RADIUS协议介绍及应用

flyawaywk
2 ℃
2020-01-10

整理文档很辛苦，赏杯茶钱您下走！

还剩 ... 页未读，继续阅读 >>

免费阅读已结束，点击下载阅读编辑剩下 ... 页

阅读已结束，您可以下载文档离线阅读编辑

资源描述

内部公开▲本文中的所有信息归中兴通讯股份有限公司所有，未经允许，不得外传RADIUS协议介绍及应用编者：尚森审核：王高原中兴通讯固网交换用服部内部公开▲本文中的所有信息归中兴通讯股份有限公司所有，未经允许，不得外传修改记录文档编号版本号拟制人/修改人审核人拟制/修改日期更改理由主要更改内容（写要点即可）无V1.00尚森王高原2008-3-508年文档修订初稿生成内部公开▲本文中的所有信息归中兴通讯股份有限公司所有，未经允许，不得外传目录第1章RADIUS的协议介绍....................................................................................................................11.1RADUIS协议介绍...............................................................................................................................11.2RADIUS协议结构...............................................................................................................................21.3RADIUS消息交互流程.......................................................................................................................3第2章RADIUS在SS上的应用..............................................................................................................4内部公开▲本文中的所有信息归中兴通讯股份有限公司所有，未经允许，不得外传-1-第1章Radius的协议介绍1.1Raduis协议介绍Radius（remoteauthenticationdialinuserservice，远程用户拨号认证系统）由rfc2865，rfc2866定义，是目前应用最广泛的aaa协议。radius协议最初是由livingston公司提出的，原先的目的是为拨号用户进行认证和计费。后来经过多次改进，形成了一项通用的认证计费协议。radius是一种c/s结构的协议，它的客户端最初就是nas（netaccessserver）服务器，现在任何运行radius客户端软件的计算机都可以成为radius的客户端。radius协议认证机制灵活，可以采用pap、chap或者unix登录认证等多种方式。radius是一种可扩展的协议，它进行的全部工作都是基于attribute-length-value的向量进行的。radius也支持厂商扩充厂家专有属性。radius的基本工作原理。用户接入nas，nas向radius服务器使用access-require数据包提交用户信息，包括用户名、密码等相关信息，其中用户密码是经过md5加密的，双方使用共享密钥，这个密钥不经过网络传播；radius服务器对用户名和密码的合法性进行检验，必要时可以提出一个challenge，要求进一步对用户认证，也可以对nas进行类似的认证；如果合法，给nas返回access-accept数据包，允许用户进行下一步工作，否则返回access-reject数据包，拒绝用户访问；如果允许访问，nas向radius服务器提出计费请求account-require，radius服务器响应account-accept，对用户的计费开始，同时用户可以进行自己的相关操作。radius还支持代理和漫游功能。简单地说，代理就是一台服务器，可以作为其他radius服务器的代理，负责转发radius认证和计费数据包。所谓漫游功能，就是代理的一个具体实现，这样可以让用户通过本来和其无关的radius服务器进行认证，用户到非归属运营商所在地也可以得到服务，也可以实现虚拟运营。radius服务器和nas服务器通过udp协议进行通信，radius服务器的1812端口负责认证，1813端口负责计费工作。采用udp的基本考虑是因为nas和radius服务器大多在同一个局域网中，使用udp更加快捷方便。radius协议还规定了重传机制。如果nas向某个radius服务器提交请求没有收到返回信息，那么可以要求备份radius服务器重传。由于有多个备份radius服务器，因此nas进行重传的时候，可以采用轮询的方法。如果备份radius服务器的密钥和以前radius服务器的密钥不同，则需要重新进行认证。由于radius协议简单明确，可扩充，因此得到了广泛应用，包括普通电话上网、adsl上网、小区宽带上网、ip电话、vpdn（virtualprivatedialupnetworks，基于拨号用户的虚拟专用拨号网业务）、移动电话预付费等业务。最近ieee提出了802.1x标准，这是一种基于端口的标准，用于对RADIUS协议简介及应用内部公开▲本文中的所有信息归中兴通讯股份有限公司所有，未经允许，不得外传-2-无线网络的接入认证，在认证时也采用radius协议。1.2Radius协议结构RADIUS数据格式的概况如下所示。各个域的数据是从左向右传输的。图1-1RADIUS数据格式1．编码：编码域是一个八位字节，用来标识RADIUS包的类型。当收到的包的编码域非法时，该数据包将会被自动丢弃。宽带公用电话系统中使用的RADIUS编码如下（M强制，O可选）：表1-1RADIUS编码编号M/O值描述1MAccess-Request用户验证身份2MAccess-Accept用户验证通过3MAccess-Reject用户验证拒绝4MAccounting-Request计费请求5MAccounting-Response计费响应2．标识符标识符域是一个八位字节，用于请求和应答的匹配。如果请求包具有相同的源ip地址、源UDP端口号，并且在很短的一段时间内出现了相同的标识符，公话服务器就可以检测到重复的请求。3．长度长度域占有两个八位的字节。它表明了该包所包含的编码、标识符、长度、鉴权码以及属性域的总长度。在长度域限定的范围之外的八位字节必须作为填充字节，在接收时不予处理。如果RADIUS协议简介及应用内部公开▲本文中的所有信息归中兴通讯股份有限公司所有，未经允许，不得外传-3-包的实际长度小于长度域中给出的值，该包必须被直接丢弃。包的最小长度是20，最大长度是4095。4．鉴权码鉴权码域占有16个八位的字节。该域的值用来鉴权软交换、客户端和公话服务器之间的信息。服务器使用RADIUS的UDP数据包中的源IP以便知道该选择哪个共享密钥。1.3Radius消息交互流程radius服务器对用户的认证过程通常需要利用nas等设备的代理认证功能，radius客户端和radius服务器之间通过共享密钥认证相互间交互的消息，用户密码采用密文方式在网络上传输，增强了安全性。radius协议合并了认证和授权过程，即响应报文中携带了授权信息。基本交互步骤如下：1．用户输入用户名和口令；2．radius客户端根据获取的用户名和口令，向radius服务器发送认证请求包（access-request）。3．radius服务器将该用户信息与users数据库信息进行对比分析，如果认证成功，则将用户的权限信息以认证响应包（access-accept）发送给radius客户端；如果认证失败，则返回access-reject响应包。4．radius客户端根据接收到的认证结果接入/拒绝用户。如果可以接入用户，则radius客户端向radius服务器发送计费开始请求包，（accounting-request），status-type取值为start5．radius服务器返回计费开始响应包（accounting-response）；6．radius客户端向radius服务器发送计费停止请求包（accounting-request），status-type取值为stop；7．radius服务器返回计费结束响应包（accounting-response）。内部公开▲本文中的所有信息归中兴通讯股份有限公司所有，未经允许，不得外传-4-第2章Radius在ss上的应用宽带公用电话系统由软交换、公话服务器、营业座席、管理座席、IAD组成。既可以只设一个公话服务器，也可以设多个公话服务器。一个服务器可以管理一个以上的地方。服务器与SS之间采用Radius协议，认证端口为1812，计费端口1813。服务器与营业座席、管理座席之间的通信协议仿造Radius协议，增加自定义属性，公话服务器端口为9812，营业座席端口为9813，管理座席端口为9814。SoftSwitchRadius认证模块将拨入用户的认证信息（主叫号码、被叫号码、记帐卡号、密码等）封装成Radius协议规定的格式，发送到计费/认证中心的RADIUS服务器认证，若认证通过，则将Radius服务器返回的授权信息组织成可识别的形式，提供给相应的模块使用。RadiusServer返回“认证确认”（Access-Accept）或“认证拒绝”（Access-Reject）消息。如果是记帐卡业务，则还应返回最大可通话时长。SoftSwitchRadius计费模块将拨入用户的记帐信息（记帐卡号、上线时间、数据流量等）封装成Radius协议规定的格式，发送到RADIUS服务器。用于完成对用户计费。SoftSwitchRadius认证和计费模块还提供了失败重发以及可以使用多个备用Radius服务器，文件配置初试信息，同时使用多个不同类型AAA服务器的功能。宽带公话模块架构如下：A地宽带公话营业座席IADIADZXSS10SS1aRadius客户端软件模块宽带公话服务器宽带公话服务器Radius宽带公话管理座席宽带公话管理座席A地宽带公话营业座席IADIAD图2-1宽带公话模块架构RADIUS协议简介及应用内部公开▲本文中的所有信息归中兴通讯股份有限公司所有，未经允许，不得外传-5-在软交换上需要配置的数据：认证服务器：IP地址、端口、密钥等计费服务器：IP地址、端口、密钥等设置公话用户：设置预付费属性。