radius协议详解
竭诚为您提供优质文档/双击可除
radius协议详解
篇一:Radius远程用户拨号认证系统详解
Radius远程用户拨号认证系统
Radius:Remoteauthenticationdialinuserservice,远程用户拨号认证系统由RFc2865,RFc2866定义,是目前应用最广泛的(aaa是authentication(认证)、authorization(授权)和accounting(计费)的简称)基本概念
aaaauthentication、authorization、accounting
验证、授权、记费
pappasswordauthenticationprotocol口令验证协议
chapchallenge-handshakeauthenticationprotocol盘问握手验证协议
nasnetworkaccessserver网络接入服务器
RadiusRemoteauthenticationdialinuserservice
远程验证拨入用户服务(拨入用户的远程验证服务)
tcptransmissioncontrolprotocol传输控制协议
udpuserdatagramprotocol用户数据报协议
aaa实现途径
1.在网络接入服务器nas端:在nas端进行认证、授权和计费;
2.通过协议进行远程的认证、授权和记帐。实现aaa的协议有Radius
Radius是Remoteauthenticationdialinuserservice的简称,ma5200、isn8850和md5500上目前使用Radius完成对ppp用户的认证、授权和计费。
当用户想要通过某个网络(如电话网)与nas建立连接从而获得访问其他网络的权利时,nas可以选择在nas上进行本地认证计费,或把用户信息传递给Radius服务器,由Radius进行认证计费;Radius协议规定了nas与Radius服务器之间如何传递用户信息和记账信息;Radius服务器负责接收用户的连接请求,完成验证,并把传递服务给用户所需的配置信息返回给nas。
本地(nas)验证——pap方式
pap(passwordauthenticationprotocol)是密码验证协议的简称,是认证协议的一种。用户以明文的形式把用户名和他的密码传递给nas,nas根据用户名在nas端查找本地数据库,如果存在相同的用户名和密码表明验证通过,否则表明验证未通过。
本地(nas)验证——chap方式
chap(challengehandshakeauthenticationprotocol)是查询握手验证协议的简称,是我们使用的另一种认证协议。secretpassword=md5(chapid+password+challenge)相比pap,chap密码使用的是md5加密验证的一种方式。
当用户请求上网时,服务器产生一个16字节的随机码(challenge)给用户(同时还有一个id号,本地路由器的hostname)。用户端得到这个包后使用自己独用的设备或软
件对传来的各域进行加密,生成一个(radius协议详
解)secretpassword传给nas。nas根据用户名查找自己本地的数据库,得到和用户端进行加密所用的一样的密码,然后根据原来的16字节的随机码进行加密,将其结果与secretpassword作比较,如果相同表明验证通过,如果不相同表明验证失败。
采用chap验证:当用户请求上网时,nas产生一个16
字节的随机码给用户(同时还有一个id号,本地路由器的hostname)。用户端得到这个包后使用自己独有的设备或软
件对传来的各域进行加密,生成一个response传给nas,nas 把传回来的chapid和Response分别作为用户名和密码,并把原来的16字节随机码传给Radius服务器。Radius根据用户名在服务器端查找数据库,得到和用户端进行加密所用的一样的密码,然后根据传来的16字节的随机码进行加密,
将其结果与传来的password作比较,如果相同表明验证通
过,如果不相同表明验证失败。另外如果验证成功,Radius 服务器同样也可以生成一个16字节的随机码对用户进行询问(challenge)
kerberos
kerberos这一名词来源于希腊神话“三个头的狗——地狱之门守护者”
kerberos是一种网络认证协议,其设计目标是通过系统为客户机/服务器提供强大的认证服务。该认证过程的实现不依赖于主机操作系统的认证,无需基于主机地址的信任,不要求网络上所有主机的物理安全,并假定网络上传送的数据包可以被任意地读取、修改和插入数据。在以上情况下,kerberos作为一种可信任的第三方认证服务,是通过传统的密码技术(如:共享密钥)执行认证服务的。
tacacs-终端访问控制器访问控制系统terminalaccesscontrolleraccess-controlsystem tacacs(终端访问控制器访问控制系统)对于unix网络来说是一个比较老的认证协议,它允许远程访问服务器传送用户登陆密码给认证服务器,认证服务器决定该用户是否可以登陆系统
tacacs+其实是一个全新的协议。tacacs+和Radius在现有网络里已经取代了早期的协议。tacacs+应用传输控制协议(tcp),而Radius使用用户数据报协议(udp)。一些
管理员推荐使用tacacs+协议,因为tcp更可靠些。Radius 从用户角度结合了认证和授权,而tacacs+分离了这两个操作。
我对authentication已经比较了解,但是对authoriztion还比较模糊,这次测试tacacs+,使我对authorization也开始了解了.授权简单的说就是给用户开
放某些资源.
我们目前支持exec授权,即给用户执行某些命令的权利,在这里的命令就是我们的clicommand.我们可以详细的配置一个用户可以执行某些clicommand,不能执行某些clicommand.确实可以管理得非常严格.当每次执行command 时都会到tacacs+server上去进行授权.不过当我们允许用户配置某一项,而它的subconfig中如果还有很多command,我们也许要逐项添加,也有点麻烦.但可以对命令和参数进
行这么详细的管理,感觉还挺有用的,不用担心有的用户乱
操作了.这个功能只限于cli,在webui上是没有用的,它的作用又显得不太重要了.
Radius协议
Raidus(Remoteauthenticationdialinuserservice)是对远端拨号接入用户的认证服务,Radius服务分客户端和服务器端,通常我们公司的接入产品支持的是客户端,负责将认证等信息按照协议的格式通过udp包送到服务器,同时
标准Radius协议包结构
标准Radius协议包结构 图9 Radius包格式 Code:包类型;1字节;指示RADIUS包的类型。 1Access- request 认证请求 2 Access- accept 认证响应 3 Access- reject 认证拒绝 4 Accounting-request 计费请求 5 Accounting-response 计费响应 *11 Access-challenge 认证挑战 Identifier:包标识;1字节,取值范围为0 ~255;用于匹配请求包和响应包,同一组请求包和响应包的Identifier应相同。 Length:包长度;2字节;整个包中所有域的长度。Authenticator:16 字节长;用于验证RADIUS服务器传回来的请求以及密码隐藏算法上。 该验证字分为两种: 1、请求验证字---Request Authenticator 用在请求报文中,必须为全局唯一的随机值。 2、响应验证字---Response Authenticator 用在响应报文中,用于鉴别响应报文的合法性。 响应验证字=MD5(Code+ID+Length+请求验证字+Attributes+Key) Attributes:属性
图10 属性格式 Type 1 User-Name 2 User-Password 3 CHAP-Password 4 NAS-IP-Address 5 NAS-Port 6 Service-Type 7 Framed-Protocol 8 Framed-IP-Address 9 Framed-IP-Netmask 10 Framed-Routing 11 Filter-Id 12 Framed-MTU 13 Framed-Compression 14 Login-IP-Host 15 Login-Service 16 Login-TCP-Port 17 (unassigned) 18 Reply-Message 19 Callback-Number 20 Callback-Id 21 (unassigned) 22 Framed-Route 23 Framed-IPX-Network 24 State 25 Class 26 Vendor-Specific 27 Session-Timeout 28 Idle-Timeout 29 Termination-Action 30 Called-Station-Id 31 Calling-Station-Id
AAA和RADIUS HWTACACS协议
AAA和RADIUS/HWTACACS协议简介 1.1.1 aaa概述 aaa是authentication,authorization and accounting(认证、授权和计费)的简称,它提供了一个用来对认证、授权和计费这三种安全功能进行配置的一致性框架,实际上是对网络安全的一种管理。 这里的网络安全主要是指访问控制,包括: 哪些用户可以访问网络服务器? 具有访问权的用户可以得到哪些服务? 如何对正在使用网络资源的用户进行计费? 针对以上问题,aaa必须提供下列服务: 认证:验证用户是否可获得访问权。 授权:授权用户可使用哪些服务。 计费:记录用户使用网络资源的情况。 aaa一般采用客户/服务器结构:客户端运行于被管理的资源侧,服务器上集中存放用户信息。因此,aaa框架具有良好的可扩展性,并且容易实现用户信息的集中管理。 1.1.2 radius协议概述 如前所述,aaa是一种管理框架,因此,它可以用多种协议来实现。在实践中,人们最常使用radius协议来实现aaa。 1. 什么是radius radius是remote authentication dial-in user service(远程认证拨号用户服务)的简称,它是一种分布式的、客户机/服务器结构的信息交互协议,能保护网络不受未授权访问的干扰,常被应用在既要求较高安全性、又要求维持远程用户访问的各种网络环境中(例如,它常被应用在管理使用串口和调制解调器的大量分散拨号用户)。radius系统是nas(network access server)系统的重要辅助部分。 当radius系统启动后,如果用户想要通过与nas(pstn环境下的拨号接入服务器或以太网环境下带接入功能的以太网交换机)建立连接从而获得访问其它网络的权利或取得使用某些网络资源的权利时,nas,也就是radius客户端将把用户的认证、授权和计费请求传递给radius服务器。radius服务器上有一个用户数据库,其中包含了所有的用户认证和网络服务访问信息。radius服务器将在接收到nas传来的用户请求后,通过对用户数据库的查找、更
RADIUS协议属性
属性值属性名称意义 1 User-Name 用户名 2User-Password 用户密码 3Chap-Password Chap认证方式中的用户密码 4 Nas-IP-Address Nas的ip地址 5 Nas-Port 用户接入端口号 6 Service-Type 服务类型 7 Framed-Protocol协议类型 8 Framed-IP-Address 为用户提供的IP地址 9 Framed-IP-NetMask 地址掩码 10 Framed-Routing 为路由器用户设置的路由方式 11 Filter-Id 过滤表的名称 12 Framed-MTU 为用户配置的最大传输单元 13 Framed-Compression 该连接使用压缩协议 14 Login-IP-Host 对login用户提供的可连接主机的ip地址 15 Login-Service 对login用户可提供的服务 16 Login-TCP-Port TCP服务端口 18 Reply-Message 认证服务器返回用户的信息 24 State 认证服务器发送challenge包时传送的需在接下来的认证报文中回应的字符串(与Acess-Challenge相关的属性) 25 Class 认证通过时认证服务器返回的字符串信息,要求在该用户的计费报文中送给计费服务器 26 Vendor-Specific 可扩展属性 27 Session-Timeout 在认证通过报文或Challenge报文中,通知NAS该用户可用的会话时长(时长预付费) 28 Idle-Timeout 允许用户空闲在线的最大时长 32 NAS-Identifier 标识NAS的字符串 33 Proxy-State NAS通过代理服务器转发认证报文时服务器添加在报文中的属性 60 Chap-Challenge 可以代替认证字字段传送challenge的属性 61 Nas-Port-Type 接入端口的类型 62 Port-Limit 服务器限制NAS为用户开放的端口数 40 Acct-Status-Type 计费请求报文的类型 41 Acct-Delay-Time Radius客户端发送计费报文耗费的时间 42 Acct-Input-Octets 输入字节数 43 Acct-Output-Octets 输出字节数 44 Acct-Session-Id 计费会话标识 45 Acct-Authentic 在计费包中标识用户认证通过的方式 46 Acct-Session-Time 用户在线时长 47 Acct-Input-Packets 输入包数 48 Acct-Output-Packets 输出包数 49 Acct-Terminate-Case 用户下线原因 50 Acct-Multi_Session-Id 相关计费会话标识 51 Acct-Link-Count 生成计费记录时多连接会话的会话个数 ?
Radius协议
RADIUS主要用于对远程拨入的用户进行授权和认证。它可以仅使用单一的“数据库”对用户进行认证(效验用户名和口令)。它主要针对的远程登录类型有:SLIP、PPP、telnet和rlogin 等。 其主要特征有: 1.客户机/服务器(C/S)模式 一个网络接入服务器(以下简称NAS)作为RADIUS的客户机,它负责将用户信息传入RADIUS服务器,然后按照RADIUS服务器的不同的响应来采取相应动作。另外,RADIUS 服务器还可以充当别的RADIUS服务器或者其他种类认证服务器的代理客户。 2.网络安全(Network Security) NAS和RADIUS服务器之间的事务信息交流由两者共享的密钥进行加密,并且这些信息不会在两者之间泄漏出去。 3.灵活认证机制(Flexible Authentication Mechanisms) RADIUS服务器支持多种认证机制。它可以验证来自PPP、PAP、CHAP和UNIX系统登录的用户信息的有效性。 4.协议可扩展性(Extensible Protocol) 所有的认证协议都是基于“属性-长度-属性值”3元素而组成的。所以协议是扩展起来非常方便。在目前很多比较高版本的Linux中,它们都把RADIUS的安装程序包含在系统源码中。这样使得我们可以很容易地通过免费的Linux系统学习RADIUS授权、认证的原理和应用。 RADIUS协议原理 要弄清楚RADIUS协议为何能实现授权和认证,我们必须应该从四个方面去认识RADIUS 协议:协议基本原理、数据包结构、数据包类型、协议属性。下面我们就来详细地介绍这些内容。 协议基本原理 NAS提供给用户的服务可能有很多种。比如,使用telnet时,用户提供用户名和口令信息,而使用PPP时,则是用户发送带有认证信息的数据包。 NAS一旦得到这些信息,就制造并且发送一个“Access-Request”数据包给RADIUS服务器,其中就包含了用户名、口令(基于MD5加密)、NAS的ID号和用户访问的端口号。
radius协议书范本
一、概述: RADIUS协议包括RADIUS AUTHENTICATION PROTOCOL 和RADIUS ACCOUNTING PROTOCOL 两部分。RADIUS AUTHENTICATION PROTOCOL 完成拨号用户的认证工作,而RADIUS ACCOUNTING PROTOCOL 则完成用户服务的计费任务。 事实上,为了更好地向分散的众多接入用户提供互联网服务,必须对接入服务提供有效的管理支持。它需要对安全,配置,计费等提供支持,这可以通过对一个用户数据库的管理来达到,这个数据库包括认证信息,及细化的服务配置信息和计费信息。通常这个数据库的维护管理,对用户信息的核实及配置有一个单独的实体完成,这个实体就是RADIUS server。由于这些管理信息的众多与繁杂,通常RADIUS server放在一个独立的计算机上,而为了向RADIUS server取得服务,必须首先构建一个RADIUS client,通常RADIUS client 位于Network Access Server(NAS,网络接入设备)上。 下图示例了这些实体之间的关系: 二、RADIUS认证协议格式: 1、RADIUS AUTHENTICATION PROTOCOL 包格式 下面是协议报文格式: CODE域可以包括如下一些值; 1Access-Request 2Access-Accept
3Access-Reject 4Accounting-Request 5Accounting-Response 11Access-Challenge 12Status-Server 13Status-Client 255Reserved 其中,CODE 1,2,3,11值为RADIUS AUTHENTICATION PROTOCOL使用,而CODE 4,5值为RADIUS ACCOUNTING PROTOCOL使用。其余未用或保留。CODE 占一个字节 IDENTIFIER占一个字节,用于匹配请求和应答。 LENGTH 占二个字节,是整个数据报的长度,包括CODE+IDENTIFIER+LENGTH +AUTHENTICATOR+A TTRIBUTES的所有长度。 AUTHENTICATOR 是16字节的随机数,高位在先,此域用于认证答复和加密口令字。 ATTRIBUTES是若干属性状态的集合,其长度是不确定的,不同的CODE值可以跟随不同的属性值。下表是一个总结:
radius协议详解
竭诚为您提供优质文档/双击可除 radius协议详解 篇一:Radius远程用户拨号认证系统详解 Radius远程用户拨号认证系统 Radius:Remoteauthenticationdialinuserservice,远程用户拨号认证系统由RFc2865,RFc2866定义,是目前应用最广泛的(aaa是authentication(认证)、authorization(授权)和accounting(计费)的简称)基本概念 aaaauthentication、authorization、accounting 验证、授权、记费 pappasswordauthenticationprotocol口令验证协议 chapchallenge-handshakeauthenticationprotocol盘问握手验证协议 nasnetworkaccessserver网络接入服务器 RadiusRemoteauthenticationdialinuserservice 远程验证拨入用户服务(拨入用户的远程验证服务) tcptransmissioncontrolprotocol传输控制协议 udpuserdatagramprotocol用户数据报协议
aaa实现途径 1.在网络接入服务器nas端:在nas端进行认证、授权和计费; 2.通过协议进行远程的认证、授权和记帐。实现aaa的协议有Radius Radius是Remoteauthenticationdialinuserservice的简称,ma5200、isn8850和md5500上目前使用Radius完成对ppp用户的认证、授权和计费。 当用户想要通过某个网络(如电话网)与nas建立连接从而获得访问其他网络的权利时,nas可以选择在nas上进行本地认证计费,或把用户信息传递给Radius服务器,由Radius进行认证计费;Radius协议规定了nas与Radius服务器之间如何传递用户信息和记账信息;Radius服务器负责接收用户的连接请求,完成验证,并把传递服务给用户所需的配置信息返回给nas。 本地(nas)验证——pap方式 pap(passwordauthenticationprotocol)是密码验证协议的简称,是认证协议的一种。用户以明文的形式把用户名和他的密码传递给nas,nas根据用户名在nas端查找本地数据库,如果存在相同的用户名和密码表明验证通过,否则表明验证未通过。 本地(nas)验证——chap方式
Radius协议原理与应用-20020404-C
资料编码产品名称宽带产品使用对象工程师/合作方工程师/用户产品版本所有版本编写部门固网宽带技术支持部资料版本V1.0 Radius协议原理与应用 拟制:尹启龙日期:2002-02-02 审核:陈锐日期:2005-03-07 审核:日期: 批准:任远日期:2005-03-07 华为技术有限公司 版权所有侵权必究
目录 第1章 AAA和RADIUS介绍 (1) 第2章 RADIUS协议 (3) 2.1 引论 (3) 2.2 客户服务器模式 (3) 2.3 用户<->NAS<->Radius业务流程说明 (4) 2.4 网络安全 (4) 2.4.1 包签名: (5) 2.4.2 口令加密: (5) 2.5 AAA在协议栈中的位置 (8) 2.6 良好的可扩展性 (8) 第3章标准RADIUS协议 (9) 3.1 标准Radius协议包结构 (9) 3.2 常用标准Radius属性说明 (12) 3.3 华为公司宽带产品Radius标准属性 (13) 第4章华为公司的Radius扩展协议——Radius+ v1.1 (16) 4.1 Radius+简介 (16) 4.1.1 扩展Radius+的目的 (16) 4.1.2 可靠性、安全性与Radius相同 (16) 4.2 Radius+报文 (16) 4.2.1 Radius+认证报文 (16) 4.2.2 Radius+计费报文 (21) 4.2.3 Radius+新增报文 (25) 第5章华为NAS设备与Radius Server对接应用实例 (29) 5.1 组网图 (29) 5.2 用户认证计费应用实例分析 (29) 5.2.1 合法用户 (29) 5.2.2 非法用户 (33)
什么是RADIUS协议
什么是RADIUS协议 RADIUS RADIUS:Remote Authentication Dial In User Service,远程用户拨号认证系统由RFC2865,RFC2866定义,是目前应用最广泛的AAA协议。 目录 编辑本
RADIUS是一种C/S结构的协议,它的客户端最初就是NAS(Net Access Server)服务器,现在任何运行RADIUS客户端软件的计算机都可以成为RADIUS的客户端。RADIUS协议认证机制灵活,可以采用PAP、CHAP或者Unix登录认证等多种方式。RADIUS是一种可扩展的协议,它进行的全部工作都是基于Attribute-Length-Value的向量进行的。RADIUS也支持厂商扩充厂家专有属性。 由于RADIUS协议简单明确,可扩充,因此得到了广泛应用,包括普通电话上网、ADSL上网、小区宽带上网、IP电话、VPDN(Virtual Private Dialup Networks,基于拨号用户的虚拟专用拨号网业务)、移动电话预付费等业务。最近IEEE提出了802.1x标准,这是一种基于端口的标准,用于对无线网络的接入认证,在认证时也采用RADIUS协议。 编辑本段历史 RADIUS协议最初是由Livingston公司提出的,原先的目的是为拨号用户进行认证和计费。后来经过多次改进,形成了一项通用的认证计费协议。 创立于1966年Merit Network, Inc.是密执安大学的一家非营利公司,其业务是运行维护该校的网络互联MichNet。1987年,Merit在美国NSF(国家科学基金会)的招标中胜出,赢得了NSFnet(即Internet前身)的运营合同。因为NSFnet是基于IP的网络,而MichNet却基于专有网络协议,Merit面对着如何将MichNet的专有网络协议演变为IP协议,同时也要把MichNet上的大量拨号业务以及其相关专有协议移植到IP网络上来。 1991年,Merit决定招标拨号服务器供应商,几个月后,一家叫Livingston的公司提出了建议,冠名为RADIUS,并为此获得了合同。 1992年秋天,IETF的NASREQ工作组成立,随之提交了RADIUS作为草案。很快,RADIUS成为事实上的网络接入标准,几乎所有的网络接入服务器厂商均实现了该协议。 1997年,RADIUS RFC2058发表,随后是RFC2138,最新的RADIUS RFC2865发表于2000年6月。 编辑本段基本工作原理 用户接入NAS,NAS向RADIUS服务器使用Access-Require数据包提交用户信息,包括用户名、密码等相关信息,其中用户密码是经过MD5加密的,双方使用共享密钥,这个密钥不经过网络传播;RADIUS服务器对用户名和密码的合法性进行检验,必要时可以提出一个Challenge,要求进一步对用户认证,也可以对NAS进行类似的认证;如果合法,给NAS返回Access-Accept数据包,允许用户进行下一步工作,否则返回Access-Reject 数据包,拒绝用户访问;如果允许访问,NAS向RADIUS服务器提出计费请
(1)RADIUS协议特点及登陆过程
(1)RADIUS协议特点及登陆过程 ADIUS协议特点 RADIUS协议具有灵活、安全、可扩展性好的特点,具体包括:通过网络传输的认证信息都经过加密,安全性高;认证方式灵活,支持Unix Passwd、CHAP、挑战-回答认证等多种认证方式,还支持认证转接(Authentication Forwarding);协议扩展性好,通过变长的属性串(Attribute Pair)能够进一步扩展RADIUS协议。RADIUS的认证过程如下图(图5-10所示):图5-10 RADIUS协议认证流程图如上图所示,NAS(Network Access Server,网络访问服务器)被看成RADIUS的客户端,当用户登录到NAS 时,客户端将用户提供的认证信息(如用户名和口令)发送给指定的RADIUS Server,并根据Server的回应作出相应的“允许/不允许登录”的决定。RADIUS Server 负责接收认证请求并进行认证,然后将认证结果(包括连接协议、端口信息、ACL 等授权信息)发送回RADIUS Client,Client根据授权信息限制用户对资源的访问。一个RADIUS Server可以作为另一个RADIUS Server的客户端要求认证(即认证转接),以提供灵活的认证方式。RADIUS Server和Client之间传递的认证信息用一个事先设置的口令进行加密,防止敏
感信息泄露。当用户成功的登录后,NAS会向RADIUS Server 发送一个连接开始的记账信息包,其中包括用户使用的连接种类、协议和其他自定义信息;当用户断开连接后,NAS 会向RADIUS Server发送一个连接结束的记账信息包,RADIUS Server根据设置为用户记账。 RADIUS登录过程 下面是一个典型的RADIUS登录过程: 远程用户登录NAS; NAS发送“RADIUS Access-Request”到RADIUS Server,其中包括用户名、密码等信息;如果该用户使用“挑战-回答”认证,RADIUS Server 将发送包含挑战信息的“RADIUS Access-Challenge”消息,NAS将挑战信息显示给用户; 用户将回答提交给NAS,NAS将发送第二个“RADIUS Access-Request”,Server 将根据此信息进行认证,这个过程类似于前面介绍过得CHAP认证方式; RADIUS Server 将根据事先设置的认证方式(CHAP、用户名口令、挑战应答等)认证该用户,并发回“RADIUS Access-Accept”;或拒绝该用户,并发回“RADIUS Access
RADIUS协议
RADIUS协议 1.1 引论 RADIUS 协议常用的认证端口号为1812或1645,计费端口号为1813 或1646。 一个网络允许外部用户通过公用网对其进行访问,于是用户在地理上可 以极为分散。大量分散用户通过Modem等设备从不同的地方可以对这个 网络进行随机的访问。用户可以把自己的信息传递给这个网络,也可以 从这个网络得到自己想要的信息。由于存在内外的双向数据流动,网络 安全就成为很重要的问题了。大量的modem形成了Modem pools。对 modem pool 的管理就成为网络接入服务器或路由器的任务。管理的内 容有:哪些用户可以获得访问权,获得访问权的用户可以允许使用哪些 服务,如何对使用网络资源的用户进行记费。AAA很好的完成了这三项 任务。 RADIUS通过建立一个唯一的用户数据库,存储用户名,用户的密码来 进行验证;存储传递给用户的服务类型以及相应的配置信息来完成授权。 1.2 客户服务器模式 图2 用户,NAS,RADIUS 服务器的关系 RADIUS采用客户/服务器(Client/Server)结构:NAS上运行的AAA程 序对用户来讲为服务器端,对RADIUS服务器来讲是作为客户端。 1、RADIUS的客户端通常运行于接入服务器(NAS)上,RADIUS服务 器通常运行于一台工作站上,一个RADIUS服务器可以同时支持多个 RADIUS客户(NAS)。 2、RADIUS的服务器上存放着大量的信息,接入服务器(NAS)无须保 存这些信息,而是通过RADUIS协议对这些信息进行访问。这些信息的 集中统一的保存,使得管理更加方便,而且更加安全。 3、RADIUS服务器可以作为一个代理,以客户的身份同其他的RADIUS 服务器或者其他类型的验证服务器进行通信。用户的漫游通常就是通过 RADIUS代理实现的。
RADIUS协议
RADIUS协议 引论 RADIUS 协议常用的认证端口号为1812或1645,计费端口号为1813或1646。 一个网络允许外部用户通过公用网对其进行访问,于是用户在地理上可以极为分散。大量分散用户通过Modem等设备从不同的地方可以对这个网络进行随机的访问。用户可以把自己的信息传递给这个网络,也可以从这个网络得到自己想要的信息。由于存在内外的双向数据流动,网络安全就成为很重要的问题了。大量的modem形成了Modem pools。对modem pool 的管理就成为网络接入服务器或路由器的任务。管理的内容有:哪些用户可以获得访问权,获得访问权的用户可以允许使用哪些服务,如何对使用网络资源的用户进行记费。AAA很好的完成了这三项任务。 RADIUS通过建立一个唯一的用户数据库,存储用户名,用户的密码来进行验证; 存储传递给用户的服务类型以及相应的配置信息来完成授权。 客户服务器模式 图2 用户,NAS,RADIUS 服务器的关系 RADIUS采用客户/服务器(Client/Server)结构:NAS上运行的AAA程序对用户来讲为服务器端,对RADIUS服务器来讲是作为客户端。 1、RADIUS的客户端通常运行于接入服务器(NAS)上,RADIUS服务器通常运行于一台工作站上,一个RADIUS服务器可以同时支持多个RADIUS客户(NAS)。 2、RADIUS的服务器上存放着大量的信息,接入服务器(NAS)无须保存这些信息,而是通过RADUIS协议对这些信息进行访问。这些信息的集中统一的保存,使得管理更加方便,而且更加安全。 3、RADIUS服务器可以作为一个代理,以客户的身份同其他的RADIUS服务器或者其他类型的验证服务器进行通信。用户的漫游通常就是通过RADIUS代理实现的。 用户<->NAS<->Radius业务流程说明 图3 用户——NAS——Radius认证计费流程 1、用户拨入后(1),所拨入的设备(比如NAS)将拨入用户的用户的信息(比如用户名、口令、所占用的端口等等)打包向RADIUS服务器发送(2)。 2、如果该用户是一个合法的用户,那么Radius告诉NAS该用户可以上网,同时传回该用户的配置参数(3);否则,Radius反馈NAS该用户非法的信息(3)。 3、如果该用户合法,MAS就根据从RADIUS服务器传回的配置参数配置用户(4)。如果用户非法,NAS反馈给用户出错信息并断开该用户连接(4)。 4、如果用户可以访问网络,RADIUS客户要向RADIUS服务器发送一个记费请求包表明对该用户已经开始记费(5),RADIUS服务器收到并成功记录该请求包后要给予响应(6)。 5、当用户断开连接时(连接也可以由接入服务器断开)(7),RADIUS客户向RADIUS服务器发送一个记费停止请求包,其中包含用户上网所使用网络资源的统计信息(上网时长、进/出的字节/包数等)(8),RADIUS服务器收到并成功记录该请求包后要给予响应(9)。
RADIUS协议的原理及应用讲义
RADIUS协议的原理及应用 目录 培训目标 (2) 前言 (2) 1 RADIUS协议介绍 (2) 2 RADIUS协议报文结构 (3) 2.1 Radius协议报文格式 (3) 2.2 Code域 (3) 2.3 Identifier域 (4) 2.4 Length域 (4) 2.5 Authenticator (4) 2.6 Attributes域 (5) 2.6.1 Type域 (5) 2.6.2 Length域 (5) 2.6.3 Value域 (6) 2.6.4常用属性类型列表 (6) 3 NAS设备RADIUS部分配置举例 (8) 4 RADIUS系统下用户认证过程 (9) 4.1 报文1:EAPOL-Start (9) 4.2 报文2:EAP-Request/Identity (10) 4.3 报文3:EAP-Response/Identity (10) 4.4 报文4:RADIUS Access-Request (11) 4.5 报文5:RADIUS Access-Challenge (12) 4.6 报文6:EAP-Request/MD5-Challenge (13) 4.7 报文7:EAP-Response/MD5-Challenge (14) 4.8 报文8:RADIUS Access-Request (14) 4.9 报文9:RADIUS Access-Accept (15) 4.10 报文10:EAP-Success (16) 4.11 报文11:RADIUS Accounting-Request (17) 4.12 报文12:RADIUS Accounting-Response (18) 4.13 报文13:EAPOL-Logoff (18) 4.14 报文14:RADIUS Accounting-Request (19) 4.15 报文15:RADIUS Accounting-Response (20) 4.16 报文16:EAP-Failure (21)
RADIUS协议的原理及应用讲义(doc 22页)
RADIUS协议的原理及应用讲义(doc 22页)
RADIUS协议的原理及应用 目录
培训目标 ●了解RADIUS协议基本概念; ●熟悉RADIUS协议报文结构; ●熟悉RADIUS协议工作原理; 前言 企业要求只有授权的用户才能访问自己的内部网络,教育网采取根据流量计费的策略,VOD系统根据点播的时间收费等等。这些最常见的网络应用却面临一个同样的问题:如何对用户进行认证和计费?一种常见的认证计费方法——RADIUS协议会帮助我们解决这些问题。RADIUS是目前最常用的认证计费协议之一,它简单安全,易于管理,扩展性好,所以得到广泛应用。 1 RADIUS协议简介 RADIUS ( Remote Authentication Dial In User Service )是远程认证拨号用户服务的简称。RADIUS原先设计的目的是为拨号用户进行认证和计费。后来经过多次改进,形成了一项通用的认证计费协议,主要完成在网络接入设备和认证服务器之间承载认证、授权、计费和配置信息。RADIUS是一种C/S结构的协议,它的
客户端最初就是NAS服务器,现在任何运行RADIUS客户端软件的计算机都可以成为RADIUS的客户端。 RADIUS基本原理:用户接入NAS,NAS向RADIUS 服务器使用Access-Request数据包提交用户信息,包括用户名、密码等相关信息,其中用户密码是经过MD5加密的,双方使用共享密钥,这个密钥不经过网络传播;RADIUS服务器对用户名和密码的合法性进行检验,必要时可以提出一个Challenge,要求进一步对用户认证,也可以对NAS进行类似的认证;如果合法,给NAS返回Access-Accept数据包,允许用户进行下一步工作,否则返回Access-Reject数据包,拒绝用户访问;如果允许访问,NAS向RADIUS服务器提出计费请求Account-Request,RADIUS服务器响应Account-Accept,对用户开始计费,同时用户可以进行自己的相关操作。 RADIUS协议具有以下特点: ●客户端/服务器结构; ●采用共享密钥保证网络传输安全性; ●良好的可扩展性; ●认证机制灵活; RADIUS 协议承载于UDP 之上,官方指定端口号为认证授权端口1812、计费端口1813。RADIUS协议在
华为设备AAA和RADIUS协议配置
华为设备AAA和RADIUS协议配置 一、AAA概述 AAA是Authentication,Authorization and Accounting(认证、授权和计费)的简称,它提供了一个用来对认证、授权和计费这三种安全功能进行配置的一致性框架,实际上是对网络安全的一种管理。 这里的网络安全主要是指访问控制,包括: l 哪些用户可以访问网络服务器; l 具有访问权的用户可以得到哪些服务; l 如何对正在使用网络资源的用户进行计费; 针对以上问题,AAA必须提供下列服务: l 认证:验证用户是否可获得访问权。 l 授权:授权用户可使用哪些服务。 l 计费:记录用户使用网络资源的情况。 AAA一般采用客户/服务器结构:客户端运行于被管理的资源侧,服务器上集中存放用户信息。因此,AAA框架具有良好的可扩展性,并且容易实现用户信息的集中管理。 RADIUS协议概述 如前所述,AAA是一种管理框架,因此,它可以用多种协议来实现。在实践中,人们最常使用RADIUS协议来实现AAA。 1. 什么是RADIUS RADIUS是Remote Authentication Dial-In User Service(远程认证拨号用户服务)的简称,它是一种分布式的、客户机/服务器结构的信息交互协议,能保护网络不受未授权访问的干扰,常被应用在既要求较高安全性、又要求维持远程用户访问的各种网络环境中(例如,它常被应用来管理使用串口和调制解调器的大量分散拨号用户)。RADIUS系统是 NAS(Network Access Server)系统的重要辅助部分。 当RADIUS系统启动后,如果用户想要通过与NAS(PSTN环境下的拨号接入服务器或以太网环境下带接入功能的以太网交换机)建立连接从而获得访问其它网络的权利或取得使用某些网络资源的权利时,NAS,也就是RADIUS客户端将把用户的认证、授权和计费请求传递给RADIUS服务器。RADIUS 服务器上有一个用户数据库,其中包含了所有的用户认证和网络服务访问信息。RADIUS服务器将在接收到NAS传来的用户请求后,通过对用户数据库的查找、更新,完成相应的认证、授权和计费工作,并把用户所需的配置信息和计费统计数据返回给NAS——在这里,NAS起到了控制接入用户及对应连接的作用,而RADIUS协议则规定了NAS与RADIUS服务器之间如何传递用户配置信息和计费信息。 NAS和RADIUS之间信息的交互是通过将信息承载在UDP报文中来完成的。在这个过程中,交互双方将使用密钥对报文进行加密,以保证用户的配置信息(如密码)被加密后才在网络上传递,从而避免它们被侦听、窃取。
相关文档
- 标准Radius协议包结构
- radius协议
- RADIUS协议的原理及应用讲义
- radius协议书范本
- (1)RADIUS协议特点及登陆过程
- 华为设备AAA和RADIUS协议配置
- RADIUS协议属性
- 什么是RADIUS协议
- 用户认证协议RADIUS介绍
- Radius协议
- RADIUS协议
- Radius协议
- AAA和RADIUS HWTACACS协议
- Radius协议原理与应用-20020404-C
- Radius协议深入ppt
- Radius协议
- (1)RADIUS协议特点及登陆过程
- RADIUS协议的原理及应用讲义(doc 22页)
- 标准Radius协议包结构
- radius协议详解