安全协议分析与设计课件第7章-下PPP认证与RADIUS.ppt

安全协议分析与设计第二章（下） 卫剑钒 PPP认证与RADIUS PPP（Point to Point Protocol）是IETF推出的点到点线路的数据链路层协协议。它替代了非标准的SLIP（Serial Line Internet Protocol），成为正式的Internet标准，标准可见RFC 1661、RFC 1662和RFC 1663。 PPP支持在各种物理类型的点到点串行线路上传输网络层协议数据，有丰富的可选特性，如支持多种压缩方式、支持动态地址协商、支持多链路捆绑、提供多种身份认证服务等。 PAP和CHAP是PPP最初规定的两种认证方法，但这两种认证方法都不安全，故IETF把EAP作为一个可选项加入到了PPP的认证方法之中。 RADIUS是一种AAA（Authentication，Authorization，Accounting）协议，它采用客户端/服务器模型，提供了一种较为通用的框架，使得PAP、CHAP、EAP以及其他认证方法都可作为RADIUS所承载的上层认证机制。 RADIUS RADIUS（Remote Authentication Dial In User Service）即远程用户拨号认证系统，它是一种在网络接入服务器（Network Access Server）和共享认证服务器间传输认证、授权和配置信息的协议。此外，RADIUS 也负责传送网络接入服务器和共享计费服务器间的计费信息。 RADIUS由RFC 2865、RFC 2866定义，是一种应用最广泛的AAA协议。协议最初的目的是为拨号用户进行认证和计费，后来经过多次改进，形成了一项通用的AAA协议，可用于电话拨号、ADSL拨号、小区宽带、IP电话等。IEEE提出的802.1x标准，是一种基于端口的访问控制标准，也将RADIUS协议作为首选的后台认证协议。 RADIUS的客户端和服务器 RADIUS是一种客户端/服务器结构的协议，在拨号系统中，RADIUS客户端是NAS（Net Access Server），RADIUS服务器是AS（Authentication Server）。NAS同时又是一个服务器，NAS对应的客户端是拨号用户的终端。事实上，任何运行RADIUS软件的终端都可以是RADIUS客户端或服务器。 RADIUS数据包 NAS和AS通过UDP进行通信，AS的1812端口负责认证。采用UDP的基本考虑是因为NAS和AS大多在同一个局域网中，使用UDP更加快捷方便。 RADIUS数据包解释 代码（CODE）域用来标识RADIUS包的类型，常用的关于认证的包类型有：接入请求（Access-Request），值为1；接入接受（Access-Accept），值为2；接入拒绝（Access-Reject），值为3；接入质询（Access-Chanllenge），值为4。 标识符（ID）域用来辅助匹配请求和回复； 长度（Length）指明了整个包的长度（包括属性部分）。 认证码（Authenticator）域用来做完整性验证，对于Access-Request包，认证码里的内容是一个随机数RequestAuth，对于其他3种RADIUS服务器发送的Access包，其内容为一个MD5值，是对要发送包的内容（其中认证码域初始为RequestAuth）和一个秘密值Secret（在RADIUS客户端和服务器间共享）进行MD5杂凑而得：ResponseAuth = MD5( Code, ID, Length, RequestAuth, Attributes, Secret) RADIUS数据包中的属性域 属性（Attributes）部分用于传送详细的认证信息以及配置信息，一个包中可以有多个属性，每个属性都由3部分组成，分别是类型（type）、长度（length）及值（value）。 属性充分体现了RADIUS的可扩展性，不同的认证方法就是通过不同的属性值体现的，如PAP认证使用类型2，CHAP认证使用类型3，而后来加入的EAP认证使用类型79。 RADIUS认证过程 当客户登录网络时，NAS如果采用PAP认证，会要求客户输入用户名和口令，然后，NAS向AS服务器发送Access-Request，提交用户信息，包括用户名和口令信息（经过MD5处理过的口令）。 AS对用户名和密码的合法性进行检验。如果采用其他认证方式（如CHAP），当NAS向AS发送完Access-Request后（只包含用户信息），AS返回一个Access-Challenge，并通过NAS中转，来进一步对客户进行认证（这个认证过程也可不由AS发起，而由NAS发起，以提高效率）。 如果认证通过，AS给NAS返回Access-Accept数据包，允许用户进行下一步的访问，否则返回A