近隣者発見を利用した攻撃の方法がいくつか知られている. これらの脅威に対向するために 「セキュアな近隣者発見」 (SEND, SEcure Neighbor Discovery) プロトコル [RFC 3971] が開発された.
RFC 3971 は以下の構成要素を規定している [Hag 07].
- ルータの認証
-
信頼された機関に裏付けられた認証パス (Certification Path) によって,ルータの権限が証明される.
ホストは特定のルータをデフォルト・ルータとするまえに,ルータが所有する認証パスに対する信用点 (trust anchor) を設定する必要がある.
信用点に対する認証パスを得るには,
- 認証パス要請 (Certification Path Solicitation) メッセージと
- 認証パス広告 (Certification Path Advertisement) メッセージと
- ノードの認証
- 暗号的に生成されたアドレス (CGA, Cryptographically Generated Address) は,近隣者要請メッセージの送信者が主張しているアドレスの所有者であることをたしかめるときに使用される. 公開鍵と秘密鍵の組がアドレスを要求する前にすべてのノードにおいて生成される.
- 各種の近隣者発見オプション
-
新規の近隣者発見オプションとして,ほかにつぎのようなものがある.
- RSA 署名 (RSA Signature) オプション: 近隣者発見およびルータ発見に関係するメッセージすべての保護に使用される.
- タイムスタンプ・オプション,臨時鍵 (Noncre) オプション: リプレイ・アタック防止のために導入された.
参考文献
- [Hag 07] Silvia hagen, "IPv6Essentials, Second Edition", O'Reilly, 2007. (邦訳: 市原 英也 監訳, "IPv6 エッセンシャルズ 第 2 版", オライリー・ジャパン, 2007).
Keywords: