圖 。
這說明，一個(gè)AAA實(shí)體必須可以把授權(quán)信息分布到另一個(gè)上，而且說明接收這個(gè)規(guī)則
的AAA實(shí)體可以只看作問題的部分 。
2.1.17AAA協(xié)議必須支持要害和非要害屬性類 。
這和在公鑰證書擴(kuò)展中使用要害程度標(biāo)志是類似的 。
2.1.18AAA協(xié)議必須答應(yīng)授權(quán)規(guī)則按照已評(píng)估的其它授權(quán)規(guī)則組合來表示 。
例如，假如請(qǐng)求者是備份用戶組而不是治理員組的成員時(shí)才準(zhǔn)許訪問 。注重，這個(gè)要求
沒有說明支持何種類型的組合 。
2.1.19應(yīng)當(dāng)可以基于請(qǐng)求者的地理位置、服務(wù)或AAA實(shí)體做出授權(quán)決定 。
這僅是一個(gè)授權(quán)屬性類的例子，明顯是因?yàn)樗蟛煌幕A(chǔ)實(shí)現(xiàn)機(jī)制 。
2.1.20應(yīng)當(dāng)可以基于請(qǐng)求者、服務(wù)或AAA實(shí)體使用的身份或裝備做出授權(quán)決定 。
這僅是一個(gè)授權(quán)屬性類的例子，明顯是因?yàn)樗赡芤蟛煌幕A(chǔ)實(shí)現(xiàn)機(jī)制（假如不可
利用IPSec） 。
2.1.21當(dāng)一個(gè)給定的屬性有多個(gè)實(shí)例時(shí)，一定有個(gè)明確的機(jī)制使得接收對(duì)可決定指定實(shí)例的
值 。
2.2授權(quán)信息的安全
2.2.1必須使授權(quán)信息可安全地在AAA和應(yīng)用協(xié)議中通訊 。必須指定機(jī)制保持信息的真實(shí)
性、完整性和保密性 。
這說明必須有很好定義的方法保護(hù)授權(quán)信息的安全，但并不總是需要使用這樣的方法 。
當(dāng)然，是否支持為了一致性而要求的這些機(jī)制是開放的 。非凡的，必須提供機(jī)制禁止鏈中間
的服務(wù)治理員讀取或改變?cè)诹硗鈨蓚€(gè)AAA實(shí)體間的授權(quán)信息 。
2.2.2AAA協(xié)議必須答應(yīng)使用授權(quán)信息的適當(dāng)安全級(jí)別 。AAA協(xié)議必須支持?jǐn)?shù)據(jù)完整性/一
致性等的高安全機(jī)制和低安全機(jī)制 。
重要的是AAA協(xié)議不要造成負(fù)擔(dān)太大的安全開銷，因而并不總需要使用指定的安全機(jī)
制（雖然不使用它們可能會(huì)影響授權(quán)決定） 。
2.2.3安全要求可能根據(jù)授權(quán)信息包的不同部分而不同 。
某些部分可能要求一致性和完整性，某些部分可能只要求完整性 。這有力地說明了需要
類似選擇字段的安全機(jī)制 。例如，獲得訪問一個(gè)網(wǎng)絡(luò)所需要的信息必須是明確的，有時(shí)訪問
網(wǎng)絡(luò)中一個(gè)應(yīng)用所需的信息必須在AAA協(xié)議中加密 。
2.2.4AAA協(xié)議必須提供機(jī)制來防止中間治理員破壞安全 。
阻止中間人攻擊，比如中間治理員改變傳送中的AAA消息，這是個(gè)基本要求 。
2.2.5AAA協(xié)議必不能打開基于重放授權(quán)信息的重放攻擊 。
例如，AAA協(xié)議不應(yīng)當(dāng)答應(yīng)擴(kuò)散法攻擊，否則攻擊者重放AAA消息，而接收者需要使
用大量的CPU或通訊才能探測(cè)出重放 。
2.2.6AAA協(xié)議必須能夠平衡任何實(shí)體對(duì)驗(yàn)證機(jī)制，它們可能已經(jīng)應(yīng)用－這可提供額外的確
認(rèn)，保證授權(quán)信息的擁有者和驗(yàn)證實(shí)體是相同的 。例如，假如IPSec提供了足夠證實(shí)，那么
就可以省略AAA協(xié)議驗(yàn)證 。
2.2.7授權(quán)信息包可能要求端到端的機(jī)密性、完整性、對(duì)等實(shí)體驗(yàn)證或認(rèn)可 。
這說明必須為部分AAA消息提供機(jī)密性（resp.其它安全服務(wù)），即使是通過其它AAA
實(shí)體傳輸 。當(dāng)然答應(yīng)這樣的AAA消息也可以包含非機(jī)密性（resp.其它安全服務(wù)）部分 。另
外，中間的AAA實(shí)體認(rèn)為自己在應(yīng)用于AAA消息其余部分的端到端安全服務(wù)中是終結(jié)點(diǎn) 。
2.2.8AAA協(xié)議即使在不需要驗(yàn)證實(shí)體對(duì)的情況下（比如，在一個(gè)安全LAN中，網(wǎng)絡(luò)地址
就完全可以決定），也必須是可用的 。
這個(gè)要求（在某種意義上和2.2.6相反）指明需要的靈活程度，以便使AAA協(xié)議可在很
廣泛的應(yīng)用/服務(wù)范圍內(nèi)使用 。
2.2.9AAA協(xié)議必須為所有的協(xié)議選項(xiàng)指定“安全”缺省值 。AAA實(shí)體的實(shí)現(xiàn)必須使用這

推薦閱讀

• 

  馬油的功效與作用 馬油對(duì)人有什么好處
• 

  12歲孩子厭學(xué)的心理原因 12歲孩子厭學(xué)怎么管教
• 

  武漢工程大學(xué)自考本科助學(xué)班怎么樣 武漢工程大學(xué)自考本科助學(xué)班有用嗎
• 

  如何防止電飯鍋蛋糕糊
• 

  美團(tuán)新用戶首單規(guī)則
• 

  華為mate40pro官網(wǎng)價(jià)格 官方翻新機(jī)售價(jià)6199元起
• 

  去海邊游玩需要注意什么 去海灘游玩必須注意什么
• 

  車損險(xiǎn)一定要拍現(xiàn)場(chǎng)嗎
• 

  德力西開關(guān)多少錢 德力西開關(guān)是幾線品牌
• 

  烏鴉喝水的故事告訴我們什么道理 烏鴉喝水的故事告訴我們什么道理一年級(jí)
• 

  劍靈回歸怎么玩
• 

  斑點(diǎn)狗多少錢一只幼犬？？看完你就知道了
• 

  不一樣的愛作文
• 

  潛水料的英文怎么說
• 

  云南農(nóng)業(yè)大學(xué)西校區(qū)，云南農(nóng)業(yè)大學(xué)東校區(qū)和西校區(qū)離多遠(yuǎn)
• 

  青花瓷手機(jī)，現(xiàn)在的青花瓷手機(jī)有哪些？

• 手機(jī)淘寶授權(quán)怎么取消
• 基于MPLS的流量工程要求
• 駕照照片要求穿什么衣服
• 參軍要求什么條件？
• 如何解決PowerAMP驗(yàn)證授權(quán)失敗
• 滴滴出行對(duì)車輛的要求是什么
• 紡紗用的膠圈有什么內(nèi)外表要求
• 外匯有什么要求
• 牛舍建設(shè)要求
• 雪花牛肉生產(chǎn)要求