（信号与信息处理专业论文）支持ipv6的radius服务器软件的研究与开发.pdf

支持i p v 6 的r a d i u s 服务器软件的研究与开发 摘要 随着互联网的不断发展，网络规模的不断扩大和网络应用的指数增长，传统 的i p v 4 协议己难以适应网络的进步扩张和新任务的需求，新一代网络协议 i p v 6 应运而生。由于i p v 6 有着众多的优点与特性，从而被i e t f ( i n t e r n e t e n g i n e e r i n gt a s kf o r c e ，互联网工程任务小组) 采纳为下一代互联网的标准协 议。目前i p v 6 已得到很多设备厂家与公司的支持，各大科研机构与高校也加入 了i p v 6 的研发工作当中，运营商也开始对i p v 6 表示出越来越大的兴趣。相信在 不久的将来，i p v 6 必将取代i p v 4 成为i n t e r n e l 的主导协议。 另一方面，随着整个社会的信息化进程的推进，i n t e r n e t 在中国得到迅猛 的发展，越来越多的人开始“触网”。据c n n i c ( 中国互联网络信息中心) 统计， 到2 0 0 3 年6 月3 0 目止，全国网民数量已经达到6 8 0 0 万。在这之中，绝大多数 家庭用户是通过a d s l 或普通电话拨号方式接入i n t e r n e t 。而r a d i u s 协议在电 话拨号上网过程中起着关键作用，通过它i s p 不仅可以对合法用户进行身份验 证，而且还能够对上网用户进行准确的计费。由于r a d i u s 具有安全性好、扩展 灵活、易于管理及较强的计帐功能，因此为众多的网络设备制造商所支持，是当 前拨号上网中最流行的授权、认证、计费3 a ( a u t h o r i z a t i o n 、a u t h e n t i c a t i o n 、 a c c o u n t i n g ) 协议。 2 0 0 2 年5 月，中国唯一的在实际网络中运行的准商用i p v 6 实验网络湖 南i p v 6 实验网项目正式启动，其中用到了目本h i t a c h i 公司生产的网络接入服 务器a g s l 0 0 。正是在此背景下，开发一种能够支持i p v 6 的r a d i u s 服务器软件 势在必行。本文首先介绍了i p v 6 的优点及其发展历程，并对r a d i u s 协议作了详 细说明。在此基础上，提出了支持i p v 6 的r a d i u s 服务器系统的总体结构和具体 的设计实现。最后，对该系统的基本功能做了必要的测试。 关键词：r a d i u si p v 6a a a 认证授权计费 r e s e a r c ha n dd e v e l o p m e n t o fr a d i u ss e r v e rs o f t 协r ew i t hi p v 6s u p p o r t a b s t r a c t w i t ht h ed e v e l o p m e n to fi n t e m e t ，e x p a n s eo ft h en e t w o r ks c a l ea n de x p o n e n t i a l g r o w t ho f n e t w o r ka p p l i c a t i o n ，t h et r a d i t i o n a li pp r o t o c o l - - i p v 4i sv e r yh a r dt of i tf o r t h en e t w o r ke x p a n s ea n dn e wt a s kr e q u i r e m e n t u n d e rt h i s c o n d i t i o n ，t h en e wi p p r o t o c o l - - i p v 6c a m ei n t ob e i n g b e c a u s ei p v 6h a ss om a n ya d v a n t a g e s ，i ti sa d o p t e d b yi e t f t ob e c o m et h es t a n d a r dp r o t o c o lo fn e x tg e n e r a t i o ni n t e r n e t n o wi p v 6h a s b e e ns u p p o r t e db ym a n ym a n u f a c t u r e r sa n dc o m p a n i e s ，al o to fo r g a n i z a t i o n sa n d u n i v e r s i t i e sh a v ea l s oj o i n e di nt h er & dw o r ko fi p v 6 t h en e t w o r ko p e r a t o ri nm a n y c o u n t r i e sh a v eb e c o m em o r ea n dm o r ei n t e r e s t e di ni p v 6 i ti ss u r et h a ti p v 6w i l l r e p l a c ei p v 4a n dw i l lb et h el e a d i n gp r o t o c o li ni n t e m e t o nt h eo t h e rh a n d ，w i t ht h ep r o m o t i o no ft h es o c i e t yi n f o r m i z a t i o n ，i n t e r n e th a s u n d e r g o n ear a p i dd e v e l o p m e n t i nc h i n am o r ea n dm o r e p e o p l eh a sb e g a n t os u r ft h e i n t e m e t ，a c c o r d i n g t oc n n i c sr e p o r t ，c h i n a si n t e m e tp o p u l a t i o nh a sr e a c h e d6 8 m i l l i o n m o s to f t h e ms u r ft h ei n t e m e t b y d i a l - i n w a y r a d i u s ( r e m o t e a u t h e n t i c a t i o nd i a li nu s e rs e r v i c e ) p r o t o c o l p l a y s a n i m p o r t a n t r o l ei nt h i s s c e n a r i o t h r o u g h i tt h ei s p sc a nn o to n l ya u t h e n t i c a t et h eu s e r sb u ta l s oa c c o u n tt h e m a c c u r a t e l y t h a n k st ot h eg o o ds e c u r i t y , f l e x i b l ee x p a n s i b i l i t y , e a s ym a n a g e m e n ta n d s v o n ga c c o u n t a b i l i t y , r a d i u s h a sb e e n s u p p o s e d b ym a n yn e t w o r ke q u i p m e n t m a n u f a c t u r e r s i ti sa l s oo n eo f t h em o s tp o p u l a r a a a p r o t o c o l ， i n m a y , 2 0 0 2 ，t h eo n l yc o m m e r c i a l l yr u n n i n gi p v 6n e t w o r k h u n a ni p v 6 t r i a l n e t w o r kh a sc o m et ow o r k t h en a s e q u i p m e n t - a g 8 1 0 0 i si m p o s e di nt h en e t w o r k o nt h i sc o n d i t i o n i ti sn e c e s s a r yt or e s e a r c h & d e v e l o p ak i n do fr a d i u ss e r v e r s o f t w a r e s u p p o s i n g i p v 6 t h i s p a p e r f i r s ti n t r o d u c e st h e a d v a n t a g e s a n dt h e d e v e l o p m e n th i s t o r yo fi p v 6 t h e nd e s c r i b e sp a d i u sp r o t o c o li nd e m i t a f t e rt h a t ，i t b r i n g su p t h e g e n e r a lf r a m e w o r k a n dp r a c t i c a li m p l e m e n t a t i o n ，a tl a s t ，w ea l s oh a v e d o n eat o t a lt e s to nt h i ss y s t e m k e yw o r d s ：r a d i u s ，i p v 6 ，a a a ，a u t h o r i z a t i o n ，a u t h e n t i c a t i o n ， a c c o u n t i n g i i 独创性( 或创新性) 声明 本人声明所呈交的论文是本人在导师指导下进行的研究工作及取得的研究成果。 尽我所知，除了文中特别加以标注和致谢中所罗列的内容以外，论文中不包含其他人 已经发表或撰写过的研究成果，也不包含为获得北京邮电大学或其他教育机构的学位 或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中 作了明确的说明并表示了谢意。 申请学位论文与资料若有不实之处，本人承担切相关责任。 本人签名 李逝j 日期：拯坦13 ：丝 关于论文使用授权的说明 学位论文作者完全了解北京邮电大学有关保留和使用学位论文的规定，即：研究 生在校攻读学位期间论文工作的知识产权单位属北京邮电大学。学校有权保留并向国 家有关部门或机构送交论文的复印件和磁盘，允许学位论文被查阅和借阅；学校可以 公布学位论文的全部或部分内容，可以允许采用影印、缩印或其它复制手段保存、汇 编学位论文。( 保密的学位论文在解密后遵守此规定) 保密论文注释：本学位论文属于保密在一年解密后适用本授权书。非保密论文注 释：本学位论文不属于保密范围，适用本授权书。 本人签名： 导师签名： 4 咨挣1 喜牛 日期：童! 兰：! ：堡 日期：竺型卑；，群 北京邮电大学侦士研究生学位论立 第一章绪论 1 1lp v 6 的发展 1 1 1 随着in t e r n e t 的发展，ip v 4 必将向i p v 6 过渡 随着互联网的不断发展，网络规模的不断扩大和网络应用的指数增长，支撑互联 网架构2 0 年之久的传统协议版本i p v 4 已难以适应网络的进一步扩张和新任务的需 求，互联网对新协议的呼声越来越高，新一代网络协议i p v 6 应运而生。互联网工程 任务小组i e t f ( i n t e r n e te n g i n e e r i n gt a s kf o r c e ) 从9 0 年代初开始制定下一代 i p 协议i p v 6 ，并不断制定、完善了系列标准。i p v 6 旨在发展i p v 4 已有的长处，解 决存在的问题，并取代i p v 4 成为下一代互联网的主导协议。 首先我们来看看i p v 4 的局限性： ( 1 ) 地址资源面临枯竭。 i p v 4 采用3 2 位地址方案，最多能提供4 3 亿个潜在的i p 地址。这一地址空间难 以满足按指数级增长的i n t e r n e t 用户规模以及未来移动终端和电子设备对i p 地址的 需求，加之早期地址分配的大量浪费，使全球i p 地址的分配面临沉重压力。虽然c i d r 和n a t 技术在一定程度上缓解了地址空间被耗尽的危机，但同时也为基于i p 的网络 增加了复杂性，并且破坏了一些i p 协议的核心特性，比如端到端原则，因此不能从 根本上解决i p v 4 面对的困难。据i e t f 估计，基于i p v 4 的地址资源将会在2 0 1 0 年枯 竭。 ( 2 ) 路出选择效率不高。 i p v 4 是采用与网络拓扑结构无关的形式来分配地址，地址层次结构缺乏统一的 分配和管理，多数i p 地址空间的拓扑结构不尽合理，导致主干路由器中存在庞大的 路由表项，增加了路由查找和存储的开销，成为互联网效率的一个瓶颈；同时i p v 4 数据包的报头长度不固定，难以用硬件提取、分析路由信息，这对进一步提高路由器 的吞吐率也是不利的。 ( 3 ) 安全与服务质量( q o s ) 保证的欠缺。 i p v 4 遵循b e s te f f o r t 原则，这一方面是一个优点，因为它使i p v 4 简单高效； 但另一方面它对安全性要求很高的电子商务及新近涌现的对服务质量保证有一定要 求的实时和多媒体的应用而言，其功能颇显不足。虽然研究人员提出了新的协议以弥 北京邮电大学硕士研究生学位论文 补i p v 4 该方面的不足，如执行资源预留的r s v p 协议和支持实时传输的r t p r t c p 协 议，但这些协议同样提高了规划、构造i p 网络的成本和复杂性。 下面再来看看i p v 6 的优点： ( 1 ) 扩展的地址空间。 i p v 6 将i p 地址长度由3 2 位增加到1 2 8 位，使地址数量大大增加( 地球上每平方 米土地将有6 6 5 亿个i p v 6 地址) ，这将完全满足未来发展的需要。 ( 2 ) 改进的路由结构。 i p v 6 采用类似c i d r 的地址聚类机制层次的地址结构。为支持更多的地址层次， 网络前缀可以分成多个层次，其中包括1 3 比特的t l a i d 、2 4 比特的n l a i d 和1 6 比特的比s l a i d 。i p v 6 的管理机构对t l a 的分配进行严格管理，只将其分配给大型 骨干网的i s p ，然后骨干网的i s p 再为各个地区中小i s p 分配n l a ，而用户从中小 i s p 获得地址。这样不仅可以定义非常灵活的地址层次结构，同时，同一层次上的多 个网络在上层路由器中表示为一个统一的网络前缀，这样可以显著减少路由器必须维 护的路由表项。按照1 3 比特的t l a 计算，理想情况下一个核心主干网路由器只需维 护不超过8 1 9 2 个表项，这大大降低了路由器的寻路和存储开销。同时，i p v 6 采用固 定长度的基本包头并加以简化，避免了那些很少使用的域静态地占用空间，字段由 i p v 4 的1 3 个降为7 个，使路由器处理分组的速度加快，提高了吞吐率。i p v 6 数据包 头中的“n e x th e a d e r ”域指向扩展部分，以便提供可选特征，使路由器可简单地跳 过选项，加速分组处理的过程。 ( 3 ) 自动的地址配置。 i p v 4 的手工配置过程是非常复杂和烦琐的，i p v 6 引入了自动配嚣( “即插即用”) ， 一个主机在i n t e r n e t 网络登记后，位置或配置发生变化时只需要进行很少的改动即 可进行工作，这样可以大幅度降低网络管理者的配黄和地址映射工作。i p v 6 提供了 两种自动配置的方法： 有状态方式：也就是i p v 4 下的d h c p 技术，它根据计算机的请求，由d h c p 服务 器动态分配唯一的网络地址，这些i p 地址存放在预设置的数据库中。 无状态方式：利用邻居发现机制，根据与网络连接链路的地址产生网络节点的全 局i p 地址，这种方法可能会使用到节点接口的第2 层地址，如以太网的m a c 地址。 ( 4 ) 完善的安全性。 网络的安全是互联网商业应用的保证，也是现今网络最让人头疼的地方。i p v 6 采用了认证、加密两个扩展标头。认证扩展标头的目的是保证在网络应用中确认数据 包来源的正确性，有效防止了网络黑客的入侵。加密扩展标头采用独立的加密算法， 北京邮电大学硕十研究生学位论文 运用在网络层进行加密的技术一一封装安全载荷e s p ( e n c a p s u l a t e ds e c u r i t v p a y l o a d ) 对数据进行加密，保证了数据的安全性和完整性。也可采用i p s e c 协议提 供的认证、加密安全机制及传输模式和隧道模式，负责网络层以下的网络安全。i ( 5 ) 可靠的q o s 。 i p v 6 提供对服务质量( q u a l i t yo fs e r v i c e ：q o s ) 的支持在i p v 6 分组的头部 中定义了业务类别( c l a s s ) 和数据流标志( f l o wl a b e l ) 。前者将i p 分组的优先级 分为1 6 个等级，对需要特殊q o s 的业务，可按需设置，酌情处理；后者用于标识、 处理任意一个网络中传输的数据流。这样就可以优化数据传输性能，提高服务质量和 网络性能。 ( 6 ) 对移动性更强大的支持。 i p v 6 比i p v 4 能为i p 移动提供更强的支持。i p v 6 巨大的地址空间使移动性实现 起来更加简单：i p v 6 地址自动配置简化了移动节点的转交地址的分配；移动i p v 6 避 免了移动i p v 4 的三角路径问题，实现了路由优化：移动i p v 6 中不再需要外地代理。 实际上，制定下一代移动通信系统“i m t 一2 0 0 0 ”标准的3 g p p ，已经决定在下一代移 动技术的基本协议中采用i p v 6 。 正因为i p v 6 有着如此多的优点，因此我们有理由相信，在不久的将来，i p v 6 将 逐步替代i p v 4 而成为i n t e r n e t 上的主流协议。因此，我们需提前做好过渡到i p v 6 时代的准备。m 1 12 i p v 6 的发展历史与现状 i p v 6 在全球的发展其实已经有了近1 0 年的历史。早在1 9 9 2 年，i e t f 就成立i p n g 工作组，专门研究下一代互联网协议。1 9 9 4 年夏i p n g 提出i p v 6 的推荐版本，1 9 9 5 年夏i p n g 完成i p v 6 的协议文本；1 9 9 5 1 9 9 9 年完成i e t f 要求的协议审定和测试， i p v 6 的协议文本成为标准草案。之后i e t f 制定了大量的i p v 6 相关标准，包括地址 结构、域名解析、安全、自动配置、邻居发现、路由协议等方面。同时为了对i p v 6 协议特性进行研究并积累i p v 6 组网经验，i e t f 于1 9 9 6 年建立了全球范围的试验床 ( t e s t b e d ) ，称作6 b o n e 。6 b o n e 是一个虚拟的网络，以隧道( t u n n e l ) 的方式通过基 于i p v 4 的互联网实现互联。1 9 9 8 年底，面向实用的全球性i p v 6 研究和教育网( 6 r e n ) 开始启动，建立了物理的以a t m 为中心的i p v 6 洲际网络。 i p v 6 自出现以来引起了世界重要研究机构和公司的重视，得到了很多厂家与公 司的支持。目前f r e e b s d 、s n l a r i s 、l i n u x 、u n i x 上都已经有了i p v 6 协议栈的实现， k l i c r o s o f t 也已经提供了w i n d o w sx p 和w i n d o w s2 0 0 0 平台的i p v 6 协议栈，并且在 北京邮电大学碗l 研究生学位论文 其流行的浏览器i n t e r n e te x p l o r e r 中加入i p v 6 的支持。大量网络设备供应商，如 c i s c o 、j u n i p e r 、n o r t e l 、e r i c s s o n 、a 1 c a t e l 、n o k i a 、6 w i n d 、日立、n e c 以及富 士通等，都针对i p v 6 互联网的发展需求，投入大量研发经费，开发相关产品，如基 于i p v 6 的路由交换设备以及测试设备等。 由于支持移动节点以及自动配置特性，i p v 6 成为实现移动通信和互联网融合的 一个机遇。目前，制定下一代移动通信系统“i m t 一2 0 0 0 ”标准的3 g p p 已经决定在下 一代移动技术的基本协议中采用i p v 6 。与此同时，n o k i a 等公司还宣布，将在其2 5 g 和3 g 网络中全面采用i p v 6 ，并已成功进行了相关试验。1 9 9 9 年，为了推广i p v 6 在 世界的普及，来自北美、欧洲和亚洲的2 0 多家全球最大的电信厂商和i t 厂商( 包括 a t & t 、b e l l s o u t h 、德国电信、英国电信、爱立信、意大利电信、c i s c o 、n o r t e 、i b m 、 m i c r o s o f 、c o m p a q 、n o k i a 、3 c o m 、日立以及n t t 等) 发起成立了i p v 6 论坛，专门 从事宣传和推广i p v 6 新协议的工作，每年举行2 3 届i p v 6 全球峰会。互联网地址 分配机构i c a n n 也已于i 9 9 9 年7 月1 4 日开始正式分配i p v 6 地址。 11 3 国内l p v 6 的研究及发展 由于历史的原因，我国在i p v 4 的发展中处在后进的状态，在国际上发言权不多， 导致在i p 地址的供需上严重失衡。因此，对于一个互联网和移动通信大国的中国而 言，i p v 6 也是一个解决地址匮乏问题和争取更大的发言权的契机，也是我们在互联 网领域施展身手、赶超先进国家的重大机遇。 1 9 9 8 年6 月我国国家教育科研网c e r n e t 也加入了6 b o n e ，并于同年1 2 月成为其 骨干成员。c e r n e t 建立了i p v 6 试验床并在i p v 6 领域在中国开展了许多开拓性的研 究。 1 9 9 9 年底，在国家自然科学基金委的资助下，由清华大学、中国科学院计算机 信息网络中心、北京大学、北京邮电大学、北京航空航天大学等单位承担建设的联合 研究项目”中国高速互连研究试验网络”n s f c n e t ( n a t i o n a l n a t u r a ls c j e n c e f o u n d a t i o no fc h i n an e t w o r k ) 开始启动。该项目的研究目标是，建设一个基于密 集波分多路复用d w d m 光传输技术的高速计算机互连学术性试验网络，研究下一代互 联网络关键技术和基础理论，开发若于重大应用系统，为我国开展下一代互联网络技 术研究提供实验环境。 2 0 0 2 年1 月，佳讯公司在国内首家推出同时支持i p v 6 和i p v 4 协议的双协议栈 路由器f h 6 5 0 1 ，填补了国内空白。 2 0 0 2 年3 月，信息产业部电信研究院传输所与天地互连信息技术有限公司( b i i ) 北京邮电大学硕士研究生学位论文 联合发起成立了“下一代i p 电信实验网”( i p v 6t e e c o mt r i a ln e t w o r k ，6 t n e t ) 。 与学校及科研单位i p v 6 试验床不同的是：6 t n e t 以面向商用实验为目标，致力于i p v 6 产业化进程中的关键技术研究、组网、过渡策略、协议标准制定、测试、业务开发及 商业模式研究等，是中国第一个也是目前最大的一个面向商用实验的i p v 6 实验网络。 2 0 0 2 年5 月，中国唯一的在实际网络中运行的准商用i p v 6 实验网络湖南 i p v 6 实验网项目正式启动。该i p v 6 实验网项目由天地互连信息技术有限公司( b i i ) 提供组网方案及技术支持。” 1 2r a d i u s 协议在in t e r n e t 的应用 随着整个社会的信息化进程的推进，i n t e r n e t 在中国得到迅猛的发展，越来越 多的人开始“触网”。据c n n i c ( 中国互联网络信息中心) 统计，到2 0 0 3 年6 月3 0 日止，全国网民数量已经达到6 8 0 0 万。而这之中，绝大多数家庭用户是通过a d s l 或普通电话拨号方式接入i n t e r n e t 。有一个协议在电话拨号上网过程中起着关键作 用，这就是r a d i u s 协议。通过它i s p 不仅可以对合法用户进行身份验证，而且还能 够对上网用户进行准确的计费。 r a d i u s 即远程认证接入用户服务( r e m o t ea u t h e n t i c a t i o n d i a li nu s e r s e r v i c e ) ，它最初是由l i v j n g s t o n 公司( 现在已经并入l u c e n ti n t e r n e t w o r k i n g s y s t e m 公司) 开发，作为一种c l i e n t s e r v e r ( 客户机h e 务器) 模式的安全协议后 由m e r i t 大学进# t t 功能的扩展，逐渐成为一种电话接入i n t e r n e t 的认证计费协议。 r a d i u s 具有安全性好、扩展灵活、易于管理等特点，同时还有很强的计帐功能。i e t f 在1 9 9 7 年1 月份发布了由l i v i n g s t o n 、m e r i t 、d a y d r e a m e r 三家起草的关于r a d i u s 的r f c ：r f c 2 0 5 8 、r f c2 0 5 9 ，后修改为r f c 2 1 3 8 、r f c2 1 3 9 ，现在最新的版本是2 0 0 0 年6 月提交的r f c 2 8 6 5 、r f c 2 8 6 6 。 r a d i u s 具有如下特点： ( 1 ) 集中统一的管理模式。 在早期的应用系统或小型应用环境中，由于没有使用r a d i u s ，所有用户的帐号、 口令及其它信息都要存储在i s p 的n a s 设备上。这就占用了n a s 宝贵的内存资源，带 来访问效率的下降。同时，在拨号电话号码连选的应用场合下，要求每个n a s 均维护 相同的最大量度的用户信息表，以保证用户拨号经连选后，不管拨入哪一台n a s 均能 正确得到认证，这样会带来资源上的浪费和管理上的不便。一般情况下，n a s 本身的 用户表的大小都是有限的，当用户数目不断增加时，这个矛盾将日益尖锐。 在使用r a d i u s 的系统中，r a d i u s 对所有用户的帐号和口令实现集中的管理，建 北京邮电人学硕士研究生学位论文 立起一个统一的用户数据库，所有的用户信息均由n a s 迁移到r a d i u ss e r v e r 上，一 方面节约了n a s 的内存资源，另一方面用户的信息集中保留在唯一的数据库中，对于 安全性、易于管理性都有明显改进。 ( 2 ) 开放性。 r a d i u s 软件包产品是遵守r a d i u s 协议开发的，具有良好的开放性特点。各大公 司配合自己的产品要求和工程需求，在共同遵守r a d i u s 协议的基础上，百花齐放， 开发出各自的r a d i u s 软件包。 ( 3 ) c ije n t s e r v e r 结构。 n a s 为r a d i u sc 1 i e n t ，计费认证中心为r a d i u ss e r v e r 。r a d i u s 的 c l l e n t s e r v e r 结构带来了众所周知的高效性。用户身份的认证及计费由高性能的服 务器进行处理，减轻了n a s 的负担。而且i s p 可以选择多种支持r a d i u s 协议的n a s 产品，灵活，又保护了投资。 ( 4 ) 采用u d p 。 在传输层，使用u d p 包对r a d i u s 信息包进行封装和传输，保证了简捷高效。 ( 5 ) 高度的网络安全。 c l i e n t 和s e r v e r 可相互识别：s e r v e r 识别c i i e n t 通过双方互知的、不在网 上传送的共享保密字s e c r e t ，一个r a d i u ss e r v e r 和与它相连的每个r a d i u sc l j e n t 之间有一个不相同的、唯一识别的密码。 s e r v e r 对c 1 i e n t 的回答包中含有c l l e n t 发给s e r v e r 的a u t h e n t i c a t o r 信息。 用户保密：c l i e n t 传给s e r v e r 的用户p a s s w o r d ，是通过共享s e c r e t 、随机 数a u t h e n t i c a t o r ( 在s e c r e t 存在期间全域唯一) 及用户输入的p a s s w o r d 经过加密 算法后才在网上传送。 ( 6 ) 灵活的认证机制。 r a d i u ss e r v e r 能支持多种认证用户方法，当输入用户名和用户密码时，就可以 支持p p pp a p 或c h a p 、u n i xl o g i n 等认证体系。 ( 7 ) 扩充性好。 增加一个新属性三元组( 属性类型码、属性长度、属性值) ，不影响已实现的协 议处理。 正是由于r a d i u s 有着以上诸多优点，从而使得使用r a d i u s 协议及其扩展协议作 为认证计费系统的核心协议已成为国际上的主流。”3 北京邮屯大学硕士研究生学位论文 13 开发支持ip v 6 的r a d i u s 服务器软件的意义 目前在市场上常见的r a d i u s 服务器软件有基于h i n u x 操作系统的f r e e r a d i u s ， o p e n r a d i u s 、e n t e rr a d i u s ，还有w i n d o w s 下的w i n r a d i u s 、s t e e l b e l t e dr a d i u s 、 锐捷s - r a d i u s 、安腾r a d i u ss e r v e r 、迪威r a d i u s ，但它们基本上只支持i p v 4 ，而 对i p v 6 并不提供支持。虽然f r e e r a d i u s 提供了对i p v 6 的支持，但是它是基于l i n u x 操作系统的，而且其配胃比较繁琐，完全靠用户修改c l ie r r s 、h i n t s 、u s e r s 几个配 置文件来达到控制用户接入的目的。随着国内i p v 6 试验网的建设与发展，i s p 迫切 需要一种简单易行、稳定高效的能够支持i p v 6 的r a d i u s 服务器软件来为之服务，因 此开发一种能支持i p v 6 的r a d i u s 服务器软件就显得格外有意义。 1 4 论文工作 在i p v 6 的发展中，日本可以说是走在世界的前面。h i t a c h i 公司为了满足国际 上i p v 6 的应用与发展，于2 0 0 1 年推出世界上最早的i p v 6 接入服务器a g 8 1 0 0 ， 目前该接入服务器已在中国湖南i p v 6 实验网得到使用。本项目针对的正是a g 8 1 0 0 ， 试图开发出一种能运行在w i n d o w s 下的支持i p v 6 的r a d i u s 服务器软件，而且要求其 具有良好的管理界面，简单的操作性。具体来说应达到如下目标： ( 1 ) 支持r f c 2 8 6 5 、r f c 2 8 6 6 、r f c 3 1 6 2 协议标准。 ( 2 ) 支持i p v 6 。 ( 3 ) 支持h i t a c h ia o s l 0 0 接入服务器。 ( 4 ) 能列拨号用户进行用户名和口令的认证，检测通过则允许用户接入。 ( 5 ) 能对接入用户进行记帐( 记录用户名、上线时间、下线时间、输入字节、输出 字节等信息) 。 ( 6 ) 提供r a d i u s 管理功能，包括字典管理，n a s 管理及用户帐户管理等。 本人在这个开发项目中负责r a d i u s 总体方案的制定，具体来说做了以下几部分 工作： ( 1 ) 阅读相关技术资料，熟悉a g 8 1 0 0 的结构和功能。 ( 2 ) 负责r a d i u s 总体方案的提出和结构设计。 ( 3 ) 根据r a d i u s 协议，采用v c + + 7 0 语言完成编写认证及计费部分的程序。 ( 4 ) 完成各模块的测试工作。 ( 5 ) 向公司提交必要的文档资料。 北京邮电大学硕j l 研究生学位论文 第二章r a d f u s 协议原理 当前，随着i n t e r n e t 的日益商业化和社会化，越来越多的用户接入i n t e r n e t ， 享用其中无尽的资源宝藏。据c n n i c ( 中国互联网络信息中心) 统计，到2 0 0 3 年6 月3 01 3 止，全国网民数量已经达到6 8 0 0 万。而这之中，绝大多数家庭用户是通过 a d s l 或普通电话拨号方式接入某一i n t e r n e t 服务提供商( i s p ) ，以此实现其与 i n t e r n e t 的通信接口。 随着用户数目的增多，网络负荷的增大，给网络的安全性及管理的方便性带来了 挑战。一方面，计算机黑客可以在用户拨号上网期内窃听到用户j j 有的帐号及使用的 口令字；另一方面，对于日渐庞大的用户群，系统管理员也需要一种方便的统一的管 理手段，来完成高效、严密的管理工作。 技术是为市场服务的。正是在市场需求的驱使下，r a d i u s 终于诞生了。r a d i u s ( r e m o t ea u t h e n t i c a t i o nd i a l i nu s e rs e r v i c e ) ，即远程拨号用户身份认证及计 费服务系统，最初是由l i v i n g s t o n 公司( 现在已经并入l u c e n ti n t e r n e t w o r k i n g s y s t e m 公司) 开发，作为一种c 】j e n t s e r v e r ( 客户机服务器) 模式的安全协议后 由m e r i t 大学进行了功能的扩展，逐渐成为一种电话接入i n t e r n e t 的认证计费协议。 r a d i u s 具有安全性好、扩展灵活、易于管理等特点，同时还有很强的计帐功能，因 此为众多的网络设备制造商所支持，是当前拨号上网中最流行的授权、认证、计费 3 a ( 授权a u t h o r i z a t jo n 、认证a u t h e n t i c a t i o n 、计费a c c o u n t i n g ) 协议。 i e t f 于1 9 9 7 年4 月发布了由l i v i n g s l o n 、m e r i t 、d a y d r e a m e r 三家起草的关于 r a d i u s 的r f c ，包括两部分：认证部分( r f c 2 1 3 8 ) 和计费部分( r f c 2 1 3 9 ) 。2 0 0 0 年 6 月又针对旧版本进行了改进，分别定为r f c 2 8 6 5 和r f c 2 8 6 6 。“ 2 1 关于r a d iu s 的几个基本概念 在讨论r a d i u s 前，首先对将涉及到的几个基本概念加以阐述： ( 1 ) r a d i u ss e r v e r r a d i u ss e r v e r 是指一台运行r a d i u s 软件包的服务器，既可是u n i x 操作系统， 也可为w i n d o w s 操作系统。r a d i u ss e r v e r 上维护着一个所有拨号用户的帐户数据库。 ( 2 ) r a d i u sc l i e n t r a d i u sc i i e n t 一般指各各硬件厂家所生产的符合r a d i u s 协议的n a s ，它向 北京邮电大学顿卜研究生学位论文 r a d i u ss e r v e r 发出一定格式的请求数掘包，并接收r a d i u ss e r v e r 传回的响应数据 包。每一个r a d i u sc l t e n t 必须明确定义出为其服务的r a d i u ss e r v e r 。 ( 8 ) r a d i u s 的c lie n t s e r v e r 结构 r a d i u s 是一具有c 1 i e n t s e r v e r 的分布式安检系统。由运行r a d i u s 软件包的服 务器扮演s e r v e r ，遵循r a d i u s 协议的n a s 充当c 1 i e n t 。s e r v e r 总时刻监听任何来 自c l i e n t 的信息请求，并在处理后作出相应的响应；c l i e n t 则负责向指定的s e r v e r 发送并接收数据包。 ( 4 ) n a s n a s ( n e t w o ka c c e s ss e r v e r ) ，即网络接入服务器，由一个m o d e m 池和一个局域 网络接口组成。一端对着公用电话网( p s t n ) 来的众多电话拨入线，一端连接着一个 接通i n t e r n e t 的局域网络，以此完成将个远程拨号用户透明地接入本地局域网， 进而达到访问i n t e r n e t 的目的。 2 2r a d i u s 服务器的功能 r a d i u s 服务器提供三个基本的功能是：a u t h e n t i c a t i o n ( 认证) 、a u t h o r i z a t i o n ( 授权) 、a c c o u n t i n g ( 计费) ( 1 ) a u t h e n t i c a t i o n ( 认证) r a d i u s 决定哪些用户符合条件接受服务。合法用户的认证信息存储在本地的一 个用户表文件、本地的数据库或采用外部认证机制，如u n i x 的用户口令文件中。客 户端把用户要求认证的信息，如用户名和口令，发送一个a c c e s s r e q u e s t 的请求， 服务器检查用户表文件决定是否合法用户，如是，发送a c c e s s a c c e p t 消息给客户端， 认证合格，同时发送授权信息：如不是，发送a c c e s s r e j e c t 消息给客户端，拒绝这 次认证。 ( 2 ) a u t h o r i z a t i o n ( 授权) 用户在认证确认的同时，也得到服务器所给的授权信息，决定用户可以得到哪些 服务。 ( 3 ) a c c o u n t i n g ( 计费) r a d i u s 服务器对得到授权的用户开始记帐，直到用户关闭连接。 2 3r a diu s 服务器的基本工作原理 r a d i u s 服务器基本工作原理就是：客户端把拨号用户的认证信息以加密的方式 送到服务器，在认证通过以后，获得相应的授权信息，登陆上网络，服务器同时对用 北京邮电大学硕士研究生学位论文 户记帐。 在实际应用中，r a d i u s 的认证、计费功能可以集成在同一台服务器上，也可以分 别放于不同的服务器上( 认证服务器和计费服务器) ，r a d i u s 系统结构框图如图2 一l 所示： 图2 1r a d i u s 系统结构框图 其认证计费流程如下图示 北京邮屯大学硕士研究生学位论文 图2 - 2r a d i u s 系统认证计费流程 ! ! 塞! ! ! ! ! 皇= ! ：堂塑：! 二塑塞圭兰竺丝苎 一一一 2 4r a d iu s 的增强功能 ( 1 ) 主r a d i u ss e r v e r 和备份r a d i u ss e r v e r 出于安全性的考虑，可以配置两个r a d i u ss e r v e r ，一个指定为主服务器，另一 个为备份服务器。当主服务器出现故障，无法正常工作时，将启用备份服务器继续完 成相同工作。主服务器及备份服务器可同处于一个局域网中，也可分别处于远程网络 中。 ( 2 ) 漫游( r o a m i n g ) 功能 借助r a d i u s 的漫游功能，可以实现地域性的、全国性的、甚至全球性的联网工 作。r a d i u s 支持p r o x y 功能，即r a d i u s 可以转发由其他r a d i u s 的回应包给n a s 。这 种特性的最大应用是漫游( r o a m i n g ) ，当i s pa 的用户通过i s pb 的接入设备上网时， 由于用户的信息( 帐号、口令、授权等) 在i s pa 的r a d i u s 服务器上，一次i s pb 的r a d i u s 服务器收到n a s 发来的r a d i