网络集成-Radius原理与应用培训-PPT课件.ppt
《网络集成-Radius原理与应用培训-PPT课件.ppt》由会员分享,可在线阅读,更多相关《网络集成-Radius原理与应用培训-PPT课件.ppt(76页珍藏版)》请在咨信网上搜索。
1、1网络技术培训之 宽带产品技术支持部 2002/3Radius 原理与应用2一、基 本 概 念二、RADIUS协议 概述三、RADIUS 主要特性四、RADIUS协议属性和Debug信息3一、基 本 概 念基本概念4 AAA Authentication、Authorization、Accounting 验证、授权、记费 PAP Password Authentication Protocol 口令验证协议 CHAP Challenge-Handshake Authentication Protocol 盘问握手验证协议 NAS Network Access Server 网络接入服务器 RA
2、DIUS Remote Authentication Dial In User Service 远程验证拨入用户服务(拨入用户的远程验证服务)TCP Transmission Control Protocol 传输控制协议 UDP User Datagram Protocol 用户数据报协议名词解释5 AAA可以通过两种途径实现:1、在NAS端进行认证、授权和计费;2、通过协议进行远程的认证、授权和记帐。实现AAA的协议有RADIUS、Kerberos、TACACS+等(我们使用的是RADIUS协议)。AAA实现途径6 RADIUS 是Remote Authentication Dial In
3、 User Service 的简称,MA5200、ISN8850和MD5500上目前使用RADIUS完成对PPP用户的认证、授权和计费。当用户想要通过某个网络(如电话网)与 NAS建立连接从而获得访问其他网络的权利时,NAS可以选择在NAS上进行本地认证计费,或把用户信息传递给RADIUS服务器,由Radius进行认证计费;RADIUS 协议规定了NAS与RADIUS 服务器之间如何传递用户信息和记账信息;RADIUS服务器负责接收用户的连接请求,完成验证,并把传递服务给用户所需的配置信息返回给NAS。AAA实现途径7 PAP(Password Authentication Protocol)
4、是密码验证协议的简称,是认证协议的一种。用户以明文的形式把用户名和他的密码传递给NAS,NAS根据用户名在NAS端查找本地数据库,如果存在相同的用户名和密码表明验证通过,否则表明验证未通过。本地认证PAP 本地(NAS)验证PAP方式:我查我验8 CHAP(Challenge Handshake Authentication Protocol)是查询握手验证协议的简称,是我们使用的另一种认证协议。本地(NAS)验证CHAP方式:本地认证CHAPSecret Password=MD5(Chap ID+Password+challenge)我查我算我验9 当用户请求上网时,服务器产生一个16字节的
5、随机码(challenge)给用户(同时还有一个ID号,本地路由器的 host name)。用户端得到这个包后使用自己独用的设备或软件对传来的各域进行加密,生成一个Secret Password传给NAS。NAS根据用户名查找自己本地的数据库,得到和用户端进行加密所用的一样的密码,然后根据原来的16字节的随机码进行加密,将其结果与Secret Password作比较,如果相同表明验证通过,如果不相同表明验证失败。本地认证CHAPSecret Password=MD5(Chap ID+Password+challenge)10 远端(Radius)验证PAP方式:远端认证PAPSecret pa
6、ssword=Password XOR MD5(Challenge Key)(Challenge就是Radius报文中的Authenticator)我查我算我验11 远端(Radius)验证CHAP方式:远端认证CHAPSecret password=MD5(Chap ID+Password+challenge)我查我算我验12二、RADIUS协议 概述13 Raidus(Remote Authentication Dial In User Service)是对远端拨号接入用户的认证服务,Radius服务分客户端和服务器端,通常我们公司的接入产品支持的是客户端,负责将认证等信息按照协议的格式通
7、过UDP包送到服务器,同时对服务器返回的信息解释处理。通常对Radius协议的服务端口号是1645(认证)、1646(计费)或1812(认证)、1813(计费)。14Radius协议包结构15各个域的解释:1、Code:包类型;1字节;指示RADIUS包的类型。2、Identifier:包标识;1字节;用于匹配请求包和响应包,同一组请求包和响应包的Identifier应相同。3、Length:包长度;2字节;整个包的长度。4、Authenticator:验证字;16字节;用于对包进行签名。Radius协议包各个域解释161)Code:包的类型包类型占1个字节,定义如下:1 Access-Req
8、uest请求认证过程 2 Access-Accept认证响应过程 3 Access-Reject认证拒绝过程 4 Accounting-Request请求计费过程 5 Accounting-Response计费响应过程 *12 Status-Server(experimental)实验的 *13 Status-Client(experimental)实验的 *255 Reserved保留的Radius协议包:code域17Radius Server与NAS在全网中的位置NAS18NASRadius认证计费过程191、用户拨入后(1),所拨入的设备(比如NAS)将拨入用户的用户的信息(比如用户名
9、、口令、所占用的端口等等)打包向RADIUS服务器发送(2)。2、如果该用户是一个合法的用户,那么Radius告诉NAS该用户可以上网,同时传回该用户的配置参数(3);否则,Radius反馈NAS该用户非法的信息(3)。3、如果该用户合法,MAS就根据从RADIUS服务器传回的配置参数配置用户(4)。如果用户非法,NAS反馈给用户出错信息并断开该用户连接(4)。4、如果用户可以访问网络,RADIUS客户要向RADIUS服务器发送一个记费请求包表明对该用户已经开始记费(5),RADIUS服务器收到并成功记录该请求包后要给予响应(6)。5、当用户断开连接时(连接也可以由接入服务器断开)(7),RA
10、DIUS客户向RADIUS服务器发送一个记费停止请求包,其中包含用户上网所使用网络资源的统计信息(上网时长、进/出的字节/包数等)(8),RADIUS服务器收到并成功记录该请求包后要给予响应(9)。NASRadius认证计费过程20NASRadius认证计费过程1、RADIUS的通信是用“请求-响应”方式进行的,即:客户发送一个请求包,服务器收到包后给予响应。2、RADIUS协议采用的是UDP协议,数据包可能会在网络上丢失,如果客户没有收到响应,那么可以重新发送该请求包。多次发送之后如果仍然收不到响应,RADIUS客户可以向备用的RADIUS服务器发送请求包。212)Identifier:包标
11、识 包标识,用以匹配请求包和响应包。该字段的取值范围为0255;协议规定:1、在任何时间,发给同一个RADIUS服务器的不同包的Identifier域不能相同,如果出现相同的情况,RADIUS将认为后一个包是前一个包的拷贝而不对其进行处理。2、Radius针对某个请求包的响应包应与该请求包在Identifier上相匹配(相同)。Radius协议包:Identifier域223)Length:包长度整个包长度,包括Code,Identifier,Length,Authenticator,Attributes域的长度。Radius协议包:Length域234)Authenticator:验证字 该
12、验证字分为两种:1、请求验证字-Request Authenticator 用在请求报文中,必须为全局唯一的随机值。2、响应验证字-Response Authenticator 用在响应报文中,用于鉴别响应报文的合法性。响应验证字MD5(Code+ID+Length+请求验证字+Attributes+Key)Radius协议包:Authenticator域加密以后你还能认出我来吗?245)Attributes:属性 Radius协议包:Authenticator域01 0a 62 65 6e 6c 61 64 65 6eAttribute(1)属性长度为10字节b e n l a d e n上
13、网用户:本拉登上网地点:阿富汗25三、RADIUS 主要特性Radius协议主要特性26 Radius是一种流行的AAA协议,同时其采用的是UDP协议传输模式,AAA协议在协议栈中位置如下:Radius协议在协议栈中的位置Radius协议271)为什么使用UDP?1、NAS和RADIUS服务器之间传递的一般是几十至上百个字节长度的数据,用户可以容忍几秒到十几秒的验证等待时间。当处理大量用户时服务器端采用多线程,UDP简化了服务器端的实现过程。2、TCP是必须成功建立连接后才能进行数据传输的,这种方式在有大量用户使用的情况下实时性不好。3、当向主用服务器发送请求失败后,还要必须向备用的服务器发送
14、请求。于是RADIUS要有重传机制和备用服务器机制,它所采用的定时,TCP不能很好的满足。Radius协议选择UDP作为传输层协议282)Client/Server结构RADIUS采用客户/服务器(Client/Server)结构:1、RADIUS的客户端通常运行于接入服务器(NAS)上,RADIUS服务器通常运行于一台工作站上,一个RADIUS服务器可以同时支持多个RADIUS客户(NAS)。2、RADIUS的服务器上存放着大量的信息,接入服务器(NAS)无须保存这些信息,而是通过RADUIS协议对这些信息进行访问。这些信息的集中统一的保存,使得管理更加方便,而且更加安全。3、RADIUS服
15、务器可以作为一个代理,以客户的身份同其他的RADIUS服务器或者其他类型的验证服务器进行通信。用户的漫游通常就是通过RADIUS代理实现的。NAS VS RadiusClient VS Server293)网络安全RADIUS协议的加密是使用MD5加密算法进行的,在RADIUS的客户端(NAS)和服务器端(Radius Server)保存了一个密钥(key),RADIUS协议利用这个密钥使用MD5算法对RADIUS中的数据进行加密处理。密钥不会在网络上传送。RADIUS的加密主要体现在两方面:1、包加密:在RADIUS包中,有16字节的验证字(authenticator)用于对包进行签名,收到
16、RADIUS包的一方要查看该签名的正确性。如果包的签名不正确,那么该包将被丢弃,对包进行签名时使用的也是MD5算法(利用密钥),没有密钥的人是不能构造出该签名的。2、口令加密:在认证用户时,用户的口令不会在网上明文传送,而是使用了MD5算法对口令进行加密。没有密钥的人是无法正确加密口令的,也无法正确地对加密过的口令进行解密。网络安全安全第一安全第一30 MD5是一个算法,它的输入是一段内存,输出是一个16字节的摘要,它的运算是单向的,即从输出推算不出输入。MD5算法不好意思,我只会把您的手表变成兔子,变不回去了31 包的签名与加密:包的签名指的是RADIUS包中16字节的Authenticat
17、or,我们称其为“验证字”。认证请求包RequestAuth=Authenticator,认证请求包的验证字是一个不可预测的16字节随机数。这个随机数将用于口令的加密。认证响应包ResponseAuth=MD5(Code+ID+Length+Authenticator+Attributes+Key)。记费请求包RequestAcct=MD5(Code+ID+Length+16ZeroOctets+Attributes+Key)。记费响应包ResponseAcct=MD5(Code+ID+Length+RequestAcct+Attributes+Key)。包的签名与加密32口令的加密:称共享密
18、钥(key)为Key;16字节的认证请求验证字(Authenticator)为Auth;将口令(Password)分割成16字节一段(最后一段不足16字节时用0补齐),为p1、p2等;加密后的口令块为c(1)、c(2)等。下面运算中b1、b2为中间值:b1=MD5(Key+Auth)c(1)=p1 xor b1 b2=MD5(Key+c(1)c(2)=p2 xor b2 bi=MD5(Key+c(i-1)c(i)=pi xor bi那么加密后的口令为c(1)+c(2)+.+c(i)。上面是协议规定的算法,也有的RADIUS服务器为了实现起来简单,修改了上述的算法,具体的讲,b1的算法同上,但b
19、i=b2=b1(i=1),其他运算不变。当用户的口令长度不超过16字节时,两种算法的结果是一样的。口令的加密33 远端(Radius)验证PAP方式:远端认证PAPSecret password=Password XOR MD5(Challenge Key)(Challenge就是Radius报文中的Authenticator)我查我算我验34如果用户配置了RADIUS验证,其PAP验证过程如下:采用PAP验证:用户以明文的形式把用户名和他的密码传递给NAS。NAS把用户名和加密过的密码放到验证请求包的相应属性中传递给RADIUS服务器,根据RADIUS服务器的返回结果来决定是否允许用户上网。
20、远端认证PAP用户名、密码放行35远端认证PAP36Code=1 (Access-Request)ID=0Length=56Request Authenticator=16 octet random numberAttributes:User-Name=nemo User-Password=16 octets of Password padded at end with nulls,XORed with MD5(key|Request Authenticator)NAS-IP-Address=192.168.1.16 NAS-Port=3 例1:用户telnet到特定的主机例1:1)NAS:1
21、92.168.1.16 发送 Access-Request UDP 数据包到 RADIUS Server。User-name :nemo Port logging in :337Code=2 (Access-Accept)ID=0 (same as in Access-Request)Length=38Response Authenticator=16-octet MD-5 checksum of the code(2),id(0),Length(38),the Request Authenticator from above,the attributes in this reply,and
22、the shared secretAttributes:Service-Type=Login-User Login-Service=Telnet Login-Host=192.168.1.32)RADIUS server 验证了 nemo,并且发送了 Access-Accept UDP 数据包到接入服务器,告诉把用户 nemo 登陆到主机 192.168.1.3.例1:用户telnet到特定的主机38 远端(Radius)验证CHAP方式:远端认证CHAPSecret password=MD5(Chap ID+Password+challenge)我查我算我验39 采用CHAP验证:当用户请求
23、上网时,NAS产生一个16字节的随机码给用户(同时还有一个ID号,本地路由器的 host name)。用户端得到这个包后使用自己独有的设备或软件对传来的各域进行加密,生成一个response传给NAS,NAS把传回来的CHAP ID和Response分别作为用户名和密码,并把原来的 16字节随机码传给RADIUS服务器。RADIUS根据用户名在服务器端查找数据库,得到和用户端进行加密所用的一样的密码,然后根据传来的16字节的随机码进行加密,将其结果与传来的Password作比较,如果相同表明验证通过,如果不相同表明验证失败。另外如果验证成功,RADIUS服务器同样也可以生成一个 16字节的随机
24、码对用户进行询问(Challenge)该方式暂不支持。如果用户配置了RADIUS验证,其CHAP验证过程如下:远端认证CHAP40远端认证CHAP41例2:用户端进行CHAP验证Code=1 (Access-Request)ID=1Length=71Request Authenticator=16 octet random number also used as CHAP challengeAttributes:User-Name=floppy CHAP-Password=1 octet CHAP ID followed by 16 octet CHAP response NAS-IP-Add
25、ress=192.168.1.16 NAS-Port=20 Service-Type=Framed-User Framed-Protocol=PPP例2:接入服务器 192.168.1.16 发送一个 Access-Request UDP 数据包到 RADIUS Server。User-name :floppy Port logging in:20 Protocol :PPP接入服务器发送的数据包包含属性Service-Type=Framed user,Framed-Protocol=PPP暗示 RADIUS server 这个用户要使用PPP服务。42Code=2 (Access-Accep
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络 集成 Radius 原理 应用 培训 PPT 课件
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【可****】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【可****】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。