radius協(xié)議書范本

1、概述:RADIUS 協(xié)議包括 RADIUS AUTHENTICATION PROTOCOL 和 RADIUS ACCOUNTING PROTOCOL 兩部分。RADIUS AUTHENTICATION PROTOCOL 完成 撥號用戶的認(rèn)證工作， 而RADIUS ACCOUNTING PROTOCOL則完成用戶服務(wù)的計(jì)費(fèi)任務(wù)。事實(shí)上，為了更好地向分散的眾多接入用戶提供互聯(lián)網(wǎng)服務(wù)，必須對接入服務(wù)提供有效的管理支持。它需要對安全，配置，計(jì)費(fèi)等提供支持，這可以通過對一個用戶數(shù)據(jù) 庫的管理來達(dá)到，這個數(shù)據(jù)庫包括認(rèn)證信息，及細(xì)化的服務(wù)配置信息和計(jì)費(fèi)信息。通常這個數(shù)據(jù)庫的維護(hù)管理，對用戶信息的核實(shí)及配置有

2、一個單獨(dú)的實(shí)體完成，這個實(shí)體就是RADIUS server。由于這些管理信息的眾多與繁雜，通常RADIUS server放在一個獨(dú)立的計(jì)算機(jī)上，而為了向RADIUS server取得服務(wù)，必須首先構(gòu)建一個 RADIUS client， 通常 RADIUS client 位于 Network Access Server （ NAS，網(wǎng)絡(luò)接入設(shè)備）上。下圖示例了這些實(shí)體之間的關(guān)系：RADIUS認(rèn)證協(xié)議格式：1、RADIUS AUTHENTICATION PROTOCOL包格式下面是協(xié)議報(bào)文格式：CODEIDENTIFIERLENGTHAUTHENTICATORATTRIBUTESCODE域可以包括

3、如下一些值；1 Access-Request2 Access-Accept3 Access-Reject4 Acco untin g-Request5 Acco untin g-Resp onse11 Access-Challe nge12 Status-Server13 Status-Clie nt255Reserved其中，CODE 1 , 2, 3, 11 值為 RADIUS AUTHENTICATION PROTOCOL 使用， 而 CODE 4,5 值為 RADIUS ACCOUNTING PROTOCOL 使用。其余未用或保留。CODE 占一個字節(jié)IDENTIFIER 占一個字節(jié)，

4、用于匹配請求和應(yīng)答。LENGTH 占二個字節(jié)，是整個數(shù)據(jù)報(bào)的長度， 包括CODE+IDENTIFIER+LENGTH +AUTHENTICATOR+A TTRIBUTES 的所有長度。AUTHENTICATOR 是16字節(jié)的隨機(jī)數(shù)，高位在先，此域用于認(rèn)證答復(fù)和加密口 令字。ATTRIBUTES是若干屬性狀態(tài)的集合，其長度是不確定的，不同的CODE值可以跟隨不同的屬性值。下表是一個總結(jié)：RequestAcceptRejectChalle nge#Attribute10001User-Name0-10002User-Password0-10003CHAP-Password0-10004NAS-IP

5、-Address0-10005NAS-Port0-10-1006Service-Type0-10-1007Framed-Protocol0-10-1008Framed-IP-Address0-10-1009Framed-IP-Net mask00-10010Framed-Routi ng00+0011Filter-Id00-10012Framed-MTU0+0+0013Framed-Compressi on0+0+0014Logi n-IP-Host0 10-10015Login-Service00-10016Logi n-TCP-Port00+0+0+18Reply-Message0-1 1

6、0-10019Callback-Number00-10020Callback-Id00+0022Framed-Route0 10-10023Framed-IPX-Network0-10-100-124State00+0025Class0+ n0+00+26Ven dor-Specific00-100-127Sessio n-Timeout00-100-128Idle-Timeout00-10029Termi natio n-Actio n0-100030Called-Statio n-ld0-100031Calli ng-Stati on-Id0-100032NAS-Ide ntifier0+

7、0+0+0+33Proxy-State0-10-10034Logi n-LAT-Service0-10-100:35Logi n-LAT-Node0-1 10-10036Logi n-LAT-Group00-10037Framed-AppleTalk-Li nk00+0038Framed-AppleTalk-Netwo rk0 n0-100:39Framed-AppleTalk-Z one0-10-0060CHAP-Challe nge0-100061NAS-Port-Type0-10-10062Port-Limit0-10-10063Logi n-LAT-Port表中，0表示在此類型包中，不

8、可以跟隨此屬性狀態(tài)；1表示在此類型包中，只有一個此屬性狀態(tài)可跟隨；0+表示在此類型包中，0個或多個此屬性狀態(tài)可跟隨；0-1表示在此類型包中，0個或1個此屬性狀態(tài)可跟隨；2、RADIUS AUTHENTICATION PROTOCOL ACCESS-REQUEST下面是ACCESS-REQUEST包格式：CODEIDENTIFIERLENGTHREQUEST-AUTHENTICATORATTRIBUTES其中，CODE=1 ； CODE占一個字節(jié)IDENTIFIER 占一個字節(jié)，用于匹配請求和應(yīng)答。LENGTH 占二個字節(jié)，是整個數(shù)據(jù)報(bào)的長度， 包括CODE+IDENTIFIER+LENGTH

9、+REQUEST-AUTHENTICA TOR+ATTRIBUTES 的所有長度。REQUEST-AUTHENTICATOR 是16字節(jié)的隨機(jī)數(shù)，高位在先，此域用于認(rèn)證答 復(fù)和加密口令字。ATTRIBUTES 是若干屬性狀態(tài)的集合。參考上表。3、RADIUS AUTHENTICATION PROTOCOL ACCESS-ACCEPT下面是ACCESS-ACCEPT包格式：CODEIDENTIFIERLENGTHRESPONSE-AUTHENTICA TORATTRIBUTES其中，CODE=2 ； CODE占一個字節(jié)IDENTIFIER 占一個字節(jié)，用于匹配請求和應(yīng)答。LENGTH 占二個字節(jié)

10、，是整個數(shù)據(jù)報(bào)的長度， 包括CODE+IDENTIFIER+LENGTH +RESPONSE-AUTHENTICATOR+A TTRIBUTES 的所有長度。RESPONSE-AUTHENTICA TOR 是由 REQUEST-AUTHENTICATOR 計(jì)算得出，高 位在先。ATTRIBUTES 是若干屬性狀態(tài)的集合。參考上表。4、RADIUS AUTHENTICATION PROTOCOL ACCESS-REJECT下面是ACCESS-REJECT包格式：CODEIDENTIFIERLENGTHRESPONSE-AUTHENTICA TORATTRIBUTES其中，CODE=3 ； COD

11、E占一個字節(jié)IDENTIFIER 占一個字節(jié)，用于匹配請求和應(yīng)答。LENGTH 占二個字節(jié)，是整個數(shù)據(jù)報(bào)的長度， 包括CODE+IDENTIFIER+LENGTH +RESPONSE-AUTHENTICATOR+A TTRIBUTES 的所有長度。RESPONSE-AUTHENTICA TOR 是由 REQUEST-AUTHENTICATOR 計(jì)算得出，高 位在先。ATTRIBUTES 是若干屬性狀態(tài)的集合。參考上表。5、RADIUS AUTHENTICATION PROTOCOL ACCESS-CHALLENGE下面是ACCESS-CHALLENGE 包格式：CODEIDENTIFIERLE

12、NGTHRESPONSE-AUTHENTICA TORATTRIBUTES其中，CODE=11 ； CODE占一個字節(jié)IDENTIFIER 占一個字節(jié)，用于匹配請求和應(yīng)答。LENGTH 占二個字節(jié)，是整個數(shù)據(jù)報(bào)的長度， 包括CODE+IDENTIFIER+LENGTH +RESPONSE-AUTHENTICATOR+A TTRIBUTES 的所有長度。RESPONSE-AUTHENTICA TOR 是由 REQUEST-AUTHENTICATOR 計(jì)算得出，高 位在先。ATTRIBUTES 是若干屬性狀態(tài)的集合。參考上表。6、RADIUS AUTHENTICATION PROTOCOL ATT

13、RIBUTES下面是屬性狀態(tài)的包格式：TYPELENGTHVALUE123456789 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39TYPE+LENGTH+V ALUE ；TYPE 占一個字節(jié)，表示屬性狀態(tài)的類型， LENGTH 占一個字節(jié)，表示屬性長度，包括 VALUE 長度不定，由類型確定。 下面是所有 TYPE 的集合描述：User-NameUser-PasswordCHAP-PasswordNAS-IP-AddressNAS-PortService-Ty

14、peFramed-ProtocolFramed-IP-AddressFramed-IP-NetmaskFramed-RoutingFilter-IdFramed-MTUFramed-CompressionLogin-IP-HostLogin-ServiceLogin-TCP-Port(unassigned)Reply-MessageCallback-NumberCallback-Id(unassigned)Framed-RouteFramed-IPX-NetworkStateClassVendor-SpecificSession-TimeoutIdle-TimeoutTermination-A

15、ctionCalled-Station-IdCalling-Station-IdNAS-IdentifierProxy-StateLogin-LAT-ServiceLogin-LAT-NodeLogin-LAT-GroupFramed-AppleTalk-Link Framed-AppleTalk-Network Framed-AppleTalk-Zone40-59 (reserved for acco un ti ng)60 CHAP-Challe nge61 NAS-Port-Type62 Port-Limit63 Logi n-LAT-Port7、單個ATTRIBUTES 介紹由于ATT

16、RIBUTES多達(dá)40多個，不可能介紹。這里選擇幾個重要且常用的作 簡單介紹，其余可參照RFC文檔。USER-NAME屬性狀態(tài):格式：TYPELENGTHSTRINGTYPE=1，表示USER-NAME屬性狀態(tài)；LENGTH，表示整個屬性狀態(tài)長度，大于3；STRING，是名字字符串，可以為如下幾種形式： 簡單數(shù)字字符串，用于本地管理NAS ；簡單可打印字符串；SMTP 地址格式，如：namemail.zhongxing.ANS.1名字：以ANS.標(biāo)準(zhǔn)出現(xiàn)的名字。USER-PASSWORD 屬性狀態(tài):16格式：b1 = MD5(S + RA) b2 = MD5(S + c(1)c(1) = p1

17、 xor b1c(2) = p2 xor b2bi = MD5(S + c(i-1)c(i) = pi xor biTYPELENGTHSTRINGTYPE=2，表示 USER-PASSWORD 屬性狀態(tài)；LENGTH，表示整個屬性狀態(tài)長度，大于18小于30；STRING，是加密后的 MD5摘要字符串。計(jì)算方法如下；假設(shè)S表示共享密碼， RA表示REQUEST-AUTHENTICATOR ，而口令被分為 位BITS的快，p1, P2,等等。則：STRING = c(1)+c(2)+ c(i)NAS-IP-ADDRESS 屬性狀態(tài):格式：TYPELENGTHADDRESSADDRESSTYPE=

18、4，表示 NAS-IP-ADDRESS 屬性狀態(tài)；LENGTH，表示整個屬性狀態(tài)長度，6個字節(jié);ADDRESS，表示IP地址，4字節(jié)。NAS-PORT屬性狀態(tài)：格式：TYPELENGTHPORTPORTTYPE=5，表示NAS-PORT屬性狀態(tài)；LENGTH，表示整個屬性狀態(tài)長度，6個字節(jié);PORT，表示 PORT, 4 字節(jié)，0-65535。SEVICE-TYPE屬性狀態(tài)：格式：TYPELENGTHVALUEVALUETYPE=6，表示 SEVICE-TYPE 屬性狀態(tài)；LENGTH，表示整個屬性狀態(tài)長度，6個字節(jié)；VALUE，表示服務(wù)屬性，4字節(jié)，有如下一些取值:1 Login2 Fram

19、ed3 Callback Login4 Callback Framed5 Outbo und6 Admi nistrative7 NAS Prompt8 Authe nticate On ly9 Callback NAS PromptFRAMED-PROTOCOL 屬性狀態(tài)：格式：TYPELENGTHVALUEVALUETYPE=7，表示 FRAMED-PROTOCOL 屬性狀態(tài);LENGTH，表示整個屬性狀態(tài)長度，6個字節(jié)；VALUE，表示協(xié)議屬性，4字節(jié)，有如下一些取值:1 PPP2 SLIP3 AppleTalk Remote Access Protocol (ARAP)4 Gan da

20、lf proprietary Si ngleL in k/MultiLi nk protocol5 Xylogics proprietary IPX/SLIP三、 RADIUS計(jì)費(fèi)協(xié)議格式:1、RADIUS ACCOUNTING PROTOCOL包格式下面是協(xié)議報(bào)文格式：CODEIDENTIFIERLENGTHAUTHENTICATORATTRIBUTESCODE域可以包括如下一些值;4 Acco untin g-Request5 Acco untin g-Resp onseIDENTIFIER 占一個字節(jié)，用于匹配請求和應(yīng)答。LENGTH 占二個字節(jié)，是整個數(shù)據(jù)報(bào)的長度， 包括CODE+ID

21、ENTIFIER+LENGTH +AUTHENTICATOR+A TTRIBUTES 的所有長度。AUTHENTICATOR 是16字節(jié)的隨機(jī)數(shù)，高位在先，此域用于認(rèn)證答復(fù)和加密口 令字。ATTRIBUTES是若干屬性狀態(tài)的集合，其長度是不確定的。不同的CODE值可以跟隨不同的屬性值。下表是一個總結(jié)：RequestResponse#Attribute0-101User-Name002User-Password003CHAP-Password0-104NAS-IP-Address0-105NAS-Port0-106Service-Type0-107Framed-Protocol0-108Fram

22、ed-IP-Address0-109Framed-IP-Net mask0-1010Framed-Routi ng0+011Filter-Id0-1012Framed-MTU0+013Framed-Compressi on0+014Logi n-IP-Host0-1015Logi n-Service0-1016Logi n-TCP-Port0018Reply-Message0-1019Callback-Number0-1020Callback-Id0+022Framed-Route0-1023Framed-IPX-Network0024State0+025Class0+0+26Ven dor-

23、Specific0-1027Sessio n-Timeout0-1028Idle-Timeout0-1029Termi natio n-Actio n0-1030Called-Statio n-ld0-1031Calli ng-Statio n-ld0-1032NAS-Ide ntifier0+0+33Proxy-State0-1034Logi n-LAT-Service0-1035Logi n-LAT-Node0-1036Logi n-LAT-Group0-1037Framed-AppleTalk-Li nk0-1038Framed-AppleTalk-Netwo rk0-1039Frame

24、d-AppleTalk-Z one1040Acct-Status-Type0-1041Acct-Delay-Time0-1042Acct-I nput-Octets0-1043Acct-Output-Octets1044Acct-Sessi on-Id0-1045Acct-Authe ntic0-1046Acct-Sessio n- Time0-1047Acct-I nput-Packets0-1048Acct-Output-Packets0-1049Acct-Termi nate-Cause0+050Acct-Multi-Sessio n-ld0+051Acct-Li nk-Co unt00

25、60CHAP-Challe nge0-1061NAS-Port-Type0-1062Port-Limit0-1063Logi n-LAT-Port表中,0表示在此類型包中，不可以跟隨此屬性狀態(tài)；1表示在此類型包中，只有一個此屬性狀態(tài)可跟隨；0+表示在此類型包中，0個或多個此屬性狀態(tài)可跟隨；0-1表示在此類型包中，0個或1個此屬性狀態(tài)可跟隨；2、RADIUS ACCOUNTING PROTOCOL ACCOUNTING-REQUEST下面是ACCOUNTINGREQUEST 包格式：CODEIDENTIFIERLENGTH其中，C0DE=4 ; CODE占一個字節(jié)IDENTIFIER 占一個字節(jié)

26、，用于匹配請求和應(yīng)答。LENGTH 占二個字節(jié)，是整個數(shù)據(jù)報(bào)的長度， 包括CODE+IDENTIFIER+LENGTH +REQUEST-AUTHENTICA TOR+ATTRIBUTES 的所有長度。REQUEST-AUTHENTICATOR 是16字節(jié)的 MD5 HASH 結(jié)果值，高位在先。ATTRIBUTES 是若干屬性狀態(tài)的集合。參考上表。3、RADIUS ACCOUNTING PROTOCOL ACCOUNTING-RESPONSE下面是 ACCOUNTINGRESPONSE 包格式：CODEIDENTIFIERLENGTHRESPONSE-AUTHENTICA TORATTRIBU

27、TES其中，CODE=5 ； CODE占一個字節(jié)IDENTIFIER 占一個字節(jié)，用于匹配請求和應(yīng)答。LENGTH 占二個字節(jié)，是整個數(shù)據(jù)報(bào)的長度， 包括CODE+IDENTIFIER+LENGTH +RESPONSE-AUTHENTICATOR+A TTRIBUTES 的所有長度。REQUEST-AUTHENTICATOR 是16字節(jié)的 MD5 HASH 結(jié)果值，高位在先。ATTRIBUTES 是若干屬性狀態(tài)的集合。參考上表。4、RADIUS ACCOUNTING PROTOCOL ATTRIBUTES下面是屬性狀態(tài)的包格式：TYPELENGTHVALUETYPE占一個字節(jié)，表示屬性狀態(tài)的類

28、型，、；LENGTH 占一個字節(jié)，表示屬性長度，包括 TYPE+LENGTH+V ALUE ；VALUE長度不定，由類型確定。F面是所有TYPE的集合描述：40Acct-Status-Type41Acct-Delay-Time42Acct-I nput-Octets43Acct-Output-Octets44Acct-Sessi on-Id45Acct-Authe ntic46Acct-Sessio n-Time47Acct-I nput-Packets48Acct-Output-Packets49Acct-Termi nate-Cause50Acct-Multi-Sessio n-ld51A

29、cct-Li nk-Cou nt5、單個ATTRIBUTES 介紹由于ATTRIBUTES較多，不可能一一介紹。這里選擇幾個重要且常用的作簡單介 紹，其余可參照 RFC文檔。ACCT-STATUS-TYPE 屬性狀態(tài):格式：TYPELENGTHVALUEVALUETYPE=40 ,表示 ACCT-STATUS-TYPE 屬性狀態(tài)；LENGTH，表示整個屬性狀態(tài)長度， 6個字節(jié)；VALUE，表示服務(wù)屬性，4字節(jié)，有如下一些取值:1Start2Stop7 Acco unting-On8 Accoun ti ng-OfACCTSESSION-ID 屬性狀態(tài):格式：TYPELENGTHSTRINGTYPE=44，表示 ACCTSESSION-ID 屬性狀態(tài);LENGTH，表示整個屬性狀態(tài)長度，大于3；STRING，是可見 ASCII字符；四、 RADIUS MSC 圖：1、基本實(shí)體說明在以下的討論中，我們