RFC2866RADIUS(远程用户拨号认证系统)记帐协议

RFC2866 RADIUS 远程用户拨号认证系统 记帐协议 RFC2866 RADIUS Accounting RFC 中文翻译计划1 组织 中国互动出版网 http www china RFC 文档中文翻译计划 http www china E mail ouyang china 译者 刘伟娜 superwinner starfield 译文发布时间 2001 3 30 版权 本中文翻译文档版权归中国互动出版网所有 可以用于非商业用途自由转载 但必 须保留本文档的翻译及版权信息 Network Working Group C Rigney Request for Comments 2866 Livingston Category Informational June 2000 Obsoletes 2139 RADIUS 远程用户拨号认证系统 记帐协议 远程用户拨号认证系统 记帐协议 RFC2866 ADIUS Accounting Status of this Memo This memo provides information for the Internet community It does not specify an Internet standard of any kind Distribution of this memo is unlimited Copyright Notice Copyright C The Internet Society 2000 All Rights Reserved 摘要摘要 本文描述了在网络接入服务器和共享的记帐服务器之间传送记帐信息的协议 实现实现 RADIUS 记帐协议的注意事项记帐协议的注意事项 本文证明了 RADIUS 记帐协议 早期开发的 RADIUS 记帐协议使用的是端口号为 1646 的 UDP 端口 它和 sa msg port 服务互相冲突 为 RADIUS 协议正式分配的端口号 为 1813 目目 录录 RADIUS 远程用户拨号认证系统 记帐协议 1 摘要 1 实现 RADIUS 记帐协议的注意事项 1 1 简介 2 RFC2866 RADIUS 远程用户拨号认证系统 记帐协议 RFC2866 RADIUS Accounting RFC 中文翻译计划2 1 1必要的说明 2 1 2 术语 2 2 操作 2 2 1 代理 3 3 包格式 3 4 包的类型 4 4 1 记帐请求 4 4 2 记帐响应 4 5 属性 5 5 1 记帐状态类型 6 5 2 记帐延迟时间 6 5 3 输入字节数 7 5 4 输出字节数 7 5 5 会话 Id 7 5 6 授权 8 5 7 会话时间 8 5 8 输入数据包 8 5 9 输出包总数 9 5 10 记帐中止事件 9 5 11 多会话 Id 10 5 12 记帐链路计数 10 5 13 属性列表 11 6 IANA 国际互联网分配的数字标准 因素 12 7 安全因素 12 8 更改记录 12 9 参考文献 12 10 说明 13 1 简介 简介 经营为众多的用户提供的串口线路和 modem 池会带来巨大的管理支持方面的需求 由 于根据定义 modem 池是通向外部世界的链路 因此它对安全 认证 记帐都有很高的要 求 这些需求可以通过维护一个用户数据库来实现 该数据库包含认证 验证用户的名字 和密码 和配置细节 为用户提供的服务的类型 如 SLIP PPP telnet rlogin 等 RADIUS 远程用户拨号认证系统 文档 2 详细说明了用于认证和授权的 RADIUS 协 议 本文扩展了 RADIUS 协议的应用 使其包括了从网络接入服务器给 RADIUS 记帐服务 器传递信息的应用 本文废弃了 RFC 2139 1 它与 RFC 2139 之间的差别的概要在附录 更改记录 中 可以找到 RADIUS 记帐协议的主要特征如下 客户客户 服务器模式服务器模式 网络接入服务器是 RADIUS 记帐服务器的客户端 客户端负责将用户的记帐信息 传递给指定的 RADIUS 记帐服务器 RADIUS 记帐服务器负责接收记帐请求 并给客户端返回一个响应信息 表明记 帐请求被成功的接收 RADIUS 记帐服务器可以作为其他类型的记帐服务器的代 理 网络安全网络安全 客户端与 RADIUS 记帐服务器之间的交互是通过共享密钥的使用来鉴别的 这个 RFC2866 RADIUS 远程用户拨号认证系统 记帐协议 RFC2866 RADIUS Accounting RFC 中文翻译计划3 共享密钥根本不会通过网络传送 协议的可扩充性协议的可扩充性 所有的事务都是由不同长度的属性 长度 值的三元组构成的 新的属性值的加 入不会影响到原有协议的执行 1 1 必要的说明必要的说明 本文中的关键词 MUST MUST NOT REQUIRED SHALL SHALL NOT SHOULD SHOULD NOT RECOMMENDED MAY 以及 OPTIONAL 与 RFC 2119 3 中的描述的意义是相同的 这些关键词意义与其是否大写无关 1 2 术语术语 本文使用了以下的术语 服务 网络接入服务器为拨入用户提供的某种服务 如 PPP 或者 Telnet 会话 网络接入服务器为拨入用户提供的每一个服务都会建立一个会话 会话的开始 给出了最初提供服务的位置 会话的最后给出了服务结束的位置 如果网络接 入服务器支持的话 一个用户可以有多个并行或者串行的会话 对于每一个会 话 都会产生一个独立的 H 会话 ID Acct Session ID 直接丢弃 这就是说应用程序不对包进行任何处理就直接丢弃 SHOULD 的执行提供了记 录错误的能力 其中包括了被直接丢弃的包的内容 而且 SHOULD 会记录 下统计计数器中的事件 2 操作 操作 当一个客户端的配置采用 RADIUS 记帐协议时 在开始提供服务的时候它会生成一个 记帐包 该记帐包描述了正在提供的服务的类型以及为之提供服务的用户 它将被送至 RADIUS 记帐服务器 记帐服务器会返回一个表明该记帐包已经收到的应答 服务中止时 客户端会产生一个记帐中止数据包 该数据包中描述了提供的服务的类型以及随机统计报 表 如 服务所用的时间 输入输出的字节数或者输入 输出包的情况 该数据包会被送 至 RADIUS 记帐服务器 服务器会返回一个表示该数据包已经收到的应答 记帐请求 无论是开始记帐还是中止记帐的请求 是通过网络提交给 RADIUS 记帐服 务器的 最好是让客户端使用某种形式的后退机制 使得客户端不断的发送记帐请求包直 到收到应答信息为止 如果在一段时间内没有收到返回的响应信息 记帐请求就会被重发 几次 如果主服务器坏掉或者是无法到达客户端可以向后备服务器转发记帐请求信息 可 以规定在对主服务器重试失败一定的次数之后或者是采用循环调度算法的方式允许使用后 备服务器 重试和放弃算法是目前正在研究的一个课题 在本文中就不再赘述了 RADIUS 记帐服务器可以向其他的服务器发出请求 来满足记帐请求 被请求的服务 器充当一个客户端 如果 RADIUS 记帐服务器不能成功的处理记帐包 服务器一定不能 MUST NOT 给 客户端发送应答信息 2 1 代理代理 参阅 RADIUS RFC 2 中关于 RADIUS 代理的描述 RADIUS 记帐代理服务器的 工作方式与 RADIUS 代理服务器是相同的 如下例所示 1 NAS 向转发服务器发送记帐请求 2 转发服务器将记帐请求记录下来 如果必要的话 在其他的代理服务器的状态属 RFC2866 RADIUS 远程用户拨号认证系统 记帐协议 RFC2866 RADIUS Accounting RFC 中文翻译计划4 性之后增加自己的代理状态信息 如果必要的话 更新鉴别码 将这些请求转 发给远程服务器 3 远程服务器将记帐请求记录下 如果必要的话 将所有的代理状态属性按顺序原 封不动的从请求数据报复制到响应数据包 把记帐响应送给转发服务器 4 转发服务器剥离最后的代理状态 如果在第二步加了的话 更新响应鉴别码 将 记帐响应发给 NAS 转发服务器不得更改当前数据包中已经存在的代理状态或者类属性 转发服务器可能以通过 pass through 的方式完成转发的功能 也就是说 转发服务器一 收到数据包就重新发送 或者转发服务器自身完成重发功能 例如 在转发服务器和远程 服务器之间的网络链接与网络接入服务器 NAS 和转发服务器之间的链接相比有很大不 同的情况 当代理服务器被用来执行转发功能的时候 要特别的注意确保转发算法是健壮的 可扩展 的 3 包格式 包格式 严格的讲 RADIUS 记帐协议包应该位于 UDP 数据域 4 它的目标端口号是 1813 十进制数 当产生一个应答的时候 源端口和目的地址端口互换 本文定义了 RADIUS 协议 早期的 RADIUS 记帐是通过端口号为 1646 的 UDP 端口来 实现的 它和 sa msg port 服务相冲突 为 RADIUS 记帐服务正式分配的端口号是 1813 RADIUS 数据格式的概况如下所示 各个域的数据是从左向右传输的 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 编码 标识符 长度 鉴别码 属性 编码 编码域是一个八位字节 用来标识 RADIUS 包的类型 当收到的包的编码域非法时 该数据包将会被自动丢弃 RADIUS 记帐编码分配如下 4记帐请求 5记帐相应 标识符 标识符域是一个八位字节 用于请求和应答的匹配 如果请求包具有相同的源 ip 地址 源 UDP 端口号 并且在很短的一段时间内出现了相同的标识符 RADIUS 就可以检测 到重复的请求 长度 长度域占有两个八位的字节 它表明了该包所包含的编码 标识符 长度 鉴别码以 及属性域的总长度 在长度域限定的范围之外的八位字节必须作为填充字节 在接收 时不予处理 如果包的实际长度小于长度域中给出的值 该包必须被直接丢弃 包的 最小长度是 20 最大长度是 4095 RFC2866 RADIUS 远程用户拨号认证系统 记帐协议 RFC2866 RADIUS Accounting RFC 中文翻译计划5 鉴别码 鉴别码域占有 16 个八位的字节 最重要的字节先传输 该域的值用来鉴别客户端和 RADIUS 记帐服务器之间的信息 请求鉴别码 在记帐请求包中 鉴别码的值是一个占有 16 个八位字节的 MD5 5 校验和 称作请 求鉴别码 网络接入服务器 NAS 和 RADIUS 记帐服务器共享一个密钥 记帐请求包中的鉴别 码中包含对一个由编码 标识符 长度 16 个为 0 的八位字节 请求属性 共享密钥 在这里 表示将各个字符连接起来 所构成的八位字节流进行某种方式的 MD5 哈希计算得到的代码 这个占有 16 个 8 位字节的 MD5 哈希值被存储到记帐请求包的 鉴别码域中 注意记帐请求中的请求鉴别码不得与 RADIUS 接入请求的请求鉴别码的生成方式相同 因为在记帐请求中没有用户口令这一属性 响应鉴别码 在记帐响应包中的鉴别码域称作响应鉴别码 它包含对一个由记帐响应编码 标识符 长度 来自于将要被应答的记帐请求包的请求鉴别码以及响应属性 如果有的话 共 享密钥构成的八位字节流进行某种方式的 MD5 哈希计算得到的代码 这个占有 16 个 8 位字节的 MD5 哈希值被存储到记帐响应包的鉴别码域中 属性 属性可能会包含多个实例 在这种情况下同种类型的各个属性的排列应当保持一定的 顺序 但是 不同类型的各个属性的排列顺序是任意的 4 包的类型 包的类型 RADIUS 包的类型是由位于包的第一个八位字节的编码域的值决定的 4 1 记帐请求记帐请求 描述 记帐请求包是由客户端 典型的情况是网络接入服务器或者它的代理 送到 RADIUS 记帐服务器 并将用于为某个用户提供的某种服务提供记帐的信息通知 RADIUS 记帐服务器 客户端发送一个将编码域置为 4 记帐请求 的 RADIUS 数据包 一收到记帐请求 如果服务器能够成功的记录下记帐包的话 必须马上发送一个 记帐响应应答 如果记录记帐包失败 不得发送任何应答 在 RADIUS 接入请求 和接入许可包中的任何有效属性出了一下的几种属性 用户密码 CHAP 密码 应答信息 状态不能出现在 RADIUS 记帐请求包中之外 其他的属性在 RADIUS 记帐请求包中都是有效的 在 RADIUS 记帐请求中必须包含 NAS IP Address 网 络接入服务器的 IP 地址 或者 NAS Identifer 网络接入服务器标识符 在请求包 中还应当包含 NAS port 网络接入服务器端口号 或者 NAS Port Type 网络接 入服务器端口类型 属性 或者两者都包含 除非该服务不会设计任何端口或者 网络接入服务器 NAS 对它的各个端口不作区分 如果记帐请求包包含了一个 Framed IP Address 该属性中必须包含用户的 IP 地址 如果接入许可使用了一个专门的值以告诉网络接入服务器 NAS 为用户分配一 个 IP 地址 记帐请求中的 Framed IP Address 如果有的话 必须包含实际分配给 用户的 IP 地址 记帐请求包的格式概况如下所示 各个域是自左向右传输的 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 RFC2866 RADIUS 远程用户拨号认证系统 记帐协议 RFC2866 RADIUS Accounting RFC 中文翻译计划6 编码 标识符 长度 请求鉴别码 属性 编码 4 代表记帐请求 标识符 当属性域的内容发生改变或者是已经收到当前请求的有效的应答 标识符域必须改变 在内容不发生任何改变的情况下的重发 标识符必须保持不变 需要注意的是 如果记帐请求属性中包括访问延迟时间 该包重发时 访问延迟时间 值会被更新 同时也改变了属性域的内容 需要新的新的标识符和请求鉴别码 请求鉴别码 记帐请求的请求鉴别码是一个占有 16 个 8 位字节的 MD5 哈希值 该值的计算方法已 在上述的 请求鉴别码 中给出 属性 属性域的长度各不相同 其中包含着一系列的属性 4 2 记帐响应记帐响应 描述 记帐响应包是由 RADIUS 记帐服务器发给客户端的 用来通知客户端记帐请求已被接 收 并且成功的记录下来 如果记帐请求被成功的记录下来 RADIUS 记帐服务器必 须发送一个编码域被置为 5 记帐响应 的数据包 客户端一收到记帐响应 标识符 域就会去和一个等待应答的记帐请求相匹配 响应鉴别码域必须含有对等待应答的记 帐请求的正确响应 无效的数据包会被直接丢弃 RADIUS 记帐响应不需要任何属性 响应数据包的格式概况如下所示 各个域是自左向右传输的 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 编码 标识符 长度 响应鉴别码 属性 编码 5 代表记帐响应 标识符 标识符域是对引起这次响应的记帐请求的标识符域的一个拷贝 响应鉴别码 记帐响应的响应鉴别码是一个占有 16 个 8 位字节的 MD5 哈希值 该值的计算方法已 在上述的 响应鉴别码 中给出 属性 RFC2866 RADIUS 远程用户拨号认证系统 记帐协议 RFC2866 RADIUS Accounting RFC 中文翻译计划7 属性域的长度各不相同 它可能包含了一系列的零或者更多的属性 5 属性属性 RADIUS 属性包括有请求和响应的鉴别 授权 记帐方面的详细信息 有些属性可能会不止一次的被包括进去 这样做的结果是该属性在每个属性域中都得 到详尽的描述 属性列表的结束是由 RADIUS 包的长度来决定的 属性域格式的概况如下所示 各个域是自左向右发送的 0 1 2 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 类型 长度 值 类型 类型域是一个八位字节 到目前为止 RADIUS 类型域的值在最新的 Assigned Number RFC 6 中给出了详细的描述 192 223 是留给实验使用的 224 240 用 于描述执行的细节 241 255 是预留的 不能使用 本文中涉及到一下的数值 1 39 参考 RADIUS document 2 40记帐状态类型 41记帐延迟时间 42输入字节数 43输出字节数 44会话 ID 45授权 46会话时间 47输入包总数 48输出包总数 49记帐中止事件 50多会话 ID 51记帐链路计数 60 参考 RADIUS document 2 长度 长度域占有一个字节 表示包括类型 长度 属性值在内的属性的长度 如果收 到的记帐请求属性的长度无效 整个请求必须直接丢弃 值 属性值域有零个或者更多的字节 包含有属性信息的详细描述 值域的格式和长 度是由类型和长度域决定的 注意 在 RADIUS 中没有任何的类型是以 NUL 十六进制的 00 结尾的 在 RADIUS 中特别是 text 和 string 类型不能以 NUL 十六进制的 00 结尾 属性具有长度域 因而不必使用中止符号 文本 text 含有用 UTF 8 编码的 10646 7 的特性 字符串 string 含有 8 位二进制数据 服务器和客户端必须 能够处理嵌入的 null 在使用 C 语言编写 RADIUS 程序时 注意不要使用 strcpy 来处理字符串 值域的格式是五种数据类型之一 注意 类型 text 是类型 string 的一个子集 text 1 253 个字节 包含 UTF 8 编码的 1046 7 特性 长度为零的文本 text 不必发送 取而代之的是 整个属性域会被直接忽略 string 1 253 个字节 包含二进制数据 数值值从 0 到十进制数 255 长度为 零的字符串 string 不必发送 取而代之的是 整个属性域会被直接忽 略 RFC2866 RADIUS 远程用户拨号认证系统 记帐协议 RFC2866 RADIUS Accounting RFC 中文翻译计划8 address 32 位的数值 最重要的字节优先 integer 32 位的无符号数 最重要的字节优先 time 32 位的无符号数 最重要的字节优先 seconds since 00 00 00 UTC January 1 1970 标准的属性是不使用该数据类型的 但是在这里提到该 数据类型主要是以备在将来的属性中使用 5 1 记帐状态类型记帐状态类型 描述 该属性表明当前的记帐请求是表示用户服务开始 start 还是结束 stop 它可能被客户端通过指出记帐开始的方式来表示开始记帐 例如 在启动之前 或者 通过指明记帐完成的方式来结束记帐 例如 在预定的重新启动之前 记帐状态类型的格式概况如下所示 各个域是按照自左向右的顺序发送的 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 类型 长度 值 值 cont 类型 40 表示记帐状态 长度 6 值 值域占有四个字节 1Start 开始 2Stop 停止 3Interim Update 过渡更新 7Accounting On 开始记帐 8Accounting Off 结束记帐 9 14 Reserved for Tunnel Accounting 为隧道记帐保留 15Reserved for Failed 为记帐失败预留 5 2 记帐延迟时间记帐延迟时间 描述 该属性表明客户端试图发送该记录所用的时间 用该数据包到达服务器端的时间减去 记帐延迟时间就可以知道生成该数据包的大概时间 网络传输时间被忽略了 注意 记帐延迟时间的改变会引起鉴别码的变化 详细资料参见上面关于鉴别码的讨 论 记帐延迟时间的格式概况如下所示 各个域是按照自左向右的顺序发送的 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 类型 长度 值 值 cont 类型 41 代表记帐延迟时间 RFC2866 RADIUS 远程用户拨号认证系统 记帐协议 RFC2866 RADIUS Accounting RFC 中文翻译计划9 长度 6 值 值域共占有四个字节 5 3 输入字节数输入字节数 描述 该属性表明在提供用户所需的服务的过程中从端口接收到的字节总数 该属性只有在 要求停止记帐的记帐请求数据包中才会出现 输入字节数的基本格式如下所示 各个域是自左向右传送的 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 类型 长度 值 值 cont 类型 42 代表输入字节数 长度 6 值 值域所占的空间是四个字节 5 4 输出字节数输出字节数 描述 该属性表明在交付用户所需的服务的过程中发送给端口的字节总数 该属性只有在要 求停止记帐的记帐请求数据包中才会出现 输出字节数的基本格式如下所示 各个域是自左向右传送的 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 类型 长度 值 值 cont 类型 43 代表输入字节数 长度 6 值 值域所占的空间是四个字节 5 5 会话会话 Id 描述 该属性是便于在日志文件中的开始和停止记录匹配的唯一的记帐 ID 对于一个给定的 会话 它的开始和停止记录必须有相同的记帐会话 Id 记帐请求包必须有一个记帐会 话 Id 接入请求包可能含有记帐会话 Id 如果接入请求包中含有记帐会话 Id 的话 RFC2866 RADIUS 远程用户拨号认证系统 记帐协议 RFC2866 RADIUS Accounting RFC 中文翻译计划10 NAS 网络接入服务器 在为该会话产生的记帐请求数据包中必须使用相同的记帐会 话 Id 记帐会话 Id 应当含有 UTF 编码的 10646 7 字符 例如 有一种实现方式是使用一个 8 位的 16 进制数表示 该数的前两位每次重新启动 后加一 重启 256 次之后循环 后六位数字从 0 到 2 24 1 大约共一千六百万 用 来计数重启之后登录的用户的个数 记帐会话 Id 的属性的大致格式如下 各个域是自左向右传送的 0 1 2 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 类型 长度 文字 类型 44 代表记帐会话 Id 长度 3 字符串 字符串域应当是一个 UTF 8 编码的 10646 7 字符串 5 6 授权授权 描述 该属性可能包含在记帐请求数据包中 用来说明是怎样给用户授权的 是通过 RADIUS 网络接入服务器本身 还是通过另外一个远程授权协议 不需授权就能提 供服务的用户不可以生成记帐包 授权属性的大致格式如下 各个域是自左向右传送的 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 类型 长度 值 值 cont 类型 45 表示记帐包的授权属性 长度 6 值 值域占四个字节的空间 1RADIUS 2Local 3Remote 5 7 会话时间会话时间 描述 该属性表明用户接受服务的时间 这个属性只在记帐状态类型为记帐停止的记帐请求 数据包中出现 该属性的大致格式如下 各个域是自左向右传送的 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 RFC2866 RADIUS 远程用户拨号认证系统 记帐协议 RFC2866 RADIUS Accounting RFC 中文翻译计划11 类型 长度 值 值 cont 类型 46 代表会话时间 长度 6 值 值域共占四个字节的空间 5 8 输入数据包输入数据包 描述 该属性表明在为某个用户提供服务的过程中从端口接收到的数据包的总数 该属性只 能在记帐状态为记帐停止的数据包中出现 记帐输入数据包的大致格式如下 各个域是自左向右传输的 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 类型 长度 值 值 cont 类型 47 代表输入包总数 长度 6 值 值域共占四个字节的空间 5 9 输出包总数输出包总数 描述 该属性表明在给某个定的用户提供服务的过程中给端口发送的数据包的总数 这个属 性只能在记帐状态类型为记帐停止的记帐请求数据包中出现 记帐输出包属性的大致格式如下 各个域是自左向右传送的 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 类型 长度 值 值 cont 类型 48 代表输出包 长度 6 值 值域总共占有四个字节的空间 RFC2866 RADIUS 远程用户拨号认证系统 记帐协议 RFC2866 RADIUS Accounting RFC 中文翻译计划12 5 10 记帐中止事件记帐中止事件 描述 该属性表明对话是怎样中止的 这属性只能在记帐状态为记帐停止的记帐请求数据包 中出现 该属性的大致格式如下 各个域是自左向右传送的 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 类型 长度 值 值 cont 类型 49 代表记帐中止事件 长度 6 值 值域共占四个字节的空间 包含一个表示记帐中止事件的数字 数字和事件的对应关 系如下 1用户请求 2数据丢失 3服务丢失 4休息时间到 5会话超时 6管理员重置 7管理员重启 8端口错误 9NAS 网络接入服务器 错误 10NAS 请求 11NAS 重启 12端口不再需要 13端口被抢占 14端口挂起 15服务难以获得 16回调 17用户错误 18主机请求 中止事件描述如下 用户请求 用户请求中止该项服务 例如 用 LCP 连接控制协议 中止或者退出 数据丢失 DCD 数据载波检测 在端口处丢失 服务丢失 无法再提供服务 例如 用户与主机之间的连接中断 休息时间到 休息计数器满 会话超时 最大会话时间长度已到 管理员重置 管理员从新分配端口或者会话 管理员重启 管理员结束 NAS 网络接入服务器 的服务 例如 在重新启动 NAS 之前 端口错误 NAS 网络接入服务器 在端口检测到错误 这就要求中止会话 NAS 请求 NAS 网络接入服务器 不是由于故障而要求中止会话 具体原因不在 这里另外列举 RFC2866 RADIUS 远程用户拨号认证系统 记帐协议 RFC2866 RADIUS Accounting RFC 中文翻译计划13 NAS 重启 NAS 网络接入服务器 结束会话 以进行非管理性的重启 系统性 事故 crash 端口不再需要 NAS 结束会话是因为资源的使用已经低于最低水平线了 例如 带 宽需求算法判定该端口已经不再需要了 端口被抢占 NAS 网络接入服务器 结束会话以便于将端口分配给优先级更高的应 用 端口被挂起 NAS 网络接入服务器 结束对话以便于挂起一个虚拟会话 服务难以获得 NAS 网络接入服务器 无法提供要求的服务 回调 NAS 网络接入服务器 中止当前的会话 以便于为新的会话执行回调 操作 用户错误 用户的输入有错 导致中止会话 主机请求 登录主机正常中止会话 5 11 多会话多会话 Id 描述 该属性是唯一的一个便于在同一个日志文件中的多个相关的会话联系起来的记帐 ID 连接起来的每个会话都有自己唯一的会话 Id 但是它们有相同的多会话 Id 强烈建议 多会话 Id 使用 UTF 8 编码的 10646 7 字符 该数性的大致格式如下 各个域是自左向右传输的 0 1 2 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 类型 长度 字符串 类型 50 代表多会话 Id 长度 3 字符串 字符串域应当使用 UTF 8 编码的 10646 字符 5 12 记帐链路计数记帐链路计数 描述 该属性给出了生成记帐记录是所知道的一个给定的多链路会话的链路总数 NAS 网 络介入服务器 在所有的可能含有多条链路的记帐请求中都有可能含有记帐链路计数 这个属性 该属性的大致格式如下 各个域是自左向右传输的 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 类型 长度 值 值 cont 类型 51 代表记帐链路数 长度 RFC2866 RADIUS 远程用户拨号认证系统 记帐协议 RFC2866 RADIUS Accounting RFC 中文翻译计划14 6 值 值域占四个字节 其内容是在多会话中目前所知道的链路的数目 它可能会被用来便于记帐服务器知道到何时为止给定的多链路会话的所有记录都已经 到了 当记帐服务器收到的记帐请求的状态类型 stop 停止 而且具有相同的多会 话 Id 唯一的会话 Id 的会话记录的总数等于目前知道记帐链路计数的最大值时 多链 路会话的所有记帐停止请求已经全部收到了 下面给出一个 8 个记帐请求的例子 以便于理解 为了清楚起见 只给出了相关的属 性 但是 其他的属性也是在记帐请求中存在的 多会话 Id 会话 Id 状态类型 链路计数 10 10 start 1 10 11 start 2 10 11 Stop 2 10 12 Start 3 10 13 Start 4 10 12 Stop 4 10 13 Stop 4 10 10 Stop 4 5 13 属性列表属性列表 下表中给出了在记帐请求包中可能会遇到的属性的概览 除了代理状态以及服务提供商的 信息 可能有 之外 没有其他的属性会在响应数据包中出现 属性 0 1 用户名 0用户密码 0CHAP 密码 0 1 网络接入服务器 NAS IP 地址 Note 1 0 1 网络接入服务器 NAS 端口 0 1 服务类型 0 1 帧协议 0 1 帧 IP 地址 0 1 帧 IP 子网掩码 0 1 帧路由 0 过滤器编号 0 1 帧 MTU 移动式测试装置 0 帧压缩 0 登录主机 IP 0 1 登录服务 0 1 登录 TCP 端口 0应答消息 0 1 回调数值 0 1 回调 Id 0 帧路由 0 1 IPX 以太网的一个协议 网络帧 0状态 0 类 0 服务提供商信息 0 1 会话超时 RFC2866 RADIUS 远程用户拨号认证系统 记帐协议 RFC2866 RADIUS Accounting RFC 中文翻译计划15 0 1 空闲时间到 0 1 中止动作 0 1 被叫终端的 IP 0 1 呼叫终端的 IP 0 1 网络接入服务器 NAS 标识符 0 代理状态 0 1 登录局域网运输协议 LAT 服务 0 1 登录局域网运输协议 LAT 节点 0 1 登录局域网运输协议 LAT 组 0 1 用 AppleTalk 协议 mac 机所用的一种网络协议 链接的 帧 0 1 AppleTalk 网络帧 0 1 AppleTalk 区域的帧 1记帐状态类型 0 1 记帐延迟时间 0 1 输入字节总数 0 1 输出字节总数 1 记帐会话 Id 0 1 授权 0 1 会话时间 0 1 输入数据包 0 1 输出数据