Network Working Group L. Morand
Request for Comments: 5192 France Telecom R&D
Category: Standards Track A. Yegin
Samsung
S. Kumar
Tech Mahindra Ltd
S. Madanapalli
Samsung
May 2008
DHCP Options for Protocol for Carrying Authentication for
Network Access (PANA) Authentication Agents
Status of This Memo
このメモのステータス
This document specifies an Internet standards track protocol for the Internet community, and requests discussion and suggestions for improvements. Please refer to the current edition of the "Internet Official Protocol Standards" (STD 1) for the standardization state and status of this protocol. Distribution of this memo is unlimited.
この文書は、インターネットコミュニティのためのインターネット標準トラックプロトコルを指定し、改善のための議論と提案を要求します。このプロトコルの標準化状態と状態への「インターネット公式プロトコル標準」(STD 1)の最新版を参照してください。このメモの配布は無制限です。
Abstract
抽象
This document defines new DHCPv4 and DHCPv6 options that contain a list of IP addresses to locate one or more PANA (Protocol for carrying Authentication for Network Access) Authentication Agents (PAAs). This is one of the methods that a PANA Client (PaC) can use to locate PAAs.
この文書では、IPのリストは、1つまたは複数のPANA(ネットワークアクセスの認証を実施するためのプロトコル)認証エージェント(PAAS)を見つけるためにアドレスを含んで新しいDHCPv4とDHCPv6のオプションを定義します。これは、PANAクライアント(PAC)は、PaaSのを見つけるために使用できる方法の一つです。
Table of Contents
目次
1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . 2
2. Specification of Requirements . . . . . . . . . . . . . . . . . 2
3. Terminology . . . . . . . . . . . . . . . . . . . . . . . . . . 2
4. PANA Authentication Agent DHCPv4 Option . . . . . . . . . . . . 3
5. PANA Authentication Agent DHCPv6 Option . . . . . . . . . . . . 4
6. IANA Considerations . . . . . . . . . . . . . . . . . . . . . . 5
7. Security Considerations . . . . . . . . . . . . . . . . . . . . 5
8. Acknowledgements . . . . . . . . . . . . . . . . . . . . . . . 5
9. References . . . . . . . . . . . . . . . . . . . . . . . . . . 6
9.1. Normative References . . . . . . . . . . . . . . . . . . . 6
9.2. Informative References . . . . . . . . . . . . . . . . . . 6
The Protocol for carrying Authentication for Network Access (PANA) [RFC5191] defines a new Extensible Authentication Protocol (EAP) [RFC3748] lower layer that uses IP between the protocol end-points.
ネットワークアクセス(PANA)[RFC5191]のための認証を搬送するためのプロトコルは、プロトコルのエンドポイント間でIPを使用する新しい拡張認証プロトコル(EAP)[RFC3748]下位層を定義します。
The PANA protocol is run between a PANA Client (PaC) and a PANA Authentication Agent (PAA) in order to perform authentication and authorization for the network access service.
PANAプロトコルは、ネットワークアクセスサービスの認証と許可を実行するために、PANAクライアント(PAC)とPANA認証エージェント(PAA)との間で実行されます。
This document specifies DHCPv4 [RFC2131] and DHCPv6 [RFC3315] options that allow PANA clients (PaCs) to discover PANA Authentication Agents (PAAs). This is one of the methods for locating PAAs.
この文書では、PANAクライアント(PACS)がPANA認証エージェント(PAAS)を発見することができたDHCPv4 [RFC2131]とDHCPv6 [RFC3315]のオプションを指定します。これはPAASを配置するための方法の一つです。
The DHCP options defined in this document are used only as a PAA discovery mechanism. These DHCP options MUST NOT be used to perform any negotiation of the use of PANA between the PaC and a PAA.
この文書で定義されたDHCPオプションだけPAAディスカバリメカニズムとして使用されています。これらのDHCPオプションは、PACとPAA間のPANAの使用のいずれかの交渉を行うために使用してはいけません。
In this document, several words are used to signify the requirements of the specification. These words are often capitalized. The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in [RFC2119].
このドキュメントでは、いくつかの単語は、仕様の要件を意味するために使用されています。これらの言葉は、多くの場合、資産計上されます。この文書のキーワード "MUST"、 "MUST NOT"、 "REQUIRED"、、、、 "べきではない" "べきである" "ないもの" "ものとし"、 "推奨"、 "MAY"、および "OPTIONAL" はあります[RFC2119]に記載されているように解釈されます。
This document uses the DHCP terminology defined in [RFC2131], [RFC2132], and [RFC3315].
この文書では、DHCP [RFC2131]で定義された用語、[RFC2132]、および[RFC3315]を使用しています。
This document uses the PANA terminology defined in [RFC5191]. In particular, the following terms are defined:
この文書では、[RFC5191]で定義されたPANAの用語を使用しています。具体的には、以下の用語が定義されています。
PANA Client (PaC):
PANAクライアント(PAC):
The client side of the protocol that resides in the access device (e.g., laptop, PDA, etc.). It is responsible for providing the credentials in order to prove its identity (authentication) for network access authorization. The PaC and the EAP peer are co-located in the same access device.
アクセスデバイス(例えば、ラップトップ、PDA、等)に存在するプロトコルのクライアント側。これは、ネットワークアクセス認可のためにそのアイデンティティ(認証)を証明するために資格情報を提供する責任があります。 PaCとEAPピアが同一のアクセス装置に同じ場所に配置されています。
PANA Authentication Agent (PAA):
喫煙anthentikesanエージェント(F):
The protocol entity in the access network whose responsibility it is to verify the credentials provided by a PANA client (PaC) and authorize network access to the access device. The PAA and the EAP authenticator (and optionally the EAP server) are colocated in the same node.
責任、それはPANAクライアント(PAC)によって提供された資格情報を検証し、アクセスデバイスへのネットワークアクセスを許可するためであるアクセスネットワークにおけるプロトコルエンティティ。 PAA及びEAP認証(及びEAPサーバを任意)が同じノードで同じ場所に配置されています。
This DHCPv4 option carries a list of 32-bit (binary) IPv4 addresses indicating PANA Authentication Agents (PAAs) available to the PANA client (PaC).
このDHCPv4のオプションは、PANAクライアント(PAC)が利用可能なPANA認証エージェント(PAAS)を示す32ビット(バイナリ)のIPv4アドレスのリストを運びます。
The DHCPv4 option for PANA Authentication Agent has the format shown in Figure 1.
PANA認証エージェントのためのDHCPv4オプションは、図1に示されるフォーマットを有します。
0 1
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| option-code | option-length |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| |
+ PAA IPv4 Address +
| |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| ... |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Figure 1: PAA DHCPv4 option
option-code: OPTION_PANA_AGENT (136).
オプションコード:OPTION_PANA_AGENT(136)。
option-length: Length of the 'options' field in octets; MUST be a multiple of four (4).
オプションの長さ:オクテットで「オプション」フィールドの長さ。 4つの倍数でなければなりません。
PAA IPv4 Address: IPv4 address of a PAA for the client to use. The PAAs are listed in the order of preference for use by the client.
PAA IPv4アドレス:クライアントが使用するPAAのIPv4のアドレス。 PaaSのは、クライアントが使用するための優先順にリストされています。
A PaC (DHCPv4 client) SHOULD request the PAA DHCPv4 Option in a Parameter Request List, as described in [RFC2131] and [RFC2132].
[RFC2131]及び[RFC2132]に記載されているようにPAC(DHCPv4のクライアント)は、パラメータ要求リストでPAAのDHCPv4オプションを要求すべきです。
If configured with a (list of) PAA address(es), a DHCPv4 server SHOULD send a client the PAA DHCPv4 option, even if this option is not explicitly requested by the client.
PAAのアドレス(複数可)(のリスト)に設定した場合は、DHCPv4サーバは、このオプションを明示的にクライアントによって要求されていない場合でも、クライアントにPAAのDHCPv4オプションを送るべきです。
A PaC (DHCPv4 client) receiving the PAA DHCPv4 option SHOULD use the (list of) IP address(es) to locate PAA(s).
PAAのDHCPv4オプションを受けPAC(DHCPv4のクライアントが)PAA(複数可)を配置するためにIPアドレス(複数可)(のリスト)を使用する必要があります。
The PaC (DHCPv4 client) MUST try the records in the order listed in the PAA DHCPv4 option received from the DHCPv4 server.
PAC(DHCPv4のクライアント)はDHCPv4サーバから受信したPAAのDHCPv4オプションに記載された順序でレコードを試みなければなりません。
This DHCPv6 option carries a list of 128-bit (binary) IPv6 addresses indicating PANA Authentication Agents (PAAs) available to the PANA client (PaC).
このDHCPv6のオプションは、PANAクライアント(PAC)が利用可能なPANA認証エージェント(PAAS)を示す128ビット(バイナリ)のIPv6アドレスのリストを運びます。
The DHCPv6 option for PANA Authentication Agent has the format shown in Figure 2.
PANA認証エージェントのためのDHCPv6オプションは、図2に示すようなフォーマットを有しています。
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| option-code | option-length |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| |
+ +
| |
+ PAA IPv6 Address +
| |
+ +
| |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| .... |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Figure 2: PAA DHCPv6 option
option-code: OPTION_PANA_AGENT (40).
オプションコード:OPTION_PANA_AGENT(40)。
option-length: Length of the 'options' field in octets; MUST be a multiple of sixteen (16).
オプションの長さ:オクテットで「オプション」フィールドの長さ。 16(16)の倍数でなければなりません。
PAA IPv6 Address: IPv6 address of a PAA for the client to use. The PAAs are listed in the order of preference for use by the client.
PAA IPv6アドレス:クライアントが使用するPAAのIPv6のアドレス。 PaaSのは、クライアントが使用するための優先順にリストされています。
A PaC DHCPv6 client SHOULD request the PAA DHCPv6 option in an Options Request Option (ORO) as described in the DHCPv6 specification [RFC3315].
PaCはDHCPv6クライアントは、DHCPv6の仕様[RFC3315]に記載されているようにオプション要求オプション(ORO)でPAAのDHCPv6オプションを要求すべきです。
If configured with a (list of) PAA address(es), a DHCPv6 server SHOULD send a client the PAA DHCPv6 option, even if this option is not explicitly requested by the client.
PAAのアドレス(複数可)(のリスト)に設定した場合、DHCPv6サーバは、このオプションを明示的にクライアントによって要求されていない場合でも、クライアントにPAAのDHCPv6オプションを送るべきです。
A PaC (DHCPv6 client) receiving the PAA DHCPv6 option SHOULD use the (list of) IP address(es) to locate PAA(s).
PAAのDHCPv6オプションを受けPAC(DHCPv6クライアント)は、PAA(複数可)を配置するためにIPアドレス(複数可)(のリスト)を使用する必要があります。
The PaC (DHCPv6 client) MUST try the records in the order listed in the PAA DHCPv6 option received from the DHCPv6 server.
PAC(DHCPv6クライアント)は、DHCPv6サーバから受信したPAAのDHCPv6オプションに記載された順序でレコードを試みなければなりません。
The following DHCPv4 option code for PANA Authentication Agent options has been assigned by IANA:
PANA認証エージェントオプションには、次のようなDHCPv4のオプションコードはIANAによって割り当てられています。
Option Name Value Described in
-----------------------------------------------
OPTION_PANA_AGENT 136 Section 4
The following DHCPv6 option code for PANA Authentication Agent options has been assigned by IANA:
PANA認証エージェントオプションには、次のようなDHCPv6のオプションコードはIANAによって割り当てられています。
Option Name Value Described in
------------------------------------------------
OPTION_PANA_AGENT 40 Section 5
The security considerations in [RFC2131], [RFC2132], and [RFC3315] apply. If an adversary manages to modify the response from a DHCP server or insert its own response, a PANA Client could be led to contact a rogue PANA Authentication Agent, possibly one that then intercepts authentication requests and/or denies network access to the access device.
[RFC2131]、[RFC2132]、および[RFC3315]のセキュリティの考慮事項が適用されます。敵がDHCPサーバからの応答を変更したり、独自の応答を挿入するために管理している場合、PANAクライアントは、不正なPANA認証エージェント、認証要求をインターセプトし、および/またはアクセスデバイスへのネットワークアクセスを拒否する可能性が1に連絡することを導くことができました。
In most networks, the DHCP exchange that delivers the options prior to network access authentication is neither integrity protected nor origin authenticated. Therefore, the options defined in this document MUST NOT be used to perform any negotiation on the use of PANA between the PANA Client and a PANA Authentication Agent. Using the presence (or absence) of these DHCP options as an indication of network mandating PANA authentication (or not) is an example of such a negotiation mechanism. This negotiation would allow bidding-down attacks by making the clients choose to use a lower-grade security mechanism (or even no security at all).
ほとんどのネットワークでは、アクセス認証をネットワークに前にオプションを提供するDHCP交換はどちらも整合性が保護されても、原点は、認証されました。そのため、このドキュメントで定義されたオプションは、PANAクライアントとPANA認証エージェントの間でPANAの使用上の任意の交渉を行うために使用してはいけません。ネットワーク義務PANA認証(またはしない)の指標として、これらのDHCPオプションの存在(または不在)を使用すると、このような交渉機構の一例です。この交渉は、クライアントが低グレードのセキュリティメカニズム(または全てでさえ保障なし)を使用することを選択することにより、入札ダウン攻撃を可能にします。
We would like to thank Ralph Droms, Stig Venaas, Ted Lemon, Andre Kostur and Bernie Volz for their valuable comments. We would also like to thank Jari Arkko, Thomas Narten and Bernard Aboba that provided several reviews, as well as all members of the PANA and DHC working groups that contribute to improve this document.
私たちは、彼らの貴重なコメントのためのラルフDroms、スティグVenaas、テッド・レモン、アンドレKosturバーニーフォルツに感謝したいと思います。我々はまた、いくつかのレビューだけでなく、このドキュメントの向上に寄与PANAとDHCワーキンググループのすべてのメンバーを提供ヤリArkko、トーマスNarten氏とバーナードAbobaに感謝したいと思います。
[RFC2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, March 1997.
[RFC2119]ブラドナーの、S.、 "要件レベルを示すためにRFCsにおける使用のためのキーワード"、BCP 14、RFC 2119、1997年3月。
[RFC2131] Droms, R., "Dynamic Host Configuration Protocol", RFC 2131, March 1997.
[RFC2131] Droms、R.、 "動的ホスト構成プロトコル"、RFC 2131、1997年3月。
[RFC2132] Alexander, S. and R. Droms, "DHCP Options and BOOTP Vendor Extensions", RFC 2132, March 1997.
[RFC2132]アレクサンダー、S.とR. Droms、 "DHCPオプションとBOOTPベンダー拡張機能"、RFC 2132、1997年3月。
[RFC3315] Droms, R., Bound, J., Volz, B., Lemon, T., Perkins, C., and M. Carney, "Dynamic Host Configuration Protocol for IPv6 (DHCPv6)", RFC 3315, July 2003.
[RFC3315] Droms、R.、バウンド、J.、フォルツ、B.、レモン、T.、パーキンス、C.、およびM.カーニー、 "IPv6のための動的ホスト構成プロトコル(DHCPv6)"、RFC 3315、2003年7月。
[RFC5191] Forsberg, D., Ohba, Y., Patil, B., Tschofenig, H., and A. Yegin, "Protocol for Carrying Authentication for Network Access (PANA)", RFC 5191, May 2008.
[RFC5191]フォースバーグ、D.、オオバ、Y.、パティル、B.、Tschofenig、H.、およびA. Yegin、RFC 5191、2008年5月 "ネットワークアクセス(PANA)の認証を搬送するプロトコル"。
[RFC3748] Aboba, B., Blunk, L., Vollbrecht, J., Carlson, J., and H. Levkowetz, "Extensible Authentication Protocol (EAP)", RFC 3748, June 2004.
[RFC3748] Aboba、B.、ブルンク、L.、Vollbrecht、J.、カールソン、J.、およびH. Levkowetz、 "拡張認証プロトコル(EAP)"、RFC 3748、2004年6月。
Authors' Addresses
著者のアドレス
Lionel Morand France Telecom R&D
ライオネル・モランフランステレコムR&D
EMail: lionel.morand@orange-ftgroup.com
メールアドレス:lionel.morand@orange-ftgroup.com
Alper E. Yegin Samsung
アルパースE. Yeginサムスン
EMail: a.yegin@partner.samsung.com
メールアドレス:a.yegin@partner.samsung.com
Suraj Kumar Tech Mahindra Ltd
スラジュ・クマールテックマヒンドラ株式会社
EMail: surajk@techmahindra.com
メールアドレス:surajk@techmahindra.com
Syam Madanapalli Samsung
シャムmadanapalli sansung
EMail: syam@samsung.com
メールアドレス:syam@samsung.com
Full Copyright Statement
完全な著作権声明
Copyright (C) The IETF Trust (2008).
著作権(C)IETFトラスト(2008)。
This document is subject to the rights, licenses and restrictions contained in BCP 78, and except as set forth therein, the authors retain all their rights.
この文書では、BCP 78に含まれる権利と許可と制限の適用を受けており、その中の記載を除いて、作者は彼らのすべての権利を保有します。
This document and the information contained herein are provided on an "AS IS" basis and THE CONTRIBUTOR, THE ORGANIZATION HE/SHE REPRESENTS OR IS SPONSORED BY (IF ANY), THE INTERNET SOCIETY, THE IETF TRUST AND THE INTERNET ENGINEERING TASK FORCE DISCLAIM ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.
この文書とここに含まれている情報は、基礎とCONTRIBUTOR「そのまま」、ORGANIZATION HE / SHEが表すまたはインターネットSOCIETY、(もしあれば)を後援し、IETF TRUST ANDインターネットエンジニアリングタスクフォース放棄ALLに設けられています。保証は、明示または黙示、この情報の利用および特定目的に対する権利または商品性または適合性の黙示の保証を侵害しない任意の保証がこれらに限定されません。
Intellectual Property
知的財産
The IETF takes no position regarding the validity or scope of any Intellectual Property Rights or other rights that might be claimed to pertain to the implementation or use of the technology described in this document or the extent to which any license under such rights might or might not be available; nor does it represent that it has made any independent effort to identify any such rights. Information on the procedures with respect to rights in RFC documents can be found in BCP 78 and BCP 79.
IETFは、本書またはそのような権限下で、ライセンスがたりないかもしれない程度に記載された技術の実装や使用に関係すると主張される可能性があります任意の知的財産権やその他の権利の有効性または範囲に関していかなる位置を取りません利用可能です。またそれは、それがどのような権利を確認する独自の取り組みを行ったことを示すものでもありません。 RFC文書の権利に関する手続きの情報は、BCP 78およびBCP 79に記載されています。
Copies of IPR disclosures made to the IETF Secretariat and any assurances of licenses to be made available, or the result of an attempt made to obtain a general license or permission for the use of such proprietary rights by implementers or users of this specification can be obtained from the IETF on-line IPR repository at http://www.ietf.org/ipr.
IPRの開示のコピーが利用できるようにIETF事務局とライセンスの保証に行われた、または本仕様の実装者または利用者がそのような所有権の使用のための一般的なライセンスまたは許可を取得するために作られた試みの結果を得ることができますhttp://www.ietf.org/iprのIETFのオンラインIPRリポジトリから。
The IETF invites any interested party to bring to its attention any copyrights, patents or patent applications, or other proprietary rights that may cover technology that may be required to implement this standard. Please address the information to the IETF at ietf-ipr@ietf.org.
IETFは、その注意にこの標準を実装するために必要とされる技術をカバーすることができる任意の著作権、特許または特許出願、またはその他の所有権を持ってすべての利害関係者を招待します。 ietf-ipr@ietf.orgのIETFに情報を記述してください。