Network Working Group S. Kent
Request for Comments: 4304 BBN Technologies
Category: Standards Track December 2005
Extended Sequence Number (ESN) Addendum to
IPsec Domain of Interpretation (DOI)
for Internet Security Association
and Key Management Protocol (ISAKMP)
Status of This Memo
このメモのステータス
This document specifies an Internet standards track protocol for the Internet community, and requests discussion and suggestions for improvements. Please refer to the current edition of the "Internet Official Protocol Standards" (STD 1) for the standardization state and status of this protocol. Distribution of this memo is unlimited.
この文書は、インターネットコミュニティのためのインターネット標準トラックプロトコルを指定し、改善のための議論と提案を要求します。このプロトコルの標準化状態と状態への「インターネット公式プロトコル標準」(STD 1)の最新版を参照してください。このメモの配布は無制限です。
Copyright Notice
著作権表示
Copyright (C) The Internet Society (2005).
著作権(C)インターネット協会(2005)。
Abstract
抽象
The IP Security Authentication Header (AH) and Encapsulating Security Payload (ESP) protocols use a sequence number to detect replay. This document describes extensions to the Internet IP Security Domain of Interpretation (DOI) for the Internet Security Association and Key Management Protocol (ISAKMP). These extensions support negotiation of the use of traditional 32-bit sequence numbers or extended (64- bit) sequence numbers (ESNs) for a particular AH or ESP security association.
IPセキュリティ認証ヘッダー(AH)とカプセル化セキュリティペイロード(ESP)プロトコルは、リプレイを検出するために、シーケンス番号を使用します。この文書はインターネットSecurity AssociationとKey Managementプロトコル(ISAKMP)のための解釈のインターネットIPセキュリティドメイン(DOI)の拡張機能について説明します。これらの拡張機能は、伝統的な32ビットのシーケンス番号または特定のAHまたはESPセキュリティアソシエーションの拡張(64ビット)シーケンス番号(のESN)の使用のネゴシエーションをサポートします。
The specifications for the IP Authentication Header (AH) [AH] and the IP Encapsulating Security Payload (ESP) [ESP] describe an option for use of extended (64-bit) sequence numbers. This option permits transmission of very large volumes of data at high speeds over an IPsec Security Association, without rekeying to avoid sequence number space exhaustion. This document describes the additions to the IPsec DOI for ISAKMP [DOI] that are needed to support negotiation of the extended sequence number (ESN) option.
IP認証ヘッダ(AH)[AH]とIPカプセル化セキュリティペイロード(ESP)[ESP]の仕様は、拡張(64ビット)シーケンス番号を使用するためのオプションが記載されています。このオプションは、シーケンス番号空間の枯渇を避けるために再入力することなく、IPsecのセキュリティアソシエーションを超える高速で大量のデータの伝送を可能にします。この文書では、拡張シーケンス番号(ESN)オプションのネゴシエーションをサポートするために必要なISAKMPのIPsec DOI [DOI]への追加を説明しています。
The keywords MUST, MUST NOT, REQUIRED, SHALL, SHALL NOT, SHOULD, SHOULD NOT, RECOMMENDED, MAY, and OPTIONAL, when they appear in this document, are to be interpreted as described in RFC 2119 [Bra97].
彼らは、この文書に表示されるRFC 2119 [Bra97]で説明したように解釈される際のキーワードは、REQUIREDは、、、、、MAY、推奨、およびオプションのすべきでないないものとものとしてはなりませんしなければなりません。
The following SA attribute definition is used in Phase II of an Internet Key Exchange Protocol (IKE) negotiation. The attribute type is Basic (B). Encoding of this attribute is defined in the base ISAKMP specification [ISAKMP]. Attributes described as basic MUST NOT be encoded as variable. See [IKE] for further information on attribute encoding in the IPsec DOI. All restrictions listed in [IKE] also apply to the IPsec DOI and to this addendum.
以下SA属性定義は、インターネット鍵交換プロトコル(IKE)ネゴシエーションのフェーズIIで使用されています。属性タイプは、基本(B)です。この属性のエンコーディングは、ベースISAKMP仕様[ISAKMP]で定義されています。基本として説明した属性は、変数としてコード化してはなりません。 IPsecのDOIの属性エンコーディングの詳細については、[IKE]を参照してください。 [IKE]に記載されているすべての制限ものIPsec DOIにして、この補遺に適用されます。
Attribute Type
属性タイプ
class value type
---------------------------------------------------------
Extended (64-bit) Sequence Number 11 B
Class Values
クラス値
This class specifies that the Security Association will be using
64-bit sequence numbers. (See [AH] and [ESP] for a description
of extended (64-bit) sequence numbers.)
RESERVED 0 64-bit Sequence Number 1
RESERVED 0 64ビットのシーケンス番号1
If an implementation receives a defined IPsec DOI attribute (or attribute value) that it does not support, an ATTRIBUTES-NOT-SUPPORT SHOULD be sent and the security association setup MUST be aborted.
実装は、それがサポートしていないように規定のIPsec DOI属性(または属性値)を受信した場合、ATTRIBUTES-NOT-SUPPORTを送ってくださいとセキュリティアソシエーションの設定は中止されなければなりません。
If an implementation receives any attribute value but the value for 64-bit sequence numbers, the security association setup MUST be aborted.
実装は任意の属性値が、64ビットのシーケンス番号の値を受信した場合、セキュリティアソシエーションの設定は中止されなければなりません。
This memo pertains to the Internet Key Exchange protocol [IKE], which combines ISAKMP [ISAKMP] and Oakley [OAKLEY] to provide for the derivation of cryptographic keying material in a secure and authenticated manner. Specific discussion of the various security protocols and transforms identified in this document can be found in the associated base documents and in the cipher references.
このメモは、ISAKMP [ISAKMP]とオークリー[OAKLEY]は安全で認証された方法で暗号化キーイングマテリアルの導出を提供するために組み合わせてインターネット鍵交換プロトコル[IKE]に関する。この文書で特定され、さまざまなセキュリティプロトコルと変換の具体的な議論は、関連するベース文書にし、暗号の参考文献に見出すことができます。
The addition of the ESN attribute does not change the underlying security characteristics of IKE. In using ESNs with ESP, it is important to employ an encryption mode that is secure when very large volumes of data are encrypted under a single key. Thus, for example, Data Encryption Standard (DES) in Cipher Block Chaining (CBC) mode would NOT be suitable for use with the ESN, because no more than 2^32 blocks should be encrypted under a single DES key in that mode. Similarly, the integrity algorithm used with ESP or AH should be secure relative to the number of packets being protected. To avoid potential security problems imposed by algorithm limitations, the SA lifetime may be set to limit the volume of data protected with a single key, prior to reaching the 2^64 packet limit imposed by the ESN.
ESN属性の追加は、IKEの基本的なセキュリティ特性を変更しません。 ESPとのESNを使用して、非常に大量のデータを単一のキーの下で暗号化されたときに安全である暗号化モードを採用することが重要です。これ以上32 ^ 2以上のブロックは、そのモードにおける単一のDES鍵で暗号化されなければならないので、このように、例えば、暗号ブロック連鎖(CBC)モードでのデータ暗号化規格(DES)は、ESNとの使用に適していません。同様に、ESPまたはAHと共に使用される完全性アルゴリズムは、保護されたパケットの数にセキュア相対的であるべきです。アルゴリズムの制限によって課される潜在的なセキュリティ問題を回避するために、SAの寿命はESNによって課さ2 ^ 64パケット限界に到達する前に、単一の鍵で保護されたデータの量を制限するように設定されてもよいです。
This document contains a "magic" number to be maintained by the IANA. No additional class values will be assigned for this attribute. The IANA has allocated an IPsec Security Attribute value for "Attribute Type". This value is listed under the heading "value" in the table in Section 2.
この文書は、IANAによって維持される「マジック」番号が含まれています。追加のクラス値は、この属性に割り当てられません。 IANAは、「属性タイプ」のIPsecセキュリティ属性値を割り当てています。この値は、第2節では、テーブルの見出し「値」の下に表示されます。
Acknowledgements
謝辞
The author would like to thank the members of the IPsec working group. The author would also like to acknowledge the contributions of Karen Seo for her help in the editing of this specification.
著者は、IPsecワーキンググループのメンバーに感謝したいと思います。著者はまた、この仕様の編集中に彼女の助けのためのカレン・ソの貢献を認めたいと思います。
Normative References
引用規格
[Bra97] Bradner, S., "Key words for use in RFCs to Indicate Requirement Level", BCP 14, RFC 2119, March 1997.
[Bra97]ブラドナーの、S.、BCP 14、RFC 2119、1997年3月 "のRFCsにおける使用のためのキーワードは、要求レベルを示すために"。
[AH] Kent, S., "IP Authentication Header", RFC 4302, December 2005.
[AH]ケント、S.、 "IP認証ヘッダー"、RFC 4302、2005年12月。
[DOI] Piper, D., "The Internet IP Security Domain of Interpretation for ISAKMP", RFC 2407, November 1998.
[DOI]パイパー、D.、RFC 2407 "ISAKMPのための解釈のインターネットIPセキュリティー領域"、1998年11月。
[ESP] Kent, S., "IP Encapsulating Security Payload (ESP)", RFC 4303, December 2005.
[ESP]ケント、S.、 "IPカプセル化セキュリティペイロード(ESP)"、RFC 4303、2005年12月。
[IKE] Harkins, D. and D. Carrel, "The Internet Key Exchange (IKE)", RFC 2409, November 1998.
[IKE]ハーキンとD.とD.カレル、 "インターネットキー交換(IKE)"、RFC 2409、1998年11月。
[ISAKMP] Maughan, D., Schertler, M., Schneider, M., and J. Turner, "Internet Security Association and Key Management Protocol (ISAKMP)", RFC 2408, November 1998.
[ISAKMP]モーガン、D.、Schertler、M.、シュナイダー、M.、およびJ.ターナー、 "インターネットセキュリティ協会と鍵管理プロトコル(ISAKMP)"、RFC 2408、1998年11月。
Informative References
参考文献
[OAKLEY] Orman, H., "The OAKLEY Key Determination Protocol", RFC 2412, November 1998.
[OAKLEY]オーマン、H.、 "OAKLEYキー決意プロトコル"、RFC 2412、1998年11月。
Author's Address
著者のアドレス
Stephen Kent BBN Technologies 10 Moulton Street Cambridge, MA 02138 USA
スティーブン・ケントBBNテクノロジーズ10モールトンストリートケンブリッジ、MA 02138 USA
Phone: +1 (617) 873-3988 EMail: kent@bbn.com
電話:+1(617)873-3988 Eメール:kent@bbn.com
Full Copyright Statement
完全な著作権声明
Copyright (C) The Internet Society (2005).
著作権(C)インターネット協会(2005)。
This document is subject to the rights, licenses and restrictions contained in BCP 78, and except as set forth therein, the authors retain all their rights.
この文書では、BCP 78に含まれる権利と許可と制限の適用を受けており、その中の記載を除いて、作者は彼らのすべての権利を保有します。
This document and the information contained herein are provided on an "AS IS" basis and THE CONTRIBUTOR, THE ORGANIZATION HE/SHE REPRESENTS OR IS SPONSORED BY (IF ANY), THE INTERNET SOCIETY AND THE INTERNET ENGINEERING TASK FORCE DISCLAIM ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
この文書とここに含まれている情報は、基礎とCONTRIBUTOR「そのまま」、ORGANIZATION HE / SHEが表すまたはインターネットソサエティおよびインターネット・エンジニアリング・タスク・フォース放棄すべての保証、明示または、(もしあれば)後援ISに設けられています。黙示、情報の利用は、特定の目的に対する権利または商品性または適合性の黙示の保証を侵害しない任意の保証含むがこれらに限定されません。
Intellectual Property
知的財産
The IETF takes no position regarding the validity or scope of any Intellectual Property Rights or other rights that might be claimed to pertain to the implementation or use of the technology described in this document or the extent to which any license under such rights might or might not be available; nor does it represent that it has made any independent effort to identify any such rights. Information on the procedures with respect to rights in RFC documents can be found in BCP 78 and BCP 79.
IETFは、本書またはそのような権限下で、ライセンスがたりないかもしれない程度に記載された技術の実装や使用に関係すると主張される可能性があります任意の知的財産権やその他の権利の有効性または範囲に関していかなる位置を取りません利用可能です。またそれは、それがどのような権利を確認する独自の取り組みを行ったことを示すものでもありません。 RFC文書の権利に関する手続きの情報は、BCP 78およびBCP 79に記載されています。
Copies of IPR disclosures made to the IETF Secretariat and any assurances of licenses to be made available, or the result of an attempt made to obtain a general license or permission for the use of such proprietary rights by implementers or users of this specification can be obtained from the IETF on-line IPR repository at http://www.ietf.org/ipr.
IPRの開示のコピーが利用できるようにIETF事務局とライセンスの保証に行われた、または本仕様の実装者または利用者がそのような所有権の使用のための一般的なライセンスまたは許可を取得するために作られた試みの結果を得ることができますhttp://www.ietf.org/iprのIETFのオンラインIPRリポジトリから。
The IETF invites any interested party to bring to its attention any copyrights, patents or patent applications, or other proprietary rights that may cover technology that may be required to implement this standard. Please address the information to the IETF at ietf-ipr@ietf.org.
IETFは、その注意にこの標準を実装するために必要とされる技術をカバーすることができる任意の著作権、特許または特許出願、またはその他の所有権を持ってすべての利害関係者を招待します。 ietf-ipr@ietf.orgのIETFに情報を記述してください。
Acknowledgement
謝辞
Funding for the RFC Editor function is currently provided by the Internet Society.
RFC Editor機能のための基金は現在、インターネット協会によって提供されます。