Network Working Group C. Perkins
Request for Comments: 3012 Nokia Research Center
Category: Standards Track P. Calhoun
Sun Microsystems Laboratories
November 2000
Mobile IPv4 Challenge/Response Extensions
Status of this Memo
このメモの位置付け
This document specifies an Internet standards track protocol for the Internet community, and requests discussion and suggestions for improvements. Please refer to the current edition of the "Internet Official Protocol Standards" (STD 1) for the standardization state and status of this protocol. Distribution of this memo is unlimited.
この文書は、インターネットコミュニティのためのインターネット標準トラックプロトコルを指定し、改善のための議論と提案を要求します。このプロトコルの標準化状態と状態への「インターネット公式プロトコル標準」(STD 1)の最新版を参照してください。このメモの配布は無制限です。
Copyright Notice
著作権表示
Copyright (C) The Internet Society (2000). All Rights Reserved.
著作権(C)インターネット協会(2000)。全著作権所有。
Abstract
抽象
Mobile IP, as originally specified, defines an authentication extension (the Mobile-Foreign Authentication extension) by which a mobile node can authenticate itself to a foreign agent. Unfortunately, this extension does not provide ironclad replay protection for the foreign agent, and does not allow for the use of existing techniques (such as CHAP) for authenticating portable computer devices. In this specification, we define extensions for the Mobile IP Agent Advertisements and the Registration Request that allow a foreign agent to use a challenge/response mechanism to authenticate the mobile node.
モバイルIPは、元々指定されているように、モバイルノードがフォーリンエージェントに自身を認証することが可能な認証拡張(モバイルフォーリン認証拡張)を定義します。残念ながら、この拡張機能は、外国人のエージェントの鉄壁再生保護を提供していない、およびポータブルコンピュータ機器を認証するための(例えばCHAPなど)既存の技術の使用を許可していません。この仕様では、我々は、モバイルIPエージェント広告及び外部エージェントは、移動ノードを認証するためにチャレンジ/レスポンスメカニズムを使用できるように登録要求用の拡張機能を定義します。
Table of Contents
目次
1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . 2
2. Mobile IP Agent Advertisement Challenge Extension . . . . . 3
3. Operation . . . . . . . . . . . . . . . . . . . . . . . . . 3
3.1. Mobile Node Processing for Registration Requests . . . 3
3.2. Foreign Agent Processing for Registration Requests . . 5
3.3. Foreign Agent Processing for Registration Replies . . 7
3.4. Home Agent Processing for the Challenge Extensions . . 7
4. MN-FA Challenge Extension . . . . . . . . . . . . . . . . . 7
5. Generalized Mobile IP Authentication Extension . . . . . . . 8
6. MN-AAA Authentication subtype. . . . . . . . . . . . . . . . 9
7. Reserved SPIs for Mobile IP. . . . . . . . . . . . . . . . . 9
8. SPI For RADIUS AAA Servers . . . . . . . . . . . . . . . . . 10
9. Configurable Parameters. . . . . . . . . . . . . . . . . . . 10
10. Error Values . . . . . . . . . . . . . . . . .. . . . . . . 10
11. IANA Considerations . . . . . . . . . . . . . . . . . . . . 11
12. Security Considerations . . . . . . . . . . . . . . . . . . 12
13. Acknowledgements . . . . . . . . . . . . . . . . . . . . . . 12
References . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
A. Verification Infrastructure . . . . . . . . . . . . . . . . 14
Addresses . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
Full Copyright Statement . . . . . . . . . . . . . . . . . . . . 17
Mobile IP, as originally specified, defines an authentication extension (the Mobile-Foreign Authentication extension) by which a mobile node can authenticate itself to a foreign agent.
モバイルIPは、元々指定されているように、モバイルノードがフォーリンエージェントに自身を認証することが可能な認証拡張(モバイルフォーリン認証拡張)を定義します。
Unfortunately, this extension does not provide ironclad replay protection, from the point of view of the foreign agent, and does not allow for the use of existing techniques (such as CHAP [12]) for authenticating portable computer devices. In this specification, we define extensions for the Mobile IP Agent Advertisements and the Registration Request that allow a foreign agent to a use challenge/response mechanism to authenticate the mobile node.
残念ながら、この拡張は、外部エージェントの観点から、鉄壁リプレイ保護を提供しない、携帯型コンピュータ装置を認証するための(例えば、CHAP [12]など)は、既存の技術の使用を可能にしません。この仕様では、我々は、モバイルIPエージェント広告とモバイルノードを認証するために使用するチャレンジ/レスポンス機構に外国人のエージェントを許可する登録要求用の拡張機能を定義します。
All SPI values defined in this document refer to values for the Security Parameter Index, as defined in RFC 2002 [8]. The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in [1].
RFC 2002で定義されているこの文書で定義されたすべてのSPI値は、[8]、セキュリティパラメータインデックスの値を参照してください。この文書のキーワード "MUST"、 "MUST NOT"、 "REQUIRED"、、、、 "べきではない" "べきである" "ないもの" "ものとし"、 "推奨"、 "MAY"、および "OPTIONAL" はあります[1]に記載のように解釈されます。
This section defines a new extension to the Router Discovery Protocol [3] for use by foreign agents that need to issue a challenge for authenticating mobile nodes.
このセクションでは、モバイルノードを認証するための挑戦を発行する必要が外国人のエージェントが使用するためのルータ検出プロトコル[3]に新しい拡張子を定義します。
0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Type | Length | Challenge ... +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + |タイプ|長さ|チャレンジ... + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - +
Figure 1: The Challenge Extension
図1:チャレンジの機能拡張
Type 24
タイプ24
Length The length of the Challenge value in bytes; SHOULD be at least 4
長さはバイト単位でチャレンジ値の長さ。少なくとも4であるべきです
Challenge A random value that SHOULD be at least 32 bits.
少なくとも32ビットであるべきであるランダムな値に挑戦。
The Challenge extension, illustrated in figure 1, is inserted in the Agent Advertisements by the Foreign Agent, in order to communicate the latest challenge value that can be used by the mobile node to compute an authentication for its registration request message. The challenge is selected by the foreign agent to provide local assurance that the mobile node is not replaying any earlier registration request. Eastlake, et al. [4] provides more information on generating pseudo-random numbers suitable for use as values for the challenge.
図1に示したチャレンジ拡張は、その登録要求メッセージに対する認証を計算するためにモバイルノードによって使用することができる最新のチャレンジ値を通信するために、外部エージェントによってエージェント広告に挿入されます。チャレンジは、モバイルノードが以前の登録要求を再生されていないことを地元の保証を提供するために、外国人のエージェントによって選択されます。イーストレーク、ら。 [4]チャレンジの値として使用するのに適した擬似乱数を生成する方法の詳細情報を提供します。
This section describes modifications to the Mobile IP registration process which may occur after the Foreign Agent issues a Mobile IP Agent Advertisement containing the Challenge on its local link.
このセクションでは、外部エージェントはそのローカルリンク上のチャレンジを含むモバイルIPエージェント広告を出した後に発生することがあり、モバイルIP登録プロセスに変更を説明します。
Whenever the Agent Advertisement contains the Challenge extension, if the mobile node does not have a security association with the Foreign Agent, then it MUST include the Challenge value in a MN-FA Challenge extension to the Registration Request message. If, on the other hand, the mobile node does have a security association with the foreign agent, it SHOULD include the Challenge value in its Registration Request message.
たびエージェント広告は、モバイルノードが外部エージェントとのセキュリティアソシエーションを持っていない場合、チャレンジの拡張子が含まれ、それがRegistration RequestメッセージにMN-FAチャレンジ拡張にチャレンジ値を含まなければなりません。一方、モバイルノードが外国人のエージェントとのセキュリティアソシエーションを持っている場合は、その登録要求メッセージにチャレンジ値を含むべきです。
If the Mobile Node has a security association with the Foreign Agent, it MUST include a Mobile-Foreign Authentication extension in its Registration Request message, according to the base Mobile IP specification [8]. When the Registration Request contains the MN-FA Challenge extension specified in section 4, the Mobile-Foreign Authentication MUST follow the Challenge extension in the Registration Request.
移動ノードがフォーリンエージェントとのセキュリティアソシエーションを有している場合は、[8]ベースのモバイルIP仕様に応じて、その登録要求メッセージ内のモバイルフォーリン認証拡張を含まなければなりません。登録要求は、セクション4で指定されたMN-FAチャレンジ拡張が含まれている場合は、モバイル・外国人の認証は、登録要求にチャレンジ拡張子に従わなければなりません。
If the Mobile Node does not have a security association with the Foreign Agent, the Mobile Node MUST include the MN-AAA Authentication extension as defined in section 6. In addition, the Mobile Node SHOULD include the NAI extension [2], to enable the foreign agent to make use of any available verification infrastructure. The SPI field of the MN-AAA Authentication extension specifies the particular secret and algorithm (shared between the Mobile Node and the verification infrastructure) that must be used to perform the authentication. If the SPI value is chosen as CHAP_SPI (see section 9), then the mobile node specifies CHAP-style authentication [12] using MD5 [11].
移動ノードがフォーリンエージェントとのセキュリティアソシエーションを有していない場合、モバイルノードは、MN-AAA認証拡張を含まなければなりませんまたセクション6で定義されるように、モバイルノードは、NAI拡張を含むべきである[2]、有効にします外国人のエージェントが使用可能な任意の検証インフラストラクチャを利用することができます。 MN-AAA認証拡張のSPIフィールドには、認証を実行するために使用されなければならない(モバイルノードと検証インフラ間で共有される)特定の秘密アルゴリズムを指定します。 SPI値はCHAP_SPI(セクション9を参照)として選択される場合、移動ノードは、MD5 [11]を使用して、CHAPスタイル認証[12]を指定します。
In either case, the MN-FA Challenge extension and one of the above specified authentication extensions MUST follow the Mobile-Home Authentication extension, if present.
存在する場合のいずれかの場合には、MN-FAチャレンジ拡張および上記で指定した認証の拡張機能の一つは、モバイル・ホーム認証拡張に従わなければなりません。
A successful Registration Reply from the Foreign Agent MAY include a new Challenge value (see section 3.3). The Mobile Node MAY use either the value found in the latest Advertisement, or the one found in the last Registration Reply from the Foreign Agent. This approach enables the Mobile Node to make use of the challenge without having to wait for advertisements.
外部エージェントから成功した登録応答は、新しいチャレンジ値を(セクション3.3を参照)を含むことができます。モバイルノードは、最新の広告で見つけた値、または外部エージェントからの最後の登録応答で見つかった1のいずれかを使用するかもしれません。このアプローチは、広告を待たずに挑戦を利用するためにモバイルノードを可能にします。
A Mobile Node might receive an UNKNOWN_CHALLENGE error (see section 9) if it moves to a new Foreign Agent that cannot validate the challenge provided in the Registration Request. In such instances, the Mobile Node MUST use a new Challenge value in any new registration, obtained either from an Agent Advertisement, or from a Challenge extension to the Registration Reply containing the error.
それが登録要求に提供する挑戦を検証できない新しい外部エージェントに移動した場合、モバイルノードは、(セクション9を参照)UNKNOWN_CHALLENGEエラーを受け取ることがあります。このような場合には、モバイルノードは、エージェント広告から、またはエラーを含む登録応答にチャレンジ拡張のいずれかから得られる任意の新規登録で新しいチャレンジ値を使用しなければなりません。
A Mobile Node that does not include a Challenge when the Mobile-Foreign Authentication extension is present may receive a MISSING_CHALLENGE (see section 10) error. In this case, the foreign agent will not process the request from the mobile node unless the request contains a valid Challenge.
モバイルフォーリン認証拡張が存在する場合チャレンジが含まれていないモバイルノードは、エラー(セクション10を参照)MISSING_CHALLENGEを受信することができます。要求が有効なチャレンジが含まれていない限り、この場合には、外国人のエージェントは、モバイルノードからの要求を処理しません。
A Mobile Node that receives a BAD_AUTHENTICATION error code (see section 10) SHOULD include the MN-AAA Authentication Extension in the next Registration Request. This will make it possible for the Foreign Agent to use its AAA infrastructure in order to authenticate the Mobile Node.
BAD_AUTHENTICATIONエラーコードを受信するモバイルノード(セクション10を参照)、次の登録要求にMN-AAA認証拡張を含むべきです。外部エージェントは、モバイルノードを認証するために、そのAAAインフラストラクチャを使用するためにこれを可能にします。
Upon receipt of the Registration Request, if the Foreign Agent has issued a Challenge as part of its Agent Advertisements, and it does not have a security association with the mobile node, then the Foreign Agent MUST check that the MN-FA Challenge extension exists, and that it contains a challenge value previously unused by the Mobile Node. This ensures that the mobile node is not attempting to replay a previous advertisement and authentication. If the challenge extension is needed and does not exist, the Foreign Agent MUST send a Registration Reply to the mobile node with the error code MISSING_CHALLENGE.
外部エージェントは、そのエージェント広告の一部としての挑戦を発行している、そしてそれは、モバイルノードとのセキュリティアソシエーションを持っていない場合、登録要求を受信すると、その後、外部エージェントは、MN-FAチャレンジ拡張が存在することをチェックしなければなりませんそして、それはモバイルノードによって以前に使用されていないチャレンジ値が含まれていること。これは、モバイルノードが前の広告との認証を再生しようとしていないことを保証します。挑戦拡張が必要とされ、存在しない場合は、外部エージェントはエラーコードMISSING_CHALLENGEとモバイルノードに登録応答を送らなければなりません。
A foreign agent that sends Agent Advertisements containing a Challenge value MAY send a Registration Reply message with a MISSING_CHALLENGE error if the mobile node sends a Registration Request with a Mobile-Foreign Authentication extension without including a Challenge. In other words, such a foreign agent MAY refuse to process a Registration Request request from the mobile node unless the request contains a valid Challenge.
モバイルノードはチャレンジを含めずにモバイル外国の認証拡張で登録リクエストを送信する場合MISSING_CHALLENGEエラーで登録応答メッセージを送るかもしれチャレンジ値を含むエージェント広告を送信する外国人のエージェント。要求が有効なチャレンジが含まれていない限り、他の言葉では、そのような外国人のエージェントは、モバイルノードからの登録要求要求を処理するために拒否することができます。
If a mobile node retransmits a Registration Request with the same Identification field and the same Challenge extension, and the Foreign Agent still has a pending Registration Request record in effect for the mobile node, then the Foreign Agent forwards the Registration Request to the Home Agent again. In all other circumstances, if the Foreign Agent receives a Registration Request with a Challenge extension containing a Challenge value previously used by that mobile node, the Foreign Agent SHOULD send a Registration Reply to the mobile node containing the Code value STALE_CHALLENGE.
モバイルノードが同じ識別フィールドと同じチャレンジ拡張、および外部エージェントとの登録要求を再送信する場合は、まだ、移動ノードのための有効な保留登録要求レコードは、その後、外部エージェントは再びホームエージェントへの登録要求を転送しています。外部エージェントは、以前にそのモバイルノードによって使用されるチャレンジ値を含むチャレンジ拡張子の登録リクエストを受信した場合、他のすべての状況では、外部エージェントは、コード値STALE_CHALLENGEを含む移動ノードへの登録応答を送るべきです。
The Foreign Agent MUST NOT accept any Challenge in the Registration Request unless it was offered in last successful Registration Reply issued to the Mobile Node, or else advertised as one of the last CHALLENGE_WINDOW (see section 9) Challenge values inserted into the immediately preceding Agent advertisements. If the Challenge is not one of the recently advertised values, the foreign Agent SHOULD send a Registration Reply with Code UNKNOWN_CHALLENGE (see section 10).
それはモバイルノードに対して発行された最後の正常な登録応答で提供されるか、あるいは最後CHALLENGE_WINDOWの一つとして宣伝された場合を除き外部エージェントは、登録要求にチャレンジを受け入れてはいけませんチャレンジ値は、直前のエージェントの広告に挿入された(セクション9を参照してください) 。チャレンジは最近、宣伝の値のいずれかでない場合は、外国人のエージェントは、コードUNKNOWN_CHALLENGE(セクション10を参照)で登録応答を送るべきです。
Furthermore, the Foreign Agent MUST check that there is either a Mobile-Foreign, or a MN-AAA Authentication extension after the Challenge extension. Any registration message containing the Challenge extension without either of these authentication extensions MUST be silently discarded. If the registration message contains a Mobile-Foreign Authentication extension with an incorrect authenticator that fails verification, the Foreign Agent MAY send a Registration Reply to the mobile node with Code value BAD_AUTHENTICATION (see Section 10).
さらに、外部エージェントは、モバイル・外国人、またはチャレンジ延長後のMN-AAA認証拡張のいずれかがあることをチェックしなければなりません。これらの認証の拡張機能のいずれかなしに挑戦拡張子を含む任意の登録メッセージは静かに捨てなければなりません。登録メッセージが検証に失敗した間違ったオーセンティケータとモバイル外国の認証拡張が含まれている場合、外部エージェントは、コード値BAD_AUTHENTICATION(セクション10を参照)とのモバイルノードに登録応答を送信することができます。
If the MN-AAA Authentication extension (see Section 6) is present in the message, or if an NAI extension is included indicating that the mobile node belongs to a different administrative domain, the foreign agent may take actions outside the scope of this protocol specification to carry out the authentication of the mobile node. The Foreign Agent MUST NOT remove the MN-AAA Authentication Extension from the Registration Request prior to the completion of the authentication performed by the AAA infrastructure. The appendix provides an example of an action that could be taken by a foreign agent.
MN-AAA認証拡張(セクション6を参照)メッセージ内に存在する、またはNAI拡張は、モバイルノードが異なる管理ドメインに属していることを示す含まれている場合、外部エージェントは、このプロトコル仕様の範囲外の行動をとることができる場合モバイルノードの認証を行いました。外部エージェントは、AAAインフラストラクチャによる認証が完了する前に登録要求からMN-AAA認証拡張機能を削除してはなりません。付録では、外部エージェントによって取られることができる動作の一例を提供します。
In the event that the Challenge extension is authenticated through the Mobile-Foreign Authentication Extension, the Foreign Agent MAY remove the Challenge Extension from the Registration Request without disturbing the authentication value computed by the Mobile Node for use by the AAA or the Home Agent. If the Challenge extension is not removed, it MUST precede the Foreign-Home Authentication extension.
チャレンジ拡張子がモバイル外国の認証拡張機能を使用して認証された場合には、外部エージェントはAAAまたはホーム・エージェントが使用するためにモバイルノードによって計算された認証値を乱すことなく、登録要求からチャレンジの機能拡張を削除することができます。チャレンジの拡張子が削除されていない場合、それは外国ホーム認証拡張に先行しなければなりません。
If the Foreign Agent does not remove the Challenge extension, then the Foreign Agent SHOULD store the Challenge value as part of the pending registration request list [8]. Also in this case, the Foreign Agent MUST reject any Registration Reply message coming from the Home Agent that does not also include the Challenge Extension with the same Challenge Value that was included in the Registration Request. The Foreign Agent MUST send the rejected Registration message to the mobile node, and change the status in the Registration Reply to the value MISSING_CHALLENGE (see section 10).
外部エージェントは、チャレンジの拡張子を削除しない場合は、外部エージェントが保留登録要求リストの一部として挑戦値を格納する必要があります[8]。この場合にも、外部エージェントはまた、登録要求に含まれていた同じチャレンジ値とチャレンジの機能拡張が含まれていないホームエージェントからの任意の登録応答メッセージを拒絶しなければなりません。外部エージェントは、モバイルノードに拒否された登録メッセージを送信し、(セクション10を参照)の値MISSING_CHALLENGEに登録応答でステータスを変更する必要があります。
If the Foreign Agent does remove the Challenge extension and applicable authentication from the Registration Request message, then it SHOULD insert the Identification field from the Registration Request message along with its record-keeping information about the particular Mobile Node in order to protect against replays.
外部エージェントは、登録要求メッセージからチャレンジ延長と該当の認証を削除しない場合、それはリプレイから保護するために、特定のモバイルノードについて、その記録保持情報とともに登録要求メッセージから識別フィールドを挿入する必要があります。
The Foreign Agent MAY include a new Challenge extension in any Registration Reply, successful or not. If the foreign agent includes this extension in a successful Registration Reply, the extension SHOULD precede a MN-FA authentication extension.
外部エージェントは成功したかどうか任意の登録応答で新しいチャレンジ拡張を含んでいてもよいです。外国人のエージェントが成功した登録応答でこの拡張機能が含まれている場合、拡張子はMN-FA認証拡張を先行すべき。
Suppose the Registration Reply includes a Challenge extension from the Home Agent, and the foreign agent wishes to include another Challenge extension with the Registration Reply for use by the mobile node. In that case, the foreign agent MUST delete the Challenge extension from the Home Agent from the Registration Reply, along with any FA-HA authentication extension, before appending the new Challenge extension to the Registration Reply.
登録応答がホームエージェントからの挑戦拡張子を含む、そして外国人のエージェントは、モバイルノードが使用するための登録応答を持つ別のチャレンジ拡張子を含めるしたいとします。その場合には、外国人のエージェントは登録応答に新しいチャレンジの拡張子を追加する前に、任意のFA-HA認証拡張に伴い、登録応答からホームエージェントからの挑戦拡張子を削除しなければなりません。
If the Home Agent receives a Registration Request with the MN-FA Challenge extension, and recognizes the extension, the Home Agent MUST include the Challenge extension in the Registration Reply. The Challenge Extension MUST be placed after the Mobile-Home authentication extension, and the extension SHOULD be authenticated by a Foreign-Home Authentication extension.
ホームエージェントは、MN-FAチャレンジ拡張子の登録リクエストを受信して、拡張子を認識した場合、ホームエージェントは登録応答でチャレンジ拡張を含まなければなりません。チャレンジの機能拡張は、モバイル・ホーム認証拡張後に置かなければなりませんし、拡張子は外国ホーム認証拡張により認証されるべきです。
Since the extension type for the Challenge extension is within the range 128-255, the Home Agent MUST process such a Registration Request even if it does not recognize the Challenge extension [8]. In this case, the Home Agent will send a Registration Reply to the Foreign Agent that does not include the Challenge extension.
チャレンジ拡張のための拡張タイプが範囲128-255内にあるので、それはチャレンジ拡張子を認識しない場合でも、ホームエージェントは、[8]、このような登録リクエストを処理しなければなりません。この場合、ホームエージェントは、チャレンジ拡張子が含まれていない外国人のエージェントに登録応答を送信します。
This section specifies a new Mobile IP Registration extension that is used to satisfy a Challenge in an Agent Advertisement. The Challenge extension to the Registration Request message is used to indicate the challenge that the mobile node is attempting to satisfy.
このセクションでは、エージェント広告に挑戦を満たすために使用される新しいモバイルIP登録の拡張子を指定します。 Registration Requestメッセージへの挑戦の拡張子は、モバイルノードが満足しようとしている課題を示すために使用されます。
0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Type | Length | Challenge... +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + |タイプ|長さ|チャレンジ... + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - +
Figure 2: The MN-FA Challenge Extension
図2:MN-FAチャレンジの機能拡張
Type 132 (skippable) (see [8])
入力132(スキップ可能)(参照[8])
Length Length of the Challenge value
チャレンジ値の長さの長さ
Challenge The Challenge field is copied from the Challenge field found in the Agent Advertisement Challenge extension (see section 2).
チャレンジフィールドはエージェント広告チャレンジエクステンション(セクション2を参照)で見つかったチャレンジフィールドからコピーされるチャレンジ。
Several new authentication extensions have been designed for various control messages proposed for extensions to Mobile IP (see, for example, [9]). A new authentication extension is required for a mobile node to present its credentials to any other entity other than the ones already defined; the only entities defined in the base Mobile IP specification [8] are the home agent and the foreign agent. It is the purpose of the generalized authentication extension defined here to collect together data for all such new authentication applications into a single extension type with subtypes.
いくつかの新しい認証拡張機能がモバイルIPへの拡張のために提案されている各種の制御メッセージのために設計されている(例えば、参照、[9])。新しい認証拡張は、既に定義されたもの以外の任意の他のエンティティへの資格情報を提示するためにモバイルノードのために必要とされます。 [8]ベースのモバイルIP仕様で定義された唯一のエンティティは、ホームエージェントと外部エージェントです。これは、サブタイプを持つ単一の拡張型に一緒にこのようなすべての新しい認証アプリケーションのためのデータを収集するために、ここで定義された一般的な認証拡張の目的です。
0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Type | Subtype | Length | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | SPI | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Authenticator ... +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + |タイプ|サブタイプ|長さ| + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + | SPI | + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + |オーセン... + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - +
Figure 3: The Generalized Mobile IP Authentication Extension
図3:汎用モバイルIP認証拡張
Type 36 (not skippable) (see [8])
タイプ36(スキップ可能ではない)(参照[8])
Subtype a number assigned to identify the kind of endpoints or characteristics of the particular authentication strategy
エンドポイントまたは特定の認証戦略の特徴の種類を識別するために割り当てられた番号をサブタイプ
Length 4 plus the number of bytes in the Authenticator; MUST be at least 20.
長さ4プラス認証のバイト数。少なくとも20でなければなりません。
SPI Security Parameters Index
SPIセキュリティパラメータインデックス
Authenticator The variable length Authenticator field
可変長認証フィールドをオーセンティケータ
In this document, only one subtype is defined:
この文書では、唯一のサブタイプが定義されています。
1 MN-AAA Authentication subtype (see section 6)
1 MN-AAA認証のサブタイプ(セクション6を参照)
The Generalized Authentication extension with subtype 1 will be referred to as a MN-AAA Authentication extension. If the mobile node does not include a Mobile-Foreign Authentication [8] extension, then it MUST include the MN-AAA Authentication extension whenever the Challenge extension is present. If the MN-AAA Authentication extension is present, then the Registration Message sent by the mobile node MUST contain the Mobile-HA Authentication extension [8] if it shares a security association with the Home Agent. If present, the Mobile-HA Authentication Extension MUST appear prior to the MN-AAA Authentication extension. The mobile node MAY include a MN-AAA Authentication extension in any Registration Request. The corresponding response MUST include the MN-HA Authentication Extension, and MUST NOT include the MN-AAA Authentication Extension.
サブタイプ1を有する一般認証拡張は、MN-AAA認証拡張と呼ぶことにします。モバイルノードは、モバイルフォーリン認証[8]拡張子が含まれていない場合チャレンジ拡張が存在しているときはいつでも、それはMN-AAA認証拡張を含まなければなりません。 MN-AAA認証拡張が存在する場合、モバイルノードによって送信された登録メッセージは、Mobile-HA認証拡張を含まなければならない[8]それはホームエージェントとのセキュリティアソシエーションを共有している場合。存在する場合、モバイル-HA認証拡張は、従来MN-AAA認証拡張に現れなければなりません。モバイルノードは、任意の登録要求にMN-AAA認証拡張を含むかもしれません。対応する応答は、MN-HA認証拡張を含まなければなりません、そしてMN-AAA認証拡張を含めることはできません。
The default algorithm for computation of the authenticator is HMAC-MD5 [5] computed on the following data, in the order shown:
オーセンティケータを計算するためのデフォルトアルゴリズムはHMAC-MD5である[5]に示された順序で、以下のデータで計算します:
Preceding Mobile IP data || Type, Subtype, Length, SPI
モバイルIPデータを先行||タイプ、サブタイプ、長さ、SPI
where the Type, Length, Subtype, and SPI are as shown in section 5. The resulting function call, as described in [5], would be:
[5]、あろうに記載されているようにタイプ、長さ、サブタイプ、およびSPIは、セクション5を得関数呼び出しに示すとおりです。
hmac_md5(data, datalen, Key, KeyLength, authenticator);
HMACのMD5(データ、datalenを、キー、キー長、オーセンティケータ)。
Each mobile node MUST support the ability to produce the authenticator by using HMAC-MD5 as shown. Just as with Mobile IP, this default algorithm MUST be able to be configured for selection at any arbitrary 32-bit SPI outside of the SPIs in the reserved range 0-255.
各モバイルノードは、図示のようにHMAC-MD5を使用して認証子を生成する能力をサポートしなければなりません。ちょうどモバイルIPと同様に、このデフォルトのアルゴリズムは、予約0〜255の範囲内のSPIの任意の32ビットのSPI外で選択するように構成することができなければなりません。
Mobile IP defines several authentication extensions for use in Registration Requests and Replies. Each authentication extension carries a Security Parameters Index (SPI) which should be used to index a table of security associations. Values in the range 0 - 255 are reserved for special use. A list of reserved SPI numbers is to be maintained by IANA at the following URL:
モバイルIPは、登録要求と応答で使用するためのいくつかの認証の拡張機能を定義します。各認証拡張は、インデックスにセキュリティアソシエーションのテーブルを使用しなければならないセキュリティパラメータインデックス(SPI)を運びます。範囲の値0から255までは、特別な使用のために予約されています。予約済みのSPI番号のリストは、次のURLでIANAによって維持されます。
http://www.iana.org/numbers.html
hっtp://wっw。いあな。おrg/ぬmべrs。html
Some AAA servers only admit a single security association, and thus do not use the SPI numbers for Mobile IP authentication extensions for use when determining the security association that would be necessary for verifying the authentication information included with the Authentication extension.
一部のAAAサーバーのみ認証拡張に含まれる認証情報を検証するために必要となるセキュリティアソシエーションを決定する際に使用するためのモバイルIP認証拡張のためのSPI番号を使用していないため、単一のセキュリティ関連を認め、と。
SPI number CHAP_SPI (see section 9) is reserved (see section 7) for indicating the following procedure for computing authentication data (called the "authenticator"), which is used by many RADIUS servers [10] today.
SPI番号CHAP_SPI(セクション9を参照)は、多くのRADIUSサーバ[10]今日で使用される(「認証者」と呼ばれる)の認証データを計算するための次の手順を示すため(セクション7を参照)が予約されています。
To compute the authenticator, apply MD5 [11] computed on the following data, in the order shown:
オーセンティケータを計算するために、MD5を適用する[11]に示された順序で、以下のデータで計算:
High-order byte from Challenge || Key || MD5(Preceding Mobile IP data || Type, Subtype (if present), Length, SPI) || Least-order 237 bytes from Challenge
チャレンジから上位バイト||キー|| MD5(||タイプ、サブタイプ(存在する場合)、長さ、SPIモバイルIPデータを先行)||少なくとも次の挑戦から237のバイト
where the Type, Length, SPI, and possibly Subtype, are the fields of the authentication extension in use. For instance, all four of these fields would be in use when SPI == CHAP_SPI is used with the Generalized Authentication extension. Since the RADIUS protocol cannot carry attributes greater than 253 in size, the preceding Mobile IP data, type, subtype (if present), length and SPI are hashed using MD5. Finally, the least significant 237 bytes of the challenge are concatenated.
タイプ、長さ、SPI、そしておそらくサブタイプは、使用中の認証拡張のフィールドどこにいます。 SPI == CHAP_SPIを一般認証拡張で使用される場合、例えば、これらの分野のすべての4つが使用中であろう。 RADIUSプロトコルは、サイズが253よりも大きい属性を運ぶことができないので、前のモバイルIPデータ、タイプ、サブタイプ(存在する場合)、長さ及びSPIはMD5を使用してハッシュされます。最後に、挑戦の最下位237のバイトが連結されています。
Every Mobile IP agent supporting the extensions defined in this document SHOULD be able to configure each parameter in the following table. Each table entry contains the name of the parameter, the default value, and the section of the document in which the parameter first appears.
この文書で定義された拡張をサポートするすべてのモバイルIPエージェントは、次の表に、各パラメータを設定することができるべきです。各テーブルエントリは、パラメータの名前、デフォルト値、およびパラメータが最初に現れる文書のセクションが含まれています。
Parameter Name Default Value Section(s) of Document
-------------- ------------- ----------------------
CHALLENGE_WINDOW 2 3.2
CHAP_SPI 2 8
Each entry in the following table contains the name of Code [8] to be returned in a Registration Reply, the value for the Code, and the section in which the error is first mentioned in this specification.
次の表の各エントリは、[8]登録応答、コード値、エラーが最初に本明細書に記載されているセクションに返されるコードの名前を含んでいます。
Error Name Value Section of Document
---------------------- ----- -------------------
UNKNOWN_CHALLENGE 104 3.2
BAD_AUTHENTICATION 67 3.2 - also see [8]
MISSING_CHALLENGE 105 3.1,3.2
STALE_CHALLENGE 106 3.2
The Generalized Mobile IP Authentication extension defined in Section 5 is a Mobile IP registration extension as defined in RFC 2002 [8] and extended in RFC 2356 [7]. IANA should assign a value of 36 for this extension.
セクション5で定義された一般化されたモバイルIP認証拡張は、RFC 2002で定義されるように、モバイルIP登録の拡張である[8]及びRFC 2356に延び[7]。 IANAは、この拡張のために36の値を割り当てるべきです。
A new number space is to be created for enumerating subtypes of the Generalized Authentication extension (see section 5). New subtypes of the Generalized Authentication extension, other than the number (1) for the MN-AAA authentication extension specified in section 6, must be specified and approved by a designated expert.
新しい番号空間は一般認証拡張のサブタイプを列挙するために作成される(セクション5を参照)。セクション6で指定されたMN-AAA認証拡張のための番号(1)以外の一般認証拡張の新しいサブタイプは、指定された専門家によって指定され、承認されなければなりません。
The MN-FA Challenge Extension defined in Section 4 is a router advertisement extension as defined in RFC 1256 [3] and extended in RFC 2002 [8]. IANA should assign a value of 132 for this purpose.
RFC 1256で定義されるように、セクション4で定義されたMN-FAチャレンジ拡張は、ルータ広告拡張である[3]、RFC 2002で拡張[8]。 IANAは、この目的のために132の値を割り当てる必要があります。
The Code values defined in Section 10 are error codes as defined in RFC 2002 [8] and extended in RFC 2344 [6] and RFC 2356 [7]. They correspond to error values conventionally associated with rejection by the foreign agent (i.e., values from the range 64-127). The Code value 67 is a pre-existing value which is to be used in some cases with the extension defined in this specification. IANA should record the values as defined in Section 10.
RFC 2002で定義されるように、セクション10で定義されたコード値はエラーコードである[8]及びRFC 2344に延び[6]、RFC 2356 [7]。彼らは、従来の外部エージェントによって拒絶に関連した値を誤差に対応する(すなわち、範囲64-127からの値)。コード値67は、本明細書で定義された拡張子である場合に使用される既存の値です。セクション10で定義されているIANAは値を記録する必要があります。
A new section for enumerating algorithms identified by specific SPIs within the range 0-255 is to be added to
0から255の範囲内の特定のSPIによって識別アルゴリズムを列挙するための新しいセクションが追加されます
http://www.isi.edu/in-notes/iana/assignments/mobileip-numbers.
hっtp://wっw。いし。えづ/いんーのてs/いあな/あっしgんめんts/もびぇいpーぬmべrs。
The CHAP_SPI number (2) discussed in section 8 is to be assigned from this range of reserved SPI numbers. New assignments from this reserved range must be specified and approved by the Mobile IP working group. SPI number 1 should not be assigned unless in the future the Mobile IP working group decides that SKIP is not important for enumeration in the list of reserved numbers. SPI number 0 should not be assigned.
セクション8で説明しCHAP_SPI番号(2)予約SPI番号のこの範囲から割り当てられます。この予約された範囲からの新しい割り当てが指定されており、モバイルIPワーキンググループによって承認されなければなりません。将来的にはモバイルIPワーキンググループは、SKIPが予約番号のリストに列挙のために重要ではないと判断しない限り、SPI番号1を割り当てるべきではありません。 SPI番号0が割り当てられるべきではありません。
In the event that a malicious mobile node attempts to replay the authenticator for an old MN-FA Challenge, the Foreign Agent would detect it since the agent always checks whether it has recently advertised the Challenge (see section 3.2). Allowing mobile nodes with different IP addresses or NAIs to use the same Challenge value does not represent a security vulnerability, because the authentication data provided by the mobile node will be computed over data that is different (at least by the bytes of the mobile nodes' IP addresses).
エージェントは常にそれが最近、チャレンジを(3.2節を参照)を広告しているかどうかをチェックするため、悪質なモバイルノードが古いMN-FAチャレンジのためのオーセンティケータを再生しようとする場合には、外部エージェントは、それを検出します。モバイルノードが提供する認証データは、少なくとも移動ノードのバイトによって(異なるデータにわたって計算されるため、セキュリティ上の脆弱性を表していない同一のチャレンジ値を使用するように、異なるIPアドレスまたはのNAIとモバイルノードを許容IPアドレス)。
Whenever a Foreign Agent updates a field of the Registration Reply (as suggested in section 3.2), it invalidates the authentication data supplied by the Home Agent in the MN-HA Authentication extension to the Registration Reply. Thus, this opens up a security exposure whereby a node might try to supply a bogus Registration Reply to a mobile node that causes the mobile node to act as if its Registration Reply were rejected. This might happen when, in fact, a Registration Reply showing acceptance of the registration might soon be received by the mobile node.
(セクション3.2で提案されているように)外部エージェントが登録応答のフィールドを更新するたびに、登録応答にMN-HA認証拡張にホームエージェントによって提供される認証データを無効化します。したがって、これは、ノードが登録応答を拒否されたかのように行動するモバイルノードを引き起こし、モバイルノードに偽の登録応答を供給しようとするかもしれないことにより、セキュリティの露出を開きます。実際には、登録の受付を示す登録応答はすぐにモバイルノードによって受信される可能性がある場合、これが起こるかもしれません。
If the foreign agent chooses a Challenge value (see section 2) with fewer than 4 bytes, the foreign agent SHOULD maintain records that also the Identification field for the mobile node. The foreign agent can then find assurance that the Registration messages using the short Challenge value are in fact unique, and thus assuredly not replayed from any earlier registration.
外部エージェントがより少ない4バイトで(セクション2を参照)チャレンジ値を選択した場合、外部エージェントは、そのモバイルノードにも識別フィールドのレコードを維持しなければなりません。外国人のエージェントは、短いチャレンジ値を使用して登録メッセージは、実際には一意であるため、確実に以前の登録から再演ではないという保証を見つけることができます。
Section 8 (SPI For RADIUS AAA Servers) defines a method of computing the Generalized Mobile IP Authentication Extension's authenticator field using MD5 in a manner that is consistent with RADIUS [10]. The use of MD5 in the method described in Section 8 is less secure than HMAC-MD5 [5], and should be avoided whenever possible.
セクション8(SPIについてはRADIUS AAAサーバ)RADIUS [10]と一致するようにMD5を使用して汎用モバイルIP認証拡張の認証子フィールドを計算する方法を定義します。セクション8に記載された方法でMD5の使用[5] HMAC-MD5よりも安全であり、そして可能な限り避けるべきです。
The authors would like to thank Tom Hiller, Mark Munson, the TIA TR45-6 WG, Gabriel Montenegro, Vipul Gupta, and Pete McCann for their useful discussions. A recent draft by Mohamed Khalil, Raja Narayanan, Emad Qaddoura, and Haseeb Akhtar has also suggested the definition of a generalized authentication extension similar to the specification contained in section 5.
著者は彼らの有益な議論のためにトム・ヒラー、マーク・マンソン、TIA TR45-6 WG、ガブリエルモンテネグロ、ビパル・グプタ、そしてピートマッキャンに感謝したいと思います。モハメドカリル、ラージャナラヤナン、エマドQaddoura、及びハシーブアクタールによる最近のドラフトはまた、セクション5に含まれる仕様に類似する一般認証拡張の定義を提案しています。
References
リファレンス
[1] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, March 1997.
[1]ブラドナーのは、S.は、BCP 14、RFC 2119、1997年3月の "RFCsにおける使用のためのレベルを示すために"。
[2] Calhoun, P. and C. Perkins. "Mobile IP Network Access Identifier Extension for IPv4", RFC 2794, January 2000.
[2]カルフーン、P.およびC.パーキンス。 "IPv4のモバイルIPネットワークアクセス識別子拡張"、RFC 2794、2000年1月。
[3] Deering, S., "ICMP Router Discovery Messages", RFC 1256, September 1991.
[3]デアリング、S.、 "ICMPルータ発見メッセージ"、RFC 1256、1991年9月。
[4] Eastlake, D., Crocker, S. and J. Schiller, "Randomness Recommendations for Security", RFC 1750, December 1994.
[4]イーストレイク、D.、クロッカー、S.とJ.シラー、 "セキュリティのためのランダム性に関する推奨事項"、RFC 1750、1994年12月。
[5] Krawczyk, H., Bellare, M. and R. Canetti, "HMAC: Keyed-Hashing for Message Authentication", RFC 2104, February 1997.
[5] Krawczyk、H.、ベラー、M。およびR.カネッティ、 "HMAC:メッセージ認証のための鍵付きハッシュ化"、RFC 2104、1997年2月。
[6] Montenegro, G., "Reverse Tunneling for Mobile IP", RFC 2344, May 1998.
[6]モンテネグロ、G.、 "モバイルIPのためのリバーストンネリング"、RFC 2344、1998年5月を。
[7] Montenegro, G. and V. Gupta, "Sun's SKIP Firewall Traversal for Mobile IP", RFC 2356, June 1998.
[7]モンテネグロ、G.およびV.グプタ、 "モバイルIPのための日のSKIPファイアウォール越え"、RFC 2356、1998年6月。
[8] Perkins, C., "IP Mobility Support", RFC 2002, October 1996.
[8]パーキンス、C.、 "IPモビリティサポート"、RFC 2002、1996年10月。
[9] Perkins, C. and D. Johnson, "Route Optimization in Mobile IP", Work in Progress.
[9]パーキンス、C.およびD.ジョンソン、「モバイルIPの経路最適化」が進行中で働いています。
[10] Rigney, C., Rubens, A., Simpson, W. and S. Willens, "Remote Authentication Dial In User Service (RADIUS)", RFC 2138, April 1997.
[10] Rigney、C.、ルーベンス、A.、シンプソン、W.及びS. Willens、RFC 2138、1997年4月 "ユーザーサービス(RADIUS)においてリモート認証ダイヤル"。
[11] Rivest, R., "The MD5 Message-Digest Algorithm", RFC 1321, April 1992.
[11]リベスト、R.、 "MD5メッセージダイジェストアルゴリズム"、RFC 1321、1992年4月。
[12] Simpson, W., "PPP Challenge Handshake Authentication Protocol (CHAP)", RFC 1994, August 1996.
[12]シンプソン、W.、 "PPPチャレンジハンドシェイク認証プロトコル(CHAP)"、RFC 1994、1996年8月。
A. Verification Infrastructure
A.検証インフラストラクチャ
The Challenge extensions in this protocol specification are expected to be useful to help the Foreign Agent manage connectivity for visiting mobile nodes, even in situations where the foreign agent does not have any security association with the mobile node or the mobile node's home agent. In order to carry out the necessary authentication, it is expected that the foreign agent will need the assistance of external administrative systems, which have come to be called AAA systems. For the purposes of this document, we call the external administrative support the "verification infrastructure". The verification infrastructure is described to motivate the design of the protocol elements defined in this document, and is not strictly needed for the protocol to work. The foreign agent is free to use any means at its disposal to verify the credentials of the mobile node. This could, for instance, rely on a separate protocol between the foreign agent and the Mobile IP home agent, and still be completely invisible to the mobile node.
このプロトコル仕様のチャレンジ拡張は外部エージェントでも外国人のエージェントは、モバイルノードまたはモバイルノードのホームエージェントとの任意のセキュリティ関連を持っていない状況では、モバイルノードを訪問して、接続を管理しやすくするために有用であると期待されています。必要な認証を行うためには、外国人のエージェントがAAAシステムと呼ばれるようになってきた外部の行政システムの支援が必要になることが期待されます。このドキュメントの目的のために、私たちは「検証インフラ」外部管理サポートを呼び出します。検証インフラストラクチャは、この文書で定義されたプロトコル要素の設計をやる気に記述されており、プロトコルが動作するために厳密に必要とされていません。外国人のエージェントは、モバイルノードの資格情報を確認するために、その処分であらゆる手段を使用して自由です。これは、例えば、外国人のエージェントとモバイルIPホームエージェントとの間の別のプロトコルに依存している、まだモバイルノードには完全に見えないかもしれません。
In order to verify the credentials of the mobile node, we imagine that the foreign agent has access to a verification infrastructure that can return a secure notification to the foreign agent that the authentication has been performed, along with the results of that authentication. This infrastructure may be visualized as shown in figure 4.
モバイルノードの資格情報を確認するために、我々は外国人のエージェントが認証は、認証の結果とともに、実行された外国人のエージェントに安全な通知を返すことができ、検証インフラストラクチャへのアクセスを持っていることを想像してみてください。図4に示すように、このインフラストラクチャを可視化することができます。
+----------------------------------------------------+
| |
| Verification and Key Management Infrastructure |
| |
+----------------------------------------------------+
^ | ^ |
| | | |
| v | v
+---------------+ +---------------+
| | | |
| Foreign Agent | | Home Agent |
| | | |
+---------------+ +---------------+
Figure 4: The Verification Infrastructure
図4:検証インフラストラクチャ
After the foreign agent gets the Challenge authentication, it MAY pass the authentication to the (here unspecified) infrastructure, and await a Registration Reply. If the Reply has a positive status (indicating that the registration was accepted), the foreign agent accepts the registration. If the Reply contains the Code value BAD_AUTHENTICATION (see Section 10), the foreign agent takes actions indicated for rejected registrations.
外国人のエージェントは、チャレンジ認証を取得した後、それは(ここでは、不特定の)インフラストラクチャへの認証をパスし、登録応答を待つかもしれません。応答が肯定のステータス(登録が受け入れられたことを示す)を有している場合、外部エージェントは、登録を受け付けます。返信(セクション10を参照)、コード値BAD_AUTHENTICATIONが含まれている場合は、外国人のエージェントが拒否登録に示されたアクションを実行します。
Implicit in this picture, is the important observation that the Foreign Agent and the Home Agent have to be equipped to make use of whatever protocol is made available to them by the challenge verification and key management infrastructure shown in the figure.
この絵では暗黙、外部エージェントとホームエージェントは、図に示すチャレンジ検証と鍵管理インフラストラクチャによってそれらに利用できるようになるものは何でもプロトコルを利用するために装備する必要がある重要な観察です。
The protocol messages for handling the authentication within the verification infrastructure, and identity of the agent performing the verification of the Foreign Agent challenge, are not specified in this document, because those operations do not have to be performed by any Mobile IP entity.
これらの操作は、任意のモバイルIPエンティティによって実行される必要はないので、外部エージェントチャレンジの検証を行い、エージェントの検証インフラストラクチャ内の認証、およびアイデンティティを処理するためのプロトコルメッセージは、この文書で指定されていません。
Addresses
アドレス
The working group can be contacted via the current chairs:
ワーキンググループは、現在の椅子を介して接触させることができます。
Basavaraj Patil Nokia Corporation 6000 Connection Drive M/S M8-540 Irving, Texas 75039 USA
Basavarajパティルノキア・コーポレーション6000接続のドライブM / S M8-540アーヴィング、テキサス75039 USA
Phone: +1 972-894-6709 Fax : +1 972-894-5349 EMail: Basavaraj.Patil@nokia.com
電話:+1 972-894-6709ファックス:+1 972-894-5349電子メール:Basavaraj.Patil@nokia.com
Phil Roberts Motorola 1501 West Shure Drive Arlington Heights, IL 60004 USA
フィル・ロバーツモトローラ1501西シュアードライブアーリントンハイツ、IL 60004 USA
Phone:+1 847-632-3148 EMail: QA3445@email.mot.com
電話:+1 847-632-3148電子メール:QA3445@email.mot.com
Questions about this memo can also be directed to the authors:
このメモに関する質問も作者に向けることができます。
Charles E. Perkins Communications Systems Lab Nokia Research Center 313 Fairchild Drive Mountain View, California 94043 USA
チャールズE.パーキンス通信システム研究所ノキア・リサーチセンター313フェアチャイルドドライブマウンテンビュー、カリフォルニア94043 USA
Phone: +1-650 625-2986 Fax: +1 650 625-2502 EMail: charliep@iprg.nokia.com
電話:+ 1-650 625-2986ファックス:+1 650 625-2502 Eメール:charliep@iprg.nokia.com
Pat R. Calhoun Network & Security Center Sun Microsystems Laboratories 15 Network Circle Menlo Park, California 94025 USA
パットR.カルフーンネットワーク&セキュリティセンターサン・マイクロシステムズ・ラボラトリーズ15ネットワークサークルメンロパーク、カリフォルニア94025 USA
Phone: +1 650-786-7733 Fax: +1 650-786-6445 EMail: pcalhoun@eng.sun.com
電話:+1 650-786-7733ファックス:+1 650-786-6445電子メール:pcalhoun@eng.sun.com
Full Copyright Statement
完全な著作権声明
Copyright (C) The Internet Society (2000). All Rights Reserved.
著作権(C)インターネット協会(2000)。全著作権所有。
This document and translations of it may be copied and furnished to others, and derivative works that comment on or otherwise explain it or assist in its implementation may be prepared, copied, published and distributed, in whole or in part, without restriction of any kind, provided that the above copyright notice and this paragraph are included on all such copies and derivative works. However, this document itself may not be modified in any way, such as by removing the copyright notice or references to the Internet Society or other Internet organizations, except as needed for the purpose of developing Internet standards in which case the procedures for copyrights defined in the Internet Standards process must be followed, or as required to translate it into languages other than English.
この文書とその翻訳は、コピーして他の人に提供し、それ以外についてはコメントまたは派生物は、いかなる種類の制限もなく、全体的にまたは部分的に、準備コピーし、公表して配布することができることを説明したり、その実装を支援することができます、上記の著作権表示とこの段落は、すべてのそのようなコピーや派生物に含まれていることを条件とします。しかし、この文書自体は著作権のための手順はで定義されている場合には、インターネット標準を開発するために必要なものを除き、インターネットソサエティもしくは他のインターネット関連団体に著作権情報や参照を取り除くなど、どのような方法で変更されないかもしれませんインターネット標準化プロセスが続く、または英語以外の言語に翻訳するために、必要に応じなければなりません。
The limited permissions granted above are perpetual and will not be revoked by the Internet Society or its successors or assigns.
上記の制限は永久で、インターネット学会やその後継者や譲渡者によって取り消されることはありません。
This document and the information contained herein is provided on an "AS IS" basis and THE INTERNET SOCIETY AND THE INTERNET ENGINEERING TASK FORCE DISCLAIMS ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
この文書とここに含まれている情報は、基礎とインターネットソサエティおよびインターネットエンジニアリングタスクフォースはすべての保証を否認し、明示または黙示、その情報の利用がない任意の保証を含むがこれらに限定されない「として、」上に設けられています特定の目的への権利または商品性または適合性の黙示の保証を侵害します。
Acknowledgement
謝辞
Funding for the RFC Editor function is currently provided by the Internet Society.
RFC Editor機能のための基金は現在、インターネット協会によって提供されます。