RADIUS协议的原理与应用讲义全

1、RADIUS协议的原理与应用目 录培训目标2前言21 RADIUS协议介绍22 RADIUS协议报文结构32.1 Radius协议报文格式32.2 Code域32.3 Identifier域42.4 Length域42.5 Authenticator42.6 Attributes域52.6.1 Type域52.6.2 Length域52.6.3 Value域62.6.4常用属性类型列表63 NAS设备RADIUS部分配置举例84 RADIUS系统下用户认证过程94.1 报文1：EAPOL-Start94.2 报文2：EAP-Request/Identity104.3 报文3：EAP-Response/Identity104.4 报文4：RADIUS Access-Request114.5 报文5：RADIUS Access-Challenge124.6 报文6：EAP-Request/MD5-Challenge134.7 报文7：EAP-Response/MD5-Challenge144.8 报文8：RADIUS Access-Request144.9 报文9：RADIUS Acces

2、s-Accept154.10 报文10：EAP-Success164.11 报文11：RADIUS Accounting-Request174.12 报文12：RADIUS Accounting-Response184.13 报文13：EAPOL-Logoff184.14 报文14：RADIUS Accounting-Request194.15 报文15：RADIUS Accounting-Response204.16 报文16：EAP-Failure21 / 培训目标l 了解RADIUS协议基本概念；l 熟悉RADIUS协议报文结构；l 熟悉RADIUS协议工作原理；前言企业要求只有授权的用户才能访问自己的部网络，教育网采取根据流量计费的策略，VOD系统根据点播的时间收费等等。这些最常见的网络应用却面临一个同样的问题：如何对用户进行认证和计费？一种常见的认证计费方法RADIUS协议会帮助我们解决这些问题。RADIUS是目前最常用的认证计费协议之一，它简单安全，易于管理，扩展性好，所以得到广泛应用。1 RADIUS协议简介RADIUS ( Remote Authentication D

3、ial In User Service )是远程认证拨号用户服务的简称。RADIUS原先设计的目的是为拨号用户进行认证和计费。后来经过多次改进，形成了一项通用的认证计费协议，主要完成在网络接入设备和认证服务器之间承载认证、授权、计费和配置信息。RADIUS是一种C/S结构的协议，它的客户端最初就是NAS服务器，现在任何运行RADIUS客户端软件的计算机都可以成为RADIUS的客户端。RADIUS基本原理：用户接入NAS，NAS向RADIUS服务器使用Access-Request数据包提交用户信息，包括用户名、密码等相关信息，其中用户密码是经过MD5加密的，双方使用共享密钥，这个密钥不经过网络传播；RADIUS服务器对用户名和密码的合法性进行检验，必要时可以提出一个Challenge，要求进一步对用户认证，也可以对NAS进行类似的认证；如果合法，给NAS返回Access-Accept数据包，允许用户进行下一步工作，否则返回Access-Reject数据包，拒绝用户访问；如果允许访问，NAS向RADIUS服务器提出计费请求Account-Request，RADIUS服务器响应Account

4、-Accept，对用户开始计费，同时用户可以进行自己的相关操作。RADIUS协议具有以下特点：l 客户端/服务器结构；l 采用共享密钥保证网络传输安全性；l 良好的可扩展性；l 认证机制灵活；RADIUS 协议承载于UDP 之上，官方指定端口号为认证授权端口1812、计费端口1813。RADIUS协议在RFC2865、RFC2866 中定义。锐捷网络RG-SAM系统和NAS之间的通讯采用RADIUS协议。由于RADIUS协议的良好扩展性,很多厂家对RADIUS作了扩展，我们公司也对其进行了扩展。使用时我们应该注意不同公司对RADIUS协议扩展部分不能完全兼容。2 RADIUS协议报文结构2.1 Radius协议报文格式RADIUS报文格式如下图所示，各域容按照从左向右传送0 1 2 30 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| Code | Identifier | Len

5、gth |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| Authenticator |+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+| Attributes .+-+-+-+-+-+-+-+-+-+-+-+-+-2.2 Code域Code域长度为1个字节，用于标明RADIUS报文的类型，如果Code域中的容是无效值，报文将被丢弃RADIUS Code域的有效值如下：Code=1 Access-RequestCode=2 Access-AcceptCode=3 Access-RejectCode=4 Accounting-RequestCode=5 Accounting-ResponseCode=11 Access-ChallengeCode=12 Status-Server (experimental)Code=13 Status-Client (experimental)Code=65 业务修改请求消息Code=6

6、6 业务修改请求回应消息Code=67 业务修改请求回应拒绝消息Code=255 Reserved其中12 13 255 为保留的Code值一般不会遇到，1 2 3 4 5 11比较常见，分别标明报文类型为认证请求、认证接受、认证拒绝、计费请求、计费回应、计费成功和访问质询。2.3 Identifier域Identifier域长度为1个字节，用于匹配请求的回应。如果在短时间RADIUS服务器收到从一样的源IP，一样源端口，一样标识域的报文，则认为收到的是重复的请求。2.4 Length域Length域占两个字节，用于指明报文的有效长度，多出长度域的字节部分将被视为填充。在接收时被忽略。如果报文长度小于长度域中的值，整个报文将被丢弃。长度域的围在20和4096之间。2.5 Authenticator认证字域占用16个字节，用于Radius Client 和Server之间消息认证的有效性，和密码隐藏算法。访问请求Access-Request报文中的认证字的值是16字节随机数，认证字的值要不能被预测并且在一个共享密钥的生命期唯一。访问请求Access-Request认证字在Access-R

7、equest包中认证字的值是16字节随机数,认证字的值要不能被预测,并且在一个共享密钥的生命期唯一；访问回应认证字Access-Accept Access-Reject 和Access-Challenge包中的认证字称为访问回应认证字，访问回应认证字的值定义为MD5(Code+ID+Length+RequestAuth+Attributes+Secret)；计费请求Accounting-Request认证字在计费请求包中的认证字域称为计费请求认证字，它是一个16字节的MD5校验和，计费请求认证字的值定义为MD5(Code + Identifier + Length + 16 zero octets + request attributes +shared secret)；计费回应Accounting-Response认证字在计费回应报文中的认证字域称为计费回应认证字，它的值定义为MD5(Accounting-Response Code + Identifier + Length + the RequestAuthenticator field from the Accounting-R

8、equest packet being replied to +the response attributes + shared secret)；2.6 Attributes域0 1 20 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-| Type | Length | Value .+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-属性域的长度是可变的，它是一个由业务类型必需的属性和可选属性组成的属性链。一个属性包含如下三个部分：2.6.1 Type域类型域长度为一个字节，RADIUS服务器和客户端当遇到不可识别的属性时，可以将其忽略。常用的属性类型请参见RFC2865 RFC2866；2.6.2 Length域长度域长度为一个字节，指明了一个属性的类型、长度和值域的总长度。如果在认证请求报文中携带有属性长度非法的属性，则必须回应访问拒绝报文；如果在访问回应报文中存在非法的属性长度，这个报文必须被直接丢弃或被认为是访问拒绝报文。

9、2.6.3 Value域值域由零或多个字节组成包，含详细的属性信息，它的格式由属性的长度和类型域决定。注意RADIUS 中没有一个类型的值域是以NULL(hex 00)结尾，的也就是说值域中是没有结束符的，服务器和客户端需要能够处理嵌的NULL。值域的数据类型是下列5 种类型之一。“text”类型是“string”类型的子集：text 1-253 字节长string 1-253 字节长可以包含二进制数据address 4 字节高位在前integer 4 字节无符号数高位在前time 4 字节无符号数高位在前表示从1970 年1 月1 日零点零时零秒到现在的秒数2.6.4常用属性类型列表l Type=1 用户名 User-Namel Type=2 用户密码 User-Passwordl Type=3 CHAP密码 CHAP-Passwordl Type=4 NAS IP地址 NAS-IP-Addressl Type=5 NAS端口 NAS-Portl Type=6 服务类型 Service-Typel Type=7 帧协议 Framed-Protocoll Type=8 分帧IP地址配置 Framed-IP-Addressl Type=9 IP网络掩码配置 Framed-IP-Netmask

《RADIUS协议的原理与应用讲义全》由会员pu****.1分享，可在线阅读，更多相关《RADIUS协议的原理与应用讲义全》请在金锄头文库上搜索。