Radius培训

第 1页 胡凯 第 2页 一、基 本 概 念 二、 概述 三、 主要特性 四、 第 3页 一、 基 本 概 念 基本概念 第 4页 证、授权、记费 令验证协议 问握手验证协议 络接入服务器 n 程验证拨入用户服务（拨入用户的远程验证服务） 输控制协议 户数据报协议 名词解释 第 5页 1、在 权和计费； 2、通过协议进行远程的认证、授权和记帐。实现 等（我们使用的是 网 服 务 器计费服务器I n t e r n e 第 6页 n 简称，权和计费。 当用户想要通过某个网络 (如电话网 )与 把用户信息传递给 议规定了 务器之间如何传递用户信息和记账信息； 成验证，并把传递服务给用户所需的配置信息返回给 第 7页 密码验证协议的简称，是认证协议的一种。 用户以明文的形式把用户名和他的密码传递给 果存在相同的用户名和密码表明验证通过 ,否则表明验证未通过。 本地认证 地（ 证 我查 我验 第 8页 查询握手验证协议的简称，是我们使用的另一种认证协议。 本地（ 证 本地认证 D + 我查 我算 我验 第 9页 当用户请求上网时，服务器产生一个 16字节的随机码（ 用户（同时还有一个 地路由器的 用户端得到这个包后使用自己独用的设备或软件对传来的各域进行加密，生成一个 到和用户端进行加密所用的一样的密码，然后根据原来的 16字节的随机码进行加密，将其结果与 果相同表明验证通过，如果不相同表明验证失败。 本地认证 D + 第 10页 远端（ 证 远端认证 (我查 我算 我验 第 11页 远端（ 证 远端认证 D + 我查 我算 我验 第 12页 二、 概述 第 13页 用户 N A S （ R a d i u s 客户端） R a d i u s 服务器n 对远端拨号接入用户的认证服务， 常我们公司的接入产品支持的是客户端，负责将认证等信息按照协议的格式通过 时对服务器返回的信息解释处理。 通常对 645（认证）、 1646（计费）或 1812（认证）、 1813（计费）。 第 14页 P a c k e t :0 1 2 30 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1+ - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - +| C o d e | I d e n t i f i e r | L e n g t h |+ - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - +| | A u t h e n t i c a t o r | | |+ - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - +| A t t r i b u t e s . . .+ - + - + - + - + - + - + - + - + - + - + - + - + -A t t r i b u t e :0 1 20 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0+ - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + -| T y p e | L e n g t h | V a l u e . . .+ - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + 第 15页 各个域的解释： 1、 类型； 1字节；指示 2、 标识； 1字节；用于匹配请求包和响应包，同一组请求包和响应包的 3、 长度； 2字节；整个包的长度。 4、 证字； 16字节；用于对包进行签名。 第 16页 1） 的类型 包类型占 1个字节，定义如下： 1 请求认证过程 2 认证响应过程 3 认证拒绝过程 4 请求计费过程 5 计费响应过程 *12 实验的 *13 实验的 *255 保留的 第 17页 R a d i u sA c c e s s - R e q u e s t ( 2 )A c c e s s - A c c e p t / A c c e s s - R e j e c t ( 3 )认 证 （ 端 口 ： 1 8 1 2 ）A c c o u n t i n g - R e q u e s t ( s t a r t ) ( 5 )A c c o u n t i n g - R e s p o n s e ( s t a r t ) ( 6 )A c c e s s - R e q u e s t ( 2 )A c c e s s - C h a l le n g （ 端 口 ： 1 8 1 3 ）N A SU s e rd i a l- i n ( 1 )c o n f i g u s e r ( 4 )d i s c o n n e c t ( 7 )A c c o u n t i n g - R e q u e s t ( s t o p ) ( 8 )A c c o u n t i n g - R e s p o n s e ( s t o p ) ( 9 )d i s c o n n e c t u s e r ( 1 0 )第 18页 1、用户拨入后（ 1），所拨入的设备（比如 拨入用户的用户的信息（比如用户名、口令、所占用的端口等等）打包向 2）。 2、如果该用户是一个合法的用户，那么 时传回该用户的配置参数（ 3）；否则， 3）。 3、如果该用户合法， 4）。如果用户非法， 4）。 4、如果用户可以访问网络， 5）， 6）。 5、当用户断开连接时（连接也可以由接入服务器断开）（ 7）， 中包含用户上网所使用网络资源的统计信息（上网时长、进 /出的字节 /包数等）（ 8）， 9）。 第 19页 1、 求 - 响应”方式进行的，即：客户发送一个请求包，服务器收到包后给予响应。 2、 据包可能会在网络上丢失，如果客户没有收到响应，那么可以重新发送该请求包。多次发送之后如果仍然收不到响应， 第 20页 2） 标识 包标识，用以匹配请求包和响应包。 该字段的取值范围为 0 255； 协议规定： 1、在任何时间，发给同一个 果出现相同的情况， 2、 同）。 第 21页 3） 长度 整个包长度 ,包括 第 22页 4） 证字 该验证字分为两种： 1、请求验证字 在请求报文中 ,必须为全局唯一的随机值。 2、响应验证字 在响应报文中，用于鉴别响应报文的合法性。 响应验证字 D+求验证字 +加密以后你还能认出我来吗？ 第 23页 5） 性 01 0a 62 65 6e 6c 61 64 65 6e )属性 长度为 10字节 b e n l a d e n 上网用户：本 拉登 上网地点：阿富汗 第 24页 三、 主要特性 第 25页 时其采用的是 第 26页 1）为什么使用 1、 户可以容忍几秒到十几秒的验证等待时间。当处理大量用户时服务器端采用多线程， 2、 种方式在有大量用户使用的情况下实时性不好。 3、 当向主用服务器发送请求失败后，还要必须向备用的服务器发送请求。于是 所采用的定时， 第 27页 2） 服务器（ 构： 1、 ，个 2、 入服务器（ 须保存这些信息，而是通过 些信息的集中统一的保存，使得管理更加方便，而且更加安全。 3、 客户的身份同其他的户的漫游通常就是通过 S S 28页 3）网络安全 服务器端（ 存了一个密钥（ 钥不会在网络上传送。 1、包加密： 在 16字节的验证字（ 于对包进行签名，收到 果包的签名不正确，那么该包将被丢弃，对包进行签名时使用的也是用密钥），没有密钥的人是不能构造出该签名的。 2、口令加密： 在认证用户时，用户的口令不会在网上明文传送，而是使用了有密钥的人是无法正确加密口令的，也无法正确地对加密过的口令进行解密。 网络安全 安全第一 第 29页 的输入是一段内存，输出是一个16字节的摘要，它的运算是单向的，即从输出推算不出输入。 不好意思，我只会把您的手表变成兔子，变不回去了 第 30页 包的签名与加密： 包的签名指的是 6字节的 们称其为“验证字”。 认证请求包 认证请求包的验证字是一个不可预测的 16字节随机数。这个随机数将用于口令的加密。 认证响应包 D+ 记费请求包 D+6 记费响应包 D+ 包的签名与加密 第 31页 口令的加密 : 称共享密钥（ 16字节的认证请求验证字( 口令 (割成 16字节一段（最后一段不足 16字节时用 0补齐），为 密后的口令块为 c(1)、 c(2)等。下面运算中 c(1) = p1 b1 c(1) c(2) = p2 c( c(i) = pi 么加密后的口令为 c(1)+c(2)+.+c(i)。 上面是协议规定的算法，也有的 改了上述的算法，具体的讲， bi=b2=b1(i=1)，其他运算不变。当用户的口令长度不超过 16字节时，两种算法的结果是一样的。 口令的加密 第 32页 远端（ 证 远端认证 (我查 我算 我验 第 33页 如果用户配置了 采用 户以明文的形式把用户名和他的密码传递给 据 远端认证 户名、密码 放行 第 34页 R a d i u sC o d e + I D + L e n g t h + A u t h e n t i c a t o r + A t t r i b u t e SU s e ru s e r n a m e + p a s s w o r d （ 明 文 ）A 2 = M D 5 ( C o d e + I D + L e n g t h + A u t h e n t i c a t o r + A t t r i b u t e s + K e y )u s e r n a m e , p a s s w o r du s e r n a m e , p a s s w o r d 数 据 库S e c r e t P a s s w o r d = P a s s w o r d X O R M D 5 （ C h a l l e n g e K e y ）查找数据库中该 u s e r n a m a s s w o r d ；同时用收到的S e c r e t P a s s w o r d X O R M D 5 ( A u t h e n t i c a t o r + k e y ) 并与前面查到的 P a s s w o r d 比较，相同的话认证通过。A 1 = M D 5 ( C o d e + I D + L e n g t h + A u t h e n t i c a t o r + A t t r i b u t e s + K e y )比较 相同的话用R a d i u s 反馈回来的属性去配置用 户 ， 否 则 将 该 包 丢 弃 。C o d e + I D + L e n g t h + A 2 + A t t r i b u t e 2 加 密 ， 其 余 属 性 为 明 文除密码加密，其余属性为明文远端认证 35页 1 ( 0 56 16 16 at D5( 3 例 1：用户 例 1： 1)送 据包到 ： ： 3 第 36页 2 ( 0 (as 38 16of 2),0), 38), in )证了 并且发送了 据包到接入服务器，告诉把用户 陆到主机 例 1：用户 第 37页 远端（ 证 远端认证 D + 我查 我算 我验 第 38页 采用 当用户请求上网时， 6字节的随机码给用户（ 同时还有一个 地路由器的 用户端得到这个包后使用自己独有的设备或软件对传来的各域进行加密，生成一个 并把原来的 16字节随机码传给 到和用户端进行加密所用的一样的密码，然后根据传来的 16字节的随机码进行加密，将其结果与传来的 果相同表明验证通过，如果不相同表明验证失败。另外如果验证成功， 16字节的随机码对用户进行询问（ 该方式暂不支持。 如果用户配置了 远端认证 39页 R a d i u sC o d e + I D + L e n g t h + A u t h e n t i c a t o r + A t t r i b u t e SU s e A P I D + M D 5 ( A u t h e n t i c a t o r + P a s s w o r d+ C H A P I D )A 2 = M D 5 ( C o d e + I D + L e n g t h + A u t h e n t i c a t o r + A t t r i b u t e s + K e y )u s e r n a m e , p a s s w o r du s e r n a m e , p a s s w o r d 数 据 库密码 : C H A P I D + M D 5 ( A u t h e n t i c a t o r + P a s s w o r d +C H A P I D ) ， 其 余 属 性 为 明 文查找数据库中该 u s e r n a m e 及其在数据库中对应的 P a s s w o r d ，对该 P a s s w o r d 进行如下 M D 5 加密： M D 5 ( A u t h e n t i c a t o r +P a s s w o r d + C H A P I D ) ，并与N A S 上报的密码比较，相同的话认证通过。A 1 = M D 5 ( C o d e + I D + L e n g t h + A u t h e n t i c a t o r + A t t r i b u t e s + K e y )比较 相同的话用R a d i u s 反馈回来的属性去配置用 户 ， 否 则 将 该 包 丢 弃 。C o d e + I D + L e n g t h + A 2 + A t t r i b u t e 2 加 密 ， 其 余 属 性 为 明 文C H A P I D + A u t h e n t i c a t o 40页 例 2：用户端进行 1 ( 1 71 16 1 D 6 20 2： 接入服务器 送一个 据包到 ： 20 ： 入服务器发送的数据包包含属性 示 个用户要使用 第 41页 2 ( 1 (as 56 16of 2),1), 56), in 1 (P 1500 证 并发送 据包到 诉 例 2：用户端进行 第 42页 4）灵活的验证机制 如 通常的 有些 因在于有些 要验证一个 须能够获得该用户的明文口令才行。 验证机制 第 43页 5）扩展性 成的。新属性的增加不会影响到现有协议的实现。 通常的 同时开发与之配套的了提供一些功能，常常要定义一些非标准的（ 性。关于各个厂家有那些扩展的属性，一般可以从相应的 件中找到。 扩展性 第 44页 N A