关于RADIUS协议扩展属性的研究

("龙源期刊网http://www.qikan.com.cn关于ＲＡＤＩＵＳ协议扩展属性的研究作者：周琳包健康来源：《电脑知识与技术》2009年第24期摘要:目前,电信运营商和服务提供商以RADIUS服务器进行集中认证计费应用的最为普及和广泛。然而,现行的RADIUS协议有许多的局限性。例如,仅仅局限于对用户信息进行验证、用户记帐等等功能。目前业界已经有很多RADIUS协议相关的扩展属性方面的研究,并且已经成为规范。但是,这些相关研究大部分都集中于RADIUS协议的安全性方面,而比较忽视对于电信这种服务类行业来说至关重要的一个方面:用户需求。针对这个问题提出了两种适用性极强的新RADIUS扩展属性:断开连接(Disconnect)属性和更改权限(Change-of-Authorization)属性。断开连接属性可以支持实时断开用户的网络连接。更改权限属性可以支持实时更改用户的会话特征(包括带宽、资费以及可以访问的网络资源等等)。主要对新扩展属性的具体配置、包的格式、类型进行了详细的阐述。关键词:远程验证;拨入用户服务;网络接入服务器;认证;断开连接;更改权限;报文中图分类号:TP393文献标识码:A文章编号:1009-3044(2009)24-7041-03ExtendedAttributesontheRADIUSProtocolResearchZHOULin1,BAOJian-kang2(1.JilinMedicalColloge,Jilin32013,China;2.AirForceJianshanRoadSanatoriumforRetiredCadres,Tianjin300233,China)Abstract:Atpresent,telecomoperatorsandserviceproviderstoRADIUSserverauthenticationandaccountingapplicationtofocusthemostuniversalandextensive.However,theexistingRADIUSprotocolhasmanylimitations.Forexample,onlylimitedinformationtotheuserauthentication,useraccountsandsoon.Atpresent,theindustryhasalotofagreementsrelatedtotheexpansionofRADIUSattributeresearch,andhasbecomethenorm.However,mostofthesestudieshavefocusedontheRADIUSprotocolsecurity,andrelativelylessimportancetosuchservicesforthetelecommunicationsindustryisacrucialareas:customerneeds.ToaddressthisquestiontheapplicabilityofthetwoverystrongexpansionofnewRADIUSattributes:Disconnect(Disconnect)andchangethepermissionsattributes(Change-of-Authorization)attributes.Disconnectedfromreal-timepropertiescansupporttheuser'snetworkconnectiondisconnected.Tochangethepermissionstochangetheattributestosupportreal-timecharacteristicsoftheuser'ssession(includingbandwidthcharges,aswellasbeabletoaccessnetworkresources,etc.).Themainattributesofthenewexpansionofthespecificconfiguration,packetformats,packettypes,suchasdescribedindetail.龙源期刊网http://www.qikan.com.cnKeywords:remoteauthentication;dial-inuserservice;networkaccessserver;certification;disconnected;changepermissions;message随着互联网技术日新月异的发展,帐号被盗用的情况屡见不鲜。当非法用户一直不断开网络连接的情况下,合法用户就无法进行拨号连接。管理RADIUS服务器方工作人员在确认了盗用情况后,却无法将非法用户的连接强行断开,他们又需要去联系NAS方工作人员,由NAS方在硬件端口上来断开非法用户的连接。这种操作方式损耗了大量的时间,大大的降低了工作效率。从而损失了大批的用户。随着用户数量的不断攀升,用户对网络服务的使用需求类型也越来越多,越来越人性化。例如:用户需要在每日0-18点使用512K的网络带宽,而在18-24点使用2M的带宽,而不同的带宽对应的资费又各不相同。这就对服务提供商在用户的网络接入管理方面提出了更高的要求。以上的需求在现行的RADIUS协议中是不支持的。在现行的各种网络接入系统中,如果要终止用户对话,必须要由RADIUS系统方工作人员通知NAS系统方的相关人员在NAS上断开通过该用户的端口来终止该用户的会话。而如果要改变用户的相关使用权限,用户就必须先断开网络连接,然后再次连接,才能是新的权限生效,这样的操作流程是非常低效而且不安全的。为了解决这些限制,本文提出了一些扩展的RADIUS属性,从而能够支持从RADIUS服务器发送到网络接入服务器的非请求型报文。这些扩展的指令能够对断开连接和更改权限(Change-of-Authorization:CoA)报文提供支持。断开连接报文能够让用户的会话立即中止,而更改权限(CoA)报文则能够修改会话的认证属性。这样,能够为网络服务提供商提供更为便捷的操作流程,以及更为丰富的服务类型。该文接下来的部分,讨论了所提出的这两种RADIUS扩展属性的标准。1新扩展属性标准1.1断开连接报文(DM)断开连接请求包是由RADIUS服务器发出的,它可以终止在网络接入服务器(NAS)上的用户会话并且丢弃所有相关的会话信息。断开连接请求包发送到UDP的3799端口,通过认证属性所包含的信息来确定网络接入服务器和需要终止的用户会话。如果确定用户会话的所有相关信息都已经丢弃而且用户会话已经断开,NAS就会返回给发送断开连接请求的RADIUS。龙源期刊网http://www.qikan.com.cn一个断开连接命令正确应答(Disconnect-ACK)的响应。NAS返回的报文必须包含一个值为“AuthorizeOnly”的服务类型(Service-Type)属性,而断开连接命令没有应答的报文就一定不能发送。反之,NAS就会返回一个断开连接命令没有应答(Disconnect-NAK)的响应。NAS返回的服务类型属性必须包含一个不支持的值,“报文中还可以包含一个值为UnsupportedService”的错误原因(Error-Cause)属性。断开连接命令正确应答可以包括一个值为6的会话终止原因(Acct-Terminate-Cause)属性。1.2更改权限(CoA)报文更改权限请求(CoA-Request)包包含了更改会话权限的信息。这是专门用于改变数据筛选器的。数据筛选器可以是出和入两种类型,除了第三部分将要介绍的认证属性之外,其他信息都会被发送。使用的端口,包的结构和断开连接报文是相同的。下面这个属性可以包含于更改权限(CoA)报文中:筛选器ID(Filter-ID)说明用于该会话的数据筛选器列表的名称。如果NAS能够成功的改变该用户会话的权限,NAS就会返回给发送更改权限(CoA)报文的RADIUS一个请求正确应答(CoA-ACK)的响应。NAS“返回的报文必须包含一个值为AuthorizeOnly”的服务类型(Service-Type)属性,而更改权限(CoA)报文命令没有应答的报文就一定不能发送。反之,NAS就会返回一个更改权限(CoA)报文命令没有应答(CoA-NAK)的响应,NAS返回的服务类型属性必须包含一个不支持的值,“报文中还可以包含一个值为UnsupportedService”的错误原因(Error-Cause)属性。1.3包的格式无论是断开连接请求还是更改权限报文都是使用UDP的3799作为目的端口。响应的时候,源端口和目的端口互换。正确的说,一个RADIUS包是被压缩在UDP数据字段中的。数据包的格式如下,域的传输是从左向右。包的结构由以下几个部分组成:编码,标识符,长度,响应鉴别码,属性。属性的格式是:类型-长度-值(TLV)。所有的域的含义都和前面介绍的RADIUS标准协议中的相同。而响应鉴别码必须和RADIUS记帐协议的记帐请求(Accounting-Request)中所指定的计算方法一致。编码编码域是一位字节,确定RADIUS数据包的类型。在接收到一个无效编码域的地数据包后,该数据包只是会被简单的丢弃。这个扩展属性指定的RADIUS编码如下:40断开连接请求(Disconnect-Request)41断开连接请求正确应答(Disconnect-ACK)42断开连接请求没有应答(Disconnect-NAK)龙源期刊网http://www.qikan.com.cn43更改权限请求(CoA-Request)44更改权限请求正确应答(CoA-ACK)45更改权限请求没有应答(CoA-NAK)标识符标识符域是一个字节,用于比较请求与回复。如果在一个很短的时间片段里,一个请求有相同的客户源IP地址、源UDP端口号和标识符,RADIUS服务器会认为这是上一个重复的请求。重发断开连接请求和更改权限请求报文的任务是属于RADIUS服务器的。如果发送出这些信息之后,RADIUS服务器没有收到响应,就会重发这些信息。如果属性域的内容发生变化或者是一个对于先前请求的有效响应已经收到,标识符域必须也产生相应的改变。如果重发的内容是相同的,那么标识符也必须保持不变。如果RADIUS服务器正在给一个和先前相同的客户端重发断开连接请求或者更改权限请求,而且属性域也没有改变,那么就必须使用相同的请求鉴别码,标识符和源端口。需要注意的是,如果包括了事件时间戳(Event-Timestamp)属性,在重发包的时候就会更新这个属性。需要改变属性域,并且请求一个新的标识符和请求鉴别码。如果对主代理的请求失败,如果可能的话,必须有一个二级代理。由于这是一个新的请求,所以必须使用一个新的请求鉴别码和标识符。但是,当RADIUS服务器直接发送到客户端时,因为断开连接或者更改权限报文需要发送到该会话所在的网络接入服务器,故障接管机制就不会起作用了。长度长度域是两个字节。它指明了包括编码、标识符、长度、鉴别码和属性域在内的数据包的长度。在数据包长度以外的字节位必须以填充数对待,或者在接收时忽略它。如果包的长度比指定的短,则此包会被直接丢弃。最小的长度是20,最大的长度是4096。鉴别码鉴别码域是十六个字节。最重要的字节是被第一个传输的。这个值用于验证RADIUS服务器和客户端的信息。请求鉴别码在请求数据包中,鉴别码的值是一个16字节的随机二进制数,被称为请求鉴别码。请求鉴别码的计算方法和前文所述的RADIUS记帐协议中的记帐请求相同。需要注意的是断开连接请求或者更改权限请求的鉴别码不能使用RADIUS协议中的接入请求来完成。因为在该请求中并不包含用户密码(User-Password)属性。响应鉴别码在响应数据包中的鉴别码称为响应鉴别码。它包含了在一串字节流上的计算出的单向MD5散列。这个字节流包括了编码,标识符,长度,来自需要响应的数据包的请求鉴别码,和执行共享机密的响应属性。计算出的16字节散列值存放在响应包中的鉴别码域。龙源期刊网http://www.qikan.com.cn需要注意的是:机密(RADIUS服务器和客户端之间的共享密码)至少应该和选择好的密码大小一样而且不可预知。RADIUS客户端必须使用源IP地址的UDP包来确定使用哪一种共享机密。属性值在断开连接和更改权限请求报文中,所有的属性都是强制性的。网络接入服务器必须对更改权限请求作出响应,包括一个或多个不支持的属性或者返回一个更改权限请求没有应答(CoA-NAK)的属性值。如果是断开连接请求,就必须响应一个包括一个或多个不支持的属性或者返回一个断开连接请求没有应答(Disconnect-NAK)的属性值。根据更改权限请求作出状态改变是最基本的。如果请求成功,更改权限请求正确应答(CoA-ACK)被发送,随后必须执行所有必需的权限变化。如果请求失败,更改权限请求没有应答(CoA-NAK)必须被发送,所有的权限都必须保持不变。同样,如果断开连接请求不成功,状态都不能改变,而断开连接请求没有应答(Disconnect-NAK)就必须发送了。由于在这个规范中,属性值可以用于身份验证,授权或者其他目的。即使网络接入服务器使用一个属性来进行RADIUS认证和记帐,它可能不支持包括断开连接请求和更改权限报文在内的属性,或者是不能区分属性的语义。正如在接入允许报文中允许这样的操作一样,这些情况对于标准RADIUS等等协议中所指定的属性来说都是真实的。如果使用转发代理,代理就必须能够改变数据包,使其在任何地方都能够通过。当代理转发一个断开连接或者更改权限请求的时候,就可以加上一个代理状态(Proxy-State)属性;如果是转发一个响应的时候,就必须删除所加上的代理状态属性。代理状态属性通常会在其他代理状态属性之后被添加或者删除,但是在属性列表之内关于代理状态属性的位置是不会被添加或者删除的。由于断开连接和更改权限响应是通过整个包的内容来确定的,取消代理状态属性就会是完整性检验无效,因此代理需要重新计算它。转发代理不能够改变已经在数据包中存在的代理状态,状态和类属性。如果从服务器端接收到的断开连接或者更改权限请求中包含有代理状态属性,那么转发服务器就必须在发送至服务器的的响应中包含这些代理状态属性。转发代理可以在转发断开连接或者更改权限请求的时候包含或者省略它的代理状态属性。如果转发代理服务器在请求中省略了代理状态属性,它就必须在向服务器发送之前,在响应中加上这些属性。2结论与展望该文针对现有的RADIUS协议及其扩展属性目前无法解决的两方面问题提出了相应的扩展属性(断开连接和更改权限)。并对新提出的扩展属性的数据包格式等进行了介绍。相信新增的断开连接和更改权限扩展属性对用户的需求进行了很好的支持,能够提升网络服务商的工作效率,丰富其所能提供的服务类型。龙源期刊网http://www.qikan.com.cn但由于条件的限制,相关的测试工作有一定的局限性。在以后的研究工作中,还需要进行深入的研究。在互联网业务中安全性也是很重要的一个方面,具体的相关研究还有待进一步深入。参考文献:[1]张海峰,姜建国.RADIUS协议安全性分析[J].计算机工程,2003,29(7).[2]曹敬,张敬平.RADIUS在远程接入安全认证中的应用[J].计算机工程与应用,2003,39(7).[3]赵东升,孙焕东.基于RADIUS的拨号上网认证计费和管理[J].计算机系统应用,2000(4).[4]崔晓波.RADIUS协议的原理(上)[J].中国数据通信,2001(2):49-51.[5]邹洁.宽带接入认证和计费方式分析[J].广东通信技术,2002(6):15-20.[6]云红艳,高岭.远程访问系统中Radius的应用[J].西北大学学报,2000,30(3).",)