Internet Engineering Task Force (IETF) G. Zorn
Request for Comments: 5904 Network Zen
Category: Informational June 2010
ISSN: 2070-1721
RADIUS Attributes for IEEE 802.16
Privacy Key Management Version 1 (PKMv1) Protocol Support
Abstract
抽象
This document defines a set of Remote Authentication Dial-In User Service (RADIUS) Attributes that are designed to provide RADIUS support for IEEE 802.16 Privacy Key Management Version 1.
このドキュメントでは、IEEE 802.16プライバシーキー管理バージョン1のためのRADIUSサポートを提供するように設計されているリモート認証ダイヤルインユーザーサービス(RADIUS)属性のセットを定義します。
Status of This Memo
このメモのステータス
This document is not an Internet Standards Track specification; it is published for informational purposes.
このドキュメントはインターネット標準化過程仕様ではありません。それは、情報提供の目的のために公開されています。
This document is a product of the Internet Engineering Task Force (IETF). It represents the consensus of the IETF community. It has received public review and has been approved for publication by the Internet Engineering Steering Group (IESG). Not all documents approved by the IESG are a candidate for any level of Internet Standard; see Section 2 of RFC 5741.
このドキュメントはインターネットエンジニアリングタスクフォース(IETF)の製品です。これは、IETFコミュニティの総意を表しています。これは、公開レビューを受けており、インターネットエンジニアリング運営グループ(IESG)によって公表のために承認されています。 IESGによって承認されていないすべての文書がインターネットStandardのどんなレベルの候補です。 RFC 5741のセクション2を参照してください。
Information about the current status of this document, any errata, and how to provide feedback on it may be obtained at http://www.rfc-editor.org/info/rfc5904.
このドキュメントの現在の状態、任意の正誤表、そしてどのようにフィードバックを提供するための情報がhttp://www.rfc-editor.org/info/rfc5904で取得することができます。
Copyright Notice
著作権表示
Copyright (c) 2010 IETF Trust and the persons identified as the document authors. All rights reserved.
著作権(C)2010 IETF信託とドキュメントの作成者として特定の人物。全著作権所有。
This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents (http://trustee.ietf.org/license-info) in effect on the date of publication of this document. Please review these documents carefully, as they describe your rights and restrictions with respect to this document. Code Components extracted from this document must include Simplified BSD License text as described in Section 4.e of the Trust Legal Provisions and are provided without warranty as described in the Simplified BSD License.
この文書では、BCP 78と、この文書の発行日に有効なIETFドキュメント(http://trustee.ietf.org/license-info)に関連IETFトラストの法律の規定に従うものとします。彼らは、この文書に関してあなたの権利と制限を説明するように、慎重にこれらの文書を確認してください。コードコンポーネントは、トラスト法規定のセクションで説明4.eおよび簡体BSDライセンスで説明したように、保証なしで提供されているよう簡体BSDライセンスのテキストを含める必要があり、この文書から抽出されました。
This document may contain material from IETF Documents or IETF Contributions published or made publicly available before November 10, 2008. The person(s) controlling the copyright in some of this material may not have granted the IETF Trust the right to allow modifications of such material outside the IETF Standards Process. Without obtaining an adequate license from the person(s) controlling the copyright in such materials, this document may not be modified outside the IETF Standards Process, and derivative works of it may not be created outside the IETF Standards Process, except to format it for publication as an RFC or to translate it into languages other than English.
この材料の一部がIETFトラストにこのような材料の変更を許可する権利を与えられていない可能性がありますにこの文書は、2008年、IETFドキュメントまたは11月10日以前に発行または公開さIETF貢献から著作権を支配する者(複数可)材料を含んでいてもよいですIETF標準化プロセスの外。そのような材料の著作権を管理者(単数または複数)から適切なライセンスを取得することなく、この文書は、IETF標準化過程の外側修正されないかもしれません、そして、それの派生物は、IETF標準化過程の外側に作成されない場合があり、それをフォーマットする以外出版RFCとして、英語以外の言語に翻訳します。
Table of Contents
目次
1. Introduction . . . . . . . . . . . . . . . . . . . . . . . . . 3
2. Acronyms . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
3. Attributes . . . . . . . . . . . . . . . . . . . . . . . . . . 3
3.1. PKM-SS-Cert . . . . . . . . . . . . . . . . . . . . . . . 4
3.2. PKM-CA-Cert . . . . . . . . . . . . . . . . . . . . . . . 5
3.3. PKM-Config-Settings . . . . . . . . . . . . . . . . . . . 6
3.4. PKM-Cryptosuite-List . . . . . . . . . . . . . . . . . . . 8
3.5. PKM-SAID . . . . . . . . . . . . . . . . . . . . . . . . . 9
3.6. PKM-SA-Descriptor . . . . . . . . . . . . . . . . . . . . 9
3.7. PKM-AUTH-Key . . . . . . . . . . . . . . . . . . . . . . . 10
3.7.1. AUTH-Key Protection . . . . . . . . . . . . . . . . . 12
4. Table of Attributes . . . . . . . . . . . . . . . . . . . . . 12
5. Diameter Considerations . . . . . . . . . . . . . . . . . . . 13
6. Security Considerations . . . . . . . . . . . . . . . . . . . 13
7. IANA Considerations . . . . . . . . . . . . . . . . . . . . . 13
8. Contributors . . . . . . . . . . . . . . . . . . . . . . . . . 14
9. Acknowledgements . . . . . . . . . . . . . . . . . . . . . . . 14
10. References . . . . . . . . . . . . . . . . . . . . . . . . . . 14
10.1. Normative References . . . . . . . . . . . . . . . . . . . 14
10.2. Informative References . . . . . . . . . . . . . . . . . . 14
Privacy Key Management Version 1 (PKMv1) [IEEE.802.16-2004] is a public-key-based authentication and key establishment protocol typically used in fixed wireless broadband network deployments. The protocol utilizes X.509 v3 certificates [RFC2459], RSA encryption [RFC2437], and a variety of secret key cryptographic methods to allow an 802.16 Base Station (BS) to authenticate a Subscriber Station (SS) and perform key establishment and maintenance between an SS and BS.
プライバシーキー管理バージョン1(PKMv1は)[IEEE.802.16-2004]公開鍵ベースの認証と、通常の固定無線ブロードバンド・ネットワークの展開で使用される鍵確立プロトコルです。プロトコルは、X.509 v3証明書[RFC2459]、RSA暗号[RFC2437]、及び加入者局(SS)を認証との間の鍵確立および保守を行うために802.16基地局(BS)を可能にするために、秘密鍵暗号化の様々な方法を利用しますSSおよびBS。
This document defines a set of RADIUS Attributes that are designed to provide support for PKMv1. The target audience for this document consists of those developers implementing RADIUS support for PKMv1; therefore, familiarity with both RADIUS [RFC2865] and the IEEE 802.16-2004 standard is assumed.
この文書では、PKMv1のサポートを提供するように設計されているRADIUS属性のセットを定義します。このドキュメントの対象読者は、PKMv1のためのRADIUSサポートを実装し、それらの開発者で構成されています。従って、RADIUS [RFC2865]とIEEE 802.16-2004規格の両方に精通が仮定されます。
Please note that this document relies on IEEE.802.16-2004, which references RFC 2437 and RFC 2459, rather than any more recent RFCs on RSA and X.509 certificates (e.g., RFC 3447 and RFC 5280).
このドキュメントではなくRSAやX.509証明書上の任意のより多くの最近のRFC(例えば、RFC 3447およびRFC 5280)よりも、RFC 2437およびRFC 2459を参照IEEE.802.16-2004、に依存していることに注意してください。
CA Certification Authority; a trusted party issuing and signing X.509 certificates.
CA認証局。 X.509証明書を発行し、署名、信頼パーティ。
For further information on the following terms, please see Section 7 of [IEEE.802.16-2004].
次の用語の詳細については、[IEEE.802.16-2004]のセクション7を参照してください。
SA Security Association
さ せくりty あっそしあちおん
SAID Security Association Identifier
SAIDセキュリティアソシエーション識別子
TEK Traffic Encryption Key
TEKトラフィック暗号化キー
The following subsections describe the Attributes defined by this document. This specification concerns the following values:
以下のサブセクションでは、この文書で定義された属性を記述します。この仕様は、次の値に関係します:
137 PKM-SS-Cert
137 PKM-SS-CERT
138 PKM-CA-Cert
PKM-138-CERT CA
139 PKM-Config-Settings
139 PKM-CONFIG-設定
140 PKM-Cryptosuite-List
140 PKM-Cryptosuite-一覧
141 PKM-SAID
141 PKM-SAID
142 PKM-SA-Descriptor
PKM-142-SA記述子
143 PKM-Auth-Key
143 PKM-認証キー
Description
説明
The PKM-SS-Cert Attribute is variable length and MAY be transmitted in the Access-Request message. The Value field is of type string and contains the X.509 certificate [RFC2459] binding a public key to the identifier of the Subscriber Station.
PKM-SS-CERT属性は可変長であり、Access-Requestメッセージで送信されてもよいです。 Valueフィールドは、文字列型であり、加入者局の識別子と公開鍵を結合X.509証明書[RFC2459]を含んでいます。
The minimum size of an SS certificate exceeds the maximum size of a RADIUS attribute. Therefore, the client MUST encapsulate the certificate in the Value fields of two or more instances of the PKM-SS-Cert Attribute, each (except possibly the last) having a length of 255 octets. These multiple PKM-SS-Cert Attributes MUST appear consecutively and in order within the packet. Upon receipt, the RADIUS server MUST recover the original certificate by concatenating the Value fields of the received PKM-SS-Cert Attributes in order.
SS証明書の最小サイズは、RADIUS属性の最大サイズを超えています。したがって、クライアントは、255オクテットの長さを有する(おそらく最後を除く)それぞれ、PKM-SS-CERT項目の2つの以上のインスタンスのValueフィールドに証明書をカプセル化しなければなりません。これらの複数のPKM-SS-CERTは、連続してパケット内の順序で表示されなければならない属性。受信すると、RADIUSサーバは、受信したPKM-SS-CERTのために属性の値フィールドを連結することによって、元の証明書を回復しなければなりません。
A summary of the PKM-SS-Cert Attribute format is shown below. The fields are transmitted from left to right.
PKM-SS-CERT属性形式の概要は以下に示されています。フィールドは左から右に送信されます。
1 2
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Type | Len | Value...
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Type
タイプ
137 for PKM-SS-Cert
PKM-SS-CERTのための137
Len
のみ
> 2
> 2
Value
値
The Value field is variable length and contains a (possibly complete) portion of an X.509 certificate.
値フィールドは可変長であり、X.509証明書の(おそらく完全な)部分を含みます。
Description
説明
The PKM-CA-Cert Attribute is variable length and MAY be transmitted in the Access-Request message. The Value field is of type string and contains the X.509 certificate [RFC2459] used by the CA to sign the SS certificate carried in the PKM-SS-Cert attribute (Section 3.1) in the same message.
PKM-CA-CERT属性は可変長であり、Access-Requestメッセージで送信されてもよいです。 Valueフィールドは、文字列型であり、同じメッセージにPKM-SS-CERTの属性(セクション3.1)で運ばSS証明書に署名するためにCAによって使用されるX.509証明書[RFC2459]を含んでいます。
The minimum size of a CA certificate exceeds the maximum size of a RADIUS attribute. Therefore, the client MUST encapsulate the certificate in the Value fields of two or more instances of the PKM-CA-Cert Attribute, each (except possibly the last) having a length of 255 octets. These multiple PKM-CA-Cert Attributes MUST appear consecutively and in order within the packet. Upon receipt, the RADIUS server MUST recover the original certificate by concatenating the Value fields of the received PKM-CA-Cert Attributes in order.
CA証明書の最小サイズは、RADIUS属性の最大サイズを超えています。したがって、クライアントは、255オクテットの長さを有する(おそらく最後を除く)それぞれ、PKM-CA-CERT項目の2つの以上のインスタンスのValueフィールドに証明書をカプセル化しなければなりません。これらの複数のPKM-CA-CERTは、連続してパケット内の順序で表示されなければならない属性。受信すると、RADIUSサーバは、受信したPKM-CA-CERTのために属性の値フィールドを連結することによって、元の証明書を回復しなければなりません。
A summary of the PKM-CA-Cert Attribute format is shown below. The fields are transmitted from left to right.
PKM-CA-CERTの属性のフォーマットの概要は以下の通りです。フィールドは左から右に送信されます。
1 2
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Type | Len | Value...
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Type
タイプ
138 for PKM-CA-Cert
PKM-CA-CERT 138
Len
のみ
> 2
> 2
Value
値
The Value field is variable length and contains a (possibly complete) portion of an X.509 certificate.
値フィールドは可変長であり、X.509証明書の(おそらく完全な)部分を含みます。
Description
説明
The PKM-Config-Settings Attribute is of type string [RFC2865]. It is 30 octets in length and consists of seven independent fields, each of which is conceptually an unsigned integer. Each of the fields contains a timeout value and corresponds to a Type-Length-Value (TLV) tuple encapsulated in the IEEE 802.16 "PKM configuration settings" attribute; for details on the contents of each field, see Section 11.9.19 of [IEEE.802.16-2004]. One instance of the PKM-Config-Settings Attribute MAY be included in the Access-Accept message.
PKM-CONFIG-設定属性は、文字列型[RFC2865]です。それは長さが30個のオクテットであり、概念的符号なし整数であり、それぞれが7つの独立したフィールドから成ります。各フィールドは、タイムアウト値を含み、IEEE 802.16「PKM構成設定」属性にカプセル化されたタプルタイプレングス値(TLV)に対応します。各フィールドの内容の詳細については、[IEEE.802.16-2004]のセクション11.9.19を参照してください。 PKM-CONFIG-設定属性の1つのインスタンスは、Access-Acceptメッセージに含まれるかもしれません。
A summary of the PKM-Config-Settings Attribute format is shown below. The fields are transmitted from left to right.
PKM-CONFIG-設定の要約フォーマットは以下に示されている属性。フィールドは左から右に送信されます。
1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Type | Len | Auth Wait Timeout
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Auth Wait Timeout (cont.) | Reauth Wait Timeout
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Reauth Wait Timeout (cont.) | Auth Grace Time
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Auth Grace Time (cont.) | Op Wait Timeout
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Op Wait Timeout (cont.) | Rekey Wait Timeout
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Rekey Wait Timeout (cont.) | TEK Grace Time
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
TEK Grace Time (cont.) | Auth Rej Wait Timeout
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Auth Rej Wait Timeout (cont.) |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Type
タイプ
139 for PKM-Config-Settings
PKM-CONFIG-設定について139
Len
のみ
30
30
Auth Wait Timeout
認証タイムアウトを待って
The Auth Wait Timeout field is 4 octets in length and corresponds to the "Authorize wait timeout" field of the 802.16 "PKM configuration settings" attribute.
認証待っTimeoutフィールドの長さは4つのオクテットで、802.16「PKMの構成設定」属性の「待機タイムアウトを許可」フィールドに対応しています。
Reauth Wait Timeout
タイムアウトを待ってREAUTH
The Reauth Wait Timeout field is 4 octets in length and corresponds to the "Reauthorize wait timeout" field of the 802.16 "PKM configuration settings" attribute.
再認証待っTimeoutフィールドの長さは4つのオクテットで、802.16「PKMの構成設定」属性の「待機タイムアウトを再承認」フィールドに対応しています。
Auth Grace Time
認証猶予時間
The Auth Grace Time field is 4 octets in length and corresponds to the "Authorize grace time" field of the 802.16 "PKM configuration settings" attribute.
認証グレースTimeフィールドの長さは4つのオクテットで、802.16「PKMの構成設定」属性の「猶予時間を許可」フィールドに対応しています。
Op Wait Timeout
オペアンプはタイムアウトを待って
The Op Wait Timeout field is 4 octets in length and corresponds to the "Operational wait timeout" field of the 802.16 "PKM configuration settings" attribute.
オペアンプ待っTimeoutフィールドの長さは4つのオクテットで、802.16「PKMの構成設定」属性の「操作待ちタイムアウト」フィールドに対応しています。
Rekey Wait Timeout
タイムアウトを待ってリキー
The Rekey Wait Timeout field is 4 octets in length and corresponds to the "Rekey wait timeout" field of the 802.16 "PKM configuration settings" attribute.
リキー待っTimeoutフィールドの長さは4つのオクテットで、802.16「PKMの構成設定」属性の「待機タイムアウトをキーの再生成」フィールドに対応しています。
TEK Grace Time
TEKグレース・タイム
The TEK Grace Time field is 4 octets in length and corresponds to the "TEK grace time" field of the 802.16 "PKM configuration settings" attribute.
TEKグレースTimeフィールドの長さは4つのオクテットで、802.16「PKMの設定値」属性の「TEK猶予時間」フィールドに対応しています。
Auth Rej Wait Timeout
認証は、レジ待機タイムアウト
The Auth Rej Wait Timeout field is 4 octets in length and corresponds to the "Authorize reject wait timeout" field of the 802.16 "PKM configuration settings" attribute.
認証・レジ待っTimeoutフィールドの長さは4つのオクテットで、802.16「PKMの構成設定」属性の「オーソライズが待機タイムアウトを拒否」フィールドに対応しています。
Description
説明
The PKM-Cryptosuite-List Attribute is of type string [RFC2865] and is variable length; it corresponds roughly to the "Cryptographic-Suite-List" 802.16 attribute (see Section 11.19.15 of [IEEE.802.16-2004]), the difference being that the RADIUS Attribute contains only the list of 3-octet cryptographic suite identifiers, omitting the IEEE Type and Length fields.
PKM-Cryptosuiteリスト属性タイプ列[RFC2865]であり、可変長です。それは802.16属性([IEEE.802.16-2004]のセクション11.19.15を参照)、差は、RADIUS属性は3オクテットの暗号スイートの識別子のリストのみが含まれているということで省略するおおよそ「暗号スイート・リスト」に対応しますIEEEタイプと長さフィールド。
The PKM-Cryptosuite-List Attribute MAY be present in an Access-Request message. Any message in which the PKM-Cryptosuite-List Attribute is present MUST also contain an instance of the Message-Authenticator Attribute [RFC3579].
PKM-Cryptosuite-List属性は、Access-Requestメッセージに存在してもよいです。 PKM-Cryptosuiteリスト項目が存在する任意のメッセージは、メッセージ認証属性[RFC3579]のインスタンスを含まなければなりません。
Implementation Note
実装上の注意
The PKM-Cryptosuite-List Attribute is used as a building block to create the 802.16 "Security-Capabilities" attribute ([IEEE.802.16-2004], Section 11.9.13); since this document only pertains to PKM version 1, the "Version" sub-attribute in that structure MUST be set to 0x01 when the RADIUS client constructs it.
PKM-Cryptosuite-リスト属性は、802.16「セキュリティ機能」属性([IEEE.802.16-2004]、セクション11.9.13)を作成するためのビルディングブロックとして使用されています。この文書は唯一のPKMバージョン1に関係するため、RADIUSクライアントがそれを構築する際に、その構造の「バージョン」サブ属性は、0x01のに設定しなければなりません。
A summary of the PKM-Cryptosuite-List Attribute format is shown below. The fields are transmitted from left to right.
PKM-Cryptosuite-List属性のフォーマットの概要は以下の通りです。フィールドは左から右に送信されます。
1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Type | Len | Value...
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Type
タイプ
140 for PKM-Cryptosuite-List
PKM-Cryptosuite-Listの140
Len
のみ
2 + 3n < 39, where 'n' is the number of cryptosuite identifiers in the list.
2 + 3N <39であり、ここで「n」は、リスト内のcryptosuite識別子の数です。
Value
値
The Value field is variable length and contains a sequence of one or more cryptosuite identifiers, each of which is 3 octets in length and corresponds to the Value field of an IEEE 802.16 Cryptographic-Suite attribute.
値フィールドは可変長であり、長さが3つのオクテットであり、IEEE 802.16暗号スイートの属性の値フィールドに対応し、それぞれが1つの以上のcryptosuite識別子の配列を含みます。
Description
説明
The PKM-SAID Attribute is of type string [RFC2865]. It is 4 octets in length and contains a PKM Security Association Identifier ([IEEE.802.16-2004], Section 11.9.7). It MAY be included in an Access-Request message.
PKM-SAID属性は、文字列型[RFC2865]です。それは長さが4つのオクテットであり、PKMセキュリティアソシエーション識別子([IEEE.802.16-2004]、セクション11.9.7)を含みます。これは、Access-Requestメッセージに含まれるかもしれません。
A summary of the PKM-SAID Attribute format is shown below. The fields are transmitted from left to right.
PKM-SAID属性のフォーマットの概要は以下に示されています。フィールドは左から右に送信されます。
1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Type | Len | SAID |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Type
タイプ
141 for PKM-SAID
PKM-SAIDのための141
Len
のみ
4
4
SAID
前記
The SAID field is two octets in length and corresponds to the Value field of the 802.16 PKM SAID attribute
SAIDフィールドの長さは2つのオクテットで、802.16 PKM SAID属性の値]フィールドに対応します
Description
説明
The PKM-SA-Descriptor Attribute is of type string and is 8 octets in length. It contains three fields, described below, which together specify the characteristics of a PKM security association. One or more instances of the PKM-SA-Descriptor Attribute MAY occur in an Access-Accept message.
PKM-SA-記述子属性はString型で、長さは8つのオクテットです。それは一緒にPKMセキュリティアソシエーションの特性を指定する、次の3つのフィールドを含んでいます。 PKM-SA-記述子の属性の1つのまたは複数のインスタンスは、Access-Acceptメッセージに発生することがあります。
A summary of the PKM-SA-Descriptor Attribute format is shown below. The fields are transmitted from left to right.
PKM-SA-記述子属性形式の概要は以下に示されています。フィールドは左から右に送信されます。
1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Type | Len | SAID |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| SA Type | Cryptosuite |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Type
タイプ
142 for PKM-SA-Descriptor
PKM-SA-記述子142
Len
のみ
8
8
SAID
前記
The SAID field is two octets in length and contains a PKM SAID (Section 3.5).
SAIDフィールドの長さは2つのオクテットで、PKM SAID(3.5節)が含まれています。
SA Type
SAタイプ
The SA Type field is one octet in length. The contents correspond to those of the Value field of an IEEE 802.16 SA-Type attribute.
SAタイプ]フィールドには、長さは1つのオクテットです。コンテンツはIEEE 802.16 SA-Type属性の値の分野のものに対応します。
Cryptosuite
Cryptosuite
The Cryptosuite field is 3 octets in length. The contents correspond to those of the Value field of an IEEE 802.16 Cryptographic-Suite attribute.
Cryptosuiteフィールドは、長さが3つのオクテットです。内容はIEEE 802.16暗号スイートの属性の値の分野のものに対応します。
Description
説明
The PKM-AUTH-Key Attribute is of type string, 135 octets in length. It consists of 3 fields, described below, which together specify the characteristics of a PKM authorization key. The PKM-AUTH-Key Attribute MAY occur in an Access-Accept message. Any packet that contains an instance of the PKM-AUTH-Key Attribute MUST also contain an instance of the Message-Authenticator Attribute [RFC3579].
PKM-AUTH-key属性は、文字列型、長さが135オクテットです。それは一緒にPKM認証キーの特性を指定する、以下に説明する3つのフィールドからなります。 PKM-AUTH-key属性はAccess-Acceptメッセージに発生することがあります。 PKM-AUTH-キー属性のインスタンスを含むすべてのパケットは、[RFC3579] Message-Authenticatorアトリビュートのインスタンスをも含まなければなりません。
A summary of the PKM-AUTH-Key Attribute format is shown below. The fields are transmitted from left to right.
PKM-AUTH-キー属性のフォーマットの概要は以下の通りです。フィールドは左から右に送信されます。
1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Type | Len | Lifetime
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Lifetime (cont.) | Sequence | Key...
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Type
タイプ
143 for PKM-AUTH-Key
PKM-AUTH-キーのための143
Len
のみ
135
135
Lifetime
一生
The Lifetime field is 4 octets in length and represents the lifetime, in seconds, of the authorization key. For more information, see Section 11.9.4 of [IEEE.802.16-2004].
Lifetimeフィールドの長さは4つのオクテットであると認証キーの寿命を秒単位で、表しています。詳細については、[IEEE.802.16-2004]のセクション11.9.4を参照してください。
Sequence
シーケンス
The Sequence field is one octet in length. The contents correspond to those of the Value field of an IEEE 802.16 Key-Sequence-Number attribute (see [IEEE.802.16-2004], Section 11.9.5).
Sequenceフィールドは、長さは1つのオクテットです。内容([IEEE.802.16-2004]、セクション11.9.5を参照)IEEE 802.16キーシーケンス番号属性の値の分野のものに対応します。
Key
キー
The Key field is 128 octets in length. The contents correspond to those of the Value field of an IEEE 802.16 AUTH-Key attribute. The Key field MUST be encrypted under the public key from the Subscriber Station certificate (Section 3.1) using RSA encryption [RFC2437]; see Section 7.5 of [IEEE.802.16-2004] for further details.
キーフィールドは、長さが128オクテットです。内容はIEEE 802.16 AUTH-Key属性の値の分野のものに対応します。キーフィールドは、RSA暗号化[RFC2437]を使用して加入者局証明書(3.1節)から公開鍵で暗号化されなければなりません。詳細については、[IEEE.802.16-2004]のセクション7.5を参照。
Implementation Note
実装上の注意
It is necessary that a plaintext copy of this field be returned in the Access-Accept message; appropriate precautions MUST be taken to ensure the confidentiality of the key.
この分野の平文コピーがAccess-Acceptメッセージで返されることが必要です。適切な予防策は、キーの機密性を確保するために取らなければなりません。
The PKM-AUTH-Key Attribute (Section 3.7) contains the AUTH-Key encrypted with the SS's public key. The BS also needs the AK, so a second copy of the AK needs to be returned in the Access-Accept message.
PKM-AUTH-キー属性(3.7節)は、SSの公開鍵で暗号化されたAUTH-キーが含まれています。 BSはまた、AKを必要とするので、AKの2番目のコピーは、Access-Acceptメッセージに戻す必要があります。
It is RECOMMENDED that the AK is encapsulated in an instance of the MS-MPPE-Send-Key Attribute [RFC2548]. However, see Section 4.3.4 of RFC 3579 [RFC3579] for details regarding weaknesses in the encryption scheme used.
AKは、MS-MPPE-Send-Key属性[RFC2548]のインスタンスにカプセル化することが推奨されます。しかし、使用される暗号化方式の弱点に関する詳細については、RFC 3579 [RFC3579]のセクション4.3.4を参照してください。
If better means for protecting the Auth-Key are available (such as RADIUS key attributes with better security properties, or means of protecting the whole Access-Accept message), they SHOULD be used instead of (or in addition to) the MS-MPPE-Send-Key Attribute.
認証キーを保護するためのよりよい手段(例えばRADIUSキー良好なセキュリティ特性を有する属性、または全体Access-Acceptメッセージを保護する手段として)利用可能である場合、それらは代わりに(またはそれに加えて)使用されるべきであるMS-MPPE -send-キー属性。
The following table provides a guide to which attributes may be found in which kinds of packets, and in what quantity.
以下の表は、属性パケットの種類のもので、どのような量で見出されてもよいためのガイドを提供します。
Request Accept Reject Challenge Acct-Req # Attribute 0+ 0 0 0 0 137 PKM-SS-Cert [Note 1] 0+ 0 0 0 0 138 PKM-CA-Cert [Note 2] 0 0-1 0 0 0 139 PKM-Config-Settings 0-1 0 0 0 0 140 PKM-Cryptosuite-List 0-1 0 0 0 0 141 PKM-SAID 0 0+ 0 0 0 142 PKM-SA-Descriptor 0 0-1 0 0 0 143 PKM-Auth-Key 0 0-1 0 0 0 MS-MPPE-Send-Key [Note 3]
0 0 0 0 138 PKM-CA-CERT [注2] 0 0-1 0 0 139 PKM 0+ 0+ 0 0 0 0 137 PKM-SS-CERT [注1]をチャレンジのAcct-REQ位属性を拒否要求受け入れ-config-設定0-1 0 0 0 0 140 PKM-Cryptosuite-リスト0-1 0 0 0 0 141 PKM-SAID 0 0+ 0 0 142 PKM-SA-ディスクリプタ0 0-1 0 0 143 PKM-認証キー0 0-1 0 0 MS-MPPE-SENDキー[注3]
[Note 1] No more than one Subscriber Station Certificate may be transferred in an Access-Request packet.
[注1]いいえつ以上の加入者局の証明書は、アクセス要求パケットで転送することができます。
[Note 2] No more than one CA Certificate may be transferred in an Access-Request packet.
1 CA証明書を超えない[注2]アクセス要求パケットで転送することができます。
[Note 3] MS-MPPE-Send-Key is one possible attribute that can be used to convey the AK to the BS; other attributes can be used instead (see Section 3.7.1).
[注3] MS-MPPE-SENDキーは、BSにAKを伝えるために使用することができる一つの可能な属性です。他の属性を代わりに使用することができます(3.7.1項を参照してください)。
The following table defines the meaning of the above table entries.
次の表は、上記テーブルエントリの意味を定義します。
0 This attribute MUST NOT be present in packet 0+ Zero or more instances of this attribute MAY be present in packet 0-1 Zero or one instance of this attribute MAY be present in packet 1 Exactly one instance of this attribute MUST be present in packet
0この属性は、この属性の0+ゼロ以上のインスタンスが存在していてもよい、この属性の0-1ゼロまたは1つのインスタンスがパケット1中に存在することができるパケットの中に、この属性の正確に1つのインスタンスがパケットに存在しなければならないパケットの中に存在してはなりません
Since the Attributes defined in this document are allocated from the standard RADIUS type space (see Section 7), no special handling is required by Diameter nodes.
この文書で定義された属性は、標準的なRADIUS型空間から割り当てられているので、特別な処理はDiameterノードによって必要とされない(セクション7参照)。
Section 4 of RFC 3579 [RFC3579] discusses vulnerabilities of the RADIUS protocol.
RFC 3579のセクション4 [RFC3579]はRADIUSプロトコルの脆弱性を論じています。
Section 3 of the paper "Security Enhancements for Privacy and Key Management Protocol in IEEE 802.16e-2005" [SecEn] discusses the operation and vulnerabilities of the PKMv1 protocol.
論文「IEEE 802.16eの-2005における個人情報保護のためのセキュリティ強化と鍵管理プロトコル」[SecEn]の第3節では、操作とPKMv1プロトコルの脆弱性について説明します。
If the Access-Request message is not subject to strong integrity protection, an attacker may be able to modify the contents of the PKM-Cryptosuite-List Attribute, weakening 802.16 security or disabling data encryption altogether.
Access-Requestメッセージが強い整合性の保護の対象ではない場合、攻撃者は、802.16セキュリティを弱めるか、完全にデータの暗号化を無効にし、PKM-Cryptosuite-List属性の内容を変更することができるかもしれません。
If the Access-Accept message is not subject to strong integrity protection, an attacker may be able to modify the contents of the PKM-Auth-Key Attribute. For example, the Key field could be replaced with a key known to the attacker.
Access-Acceptメッセージには、強力な完全性保護の対象ではない場合、攻撃者は、PKM-AUTH-キー属性の内容を変更することができるかもしれません。例えば、キーフィールドが攻撃者に知られているキーに置き換えることができます。
See Section 3.7.1 for security considerations of sending the authorization key to the BS.
BSへの認証キーを送信するセキュリティの考慮事項については、セクション3.7.1を参照してください。
IANA has assigned numbers for the following Attributes:
IANAは、次の属性の番号が割り当てられています:
137 PKM-SS-Cert
137 PKM-SS-CERT
138 PKM-CA-Cert
PKM-138-CERT CA
139 PKM-Config-Settings
139 PKM-CONFIG-設定
140 PKM-Cryptosuite-List
140 PKM-Cryptosuite-一覧
141 PKM-SAID
141 PKM-SAID
142 PKM-SA-Descriptor
PKM-142-SA記述子
143 PKM-Auth-Key
143 PKM-認証キー
The Attribute numbers are to be allocated from the standard RADIUS Attribute type space according to the "IETF Review" policy [RFC5226].
属性番号は「IETFレビュー」ポリシー[RFC5226]によると、標準のRADIUS属性タイプ空間から割り当てられることになっています。
Pasi Eronen provided most of the text in Section 3.7.1.
パシEronenは、セクション3.7.1のテキストのほとんどを提供します。
Thanks (in no particular order) to Bernard Aboba, Donald Eastlake, Dan Romascanu, Avshalom Houri, Juergen Quittek, Pasi Eronen, and Alan DeKok for their mostly useful reviews of this document.
このドキュメントの彼らのほとんどは便利なレビューのためのバーナードAboba、ドナルドイーストレイク、ダンRomascanu、Avshalomフーリー、ユルゲンQuittek、パシEronen、およびアランDeKokへ(順不同)感謝します。
[IEEE.802.16-2004] Institute of Electrical and Electronics Engineers, "IEEE Standard for Local and metropolitan area networks, Part 16: Air Interface for Fixed Broadband Wireless Access Systems", IEEE Standard 802.16, October 2004.
電気電子技術者の[IEEE.802.16-2004]研究所、「ローカルおよびメトロポリタンエリアネットワークのためのIEEE規格、パート16:固定ブロードバンド無線アクセスシステムのためのエアインタフェース」、IEEE規格802.16、2004年10月。
[RFC2865] Rigney, C., Willens, S., Rubens, A., and W. Simpson, "Remote Authentication Dial In User Service (RADIUS)", RFC 2865, June 2000.
、RFC 2865、2000年6月 "ユーザーサービス(RADIUS)でリモート認証ダイヤル" [RFC2865] Rigney、C.、ウィレンス、S.、ルーベン、A.、およびW.シンプソン、。
[RFC3579] Aboba, B. and P. Calhoun, "RADIUS (Remote Authentication Dial In User Service) Support For Extensible Authentication Protocol (EAP)", RFC 3579, September 2003.
[RFC3579] Aboba、B.およびP.カルフーン、 "RADIUS(ユーザサービスにおけるリモート認証ダイヤル)拡張認証プロトコル(EAP)のサポート"、RFC 3579、2003年9月。
[RFC5226] Narten, T. and H. Alvestrand, "Guidelines for Writing an IANA Considerations Section in RFCs", BCP 26, RFC 5226, May 2008.
[RFC5226] Narten氏、T.とH. Alvestrand、 "RFCsにIANA問題部に書くためのガイドライン"、BCP 26、RFC 5226、2008年5月。
[RFC2437] Kaliski, B. and J. Staddon, "PKCS #1: RSA Cryptography Specifications Version 2.0", RFC 2437, October 1998.
[RFC2437] Kaliski、B.及びJ. Staddon、 "PKCS#1:RSA暗号仕様バージョン2.0"、RFC 2437、1998年10月。
[RFC2459] Housley, R., Ford, W., Polk, T., and D. Solo, "Internet X.509 Public Key Infrastructure Certificate and CRL Profile", RFC 2459, January 1999.
[RFC2459] Housley氏、R.、フォード、W.、ポーク、T.、およびD.ソロ、 "インターネットX.509公開鍵暗号基盤証明書とCRLプロファイル"、RFC 2459、1999年1月。
[RFC2548] Zorn, G., "Microsoft Vendor-specific RADIUS Attributes", RFC 2548, March 1999.
[RFC2548]ソーン、G.、 "マイクロソフトのベンダー固有のRADIUSアトリビュート"、RFC 2548、1999年3月。
[SecEn] Altaf, A., Jawad, M., and A. Ahmed, "Security Enhancements for Privacy and Key Management Protocol in IEEE 802.16e-2005", Ninth ACIS International Conference on Software Engineering, Artificial Intelligence, Networking, and Parallel/Distributed Computing, 2008.
[SecEn] Altaf、A.、「IEEE 802.16eの-2005における個人情報保護のためのセキュリティ強化と鍵管理プロトコル」ジャワド、M.、およびA.アーメド、ソフトウェア工学、人工知能、ネットワーキング、およびパラレルの第九ACIS国際会議/ 2008年コンピューティング分散。
Author's Address
著者のアドレス
Glen Zorn Network Zen 1463 East Republican Street #358 Seattle, WA 98112 US
グレンツォルンネットワーク禅1463東共和党のストリート第358位シアトル、WA 98112米国
EMail: gwz@net-zen.net
メールアドレス:gwz@net-zen.net