RADIUS认证.doc

RADIUS (概述 认证:Authentication) 1. 介绍RADIUS(Remote Authentication Dial In User Service)定义了如何装载位于网络接入服务器(NAS)与RADIUS认证服务器(RAS&RADIUS Server&3A Server)之间用于认证,授权和配置的信息.其中RADIUS Server对NAS链接作出认证.RADIUS通过管理用户数据库(包括安全,授权和计费),管理和为用户提供业务(如PPP,SLIP,telnet,rlogin)的详细配置信息来完成如下三方面工作: 1)认证(Authentication): 2)授权(Authorzation): 3)计费(Accounting):RADIUS特性包括:1).C/S模型 Client: 网络接入服务器(NAS) 向RADIUS Server 传递用户信息,对应答作出响应. Server: RADIUS Server 接收用户连接请求,认证用户,向NAS返回所有配置信息(用于NAS向user发送业务).RADIUS Server 可作为代理Client. 2).网络安全 NAS 与RADIUS Server共享secret(不在网络上传送);用户口令在NAS,RADIUS Seerver间加密.3).灵活的认证体系 RADIUS提供多种用户认证方法,包括: 通常的username+password PPP PAP&CHAP UNIX login 其它认证方法.4).可扩展协议 RADIUS处理的所有事务包括在Attribute-Length-Value 3元组中.添加新属性不影响原有协议的执行.2. RADIUS数据包格式2.1. UDP数据包格式 0 7 8 15 16 23 24 31 +-+-+-+-+ | Source | Destination | | Port | Port | +-+-+-+-+ | | | | Length | Checksum | +-+-+-+-+ | | data octets . +- . 2.2. RADIUS数据包格式描述RADIUS数据包封装在UDP数据域中,要求UDP目的端口号为1812 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Code | Identifier | Length | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | | | Authenticator | | | | | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Attributes . +-+-+-+-+-+-+-+-+-+-+-+-+-Code 1 Access-Request 2 Access-Accept 3 Access-Reject 4 Accounting-Request 5 Accounting-Response 11 Access-Challenge 12 Status-Server (experimental) 13 Status-Client (experimental) 255 ReservedIdentifier 一字节,用于标记请求与回应数据包的匹配Length 两字节,用于说明数据包(Code+Identifier+Length+Authenticator+ Attribute)总长度.实际长度小于说明长度的数据包将被丢弃;两字节长度不够,在后面填充.20 = Length = 4 Authentication-Protocol c023 Password Authentication Protocol c223 Challenge Handshake Authentication Protocol4.3.2. PAP PAP(Password Authentication Protocol)使用简单的2路握手办法为用户建立身份,在链路建立基础上进行.口令在传输中是透明的.PAP可以在允许用纯文本口令注册远程主机的情况中使用.1).PAP数据包封装在PPP的Information域中2).认证协议格式: 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Code | Identifier | Length | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Data . +-+-+-+-+ Code 1 Authenticate-Request 2 Authenticate-Ack 3 Authenticate-Nak 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Code | Identifier | Length | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Peer-ID Length| Peer-Id . +-+-+-+-+-+-+-+-+-+-+-+-+ | Passwd-Length | Password . +-+-+-+-+-+-+-+-+-+-+-+-+-+ Code 1 Authenticate-Request.4.3.3. CHAPCHAP(Challenge Handshake Authentication Protocol)使用3路握手检查用户身份,在链路建立基础上进行且提出随时认证.1).3路握手: Challenge(A)Response(p)Success/Failure(A)(p) A:Authenticator p:peer 2).Challenge/Response: Response=MD5(Identifier+”secret”+Callenge) Identifier:每发送一次数据包使用不同的Identifier值,回应数据包必须使用相同Identifier的值 Secret:为共享秘密,由两端数据库纯文本形式提供,通过加密进行传送 Challenge:必须满足:唯一性和随机性以避免重传攻击和诱发响应(不能避免实时主动攻击)3).认证选项格式: 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Type | Length | Authentication-Protocol | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Algorithm | +-+-+-+-+-+-+-+-+ Type = 3 Length = 5 Authentication-Protocol c223 (hex) for Challenge-Handshake Authentication Protocol. Algorithm 0-4 unused (reserved) 5 MD5 4).CHAP数据包格式: 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Code | Identifier | Length | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Data . +-+-+-+-+ Code 1 Challenge 2 Response 3 Success 4 Failure 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Code | Identifier | Length | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Value-Size | Value . +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Name . +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ Code 1 Challenge; 2 Response. Name: 防止多种认证系统只用一个秘密,Name用作关键字提供基于不同认证的秘密4.3.4. 对PAP用户的RADIUS认证 Access-Requuest数据包: User-NamePAP ID User-Passwordpassword Service-Type = Framed-User Framed-Protocol = PPP4.3.5. 对CHAP用户的RADIUS认证 Access-Requuest数据包: User-NameCHAP username CHAP-PasswordCHAP ID+CHAP response CHAP-Challenge/Request Authenticatorchalenge Service-Type = Framed-User Framed-Protocol = PPP RADIUS Server 认证: Response=MD5(Identifier+”secret”+Challenge) 4.4. 漫游代理收到用户请求后,RAS根据NAS标记(NAS-ID,NAS-IP)确定是本地用户还是漫游用户.如果是本地用户,RAS将在本地用户服务器中查找用户信息;是漫游用户,RAS将记录该请求的有关信息重新打包,发向用户的开户地的RAS;反之,收到异地RAS发来的回应信息,RAS将依次查找所有作为代理的记录,找到相应的记录,在根据受到的回应信息打包发向NAS,并从代理对里列中删除此条记录,丛而完成代理认证的全过程,实现异地漫游认证.认证服务器RAS完成代理认证后,打包准备向NAS 发出回应信息前,会进行部分属性的转换,以适应不同NAS 的需要,使RADIUS系统不受限于某一种NAS.并带有授权信息,以限定用户的访问范围.下面是代理示意图: 4.5. 为什么要使用UDP1).主备用认证服务器机制为满足此要求,请求数据包的拷贝存放在传输层以上以备重传,且要求设置冲传计数器.2).RADIUS的适时要求一方面,RADIUS允许丢失响应数据包另一方面,可以以主备用机制满足时间要求,避免复杂的TCP重传3).RADIUS对处理异常不作要求TCP中须写大量代码处理诸如两端断连,系统重启动,掉电,超时,TCP连接检测 等异常,而UDP传输只要求一次性开放即可.4)UDP简化服务器执行UDP传输中产生多线程比较简单,这些进程可处理每个请求 ?5. 实例5.1. 用户 Telnet到特定主机.IP为192.168.1.16的NAS向认证服务器发送 Access-Request UDP数据包以为用户 nemo 从第3号端口进行连接.以下是Access-Request数据包内容: Code = 1 (Access-Request) ID = 0 Length = 56 Request Authenticator = 16 octet random number Attributes: User-Name = nemo User-Password = 16 octets of Password padded at end with nulls, XORed with MD5(shared secret|Request Authenticator) NAS-IP-Address = 192.168.1.16 NAS-Port = 3认证服务器认证nemo, 向NAS发送 Access-Accept UDP数据包,以告诉NAS把 nemo TELNET到主机192.168.1.3. 以下是Access- Accep数据包内容: Code = 2 (Access-Accept) ID = 0 (same as in Access-Request) Length = 38 Response Authenticator = 16-octet MD-5 checksum of the code (2), id (0), Length (38), the Request Authenticator from above, the attributes in this reply, and the shared secret Attributes: Service-Type = Login-User Login-Service = Telnet Login-Host = 192.168.1.35.2. Framed用户用CHAP进行认证IP为 192.168.1.16的NAS使用CHAP认证用户flopsy后,向认证服务器发送 Access-Request UDP 数据包为用户从第20号端口使用PPP进行连接.NAS可以发送Service-Type和 Framed-Protocol属性以向认证服务器提示用户正在寻找PPP. 以下是Access-Request数据包内容: Code = 1 (Access-Request) ID = 1 Length = 71 Request Authenticator = 16 octet random number also used as CHAP challenge Attributes: User-Name = flopsy CHAP-Password = 1 octet CHAP ID followed by 16 octet CHAP response NAS-IP-Address = 192.168.1.16 NAS-Port = 20 Service-Type = Framed-User Framed-Protocol = PPP认证服务器认证flopsy, 向NAS发送 Access-Accept UDP数据包,以告诉NAS向用户开通PPP服务,且同时从动态地址池为用户分配一个IP地址. 以下是Access- Accep数据包内容: Code = 2 (Access-Accept) ID = 1 (same as in Access-Request) Length = 56 Response Authenticator = 16-octet MD-5 checksum of the code (2), id (1), Length (56), the Request Authenticator from above, the attributes in this reply, and the shared secret Attributes: Service-Type = Framed-User Framed-Protocol = PPP Framed-IP-Address = 255.255.255.254 Framed-Routing = None Framed-Compression = 1 (VJ TCP/IP Header Compression) Framed-MTU = 15005.3. 使用Challenge/Response卡IP为 192.168.1.16的NAS向认证服务器发送 Access-Request UDP 数据包为用户mopsy从第7号端口进行连接. 以下是Access-Request数据包内容: Code = 1 (Access-Request) ID = 2 Length = 57 Request Authenticator = 16 octet random number Attributes: User-Name = mopsy User-Password = 16 octets of Password padded at end with nulls, XORed with MD5(shared secret|Request Authenticator) NAS-IP-Address = 192.168.1.16 NAS-Port = 7认证服务器决定向mopsy提问,向NAS发送 Access-Challenge UDP数据包以得到回答. 以下是Access- Challenge 数据包内容: Code = 11 (Access-Challenge ID = 2 (same as in Access-Request) Length = 78 Response Authenticator = 16-octet MD-5 checksum of the code (11), id (2), length (78), the Request Authenticator from above, the attributes in this reply, and the shared secret Attributes: Reply-Message = Challenge 32769430. Enter response at prompt. State = Magic Cookie to be returned along with users response ;in thi