Radius原理与应用培训教材0404C.docx

1、Radius原理与应用培训教材0404C资料编码产品名称使用对象产品版本编写部门资料版本Radius原理与应用培训教材拟 制：尹启龙日 期：2002年1月22日审 核：日 期：审 核：日 期：批 准：日 期：华 为 技 术 有 限 公 司版权所有 XX目 录第一章 AAA和RADIUS介绍 2第二章 RADIUS协议 42.1 引论 42.2 客户服务器模式 42.3 用户NASRadius业务流程说明 42.4 网络安全 52.4.1 包签名： 52.4.2 口令加密： 62.5 AAA在协议栈中的位置 92.6 良好的可扩展性 9第三章 标准RADIUS协议 113.1 标准Radius协

2、议包结构 113.2 常用标准Radius属性说明 133.3 华为公司宽带产品Radius标准属性 14第四章 华为公司的Radius扩展协议Radius+ v1.1 174.1 Radius+简介 174.1.1 扩展Radius+的目的 174.1.2 可靠性、安全性与Radius相同 174.2 Radius+报文 184.2.1 Radius+认证报文 184.2.2 Radius+计费报文 224.2.3 Radius+新增报文 26第五章 华为NAS设备与Radius Server对接应用实例 295.1 组网图 295.2 用户认证计费应用实例分析 295.2.1 合法用户 2

3、95.2.2 非法用户 32关 键 词： RADIUS、 AAA、PAP、CHAP、PPP、NAS、TCP、UDP。 摘 要：90年代中期以来，Internet 业务量的增长已构成数据业务的主要增长因素，IP成为电信网是不争的事实 。但是目前的IP网络还不是一个电信级的网络，它的可运营、可管理特性同PSTN相比还存在较大差距。从可运营性方面来说，针对个人用户，IP网络目前仅仅解决了一个上网的问题，用户仅能收发一些电子邮件和从网络上搜索一些信息而已，还不能提供个性化的业务以吸引更多个人用户上网，如Portal、个性化业务管理、本地特色内容业务、内容过滤、看广告免费上网等等。同时，不可忽视的是，提

4、高IP网络的可管理性是当前宽带网络发展急需解决的问题。从可管理性方面来说，对用户实施业务管理的前提就是解决用户的认证、授权和计费问题，即众所周知的AAA。目前，电信运营商和服务提供商所采用的认证方式主要有本地认证、Radius认证和不认证；而计费策略更是丰富多采，常见的有不计费（包月）、按时长计费、按流量计费、按端口计费等等。目前在所有这些认证计费方式中，以采用Radius Server进行集中认证计费应用的最为普及和广泛。Radius是Remote Authentication Dial In User Service的简称，即远程验证拨入用户服务。 当用户想要通过某个网络(如电话网)与NA

5、S（网络接入服务器）建立连接从而获得访问其他网络的权利时，NAS可以选择在NAS上进行本地认证计费，或把用户信息传递给RADIUS服务器，由Radius进行认证计费；RADIUS 协议规定了NAS与RADIUS 服务器之间如何传递用户信息和记账信息；RADIUS服务器负责接收用户的连接请求，完成验证，并把传递服务给用户所需的配置信息返回给NAS。以下即针对Radius协议的基本原理和应用做详细介绍。缩略语清单：RADIUS：Remote Authentication Dial-In User Service 远程验证拨入用户服务，一种实现远程AAA的协议。AAA：Authentication,

6、Authorization,and Accounting 验证、授权、计费。PAP： Password Authentication Protocol口令验证协议。CHAP：Challenge-Handshake Authentication Protocol挑战握手验证协议。PPP： Point-to-Point Protocol点到点协议，一种链路层协议。NAS：Natwork Access Server网络接入服务器。TCP：Transmission Control Protocol传输控制协议。UDP：User Datagram Protocol用户数据报协议。第一章 AAA和RADI

7、US介绍图1 PSTN,ISDN用户通过NAS上网示意图如图：用户 lqz, lst 要求得到某些服务(如SLIP, PPP,telnet)，但必须通 过NAS, 由 NAS依据某种顺序与所连服务器通信从而进行验证。 注：lst 通过拨号进入NAS, 然后NAS按配置好的验证方式(如 PPP PAP, CHAP等)要求lst输入用户名, 密码等信息。 lst 端出现提示，用户按提示输入。通过与NAS 的连接，NAS得到这些信息。而后，NAS把这些信息传递给响应验证或记账的服务器，并根据服务器的响应来决定用户是否可以获得他所要求的服务。AAA是验证，授权和记账（Authentication,Au

8、thorization,and Accounting）的简称。它 是运行于NAS上的客户端程序。它提供了一个用来对验证，授权和记账这三种安全功能进行配置的一致的框架。AAA的配置实际上是对网络安全的一种管理。这里的网络安全主要指访问控制。包括哪些用户可以访问网络服务器？具有访问权的用户可以得到哪些服务？如何对正在使用网络资源的用户进行记账？下面简单介绍一下验证, 授权,记账的作用。 验证(Authentication): 验证用户是否可以获得访问权。可以选择使用RADIUS协议。 授权(Authorization) : 授权用户可以使用哪些服务。 记账(Accounting) : 记录用户使用

9、网络资源的情况。AAA的实现可采用 RADIUS 协议。 RADIUS 是Remote Authentication Dial In User Service 的简称，用来管理使用串口和调制解调器的大量分散用户。网络接入服务器简称NAS(Network Access Server) 。当用户想要通过某个网络（如电话网）与 NAS建立连接从而获得访问其他网络的权利（或取得使用某些网络资源的权利）时, NAS起到了过问用户（或这个连接）的作用。NAS负责把用户的验证，授权，记账信息传递给RADIUS服务器。 RADIUS 协议规定了NAS与RADIUS 服务器之间如何传递用户信息和记账信息，即两者

10、之间的通信规则。RADIUS服务器负责接收用户的连接请求，完成验证，并把传递服务给用户所需的配置信息返回给NAS。用户获得授权后，在其正常上线、在线和下线过程中，Radius服务器还完成对用户帐号计费的功能。第二章 RADIUS协议 2.1 引论 RADIUS 协议的认证端口号为1812或1645，计费端口号为1813或1646。一个网络允许外部用户通过公用网对其进行访问，于是用户在地理上可以极为分散。大量分散用户通过Modem等设备从不同的地方可以对这个网络进行随机的访问。用户可以把自己的信息传递给这个网络，也可以从这个网络得到自己想要的信息。由于存在内外的双向数据流动，网络安全就成为很重要

11、的问题了。大量的modem形成了Modem pools。对modem pool 的管理就成为网络接入服务器或路由器的任务。管理的内容有：哪些用户可以获得访问权，获得访问权的用户可以允许使用哪些服务，如何对使用网络资源的用户进行记费。AAA很好的完成了这三项任务。RADIUS通过建立一个唯一的用户数据库，存储用户名，用户的密码来进行验证; 存储传递给用户的服务类型以及相应的配置信息来完成授权。2.2 客户服务器模式 图2 用户，NAS，RADIUS 服务器的关系RADIUS采用客户/服务器（Client/Server）结构：NAS上运行的AAA程序对用户来讲为服务器端，对RADIUS服务器来讲是

12、作为客户端。1、RADIUS的客户端通常运行于接入服务器（NAS）上，RADIUS服务器通常运行于一台工作站上，一个RADIUS服务器可以同时支持多个RADIUS客户（NAS）。2、RADIUS的服务器上存放着大量的信息，接入服务器（NAS）无须保存这些信息，而是通过RADUIS协议对这些信息进行访问。这些信息的集中统一的保存，使得管理更加方便，而且更加安全。3、RADIUS服务器可以作为一个代理，以客户的身份同其他的RADIUS服务器或者其他类型的验证服务器进行通信。用户的漫游通常就是通过RADIUS代理实现的。2.3 用户NASRadius业务流程说明图3 用户NASRadius认证计费流

13、程1、用户拨入后（1），所拨入的设备（比如NAS）将拨入用户的用户的信息（比如用户名、口令、所占用的端口等等）打包向RADIUS服务器发送（2）。2、如果该用户是一个合法的用户，那么Radius告诉NAS该用户可以上网，同时传回该用户的配置参数（3）；否则，Radius反馈NAS该用户非法的信息（3）。3、如果该用户合法，MAS就根据从RADIUS服务器传回的配置参数配置用户（4）。如果用户非法，NAS反馈给用户出错信息并断开该用户连接（4）。4、如果用户可以访问网络，RADIUS客户要向RADIUS服务器发送一个记费请求包表明对该用户已经开始记费（5），RADIUS服务器收到并成功记录该请求

14、包后要给予响应（6）。5、当用户断开连接时（连接也可以由接入服务器断开）（7），RADIUS客户向RADIUS服务器发送一个记费停止请求包，其中包含用户上网所使用网络资源的统计信息（上网时长、进/出的字节/包数等）（8），RADIUS服务器收到并成功记录该请求包后要给予响应（9）。2.4 网络安全 RADIUS协议的加密是使用MD5加密算法进行的，在RADIUS的客户端（NAS）和服务器端（Radius Server）保存了一个密钥（key），RADIUS协议利用这个密钥使用MD5算法对RADIUS中的数据进行加密处理。密钥不会在网络上传送。RADIUS的加密主要体现在两方面：2.4.1 包签

15、名： 在RADIUS包中，有16字节的验证字（authenticator）用于对包进行签名，收到RADIUS包的一方要查看该签名的正确性。如果包的签名不正确，那么该包将被丢弃，对包进行签名时使用的也是MD5算法（利用密钥），没有密钥的人是不能构造出该签名的。3 包的签名与加密详细说明如下： 包的签名指的是RADIUS包中16字节的Authenticator，我们称其为验证字。 认证请求包RequestAuth=Authenticator，认证请求包的验证字是一个不可预测的16字节随机数。这个随机数将用于口令的加密。 认证响应包ResponseAuth = MD5(Code+ID+Length+

16、Authenticator+Attributes+Key)。 记费请求包RequestAcct = MD5(Code+ID+Length+16ZeroOctets+Attributes+Key)。 记费响应包ResponseAcct = MD5(Code+ID+Length+RequestAcct+Attributes+Key)。2.4.2 口令加密：在认证用户时，用户的口令在NAS和Radius Server之间不会以明文方式传送，而是使用了MD5算法对口令进行加密。没有密钥的人是无法正确加密口令的，也无法正确地对加密过的口令进行解密。3 口令的加密: 称共享密钥（key）为Key；16字节

17、的认证请求验证字(Authenticator)为Auth；将口令(Password)分割成16字节一段（最后一段不足16字节时用0补齐），为p1、p2等；加密后的口令块为c(1)、c(2)等。下面运算中b1、b2为中间值： b1 = MD5(Key + Auth) c(1) = p1 xor b1 b2 = MD5(Key + c(1) c(2) = p2 xor b2 bi = MD5(Key+ c(i-1) c(i) = pi xor bi那么加密后的口令为c(1)+c(2)+.+c(i)。上面是协议规定的算法，也有的RADIUS服务器为了实现起来简单，修改了上述的算法，具体的讲，b1的算

18、法同上，但bi=b2=b1(i=1)，其他运算不变。当用户的口令长度不超过16字节时，两种算法的结果是一样的。3 口令加密与口令验证过程当用户上网时，NAS决定对用户采用何种验证方法。下面分别在本地验证和Radius验证两种情况下介绍用户与NAS之间的PAP和CHAP验证方式。1）NAS本地认证 PAP 验证（Password Authentication Protocol：密码验证协议）：用户以明文的形式把用户名和密码传递给NAS。 NAS根据用户名在NAS端查找本地数据库，如果存在相同的用户名和密码表明验证通过，否则表明验证未通过。图4 本地PAP认证 CHAP 验证（Challenge

19、Handshake Authentication Protocol：挑战握手验证协议）： 当用户请求上网时，服务器产生一个16字节的随机码（challenge）给用户（同时还有一个ID号，本地路由器的 host name）。用户端得到这个包后使用自己独用的设备或软件对传来的各域进行加密，生成一个Secret Password传给NAS。NAS根据用户名查找自己本地的数据库，得到和用户端进行加密所用的一样的密码，然后根据原来的16字节的随机码进行加密，将其结果与Secret Password作比较，如果相同表明验证通过，如果不相同表明验证失败。Secret Password = MD5（Chap

20、 ID + Password + challenge）图5 本地CHAP认证2）Radius认证 如果用户配置了RADIUS验证而不是本地验证，过程略有不同。 PAP验证：用户以明文的形式把用户名和他的密码传递给NAS，NAS把用户名和加密过的密码放到验证请求包的相应属性中传递给RADIUS服务器。RADIUS服务器对NAS上传的帐号进行验证并返回结果来决定是否允许用户上网。Secret password =Password XOR MD5（Challenge Key）(Challenge就是Radius报文中的Authenticator)图6 Radius Server PAP认证 CHAP

21、验证：当用户请求上网时，NAS产生一个16字节的随机码给用户（同时还有一个ID号，本地路由器的 host name）。用户端得到这个包后使用自己独有的设备或软件对传来的各域进行加密，生成一个Secret Password传给NAS。NAS把传回来的CHAP ID和Secret Password分别作为用户名和密码，并把原来的16字节随机码传给RADIUS服务器。RADIUS根据用户名在服务器端查找数据库，得到和用户端进行加密所用的一样的密码，然后根据传来的16字节的随机码进行加密，将其结果与传来的Password作比较，如果相同表明验证通过，如果不相同表明验证失败。另外如果验证成功，RADIU

22、S服务器同样可以生成一个16字节的随机码对用户进行挑战询问（魔术字），该部分内容由于应用较少，此处略。Secret password = MD5（Chap ID + Password + challenge）图7 Radius Server CHAP认证 2.5 AAA在协议栈中的位置图8 AAA在协议栈中的位置 3 RADIUS为何采用UDP NAS和RADIUS服务器之间传递的是一般几十上百个字节长度的数据，并且RADIUS要求特别的定时器管理机制。用户可以容忍几十秒的验证等待时间。当处理大量用户时服务器端采用多线程，UDP简化了服务器端的实现过程。TCP是必须成功建立连接后才能进行数据传

23、输的，这种方式在有大量用户使用的情况下实时性不好。RADIUS要有重传机制和备用服务器机制，它所采用的定时，TCP不能很好的满足。2.6 良好的可扩展性RADIUS协议具有很好的扩展性。RADIUS包是由包头和一定数目的属性（Attribute）构成的。新属性的增加不会影响到现有协议的实现。通常的NAS厂家在生产NAS时，还同时开发与之配套的RADIUS服务器。为了提供一些功能，常常要定义一些非标准的（RFC上没有定义过的）属性。关于各个厂家有那些扩展的属性，一般可以从相应的RADIUS服务器的字典（dictionary）文件中找到。 第三章 标准RADIUS协议3.1 标准Radius协议包

24、结构图9 Radius包格式 : Code：包类型；1字节；指示RADIUS包的类型。 1 Access- request 认证请求 2 Access- accept 认证响应 3 Access- reject 认证拒绝 4 Accounting-request 计费请求 5 Accounting-response 计费响应 *11 Access-challenge 认证挑战 : Identifier： 包标识；1字节，取值范围为0 255；用于匹配请求包和响应包，同一组请求包和响应包的Identifier应相同。 : Length： 包长度；2字节；整个包中所有域的长度。 : Authent

25、icator：16 字节长；用于验证RADIUS服务器传回来的请求以及密码隐藏算法上。该验证字分为两种： 1、请求验证字-Request Authenticator 用在请求报文中,必须为全局唯一的随机值。 2、响应验证字-Response Authenticator 用在响应报文中，用于鉴别响应报文的合法性。 响应验证字MD5(Code+ID+Length+请求验证字+Attributes+Key): Attributes：属性图10 属性格式 Type 1 User-Name 2 User-Password 3 CHAP-Password 4 NAS-IP-Address 5 NAS-Po

26、rt 6 Service-Type 7 Framed-Protocol 8 Framed-IP-Address 9 Framed-IP-Netmask 10 Framed-Routing 11 Filter-Id 12 Framed-MTU 13 Framed-Compression 14 Login-IP-Host 15 Login-Service 16 Login-TCP-Port 17 (unassigned) 18 Reply-Message 19 Callback-Number 20 Callback-Id 21 (unassigned) 22 Framed-Route 23 Fra

27、med-IPX-Network 24 State 25 Class 26 Vendor-Specific 27 Session-Timeout 28 Idle-Timeout 29 Termination-Action 30 Called-Station-Id 31 Calling-Station-Id 32 NAS-Identifier 33 Proxy-State 34 Login-LAT-Service 35 Login-LAT-Node 36 Login-LAT-Group 37 Framed-AppleTalk-Link 38 Framed-AppleTalk-Network 39

28、Framed-AppleTalk-Zone 40 Acct-Status-Type 41 Acct-Delay-Time 42 Acct-Input-Octets 43 Acct-Output-Octets 44 Acct-Session-Id 45 Acct-Authentic 46 Acct-Session-Time 47 Acct-Input-Packets 48 Acct-Output-Packets 49 Acct-Terminate-Cause 50 Acct-Multi-Session-Id 51 Acct-Link-Count 60 CHAP-Challenge 61 NAS-

29、Port-Type 62 Port-Limit 63 Login-LAT-Port Length 属性长度。 Value 属性值。3.2 常用标准Radius属性说明属性名Type说明User-Name 11、对于PPP用户，若用户名带ISP，该项用UsernamePPP格式上报用户名；否则用Username格式上报用户名；2、对于VLAN方式，用HCIDVLAN方式上报HCID号，其中，对HCID进行编码，将其转换为字符串User-Password2PPP用户密码CHAP-Password3PPP用户的CHAP过程密码NAS-IP-Address4ISN的接口IP地址NAS-Port5A、V

30、LAN PORT：槽位号（12位）+端口号（8位）+VLAN ID（12位）B、ADSL：NAS PORT标明端口属性、实际物理端口属性Service-Type6服务类型Framed-Protocol7通信协议类型Framed-IP-Address8服务器下发的用户地址，为0XFFFFFFFF时需要从本地地址池中分配Framed-IP-Netmask9服务器分配的地址掩码Reply-Message18返回给用户的提示信息Vendor-Specific26私人自定义属性Session-Timeout27预付费时长Idle-Timeout28超时中断时间NAS-Identifier32Nas标识符Acct-Status-Type40用于识别计费包Acct-Delay-Time41用于上报发送该计费包花费的时间Acct-Input-Octets42输入字节数，用于兼容RADIUS协议Acct-Output-Octets43输出字节数，用于兼容RADIUS协议Acct-Session-Id44上报连接号给计费服务器Acct-Authentic45用户如何实现认证：1 = Radiu