版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)
文檔簡介
1、一、 概述:RADIUS協(xié)議包括RADIUS AUTHENTICATION PROTOCOL 和 RADIUS ACCOUNTING PROTOCOL 兩部分。RADIUS AUTHENTICATION PROTOCOL 完成撥號用戶的認證工作,而RADIUS ACCOUNTING PROTOCOL 則完成用戶服務(wù)的計費任務(wù)。事實上,為了更好地向分散的眾多接入用戶提供互聯(lián)網(wǎng)服務(wù),必須對接入服務(wù)提供有效的管理支持。它需要對安全,配置,計費等提供支持,這可以通過對一個用戶數(shù)據(jù)庫的管理來達到, 這個數(shù)據(jù)庫包括認證信息,及細化的服務(wù)配置信息和計費信息。通常這個數(shù)據(jù)庫的維護管理,對用戶信息的核實及配置有
2、一個單獨的實體完成,這個實體就是RADIUS server。由于這些管理信息的眾多與繁雜,通常RADIUS server放在一個獨立的計算機上,而為了向RADIUS server取得服務(wù),必須首先構(gòu)建一個RADIUS client,通常RADIUS client 位于Network Access Server(NAS,網(wǎng)絡(luò)接入設(shè)備)上。下圖示例了這些實體之間的關(guān)系:用戶ARADIUSSERVER(AAA)用戶N用戶BRADIUSCLIENT(NAS)INTERNET二、 RADIUS認證協(xié)議格式:1、RADIUS AUTHENTICATION PROTOCOL 包格式下面是協(xié)議報文格式:LEN
3、GTHIDENTIFIER CODEAUTHENTICATORATTRIBUTESCODE域可以包括如下一些值;1 Access-Request1 / 142 Access-Accept3 Access-Reject4 Accounting-Request5 Accounting-Response11 Access-Challenge12 Status-Server13 Status-Client255 Reserved其中,CODE 1,2,3,11值為RADIUS AUTHENTICATION PROTOCOL使用,而CODE 4,5值為RADIUS ACCOUNTING PROTOCOL
4、使用。其余未用或保留。CODE占一個字節(jié)IDENTIFIER占一個字節(jié),用于匹配請求和應(yīng)答。LENGTH 占二個字節(jié),是整個數(shù)據(jù)報的長度,包括CODE+IDENTIFIER+LENGTH +AUTHENTICATOR+ATTRIBUTES的所有長度。AUTHENTICATOR 是16字節(jié)的隨機數(shù),高位在先,此域用于認證答復和加密口令字。ATTRIBUTES是若干屬性狀態(tài)的集合,其長度是不確定的,不同的CODE值可以跟隨不同的屬性值。下表是一個總結(jié):RequestAcceptRejectChallenge#Attribute10001User-Name0-10002User-Password0-
5、10003CHAP-Password0-10004NAS-IP-Address0-10005NAS-Port0-10-1006Service-Type0-10-1007Framed-Protocol0-10-1008Framed-IP-Address0-10-1009Framed-IP-Net mask00-10010Framed-Routing00+0011Filter-Id00-10012Framed-MTU0+0+0013Framed-Compression0+0+0014Login-IP-Host00-10015Login-Service00-10016Login-TCP-Port00
6、+0+0+18Reply-Message0-10-10019Callback-Number00-10020Callback-Id00+0022Framed-Route00-10023Framed-IPX-Network0-10-100-124State00+0025Class0+0+00+26Vendor-Specific00-100-127Session-Timeout00-100-128Idle-Timeout00-10029Termination-Action0-100030Called-Station-Id0-100031Calling-Station-Id0-100032NAS-Id
7、entifier0+0+0+0+33Proxy-State0-10-10034Login-LAT-Service0-10-10035Login-LAT-Node0-10-10036Login-LAT-Group00-10037Framed-AppleTalk-Link00+0038Framed-AppleTalk-Network00-10039Framed-AppleTalk-Zone0-10-0060CHAP-Challenge0-100061NAS-Port-Type0-10-10062Port-Limit0-10-10063Login-LAT-Port表中,0表示在此類型包中,不可以跟隨
8、此屬性狀態(tài);1表示在此類型包中,只有一個此屬性狀態(tài)可跟隨;0+表示在此類型包中,0個或多個此屬性狀態(tài)可跟隨;0-1表示在此類型包中,0個或1個此屬性狀態(tài)可跟隨;2、RADIUS AUTHENTICATION PROTOCOL ACCESS-REQUEST下面是ACCESS-REQUEST包格式:LENGTHIDENTIFIER CODEREQUEST-AUTHENTICATORATTRIBUTES其中,CODE=1;CODE占一個字節(jié)IDENTIFIER占一個字節(jié),用于匹配請求和應(yīng)答。LENGTH 占二個字節(jié),是整個數(shù)據(jù)報的長度,包括CODE+IDENTIFIER+LENGTH +REQUES
9、T-AUTHENTICATOR+ATTRIBUTES的所有長度。REQUEST-AUTHENTICATOR 是16字節(jié)的隨機數(shù),高位在先,此域用于認證答復和加密口令字。ATTRIBUTES是若干屬性狀態(tài)的集合。參考上表。3、RADIUS AUTHENTICATION PROTOCOL ACCESS-ACCEPT下面是ACCESS-ACCEPT包格式:LENGTHIDENTIFIER CODERESPONSE-AUTHENTICATORATTRIBUTES其中,CODE=2;CODE占一個字節(jié)IDENTIFIER占一個字節(jié),用于匹配請求和應(yīng)答。LENGTH 占二個字節(jié),是整個數(shù)據(jù)報的長度,包括C
10、ODE+IDENTIFIER+LENGTH +RESPONSE-AUTHENTICATOR+ATTRIBUTES的所有長度。RESPONSE-AUTHENTICATOR 是由REQUEST-AUTHENTICATOR計算得出,高位在先。ATTRIBUTES是若干屬性狀態(tài)的集合。參考上表。4、RADIUS AUTHENTICATION PROTOCOL ACCESS-REJECT下面是ACCESS-REJECT包格式:LENGTHIDENTIFIER CODERESPONSE-AUTHENTICATORATTRIBUTES其中,CODE=3;CODE占一個字節(jié)IDENTIFIER占一個字節(jié),用于
11、匹配請求和應(yīng)答。LENGTH 占二個字節(jié),是整個數(shù)據(jù)報的長度,包括CODE+IDENTIFIER+LENGTH +RESPONSE-AUTHENTICATOR+ATTRIBUTES的所有長度。RESPONSE-AUTHENTICATOR 是由REQUEST-AUTHENTICATOR計算得出,高位在先。ATTRIBUTES是若干屬性狀態(tài)的集合。參考上表。5、RADIUS AUTHENTICATION PROTOCOL ACCESS-CHALLENGE下面是ACCESS-CHALLENGE包格式:LENGTHIDENTIFIER CODERESPONSE-AUTHENTICATORATTRIBU
12、TES其中,CODE=11;CODE占一個字節(jié)IDENTIFIER占一個字節(jié),用于匹配請求和應(yīng)答。LENGTH 占二個字節(jié),是整個數(shù)據(jù)報的長度,包括CODE+IDENTIFIER+LENGTH +RESPONSE-AUTHENTICATOR+ATTRIBUTES的所有長度。RESPONSE-AUTHENTICATOR 是由REQUEST-AUTHENTICATOR計算得出,高位在先。ATTRIBUTES是若干屬性狀態(tài)的集合。參考上表。6、RADIUS AUTHENTICATION PROTOCOL ATTRIBUTES下面是屬性狀態(tài)的包格式:TYPELENGTHVALUETYPE占一個字節(jié),表
13、示屬性狀態(tài)的類型,、;LENGTH占一個字節(jié),表示屬性長度,包括TYPE+LENGTH+VALUE;VALUE長度不定,由類型確定。下面是所有TYPE的集合描述: 1User-Name 2User-Password 3CHAP-Password 4NAS-IP-Address 5NAS-Port 6Service-Type 7Framed-Protocol 8Framed-IP-Address 9Framed-IP-Netmask 10Framed-Routing 11Filter-Id 12Framed-MTU 13Framed-Compression 14Login-IP-Host 15L
14、ogin-Service 16Login-TCP-Port 17 (unassigned) 18Reply-Message 19Callback-Number 20Callback-Id 21 (unassigned) 22Framed-Route 23Framed-IPX-Network 24State 25Class 26Vendor-Specific 27Session-Timeout 28Idle-Timeout 29Termination-Action 30Called-Station-Id 31Calling-Station-Id 32NAS-Identifier 33Proxy-
15、State 34Login-LAT-Service 35Login-LAT-Node 36Login-LAT-Group 37Framed-AppleTalk-Link 38Framed-AppleTalk-Network 39Framed-AppleTalk-Zone 40-59 (reserved for accounting) 60CHAP-Challenge 61NAS-Port-Type 62Port-Limit63 Login-LAT-Port7、單個 ATTRIBUTES介紹由于ATTRIBUTES多達40多個,不可能一一介紹。這里選擇幾個重要且常用的作簡單介紹,其余可參照RFC
16、文檔。USER-NAME屬性狀態(tài):格式:TYPELENGTHSTRINGTYPE=1,表示USER-NAME屬性狀態(tài);LENGTH,表示整個屬性狀態(tài)長度,大于3;STRING,是名字字符串,可以為如下幾種形式:簡單數(shù)字字符串,用于本地管理NAS;簡單可打印字符串;SMTP地址格式,如:nameANS.1名字:以ANS.標準出現(xiàn)的名字。USER-PASSWORD屬性狀態(tài):格式:TYPELENGTHSTRINGTYPE=2,表示USER-PASSWORD屬性狀態(tài);LENGTH,表示整個屬性狀態(tài)長度,大于18小于30;STRING,是加密后的MD5摘要字符串。計算方法如下;假設(shè)S表示共享密碼,RA表
17、示REQUEST-AUTHENTICATOR,而口令被分為16位BITS的快,p1,P2,等等。則:b1 = MD5(S + RA) c(1) = p1 xor b1b2 = MD5(S + c(1) c(2) = p2 xor b2 . . . . . .bi = MD5(S + c(i-1) c(i) = pi xor biSTRING = c(1)+c(2)+ c(i) NAS-IP-ADDRESS屬性狀態(tài):格式:TYPELENGTHADDRESSADDRESSTYPE=4,表示NAS-IP-ADDRESS屬性狀態(tài);LENGTH,表示整個屬性狀態(tài)長度,6個字節(jié);ADDRESS,表示IP地
18、址,4字節(jié)。NAS-PORT屬性狀態(tài):格式:TYPELENGTHPORTPORTTYPE=5,表示NAS-PORT屬性狀態(tài);LENGTH,表示整個屬性狀態(tài)長度,6個字節(jié);PORT,表示PORT號碼,4字節(jié),0-65535。SEVICE-TYPE屬性狀態(tài):格式:TYPELENGTHVALUEVALUETYPE=6,表示SEVICE-TYPE屬性狀態(tài);LENGTH,表示整個屬性狀態(tài)長度,6個字節(jié);VALUE,表示服務(wù)屬性,4字節(jié),有如下一些取值:1 Login2 Framed3 Callback Login4 Callback Framed5 Outbound6 Administrative7 N
19、AS Prompt8 Authenticate Only9 Callback NAS PromptFRAMED-PROTOCOL屬性狀態(tài):格式:TYPELENGTHVALUEVALUETYPE=7,表示FRAMED-PROTOCOL屬性狀態(tài);LENGTH,表示整個屬性狀態(tài)長度,6個字節(jié);VALUE,表示協(xié)議屬性,4字節(jié),有如下一些取值:1 PPP2 SLIP3 AppleTalk Remote Access Protocol (ARAP)4 Gandalf proprietary SingleLink/MultiLink protocol5 Xylogics proprietary IPX/S
20、LIP三、 RADIUS計費協(xié)議格式:1、RADIUS ACCOUNTING PROTOCOL 包格式下面是協(xié)議報文格式:LENGTHIDENTIFIER CODEAUTHENTICATORATTRIBUTESCODE域可以包括如下一些值;4 Accounting-Request5 Accounting-ResponseIDENTIFIER占一個字節(jié),用于匹配請求和應(yīng)答。LENGTH 占二個字節(jié),是整個數(shù)據(jù)報的長度,包括CODE+IDENTIFIER+LENGTH +AUTHENTICATOR+ATTRIBUTES的所有長度。AUTHENTICATOR 是16字節(jié)的隨機數(shù),高位在先,此域用于認
21、證答復和加密口令字。ATTRIBUTES是若干屬性狀態(tài)的集合,其長度是不確定的。不同的CODE值可以跟隨不同的屬性值。下表是一個總結(jié):RequestResponse#Attribute0-101User-Name002User-Password003CHAP-Password0-104NAS-IP-Address0-105NAS-Port0-106Service-Type0-107Framed-Protocol0-108Framed-IP-Address0-109Framed-IP-Net mask0-1010Framed-Routing0+011Filter-Id0-1012Framed-M
22、TU0+013Framed-Compression0+014Login-IP-Host0-1015Login-Service0-1016Login-TCP-Port0018Reply-Message0-1019Callback-Number0-1020Callback-Id0+022Framed-Route0-1023Framed-IPX-Network0024State0+025Class0+0+26Vendor-Specific0-1027Session-Timeout0-1028Idle-Timeout0-1029Termination-Action0-1030Called-Statio
23、n-Id0-1031Calling-Station-Id0-1032NAS-Identifier0+0+33Proxy-State0-1034Login-LAT-Service0-1035Login-LAT-Node0-1036Login-LAT-Group0-1037Framed-AppleTalk-Link0-1038Framed-AppleTalk-Network0-1039Framed-AppleTalk-Zone1040Acct-Status-Type0-1041Acct-Delay-Time0-1042Acct-Input-Octets0-1043Acct-Output-Octet
24、s1044Acct-Session-Id0-1045Acct-Authentic0-1046Acct-Session-Time0-1047Acct-Input-Packets0-1048Acct-Output-Packets0-1049Acct-Terminate-Cause0+050Acct-Multi-Session-Id0+051Acct-Link-Count0060CHAP-Challenge0-1061NAS-Port-Type0-1062Port-Limit0-1063Login-LAT-Port表中,0表示在此類型包中,不可以跟隨此屬性狀態(tài);1表示在此類型包中,只有一個此屬性狀態(tài)
25、可跟隨;0+表示在此類型包中,0個或多個此屬性狀態(tài)可跟隨;0-1表示在此類型包中,0個或1個此屬性狀態(tài)可跟隨;2、RADIUS ACCOUNTING PROTOCOL ACCOUNTING-REQUEST下面是ACCOUNTINGREQUEST包格式:LENGTHIDENTIFIER CODEREQUEST-AUTHENTICATORATTRIBUTES其中,CODE=4;CODE占一個字節(jié)IDENTIFIER占一個字節(jié),用于匹配請求和應(yīng)答。LENGTH 占二個字節(jié),是整個數(shù)據(jù)報的長度,包括CODE+IDENTIFIER+LENGTH +REQUEST-AUTHENTICATOR+ATTRIB
26、UTES的所有長度。REQUEST-AUTHENTICATOR 是16字節(jié)的MD5 HASH結(jié)果值,高位在先。ATTRIBUTES是若干屬性狀態(tài)的集合。參考上表。3、RADIUS ACCOUNTING PROTOCOL ACCOUNTING-RESPONSE下面是ACCOUNTINGRESPONSE包格式:LENGTHIDENTIFIER CODERESPONSE-AUTHENTICATORATTRIBUTES其中,CODE=5;CODE占一個字節(jié)IDENTIFIER占一個字節(jié),用于匹配請求和應(yīng)答。LENGTH 占二個字節(jié),是整個數(shù)據(jù)報的長度,包括CODE+IDENTIFIER+LENGTH
27、+RESPONSE-AUTHENTICATOR+ATTRIBUTES的所有長度。REQUEST-AUTHENTICATOR 是16字節(jié)的MD5 HASH結(jié)果值,高位在先。ATTRIBUTES是若干屬性狀態(tài)的集合。參考上表。4、RADIUS ACCOUNTING PROTOCOL ATTRIBUTES下面是屬性狀態(tài)的包格式:TYPELENGTHVALUETYPE占一個字節(jié),表示屬性狀態(tài)的類型,、;LENGTH占一個字節(jié),表示屬性長度,包括TYPE+LENGTH+VALUE;VALUE長度不定,由類型確定。下面是所有TYPE的集合描述:40 Acct-Status-Type41 Acct-Dela
28、y-Time 42Acct-Input-Octets 43Acct-Output-Octets 44Acct-Session-Id 45Acct-Authentic 46Acct-Session-Time 47Acct-Input-Packets 48Acct-Output-Packets49 Acct-Terminate-Cause50 Acct-Multi-Session-Id 51Acct-Link-Count5、單個 ATTRIBUTES介紹由于ATTRIBUTES較多,不可能一一介紹。這里選擇幾個重要且常用的作簡單介紹,其余可參照RFC文檔。ACCT-STATUS-TYPE屬性狀態(tài):
29、格式:TYPELENGTHVALUEVALUETYPE=40,表示ACCT-STATUS-TYPE屬性狀態(tài);LENGTH,表示整個屬性狀態(tài)長度,6個字節(jié);VALUE,表示服務(wù)屬性,4字節(jié),有如下一些取值:1Start2Stop7Accounting-On8Accounting-OffACCTSESSION-ID屬性狀態(tài):格式:TYPELENGTHSTRINGTYPE=44,表示ACCTSESSION-ID屬性狀態(tài);LENGTH,表示整個屬性狀態(tài)長度,大于3;STRING,是可見ASCII字符;四、 RADIUS MSC圖:1、基本實體說明在以下的討論中,我們使用如下三個實體:用戶實體:USER
30、NAS RADIUS 客戶實體:CLIENTRADIUS SERVER 實體:SERVER2、普通認證過程MSC圖USERSERVERCLIENTAccess-request &set timeoutUsername,passwordAccess-response &unset timeout Timeout, send request again&set timeoutAuthentication endAuthentication end3、和CHAP交互認證過程(成功)MSC圖CLIENTUSERSERVERAccess-request &set timeoutUsername,password Timeout, send request again&set timeoutAccess-challenge &unset timeoutPrompt for responseNew Access-request &set timeoutUser responseAccess-response &unset timeout4、和CHAP交互認證過程(失?。㎝SC圖SERVERCLIENTUSERAcces
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
- 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。
最新文檔
- 房地產(chǎn)基本制度與政策真題匯編12
- JJF(豫) 195-2015 交流電阻器校準規(guī)范
- 機械設(shè)計課程設(shè)計成圖
- 三級路基路面課程設(shè)計
- 化工原理課程設(shè)計作圖
- 什么是兒童舞蹈課程設(shè)計
- 工程水文水庫課程設(shè)計
- 電影與幸福感學習通超星期末考試答案章節(jié)答案2024年
- 土木工程施工組織學習通超星期末考試答案章節(jié)答案2024年
- 動植物遺傳庫課程設(shè)計
- 新課標學習心得體會1000字范文10篇
- 軟件使用授權(quán)書
- 小型橋梁施工組織設(shè)計
- 腦卒中后吞咽障礙患者進食護理(2023年中華護理學會團體標準)
- 目標管理SMART原則
- 《回憶》教學設(shè)計(重慶市省級優(yōu)課)x-八年級音樂教案
- 滇南中心城市大屯海污水處理廠提標改造項目環(huán)評報
- 哈薩克斯坦勞動法中文版
- 第二單元 工業(yè)生產(chǎn)勞動:07 木蜻蜓 教學設(shè)計-五年級上冊小學勞動(蘇科版)
- 小麥栽培技術(shù)課件
- 關(guān)于人才培養(yǎng)模式研究的幾個問題
評論
0/150
提交評論