RADIUS协议

RADIUS原先的目的是为拨号用户进行认证和计费。后来经过多次改进,形成了一项通用的认证计费协议。
RADIUS是一种C/S结构的协议,它的客户端最初就是NAS服务器,现在任何运行RADIUS客户端软件的计算机都可以成为RADIUS的客户端。
在RADIUS的Server端和Client端之间的通信主要有两种情况:一种是接入认证;另一种是计费请求。
RADIUS协议认证机制灵活,可以采用PAP、CHAP或者Unix登录认证等多种方式。
基于挑战/应答(Challenge/Response)方式的身份认证机制


RADIUS的基本工作原理:用户接入NAS,NAS向RADIUS服务器使用Access-Require数据包提交用户信息,包括用户名、密码等相关信息,其中用户密码是经过MD5加密的,双方使用共享密钥,这个密钥不经过网络传播;RADIUS服务器对用户名和密码的合法性进行检验,必要时可以提出一个Challenge,要求进一步对用户认证,也可以对NAS进行类似的认证;如果合法,给NAS返回Access-Accept数据包,允许用户进行下一步工作,否则返回Access-Reject数据包,拒绝用户访问;如果允许访问,NAS向RADIUS服务器提出计费请求Account-Require,RADIUS服务器响应Account-Accept,对用户的计费开始,同时用户可以进行自己的相关操作。


RADIUS是一种完全开放的协议,分布源码格式,这样,任何安全系统和厂商都可以用。

cisco支持在其AAA安全范例中支持RADIUS。RADIUS可以和在其 它AAA安全协议共用,如TACACS+,Kerberos,以及本地用户名查找。CISCO所有的平台都支持RADIUS,但是RADIUS支持的特性只能运行在cisco指定的平台上。RADIUS协议已经被广泛实施在各种各样的需要高级别安全且需要网络远程访问的网络环境。

在以下安全访问环境需要使用RADIUS:
当多厂商访问服务器网络,都支持RADIUS。例如,几个不同厂家的访问服务器只使用基于RADIUS的安全数据库,在基于ip的网络有多个厂商的访问服务器,通过RADIUS服务器来验证拨号用户,进而定制使用kerberos安全系统。
+当某应用程序支持RADIUS协议守护网络安全环境,就像在一个使用smart card门禁控制系统的那样的访问环境。某个案例中,RADIUS
被用在Enigma安全卡来验证用户和准予网络资源使用权限。

当网络已经使用了RADIUS。你可以添加具有RADIUS支持的cisco路由器到你的网络中,这个可以成为你想过渡到TACACS+服务器的
第一步。

当网络中一个用户仅能访问一种服务。使用RADIUS,你可以控制用户访问单个主机,进行单个服务,如telnet,或者单个协议,如ppp。例如当一个用户登录进来,RADIUS授权这个用户只能以10.2.3.4这个地址运行ppp,而且还得和ACL相匹配。

当网络需要资源记账。你可以使用RADIUS记账,独立于RADIUS认证和授权,RADIUS记账功能允许数据服务始与终,记录会话之中所使用的标志资源(如,时间,包,字节,等等)。ISP可能使用免费版本的基于RADIUS访问控制和记账软件来进行特定安全和金额统计。
当网络希望支持预认证。在你的网络中使用RADIUS服务,你可以配置AAA预认证和设定预认证profiles。预认证服务的开启提供更
好的管理端口来使用它们已经存在的RADIUS解决方案,更优化的管理使用、共享资源,进而提供不懂服务级别的协定。

RADIUS不适合以下网络安全情形:
多协议访问环境,Radius不支持以下协议:
*AppleTalk Remote Access (ARA)苹果远程访问。
*NetBIOS Frame Control Protocol (NBFCP)网络基本输出输入系统侦控制协议。
*NetWare Asynchronous Services Interface (NASI)网件异步服务接口。
*X.25 PAD connectionsX.25 PAD连接。
路由器到路由器情形.Radius不提供双向认证.Radius能使用在要认证从一个路由器到非cisco路由器,当这个非cisco路由器需要认证
的时候.
~网络使用各种各样的服务的时候.Radius大体上约束一个用户使用一个服务模型.

Radius操作:
当一个用户试图登录并验证到一个使用了Radius的访问服务器,发生了以下步骤:
1.这个用户被允许输入用户名和密码.
2.用户名和加密的密码被发送到网络中的Radius服务器.
a.ACCEPT--该用户通过了认证.
b.REJECT--该用户没有被认证,被允许重新输入用户名和密码,或者访问被拒绝了.
c.CHALLENGE--Radius服务器发出挑战.这个挑战收集这个用户附加信息.
d.CHANGE PASSWORD--这个请求时RADIUS服务器发出的,告诉用户换一个新的密码.
ACCEPT或者REJECT回应包括了用来执行或者网络认证的附加数据,
你必须首先完成Radius认证才能使用Radius授权.带有ACCEPT或者REJECT附加数据的包有以下组成:

用户能访问的服务,包括telnet,rlogin,或者本地区域传输(lat)连接,以及ppp,SLIP,或者EXEC服务.

连接参数,包括主机或者ip地址,访问列表,和用户超时.

RADIUS主要用于对远程拨入的用户进行授权和认证。它可以仅使用单一的“数据库”对用户进行认证(效验用户名和口令)。它主要针对的远程登录类型有:SLIP、PPP、telnet和rlogin等。

其主要特征有:

1. 客户机/服务器(C/S)模式

一个网络接入服务器(以下简称NAS)作为RADIUS的客户机,它负责将用户信息传入RADIUS服务器,然后按照RADIUS服务器的不同的响应来采取相应动作。另外,RADIUS服务器还可以充当别的RADIUS服务器或者其他种类认证服务器的代理客户。

2.网络安全(Network Security)

NAS和RADIUS服务器之间的事务信息交流由两者共享的密钥进行加密,并且这些信息不会在两者之间泄漏出去。

3.灵活认证机制(Flexible Authentication Mechanisms)

RADIUS服务器支持多种认证机制。它可以验证来自PPP、PAP、CHAP和UNIX系统登录的用户信息的有效性。

4.协议可扩展性(Extensible Protocol)

所有的认证协议都是基于“属性-长度-属性值”3元素而组成的。所以协议是扩展起来非常方便。在目前很多比较高版本的Linux中,它们都把 RADIUS的安装程序包含在系统源码中。这样使得我们可以很容易地通过免费的Linux系统学习RADIUS授权、认证的原理和应用。


RADIUS协议原理


要弄清楚RADIUS协议为何能实现授权和认证,我们必须应该从四个方面去认识RADIUS协议:协议基本原理、数据包结构、数据包类型、协议属性。下面我们就来详细地介绍这些内容。

协议基本原理

NAS提供给用户的服务可能有很多种。比如,使用telnet时,用户提供用户名和口令信息,而使用PPP时,则是用户发送带有认证信息的数据包。

NAS一旦得到这些信息,就制造并且发送一个“Access-Request”数据包给RADIUS服务器,其中就包含了用户名、口令(基于MD5加密)、NAS的ID号和用户访问的端口号。

如果RADIUS服务器在一段规定的时间内没有响应,则NAS会重新发送上述数据包;另外如果有多个RADIUS服务器的话,NAS在屡次尝试主RADIUS服务器失败后,会转而使用其他的RADIUS服务器。

RADIUS服务器会直接抛弃那些没有加“共享密钥”(Shared Secret)的请求而不做出反应。如果数据包有效,则RADIUS服务器访问认证数据库,查找此用户是否存在。如果存在,则提取此用户的信息列表,其中包括了用户口令、访问端口和访问权限等。

当一个RADIUS服务器不能满足用户的需要时,它会求助于其他的RADIUS服务器,此时它本身充当了一个客户端。

如果用户信息被否认,那么RADIUS服务器给客户端发送一个“Access-Reject”数据包,指示此用户非法。如果需要的话,RADIUS服务器还会在此数据包中加入一段包含错误信息的文本消息,以便让客户端将错误信息反馈给用户。

相反,如果用户被确认,RADIUS服务器发送“Access-Challenge”数据包给客户端,并且在数据包中加入了使客户端反馈给用户的 信息,其中包括状态属性。接下来,客户端提示用户做出反应以提供进一步的信息,客户端得到这些信息后,就再次向RADIUS服务器提交带有新请求ID的 “Access-Request”数据包,和起初的“Access-Request”数据包内容不一样的是:起初“Access-Request”数据包 中的“用户名/口令”信息被替换成此用户当前的反应信息(经过加密),并且数据包中也包含了“Access-Challenge”中的状态属性(表示为0 或1)。此时,RADIUS服务器对于这种新的“Access-Request”可以有三种反应:“Access-Accept”、“Access- Reject”或“Access-Challenge”。

如果所有的要求都属合法,RADIUS返回一个“Access-Accept”回应,其中包括了服务类型(SLIP, PPP, Login User等)和其附属的信息。例如:对于SLIP和PPP,回应中包括了IP地址、子网掩码、MTU和数据包过滤标示信息等。

数据包结构

RADIUS数据包被包装在UDP数据报的数据块(Data field))中,其中的目的端口为1812。具体的数据包结构如表1。


8位 8位 16位
code Identifier Length
Authenticator(128位)
Attributes…(不定长)

· Code Code域长度为8位,具体取值见表2。其中,1、2、3用于用户认证,而4、5则是统计流量用,12、13 用于试验阶段,255作为保留。

code 含义
1 Access-Request
2 Access-Accept
3 Access-Reject
4 Accounting-Request
5 5Accounting-Response
11 Access-Challenge
12 Status-Server(experimenta)
13 Status-client(experimenta)
255 Reserved



· Identifier Identifier域长度为8位,主要用于匹配请求和回应数据包,也即是数据包的编号。

· Length 长度为16位,取值范围(20<=Length<=4096),此长度包括Code、Identifier、Length、 Authenticator和 Attribute五个数据域的长度总和(Code、Identifier、Length、Authenticator为定长,Attribute为变 长)。超出范围的数据将被视为附加数据(Padding)或直接被忽略。

· Authenticator 长度为16个字节(128位),主要用于鉴定来自RADIUS服务器的回应,同时也用于对用户口令进行加密。

(1) Request Authenticator

在“Access-Request”数据包中,Authenticator是一个16字节的随机数,称为“Request Authenticator”。它在NAS和RADIUS服务器之间通过“共享密码”(secret)传输数据的整个生命周期中是唯一的。  

(2) Response Authenticator

在“Access-Accept”、“Access-Reject”和“Access-Challenge”中的Authenticator域被称为“Response Authenticator”。

有下面的计算方法:

ResponseAuth = MD5(Code+ID+Length+RequestAuth+ Attributes+Secret) ——(公式1)
· Attributes 属性域的数据格式如表3所示。

8位 8位 不定长(0或多个字节)
Type Length value…
Type指示了Atribute的类型,通用的有几十种,如表4所示。
Type 说明 Type 说明
1 User-Name 5 NAS-Port-Id
2 Password 6 Service-Type
3 CHAP-Password 7 Framed-Protocol
4 NAS-IP-Address … …

数据包类型

RADIUS数据包的类型由其Code域(头8位)指定。

· Access-Request(接入-请求)

“Access-Request”数据包由NAS发出,由RADIUS服务器接收。

其中的“User-Password”或“CHAP-Password”属性值被默认地以MD5方法加密。

数据包结构如表5所示。


8位 8位 16位
Code=1 Identifier-随着Attributes的Value变化而变化,重传时则保持不变 Length
Authenticator(128位)—根据Identifier变化而变化
Attributes…(不定长)



Attributes应该包括以下几个属性:

◆ “User-Name”
◆ “User-Password”或“CHAP-Password”
◆ “NAS-IP-Address”
* “NAS-Identifier”
◆ “NAS-Port”
◆ “NAS-Port-Type”



· Access-Accept

“Access-Accept” 由RADIUS服务器发出,返回给NAS。表示用户的信息是合法的。其中包括了必要的配置信息,以便下一步为用户提供服务。数据包结构如表6所示。


8位 8位 16位
Code=2 Identifier-和“Access-Request”的Identifier相同 Length
Authenticator(128位)-属于Response Authenticator,由公式1计算得到
Attributes…(不定长)



Access-Reject“Access-Reject”由RADIUS服务器发出,返回给NAS。表示用户的信息是非法的。其中应该包括一个或多个的“Reply-Message”(回复消息,包含一些便于NAS返回给用户的一些错误信息)。数据包结构如表7所示。

8位 8位 16位
Code=3 Identifier-和“Access-Request”的Identifier相同 Length
Authenticator(128位)-属于Response的Authenticator,由公式1计算得到
Attributes…(不定长)
属性
属性如表8所示。其中,Length的计算方法为:Type+Length+Value。
8位 8位 不定长(0或多个字节)
Type Length Value…
Value有4种类型:
◆ String —— 0~253字节,字符串
◆ Ipaddress —— 32位,IP地址
◆ Integer —— 32位,整数
◆ Time —— 32位,从00:00:00 GMT, January 1, 1970到当前的总秒数
从这里可看出,RADIUS协议是一个不定长的协议栈。

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值