RADIUS协议原理与实现.docx

无线局域网中RADIUS协议原理与实现

摘要

RADIUS协议是一个被广泛应用于网络认证、授权和计费的协议。本文在介绍了RADIUS

协议原理的根底上，对RADIUS协议的实现做了分析与设计。

引言 远程认证拨号用户效劳协议〔RemoteAuthenticationDialInUserService,RADIUS〕最初是由Livingston公司提出的一个为拨号用户供给认证和计费的协议。后经屡次改进，渐渐成为一项通用的网络认证、计费协议，并定义于IETF提交的RFC2865和RFC2866文件中。RADIUS协议以Client/Server方式工作，客户端为网络接入效劳器〔NAS〕，它向RADIUS效劳器提交认证、计费等信息，RADIUS效劳器处理信息并将结果返回给NAS。

RADIUS协议的应用范围很广，在移动、数据、智能网等业务的认证、计费系统中都有所应用。无线局域网的802.1X认证框架中，在认证端也建议使用RADIUS协议。

本文将论述RADIUS协议的原理，并探讨它在WLAN中的应用及实现方案。

RADIUS协议2.1WLAN网络模型实际商用的无线局域网，可以用局域网交换机来实现802.1X认证协议中的端口掌握功能。为保证网络的安全性，在无线局域网的出口和认证端应加上防火墙。RADIUS效劳器和数据库还可以实行主、备构造，以保证网络的强健性。

网络模型如以下图所示：

图1无线局域网网络模型无线局域网的认证端由RADIUS效劳器、网络接入效劳器〔NAS〕和数据库组成。其中：NAS：作为RADIUS效劳器的客户端，向RADIUS效劳器转交用户的认证信息。并在用户通过认证之后，向RADIUS效劳器发送计费信息。

RADIUS效劳器：作为认证系统的中心效劳器，它与NAS、数据库相连，它承受来自NAS提交的信息，对数据库进展相应的操作，并把处理结果返回给NAS。

数据库：用于保存全部的用户信息、计费信息和其他信息。用户信息由网络治理员添加至数据库中；计费信息来自于RADIUS效劳器；其他信息包括日志信息等。

RADIUS的数据包构造RADIUS是应用层的协议，在传输层它的报文被封装在UDP的报文中，进而封装进IP包。RADIUS认证使用1812端口，计费使用1813端口。

以太网上的RADIUS封装后的包构造：

RADIUS数据包分为5个局部： 〔1〕Code:1个字节，用于区分RADIUS包的类型：常用类型有： 接入恳求〔Access-Request〕，Code=1；接入应答〔Access-Accept〕，Code=2；接入拒绝〔Access-Reject〕，Code=3；计费恳求〔Accounting-Request〕，Code=4等。

Identifier:一个字节，用于恳求和应答包的匹配。

Length:两个字节，表示RADIUS数据区〔包括Code,Identifier,Length,Authenticator,Attributes〕的长度，单位是字节，最小为20，最大为4096。

Authenticator:16个字节，用于验证效劳器端的应答，另外还用于用户口令的加密。RADIUS效劳器和NAS的共享密钥(SharedSecret)与恳求认证码(RequestAuthenticator)和应答认证码(ResponseAuthenticator)，共同支持发、收报文的完整性和认证。另外，用户密码不能在NAS和RADIUS效劳器之间用明文传输，而一般使用共享密钥(SharedSecret)和认证码(Authenticator)通过MD5加密算法进展加密隐蔽。

Attributes:不定长度，最小可为0个字节，描述RADIUS协议的属性，如用户名、口令、IP地址等信息都是存放在本数据段。

RADIUS的认证、计费过程 如图1网络模型所示： 〔1〕申请者登录网络时，NAS会有一个客户定义的Login提示符要求申请者输入用户信息〔用户名和口令〕，申请者输入相关的认证信息后，等待认证结果。

NAS在得到用户信息后，将依据RADIUS的数据包格式，向RADIUS效劳器发出“接入恳求”〔Access-Request〕包。包中一般包括以下RADIUS属性值：用户名、用户口令、访问效劳器的ID、访问端口的ID。

当RADIUS效劳器收到“接入恳求”包后，首先验证NAS的共享密码与RADIUS效劳器中预先设定的是否全都，以确认是所属的RADIUS客户端。在查验了包的正确性之后，RADIUS效劳器会依据包中的用户名在用户数据