有效地使用它的接受緩存。
2.9.7 AAA協議必須對提供負載均衡的支持。
   如果一個實體對不能接受任何最近的請求，那么AAA協議必須允許在實體對之間實現
請求負載的均衡。
2.10 接口
2.10.1 應當可以使授權數據用于應用的目的。
   例如，在訪問web時，如果授權數據包含一個組名、機制，使得應用可獲得此數據，以
便修改最初想要請求的URL。
2.10.2 應當可以使授權數據能用于調整一個請求的響應。
   例如，訪問web時，清除屬性值可能影響HTTP響應消息的內容。
2.10.3 AAA協議應當能夠在請求者沒有提前注冊（至少是為了授權目的，但是也可以是為
了驗證目的）的情況下操作。
   這在衡量有多個請求者的AAA解決方案時是必要的。.
2.10.4 AAA協議必須能夠支持授權和記賬機制之間的連接。
2.10.5 AAA協議必須能夠支持可記帳（審計/不可否認）機制。
   有時，一個授權決定在請求者尚未驗證的情況下作出。在這種情況下，使用的授權數據
必須和審計或其它責任機制相聯系。注意：這個需求不要求必須支持數字簽名或其它不可否
認解決方案的某些部分。
2.11 協商
2.11.1 AAA協議必須支持訪問授權包集合的能力，以便允許雙方協商得到一個共同的集合。 
   給定的雙方可能支持不同的授權屬性類型和包的組合，這個需求說明要求協議確保雙方
使用兩方都支持的包。
2.11.2 必須能夠協商兩個不直接通訊的AAA實體間的授權包。
   這說明，例如在包含一個代理程序的情況下，目的AAA服務器可能仍然需要協商。
2.11.3 如果協商結果不能得出一個可接受的共同支持集合，那么訪問必須被拒絕。
   例如，如果服務器不能理解請求者的屬性，那么就不能授予訪問權限。
2.11.4 如果協商結果不能得出一個可接受的共同支持集合，那么應當產生一個錯誤指示發送
給另外的AAA實體。
   如果協商失敗，那么經常需要管理員進行干預，并且應當提供支持的協議。
2.11.5 可以提前規定協商的結果，但是這種情況下，AAA協議必須包含對“協商結果”的
確認。
   即使配置了雙方支持的包，這也必須在假設兩端配置相同前進行確認。
2.11.6 對于每一個使用AAA協議的應用來說，必須有一個“強制執行”的、可互操作的授
權包IETF標準追蹤規范。
   這個需求保證通訊雙方能夠指望發現提供了至少一個IETF指定的可互操作的AAA協
議，它們完成對一個共同應用的特殊問題域的授權。這不排除對共同理解，但專用的AAA
協議授權包類型（比方說，廠商指定的細節）的協商。
2.11.7 還應當可以按照優先權的順序對AAA協商選項進行排列。
   這說明，當協商時，雙方必須能夠標識優先權以及性能。
2.11.8 AAA協議使用的協商機制不應當易于受到“bidding-down”攻擊。
   "bidding-down"攻擊是指攻擊者強迫協商雙方選擇可得到的“最弱”選項。這和在一個鏈
接上強迫40比特加密是類似的。這個需求強調需要協議支持以阻值此類攻擊，舉例來說，
如果驗證已經產生了一個共享的密碼，那么可以把協商消息作為后面MAC計算的部分。
2.11.9 通訊雙方不能發送前面成功協商不同意的授權包和屬性類。如果發生這樣的AAA協
議破壞，那么必須要給錯誤行動的對方發送錯誤指示，并且給網絡操作者產生一個錯誤指示。 
2.11.10 通訊雙方必須在初始化協商查詢包中公布所有它理解的授權包集合。
3. 需要考慮的安全問題
   本文檔包含特定的安全需求。
   本文檔不聲明任何關于驗證、記帳或可記帳性（審計）之間相互影響的詳細需求。 
   一個滿足所有以上這些需求的AAA協議，可能因為這樣的互操作而導致脆弱性。這些
問題必須當作AAA協議設計的一部分加以考慮。
4. 參考書目
   [FRMW]     Vollbrecht, J., Calhoun, P., Farrell, S., Gommans, L., Gross, G., de Bruijn, B., 
de Laat, C., Holdrege, M. and D. Spence, "AAA Authorization Framework", RFC 2904, August 
2000.
   [RFC2026]  Bradner, S., "The Internet Standards Process -- Revision 3", BCP 9, RFC 2026, 
October 1996.
   [RFC2119]  Bradner, S., "Key words for use in RFCs to Indicate Requirement Levels", BCP 
14, RFC 2119, March 1997.
   [RFC2138]  Rigney, C., Rubens, A., Simpson, W. and S. Willens, "Remote Authentication 
Dial In User Service (RADIUS)", RFC 2138, April 1997.
   [RFC2277]  Alvestrand, H., "IETF Policy on Character Sets and Languages", RFC 2277, 
January 1998.
   [SAMP]     Vollbrecht, J., Calhoun, P., Farrell, S., Gommans, L., Gross, G., de Bruijn, B., 
de Laat, C., Holdrege, M. and D. Spence, "AAA Authorization Application Examples", RFC 2905, 
August 2000.
作者的地址
   Stephen Farrell
   Baltimore Technologies
   61/62 Fitzwilliam Lane
   Dublin 2,
   IRELAND
   Phone: +353-1-647-7300
   Fax: +353-1-647-7499
   EMail: stephen.farrell@baltimore.ie
   John R. Vollbrecht
   Interlink Networks, Inc.
   775 Technology Drive, Suite 200
   Ann Arbor, MI  48108
   USA
   Phone: +1 734 821 1205
   Fax:   +1 734 821 1235
   EMail: jrv@interlinknetworks.com
   Pat R. Calhoun
   Network and Security Research
   Center, Sun Labs
   Sun Microsystems, Inc.
   15 Network Circle
   Menlo Park, California, 94025
   USA
   Phone:  +1 650 786 7733
   Fax:  +1 650 786 6445
   EMail:  pcalhoun@eng.sun.com
   Leon Gommans
   Enterasys Networks EMEA
   Kerkplein 24
   2841 XM  Moordrecht
   The Netherlands
   Phone: +31 182 379279
   email: gommans@cabletron.com
          or at University of Utrecht:
          l.h.m.gommans@phys.uu.nl
   George M. Gross
   Lucent Technologies
   184 Liberty Corner Road, m.s.
   LC2N-D13
   Warren, NJ 07059
   USA
   Phone:  +1 908 580 4589
   Fax:    +1 908-580-4991
   EMail:  gmgross@lucent.com
   Betty de Bruijn
   Interpay Nederland B.V.
   Eendrachtlaan 315
   3526 LB Utrecht
   The Netherlands
   Phone: +31 30 2835104
   EMail: betty@euronet.nl
   Cees T.A.M. de Laat
   Physics and Astronomy dept.
   Utrecht University
   Pincetonplein 5,
   3584CC Utrecht
   Netherlands
   Phone: +31 30 2534585
   Phone: +31 30 2537555
   EMail: delaat@phys.uu.nl
   Matt Holdrege
   ipVerse
   223 Ximeno Ave.
   Long Beach, CA 90803
   EMail: matt@ipverse.com
   David W. Spence
   Interlink Networks, Inc.
   775 Technology Drive, Suite 200
   Ann Arbor, MI  48108
   USA
   Phone: +1 734 821 1203
   Fax:   +1 734 821 1235
   EMail: dspence@interlinknetworks.com
完整版權聲明
   Copyright (C) The Internet Society (2000).  All Rights Reserved.
   This document and translations of it may be copied and furnished to others, and derivative 
works that comment on or otherwise explain it or assist in its implementation may be prepared, 
copied, published and distributed, in whole or in part, without restriction of any kind, provided 
that the above copyright notice and this paragraph are included on all such copies and derivative 
works.  However, this document itself may not be modified in any way, such as by removing the 
copyright notice or references to the Internet Society or other Internet organizations, except as 
needed for the purpose of developing Internet standards in which case the procedures for 
copyrights defined in the Internet Standards process must be followed, or as required to translate it 
into languages other than English.
   The limited permissions granted above are perpetual and will not be revoked by the Internet 
Society or its successors or assigns.
   This document and the information contained herein is provided on an "AS IS" basis and THE 
INTERNET SOCIETY AND THE INTERNET ENGINEERING TASK FORCE DISCLAIMS 
ALL WARRANTIES, EXPRESS OR IMPLIED, INCLUDING BUT NOT LIMITED TO ANY 
WARRANTY THAT THE USE OF THE INFORMATION HEREIN WILL NOT INFRINGE 
ANY RIGHTS OR ANY IMPLIED WARRANTIES OF MERCHANTABILITY OR FITNESS 
FOR A PARTICULAR PURPOSE.
Acknowledgement
   Funding for the RFC Editor function is currently provided by the Internet Society.

RFC2906——AAA Authorization Requirements                                        AAA授權要求


13
RFC文檔中文翻譯計劃