radius 主要特性（三）.pptVIP

ZXUAS 基础知识RADIUS协议 V1.1 目 录 Radius C/S网络结构介绍 Radius协议报文结构 Radius协议的特性 Radius认证流程 课程目标 了解Radius协议基本工作原理，理解Radius认证流程。 协议介绍－－RADIUS Radius Raidus（Remote Authentication Dial In User Service）是对远端拨号接入用户的认证服务，Radius服务分客户端和服务器端，通常接入产品支持的是客户端，负责将认证等信息按照协议的格式通过UDP包送到服务器，同时对服务器返回的信息解释处理。 是一个被广泛使用的AAA（Authentication认证、Authorization授权、和Accounting记费）协议。 通常对Radius协议的服务端口号是1645（认证）、1646（计费）或1812（认证）、1813（计费）。 RADIUS Server在宽带网络中的位置 RADIUS协议包报文格式 Radius 协议包：code 域 1）Code Code：包类型占1个字节，定义如下： 1 Access-Request——请求认证过程 2 Access-Accept——认证响应过程 3 Access-Reject——认证拒绝过程 4 Accounting-Request——请求计费过程 5 Accounting-Response——计费响应过程 NAS－Radius 认证计费过程 NAS－Radius 认证计费过程 Radius 协议包： Identifier 域 2）Identifier ：包标识 包标识，用以匹配请求包和响应包。 该字段的取值范围为0～255； 协议规定： 1、在任何时间，发给同一个RADIUS服务器的不同包的 Identifier域不能相同，如果出现相同的情况，RADIUS将认为 后一个包是前一个包的拷贝而不对其进行处理。 2、Radius针对某个请求包的响应包应与该请求包在 Identifier上相匹配（相同）。 Radius 协议包： Length 域 3）Length：包长度 整个包长度; 包括:Code,Identifier,Length,Authenticator,Attributes 域的长度。 Radius 协议包： Authenticator 域 4）Authenticator：验证字 该验证字分为两种： 1、请求验证字---Request Authenticator用在请求报文中,必须为全局唯一的随机值。 2、响应验证字---Response Authenticator用在响应报文中，用于鉴别响应报文的合法性。 响应验证字＝MD5(Code+ID+Length+请求验证字+Attributes+Key) Radius 协议包： Attributes 域 5）Attributes：属性 RADIUS 主要特性 Radius是一种流行的AAA协议，同时其采用的是UDP协议传输模式，AAA协议在协议栈中位置如下： RADIUS 主要特性(一) 为什么Radius 协议选择UDP 作为传输层协议？ 1）BAS和RADIUS服务器之间传递的一般是几十至上百个字节长度的数据，用户可以容忍几秒到十几秒的验证等待时间。当处理大量用户时服务器端采用多线程，UDP简化了服务器端的实现过程。 2)TCP是必须成功建立连接后才能进行数据传输的，这种方式在有大量用户使用的情况下实时性不好。 3）当向主用服务器发送请求失败后，还要必须向备用的服务器发送请求。于是RADIUS要有重传机制和备用服务器机制，它所采用的定时，TCP不能很好的满足。 RADIUS 主要特性（二） RADIUS采用客户/服务器（Client/Server）结构： 1)RADIUS的客户端通常运行于接入服务器（NAS）上，RADIUS服务器通常运行于一台工作站上，一个RADIUS服务器可以同时支持多个RADIUS客户（NAS）。 2)RADIUS的服务器上存放着大量的信息，接入服务器（NAS）无须保存这些信息，而是通过RADUIS协议对这些信息进行访问。这些信息的集中统一的保存，使得管理更加方便，而且更加安全。 3)RADIUS服务器可以作为一个代理，以客户的身份同其他的RADIUS服务器或者其他类型的验证服务器进行通信。用户的漫游通常就是通过RADIUS代理实现的。 RADIUS 主要特性（三） 网络安全 RADIUS协议的加密是使用MD5加密算法进行的，在RADIUS的客户端（BAS）和服务器端（Radius Server）保存了一个密钥（key）， RADIUS协议利用这个密钥使用MD5算法对RADIUS中的