Network Working Group                                           C. RigneyRequest for Comments: 2869                                     LivingstonCategory: Informational                                        W. Willats                                                        Cyno Technologies                                                               P. Calhoun                                                         Sun Microsystems                                                                June 2000                           RADIUS擴(kuò)展Status of this Memo   This memo provides information for the Internet community.  It does   not specify an Internet standard of any kind.  Distribution of this   memo is unlimited.Copyright Notice   Copyright (C) The Internet Society (2000).  All Rights Reserved.摘要本文檔描述了利用遠(yuǎn)程撥入用戶認(rèn)證服務(wù)(RADIUS)協(xié)議在網(wǎng)絡(luò)訪問服務(wù)器(NAS)和共享的計(jì)費(fèi)服務(wù)器之間傳送認(rèn)證、授權(quán)和計(jì)費(fèi)信息的額外屬性。其中RADIUS協(xié)議在RFC 2865和RFC 2866中描述。 目  錄1引言	62具體操作	6 2.1RADIUS對(duì)之間計(jì)費(fèi)更新的支持	6 2.2RADIUS對(duì)Apple遠(yuǎn)程接入?yún)f(xié)議的支持	7 2.3RADIUS對(duì)擴(kuò)展認(rèn)證協(xié)議（EAP）的支持	11 2.3.1協(xié)議回顧	11 2.3.2重傳	12 2.3.3分片	13 2.3.4舉例	13 2.3.5選擇使用	203報(bào)文格式	204報(bào)文類型	205屬性   	20 5.1Acct-Input-Gigawords	23 5.2Acct-Output-Gigawords	23 5.3Event-Timestamp	24 5.4ARAP-Password	25 5.5ARAP-Features	26 5.6ARAP-Zone-Access	28 5.7ARAP-Security	29 5.8ARAP-Security-Data	30 5.9Password-Retry	31 5.10  Prompt	31 5.11  Connect-Info	32 5.12  Configuration-Token	33 5.13  EAP-Message	34 5.14  Message-Authenticator	36 5.15  ARAP-Challenge-Response	38 5.16  Acct-Interim-Interval	39 5.17  NAS-Port-Id	40 5.18  Framed-Pool	40 5.19  屬性表	416IANA 考慮事項(xiàng)	427安全考慮事項(xiàng)	42 7.1Message-Authenticator安全	42 7.2EAP安全	43 7.2.1EAP服務(wù)器和PPP認(rèn)證者分離	43 7.2.2連接劫持	43 7.2.3中間的攻擊	44 7.2.4多數(shù)據(jù)庫(kù)	44 7.2.5協(xié)商攻擊	448.     References ............................................   439.     Acknowledgements ......................................   4410.    Chair's Address .......................................   4411.    Authors' Addresses ....................................   4512.    Full Copyright Statement ..............................   471. 引言RFC2865和RFC2866描述了如何利用RADIUS協(xié)議進(jìn)行認(rèn)證和計(jì)費(fèi)，目前正在應(yīng)用。本文檔建議了幾個(gè)額外的屬性，可以實(shí)現(xiàn)多種非常有用的功能，這幾個(gè)額外的屬性可以添加到RADIUS協(xié)議中。這幾個(gè)屬性目前沒有大面積使用的經(jīng)驗(yàn)，因此只能看作是實(shí)驗(yàn)性的。擴(kuò)展認(rèn)證協(xié)議（EAP）是對(duì)PPP協(xié)議的擴(kuò)展，通過EAP可以在PPP協(xié)議內(nèi)支持額外的認(rèn)證方法。本文檔描述了RADIUS協(xié)議如何利用EAP-Message和Message-Authenticator屬性支持EAP。所有的屬性由Type-Length-Value三元組組成。可以添加新的屬性值而又不影響協(xié)議的實(shí)現(xiàn)。1.1.  Specification of Requirements   The key words "MUST", "MUST NOT", "REQUIRED", "SHALL", "SHALL NOT",   "SHOULD", "SHOULD NOT", "RECOMMENDED",  "MAY", and "OPTIONAL" in this   document are to be interpreted as described in RFC 2119 [4].   An implementation is not compliant if it fails to satisfy one or more   of the must or must not requirements for the protocols it implements.   An implementation that satisfies all the must, must not, should and   should not requirements for its protocols is said to be   "unconditionally compliant"; one that satisfies all the must and must   not requirements but not all the should or should not requirements   for its protocols is said to be "conditionally compliant."   A NAS that does not implement a given service MUST NOT implement the   RADIUS attributes for that service.  For example, a NAS that is   unable to offer ARAP service MUST NOT implement the RADIUS attributes   for ARAP.  A NAS MUST treat a RADIUS access-request requesting an   unavailable service as an access-reject instead.1.2.  Terminology   This document uses the following terms:   service   The NAS provides a service to the dial-in user, such as PPP             or Telnet.   session   Each service provided by the NAS to a dial-in user             constitutes a session, with the beginning of the session             defined as the point where service is first provided and             the end of the session defined as the point where serviceRigney, et al.               Informational                      [Page 3]RFC 2869                   RADIUS Extensions                   June 2000             is ended.  A user may have multiple sessions in parallel or             series if the NAS supports that, with each session             generating a separate start and stop accounting record.   silently discard             This means the implementation discards the packet without             further processing.  The implementation SHOULD provide the             capability of logging the error, including the contents of             the silently discarded packet, and SHOULD record the event             in a statistics counter.2.具體操作具體操作同RFC2865和RFC2866中定義的完全相同RADIUS對(duì)之間計(jì)費(fèi)更新的支持當(dāng)用戶認(rèn)證通過以后，RADIUS服務(wù)器對(duì)認(rèn)證請(qǐng)求報(bào)文Access-Request回應(yīng)一個(gè)認(rèn)證接受報(bào)文Access-Accept。如果服務(wù)器希望接到用戶的中間流量報(bào)文，那么在認(rèn)證接受報(bào)文Access-Accept中必須包含RADIUS屬性Acct-Interim-Interval。這個(gè)屬性指明了中間計(jì)費(fèi)報(bào)文的時(shí)間間隔（以秒為單位）。當(dāng)然，也可以在NAS上通過靜態(tài)配置設(shè)定一個(gè)中間計(jì)費(fèi)報(bào)文的時(shí)間間隔。需要注意的是：這個(gè)NAS上配置的局部的時(shí)間間隔值必須覆蓋包含在認(rèn)證接受報(bào)文Access-Accept中攜帶的時(shí)間間隔值。這個(gè)方案并不會(huì)破壞后向兼容性。因?yàn)椴恢С诌@個(gè)擴(kuò)展屬性的RADIUS服務(wù)器當(dāng)然不會(huì)添加這個(gè)新的屬性。同樣，不支持這個(gè)擴(kuò)展屬性的NAS也會(huì)忽略此屬性。注意，在中間計(jì)費(fèi)報(bào)文中的信息是累積的，即：報(bào)文中的發(fā)送分組數(shù)量是從會(huì)話開始的總的分組數(shù)量，而不是從上一個(gè)中間計(jì)費(fèi)報(bào)文以后的分組數(shù)量。可以預(yù)見，中間計(jì)費(fèi)記錄（其中屬性Acct-Status-Type = Interim-Update (3)）中除了不包含屬性Acct-Term-Cause外，包含了計(jì)費(fèi)結(jié)束報(bào)文中其它的所有屬性。既然信息是累積的，NAS必須保證在給定的任何時(shí)間在重發(fā)隊(duì)列中對(duì)于某一個(gè)會(huì)話只有一個(gè)單獨(dú)的中間計(jì)費(fèi)報(bào)文存在。NAS可以利用fudge因子在對(duì)應(yīng)于不同會(huì)話的中間計(jì)費(fèi)報(bào)文之間增加一段隨機(jī)時(shí)延。這樣可以避免所有的報(bào)文立刻發(fā)送。利用中間計(jì)費(fèi)更新應(yīng)該認(rèn)真考慮網(wǎng)絡(luò)和NAS CPU的負(fù)擔(dān)，因此應(yīng)該合理選擇中間計(jì)費(fèi)間隔Acct-Interim-Interval。RADIUS對(duì)Apple遠(yuǎn)程接入?yún)f(xié)議的支持        RADIUS協(xié)議提供了允許多個(gè)NAS共享同一個(gè)認(rèn)證數(shù)據(jù)庫(kù)的一種方法。        Apple遠(yuǎn)程接入?yún)f(xié)議（ARAP）支持在點(diǎn)到點(diǎn)鏈路上傳送AppleTalk網(wǎng)絡(luò)流量，點(diǎn)到點(diǎn)鏈路通常（但不唯一）是異步和ISDN交換電路連接。盡管Apple在未來的遠(yuǎn)程接入業(yè)務(wù)中朝著ATCP on PPP的方向發(fā)展，但對(duì)已經(jīng)使用遠(yuǎn)程接入的Macintosh用戶來說，RARP仍然是一種普通的方法，而且可能要存在一段時(shí)間。         有幾個(gè)NAS提供商支持ARAP，同時(shí)，這些提供商在同一個(gè)NAS上也支持PPP、IPX和其它協(xié)議。在這些支持多協(xié)議的設(shè)備上通常不用RADIUS對(duì)ARAP連接進(jìn)行認(rèn)證，即便有，不同的提供商分別提供不同的解決方案。         本節(jié)描述支持RARP協(xié)議的RADIUS幾個(gè)額外屬性的使用。符合本規(guī)范的RADIUS客戶端和服務(wù)器端實(shí)現(xiàn)應(yīng)該用可以互操作的方式對(duì)ARAPR連接驗(yàn)證。         本節(jié)的討論假定讀者對(duì)RADIUS協(xié)議已很熟悉，因此首先直接探究ARAP應(yīng)用的具體細(xì)節(jié)，然后再詳細(xì)討論RADIUS協(xié)議的額外屬性。       本文檔不討論的兩個(gè)ARAP特色如下：              1.  用戶發(fā)起的密碼改變。這不是RADIUS的一部分，但可以通過軟件過程實(shí)現(xiàn)。              2.  帶外報(bào)文。NAS任何時(shí)候都可以向ARA客戶端發(fā)送報(bào)文，報(bào)文以對(duì)話框的形式顯示在                       撥號(hào)接入用戶的屏幕上。這不屬于認(rèn)證的一部分，也不屬于此處討論的范疇。但我們                      注意到 認(rèn)證接受報(bào)文Access-Accept中的Reply-Message屬性可以利用帶外信道傳給用                   戶。         我們盡可能多地尊重已有的RADIUS協(xié)議精神，使設(shè)計(jì)與以前的技術(shù)兼容。更進(jìn)一步討論，我們需要在兩方面作出平衡選擇處理。一方面，過多的新屬性造成RADIUS世界的泛濫；另一方面，將整個(gè)ARAP操作隱藏在一個(gè)單獨(dú)的復(fù)合ARAP屬性串中，或者在擴(kuò)展認(rèn)證協(xié)議（EAP）的機(jī)制內(nèi)解決。        但是，我們認(rèn)為只要保證幾個(gè)類似命名的屬性，ARAP從PPP分離出來就足夠了。        我們已經(jīng)假定能夠理解ARAP的RADIUS服務(wù)器可以進(jìn)行DES加密且可以產(chǎn)生安全模式挑戰(zhàn)字。這正與RADIUS的如下目標(biāo)一致：靈活服務(wù)器/簡(jiǎn)單NAS。        ARAP對(duì)一個(gè)連接的認(rèn)證分兩個(gè)階段。第一個(gè)階段是利用用戶密碼作為密鑰，互換一個(gè)“二次DES”隨機(jī)數(shù)。之所以說是“二次”，是因?yàn)锳RAP NAS挑戰(zhàn)撥號(hào)接入用戶對(duì)自己進(jìn)行驗(yàn)證，同樣，撥號(hào)接入用戶挑戰(zhàn)ARAP NAS從對(duì)自己進(jìn)行驗(yàn)證。       特別地，ARAP執(zhí)行如下過程：        1.  NAS在ARAP的msg_auth_challenge分組中向撥號(hào)接入用戶發(fā)送兩個(gè)32位的隨機(jī)數(shù)。        2.  撥號(hào)接入用戶收到NAS發(fā)來的兩個(gè)隨機(jī)數(shù)后，利用用戶密碼對(duì)這兩個(gè)隨機(jī)數(shù)進(jìn)行DES加                    密，然后撥號(hào)接入客戶端將此加密后的結(jié)果連同用戶名和客戶端產(chǎn)生的兩個(gè)32位的隨機(jī)數(shù)              在ARAP msg_auth_request分組中回應(yīng)給NAS。        3.  NAS接收到以后，確認(rèn)由撥號(hào)接入客戶端發(fā)送過來的經(jīng)過加密的隨機(jī)數(shù)是否是自己所期望              的。如果是，它利用密碼對(duì)撥號(hào)接入客戶端發(fā)送過來的挑戰(zhàn)字進(jìn)行加密，并且把加密后的               結(jié)果在ARAP msg_auth_response分組中發(fā)給撥號(hào)接入客戶端。      注意如果撥號(hào)接入客戶端的響應(yīng)錯(cuò)誤（這意味著用戶密碼錯(cuò)誤），服務(wù)器可以重發(fā)，直到重發(fā)次數(shù)達(dá)到NAS允許的最大發(fā)送次數(shù)。在這種情況下，當(dāng)撥號(hào)接入客戶端接收到ARAP msg_auth_response分組后，將用ARAP msg_auth_again分組進(jìn)行確認(rèn)。       第一個(gè)“DES Phase”階段通過以后，ARAP NAS可以利用被Apple稱之為“Add-In Security Modules”的機(jī)制發(fā)起第二個(gè)認(rèn)證階段。 Security Modules是運(yùn)行在客戶端和服務(wù)器上的幾小段代碼，允許通過通訊鏈路讀和寫任意數(shù)據(jù)，從而實(shí)現(xiàn)額外的認(rèn)證功能。各種安全令牌提供商利用這種機(jī)制對(duì)ARA呼叫者進(jìn)行認(rèn)證。        盡管ARAP允許安全模塊讀寫它們所需要的任意信息，但是已經(jīng)存在的安全模塊是利用簡(jiǎn)單的挑戰(zhàn)和響應(yīng)循環(huán)，當(dāng)然可能攜帶某些全局控制信息。本文檔假定利用一個(gè)或幾個(gè)challenge/response循環(huán)可以支持所有已經(jīng)存在的安全模塊。       在DES Phase之后，Security Module phase之前，RAP向下發(fā)送某些概貌信息，使RADIUS和ARAP集成復(fù)雜。這意味著，在某些異常時(shí)間，除了對(duì)challenge的響應(yīng)以外，還必須存在概貌信息。幸運(yùn)的是這些信息只是幾個(gè)與密碼相關(guān)的數(shù)字，本文檔中把這些信息封裝在一個(gè)單獨(dú)的新的屬性中。         向RADIUS發(fā)送一個(gè)Access-Request報(bào)文代表ARAP連接是非常直接的。ARAP NAS產(chǎn)生一個(gè)隨機(jī)的數(shù)字挑戰(zhàn)字，然后接受撥號(hào)接入客戶端的響應(yīng)，客戶端的挑戰(zhàn)字和用戶名。假定用戶不是一個(gè)guest，在Access-Request分組中轉(zhuǎn)發(fā)如下信息： User-Name（最長(zhǎng)31個(gè)字符），F(xiàn)ramed-Protocol （對(duì)于ARAP，此域值填為3），ARAP-Password和其它希望攜帶的屬性，如Service-Type， NAS-IP-Address，NAS-Id，NAS-Port-Type，NAS-Port，NAS-Port-Id， Connect-Info等。         Request Authenticator是一個(gè)NAS產(chǎn)生的16字節(jié)的隨機(jī)數(shù)。這個(gè)隨機(jī)數(shù)的低8個(gè)字節(jié)作為兩個(gè)四字節(jié)的隨機(jī)數(shù)放在ARAP msg_auth_challenge報(bào)文中傳給撥號(hào)接入用戶。其中字節(jié)0-3作為第一個(gè)隨機(jī)數(shù)，字節(jié)4-7作為第二個(gè)隨機(jī)數(shù)。       Access-Request報(bào)文中的ARAP-Password包含一個(gè)16 字節(jié)的隨機(jī)數(shù)域，用來攜帶撥號(hào)進(jìn)入用戶對(duì)NAS挑戰(zhàn)的響應(yīng)及客戶端自己 對(duì)NAS的挑戰(zhàn)字。高字節(jié)包含撥號(hào)接入用戶對(duì)NAS的挑戰(zhàn)字（2個(gè)32位的數(shù)字，共8字節(jié)），第字節(jié)包含撥號(hào)接入用戶對(duì)NAS挑戰(zhàn)的響應(yīng)（2個(gè)32位的數(shù)字，共8字節(jié)）。         User-Password， CHAP-Password 或ARAP-Password三個(gè)屬性在Access-Request報(bào)文中只能出現(xiàn)一個(gè)，也可以出現(xiàn)一個(gè)或多個(gè)EAP-Messages。        如果RADIUS服務(wù)器不支持ARAP，它應(yīng)該向NAS返回一個(gè)Access-Reject報(bào)文。        如果RADIUS服務(wù)器不支持ARAP，它應(yīng)該利用Challenge（Request Authenticator中的低8個(gè)字節(jié)）和用戶響應(yīng)（ARAP-Password 中的低8個(gè)字節(jié)）來確認(rèn)用戶的響應(yīng)。         如果認(rèn)證失敗，RADIUS服務(wù)器應(yīng)該向NAS返回一個(gè)Access-Reject報(bào)文，報(bào)文中攜帶可選屬性Password-Retry和Reply-Messages。如果攜帶Password-Retry屬性，這就告知ARAP NAS可以選擇再發(fā)起幾個(gè)挑戰(zhàn)-響應(yīng)循環(huán)，直到循環(huán)次數(shù)等于Password-Retry屬性中的整數(shù)值。         如果用戶認(rèn)證通過，RADIUS服務(wù)器應(yīng)該向NAS返回一個(gè)Access-Accept報(bào)文（Code等于2），ID和Response Authenticator跟通常情況一樣，其它屬性如下：        Service-Type of Framed-Protocol        Framed-Protocol of ARAP (值為3)        Session-Timeout，它代表用戶可以連接的最長(zhǎng)時(shí)間（以秒為單位）。如果用戶被授權(quán)為無限 制用戶，那么在Access-Accept報(bào)文中就不應(yīng)該包含Session-Timeout屬性。此時(shí)ARAP將用戶作為無限制用戶超時(shí)（值為-1）。        ARAP-Challenge-Response，它包含8個(gè)字節(jié)，代表對(duì)撥號(hào)接入用戶的響應(yīng)。RADIUS是用如下方法填充出此屬性的。RADIUS服務(wù)器從ARAP-Password屬性中取出高8個(gè)字節(jié)（實(shí)際為撥號(hào)接入用戶的挑戰(zhàn)），然后再用認(rèn)證用戶的密碼作為密鑰，對(duì)前邊已取出的用戶的挑戰(zhàn)進(jìn)行DES加密。如果用戶的密碼在長(zhǎng)度上小于8個(gè)字節(jié)，那么就在用戶密碼填充NULL字節(jié)，直到滿8個(gè)字節(jié)；如果用戶密碼長(zhǎng)度大于8個(gè)字節(jié)，那就應(yīng)該返回一個(gè)Access-Reject報(bào)文。       ARAP-Features，它包含了NAS在ARAP“feature flags”報(bào)文中將攜帶給用戶的信息。             字節(jié)0：如果值為0，表示用戶不能改變密碼，如果值不為0，表示用戶可以改變密碼（RADIUS不處理密碼更改，僅用屬性指明ARAP是否可以改變密碼）。              字節(jié)1：表示最小的可接受的密碼長(zhǎng)度（0-8）。              字節(jié)2-5：表示Macintosh格式的密碼產(chǎn)生日期，為一32位的無符號(hào)整數(shù)，代表從Midnight GMT January 1, 1904以后的總的時(shí)間（以秒為單位）。                字節(jié)6-9：表示從密碼產(chǎn)生以后的有效時(shí)間長(zhǎng)度（以秒為單位）。              字節(jié)10-13：以Macintosh格式表示的目前RADIUS時(shí)間。        作為可選項(xiàng)，回應(yīng)報(bào)文中可以包含Reply-Message屬性，其內(nèi)容為一字符串，最多可以包含253個(gè)字符，這些內(nèi)容可以在對(duì)話框中顯示給用戶。        Framed-AppleTalk-Network：此屬性可以包含在報(bào)文中。              Framed-AppleTalk-Zone：此屬性可包含在報(bào)文中，最大長(zhǎng)度為32個(gè)字符。         對(duì)于一個(gè)用戶，ARAP定義了區(qū)域列表。與區(qū)域名字列表一起，ARAP定義了區(qū)域訪問標(biāo)志（被NAS使用），此標(biāo)志說明了如何利用區(qū)域名字列表。即：撥號(hào)接入用戶可能只允許訪問缺省區(qū)域，或者只能訪問區(qū)域列表中區(qū)域，也或者只能訪問除區(qū)域列表中列出的以外的其它區(qū)域。         ARAP NAS中含有一個(gè)指定的濾波器，用此濾波器可以處理此問題，其中濾波器起碼的區(qū)域名字。用此機(jī)制，解決了如下問題：用一個(gè)單獨(dú)的RADIUS服務(wù)器管理不同的NAS客戶端，并且客戶端有或許不能全部看到用戶區(qū)域列表中的區(qū)域名字。區(qū)域名字只對(duì)NAS才有意義。這種方法的不足之處在于濾器必須在首先NAS中以某種方式啟動(dòng)，然后再由RADIUS Filter-Id引用。        ARAP-Zone-Access屬性中包含一個(gè)整數(shù)，此屬性指明了該如何使用針對(duì)一個(gè)用戶的區(qū)域列表該。如果包含此屬性且其值為2或4，那么就必須包含F(xiàn)ilter-Id屬性，F(xiàn)ilter-Id屬性命名了一個(gè)適用訪問標(biāo)記的濾波器。        在Access-Accept報(bào)文中包含Callback-Number或Callback-Id屬性可能導(dǎo)致ARAP NAS在發(fā)送Feature Flags開始回調(diào)處理后切斷連接。其中回調(diào)處理是以一種ARAP特有的方式進(jìn)行。         在Access-Accept報(bào)文中也可以包含其它屬性。         ARAP要完成到客戶端撥號(hào)接入的連接，還需要其它信息。這種信息可由ARAP NAS通過SNMP配置，NAS管理程序或從NAS的AppleTalk堆棧中獲得，不需要RADIUS的任何幫助。特別地：       1.  將AppearAsNet和AppearAsNode值傳送給客戶端，告訴它在數(shù)據(jù)報(bào)分組中應(yīng)該適用什么樣的網(wǎng)絡(luò)和節(jié)點(diǎn)值。 AppearAsNet可以從Framed-AppleTalk-Network屬性中獲得，或者通過配置，或者通過NAS的堆棧獲得。       2.  撥號(hào)接入終端將出現(xiàn)在缺省區(qū)域內(nèi)，缺省區(qū)域也就是AppleTalk的名字。 （或者用Framed-AppleTalk-Zone屬性指明）        3.  其它的NAS特有的資料，如NAS的名字和smartbuffering信息。（Smartbuffering是ARAP的一種機(jī)制。它用小的令牌取代普通的AppleTalk數(shù)據(jù)報(bào)，從而改善了某些普通慢鏈路的性能。）        4.  用戶的“Zone List”信息。 ARAP規(guī)范定義了一個(gè)“zone count”域，實(shí)際上沒有使用。        RADIUS用以下方式支持ARAP Security Modules。         DES認(rèn)證結(jié)束以后，RADIUS服務(wù)器通知ARAP NAS為撥號(hào)接入用戶運(yùn)行一個(gè)或多個(gè)security modules。盡管基本的協(xié)議支持連續(xù)執(zhí)行多個(gè)security modules，但在實(shí)踐中，目前的實(shí)現(xiàn)只允許實(shí)現(xiàn)一個(gè)。通過使用多個(gè)Access-Challenge請(qǐng)求，就可以支持多個(gè)安全模式，但這種功能可能永遠(yuǎn)不會(huì)被使用。        同時(shí)我們也假定，盡管ARAP允許在點(diǎn)到點(diǎn)鏈路的端點(diǎn)上安全模式之間使用自由格式的對(duì)話，但在實(shí)踐中，所有的安全模式可以簡(jiǎn)化為簡(jiǎn)單的挑戰(zhàn)/響應(yīng)循環(huán)。        如果RADIUS服務(wù)器希望通知ARAP NAS運(yùn)行一個(gè)安全模式，那么它應(yīng)該給NAS發(fā)送一個(gè)Access-Challenge報(bào)文，作為可選項(xiàng)，報(bào)文中可以攜帶State屬性，加上ARAP-Challenge-Response ，ARAP-Features和其它兩個(gè)屬性：         ARAP-Security：一個(gè)四字節(jié)的模式簽名，包含一個(gè)Macintosh OSType。         ARAP-Security-Data：一個(gè)字符串，攜帶了實(shí)際的模式挑戰(zhàn)和響應(yīng)。         當(dāng)執(zhí)行完安全模式，NAS向RADIUS再發(fā)送一個(gè)Access-Request報(bào)文，報(bào)文中的屬性ARAP-Security-Data包含了安全模式的響應(yīng)，同時(shí)也包含Access-Challenge中得到的State屬性。 在這種情況下，authenticator域內(nèi)不再包含特別的信息，因?yàn)榭梢杂纱嬖诘腟tate屬性來辨別。RADIUS對(duì)擴(kuò)展認(rèn)證協(xié)議（EAP）的支持擴(kuò)展認(rèn)證協(xié)議（EAP）描述了在PPP內(nèi)支持額外認(rèn)證的一種標(biāo)準(zhǔn)機(jī)制。通過EAP，可以支持許多額外認(rèn)證方案，包括智能卡（Smart card )，Kerberos，Public Key，One Time Passwords和其它多種。為了在RADIUS內(nèi)支持EAP，本文檔引入了兩個(gè)新的屬性： EAP-Message和Message-Authenticator。本節(jié)描述了RADIUS如何利用這兩個(gè)新的屬性來支持EAP。在提出的方案中，利用RADIUS服務(wù)器在NAS和后端安全服務(wù)器之間傳送封裝在RADIUS內(nèi)的EAP報(bào)文。盡管可以利用后端服務(wù)器發(fā)展的私有協(xié)議在RADIUS服務(wù)器和后端服務(wù)器之間進(jìn)行會(huì)話，但通過將EAP報(bào)文封裝在RASIUS報(bào)文的EAP-Message屬性內(nèi)也是可能的。這樣的優(yōu)點(diǎn)是RADIUS服務(wù)器為了支持EAP，不需要增加針對(duì)某種認(rèn)證的代碼，這些針對(duì)某種認(rèn)證的代碼的可以放在后端安全服務(wù)器上。協(xié)議回顧認(rèn)證對(duì)等端（撥號(hào)接入用戶）和NAS之間的EAP會(huì)話以LCP中的EAP協(xié)商開始。一旦EAP協(xié)商通過，NAS必須向認(rèn)證對(duì)等端發(fā)送一個(gè)EAP-Request/Identity報(bào)文，除非通過其它途徑如Called-Station-Id或Calling-Station-Id確定了身份。認(rèn)證對(duì)等端然后向NAS發(fā)送一個(gè)EAP-Response/Identity報(bào)文，NAS收到此報(bào)文后封裝在RADIUS的Access-Request報(bào)文的EAP-Message屬性內(nèi)轉(zhuǎn)發(fā)給RADIUS服務(wù)器。RADIUS服務(wù)器通常將利用EAP-Response/Identity來斷定將對(duì)用戶使用何種EAP類型。為了允許不能理解EAP的RADIUS代理轉(zhuǎn)發(fā)Access-Request報(bào)文，如果NAS發(fā)送EAP-Request/Identity，NAS必須將EAP-Response/Identity中的內(nèi)容拷貝到User-Name屬性中，同時(shí)在隨后的每一個(gè)Access-Request報(bào)文中的User-Name屬性中必須包含EAP-Response/Identity。 也建議將NAS-Port和NAS-Port-Id屬性包含在NAS發(fā)送的Access-Request報(bào)文中，而NAS-Identifier和NAS-IP-Address則必須包括在內(nèi)。為了允許不理解EAP的代理能夠轉(zhuǎn)發(fā)Access-Reply，如果在Access-Request中包含User-Name屬性，RADIUS服務(wù)器在隨后的Access-Accept中必須包含User-Name屬性。如果沒有用戶名屬性，計(jì)費(fèi)和生成帳單將變得非常難于管理。