RFC: 3748
Оригинал: Extensible Authentication Protocol (EAP)
Предыдущие версии: RFC 2284
Категория: Предложенный стандарт
Дата публикации:
Авторы: , , , ,
Перевод: Николай Малых

7.13. Разделение идентифицирующей стороны и внутреннего сервера

Для сервера EAP и партнера возможна взаимная идентификация и создание ключа AAA для криптографического набора, который будет использоваться для защиты последующего трафика. Это не составляет проблемы для идентифицируемой стороны, поскольку партнер и клиент EAP находятся на одной машине. Все, что требуется от клиента — это создание ключа AAA из ключей MSK и EMSK, экспортируемых методом EAP и последующая передача сеансового ключа TSK модулю криптонабора.

Однако при размещении идентифицирующей стороны и сервера идентификации на разных машинах возникает ряд вопросов.

  • Идентификация может происходить между сервером и партнером, но не между идентифицирующей стороной и партнером. Это означает, что партнер не может проверить идентификационные данные идентифицирующей стороны, используя только EAP.
  • Как обсуждалось в [RFC3579], идентифицирующая сторона зависит от протокола AAA в плане получения информации о результатах идентификационной транзакции и не видит инкапсулированный пакет EAP (если он присутствует) для определения результата. На практике это означает, что протокол AAA, используемый для обмена между идентифицирующей стороной и сервером, дожен поддерживать идентификацию, защиту целостности и предотвращение повторного использования на уровне отдельных пакетов.
  • После завершения транзакции EAP при включенных функциях защиты на нижележащем уровне (таких, как конфиденциальность, целостность и предотвращение повторного использования на уровне пакетов) протоколу защищенной связи следует работать между идентифицирующей стороной и партнером для обеспечения взаимной идентификации сторон, гарантии жизненности сеансовых ключей, предоставления защищенного согласования криптонабора и возможностей для последующей передачи данных, а также синхронизации использования ключа.
  • Ключ AAA созданный на основе MSK и/или EMSK, согласованный между сервером идентификации и партнером может быть передан идентифицирующей стороне. Следовательно, требуется механизм передачи ключа AAA от сервера идентифицирующей стороне, которой этот ключ нужен. Спецификация механизмов создания, транспортировки и «заворачивания» ключа AAA-key выходит за пределы этого документа. Информация о создании AAA-Key имеется в документе [KEYFRAME].
2007 - 2017 © Русские переводы RFC, IETF, ISOC.