Radius协议原理与应用-20020404-C
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
资料编码产品名称宽带产品使用对象工程师/合作方工程师/用户产品版本所有版本编写部门固网宽带技术支持部资料版本V1.0
Radius协议原理与应用
拟制:尹启龙日期:2002-02-02 审核:陈锐日期:2005-03-07 审核:日期:
批准:任远日期:2005-03-07
华为技术有限公司
版权所有侵权必究
目录
第1章 AAA和RADIUS介绍 (1)
第2章 RADIUS协议 (3)
2.1 引论 (3)
2.2 客户服务器模式 (3)
2.3 用户<->NAS<->Radius业务流程说明 (4)
2.4 网络安全 (4)
2.4.1 包签名: (5)
2.4.2 口令加密: (5)
2.5 AAA在协议栈中的位置 (8)
2.6 良好的可扩展性 (8)
第3章标准RADIUS协议 (9)
3.1 标准Radius协议包结构 (9)
3.2 常用标准Radius属性说明 (12)
3.3 华为公司宽带产品Radius标准属性 (13)
第4章华为公司的Radius扩展协议——Radius+ v1.1 (16)
4.1 Radius+简介 (16)
4.1.1 扩展Radius+的目的 (16)
4.1.2 可靠性、安全性与Radius相同 (16)
4.2 Radius+报文 (16)
4.2.1 Radius+认证报文 (16)
4.2.2 Radius+计费报文 (21)
4.2.3 Radius+新增报文 (25)
第5章华为NAS设备与Radius Server对接应用实例 (29)
5.1 组网图 (29)
5.2 用户认证计费应用实例分析 (29)
5.2.1 合法用户 (29)
5.2.2 非法用户 (33)
修订记录
日期修订版本描述作者2002-02-02 V1.0 初稿完成尹启龙
关键词:
RADIUS AAA PAP CHAP PPP NAS TCP UDP。
摘要:
Radius是Remote Authentication Dial In User Service的简称,即远程验证拨入用户服务。当用户想要通过某个网络(如电话网)与NAS(网络接入服务器)建立连接从而获得访问其他网络的权利时,NAS可以选择在NAS上进行本地认证计费,或把用户信息传递给RADIUS服务器,由Radius进行认证计费;RADIUS 协议规定了NAS与RADIUS 服务器之间如何传递用户信息和记账信息;RADIUS服务器负责接收用户的连接请求,完成验证,并把传递服务给用户所需的配置信息返回给NAS。
本文即针对Radius协议的基本原理和应用做详细介绍。
缩略语清单:
RADIUS:Remote Authentication Dial-In User Service ——远程验证拨入用户服务,一种实现远程AAA的协议。
AAA:Authentication,Authorization,and Accounting ——验证、授权、计费。
PAP:Password Authentication Protocol——口令验证协议。
CHAP:Challenge-Handshake Authentication Protocol——挑战握手验证协议。
PPP: Point-to-Point Protocol——点到点协议,一种链路层协议。
NAS:Network Access Server——网络接入服务器。
TCP:Transmission Control Protocol——传输控制协议。
UDP:User Datagram Protocol——用户数据报协议。
Radius协议原理与应用Radius协议原理与应用文档密级:内部公开第1章 AAA和RADIUS介绍
图1 PSTN,ISDN用户通过NAS上网示意图
如图:用户 lqz, lst 要求得到某些服务(如SLIP, PPP,telnet),但必须通过NAS, 由 NAS依据某种顺序与所连服务器通信从而进行验证。
注:lst 通过拨号进入NAS, 然后NAS按配置好的验证方式(如PPP PAP, CHAP 等)要求lst输入用户名, 密码等信息。 lst 端出现提示,用户按提示输入。通过与NAS 的连接,NAS得到这些信息。而后,NAS把这些信息传递给响应验证或记账的服务器,并根据服务器的响应来决定用户是否可以获得他所要求的服务。
AAA是验证,授权和记账(Authentication,Authorization,and Accounting)的简称。它是运行于NAS上的客户端程序。它提供了一个用来对验证,授权和记账这三种安全功能进行配置的一致的框架。AAA的配置实际上是对网络安全的一种管理。这里的网络安全主要指访问控制。包括哪些用户可以访问网络服务器?具有访问权的用户可以得到哪些服务?如何对正在使用网络资源的用户进行记账?下面简单介绍一下验证, 授权,记账的作用。
验证(Authentication): 验证用户是否可以获得访问权。可以选择使用RADIUS协议。
授权(Authorization) :授权用户可以使用哪些服务。
Radius协议原理与应用Radius协议原理与应用文档密级:内部公开记账(Accounting) :记录用户使用网络资源的情况。
AAA的实现可采用 RADIUS 协议。 RADIUS 是Remote Authentication Dial In User Service 的简称,用来管理使用串口和调制解调器的大量分散用户。
网络接入服务器简称NAS(Network Access Server) 。当用户想要通过某个网络(如电话网)与 NAS建立连接从而获得访问其他网络的权利(或取得使用某些网络资源的权利)时, NAS起到了过问用户(或这个连接)的作用。NAS负责把用户的验证,授权,记账信息传递给RADIUS服务器。 RADIUS 协议规定了NAS与RADIUS 服务器之间如何传递用户信息和记账信息,即两者之间的通信规则。
RADIUS服务器负责接收用户的连接请求,完成验证,并把传递服务给用户所需的配置信息返回给NAS。用户获得授权后,在其正常上线、在线和下线过程中,Radius服务器还完成对用户帐号计费的功能。