RFC1108 日本語訳
1108 U.S. Department of Defense Security Options for the InternetProtocol. S. Kent. November 1991. (Format: TXT=41791 bytes) (Obsoletes RFC1038) (Status: HISTORIC)
プログラムでの自動翻訳です。
RFC一覧
英語原文
Network Working Group S. Kent Request for Comments: 1108 BBN Communications Obsoletes: RFC 1038 November 1991
コメントを求めるワーキンググループS.ケント要求をネットワークでつないでください: 1108のBBNコミュニケーションが以下を時代遅れにします。 RFC1038 1991年11月
U.S. Department of Defense
Security Options for the Internet Protocol
インターネットプロトコルのための米国国防総省のセキュリティオプション
Status of this Memo
このMemoの状態
This RFC specifies an IAB standards track protocol for the Internet community, and requests discussion and suggestions for improvements. Please refer to the current edition of the "IAB Official Protocol Standards" for the standardization state and status of this protocol. Distribution of this memo is unlimited.
このRFCはIAB標準化過程プロトコルをインターネットコミュニティに指定して、改良のために議論と提案を要求します。 このプロトコルの標準化状態と状態の「IABの公式のプロトコル標準」の現行版を参照してください。 このメモの分配は無制限です。
Abstract
要約
This RFC specifies the U.S. Department of Defense Basic Security Option and the top-level description of the Extended Security Option for use with the Internet Protocol. This RFC obsoletes RFC 1038 "Revised IP Security Option", dated January 1988.
このRFCはExtended Security Optionの米国国防総省Basic Security Optionとトップレベル記述をインターネットプロトコルとの使用に指定します。 このRFCは1988年1月付けのRFC1038「改訂されたIPセキュリティオプション」を時代遅れにします。
1. DoD Security Options Defined
1. オプションが定義したDoDセキュリティ
The following two internet protocol options are defined for use on Department of Defense (DoD) common user data networks:
以下の2つのインターネットプロトコルオプションが国防総省(DoD)の一般的なユーザデータ網における使用のために定義されます:
CF CLASS # TYPE LENGTH DESCRIPTION
Cfのクラス#は長さの記述をタイプします。
1 0 2 130 var. DoD Basic Security: Used to carry the
classification level and protection
authority flags.
1 0 2の130var. DoDの基本的なセキュリティ: 分類レベルを運ぶのにおいて中古、そして、保護権威は弛みます。
1 0 5 133 var. DoD Extended Security: Used to carry
additional security information as
required by registered authorities.
1 0 5の133var. DoDはセキュリティを広げました: 必要に応じて登録された当局で追加担保情報を運ぶのにおいて、使用されています。
CF = Copy on Fragmentation
Cfは断片化のときにコピーと等しいです。
2. DoD Basic Security Option
2. DoDの基本的なセキュリティオプション
This option identifies the U.S. classification level at which the datagram is to be protected and the authorities whose protection rules apply to each datagram.
このオプションはデータグラムが保護されることになっている米国分類レベルと保護規則が各データグラムに適用される当局を特定します。
Kent [Page 1] RFC 1108 U.S. DOD Security Option November 1991
ケント[1ページ]RFC1108米国DODセキュリティオプション1991年11月
This option is used by end systems and intermediate systems of an internet to:
以下では、このオプションがインターネットのエンドシステムと中間システムによって使用されて、ことにします。
a. Transmit from source to destination in a network standard
representation the common security labels required by computer
security models,
a。 共通の安全保障ラベルがコンピュータセキュリティモデルで必要としたネットワークの標準の表現でソースから目的地まで伝わってください。
b. Validate the datagram as appropriate for transmission from
the source and delivery to the destination,
b。 ソースと配送から目的地までのトランスミッションのために適宜データグラムを有効にしてください。
c. Ensure that the route taken by the datagram is protected to
the level required by all protection authorities indicated on
the datagram. In order to provide this facility in a general
Internet environment, interior and exterior gateway protocols
must be augmented to include security label information in
support of routing control.
c。 データグラムによって取られたルートがデータグラムの上に示されたすべての保護当局によって必要とされたレベルに保護されるのを確実にしてください。 一般的なインターネット環境にこの施設を提供して、内部の、そして、外のゲートウェイプロトコルは、ルーティングコントロールを支持して機密保護ラベル情報を含むように増大しなければなりません。
The DoD Basic Security option must be copied on fragmentation. This option appears at most once in a datagram. Some security systems require this to be the first option if more than one option is carried in the IP header, but this is not a generic requirement levied by this specification.
断片化のときにDoD Basic Securityオプションをコピーしなければなりません。 このオプションはデータグラムに高々一度現れます。 1つ以上のオプションがIPヘッダーで運ばれるなら、いくつかのセキュリティシステムが、これが第1の選択であることを必要としますが、これはこの仕様で徴収されたジェネリック要件ではありません。
The format of the DoD Basic Security option is as follows:
DoD Basic Securityオプションの形式は以下の通りです:
+------------+------------+------------+-------------//----------+
| 10000010 | XXXXXXXX | SSSSSSSS | AAAAAAA[1] AAAAAAA0 |
| | | | [0] |
+------------+------------+------------+-------------//----------+
TYPE = 130 LENGTH CLASSIFICATION PROTECTION
LEVEL AUTHORITY
FLAGS
+------------+------------+------------+-------------//----------+ | 10000010 | XXXXXXXX| SSSSSSSS| AAAAAAA[1] AAAAAAA0| | | | | [0] | +------------+------------+------------+-------------//----------130個の長さの分類保護レベル権威+ タイプ=旗
FIGURE 1. DoD BASIC SECURITY OPTION FORMAT
図1 DoDの基本的なセキュリティオプション形式
2.1. Type
2.1. タイプ
The value 130 identifies this as the DoD Basic Security Option.
値130は、これがDoD Basic Security Optionであると認識します。
2.2. Length
2.2. 長さ
The length of the option is variable. The minimum length of the option is 3 octets, including the Type and Length fields (the Protection Authority field may be absent). A length indication of less than 3 octets should result in error processing as described in Section 2.8.1.
オプションの長さは可変です。 オプションの最小の長さは3つの八重奏です、TypeとLength分野を含んでいて(Protection Authority分野は欠けているかもしれません)。 3つ未満の八重奏の長さのしるしはセクション2.8.1で説明されるようにエラー処理をもたらすべきです。
Kent [Page 2] RFC 1108 U.S. DOD Security Option November 1991
ケント[2ページ]RFC1108米国DODセキュリティオプション1991年11月
2.3. Classification Level
2.3. 分類レベル
Field Length: One Octet
長さをさばいてください: 1つの八重奏
This field specifies the (U.S.) classification level at which the datagram must be protected. The information in the datagram must be protected at this level. The field is encoded as shown in Table 1 and the order of values in this table defines the ordering for comparison purposes. The bit string values in this table were chosen to achieve a minimum Hamming distance of four (4) between any two valid values. This specific assignment of classification level names to values has been defined for compatibility with security devices which have already been developed and deployed.
この分野はデータグラムを保護しなければならない(米国)分類レベルを指定します。 このレベルでデータグラムの情報を保護しなければなりません。 分野はTable1に示されるようにコード化されます、そして、このテーブルでの値の注文は比較目的のための注文を定義します。 このテーブルのビット列値は、最小のハミング距離を達成するためにどんな2つの有効値の間の4(4)について選ばれました。 値への分類レベル名のこの特定の課題は既に開発されて、配布されたセキュリティデバイスとの互換性のために定義されました。
"Reserved" values in the table must be treated as invalid until such time they are assigned to named classification levels in a successor to this document. A datagram containing a value for this field which is either not in this table or which is listed as "reserved" is in error and must be processed according to the "out-of-range" procedures defined in section 2.8.1.
それらが割り当てられるそのような時間がこのドキュメントの後継者のレベルと分類を命名するまで、テーブルの「予約された」値を病人として扱わなければなりません。 このあるか、または「予約される」ようにどちらかこのテーブルでないところに記載された分野への値を含むデータグラムを、間違って、「範囲の外」というセクション2.8.1で定義された手順によると、処理しなければなりません。
A classification level value from the Basic Security Option in a datagram may be checked for equality against any of the (assigned) values in Table 1 by performing a simple bit string comparison. However, because of the sparseness of the classification level encodings, range checks involving a value from this field must not be performed based solely using arithmetic comparisons (as such comparisons would encompass invalid and or unassigned values within the range). The details of how ordered comparisons are performed for this field within a system is a local matter, subject to the requirements set forth in this paragraph.
データグラムのBasic Security Optionからの分類レベル価値は、平等がないかどうか簡単なビット列比較を実行することによって、Table1の(割り当てられます)値のどれかに対してチェックされるかもしれません。 または、そして、しかしながら、分類レベルencodingsの希薄性のために、唯一算術比較を使用することでベースでこの分野から値を伴う範囲検査を実行してはいけない、(そのような比較が病人を取り囲むだろう、範囲の中の割り当てられなかった値) 命令された比較がシステムの中でどうこの分野に実行されるかに関する詳細はこのパラグラフで詳しく説明された要件を条件とした地域にかかわる事柄です。
Table 1. Classification Level Encodings
1を見送ってください。 分類レベルEncodings
Value Name
値の名
00000001 - (Reserved 4)
00111101 - Top Secret
01011010 - Secret
10010110 - Confidential
01100110 - (Reserved 3)
11001100 - (Reserved 2)
10101011 - Unclassified
11110001 - (Reserved 1)
00000001--(4を予約します) 00111101--最高機密01011010--秘密10010110--秘密の01100110--(3を予約します)11001100--(2を予約します)10101011--Unclassified11110001、-(予約された1)
Kent [Page 3] RFC 1108 U.S. DOD Security Option November 1991
ケント[3ページ]RFC1108米国DODセキュリティオプション1991年11月
2.4. Protection Authority Flags
2.4. 保護権威旗
Field Length: Variable
長さをさばいてください: 変数
This field identifies the National Access Programs or Special Access Programs which specify protection rules for transmission and processing of the information contained in the datagram. Note that protection authority flags do NOT represent accreditation authorities, though the semantics are superficially similar. In order to maintain architectural consistency and interoperability throughout DoD common user data networks, users of these networks should submit requirements for additional Protection Authority Flags to DISA DISDB, Washington, D.C. 20305-2000, for review and approval. Such review and approval should be sought prior to design, development or deployment of any system which would make use of additional facilities based on assignment of new protection authority flags. As additional flags are approved and assigned, they will be published, along with the values defined above, in the Assigned Numbers RFC edited by the Internet Assigned Numbers Authority (IANA).
この分野はデータグラムに含まれた情報のトランスミッションと処理のための保護規則を指定するNational Access ProgramsかSpecial Access Programsを特定します。 意味論は表面的に同様ですが、保護権威旗が認可当局の代理をしないことに注意してください。 DoDの一般的なユーザデータ網中で建築一貫性と相互運用性を維持するために、これらのネットワークのユーザは追加Protection Authority Flagsのための要件をDISA DISDBに提出するべきです、ワシントンDC20305-2000、レビューと承認のために。 そのようなレビューと承認は新しい保護権威旗の課題に基づく追加の便宜供与を利用するどんなシステムのデザイン、開発または展開の前にも求められるべきです。 追加旗が承認されて、割り当てられるとき、それらは発行されるでしょう、上で定義された値と共に、インターネットAssigned民数記Authority(IANA)によって編集されたAssigned民数記RFCで。
a. Field Length: This field is variable in length. The low-
order bit (Bit 7) of each octet is encoded as "0" if it is the
final octet in the field or as "1" if there are additional
octets. Initially, only one octet is required for this field
(because there are fewer than seven authorities defined), thus
the final bit of the first octet is encoded as "0". However,
minimally compliant implementations must be capable of
processing a protection authority field consisting of at least 2
octets (representing up to 14 protection authorities).
Implementations existing prior to the issuance of this RFC, and
which process fewer protection authority than specified here,
will be considered minimally compliant so long as such
implementations process the flags in accordance with the RFC.
This field must be a minimally encoded representation, i.e., no
trailing all-zero octets should be emitted. If the length of
this field as indicated by this extensible encoding is not
consistent with the length field for the option, the datagram is
in error and the procedure described in Section 2.8.1 must be
followed. (Figure 2 illustrates the relative significance of
the bits within an octet).
a。 長さをさばいてください: この分野は長さで可変です。 それぞれの八重奏の低オーダービット(ビット7)がコード化される、「それであるなら、分野か「そこであるなら、1インチは追加八重奏である」ので0インチは最終的な八重奏です。 初めは、1つの八重奏だけがこの分野に必要です(定義された7つ未満の当局があるので)、その結果、最初の八重奏の最終的なビットは「0インチ」としてコード化されます。 しかしながら、最少量で対応することの実装は少なくとも2つの八重奏から成る保護権威分野を処理できなければなりません(最大14の保護当局の代理をして)。 RFCによると、そのような実装が旗を処理する限り、ここで指定されるより少ない保護権威を処理するこのRFCの発行の前に存在する実装は最少量で言いなりになると考えられるでしょう。 この分野が最少量でコード化された表現であるに違いない、すなわち、引きずっているオールゼロ八重奏を全く放つべきではありません。 オプションにおいて、示されるとしてのこの広げることができるコード化によるこの分野の長さが長さの分野と一致していないなら、データグラムは間違っています、そして、セクション2.8.1で説明された手順に従わなければなりません。 (図2は八重奏の中でビットの相対的な意味を例証します。)
0 1 2 3 4 5 6 7
+---+---+---+---+---+---+---+---+
High-order | | | | | | | | | Low-order
+---+---+---+---+---+---+---+---+
0 1 2 3 4 5 6 7 +---+---+---+---+---+---+---+---+ 高位| | | | | | | | | 下位+---+---+---+---+---+---+---+---+
Figure 2. Significance of Bits
図2。 ビットの意味
Kent [Page 4] RFC 1108 U.S. DOD Security Option November 1991
ケント[4ページ]RFC1108米国DODセキュリティオプション1991年11月
b. Source Flags: The first seven bits (Bits 0 through 6) in
each octet are flags. Each flag is associated with an
authority. Protection Authority flags currently assigned are
indicated in Table 2. The bit corresponding to an authority is
"1" if the datagram is to be protected in accordance with the
rules of that authority. More than one flag may be present in a
single instance of this option if the data contained in the
datagram should be protected according to rules established by
multiple authorities. Table 3 identifies a point of contact for
each of the authorities listed in Table 2. No "unassigned" bits
in this or other octets in the Protection Authority Field shall
be considered valid Protection Authority flags until such time
as such bits are assigned and the assignments are published in
the Assigned Numbers RFC. Thus a datagram containing flags for
unassigned bits in this field for this option is in error and
must be processed according to the "out-of-range" procedures
defined in section 2.8.1.
b。 ソース旗: 各八重奏における最初の7ビット(ビット0〜6)は旗です。 それぞれの旗は権威に関連しています。 現在割り当てられている保護Authority旗はTable2で示されます。 権威に対応するビットは「その権威の規則に従って、1インチはデータグラムであるなら保護されることになっています」です。 複数の当局によって確立された規則に従ってデータグラムに含まれたデータが保護されるなら、1個以上の旗がこのオプションのただ一つのインスタンスで存在しているかもしれません。 テーブル3はTable2に記載された当局の各人のために連絡先を特定します。 そのようなビットが割り当てられるような時間と課題がAssigned民数記RFCで発表されるまで、有効なProtection Authority旗であるとProtection Authority Fieldのこれか他の八重奏における「割り当てられなかった」ビットを全く考えないものとします。 したがって、このオプションのためのこの分野に割り当てられなかったビット旗を保管しているデータグラムを、間違って、「範囲の外」というセクション2.8.1で定義された手順によると、処理しなければなりません。
Two protection authority flag fields can be compared for
equality (=) via simple bit string matching. No relative
ordering between two protection authority flag fields is
defined. Because these flags represent protection authorities,
security models such as Bell-LaPadula do not apply to
interpretation of this field. However, the symbol "=<" refers
to set inclusion when comparing a protection authority flag
field to a set of such fields. Means for effecting these tests
within a system are a local matter, subject to the requirements
set forth in this paragraph.
平等(=)のために簡単なビット列マッチングで2つの保護権威旗の分野を比較できます。 2つの保護権威旗の分野の間で注文する親類が全く定義されません。 これらの旗が保護当局の代理をするので、ベル-LaPadulaなどの機密保護モデルはこの分野の解釈に適用しません。 しかしながら、保護権威旗の分野を1セットのそのような分野にたとえるとき、「<と等しい」というシンボルはセット包含について言及します。 システムの中でこれらのテストに作用するための手段はこのパラグラフで詳しく説明された要件を条件とした地域にかかわる事柄です。
Table 2 - Protection Authority Bit Assignments
テーブル2--保護権威ビット課題
BIT
NUMBER AUTHORITY
噛み付いている数の権威
0 GENSER
0 GENSER
1 SIOP-ESI
1 SIOP-ESI
2 SCI
2 SCI
3 NSA
3 NSA
4 DOE
4 ドウ
5, 6 Unassigned
5、割り当てられなかった6
7 Field Termination Indicator
7分野終了インディケータ
Kent [Page 5] RFC 1108 U.S. DOD Security Option November 1991
ケント[5ページ]RFC1108米国DODセキュリティオプション1991年11月
Table 3 - Protection Authority Points of Contact
テーブル3--保護権威連絡先
AUTHORITY POINT OF CONTACT
権威連絡先
GENSER Designated Approving Authority
per DOD 5200.28
DOD5200.28あたりの承認している権威に指定されたGENSER
SIOP-ESI Department of Defense
Organization of the
Joint Chiefs of Staff
Attn: J6
Washington, DC 20318-6000
統合参謀本部AttnのSIOP-ESI国防総省組織: J6ワシントン、DC20318-6000
SCI Director of Central Intelligence
Attn: Chairman, Information
Handling Committee, Intelligence
Community Staff
Washington, D.C. 20505
SCI中央情報局長官Attn: 情報取り扱い委員会、情報機関スタッフワシントンDC20505の議長
NSA National Security Agency
9800 Savage Road
Attn: T03
Ft. Meade, MD 20755-6000
NSA国家安全保障局9800サヴェージ道路Attn: T03フィート ミード、MD20755-6000
DOE Department of Energy
Attn: DP343.2
Washington, DC 20545
DOEエネルギー省Attn: DP343.2ワシントン、DC 20545
2.5. System Security Configuration Parameters
2.5. システムセキュリティ設定パラメタ
Use of the Basic Security Option (BSO) by an end or intermediate system requires that the system configuration include the parameters described below. These parameters are critical to secure processing of the BSO, and thus must be protected from unauthorized modification. Note that compliant implementations must allow a minimum of 14 distinct Protection Authority flags (consistent with the Protection Authority field size defined in Section 2.4) to be set independently in any parameter involving Protection Authority flag fields.
終わりか中間システムによるBasic Security Option(BSO)の使用は、システム構成が以下で説明されたパラメタを含んでいるのを必要とします。 これらのパラメタをBSOの処理を保証するために重要であり、その結果、権限のない変更から保護しなければなりません。 対応する実装が、Protection Authority旗の分野にかかわるどんなパラメタも独自に最低14個の異なったProtection Authority旗(セクション2.4で定義されるProtection Authority分野サイズと一致した)にはめ込まれるのを許容しなければならないことに注意してください。
a. SYSTEM-LEVEL-MAX: This parameter specifies the highest
Classification Level (see Table 1) which may be present in the
classification level field of the Basic Security Option in any
datagram transmitted or received by the system.
a。 システムの平らなマックス: このパラメタはシステムによって送られるか、または受け取られたどんなデータグラムでもBasic Security Optionの分類レベル分野で存在するかもしれない最も高いClassification Level(Table1を見る)を指定します。
b. SYSTEM-LEVEL-MIN: This parameter specifies the lowest
Classification Level (see Table 1) which may be present in the
classification level field of the Basic Security Option in any
b。 システムレベル分: このパラメタはいずれでもBasic Security Optionの分類レベル分野で存在するかもしれない最も低いClassification Level(Table1を見る)を指定します。
Kent [Page 6] RFC 1108 U.S. DOD Security Option November 1991
ケント[6ページ]RFC1108米国DODセキュリティオプション1991年11月
datagram transmitted by the system.
データグラムはシステムによって送られました。
c. SYSTEM-AUTHORITY-IN: This parameter is a set, each member of
which is a Protection Authority flag field. The set enumerates
all of the Protection Authority flag fields which may be present
in the Protection Authority field of the Basic Security Option
in any datagram received by this system. A compliant
implementation must be capable of representing at least 256
distinct Protection Authority flag fields (each field must be
capable of representing 14 distinct Protection Authority flags)
in this set. Each element of the enumerated set may be a
combination of multiple protection authority flags.
c。 システムAUTHORITY IN: このパラメタはセットです。それの各メンバーはProtection Authority旗の分野です。 セットはこのシステムによって受け取られたどんなデータグラムでもBasic Security OptionのProtection Authority分野で存在するかもしれないProtection Authority旗の分野のすべてを列挙します。 対応する実装はこのセットで少なくとも256の異なったProtection Authority旗の分野を表すことができなければなりません(それぞれの分野は14個の異なったProtection Authority旗を表すことができなければなりません)。 列挙されたセットの各要素は多重防護権威旗の組み合わせであるかもしれません。
Set elements representing multiple Protection Authorities are
formed by ORing together the flags that represent each
authority. Thus, for example, a set element representing
datagrams to be protected according to NSA and SCI rules might
be represented as "00110000" while an element representing
protection mandated by NSA, DOE and SIOP-ESI might be
represented as "01011000". (These examples illustrate 8-bit set
elements apropos the minimal encodings for currently defined
Protection Authority flags. If additional flags are defined
beyond the first byte of the Protection Authority Field, longer
encodings for set elements may be required.)
複数のProtection Authoritiesを表すセット要素がORingによって一緒に形成されます。各権威を表す旗。 このようにして、例えば、NSA、ドウ、およびSIOP-ESIによって強制された保護を表す要素は「01011000」として表されるかもしれませんが、NSAによると、保護されるためにデータグラムを表すセット要素とSCI規則は「00110000」として表されるかもしれません。 (これらの例は8ビットのセット要素を例証します。適切に、現在の最小量のencodingsはProtection Authority旗を定義しました。 追加旗がProtection Authority Fieldの最初のバイトを超えて定義されるなら、セット要素のための、より長いencodingsが必要であるかもしれません。)
It is essential that implementations of the Internet Protocol
Basic Security Option provide a convenient and compact way for
system security managers to express which combinations of flags
are allowed. The details of such an interface are outside the
scope of this RFC, however, enumeration of bit patterns is NOT a
recommended interface. As an alternative, one might consider a
notation of the form COMB(GENSER,NSA,SCI)+COMB(SIOP-ESI,NSA,SCI)
in which "COMB" means ANY combination of the flags referenced as
parameters of the COMB function are allowed and "+" means "or".
インターネットプロトコルBasic Security Optionの実装が旗のどの組み合わせが許されているかを言い表すためにシステムセキュリティマネージャに便利でコンパクトな道で備えるのは、不可欠です。 このRFCの範囲の外にそのようなインタフェースの詳細があって、しかしながら、ビット・パターンの列挙はお勧めのインタフェースではありません。 代替手段として、人は+ フォームCOMB(GENSER、NSA、SCI)の記法がくしの機能のパラメタが許容されているのでどの「くし」が何か旗の組み合わせを意味するかで参照をつけられるCOMB(SIOP-ESI、NSA、SCI)であり、「+」 手段が“or"であると考えるかもしれません。
d. SYSTEM-AUTHORITY-OUT: This parameter is a set, each member
of which is a Protection Authority flag field. The set
enumerates all of the Protection Authority flag fields which may
be present in the Protection Authority field of the Basic
Security Option in any datagram transmitted by this system. A
compliant implementation must be capable of representing at
least 256 distinct Protection Authority flag fields in this set.
Explicit enumeration of all authorized Protection Authority
field flags permits great flexibility, and in particular does
not impose set inclusion restrictions on this parameter.
d。 システム権威アウト: このパラメタはセットです。それの各メンバーはProtection Authority旗の分野です。 セットはこのシステムによって送られたどんなデータグラムでもBasic Security OptionのProtection Authority分野で存在するかもしれないProtection Authority旗の分野のすべてを列挙します。 対応する実装はこのセットの少なくとも256の異なったProtection Authority旗の分野を表すことができなければなりません。 すべての認可されたProtection Authority分野旗の明白な列挙は、かなりの柔軟性を可能にして、セット包含制限をこのパラメタに特に課しません。
The following configuration parameters are defined for each network port present on the system. The term "port" is used here to refer
以下の設定パラメータはシステムの上の現在のそれぞれのネットワークポートと定義されます。 「移植」という用語は、参照するのにここで使用されます。
Kent [Page 7] RFC 1108 U.S. DOD Security Option November 1991
ケント[7ページ]RFC1108米国DODセキュリティオプション1991年11月
either to a physical device interface (which may represent multiple IP addresses) or to a single IP address (which may be served via multiple physical interfaces). In general the former interpretation will apply and is consistent with the Trusted Network Interpretation of the Trusted Computer Systems Evaluation Criteria (TNI) concept of a "communications channel" or "I/O device." However, the latter interpretation also may be valid depending on local system security capabilities. Note that some combinations of port parameter values are appropriate only if the port is "single level," i.e., all data transmitted or received via the port is accurately characterized by exactly one Classification Level and Protection Authority Flag field.
フィジカル・デバイスインタフェース(複数のIPアドレスを表すかもしれない)、または、ただ一つのIPアドレス(複数の物理インターフェースを通して役立たれるかもしれない)に。 一般に、前の解釈は、適用して、「コミュニケーションチャンネル」か「入出力デバイス」のTrustedコンピュータシステムズEvaluation Criteria(TNI)概念のTrusted Network Interpretationと一致しています。 しかしながら、ローカルシステムセキュリティ能力によって、後者の解釈も有効であるかもしれません。 ポートパラメタ値のいくつかの組み合わせがポートが「ただ一つのレベル」である場合にだけ適切であるというメモ、ポートを通して送られるか、または受け取られたすなわちすべてのデータがちょうどClassification LevelとProtection Authority Flagがさばく1つ時までに正確に特徴付けられます。
e. PORT-LEVEL-MAX: This parameter specifies the highest
Classification Level (see Table 1) which may be present in the
classification level field of the Basic Security Option in any
datagram transmitted or received by the system via this network
port.
e。 ポートの平らなマックス: このパラメタはこのネットワークポートを通してシステムによって送られるか、または受け取られたどんなデータグラムでもBasic Security Optionの分類レベル分野で存在するかもしれない最も高いClassification Level(Table1を見る)を指定します。
f. PORT-LEVEL-MIN: This parameter specifies the lowest
Classification Level (see Table 1) which may be present in the
classification level field of the Basic Security Option in any
datagram transmitted by the system via this network port.
f。 ポート平らな分: このパラメタはこのネットワークポートを通してシステムによって送られたどんなデータグラムでもBasic Security Optionの分類レベル分野で存在するかもしれない最も低いClassification Level(Table1を見る)を指定します。
g. PORT-AUTHORITY-IN: This parameter is a set each member of
which is a Protection Authority flag field. The set enumerates
all of the Protection Authority flag fields which may be present
in the Protection Authority field of the Basic Security Option
in any datagram received via this port. A compliant
implementation must be capable of representing at least 256
distinct Protection Authority flag fields in this set.
g。 権威を中に移植してください: このパラメタはそれの各メンバーがProtection Authority旗の分野であるセットです。 セットはこのポートを通して受け取られたどんなデータグラムでもBasic Security OptionのProtection Authority分野で存在するかもしれないProtection Authority旗の分野のすべてを列挙します。 対応する実装はこのセットの少なくとも256の異なったProtection Authority旗の分野を表すことができなければなりません。
h. PORT-AUTHORITY-OUT: This parameter is a set each member of
which is a Protection Authority flag field. The set enumerates
all of the Protection Authority flag fields which may be present
in the Protection Authority field of the Basic Security Option
in any datagram transmitted via this port. A compliant
implementation must be capable of representing at least 256
distinct Protection Authority flag fields in this set.
h。 権威を外に移植してください: このパラメタはそれの各メンバーがProtection Authority旗の分野であるセットです。 セットはこのポートを通して送られたどんなデータグラムでもBasic Security OptionのProtection Authority分野で存在するかもしれないProtection Authority旗の分野のすべてを列挙します。 対応する実装はこのセットの少なくとも256の異なったProtection Authority旗の分野を表すことができなければなりません。
i. PORT-AUTHORITY-ERROR: This parameter is a single Protection
Authority flag field assigned to transmitted ICMP error messages
(see Section 2.8). The PORT-AUTHORITY-ERROR value is selected
from the set of values which constitute PORT-AUTHORITY-OUT.
Means for selecting the PORT-AUTHORITY-ERROR value within a
system are a local matter subject to local security policies.
i。 ポート権威誤り: このパラメタは伝えられたICMPエラーメッセージに割り当てられたただ一つのProtection Authority旗の分野(セクション2.8を見る)です。 PORT-AUTHORITY-ERROR値はPORT-AUTHORITY-OUTを構成する値のセットから選択されます。 システムの中でPORT-AUTHORITY-ERROR値を選択するための手段はローカルの安全保障政策を条件とした地域にかかわる事柄です。
j. PORT-IMPLICIT-LABEL: This parameter specifies a single
Classification Level and a Protection Authority flag field
j。 ポートの内在しているラベル: このパラメタは独身のClassification LevelとProtection Authority旗の分野を指定します。
Kent [Page 8] RFC 1108 U.S. DOD Security Option November 1991
ケント[8ページ]RFC1108米国DODセキュリティオプション1991年11月
(which may be null) to be associated with all unlabelled
datagrams received via the port. This parameter is meaningful
only if PORT-BSO-REQUIRED-RECEIVE = FALSE, otherwise receipt of
an unlabelled datagram results in an error response.
(ヌルであるかもしれません) 非ラベルされるすべてに関連しているように、データグラムはポートを通して受信されました。 PORT-BSO-REQUIRED-RECEIVEがFALSEと等しい場合にだけこのパラメタが重要である、さもなければ、非ラベルされたデータグラムの領収書は誤り応答をもたらします。
k. PORT-BSO-REQUIRED-RECEIVE: This parameter is a boolean which
indicates whether all datagrams received via this network port
must contain a Basic Security Option.
k。 必要であるポートBSOは受信します: このパラメタはこのネットワークポートを通して受け取られたすべてのデータグラムがBasic Security Optionを含まなければならないかどうかを示す論理演算子です。
l. PORT-BSO-REQUIRED-TRANSMIT: This parameter is a boolean
which indicates whether all datagrams transmitted via this
network port must contain a Basic Security Option. If this
parameter is set to FALSE, then PORT-BSO-REQUIRED-RECEIVE should
also be set to FALSE (to avoid communication failures resulting
from asymmetric labelling constraints).
l。 必要であるポートBSOは伝わります: このパラメタはこのネットワークポートを通して送られたすべてのデータグラムがBasic Security Optionを含まなければならないかどうかを示す論理演算子です。 また、このパラメタがFALSEに設定されるなら、PORT-BSO-REQUIRED-RECEIVEはFALSE(非対称のラベル規制から生じる通信障害を避ける)に用意ができるべきです。
In every intermediate or end system, the following relationship must hold for these parameters for all network interfaces. The symbol ">=" is interpreted relative to the linear ordering defined for security levels specified in Section 2.3 for the "LEVEL" parameters, and as set inclusion for the "AUTHORITY" parameters.
あらゆる中間介在物かエンドシステムでは、以下の関係はすべてのネットワーク・インターフェースのためのこれらのパラメタに当てはまらなければなりません。 シンボル「>=」は「平らな」パラメタ、「権威」パラメタのための包含を設定するときセクション2.3で指定されたセキュリティー・レベルのために定義された線形順序に比例して解釈されます。
SYSTEM-LEVEL-MAX >= PORT-LEVEL-MAX >=
PORT-LEVEL-MIN >= SYSTEM-LEVEL-MIN
システムレベルポート平らな分ポートの平らなマックスシステムレベル最大>=>=>=分
SYSTEM-AUTHORITY-IN >= PORT-AUTHORITY-IN
and
SYSTEM-AUTHORITY-OUT >= PORT-AUTHORITY-OUT
ポートAUTHORITY INとシステム権威アウトシステムAUTHORITY IN>=>はポート権威アウトと等しいです。
2.6. Configuration Considerations
2.6. 構成問題
Systems which do not maintain separation for different security classification levels of data should have only trivial ranges for the LEVEL parameters, i.e., SYSTEM-LEVEL-MAX = PORT-LEVEL-MAX = PORT- LEVEL-MIN = SYSTEM-LEVEL-MIN.
異なったセキュリティ分類レベルに関するデータのための分離を維持しないシステムはLEVELパラメタ(PORT-LEVEL-マックス=すなわち、SYSTEM-LEVEL-マックス=PORT- LEVEL-MIN=SYSTEM-LEVEL-MIN)のための些細な範囲しか持っているはずがありません。
Systems which do maintain separation for different security classification levels of data may have non-trivial ranges for the LEVEL parameters, e.g., SYSTEM-LEVEL-MAX >= PORT-LEVEL-MAX >= PORT- LEVEL-MIN >= SYSTEM-LEVEL-MIN.
異なったセキュリティ分類レベルに関するデータのための分離を維持するシステムはLEVELパラメタ(PORT- LEVEL-MIN PORT-LEVEL-マックス例えば、SYSTEM-LEVEL-マックス>=>=>=SYSTEM-LEVEL-MIN)のための重要な範囲を持っているかもしれません。
2.7. Processing the Basic Security Option
2.7. 基本的なセキュリティオプションを処理します。
For systems implementing the Basic Security Option, the parameters PORT-BSO-REQUIRED-TRANSMIT and PORT-BSO-REQUIRED-RECEIVE are used to specify the local security policy with regard to requiring the presence of this option on transmitted and received datagrams, respectively, on a per-port basis. Each datagram transmitted or
Basic Security Optionを実装するシステムにおいて、パラメタのPORT-BSO-REQUIRED-TRANSMITとPORT-BSO-REQUIRED-RECEIVEは、1ポートあたり1個のベースで伝えられて容認されたデータグラムの上にそれぞれこのオプションを存在に要求することに関してローカルの安全保障政策を指定するのに使用されます。 または各データグラムが送られた。
Kent [Page 9] RFC 1108 U.S. DOD Security Option November 1991
ケント[9ページ]RFC1108米国DODセキュリティオプション1991年11月
received by the system must be processed in accordance with the per- port and system-wide security parameters configured for the system.
受け取って、システムによると、処理しなければならない、-、ポートとシステムのために構成されたシステム全体のセキュリティパラメタ。
Systems which process only Unclassified data may or may not be configured to generate the BSO on transmitted datagrams. Such systems also may or may not require a BSO to be present on received datagrams. However, all systems must be capable of accepting datagrams containing this option, irrespective of whether the option is processed or not.
しかしながら、すべてのシステムがこのオプションを含むデータグラムを受け入れることができなければなりません、オプションが処理されるかどうかの如何にかかわらず。Unclassifiedデータだけを処理するシステムは、伝えられたデータグラムの上にBSOを生成するために構成されるかもしれません。そのようなシステムも、BSOが容認されたデータグラムで現在であるのを必要とするかもしれません。
In general, systems which process classified data must generate this option for transmitted datagrams. The only exception to this rule arises in (dedicated or system high [DoD 5200.28]) networks where traffic may be implicitly labelled rather than requiring each attached system to generate explicit labels. If the local security policy permits receipt of datagrams without the option, each such datagram is presumed to be implicitly labelled based on the port via which the datagram is received. A per-port parameter (PORT- IMPLICIT-LABEL) specifies the label to be associated with such datagrams upon receipt. Note that a datagram transmitted in response to receipt of an implicitly labelled datagram, may, based on local policy, require an explicit Basic Security Option.
一般に、分類されたデータを処理するシステムは伝えられたデータグラムのためのこのオプションを生成しなければなりません。この規則への唯一の例外がトラフィックが明白なラベルを生成するためにそれぞれの付属システムを必要とするよりそれとなくむしろラベルされるかもしれない(ひたむきであるかシステム高値[DoD5200.28])ネットワークで起こります。 ローカルの安全保障政策がオプションなしでデータグラムの領収書を可能にするなら、そのような各データグラムはを通したデータグラムが受け取られているポートに基づいてあえてそれとなくラベルされます。 1ポートあたり1つのパラメタ(PORT- IMPLICIT-LABEL)が、領収書のそのようなデータグラムに関連しているようにラベルを指定します。 データグラムが領収書に対応して送られたというメモ、ローカルの方針に基づいて、明白なBasic Security Optionを必要とするかもしれません。
2.7.1. Handling Unclassified Datagrams
2.7.1. 取り扱いUnclassifiedデータグラム
If an unmarked datagram is received via a network port for which PORT-BSO-REQUIRED = FALSE and PORT-IMPLICIT-LABEL = UNCLASSIFIED (NO FLAGS), the datagram shall be processed as though no Protection Authority Flags were set. Thus there are two distinct, valid representations for Unclassified datagrams to which no Protection Authority rules apply (an unmarked datagram as described here and a datagram containing an explicit BSO with Classification Level set to Unclassified and with no Protection Authority flags set). Note that a datagram also may contain a Basic Security Option in which the Classification Level is Unclassified and one or more Protection Authority Field Flags are set. Such datagrams are explicitly distinct from the equivalence class noted above (datagrams marked Unclassified with no Protection Authority field flags set and datagrams not containing a Basic Security Option).
PORT-BSO-REQUIREDがFALSEと等しいネットワークポートを通して無印のデータグラムを受け取って、PORT-IMPLICIT-LABELがUNCLASSIFIED(NO FLAGS)と等しいなら、まるでProtection Authority Flagsが全く用意ができていないかのようにデータグラムは処理されるものとします。 したがって、異なった2があります、Protection Authority規則が全く適用されないUnclassifiedデータグラムの有効な表現(ここで説明される無印のデータグラムとUnclassifiedに用意ができているClassification LevelとProtection Authority旗なしで明白なBSOを含むデータグラムはセットしました)。 データグラムもClassification LevelがUnclassifiedであり、1Protection Authority Field Flagsが用意ができているBasic Security Optionを含むかもしれないことに注意してください。 そのようなデータグラムは(旗が設定しないProtection Authority分野と全くデータグラムがBasic Security Optionを含んでいないUnclassifiedであるとマークされたデータグラム)の上に述べられた同値類と明らかに異なっています。
2.7.2. Input Processing
2.7.2. 入力処理
Upon receipt of any datagram a system compliant with this RFC must perform the following actions. First, if PORT-BSO-REQUIRED-RECEIVE = TRUE for this port, then any received datagram must contain a Basic Security Option and a missing BSO results in an ICMP error response as specified in Section 2.8.1. A received datagram which contains a Basic Security Option must be processed as described below. This
どんなデータグラムを受け取り次第、このRFCに伴う対応することのシステムは以下の動作を実行しなければなりません。 まず最初に、PORT-BSO-REQUIRED-RECEIVEがこのポートのためにTRUEと等しいなら、どんな容認されたデータグラムもBasic Security Optionを含まなければなりません、そして、なくなったBSOはセクション2.8.1における指定されるとしてのICMP誤り応答をもたらします。 以下で説明されるようにBasic Security Optionを含む容認されたデータグラムを処理しなければなりません。 これ
Kent [Page 10] RFC 1108 U.S. DOD Security Option November 1991
ケント[10ページ]RFC1108米国DODセキュリティオプション1991年11月
algorithm assumes that the IP header checksum has already been verified and that, in the course of processing IP options, this option has been encountered. The value of the Classification Level field from the option will be designated "DG-LEVEL" and the value of the Protection Authority Flags field will be designated "DG- AUTHORITY."
アルゴリズムはIPヘッダーチェックサムが既に確かめられて、このオプションが処理IPオプションの間に遭遇したと仮定します。 オプションからのClassification Level分野の値は「DG-レベル」に指定されるでしょう、そして、旗がさばく保護権威の値は「DG権威」に指定されるでしょう。
Step 1. Check that DG-LEVEL is a valid security classification level,
i.e., it must be one of the (non-reserved) values from Table
1. If this test fails execute the out-of-range procedure in
Section 2.8.1.
1を踏んでください。 Tableからの(非予約される)の値の1つが1であったならDG-LEVELがすなわち、分類レベル、それがそうしなければならない有効なセキュリティであることをチェックしてください。 このテストが失敗するなら、セクション2.8.1における範囲で出ている手順を実行してください。
Step 2. Check that PORT-LEVEL-MAX >= DG-LEVEL. If this test fails,
execute out-of-range procedure specified in Section 2.8.2.
2を踏んでください。 PORT-LEVEL-マックス>がDG-LEVELと等しいのをチェックしてください。 このテストが失敗するなら、範囲の外でセクション2.8.2で指定された手順を実行してください。
Step 3. Check that DG-AUTHORITY =< PORT-AUTHORITY-IN. If this test
fails, execute out-of-range procedure specified in Section
2.8.2.
3を踏んでください。 DG-AUTHORITYが<PORT-AUTHORITY-INと等しいのをチェックしてください。 このテストが失敗するなら、範囲の外でセクション2.8.2で指定された手順を実行してください。
2.7.3. Output Processing
2.7.3. 出力処理
Any system which implements the Basic Security Option must adhere to a fundamental rule with regard to transmission of datagrams, i.e., no datagram shall be transmitted with a Basic Security Option the value of which is outside of the range for which the system is configured. Thus for every datagram transmitted by a system the following must hold: PORT-LEVEL-MAX >= DG-LEVEL >= PORT-LEVEL-MIN and DG-AUTHORITY =< PORT-AUTHORITY-OUT. It is a local matter as to what procedures are followed by a system which detects at attempt to transmit a datagram for which these relationships do not hold.
Basic Security Optionを実装するどんなシステムもデータグラムのトランスミッションに関して原理を固く守らなければなりません、すなわち、それの値がシステムが構成される範囲の外にあるBasic Security Optionと共にデータグラムを全く送らないものとします。 したがって、システムによって送られたあらゆるデータグラムに関して、以下は成立しなければなりません: DG-レベルポートの平らなマックス>=>はポート平らな分とDG-権威=<ポート権威アウトと等しいです。 それは試みでこれらの関係が成立しないデータグラムを送るのを検出するシステムがどんな手順を支えるかに関する地域にかかわる事柄です。
If a port is configured to allow both labelled and unlabelled datagrams (PORT-BSO-REQUIRED-TRANSMIT = FALSE) to be transmitted, the question arises as to whether a label should be affixed. In recognition of the lack of widespread implementation or use of this option, especially in unclassified networks, this RFC recommends that the default be transmission of unlabelled datagrams. If the destination requires all datagrams to be labelled on input, then it will respond with an ICMP error message (see Section 2.8.1) and the originator can respond by labelling successive packets transmitted to this destination.
ポートがラベルされて非ラベルの両方にされたデータグラム(PORT-BSO-REQUIRED-TRANSMITはFALSEと等しい)が送られるのを許容するために構成されるなら、ラベルが付けられるべきであるかどうかに関して質問は起こります。 広範囲の実装の不足の認識かこのオプションの使用と、特に非分類されたネットワークで、このRFCは、デフォルトが非ラベルされたデータグラムのトランスミッションであることを推薦します。目的地が、すべてのデータグラムが入力のときにラベルされるのを必要とすると、ICMPエラーメッセージで応じるでしょう、そして、(セクション2.8.1を見てください)創始者はこの目的地に送られた連続したパケットをラベルすることによって、こたえることができます。
To support this mode of operation, a system which allows transmission of both labelled and unlabelled datagrams must maintain state information (a cache) so that the system can associate the use of labels with specific destinations, e.g., in response to receipt of an ICMP error message as specified in Section 2.8.1. This requirement for maintaining a per-destination cache is very much analogous to
この運転モード、ラベルされた両方のトランスミッションを許容するシステム、および非ラベルされたデータグラムをサポートするのは、システムが特定の目的地があるラベルの使用を関連づけることができるように、州の情報が(キャッシュ)であると主張しなければなりません、例えば、セクション2.8.1における指定されるとしてのICMPエラーメッセージの領収書に対応して。 1目的地あたり1つのキャッシュがたいへん類似していると主張するためのこの要件
Kent [Page 11] RFC 1108 U.S. DOD Security Option November 1991
ケント[11ページ]RFC1108米国DODセキュリティオプション1991年11月
that imposed for processing the IP source route option or for maintaining first hop routing information (RFC 1122). This RFC does not specify which protocol module must maintain the per-destination cache (e.g., IP vs. TCP or UDP) but security engineering constraints may dictate an IP implementation in trusted systems. This RFC also does not specify a cache maintenance algorithm, though use of a timer and activity flag may be appropriate.
それは、IP送信元経路オプションを処理するか、または最初のホップルーティング情報(RFC1122)を保守するためにでしゃばりました。 このRFCは、どのプロトコルモジュールが、1目的地あたりのキャッシュTCPか(例えば、IP対UDP)にもかかわらず、セキュリティ工学規制が信じられたシステムのIP実装を決めるかもしれないと主張しなければならないかを指定しません。このRFCもキャッシュメインテナンスアルゴリズムを指定しません、タイマと活動旗の使用は適切であるかもしれませんが。
2.8. Error Procedures
2.8. 誤り処理手続き
Datagrams received with errors in the Basic Security Option or which are out of range for the network port via which they are received, should not be delivered to user processes. Local policy will specify whether logging and/or notification of a system security officer is required in response to receipt of such datagrams. The following are the least restrictive actions permitted by this protocol. Individual end or intermediate systems, system administrators, or protection authorities may impose more stringent restrictions on responses and in some instances may not permit any response at all to a datagram which is outside the security range of a host or system.
を通したそれらが受け取られているネットワークポートへの範囲から脱している誤りがBasic Security Optionにある状態で受け取られたデータグラム、ユーザ・プロセスに提供するべきではありません。 ローカルの方針は、システムセキュリティ担当責任者の伐採、そして/または、通知がそのようなデータグラムの領収書に対応して必要であるかどうか指定するでしょう。↓これはこのプロトコルによって受入れられる中で最も制限していない動作です。 個々の終わり、中間システム、システム管理者、または保護当局が、より厳しい制限を応答に課して、ある場合にホストかシステムのセキュリティ範囲の外にあるデータグラムに全く少しの応答も可能にしないかもしれません。
In all cases, if the error is triggered by receipt of an ICMP, the ICMP is discarded and no response is permitted (consistent with general ICMP processing rules).
すべての場合では、誤りがICMPの領収書で引き起こされるなら、ICMPは捨てられます、そして、応答は全く受入れられません(一般的なICMP処理規則と一致した)。
2.8.1.Parameter Problem Response
2.8.1. パラメタ問題応答
If a datagram is received with no Basic Security Option and the system security configuration parameters require the option on the network port via which the datagram was received, an ICMP Parameter Problem Missing Option (Type = 12, Code = 1) message is transmitted in response. The Pointer field of the ICMP should be set to the value "130" to indicate the type of option missing. A Basic Security Option is included in the response datagram with Clearance Level set to PORT-LEVEL-MIN and Protection Authority Flags set to PORT- AUTHORITY-ERROR.
Basic Security Optionなしでデータグラムを受け取って、システムセキュリティ設定パラメタがを通したデータグラムを受け取ったネットワークポートの上でオプションを必要とするなら、ICMP Parameter Problem Missing Option(=12をタイプしてください、Code=1)メッセージは応答で送られます。 値「130」にICMPのPointer分野がオプションの取り逃がすことのタイプを示すように設定されるべきです。 Basic Security OptionはPORT-LEVEL-MINに用意ができているClearance Levelと共に応答データグラムで含められました、そして、Protection Authority FlagsはPORT- AUTHORITY-ERRORにセットしました。
If a datagram is received in which the Basic Security Option is malformed (e.g., an invalid Classification Level Protection Authority Flag field), an ICMP Parameter Problem (Type = 12, Code = 0) message is transmitted in response. The pointer field is set to the malformed Basic Security Option. The Basic Security Option is included in the response datagram with Clearance Level set to PORT- LEVEL-MIN and Protection Authority Flags set to PORT-AUTHORITY-ERROR.
Basic Security Optionがどれであるかで奇形であることの形で(例えば、無効のClassification Level Protection Authority Flag分野)データグラムを受け取るなら、応答でICMP Parameter Problem(=12をタイプしてください、Code=0)メッセージを送ります。 指針分野は奇形のBasic Security Optionに設定されます。 Basic Security OptionはPORT- LEVEL-MINに用意ができているClearance Levelと共に応答データグラムで含められました、そして、Protection Authority FlagsはPORT-AUTHORITY-ERRORにセットしました。
Kent [Page 12] RFC 1108 U.S. DOD Security Option November 1991
ケント[12ページ]RFC1108米国DODセキュリティオプション1991年11月
2.8.2. Out-Of-Range Response
2.8.2. 範囲で出ている応答
If a datagram is received which is out of range for the network port on which it was received, an ICMP Destination Unreachable Communication Administratively Prohibited (Type = 3, Code = 9 for net or Code = 10 for host) message is transmitted in response. A Basic Security Option is included in the response datagram with Clearance Level set to PORT-LEVEL-MIN and Protection Authority Flags set to PORT-AUTHORITY-ERROR.
データグラムが受け取られているなら、(それが受け取られたネットワークポートへの範囲から脱しています)ICMP Destination Unreachable Communication Administratively Prohibited(タイプ=3、Codeはネットのための9かホストのためのCode=10と等しい)メッセージは応答で送られます。 Basic Security OptionはPORT-LEVEL-MINに用意ができているClearance Levelと共に応答データグラムで含められました、そして、Protection Authority FlagsはPORT-AUTHORITY-ERRORにセットしました。
2.9. Trusted Intermediary Procedure
2.9. 信じられた仲介者手順
Certain devices in an internet may act as intermediaries to validate that communications between two hosts are authorized. This decision is based on the knowledge of the accredited security levels of the hosts and the values in the DoD Basic Security Option. These devices may receive IP datagrams which are in range for the intermediate device, but are not within the accredited range either for the source or for the destination. In the former case, the datagram should be treated as described above for an out-of-range option. In the latter case, an ICMP Destination Unreachable Communication Administratively Prohibited (Type = 3, Code = 9 for net or Code = 10 for host) response should be transmitted. The security range of the network interface on which the reply will be sent determines whether a reply is allowed and at what level it will be sent.
インターネットにおける、あるデバイスは有効にする2人のホストのコミュニケーションがそうである仲介者として認可されているのに作動するかもしれません。 この決定はDoD Basic Security Optionでホストと値の公認のセキュリティー・レベルに関する知識に基づいています。 これらのデバイスは、中間的デバイスのために範囲にあるIPデータグラムを受けるかもしれませんが、公認の範囲の中にソースか目的地にはありません。 前の場合では、データグラムは範囲で出ているオプションのために上で説明されるように扱われるべきです。 後者の場合では、ICMP Destination Unreachable Communication Administratively Prohibited(タイプ=3、Codeはネットのための9かホストのためのCode=10と等しい)応答は伝えられるべきです。 回答が送られるネットワーク・インターフェースのセキュリティ範囲は、回答が許されているかどうかと、それがどんなレベルに送られるかを決定します。
3. DoD Extended Security Option
3. DoDはセキュリティオプションを広げました。
This option permits additional security labelling information, beyond that present in the Basic Security Option, to be supplied in an IP datagram to meet the needs of registered authorities. Note that information which is not labelling data or which is meaningful only to the end systems (not intermediate systems) is not appropriate for transmission in the IP layer and thus should not be transported using this option. This option must be copied on fragmentation. Unlike the Basic Option, this option may appear multiple times within a datagram, subject to overall IP header size constraints.
このオプションは登録された当局の需要を満たすためにIPデータグラムで供給するためにBasic Security Optionでのそのプレゼントを超えて情報をラベルする追加担保を可能にします。 ラベルしていないか、またはデータがエンドシステムだけに重要な情報(中間システムでない)がIP層におけるトランスミッションには適切でなく、その結果、このオプションを使用することで輸送されるべきでないことに注意してください。 断片化のときにこのオプションをコピーしなければなりません。 Basic Optionと異なって、このオプションはデータグラムの中に複数の回総合的なIPヘッダーサイズ規制を条件として見えるかもしれません。
This option may be present only in conjunction with the Basic Security Option, thus all systems which support Extended Security Options must also support the Basic Security Option. However, not all systems which support the Basic Security Option need to support Extended Security Options and support for these options may be selective, i.e., a system need not support all Extended Security Options.
このオプションが単にBasic Security Optionに関連して存在しているかもしれない、その結果、また、Extended Security OptionsをサポートするすべてのシステムがBasic Security Optionをサポートしなければなりません。 しかしながら、Basic Security OptionがこれらのオプションのExtended Security Optionsとサポートをサポートする必要性であるとサポートするというわけではないすべてのシステムが選択しているかもしれない、すなわち、システムはすべてのExtended Security Optionsをサポートしなければならないというわけではありません。
The top-level format for this option is as follows:
このオプションのためのトップレベル形式は以下の通りです:
Kent [Page 13] RFC 1108 U.S. DOD Security Option November 1991
ケント[13ページ]RFC1108米国DODセキュリティオプション1991年11月
+------------+------------+------------+-------//-------+
| 10000101 | 000LLLLL | AAAAAAAA | add sec info |
+------------+------------+------------+-------//-------+
TYPE = 133 LENGTH ADDITIONAL ADDITIONAL
SECURITY INFO SECURITY
FORMAT CODE INFO
+------------+------------+------------+-------//-------+ | 10000101 | 000LLLLL| AAAAAAAA| 秒を加えてください、インフォメーション| +------------+------------+------------+-------//-------133の長さの追加している追加担保インフォメーションセキュリティ書式記号+ タイプ=インフォメーション
FIGURE 3. DoD EXTENDED SECURITY OPTION FORMAT
図3 DoDはセキュリティオプション形式を広げました。
3.1. Type
3.1. タイプ
The value 133 identifies this as the DoD Extended Security Option.
値133は、これがDoD Extended Security Optionであると認識します。
3.2. Length.
3.2. 長さ。
The length of the option, which includes the "Type" and "Length" fields, is variable. The minimum length of the option is 3 octets.
オプションの長さは可変です。(オプションは「タイプ」と「長さ」分野を含んでいます)。 オプションの最小の長さは3つの八重奏です。
3.3. Additional Security Info Format Code
3.3. 追加担保インフォメーション書式記号
Length: 1 Octet
長さ: 1つの八重奏
The value of the Additional Security Info Format Code identifies the syntax and semantics for a specific "Additional Security Information" field. For each Additional Security Info Format Code, an RFC will be published to specify the syntax and to provide an algorithmic description of the processing required to determine whether a datagram carrying a label specified by this Format Code should be accepted or rejected. This specification must be sufficiently detailed to permit vendors to produce interoperable implementations, e.g., it should be comparable to the specification of the Basic Security Option provided in this RFC. However, the specification need not include a mapping from the syntax of the option to human labels if such mapping would cause distribution of the specification to be restricted.
Additional Security Info Format Codeの値は特定の「追加担保情報」分野に構文と意味論を特定します。 各Additional Security Info Format Codeに関しては、RFCは、構文を指定して、このFormat Codeによって指定されたラベルを運ぶデータグラムを受け入れるべきであるか、または拒絶するべきであるかを決定するのに必要である処理のアルゴリズムの記述を提供するために発行されるでしょう。 ベンダーが共同利用できる実装を生産することを許可するほどこの仕様を詳しく述べなければなりません、例えば、それはこのRFCに提供されたBasic Security Optionの仕様に匹敵しているべきです。 しかしながら、そのようなマッピングで仕様の分配を制限するなら、仕様はオプションの構文から人間のラベルまでのマッピングを含む必要はありません。
In order to maintain the architectural consistency of DoD common user data networks, and to maximize interoperability, each activity should submit its plans for the definition and use of an Additional Security Info Format Code to DISA DISDB, Washington, D.C. 20305-2000 for review and approval. DISA DISDB will forward plans to the Internet Activities Board for architectural review and, if required, a cleared committee formed by the IAB will be constituted for the review process. Once approved, the Internet Assigned Number authority will assign an Additional Security Info Format Code to the requesting activity, concurrent with publication of the corresponding RFC.
DoDの一般的なユーザデータ網の建築一貫性を維持して、相互運用性を最大にするために、各活動はレビューと承認のためにAdditional Security Info Format Codeの定義と使用のためのプランをDISA DISDB、ワシントンDC20305-2000に提出するべきです。 DISA DISDBは建築レビューのためにインターネットActivities Boardにプランを送るでしょう、そして、必要なら、IABによって形成されたクリアされた委員会は吟味の過程のために構成されるでしょう。 一度承認されています、インターネットAssigned Number権威は要求活動にAdditional Security Info Format Codeを割り当てるでしょう、対応するRFCの公表で、同時発生です。
Note: The bit assignments for the Protection Authority flags of the
以下に注意してください。 Protection Authorityのための噛み付いている課題は弛みます。
Kent [Page 14] RFC 1108 U.S. DOD Security Option November 1991
ケント[14ページ]RFC1108米国DODセキュリティオプション1991年11月
Basic Security Option have no relationship to the "Additional Security Info Format Code" of this option.
基本的なSecurity Optionには、このオプションの「追加担保インフォメーション書式記号」との関係が全くありません。
3.4. Additional Security Information.
3.4. 追加担保情報。
Length: Variable
長さ: 変数
The Additional Security Info field contains the additional security labelling information specified by the "Additional Security Info Format Code" of the Extended Security Option. The syntax and processing requirements for this field are specified by the associated RFC as noted above. The minimum length of this field is zero.
Additional Security Info分野はExtended Security Optionの「追加担保インフォメーション書式記号」によって指定された情報をラベルする追加担保を含んでいます。 この分野への構文と処理所要は関連RFCによって上で述べたように指定されます。 この分野の最小の長さはゼロです。
3.5. System Security Configuration Parameters
3.5. システムセキュリティ設定パラメタ
Use of the Extended Security Option requires that the intermediate or end system configuration accurately reflect the security parameters associated with communication via each network port (see Section 2.5 as a guide). Internal representation of the security parameters implementation dependent. The set of parameters required to support processing of the Extended Security Option is a function of the set of Additional Security Info Format Codes supported by the system. The RFC which specifies syntax and processing rules for a registered Additional Security Info Format Code will specify the additional system security parameters required for processing an Extended Security Option relative to that Code.
Extended Security Optionの使用は、中間介在物かエンドシステム構成が正確にそれぞれのネットワークポートを通してコミュニケーションに関連しているセキュリティパラメタを反映するのを必要とします(セクション2.5をガイドと考えてください)。 セキュリティパラメタ実装扶養家族の内部の表現。 Extended Security Optionの処理をサポートするのに必要であるパラメタのセットはシステムでサポートされたAdditional Security Info Format Codesのセットの機能です。 構文と処理規則を登録されたAdditional Security Info Format Codeに指定するRFCはそのCodeに比例してExtended Security Optionを処理するのに必要である追加システムセキュリティパラメタを指定するでしょう。
3.6. Processing Rules
3.6. 処理規則
Any datagram containing an Extended Security Option must also contain a Basic Security Option and receipt of a datagram containing the former absent the latter constitutes an error. If the length specified by the Length field is inconsistent with the length specified by the variable length encoding for the Additional Security Info field, the datagram is in error. If the datagram is received in which the Additional Security Info Format Code contains a non- registered value, the datagram is in error. Finally, if the Additional Security Info field contains data inconsistent with the defining RFC for the Additional Security Info Format Code, the datagram is in error. In any of these cases, an ICMP Parameter Problem response should be sent as per Section 2.8.1. Any additional error processing rules will be specified in the defining RFC for this Additional Security Info Format Code.
また、Extended Security Optionを含むどんなデータグラムもBasic Security Optionを含まなければなりません、そして、後者なしで前者を含むデータグラムの領収書は誤りを構成します。 Length分野によって指定された長さがAdditional Security Info分野のための可変長コード化で指定される長さに反するなら、データグラムは間違っています。 データグラムがAdditional Security Info Format Codeが非登録された値を含んでいて、データグラムが誤りでそうである容認されたコネであるなら。 最終的に、Additional Security Info分野がAdditional Security Info Format Codeにおいて、定義しているRFCに矛盾したデータを含んでいるなら、データグラムは間違っています。 これらの場合のいずれではも、セクション2.8.1に従ってICMP Parameter Problem応答を送るべきです。 どんな追加エラー処理規則も定義しているRFCでこのAdditional Security Info Format Codeに指定されるでしょう。
If the additional security information contained in the Extended Security Option indicates that the datagram is within range according to the security policy of the system, then the datagram should be
Extended Security Optionに含まれた追加担保情報が、システムの安全保障政策によると、範囲の中にデータグラムがあるのを示すなら、データグラムはそうであるべきです。
Kent [Page 15] RFC 1108 U.S. DOD Security Option November 1991
ケント[15ページ]RFC1108米国DODセキュリティオプション1991年11月
accepted for further processing. Otherwise, the datagram should be rejected and the procedure specified in Section 2.8.2 should be followed (with the Extended Security Option values set apropos the Additional Security Info Format Code port security parameters).
さらなる処理のために、受け入れます。 さもなければ、データグラムは拒絶されるべきです、そして、セクション2.8.2で指定された手順は従われるべきです(Extended Security Optionと共に、値はAdditional Security Info Format Codeポートセキュリティパラメタを適切に設定します)。
As with the Basic Security Option, it will not be possible in a general internet environment for intermediate systems to provide routing control for datagrams based on the labels contained in the Extended Security Option until such time as interior and exterior gateway routing protocols are enhanced to process such labels.
Basic Security Optionの場合、一般的なインターネット環境で、中間システムが内部の、そして、外のゲートウェイルーティング・プロトコルがそのようなラベルを処理するために高められるのでExtended Security Optionにそのような時間まで含まれたラベルに基づくデータグラムのためのルーティング制御装置を提供するのは、可能でないでしょう。
References
参照
[DoD 5200.28] Department of Defense Directive 5200.28, "Security
Requirements for Automated Information Systems," 21
March 1988.
[DoD5200.28] 国防総省の指示5200.28、「自動化された情報システムのためのセキュリティ要件」、1988年3月21日。
Security Considerations
セキュリティ問題
The focus of this RFC is the definition of formats and processing conventions to support security labels for data contained in IP datagrams, thus a variety of security issues must be considered carefully when making use of these options. It is not possible to address all of the security considerations which affect correct implementation and use of these options, however the following paragraph highglights some of these issues.
このRFCの焦点は形式の定義です、そして、データのためにセキュリティがラベルであるとサポートするためにコンベンションを処理すると、データグラムはIPに含みました、そして、これらのオプションを利用するとき、その結果、慎重にさまざまな安全保障問題を考えなければなりません。 正しい実装に影響するセキュリティ問題のすべてとしかしながら、これらのオプション、以下のパラグラフhighglightsの使用にこれらの問題のいくつかを扱うのは可能ではありません。
Correct implementation and operation of the software and hardware which processes these options is essential to their effective use. Means for achieving confidence in such correct implementation and operation are outside of the scope of this RFC. The options themselves incorporate no facilities to ensure the integrity of the security labels in transit (other than the IP checksum mechanism), thus appropriate technology must be employed whenever datagrams containing these options transit "hostile" communication environments. Careful, secure management of the configuration variables associated with each system making use of these options is essential if the options are to provide the intended security functionality.
これらのオプションを処理するソフトウェアとハードウェアの正しい実装と操作は彼らの有効な使用に不可欠です。 そのような正しい実装と操作における信用を達成するための手段がこのRFCの範囲の外にあります。 オプション自体はトランジット(IPチェックサムメカニズムを除いた)で機密保護ラベルの保全を確実にするために施設を全く取り入れません、その結果、これらのオプションを含むデータグラムが「敵対的な」通信環境を通過するときはいつも、適正技術を使わなければなりません。 慎重です、これらのオプションを利用する各システムに関連している構成変数の安全な管理はオプションが意図しているセキュリティの機能性を提供することであるなら不可欠です。
Kent [Page 16] RFC 1108 U.S. DOD Security Option November 1991
ケント[16ページ]RFC1108米国DODセキュリティオプション1991年11月
Author's Address
作者のアドレス
Stephen Kent BBN Communications 150 CambridgePark Drive Cambridge, MA 02140
スティーブンケントBBNコミュニケーション150CambridgePark Driveケンブリッジ、MA 02140
Phone: (617) 873-3988
以下に電話をしてください。 (617) 873-3988
Email: kent@bbn.com
メール: kent@bbn.com
Kent [Page 17]
ケント[17ページ]
一覧
スポンサーリンク
