The more bits that are allocated for the hash in the HIT, the less likely there will be (malicious) collisions.
* HIP IDアドレスの識別子とロケータロールを切り離します。その結果、それらを一緒に関連付けるためにマッピングメカニズムが必要とされる。ヒットを対応するロケータにマッピングすることができないと、その性質によって「フラット」であり、階層的に編成されたDNSから検索することはできないため、接続が失敗する可能性があります。セキュリティのトレードオフによるデザインによってヒットはアパートです。ヒットのハッシュに割り当てられているビットが多いほど、(悪意のある)衝突が発生する可能性が低い。
* From performance viewpoint, HIP control and data plane processing introduces some overhead in terms of throughput and latency as elaborated below.
* パフォーマンス上の観点からは、HIP制御とデータプレーン処理は、以下に詳述されたようにスループットと待ち時間の点で何らかのオーバーヘッドを導入します。
Related to deployment drawbacks, firewalls are commonly used to control access to various services and devices in the current Internet. Since HIP introduces an additional namespace, it is expected that the HIP namespace would be filtered for unwanted connectivity also. While this can be achieved with existing tools directly in the end-hosts, filtering at the middleboxes requires modifications to existing firewall software or additional middleboxes [RFC6538].
展開の欠点に関連して、ファイアウォールは一般的に現在のインターネット内のさまざまなサービスおよびデバイスへのアクセスを制御するために使用されます。HIPは追加のネームスペースを導入しているので、hipネームスペースは不要な接続性のためにフィルタリングされることが予想されます。これは既存のツールで直接エンドホストで達成できますが、ミドルボックスでのフィルタリングは既存のファイアウォールソフトウェアまたは追加のミドルボックスを変更する必要があります[RFC6538]。
The key exchange introduces some extra latency (two round trips) in the initial transport-layer connection establishment between two hosts. With TCP, additional delay occurs if the underlying network stack implementation drops the triggering SYN packet during the key exchange. The same cost may also occur during HIP handoff procedures. However, subsequent TCP sessions using the same HIP association will not bear this cost (within the key lifetime). Both the key exchange and handoff penalties can be minimized by caching TCP packets. The latter case can further be optimized with TCP user timeout extensions [RFC5482] as described in further detail by Schütz et al. [schuetz-intermittent].
鍵交換では、2つのホスト間の初期トランスポート層接続確立にいくつかの追加の待ち時間(2回の往復)が発生します。TCPでは、基礎となるネットワークスタック実装が鍵交換中にトリガSYNパケットをドロップすると、追加の遅延が発生します。HIPハンドオフ手順の間に同じコストが発生する可能性があります。ただし、同じHIPアソシエーションを使用している後続のTCPセッションは、このコストを持ちません(鍵の寿命内)。TCPパケットをキャッシュすることで、鍵交換とハンドオフの罰則の両方を最小限に抑えることができます。後者の場合は、Schützet alによってさらに詳細に記載されているように、TCPユーザタイムアウト拡張[RFC5482]でさらに最適化することができる。[シュセツ断続的]。
The most CPU-intensive operations involve the use of the asymmetric keys and Diffie-Hellman key derivation at the control plane, but this occurs only during the key exchange, its maintenance (handoffs and refreshing of key material), and teardown procedures of HIP associations. The data plane is typically implemented with ESP because it has a smaller overhead due to symmetric key encryption. Naturally, even ESP involves some overhead in terms of latency (processing costs) and throughput (tunneling) (see, e.g., [ylitalo-diss] for a performance evaluation).
最も多くのCPU集約的な操作は、対照平面で非対称キーとDiffie-Hellmanキー導出の使用を含みますが、これは鍵交換中にのみ発生します。。データプレーンは通常、対称鍵暗号化のためにオーバーヘッドが小さいためにESPで実装されています。当然のことながら、ESPでさえ、待ち時間(処理コスト)およびスループット(トンネリング)の点で何らかのオーバーヘッド(パフォーマンス評価のための[ylitalo-diss])が含まれます。
This section describes some deployment and adoption considerations related to HIP from a technical perspective.
このセクションでは、技術的観点から腰に関連する展開と採用に関する考慮事項について説明します。
HIP has been adapted and deployed in an industrial control network in a production factory, in which HIP's strong network-layer identity supports the secure coexistence of the control network with many untrusted network devices operated by third-party vendors [paine-hip]. Similarly, HIP has also been included in a security product to support Layer 2 VPNs [henderson-vpls] to enable security zones in a supervisory control and data acquisition (SCADA) network. However, HIP has not been a "wild success" [RFC5218] in the Internet as argued by Levä et al. [levae-barriers]. Here, we briefly highlight some of their findings based on interviews with 19 experts from the industry and academia.
HIPは製造工場内の産業用制御ネットワークに適応して展開されており、HIPの強力なネットワーク層IDは、サードパーティベンダーで運営されている多くの信頼できるネットワークデバイスを使用して、制御ネットワークの安全な共存をサポートしています[Pain-HIP]。同様に、Supervisional ControlおよびData Control(SCADA)ネットワークでセキュリティゾーンを有効にするために、レイヤ2 VPNS [HenderSon-VPLS]をサポートするためのセキュリティ製品にも含まれています。しかし、股関節は、Leväらによって議論されているように、インターネット内の「野生の成功」[RFC5218]ではありません。[Levae-Barriers]。ここでは、業界と学界の19の専門家とのインタビューに基づいて、彼らの調査結果のいくつかを簡単に強調しています。
From a marketing perspective, the demand for HIP has been low and substitute technologies have been favored. Another identified reason has been that some technical misconceptions related to the early stages of HIP specifications still persist. Two identified misconceptions are that HIP does not support NAT traversal and that HIP must be implemented in the OS kernel. Both of these claims are untrue; HIP does have NAT traversal extensions [RFC9028], and kernel modifications can be avoided with modern operating systems by diverting packets for userspace processing.
マーケティングの観点からは、HIPの需要は低く、代替技術が好まれています。もう1つの識別された理由は、HIP仕様の初期段階に関連するいくつかの技術的な誤解がまだ持続していることです。2つの識別された誤解は、HIPがNATトラバーサルをサポートしていないため、OSカーネルに腰を実装する必要があります。これらの主張は両方とも真実ではない。HIPにはNATトラバーサル拡張[RFC9028]があり、カーネルの変更は、ユーザースペース処理のためにパケットをそらすことによって現代のオペレーティングシステムでは回避できます。
The analysis by Levä et al. clarifies infrastructural requirements for HIP. In a minimal setup, a client and server machine have to run HIP software. However, to avoid manual configurations, usually DNS records for HIP are set up. For instance, the popular DNS server software Bind9 does not require any changes to accommodate DNS records for HIP because they can be supported in binary format in its configuration files [RFC6538]. HIP rendezvous servers and firewalls are optional. No changes are required to network address points, NATs, edge routers, or core networks. HIP may require holes in legacy firewalls.
Leväらによる分析。HIPのためのインフラストラクチャー要件を明確にします。最小限のセットアップでは、クライアントおよびサーバーマシンはHIPソフトウェアを実行する必要があります。ただし、手動構成を避けるために、通常はHIP用のDNSレコードが設定されています。たとえば、一般的なDNSサーバーソフトウェアBIND9では、設定ファイルでのバイナリ形式でサポートできるため、HIPのDNSレコードに対応するための変更は不要です[RFC6538]。HIP Rendezvousサーバーとファイアウォールはオプションです。ネットワークアドレスポイント、NAT、エッジルータ、またはコアネットワークに変更は必要ありません。股関節はレガシーファイアウォールで穴を必要とするかもしれません。
The analysis also clarifies the requirements for the host components that consist of three parts. First, a HIP control plane component is required, typically implemented as a userspace daemon. Second, a data plane component is needed. Most HIP implementations utilize the so-called Bound End-to-End Tunnel (BEET) mode of ESP that has been available since Linux kernel 2.6.27, but the BEET mode is also included as a userspace component in a few of the implementations. Third, HIP systems usually provide a DNS proxy for the local host that translates HIP DNS records to LSIs and HITs, and communicates the corresponding locators to the HIP userspace daemon. While the third component is not mandatory, it is very useful for avoiding manual configurations. The three components are further described in the HIP experiment report [RFC6538].
分析はまた、3つの部分からなるホストコンポーネントの要件を明確にします。まず、通常はUserSpaceデーモンとして実装されているHIP制御プレーンコンポーネントが必要です。第二に、データプレーンコンポーネントが必要です。ほとんどのHIP実装では、Linuxカーネル2.6.27以降に利用可能であるESPのいわゆるバインドエンドツーエンドトンネル(BEET)モードを利用していますが、ビットモードは、いくつかの実装ではUserSpaceコンポーネントとしても含まれています。第3に、HIPシステムは通常、HIP DNSレコードをLSIとヒットに変換し、対応するロケータをHIP Userspaceデーモンに通信するローカルホストのためのDNSプロキシを提供します。3番目のコンポーネントは必須ではありませんが、手動構成を回避するのに非常に便利です。3つの成分は、HIP実験報告書[RFC6538]にさらに説明される。
Based on the interviews, Levä et al. suggest further directions to facilitate HIP deployment. Transitioning a number of HIP specifications to the Standards Track in the IETF has already taken place, but the authors suggest other additional measures based on the interviews. As a more radical measure, the authors suggest to implement HIP as a purely application-layer library [xin-hip-lib] or other kind of middleware. On the other hand, more conservative measures include focusing on private deployments controlled by a single stakeholder. As a more concrete example of such a scenario, HIP could be used by a single service provider to facilitate secure connectivity between its servers [komu-cloud].
インタビューに基づいて、Leväet al。HIPの展開を容易にするためにさらなる指示を提案してください。IETFの標準トラックへの股関節の数の推移はすでに行われていますが、著者はインタビューに基づく他の追加の措置を提案しています。より根本的な尺度として、著者らは純粋にアプリケーション層ライブラリ[Xin-Hip-Lib]または他の種類のミドルウェアとしてのHIPを実装することを提案します。一方、より保守的な措置は、単一の利害関係者によって制御される個人展開に焦点を当てています。そのようなシナリオのより具体的な例として、そのサーバ間の安全な接続性を促進するために、股関節を単一のサービスプロバイダによって使用することができる。
The IEEE 802 standards have been defining MAC-layer security. Many of these standards use Extensible Authentication Protocol (EAP) [RFC3748] as a Key Management System (KMS) transport, but some like IEEE 802.15.4 [IEEE.802.15.4] leave the KMS and its transport as "out of scope".
IEEE 802規格は、MAC層のセキュリティを定義しています。これらの規格の多くは、鍵管理システム(KMS)トランスポートとして拡張認証プロトコル(EAP)[RFC3748]を使用していますが、IEEE 802.15.4 [IEEE.802.15.4]のようなものもあります。。
HIP is well suited as a KMS in these environments:
ヒップはこれらの環境のKMSとしてよく適しています。
* HIP is independent of IP addressing and can be directly transported over any network protocol.
* HIPはIPアドレッシングとは無関係であり、任意のネットワークプロトコルを介して直接転送できます。
* Master keys in 802 protocols are commonly pair-based with group keys transported from the group controller using pairwise keys.
* 802プロトコルのマスターキーは、一般にペアワイズキーを使用してグループコントローラから転送されたグループキーと一般的に対応しています。
* Ad hoc 802 networks can be better served by a peer-to-peer KMS than the EAP client/server model.
* AD HOC 802ネットワークは、EAPクライアント/サーバーモデルよりピアツーピアKMSによって提供されることができます。
* Some devices are very memory constrained, and a common KMS for both MAC and IP security represents a considerable code savings.
* 一部のデバイスは非常にメモリに制約されており、MACとIPセキュリティの両方のための一般的なKMSはかなりのコード節約を表します。
HIP requires certain amount computational resources from a device due to cryptographic processing. HIP scales down to phones and small system-on-chip devices (such as Raspberry Pis, Intel Edison), but small sensors operating with small batteries have remained problematic. Different extensions to the HIP have been developed to scale HIP down to smaller devices, typically with different security trade-offs. For example, the non-cryptographic identifiers have been proposed in RFID scenarios. The Slimfit approach [hummen] proposes a compression layer for HIP to make it more suitable for constrained networks. The approach is applied to a lightweight version of HIP (i.e., "Diet HIP") in order to scale down to small sensors.
HIPは暗号処理のために装置から特定の量の計算資源を必要とします。ヒップは電話や小さなシステムオンチップデバイス(ラズベリーピス、インテルエジソンなど)にスケールダウンしますが、小型の電池で動作する小さなセンサーは問題がありました。股関節への異なる拡張は、典型的には異なるセキュリティトレードオフで、より小さなデバイスにヒップダウンするために開発されました。たとえば、非暗号識別子はRFIDシナリオで提案されています。スリムフィットアプローチ[HUMMEN]は、股関節用の圧縮層を提案して、制約付きネットワークに適している。このアプローチは、小さなセンサーにスケールダウンするために、軽量バージョンのHIP(すなわち「ダイエットヒップ」)に適用される。
The HIP Diet EXchange (DEX) [hip-dex] design aims to reduce the overhead of the employed cryptographic primitives by omitting public-key signatures and hash functions. In doing so, the main goal is to still deliver security properties similar to the Base Exchange (BEX).
ヒップダイエット交換(DEX)[HIP-DEX]デザインは、公開鍵の署名やハッシュ機能を省略することによって、採用されている暗号プリミティブのオーバーヘッドを減らすことを目的としています。そうすることで、主な目標は、依然としてベース交換(BEX)と同様のセキュリティ特性を提供することです。
DEX is primarily designed for computation- or memory-constrained sensor/actuator devices. Like BEX, it is expected to be used together with a suitable security protocol such as the ESP for the protection of upper-layer protocol data. In addition, DEX can also be used as a keying mechanism for security primitives at the MAC layer, e.g., for IEEE 802.15.9 networks [IEEE.802.15.9].
DEXは主に計算式またはメモリ拘束型のセンサ/アクチュエータ装置用に設計されています。BEXのように、上層プロトコルデータの保護のためのESPなどの適切なセキュリティプロトコルと一緒に使用されることが期待されています。さらに、DEXは、MAC層でのセキュリティプリミティブ、例えばIEEE 802.15.9ネットワークのためのキーイングメカニズムとしても使用できます[IEEE.802.15.9]。
The main differences between HIP BEX and DEX are:
HIP BEXとDEXの主な違いは次のとおりです。
1. Minimum collection of cryptographic primitives to reduce the protocol overhead.
1. プロトコルのオーバーヘッドを減らすための暗号化プリミティブの最小コレクション。
* Static Elliptic Curve Diffie-Hellman (ECDH) key pairs for peer authentication and encryption of the session key.
* 静的楕円曲線Diffie-Hellman(ECDH)ピア認証とセッションキーの暗号化のためのキーペア。
* AES-CTR for symmetric encryption and AES-CMAC for MACing function.
* Symmetric EncryptionおよびMacing関数のAES-CMACのAES-CTR。
* A simple fold function for HIT generation.
* ヒット生成のための簡単な倍数関数
2. Forfeit of perfect forward secrecy with the dropping of an ephemeral Diffie-Hellman key agreement.
2. 一時的なDiffie-Hellman主な合意を落として完璧な前進秘密の喪失。
3. Forfeit of digital signatures with the removal of a hash function. Reliance on the ECDH-derived key used in HIP_MAC to prove ownership of the private key.
3. ハッシュ関数を削除したデジタル署名を失う。秘密鍵の所有権を証明するために、HIP_MACで使用されているECDH由来の鍵への依存。
4. Diffie-Hellman derived key ONLY used to protect the HIP packets. A separate secret exchange within the HIP packets creates the session key(s).
4. Diffie-Hellman派生キーは、HIPパケットを保護するためにのみ使用されます。HIPパケット内の別々の秘密交換はセッションキーを作成します。
5. Optional retransmission strategy tailored to handle the potentially extensive processing time of the employed cryptographic operations on computationally constrained devices.
5. 計算上の制約付きデバイス上での使用されている暗号化操作の潜在的に広範囲の処理時間を処理するように調整されたオプションの再送信戦略。
The HIP experimentation report [RFC6538] enumerates a number of client and server applications that have been trialed with HIP. Based on the report, this section highlights and complements some potential ways how HIP could be exploited in existing infrastructure such as routers, gateways, and proxies.
HIP実験レポート[RFC6538]は、HIPでトライアルされたクライアントアプリケーションとサーバーアプリケーションを列挙します。報告書に基づいて、このセクションは、ルーター、ゲートウェイ、プロキシなどの既存のインフラストラクチャで股関節がどのように悪用される可能性のある方法を強調表示して補完します。
HIP has been successfully used with forward web proxies (i.e., client-side proxies). HIP was used between a client host (web browser) and a forward proxy (Apache server) that terminated the HIP/ ESP tunnel. The forward web proxy translated HIP-based traffic originating from the client into non-HIP traffic towards any web server in the Internet. Consequently, the HIP-capable client could communicate with HIP-incapable web servers. This way, the client could utilize mobility support as provided by HIP while using the fixed IP address of the web proxy, for instance, to access services that were allowed only from the IP address range of the proxy.
HIPは、転送Webプロキシ(すなわち、クライアントサイドプロキシ)と共に正常に使用されてきた。HIPは、クライアントホスト(Webブラウザ)とHIP / ESPトンネルを終了させた転送プロキシ(Apache Server)の間で使用されました。順方向Webプロキシは、クライアントからのHIPベースのトラフィックをインターネット内の任意のWebサーバーに向けて非股関節トラフィックに変換しました。その結果、HIP対応クライアントはHIP不能なWebサーバーと通信できます。このようにして、クライアントは、例えば、プロキシのIPアドレス範囲からのみ許可されたサービスにアクセスするために、Webプロキシの固定IPアドレスを使用しながら、HIPによって提供されるモビリティサポートを利用することができる。
HIP with reverse web proxies (i.e., server-side proxies) has also been investigated, as described in more detail in [komu-cloud]. In this scenario, a HIP-incapable client accessed a HIP-capable web service via an intermediary load balancer (a web-based load balancer implementation called HAProxy). The load balancer translated non-HIP traffic originating from the client into HIP-based traffic for the web service (consisting of front-end and back-end servers). Both the load balancer and the web service were located in a data center. One of the key benefits for encrypting the web traffic with HIP in this scenario was supporting a private-public cloud scenario (i.e., hybrid cloud) where the load balancer, front-end servers, and back-end servers were located in different data centers, and thus the traffic needed to be protected when it passed through potentially insecure networks between the borders of the private and public clouds.
[コムクラウド]でより詳細に説明されているように、リバースWebプロキシ(すなわち、サーバ側プロキシ)を有するヒップも調査されている。このシナリオでは、ヒップ不可解なクライアントは、中間ロードバランサを介してHIP対応のWebサービスにアクセスしました(HAPROXYというWebベースのロードバランサ実装)。ロードバランサは、クライアントから発生した非HIPトラフィックをWebサービスのHIPベースのトラフィックに変換しました(フロントエンドサーバーとバックエンドサーバーとからなる)。ロードバランサとWebサービスの両方がデータセンターにありました。このシナリオでWebトラフィックを暗号化するための重要な利点の1つは、ロードバランサー、フロントエンドサーバー、およびバックエンドサーバーが異なるデータセンターにあるプライベートパブリッククラウドシナリオ(すなわちハイブリッドクラウド)をサポートしていました。したがって、トラフィックは、プライベートクラウドとパブリッククラウドの境界の間の潜在的に安全でないネットワークを通過するときに保護される必要がありました。
While HIP could be used to secure access to intermediary devices (e.g., access to switches with legacy telnet), it has also been used to secure intermittent connectivity between middlebox infrastructure. For instance, earlier research [komu-mitigation] utilized HIP between Simple Mail Transport Protocol (SMTP) servers in order to exploit the computational puzzles of HIP as a spam mitigation mechanism. A rather obvious practical challenge in this approach was the lack of HIP adoption on existing SMTP servers.
腰を使用して、中間機器へのアクセス(例えば、レガシーTelnetを使用したスイッチへのアクセス)に使用できるため、ミドルボックスインフラストラクチャ間の断続的な接続性を確保するためにも使用されています。例えば、以前の研究[コム緩和] HIPの計算パズルをスパム軽減メカニズムとして利用するために、単純メールトランスポートプロトコル(SMTP)サーバ間で腰を利用した。このアプローチではかなり明白な実際的な課題は、既存のSMTPサーバーに関するHIP採用の欠如でした。
To avoid deployment hurdles with existing infrastructure, HIP could be applied in the context of new protocols with little deployment. Namely, HIP has been studied in the context of a new protocol, peer-to-peer SIP [camarillo-p2psip]. The work has resulted in a number of related RFCs [RFC6078], [RFC6079], and [RFC7086]. The key idea in the research work was to avoid redundant, time-consuming ICE procedures by grouping different connections (i.e., SIP and media streams) together using the low-layer HIP, which executes NAT traversal procedures only once per host. An interesting aspect in the approach was the use of P2P-SIP infrastructure as rendezvous servers for the HIP control plane instead of utilizing the traditional HIP rendezvous services [RFC8004].
既存のインフラストラクチャを備えた展開ハードルを回避するために、給去を備えた新しいプロトコルのコンテキストで股関節を適用することができます。すなわち、新しいプロトコル、ピアツーピアSIP [Camarillo-P2PSIP]のコンテキストで研究されています。作業には、「RFC6078」、[RFC6079]、[RFC7086]がいくつかありました。研究作業における重要な考えは、NATトラバーサル手順をホストごとに1回だけ実行する低層股関節を使用して、異なる接続(すなわち、SIPおよびメディアストリーム)をグループ化することによって、冗長で時間がかかるICEプロシージャを回避することであった。このアプローチにおける興味深い側面は、従来のHIPレンテンズサービスを利用する代わりに、股関節制御面のランデブーサーバとしてのP2P - SIPインフラストラクチャの使用であった[RFC8004]。
Researchers have proposed using HIP in cellular networks as a mobility, multihoming, and security solution. [hip-lte] provides a security analysis and simulation measurements of using HIP in Long Term Evolution (LTE) backhaul networks.
研究者らは、モビリティ、マルチホーム、およびセキュリティソリューションとして、携帯電話ネットワーク内のHIPを使用して提案しています。[HIP-LTE]は、長期進化(LTE)バックホールネットワークでHIPを使用するセキュリティ分析とシミュレーション測定を提供します。
HIP has been studied for securing cloud internal connectivity. First with virtual machines [komu-cloud] and then between Linux containers [ranjbar-synaptic]. In both cases, HIP was suggested as a solution to NAT traversal that could be utilized both internally by a cloud network and between multi-cloud deployments. Specifically in the former case, HIP was beneficial sustaining connectivity with a virtual machine while it migrated to a new location. In the latter case, a Software-Defined Networking (SDN) controller acted as a rendezvous server for HIP-capable containers. The controller enforced strong replay protection by adding middlebox nonces [heer-end-host] to the passing HIP base exchange and UPDATE messages.
クラウド内部接続を確保するためにHIPが研究されています。最初に仮想マシン[コムクラウド]、そしてLinuxコンテナの間の[Ranjbar-Synaptic]の間。どちらの場合も、HIPは、クラウドネットワークとマルチクラウド展開の間で内部的に利用できるNATトラバーサルに対する解決策として示唆されました。具体的には、前者の場合、HIPは新しい場所に移行している間に仮想マシンとの接続性の有益でありました。後者の場合、ソフトウェア定義ネットワーキング(SDN)コントローラは、HIP対応コンテナ用のランデブーサーバとして機能した。コントローラは、MiddleBox Nonce [Heer-End-Host]を渡すHIPベースの交換と更新メッセージに追加して、強力な再生保護を強制しました。
Tempered Networks provides HIP-based products. They refer to their platform as Identity-Defined Networking (IDN) [tempered-networks] because of HIP's identity-first networking architecture. Their objective has been to make it simple and nondisruptive to deploy HIP-enabled services widely in production environments with the purpose of enabling transparent device authentication and authorization, cloaking, segmentation, and end-to-end networking. The goal is to eliminate much of the circular dependencies, exploits, and layered complexity of traditional "address-defined networking" that prevents mobility and verifiable device access control. The products in the portfolio of Tempered Networks utilize HIP are as follows:
強化されたネットワークはHIPベースの製品を提供します。それらは、股関節のID - 第1のネットワークアーキテクチャのために、ID定義のネットワーク(IDN)[強調ネットワーク]としてのプラットフォームを参照します。彼らの目的は、透過的なデバイス認証と許可、クローキング、セグメンテーション、およびエンドツーエンドのネットワーキングを可能にする目的で、製造環境においてヒップ対応サービスを広く展開することを簡単かつ無効にすることでした。目標は、モビリティと検証可能なデバイスアクセス制御を防ぐ従来の「アドレス定義ネットワーキング」の循環依存性、悪用、および階層化された複雑さを排除することです。強化ネットワークのポートフォリオの製品は、HIPを利用しています。
HIP Switches / Gateways These are physical or virtual appliances that serve as the HIP gateway and policy enforcement point for non-HIP-aware applications and devices located behind it. No IP or infrastructure changes are required in order to connect, cloak, and protect the non-HIP-aware devices. Currently known supported platforms for HIP gateways are x86 and ARM chipsets, ESXi, Hyper-V, KVM, AWS, Azure, and Google clouds.
HIPスイッチ/ゲートウェイこれらは、HIPゲートウェイおよびその背後にあるデバイスのHIPゲートウェイおよびポリシー執行ポイントとして機能する物理的または仮想アプライアンスです。非HIP対応デバイスを接続、CLOAK、および保護するためには、IPまたはインフラストラクチャの変更は不要です。HIPゲートウェイ用の現在知られているサポートされているプラットフォームは、X86およびARMチップセット、ESXi、Hyper-V、KVM、AWS、Azure、およびGoogleの雲です。
HIP Relays / Rendezvous These are physical or virtual appliances that serve as identity-based routers authorizing and bridging HIP endpoints without decrypting the HIP session. A HIP relay can be deployed as a standalone appliance or in a cluster for horizontal scaling. All HIP-aware endpoints and the devices they're connecting and protecting can remain privately addressed. The appliances eliminate IP conflicts, tunnel through NAT and carrier-grade NAT, and require no changes to the underlying infrastructure. The only requirement is that a HIP endpoint should have outbound access to the Internet and that a HIP Relay should have a public address.
HIPリレー/ Rendezvousこれらは、HIPセッションを復号化することなく、HIPエンドポイントを承認し、HIPエンドポイントをブリッジする識別ベースのルータとして機能する、または仮想アプライアンスです。HIPリレーは、スタンドアロンアプライアンスとして、または水平スケーリング用のクラスタとしてデプロイできます。すべてのヒップ対応のエンドポイントとそれらが接続して保護しているデバイスは、個人的にアドレス指定されたままになります。電化製品はIPの競合を排除し、NATおよびキャリアグレードのNATを介してトンネルし、基礎となるインフラストラクチャに変更を必要としません。唯一の要件は、HIPエンドポイントがインターネットへのアウトバウンドアクセス権を持ち、HIPリレーにパブリックアドレスを持つべきであることです。
HIP-Aware Clients and Servers This is software that is installed in the host's network stack and enforces policy for that host. HIP clients support split tunneling. Both the HIP client and HIP server can interface with the local host firewall, and the HIP server can be locked down to listen only on the port used for HIP, making the server invisible from unauthorized devices. Currently known supported platforms are Windows, OS X, iOS, Android, Ubuntu, CentOS, and other Linux derivatives.
HIP対応クライアントとサーバーこれは、ホストのネットワークスタックにインストールされているソフトウェアであり、そのホストのポリシーを強制します。HIPクライアントはスプリットトンネリングをサポートしています。HIPクライアントとHIPサーバーの両方がローカルホストファイアウォールとインターフェースでき、HIPサーバーをロックダウンすることができ、HIPに使用されるポートでのみリスンされ、サーバーを不正なデバイスから見えないようにします。現在知られているサポートされているプラットフォームは、Windows、OS X、IOS、Android、Ubuntu、CentO、およびその他のLinux Derivativesです。
Policy Orchestration Managers These physical or virtual appliances serve as the engine to define and distribute network and security policy (HI and IP mappings, overlay networks, and whitelist policies, etc.) to HIP-aware endpoints. Orchestration does not need to persist to the HIP endpoints and vice versa, allowing for autonomous host networking and security.
ポリシーオーケストレーションマネージャこれらの物理的または仮想アプライアンスは、ネットワークとセキュリティポリシー(HiとIPマッピング、オーバーレイネットワーク、およびホワイトリストのポリシーなど)を定義および配布するエンジンとして機能します。オーケストレーションは、HIPエンドポイントに永続的なものであり、その逆も同様であり、自律的なホストネットワーキングとセキュリティを可能にする必要はありません。
The IRTF Name Space Research Group has posed a number of evaluating questions in their report [nsrg-report]. In this section, we provide answers to these questions.
IRTF名宇宙研究グループは、彼らの報告書「NSRG-Report」に数多くの質問を提起しました。このセクションでは、これらの質問に対する回答を提供します。
1. How would a stack name improve the overall functionality of the Internet?
1. スタック名はインターネットの全体的な機能を向上させるのでしょうか。
HIP decouples the internetworking layer from the transport layer, allowing each to evolve separately. The decoupling makes end-host mobility and multihoming easier, also across IPv4 and IPv6 networks. HIs make network renumbering easier, and they also make process migration and clustered servers easier to implement. Furthermore, being cryptographic in nature, they provide the basis for solving the security problems related to end-host mobility and multihoming.
HIP交通層からインターネットワーキング層を切り離し、それぞれが別々に進化することができます。デカップリングは、エンドホストモビリティとマルチホーム化が簡単になり、IPv4ネットワークとIPv6ネットワーク間でも簡単になります。彼のネットワークの番号が変更されより簡単になり、プロセスの移行とクラスタ化されたサーバーも実装を容易にします。さらに、本質的に暗号化されているため、エンドホストモビリティとマルチホームに関連するセキュリティ問題を解決するための基礎を提供します。
2. What does a stack name look like?
2. スタック名はどのようなものですか?
A HI is a cryptographic public key. However, instead of using the keys directly, most protocols use a fixed-size hash of the public key.
こんにちはは暗号公開鍵です。ただし、キーを直接使用する代わりに、ほとんどのプロトコルは公開鍵の固定サイズのハッシュを使用します。
3. What is its lifetime?
3. その一生は何ですか?
HIP provides both stable and temporary Host Identifiers. Stable HIs are typically long-lived, with a lifetime of years or more. The lifetime of temporary HIs depends on how long the upper-layer connections and applications need them, and can range from a few seconds to years.
HIPは安定したホスト識別子と一時的なホスト識別子の両方を提供します。彼の安定した彼は通常長年以上で暮らしています。一時的な彼の寿命は、上層の接続とアプリケーションがそれらを必要とする期間によって異なり、数秒から長年の範囲です。
4. Where does it live in the stack?
4. スタックにはどこに住んでいますか?
The HIs live between the transport and internetworking layers.
彼の輸送層とインターネットワーキング層の間の彼の生き物。
5. How is it used on the endpoints?
5. エンドポイントでどのように使用されていますか?
The Host Identifiers may be used directly or indirectly (in the form of HITs or LSIs) by applications when they access network services. Additionally, the Host Identifiers, as public keys, are used in the built-in key agreement protocol, called the HIP base exchange, to authenticate the hosts to each other.
ホスト識別子は、ネットワークサービスにアクセスしたときにアプリケーションによって直接的または間接的に(ヒットまたはLSIの形式で)使用されてもよい。さらに、公開鍵としてのホスト識別子は、ホストを互いに認証するために、HIPベース交換と呼ばれる組み込みのキー契約プロトコルで使用されます。
6. What administrative infrastructure is needed to support it?
6. それをサポートするために必要な管理インフラストラクチャは何ですか?
In some environments, it is possible to use HIP opportunistically, without any infrastructure. However, to gain full benefit from HIP, the HIs must be stored in the DNS or a PKI, and the rendezvous mechanism is needed [RFC8005].
いくつかの環境では、インフラストラクチャなしでヒップを使用することが可能です。ただし、HIPから完全な利益を得るために、HISはDNSまたはPKIに保存されなければならず、ランデブーメカニズムは必要です[RFC8005]。
7. If we add an additional layer, would it make the address list in SCTP unnecessary?
7. 追加のレイヤーを追加すると、SCTPのアドレス一覧が不要になりますか?
Yes
はい
8. What additional security benefits would a new naming scheme offer?
8. 新しい命名方式がオファーの追加のセキュリティ上の利点がありますか?
HIP reduces dependency on IP addresses, making the so-called address ownership [Nik2001] problems easier to solve. In practice, HIP provides security for end-host mobility and multihoming. Furthermore, since HIP Host Identifiers are public keys, standard public key certificate infrastructures can be applied on the top of HIP.
HIPはIPアドレスへの依存関係を低下させ、いわゆるアドレス所有権[NIK2001]問題を解決しやすくします。実際には、HIPはエンドホストモビリティとマルチホームのセキュリティを提供します。さらに、HIPホスト識別子は公開鍵であるため、標準の公開鍵証明書インフラストラクチャをHIPの上部に適用できます。
9. What would the resolution mechanisms be, or what characteristics of a resolution mechanisms would be required?
9. 解像度のメカニズムがどのようなものであるか、または解決メカニズムの特徴が必要となるでしょうか。
For most purposes, an approach where DNS names are resolved simultaneously to HIs and IP addresses is sufficient. However, if it becomes necessary to resolve HIs into IP addresses or back to DNS names, a flat resolution infrastructure is needed. Such an infrastructure could be based on the ideas of Distributed Hash Tables, but would require significant new development and deployment.
ほとんどの目的のために、DNS名が自分のアドレスとIPアドレスに同時に解決されるアプローチが十分です。ただし、IPアドレスをIPアドレスに解決する必要がある場合、またはDNS名に戻る必要がある場合は、フラットな解決インフラストラクチャが必要です。そのようなインフラは分散ハッシュテーブルのアイデアに基づくかもしれませんが、重要な新しい開発と展開が必要です。
Acknowledgments
謝辞
For the people historically involved in the early stages of HIP, see the Acknowledgments section in the Host Identity Protocol specification.
HIPの初期段階に歴史的に関わる人々は、ホストアイデンティティプロトコル仕様の承認セクションを参照してください。
During the later stages of this document, when the editing baton was transferred to Pekka Nikander, the comments from the early implementers and others, including Jari Arkko, Jeff Ahrenholz, Tom Henderson, Petri Jokela, Miika Komu, Mika Kousa, Andrew McGregor, Jan Melen, Tim Shepard, Jukka Ylitalo, Sasu Tarkoma, and Jorma Wall, were invaluable. Also, the comments from Lars Eggert, Spencer Dawkins, Dave Crocker, and Erik Giesa were also useful.
この文書の後半の段階では、編集バトンがPekka Nikanderに転送されたとき、初期の実装者やその他のコメント、Jari Arkko、Jeff Ahrenholz、Tom Henderson、Petri Jokela、Petri Jokela、Miika Kousa、Mika Kousa、Andrew McGregor、JanMelen、Tim Shepard、Jukka Ylitalo、Sasu Tarkoma、Jorma Wallは非常に貴重でした。また、LARS eggert、Spencer Dawkins、Dave Crocker、Erik Giesaからのコメントもまた有用でした。
The authors want to express their special thanks to Tom Henderson, who took the burden of editing the document in response to IESG comments at the time when both of the authors were busy doing other things. Without his perseverance, the original document might have never made it as RFC 4423.
著者らはTom Hendersonに感謝しておかげで、両方の作家が他のものをやっている時点でIESGのコメントに応じて文書を編集する負担をかけました。彼の忍耐力がなければ、元の文書はRFC 4423としたことがないかもしれません。
This main effort to update and move HIP forward within the IETF process owes its impetus to a number of HIP development teams. The authors are grateful for Boeing, Helsinki Institute for Information Technology (HIIT), NomadicLab of Ericsson, and the three universities: RWTH Aachen, Aalto, and University of Helsinki for their efforts. Without their collective efforts, HIP would have withered as on the IETF vine as a nice concept.
IETFプロセスの中で腰を最新の更新および移動させるこの主な取り組みは、その推進力を多くの股関力開発チームに負担します。著者らはボーイング、ヘルシンキ情報技術(HIIT)、エリクソンの野目ラブ、および3つの大学:RWTH AAREN、AALTO、およびヘルシンキ大学の努力に感謝します。彼らの集団的な取り組みがなければ、腰はIETFのつるのと同じ概念として枯れました。
Thanks also to Suvi Koskinen for her help with proofreading and with the reference jungle.
校正のための彼女の助けのためのSuvi Koskinenにもありがとう、そして参考のジャングルと。
Authors' Addresses
著者の住所
Robert Moskowitz (editor) HTT Consulting Oak Park, Michigan United States of America
Robert Moskowitz(編集)HTT Consulting Oak Park、ミシガン州アメリカ
Email: rgm@labs.htt-consult.com
Miika Komu Ericsson Hirsalantie 11 FI-02420 Jorvas Finland
Miika Komu Ericsson Hirsalantie 11 Fi-02420 Jorvas Finland
Email: miika.komu@ericsson.com