RADIUS协议介绍及应用.doc

RADIUS协议介绍及应用编者：尚森审核：王高原中兴通讯固网交换用服部修改记录文档 编号版本号拟制人/修改人审核人拟制/修改 日期更改理山主要更改内容（写要点即可）无V1.00尚森王高原2008-3-508年文档修订初稿生成第1章RADIUS的协议介绍 11.1 Raduis协议介绍 11.2 Radius协议结构 21.3 Radius消息交互流程 3第2章RADIUS在SS上的应用 4第1章Radius的协议介绍1-1 Raduis协议介绍Radius （remote authentication dial in user service,远程用户拨号认证系统）由 rfc2865, rfc2866 定义，是目前应用最广泛的“aa协议radius协议最初是由livingston公司提出的，原先的目的是为拨号用户进行认证和计费后 来经过多次改进，形成了一项通用的认证计费协议radius是一种c/s结构的协议,它的客八端最初就是nas （net access server）服务器,现在任 何运行radius客户端软件的计算机都可以成为radius的客户端radius协议认证机制灵活，可以 采用pap、chap或者unix登录认证等多种方式。

radius是一种可扩展的协议，它进行的全部T作 都是基于attribute-length-value的向量进行的nulius也支持丿商扩充丿家专有属性radius的基木丁•作原理用八接入nas, nas向radius服务器使用access-require数据包提交用 户信息，包括用户名、密码等相关信息，其中用户密码是经过md5加密的，双方使用共享密钥， 这个密钥不经过网络传播；radius服务器对用户名和密码的合法性进行检验，必要时可以提出一 个challenge,要求进一步对用八认证，也可以对nas进行类似的认证；如果合法，给nas返冋 access-accept数据包，允许用户进彳亍下一步工作，否则返冋access-reject数据包，拒绝用户访问； 如果允许访问，nas向radius服务器提出计费请求account- require, radius服务器响K'Zaccount-accept, 对用户的计费开始，同时用户可以进行a己的相关操作radius还支持代理和漫游功能简单地说，代理就是一台服务器，可以作为其他radius服务 器的代理，负责转发radius认证和计费数据包所谓漫游功能，就是代理的一个具体实现，这样 可以让用户通过木来和其无关的radius服务器进行认证，用户到非归属运营商所在地也可以得到 服务，也可以实现虚拟运营。

radius服务器和nas服务器通过udp协议进行通信，radius服务器的1812端口负责认证，⑻3 端口负责计费丁•作采用udp的基木考虑是因为nas和radius服务器大多在同一个局域网中，使 用udp更加快捷方便radius协议还规定了重传机制如果nas向某个radius服务器提交请求没有收到返冋信息，那 么可以要求备份radius服务髀重传由于有多个备份radius服务器，因此nas进行重传的时候， 可以采用轮询的方法如果备份radius服务器的密钥和以前radius服务器的密钥不同，则需要重 新进行认证由于radius协议简单明确，可扩充，因此得到了广泛应用，包括普通上网、adsl ±网、 小区宽带上网、ip、vpdn （virtual private dialup networks,基于拨号用八的虚拟专用拨号网业 务）、移动预付费等业务最近ieee提出了 802.lx标准，这是一种基于端口的标准，用于对 无线网络的接入认证，在认证时也采用radius协议1 -2 Radius协议结构RADIUS数据格式的概况如下所示各个域的数据是从左向右传输的•••0-1,2

当收到的包的编码域非法时，该数据 包将会被自动丢弃宽带公用系统中使用的RADIUS编码如下（M强制，0可选）：表1-1 RADIUS编円编号M/O值描述1MAccess-Request用户验证身份2MAccess-Accept用户验证通过3MAccess-Reject用户验证拒绝4MAccounling-Requesl计费请求5MAccounting-Response计费响应2. 标识符标识符域是一个八位字节，用于请求和应答的匹配如果请求包具有相同的源ip地址、源 UDP端口号，并且在很短的一段时问内出现了相同的标识符，公话服务器就可以检测到重复的请 求3. 长度长度域占有两个八位的字节它表明了该包所包含的编码、标识符、长度、鉴权码以及属性域的总长度在长度域限定的范围Z外的八位字节必须作为填充字节，在接收时不予处理如果包的实际长度小于长度域中给出的值，该包必须被直接丢弃包的最小长度是20,最大长度是4095 o4. 鉴权码鉴权码域占有16个八位的字节该域的值用來鉴权软交换、客户端和公话服务器Z间的信息 服务器使用RADIUS的UDP数据包中的源IP以便知道该选择哪个共享密钥1.3 Radius消息交互流程radius服务器对用户的认证过程通常需要利用nas等设备的代理认证功能，radius客户端和 radius服务器Z间通过共享密钥认证相互间交互的消息，用户密码采用密文方式在网络上传输， 增强了安全性。

radius协议合并了认证和授权过程，即响应报文中携带了授权信息基木交互步骤如下：1. 用户输入用户名和口令；2. radius客户端根据获取的用户名和口令，向radius服务器发送认证请求包(access-request )03・radius服务器将该用户信息与users数据库信息进行对比分析，如果认证成功，贝U将用 户的权限信息以认证响应包(access・accept)发送给radius客户端；如果认证失败，则 返冋access-reject响应包4. radius客户端根据接收到的认证结果接入/拒绝用户如果可以接入用户，则radius客 户端向radius服务器发送计费开始请求包,(accounting-request), status-type取值为start5. radius服务器返冋计费开始响应包(accoun(ing・response)；6. radius客户端向radius服务器发送计费停止请求包(accounling・request), status-type取 值为stop；7. radius服务器返冋计费结束响应包(accoun(ing・response)第2章Radius在ss上的应用宽带公用系统由软交换、公话服务器、营业座席、管理座席、iad m成。

既可以只设一 个公话服务器，也可以设多个公话服务器一个服务器可以管理一个以上的地方服务器与SSZ间采用Radius协议，认证端口为1812,计费端口 1813服务器与营业朋席、管理朋席之间的通信协议仿造Radius协议，增加自定义属性，公话服务 器端口为9812,营业座席端口为9813,管理专席端口为9814SoftSwitch Radius认证模块将拨入用户的认证信息(主叫号码、被叫号码、记帐卡号、密码 等)封装成Radius协议规定的格式，发送到计费/认证中心的RADIUS服务器认证，若认证通过, 则将Radius服务器返冋的授权信息组织成可识别的形式，提供给相应的模块使用Radius Server 返冋"认证确认”(Access-Accept)或“认证拒绝v (Access-Reject)消息如果是记帐卡业务， 则还应返回最大可通话时长Soft Switch Radius计费模块将拨入用户的记帐信息(记帐卡号、上线时间、数据流量等)封 装成Radius协议规定的格式，发送到RADIUS服务器用于完成对用户计费Soft Switch Radius认证和计费模块还提供了失败重发以及可以使用多个备用Radius服务器， 文件配置初试信息，同时使用多个不同类型AAA服务器的功能。

宽带公话模块架构如下：图2-1宽带公话模块架构在软交换上需要配置的数据：认证服务器：IP地址、端口、密钥等 计费服务器：IP地址、端口、密钥等 设置公话用户：设置预付费属性ZTE中兴内部RADIUS协议简介及应用公开▲ZTE中兴内部RADIUS协议简介及应用公开▲ZTE中兴内部RADIUS协议简介及应用公开▲。