1 / 8

draft -fuller-lisp-ddt-01 DDT Security

V. Fuller, D. Lewis, V. Ermagan Presenter: Vina Ermagan IETF 83, Paris – March 2012. draft -fuller-lisp-ddt-01 DDT Security. Goals and Scope. Provide the following for the DDT lookup process Data origin authentication Data integrity protection XEID-prefix delegation Out of scope:

alexa
Download Presentation

draft -fuller-lisp-ddt-01 DDT Security

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. V. Fuller, D. Lewis, V. Ermagan Presenter: Vina Ermagan IETF 83, Paris – March 2012 draft-fuller-lisp-ddt-01DDT Security

  2. Goals and Scope • Provide the following for the DDT lookup process • Data origin authentication • Data integrity protection • XEID-prefix delegation • Out of scope: • Global XEID prefix authorization

  3. Security Architecture Overview • Each DDT node, and Map-Server configured with one or more Public/private key pair(s) • Map-Resolvers configured with one or more trusted public keys (usually the root) • DDT node private keys are used to digitally sign Map-Referral Records • Every DDT node also configured with its children’s Public Keys • Children public keys are included in the signed Map-Referral records DDT1, PK1 0.0.0.0/0 DDT2, PK2 10.0.0.0/8 DDT3,PK3 15.0.0.0/8 DDT4,PK4 10.1.0.0/16 MS5,PK5 10.2.0.0/16 MS6,PK6 15.1.0.0/16 MS8,PK8 10.1.0.0/24 MS7, PK7 10.1.1.0/24 MR preconfigured: DDT1,PK1

  4. Signing Referral Records • Provides origin auth and integrity protection for the record data • securely delegates a sub XEID-prefix to a child DDT node • Authenticates the child DDT public keys • Authorizes the child DDT node’s public key to provide further delegation of the associated XEID-prefix (including origin authentication and integrity protection) • MR can form an authentication chain of Pub keys to verify Map-Referrals DDT1, PK1 0.0.0.0/0 DDT2, PK2 10.0.0.0/8 Map-Request Map-Ref ([Record[Locator[PbKey]*]* + Sig]*) Map-Request Map-Ref ([Record[Locator[PbKey]*]* + Sig]*) MR Map-Request( Key Wrapped OTK ) Preconfigured: DDt1-PK1 MS7, PK7 10.1.1.0/24 Map-Request(OTK) Map-Reply + LISP-SEC ETR 10.1.0.0/24 ITR

  5. Map-Referral Format 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ |Type=6 |D|M| Reserved | Record Count | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Nonce . . . | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | . . . Nonce | +-> +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | | Record TTL | | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ R | Locator Count | EID mask-len | ACT |A| Reserved | e +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ c |SigCnt| Map Version Number | EID-AFI | o +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ r | EID-prefix ... | d +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | /| Priority | Weight | M Priority | M Weight | | L +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | o | Unused Flags |R| Loc/LCAF-AFI | | c +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | \| Locator ... | +-> +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

  6. Signature Format +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ /| Original Record TTL | / +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ / | Key Tag | Sig-Algorithm | Reserved | s +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ i | Signature Expiration | g +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ \ | Signature Inception | \ +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ \~ Signature ~ +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

  7. Including Keys in referrals +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | ... | Loc/LCAF AFI | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Rsvd1 | Flags | Type = 11 | Rsvd2 | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | 4 + n | Key Count | Reserved | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ /| Key-Algorithm | Reserved |R| Key Length | key+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ \~ Key Material ~ +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | AFI = x | Locator Address ... ~ +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

  8. Q&A • Thanks to Noel Chiappa for his major contribution to DDT Security design.

More Related