RFC3576中文版 下载本文

模式或主模式下也可以使用。证书认证,主要 模式应该被使用。

护理需要采取与IKE阶段1身份载荷选择 为了使身份映射的预共享密钥,即使有

野蛮模式。凡ID_IPV4_ADDR或ID_IPV6_ADDR身份 有效载荷的使用和地址是动态分配的,绘制 键身份是不可能的,使该组预共享密钥

仍然是一个现实必要性。其结果是,ID_FQDN身份 在野蛮模式的情况下,应采用有效载荷 一起使用预共享密钥,IP地址是动态

分配。这种方法还具有其他优势,因为它允许 RADIUS服务器和客户端来配置自己的基础上, 完全合格域名同龄人。

需要注意的是使用IPsec,安全服务的谈判

粒度的IPsec SA,所以需要一系列的RADIUS交流 与现有的谈判不同的安全服务

IPsec SA的需要协商一个新的IPsec SA。独立的IPSec SA 也建议考虑服务质量决定

不同的处理RADIUS的谈话。尝试应用 不同的服务质量相同的IPsec处理连接 SA可能会导致重新排序,属于重播窗口。 有关的问题的讨论,请参阅[RFC2983]。

5.4。重播保护

IPsec保护重播的没有被使用,事件的时间戳(55) 应该被包含在所有的消息属性[RFC2869]。何时

这个属性是存在的,无论是NAS和RADIUS服务器必须 检查事件的时间戳属性是当前内

可接受的时间。如果事件的时间戳属性

电流,那么这个消息必须被悄悄丢弃。这意味着 在网络内的时间同步的需要,它可以是

通过各种手段,包括安全NTP,中所描述的实现 [NTPAUTH]。

NAS和RADIUS服务器应该是可配置默默地 丢弃消息缺乏事件的时间戳属性。默认的 300秒的时间的建议。

千叶,等。信息[第25页]

RFC 3576动态授权扩展到radius为2003年7月

6。例如跟踪

断开请求用户名:

0:XXXX XXXX XXXX XXXX XXXX 2801 001C 1b23。B. .... $ - (....# 16:624C 3543 CEBA 55f1 BE55 A714 ca5e 0108 BL5C U. .. U. .. ^ .. 32:6d63 6869 6261

断开请求帐户会话ID:

0:XXXX XXXX XXXX XXXX XXXX 2801 001E ad0d的。.... ?(..... 16:8e53 55b6 BD02 a0cb ace6 4E38 77bd 2c0a苏....... N8W。 32:3930 3233 3435 3637 90234567

断开请求帧IP地址:

0:XXXX XXXX XXXX XXXX XXXX 2801 001A 0bda,B. ....“2。(..... 16:33fe 765B 05f0 FD9C C32A 2f6b 5182 0806 3.V [..... * / KQ ... 32:0A00 0203

7。参考文献

7.1。规范性引用文件

[RFC1305]米尔斯,D.,“网络时间协议(第3版) 规范,实施与分析“,RFC 1305, 1992年3月。

[RFC1321]李维斯特,R.,“MD5消息摘要算法”,RFC 1321年,1992年4月。

[RFC2104] Krawczyk,H.,Bellare等M. R.卡内蒂,“HMAC: 键控 - 散列的消息认证“,RFC 2104, 1997年2月。

[RFC2119]布拉德纳S.,“关键词使用RFC中指出

要求级别“,BCP 14,RFC 2119,1997年3月。

[RFC2401]肯特,S.和R.阿特金森,“安全架构

互联网协议“,RFC 2401,1998年11月。

[RFC2406]肯特,S.和R.阿特金森的“IP封装安全

负载(ESP)“,RFC 2406,1998年11月。

[RFC2409]哈金斯,D.和D.柯达德,“互联网密钥交换 (IKE)“,1998年11月,RFC 2409。

千叶,等。信息[第26页]

RFC 3576动态授权扩展到radius为2003年7月

[RFC2434] Narten T. H.阿尔韦斯特兰德的“写作指南 在RFC一个IANA考虑组“,BCP 26,RFC 2434,1998年10月。

[RFC2486] Aboba,B.和M,执棒的捕役,“网络访问 标识符“,RFC 2486,1999年1月。

[RFC2865]里格尼,C.,威伦斯,S.,鲁本斯,A.·辛普森, “远程身份验证拨入用户服务(RADIUS)”, RFC 2865,2000年6月。

[RFC2866]里格尼,C.,“RADIUS记帐”,RFC 2866,2000年6月。

[RFC2869]里格尼,C.,Willats,W.和P.卡尔霍恩的“RADIUS 扩展“,RFC 2869,2000年6月。

[RFC3162] Aboba,B.,佐恩,G.和D,米顿,“RADIUS和IPv6” RFC 3162,2001年8月。

[RFC3280]豪斯利,R.,波尔克总统,福特,布什和D.独奏,“互联网 X.509公钥基础设施证书和

证书撤销列表(CRL)的资料“,RFC 3280,

2002年4月。

[RADIANA] Aboba,B.,“IANA考虑RADIUS(远程

身份验证拨入用户服务)“,RFC 3575,七月 2003年。

7.2。信息参考

[RFC2882]米顿,D.,“网络访问服务器的要求:

扩展的RADIUS常规“,RFC 2882,2000年7月。

[RFC2983]黑色,D.“差异化服务和隧道”,RFC 2983年,2000年10月。

,B. [AAATransport] Aboba J.伍德,“身份验证,授权 和计费(AAA)传输轮廓“,RFC 3539, 2003年6月。

[Diameter]卡尔霍恩,P.,等。“Diameter基础协议”,工作 进展。

[MD5Attack] Dobbertin的,H.,“MD5后,最近状态

攻击“,CryptoBytes 2卷2期,1996年夏季。

[NASREQ]卡尔霍恩,P.,等人,“Diameter网络接入服务器 应用程序“,工作正在进行中。

千叶,等。信息[第27页]

RFC 3576动态授权扩展到radius为2003年7月

[NTPAUTH]米尔斯,D.,“公钥加密的网络

时间协议“,正在进行的工作。

8。知识产权声明

IETF将不采取任何立场,有效性或范围的任何有关 知识产权或其他权利,它可能声称 属于中所述的技术的实施或使用

本文件或在何种程度上这种权利的任何许可 可能或可能无法使用,它也没有代表,它