radius协议.docx

1、radius协议一、 概述：RADIUS协议包括RADIUS AUTHENTICATION PROTOCOL 和 RADIUS ACCOUNTING PROTOCOL 两部分。RADIUS AUTHENTICATION PROTOCOL 完成拨号用户的认证工作，而RADIUS ACCOUNTING PROTOCOL 则完成用户服务的计费任务。事实上，为了更好地向分散的众多接入用户提供互联网服务,必须对接入服务提供有效的管理支持。它需要对安全，配置，计费等提供支持，这可以通过对一个用户数据库的管理来达到， 这个数据库包括认证信息，及细化的服务配置信息和计费信息。通常这个数据库的维护管理，对用户信

2、息的核实及配置有一个单独的实体完成，这个实体就是RADIUS server。由于这些管理信息的众多与繁杂，通常RADIUS server放在一个独立的计算机上，而为了向RADIUS server取得服务，必须首先构建一个RADIUS client，通常RADIUS client 位于Network Access Server（NAS，网络接入设备）上。下图示例了这些实体之间的关系：用户ARADIUSSERVER（AAA）用户N用户BRADIUSCLIENT（NAS）INTERNET二、 RADIUS认证协议格式：1、RADIUS AUTHENTICATION PROTOCOL 包格式 下面是协

3、议报文格式：LENGTHIDENTIFIER CODE AUTHENTICATOR ATTRIBUTES CODE域可以包括如下一些值；1 Access-Request2 Access-Accept3 Access-Reject4 Accounting-Request5 Accounting-Response11 Access-Challenge12 Status-Server13 Status-Client255 Reserved其中，CODE 1，2，3，11值为RADIUS AUTHENTICATION PROTOCOL使用，而CODE 4，5值为RADIUS ACCOUNTING PR

4、OTOCOL使用。其余未用或保留。CODE占一个字节IDENTIFIER占一个字节，用于匹配请求和应答。LENGTH 占二个字节，是整个数据报的长度，包括CODE+IDENTIFIER+LENGTH +AUTHENTICATOR+ATTRIBUTES的所有长度。AUTHENTICATOR 是16字节的随机数，高位在先，此域用于认证答复和加密口令字。ATTRIBUTES是若干属性状态的集合，其长度是不确定的，不同的CODE值可以跟随不同的属性值。下表是一个总结： RequestAcceptRejectChallenge#Attribute10001User-Name0-10002User-Pas

5、sword0-10003CHAP-Password0-10004NAS-IP-Address0-10005NAS-Port0-10-1006Service-Type0-10-1007Framed-Protocol0-10-1008Framed-IP-Address0-10-1009Framed-IP-Net mask00-10010Framed-Routing00+0011Filter-Id00-10012Framed-MTU0+0+0013Framed-Compression0+0+0014Login-IP-Host00-10015Login-Service00-10016Login-TCP

6、-Port00+0+0+18Reply-Message0-10-10019Callback-Number00-10020Callback-Id00+0022Framed-Route00-10023Framed-IPX-Network0-10-100-124State00+0025Class0+0+00+26Vendor-Specific00-100-127Session-Timeout00-100-128Idle-Timeout00-10029Termination-Action0-100030Called-Station-Id0-100031Calling-Station-Id0-10003

7、2NAS-Identifier0+0+0+0+33Proxy-State0-10-10034Login-LAT-Service0-10-10035Login-LAT-Node0-10-10036Login-LAT-Group00-10037Framed-AppleTalk-Link00+0038Framed-AppleTalk-Network00-10039Framed-AppleTalk-Zone0-10-0060CHAP-Challenge0-100061NAS-Port-Type0-10-10062Port-Limit0-10-10063Login-LAT-Port 表中，0表示在此类型

8、包中，不可以跟随此属性状态； 1表示在此类型包中，只有一个此属性状态可跟随； 0+表示在此类型包中，0个或多个此属性状态可跟随； 0-1表示在此类型包中，0个或1个此属性状态可跟随；2、RADIUS AUTHENTICATION PROTOCOL ACCESS-REQUEST 下面是ACCESS-REQUEST包格式：LENGTHIDENTIFIER CODE REQUEST-AUTHENTICATOR ATTRIBUTES 其中，CODE=1；CODE占一个字节IDENTIFIER占一个字节，用于匹配请求和应答。LENGTH 占二个字节，是整个数据报的长度，包括CODE+IDENTIFIER

9、+LENGTH +REQUEST-AUTHENTICATOR+ATTRIBUTES的所有长度。REQUEST-AUTHENTICATOR 是16字节的随机数，高位在先，此域用于认证答复和加密口令字。ATTRIBUTES是若干属性状态的集合。参考上表。 3、RADIUS AUTHENTICATION PROTOCOL ACCESS-ACCEPT 下面是ACCESS-ACCEPT包格式：LENGTHIDENTIFIER CODE RESPONSE-AUTHENTICATOR ATTRIBUTES 其中，CODE=2；CODE占一个字节IDENTIFIER占一个字节，用于匹配请求和应答。LENGTH

10、 占二个字节，是整个数据报的长度，包括CODE+IDENTIFIER+LENGTH +RESPONSE-AUTHENTICATOR+ATTRIBUTES的所有长度。RESPONSE-AUTHENTICATOR 是由REQUEST-AUTHENTICATOR计算得出，高位在先。ATTRIBUTES是若干属性状态的集合。参考上表。 4、RADIUS AUTHENTICATION PROTOCOL ACCESS-REJECT 下面是ACCESS-REJECT包格式：LENGTHIDENTIFIER CODE RESPONSE-AUTHENTICATOR ATTRIBUTES 其中，CODE=3；CO

11、DE占一个字节IDENTIFIER占一个字节，用于匹配请求和应答。LENGTH 占二个字节，是整个数据报的长度，包括CODE+IDENTIFIER+LENGTH +RESPONSE-AUTHENTICATOR+ATTRIBUTES的所有长度。RESPONSE-AUTHENTICATOR 是由REQUEST-AUTHENTICATOR计算得出，高位在先。ATTRIBUTES是若干属性状态的集合。参考上表。 5、RADIUS AUTHENTICATION PROTOCOL ACCESS-CHALLENGE 下面是ACCESS-CHALLENGE包格式：LENGTHIDENTIFIER CODE R

12、ESPONSE-AUTHENTICATOR ATTRIBUTES 其中，CODE=11；CODE占一个字节IDENTIFIER占一个字节，用于匹配请求和应答。LENGTH 占二个字节，是整个数据报的长度，包括CODE+IDENTIFIER+LENGTH +RESPONSE-AUTHENTICATOR+ATTRIBUTES的所有长度。RESPONSE-AUTHENTICATOR 是由REQUEST-AUTHENTICATOR计算得出，高位在先。ATTRIBUTES是若干属性状态的集合。参考上表。 6、RADIUS AUTHENTICATION PROTOCOL ATTRIBUTES 下面是属性状

13、态的包格式：VALUE TYPE占一个字节，表示属性状态的类型，、； LENGTH占一个字节，表示属性长度，包括TYPE+LENGTH+VALUE； VALUE长度不定，由类型确定。 下面是所有TYPE的集合描述： 1 User-Name 2 User-Password 3 CHAP-Password 4 NAS-IP-Address 5 NAS-Port 6 Service-Type 7 Framed-Protocol 8 Framed-IP-Address 9 Framed-IP-Netmask 10 Framed-Routing 11 Filter-Id 12 Framed-MTU 13

14、 Framed-Compression 14 Login-IP-Host 15 Login-Service 16 Login-TCP-Port 17 (unassigned) 18 Reply-Message 19 Callback-Number 20 Callback-Id 21 (unassigned) 22 Framed-Route 23 Framed-IPX-Network 24 State 25 Class 26 Vendor-Specific 27 Session-Timeout 28 Idle-Timeout 29 Termination-Action 30 Called-Sta

15、tion-Id 31 Calling-Station-Id 32 NAS-Identifier 33 Proxy-State 34 Login-LAT-Service 35 Login-LAT-Node 36 Login-LAT-Group 37 Framed-AppleTalk-Link 38 Framed-AppleTalk-Network 39 Framed-AppleTalk-Zone 40-59 (reserved for accounting) 60 CHAP-Challenge 61 NAS-Port-Type 62 Port-Limit63 Login-LAT-Port7、单个

16、 ATTRIBUTES介绍由于ATTRIBUTES多达40多个，不可能一一介绍。这里选择几个重要且常用的作简单介绍，其余可参照RFC文档。USER-NAME属性状态：格式：STRING TYPE=1，表示USER-NAME属性状态； LENGTH，表示整个属性状态长度，大于3； STRING，是名字字符串，可以为如下几种形式： 简单数字字符串，用于本地管理NAS； 简单可打印字符串； SMTP地址格式，如：name ANS.1名字：以ANS.标准出现的名字。USER-PASSWORD属性状态：格式：STRING TYPE=2，表示USER-PASSWORD属性状态； LENGTH，表示整个属性

17、状态长度，大于18小于30； STRING，是加密后的MD5摘要字符串。计算方法如下； 假设S表示共享密码，RA表示REQUEST-AUTHENTICATOR，而口令被分为16位BITS的快，p1，P2，等等。则：b1 = MD5(S + RA) c(1) = p1 xor b1b2 = MD5(S + c(1) c(2) = p2 xor b2 . . . . . .bi = MD5(S + c(i-1) c(i) = pi xor bi STRING = c(1)+c(2)+ c(i) NAS-IP-ADDRESS属性状态：格式：ADDRESSADDRESS TYPE=4，表示NAS-IP

18、-ADDRESS属性状态； LENGTH，表示整个属性状态长度，6个字节； ADDRESS，表示IP地址，4字节。NAS-PORT属性状态：格式：PORTPORT TYPE=5，表示NAS-PORT属性状态； LENGTH，表示整个属性状态长度，6个字节； PORT，表示PORT号码，4字节，0-65535。SEVICE-TYPE属性状态：格式：VALUEVALUE TYPE=6，表示SEVICE-TYPE属性状态； LENGTH，表示整个属性状态长度，6个字节； VALUE，表示服务属性，4字节，有如下一些取值：1 Login2 Framed3 Callback Login4 Callbac

19、k Framed5 Outbound6 Administrative7 NAS Prompt8 Authenticate Only9 Callback NAS PromptFRAMED-PROTOCOL属性状态：格式：VALUEVALUE TYPE=7，表示FRAMED-PROTOCOL属性状态； LENGTH，表示整个属性状态长度，6个字节； VALUE，表示协议属性，4字节，有如下一些取值：1 PPP2 SLIP3 AppleTalk Remote Access Protocol (ARAP)4 Gandalf proprietary SingleLink/MultiLink protoc

20、ol5 Xylogics proprietary IPX/SLIP三、 RADIUS计费协议格式：1、RADIUS ACCOUNTING PROTOCOL 包格式 下面是协议报文格式：LENGTHIDENTIFIER CODE AUTHENTICATOR ATTRIBUTES CODE域可以包括如下一些值；4 Accounting-Request5 Accounting-ResponseIDENTIFIER占一个字节，用于匹配请求和应答。LENGTH 占二个字节，是整个数据报的长度，包括CODE+IDENTIFIER+LENGTH +AUTHENTICATOR+ATTRIBUTES的所有长度。

21、AUTHENTICATOR 是16字节的随机数，高位在先，此域用于认证答复和加密口令字。ATTRIBUTES是若干属性状态的集合，其长度是不确定的。不同的CODE值可以跟随不同的属性值。下表是一个总结：RequestResponse#Attribute0-101User-Name002User-Password003CHAP-Password0-104NAS-IP-Address0-105NAS-Port0-106Service-Type0-107Framed-Protocol0-108Framed-IP-Address0-109Framed-IP-Net mask0-1010Framed-R

22、outing0+011Filter-Id0-1012Framed-MTU0+013Framed-Compression0+014Login-IP-Host0-1015Login-Service0-1016Login-TCP-Port0018Reply-Message0-1019Callback-Number0-1020Callback-Id0+022Framed-Route0-1023Framed-IPX-Network0024State0+025Class0+0+26Vendor-Specific0-1027Session-Timeout0-1028Idle-Timeout0-1029Ter

23、mination-Action0-1030Called-Station-Id0-1031Calling-Station-Id0-1032NAS-Identifier0+0+33Proxy-State0-1034Login-LAT-Service0-1035Login-LAT-Node0-1036Login-LAT-Group0-1037Framed-AppleTalk-Link0-1038Framed-AppleTalk-Network0-1039Framed-AppleTalk-Zone1040Acct-Status-Type0-1041Acct-Delay-Time0-1042Acct-I

24、nput-Octets0-1043Acct-Output-Octets1044Acct-Session-Id0-1045Acct-Authentic0-1046Acct-Session-Time0-1047Acct-Input-Packets0-1048Acct-Output-Packets0-1049Acct-Terminate-Cause0+050Acct-Multi-Session-Id0+051Acct-Link-Count0060CHAP-Challenge0-1061NAS-Port-Type0-1062Port-Limit0-1063Login-LAT-Port表中，0表示在此类

25、型包中，不可以跟随此属性状态； 1表示在此类型包中，只有一个此属性状态可跟随； 0+表示在此类型包中，0个或多个此属性状态可跟随； 0-1表示在此类型包中，0个或1个此属性状态可跟随；2、RADIUS ACCOUNTING PROTOCOL ACCOUNTING-REQUEST 下面是ACCOUNTINGREQUEST包格式：LENGTHIDENTIFIER CODE REQUEST-AUTHENTICATOR ATTRIBUTES 其中，CODE=4；CODE占一个字节IDENTIFIER占一个字节，用于匹配请求和应答。LENGTH 占二个字节，是整个数据报的长度，包括CODE+IDENTI

26、FIER+LENGTH +REQUEST-AUTHENTICATOR+ATTRIBUTES的所有长度。REQUEST-AUTHENTICATOR 是16字节的MD5 HASH结果值，高位在先。ATTRIBUTES是若干属性状态的集合。参考上表。 3、RADIUS ACCOUNTING PROTOCOL ACCOUNTING-RESPONSE 下面是ACCOUNTINGRESPONSE包格式：LENGTHIDENTIFIER CODE RESPONSE-AUTHENTICATOR ATTRIBUTES 其中，CODE=5；CODE占一个字节IDENTIFIER占一个字节，用于匹配请求和应答。LE

27、NGTH 占二个字节，是整个数据报的长度，包括CODE+IDENTIFIER+LENGTH +RESPONSE-AUTHENTICATOR+ATTRIBUTES的所有长度。REQUEST-AUTHENTICATOR 是16字节的MD5 HASH结果值，高位在先。ATTRIBUTES是若干属性状态的集合。参考上表。 4、RADIUS ACCOUNTING PROTOCOL ATTRIBUTES 下面是属性状态的包格式：VALUE TYPE占一个字节，表示属性状态的类型，、； LENGTH占一个字节，表示属性长度，包括TYPE+LENGTH+VALUE； VALUE长度不定，由类型确定。 下面是所有TYPE的集合描述：40 Acct-Status-Type41 Acct-Delay-Time 42 Acct-Input-Octets 43 Acct-Output-Octets 44 Acct-Session-