1、radius协议一、 概述:RADIUS协议包括RADIUS AUTHENTICATION PROTOCOL 和 RADIUS ACCOUNTING PROTOCOL 两部分。RADIUS AUTHENTICATION PROTOCOL 完成拨号用户的认证工作,而RADIUS ACCOUNTING PROTOCOL 则完成用户服务的计费任务。事实上,为了更好地向分散的众多接入用户提供互联网服务,必须对接入服务提供有效的管理支持。它需要对安全,配置,计费等提供支持,这可以通过对一个用户数据库的管理来达到, 这个数据库包括认证信息,及细化的服务配置信息和计费信息。通常这个数据库的维护管理,对用户信
2、息的核实及配置有一个单独的实体完成,这个实体就是RADIUS server。由于这些管理信息的众多与繁杂,通常RADIUS server放在一个独立的计算机上,而为了向RADIUS server取得服务,必须首先构建一个RADIUS client,通常RADIUS client 位于Network Access Server(NAS,网络接入设备)上。下图示例了这些实体之间的关系:用户ARADIUSSERVER(AAA)用户N用户BRADIUSCLIENT(NAS)INTERNET二、 RADIUS认证协议格式:1、RADIUS AUTHENTICATION PROTOCOL 包格式 下面是协
3、议报文格式:LENGTHIDENTIFIER CODE AUTHENTICATOR ATTRIBUTES CODE域可以包括如下一些值;1 Access-Request2 Access-Accept3 Access-Reject4 Accounting-Request5 Accounting-Response11 Access-Challenge12 Status-Server13 Status-Client255 Reserved其中,CODE 1,2,3,11值为RADIUS AUTHENTICATION PROTOCOL使用,而CODE 4,5值为RADIUS ACCOUNTING PR
4、OTOCOL使用。其余未用或保留。CODE占一个字节IDENTIFIER占一个字节,用于匹配请求和应答。LENGTH 占二个字节,是整个数据报的长度,包括CODE+IDENTIFIER+LENGTH +AUTHENTICATOR+ATTRIBUTES的所有长度。AUTHENTICATOR 是16字节的随机数,高位在先,此域用于认证答复和加密口令字。ATTRIBUTES是若干属性状态的集合,其长度是不确定的,不同的CODE值可以跟随不同的属性值。下表是一个总结: RequestAcceptRejectChallenge#Attribute10001User-Name0-10002User-Pas
5、sword0-10003CHAP-Password0-10004NAS-IP-Address0-10005NAS-Port0-10-1006Service-Type0-10-1007Framed-Protocol0-10-1008Framed-IP-Address0-10-1009Framed-IP-Net mask00-10010Framed-Routing00+0011Filter-Id00-10012Framed-MTU0+0+0013Framed-Compression0+0+0014Login-IP-Host00-10015Login-Service00-10016Login-TCP
6、-Port00+0+0+18Reply-Message0-10-10019Callback-Number00-10020Callback-Id00+0022Framed-Route00-10023Framed-IPX-Network0-10-100-124State00+0025Class0+0+00+26Vendor-Specific00-100-127Session-Timeout00-100-128Idle-Timeout00-10029Termination-Action0-100030Called-Station-Id0-100031Calling-Station-Id0-10003
7、2NAS-Identifier0+0+0+0+33Proxy-State0-10-10034Login-LAT-Service0-10-10035Login-LAT-Node0-10-10036Login-LAT-Group00-10037Framed-AppleTalk-Link00+0038Framed-AppleTalk-Network00-10039Framed-AppleTalk-Zone0-10-0060CHAP-Challenge0-100061NAS-Port-Type0-10-10062Port-Limit0-10-10063Login-LAT-Port 表中,0表示在此类型
8、包中,不可以跟随此属性状态; 1表示在此类型包中,只有一个此属性状态可跟随; 0+表示在此类型包中,0个或多个此属性状态可跟随; 0-1表示在此类型包中,0个或1个此属性状态可跟随;2、RADIUS AUTHENTICATION PROTOCOL ACCESS-REQUEST 下面是ACCESS-REQUEST包格式:LENGTHIDENTIFIER CODE REQUEST-AUTHENTICATOR ATTRIBUTES 其中,CODE=1;CODE占一个字节IDENTIFIER占一个字节,用于匹配请求和应答。LENGTH 占二个字节,是整个数据报的长度,包括CODE+IDENTIFIER
9、+LENGTH +REQUEST-AUTHENTICATOR+ATTRIBUTES的所有长度。REQUEST-AUTHENTICATOR 是16字节的随机数,高位在先,此域用于认证答复和加密口令字。ATTRIBUTES是若干属性状态的集合。参考上表。 3、RADIUS AUTHENTICATION PROTOCOL ACCESS-ACCEPT 下面是ACCESS-ACCEPT包格式:LENGTHIDENTIFIER CODE RESPONSE-AUTHENTICATOR ATTRIBUTES 其中,CODE=2;CODE占一个字节IDENTIFIER占一个字节,用于匹配请求和应答。LENGTH
10、 占二个字节,是整个数据报的长度,包括CODE+IDENTIFIER+LENGTH +RESPONSE-AUTHENTICATOR+ATTRIBUTES的所有长度。RESPONSE-AUTHENTICATOR 是由REQUEST-AUTHENTICATOR计算得出,高位在先。ATTRIBUTES是若干属性状态的集合。参考上表。 4、RADIUS AUTHENTICATION PROTOCOL ACCESS-REJECT 下面是ACCESS-REJECT包格式:LENGTHIDENTIFIER CODE RESPONSE-AUTHENTICATOR ATTRIBUTES 其中,CODE=3;CO
11、DE占一个字节IDENTIFIER占一个字节,用于匹配请求和应答。LENGTH 占二个字节,是整个数据报的长度,包括CODE+IDENTIFIER+LENGTH +RESPONSE-AUTHENTICATOR+ATTRIBUTES的所有长度。RESPONSE-AUTHENTICATOR 是由REQUEST-AUTHENTICATOR计算得出,高位在先。ATTRIBUTES是若干属性状态的集合。参考上表。 5、RADIUS AUTHENTICATION PROTOCOL ACCESS-CHALLENGE 下面是ACCESS-CHALLENGE包格式:LENGTHIDENTIFIER CODE R
12、ESPONSE-AUTHENTICATOR ATTRIBUTES 其中,CODE=11;CODE占一个字节IDENTIFIER占一个字节,用于匹配请求和应答。LENGTH 占二个字节,是整个数据报的长度,包括CODE+IDENTIFIER+LENGTH +RESPONSE-AUTHENTICATOR+ATTRIBUTES的所有长度。RESPONSE-AUTHENTICATOR 是由REQUEST-AUTHENTICATOR计算得出,高位在先。ATTRIBUTES是若干属性状态的集合。参考上表。 6、RADIUS AUTHENTICATION PROTOCOL ATTRIBUTES 下面是属性状
13、态的包格式:VALUE TYPE占一个字节,表示属性状态的类型,、; LENGTH占一个字节,表示属性长度,包括TYPE+LENGTH+VALUE; VALUE长度不定,由类型确定。 下面是所有TYPE的集合描述: 1 User-Name 2 User-Password 3 CHAP-Password 4 NAS-IP-Address 5 NAS-Port 6 Service-Type 7 Framed-Protocol 8 Framed-IP-Address 9 Framed-IP-Netmask 10 Framed-Routing 11 Filter-Id 12 Framed-MTU 13
14、 Framed-Compression 14 Login-IP-Host 15 Login-Service 16 Login-TCP-Port 17 (unassigned) 18 Reply-Message 19 Callback-Number 20 Callback-Id 21 (unassigned) 22 Framed-Route 23 Framed-IPX-Network 24 State 25 Class 26 Vendor-Specific 27 Session-Timeout 28 Idle-Timeout 29 Termination-Action 30 Called-Sta
15、tion-Id 31 Calling-Station-Id 32 NAS-Identifier 33 Proxy-State 34 Login-LAT-Service 35 Login-LAT-Node 36 Login-LAT-Group 37 Framed-AppleTalk-Link 38 Framed-AppleTalk-Network 39 Framed-AppleTalk-Zone 40-59 (reserved for accounting) 60 CHAP-Challenge 61 NAS-Port-Type 62 Port-Limit63 Login-LAT-Port7、单个
16、 ATTRIBUTES介绍由于ATTRIBUTES多达40多个,不可能一一介绍。这里选择几个重要且常用的作简单介绍,其余可参照RFC文档。USER-NAME属性状态:格式:STRING TYPE=1,表示USER-NAME属性状态; LENGTH,表示整个属性状态长度,大于3; STRING,是名字字符串,可以为如下几种形式: 简单数字字符串,用于本地管理NAS; 简单可打印字符串; SMTP地址格式,如:name ANS.1名字:以ANS.标准出现的名字。USER-PASSWORD属性状态:格式:STRING TYPE=2,表示USER-PASSWORD属性状态; LENGTH,表示整个属性
17、状态长度,大于18小于30; STRING,是加密后的MD5摘要字符串。计算方法如下; 假设S表示共享密码,RA表示REQUEST-AUTHENTICATOR,而口令被分为16位BITS的快,p1,P2,等等。则:b1 = MD5(S + RA) c(1) = p1 xor b1b2 = MD5(S + c(1) c(2) = p2 xor b2 . . . . . .bi = MD5(S + c(i-1) c(i) = pi xor bi STRING = c(1)+c(2)+ c(i) NAS-IP-ADDRESS属性状态:格式:ADDRESSADDRESS TYPE=4,表示NAS-IP
18、-ADDRESS属性状态; LENGTH,表示整个属性状态长度,6个字节; ADDRESS,表示IP地址,4字节。NAS-PORT属性状态:格式:PORTPORT TYPE=5,表示NAS-PORT属性状态; LENGTH,表示整个属性状态长度,6个字节; PORT,表示PORT号码,4字节,0-65535。SEVICE-TYPE属性状态:格式:VALUEVALUE TYPE=6,表示SEVICE-TYPE属性状态; LENGTH,表示整个属性状态长度,6个字节; VALUE,表示服务属性,4字节,有如下一些取值:1 Login2 Framed3 Callback Login4 Callbac
19、k Framed5 Outbound6 Administrative7 NAS Prompt8 Authenticate Only9 Callback NAS PromptFRAMED-PROTOCOL属性状态:格式:VALUEVALUE TYPE=7,表示FRAMED-PROTOCOL属性状态; LENGTH,表示整个属性状态长度,6个字节; VALUE,表示协议属性,4字节,有如下一些取值:1 PPP2 SLIP3 AppleTalk Remote Access Protocol (ARAP)4 Gandalf proprietary SingleLink/MultiLink protoc
20、ol5 Xylogics proprietary IPX/SLIP三、 RADIUS计费协议格式:1、RADIUS ACCOUNTING PROTOCOL 包格式 下面是协议报文格式:LENGTHIDENTIFIER CODE AUTHENTICATOR ATTRIBUTES CODE域可以包括如下一些值;4 Accounting-Request5 Accounting-ResponseIDENTIFIER占一个字节,用于匹配请求和应答。LENGTH 占二个字节,是整个数据报的长度,包括CODE+IDENTIFIER+LENGTH +AUTHENTICATOR+ATTRIBUTES的所有长度。
21、AUTHENTICATOR 是16字节的随机数,高位在先,此域用于认证答复和加密口令字。ATTRIBUTES是若干属性状态的集合,其长度是不确定的。不同的CODE值可以跟随不同的属性值。下表是一个总结:RequestResponse#Attribute0-101User-Name002User-Password003CHAP-Password0-104NAS-IP-Address0-105NAS-Port0-106Service-Type0-107Framed-Protocol0-108Framed-IP-Address0-109Framed-IP-Net mask0-1010Framed-R
22、outing0+011Filter-Id0-1012Framed-MTU0+013Framed-Compression0+014Login-IP-Host0-1015Login-Service0-1016Login-TCP-Port0018Reply-Message0-1019Callback-Number0-1020Callback-Id0+022Framed-Route0-1023Framed-IPX-Network0024State0+025Class0+0+26Vendor-Specific0-1027Session-Timeout0-1028Idle-Timeout0-1029Ter
23、mination-Action0-1030Called-Station-Id0-1031Calling-Station-Id0-1032NAS-Identifier0+0+33Proxy-State0-1034Login-LAT-Service0-1035Login-LAT-Node0-1036Login-LAT-Group0-1037Framed-AppleTalk-Link0-1038Framed-AppleTalk-Network0-1039Framed-AppleTalk-Zone1040Acct-Status-Type0-1041Acct-Delay-Time0-1042Acct-I
24、nput-Octets0-1043Acct-Output-Octets1044Acct-Session-Id0-1045Acct-Authentic0-1046Acct-Session-Time0-1047Acct-Input-Packets0-1048Acct-Output-Packets0-1049Acct-Terminate-Cause0+050Acct-Multi-Session-Id0+051Acct-Link-Count0060CHAP-Challenge0-1061NAS-Port-Type0-1062Port-Limit0-1063Login-LAT-Port表中,0表示在此类
25、型包中,不可以跟随此属性状态; 1表示在此类型包中,只有一个此属性状态可跟随; 0+表示在此类型包中,0个或多个此属性状态可跟随; 0-1表示在此类型包中,0个或1个此属性状态可跟随;2、RADIUS ACCOUNTING PROTOCOL ACCOUNTING-REQUEST 下面是ACCOUNTINGREQUEST包格式:LENGTHIDENTIFIER CODE REQUEST-AUTHENTICATOR ATTRIBUTES 其中,CODE=4;CODE占一个字节IDENTIFIER占一个字节,用于匹配请求和应答。LENGTH 占二个字节,是整个数据报的长度,包括CODE+IDENTI
26、FIER+LENGTH +REQUEST-AUTHENTICATOR+ATTRIBUTES的所有长度。REQUEST-AUTHENTICATOR 是16字节的MD5 HASH结果值,高位在先。ATTRIBUTES是若干属性状态的集合。参考上表。 3、RADIUS ACCOUNTING PROTOCOL ACCOUNTING-RESPONSE 下面是ACCOUNTINGRESPONSE包格式:LENGTHIDENTIFIER CODE RESPONSE-AUTHENTICATOR ATTRIBUTES 其中,CODE=5;CODE占一个字节IDENTIFIER占一个字节,用于匹配请求和应答。LE
27、NGTH 占二个字节,是整个数据报的长度,包括CODE+IDENTIFIER+LENGTH +RESPONSE-AUTHENTICATOR+ATTRIBUTES的所有长度。REQUEST-AUTHENTICATOR 是16字节的MD5 HASH结果值,高位在先。ATTRIBUTES是若干属性状态的集合。参考上表。 4、RADIUS ACCOUNTING PROTOCOL ATTRIBUTES 下面是属性状态的包格式:VALUE TYPE占一个字节,表示属性状态的类型,、; LENGTH占一个字节,表示属性长度,包括TYPE+LENGTH+VALUE; VALUE长度不定,由类型确定。 下面是所有TYPE的集合描述:40 Acct-Status-Type41 Acct-Delay-Time 42 Acct-Input-Octets 43 Acct-Output-Octets 44 Acct-Session-
copyright@ 2008-2023 冰点文库 网站版权所有
经营许可证编号:鄂ICP备19020893号-2