RFC1038 日本語訳
1038 Draft revised IP security option. M. St. Johns. January 1988. (Format: TXT=15879 bytes) (Obsoleted by RFC1108) (Status: UNKNOWN)
プログラムでの自動翻訳です。
英語原文
Network Working Group M. St. Johns Request for Comments: 1038 IETF January 1988
コメントを求めるワーキンググループのM.の聖ジョーンズの要求をネットワークでつないでください: 1038 IETF1988年1月
Draft Revised IP Security Option
改訂されたIPセキュリティオプションを作成してください。
Status of this Memo
このMemoの状態
This RFC is a pre-publication draft of the revised Internet Protocol Security Option. This draft reflects the version as approved by the Protocol Standards Steering Group. It is provided for informational purposes only. The final version of this document will be available from Navy Publications and should not differ from this document in any major fashion.
このRFCは改訂されたインターネット・プロトコル・セキュリティーOptionの掲載前の下書き原稿です。 この草稿はプロトコルStandards Steering Groupによる承認されるとしてのバージョンを反映します。 情報の目的だけにそれを提供します。 このドキュメントの最終版は、海軍Publicationsから利用可能であり、どんな主要なファッションでもこのドキュメントと異なるべきではありません。
This document will be published as a change to the MIL-STD 1777, "Internet Protocol". Distribution of this memo is unlimited.
このドキュメントは軍規格1777、「インターネットプロトコル」への変化として発表されるでしょう。 このメモの分配は無制限です。
9.3.13.1 Internet Options Defined.
9.3.13.1 オプションが定義したインターネット。
The following internet options are defined:
以下のインターネットオプションは定義されます:
CLASS NUMBER LENGTH DESCRIPTION _____ ______ ______ ___________
クラス番号長さの記述_____ ______ ______ ___________
0 00000 - End of Option list: This option occupies only 1 octet; it has no length octet. 0 00001 - No Operation: This option occupies only 1 octet; it has no length octet. 0 00010 var. Basic Security: Used to carry security level and accrediting authority flags. 0 00011 var. Loose Source Routing: Used to route the datagram based on information supplied by the source. 0 00101 var. Extended Security: Used to carry additional security information as required by registered authorities. 0 01001 var. Strict Source Routing: Used to route the datagram based on information supplied by the source. 0 00111 var. Record Route: Used to trace the route a datagram takes. 0 01000 4 Stream ID: Used to carry the stream identifier. 2 00100 var. Internet Timestamp: Used to accumulate timing information in transit.
0 00000--Optionリストの終わり: このオプションは1つの八重奏だけを占領します。 それには、長さの八重奏が全くありません。 0 00001--操作がありません: このオプションは1つの八重奏だけを占領します。 それには、長さの八重奏が全くありません。 0 00010var. 基本的なセキュリティ: セキュリティー・レベルを運ぶのに使用されて、権威を信任するのは弛みます。 0 00011var. ソースルート設定を発射してください: ソースによって提供された情報に基づくデータグラムを発送するのにおいて、使用されています。 0 00101var. 拡張セキュリティ: 必要に応じて登録された当局で追加担保情報を運ぶのにおいて、使用されています。 0 01001var. 厳しいソースルート設定: ソースによって提供された情報に基づくデータグラムを発送するのにおいて、使用されています。 0 00111var. ルートを記録してください: データグラムが取るルートをたどるのにおいて、使用されています。 0 01000 4 IDを流してください: ストリーム識別子を運ぶのにおいて、使用されています。 2 00100var. インターネットタイムスタンプ: トランジットにおけるタイミング情報を蓄積するのにおいて、使用されています。
St. Johns [Page 1] RFC 1038 Draft Revised IP Security Option January 1988
IPセキュリティオプション1988年1月に改訂された聖ジョーンズ[1ページ]RFC1038草稿
9.3.15.3 DoD Basic Security.
9.3.15.3 DoDの基本的なセキュリティ。
Option type: 130 Option length: variable; minimum length: 4
オプションタイプ: 130 オプションの長さ: 変数。 最小の長さ: 4
The option identifies the U.S. security level to which the datagram is to be protected, and the accrediting authorities whose protection rules apply to each datagram.
オプションはデータグラムが保護されることになっている米国セキュリティー・レベル、および保護規則が各データグラムに適用される信任している当局を特定します。
The option is used by accredited trusted components of an internet to:
以下では、オプションがインターネットの公認の信じられたコンポーネントによって使用されて、ことにします。
a. Validate the datagram as appropriate for transmission from the source.
a。 トランスミッションのためにソースからデータグラムを適宜有効にしてください。
b. Guarantee that the route taken by the datagram (including the destination) is protected to the level required by all indicated accrediting authorities.
b。 データグラム(目的地を含んでいる)によって取られたルートが当局を信任しながら示されたすべてによって必要とされたレベルに保護されるのを保証してください。
c. Supply common label information required by computer security models.
c。 コンピュータセキュリティモデルによって必要とされた一般的なラベル情報を提供してください。
This option must be copied on fragmentation. This option appears at most once in a datagram.
断片化のときにこのオプションをコピーしなければなりません。 このオプションはデータグラムに高々一度現れます。
The format of this option is as follows:
このオプションの形式は以下の通りです:
+--------------+-----------+-------------+-------------//----------+ | 10000010 | XXXXXXXX | SSSSSSSS | AAAAAAA[1] AAAAAAA0 | | | | | [0] | +--------------+-----------+-------------+-------------//----------+ TYPE = 130 LENGTH CLASSIFICATION PROTECTION VARIABLE PROTECTION AUTHORITY LEVEL FLAGS
+--------------+-----------+-------------+-------------//----------+ | 10000010 | XXXXXXXX| SSSSSSSS| AAAAAAA[1] AAAAAAA0| | | | | [0] | +--------------+-----------+-------------+-------------//----------130個の長さの分類の保護の可変保護レベル権威+ タイプ=旗
FIGURE 10-A. SECURITY OPTION FORMAT
図10-A。 セキュリティオプション形式
9.3.15.3.1 Length.
9.3.15.3.1 長さ。
The length of the option is variable. The minimum length option is 4.
オプションの長さは可変です。 最小の長さのオプションは4です。
9.3.15.3.2 Classification Protection Level.
9.3.15.3.2 分類保護レベル。
This field specifies the U.S. classification level to which the datagram should be protected. The information in the datagram should be assumed to be at this level until and unless it is regraded in accordance with the procedures of all indicated protecting
この分野はデータグラムが保護されるべきである米国分類レベルを指定します。 データグラムの情報がこのレベルにあると思われるべきである、すべての示された保護の手順によると、それは再等級付けされません。
St. Johns [Page 2] RFC 1038 Draft Revised IP Security Option January 1988
IPセキュリティオプション1988年1月に改訂された聖ジョーンズ[2ページ]RFC1038草稿
authorities. This field specifies one of the four U.S. classification levels, and is encoded as follows:
当局。 この分野は、4つの米国分類レベルの1つを指定して、以下の通りコード化されます:
11011110 - Top Secret 10101101 - Secret 01111010 - Confidential 01010101 - Unclassified
11011110--最高機密10101101--秘密01111010--秘密の01010101--Unclassified
9.3.15.3.3 Protection Authorities Flags.
9.3.15.3.3 保護当局旗。
This field indicates the National Access Program(s) with accrediting authority whose rules apply to the protection of the datagram.
この分野は規則が適用される権威をデータグラムの保護に功績とするのにNational Access Program(s)を示します。
a. Field Length: This field is variable in length. The low- order bit (Bit 7) of each octet is encoded as "zero" if it is the final octet in the field, or as "one" if there are additional octets. Currently, only one octet is needed for this field (because there are less than seven authorities), and the final bit of the first octet is coded as "zero".
a。 長さをさばいてください: この分野は長さで可変です。 それぞれの八重奏の低オーダービット(ビット7)は分野、またはそこであるなら「1つ」が追加八重奏であるのでそれが最終的な八重奏であるなら「ゼロ」としてコード化されます。 現在、1つの八重奏だけがこの分野に必要です、そして、(7つ未満の当局があるので)最初の八重奏の最終的なビットは「ゼロ」としてコード化されます。
b. Source Flags: The first seven bits (Bits 0 through 6) in each octet are source flags which are each associated with an authority as indicated below. The bit corresponding to an authority is "one" if the datagram is to be protected in accordance with the rules of that authority.
b。 ソース旗: 各八重奏における最初の7ビット(ビット0〜6)はそれぞれ以下に示すように権威に関連しているソース旗です。 その権威の規則に従ってデータグラムが保護されるつもりであるなら、権威に対応するビットは「1つ」です。
9.3.15.3.4 Usage Rules.
9.3.15.3.4 用法は統治されます。
Use of the option requires that a host be aware of 1) the classification level, or levels, at which it is permitted to operate, and 2) the protection authorities responsible for its certification. The achievement of this is implementation dependent. Rules for use of the option for different types of hosts are given below.
オプションの使用は、ホストが分類が平らにする1を)意識しているのが必要である、または操作するそれが許可されているどれ、および2に)証明に責任がある保護当局を平らにするか。 この実績は実装に依存しています。 オプションの異なったタイプのホストの使用のための規則を以下に与えます。
9.3.15.3.4.1 Unclassified Hosts, including gateways.
9.3.15.3.4.1 ゲートウェイを含むUnclassified Hosts。
a. Output: Unclassified hosts may either use or not use the option. If it is used, classification level must be unclassified, bit 0 of the accreditation field (GENSER) must be one, and all other bits of the accreditation field must be 0. While use of the option is permitted, it is recommended that unclassified hosts interested in maximizing interoperability with existing non- compliant implementations not use the option.
a。 出力: Unclassifiedホストは使用するかもしれません。使用か否かに関係なく、オプションを使用してください。 それが使用されているなら、分類レベルを非分類しなければなりません、そして、認可分野(GENSER)のビット0は1であるに違いありません、そして、認可分野の他のすべてのビットが0であるに違いありません。 オプションの使用は受入れられますが、既存の非対応することの実装で相互運用性を最大にしたがっていた非分類されたホストがオプションを使用しないのは、お勧めです。
b. Input: Unclassified hosts should accept for further processing IP datagrams without the option. If the option is present on an incoming IP datagram, then the datagram is accepted for further processing only if the classification level is
b。 以下を入力してください。 Unclassifiedホストは一層の処理IPデータグラムのためにオプションなしで受け入れるべきです。 分類レベルが受け入れる場合にだけ、オプションが入って来るIPデータグラムに存在しているなら、さらなる処理のためにデータグラムを受け入れます。
St. Johns [Page 3] RFC 1038 Draft Revised IP Security Option January 1988
IPセキュリティオプション1988年1月に改訂された聖ジョーンズ[3ページ]RFC1038草稿
unclassified, bit 0 of the accreditation field (GENSER) is one, and all other bits of the accreditation field are zero. Otherwise, the out-of-range procedure is followed.
非分類されていて、認可分野(GENSER)のビット0は1です、そして、認可分野の他のすべてのビットがゼロです。 さもなければ、範囲で出ている手順は従われています。
9.3.15.3.4.2 Hosts accredited in the Dedicated, System-High, or Compartmented Modes at a classification level higher than unclassified.
9.3.15.3.4.2 Dedicated、System-高値、またはCompartmented Modesで非分類されるより高い分類レベルで信任されたホスト。
a. Output. The use of the option is mandatory. The classification level should be the dedicated level for dedicated hosts and the system-high level for system-high and compartmented hosts. The accrediting authority flags should be one for all authorities which have accredited the hosts, and zero for all other authorities.
a。 出力。 オプションの使用は義務的です。 分類レベルは、ひたむきなホストにとって、ひたむきなレベルとシステム・ハイとcompartmentedホストのためのシステム・ハイレベルであるべきです。 権威がすべての当局のための1つがどれがホストを信任するか、そして、他のすべての当局のためのゼロであったなら旗を揚げさせる信任。
b. Input. If 1) the option is present, 2) the classification level matches the host classification level, and 3) the accrediting authority flags for all accrediting authorities of the receiving host are one, and all others are zero, the IP datagram should be accepted for further processing. Otherwise, the out- of-range procedure is followed.
b。 入力します。 1であるなら、)オプションは存在しています、そして、分類が平らにする2は)ホスト分類レベルに合っています、そして、信任権威が受信ホストの権限をすべて信任するために旗を揚げさせる3は)ものです、そして、すべての他のものがゼロである、さらなる処理のためにIPデータグラムを受け入れるべきです。 さもなければ、範囲の出ている手順は従われています。
9.3.15.3.4.3 Hosts accredited in the Multi-Level or Controlled Mode for network transmission.
9.3.15.3.4.3 ネットワーク送信のためのMulti-レベルで信任されたホストかControlled Mode。
a. Output. The use of the option is mandatory. The classification level of an IP datagram should be within the range of levels for which the host is accredited. The protection authorities flags should be one for all authorities under whose rules the datagram should be protected.
a。 出力。 オプションの使用は義務的です。 ホストが公認であるレベルの範囲の中にIPデータグラムの分類レベルがあるべきです。 保護当局旗はデータグラムが規則の下で保護されるべきであるすべての当局のためのものであるべきです。
b. Input. In the specific case where a multi-level or controlled host is accredited to directly interface with an unclassified environment, the host may accept IP datagrams without a basic security option. Such datagrams should be assumed to be implicitly labelled unclassified, GENSER, and should be so labelled explicitly if they are later output. In all other cases, the IP datagrams should have the basic security option on input, and the out-of-range procedure should be followed if it is not.
b。 入力します。 マルチレベルか制御ホストが直接非分類された環境に連結するように信任される特定の場合では、ホストは基本的なセキュリティオプションなしでIPデータグラムを受け入れるかもしれません。 そのようなデータグラムによってそれとなく非分類されているとラベルされると思われるべきです、GENSER、そして、それらが後で出力されるなら、明らかに非常にラベルされるべきです。 他のすべての場合では、IPデータグラムは基本的なセキュリティオプションを入力に持っているはずです、そして、それが従われていないなら、範囲で出ている手順は従われるべきです。
There are two cases to be considered where the option is present. The first case is where the system environment permits the values in the option to be trusted to be correct for some range of values; the second is where the values cannot be trusted to be correct. For each multi-level or controlled host, every input channel for IP datagrams must be considered and classed appropriately. If a channel does have a trusted range, then the values of both the classification level and the protection authorities are checked to insure that they fall within that range and the range of accredited values for the
オプションが出席している考えられる2つのケースがあります。 最初のケースはシステム環境がオプションにおける値が何らかの範囲の値に正しいと信じられることを許可するところです。 2番目は正しいと値を信じることができないところです。 それぞれのマルチレベルか制御ホストに関しては、適切にIPデータグラムのためのすべての入力チャンネルを考えられて、分類しなければなりません。 チャンネルには、信じられた範囲があって、その時は彼らが公認の値のその範囲と範囲の中で低下する分類レベルと保護当局が保障するためにチェックされる両方の値です。
St. Johns [Page 4] RFC 1038 Draft Revised IP Security Option January 1988
IPセキュリティオプション1988年1月に改訂された聖ジョーンズ[4ページ]RFC1038草稿
receiving host. If within both ranges, the IP datagram is accepted for further processing; otherwise the out-of-range procedure is followed. If the label cannot be trusted, then the receiving host must possess some accredited means of knowing what the correct marking should be (e.g., a trusted channel to a system-high host at a known level). On receipt of an IP datagram, the host compares the actual values in the option to the correct values. If the values match, the datagram is accepted for further processing; otherwise, the out-of-range procedure is followed.
ホストを受けます。 さらなる処理のために両方の範囲の中でIPデータグラムを受け入れるなら。 さもなければ、範囲で出ている手順は従われています。 ラベルを信じることができないなら、受信ホストには、正しいマークが何であるべきであるかを知るいくつかの公認の手段(例えば、知られているレベルにおけるシステム・ハイホストの信じられたチャンネル)がなければなりません。 IPデータグラムを受け取り次第、ホストはオプションにおける実価を正しい値にたとえます。 値が合っているなら、さらなる処理のためにデータグラムを受け入れます。 さもなければ、範囲で出ている手順は従われています。
9.3.15.3.4.4 Out-Of-Range Procedure.
9.3.15.3.4.4 範囲で出ている手順。
If an IP datagram is received which does not meet the input requirements, then:
IPデータグラムが受け取られているなら(次に、入力必要条件を満たしません):
a) The data field should be overwritten with ones.
a) データ・フィールドはもので上書きされるべきです。
b) If the problem is a missing required Basic or Extended security option, an ICMP "parameter problem" message is sent to the originating host with the code field set to 1 (one) to indicate "missing required option" and the pointer field set to the option type of the missing option. Otherwise, an ICMP "parameter problem" message is sent to the originating host with code field set to 0 (zero) and with the pointer field pointing to the position of the out-of-range security option.
b) 問題がなくなった必要なBasicかExtendedセキュリティオプションであるなら、1(1)に「なくなった必要なオプション」と指針分野がなくなったオプションのオプションタイプにセットするのを示すように設定されたコード分野をもっている送信元ホストにICMP「パラメタ問題」メッセージを送ります。 さもなければ、コード分野が0(ゼロ)に設定されていて指針分野が範囲で出ているセキュリティオプションの位置を示していて、ICMP「パラメタ問題」メッセージを送信元ホストに送ります。
c) If the receiving host has an interface to a local security officer or equivalent, the problem should be identified across that interface in an appropriate way.
c) 受信ホストが地方のセキュリティ担当責任者か同等物にインタフェースを持っているなら、問題はそのインタフェースの向こう側に適切な方法的に特定されるべきです。
9.3.15.3.4.5 Trusted Intermediary Procedure.
9.3.15.3.4.5 信じられた仲介者手順。
Certain devices in the internet may act as intermediaries to validate that communications between two hosts are authorized, based on a combination of knowledge of the hosts and the values in the IP security option. These devices may receive IP datagrams which are in range for the intermediate device, but are either not within the acceptable range for the sender, or for the ultimate receiver. In the former case, the datagram should be treated as described above for an out-of-range option. In the latter case, a "destination unreachable" ICMP message should be sent, with the code value of 10 (ten), indicating "Communication with Destination Host Administratively Prohibited".
インターネットにおける、あるデバイスは有効にする2人のホストのコミュニケーションがそうである仲介者として認可されているのに作動するかもしれません、ホストに関する知識の組み合わせとIPセキュリティオプションにおける値に基づいて。 これらのデバイスは、中間的デバイスのために範囲にあるIPデータグラムを受けるかもしれませんが、送付者にとって、許容できる範囲、またはいずれの究極の受信機のためのものではありません。前の場合では、データグラムは範囲で出ているオプションのために上で説明されるように扱われるべきです。 後者の場合では、「目的地手の届かない」ICMPメッセージを送るべきです、10(10)のコード値で、「行政上禁止されているあて先ホストとのコミュニケーション」を示して。
St. Johns [Page 5] RFC 1038 Draft Revised IP Security Option January 1988
IPセキュリティオプション1988年1月に改訂された聖ジョーンズ[5ページ]RFC1038草稿
9.3.15.4 DoD Extended Security Option
9.3.15.4 DoDはセキュリティオプションを広げました。
Option type: 133 Option length: variable
オプションタイプ: 133 オプションの長さ: 変数
This option permits additional security related information, beyond that present in the Basic Security Option, to be supplied in an IP datagram to meet the needs of registered authorities. If this option is required by an authority for a specific system, it must be specified explicitly in any Request for Proposal. It is not otherwise required. This option must be copied on fragmentation. This option may appear multiple times within a datagram.
このオプションは、登録された当局の需要を満たすためにIPデータグラムで供給するためにBasic Security Optionでのそのプレゼントを超えた関連する情報を追加担保に可能にします。 このオプションが特定のシステムのために権威によって必要とされるなら、どんなRequestでも明らかにProposalにそれを指定しなければなりません。 それは別の方法で必要ではありません。 断片化のときにこのオプションをコピーしなければなりません。 このオプションはデータグラムの中に複数の回現れるかもしれません。
The format for this option is as follows:
このオプションのための形式は以下の通りです:
+------------+-------------+-------------+--------//-------+ | 10000101 | 000LLLLL | AAAAAAAA | add sec info | +------------+-------------+-------------+--------//-------+ type = 133 LENGTH = Var. ADDITIONAL ADDITIONAL SECURITY SECURITY INFO INFO AUTHORITY CODE
+------------+-------------+-------------+--------//-------+ | 10000101 | 000LLLLL| AAAAAAAA| 秒を加えてください、インフォメーション| +------------+-------------+-------------+--------//-------+ タイプ=133LENGTH=var. 追加追加担保セキュリティインフォメーションインフォメーション権威コード
FIGURE 10-B.
図10-B。
9.3.15.4.1 Additional Security Info Authority Code.
9.3.15.4.1 追加担保インフォメーション権威コード。
length = 8 bits
8長さ=ビット
The values of this field are assigned by DCA Code R130, Washington, D.C. 20305-2000. Each value corresponds to a requestor who, once assigned, becomes the authority for the remainder of the option definition for that value.
この分野の値はDCA Code R130、ワシントンDC20305-2000によって割り当てられます。 各値はその値のためのオプション定義の残りのための権威に一度割り当てられた状態でなる要請者に文通されます。
9.3.15.4.2 Additional Security Information.
9.3.15.4.2 追加担保情報。
length - variable
長さ--変数
This field contains any additional security information as specified by the authority.
この分野は指定されるとしての権威によるどんな追加担保情報も含んでいます。
St. Johns [Page 6] RFC 1038 Draft Revised IP Security Option January 1988
IPセキュリティオプション1988年1月に改訂された聖ジョーンズ[6ページ]RFC1038草稿
BIT NUMBER AUTHORITY
噛み付いている数の権威
0 GENSER
0 GENSER
1 SIOP
1 SIOP
2 DSCCS-SPINTCOM
2 DSCCS-SPINTCOM
3 DSCCS-CRITICOM
3 DSCCS-CRITICOM
4-7 Unassigned
4-7 割り当てられません。
AUTHORITY SOURCE OF ANNEX DESCRIBING CURRENT CODING OF ADDITIONAL SECURITY INFORMATION
追加担保情報の現在のコード化について説明する別館の権威源
GENSER National Access Program, less SIOP Defense Communications Agency ATTN: Code R130 Washington, DC 20305
GENSER National Access Program、より少ないSIOP Defense Communications Agency ATTN: R130ワシントン、DC 20305をコード化してください。
SIOP National Access Program Department of Defense Organization of the Joint Chiefs of Staff Attn: J6T Washington, DC
統合参謀本部AttnのSIOPの国家のアクセスプログラム国防総省組織: J6Tワシントン(DC)
DSCCS-SPINTCOM National Access Program Defense Intelligence Agency Attn: DSE4 Bolling AFB, MD
DSCCS-SPINTCOMの国家のアクセスプログラム国防情報庁Attn: DSE4 Bolling AFB、MD
DSCCS-CRITICOM National Access Program National Security Agency 9800 Savage Road Attn: T03 Ft. Meade, MD 20755-6000
DSCCS-CRITICOMの国家のアクセスプログラム国家安全保障局9800サヴェージ道路Attn: T03フィート ミード、MD20755-6000
St. Johns [Page 7]
聖ジョーンズ[7ページ]
一覧
スポンサーリンク