Appliquant le cahier des charges qui avait été défini dans le , le protocole PANA vient d'être
normalisé dans le et notre RFC accompagne cette
spécification, pour décrire les caractéristiques de haut niveau du
protocole.
PANA sert à transporter un protocole
d'authentification, typiquement EAP (), entre une machine qui veut accéder à un réseau (la PaC,
PANA Client) et une machine d'authentification, le
PAA (PANA Authentication Agent). (Ces rôles sont
expliqués dans la section 2 du RFC, la section 3 détaillant les différentes communications entre eux.) Après le succès de
l'authentification, le PAA indiquera à l'EP (Enforcement
Point, typiquement un routeur ou un
commutateur) qu'il peut laisser passer le
trafic du client, du PaC.
Ces rôles peuvent être situés sur des machines différentes ou
pas. Par exemple, en ADSL, le PAA et l'EP
seront typiquement situés dans le même BRAS. Le
protocole PANA ne spécifie que la communication entre le PaC et le PAA.
À noter que, pour prendre sa décision, le PAA pourra être lui-même
client d'un protocole d'AAA comme
Radius () ou
Diameter ().
PANA a été conçu pour s'adapter à des environnements très
différents, notamment du point de vue de la sécurité (section 4 du RFC). Par exemple, il
peut y avoir un canal sûr entre le PaC et le PAA, avant même que PANA
ne tourne ou pas. S'il existe un tel canal sûr (cas du
WiFi avec WPA ou bien
cas où la liaison physique entre le PaC et le PAA est considérée comme
sûre), PANA est très simple. Dans le cas contraire, il est important
d'utiliser des méthodes EAP résistantes à
l'espionnage ou à la modification des paquets.