RADIUS认证Word下载.docx

RADIUS认证Word下载.docx

《RADIUS认证Word下载.docx》由会员分享，可在线阅读，更多相关《RADIUS认证Word下载.docx（19页珍藏版）》请在冰豆网上搜索。

CHAP

UNIXlogin

其它认证方法.

4）.可扩展协议

RADIUS处理的所有事务包括在Attribute-Length-Value3元组中.添加新属性不影响原有协议的执行.

2.RADIUS数据包格式

2.1.UDP数据包格式

0781516232431

+--------+--------+--------+--------+

|Source|Destination|

|Port|Port|

|||

|Length|Checksum|

|

|dataoctets...

+----------------...

2.2.RADIUS数据包格式描述

RADIUS数据包封装在UDP数据域中,要求UDP目的端口号为1812

0123

01234567890123456789012345678901

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

|Code|Identifier|Length|

||

|Authenticator|

|Attributes...

+-+-+-+-+-+-+-+-+-+-+-+-+-

Code

1Access-Request

2Access-Accept

3Access-Reject

4Accounting-Request

5Accounting-Response

11Access-Challenge

12Status-Server（experimental）

13Status-Client（experimental）

255Reserved

Identifier

一字节,用于标记请求与回应数据包的匹配

Length

两字节,用于说明数据包（Code+Identifier+Length+Authenticator+Attribute）总长度.实际长度小于说明长度的数据包将被丢弃;

两字节长度不够,在后面填充.20<

=Length<

=2^12.因此,还可填充至多2^4个字节的长度.

Authenticator

十六字节,用于认证来自RADIUSserver的回答.

RequestAuthenticator

（在Acccess-Request,Accounting-Request中的Authenticator叫做RequestAuthenticator）

十六字节随机数,必须满足唯一性避免攻击者中途应答;

满足随机性避免攻击者伪装成目标服务器.RADIUS不能避免实时主动窃听.

Identifier值改变时,RequestAuth值需要重新生成.

ResponseAuthenticator

（在Acccess-Accept,Access-Challenge,Access-Reply,

Accounting-Response中的Authenticator叫做ResponseAuthenticator）

ResponseAuth=MD5（Code+ID+[Length]+RequestAuth+Attributes+secret）

secret为共享秘密,RADIUSServer使用RADIUS的UDP数据包中的源IP以便知道该选择哪个共享秘密.

Attributes

许多属性有多个实例,这种情况需要保留同类属性的不同顺序,不同类属性的顺序不必保留.

3.数据包类型

数据包类型由Code域定义.以下就Access-Request,Access-Accept,Access-Reject,Access-Challenge四种类型的数据包进行说明.

3.1.Access-Request

该Access-Request发送到RADIUSServer以决定是否允许用户访问NAS,是否为用户提供特定的服务

RADIUSServer收到来自有效NAS的Access-Request必须想对方传送应答信息.

Access-Request=User-Name

+[NAS-IP-Address,NAS-Identifier]

+[User-Password,CHAP-Password]

+（NAS-Port,NAS-Port-Type）

1forAccess-Request.

一旦Attributes改变,或收到有效的应答,Identifier必须改变.在重传中Identifier不得改变.

RequestAuthenticator值随Identifier改变而改变.

3.2.Access-Accept

该数据包由RADIUSserver发送,用于提供向用户发送服务所必须的配置信息.

Access-Accept的Identifier与Access-Request的Identifier相匹配,且ResponseAuthenticator必须正确,Access-Accept才视为有效,否则将被丢弃

|ResponseAuthenticator|

3.3.Access-Reject

RADIUSServer收到的Access-Request有任何Attribute不能接受,RADIUSServer必须发送Access-Reject（包括一个或多个Reply-Message属性实例）.

3.4.Access-Challenge

RADIUSServer希望向用户提供Challenge以便得到ResponseRADIUSServer须发送Access-Challenge（包括一个或多个Reply-Message属性实例,可以包括一个State属性）

收到的Access-Challenge中,Identifier须与Access-Request相应域匹配且ResponseAuthenticator域正确,否则将被丢弃.

如果NAS不支持Challenge/Response机制,将把Access-Challenge视为Access-Reject.NAS支持Challenge/Response机制,收到有效的Access-Challenge后将重发新的Access-Request

*Access-Request=…

+*ID

+*RequestAuthenticator

+*User-Password=Response由用户提供且加密

+[StateAttribute]

*表示与原始Access-Request不同的值

如果NAS支持PAP,可以向拨入用户提供Reply-Message以获得用户Response（包括*ID,*RequestAuthenticator,*User-Password）

4.操作

使用RADIUS管理用户访问（进行用户认证和授权）,NAS首先必须保证对用户是可访问的（包括对FramedProtocol用户在物理层的连接和对上层用户在网络层的连接准备）

NAS必须进行RADIUS配置.使用RADIUS进行认证的NAS须作如下配置:

接收并识别用户请求或RAS数据包类型

正确提取用户或RAS数据包信息

产生并填充随机数

管理共享secret（包括与CHAP用户的共享secret）

MD5调用

处理用户口令（包括普通用户口令,PAP口令,CHAP口令和Challenge口令）

校验RAS数据包的有效性（ResponseAuthenticator属性提供）

校验RAS响应数据包的一致性

提供使用CHAP的Challenge

正确发送数据包

RAS也要进行相应认证配置,包括:

管理用户数据库（用户名,口令,NAS标记,共享secret）

接收并识别NAS数据包类型

正确提取NAS数据包信息

校验用户身份（包括普通用户口令,PAP口令,CHAP口令和Challenge口令）

产生Challenge

标记响应数据包的一致性

4.1.操作流程

说明:

u:

代表user

C:

代表Client（NAS）/RADIUS

S:

代表RADIUSServer

userinfousername+password+…

Access-Requestusername+MD5（password）/Response+[ClientID+portID+…]

Challenge/Access-Challengerandomnumber

Access-Rejectservicetype（PPP,SLIP,LoginUser…）

+configurationinfo（IPaddree,subnet,MTU,desiredprotocol）

4.2.Challenge/Response机制

在Challenge/Response认证中,用户得到的是一个随机数,要求对该随机数进行计算并返回结果,用户需要有相关应用程序和密钥.

Challenge值（在Access-Challenge中提供）为随机数或按适当基和步长产生的伪随机数（通常由外部机器产生）.Access-Challenge中应包括Reply-Message属性用于向用户作出提示.

4.3.与PAP,CHAP的共同工作

4.3.1.PPP认证和阶段分析

阶段示意图

1）.外部事件表明物理层就绪,UP事件使LCP有限自动机进入建立链接阶段

2）.交换Configure数据包,LCP进入OPENED状态,转向认证阶段（如果申请认证）

NCP阶段或认证阶段收到认证请求（Configure-Request）将回到该阶段

3）.认证阶段:

包括LCP,认证协议,链接质量监视数据包

4）.NCP阶段:

NCP进入OPEN状态

5）.链接终止阶段

a）.PPP的封装格式:

+----------+-------------+---------+

|Protocol|Information|Padding|

|8/16bits|*|*|

Protocol域:

0***~3***:

网络层协议的数据包

4***~7***:

与NCPs无关的处理lowvolumetraffic的协议数据包

8***~b***:

与NCPs有关的数据包

c***~f***:

与链路层协议（如LCP）有关的数据包

Information域:

PAP,CHAP数据包等

b）.LCP格式:

|Data/Option...

+-+-+-+-+

Code:

1Configure-Request

2Configure-Ack

3Configure-Nak

4Configure-Reject

5Terminate-Request

6Terminate-Ack

7Code-Reject

8Protocol-Reject

9Echo-Request

10Echo-Reply

11Discard-Request

c）LCP选项格式:

01

01234567890123456789

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

|Type|Length|Data...

Type:

0RESERVED

1Maximum-Receive-Unit

3Authentication-Protocol

4Quality-Protocol

5Magic-Number

7Protocol-Field-Compression

8Address-and-Control-Field-Compression

d）认证选项格式:

|Type|Length|Authentication-Protocol|

|Data...

Type=3

Length>

=4

Authentication-Protocol

c023PasswordAuthenticationProtocol

c223ChallengeHandshakeAuthenticationProtocol

4.3.2.PAP

PAP（PasswordAuthenticationProtocol）使用简单的2路握手办法为用户建立身份,

在链路建立基础上进行.

口令在传输中是透明的.PAP可以在允许用纯文本口令注册远程主机的情况中使用.

1）.PAP数据包封装在PPP的Information域中

2）.认证协议格式:

Code

1Authenticate-Request

2Authenticate-Ack

3Authenticate-Nak

|Peer-IDLength|Peer-Id...

+-+-+-+-+-+-+-+-+-+-+-+-+

|Passwd-Length|Password...

+-+-+-+-+-+-+-+-+-+-+-+-+-+

1Authenticate-Request.

4.3.3.CHAP

CHAP（ChallengeHandshakeAuthenticationProtocol）使用3路握手检查用户身份,在链路建立基础上进行且提出随时认证.

1）.3路握手:

Challenge（A）Response（p）Success/Failure（A）（p）

A:

Authenticatorp:

peer

2）.Challenge/Response:

Response=MD5（Identifier+”secret”+Callenge）

Identifier:

每发送一次数据包使用不同的Identifier值,回应数据包必须使用相同Identifier的值

Secret:

为共享秘密,由两端数据库纯文本形式提供,通过加密进行传送

Challenge:

必须满足:

唯一性和随机性以避免重传攻击和诱发响应（不能避免实时主动攻击）

3）.认证选项格式:

|Algorithm|

+-+-+-+-+-+-+-+-+

Length=5

c223（hex）forChallenge-HandshakeAuthenticationProtocol.

Algorithm

0-4unused（reserved）

5MD5

4）.CHAP数据包格式:

1Challenge

2Response

3Success

4Failure

|Value-Size|Value...

|Name...

+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+

1Challenge;

2Response.

Name:

防止多种认证系统只用一个秘密,Name用作关键字提供基于不同认证的秘密

4.3.4.对PAP用户的RADIUS认证

Access-Requuest数据包:

Us