radius协议详解Word文档下载推荐.docx
《radius协议详解Word文档下载推荐.docx》由会员分享,可在线阅读,更多相关《radius协议详解Word文档下载推荐.docx(6页珍藏版)》请在冰豆网上搜索。
chapchallenge-handshakeauthenticationprotocol盘问握手验证协议
nasnetworkaccessserver网络接入服务器
RadiusRemoteauthenticationdialinuserservice
远程验证拨入用户服务(拨入用户的远程验证服务)
tcptransmissioncontrolprotocol传输控制协议
udpuserdatagramprotocol用户数据报协议
aaa实现途径
1.在网络接入服务器nas端:
在nas端进行认证、授权和计费;
2.通过协议进行远程的认证、授权和记帐。
实现aaa的协议有Radius
Radius是Remoteauthenticationdialinuserservice的简称,ma5200、isn8850和md5500上目前使用Radius完成对ppp用户的认证、授权和计费。
当用户想要通过某个网络(如电话网)与nas建立连接从而获得访问其他网络的权利时,nas可以选择在nas上进行本地认证计费,或把用户信息传递给Radius服务器,由Radius进行认证计费;
Radius协议规定了nas与Radius服务器之间如何传递用户信息和记账信息;
Radius服务器负责接收用户的连接请求,完成验证,并把传递服务给用户所需的配置信息返回给nas。
本地(nas)验证——pap方式
pap(passwordauthenticationprotocol)是密码验证协议的简称,是认证协议的一种。
用户以明文的形式把用户名和他的密码传递给nas,nas根据用户名在nas端查找本地数据库,如果存在相同的用户名和密码表明验证通过,否则表明验证未通过。
本地(nas)验证——chap方式
chap(challengehandshakeauthenticationprotocol)是查询握手验证协议的简称,是我们使用的另一种认证协议。
secretpassword=md5(chapid+password+challenge)相比pap,chap密码使用的是md5加密验证的一种方式。
当用户请求上网时,服务器产生一个16字节的随机码(challenge)给用户(同时还有一个id号,本地路由器的hostname)。
用户端得到这个包后使用自己独用的设备或软件对传来的各域进行加密,生成一个(radius协议详解)secretpassword传给nas。
nas根据用户名查找自己本地的数据库,得到和用户端进行加密所用的一样的密码,然后根据原来的16字节的随机码进行加密,将其结果与secretpassword作比较,如果相同表明验证通过,如果不相同表明验证失败。
采用chap验证:
当用户请求上网时,nas产生一个16字节的随机码给用户(同时还有一个id号,本地路由器的hostname)。
用户端得到这个包后使用自己独有的设备或软件对传来的各域进行加密,生成一个response传给nas,nas把传回来的chapid和Response分别作为用户名和密码,并把原来的16字节随机码传给Radius服务器。
Radius根据用户名在服务器端查找数据库,得到和用户端进行加密所用的一样的密码,然后根据传来的16字节的随机码进行加密,将其结果与传来的password作比较,如果相同表明验证通过,如果不相同表明验证失败。
另外如果验证成功,Radius服务器同样也可以生成一个16字节的随机码对用户进行询问(challenge)
kerberos
kerberos这一名词来源于希腊神话“三个头的狗——地狱之门守护者”
kerberos是一种网络认证协议,其设计目标是通过系统为客户机/服务器提供强大的认证服务。
该认证过程的实现不依赖于主机操作系统的认证,无需基于主机地址的信任,不要求网络上所有主机的物理安全,并假定网络上传送的数据包可以被任意地读取、修改和插入数据。
在以上情况下,kerberos作为一种可信任的第三方认证服务,是通过传统的密码技术(如:
共享密钥)执行认证服务的。
tacacs-终端访问控制器访问控制系统terminalaccesscontrolleraccess-controlsystem
tacacs(终端访问控制器访问控制系统)对于unix网络来说是一个比较老的认证协议,它允许远程访问服务器传送用户登陆密码给认证服务器,认证服务器决定该用户是否可以登陆系统
tacacs+其实是一个全新的协议。
tacacs+和Radius在现有网络里已经取代了早期的协议。
tacacs+应用传输控制协议(tcp),而Radius使用用户数据报协议(udp)。
一些管理员推荐使用tacacs+协议,因为tcp更可靠些。
Radius从用户角度结合了认证和授权,而tacacs+分离了这两个操作。
我对authentication已经比较了解,但是对authoriztion还比较模糊,这次测试tacacs+,使我对authorization也开始了解了.授权简单的说就是给用户开放某些资源.
我们目前支持exec授权,即给用户执行某些命令的权利,在这里的命令就是我们的clicommand.我们可以详细的配置一个用户可以执行某些clicommand,不能执行某些clicommand.确实可以管理得非常严格.当每次执行command时都会到tacacs+server上去进行授权.不过当我们允许用户配置某一项,而它的subconfig中如果还有很多command,我们也许要逐项添加,也有点麻烦.但可以对命令和参数进行这么详细的管理,感觉还挺有用的,不用担心有的用户乱操作了.这个功能只限于cli,在webui上是没有用的,它的作用又显得不太重要了.
Radius协议
Raidus(Remoteauthenticationdialinuserservice)是对远端拨号接入用户的认证服务,Radius服务分客户端和服务器端,通常我们公司的接入产品支持的是客户端,负责将认证等信息按照协议的格式通过udp包送到服务器,同时对服务器返回的信息解释处理。
通常对Radius协议的服务端口号是1645(认证)、1646(计费)或1812(认证)、1813(计费)。
篇二:
移动portal、radius数据包格式
编制历史
附录a(portal与ac间的协议)报文格式
协议包采用固定长度头加可变长度的属性字段组成,属性字段采用tlV
格式,具体如下图所示。
web认证报文格式
012345678
报文字段说明
Ver
Ver字段是协议的版本号,长度为1字节,目前定义的值为0x01。
type
type字段定义报文的类型,长度为1字节,目前其值的定义如下表。
报文类型
pap/chappap/chap字段定义此用户的认证方式,长度为1字节,只对type值为0x03的认证请求报文有意义:
chap方式认证---值为0x00;
pap方式认证---值为0x01;
Rsv
Rsv目前为保留字段,长度为1字节,在所有报文中值为0;
serialno
(1)serialno字段为报文的序列号,长度为2字节,由portalserver随机生成,portalserver必须尽量保证不同认证流程的serialno在一定
时间内不得重复,在同一个认证流程中所有报文的serialno相同;
(2)portalserver发给ac设备的报文
a、由portalserver发出的type值为1、3的请求报文其serialno都是随机生成数;
b、由portalserver向ac设备发出的type值为5的(Req_logout)报文其serialno值分两种情况:
当errcode为0时(请求用户下线报文),
serialno值为一个随机生成数;
当errcode为1时,serialno值可能和type值为1或3的报文(请求challenge超时,或请求认证超时)相同,具体要看是请求challenge超时还是请求认证超时;
c、由portalserver向ac设备发出的认证成功确认报文(type值为7的报文)serialno和其发出的相应请求报文的serialno相同;
比如对于
type值为7的报文其serialno值和type值为3的请求认证报文相同;
(3)每一个由ac设备发给portalserver的响应报文的serialno必须和portalserver发送的相应请求报文的serialno一样,否则portalserver
会丢掉从ac设备发来的响应报文;
比如type值为2的报文其serialno值必须和type值为1的报文相同,type值为4的报文其serialno值必须和type值为3的报文相同,type值为6的报文其serialno值必须和type值为5的报文相同。
Reqid
(1)Reqid字段长度为2个字节,由ac设备随机生成,尽量使得在一定时间内Reqid不重复。
(2)在chap认证方式中:
a、ac设备在type为2(ack-challenge)的请求challenge响应报文中把该Reqid的值告诉portalserver;
b、在type值为3、4、7(Req-auth,ack-auth,aFF-ack-auth)的报文中Reqid字段的值都和type值为2的报文中此字段的值相同;
c、在type值为5(Req-logout)的报文中,若报文表示请求challenge超时则此字段值为0;
若报文表示请求认证超时则此字段值和type
值为2(ack-challenge)的报文中此字段的值相同;
(3)在pap认证方式中,此字段无意义,其值为0;
(4)在type值为5(Req-logout)的报文中,若报文表示请求下线时则此字段值为0;
(5)在type值为1、6(Req-challenge,ack-logout)的报文中,该字段均无意义,值都为0;
userip
userip字段为portal用户的ip地址,长度为4字节,其值由portalserver根据其获得的ip地址填写,在所有的报文中此字段都要有具体的值;
userport
userport字段目前没有用到,长度为2字节,在所有报文中其值为0;
errcode
errcode字段和type字段一起表示一定的意义,长度为1字节,具体如下:
(1)对于type值为1、3、7的报文,errcode字段无意义,其值为0;
(2)当type值为2时:
errcode=0,表示ac设备告诉portalserver请求challenge成功;
errcode=1,表示ac设备告诉portalserver请求challenge被拒绝;
升级会员 