RADIUS協(xié)議的原理及應(yīng)用講義

資料范本本資料為word版本，可以直接編輯和打印，感謝您的下載RADIUS協(xié)議的原理及應(yīng)用講義地點(diǎn)： 時(shí)間： 說明：本資料適用于約定雙方經(jīng)過談判，協(xié)商而共同承認(rèn)，共同遵守的責(zé)任與義務(wù)，僅供參考，文檔可直接下載或修改，不需要的部分可直接刪除，使用時(shí)請(qǐng)?jiān)敿?xì)閱讀內(nèi)容RADIUS協(xié)議的原理及應(yīng)用目錄HYPERLINK\l〃_Toc172109486〃培訓(xùn)目標(biāo)2前言21RADIUS協(xié)議介紹PAGEREFToc172109488\h22RADIUS協(xié)議報(bào)文結(jié)構(gòu)PAGEREFToc172109489\h32.1Radius協(xié)議報(bào)文格式PAGEREFToc172109490\h32.2Code域PAGEREFToc172109491\h32.3Identifier域PAGEREFToc172109492\h42.4Length域PAGEREFToc172109493\h42.5AuthenticatorPAGEREFToc172109494\h42.6Attributes域PAGEREFToc172109495\h52.6.1Type域PAGEREFToc172109496\h52.6.2Length域PAGEREFToc172109497\h52.6.3Value域 PAGEREF_Toc172109498\h6HYPERLINK\l〃_Toc172109499〃2.6.4常用屬性類型列表 PAGEREF_Toc172109499\h6HYPERLINK\l〃_Toc172109500〃3NAS設(shè)備RADIUS部分配置舉例8HYPERLINK\l〃_Toc172109501〃4RADIUS系統(tǒng)下用戶認(rèn)證過程94.1報(bào)文1：EAPOL-Start94.2報(bào)文2：EAP-Request/Identity10HYPERLINK\l〃_Toc172109504〃4.3報(bào)文3：EAP-Response/Identity104.4報(bào)文4：RADIUSAccess-Request114.5報(bào)文5：RADIUSAccessChallenge124.6報(bào)文6：EAP-Request/MD5-Challenge 134.7報(bào)文7：EAP-Response/MD5-Challenge 144.8報(bào)文8：RADIUSAccess-Request14HYPERLINK\l〃_Toc172109510〃4.9報(bào)文9：RADIUSAccess-Accept4.10報(bào)文10：EAP-Success16HYPERLINK\l〃_Toc172109512〃4.11報(bào)文11：RADIUSAccountingRequest 174.12報(bào)文12：RADIUSAccountingResponse 184.13報(bào)文13：EAPOL-Logoff184.14報(bào)文14：RADIUSAccountingRequest 194.15報(bào)文15：RADIUSAccountingResponse 20HYPERLINK\l〃_Toc172109517〃4.16報(bào)文16：EAP-Failure21培訓(xùn)目標(biāo)了解RADIUS協(xié)議基本概念；熟悉RADIUS協(xié)議報(bào)文結(jié)構(gòu)；熟悉RADIUS協(xié)議工作原理；刖言企業(yè)要求只有授權(quán)的用戶才能訪問自己的內(nèi)部網(wǎng)絡(luò)，教育網(wǎng)采取根據(jù)流量計(jì)費(fèi)的策略，VOD系統(tǒng)根據(jù)點(diǎn)播的時(shí)間收費(fèi)等等。這些最常見的網(wǎng)絡(luò)應(yīng)用卻面臨一個(gè)同樣的問題：如何對(duì)用戶進(jìn)行認(rèn)證和計(jì)費(fèi)？一種常見的認(rèn)證計(jì)費(fèi)方法一-RADIUS協(xié)議會(huì)幫助我們解決這些問題。RADIUS是目前最常用的認(rèn)證計(jì)費(fèi)協(xié)議之一，它簡(jiǎn)單安全，易于管理，擴(kuò)展性好，所以得到廣泛應(yīng)用。1RADIUS協(xié)議簡(jiǎn)介RADIUS(RemoteAuthenticationDialInUserService)是遠(yuǎn)程認(rèn)證撥號(hào)用戶服務(wù)的簡(jiǎn)稱。RADIUS原先設(shè)計(jì)的目的是為撥號(hào)用戶進(jìn)行認(rèn)證和計(jì)費(fèi)。后來經(jīng)過多次改進(jìn)，形成了一項(xiàng)通用的認(rèn)證計(jì)費(fèi)協(xié)議，主要完成在網(wǎng)絡(luò)接入設(shè)備和認(rèn)證服務(wù)器之間承載認(rèn)證、授權(quán)、計(jì)費(fèi)和配置信息。RADIUS是一種C/S結(jié)構(gòu)的協(xié)議，它的客戶端最初就是NAS服務(wù)器，現(xiàn)在任何運(yùn)行RADIUS客戶端軟件的計(jì)算機(jī)都可以成為RADIUS的客戶端。RADIUS基本原理：用戶接入NAS，NAS向RADIUS服務(wù)器使用Access-Request數(shù)據(jù)包提交用戶信息，包括用戶名、密碼等相關(guān)信息，其中用戶密碼是經(jīng)過MD5加密的，雙方使用共享密鑰，這個(gè)密鑰不經(jīng)過網(wǎng)絡(luò)傳播；RADIUS服務(wù)器對(duì)用戶名和密碼的合法性進(jìn)行檢驗(yàn)，必要時(shí)可以提出一個(gè)Challenge，要求進(jìn)一步對(duì)用戶認(rèn)證，也可以對(duì)NAS進(jìn)行類似的認(rèn)證；如果合法，給NAS返回Access-Accept數(shù)據(jù)包，允許用戶進(jìn)行下一步工作，否則返回Access-Reject數(shù)據(jù)包，拒絕用戶訪問；如果允許訪問，NAS向RADIUS服務(wù)器提出計(jì)費(fèi)請(qǐng)求Account-Request，RADIUS服務(wù)器響應(yīng)Account-Accept，對(duì)用戶開始計(jì)費(fèi)，同時(shí)用戶可以進(jìn)行自己的相關(guān)操作。RADIUS協(xié)議具有以下特點(diǎn)：客戶端/服務(wù)器結(jié)構(gòu)；采用共享密鑰保證網(wǎng)絡(luò)傳輸安全性；良好的可擴(kuò)展性；認(rèn)證機(jī)制靈活；RADIUS協(xié)議承載于UDP之上，官方指定端口號(hào)為認(rèn)證授權(quán)端口1812、計(jì)費(fèi)端口1813。RADIUS協(xié)議在RFC2865、RFC2866中定義。銳捷網(wǎng)絡(luò)RG-SAM系統(tǒng)和NAS之間的通訊采用RADIUS協(xié)議。由于RADIUS協(xié)議的良好擴(kuò)展性,很多廠家對(duì)RADIUS作了擴(kuò)展，我們公司也對(duì)其進(jìn)行了擴(kuò)展。使用時(shí)我們應(yīng)該注意不同公司對(duì)RADIUS協(xié)議擴(kuò)展部分不能完全兼容。2RADIUS協(xié)議報(bào)文結(jié)構(gòu)Radius協(xié)議報(bào)文格式RADIUS報(bào)文格式如下圖所示，各域內(nèi)容按照從左向右傳送TOC\o"1-5"\h\z0 1 2 301234567890123456789012345678901+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|Code|Identifier| Length |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| Authenticator |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|Attributes...+-+-+-+-+-+-+-+-+-+-+-+-+Code域Code域長(zhǎng)度為1個(gè)字節(jié)，用于標(biāo)明RADIUS報(bào)文的類型，如果Code域中的內(nèi)容是無效值，報(bào)文將被丟棄RADIUSCode域的有效值如下：Code=1Access-RequestCode=2Access-AcceptCode=3Access-RejectCode=4Accounting-RequestCode=5Accounting-ResponseCode=11Access-ChallengeCode=12Status-Server(experimental)Code=13Status-Client(experimental)Code=65業(yè)務(wù)修改請(qǐng)求消息Code=66業(yè)務(wù)修改請(qǐng)求回應(yīng)消息Code=67業(yè)務(wù)修改請(qǐng)求回應(yīng)拒絕消息Code=255Reserved其中1213255為保留的Code值一般不會(huì)遇到，1234511比較常見，分別標(biāo)明報(bào)文類型為認(rèn)證請(qǐng)求、認(rèn)證接受、認(rèn)證拒絕、計(jì)費(fèi)請(qǐng)求、計(jì)費(fèi)回應(yīng)、計(jì)費(fèi)成功和訪問質(zhì)詢。Identifier域Identifier域長(zhǎng)度為1個(gè)字節(jié)，用于匹配請(qǐng)求的回應(yīng)。如果在短時(shí)間內(nèi)RADIUS服務(wù)器收到從相同的源IP，相同源端口，相同標(biāo)識(shí)域的報(bào)文，則認(rèn)為收到的是重復(fù)的請(qǐng)求。Length域Length域占兩個(gè)字節(jié)，用于指明報(bào)文的有效長(zhǎng)度，多出長(zhǎng)度域的字節(jié)部分將被視為填充。在接收時(shí)被忽略。如果報(bào)文長(zhǎng)度小于長(zhǎng)度域中的值，整個(gè)報(bào)文將被丟棄。長(zhǎng)度域的范圍在20和4096之間。Authenticator認(rèn)證字域占用16個(gè)字節(jié)，用于RadiusClient和Server之間消息認(rèn)證的有效性，和密碼隱藏算法。訪問請(qǐng)求Access-Request報(bào)文中的認(rèn)證字的值是16字節(jié)隨機(jī)數(shù)，認(rèn)證字的值要不能被預(yù)測(cè)并且在一個(gè)共享密鑰的生命期內(nèi)唯一。訪問請(qǐng)求Access-Request認(rèn)證字在Access-Request包中認(rèn)證字的值是16字節(jié)隨機(jī)數(shù),認(rèn)證字的值要不能被預(yù)測(cè)，并且在一個(gè)共享密鑰的生命期內(nèi)唯一；訪問回應(yīng)認(rèn)證字Access-AcceptAccess-Reject和Access-Challenge包中的認(rèn)證字稱為訪問回應(yīng)認(rèn)證字，訪問回應(yīng)認(rèn)證字的值定義為MD5(Code+ID+Length+RequestAuth+Attributes+Secret)；計(jì)費(fèi)請(qǐng)求Accounting-Request認(rèn)證字在計(jì)費(fèi)請(qǐng)求包中的認(rèn)證字域稱為計(jì)費(fèi)請(qǐng)求認(rèn)證字，它是一個(gè)16字節(jié)的MD5校驗(yàn)和，計(jì)費(fèi)請(qǐng)求認(rèn)證字的值定義為MD5(Code+Identifier+Length+16zerooctets+requestattributes+sharedsecret)；計(jì)費(fèi)回應(yīng)Accounting-Response認(rèn)證字在計(jì)費(fèi)回應(yīng)報(bào)文中的認(rèn)證字域稱為計(jì)費(fèi)回應(yīng)認(rèn)證字，它的值定義為MD5(Accounting-ResponseCode+Identifier+Length+theRequestAuthenticatorfieldfromtheAccounting-Requestpacketbeingrepliedto+theresponseattributes+sharedsecret)；Attributes域0 1 2012345678901234567890+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-|Type|Length|Value...+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-屬性域的長(zhǎng)度是可變的，它是一個(gè)由業(yè)務(wù)類型必需的屬性和可選屬性組成的屬性鏈。一個(gè)屬性包含如下三個(gè)部分：Type域類型域長(zhǎng)度為一個(gè)字節(jié)，RADIUS服務(wù)器和客戶端當(dāng)遇到不可識(shí)別的屬性時(shí)，可以將其忽略。常用的屬性類型請(qǐng)參見RFC2865RFC2866；Length域長(zhǎng)度域長(zhǎng)度為一個(gè)字節(jié)，指明了一個(gè)屬性的類型、長(zhǎng)度和值域的總長(zhǎng)度。如果在認(rèn)證請(qǐng)求報(bào)文中攜帶有屬性長(zhǎng)度非法的屬性，則必須回應(yīng)訪問拒絕報(bào)文；如果在訪問回應(yīng)報(bào)文中存在非法的屬性長(zhǎng)度，這個(gè)報(bào)文必須被直接丟棄或被認(rèn)為是訪問拒絕報(bào)文。Value域值域由零或多個(gè)字節(jié)組成包，含詳細(xì)的屬性信息，它的格式由屬性的長(zhǎng)度和類型域決定。注意RADIUS中沒有一個(gè)類型的值域是以NULL(hex00)結(jié)尾，的也就是說值域中是沒有結(jié)束符的，服務(wù)器和客戶端需要能夠處理內(nèi)嵌的NULL。值域的數(shù)據(jù)類型是下列5種類型之一°"text”類型是“string”類型的子集：text1-253字節(jié)長(zhǎng)string1-253字節(jié)長(zhǎng)可以包含二進(jìn)制數(shù)據(jù)address4字節(jié)高位在前integer4字節(jié)無符號(hào)數(shù)高位在前time4字節(jié)無符號(hào)數(shù)高位在前表示從1970年1月1日零點(diǎn)零時(shí)零秒到現(xiàn)在的秒數(shù)2.6.4常用屬性類型列表Type=1用戶名User-NameType=2用戶密碼User-PasswordType=3CHAP密碼CHAP-PasswordType=4NASIP地址NAS-IP-AddressType=5NAS端口NAS-PortType=6服務(wù)類型Service-TypeType=7幀協(xié)議Framed-ProtocolType=8分幀IP地址配置Framed-IP-AddressType=9IP網(wǎng)絡(luò)掩碼配置Framed-IP-NetmaskType=10路由方法配置Framed-RoutingType=11篩選器標(biāo)識(shí)Filter-IdType=12最大傳輸單元配置Framed-MTUType=13壓縮協(xié)議配置Framed-CompressionType=14登錄的主機(jī)IP地址Login-IP-HostType=15登錄的服務(wù)Login-ServiceType=16