Internet Engineering Task Force (IETF) G. Camarillo
Request for Comments: 6028 A. Keranen
Category: Experimental Ericsson
ISSN: 2070-1721 October 2010
Host Identity Protocol (HIP) Multi-Hop Routing Extension
Abstract
抽象
This document specifies two extensions to the Host Identity Protocol (HIP) to implement multi-hop routing. The first extension allows implementing source routing in HIP. That is, a node sending a HIP packet can define a set of nodes that the HIP packet should traverse. The second extension allows a HIP packet to carry and record the list of nodes that forwarded it.
この文書では、マルチホップルーティングを実装するために、ホスト識別プロトコル(HIP)に2つの拡張を指定します。最初の拡張は、HIPでソースルーティングを実装することができます。つまり、HIPパケットを送信するノードは、HIPパケットが横断するべきノードの集合を定義することができます。第二延長はHIPパケットを運ぶと、それを転送したノードのリストを記録することができます。
Status of This Memo
このメモのステータス
This document is not an Internet Standards Track specification; it is published for examination, experimental implementation, and evaluation.
このドキュメントはインターネット標準化過程仕様ではありません。それは、検査、実験的な実装、および評価のために公開されています。
This document defines an Experimental Protocol for the Internet community. This document is a product of the Internet Engineering Task Force (IETF). It represents the consensus of the IETF community. It has received public review and has been approved for publication by the Internet Engineering Steering Group (IESG). Not all documents approved by the IESG are a candidate for any level of Internet Standard; see Section 2 of RFC 5741.
この文書は、インターネットコミュニティのためにExperimentalプロトコルを定義します。このドキュメントはインターネットエンジニアリングタスクフォース(IETF)の製品です。これは、IETFコミュニティの総意を表しています。これは、公開レビューを受けており、インターネットエンジニアリング運営グループ(IESG)によって公表のために承認されています。 IESGによって承認されていないすべての文書がインターネットStandardのどんなレベルの候補です。 RFC 5741のセクション2を参照してください。
Information about the current status of this document, any errata, and how to provide feedback on it may be obtained at http://www.rfc-editor.org/info/rfc6028.
このドキュメントの現在の状態、任意の正誤表、そしてどのようにフィードバックを提供するための情報がhttp://www.rfc-editor.org/info/rfc6028で取得することができます。
Copyright Notice
著作権表示
Copyright (c) 2010 IETF Trust and the persons identified as the document authors. All rights reserved.
著作権(C)2010 IETF信託とドキュメントの作成者として特定の人物。全著作権所有。
This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents (http://trustee.ietf.org/license-info) in effect on the date of publication of this document. Please review these documents carefully, as they describe your rights and restrictions with respect to this document. Code Components extracted from this document must include Simplified BSD License text as described in Section 4.e of the Trust Legal Provisions and are provided without warranty as described in the Simplified BSD License.
この文書では、BCP 78と、この文書の発行日に有効なIETFドキュメント(http://trustee.ietf.org/license-info)に関連IETFトラストの法律の規定に従うものとします。彼らは、この文書に関してあなたの権利と制限を説明するように、慎重にこれらの文書を確認してください。コードコンポーネントは、トラスト法規定のセクションで説明4.eおよび簡体BSDライセンスで説明したように、保証なしで提供されているよう簡体BSDライセンスのテキストを含める必要があり、この文書から抽出されました。
Table of Contents
目次
1. Introduction ....................................................2
2. Terminology .....................................................3
2.1. Requirements Language ......................................3
2.2. Definitions ................................................3
3. Protocol Definitions ............................................3
3.1. Creating and Processing Via Lists ..........................4
3.2. Creating Destination Lists .................................4
3.3. Processing Destination Lists ...............................5
3.4. Fragmentation Considerations ...............................5
4. Packet Formats ..................................................5
4.1. Source and Destination Route List Parameters ...............6
5. IANA Considerations .............................................7
6. Security Considerations .........................................8
6.1. Forged Destination and Via Lists ...........................8
6.2. Forwarding Loops ...........................................8
7. Acknowledgments .................................................9
8. References ......................................................9
8.1. Normative References .......................................9
8.2. Informative References .....................................9
When the Host Identity Protocol (HIP) [RFC5201] is used in certain contexts, nodes need the ability to perform source routing. That is, a node needs the ability to send a HIP signaling packet that will traverse a set of nodes before reaching its destination. Such features are needed, e.g., in the HIP-Based Overlay Networking Environment (HIP BONE) [HIP-BONE] or if two nodes wish to keep a third, or more, HIP nodes on the signaling path. This document defines an extension that provides HIP with this functionality.
ホストアイデンティティプロトコル(HIP)[RFC5201]は、特定のコンテキストで使用される場合、ノードは、ソースルーティングを実行する能力を必要とします。すなわち、ノードがその宛先に到達する前にノードのセットを横断するHIPシグナリングパケットを送信する機能が必要です。 2つのノードがシグナリングパス上に第三の、またはそれ以上、HIPノードを保持する場合、このような特徴は、HIPベースのオーバレイネットワーク環境(寛骨)HIP-BONE]において、例えば、必要に応じてまたはれます。この文書では、この機能を備えたHIPを提供して拡張子を定義します。
Additionally, when HIP signaling packets are routed through multiple nodes, some of these nodes (e.g., the destination host) need the ability to know the nodes that a particular packet traversed. This document defines another extension that provides HIP with this functionality.
HIPシグナリングパケットが複数のノードを介してルーティングされる場合、さらに、これらのノード(例えば、宛先ホスト)の一部は、特定のパケットが横断ノードを知る能力を必要とします。この文書では、この機能を備えたHIPを提供する別の拡張子を定義します。
These two extensions enable multi-hop routing in HIP. Before these extensions were specified, there were standardized ways for supporting only a single intermediate node (e.g., a rendezvous server [RFC5204]) between the source of a HIP packet and its destination.
これらの2つの拡張は、HIPにおけるマルチホップルーティングを可能にします。これらの拡張子を指定された前に、HIPパケットの送信元と宛先との間の唯一の単一の中間ノード(例えば、ランデブーサーバ[RFC5204])を支持するための標準化された方法がありました。
The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", and "OPTIONAL" in this document are to be interpreted as described in RFC 2119 [RFC2119].
この文書のキーワード "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT", "SHOULD", "SHOULD NOT", "RECOMMENDED", "MAY", および "OPTIONAL" はRFC 2119 [RFC2119]に記載されているように解釈されます。
The following terms used in this document are similar to those defined by REsource LOcation And Discovery (RELOAD) [P2PSIP-BASE] but are used here in the context of HIP.
本書で使用される以下の用語は、リソースロケーションとディスカバリー(リロード)[P2PSIP-BASE]によって定義されたものと同様であるが、HIPの文脈でここで使用されています。
Destination list: A list of Host Identity Tags (HITs) of the nodes that a HIP packet should traverse.
宛先リスト:HIPパケットが通過する必要があるノードのホスト識別タグ(ヒット)のリスト。
Via list: A list of HITs of the nodes that a HIP packet has traversed.
リストビア:HIPパケットが通過したノードのヒットのリスト。
Symmetric routing: A response to a message is routed back using the same set of intermediary nodes as the original message used, except in reversed order. Also known as symmetric recursive routing.
対称ルーティング:メッセージへの応答は逆の順序を除いて、使用した元のメッセージとして中間ノードの同じセットを使用して戻されます。また、対称再帰ルーティングとして知られています。
The multi-hop routing extensions may be used in different contexts, and whether a new HIP signaling packet should, for example, include a Via list or have different options enabled can depend on the particular use case, local policies, and different protocols using the extension. This section defines how the new parameters are handled, but when to use these extensions, or how to configure them, is out of scope for this document.
マルチホップルーティングの拡張機能は、異なるコンテキストで使用することができ、新しいHIPシグナリングパケットかどうかは、例えば、経由リストを含めるべきかの異なるオプションが有効になっている特定のユースケース、ローカルポリシー、および使用して異なるプロトコルに依存することができます拡張。このセクションでは、新しいパラメータを処理する方法を定義しますが、ときに、これらの拡張機能を使用するか、またはそれらを構成する方法を、この文書の範囲外です。
When a node sending a HIP packet needs to record the nodes that are on the path that the HIP packet traverses, it includes an empty ROUTE_VIA parameter in the packet.
HIPパケットを送信するノードは、HIPパケットが横断する経路上にあるノードを記録する必要がある場合、そのパケット内の空ROUTE_VIAパラメータを含みます。
A node that receives a packet with a ROUTE_VIA parameter SHOULD add its own HIT to the end of the ROUTE_VIA parameter, unless it is the final recipient of the packet. If the node uses a different HIT on the HIP association it used for receiving the packet than for sending it forward, it SHOULD also add the receiving HIT to the route list before the sending HIT.
それはパケットの最終的な受信者でない限りROUTE_VIAパラメータでパケットを受信したノードは、ROUTE_VIAパラメータの終わりに、それ自身のHITを追加する必要があります。ノードは、それが前方にそれを送信するためのよりパケットを受信するために使用さHIP協会の異なるHITを使用している場合、それはまた、送信HIT前にルートリストに受信HITを追加する必要があります。
If the node is the final recipient of the packet, and the received packet generates a response HIP packet, the node checks the SYMMETRIC flag from the ROUTE_VIA parameter. If the SYMMETRIC flag is set, the node MUST create a ROUTE_DST parameter from the ROUTE_VIA parameter, as described in Section 3.2, and include it in the response packet. Also, if an intermediary node generates a new HIP packet (e.g., an error NOTIFY packet) due to a HIP packet that had a ROUTE_VIA parameter with the SYMMETRIC flag set, and the new packet is intended for the sender of the original HIP packet, the node SHOULD construct and add a ROUTE_DST parameter into the new packet as in the previous case.
ノードはパケットの最終的な受信者であり、受信したパケットが応答HIPパケットを生成する場合、ノードはROUTE_VIAパラメータからSYMMETRICフラグをチェックします。 SYMMETRICフラグが設定されている場合、ノードは、セクション3.2で説明したように、ROUTE_VIAパラメータからROUTE_DSTパラメータを作成し、それを応答パケットに含まなければなりません。また、中間ノードは、原因SYMMETRICフラグが設定されたROUTE_VIAパラメータを有し、新たなパケットが元のHIPパケットの送信者のために意図されてHIPパケットに(例えば、エラーパケットをNOTIFY)新しいHIPパケットを生成する場合ノードは、構築し、以前の場合のように、新たなパケットにROUTE_DSTパラメータを追加する必要があります。
A node that needs to define the other nodes that should be on the path a HIP packet traverses adds a ROUTE_DST parameter to the HIP packet. The node may either decide the path independently, or it may create the path based on a ROUTE_VIA parameter. Only the originator of a signed HIP packet can add a ROUTE_DST parameter to the HIP packet, and none of the nodes on the path can modify it, since the parameter is covered by the signature.
HIPパケットが横断する経路上になければならない他のノードを定義する必要があるノードは、HIPパケットにROUTE_DSTパラメータを追加します。ノードは、独立して、経路を決定することができるか、それがROUTE_VIAパラメータに基づいて経路を作成することができます。のみ署名されたHIPパケットの発信元はHIPパケットにROUTE_DSTパラメータを追加することができ、パラメータは、署名によって覆われているので、経路上のノードのどれも、それを修正することはできません。
When a node creates a ROUTE_DST parameter due to receiving a packet with a ROUTE_VIA parameter, it copies all the HITs in the ROUTE_VIA parameter to the ROUTE_DST parameter, but in reversed order. This results in the HIP response packet being forwarded using the same path as the packet for which the response was generated. If exactly the same set of nodes should be traversed by the response packet, the MUST_FOLLOW flag (see Table 1) also SHOULD be set in the ROUTE_VIA parameter (and eventually copied to the ROUTE_DST parameter) to prevent the response packet from possibly skipping some nodes on the list.
ノードが原因ROUTE_VIAパラメータでパケットを受信するROUTE_DSTパラメータを作成すると、そのコピー全てROUTE_DSTパラメータにROUTE_VIAパラメータのヒットが、逆の順序です。 HIP応答パケットにおけるこの結果は、応答が生成されたパケットと同じパスを使用して転送されます。ノードの全く同じセットが応答パケットが横断しなければならない場合、MUST_FOLLOWフラグも(ROUTE_DSTパラメータに、最終的にコピーされた)ROUTE_VIAパラメータに設定されるべきである(表1参照)、おそらくいくつかのノードをスキップからの応答パケットを防ぐためにリスト上。
When a node receives a HIP packet that contains a ROUTE_DST parameter, it first looks up its own HIT from the route list. If the node's own HIT is not in the list and the node is not the receiver of the packet, the packet was incorrectly forwarded and MUST be dropped. If the node's HIT is in the list more than once, the list is invalid and the packet MUST be dropped to avoid forwarding loops. The next hop for the packet is the HIT after the node's own HIT in the list. If the node's HIT was the last HIT in the list, the next hop is the receiver's HIT in the HIP header.
ノードがROUTE_DSTパラメータが含まれているHIPパケットを受信すると、最初のルートリストから、独自のHITを検索します。ノード自身のHITがリストにないと、ノードは、パケットの受信機ではない場合、パケットが正しく転送されたと下げなければなりません。ノードのHITが複数回リストにある場合は、リストは無効であり、パケットが転送ループを回避するために下げなければなりません。パケットの次のホップは、リスト内のノードの独自のHIT後HITです。ノードのヒットリスト内の最後のヒットした場合は、次のホップは、HIPヘッダ内の受信機のヒットです。
If the MUST_FOLLOW flag in the ROUTE_DST parameter is not set, the node SHOULD check whether it has a valid locator for one of the nodes later in the list, or for the receiver of the packet, and it MAY select such a node as the next hop. If the MUST_FOLLOW flag is set, the node MUST NOT skip any nodes in the list.
ROUTE_DSTパラメータのMUST_FOLLOWフラグが設定されていない場合、ノードは、それが後でリスト内のノードのいずれかの有効なロケータを持っているかどうかを確認する必要があり、又はパケットの受信のために、それは次のようなノードを選択することができます。ホップ。 MUST_FOLLOWフラグが設定されている場合、ノードは、リスト内の任意のノードをスキップしてはなりません。
If the node has a valid locator for the next hop, it MUST forward the HIP packet to the next-hop node. If the node cannot determine a valid locator for the next-hop node, it SHOULD drop the packet and SHOULD send back a NOTIFY error packet with type UNKNOWN_NEXT_HOP (value 90). The Notification Data field for the error notifications SHOULD contain the HIP header of the rejected packet and the ROUTE_DST parameter.
ノードが次のホップのために有効なロケータを持っている場合、それは次ホップノードにHIPパケットを転送する必要があります。ノードは、次ホップノードの有効なロケータを判断できない場合は、パケットをドロップする必要があり、タイプUNKNOWN_NEXT_HOP(値90)とNOTIFYエラーパケットを送り返すべきです。エラー通知のための通知データフィールドは、拒否されたパケットとROUTE_DSTパラメータのHIPヘッダを含むべきです。
Via and Destination lists with multiple HITs can substantially increase the size of the HIP packets, and thus fragmentation issues (see Section 5.1.3 of [RFC5201]) should be taken into consideration when these extensions are used. Via lists in particular should be used with care, since the final size of the packet is not known unless the maximum possible amount of hops is known beforehand. Both parameters do still have a maximum size based on the maximum number of allowed HITs (see Section 4.1).
複数のヒットと経由して送信先リストは、実質的にHIPパケットのサイズを増やすことができ、そしてこれらの拡張機能が使用されている場合ので、断片化の問題は、([RFC5201]のセクション5.1.3を参照)を考慮しなければなりません。ホップの最大可能量が予め知られていない限り、パケットの最終的な大きさが不明であるため、特にリストを介して、注意して使用すべきです。両方のパラメータはまだ許さヒットの最大数に基づいて、最大サイズを持っています(4.1節を参照してください)。
This memo defines two new HIP parameters that are used for recording a route via multiple nodes (ROUTE_VIA) and for defining a route that a packet should traverse by the sender of the packet (ROUTE_DST).
このメモは、複数のノード(ROUTE_VIA)を介して経路を記録するために、パケットがパケット(ROUTE_DST)の送信者によってトラバースべきルートを定義するために使用される2つの新しいHIPパラメータを定義します。
The ROUTE_DST parameter is integrity protected with the signature (where present) but ROUTE_VIA is not, so that intermediary nodes can add their own HITs to the list. Both ROUTE_DST and ROUTE_VIA are critical parameters (as defined in Section 5.2.1 of [RFC5201]), since the packet will not be properly routed unless all nodes on the path recognize the parameters.
ROUTE_DSTパラメータは、署名(存在)で保護整合性であるが、中間ノードがリストに自分自身のヒット曲を追加できるようにROUTE_VIAは、ではありません。経路上のすべてのノードがパラメータを認識しない限り、パケットが正しくルーティングされないのでROUTE_DSTとROUTE_VIA両方が、重要なパラメータ([RFC5201]のセクション5.2.1で定義されている)です。
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Type | Length |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Flags | Reserved |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| |
| HIT #1 |
| |
| |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
. . .
. . .
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| |
| HIT #n |
| |
| |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
Type ROUTE_DST: 4601 ROUTE_VIA: 64017 Length length in octets, excluding Type and Length (i.e., number-of-HITs * 16 + 4) Flags bit flags that can be used for requesting special handling of the parameter Reserved reserved for future use HIT Host Identity Tag of one of the nodes on the path
4601 ROUTE_VIA:オクテットで64017長さの長さ、タイプと長さ(すなわち、数のヒット* 16 + 4)国旗、将来の使用のHITホスト用に予約されたパラメータに予約の特別な処理を要求するために使用することができるビットフラグを除くROUTE_DSTを入力パス上のノードの一つのアイデンティティタグ
Figure 1. Format of the ROUTE_VIA and ROUTE_DST Parameters
ROUTE_VIAとROUTE_DSTパラメータの図1.フォーマット
Figure 1 shows the format of both ROUTE_VIA and ROUTE_DST parameters. The ROUTE_DST parameter, if present, MUST have at least one HIT, but the ROUTE_VIA parameter can also have zero HITs. The ROUTE_DST and ROUTE_VIA parameters SHALL NOT contain more than 32 HITs. The Flags field is used for requesting special handling for Via and Destination lists. The flags defined in this document are shown in Table 1. The Reserved field can be used by future extensions; it MUST be zero when sending and ignored when receiving this parameter.
図1は、ROUTE_VIAとROUTE_DST両方のパラメータのフォーマットを示します。 ROUTE_DSTパラメータは、存在する場合、少なくとも一つのHITを持たなければならないが、ROUTE_VIAパラメータがゼロのヒットを有することができます。 ROUTE_DSTとROUTE_VIAパラメータが32本の以上のヒットを含んではなりません。 Flagsフィールドは、経由して送信先リストの特別な処理を要求するために使用されます。この文書で定義されたフラグは、予約フィールドは将来の拡張で使用することができ、表1に示します。このパラメータを受信したときに送信され、無視するとき、それはゼロでなければなりません。
+-----+-------------+-----------------------------------------------+
| Pos | Name | Purpose |
+-----+-------------+-----------------------------------------------+
| 0 | SYMMETRIC | The response packet MUST be sent with a |
| | | ROUTE_DST list made from the ROUTE_VIA list |
| | | containing this flag, i.e., using symmetric |
| | | routing. |
| 1 | MUST_FOLLOW | All the nodes in a ROUTE_DST list MUST be |
| | | traversed, i.e., even if a node would have a |
| | | valid locator for a node beyond the next hop, |
| | | it MUST NOT forward the packet there but to |
| | | the next-hop node. |
+-----+-------------+-----------------------------------------------+
Table 1. Bit Flags in ROUTE_VIA and ROUTE_DST Parameters
ROUTE_VIAとROUTE_DSTパラメータ表1.ビットフラグ
The "Pos" column in Table 1 shows the bit position of the flag (as in Figure 1) in the Flags field, "Name" gives the name of the flag used in this document, and "Purpose" gives a brief description of the meaning of that flag.
表1中の「POS」の欄は、フラグ欄に(図1のように)、フラグのビット位置を示し、「名前」は、本書で使用するフラグの名前を与え、そして「目的」の簡単な説明を与えますそのフラグの意味。
The flags apply to both ROUTE_VIA and ROUTE_DST parameters, and when a ROUTE_DST parameter is added to a packet because of a ROUTE_VIA parameter, the same flags MUST be copied to the ROUTE_DST parameter.
フラグは両方ROUTE_VIAとROUTE_DSTパラメータに適用され、ROUTE_DSTパラメータが理由ROUTE_VIAパラメータのパケットに付加されたときに、同じフラグがROUTE_DSTパラメータにコピーしなければなりません。
This section is to be interpreted according to [RFC5226].
このセクションでは、[RFC5226]に従って解釈されるべきです。
This document updates the IANA Registry for HIP Parameter Types [RFC5201] by assigning new HIP Parameter Type values for the new HIP Parameters: ROUTE_VIA and ROUTE_DST (defined in Section 4). This document also defines a new Notify Packet Type [RFC5201], UNKNOWN_NEXT_HOP, in Section 3.3.
この文書は、新しいHIPパラメータの新しいHIPパラメータタイプ値を割り当てることによって、HIPパラメータ型[RFC5201]のためのIANAレジストリを更新:ROUTE_VIAとROUTE_DST(セクション4で定義されます)。また、このドキュメントは、セクション3.3において、パケットタイプ[RFC5201]、UNKNOWN_NEXT_HOPに通知新しいを定義します。
The ROUTE_DST and ROUTE_VIA parameters utilize bit flags, for which IANA has created and now maintains a new sub-registry entitled "HIP Via Flags" under the "Host Identity Protocol (HIP) Parameters" registry. Initial values for the registry are given in Table 1; future assignments are to be made through IETF Review or IESG Approval [RFC5226]. Assignments consist of the bit position and the name of the flag.
ROUTE_DSTとROUTE_VIAパラメータは、IANAが作成され、現在は「ホスト識別プロトコル(HIP)パラメータ」レジストリの下に新しいサブレジストリの名称「国旗経由HIP」を維持しているためビットフラグを、利用しています。レジストリの初期値を表1に示します。将来の割り当ては、IETFレビューやIESG承認[RFC5226]を介して行われるべきです。割り当ては、ビット位置とフラグの名前から成ります。
The standard HIP mechanisms (e.g., using signatures, puzzles, and the ENCRYPTED parameter [RFC5201]) provide protection against eavesdropping; replay; message insertion, deletion, and modification; and man-in-the-middle attacks. Yet, the extensions described in this document allow nodes to route HIP messages via other nodes and hence possibly try to mount Denial-of-Service (DoS) attacks against them. The following sections describe possible attacks and means to mitigate them.
標準HIPメカニズム(例えば、署名、パズルを使用して、暗号化パラメータは、[RFC5201])が盗聴に対する保護を提供します。リプレイ;メッセージの挿入、削除、変更。そしてman-in-the-middle攻撃。しかし、この文献に記載の拡張機能は、ルートHIPメッセージにノードを他のノードを経由して、したがって、おそらく彼らに対するサービス拒否(DoS)攻撃をマウントしようことができます。次のセクションでは、攻撃の可能性を説明し、それらを軽減することを意味します。
The Destination list is protected by the HIP signature so that the receiver of the message can check that the list was indeed created by the sender of the message and not modified on the path. Also, the nodes forwarding the message MAY check the signature of the forwarded packets if they have the Host Identity (HI) of the sender (e.g., from an I2 or R1 message [RFC5201]) and drop packets whose signature check fails. With forwarding nodes checking the signature and allowing messages to be forwarded only from nodes for which there is an active HIP association, it is also possible to reliably identify attacking nodes.
メッセージの受信側は、リストが実際にメッセージの送信者によって作成され、経路に変更されなかったことを確認できるように、宛先リストは、HIP署名によって保護されています。彼らは、送信者のホストアイデンティティ(HI)がある場合にも、メッセージを転送するノードは、及び署名チェック失敗したドロップ・パケット(例えば、をI2またはR1メッセージ[RFC5201]から)転送されるパケットの署名をチェックすることができます。転送ノードは、署名をチェックし、メッセージが唯一の活性HIPアソシエーションが存在するため、ノードから転送されることを可能にすると、確実に攻撃ノードを識別することも可能です。
The limited amount of HITs allowed in a Destination list limits the impact of attacks using a forged Destination list, and the attacker also needs to know a set of HIP nodes that are able to route the message hop-by-hop for the attack to be effective.
宛先リストで許可されたヒットの限られた量は、鍛造先リストを使用して攻撃の影響を制限し、攻撃者は、またすべき攻撃の経路メッセージホップバイホップすることができるHIPノードのセットを知る必要があります効果的。
A forged Via list results in a similar attack as with the Destination list and with similar limitations. However, in this attack the Destination list generated from the Via list is validly signed by the responding node. To limit the effect of this kind of attack, a responding node may further decrease the maximum acceptable number of nodes in the Via lists or allow only certain HITs in the lists. However, using these mechanisms requires either good knowledge of the overlay network (i.e., maximum realistic amount of hops) or knowing the HITs of all potential nodes forwarding the messages.
宛先リストのように、同様の制限と同様の攻撃にリスト結果を経由して偽造します。しかし、この攻撃のViaリストから生成された宛先リストが有効に応答ノードによって署名されています。この種の攻撃の影響を制限するために、応答ノードは、さらに、ビア・リスト内のノードの最大許容数を減らすか、リスト内の唯一の特定のヒットを可能にすることができます。しかしながら、これらのメカニズムを使用して、良好なオーバレイネットワークの知識(ホップすなわち、最大の現実的な量)、またはメッセージを転送するすべての潜在的なノードのヒットを知ることのいずれかを必要とします。
A malicious node could craft a destination route list that contains the same HIT more than once and thus create a forwarding loop. The check described in Section 3.3 should break such loops, but nodes MAY in addition utilize the OVERLAY_TTL [HIP-BONE] parameter for additional protection against forwarding loops.
悪意のあるノードは、転送ループを作成して複数回、したがって同じHITを含む宛先ルートリストを作ることができました。セクション3.3に記載のチェックは、このようなループを破る必要がありますが、ノードが他に転送ループに対する追加の保護のためOVERLAY_TTL [HIP-BONE]パラメータを利用してもよいです。
Tom Henderson provided valuable comments and improvement suggestions for this document.
トム・ヘンダーソンは、このドキュメントのために貴重なコメントや改善提案を提供します。
[RFC2119] Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 14, RFC 2119, March 1997.
[RFC2119]ブラドナーの、S.、 "要件レベルを示すためにRFCsにおける使用のためのキーワード"、BCP 14、RFC 2119、1997年3月。
[RFC5201] Moskowitz, R., Nikander, P., Jokela, P., Ed., and T. Henderson, "Host Identity Protocol", RFC 5201, April 2008.
[RFC5201]モスコウィッツ、R.、Nikander、P.、Jokela、P.、エド。、およびT.ヘンダーソン、 "ホストアイデンティティプロトコル"、RFC 5201、2008年4月。
[RFC5204] Laganier, J. and L. Eggert, "Host Identity Protocol (HIP) Rendezvous Extension", RFC 5204, April 2008.
[RFC5204] Laganier、J.とL.エッゲルト、 "ホストアイデンティティプロトコル(HIP)ランデブー拡張"、RFC 5204、2008年4月。
[RFC5226] Narten, T. and H. Alvestrand, "Guidelines for Writing an IANA Considerations Section in RFCs", BCP 26, RFC 5226, May 2008.
[RFC5226] Narten氏、T.とH. Alvestrand、 "RFCsにIANA問題部に書くためのガイドライン"、BCP 26、RFC 5226、2008年5月。
[HIP-BONE] Camarillo, G., Nikander, P., Hautakorpi, J., Keranen, A., and A. Johnston, "HIP BONE: Host Identity Protocol (HIP) Based Overlay Networking Environment", Work in Progress, June 2010.
[HIP-BONE]キャマリロ、G.、Nikander、P.、Hautakorpi、J.、Keranen、A.、およびA.ジョンストン、 "HIP骨:ホストアイデンティティプロトコル(HIP)ベースのオーバレイネットワーク環境"、進行中で働いて、 2010年6月。
[P2PSIP-BASE] Jennings, C., Lowekamp, B., Ed., Rescorla, E., Baset, S., and H. Schulzrinne, "REsource LOcation And Discovery (RELOAD) Base Protocol", Work in Progress, March 2010.
[P2PSIP-BASE]ジェニングス、C.、Lowekamp、B.、編。、レスコラ、E.、BASET、S.、およびH. Schulzrinneと、 "リソースロケーションとディスカバリー(リロード)ベースプロトコル"、進歩、月に働いて2010。
Authors' Addresses
著者のアドレス
Gonzalo Camarillo Ericsson Hirsalantie 11 02420 Jorvas Finland
ゴンサロ・カマリロエリクソンHirsalantie 11 02420 Jorvasフィンランド
EMail: Gonzalo.Camarillo@ericsson.com
メールアドレス:Gonzalo.Camarillo@ericsson.com
Ari Keranen Ericsson Hirsalantie 11 02420 Jorvas Finland
KeranenエリクソンHirsalantie 11 02420 Jorvasフィンランド
EMail: Ari.Keranen@ericsson.com
メールアドレス:Ari.Keranen@ericsson.com