radius协议详解完整版.docxVIP

第 PAGE 第 PAGE 1 页 共 NUMPAGES 6 页 竭诚为您提供优质文档/双击可除 radius协议详解 　　篇一：Radius远程用户拨号认证系统详解　　Radius远程用户拨号认证系统　　Radius：Remoteauthenticationdialinuserservice，远程用户拨号认证系统由RFc2865，RFc2866定义，是目前应用最广泛的（aaa是authentication（认证）、authorization（授权）和accounting（计费）的简称）　　基本概念　　aaaauthentication、authorization、accounting　　验证、授权、记费　　pappasswordauthenticationprotocol口令验证协议　　chapchallenge-handshakeauthenticationprotocol盘问握手验证协议　　nasnetworkaccessserver网络接入服务器　　RadiusRemoteauthenticationdialinuserservice　　远程验证拨入用户服务（拨入用户的远程验证服务）　　tcptransmissioncontrolprotocol传输控制协议　　udpuserdatagramprotocol用户数据报协议　　aaa实现途径　　1.在网络接入服务器nas端：在nas端进行认证、授权和计费；　　2.通过协议进行远程的认证、授权和记帐。实现aaa的协议有Radius　　Radius是Remoteauthenticationdialinuserservice的简称，ma5200、isn8850和md5500上目前使用Radius完成对ppp用户的认证、授权和计费。　　当用户想要通过某个网络(如电话网)与nas建立连接从而获得访问其他网络的权利时，nas可以选择在nas上进行本地认证计费，或把用户信息传递给Radius服务器，由Radius进行认证计费；Radius协议规定了nas与Radius服务器之间如何传递用户信息和记账信息；Radius服务器负责接收用户的连接请求，完成验证，并把传递服务给用户所需的配置信息返回给nas。　　本地（nas）验证——pap方式　　pap（passwordauthenticationprotocol）是密码验证协议的简称，是认证协议的一种。用户以明文的形式把用户名和他的密码传递给nas，nas根据用户名在nas端查找本地数据库，如果存在相同的用户名和密码表明验证通过,否则表明验证未通过。　　本地（nas）验证——chap方式　　chap（challengehandshakeauthenticationprotocol）是查询握手验证协议的简称，是我们使用的另一种认证协议。secretpassword=md5（chapid+password+challenge）相比pap，chap密码使用的是md5加密验证的一种方式。　　当用户请求上网时，服务器产生一个16字节的随机码（challenge）给用户（同时还有一个id号，本地路由器的hostname）。用户端得到这个包后使用自己独用的设备或软件对传来的各域进行加密，生成一个(radius协议详解)secretpassword传给nas。nas根据用户名查找自己本地的数据库，得到和用户端进行加密所用的一样的密码，然后根据原来的16字节的随机码进行加密，将其结果与secretpassword作比较，如果相同表明验证通过，如果不相同表明验证失败。　　采用chap验证：当用户请求上网时，nas产生一个16字节的随机码给用户（同时还有一个id号，本地路由器的hostname）。用户端得到这个包后使用自己独有的设备或软件对传来的各域进行加密，生成一个response传给nas，nas把传回来的chapid和Response分别作为用户名和密码，并把原来的16字节随机码传给Radius服务器。Radius根据用户名在服务器端查找数据库，得到和用户端进行加密所用的一样的密码，然后根据传来的16字节的随机码进行加密，将其结果与传来的password作比较，如果相同表明验证通过，如果不相同表明验证失败。另外如果验证成功，Radius服务器同样也可以生成一个16字节的随机码对用户进行询问（challenge）　　kerberos　　kerberos这一名词来源于希腊神话“三个头的狗——地狱之门守护者”　　kerberos是一种网络认证协议，其设计目标是通过系统为客户机/服务器提供强大的认证服务。该认证过程的实现不依赖于主机操作系统的认证，无需基于主机地址的信任，不要求网络上