信息安全專題介紹_第1頁(yè)
信息安全專題介紹_第2頁(yè)
信息安全專題介紹_第3頁(yè)
信息安全專題介紹_第4頁(yè)
信息安全專題介紹_第5頁(yè)
已閱讀5頁(yè),還剩8頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

信息安全專題介紹一、Radius協(xié)議介紹專題1、Radius協(xié)議基本概念1.1Radius協(xié)議應(yīng)用介紹RADIUS(RemoteAuthenticationDialInUserService遠(yuǎn)程認(rèn)證撥號(hào)用戶服務(wù))是一種在網(wǎng)絡(luò)接入設(shè)備和認(rèn)證服務(wù)器之間承載認(rèn)證授權(quán)計(jì)費(fèi)和配置信息的協(xié)議RADIUS協(xié)議是在認(rèn)證授權(quán)計(jì)費(fèi)方面應(yīng)用最為廣泛的協(xié)議之一具有以下特點(diǎn)1客戶端/服務(wù)器結(jié)構(gòu)2采用共享密鑰保證網(wǎng)絡(luò)傳輸安全性3良好的可擴(kuò)展性4認(rèn)證機(jī)制靈活RADIUS協(xié)議承載于UDP之上官方指定端口號(hào)為認(rèn)證授權(quán)端口1812計(jì)費(fèi)端口1813RADIUS協(xié)議在RFC2865RFC2866中定義CAMS和網(wǎng)絡(luò)接入服務(wù)器之間的通訊采用Radius由于Radius的良好擴(kuò)展性不同的廠家對(duì)Radius作了擴(kuò)展我們公司也對(duì)其進(jìn)行了擴(kuò)展華為Radius+協(xié)議不同公司擴(kuò)展后的協(xié)議不完全兼容在使用時(shí)應(yīng)該注意不同廠家支持的協(xié)議的版本CAMS目前支持Radius標(biāo)準(zhǔn)協(xié)議和華為Radius+協(xié)議1.2Radius協(xié)議結(jié)構(gòu)介紹Radius報(bào)文格式如下圖所示各域內(nèi)容按照從左向右傳送012301234567890123456789012345678901+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|Code|Identifier|Length|+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|Authenticator|||+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|Attributes...+-+-+-+-+-+-+-+-+-+-+-+-+-1.CodeCode域長(zhǎng)度為1個(gè)字節(jié)用于標(biāo)明RADIUS報(bào)文的類型如果Code域中的內(nèi)容是無(wú)效值報(bào)文將被丟棄RADIUSCode域的有效值如下1Access-Request2Access-Accept3Access-Reject4Accounting-Request5Accounting-Response11Access-Challenge12Status-Server(experimental)13Status-Client(experimental)65業(yè)務(wù)修改請(qǐng)求消息66業(yè)務(wù)修改請(qǐng)求回應(yīng)消息67業(yè)務(wù)修改請(qǐng)求回應(yīng)拒絕消息255Reserved其中1213255為保留的Code值一般不會(huì)遇到1234511比較常見分別標(biāo)明報(bào)文類型為認(rèn)證請(qǐng)求認(rèn)證接受認(rèn)證拒絕計(jì)費(fèi)請(qǐng)求計(jì)費(fèi)回應(yīng)計(jì)費(fèi)成功和訪問質(zhì)詢2.Identifier標(biāo)識(shí)域長(zhǎng)度為1個(gè)字節(jié)用于輔助匹配請(qǐng)求和回應(yīng)報(bào)文如果在短時(shí)間內(nèi)RADIUS服務(wù)器收到從相同的源IP相同源端口收到的報(bào)文的標(biāo)識(shí)域的內(nèi)容也相同則認(rèn)為收到的是重復(fù)的請(qǐng)求Length長(zhǎng)度域占兩個(gè)字節(jié)用于指明報(bào)文的有效長(zhǎng)度多出長(zhǎng)度域的字節(jié)被視為填充的字節(jié)在接收時(shí)被忽略如果報(bào)文長(zhǎng)度小于長(zhǎng)度域中的值整個(gè)報(bào)文將被丟棄長(zhǎng)度域的范圍在20和4096之間3.Authenticator認(rèn)證字域長(zhǎng)16個(gè)字節(jié)用于認(rèn)證RadiusClient和Server之間消息的有效性訪問請(qǐng)求Access-Request認(rèn)證字在Access-Request包中認(rèn)證字的值是16字節(jié)隨機(jī)數(shù)認(rèn)證字的值要不能被預(yù)測(cè)并且在一個(gè)共享密鑰的生命期內(nèi)唯一訪問回應(yīng)認(rèn)證字Access-AcceptAccess-Reject和Access-Challenge包中的認(rèn)證字稱為訪問回應(yīng)認(rèn)證字訪問回應(yīng)認(rèn)證字的值定義為MD5(Code+ID+Length+RequestAuth+Attributes+Secret)計(jì)費(fèi)請(qǐng)求Accounting-Request認(rèn)證字在計(jì)費(fèi)請(qǐng)求包中的認(rèn)證字域稱為計(jì)費(fèi)請(qǐng)求認(rèn)證字它是一個(gè)16字節(jié)的MD5校驗(yàn)和計(jì)費(fèi)請(qǐng)求認(rèn)證字的值定義為MD5(Code+Identifier+Length+16zerooctets+requestattributes+sharedsecret)計(jì)費(fèi)回應(yīng)Accounting-Response認(rèn)證字在計(jì)費(fèi)回應(yīng)報(bào)文中的認(rèn)證字域稱為計(jì)費(fèi)回應(yīng)認(rèn)證字它的值定義為MD5(Accounting-ResponseCode+Identifier+Length+theRequestAuthenticatorfieldfromtheAccounting-Requestpacketbeingrepliedto+theresponseattributes+sharedsecret)Attributes屬性012012345678901234567890+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-|Type|Length|Value...+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-屬性域的長(zhǎng)度是可變的它是一個(gè)由業(yè)務(wù)類型必需的屬性和可選屬性組成的屬性鏈一個(gè)屬性包含如下三個(gè)部分4.Type類型域長(zhǎng)度為一個(gè)字節(jié)RADIUS服務(wù)器和客戶端當(dāng)遇到不可識(shí)別的屬性時(shí)可以將其忽略常用的屬性類型請(qǐng)參見RFC2865RFC28665.Length長(zhǎng)度域長(zhǎng)度為一個(gè)字節(jié)指明了一個(gè)屬性的類型長(zhǎng)度和值域的總長(zhǎng)度如果在認(rèn)證請(qǐng)求報(bào)文中攜帶有屬性長(zhǎng)度非法的屬性則必須回應(yīng)訪問拒絕報(bào)文如果在訪問回應(yīng)報(bào)文中存在非法的屬性長(zhǎng)度這個(gè)報(bào)文必須被直接丟棄或被認(rèn)為是訪問拒絕報(bào)文6.Value值域由零或多個(gè)字節(jié)組成包含詳細(xì)的屬性信息它的格式由屬性的長(zhǎng)度和類型域決定注意RADIUS中沒有一個(gè)類型的值域是以NULL(hex00)結(jié)尾的也就是說值域中是沒有結(jié)束符的服務(wù)器和客戶端需要能夠處理內(nèi)嵌的NULL值域的數(shù)據(jù)類型是下列5種類型之一text類型是string類型的子集text1-253字節(jié)長(zhǎng)string1-253字節(jié)長(zhǎng)可以包含二進(jìn)制數(shù)據(jù)address4字節(jié)高位在前integer4字節(jié)無(wú)符號(hào)數(shù)高位在前time4字節(jié)無(wú)符號(hào)數(shù)高位在前表示從1970年1月1日零點(diǎn)零時(shí)零秒到現(xiàn)在的秒數(shù)屬性可以有多個(gè)實(shí)例相同類型的屬性實(shí)例的順序不能被改變不同屬性類型的屬性實(shí)例順序可以改變標(biāo)準(zhǔn)屬性具體說明請(qǐng)參考RFC2865RFC2866同時(shí)各公司在標(biāo)準(zhǔn)屬性基礎(chǔ)上又?jǐn)U展了自己的屬性比如我司的RADIUS+具體屬性定義請(qǐng)參見相應(yīng)的協(xié)議擴(kuò)展2、常用Radius協(xié)議屬性2.1標(biāo)準(zhǔn)Radius屬性介紹Radius報(bào)文所攜帶的屬性以TypeLengthValue三元組的形式出現(xiàn)其中Type表示該屬性的屬性號(hào)占一個(gè)字節(jié)Length表示該屬性的總長(zhǎng)度TypeLengthValue加在一起的長(zhǎng)度占一個(gè)字節(jié)Value表示該屬性的值長(zhǎng)度為0-253一個(gè)屬性的值可以為下面四種類型中的一種String類型0-253個(gè)字節(jié)Address類型4字節(jié)Integer類型4字節(jié)Time類型4字節(jié)全部的屬性定義參見附錄下面介紹幾個(gè)常用的標(biāo)準(zhǔn)屬性1User-Name該屬性指定了要進(jìn)行認(rèn)證的用戶名TypeLengthValue1>3String類型內(nèi)容可以是簡(jiǎn)單的字符也可以形如abc@帶網(wǎng)絡(luò)域名2User-Password該屬性指定了要認(rèn)證的用戶的口令用戶口令加密后存放在該屬性中TypeLengthValue2大于17并且小于131String類型加密后的口令存放在這里長(zhǎng)度至少為16個(gè)字節(jié)至多為128個(gè)字節(jié)3NAS-IP-Address該屬性指明了發(fā)起認(rèn)證請(qǐng)求的設(shè)備的IP地址TypeLengthValue46Address類型4字節(jié)的IP地址4Vendor-Specific該屬性用于攜帶各廠商自己擴(kuò)展的屬性TypeLengthValue26>=7各廠商自己擴(kuò)展的屬性各廠商自己擴(kuò)展的屬性按照如下的格式填寫在Value域中Value域的內(nèi)容Vendor-IdVendorTypeVendorLengthVendorValue4字節(jié)指明廠商Id1字節(jié)廠商自己擴(kuò)展的屬性號(hào)1字節(jié)該擴(kuò)展屬性的長(zhǎng)度該擴(kuò)展屬性的值每個(gè)廠商可以有多個(gè)擴(kuò)展屬性按照格式VendorTypeVendorLengthVendorValue一起存放在Vendor-Specific屬性的Value域中但是Value域中的總長(zhǎng)度不能超過253個(gè)字節(jié)也可以以多個(gè)Vendor-Specific屬性的形式出現(xiàn)在Radius報(bào)文中每個(gè)Vendor-Specific屬性的Value域攜帶一個(gè)或多個(gè)擴(kuò)展屬性5Session-Timeout該屬性指明允許用戶使用的最大時(shí)長(zhǎng)TypeLengthValue276Integer類型4字節(jié)無(wú)符號(hào)整數(shù)指明用戶使用的最大秒數(shù)6Acct-Status-Type該屬性指明計(jì)費(fèi)報(bào)文的類型TypeLengthValue406Integer類型4字節(jié)無(wú)符號(hào)整數(shù)該屬性出現(xiàn)在計(jì)費(fèi)報(bào)文中不同的取值標(biāo)志出不同的意義1---表示計(jì)費(fèi)開始報(bào)文2---表示計(jì)費(fèi)結(jié)束報(bào)文3---表示計(jì)費(fèi)更新報(bào)文3---表示Alive報(bào)文7---表示Accounting-On報(bào)文2.2擴(kuò)展Radius屬性介紹隨著業(yè)務(wù)的不斷發(fā)展大多數(shù)廠商都會(huì)對(duì)Radius屬性進(jìn)行擴(kuò)展以滿足自己的需要華為公司為了統(tǒng)一寬帶各產(chǎn)品的協(xié)議標(biāo)準(zhǔn)也對(duì)Radius屬性進(jìn)行了擴(kuò)展根據(jù)標(biāo)準(zhǔn)協(xié)議規(guī)定各廠商自己擴(kuò)展的屬性用標(biāo)準(zhǔn)屬性Vendor-Specific26號(hào)屬性的Value域來(lái)攜帶格式如下面的描述屬性Vendor-Specific以TypeLengthValue的形式出現(xiàn)在Radius報(bào)文中各廠商自己擴(kuò)展的屬性有兩種方式填在上述的Value域中1Radius報(bào)文中只有一個(gè)Vendor-Specific屬性所有擴(kuò)展屬性都填在該屬性的Value域中擴(kuò)展屬性的格式如下Vendor-Id|VendorType1|VendorLength1|VendorValue1|VendorType2|VendorLength2|VendorValue2|…+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|Vendor-Id|VendorType1|VendorLength1|VendorValue1|+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|VendorType2|VendorLength2|VendorValue2|+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+其中Vendor-Id為該廠商的唯一標(biāo)志華為公司為2011VendorTypenVendorLengthnVendorValuen表示擴(kuò)展屬性n但是Value域的總長(zhǎng)度不能超過253字節(jié)2Radius報(bào)文中有多個(gè)Vendor-Specific屬性每個(gè)屬性的Value域中攜帶一個(gè)或多個(gè)擴(kuò)展屬性格式同1所述+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|Vendor-Id|VendorType1|VendorLength1|VendorValue1|+-+-+-+-+-+-+-+-+-+-+-+-+-

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論