Radius协议深入ppt
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Radius协议深入
-
学习目标
➢ 掌握Radius协议的基本概念 ➢ 掌握Radius协议的工作过程 ➢ 掌握Radius包各个字段的含义 ➢了解华为Radius协议扩展
-
内容提要
基本概念 标准Radius协议 NAS设备与Radius Server对接实例 Radius协议扩展和portal协议介绍
本地认证——PAP, 这种认证方法是明文方式。 我查…… 我验……
-
PC与NAS之间的数据安全性之本地 CHAP认证
本地认证——CHAP, 采用了MD5加密 Secret Password = MD5(Chap ID + Password + challenge)
我查…… 我算…… 我验……
-
远端PAP认证的安全性如何?
-
NASRadius认证计费过程
User
用户上线需求认证 config user
用户下线 config user
Radius
BAS
server
Access-Request(code=1) Access-Accept(2)/Access-Reject(3) Accounting-Request(4/start) Accounting-Response(5)
-
Radius Server与NAS在全网中的
位置
R a d iu s
MA5100
NAS
100M/ 1000M
POS
FE GE
2403 VLAN1
... ...
PC
100M
.V.L. A.N.2.
ADSL
2403
... ...
24× 10Base_T
-
LAN SW
PC
Radius的作用
Radius:Remote Authentication Dial In User Service 客户端负责将认证等信息按照协议的格式通过UDP包送到服务器, 同时对服务器返回的信息解释处理。
(authenticator)用于对包进行签名,协议中使用MD5对 这个字段进行加密,确认包的合法性(其余字段未加密) 2. 口令加密 在包合法的情况下,对于携带口令的报文,要使用MD5算法 对口令字段的内容加密
-
MD5的特点
MD5是一个算法,它的运算是单向的,即从输出推算不出输入。
不好意思,我只会把您的 手表变成兔子,变不回去
b1 = MD5(Key + Auth)
c(1) = p1 xor b1
b2 = MD5(Key + c(1))
c(2) = p2 xor
b2
…… …… ……
bi = MD5(Key+ c(i-1))
c(i) = pi xor
bi
那么加密后的口令为c(1)+c(2)+..-.+c(i)。
PC与NAS之间的数据安全性之本地 PAP认证
用 户
NAS( Radius客 户 端 ) Radius服 务 器
认证端口号:1645/ 1812 计费端口号:16- 46/1813
名词解释
AAA PAP CHAP NAS RADIUS TCP UDP
来自百度文库
Authentication、Authorization、Acc 验证、授权、记费
Password Authentication Prot 口令验证协议 Challenge-Handshake Authentication 盘问握手验证协议 Network Access Server 网络接入服务器 Remote Authentication Dial In User S
了……
-
包加密的具体过程
包的签名与加密: 包的签名指的是RADIUS包中16字节的Authenticator,我们称其为“验证字”。 认证请求包 RequestAuth=Authenticator,认证请求包的验证字是一个不可预测的16字节随 机数。这个随机数将用于口令的加密。 认证响应包 ResponseAuth = MD5(Code+ID+Length+Authenticator+Attributes+Key)。 记费请求包 RequestAcct = MD5(Code+ID+Length+16ZeroOctets+Attributes+Key)。 记费响应包 ResponseAcct =
远程验证拨入用户服务(拨入用户的远 Transmission Control Protoco 传输控制协议 User Datagram Protocol 用户数据报- 协议
Client/Server结构
1. RADIUS的客户端通常运行于接入服务器(NAS)上,RADIUS服 务器通常运行于一台工作站上,一个RADIUS服务器可以同时支 持多个RADIUS客户(NAS)。
上线过程
Accounting-Request(4/Interim-Update)
Accounting-Response(5)
实时计费
Accounting-Request(4/stop) Accounting-Response(5)
下线过程
-
NAS与radius服务器之间的数据安 全性
1. 包加密 2. 每个radius报文中都有16字节的验证字
如果用户配置了RADIUS验证,其PAP验证过程如下:
采用PAP验证:用户以明文的形式把用户名和他的密码传递给NAS。 NAS把用户名和加密过的密码放到验证请求包的相应属性中传递给 RADIUS服务器,根据RADIUS服务器的返回结果来决定是否允许用 户上网。
-
MD5(Code+ID+Length+RequestAcct+Attributes+Key)。
口令加密的具体过程
称共享密钥(key)为Key;16字节的认证请求验证字(Authenticator)为 Auth;将口令(Password)分割成16字节一段(最后一段不足16字节时用0 补齐),为p1、p2等;加密后的口令块为c(1)、c(2)等。下面运算中b1、 b2为中间值:
2. RADIUS的服务器上存放着大量的信息,接入服务器(NAS)无须 保存这些信息,而是通过RADUIS协议对这些信息进行访问。这 些信息的集中统一的保存,使得管理更加方便,而且更加安全。
3. RADIUS服务器可以作为一个代理,以客户的身份同其他的 RADIUS服务器或者其他类型的验证服务器进行通信。用户的漫 游通常就是通过RADIUS代理实现的。
-
学习目标
➢ 掌握Radius协议的基本概念 ➢ 掌握Radius协议的工作过程 ➢ 掌握Radius包各个字段的含义 ➢了解华为Radius协议扩展
-
内容提要
基本概念 标准Radius协议 NAS设备与Radius Server对接实例 Radius协议扩展和portal协议介绍
本地认证——PAP, 这种认证方法是明文方式。 我查…… 我验……
-
PC与NAS之间的数据安全性之本地 CHAP认证
本地认证——CHAP, 采用了MD5加密 Secret Password = MD5(Chap ID + Password + challenge)
我查…… 我算…… 我验……
-
远端PAP认证的安全性如何?
-
NASRadius认证计费过程
User
用户上线需求认证 config user
用户下线 config user
Radius
BAS
server
Access-Request(code=1) Access-Accept(2)/Access-Reject(3) Accounting-Request(4/start) Accounting-Response(5)
-
Radius Server与NAS在全网中的
位置
R a d iu s
MA5100
NAS
100M/ 1000M
POS
FE GE
2403 VLAN1
... ...
PC
100M
.V.L. A.N.2.
ADSL
2403
... ...
24× 10Base_T
-
LAN SW
PC
Radius的作用
Radius:Remote Authentication Dial In User Service 客户端负责将认证等信息按照协议的格式通过UDP包送到服务器, 同时对服务器返回的信息解释处理。
(authenticator)用于对包进行签名,协议中使用MD5对 这个字段进行加密,确认包的合法性(其余字段未加密) 2. 口令加密 在包合法的情况下,对于携带口令的报文,要使用MD5算法 对口令字段的内容加密
-
MD5的特点
MD5是一个算法,它的运算是单向的,即从输出推算不出输入。
不好意思,我只会把您的 手表变成兔子,变不回去
b1 = MD5(Key + Auth)
c(1) = p1 xor b1
b2 = MD5(Key + c(1))
c(2) = p2 xor
b2
…… …… ……
bi = MD5(Key+ c(i-1))
c(i) = pi xor
bi
那么加密后的口令为c(1)+c(2)+..-.+c(i)。
PC与NAS之间的数据安全性之本地 PAP认证
用 户
NAS( Radius客 户 端 ) Radius服 务 器
认证端口号:1645/ 1812 计费端口号:16- 46/1813
名词解释
AAA PAP CHAP NAS RADIUS TCP UDP
来自百度文库
Authentication、Authorization、Acc 验证、授权、记费
Password Authentication Prot 口令验证协议 Challenge-Handshake Authentication 盘问握手验证协议 Network Access Server 网络接入服务器 Remote Authentication Dial In User S
了……
-
包加密的具体过程
包的签名与加密: 包的签名指的是RADIUS包中16字节的Authenticator,我们称其为“验证字”。 认证请求包 RequestAuth=Authenticator,认证请求包的验证字是一个不可预测的16字节随 机数。这个随机数将用于口令的加密。 认证响应包 ResponseAuth = MD5(Code+ID+Length+Authenticator+Attributes+Key)。 记费请求包 RequestAcct = MD5(Code+ID+Length+16ZeroOctets+Attributes+Key)。 记费响应包 ResponseAcct =
远程验证拨入用户服务(拨入用户的远 Transmission Control Protoco 传输控制协议 User Datagram Protocol 用户数据报- 协议
Client/Server结构
1. RADIUS的客户端通常运行于接入服务器(NAS)上,RADIUS服 务器通常运行于一台工作站上,一个RADIUS服务器可以同时支 持多个RADIUS客户(NAS)。
上线过程
Accounting-Request(4/Interim-Update)
Accounting-Response(5)
实时计费
Accounting-Request(4/stop) Accounting-Response(5)
下线过程
-
NAS与radius服务器之间的数据安 全性
1. 包加密 2. 每个radius报文中都有16字节的验证字
如果用户配置了RADIUS验证,其PAP验证过程如下:
采用PAP验证:用户以明文的形式把用户名和他的密码传递给NAS。 NAS把用户名和加密过的密码放到验证请求包的相应属性中传递给 RADIUS服务器,根据RADIUS服务器的返回结果来决定是否允许用 户上网。
-
MD5(Code+ID+Length+RequestAcct+Attributes+Key)。
口令加密的具体过程
称共享密钥(key)为Key;16字节的认证请求验证字(Authenticator)为 Auth;将口令(Password)分割成16字节一段(最后一段不足16字节时用0 补齐),为p1、p2等;加密后的口令块为c(1)、c(2)等。下面运算中b1、 b2为中间值:
2. RADIUS的服务器上存放着大量的信息,接入服务器(NAS)无须 保存这些信息,而是通过RADUIS协议对这些信息进行访问。这 些信息的集中统一的保存,使得管理更加方便,而且更加安全。
3. RADIUS服务器可以作为一个代理,以客户的身份同其他的 RADIUS服务器或者其他类型的验证服务器进行通信。用户的漫 游通常就是通过RADIUS代理实现的。