radius协议书范本

1、概述:RADIUS 协议包括 RADIUS AUTHENTICATION PROTOCOL 和 RADIUS ACCOUNTING PROTOCOL 两部分。RADIUS AUTHENTICATION PROTOCOL 完成 拨号用户的认证工作， 而RADIUS ACCOUNTING PROTOCOL则完成用户服务的计费任务。事实上，为了更好地向分散的众多接入用户提供互联网服务，必须对接入服务提供有效的管理支持。它需要对安全，配置，计费等提供支持，这可以通过对一个用户数据 库的管理来达到，这个数据库包括认证信息，及细化的服务配置信息和计费信息。通常这个数据库的维护管理，对用户信息的核实及配置有

2、一个单独的实体完成，这个实体就是RADIUS server。由于这些管理信息的众多与繁杂，通常RADIUS server放在一个独立的计算机上，而为了向RADIUS server取得服务，必须首先构建一个 RADIUS client， 通常 RADIUS client 位于 Network Access Server （ NAS，网络接入设备）上。下图示例了这些实体之间的关系：RADIUS认证协议格式：1、RADIUS AUTHENTICATION PROTOCOL包格式下面是协议报文格式：CODEIDENTIFIERLENGTHAUTHENTICATORATTRIBUTESCODE域可以包括

3、如下一些值；1 Access-Request2 Access-Accept3 Access-Reject4 Acco untin g-Request5 Acco untin g-Resp onse11 Access-Challe nge12 Status-Server13 Status-Clie nt255Reserved其中，CODE 1 , 2, 3, 11 值为 RADIUS AUTHENTICATION PROTOCOL 使用， 而 CODE 4,5 值为 RADIUS ACCOUNTING PROTOCOL 使用。其余未用或保留。CODE 占一个字节IDENTIFIER 占一个字节，

4、用于匹配请求和应答。LENGTH 占二个字节，是整个数据报的长度， 包括CODE+IDENTIFIER+LENGTH +AUTHENTICATOR+A TTRIBUTES 的所有长度。AUTHENTICATOR 是16字节的随机数，高位在先，此域用于认证答复和加密口 令字。ATTRIBUTES是若干属性状态的集合，其长度是不确定的，不同的CODE值可以跟随不同的属性值。下表是一个总结：RequestAcceptRejectChalle nge#Attribute10001User-Name0-10002User-Password0-10003CHAP-Password0-10004NAS-IP

5、-Address0-10005NAS-Port0-10-1006Service-Type0-10-1007Framed-Protocol0-10-1008Framed-IP-Address0-10-1009Framed-IP-Net mask00-10010Framed-Routi ng00+0011Filter-Id00-10012Framed-MTU0+0+0013Framed-Compressi on0+0+0014Logi n-IP-Host0 10-10015Login-Service00-10016Logi n-TCP-Port00+0+0+18Reply-Message0-1 1

6、0-10019Callback-Number00-10020Callback-Id00+0022Framed-Route0 10-10023Framed-IPX-Network0-10-100-124State00+0025Class0+ n0+00+26Ven dor-Specific00-100-127Sessio n-Timeout00-100-128Idle-Timeout00-10029Termi natio n-Actio n0-100030Called-Statio n-ld0-100031Calli ng-Stati on-Id0-100032NAS-Ide ntifier0+

7、0+0+0+33Proxy-State0-10-10034Logi n-LAT-Service0-10-100:35Logi n-LAT-Node0-1 10-10036Logi n-LAT-Group00-10037Framed-AppleTalk-Li nk00+0038Framed-AppleTalk-Netwo rk0 n0-100:39Framed-AppleTalk-Z one0-10-0060CHAP-Challe nge0-100061NAS-Port-Type0-10-10062Port-Limit0-10-10063Logi n-LAT-Port表中，0表示在此类型包中，不

8、可以跟随此属性状态；1表示在此类型包中，只有一个此属性状态可跟随；0+表示在此类型包中，0个或多个此属性状态可跟随；0-1表示在此类型包中，0个或1个此属性状态可跟随；2、RADIUS AUTHENTICATION PROTOCOL ACCESS-REQUEST下面是ACCESS-REQUEST包格式：CODEIDENTIFIERLENGTHREQUEST-AUTHENTICATORATTRIBUTES其中，CODE=1 ； CODE占一个字节IDENTIFIER 占一个字节，用于匹配请求和应答。LENGTH 占二个字节，是整个数据报的长度， 包括CODE+IDENTIFIER+LENGTH

9、+REQUEST-AUTHENTICA TOR+ATTRIBUTES 的所有长度。REQUEST-AUTHENTICATOR 是16字节的随机数，高位在先，此域用于认证答 复和加密口令字。ATTRIBUTES 是若干属性状态的集合。参考上表。3、RADIUS AUTHENTICATION PROTOCOL ACCESS-ACCEPT下面是ACCESS-ACCEPT包格式：CODEIDENTIFIERLENGTHRESPONSE-AUTHENTICA TORATTRIBUTES其中，CODE=2 ； CODE占一个字节IDENTIFIER 占一个字节，用于匹配请求和应答。LENGTH 占二个字节

10、，是整个数据报的长度， 包括CODE+IDENTIFIER+LENGTH +RESPONSE-AUTHENTICATOR+A TTRIBUTES 的所有长度。RESPONSE-AUTHENTICA TOR 是由 REQUEST-AUTHENTICATOR 计算得出，高 位在先。ATTRIBUTES 是若干属性状态的集合。参考上表。4、RADIUS AUTHENTICATION PROTOCOL ACCESS-REJECT下面是ACCESS-REJECT包格式：CODEIDENTIFIERLENGTHRESPONSE-AUTHENTICA TORATTRIBUTES其中，CODE=3 ； COD

11、E占一个字节IDENTIFIER 占一个字节，用于匹配请求和应答。LENGTH 占二个字节，是整个数据报的长度， 包括CODE+IDENTIFIER+LENGTH +RESPONSE-AUTHENTICATOR+A TTRIBUTES 的所有长度。RESPONSE-AUTHENTICA TOR 是由 REQUEST-AUTHENTICATOR 计算得出，高 位在先。ATTRIBUTES 是若干属性状态的集合。参考上表。5、RADIUS AUTHENTICATION PROTOCOL ACCESS-CHALLENGE下面是ACCESS-CHALLENGE 包格式：CODEIDENTIFIERLE

12、NGTHRESPONSE-AUTHENTICA TORATTRIBUTES其中，CODE=11 ； CODE占一个字节IDENTIFIER 占一个字节，用于匹配请求和应答。LENGTH 占二个字节，是整个数据报的长度， 包括CODE+IDENTIFIER+LENGTH +RESPONSE-AUTHENTICATOR+A TTRIBUTES 的所有长度。RESPONSE-AUTHENTICA TOR 是由 REQUEST-AUTHENTICATOR 计算得出，高 位在先。ATTRIBUTES 是若干属性状态的集合。参考上表。6、RADIUS AUTHENTICATION PROTOCOL ATT

13、RIBUTES下面是属性状态的包格式：TYPELENGTHVALUE123456789 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39TYPE+LENGTH+V ALUE ；TYPE 占一个字节，表示属性状态的类型， LENGTH 占一个字节，表示属性长度，包括 VALUE 长度不定，由类型确定。 下面是所有 TYPE 的集合描述：User-NameUser-PasswordCHAP-PasswordNAS-IP-AddressNAS-PortService-Ty

14、peFramed-ProtocolFramed-IP-AddressFramed-IP-NetmaskFramed-RoutingFilter-IdFramed-MTUFramed-CompressionLogin-IP-HostLogin-ServiceLogin-TCP-Port(unassigned)Reply-MessageCallback-NumberCallback-Id(unassigned)Framed-RouteFramed-IPX-NetworkStateClassVendor-SpecificSession-TimeoutIdle-TimeoutTermination-A

15、ctionCalled-Station-IdCalling-Station-IdNAS-IdentifierProxy-StateLogin-LAT-ServiceLogin-LAT-NodeLogin-LAT-GroupFramed-AppleTalk-Link Framed-AppleTalk-Network Framed-AppleTalk-Zone40-59 (reserved for acco un ti ng)60 CHAP-Challe nge61 NAS-Port-Type62 Port-Limit63 Logi n-LAT-Port7、单个ATTRIBUTES 介绍由于ATT

16、RIBUTES多达40多个，不可能介绍。这里选择几个重要且常用的作 简单介绍，其余可参照RFC文档。USER-NAME属性状态:格式：TYPELENGTHSTRINGTYPE=1，表示USER-NAME属性状态；LENGTH，表示整个属性状态长度，大于3；STRING，是名字字符串，可以为如下几种形式： 简单数字字符串，用于本地管理NAS ；简单可打印字符串；SMTP 地址格式，如：namemail.zhongxing.ANS.1名字：以ANS.标准出现的名字。USER-PASSWORD 属性状态:16格式：b1 = MD5(S + RA) b2 = MD5(S + c(1)c(1) = p1

17、 xor b1c(2) = p2 xor b2bi = MD5(S + c(i-1)c(i) = pi xor biTYPELENGTHSTRINGTYPE=2，表示 USER-PASSWORD 属性状态；LENGTH，表示整个属性状态长度，大于18小于30；STRING，是加密后的 MD5摘要字符串。计算方法如下；假设S表示共享密码， RA表示REQUEST-AUTHENTICATOR ，而口令被分为 位BITS的快，p1, P2,等等。则：STRING = c(1)+c(2)+ c(i)NAS-IP-ADDRESS 属性状态:格式：TYPELENGTHADDRESSADDRESSTYPE=

18、4，表示 NAS-IP-ADDRESS 属性状态；LENGTH，表示整个属性状态长度，6个字节;ADDRESS，表示IP地址，4字节。NAS-PORT属性状态：格式：TYPELENGTHPORTPORTTYPE=5，表示NAS-PORT属性状态；LENGTH，表示整个属性状态长度，6个字节;PORT，表示 PORT, 4 字节，0-65535。SEVICE-TYPE属性状态：格式：TYPELENGTHVALUEVALUETYPE=6，表示 SEVICE-TYPE 属性状态；LENGTH，表示整个属性状态长度，6个字节；VALUE，表示服务属性，4字节，有如下一些取值:1 Login2 Fram

19、ed3 Callback Login4 Callback Framed5 Outbo und6 Admi nistrative7 NAS Prompt8 Authe nticate On ly9 Callback NAS PromptFRAMED-PROTOCOL 属性状态：格式：TYPELENGTHVALUEVALUETYPE=7，表示 FRAMED-PROTOCOL 属性状态;LENGTH，表示整个属性状态长度，6个字节；VALUE，表示协议属性，4字节，有如下一些取值:1 PPP2 SLIP3 AppleTalk Remote Access Protocol (ARAP)4 Gan da

20、lf proprietary Si ngleL in k/MultiLi nk protocol5 Xylogics proprietary IPX/SLIP三、 RADIUS计费协议格式:1、RADIUS ACCOUNTING PROTOCOL包格式下面是协议报文格式：CODEIDENTIFIERLENGTHAUTHENTICATORATTRIBUTESCODE域可以包括如下一些值;4 Acco untin g-Request5 Acco untin g-Resp onseIDENTIFIER 占一个字节，用于匹配请求和应答。LENGTH 占二个字节，是整个数据报的长度， 包括CODE+ID

21、ENTIFIER+LENGTH +AUTHENTICATOR+A TTRIBUTES 的所有长度。AUTHENTICATOR 是16字节的随机数，高位在先，此域用于认证答复和加密口 令字。ATTRIBUTES是若干属性状态的集合，其长度是不确定的。不同的CODE值可以跟随不同的属性值。下表是一个总结：RequestResponse#Attribute0-101User-Name002User-Password003CHAP-Password0-104NAS-IP-Address0-105NAS-Port0-106Service-Type0-107Framed-Protocol0-108Fram

22、ed-IP-Address0-109Framed-IP-Net mask0-1010Framed-Routi ng0+011Filter-Id0-1012Framed-MTU0+013Framed-Compressi on0+014Logi n-IP-Host0-1015Logi n-Service0-1016Logi n-TCP-Port0018Reply-Message0-1019Callback-Number0-1020Callback-Id0+022Framed-Route0-1023Framed-IPX-Network0024State0+025Class0+0+26Ven dor-

23、Specific0-1027Sessio n-Timeout0-1028Idle-Timeout0-1029Termi natio n-Actio n0-1030Called-Statio n-ld0-1031Calli ng-Statio n-ld0-1032NAS-Ide ntifier0+0+33Proxy-State0-1034Logi n-LAT-Service0-1035Logi n-LAT-Node0-1036Logi n-LAT-Group0-1037Framed-AppleTalk-Li nk0-1038Framed-AppleTalk-Netwo rk0-1039Frame

24、d-AppleTalk-Z one1040Acct-Status-Type0-1041Acct-Delay-Time0-1042Acct-I nput-Octets0-1043Acct-Output-Octets1044Acct-Sessi on-Id0-1045Acct-Authe ntic0-1046Acct-Sessio n- Time0-1047Acct-I nput-Packets0-1048Acct-Output-Packets0-1049Acct-Termi nate-Cause0+050Acct-Multi-Sessio n-ld0+051Acct-Li nk-Co unt00

25、60CHAP-Challe nge0-1061NAS-Port-Type0-1062Port-Limit0-1063Logi n-LAT-Port表中,0表示在此类型包中，不可以跟随此属性状态；1表示在此类型包中，只有一个此属性状态可跟随；0+表示在此类型包中，0个或多个此属性状态可跟随；0-1表示在此类型包中，0个或1个此属性状态可跟随；2、RADIUS ACCOUNTING PROTOCOL ACCOUNTING-REQUEST下面是ACCOUNTINGREQUEST 包格式：CODEIDENTIFIERLENGTH其中，C0DE=4 ; CODE占一个字节IDENTIFIER 占一个字节

26、，用于匹配请求和应答。LENGTH 占二个字节，是整个数据报的长度， 包括CODE+IDENTIFIER+LENGTH +REQUEST-AUTHENTICA TOR+ATTRIBUTES 的所有长度。REQUEST-AUTHENTICATOR 是16字节的 MD5 HASH 结果值，高位在先。ATTRIBUTES 是若干属性状态的集合。参考上表。3、RADIUS ACCOUNTING PROTOCOL ACCOUNTING-RESPONSE下面是 ACCOUNTINGRESPONSE 包格式：CODEIDENTIFIERLENGTHRESPONSE-AUTHENTICA TORATTRIBU

27、TES其中，CODE=5 ； CODE占一个字节IDENTIFIER 占一个字节，用于匹配请求和应答。LENGTH 占二个字节，是整个数据报的长度， 包括CODE+IDENTIFIER+LENGTH +RESPONSE-AUTHENTICATOR+A TTRIBUTES 的所有长度。REQUEST-AUTHENTICATOR 是16字节的 MD5 HASH 结果值，高位在先。ATTRIBUTES 是若干属性状态的集合。参考上表。4、RADIUS ACCOUNTING PROTOCOL ATTRIBUTES下面是属性状态的包格式：TYPELENGTHVALUETYPE占一个字节，表示属性状态的类

28、型，、；LENGTH 占一个字节，表示属性长度，包括 TYPE+LENGTH+V ALUE ；VALUE长度不定，由类型确定。F面是所有TYPE的集合描述：40Acct-Status-Type41Acct-Delay-Time42Acct-I nput-Octets43Acct-Output-Octets44Acct-Sessi on-Id45Acct-Authe ntic46Acct-Sessio n-Time47Acct-I nput-Packets48Acct-Output-Packets49Acct-Termi nate-Cause50Acct-Multi-Sessio n-ld51A

29、cct-Li nk-Cou nt5、单个ATTRIBUTES 介绍由于ATTRIBUTES较多，不可能一一介绍。这里选择几个重要且常用的作简单介 绍，其余可参照 RFC文档。ACCT-STATUS-TYPE 属性状态:格式：TYPELENGTHVALUEVALUETYPE=40 ,表示 ACCT-STATUS-TYPE 属性状态；LENGTH，表示整个属性状态长度， 6个字节；VALUE，表示服务属性，4字节，有如下一些取值:1Start2Stop7 Acco unting-On8 Accoun ti ng-OfACCTSESSION-ID 属性状态:格式：TYPELENGTHSTRINGTYPE=44，表示 ACCTSESSION-ID 属性状态;LENGTH，表示整个属性状态长度，大于3；STRING，是可见 ASCII字符；四、 RADIUS MSC 图：1、基本实体说明在以下的讨论中，我们