home *** CD-ROM | disk | FTP | other *** search

---

/ Internet Info 1997 December / Internet_Info_CD-ROM_Walnut_Creek_December_1997.iso / drafts / draft_ietf_q_t / draft-ietf-roamops-roamreq-04.txt

< prev

next >

Wrap

Text File  |  1997-06-09  |  30KB  |  857 lines

---

1.  
2.  
3.  
4.  
5.      ROAMOPS Working Group                                    Bernard Aboba
6.      INTERNET-DRAFT                                               Microsoft
7.      Category: Standards Track                                    Glen Zorn
8.      <draft-ietf-roamops-roamreq-04.txt>                          Microsoft
9.      7 June 1997
10.  
11.  
12.                           Dialup Roaming Requirements
13.  
14.  
15.  
16.      1.  Status of this Memo
17.  
18.      This document is an Internet-Draft.  Internet-Drafts are working docu-
19.      ments of the Internet Engineering Task Force (IETF),  its  areas,  and
20.      its  working groups.  Note that other groups MAY also distribute work-
21.      ing documents as Internet-Drafts.
22.  
23.      Internet-Drafts are draft documents valid for a maximum of six  months
24.      and  MAY  be updated, replaced, or obsoleted by other documents at any
25.      time.  It is inappropriate to use Internet-Drafts as  reference  mate-
26.      rial or to cite them other than as ``work in progress.''
27.  
28.      To  learn  the  current status of any Internet-Draft, please check the
29.      ``1id-abstracts.txt'' listing contained in the Internet-Drafts  Shadow
30.      Directories   on   ds.internic.net   (US  East  Coast),  nic.nordu.net
31.      (Europe), ftp.isi.edu (US West Coast), or munnari.oz.au (Pacific Rim).
32.  
33.      The  distribution  of  this memo is unlimited.  It is filed as <draft-
34.      ietf-roamops-roamreq-04.txt>, and  expires January  1,  1998.   Please
35.      send comments to the authors.
36.  
37.  
38.      2.  Abstract
39.  
40.      This  document  describes  the  features required for the provision of
41.      "roaming capability" for dialup Internet users, as  well  as  offering
42.      some  suggestions  for future protocol standardization work.  "Roaming
43.      capability" is defined as the ability  to  use  any  one  of  multiple
44.      Internet  service  providers  (ISPs), while maintaining a formal, cus-
45.      tomer-vendor relationship with only  one.   Examples  of  cases  where
46.      roaming  capability might be required include ISP "confederations" and
47.      ISP-provided corporate network access support.
48.  
49.  
50.      3.  Introduction
51.  
52.      Considerable interest has arisen recently in a set  of  features  that
53.      fit  within  the  general  category of "roaming capability" for dialup
54.      Internet users.  Interested parties have included:
55.  
56.           Regional Internet Service Providers  (ISPs)  operating  within  a
57.           particular  state  or  province, looking to combine their efforts
58.           with those of other regional providers to  offer  dialup  service
59.  
60.  
61.  
62.      Aboba & Zorn                                                  [Page 1]
63.  
64.  
65.  
66.  
67.  
68.      INTERNET-DRAFT                                             7 June 1997
69.  
70.  
71.           over a wider area.
72.  
73.           National  ISPs  wishing to combine their operations with those of
74.           one or more ISPs in another nation to  offer  more  comprehensive
75.           dialup service in a group of countries or on a continent.
76.  
77.           Businesses  desiring  to  offer  their  employees a comprehensive
78.           package of dialup services on a global basis.  Those services can
79.           include  Internet  access  as  well as secure access to corporate
80.           intranets via a Virtual Private Network (VPN), enabled by tunnel-
81.           ing protocols such as PPTP, L2F, or L2TP.
82.  
83.      What are the elements of a dialup roaming architecture?  The following
84.      list is a first cut at defining the elements  for  successful  roaming
85.      among an arbitrary set of ISPs:
86.  
87.           Phone number presentation
88.           Phone number exchange
89.           Phone book compilation
90.           Phone book update
91.           Connection management
92.           Authentication
93.           NAS Configuration/Authorization
94.           Address Assignment/Routing
95.           Security
96.           Accounting
97.  
98.      These topics are discussed further in following sections.
99.  
100.  
101.      3.1.  Terminology
102.  
103.      This document frequently uses the following terms:
104.  
105.      phone book
106.                This is a database or document containing data pertaining to
107.                dialup access, including phone numbers  and  any  associated
108.                attributes.
109.  
110.      phone book server
111.                This  is  a  server that maintains the latest version of the
112.                phone book.  Clients communicate with phone book servers  in
113.                order to keep their phone books up to date.
114.  
115.      Network Access Server
116.                The  Network  Access Server (NAS) is the device that clients
117.                dial in order to get access to the network.
118.  
119.      RADIUS server
120.                This is a server which  provides  for  authentication/autho-
121.                rization via the protocol described in [3], and for account-
122.                ing as described in [4].
123.  
124.  
125.  
126.  
127.  
128.      Aboba & Zorn                                                  [Page 2]
129.  
130.  
131.  
132.  
133.  
134.      INTERNET-DRAFT                                             7 June 1997
135.  
136.  
137.      RADIUS proxy
138.                In order to provide for the routing of RADIUS authentication
139.                and  accounting requests, a RADIUS proxy can be employed. To
140.                the NAS, the RADIUS proxy appears to act as a RADIUS server,
141.                and  to  the  RADIUS  server,  the proxy appears to act as a
142.                RADIUS client.
143.  
144.      Network Access Identifier
145.                In order to provide for the routing of RADIUS authentication
146.                and accounting requests, the userID field used in PPP (known
147.                as the Network Access Identifier or NAI) and in  the  subse-
148.                quent  RADIUS  authentication  and  accounting requests, can
149.                contain structure. This structure provides a means by  which
150.                the  RADIUS  proxy  will locate the RADIUS server that is to
151.                receive the request.
152.  
153.  
154.      3.2.  Requirements language
155.  
156.      This specification uses the same words as [4] for defining the signif-
157.      icance of each particular requirement.  These words are:
158.  
159.  
160.      MUST      This  word,  or  the adjectives "REQUIRED" or "SHALL", means
161.                that the definition is an absolute requirement of the speci-
162.                fication.
163.  
164.      MUST NOT  This phrase, or the phrase "SHALL NOT", means that the defi-
165.                nition is an absolute prohibition of the specification.
166.  
167.      SHOULD    This word, or the adjective "RECOMMENDED", means that  there
168.                may  exist  valid  reasons  in  particular  circumstances to
169.                ignore a particular item, but the full implications must  be
170.                understood and carefully weighed before choosing a different
171.                course.
172.  
173.      SHOULD NOT
174.                This phrase means that there may exist valid reasons in par-
175.                ticular   circumstances  when  the  particular  behavior  is
176.                acceptable or even useful, but the full implications  should
177.                be  understood  and the case carefully weighed before imple-
178.                menting any behavior described with this label.
179.  
180.      MAY       This word, or the adjective "OPTIONAL", means that  an  item
181.                is  truly  optional.   One  vendor may choose to include the
182.                item because a particular marketplace requires it or because
183.                the  vendor feels that it enhances the product while another
184.                vendor may omit the same item.  An implementation which does
185.                not include a particular option MUST be prepared to interop-
186.                erate with another implementation  which  does  include  the
187.                option,  though  perhaps  with reduced functionality. In the
188.                same vein an implementation which does include a  particular
189.                option  MUST be prepared to interoperate with another imple-
190.                mentation which does  not  include  the  option.(except,  of
191.  
192.  
193.  
194.      Aboba & Zorn                                                  [Page 3]
195.  
196.  
197.  
198.  
199.  
200.      INTERNET-DRAFT                                             7 June 1997
201.  
202.  
203.                course, for the feature the option provides)
204.  
205.      An  implementation is not compliant if it fails to satisfy one or more
206.      of the must or must not requirements for the protocols it  implements.
207.      An  implementation  that  satisfies all the must, must not, should and
208.      should not requirements for its protocols is said to be  "uncondition-
209.      ally compliant"; one that satisfies all the must and must not require-
210.      ments but not all the should or should not requirements for its proto-
211.      cols is said to be "conditionally compliant."
212.  
213.  
214.  
215.      4.  Requirements for Dialup Roaming
216.  
217.      Suppose  we  have  a  customer,  Fred,  who has signed up for Internet
218.      access with ISP A in his local area, through his company, BIGCO.   ISP
219.      A  has  joined  an  association of other ISPs (which we will call ISP-
220.      GROUP) in order to offer service outside the  local  area.   Now  Fred
221.      travels  to another part of the world, and wishes to dial into a phone
222.      number offered by ISP B (also a member of ISPGROUP).  What is involved
223.      in allowing this to occur?
224.  
225.  
226.      Phone number presentation
227.           Fred  MUST be able to find and select the phone number offered by
228.           ISP B.
229.  
230.      Phone number exchange
231.           When there is a change in the status of phone numbers  (additions
232.           or  deletions)  from  individual providers, providers in ISPGROUP
233.           will typically notify each other and propagate the changes.
234.  
235.      Phone book compilation
236.           When these updates occur, a new  phone  book  will  be  compiled,
237.           based  on  the  changes  submitted by the individual ISPs in ISP-
238.           GROUP.
239.  
240.      Phone book update
241.           Once a new phone book is compiled, there MUST be a way to  update
242.           the  phone  books  of customers such as Fred, so that the changes
243.           are reflected in the user phone books.
244.  
245.      Connection management
246.           Fred's machine MUST be able to dial the  phone  number,  success-
247.           fully  connect,  and  interoperate with the Network Access Server
248.           (NAS) on the other end of the line.
249.  
250.      Authentication
251.           Fred MUST be able to secure access to the network.
252.  
253.      NAS configuration/authorization
254.           The Network Access Server (NAS) MUST receive configuration param-
255.           eters in order to set up Fred's session.
256.  
257.  
258.  
259.  
260.      Aboba & Zorn                                                  [Page 4]
261.  
262.  
263.  
264.  
265.  
266.      INTERNET-DRAFT                                             7 June 1997
267.  
268.  
269.      Security
270.           If  desired by BIGCO, additional security measures SHOULD be sup-
271.           ported for Fred's session.  These could include supporting use of
272.           token cards, or setting up Fred's account so that he is automati-
273.           cally tunneled to the corporate PPTP,  L2F  or  L2TP  server  for
274.           access to the corporate intranet.
275.  
276.      Address assignment/routing
277.           Fred MUST be assigned a routable IP address by the NAS.
278.  
279.      Accounting
280.           ISP B MUST keep track of what resources Fred used during the ses-
281.           sion.  Relevant information includes how long Fred used the  ser-
282.           vice,  what  speed he connected at, whether he connected via ISDN
283.           or modem, etc.
284.  
285.      Note that some of these requirements may not  require  standardization
286.      or  lie  outside  the  scope of the IETF; they are all listed for com-
287.      pleteness' sake.
288.  
289.  
290.      4.1.  Phone Number Presentation
291.  
292.      Phone number presentation involves the display of available phone num-
293.      bers  to  the user, and culminates in the choosing of a number.  Since
294.      the user interface and sequence of events  involved  in  phone  number
295.      presentation  is a function of the connection management software that
296.      Fred is using, it is likely that individual vendors will take  differ-
297.      ent  approaches  to  the problem.  These differences can include vari-
298.      ances in the format of the client phone books, varying  approaches  to
299.      presentation,  etc.   There  is  no  inherent  problem with this. As a
300.      result, phone number presentation need not be standardized.
301.  
302.  
303.      4.2.  Phone Number Exchange
304.  
305.      Phone number exchange involves propagation  of  phone  number  changes
306.      between  providers  in  a roaming association. As described in [2], no
307.      current roaming implementations provide for complete automation of the
308.      phone number exchange process. As a result, phone number exchange need
309.      not be standardized at this time.
310.  
311.  
312.      4.3.  Phone Book Compilation
313.  
314.      Once an ISP's phone book server has received its updates it  needs  to
315.      compile  a  new  phone  book  and propagate this phone book to all the
316.      phone book servers operated by that ISP. Given  that  the  compilation
317.      process  does  not  affect  protocol  interoperability, it need not be
318.      standardized.
319.  
320.  
321.  
322.  
323.  
324.  
325.  
326.      Aboba & Zorn                                                  [Page 5]
327.  
328.  
329.  
330.  
331.  
332.      INTERNET-DRAFT                                             7 June 1997
333.  
334.  
335.      4.4.  Phone Book Update
336.  
337.      Once the phone book is compiled, it needs to  be  propagated  to  cus-
338.      tomers.  Standardization  of  the phone book update process allows for
339.      providers to update the phone books of  users,  independent  of  their
340.      client and operating system. As a result, roaming implementations pro-
341.      viding for phone book update MUST implement the standard update proto-
342.      col.
343.  
344.  
345.      4.4.1.  Phone book update protocol requirements
346.  
347.      What are the requirements for a phone book update protocol?
348.  
349.  
350.      Portability
351.           The update protocol MUST allow for updating of clients on a range
352.           of platforms and operating systems. Therefore the  update  mecha-
353.           nism  MUST not impose any operating system-specific requirements.
354.  
355.  
356.      Authentication
357.           The client MUST be able to  determine  the  authenticity  of  the
358.           server  sending  the  phone  book update.  The server MAY also be
359.           able to authenticate the client.
360.  
361.  
362.      Versioning
363.           The update protocol MUST provide for updating of the  phone  book
364.           from  an  arbitrary previous version to the latest available ver-
365.           sion.
366.  
367.  
368.      Integrity Checking
369.           The client MUST  be  able  to  determine  the  integrity  of  the
370.           received  update  before applying it, as well as the integrity of
371.           the newly produced phone book after updating it.
372.  
373.  
374.      Light weight transfers
375.           Since the client machine can be a low-end PC, the update protocol
376.           MUST be lightweight.
377.  
378.  
379.      Language suppor
380.           The  phone  book  update  mechanism  MUST  support the ability to
381.           request that the phone book be transmitted in a  particular  lan-
382.           guage and character set.  For example, if the customer has a Rus-
383.           sian language software package, then the propagation  and  update
384.           protocols MUST provide a mechanism for the user to request a Rus-
385.           sian language phone book. Similarly, the phone book standard
386.  
387.  
388.  
389.  
390.  
391.  
392.      Aboba & Zorn                                                  [Page 6]
393.  
394.  
395.  
396.  
397.  
398.      INTERNET-DRAFT                                             7 June 1997
399.  
400.  
401.      4.4.2.  Phone book format requirements
402.  
403.      What are the requirements for a phone book format?
404.  
405.  
406.      Phone number attributes
407.           The phone book format MUST support phone number  attributes  com-
408.           monly  used  by  Internet service providers. These attributes are
409.           required in order to provide users with information on the  capa-
410.           bilities  of  the  available  phone numbers. Since it is intended
411.           that the client will begin PPP negotiation immediately on connec-
412.           tion,  support  for scripting will not be part of a roaming stan-
413.           dard.
414.  
415.  
416.      Provider attributes
417.           In addition to providing information relating to  a  given  phone
418.           number, the phone book MUST provide information on the individual
419.           roaming consortium members.  These  attributes  are  required  in
420.           order  to  provide  users  with  information about the individual
421.           providers in the roaming consortium.
422.  
423.  
424.      Service attributes
425.           In addition to providing information relating to  a  given  phone
426.           number,  and service provider, the phone book MUST provide infor-
427.           mation relevant to configuration of the service. These attributes
428.           are  necessary to provide the client with information relating to
429.           the operation of the service.
430.  
431.  
432.      Extensibility
433.           Since  it  will  frequently  be  necessary  to  add  phone   book
434.           attributes,  the  phone  book format MUST support the addition of
435.           phone number, provider and service attributes  without  modifica-
436.           tion  to  the  update  protocol.  Registration  of new phone book
437.           attributes will be handled by IANA. The attribute space  MUST  be
438.           sufficiently large to accomodate growth.
439.  
440.  
441.      Compactness
442.           Since  phone book will typically be frequently updated, the phone
443.           book format MUST be compact so as to minimize the bandwidth  used
444.           in updating it.
445.  
446.  
447.  
448.      4.5.  Connection Management
449.  
450.      Once  Fred  has  chosen  a number from his phone book, he will need to
451.      connect to ISP B via ISDN or modem, and bring up a dialup network con-
452.      nection.   In the case of a PPP session, this will include CHAP or PAP
453.      authentication.
454.  
455.  
456.  
457.  
458.      Aboba & Zorn                                                  [Page 7]
459.  
460.  
461.  
462.  
463.  
464.      INTERNET-DRAFT                                             7 June 1997
465.  
466.  
467.      4.5.1.  Requirements
468.  
469.      What are the requirements for connection management?
470.  
471.  
472.      PPP Support
473.           Given the current popularity and near ubiquity of PPP, a  roaming
474.           standard  MUST  provide support for PPP.  While an implementation
475.           MAY choose to support other framing protocols such as SLIP,  SLIP
476.           support  is  expected to prove difficult since SLIP does not sup-
477.           port negotiation of connection parameters and lacks  support  for
478.           protocols other than IP. Support for non-IP protocols (e.g., IPX)
479.           MAY be useful for the provision of corporate intranet access  via
480.           the  Internet.   Since  it is intended that the client will begin
481.           PPP negotiation immediately on connection, support for  scripting
482.           will not be part of a roaming standard.
483.  
484.  
485.      4.6.  Authentication
486.  
487.      Authentication  consists of two parts: the claim of identity (or iden-
488.      tification) and the proof of the claim (or verification).
489.  
490.      In order for Fred to obtain network access from ISP B,  he  MUST  have
491.      been assigned a user ID which identifies him as a customer of a member
492.      of ISPGROUP (in this case, ISP A).
493.  
494.  
495.      4.6.1.  Identification
496.  
497.      As part of the authentication process, users  identify  themselves  to
498.      the  Network  Access  Server  (NAS) in a manner that allows the NAS to
499.      route the authentication request to its home destination.   A  roaming
500.      standard  must  be  provide  a standarized way for expressing a user's
501.      identity.
502.  
503.  
504.      4.6.2.  Verification of Identity
505.  
506.      CHAP and PAP are the two authentication protocols used within the  PPP
507.      framework  today.   Some groups of users are requiring different forms
508.      of proof of identity (e.g., token or  smart  cards,  Kerberos  creden-
509.      tials,  etc.) for special purposes (such as acquiring access to corpo-
510.      rate intranets).
511.  
512.  
513.      4.6.3.  Requirements
514.  
515.      What are the requirements for authentication?
516.  
517.  
518.      Authentication types
519.           A roaming standard MUST support CHAP,  and  SHOULD  support  EAP.
520.           Due  to  concerns  over  security  in  chained proxy systems, PAP
521.  
522.  
523.  
524.      Aboba & Zorn                                                  [Page 8]
525.  
526.  
527.  
528.  
529.  
530.      INTERNET-DRAFT                                             7 June 1997
531.  
532.  
533.           authentication SHOULD NOT be supported.
534.  
535.  
536.      RADIUS Support
537.           Given the current popularity and near ubiquity of RADIUS, a roam-
538.           ing  standard  MUST  support  RADIUS,  as defined in [2] and [3].
539.           Other protocols MAY be supported. However, it is the responsibil-
540.           ity  of  participating  ISPs  and/or  software vendors to produce
541.           gateways between those protocols and RADIUS.
542.  
543.  
544.      Scalability
545.           A roaming standard,  once  available,  is  likely  to  be  widely
546.           deployed  on the Internet. A roaming standard MUST therefore pro-
547.           vide sufficient scalability to allow for the formation of roaming
548.           associations  with hundreds of ISP members, and hundreds of "sub-
549.           domains" per ISP.  Thus, a roaming standard MUST be able to  deal
550.           with a hundred thousand RADIUS servers operating within a roaming
551.           association.
552.  
553.  
554.      End-to-end Security
555.           In a RADIUS proxy system, access responses are  verified  hop-by-
556.           hop,  rather than on an end-to-end basis. This means that without
557.           additional security measures, it is possible  for  a  compromised
558.           RADIUS  proxy  to modify security attributes returned by the home
559.           ISP, or even to change a NAK to an ACK. While end-to-end security
560.           is  not  a  requirement  for a roaming standard, it is considered
561.           desirable, and therefore MAY be provided as an optional  capabil-
562.           ity.
563.  
564.  
565.      4.7.  NAS Configuration/Authorization
566.  
567.      In  order  for Fred to be able to log in to ISP B, it is necessary for
568.      ISP A's RADIUS server to return the proper  configuration  information
569.      to ISP B's NAS.
570.  
571.  
572.      4.7.1.  Configuration/Authorization requirements
573.  
574.      What are the requirements for configuration/authorization?
575.  
576.  
577.      Masking of heterogeneity
578.           ISP A and ISP B's NAS devices can be from different vendors; even
579.           if they are from the same vendor, ISP A and ISP B can use differ-
580.           ent  NAS  configurations.  As a result, the NASs can each require
581.           different parameters in order to properly configure them.  In the
582.           case  of  RADIUS, this problem can be solved through the use of a
583.           proxy which adds ISP and NAS-specific attributes to the  response
584.           returned by ISP A's RADIUS server, with the result being that ISP
585.           B's RADIUS proxy will provide the attributes necessary to config-
586.           ure  ISP B's NAS device, while ISP A's RADIUS server will perform
587.  
588.  
589.  
590.      Aboba & Zorn                                                  [Page 9]
591.  
592.  
593.  
594.  
595.  
596.      INTERNET-DRAFT                                             7 June 1997
597.  
598.  
599.           the actual user authentication.  In order to support  heterogene-
600.           ity  among  providers  within  the roaming association, a roaming
601.           standard MUST permit attribute editing by the local proxy.
602.  
603.  
604.      4.8.  Address assignment/routing
605.  
606.      A roaming standard MUST support dynamic  address  assignment.   Static
607.      address  assignment MAY be supported. Static address assignment, if it
608.      is to be supported, will most likely be accomplished via  one  of  two
609.      mechanisms:
610.  
611.  
612.      Layer 2 tunneling protocols
613.           Layer-2  tunneling  protocols,  such  as PPTP, L2F, or L2TP, hold
614.           great promise for the implementation of Virtual Private  Networks
615.           as a means for inexpensive access to remote networks.  Therefore,
616.           proxy implementations MUST NOT preclude use of mandatory  tunnel-
617.           ing.
618.  
619.      Layer 3 tunneling protocols
620.           Layer-3  tunneling  protocols  as embodied in Mobile IP [RFC2002]
621.           hold great promise for providing "live", transparent mobility  on
622.           the  part  of  mobile  nodes  on  the Internet.  Therefore, proxy
623.           implementations MUST NOT preclude the provision of Mobile IP For-
624.           eign  Agents or other Mobile IP functionality on the part of ser-
625.           vice providers.
626.  
627.  
628.      4.9.  Security
629.  
630.      Although network security is a very broad subject, in  this  paper  we
631.      will limit our attention to the problems of secure proxying and shared
632.      secret management.
633.  
634.  
635.      4.9.1.  Requirements
636.  
637.      What are the security requirements?
638.  
639.  
640.      Authentication of Access-Requests
641.           In proxy chaining systems, authentications may be forwarded  over
642.           circuitous  routes,  and as a result, the threat of a man-in-the-
643.           middle attack is increased. As a result, a roaming standard  MUST
644.           provide  for  authentication of Access-Requests.  While RADIUS as
645.           defined in [2] does not provide  for  authentication  of  Access-
646.           Requests,  the Signature attribute, defined in [8], permits veri-
647.           fication of authenticity on a hop-by-hop basis.
648.  
649.  
650.       Secure proxying
651.           One of the problems which arises from the dependency on a proxied
652.           system  of  authorization is how to guarantee that the proxy will
653.  
654.  
655.  
656.      Aboba & Zorn                                                 [Page 10]
657.  
658.  
659.  
660.  
661.  
662.      INTERNET-DRAFT                                             7 June 1997
663.  
664.  
665.           properly forward the security-related parameters returned by  the
666.           remote  server and that the NAS will enforce them. RADIUS proxies
667.           MUST not remove security-related parameters from  responses.  For
668.           example,  the user MUST not be allowed to authenticate using CHAP
669.           if the remote authorization server had returned attributes  indi-
670.           cating  a  requirement for smart card use. Similarly, a user MUST
671.           not be allowed access to the Internet if the remote authorization
672.           server  had  returned  attributes  indicating a requirement for a
673.           mandatory tunnel.
674.  
675.  
676.       Shared secret management
677.           A roaming standard MUST provide for efficient management of share
678.           secrets.   This  is required since the RADIUS protocol requires a
679.           shared secret between the NAS and the RADIUS server.  This  along
680.           with  authentication  routing  and  timeout  constraints  are the
681.           issues most limiting the  scalability  of  roaming.  In  a  proxy
682.           implementation, this translates to shared secrets between the NAS
683.           devices and the ISP proxy, and  another  set  of  shared  secrets
684.           between the ISP  proxies  and  second  level  proxies  or  RADIUS
685.           servers. Note that the issue of shared secret management is inti-
686.           mately connected with authentication routing, since  the  routing
687.           scheme  determines  the number of hops that MUST be traversed for
688.           the authentication request to reach its destination. This in turn
689.           influences  the  number  of  shared secrets that need to be main-
690.           tained on each proxy or server.
691.  
692.  
693.      4.10.  Accounting
694.  
695.      Today  there  is no proposed standard for NAS accounting, and there is
696.      wide variation in the  protocols  used  by  providers  to  communicate
697.      accounting  information  within  their own organizations. As a result,
698.      rather than requiring  the use of  a  particular  accounting  protocol
699.      (RADIUS,  TACACS+,  SNMP, SYSLOG, etc.),  a roaming standard MUST pre-
700.      scribe a standardized format for accounting records, and MAY in  addi-
701.      tion prescribe a method for real-time accounting.
702.  
703.  
704.      4.10.1.  Accounting requirements
705.  
706.      What are the accounting requirements for roaming?
707.  
708.  
709.      Accounting metrics
710.           A  standard  accounting record format MUST be able to encode met-
711.           rics commonly used by Internet Service Providers to determine the
712.           user's bill.
713.  
714.  
715.      Extensibility
716.           Since  these metrics change over time, the accounting record for-
717.           mat MUST be extensible so as to be able to add future metrics  as
718.           they  come  along.  The  record format MUST support both standard
719.  
720.  
721.  
722.      Aboba & Zorn                                                 [Page 11]
723.  
724.  
725.  
726.  
727.  
728.      INTERNET-DRAFT                                             7 June 1997
729.  
730.  
731.           metrics as well as vendor-specific metrics.
732.  
733.  
734.      Compactness
735.           For the sake of efficiency, the record format MUST be compact.
736.  
737.  
738.      Mutual authentication
739.           If a roaming standard specifies a method of real-time accounting,
740.           that method must provide for mutual authentication of the parties
741.           involved in the real-time transfer of accounting data.
742.  
743.  
744.      5.  Acknowledgements
745.  
746.      Thanks to Dr. Thomas Pfenning and Don Dumitru of  Microsoft  for  many
747.      useful discussions of this problem space.
748.  
749.  
750.      6.  References
751.  
752.      [1]   B. Aboba, J. Lu, J. Alsop, J. Ding, W. Wang.  "Review of Roaming
753.      Implementations." Work in progress,  draft-ietf-roamops-imprev-03.txt,
754.      Microsoft, Aimnet, i-Pass Alliance, Asiainfo, Merit, June, 1997.
755.  
756.      [2]   C. Rigney, A. Rubens, W. Simpson, S. Willens.  "Remote Authenti-
757.      cation Dial In User Service (RADIUS)." RFC  2058,  Livingston,  Merit,
758.      Daydreamer, January, 1997.
759.  
760.      [3]   C.  Rigney.  "RADIUS Accounting." RFC 2059, Livingston, January,
761.      1997.
762.  
763.      [4] S. Bradner.  "Key words for use in RFCs  to  Indicate  Requirement
764.      Levels." RFC 2119, Harvard University, March, 1997.
765.  
766.      [5] G. Zorn.  "RADIUS Attributes for Tunnel Protocol Support." Work in
767.      progress, draft-ietf-radius-tunnel-auth-02.txt, Microsoft, May,  1997.
768.  
769.      [6]  B.  Aboba.   "Implementation of PPTP/L2TP Mandatory Tunneling via
770.      RADIUS."   Work  in   progress,   draft-ietf-radius-tunnel-imp-02.txt,
771.      Microsoft, June, 1997.
772.  
773.      [8]  C.  Rigney,  W. Willats.  "RADIUS Extensions."  Work in progress,
774.      draft-ietf-radius-ext-00.txt, Livingston, January, 1997.
775.  
776.  
777.  
778.  
779.      7.  Authors' Addresses
780.  
781.      Bernard Aboba
782.      Microsoft Corporation
783.      One Microsoft Way
784.      Redmond, WA 98052
785.  
786.  
787.  
788.      Aboba & Zorn                                                 [Page 12]
789.  
790.  
791.  
792.  
793.  
794.      INTERNET-DRAFT                                             7 June 1997
795.  
796.  
797.      Phone: 206-936-6605
798.      EMail: bernarda@microsoft.com
799.  
800.  
801.      Glen Zorn
802.      Microsoft Corporation
803.      One Microsoft Way
804.      Redmond, WA 98052
805.  
806.      Phone: 206-703-1559
807.      EMail: glennz@microsoft.com
808.  
809.  
810.  
811.  
812.  
813.  
814.  
815.  
816.  
817.  
818.  
819.  
820.  
821.  
822.  
823.  
824.  
825.  
826.  
827.  
828.  
829.  
830.  
831.  
832.  
833.  
834.  
835.  
836.  
837.  
838.  
839.  
840.  
841.  
842.  
843.  
844.  
845.  
846.  
847.  
848.  
849.  
850.  
851.  
852.  
853.  
854.      Aboba & Zorn                                                 [Page 13]
855.  
856.  
857.