802.1x技术背景.doc

基于802.1x身份认证的网络安全接入方案一. 简介 企业面临的安全威胁之一就是外围设备非法接入到内部网络后的破坏性攻击行为。在许多企业的IT管理过程中,往往注重对来自因特网的外部威胁防御,忽略了来自内部的非法访问威胁。 很多企业已经建立了基于Windows域的管理系统，通过Windows域管理用户访问权限和应用执行权限。而为了更加有效地控制和管理网络资源，提高网络接入的安全性，还可以通过802.1x认证实现对接入用户的身份识别和权限控制。 将802.1x协议和windows活动目录技术相结合，可以实现只有通过了内部域用户验证的计算机才能正常连入公司交换机进行通讯,否则其接入端口数据将被阻隔。二. 802.1x技术介绍2.1 802.1x体系结构802.1X系统为典型的Client/Server结构，如下图所示，包括三个实体：客户端（Client）、设备端（Device）和认证服务器（Server）。 认证客户端（client）： 认证客户端是最终用户所扮演的角色，一般是个人计算机。它请求对 网络服务的访问，并对server的请求报文进行应答。认证客户端必须运行符合IEEE 802.1X客户端标准的软件，目前最典型的就是Windows操作系统自带的IEEE802.1X客户端。认证设备端（device）： 认证设备端一般为交换机等接入设备，该职责是根据认证客户端当前的认证状态控制 其与网络的连接状态。 受控/非受控端口 设备端为客户端提供接入局域网的端口，这个端口被划分为两个虚拟端口：受控端口和非受控端口。非受控端口始终处于双向连通状态，主要用来传递EAPOL协议帧，保证客户端始终能够发出或接受认证。 受控端口在授权状态下处于连通状态，用于传递业务报文；在非授权状态下处于断开状态，禁止传递任何报文。 授权/非授权状态 设备端利用认证服务器对需要接入局域网的客户端进行认证，并根据认证结果（Radius accept或Reject）对受控端口的授权状态进行相应地控制。 用户可以通过在端口下配置的接入控制的模式来控制端口的授权状态。端口支持以下三种接入控制模式： 1) 强制授权模式（authorized-force）：表示端口始终处于授权状态，允许用户不经认证授权即可访问网络资源。 2) 强制非授权模式（unauthorized-force）：表示端口始终处于非授权状态，不允许用户进行认证。设备端不对通过该端口接入的客户端提供认证服务。 3) 自动识别模式（auto）：表示端口初始状态为非授权状态，仅允许 EAPOL报文收发，不允许用户访问网络资源；如果认证通过，则端口切换到授权状态，允许用户访问网络资源。这也是最常见的情况。认证服务器(server) 认证服务器通常为RADIUS服务器。认证服务器在认证过程中与认证者配合，为用户提供认证服务。认证服务器保存了用户名及密码，以及相应的授权信息，一台认证服务器可以对多台认证者提供认证服务，这样就可以实现对用户的集中管理。认证服务器还负责管理从认证者发来的审计数据。如微软公司的Windows Server 2008操作系统自带的RADIUS服务器组件(网络策略服务器NPS）。2.2 802.1x的认证触发方式 802.1X的认证过程可以由客户端主动发起，也可以由设备端发起。设备支持的认证触发方式包括以下两种：1) 客户端主动触发方式客户端主动向设备端发送EAPOL-Start报文来触发认证，该报文目的地址为IEEE 802.1X协议分配的一个组播MAC地址：01-80-C2-00-00-03。2) 设备端主动触发方式设备端触发方式用于支持不能主动发送EAPOL-Start报文的客户端，根据发送EAPOL-Request/Identity报文的方式不同，有以下两种触发方式：l 组播触发：设备每隔N秒（缺省为30秒）主动向客户端发送组播EAP-Request/Identity报文来触发认证。l 单播触发：当设备收到源MAC地址未知的报文时，主动向该MAC地址发送单播EAP-Request/Identity报文来触发认证。若设备端在设置的时长内没有收到客户端的响应，则重发该报文。对于某些h3c设备还支持dhcp报文触发机制，当交换机收到dhcp请求报文时会主动向该mac地址发起单播EAP-Request/Identity2.3 802.1X的接入控制方式 H3C设备不仅支持协议所规定的基于端口的接入认证方式（portbased），还对其进行了扩展、优化，支持基于MAC的接入控制方式（macbased）。l 当采用基于端口的接入控制方式时，只要该端口下的第一个用户认证成功后，其它接入用户无须认证就可使用网络资源，但是当第一个用户下线后，其它用户也会被拒绝使用网络。l 采用基于MAC的接入控制方式时，该端口下的所有接入用户均需要单独认证，当某个用户下线时，也只有该用户无法使用网络。2.4 802.1x 报文结构 802.1X系统使用EAP（Extensible Authentication Protocol，可扩展认证协议）来实现客户端、设备端和认证服务器之间认证信息的交互。EAP是一种C/S模式的认证框架，并不是一个具体的认证机制。它可以支持多种认证方法，例如MD5-Challenge、EAP-TLS、PEAP等 。在客户端与设备端之间，EAP报文使用EAPOL（Extensible Authentication Protocol over LAN，局域网上的可扩展认证协议）封装格式承载于数据帧中传递，而在设备端与radius服务器端之间，eap-packet报文封装在radius数据包中进行传输2.4.1 EAPOL数据包的格式 EAPOL是802.1x协议定义的一种报文封装格式，封装在2层帧中，主要用于在客户端和设备端之间传送EAP协议报文，以允许EAP协议报文在LAN上传送。EAPOL数据包的格式如下图所示： Eapol报文数据结构ethernet type表示协议类型，固定为0x888eversion是版本号，目前为1Type表示eapol数据包类型，有4种类型Type类型值Eapol数据包类型说明0x0000Eap-packet认证信息帧，用于承载客户端和设备端之间的EAP报文。 在中继方式下，该帧承载的EAP报文会被设备端直接封装在RADIUS报文的EAP属性中发送给认证服务器0x0001Eap-start（认证发起帧）用于客户端向设备端发起认证请求0x0002Eap-logoff（退出请求帧）用于客户端向设备端发送下线请求0x0003Eap-key（密钥信息帧）用于动态交换密钥，支持对eap报文的加密length和Radius packet body的内容是由 type决定当type类型为eap-start或者eap-logoff时不需要Radius packet body有具体内容2.4.2 EAP-PACKET报文格式当EAPOL数据帧的类型为EAP-PACKET时，PACKET Body字段的内容就是一个EAP报文，数据包格式如下图所示 EAP报文数据结构 Code：指明EAP包的类型，共有4种：Request、Response、Success、Failure。Code值Eap-packet数据包类型说明1Request由验证方发往被验证方要求其提供验证数据2Response由被验证方发起的对验证方的回应3Success由验证方发向被验证方发送的用于验证成功的消息4Failure由验证方发向被验证方发送的用于验证失败的消息 Identifier：用于匹配Request消息和Response消息。每一个request应该都有一个response相对应，相当于tcp中的序号 Length：EAP包的长度，包含Code、Identifier、Length和Data域，单位为字节。 Data：EAP包的内容，由Code类型决定。随着eap code类型的不同而不同，对于success和failure报文没有date字段，而在request和response报文中，date数据由type和type-date域两部分组成,下图为date数据域组成 Eap-packet的date字段其中type字段表明了request或者response的类型。在eap-packet的request或者response报文中必须出现且仅出现一个type，通常request报文和response报文的type域相同。下表列出一些常用type值与介绍Type值类型说明1Identity（标识）是验证方用包含该type的request报文询问被验证方的标识（在很多情况下被称为用户名）；或者是被验证方利用包含该type的response报文向验证方通报自己标识2Notificition用于验证双方通告一些消息，如密码快过期等3Nak只对response报文有效，是被验证方用来表达自己无法满足验证方的某个request消息表达的验证要求4Md5-challege 在request报文中type date字段包含一段随机数。在验证方回应这个request的response中为对这个随机数以及密钥的md5 hash结果或者nak5OTP（one-time-password）类似md5-challege6Generic token card一种基于令牌卡生成验证信息的认证方式，类似于MD5-challege和OTP13Eap-tls采用eap-tls认证模式25Peap采用peap认证模式2.4.3 EAP报文的封装 在设备端和radius服务器之间eap-packet是被封装在radius报文中传递的。 RADIUS为支持EAP认证增加了两个属性：EAP-Message（EAP消息）和Message-Authenticator（消息认证码）。有关RADIUS协议的报文格式以及属性请参见第三章的的RADIUS协议简介部分。l EAP-Message EAP-MESSAGE属性用于封装EAP数据包，radius类型代码为79，value域最长253字节，如果EAP数据包长度大于253字节，可以对其进行分片，依次封装在多个EAP-Message属性中。Type=79LengthValue（eap-message） Eap-message的属性封装l Message-Authenticator 这个属性用于在使用EAP认证方法的过程中，避免接入请求包被窃听。在含有EAP-Message属性的数据包中，必须同时也包含Message-Authenticator属性，该属性值被用于验证数据包的完整性，如果接收端计算出的该报文的完整性校验值与报文中携带的Message-Authenticator属性值不一致，该数据包会被认为无效而被丢弃。Type=80LengthValue（eap-message） Message-Authenticator属性2.5 802.1认证报文交互机制在设备端与RADIUS服务器之间，EAP报文的交互有以下两种处理机制。2.5.1 EAP中继 EAP中继是交换机默认采取的处理机制。设备对收到的EAP报文进行中继，使用EAPOR（EAP over RADIUS）封装格式将其承载于RADIUS报文中发送给RADIUS服务器进行认证。 eap中继方式 EAP中继机制下，EAP认证过程是在客户端和RADIUS服务器之间进行，RADIUS服务器作为EAP服务器来处理客户端的EAP认证请求，而设备端只是相当于一个代理，仅对EAP报文做中转，因此设备处理简单，并能够支持EAP的各种认证方法，如 eap-md5.eap-tls,peap. EAP-MD5 出现比较早，采用MD5（Message Digest 5）单向 128 位散列算法，流程如下图所示：1. 客户端主动发起eapol-start报文发起认证请求2. 接入设备（device）向客户端（client）发送EAP-Request/Identity报文，请求客户端的用户名；3. 客户端回应一个EAP-Response/Identity，其中包括客户端用户名；4. 接入设备将EAP-Response/Identity报文封装到RADIUS Radius access-Request报文中，发送给认证服务器；5. 认证服务器收到由设备端转发的用户名信息后，将信息与服务器数据库中的用户名相对比，找到该用户对应的口令信息，然后用随机生成的一个随机数对口令进行MD5 HASH运算处理得到一个hash值，然后将该随机数通过RADIUS Radius access-Challenge报文发送给客户端，其中包含有EAP-Request/MD5-Challenge；6. 接入设备通过EAP-Request/MD5-Challenge发送给客户端，要求客户端进行认证；7. 客户端收到EAP-Request/MD5-Challenge报文后，得到该随机数，然后用该随机数对口令部分进行加密得到一个hash值，并将该hash值通过EAP-Response/MD5-Challenge回应给接入设备；8. 接入设备通过RADIUS Radius servercess-request/md5 challenge将随机数，客户端md5计算生成的hash值和用户名一起送到RADIUS服务器，由RADIUS服务器进行认证：9. RADIUS服务器收到该RADIUS Radius servercess-request/md5 challenge，将其中的hash值和自己计算得到的hash值做比较，相同则为合法用户，认证成功，携带协商参数，以及用户的相关业务属性给用户授权。如果认证失败，则流程结束；10. 如果认证通过，用户通过标准的DHCP协议(可以是DHCP Relay)，通过接入设备获取规划的IP地址；11. 如果认证通过，接入设备发起计费开始请求(也可以不使用计费）给RADIUS用户认证服务器；12. RADIUS用户认证服务器回应计费开始请求报文。用户上线完毕。 EAP-TLS EAP-TLS是IETF的一个开放标准，能够提供很好的安全保证。使用TLS提供完整性协商和密钥交换功能，并使用pki来保护Radius认证服务器的通信。EAP-TLS 使用证书进行服务器身份验证，使用向客户端计算机注册并且存储在本地计算机的证书存储中的证书进行用户和客户端身份验证。一个脆弱的密码不会导致入侵基于EAPTLS的系统，因为攻击者仍然需要客户端的证书。因此，一般认为这种EAP实现方法比其他EAP更安全。但是部署EAP-TLS相对要困难一些，因为它需要相互认证协商加密方式，最重要的是它需要在客户端与服务器上安装证书，这意味着EAP-TLS需要进行繁琐的证书管理。 1) 当用户（client）有上网需求时打开802.1X客户端程序，输入已经申请、登记过的用户名和口令，发起连接请求。此时，客户端程序将发出请求认证的报文给AP，开始启动一次认证过程。 (EAPOW_Start) w为wlan2) AP收到请求认证的数据帧后，将发出一个请求帧要求用户的客户端程序将用户标识送上来。 (EAP_Request/Identity)3) 客户端程序响应AP发出的请求，将用户信息（ID或机器名）通过数据帧送给AP。AP将客户端送上来的数据帧做成Radius报文后送给认证服务器(RADIUS SERVER)进行处理。 (Radius_access_Request/EAP_Response/Identity)4) RADIUS SERVER收到AP发过来的用户信息后，发起TLS认证流程（EAP_Request/TLS-Start）。5) 客户端收到TLS认证开始流程后，发送client-hello来发起TLS握手，这个消息里面包含了自己可实现的算法列表、Client Random Value和其它一些需要的信息。AP将该报文打包转发给RADIUS SERVER（EAP-Response/Client-Hello）。6) RADIUS SERVER回应一个ServerHello，确定了这次通信所需要的算法和Server Random Value，然后通过Radius协议发出自己的证书（里面包含了server的公钥和server的身份信息），Key-ex包含对两个随机数以及服务器参数的签名（不一定存在server key ex，有时不需要）。（EAP-Request/TLS（Srv-Hello、Cert、Key-ex）7) client收到后会产生一个定长随机串。客户端通过已有CA的证书验证了RADIUS SERVER证书合法性（用户对网络进行认证），如果合法，将client的证书、使用RADIUS SERVER的公钥加密的定长随机串（client Key-exchange），也叫Pre Master Secert,。Client发出chg_cipher_spec消息通知server、随后的报文都将使用新协商的加密套件和密钥进行保护和传输）通过EAP-Response发到AP，AP将EAP报文打包成Radius报文。从而进行第二认证（认证client。（EAP-Response/TLS（Cert、client Key-exchange、chg_cipher_spec）。8) RADIUS SERVER收到pc发过来的证书，通过已有CA的证书验证STA证书的合法性（网络对用户进行认证），如果合法，则RADIUS SERVER发送Radius access-Challenge给AP。AP将Radius报文解开并转换面EAP报文发送给STA。（EAP-Request/TLS(chg_cipher_spec)）。9) 客户方发送一个包含验证前面所有数据的Finished Message。(EAP-Response/TLS)10) RADIUS SERVER和STA分别按照以下算法出Session Key=PRF(pre-master- secret, “client EAP encryption”, client- Hello.random + ServerHello.random)。Session Key长度为128Bytes，而PMK为256bits，STA取Session Key前32Byte做为PMK。RADIUS SERVER返回Radius-Radius servercess-Radius servercept/EAP-Success给AP，并将Session Key做为MS-MPPE-Recv-Key的参数传递给AP，AP根据些参数算出加密Key。AP发送EAP-Success给STA。此时完成EAP-TLS认证流程(EAP-TLS Success) PEAP MS-CHAPV2 带有 EAP-MS-CHAPv2 的 PEAP (PEAP-MS-CHAP v2) 比 EAP-TLS 容易部署，因为它使用基于密码的凭据（用户名和密码）完成用户身份验证，而不是使用证书或智能卡。只要求 NPS 服务器或其他 RADIUS 服务器具有证书。在身份验证的过程中，NPS 服务器使用 NPS 服务器证书向 PEAP 客户端证明其身份。 成功的 PEAP-MS-CHAP v2 身份验证要求客户端在检查服务器证书之后信任 NPS 服务器。若要使客户端信任 NPS 服务器，颁发服务器证书的证书颁发机构 (CA) 必须在客户端计算机上的“受信任的根证书颁发机构”证书存储中具有其自己的不同证书。NPS 使用的服务器证书可以由组织的受信任的根 CA 或公共 CA（如已受客户端计算机信任的 VeriSign 或 Thawte）颁发。 认证初始化1) Client向AP设备发送一个EAPoL-Start报文，开始802.1x接入的开始。2) AP向客户端发送EAP-Request/Identity报文，要求客户端将用户信息送上来。3) Client回应一个EAP-Response/Identity给AP的请求，其中包括用户的网络 标识。用户ID，对于EAP-mschchap v2认证方式的用户ID是由用户在客户端手动输入或者配置的。用户ID通常的格式是usernamedomain，其中username是运营商提供给用户的身份ID，domain是运营商的域名（如“”）。4) AP以EAP Over RADIUS的报文格式将EAP-Response/Identity发送给认证服务器Radius,并且带上相关的RADIUS的属性。5) Radius收到客户端发来的EAP-Response/Identity，根据配置确定使用EAP-PEAP认证，并向AP发送RADIUS-Access-Challenge报文，里面含有Radius发送给客户端的EAP-Request/Peap Start的报文，表示希望开始进行EAP-PEAP的认证。6) AP设备将EAP-Request/PEAP/Start发送给认证客户端。建立TLS通道7) Client收到EAP-Request/Peap/Start报文后，产生一个随机数、客户端支持的加密算法列表、TLS协议版本、会话ID、以及压缩方法（目前均为NULL），封装在EAP-Response/Client Hello报文中发送给AP设备。8) AP以EAP Over RADIUS的报文格式将EAP-Response/Client Hello发送给认证服务器Radius Server,并且带上相关的RADIUS的属性。9) Radius收到Client发来的Client Hello报文后，会从Client 的Hello报文的加密算法列表中选择自己支持的一组加密算法Server产生的随机数Server 证书（包含服务器的名称和公钥）证书请求Server_Hello_Done属性形成一个Server Hello报文封装在AccessChallenge报文中，发送给Client.10) AP把Radius报文中的EAP域提取，封装成EAP-request报文发送给Client.注：由于证书比较大，一个报文是无法承载的，所以在实际流程中第10，11完成后，后面还有3个续传的IP分片报文，目的是把Server证书发送到客户端.11) Client收到报文后，进行验证Server的证书是否合法（使用从CA证书颁发机构获取的根证书进行验证，主要验证证书时间是否合法，名称是否合法），即对网络进行认证，从而可以保证Server的合法。如果合法则提取Server证书中的公钥，同时产生一个随机密码串pre-master-secret，并使用服务器的公钥对其进行加密，最后将加密的信息ClientKeyExchange+客户端的证书（如果没有证书，可以把属性置为0）TLS finished属性封装成EAP-Rsponse/TLS OK报文发送给认证点AP.如果client没有安装证书，则不会对Server证书的合法性进行认证，即不能对网络进行认证。12) AP以EAP Over RADIUS的报文格式将EAP-Response/TLS OK发送给认证服务器Radius Server,并且带上相关的RADIUS的属性13) Radius收到客户端发了的报文后，用自己的证书对应的私钥对ClientKeyExchange进行解密，从而获取到pre-master-secret，然后将pre-master-secret进行运算处理，加上Client和Server产生的随机数，生成加密密钥、加密初始化向量和hmac的密钥，这时双方已经安全的协商出一套加密办法了，至此TLS通道已经建立成功，以后的认证过程将使用协商出的密钥进行加密和校验。Radius Server借助hmac的密钥，对要在TLS通道内进行认证的消息做安全的摘要处理，然后和认证消息放到一起。借助加密密钥，加密初始化向量加密上面的消息，封装在AccessChallenge报文中，发送给Client. 认证过程14) AP把Radius报文中的EAP域提取，封装成EAP-request报文发送给Client.15) 客户端收到Radius server发来报文后，用服务器相同的方法生成加密密钥，加密初始化向量和hmac的密钥，并用相应的密钥及其方法对报文进行解密和校验，然后产生认证回应报文，用密钥进行加密和校验，最后封装成EAPresponse报文发送给AP，AP以EAP Over RADIUS的报文格式将EAP-Response发送给认证服务器Radius Server,并且带上相关的RADIUS的属性，这样反复进行交互，直到认证完成16) 服务器认证客户端成功，会发送AccessAccept报文给AP，报文中包含了认证服务器所提供的MPPE属性。17) AP收到RADIUS-Access-Accept报文，会提取MPPE属性中的密钥做为WPA加密用的PMK,并且会发送EAPsuccess报文给客户端. 2.5.2 EAP终结 设备对EAP认证过程进行终结，将收到的EAP报文中的客户端认证信息封装在标准的RADIUS报文中，与服务器之间采用PAP（Password Authentication Protocol，密码验证协议）或CHAP（Challenge Handshake Authentication Protocol，质询握手验证协议）方法进行认证。 Eap终结方式 在该处理机制下，由于现有的RADIUS服务器基本均可支持PAP认证和CHAP认证，因此对服务器无特殊要求，但设备处理较为复杂，它需要作为EAP服务器来解析与处理客户端的EAP报文，且目前仅能支持MD5-Challenge类型的EAP认证。三. AAA和RADIUS简介3.1 AAA概述 AAA是Authentication、Authorization、Radius servercounting（认证、授权、计费）的简称，是网络安全的一种管理机制，提供了认证、授权、计费三种安全功能。 认证（Authentication）：指用户在使用网络系统中的资源时对用户身份的确认。这一过程，通过与用户的交互获得身份信息（诸如用户名口令组合、用户证书等），然后提交给认证服务器；后者对身份信息与存储在数据库里的用户信息进行核对处理，然后根据处理结果确认用户身份是否正确。 授权（Authorization）：网络系统授权用户以特定的方式使用其资源，这一过程指定了被认证的用户在接入网络后能够使用的业务和拥有的权限 计费（counting）：服务器收集、记录用户对网络资源的使用，以便向用户收取资源使用费用，或者用于审计等目的。以互联网接入业务供应商ISP为例，用户的网络接入使用情况可以按流量或者时间被准确记录下来。AAA一般采用客户机/服务器结构，客户端运行于NAS（Network Radius access Server，网络接入服务器）上，服务器上则集中管理用户信息。NAS对于用户来讲是服务器端，对于服务器来说是客户端。AAA的基本组网结构如下图所示： AAA可以通过多种协议来实现，目前h3c设备支持基于RADIUS协议、HWTRADIUS SERVERRADIUS SERVER(h3c私有）协议来实现AAA，在实际应用中，最常使用RADIUS协议。3.2 RADIUS协议简介 RADIUS（Remote Authentication Dial-In User Service，远程认证拨号用户服务）是一种分布式的、客户端/服务器结构的信息交互协议，能保护网络不受未授权访问的干扰，常应用在既要求较高安全性、又允许远程用户访问的各种网络环境中。该协议定义了RADIUS的报文格式及其消息传输机制，并规定使用UDP作为封装RADIUS报文的传输层协议（UDP端口1812、1813分别作为认证、计费端口）。 RADIUS最初仅是针对拨号用户的AAA协议，后来随着用户接入方式的多样化发展，RADIUS也适应多种用户接入方式，如以太网接入、ADSL接入。它通过认证授权来提供接入服务，通过计费来收集、记录用户对网络资源的使用。3.2.1 RADIUS安全和认证机制 RADIUS客户端和RADIUS服务器之间认证消息的交互是通过共享密钥的参与来完成的，并且共享密钥不能通过网络来传输，增强了信息交互的安全性。另外，为防止用户密码在不安全的网络上传递时被窃取，在传输过程中对密码进行了加密。 RADIUS服务器支持多种方法来认证用户。另外，RADIUS服务器还可以作为一个代理，以RADIUS客户端的身份与其它的RADIUS认证服务器进行通信，负责转发RADIUS认证和计费报文。 用户、RADIUS客户端和RADIUS服务器之间的交互流程下图所示。 RADIUS的基本消息交互流程消息交互流程如下：(1) 用户发起连接请求，向RADIUS客户端发送用户名和密码。(2) RADIUS客户端根据获取的用户名和密码，向RADIUS服务器发送认证请求包（Radius servercess-Request），其中的密码在共享密钥的参与下由MD5算法进行加密处理。(3) RADIUS服务器对用户名和密码进行认证。如果认证成功，RADIUS服务器向RADIUS客户端发送认证接受包（Radius access-Radius acccept）；如果认证失败，则返回认证拒绝包（Radius access-Reject）。由于RADIUS协议合并了认证和授权的过程，因此认证接受包中也包含了用户的授权信息。(4) RADIUS客户端根据接收到的认证结果接入/拒绝用户。如果允许用户接入，则RADIUS客户端向RADIUS服务器发送计费开始请求包（Radius accounting-Request）。如果只要求做认证，那么也可以关闭计费功能(5) RADIUS服务器返回计费开始响应包（Radius accounting-Response），并开始计费。(6) 用户开始访问网络资源；(7) 用户请求断开连接，RADIUS客户端向RADIUS服务器发送计费停止请求包（Radius accounting-Request）。(8) RADIUS服务器返回计费结束响应包（Radius accounting-Response），并停止计费。(9) 用户结束访问网络资源。3.2.2 RADIUS报文结构 RA