资料编码产品名称宽带产品使用对象工程师/合作方工程师/用户产品版本所有版本编写部门固网宽带技术支持部资料版本V1.0

Radius协议原理与应用

拟制：尹启龙日期：2002-02-02 审核：陈锐日期：2005-03-07 审核：日期：

批准：任远日期：2005-03-07

华为技术有限公司

版权所有侵权必究

目录

第1章 AAA和RADIUS介绍 (1)

第2章 RADIUS协议 (3)

2.1 引论 (3)

2.2 客户服务器模式 (3)

2.3 用户<－>NAS<－>Radius业务流程说明 (4)

2.4 网络安全 (4)

2.4.1 包签名： (5)

2.4.2 口令加密： (5)

2.5 AAA在协议栈中的位置 (8)

2.6 良好的可扩展性 (8)

第3章标准RADIUS协议 (9)

3.1 标准Radius协议包结构 (9)

3.2 常用标准Radius属性说明 (12)

3.3 华为公司宽带产品Radius标准属性 (13)

第4章华为公司的Radius扩展协议——Radius+ v1.1 (16)

4.1 Radius+简介 (16)

4.1.1 扩展Radius+的目的 (16)

4.1.2 可靠性、安全性与Radius相同 (16)

4.2 Radius+报文 (16)

4.2.1 Radius+认证报文 (16)

4.2.2 Radius+计费报文 (21)

4.2.3 Radius+新增报文 (25)

第5章华为NAS设备与Radius Server对接应用实例 (29)

5.1 组网图 (29)

5.2 用户认证计费应用实例分析 (29)

5.2.1 合法用户 (29)

5.2.2 非法用户 (33)

修订记录

日期修订版本描述作者2002-02-02 V1.0 初稿完成尹启龙

关键词：

RADIUS AAA PAP CHAP PPP NAS TCP UDP。

摘要：

Radius是Remote Authentication Dial In User Service的简称，即远程验证拨入用户服务。当用户想要通过某个网络(如电话网)与NAS（网络接入服务器）建立连接从而获得访问其他网络的权利时，NAS可以选择在NAS上进行本地认证计费，或把用户信息传递给RADIUS服务器，由Radius进行认证计费；RADIUS 协议规定了NAS与RADIUS 服务器之间如何传递用户信息和记账信息；RADIUS服务器负责接收用户的连接请求，完成验证，并把传递服务给用户所需的配置信息返回给NAS。

本文即针对Radius协议的基本原理和应用做详细介绍。

缩略语清单：

RADIUS：Remote Authentication Dial-In User Service ——远程验证拨入用户服务，一种实现远程AAA的协议。

AAA：Authentication,Authorization,and Accounting ——验证、授权、计费。

PAP：Password Authentication Protocol——口令验证协议。

CHAP：Challenge-Handshake Authentication Protocol——挑战握手验证协议。

PPP： Point-to-Point Protocol——点到点协议，一种链路层协议。

NAS：Network Access Server——网络接入服务器。

TCP：Transmission Control Protocol——传输控制协议。

UDP：User Datagram Protocol——用户数据报协议。

Radius协议原理与应用Radius协议原理与应用文档密级：内部公开第1章 AAA和RADIUS介绍

图1 PSTN,ISDN用户通过NAS上网示意图

如图：用户 lqz, lst 要求得到某些服务(如SLIP, PPP,telnet)，但必须通过NAS, 由 NAS依据某种顺序与所连服务器通信从而进行验证。

注：lst 通过拨号进入NAS, 然后NAS按配置好的验证方式(如PPP PAP, CHAP 等)要求lst输入用户名, 密码等信息。 lst 端出现提示，用户按提示输入。通过与NAS 的连接，NAS得到这些信息。而后，NAS把这些信息传递给响应验证或记账的服务器，并根据服务器的响应来决定用户是否可以获得他所要求的服务。

AAA是验证，授权和记账（Authentication,Authorization,and Accounting）的简称。它是运行于NAS上的客户端程序。它提供了一个用来对验证，授权和记账这三种安全功能进行配置的一致的框架。AAA的配置实际上是对网络安全的一种管理。这里的网络安全主要指访问控制。包括哪些用户可以访问网络服务器？具有访问权的用户可以得到哪些服务？如何对正在使用网络资源的用户进行记账？下面简单介绍一下验证, 授权,记账的作用。

验证(Authentication): 验证用户是否可以获得访问权。可以选择使用RADIUS协议。

授权(Authorization) :授权用户可以使用哪些服务。

Radius协议原理与应用Radius协议原理与应用文档密级：内部公开记账(Accounting) :记录用户使用网络资源的情况。

AAA的实现可采用 RADIUS 协议。 RADIUS 是Remote Authentication Dial In User Service 的简称，用来管理使用串口和调制解调器的大量分散用户。

网络接入服务器简称NAS(Network Access Server) 。当用户想要通过某个网络（如电话网）与 NAS建立连接从而获得访问其他网络的权利（或取得使用某些网络资源的权利）时, NAS起到了过问用户（或这个连接）的作用。NAS负责把用户的验证，授权，记账信息传递给RADIUS服务器。 RADIUS 协议规定了NAS与RADIUS 服务器之间如何传递用户信息和记账信息，即两者之间的通信规则。

RADIUS服务器负责接收用户的连接请求，完成验证，并把传递服务给用户所需的配置信息返回给NAS。用户获得授权后，在其正常上线、在线和下线过程中，Radius服务器还完成对用户帐号计费的功能。