(1) 通信方式 通信方式 通信方式 通信方式
(i) 利用する通信プロトコル 利用する通信プロトコル 利用する通信プロトコル 利用する通信プロトコル
利用する通信プロトコルとしてIPv6を候補とする。
通信は、パケット交換であり、非同期的に行う。end-to-end でパケットは到達可能 であるが、本プロトコルでは到達確認や再送制御については行わず、下位のプロト コルに依存する。
(ii) セキュリティ セキュリティ セキュリティ セキュリティ
本質的に本フレームワークはセキュリティを提供しているため、本フレームワーク に対するセキュリティはない。以下は、本フレームワークが提供するセキュリティ 機能である。
通信内容について盗聴、改ざん、成り済ましを防ぐために、パケット単位での認証 情報の付加、暗号化を行う。認証、暗号化に必要な情報(Salt、鍵など)は、認証 フレームワークから取得することとする。
本フレームワークは認証・暗号化を実行するが、それに使用する情報の正当性の保 証は行わない。認証フレームワークに全て依存する。
パケットのリプレイ攻撃に対する耐性は、IPv6 が本質的に具備する機能を使用す る。
認証を行う方法は、IPsecのAHヘッダにより、暗号化を行う方法はESPヘッダに よる。
(2) 通信メッセージ 通信メッセージ 通信メッセージ 通信メッセージ
秘匿通信フレームワークにおけるデータ送信部とデータ受信部との通信メッセージを以 下のように定義する。
表18 データ送信部、データ受信部間のメッセージ種別
メッセージ種別 内容 メッセージの方向
データ通信 データ送信部がデータ受信部に対して、秘匿通
信データを送信する SND→RCV
SND:データ送信部 RCV:データ受信部
43 43 43 43
秘匿通信フレームワークの SA 管理機能と認証フレームワークとの通信メッセージを以 下のように定義する。
表19 SA管理機能、認証フレームワーク間のメッセージ種別
メッセージ種別 内容 メッセージの方向
SA要求 SA管理機能が認証フレームワークに宛先機器と
のSAの確立を要求する SAM→AFW SA応答 認証フレームワークから SA 管理機能に、確立
したSAを返却する AFW→SAM SAエラー通知 認証フレームワークが SA を確立しようと試み
たが失敗したことをSA管理機能に通知する AFW→SAM SAM:SA管理機能 AFW:認証フレームワーク ログ出力機能とセキュリティ監視エージェントとの通信メッセージを以下のように定義 する。
表20 ログ出力機能、セキュリティ監視エージェント間のメッセージ種別
メッセージ種別 内容 メッセージの方向
ログ出力 ログ出力機能がログ情報をセキュリティ監視エ
ージェントに出力する LOG→SWA
LOG:ログ出力機能 SWA:セキュリティ監視エージェント 秘匿通信管理機能と認証フレームワークとの通信メッセージを以下のように定義する。
表21 秘匿通信管理機能、認証フレームワーク間のメッセージ種別
メッセージ種別 内容 メッセージの方向
ポリシー要求
秘匿通信管理機能が認証フレームワークに対し て、宛先機器に対する通信のセキュリティ・ポ リシーを問合せる
STM→AFW
ポリシー応答 認証フレームワークがポリシー要求に対応する
ポリシー情報を秘匿通信管理機能に返却する AFW→STM ポリシーエラー通
知
認証フレームワークがポリシーを取得できなか
ったことを秘匿通信管理機能に通知する AFW→STM AFW:認証フレームワーク
STM:秘匿通信管理機能
44 44 44 44
(3) データ形式 データ形式 データ形式 データ形式
(i) メッセージ形式 メッセージ形式 メッセージ形式 メッセージ形式
データ送信部、データ受信部間 データ送信部、データ受信部間 データ送信部、データ受信部間 データ送信部、データ受信部間
<メッセージ>::=<共通部1><固有部><共通部2>
<共通部1>::=<ヘッダ情報>
<ヘッダ情報>::=<IPv6基本ヘッダ><AHヘッダ><ESPヘッダ>
<IPv6基本ヘッダ>::=<バージョン><トラフィッククラス><フローラベル>
<ペイロード長><次ヘッダ番号><中継限界数>
<発信元アドレス><宛先アドレス>
<AHヘッダ>::=<次ヘッダ><ペイロード長><予約>
<SPI><シーケンス番号><認証データ>
<ESPヘッダ>::=<SPI><シーケンス番号><IV>
<固有部>::=<暗号化ペイロード>
<共通部2>::=<トレイラ>
<トレイラ>::=<パッド><認証データ>
45 45 45 45
表22 メッセージ詳細
項目 ユニーク性 説明
バージョン 6
トラフィッククラス トラフィックの識別用
フローラベル サービス品質の指定
ペイロード長 AHヘッダ以降のパケッ ト長
次ヘッダ番号 次のヘッダの番号
中継限界数 中継される限界の数
発信元アドレス 発信 元のネッ トワ ーク 層アドレス
IPv6 基本ヘ ッダ
宛先アドレス 宛先 のネット ワー ク層 アドレス
次ヘッダ 次のヘッダの番号
ペイロード長 AHヘッダ長
予約 機能拡張用
SPI パケ ットに対 応す るセ
キュ リティ・ ポリ シー を一 意に示す イン デッ クス
シーケンス番号 パケ ットの送 信順 に付 加される番号
AHヘッダ
認証データ パケ ットの認 証に 用い るデータ
SPI パケ ットに対 応す るセ
キュ リティ・ ポリ シー を一 意に示す イン デッ クス
シーケンス番号 パケ ットの送 信順 に付 加される番号
ヘッダ情報
ESPヘッダ
IV 暗号 化に用い られ る初
期ベクタ
固有部 暗号化ペイロード 暗号 化された ペイ ロー ド
パッド 暗号 化ペイロ ード 長を
暗号 化アルゴ リズ ムに 適合 させるた めの パッ ド
トレイラ
認証データ ESP ヘッダ〜パッドを
含めた認証データ
46 46 46 46 SASA
SASA管理機能、認証フレームワーク間管理機能、認証フレームワーク間管理機能、認証フレームワーク間管理機能、認証フレームワーク間
<メッセージ>::=<共通部><固有部>
<共通部>::=<ヘッダ情報>
<ヘッダ情報>::=<IPv6基本ヘッダ>
<固有部>::=<ペイロード>
<ペイロード>::=<リクエスト|SAデータ>
<リクエスト>::=<宛先機器IPv6アドレス><宛先機器ポート番号>
<送信元機器ポート番号><上位レイヤプロトコル番号>
<SAデータ>::=<シーケンス番号><シーケンス番号オーバフロー>
<アンチリプレイウィンドウ><有効期限><モード>
<Path MTU>
表23 メッセージ詳細
項目 ユニーク性 説明
ヘッダ情報 IPv6基本ヘッダ 表22にて定義される IPv6基本ヘッダと同様 宛 先 機 器 IPv6
アドレス
宛先 機器のネ ット ワー ク層アドレス
宛 先 機器 ポー ト 番号
宛先 機器のト ラン スポ ート層のポート番号 送 信 元機 器ポ ー
ト番号
送信 元機器の トラ ンス ポート層のポート番号 リクエスト
上 位 レイ ヤプ ロ トコル番号
トラ ンスポー ト層 のプ ロトコル番号
シーケンス番号 パケ ットに対 して 一意 に割当てられる番号 シ ー ケン ス番 号
オーバフロー
シー ケンス番 号が オー バフローした場合にON ア ン チリ プレ イ
ウィンドウ
リプ レイ攻撃 を防 ぐた めのウィンドウ
有効期限 SAの有効期限タイマ モード SAを利用するモード 固有部
SAデータ
Path MTU 経路最大転送ユニット
47 47 47 47 ログ出力機能、セキュリティ監視エージェント間 ログ出力機能、セキュリティ監視エージェント間 ログ出力機能、セキュリティ監視エージェント間 ログ出力機能、セキュリティ監視エージェント間
<メッセージ>::=<共通部><固有部>
<共通部>::=<ヘッダ情報>
<ヘッダ情報>::=<IPv6基本ヘッダ>
<固有部>::=<ペイロード>
<ペイロード>::=<ログデータ>
表24 メッセージ詳細
項目 ユニーク性 説明
ヘッダ情報 IPv6基本ヘッダ 表22にて定義されるIPv6基本ヘッダと同 様
固有部 ログデータ 秘匿通信フレームワーク内の機能が出力す るログデータ
秘匿通信管理機能、認証フレームワーク間 秘匿通信管理機能、認証フレームワーク間 秘匿通信管理機能、認証フレームワーク間 秘匿通信管理機能、認証フレームワーク間
<メッセージ>::=<共通部><固有部>
<共通部>::=<ヘッダ情報>
<ヘッダ情報>::=<IPv6基本ヘッダ>
<固有部>::=<ペイロード>
<ペイロード>::=<リクエスト|ポリシー応答>
表25 メッセージ詳細
項目 ユニーク性 説明
ヘッダ情報 IPv6基本ヘッダ 表22にて定義されるIPv6基本ヘッダと同 様
リクエスト セキュリティ・ポリシーの要求メッセージ 固有部
ポリシー応答 リクエストに対する応答メッセージ
48 48 48 48