华为技术培训教程-BA000004 Radius协议.ppt

ba000004 radius协议,掌握radius协议的基本概念 掌握radius协议的工作过程 掌握radius包各个字段的含义,学习目标,标准radius协议,radius协议相关概念,概述,内容提要,nas设备与radius server对接实例,概述,标准radius协议,radius协议相关概念,概述,内容提要,nas设备与radius server对接实例,radius：remote authentication dial in user service 客户端负责将认证等信息按照协议的格式通过udp包送到服务器，同时对服务器返回的信息解释处理。,认证端口号：1645/ 1812 计费端口号：1646/1813,radius的作用,radius的客户端通常运行于接入服务器（nas）上，radius服务器通常运行于一台工作站上，一个radius服务器可以同时支持多个radius客户（nas）。 radius的服务器上存放着大量的信息，接入服务器（nas）无须保存这些信息，而是通过raduis协议对这些信息进行访问。这些信息的集中统一的保存，使得管理更加方便，而且更加安全。 radius服务器可以作为一个代理，以客户的身份同其他的radius服务器或者其他类型的验证服务器进行通信。用户的漫游通常就是通过radius代理实现的。,client/server结构,nasradius认证计费过程,md5是一个算法，它的输入是一段内存中的数值，输出是一个16字节的摘要，它的运算是单向的，即从输出推算不出输入。,不好意思，我只会把您的手表变成兔子，变不回去了,md5,md5算法,包加密 16字节的验证字（authenticator）用于对包进行签名 口令加密 md5算法对口令进行加密,网络安全,称共享密钥（key）为key；16字节的认证请求验证字(authenticator)为auth；将口令(password)分割成16字节一段（最后一段不足16字节时用0补齐），为p1、p2等；加密后的口令块为c(1)、c(2)等。下面运算中b1、b2为中间值： b1 = md5(key + auth) c(1) = p1 xor b1 b2 = md5(key + c(1) c(2) = p2 xor b2 bi = md5(key+ c(i-1) c(i) = pi xor bi 那么加密后的口令为c(1)+c(2)+.+c(i)。,口令的加密,包的签名与加密： 包的签名指的是radius包中16字节的authenticator，我们称其为“验证字”。 认证请求包 requestauth=authenticator，认证请求包的验证字是一个不可预测的16字节随机数。这个随机数将用于口令的加密。 认证响应包 responseauth = md5(code+id+length+authenticator+attributes+key)。 记费请求包 requestacct = md5(code+id+length+16zerooctets+attributes+key)。 记费响应包 responseacct = md5(code+id+length+requestacct+attributes+key)。,包的签名与加密,我查 我验,本地认证pap,secret password = md5（chap id + password + challenge）,我查 我算 我验,本地认证chap,如果用户配置了radius验证，其pap验证过程如下：,采用pap验证：用户以明文的形式把用户名和他的密码传递给nas。nas把用户名和加密过的密码放到验证请求包的相应属性中传递给radius服务器，根据radius服务器的返回结果来决定是否允许用户上网。,用户名、密码,放行,远端pap认证,secret password =password xor md5（challenge key） (challenge就是radius报文中的authenticator),我查 我算 我验,远端认证（radius）pap,远端pap认证,secret password = md5（chap id + password + challenge）,我查 我算 我验,远端认证（radius）chap,远端chap认证,radius是一种流行的aaa协议，同时其采用的是udp协议传输模式，aaa协议在协议栈中位置如下：,radius协议,radius协议在协议栈中的位置,为什么使用udp？ nas和radius服务器之间传递的一般是几十至上百个字节长度的数据，用户可以容忍几秒到十几秒的验证等待时间。当处理大量用户时服务器端采用多线程，udp简化了服务器端的实现过程。 tcp是必须成功建立连接后才能进行数据传输的，这种方式在有大量用户使用的情况下实时性不好。 当向主用服务器发送请求失败后，还要必须向备用的服务器发送请求。于是radius要有重传机制和备用服务器机制，它所采用的定时，tcp不能很好的满足。,radius协议选择udp作为传输层协议,标准radius协议,radius协议相关概念,概述,内容提要,nas设备与radius server对接实例,radius协议包结构,code：包类型；1字节；指示radius包的类型。 identifier：包标识；1字节；用于匹配请求包和响应包，同一组请求包和响应包的identifier应相同。 length：包长度；2字节；整个包的长度。 authenticator：验证字；16字节；用于对包进行签名。,radius协议包各个域解释,1 access-request请求认证过程 2 access-accept认证响应过程 3 access-reject认证拒绝过程 4 accounting-request请求计费过程 5 accounting-response计费响应过程,code域,nas,radius server与nas在全网中的位置,1、radius的通信是用“请求 - 响应”方式进行的，即：客户发送一个请求包，服务器收到包后给予响应。 2、radius协议采用的是udp协议，数据包可能会在网络上丢失，如果客户没有收到响应，那么可以重新发送该请求包。多次发送之后如果仍然收不到响应，radius客户可以向备用的radius服务器发送请求包。,nasradius认证计费过程,包标识，用以匹配请求包和响应包。 该字段的取值范围为0255； 协议规定： 1、在任何时间，发给同一个radius服务器的不同包的identifier域不能相同，如果出现相同的情况，radius将认为后一个包是前一个包的拷贝而不对其进行处理。 2、radius针对某个请求包的响应包应与该请求包在identifier上相匹配（相同）。,identifier域,整个包长度,包括： code identifier length authenticator attributes,length域,该验证字分为两种： 1、请求验证字-request authenticator 用在请求报文中,必须为全局唯一的随机值。 2、响应验证字-response authenticator 用在响应报文中，用于鉴别响应报文的合法性。 响应验证字md5(code+id+length+请求验证字+attributes+key),加密以后你还能认出我来吗？,authenticator域,attribute(1)属性,长度为10字节,b e n l a d e n,上网用户：张三 上网地点：阿富汗 ,attributes域,1 user-name 用户名 2 user-password 用户密码 3 chap-password chap认证方式中的用户密码 4 nas-ip-address nas的ip地址 5 nas-port 用户接入端口号 6 service-type 服务类型 7 framed-protocol 协议类型 8 framed-ip-address 为用户提供的ip地址 9 framed-ip-netmask 地址掩码 10 framed-routing 为路由器用户设置的路由方式 11 filter-id 过滤表的名称 12 framed-mtu 为用户配置的最大传输单元,常用报文属性,属性值 属性名称 意义,13 framed-compression 该连接使用压缩协议 14 login-ip-host 对login用户提供的可连接主机的ip地址 15 login-service 对login用户可提供的服务 16 login-tcp-port tcp服务端口 18 reply-message 认证服务器返回用户的信息 24 state 认证服务器发送challenge包时传送的需在接 下来的认证报文中回应的字符串（与acess- challenge相关的属性） 25 class 认证通过时认证服务器返回的字符串信息， 要求在该用户的计费报文中送给计费服务器,常用报文属性,属性值 属性名称 意义,26 vendor-specific 可扩展属性 27 session-timeout 在认证通过报文或challenge报文中，通 知nas该用户可用的会话时长 （时长预付费） 28 idle-timeout 允许用户空闲在线的最大时长 32 nas-identifier 标识nas的字符串 33 proxy-state nas通过代理服务器转发认证报文时服务 器添加在报文中的属性 60 chap-challenge 可以代替认证字字段传送challenge的属性 61 nas-port-type 接入端口的类型 62 port-limit 服务器限制nas为用户开放的端口数,常用报文属性,属性值 属性名称 意义,40 acct-status-type 计费请求报文的类型 41 acct-delay-time radius客户端发送计费报文耗费的时间 42 acct-input-octets 输入字节数 43 acct-output-octets 输出字节数 44 acct-session-id 计费会话标识 45 acct-authentic 在计费包中标识用户认证通过的方式 46 acct-session-time 用户在线时长 47 acct-input-packets 输入包数 48 acct-output-packets 输出包数 49 acct-terminate-case 用户下线原因 50 acct-multi_session-id 相关计费会话标识 51 acct-link-count 生成计费记录时多连接会话的会话个数,常用报文属性,属性值 属性名称 意义,radius 主要特性,radius协议概述,基本概念,内容提要,radius协议属性和debug信息,isn8850与radius对接测试用例,*0.18993140-aaa-debug-packet:send radius packet to 192.168.10.4:1812 code=1 id=19 length=102 75 17 0 0 9b a 0 0 20 18 0 0 5a 20 0 0 attribute(1)(user-name):user1 attribute(2)(password): 0x4d 0xa1 0x11 0xbe 0xa7 0xc5 0x1a 0xa4 0x5b 0x29 0xb1 0xde 0x34 0x11 0x4c 0xf9 attribute(6)(user-service): 0x2 attribute(7)(framed-protocol): 0x1 attribute(4)(nas-ip-address): 0xc0a80a0a attribute(32)(nas-identifier):esr attribute(127)(connect-id): 0xf00000e *0.18993750-aaa-debug-packet: attribute(61)(nas-port-type): 0x5 attribute(128)(connect-port):esr-10000010032vlan,认证请求（code=1）,*0.18993900-aaa-debug-packet:receive radius packet from 192.168.10.4:1812 code=2 id=19 length=74 18 4c ac 52 e4 99 a5 5f 68 ac 8e 23 3c 70 d 75 attribute(85)(realtime-interval): 0x258 attribute(5)(nas-port): 0x1513d attribute(25)(class):128 attribute(6)(user-service): 0x2 attribute(7)(framed-protocol): 0x1 attribute(13)(framed-compression): 0x1 attribute(10)(framed-routing): 0x1 *0.18994520-aaa-debug-packet: attribute(11)(framed-filter):1,认证响应（code=2）,*0.18994810-aaa-debug-packet:send radius packet to 192.168.10.4:1813 code=4 id=20 length=102 ef 31 f 3 54 52 71 71 46 a2 98 d 4 87 ca 8 attribute(40)(acct-status-type): 0x1 attribute(32)(nas-name):esr attribute(8)(framed-address): 0xa0a0a01 attribute(7)(framed-protocol): 0x1 attribute(1)(user-name):user1 attribute(5)(nas-port): 0x0 attribute(61)(nas-port-type): 0x5 attribute(44)(acct-session-id):03082027130000000011 *0.18995400-aaa-debug-packet: attribute(45)(acct-authentic): 0x1 attribute(193)(acct-timestamp): 0x4a31 attribute(41)(acct-delay-time): 0x0,计费开始,1radius 2local 3remote,5virtual,计费开始请求（code=4）,*0.18995750-aaa-debug-packet:receive radius packet from 192.168.10.4:1813 code=5 id=20 length=20 18 ce 52 6a b7 f5 0 3 71 74 16 a5 bc 42 c0 8a,计费响应（code=5）,*0.18993900-aaa-debug-packet:receive radius packet from 192.168.10.4:1812 code=2 id=19 length=74 18 4c ac 52 e4 99 a5 5f 68 ac 8e 23 3c 70 d 75 attribute(85)(realtime-interval): 0xb4 attribute(5)(nas-port): 0x1513d attribute(25)(class):128 attribute(2)(password): 0x4e 0x4f 0x50 0x41 0x53 0x53 0x57 0x44 attribute(6)(user-service): 0x2 attribute(7)(framed-protocol): 0x1 attribute(13)(framed-compression): 0x1 attribute(10)(framed-routing): 0x1 *0.18994520-aaa-debug-packet: attribute(11)(framed-filter):1,实时计费间隔为180秒,实时计费之认证响应（code=2）,分解动作之一： *0.169338370-aaa-debug-packet:send radius packet to 192.168.10.4:1813 code=4 id=31 length=207 e4 67 7f f5 9d ec b4 82 d6 15 35 5d ea bd b0 ac attribute(40)(acct-status-type): 0x3 attribute(25)(class):128 attribute(32)(nas-name):esr attribute(8)(framed-address): 0xa0a0a01 attribute(7)(framed-protocol): 0x1 attribute(1)(user-name):user1 attribute(5)(nas-port): 0x28000060 attribute(61)(nas-port-type): 0x5,实时计费包,实时计费之计费请求（code=4）,分解动作之二： *0.169338940-aaa-debug-packet: attribute(44)(acct-session-id):03101407580000000102 attribute(45)(acct-authentic): 0x1 attribute(193)(acct-timestamp): 0x2957a attribute(55)(event-timestamp): 0x0 0x2 0x95 0x7a attribute(41)(acct-delay-time): 0x0 attribute(87)(nas-port-id):slot=10;subslot=0;port=0;vpi=1;vci=32; attribute(6)(user-service): 0x2 attribute(7)(framed-protocol): 0x1 attribute(42)(acct-input-octets): 0x7fd4 *0.169339520-aaa-debug-packet: attribute(43)(acct-output-octets): 0x6174 attribute(47)(acct-input-packets): 0x122 attribute(48)(acct-output-packets): 0x10e attribute(52)(acct-input-gigawords): 0x0 attribute(53)(acct-output-gigawords): 0x0 attribute(46)(acct-session-time): 0x12c,用户上传字节,用户下载字节,用户计费时长,实时计费之计费请求（code=4）,*0.19379310-aaa-debug-packet:send radius packet to 192.168.10.4:1813 code=4 id=26 length=168 1c cb 87 52 97 a2 72 7b 76 32 cb db 49 3c a3 49 attribute(40)(acct-status-type): 0x2 attribute(32)(nas-name):esr attribute(8)(framed-address): 0xa0a0a01 attribute(7)(framed-protocol): 0x1 attribute(1)(user-name):user1 attribute(5)(nas-port): 0x0 attribute(61)(nas-port-type): 0x5 attribute(44)(acct-session-id):03082033090000000014,计费结束,计费结束请求（code=4）,分解动作之二： *0.19379900-aaa-debug-packet: attribute(45)(acct-authentic): 0x1 attribute(193)(acct-timestamp): 0x4bb3 attribute(41)(acct-delay-time): 0x0 attribute(49)(acct-terminate-cause): 0x1 attribute(111)(input-kilobytes-before-tariff-switch): 0x4 attribute(115)(input-kilobytes-after-tariff-switch): 0x4 attribute(112)(output-kilobytes-before-tariff-switch): 0x0 attribute(116)(output-kilobytes-after-tariff-switch): 0x0 *0.19380460-aaa-debug-packet: attribute(113)(input-packets-before-tariff-switch): 0x29 attribute(117)(input-packets-after-tariff-switch): 0x29 attribute(114)(output-packets-before-tariff-switch): 0x0 attribute(118)(output-packets-after-tariff-switch): 0x0 attribute(72)(time-befor-tariff-switch): 0x1d attribute(73)(time-after-tariff-switch): 0x1d,计费结束请求（code=4）,*0.19380930-aaa-debug-packet:receive radius packet from 192.168.10.4:1813 co