些“安全”缺省值,除非另外配置/治理 。
这说明配置必须是“安全的”,例如,假如不配置AAA实体,那么授权决定应当拒绝访
问 。注重,对“安全”的解释应当根据情况的不同而不同,虽然原则是相同的 。
2.3时间
2.3.1授权信息必须是及时的,也就是说信息必须有期限,并且在某种情况下可以在期满以
前撤销 。
这说明授权信息本身在任何时候都不认为是有效的,授权信息的每个部分必须与清楚的
或绝对的有效期或生存期相关联 。
2.3.2AAA协议必须提供在特定权限下,撤销授权信息的机制 。
虽然有效期或生命期较长,所以可能需要撤销授权信息,例如当一个人离开公司时 。注
意,这个需求并不指定一个非凡的撤销规划,所以不需要黑名单或CRLs 。
2.3.3一组属性可以有一个关联的有效期,使得这组属性只能在此期间用来做授权决定 。有
效期可以相对较长(例如,几个月)或较短(几个小时或几分钟) 。
这说明有时需要明确的有效期字段 。
2.3.4授权决定可能是对时间敏感的 。必须有对诸如“工作时间”或等价概念的支持 。
这说明AAA协议必须能够支持时间控制属性的传输,虽然并不要求AAA协议必须包含
一种表示“工作时间”类约束的标准方法 。
2.3.5必须可以支持产生依靠于时间的结果的授权决定 。
例如,授权结果可能是服务应当在一定时期内提供 。在这时,AAA协议必须能够传输这
个信息,可能是作为授权决定的指定结果,或者是作为附加的“服务终止”AAA消息以后
传输 。
2.3.6必须支持授权信息在授权决定之前发布的模型,而不是在接近做出授权决定时 。
这样作是为了支持预付费(和预订相反)情况(如,VoIP) 。
2.3.7必须可以支持在服务请求之前做出授权决定的模型 。
这是因为某些应用程序,如备份,它们的操作安排到了将来的日子 。还包括那些需要预
留资源的应用 。
2.3.8AAA机制必须答应授权信息携带时间戳信息(例如,用于不可否认服务) 。
PKIXWG(Public-KeyInfrastrUCture(X.509)WG(pkix-wg))正在开发时间戳协议,可作
为不可否认解决方案的一部分 。在某些环境下,某些AAA协议消息必须带有时间戳(由可
信任的权威加盖时间戳)并且时间戳在随后的AAA消息中转发 。
2.4拓扑
2.4.1AAA协议必须能够支持使用推、拉和代理模式 。
这说明只支持一个模式的协议,比如拉,不能满足所有应用的需求 。模式在[FRMW]中
定义 。
2.4.2在包含多个AAA实体的事务/会话中,每一“跳”可以使用一个不同推/拉/代理模式 。
例如,对于移动IP来说,一个“外来”AAA服务器可以从代理程序拉到授权信息,然
而代理程序可以把某些授权信息推到一个“本地”AAA服务器 。
2.4.3AAA协议必须适用于那些应用和服务,它们包含在应用或AAA协议中的实体属于不
同的(安全的)域 。
这说明对于任何AAA协议消息必须可以跨安全或治理域边界 。典型的,当跨越这样的
边界时,使用高安全级别,并且记账机制也必须更加严格 。
2.4.4AAA协议必须支持漫游 。
这里的漫游也可以被认为是“离开家”操作 。例如,这是移动IP的基本需要 。
2.4.5AAA协议应当支持动态移动性 。
这里的动态移动是指,客户端从一个域移至另一个域,而不需要完全重建,保留了所有
的AAA会话信息 。
2.4.6授权决定必须可以在请求者和网络有任何其它连接以前做出 。
例如,这意味着请求者不可以在网络中游走,随意读取东西,必须通过应用/服务或通过
推荐阅读
- 手机淘宝授权怎么取消
- 基于MPLS的流量工程要求
- 驾照照片要求穿什么衣服
- 参军要求什么条件?
- 如何解决PowerAMP验证授权失败
- 滴滴出行对车辆的要求是什么
- 纺纱用的胶圈有什么内外表要求
- 外汇有什么要求
- 牛舍建设要求
- 雪花牛肉生产要求