radius协议.doc

1、 一、 概述： RADIUS协议涉及RADIUS AUTHENTICATION PROTOCOL 和 RADIUS ACCOUNTING PROTOCOL 两部分。RADIUS AUTHENTICATION PROTOCOL 完毕拨号用户的认证工作，而RADIUS ACCOUNTING PROTOCOL 则完毕用户服务的计费任务。 事实上，为了更好地向分散的众多接入用户提供互联网服务,必须对接入服务提供有效的管理支持。它需要对安全，配置，计费等提供支持，这可以通过对一个用户数据库的管理来达成， 这个数据库涉及认证信息，及细化的服务配置信息和计费信息。通常这个数据库的维护管

2、理，对用户信息的核算及配置有一个单独的实体完毕，这个实体就是RADIUS server。由于这些管理信息的众多与繁杂，通常RADIUS server放在一个独立的计算机上，而为了向RADIUS server取得服务，必须一方面构建一个RADIUS client，通常RADIUS client 位于Network Access Server（NAS，网络接入设备）上。 下图示例了这些实体之间的关系： 用户A RADIUS SERVER （AAA） 用户N 用户B RADIUS CLIENT （NAS） INTERNET 二、 R

3、ADIUS认证协议格式： 1、RADIUS AUTHENTICATION PROTOCOL 包格式 下面是协议报文格式： LENGTH IDENTIFIER CODE AUTHENTICATOR ATTRIBUTES CODE域可以涉及如下一些值； 1 Access-Request 2 Access-Accept 3 Access-Reject 4 Accounting-Request 5 Accounting-Response 11 Access-Challenge 12 Status-Server 13

4、 Status-Client 255 Reserved 其中，CODE 1，2，3，11值为RADIUS AUTHENTICATION PROTOCOL使用，而CODE 4，5值为RADIUS ACCOUNTING PROTOCOL使用。其余未用或保存。CODE占一个字节 IDENTIFIER占一个字节，用于匹配请求和应答。 LENGTH 占二个字节，是整个数据报的长度，涉及CODE+IDENTIFIER+LENGTH +AUTHENTICATOR+ATTRIBUTES的所有长度。 AUTHENTICATOR 是16字节的随机数，高位在先，此域用于认证答复和加密口令字。 ATT

5、RIBUTES是若干属性状态的集合，其长度是不拟定的，不同的CODE值可以跟随不同的属性值。下表是一个总结： Request Accept Reject Challenge # Attribute 1 0 0 0 1 User-Name 0-1 0 0 0 2 User-Password 0-1 0 0 0 3 CHAP-Password 0-1 0 0 0 4 NAS-IP-Address 0-1 0 0 0 5 NAS-Port 0-1 0-1 0 0 6 Service-Type 0-1 0-1

6、 0 0 7 Framed-Protocol 0-1 0-1 0 0 8 Framed-IP-Address 0-1 0-1 0 0 9 Framed-IP-Net mask 0 0-1 0 0 10 Framed-Routing 0 0+ 0 0 11 Filter-Id 0 0-1 0 0 12 Framed-MTU 0+ 0+ 0 0 13 Framed-Compression 0+ 0+ 0 0 14 Login-IP-Host 0 0-1 0 0 15 Login-Service

7、 0 0-1 0 0 16 Login-TCP-Port 0 0+ 0+ 0+ 18 Reply-Message 0-1 0-1 0 0 19 Callback-Number 0 0-1 0 0 20 Callback-Id 0 0+ 0 0 22 Framed-Route 0 0-1 0 0 23 Framed-IPX-Network 0-1 0-1 0 0-1 24 State 0 0+ 0 0 25 Class 0+ 0+ 0 0+ 26 Vendor-Specific 0 0-

8、1 0 0-1 27 Session-Timeout 0 0-1 0 0-1 28 Idle-Timeout 0 0-1 0 0 29 Termination-Action 0-1 0 0 0 30 Called-Station-Id 0-1 0 0 0 31 Calling-Station-Id 0-1 0 0 0 32 NAS-Identifier 0+ 0+ 0+ 0+ 33 Proxy-State 0-1 0-1 0 0 34 Login-LAT-Service 0-1 0-1 0 0

9、 35 Login-LAT-Node 0-1 0-1 0 0 36 Login-LAT-Group 0 0-1 0 0 37 Framed-AppleTalk-Link 0 0+ 0 0 38 Framed-AppleTalk-Network 0 0-1 0 0 39 Framed-AppleTalk-Zone 0-1 0- 0 0 60 CHAP-Challenge 0-1 0 0 0 61 NAS-Port-Type 0-1 0-1 0 0 62 Port-Limit 0-1 0-1 0 0 6

10、3 Login-LAT-Port 表中， 0表达在此类型包中，不可以跟随此属性状态； 1表达在此类型包中，只有一个此属性状态可跟随； 0+表达在此类型包中，0个或多个此属性状态可跟随； 0-1表达在此类型包中，0个或1个此属性状态可跟随； 2、RADIUS AUTHENTICATION PROTOCOL ACCESS-REQUEST 下面是ACCESS-REQUEST包格式： LENGTH IDENTIFIER CODE REQUEST-AUTHENTICATOR ATTRIBUTES 其中

11、CODE=1；CODE占一个字节 IDENTIFIER占一个字节，用于匹配请求和应答。 LENGTH 占二个字节，是整个数据报的长度，涉及CODE+IDENTIFIER+LENGTH +REQUEST-AUTHENTICATOR+ATTRIBUTES的所有长度。 REQUEST-AUTHENTICATOR 是16字节的随机数，高位在先，此域用于认证答复和加密口令字。 ATTRIBUTES是若干属性状态的集合。参考上表。 3、RADIUS AUTHENTICATION PROTOCOL ACCESS-ACCEPT 下面是ACCESS-ACCEPT包格式： LENGTH

12、 IDENTIFIER CODE RESPONSE-AUTHENTICATOR ATTRIBUTES 其中，CODE=2；CODE占一个字节 IDENTIFIER占一个字节，用于匹配请求和应答。 LENGTH 占二个字节，是整个数据报的长度，涉及CODE+IDENTIFIER+LENGTH +RESPONSE-AUTHENTICATOR+ATTRIBUTES的所有长度。 RESPONSE-AUTHENTICATOR 是由REQUEST-AUTHENTICATOR计算得出，高位在先。 ATTRIBUTES是若干属性状态的集合。参考

13、上表。 4、RADIUS AUTHENTICATION PROTOCOL ACCESS-REJECT 下面是ACCESS-REJECT包格式： LENGTH IDENTIFIER CODE RESPONSE-AUTHENTICATOR ATTRIBUTES 其中，CODE=3；CODE占一个字节 IDENTIFIER占一个字节，用于匹配请求和应答。 LENGTH 占二个字节，是整个数据报的长度，涉及CODE+IDENTIFIER+LENGTH +RESPONSE-AUTHENTICATOR+ATTRIBUTES的所

14、有长度。 RESPONSE-AUTHENTICATOR 是由REQUEST-AUTHENTICATOR计算得出，高位在先。 ATTRIBUTES是若干属性状态的集合。参考上表。 5、RADIUS AUTHENTICATION PROTOCOL ACCESS-CHALLENGE 下面是ACCESS-CHALLENGE包格式： LENGTH IDENTIFIER CODE RESPONSE-AUTHENTICATOR ATTRIBUTES 其中，CODE=11；CODE占一个字节 IDENTIFIER占一个字节，用于

15、匹配请求和应答。 LENGTH 占二个字节，是整个数据报的长度，涉及CODE+IDENTIFIER+LENGTH +RESPONSE-AUTHENTICATOR+ATTRIBUTES的所有长度。 RESPONSE-AUTHENTICATOR 是由REQUEST-AUTHENTICATOR计算得出，高位在先。 ATTRIBUTES是若干属性状态的集合。参考上表。 6、RADIUS AUTHENTICATION PROTOCOL ATTRIBUTES 下面是属性状态的包格式： TYPE LENGTH VALUE TYPE占一个字节，表达属性状态的类

16、型，、； LENGTH占一个字节，表达属性长度，涉及TYPE+LENGTH+VALUE； VALUE长度不定，由类型拟定。 下面是所有TYPE的集合描述： 1 User-Name 2 User-Password 3 CHAP-Password 4 NAS-IP-Address 5 NAS-Port 6 Service-Type 7 Framed-Protocol 8 Framed-IP-

17、Address 9 Framed-IP-Netmask 10 Framed-Routing 11 Filter-Id 12 Framed-MTU 13 Framed-Compression 14 Login-IP-Host 15 Login-Service 16 Login-TCP-Port 17 (unassigned) 18 Reply-Message

18、 19 Callback-Number 20 Callback-Id 21 (unassigned) 22 Framed-Route 23 Framed-IPX-Network 24 State 25 Class 26 Vendor-Specific 27 Session-Timeout 28 Idle-Timeout 29 Termination-Action

19、 30 Called-Station-Id 31 Calling-Station-Id 32 NAS-Identifier 33 Proxy-State 34 Login-LAT-Service 35 Login-LAT-Node 36 Login-LAT-Group 37 Framed-AppleTalk-Link 38 Framed-AppleTalk-Network 39 Fr

20、amed-AppleTalk-Zone 40-59 (reserved for accounting) 60 CHAP-Challenge 61 NAS-Port-Type 62 Port-Limit 63 Login-LAT-Port 7、单个 ATTRIBUTES介绍 由于ATTRIBUTES多达40多个，不也许一一介绍。这里选择几个重要且常用的作简朴介绍，其余可参照RFC文档。 USER-NAME属性状态： 格式： TYPE LENGTH STRING TYPE=1

21、表达USER-NAME属性状态； LENGTH，表达整个属性状态长度，大于3； STRING，是名字字符串，可认为如下几种形式： 简朴数字字符串，用于本地管理NAS； 简朴可打印字符串； SMTP地址格式，如： ANS.1名字：以ANS.标准出现的名字。 USER-PASSWORD属性状态： 格式： TYPE LENGTH STRING TYPE=2，表达USER-PASSWORD属性状态； LENGTH，表达整个属性状态长度，大于18小于30； STRING，是加密后的MD5摘要字符串。计算方法如下； 假设S

22、表达共享密码，RA表达REQUEST-AUTHENTICATOR，而口令被分为16位BITS的快，p1，P2，等等。则： b1 = MD5(S + RA) c(1) = p1 xor b1 b2 = MD5(S + c(1)) c(2) = p2 xor b2 . . . . . . bi = MD5(S + c(i-1))

23、 c(i) = pi xor bi STRING = c(1)+c(2)+……+ c(i) NAS-IP-ADDRESS属性状态： 格式： TYPE LENGTH ADDRESS ADDRESS TYPE=4，表达NAS-IP-ADDRESS属性状态； LENGTH，表达整个属性状态长度，6个字节； ADDRESS，表达IP地址，4字节。 NAS-PORT属性状态： 格式： TYPE LENGTH PORT PORT TYPE=5，表达NAS-PORT属性状态； LENGTH，表达整个属性状态长度

24、6个字节； PORT，表达PORT号码，4字节，0-65535。 SEVICE-TYPE属性状态： 格式： TYPE LENGTH VALUE VALUE TYPE=6，表达SEVICE-TYPE属性状态； LENGTH，表达整个属性状态长度，6个字节； VALUE，表达服务属性，4字节，有如下一些取值： 1 Login 2 Framed 3 Callback Login 4 Callback Framed 5 Outbound 6 Administrative 7 NAS Prompt 8 Authenticate Onl

25、y 9 Callback NAS Prompt FRAMED-PROTOCOL属性状态： 格式： TYPE LENGTH VALUE VALUE TYPE=7，表达FRAMED-PROTOCOL属性状态； LENGTH，表达整个属性状态长度，6个字节； VALUE，表达协议属性，4字节，有如下一些取值： 1 PPP 2 SLIP 3 AppleTalk Remote Access Protocol (ARAP) 4 Gandalf proprietary SingleLink/MultiLink protocol 5 Xylogics

26、 proprietary IPX/SLIP 三、 RADIUS计费协议格式： 1、RADIUS ACCOUNTING PROTOCOL 包格式 下面是协议报文格式： LENGTH IDENTIFIER CODE AUTHENTICATOR ATTRIBUTES CODE域可以涉及如下一些值； 4 Accounting-Request 5 Accounting-Response IDENTIFIER占一个字节，用于匹配请求和应答。 LENGTH 占二个字节，是整个数据报的长度，涉及CODE+IDEN

27、TIFIER+LENGTH +AUTHENTICATOR+ATTRIBUTES的所有长度。 AUTHENTICATOR 是16字节的随机数，高位在先，此域用于认证答复和加密口令字。 ATTRIBUTES是若干属性状态的集合，其长度是不拟定的。不同的CODE值可以跟随不同的属性值。下表是一个总结： Request Response # Attribute 0-1 0 1 User-Name 0 0 2 User-Password 0 0 3 CHAP-Password 0-1 0 4 NAS-IP-Address 0-1 0 5 NAS-P

28、ort 0-1 0 6 Service-Type 0-1 0 7 Framed-Protocol 0-1 0 8 Framed-IP-Address 0-1 0 9 Framed-IP-Net mask 0-1 0 10 Framed-Routing 0+ 0 11 Filter-Id 0-1 0 12 Framed-MTU 0+ 0 13 Framed-Compression 0+ 0 14 Login-IP-Host 0-1 0 15 Login-Service 0-1 0 16 Login-TCP-P

29、ort 0 0 18 Reply-Message 0-1 0 19 Callback-Number 0-1 0 20 Callback-Id 0+ 0 22 Framed-Route 0-1 0 23 Framed-IPX-Network 0 0 24 State 0+ 0 25 Class 0+ 0+ 26 Vendor-Specific 0-1 0 27 Session-Timeout 0-1 0 28 Idle-Timeout 0-1 0 29 Termination-Action 0-1 0

30、30 Called-Station-Id 0-1 0 31 Calling-Station-Id 0-1 0 32 NAS-Identifier 0+ 0+ 33 Proxy-State 0-1 0 34 Login-LAT-Service 0-1 0 35 Login-LAT-Node 0-1 0 36 Login-LAT-Group 0-1 0 37 Framed-AppleTalk-Link 0-1 0 38 Framed-AppleTalk-Network 0-1 0 39 Framed-AppleTalk-Zo

31、ne 1 0 40 Acct-Status-Type 0-1 0 41 Acct-Delay-Time 0-1 0 42 Acct-Input-Octets 0-1 0 43 Acct-Output-Octets 1 0 44 Acct-Session-Id 0-1 0 45 Acct-Authentic 0-1 0 46 Acct-Session-Time 0-1 0 47 Acct-Input-Packets 0-1 0 48 Acct-Output-Packets 0-1 0 49 Acct-Terminat

32、e-Cause 0+ 0 50 Acct-Multi-Session-Id 0+ 0 51 Acct-Link-Count 0 0 60 CHAP-Challenge 0-1 0 61 NAS-Port-Type 0-1 0 62 Port-Limit 0-1 0 63 Login-LAT-Port 表中， 0表达在此类型包中，不可以跟随此属性状态； 1表达在此类型包中，只有一个此属性状态可跟随； 0+表达在此类型包中，0个或多个此属性状态可跟随； 0-1表达在此类型包中，0个或1个此属性状态可跟随； 2、RADIUS

33、 ACCOUNTING PROTOCOL ACCOUNTING-REQUEST 下面是ACCOUNTINGREQUEST包格式： LENGTH IDENTIFIER CODE REQUEST-AUTHENTICATOR ATTRIBUTES 其中，CODE=4；CODE占一个字节 IDENTIFIER占一个字节，用于匹配请求和应答。 LENGTH 占二个字节，是整个数据报的长度，涉及CODE+IDENTIFIER+LENGTH +REQUEST-AUTHENTICATOR+ATTRIBUTES的所有长度。 REQUEST-

34、AUTHENTICATOR 是16字节的MD5 HASH结果值，高位在先。 ATTRIBUTES是若干属性状态的集合。参考上表。 3、RADIUS ACCOUNTING PROTOCOL ACCOUNTING-RESPONSE 下面是ACCOUNTINGRESPONSE包格式： LENGTH IDENTIFIER CODE RESPONSE-AUTHENTICATOR ATTRIBUTES 其中，CODE=5；CODE占一个字节 IDENTIFIER占一个字节，用于匹配请求和应答。 LENGTH 占二个字节，是整个

35、数据报的长度，涉及CODE+IDENTIFIER+LENGTH +RESPONSE-AUTHENTICATOR+ATTRIBUTES的所有长度。 REQUEST-AUTHENTICATOR 是16字节的MD5 HASH结果值，高位在先。 ATTRIBUTES是若干属性状态的集合。参考上表。 4、RADIUS ACCOUNTING PROTOCOL ATTRIBUTES 下面是属性状态的包格式： TYPE LENGTH VALUE TYPE占一个字节，表达属性状态的类型，、； LENGTH占一个字节，表达属性长度，涉及TYPE+LENGTH+V

36、ALUE； VALUE长度不定，由类型拟定。 下面是所有TYPE的集合描述： 40 Acct-Status-Type 41 Acct-Delay-Time 42 Acct-Input-Octets 43 Acct-Output-Octets 44 Acct-Session-Id 45 Acct-Authentic 46 Acct-Session-Time 47 Acct-Input-Packets 48 Acct-Output-Pack

37、ets 49 Acct-Terminate-Cause 50 Acct-Multi-Session-Id 51 Acct-Link-Count 5、单个 ATTRIBUTES介绍 由于ATTRIBUTES较多，不也许一一介绍。这里选择几个重要且常用的作简朴介绍，其余可参照RFC文档。 ACCT-STATUS-TYPE属性状态： 格式： TYPE LENGTH VALUE VALUE TYPE=40，表达ACCT-STATUS-TYPE属性状态； LENGTH，表达整个属性状态长度，6个字节； VALUE，表达服务属性

38、4字节，有如下一些取值： 1 Start 2 Stop 7 Accounting-On 8 Accounting-Off ACCTSESSION-ID属性状态： 格式： TYPE LENGTH STRING TYPE=44，表达ACCTSESSION-ID属性状态； LENGTH，表达整个属性状态长度，大于3； STRING，是可见ASCII字符； 四、 RADIUS MSC图： 1、基本实体说明 在以下的讨论中，我们使用如下三个实体： 用户实体：USER NAS RADIUS 客户实体：CLIENT

39、 RADIUS SERVER 实体：SERVER 2、普通认证过程MSC图 USER SERVER CLIENT Access-request &set timeout Username，password Access-response &unset timeout Timeout, send request again &set timeout Authentication end Authentication end 3、和CHAP交互认证过程（成功）MSC图 CLIENT USER S

40、ERVER Access-request &set timeout Username，password Timeout, send request again &set timeout Access-challenge &unset timeout Prompt for response New Access-request &set timeout User response Access-response &unset timeout 4、和CHAP交

41、互认证过程（失败）MSC图 SERVER CLIENT USER Access-request &set timeout Username，password Timeout, send request again &set timeout Access-challenge &unset timeout Prompt for response New Access-request &set timeout User response Access-reject & unset timeout Authent

42、ication fail 5、计费过程（正常）MSC图 CLIENT USER SERVER Access-request &set timeout Username，password Timeout, send request again &set timeout Authentication end Access-response &unset timeout Acct-request(B) &set timeout Distribute services Acct-request(E) &s

43、et timeout Content services Acct-response(B) &unset timeout Acct-response(E) &unset timeout End services 参考资料： [1] Rivest, R., and S. Dusse, "The MD5 Message-Digest Algorithm",RFC 1321, MIT Laboratory for Computer Science, RSA Data Security Inc., April 1992. [2]

44、Postel, J., "User Datagram Protocol", STD 6, RFC 768, USC/Information Sciences Institute, August 1980. [3] Reynolds, J., and J. Postel, "Assigned Numbers", STD 2, RFC1700, USC/Information Sciences Institute, October 1994. [4] Rigney, C., "RADIUS Accounting", RFC 2139, April 1997. [5] Rigney,C, “RADIUS Authentication, RFC2138,Aprial 1997.