YDT 1615-2007公众IP网络安全要求——基于远端接入用户验证服务协议（RADIUS）的访问控制.pdf

ICS 33 040 40L78YD中华人民共和国通信行业标准YD/T 1615-2007公众IP网络安全要求基于远端接入用户验证服务协议（RADIUS）的访问控制Security Requirements for Public IP Based Network-RADIUS Protocol for Access Control2007-10-01实施2007-04-16发布中华人民共和国信息产业部发布 YD/T 1615-2007目次前言I1 范围·2规范性引用文件3‘定义和缩略语·3.1定义….3.2缩略语4RADIUS 服务器结构作用及在网络中的位置4.1　RADIUS 服务器的结构·4.2RADIUS 服务器的作用·4.3RADIUS 服务器在网络中的位置·5消息的格式与属性·5.1认证消息的格式与属性·5.2计费消息的格式与属性356　RADIUS 认证、计费过程.426.1用户的认证·-426.2计费过程436.3接人服务器与RADIUS服务器间的信息流程·447RADIUS 的安全机制·477.1对等端间密钥的管理-?7.2IPSec 的使用· YD/T 1615-2007前言本标准是“公众 IP 网络安全”系列标准之。该系列标准预计的结构及名称如下：1．公众 IP 网络安全要求一—安全框架;2．公众 IP 网络安全要求一—基于数字证书的访问控制;3．公众IP网络安全要求基于远端接入用户验证服务协议（RADIUS）的访问控制；基于 Diameter 的访问控制。4．公众 IP 网络安全要求-本标准在制定过程中参考了 IETF RFC 2865、RFC2866、RFC2689、RFC3162 等。本标准由中国标准化协会提出并归口。本标准起草单位：信息产业部电信研究院中国电信集团公司本标准主要起草人：刘　述‧唐永丽　彭俊‧魏　亮‧毕立波‧武‧静‧陈通‧张‧雄1 YD/T 1615-2007公众IP网络安全要求-基于远端接入用户验证服务协议（RADIUS）的访问控制1范围本标准规定了基于 RADIUS 协议的访问控制要求，包括RADIUS 服务器的结构、作用及在网络中的位置，RADIUS认证与计费消息的格式与属性，以及RADIUS 认证计费过程、RADIUS的安全机制。本标准适用于公众 IP网络的接入系统。2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准。然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。IP安全协议（IPSec）技术要求YD/T 1466-2006公众 IP网络安全要求一一基于数字证书的访问控制YD/T 1614--20073定义和缩略语3.1定义下列定义适用于本标准。·计费收集资源使用信息的动作，以用于能力规划、审核、营业额或成本分配。·计费记录一条计费记录表述了一个用户在整个会话过程中资源消费的总结。计费服务器可以通过处理中间计费事件或从若干为同一用户服务的设备上收集的计费事件来完成计费记录的创建。·认证核实某个实体（客体）身份的动作。·授权决定个提出请求的实体（客体）是否被允许访问资源（主体）的动作。·代理除了转发请求和响应，代理还制定与资源使用和配置相关的策略决定。该工作通常通过跟踪接入服务器设备的状态来完成。代理在收到服务器响应之前一般不会响应客户请求。当策略被违反时，它可以生成拒绝（Reject）消息。因此，代理必须理解通过它们的消息的语义，而且不一定支持所有的应用。·中间计费中间计费消息提供一个用户会话过程中资源使用的快照。如果因设备重启动或者其他网络故障，使得会话总结消息或会话记录无法被接收的情况下，它通常用于用户会话的分段记账。·多会话（Multi-session）1 YD/T 1615-2007一个多会话表现为若干会话的一个逻辑链接。多会话通过使用Acct-Multi-Session-Id来辨辩识。·多会话的一个举例可以是一个多链路PPP束。该PPP束的每一个分支都是一个会话，而整个PPP束则是一个多会话。·网络接人标识符网络接人标识符或NAI，在Diameter协议中用来摘录某个用户的身份和域（realm）的信息。身份用来在认证和／或授权过程中标识该用户，而域（realm）则用于消息的路由。·域NAI中紧跟在“@”字符后面的字符串。NAI域名必须是惟一的，并且遵从DNS命名空间的管理。在RADIUS中，域名不必遵从DNS命名方式，可以独立。·会话状态通过跟踪所有经过授权的活动会话，状态代理保留会话状态信息。每个经过授权的会话都与某特殊的业务绑定，其状态为活动，一直到被通知改变为其他状态或到期。·子会话子会话表示