radius协议详解,Radius协议

('第1页共22页竭诚为您提供优质文档/双击可除radius协议详解篇一：Radius远程用户拨号认证系统详解Radius远程用户拨号认证系统Radius：Remoteauthenticationdialinuserservice，远程用户拨号认证系统由RFc2865，RFc2866定义，是目前应用最广泛的（aaa是authentication（认证）、authorization（授权）和accounting（计费）的简称）基本概念aaaauthentication、authorization、accounting第2页共22页验证、授权、记费pappasswordauthenticationprotocol口令验证协议chapchallenge-handshakeauthenticationprotocol盘问握手验证协议nasnetworkaccessserver网络接入服务器RadiusRemoteauthenticationdialinuserservice远程验证拨入用户服务（拨入用户的远程验证服务）tcptransmissioncontrolprotocol传输控制协议udpuserdatagramprotocol用户数据报协议aaa实现途径1.在网络接入服务器nas端：在nas端进行认证、授权和计费；2.通过协议进行远程的认证、授权和记帐。实现aaa的协议有RadiusRadius是Remoteauthenticationdialinuserservice第3页共22页的简称，ma5200、isn8850和md5500上目前使用Radius完成对ppp用户的认证、授权和计费。当用户想要通过某个网络(如电话网)与nas建立连接从而获得访问其他网络的权利时，nas可以选择在nas上进行本地认证计费，或把用户信息传递给Radius服务器，由Radius进行认证计费；Radius协议规定了nas与Radius服务器之间如何传递用户信息和记账信息；Radius服务器负责接收用户的连接请求，完成验证，并把传递服务给用户所需的配置信息返回给nas。本地（nas）验证——pap方式pap（passwordauthenticationprotocol）是密码验证协议的简称，是认证协议的一种。用户以明文的形式把用户名和他的密码传递给nas，nas根据用户名在nas端查找本地数据库，如果存在相同的用户名和密码表明验证通过,否则表明验证未通过。第4页共22页本地（nas）验证——chap方式chap（challengehandshakeauthenticationprotocol）是查询握手验证协议的简称，是我们使用的另一种认证协议。secretpassword=md5（chapid+password+challenge）相比pap，chap密码使用的是md5加密验证的一种方式。当用户请求上网时，服务器产生一个16字节的随机码（challenge）给用户（同时还有一个id号，本地路由器的hostname）。用户端得到这个包后使用自己独用的设备或软件对传来的各域进行加密，生成一个(radius协议详解)secretpassword传给nas。nas根据用户名查找自己本地的数据库，得到和用户端进行加密所用的一样的密码，然后根据原来的16字节的随机码进行加密，将其结果与secretpassword作比较，如果相同表明验证通过，如果不相同表明验证失败。第5页共22页采用chap验证：当用户请求上网时，nas产生一个16字节的随机码给用户（同时还有一个id号，本地路由器的hostname）。用户端得到这个包后使用自己独有的设备或软件对传来的各域进行加密，生成一个response传给nas，nas把传回来的chapid和Response分别作为用户名和密码，并把原来的16字节随机码传给Radius服务器。Radius根据用户名在服务器端查找数据库，得到和用户端进行加密所用的一样的密码，然后根据传来的16字节的随机码进行加密，将其结果与传来的password作比较，如果相同表明验证通过，如果不相同表明验证失败。另外如果验证成功，Radius服务器同样也可以生成一个16字节的随机码对用户进行询问（challenge）kerberoskerberos这一名词来源于希腊神话“三个头的狗——地狱之门守护者”第6页共22页kerberos是一种网络认证协议，其设计目标是通过系统为客户机/服务器提供强大的认证服务。该认证过程的实现不依赖于主机操作系统的认证，无需基于主机地址的信任，不要求网络上所有主机的物理安全，并假定网络上传送的数据包可以被任意地读取、修改和插入数据。在以上情况下，kerberos作为一种可信任的第三方认证服务，是通过传统的密码技术（如：共享密钥）执行认证服务的。tacacs-终端访问控制器访问控制系统terminalaccesscontrolleraccess-controlsystemtacacs（终端访问控制器访问控制系统）对于unix网络来说是一个比较老的认证协议，它允许远程访问服务器传送用户登陆密码给认证服务器，认证服务器决定该用户是否可以登陆系统tacacs+其实是一个全新的协议。tacacs+和Radius在现有网络里已经取代了早期的协议。tacacs+应用传输控制第7页共22页协议（tcp），而Radius使用用户数据报协议（udp）。一些管理员推荐使用tacacs+协议，因为tcp更可靠些。Radius从用户角度结合了认证和授权，而tacacs+分离了这两个操作。我对authentication已经比较了解，但是对authoriztion还比较模糊,这次测试tacacs+,使我对authorization也开始了解了.授权简单的说就是给用户开放某些资源.我们目前支持exec授权,即给用户执行某些命令的权利,在这里的命令就是我们的clicommand.我们可以详细的配置一个用户可以执行某些clicommand,不能执行某些clicommand.确实可以管理得非常严格.当每次执行command时都会到tacacs+server上去进行授权.不过当我们允许用户配置某一项,而它的subconfig中如果还有很多command,我们也许要逐项添加,也有点麻烦.但可以对命令和参数进第8页共22页行这么详细的管理,感觉还挺有用的,不用担心有的用户乱操作了.这个功能只限于cli,在webui上是没有用的,它的作用又显得不太重要了.Radius协议Raidus（Remoteauthenticationdialinuserservice）是对远端拨号接入用户的认证服务，Radius服务分客户端和服务器端，通常我们公司的接入产品支持的是客户端，负责将认证等信息按照协议的格式通过udp包送到服务器，同时对服务器返回的信息解释处理。通常对Radius协议的服务端口号是1645（认证）、1646（计费）或1812（认证）、1813（计费）。篇二：移动portal、radius数据包格式编制历史附录a（portal与ac间的协议）报文格式协议包采用固定长度头加可变长度的属性字段组成，第9页共22页属性字段采用tlV格式，具体如下图所示。web认证报文格式012345678报文字段说明VerVer字段是协议的版本号，长度为1字节，目前定义的值为0x01。typetype字段定义报文的类型，长度为1字节，目前其值的定义如下表。报文类型pap/chappap/chap字段定义此用户的认证方式，长度为1字节，只对type值为0x03的认证请求报文有意义：chap方式认证－－－值为0x00；第10页共22页pap方式认证－－－值为0x01；RsvRsv目前为保留字段，长度为1字节，在所有报文中值为0；serialno(1)serialno字段为报文的序列号，长度为2字节，由portalserver随机生成，portalserver必须尽量保证不同认证流程的serialno在一定时间内不得重复，在同一个认证流程中所有报文的serialno相同；(2)portalserver发给ac设备的报文a、由portalserver发出的type值为1、3的请求报文其serialno都是随机生成数；b、由portalserver向ac设备发出的type值为5的(Req_logout)报文其serialno值分两种情况：当errcode第11页共22页为0时(请求用户下线报文)，serialno值为一个随机生成数；当errcode为1时，serialno值可能和type值为1或3的报文(请求challenge超时,或请求认证超时)相同，具体要看是请求challenge超时还是请求认证超时；c、由portalserver向ac设备发出的认证成功确认报文（type值为7的报文）serialno和其发出的相应请求报文的serialno相同；比如对于type值为7的报文其serialno值和type值为3的请求认证报文相同；(3)每一个由ac设备发给portalserver的响应报文的serialno必须和portalserver发送的相应请求报文的serialno一样，否则portalserver会丢掉从ac设备发来的响应报文；比如type值为2的报文其serialno值必须和type值为1的报文相同，type值第12页共22页为4的报文其serialno值必须和type值为3的报文相同，type值为6的报文其serialno值必须和type值为5的报文相同。Reqid(1)Reqid字段长度为2个字节，由ac设备随机生成，尽量使得在一定时间内Reqid不重复。(2)在chap认证方式中：a、ac设备在type为2(ack-challenge)的请求challenge响应报文中把该Reqid的值告诉portalserver；b、在type值为3、4、7(Req-auth,ack-auth,aFF-ack-auth)的报文中Reqid字段的值都和type值为2的报文中此字段的值相同；c、在type值为5(Req-logout)的报文中，若报文表示请求challenge超时则此字段值为0；若报文表示请求认证超时则此字段值和type值为2(ack-challenge)的报文中此字段的值相同；第13页共22页(3)在pap认证方式中，此字段无意义，其值为0；(4)在type值为5(Req-logout)的报文中，若报文表示请求下线时则此字段值为0；(5)在type值为1、6(Req-challenge,ack-logout)的报文中，该字段均无意义，值都为0；useripuserip字段为portal用户的ip地址，长度为4字节，其值由portalserver根据其获得的ip地址填写，在所有的报文中此字段都要有具体的值；userportuserport字段目前没有用到，长度为2字节，在所有报文中其值为0；errcodeerrcode字段和type字段一起表示一定的意义，长度为1字节，具体如下：(1)对于type值为1、3、7的报文，errcode字段无意第14页共22页义，其值为0；(2)当type值为2时：errcode＝0，表示ac设备告诉portalserver请求challenge成功；errcode＝1，表示ac设备告诉portalserver请求challenge被拒绝；errcode＝2，表示ac设备告诉portalserver此链接已建立；errcode＝3，表示ac设备告诉portalserver有一个用户正在认证过程中，请稍后再试；errcode＝4，则表示ac设备告诉portalserver此用户请求challenge失败（发生错误）；(3)当type值为4时：errcode＝0，表示ac设备告诉portalserver此用户认证成功；第15页共22页errcode＝1，表示ac设备告诉portalserver此用户认证请求被拒绝；errcode＝2，表示ac设备告诉portalserver此链接已建立；errcode＝3，表示ac设备告诉portalserver有一个用户正在认证过程中，请稍后再试；errcode＝4，表示ac设备告诉portalserver此用户认证失败（发生错误）；上述错误代码是ac根据Radius在access-Reject报文中所携带的错误原因（详见下表）对应到上述四类错误之中，错误代码不能为1-4以外的数值。篇三：border-radius实例详解border-radius定义和描述border-radius简写属性为元素添加圆角边框，设置所第16页共22页有四个border--radius属性。语法：border-radius:1-4length%/1-4length%;按此顺序设置每个radii的四个值：如果省略bottom-left，则与top-right相同，如果省略bottom-right，则与top-left相同，如果省略top-right，则与top-left相同。注意border-top-left-radius属性的长度值和百分比值定义四分之一椭圆（定义外部边框边缘的边角形状）的半径（radii）。第一个值是水平半径，第二个值是垂直半径。如果省略第二个值，则复制第一个值。如果长度为零，则边角为方形，而不是圆形。水平半径的百分比值参考边框盒的宽度，而垂直半径的百分比值参考边框盒的高度。浏览器支持性ie9+、Firefox4+、chrome、safari5+以及opera支持第17页共22页border-radius属性。border-top-left-radius属性border-top-left-radius属性定义左上角边框的形状。语法：border-bottom-right-radius:length%[length%];border-top-right-radius属性border-top-right-radius属性定义右下角边框的形状。语法：border-top-right-radius:length%[length%];一、语法：二、取值：：由浮点数字和单位标识符组成的长度值。不可为负值。三、说明：第18页共22页border-radius是一种缩写方法。如果“/”前后的值都存在，那么“/”前面的值设置其水平半径，“/”后面值设置其垂直半径。如果没有“/”，则水平和垂直半径相等。另外其四个值是按照top-left、top-right、bottom-right、bottom-left的顺序来设置的其主要会有下面几种情形出现：1、border-radius:[{1,4}];//这里只有一个值，那么top-left、top-right、bottom-right、bottom-left四个值相等2、border-radius:[{1,4}][{1,4}];//这里设置两个值，那么top-left等于bottom-right，并且取第一个值；top-right等于bottom-left，并且取第二个值3、border-radius:[{1,4}][{1,4}][{1,4}];//如果有三个值，其中第一个值是设置top-left;而第二个值是top-right和bottom-left并且他们会相等,第三个值是设置第19页共22页bottom-right4、border-radius:[{1,4}][{1,4}][{1,4}][{1,4}];//如果有四个值，其中第一个值是设置top-left;而第二个值是top-right,第三个值bottom-right,第四个值是设置bottom-left前面，我们主要看了border-radius的缩写格式，其实border-radius和border属性一样，还可以把各个角单独拆分出来，也就是以下四种写法，这里我规纳一点，他们都是先y轴在x轴，具体看下面：这里说一下，各角拆分出来取值方式：中第一个值是圆角水平半径，第二个值是垂直半径,如果第二个值省略，那么其等于第一个值，这时这个角就是一个四分之一的圆角，如果任意一个值为0，那么这个角就不是圆角。border-radius只有在以下版本的浏览器：第20页共22页Firefox4.0+、safari5.0+、googlechrome10.0+、opera10.5+、ie9+支持border-radius标准语法格式，对于老版的浏览器，border-radius需要根据不同的浏览器内核添加不同的前缀，比说mozilla内核需要加上“-moz”，而webkit内核需要加上“-webkit”等，那么我为了能兼容各大内核的老版浏览器，我们看看border-radius在不同内核浏览器下的书写格式：1、mozilla(Firefox,Flock等浏览器)2、webkit(safari,chrome等浏览器)3、opera浏览器：4、trident(ie)ieborder-radius，其写法和opera是一样的，这里就不在重复。为了不管是新版还是老版的各种内核浏览器都能支持第21页共22页border-radius属性，那么我们在具体应用中时需要把我们的border-radius格式改成：其拆分开来的格式相应需要加上-moz和-webkit，上面的代码其实就等价于下面的代码：另外需要特别注意的是，border-radius一定要放置在-moz-border-radius和-webkit-border-radius后面，（特别声明：本文中所讲实例都只写了标准语法格式，如果你的版本不是上面所提到的几个版本，如要正常显示效果，请更新浏览器版本，或者在border-radius前面加上相应的内核前缀，在实际应用中最好加上各种版本内核浏览器前缀。）我们初步来看一个实例：html代码：为了更好的看出效果，我们给这个demo添加一点样第22页共22页式：注：如无特殊声明，本文实例所有基本代码格式如上所示，只在该元素上添加border-radius属性设置。',)