radius協(xié)議參考模板

1、一、 概述：RADIUS協(xié)議包括RADIUS AUTHENTICATION PROTOCOL 和 RADIUS ACCOUNTING PROTOCOL 兩部分。RADIUS AUTHENTICATION PROTOCOL 完成撥號用戶的認證工作，而RADIUS ACCOUNTING PROTOCOL 則完成用戶服務(wù)的計費任務(wù)。事實上，為了更好地向分散的眾多接入用戶提供互聯(lián)網(wǎng)服務(wù),必須對接入服務(wù)提供有效的管理支持。它需要對安全，配置，計費等提供支持，這可以通過對一個用戶數(shù)據(jù)庫的管理來達到， 這個數(shù)據(jù)庫包括認證信息，及細化的服務(wù)配置信息和計費信息。通常這個數(shù)據(jù)庫的維護管理，對用戶信息的核實及配置有

2、一個單獨的實體完成，這個實體就是RADIUS server。由于這些管理信息的眾多與繁雜，通常RADIUS server放在一個獨立的計算機上，而為了向RADIUS server取得服務(wù)，必須首先構(gòu)建一個RADIUS client，通常RADIUS client 位于Network Access Server（NAS，網(wǎng)絡(luò)接入設(shè)備）上。下圖示例了這些實體之間的關(guān)系：用戶ARADIUSSERVER（AAA）用戶N用戶BRADIUSCLIENT（NAS）INTERNET二、 RADIUS認證協(xié)議格式：1、RADIUS AUTHENTICATION PROTOCOL 包格式下面是協(xié)議報文格式：LEN

3、GTHIDENTIFIER CODEAUTHENTICATORATTRIBUTESCODE域可以包括如下一些值；1 Access-Request1 / 142 Access-Accept3 Access-Reject4 Accounting-Request5 Accounting-Response11 Access-Challenge12 Status-Server13 Status-Client255 Reserved其中，CODE 1，2，3，11值為RADIUS AUTHENTICATION PROTOCOL使用，而CODE 4，5值為RADIUS ACCOUNTING PROTOCOL

4、使用。其余未用或保留。CODE占一個字節(jié)IDENTIFIER占一個字節(jié)，用于匹配請求和應(yīng)答。LENGTH 占二個字節(jié)，是整個數(shù)據(jù)報的長度，包括CODE+IDENTIFIER+LENGTH +AUTHENTICATOR+ATTRIBUTES的所有長度。AUTHENTICATOR 是16字節(jié)的隨機數(shù)，高位在先，此域用于認證答復和加密口令字。ATTRIBUTES是若干屬性狀態(tài)的集合，其長度是不確定的，不同的CODE值可以跟隨不同的屬性值。下表是一個總結(jié)：RequestAcceptRejectChallenge#Attribute10001User-Name0-10002User-Password0-

5、10003CHAP-Password0-10004NAS-IP-Address0-10005NAS-Port0-10-1006Service-Type0-10-1007Framed-Protocol0-10-1008Framed-IP-Address0-10-1009Framed-IP-Net mask00-10010Framed-Routing00+0011Filter-Id00-10012Framed-MTU0+0+0013Framed-Compression0+0+0014Login-IP-Host00-10015Login-Service00-10016Login-TCP-Port00

6、+0+0+18Reply-Message0-10-10019Callback-Number00-10020Callback-Id00+0022Framed-Route00-10023Framed-IPX-Network0-10-100-124State00+0025Class0+0+00+26Vendor-Specific00-100-127Session-Timeout00-100-128Idle-Timeout00-10029Termination-Action0-100030Called-Station-Id0-100031Calling-Station-Id0-100032NAS-Id

7、entifier0+0+0+0+33Proxy-State0-10-10034Login-LAT-Service0-10-10035Login-LAT-Node0-10-10036Login-LAT-Group00-10037Framed-AppleTalk-Link00+0038Framed-AppleTalk-Network00-10039Framed-AppleTalk-Zone0-10-0060CHAP-Challenge0-100061NAS-Port-Type0-10-10062Port-Limit0-10-10063Login-LAT-Port表中，0表示在此類型包中，不可以跟隨

8、此屬性狀態(tài)；1表示在此類型包中，只有一個此屬性狀態(tài)可跟隨；0+表示在此類型包中，0個或多個此屬性狀態(tài)可跟隨；0-1表示在此類型包中，0個或1個此屬性狀態(tài)可跟隨；2、RADIUS AUTHENTICATION PROTOCOL ACCESS-REQUEST下面是ACCESS-REQUEST包格式：LENGTHIDENTIFIER CODEREQUEST-AUTHENTICATORATTRIBUTES其中，CODE=1；CODE占一個字節(jié)IDENTIFIER占一個字節(jié)，用于匹配請求和應(yīng)答。LENGTH 占二個字節(jié)，是整個數(shù)據(jù)報的長度，包括CODE+IDENTIFIER+LENGTH +REQUES

9、T-AUTHENTICATOR+ATTRIBUTES的所有長度。REQUEST-AUTHENTICATOR 是16字節(jié)的隨機數(shù)，高位在先，此域用于認證答復和加密口令字。ATTRIBUTES是若干屬性狀態(tài)的集合。參考上表。3、RADIUS AUTHENTICATION PROTOCOL ACCESS-ACCEPT下面是ACCESS-ACCEPT包格式：LENGTHIDENTIFIER CODERESPONSE-AUTHENTICATORATTRIBUTES其中，CODE=2；CODE占一個字節(jié)IDENTIFIER占一個字節(jié)，用于匹配請求和應(yīng)答。LENGTH 占二個字節(jié)，是整個數(shù)據(jù)報的長度，包括C

10、ODE+IDENTIFIER+LENGTH +RESPONSE-AUTHENTICATOR+ATTRIBUTES的所有長度。RESPONSE-AUTHENTICATOR 是由REQUEST-AUTHENTICATOR計算得出，高位在先。ATTRIBUTES是若干屬性狀態(tài)的集合。參考上表。4、RADIUS AUTHENTICATION PROTOCOL ACCESS-REJECT下面是ACCESS-REJECT包格式：LENGTHIDENTIFIER CODERESPONSE-AUTHENTICATORATTRIBUTES其中，CODE=3；CODE占一個字節(jié)IDENTIFIER占一個字節(jié)，用于

11、匹配請求和應(yīng)答。LENGTH 占二個字節(jié)，是整個數(shù)據(jù)報的長度，包括CODE+IDENTIFIER+LENGTH +RESPONSE-AUTHENTICATOR+ATTRIBUTES的所有長度。RESPONSE-AUTHENTICATOR 是由REQUEST-AUTHENTICATOR計算得出，高位在先。ATTRIBUTES是若干屬性狀態(tài)的集合。參考上表。5、RADIUS AUTHENTICATION PROTOCOL ACCESS-CHALLENGE下面是ACCESS-CHALLENGE包格式：LENGTHIDENTIFIER CODERESPONSE-AUTHENTICATORATTRIBU

12、TES其中，CODE=11；CODE占一個字節(jié)IDENTIFIER占一個字節(jié)，用于匹配請求和應(yīng)答。LENGTH 占二個字節(jié)，是整個數(shù)據(jù)報的長度，包括CODE+IDENTIFIER+LENGTH +RESPONSE-AUTHENTICATOR+ATTRIBUTES的所有長度。RESPONSE-AUTHENTICATOR 是由REQUEST-AUTHENTICATOR計算得出，高位在先。ATTRIBUTES是若干屬性狀態(tài)的集合。參考上表。6、RADIUS AUTHENTICATION PROTOCOL ATTRIBUTES下面是屬性狀態(tài)的包格式：TYPELENGTHVALUETYPE占一個字節(jié)，表

13、示屬性狀態(tài)的類型，、；LENGTH占一個字節(jié)，表示屬性長度，包括TYPE+LENGTH+VALUE；VALUE長度不定，由類型確定。下面是所有TYPE的集合描述： 1User-Name 2User-Password 3CHAP-Password 4NAS-IP-Address 5NAS-Port 6Service-Type 7Framed-Protocol 8Framed-IP-Address 9Framed-IP-Netmask 10Framed-Routing 11Filter-Id 12Framed-MTU 13Framed-Compression 14Login-IP-Host 15L

14、ogin-Service 16Login-TCP-Port 17 (unassigned) 18Reply-Message 19Callback-Number 20Callback-Id 21 (unassigned) 22Framed-Route 23Framed-IPX-Network 24State 25Class 26Vendor-Specific 27Session-Timeout 28Idle-Timeout 29Termination-Action 30Called-Station-Id 31Calling-Station-Id 32NAS-Identifier 33Proxy-

15、State 34Login-LAT-Service 35Login-LAT-Node 36Login-LAT-Group 37Framed-AppleTalk-Link 38Framed-AppleTalk-Network 39Framed-AppleTalk-Zone 40-59 (reserved for accounting) 60CHAP-Challenge 61NAS-Port-Type 62Port-Limit63 Login-LAT-Port7、單個 ATTRIBUTES介紹由于ATTRIBUTES多達40多個，不可能一一介紹。這里選擇幾個重要且常用的作簡單介紹，其余可參照RFC

16、文檔。USER-NAME屬性狀態(tài)：格式：TYPELENGTHSTRINGTYPE=1，表示USER-NAME屬性狀態(tài)；LENGTH，表示整個屬性狀態(tài)長度，大于3；STRING，是名字字符串，可以為如下幾種形式：簡單數(shù)字字符串，用于本地管理NAS；簡單可打印字符串；SMTP地址格式，如：nameANS.1名字：以ANS.標準出現(xiàn)的名字。USER-PASSWORD屬性狀態(tài)：格式：TYPELENGTHSTRINGTYPE=2，表示USER-PASSWORD屬性狀態(tài)；LENGTH，表示整個屬性狀態(tài)長度，大于18小于30；STRING，是加密后的MD5摘要字符串。計算方法如下；假設(shè)S表示共享密碼，RA表

17、示REQUEST-AUTHENTICATOR，而口令被分為16位BITS的快，p1，P2，等等。則：b1 = MD5(S + RA) c(1) = p1 xor b1b2 = MD5(S + c(1) c(2) = p2 xor b2 . . . . . .bi = MD5(S + c(i-1) c(i) = pi xor biSTRING = c(1)+c(2)+ c(i) NAS-IP-ADDRESS屬性狀態(tài)：格式：TYPELENGTHADDRESSADDRESSTYPE=4，表示NAS-IP-ADDRESS屬性狀態(tài)；LENGTH，表示整個屬性狀態(tài)長度，6個字節(jié)；ADDRESS，表示IP地

18、址，4字節(jié)。NAS-PORT屬性狀態(tài)：格式：TYPELENGTHPORTPORTTYPE=5，表示NAS-PORT屬性狀態(tài)；LENGTH，表示整個屬性狀態(tài)長度，6個字節(jié)；PORT，表示PORT號碼，4字節(jié)，0-65535。SEVICE-TYPE屬性狀態(tài)：格式：TYPELENGTHVALUEVALUETYPE=6，表示SEVICE-TYPE屬性狀態(tài)；LENGTH，表示整個屬性狀態(tài)長度，6個字節(jié)；VALUE，表示服務(wù)屬性，4字節(jié)，有如下一些取值：1 Login2 Framed3 Callback Login4 Callback Framed5 Outbound6 Administrative7 N

19、AS Prompt8 Authenticate Only9 Callback NAS PromptFRAMED-PROTOCOL屬性狀態(tài)：格式：TYPELENGTHVALUEVALUETYPE=7，表示FRAMED-PROTOCOL屬性狀態(tài)；LENGTH，表示整個屬性狀態(tài)長度，6個字節(jié)；VALUE，表示協(xié)議屬性，4字節(jié)，有如下一些取值：1 PPP2 SLIP3 AppleTalk Remote Access Protocol (ARAP)4 Gandalf proprietary SingleLink/MultiLink protocol5 Xylogics proprietary IPX/S

20、LIP三、 RADIUS計費協(xié)議格式：1、RADIUS ACCOUNTING PROTOCOL 包格式下面是協(xié)議報文格式：LENGTHIDENTIFIER CODEAUTHENTICATORATTRIBUTESCODE域可以包括如下一些值；4 Accounting-Request5 Accounting-ResponseIDENTIFIER占一個字節(jié)，用于匹配請求和應(yīng)答。LENGTH 占二個字節(jié)，是整個數(shù)據(jù)報的長度，包括CODE+IDENTIFIER+LENGTH +AUTHENTICATOR+ATTRIBUTES的所有長度。AUTHENTICATOR 是16字節(jié)的隨機數(shù)，高位在先，此域用于認

21、證答復和加密口令字。ATTRIBUTES是若干屬性狀態(tài)的集合，其長度是不確定的。不同的CODE值可以跟隨不同的屬性值。下表是一個總結(jié)：RequestResponse#Attribute0-101User-Name002User-Password003CHAP-Password0-104NAS-IP-Address0-105NAS-Port0-106Service-Type0-107Framed-Protocol0-108Framed-IP-Address0-109Framed-IP-Net mask0-1010Framed-Routing0+011Filter-Id0-1012Framed-M

22、TU0+013Framed-Compression0+014Login-IP-Host0-1015Login-Service0-1016Login-TCP-Port0018Reply-Message0-1019Callback-Number0-1020Callback-Id0+022Framed-Route0-1023Framed-IPX-Network0024State0+025Class0+0+26Vendor-Specific0-1027Session-Timeout0-1028Idle-Timeout0-1029Termination-Action0-1030Called-Statio

23、n-Id0-1031Calling-Station-Id0-1032NAS-Identifier0+0+33Proxy-State0-1034Login-LAT-Service0-1035Login-LAT-Node0-1036Login-LAT-Group0-1037Framed-AppleTalk-Link0-1038Framed-AppleTalk-Network0-1039Framed-AppleTalk-Zone1040Acct-Status-Type0-1041Acct-Delay-Time0-1042Acct-Input-Octets0-1043Acct-Output-Octet

24、s1044Acct-Session-Id0-1045Acct-Authentic0-1046Acct-Session-Time0-1047Acct-Input-Packets0-1048Acct-Output-Packets0-1049Acct-Terminate-Cause0+050Acct-Multi-Session-Id0+051Acct-Link-Count0060CHAP-Challenge0-1061NAS-Port-Type0-1062Port-Limit0-1063Login-LAT-Port表中，0表示在此類型包中，不可以跟隨此屬性狀態(tài)；1表示在此類型包中，只有一個此屬性狀態(tài)

25、可跟隨；0+表示在此類型包中，0個或多個此屬性狀態(tài)可跟隨；0-1表示在此類型包中，0個或1個此屬性狀態(tài)可跟隨；2、RADIUS ACCOUNTING PROTOCOL ACCOUNTING-REQUEST下面是ACCOUNTINGREQUEST包格式：LENGTHIDENTIFIER CODEREQUEST-AUTHENTICATORATTRIBUTES其中，CODE=4；CODE占一個字節(jié)IDENTIFIER占一個字節(jié)，用于匹配請求和應(yīng)答。LENGTH 占二個字節(jié)，是整個數(shù)據(jù)報的長度，包括CODE+IDENTIFIER+LENGTH +REQUEST-AUTHENTICATOR+ATTRIB

26、UTES的所有長度。REQUEST-AUTHENTICATOR 是16字節(jié)的MD5 HASH結(jié)果值，高位在先。ATTRIBUTES是若干屬性狀態(tài)的集合。參考上表。3、RADIUS ACCOUNTING PROTOCOL ACCOUNTING-RESPONSE下面是ACCOUNTINGRESPONSE包格式：LENGTHIDENTIFIER CODERESPONSE-AUTHENTICATORATTRIBUTES其中，CODE=5；CODE占一個字節(jié)IDENTIFIER占一個字節(jié)，用于匹配請求和應(yīng)答。LENGTH 占二個字節(jié)，是整個數(shù)據(jù)報的長度，包括CODE+IDENTIFIER+LENGTH

27、+RESPONSE-AUTHENTICATOR+ATTRIBUTES的所有長度。REQUEST-AUTHENTICATOR 是16字節(jié)的MD5 HASH結(jié)果值，高位在先。ATTRIBUTES是若干屬性狀態(tài)的集合。參考上表。4、RADIUS ACCOUNTING PROTOCOL ATTRIBUTES下面是屬性狀態(tài)的包格式：TYPELENGTHVALUETYPE占一個字節(jié)，表示屬性狀態(tài)的類型，、；LENGTH占一個字節(jié)，表示屬性長度，包括TYPE+LENGTH+VALUE；VALUE長度不定，由類型確定。下面是所有TYPE的集合描述：40 Acct-Status-Type41 Acct-Dela

28、y-Time 42Acct-Input-Octets 43Acct-Output-Octets 44Acct-Session-Id 45Acct-Authentic 46Acct-Session-Time 47Acct-Input-Packets 48Acct-Output-Packets49 Acct-Terminate-Cause50 Acct-Multi-Session-Id 51Acct-Link-Count5、單個 ATTRIBUTES介紹由于ATTRIBUTES較多，不可能一一介紹。這里選擇幾個重要且常用的作簡單介紹，其余可參照RFC文檔。ACCT-STATUS-TYPE屬性狀態(tài)：

29、格式：TYPELENGTHVALUEVALUETYPE=40，表示ACCT-STATUS-TYPE屬性狀態(tài)；LENGTH，表示整個屬性狀態(tài)長度，6個字節(jié)；VALUE，表示服務(wù)屬性，4字節(jié)，有如下一些取值：1Start2Stop7Accounting-On8Accounting-OffACCTSESSION-ID屬性狀態(tài)：格式：TYPELENGTHSTRINGTYPE=44，表示ACCTSESSION-ID屬性狀態(tài)；LENGTH，表示整個屬性狀態(tài)長度，大于3；STRING，是可見ASCII字符；四、 RADIUS MSC圖：1、基本實體說明在以下的討論中，我們使用如下三個實體：用戶實體：USER

30、NAS RADIUS 客戶實體：CLIENTRADIUS SERVER 實體：SERVER2、普通認證過程MSC圖USERSERVERCLIENTAccess-request &set timeoutUsername，passwordAccess-response &unset timeout Timeout, send request again&set timeoutAuthentication endAuthentication end3、和CHAP交互認證過程（成功）MSC圖CLIENTUSERSERVERAccess-request &set timeoutUsername，password Timeout, send request again&set timeoutAccess-challenge &unset timeoutPrompt for responseNew Access-request &set timeoutUser responseAccess-response &unset timeout4、和CHAP交互認證過程（失?。㎝SC圖SERVERCLIENTUSERAcces