协议模板新版

概述：RADIUS协议涉及RADIUSAUTHENTICATIONPROTOCOL和RADIUSACCOUNTINGPROTOCOL两部分。RADIUSAUTHENTICATIONPROTOCOL完毕拨号用户的认证工作，而RADIUSACCOUNTINGPROTOCOL则完毕用户服务的计费任务。事实上，为了更好地向分散的众多接入用户提供互联网服务,必须对接入服务提供有效的管理支持。它需要对安全，配置，计费等提供支持，这可以通过对一个用户数据库的管理来达成，这个数据库涉及认证信息，及细化的服务配置信息和计费信息。通常这个数据库的维护管理，对用户信息的核算及配置有一个单独的实体完毕，这个实体就是RADIUSserver。由于这些管理信息的众多与繁杂，通常RADIUSserver放在一个独立的计算机上，而为了向RADIUSserver取得服务，必须一方面构建一个RADIUSclient，通常RADIUSclient位于NetworkAccessServer（NAS，网络接入设备）上。下图示例了这些实体之间的关系：用户A用户ARADIUSSERVER（AAA）用户NRADIUSSERVER（AAA）用户N用户BRADIUSRADIUSCLIENT（NAS）INTERNETINTERNETRADIUS认证协议格式：1、RADIUSAUTHENTICATIONPROTOCOL包格式 下面是协议报文格式：LENGTHIDENTIFIERCODE LENGTHIDENTIFIERCODE AUTHENTICATOR AUTHENTICATOR ATTRIBUTES ATTRIBUTES CODE域可以涉及如下一些值；Access-RequestAccess-AcceptAccess-RejectAccounting-RequestAccounting-ResponseAccess-ChallengeStatus-ServerStatus-ClientReserved其中，CODE1，2，3，11值为RADIUSAUTHENTICATIONPROTOCOL使用，而CODE4，5值为RADIUSACCOUNTINGPROTOCOL使用。其余未用或保存。CODE占一个字节IDENTIFIER占一个字节，用于匹配请求和应答。LENGTH占二个字节，是整个数据报的长度，涉及CODE+IDENTIFIER+LENGTH+AUTHENTICATOR+ATTRIBUTES的所有长度。AUTHENTICATOR是16字节的随机数，高位在先，此域用于认证答复和加密口令字。ATTRIBUTES是若干属性状态的集合，其长度是不拟定的，不同的CODE值可以跟随不同的属性值。下表是一个总结： RequestAcceptRejectChallenge#Attribute10001User-Name0-10002User-Password0-10003CHAP-Password0-10004NAS-IP-Address0-10005NAS-Port0-10-1006Service-Type0-10-1007Framed-Protocol0-10-1008Framed-IP-Address0-10-1009Framed-IP-Netmask00-10010Framed-Routing00+0011Filter-Id00-10012Framed-MTU0+0+0013Framed-Compression0+0+0014Login-IP-Host00-10015Login-Service00-10016Login-TCP-Port00+0+0+18Reply-Message0-10-10019Callback-Number00-10020Callback-Id00+0022Framed-Route00-10023Framed-IPX-Network0-10-100-124State00+0025Class0+0+00+26Vendor-Specific00-100-127Session-Timeout00-100-128Idle-Timeout00-10029Termination-Action0-100030Called-Station-Id0-100031Calling-Station-Id0-100032NAS-Identifier0+0+0+0+33Proxy-State0-10-10034Login-LAT-Service0-10-10035Login-LAT-Node0-10-10036Login-LAT-Group00-10037Framed-AppleTalk-Link00+0038Framed-AppleTalk-Network00-10039Framed-AppleTalk-Zone0-10-0060CHAP-Challenge0-100061NAS-Port-Type0-10-10062Port-Limit0-10-10063Login-LAT-Port 表中，0表达在此类型包中，不可以跟随此属性状态； 1表达在此类型包中，只有一个此属性状态可跟随； 0+表达在此类型包中，0个或多个此属性状态可跟随； 0-1表达在此类型包中，0个或1个此属性状态可跟随；2、RADIUSAUTHENTICATIONPROTOCOLACCESS-REQUEST 下面是ACCESS-REQUEST包格式：LENGTHIDENTIFIERCODE LENGTHIDENTIFIERCODE REQUEST-AUTHENTICATOR REQUEST-AUTHENTICATOR ATTRIBUTES ATTRIBUTES 其中，CODE=1；CODE占一个字节IDENTIFIER占一个字节，用于匹配请求和应答。LENGTH占二个字节，是整个数据报的长度，涉及CODE+IDENTIFIER+LENGTH+REQUEST-AUTHENTICATOR+ATTRIBUTES的所有长度。REQUEST-AUTHENTICATOR是16字节的随机数，高位在先，此域用于认证答复和加密口令字。ATTRIBUTES是若干属性状态的集合。参考上表。 3、RADIUSAUTHENTICATIONPROTOCOLACCESS-ACCEPT 下面是ACCESS-ACCEPT包格式：LENGTHIDENTIFIERCODE LENGTHIDENTIFIERCODE RESPONSE-AUTHENTICATOR RESPONSE-AUTHENTICATOR ATTRIBUTES ATTRIBUTES 其中，CODE=2；CODE占一个字节IDENTIFIER占一个字节，用于匹配请求和应答。LENGTH占二个字节，是整个数据报的长度，涉及CODE+IDENTIFIER+LENGTH+RESPONSE-AUTHENTICATOR+ATTRIBUTES的所有长度。RESPONSE-AUTHENTICATOR是由REQUEST-AUTHENTICATOR计算得出，高位在先。ATTRIBUTES是若干属性状态的集合。参考上表。 4、RADIUSAUTHENTICATIONPROTOCOLACCESS-REJECT 下面是ACCESS-REJECT包格式：LENGTHIDENTIFIERCODE LENGTHIDENTIFIERCODE RESPONSE-AUTHENTICATOR RESPONSE-AUTHENTICATOR ATTRIBUTES ATTRIBUTES 其中，CODE=3；CODE占一个字节IDENTIFIER占一个字节，用于匹配请求和应答。LENGTH占二个字节，是整个数据报的长度，涉及CODE+IDENTIFIER+LENGTH+RESPONSE-AUTHENTICATOR+ATTRIBUTES的所有长度。RESPONSE-AUTHENTICATOR是由REQUEST-AUTHENTICATOR计算得出，高位在先。ATTRIBUTES是若干属性状态的集合。参考上表。 5、RADIUSAUTHENTICATIONPROTOCOLACCESS-CHALLENGE 下面是ACCESS-CHALLENGE包格式：LENGTHIDENTIFIERCODE LENGTHIDENTIFIERCODE RESPONSE-AUTHENTICATOR RESPONSE-AUTHENTICATOR ATTRIBUTES ATTRIBUTES 其中，CODE=11；CODE占一个字节IDENTIFIER占一个字节，用于匹配请求和应答。LENGTH占二个字节，是整个数据报的长度，涉及CODE+IDENTIFIER+LENGTH+RESPONSE-AUTHENTICATOR+ATTRIBUTES的所有长度。RESPONSE-AUTHENTICATOR是由REQUEST-AUTHENTICATOR计算得出，高位在先。ATTRIBUTES是若干属性状态的集合。参考上表。 6、RADIUSAUTHENTICATIONPROTOCOLATTRIBUTES 下面是属性状态的包格式：TYPELENGTHTYPELENGTHVALUE TYPE占一个字节，表达属性状态的类型，、； LENGTH占一个字节，表达属性长度，涉及TYPE+LENGTH+VALUE； VALUE长度不定，由类型拟定。 下面是所有TYPE的集合描述：1 User-Name2 User-Password3 CHAP-Password4 NAS-IP-Address5 NAS-Port6 Service-Type7 Framed-Protocol8 Framed-IP-Address9 Framed-IP-Netmask10 Framed-Routing11 Filter-Id12 Framed-MTU13 Framed-Compression14 Login-IP-Host15 Login-Service16 Login-TCP-Port17 (unassigned)18 Reply-Message19 Callback-Number20 Callback-Id21(unassigned)22 Framed-Route23 Framed-IPX-Network24 State25 Class26 Vendor-Specific27 Session-Timeout28 Idle-Timeout29 Termination-Action30 Called-Station-Id31 Calling-Station-Id32 NAS-Identifier33 Proxy-State34 Login-LAT-Service35 Login-LAT-Node36 Login-LAT-Group37 Framed-AppleTalk-Link38 Framed-AppleTalk-Network39 Framed-AppleTalk-Zone40-59(reservedforaccounting)60 CHAP-Challenge61 NAS-Port-Type62 Port-LimitLogin-LAT-Port7、单个ATTRIBUTES介绍由于ATTRIBUTES多达40多个，不也许一一介绍。这里选择几个重要且常用的作简朴介绍，其余可参照RFC文档。USER-NAME属性状态：格式：TYPETYPELENGTHSTRING TYPE=1，表达USER-NAME属性状态； LENGTH，表达整个属性状态长度，大于3； STRING，是名字字符串，可认为如下几种形式： 简朴数字字符串，用于本地管理NAS； 简朴可打印字符串； SMTP地址格式，如：HYPERLINKmailto: ANS.1名字：以ANS.标准出现的名字。USER-PASSWORD属性状态：格式：TYPETYPELENGTHSTRING TYPE=2，表达USER-PASSWORD属性状态； LENGTH，表达整个属性状态长度，大于18小于30； STRING，是加密后的MD5摘要字符串。计算方法如下； 假设S表达共享密码，RA表达REQUEST-AUTHENTICATOR，而口令被分为16位BITS的快，p1，P2，等等。则：b1=MD5(S+RA)c(1)=p1xorb1b2=MD5(S+c(1)) c(2)=p2xorb2......bi=MD5(S+c(i-1))c(i)=pixorbi STRING=c(1)+c(2)+……+c(i)NAS-IP-ADDRESS属性状态：格式：TYPETYPELENGTHADDRESSADDRESSADDRESS TYPE=4，表达NAS-IP-ADDRESS属性状态； LENGTH，表达整个属性状态长度，6个字节； ADDRESS，表达IP地址，4字节。NAS-PORT属性状态：格式：TYPETYPELENGTHPORTPORTPORT TYPE=5，表达NAS-PORT属性状态； LENGTH，表达整个属性状态长度，6个字节； PORT，表达PORT号码，4字节，0-65535。SEVICE-TYPE属性状态：格式：TYPETYPELENGTHVALUEVALUEVALUE TYPE=6，表达SEVICE-TYPE属性状态； LENGTH，表达整个属性状态长度，6个字节； VALUE，表达服务属性，4字节，有如下一些取值：LoginFramedCallbackLoginCallbackFramedOutboundAdministrativeNASPromptAuthenticateOnlyCallbackNASPromptFRAMED-PROTOCOL属性状态：格式：TYPETYPELENGTHVALUEVALUEVALUE TYPE=7，表达FRAMED-PROTOCOL属性状态； LENGTH，表达整个属性状态长度，6个字节； VALUE，表达协议属性，4字节，有如下一些取值：PPPSLIPAppleTalkRemoteAccessProtocol(ARAP)GandalfproprietarySingleLink/MultiLinkprotocolXylogicsproprietaryIPX/SLIPRADIUS计费协议格式：1、RADIUSACCOUNTINGPROTOCOL包格式 下面是协议报文格式：LENGTHIDENTIFIERCODE LENGTHIDENTIFIERCODE AUTHENTICATOR AUTHENTICATOR ATTRIBUTES ATTRIBUTES CODE域可以涉及如下一些值；Accounting-RequestAccounting-ResponseIDENTIFIER占一个字节，用于匹配请求和应答。LENGTH占二个字节，是整个数据报的长度，涉及CODE+IDENTIFIER+LENGTH+AUTHENTICATOR+ATTRIBUTES的所有长度。AUTHENTICATOR是16字节的随机数，高位在先，此域用于认证答复和加密口令字。ATTRIBUTES是若干属性状态的集合，其长度是不拟定的。不同的CODE值可以跟随不同的属性值。下表是一个总结：RequestResponse#Attribute0-101User-Name002User-Password003CHAP-Password0-104NAS-IP-Address0-105NAS-Port0-106Service-Type0-107Framed-Protocol0-108Framed-IP-Address0-109Framed-IP-Netmask0-1010Framed-Routing0+011Filter-Id0-1012Framed-MTU0+013Framed-Compression0+014Login-IP-Host0-1015Login-Service0-1016Login-TCP-Port0018Reply-Message0-1019Callback-Number0-1020Callback-Id0+022Framed-Route0-1023Framed-IPX-Network0024State0+025Class0+0+26Vendor-Specific0-1027Session-Timeout0-1028Idle-Timeout0-1029Termination-Action0-1030Called-Station-Id0-1031Calling-Station-Id0-1032NAS-Identifier0+0+33Proxy-State0-1034Login-LAT-Service0-1035Login-LAT-Node0-1036Login-LAT-Group0-1037Framed-AppleTalk-Link0-1038Framed-AppleTalk-Network0-1039Framed-AppleTalk-Zone1040Acct-Status-Type0-1041Acct-Delay-Time0-1042Acct-Input-Octets0-1043Acct-Output-Octets1044Acct-Session-Id0-1045Acct-Authentic0-1046Acct-Session-Time0-1047Acct-Input-Packets0-1048Acct-Output-Packets0-1049Acct-Terminate-Cause0+050Acct-Multi-Session-Id0+051Acct-Link-Count0060CHAP-Challenge0-1061NAS-Port-Type0-1062Port-Limit0-1063Login-LAT-Port表中，0表达在此类型包中，不可以跟随此属性状态； 1表达在此类型包中，只有一个此属性状态可跟随； 0+表达在此类型包中，0个或多个此属性状态可跟随； 0-1表达在此类型包中，0个或1个此属性状态可跟随；2、RADIUSACCOUNTINGPROTOCOLACCOUNTING-REQUEST 下面是ACCOUNTINGREQUEST包格式：LENGTHIDENTIFIERCODE LENGTHIDENTIFIERCODE REQUEST-AUTHENTICATOR REQUEST-AUTHENTICATOR ATTRIBUTES ATTRIBUTES 其中，CODE=4；CODE占一个字节IDENTIFIER占一个字节，用于匹配请求和应答。LENGTH占二个字节，是整个数据报的长度，涉及CODE+IDENTIFIER+LENGTH+REQUEST-AUTHENTICATOR+ATTRIBUTES的所有长度。REQUEST-AUTHENTICATOR是16字节的MD5HASH结果值，高位在先。ATTRIBUTES是若干属性状态的集合。参考上表。 3、RADIUSACCOUNTINGPROTOCOLACCOUNTING-RESPONSE 下面是ACCOUNTINGRESPONSE包格式：LENGTHIDENTIFIERCODE LENGTHIDENTIFIERCODE RESPONSE-AUTHENTICATOR RESPONSE-AUTHENTICATOR ATTRIBUTES ATTRIBUTES 其中，CODE=5；CODE占一个字节IDENTIFIER占一个字节，用于匹配请求和应答。LENGTH占二个字节，是整个数据报的长度，涉及CODE+IDENTIFIER+LENGTH+RESPONSE-AUTHENTICATOR+ATTRIBUTES的所有长度。REQUEST-AUTHENTICATOR是16字节的MD5HASH结果值，高位在先。ATTRIBUTES是若干属性状态的集合。参考上表。 4、RADIUSACCOUNTINGPROTOCOLATTRIBUTES 下面是属性状态的包格式：TYPELENGTHTYPELENGTHVALUE TYPE占一个字节，表达属性状态的类型，、； LENGTH占一个字节，表达属性长度，涉及TYPE+LENGTH+VALUE； VALUE长度不定，由类型拟定。 下面是所有TYPE的集合描述：Acct-Status-TypeAcct-Delay-Time42 Acct-Input-Octets43 Acct-Output-Octets44 Acct-Session-Id45 Acct-Authentic46 Acct-Session-Time47 Acct-Input-Packets48 Acct-Output-PacketsAcct-Terminate-CauseAcct-Multi-Session-Id51 Acct-Link-Count5、单个ATTRIBUTES介绍由于ATTRIBUTES较多，不也许一一介绍。这里选择几个重要且常用的作简朴介绍，其余可参照RFC文档。 ACCT-STATUS-TYPE属性状态：格式：TYPETYPELENGTHVALUEVALUEVALUE TYPE=40，表达ACCT-STATUS-TYPE属性状态； LENGTH，表达整个属性状态长度，6个字节； VALUE，表达服务属性，4字节，有如下一些取值：1 Start2 Stop7 Accounting-On8 Accounting-OffACCTSESSION-ID属性状态：格式：TYPETYPELENGTHSTRING TYPE=44，表达ACCTSESSION-ID属性状态； LENGTH，表达整个属性状态长度，大于3； STRING，是可见ASCII字符；RADIUSMSC图：1、基本实体说明 在以下的讨论中，我们使用如下三个实体： 用户实体：USER NASRADIUS客户实体：CLIENT RADIUSSERVER实体：SERVER2、普通认证过程MSC图 USERUSERSERVERCLIENTSERVERCLIENTAccess-request&settimeoutUsername，passwordAccess-request&settimeoutUsername，passwordAccess-response&unsettimeoutAccess-response&unsettimeoutTimeout,sendrequestagain&settimeoutTimeout,sendrequestagain&settimeoutAuthenticationendAuthenticationAuthenticationend3、和CHAP交互认证过程（成功）MSC图CLIENTUSERSERVERCLIENTUSERSERVERAccess-request&settimeoutAccess-request&settimeoutUsername，passwordUsername，passwordTimeout,sendrequestagainTimeout,sendrequestagain&settimeoutAccess-challenge&unsettimeoutAccess-challenge&unsettimeoutPromptforresponseNewAccess-request&settimeoutNewAccess-request&settimeoutUserresponseAccess-responseAccess-response&unsettimeout4、和CHAP交互认证过程（失败）MSC图SERVERCLIENTUSERSERVERCLIENTUSERAccess-request&settimeoutAccess-request&settimeoutUsername，passwordTimeout,sendrequestagainUsername，passwordTimeout,sendrequestagain&settimeoutAccess-challengeAccess-challenge