[要約] RFC 5609は、ネットワークアクセスの認証を行うためのプロトコルであるPANAの状態機械に関するものです。このRFCの目的は、PANAプロトコルの状態遷移を明確に定義し、実装の一貫性と相互運用性を向上させることです。
Network Working Group V. Fajardo, Ed.
Request for Comments: 5609 Telcordia Technologies
Category: Informational Y. Ohba
Toshiba
R. Marin-Lopez
Univ. of Murcia
August 2009
State Machines for the Protocol for Carrying Authentication for Network Access (PANA)
ネットワークアクセスのための認証を運ぶためのプロトコルのためのマシン(PANA)
Abstract
概要
This document defines the conceptual state machines for the Protocol for Carrying Authentication for Network Access (PANA). The state machines consist of the PANA Client (PaC) state machine and the PANA Authentication Agent (PAA) state machine. The two state machines show how PANA can interface with the Extensible Authentication Protocol (EAP) state machines. The state machines and associated models are informative only. Implementations may achieve the same results using different methods.
このドキュメントでは、ネットワークアクセス(PANA)の認証を運ぶためのプロトコルの概念状態マシンを定義しています。状態マシンは、PANAクライアント(PAC)ステートマシンとPANA認証エージェント(PAA)ステートマシンで構成されています。2つの状態マシンは、パナがどのように拡張可能な認証プロトコル(EAP)状態マシンと編成できるかを示しています。状態マシンと関連モデルは有益です。実装は、異なる方法を使用して同じ結果を達成する場合があります。
Status of This Memo
本文書の位置付け
This memo provides information for the Internet community. It does not specify an Internet standard of any kind. Distribution of this memo is unlimited.
このメモは、インターネットコミュニティに情報を提供します。いかなる種類のインターネット標準を指定しません。このメモの配布は無制限です。
Copyright Notice
著作権表示
Copyright (c) 2009 IETF Trust and the persons identified as the document authors. All rights reserved.
Copyright(c)2009 IETF Trustおよび文書著者として特定された人。全著作権所有。
This document is subject to BCP 78 and the IETF Trust's Legal Provisions Relating to IETF Documents in effect on the date of publication of this document (http://trustee.ietf.org/license-info). Please review these documents carefully, as they describe your rights and restrictions with respect to this document.
このドキュメントは、BCP 78およびこのドキュメントの公開日(http://trustee.ietf.org/license-info)に有効なIETFドキュメントに関連するIETF Trustの法的規定の対象となります。この文書に関するあなたの権利と制限を説明するので、これらの文書を注意深く確認してください。
Table of Contents
目次
1. Introduction ....................................................3
2. Terminology .....................................................3
3. Interface between PANA and EAP ..................................3
4. Document Authority ..............................................5
5. Notations .......................................................5
6. Common Rules ....................................................6
6.1. Common Procedures ..........................................6
6.2. Common Variables ...........................................9
6.3. Configurable Values .......................................10
6.4. Common Message Initialization Rules .......................10
6.5. Common Retransmission Rules ...............................10
6.6. Common State Transitions ..................................11
7. PaC State Machine ..............................................12
7.1. Interface between PaC and EAP Peer ........................12
7.1.1. Delivering EAP Messages from PaC to EAP Peer .......12
7.1.2. Delivering EAP Messages from EAP Peer to PaC .......12
7.1.3. EAP Restart Notification from PaC to EAP Peer ......13
7.1.4. EAP Authentication Result Notification from
EAP Peer to PaC ....................................13
7.1.5. Alternate Failure Notification from PaC to
EAP Peer ...........................................13
7.2. Configurable Values .......................................13
7.3. Variables .................................................14
7.4. Procedures ................................................15
7.5. PaC State Transition Table ................................15
8. PAA State Machine ..............................................21
8.1. Interface between PAA and EAP Authenticator ...............21
8.1.1. EAP Restart Notification from PAA to EAP
Authenticator ......................................21
8.1.2. Delivering EAP Responses from PAA to EAP
Authenticator ......................................22
8.1.3. Delivering EAP Messages from EAP
Authenticator to PAA ...............................22
8.1.4. EAP Authentication Result Notification from
EAP Authenticator to PAA ...........................22
8.2. Variables .................................................23
8.3. Procedures ................................................24
8.4. PAA State Transition Table ................................24
9. Implementation Considerations ..................................29
9.1. PAA and PaC Interface to Service Management Entity ........29
10. Security Considerations .......................................29
11. Acknowledgments ...............................................29
12. References ....................................................29
12.1. Normative References .....................................29
12.2. Informative References ...................................30
This document defines the state machines for the Protocol for Carrying Authentication for Network Access (PANA) [RFC5191]. There are state machines for the PANA Client (PaC) and for the PANA Authentication Agent (PAA). Each state machine is specified through a set of variables, procedures, and a state transition table. The state machines and associated models described in this document are informative only. Implementations may achieve similar results using different models and/or methods.
このドキュメントでは、ネットワークアクセス(PANA)[RFC5191]の認証を運ぶためのプロトコルの状態マシンを定義しています。PANAクライアント(PAC)とPANA認証エージェント(PAA)用の状態マシンがあります。各ステートマシンは、一連の変数、手順、および状態遷移テーブルを通じて指定されています。このドキュメントで説明されている状態マシンと関連するモデルは有益です。実装は、異なるモデルや方法を使用して同様の結果を達成する場合があります。
A PANA protocol execution consists of several exchanges to carry authentication information. Specifically, EAP PDUs are transported inside PANA PDUs between PaC and PAA; that is, PANA represents a lower layer for EAP. Thus, a PANA state machine bases its execution on an EAP state machine execution and vice versa. Thus, this document also shows for each of PaC and PAA an interface between an EAP state machine and a PANA state machine and how this interface allows to exchange information between them. Thanks to this interface, a PANA state machine can be informed about several events generated in an EAP state machine and make its execution conditional to its events.
パナプロトコルの実行は、認証情報を伝えるためのいくつかの交換で構成されています。具体的には、EAP PDUはPACとPAAの間のパナPDU内で輸送されます。つまり、パナはEAPの下層を表しています。したがって、Pana State Machineは、EAP State Machineの実行に基づいて実行され、その逆も同様です。したがって、このドキュメントは、PACとPAAのそれぞれについて、EAP状態マシンとPana Stateマシンとの間のインターフェイスと、このインターフェイスによりそれらの間の情報を交換する方法も示しています。このインターフェイスのおかげで、Pana Stateマシンは、EAP Stateマシンで生成されたいくつかのイベントについて通知し、その実行をイベントに条件とすることができます。
The details of EAP state machines are out of the scope of this document. Additional information can be found in [RFC4137]. Nevertheless, PANA state machines presented here have been coordinated with state machines shown by [RFC4137].
EAP状態マシンの詳細は、このドキュメントの範囲外です。追加情報は[RFC4137]にあります。それにもかかわらず、ここに提示されたパナ州のマシンは、[RFC4137]によって示された状態マシンと調整されています。
This document, apart from defining PaC and PAA state machines and their interfaces to EAP state machines (running on top of PANA), provides some implementation considerations, taking into account that it is not a specification but an implementation guideline.
このドキュメントは、PACおよびPAAステートマシンとそのインターフェイスをEAPステートマシン(PANAの上で実行)に定義することとは別に、仕様ではなく実装ガイドラインであることを考慮して、いくつかの実装に関する考慮事項を提供します。
This document reuses the terminology used in [RFC5191].
この文書は、[RFC5191]で使用される用語を再利用します。
PANA carries EAP messages exchanged between an EAP peer and an EAP authenticator (see Figure 1). Thus, a PANA state machine interacts with an EAP state machine.
Panaは、EAPピアとEAP認証器の間で交換されるEAPメッセージを伝えます(図1を参照)。したがって、パナステートマシンはEAPステートマシンと相互作用します。
Two state machines are defined in this document: the PaC state machine (see Section 7) and the PAA state machine (see Section 8). The definition of each state machine consists of a set of variables, procedures, and a state transition table. A subset of these variables and procedures defines the interface between a PANA state machine and an EAP state machine, and the state transition table defines the PANA state machine behavior based on results obtained through them.
このドキュメントでは、2つの状態マシンが定義されています。PAC状態マシン(セクション7を参照)とPAAステートマシン(セクション8を参照)。各状態マシンの定義は、一連の変数、手順、および状態遷移テーブルで構成されています。これらの変数と手順のサブセットは、Pana State MachineとEAP State Machineの間のインターフェイスを定義し、状態遷移テーブルは、それらを介して得られた結果に基づいてPana Stateマシンの動作を定義します。
On the one hand, the PaC state machine interacts with an EAP peer state machine in order to carry out the PANA protocol on the PaC side. On the other hand, the PAA state machine interacts with an EAP authenticator state machine to run the PANA protocol on the PAA side.
一方では、PACステートマシンは、PAC側のパナプロトコルを実行するために、EAPピアステートマシンと対話します。一方、PAA状態マシンは、EAP認証状態のマシンと対話して、PAA側でパナプロトコルを実行します。
Peer |EAP Auth
EAP <---------|------------> EAP
^ | | ^ |
| | | EAP-Message | | EAP-Message
EAP-Message | |EAP-Message | | |
| v |PANA | v
PaC <---------|------------> PAA
Figure 1: Interface between PANA and EAP
図1:パナとEAPの間のインターフェース
Thus, two interfaces are needed between PANA state machines and EAP state machines, namely:
したがって、パナステートマシンとEAPステートマシンの間に2つのインターフェイスが必要です。
o Interface between the PaC state machine and the EAP peer state machine
o PACステートマシンとEAPピアステートマシンの間のインターフェース
o Interface between the PAA state machine and the EAP authenticator state machine
o PAAステートマシンとEAP認証ステートマシンの間のインターフェース
In general, the PaC and PAA state machines present EAP messages to the EAP peer and authenticator state machines through the interface, respectively. The EAP peer and authenticator state machines process these messages and send EAP messages through the PaC and PAA state machines that are responsible for actually transmitting this message, respectively.
一般に、PACおよびPAA州のマシンは、それぞれインターフェイスを介してEAPピアおよび認証装置状態マシンにEAPメッセージを提示します。EAPピアおよび認証装置のマシンは、これらのメッセージを処理し、実際にこのメッセージの送信を担当するPACおよびPAAステートマシンを介してEAPメッセージを送信します。
For example, [RFC4137] specifies four interfaces to lower layers: (i) an interface between the EAP peer state machine and a lower layer, (ii) an interface between the EAP standalone authenticator state machine and a lower layer, (iii) an interface between the EAP full authenticator state machine and a lower layer, and (iv) an interface between the EAP backend authenticator state machine and a lower layer. In this document, the PANA protocol is the lower layer of EAP and only the first three interfaces are of interest to PANA. The second and third interfaces are the same. In this regard, the EAP standalone authenticator or the EAP full authenticator and its state machine in [RFC4137] are referred to as the EAP authenticator and the EAP authenticator state machine, respectively, in this document. If an EAP peer and an EAP authenticator follow the state machines defined in [RFC4137], the interfaces between PANA and EAP could be based on that document. Detailed definition of interfaces between PANA and EAP are described in the subsequent sections.
たとえば、[RFC4137]は4つのインターフェイスをより低いレイヤーに指定します。(i)EAPピアステートマシンと下層層の間のインターフェース、(ii)EAPスタンドアロン認証状態マシンと下層層の間のインターフェイス、(iii)anEAPフル認証状態の状態マシンと下層の間のインターフェース、および(iv)EAPバックエンド認証状態マシンと下層の間のインターフェイス。このドキュメントでは、PanaプロトコルはEAPの下層層であり、最初の3つのインターフェイスのみがパナにとって興味深いものです。2番目と3番目のインターフェイスは同じです。この点で、このドキュメントでは、EAPスタンドアロン認証器または[RFC4137]のEAPフル認証器とその状態マシンは、それぞれEAP認証器とEAP認証状態マシンと呼ばれます。EAPピアとEAP認証器が[RFC4137]で定義されている状態マシンに従っている場合、PANAとEAPの間のインターフェイスはそのドキュメントに基づいている可能性があります。パナとEAPの間のインターフェイスの詳細な定義については、後続のセクションで説明します。
This document is intended to comply with the technical contents of any of the related documents ([RFC5191] and [RFC4137]). When there is a discrepancy, the related documents are considered authoritative and they take precedence over this document.
このドキュメントは、関連するドキュメント([RFC5191]および[RFC4137])のいずれかの技術的な内容に準拠することを目的としています。矛盾がある場合、関連する文書は権威あると見なされ、この文書よりも優先されます。
The following state transition tables are completed mostly based on the conventions specified in [RFC4137]. The complete text is described below.
次の状態遷移表は、主に[RFC4137]で指定された規則に基づいて完了します。完全なテキストについては、以下に説明します。
State transition tables are used to represent the operation of the protocol by a number of cooperating state machines each comprising a group of connected, mutually exclusive states. Only one state of each machine can be active at any given time.
状態遷移表は、接続された相互に排他的な状態のグループで構成される多くの協力状態マシンによるプロトコルの動作を表すために使用されます。いつでもアクティブにできるのは、各マシンの1つの状態のみです。
All permissible transitions from a given state to other states and associated actions performed when the transitions occur are represented by using triplets of (exit condition, exit action, exit state). All conditions are expressions that evaluate to TRUE or FALSE; if a condition evaluates to TRUE, then the condition is met. A state "ANY" is a wildcard state that matches any state in each state machine except those explicitly enumerated as exception states. The exit conditions of a wildcard state are evaluated after all other exit conditions specific to the current state are met.
特定の状態から他の状態へのすべての許容される遷移と、移行が発生したときに実行される関連するアクションは、(出口条件、出口アクション、出口状態)のトリプレットを使用して表されます。すべての条件は、真またはfalseを評価する式です。条件がtrueに評価された場合、条件は満たされます。状態「任意」は、例外状態として明示的に列挙されているものを除き、各状態マシンの任意の状態に一致するワイルドカード状態です。ワイルドカード状態の出口条件は、現在の状態に固有の他のすべての出口条件が満たされた後に評価されます。
On exit from a state, the exit actions defined for the state and the exit condition are executed exactly once, in the order that they appear. (Note that the procedures defined in [RFC4137] are executed on entry to a state, which is one major difference from this document.) Each exit action is deemed to be atomic; i.e., execution of an exit action completes before the next sequential exit action starts to execute. No exit action executes outside of a state block. The exit actions in only one state block execute at a time even if the conditions for execution of state blocks in different state machines are satisfied. All exit actions in an executing state block complete execution before the transition to and execution of any other state blocks. The execution of any state block appears to be atomic with respect to the execution of any other state block, and the transition condition to that state from the previous state is TRUE when execution commences. The order of execution of state blocks in different state machines is undefined except as constrained by their transition conditions. A variable that is set to a particular value in a state block retains this value until a subsequent state block executes an exit action that modifies the value.
状態からの出口では、状態と出口条件に対して定義された出口アクションが、それらが表示される順序で正確に1回実行されます。([RFC4137]で定義されている手順は、状態への入力時に実行されます。これは、このドキュメントとの大きな違いです。)各出口アクションは原子と見なされます。つまり、次のシーケンシャル出口アクションが実行される前に、出口アクションの実行が完了します。状態ブロックの外で出口アクションは実行されません。異なる状態マシンでの状態ブロックの実行条件が満たされた場合でも、1つの状態ブロックのみの出口アクションは一度に実行されます。実行中の状態ブロックのすべての終了アクションは、他の状態ブロックへの移行と実行の前に実行されます。状態ブロックの実行は、他の状態ブロックの実行に関して原子的であるように見え、実行が開始されたときに前の状態からその状態への遷移条件は真実です。異なる状態マシンでの状態ブロックの実行順序は、移行条件によって制約される場合を除き、未定義です。状態ブロック内の特定の値に設定される変数は、その後の状態ブロックが値を変更する出口アクションを実行するまで、この値を保持します。
On completion of the transition from the previous state to the current state, all exit conditions occurring during the current state (including exit conditions defined for the wildcard state) are evaluated until an exit condition for that state is met.
前の状態から現在の状態への移行が完了すると、現在の状態(ワイルドカード状態で定義された出口条件を含む)で発生するすべての出口条件が、その状態の出口条件が満たされるまで評価されます。
Any event variable is set to TRUE when the corresponding event occurs and set to FALSE immediately after completion of the action associated with the current state and the event.
任意のイベント変数は、対応するイベントが発生し、現在の状態とイベントに関連付けられたアクションの完了直後にfalseに設定されたときにTRUEに設定されます。
The interpretation of the special symbols and operators used is defined in [RFC4137].
使用される特別なシンボルと演算子の解釈は、[RFC4137]で定義されています。
There are following procedures, variables, message initializing rules, and state transitions that are common to both the PaC and PAA state machines.
PACとPAA州の両方のマシンに共通する手順、変数、メッセージ初期化ルール、および状態遷移があります。
Throughout this document, the character string "PANA_MESSAGE_NAME" matches any one of the abbreviated PANA message names, i.e., "PCI", "PAR", "PAN", "PTR", "PTA", "PNR", "PNA".
このドキュメント全体で、文字文字列「Pana_Message_Name」は、「PCI」、「PAR」、「PAN」、「PTR」、「PTA」、「PNR」、「PNA」、つまり「PCI」、「PAR」、「PAN」、「PAN」、「PAN」名のいずれかと一致します。
void None()
void none()
A null procedure, i.e., nothing is done.
ヌル手順、つまり、何も行われません。
void Disconnect()
void disconnect()
A procedure to delete the PANA session as well as the corresponding EAP session and authorization state.
PANAセッションと、対応するEAPセッションと承認状態を削除する手順。
boolean Authorize()
boolean authorize()
A procedure to create or modify authorization state. It returns TRUE if authorization is successful. Otherwise, it returns FALSE. It is assumed that Authorize() procedure of PaC state machine always returns TRUE. In the case that a non-key-generating EAP method is used but a PANA SA is required after successful authentication (generate_pana_sa() returns TRUE), Authorize() procedure must return FALSE.
認証状態を作成または変更する手順。承認が成功した場合、それは真実です。それ以外の場合、それはfalseを返します。PACステートマシンのauthorize()手順は常に真実であると想定されています。非キー生成EAPメソッドが使用されますが、成功した認証(Generate_pana_sa()がtrueを返す)後にパナsaが必要である場合、authorize()手順はfalseを返す必要があります。
void Tx:PANA_MESSAGE_NAME[flag](AVPs)
void tx:pana_message_name [flag](avps)
A procedure to send a PANA message to its peering PANA entity. The "flag" argument contains one or more flags (e.g., Tx:PAR[C]) to be set to the message, except for 'R' (Request) flag. The "AVPs" contains a list of names of optional AVPs to be inserted in the message, except for AUTH AVP.
PANAメッセージをPeering Panaエンティティに送信する手順。「フラグ」引数には、「r」(要求)フラグを除き、メッセージに設定する1つ以上のフラグ(Tx:par [c])が含まれています。「AVP」には、AUTH AVPを除き、メッセージに挿入されるオプションのAVPの名前のリストが含まれています。
This procedure includes the following action before actual transmission:
この手順には、実際の送信前の次のアクションが含まれています。
if (flag==S)
PANA_MESSAGE_NAME.S_flag=Set;
if (flag==C)
PANA_MESSAGE_NAME.C_flag=Set;
if (flag==A)
PANA_MESSAGE_NAME.A_flag=Set;
if (flag==P)
PANA_MESSAGE_NAME.P_flag=Set;
PANA_MESSAGE_NAME.insert_avp(AVPs);
if (key_available())
PANA_MESSAGE_NANE.insert_avp("AUTH");
void TxEAP()
void txeap()
A procedure to send an EAP message to the EAP state machine to which it interfaces.
EAPメッセージをインターフェイスするEAPステートマシンに送信する手順。
void RtxTimerStart()
void rtxtimerstart()
A procedure to start the retransmission timer, reset RTX_COUNTER variable to zero, and set an appropriate value to RTX_MAX_NUM variable. Note that RTX_MAX_NUM is assumed to be set to the same default value for all messages. However, implementations may also reset RTX_MAX_NUM in this procedure and its value may vary depending on the message that was sent.
再送信タイマーを起動し、RTX_Counter変数をゼロにリセットし、RTX_MAX_NUM変数に適切な値を設定する手順。rtx_max_numは、すべてのメッセージの同じデフォルト値に設定されると想定されることに注意してください。ただし、実装はこの手順でRTX_MAX_NUMをリセットする場合があり、その値は送信されたメッセージによって異なる場合があります。
void RtxTimerStop()
void rtxtimerstop()
A procedure to stop the retransmission timer.
再送信タイマーを停止する手順。
void SessionTimerReStart(TIMEOUT)
void sessiontimerrestart(タイムアウト)
A procedure to (re)start the PANA session timer. TIMEOUT specifies the expiration time associated with the session timer. Expiration of TIMEOUT will trigger a SESS_TIMEOUT event.
パナセッションタイマーを(再)開始する手順。タイムアウトセッションタイマーに関連付けられた有効期限を指定します。タイムアウトの有効期限は、sess_timeoutイベントをトリガーします。
void SessionTimerStop()
void sessiontimerstop()
A procedure to stop the current PANA session timer.
現在のパナセッションタイマーを停止する手順。
void Retransmit()
void再送信()
A procedure to retransmit a PANA message and increment RTX_COUNTER by one(1).
パナメッセージを再送信し、RTX_Counterを1つ(1)で再送信する手順。
void EAP_Restart()
void eap_restart()
A procedure to (re)start an EAP conversation resulting in the re-initialization of an existing EAP session.
EAP会話を(再)開始する手順により、既存のEAPセッションが再初期化されます。
void PANA_MESSAGE_NAME.insert_avp("AVP_NAME1", "AVP_NAME2",...)
void pana_message_name.insert_avp( "avp_name1"、 "avp_name2"、...)
A procedure to insert AVPs for each specified AVP name in the list of AVP names in the PANA message. When an AVP name ends with "*", zero, one, or more AVPs are inserted; otherwise, one AVP is inserted.
PANAメッセージのAVP名のリストに指定された各AVP名にAVPを挿入する手順。AVP名が「*」で終わると、ゼロ、1つ、またはそれ以上のAVPが挿入されます。それ以外の場合、1つのAVPが挿入されます。
boolean PANA_MESSAGE_NAME.exist_avp("AVP_NAME")
boolean pana_message_name.exist_avp( "avp_name")
A procedure that checks whether an AVP of the specified AVP name exists in the specified PANA message and returns TRUE if the specified AVP is found, otherwise returns FALSE.
指定されたAVP名のAVPが指定されたPANAメッセージに存在し、指定されたAVPが見つかった場合にtrueを返すかどうかを確認する手順。
boolean generate_pana_sa()
boolean generate_pana_sa()
A procedure to check whether the EAP method being used generates keys and that a PANA SA will be established on successful authentication. For the PaC, the procedure is also used to check and match the PRF and Integrity algorithm AVPs advertised by the PAA in PAR[S] message. For the PAA, it is used to indicate whether a PRF and Integrity algorithm AVPs will be sent in the PAR[S]. This procedure will return TRUE if a PANA SA will be generated. Otherwise, it returns FALSE.
使用されているEAPメソッドがキーを生成するかどうかを確認する手順と、成功した認証時にパナSAが確立されることを確認します。PACの場合、この手順は、PAAによって宣伝されているPAR [S]メッセージで宣伝されているPRFおよびIntegrityアルゴリズムAVPをチェックおよびマッチングするためにも使用されます。PAAの場合、PRFおよび整合性アルゴリズムAVPがPAR [S]で送信されるかどうかを示すために使用されます。この手順は、Pana SAが生成される場合にtrueを返します。それ以外の場合、それはfalseを返します。
boolean key_available()
boolean key_available()
A procedure to check whether the PANA session has a PANA_AUTH_KEY. If the state machine already has a PANA_AUTH_KEY, it returns TRUE. If the state machine does not have a PANA_AUTH_KEY, it tries to retrieve a Master Session Key (MSK) from the EAP entity. If an MSK is retrieved, it computes a PANA_AUTH_KEY from the MSK and returns TRUE. Otherwise, it returns FALSE.
PANAセッションにPANA_AUTH_KEYがあるかどうかを確認する手順。状態マシンに既にPANA_AUTH_KEYがある場合、それはtrueに戻ります。州のマシンにPANA_AUTH_KEYがない場合、EAPエンティティからマスターセッションキー(MSK)を取得しようとします。MSKが取得された場合、MSKからPANA_AUTH_KEYを計算し、trueを返します。それ以外の場合、それはfalseを返します。
PAR.RESULT_CODE
par.result_code
This variable contains the Result-Code AVP value in the PANA-Auth-Request message in process. When this variable carries PANA_SUCCESS, it is assumed that the PAR message always contains an EAP-Payload AVP that carries an EAP-Success message.
この変数には、プロセス中のPANA-Auth-Requestメッセージに結果コードAVP値が含まれています。この変数がPANA_SUCCESSを搭載する場合、PARメッセージには常にEAP-SUCSESSメッセージを伝えるEAPペイロードAVPが含まれていると想定されています。
NONCE_SENT
nonce_sent
This variable is set to TRUE to indicate that a Nonce-AVP has already been sent. Otherwise, it is set to FALSE.
この変数は、非CE-AVPがすでに送信されていることを示すためにTrueに設定されています。それ以外の場合、それはfalseに設定されています。
RTX_COUNTER
rtx_counter
This variable contains the current number of retransmissions of the outstanding PANA message.
この変数には、未解決のパナメッセージの現在の再送信数が含まれています。
Rx:PANA_MESSAGE_NAME[flag]
RX:pana_message_name [flag]
This event variable is set to TRUE when the specified PANA message is received from its peering PANA entity. The "flag" contains a flag (e.g., Rx:PAR[C]), except for 'R' (Request) flag.
このイベント変数は、指定されたパナメッセージがピアリングパナエンティティから受信されると、trueに設定されます。「フラグ」には、「r」(要求)フラグを除き、フラグ(rx:par [c])が含まれています。
RTX_TIMEOUT
rtx_timeout
This event variable is set to TRUE when the retransmission timer is expired.
このイベント変数は、再送信タイマーの有効期限が切れたときにtrueに設定されます。
REAUTH
reauth
This event variable is set to TRUE when an initiation of re-authentication phase is triggered. This event variable can only be set while in the OPEN state.
このイベント変数は、再認可フェーズの開始がトリガーされるとTRUEに設定されます。このイベント変数は、オープン状態でのみ設定できます。
TERMINATE
終了します
This event variable is set to TRUE when initiation of PANA session termination is triggered. This event variable can only be set while in the OPEN state.
このイベント変数は、PANAセッション終了の開始がトリガーされるとTRUEに設定されます。このイベント変数は、オープン状態でのみ設定できます。
PANA_PING
pana_ping
This event variable is set to TRUE when initiation of liveness test based on PANA-Notification exchange is triggered. This event variable can only be set while in the OPEN state.
このイベント変数は、Pana-notification Exchangeに基づいたlivenives livensionテストの開始がトリガーされると、trueに設定されます。このイベント変数は、オープン状態でのみ設定できます。
SESS_TIMEOUT
sess_timeout
This event is variable is set to TRUE when the session timer has expired.
このイベントは、セッションタイマーの有効期限が切れたときに変動するように設定されています。
LIFETIME_SESS_TIMEOUT
lifetime_sess_timeout
Configurable value used by the PaC and PAA to close or disconnect an established session in the access phase. This variable indicates the expiration of the session and is set to the value of Session-Lifetime AVP if present in the last PANA-Auth-Request message in the case of the PaC. Otherwise, it is assumed that the value is infinite and therefore has no expiration. Expiration of LIFETIME_SESS_TIMEOUT will cause the event variable SESS_TIMEOUT to be set.
PACおよびPAAが使用する構成可能な値は、アクセスフェーズで確立されたセッションを閉鎖または切断します。この変数は、セッションの有効期限を示し、PACの場合の最後のパナアースレクエストメッセージに存在する場合、セッションライフタイムAVPの値に設定されます。それ以外の場合、値は無限であり、したがって有効期限がないと想定されています。lifetime_sess_timeoutの有効期限は、イベント変数SESS_TIMEOUTを設定します。
ANY
どれでも
This event variable is set to TRUE when any event occurs.
このイベント変数は、任意のイベントが発生したときにtrueに設定されます。
RTX_MAX_NUM
rtx_max_num
Configurable maximum for how many retransmissions should be attempted before aborting.
中止する前に、いくつの再送信を試みる必要があるかについて、構成可能な最大値。
When a message is prepared for sending, it is initialized as follows:
送信用のメッセージが作成されると、次のように初期化されます。
o For a request message, R-flag of the header is set. Otherwise, R-flag is not set.
o リクエストメッセージの場合、ヘッダーのr-flagが設定されます。それ以外の場合、r-flagは設定されていません。
o Other message header flags are not set. They are set explicitly by specific state machine actions.
o 他のメッセージヘッダーフラグは設定されていません。それらは、特定の状態マシンアクションによって明示的に設定されます。
o AVPs that are mandatory to be included in a message are inserted with appropriate values set.
o メッセージに含まれるように必須のAVPは、適切な値セットで挿入されます。
The state machines defined in this document assume that the PaC and the PAA cache the last transmitted answer message. This scheme is described in Section 5.2 of [RFC5191]. When the PaC or PAA receives a retransmitted or duplicate request, it would be able to resend the corresponding answer without any aid from the EAP layer. However, to simplify the state machine description, this caching scheme is omitted in the state machines below. In the case that there is not a corresponding answer to a retransmitted request, the request will be handled by the corresponding state machine.
このドキュメントで定義されている状態マシンは、PACとPAAが最後に送信された回答メッセージをキャッシュすることを想定しています。このスキームは、[RFC5191]のセクション5.2で説明されています。PACまたはPAAが再送信または複製のリクエストを受信すると、EAPレイヤーからの援助なしで対応する回答を再送信できます。ただし、状態マシンの説明を簡素化するために、このキャッシュスキームは以下の状態マシンで省略されています。再送信要求に対する対応する回答がない場合、リクエストは対応する状態マシンによって処理されます。
The following transitions can occur at any state with exemptions explicitly noted.
次の移行は、明示的に免除されたどの州でも発生する可能性があります。
----------
State: ANY
----------
Exit Condition Exit Action Exit State
------------------------+--------------------------+------------
- - - - - - - - - - - - - (Re-transmissions)- - - - - - - - - -
RTX_TIMEOUT && Retransmit(); (no change)
RTX_COUNTER<
RTX_MAX_NUM
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
- - - - - - - (Reach maximum number of transmissions)- - - - - -
(RTX_TIMEOUT && Disconnect(); CLOSED
RTX_COUNTER>=
RTX_MAX_NUM) ||
SESS_TIMEOUT
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
-------------------------
State: ANY except INITIAL
-------------------------
Exit Condition Exit Action Exit State
------------------------+--------------------------+------------
- - - - - - - - - - (liveness test initiated by peer)- - - - - -
Rx:PNR[P] Tx:PNA[P](); (no change)
-------------------------------
State: ANY except WAIT_PNA_PING
-------------------------------
Exit Condition Exit Action Exit State
------------------------+--------------------------+------------
- - - - - - - - - - - - (liveness test response) - - - - - - - -
Rx:PNA[P] None(); (no change)
The following transitions can occur on any exit condition within the specified state.
次の遷移は、指定された状態内の任意の出口条件で発生する可能性があります。
-------------
State: CLOSED
-------------
Exit Condition Exit Action Exit State
------------------------+--------------------------+------------
- - - - - - - -(Catch all event on closed state) - - - - - - - -
ANY None(); CLOSED
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
This interface defines the interactions between a PaC and an EAP peer. The interface serves as a mechanism to deliver EAP messages for the EAP peer. It allows the EAP peer to receive EAP requests and send EAP responses via the PaC. It also provides a mechanism to notify the EAP peer of PaC events and a mechanism to receive notification of EAP peer events. The EAP message delivery mechanism as well as the event notification mechanism in this interface have direct correlation with the PaC state transition table entries. These message delivery and event notifications mechanisms occur only within the context of their associated states or exit actions.
このインターフェイスは、PACとEAPピアの間の相互作用を定義します。インターフェイスは、EAPピアにEAPメッセージを提供するメカニズムとして機能します。これにより、EAPピアはEAPリクエストを受け取り、PACを介してEAP応答を送信できます。また、PACイベントのEAPピアに通知するメカニズムと、EAPピアイベントの通知を受け取るメカニズムも提供します。EAPメッセージ配信メカニズムとこのインターフェイスのイベント通知メカニズムは、PAC状態遷移テーブルエントリと直接相関しています。これらのメッセージ配信およびイベント通知メカニズムは、関連する状態または出口アクションのコンテキスト内でのみ発生します。
TxEAP() procedure in the PaC state machine serves as the mechanism to deliver EAP messages contained in PANA-Auth-Request messages to the EAP peer. This procedure is enabled only after an EAP restart event is notified to the EAP peer and before any event resulting in a termination of the EAP peer session. In the case where the EAP peer follows the EAP peer state machine defined in [RFC4137], TxEAP() procedure sets eapReq variable of the EAP peer state machine and puts the EAP request in eapReqData variable of the EAP peer state machine.
PAC StateマシンのTxEAP()手順は、Pana-auth-Requestメッセージに含まれるEAPメッセージをEAPピアに配信するメカニズムとして機能します。この手順は、EAPの再起動イベントがEAPピアに通知された後にのみ有効になり、EAPピアセッションが終了するイベントの前に。EAPピアが[RFC4137]で定義されているEAPピアステートマシンに従う場合、TXEAP()手順はEAPピアステートマシンのEAPREQ変数を設定し、EAPピアステートマシンのEAPREQDATA変数にEAP要求を設定します。
An EAP message is delivered from the EAP peer to the PaC via EAP_RESPONSE event variable. The event variable is set when the EAP peer passes the EAP message to its lower layer. In the case where the EAP peer follows the EAP peer state machine defined in [RFC4137], EAP_RESPONSE event variable refers to eapResp variable of the EAP peer state machine and the EAP message is contained in eapRespData variable of the EAP peer state machine.
EAPメッセージは、EAP_Responseイベント変数を介してEAPピアからPACに配信されます。イベント変数は、EAPピアがEAPメッセージを下層層に渡すときに設定されます。EAPピアが[RFC4137]で定義されているEAPピアステートマシンに従う場合、EAP_Responseイベント変数はEAPピアステートマシンのEAPRESP変数を指し、EAPメッセージはEAPピアステートマシンのEAPRespData変数に含まれています。
The EAP peer state machine defined in [RFC4137] has an initialization procedure before receiving an EAP message. To initialize the EAP state machine, the PaC state machine defines an event notification mechanism to send an EAP (re)start event to the EAP peer. The event notification is done via EAP_Restart() procedure in the initialization action of the PaC state machine.
[RFC4137]で定義されているEAPピアステートマシンには、EAPメッセージを受信する前に初期化手順があります。EAPステートマシンを初期化するために、PACステートマシンは、EAP(RE)開始イベントをEAPピアに送信するイベント通知メカニズムを定義します。イベント通知は、PACステートマシンの初期化アクションでEAP_RESTART()手順を介して行われます。
In order for the EAP peer to notify the PaC of an EAP authentication result, EAP_SUCCESS and EAP_FAILURE event variables are defined. In the case where the EAP peer follows the EAP peer state machine defined in [RFC4137], EAP_SUCCESS and EAP_FAILURE event variables refer to eapSuccess and eapFail variables of the EAP peer state machine, respectively. In this case, if EAP_SUCCESS event variable is set to TRUE and an MSK is generated by the EAP authentication method in use, eapKeyAvailable variable is set to TRUE and eapKeyData variable contains the MSK. Note that EAP_SUCCESS and EAP_FAILURE event variables may be set to TRUE even before the PaC receives a PAR with a 'Complete' flag set from the PAA.
EAPピアがEAP認証結果のPACに通知するために、EAP_SUCCESSおよびEAP_FAILUREイベント変数が定義されています。EAPピアが[RFC4137]で定義されているEAPピアステートマシンに従う場合、EAP_SUCCESSおよびEAP_FAILUREイベント変数は、それぞれEAPピアステートマシンのEAPSUCCESSおよびEAPFAIL変数を指します。この場合、EAP_SUCCESSイベント変数がTRUEに設定され、MSKが使用されているEAP認証方法によって生成される場合、EAPKEYAVABLEABLE変数はTRUEに設定され、EAPKEYDATA変数にはMSKが含まれます。EAP_SUCCESSおよびEAP_FAILUREイベント変数は、PACがPAAから「完全な」フラグセットでPARを受信する前であっても真実に設定される場合があることに注意してください。
alt_reject() procedure in the PaC state machine serves as the mechanism to deliver an authentication failure event to the EAP peer without accompanying an EAP message. In the case where the EAP peer follows the EAP peer state machine defined in [RFC4137], alt_reject() procedure sets altReject variable of the EAP peer state machine. Note that the EAP peer state machine in [RFC4137] also defines altAccept variable; however, it is never used in PANA in which EAP-Success messages are reliably delivered by the last PANA-Auth exchange.
PAC State MachineのAlt_Reject()手順は、EAPメッセージを添付せずに認証障害イベントをEAPピアに提供するメカニズムとして機能します。EAPピアが[RFC4137]で定義されているEAPピアステートマシンに従う場合、Alt_Reject()手順は、EAPピアステートマシンの有名な変数を設定します。[RFC4137]のEAPピアステートマシンもAltaccept変数を定義していることに注意してください。ただし、EAP-SUCSESSメッセージが最後のPANA-Auth Exchangeによって確実に配信されるパナでは使用されません。
FAILED_SESS_TIMEOUT
failed_sess_timeout
This is a configurable value that allows the PaC to determine whether a PaC authentication and authorization phase has stalled without an explicit EAP success or failure notification.
これは、PACが明示的なEAP成功または失敗通知なしにPAC認証フェーズが停止したかどうかを判断できるようにする構成可能な値です。
AUTH_USER
auth_user
This event variable is set to TRUE when initiation of EAP-based (re-)authentication is triggered by the application.
このイベント変数は、EAPベースの(RE)認証の開始がアプリケーションによってトリガーされるとTRUEに設定されます。
EAP_SUCCESS
eap_success
This event variable is set to TRUE when the EAP peer determines that an EAP conversation completes with success.
このイベント変数は、EAPピアがEAPの会話が成功して完了すると判断したときにTRUEに設定されます。
EAP_FAILURE
eap_failure
This event variable is set to TRUE when the EAP peer determines that an EAP conversation completes with failure.
このイベント変数は、EAPピアがEAPの会話が障害で完了すると判断したときにtrueに設定されます。
EAP_RESPONSE
eap_response
This event variable is set to TRUE when the EAP peer delivers an EAP message to the PaC. This event accompanies an EAP message received from the EAP peer.
このイベント変数は、EAPピアがEAPメッセージをPACに配信するときにtrueに設定されます。このイベントには、EAPピアから受け取ったEAPメッセージが付属しています。
EAP_RESP_TIMEOUT
eap_resp_timeout
This event variable is set to TRUE when the PaC that has passed an EAP message to the EAP layer does not receive a subsequent EAP message from the EAP layer in a given period. This provides a time limit for certain EAP methods where user interaction may be required.
このイベント変数は、EAPレイヤーにEAPメッセージを渡したPACが特定の期間にEAPレイヤーからその後のEAPメッセージを受信しない場合にTRUEに設定されます。これにより、ユーザーインタラクションが必要になる特定のEAPメソッドの時間制限が提供されます。
EAP_DISCARD
eap_discard
This event variable is set to TRUE when the EAP peer indicates that it has silently discarded the last received EAP-Request. This event does not accompany any EAP message. In the case where the EAP peer follows the EAP peer state machine defined in [RFC4137], this event variable refers to eapNoResp. Note that this specification does not support silently discarding EAP messages. They are treated as fatal errors instead. This may have an impact on denial-of-service resistance.
このイベント変数は、EAPピアが最後に受信したEAP-Requestを静かに破棄したことを示した場合にTRUEに設定されます。このイベントには、EAPメッセージには添付されていません。EAPピアが[RFC4137]で定義されているEAPピアステートマシンに従う場合、このイベント変数はEAPNORESPを指します。この仕様は、静かにEAPメッセージの破棄をサポートしていないことに注意してください。代わりに致命的なエラーとして扱われます。これは、サービス拒否抵抗に影響を与える可能性があります。
boolean eap_piggyback()
boolean eap_piggyback()
This procedure returns TRUE to indicate whether the next EAP response will be carried in the pending PAN message for optimization.
この手順は、最適化のために保留中のパンメッセージに次のEAP応答が掲載されるかどうかを示すために真で返されます。
void alt_reject()
void alt_reject()
This procedure informs the EAP peer of an authentication failure event without accompanying an EAP message.
この手順は、EAPメッセージを添付することなく、EAPピアに認証障害イベントを通知します。
void EAP_RespTimerStart()
void eap_esptimerstart()
This is a procedure to start a timer to receive an EAP-Response from the EAP peer.
これは、EAPピアからEAP応答を受信するタイマーを起動する手順です。
void EAP_RespTimerStop()
void eap_esptimerstop()
This is a procedure to stop a timer to receive an EAP-Response from the EAP peer.
これは、EAPピアからEAP応答を受信するためのタイマーを停止する手順です。
------------------------------
State: INITIAL (Initial State)
------------------------------
Initialization Action:
初期化アクション:
NONCE_SENT=Unset;
RTX_COUNTER=0;
RtxTimerStop();
Exit Condition Exit Action Exit State
------------------------+--------------------------+-----------
- - - - - - - - - - (PaC-initiated Handshake) - - - - - - - - -
AUTH_USER Tx:PCI[](); INITIAL
RtxTimerStart();
SessionTimerReStart
(FAILED_SESS_TIMEOUT);
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
- - - - - - -(PAA-initiated Handshake, not optimized) - - - - -
Rx:PAR[S] && EAP_Restart(); WAIT_PAA
!PAR.exist_avp SessionTimerReStart
("EAP-Payload") (FAILED_SESS_TIMEOUT);
if (generate_pana_sa())
Tx:PAN[S]("PRF-Algorithm",
"Integrity-Algorithm");
else
Tx:PAN[S]();
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
- - - - - - - -(PAA-initiated Handshake, optimized) - - - - - -
Rx:PAR[S] && EAP_Restart(); INITIAL
PAR.exist_avp TxEAP();
("EAP-Payload") && SessionTimerReStart
eap_piggyback() (FAILED_SESS_TIMEOUT);
Rx:PAR[S] && EAP_Restart(); WAIT_EAP_MSG
PAR.exist_avp TxEAP();
("EAP-Payload") && SessionTimerReStart
!eap_piggyback() (FAILED_SESS_TIMEOUT);
if (generate_pana_sa())
Tx:PAN[S]("PRF-Algorithm",
"Integrity-Algorithm");
else
Tx:PAN[S]();
EAP_RESPONSE if (generate_pana_sa()) WAIT_PAA
Tx:PAN[S]("EAP-Payload",
"PRF-Algorithm",
"Integrity-Algorithm");
else
Tx:PAN[S]("EAP-Payload");
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
---------------
State: WAIT_PAA
---------------
Exit Condition Exit Action Exit State
------------------------+--------------------------+------------
- - - - - - - - - - - - - - -(PAR-PAN exchange) - - - - - - - -
Rx:PAR[] && RtxTimerStop(); WAIT_EAP_MSG
!eap_piggyback() TxEAP();
EAP_RespTimerStart();
if (NONCE_SENT==Unset) {
NONCE_SENT=Set;
Tx:PAN[]("Nonce");
}
else
Tx:PAN[]();
Rx:PAR[] && RtxTimerStop(); WAIT_EAP_MSG
eap_piggyback() TxEAP();
EAP_RespTimerStart();
Rx:PAN[] RtxTimerStop(); WAIT_PAA
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
- - - - - - - - - - - - - - -(PANA result) - - - - - - - - - -
Rx:PAR[C] && TxEAP(); WAIT_EAP_RESULT
PAR.RESULT_CODE==
PANA_SUCCESS
Rx:PAR[C] && if (PAR.exist_avp WAIT_EAP_RESULT_
PAR.RESULT_CODE!= ("EAP-Payload")) CLOSE
PANA_SUCCESS TxEAP();
else
alt_reject();
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
-------------------
State: WAIT_EAP_MSG
-------------------
Exit Condition Exit Action Exit State
------------------------+--------------------------+------------
- - - - - - - - - - (Return PAN/PAR from EAP) - - - - - - - - -
EAP_RESPONSE && EAP_RespTimerStop() WAIT_PAA
eap_piggyback() if (NONCE_SENT==Unset) {
Tx:PAN[]("EAP-Payload",
"Nonce");
NONCE_SENT=Set;
}
else
Tx:PAN[]("EAP-Payload");
EAP_RESPONSE && EAP_RespTimerStop() WAIT_PAA
!eap_piggyback() Tx:PAR[]("EAP-Payload");
RtxTimerStart();
EAP_RESP_TIMEOUT && Tx:PAN[](); WAIT_PAA
eap_piggyback()
EAP_DISCARD && Tx:PAN[](); CLOSED
eap_piggyback() SessionTimerStop();
Disconnect();
EAP_FAILURE || SessionTimerStop(); CLOSED
(EAP_DISCARD && Disconnect();
!eap_piggyback())
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
----------------------
State: WAIT_EAP_RESULT
----------------------
Exit Condition Exit Action Exit State
------------------------+--------------------------+------------
- - - - - - - - - - - - - (EAP Result) - - - - - - - - - - - - -
EAP_SUCCESS if (PAR.exist_avp OPEN
("Key-Id"))
Tx:PAN[C]("Key-Id");
else
Tx:PAN[C]();
Authorize();
SessionTimerReStart
(LIFETIME_SESS_TIMEOUT);
EAP_FAILURE Tx:PAN[C](); CLOSED
SessionTimerStop();
Disconnect();
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
----------------------------
State: WAIT_EAP_RESULT_CLOSE
----------------------------
Exit Condition Exit Action Exit State
------------------------+--------------------------+------------
- - - - - - - - - - - - - (EAP Result) - - - - - - - - - - - - -
EAP_SUCCESS || if (EAP_SUCCESS && CLOSED
EAP_FAILURE PAR.exist_avp("Key-Id"))
Tx:PAN[C]("Key-Id");
else
Tx:PAN[C]();
SessionTimerStop();
Disconnect();
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
-----------
State: OPEN
-----------
Exit Condition Exit Action Exit State
------------------------+--------------------------+------------
- - - - - - - - - - (liveness test initiated by PaC)- - - - - -
PANA_PING Tx:PNR[P](); WAIT_PNA_PING
RtxTimerStart();
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
- - - - - - - - - (re-authentication initiated by PaC)- - - - - -
REAUTH NONCE_SENT=Unset; WAIT_PNA_REAUTH
Tx:PNR[A]();
RtxTimerStart();
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
- - - - - - - - - (re-authentication initiated by PAA)- - - - - -
Rx:PAR[] EAP_RespTimerStart(); WAIT_EAP_MSG
TxEAP();
if (!eap_piggyback())
Tx:PAN[]("Nonce");
else
NONCE_SENT=Unset;
SessionTimerReStart
(FAILED_SESS_TIMEOUT);
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
- - - - - - - -(Session termination initiated by PAA) - - - - - -
Rx:PTR[] Tx:PTA[](); CLOSED
SessionTimerStop();
Disconnect();
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
- - - - - - - -(Session termination initiated by PaC) - - - - - -
TERMINATE Tx:PTR[](); SESS_TERM
RtxTimerStart();
SessionTimerStop();
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
----------------------
State: WAIT_PNA_REAUTH
----------------------
Exit Condition Exit Action Exit State
------------------------+--------------------------+------------
- - - - - - - - -(re-authentication initiated by PaC) - - - - -
Rx:PNA[A] RtxTimerStop(); WAIT_PAA
SessionTimerReStart
(FAILED_SESS_TIMEOUT);
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
- - - - - - - -(Session termination initiated by PAA) - - - - - -
Rx:PTR[] RtxTimerStop(); CLOSED
Tx:PTA[]();
SessionTimerStop();
Disconnect();
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
--------------------
State: WAIT_PNA_PING
--------------------
Exit Condition Exit Action Exit State
------------------------+--------------------------+------------
- - - - - - - - -(liveness test initiated by PaC) - - - - - - -
Rx:PNA[P] RtxTimerStop(); OPEN
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
- - - - - - - - - (re-authentication initiated by PAA)- - - - -
Rx:PAR[] RtxTimerStop(); WAIT_EAP_MSG
EAP_RespTimerStart();
TxEAP();
if (!eap_piggyback())
Tx:PAN[]("Nonce");
else
NONCE_SENT=Unset;
SessionTimerReStart
(FAILED_SESS_TIMEOUT);
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
- - - - - - - -(Session termination initiated by PAA) - - - - - -
Rx:PTR[] RtxTimerStop(); CLOSED
Tx:PTA[]();
SessionTimerStop();
Disconnect();
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
----------------
State: SESS_TERM
----------------
Exit Condition Exit Action Exit State
------------------------+--------------------------+------------
- - - - - - - -(Session termination initiated by PaC) - - - - -
Rx:PTA[] Disconnect(); CLOSED
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
The interface between a PAA and an EAP authenticator provides a mechanism to deliver EAP messages for the EAP authenticator as well as a mechanism to notify the EAP authenticator of PAA events and to receive notification of EAP authenticator events. These message delivery and event notification mechanisms occur only within context of their associated states or exit actions.
PAAとEAP認証器の間のインターフェイスは、EAP認証器にEAPメッセージを配信するメカニズムと、PAAイベントのEAP認証器に通知し、EAP認証器イベントの通知を受け取るメカニズムを提供します。これらのメッセージ配信およびイベント通知メカニズムは、関連する状態または出口アクションのコンテキスト内でのみ発生します。
An EAP authenticator state machine defined in [RFC4137] has an initialization procedure before sending the first EAP request. To initialize the EAP state machine, the PAA state machine defines an event notification mechanism to send an EAP (re)start event to the EAP authenticator. The event notification is done via EAP_Restart() procedure in the initialization action of the PAA state machine.
[RFC4137]で定義されているEAP認証状態マシンには、最初のEAP要求を送信する前に初期化手順があります。EAPステートマシンを初期化するために、PAA State Machineは、EAP(RE)開始イベントをEAP認証器に送信するイベント通知メカニズムを定義します。イベント通知は、PAAステートマシンの初期化アクションでのeap_restart()手順を介して行われます。
TxEAP() procedure in the PAA state machine serves as the mechanism to deliver EAP-Responses contained in PANA-Auth-Answer messages to the EAP authenticator. This procedure is enabled only after an EAP restart event is notified to the EAP authenticator and before any event resulting in a termination of the EAP authenticator session. In the case where the EAP authenticator follows the EAP authenticator state machines defined in [RFC4137], TxEAP() procedure sets eapResp variable of the EAP authenticator state machine and puts the EAP response in eapRespData variable of the EAP authenticator state machine.
PAAステートマシンのtxeap()手順は、Pana-auth-answerメッセージに含まれるEAP応答をEAP認証器に提供するメカニズムとして機能します。この手順は、EAP再起動イベントがEAP認証器に通知された後、EAP認証器セッションの終了を実現する前にのみ有効になります。EAP認証器が[RFC4137]で定義されているEAP認証状態のマシンに従う場合、TXEAP()手順はEAP認証状態マシンのEAPRESP変数を設定し、EAP認証器状態マシンのEAP応答をEAPRespData変数に設定します。
An EAP request is delivered from the EAP authenticator to the PAA via EAP_REQUEST event variable. The event variable is set when the EAP authenticator passes the EAP request to its lower layer. In the case where the EAP authenticator follows the EAP authenticator state machines defined in [RFC4137], EAP_REQUEST event variable refers to eapReq variable of the EAP authenticator state machine and the EAP request is contained in eapReqData variable of the EAP authenticator state machine.
EAP要求は、EAP認証器からEAP_REQUESTイベント変数を介してPAAに配信されます。EAP認証器がEAP要求を下層層に渡すと、イベント変数が設定されます。EAP認証器が[RFC4137]で定義されているEAP認証状態マシンに従う場合、EAP_REQUESTイベント変数はEAP認証状態マシンのEAPREQ変数を指し、EAPリクエストはEAPREQDATA変数にEAPREQDATA変数に含まれます。
In order for the EAP authenticator to notify the PAA of the EAP authentication result, EAP_SUCCESS, EAP_FAILURE, and EAP_TIMEOUT event variables are defined. In the case where the EAP authenticator follows the EAP authenticator state machines defined in [RFC4137], EAP_SUCCESS, EAP_FAILURE, and EAP_TIMEOUT event variables refer to eapSuccess, eapFail, and eapTimeout variables of the EAP authenticator state machine, respectively. In this case, if EAP_SUCCESS event variable is set to TRUE, an EAP-Success message is contained in eapReqData variable of the EAP authenticator state machine, and additionally, eapKeyAvailable variable is set to TRUE and eapKeyData variable contains an MSK if the MSK is generated as a result of successful authentication by the EAP authentication method in use. Similarly, if EAP_FAILURE event variable is set to TRUE, an EAP-Failure message is contained in eapReqData variable of the EAP authenticator state machine. The PAA uses EAP_SUCCESS and EAP_FAILURE event variables as a trigger to send a PAR message to the PaC.
EAP AuthenticatorがEAP認証結果をPAAに通知するために、EAP_SUCCESS、EAP_FAILURE、およびEAP_TIMEOUTイベント変数が定義されています。EAP認証器が[RFC4137]、EAP_SUCCESS、EAP_FAILURE、およびEAP_TIMEOUTイベント変数で定義されているEAP認証状態のマシンに従う場合、EAPSUCCESS、EAPFAIL、およびEAPSICATOR STATE MACHINEのEAPTimeOut変数を指します。この場合、EAP_SUCCESSイベント変数がtrueに設定されている場合、EAP-SUCSESSメッセージはEAP Authenticator StateマシンのEAPREQDATA変数に含まれており、さらに、EAPKEYAVALABLE VARIALIABLEはTrueに設定され、MSKが生成された場合MSKが含まれています。使用中のEAP認証方法による認証が成功した結果。同様に、EAP_FAILUREイベント変数がTRUEに設定されている場合、EAPフェイルメッセージはEAP Authenticator StateマシンのEAPREQDATA変数に含まれています。PAAは、PACにPARメッセージを送信するトリガーとしてEAP_SUCCESSおよびEAP_Failureイベント変数を使用します。
OPTIMIZED_INIT
optimized_init
This variable indicates whether the PAA is able to piggyback an EAP-Request in the initial PANA-Auth-Request. Otherwise, it is set to FALSE.
この変数は、PAAが最初のPana-auth-RequestでEAP-Requestを豚に戻すことができるかどうかを示します。それ以外の場合、それはfalseに設定されています。
PAC_FOUND
PAC_FOUND
This variable is set to TRUE as a result of a PAA-initiated handshake.
この変数は、PAA開始の握手の結果としてTRUEに設定されています。
REAUTH_TIMEOUT
reauth_timeout
This event variable is set to TRUE to indicate that the PAA initiates a re-authentication with the PaC. The re-authentication timeout should be set to a value less than the session timeout carried in the Session-Lifetime AVP if present.
このイベント変数は、PAAがPACとの再認証を開始することを示すために真に設定されています。再認可タイムアウトは、存在する場合はセッションのライフタイムAVPで送られたセッションタイムアウトよりも小さい値に設定する必要があります。
EAP_SUCCESS
eap_success
This event variable is set to TRUE when an EAP conversation completes with success. This event accompanies an EAP-Success message passed from the EAP authenticator.
このイベント変数は、EAPの会話が成功して完了したときにtrueに設定されます。このイベントには、EAP認証者から渡されたEAP-SUCSESSメッセージが付属しています。
EAP_FAILURE
eap_failure
This event variable is set to TRUE when an EAP conversation completes with failure. This event accompanies an EAP-Failure message passed from the EAP authenticator.
このイベント変数は、EAPの会話が障害で完了するとTRUEに設定されます。このイベントには、EAP認証者から渡されたEAPフェイルメッセージに添付されています。
EAP_REQUEST
eap_request
This event variable is set to TRUE when the EAP authenticator delivers an EAP Request to the PAA. This event accompanies an EAP-Request message received from the EAP authenticator.
このイベント変数は、EAP認証器がPAAにEAPリクエストを配信したときにtrueに設定されます。このイベントには、EAP認証者から受け取ったEAP-Requestメッセージが付属しています。
EAP_TIMEOUT
eap_timeout
This event variable is set to TRUE when an EAP conversation times out without generating an EAP-Success or an EAP-Failure message. This event does not accompany any EAP message.
このイベント変数は、EAPの会話がEAPサクセスやEAPフェイルメッセージを生成せずにタイムアウトするときにTrueに設定されます。このイベントには、EAPメッセージには添付されていません。
EAP_DISCARD
eap_discard
This event variable is set to TRUE when the EAP authenticator indicates that it has silently discarded the last received EAP-Response message. This event does not accompany any EAP message. In the case where the EAP authenticator follows the EAP authenticator state machines defined in [RFC4137], this event variable refers to eapNoReq.
このイベント変数は、EAP認証器が最後に受信したEAP応答メッセージを静かに破棄したことを示している場合にTRUEに設定されます。このイベントには、EAPメッセージには添付されていません。EAP認証器が[RFC4137]で定義されているEAP認証ステートマシンに従う場合、このイベント変数はEapnoreqを指します。
boolean new_key_available()
boolean new_key_available()
This is a procedure to check whether the PANA session has a new PANA_AUTH_KEY. If the state machine already has a PANA_AUTH_KEY, it returns FALSE. If the state machine does not have a PANA_AUTH_KEY, it tries to retrieve an MSK from the EAP entity. If an MSK has been retrieved, it computes a PANA_AUTH_KEY from the MSK and returns TRUE. Otherwise, it returns FALSE.
これは、Panaセッションに新しいPana_auth_keyがあるかどうかを確認する手順です。状態マシンに既にPANA_AUTH_KEYがある場合、FALSEを返します。状態マシンにPANA_AUTH_KEYがない場合、EAPエンティティからMSKを取得しようとします。MSKが取得された場合、MSKからPANA_AUTH_KEYを計算し、trueを返します。それ以外の場合、それはfalseを返します。
------------------------------
State: INITIAL (Initial State)
------------------------------
Initialization Action:
初期化アクション:
OPTIMIZED_INIT=Set|Unset;
NONCE_SENT=Unset;
RTX_COUNTER=0;
RtxTimerStop();
Exit Condition Exit Action Exit State
------------------------+--------------------------+------------
- - - - - - - - (PCI and PAA initiated PANA) - - - - - - - - -
(Rx:PCI[] || if (OPTIMIZED_INIT == INITIAL
PAC_FOUND) Set) {
EAP_Restart();
SessionTimerReStart
(FAILED_SESS_TIMEOUT);
}
else {
if (generate_pana_sa())
Tx:PAR[S]("PRF-Algorithm",
"Integrity-Algorithm");
else
Tx:PAR[S]();
}
}
EAP_REQUEST if (generate_pana_sa()) INITIAL
Tx:PAR[S]("EAP-Payload",
"PRF-Algorithm",
"Integrity-Algorithm");
else
Tx:PAR[S]("EAP-Payload");
RtxTimerStart();
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
- - - - - - - - - - - - - - (PAN Handling) - - - - - - - - - -
Rx:PAN[S] && if (PAN.exist_avp WAIT_EAP_MSG
((OPTIMIZED_INIT == ("EAP-Payload"))
Unset) || TxEAP();
PAN.exist_avp else {
("EAP-Payload")) EAP_Restart();
SessionTimerReStart
(FAILED_SESS_TIMEOUT);
}
Rx:PAN[S] && None(); WAIT_PAN_OR_PAR
(OPTIMIZED_INIT ==
Set) &&
! PAN.exist_avp
("EAP-Payload")
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
-------------------
State: WAIT_EAP_MSG
-------------------
Exit Condition Exit Action Exit State
------------------------+--------------------------+------------
- - - - - - - - - - - -(Receiving EAP-Request)- - - - - - - - -
EAP_REQUEST if (NONCE_SENT==Unset) { WAIT_PAN_OR_PAR
Tx:PAR[]("Nonce",
"EAP-Payload");
NONCE_SENT=Set;
}
else
Tx:PAR[]("EAP-Payload");
RtxTimerStart();
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
- - - - - - - - - - -(Receiving EAP-Success/Failure) - - - - -
EAP_FAILURE PAR.RESULT_CODE = WAIT_FAIL_PAN
PANA_AUTHENTICATION_
REJECTED;
Tx:PAR[C]("EAP-Payload");
RtxTimerStart();
SessionTimerStop();
EAP_SUCCESS && PAR.RESULT_CODE = WAIT_SUCC_PAN
Authorize() PANA_SUCCESS;
if (new_key_available())
Tx:PAR[C]("EAP-Payload",
"Key-Id");
else
Tx:PAR[C]("EAP-Payload");
RtxTimerStart();
EAP_SUCCESS && PAR.RESULT_CODE = WAIT_FAIL_PAN
!Authorize() PANA_AUTHORIZATION_
REJECTED;
if (new_key_available())
Tx:PAR[C]("EAP-Payload",
"Key-Id");
else
Tx:PAR[C]("EAP-Payload");
RtxTimerStart();
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
- - - - - (Receiving EAP-Timeout or invalid message) - - - - -
EAP_TIMEOUT || SessionTimerStop(); CLOSED
EAP_DISCARD Disconnect();
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
--------------------
State: WAIT_SUCC_PAN
--------------------
Event/Condition Action Exit State
------------------------+--------------------------+------------
- - - - - - - - - - - - - (PAN Processing)- - - - - - - - - - -
Rx:PAN[C] RtxTimerStop(); OPEN
SessionTimerReStart
(LIFETIME_SESS_TIMEOUT);
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
--------------------
State: WAIT_FAIL_PAN
--------------------
Exit Condition Exit Action Exit State
------------------------+--------------------------+------------
- - - - - - - - - - - - - - (PAN Processing)- - - - - - - - - -
Rx:PAN[C] RtxTimerStop(); CLOSED
Disconnect();
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
-----------
State: OPEN
-----------
Event/Condition Action Exit State
------------------------+--------------------------+------------
- - - - - - - - (re-authentication initiated by PaC) - - - - - -
Rx:PNR[A] NONCE_SENT=Unset; WAIT_EAP_MSG
EAP_Restart();
Tx:PNA[A]();
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
- - - - - - - - (re-authentication initiated by PAA)- - - - - -
REAUTH || NONCE_SENT=Unset; WAIT_EAP_MSG
REAUTH_TIMEOUT EAP_Restart();
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
- - (liveness test based on PNR-PNA exchange initiated by PAA)-
PANA_PING Tx:PNR[P](); WAIT_PNA_PING
RtxTimerStart();
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
- - - - - - - - (Session termination initiated from PAA)- - - -
TERMINATE Tx:PTR[](); SESS_TERM
SessionTimerStop();
RtxTimerStart();
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
- - - - - - - - (Session termination initiated from PaC)- - - -
Rx:PTR[] Tx:PTA[](); CLOSED
SessionTimerStop();
Disconnect();
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
--------------------
State: WAIT_PNA_PING
--------------------
Exit Condition Exit Action Exit State
------------------------+--------------------------+------------
- - - - - - - - - - - - - -(PNA processing) - - - - - - - - - -
Rx:PNA[P] RtxTimerStop(); OPEN
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
- - - - - - - - (re-authentication initiated by PaC) - - - - - -
Rx:PNR[A] RtxTimerStop(); WAIT_EAP_MSG
NONCE_SENT=Unset;
EAP_Restart();
Tx:PNA[A]();
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
- - - - - - - - (Session termination initiated from PaC)- - - -
Rx:PTR[] RtxTimerStop(); CLOSED
Tx:PTA[]();
SessionTimerStop();
Disconnect();
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
----------------------
State: WAIT_PAN_OR_PAR
----------------------
Exit Condition Exit Action Exit State
------------------------+--------------------------+------------
- - - - - - - - - - - - - (PAR Processing)- - - - - - - - - - -
Rx:PAR[] TxEAP(); WAIT_EAP_MSG
RtxTimerStop();
Tx:PAN[]();
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
- - - - - - (Pass EAP Response to the EAP authenticator)- - - -
Rx:PAN[] && TxEAP(); WAIT_EAP_MSG
PAN.exist_avp RtxTimerStop();
("EAP-Payload")
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
- - - - - - - - - - (PAN without an EAP response) - - - - - - -
Rx:PAN[] && RtxTimerStop(); WAIT_PAN_OR_PAR
!PAN.exist_avp
("EAP-Payload")
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
- - - - - - - - - - - -(EAP retransmission) - - - - - - - - - -
EAP_REQUEST RtxTimerStop(); WAIT_PAN_OR_PAR
Tx:PAR[]("EAP-Payload");
RtxTimerStart();
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
- - - - - - - (EAP authentication timeout or failure)- - - - -
EAP_FAILURE || RtxTimerStop(); CLOSED
EAP_TIMEOUT || SessionTimerStop();
EAP_DISCARD Disconnect();
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
----------------
State: SESS_TERM
----------------
Exit Condition Exit Action Exit State
------------------------+--------------------------+------------
- - - - - - - - - - - - - -(PTA processing) - - - - - - - - - -
Rx:PTA[] RtxTimerStop(); CLOSED
Disconnect();
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
In general, it is assumed that each device or network equipment has a PANA protocol stack available for use by other modules within the device or network equipment. One such module is the Service Management Entity (SME). The SME is a generic term for modules that manage different services (including network protocols) that are installed on a device or equipment. To integrate the PANA protocol with the SME, it is recommended that a generic interface (i.e., the SME-PANA interface) between the SME and the PANA protocol stack be provided by the implementation. This interface should include common procedures such as startup, shutdown, and re-authenticate signals. It should also provide for extracting keying material. For the PAA, the SME-PANA interface should also provide a method for communicating filtering parameters to the Enforcement Point(s) when cryptographic filtering is used. The filtering parameters include keying material used for bootstrapping secured transport such as IPsec. When a PAA device interacts with the backend authentication server using a AAA protocol, its SME may also provide an interface to the AAA protocol to obtain authorization parameters such as the authorization lifetime and additional filtering parameters.
一般に、各デバイスまたはネットワーク機器には、デバイスまたはネットワーク機器内の他のモジュールが使用できるPanaプロトコルスタックがあると想定されています。そのようなモジュールの1つは、サービス管理エンティティ(SME)です。SMEは、デバイスまたは機器にインストールされているさまざまなサービス(ネットワークプロトコルを含む)を管理するモジュールの一般的な用語です。PANAプロトコルをSMEと統合するには、SMEとPANAプロトコルスタックの間の汎用インターフェイス(つまり、SME-PANAインターフェイス)を実装によって提供することをお勧めします。このインターフェイスには、スタートアップ、シャットダウン、再認証シグナルなどの一般的な手順を含める必要があります。また、キーイング材料を抽出することもできます。PAAの場合、SME-PANAインターフェイスは、暗号化フィルタリングが使用されている場合に、フィルタリングパラメーターを執行ポイントに通信する方法も提供する必要があります。フィルタリングパラメーターには、IPSECなどのブートストラップ保護された輸送に使用されるキーイング素材が含まれます。PAAデバイスがAAAプロトコルを使用してバックエンド認証サーバーと対話する場合、その中小企業はAAAプロトコルにインターフェイスを提供して、認証ライフタイムや追加のフィルタリングパラメーターなどの承認パラメーターを取得することもできます。
This document's intent is to describe the PANA state machines fully. To this end, any security concerns with this document are likely a reflection of security concerns with PANA itself.
このドキュメントの目的は、パナ州のマシンを完全に説明することです。この目的のために、このドキュメントに関するセキュリティの懸念は、おそらくパナ自体に対するセキュリティの懸念を反映している可能性があります。
This work was started from state machines originally made by Dan Forsberg.
この作業は、もともとDan Forsbergが作成した州の機械から開始されました。
[RFC5191] Forsberg, D., Ohba, Y., Patil, B., Tschofenig, H., and A. Yegin, "Protocol for Carrying Authentication for Network Access (PANA)", RFC 5191, May 2008.
[RFC5191] Forsberg、D.、Ohba、Y.、Patil、B.、Tschofenig、H。、およびA. Yegin、「ネットワークアクセスの認証を運ぶためのプロトコル(PANA)」、RFC 5191、2008年5月。
[RFC4137] Vollbrecht, J., Eronen, P., Petroni, N., and Y. Ohba, "State Machines for Extensible Authentication Protocol (EAP) Peer and Authenticator", RFC 4137, August 2005.
[RFC4137] Vollbrecht、J.、Eronen、P.、Petroni、N。、およびY. Ohba、「拡張可能な認証プロトコル(EAP)ピアおよび認証器のための状態マシン」、RFC 4137、2005年8月。
Authors' Addresses
著者のアドレス
Victor Fajardo (editor) Telcordia Technologies 1 Telcordia Drive Piscataway, NJ 08854 USA
Victor Fajardo(編集者)Telcordia Technologies 1 Telcordia Drive Piscataway、NJ 08854 USA
Phone: +1 732 699 5368
EMail: vfajardo@research.telcordia.com
Yoshihiro Ohba Toshiba Corporate Research and Development Center 1 Komukai-Toshiba-cho, Saiwai-ku Kawasaki, Kanagawa 212-8582 Japan
ヨシヒロ大統領企業研究開発センター1 Komukai-Toshiba-Cho、佐藤川川川川川
Phone: +81 44 549 2230
EMail: yoshihiro.ohba@toshiba.co.jp
Rafa Marin-Lopez University of Murcia Campus de Espinardo S/N, Facultad de Informatica Murcia 30100 Spain
ラファ・マリン・ロペス大学ムルシア大学キャンパス・デ・エスピナルドS/N、Fancultad de Informatica Murcia 30100スペイン
Phone: +34 868 888 501
EMail: rafa@um.es