《radius解析》由会员分享,可在线阅读,更多相关《radius解析(19页珍藏版)》请在金锄头文库上搜索。
1、 Radius 协议介绍 专题 文档密级 内部公开 2004-02-05 华为 3Com 机密 未经许可不得扩散 第 1页 , 共 19页 产品名称 Product name 密级 Confidentiality level CAMS 机密 产品版本 Product version V100 Total 19pages 共 19页 Radius 协议介绍 专题 (仅供内部使用 ) 拟制 : 日期 2003-09-06 审核 : 日期 2003-09-06 审核 : 日期 2003-09-06 批准 : 日期 2003-09-06 华为 3Com技术有限公司 版权所有 侵权必究 Radius 协
2、议介绍 专题 文档密级 内部公开 2004-02-05 华为 3Com 机密 未经许可不得扩散 第 2页 , 共 19页 修订记录 日期 修订版本 描述 作者 Radius 协议介绍 专题 文档密级 内部公开 2004-02-05 华为 3Com 机密 未经许可不得扩散 第 3页 , 共 19页 目 录 第 1 章 Radius 协议基本概念 .3 1.1 Radius 协议应用介绍 .3 1.2 Radius 协议结构介绍 .3 第 2 章 CAMS 常用 Radius 协议属性 .3 2.1 标准 Radius 属性介绍 .3 2.2 扩展 Radius 属性介绍 .3 2.3 CAMS
3、进行 Radius 属性检查的方式 .3 2.4 附录 .3 Radius 协议介绍 专题 文档密级 内部公开 2004-02-05 华为 3Com 机密 未经许可不得扩散 第 4页 , 共 19页 第 1章 Radius 协议 基本概念 1.1 Radius 协议 应用介绍 RADIUS ( Remote Authentication Dial In User Service 远程认证拨号用户服务 )是一种在网络接入设备和认证服务器之间承载认证 授权 计费 和配置信息的协议 RADIUS 协议是在认证 授权 计费方面应用最为广泛的协议之一 具有以下特点 1 客户端 /服务器结构 2 采用共享
4、密钥保证网络传输安全性 3 良好的可扩展 性 4 认证机制灵活 RADIUS 协议 承载于 UDP 之上 官方指定端口号为 认证授权端口 1812计费端口 1813 RADIUS 协议 在 RFC2865 RFC2866 中定义 CAMS 和网络接入服务器之间的通讯采用 Radius 由于 Radius 的良好扩展性 不同的厂家对 Radius 作了扩展 我们公司也对其进行了扩展 华为Radius+协议 不同公司 扩展后的协议不完全兼容 在使用时应该注意不同厂家支持的协议的版本 CAMS 目前支持 Radius 标准协议和华为 Radius+协议 1.2 Radius 协议结构介绍 Radiu
5、s 报文格式如下图所示 各域内容按照从左向右传送 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + | Code | Identifier | Length | + - + - + - + - + - + - + - + - + - + - +
6、- + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + | Authenticator | Radius 协议介绍 专题 文档密级 内部公开 2004-02-05 华为 3Com 机密 未经许可不得扩散 第 5页 , 共 19页 | | + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - +
7、 - + - + | Attributes . + - + - + - + - + - + - + - + - + - + - + - + - + - 1. Code Code 域长度为 1 个字节 用于标明 RADIUS 报文的类型 如果 Code 域中的内容是无效值 报文将被丢弃 RADIUS Code 域的有效值如下 1 Access-Request 2 Access-Accept 3 Access-Reject 4 Accounting-Request 5 Accounting-Response 11 Access-Challenge 12 Status-Server (experim
8、ental) 13 Status-Client (experimental) 65 业务修改请求消息 66 业务修改请求回应消息 67 业务修改请求回应拒绝消息 255 Reserved 其中 12 13 255 为保留的 Code 值 一般不会遇到 1 2 3 4 5 11比较常见 分别 标明报文类型为 认证请求 认证 接受 认证 拒绝计费请求 计费 回应 计费成功 和 访问质询 2. Identifier 标识 域长度为 1 个字节 用于辅助匹配请求和回应报文 如果在短时间内 RADIUS 服务器 收到从相同的源 IP 相同源端口收到的报文的标识域的内容也相同 则认为收到的是 重复的请求
9、Length Radius 协议介绍 专题 文档密级 内部公开 2004-02-05 华为 3Com 机密 未经许可不得扩散 第 6页 , 共 19页 长度 域占两个字节 用于指明报文的 有效 长度 多出长度域的字节被视为填充的字节 在接收时被忽略 如果报文长度小于长度域中的值 整个报文将被丢弃 长度域的范围在 20 和 4096 之间 3. Authenticator 认证字域长 16 个 字节 用于认证 Radius Client和 Server 之间消息的有效性 访问请求 Access- Request 认证字 在 Access-Request 包中 认证字的值是 16 字节随机数 认证
10、字的值要不能被预测并且在一个共享密钥的生命期内唯一 访问回应认证字 Access-Accept Access-Reject 和 Access-Challenge 包中的认证字称为访问回应认证字 访问回应认证字的值定义为 MD5(Code+ID+Length+RequestAuth+Attributes+Secret) 计费请求 Accounting-Request 认证字 在计费请求包中 的认证字域称为计费请求认证字 它 是一个 16 字节的 MD5校验和 计费请求认证字的值定义为 MD5(Code + Identifier + Length + 16 zero octets + reques
11、t attributes + shared secret) 计费回应 Accounting-Response 认证字 在计费回应报文中的认证字域称为计费回应认证字 它的值定义为 MD5(Accounting-Response Code + Identifier + Length + the Request Authenticator field from the Accounting-Request packet being replied to + the response attributes + shared secret) Attributes 属性 0 1 2 0 1 2 3 4 5
12、 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - | Type | Length | Value . + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - Radius 协议介绍 专题 文档密级 内部公开 2004-02-05 华为 3Com 机密 未经许可不得扩散 第 7页 , 共 19页 属性域的长度 是可变的 它是一个由业务类型必需的属性和可选属性组成的属性链 一个属性包含如下三个部分 4. Type 类型域长度为一个字节 RADIUS 服务器和客户端当遇到不可识别的属性 时可以将其忽略 常用的属性类型请参见
