メインコンテンツまでスキップ

3.4.3. Sequence Number Verification (シーケンス番号検証)

すべてのAH実装はアンチリプレイサービスをサポートしなければなりませんが (MUST), その使用は受信者によってSAごとに有効または無効にされる場合があります。アンチリプレイは, ユニキャストSAだけでなくマルチキャストSAにも適用されます。ただし, この標準は, マルチ送信者SA (ユニキャストまたはマルチキャスト) にアンチリプレイを提供するためのメカニズムを指定していません。このようなSAに対するアンチリプレイメカニズムのネゴシエーション (または手動構成) がない場合, 以下に示すように, SAのシーケンス番号の送信者と受信者のチェックを (ネゴシエーションまたは手動構成を介して) 無効にすることが推奨されます。

受信者がSAに対してアンチリプレイを有効にしない場合, シーケンス番号に対してインバウンドチェックは実行されません。ただし, 送信者の観点からは, デフォルトは受信者でアンチリプレイが有効になっていると想定することです。送信者が不要なシーケンス番号監視とSAセットアップを行わないようにするために (セクション3.3.2「シーケンス番号生成」を参照), IKEなどのSA確立プロトコルが使用されている場合, 受信者がアンチリプレイ保護を提供しない場合, 受信者はSA確立中に送信者に通知すべきです (SHOULD)。

受信者がこのSAに対してアンチリプレイサービスを有効にしている場合, SAの受信パケットカウンターは, SAが確立されたときにゼロに初期化されなければなりません (MUST)。受信されたパケットごとに, 受信者は, パケットがこのSAの存続期間中に受信された他のパケットのシーケンス番号と重複しないシーケンス番号を含んでいることを検証しなければなりません (MUST)。これは, 重複パケットの拒否を高速化するために, パケットがSAに一致した後に適用される最初のAHチェックであるべきです (SHOULD)。

重複は, スライディング受信ウィンドウの使用によって拒否されます。ウィンドウの実装方法はローカルな問題ですが, 以下のテキストは実装が示さなければならない機能について説明しています。

ウィンドウの「右」端は, このSAで受信された最高の検証済みシーケンス番号値を表します。ウィンドウの「左」端よりも低いシーケンス番号を含むパケットは拒否されます。ウィンドウ内に収まるパケットは, ウィンドウ内の受信パケットのリストと照合してチェックされます。

SAに対してESNオプションが選択されている場合, シーケンス番号の下位32ビットのみが明示的に送信されますが, 受信者は, 受信されたシーケンス番号を受信ウィンドウと照合してチェックするときに, 示されたSAの上位32ビット (ローカルカウンターから) を使用して計算された完全なシーケンス番号を使用します。完全なシーケンス番号を構築する際, パケットに含まれる下位32ビットが受信者のシーケンス番号カウンターの下位32ビットよりも低い値である場合, 受信者は上位32ビットがインクリメントされ, 新しいシーケンス番号サブスペースに移動したと想定します。(このアルゴリズムは, 単一のSAに対して2**32-1パケットと同じ大きさの受信ギャップに対応します。より大きなギャップが発生した場合, 付録Bで説明されているように, 受信者のシーケンス番号カウンターの再同期のための追加のヒューリスティックチェックが使用される場合があります (MAY)。)

受信されたパケットがウィンドウ内に収まり, 重複でない場合, またはパケットがウィンドウの右側にある場合, 受信者はICV検証に進みます。ICV検証が失敗した場合, 受信者は受信したIPデータグラムを無効として破棄しなければなりません (MUST)。これは監査可能なイベントです。このイベントの監査ログエントリには, SPI値, 日付/時刻, 送信元アドレス, 宛先アドレス, シーケンス番号, および (IPv6の場合) フローIDを含めるべきです (SHOULD)。受信ウィンドウは, ICV検証が成功した場合にのみ更新されます。

最小ウィンドウサイズの32パケットをサポートしなければなりませんが (MUST), ウィンドウサイズ64が推奨され, デフォルトとして使用されるべきです (SHOULD)。別のウィンドウサイズ (最小値より大きい) は, 受信者によって選択される場合があります (MAY)。(受信者は送信者にウィンドウサイズを通知しません。) 受信ウィンドウサイズは, 保証の問題に関係なく, より高速な環境のために増やす必要があります。非常に高速 (例: マルチギガビット/秒) デバイスの最小および推奨受信ウィンドウサイズの値は, この標準では指定されていません。

最終更新