Length      >= 3   Text      文本域包含UTF-8格式編碼的10646字符。報(bào)文中第一個(gè)Connect-Info屬性的開始應(yīng)該包括連接速度。如果傳輸和接收連接速度不同，那么它們必須全部包含在第一個(gè)屬性內(nèi)，首先寫傳輸速度（即NAS modem的傳輸速度），后面跟一個(gè)反斜杠（/），再跟接受速度，然后是其它任選信息。如 "28800 V42BIS/LAPM" 或 "52000/31200 V90"。在Accounting-Request報(bào)文中可以包含一個(gè)或多個(gè)Connect-Info 屬性，以便讓modems用一種標(biāo)準(zhǔn)的格式報(bào)告更多的連接信息，信息的長度可能超過252字節(jié)。        Configuration-Token   描述 這個(gè)屬性應(yīng)用在基于代理的大型分布式認(rèn)證網(wǎng)絡(luò)中。此屬性由RADIUS代理服務(wù)器放在Access-Accept報(bào)文中發(fā)送給RADIUS代理客戶端，用來指明使用的用戶概況（表）。此屬性不應(yīng)該發(fā)送給NAS。        Configuration-Token屬性格式如下所述，從左至右傳輸各域。     0                   1                   2    0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+   |     Type      |    Length     |  String ...   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+   Type      78 for Configuration-Token.   Length      >= 3   String      String域占一個(gè)或多個(gè)字節(jié)。實(shí)際的信息格式與使用的場所和應(yīng)用有關(guān)，一個(gè)健壯的實(shí)現(xiàn)應(yīng)該將此域當(dāng)作未加區(qū)分的字節(jié)來支持。      應(yīng)用此域的條件范圍已經(jīng)超出了本規(guī)范的討論范圍。  EAP-Message   描述      本屬性用于封裝擴(kuò)展認(rèn)證協(xié)議（EAP）報(bào)文，以便讓NAS即使不理解EAP協(xié)議，也能利用EAP對撥號接入用戶進(jìn)行認(rèn)證。      NAS把從用戶接收到的EAP報(bào)文放在一個(gè)或多個(gè)EAP屬性中，作為Access-Request的一部分，轉(zhuǎn)發(fā)給RADIUS服務(wù)器，RADIUS服務(wù)器可以在Access-Challenge, Access-Accept 或 Access-Reject中返回EAP屬性。        RADIUS服務(wù)器如果對收到的EAP報(bào)文不理解，就返回一個(gè)Access-Reject報(bào)文。      NAS把從認(rèn)證對等端接收到的EAP報(bào)文放在一個(gè)或多個(gè)EAP-Message屬性中，放在Access-Request 報(bào)文中，轉(zhuǎn)發(fā)給RADIUS服務(wù)器。如果Access-Request或Access-Challenge報(bào)文中包含多個(gè)EAP-Messages屬性，那么它們必須按連續(xù)順序排好放在Access-Request或Access-Challenge報(bào)文中。 Access-Accept和Access-Reject報(bào)文中應(yīng)該只有一個(gè)EAP-Message屬性，此屬性中包含EAP-Success或EAP-Failure。       希望用EAP實(shí)現(xiàn)多種認(rèn)證方法，包括強(qiáng)壯的加密技術(shù)。為了預(yù)防攻擊者通過攻擊RADIUS/EAP破壞EAP（例如，通過 修改EAP-Success或EAP-Failure報(bào)文），RADIUS/EAP有必要提供身份保護(hù)，至少象EAP方法本身那樣強(qiáng)壯。     因此，必須 用Message-Authenticator屬性保護(hù)所有攜帶EAP-Message屬性的Access-Request, Access-Challenge, Access-Accept, 和Access-Reject 報(bào)文。          對于帶有EAP-Message屬性的Access-Request報(bào)文，如果報(bào)文中沒有Message-Authenticator屬性，RADIUS服務(wù)器就應(yīng)該丟棄此報(bào)文。支持EAP-Message的RADIUS服務(wù)器必須計(jì)算Message-Authenticator的正確值，如果正確值與發(fā)送的值不匹配，RADIUS服務(wù)器就丟棄報(bào)文。如果RADIUS服務(wù)器不支持EAP-Message，當(dāng)它收到一個(gè)含有EAP-Message屬性的Access-Request報(bào)文時(shí)，必須返回一個(gè)Access-Reject報(bào)文。如果RADIUS服務(wù)器收到一個(gè)它不能理解的EAP-Message屬性，也必須返回一個(gè)Access-Reject。         對于攜帶有EAP-Message屬性的Access-Challenge, Access-Accept 或 Access-Reject 報(bào)文，若報(bào)文中不含有Message-Authenticator屬性，NAS應(yīng)該丟棄此報(bào)文。如果NAS支持EAP-Message屬性，它必須計(jì)算正確的Message-Authenticator屬性值，如果計(jì)算的值與接收到的值不匹配，NAS就丟棄此報(bào)文。         EAP-Message屬性格式如下所述，從左至右傳輸各域。          0                   1                   2    0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+   |     Type      |    Length     |     String...   +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+   Type      79 for EAP-Message.   Length      >= 3   String      String域包含EAP報(bào)文，EAP報(bào)文在RFC 2284定義。如果報(bào)文中含有多個(gè)EAP-Message屬性，這幾個(gè)屬性應(yīng)該連成一串，因此允許長度大于253個(gè)字節(jié)的EAP報(bào)文放在RADIUS中傳輸。   Message-Authenticator   描述      本屬性可用來對Access-Requests報(bào)文簽名，防止利用CHAP, ARAP 或 EAP認(rèn)證方法欺騙ccess-Requests。此屬性可以用在任何Access-Request報(bào)文中，必須用在任何帶有EAP-Message屬性的Access-Request, Access-Accept, Access-Reject 或 Access-Challenge報(bào)文中。           如果RADIUS服務(wù)器中接收到的Access-Request報(bào)文中含有Message-Authenticator屬性，那么服務(wù)器必須計(jì)算正確的Message-Authenticator值，如果計(jì)算的結(jié)果與發(fā)送過來的值不同，就丟棄此報(bào)文。         如果RADIUS客戶端接收到的Access-Accept, Access-Reject或Access-Challenge報(bào)文中含有Message-Authenticator屬性，那么客戶端必須計(jì)算正確的Message-Authenticator值，如果計(jì)算的結(jié)果與發(fā)送過來的值不同，就丟棄此報(bào)文。        此備忘錄的早期草案將此屬性稱為"Signature"，但是Message-Authenticator更準(zhǔn)確。具體操作沒有改變，只是名字改變而已。Message-Authenticator屬性格式如下所述，從左至右傳輸各域。      0                   1                   2   0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3  +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+  |     Type      |    Length     |     String...  +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+  Type     80 for Message-Authenticator  Length     18  String        如果出現(xiàn)在Access-Request報(bào)文中，Message-Authenticator是整個(gè)Access-Request報(bào)文的HMAC-MD5校驗(yàn)和，包括Type, ID, Length 和 authenticator，計(jì)算校驗(yàn)和時(shí)利用共享密鑰作為密鑰，過程如下：          Message-Authenticator = HMAC-MD5 (Type, Identifier, Length,     Request Authenticator, Attributes)     計(jì)算校驗(yàn)和時(shí)，簽名字符串應(yīng)該被看作16個(gè)為0的字節(jié)。     對于Access-Challenge, Access-Accept 和 Access-Reject報(bào)文，利用Request-Authenticator計(jì)算essage-Authenticator如下：       Message-Authenticator = HMAC-MD5 (Type, Identifier, Length,     Request Authenticator, Attributes)       計(jì)算校驗(yàn)和時(shí)，簽名字符串應(yīng)該被看作16個(gè)為0的字節(jié)，共享密鑰作為HMAC-MD5 hash的密鑰。在計(jì)算Response Authenticator正確計(jì)算并且插入到報(bào)文中。     當(dāng)報(bào)文中有User-Password屬性時(shí)，此屬性就不需要了，但在其它認(rèn)證類型中，可以防止攻擊。此屬性是為了阻止攻擊者啟動“欺騙”NAS，實(shí)施針對RADIUS服務(wù)器的在線字典攻擊。此屬性不能提供對離線攻擊的預(yù)防，如攻擊者截獲包括CHAP 挑戰(zhàn)和響應(yīng)的報(bào)文，然后實(shí)施針對離線報(bào)文的字典攻擊。    IP Security 屬性最終會使此屬性沒有必要，因此此屬性只能看作是一個(gè)臨時(shí)的方法。      ARAP-Challenge-Response  描述     本屬性與ARAP的Framed- Protocol屬性一起出現(xiàn)在Access-Accept報(bào)文中，包含對撥號接入用戶挑戰(zhàn)的響應(yīng)。  ARAP-Challenge-Response屬性格式如下所述，從左至右傳輸各域。    0                   1                   2                   3   0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1  +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+  |     Type      |    Length     |     Value...  +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+  +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+                                  |  +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+  Type     84 for ARAP-Challenge-Response.  Length     10Value     Value 域占8個(gè)字節(jié)，包含對撥號接入用戶挑戰(zhàn)的響應(yīng)。RADIUS服務(wù)器從ARAP-Password屬性的高8字節(jié)中取出撥號接入用戶的挑戰(zhàn)，用挑戰(zhàn)用戶的密碼作為密鑰，對取出的高8字節(jié)進(jìn)行DES加密。如果用戶密碼長度小于8個(gè)字節(jié)，在作為密鑰以前，在用戶密碼后補(bǔ)NULL，直到長度達(dá)到8個(gè)字節(jié)。  Acct-Interim-Interval  描述     本屬性描述了對于某個(gè)確定的會話，中間更新流量信息的時(shí)間間隔（以秒為單位）。本屬性只能出現(xiàn)在Access-Accept報(bào)文中。      Acct-Interim-Interval屬性格式如下所述，從左至右傳輸各域。   0                   1                   2                   3  0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1  +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+  |     Type      |    Length     |             Value  +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+  |          Value (cont)         |  +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+  Type     85 for Acct-Interim-Interval.  Length     6  Value     Value域包含NAS發(fā)送中間更新信息的時(shí)間間隔（以秒為單位），其值必須不能小于60，建議此屬性值不要小于600，在實(shí)際中應(yīng)認(rèn)真考慮此間隔對網(wǎng)絡(luò)流量的影響。  NAS-Port-Id  描述      本屬性包含一個(gè)識別正在認(rèn)證用戶的NAS的端口的文本串。此屬性只能用在Access-Request 和 Accounting-Request 報(bào)文中。需要注意的是此處的端口是NAS物理連接意義上的端口，而不是TCP或UDP的端口號。       如果NAS在它的端口范圍內(nèi)區(qū)分，那么在Access-Request報(bào)文中應(yīng)該攜帶NAS-Port或 NAS-Port-Id 。NAS-Port-Id目的是給不能方便地給端口編號的NAS使用。      NAS-Port-Id屬性格式如下所述，從左至右傳輸各域。        0                   1                   2   0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3  +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+  |     Type      |    Length     |     Text...  +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+  Type     87 for NAS-Port-Id.  Length     >= 3