《华为培训Radius协议》由会员分享,可在线阅读,更多相关《华为培训Radius协议(28页珍藏版)》请在金锄头文库上搜索。
1、课程BA0004Radius协议ISSUE1。0Huawei Technologies (copyright)目录课程说明 1.课程介绍1课程目标1参考资料1第1章 概述 2.1.1 背景21.2 AAA 和 Radius 介绍3第2章Radius协议相关概念52.1 客户服务器模式52.2业务流程说明 62.3 网络安全72.3.1 包加密72.3.2 口令加密72.4 AAA在协议栈中的位置112.5良好的可扩展性11第3章标准Radius协议123.1标准Radius协议包结构123.2常用标准Radius属性说明133.3 Radius+简介16第4章NAS设备与Radius Serv
2、er对接实例184.1 合法用户184.1.2 认证请求(code=1) 184.1.3 认证响应(code=2)194.1.4 计费请求(code=4)194.1.5 计费响应(code=5)224.2非法用户224.2.1认证拒绝(code=3密码错误)224.2.2认证拒绝(code=3非法用户名)23附录 缩略词表 2.5课程说明课程介绍本教材为宽带产品工程师培训公共课程。本课程介绍 Radius 协议。课程目标完成本课程学习,学员能够: 掌握Radius协议的基本概念掌握Radius协议的工作过程 掌握Radius包各个字段的含义参考资料RFC2865RFC2866RFC2869第1
3、章 概述1.1 背景90年代中期以来,In ter net业务量的增长已构成数据业务的主要增长因素, IP 成为电信网是不争的事实 。但是目前的 IP 网络还不是一个电信级的网络, 它的可运营、可管理特性同PSTN相比还存在较大差距。从可运营性方面来说,针对个人用户,IP网络目前仅仅解决了一个上网的问 题,用户仅能收发一些电子邮件和从网络上搜索一些信息而已,还不能提供 个性化的业务以吸引更多个人用户上网,如Portal、个性化业务管理、本地 特色内容业务、内容过滤、看广告免费上网等等。同时,不可忽视的是,提高IP网络的可管理性是当前宽带网络发展急需解决 的问题。从可管理性方面来说,对用户实施业
4、务管理的前提就是解决用户的 认证、授权和计费问题,即众所周知的AAA。目前,电信运营商和服务提供 商所采用的认证方式主要有本地认证、 Radius 认证和不认证;而计费策略更 是丰富多采,常见的有不计费(包月)、按时长计费、按流量计费、按端口 计费等等。目前在所有这些认证计费方式中,以采用Radius Server进行集 中认证计费应用的最为普及和广泛。Radius 是 Remote Authentication Dial In User Service 的简称,即远程验证 拨入用户服务。 当用户想要通过某个网络 (如电话网 )与 NAS(Network Access Server:网络接入服
5、务器)建立连接从而获得访问其他网络的权利时, NAS可以选择在NAS上进行本地认证计费,或把用户信息传递给Radius服 务器,由Radius进行认证计费;Radius协议规定了 NAS与Radius服务器 之间如何传递用户信息和记账信息; Radius 服务器负责接收用户的连接请 求,完成验证,并把传递服务给用户所需的配置信息返回给NAS。1.2 AAA 和 Radius 介绍图1-1 PSTN, ISDN用户通过NAS上网示意图如图:用户Iqz, 1st要求得到某些服务(如SLIP, PPP, tel net),但必须通 过NAS,由NAS依据某种顺序与所连服务器通信从而进行验证。说明:l
6、st通过拨号进入NAS,然后NAS按配置好的验证方式(如PPP PAP , CHAP 等)要求lst输入用户名,密码等信息。lst端出现提示,用户按提示输入。NAS得到用户的这些信息后,把这些信息传递给响应验证或记账的服务器, 并根据服务器的响应来决定用户是否可以获得他所要求的服务。AAA 是验证,授权和记账(Authentication, Authorization, and Accounting) 的简称。它是运行于NAS上的客户端程序。它提供了一个用来对验证,授 权和记账这三种安全功能进行配置的一致的框架。AAA的配置实际上是对网 络安全的一种管理。这里的网络安全主要指访问控制。包括哪些
7、用户可以访 问网络服务器?具有访问权的用户可以得到哪些服务?如何对正在使用网络 资源的用户进行记账?下面简单介绍一下验证,授权,记账的作用。验证(Authentication):验证用户是否可以获得访问权。可以选择使用 Radius 协议。授权(Authorization):授权用户可以使用哪些服务。.记账(Accounting):记录用户使用网络资源的情况。AAA的实现可采用Radius协议。Radius协议规定了 NAS与Radius服务器之间如何传递用户信息和记账信息,即两者之间的通信规则。Radius服务器负责接收用户的连接请求,完成验证,并把传递服务给用户所 需的配置信息返回给NAS
8、。用户获得授权后,在其正常上线、在线和下线过 程中,Radius服务器还完成对用户帐号计费的功能。第2章Radius协议相关概念一个网络允许外部用户通过公用网对其进行访问,于是用户在地理上可以极 为分散。大量分散用户从不同的地方可以对这个网络进行随机的访问。用户 可以把自己的信息传递给这个网络,也可以从这个网络得到自己想要的信息。 由于存在内外的双向数据流动,网络安全就成为很重要的问题了。对用户的 管理就成为网络接入服务器或路由器的任务。管理的内容有:哪些用户可以 获得访问权,获得访问权的用户可以允许使用哪些服务,如何对使用网络资 源的用户进行记费。AAA很好的完成了这三项任务。Radius通
9、过建立一个唯一的用户数据库,存储用户名,用户的密码来进行验 证;存储传递给用户的服务类型以及相应的配置信息来完成授权。2.1客户服务器模式radius服务器server Alien t图2-2用户,NAS, Radius服务器的关系Radius采用客户/服务器(Client/Server)结构:NAS上运行的AAA程序对 用户来讲为服务器端,对Radius服务器来讲是作为客户端。 Radius的客户端通常运行于接入服务器(NAS)上,Radius服务器通 常运行于一台工作站上,一个Radius服务器可以同时支持多个Radius 客户(NAS)。 Radius的服务器上存放着大量的信息,接入服务
10、器(NAS)无须保存这 些信息,而是通过RADUIS协议对这些信息进行访问。这些信息的集中 统一的保存,使得管理更加方便,而且更加安全。 Radius服务器可以作为一个代理,以客户的身份同其他的Radius服务 器或者其他类型的验证服务器进行通信。用户的漫游通常就是通过 Radius代理实现的。2.2 业务流程说明UserNASRadiusdial-inAccess-Request(2)Access-Challengeconfig user(4)Access-Request(2)二刚 Access-Accept / Access-Reject(3)认证(端口 :1812)Accounting-
11、Request (start)(5)disconnect(7).disconnect user(10)Accounting-Response (start)(6)计费(端口 :1813)Accounting-Request (stop)(Accounting-Response (stop)(9图2-3用户NASRadius认证计费流程1. 用户拨入后(1),所拨入的设备(比如NAS)将拨入用户的用户的信 息(比如用户名、口令、所占用的端口等等)打包向Radius服务器发送( 2 )。2. 如果该用户是一个合法的用户,那么Radius告诉NAS该用户可以上网, 同时传回该用户的配置参数(3);否
12、则,Radius反馈NAS该用户非法 的信息( 3)。3. 如果该用户合法,MAS就根据从Radius服务器传回的配置参数配置用户(4)。如果用户非法,NAS反馈给用户出错信息并断开该用户连接(4)。4. 如果用户可以访问网络,Radius客户要向Radius服务器发送一个记费请 求包表明对该用户已经开始记费(5),Radius服务器收到并成功记录 该请求包后要给予响应(6)。5. 当用户断开连接时(连接也可以由接入服务器断开)(7), Radius客 户向Radius服务器发送一个记费停止请求包,其中包含用户上网所使用 网络资源的统计信息(上网时长、进/出的字节/包数等)(8), Radiu
13、s服务器收到并成功记录该请求包后要给予响应(9)。2.3 网络安全Radius协议的加密是使用MD5加密算法进行的,在Radius的客户端(NAS) 和服务器端(Radius Server)保存了一个密钥(key), Radius协议利用这 个密钥使用MD5算法对Radius中的数据进行加密处理。密钥不会在网络上 传送。Radius的加密主要体现在两方面:2.3.1 包加密在Radius包中,有16字节的验证字(authenticator)用于对包进行签名, 收到 Radius 包的一方要查看该签名的正确性。如果包的签名不正确,那么 该包将被丢弃,对包进行签名时使用的也是 MD5 算法(利用密
14、钥),没有 密钥的人是不能构造出该签名的。包的签名与加密详细说明如下:包的签名指的是Radius包中16字节的Authenticator,我们称其为验证字。 认证请求包RequestAuth=Authenticator,认证请求包的验证字是一个不可预测的16字 节随机数。这个随机数将用于口令的加密。 认证响应包ResponseAuth=MD5(Code+ID+Length+Authenticator+Attributes+Key)。 记费请求包RequestAcct=MD5(Code+ID+Length+16ZeroOctets+Attributes+Key)。 记费响应包ResponseAc
15、ct=MD5(Code+ID+Length+RequestAcct+Attributes+Key)。2.3.2 口令加密在认证用户时,用户的口令在NAS和Radius Server之间不会以明文方式传 送,而是使用了 MD5 算法对口令进行加密。没有密钥的人是无法正确加密 口令的,也无法正确地对加密过的口令进行解密。1. 口令加密c(1) = p1 xor b1c(2) = p2 xor b2称共享密钥(key)为Key; 16字节的认证请求验证字(Authenticator)为Auth; 将口令(Password)分割成16字节一段(最后一段不足16字节时用0补齐), 为p1、p2等;加密后的口令块为c(1)、c(2)等。下面运算中b1、b2为中间 值:b1 = MD5(Key + Auth) b2 = MD5(Key + c(1) bi = MD5(Key+ c(i-1) c(i) = pi xor bi那么加密后的口令为c(1)+c(2)+。+c(i)。上面是协议规定的算法,也有的Radius服务器为了实现起来简
