附录 A. 针对基于隧道的 EAP 方法需求的评估 (Evaluation Against Tunnel-Based EAP Method Requirements)
本节依据 [RFC6678] 中描述的所有基于隧道的 EAP 方法需求, 对 TEAP version 1 进行评估.
A.1. 需求 4.1.1: RFC 符合性
TEAPv1 通过符合 [RFC3748], [RFC4017], [RFC5247] 和 [RFC4962] 满足此需求. 它还通过使用 TLS 1.2 进行所有密码学算法协商, 符合 "cryptographic algorithm agility" 需求.
A.2. 需求 4.2.1: TLS 需求
TEAPv1 通过强制支持第 3.2 节中定义的 TLS version 1.2 满足此需求.
A.3. 需求 4.2.1.1.1: 密码套件协商
TEAPv1 通过使用 TLS 提供受保护的密码套件协商来满足此需求.
A.4. 需求 4.2.1.1.2: 隧道数据保护算法
TEAPv1 通过强制使用第 3.2 节中定义的密码套件满足此需求.
A.5. 需求 4.2.1.1.3: 隧道认证和密钥建立
TEAPv1 通过强制使用只包含强密码学算法的密码套件来满足此需求. 如第 3.2 节所定义, 这些密码套件不包括提供相互匿名认证的密码套件, 也不包括静态 Diffie-Hellman 密码套件.
A.6. 需求 4.2.1.2: 隧道重放保护
TEAPv1 通过使用 TLS 提供充分的重放保护来满足此需求.
A.7. 需求 4.2.1.3: TLS 扩展
TEAPv1 通过允许在 TLS 隧道建立期间使用 TLS 扩展来满足此需求, 例如 TLS Certificate Status Request extension [RFC6066] 和 SessionTicket extension [RFC5077].
A.8. 需求 4.2.1.4: 对等方身份隐私
TEAPv1 通过建立 TLS 隧道并保护 Inner Method 特定身份来满足此需求. 此外, 对等方证书可以以机密方式发送, 即加密发送.
A.9. 需求 4.2.1.5: 会话恢复
TEAPv1 通过强制支持第 3.5.1 节中定义的 TLS 会话恢复, 以及使用 [RFC9190] 中定义方法的 TLS 会话恢复来满足此需求.
A.10. 需求 4.2.2: 分片
TEAPv1 通过利用第 3.10 节中定义的 TLS 所提供的分片支持来满足此需求.
A.11. 需求 4.2.3: 隧道外部数据保护
TEAPv1 通过在第 4.2.13 节定义的 Crypto-Binding TLV 计算中纳入接收到的 TEAP 版本号来满足此需求.
A.12. 需求 4.3.1: 可扩展属性类型
TEAPv1 通过在隧道内使用第 4.2 节定义的可扩展 TLV 数据层来满足此需求.
A.13. 需求 4.3.2: 请求/质询响应操作
TEAPv1 通过允许在单个 EAP request 或 response packet 中发送多个 TLV, 同时保持 EAP 典型的半双工操作, 来满足此需求.
A.14. 需求 4.3.3: 指示属性关键性
TEAPv1 通过在每个 TLV 中设置 mandatory bit 来指示是否必须支持该 TLV, 从而满足此需求, 如第 4.2 节所定义.
A.15. 需求 4.3.4: 厂商特定支持
TEAPv1 通过提供 Vendor-Specific TLV 允许厂商定义自己的属性, 从而满足此需求, 如第 4.2.8 节所定义.
A.16. 需求 4.3.5: 结果指示
TEAPv1 通过 Result TLV 交换 TEAP 认证的最终结果, 使对等方和服务器具有同步状态, 从而满足此需求, 如第 4.2.4 节所定义.
A.17. 需求 4.3.6: 显示字符串国际化
TEAPv1 通过在第 4.2.14 节定义的 Basic-Password-Auth-Req TLV 和第 4.2.15 节定义的 Basic-Password-Auth-Resp TLV 中支持 UTF-8 格式来满足此需求.
A.18. 需求 4.4: EAP 信道绑定需求
TEAPv1 通过 Channel-Binding TLV 交换 EAP 信道绑定数据来满足此需求, 如第 4.2.7 节所定义.
A.19. 需求 4.5.1.1: 机密性和完整性
TEAPv1 通过在受保护的 TLS 隧道内运行密码认证来满足此需求.
A.20. 需求 4.5.1.2: 服务器认证
TEAPv1 通过在建立受保护 TLS 之前强制认证服务器, 然后运行第 3.2 节定义的内部密码认证来满足此需求.
A.21. 需求 4.5.1.3: 服务器证书吊销检查
TEAPv1 通过在隧道建立期间支持 TLS Certificate Status Request extension [RFC6066] 来满足此需求.
A.22. 需求 4.5.2: 国际化
TEAPv1 通过在第 4.2.14 节定义的 Basic-Password-Auth-Req TLV 和第 4.2.15 节定义的 Basic-Password-Auth-Resp TLV 中支持 UTF-8 格式来满足此需求.
A.23. 需求 4.5.3: 元数据
TEAPv1 通过支持第 4.2.3 节定义的 Identity-Type TLV 来指示认证对象是用户还是机器, 从而满足此需求.
A.24. 需求 4.5.4: 密码更改
TEAPv1 通过在单次 EAP 认证内支持多个 Basic-Password-Auth-Req TLV 和 Basic-Password-Auth-Resp TLV 交换来满足此需求, 这允许执行密码更改等 "housekeeping" 功能.
A.25. 需求 4.6.1: 方法协商
TEAPv1 通过在受保护的 TLS 隧道内支持内部 EAP 方法协商来满足此需求.
A.26. 需求 4.6.2: 链式方法
TEAPv1 通过在受保护的 TLS 隧道内支持内部 EAP 方法链式执行来满足此需求, 如第 3.6.2 节所定义.
A.27. 需求 4.6.3: 与 TLS 隧道的密码学绑定
TEAPv1 通过支持将内部 EAP 方法密钥与从 TLS 隧道派生的密钥进行密码学绑定来满足此需求, 如第 4.2.13 节所定义.
A.28. 需求 4.6.4: 对等方发起的 EAP 认证
TEAPv1 通过支持第 4.2.9 节定义的 Request-Action TLV, 允许对等方发起另一个内部 EAP 方法, 从而满足此需求.
A.29. 需求 4.6.5: 方法元数据
TEAPv1 通过支持第 4.2.3 节定义的 Identity-Type TLV 来指示认证对象是用户还是机器, 从而满足此需求.