安全协议-第7章-下.pptxVIP

平安协议分析与设计第二章〔下〕卫剑钒 PPP认证与RADIUS PPP〔Point to Point Protocol〕是IETF推出的点到点线路的数据链路层协协议。它替代了非标准的SLIP〔Serial Line Internet Protocol〕，成为正式的Internet标准，标准可见RFC 1661、RFC 1662和RFC 1663。PPP支持在各种物理类型的点到点串行线路上传输网络层协议数据，有丰富的可选特性，如支持多种压缩方式、支持动态地址协商、支持多链路捆绑、提供多种身份认证效劳等。PAP和CHAP是PPP最初规定的两种认证方法，但这两种认证方法都不平安，故IETF把EAP作为一个可选项参加到了PPP的认证方法之中。RADIUS是一种AAA〔Authentication，Authorization，Accounting〕协议，它采用客户端/效劳器模型，提供了一种较为通用的框架，使得PAP、CHAP、EAP以及其他认证方法都可作为RADIUS所承载的上层认证机制。2 RADIUS RADIUS〔Remote Authentication Dial In User Service〕即远程用户拨号认证系统，它是一种在网络接入效劳器〔Network Access Server〕和共享认证效劳器间传输认证、授权和配置信息的协议。此外，RADIUS 也负责传送网络接入效劳器和共享计费效劳器间的计费信息。 RADIUS由RFC 2865、RFC 2866定义，是一种应用最广泛的AAA协议。协议最初的目的是为拨号用户进行认证和计费，后来经过屡次改进，形成了一项通用的AAA协议，可用于 拨号、ADSL拨号、小区宽带、IP 等。IEEE提出的802.1x标准，是一种基于端口的访问控制标准，也将RADIUS协议作为首选的后台认证协议。3 RADIUS的客户端和效劳器RADIUS是一种客户端/效劳器结构的协议，在拨号系统中，RADIUS客户端是NAS〔Net Access Server〕，RADIUS效劳器是AS〔Authentication Server〕。NAS同时又是一个效劳器，NAS对应的客户端是拨号用户的终端。事实上，任何运行RADIUS软件的终端都可以是RADIUS客户端或效劳器。 4 RADIUS数据包NAS和AS通过UDP进行通信，AS的1812端口负责认证。采用UDP的根本考虑是因为NAS和AS大多在同一个局域网中，使用UDP更加快捷方便。5 RADIUS数据包解释代码〔CODE〕域用来标识RADIUS包的类型，常用的关于认证的包类型有：接入请求〔Access-Request〕，值为1；接入接受〔Access-Accept〕，值为2；接入拒绝〔Access-Reject〕，值为3；接入质询〔Access-Chanllenge〕，值为4。标识符〔ID〕域用来辅助匹配请求和回复；长度〔Length〕指明了整个包的长度〔包括属性局部〕。认证码〔Authenticator〕域用来做完整性验证，对于Access-Request包，认证码里的内容是一个随机数RequestAuth，对于其他3种RADIUS效劳器发送的Access包，其内容为一个MD5值，是对要发送包的内容〔其中认证码域初始为RequestAuth〕和一个秘密值Secret〔在RADIUS客户端和效劳器间共享〕进行MD5杂凑而得：ResponseAuth = MD5( Code, ID, Length, RequestAuth, Attributes, Secret)6 RADIUS数据包中的属性域属性〔Attributes〕局部用于传送详细的认证信息以及配置信息，一个包中可以有多个属性，每个属性都由3局部组成，分别是类型〔type〕、长度〔length〕及值〔value〕。属性充分表达了RADIUS的可扩展性，不同的认证方法就是通过不同的属性值表达的，如PAP认证使用类型2，CHAP认证使用类型3，而后来参加的EAP认证使用类型79。7 RADIUS认证过程当客户登录网络时，NAS如果采用PAP认证，会要求客户输入用户名和口令，然后，NAS向AS效劳器发送Access-Request，提交用户信息，包括用户名和口令信息〔经过MD5处理过的口令〕。AS对用户名和密码的合法性进行检验。如果采用其他认证方式〔如CHAP〕，当NAS向AS发送完Access-Request后〔只包含用户信息〕，AS返回一个Access-Challenge，并通过NAS中转，来进一步对客户进行认证〔这个认证过程也可不由AS发起，而由NAS发起，以提高效率〕。如果认证通过，AS给NAS返回Access-Accept数据包，允许用户进行下一步的访问，否那么返回Access-Reje