Network Working Group C. Perkins
Request for Comments: 4721 Nokia Research Center
Obsoletes: 3012 P. Calhoun
Updates: 3344 Cisco Systems, Inc.
Category: Standards Track J. Bharatia
Nortel Networks
January 2007
Mobile IPv4 Challenge/Response Extensions (Revised)
Status of This Memo
このメモのステータス
This document specifies an Internet standards track protocol for the Internet community, and requests discussion and suggestions for improvements. Please refer to the current edition of the "Internet Official Protocol Standards" (STD 1) for the standardization state and status of this protocol. Distribution of this memo is unlimited.
この文書は、インターネットコミュニティのためのインターネット標準トラックプロトコルを指定し、改善のための議論と提案を要求します。このプロトコルの標準化状態と状態への「インターネット公式プロトコル標準」(STD 1)の最新版を参照してください。このメモの配布は無制限です。
Copyright Notice
著作権表示
Copyright (C) The IETF Trust (2007).
著作権(C)IETFトラスト(2007)。
Abstract
抽象
Mobile IP, as originally specified, defines an authentication extension (the Mobile-Foreign Authentication extension) by which a mobile node can authenticate itself to a foreign agent. Unfortunately, that extension does not provide the foreign agent any direct guarantee that the protocol is protected from replays and does not allow for the use of existing techniques (such as Challenge Handshake Authentication Protocol (CHAP)) for authenticating portable computer devices.
モバイルIPは、元々指定されているように、モバイルノードがフォーリンエージェントに自身を認証することが可能な認証拡張(モバイルフォーリン認証拡張)を定義します。残念ながら、その拡張子は、外国人のエージェントにプロトコルはリプレイから保護されており、ポータブルコンピュータ機器を認証するための(例えばチャレンジハンドシェイク認証プロトコル(CHAP)など)既存の技術の使用を許可しないことを直接の保証を提供していません。
In this specification, we define extensions for the Mobile IP Agent Advertisements and the Registration Request that allow a foreign agent to use a challenge/response mechanism to authenticate the mobile node.
この仕様では、我々は、モバイルIPエージェント広告及び外部エージェントは、移動ノードを認証するためにチャレンジ/レスポンスメカニズムを使用できるように登録要求用の拡張機能を定義します。
Furthermore, this document updates RFC 3344 by including a new authentication extension called the Mobile-Authentication, Authorization, and Accounting (AAA) Authentication extension. This new extension is provided so that a mobile node can supply credentials for authorization, using commonly available AAA infrastructure elements. This authorization-enabling extension MAY co-exist in the same Registration Request with authentication extensions defined for Mobile IP Registration by RFC 3344. This document obsoletes RFC 3012.
また、新たな認証拡張を含むことにより、この文書の更新RFC 3344は、モバイル認証、許可、アカウンティング(AAA)認証拡張子と呼ばれます。モバイルノードは、一般的に入手可能なAAAインフラストラクチャ要素を使用して、承認のために資格情報を提供できるように、この新しい拡張が設けられています。この権限有効化拡張はこの文書はRFC 3012を廃止RFC 3344でモバイルIP登録のために定義された認証拡張子を持つ同じ登録要求に共存するかもしれません。
Table of Contents
目次
1. Introduction ....................................................2
1.1. Terminology ................................................3
2. Mobile IP Agent Advertisement Challenge Extension ...............4
2.1. Handling of Solicited Agent Advertisements .................4
3. Operation .......................................................5
3.1. Mobile Node Processing of Registration Requests ............5
3.2. Foreign Agent Processing of Registration Requests ..........6
3.2.1. Foreign Agent Algorithm for Tracking Used
Challenges .........................................8
3.3. Foreign Agent Processing of Registration Replies ...........9
3.4. Home Agent Processing of Challenge Extensions .............10
3.5. Mobile Node Processing of Registration Replies ............11
4. Mobile-Foreign Challenge Extension .............................11
5. Generalized Mobile IP Authentication Extension .................12
6. Mobile-AAA Authentication Subtype ..............................13
7. Reserved SPIs for Mobile IP ....................................14
8. SPIs for RADIUS AAA Servers ....................................14
9. Configurable Parameters ........................................15
10. Error Values ..................................................16
11. IANA Considerations ...........................................16
12. Security Considerations .......................................17
13. Acknowledgements ..............................................18
14. Normative References ..........................................18
Appendix A. Changes since RFC 3012 ................................20
Appendix B. Verification Infrastructure ...........................21
Appendix C. Message Flow for FA Challenge Messaging with
Mobile-AAA Extension ..................................22
Appendix D. Message Flow for FA Challenge Messaging with
MN-FA Authentication ..................................23
Appendix E. Example Pseudo-code for Tracking Used Challenges ......24
Mobile IP defines the Mobile-Foreign Authentication extension to allow a mobile node to authenticate itself to a foreign agent. Such authentication mechanisms are mostly external to the principal operation of Mobile IP, since the foreign agent can easily route packets to and from a mobile node whether or not the mobile node is reporting a legitimately owned home address to the foreign agent. Unfortunately, that extension does not provide the foreign agent any direct guarantee that the protocol is protected from replays and does not allow for the use of CHAP [RFC1994] for authenticating portable computer devices. In this specification, we define extensions for the Mobile IP Agent Advertisements and the Registration Request that allow a foreign agent to use a challenge/ response mechanism to authenticate the mobile node. Furthermore, an additional authentication extension, the Mobile-AAA authentication extension, is provided so that a mobile node can supply credentials for authorization using commonly available AAA infrastructure elements. The foreign agent may be able to interact with an AAA infrastructure (using protocols outside the scope of this document) to obtain a secure indication that the mobile node is authorized to use the local network resources.
モバイルIPは、モバイルノードが外国人のエージェントに自分自身を認証できるようにするために、モバイル・外国の認証拡張を定義します。外部エージェントは、移動ノードがフォーリンエージェントに合法的所有ホームアドレスを報告されているか否かをモバイルノードへとより容易にパケットをルーティングすることができるので、そのような認証メカニズムは、モバイルIPの主要な動作にほとんど外部にあります。残念ながら、その拡張子は、外国人のエージェントにプロトコルはリプレイから保護されており、ポータブルコンピュータ機器を認証するためのCHAP [RFC1994]の使用を許可していない任意の直接的な保証を提供していません。この仕様では、我々は、モバイルIPエージェント広告及び外部エージェントは、移動ノードを認証するためにチャレンジ/レスポンスメカニズムを使用できるように登録要求用の拡張機能を定義します。モバイルノードは、一般的に入手可能なAAAインフラストラクチャ要素を使用して、承認のための認証情報を提供することができるようにまた、追加の認証拡張、モバイル-AAA認証拡張が、提供されます。外部エージェントは、モバイルノードがローカルネットワーク資源の使用を許可されていること、安全な表示を得るために(この文書の範囲外のプロトコルを使用して)AAAインフラストラクチャと相互作用することができるかもしれません。
The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in RFC 2119 [RFC2119].
この文書のキーワード "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", および "OPTIONAL" はRFC 2119 [RFC2119]に記載されているように解釈されます。
This document uses the term Security Parameters Index (SPI) as defined in the base Mobile IP protocol specification [RFC3344]. All SPI values defined in this document refer to values for the SPI as defined in that specification.
この文書では、ベースのモバイルIPプロトコル仕様[RFC3344]で定義されるように用語セキュリティパラメータインデックス(SPI)を使用します。その仕様で定義された、この文書で定義されたすべてのSPI値は、SPIの値を参照してください。
The following additional terminology is used in addition to that defined in [RFC3344]:
以下の追加の用語は[RFC3344]で定義されたものに加えて使用されています。
previously used challenge:
以前に使用されるチャレンジ:
The challenge is a previously used challenge if the mobile node sent the same challenge to the foreign agent in a previous Registration Request, and if that previous Registration Request passed all validity checks performed by the foreign agent. The foreign agent may not be able to keep records for all previously used challenges, but see Section 3.2 for minimal requirements.
モバイルノードが前の登録要求に外国人のエージェントに同じ挑戦を送信した場合、その前の登録要求は、外国人のエージェントによって実行されたすべての妥当性チェックに合格した場合の課題は、以前に使用されるチャレンジです。外国人のエージェントは、すべての以前使用の挑戦のための記録を維持することができますが、最低限の要件については、セクション3.2を参照してくださいしないことがあります。
security association:
セキュリティアソシエーション:
A "mobility security association", as defined in [RFC3344].
[RFC3344]で定義された「モビリティセキュリティアソシエーション」、。
unknown challenge:
未知の挑戦:
Any challenge from a particular mobile node that the foreign agent has no record of having put either into one of its recent Agent Advertisements or into a registration reply message to that mobile node.
外国人のエージェントが、最近のエージェント広告のいずれかにまたはそのモバイルノードに登録応答メッセージの中にいずれか入れたままの記録がない特定のモバイルノードからのチャレンジ。
unused challenge:
未使用の挑戦:
A challenge that has not already been accepted by the foreign agent from the mobile node in the Registration Request, i.e., a challenge that is neither unknown nor previously used.
すでに登録要求、不明も以前使用でもない、すなわち、挑戦で移動ノードから外国人のエージェントによって受け入れられていない挑戦。
This section defines a new extension to the Router Discovery Protocol [RFC1256] for use by foreign agents that need to issue a challenge for authenticating mobile nodes.
このセクションでは、モバイルノードを認証するための挑戦を発行する必要が外国人のエージェントが使用するためのルータ検出プロトコル[RFC1256]に新しい拡張子を定義します。
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Type | Length | Challenge ...
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Figure 1. The Challenge Extension
図1.チャレンジの機能拡張
Type:
タイプ:
24
24
Length:
長さ:
The length of the Challenge value in octets; SHOULD be at least 4.
オクテットでチャレンジ値の長さ。少なくとも4であるべきです。
Challenge:
チャレンジ:
A random value that SHOULD be at least 32 bits.
少なくとも32ビットであるべきであるランダムな値。
The Challenge extension, illustrated in Figure 1, is inserted in the Agent Advertisements by the foreign agent in order to communicate a previously unused challenge value that can be used by the mobile node to compute an authentication for its next registration request message. The challenge is selected by the foreign agent to provide local assurance that the mobile node is not replaying any earlier registration request. Eastlake et al. [RFC4086] provides more information on generating pseudo-random numbers suitable for use as values for the challenge.
図1に示さチャレンジ拡張は、その次の登録要求メッセージに対する認証を計算するためにモバイルノードによって使用することができ、以前に使用されていないチャレンジ値を通信するために外部エージェントによってエージェント広告に挿入されます。チャレンジは、モバイルノードが以前の登録要求を再生されていないことを地元の保証を提供するために、外国人のエージェントによって選択されます。イーストレークら。 [RFC4086]は、チャレンジの値として使用するのに適した擬似乱数を生成する方法の詳細情報を提供します。
Note that the storage of different Challenges received in Agent Advertisements from multiple foreign agents is implementation specific and hence out of scope for this specification.
複数の外部エージェントからエージェント広告で受信異なる課題のストレージが実装特定したがって、本明細書の範囲外であることに留意されたいです。
When a foreign agent generates an Agent Advertisement in response to a Router Solicitation [RFC1256], some additional considerations come into play. According to the Mobile IP base specification [RFC3344], the resulting Agent Advertisement may be either multicast or unicast.
外国人のエージェントは、ルータ要請[RFC1256]に応じて、エージェント広告を生成すると、いくつかの追加の考慮事項が遊びに来ます。モバイルIPベースの仕様[RFC3344]によれば、得られたエージェント広告は、マルチキャストまたはユニキャストのいずれであってもよいです。
If the solicited Agent Advertisement is multicast, the foreign agent MUST NOT generate a new Challenge value and update its window of remembered advertised Challenges. It must instead re-use the most recent of the CHALLENGE_WINDOW Advertisement Challenge values (Section 9).
募集エージェント広告がマルチキャストの場合は、外国人のエージェントは新しいチャレンジ値を生成し、記憶して広告を出して挑戦のそのウィンドウをアップデートしてはいけません。これは、代わりにCHALLENGE_WINDOW広告チャレンジ値(第9節)の最新のを再使用する必要があります。
If the agent advertisement is unicast back to the soliciting mobile node, it MUST be handled as follows: If the challenge most recently unicast to the soliciting mobile node has not been previously used (as defined in Section 1.1), it SHOULD be repeated in the newly issued unicast agent advertisement. Otherwise, a new challenge MUST be generated and remembered as the most recent challenge issued to the mobile node. For further discussion of this, see Section 12.
エージェント広告がユニキャストの勧誘モバイルノードに戻っている場合、それは次のように扱われなければならない:挑戦は最近勧誘モバイルノードにユニキャスト(セクション1.1で定義されている)以前に使用されていない場合は、中に繰り返されるべきです新しくユニキャストエージェント広告を出しました。そうでなければ、新たな挑戦が生成され、モバイルノードに対して発行された最新の課題として忘れてはなりません。こののさらなる議論については、第12章を参照してください。
This section describes modifications to the Mobile IP registration process [RFC3344] that may occur after the foreign agent issues a Mobile IP Agent Advertisement containing the Challenge on its local link. See Appendix C for a diagram showing the canonical message flow for messages related to the processing of the foreign agent challenge values.
このセクションでは、外国人のエージェントはそのローカルリンク上のチャレンジを含むモバイルIPエージェント広告を出した後に発生することがあり、モバイルIP登録プロセス[RFC3344]に変更を説明します。フォーリンエージェントチャレンジ値の処理に関連するメッセージの正規のメッセージフローを示す図については、付録Cを参照してください。
Retransmission behavior for Registration Requests is identical to that specified in Mobile IP specification [RFC3344]. A retransmitted Registration Request MAY use the same Challenge value as given in the original Registration Request.
登録要求の再送信の動作は、モバイルIP仕様[RFC3344]で指定されたものと同じです。オリジナルの登録要求に与えられたとして、再送登録要求は、同じチャレンジ値を使用するかもしれません。
Whenever the Agent Advertisement contains the Challenge extension, if the mobile node does not have a security association with the foreign agent, then it MUST include the Challenge value in a Mobile-Foreign Challenge extension to the Registration Request message. If, on the other hand, the mobile node does have a security association with the foreign agent, it SHOULD include the Challenge value in its Registration Request message.
たびエージェント広告は、モバイルノードが外国人のエージェントとのセキュリティアソシエーションを持っていない場合、それは登録要求メッセージにモバイル外国チャレンジ拡張にチャレンジ値を含まなければならない、チャレンジの拡張子が含まれています。一方、モバイルノードが外国人のエージェントとのセキュリティアソシエーションを持っている場合は、その登録要求メッセージにチャレンジ値を含むべきです。
If the mobile node has a security association with the Foreign Agent, it MUST include a Mobile-Foreign Authentication extension in its Registration Request message, according to the base Mobile IP specification [RFC3344]. When the Registration Request contains the Mobile-Foreign Challenge extension specified in Section 4, the Mobile-Foreign Authentication MUST follow the Challenge extension in the Registration Request. The mobile node MAY also include the Mobile-AAA Authentication extension.
モバイルノードは、外部エージェントとのセキュリティアソシエーションを有する場合、それはベースのモバイルIP仕様[RFC3344]によれば、その登録要求メッセージにおけるモバイルフォーリン認証拡張を含まなければなりません。登録要求は、第4節で指定されたモバイル・外国チャレンジ拡張が含まれている場合は、モバイル・外国人の認証は、登録要求にチャレンジ拡張子に従わなければなりません。モバイルノードは、モバイル-AAA認証拡張を含むかもしれません。
If both the Mobile-Foreign Authentication and the Mobile-AAA Authentication extensions are present, the Mobile-Foreign Challenge extension MUST precede the Mobile-AAA Authentication extension, and the Mobile-AAA Authentication extension MUST precede the Mobile-Foreign Authentication extension.
モバイルフォーリン認証及びモバイル-AAA認証の両方の拡張が存在する場合、モバイルフォーリンチャレンジ拡張モバイル-AAA認証拡張に先行しなければならない、モバイル-AAA認証拡張は、モバイルフォーリン認証拡張に先行しなければなりません。
If the mobile node does not have a security association with the foreign agent, the mobile node MUST include the Mobile-AAA Authentication extension as, defined in Section 6, when it includes the Mobile-Foreign Challenge extension. In addition, the mobile node SHOULD include the NAI extension [RFC2794] to enable the foreign agent to make use of available verification infrastructure that requires this. The SPI field of the Mobile-AAA Authentication extension specifies the particular secret and algorithm (shared between the mobile node and the verification infrastructure) that must be used to perform the authentication. If the SPI value is chosen as CHAP_SPI (see Section 9), then the mobile node specifies CHAP-style authentication [RFC1994] using MD5 [RFC1321].
移動ノードがフォーリンエージェントとのセキュリティアソシエーションを有していない場合は、モバイルフォーリンチャレンジ拡張を含む場合、モバイルノードは、セクション6で定義されるようなモバイル-AAA認証拡張を含まなければなりません。また、モバイルノードは、これを必要とする利用可能な検証インフラストラクチャを利用する外部エージェントを有効にするためにNAI拡張[RFC2794]を含むべきです。モバイル-AAA認証拡張のSPIフィールドには、認証を実行するために使用されなければならない(モバイルノードと検証インフラ間で共有される)特定の秘密アルゴリズムを指定します。 SPI値はCHAP_SPI(セクション9を参照)として選択される場合、移動ノードは、MD5 [RFC1321]を使用して、CHAPスタイル認証[RFC1994]を特定します。
In either case, the Mobile-Foreign Challenge extension followed by one of the above specified authentication extensions MUST follow the Mobile-Home Authentication extension, if present.
存在する場合いずれの場合も、上記の指定された認証の拡張機能のいずれかが続くモバイル外国チャレンジの拡張子は、モバイル・ホーム認証拡張に従わなければなりません。
A mobile node MAY include the Mobile-AAA Authentication extension in the Registration Request when the mobile node registers directly with its home agent (using a co-located care-of address). In this case, the mobile node uses an SPI value of CHAP_SPI (Section 8) in the Mobile Node-Authentication, Authorization, and Accounting (MN-AAA) Authentication extension and MUST NOT include the Mobile-Foreign Challenge extension. Also, replay protection for the Registration Request in this case is provided by the Identification field defined by [RFC3344].
モバイルノードが(同一位置気付アドレスを使用して)そのホームエージェントに直接登録する場合、モバイルノードは、登録要求にモバイル-AAA認証拡張を含むかもしれません。この場合、モバイルノードは、モバイルノードの認証、許可、およびアカウンティング(MN-AAA)認証拡張でCHAP_SPI(セクション8)のSPI値を使用してモバイル外国チャレンジ拡張を含めることはできません。また、この場合の登録要求のためのリプレイ保護は[RFC3344]で定義された識別フィールドによって提供されます。
Upon receipt of the Registration Request, if the foreign agent has issued a Challenge as part of its Agent Advertisements, and if it does not have a security association with the mobile node, then the foreign agent SHOULD check that the Mobile-Foreign Challenge extension exists, and that it contains a challenge value previously unused by the mobile node. This ensures that the mobile node is not attempting to replay a previous advertisement and authentication. In this case, if the Registration Request does not include a Challenge extension, the foreign agent MUST send a Registration Reply with the Code field set to missing_challenge.
外国人のエージェントは、そのエージェント広告の一部としての挑戦を発行している場合、それは、モバイルノードとのセキュリティアソシエーションを持っていない場合、登録要求を受信すると、その後、外国人のエージェントは、モバイル・外国チャレンジエクステンションが存在することを確認する必要があります、そしてそれは、モバイルノードによって以前に使用されていないチャレンジ値が含まれていること。これは、モバイルノードが前の広告との認証を再生しようとしていないことを保証します。登録要求がチャレンジ拡張子が含まれていない場合この場合、外部エージェントはmissing_challengeに設定Codeフィールドで登録応答を送らなければなりません。
If a mobile node retransmits a Registration Request with the same Challenge extension, and if the foreign agent still has a pending Registration Request record in effect for the mobile node, then the foreign agent forwards the Registration Request to the Home Agent again. The foreign agent SHOULD check that the mobile node is actually performing a retransmission, by verifying that the relevant fields of the retransmitted request (including, if present, the mobile node NAI extension [RFC2794]) are the same as represented in the visitor list entry for the pending Registration Request (Section 3.7.1 of [RFC3344]). This verification MUST NOT include the "remaining Lifetime of the pending registration" or the Identification field, since those values are likely to change even for requests that are merely retransmissions and not new Registration Requests. In all other circumstances, if the foreign agent receives a Registration Request with a Challenge extension containing a Challenge value previously used by that mobile node, the foreign agent SHOULD send a Registration Reply to the mobile node, containing the Code value stale_challenge.
モバイルノードは、同じチャレンジ拡張子の登録リクエストを再送信し、外国人のエージェントはまだモバイルノードのための有効な保留登録要求レコードを持っている場合は、外国人のエージェントは再びホームエージェントへの登録要求を転送します。外部エージェントは、モバイルノードが実際に訪問者リストエントリに表されるように(存在する場合、移動ノードNAI拡張[RFC2794]を含む)を再送要求の関連するフィールドが同じであることを検証することによって、再送信を実行していることを確認する必要があります保留中の登録要求のための([RFC3344]のセクション3.7.1)。これらの値も単に再送信していない新しい登録要求されている要求のために変更する可能性があるので、この検証は、または識別フィールド「保留登録の残りの生涯を」含んではいけません。外部エージェントは、以前はそのモバイルノードによって使用されるチャレンジ値を含むチャレンジ拡張子の登録リクエストを受信した場合、他のすべての状況において、外部エージェントは、コード値stale_challengeを含む、モバイルノードへの登録応答を送信すべきです。
The foreign agent MUST NOT accept any Challenge in the Registration Request unless it was offered in the last Registration Reply or unicast Agent Advertisement sent to the mobile node or advertised as one of the last CHALLENGE_WINDOW (see Section 9) Challenge values inserted into the immediately preceding Agent Advertisements. If the Challenge is not one of the recently advertised values, the foreign Agent SHOULD send a Registration Reply with Code value unknown_challenge (see Section 10). The foreign agent MUST maintain the last challenge used by each mobile node that has registered using any one of the last CHALLENGE_WINDOW challenge values. This last challenge value can be stored as part of the mobile node's registration records. Also, see Section 3.2.1 for a possible algorithm that can be used to satisfy this requirement.
それが最後に登録応答で提供またはユニキャストエージェント広告は、移動ノードに送信されるか、または最後CHALLENGE_WINDOWの一つとして宣伝されていない限り、外部エージェントは、登録要求にチャレンジを受け入れてはいけませんチャレンジ値は、直前に挿入(9章を参照のこと)エージェント広告。チャレンジは最近、宣伝の値のいずれかでない場合は、外国人のエージェントは、コード値unknown_challenge(セクション10を参照)で登録応答を送るべきです。外部エージェントは、最後CHALLENGE_WINDOWチャレンジ値のいずれかを使用して、登録した各モバイルノードによって使用された最後のチャレンジを維持しなければなりません。この最後の挑戦値は、モバイルノードの登録記録の一部として保存することができます。また、この要件を満たすために使用することができます可能なアルゴリズムについては、セクション3.2.1を参照してください。
Furthermore, the foreign agent MUST check that there is either a Mobile-Foreign or a Mobile-AAA Authentication extension after the Challenge extension. Any registration message containing the Challenge extension without either of these authentication extensions MUST be silently discarded. If the registration message contains a Mobile-Foreign Authentication extension with an incorrect authenticator that fails verification, the foreign agent MAY send a Registration Reply to the mobile node with Code value mobile node failed authentication (see Section 10).
さらに、外国人のエージェントは、モバイル・外国人やチャレンジ延長後のモバイル-AAA認証拡張のいずれかがあることをチェックしなければなりません。これらの認証の拡張機能のいずれかなしに挑戦拡張子を含む任意の登録メッセージは静かに捨てなければなりません。登録メッセージが検証に失敗した間違ったオーセンティケータとモバイル外国の認証拡張が含まれている場合は、外国人のエージェントは、コード値モバイルノード失敗した認証(セクション10を参照)とのモバイルノードに登録応答を送信することができます。
If the Mobile-AAA Authentication extension (see Section 6) is present in the message, or if a Network Access Identifier (NAI) extension is included indicating that the mobile node belongs to a different administrative domain, the foreign agent may take actions outside the scope of this protocol specification to carry out the authentication of the mobile node. If the registration message contains a Mobile-AAA Authentication extension with an incorrect authenticator that fails verification, the foreign agent MAY send a Registration Reply to the mobile node with Code value fa_bad_aaa_auth. If the Mobile-AAA Authentication extension is present in the Registration Request, the foreign agent MUST NOT remove the Mobile-AAA Authentication extension and the Mobile-Foreign Challenge extension from the Registration Request before forwarding to the home agent. Appendix C provides an example of an action that could be taken by a foreign agent.
モバイル-AAA認証拡張(セクション6を参照)メッセージ内に存在する、またはネットワークアクセス識別子(NAI)拡張子は、モバイルノードが異なる管理ドメインに属していることを示す含まれている場合、外部エージェントは、外部アクションをとることができる場合モバイルノードの認証を行うために、このプロトコル仕様の範囲。登録メッセージが検証に失敗した間違ったオーセンティケータとモバイル-AAA認証拡張が含まれている場合は、外国人のエージェントは、コード値fa_bad_aaa_authとモバイルノードに登録応答を送信することができます。モバイル-AAA認証拡張が、登録要求に存在している場合は、外国人のエージェントは、ホームエージェントに転送する前に、登録要求からモバイル-AAA認証拡張およびモバイル・外国チャレンジ拡張子を削除してはなりません。付録Cは、外部エージェントによって取られることができる動作の一例を提供します。
In the event that the Challenge extension is authenticated through the Mobile-Foreign Authentication extension and the Mobile-AAA Authentication extension is not present, the foreign agent MAY remove the Challenge extension from the Registration Request without disturbing the authentication value used for the computation. If the Mobile-AAA Authentication extension is present and a security association exists between the foreign agent and the home agent, the Mobile-Foreign Challenge extension and the Mobile-AAA Authentication extension MUST precede the Foreign-Home Authentication extension.
チャレンジ拡張はモバイルフォーリン認証拡張を介して認証され、モバイル-AAA認証拡張が存在しない場合には、外部エージェントは、計算に使用される認証値を乱すことなく、登録要求からチャレンジ拡張を除去することができます。モバイル-AAA認証拡張が存在し、セキュリティアソシエーションは、外部エージェントとホームエージェントの間に存在する場合は、モバイル・外国チャレンジ拡張とモバイル-AAA認証拡張は、外国ホーム認証拡張に先行しなければなりません。
If the foreign agent does remove the Challenge extension and applicable authentication from the Registration Request message, then it SHOULD store the Identification field from the Registration Request message as part of its record-keeping information about the particular mobile node in order to protect against replays.
外国人のエージェントがRegistration Requestメッセージからチャレンジ拡張子と該当の認証を削除しない場合、それはリプレイから保護するために、特定のモバイルノードに関するその記録保持情報の一部として登録要求メッセージから識別フィールドを格納する必要があります。
If the foreign agent maintains a large CHALLENGE_WINDOW, it becomes more important for scalability purposes to compare incoming challenges efficiently against the set of Challenge values that have been advertised recently. This can be done by keeping the Challenge values in order of advertisement, and by making use of the mandated behavior that mobile nodes MUST NOT use Challenge values that were advertised before the last advertised Challenge value that the mobile node attempted to use. The pseudo-code in Appendix E accomplishes this objective. The maximum amount of total storage required by this algorithm is equal to Size*(CHALLENGE_WINDOW + (2*N)), where N is the current number of mobile nodes for which the foreign agent is storing challenge values. Note that whenever the stored challenge value is no longer in the CHALLENGE_WINDOW, it can be deleted from the foreign agent's records, perhaps along with all other registration information for the mobile node if it is no longer registered.
外国人のエージェントが大きなCHALLENGE_WINDOWを維持した場合、それは、スケーラビリティの目的は、最近アドバタイズされたチャレンジ値のセットに対して効率的に入ってくる課題を比較するために、より重要になってきます。これは、広告の順にチャレンジ値を保つことによって、モバイルノードは、移動ノードが使用しようとした最後の広告を出してチャレンジ値の前に宣伝されたチャレンジ値を使用してはならないことを義務付けられた行動を利用して行うことができます。付録Eでの擬似コードは、この目的を達成します。このアルゴリズムによって必要とされる合計ストレージの最大量は、サイズ*に等しい(CHALLENGE_WINDOW +(2 * N))Nは、外部エージェントは、チャレンジ値を記憶されているモバイルノードの現在の数です。保存されたチャレンジ値がCHALLENGE_WINDOWされなくなったときはいつでも、それはおそらく、それはもはや登録されている場合、モバイルノードのための他のすべての登録情報とともに、外国人のエージェントの記録から削除することはできないことに注意してください。
It is presumed that the foreign agent keeps an array of advertised Challenges, a record of the last advertised challenge used by a mobile node, and also a record of the last challenge provided to a mobile node in a Registration Reply or unicast Agent Advertisement.
外国人のエージェントが広告を出して挑戦の配列、モバイルノードによって使用された最後の広告を出して挑戦し、また登録応答またはユニキャストエージェント広告にモバイルノードに提供される最後の挑戦のレコードのレコードを保持していると推定されます。
To meet the security obligations outlined in Section 12, the foreign agent SHOULD use one of the already stored, previously unused challenges when responding to an unauthenticated Registration Request or Agent Solicitation. If none of the already stored challenges are previously unused, the foreign agent SHOULD generate a new challenge, include it in the response, and store it in the per-Mobile data structure.
認証されていない登録要求またはエージェント要請に応答する際に、セクション12に概説されたセキュリティ上の義務を満たすために、外国人のエージェントは、既に保存され、以前に使用されていない課題の一つを使用すべきです。すでに保存された課題のいずれも未使用されていない場合は、外国人のエージェントは、新たな挑戦を生成応じて、それを含めると、あたりのモバイルデータ構造にそれを保存する必要があります。
The foreign agent SHOULD include a new Mobile-Foreign Challenge extension in any Registration Reply, successful or not. If the foreign agent includes this extension in a successful Registration Reply, the extension SHOULD precede a Mobile-Foreign authentication extension if present. Suppose that the Registration Reply includes a Challenge extension from the home agent, and that the foreign agent wishes to include another Challenge extension with the Registration Reply for use by the mobile node. In that case, the foreign agent MUST delete the Challenge extension from the home agent from the Registration Reply, along with any Foreign-Home authentication extension, before appending the new Challenge extension to the Registration Reply.
外国人のエージェントが成功したかどうか任意の登録応答の新しいモバイル・外国チャレンジ拡張を含むべきです。外国人のエージェントが成功した登録応答でこの拡張機能が含まれている場合、拡張子が存在する場合、モバイル・外国認証拡張を先行すべき。登録応答がホームエージェントからのチャレンジ拡張を含んでいること、及び外部エージェントは、モバイルノードが使用するための登録応答を持つ別のチャレンジ拡張子を含めることを望むと仮定する。その場合には、外国人のエージェントは登録応答に新しいチャレンジの拡張子を追加する前に、すべての外国ホーム認証拡張に伴い、登録応答からホームエージェントからの挑戦拡張子を削除しなければなりません。
One example of a situation where the foreign agent MAY omit the inclusion of a Mobile-Foreign Challenge extension in the Registration Reply would be when a new challenge has been multicast recently.
新しいチャレンジが、最近、マルチキャストされたとき、外国人のエージェントが登録応答でモバイル外国チャレンジ拡張子を含めることを省略してもよい(MAY)状況の一例は次のようになります。
If a foreign agent has conditions in which it omits the inclusion of a Mobile-Foreign Challenge extension in the Registration Reply, it still MUST respond with an agent advertisement containing a previously unused challenge in response to a subsequent agent solicitation from the same mobile node. Otherwise (when the said conditions are not met), the foreign agent MUST include a previously unused challenge in any Registration Reply, successful or not.
外国人のエージェントが登録応答におけるモバイル外国チャレンジ拡張子を含めることを省略する条件を持っている場合、それはまだ同じ移動ノードからのその後のエージェント要請に応じて、以前に使用されていない挑戦を含むエージェント広告で応じなければなりません。そうでない場合は(言った条件が満たされていない場合)は、外国人のエージェントが成功したかどうか任意の登録応答では、以前に使用されていない挑戦を含まなければなりません。
If the foreign agent does not remove the Challenge extension from the Registration Request received from the mobile node, then the foreign agent SHOULD store the Challenge value as part of the pending registration request list [RFC3344]. Also, if the Registration Reply coming from the home agent does not include the Challenge extension, the foreign agent SHOULD NOT reject the registration request. If the Challenge extension is present in the Registration Reply, it MUST be the same Challenge value that was included in the Registration Reply received from the home agent, the foreign agent MUST insert a Foreign Agent (FA) Error extension with Status value ha_wrong_challenge in the Registration Reply sent to the mobile node (see Section 10).
外部エージェントは、移動ノードから受信した登録要求からチャレンジ拡張を削除しない場合、外部エージェントは、保留中の登録要求リストの一部として、チャレンジ値を格納する必要があり、[RFC3344]。ホームエージェントからの登録応答がチャレンジ拡張子が含まれていない場合にも、外国人のエージェントは、登録要求を拒否すべきではありません。チャレンジ拡張子が登録応答に存在する場合、それはホームエージェントから受信した登録応答に含まれていた同じチャレンジ値でなければなりません、外国人のエージェントは、中ステータス値ha_wrong_challengeと外部エージェント(FA)エラー拡張を挿入しなければなりませんモバイルノードに送信された登録応答(セクション10を参照)。
A mobile node MUST be prepared to use a challenge from a unicast or multicast Agent Advertisement in lieu of one returned in a Registration Reply, and it MUST solicit for one if it has not already received one either in a Registration Reply or a recent advertisement.
モバイルノードは、1つの代わりに、ユニキャストまたはマルチキャストエージェント広告からの挑戦を使用するために準備しなければなりません登録応答で返され、それがすでに登録応答または最近の広告のいずれか1を受信していない場合には、いずれかの勧誘しなければなりません。
If the foreign agent receives a Registration Reply with the Code value ha_bad_aaa_auth, the Registration Reply with this Code value MUST be relayed to the mobile node. In this document, whenever the foreign agent is required to reject a Registration Request, it MUST put the given code in the usual Code field of the Registration Reply, unless the Registration Reply has already been received from the home agent. In this case, the foreign agent MUST preserve the value of the Code field set by the home agent and MUST put its own rejection code in the Status field of the FA Error extension (defined in [RFC4636]).
外国人のエージェントがコード値ha_bad_aaa_authで登録応答を受信した場合、このコード値を持つ登録応答は、モバイルノードに中継されなければなりません。外国人のエージェントが登録要求を拒否するために必要とされるときはいつでも登録応答が既にホームエージェントから受信されていない限り、このドキュメントでは、それは、登録応答の通常のコードフィールドに指定されたコードを置く必要があります。この場合、外部エージェントは、ホームエージェントによって設定されたコードフィールドの値を保存しなければなりませんし、([RFC4636]で定義された)FAエラー延長のStatusフィールドに独自の拒否コードを置く必要があります。
If the home agent receives a Registration Request with the Mobile-Foreign Challenge extension and recognizes the extension, the home agent MUST include the Challenge extension in the Registration Reply. The Challenge extension MUST be placed after the Mobile-Home authentication extension, and the extension SHOULD be authenticated by a Foreign-Home Authentication extension.
ホームエージェントは、モバイル・外国チャレンジ拡張子の登録リクエストを受信して、拡張子を認識した場合、ホームエージェントは登録応答でチャレンジ拡張を含まなければなりません。チャレンジの拡張子は、モバイル・ホーム認証拡張後に置かなければなりませんし、拡張子は外国ホーム認証拡張により認証されるべきです。
The home agent may receive a Registration Request with the Mobile-AAA Authentication extension. If the Mobile-AAA Authentication extension is used by the home agent as an authorization-enabling extension and the verification fails due to an incorrect authenticator, the home agent MAY reject the Registration Reply with the error code ha_bad_aaa_auth.
ホームエージェントは、モバイル-AAA認証拡張で登録リクエストを受け取ることができます。モバイル-AAA認証拡張を承認有効化拡張機能として、ホームエージェントによって使用され、検証が誤った認証システムに障害が発生している場合は、ホームエージェントはエラーコードha_bad_aaa_authで登録応答を拒否することがあります。
Since the extension type for the Challenge extension is within the range 128-255, the home agent MUST process such a Registration Request even if it does not recognize the Challenge extension [RFC3344]. In this case, the home agent will send a Registration Reply to the foreign agent that does not include the Challenge extension.
チャレンジ拡張のための拡張タイプが範囲128-255内にあるので、ホームエージェントは、それがチャレンジ拡張[RFC3344]を認識しない場合でも、このような登録リクエストを処理しなければなりません。この場合、ホームエージェントは、チャレンジ拡張子が含まれていない外国人のエージェントに登録応答を送信します。
A mobile node might receive the error code in the Registration Reply from the foreign agent as a response to the Registration Request. The error codes are defined in Section 10.
モバイルノードは、登録要求に対する応答として、外国人のエージェントからの登録応答にエラーコードを受け取ることがあります。エラーコードは、セクション10で定義されています。
In any case, if the mobile node attempts to register again after such an error, it MUST use a new Challenge value in such a registration, obtained either from an Agent Advertisement, or from a Challenge extension to the Registration Reply containing the error.
モバイルノードは、そのようなエラーが発生した後、再度登録しようとするとどのような場合に、それは、エージェント広告から、またはエラーを含む登録応答にチャレンジ拡張のいずれかから得られたこのような登録に新しいチャレンジ値を使用しなければなりません。
In the co-located care-of address mode, the mobile node receives a Registration Reply without the Challenge extension and processes the Registration Reply as specified in [RFC3344]. In this case, when the mobile node includes the MN-AAA Authentication Extension, the Challenge value 0 is recommended for the authenticator computation mentioned in Section 8.
同一位置気付アドレスモードにおいて、モバイルノードは、チャレンジ拡張なしで登録応答を受信して、[RFC3344]で指定されるように登録応答を処理します。モバイルノードは、MN-AAA認証拡張、チャレンジ値0が含まれている場合この場合、セクション8に記載されたオーセンティケータ計算のために推奨されます。
This section specifies a new Mobile IP Registration extension that is used to satisfy a Challenge in an Agent Advertisement. The Challenge extension to the Registration Request message is used to indicate the challenge that the mobile node is attempting to satisfy.
このセクションでは、エージェント広告に挑戦を満たすために使用される新しいモバイルIP登録の拡張子を指定します。 Registration Requestメッセージへの挑戦の拡張子は、モバイルノードが満足しようとしている課題を示すために使用されます。
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Type | Length | Challenge ...
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Figure 2. The Mobile-Foreign Challenge Extension
図2.モバイル外国チャレンジの機能拡張
Type:
タイプ:
132 (skippable). (See [RFC3344]).
132(スキップ可能)。 ([RFC3344]を参照)。
Length:
長さ:
Length of the Challenge value.
チャレンジ値の長さ。
Challenge:
チャレンジ:
The Challenge field is copied from the Challenge field found in the received Challenge extension.
チャレンジフィールドは、受信されたチャレンジの拡張子で見つかったチャレンジフィールドからコピーされます。
Suppose that the mobile node has successfully registered using one of the Challenge Values within the CHALLENGE_WINDOW values advertised by the foreign agent. In that case, in any new Registration Request the mobile node MUST NOT use any Challenge Value that was advertised by the foreign agent before the Challenge Value in the mobile node's last Registration Request.
モバイルノードが正常に外部エージェントによってアドバタイズCHALLENGE_WINDOW値内チャレンジ値のいずれかを使用して登録したと仮定する。その場合には、新たな登録要求に、移動ノードは、移動ノードの最後の登録要求にチャレンジ値の前に外国人のエージェントによってアドバタイズされたチャレンジ値を使用してはなりません。
Several new authentication extensions have been designed for various control messages proposed for extensions to Mobile IP. A new authentication extension is required for a mobile node to present its credentials to any other entity other than the ones already defined; the only entities defined in the base Mobile IP specification [RFC3344] are the home agent and the foreign agent. The purpose of the generalized authentication extension defined here is to collect together data for all such new authentication applications into a single extension type with subtypes.
いくつかの新しい認証の拡張機能は、モバイルIPへの拡張のために提案されている各種の制御メッセージのために設計されています。新しい認証拡張は、既に定義されたもの以外の任意の他のエンティティへの資格情報を提示するためにモバイルノードのために必要とされます。ベースのモバイルIP仕様[RFC3344]で定義された唯一のエンティティは、ホームエージェントと外部エージェントです。ここで定義された一般的な認証拡張の目的は、サブタイプを持つ単一の拡張型に一緒にこのようなすべての新しい認証アプリケーションのためのデータを収集することです。
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Type | Subtype | Length |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| SPI |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Authenticator ...
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Figure 3. The Generalized Mobile IP Authentication Extension
図3.汎用モバイルIP認証拡張機能
Type:
タイプ:
36 (not skippable). (See [RFC3344]).
36(スキップ可能ではありません)。 ([RFC3344]を参照)。
Subtype:
サブタイプ:
A number assigned to identify the kind of endpoints or other characteristics of the particular authentication strategy.
エンドポイントまたは特定の認証戦略の他の特性の種類を識別するために割り当てられた番号。
Length:
長さ:
4 plus the number of octets in the Authenticator; MUST be at least 20.
4プラス認証におけるオクテットの数。少なくとも20でなければなりません。
SPI:
SPI:
Security Parameters Index
セキュリティパラメータインデックス
Authenticator:
オーセンティケータ:
The variable length Authenticator field
可変長認証フィールド
In this document, only one subtype is defined:
この文書では、唯一のサブタイプが定義されています。
1 Mobile-AAA Authentication subtype (Hashed Message Authentication Code-MD5 (HMAC-MD5)) (see Section 6).
1モバイル-AAA認証のサブタイプ(ハッシュ・メッセージ認証コードMD5(HMAC-MD5))(第6節参照)。
The Generalized Authentication extension with subtype 1 will be referred to as a Mobile-AAA Authentication extension. The mobile node MAY include a Mobile-AAA Authentication extension in any Registration Request. This extension MAY co-exist in the same Registration Request with Authentication extensions defined for Mobile IP Registration ([RFC3344]). If the mobile node does not include a Mobile-Foreign Authentication extension, then it MUST include the Mobile-AAA Authentication extension whenever the Challenge extension is present. If both are present, the Mobile-AAA Authentication extension MUST precede the Mobile-Foreign Authentication extension.
サブタイプ1を有する一般認証拡張は、Mobile-AAA認証拡張と呼ぶことにします。モバイルノードは登録要求にモバイル-AAA認証拡張を含むかもしれません。この拡張は、モバイルIP登録([RFC3344])のために定義された認証拡張と同じ登録要求に同時存在することができます。モバイルノードは、モバイルフォーリン認証拡張が含まれていない場合チャレンジ拡張が存在しているときはいつでも、それはモバイル-AAA認証拡張を含まなければなりません。両方が存在する場合、モバイル-AAA認証拡張は、モバイルフォーリン認証拡張に先行しなければなりません。
If the Mobile-AAA Authentication extension is present, the Mobile-Home Authentication extension MUST appear prior to the Mobile-AAA Authentication extension. The corresponding response MUST include the Mobile-Home Authentication extension and MUST NOT include the Mobile-AAA Authentication extension.
モバイル-AAA認証拡張が存在する場合は、モバイル・ホーム認証拡張は、前モバイル-AAA認証拡張に現れなければなりません。対応する応答は、モバイル・ホーム認証拡張を含まなければならないし、モバイル-AAA認証拡張を含んではいけません。
The default algorithm for computation of the authenticator is HMAC-MD5 [RFC2104] computed on the following data, in the order shown:
オーセンティケータを計算するためのデフォルトのアルゴリズムは、示された順序で、HMAC-MD5 [RFC2104]は以下のデータで計算されます。
Preceding Mobile IP data || Type, Subtype, Length, SPI
モバイルIPデータを先行||タイプ、サブタイプ、長さ、SPI
where the Type, Length, Subtype, and SPI are as shown in Section 5. The Preceding Mobile IP data refers to the UDP payload (the Registration Request or Registration Reply data) and all prior extensions in their entirety. The resulting function call, as described in [RFC2104], would be:
タイプ、長さ、サブタイプ、およびSPIはセクション5に示すとおりである先行モバイルIPデータはUDPペイロード(登録要求又は登録応答データ)と、その全体がすべての前の拡張を指します。得られた関数呼び出しは、[RFC2104]に記載されているように、次のようになります。
hmac_md5(data, datalen, Key, KeyLength, authenticator);
HMACのMD5(データ、datalenを、キー、キー長、オーセンティケータ)。
Each mobile node MUST support the ability to produce the authenticator by using HMAC-MD5 as shown. Just as with Mobile IP, it must be possible to configure the use of any arbitrary 32-bit SPI outside of the SPIs in the reserved range 0-255 for selection of this default algorithm.
各モバイルノードは、図示のようにHMAC-MD5を使用して認証子を生成する能力をサポートしなければなりません。ちょうどモバイルIPと同様に、このデフォルトのアルゴリズムの選択のために予約0〜255の範囲内のSPIの外側任意の32ビットSPIの使用を構成することが可能でなければなりません。
Mobile IP defines several authentication extensions for use in Registration Requests and Replies. Each authentication extension carries a Security Parameters Index (SPI) that should be used to index a table of security associations. Values in the range 0-255 are reserved for special use. A list of reserved SPI numbers is to be maintained by IANA at the following URL:
モバイルIPは、登録要求と応答で使用するためのいくつかの認証の拡張機能を定義します。各認証拡張は、インデックスにセキュリティアソシエーションのテーブルを使用しなければならないセキュリティパラメータインデックス(SPI)を運びます。 0から255の範囲の値は、特別な使用のために予約されています。予約済みのSPI番号のリストは、次のURLでIANAによって維持されます。
http://www.iana.org/assignments/mobileip-numbers
hっtp://wっw。いあな。おrg/あっしgんめんts/もびぇいpーぬmべrs
Some AAA servers only admit a single security association and thus do not use the SPI numbers for Mobile IP authentication extensions for use when determining the security association that would be necessary for verifying the authentication information included with the Authentication extension.
一部のAAAサーバーのみ認証拡張に含まれる認証情報を検証するために必要となるセキュリティアソシエーションを決定する際に使用するためのモバイルIP認証拡張のためのSPI番号を使用していないため、単一のセキュリティアソシエーションを認めると。
SPI number CHAP_SPI (see Section 9) is reserved for indicating the following procedure for computing authentication data (called the "authenticator"), which is used by many RADIUS servers [RFC2865] today.
SPI番号CHAP_SPI(セクション9を参照)は、多くのRADIUSサーバ[RFC2865]今日で使用される(「認証者」と呼ばれる)の認証データを計算するため、以下の手順を示すために予約されています。
To compute the authenticator, apply MD5 [RFC1321] computed on the following data, in the order shown:
オーセンティケータを計算するために、以下のデータで計算MD5 [RFC1321]は示された順序で適用されます。
High-order octet from Challenge || Key ||
チャレンジから上位オクテット||キー||
MD5(Preceding Mobile IP data ||
MD5(モバイルIPデータを先行||
Type, Subtype (if present), Length, SPI) ||
タイプ、サブタイプ(存在する場合)、長さ、SPI)||
Least-order 237 octets from Challenge
少なくとも次の挑戦から237個のオクテット
where Type, Length, SPI, and possibly Subtype are the fields of the authentication extension in use. For instance, all four of these fields would be in use when SPI == CHAP_SPI is used with the Generalized Authentication extension. In case of co-located care-of address, the Challenge value 0 is used (refer to Section 3.5). Since the RADIUS protocol cannot carry attributes of length greater than 253, the preceding Mobile IP data, type, subtype (if present), length, and SPI are hashed using MD5. Finally, the least significant 237 octets of the challenge are concatenated. If the challenge has fewer than 238 octets, this algorithm includes the high-order octet in the computation twice but ensures that the challenge is used exactly as is. Additional padding is never used to increase the length of the challenge; the input data is allowed to be shorter than 237 octets long.
どこタイプ、長さ、SPI、そしておそらくサブタイプは、使用中の認証拡張のフィールドがあります。 SPI == CHAP_SPIを一般認証拡張で使用される場合、例えば、これらの分野のすべての4つが使用中であろう。同一位置気付アドレスの場合には、チャレンジ値0は(セクション3.5を参照)が使用されます。 RADIUSプロトコルは、253を超える長さの属性を運ぶことができないので、前のモバイルIPデータ、タイプ、サブタイプ(存在する場合)、長さ、及びSPIはMD5を使用してハッシュされます。最後に、挑戦の最下位237個のオクテットが連結されています。課題は、より少ない238個のオクテットを持っている場合は、このアルゴリズムは、二回の計算で上位オクテットを含むが、チャレンジが正確であるとして使用されることを保証します。追加のパディングは挑戦の長さを増大させるために使用されることはありません。入力されたデータは、237オクテット長よりも短くすることが許可されています。
Every Mobile IP agent supporting the extensions defined in this document SHOULD be able to configure each parameter in the following table. Each table entry contains the name of the parameter, the default value, and the section of the document in which the parameter first appears.
この文書で定義された拡張をサポートするすべてのモバイルIPエージェントは、次の表に、各パラメータを設定することができるべきです。各テーブルエントリは、パラメータの名前、デフォルト値、およびパラメータが最初に現れる文書のセクションが含まれています。
+------------------+---------------+---------------------+
| Parameter Name | Default Value | Section of Document |
+------------------+---------------+---------------------+
| CHALLENGE_WINDOW | 2 | 3.2 |
| | | |
| CHAP_SPI | 2 | 8 |
+------------------+---------------+---------------------+
Table 1. Configurable Parameters
表1.設定可能なパラメータ
Note that CHALLENGE_WINDOW SHOULD be at least 2. This makes it far less likely that mobile nodes will register using a Challenge value that is outside the set of values allowable by the foreign agent.
そのCHALLENGE_WINDOWこれは、それははるかに少ない可能性が高いモバイルノードが外国人のエージェントによって許容値のセットの外にあるチャレンジ値を使用して登録されることになり、少なくとも2ある必要があります。
Each entry in the following table contains the name of the Code [RFC3344] to be returned in a Registration Reply, the value for the Code, and the section in which the error is mentioned in this specification.
次の表の各エントリは登録応答で返されるコード[RFC3344]の名前が含まれている、コード値、および誤差は、本明細書に記載されているセクション。
+--------------------+-------+--------------------------+
| Error Name | Value | Section of Document |
+--------------------+-------+--------------------------+
| unknown_challenge | 104 | 3.2 |
| | | |
| mobile node failed | 67 | 3.2; also see [RFC3344] |
| authentication | | |
| | | |
| missing_challenge | 105 | 3.1, 3.2 |
| | | |
| stale_challenge | 106 | 3.2 |
| | | |
| fa_bad_aaa_auth | 108 | 3.2 |
| | | |
| ha_bad_aaa_auth | 144 | 3.4 |
| | | |
| ha_wrong_challenge | 109 | 3.2 |
+--------------------+-------+--------------------------+
Table 2. Error Values
表2エラー値
The following are currently assigned by IANA for RFC 3012 [RFC3012] and are applicable to this document. IANA has recorded these values as part of this document.
現在、RFC 3012 [RFC3012]のためにIANAによって割り当てられ、この文書に適用される次のとおりです。 IANAは、この文書の一部として、これらの値を記録しています。
The Generalized Mobile IP Authentication extension defined in Section 5 is a Mobile IP registration extension. IANA has assigned a value of 36 for this extension.
セクション5で定義された一般化されたモバイルIP認証拡張は、モバイルIP登録拡張です。 IANAは、この拡張のために36の値を割り当てました。
A new number space is to be created for enumerating subtypes of the Generalized Authentication extension (see Section 5). New subtypes of the Generalized Authentication extension, other than the number (1) for the MN-AAA authentication extension specified in Section 6, must be specified and approved by a designated expert.
新しい番号空間は一般認証拡張のサブタイプを列挙するために作成される(第5章を参照してください)。数以外の一般認証拡張の新しいサブタイプは、(1)第6節で指定されたMN-AAA認証拡張のために、指定されなければならないと指定された専門家によって承認されました。
The Mobile Node - Foreign Agent (MN-FA) Challenge extension, defined in Section 4, is a router advertisement extension as defined in RFC 1256 [RFC1256] and extended in RFC 3344 [RFC3344]. IANA has assigned a value of 132 for this purpose.
モバイルノード - [RFC1256] RFC 1256で定義されており、RFC 3344 [RFC3344]に拡張されるようセクション4で定義された外部エージェント(MN-FA)チャレンジ拡張は、ルータ広告拡張です。 IANAは、この目的のために132の値を割り当てています。
The Code values defined in Section 10 are error codes as defined in RFC 3344 ([RFC3344]). They correspond to error values conventionally associated with rejection by the foreign agent (i.e., values from the range 64-127). The Code value 67 is a pre-existing value that is to be used in some cases with the extension defined in this specification. IANA has recorded the values as defined in Section 10.
RFC 3344([RFC3344])で定義されるように、セクション10で定義されたコード値はエラーコードです。彼らは、従来の外部エージェントによって拒絶に関連した値を誤差に対応する(すなわち、範囲64-127からの値)。コード値67は、この仕様で定義された拡張子を持ついくつかのケースで使用される既存の値です。セクション10で定義されるようにIANAは、値を記録しています。
A new section for enumerating algorithms identified by specific SPIs within the range 0-255 has been added by IANA. The CHAP_SPI number (2) discussed in Section 8 is assigned from this range of reserved SPI numbers. New assignments from this reserved range must be specified and approved by the Mobile IP working group. SPI number 1 should not be assigned unless in the future the Mobile IP working group decides that SKIP is not important for enumeration in the list of reserved numbers. SPI number 0 should not be assigned.
0から255の範囲内の特定のSPIによって識別アルゴリズムを列挙するための新しいセクションは、IANAによって追加されています。 CHAP_SPI番号(2)セクション8で説明したが予約SPI番号のこの範囲から割り当てられます。この予約された範囲からの新しい割り当てが指定されており、モバイルIPワーキンググループによって承認されなければなりません。将来的にはモバイルIPワーキンググループは、SKIPが予約番号のリストに列挙のために重要ではないと判断しない限り、SPI番号1を割り当てるべきではありません。 SPI番号0が割り当てられるべきではありません。
Additionally, the new error codes fa_bad_aaa_auth, ha_bad_aaa_auth, and ha_wrong_challenge are defined by this document. Among these, ha_wrong_challenge may appear in the Status code of the FA Error extension, defined in [RFC4636].
さらに、新しいエラーコードがha_bad_aaa_auth、fa_bad_aaa_auth、およびha_wrong_challengeは、この文書で定義されています。これらのうち、ha_wrong_challengeは、[RFC4636]で定義され、FAエラー延長のステータスコードで表示されることがあります。
In the event that a malicious mobile node attempts to replay the authenticator for an old Mobile-Foreign Challenge, the foreign agent would detect it, since the agent always checks whether it has recently advertised the Challenge (see Section 3.2). Allowing mobile nodes with different IP addresses or NAIs to use the same Challenge value does not represent a security vulnerability, as the authentication data provided by the mobile node will be computed over data that is different (at least the mobile node's IP address will vary).
エージェントは常にそれが最近(3.2節を参照)の挑戦を広告しているかどうかをチェックするため、悪質なモバイルノードが古いモバイル外国チャレンジのためのオーセンティケータを再生しようとした場合には、外国人のエージェントは、それを検出します。モバイルノードによって提供された認証データが異なるデータにわたって計算されるように、異なるIPアドレスまたはのNAIを有するモバイルノードが同じチャレンジ値を使用することを可能にすることは、セキュリティ上の脆弱性を表していない(少なくとも移動ノードのIPアドレスが変化するであろう) 。
If the foreign agent chooses a Challenge value (see Section 2) with fewer than 4 octets, the foreign agent SHOULD include the value of the Identification field in the records it maintains for the mobile node. The foreign agent can then determine whether the Registration messages using the short Challenge value are in fact unique and thus assuredly not replayed from any earlier registration.
外部エージェントが少ないより4つのオクテットでチャレンジ値(セクション2を参照)を選択した場合、外部エージェントは、移動ノードのために維持するレコード内の識別フィールドの値を含むべきです。外国人のエージェントは、短いチャレンジ値を使用して登録メッセージは、実際にはユニークなので、確実に以前の登録から再生されないかどうかを判断することができます。
Section 8 (SPI For RADIUS AAA Servers) defines a method of computing the Generalized Mobile IP Authentication extension's authenticator field, using MD5 in a manner that is consistent with RADIUS [RFC2865]. The use of MD5 in the method described in Section 8 is less secure than HMAC-MD5 [RFC2104] and MUST be avoided whenever possible.
セクション8(SPIについてはRADIUS AAAサーバ)RADIUS [RFC2865]と一致するようにMD5を使用して、汎用モバイルIP認証拡張の認証子フィールドを計算する方法を定義します。セクション8に記載された方法でMD5を使用することは、HMAC-MD5 [RFC2104]よりも安全であり、可能な限り避けなければなりません。
Note that an active attacker may try to prevent successful registrations by sending a large number of Agent Solicitations or bogus Registration Requests, each of which could cause the foreign agent to respond with a fresh challenge, invalidating the challenge that the MN is currently trying to use. To prevent such attacks, the foreign agent MUST NOT invalidate previously unused challenges when responding to unauthenticated Registration Requests or Agent Solicitations. In addition, the foreign agent MUST NOT allocate new storage when responding to such messages, as this would also create the possibility of denial of service.
アクティブな攻撃者はエージェント要請または偽の登録要求を大量に送信することで成功した登録を防ぐために試みることに注意してください、外国人のエージェントは、新鮮な課題に対応する可能性があり、それぞれが、MNが現在使用しようとしている課題を無効にします。認証されていない登録要求またはエージェント要請に応答するときに、このような攻撃を防ぐために、外国人のエージェントは、以前に使用されていない課題を無効にしてはなりません。このようなメッセージに応答するときに、これはまた、サービス拒否の可能性を作成して加えて、外国人のエージェントは、新しいストレージを割り当ててはなりません。
The Challenge extension specified in this document need not be used for co-located care-of address mode. In this case, replay protection is provided by the Identification field in the Registration Request message [RFC3344].
この文書で指定されたチャレンジの拡張子は、同じ場所に配置さ気付アドレスモードを使用する必要はありません。この場合、リプレイ保護はRegistration Requestメッセージ[RFC3344]における識別フィールドによって提供されます。
The Generalized Mobile IP Authentication extension includes a subtype field that is used to identify characteristics of the particular authentication strategy. This document only defines one subtype, the Mobile-AAA Authentication subtype that uses HMAC-MD5. If it is necessary to move to a new message authentication algorithm in the future, this could be accomplished by defining a new subtype that uses a different one.
汎用モバイルIP認証拡張は、特定の認証戦略の特性を識別するために使用されるサブタイプフィールドを含みます。この文書は、唯一のサブタイプ、HMAC-MD5を使用してモバイル-AAA認証のサブタイプを定義します。それが将来的に新しいメッセージ認証アルゴリズムに移動させる必要がある場合、これは別のものを使用する新しいサブタイプを定義することによって達成することができます。
The authors would like to thank Pete McCann, Ahmad Muhanna, Henrik Levkowetz, Kent Leung, Alpesh Patel, Madjid Nakhjiri, Gabriel Montenegro, Jari Arkko, and other MIP4 WG participants for their useful discussions.
著者は彼らの有益な議論のためのピートマッキャン、アフマドMuhanna、ヘンリクLevkowetz、ケントレオン、Alpeshパテル、マジドNakhjiri、ガブリエルモンテネグロ、ヤリArkko、および他のMIP4 WGの参加者に感謝したいと思います。
[RFC1256] Deering, S., "ICMP Router Discovery Messages", RFC 1256, September 1991.
[RFC1256]デアリング、S.、 "ICMPルータ発見メッセージ"、RFC 1256、1991年9月。
[RFC1321] Rivest, R., "The MD5 Message-Digest Algorithm", RFC 1321, April 1992.
[RFC1321]のRivest、R.、 "MD5メッセージダイジェストアルゴリズム"、RFC 1321、1992年4月。
[RFC1994] Simpson, W., "PPP Challenge Handshake Authentication Protocol (CHAP)", RFC 1994, August 1996.
[RFC1994]シンプソン、W.、 "PPPチャレンジハンドシェイク認証プロトコル(CHAP)"、RFC 1994、1996年8月。
[RFC2104] Krawczyk, H., Bellare, M., and R. Canetti, "HMAC: Keyed-Hashing for Message Authentication", RFC 2104, February 1997.
[RFC2104] Krawczyk、H.、ベラー、M.、およびR.カネッティ、 "HMAC:メッセージ認証のための鍵付きハッシュ化"、RFC 2104、1997年2月。
[RFC2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, March 1997.
[RFC2119]ブラドナーの、S.、 "要件レベルを示すためにRFCsにおける使用のためのキーワード"、BCP 14、RFC 2119、1997年3月。
[RFC2865] Rigney, C., Willens, S., Rubens, A., and W. Simpson, "Remote Authentication Dial In User Service (RADIUS)", RFC 2865, June 2000.
[RFC2865] Rigney、C.、ウィレンス、S.、ルーベン、A.、およびW.シンプソン、RFC 2865、2000年6月 "ユーザーサービス(RADIUS)でリモート認証ダイヤル"。
[RFC2794] Calhoun, P. and C. Perkins, "Mobile IP Network Access Identifier Extension for IPv4", RFC 2794, March 2000.
[RFC2794]カルフーン、P.とC.パーキンス、 "IPv4のモバイルIPネットワークアクセス識別子拡張"、RFC 2794、2000年3月。
[RFC3012] Perkins, C. and P. Calhoun, "Mobile IPv4 Challenge/Response Extensions", RFC 3012, November 2000.
[RFC3012]パーキンス、C.およびP.カルフーン、 "モバイルIPv4チャレンジ/レスポンス拡張機能"、RFC 3012、2000年11月。
[RFC3344] Perkins, C., "IP Mobility Support for IPv4", RFC 3344, August 2002.
[RFC3344]パーキンス、C.、 "IPv4のIPモビリティサポート"、RFC 3344、2002年8月。
[RFC4086] Eastlake, D., 3rd, Schiller, J., and S. Crocker, "Randomness Requirements for Security", BCP 106, RFC 4086, June 2005.
[RFC4086]イーストレーク、D.、3、シラー、J.、およびS.クロッカー、 "セキュリティのためのランダム要件"、BCP 106、RFC 4086、2005年6月。
[RFC4636] Perkins, C., "Foreign Agent Error Extension for Mobile IPv4", RFC 4636, October 2006.
[RFC4636]パーキンス、C.、 "モバイルIPv4のための外部エージェント誤り拡大"、RFC 4636、2006年10月。
Appendix A. Changes since
付録A.からの変更点
The following is the list of changes from RFC 3012 ([RFC3012]):
以下は、RFC 3012([RFC3012])から変更のリストです。
o Foreign agent recommended to include a Challenge in every Registration Reply, so that mobile node can re-register without waiting for an Advertisement.
O外国人のエージェントは、モバイルノードが広告を待たずに再登録することができるように、すべての登録応答でチャレンジを含めることをお勧め。
o Foreign agent MUST record applicable challenge values used by each mobile node.
O外部エージェントは、各移動ノードが使用する該当挑戦値を記録しなければなりません。
o Mobile node forbidden to use Challenge values which were advertised previous to the last Challenge value which it had used for a registration.
Oモバイルノードが登録に使用した最後のチャレンジ値に前アドバタイズされたチャレンジ値を使用することを禁止。
o Challenge definitions are cleaned up.
Oチャレンジ定義がクリーンアップされます。
o Programming suggestion added as an appendix.
Oプログラミングの提案は付録として追加しました。
o HMAC_CHAP_SPI option is added for Generalized Mobile IP Authentication extension. Upon receipt of HMAC_CHAP_SPI, HMAC-MD5 is used instead of MD5 for computing the authenticator.
O HMAC_CHAP_SPIオプションは汎用モバイルIP認証拡張のために追加されます。 HMAC_CHAP_SPIを受信すると、HMAC-MD5は、オーセンティケータを計算する代わりにMD5を使用します。
o Added fa_bad_aaa_auth and ha_bad_aaa_auth error codes to report authentication errors caused while processing Mobile-AAA Authentication extension. Also, added the error code ha_wrong_challenge to indicate that Challenge value differs in the Registration Reply received from the home agent compare to the one sent to the home agent in the Registration Request.
モバイル-AAA認証拡張機能の処理中にO認証エラーをレポートに追加fa_bad_aaa_authとha_bad_aaa_authエラーコードが生じ。また、そのチャレンジ値は、登録要求にホームエージェントに送信されたものに比較し、ホームエージェントから受信した登録応答に違いを示すために、エラーコードha_wrong_challengeを追加しました。
o Processing of the Mobile-AAA Authentication extension is clarified for the foreign agent and the home agent.
モバイル-AAA認証拡張のO処理は、外部エージェントとホームエージェントのために明らかにしています。
o Co-existence of the Mobile-AAA Authentication extension in the same Registration Request is made explicit.
同じ登録要求にモバイル-AAA認証拡張のO共存が明示的に行われています。
o The situation in which the foreign agent sets missing_challenge is clarified further.
oを外国人のエージェントがmissing_challengeを設定する状況がさらに明確化されます。
o The use of Mobile-AAA Authentication extension is allowed by the mobile node with co-located care-of address.
oをモバイル-AAA認証拡張の使用は、同一位置気付アドレスとモバイルノードによって許可されています。
o Added protection against bogus Registration Reply and Agent Advertisement. Also, the processing of the Challenge is clarified if it is received in the multicast/unicast Agent Advertisement.
O偽の登録応答およびエージェント広告に対する保護を追加しました。それは、マルチキャスト/ユニキャストエージェント広告で受信された場合にも、チャレンジの処理が明らかになりました。
o Added reference of FA Error extension in the References section and also updated relevant text in section 3.2 and section 11.
O参考資料のセクションでFAエラー延長の参照を追加しましたし、また、セクション3.2とセクション11内の該当テキストを更新しました。
Appendix B. Verification Infrastructure
付録B.検証インフラストラクチャ
The Challenge extensions in this protocol specification are expected to be useful to help the foreign agent manage connectivity for visiting mobile nodes, even in situations where the foreign agent does not have any security association with the mobile node or the mobile node's home agent. In order to carry out the necessary authentication, it is expected that the foreign agent will need the assistance of external administrative systems, which have come to be called AAA systems. For the purposes of this document, we call the external administrative support the "verification infrastructure". The verification infrastructure is described to motivate the design of the protocol elements defined in this document and is not strictly needed for the protocol to work. The foreign agent is free to use any means at its disposal to verify the credentials of the mobile node. It could, for instance, rely on a separate protocol between the foreign agent and the Mobile IP home agent and still not require any modification to the mobile node.
このプロトコル仕様でのチャレンジの拡張子であっても外国人のエージェントは、モバイルノードまたはモバイルノードのホームエージェントとの任意のセキュリティ関連を持っていない状況では、外国人のエージェントがモバイルノードを訪問して、接続を管理しやすくするために有用であると期待されています。必要な認証を行うためには、外国人のエージェントがAAAシステムと呼ばれるようになってきた外部の行政システムの支援が必要になることが期待されます。このドキュメントの目的のために、私たちは「検証インフラ」外部管理サポートを呼び出します。検証インフラストラクチャは、この文書で定義されたプロトコル要素の設計をやる気にさせる記述されており、プロトコルが動作するために厳密に必要とされていません。外国人のエージェントは、モバイルノードの資格情報を確認するために、その処分であらゆる手段を使用して自由です。それは、例えば、外国人のエージェントとモバイルIPホームエージェントとの間の別のプロトコルに依存していると、まだモバイルノードに変更を加える必要はありませんでした。
In order to verify the credentials of the mobile node, we assume that the foreign agent has access to a verification infrastructure that can return a secure notification to the foreign agent that the authentication has been performed, along with the results of that authentication. This infrastructure may be visualized as shown in Figure 4.
モバイルノードの資格情報を確認するために、我々は外国人のエージェントが認証は、認証の結果とともに、実行された外国人のエージェントに安全な通知を返すことができ、検証インフラストラクチャへのアクセスを持っていることを前提としています。図4に示すように、このインフラストラクチャを可視化することができます。
+----------------------------------------------------+
| |
| Verification and Key Management Infrastructure |
| |
+----------------------------------------------------+
^ | ^ |
| | | |
| v | v
+---------------+ +---------------+
| | | |
| foreign agent | | home agent |
| | | |
+---------------+ +---------------+
Figure 4. The Verification Infrastructure
検証インフラストラクチャ4.図
After the foreign agent gets the Challenge authentication, it MAY pass the authentication to the (here unspecified) infrastructure and await a Registration Reply. If the Reply has a positive status (indicating that the registration was accepted), the foreign agent accepts the registration. If the Reply contains the Code value
外国人のエージェントは、チャレンジ認証を取得した後、それは(ここでは、不特定の)インフラストラクチャへの認証に合格し、登録応答を待つかもしれません。応答が肯定のステータス(登録が受け入れられたことを示す)を有している場合、外部エージェントは、登録を受け付けます。返信は、コード値が含まれている場合
BAD_AUTHENTICATION (see Section 10), the foreign agent takes actions indicated for rejected registrations.
BAD_AUTHENTICATION(セクション10を参照)、外国人のエージェントが拒否登録に示されたアクションを実行します。
Implicit in this picture is the important observation that the foreign agent and the home agent have to be equipped to make use of whatever protocol is required by the challenge verification and key management infrastructure shown in the figure.
この写真の暗黙のは、外国人のエージェントとホームエージェントは、図に示すチャレンジ検証と鍵管理インフラストラクチャによって必要とされるものは何でもプロトコルを利用するために装備する必要がある重要な観察です。
The protocol messages for handling the authentication within the verification infrastructure and the identity of the agent performing the verification of the foreign agent challenge are not specified in this document, as those operations do not have to be performed by any Mobile IP entity.
これらの操作は、任意のモバイルIPエンティティによって実行される必要はないとして検証インフラストラクチャ内の認証および外部エージェントチャレンジの検証を行うエージェントのIDを処理するためのプロトコルメッセージは、この文書で指定されていません。
Appendix C. Message Flow for FA Challenge Messaging with Mobile-AAA Extension
モバイル-AAA拡張子を持つFAチャレンジメッセージングの付録C.メッセージフロー
MN FA Verification home agent
|<-- Adv+Challenge--| Infrastructure |
| (if needed) | | |
| | | |
|-- RReq+Challenge->| | |
| + Auth.Ext. | | |
| | Auth. Request, incl. | |
| |--- RReq + Challenge --->| |
| | + Auth.Ext | RReq + |
| | |-- Challenge -->|
| | | |
| | | |
| | |<--- RRep ----- |
| | Authorization, incl. | |
| |<-- RRep + Auth.Ext.-----| |
| | | |
|<-- RRep+Auth.Ext--| | |
| + New Challenge | | |
Figure 5. Message Flows for FA Challenge Messaging
図5.メッセージFAチャレンジメッセージングのためのフロー
In Figure 5, the following informational message flow is illustrated:
図5では、次の情報メッセージフローが示されています。
1. The foreign agent includes a Challenge Value in a unicast Agent Advertisement, if needed. This advertisement MAY have been produced after receiving an Agent Solicitation from the mobile node (not shown in the diagram).
1.必要に応じて、外国人のエージェントは、ユニキャストエージェント広告でチャレンジ値を含んでいます。この広告は、モバイルノード(図示せず)からエージェント要請を受信した後に生成されていてもよいです。
2. The mobile node creates a Registration Request including the advertised Challenge Value in the Challenge extension, along with a Mobile-AAA authentication extension.
前記モバイルノードは、モバイル-AAA認証拡張とともに、チャレンジ拡張でアドバタイズチャレンジ値を含む登録要求を作成します。
3. The foreign agent relays the Registration Request either to the home agent specified by the mobile node or to its locally configured Verification Infrastructure (see Appendix B), according to local policy.
3.外国人のエージェントがいずれかの移動ノードまたはそのローカルに設定された検証インフラストラクチャに指定されたホームエージェントに登録要求を中継ローカルポリシーに従って、(付録Bを参照してください)。
4. The foreign agent receives a Registration Reply with the appropriate indications for authorizing connectivity for the mobile node.
4.外部エージェントは、モバイルノードの接続を許可するための適切な指標を有する登録応答を受信します。
5. The foreign agent relays the Registration Reply to the mobile node, often along with a new Challenge Value to be used by the mobile node in its next Registration Request message.
5.外国人のエージェントは、その次の登録要求メッセージ内のモバイルノードによって使用されることが多いの新しいチャレンジ値とともに、モバイルノードへの登録応答を中継します。
Appendix D. Message Flow for FA Challenge Messaging with MN-FA Authentication
MN-FA認証でFAチャレンジメッセージングの付録D.メッセージフロー
MN FA home agent
|<-- Adv+Challenge--| |
| (if needed) | |
| | |
|-- RReq+Challenge->| |
| + Auth.Ext. | |
| |--- RReq + Challenge --->|
| | + HA-FA Auth.Ext |
| | |
| |<-- RRep + Challenge ----|
| | + HA-FA Auth.Ext |
| | |
|<-- RRep+Auth.Ext--| |
| + New Challenge | |
Figure 6. Message Flows for FA Challenge Messaging with MN-FA Authentication
図6.メッセージは、MN-FA認証でFAチャレンジメッセージングのためのフロー
In Figure 6, the following informational message flow is illustrated:
図6に、次の情報メッセージフローが示されています。
1. The foreign agent disseminates a Challenge Value in an Agent Advertisement, if needed. This advertisement MAY have been produced after receiving an Agent Solicitation from the mobile node (not shown in the diagram).
1.必要に応じて、外国人のエージェントは、エージェント広告にチャレンジ値を発信しています。この広告は、モバイルノード(図示せず)からエージェント要請を受信した後に生成されていてもよいです。
2. The mobile node creates a Registration Request including the advertised Challenge Value in the Challenge extension, along with a Mobile-Foreign Authentication extension.
前記モバイルノードは、モバイルフォーリン認証拡張とともに、チャレンジ拡張でアドバタイズチャレンジ値を含む登録要求を作成します。
3. The foreign agent relays the Registration Request to the home agent specified by the mobile node.
3.外国人のエージェントは、モバイルノードによって指定されたホームエージェントへの登録要求を中継します。
4. The foreign agent receives a Registration Reply with the appropriate indications for authorizing connectivity for the mobile node.
4.外部エージェントは、モバイルノードの接続を許可するための適切な指標を有する登録応答を受信します。
5. The foreign agent relays the Registration Reply to the mobile node, possibly along with a new Challenge Value to be used by the mobile node in its next Registration Request message. If the Reply contains the Code value ha_bad_aaa_auth (see Section 10), the foreign agent takes actions indicated for rejected registrations.
5.外部エージェントは、おそらくその次Registration Requestメッセージにモバイルノードによって使用される新しいチャレンジ値とともに、モバイルノードへの登録応答を中継します。返信(セクション10を参照)、コード値ha_bad_aaa_authが含まれている場合は、外国人のエージェントが拒否登録に示されたアクションを実行します。
Appendix E. Example Pseudo-Code for Tracking Used Challenges
付録E.例擬似コード使用済みの課題を追跡するための
current_chal := RegistrationRequest.challenge_extension_value last_chal := mobile_node_record.last_used_adv_chal
current_chal:= RegistrationRequest.challenge_extension_value last_chal:= mobile_node_record.last_used_adv_chal
if (current_chal == mobile_node_record.RegReply_challenge) { update (mobile_node_record, current_chal) return (OK) } else if (current_chal "among" VALID_ADV_CHALLENGES[]{ if (last_chal "among" VALID_ADV_CHALLENGES[]) { if (current_chal is "before" last_chal) { send_error(STALE_CHALLENGE) return (FAILURE) } else { update (mobile_node_record, current_chal) return (OK) } } else { update (mobile_node_record, current_chal) return (OK) } } else { send_error(UNKNOWN_CHALLENGE); }
そうであれば(current_chal == mobile_node_record.RegReply_challenge){更新(mobile_node_record、current_chal)リターン(OK)} VALID_ADV_CHALLENGES [] {{(last_chal)VALID_ADV_CHALLENGES [] "の間で" IF "のうちの"(current_chalは(current_chalは "前" である場合、場合last_chal){SEND_ERROR(STALE_CHALLENGE)リターン(FAILURE)}他{更新(mobile_node_record、current_chal)リターン(OK)}}そうでなければ{更新(mobile_node_record、current_chal)リターン(OK)}}そうでなければ{SEND_ERROR(UNKNOWN_CHALLENGE);}
Authors' Addresses
著者のアドレス
Charles E. Perkins Nokia Research Center Communications Systems Lab 313 Fairchild Drive Mountain View, California 94043
チャールズE.パーキンスノキア・リサーチセンター通信システム研究所313フェアチャイルドドライブマウンテンビュー、カリフォルニア94043
Phone: +1 650 625-2986 EMail: charles.perkins@nokia.com
電話:+1 650 625-2986 Eメール:charles.perkins@nokia.com
Pat R. Calhoun Cisco Systems, Inc. 170 West Tasman Drive San Jose, CA 95134
パットR.カルフーンシスコシステムズ、株式会社170西タスマン・ドライブサンノゼ、CA 95134
Phone: +1 408-853-5269 EMail: pcalhoun@cisco.com
電話:+1 408-853-5269電子メール:pcalhoun@cisco.com
Jayshree Bharatia Nortel Networks 2221, Lakeside Blvd Richardson, TX 75082
Jayshree Bharatiaノーテルネットワークス2221、レイクサイドブルバードリチャードソン、TX 75082
Phone: +1 972-684-5767 EMail: jayshree@nortel.com
電話:+1 972-684-5767電子メール:jayshree@nortel.com
Full Copyright Statement
完全な著作権声明
Copyright (C) The IETF Trust (2007).
著作権(C)IETFトラスト(2007)。
This document is subject to the rights, licenses and restrictions contained in BCP 78, and except as set forth therein, the authors retain all their rights.
この文書では、BCP 78に含まれる権利と許可と制限の適用を受けており、その中の記載を除いて、作者は彼らのすべての権利を保有します。
This document and the information contained herein are provided on an "AS IS" basis and THE CONTRIBUTOR, THE ORGANIZATION HE/SHE REPRESENTS OR IS SPONSORED BY (IF ANY), THE INTERNET SOCIETY, THE IETF TRUST, AND THE INTERNET ENGINEERING TASK FORCE DISCLAIM ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
この文書およびここに含まれる情報は、上に提供される基礎とCONTRIBUTOR、ORGANIZATION彼/彼女が表すOR(もしあれば)後援が「そのまま」、インターネット学会、IETFトラスト、インターネットエンジニアリングタスクフォース放棄情報の利用は、特定の目的に対する権利または商品性または適合性の黙示の保証を侵害しない任意の保証含むがこれらに限定されないすべての保証、明示または黙示、。
Intellectual Property
知的財産
The IETF takes no position regarding the validity or scope of any Intellectual Property Rights or other rights that might be claimed to pertain to the implementation or use of the technology described in this document or the extent to which any license under such rights might or might not be available; nor does it represent that it has made any independent effort to identify any such rights. Information on the procedures with respect to rights in RFC documents can be found in BCP 78 and BCP 79.
IETFは、本書またはそのような権限下で、ライセンスがたりないかもしれない程度に記載された技術の実装や使用に関係すると主張される可能性があります任意の知的財産権やその他の権利の有効性または範囲に関していかなる位置を取りません利用可能です。またそれは、それがどのような権利を確認する独自の取り組みを行ったことを示すものでもありません。 RFC文書の権利に関する手続きの情報は、BCP 78およびBCP 79に記載されています。
Copies of IPR disclosures made to the IETF Secretariat and any assurances of licenses to be made available, or the result of an attempt made to obtain a general license or permission for the use of such proprietary rights by implementers or users of this specification can be obtained from the IETF on-line IPR repository at http://www.ietf.org/ipr.
IPRの開示のコピーが利用できるようにIETF事務局とライセンスの保証に行われた、または本仕様の実装者または利用者がそのような所有権の使用のための一般的なライセンスまたは許可を取得するために作られた試みの結果を得ることができますhttp://www.ietf.org/iprのIETFのオンラインIPRリポジトリから。
The IETF invites any interested party to bring to its attention any copyrights, patents or patent applications, or other proprietary rights that may cover technology that may be required to implement this standard. Please address the information to the IETF at ietf-ipr@ietf.org.
IETFは、その注意にこの標準を実装するために必要とされる技術をカバーすることができる任意の著作権、特許または特許出願、またはその他の所有権を持ってすべての利害関係者を招待します。 ietf-ipr@ietf.orgのIETFに情報を記述してください。
Acknowledgement
謝辞
Funding for the RFC Editor function is currently provided by the Internet Society.
RFC Editor機能のための基金は現在、インターネット協会によって提供されます。