RADIUS協(xié)議的原理及應用講義

1、 HYPERLINK RADIIUS協(xié)協(xié)議的原理及應用目 錄TOC o 1-3 h z u HYPERLINK l _Toc172109486 培訓目標標 PAGEREF _Toc172109486 h 2 HYPERLINK l _Toc172109487 前言 PAGEREF _Toc172109487 h 2 HYPERLINK l _Toc172109488 1 RAADIUUS協(xié)議議介紹 PAGEREF _Toc172109488 h 22 HYPERLINK l _Toc172109489 2 RAADIUUS協(xié)議議報文結結構 PAGEREF _Toc172109489 h 3 H

2、YPERLINK l _Toc172109490 2.1 Raddiuss協(xié)議報報文格式式 PAGEREF _Toc172109490 h 3 HYPERLINK l _Toc172109491 2.2 Codde域 PAGEREF _Toc172109491 h 3 HYPERLINK l _Toc172109492 2.3 Ideentiifieer域 PAGEREF _Toc172109492 h 4 HYPERLINK l _Toc172109493 2.4 Lenngthh域 PAGEREF _Toc172109493 h 4 HYPERLINK l _Toc172109494 2.

3、5 Autthennticcatoor PAGEREF _Toc172109494 h 4 HYPERLINK l _Toc172109495 2.6 Atttribbutees域 PAGEREF _Toc172109495 h 5 HYPERLINK l _Toc172109496 2.6.1 TTypee域 PAGEREF _Toc172109496 h 5 HYPERLINK l _Toc172109497 2.6.2 LLenggth域域 PAGEREF _Toc172109497 h 5 HYPERLINK l _Toc172109498 2.6.3 VValuue域 PAGEREF

4、 _Toc172109498 h 6 HYPERLINK l _Toc172109499 2.6.4常用用屬性類類型列表表 PAGEREF _Toc172109499 h 6 HYPERLINK l _Toc172109500 3 NAAS設備備RADDIUSS部分配配置舉例例 PAGEREF _Toc172109500 h 8 HYPERLINK l _Toc172109501 4 RAADIUUS系統(tǒng)統(tǒng)下用戶戶認證過過程 PAGEREF _Toc172109501 h 9 HYPERLINK l _Toc172109502 4.1 報文1：EAPPOL-Staart PAGEREF _To

5、c172109502 h 99 HYPERLINK l _Toc172109503 4.2 報文2：EAPP-Reequeest/Ideentiity PAGEREF _Toc172109503 h 110 HYPERLINK l _Toc172109504 4.3 報文3：EAPP-Reespoonsee/Iddenttityy PAGEREF _Toc172109504 h 10 HYPERLINK l _Toc172109505 4.4 報文4：RADDIUSS Acccesss-RRequuestt PAGEREF _Toc172109505 h 11 HYPERLINK l _Toc

6、172109506 4.5 報文5：RADDIUSS Acccesss-CChalleengee PAGEREF _Toc172109506 h 12 HYPERLINK l _Toc172109507 4.6 報文6：EAPP-Reequeest/MD55-Chhalllengge PAGEREF _Toc172109507 h 133 HYPERLINK l _Toc172109508 4.7 報文7：EAPP-Reespoonsee/MDD5-CChalllennge PAGEREF _Toc172109508 h 114HYPERLINKl _Toc1721095094.8 報文8：R

7、ADDIUSS Acccesss-RRequuestt PAGEREF _Toc172109509 h 14 HYPERLINK l _Toc172109510 4.9 報文9：RADDIUSS Acccesss-AAcceept PAGEREF _Toc172109510 h 115 HYPERLINK l _Toc172109511 4.100 報文文10：EAPP-Suucceess PAGEREF _Toc172109511 h 116 HYPERLINK l _Toc172109512 4.111 報文文11：RADDIUSS Acccouuntiing-Reqquesst PAGE

8、REF _Toc172109512 h 177 HYPERLINK l _Toc172109513 4.122 報文文12：RADDIUSS Acccouuntiing-Ressponnse PAGEREF _Toc172109513 h 118 HYPERLINK l _Toc172109514 4.133 報文文13：EAPPOL-Loggofff PAGEREF _Toc172109514 h 18 HYPERLINK l _Toc172109515 4.144 報文文14：RADDIUSS Acccouuntiing-Reqquesst PAGEREF _Toc172109515 h

9、199 HYPERLINK l _Toc172109516 4.155 報文文15：RADDIUSS Acccouuntiing-Ressponnse PAGEREF _Toc172109516 h 220 HYPERLINK l _Toc172109517 4.166 報文文16：EAPP-Faailuure PAGEREF _Toc172109517 h 221培訓目標標了解RAADIUUS協(xié)議議基本概概念；熟悉RAADIUUS協(xié)議議報文結結構；熟悉RAADIUUS協(xié)議議工作原原理；前言企業(yè)要求求只有授授權的用用戶才能能訪問自自己的內內部網絡絡，教育育網采取取根據流流量計費費的策略略，VO

10、OD系統(tǒng)統(tǒng)根據點點播的時時間收費費等等。這些最最常見的的網絡應應用卻面面臨一個個同樣的的問題：如何對對用戶進進行認證證和計費費？一種種常見的的認證計計費方法法RRADIIUS協(xié)協(xié)議會幫幫助我們們解決這這些問題題。RAADIUUS是目目前最常常用的認認證計費費協(xié)議之之一，它它簡單安安全，易易于管理理，擴展展性好，所以得得到廣泛泛應用。1RADDIUSS協(xié)議簡介介RADIIUS ( RRemoote Autthennticcatiion Diaal IIn UUserr Seerviice )是遠程程認證撥撥號用戶戶服務的的簡稱。RADDIUSS原先設設計的目目的是為為撥號用用戶進行行認證和和計費

11、。后來經經過多次次改進，形成了了一項通通用的認認證計費費協(xié)議，主要完完成在網網絡接入入設備和和認證服服務器之之間承載載認證、授權、計費和和配置信信息。RADDIUSS是一種種C/SS結構的的協(xié)議，它的客客戶端最初初就是NNAS服服務器，現(xiàn)在任任何運行行RADDIUSS客戶端端軟件的的計算機機都可以以成為RRADIIUS的的客戶端端。RADIIUS基基本原理理：用戶戶接入NNAS，NASS向RADDIUSS服務器器使用AAcceess-Reqquesst數據據包提交交用戶信信息，包包括用戶戶名、密密碼等相相關信息息，其中中用戶密密碼是經經過MDD5加密密的，雙雙方使用用共享密密鑰，這這個密鑰鑰不

12、經過過網絡傳傳播；RRADIIUS服服務器對對用戶名名和密碼碼的合法法性進行行檢驗，必要時時可以提提出一個個Chaalleengee，要求求進一步步對用戶戶認證，也可以以對NAAS進行行類似的的認證；如果合合法，給給NASS返回Acccesss-AAcceept數數據包，允許用用戶進行行下一步步工作，否則返返回Acccesss-RRejeect數數據包，拒絕用用戶訪問問；如果果允許訪訪問，NNAS向向RADDIUSS服務器器提出計計費請求求Acccounnt-RRequuest，RADDIUSS服務器器響應AAccoountt-Accceppt，對對用戶開開始計費費，同時時用戶可可以進行行自己

13、的的相關操操作。RADIIUS協(xié)協(xié)議具有有以下特特點：客戶端/服務器器結構；采用共享享密鑰保保證網絡絡傳輸安安全性；良好的可可擴展性性；認證機制制靈活；RADIIUS 協(xié)議承承載于UUDP 之上，官方指指定端口口號為認認證授權權端口118122、計費端端口18813。RADDIUSS協(xié)議在在RFCC2865、RFCC28666 中中定義。銳捷網網絡RGG-SAAM系統(tǒng)統(tǒng)和NASS之間的的通訊采采用RAADIUUS協(xié)議議。由于于RADDIUSS協(xié)議的良良好擴展展性,很很多廠家家對RAADIUUS作了了擴展，我們公公司也對對其進行行了擴展展。使用用時我們們應該注注意不同同公司對對RADDIUSS協(xié)

14、議擴展展部分不不能完全全兼容。2 RAADIUUS協(xié)議議報文結構構2.1RRadiius協(xié)協(xié)議報文文格式RADIIUS報報文格式式如下圖圖所示，各域內內容按照照從左向向右傳送送0 1 2 30 1 23 4 55 6 7 88 9 0 11 2 3 44 5 6 77 8 9 00 1 2 33 4 5 66 7 8 99 0 1+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| Coode | Iddenttifiier | Leengtth |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

15、-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| Auutheentiicattor |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| Atttriibuttes +-+-+-+-+-+-+-+-+-+-+-+-+-2.2CCodee域Codee域長度度為1個字節(jié)節(jié)，用于標標明RAADIUUS報文文的類型型，如果Coode域域中的內內容是無無效值，報文將將被丟棄棄RADDIUSS Coode域域的有效效值如下下：Codee=1 AAcceess-ReqquesstCodee=2 AAccee

16、ss-AcccepttCodee=3 AAcceess-RejjecttCodee=4 AAccoounttingg-ReequeestCodee=5 AAccoounttingg-ReespoonseeCodee=11 Acccesss-ChhalllenggeCodee=12 Staatuss-Seerveer (expperiimenntall)Codee=13 Staatuss-Clliennt (expperiimenntall)Codee=65 業(yè)務修修改請求求消息Codee=66 業(yè)務修修改請求求回應消消息Codee=67 業(yè)務修修改請求求回應拒拒絕消息息Codee=2555 R

17、eeserrvedd其中122 133 2555 為為保留的的Codde值一一般不會會遇到，1 22 3 4 55 111比較常常見，分別標標明報文文類型為為認證請請求、認證接接受、認證拒拒絕、計費請請求、計費回回應、計費成成功和訪訪問質詢詢。2.3IIdenntiffierr域Idenntiffierr域長度為為1個字節(jié)節(jié)，用于匹匹配請求求的回應應。如果在在短時間間內RAADIUUS服務務器收到到從相同同的源IIP，相同源源端口，相同標標識域的的報文，則認為為收到的的是重復復的請求求。2.4LLenggth域域Lenggth域域占兩個個字節(jié)，用于指指明報文文的有效效長度，多出長長度域的的字節(jié)

18、部部分將被被視為填填充。在接收收時被忽忽略。如果報報文長度度小于長長度域中中的值，整個報報文將被被丟棄。長度域域的范圍圍在200和40996之間間。2.5AAuthhentticaatorr認證字域域占用116個字字節(jié)，用于Raadiuus CClieent 和Serrverr之間消消息認證證的有效效性，和密碼碼隱藏算算法。訪問請求求Acccesss-Reequeest報報文中的的認證字字的值是166字節(jié)隨隨機數，認證字的的值要不不能被預預測并且且在一個個共享密密鑰的生生命期內內唯一。訪問請求求Acccesss-Reequeest認認證字在Acccesss-Reequeest包包中認證證字的值

19、值是166字節(jié)隨隨機數,認證字字的值要要不能被被預測,并且在在一個共共享密鑰鑰的生命命期內唯唯一；訪問回應應認證字字Acceess-Accceptt Acccesss-RRejeect 和Acccesss-Chhalllengge包中中的認證證字稱為為訪問回回應認證證字，訪問回回應認證證字的值值定義為為MD55(Coode+ID+Lenngthh+ReequeestAAuthh+Atttriibuttes+Seccrett)；計費請求求Acccounntinng-RRequuestt認證字字在計費請請求包中中的認證證字域稱稱為計費費請求認認證字，它是一一個166字節(jié)的的MD55校驗和和，計費請

20、請求認證證字的值值定義為為MD55(Coode + IIdenntiffierr + Lenngthh + 16 zerro oocteets + rrequuestt atttriibuttes +shhareed ssecrret)；計費回應應Acccounntinng-RRespponsse認證證字在計費回回應報文文中的認認證字域域稱為計計費回應應認證字字，它的值值定義為為MD55(Acccouuntiing-Ressponnse Codde + Iddenttifiier + LLenggth + tthe ReqquesstAuutheentiicattor fieeld froom

21、 tthe Acccounntinng-RRequuestt paackeet bbeinng rreplliedd too +tthe ressponnse atttribbutees + shhareed ssecrret)；2.6 Atttribbutees域0 1 20 1 2 33 4 5 66 7 8 99 0 1 22 3 4 55 6 7 88 9 0+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-| Tyype | Leengtth | Vaaluee +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-

22、+-屬性域的的長度是是可變的的，它是一一個由業(yè)業(yè)務類型型必需的的屬性和和可選屬屬性組成成的屬性性鏈。一個屬屬性包含含如下三三個部分分：2.6.1 TTypee域類型域長長度為一一個字節(jié)節(jié)，RADDIUSS服務器器和客戶戶端當遇遇到不可可識別的的屬性時時，可以將將其忽略略。常用的的屬性類類型請參參見RFFC28865 RFCC28666；2.6.2 LLenggth域域長度域長長度為一一個字節(jié)節(jié)，指明了了一個屬屬性的類類型、長度和和值域的的總長度度。如果在在認證請請求報文文中攜帶帶有屬性性長度非非法的屬屬性，則必須須回應訪訪問拒絕絕報文；如果在在訪問回回應報文文中存在在非法的的屬性長長度，這個報

23、報文必須須被直接接丟棄或或被認為為是訪問問拒絕報報文。2.6.3 VValuue域值域由零零或多個個字節(jié)組組成包，含詳細細的屬性性信息，它的格格式由屬屬性的長長度和類類型域決決定。注意RAADIUUS 中中沒有一一個類型型的值域域是以NNULLL(heex 000)結結尾，的也就就是說值值域中是是沒有結結束符的的，服務器器和客戶戶端需要要能夠處處理內嵌嵌的NUULL。值域的數數據類型型是下列列5 種類類型之一一?！皌exxt”類型是是“strringg”類型的的子集：textt 1-2533 字節(jié)節(jié)長striing 1-2253 字節(jié)長長可以包包含二進進制數據據addrresss 4 字節(jié)高高

24、位在前前inteegerr 4 字節(jié)無無符號數數高位在在前timee 4 字節(jié)無無符號數數高位在在前表示示從19970 年1 月1 日零零點零時時零秒到到現(xiàn)在的的秒數2.6.4常用用屬性類類型列表表Typee=1 用用戶名 Usser-NammeTypee=2 用用戶密碼碼 Useer-PPasssworrdTypee=3 CCHAPP密碼 CCHAPP-PaasswworddTypee=4 NNAS IP地地址 NNAS-IP-AdddresssTypee=5 NNAS端端口 NNAS-PorrtTypee=6 服服務類型型 Serrvicce-TTypeeTypee=7 幀幀協(xié)議 Fraa

25、medd-PrrotoocollTypee=8 分分幀IPP地址配配置 FFrammed-IP-AdddresssTypee=9 IIP網絡絡掩碼配配置 FFrammed-IP-NettmasskTypee=100 路由方方法配置置 Fraamedd-RooutiingTypee=111 篩選器器標識 FFiltter-IdTypee=122 最大傳傳輸單元元配置 Frrameed-MMTUTypee=133 壓縮協(xié)協(xié)議配置置 Frrameed-CComppresssioonTypee=144 登錄的的主機IIP 地地址 LLogiin-IIP-HHosttTypee=155 登錄的的服務 L

26、Logiin-SServviceeTypee=166 登錄的的TCPP端口 Looginn-TCCP-PPorttTypee=177 未分配配 (uunasssiggnedd)Typee=188 回復消消息 Repply-MesssaggeTypee=199 回叫電電話號碼碼 Caallbbackk-NuumbeerTypee=200 回叫IID CCalllbacck-IIdTypee=211 未分配配 (uunasssiggnedd)Typee=222 路由配配置 FFrammed-RouuteTypee=233 IPXX網絡數數字配置置 FFrammed-IPXX-NeetwoorkTy

27、pee=244 狀態(tài) StaateTypee=255 類別 ClaassTypee=266 供應商商細節(jié) Venndorr-SppeciificcTypee=277 會話時時限 Seessiion-TimmeouutTypee=288 空閑時時限 Iddle-TimmeouutTypee=299 終止動動作 Teermiinattionn-AcctioonTypee=300 用戶撥撥打的電電話號碼碼 CCallled-Staatioon-IIdTypee=311 用戶打打出的電電話號碼碼 CCalllingg-Sttatiion-IdTypee=322 網絡接接入服務務器標識識符 NAAS-I

28、IdenntiffierrTypee=333 代理狀狀態(tài) Prroxyy-SttateeTypee=344 登錄的的LATT服務 LLogiin-LLAT-SerrvicceTypee=355 登錄的的LATT節(jié)點 Looginn-LAAT-NNodeeTypee=366 登錄的的LATT組 Loggin-LATT-GrrouppTypee=377 ApppleTTalkk鏈路配配置 Frrameed-AApplleTaalk-LinnkTypee=388 ApppleTTalkk網絡配配置 Fraamedd-ApppleeTallk-NNetwworkkTypee=399 ApppleTTa

29、lkk區(qū)域配配置 Fraamedd-ApppleeTallk-ZZoneeTypee=400-599 為記賬賬保留 (reeserrvedd foor aaccoounttingg)Typee=60 CHHAP盤盤問 CHHAP-ChaalleengeeTypee=611 網絡接接入服務務器端口口類型 NAAS-PPortt-TyypeTypee=622 端口數數限制 Poort-LimmitTypee=633 登錄的的LATT端口 Loggin-LATT-Poort3 NAAS設備備RADDIUSS部分配配置舉例例下面以銳銳捷網絡絡STAART-S21126GG交換機機作為例，介介紹NAAS

30、設備備關于RRADIIUS部部分配置置：testt#shhow runnninng-cconffig Systtem sofftwaare verrsioon : 1.68 Buiild Aprr 255 20007 RelleasseBuilldinng cconffiguurattionnCurrrentt coonfiigurratiion : 5586 byttes!verssionn 1.0!hosttnamme ttesttvlann 1!radiius-serrverr hoost 1922.1668.11.1002 /指定定raddiuss-seerveer的IIP地址址aaa

31、 autthennticcatiion dott1x /交換換機全局局啟動8802.1x協(xié)協(xié)議aaa acccounntinng sservver 1922.1668.11.1002 /指定記記帳服務務器的IIP地址址aaa acccounntinng /交換換機開啟啟記帳功功能enabble seccrett leevell 1 5 &ZbbcknnA2YYzyggloww5UaaehIYYdffimLLMenabble seccrett leevell 155 5 &ZSS(WW&-22YX)sv5UUY*TT7+.YtZZV/,|!inteerfaace fasstEttherrnett

32、 0/1swittchpportt acccesss vvlann 100 dott1x porrt-cconttroll auuto /將此端端口設置置成受控控端口!inteerfaace fasstEttherrnett 0/24swittchpportt moode truunk!inteerfaace vlaan 11 no shuutdoown ip adddresss 1192.1688.1.1000 2556.2556.2556.0 !dot11x cclieent-proobe enaablee /打開交交換機異異常下線線探測功功能radiius-serrverr keey r

33、roott/設設置交換換機和rradiius-serrverr之間的的密鑰snmpp-seerveer ccommmuniity pubblicc rww /設置交交換機ssnmpp協(xié)議采采用coommuunittyip ddefaaultt-gaatewway 1922.1668.11.1end 4RADDIUSS系統(tǒng)下用戶認認證過程程SAM系系統(tǒng)是銳銳捷網絡絡自主研研發(fā)的集集安全、認證、計費和和管理于于為一體體的網絡絡管理平平臺，它它是基于于標準的的RADDIUSS協(xié)議開開發(fā)的，整個系系統(tǒng)由以以下三個個部分組組成：懇請者（SU，安裝銳銳捷認證證客戶端端軟件的的PC）；認證者（NASS，接入

34、入層交換換機)；認證服務務器(RADDIUSS SEERVEER，RRG-SSAM軟軟件)；下面從懇懇請者發(fā)發(fā)起認證證認證證成功退出出認證的的整個過過程中，通過SSNIFFFERR軟件抓抓取到的的報文作作詳細分分析：4.1 報文11：EAAPOLL-Sttartt首先由客客戶端發(fā)發(fā)起一個個帶有組組播目的的MACC地址為為“01880-CC2000-00003”的8022.1XX數據幀幀，其中8002.11X頭部部TYPPE類型型值為11，標明明是EAAPOLL-Sttartt報文，開始8002.11X認證證接入請請求；DLCDDesttinaatioon=01880-CC2000-00003，

35、表示組播播目的MAAC地址址，因為SUU不知到到NASS設備在在哪里；DLCEEtheertyype=8888E，表表示鏈路路層幀內內承載著著8022.1XX報文；802.1X Verrsioon =1 表表示當前前的8002.11X 協(xié)協(xié)議版本本是1；802.1X Pacckett Tyype =1指定是是EAPPOL-Staart報報文；4.2 報文22：EAAP-RRequuestt/IddenttityyNAS設設備收到到SU的的EAPPOL-Staart報報文后，向SUU發(fā)送EEAP-Reqquesst/IIdenntitty報文文，要求求SU將將用戶名名送上來來；802.1X Pa

36、cckett Tyype =0，表示8002.11X報文文承載著著EAPP報文；EAP報報文中的的Codde=11，表示是一一個EAAP-RRequuestt報文；EAP報報文中的的Ideentiifieer=11， 表示示這個EEAP-Reqquesst報文文的標識識符1，這個個值要和和后面的的EAPP-Reespoonsee Iddenttifiier一一致；EAP Datta 中中的Tyype=1，表示要要求SUU將用戶戶名送上上來；4.3 報文33：EAAP-RRespponsse/IIdenntittySU向NNAS設設備回應應EAPP-Reespoonsee/Iddenttityy

37、報文，其其中包括括用戶名名信息；EAP codde=22，表示是是EAPP-Reespoonsee報文；EAP Ideentiifieer=11，表示是是上一個個EAPP-Reequeest請請求的響響應，因因為和上上一個EEAP-Reqquesst的IIdenntiffierr的值相相同；EAP Typpe=11，表示EEAP Datte中包包含用戶戶名信息息；EAP Messsagge=“l(fā)iuufn”，表示用用戶名是是“l(fā)iuufn”；4.4 報文44：RAADIUUS AAcceess-ReqquesstNAS將將SU送送上來的的“用戶名名”信息封裝裝到RAADIUUS AAccees

38、s-Reqquesst報文文中，發(fā)發(fā)送給認認證服務務器，同同時這個個報文中中攜帶著著客戶端端IP、MACC、掩碼碼、網關關、NAAS IIP、NNAS端端口等信信息；UDP Desstinnatiion Porrt=118122，UDPP的端口口號是118122，代表是是一個RRADIIUS的的認證信信息；RADIIUS Codde=11，說明這這是一個個Acccesss-Reequeest請求認認證報文文；RADIIUS Ideentiifieer=11，表示AAcceess-Reqquesst的標標識，要要和后面面相同標標識的AAcceess-Ressponnse成成對使用用；RADIIU

39、S Useer-NNamee=“l(fā)iuufn”，表示報報文中攜攜帶用戶戶名信息息；RADIIUS NASS-IPP-Adddreess=“1922.1668.00.1”，表示報報文中攜攜帶NAAS IIP信息息；4.5 報文55：RADDIUSS Acccesss-CChalllenngeRADIIUS服服務器收收到上一一個報文文后，在在數據庫庫中查找找是否有有此用戶戶，同時時根據服服務器的的策略設設置，是是否來匹匹配NAAS IIP、NNAS端端口、用用戶IPP、用戶戶MACC等信息息，如果果通過，RADDIUSS服務器器隨機產產生一個個加密字字，用隨隨機產生生的加密密字和數數據庫中中用戶的

40、的口令進進行MDD5加密密運算，得出一一個結果果。同時時將隨機機產生的的加密字字通過RRADIIUS Acccesss-Chhalllengge報文文發(fā)送給給NASS設備；RADIIUS codde=111：表表示是AAcceess-Chaalleengee挑戰(zhàn)報報文；RADIIUS Messsagge-AAuthhentticaatorr=“xxxxx”：表示示RADDIUSS服務器器隨機產產生的加加密字；4.6 報文66：EAPP-Reequeest/MD55-ChhalllenggeNAS設設備將收收到RAADIUUS服務務器的“隨機加密密字”，然后后封裝到到EAPP-Reequeest

41、/MD55-Chhalllengge報文文中發(fā)送送給SUU，要求求SU進進行認證證；EAP Typpe=44：表示示這是一一個MDD5挑戰(zhàn)戰(zhàn)；EAP Vallue=“xxxxx”：表示示RADDIUSS隨機產產生的加加密字；4.7 報文77：EAPP-Reespoonsee/MDD5-CChalllennge客戶端收收到EAAP-RRequuestt/MDD5-CChalllennge報報文后，將用戶戶輸入的的密碼和和隨機字字做MDD5運算算，將結結果通EAPP-Reespoonsee/MDD5-CChalllennge回回應給NNAS設設備；EAP Vallue=“yyyyy”：表示示加密后

42、后的口令令；4.8 報文88：RAADIUUS AAcceess-ReqquesstNAS設設備通過過Acccesss-Chhalllengge報文文，將SSU送上上來的加加密口令令上傳給給RADDIUSS服務器器；RADIIUS Codde=11：表示示是一個個Acccesss-Reequeest報報文；RADIIUS Messsagge-AAuthhentticaatorr=“yyyyy”：表示示上傳給給RADDIUSS的加密密口令；4.9 報文99：RAADIUUS AAcceess-AcccepttRADIIUS服服務器將將SU產產生的加加密字和和自己運運算的結結果進行行比較，看是否否一致，判斷用用戶是否否合法。然后回回應認證證成功/失敗報報文到NNAS設設備；RADIIUS Codd