RADIUS主要用于對遠程撥入的用戶進行授權和認證。它可以僅使用單一的“數據庫”對用戶進行認證(效驗用戶名和口令)。它主要針對的遠程登錄類型有:SLIP、PPP、telnet和rlogin等。
其主要特征有:
1. 客戶機/服務器(C/S)模式
一個網絡接入服務器(以下簡稱NAS)作為RADIUS的客戶機,它負責將用戶信息傳入RADIUS服務器,然后按照RADIUS服務器的不同的響應來采取相應動作。另外,RADIUS服務器還可以充當別的RADIUS服務器或者其他種類認證服務器的代理客戶。
2.網絡安全(Network Security)
NAS和RADIUS服務器之間的事務信息交流由兩者共享的密鑰進行加密,并且這些信息不會在兩者之間泄漏出去。
3.靈活認證機制(Flexible Authentication Mechanisms)
RADIUS服務器支持多種認證機制。它可以驗證來自PPP、PAP、CHAP和UNIX系統登錄的用戶信息的有效性。
4.協議可擴展性(Extensible Protocol)
所有的認證協議都是基于“屬性-長度-屬性值”3元素而組成的。所以協議是擴展起來非常方便。在目前很多比較高版本的Linux中,它們都把 RADIUS的安裝程序包含在系統源碼中。這樣使得我們可以很容易地通過免費的Linux系統學習RADIUS授權、認證的原理和應用。
RADIUS協議原理
要弄清楚RADIUS協議為何能實現授權和認證,我們必須應該從四個方面去認識RADIUS協議:協議基本原理、數據包結構、數據包類型、協議屬性。下面我們就來詳細地介紹這些內容。
協議基本原理
NAS提供給用戶的服務可能有很多種。比如,使用telnet時,用戶提供用戶名和口令信息,而使用PPP時,則是用戶發送帶有認證信息的數據包。
NAS一旦得到這些信息,就制造并且發送一個“Access-Request”數據包給RADIUS服務器,其中就包含了用戶名、口令(基于MD5加密)、NAS的ID號和用戶訪問的端口號。
如果RADIUS服務器在一段規定的時間內沒有響應,則NAS會重新發送上述數據包;另外如果有多個RADIUS服務器的話,NAS在屢次嘗試主RADIUS服務器失敗后,會轉而使用其他的RADIUS服務器。
RADIUS服務器會直接拋棄那些沒有加“共享密鑰”(Shared Secret)的請求而不做出反應。如果數據包有效,則RADIUS服務器訪問認證數據庫,查找此用戶是否存在。如果存在,則提取此用戶的信息列表,其中包括了用戶口令、訪問端口和訪問權限等。
當一個RADIUS服務器不能滿足用戶的需要時,它會求助于其他的RADIUS服務器,此時它本身充當了一個客戶端。
如果用戶信息被否認,那么RADIUS服務器給客戶端發送一個“Access-Reject”數據包,指示此用戶非法。如果需要的話,RADIUS服務器還會在此數據包中加入一段包含錯誤信息的文本消息,以便讓客戶端將錯誤信息反饋給用戶。
相反,如果用戶被確認,RADIUS服務器發送“Access-Challenge”數據包給客戶端,并且在數據包中加入了使客戶端反饋給用戶的 信息,其中包括狀態屬性。接下來,客戶端提示用戶做出反應以提供進一步的信息,客戶端得到這些信息后,就再次向RADIUS服務器提交帶有新請求ID的 “Access-Request”數據包,和起初的“Access-Request”數據包內容不一樣的是:起初“Access-Request”數據包 中的“用戶名/口令”信息被替換成此用戶當前的反應信息(經過加密),并且數據包中也包含了“Access-Challenge”中的狀態屬性(表示為0 或1)。此時,RADIUS服務器對于這種新的“Access-Request”可以有三種反應:“Access-Accept”、“Access- Reject”或“Access-Challenge”。
如果所有的要求都屬合法,RADIUS返回一個“Access-Accept”回應,其中包括了服務類型(SLIP, PPP, Login User等)和其附屬的信息。例如:對于SLIP和PPP,回應中包括了IP地址、子網掩碼、MTU和數據包過濾標示信息等。
數據包結構
RADIUS數據包被包裝在UDP數據報的數據塊(Data field))中,其中的目的端口為1812。具體的數據包結構如表1。
8位 8位 16位
code Identifier Length
Authenticator(128位)
Attributes…(不定長)
· Code Code域長度為8位,具體取值見表2。其中,1、2、3用于用戶認證,而4、5則是統計流量用,12、13 用于試驗階段,255作為保留。
code 含義
1 Access-Request
2 Access-Accept
3 Access-Reject
4 Accounting-Request
5 5Accounting-Response
11 Access-Challenge
12 Status-Server(experimenta)
13 Status-client(experimenta)
255 Reserved
· Identifier Identifier域長度為8位,主要用于匹配請求和回應數據包,也即是數據包的編號。
· Length 長度為16位,取值范圍(20<=Length<=4096),此長度包括Code、Identifier、Length、 Authenticator和 Attribute五個數據域的長度總和(Code、Identifier、Length、Authenticator為定長,Attribute為變 長)。超出范圍的數據將被視為附加數據(Padding)或直接被忽略。
· Authenticator 長度為16個字節(128位),主要用于鑒定來自RADIUS服務器的回應,同時也用于對用戶口令進行加密。
(1) Request Authenticator
在“Access-Request”數據包中,Authenticator是一個16字節的隨機數,稱為“Request Authenticator”。它在NAS和RADIUS服務器之間通過“共享密碼”(secret)傳輸數據的整個生命周期中是唯一的。
(2) Response Authenticator
在“Access-Accept”、“Access-Reject”和“Access-Challenge”中的Authenticator域被稱為“Response Authenticator”。
有下面的計算方法:
ResponseAuth = MD5(Code+ID+Length+RequestAuth+ Attributes+Secret) ——(公式1)
· Attributes 屬性域的數據格式如表3所示。
8位 8位 不定長(0或多個字節)
Type Length value…
Type指示了Atribute的類型,通用的有幾十種,如表4所示。
Type 說明 Type 說明
1 User-Name 5 NAS-Port-Id
2 Password 6 Service-Type
3 CHAP-Password 7 Framed-Protocol
4 NAS-IP-Address … …
數據包類型
RADIUS數據包的類型由其Code域(頭8位)指定。
· Access-Request(接入-請求)
“Access-Request”數據包由NAS發出,由RADIUS服務器接收。
其中的“User-Password”或“CHAP-Password”屬性值被默認地以MD5方法加密。
數據包結構如表5所示。
8位 8位 16位
Code=1 Identifier-隨著Attributes的Value變化而變化,重傳時則保持不變 Length
Authenticator(128位)—根據Identifier變化而變化
Attributes…(不定長)
Attributes應該包括以下幾個屬性:
◆ “User-Name”
◆ “User-Password”或“CHAP-Password”
◆ “NAS-IP-Address”
* “NAS-Identifier”
◆ “NAS-Port”
◆ “NAS-Port-Type”
· Access-Accept
“Access-Accept” 由RADIUS服務器發出,返回給NAS。表示用戶的信息是合法的。其中包括了必要的配置信息,以便下一步為用戶提供服務。數據包結構如表6所示。
8位 8位 16位
Code=2 Identifier-和“Access-Request”的Identifier相同 Length
Authenticator(128位)-屬于Response Authenticator,由公式1計算得到
Attributes…(不定長)
Access-Reject“Access-Reject”由RADIUS服務器發出,返回給NAS。表示用戶的信息是非法的。其中應該包括一個或多個的“Reply-Message”(回復消息,包含一些便于NAS返回給用戶的一些錯誤信息)。數據包結構如表7所示。
8位 8位 16位
Code=3 Identifier-和“Access-Request”的Identifier相同 Length
Authenticator(128位)-屬于Response的Authenticator,由公式1計算得到
Attributes…(不定長)
屬性
屬性如表8所示。其中,Length的計算方法為:Type+Length+Value。
8位 8位 不定長(0或多個字節)
Type Length Value…
Value有4種類型:
◆ String —— 0~253字節,字符串
◆ Ipaddress —— 32位,IP地址
◆ Integer —— 32位,整數
◆ Time —— 32位,從00:00:00 GMT, January 1, 1970到當前的總秒數
從這里可看出,RADIUS協議是一個不定長的協議棧。