第 1頁 胡凱 第 2頁 一、基 本 概 念 二、 概述 三、 主要特性 四、 第 3頁 一、 基 本 概 念 基本概念 第 4頁 證、授權(quán)、記費(fèi) 令驗(yàn)證協(xié)議 問握手驗(yàn)證協(xié)議 絡(luò)接入服務(wù)器 n 程驗(yàn)證撥入用戶服務(wù)（撥入用戶的遠(yuǎn)程驗(yàn)證服務(wù)） 輸控制協(xié)議 戶數(shù)據(jù)報(bào)協(xié)議 名詞解釋 第 5頁 1、在 權(quán)和計(jì)費(fèi)； 2、通過協(xié)議進(jìn)行遠(yuǎn)程的認(rèn)證、授權(quán)和記帳。實(shí)現(xiàn) 等（我們使用的是 網(wǎng) 服 務(wù) 器計(jì)費(fèi)服務(wù)器I n t e r n e 第 6頁 n 簡稱，權(quán)和計(jì)費(fèi)。 當(dāng)用戶想要通過某個(gè)網(wǎng)絡(luò) (如電話網(wǎng) )與 把用戶信息傳遞給 議規(guī)定了 務(wù)器之間如何傳遞用戶信息和記賬信息； 成驗(yàn)證，并把傳遞服務(wù)給用戶所需的配置信息返回給 第 7頁 密碼驗(yàn)證協(xié)議的簡稱，是認(rèn)證協(xié)議的一種。 用戶以明文的形式把用戶名和他的密碼傳遞給 果存在相同的用戶名和密碼表明驗(yàn)證通過 ,否則表明驗(yàn)證未通過。 本地認(rèn)證 地（ 證 我查 我驗(yàn) 第 8頁 查詢握手驗(yàn)證協(xié)議的簡稱，是我們使用的另一種認(rèn)證協(xié)議。 本地（ 證 本地認(rèn)證 D + 我查 我算 我驗(yàn) 第 9頁 當(dāng)用戶請求上網(wǎng)時(shí)，服務(wù)器產(chǎn)生一個(gè) 16字節(jié)的隨機(jī)碼（ 用戶（同時(shí)還有一個(gè) 地路由器的 用戶端得到這個(gè)包后使用自己獨(dú)用的設(shè)備或軟件對傳來的各域進(jìn)行加密，生成一個(gè) 到和用戶端進(jìn)行加密所用的一樣的密碼，然后根據(jù)原來的 16字節(jié)的隨機(jī)碼進(jìn)行加密，將其結(jié)果與 果相同表明驗(yàn)證通過，如果不相同表明驗(yàn)證失敗。 本地認(rèn)證 D + 第 10頁 遠(yuǎn)端（ 證 遠(yuǎn)端認(rèn)證 (我查 我算 我驗(yàn) 第 11頁 遠(yuǎn)端（ 證 遠(yuǎn)端認(rèn)證 D + 我查 我算 我驗(yàn) 第 12頁 二、 概述 第 13頁 用戶 N A S （ R a d i u s 客戶端） R a d i u s 服務(wù)器n 對遠(yuǎn)端撥號(hào)接入用戶的認(rèn)證服務(wù)， 常我們公司的接入產(chǎn)品支持的是客戶端，負(fù)責(zé)將認(rèn)證等信息按照協(xié)議的格式通過 時(shí)對服務(wù)器返回的信息解釋處理。 通常對 645（認(rèn)證）、 1646（計(jì)費(fèi)）或 1812（認(rèn)證）、 1813（計(jì)費(fèi)）。 第 14頁 P a c k e t :0 1 2 30 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1+ - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - +| C o d e | I d e n t i f i e r | L e n g t h |+ - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - +| | A u t h e n t i c a t o r | | |+ - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - +| A t t r i b u t e s . . .+ - + - + - + - + - + - + - + - + - + - + - + - + -A t t r i b u t e :0 1 20 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0+ - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + -| T y p e | L e n g t h | V a l u e . . .+ - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + - + 第 15頁 各個(gè)域的解釋： 1、 類型； 1字節(jié)；指示 2、 標(biāo)識(shí)； 1字節(jié)；用于匹配請求包和響應(yīng)包，同一組請求包和響應(yīng)包的 3、 長度； 2字節(jié)；整個(gè)包的長度。 4、 證字； 16字節(jié)；用于對包進(jìn)行簽名。 第 16頁 1） 的類型 包類型占 1個(gè)字節(jié)，定義如下： 1 請求認(rèn)證過程 2 認(rèn)證響應(yīng)過程 3 認(rèn)證拒絕過程 4 請求計(jì)費(fèi)過程 5 計(jì)費(fèi)響應(yīng)過程 *12 實(shí)驗(yàn)的 *13 實(shí)驗(yàn)的 *255 保留的 第 17頁 R a d i u sA c c e s s - R e q u e s t ( 2 )A c c e s s - A c c e p t / A c c e s s - R e j e c t ( 3 )認(rèn) 證 （ 端 口 ： 1 8 1 2 ）A c c o u n t i n g - R e q u e s t ( s t a r t ) ( 5 )A c c o u n t i n g - R e s p o n s e ( s t a r t ) ( 6 )A c c e s s - R e q u e s t ( 2 )A c c e s s - C h a l le n g （ 端 口 ： 1 8 1 3 ）N A SU s e rd i a l- i n ( 1 )c o n f i g u s e r ( 4 )d i s c o n n e c t ( 7 )A c c o u n t i n g - R e q u e s t ( s t o p ) ( 8 )A c c o u n t i n g - R e s p o n s e ( s t o p ) ( 9 )d i s c o n n e c t u s e r ( 1 0 )第 18頁 1、用戶撥入后（ 1），所撥入的設(shè)備（比如 撥入用戶的用戶的信息（比如用戶名、口令、所占用的端口等等）打包向 2）。 2、如果該用戶是一個(gè)合法的用戶，那么 時(shí)傳回該用戶的配置參數(shù)（ 3）；否則， 3）。 3、如果該用戶合法， 4）。如果用戶非法， 4）。 4、如果用戶可以訪問網(wǎng)絡(luò)， 5）， 6）。 5、當(dāng)用戶斷開連接時(shí)（連接也可以由接入服務(wù)器斷開）（ 7）， 中包含用戶上網(wǎng)所使用網(wǎng)絡(luò)資源的統(tǒng)計(jì)信息（上網(wǎng)時(shí)長、進(jìn) /出的字節(jié) /包數(shù)等）（ 8）， 9）。 第 19頁 1、 求 - 響應(yīng)”方式進(jìn)行的，即：客戶發(fā)送一個(gè)請求包，服務(wù)器收到包后給予響應(yīng)。 2、 據(jù)包可能會(huì)在網(wǎng)絡(luò)上丟失，如果客戶沒有收到響應(yīng)，那么可以重新發(fā)送該請求包。多次發(fā)送之后如果仍然收不到響應(yīng)， 第 20頁 2） 標(biāo)識(shí) 包標(biāo)識(shí)，用以匹配請求包和響應(yīng)包。 該字段的取值范圍為 0 255； 協(xié)議規(guī)定： 1、在任何時(shí)間，發(fā)給同一個(gè) 果出現(xiàn)相同的情況， 2、 同）。 第 21頁 3） 長度 整個(gè)包長度 ,包括 第 22頁 4） 證字 該驗(yàn)證字分為兩種： 1、請求驗(yàn)證字 在請求報(bào)文中 ,必須為全局唯一的隨機(jī)值。 2、響應(yīng)驗(yàn)證字 在響應(yīng)報(bào)文中，用于鑒別響應(yīng)報(bào)文的合法性。 響應(yīng)驗(yàn)證字 D+求驗(yàn)證字 +加密以后你還能認(rèn)出我來嗎？ 第 23頁 5） 性 01 0a 62 65 6e 6c 61 64 65 6e )屬性 長度為 10字節(jié) b e n l a d e n 上網(wǎng)用戶：本 拉登 上網(wǎng)地點(diǎn)：阿富汗 第 24頁 三、 主要特性 第 25頁 時(shí)其采用的是 第 26頁 1）為什么使用 1、 戶可以容忍幾秒到十幾秒的驗(yàn)證等待時(shí)間。當(dāng)處理大量用戶時(shí)服務(wù)器端采用多線程， 2、 種方式在有大量用戶使用的情況下實(shí)時(shí)性不好。 3、 當(dāng)向主用服務(wù)器發(fā)送請求失敗后，還要必須向備用的服務(wù)器發(fā)送請求。于是 所采用的定時(shí)， 第 27頁 2） 服務(wù)器（ 構(gòu)： 1、 ，個(gè) 2、 入服務(wù)器（ 須保存這些信息，而是通過 些信息的集中統(tǒng)一的保存，使得管理更加方便，而且更加安全。 3、 客戶的身份同其他的戶的漫游通常就是通過 S S 28頁 3）網(wǎng)絡(luò)安全 服務(wù)器端（ 存了一個(gè)密鑰（ 鑰不會(huì)在網(wǎng)絡(luò)上傳送。 1、包加密： 在 16字節(jié)的驗(yàn)證字（ 于對包進(jìn)行簽名，收到 果包的簽名不正確，那么該包將被丟棄，對包進(jìn)行簽名時(shí)使用的也是用密鑰），沒有密鑰的人是不能構(gòu)造出該簽名的。 2、口令加密： 在認(rèn)證用戶時(shí)，用戶的口令不會(huì)在網(wǎng)上明文傳送，而是使用了有密鑰的人是無法正確加密口令的，也無法正確地對加密過的口令進(jìn)行解密。 網(wǎng)絡(luò)安全 安全第一 第 29頁 的輸入是一段內(nèi)存，輸出是一個(gè)16字節(jié)的摘要，它的運(yùn)算是單向的，即從輸出推算不出輸入。 不好意思，我只會(huì)把您的手表變成兔子，變不回去了 第 30頁 包的簽名與加密： 包的簽名指的是 6字節(jié)的 們稱其為“驗(yàn)證字”。 認(rèn)證請求包 認(rèn)證請求包的驗(yàn)證字是一個(gè)不可預(yù)測的 16字節(jié)隨機(jī)數(shù)。這個(gè)隨機(jī)數(shù)將用于口令的加密。 認(rèn)證響應(yīng)包 D+ 記費(fèi)請求包 D+6 記費(fèi)響應(yīng)包 D+ 包的簽名與加密 第 31頁 口令的加密 : 稱共享密鑰（ 16字節(jié)的認(rèn)證請求驗(yàn)證字( 口令 (割成 16字節(jié)一段（最后一段不足 16字節(jié)時(shí)用 0補(bǔ)齊），為 密后的口令塊為 c(1)、 c(2)等。下面運(yùn)算中 c(1) = p1 b1 c(1) c(2) = p2 c( c(i) = pi 么加密后的口令為 c(1)+c(2)+.+c(i)。 上面是協(xié)議規(guī)定的算法，也有的 改了上述的算法，具體的講， bi=b2=b1(i=1)，其他運(yùn)算不變。當(dāng)用戶的口令長度不超過 16字節(jié)時(shí)，兩種算法的結(jié)果是一樣的。 口令的加密 第 32頁 遠(yuǎn)端（ 證 遠(yuǎn)端認(rèn)證 (我查 我算 我驗(yàn) 第 33頁 如果用戶配置了 采用 戶以明文的形式把用戶名和他的密碼傳遞給 據(jù) 遠(yuǎn)端認(rèn)證 戶名、密碼 放行 第 34頁 R a d i u sC o d e + I D + L e n g t h + A u t h e n t i c a t o r + A t t r i b u t e SU s e ru s e r n a m e + p a s s w o r d （ 明 文 ）A 2 = M D 5 ( C o d e + I D + L e n g t h + A u t h e n t i c a t o r + A t t r i b u t e s + K e y )u s e r n a m e , p a s s w o r du s e r n a m e , p a s s w o r d 數(shù) 據(jù) 庫S e c r e t P a s s w o r d = P a s s w o r d X O R M D 5 （ C h a l l e n g e K e y ）查找數(shù)據(jù)庫中該 u s e r n a m a s s w o r d ；同時(shí)用收到的S e c r e t P a s s w o r d X O R M D 5 ( A u t h e n t i c a t o r + k e y ) 并與前面查到的 P a s s w o r d 比較，相同的話認(rèn)證通過。A 1 = M D 5 ( C o d e + I D + L e n g t h + A u t h e n t i c a t o r + A t t r i b u t e s + K e y )比較 相同的話用R a d i u s 反饋回來的屬性去配置用 戶 ， 否 則 將 該 包 丟 棄 。C o d e + I D + L e n g t h + A 2 + A t t r i b u t e 2 加 密 ， 其 余 屬 性 為 明 文除密碼加密，其余屬性為明文遠(yuǎn)端認(rèn)證 35頁 1 ( 0 56 16 16 at D5( 3 例 1：用戶 例 1： 1)送 據(jù)包到 ： ： 3 第 36頁 2 ( 0 (as 38 16of 2),0), 38), in )證了 并且發(fā)送了 據(jù)包到接入服務(wù)器，告訴把用戶 陸到主機(jī) 例 1：用戶 第 37頁 遠(yuǎn)端（ 證 遠(yuǎn)端認(rèn)證 D + 我查 我算 我驗(yàn) 第 38頁 采用 當(dāng)用戶請求上網(wǎng)時(shí)， 6字節(jié)的隨機(jī)碼給用戶（ 同時(shí)還有一個(gè) 地路由器的 用戶端得到這個(gè)包后使用自己獨(dú)有的設(shè)備或軟件對傳來的各域進(jìn)行加密，生成一個(gè) 并把原來的 16字節(jié)隨機(jī)碼傳給 到和用戶端進(jìn)行加密所用的一樣的密碼，然后根據(jù)傳來的 16字節(jié)的隨機(jī)碼進(jìn)行加密，將其結(jié)果與傳來的 果相同表明驗(yàn)證通過，如果不相同表明驗(yàn)證失敗。另外如果驗(yàn)證成功， 16字節(jié)的隨機(jī)碼對用戶進(jìn)行詢問（ 該方式暫不支持。 如果用戶配置了 遠(yuǎn)端認(rèn)證 39頁 R a d i u sC o d e + I D + L e n g t h + A u t h e n t i c a t o r + A t t r i b u t e SU s e A P I D + M D 5 ( A u t h e n t i c a t o r + P a s s w o r d+ C H A P I D )A 2 = M D 5 ( C o d e + I D + L e n g t h + A u t h e n t i c a t o r + A t t r i b u t e s + K e y )u s e r n a m e , p a s s w o r du s e r n a m e , p a s s w o r d 數(shù) 據(jù) 庫密碼 : C H A P I D + M D 5 ( A u t h e n t i c a t o r + P a s s w o r d +C H A P I D ) ， 其 余 屬 性 為 明 文查找數(shù)據(jù)庫中該 u s e r n a m e 及其在數(shù)據(jù)庫中對應(yīng)的 P a s s w o r d ，對該 P a s s w o r d 進(jìn)行如下 M D 5 加密： M D 5 ( A u t h e n t i c a t o r +P a s s w o r d + C H A P I D ) ，并與N A S 上報(bào)的密碼比較，相同的話認(rèn)證通過。A 1 = M D 5 ( C o d e + I D + L e n g t h + A u t h e n t i c a t o r + A t t r i b u t e s + K e y )比較 相同的話用R a d i u s 反饋回來的屬性去配置用 戶 ， 否 則 將 該 包 丟 棄 。C o d e + I D + L e n g t h + A 2 + A t t r i b u t e 2 加 密 ， 其 余 屬 性 為 明 文C H A P I D + A u t h e n t i c a t o 40頁 例 2：用戶端進(jìn)行 1 ( 1 71 16 1 D 6 20 2： 接入服務(wù)器 送一個(gè) 據(jù)包到 ： 20 ： 入服務(wù)器發(fā)送的數(shù)據(jù)包包含屬性 示 個(gè)用戶要使用 第 41頁 2 ( 1 (as 56 16of 2),1), 56), in 1 (P 1500 證 并發(fā)送 據(jù)包到 訴 例 2：用戶端進(jìn)行 第 42頁 4）靈活的驗(yàn)證機(jī)制 如 通常的 有些 因在于有些 要驗(yàn)證一個(gè) 須能夠獲得該用戶的明文口令才行。 驗(yàn)證機(jī)制 第 43頁 5）擴(kuò)展性 成的。新屬性的增加不會(huì)影響到現(xiàn)有協(xié)議的實(shí)現(xiàn)。 通常的 同時(shí)開發(fā)與之配套的了提供一些功能，常常要定義一些非標(biāo)準(zhǔn)的（ 性。關(guān)于各個(gè)廠家有那些擴(kuò)展的屬性，一般可以從相應(yīng)的 件中找到。 擴(kuò)展性 第 44頁 N A