[注5]包括内COA请求时，这些属性 授权代表变更请求。在隧道的属性（S）

一个成功的COA请求，所有现有的隧道内发送 属性被删除，取而代之的是新的属性（次）。

千叶，等。信息[第18页]

RFC 3576动态授权扩展到radius为2003年7月

[注6]当断开请求或COA请求，包括在 服务类型属性值“仅授权”表示 请求只包含NAS和会话识别属性， NAS应该尝试重新授权发送接入

请求与服务类型属性值“仅授权”。

这使得使用模型类似于支持Diameter，从而 宽松两种协议之间的解释。支持 服务型属性是可选的COAA请求和内 断开请求消息，它不包括的地方，请求 消息可能包含识别和授权属性。 一个NAS不支持服务类型属性的值 “仅授权”内断开请求必须回应一个 断开-NAK包括无服务类型属性;错误原因

属性值“不支持的服务”可能包括在内。一个NAS 不支持服务类型属性的值

“仅授权”的CoA请求内必须响应的CoA-NAK 不包括服务类型属性的错误原因属性 值“不支持的服务”可能包括在内。

一个NAS支持“仅授权”服务类型值内 必须回应一个断开连接请求或COA请求消息 断开-NAK或COAA-NAK分别包含一个服务类型 属性值“仅授权”，和一个错误的原因属性

值“的要求发起的。”然后，NAS发送的Access-Request 服务类型属性值的RADIUS服务器

“仅授权”。该访问请求应该包含NAS 从断开或COAA请求的属性，以及该会话 属性的Access-Request请求法律列入

[RFC2865]中指定的[RFC2868] [RFC2869]及[RFC3162]。如 注意在[RFC2869]第5.19节，Message-Authenticator属性

应包括在不包含的Access-Request

用户密码，CHAP密码，ARAP密码或EAP-Message属性。 RADIUS服务器发回的Access-Accept（重新）授权 会议或访问拒绝拒绝（重新）授权。

[注7]国家属性由RADIUS发送

在断开连接请求或COAA-Request消息和服务器的NAS 必须从NAS向RADIUS服务器在发送未修改 随后的ACK或NAK消息。如果一个服务型属性 值“仅授权”被包括在一个中断请求或COA 请求一起国家属性，国家属性必须

从NAS向RADIUS服务器发送未修改产生

向RADIUS服务器发送访问请求，如果有的话。国家 也可将属性由RADIUS服务器发送

NAS的CoA请求中，还包括一个终止动作 RADIUS请求属性的值。如果客户端执行 通过发送一个新的访问请求后终止行动 终止当前的会话，它必须包括国家

千叶，等。信息[第19页]

RFC 3576动态授权扩展到radius为2003年7月

在该访问请求的属性不变。在任何一种使用情况， 客户端不能视之为本地属性。 a断开，

请求或COA请求数据包必须有只有零个或一个国家 属性。 State属性的用法是依赖于实现。 如果RADIUS服务器不承认国家中的属性 访问请求，那么它必须发送访问拒绝。

下表定义了上述表项的含义。

0这个属性不能在包中出现。

0 +零个或多个实例，该属性中可能存在 数据包。

0-1零个或一个实例，这个属性可以在包中出现。 1究竟该属性的一个实例必须是在包中出现。

4。 IANA考虑

此文件使用RADIUS [RFC2865]命名空间，见

。有六个 更新部分：RADIUS报文类型代码。这些数据包 类型分配[RADIANA]：

40 - 断开请求 41 - 断开-ACK 42 - 断开-NAK 43 - COAA请求 44 - COAA-ACK 45 - COAA-NAK

分配一个新的服务类型值“仅授权”

请求。该文件还使用UDP [RFC768]命名空间，见

。作者请求 从已注册的端口范围端口分配。最后，这种 规范分配属性（101）错误原因 小数点后的值：

＃VALUE --------

201剩余会话上下文删除 202无效的EAP报文（忽略） 401不支持的属性 402缺少属性

403 NAS标识不匹配 404无效请求 405不支持服务 406不支持扩展 501管理方式禁止

502请求不可路由（代理）

千叶，等。信息[第20页]

RFC 3576动态授权扩展到radius为2003年7月

503会话上下文未找到 504会话上下文不可拆卸 505其他代理加工错误 506资源不可用 507请求

5。安全注意事项

5.1。授权问题

凡NAS是由多个供应商共享，这是不可取的 一个供应商能够发送断开连接请求或COA请求的 影响另一个供应商的会议。

一个NAS或RADIUS代理必须丢弃断开请求或

从不受信任来源的的COA请求消息。默认情况下，RADIUS 代理应执行“反向路径转发（RPF）检查 验证源于一个断开请求或COA请求

授权的RADIUS服务器。此外，它应该有可能 明确授权其他来源的断开请求或

COAA-Request报文中涉及到某些类别的会话。为 例如，一个特定的源可以被明确授权发送 COA请求有关的消息一组领域内的用户。

要进行RPF检查，代理使用的会话标识

断开连接请求或COA请求消息中包含的属性， 命令，以确定在RADIUS服务器（s）到一个等效 访问请求进行路由。如果源地址的

断开连接请求或COA请求是在此集合，然后 请求被转发，否则它必须被丢弃。

通常情况下，代理将提取的境界，从网络访问 标识符[RFC2486]内包含User-Name属性， 在代理路由，确定相应的RADIUS服务器

表。该领域的RADIUS服务器，然后进行比较的

该数据包的源地址。如果没有RADIUS代理的存在， RPF检查将需要执行的NAS本身。

由于授权发送断开请求或COA请求 确定的基础上的源地址和相应的共享

秘密，当属或股东代理人应配置不同的共享 每个RADIUS服务器的秘密。