欢迎来到天天文库
浏览记录
ID:33475866
大小:1.05 MB
页数:50页
时间:2018-05-25
《华为技术培训教程ba000004radius协议课件》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、BA000004Radius协议掌握Radius协议的基本概念掌握Radius协议的工作过程掌握Radius包各个字段的含义学习目标标准RADIUS协议RADIUS协议相关概念概述内容提要NAS设备与RadiusServer对接实例概述标准RADIUS协议RADIUS协议相关概念概述内容提要NAS设备与RadiusServer对接实例Radius:RemoteAuthenticationDialInUserService客户端负责将认证等信息按照协议的格式通过UDP包送到服务器,同时对服务器返回的信息解释处理。认证端口号:1645/1812
2、计费端口号:1646/1813Radius的作用RADIUS的客户端通常运行于接入服务器(NAS)上,RADIUS服务器通常运行于一台工作站上,一个RADIUS服务器可以同时支持多个RADIUS客户(NAS)。RADIUS的服务器上存放着大量的信息,接入服务器(NAS)无须保存这些信息,而是通过RADUIS协议对这些信息进行访问。这些信息的集中统一的保存,使得管理更加方便,而且更加安全。RADIUS服务器可以作为一个代理,以客户的身份同其他的RADIUS服务器或者其他类型的验证服务器进行通信。用户的漫游通常就是通过RADIUS代理实现的。C
3、lient/Server结构NASRadius认证计费过程MD5是一个算法,它的输入是一段内存中的数值,输出是一个16字节的摘要,它的运算是单向的,即从输出推算不出输入。不好意思,我只会把您的手表变成兔子,变不回去了……MD5MD5算法包加密16字节的验证字(authenticator)用于对包进行签名口令加密MD5算法对口令进行加密网络安全称共享密钥(key)为Key;16字节的认证请求验证字(Authenticator)为Auth;将口令(Password)分割成16字节一段(最后一段不足16字节时用0补齐),为p1、p2等;加密后的
4、口令块为c(1)、c(2)等。下面运算中b1、b2为中间值:b1=MD5(Key+Auth)c(1)=p1xorb1b2=MD5(Key+c(1))c(2)=p2xorb2………………bi=MD5(Key+c(i-1))c(i)=pixorbi那么加密后的口令为c(1)+c(2)+...+c(i)。口令的加密包的签名与加密:包的签名指的是RADIUS包中16字节的Authenticator,我们称其为“验证字”。认证请求包RequestAuth=Authenticator,认证请求包的验证字是一个不可预测的16字节随机数。这个随机数将用于口
5、令的加密。认证响应包ResponseAuth=MD5(Code+ID+Length+Authenticator+Attributes+Key)。记费请求包RequestAcct=MD5(Code+ID+Length+16ZeroOctets+Attributes+Key)。记费响应包ResponseAcct=MD5(Code+ID+Length+RequestAcct+Attributes+Key)。包的签名与加密我查……我验……本地认证——PAPSecretPassword=MD5(ChapID+Password+challenge)我查
6、……我算……我验……本地认证——CHAP如果用户配置了RADIUS验证,其PAP验证过程如下:采用PAP验证:用户以明文的形式把用户名和他的密码传递给NAS。NAS把用户名和加密过的密码放到验证请求包的相应属性中传递给RADIUS服务器,根据RADIUS服务器的返回结果来决定是否允许用户上网。用户名、密码放行远端PAP认证Secretpassword=PasswordXORMD5(Challenge+Key)(Challenge就是Radius报文中的Authenticator)我查……我算……我验……远端认证(Radius)——PAP远端
7、PAP认证Secretpassword=MD5(ChapID+Password+challenge)我查……我算……我验……远端认证(Radius)——CHAP远端CHAP认证Radius是一种流行的AAA协议,同时其采用的是UDP协议传输模式,AAA协议在协议栈中位置如下:Radius协议Radius协议在协议栈中的位置为什么使用UDP?NAS和RADIUS服务器之间传递的一般是几十至上百个字节长度的数据,用户可以容忍几秒到十几秒的验证等待时间。当处理大量用户时服务器端采用多线程,UDP简化了服务器端的实现过程。TCP是必须成功建立连接后
8、才能进行数据传输的,这种方式在有大量用户使用的情况下实时性不好。当向主用服务器发送请求失败后,还要必须向备用的服务器发送请求。于是RADIUS要有重传机制和备用服务器机制,它所采
此文档下载收益归作者所有