信息安全专题介绍

信息安全专题介绍一、Radius协议介绍专题1、Radius协议基本概念1.1Radius协议应用介绍RADIUS(RemoteAuthenticationDialInUserService远程认证拨号用户服务)是一种在网络接入设备和认证服务器之间承载认证授权计费和配置信息的协议RADIUS协议是在认证授权计费方面应用最为广泛的协议之一具有以下特点1客户端/服务器结构2采用共享密钥保证网络传输安全性3良好的可扩展性4认证机制灵活RADIUS协议承载于UDP之上官方指定端口号为认证授权端口1812计费端口1813RADIUS协议在RFC2865RFC2866中定义CAMS和网络接入服务器之间的通讯采用Radius由于Radius的良好扩展性不同的厂家对Radius作了扩展我们公司也对其进行了扩展华为Radius+协议不同公司扩展后的协议不完全兼容在使用时应该注意不同厂家支持的协议的版本CAMS目前支持Radius标准协议和华为Radius+协议1.2Radius协议结构介绍Radius报文格式如下图所示各域内容按照从左向右传送012301234567890123456789012345678901+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|Code|Identifier|Length|+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|Authenticator|||+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|Attributes...+-+-+-+-+-+-+-+-+-+-+-+-+-1.CodeCode域长度为1个字节用于标明RADIUS报文的类型如果Code域中的内容是无效值报文将被丢弃RADIUSCode域的有效值如下1Access-Request2Access-Accept3Access-Reject4Accounting-Request5Accounting-Response11Access-Challenge12Status-Server(experimental)13Status-Client(experimental)65业务修改请求消息66业务修改请求回应消息67业务修改请求回应拒绝消息255Reserved其中1213255为保留的Code值一般不会遇到1234511比较常见分别标明报文类型为认证请求认证接受认证拒绝计费请求计费回应计费成功和访问质询2.Identifier标识域长度为1个字节用于辅助匹配请求和回应报文如果在短时间内RADIUS服务器收到从相同的源IP相同源端口收到的报文的标识域的内容也相同则认为收到的是重复的请求Length长度域占两个字节用于指明报文的有效长度多出长度域的字节被视为填充的字节在接收时被忽略如果报文长度小于长度域中的值整个报文将被丢弃长度域的范围在20和4096之间3.Authenticator认证字域长16个字节用于认证RadiusClient和Server之间消息的有效性访问请求Access-Request认证字在Access-Request包中认证字的值是16字节随机数认证字的值要不能被预测并且在一个共享密钥的生命期内唯一访问回应认证字Access-AcceptAccess-Reject和Access-Challenge包中的认证字称为访问回应认证字访问回应认证字的值定义为MD5(Code+ID+Length+RequestAuth+Attributes+Secret)计费请求Accounting-Request认证字在计费请求包中的认证字域称为计费请求认证字它是一个16字节的MD5校验和计费请求认证字的值定义为MD5(Code+Identifier+Length+16zerooctets+requestattributes+sharedsecret)计费回应Accounting-Response认证字在计费回应报文中的认证字域称为计费回应认证字它的值定义为MD5(Accounting-ResponseCode+Identifier+Length+theRequestAuthenticatorfieldfromtheAccounting-Requestpacketbeingrepliedto+theresponseattributes+sharedsecret)Attributes属性012012345678901234567890+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-|Type|Length|Value...+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-属性域的长度是可变的它是一个由业务类型必需的属性和可选属性组成的属性链一个属性包含如下三个部分4.Type类型域长度为一个字节RADIUS服务器和客户端当遇到不可识别的属性时可以将其忽略常用的属性类型请参见RFC2865RFC28665.Length长度域长度为一个字节指明了一个属性的类型长度和值域的总长度如果在认证请求报文中携带有属性长度非法的属性则必须回应访问拒绝报文如果在访问回应报文中存在非法的属性长度这个报文必须被直接丢弃或被认为是访问拒绝报文6.Value值域由零或多个字节组成包含详细的属性信息它的格式由属性的长度和类型域决定注意RADIUS中没有一个类型的值域是以NULL(hex00)结尾的也就是说值域中是没有结束符的服务器和客户端需要能够处理内嵌的NULL值域的数据类型是下列5种类型之一text类型是string类型的子集text1-253字节长string1-253字节长可以包含二进制数据address4字节高位在前integer4字节无符号数高位在前time4字节无符号数高位在前表示从1970年1月1日零点零时零秒到现在的秒数属性可以有多个实例相同类型的属性实例的顺序不能被改变不同属性类型的属性实例顺序可以改变标准属性具体说明请参考RFC2865RFC2866同时各公司在标准属性基础上又扩展了自己的属性比如我司的RADIUS+具体属性定义请参见相应的协议扩展2、常用Radius协议属性2.1标准Radius属性介绍Radius报文所携带的属性以TypeLengthValue三元组的形式出现其中Type表示该属性的属性号占一个字节Length表示该属性的总长度TypeLengthValue加在一起的长度占一个字节Value表示该属性的值长度为0-253一个属性的值可以为下面四种类型中的一种String类型0-253个字节Address类型4字节Integer类型4字节Time类型4字节全部的属性定义参见附录下面介绍几个常用的标准属性1User-Name该属性指定了要进行认证的用户名TypeLengthValue1>3String类型内容可以是简单的字符也可以形如abc@带网络域名2User-Password该属性指定了要认证的用户的口令用户口令加密后存放在该属性中TypeLengthValue2大于17并且小于131String类型加密后的口令存放在这里长度至少为16个字节至多为128个字节3NAS-IP-Address该属性指明了发起认证请求的设备的IP地址TypeLengthValue46Address类型4字节的IP地址4Vendor-Specific该属性用于携带各厂商自己扩展的属性TypeLengthValue26>=7各厂商自己扩展的属性各厂商自己扩展的属性按照如下的格式填写在Value域中Value域的内容Vendor-IdVendorTypeVendorLengthVendorValue4字节指明厂商Id1字节厂商自己扩展的属性号1字节该扩展属性的长度该扩展属性的值每个厂商可以有多个扩展属性按照格式VendorTypeVendorLengthVendorValue一起存放在Vendor-Specific属性的Value域中但是Value域中的总长度不能超过253个字节也可以以多个Vendor-Specific属性的形式出现在Radius报文中每个Vendor-Specific属性的Value域携带一个或多个扩展属性5Session-Timeout该属性指明允许用户使用的最大时长TypeLengthValue276Integer类型4字节无符号整数指明用户使用的最大秒数6Acct-Status-Type该属性指明计费报文的类型TypeLengthValue406Integer类型4字节无符号整数该属性出现在计费报文中不同的取值标志出不同的意义1---表示计费开始报文2---表示计费结束报文3---表示计费更新报文3---表示Alive报文7---表示Accounting-On报文2.2扩展Radius属性介绍随着业务的不断发展大多数厂商都会对Radius属性进行扩展以满足自己的需要华为公司为了统一宽带各产品的协议标准也对Radius属性进行了扩展根据标准协议规定各厂商自己扩展的属性用标准属性Vendor-Specific26号属性的Value域来携带格式如下面的描述属性Vendor-Specific以TypeLengthValue的形式出现在Radius报文中各厂商自己扩展的属性有两种方式填在上述的Value域中1Radius报文中只有一个Vendor-Specific属性所有扩展属性都填在该属性的Value域中扩展属性的格式如下Vendor-Id|VendorType1|VendorLength1|VendorValue1|VendorType2|VendorLength2|VendorValue2|…+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|Vendor-Id|VendorType1|VendorLength1|VendorValue1|+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-++-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|VendorType2|VendorLength2|VendorValue2|+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+其中Vendor-Id为该厂商的唯一标志华为公司为2011VendorTypenVendorLengthnVendorValuen表示扩展属性n但是Value域的总长度不能超过253字节2Radius报文中有多个Vendor-Specific属性每个属性的Value域中携带一个或多个扩展属性格式同1所述+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+|Vendor-Id|VendorType1|VendorLength1|VendorValue1|+-+-+-+-+-+-+-+-+-+-+-+-+-