（信号与信息处理专业论文）基于radius协议的宽带接入认证技术研究.pdf

中文摘要随着网络的快速发展，网络的安全问题也日益突出。在整个网络安全体系中网络接入认证可以在源头上防止非法用户访问网络，承担着基础性的作用。目前，存在三大主流认证技术：p p p o e 技术、w e b 认证技术和8 0 2 1 x 认证技术。它们分别和r a d i u s 的结合就构成了三种主要的接入认证方案。p p p o e 技术秉承了窄带拨号上网技术的思路，是局域网技术、以太网技术和p p p 协议三者的有机结合。它充分利用运营商原有的窄带认证资源，节约网络运营成本，同时又不改变上网用户的使用习惯。w e b 认证是一种业务类型的认证。一般需要和d h c ps e r v e r 或v l a n 相配合，实现起来较复杂。但它无需特殊的客户端，只需浏览器就能完成认证。对于用户而言，使用简单方便。8 0 2 i x 协议是一种基于端口的认证策略。它通过认证前后，端口的关闭和开启，控制用户对网络资源的访问。在本文中，作者详细阐述了r a d i u s 协议、p p p o e 认证、w e b 认证和8 0 2 1 x认证技术的原理，在此基础上得出了p p p o e 认证、w e b 认证8 0 2 1 x 认证技术的优缺点和适用的环境。此外作者提出了一套8 0 2 1 x 认证系统中认证者部分的具体实现方案。在此方案中作者采用了模块化的设计，将整个认证者系统分为七个子模块，以消息驱动的方式实现状态机中各状态的流转，每个状态节点由执行体、转移体组成，根据具体的信息流向、事件、异常等信息进行节点之间的转移设置。论文的最后，作者论述了网络接入认证技术的新发展，端口安全技术。关键词：接入认证8 0 2 i xp p p o ew e b 认证宽带a b s t r a c tw i t ht h eh i g h s p e e dd e v e l o p m e n to fi n t e r a c t , t h en e t w o r ks e c u r i t y , w h i c hi sb a s e d0 n 也en e t w o r ka c c e s sa u t h e n t i c a t i o n ，b e c o m e sm o r ea n dm o r ei m p o r t a n t - c u r r e n t l y ，n l e r ea r et h r e ep o p u l a ra u t h e n t i c a t i o nm e t h o d s ：p p p o ea u t h e n t i c a t i o n ，w e ba u t h e n t i c a t i o na n d8 0 2 1xa u t h e n t i c a t i o n p p p o ei n h e r i t sm o s to ft h ea d v a n t a g e so fl o w b a n dd i a l u pt e c h n o l o g y i ti sac o n l b i n a t i o no fe t h e m e t ，l a na n dp p ep p p o ec a nb eu s e do ne x i s t i n gc u s t o m e rp r e m i s ee q u i p m e n t ，s a v ec o s ta n dr e t a i nt h eh a b i to fu s e r sd i a l i n gu p w e ba u t h e l n i c a t i o n ，w h i c hw o r k sa l o n gw i t hd h c ps e r v e ro rv l a ng e n e r a l l y , i sab u s i n e s sa u t h e n t i c a 毫i o n i ti sc o m p l i c a t e dt oi m p l e m e n tt h ew e ba u t h e n t i c a t i o n b u ti ta l n h e n t i c a t e su s e rj u s tb yt h ew e bb r o w s e rw i t h o u tac l i e n t ，t h u si ti sc o n v e n i e n tf o ru s e r s t h ei e e e8 0 2 1xs t a n d a r dd e f i n e sp o r t - b a s e d ，n e t w o r ka c c e s sc o n t r o lt h a ti su s e dt op r o v i d ea u t h e n t i c a t e dn e t w o r ka c c e s sf o re t h e m e tn e t w o r k s i tr e s t r i c t su n a u t h o r i z e dc l i e n t sf r o mc o n n e c t i n gt oal a nt h r o u g hp u b l i c l ya c c e s s i b l ep o r t s i nt h i sp a p e r ，t h ea u t h o rg i v e st h ed e t a i l so fr a d i u s ，p p p o e ，w e ba u t h e n t i c a t i o n ，a n d8 0 2 1 xa u t h e n t i c a t i o n t h e nt h ea u t h o rd e d u c e st h eb e n e f i t sa n dl i m i t a t i o n so fp p p o e ，w e ba u t h e n t i c a t i o n ，a n d8 0 2 1 xa u t h e n t i c a t i o n b e s i d e st h e s e ，t h ea u t h o rp u t sf o r w a r dan e wi m p l e m e n to f8 0 2 1 xa u t h e n t i c a t o r , w h i c hb a s e do nm o d u l i z a t i o nd e s i g n t h ea u t h e n t i c a t i o nm o d u l ec o n s i s t so f7s u b m o d u l e s ；t h es t a t e仃a n s i t i o ni sm o t i v a t e db ym e s s a g e s e a c hs t a t ec o n s i s t so fe x c u t i v ep a r ta n dt r a n s i t i o np a r t i nt h ee n do ft h i sp a p e r , t h ea u t h o rd i s c u s s e st h en e wt e c h n o l o g yo fa c c e s sa u t h 【e n t i c a t i o n ，p o r ts e c u r i t y k e yw o r d s ：a c c e s sa u t h e n t i c a t i o n ，8 0 2 1x ，p p p o e ，w e ba u t h e n t i c a t i o n ，b r o a d b a n d独创性声明本人声明所呈交的学位论文是本人在导师指导下进行的研究工作和取得的研究成果，除了文中特别加以标注和致谢之处外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含为获得墨盗盘堂或其他教育机构的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均己在论文中作了明确的说明并表示了谢意。学位论文作者签名：苇弱丈签字日期：2 c ，1年j 月群日学位论文版权使用授权书本学位论文作者完全了解苤盗苤鲎有关保留、使用学位论文的规定。特授权墨鲞盘鲎可以将学位论文的全部或部分内容编入有关数据库进行检索，并采用影印、缩印或扫描等复制手段保存、汇编以供查阅和借阅。同意学校向国家有关部门或机构送交论文的复印件和磁盘。( 保密的学位论文在解密后适用本授权说明)学位论文作者签名：韦p 疋导师签名：签字日期：2 岬年j 月2 争日签字日期：z 一7 年7 月z 7 日第一章绪论1 1 课题背景及研究意义第一章绪论目前我国互联网正处于一个前所未有的快速发展时期。据第1 8 次中国互联网络发展状况统计调查结果显示，2 0 0 6 年上半年的中国互联网络在整体上继续保持快速增长的态势，其中网民人数、上网计算机数分别达到了1 2 3 0 0 万人、5 4 5 0 万台，与去年同期相比分别增长了1 9 4 和1 9 5 ，同时宽带( ) 【d s l 、c a b l em o d e m等) 上网网民人数7 7 0 0 万人，与去年同期相比增长4 5 3 【8 】。伴随着网络的发展，人们对网络带宽及速率也提出了更高的要求，普通的窄一带网络已很难满足人们的需要，宽带网络正在走进普通人的生活。但与此同时，网络安全问题也日渐突出，而接入认证安全作为网络安全中的基础一环担负着至关重要的作用。为适应各种接入方式的需求，宽带接入技术也在不断地发展。先后出现p p p o e技术、w e b 认证技术和8 0 2 1 x 认证技术等。它们与r a d i u s 协议的结合也就构成了当今宽带接入认证的三大主流认证方案。1 2 作者的工作和成果作者曾参与了天津大学8 0 2 1 x 认证系统客户端软件设计的部分工作，对于客户端软件中8 0 2 1 x 认证的s u p p l i c a n tp a e 的实现部分做了详细地研究，并用c 语言实现了s u p p l i c a n tp a e 的功能。后来又在华为三康公司北京研究所实习了一年，在此期间也是负责其交换机、路由器系统软件平台的8 0 2 1 x 模块、端口安全模块和a a a 模块的特性开发和维护工作。以上的经历也使得作者对于接入认证技术有了比较深入的了解。在本文中，作者在查阅大量资料的基础上，根据作者在工作中遇到的问题和经验，完成了如下的工作：1 详细地阐述了详细阐述了r a d i u s 协议、p p p o e 认证、w e b 认证和8 0 2 1 x 认证技术的原理。2 提出并论证了p p p o e 认证、w e b 认证8 0 2 1 x 认证技术的优缺点和适用的环境。第一章绪论3 提出了一套8 0 2 1 x 认证系统中认证者部分的具体实现方案。4 论述了网络接入认证技术的新发展，端口安全技术。其中认证者部分的实现方案和端口安全的各种特性在实际的试验及应用中都取得了良好的效果。1 3 论文结构论文后续部分组织结构如下：第二章r a d i u s 协议，主要介绍了r a d i u s 协议的报文结构、理、r a d i u s 协议的认证流程和协议的实现中的注意事项。第三章p p p o e 认证，主要介绍了p p p o e 协议产生的背景，议的优缺点，并详细介绍了p p p o e 协议的两个认证阶段。r a d i u s 协议的原协议的流程和协第四章w e b 认证，介绍了w e b 认证的体系结构、工作原理和实现的类型，并给出了一个可能的实现流程和在实现中应该注意的主要问题。第五章8 0 2 1 x 认证，介绍了8 0 2 1 x 认证协议产生的背景、原理和优缺点，并在此基础上给出了较详细的a u t h e n t i c a t o r p a e 的实现。第六章端口安全技术，描述了新出现的端口安全技术的原理，并详细了c i s c o及华为三康公司的端口安全技术以及配置的方法。第二章r a d i u s 协议2 1r a d i u s 协议简介第二章r a d i u s 协议r a d i u s 是远程认证拨号用户服务协议( r e m o t ea u t h e n t i c a t i o nd i a li nu s e rs e r v i c e ，r a d i u s ) 的简称，它最初是由l i v i n g s t o n 公司提出的一个为拨号用户提供认证和计费的协议。后经多次改进，逐渐成为一项通用的网络认证、计费协议，并定义于i e t f 提交的r f c 2 8 6 5 、r f c 2 8 6 6 等多个文件中。r a d i u s 服务器支持多种认证机制，它可以验证来自p p p 、p a p 、c h a p 和u n i x 系统登录的用户信息的有效性。现在r a d i u s 协议的应用范围很广，在移动、数据、智能网等业务的认证、计费系统中都有所应用。r a d i u s 协议以c l i e n t s e r v e r 方式工作。客户端为网络接入服务器( n a s ) ，它向r a d i u s 服务器端提交认证、计费等信息，黜i u s 服务器处理信息后，将结果返回给n a s ，然后n a s 按照r a d i u s 服务器的不同的响应来采取相应动作。另外，r a d i u s 服务器还可以充当别的r a d i u s 服务器或者其他种类认证服务器的代理客户。n a s 和r a d i u s 服务器之间传递的信息通过共享的密钥进行加密。r a d i u s 服务器支持多种认证协议j 所有的认证协议都是基于t l v ( 属性、长度、属性值) 三元组组成的，因此协议的扩展性很好。2 2r a d i u s 协议原理2 2 1r a d i u s 协议报文格式准确地讲，r a d i u s 报文是封装在u d p 报文的数据域中的，它的u d p 目的端口号是1 8 1 2 。当产生一个回应的时候，源端口和目的端口互换。早期的r a d i u s协议使用u d p 端口16 4 5 ，由于和著名的”d a t a m e t r i c s ”服务相冲突。为r a d i u s 协议重新分配了端口号1 8 1 2 。r a d i u s 报文格式如图2 1 所示。各个域的数据是从左向右传输的。第二章r a d i u s 协议c o d ei d e n t i f i e rl e n g t ha u t h e n t i c a t o ra t t r i b u t e s 图2 1r a d i u s 报文格式各字段含义如下：1 代码( c o d e )c o d e 域占位一个字节，它用来标识r a d i u s 报文类型。当收到的报文的代码域非法时，该报文将会被静默丢弃。r a d i u s 计费报文c o d e 域( 十进制) 分配如下：l接入请求报文2接入成功回应报文3接入拒绝回应报文4计费请求报文5计费回应报文1 1接入挑战报文1 2服务器状态报文( 测试)1 3客户端状态报文( 测试)2 5 5保留2 标识符( i d e n t i f i e r )i d e n t i f i e r 域占位一个字节，用于匹配请求和回应报文。如果在一个很短的时间内接收到相同的源i p 地址、源u d p 端口号和相同的i d e n t i f i e r 域的请求报文，r a d i u s 服务器就可以认为是重复的请求报文。3 ，长度( l e n g t h )长度域占位两个字节。它包含了报文中的c o d e 域、i d e n t i f i e r 域、l e n g t h域、a u t h e n t i c a t o r 域和属性域的总长度。在长度域限定的范围之外的字节必须作第二章r a d i u s 协议为填充字节，在接收到时不处理。如果包的实际长度小于长度域中给出的值，此认证报文必须被静默丢弃。报文的最小长度是2 0 ，最大长度是4 0 9 6 。4 认证字( a u t h e n t i c a t o r )a u t h e n t i c a t o r 域占位1 6 个字节，用来鉴别服务器的应答报文以及用在用户密码的隐藏算法中。共包含两种认证字，请求认证字和应答认证字。请求认证字在接入请求报文中，认证字的值是一个占位1 6 个字节随机数，称作请求认证字。该值在共享密钥( 客户端和服务器的共享密钥) 的生命周期中是不可预测的和唯一的。回应认证字在认证成功回应报文，认证拒绝回应报文和挑战报文中的认证字的值称作回应认证字。包含对如下字段组成的字节流的m d 5 加密的摘要信息：代码域、标识符域、长度域、接入请求报文中的请求认证字、应答报文中的属性以及共享密钥；即r e s p o n s ea u t h e n t i c a t o r =m d 5 ( c o d e + i d + l e n g t h + r e q u e s t - a u t h e n t i c a t o r + a t t r i b u t e s + s e c r e t )5 属性( a t t r i b u t e s )r a d i s u 属性携带了特定的认证和授权信息以及请求和回应报文的配置细节。属性域的基本格式在请求包和应答包中是一样的。属性域包含了零到数个属性描述( a t t r i b u t e ) ，由r a d i u s 报文的长度域来决定属性列表在何处结束。有些属性可以包含多次，如果相同类型的属性多次出现，任何代理都必须保持相同类型的属性的次序。不同类型的属性的次序不需要保持，r a d i u s 服务器或者客户端对不同类型的属性的次序不做要求。属性域的格式如图所示，传输的方向为自左向右：图2 - 2r a d i u s 报文属性格式t y p e 域长度为一个字节，表示属性的类型。l e n g t h 域长度为一字节，标示属性的总长度，包括t y p e 、l e n g t h 和v a l u e 域。如果接受到的接入请求报文中的属性长度无效，则应该发送一个接入拒绝回应报文。如果接收到的接入成功回应报文，接入拒绝回应报文和挑战报文有无效长度的属性，必须将其作为接入拒绝回应报文处理或直接丢弃。5 繁二鬻r a d i u s 诲勰v 翻l u e 域长度可以是0 到若千个字节，它包含了a t t r i b u t e 规定的值。v a l u e 翡格式和长度由t y p e 和l e n g t h 域决定。需要指出熬是，在r a d i u s 中没有任何类型的属性值是以n u l ( 十六进制的o x 0 0 ) 结束的。2 2 2 黜奶i u s 认证流程爨2 - 3r a d i u s 议证系统鬻如图2 3 ，r a d i u s 协议以c l i e n t s e r v e r 方式工作。其中n a s 担当了c l i e n t的角色，而r a d i u ss e r v e r 则是s e v e r 的角色。配置了扎形s 协议的客户端的任何用户都将认证信息提交给客户端。用户可以通过两种方式输入用户名和密码。一是客户端可以给如定制化的登陆提示信息；另一种是，使用某种含有可以携带认证信息的报文链路协议( 如p p p ) 。当客户端获取到认证信息，它可以使用r a d i u s 协议进行认证。客户端会生成一个包含有用户名、密码、客户端l d 、以及用户接入端固i d 等属性的接入请求报文( a c c e s s r e q u e s t ) 。当含有密码属性时，密码都使用基予r s a m d 5 哈希算法加密。接入请求报文通过网络传至r a d i u s 服务器，如果在一定时间内没有应答报文，请求报文将被重传几次。当主服务器旦死机或者不可达时，客户端可以将请求报文转发给备用的一个或多个服务器。备用服务器可以在多次重传认证请求报文后主服务器没响应时启用，也可以使用轮传( r o u n d - r o b i n ) 的方式选择。当r a d i u s 服务器接收到请求报文，服务器将验证发送请求报文的客户端。对于与r a d i u s 服务器没有共享密钥的客户端发出的请求报文必须静静地丢弃。8 第二章r a d i u s 协议客户端验证通过后，服务器端从用户数据库中查找是否有相匹配的用户。数据库中的用户记录中包含了一系列用户允许接入必须满足的条件，通常包含密码认证，但也可能是用户的客户端或端口号认证。r a d i u s 服务器验证认证请求时也可以向其他服务器发起认证请求，此时认证请求的服务器实际上是承担了服务器的客户端的角色。若接入请求报文中含有p r o x y s t a t e 属性，这些属性必须不加修改地按顺序拷贝到应答报文中。其它属性可以被置于p r o x y s t a t e 属性之前、之后，甚至中间。如果r a d i u s 服务器要求的认证条件中有不满足的，服务器端将发送接入拒绝( a c c e s s r e j e c t ) 应答报文，表明用户认证请求失败。除了p r o x y s t a t e 属性外，a c c e s s r e j e c t 报文中不得含有其他属性。如果所有的认证条件都被满足，r a d i u s 服务器将向客户端发送一个接入挑战( a c c e s s c h a l l e n g e ) 报文，此报文客户端收到后必须响应。此报文可以包含一条文本信息，用以提示用户对挑战做出响应，同时此报文也可以包含一个s t a t e属性。当客户端收到一个接入挑战报文，如果支持挑战应答这种认证方式，它会将服务器端传来的提示文本信息显示给用户，提示用户予以应答。接着客户端将使用新的请求i d 再次提交最初的接入请求( a c c e s s r e q u e s t ) 报文，此报文中的u s e r - p a s s w o r d 属性中填充的是加密后的响应，且报文中最多只能有一个s t a t e 属性，即来至a c c e s s c h a l l e n g e 的s t a t e 属性。服务器收到此新的接入请求报文，可以回应接入成功报文，接入拒绝报文或者另一个a c c e s s c h a l l e n g e 报文。如果所有的认证条件都满足，用户所对应的相关配置信息将被放入到接入成功应答报文中，这些信息包括服务类型( 如：s l i p ，p p p 或者l o g i nu s e r ) 和提供用户请求的服务所必需信息。对于s l i p 和p p p 用户，可能包含i p 地址、子网掩码、m t u 、请求的压缩算法和请求的报文过滤标识符等。对于字符模式的用户，可能包含请求的协议和主机。基本的认证计费流程参见图2 - 4 。第二章r a d i u s 协议u s e rn a sc l i e n tr a d i u ss e r v e r曼曼q 坠望! i 垒g ：壁星g 坠星墨! f ! ! q 卫) -鱼璺q 坠望! i 堡g ：b 星墨p q 坠璺竺q 堡遮图2 4r a d i u s 协议认证计费流程图2 2 3r a d i u s 计费流程r a d i u s 计费可以和r a d i u s 认证一起使用，也可以单独使用。早期的r a d i u s 计费是通过端口号为1 6 4 6 的u d p 端口来实现的，它和“s a m s g p o r t ”服务相冲突。为了消除此冲突，r a d i u s 计费服务端口号正式分配为1 8 1 3 。当用户想要通过某个网络( 如电话网) 与n a s 建立连接，并已经通过验证获得访问其他网络的权利( 或取得使用某些网络资源的权利) 时，n a s 负责把用户的记账信息传递给r a d i u s 服务器，r a d i u s 协议规定了n a s 与r a d i u s 服务器之间如何传递用户信息和记账信息。r a d i u s 服务器负责接收用户的记帐请求，对其中的用户计费信息进行储存，并向客户端发送响应数据包，以确认其收到计费信息，其记帐包结构与验证完全一样。r a d i u s 服务器记录的计费信息包括输入字节数，输出字节数，输入包数，输出包数及该次上网的会话时长等。r a d i u s 服务器通过处理这些本地的记录，就可以计算出用户的费用。正常的计费流程( 参见图2 4 ) 是：8 一：| 垂1l一业巡堕一妞堂唑巡三一第二章r a d i u s 协议用户通过认证后，n a s 向r a d i u s 服务器发出一个a c c o u n t i n g - r e q u e s t 报文，其中报文中含有值为1 ( s t a r t ) 的a c c t - s t a t u s t y p e 属性，标志着请求开始计费。r a d i u s 服务器收到此报文后返回一个a c c o u n t i n g r e s p o n s e 进行确认。以后n a s就不断地通过a c c o u n t i n g r e q u e s t 向r a d i u s 服务器传递用户的计费信息，每收到一个a c c o u n t i n g r e q u e s tr a d i u s 服务器都会回应一个a c c o u n t i n g r e s p o n s e 进行确认。当用户下线时，n a s 会发送一个包含属性值为2 ( s t o p ) 的a c c t s t a t u s t y p e属性的a c c o u n t i n g r e q u e s t 报文以请求结束计费，r a d i u s 服务器返回一个a c c o u n t i n g r e p l y 进行确认。2 3r a d i u s 的协议的要点2 3 1 挑战回应( c h a l l e n g e r e s p o n s e )在挑战回应认证方式下，服务器传给用户一个不可预测的数字，用户将此数字加密后回传结果给服务器。授权的用户配备了相关的设备，如智能卡或特殊的软件，可以轻易地计算出加密的结果。未被授权的用户，没有相关的设备或软件，并且也缺少必要的密钥而不能仿造相关设备或软件的运行，只能靠猜测来应答。a c c e s s c h a l l e n g e 报文通常含有一个包含有要显示用户的c h a l l e n g e 的r e p l y m e s s a g e 属性，例如一个不会重复的数字。通常这来至外部的服务器，它知道授权用户需要何种认证，并因此选择一个任意数或具有相同长度和r a d i x 的伪任意数作为c h a l l e n g e 。用户将c h a l l e n g e 输入专用设备( 或相关软件) 得出相应值，再将此值传给客户端，客户端将此值放入另一个a c c e s s r e q u e s t 中传给r a d i u s 服务器。如果此回传值与服务器的期望值相同则服务器应答以a c c e s s - a c c e p t 报文，否则应答a c c e s s - r e j e c t 报文。例如：n a s 给r a d i u s 服务器发送了一个携带n a s i d e n t i f i e r ，n a s p o r t ，u s e r - n a m e 和u s e r - p a s s w o r d ( 可能只是一个固定字符串”c h a l l e n g e ”或者不携带)属性的接入请求报文，服务器回应一个携带s t a t e 和r e p l y - m e s s a g e 属性的接入挑战报文，r e p l y m e s s a g e 属性包含字符串”c h a l l e n g e1 2 3 4 5 6 7 8 ，e n t e ry o u rr e s p o n s ea tt h ep r o m p t ”，这个字符串由n a s 上显示，n a s 接收到回应，向服务器发送一个新的携带n a s i d e n t i f i e r ，n a s p o r t ，u s e r - n a m e ，u s e r - p a s s w o r d ( 正是用户输入的用户密码，已经被加密) 以及被接入挑战报文带来的s t a t e 属性的接入请求报文，服务器判断回应是否和想要的回应相匹配，然后返回接入成功回应报文或者接入拒绝回应报文。或者甚至再发送一个接入挑战报文。第二章r a d i u s 协议2 3 2 用p a p 和c h a p 交互对于p a p 认证，n a s 获取p a pi d 和密码，将它们作为用户名和密码放在a c c e s s r e q u e s t 报文中传递。n a s 可以包含s e r v i c e t y p e = f r a m e d - u s e r 及f r a m e d p r o t o c o l = p p p 的两个属性用以提醒r a d i u s 服务器请求的是p p p 服务。对于c h a p ，n a s 产生一个任意的c h a l l e n g e ( 通常1 6 字节) 并将它发给用户，用户返回一个c h a p 应答，此应答中含有c h a pi d 及c h a p 用户名。n a s 便发送一个以c h a p 用户名作为用户名，以c h a pi d 及c h a p 应答作为密码的( 属性3 ) 的a c c e s s - r e q u e s t 报文。n a s 所产生的c h a l l e n g e 既可以放在c h a p c h a l l e n g e属性中，或若它是1 6 字节长也可以放在r e q u e s t a u t h e n t i c a t o r 域中。n a s 可以包含s e r v i c e t y p e = f r a m e d u s e r 及f r a m e d p r o t o c o l = c h a p 两个属性用以提醒r a d i u s 服务器请求的是c h a p 服务。r a d i u s 服务器通过用户名查找密码，再通过此密码、c h a pi d 、c h a pc h m l e n g e 使用m d 5 进行加密，并与c h a p p a s s w o r d 进行比对，如果二者相同则服务器应答以a c c e s s a c c e p t 报文，否则应答a c c e s s r e j e c t 报文。如果r a d i u s 服务器无法执行请求的认证，它必须返回一个a c c e s s r e j e c t报文。例如，c h a p 要求服务器必须可以获取明文方式的用户密码，以便他能对c h a p 的c h a l l e n g e 进行加密并比对。如果服务器无法获取明文方式的用户密码，它将给客户端发送a c c e s s r e j e c t 报文。2 3 3 代理通过代理r a d i u s ，一个r a d i u s 服务器接受来至& 如i u s 客户端的认证请求，将此请求传递到远端的r a d i u s 服务器；同时收到远端的r a d i u s 服务器的相应后，将此相应转发r a d i u s 客户端，在此过程中可能会有些反应本地管理策略的改变代理最常用在漫游中。漫游允许两个或多个管理实体的用户互相拨号至对方的网络以获取服务n a s 发送r a d i u s 认证请求报文至“转发服务器”，由“转发服务器”转发至“远端服务器”。远端服务器回送一个相应报文( a c c e s s a c c e p t ，a c c e s s 。r e j e c t ，或a c c e s s c h a l l e n g e ) 给“转发服务器”，再由其转发给n a s 。用户名属性可能包含了r a d i u s 代理操作对应的n e t w o r ka c c e s si d e n t i f i e r 。具体地选择哪一个服务器转发请求报文要么取决于“认证域”( 认证域可以是网络接入标识的一部分) ，要么取决于其他的服务器配置条件，例如c a l l e d s t a t i o n - i d ( a ”n u m b e r e dr e a l m ”) 。一个r a d i u s 服务器既可以作为转发服务器也可以作为远端服务器，或对于第二章r a d i u s 协议某些域而言是转发服务器而对另一些域而言是远端服务器。一个远端服务器可以接受来至任意数量的转发服务器提供的服务同时也能为任意多的域提供认证服务。以下阐述代理r a d i u s 服务器在n a s 及远端服务器之间的通讯机制：i n a s 向转发服务器发送接入请求报文。2 发服务器向远端服务器转发来至n a s 的请求报文。3 远端服务器向转发服务器发送a c c e s s a c c e p t ，a c c e s s - r e j e c t 或a c c e s s c h a l l e n g e 报文。例如发送了一个a c c e s s a c c e p t 报文。4 转发服务器转发a c c e s s a c c e p t 报文。转发服务器必须对待任何认证报文中的p r o x y s t a t e 属性看作不透明的数据，转发服务器的动作决不能依赖任何以前服务器的p r o x y s t a t e 属性的内容。若转发服务器从客户端处收到的请求报文中含有任何p r o x y s t a t e 属性，其必须在它回复给客户端的报文中包含这些p r o x y s t a t e 属性。转发服务器可以在其的转发请求报文中包含其收到的接入请求报文中的p r o x y s t a t e 属性，也可以忽略不进行转发。如果忽略了此属性，转发服务器必须在应答报文发送至客户端之前将p r o x y s t a t e 属性附加在应答报文中。为了强制使用本地策略，转发服务器可能需要修改某些属性，但存在以下的限制转发服务器禁止改动报文中己存在的p r o x y s t a t e ，s t a t e 或者c l a s s 属性。转发服务器的实现应当认真考虑哪个s e r v i c e t y p e 属性值可以接受，必须认真考虑在被代理的接入请求报文中的s e r v i c e t y p e ，n a s p r o m p t 或者a d m i n i s t r a t i v e 属性的影响，转发服务器的实现也可以提供某些机制以阻止这些属性或者其它的服务类型或者其它的属性转发。2 3 4 使用u d p 的理由1 如果向主认证服务器发送的认证请求失败了，备用服务器必须能够被找到。为了满足该需求，在传输层之上必须保存一份请求的拷贝以可以重新发送。这也意味重传定时器是必须的。2 本协议的定时需求和t c p 提供的定时机制有明显的不同。举一个极端的例子，r a d i u s 不需要数据丢失的检测，用户愿意为完成认证等待几秒钟。通常严格的t c p 的重传( 基于平均的回环时间) 是无法完成的，即使t c p 重传可以完成流量消耗也会很严重。另一个极端的例子，用户不会愿意为认证等待一卜几分钟，因此在此协议环境中t c p 的超过两分钟后的可靠传输机制也是不适合。使用备用服务器允许用户在放弃之前就获得接入。第二章r a d i u s 协议3 本协议的无状态的特性也简化了u d p 的使用。对于t c p 而言，为了处理诸如客户端和服务器的启用和停用、系统重启、掉电等异常事件，需要制定很多具有创造性的超时机制和t c p 连接丢失的检测机制。为此需要额外产生大量的代码。而u d p 则完全不需要这些特殊处理。每个客户端和服务器只需进行一次u d p 传输，完全不用理会上述的各种异常事件。4 u d p 简化了服务器的实现在早期的r a d i u s 实现中，服务器是单线程的。这意味着，同时只可以接收、处理、应答一个认证请求。后来此种方式发现秒级的后台安全机制处理起来是不可想象的，当每分钟有上百的用户需要认证的时候，服务端的请求队列将会被溢出。请求、应答之间的时间差会增长到用户无法忍受的地步( 当在数据库中查询或者d n s 耗费了3 0 秒或者更长时，状况会加剧) 。一个明显的解决方案就是使服务器支持多线程，而使用u d p 实现多线程很简单。每个请求都有单独的处理线程，处理线程使用u d p 报文直接应答给客户端n a s 。当然使用u d p ，必须额外管理到同一服务器的重传定时器。尽管使用t c p协议不需要再管理定时器。但本协议中这对于使用u d p 的优势来说是微不足道的。2 3 5 重传提示如果r a d i u s 服务器和备用r a d i u s 服务器使用相同的共享密钥，那么转发给备用r a d i u s 服务器的报文可以使用相同的i d 和r e q u e s ta u t h e n t i c a t o r 域，因为属性的内容没有改变。如果您想往备用服务器发送的报文使用新的r e q u e s t a u t h e n t i c a t o r 域，也可以改变。如果改变了u s e r - p a s s w o r d 属性( 或者任何其它的属性) 的内容，需要一个新的r e q u e s ta u t h e n t i c a t o r 域，当然也需要一个新的i d 。如果n a s 向同一服务器重传r a d i u s 请求报文，这些属性都没有变化，必须使用相同的r e q u e s ta u t h e n t i c a t o r 和i d 域，使用相同的源端口号。如果有任何属性变化了，就必须使用一个新的r e q u e s t a u t h e n t i c a t o r 和i d 域。对于所有的服务器，n a s 可以使用相同的i d ，或者可以对于每个服务器使用独立的i d 序列。这要看具体的实现。如果n a s 需要为请求报文使用超过2 5 6 个i d ，则n a s 可以使用其它端口号发送请求，这样每个源端口号都可以保持一个i d 序列。这样，对于一个服务器，同时可以有1 6 0 0 万请求报文。2 3 6 心跳机制某些r a d i u s 实现采用发送测试r a d i u s 请求报文的方式检查服务器是否有第二章r a d i u s 协议效，此方式增加了负载而且不能提供任何额外的有用信息。既然r a d i u s 请求报文包含在一个数据包，在这个时间段，可以发送一个p i n g 报，但只发送了一个r a d m s 请求报文，获得了一个表明r a d i u s 服务器是有效的回应，但是若没有r a d i u s 请求需要发送，那么服务器是有效的还是无效的根本不是一个问题，因为根本就没有用它。如果想监控r a d i u s 服务器，就应该用s n m p 协议。第三章p p p o e 认证第三章p p p o e 认证3 1p p p o e 产生的技术背景随着宽带网络技术的不断发展，以x d s l 、c a b l e m o d e m 和以太网为主的几种主流宽带接入技术的应用也在不断的发展。同时又给各大网络运营商们带来了种种困惑。因为无论使用哪种接入技术，对于他们而言，最重要的就是如何有效的管理用户，从网络的投资中收取回报，因此对于各种宽带接入技术的收费的问题就变得更加敏感。在传统的以太网模型中，我们是不存在所谓的用户计费的概念，要么用户能设置获取d 地址上网，要么用户就无法上网。于是由r e d b a c k 网络公司、客户端软件开发商r o u t e r w a r e 公司以及w o r l d c o m子公司u u n e tt e c h n o l o g i e s 公司在i e t fr f c 制的基础上，秉承窄带拨号上网的运营思路( 使用n a s 设备终结用户的p p p 数据包) ，联合开发制定出了在以太网上传送p p p 数据包的协议p p p o e ( p o i n tt op o i n tp r o t o c o lo v e re t h e m e t ) 。p p p o e把经济的局域网技术、以太网技术和p p p 协议结合在一起，使服务提供商可以通过数字用户线、电缆调制解调器或无线连接等方式，提供简便易行的支持多用户的宽带接入服务。3 2p p p o e 协议原理p p p o e 协议提供了在广播式网络( 如以太网) 中多台主机连接到远端的访问集中器( 宽带接入服务器) 上的一种标准，是在以太网中传播p p p 帧信息的技术。在这种网络模型中，所有用户的主机都要求能独立地初始化本地的p p p 协议栈，而且能通过p p p 协议本身所具有的一些特点，实现在广播式网络上对用户进行计费和管理。为了能在广播式的网络上建立、维持各主机与访问集中器之间点对点的关系，那么就需要每个主机与访问集中器之间能建立唯一的点到点的会话。p p p o e 协议共包括两个阶段：p p p o e 的发现阶段( p p p o ed i s c o v e r ys t a g e ) 、p p p o e 的会话阶段( p p p o es e s s i o ns t a g e ) 。当一个主机开始一个p p p o e 会话时，首先要进入发现阶段。此时主机要在广播式的网络上寻找一个访问集中器，当网络上存在多个访问集中器时，对于主机而言则会根据各访问集中器( a c ，a c c e s sc o n c e n t r a t i o n ) 所能提供的服务或用户第三章p p p o e 认证的预先的一些配置来进行相应的选择。当主机选择了所需的访问集中器后，就开始和访问集中器建立一个p p p o e 会话进程。在这个过程中访问集中器会为每一个p p p o e 会话分配一个唯一的进程d 。一个进程i d 的分配就标志着一个会话的建立。发现阶段在会话建立之前，一直保持无状态。一旦p p p 会话建立，主机和相应的访