RFC3576中文版

网络工作小组M.千叶

请求注解：3576 G. Dommety 类别：资讯·埃克伦德 解释：资深巫师

思科系统公司 D.米顿

循环逻辑，UNLTD。 B. Aboba 微软公司 2003年7月

动态授权扩展至远程

身份验证拨入用户服务（RADIUS）

本备忘录的状态

本备忘录为互联网社区提供的信息。它 不指定任何一种Internet标准。分布 备忘录是无限的。

版权声明

版权所有（C）因特网协会（2003年）。保留所有权利。 抽象

本文档描述了目前部署扩展到远程

身份验证拨入用户服务（RADIUS）协议，允许 到用户会话中的动态变化，实现网络接入 服务器产品。这包括支持断开用户 不断变化的适用到用户会话的授权。

RFC 3576动态授权扩展radius 2003年7月 篇目

1。简介。 。 。 。 。 。 。 。 。 。 。 。 。。。。。 。 。 3 1.1。适用性。 。 。 。 。 。 。 。 。。。 。 。 。 3 1.2。要求语言。 。 。 。 。 。 。 。。。。 。 。 。 5 1.3。术语。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 5

2。概述。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 5 2.1。断开消息（DM）。 。 。 。 。 。。。。 。 。 。 。 5 2.2。更改授权消息（COA）。 。 。 。 。。。。 。 。 。 6 2.3。数据包格式。 。 。 。 。 。 。。 。 。 。 。 。 。 7 3。属性。 。 。 。 。 。 。 。 。 。 。 。。。 。 。 。 。 。 11

3.1。错误原因。 。 。 。 。 。 。 。 。 。 。 。 。 。 13 3.2。属性表。 。 。 。 。 。 。 。 。 。 。。。。 。 16

4。 IANA考虑。 。 。 。 。。。。。。 。 。 。 。 。 。 。 。 20 5。安全注意事项。 。 。 。 。 。 。 。 。 。。 。 。 。 。 。 21 5.1。授权问题。 。 。 。 。 。 。 。 。 。 。 。 。 。 21 5.2。模拟。 。 。 。 。 。 。。。。 。 。 。 。 。 。 22 5.3。 IPsec的使用指南。 。 。 。 。 。 。 。 。 。 22 5.4。重播保护。 。 。 。 。 。 。 。 。 。 。 。 。 25

6。例子。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。。 。 26 7。引用。 。 。 。 。 。 。 。 。 。。 。 。 。 。 。 。 。 。 26 7.1。规范性引用文件。 。 。 。 。 。。。。 。 。 。 。 26 7.2。参考性文献。 。 。 。 。 。。 。 。 。 。 。 。 27

8。知识产权声明。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 。 28 9。鸣谢。 。 。 。 。 。 。 。 。 。。 。 。 。 。 。 。 。 。 28 10。作者地址。 。 。 。 。 。 。 。 。。 。 。 。 。 。 。 。 29 11。版权声明。 。 。 。 。 。 。 。。。。 。 。 。 。 。 。 。 30

RFC 3576动态授权扩展radius 2003年7月

1。介绍

RADIUS协议[RFC2865]中定义，不支持不请自来的数据包从RADIUS服务器发送到网络接入服务器（NAS）。

然而，有许多实例中，这是值得需要的进行会话的特征，而不需要变更的NAS发起了交流。例如，它可能是所需要的功能。管理员能够终止用户会话正在进行中。另外，如果用户更改授权级别，这可能要求授权属性添加/删除用户会话。

为了克服这些限制，一些厂商已经实现了为了能够支持，主动的提供了附加RADIUS命令发送的消息从RADIUS服务器到NAS。这些扩展断开并更改授权命令提供支持（COA）消息。断开消息导致用户会话立即终止，而CoA消息修改会话授权属性，如数据过滤器。

1.1。适用性

该协议被推荐作为出版信息RFC，而不是作为一个标准跟踪RFC因为

不能固定不兼容，而无需创建问题部署实现。这包括安全漏洞，以及语义含糊，因此从设计的更改的授权（COA）命令。虽然修复建议，它们不能被强制性的，因为这将不符合现有的实现。

此协议不支持现有的实现授权检查，使ISP分享的NAS与其他ISP可以断开或改变另一个ISP的用户授权。为了解决这个问题，“反向路径转发”检查推荐。参见5.1节。了解详情。

现有的实现利用每包认证与已知弱点的完整性保护算法[MD5Attack]。为了提供更强的每个数据包的认证和完整性保护，使用IPsec的建议。参见5.3节。为细节。

现有的实现缺乏重播保护。为了支持重放检测，它是建议的事件的Event-Timestamp属性添加到所有数据包的情况下，IPsec的重播未就业的保护。应该是可配置的实现默默丢弃缺乏事件的Event-Timestamp属性的消息。参见5.4节。了解详情。

COA命令所采取的方法，在现有的实现结果在语义含糊。现有的实现COA请求确定受影响的会议，以及提供授权的变化。由于RADIUS属性包含在现有的实现可以用于会话的CoA请求鉴定或授权的变化，它可能不明确功能一个给定的属性服务。

问题并不存在于[Diameter]，其中授权命令使用属性值对（AVP的变化要求）专为识别，从而产生一个标准的开始授权请求/响应序列变化提供。其结果是，在没有命令可以有多个可能的Diameter的AVP的含义。

由于在处理变化的授权请求的差异RADIUS和Diameter，它可能是困难或不可能的

Diameter/radius网关成功地解释现有本规范的实现等效消息

Diameter。例如，一个Diameter命令改变任何属性用于识别在现有的COA请求实现不能被解释，因为这样的授权的变化是不可能开展在现有的实现。同样地，现有的实现之间断开请求解释或COA请求消息和Diameter是棘手的，因为断开请求或COAA-REQUEST消息将需要被解释成多Diameter命令。

为了简化解释的radius和Diameter之间，服务类型属性与价值“仅授权”（可选）之内断开申请或COA请求。这样的要求包含唯一标识属性。一个NAS支持“授权只有“服务型内断开请求或COA请求响应一个NAK包含服务类型属性与价值的“仅授权”属性值“的请求和错误原因启动“。然后，NAS将发送的Access-Request包含服务类型属性的值为“仅授权”。这种用序列是类似的Diameter会发生什么，所以更容易解释由一个Diameter/radius网关。

RFC 3576动态授权扩展到radius为2003年7月

1.2。要求语言

在本文档中，一些字用来表示要求

的规范。这些话往往被资本化。关键字：\\NOT\\\本文档中的[RFC2119]中所描述的将被解释。

1.3。术语

本文频繁使用以下条款：

网络访问服务器（NAS）：该设备提供访问网络。服务：NAS提供给用户的服务，如IEEE 802或PPP。时段：每一个由NAS提供的服务用户构成了会议，定义为会话开始点首先提供服务在会议结束定义为服务结束的地步。一用户可能有多个会话并联或串联，如果NAS支持这一点。静默的丢弃：这意味着实施丢弃未经进一步加工的包。实现应该提供记录错误的能力，包括的内容被静默丢弃的数据包，并应记录在统计计数器事件。

2。概观

本节介绍了最常用的实现的功能 断开并授权更改的消息。

2.1。断开消息（DM）

RADIUS服务器的断开连接请求包发送在NAS终止用户会话，并丢弃所有相关的会话上下文。断开连接请求数据包发送到UDP端口3799，标识NAS以及终止用户会话列入第3节所述的识别属性。

RFC 3576动态授权扩展到radius为2003年7月

+ ---------- + + ---------- +断开请求 | | <-------------------- | | | NAS | |radius| | |断开响应|服务器|

| | ---------------------> | | + ---------- + ---------- +

NAS响应断开由RADIUS请求报文如果所有相关的会话上下文是服务器断开ACK丢弃，不再连接的用户会话，或断开-NAK，如果NAS无法断开会话丢弃所有相关的会话上下文。一个NAS必须响应断开请求，包括服务类型属性值“仅授权”断开ACK必须不能断开NAK发送。一个NAS必须回应一个断开连接请求包括服务类型属性不受支持的值与断开NAK错误原因属性值“不支持的服务”可能包括

在内。 a断开ACK可能包含属性ACCT终止原因（49）[RFC2866]设置的值6帮助复位。

2.2。更改授权消息（COA）

COAA-Request报文中包含的信息动态变化会话授权。这通常是用来修改数据过滤器。无论是入口或出口的数据过滤器可以样，发送除了识别属性第3节中描述。所使用的端口和报文格式（详见在第2.3节），都是一样的，断开请求消息。

下面的属性可能被发送中的CoA要求：

过滤器的ID（11） - 表示数据过滤器列表的名称 会议申请鉴定 属性映射到。

+ ---------- +COA请求+ ---------- + | | <-------------------- | | | NAS | |radius| | |COA响应|服务器|

| | ---------------------> | | + ---------- + ---------- +

NAS响应与RADIUS服务器发送请求的CoA COAA-ACK，如果NAS能够成功改变授权

为用户会话，或者如果请求是不成功的CoA-NAK。一 NAS必须应对的CoA请求包括服务类型属性

千叶，等。信息[6]

RFC 3576动态授权扩展到radius为2003年7月

值“仅授权”的CoA-NAK的CoA-ACK必须不

发送。一个NAS必须应对的CoA请求，包括服务类型 错误原因的CoA-NAK不受支持的值的属性; 属性值“不支持的服务”可能包括在内。

2.3。数据包格式

对于断开请求或的COA请求消息的UDP端口3799 作为目的端口。对于响应，源极和

目的地端口逆转。整整一个RADIUS报文

3。属性

在断开请求和COAA-Request报文中，某些属性 用于唯一地识别的NAS，以及一个上的用户会话 NAS。所有NAS鉴别请求消息中包含的属性 必须匹配，以便断开请求或COA请求

成功，否则断开NAK或COAA-NAK应该被发送。 用于会话标识的属性，用户名称和ACCT 会话ID属性，必须匹配，如果为了使

断开连接请求或COA请求才能成功;其他会议 识别属性应该匹配。如果出现不匹配的会话 识别属性被检测到，断开NAK或COAA-NAK 应该被发送。能够使用NAS或会话身份 属性映射到独特/多个会话范围以外的 本文件。鉴定属性包括NAS和会话 标识特性，如下所述。

NAS识别属性

属性＃参考说明

--------------------------------

NAS-IP地址[RFC2865]在NAS的IPv4地址。 NAS标识符32 [RFC2865]字符串识别NAS。

NAS-IPv6的地址95 [RFC3162]在NAS的IPv6地址。

千叶，等。信息[第11页]

RFC 3576动态授权扩展到radius为2003年7月

会话标识属性

属性＃参考说明

-------------------------------- 用户名1 [RFC2865]的用户名

与会话相关联。 NAS端口5 [RFC2865]的端口

会话被终止。 帧IP地址[RFC2865]关联的IPv4地址

与会话。 被叫站ID 30 [RFC2865]链接地址

会话连接。 呼叫站ID 31 [RFC2865]链接地址

会话连接。 ACCT会话ID 44 [RFC2866]标识符唯一

识别会话 在NAS上。 帐户多会话ID 50 [RFC2866]标识符唯一

确定相关的会议。 NAS端口类型61 [RFC2865]所用的端口类型。 NAS端口ID 87 [RFC2869]字符串识别端口

会话。 始发线路信息94 [NASREQ]提供信息

线的特性 从哪个会话 起源。 框架的接口ID 96 [RFC3162] IPv6接口标识符

与会话相关联; 总是发送

帧IPv6前缀。 帧IPv6前缀97 [RFC3162]相关的IPv6前缀

会议期间，总是发送 与框架接口ID。

要解决安全问题，第5.1节中描述，用户名 属性应该是在断开请求或COA请求 包一个或多个附加的会话标识属性可能 也将出席。节中描述为解决安全问题

5.2，其中NAS-IP-地址或NAS-IPv6的地址中的一个或多个 属性应该出现在断开连接请求或COA请求 包; NAS标识符属性可能是目前除了。

如果一个或多个授权的CoA请求中指定的更改 不能进行，或者如果一个或多个属性或属性

值是不支持的，必须发送COAA-NAK。同样地，如果 在一个或多个不支持的属性或属性值 断开连接请求，断开-NAK必须发送。

千叶，等。信息[第12页]

RFC 3576动态授权扩展到radius为2003年7月

服务类型属性值“仅授权”

包括COA请求或断开请求，属性内 仅较授权的改变，绝不能包含;

鉴定属性是允许的。如果以外的其它属性 NAS或会话身份属性都包含在这样的CoA 要求，实现必须发送的CoA-NAK错误原因 值“不支持的属性”的属性可能包括在内。 同样，如果其他属性比NAS或会话身份 属性都包含在这样一个断开请求，实现 必须发送一个断开-NAK错误原因属性值 可能被列入“不支持的属性”。

3.1。错误原因

描述

这是可能的，NAS不能兑现断开请求或 COA请求消息的一些原因。错误原因属性 提供更多的细节上的问题的原因。这可能是

包括在ACK断开，断开-NAK和CoA-NAK 消息。

概要错误原因属性格式如下所示。该 传输领域从左至右。

0 1 2 3

0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + |类型|长度|值

+ - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + 值（续）|

+ - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - +

类型

101错误的原因

长度

6

值

Value域占4个字节，包含一个整数，指定 错误的原因。值0-199和300-399被保留。 值200-299代表圆满完成，使这些

值仅可断开ACK或COAA-ACK消息内发送 不能发送内断开NAK或COAA-NAK。值

千叶，等。信息[第13页]

RFC 3576动态授权扩展到radius为2003年7月

400-499代表RADIUS服务器犯下致命错误，所以 他们可能被送到内COAA-NAK或断开-NAK消息，

MUST NOT内COAA-ACK或断开-ACK消息的发送。 值500-599代表在NAS或RADIUS发生的致命错误 代理，让他们可能被送到内COAA-NAK和断开NAK 内COAA-ACK或断开-ACK消息，并不能发送 消息。错误的原因值应记录由RADIUS 服务器。错误代码值（十进制）包括：

＃VALUE --------

201剩余会话上下文删除 202无效的EAP报文（忽略） 401不支持的属性 402缺少属性

403 NAS标识不匹配 404无效请求 405不支持服务 406不支持扩展 501管理方式禁止

502请求不可路由（代理） 503会话上下文未找到 504会话上下文不可拆卸 505其他代理加工错误 506资源不可用 507请求

“剩余会话上下文中删除”在响应发送 断开连接请求，如果用户会话不再活跃，但 剩余会话上下文发现并成功拆除。这 值只在断开-ACK发送不能发送

内的CoA-ACK，断开NAK或COAA-NAK。

“无效的EAP包（忽略）”是一个非致命错误，绝不能 本说明书中的实现发送。

“不支持的属性”是一个致命的错误，如果一个请求包含发送 属性（如特定供应商或EAP-Message属性） 不支持。

“缺少属性”关键属性，如果发送的是一个致命错误 （如NAS或会话身份属性）中丢失 请求。

“NAS标识不匹配”是一个致命的错误发送，如果一个或多个 NAS识别属性（见第3章）不匹配

接收请求的NAS身份。

千叶，等。信息[第14页]

RFC 3576动态授权扩展到radius为2003年7月

“无效请求”是一个致命的错误发送，如果一些其他方面的 请求是无效的，例如，如果一个或多个属性（如EAP- 消息属性（S））的格式不正确。

“不支持的服务”是发送一个致命的错误，如果一个服务型 属性包含在请求发送一个无效的或 不支持的值。

“不支持的扩展”是一个致命的错误，由于缺乏支持发送 为扩展名，如断开和/或COA消息。这将 通常会发送一个ICMP端口不可达的代理接收 消息后试图请求转发到NAS。

“政府禁止”是一个致命的错误，如果NAS是发送 配置为禁止指定履行请求消息 会话。

是一个致命的错误，可能由RADIUS发送“请求不可路由” 代理和不能发送的NAS。表示RADIUS 代理是无法确定如何将请求路由到NAS。 例如，这可能发生，如果所需的条目不存在 在代理的境界路由表。

“会话上下文未找到”发送一个致命的错误，如果会话 在NAS上不存在请求的上下文确定。

“会话上下文不可拆卸”是一个致命的错误，发送响应 如果NAS能够查找会话断开请求

上下文，但不能删除它的一些原因。它不能被

内发送的CoA-ACK，COAA-NAK或断开-ACK的，只在 断开-NAK。

“其他代理处理错误”是一个致命的错误，在响应发送 通过代理请求无法得到处理，其他原因

不是路由。

“资源不可用”发送一个致命的错误时，可以请求 不能兑现，由于缺乏可用的NAS资源（内存，非 易失性存储器等）。

“请求启动的”是一个致命的错误，响应于一个请求发送 包括服务类型属性值“仅授权”。

这表明断开连接请求或COA请求一直没有 荣幸，但RADIUS访问请求，包括服务类型 发送给RADIUS属性值“仅授权” 服务器。

千叶，等。信息[第15页]

RFC 3576动态授权扩展到radius为2003年7月

3.2。属性表

下表提供了指导，哪些属性可以被发现 包，多少数量。

更改授权消息

要求ACK NAK＃属性 0-1 0 0 1用户名[注1]

0-1 0 0 4 NAS-IP地址[注1] 0-1 0 0 5 NAS端口[注1] 0-1 0 0-1 6服务类型[注6] 0-1 0 7框架协议[注3] 0-1 0 0 8帧IP地址[注1]

0-1 0 0 9帧IP子网掩码[注3] 0-1 0 0 10帧路由[注3] 0 + 0 0 11过滤器ID [注3] 0-1 0 0 12帧MTU [注3] 0 + 0 0 13帧压缩[注3]

0 + 0 0 14登录IP主机[注3] 0-1 0 0 15登录服务[注3]

0-1 0 0 16登录TCP端口[注3]

0 + 0 0 18回复消息[注2] 0-1 0 0 19回拨号码[注3] 0-1 0 0 20回调ID [注3] 0 + 0 0 22帧路由[注3] 0-1 0 0 23帧IPX网络[注3] 0-1 0-1 0-1 24国[注7] 0 + 0 0 25级[注3]

0 + 0 0 26供应商特定[注3] 0-1 0 0 27会话超时[注3] 0-1 0 0 28空闲超时[注3] 0-1 0 0 29终止行动[注3] 0-1 0 0 30被叫站ID [注1] 0-1 0 0 31呼叫站ID [注1] 0-1 0 0 32 NAS标识符[注1] 0 + 0 + 0 + 33的Proxy-State 0-1 0 0 34登入LAT服务[注3] 0-1 0 0 35登录LAT节点[注3] 0-1 0 0 36登录LAT集团[注3]

0-1 0 0 37帧的AppleTalk链接[注3] 0 + 0 0 38帧的AppleTalk网络[注3] 0-1 0 0 39帧的AppleTalk区[注3] 0-1 0 0 44 ACCT会话ID [注1] 0-1 0 0 50 ACCT多会话ID [注1] 0-1 0-1 0-1 55事件的时间戳 0-1 0 0 61 NAS端口类型[注1] 要求ACK NAK＃属性

千叶，等。信息[第16页]

RFC 3576动态授权扩展到radius为2003年7月

要求ACK NAK＃属性

0-1 0 0 62端口限制[注3]

0-1 0 0 63登录LAT端口[注3] 0 + 0 0 64隧道类型[注5] 0 + 0 0 65隧道中键入[注5]

0 + 0 0 66隧道客户端的端点[注5] 0 + 0 0 67隧道服务器端点[注5] 0 + 0 0 69隧道密码[注5] 0-1 0 0 71 ARAP特点[注3]

0-1 0 0 72的ARAP区访问[注3]

0 + 0 0 78配置令牌[注3] 0 + 0-1 0 79 EAP消息[注2] 0-1 0-1 0-1 80消息验证程序

0 + 0 0 81隧道私人集团ID [注5] 0 + 0 0 82隧道分配ID [注5] 0 + 0 0 83隧道偏好[注5]

0-1 0 0 0 0 0 85的ACCT中期间隔[注3] 0-1 0 0 87 NAS端口ID [注1] 0-1 0 0 88裱游泳池[注3]

0 + 0 0 90隧道客户端验证ID [注5] 0 + 0 0 91隧道服务器的Auth-ID [注5] 0-1 0 0 94始发线信息[注1]

0-1 0 0 95 NAS-IPv6的地址[注1] 0-1 0 0 96帧接口ID [注1] 0 + 0 0 97帧IPv6前缀[注1] 0 + 0 0 98 IPv6的主机登录[注3] 0 + 0 0 99帧IPv6的路线[注3] 0-1 0 0 100帧IPv6的游泳池[注3] 0 0 0 + 101错误的原因 要求ACK NAK＃属性

断开消息

要求ACK NAK＃属性 0-1 0 0 1用户名[注1]

0-1 0 0 4 NAS-IP地址[注1] 0-1 0 0 5 NAS端口[注1] 0-1 0 0-1 6服务类型[注6] 0-1 0 0 8帧IP地址[注1] 0 + 0 0 18回复消息[注2] 0-1 0-1 0-1 24国[注7] 0 + 0 0 25级[注4] 0 + 0 0 26供应商特定

0-1 0 0 30被叫站ID [注1] 0-1 0 0 31呼叫站ID [注1] 0-1 0 0 32 NAS标识符[注1] 0 + 0 + 0 + 33的Proxy-State 要求ACK NAK＃属性

千叶，等。信息[第17页]

RFC 3576动态授权扩展到radius为2003年7月

要求ACK NAK＃属性

0-1 0 0 44 ACCT会话ID [注1] 0-1 0-1 0 49 ACCT终止原因

0-1 0 0 50 ACCT多会话ID [注1] 0-1 0-1 0-1 55事件的时间戳 0-1 0 0 61 NAS端口类型[注1] 0 + 0-1 0 79 EAP消息[注2] 0-1 0-1 0-1 80消息验证程序 0-1 0 0 87 NAS端口ID [注1] 0-1 0 0 94始发线信息[注1]

0-1 0 0 95 NAS-IPv6的地址[注1] 0-1 0 0 96帧接口ID [注1] 0 + 0 0 97帧IPv6前缀[注1] 0 + 0 + 101错误的原因 要求ACK NAK＃属性

[注1]在NAS或会话标识属性都包含 在断开连接请求或COA请求消息，用于 仅供识别。这些属性必须不得用于 比识别其他用途（如内COA请求消息 请求授权的变化）。

[注2]回复消息属性用于显示一个可显示

的消息给用户。只显示该信息已被作为结果的 成功断开请求或COA请求（断开-ACK

或COAA-ACK随后被发送）。凡使用EAP进行

认证，EAP-Message/Notification-Request的属性被发送 相反，断开ACK或COAA-ACK消息包含一个EAP- 消息/通知响应属性。

[注3]内包含的CoA请求时，这些属性 授权代表变更请求。当其中一个 属性被删去的CoA请求时，NAS假定 属性值是不变的。包含在属性

COA请求相同的属性（S）取代现有的值（s）。

[注4]一个成功的断开连接请求（其中包括在当 断开ACK随后发送），class属性应 由客户端发送未修改计费服务器

会计停止包。如果断开连接请求是不成功的， 然后class属性不被处理。

[注5]包括内COA请求时，这些属性 授权代表变更请求。在隧道的属性（S）

一个成功的COA请求，所有现有的隧道内发送 属性被删除，取而代之的是新的属性（次）。

千叶，等。信息[第18页]

RFC 3576动态授权扩展到radius为2003年7月

[注6]当断开请求或COA请求，包括在 服务类型属性值“仅授权”表示 请求只包含NAS和会话识别属性， NAS应该尝试重新授权发送接入

请求与服务类型属性值“仅授权”。

这使得使用模型类似于支持Diameter，从而 宽松两种协议之间的解释。支持 服务型属性是可选的COAA请求和内 断开请求消息，它不包括的地方，请求 消息可能包含识别和授权属性。 一个NAS不支持服务类型属性的值 “仅授权”内断开请求必须回应一个 断开-NAK包括无服务类型属性;错误原因

属性值“不支持的服务”可能包括在内。一个NAS 不支持服务类型属性的值

“仅授权”的CoA请求内必须响应的CoA-NAK 不包括服务类型属性的错误原因属性 值“不支持的服务”可能包括在内。

一个NAS支持“仅授权”服务类型值内 必须回应一个断开连接请求或COA请求消息 断开-NAK或COAA-NAK分别包含一个服务类型 属性值“仅授权”，和一个错误的原因属性

值“的要求发起的。”然后，NAS发送的Access-Request 服务类型属性值的RADIUS服务器

“仅授权”。该访问请求应该包含NAS 从断开或COAA请求的属性，以及该会话 属性的Access-Request请求法律列入

[RFC2865]中指定的[RFC2868] [RFC2869]及[RFC3162]。如 注意在[RFC2869]第5.19节，Message-Authenticator属性

应包括在不包含的Access-Request

用户密码，CHAP密码，ARAP密码或EAP-Message属性。 RADIUS服务器发回的Access-Accept（重新）授权 会议或访问拒绝拒绝（重新）授权。

[注7]国家属性由RADIUS发送

在断开连接请求或COAA-Request消息和服务器的NAS 必须从NAS向RADIUS服务器在发送未修改 随后的ACK或NAK消息。如果一个服务型属性 值“仅授权”被包括在一个中断请求或COA 请求一起国家属性，国家属性必须

从NAS向RADIUS服务器发送未修改产生

向RADIUS服务器发送访问请求，如果有的话。国家 也可将属性由RADIUS服务器发送

NAS的CoA请求中，还包括一个终止动作 RADIUS请求属性的值。如果客户端执行 通过发送一个新的访问请求后终止行动 终止当前的会话，它必须包括国家

千叶，等。信息[第19页]

RFC 3576动态授权扩展到radius为2003年7月

在该访问请求的属性不变。在任何一种使用情况， 客户端不能视之为本地属性。 a断开，

请求或COA请求数据包必须有只有零个或一个国家 属性。 State属性的用法是依赖于实现。 如果RADIUS服务器不承认国家中的属性 访问请求，那么它必须发送访问拒绝。

下表定义了上述表项的含义。

0这个属性不能在包中出现。

0 +零个或多个实例，该属性中可能存在 数据包。

0-1零个或一个实例，这个属性可以在包中出现。 1究竟该属性的一个实例必须是在包中出现。

4。 IANA考虑

此文件使用RADIUS [RFC2865]命名空间，见

。有六个 更新部分：RADIUS报文类型代码。这些数据包 类型分配[RADIANA]：

40 - 断开请求 41 - 断开-ACK 42 - 断开-NAK 43 - COAA请求 44 - COAA-ACK 45 - COAA-NAK

分配一个新的服务类型值“仅授权”

请求。该文件还使用UDP [RFC768]命名空间，见

。作者请求 从已注册的端口范围端口分配。最后，这种 规范分配属性（101）错误原因 小数点后的值：

＃VALUE --------

201剩余会话上下文删除 202无效的EAP报文（忽略） 401不支持的属性 402缺少属性

403 NAS标识不匹配 404无效请求 405不支持服务 406不支持扩展 501管理方式禁止

502请求不可路由（代理）

千叶，等。信息[第20页]

RFC 3576动态授权扩展到radius为2003年7月

503会话上下文未找到 504会话上下文不可拆卸 505其他代理加工错误 506资源不可用 507请求

5。安全注意事项

5.1。授权问题

凡NAS是由多个供应商共享，这是不可取的 一个供应商能够发送断开连接请求或COA请求的 影响另一个供应商的会议。

一个NAS或RADIUS代理必须丢弃断开请求或

从不受信任来源的的COA请求消息。默认情况下，RADIUS 代理应执行“反向路径转发（RPF）检查 验证源于一个断开请求或COA请求

授权的RADIUS服务器。此外，它应该有可能 明确授权其他来源的断开请求或

COAA-Request报文中涉及到某些类别的会话。为 例如，一个特定的源可以被明确授权发送 COA请求有关的消息一组领域内的用户。

要进行RPF检查，代理使用的会话标识

断开连接请求或COA请求消息中包含的属性， 命令，以确定在RADIUS服务器（s）到一个等效 访问请求进行路由。如果源地址的

断开连接请求或COA请求是在此集合，然后 请求被转发，否则它必须被丢弃。

通常情况下，代理将提取的境界，从网络访问 标识符[RFC2486]内包含User-Name属性， 在代理路由，确定相应的RADIUS服务器

表。该领域的RADIUS服务器，然后进行比较的

该数据包的源地址。如果没有RADIUS代理的存在， RPF检查将需要执行的NAS本身。

由于授权发送断开请求或COA请求 确定的基础上的源地址和相应的共享

秘密，当属或股东代理人应配置不同的共享 每个RADIUS服务器的秘密。

千叶，等。信息[第21页]

RFC 3576动态授权扩展到radius为2003年7月

5.2。模拟

[RFC2865]第3种状态：

RADIUS服务器必须使用的源IP地址的RADIUS UDP 数据包来决定共享秘密使用，使RADIUS 可以代理请求。

当RADIUS请求转发代理服务器，NAS-IP地址或 NAS-IPv6的地址属性通常会不匹配源

解决观察到RADIUS服务器。由于NAS标识符 属性不包含的FQDN，这个属性可能不 解析观察RADIUS服务器的源地址，甚至 当没有代理的存在。

其结果是，由RADIUS服务器进行的真实性检查，或 代理不验证NAS识别的正确性

属性。这使得它可以为一个流氓NAS开拓NAS-IP 内的地址，NAS-IPv6的地址或NAS标识符属性 RADIUS访问请求以冒充另一台NAS。这是 一个流氓NAS也有可能伪造会话标识 如被叫站ID，呼叫站ID，或属性

始发线信息[NASREQ]。这可能愚弄RADIUS服务器 到发送断开连接请求或COA请求消息中包含 伪造会话标识属性，通过有针对性的到NAS 攻击者。

为了解决这些漏洞应该检查是否RADIUS代理 NAS识别属性（见第3节）。匹配源

源自NAS的数据包的地址。其中一个或多个 属性不匹配，断开请求或COA请求消息 应该被丢弃。

这样的检查可能不总是可能的。由于NAS标识符 属性不对应的FQDN，它可能无法解析

一个IP地址进行匹配的源地址。此外，如

RADIUS客户端和代理之间存在一个NAT，检查NAS IP地址或NAS IPv6的地址属性未必可行。

5.3。 IPsec的使用指南

除了独特的断开或COA的安全漏洞 消息，本文档中描述的协议交换

容易受到相同的漏洞为RADIUS [RFC2865]。这是 建议的IPsec被用来买得起更好的安全性。

千叶，等。信息[第22页]

RFC 3576动态授权扩展到radius为2003年7月

本规范的实现应该支持IPsec [RFC2401]

随着IKE [RFC2409]密钥管理。的IPsec ESP [RFC2406] 与一个非空的变换应予以支持，和IPsec ESP与 应非空的加密变换和认证支持

用于提供每个数据包的保密性，身份验证，完整性 和重放保护。应该用于IKE密钥管理。

radius内的[RFC2865]，用于隐藏共享的秘密 如用户密码的属性，以及用于计算 回应认证。在RADIUS计费[RFC2866] 使用共享密钥在计算双方的请求 Authenticator和回应认证。

由于在RADIUS共享密钥是用来提供保密

以及完整的保护和身份认证，只有使用的IPsec 与一个非空变换的ESP可以提供安全服务 足以取代RADIUS应用层安全。

因此，其中的IPsec AH或ESP空时，它通常会 仍然是必要的配置RADIUS共享密钥。

RADIUS的IPsec ESP跑过来一个非空的变换， NAS和RADIUS服务器之间共享的秘密可能不

配置的。在这种情况下，零长度必须是一个共享的秘密 假定。然而，不知道是否传入的RADIUS服务器 交通IPsec保护的必须配置一个非空的RADIUS 共享的秘密。

当IPsec ESP是用于与RADIUS，每包认证， 必须使用的完整性和重放保护。 3DES-CBC必须 作为加密变换和AES-CBC支持，应予以支持。 应提供AES-CBC作为首选的加密变换

支持。作为身份验证，必须支持HMAC-SHA1-96 变换。 DES-CBC不应该被用作加密变换。

一个典型的IPsec策略IPsec功能的RADIUS客户端 “启动IPsec，我到任何目标端口UDP 1812”的。这 IPsec策略导致的IPsec SA将设立由RADIUS客户端 在发送之前，RADIUS流量。如果某些RADIUS服务器联络 客户端不支持IPsec的，那么一个更细化的政策将

要求：“启动IPsec，我支持IPSec的RADIUS服务器， 目标端口UDP 1812。“

对于客户端执行本规范，政策将

“接受IPsec，从任何我，目的端口UDP 3799”。这 导致RADIUS客户端接受（但不要求）使用IPsec的。 它可能不适合需要对所有RADIUS服务器的IPsec 连接到启用IPsec RADIUS客户端，因为某些RADIUS 服务器可能不支持IPsec。

千叶，等。信息[第23页]

RFC 3576动态授权扩展到radius为2003年7月

对于IPsec功能的RADIUS服务器，一个典型的IPsec策略是“接受 IPSEC，从任何给我，目的端口号为1812。“这将导致

RADIUS服务器来接受（但不要求）使用IPsec的。它可能不 是需要IPsec对所有RADIUS客户端连接到适当的

启用IPsec的RADIUS服务器，因为某些RADIUS客户端可能无法 支持IPsec。

对于实施本规范的服务器，该政策将

“启动IPsec，从我到任何目标端口UDP 3799”。这 RADIUS服务器发送RADIUS时启动IPsec

扩展任何RADIUS客户端的流量。如果某些RADIUS客户端 接触服务器不支持IPsec，那么更细化的 政策须，如“启动IPsec，从我的IPsec

能RADIUS客户端，目标端口UDP 3799“的。

IPsec是用于安全，以及没有RADIUS共享密钥 配置，它是重要的RADIUS客户端和服务器执行 授权检查。之前使主机充当一个RADIUS

客户端，应检查主机是否被授权的RADIUS服务器 提供网络接入。同样，在实现了主机充当

作为RADIUS服务器，RADIUS客户端应该检查主机是否 该角色的授权。

可以配置RADIUS服务器的IP地址（IKE 野蛮模式，预共享密钥）或FQDN（证书

身份验证）RADIUS客户端。另外，如果一个单独的 认证机构（CA）存在的RADIUS客户端，然后

RADIUS服务器可以配置此CA作为信任锚[RFC3280] 使用IPsec的。

同样，可以配置RADIUS客户端的IP地址

（预共享密钥IKE野蛮模式）或FQDN（例如， 证书认证）的RADIUS服务器。另外，如果

不同的CA存在的RADIUS服务器，RADIUS客户端 配置此CA作为信任锚与IPsec使用。

由于不像SSL / TLS，IKE不准许证书政策

证书策略设置每个端口的基础上，需要适用于所有

RADIUS客户端和服务器上的IPsec用途。在IPSec部署 仅支持证书认证，管理站

启动IPsec保护的RADIUS服务器的telnet会话 需要获得RADIUS客户端CA证书链。 如果管理，发出这样的证书可能不适合 站没有被授权作为RADIUS客户端。

RADIUS客户端可以动态获取IP地址（如

支持DHCP接入点），主要使用预共享密钥模式 [RFC2409]不应使用，因为这需要使用一组

千叶，等。信息[第24页]

RFC 3576动态授权扩展到radius为2003年7月

预共享密钥，而是应该使用野蛮模式。哪里

RADIUS客户端地址是静态分配的，无论是积极的

模式或主模式下也可以使用。证书认证，主要 模式应该被使用。

护理需要采取与IKE阶段1身份载荷选择 为了使身份映射的预共享密钥，即使有

野蛮模式。凡ID_IPV4_ADDR或ID_IPV6_ADDR身份 有效载荷的使用和地址是动态分配的，绘制 键身份是不可能的，使该组预共享密钥

仍然是一个现实必要性。其结果是，ID_FQDN身份 在野蛮模式的情况下，应采用有效载荷 一起使用预共享密钥，IP地址是动态

分配。这种方法还具有其他优势，因为它允许 RADIUS服务器和客户端来配置自己的基础上， 完全合格域名同龄人。

需要注意的是使用IPsec，安全服务的谈判

粒度的IPsec SA，所以需要一系列的RADIUS交流 与现有的谈判不同的安全服务

IPsec SA的需要协商一个新的IPsec SA。独立的IPSec SA 也建议考虑服务质量决定

不同的处理RADIUS的谈话。尝试应用 不同的服务质量相同的IPsec处理连接 SA可能会导致重新排序，属于重播窗口。 有关的问题的讨论，请参阅[RFC2983]。

5.4。重播保护

IPsec保护重播的没有被使用，事件的时间戳（55） 应该被包含在所有的消息属性[RFC2869]。何时

这个属性是存在的，无论是NAS和RADIUS服务器必须 检查事件的时间戳属性是当前内

可接受的时间。如果事件的时间戳属性

电流，那么这个消息必须被悄悄丢弃。这意味着 在网络内的时间同步的需要，它可以是

通过各种手段，包括安全NTP，中所描述的实现 [NTPAUTH]。

NAS和RADIUS服务器应该是可配置默默地 丢弃消息缺乏事件的时间戳属性。默认的 300秒的时间的建议。

千叶，等。信息[第25页]

RFC 3576动态授权扩展到radius为2003年7月

6。例如跟踪

断开请求用户名：

0：XXXX XXXX XXXX XXXX XXXX 2801 001C 1b23。B. .... $ - （....＃ 16：624C 3543 CEBA 55f1 BE55 A714 ca5e 0108 BL5C U. .. U. .. ^ .. 32：6d63 6869 6261

断开请求帐户会话ID：

0：XXXX XXXX XXXX XXXX XXXX 2801 001E ad0d的。.... ?（..... 16：8e53 55b6 BD02 a0cb ace6 4E38 77bd 2c0a苏....... N8W。 32：3930 3233 3435 3637 90234567

断开请求帧IP地址：

0：XXXX XXXX XXXX XXXX XXXX 2801 001A 0bda，B. ....“2。（..... 16：33fe 765B 05f0 FD9C C32A 2f6b 5182 0806 3.V [..... * / KQ ... 32：0A00 0203

7。参考文献

7.1。规范性引用文件

[RFC1305]米尔斯，D.，“网络时间协议（第3版） 规范，实施与分析“，RFC 1305， 1992年3月。

[RFC1321]李维斯特，R.，“MD5消息摘要算法”，RFC 1321年，1992年4月。

[RFC2104] Krawczyk，H.，Bellare等M. R.卡内蒂，“HMAC： 键控 - 散列的消息认证“，RFC 2104， 1997年2月。

[RFC2119]布拉德纳S.，“关键词使用RFC中指出

要求级别“，BCP 14，RFC 2119，1997年3月。

[RFC2401]肯特，S.和R.阿特金森，“安全架构

互联网协议“，RFC 2401，1998年11月。

[RFC2406]肯特，S.和R.阿特金森的“IP封装安全

负载（ESP）“，RFC 2406，1998年11月。

[RFC2409]哈金斯，D.和D.柯达德，“互联网密钥交换 （IKE）“，1998年11月，RFC 2409。

千叶，等。信息[第26页]

RFC 3576动态授权扩展到radius为2003年7月

[RFC2434] Narten T. H.阿尔韦斯特兰德的“写作指南 在RFC一个IANA考虑组“，BCP 26，RFC 2434，1998年10月。

[RFC2486] Aboba，B.和M，执棒的捕役，“网络访问 标识符“，RFC 2486，1999年1月。

[RFC2865]里格尼，C.，威伦斯，S.，鲁本斯，A.·辛普森， “远程身份验证拨入用户服务（RADIUS）”， RFC 2865，2000年6月。

[RFC2866]里格尼，C.，“RADIUS记帐”，RFC 2866，2000年6月。

[RFC2869]里格尼，C.，Willats，W.和P.卡尔霍恩的“RADIUS 扩展“，RFC 2869，2000年6月。

[RFC3162] Aboba，B.，佐恩，G.和D，米顿，“RADIUS和IPv6” RFC 3162，2001年8月。

[RFC3280]豪斯利，R.，波尔克总统，福特，布什和D.独奏，“互联网 X.509公钥基础设施证书和

证书撤销列表（CRL）的资料“，RFC 3280，

2002年4月。

[RADIANA] Aboba，B.，“IANA考虑RADIUS（远程

身份验证拨入用户服务）“，RFC 3575，七月 2003年。

7.2。信息参考

[RFC2882]米顿，D.，“网络访问服务器的要求：

扩展的RADIUS常规“，RFC 2882，2000年7月。

[RFC2983]黑色，D.“差异化服务和隧道”，RFC 2983年，2000年10月。

，B. [AAATransport] Aboba J.伍德，“身份验证，授权 和计费（AAA）传输轮廓“，RFC 3539， 2003年6月。

[Diameter]卡尔霍恩，P.，等。“Diameter基础协议”，工作 进展。

[MD5Attack] Dobbertin的，H.，“MD5后，最近状态

攻击“，CryptoBytes 2卷2期，1996年夏季。

[NASREQ]卡尔霍恩，P.，等人，“Diameter网络接入服务器 应用程序“，工作正在进行中。

千叶，等。信息[第27页]

RFC 3576动态授权扩展到radius为2003年7月

[NTPAUTH]米尔斯，D.，“公钥加密的网络

时间协议“，正在进行的工作。

8。知识产权声明

IETF将不采取任何立场，有效性或范围的任何有关 知识产权或其他权利，它可能声称 属于中所述的技术的实施或使用

本文件或在何种程度上这种权利的任何许可 可能或可能无法使用，它也没有代表，它

已作出任何努力，以确定任何该等权利。上的信息 IETF的标准程序权利跟踪和

标准相关的文档，可以发现在BCP-11。副本 权利主张出版和提供任何保证， 要提供的许可证，或尝试的结果作出 获得牌照或许可使用这种

专有权利本规范的执行者或用户 从IETF秘书处通过以下方式获得。

IETF邀请任何有兴趣的一方提请其注意的任何 著作权，专利权或专利申请，或其他专有 可以覆盖技术的权利的情况下，可能需要练习 本标准。请解决信息IETF执行 董事。

9。致谢

该协议最早开发和分发登高

通讯。他们的免费的服务器分布在示例代码 套件。

笔者想承认了宝贵的建议和 从下面的人的反馈：

AVI利奥尔 兰迪布什的，

史蒂夫·贝拉文 格伦 - 佐恩，

马克·琼斯， 克劳迪奥拉皮迪， 阿努拉格巴Batta

Kuntal乔杜里， 蒂姆·摩尔。 拉斯豪斯利的

千叶，等。信息[第28页]

RFC 3576动态授权扩展到radius为2003年7月

10。作者地址

千叶穆尔塔扎 思科系统公司 170西塔斯曼博士 圣何塞CA，95134

电子邮件：mchiba@cisco.com 电话：+1 408 525 7198

戈帕尔Dommety的 思科系统公司 170西塔斯曼博士 圣何塞，CA 95134

电子邮件：gdommety@cisco.com 电话：+1 408 525 1404

马克·埃克伦德 思科系统公司 170西塔斯曼博士 圣何塞，CA 95134

电子邮件：meklund@cisco.com 电话：+1 865 671 6255

大卫·米顿

循环逻辑UNLTD。 收费公路街733＃154 北部Andover，MA 01845

电子邮件：david@mitton.com 电话：+1 978 683 1814

伯纳德Aboba的 微软公司

一个微软之路 雷德蒙，WA 98052

电子邮件：bernarda@microsoft.com 电话：+1 425 706 6605 传真：+1 425 936 7329

千叶，等。信息[第29页]

RFC 3576动态授权扩展到radius为2003年7月

11。版权声明

版权所有（C）因特网协会（2003年）。保留所有权利。

本文档及其译文可以拷贝和提供给

他人，其派生作品，评论或以其他方式解释 或协助其实施可能会有所准备，复制，出版 和分发，全部或部分，没有任何限制 样，上述版权声明和本段

包含在所有的拷贝和衍生作品。然而，这 文件本身不得以任何方式修改，比如删除 版权声明或参考互联网协会或其他 互联网组织为目的，根据需要，除

在这种情况下的程序开发Internet标准 在Internet标准过程中的版权定义必须是 其次，或需要把它解释成英语以外的 英语。

上述许可是永久性的，不会是

撤销由互联网协会或其继承人或受让人。

本文件所载资料提供的

“AS IS”的基础上，互联网协会互联网工程 专案组否认所有明示或暗示的保证，包括 包括但不限于任何担保，使用信息 此处不会侵犯任何权利或暗示的保证 适销性或针对特定用途的适用性。 鸣谢

目前提供的资金为RFC编辑功能 互联网协会。

千叶，等。信息[第30页]

本文来源：https://www.bwwdw.com/article/tiep.html