模式或主模式下也可以使用。证书认证，主要 模式应该被使用。

护理需要采取与IKE阶段1身份载荷选择 为了使身份映射的预共享密钥，即使有

野蛮模式。凡ID_IPV4_ADDR或ID_IPV6_ADDR身份 有效载荷的使用和地址是动态分配的，绘制 键身份是不可能的，使该组预共享密钥

仍然是一个现实必要性。其结果是，ID_FQDN身份 在野蛮模式的情况下，应采用有效载荷 一起使用预共享密钥，IP地址是动态

分配。这种方法还具有其他优势，因为它允许 RADIUS服务器和客户端来配置自己的基础上， 完全合格域名同龄人。

需要注意的是使用IPsec，安全服务的谈判

粒度的IPsec SA，所以需要一系列的RADIUS交流 与现有的谈判不同的安全服务

IPsec SA的需要协商一个新的IPsec SA。独立的IPSec SA 也建议考虑服务质量决定

不同的处理RADIUS的谈话。尝试应用 不同的服务质量相同的IPsec处理连接 SA可能会导致重新排序，属于重播窗口。 有关的问题的讨论，请参阅[RFC2983]。

5.4。重播保护

IPsec保护重播的没有被使用，事件的时间戳（55） 应该被包含在所有的消息属性[RFC2869]。何时

这个属性是存在的，无论是NAS和RADIUS服务器必须 检查事件的时间戳属性是当前内

可接受的时间。如果事件的时间戳属性

电流，那么这个消息必须被悄悄丢弃。这意味着 在网络内的时间同步的需要，它可以是

通过各种手段，包括安全NTP，中所描述的实现 [NTPAUTH]。

NAS和RADIUS服务器应该是可配置默默地 丢弃消息缺乏事件的时间戳属性。默认的 300秒的时间的建议。

千叶，等。信息[第25页]

RFC 3576动态授权扩展到radius为2003年7月

6。例如跟踪

断开请求用户名：

0：XXXX XXXX XXXX XXXX XXXX 2801 001C 1b23。B. .... $ - （....＃ 16：624C 3543 CEBA 55f1 BE55 A714 ca5e 0108 BL5C U. .. U. .. ^ .. 32：6d63 6869 6261

断开请求帐户会话ID：

0：XXXX XXXX XXXX XXXX XXXX 2801 001E ad0d的。.... ?（..... 16：8e53 55b6 BD02 a0cb ace6 4E38 77bd 2c0a苏....... N8W。 32：3930 3233 3435 3637 90234567

断开请求帧IP地址：

0：XXXX XXXX XXXX XXXX XXXX 2801 001A 0bda，B. ....“2。（..... 16：33fe 765B 05f0 FD9C C32A 2f6b 5182 0806 3.V [..... * / KQ ... 32：0A00 0203

7。参考文献

7.1。规范性引用文件

[RFC1305]米尔斯，D.，“网络时间协议（第3版） 规范，实施与分析“，RFC 1305， 1992年3月。

[RFC1321]李维斯特，R.，“MD5消息摘要算法”，RFC 1321年，1992年4月。

[RFC2104] Krawczyk，H.，Bellare等M. R.卡内蒂，“HMAC： 键控 - 散列的消息认证“，RFC 2104， 1997年2月。

[RFC2119]布拉德纳S.，“关键词使用RFC中指出

要求级别“，BCP 14，RFC 2119，1997年3月。

[RFC2401]肯特，S.和R.阿特金森，“安全架构

互联网协议“，RFC 2401，1998年11月。

[RFC2406]肯特，S.和R.阿特金森的“IP封装安全

负载（ESP）“，RFC 2406，1998年11月。

[RFC2409]哈金斯，D.和D.柯达德，“互联网密钥交换 （IKE）“，1998年11月，RFC 2409。

千叶，等。信息[第26页]

RFC 3576动态授权扩展到radius为2003年7月

[RFC2434] Narten T. H.阿尔韦斯特兰德的“写作指南 在RFC一个IANA考虑组“，BCP 26，RFC 2434，1998年10月。

[RFC2486] Aboba，B.和M，执棒的捕役，“网络访问 标识符“，RFC 2486，1999年1月。

[RFC2865]里格尼，C.，威伦斯，S.，鲁本斯，A.·辛普森， “远程身份验证拨入用户服务（RADIUS）”， RFC 2865，2000年6月。

[RFC2866]里格尼，C.，“RADIUS记帐”，RFC 2866，2000年6月。

[RFC2869]里格尼，C.，Willats，W.和P.卡尔霍恩的“RADIUS 扩展“，RFC 2869，2000年6月。

[RFC3162] Aboba，B.，佐恩，G.和D，米顿，“RADIUS和IPv6” RFC 3162，2001年8月。

[RFC3280]豪斯利，R.，波尔克总统，福特，布什和D.独奏，“互联网 X.509公钥基础设施证书和

证书撤销列表（CRL）的资料“，RFC 3280，

2002年4月。

[RADIANA] Aboba，B.，“IANA考虑RADIUS（远程

身份验证拨入用户服务）“，RFC 3575，七月 2003年。

7.2。信息参考

[RFC2882]米顿，D.，“网络访问服务器的要求：

扩展的RADIUS常规“，RFC 2882，2000年7月。

[RFC2983]黑色，D.“差异化服务和隧道”，RFC 2983年，2000年10月。

，B. [AAATransport] Aboba J.伍德，“身份验证，授权 和计费（AAA）传输轮廓“，RFC 3539， 2003年6月。

[Diameter]卡尔霍恩，P.，等。“Diameter基础协议”，工作 进展。

[MD5Attack] Dobbertin的，H.，“MD5后，最近状态

攻击“，CryptoBytes 2卷2期，1996年夏季。

[NASREQ]卡尔霍恩，P.，等人，“Diameter网络接入服务器 应用程序“，工作正在进行中。

千叶，等。信息[第27页]

RFC 3576动态授权扩展到radius为2003年7月

[NTPAUTH]米尔斯，D.，“公钥加密的网络

时间协议“，正在进行的工作。

8。知识产权声明

IETF将不采取任何立场，有效性或范围的任何有关 知识产权或其他权利，它可能声称 属于中所述的技术的实施或使用

本文件或在何种程度上这种权利的任何许可 可能或可能无法使用，它也没有代表，它