java tinyradius使用_Radius的TinyRadius实现.docx

Radius原理基本概念简称英文全称中文解释AAAAuthentication、Authorization、Accounting验证、授权、计费PAPPassword Authentication Protocol口令验证协议CHAPChallenge-Handshake Authentication Protocol挑战握手认证协议NASNetwork Access Server网络接入服务器RADIUSRemote Authentication Dial In User Service远程用户拨号认证服务TCPTransmission Control Protocol传输控制协议UDPUser Datagram Protocol用户数据报协议PPPPoint to Point Protocol点对点协议AAA可以通过两种途径实现：在NAS端进行认证、授权和计费通过协议进行远程认证、授权和计费。实现了AAA的协议有：RADIUS、Kerberos、TACACS等当用户想要通过某个网络(如电话网)与NAS建立连接从而获得访问其他网络的权利时，NAS可以选择在NAS上进行本地认证计费，或把用户的信息传递给RADIUS服务器，由Radius进行认证计费；RADIUS协议规定了NAS与RADIUS服务器之间如何传递用户信息和计费信息；RADIUS服务器负责接收用户的连接请求，完成验证，并把传递服务给用户的配置信息返回给NAS.本地(NAS)验证——PAP方式：用户以明文的形式把用户名和密码传递给NAS，NAS根据用户名在NAS端查找本地数据库，如果存在相同的用户名和密码表明验证通过，否则验证未通过。本地(NAS)验证——CHAP方式：Secret Password = MD5(Chap ID + Password + challenge)当用户请求上网时，服务器产生一个16字节的随机码(challenge)给用户(同时还有一个ID号，本地路由器的hostname).用户端得到这个包后使用自己独用的设备或软件对传来的各域进行加密，生成一个Secret Password传给NAS。NAS根据传来的用户名查找自己本地的数据库，得到和用户端进行加密所用的一样的密码，然后根据原来的16字节的随机码进行加密，将其结果与Secret Password作比较，如果相同表明验证成功，否则失败.远端(Radius)验证——PAP方式：如果用户配置了RADIUS验证，其PAP验证过程如下：采用PAP验证：用户以明文的形式把用户名和他的密码传递给NAS。NAS把用户名和加密过的密码放到认证请求包的相应属性中传递给RADIUS服务器根据RADIUS服务器的返回结果来决定是不允许用户上网。例1：1)NAS：6 发送 Access-Request UDP 数据包到 RADIUS Server 。 User-name：nemo Port logging in：3Code = 1(Access-Request)ID = 0Length = 56Request Authenticator = {16 octet random number}Attributes: User-Name = "nemo" User-Password = {16 octets of Password padded at end with nulls, XORed with MD5(key|Request Authenticator)} NAS-IP-Address = 6 NAS-Port = 32)RADIUS server 验证了 nemo, 并且发送了 Access-Accept UDP 数据包到接入服务器，告诉把用户 nemo 登陆到主机 .Code = 2 (Access-Accept)ID = 0 (same as in Access-Request)Length = 38Response Authenticator = {16-octet MD-5 checksum of the code (2),id (0), Length (38), the Request Authenticator from above, the attributes in this reply, and the shared secret}Attributes: Service-Type = Login-User Login-Service = Telnet Login-Host = 远端(Radius)验证——CHAP方式：如果用户配置了RADIUS验证，其CHAP验证过程如下：当用户请求上网时，NAS产生一个16字节的随机码给用户(同时还有一个ID号，本地路由器的