RFC3634 日本語訳

Network Working Group                                          K. Luehrs
Request for Comments: 3634                                     CableLabs
Category: Standards Track                                      R. Woundy
                                                           Comcast Cable
                                                           J. Bevilacqua
                                                              N. Davoust
                                                         YAS Corporation
                                                           December 2003

Luehrsがコメントのために要求するワーキンググループK.をネットワークでつないでください: 3634年のCableLabsカテゴリ: 標準化過程R.WoundyコムキャストケーブルJ.Bevilacqua N.Davoust YAS社の2003年12月

      Key Distribution Center (KDC) Server Address Sub-option for
            the Dynamic Host Configuration Protocol (DHCP)
              CableLabs Client Configuration (CCC) Option

Dynamic Host Configuration Protocol(DHCP)CableLabsクライアント構成(CCC)オプションのためのサブオプションの主要な配送センター(KDC)サーバアドレス

Status of this Memo

このMemoの状態

   This document specifies an Internet standards track protocol for the
   Internet community, and requests discussion and suggestions for
   improvements.  Please refer to the current edition of the "Internet
   Official Protocol Standards" (STD 1) for the standardization state
   and status of this protocol.  Distribution of this memo is unlimited.

このドキュメントは、インターネットコミュニティにインターネット標準化過程プロトコルを指定して、改良のために議論と提案を要求します。 このプロトコルの標準化状態と状態への「インターネット公式プロトコル標準」(STD1)の現行版を参照してください。 このメモの分配は無制限です。

Copyright Notice

版権情報

   Copyright (C) The Internet Society (2003).  All Rights Reserved.

Copyright(C)インターネット協会(2003)。 All rights reserved。

Abstract

要約

   This document defines a new sub-option for the CableLabs Client
   Configuration (CCC) Dynamic Host Configuration Protocol (DHCP) option
   code for conveying the network addresses of Key Distribution Center
   (KDC) servers.

このドキュメントは、Key Distributionセンター(KDC)サーバのネットワーク・アドレスを伝えるためにCableLabs Client Configuration(CCC)Dynamic Host Configuration Protocol(DHCP)オプションコードのための新しいサブオプションを定義します。

1.  Introduction

1. 序論

   A CableLabs Client Configuration (CCC) Dynamic Host Configuration
   Protocol (DHCP) Option code providing the Key Distribution Center
   (KDC) server address will be needed for CableHome-compliant
   residential gateways configured to use Kerberos for authentication as
   the first step in establishing a secure SNMPv3 link between the
   Portal Service (PS) logical element [2,3] in residential gateways,
   and the SNMP entity in the cable operator's data network.

Key Distributionセンター(KDC)サーバアドレスがCableHome対応することの住宅のゲートウェイに必要であるなら、CableLabs Client Configuration(CCC)Dynamic Host Configuration Protocol(DHCP)オプションコードは認証に第一歩として住宅のゲートウェイのPortal Service(PS)論理要素[2、3]と、ケーブルオペレータのデータ網のSNMP実体との安全なSNMPv3リンクを設立する際にケルベロスを使用するのを構成されました。

   The CCC DHCP option code will be used to address specific needs of
   CableLabs client devices during their configuration processes.  This
   document proposes a sub-option for the CCC DHCP option.

CCC DHCPオプションコードは、それらのコンフィギュレーションプロセスの間、CableLabsクライアントデバイスの特定の必要性を扱うのに使用されるでしょう。 このドキュメントはCCC DHCPオプションのためのサブオプションを提案します。

Luehrs, et al.              Standards Track                     [Page 1]

RFC 3634             KDC Server Address Sub-option         December 2003

Luehrs、他 2003年12月のサブオプションの標準化過程[1ページ]RFC3634KDCサーバアドレス

   Configuration of a class of CableLabs client devices described in [2]
   and [3] will require a DHCP sub-option to provide the client with the
   network address of a KDC server in the cable operator's data network.

[2]と[3]で説明されたCableLabsクライアントデバイスのクラスの構成はケーブルオペレータのデータ網でKDCサーバのネットワーク・アドレスをクライアントに提供するためにはサブオプションのDHCPを必要とするでしょう。

   The class of devices assumed in [2] and [3] is unlike the class of
   devices considered in [1], which perform a DNS lookup of the Kerberos
   Realm name to find the KDC server network address.

[2]と[3]で想定されたデバイスのクラスは[1]で考えられたデバイスのクラスと異なっています。それは、KDCサーバがネットワーク・アドレスであることがわかるためにケルベロスRealm名のDNSルックアップを実行します。

   This document proposes a sub-option of the CCC DHCP option code for
   use with CableLabs client devices.  The proposed sub-option encodes
   an identifier for the network address of each of one or more Key
   Distribution Center servers with which the CableLabs client device
   exchanges security information.

このドキュメントはCableLabsクライアントデバイスによる使用のためにCCC DHCPオプションコードのサブオプションを提案します。 提案されたサブオプションはCableLabsクライアントデバイスがセキュリティ情報を交換するそれぞれの1つ以上のKey Distributionセンターサーバのネットワーク・アドレスのための識別子をコード化します。

   The key words "MUST", "MUST NOT", "SHOULD", "SHOULD NOT" and "MAY" in
   this document are to be interpreted as described in BCP 14, RFC 2119
   [4].

キーワード“MUST"、「必須NOT」“SHOULD"、「」 「5月」はBCP14(RFC2119[4])で説明されるように本書では解釈されることになっているべきです。

2.  Key Distribution Center IP Address Sub-option

2. 主要な配送センターIPアドレスサブオプション

   CableHome specifications will specify the Key Distribution Center
   network address encoding as a sub-option of the CCC DHCP Option code.
   This field will be used to inform the client device of the network
   address of one or more Key Distribution Center servers.

CableHome仕様はCCC DHCP OptionコードのサブオプションとしてKey Distributionセンターネットワーク・アドレスコード化を指定するでしょう。 この分野は、1つ以上のKey Distributionセンターサーバのネットワーク・アドレスのクライアントデバイスを知らせるのに使用されるでしょう。

   The encoding of the KDC Server Address sub-option will adhere to the
   format of an IPv4 address.  The minimum length for this option is 4
   octets, and the length MUST always be a multiple of 4.  If multiple
   KDC Servers are listed, they MUST be listed in decreasing order of
   priority.  The format of the KDC Server Address sub-option of the CCC
   option code is as shown below:

KDC Server Addressサブオプションのコード化はIPv4アドレスの形式を固く守るでしょう。 このオプションのための最小の長さは4つの八重奏です、そして、いつも長さは4の倍数であるに違いありません。 複数のKDC Serversが記載されているなら、多いほうから少ないほうへ順に並べると優先権について彼らを記載しなければなりません。 以下で示されるとしてCCCオプションコードのKDC Server Addressサブオプションの形式があります:

    SubOpt  Len      Address 1               Address 2
   +------+-----+-----+-----+-----+-----+-----+-----+--
   |  10  |  n  |  a1 |  a2 |  a3 |  a4 |  a1 |  a2 |  ...
   +------+-----+-----+-----+-----+-----+-----+-----+--

SubOptレンAddress1アドレス2+------+-----+-----+-----+-----+-----+-----+-----+-- | 10 | n| a1| a2| a3| a4| a1| a2| ... +------+-----+-----+-----+-----+-----+-----+-----+--

3.  Security Considerations

3. セキュリティ問題

   This document relies upon the DHCP protocol [5] for authentication
   and security, i.e., it does not provide security in excess of what
   DHCP is (or will be) providing.  Potential exposures to attack in the
   DHCP protocol are discussed in section 7 of the DHCP protocol
   specification [5] and in Authentication for DHCP Messages [6].

このドキュメントは認証とセキュリティのためにDHCPプロトコル[5]を当てにして、すなわち、それは、提供しながら、DHCPがもの(または、ある)であることを超えたセキュリティを提供しません。 DHCPプロトコルで攻撃する潜在被曝はDHCPプロトコル仕様[5]のセクション7とDHCP Messages[6]のためのAuthenticationで論じられます。

   The CCC option can be used to misdirect network traffic by providing
   incorrect DHCP server addresses, incorrect provisioning server
   addresses, and incorrect Kerberos realm names to a CableLabs client

不正確なDHCPサーバアドレスを提供することによってネットワークトラフィックに誤った指導するのにCCCオプションを使用できると不正確な食糧を供給するサーバは扱って、不正確なケルベロス分野は、CableLabsクライアントと命名します。

Luehrs, et al.              Standards Track                     [Page 2]

RFC 3634             KDC Server Address Sub-option         December 2003

Luehrs、他 2003年12月のサブオプションの標準化過程[2ページ]RFC3634KDCサーバアドレス

   device.  This misdirection can lead to several threat scenarios.  A
   Denial of Service (DoS) attack can result from address information
   being simply invalid.  A man-in-the-middle attack can be mounted by
   providing addresses to a potential snooper.  A malicious service
   provider can steal customers from the customer selected service
   provider, by altering the Kerberos realm designation.

デバイス。 この誤まった指示はいくつかの脅威シナリオにつながることができます。 サービス妨害(DoS)攻撃は単に無効のアドレス情報から生じることができます。 潜在的詮索好きにアドレスを提供することによって、介入者攻撃を仕掛けることができます。 悪意があるサービスプロバイダーは、顧客の選択されたサービスプロバイダーからケルベロス分野名称を変更することによって、顧客を横取りできます。

   These threats are mitigated by several factors.

これらの脅威はいくつかの要素によって緩和されます。

   Within the cable delivery architecture required by CableLabs'
   PacketCable, DOCSIS, and CableHome specifications, the DHCP client is
   connected to a network through a cable modem and the Cable Modem
   Termination System (CMTS).  The CMTS is explicitly configured with a
   set of DHCP servers to which DHCP requests are forwarded.  Further, a
   correctly configured CMTS will only allow downstream traffic from
   specific IP addresses/ ranges.

CableLabsのPacketCable、DOCSIS、およびCableHome仕様によって必要とされたケーブル配送アーキテクチャの中では、DHCPクライアントはケーブルモデムとCable Modem Termination System(CMTS)を通してネットワークに接続されます。 CMTSはDHCP要求が転送される1セットのDHCPサーバで明らかに構成されます。 さらに、正しく構成されたCMTSは特定のIPアドレス/範囲から川下のトラフィックを許容するだけでしょう。

   Assuming that server addresses were successfully spoofed to the point
   that a malicious client device was able to contact a KDC, the client
   device must still present valid certificates to the KDC before being
   service enabled.  Given the computational overhead of the certificate
   validation process, this situation could present a DoS opportunity.

サーバアドレスが首尾よく悪意があるクライアントデバイスがKDCに連絡できたというポイントに偽造されたと仮定する場合、クライアントデバイスはサービスが可能にした存在の前にまだKDCに有効な証明書を提示しなければなりません。 証明書合法化プロセスのコンピュータのオーバーヘッドを考えて、この状況はDoSの機会を提示するかもしれません。

   It is possible for a malicious (although certificate enabled) service
   provider to redirect a customer from the customer's selected service
   provider.  It is assumed that all service providers permitted onto an
   access providers network are trusted entities that will cooperate to
   ensure peaceful coexistence.  If a service provider is found to be
   redirecting customers, this should be handled as an administrative
   matter between the access provider and the service provider.

それはaにおいて悪意があった状態で可能です。(可能にされた証明書) 顧客のものから顧客を向け直すサービスプロバイダーはサービスプロバイダーを選択しましたが。 アクセスプロバイダーネットワークに受入れられたすべてのサービスプロバイダーが協力する、平和共存を確実にする信じられた実体であると思われます。 サービスプロバイダーが顧客を向け直しているのがわかっているなら、これはアクセスプロバイダとサービスプロバイダーの間の管理件として扱われるべきです。

   Another safeguard that can be taken by service providers to limit
   their exposure to their KDC server(s) is to configure their network
   so that the KDC(s) reside on a separate subnetwork.

サービスプロバイダーがそれらの暴露をそれらのKDCサーバに制限するために取ることができる別の安全装置がそれらのネットワークを構成することになっているので、KDC(s)は別々のサブネットワークの上に住んでいます。

   Service providers can further protect their KDC server(s) by placing
   a firewall in front of the KDC(s) only allowing connections needed
   for its current provisioning processes.  The IP temporary addresses
   given the client devices from the DHCP server could be sent directly
   to the firewall from the DHCP server to open a hole for Kerberos
   messages only for those particular IP addresses for a short period of
   time.  If this was used it would be recommended that service
   providers authenticate their DHCP server to the KDC as well.  This
   could be done via password authentication rather than digital
   certificate due to the co-location of the DHCP server to the KDC.

サービスプロバイダーは、プロセスに食糧を供給しながら、電流に必要である接続を許すだけであるKDC(s)の正面にファイアウォールを置くことによって、それらのKDCサーバをさらに保護できます。 クライアントデバイスがDHCPサーバから与えられたIP仮の住所をそれらの特定のIPアドレスだけへのケルベロスメッセージのために短期間の間に穴を開くDHCPサーバからファイアウォールに直接送ることができました。 これが使用されるなら、サービスプロバイダーがそれらのDHCPサーバをまた、KDCに認証するのは、お勧めでしょうに。 DHCPサーバのコロケーションのためデジタル証明書よりむしろパスワード認証でこれがKDCにできるでしょう。

Luehrs, et al.              Standards Track                     [Page 3]

RFC 3634             KDC Server Address Sub-option         December 2003

Luehrs、他 2003年12月のサブオプションの標準化過程[3ページ]RFC3634KDCサーバアドレス

   Finally, Kerberos requires mutual client-server authentication.
   Therefore, the client device must authenticate itself with its
   digital certificate and the KDC is required to authenticate it to the
   client device.  If a hacker tries to redirect the client device by
   replacing the service provider-configured KDC Server Address sub-
   option with another IP address, it is not likely to be a valid
   service provider's KDC server and authentication will fail.

最終的に、ケルベロスは互いのクライアント/サーバ認証を必要とします。 したがって、クライアントデバイスはデジタル証明書でそれ自体を認証しなければなりません、そして、KDCはクライアントデバイスにそれを認証しなければなりません。 ハッカーが別のIPアドレスによるサブオプションのサービスプロバイダーによって構成されたKDC Server Addressを取り替えることによってクライアントデバイスを向け直そうとするなら、有効なサービスプロバイダーのKDCサーバである傾向がありません、そして、認証は失敗するでしょう。

4.  IANA Considerations

4. IANA問題

   The KDC Server Address sub-option described in this document is
   intended to be a sub-option of the CableLabs Client Configuration
   (CCC) option described in [1].  IANA has assigned and registered
   sub-option code 10 of the CCC option to the KDC Server Address sub-
   option.

本書では説明されたKDC Server Addressサブオプションは[1]で説明されたCableLabs Client Configuration(CCC)オプションのサブオプションであることを意図します。 IANAは10のサブオプションコードCCCオプションをKDC Server Addressサブオプションに割り当てて、登録しました。

5.  Intellectual Property Statement

5. 知的所有権声明

   The IETF takes no position regarding the validity or scope of any
   intellectual property or other rights that might be claimed to
   pertain to the implementation or use of the technology described in
   this document or the extent to which any license under such rights
   might or might not be available; neither does it represent that it
   has made any effort to identify any such rights.  Information on the
   IETF's procedures with respect to rights in standards-track and
   standards-related documentation can be found in BCP-11.  Copies of
   claims of rights made available for publication and any assurances of
   licenses to be made available, or the result of an attempt made to
   obtain a general license or permission for the use of such
   proprietary rights by implementors or users of this specification can
   be obtained from the IETF Secretariat.

IETFはどんな知的所有権の正当性か範囲、実装に関係すると主張されるかもしれない他の権利、本書では説明された技術の使用またはそのような権利の下におけるどんなライセンスも利用可能であるかもしれない、または利用可能でないかもしれない範囲に関しても立場を全く取りません。 どちらも、それはそれを表しません。どんなそのような権利も特定するためにいずれも取り組みにしました。 BCP-11で標準化過程の権利と規格関連のドキュメンテーションに関するIETFの手順に関する情報を見つけることができます。 権利のクレームのコピーで利用可能に作られるべきライセンスの保証、または一般的なライセンスか許可が作成者によるそのような所有権の使用に得させられた試みの結果が公表といずれにも利用可能になったか、またはIETF事務局からこの仕様のユーザを得ることができます。

   The IETF invites any interested party to bring to its attention any
   copyrights, patents or patent applications, or other proprietary
   rights which may cover technology that may be required to practice
   this standard.  Please address the information to the IETF Executive
   Director.

IETFはこの規格を練習するのに必要であるかもしれない技術をカバーするかもしれないどんな著作権もその注目していただくどんな利害関係者、特許、特許出願、または他の所有権も招待します。 IETF専務に情報を扱ってください。

Luehrs, et al.              Standards Track                     [Page 4]

RFC 3634             KDC Server Address Sub-option         December 2003

Luehrs、他 2003年12月のサブオプションの標準化過程[4ページ]RFC3634KDCサーバアドレス

6.  Normative References

6. 引用規格

   [1]  Beser, B. and P. Duffy, "DHCP Option for CableLabs Client
        Configuration", RFC 3495, March 2003.

[1]BeserとB.とP.ダフィー、「CableLabsクライアント構成のためのDHCPオプション」、RFC3495、2003年3月。

   [2]  "CableHome 1.1 Specification", CableLabs,
        http://www.cablelabs.com/projects/cablehome/specifications/.

[2] 「CableHome1.1仕様」、CableLabs、 http://www.cablelabs.com/projects/cablehome/specifications/ 。

   [3]  "CableHome 1.0 Specification", CableLabs,
        http://www.cablelabs.com/projects/cablehome/specifications/.

[3] 「CableHome1.0仕様」、CableLabs、 http://www.cablelabs.com/projects/cablehome/specifications/ 。

   [4]  Bradner, S., "Key words for use in RFCs to Indicate Requirement
        Levels", BCP 14, RFC 2119, March 1997.

[4] ブラドナー、S.、「Indicate Requirement LevelsへのRFCsにおける使用のためのキーワード」、BCP14、RFC2119、1997年3月。

   [5]  Droms, R., "Dynamic Host Configuration Protocol", RFC 2131,
        March 1997.

[5]Droms、R.、「ダイナミックなホスト構成プロトコル」、RFC2131、1997年3月。

   [6]  Droms, R. and W. Arbaugh, "Authentication for DHCP Messages",
        RFC 3118, June 2001

[6]DromsとR.とW.Arbaugh、「DHCPメッセージのための認証」、RFC3118、2001年6月

Luehrs, et al.              Standards Track                     [Page 5]

RFC 3634             KDC Server Address Sub-option         December 2003

Luehrs、他 2003年12月のサブオプションの標準化過程[5ページ]RFC3634KDCサーバアドレス

7.  Authors' Addresses

7. 作者のアドレス

   Kevin Luehrs
   CableLabs
   858 Coal Creek Circle
   Louisville, CO 80027

ケビンLuehrs CableLabs858石炭クリーク円のルイビル、CO 80027

   Phone: (303) 661-9100
   EMail: k.luehrs@cablelabs.com

以下に電話をしてください。 (303) 661-9100 メールしてください: k.luehrs@cablelabs.com

   Richard Woundy
   Comcast Cable
   27 Industrial Drive
   Chelmsford, MA 01824

リチャードWoundyコムキャストCable27産業Driveチェルムズフォード(MA)01824

   Phone: (978) 244-4010
   EMail: richard_woundy@cable.comcast.com

以下に電話をしてください。 (978) 244-4010 メールしてください: richard_woundy@cable.comcast.com

   John Bevilacqua
   YAS Corporation
   300 Brickstone Square
   Andover, MA 01810

ジョンBevilacqua YAS社300のBrickstoneの正方形のアンドーバー、MA 01810

   Phone: (978) 749-9999
   EMail: john@yas.com

以下に電話をしてください。 (978) 749-9999 メールしてください: john@yas.com

   Nancy Davoust
   YAS Corporation
   300 Brickstone Square
   Andover, MA 01810

ナンシーDavoust YAS社300のBrickstoneの正方形のアンドーバー、MA 01810

   Phone: (978) 749-9999
   EMail: nancy@yas.com

以下に電話をしてください。 (978) 749-9999 メールしてください: nancy@yas.com

Luehrs, et al.              Standards Track                     [Page 6]

RFC 3634             KDC Server Address Sub-option         December 2003

Luehrs、他 2003年12月のサブオプションの標準化過程[6ページ]RFC3634KDCサーバアドレス

8.  Full Copyright Statement

8. 完全な著作権宣言文

   Copyright (C) The Internet Society (2003).  All Rights Reserved.

Copyright(C)インターネット協会(2003)。 All rights reserved。

   This document and translations of it may be copied and furnished to
   others, and derivative works that comment on or otherwise explain it
   or assist in its implementation may be prepared, copied, published
   and distributed, in whole or in part, without restriction of any
   kind, provided that the above copyright notice and this paragraph are
   included on all such copies and derivative works.  However, this
   document itself may not be modified in any way, such as by removing
   the copyright notice or references to the Internet Society or other
   Internet organizations, except as needed for the purpose of
   developing Internet standards in which case the procedures for
   copyrights defined in the Internet Standards process must be
   followed, or as required to translate it into languages other than
   English.

それに関するこのドキュメントと翻訳は、コピーして、それが批評するか、またはそうでなければわかる他のもの、および派生している作品に提供するか、または準備されているかもしれなくて、コピーされて、発行されて、全体か一部分配された実装を助けるかもしれません、どんな種類の制限なしでも、上の版権情報とこのパラグラフがそのようなすべてのコピーと派生している作品の上に含まれていれば。 しかしながら、このドキュメント自体は何らかの方法で変更されないかもしれません、インターネット協会か他のインターネット組織の版権情報か参照を取り除くのなどように、それを英語以外の言語に翻訳するのが著作権のための手順がインターネットStandardsプロセスで定義したどのケースに従わなければならないか、必要に応じてさもなければ、インターネット標準を開発する目的に必要であるのを除いて。

   The limited permissions granted above are perpetual and will not be
   revoked by the Internet Society or its successors or assignees.

上に承諾された限られた許容は、永久であり、そのインターネット協会、後継者または指定代理人によって取り消されないでしょう。

   This document and the information contained herein is provided on an
   "AS IS" basis and THE INTERNET SOCIETY AND THE INTERNET ENGINEERING
   TASK FORCE DISCLAIMS ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING
   BUT NOT LIMITED TO ANY WARRANTY THAT THE USE OF THE INFORMATION
   HEREIN WILL NOT INFRINGE ANY RIGHTS OR ANY IMPLIED WARRANTIES OF
   MERCHANTABILITY OR FITNESS FOR A PARTICULAR PURPOSE.

このドキュメントとそして、「そのままで」という基礎とインターネットの振興発展を目的とする組織に、インターネット・エンジニアリング・タスク・フォースが速達の、または、暗示しているすべての保証を放棄するかどうかというここにことであり、他を含んでいて、含まれて、情報の使用がここに侵害しないどんな保証も少しもまっすぐになるという情報か市場性か特定目的への適合性のどんな黙示的な保証。

Acknowledgement

承認

   Funding for the RFC Editor function is currently provided by the
   Internet Society.

RFC Editor機能のための基金は現在、インターネット協会によって提供されます。

Luehrs, et al.              Standards Track                     [Page 7]

Luehrs、他 標準化過程[7ページ]