Internet Engineering Task Force (IETF) P. Sangster
Request for Comments: 5792 Symantec Corporation
Category: Standards Track K. Narayan
ISSN: 2070-1721 Cisco Systems
March 2010
PA-TNC: A Posture Attribute (PA) Protocol Compatible
with Trusted Network Connect (TNC)
Abstract
抽象
This document specifies PA-TNC, a Posture Attribute protocol identical to the Trusted Computing Group's IF-M 1.0 protocol. The document then evaluates PA-TNC against the requirements defined in the NEA Requirements specification.
この文書では、PA-TNC、トラステッド・コンピューティング・グループのIF-M 1.0プロトコルと同一の姿勢属性のプロトコルを指定します。文書は、NEAの要件の仕様で定義された要件に照らしPA-TNCを評価します。
Status of This Memo
このメモのステータス
This is an Internet Standards Track document.
これは、インターネット標準化過程文書です。
This document is a product of the Internet Engineering Task Force (IETF). It represents the consensus of the IETF community. It has received public review and has been approved for publication by the Internet Engineering Steering Group (IESG). Further information on Internet Standards is available in Section 2 of RFC 5741.
このドキュメントはインターネットエンジニアリングタスクフォース(IETF)の製品です。これは、IETFコミュニティの総意を表しています。これは、公開レビューを受けており、インターネットエンジニアリング運営グループ(IESG)によって公表のために承認されています。インターネット標準の詳細については、RFC 5741のセクション2で利用可能です。
Information about the current status of this document, any errata, and how to provide feedback on it may be obtained at http://www.rfc-editor.org/info/rfc5792.
このドキュメントの現在の状態、任意の正誤表、そしてどのようにフィードバックを提供するための情報がhttp://www.rfc-editor.org/info/rfc5792で取得することができます。
Copyright Notice
著作権表示
Copyright (c) 2010 IETF Trust and the persons identified as the document authors. All rights reserved.
著作権(C)2010 IETF信託とドキュメントの作成者として特定の人物。全著作権所有。
This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents (http://trustee.ietf.org/license-info) in effect on the date of publication of this document. Please review these documents carefully, as they describe your rights and restrictions with respect to this document. Code Components extracted from this document must include Simplified BSD License text as described in Section 4.e of the Trust Legal Provisions and are provided without warranty as described in the Simplified BSD License.
この文書では、BCP 78と、この文書の発行日に有効なIETFドキュメント(http://trustee.ietf.org/license-info)に関連IETFトラストの法律の規定に従うものとします。彼らは、この文書に関してあなたの権利と制限を説明するように、慎重にこれらの文書を確認してください。コードコンポーネントは、トラスト法規定のセクションで説明4.eおよび簡体BSDライセンスで説明したように、保証なしで提供されているよう簡体BSDライセンスのテキストを含める必要があり、この文書から抽出されました。
This document may contain material from IETF Documents or IETF Contributions published or made publicly available before November 10, 2008. The person(s) controlling the copyright in some of this material may not have granted the IETF Trust the right to allow modifications of such material outside the IETF Standards Process. Without obtaining an adequate license from the person(s) controlling the copyright in such materials, this document may not be modified outside the IETF Standards Process, and derivative works of it may not be created outside the IETF Standards Process, except to format it for publication as an RFC or to translate it into languages other than English.
この材料の一部がIETFトラストにこのような材料の変更を許可する権利を与えられていない可能性がありますにこの文書は、2008年、IETFドキュメントまたは11月10日以前に発行または公開さIETF貢献から著作権を支配する者(複数可)材料を含んでいてもよいですIETF標準化プロセスの外。そのような材料の著作権を管理者(単数または複数)から適切なライセンスを取得することなく、この文書は、IETF標準化過程の外側修正されないかもしれません、そして、それの派生物は、IETF標準化過程の外側に作成されない場合があり、それをフォーマットする以外出版RFCとして、英語以外の言語に翻訳します。
Table of Contents
目次
1. Introduction ....................................................4
1.1. Prerequisites ..............................................4
1.2. Message Diagram Conventions ................................4
1.3. Conventions Used in This Document ..........................4
2. Design Considerations ...........................................4
2.1. Standard Attribute Namespace for Interoperability ..........4
2.2. Vendor-Defined Namespace for Differentiation and Agility ...5
2.3. Use of TLV-Based Encoding for Efficiency ...................6
3. PA-TNC Message Protocol .........................................7
3.1. PA-TNC Messaging Model .....................................7
3.2. PA-TNC Relationship to PB-TNC ..............................8
3.3. PB-PA Posture Collector and Posture Validator
Identifiers ...............................................10
3.4. PA-TNC Messages in PB-TNC .................................10
3.5. IETF Standard PA Subtypes .................................11
3.6. PA-TNC Message Header Format ..............................12
4. PA-TNC Attributes ..............................................13
4.1. PA-TNC Attribute Header ..................................13
4.2. IETF Standard PA-TNC Attribute Types .....................17
4.2.1. Attribute Request ..................................18
4.2.2. Product Information ................................20
4.2.3. Numeric Version ....................................22
4.2.4. String Version .....................................24
4.2.5. Operational Status .................................26
4.2.6. Port Filter ........................................29
4.2.7. Installed Packages .................................31
4.2.8. PA-TNC Error .......................................34
4.2.9. Assessment Result ..................................41
4.2.10. Remediation Instructions ..........................42
4.2.11. Forwarding Enabled ................................45
4.2.12. Factory Default Password Enabled ..................47
4.3. Vendor-Defined Attributes ................................48
5. Security Considerations ........................................48
5.1. Trust Relationships .......................................48
5.1.1. Posture Collector ..................................49
5.1.2. Posture Validator ..................................49
5.1.3. Posture Broker Client, Posture Broker Server .......49
5.2. Security Threats ..........................................50
5.2.1. Attribute Theft ....................................50
5.2.2. Message Fabrication ................................51
5.2.3. Attribute Modification .............................51
5.2.4. Attribute Replay ...................................52
5.2.5. Attribute Insertion ................................52
5.2.6. Denial of Service ..................................53
6. Privacy Considerations .........................................53
7. IANA Considerations ............................................54
7.1. Designated Expert Guidelines ..............................55
7.2. PA Subtypes ...............................................56
7.3. Registry for PA-TNC Attribute Types .......................56
7.4. Registry for PA-TNC Error Codes ...........................57
7.5. Registry for PA-TNC Remediation Parameters Types ..........58
8. Acknowledgments ................................................58
9. References .....................................................59
9.1. Normative References ......................................59
9.2. Informative References ....................................59
Appendix A. Use Cases .............................................60
A.1. Initial Client-Triggered Assessment .......................60
A.2. Server-Initiated Assessment with Remediation ..............64
A.3. Client-Triggered Reassessment .............................71
Appendix B. Evaluation against NEA Requirements ...................77
B.1. Evaluation against Requirements C-1 .......................77
B.2. Evaluation against Requirements C-2 .......................77
B.3. Evaluation against Requirements C-3 .......................77
B.4. Evaluation against Requirements C-4 .......................78
B.5. Evaluation against Requirements C-5 .......................78
B.6. Evaluation against Requirements C-6 .......................78
B.7. Evaluation against Requirements C-7 .......................79
B.8. Evaluation against Requirements C-8 .......................79
B.9. Evaluation against Requirements C-9 .......................79
B.10. Evaluation against Requirements C-10 .....................80
B.11. Evaluation against Requirements C-11 .....................80
B.12. Evaluation against Requirements PA-1 .....................81
B.13. Evaluation against Requirements PA-2 .....................81
B.14. Evaluation against Requirements PA-3 .....................81
B.15. Evaluation against Requirements PA-4 .....................82
B.16. Evaluation against Requirements PA-5 .....................82
B.17. Evaluation against Requirements PA-6 .....................83
This document specifies PA-TNC, a Posture Attribute (PA) Protocol identical to the Trusted Computing Group's IF-M 1.0 protocol [8]. The document then evaluates PA-TNC against the requirements defined in the Network Endpoint Assessment (NEA) Requirements specification [9].
この文書では、PA-TNC、トラステッド・コンピューティング・グループのIF-M 1.0プロトコル[8]と同じ姿勢属性(PA)プロトコルを指定します。ドキュメントは、ネットワークエンドポイントの評価(NEA)要求仕様[9]で定義された要件に対してPA-TNCを評価します。
This document does not define an architecture or reference model. Instead, it defines a protocol that works within the reference model described in the NEA Overview and Requirements specification. The reader is assumed to be thoroughly familiar with that document. No familiarity with TCG specifications is assumed.
この文書では、アーキテクチャや参照モデルを定義していません。代わりに、NEA概要と要件明細書に記載の参照モデル内で動作プロトコルを定義します。読者はその文書を熟知であると仮定されます。 TCG仕様のいかなる知識が前提とされていません。
This specification defines the syntax of PA-TNC messages using diagrams. Each diagram depicts the format and size of each field in bits. Implementations MUST send the bits in each diagram as they are shown, traversing the diagram from top to bottom and then from left to right within each line (which represents a 32-bit quantity). Multi-byte fields representing numeric values must be sent in network (big endian) byte order.
この仕様は、図を使用してPA-TNCメッセージの構文を定義します。各図は、ビットの各フィールドのフォーマット及びサイズを示しています。 (32ビット量を表す)各ライン内の左から右への実装は、それらが示されているように上から下へダイアグラムを横切る、各図中のビットを送信しなければなりません。数値を表すマルチバイトのフィールドは、ネットワーク(ビッグエンディアン)のバイト順序で送信する必要があります。
Descriptions of bit field (e.g., flag) values are described referring to the position of the bit within the field. These bit positions are numbered from the most significant bit through the least significant bit, so a 1-octet field with only bit 0 set has the value 0x80.
ビットフィールドの説明(例えば、フラグ)の値は、フィールド内のビットの位置を参照して説明します。これらのビット位置は、最下位ビットを介して最上位ビットから番号付けされているので、専用ビット0が設定された1オクテットフィールドは、値は0x80を有しています。
The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in RFC 2119 [1].
この文書のキーワード "MUST"、 "MUST NOT"、 "REQUIRED"、、、、 "べきではない" "べきである" "ないもの" "ものとし"、 "推奨"、 "MAY"、および "OPTIONAL" はありますRFC 2119に記載されるように解釈される[1]。
This section discusses some of the key design considerations for the PA protocol.
このセクションでは、PAのプロトコルのための重要な設計上の考慮事項の一部について説明します。
The PA protocol requires the use of two categories of namespaces: component types (AKA PA subtypes) and attributes. Each of these namespace categories needs to contain well-known, interoperable names with defined syntax and semantics co-existing with names for vendor- defined private extensions. Similarly, each namespace category needs to be readily extensible without repeated coordination yet avoids naming conflicts.
コンポーネントタイプ(AKA PAサブタイプ)と属性:PAプロトコルは、2つの名前空間のカテゴリの使用を必要とします。これらの名前空間の各カテゴリは、定義された構文とセマンティクスベンダー定義されたプライベート拡張の名前と共存してよく知られた、相互運用可能名を含める必要があります。同様に、カテゴリを繰り返し調整なしに容易に拡張可能である必要がある各名前空間は、まだ名前の競合を回避します。
The PA-TNC and PB-TNC protocols provide for multiple orthogonal namespaces for each category that exist without overlap by including a Structure of Management Information (SMI) Private Enterprise Number (PEN) field to identify the definer of namespace of the associated field. This allows the IETF NEA WG to define a set of standard component types and attribute types while allowing vendors to each create additional names outside of the IETF standard namespace. Over time, vendor-defined names might be proposed for standardization and thus migration into the IETF namespace.
PA-TNCとPB-TNCプロトコルは、関連するフィールドの名前空間の定義を識別するために、管理情報(SMI)民間企業番号(PEN)フィールドの構造を含むことにより、重複せずに存在し、カテゴリごとに複数の直交の名前空間を提供します。これは、各許可のベンダーはIETF標準名前空間の外で追加の名前を作成しながら、IETF NEA WGは、標準のコンポーネントタイプと属性タイプのセットを定義することができます。時間が経つにつれて、ベンダー定義の名前は、標準化のために提案される可能性がありますので、IETF名前空間への移行。
The PB-TNC protocol defines an IETF standard namespace (using vendor-id=0) that allows for definition of standard component types (e.g., Operating System, Firewall, Anti-Virus) using the PA Subtype field (see section 3.2). Similarly, PA-TNC defines a set of standard attributes in section 4.2 that represent the most common capabilities (attributes) of these types of components across a variety of vendor implementations. The standard namespace allows NEA deployments with both open source and vendor-provided NEA implementations to support a consistent set of policies across their environment based on these standard attributes. The standard attributes can be used with a variety of endpoints (hosts, printers, mobile devices) that are running applications and operating systems (defined by the PA subtypes) from a variety of vendors.
PB-TNCプロトコル(セクション3.2を参照)PAサブタイプフィールドを使用して、標準的なコンポーネントタイプ(例えば、オペレーティングシステム、ファイアウォール、アンチウイルス)の定義を可能にする(ベンダーID = 0を使用して)IETF標準の名前空間を定義します。同様に、PA-TNCは、ベンダーのさまざまなインプリメンテーションを横切る成分のこれらのタイプの最も一般的な機能(属性)を表すセクション4.2で標準属性のセットを定義します。標準名前空間には、オープンソースとベンダー提供のNEAの実装の両方でNEAの展開は、これらの標準的な属性に基づいて自分の環境全体の政策の一貫性のあるセットをサポートすることができます。標準属性は、さまざまなベンダーから(PAサブタイプによって定義される)アプリケーションとオペレーティングシステムを実行しているエンドポイント(ホスト、プリンタ、モバイルデバイス)の様々な使用することができます。
The endpoint is a very dynamic environment in terms of rate of new features being deployed and attacks that are crafted against existing and new applications such as viruses, worms, malware, and spyware. It is difficult to imagine the standard namespaces being able to keep pace with this rapidly changing environment. Vendors typically differentiate themselves by moving rapidly to provide unique mechanisms to address such threats and their ability to deal with changes in an agile manner. The PA-TNC and PB-TNC protocols allow for creation of vendor-defined namespace(s) where each namespace allows use of vendor-defined PA subtypes to identify non-standard applications or operating system variants and vendor-defined attributes describing new aspects of each type of component. The vendor namespaces will allow NEA deployments to craft compliance policies using a mixture of attributes from both the IETF standard namespace and vendor-defined namespaces that may include multiple vendors representing the various hardware and software components present on the endpoints.
エンドポイントは、ウイルス、ワーム、マルウェア、スパイウェアなどの既存および新規のアプリケーションに対して細工された新しい展開されている機能や攻撃の速度の点で非常にダイナミックな環境です。この急速に変化する環境のペースを維持することができるという標準名前空間を想像することは困難です。ベンダーは、一般的な脅威やアジャイル方法の変化に対処する能力に対処するための独自のメカニズムを提供するために、急速に移動することで差別化を。 PA-TNCとPB-TNCのプロトコルは、各名前空間は、ベンダ定義のPAサブタイプの使用はの新たな側面を記述した非標準的なアプリケーションやオペレーティングシステムの変種およびベンダー定義の属性を識別することを可能にするベンダー定義の名前空間(S)の作成を可能にコンポーネントの各タイプ。ベンダーネームスペースは、NEAの展開がエンドポイント上に存在する様々なハードウェアおよびソフトウェアコンポーネントを表す複数のベンダーを含んでいてもよい両方IETF標準の名前空間とベンダー定義の名前空間からの属性の混合物を使用してコンプライアンスポリシーを作ることを可能にします。
The PA-TNC protocol's use of vendor-id to identify the namespace of each attribute allows Posture Collectors to support some or all of the IETF standard attributes plus optionally a set of vendor-defined attributes (potentially from more than one vendor-id namespace). For instance, an open source anti-virus Posture Collector might be written that supports all of the IETF standard attributes used to describe a local anti-virus component and a subset of multiple anti-virus manufacturers' vendor-defined attributes. This Posture Collector might therefore be able to interoperate with Posture Validators from multiple vendors. Conversely, a simple Posture Collector might be written to ignore any vendor-defined attributes requested and only return standard attributes that it supports. If the vendor-provided Posture Validator's policy allows for this subset to be considered compliant, then these simple Posture Collectors can be used to perform a successful assessment.
各属性の名前空間を識別するために、ベンダーIDのPA-TNCのプロトコルの使用は、姿勢コレクタはIETF標準属性の一部またはすべてをサポートすることができ、プラス任意に(潜在的に複数のベンダーIDの名前空間から)ベンダー定義属性のセット。たとえば、オープンソースのアンチウイルス姿勢コレクターはローカルアンチウイルスコンポーネントと複数のアンチウイルスメーカーのベンダー定義属性のサブセットを記述するために使用されるIETF標準属性のすべてをサポートする書き込まれることがあります。この姿勢コレクターは、したがって、複数のベンダーからのPosture検証ツールと相互運用することができるかもしれません。逆に、簡単な姿勢コレクターは、要求された任意のベンダー定義の属性を無視してのみ、それがサポートする標準属性を返すように書き込まれることがあります。このサブセットに準拠と見なされるためにベンダー提供のPosture Validatorの政策が許すならば、これらの単純な姿勢コレクターは成功した評価を行うために使用することができます。
The PA-TNC protocol has chosen to employ a binary encoding using a type-length-value (TLV) structure. TLV encoding was preferred over the use of a textual encoding format such as XML to provide a more efficient utilization of the potentially constrained bandwidth available between the NEA Client and NEA Server (see NEA Overview and Architecture [9]). Efficiency was a primary criterion for this choice with consideration given to both:
PA-TNCプロトコルは、タイプレングス値(TLV)構造を使用してバイナリ符号化を採用することを選択しました。 TLVエンコーディングはNEA ClientとNEAサーバ([9] NEA概要とアーキテクチャを参照)との間の利用可能な潜在的に制約帯域幅のより効率的な利用を提供するために、XMLなどのテキスト符号化フォーマットの使用よりも好まれました。効率は、両方を考慮して、この選択のための主な基準でした。
1. Optimization of the bits-on-the-wire to accommodate NEA requirements for assessment over low bandwidth or high latency links (C-8) and allow for the Posture Transport (PT) protocol to run over existing network access protocols (PT-4, C-11) that are constrained by packet size.
ビット・オン・ザ・ワイヤ低帯域幅または高レイテンシ・リンク(C-8)で評価するためのNEAの要件に対応し、既存のネットワークアクセスプロトコルを介して実行する姿勢トランス(PT)プロトコルを可能にするための1最適化(PT-図4に示すように、パケットのサイズによって制約されているC-11)。
2. Optimization of CPU utilization on the endpoint to accommodate for low power endpoints such as mobile devices.
モバイル機器などの低消費電力のエンドポイント用に対応するために、エンドポイント上のCPU使用率の最適化2。
The choice of TLV encoding does not preclude the use of XML-based attribute values within the vendor namespaces or future standard attributes. It is conceivable that certain vendors may utilize XML encoding for extensibility within their namespace when the above considerations are less applicable to their technologies. Attributes encoded within the vendor-defined namespace using alternate encoding such as XML will be opaque to NEA software only supporting standard attributes and will be processed primarily by the vendor-defined components (collector/validator).
TLVエンコーディングの選択は、ベンダーの名前空間または将来の標準属性内のXMLベースの属性値の使用を排除するものではありません。上記の考察は、その技術にあまり適用されているときに、特定のベンダーが名前空間の中での拡張のためのXMLエンコーディングを利用することができると考えられます。 XMLなどの代替のエンコーディングを使用して、ベンダー定義の名前空間内で符号化された属性は、標準属性をサポートし、ベンダー定義の成分(コレクタ/バリ)によって主に処理されるNEAソフトウェアに対して不透明であろう。
This section discusses the use of the PA-TNC message and its attributes, and specifies the syntax and semantics for the PA-TNC message header. The details of each attribute included within the PA-TNC payload are specified in section 4.2.
このセクションでは、PA-TNCメッセージとその属性の使用について説明し、PA-TNCのメッセージヘッダの構文とセマンティクスを指定します。 PA-TNCペイロード内に含まれる各属性の詳細については、セクション4.2で指定されています。
PA-TNC messages are carried by the PB-TNC protocol [5], which provides a multi-roundtrip reliable transport and end-to-end message delivery to subscribed (interested) parties using a variety of underlying network protocols. PA-TNC is unaware of these underlying PT protocols being used below PB-TNC.
PA-TNCメッセージは、[5]、基礎となるネットワークプロトコルのさまざまな方法を使って加入(興味)関係者にマルチ往復信頼性の高いトランスポートおよびエンドツーエンドのメッセージ配信を提供するPB-TNCプロトコルによって運ばれます。 PA-TNCは、PB-TNCの下に使用されているこれらの基礎となるPTプロトコルを認識しません。
The interested parties consist of Posture Collectors on the NEA Client and Posture Validators associated with the NEA Server that have registered to receive messages about particular types of components (e.g., anti-virus) during an assessment. The PA-TNC messaging protocol operates synchronously within an assessment session, with Posture Collectors and Posture Validators taking turns sending one or more messages to each other. Each PA-TNC message may contain one or more attributes associated with the functional component identified in the component type (PA Subtype) of the Posture Broker (PB) protocol.
利害関係者は、評価中にコンポーネント(例えば、抗ウイルス)の特定のタイプについてのメッセージを受信するために登録しているNEA Serverに関連付けられNEAクライアントと姿勢バリの姿勢コレクターで構成されています。 PA-TNCメッセージングプロトコルは、姿勢コレクターとお互いに1つ以上のメッセージを送信する姿勢バリ交代で、評価セッション内で同期して動作します。各PA-TNCメッセージは姿勢ブローカー(PB)プロトコルのコンポーネントタイプ(PAサブタイプ)で同定された機能コンポーネントに関連付けられた1つ以上の属性を含んでいてもよいです。
Posture Collectors may only send PA-TNC messages to Posture Validators and vice versa. No Posture Collector-to-Posture Collector or Posture Validator-to-Posture Validator messaging is allowed to occur. Each Posture Collector or Posture Validator may send several PA-TNC messages in succession before indicating that it has completed its batch of messages to the Posture Broker Client or Posture Broker Server respectively. As necessary, the Posture Broker Client and Posture Broker Server will batch these messages prior to sending them over the network.
姿勢コレクターのみ姿勢バリデータとその逆にPA-TNCメッセージを送信することができます。いいえ姿勢コレクタ・姿勢コレクターや姿勢バリツー姿勢バリメッセージングが発生することが許可されていません。各姿勢コレクターや姿勢Validatorは、それは、それぞれのPosture Brokerのクライアントや姿勢ブローカーサーバーにメッセージのそのバッチを完了したことを示す前に、連続していくつかのPA-TNCメッセージを送信することができます。必要に応じて、これらのメッセージ前に、ネットワークを介してそれらを送信する姿勢ブローカークライアント・姿勢ブローカーサーバーするバッチ。
PB-TNC provides a publish/subscribe model of message exchange. This means that, at any given point in time, zero or more subscribers for a particular type of message may be present on a Posture Broker Client or Posture Broker Server. This is beneficial, since it allows one Posture Collector or Posture Validator to combine multiple functions (like anti-virus and personal firewall) by subscribing to both TNC standard component types. It also allows multiple Posture Collectors or Posture Validators to support the same components, such as two anti-virus Posture Validators that are each used to manage their own respective anti-virus client software.
PB-TNCは、メッセージ交換のパブリッシュ/サブスクライブ・モデルを提供します。これは、時間内の任意の所与の時点で、メッセージの特定のタイプのためのゼロまたはそれ以上の加入者が姿勢ブローカクライアントや姿勢ブローカサーバ上に存在していてもよい、ということを意味します。それは両方のTNC標準コンポーネントタイプに加入することによって(アンチウイルスおよびパーソナルファイアウォールなど)は、複数の機能を組み合わせるために、1つの姿勢コレクタまたはポスチャ検証を可能にするので、これは有益です。また、複数の姿勢コレクターや姿勢バリデータは、それぞれ独自のそれぞれのアンチウィルスクライアントソフトウェアを管理するために使用されているように2つの抗ウイルス姿勢バリデータと同一の構成要素を、サポートすることができます。
However, this publish/subscribe model has some possible negative side effects. When a Posture Collector or Posture Validator initially sends a PA-TNC message, it does not know whether it will receive many, one, or no PA-TNC messages from the other side. For many types of assessments, this is acceptable, but in some cases a more direct channel binding between a particular Posture Collector and Posture Validator pair is necessary. For example, a Posture Validator may wish to provide remediation instructions to a particular Posture Collector that it knows is capable of remediating a non-compliant component. This can be accomplished using the exclusive delivery PB-TNC capability to limit distribution of a message to a single Posture Collector by including the target Posture Collector Identifier in the PB-PA header. For more information on the PB-PA header, see section 4.5 of the PB-TNC specification.
しかし、このパブリッシュ/サブスクライブ・モデルでは、いくつかの可能な副作用を持っています。姿勢コレクターや姿勢Validatorは、最初はPA-TNCメッセージを送信すると、それが他の側から1、多くの、または全くPA-TNCメッセージを受け取るかどうか分かりません。評価の多くのタイプの場合、これは許容可能であるが、いくつかのケースでは、特定の姿勢コレクタとポスチャ検証対の間の結合より直接的なチャネルが必要です。例えば、ポスチャ検証は、非準拠のコンポーネントを修復することが可能であることを知っている特定のPosture Collectorに修復指示を提供することを望むかもしれません。これは、PB-PAヘッダーの目標姿勢コレクタ識別子を含むことにより、単一の姿勢コレクタへのメッセージの配信を制限するために排他的送達PB-TNCの機能を使用して達成することができます。 PB-PAのヘッダの詳細については、PB-TNC仕様のセクション4.5を参照。
This section summarizes the major elements of a PA-TNC message as they might appear inside of a PB-TNC message. The double line (===) in the diagram below indicates the separation between the PB-TNC and PA-TNC protocols. The PA-TNC portion of the message is delivered to each Posture Collector or Posture Validator registered to receive messages containing a particular message type. Note that PB-TNC is capable of carrying multiple PB-TNC and PA-TNC messages in a single PB-TNC batch. See the PB-TNC specification [5] for more information on its capabilities.
彼らはPB-TNCメッセージの中に現れる可能性があるとして、このセクションでは、PA-TNCメッセージの主要な要素をまとめたもの。図中の二重線(===)は、以下PB-TNCとPA-TNCプロトコルとの間の分離を示しています。メッセージのPA-TNC部が各姿勢コレクタや姿勢検証に送達される特定のメッセージタイプを含むメッセージを受信するために登録。 PB-TNCは、単一のPB-TNCバッチで複数のPB-TNCとPA-TNCのメッセージを運ぶことができることに注意してください。その機能の詳細については、[5] PB-TNC仕様を参照してください。
One important linkage between the PA-TNC and PB-TNC protocols is the PA message type (PA Message Vendor ID and PA Subtype) that is used by the Posture Broker Client and Posture Broker Server to route messages to interested Posture Collectors and Posture Validators. The message type indicates the software component (component type) that is associated with the attributes included inside the PA-TNC message. Therefore, Posture Collectors and Posture Validators written to support an assessment of a particular component can register to receive messages about the component and thus participate in its assessment. Each Posture Collector and Posture Validator MUST only send PA-TNC messages containing attributes that pertain to the software component defined in the message type of the message. This ensures that only the appropriate Posture Collectors and Posture Validators that support a particular type of component will receive attributes related to that component. If a PA-TNC message contained a mix of attributes about different components and a message type of only one of those components, the message would only be delivered to parties interested in the component type included in the message type, so other interested recipients wouldn't see those attributes.
PA-TNCとPB-TNCプロトコル間の1つの重要な結合は、興味姿勢コレクターと姿勢バリデータにルーティングメッセージに姿勢ブローカクライアント・姿勢ブローカサーバによって使用されるPAメッセージタイプ(PAメッセージベンダID及びPAサブタイプ)です。メッセージタイプは、PA-TNCメッセージ内部に含ま属性に関連付けられているソフトウェア部品(コンポーネントタイプ)を示しています。そのため、特定のコンポーネントの評価を支援するために書かれた姿勢コレクターと姿勢バリデータは、コンポーネントに関するメッセージを受信し、したがって、その評価に参加するために登録することができます。各姿勢コレクター・姿勢Validatorはメッセージのみのメッセージタイプで定義されたソフトウェア・コンポーネントに関連する属性を含むPA-TNCメッセージを送らなければなりません。これは、コンポーネントの特定のタイプをサポートする唯一の適切な姿勢コレクターと姿勢バリデータは、そのコンポーネントに関連する属性を受信することを保証します。 PA-TNCメッセージが異なるコンポーネントとそれらのコンポーネントの一つだけのメッセージタイプに関する属性の組み合わせが含まれていた場合、「メッセージは、メッセージタイプに含まれたコンポーネント型における利害関係者に配信されますので、他の興味の受信者は、wouldn tはこれらの属性を参照してください。
The message type is composed of two fields: a PA Message Vendor ID and a PA Subtype. The PA Message Vendor ID identifies the vendor or other organization that defined this message type. The PA Subtype identifies the message type more specifically within the set of message types defined by that vendor. This specification defines several IETF Standard PA Subtypes to be used with a PA Message Vendor ID of zero (0). Within this specification, the PA Subtype field is used to indicate the type of component (e.g., firewall) involved with the message's attributes. Therefore, for clarity, the PA subtype will be referred to as the "component type" in this specification. Vendor-defined namespaces may use other semantics for the PA Subtype field as this is outside the scope of this specification.
PAメッセージベンダID及びPAサブタイプ:メッセージタイプは、2つのフィールドから構成されています。 PAメッセージベンダーIDは、このメッセージタイプを定義ベンダーまたは他の組織を識別する。 PAサブタイプは、ベンダによって定義されたメッセージタイプのセット内で、より具体的にメッセージのタイプを識別する。この仕様は、ゼロのPAメッセージベンダーID(0)で使用するいくつかのIETF標準PAサブタイプを定義します。本明細書中では、PAサブタイプフィールドは、メッセージの属性に関与する成分の種類(例えば、ファイアウォール)を示すために使用されます。したがって、明確にするために、PAのサブタイプは、本明細書における「コンポーネントタイプ」と呼ぶことにします。これは、本明細書の範囲外であるとして、ベンダー定義の名前空間は、PAサブタイプフィールドの他のセマンティクスを使用してもよいです。
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| PB-TNC Header |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| PB-TNC Message of type PB-PA-Message |
|(includes PA Message Vendor ID, PA Subtype, and other fields |
| used by Posture Broker Client and Posture Broker Server for |
| routing) |
===============================================================
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| PA-TNC Message Header |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| PA-TNC Attribute |
| (e.g., Product Information) |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| PA-TNC Attribute |
| (e.g., Operational Status) |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Figure 1. Overview of a PB-TNC batch that contains a PA-TNC message
PA-TNCメッセージが含まれているPB-TNCバッチの図1.概要
For example, if a Posture Broker Client sent a PB-TNC batch that contained a PA-TNC message with a message type indicating firewall component, this message would be routed by the Posture Broker Server to Posture Validators registered to assess firewalls. Each registered Posture Validator would receive a copy of the PA-TNC message including the PA-TNC header and set of attributes. It is important that each of the attributes included in the PA-TNC message be associated with the firewall component because only the Posture Collector and Posture Validator interested in firewalls will receive such messages.
姿勢ブローカクライアントがファイアウォールコンポーネントを示すメッセージ・タイプとPA-TNCのメッセージを含んでいたPB-TNCのバッチを送信した場合、このメッセージは、ポスチャバリにポスチャブローカサーバによってルーティングされるファイアウォールを評価するために登録。各登録姿勢ValidatorはPA-TNCヘッダおよび属性のセットを含むPA-TNCメッセージのコピーを受信します。それだけで姿勢コレクターやファイアウォールに興味の姿勢Validatorは、このようなメッセージが表示されますので、PA-TNCメッセージに含まれる各属性は、ファイアウォールコンポーネントに関連付けられていることが重要です。
If the above message contained both firewall and operating system attributes inside a PA-TNC message with a component type of firewall, then any Posture Collector and Posture Validator registered to receive operating system messages would not receive those attributes, as the messages would only be delivered to those registered for firewall messages.
上記メッセージは、両方のファイアウォールとオペレーティングシステムがファイアウォールのコンポーネントタイプとPA-TNCメッセージ内部属性に含まれる場合、任意の姿勢コレクタ及び姿勢Validatorは、オペレーティングシステムのメッセージを受信するために登録メッセージのみが配信されるように、その後、それらの属性を受信しないであろうファイアウォールのメッセージに登録されたものに。
The PB-PA header contains several fields important to the processing of a received PA message. The PA Vendor ID and Subtype are described in the PB-TNC specification and above in section 3.2. Also present in the PB-PA header is a pair of fields that identify the Posture Collector and/or Posture Validator involved in the exchange. These fields are used for performing exclusive delivery of messages as described in section 3.1 and as an indicator for correlation of received attributes.
PB-PAのヘッダは、受信したPAメッセージの処理に重要ないくつかのフィールドが含ま。 PAベンダIDおよびサブタイプは、PB-TNCの明細書およびセクション3.2に説明されています。また、PB-PAのヘッダに存在する姿勢コレクタ及び/又は姿勢Validatorが交換に関与する特定のフィールドの対です。これらのフィールドは、セクション3.1に記載したようにメッセージの排他的送達を行うために、受信した属性の相関の指標として使用されます。
Correlation of attributes is necessary when the sending Posture Collector provides posture for multiple implementations of a single type of component during an assessment, so the recipient Posture Validators need to know which attributes are describing the same implementation.
送信ポスチャコレクタは評価中のコンポーネントの単一タイプの複数の実装のための姿勢を提供するので、受信者姿勢バリが同じ実施態様を説明している属性を知る必要がある場合、属性の相関が必要です。
For example, a single Posture Collector might report attributes on two installed VPN implementations on the endpoint. Because the individual attributes do not include an indication of which VPN product they are describing, the recipient needs something to perform this correlation. Therefore, for this example, the VPN Posture Collector would need to obtain two Posture Collector Identifiers from the Posture Broker Client and consistently use one with each of the implementations during an assessment. The VPN Posture Collector would group all the attributes associated with a particular VPN implementation into a single PB-PA message and send the message using the Posture Collector Identifier it designates as going with the particular implementation. This approach allows the recipient to recognize when attributes in future assessment messages also describe the same component implementation.
例えば、単一姿勢コレクターは、エンドポイント上の2つのインストールVPNの実装上の属性を報告することがあります。個々の属性は、彼らが記述されているのVPN製品表示を含んでいないため、受信者は、この相関を実行するために何かを必要とします。したがって、この例では、VPN姿勢コレクタは姿勢ブローカクライアントから二つの姿勢コレクタ識別子を取得し、一貫して評価時実装のそれぞれのものを使用する必要があろう。 VPN姿勢コレクタは、グループのすべての属性単PB-PAメッセージに特定のVPNの実装に関連付けられ、それは特定の実装に行くように指示する姿勢コレクタ識別子を用いてメッセージを送信することになります。このアプローチは、将来の査定メッセージの属性も同じコンポーネントの実装を記述する際に、受信者が認識することができます。
As depicted in section 3.2, a PA-TNC message consists of a PA-TNC header followed by a sequence of one or more attributes. The PA-TNC message header (described in section 3.6) and the header for each of the PA-TNC attributes (specified in section 4.1) have a fixed type-length-value (TLV) format. Each PA-TNC message MAY contain a mixture of standards-based and vendor-defined attributes identifiable using the type portion of the attribute header. All Posture Collectors and
セクション3.2に示されているように、PA-TNCメッセージは、1つ以上の属性の配列が続くPA-TNCヘッダから成ります。 PA-TNCの各々に対するPA-TNCメッセージヘッダ(セクション3.6を参照)とヘッダ(セクション4.1で指定された)固定タイプレングス値(TLV)形式を持つ属性。各PA-TNCメッセージは標準ベースおよび識別属性ヘッダの型部分を使用して、ベンダー定義属性の混合物を含有してもよいです。すべての姿勢コレクターと
Posture Validators compliant with this specification MUST be capable of processing multiple attributes in a received PA-TNC message. A Posture Collector or Posture Validator that receives a PA-TNC message can use the attribute header's length field to skip any attributes that it does not understand, unless the attribute is marked as mandatory to process.
この仕様に準拠したバリ姿勢は、受信されたPA-TNCメッセージに複数の属性を処理できなければなりません。属性が処理する必須としてマークされていない限り、それは、理解していない任意の属性をスキップする属性ヘッダーの長さフィールドを使用することができますPA-TNCメッセージを受け取る姿勢コレクターや姿勢バリ。
This section defines several IETF Standard PA Subtypes. Each PA subtype defined here identifies a specific component relevant to the endpoint's posture. This allows a small set of generic PA-TNC attributes (e.g., Product Information) to be used to describe a large number of different components (e.g., operating system, anti-virus, etc.). It also allows Posture Collectors and Posture Validators to specialize in a particular component and only receive PA-TNC messages relevant to that component.
このセクションでは、いくつかのIETF標準PAサブタイプを定義します。ここで定義された各PAのサブタイプは、エンドポイントの姿勢に関連する特定のコンポーネントを識別します。これは、(例えば、製品情報)が異なる成分(例えば、オペレーティング・システム、アンチウイルスなど)の多数を記述するために使用される一般的なPA-TNCの小さなセットの属性ができます。また、姿勢コレクターと姿勢バリデータは、特定のコンポーネントを専門とのみ、そのコンポーネントに関連するPA-TNCメッセージを受け取ることができます。
Value Integer Definition
----- ------- ----------
0 Testing Reserved for use in specification
examples, experimentation and
testing.
1 Operating System Operating system running on the endpoint
エンドポイント上で実行されている1オペレーティングシステムオペレーティングシステム
2 Anti-Virus Host-based anti-virus software
2アンチウイルスホストベースのアンチウイルスソフトウェア
3 Anti-Spyware Host-based anti-spyware software
3アンチスパイウェアホストベースのアンチスパイウェアソフト
4 Anti-Malware Host-based anti-malware (e.g., anti-bot) software not included within anti-virus or anti-spyware components
4アンチマルウェアホストベースのアンチマルウェア(例えば、抗ボット)ソフトウェアは、アンチウィルスまたはスパイウェア対策コンポーネント内に含まれていません
5 Firewall Host-based firewall
5ファイアウォールのホストベースのファイアウォール
6 IDPS Host-based Intrusion Detection and/or Prevention Software (IDPS)
6 IDPSホストベースの侵入検知および/または予防ソフトウェア(IDPS)
7 VPN Host-based Virtual Private Network (VPN) software
7 VPNホストベースの仮想プライベートネットワーク(VPN)ソフトウェア
8 NEA Client NEA client software
私NEW NEW Klient klient softoare
These PA subtypes must be used in a PB-PA message with a PA Message Vendor ID of zero (0) indicating an IETF standard type of component (as described in the PB-TNC specification [5]). If these PA subtype
(PB-TNC仕様に記載されているように[5])、これらのPAサブタイプ(0)成分のIETF標準のタイプを示すゼロのPAメッセージベンダーIDとPB-PAメッセージで使用されなければなりません。これらのPAサブタイプの場合
values are used with a different PA Message Vendor ID, they have a completely different meaning that is not defined in this specification. Posture Collectors and Posture Validators MUST NOT require support for particular vendor-specific PA subtypes and MUST interoperate with other parties despite any differences in the set of vendor-specific PA subtypes supported (although they MAY permit administrators to configure them to require support for specific PA subtypes).
値が異なるPAメッセージベンダーIDと一緒に使用されている、彼らは、この仕様で定義されていない完全に異なる意味を持ちます。姿勢コレクターと姿勢バリデータは、特定のベンダー固有のPAサブタイプのサポートを要求してはなりませんし、それらが特定のPAのサポートを必要とするためにそれらを設定するために、管理者が許可することができるが、(サポート対象のベンダー固有のPAサブタイプのセットの違いにもかかわらず、他の関係者と相互運用しなければなりませんサブタイプ)。
This section describes the format and semantics of the PA-TNC header.
Every PA-TNC message MUST start with a PA-TNC header. The PA-TNC
header provides a common context applying to all of the attributes
contained within the PA-TNC payload. The payload consists of a
sequence of assessment attributes described in section 4.2.
1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Version | Reserved |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Message Identifier |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Version
版
This field indicates the version of the format for the PA-TNC message. This version is intended to allow for evolution of the PA-TNC message header and payload in a manner that can easily be detected by message recipients.
このフィールドは、PA-TNCメッセージのフォーマットのバージョンを示します。このバージョンは、容易にメッセージ受信者によって検出することができるようにしてPA-TNCメッセージヘッダとペイロードの進化を可能にするために意図されています。
PA-TNC message senders MUST set this field to 0x01 for all PA-TNC messages that comply with this specification. Implementations responding to a PA-TNC message containing a supported version MUST use the same version number to minimize the risk of version incompatibility. Message recipients MUST respond to a PA-TNC message containing an unsupported version by sending a Version Not Supported error in a PA-TNC Error attribute that is the only PA-TNC attribute in a PA-TNC message with version number 1.
PA-TNCのメッセージ送信者は、この仕様に準拠し、すべてのPA-TNCのメッセージに対して0X01このフィールドを設定しなければなりません。サポートされているバージョンを含むPA-TNCメッセージに応答する実装は、バージョン非互換性のリスクを最小限に抑えるために、同じバージョン番号を使用しなければなりません。メッセージ受信者は、バージョン番号1のPA-TNCメッセージにのみPA-TNCの属性であるPA-TNCエラー属性に誤りがサポートされていないバージョンを送信することにより、サポートされていないバージョンを含むPA-TNCメッセージに反応しなければなりません。
PA-TNC message initiators supporting multiple PA-TNC protocol versions SHOULD be able to alter which version of PA-TNC message they send based on prior message exchanges with a particular peer Posture Collector or Posture Validator.
複数のPA-TNCプロトコルバージョンをサポートしているPA-TNCメッセージ開始剤は、それらが特定のピア姿勢コレクタや姿勢検証先行メッセージ交換に基づいて送るPA-TNCメッセージのバージョンを変更することができるべきです。
Reserved
予約済み
Reserved for future use. This field MUST be set to 0 on transmission and ignored upon reception.
将来の使用のために予約されています。このフィールドには、送信時に0に設定されて、レセプションで無視しなければなりません。
Message Identifier
メッセージを識別する
This field contains a value that uniquely identifies this message, differentiating it from others sent by a particular PA-TNC message sender within this assessment. This value can be included in the payload of a response message to indicate which message was received and caused the response. This value is included in the payload of PA-TNC error messages so the party who receives the error message can determine which of the messages they had sent caused the error.
このフィールドは、このアセスメント内の特定のPA-TNCメッセージ送信者によって送信された他の人からそれを区別する、一意にこのメッセージを識別する値が含まれています。この値は、受信した応答を引き起こしたメッセージを示すために、応答メッセージのペイロードに含めることができます。エラーメッセージを受信した当事者は、エラーの原因となった彼らが送ったメッセージのかを判断できるように、この値は、PA-TNCのエラーメッセージのペイロードに含まれています。
PA-TNC message senders MUST NOT send the same message identifier more than once during an assessment. Message identifiers may be randomly generated or sequenced as long as values are not repeated during an assessment message exchange. PA-TNC message recipients are not required to check for duplicate message identifiers.
PA-TNCメッセージの送信者は、アセスメントの間に複数回、同じメッセージ識別子を送ってはいけません。メッセージ識別子は、ランダムに生成されるか、または限りの値が評価メッセージ交換中に繰り返されないように配列決定されてもよいです。 PA-TNCメッセージの受信者は、重複メッセージ識別子をチェックする必要はありません。
This section defines the PA-TNC attributes that can be carried within a PA-TNC message. The initial section defines the standard attribute header that appears at the start of each attribute in a PA-TNC message. The second section defines each of the IETF Standard PA-TNC Attributes and the final section discusses how vendor-defined PA-TNC attributes can be used within a PA-TNC message. Vendor-defined PA-TNC attributes use the vendor's SMI Private Enterprise Number in the Attribute Type field.
このセクションでは、PA-TNCは、PA-TNCのメッセージ内で運ばれることができる属性を定義します。最初のセクションでは、PA-TNCメッセージの各属性の開始時に表示される標準属性ヘッダを定義しています。第2のセクションは、IETF標準のPA-TNCの各属性及び最後のセクションは、ベンダー定義PA-TNCは、属性はPA-TNCのメッセージ内で使用することができる方法について説明定義します。ベンダー定義PA-TNCの属性は、属性タイプのフィールドにベンダーのSMIプライベートエンタープライズ番号を使用しています。
A PA-TNC message MUST contain a PA-TNC header (defined in section 3.6. followed by a sequence of zero or more PA-TNC attributes. All PA-TNC attributes MUST begin with a standard PA-TNC attribute header, as defined in section 4.1. The contents of PA-TNC attributes vary widely, depending on their attribute type. Section 4.2 defines the IETF Standard PA-TNC Attributes. Section 4.3 discusses how vendor-specific PA-TNC attributes can be defined.
PA-TNCメッセージは、で定義されているPA-TNCの属性すべてが、標準のPA-TNC属性ヘッダで開始しなければならない。セクション3.6で定義されたPA-TNCヘッダ(ゼロ以上PA-TNC属性のシーケンスが続くを含まなければなりませんセクション4.1。PA-TNC属性の内容は、それらの属性のタイプに応じて、広く変化する。ベンダー固有のPA-TNCを定義できる属性どのセクション4.2 IETF標準PA-TNC属性。セクション4.3で説明を規定しています。
Following the PA-TNC message header is a sequence of zero or more attributes. All PA-TNC attributes MUST begin with the standard PA-TNC attribute header defined in this subsection. Each attribute described in this specification is represented by a TLV tuple. The TLV tuple includes an attribute identifier comprised of the Vendor ID and Attribute Type (type), the TLV tuple's overall length, and finally the attribute's value. The use of TLV representation was chosen due to its flexibility and extensibility and use in other standards. Recipients of an attribute can use the attribute type fields to determine the precise syntax and semantics of the attribute value field and the length to skip over an unrecognized attribute. The length field is also beneficial when a variable-length attribute value is provided.
PA-TNCメッセージヘッダに続いてゼロ以上の属性の配列です。すべてのPA-TNCは、このサブセクションで定義された標準PA-TNC属性ヘッダで開始する必要があります属性。本明細書で説明した各属性は、TLVタプルによって表されます。 TLVタプルは、ベンダーID及び属性タイプ(型)、TLVタプルの全体の長さ、及び最終的に属性値からなる属性識別子を含みます。 TLV表現の使用は、他の規格では、その柔軟性と拡張性と使用に選ばれました。属性の受信者には認識されていない属性をスキップする属性値フィールドと長さの正確な構文と意味を決定するために、属性タイプのフィールドを使用することができます。可変長属性値が与えられたときの長さフィールドも有益です。
The TLV format does not contain an explicit TLV format version number, so every attribute included in a particular PA-TNC message MUST use the same TLV format. Using the PA-TNC message version number to indicate the format of all TLV attributes within a PA-TNC message allows for future versioning of the TLV format in a manner detectable by PA-TNC message recipients. Similarly, requiring all TLV attribute formats to be the same within a PA-TNC message also ensures that recipients compliant with a particular PA-TNC message version can at least parse every attribute header and use the length to skip over unrecognized attributes. Finally, all attribute TLVs within a PA-TNC message MUST pertain to the same implementation of the component. This restriction is relevant when a single Posture Collector is reporting on multiple implementations of a component, so must send multiple PA-TNC messages each including only the attributes describing a single implementation. For more information on how Posture Collectors should handle multiple implementations, see section 3.3.
TLVフォーマットはので、すべての属性が同じTLV形式を使用しなければならない特定のPA-TNCメッセージに含まれ、明示的なTLV形式のバージョン番号が含まれていません。すべてのTLVのフォーマットを示すために、PA-TNCメッセージのバージョン番号を使用してPA-TNCメッセージ内の属性PA-TNCメッセージ受信者によって検出可能な方法でTLVフォーマットの将来のバージョン管理を可能にします。また、少なくともすべての属性ヘッダを解析し、長さを使用することができ、特定のPA-TNCメッセージバージョンに準拠する受信者が認識できない属性をスキップすることを保証同様に、すべてのTLVを必要とPA-TNCメッセージ内で同じになるようにフォーマット属性。最後に、PA-TNCメッセージ内のすべての属性のTLVは、コンポーネントの同じ実装に関連しなければなりません。この制限は、単一の姿勢コレクタは、コンポーネントの複数の実装に報告されたときに関連しているので、各単一の実装を説明するだけの属性を含む、複数のPA-TNCメッセージを送信しなければなりません。姿勢コレクターは、複数の実装を処理する方法の詳細については、セクション3.3を参照してください。
Every PA-TNC-compliant TLV attribute MUST use the following TLV
format:
1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Flags | PA-TNC Attribute Vendor ID |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| PA-TNC Attribute Type |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| PA-TNC Attribute Length |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Attribute Value (Variable Length) |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Flags
国旗
This field defines flags impacting the processing of the associated attribute.
このフィールドには、関連付けられた属性の処理に影響を与えるフラグを定義します。
Bit 0 (0x80) is the NOSKIP flag. Any Posture Collector or Posture Validator that receives an attribute with this flag set to 1 but does not support this attribute MUST NOT process any part of the PA-TNC message and SHOULD respond with an Attribute Type Not Supported error in a PA-TNC error message.
ビット0(0x80の)NOSKIPフラグです。 1に設定し、このフラグを使用して属性を受けるが、PA-TNCメッセージのどの部分を処理してはならない、この属性をサポートしていないと属性で応答する必要があります任意の姿勢コレクターや姿勢ValidatorはPA-TNCのエラーメッセージにエラーがサポートされているタイプではありません。
In order to avoid taking action on a subset of the attributes only to later find an unsupported attribute with the NOSKIP flag set, recipients of a multi-attribute PA-TNC message might need to scan all of the attributes prior to acting upon any attribute.
以降のみNOSKIPフラグが設定されたサポートされていない属性を見つけるために、属性のサブセットに行動をとる避けるために、多属性PA-TNCメッセージの受信者は、前に任意の属性に作用するすべての属性をスキャンする必要がある場合があります。
When the NOSKIP flag is set to 0, recipients SHOULD skip any unsupported attributes and continue processing the next attribute.
NOSKIPフラグが0に設定されている場合、受信者がサポートされていない属性をスキップして、次の属性の処理を継続する必要があります。
Bit 1-7 are reserved for future use. These bits MUST be set to 0 on transmission and ignored upon reception.
ビット1-7は、将来の使用のために予約されています。これらのビットは送信時に0に設定され、受信時に無視しなければなりません。
PA-TNC Attribute Vendor ID
PA-TNCは、ベンダーID属性
This field indicates the owner of the namespace associated with the PA-TNC Attribute Type. This is accomplished by specifying the 24-bit SMI Private Enterprise Number Vendor ID of the party who owns the Attribute Type namespace. IETF Standard PA-TNC Attribute Types MUST use zero (0) in this field.
このフィールドは、PA-TNC属性タイプに関連付けられた名前空間の所有者を示します。これは、属性タイプの名前空間を所有している当事者の24ビットSMIプライベートエンタープライズ番号ベンダーIDを指定することによって達成されます。 IETF標準のPA-TNCは、タイプがこのフィールドにゼロ(0)を使用しなければならない属性。
The PA-TNC Attribute Vendor ID 0xffffff is reserved. Posture Collectors and Posture Validators MUST NOT send PA-TNC messages in which the PA-TNC Attribute Vendor ID has this reserved value (0xffffff). If a Posture Collector or Posture Validator receives a message in which the PA-TNC Attribute Vendor ID has this reserved value (0xffffff), it SHOULD respond with an Invalid Parameter error code in a PA-TNC Error attribute.
PA-TNC属性ベンダID 0xFFFFFFのが予約されています。姿勢コレクターと姿勢バリデータは、PA-TNCは、この予約値(0xFFFFFFのを)持っているベンダーID属性れるPA-TNCメッセージを送ってはいけません。姿勢コレクターや姿勢ValidatorはPA-TNCは、ベンダーIDは、この予約値を持つ属性れるメッセージを受信した場合(0xFFFFFFの)、それはPA-TNCエラー属性に無効なパラメータのエラーコードで応答する必要があります。
PA-TNC Attribute Type
PA-TNC属性タイプ
This field defines the type of the attribute included in the Attribute Value field. This field is qualified by the PA-TNC Attribute Vendor ID field so that a particular PA-TNC Attribute Type value (e.g., 327) has a completely different meaning depending on the value in the PA-TNC Attribute Vendor ID field. Posture Collectors and Posture Validators MUST NOT require support for particular vendor-specific PA-TNC Attribute Types and MUST interoperate with other parties despite any differences in the set of vendor-specific PA-TNC Attribute Types supported (although they MAY permit administrators to configure them to require support for specific PA-TNC attribute types).
このフィールドには、属性値フィールドに含まれる属性の型を定義します。 PA-TNCは、属性特定の型の値(例えば、327)は、PA-TNC属性ベンダIDフィールドの値に応じて完全に異なる意味を持つように、このフィールドは、PA-TNCによって修飾され、ベンダーIDフィールド属性。姿勢コレクターと姿勢バリデータは、ベンダー固有のPA-TNCは、属性の型、特定のサポートを必要としてはならないと、彼らはそれらを設定するには、管理者が許可することができるが、ベンダー固有のPA-TNCは、(サポートされているタイプの属性のセットの違いにもかかわらず、他の関係者と相互運用しなければなりません特定のPA-TNCのサポートを必要とする)属性タイプ。
If the PA-TNC Attribute Vendor ID field has the value zero (0), then the PA-TNC Attribute Type field contains an IETF Standard PA-TNC Attribute Type, as listed in the IANA registry. IANA maintains a registry of PA-TNC Attribute Types. Entries in this registry are added by Expert Review with Specification Required, following the guidelines in section 7. Section 4.2 of this specification defines the initial set of IETF Standard PA-TNC Attribute Types.
PA-TNCは、IDフィールドをベンダー属性場合、値ゼロ(0)、タイプフィールド属性次にPA-TNC IANAレジストリにリストされているIETF標準のPA-TNCは、タイプ属性含まを有しています。 IANAは、PA-TNCの属性タイプのレジストリを維持します。このレジストリのエントリは、仕様が必要と専門家レビューによって追加され、この仕様のセクション7 4.2節のガイドラインに従うことIETF標準PA-TNCの属性タイプの初期セットを定義します。
The PA-TNC Attribute Type 0xffffffff is reserved. Posture Collectors and Posture Validators MUST NOT send PA-TNC messages in which the PA-TNC Attribute Type has this reserved value (0xffffffff). If a Posture Collector or Posture Validator receives a message in which the PA-TNC Attribute Type has this reserved value (0xffffffff), it SHOULD respond with an Invalid Parameter error code in a PA-TNC Error attribute.
PA-TNCが予約されて0xffffffffの属性タイプ。姿勢コレクターと姿勢バリデータは、PA-TNCは種類が多く、予約値(0xffffffffのを)持っている属性れるPA-TNCメッセージを送ってはいけません。姿勢コレクターや姿勢ValidatorはPA-TNCは種類が多く、予約値(0xffffffffのを)持っているどの属性でメッセージを受信した場合、それはPA-TNCエラー属性に無効なパラメータのエラーコードで応答する必要があります。
PA-TNC Attribute Length
PA-TNC属性の長さ
This field contains the length in octets of the entire PA-TNC attribute including the PA-TNC Attribute Header (the fields Flags, PA-TNC Attribute Vendor ID, PA-TNC Attribute Type, and PA-TNC Attribute Length). Therefore, this value MUST always be at least 12. Any Posture Collector or Posture Validator that receives a message with a PA-TNC Attribute Length field whose value is less than 12 SHOULD respond with an Invalid Parameter PA-TNC error code. Similarly, if a Posture Collector or Posture Validator receives a PA-TNC message for an Attribute Type that has a well-known Attribute Value length (e.g., fixed-length attribute value) and the Attribute Length indicates a different value (greater or less than the expected value), the recipient SHOULD respond with an Invalid Parameter PA-TNC error code.
このフィールドは、PA-TNCを含む全体のPA-TNC属性のオクテットの長さはヘッダー属性(フィールドフラグを、PA-TNCは、ベンダーID属性、PA-TNCは、属性タイプ、およびPA-TNCは、長さ属性)が含まれています。したがって、この値は常に、少なくとも12でなければなりませんPA-TNCでメッセージを受信する任意の姿勢コレクタや姿勢検証値が12未満では、無効なパラメータPA-TNCエラーコードで応答すべきであるLengthフィールド属性。同様に、姿勢コレクタや姿勢Validatorはよく知られている属性値の長さ(例えば、固定長の属性値)を有し、属性の長さよりも(大きいか小さい異なる値を示す属性タイプのためのPA-TNCのメッセージを受信した場合期待値)、受信者は、無効なパラメータPA-TNCエラーコードで応答する必要があります。
Implementations that do not support the specified PA-TNC Attribute Type can use this length to skip over this attribute to the next attribute. Note that while this field is 4 octets the maximum usable attribute length is less than 2^32-1 due to limitations of the underlying protocol stack. Specifically, PB-TNC TLV header's Batch Length field is also 32 bits in length. Therefore, the maximum batch that PB-TNC can carry is 2^32-1, so the largest PA-TNC message carried by PB-TNC must be less than 2^32-1 - size of the PB-TNC header (see section 4.1 of PB-TNC for more details).
指定されたPA-TNC属性タイプは、次の属性にこの属性をスキップするために、この長さを使用することができますサポートしない実装。このフィールドは、4つのオクテットでありながら、最大使用可能な属性の長さは、基礎となるプロトコルスタックの制限による2未満^ 32-1であることに留意されたいです。具体的には、PB-TNC TLVヘッダのバッチLengthフィールドはまた、長さが32ビットです。したがって、PB-TNCが運ぶことができる最大バッチが2 ^ 32-1であるので、PB-TNCによって運ばれる最大PA-TNCメッセージが2 ^ 32-1よりも小さくなければならない - PB-TNCヘッダのサイズ(セクションを参照詳細は、PB-TNC)の4.1。
Attribute Value
属性値
This field varies depending on the particular type of attribute being expressed. The contents of this field for each of the IETF Standard PA-TNC Attribute Types are defined in section 4.2.
このフィールドは、発現される属性の特定のタイプに依存して変化します。 IETF標準のPA-TNCのそれぞれについて、このフィールドの内容は、タイプがセクション4.2で定義されている属性。
This section defines an initial set of IETF Standard PA-TNC Attribute Types. These Attribute Types MUST always be used with a PA-TNC Vendor ID of zero (0). If these PA-TNC Attribute Type values are used with a different PA-TNC Vendor ID, they have a completely different meaning that is not defined in this specification.
このセクションでは、IETF標準のPA-TNCの属性タイプの初期セットを定義します。これらの属性タイプは、常にゼロのPA-TNCベンダーID(0)を使用する必要があります。これらのPA-TNCはタイプ値が異なるPA-TNCのベンダーIDと一緒に使用されている属性の場合、彼らはこの仕様で定義されていない完全に異なる意味を持ちます。
The following table briefly describes each attribute and defines the numeric value to be used in the PA-TNC Attribute Type field of the PA-TNC Attribute Header. Later subsections provide detailed specifications for each PA-TNC Attribute Value.
次の表は、簡単に各属性について説明し、PA-TNCで使用される数値を定義するPA-TNCのTypeフィールド属性ヘッダー属性。その後のサブセクションでは、各PA-TNCの詳細な仕様は、属性値の提供します。
Number Integer Description
------ ------- -----------
0 Testing Reserved for use in
specification examples,
experimentation, and testing.
1 Attribute Request Contains a list of attribute type values defining the attributes desired from the Posture Collectors.
1つの項目の要求は、姿勢コレクターから必要な属性を定義する属性タイプの値のリストが含まれています。
2 Product Information Manufacturer and product information for the component.
2製品情報メーカーや部品の製品情報です。
3 Numeric Version Numeric version of the component.
3数値バージョン成分の数値バージョン。
4 String Version String version of the component.
成分の4文字列バージョン文字列バージョン。
5 Operational Status Describes whether the component is running on the endpoint.
5つの動作ステータスは、コンポーネントがエンドポイントで実行されているかどうかについて説明します。
6 Port Filter Lists the set of ports (e.g., TCP port 80 for HTTP) that are allowed or blocked on the endpoint.
6ポートフィルタは、エンドポイントに許可またはブロックされたポート(例えば、HTTPのためのTCPポート80)のセットを一覧表示します。
7 Installed Packages List of software packages installed on endpoint that provide the requested component.
要求されたコンポーネントを提供し、エンドポイントにインストールされたソフトウェア・パッケージの7インストール済みパッケージの一覧。
8 PA-TNC Error PA-TNC message or attribute processing error.
8 PA-TNCエラーPA-TNCメッセージまたは属性の処理エラー。
9 Assessment Result Result of the assessment performed by a Posture Validator.
姿勢Validatorによって行わ評価の9評価結果結果。
10 Remediation Instructions Instructions for remediation generated by a Posture Validator.
姿勢Validatorによって生成された改善のための10の修復命令命令。
11 Forwarding Enabled Indicates whether packet forwarding has been enabled between different interfaces on the endpoint.
有効11転送は、パケット転送は、エンドポイント上の異なるインタフェース間で有効になっているかどうかを示します。
12 Factory Default Password Indicates whether the endpoint Enabled has a factory default password enabled.
12工場出荷時のパスワードは有効エンドポイントが有効になって工場出荷時のデフォルトのパスワードを持っているかどうかを示します。
The following subsections discuss the usage, format, and semantics of the Attribute Value field for each IETF Standard PA-TNC Attribute Type.
以下のサブセクションでは、使用、フォーマットを議論し、各IETF標準PA-TNCのためのAttribute Valueフィールドのセマンティクスは属性タイプ。
This PA-TNC Attribute Type allows a Posture Validator to request certain attributes from the registered set of Posture Collectors.
このPA-TNCは、タイプが姿勢コレクターの登録セットから特定の属性を要求する姿勢検証を可能にする属性。
All Posture Collectors that implement any of the IETF Standard PA Subtypes defined in this specification SHOULD support receiving and processing this attribute type for at least those PA subtypes. This requirement is only a "should" because there are deployment scenarios (e.g., see section A.1) where the Posture Collectors proactively send a set of attributes at the start of an assessment (e.g., based upon local policy), so does not need to support Posture Validator requested attributes. Posture Collectors that receive but do not support the Attribute Request attribute MUST respond with an Attribute Type Not Supported PA-TNC error code. Posture Collectors that receive and process this attribute MAY choose to send all, a subset, or none of the requested attributes but MUST NOT send attributes that were not requested (except Error attributes). All Posture Validators that implement any of the IETF Standard PA Subtypes defined in this specification SHOULD support sending this attribute type for at least those PA subtypes.
この仕様で定義されたIETF標準PAサブタイプのいずれかを実装するすべての姿勢コレクターは、少なくともこれらのPAサブタイプのために、この属性タイプを受信して処理をサポートすべきです。この要件は、唯一の「すべきである」の展開シナリオがあるので、姿勢コレクターが積極的(ローカルポリシーに基づいて、例えば)評価の開始時に属性のセットを送信する(例えば、セクションA.1を参照)、そうしません姿勢Validatorは属性を要求しサポートする必要があります。受け取るが、属性要求属性をサポートしていない姿勢コレクターは属性で応じなければなりませんPA-TNCのエラーコードをサポートタイプではありません。受信して、この属性は、要求された属性のすべて、一部、またはnoneを送信することを選択した可能性のあるプロセスが、(エラー属性を除く)は、要求されなかった属性を送ってはいけません姿勢コレクター。この仕様で定義されたIETF標準PAサブタイプのいずれかを実装するすべての姿勢バリデータは、少なくともこれらのPAサブタイプのために、この属性タイプの送信をサポートすべきです。
Posture Validators MUST NOT include this attribute type in an Attribute Request attribute. It does not make sense for a Posture Validator to request that a Posture Collector send an Attribute Request attribute.
姿勢バリデータは、属性要求属性で、この属性タイプを含んではいけません。姿勢Validatorは姿勢コレクターは属性要求属性を送信することを要求することは意味がありません。
For this attribute type, the PA-TNC Attribute Vendor ID field MUST be set to zero (0) and the PA-TNC Attribute Type field MUST be set to 1.
この属性のタイプは、PA-TNCは、ベンダーIDフィールドが1に設定しなければなりません(0)とPA-TNCは、属性タイプ・フィールドに設定されなければならない属性。
The following diagram illustrates the format and contents of the Attribute Value field for this attribute type. The text after this diagram describes the fields shown here.
次の図は、この型の属性値フィールドの形式と内容を示しています。この図の後のテキストは、ここに示されているフィールドについて説明します。
Note that this diagram shows two attribute types. The actual number of attribute types included in an Attribute Request attribute can vary from one to a large number (limited only by the maximum message and length supported by the underlying PT protocol). However, each Attribute Request MUST contain at least one attribute type. Because the length of a PA-TNC Attribute Vendor ID paired with a PA-TNC Attribute Type and a 1-octet Reserved field is always 8 octets, the number of requested attributes can be easily computed using the PA-TNC Attribute Length field by subtracting the number of octets in the PA-TNC Attribute Header and dividing by 8. If the PA-TNC Attribute Length field is invalid, Posture Collectors SHOULD respond with an Invalid Parameter PA-TNC error code.
この図は、2つの属性の種類を示していることに注意してください。多数1つから変化することができる属性要求属性に含まれる属性タイプの実際の数は、(のみ根底PTプロトコルによってサポートされる最大メッセージ長さによって制限されます)。しかし、各属性要求は、少なくとも1つの属性の種類を含まなければなりません。 PA-TNCの長さは、PA-TNCと対にベンダーIDを属性タイプを属性と1オクテット予約フィールドは常に8つのオクテットであるため、要求された属性の数を容易に引くことによってPA-TNCは、Lengthフィールド属性用いて計算することができます。 PA-TNCのオクテットの数がヘッダー属性とPA-TNCは、長さフィールドが無効な属性の場合は8で割る、姿勢コレクターは、無効なパラメータPA-TNCエラーコードで応答する必要があります。
1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Reserved | PA-TNC Attribute Vendor ID |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| PA-TNC Attribute Type |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Reserved | PA-TNC Attribute Vendor ID |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| PA-TNC Attribute Type |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Reserved
予約済み
Reserved for future use. This field MUST be set to 0 on transmission and ignored upon reception.
将来の使用のために予約されています。このフィールドには、送信時に0に設定されて、レセプションで無視しなければなりません。
PA-TNC Attribute Vendor ID
PA-TNCは、ベンダーID属性
This field contains the SMI Private Enterprise Number of the organization that controls the namespace for the following PA-TNC Attribute Type. This field enables IETF Standard PA-TNC Attributes and vendor-defined PA-TNC attributes to be used without potential collisions.
このフィールドには、次のPA-TNC属性タイプの名前空間を制御する組織のSMI民間企業の数が含まれています。このフィールドは、IETF標準のPA-TNC属性およびベンダー定義のPA-TNCは、潜在的な衝突せずに使用することができます属性。
Any IETF Standard PA-TNC Attribute Types defined in section 4.2 MUST use zero (0) in this field. Vendor-defined attributes MUST use the SMI Private Enterprise Number of the organization that defined the attribute.
任意のIETF標準のPA-TNCは、セクション4.2で定義されたタイプは、このフィールドにゼロ(0)を使用しなければならない属性。ベンダー定義の属性は、属性を定義した組織のSMIプライベートエンタープライズ番号を使用する必要があります。
PA-TNC Attribute Type
PA-TNC属性タイプ
The PA-TNC Attribute Type field (together with the PA-TNC Vendor ID field) indicates the specific attribute requested. Some IETF Standard PA-TNC Attribute Types MUST NOT be requested using this field (e.g., requesting a PA-TNC Error attribute). This is explicitly indicated in the description of those PA-TNC Attribute Types. Any Posture Collector or Posture Validator that receives an Attribute Request containing one of the prohibited Attribute Types SHOULD respond with an Invalid Parameter error in a PA-TNC error message.
PA-TNCは、要求された特定の属性を示します(PA-TNCのベンダーIDフィールドと一緒に)フィールド属性タイプ。いくつかのIETF標準のPA-TNCタイプ(例えば、PA-TNCエラー属性を要求する)このフィールドを使用して、要求されてはならない属性。これは、明示的にPA-TNCものはタイプ属性の記述に示されています。禁止属性タイプのいずれかを含む属性要求を受ける任意の姿勢コレクターや姿勢ValidatorはPA-TNCのエラーメッセージに無効なパラメータエラーで応答する必要があります。
This PA-TNC Attribute Type contains identifying information about a product that implements the component specified in the PA Subtype field, as described in section 3.5. For example, if the PA Subtype is Anti-Virus, this attribute would contain information identifying an anti-virus product installed on the endpoint.
このPA-TNCタイプはセクション3.5で説明したように、PAサブタイプフィールドで指定されたコンポーネントを実装する製品についての情報を識別含む属性。例えば、PAサブタイプは、アンチウイルスの場合、この属性は、エンドポイントにインストールされているアンチウイルス製品を特定する情報が含まれています。
All Posture Collectors that implement any of the IETF Standard PA Subtypes defined in this specification MUST support sending this attribute type, at least for those PA subtypes. Whether a particular Posture Collector actually sends this attribute type SHOULD still be governed by local privacy and security policies. All Posture Validators that implement any of the IETF Standard PA Subtypes defined in this specification MUST support receiving this attribute type, at least for those PA subtypes. Posture Validators MUST NOT send this attribute type.
この仕様で定義されたIETF標準PAサブタイプのいずれかを実装するすべての姿勢コレクターは、少なくともこれらのPAサブタイプのために、この属性タイプの送信をサポートしなければなりません。特定の姿勢コレクターが実際にまだ地元のプライバシーおよびセキュリティポリシーによって管理されるべきで、この属性タイプを送信するかどうか。この仕様で定義されたIETF標準PAサブタイプのいずれかを実装するすべての姿勢バリデータは、少なくともこれらのPAサブタイプのために、この属性タイプを受けてサポートしなければなりません。姿勢バリデータは、この属性タイプを送ってはいけません。
For this attribute type, the PA-TNC Attribute Vendor ID field MUST be set to zero (0) and the PA-TNC Attribute Type field MUST be set to 2. The value in the PA-TNC Attribute Length field will vary, depending on the length of the Product Name field. However, the value in the PA-TNC Attribute Length field MUST be at least 17 because this is the length of the fixed-length fields in the PA-TNC Attribute Header and the fixed-length fields in this attribute type. If the PA-TNC Attribute Length field is less than the size of these fixed-length fields, implementations SHOULD respond with an Invalid Parameter PA-TNC error code.
この属性のタイプは、PA-TNCは、ベンダー属性IDフィールド(0)はゼロに設定しなければならなくて、PA-TNCは、Typeフィールド属性、PA-TNCの値は、Lengthフィールドは変化するであろう項目2に設定に依存しなければなりません製品名フィールドの長さ。これはPA-TNCにおける固定長フィールドの長さは、ヘッダと、この属性タイプの固定長フィールドの属性であるためしかし、PA-TNC属性長フィールドの値は、少なくとも17でなければなりません。 PA-TNC属性Lengthフィールドは、これらの固定長フィールドのサイズより小さい場合、実装は、無効なパラメータPA-TNCエラーコードで応答すべきです。
This attribute type includes both numeric and textual identifiers for the organization that created the product (the "product creator") and for the product itself. For automated processing, numeric identifiers are superior because they are less ambiguous and more efficient. However, numeric identifiers are only available if the product creator has assigned them. Therefore, a textual identifier is also included. This textual identifier has the additional benefit that it may be easier for humans to read (although this benefit is minimal since the primary purpose of this attribute is automated assessment).
この属性タイプは、製品(「製品クリエータ」)を作成した組織のために、製品自体の数値とテキスト識別子の両方を含んでいます。彼らは以下のあいまいな、より効率的であるため、自動処理のために、数値識別子が優れています。しかし、数値識別子は、製品の作成者がそれらを割り当てられている場合にのみ使用可能です。したがって、テキスト識別子も含まれます。このテキスト識別子は、(この利点は、この属性の主な目的は評価が自動化されているので、最小限のですが)人間が読みしやすいかもしれ付加的な利点を持っています。
The following diagram illustrates the format and contents of the Attribute Value field for this attribute type. The text after this diagram describes the fields shown here.
次の図は、この型の属性値フィールドの形式と内容を示しています。この図の後のテキストは、ここに示されているフィールドについて説明します。
1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Product Vendor ID | Product ID |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Product ID | Product Name (Variable Length) |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Product Vendor ID
製品のベンダーID
This field contains the SMI Private Enterprise Number for the product creator. If the SMI PEN for the product creator is unknown or if the product creator does not have an SMI PEN, the Product Vendor ID field MUST be set to 0 and the identity of the product creator SHOULD be included in the Product Name along with the name of the product.
このフィールドは、製品のクリエーターのためのSMIプライベートエンタープライズ番号が含まれています。製品のクリエーターのためのSMI PENは不明であるか、製品の作成者がSMI PENを持っていない場合、製品のベンダーIDフィールドが0に設定しなければならないと、製品の作成者の身元が名前とともに商品名に含めるかどうか製品の。
Product ID
製品番号
This field identifies the product using a numeric identifier assigned by the product creator. If this Product ID value is unknown or if the product creator has not assigned such a value, this field MUST be set to 0. If the Product Vendor ID is 0, this field MUST be set to 0. In any case, the name of the product SHOULD be included in the Product Name field.
このフィールドは、製品の作成者によって割り当てられた数値の識別子を使用して製品を識別します。この製品ID値が未知であるか、または製品の作成者がそのような値が割り当てられていない場合に製品ベンダーIDが0の場合、このフィールドは0に設定する必要がある場合、このフィールドは、いずれの場合も0に設定しなければなりません、名製品には、製品名]フィールドに含まれるべきです。
Note that a particular Product ID value (e.g., 635) will have completely different meanings depending on the Product Vendor ID. Each Product Vendor ID defines a different space of Product ID values. Product creators are encouraged to publish lists of Product ID values for their products.
特定の製品ID値(例えば、635)は、製品ベンダIDに応じて完全に異なる意味を持つことに注意してください。各製品のベンダーIDは、製品ID値の異なる空間を規定します。製品のクリエイターは、自社製品のプロダクトID値のリストを公開することをお勧めします。
Product Name
商品名
This variable-length field contains a UTF-8 [2] string identifying the product (e.g., "Symantec Norton AntiVirus(TM) 2008") in enough detail to unambiguously distinguish it from other products from the product creator. Products whose creator is known, but does not have a registered SMI Private Enterprise Number, SHOULD be represented using a combination of the creator name and full product name (e.g., "Ubuntu(R) IPtables" for the IPtables firewall in the Ubuntu distribution of Linux). If the product creator's SMI Private Enterprise Number is included in the Product Vendor ID field, the product creator's name may be omitted from this field.
この可変長フィールドは、明確に、製品の作成者からの他の製品と区別するために十分に詳細に製品(例えば、「シマンテックノートン・アンチウイルス(TM)2008」)を識別するUTF-8 [2]の文字列を含みます。その生みの親知られているが、登録されたSMI民間企業の数を持っていない製品は、のUbuntuディストリビューションに作成者名と完全な製品名iptablesファイアウォール(例えば、「Ubuntuの(R)iptablesの」の組み合わせを使用して表現されるべきである(SHOULD) Linuxの)。製品の作成者のSMI民間企業の数は、製品のベンダーIDフィールドに含まれている場合、製品の作成者の名前は、このフィールドから省略することができます。
The length of this field can be determined by starting with the value in the PA-TNC Attribute Length field in the PA-TNC Attribute Header and subtracting the size of the fixed-length fields in that header (12) and the size of the fixed-length fields in this attribute (5). If the PA-TNC Attribute Length field is less than the size of these fixed-length fields, implementations SHOULD respond with an Invalid Parameter PA-TNC error code.
このフィールドの長さは、ヘッダ属性とそのヘッダ(12)と固定サイズの固定長フィールドのサイズを減算PA-TNCにおけるPA-TNC属性長フィールドの値から始まるによって決定することができますこの属性で-lengthフィールド(5)。 PA-TNC属性Lengthフィールドは、これらの固定長フィールドのサイズより小さい場合、実装は、無効なパラメータPA-TNCエラーコードで応答すべきです。
This PA-TNC Attribute Type contains numeric version information for a product on the endpoint that implements the component specified in the PA Subtype field, as described in section 3.5. For example, if the PA Subtype is Operating System, this attribute would contain numeric version information for the operating system installed on the endpoint. The version information in this attribute is associated with a particular product, so Posture Validators are expected to also possess the corresponding Product Information attribute when interpreting this attribute.
このPA-TNCは、タイプはセクション3.5で説明したように、PAサブタイプフィールドで指定されたコンポーネントを実装して、エンドポイント上の製品のための数値バージョン情報が含まれている属性。 PAサブタイプは、オペレーティングシステムであれば、例えば、この属性は、エンドポイントにインストールされているオペレーティングシステム用の数値バージョン情報が含まれています。この属性では、バージョン情報は、特定の製品に関連付けられている、姿勢バリので、この属性を解釈する際にも対応する製品情報の属性を有することが期待されています。
All Posture Collectors that implement the IETF Standard PA Subtype for Operating System SHOULD support sending this attribute type, at least for the Operating System PA subtype. Other Posture Collectors MAY support sending this attribute type. Whether a particular Posture Collector actually sends this attribute type SHOULD still be governed by local privacy and security policies. All Posture Validators that implement the IETF Standard PA Subtype for Operating System SHOULD support receiving this attribute type, at least for the Operating System PA subtype. Other Posture Validators MAY support receiving this attribute type. A Posture Validator that does not support receiving this attribute type SHOULD simply ignore attributes with this type. Posture Validators MUST NOT send this attribute type.
オペレーティングシステムのためのIETF標準PAサブタイプを実装するすべての姿勢コレクターは、少なくともオペレーティングシステムのPAサブタイプのために、この属性タイプの送信をサポートすべきです。他の姿勢コレクターは、この属性タイプの送信をサポートするかもしれません。特定の姿勢コレクターが実際にまだ地元のプライバシーおよびセキュリティポリシーによって管理されるべきで、この属性タイプを送信するかどうか。オペレーティングシステムのためのIETF標準PAサブタイプを実装するすべての姿勢バリデータは、少なくともオペレーティングシステムのPAサブタイプのために、この属性タイプを受信をサポートすべきです。他の姿勢バリデータは、この属性タイプを受信をサポートするかもしれません。この属性タイプの受信をサポートしていない姿勢Validatorは、単純にこのタイプの属性を無視すべきです。姿勢バリデータは、この属性タイプを送ってはいけません。
For this attribute type, the PA-TNC Attribute Vendor ID field MUST be set to zero (0) and the PA-TNC Attribute Type field MUST be set to 3. The value in the PA-TNC Attribute Length field MUST be 28. If the PA-TNC Attribute Length field is less than the size of these fixed-length fields, implementations SHOULD respond with an Invalid Parameter PA-TNC error code.
この属性のタイプは、PA-TNCは、ベンダーIDフィールドはゼロに設定されなければならない属性(0)とPA-TNCは、Typeフィールド属性PA-TNCの値が長さフィールドが28の場合でなければなりません項目3に設定しなければなりませんPA-TNC属性Lengthフィールドは、これらの固定長フィールドのサイズは、実装が無効なパラメータPA-TNCエラーコードで応答すべきである未満です。
This attribute type includes numeric values for the product version information, enabling Posture Validators to do comparative operations on the version. Some Posture Collectors may not be able to determine some or all of this information for a product. However, this attribute can be especially useful for describing the version of the operating system, where numeric version numbers are generally available.
この属性のタイプは、バージョンに比較操作を行うために姿勢バリデータを有効にする、製品のバージョン情報の数値が含まれています。いくつかの姿勢コレクターは、製品のため、この情報の一部またはすべてを決定することができない場合があります。ただし、この属性は数値バージョン番号は、一般的に利用可能なオペレーティングシステムのバージョンを記述するために特に有用であることができます。
The following diagram illustrates the format and contents of the Attribute Value field for this attribute type. The text after this diagram describes the fields shown here.
次の図は、この型の属性値フィールドの形式と内容を示しています。この図の後のテキストは、ここに示されているフィールドについて説明します。
1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Major Version Number |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Minor Version Number |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Build Number |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Service Pack Major | Service Pack Minor |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Major Version Number
メジャーバージョン番号
This field contains the major version number for the product, if applicable. If unused or unknown, this field SHOULD be set to 0.
該当する場合、このフィールドは、製品のメジャーバージョン番号が含まれています。未使用または不明な場合は、このフィールドは0に設定する必要があります。
Minor Version Number
マイナーバージョン番号
This field contains the minor version number for the product, if applicable. If unused or unknown, this field SHOULD be set to 0.
該当する場合、このフィールドは、製品のマイナーバージョン番号が含まれています。未使用または不明な場合は、このフィールドは0に設定する必要があります。
Build Number
ビルド番号
This field contains the build number for the product, if applicable. This may provide more granularity than the minor version number, as many builds may occur leading up to an official release, and all these builds may share a single major and minor version number. If unused or unknown, this field SHOULD be set to 0.
該当する場合、このフィールドは、製品のビルド番号が含まれています。多くは、公式リリースに至るまでの発生する可能性が構築しますので、これは、マイナーバージョン番号よりも細分性を提供することができ、そしてこれらはすべて、単一のメジャーおよびマイナーバージョン番号を共有することが構築します。未使用または不明な場合は、このフィールドは0に設定する必要があります。
Service Pack Major
サービスパックの主な
This field contains the major version number of the service pack for the product, if applicable. If unused or unknown, this field SHOULD be set to 0.
該当する場合、このフィールドは、製品のサービスパックのメジャーバージョン番号が含まれています。未使用または不明な場合は、このフィールドは0に設定する必要があります。
Service Pack Minor
Service Packのマイナー
This field contains the minor version number of the service pack for the product, if applicable. If unused or unknown, this field SHOULD be set to 0.
該当する場合、このフィールドは、製品のサービスパックのマイナーバージョン番号が含まれています。未使用または不明な場合は、このフィールドは0に設定する必要があります。
This PA-TNC Attribute Type contains string version information for a product on the endpoint that implements the component specified in the PA Subtype field, as described in section 3.5. For example, if the PA Subtype is Firewall, this attribute would contain string version information for a host-based firewall product installed on the endpoint (if any). The version information in this attribute is associated with a particular product, so Posture Validators are expected to also possess the corresponding Product Information attribute when interpreting this attribute.
このPA-TNCタイプはセクション3.5で説明したように、PAサブタイプフィールドで指定されたコンポーネントを実装して、エンドポイント上の製品の文字列バージョン情報を含む属性。 PAサブタイプがファイアウォールであれば、例えば、この属性は、エンドポイント(もしあれば)にインストールされているホストベースのファイアウォール製品のための文字列バージョン情報が含まれています。この属性では、バージョン情報は、特定の製品に関連付けられている、姿勢バリので、この属性を解釈する際にも対応する製品情報の属性を有することが期待されています。
All Posture Collectors that implement any of the IETF Standard PA Subtypes defined in this document MUST support sending this attribute type, at least for those PA subtypes. Other Posture Collectors MAY support sending this attribute type. Whether a particular Posture Collector actually sends this attribute type SHOULD still be governed by local privacy and security policies. All Posture Validators that implement any of the IETF Standard PA Subtypes defined in this document MUST support receiving this attribute type, at least for those PA subtypes. Other Posture Validators MAY support receiving this attribute type. Posture Validators MUST NOT send this attribute type.
この文書で定義されたIETF標準PAサブタイプのいずれかを実装するすべての姿勢コレクターは、少なくともこれらのPAサブタイプのために、この属性タイプの送信をサポートしなければなりません。他の姿勢コレクターは、この属性タイプの送信をサポートするかもしれません。特定の姿勢コレクターが実際にまだ地元のプライバシーおよびセキュリティポリシーによって管理されるべきで、この属性タイプを送信するかどうか。この文書で定義されたIETF標準PAサブタイプのいずれかを実装するすべての姿勢バリデータは、少なくともこれらのPAサブタイプのために、この属性タイプを受けてサポートしなければなりません。他の姿勢バリデータは、この属性タイプを受信をサポートするかもしれません。姿勢バリデータは、この属性タイプを送ってはいけません。
For this attribute type, the PA-TNC Attribute Vendor ID field MUST be set to zero (0) and the PA-TNC Attribute Type field MUST be set to 4. The value in the PA-TNC Attribute Length field will vary, depending on the length of the Component Version Number, Internal Build Number, and Configuration Version Number fields. However, the value in the PA-TNC Attribute Length field MUST be at least 15 because this is the length of the fixed-length fields in the PA-TNC Attribute Header and the fixed-length fields in this attribute type. If the PA-TNC Attribute Length field is less than the size of these fixed-length fields or does not match the length indicated by the sum of the fixed-length and variable-length fields, implementations SHOULD respond with an Invalid Parameter PA-TNC error code.
この属性のタイプは、PA-TNCは、ベンダー属性IDフィールド(0)はゼロに設定しなければならなくて、PA-TNCは、Typeフィールド属性、PA-TNCの値は、Lengthフィールドは変化するであろう項目4に設定に依存しなければなりませんコンポーネントのバージョン番号、内部ビルド番号、およびコンフィギュレーションバージョン番号フィールドの長さ。これはPA-TNCにおける固定長フィールドの長さは、ヘッダと、この属性タイプの固定長フィールドの属性であるためしかし、PA-TNC属性長フィールドの値は、少なくとも15でなければなりません。 PA-TNC属性Lengthフィールドは、これらの固定長フィールドのサイズ未満であるか、固定長と可変長フィールドの和で示される長さと一致しない場合、実装は、無効なパラメータPA-TNCで応答する必要がありエラーコード。
The following diagram illustrates the format and contents of the Attribute Value field for this attribute type. The text after this diagram describes the fields shown here.
次の図は、この型の属性値フィールドの形式と内容を示しています。この図の後のテキストは、ここに示されているフィールドについて説明します。
1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Version Len | Product Version Number (Variable Length) |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Build Num Len | Internal Build Number (Variable Length) |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Config. Len | Configuration Version Number (Variable Length)|
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Version Len
のみのバージョン
This field defines the number of octets in the Product Version Number field. If the product version number is unavailable or unknown, this field MUST be set to 0 and the Product Version Number field will be zero length (effectively not present).
このフィールドは、製品のバージョン番号フィールドのオクテット数を定義します。製品のバージョン番号が利用できないか、不明な場合、このフィールドは0に設定しなければならなくて、製品バージョン番号フィールドは、(事実上存在しない)長さがゼロであろう。
Product Version Number
製品のバージョン番号
This field contains a UTF-8 string identifying the version of the component (e.g., "1.12.23.114"). This field MUST be sized to fit the version string and MUST NOT include extra octets for padding or NUL character termination.
このフィールドは、コンポーネントのバージョンを識別するUTF-8文字列を含む(例えば、「1.12.23.114」)。このフィールドは、バージョン文字列に合わせてサイズなければならないとパディングまたはNUL文字終端のための余分なオクテットを含んではいけません。
Various products use a wide range of different formats and semantics for version strings. Some use alphabetic characters, white space, and punctuation. Some consider version "1.21" to be later than version "1.3" and some earlier. Therefore, the syntax and semantics of this string are not defined.
様々な製品は、異なるフォーマットやバージョン文字列の意味論の広い範囲を使用します。いくつかはアルファベット文字、空白、および句読点を使用しています。いくつかは、バージョン「1.21」以降のバージョンよりも「1.3」といくつかの以前であると考えています。したがって、この文字列の構文と意味が定義されていません。
Build Num Len
テンキーレンを構築
This field defines the number of octets in the Internal Build Number field. For products where the internal build number is unavailable or unknown, this field MUST be set to 0 and the Internal Build Number field will be zero length (effectively not present).
このフィールドは、内部ビルド番号フィールドのオクテットの数を定義します。内部ビルド番号が利用できないか、不明である製品については、(事実上存在しない)このフィールドは0に設定しなければならなくて、内部ビルド番号フィールドは長さゼロであろう。
Internal Build Number
内部ビルド番号
This field contains a UTF-8 string identifying the engineering build number of the product. This field MUST be sized to fit the build number string and MUST NOT include extra octets for padding or NUL character termination. The syntax and semantics of this string are not defined.
このフィールドには、製品のエンジニアリング・ビルド番号を特定するUTF-8文字列が含まれています。このフィールドは、ビルド番号の文字列に合わせてサイズなければならないとパディングまたはNUL文字終端のための余分なオクテットを含んではいけません。この文字列の構文と意味が定義されていません。
Config. Len
コンフィグ。のみ
This field defines the number of octets in the Configuration Version Number field. If the configuration version number is unavailable or unknown, this field MUST be set to 0 and the Configuration Version Number field will be zero length (effectively not present).
このフィールドは、コンフィギュレーションバージョン番号フィールドのオクテット数を定義します。コンフィギュレーションバージョン番号が利用できないか、不明な場合、このフィールドは0に設定しなければならないと設定バージョン番号フィールドは、(事実上存在しない)長さがゼロであろう。
Configuration Version Number
設定のバージョン番号
This field contains a UTF-8 string identifying the version of the configuration used by the component. This version SHOULD represent the overall configuration version even if several configuration policy files or settings are used. Posture Collectors MAY include multiple version numbers in this single string if a single version is not practical. This field MUST be sized to fit the version string and MUST NOT include extra octets for padding or NUL character termination.
このフィールドは、コンポーネントによって使用されるコンフィギュレーションのバージョンを識別するUTF-8文字列を含みます。このバージョンでは、いくつかの構成ポリシーファイルや設定が使用されている場合でも、全体構成のバージョンを表現して下さい。シングルバージョンは実用的ではない場合は、姿勢コレクターは、この単一の文字列で複数のバージョン番号を含むかもしれません。このフィールドは、バージョン文字列に合わせてサイズなければならないとパディングまたはNUL文字終端のための余分なオクテットを含んではいけません。
Various products use a wide range of different formats for version strings. Some use alphabetic characters, white space, and punctuation. Some consider version "1.21" to be later than version "1.3" and some earlier. In addition, some Posture Collectors may place multiple configuration version numbers in this single string. Therefore, the syntax and semantics of this string are not defined.
様々な製品には、バージョン文字列の異なるフォーマットの広い範囲を使用します。いくつかはアルファベット文字、空白、および句読点を使用しています。いくつかは、バージョン「1.21」以降のバージョンよりも「1.3」といくつかの以前であると考えています。また、いくつかの姿勢コレクターは、この単一の文字列で複数のコンフィギュレーション・バージョン番号を入れることができます。したがって、この文字列の構文と意味が定義されていません。
This PA-TNC Attribute Type describes the operational status of a product that can implement the component specified in the PA Subtype field, as described in section 3.5. For example, if the PA Subtype is
このPA-TNCは、タイプはセクション3.5で説明したように、PAサブタイプフィールドで指定されたコンポーネントを実装することができ、製品の動作状態を説明する属性。例えば、PAサブタイプがある場合
Anti-Spyware, this attribute would contain information about the operational status of a host-based anti-spyware product that may or may not be installed on the endpoint.
アンチスパイウェア、この属性は、またはエンドポイントにインストールしてもしなくてもよいホストベースのアンチスパイウェア製品の動作ステータスに関する情報が含まれています。
Posture Collectors that implement the IETF Standard PA Subtype for Operating System or VPN MAY support sending this attribute type for those PA subtypes. Posture Collectors that implement other IETF Standard PA Subtypes defined in this specification SHOULD support sending this attribute type for those PA subtypes. Other Posture Collectors MAY support sending this attribute type. Whether a particular Posture Collector actually sends this attribute type SHOULD still be governed by local privacy and security policies. Posture Validators that implement the IETF Standard PA Subtype for Operating System or VPN MAY support receiving this attribute type, at least for those PA subtypes. Posture Validators that implement other IETF Standard PA Subtypes defined in this specification SHOULD support receiving this attribute type, at least for those PA subtypes. Other Posture Validators MAY support receiving this attribute type. A Posture Validator that does not support receiving this attribute type SHOULD simply ignore attributes with this type. Posture Validators MUST NOT send this attribute type.
オペレーティングシステムまたはVPNのためのIETF標準PAサブタイプを実装する姿勢コレクターは、これらのPAサブタイプのために、この属性タイプの送信をサポートするかもしれません。この仕様で定義された他のIETF標準PAサブタイプを実装する姿勢コレクターは、これらのPAサブタイプのために、この属性タイプの送信をサポートすべきです。他の姿勢コレクターは、この属性タイプの送信をサポートするかもしれません。特定の姿勢コレクターが実際にまだ地元のプライバシーおよびセキュリティポリシーによって管理されるべきで、この属性タイプを送信するかどうか。オペレーティングシステムまたはVPNのためのIETF標準PAサブタイプを実装する姿勢バリデータは、少なくともこれらのPAサブタイプのために、この属性タイプを受信をサポートするかもしれません。この仕様で定義された他のIETF標準PAサブタイプを実装する姿勢バリデータは、少なくともこれらのPAサブタイプのために、この属性タイプを受信をサポートすべきです。他の姿勢バリデータは、この属性タイプを受信をサポートするかもしれません。この属性タイプの受信をサポートしていない姿勢Validatorは、単純にこのタイプの属性を無視すべきです。姿勢バリデータは、この属性タイプを送ってはいけません。
For this attribute type, the PA-TNC Attribute Vendor ID field MUST be set to zero (0) and the PA-TNC Attribute Type field MUST be set to 5. The value in the PA-TNC Attribute Length field MUST be 36. If the PA-TNC Attribute Length field does not have this value, implementations SHOULD respond with an Invalid Parameter PA-TNC error code.
この属性のタイプは、PA-TNCは、ベンダーIDフィールドはゼロに設定されなければならない属性(0)とPA-TNCは、Typeフィールド属性PA-TNCの値が長さフィールドが36の場合でなければなりません項目5に設定しなければなりませんPA-TNC属性長フィールドは実装が無効なパラメータPA-TNCのエラーコードで応答すべきである、この値を持っていません。
The following diagram illustrates the format and contents of the Attribute Value field for this attribute type. The text after this diagram describes the fields shown here.
次の図は、この型の属性値フィールドの形式と内容を示しています。この図の後のテキストは、ここに示されているフィールドについて説明します。
1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Status | Result | Reserved |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Last Use |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Last Use (continued) |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Last Use (continued) |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Last Use (continued) |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Last Use (continued) |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Status
状態
This field gives the operational status of the product. The following table lists the values currently defined for this field.
このフィールドには、製品の動作状態を示します。次の表は、現在このフィールドに定義された値を示しています。
Value Description
----- -----------
0 Unknown or other
1 Not installed
2 Installed but not operational
3 Operational
If a Posture Validator receives a value for this field that it does not recognize, it SHOULD treat this value as equivalent to the value 0.
姿勢Validatorは、それは認識していないことをこのフィールドの値を受信した場合、それは値0に相当し、この値を扱うべきです。
Result
結果
This field contains the result of the last use of the product. The following table lists the values currently defined for this field.
このフィールドには、製品の最終使用の結果が含まれています。次の表は、現在このフィールドに定義された値を示しています。
Value Description
----- -----------
0 Unknown or other
1 Successful use with no errors detected
2 Successful use with one or more errors detected
3 Unsuccessful use (e.g., aborted)
Posture Collectors SHOULD set this field to 0 if the Status field contains a value of 1 (Not installed) or 2 (Installed but not operational). If a Posture Validator receives a value for this field that it does not recognize, it SHOULD treat this value as equivalent to the value 0.
Statusフィールドが1(インストールされていない)または2(インストールされますが、動作していない)の値が含まれている場合、姿勢コレクターが0にこのフィールドを設定する必要があります。姿勢Validatorは、それは認識していないことをこのフィールドの値を受信した場合、それは値0に相当し、この値を扱うべきです。
Reserved
予約済み
This field is reserved for future use. The field MUST be set to 0 on transmission and ignored upon reception.
このフィールドは、将来の使用のために予約されています。フィールドには、送信時に0に設定されて、レセプションで無視しなければなりません。
Last Use
最後に使用
This field contains the date and time of the last use of the component. The Last Use date and time MUST be represented as an RFC 3339 [4] compliant ASCII string in Coordinated Universal Time (UTC) time with the additional restrictions that the 't' delimiter and the 'z' suffix MUST be capitalized and fractional seconds (time-secfrac) MUST NOT be included.
このフィールドは、コンポーネントの最後の使用の日付と時刻が含まれています。最終使用日時は、RFC 3339として表現されなければならない「T」区切り文字と「Z」サフィックスが資産計上し、秒の小数でなければならない追加の制限と協定世界時(UTC)時間内[4]に準拠し、ASCII文字列(時間secfrac)が含まれてはいけません。
This field conforms to the date-time ABNF production from section 5.6 of RFC 3339 with the above restrictions. Leap seconds are permitted and Posture Validators MUST support them.
このフィールドは、上記制限がRFC 3339のセクション5.6から日時ABNF生産に準拠しています。うるう秒が許可されていると姿勢バリデータは、それらをサポートしなければなりません。
The last use string MUST NOT be NUL terminated or padded in any way. If the last use time is not known, not applicable, or cannot be represented in this format, the Posture Collector MUST set this field to the value "0000-00-00T00:00:00Z" (allowing this field to be fixed length). Note that this particular reserved value is NOT a valid RFC 3339 date and time and MUST NOT be used for any other purpose in this field.
最後に使用した文字列はNUL終了したり、任意の方法で埋めてはなりません。最後に、使用時間が適用可能ではなく、知られていない、またはこの形式で表現することができない、姿勢コレクタは、値に「0000-00-00T00を:00:00Z」このフィールドを設定する必要がある場合(このフィールドは長さを固定することを可能にします) 。この特定の予約された値が有効なRFC 3339の日付と時刻ではなく、この分野では他の目的に使用してはいけないことに注意してください。
This encoding produces a string that is easy to read, parse, and interpret. The format (more precisely defined in RFC 3339) is YYYY-MM-DDTHH:MM:SSZ, resulting in one and only one representation for each second in UTC time from year 0000 to year 9999. For example, 9:05:00AM EST (GMT-0500) on January 19, 1995 can be represented as "1995-01-19T14:05:00Z". The length of this field is always 20 octets.
このエンコーディングは、読んで解析し、解釈しやすい文字列を生成します。 (より正確には、RFC 3339で定義された)フォーマットは、YYYY-MM-DDTHHある:MM:SSZたとえば、年9999年に0000からUTC時間の各秒唯一1つの表現で、その結果、9時05分00秒AM EST 1995年1月19日に(GMT-0500) ":05:00Z 1995-01-19T14" として表すことができます。このフィールドの長さは常に20オクテットです。
This PA-TNC Attribute Type provides the list of port numbers and associated protocols (e.g., TCP and UDP) that are currently blocked or allowed by a host-based firewall on the endpoint.
このPA-TNCは、タイプが現在のエンドポイント上のホストベースのファイアウォールでブロックまたは許可されているポート番号と関連プロトコルのリスト(例えば、TCPおよびUDP)を提供し属性。
Posture Collectors that implement the IETF Standard PA Subtype for Firewall or VPN SHOULD support sending this attribute type for those PA subtypes. Posture Collectors that implement other IETF Standard PA Subtypes defined in this specification MUST NOT support sending this attribute type for those PA subtypes. Other Posture Collectors MAY support sending this attribute type, if it is appropriate to their PA subtype. Whether a particular Posture Collector actually sends this attribute type SHOULD still be governed by local privacy and security policies. Posture Validators that implement the IETF Standard PA Subtype for Firewall or VPN SHOULD support receiving this attribute type, at least for those PA subtypes. Posture Validators that implement other IETF Standard PA Subtypes defined in this specification MUST NOT support receiving this attribute type for those PA subtypes. Other Posture Validators MAY support receiving this attribute type. A Posture Validator that does not support receiving this attribute type SHOULD simply ignore attributes with this type. Posture Validators MUST NOT send this attribute type.
ファイアウォールやVPNのためのIETF標準PAサブタイプを実装する姿勢コレクターは、これらのPAサブタイプのために、この属性タイプの送信をサポートすべきです。この仕様で定義された他のIETF標準PAサブタイプを実装する姿勢コレクターは、これらのPAサブタイプのために、この属性タイプの送信をサポートしてはなりません。他の姿勢コレクターは、それが彼らのPAサブタイプに適切である場合は、この属性タイプの送信をサポートするかもしれません。特定の姿勢コレクターが実際にまだ地元のプライバシーおよびセキュリティポリシーによって管理されるべきで、この属性タイプを送信するかどうか。ファイアウォールやVPNのためのIETF標準PAサブタイプを実装する姿勢バリデータは、少なくともこれらのPAサブタイプのために、この属性タイプを受信をサポートすべきです。この仕様で定義された他のIETF標準PAサブタイプを実装する姿勢バリデータは、これらのPAサブタイプのために、この属性タイプの受信をサポートしていなければなりません。他の姿勢バリデータは、この属性タイプを受信をサポートするかもしれません。この属性タイプの受信をサポートしていない姿勢Validatorは、単純にこのタイプの属性を無視すべきです。姿勢バリデータは、この属性タイプを送ってはいけません。
For this attribute type, the PA-TNC Attribute Vendor ID field MUST be set to zero (0) and the PA-TNC Attribute Type field MUST be set to 6.
この属性のタイプは、PA-TNCは、ベンダーIDフィールドは6に設定しなければなりません(0)とPA-TNCは、属性タイプ・フィールドに設定されなければならない属性。
The following diagram illustrates the format and contents of the Attribute Value field for this attribute type. The text after this diagram describes the fields shown here.
次の図は、この型の属性値フィールドの形式と内容を示しています。この図の後のテキストは、ここに示されているフィールドについて説明します。
Note that this diagram shows two Protocol/Port Number pairs. The actual number of Protocol/Port Number pairs included in a Port Filter attribute can vary from one to a large number (limited only by the maximum message and length supported by the underlying PT protocol). However, each Port Filter attribute MUST contain at least one Protocol/Port Number pair. Because the length of a Protocol/Port Number pair with the Reserved field and B flag is always 4 octets, the number of Protocol/Port Number pairs can be easily computed using the PA-TNC Attribute Length field by subtracting the number of octets in the PA-TNC Attribute Header and dividing by 4. If the PA-TNC Attribute Length field is invalid, Posture Validators SHOULD respond with an Invalid Parameter PA-TNC error code.
この図は、2つのプロトコル/ポート番号のペアを示していることに注意してください。ポートフィルタ属性に含まれるプロトコル/ポート番号の組の実際の数は、1〜(のみ根底PTプロトコルによってサポートされる最大メッセージ長さによって制限される)多数に変化させることができます。しかし、各ポートフィルタ属性は、少なくとも一つのプロトコル/ポート番号のペアを含まなければなりません。 Reservedフィールドとプロトコル/ポート番号の組とBフラグの長さは常に4つのオクテットであるので、プロトコル/ポート番号のペアの数を容易PA-TNCを用いて計算することができるのオクテットの数を減算することにより長さフィールド属性PA-TNCヘッダー属性とPA-TNC属性の長さフィールドが無効な場合、姿勢バリデータは無効なパラメータPA-TNCのエラーコードで応答すべきである4で割ます。
1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Reserved |B| Protocol | Port Number |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Reserved |B| Protocol | Port Number |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Reserved
予約済み
This field is reserved for future use. It MUST be set to 0 on transmission and ignored upon reception.
このフィールドは、将来の使用のために予約されています。これは、送信時に0に設定されて、レセプションで無視しなければなりません。
B Flag (Blocked or Allowed Port)
Bフラグ(ポートをブロックまたは許可)
This single-bit field indicates whether the following port is blocked or allowed. This bit MUST be set to 1 if the protocol and port combination is blocked. Otherwise, this field MUST be set to 0. This field was provided to allow for more abbreviated reporting of the port filtering policy (e.g., when all ports are blocked except a few, the Posture Collector can just list the few that are allowed).
この単一ビットのフィールドは、次のポートがブロックまたは許可されているかどうかを示します。プロトコルとポートの組み合わせがブロックされている場合、このビットは1に設定しなければなりません。そうでない場合、このフィールドは0に設定しなければなりませんこのフィールドは、ポートフィルタポリシーのより略記報告(すべてのポートが少数しかブロックされている場合、例えば、姿勢コレクタだけ許可されているいくつかを一覧表示することができる)を可能にするために提供されました。
Posture Collectors MUST NOT provide a mixed list of blocked and non-blocked ports for a particular protocol. To be more precise, a Posture Collector MUST NOT include two Protocol/Port Number pairs in a single Port Filter attribute where the protocol number is the same but the B flag is different. Also, Posture Collectors MUST NOT list the same Protocol and Port Number combination twice in a Port List attribute.
姿勢コレクターは、特定のプロトコルのためにブロックされた非ブロックされたポートとの混合リストを提供してはいけません。具体的には、姿勢コレクタは、プロトコル番号は同じであるが、Bフラグが異なる単一ポートフィルタ属性二つプロトコル/ポート番号の組を含んではいけません。また、姿勢コレクターはポートリスト属性で二度同じプロトコルとポート番号の組み合わせをリストしてはなりません。
Posture Collectors MAY list all blocked ports for one protocol and all allowed ports for a different protocol in a single Port List attribute, using the B flag to indicate whether each entry is blocked. For example, a Posture Collector might list all the blocked TCP ports but only list the allowed UDP ports. However, it MUST NOT list some blocked TCP ports and some other allowed TCP ports.
姿勢コレクターは、各エントリがブロックされているかどうかを示すために、Bフラグを使用して、単一のポートリスト属性の異なるプロトコルのためのプロトコルのためのすべてのブロックされたポートと、すべて許可ポートを列挙してもよいです。例えば、姿勢コレクターはすべてブロックされたTCPポートを一覧表示するだけ許さUDPポートを一覧表示することがあります。しかし、それはいくつかのブロックされたTCPポートおよび他のいくつかの許可TCPポートをリストしてはなりません。
Protocol
プロトコル
This field contains the transport protocol number (e.g., tcp is 6) being blocked or allowed. The values used in this field are the same ones used in the IPv4 Protocol and IPv6 Next Header fields. The IANA already maintains the Assigned Internet Protocol Numbers registry of these values for use in this field.
このフィールドは、ブロックまたは許可される(例えば、TCPは6である)、トランスポートプロトコル番号を含みます。この分野で使用される値は、IPv4プロトコルとIPv6の次のヘッダフィールドで使用したものと同じものです。 IANAは既にこの分野での使用のために、これらの値の割り当てインターネットプロトコル番号のレジストリを維持します。
Port Number
ポート番号
This field contains the transport protocol (e.g., tcp) port number being blocked or allowed. The values used in this field are specific to the protocol identified by the Protocol field. The IANA maintains registries for well-known and user-requested TCP and UDP port numbers for use in this field.
このフィールドは、ブロックまたは許可されているトランスポートプロトコル(例えば、TCP)ポート番号を含みます。この分野で使用される値は、プロトコルフィールドによって識別されるプロトコルに固有です。 IANAは、この分野での使用のためのよく知られており、ユーザが要求したTCPとUDPポート番号のレジストリを維持します。
This PA-TNC Attribute Type contains a list of the installed packages that comprise a product on the endpoint that implements the component specified in the PA Subtype field, as described in section 3.5. This allows a Posture Validator to check which packages are installed for a particular product and which versions of those packages are installed.
このPA-TNCは、タイプはセクション3.5で説明したように、PAサブタイプフィールドで指定されたコンポーネントを実装するエンドポイントで製品を含む、インストールされたパッケージのリストが含まれています属性。これは、それらのパッケージのバージョンがインストールされている特定の製品とするために設置されているパッケージをチェックする態勢検証することができます。
Posture Collectors that implement any of the IETF Standard PA Subtypes defined in this document SHOULD support sending this attribute type for those PA subtypes. Other Posture Collectors MAY support sending this attribute type, if it is appropriate to their PA subtype. Whether a particular Posture Collector actually sends this attribute type SHOULD still be governed by local privacy and security policies. Posture Validators that implement any of the IETF Standard PA Subtypes defined in this document SHOULD support receiving this attribute type, at least for those PA subtypes. Other Posture Validators MAY support receiving this attribute type. A Posture Validator that does not support receiving this attribute type SHOULD simply ignore attributes with this type. Posture Validators MUST NOT send this attribute type.
この文書で定義されたIETF標準PAサブタイプのいずれかを実装する姿勢コレクターは、これらのPAサブタイプのために、この属性タイプの送信をサポートすべきです。他の姿勢コレクターは、それが彼らのPAサブタイプに適切である場合は、この属性タイプの送信をサポートするかもしれません。特定の姿勢コレクターが実際にまだ地元のプライバシーおよびセキュリティポリシーによって管理されるべきで、この属性タイプを送信するかどうか。この文書で定義されたIETF標準PAサブタイプのいずれかを実装する姿勢バリデータは、少なくともこれらのPAサブタイプのために、この属性タイプを受信をサポートすべきです。他の姿勢バリデータは、この属性タイプを受信をサポートするかもしれません。この属性タイプの受信をサポートしていない姿勢Validatorは、単純にこのタイプの属性を無視すべきです。姿勢バリデータは、この属性タイプを送ってはいけません。
This attribute type can be quite long, especially for the Operating System PA subtype. This can cause problems, especially with 802.1X and other limited transport protocols. Therefore, Posture Collectors SHOULD NOT send this attribute unless specifically requested to do so using the Attribute Request attribute or otherwise configured to do so. Also, Posture Validators SHOULD NOT request this attribute unless the transport protocol in use can support the large amount of data that may be sent in response.
この属性の種類は、特にオペレーティングシステムPAサブタイプのため、かなり長くなることができます。これは特に、802.1Xやその他の制限されたトランスポートプロトコルで、問題を引き起こす可能性があります。具体的にそうするように構成されたそれ以外の場合は属性要求属性を使用して、またはそうするように要求されない限りそのため、姿勢のコレクターは、この属性を送るべきではありません。使用中のトランスポートプロトコルは応答して送信することができる大量のデータをサポートすることができない限り、また、姿勢バリデータは、この属性を要求すべきでありません。
For this attribute type, the PA-TNC Attribute Vendor ID field MUST be set to zero (0) and the PA-TNC Attribute Type field MUST be set to 7. The value in the PA-TNC Attribute Length field will vary, depending on the number of packages and the length of the Package Name and Package Version Number fields for those packages. However, the value in the PA-TNC Attribute Length field MUST be at least 16 because this is the length of the fixed-length fields in the PA-TNC Attribute Header and the fixed-length fields in this attribute type. If the PA-TNC Attribute Length field is less than the size of these fixed-length fields or does not match the length indicated by the sum of the fixed-length and variable-length fields, implementations SHOULD respond with an Invalid Parameter PA-TNC error code.
この属性のタイプは、PA-TNCは、ベンダー属性IDフィールド(0)はゼロに設定しなければならなくて、PA-TNCは、Typeフィールド属性、PA-TNCの値は、Lengthフィールドは変化するであろう項目7に設定に依存しなければなりませんパッケージの数と、それらのパッケージのパッケージ名とパッケージのバージョン番号フィールドの長さ。これはPA-TNCにおける固定長フィールドの長さは、ヘッダと、この属性タイプの固定長フィールドの属性であるためしかし、PA-TNC属性長フィールドの値は、少なくとも16でなければなりません。 PA-TNC属性Lengthフィールドは、これらの固定長フィールドのサイズ未満であるか、固定長と可変長フィールドの和で示される長さと一致しない場合、実装は、無効なパラメータPA-TNCで応答する必要がありエラーコード。
The following diagram illustrates the format and contents of the Attribute Value field for this attribute type. The text after this diagram describes the fields shown here.
次の図は、この型の属性値フィールドの形式と内容を示しています。この図の後のテキストは、ここに示されているフィールドについて説明します。
Note that this diagram shows an attribute containing information on one package. The actual number of package descriptions included in an Installed Packages attribute is indicated by the Package Count field. This value may vary from zero to a large number (up to 65535, if the underlying PT protocol can support that many). If this number is not sufficient, specialized patch management software should be employed that can simply report compliance with a pre-established patch policy.
この図は、一つのパッケージについての情報を含む属性を示していることに注意してください。インストール済みのパッケージに含まれたパッケージの説明の実際の数は、パッケージCountフィールドで示される属性。 (下地PTプロトコルはその多くをサポートできる場合、65535まで)、この値は、多数のゼロから変化してもよいです。この数が十分でない場合には、専門的なパッチ管理ソフトウェアは、単に事前に確立されたパッチポリシーの遵守を報告できるように使用されなければなりません。
1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Reserved | Package Count |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Pkg Name Len | Package Name (Variable Length) |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Version Len | Package Version Number (Variable Length) |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Reserved
予約済み
This field is reserved for future use. The field MUST be set to 0 on transmission and ignored upon reception.
このフィールドは、将来の使用のために予約されています。フィールドには、送信時に0に設定されて、レセプションで無視しなければなりません。
Package Count
パッケージのカウント
This field is an unsigned 16-bit integer that indicates the number of packages listed in this attribute. For each package so indicated, a Pkg Name Len, Package Name, Version Len, and Package Version Number field is included in the attribute.
このフィールドは、この属性に記載されているパッケージの数を示す16ビットの符号なし整数です。そう示された各パッケージについて、PKG名称レン、パッケージ名、バージョンレン、およびパッケージのバージョン番号フィールドは、属性に含まれています。
Pkg Name Len
PKG名のみ
This field is an unsigned 8-bit integer that indicates the length of the Package Name field in octets. This field may be zero if a Package Name is not available.
このフィールドは、オクテットでパッケージ名フィールドの長さを示す8ビットの符号なし整数です。パッケージ名が利用できない場合、このフィールドは0であってもよいです。
Package Name
パッケージ名
This field contains the name of the package associated with the product. This field is a UTF-8 encoded character string whose octet length is given by the Pkg Name Len field. This field MUST NOT include extra octets for padding or NUL character termination. The syntax and semantics of this name are not specified in this document, since they may vary across products and/or operating systems. Posture Collectors MAY list two packages with the same name in a single Installed Packages attribute. The meaning of doing so is not defined here.
このフィールドには、製品に関連したパッケージの名前が含まれています。このフィールドは、そのオクテット長PKG名前レンフィールドで与えられるUTF-8でエンコードされた文字列です。このフィールドは、パディングまたはNUL文字終端のための余分なオクテットを含んではいけません。彼らは製品および/またはオペレーティング・システム間で異なる場合があるため、この名前の構文と意味論は、この文書で指定されていません。姿勢コレクターは、単一のインストール済みパッケージの属性に同じ名前の2つのパッケージを表示するかもしれません。そうすることの意味は、ここで定義されていません。
Version Len
のみのバージョン
This field is an unsigned 8-bit integer that indicates the length of the Package Version Number field in octets. This field may be zero if a Package Version Number is not available.
このフィールドは、オクテットでパッケージのバージョン番号フィールドの長さを示す8ビットの符号なし整数です。パッケージのバージョン番号が利用できない場合、このフィールドは0であってもよいです。
Package Version Number
パッケージのバージョン番号
This field contains the version string for the package named in the previous Package Name field. This field is a UTF-8 encoded character string whose octet length is given by the Version Len field. This field MUST NOT include extra octets for padding or NUL character termination. The syntax and semantics of this version string are not specified in this document, since they may vary across products and/or operating systems. Posture Collectors
このフィールドには、以前のパッケージ名]フィールドで指定されたパッケージのバージョン文字列が含まれています。このフィールドは、そのオクテット長バージョンレンフィールドで与えられるUTF-8でエンコードされた文字列です。このフィールドは、パディングまたはNUL文字終端のための余分なオクテットを含んではいけません。彼らは製品および/またはオペレーティング・システム間で異なる場合があるため、このバージョン文字列の構文およびセマンティクスは、この文書で指定されていません。姿勢コレクター
MAY list two packages with the same Package Version Number (and even the same Package Name and Package Version Number) in a single Installed Packages attribute. The meaning of doing so is not defined here.
インストール済みのパッケージ属性単一の同じパッケージのバージョン番号(とさえ同じパッケージ名とパッケージのバージョン番号)を持つ2つのパッケージをリストアップするかもしれません。そうすることの意味は、ここで定義されていません。
This PA-TNC Attribute Type contains an error code and supplemental information regarding an error pertaining to PA-TNC.
このPA-TNC属性タイプは、PA-TNCに関連するエラーに関するエラーコードと補足情報が含まれています。
All Posture Collectors and Posture Validators that implement any of the IETF Standard PA Subtypes defined in this specification MUST support sending and receiving this attribute type, at least for those PA subtypes.
この仕様で定義されたIETF標準PAサブタイプのいずれかが、少なくともこれらのPAサブタイプのために、この属性タイプを送受信サポートしなければならない実装するすべての姿勢コレクターと姿勢バリ。
For this attribute type, the PA-TNC Attribute Vendor ID field MUST be set to zero (0) and the PA-TNC Attribute Type field MUST be set to 8. The value in the PA-TNC Attribute Length field will vary, depending on the length of the Error Information field. However, the value in the PA-TNC Attribute Length field MUST be at least 20 because this is the length of the fixed-length fields in the PA-TNC Attribute Header and the fixed-length fields in this attribute type.
この属性のタイプは、PA-TNCは、ベンダー属性IDフィールド(0)はゼロに設定しなければならなくて、PA-TNCは、Typeフィールド属性、PA-TNCの値は、Lengthフィールドは変化するであろう項目8に設定に依存しなければなりませんエラー情報フィールドの長さ。これはPA-TNCにおける固定長フィールドの長さは、ヘッダと、この属性タイプの固定長フィールドの属性であるためしかし、PA-TNC属性長フィールドの値は、少なくとも20でなければなりません。
A PA-TNC error code SHOULD be sent with the same PA Message Vendor ID and PA Subtype used by the PA-TNC message that caused the error so that the error code is sent to the party who sent the offending PA-TNC message. Other measures (such as setting PB-TNC's EXCL flag and Posture Collector Identifier or Posture Validator Identifier fields) SHOULD also be taken to attempt to ensure that only the party who sent the offending message receives the error.
PA-TNCエラーコードは、エラーコードを怒らPA-TNCメッセージを送信した当事者に送信されるように、エラーの原因となったPA-TNCメッセージによって使用されるのと同じPAメッセージベンダID及びPAサブタイプで送信されるべきです。 (例えばPB-TNCのEXCLフラグと姿勢コレクター識別子や姿勢Validatorの識別子フィールドの設定など)その他の措置も、問題のあるメッセージを送った唯一の政党がエラーを受け取ることを保証しようとするために取られるべきです。
When a PA-TNC error code is received, the recipient MUST NOT respond with a PA-TNC error code because this could result in an infinite loop of errors. Instead, the recipient MAY log the error, modify its behavior to attempt to avoid the error (attempting to avoid loops or long strings of errors), ignore the error, terminate the assessment, or take other action as appropriate (as long as it is consistent with the requirements of this specification).
PA-TNCのエラーコードを受信した場合、これはエラーの無限ループになる可能性があるため、受信者は、PA-TNCのエラーコードで応じてはいけません。代わりに、受信者は、それがあるとして、(、(ループやエラーの長い文字列を避けるためにしようと)エラーを回避しようとすると、エラーを無視し、アセスメントを終了、または必要に応じて他の行動を取るために、その動作を変更、エラーを記録することがありますこの仕様書の要求事項)と一致しました。
Posture Validators MUST NOT include this attribute type in an Attribute Request attribute. It does not make sense for a Posture Validator to request that a Posture Collector send a PA-TNC Error attribute.
姿勢バリデータは、属性要求属性で、この属性タイプを含んではいけません。姿勢Validatorは姿勢コレクタはPA-TNCエラー属性を送信するように要求することは意味がありません。
The following diagram illustrates the format and contents of the Attribute Value field for this attribute type. The text after this diagram describes the fields shown here.
次の図は、この型の属性値フィールドの形式と内容を示しています。この図の後のテキストは、ここに示されているフィールドについて説明します。
1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Reserved | PA-TNC Error Code Vendor ID |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| PA-TNC Error Code |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Error Information (Variable Length) |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Reserved
予約済み
This field is reserved for future use. This field MUST be set to 0 on transmission and ignored upon reception.
このフィールドは、将来の使用のために予約されています。このフィールドには、送信時に0に設定されて、レセプションで無視しなければなりません。
PA-TNC Error Code Vendor ID
PA-TNCエラーコードベンダーID
This field contains the SMI Private Enterprise Number for the organization that defined the PA-TNC Error Code that is being used in the attribute. For IETF Standard PA-TNC Error Code values this field MUST be set to zero (0).
このフィールドは、属性に使用されているPA-TNCのエラーコードを定義した組織のためのSMIプライベートエンタープライズ番号が含まれています。 IETF標準のPA-TNCエラーコード値の場合、このフィールドはゼロに設定しなければなりません(0)。
PA-TNC Error Code
PA-TNCのエラーコード
This field contains the PA-TNC Error Code being reported in this attribute. Note that a particular PA-TNC Error Code value will have completely different meanings depending on the PA-TNC Error Code Vendor ID. Each PA-TNC Error Code Vendor ID defines a different space of PA-TNC Error Code values. Posture Collectors and Posture Validators MUST NOT require support for particular vendor-specific PA-TNC Error Codes and MUST interoperate with other parties despite any differences in the set of vendor-specific PA-TNC Error Codes supported (although they MAY permit administrators to configure them to require support for specific PA-TNC Error Codes).
このフィールドは、この属性で報告されたPA-TNCのエラーコードが含まれています。特にPA-TNCエラーコード値は、PA-TNCエラーコードベンダーIDに応じて、完全に異なる意味を持つことに注意してください。各PA-TNCエラーコードベンダーIDは、PA-TNCエラーコード値の異なる空間を規定します。姿勢コレクターと姿勢バリデータは、特定のベンダー固有のPA-TNCエラーコードのサポートを要求してはなりませんし、それらを設定するには、管理者が許可することができるが、(サポート対象のベンダー固有のPA-TNCエラーコードのセットの違いにもかかわらず、他の関係者と相互運用しなければなりません特定のPA-TNCエラーコードのサポートを必要とします)。
When the PA-TNC Error Code Vendor ID is set to zero (0), the PA-TNC Error Code is an IETF Standard PA-TNC Error Code. IANA maintains a registry of PA-TNC Error Codes. Entries in this registry are added by Expert Review with Specification Required, following the guidelines in section 7.
PA-TNCエラーコードベンダーIDがゼロに設定されている場合(0)、PA-TNCエラーコードは、IETF標準PA-TNCのエラーコードです。 IANAは、PA-TNCエラーコードのレジストリを維持します。このレジストリのエントリはセクション7のガイドライン以下、仕様が必要であるとの専門家レビューによって追加されます。
The following table lists the IETF Standard PA-TNC Error Codes defined in this specification:
次の表は、この仕様で定義されたIETF標準のPA-TNCのエラーコードを示しています。
Integer Description
------- -----------
0 Reserved
1 Invalid Parameter
2 Version Not Supported
3 Attribute Type Not Supported
The next few subsections of this document provide detailed definitions of these error codes.
このドキュメントの次のいくつかのサブセクションでは、これらのエラーコードの詳細な定義を提供しています。
Error Information
エラー情報
This field provides additional context for the error. The contents of this field vary based on the PA-TNC Error Code Vendor ID and PA-TNC Error Code. Therefore, whenever a PA-TNC Error Code is defined, the format of this field for that error code must also be defined. The definitions of IETF Standard PA-TNC Error Codes on the next few pages provide good examples of such definitions.
このフィールドは、エラーのための追加のコンテキストを提供します。このフィールドの内容は、PA-TNCエラーコードのベンダーIDおよびPA-TNCのエラーコードによって異なります。 PA-TNCのエラーコードが定義されるたびにそのため、そのエラーコードのため、このフィールドのフォーマットも定義する必要があります。次の数ページのIETF標準のPA-TNCエラーコードの定義は、そのような定義の良い例を提供しています。
The length of this field can be determined by the recipient using the PA-TNC Attribute Length field by subtracting the length of the fixed-length fields in the PA-TNC Attribute Header and the fixed-length fields in this attribute.
このフィールドの長さは、PA-TNCにおける固定長フィールドの長さを減算することにより、PA-TNC属性Lengthフィールドを使用して受信者がヘッダと、この属性に固定長フィールド属性を決定することができます。
The Invalid Parameter error code is an IETF Standard PA-TNC Error Code (value 1) that indicates that the sender of this error code has detected an invalid value in a PA-TNC message sent by the recipient of this error code in the current assessment.
無効なパラメータ・エラー・コードは、このエラーコードの送信者が現在の評価では、このエラーコードを受信者によって送信されたPA-TNCメッセージに無効な値が検出されたことを示しているIETF標準のPA-TNCエラーコード(値1)であります。
For this error code, the Error Information field contains the first 8 octets of the PA-TNC message that contained the invalid parameter and an offset indicating the position within that message of the invalid parameter.
このエラーコードは、エラー情報フィールドは、無効なパラメータ、無効なパラメータのメッセージ内の位置を示すオフセットを含んでいたPA-TNCメッセージの最初の8つのオクテットを含んでいます。
The following diagram illustrates the format and contents of the Error Information field for this error code. The text after this diagram describes the fields shown here.
次の図は、このエラーコードのエラー情報フィールドの形式と内容を示しています。この図の後のテキストは、ここに示されているフィールドについて説明します。
1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Version | Copy of Reserved |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Message Identifier |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Offset |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Version
版
This field MUST contain an exact copy of the Version field in the PA-TNC Message Header of the PA-TNC message that caused this error.
このフィールドは、このエラーの原因となったPA-TNCメッセージのPA-TNCメッセージヘッダにバージョンフィールドの正確なコピーを含まなければなりません。
Copy of Reserved
予約済みのコピー
This field MUST contain an exact copy of the Reserved field in the PA-TNC Message Header of the PA-TNC message that caused this error.
このフィールドは、このエラーの原因となったPA-TNCメッセージのPA-TNCメッセージヘッダ内の予約フィールドの正確なコピーを含まなければなりません。
Message Identifier
メッセージを識別する
This field MUST contain an exact copy of the Message Identifier field in the PA-TNC Message Header of the PA-TNC message that caused this error.
このフィールドは、このエラーの原因となったPA-TNCメッセージのPA-TNCメッセージヘッダにメッセージ識別子フィールドの正確なコピーを含まなければなりません。
Offset
オフセット
This field MUST contain an octet offset from the start of the PA-TNC Message Header of the PA-TNC message that caused this error to the start of the value that caused this error. For instance, if the first PA-TNC attribute in the message had an invalid PA-TNC Attribute Length (e.g., 0), this value would be 16.
このフィールドは、このエラーの原因となった値の先頭にこのエラーの原因となったPA-TNCメッセージのPA-TNCメッセージヘッダの先頭からのオフセットオクテットを含まなければなりません。メッセージ内の最初のPA-TNC属性があった場合、例えば、無効PA-TNCは、長さ属性(例えば、0)、この値は16であろう。
The Version Not Supported error code is an IETF Standard PA-TNC Error Code (value 2) that indicates that the sender of this error code does not support the PA-TNC version number included in the PA-TNC Message Header of a PA-TNC message sent by the recipient of this error code in the current assessment.
バージョンサポートされていないエラーコードは、このエラーコードの送信者がPA-TNCのPA-TNCメッセージヘッダに含まPA-TNCのバージョン番号をサポートしていないことを示しているIETF標準のPA-TNCのエラーコード(値2)であります現在の評価では、このエラーコードの受信者が送信したメッセージ。
For this error code, the Error Information field contains the first 8 octets of the PA-TNC message that contained the unsupported version as well as Max Version and Min Version fields that indicate which PA-TNC version numbers are supported by the sender of the error code.
このエラーコードの場合は、エラー情報フィールドには、PA-TNCのバージョン番号は、エラーの送信者によってサポートされているサポートされていないバージョンと同様に示している最大バージョンとMinバージョンフィールドが含まれていPA-TNCメッセージの最初の8つのオクテットが含まれていますコード。
The sender MUST support all PA-TNC versions between the Min Version and the Max Version, inclusive (i.e., including the Min Version and the Max Version). When possible, recipients of this error code SHOULD send future messages to the Posture Collector or Posture Validator that originated this error message with a PA-TNC version number within the stated range.
送信者は最低バージョンと最大バージョン間のすべてのPA-TNCのバージョンをサポートしなければならない、(すなわち、最低バージョンおよび最大バージョンを含む)を含めました。可能な場合、このエラーコードの受信者は、述べられた範囲内のPA-TNCのバージョン番号と、このエラーメッセージを発信した姿勢コレクタや姿勢検証に将来メッセージを送信すべきです。
Any party that is sending the Version Not Supported error code MUST include that error code as the only PA-TNC attribute in a PA-TNC message with version number 1. All parties that send PA-TNC messages MUST be able to properly process a message that meets this description, even if they cannot process any other aspect of PA-TNC version 1. This ensures that a PA-TNC version exchange can proceed properly, no matter what versions of PA-TNC the parties implement.
バージョンサポートされていないエラーコードを送信している当事者は、メッセージを正しく処理できなければならないPA-TNCメッセージを送信するバージョン番号1.すべての当事者とPA-TNCメッセージにのみPA-TNC属性としてそのエラーコードを含まなければなりませんそれは、彼らがこれはPA-TNC版交換は関係なく、当事者が実装PA-TNCのどのバージョンが、適切に進めることはできないことを保証PA-TNCバージョン1の他の側面を処理できない場合でも、この説明を満たしています。
The following diagram illustrates the format and contents of the Error Information field for this error code. The text after this diagram describes the fields shown here.
次の図は、このエラーコードのエラー情報フィールドの形式と内容を示しています。この図の後のテキストは、ここに示されているフィールドについて説明します。
1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Version | Copy of Reserved |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Message Identifier |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Max Version | Min Version | Reserved |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Version
版
This field MUST contain an exact copy of the Version field in the PA-TNC Message Header of the PA-TNC message that caused this error.
このフィールドは、このエラーの原因となったPA-TNCメッセージのPA-TNCメッセージヘッダにバージョンフィールドの正確なコピーを含まなければなりません。
Copy of Reserved
予約済みのコピー
This field MUST contain an exact copy of the Reserved field in the PA-TNC Message Header of the PA-TNC message that caused this error.
このフィールドは、このエラーの原因となったPA-TNCメッセージのPA-TNCメッセージヘッダ内の予約フィールドの正確なコピーを含まなければなりません。
Message Identifier
メッセージを識別する
This field MUST contain an exact copy of the Message Identifier field in the PA-TNC Message Header of the PA-TNC message that caused this error.
このフィールドは、このエラーの原因となったPA-TNCメッセージのPA-TNCメッセージヘッダにメッセージ識別子フィールドの正確なコピーを含まなければなりません。
Max Version
マックスバージョン
This field MUST contain the maximum PA-TNC version supported by the sender of this error code.
このフィールドは、このエラーコードの送信者がサポートする最大PA-TNCのバージョンを含まなければなりません。
Min Version
私のバージョン
This field MUST contain the minimum PA-TNC version supported by the sender of this error code.
このフィールドは、このエラーコードの送信側でサポートされる最小PA-TNCのバージョンを含まなければなりません。
Reserved
予約済み
Reserved for future use. This field MUST be set to 0 on transmission and ignored upon reception.
将来の使用のために予約されています。このフィールドには、送信時に0に設定されて、レセプションで無視しなければなりません。
The Attribute Type Not Supported error code is an IETF Standard PA-TNC Error Code (value 3) that indicates that the sender of this error code does not support the PA-TNC Attribute Type included in the Error Information field. This PA-TNC Attribute Type was included in a PA-TNC message sent by the recipient of this error code in the current assessment.
属性はサポートされていないエラーコードを入力し、このエラーコードの送信者がPA-TNCは、エラー情報フィールドに含ま属性タイプサポートしていないことを示しているIETF標準のPA-TNCエラーコード(値3)です。属性タイプPA-TNCこれは、現在の評価では、このエラーコードの受信者によって送信されたPA-TNCメッセージに含まれていました。
For this error code, the Error Information field contains the first 8 octets of the PA-TNC message that contained the unsupported attribute type as well as a copy of the attribute type that caused the problem.
このエラーコードの場合は、エラー情報フィールドは、サポートされていない属性の型だけでなく、問題の原因となった属性タイプのコピーが含まれていPA-TNCメッセージの最初の8つのオクテットを含んでいます。
The following diagram illustrates the format and contents of the Error Information field for this error code. The text after this diagram describes the fields shown here.
次の図は、このエラーコードのエラー情報フィールドの形式と内容を示しています。この図の後のテキストは、ここに示されているフィールドについて説明します。
1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Version | Copy of Reserved |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Message Identifier |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Flags | PA-TNC Attribute Vendor ID |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| PA-TNC Attribute Type |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Version
版
This field MUST contain an exact copy of the Version field in the PA-TNC Message Header of the PA-TNC message that caused this error.
このフィールドは、このエラーの原因となったPA-TNCメッセージのPA-TNCメッセージヘッダにバージョンフィールドの正確なコピーを含まなければなりません。
Copy of Reserved
予約済みのコピー
This field MUST contain an exact copy of the Reserved field in the PA-TNC Message Header of the PA-TNC message that caused this error.
このフィールドは、このエラーの原因となったPA-TNCメッセージのPA-TNCメッセージヘッダ内の予約フィールドの正確なコピーを含まなければなりません。
Message Identifier
メッセージを識別する
This field MUST contain an exact copy of the Message Identifier field in the PA-TNC Message Header of the PA-TNC message that caused this error.
このフィールドは、このエラーの原因となったPA-TNCメッセージのPA-TNCメッセージヘッダにメッセージ識別子フィールドの正確なコピーを含まなければなりません。
Flags
国旗
This field MUST contain an exact copy of the Flags field in the PA-TNC Attribute Header of the PA-TNC attribute that caused this error.
このフィールドは、このエラーの原因となったPA-TNC属性のヘッダ属性PA-TNCにFlagsフィールドの正確なコピーを含まなければなりません。
PA-TNC Attribute Vendor ID
PA-TNCは、ベンダーID属性
This field MUST contain an exact copy of the PA-TNC Attribute Vendor ID field in the PA-TNC Attribute Header of the PA-TNC attribute that caused this error.
このフィールドは、このエラーの原因となったPA-TNC属性のヘッダ属性PA-TNCにPA-TNC属性ベンダーIDフィールドの正確なコピーを含まなければなりません。
PA-TNC Attribute Type
PA-TNC属性タイプ
This field MUST contain an exact copy of the PA-TNC Attribute Type field in the PA-TNC Attribute Header of the PA-TNC attribute that caused this error.
このフィールドは、このエラーの原因となったPA-TNC属性のヘッダー属性PA-TNCでPA-TNC属性タイプフィールドの正確なコピーを含まなければなりません。
This PA-TNC attribute contains the final assessment result from a particular Posture Validator. This attribute might be returned to a Posture Collector for information purposes such as when an endpoint is compliant. Similarly, the Assessment Result attribute could be sent to indicate a non-compliant result where specific actions are needed to bring an endpoint into compliance with the network's policies. These actions could be defined in other PA-TNC attributes such as Remediation Instructions sent to the Posture Collector.
このPA-TNC属性は、特定のPosture検証から、最終的な評価結果が含まれています。この属性は、このようなエンドポイントが準拠している場合など、情報の目的のためのPosture Collectorに返されることがあります。同様に、評価結果の属性は、特定のアクションは、ネットワークのポリシーへの準拠にエンドポイントをもたらすために必要とされている非準拠の結果を示すために送信することができます。これらのアクションは、他のPA-TNCで定義することができ、そのような姿勢Collectorに送られた修復手順などの属性。
All Posture Collectors that support an IETF Standard PA Subtype defined in this specification SHOULD support receiving and processing the Assessment Result attribute. All Posture Validators that implement an IETF Standard PA Subtype defined in this specification SHOULD support sending the Assessment Result attribute.
この仕様で定義されたIETF標準PAのサブタイプをサポートするすべての姿勢コレクターは、受信して評価結果の属性を処理するサポートすべきです。この仕様で定義されたIETF標準PAのサブタイプを実装するすべての姿勢バリデータは、評価結果の属性の送信をサポートすべきです。
For this attribute type, the PA-TNC Attribute Vendor ID field MUST be set to zero (0) and the PA-TNC Attribute Type field MUST be set to 9.
この属性のタイプは、PA-TNCは、ベンダーIDフィールドは9に設定しなければなりません(0)とPA-TNCは、属性タイプ・フィールドに設定されなければならない属性。
The following diagram illustrates the format and contents of the Attribute Value field for this attribute type. The text after this diagram describes the fields shown here.
次の図は、この型の属性値フィールドの形式と内容を示しています。この図の後のテキストは、ここに示されているフィールドについて説明します。
1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Assessment Result |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Assessment Result
評価結果
This 32-bit field MUST contain one of the following values;
この32ビットのフィールドは以下の値のいずれかを含まなければなりません。
Value Description
----- -----------
0 Posture Validator assessed the endpoint component to
be compliant with policy.
1 Posture Validator assessed the endpoint component to be non-compliant with policy but the difference from compliant was minor.
1姿勢Validatorは政策と非準拠するようにエンドポイント・コンポーネントを評価したが、対応の違いは軽微でした。
2 Posture Validator assessed the endpoint component to be non-compliant with policy and the assessed difference was very significant.
2姿勢Validatorは、ポリシーおよび評価差に非対応であるとエンドポイント・コンポーネントを評価した非常に有意でした。
3 Posture Validator was unable to determine policy compliance of an endpoint component due to an error.
3姿勢Validatorはエラーのためにエンドポイント・コンポーネントのポリシーコンプライアンスを決定することができませんでした。
4 Posture Validator was unable to determine whether the assessed endpoint component was compliant with policy based on the attributes provided by the Posture Collector.
4姿勢Validatorは評価エンドポイント・コンポーネントは、姿勢コレクタによって提供される属性に基づいて、ポリシーに準拠したか否かを決定することができませんでした。
This PA-TNC attribute sent by the Posture Validator to the Posture Collector contains remediation instructions for updating a particular component to make the endpoint compliant with the assessment policies. A Posture Validator might choose to send more than one Remediation Instructions attribute in some circumstances (e.g., both a URI and a human-readable message are necessary) to remediate one or more components. This attribute supports the inclusion of either an IETF standard or vendor-specific remediation instruction.
姿勢Collectorに姿勢Validatorによって送られたこのPA-TNC属性は、評価方針にエンドポイントが対応にするために特定のコンポーネントを更新するための是正命令を含みます。姿勢バリデータは、複数の修正手順は、1つのまたは複数の構成要素を修正するために、いくつかの状況(例えば、URIと人間が読めるメッセージの両方が必要である)で属性に送信することを選択するかもしれません。この属性は、IETF標準またはベンダ固有の改善命令のいずれかを含めることをサポートしています。
All Posture Collectors that implement an IETF Standard PA Subtype defined in this specification SHOULD support receiving and processing the Remediation Instructions attribute. All Posture Validators that implement an IETF Standard PA Subtype defined in this specification SHOULD support sending this attribute type. Posture Collectors and Posture Validators supporting other non-IETF standard components MAY support this attribute.
この仕様で定義されたIETF標準PAのサブタイプを実装するすべての姿勢コレクターは、命令属性修復を受信して処理をサポートすべきです。この仕様で定義されたIETF標準PAのサブタイプを実装するすべての姿勢バリデータは、この属性タイプの送信をサポートすべきです。他の非IETF標準のコンポーネントをサポートする姿勢コレクターと姿勢バリデータは、この属性をサポートするかもしれません。
For this attribute type, the PA-TNC Attribute Vendor ID field MUST be set to zero (0) and the PA-TNC Attribute Type field MUST be set to 10.
この属性のタイプは、PA-TNCは、ベンダーIDフィールドは10に設定されなければならないゼロ(0)とPA-TNCは、属性タイプ・フィールドに設定されなければならない属性。
The following diagram illustrates the format and contents of the Attribute Value field for this attribute type. The text after this diagram describes the fields shown here.
次の図は、この型の属性値フィールドの形式と内容を示しています。この図の後のテキストは、ここに示されているフィールドについて説明します。
1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Reserved | Remediation Parameters Vendor ID |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Remediation Parameters Type |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Remediation Parameters (Variable Length) |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Reserved (8 bits)
予約(8ビット)
The Reserved bits MUST be set to 0 on transmission and ignored on reception.
予約ビットは、送信時に0に設定され、受信時には無視されなければなりません。
Remediation Parameters Vendor ID (24 bits)
修正パラメータベンダーID(24ビット)
The Remediation Parameters Vendor ID field identifies a vendor by using the SMI Private Enterprise Number (PEN). Any organization can receive its own unique PEN from IANA, the Internet Assigned Numbers Authority. The Remediation Parameters Vendor ID qualifies the Remediation Parameters Type field so that each vendor has 2^32 separate Remediation Parameters Types available for its use. Remediation Parameters Types standardized by the IETF are always used with the value zero (0) in this field.
修復パラメータベンダーIDフィールドは、SMI民間企業番号(PEN)を使用して、ベンダーを識別します。どのような組織は、IANA、インターネット割り当て番号機関から独自のPENを受け取ることができます。各ベンダーは、その使用のために利用可能な2 ^ 32の別々の修復パラメータの種類を持つように修復パラメータベンダーIDは、修復パラメータTypeフィールドを修飾します。 IETFで標準化され、修復パラメータの種類は、常に、このフィールドの値はゼロ(0)で使用されています。
Remediation Parameters Type (32 bits)
修復パラメータタイプ(32ビット)
The Remediation Parameters Type field identifies the different types of remediation instructions that can be contained in the Remediation Parameters field. IANA maintains a registry of PA-TNC Remediation Parameters Types. Entries in this registry are added by Expert Review with Specification Required, following the guidelines in section 7. A list of IETF Standard PA-TNC Remediation Parameters Types defined in this specification appears later in this section.
修復パラメーターTypeフィールドには、修復パラメータ]フィールドに含めることができる改善命令の種類を識別します。 IANAは、PA-TNC修復パラメータタイプのレジストリを維持します。このレジストリのエントリはこの仕様で定義されたIETF標準のPA-TNC修復パラメータの種類のリストは、このセクションで後述のセクション7のガイドラインに従って、仕様が必要であるとの専門家レビューによって追加されます。
New vendor-specific remediation instructions can be created by adding new Remediation Parameters Types (those used with a non-zero Remediation Parameters vendor ID) without IETF or IANA involvement. Posture Collectors and Posture Validators MUST NOT require support for particular vendor-specific PA-TNC Remediation Parameters Types and MUST interoperate with other parties despite any differences in the set of vendor-specific PA-TNC Remediation Parameters Types supported (although they MAY permit administrators to configure them to require support for specific PA-TNC remediation parameter types).
新しいベンダー固有の改善命令は、IETFやIANAの関与なしに、新たな修復パラメータタイプ(非ゼロの修復パラメータベンダーIDで使用されているもの)を追加することによって作成することができます。姿勢コレクターと姿勢バリデータは、特定のベンダー固有のPA-TNC修復パラメータの種類のサポートを要求してはなりませんし、彼らが管理者に許可することができるが、サポート対象のベンダー固有のPA-TNC修復パラメータタイプ(のセットの違いにもかかわらず、他の関係者と相互運用しなければなりません)特定のPA-TNC修復パラメータタイプのサポートを必要とするように設定。
The following table lists the IETF Standard PA-TNC Remediation Parameters Type values defined in this specification:
次の表は、この仕様で定義されたIETF標準のPA-TNC修復パラメータタイプ値を示しています。
Integer Description
------- -----------
0 Reserved
1 Remediation URI
2 Remediation String
The next few subsections of this document provide detailed definitions of the contents of the Remediation Parameters field used with each Remediation Parameter Type.
このドキュメントの次のいくつかのサブセクションでは、各修復パラメータタイプで使用修復パラメータ]フィールドの内容の詳細な定義を提供しています。
Remediation Parameters (variable length)
修復パラメータ(可変長)
The Remediation Parameters field contains the actual remediation instructions for the Posture Collector.
修復パラメータ]フィールドには、姿勢コレクターのための実際の修復手順が含まれています。
The Remediation URI Parameters Type is an IETF Standard Remediation Parameters Type (value 1) that indicates that the sending Posture Validator is providing a URI to instructions on how to remediate the endpoint.
修復URIパラメータタイプは、送信側のPosture Validatorは、エンドポイントを修正する方法について説明するURIを提供していることを示しているIETF標準修復パラメータタイプ(値1)です。
The following diagram illustrates the format and contents of the Remediation Parameters field when carrying a Remediation URI parameter. The text after this diagram describes the fields shown here.
修復URIパラメータを搬送する場合は、次の図は、修復パラメータフィールドのフォーマットおよび内容を示す図です。この図の後のテキストは、ここに示されているフィールドについて説明します。
1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Remediation URI (Variable Length) |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Remediation URI
修復URI
The Remediation URI field MUST contain a URI, as described in RFC 3986 [7]. This URI SHOULD contain instructions to update a particular component so that it might result in the component being compliant with the policies in future assessments. Posture Collectors should validate that the URI and instructions come from a trustworthy source to avoid being tricked into performing damaging actions (see security considerations).
RFC 3986に記載されるように修正URIフィールドは、URIを含まなければならない[7]。このURIは、それが今後の評価にポリシーに準拠しているコンポーネントになる可能性がありますように、命令は、特定のコンポーネントを更新するために含むべきです。姿勢コレクターはURIと命令は(セキュリティ上の考慮事項を参照)有害なアクションを実行するようにだまされることを避けるために、信頼できるソースから来ることを検証する必要があります。
The Remediation String Parameters Type is an IETF Standard Remediation Parameters Type (value 2) that indicates that the sending Posture Validator is providing a human-readable string containing instructions on how to remediate the endpoint.
修正文字列パラメータのタイプは、送信のPosture Validatorは、エンドポイントを修正する方法についての命令を含む、人間が読み取り可能な文字列を提供していることを示しているIETF標準修復パラメータタイプ(値2)です。
The following diagram illustrates the format and contents of the Remediation Parameters field when the carrying a Remediation String parameter. The text after this diagram describes the fields shown here.
次の図は、修正文字列パラメータを搬送フォーマット及び修復パラメータフィールドの内容を示しています。この図の後のテキストは、ここに示されているフィールドについて説明します。
1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Remediation String Length |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Remediation String (Variable Length) |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Lang Code Len | Remediation String Lang Code (Variable Len) |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Remediation String Length
修復文字列の長さ
The Remediation String Length contains the length of the Remediation String field in octets.
修復文字列の長さはオクテット単位で修復文字列フィールドの長さが含まれています。
Remediation String
修復文字列
The Remediation String field MUST contain a UTF-8 encoded string. This string contains human-readable instructions for remediation that MAY be displayed to the user by the Posture Collector. NUL termination MUST NOT be included. If a Posture Collector receives a Remediation String that does contain a NUL termination, it SHOULD send an Invalid Parameter error code.
修復StringフィールドはUTF-8でエンコードされた文字列を含まなければなりません。この文字列は、姿勢コレクタによってユーザに表示することができる修復のための人間可読命令が含まれています。 NUL終端は含んではいけません。姿勢コレクターはNUL終端を含んでいます修復文字列を受信した場合、それは無効なパラメータのエラーコードを送るべきです。
Lang Code Len (Remediation String Language Code Length)
ラングコードレン(修復String言語コードの長さ)
The Lang Code Len field contains the length of the Remediation String Language Code field in octets.
ラングコードレンフィールドは、オクテットで修復String言語コードフィールドの長さが含まれています。
Remediation String Lang Code
修復文字列ラングコード
The Remediation String Lang(uage) Code field contains a US-ASCII string composed of a well-formed RFC 4646 [6] language tag that indicates the language(s) used in the Remediation String in the Remediation Parameters field. A zero-length string MAY be sent for this field (essentially omitting this field) to indicate that the language code for the remediation string is not known.
修正文字列ラング(uage)コードフィールドは、修正パラメータフィールドに修正文字列で使用される言語(複数可)を示し、十分に形成されたRFC 4646 [6]言語タグからなるUS-ASCII文字列が含まれています。長さゼロの文字列を修正文字列の言語コードが知られていないことを示すために(本質的には、このフィールドを省略)このフィールドのために送られるかもしれません。
This PA-TNC attribute indicates whether the endpoint is forwarding traffic between interfaces. Endpoints that forward traffic between networks connected to multiple network interfaces may be considered non-compliant (and a security risk) in some enterprise network deployments. For example, an endpoint with multiple connected network interfaces might allow traffic from an interface connected to a public network to be forwarded through another interface carrying a VPN session to a protected enterprise network. This attribute is currently envisioned to be specific to reporting posture for the operating system component; however, could be useful for other future types of components.
このPA-TNC属性は、エンドポイントがインターフェイス間のトラフィックを転送しているかどうかを示します。複数のネットワークインタフェースに接続されたネットワーク間のトラフィックを転送するエンドポイントは、いくつかの企業ネットワーク展開における非準拠(およびセキュリティリスク)を考慮することができます。例えば、複数の接続されたネットワークインターフェイスと、エンドポイントは、パブリックネットワークに接続されたインターフェースからのトラフィックが保護された企業ネットワークへのVPNセッションを搬送する別のインタフェースを介して転送されることを可能にするかもしれません。この属性は、現在のオペレーティング・システム・コンポーネントの姿勢をレポートに特異的であると想定されます。しかし、コンポーネントの他の種類の将来のために有用である可能性があります。
Posture Collectors that implement the IETF Standard PA Subtype for Operating System SHOULD support sending the Forwarding Enabled attribute. Posture Collectors that do not implement the Operating System PA Subtype defined in this specification SHOULD NOT send the Forwarding Enabled attribute unless it is appropriate to their PA Subtype. Whether a particular Posture Collector actually sends this attribute type SHOULD still be governed by local privacy and security policies. Posture Validators that implement the IETF Standard PA Subtype for Operating System SHOULD support receiving the Forwarding Enabled attribute type. Posture Validators supporting components other than Operating System MAY support receiving this attribute type if it is appropriate to their PA Subtype. A Posture Validator that does not support receiving this attribute type SHOULD simply ignore attributes with this type. Posture Validators MUST NOT send this attribute type.
オペレーティングシステムのためのIETF標準PAサブタイプを実装する姿勢コレクターはフォワーディングを有効属性の送信をサポートすべきです。それは彼らのPAサブタイプに適切でない限り、この仕様で定義されているオペレーティングシステムPAのサブタイプを実装していない姿勢コレクターはフォワーディングを有効属性を送るべきではありません。特定の姿勢コレクターが実際にまだ地元のプライバシーおよびセキュリティポリシーによって管理されるべきで、この属性タイプを送信するかどうか。オペレーティングシステムのためのIETF標準PAサブタイプを実装する姿勢バリデータは、転送を有効属性タイプを受信をサポートすべきです。オペレーティングシステム以外の姿勢バリサポートするコンポーネントは、それが彼らのPAサブタイプに適切である場合、この属性タイプを受信をサポートするかもしれません。この属性タイプの受信をサポートしていない姿勢Validatorは、単純にこのタイプの属性を無視すべきです。姿勢バリデータは、この属性タイプを送ってはいけません。
For this attribute type, the PA-TNC Attribute Vendor ID field MUST be set to zero (0) and the PA-TNC Attribute Type field MUST be set to 11.
この属性のタイプは、PA-TNCは、ベンダーIDフィールドが11に設定しなければなりません(0)とPA-TNCは、属性タイプ・フィールドに設定されなければならない属性。
The following diagram illustrates the format and contents of the Attribute Value field for this attribute type. The text after this diagram describes the fields shown here.
次の図は、この型の属性値フィールドの形式と内容を示しています。この図の後のテキストは、ここに示されているフィールドについて説明します。
1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Forwarding Enabled |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Forwarding Enabled
転送有効
This 32-bit field MUST contain one of the following values;
この32ビットのフィールドは以下の値のいずれかを含まなければなりません。
Value Description
----- -----------
0 Disabled - Endpoint is not forwarding traffic.
1 Enabled - Endpoint is forwarding traffic.
有効1 - エンドポイントは、トラフィックを転送しています。
2 Unknown - Unable to determine whether endpoint is forwarding traffic
2不明 - エンドポイントはトラフィックを転送しているかどうかを判断することができません。
This PA-TNC attribute indicates whether the endpoint has a factory default password enabled for use. Some types of endpoints include a default static password for used to gain privileged access to the endpoint. If this password is not changed or disabled before the endpoint is accessible on the network, it's often easy to compromise the endpoint.
このPA-TNC属性は、エンドポイントが使用可能になって工場出荷時のデフォルトのパスワードを持っているかどうかを示します。エンドポイントの種類によっては、エンドポイントへの特権アクセスを得るために使用されるため、デフォルトの静的パスワードが含まれます。エンドポイントがネットワーク上でアクセス可能になる前に、このパスワードを変更または無効になっていない場合は、エンドポイントを妥協することが多いのは簡単です。
Posture Collectors that implement the IETF Standard PA Subtype for Operating System SHOULD support sending the Factory Default Password Enabled attribute. Posture Collectors that implement other IETF Standard PA Subtypes defined in this specification SHOULD NOT support sending this attribute type for those PA subtypes. Other Posture Collectors MAY support sending this attribute type, if it is appropriate to their PA subtype. Whether a particular Posture Collector actually sends this attribute type SHOULD still be governed by local privacy and security policies. Posture Validators that implement the IETF Standard PA Subtype for Operating System SHOULD support receiving the Factory Default Password Enabled attribute. Other Posture Validators MAY support receiving this attribute type. A Posture Validator that does not support receiving this attribute type SHOULD simply ignore attributes with this type. Posture Validators MUST NOT send this attribute type.
オペレーティングシステムのためのIETF標準PAのサブタイプを実装する姿勢コレクターは、工場出荷時のパスワードを有効属性の送信をサポートすべきです。この仕様で定義された他のIETF標準PAサブタイプを実装する姿勢コレクターは、これらのPAサブタイプのために、この属性タイプの送信をサポートすべきではありません。他の姿勢コレクターは、それが彼らのPAサブタイプに適切である場合は、この属性タイプの送信をサポートするかもしれません。特定の姿勢コレクターが実際にまだ地元のプライバシーおよびセキュリティポリシーによって管理されるべきで、この属性タイプを送信するかどうか。オペレーティングシステムのためのIETF標準PAサブタイプを実装する姿勢バリデータは、工場出荷時のパスワードを有効属性を受信をサポートすべきです。他の姿勢バリデータは、この属性タイプを受信をサポートするかもしれません。この属性タイプの受信をサポートしていない姿勢Validatorは、単純にこのタイプの属性を無視すべきです。姿勢バリデータは、この属性タイプを送ってはいけません。
For this attribute type, the PA-TNC Attribute Vendor ID field MUST be set to zero (0) and the PA-TNC Attribute Type field MUST be set to 12.
この属性のタイプは、PA-TNCは、ベンダーIDフィールドが12に設定しなければなりません(0)とPA-TNCは、属性タイプ・フィールドに設定されなければならない属性。
The following diagram illustrates the format and contents of the Attribute Value field for this attribute type. The text after this diagram describes the fields shown here.
次の図は、この型の属性値フィールドの形式と内容を示しています。この図の後のテキストは、ここに示されているフィールドについて説明します。
1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Factory Default Password Enabled |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Factory Default Password Enabled
工場出荷時のデフォルトのパスワードは有効
This 32-bit field MUST contain one of the following values;
この32ビットのフィールドは以下の値のいずれかを含まなければなりません。
Value Description
----- -----------
0 Endpoint does not have factory default password enabled.
1 Endpoint has a factory default password enabled.
1エンドポイントは有効になって工場出荷時のデフォルトのパスワードを持っています。
This section discusses the use of vendor-defined attributes within PA-TNC. The PA-TNC protocol was designed to allow for vendor-defined attributes to be used as a replacement where a standard attribute could be used. In some cases, even the standard attributes allow for vendor-defined information to be included. It is envisioned that over time as particular vendor-defined attributes become popular, an equivalent standard attribute could be added allowing for broader interoperability.
このセクションでは、PA-TNC内のベンダー定義属性の使用について説明します。 PA-TNCプロトコルが標準属性を使用することができる代替として使用されるように、ベンダー定義の属性を可能にするように設計されました。いくつかのケースでは、さえも標準の属性が含まれるように、ベンダー定義の情報を可能にします。同等の標準属性は、より広範な相互運用性を可能に追加することができ、時間をかけて特定のベンダー定義の属性が人気となっていることを想定しています。
This specification does not define vendor-defined attributes, but rather highlights how such attributes can be used with PA-TNC without the potential for namespace collisions or misinterpretations. In order to avoid collisions, PA-TNC uses the well-established SMI Private Enterprise Numbers as vendor IDs to define separate namespaces for important fields within a PA-TNC message. For example, to ensure the uniqueness of attribute types while providing for vendor extensions, vendor-defined attribute types include the vendor's unique vendor ID, to indicate the intended namespace for the attribute type, followed by the attribute type. IETF Standard PA-TNC Attribute Types use a vendor ID of zero (0).
この仕様は、ベンダー定義の属性を定義するのではなく、そのような属性は、名前空間の衝突や誤解のための潜在ずにPA-TNCで使用することができますどのようにハイライトされていません。衝突を避けるために、PA-TNCは、PA-TNCメッセージ内の重要なフィールドのための別の名前空間を定義するために、ベンダーIDとして十分に確立さSMIプライベートエンタープライズ番号を使用しています。ベンダー拡張機能を提供しながら、例えば、属性型の一意性を保証するために、ベンダー定義の属性タイプは、属性タイプに続く属性タイプのための意図された名前空間を示すために、ベンダー独自のベンダーIDが含まれます。 IETF標準のPA-TNCは、タイプがゼロ(0)のベンダーIDを使用して属性。
SMI Private Enterprise Numbers are used to provide a separate identifier space for each vendor. The IANA provides a registry for SMI Private Enterprise Numbers. Any organization (including non-profit organizations, governmental bodies, etc.) can obtain one of these numbers at no charge, and thousands of organizations have done so. Within this document, SMI Private Enterprise Numbers are known as "vendor IDs".
SMI民間企業の数は、各ベンダーのための個別の識別子空間を提供するために使用されています。 IANAは、SMI民間企業番号のレジストリを提供します。 (などの非営利団体、政府機関を含む)任意の組織が無償でこれらの数字の1を得ることができ、そして組織の数千人はそうしてきました。この文書の中で、SMIプライベートエンタープライズ番号は、「ベンダーのID」として知られています。
This section discusses the major potential types of security threats relevant to the PA-TNC message protocol. It is envisioned that additional attribute types could be defined in the future to facilitate the exchange of security capabilities, keys, and security protected attributes if future use cases are adopted that require such protections.
このセクションでは、PA-TNCメッセージプロトコルに関連するセキュリティの脅威の主要な潜在的な種類について説明します。このような保護を必要とする将来のユースケースを採用している場合は、追加の属性タイプは、セキュリティ機能、キー、およびセキュリティ保護された属性の交換を容易にするために、将来的に定義できることが想定されます。
In order to understand where security countermeasures are necessary, this section starts with a discussion of where the TNC architecture envisions some trust relationships between the processing elements of the PA-TNC protocol. The following subsections discuss the trust properties associated with each portion of the NEA reference model directly involved with the processing of the PA-TNC protocol.
セキュリティ対策が必要であるかを理解するために、このセクションでは、TNCアーキテクチャはPA-TNCプロトコルの処理要素の間にいくつかの信頼関係を想定ここでの議論から始まります。以下のサブセクションでは、直接PA-TNCプロトコルの処理に関与NEA参照モデルの各部分に関連付けられた信頼性を議論します。
The Posture Collectors are trusted by Posture Validators to:
姿勢コレクターがに姿勢バリデータから信頼されています。
o Collect valid information about the component type associated with the Posture Collector
O姿勢コレクタに関連付けられたコンポーネントタイプについての有効な情報を収集し
o Report upon collected information consistent with local security and privacy policies
Oローカルセキュリティとプライバシーポリシーと一致し、収集した情報に報告
o Accurately report information associated with the type of component for the PA-TNC message
O正確PA-TNCメッセージのコンポーネントの種類に関連付けられた情報を報告
o Not act maliciously to the Posture Broker Server and Posture Validators, including attacks such as denial of service
O、サービスの拒否などの攻撃を含め、姿勢ブローカーサーバーと姿勢バリデータに悪意を持って行動しません
The Posture Validators are trusted by Posture Collectors to:
姿勢バリデータはに姿勢コレクターから信頼されています。
o Only request information necessary to assess the security state of the endpoint
Oのみエンドポイントのセキュリティ状態を評価するために必要な情報を要求
o Make assessment decisions based on deployer-defined policies
Oデプロイヤが定義したポリシーに基づいて査定決定を下します
o Discard collected information consistent with data retention and privacy policies
O破棄は、データ保持とプライバシーポリシーと一貫性のある情報を収集しました
o Not act maliciously to the Posture Broker Server and Posture Collectors, including attacks such as denial of service
O、サービスの拒否などの攻撃を含め、姿勢ブローカーサーバーと姿勢コレクターに悪意を持って行動しません
o Not send malicious remediation instructions that do not fix or that cause damage to the endpoint
Oエンドポイントに悪意のある修正しない改善命令やその原因の損傷を送信しません
The Posture Broker Client and Posture Broker Server are trusted by the Posture Collector and Posture Validator to:
姿勢ブローカークライアントと姿勢ブローカーサーバーはに姿勢コレクター・姿勢Validatorによって信頼されています。
o Provide a reliable transport for PA-TNC messages
O PA-TNCメッセージの信頼性の高いトランスポートを提供します
o Deliver messages for a particular PA Subtype only to those Posture Collectors and Posture Validators that have registered for them
Oだけ彼らのために登録しているそれらの姿勢コレクターと姿勢バリデータに特定のPAサブタイプのためのメッセージを配信
o Not disclose any provided attributes to unauthorized parties o Not act maliciously to drop messages, duplicate messages, or flood Posture Collectors and Posture Validators with unnecessary messages
O悪意を持って行動する不要なメッセージとメッセージ、重複メッセージ、または洪水の姿勢コレクターや姿勢バリデータを落とさないようにoを権限のない者への提供の属性を開示しません
o Not observe, fabricate, or alter the contents of a PA-TNC message
O、観察製作、またはPA-TNCメッセージの内容を変更しません
o Properly place Posture Collector and Posture Validator identifiers into the PB-TNC protocol, deliver those identifiers to Posture Collectors and Posture Validators as needed, and manage exclusive delivery to a particular Posture Collector or Posture Validator when requested
O正しく、PB-TNCプロトコルに姿勢コレクタ及び姿勢検証識別子を配置し、必要に応じて姿勢コレクターと姿勢バリデータにこれらの識別子を提供し、要求されたときに特定の姿勢コレクタや姿勢バリデータへの排他的配信を管理します
o Properly expose authentication information from PT security so that Posture Collectors and Posture Validators can use the peer's identity information to safely make policy decisions
姿勢コレクターと姿勢バリデータが安全に政策決定を行うためにピアの識別情報を使用できるように、O適切PTのセキュリティからの認証情報を公開
Beyond the trusted relationships assumed in section 5.1, the PA-TNC protocol faces a number of potential security attacks that could require security countermeasures.
セクション5.1で想定している、信頼関係を超えて、PA-TNCプロトコルは、セキュリティ対策を必要とする可能性のある潜在的なセキュリティ攻撃の数に直面しています。
Generally, the PA-TNC protocol relies upon the underlying PT protocol's security to protect the messages from attack when traveling over the network. Once the message resides on the Posture Broker Client or Posture Broker Server, the posture brokers are trusted to properly and safely deliver the messages to the appropriate Posture Collectors and Posture Validators.
一般的に、PA-TNCプロトコルは、ネットワーク上を移動する際に攻撃からのメッセージを保護するための基礎となるPTプロトコルのセキュリティに依存しています。メッセージは姿勢ブローカークライアントや姿勢ブローカーサーバー上に存在したら、姿勢ブローカーは、適切かつ安全に適切な姿勢コレクターと姿勢バリにメッセージを配信するために信頼されています。
When PA-TNC messages are sent over unprotected network links or spanning local software stacks that are not trusted, the contents of the PA-TNC messages may be subject to information theft by an intermediary party. This theft could result in information being recorded for future use or analysis by the adversary. Attributes observed by eavesdroppers could contain information that exposes potential weaknesses in the security of the endpoint, or system fingerprinting information easing the ability of the attacker to employ attacks more likely to be successful against the endpoint. The eavesdropper might also learn information about the endpoint or network policies that either singularly or collectively is considered sensitive information (e.g., certain endpoints are lacking patches, or particular sub-networks have more lenient policies).
PA-TNCメッセージが保護されていないネットワークリンクを介して送信されるか、信頼されていない地元のソフトウェアスタックをスパニングしている場合、PA-TNCメッセージの内容は、仲介者による情報の盗難を受ける可能性があります。情報につながる可能性があり、この窃盗は、敵によって、将来の使用や分析のために記録されています。盗聴者によって観察された属性は、エンドポイントのセキュリティの潜在的な弱点を公開した情報、またはエンドポイントに対して成功する可能性がより高い攻撃を利用する攻撃者の能力を容易にシステムの指紋情報を含めることができます。盗聴者はまた、いずれかの単独または集合が機密情報と考えられているエンドポイントまたはネットワークポリシーに関する情報を学ぶかもしれない(例えば、特定のエンドポイントは、パッチを欠いている、又は特定のサブネットワークは、より寛大なポリシーを持っています)。
PA-TNC attributes are not intended to carry privacy-sensitive information, but should some exist in a message, the adversary could come into possession of the information, which could be used for financial gain. Therefore, it is important that PT provide strong confidentiality protection to protect the message from eavesdroppers when being sent between the Posture Transport Client and Posture Transport Server.
PA-TNC属性は、プライバシーに敏感な情報を運ぶために意図されていないが、いくつかは、メッセージ内に存在する必要があり、敵は金銭的な利益のために使用することができた情報の所有に来ることができました。そのため、PTは姿勢交通クライアント・姿勢トランスポートサーバー間で送信されている盗聴者からのメッセージを保護するために強力な機密性保護を提供することが重要です。
Attackers on the network or present within the NEA system could introduce fabricated PA-TNC messages intending to trick or create a denial of service against aspects of an assessment. For example, an adversary could attempt to send a falsified set of remediation instructions using the Remediation URI support in hopes of the Posture Collector automatically following the instructions. Posture Collectors need to ensure that any requests to take actions on the endpoint (such as remediation instructions) received from Posture Validators are authentic and trustworthy using strong authentication and integrity protections offered by PT. Posture Collectors should not blindly follow remediation instructions received from a trusted NEA Server. At least for patches and other potentially dangerous actions, Posture Collectors should validate these actions (e.g., via user confirmation) before proceeding.
NEAシステム内のネットワークや現在の攻撃者は、トリックや評価の側面に対するサービス拒否を作成しようと作製したPA-TNCメッセージをもたらす可能性があります。例えば、敵は自動的に指示に従う姿勢コレクターの希望で修復URIのサポートを使用して改善命令の偽造セットを送信しようとする可能性があります。姿勢コレクター姿勢バリから受信したすべての要求は(そのような改善命令など)のエンドポイント上のアクションを実行することを確認する必要があり、本物とPTが提供する強力な認証と完全性保護を使用して信頼できます。姿勢コレクターは盲目的に信頼さNEAサーバから受信した修復指示に従うべきではありません。少なくとも、パッチやその他の潜在的に危険な行為のために、姿勢コレクターが進む前に(例えば、ユーザの確認を経て)、これらのアクションを検証する必要があります。
Such an attack could occur if an active attacker launches a man-in-the-middle (MitM) attack by proxying the PA-TNC messages and was able to replace undesired messages with ones easing future attack upon the endpoint. Consider a scenario where PT security protection is not used and the Posture Broker Server proxies all assessment traffic to a remote Posture Broker Server. The proxy could eavesdrop and replace assessment results attributes, tricking the endpoint into thinking it has passed an assessment, when in fact it has not and requires remediation. Because the Posture Collector has no way to verify that attributes were actually created by an authentic Posture Validator, it is unable to detect the falsified attribute or message. Therefore, it is important that PT provides strong authentication and integrity protection.
アクティブな攻撃者は、PA-TNCメッセージをプロキシすることにより、MITM(中間者)攻撃を開始し、エンドポイント時に将来の攻撃を緩和するものと望ましくないメッセージを交換することができた場合、このような攻撃が発生する可能性があります。リモートの姿勢ブローカーサーバーへのすべての評価トラフィックPTのセキュリティ保護が使用されていないシナリオと姿勢ブローカーサーバープロキシを考えてみましょう。プロキシは、実際にはしていないと修復を必要とする場合には、評価に合格した考えにエンドポイントをだまし、評価結果の属性を盗聴して置き換えることができます。姿勢コレクター属性は、実際に本物のPosture Validatorによって作成されたことを確認する方法がないので、偽造属性またはメッセージを検出することができません。そのため、PTは強力な認証と完全性保護を提供することが重要です。
This attack could allow an active attacker capable of intercepting a message to modify a PA-TNC message attribute to a desired value to ease the compromise of an endpoint. Without the ability for message recipients to detect whether a received message contains the same content as what was originally sent, active attackers can stealthily modify the attribute exchange.
この攻撃は、エンドポイントの妥協を容易にするために所望の値にPA-TNCメッセージ属性を変更するためのメッセージを傍受のアクティブな攻撃者ができる可能性があります。受信したメッセージが最初に送信されたものと同じ内容が含まれているかどうかを検出するために、メッセージ受信者のための能力がなければ、アクティブな攻撃者がこっそり属性交換を変更することができます。
For example, an attacker might wish to change the contents of the firewall component's version string attribute to disguise the fact that the firewall is running an old, vulnerable version. The attacker would change the version string sent by the firewall Posture Collector to the current version number, so the Posture Validator's assessment passes while leaving the endpoint vulnerable to attack. Similarly, an attacker could achieve widespread denial of service by altering large numbers of assessments' version string attributes to an old value so they repeatedly fail assessments even after a successful remediation. Upon receiving the lower value, the Posture Validator would continue to believe that the endpoint is running old, potentially vulnerable versions of the firewall that does not meet network compliance policy, so therefore the endpoint would not be allowed to join the network. Use of a PT protocol providing strong integrity protection and authentication is essential as countermeasures to these attacks.
例えば、攻撃者は、ファイアウォールが古い、脆弱なバージョンを実行しているという事実を隠すために、ファイアウォールコンポーネントのバージョン文字列の属性の内容を変更したい場合があります。攻撃者は、現在のバージョン番号にファイアウォールのPostureコレクタによって送信されたバージョン文字列を変更しますので、攻撃に対して脆弱エンドポイントを残したままの姿勢Validatorの評価が渡されます。同様に、攻撃者は、彼らが何度にも成功し、修復後の評価に失敗して古い値に属性評価バージョン文字列の多くを変更することによって、サービスの広範な拒否を達成することができました。低い値を受信すると、姿勢Validatorは、エンドポイントがネットワークコンプライアンスポリシーを満たしていないファイアウォールの古い、潜在的に脆弱なバージョンを実行していることを信じ続けるだろう、そのためのエンドポイントがネットワークに参加することを許可されません。強力な完全性保護と認証を提供するPTプロトコルの使用は、これらの攻撃への対策として必要不可欠です。
Another potential attack against an unprotected PA-TNC message attribute exchange is to exploit the lack of a strong binding between the attributes sent during an assessment to the specific endpoint. Without a strong binding of the endpoint to the posture information, an attacker could record the attributes sent during an assessment of a compliant endpoint and later replay those attributes so that a non-compliant endpoint can now gain access to the network or protected resource. This attack could be employed by a network MitM that is able to eavesdrop and proxy message exchanges, or by using local rogue agents on the endpoints. Assessments lacking some form of freshness exchange could be subject to replay of prior assessment data, even if it no longer reflects the current state of the endpoint. Use of a PT protocol providing strong integrity protection and authentication including a freshness exchange is necessary countermeasure to these attacks.
保護されていないPA-TNCメッセージ属性交換に対する別の潜在的な攻撃は、特定のエンドポイントへの評価の中に送信された属性間の強い結合の欠如を利用することです。姿勢情報にエンドポイントの強い結合がなければ、攻撃者は、準拠したエンドポイントの評価中に送信された属性を記録し、後で非準拠のエンドポイントは、現在のネットワークまたは保護されたリソースへのアクセスを得ることができるようにそれらの属性を再生することができます。この攻撃は、メッセージ交換を傍受し、プロキシすることができるネットワークのMitMによって、またはエンドポイントのローカル不正剤を使用することによって使用することができます。新鮮交換のいくつかのフォームを欠いた評価は、それはもはや、エンドポイントの現在の状態を反映している場合でも、事前評価データの再生を受けることができませんでした。新鮮交換など、強力な完全性保護と認証を提供するPTプロトコルの使用は、これらの攻撃に必要な対策です。
Similar to the attribute modification attacks, an adversary wishing to include one or more attributes or PA-TNC messages inside a valid assessment may be able to insert the attributes or messages without detection by the recipient. For example, an attacker could add attributes to the front of a PA-TNC message to cause an assessment to succeed even for a non-compliant endpoint, particularly if it knew that the recipient ignored repeated attributes within a message. Similarly, if a Posture Collector or Posture Validator always generated an error if it saw unexpected attributes, the attacker could cause failures and denial of service by adding attributes or messages to an exchange. Use of a PT protocol providing strong authentication and integrity protection could prevent the adversary from inserting attributes into the assessment.
属性変更攻撃と同様に、有効な評価内1つ以上の属性またはPA-TNCメッセージを含めるしたい敵は、受信者が検出されず、属性やメッセージを挿入することができるかもしれません。例えば、攻撃者は、受信者がメッセージ内で繰り返さ属性を無視することを知っていた場合は特に、でも、非準拠のエンドポイントのために成功するためにアセスメントを引き起こすPA-TNCメッセージの前に属性を追加することができます。それは予想外の属性を見たら姿勢コレクターや姿勢Validatorは常にエラーが発生した場合も、攻撃者は、為替に属性やメッセージを追加することにより、障害やサービス拒否を引き起こす可能性があります。強力な認証と完全性保護を提供するPTプロトコルの使用は、評価に属性を挿入するから敵を防ぐことができます。
A variety of types of denial-of-service attacks are possible against the PA-TNC message exchange if left unprotected from untrusted parties along the communication path between the Posture Collector and Posture Validator. Normally, the PT exchange is bidirectionally authenticated, which helps to prevent a MitM on the network from becoming an active proxy, but transparent message routing gateways may still exist on the communication path and can modify the integrity of the message exchange unless adequate integrity protection is provided. If the MitM or other entities on the network can send messages to the Posture Broker Client or Posture Broker Server that appear to be part of an assessment, these messages could confuse the Posture Collector and Posture Validator or cause them to perform unnecessary work or take incorrect action. Several example denial-of-service situations are described in sections 5.2.3 and 5.2.5. Many potential denial-of-service examples exist, including flooding messages to the Posture Collector or Posture Validator, sending very large messages containing many attributes, and repeatedly asking for resource-intensive operations.
姿勢コレクタとポスチャ検証の間の通信経路に沿って、信頼できない当事者から保護されないままの場合、サービス拒否攻撃の様々な種類のは、PA-TNCメッセージ交換に対して可能です。通常、PTの交換は双方向アクティブプロキシになってから、ネットワーク上のMitMを防止するのに役立つが、透明なメッセージルーティングゲートウェイは依然として通信経路上に存在することができ、十分な完全性保護がない限り、メッセージ交換の整合性を変更することができ、認証され提供。ネットワーク上のMitMまたは他のエンティティは、評価の一部のように見える姿勢ブローカークライアントや姿勢ブローカーサーバーにメッセージを送信することができた場合は、これらのメッセージは、姿勢コレクターや姿勢バリデータを混同したり、不要な作業を行うか、間違っ取るする可能性がありますアクション。いくつかの例のサービス拒否の状況は、セクション5.2.3と5.2.5で説明されています。多くの潜在的なサービス拒否の例は、リソースを大量に消費する操作を求める繰り返し多くの属性を含む非常に大きなメッセージを送信し、そして、姿勢コレクターや姿勢バリへのフラッディングメッセージを含め、存在します。
The PA-TNC protocol is designed to allow for controlled disclosure of security-relevant information about an endpoint, specifically for the purpose of enabling an assessment of the endpoint's compliance with network policy. The purpose of this protocol is to provide visibility into the state of the protective mechanisms on the endpoint, in order for the Posture Validators and Posture Broker Server to determine whether the endpoint is up to date and thus has the best chance of being resilient in the face of malware threats. One risk associated with providing visibility into the contents of an endpoint is the increased chance for exposure of privacy-sensitive information without the consent of the user.
PA-TNCプロトコルは、特にネットワークポリシーとエンドポイントのコンプライアンスの評価を可能にする目的のために、エンドポイントに関するセキュリティ関連情報の制御された開示を可能にするように設計されています。このプロトコルの目的は、エンドポイントが最新であるかどうかを決定するために姿勢バリや姿勢ブローカサーバのために、エンドポイントの保護機構の状態に可視性を提供することであり、従ってに弾性であるの最高の機会を有しますマルウェアの脅威の顔。エンドポイントの内容を可視化し提供することに伴うリスクの1つは、ユーザーの同意なしにプライバシー、機密情報の暴露のための増加のチャンスです。
While this protocol does provide the Posture Validator the ability to request specific information about the endpoint, the protocol is not open ended, bounding the Posture Validator to only query specific information (attributes) about specific security features (component types) of the endpoint. Each PA-TNC message is explicitly about a single component from the list of components in section 3.5. These components include a list of security-related aspects of the endpoint that affect the ability of the endpoint to resist attacks and thus are of interest during an assessment. Discretionary components used by the user to create or view content are not on the list, as they are more likely to have access to privacy-sensitive information.
このプロトコルは、姿勢バリにエンドポイントに関する特定の情報を要求する能力を提供しないが、プロトコルは、エンドポイントの特定のセキュリティ機能(コンポーネントタイプ)についてのみ、クエリの特定の情報(属性)に姿勢Validatorの境界、エンド開いていません。各PA-TNCメッセージは、セクション3.5のコンポーネントのリストから単一のコンポーネントについて明示的です。これらのコンポーネントは攻撃に抵抗するため、評価中に興味深いものであるためにエンドポイントの能力に影響を与えるエンドポイントのセキュリティ関連の側面のリストが含まれています。彼らはプライバシー、機密情報へのアクセス権を持っている可能性があるとして裁量作成するために、ユーザによって使用されるコンポーネントまたはビューのコンテンツが、リストにありません。
Similarly, PA-TNC messages contain a set of attributes that describe the particular component. Each attribute contains generic information (e.g., product information or versions) about the component, so it is unlikely to include any user-specific or identifying information. This combination of a limited set of security-related components with non-user-specific attributes greatly reduces the risk of exposure of privacy-sensitive information. Vendors that choose to define additional component types and/or attributes within their namespace are encouraged to provide similar constraints.
同様に、PA-TNCメッセージは、特定のコンポーネントを記述する属性のセットを含みます。各属性は、コンポーネントに関する一般的な情報(例えば、製品情報またはバージョン)が含まれ、ユーザ固有または識別情報が含まれにくくなります。非ユーザー固有の属性を持つセキュリティ関連のコンポーネントの限られたセットの組み合わせは非常にプライバシーの機密情報の暴露のリスクを低減します。追加のコンポーネント・タイプおよび/またはその名前空間内の属性を定義することを選択したベンダーは、同様の制約を提供することが奨励されています。
Even with the bounding of standard attribute information to specific components, it is possible that individuals might wish to share less information with different networks they wish to access. For example, a user may wish to share more information when connecting to or being reassessed by the user's employer network than what would be made available to the local coffee shop wireless network. While these situations do not impact the protocol itself, they do suggest that Posture Collector implementations should consider supporting a privacy filter allowing the user and/or system owner to restrict access to certain attributes based upon the target network.
でも、特定のコンポーネントへの標準的な属性情報の境界で、個人が、彼らがアクセスしたい異なるネットワークに少ない情報を共有したい場合があることも可能です。例えば、ユーザーはへの接続や地元のコーヒーショップのワイヤレスネットワークに提供されるものよりも、ユーザーの雇用者のネットワークによって再評価されているときより多くの情報を共有することを望むかもしれません。これらの状況は、プロトコル自体には影響しませんが、彼らは姿勢コレクターの実装は、ユーザおよび/またはシステム所有者がターゲットネットワークに基づいて特定の属性へのアクセスを制限することができ、プライバシーフィルタをサポートする検討すべきであることを示唆しているん。
The underlying PT protocol authenticates the network's Posture Broker Server at the start of an assessment, so identity can be made available to the Posture Collector and per-network privacy filtering is possible. Network owners should make available a list of the attributes they require to perform an assessment and any privacy policy they enforce when handling the data. Users wishing to use a more restricted privacy filter on the endpoint may risk not being able to pass an assessment and thus not gain access to the requested network or resource.
基礎となるPTプロトコルは、評価の開始時に、ネットワークの姿勢ブローカーサーバーを認証し、そのアイデンティティは姿勢コレクターに利用することができごとのネットワークのプライバシーのフィルタリングが可能です。ネットワークの所有者は、彼らがデータを処理するとき、彼らは強制評価と任意のプライバシーポリシーを実行するために必要な属性のリストを利用できるようにする必要があります。エンドポイントでより制限プライバシーフィルタを使用したいユーザーは、要求されたネットワークやリソースへのアクセスを得るていないため、評価に合格することができ、およびされていないリスクがあります。
This section defines the contents of three new IANA registries: PA-TNC Attribute Types, PA-TNC Error Codes, and PA-TNC Remediation Parameters Types. This section explains how these registries work. Also, this specification defines several new PA Subtypes for use with PA-TNC.
PA-TNCは、属性の型PA-TNCエラーコード、およびPA-TNC修復パラメータの種類:この項では、3つの新しいIANAレジストリの内容を定義します。このセクションでは、これらのレジストリがどのように動作するかを説明します。また、この仕様は、PA-TNCで使用するためのいくつかの新しいPAサブタイプを定義します。
All of the registries defined in this document support IETF standard values and vendor-defined values. To explain this phenomenon, we will use the PA-TNC Attribute Type as an example, but the other three registries work the same way. Whenever a PA-TNC Attribute Type appears on a network, it is always accompanied by an SMI Private Enterprise Number (PEN), also known as a vendor ID. If this vendor ID is zero, the accompanying PA-TNC Attribute Type is an IETF standard value listed in the IANA registry for PA-TNC Attribute
このドキュメントのサポートで定義されたレジストリIETF標準値とベンダー定義の値のすべて。この現象を説明するために、我々は、一例として、PA-TNC属性タイプを使用しますが、他の3つのレジストリが同じように動作します。 PA-TNC属性タイプは、ネットワーク上に現れるたびに、それは常に、SMIプライベートエンタープライズ番号(PEN)を伴っても、ベンダーIDとして知られています。このベンダーIDがゼロの場合は、付属のPA-TNCは、タイプがPA-TNC属性のためのIANAレジストリに記載されているIETF標準値である属性
Types, and its meaning is defined in the specification listed for that PA-TNC Attribute Type in that registry. If the vendor ID is not zero, the meaning of the PA-TNC Attribute Type is defined by the vendor identified by the vendor ID (as listed in the IANA registry for SMI PENs). The identified vendor is encouraged but not required to register with IANA some or all of the PA-TNC Attribute Types used with their vendor ID and publish a specification for each of these values.
タイプは、その意味は、そのレジストリ内のそのPA-TNC属性タイプのためにリストされている仕様で定義されています。ベンダーIDがゼロでない場合は、PA-TNCの意味は、タイプがベンダーIDで識別されるベンダー(SMIのPEN用IANAレジストリに記載されている)によって定義される属性。識別ベンダーが奨励が、PA-TNCの一部またはすべてが自分のベンダーIDで使用するタイプの属性およびこれらの値のそれぞれの仕様を公開IANAに登録する必要はありません。
This delegation of namespace is analogous to the technique used for OIDs. It can result in interoperability problems if vendors require support for particular vendor-specific values. However, such behavior is explicitly prohibited by this specification (in section 4.1), which dictates that "Posture Collectors and Posture Validators MUST NOT require support for particular vendor-specific PA-TNC Attribute Types and MUST interoperate with other parties despite any differences in the set of vendor-specific PA-TNC Attribute Types supported (although they MAY permit administrators to configure them to require support for specific PA-TNC Attribute Types)". Similar requirements are included for PA Subtypes, Remediation Parameters Types, and PA-TNC Error Codes.
名前空間のこの代表団は、OIDのために使用される技術と類似しています。ベンダーが特定のベンダ固有の値のサポートが必要な場合には、相互運用性の問題が発生することができます。しかし、そのような行動を明示的に「姿勢コレクターと姿勢バリデータがサポートを必要としてはならないことを指示(セクション4.1で)この仕様で禁止されている特定のベンダー固有PA-TNCは、属性の型との違いにもかかわらず、他の関係者と相互運用しなければなりません「(彼らはPA-TNCは、タイプ属性特定のサポートを必要とするためにそれらを設定するために、管理者が許可してもよいが)ベンダー固有のPA-TNCのセットがサポートされているタイプの属性。同様の要件は、PAサブタイプ、修復パラメータの種類、およびPA-TNCエラーコードのために含まれています。
For all of the IANA registries defined by this specification, new values are added to the registry by Expert Review with Specification Required, using the Designated Expert process defined in RFC 5226 [3].
この仕様で定義されたIANAレジストリのすべてのために、新しい値は、RFC 5226で定義された指定エキスパートプロセスを使用して、仕様が必要であるとの専門家のレビューによってレジストリに追加されている[3]。
This section provides guidance to designated experts so that they may make decisions using a philosophy appropriate for these registries.
彼らはこれらのレジストリのための適切な哲学を使用して決定を下すことができるようにこのセクションでは、指定された専門家へのガイダンスを提供します。
The registries defined in this document have plenty of values. In most cases, the IETF has approximately 2^32 values available for it to define and each vendor the same number of values for its use. Because there are so many values available, designated experts should not be terribly concerned about exhausting the set of values.
この文書で定義されたレジストリの値をたくさん持っています。それは定義し、各その使用のために同じ数の値をベンダため、ほとんどの場合、IETFは、利用可能な約2 ^ 32個の値を有しています。利用できるので、多くの値が存在するため、指定された専門家は、値のセットを排出する程度ひどく心配すべきではありません。
Instead, designated experts should focus on the following requirements. All values in these IANA registries MUST be documented in a specification that is permanently and publicly available. IETF standard values MUST also be useful, not harmful to the Internet, and defined in a manner that is clear and likely to ensure interoperability.
代わりに、指定された専門家は、次の要件に焦点を当てるべきです。これらのIANAレジストリ内のすべての値を永続的にして公開されている仕様に文書化されなければなりません。 IETFの標準値は、インターネットに有害な、明確かつ相互運用性を確保する可能性がある方法で定義されていない、便利でなければなりません。
Designated experts should encourage vendors to avoid defining similar but incompatible values and instead agree on a single IETF standard value. However, it is beneficial to document existing practice.
指定された専門家は似ていますが、互換性のない値を定義避け、代わりに、単一のIETF標準値に同意するベンダーを奨励すべきです。しかし、既存の練習を文書化することは有益です。
There are several ways to ensure that a specification is permanently and publicly available. It may be published as an RFC. Alternatively, it may be published in another manner that makes it freely available to anyone. However, in this latter case, the vendor MUST supply a copy to the IANA and authorize the IANA to archive this copy and make it freely available to all if at some point the document becomes no longer freely available to all through other channels.
仕様は永久に公的に利用可能であることを確認するには、いくつかの方法があります。これは、RFCとして公開することができます。また、それは誰にもそれが自由に利用できるように、別の方法で公開することができます。しかし、この後者の場合には、ベンダーはIANAにコピーを供給し、このコピーをアーカイブし、いくつかの時点で文書が他のチャネルを通じてもはやすべてに自由に利用可能になる場合は、すべてのそれは自由に利用できるようにしないためにIANAを承認しなければなりません。
Section 7.2 defines the new PA Subtypes. The following three sections provide guidance to the IANA in creating and managing the new IANA registries defined by this specification.
7.2節では、新たなPAサブタイプを定義します。次の3つのセクションでは、この仕様で定義された新しいIANAレジストリの作成と管理にIANAへのガイダンスを提供します。
Section 3.5 of this specification defines several new PA Subtypes that have been added to the PA Subtypes registry defined in the PB-TNC specification. Here is a list of these assignments:
この仕様書の3.5節には、PB-TNC仕様で定義されたPAサブタイプレジストリに追加されたいくつかの新しいPAサブタイプを定義します。ここではこれらの割り当てのリストは、次のとおりです。
PEN Integer Name Defining Specification
--- ------- ---- ----------------------
0 0 Testing RFC 5792
0 1 Operating System RFC 5792
0 2 Anti-Virus RFC 5792
0 3 Anti-Spyware RFC 5792
0 4 Anti-Malware RFC 5792
0 5 Firewall RFC 5792
0 6 IDPS RFC 5792
0 7 VPN RFC 5792
0 8 NEA Client RFC 5792
These PA Subtypes have been added to the registry for PA Subtypes defined in the PB-TNC specification, with this RFC as the reference.
これらのPAサブタイプは、参考としてこのRFCで、PB-TNC仕様で定義されたPAサブタイプのためにレジストリに追加されました。
The name for this registry is "PA-TNC Attribute Types". Each entry in this registry should include a human-readable name, an SMI Private Enterprise Number, a decimal integer value between 0 and 2^32-1, and a reference to the specification where the contents of this attribute type are defined. This specification must define the meaning of this PA-TNC attribute type and the format and semantics of the PA-TNC Attribute Value field for PA-TNC attributes that include the designated Private Enterprise Number in the PA-TNC Attribute Vendor ID field and the designated numeric value in the PA-TNC Attribute Type field.
このレジストリの名前は、「PA-TNCは、属性の型」です。このレジストリ内の各エントリは、SMI民間企業数、0から2 ^ 32-1の間の10進数の整数値、この属性タイプの内容が定義されている仕様への参照を人間可読な名前を含むべきです。この仕様は、このPA-TNCの意味を定義しなければならないタイプとフォーマット属性およびPA-TNCのセマンティクスは、PA-TNCの値フィールド属性PA-TNCで指定されたプライベート・エンタープライズ番号が含まれている属性は、ベンダーIDフィールド属性と指定PA-TNC属性タイプフィールドの数値。
The following entries for this registry are defined in this document. They are the initial entries in the registry for PA-TNC Attribute Types. Additional entries to this registry are added by Expert Review with Specification Required, following the guidelines in section 7.1.
このレジストリのための次のエントリは、この文書で定義されています。彼らはPA-TNCの属性タイプのレジストリで最初のエントリです。このレジストリへの追加のエントリは、セクション7.1のガイドライン以下、仕様が必要であるとの専門家レビューによって追加されます。
PEN Integer Name Defining Specification
--- ------- ---- ----------------------
0 0 Testing RFC 5792
0 1 Attribute Request RFC 5792
0 2 Product Information RFC 5792
0 3 Numeric Version RFC 5792
0 4 String Version RFC 5792
0 5 Operational Status RFC 5792
0 6 Port Filter RFC 5792
0 7 Installed Packages RFC 5792
0 8 PA-TNC Error RFC 5792
0 9 Assessment Result RFC 5792
0 10 Remediation Instructions RFC 5792
0 11 Forwarding Enabled RFC 5792
0 12 Factory Default Password RFC 5792
Enabled
0 0xffffffff Reserved RFC 5792
The name for this registry is "PA-TNC Error Codes". Each entry in this registry should include a human-readable name, an SMI Private Enterprise Number, a decimal integer value between 0 and 2^32-1, and a reference to the specification where this error code is defined. This specification must define the meaning of this error code and the format and semantics of the Error Information field for PA-TNC attributes that have a PA-TNC vendor ID of 0, a PA-TNC Attribute Type of PA-TNC Error, the designated Private Enterprise Number in the PA-TNC Error Code Vendor ID field, and the designated numeric value in the PA-TNC Error Code field.
このレジストリの名前は、「PA-TNCエラーコード」です。このレジストリ内の各エントリは、SMI民間企業数、0から2 ^ 32-1の間の10進数の整数値、およびこのエラーコードが定義されている仕様への参照を人間可読な名前を含むべきです。この仕様は、指定された、PA-TNCエラーの属性タイプ、PA-TNCをこのエラーコードと0のPA-TNCのベンダーIDを持つPA-TNC属性のエラー情報フィールドの形式と意味論の意味を定義する必要がありますPA-TNCエラーコードベンダーIDフィールドに、民間企業の数、およびPA-TNCエラーコードフィールドで指定された数値。
The following entries for this registry are defined in this document. They are the initial entries in the registry for PA-TNC Error Codes. Additional entries to this registry are added by Expert Review with Specification Required, following the guidelines in section 7.1.
このレジストリのための次のエントリは、この文書で定義されています。彼らはPA-TNCエラーコードのためのレジストリで最初のエントリです。このレジストリへの追加のエントリは、セクション7.1のガイドライン以下、仕様が必要であるとの専門家レビューによって追加されます。
PEN Integer Name Defining Specification
--- ------- ---- ----------------------
0 0 Reserved RFC 5792
0 1 Invalid Parameter RFC 5792
0 2 Version Not Supported RFC 5792
0 3 Attribute Type Not Supported RFC 5792
The name for this registry is "PA-TNC Remediation Parameters Types". Each entry in this registry should include a human-readable name, an SMI Private Enterprise Number, a decimal integer value between 1 and 2^32-1, and a reference to the specification where the contents of this remediation parameters type are defined. This specification must define the meaning of this PA-TNC Remediation Parameters Type and the format and semantics of the Remediation Parameters field for PA-TNC attributes that include the designated Private Enterprise Number in the Remediation Parameters Vendor ID field and the designated numeric value in the Remediation Parameters Type field.
このレジストリの名前は、「PA-TNC修復パラメータの種類」です。このレジストリ内の各エントリは、SMI民間企業数、1及び2 ^ 32-1の間の10進数の整数値、この修復パラメータタイプの内容が定義されている仕様への参照を人間可読な名前を含むべきです。この仕様は、このPA-TNC修復パラメータタイプの意味を定義する必要がありますし、PA-TNCのフォーマットと修復パラメータフィールドのセマンティクスは、修復パラメータベンダーIDフィールドとで指定された数値で指定されたプライベート・エンタープライズ番号が含まれている属性修復パラメーターTypeフィールド。
The following entries for this registry are defined in this document. They are the initial entries in the registry for PA-TNC Remediation Parameters Types. Additional entries to this registry are added by Expert Review with Specification Required, following the guidelines in section 7.1.
このレジストリのための次のエントリは、この文書で定義されています。彼らはPA-TNC修復パラメータタイプのレジストリで最初のエントリです。このレジストリへの追加のエントリは、セクション7.1のガイドライン以下、仕様が必要であるとの専門家レビューによって追加されます。
PEN Integer Name Defining Specification
--- ------- ---- ----------------------
0 0 Reserved RFC 5792
0 1 URI RFC 5792
0 2 Remediation String RFC 5792
Thanks to the Trusted Computing Group for contributing the initial text [8] upon which this document was based. The authors would also like to acknowledge the following people who have contributed to or provided substantial input on the preparation of this document or predecessors to it: Stuart Bailey, Roger Chickering, Lauren Giroux, Charles Goldberg, Steve Hanna, Ryan Hurst, Meenakshi Kaushik, Greg Kazmierczak, Scott Kelly, PJ Kirner, Houcheng Lee, Lisa Lorenzin, Mahalingam Mani, Sung Lee, Ravi Sahita, Mauricio Sanchez, Brad Upson, and Han Yin.
最初のテキストを貢献のための信頼できるコンピューティンググループのおかげで、[8]この文書がベースになりました。 、スチュアート・ベイリー、ロジャー・チカーリング、ローレン・ジルー、チャールズ・ゴールドバーグ、スティーブ・ハンナ、ライアン・ハースト、Meenakshi Kaushikによる:著者はまたに貢献したか、それには、この文書または前任者の準備に相当な入力を提供した以下の方々に感謝しますグレッグKazmierczak、スコット・ケリー、PJ Kirner、Houchengリー、リサLorenzin、Mahalingamマニ、宋・リー、ラヴィSahita、マウリシオサンチェス、ブラッド・アップソン、そして韓胤。
[1] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, March 1997.
[1]ブラドナーのは、S.は、BCP 14、RFC 2119、1997年3月の "RFCsにおける使用のためのレベルを示すために"。
[2] Yergeau, F., "UTF-8, a transformation format of ISO 10646", STD 63, RFC 3629, November 2003.
[2] Yergeau、F.、 "UTF-8、ISO 10646の変換フォーマット"、STD 63、RFC 3629、2003年11月。
[3] Narten, T. and H. Alvestrand, "Guidelines for Writing an IANA Considerations Section in RFCs", BCP 26, RFC 5226, May 2008.
[3] Narten氏、T.とH. Alvestrand、 "RFCsにIANA問題部に書くためのガイドライン"、BCP 26、RFC 5226、2008年5月。
[4] Klyne, G. and C. Newman, "Date and Time on the Internet: Timestamps", RFC 3339, July 2002.
[4] Klyne、G.とC.ニューマン、 "インターネット上の日付と時刻:タイムスタンプ"、RFC 3339、2002年7月。
[5] Sahita, R., Hanna, S., Hurst, R., and K. Narayan, "PB-TNC: A Posture Broker (PB) Protocol Compatible with Trusted Network Connect (TNC)", RFC 5793, March 2010.
[5] Sahita、R.、ハンナ、S.、ハースト、R.、およびK.ナラヤン、 "PB-TNC:トラステッドネットワークコネクト(TNC)に対応姿勢ブローカー(PB)プロトコル"、RFC 5793、2010年3月。
[6] Phillips, A., Ed., and M. Davis, Ed., "Tags for Identifying Languages", BCP 47, RFC 5646, September 2009.
[6]フィリップス、A.編、およびM.デイビス、エド。、 "言語を識別するためのタグ"、BCP 47、RFC 5646、2009年9月。
[7] Berners-Lee, T., Fielding, R., and L. Masinter, "Uniform Resource Identifier (URI): Generic Syntax", STD 66, RFC 3986, January 2005.
[7]バーナーズ - リー、T.、フィールディング、R.、およびL. Masinter、 "ユニフォームリソース識別子(URI):汎用構文"、STD 66、RFC 3986、2005年1月。
[8] Trusted Computing Group, "IF-M: TLV Binding", http://www.trustedcomputinggroup.org/resources/ tnc_ifm_tlv_binding_specification, February 2010.
":TLVはバインディングIF-M"、http://www.trustedcomputinggroup.org/resources/ tnc_ifm_tlv_binding_specification、2010年2月[8]コンピューティング・グループは、信頼できます。
[9] Sangster, P., Khosravi, H., Mani, M., Narayan, K., and J. Tardo, "Network Endpoint Assessment (NEA): Overview and Requirements", RFC 5209, June 2008.
[9]サングスター、P.、Khosravi、H.、マニ、M.、ナラヤン、K.、およびJ. Tardo、 "ネットワークエンドポイントの評価(NEA):概要および要件"、RFC 5209、2008年6月。
Appendix A. Use Cases
付録A.ユースケース
A.1. Initial Client-Triggered Assessment
A.1。初期クライアント・トリガアセスメント
This scenario involves the assessment of an endpoint initiated during network join. The assessment is triggered by the Posture Broker Client (PBC) and involves collection of patch information from both Standard Operating System (OS) Posture Collector and vendor-specific Patch Posture Collector (PC). The assessment by both the vendor-specific Patch Posture Validator (PV) and Standard OS Posture Validator result in a compliant assessment decision that results in a compliant System Assessment Decision to be returned by the Posture Broker Server (PBS).
このシナリオでは、ネットワーク中に参加開始エンドポイントの評価を含みます。評価は、姿勢ブローカクライアント(PBC)によってトリガおよび標準オペレーティングシステム(OS)姿勢コレクタと、ベンダー固有のパッチ姿勢コレクタ(PC)の両方からパッチ情報の収集を伴います。ベンダー固有のパッチのPosture検証(PV)と姿勢ブローカーサーバー(PBS)によって返される準拠したシステムアセスメントの意思決定につながる対応の査定の裁判での標準OSのPosture検証結果の両方による評価。
+--------+ +-------+ +---------+ +--------+ +-------++--------+
| Vndr. X| | Std. | | Std. | | Std. | | Std. || Vndr. X|
|Patch PC| | OS PC | | PBC | | PBS | | OS PV ||Patch PV|
+--+-----+ +-+-----+ +---+-----+ +-+------+ +-+------+--+-----+
| | N/W Join| | | |
| | ----->| | | |
| | Req Post. | | | |
| |<----------| | | |
| | Req Post. | | | |
|<--------------------| | | |
|Vndr X Patch Posture | | | |
|-------------------->| | | |
| |OS Posture | | | |
| |---------->| | | |
| | | Posture | | |
| | | Report | | |
| | |-------->| | |
| | | | Verify | |
| | | | Posture | |
| | | |---------> |
| | | | | Verify |
| | | | | Posture |
| | | |------------------->|
| | | | OS Reslt | |
| | | |<---------| |
| | | | VndrX Patch Result |
| | | Assess |<-------------------|
| | | Result | |
| | |<--------| | |
| | OS Reslt | | | |
| |<----------| | | |
| VndrX Patch Result | | | |
|<--------------------| | | |
A.1.1. Message Contents
A.1.1。メッセージの内容
This section shows the contents of the key fields in each of the PA messages exchanged in this use case. When necessary, additional commentary is provided to explain why certain fields contain the shown values. Note that many of the flows shown are between components on the same system so no message contents are shown.
このセクションでは、このユースケースでやり取りPAメッセージのそれぞれのキー・フィールドの内容を示しています。必要な場合には、追加的な解説は、特定のフィールドが示されている値が含まれている理由を説明するために提供されます。メッセージ・コンテンツが表示されないように示すフローの多くは、同じシステム上のコンポーネントの間であることに留意されたいです。
A.1.1.1. N/W Join
A.1.1.1。 N / Wに参加
This flow represents the event that causes the PBC to decide to start an assessment of the endpoint in order to gain access to the network. This is merely an event and does not include a message being sent.
この流れは、ネットワークへのアクセスを得るために、エンドポイントの評価を開始することを決定するPBCの原因となるイベントを表します。これは単なるイベントであり、送信されたメッセージが含まれていません。
A.1.1.2. Request Posture (Req Post.)
A.1.1.2。リクエスト姿勢(必須ポスト。)
This flow illustrates an invocation of the OS and patch posture collectors requesting particular posture attributes to be sent. Because this use case is triggered locally, the contents of this flow aren't specified by NEA.
このフローは、特定の姿勢を送信する属性要求OSパッチ姿勢コレクターの呼び出しを示します。このユースケースは、ローカルにトリガされているので、このフローの内容は、NEAによって指定されていません。
A.1.1.3. Vendor X Patch Posture (VndrX Patch Posture)
A.1.1.3。ベンダーXパッチ姿勢(VndrXパッチ姿勢)
This flow contains the PA message from the Patch Posture Collector:
この流れは、パッチ姿勢コレクターからPAメッセージが含まれています。
Vendor X Patch Posture PA Message { Attribute HDR {Message ID} Attribute 1 { vendor-id=1 (vendor X) type=1 (Vendor X namespace attribute) length Value = { VendorXAttribute1=123 } } Attribute 2 { vendor-id=1 (vendor X) type=2 (Vendor X namespace attribute) length Value = { VendorXAttribute2=456 } } }
ベンダーXパッチ姿勢PAメッセージ{項目HDR {メッセージID}項目1 {ベンダーID = 1(ベンダーX)= 1(ベンダーX名前空間属性)の長さの値= {VendorXAttribute1 = 123}}項目2 {ベンダーIDを入力し= 1(ベンダーX)TYPE = 2(ベンダーX名前空間属性)の長さの値= {VendorXAttribute2 = 456}}}
A.1.1.4. OS Posture
A.1.1.4。姿勢
This flow contains the PA message from the OS Posture Collector:
この流れは、OSのPostureコレクターからPAメッセージが含まれています。
OS Posture PA Message {
OS PA姿勢のメッセージ{
Attribute HDR {Message ID} Attribute 1 { vendor-id=0 type=2 (product information) length Value = { Product-vendor-id=311 -- Microsoft's PEN Product-name="Windows Vista" } } Attribute 2 { vendor-id=0 type=3 (numeric version) length Value = { major-version=6 -- Vista is version 6.0 minor-version=0 build-number=456789 service-pack-major=0 -- No service packs service-pack-minor=0 } } }
属性HDR {メッセージID}項目1 {ベンダーID = 0タイプ= 2(製品情報)の長さの値= {製品・ベンダーID = 311 - MicrosoftのPEN製品名= "Windows Vistaの"}}項目2 {ベンダー-id = 0タイプ= 3(数値バージョン)の長さの値= {メジャーバージョン= 6 - Vistaは、バージョン6.0のマイナーバージョン= 0のビルド番号は= 456789サービスパックの主要= 0である - いいえ、サービスパックservice-パック・マイナー= 0}}}
A.1.1.5. Posture Report
A.1.1.5。姿勢レポート
This flow contains the PB message containing the PA messages from the Patch and OS Posture Collectors; the message content is described in the PB-TNC specification.
この流れは、パッチおよびOS姿勢コレクターからPAメッセージを含むPBメッセージが含まれています。メッセージの内容は、PB-TNCの明細書に記載されています。
A.1.1.6. Verify Posture
A.1.1.6。姿勢を確認してください
This flow illustrates an invocation of the OS and patch Posture Validators requesting verification of the posture attributes received. Because this flow happens locally within the NEA server, NEA does not specify the message contents.
この流れは、姿勢の検証を要求する姿勢バリデータが受信属性OSやパッチの呼び出しを示しています。このフローはNEAサーバ内でローカルに行われるため、NEAは、メッセージの内容を指定していません。
A.1.1.7. OS Posture Result (OS Reslt)
A.1.1.7。姿勢結果(結果)
This flow contains the PA message (Posture Assessment Result) from the OS Posture Validator
この流れは、OSのPosture検証からPAメッセージ(姿勢評価結果)が含まれてい
OS Posture Result PA Message { Attribute HDR {Message ID} Attribute 1 { vendor-id=0 type=9 (assessment-result) length Value = { assessment-result=0 (compliant) } } }
OS姿勢結果PAメッセージ{項目HDR {メッセージID}項目1 {ベンダーID = 0タイプ= 9(評価結果)長の値= {評価結果= 0(コンプライアント)}}}
A.1.1.8. Vendor X Patch Result (VndrX Patch Result)
A.1.1.8。ベンダーXパッチ結果(VndrXパッチ結果)
This flow contains the PA message (Posture Assessment Result) from the Vendor X Patch Posture Validator
この流れは、ベンダーXパッチのPosture検証からPAメッセージ(姿勢評価結果)が含まれてい
Patch Vendor X Posture Result PA Message { Attribute HDR {Message ID} Attribute 1 { vendor-id=0 type=9 (assessment-result) length Value = { assessment-result=0 (compliant) } } }
パッチベンダーX姿勢結果PAメッセージ{項目HDR {メッセージID}項目1 {ベンダーID = 0タイプ= 9(評価結果)長の値= {評価結果= 0(コンプライアント)}}}
A.1.1.9. Assessment Result (Assess Result)
A.1.1.9。評価結果(検索結果を評価します)
This flow contains the PB message containing the system assessment result computed by the Posture Broker Server and the PA messages from the Patch and OS Posture Validators; the message content is described in the PB-TNC specification.
この流れは、パッチおよびOS姿勢バリデータから姿勢ブローカーサーバーとPAメッセージによって計算されたシステムの評価結果を含むPBメッセージが含まれています。メッセージの内容は、PB-TNCの明細書に記載されています。
A.1.1.10. Posture Result (OS PRslt & Vndr X Post PResult)
A.1.1.10。姿勢の結果(印刷&Vndr Xポスト結果)
These flows illustrate an invocation of the OS and Vendor X Patch Posture Collectors to receive the posture assessment results. Because this flow is triggered locally, NEA does not specify the contents of this flow.
これらのフローは、ポスチャ評価結果を受け取るためにOSやベンダーXパッチ姿勢コレクターの呼び出しを示しています。このフローはローカルにトリガされますので、NEAは、このフローの内容を指定していません。
A.2. Server-Initiated Assessment with Remediation
A.2。修復とサーバ起動アセスメント
This scenario involves the assessment of an endpoint initiated by the NEA Server. The assessment is triggered by the Posture Broker Server and involves collection of Anti-Virus attributes for two Anti-Virus components running on the endpoint. The endpoint is assessed to be compliant by one of the vendor (Vendor X) anti-virus Posture Validators and non-compliant by the other vendor (Vendor Y) anti-virus Posture Validator. Based upon the Posture Broker Server's policy, this results in a non-compliant system assessment decision to be returned by the Posture Broker Server. The Posture Broker Server also returns remediation instructions for the endpoint as part of the response.
このシナリオでは、NEA Serverによって開始されたエンドポイントの評価を含みます。評価は、姿勢ブローカーサーバーによってトリガされ、エンドポイント上で実行している2つのアンチウイルスコンポーネントのためにAnti-Virusの属性のコレクションを伴います。エンドポイントは、他のベンダー(ベンダーY)アンチウイルスポスチャ検証によりベンダー(ベンダーX)のいずれかでアンチウイルス姿勢バリデータと非準拠を準拠するように評価されます。姿勢ブローカーサーバーの方針に基づき、非準拠システムの査定の裁判では、この結果は、姿勢ブローカーサーバーによって返されます。姿勢ブローカーサーバーは、応答の一部として、エンドポイントの修復指示を返します。
+--------+ +-------+ +---------+ +--------+ +-------+ +--------+
| Vndr Y | | Vndr X| | Std. | | Std. | | Vndr X| | Vndr Y |
| AV PC | | AV PC | | PBC | | PBS | | AV PV | | AV PV |
+----+---+ +---+---+ +-----+---+ +---+----+ +---+---+ +----+---+
| | | N/W Join| | |
| | | ------->| | |
| | | | Create | |
| | | |Post. Req | |
| | | |--------->| |
| | | |Create Posture Req |
| | | |----------+--------->|
| | | | Vndr Y AV Post Req |
| | | |<---------+----------|
| | | |Vndr X AV | |
| | | |Post. Req | |
| | | Posture |<---------| |
| | | Request | | |
| | Vndr X AV |<--------| | |
| | Post. Req | | | |
| |<----------| | | |
| Vndr Y AV | | | |
| Posture Req | | | |
+<---------+-----------| | | |
| Vndr Y AV Posture | | | |
+----------+---------->| | | |
| | Vndr X AV | | | |
| | Posture | | | |
| |---------->| Posture | | |
| | |Response | | |
| | |-------->| | |
| | | | Verify | |
| | | | Posture | |
| | | |--------->| |
| | | | Verify Posture |
| | | |----------+--------->|
| | | |Vndr Y AV Post Result|
| | | |<---------+----------|
| | | |Vndr X AV | |
| | | |Post Reslt| |
| | | Assess |<---------| |
| | | Result | | |
| | Vndr X AV |<--------| | |
| |Post Reslt |<--------| | |
| |<----------| | | |
| Vndr Y AV Post Reslt | | | |
+<---------+-----------| | | |
A.2.1. Message Contents
A.2.1。メッセージの内容
This section shows the contents of the key fields in each of the PA messages exchanged in this use case. When necessary, additional commentary is provided to explain why certain fields contain the shown values. Note that many of the flows shown are between components on the same system so no message contents are shown.
このセクションでは、このユースケースでやり取りPAメッセージのそれぞれのキー・フィールドの内容を示しています。必要な場合には、追加的な解説は、特定のフィールドが示されている値が含まれている理由を説明するために提供されます。メッセージ・コンテンツが表示されないように示すフローの多くは、同じシステム上のコンポーネントの間であることに留意されたいです。
A.2.1.1. N/W Join
A.2.1.1。 N / Wに参加
This flow represents the event that causes the PBS to decide to start an assessment of the endpoint in order to gain access to the network. This is merely an event and does not include a message being sent.
この流れは、ネットワークへのアクセスを得るために、エンドポイントの評価を開始することを決定するためにPBSの原因となるイベントを表します。これは単なるイベントであり、送信されたメッセージが含まれていません。
A.2.1.2. Create Posture Request (Create Posture Req)
A.2.1.2。姿勢の要求を作成します(姿勢のReqを作成します)
This flow illustrates an invocation of the Vendor X and Vendor Y Anti-Virus Posture Validators enabling posture request attributes to be created. Because this use case is triggered locally, NEA does not specify the contents of this flow.
この流れは、ベンダーX及びベンダーYアンチウイルスポスチャバリ可能姿勢要求の呼び出しを作成する属性を示します。このユースケースは、ローカルにトリガされますので、NEAは、このフローの内容を指定していません。
A.2.1.3. Vendor Y AV Posture Request (Vndr Y AV Posture Req)
A.2.1.3。姿勢要求のベンダーY(姿勢必須のVndr Y)
This flow contains the PA message (Posture Request) from the Vendor Y Anti-Virus Posture Validator
この流れは、ベンダーY Anti-Virusの姿勢バリデータからPAメッセージ(姿勢リクエスト)が含まれてい
Vendor Y AV Posture Request PA Message { Attribute HDR {Message ID} Attribute 1 { vendor-id=0 type=1 (Attribute Request) length Value = { Vendor-id=0 (IETF Standard) Type=2 (Standard attribute, Product-Information) Vendor-id=1 (Vendor Y) Type=2 (Vendor Y attribute, Extended-Dat-Version) } } }
ベンダーY AVポスチャ要求PAメッセージ{項目HDR {メッセージID}項目1 {ベンダーID = 0タイプ= 1(要求属性)の長さの値= {ベンダーID = 0(IETF標準)TYPE = 2(標準属性、商品 - 情報)ベンダーID = 1(ベンダーY)= 2(ベンダーYの属性を入力し、拡張-DAT-版)}}}
A.2.1.4. Vendor X AV Posture Request (Vndr X AV Post. Req)
A.2.1.4。姿勢リクエストのベンダーX(Vndr X AVポスト。REQ)
This flow contains the PA message (Posture Request) from the Vendor X Anti-Virus Posture Validator
この流れは、ベンダーX Anti-Virusの姿勢バリデータからPAメッセージ(姿勢リクエスト)が含まれてい
Vendor X AV Posture Request PA Message { Attribute HDR {Message ID} Attribute 1 { vendor-id=0 type=1 (Attribute Request) length Value = { Vendor-id=1 (Vendor X) Type=1 (Vendor X attribute, Scan-Engine-Version) Vendor-id=0 (IETF Standard) Type=5 (Standard, Operational-Status) } } }
ベンダーX AVポスチャ要求PAメッセージ{項目HDR {メッセージID}項目1 {ベンダーID = 0タイプ= 1(属性要求)長の値= {ベンダーID = 1(ベンダーX)= 1(ベンダーXの属性を入力し、スキャンエンジン版)ベンダーID = 0(IETF標準)TYPE = 5(標準、動作ステータス)}}}
A.2.1.5. Posture Request
A.2.1.5。姿勢リクエスト
This flow contains the PB message containing the PA messages from the Vendor X and Vendor Y Anti-Virus Posture Validators; the message content is described in the PB-TNC specification.
この流れは、ベンダーXとYベンダーAnti-Virusの姿勢バリデータからPAメッセージを含むPBメッセージが含まれています。メッセージの内容は、PB-TNCの明細書に記載されています。
A.2.1.6. Posture Request (Vndr X AV Post Req & Vndr Y AV Post Req)
A.2.1.6。姿勢要求(ポスト必須のポスト必須&Vndr YのVndr X)
These flows illustrate an invocation of the Vendor X and Vendor Y Anti-Virus Posture Collectors to process the Posture Request and return the particular posture attributes requested. Because this flow is triggered locally, NEA does not specify the contents of this flow.
これらのフローは、ベンダーXと姿勢の要求を処理し、要求された特定の姿勢の属性を返すためにベンダーY Anti-Virusの姿勢コレクターの呼び出しを示しています。このフローはローカルにトリガされますので、NEAは、このフローの内容を指定していません。
A.2.1.7. Vendor Y AV Posture (Vndr Y AV Posture)
A.2.1.7。姿勢のベンダーY(姿勢Vndr Y)
This flow contains the PA message (response to the Posture Request) from the Vendor Y Anti-Virus Posture Collector.
この流れは、ベンダーY Anti-Virusの姿勢コレクターからPAメッセージ(姿勢要求に対する応答)が含まれています。
Vendor Y AV Posture PA Message { Attribute HDR {Message ID} Attribute 1 { vendor-id=0 (IETF Standard) Type=2 (Standard attribute, Product-Information) length Value = { product-vendor-id=12345 (vendor Y) product-id=987 (AV product id from vendor Y) product-name="Vendor Y Anti-Virus" } } Attribute 2 { vendor-id=2 (vendor Y) type=2 (vendor Y attribute, DAT-Version) length Value = { DAT-version=5678 } } }
ベンダーY AVポスチャPAメッセージ{項目HDR {メッセージID}項目1 {ベンダーID = 0(IETF標準)TYPE = 2(標準属性、製品情報)の長さの値= {製品ベンダーID = 12345(ベンダーYベンダーYから= 987(AV製品ID)製品ID)製品名= "ベンダーYアンチウイルス"}}項目2 {ベンダーID = 2(ベンダーY)= 2(ベンダーYの属性を入力し、DAT-版)の長さの値= {DATバージョン= 5678}}}
A.2.1.8. Vendor X AV Posture (Vndr X AV Posture)
A.2.1.8。姿勢ベンダーX(姿勢Vndr X)
This flow contains the PA message (response to the Posture Request) from the Vendor X Anti-Virus Posture Collector.
この流れは、ベンダーX Anti-Virusの姿勢コレクターからPAメッセージ(姿勢要求に対する応答)が含まれています。
Vendor X AV Posture PA Message { Attribute HDR {Message ID} Attribute 1 { vendor-id=1 type=1 (vendor X attribute, Scan-Engine-Version) length Value = { scan-engine-version=1234 } } Attribute 2 { vendor-id=0 (IETF Standard) type=5 (Standard, Operational-Status) length Value = { status=2 (installed but non-operational) result=0 (unknown) last use="" (never used) } } }
ベンダーX AVポスチャPAメッセージ{項目HDR {メッセージID}項目1 {ベンダーID = 1つのタイプ= 1(ベンダーX属性、スキャンエンジン版)長の値= {スキャンエンジンバージョン= 1234}}項目2 {ベンダーID = 0(IETF標準)= 5(標準、動作ステータス)長の値= {ステータス= 2(インストールされているが非動作)の結果= 0(不明)型最後使用= ""(使用されません)} }}
A.2.1.9. Posture Response
A.2.1.9。姿勢応答
This flow contains the PB message containing the PA messages from the Vendor X and Vendor Y Anti-Virus Posture Collectors; the message content is described in the PB-TNC specification.
この流れは、ベンダーXとYベンダーAnti-Virusの姿勢コレクターからPAメッセージを含むPBメッセージが含まれています。メッセージの内容は、PB-TNCの明細書に記載されています。
A.2.1.10. Verify Posture
A.2.1.10。姿勢を確認してください
This flow illustrates an invocation of the Vendor X and Vendor Y Anti-Virus Posture Validators requesting verification of the posture attributes received. Because this flow happens locally within the NEA server, NEA does not specify the message contents.
このフローは、属性は、受信姿勢の検証を要求するベンダXとベンダーYアンチウィルス姿勢バリデータの呼び出しを示しています。このフローはNEAサーバ内でローカルに行われるため、NEAは、メッセージの内容を指定していません。
A.2.1.11. Vendor Y AV Posture Result (Vndr Y AV Post Result)
A.2.1.11。姿勢の結果のベンダーY(項目結果のVndr Y)
This flow contains the PA message (Posture Assessment Result) from the Vendor Y Anti-Virus Posture Validator
この流れは、ベンダーY Anti-Virusの姿勢バリデータからPAメッセージ(姿勢評価結果)が含まれてい
Vendor Y AV Posture Result PA Message { Attribute HDR {Message ID} Attribute 1 { vendor-id=0 type=9 (assessment-result) length Value = { assessment-result=0 (compliant) } } }
ベンダーY AVポスチャPAメッセージ{項目HDR {メッセージID}項目1 {ベンダーID = 0タイプ= 9(評価結果)の長さの値= {評価結果= 0(コンプライアント)}}}結果
A.2.1.12. Vendor X AV Posture Result (Vndr X AV Post Reslt)
A.2.1.12。姿勢の結果をベンダーX(Vndr X AVポストReslt)
This flow contains the PA message (Posture Assessment Result) from the Vendor X Anti-Virus Posture Validator
この流れは、ベンダーX Anti-Virusの姿勢バリデータからPAメッセージ(姿勢評価結果)が含まれてい
Vendor X AV Posture Result PA Message { Attribute HDR {Message ID} Attribute 1 { vendor-id=0 type=9 (assessment-result) length Value = { assessment-result=1 (non-compliant) } } }
ベンダーX AV姿勢PAメッセージ{項目HDR {メッセージID}項目1 {ベンダーID = 0タイプ= 9(評価結果)の長さの値= {評価結果= 1(非準拠)}}}結果
A.2.1.13. Assessment Result (Assess Result)
A.2.1.13。評価結果(検索結果を評価します)
This flow contains the PB message containing the system assessment result computed by the Posture Broker Server and the PA messages from the Vendor X and Vendor Y Anti-Virus Posture Validators; the message content is described in the PB-TNC specification.
この流れは、ベンダーXとYベンダーAnti-Virusの姿勢バリデータから姿勢ブローカーServerおよびPAメッセージによって計算されたシステムの評価結果を含むPBメッセージが含まれています。メッセージの内容は、PB-TNCの明細書に記載されています。
A.2.1.14. Posture Result (Vndr X AV Post Reslt & Vndr Y AV Post Reslt)
A.2.1.14。姿勢の結果(ポストResltのポストReslt&Vndr YのVndr X)
These flows illustrate an invocation of the Vendor X and Vendor Y Anti-Virus Posture Collectors to receive the posture assessment results. Because this flow is triggered locally, NEA does not specify the contents of this flow.
これらのフローは、姿勢の評価結果を受信するためにベンダーX及びベンダーYアンチウィルス姿勢コレクターの呼び出しを示します。このフローはローカルにトリガされますので、NEAは、このフローの内容を指定していません。
A.3. Client-Triggered Reassessment
A.3。クライアント・トリガ再評価
This scenario involves the reassessment of an endpoint as a result of enabling a software component on the endpoint. The endpoint has two VPN client software components, one from vendor X for the user's home network and other from vendor Y for the network that the endpoint is currently accessing. The assessment is triggered when the user tries to use the Vendor X VPN client; this is a violation of the assessment policy. The Posture Broker Client triggers the posture assessment when it receives a notification from the VPN Posture Collector about the change to the operational state of the VPN component on the endpoint. Note that the VPN Posture Collector may support standard attributes and some vendor-defined attributes from vendor X's and vendor Y's namespaces. This use case does not leverage vendor-defined attributes. The assessment involves verification of the standard VPN posture attributes by the standard VPN Posture Validator that results in a non-compliant assessment result.
このシナリオでは、エンドポイント上のソフトウェア・コンポーネントを有効にした結果として、エンドポイントの再評価することを含みます。エンドポイントは、2つのVPNクライアントソフトウェアコンポーネント、ユーザのホームネットワークのためのベンダーXから1とエンドポイントは、現在アクセスしているネットワークのベンダーYから他のを持っています。評価は、ユーザーがベンダーX VPNクライアントを使用しようとしたときにトリガされます。これは、評価ポリシー違反です。姿勢ブローカークライアントは、エンドポイントのVPNコンポーネントの動作状態への変化についてVPN姿勢コレクターからの通知を受けたポスチャ評価をトリガします。 VPN姿勢コレクタは、標準の属性とベンダーのXさんとYベンダーの名前空間からのいくつかのベンダー定義属性をサポートするかもしれないことに注意してください。このユースケースは、ベンダー定義属性を活用しません。評価は、非準拠査定結果になり、標準的なVPNのPosture Validatorによって属性標準VPN姿勢の検証を必要とします。
This use case relies on the use of multiple Posture Collector IDs for a single Posture Collector as described in section 3.3 of the PA-TNC specification. In this example, the Posture Collector will obtain two Posture Collector IDs to a single Posture Collector (Standard VPN PC) and the Posture Collector will generate two separate PA messages each using a different ID to report the posture for Vendor X and Vendor Y VPN Clients. The Posture Broker Client will associate the assigned IDs in the PB message sent to the NEA Server. This entire behavior will be completely opaque to the NEA Server, which will handle the PB message as if there were two VPN Posture Collectors on the NEA Client.
PA-TNC仕様のセクション3.3に記載されているように、このユースケースは、単一の姿勢コレクタのための複数の姿勢コレクタIDの使用に依存しています。この例では、姿勢コレクタは、ベンダーX及びベンダーY VPNクライアントの姿勢を報告するために異なるIDを使用して2つの別個のPAメッセージそれぞれを生成する単一姿勢コレクタ(標準VPNのPC)と姿勢コレクタへの2つの姿勢コレクタIDを取得します。姿勢ブローカークライアントは、NEA Serverに送信PBメッセージに割り当てられたIDを関連付けます。この全体の動作は、NEAクライアント上の2人のVPN姿勢コレクターがあったかのようにPBメッセージを処理するNEAサーバーに完全に不透明になります。
+--------+ +-------+ +---------+ +--------+ +--------+ +--------+
|Vndr X | |Vndr Y | |Standard | |Standard| |Standard| |Standard|
|VPNClnt | |VPNClnt| | VPN PC | | PBC | | PBS | | VPN PV |
+----+---+ +---+---+ +-----+---+ +---+----+ +---+----+ +----+---+
Enble| | | | | |
---->| | | | | |
| VPN Status Change | | | |
|--------------------->| Posture | | |
| | | Change | | |
| | |-------->| | |
| | |Req. Post| | |
| | |<--------| | |
| |Ins/Rq Info| | | |
| |<----------| | | |
| Inspect/Request Info | | | |
|<---------+-----------|VPNX Post| | |
| | |-------->| | |
| | |VPNY Post| | |
| | |-------->| | |
| | | | Posture | |
| | | | Report | |
| | | |--------->| |
| | | | |Vrfy Post. |
| | | | |---------->|
| | | | |VPN PRslt |
| | | | Assess |<----------|
| | | | Result | |
| | | |<---------| |
| | |VPN PRslt| | |
| | |<--------| | |
A.3.1. Message Contents
A.3.1。メッセージの内容
This section shows the contents of the key fields in each of the PA messages exchanged in this use case. When necessary, additional commentary is provided to explain why certain fields contain the shown values. Note that many of the flows shown are between components on the same system so no message contents are shown.
このセクションでは、このユースケースでやり取りPAメッセージのそれぞれのキー・フィールドの内容を示しています。必要な場合には、追加的な解説は、特定のフィールドが示されている値が含まれている理由を説明するために提供されます。メッセージ・コンテンツが表示されないように示すフローの多くは、同じシステム上のコンポーネントの間であることに留意されたいです。
A.3.1.1. Enable VPN Client (Enble)
A.3.1.1。 VPNクライアントを有効にする(有効)
This flow represents the end user triggered event of starting the VPN Client software from Vendor X. This is merely an event and does not include a message being sent.
この流れは、これは単にイベントであり、送信されるメッセージが含まれていないベンダーXからVPNクライアントソフトウェアを起動するイベントをトリガしたエンドユーザを表します。
A.3.1.2. Notify Status Change (VPN Status Change)
A.3.1.2。ステータス変更を通知する(VPNのステータス変更)
This flow represents the detection of the active state of the Vendor X VPN Client software by the VPN Posture Collector. This is merely an event and does not include a message being sent.
この流れは、VPN姿勢コレクタによってベンダーX VPNクライアントソフトウェアのアクティブ状態の検出を表します。これは単なるイベントであり、送信されたメッセージが含まれていません。
A.3.1.3. Notify Posture Change (Posture Change)
A.3.1.3。通知姿勢変更(姿勢変更)
This flow represents the notification of the VPN posture change sent from the VPN Posture Collector to the Standard Posture Broker Client. This is merely an event and does not include a message being sent.
この流れは、基準姿勢ブローカクライアントにVPN姿勢コレクタから送信されたVPNの姿勢変化の通知を表します。これは単なるイベントであり、送信されたメッセージが含まれていません。
A.3.1.4. Request Posture (Req. Post)
A.3.1.4。リクエスト姿勢(必須。ポスト)
This flow illustrates an invocation of the VPN Posture Collector requesting particular posture attributes to be sent. Because this use case is triggered locally, NEA does not specify the contents of this flow.
このフローは、特定の姿勢を送信する属性要求VPN姿勢コレクタの呼び出しを示します。このユースケースは、ローカルにトリガされますので、NEAは、このフローの内容を指定していません。
A.3.1.5. Inspect/Request Info (Ins/Rq Info)
A.3.1.5。点検/リクエスト情報(INS / Rqの情報)
This flow illustrates the acquisition of the posture information by the VPN Posture Collector from the Vendor X and Vendor Y VPN Client components. Because this flow is triggered locally, NEA does not specify the message contents.
この流れは、ベンダーX及びベンダーY VPNクライアントコンポーネントからVPN姿勢コレクタによって姿勢情報の取得を示します。このフローはローカルにトリガされますので、NEAは、メッセージの内容を指定していません。
A.3.1.6. Vendor X VPN Posture (VPNX Post)
A.3.1.6。ベンダーX VPN姿勢(VPNXポスト)
This flow contains the PA message from the VPN Posture Collector describing the Vendor X VPN Client's posture:
この流れは、ベンダーXのVPN Clientの姿勢を説明VPN姿勢コレクターからPAメッセージが含まれています。
Vendor X VPN Posture PA Message{ Attribute HDR {Message ID} Attribute 1 { vendor-id=0 type=2 (product information) length Value = { product-vendor-id=9876 (vendor X) product-id=567 (VPN client identifier for Vndr X) product-name="Vendor X VPN Client" } } Attribute 2 { vendor-id=0 type=5 (operational status) length Value = { Status=3 (Operational) Result=1 (Successful use with no errors detected) last Use="2008-07-07T12:00:00Z" } }
ベンダーX VPN姿勢PAメッセージ{項目HDR {メッセージID}項目1 {ベンダーID = 0タイプ= 2(製品情報)の長さの値= {製品ベンダーID = 9876(ベンダーX)製品ID = 567(VPN Vndr X)製品名= "ベンダーX VPNクライアント"}}項目2 {ベンダーID = 0タイプ= 5(動作状態)の長さの値= {ステータス= 3(動作)結果= 1(正常に使用するためのクライアント識別子エラーが検出されない)最後の使用= "2008-07-07T12:00:00Z"}}
A.3.1.7. Vendor Y VPN Posture (VPNY Post)
A.3.1.7。ベンダーY VPN姿勢(VPNYポスト)
This flow contains the PA message from the VPN Posture Collector including the Vendor Y VPN Client's posture:
この流れは、ベンダーY VPN Clientの姿勢を含むVPN姿勢コレクターからPAメッセージが含まれています。
Vendor Y VPN Posture PA Message{ Attribute HDR {Message ID} Attribute 1 { vendor-id=0 type=2 (product information) length Value = { product-vendor-id=Vendor Y product-id=234 (VPN client identifier for Vndr Y) product-name="Vendor Y VPN Client" } } Attribute 2 { vendor-id=0 type=5 (operational status) length Value = { Status=3 (Operational) Result=1 (Successful use with no errors detected) last Use="2008-07-07T14:05:00Z" } } }
ベンダーY VPN姿勢PAメッセージ{ための項目HDR {メッセージID}項目1 {ベンダーID = 0タイプ= 2(製品情報)の長さの値= {製品ベンダーID =ベンダーY産物-ID = 234(VPNクライアント識別子Vndr Y)製品名= "ベンダーY VPNクライアント"}}項目2 {ベンダーID = 0タイプ= 5(動作状態)の長さの値= {ステータス= 3(動作)の結果検出されたエラーのない= 1(正常に使用)最後の使用= "2008-07-07T14:05:00Z"}}}
A.3.1.8. Posture Report
A.3.1.8。姿勢レポート
This flow contains the PB message containing the PA message from the VPN Posture Collector; the message content is described in the PB-TNC specification.
この流れは、VPN姿勢コレクターからPAメッセージを含むPBメッセージが含まれています。メッセージの内容は、PB-TNCの明細書に記載されています。
A.3.1.9. Verify Posture (Vrfy Post.)
A.3.1.9。姿勢を確認(VRFYポストを。)
This flow illustrates an invocation of the VPN Posture Validator requesting verification of the posture attributes received. Because this flow happens locally within the NEA Server, NEA does not specify the message contents.
このフローは、受信された姿勢属性のVPN姿勢検証要求検証の呼び出しを示しています。このフローはNEA Server内でローカルに行われるため、NEAは、メッセージの内容を指定していません。
A.3.1.10. VPN Posture Result (VPN PRslt)
A.3.1.10。 VPN姿勢結果(VPN PRslt)
This flow contains the PA message (Posture Assessment Result) from the VPN Posture Validator
この流れは、VPNのPosture検証からPAメッセージ(姿勢評価結果)が含まれてい
VPN Posture Result PA Message { Attribute HDR {Message ID} Attribute 1 { vendor-id=0 type=9 (assessment-result) length Value = { assessment-result=1 (non-compliant) } } }
VPN姿勢結果PAメッセージ{項目HDR {メッセージID}項目1 {ベンダーID = 0タイプ= 9(評価結果)長の値= {評価結果= 1(非準拠)}}}
A.3.1.11. Assessment Result (Assess Result)
A.3.1.11。評価結果(検索結果を評価します)
This flow contains the PB message containing the system assessment result computed by the Posture Broker Server and the PA messages from the VPN Posture Validator; the message content is described in the PB-TNC specification.
この流れは、姿勢ブローカーサーバーとVPNのPosture検証からPAメッセージによって計算されたシステムの評価結果を含むPBメッセージが含まれています。メッセージの内容は、PB-TNCの明細書に記載されています。
A.3.1.12. Posture Result (VPN PRslt)
A.3.1.12。姿勢の結果(VPN PRslt)
This flow illustrates an invocation of the VPN Posture Collector to receive the posture assessment result. Because this flow is triggered locally, NEA does not specify the contents of this flow.
この流れは、ポスチャ評価結果を受信するためのVPN姿勢コレクターの呼び出しを示しています。このフローはローカルにトリガされますので、NEAは、このフローの内容を指定していません。
Appendix B. Evaluation against NEA Requirements
NEAの要件に対する付録B.評価
This section evaluates the PA-TNC protocol against the requirements defined in the NEA Requirements document. Each subsection considers a separate requirement from the NEA Requirements document. Only common requirements (C-1 through C-10) and PA requirements (PA-1 through PA-6) are considered, since these are the only ones that apply to PA.
このセクションでは、NEAの要件文書に定義された要件に対するPA-TNCプロトコルを評価します。各サブセクションはNEAの要件文書とは別の要件を検討します。これらは、PAに適用される唯一のものであるので、唯一の共通要件(C-1 C-10を介して)およびPA要件(PA-1、PA-6を介して)が、考慮されます。
B.1. Evaluation against Requirement C-1
B.1。要件C-1に対する評価
Requirement C-1 says:
要件C-1は述べています:
C-1 NEA protocols MUST support multiple round trips between the NEA Client and NEA Server in a single assessment.
C-1 NEAプロトコルは、単一の評価にNEA ClientとNEA Serverの間の複数のラウンドトリップをサポートしなければなりません。
PA-TNC meets this requirement. It allows an unlimited number of round trips between the NEA Client and NEA Server.
PA-TNCは、この要件を満たしています。これは、NEA ClientとNEA Serverの間のラウンドトリップの数に制限することができます。
B.2. Evaluation against Requirement C-2
B.2。要件C-2に対する評価
Requirement C-2 says:
要件C-2は述べています:
C-2 NEA protocols SHOULD provide a way for both the NEA Client and the NEA Server to initiate a posture assessment or reassessment as needed.
C-2 NEAプロトコルは、必要に応じてポスチャ評価や再評価を開始するためのNEA ClientとNEA Serverの両方のための方法を提供する必要があります。
PA-TNC meets this requirement. PA-TNC is designed to work whether the NEA Client or the NEA Server initiates a posture assessment or reassessment.
PA-TNCは、この要件を満たしています。 PA-TNCはNEA ClientまたはNEA Serverは、ポスチャ評価や再評価を開始するかどうか動作するように設計されています。
B.3. Evaluation against Requirement C-3
B.3。要件C-3に対する評価
Requirement C-3 says:
要件C-3は述べています:
C-3 NEA protocols including security capabilities MUST be capable of protecting against active and passive attacks by intermediaries and endpoints including prevention from replay-based attacks.
セキュリティ機能を含むC-3 NEAプロトコルは、再生ベースの攻撃から予防を含む仲介及び端点による能動的および受動的攻撃から保護することができなければなりません。
Security for PA-TNC messages being sent over the network is provided through PT protocol security. Therefore, PA-TNC does not include any security capabilities. Since this requirement only applies to NEA protocols "including security capabilities", this specification is not subject to this requirement (see section 5.2).
ネットワーク経由で送信されているPA-TNCメッセージのセキュリティはPTのプロトコルのセキュリティを介して提供されます。したがって、PA-TNCは、すべてのセキュリティ機能が含まれていません。この要件は唯一の「セキュリティ機能を含む」NEAプロトコルに適用されているので、この仕様は、この要件の対象ではありません(セクション5.2を参照してください)。
B.4. Evaluation against Requirement C-4
B.4。要件C-4に対する評価
Requirement C-4 says:
要件C-4は述べています:
C-4 The PA and PB protocols MUST be capable of operating over any PT protocol. For example, the PB protocol must provide a transport-independent interface allowing the PA protocol to operate without change across a variety of network protocol environments (e.g., EAP/802.1X, PANA, TLS and IKE/IPsec).
C-4ザPA及びPBプロトコルは、任意のPTプロトコル上で動作可能でなければなりません。例えば、PBプロトコルは、PAプロトコルは、ネットワークプロトコル環境(例えば、EAP / 802.1X、PANA、TLSおよびIKE / IPsec)の様々な横切る変化せずに動作することを可能にするトランスポートに依存しないインタフェースを提供しなければなりません。
PA-TNC meets this requirement. PA-TNC can operate over any PT protocol that meets the requirements for PT stated in the NEA Requirements document. PA-TNC does not have any dependencies on specific details of the underlying PT protocol.
PA-TNCは、この要件を満たしています。 PA-TNCは、NEA要件文書に記載されたPTの要件を満たしている任意のPTプロトコル上で動作することができます。 PA-TNCは、基礎となるPTプロトコルの具体的な詳細上の任意の依存関係を持っていません。
B.5. Evaluation against Requirement C-5
B.5。要件C-5に対する評価
Requirement C-5 says:
要件C-5は述べています:
C-5 The selection process for NEA protocols MUST evaluate and prefer the reuse of existing open standards that meet the requirements before defining new ones. The goal of NEA is not to create additional alternative protocols where acceptable solutions already exist.
C-5 NEAプロトコルの選択プロセスは、新しいものを定義する前に要件を満たす既存のオープンスタンダードの再利用性を評価し、好むしなければなりません。 NEAの目標は、許容可能なソリューションが既に存在している追加の代替プロトコルを作成することではありません。
Based on this requirement, PA-TNC should receive a strong preference. PA-TNC is equivalent with IF-M 1.0, an open TCG specification. Other specifications from TCG and other groups are also under development based on the IF-M 1.0 specification. Selecting PA-TNC as the basis for the PA protocol will ensure compatibility with IF-M 1.0, with these other specifications, and with their implementations.
この要求に基づいて、PA-TNCは強い優先を受けるべきです。 PA-TNCは、IF-M 1.0、オープンTCG仕様と同等です。 TCGや他のグループからのその他の仕様は、IF-M 1.0仕様に基づいて開発中です。 PAプロトコルの基礎としてPA-TNCを選択すると、これらの他の仕様、およびその実装で、IF-M 1.0との互換性を確保します。
B.6. Evaluation against Requirement C-6
B.6。要件C-6に対する評価
Requirement C-6 says:
要件C-6は述べています:
C-6 NEA protocols MUST be highly scalable; the protocols MUST support many Posture Collectors on a large number of NEA Clients to be assessed by numerous Posture Validators residing on multiple NEA Servers.
C-6 NEAプロトコルは、非常にスケーラブルでなければなりません。プロトコルは、複数のNEAサーバー上に存在する数多くの姿勢バリデータによって評価されるようにNEAクライアントの数が多い上、多くの姿勢コレクターをサポートしなければなりません。
PA-TNC meets this requirement. PA-TNC supports an unlimited number of Posture Collectors, Posture Validators, NEA Clients, and NEA Servers. It also is quite scalable in many other aspects as well. A PA-TNC message can contain up to 2^32-1 octets and about 2^28 PA-TNC attributes. Each organization with an SMI Private Enterprise Number is entitled to define up to 2^32 vendor-specific PA-TNC Attribute Types, 2^16 vendor-specific PA-TNC Product IDs, and 2^32 vendor- specific PA-TNC Error Codes. Each attribute can contain almost 2^32 octets. It is generally not advisable or necessary to send this much data in a NEA assessment, but still PA-TNC is highly scalable and meets requirement C-6 easily.
PA-TNCは、この要件を満たしています。 PA-TNCは、姿勢コレクター、姿勢バリ、NEAクライアント、およびNEA Serverの無制限の数をサポートしています。それはまた、同様に他の多くの側面では非常にスケーラブルです。 PA-TNCメッセージには、最大2 ^ 32-1オクテットを含めることができ、約2 ^ 28 PA-TNC属性。 SMI民間企業の数は、2 ^ 32のベンダー固有PA-TNCまで定義する権利があると各組織はタイプ、2 ^ 16のベンダー固有PA-TNC製品ID、および2 ^ 32ベンダー固有PA-TNCエラーコード属性。各属性は、ほぼ2 ^ 32オクテットを含めることができます。一般的にNEAの評価でこれだけのデータを送信することをお勧めまたは必要はありませんが、それでもPA-TNCは、高度にスケーラブルであり、簡単に要件C-6を満たしています。
B.7. Evaluation against Requirement C-7
B.7。要件C-7に対する評価
Requirement C-7 says:
要件C-7は述べています:
C-7 The protocols MUST support efficient transport of a large number of attribute messages between the NEA Client and the NEA Server.
C-7プロトコルはNEA ClientとNEA Serverの間の属性のメッセージが多数の効率的な輸送をサポートしなければなりません。
PA-TNC meets this requirement. Each PA-TNC message can contain about 2^28 PA-TNC attributes. PA-TNC supports up to 2^32 round trips in a session so the maximum number of attribute messages that can be sent in a single session is actually about 2^50. However, it is generally inadvisable and unnecessary to send a large number of messages in a NEA assessment. As for efficiency, PA-TNC adds only 12 octets of overhead per attribute and 8 octets per message (which is negligible on a per-attribute basis).
PA-TNCは、この要件を満たしています。各PA-TNCメッセージは約2 ^ 28 PA-TNCの属性を含めることができます。単一のセッションで送信することができる属性のメッセージの最大数は、実際には約2 ^ 50であるので、PA-TNCは、セッション中に2 ^ 32往復をサポートします。しかし、NEA査定に多数のメッセージを送信するために、一般的にはお勧めできませんし、不要です。効率については、PA-TNCは、属性ごとのオーバーヘッドのわずか12オクテットと(毎の属性に基づいて無視できる)メッセージあたり8つのオクテットを追加します。
B.8. Evaluation against Requirement C-8
B.8。要件C-8に対する評価
Requirement C-8 says:
要件C-8は述べています:
C-8 NEA protocols MUST operate efficiently over low bandwidth or high latency links.
C-8 NEAプロトコルは、低帯域幅または高レイテンシのリンクを介して効率的に動作しなければなりません。
PA-TNC meets this requirement. A PA-TNC exchange is envisioned (based on current deployment experience) to involve one or two round trips with less than 500 octets of PA-TNC messages. Of course, use of vendor-specific PA-TNC attribute types could expand the assessment. However, PA-TNC itself imposes an overhead of only 8 octets per PA-TNC message and 12 octets per attribute.
PA-TNCは、この要件を満たしています。 PA-TNC交換は、PA-TNCメッセージの未満500個のオクテットを持つ1回のまたは2往復が関与する(現在の展開の経験に基づいて)想定されます。もちろん、ベンダー固有のPA-TNCの使用は種類が査定を拡大する可能性が属性。ただし、PA-TNC自体は、PA-TNCメッセージあたりわずか8オクテットと、属性ごとに12オクテットのオーバーヘッドを課します。
B.9. Evaluation against Requirement C-9
B.9。要件C-9に対する評価
Requirement C-9 says:
要件C-9は述べています:
C-9 For any strings intended for display to a user, the protocols MUST support adapting these strings to the user's language preferences.
C-9のユーザーに表示するためのものの任意の文字列の場合、プロトコルは、ユーザーの言語設定にこれらの文字列を適応サポートしなければなりません。
PA-TNC meets this requirement. The only field included in a PB-TNC attribute for display to the user includes a language tag that could be selected based upon the user's PB-TNC negotiated preferred language for the assessment (see section 4.10 of the PB-TNC
PA-TNCは、この要件を満たしています。専用フィールドには、ユーザーに表示するためにPB-TNC属性に含まれるユーザのPB-TNCに基づいて選択的評価のための言語を交渉することができ、言語タグを含み(PB-TNCのセクション4.10を参照してください
specification). With this exception, all of the strings in the standard PA-TNC attributes are intended for logging and programmatic comparisons.
仕様)。この例外を除いて、標準のPA-TNC属性内の文字列のすべてが、ロギングおよびプログラムの比較のために意図されています。
If any vendor-specific PA-TNC attribute types or future IETF Standard PA-TNC Attribute Types include strings that are intended for display to a user, they should be translated to the user's preferred language. The Posture Broker Server will need to expose the user's preferences to the Posture Validators through whatever API or protocol is used to connect those components. However, that is all out of scope for this specification.
任意のベンダー固有のPA-TNCは、属性タイプまたは将来のIETF標準PA-TNCは、タイプがユーザーに表示するために意図されている文字列が含まれる属性の場合は、それらがユーザーの優先言語に翻訳されなければなりません。姿勢ブローカーサーバーは、これらのコンポーネントを接続するために使用されているものAPIやプロトコルを介して姿勢バリデータにユーザの好みを公開する必要があります。しかし、それはすべて、この仕様の範囲外です。
B.10. Evaluation against Requirement C-10
B.10。要件C-10に対する評価
Requirement C-10 says:
要件C-10は述べています:
C-10 NEA protocols MUST support encoding of strings in UTF-8 format.
C-10 NEAプロトコルは、UTF-8形式の文字列の符号化をサポートしなければなりません。
PA-TNC meets this requirement. All strings in the PA-TNC protocol are encoded in UTF-8 format. This allows the protocol to support a wide range of languages efficiently.
PA-TNCは、この要件を満たしています。 PA-TNCプロトコルのすべての文字列はUTF-8形式でエンコードされています。これは、プロトコルは、効率的な言語の広い範囲をサポートすることができます。
B.11. Evaluation against Requirement C-11
B.11。要件C-11に対する評価
Requirement C-11 says:
要件C-11は述べています:
C-11 Due to the potentially different transport characteristics provided by the underlying candidate PT protocols, the NEA Client and NEA Server MUST be capable of becoming aware of and adapting to the limitations of the available PT protocol. For example, some PT protocol characteristics that might impact the operation of PA and PB include restrictions on which end can initiate a NEA connection, maximum data size in a message or full assessment, upper bound on number of round trips, and ordering (duplex) of messages exchanged. The selection process for the PT protocols MUST consider the limitations the candidate PT protocol would impose upon the PA and PB protocols.
C-11により、基礎となる候補PTプロトコルによって提供される潜在的に異なる輸送特性に、NEA ClientとNEA Serverは、の認識になり、利用可能なPTプロトコルの制約に適応できなければなりません。例えば、PA及びPBの動作に影響を与える可能性のあるPTプロトコル特性は、メッセージまたは完全な評価、往復回数の上限、および順序(二重)でNEA接続、最大データサイズを開始することができる端部に制限を含みますメッセージの交換。 PTプロトコルの選択プロセスは、候補PTプロトコルはPAとPBプロトコルに課す制限を考慮する必要があります。
PA-TNC meets this requirement. The design of the PA-TNC protocol emphasizes efficient transport of information in order to maximize its usability in constrained PT environments. Local APIs could allow Posture Collectors and Posture Validators to discover when they are operating in a less constrained deployment and then make use of more verbose attributes. Similarly, Posture Collectors could choose not to send or use smaller attributes (including assertions from previous assessments) when faced with a very constrained network connection.
PA-TNCは、この要件を満たしています。 PA-TNCプロトコルの設計が制約PT環境におけるその有用性を最大にするために、情報の効率的な輸送を強調する。ローカルAPIは、彼らは以下の制約の展開で動作しているとき発見し、その後、より詳細な属性を利用するように姿勢コレクターや姿勢バリデータを可能性があります。同様に、姿勢コレクターは、非常に制約されたネットワーク接続に直面したとき(前回の評価から、アサーションを含む)小さい属性を送信したり、使用しないことを選択することができます。
B.12. Evaluation against Requirement PA-1
B.12。要件PA-1に対する評価
Requirement PA-1 says:
要件PA-1は述べています:
PA-1 The PA protocol MUST support communication of an extensible set of NEA standards-defined attributes. These attributes will be uniquely identifiable from non-standard attributes.
PA-1ザPAプロトコルはNEA標準に定義された属性の拡張可能なセットの通信をサポートしなければなりません。これらの属性は、非標準の属性から一意的に識別されます。
PA-TNC meets this requirement. Each attribute is identified with a PA-TNC Attribute Vendor ID and a PA-TNC Attribute Type. IETF Standard PA-TNC Attribute Types use a vendor ID of zero (0), in contrast with vendor-specific PA-TNC Attribute Types, which will use the vendor's SMI Private Enterprise Number as the vendor ID. The IANA will maintain a registry of PA-TNC Attribute Types with new values added by Expert Review with Specification Required, as described in the IANA Considerations section of this specification. Thus, the set of standard attribute types is extensible, but all standard attribute types are uniquely identifiable.
PA-TNCは、この要件を満たしています。各属性は、PA-TNC属性のベンダーIDで識別され、PA-TNCは、属性タイプ。 IETF標準のPA-TNCは、ベンダー固有のPA-TNCとは対照的に、ベンダーIDとベンダーのSMIプライベートエンタープライズ番号を使用するタイプ、属性、タイプはゼロ(0)のベンダーIDを使用する属性。 IANAは、この仕様のIANAの考慮事項のセクションで説明したように、仕様が必要であるとの専門家のレビューで追加された新しい値で属性の型PA-TNCのレジストリを維持します。したがって、標準的な属性タイプのセットは拡張可能であるが、全ての標準的な属性タイプが一意に識別可能です。
B.13. Evaluation against Requirement PA-2
B.13。要件PA-2に対する評価
Requirement PA-2 says:
要件PA-2は述べています:
PA-2 The PA protocol MUST support communication of an extensible set of vendor-specific attributes. These attributes will be segmented into uniquely identifiable vendor-specific namespaces.
PA-2ザPAプロトコルは、ベンダー固有の属性の拡張可能なセットの通信をサポートしなければなりません。これらの属性は一意に識別可能なベンダー固有の名前空間に分割されます。
PA-TNC meets this requirement. Each attribute is identified with a PA-TNC Attribute Vendor ID and a PA-TNC Attribute Type. Vendor-defined PA-TNC Attribute Types use the vendor's SMI Private Enterprise Number as the PA-TNC Attribute Vendor ID. Each vendor can define up to 2^32 PA-TNC Attribute Types, using its own internal processes to manage its set of attribute types.
PA-TNCは、この要件を満たしています。各属性は、PA-TNC属性のベンダーIDで識別され、PA-TNCは、属性タイプ。ベンダー定義PA-TNCタイプはPA-TNC属性のベンダーIDとベンダーのSMIプライベートエンタープライズ番号を使用して属性。各ベンダーは、最大2 ^ 32 PA-TNCは、属性タイプのセットを管理するために独自の内部プロセスを使用して、属性タイプを定義することができます。
The IANA is not involved, other than the initial assignment of the vendor's SMI Private Enterprise Number. Thus, the set of vendor-specific attributes is segmented into uniquely identifiable vendor-specific namespaces.
IANAは、ベンダーのSMI民間企業数の初期割り当て以外に、関与していません。したがって、ベンダー固有の属性のセットは、一意に識別可能なベンダー固有の名前空間に分割されます。
B.14. Evaluation against Requirement PA-3
B.14。要件PA-3に対する評価
Requirement PA-3 says:
要件PA-3は述べています:
PA-3 The PA protocol MUST enable a Posture Validator to make one or more requests for attributes from a Posture Collector within a single assessment. This enables the Posture Validator to reassess the posture of a particular endpoint feature or to request additional posture including from other parts of the endpoint.
PA-3ザ・PAプロトコルは、単一の評価の中に姿勢コレクターからの属性の1つまたは複数の要求をするために姿勢バリデータを有効にする必要があります。これは、特定のエンドポイントの特徴の姿勢を再評価するか、またはエンドポイントの他の部分からを含む追加の姿勢を要求する姿勢検証を可能にします。
PA-TNC meets this requirement. The Attribute Request attribute type is an IETF Standard PA-TNC Attribute Type that permits a Posture Validator to send to one or more Posture Collectors a request for one or more attributes. This attribute may be sent at any point in the posture assessment process and may in fact be sent more than once if the Posture Validator needs to first determine the type of operating system and then request certain attributes specific to that operating system, for example.
PA-TNCは、この要件を満たしています。属性要求属性タイプは、IETF標準のPA-TNCである一つ以上の姿勢コレクターに1つ以上の属性の要求を送信するためのPosture検証を許可する属性タイプ。この属性は、姿勢評価プロセスの任意の時点で送信されてもよいし、ポスチャ検証が最初のオペレーティングシステムの種類を決定する必要があり、次いで、例えば、そのオペレーティング・システムに固有の特定の属性を要求した場合、実際には複数回送信されてもよいです。
B.15. Evaluation against Requirement PA-4
B.15。要件PA-4に対する評価
Requirement PA-4 says:
要件PA-4は述べています:
PA-4 The PA protocol MUST be capable of returning attributes from a Posture Validator to a Posture Collector. For example, this might enable the Posture Collector to learn the specific reason for a failed assessment and to aid in remediation and notification of the system owner.
PA-4ザPAプロトコルは姿勢コレクタにポスチャ検証の属性を返すことができなければなりません。たとえば、これは失敗した評価のための具体的な理由を学ぶために、修復やシステムの所有者の通知を支援する姿勢コレクタを有効かもしれません。
PA-TNC meets this requirement. A Posture Validator can easily send attributes to one or more Posture Collectors.
PA-TNCは、この要件を満たしています。姿勢Validatorは簡単に一つ以上の姿勢コレクターに属性を送信することができます。
B.16. Evaluation against Requirement PA-5
B.16。要件PA-5に対する評価
Requirement PA-5 says:
要件PA-5は述べています:
PA-5 The PA protocol SHOULD provide authentication, integrity, and confidentiality of attributes communicated between a Posture Collector and Posture Validator. This enables end-to-end security across a NEA deployment that might involve traversal of several systems or trust boundaries.
PA-5ザ・PAプロトコルは、姿勢コレクターとのPosture Validatorの間で通信属性の認証、整合性、および機密性を提供する必要があります。これは、複数のシステムや信頼境界の横断を伴う可能性があるNEAの展開全体でエンドツーエンドのセキュリティを可能にします。
PA-TNC does not include an explicit PA-level security mechanism but does lay a foundation allowing attribute-level security protections to be added later. As an existence proof, the NEA working group considered an Internet-Draft proposal capable of encapsulating PA attributes within a Cryptographic Message Syntax (CMS) security wrapper in a new attribute type. This proposal offered the protections described in this requirement. However, the NEA WG decided that the use cases in scope for the working group did not require PA-level security. The use cases involving PA message traversal of multiple systems or trust boundaries were considered out of scope; therefore, a Posture Validator to Posture Collector end-to-end security protection was considered not to be required.
PA-TNCは、明示的なPAレベルのセキュリティ・メカニズムを含むが、属性レベルのセキュリティ保護を後で追加することができる基盤を築くいません。存在証明として、NEAワーキンググループはみなさインターネットドラフトPAをカプセル化の提案が可能な、新たな属性タイプで暗号メッセージ構文(CMS)セキュリティラッパー内の属性。この提案は、この要件で説明する保護を提供します。しかし、NEA WGは、ワーキンググループのスコープでのユースケースは、PA-レベルのセキュリティを必要としないことを決めました。複数のシステムや信頼境界のPAメッセージトラバーサルを含むユースケースは適用範囲外と考えられていました。そのため、姿勢Validatorの姿勢コレクターへのエンドツーエンドのセキュリティ保護が必要とされることがないと考えられました。
Instead, PA-TNC attributes are protected by the PT layer authentication, integrity, and confidentiality support. This protects the attributes communicated between the Posture Transport
代わりに、PA-TNC属性がPT層認証、完全性、機密性のサポートにより保護されています。これは、姿勢交通間で通信属性を保護します
Client and Posture Transport Server. Because the Posture Collector is in the same address space as the Posture Broker Client and Posture Transport Client and the Posture Validator is in the same address space as the Posture Broker Server and Posture Transport Server, the underlying broker and transport components are deemed trusted with respect to not tampering with the PA messages (see trust model in section 5.1 for details). Encrypting the PA-TNC messages would not prevent a hostile broker or transport component from attacking the messages.
クライアントおよび姿勢トランスポートサーバー。姿勢コレクターが姿勢ブローカークライアントおよび姿勢交通クライアントと同じアドレス空間内にあり、姿勢Validatorは姿勢ブローカーサーバー・姿勢トランスポートサーバーと同じアドレス空間にあるため、根本的なブローカーや輸送コンポーネントが関連して、信頼できると判断されますPAメッセージを改ざんしないように(詳細については、セクション5.1での信頼モデルを参照してください)。 PA-TNCメッセージを暗号化すると、メッセージを攻撃するから敵対的なブローカーまたはトランスポートコンポーネントを妨げないでしょう。
B.17. Evaluation against Requirement PA-6
B.17。要件PA-6に対する評価
Requirement PA-6 says:
要件PA-6は述べています:
PA-6 The PA protocol MUST be capable of carrying attributes that contain non-binary and binary data including encrypted content.
PA-6ザPAプロトコルは、暗号化されたコンテンツを含む非バイナリ、バイナリデータを含む属性を運ぶことができなければなりません。
PA-TNC meets this requirement. PA-TNC attributes can contain non-binary and binary data including encrypted content. For examples, see the attribute type definitions contained in this specification.
PA-TNCは、この要件を満たしています。 PA-TNCは、暗号化されたコンテンツを含む非バイナリとバイナリデータを含むことができます属性。例については、この仕様書に含まれている属性タイプの定義を参照してください。
Authors' Addresses
著者のアドレス
Paul Sangster Symantec Corporation 6825 Citrine Drive Carlsbad, CA 92009 USA EMail: Paul_Sangster@symantec.com
ポール・サングスターシマンテックコーポレーション6825シトリンドライブカールズバッド、CA 92009 USA電子メール:Paul_Sangster@symantec.com
Kaushik Narayan Cisco Systems Inc. 10 West Tasman Drive San Jose, CA 95134 USA EMail: kaushik@cisco.com
Kaushikによるナラヤンシスコシステムズ株式会社10西タスマン・ドライブサンノゼ、CA 95134 USA電子メール:kaushik@cisco.com