（计算机软件与理论专业论文）基于radius协议的校园网络接入服务器的研究与实现.pdf

基于r a d i u s 协议的校园网络接入服务器的 研究与实现 摘要 校园网络是衡量一个高等院校的基础建设和管理水平的重要指 标。但是如何保证校园网络的正常运行，不受到黑客的侵害就成为高 校不可回避的一个紧迫问题；另方面，校园网络在带给学生和老师 的生活带来便利的同时，也成为了一些有害思想和内容的重要传播媒 介。网络安全和管理问题的目益严重，成为校园网络应用发展的巨大 阻碍。 r a d i u s 协议在用户认证、授权和计费管理方面功能强大，方便灵 活并可扩充；另一方面，l i n u x 操作系统具有很好的开放性和安全性， 以及在内核版本2 4 以上的n e t f i l t e r 内核防火墙中提供了强大的数据包 过滤功能。 本文综合考虑了以上的各种因素，将r a d i u s 应用到校园网络中， 置入到网络接入服务器( n a s ) 中，用来对从校园网进出i n t e r n e t 的内部用 户进行认证、授权和管理，并设计出符合校园网络安全需要的安全网 络接入服务器。 本文所做的主要工作如下： 1 、全面地介绍了r a d i u s 的技术特征和工作原理，在此基础上分 析了r a d i u s 软件的数据包和体系结构。然后介绍了基于n e t f i l t e r 框架 的内核防火墙的基础知识，并分析了n e t f i l t e r 的框架结构以及处理数据 包的相关流程。 2 、提出设计思想，并针对系统的设计思想中出现的关键问题，提 出了解决方案：最后详细阐述了系统的工作原理，提出了一个较为完 善的系统模型。 3 、在系统模型的基础上，实现了基于r a d i u s 协议的校园网络接 入服务器，并进行了系统测试工作。测试结果表明，系统基本实现了 设计的预计目标，实现了对校园网络用户的认证、授权和管理。 关键字：r a d i u sn e t f i l l e r 校园网络网络接入服务器 t h er e s e a r c ha n dr e a l i z a t i o no fc a m p u sn a s b a s e do i lr a d i u sp r o t o c o l a b s t r a c t c a m p u sn e t w o r kisa ni m p o r t a n ti n d i c a t o ro fb a s i cc o n s t r u c t i o na n d m a n a g e m e n to fa n i n s t i t u t i o no fh i g h e rl e a r n i n g b u th o wt oensure w o r k i n go r d e ro fc a m p l 2sn e t w o r kf r o m h a c k e r s h a sb e c o m ea n u n a v o i d a b l ep r e s s i n gi s s u e ；o nt h eo t h e rh a n d ，w h i l e c a m p u sn e t w o r k f a c i “t a t et h e1 i v e so fs t u d e n t sa n dt e a c h e r s i th a v ea l s ob e c o m ea n i m p o r t a n tm e d i ao fh a r m f u li d e o l o g y n e t w o r ks e c u r i t ya n dm a n a g e m e n t i n c r e a s i n g l yw o r s e ，h a sb e e o m et h et r e m e n d o u so bs t a c l eo fd e v e l o p m e n t a n da p p l i c a r l o no fc a m p u sn e t w o r k t h er a d i us p r o t o c o l i s p o w e r f u i i nt h ea u t h e n t i c a t i o n a u t h o r i z a t i o na n d a c c o u n t i n gm a n a g e m e n t a n dh a sf l e x i b l ea n d c o n v e n i e n t e x p a n s i o n a n d t h el i n u xo p e r a t i n g s y s t e mw i t hg o o d o p e n n e s sa n ds e c u r i t yn a t u r e ，t h en e r f i l t e rf ir e w a l lo fa b o v ec o r ev e r s i o n 2 4 p r o v i d e sp o w e r f u lp a c k e tf i l t e r i n gf u n c t i o n t h i sd i s s e r t a t i o nh a ds y n t h e t i c a l l yc o n s i d e r e de a c hk i n d o ff a c t o r a p p l i e sr a d iu si nt h ec a m p u sn e t w o r k s e t si n t ot h en e t w o r ka c c es s s e r v e r ( n a s ) us e dt oa u t h e n t j c a t e a u t h o r i z ea n dm a n a g et h ei n t e r n a lu s e r p a s si na n do u tt h ei n t e r n e tf r o mt h ec a m p u sn e t w o r k ，a n dd e s i g n st h e n a sc o n s i s t e n tw i t ht h es e e u r i t vn e e d so ft h ec a m p u sn e t w o r ks e c u r i t y t h ep r i m a r yw o r k so ft h i sd is s e r t a t i o ni n c l u d e sa sf o l l o w s ： 1 t h er a d i u st e c h n i c a ic h a r a c t e r i s t i ca n dp r i n c i p l eo fo p e r a t i o n a r ec o m p r e h e n s i v e l yi n t r o d u c e d ；o nt h eb a s iso ft h e m ，t h ed a t ap a c k e ta n d s y s t e ms t r u c t u r eo fr a d i u si sa n a l y z e d t h e n t h eb a s i ck n o w l e d g eo f c o r ef i r e w a l lb a s e do nt h en e t f i l t e ri si n t r o d u c e d a n df r a m e w o r k s t r u c t u r e ，h a n d l i n gf l o wo fd a t ap a c k e to fn e t f i l t era r ea n a l y z e d 2 t h ed e s i g nt h o u g h tjsp r o p o s e d ，a n da i m sa tt h ek e yq u e s t i o ni n t h e d e s i g nt h o u g h t ，p r o p o s e st h e s o l u t i o n ；f i n a l l y t h e p r i n c i p le o f o p e r a t i o no fs y s t e mi se l a b o r a t e di nd e t a i l ，a n dp u tf o r w a r dac o m p a r a t i v e r e a s o n a b l es y s t e mm o d e l 3 o nt h eb a s e o fs y s t e mr o o d e l t h ec a m p u sn a sb a s e do nr a d i u s p r o t o c o l i sr e a l i z e d 。a n dt h et e s tw o r kh a sb e e nc a r r i e dont h es y s t e m t h e t e s tr e s u l ti n d i c a t e st h a t ，t h e s y s t e mh a sb a s i c a l l ya c h i e v e dt h e a n t i c i p a t i v ep u r p o s e ，h a sr e a l i z e dt h ea u t h e n t i c a t i o n a u t h o r i z a t i o na n d m a n a g e m e n to fc a m p u sn e t w or ku s e r ， k e y w o r d s ：r a d i u s ，n e t f i l t e r ，c a m p u sn e t w o r k ，n e t w o r ka c c e s ss e r v er i i 插图清单 图2 1 远程访问控制系统结构图 图2 2r a d i u s 工作流程图 图2 3r a d i u s 数据包结构图 图2 4r a d i u s 属性格式图 图2 ，5r a d i u s 体系结构图 图2 6r a d i u s 数据报文格式图 图2 7 异步处理示意图 图2 8 数据包在n e t f i l t e r 框架中流向图 图2 9n e t f i l t e r i p t a b l e s 系统的数据包过滤过程图 图3 1 接入服务器网络拓扑结构图 图3 ，2 接入网关子系统结构图 图4 1 认证服务模块的实现流程图 图4 2 访问控制模块的实现流程图 图4 3 用户自我管理w e b 页面 图4 4 管理员用户管理的客户端 图4 5 计费的实现流程图 图5 ，1 测试平台的拓扑结构图 图5 2 系统安装界面 图5 3 用户认证成功的w e b 页面 图5 ，4 用户认证成功的防火墙规则图 图5 5 用户管理测试客户端 图5 6 认证服务器系统性能测试图 图5 7 接入网关服务器系统性能测试图 图5 8 数据库服务器系统性能测试图 图5 9 教育网出口流量测试图 图5 10 电信出口流量测试图 图5 1 1 校园网络用户认证图 图5 1 2 校园网络用户p i n g 认证服务器 9 1 0 1l 1 2 ，1 4 1 4 1 6 2 0 ，2 l 2 5 2 7 3l 3 1 3 2 3 3 35 3 6 3 6 3 7 3 7 38 38 3 9 3 9 4 0 4 0 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工作 及取得的研究成果。据我所知，除了文中特别加以标注和致谢的地方 外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含为 获得佥g 曼王些塞堂或其他教育机构的学位或证书而使用过的 材料。与我一同工作的同志对本研究所做的任何贡献均已在论文中作 了明确的说明并表示谢意。 学位论文作者签名：仫位厶 签字日期：“年厂月，) 同 学位论文版权使用授权书 本学位论文笔者完全了解盒壁王些盍堂有关保留、使用 学位论文的规定，有权保留并向国家有关部门或机构送交论文 的复印件和磁盘，允许论文被查阅和借阅。本人授权合肥工业 太堂可以将学位论文的全部或部分内容编入有关数据库进行 检索，可以采用影印、缩印或扫描等复制手段保存、汇编学位 论文。 ( 保密的学位论文在解密后适用本授权书) 学位论文作者签名：乍私 山 签字日期：仉一f 年f 月r ) f | 学位论文作者毕业后去向 工作单位：、参禾详哇0 老 通讯地址： 导师签名： 签字日期： 电话 邮编 # 一毛毛黾l j b 致谢 在此论文完成之际，向我的导师、计算机学院的老师、我的同学 以及其他在学习上和生活中给与我帮助的人们表达我真挚的谢意! 首先，我要特别感谢周健老师。在三年的研究生学习期间，周老 师给了我在网络中心学习和实践的机会，并悉心地进行指导和关怀。 在论文的选题和研究方面，周老师提出了很多指导性的意见，并多次 对文稿进行了悉心的审阅。周老师的严谨的工作作风，求实的科学态 度，进取的研究精神给了我深刻的影响。 感谢和我一起学习过的同学们，他们的意见和建议让我获益匪浅， 正是在他们的帮助下，我的学习和研究少走了很多弯路。感谢他们， 使我度过了两年多的快乐的时光。 还要感谢计算机学院的胡学钢和王浩副院长，以及王新生和徐静 老师! 他们工作认真负责，对人和蔼友善，是我学习的榜样。 最后，再次向所有帮助和关心过我的人们表示由衷的感谢1 1 i i 陆金山 2 0 0 6 5 第一章绪论 校园网络是高等院校最重要的信息基础设施之一，是衡量一个高等院校的 信息基础建设、科研基础设施和学校日常教学事务管理等的先进水平的重要指 标。以高等院校的校园网络为主要节点的国家级、地区级的计算机网络，通常 被称为教育和科研网络。校园网络和以校园网络为基础的教育和科研网络的飞 速发展，不仅使得高等院校中的广大师生和科研人员能够不再受制于地理位置 的束缚，可以在全球范围内方便地进行信息地交流和探索、资源共享、合作研 究等等，为他们提供了以前从来没有过的高性能的网络环境，而且对他们的生 活方式、行为准则、价值观念等产生了重大影响。 但是，目前在高校网络建设的过程中，随着网络规模的急剧膨胀，网络用 户的快速增长，关键性应用的普及和深入，校园网在学校的信息化建设中已经 在扮演了至关重要的角色。作为数字化信息的最重要传输载体，如何保证校园 网络能正常的运行不受各种网络黑客的侵害就成为各个高校不可回避的一个紧 追问题：另一方面，高校是思想政治和意识形态的重要阵地，敌对势力和其他 有害青少年身心健康的内容和意识形态，尤其针对高校开展了各种各样的宣传 和蛊惑手段，而网络这一高科技的产物，在带给学生和老师的生活带来便利的 同时，同时也成为了这些有害思想和内容的一个重要传播媒介。 互联网络的飞速发展，对校园网络中师生的生活和学习已经产生了深远的 影响。但在享受高科技带来的便捷同时，我们需要清醒的认识到，网络安全和 管理问题的目益严重，也越来越成为网络应用发展的巨大阻碍，校园网络安全 和管理已经到了必须要彻底解决的地步，只有很好的解决了网络安全和管理问 题，校园网络的应用才能健康、高速的发展。 合肥工业大学是教育部直属的重点高校之一，目前已经建立了能够提供功 能齐全的、完整高效的和稳定可靠地传送各神综合信息地高性能计算机网络系 统，通过安徽省教育和科研网络中心和c e r n e t 相连并进而与i n t e r n e t h 连通， 为全校的网络用户提供一个分布式的、多媒体通信和办公自动化的校园网络环 境。 1 2 、研究背景 网络接入服务器( n e t w o r ka c c e s ss e r v e r ，n a s ) 是处于网络边界的一台设 备，是最终用户进入网络的第一个入口点，基于请求网络服务的用户身份，以 及服务提供者的策略，对请求的网络服务进行控制，并且充当后续网络服务的 网关。网络接入服务器可以被抽象为网络中的一个点，在该点，用户被认证， 访问策略被执行，网络服务被授权，网络使用被审计，资源消耗被跟踪。网络 接入服务器通常是网络中执行安全策略，进行安全测量的第一个地方。因此， 对最终用户和服务提供者而言，网络接入服务器的作用都非常重要。 r a d i u s ( r e m o t ea u t h e n t i c a t i o nd i a li nu s e ts e r v i c e ) 1 ，是用户拨号认证 服务协议的简称。人们最初提出与设计它的主要目的是为了对通过串口和拨号 接入的远程用户进行认证、授权、计费管理1 3 】。它因具有功能强大、使用方便 灵活、可扩充等特点而被广泛认可和使用，i e t f ( i n t e r n e te n g i n e e r i n gt a s kf o r c e ) 为其制定了相应的标准r f c 2 8 6 5 和r f c 2 8 6 6 【2 1 【引，它已在网络安全领域占有重要 的地位。 r a d i u s 在用户认证、授权、计费管理方面功能强大、方便灵活并可扩充： 网络接入服务器在保护内部网络的安全中也充当了重要的角色，那么是否可以 把r a d i u s 应用到校园网络，置八到网络接入服务器中，用来对从校园网进出 i n t e r n e t 的内部用户进行认证、授权、计费管理? 目前社会上各种商业的安全产品非常多，但价格非常昂贵。由于l i n u x 源代 码的开放性，是完全免费的( 可以自由拷贝和下载1 【4 j ：不涉及到任何版权问题， 以及编写l i n u x 内核源代码的高手很多就是黑客i s ，其内核版本2 4 以上的 n e t f i l t e r 6 l 内核防火墙提供了强大的包过滤功能。所以，l i n u x 成为研究安全网 络接入服务器技术的一个很好的平台。本文在此基础上，结合其它安全技术( 如 r a d i u s 认证技术等) ，设计出符合校园网络安全需要的安全网络接入服务器。 1 3 、研究内容 l 、深入研究r a d i u s 协议，了解协议的全部内容、认证机制及字典中所包 含的所有字段的实际意义。分析l i n u x 的n e t f i l t e r 内核防火墙的框架结构和功能， 充分了解n e t f i l t e r 完善的可扩展功能及其i p t a b l e s 17 j 用户空间工具的使用。 2 、充分利用n e t f i l t e r 提供的用户空间工具将r a d i u s 的强大功能融合到 l i n u x 内核防火墙之中，实现l i n u x 防火墙技术和用户认证、授权等机制的充分 结合。 3 、在基于n e t f i l t e r 包过滤技术的基础上加入r a d i u s 的身份认证、授权等 机制，设计出一种新型网络接入服务器，实现了对于校园网中进出i n t e r n e t 的内 部用户进行认证、授权和管理的功能。 1 4 、本文组织 本文共有六章，第一章为绪论( 其内容见本章) ，下面分别介绍从第二章到 第六章的主要阐述的内容。 2 第二章r a d i u s 接入服务器技术基础：首先简单介绍了关于t c p i p 网络相 关的一些基础知识和远程访问控制的原理。接着阐述了r a d i u s 的技术和原理， 并分析了r a d i u s 软件的数据包和体系结构；然后介绍了基于n e t f i l t e r 的内核防 火墙的框架结构、以及处理数据包的流程。 第三章r a d i u s 接入服务器的设计：提出了初步的设计思想，并针对系统 的设计思想中出现的关键问题，提出了解决方案：最后详细阐述了系统的工作 原理，提出了一个r a d i u s 接入服务器的模型。 第四章r a d i u s 接入服务器的实现：分别介绍了系统的各个模块的实现流 程，并结合流程图详细阐述了各个模块的实现步骤；最后，对部分模块的实现 代码进行了分析和说明。 第五章系统测试与分析：介绍了系统测试使用的软硬件环境和网络拓扑 图，说明了系统以及相关软件的安装与配置，并分别从功能、性能以及安全性 等方面对系统进行了测试和分析。 第六章系统应用与总结：介绍了系统的应用与扩展情况，并对本文的工 作进行了总结。 第二章r a d i u s 接入服务器技术基础 2 1 、t c p 和u d p 协议 t c p i p 在传输层有两种主要的协议：t c p 和u d p 。其中t c p ( t r a n s p o r t c o n t r o lp r o t o c o l ，传输控制协议) 8 1 是面向连接的；u d p ( u s e r d a t a g r a mp r o t o c o l 用户数据报协议) 9 1 是面向无连接的。 2 1 1 、t c p 协议 t c p 协议是建立在不可靠的i p 协议之上，来提供可靠的、端到端的字节流 通信的协议i l 。互联网不同于一个单独的网络，不同部分可能具有不同的拓扑 结构、带宽、延时、分组大小以及其他性能。t c p 被设计成能动态满足互联网 的要求，具有很高的可靠性，几乎可以解决所有的可靠性问题。t c p 协议在 r f c 7 9 3 中有着具体的定义。 每台支持t c p 的主机都有一个t c p 传输实体，或是用户进程，或负责管理 t c p 字节流以及i p 层接口的核心。t c p 实体从本地进程接受用户的数据流，将其 分为不超过6 4 k 字节( 实际应用中，通常约为15 0 0 字节) 的数据片段，并将每个数 据片段作为单独的i p 数据包发送出去。当含有t c p 数据的i p 数据包到达某台相 连的主机后，它们又被送给该主机内的t c p 实体，被重新组合为原来的字节流 1 1 1 】。 i p 层并不能保证将数据包正确地传送到目的端，因此t c p 实体需要判定是 否超时，并根据需要重发数据包。到达的数据包也可能是按照错误的顺序传到 的，这也需要由t c p 实体按照正确的顺序将这些数据包组装为报文【1 2 l 。简单地 说，t c p 协议必须保证可靠性，这也是绝大多数用户所期望地，而i p 层是不能 提供的。 2 1 2 、u d p 协议 t c p i p 传输层也支持无连接的传输协议u d p 。u d p 向应用程序提供了一种 发送封装的原始i p 数据包的方法，并且发送是无需建立连接。很多有一个请求 和一个响应的客户服务器模型应用程序采用u d p ，这样可以避免建立和释放连 接的麻烦。u d p 协议也建立在i p 协议之上，它相对于i p 协议，增加了提供协议 端口来保证远程通信。许多基于u d p 的应用程序只能在高可靠、低延时的局域 网上运行，无法在广域网上运行，原因就是在于u d p 的不可靠性。使用u d p 协 4 议的应用程序在运行时需要自己解决可靠性。相对于t c p 来说，u d p 的优点在 于高效性t 1 3 。在实践中，u d p 的应用通常只有来回的两条报文，不值得为此建 立连接。u d p 协议在r f c 7 6 8 中有具体的描述。 2 2 、远程访问控制原理 远程访问控制的安全包含三方面的内容：认证、授权和计费1 1 4 1 。“认证”是 确认远端访问用户的身份，判断访问者是否为合法的网络用户，常用的办法是 以一个用户标识和个与之对应的口令来识别用户。“授权”即对不同用户赋予 不同的权限，限制用户可以使用的服务，如限制其访问某些服务器或使用某些 应用，它避免了合法用户有意或无意地破坏系统。“计费”记录了用户使用网络 服务中的所有操作，包括使用的服务类型、起始时间、数据流量等信息，它不 仅为i s p 们提供了计费手段，同时也对网络安全起到了监视的作用。认证 ( a u t h e n t i c a t i o n ) 、授权( a u t h o r i z a t i o n ) 、计费( a c c o u n t i n g ) = 一个英语单词的第一个 字母都是“a ”，所以现在人们常常将它们称作为“3 a ”或“a a a ”，把它们作 为网络安全策略的一个组成部分【1 5 】。 通常，一个远程访问控制系统可以分为硬件部分和软件部分，硬件部分用 来实现对m o d e m 和端口的控制，软件部分则是一个运行于服务器上的程序， 称之为后台守护进程，它负责对用户进行认证、授权以及记录计费信息。一个 最简单的实现远程访问控制的方法是将用户标识列表加载于访问控制服务器 内，由同一个服务器完成对m o d e m 和端口的控制以及对用户的认证、授权和 计费。 但是，随着拨号用户数目的增加，采用上述机制必然导致服务器有限资源 的浪费和速度的滞后，甚至无法满足要求。同时，对于经常在外地上网的用户 来说，需要通过长途拨号登录到注赐地的服务器才能访问网络，既不方便也不 经济。因此，将硬件和软件两部分功能分开实现于不同的服务器上，也就成为 了一个比较好的解决方案。通常采用这种方案的远程访问控制系统都具有如图 2 1 所示的结构，整个系统采用客户服务器结构，由网络访问服务器n a s 充当 客户端，它负责将用户的标识和密码，以及用户希望得到的服务类型和配置等 信息封装在请求报文中送到服务器端，并且根据服务器端送回的响应作进一步 的动作。 用户 ( 或代理客户端) 图2 1 远程访问控制系统结构图 5 服务器 在服务器端，一般是一台或多台运行了守护进程的主机，服务器端接收到 客户端发来的请求，根据请求报文中的信息和本地数据库中用户的记录对用户 进行认证。认证完成后，服务器端向客户端返回响应，指示n a s 是否为该用户 提供服务以及提供何种服务。服务器端还可以充当其他服务器的代理客户端， 其主要功能就是将本地收到的客户端发来的请求转发给另一台服务器，并将那 台服务器返回的响应转发给客户端i ”1 。 2 3 、r a d i u s 协议 本节主要是对r a d i u s 协议作深入地分析研究，充分了解r a d i u s 的技术特 征、工作原理、软件体系结构以及r a d i u s 数据包的格式；为后文中与r a d i u s 相关的系统模块实现提供理论依据和技术支持。 2 3 1 、r a d i u s 技术原理 r a d i u s 协议描述了一种网络访问服务器与一个共享的认证服务器之间的 通信规范。按照这种通信规范，网络服务器( n a s ) 通过共享认证服务器对访问 它的用户实现认证。n a s 和服务器依据规范交互它们的认证信息、授权信息和 配置信息。r a d i u s 还给出了认证服务器和认证客户端( n a s ) 对信息的处理规 范。认证服务器通过这些处理规范完成对访问n a s 的客户的认证、授权和配置。 r a d i u s 协议自诞生之日起，就以其功能强大、使用方便灵活等特点而获 得了广泛的认可、实现和使用。1 9 9 7 年1 月，i e t f 作为推动i n t e r n e t 标准规范制 定的最主要的组织，发布了由l i v i n g s t o n ，m e r i t ，d a y d r e a m e r 三家公司起草的 r a d i u s 标准：r f c 2 0 5 8 1 ”】和r f c 2 0 5 9 t 18 1 ，它们后来被修改为r f c 2 1 3 8 19 1 和 r f c 2 1 3 9 【2 。目前最新的版本是2 0 0 0 年6 月发布的r f c 2 8 6 5 ，r f c 2 8 6 6 ，并且新 标准为r a d i u s 协议和r a d i u s 计费协议正式分配了端口号，分别是l8 1 2 , n l8 13 1 2 1 1 3 1 。 2 3 1 1 、r a d i u s 技术特征 r a d i u s 技术特征有以下几点 客户服务器模式 网络接入服务i 器( n a s ) 作为r a d i u s 的客户端，主要任务是完成与请求访 问的用户的交互，将用户信息传递给指定的r a d i u sj 报务器，然后根据返回信 息进行操作。r a d i u s 服务器负责接收用户连接请求，认证用户后，返回所有 必要的配置信息以便客户端为用户提供服务。 6 网络安全 r a d l u s 服务器与n a s 之间共享一对秘密密钥，它们之间的通信都是通过 共享密钥的使用来鉴别的，这个共享密钥不会通过网络传送【2 ”。此外，任何用 户1 3 令在n a s 和r a d i u sj 日务器间发送时都需要进行加密过程，以避免有人通 过试探菲安全网络可得到用户密码。 灵活认证机制 r a d i u s & 务器支持多种用户认证方法，它提供了包括p p p 、p a p 、c h a p 、 u n i xl o g i n 等在内的甚至更多的认证机制，可以采用其中任一机制对用户名和 密码进行认证 2 2 1 。 协议的可扩充性 r a d i u s 数据包通过一个相对固定的消息头和一系列属性构成，属性采用 的变长三元组组成，用户完全可以自动定义其他的属性，以 扩展r a d i u s 协议，而且新属性的加入不会影响到原有协议的执行。 2 3 1 2 、r a d i u s 工作原理 r a d i u s 2 e 作流程如下图所示”l ： 5 9 橱 1 2 4 1 6 1 _ _ 8 e i c 1 2 图2 2r a d i u s 2 作流程图 v a m i u s n 务器 3 7 1 】：用户通过拨号向n a s 发出连接请求，并把相应的用户名、密码等信息 传送给n a s ： 2 】：n a s 生成接入请求数据包( a c c e s s r e q u e s t ) ，并发送到r a d i u sj 日务器； 3 ：r a d i u s 服务器对该用户进行认证； 4 】：若认证成功，r a d i u s 服务器向n a s 发送允许接入数据包 ( a c c e s s a c c e p t ) ，否则，r a d i u sj 务器向n a s 发送拒绝接入数据包 7 ( a c c e s s - r e j e c t ) ： 【5 ：若n a s 接收到允许按入数据包，则为用户建立连接，并对用户进行授 权和提供服务，并转到 6 ，否则，若接收到拒绝接入数据包，则拒绝用户的连 接请求f 有事回送拒绝信息) ，结束会话过程： 6 1 ：n a s 发送计费请求数据j 0 ，( a c c o u n t i n g r e q u e s t ) 给r a d i u sj 艮务器； 7 1 ：r a d i u s 服务器接收到该计费请求数据包后开始计费； 【8 ；r a d i u sj 暇务器向n a s 回送计费响应数据包( a c c o u n t i n g - r e s p o n s e ) ； 9 1 ：用户断丌与n a s 的连接； 1 0 1 ：n a s 向r a d i u s 服务器发送停止计费数据包； 1 1 】：r a d i u sj 务器收到停止计费的请求后停止计费； 【1 2 ：r a d i u s 服务器向n a s 发送停止计费响应数据包。 n a s 提供给用户的服务可能有很多种。比如，使用t e l n e t 时，用户提供 用户名和口令信息，而使用p p p 时，则是用户发送带有认证信息的数据包。n a s 一旦得到这些信息，就制造并且发送一个接入请求数据包给r a d l u s 匿务器， 其中就包含了用户名、口令( 基于m d 5 3 1 密) 1 2 4 1 、n a s 的l d 号和用户访问的端口 号。 如果r a d i u s 服务器在一段规定的时间内没有响应，则n a s 会重新发送上 述数据包；另外如果有多个r a d i u sj 务器的话，n a s 在屡次尝试主r a d i u s 服务器失败后，会转而使用其他的r a d i u s 服务器。 r a d i u s h 务器会直接抛弃那些没有加共享密钥的请求而不做出反应。如 果数据包有效，则r a d i u s 服务器访问认证数据库，查找此用户是否存在。如 果存在，则提取此用户的信息列表，其中包括了用户口令、访问端口和访问权 限等。 当一个r a d i u s 服务器不能满足用户的需要时，它会求助于其他的r a d i u s 服务器，此时它本身充当了一个客户端。 如果用户信息被否认，那么r a d i u s h 务器给客户端发送一个拒绝接入数 据包，指示此用户非法。如果需要的话，r a d i u sj 报务器还会在此数据包中加 入一段包含错误信息的文本消息，以便让客户端将错误信息反馈给用户。 相反，如果用户被确认，r a d l u s 服务器发送接入询问数据包给客户端， 并且在数据包中加入了使客户端反馈给用户的信息，其中包括状态属性。接下 来，客户端提示用户做出反应以提供进一步的信息，客户端得到这些信息后， 就再次向r a d i u s 服务器提交带有新请求i d 的接入请求数据包，此时，r a d i u s 服务器对于这种新的接入请求可以有三种反应：允许接入、拒绝接入或接入询 问。 如果所有的要求都属合法，r a d i u s 返回一个允许接入响应，其中包括了 服务类型( s l i p ，p p p ，l o g i nu s e r 等) 和其附属的信息。例如：对于s l i p 和p p p ， 8 回应中包括了i p 地址、子网掩码、m t u 和数据包过滤标示信息等。 2 3 2 、r a d i u s 结构 2 3 2 1 、r a d i u s 数据包结构 r a d i u s 数据包主要由编码、标识符、长度、鉴别码和属性等几个字段组 成i ”。具体的包格式如下： 图2 3r a d i u s 数据包结构图 编码( c o d e ) 编码占1 个字节，该值决定了r a d i u s 数据包的类型。在接收到一个无效编 码的数据包后，r a d l u s 服务器会直接丢弃该数据包。 r a d i u s 协议指定了如下编码： l 、 接入请求( a c c e s s r e q u e s t ) 2 、 允许接k ( a c c e s s a c c e p t ) 3 、 拒绝接k ( a c c e s s r e j e c t l 4 、 计费请求( a c c o u n t i n g r e q u e s t ) 5 、 计费响应( a c c o u n t i n g - r e s p o n s e l l1 、 接入询问( a c c e s s c h a l l e n g e ) 1 2 、 服务器状态( s t a t u s s e r v e r ) 13 、 客户机状态( s t a t u s c l i e n t ) 2 5 5 、保留 标识符( i d e n t i f i e r ) 标识符占1 个字节，用于辅助鉴别请求包和响应包。如果在一个很短的时间 片内，不同的请求有相同的源i p 地址、源u d p 端口号和标识符，则r a d i u s 服 务器会认为这是上一个请求的重复。 长度( l e n g t h ) 长度占2 个字节，它指示包括编码、标识符、长度、鉴别码和属性在内的数 据包的总长度。如果某个数据包长度比长度值要小，则此数据包会被直接丢弃。 最小的长度是2 0 ，最大长度是4 0 9 6 。 9 鉴别码( a u t h e n t i c a t o r ) 鉴别码占1 6 个字节，其中最重要的字节最先被传输。鉴别码是用来鉴别 r a d i u s 通信的数据源和隐藏用户密码的。根据所在数据包的不同，可将它分 为请求鉴别码和响应鉴别码两类。 i 、请求鉴别码( r e q u e s ta u t h e n t i c a t o r ) 在请求接入和请求计费数据包中，鉴别码值是一个占1 6 个字节的随意生成 的数值，被称为请求鉴别码。 有两点需要注意的是，首先，在密钥的整个生存周期中( 如r a d i u sj 酲务器 和客户端的共享密钥) ，这个值应该是不可预测且是唯一的。其次，在请求接入 和请求计费数据包中的请求鉴别码的生成方式应该是有区别的。 对于请求接入包，请求鉴别码是1 6 个字节的随机数。共享密钥和请求鉴别 码单向m d 5 哈氏算法产生一个1 6 位的摘要值，此值同用户输入的密码进行异 或，异或值放在请求接入数据包中的用户密码属性中。 在接收时，上述过程反转过来，从而生成原始的密码。 对于请求计费包，n a s 和r a d i u s 计费服务器共享一令密钥。请求计费包 中的鉴别码就是对一个字节的流经m d 5 j i l l 密算法计算出的散列值，该字节流是 由编码+ 标识符+ 长度+ 1 6 个值为0 的字节+ 请求属性+ 共享密钥( 其中+ 号表 示将各个字符连接起来) 所构成的。 2 、响应鉴别码( r e s p o n s ea u t h e n t i c a t o r ) 在允许接入、拒绝接入和接入询问数据包中的鉴别码叫做响应鉴别码。是 根据r a d i u s 数据包中的编码、标识符、长度、请求鉴别码、数据包中的属性 和共享密钥等要素计算出来的单向m d 5 散列值，也就是： r e s p o n s e a u t h = m d 5 ( c o d e + i d + l e n g t h + r e q u e s t a u t h + a t t r i b u t e s + s e c r e t ) 其中“+ 号表示连接。 属性( a t t r i b u t e s ) r a d i u s 属性在请求和响应数据包中携带着详细的认证、授权、信息和配 置细节。所有的属性在数据包中均以 变长的三元组形式出现。 属性的基本格式如下： l 竺竺! ! 兰!l 兰竺! ! 兰：竺! 三! 兰： 图2 4r a d i u s 属性格式图 1 、类型( t y p e ) 类型占1 个字节，用于唯一地标识一个属性。更新后的r a d i u s 类型值在最 1 0 近的“已分配号码( a s s i g n e dn u m b e r s ) ”r f c 6 中进行了说明，其中1 9 2 2 2 3 为实验使用保留；值2 2 4 2 4 0 n 应用细节保留；值2 4 1 - - 2 5 5 保留，不应该被使 用。 r a d i u s 客户端可以忽略不可识别类型的属性。 2 、长度( l e n g t h ) 长度占1 个字节，指定了包括类型、长度和值在内的属性长度。对于长度无 效的请求的数据包，r a d i u sj 匣务器将直接抛弃或返回拒绝接入数据包。 3 、值域( v a l u e ) 值域不定长，占任意多个字节，表明了属性的取值。属性值的类型可以是 下列5 种数据类型中的一种： 文本类型：由u t f 一8 编码的i s o1 0 6 4 6 1 7 字符组成，长度为1 到2 5 3 个字 节。对于长度为o h 文本不但要禁止发送，而且要忽略整个相应的属性。 字符串类型：由二进制数值f 值的范围是从十进制的0 至1 j 2 5 5 ) 组成，长度 为1 n 2 5 3 个字节。对于长度为0 的字符串的处理方法和文本类型一致。 地址类型：3 2 位二进制数值，最重要的字节排在第一字节。 整数类型：3 2 位无符号的二进制数值，最重要的字节排在第一字节。 时间类型：3 2 位无符号的二进制数值，最重要的字节排在第一字节。 在r a d i u s 标准属性中并没有使用这个数据类型，在本文中定义这个数 据类型是因为在将来的扩展属性中可能要使用到。 应当注意的是，由于在r a d i u s 协议中的属性有表明长度的长度域，所以 不需要使用终止符，因此在用c 语言处理字符串时不能使用s t r c p y 函数。 2 3 2 1 、r a d i u s 体系结构 r a d i u s 采用c s 体系结构【2 “，其结构图如下： r a d i u ss e r v e r f 建立套接字 r a b i l l sc 3 _ i e a t t 挪定蛐口 t 建立套接宇j 荣牧数据i tt 艘送数据 发送认证臧记帐阻塞直到收到客