無(wú)線局域網(wǎng)中RADIUS協(xié)議原理與實(shí)現(xiàn)
1 引言
遠(yuǎn)程認(rèn)證撥號(hào)用戶服務(wù)協(xié)議(Remote Authentication Dial In User Service, RADIUS)最初是由Livingston公司提出的一個(gè)為撥號(hào)用戶提供認(rèn)證和計(jì)費(fèi)的協(xié)議。后經(jīng)多次改進(jìn),逐漸成為一項(xiàng)通用的網(wǎng)絡(luò)認(rèn)證、計(jì)費(fèi)協(xié)議,并定義于IETF提交的RFC2865和RFC2866文件中。RADIUS協(xié)議以Client/Server方式工作,客戶端為網(wǎng)絡(luò)接入服務(wù)器(NAS),它向RADIUS服務(wù)器提交認(rèn)證、計(jì)費(fèi)等信息,RADIUS服務(wù)器處理信息并將結(jié)果返回給NAS。
RADIUS協(xié)議的應(yīng)用范圍很廣,在移動(dòng)、數(shù)據(jù)、智能網(wǎng)等業(yè)務(wù)的認(rèn)證、計(jì)費(fèi)系統(tǒng)中都有所應(yīng)用。無(wú)線局域網(wǎng)的802.1X認(rèn)證框架中,在認(rèn)證端也建議使用RADIUS協(xié)議。
本文將論述RADIUS協(xié)議的原理,并探討它在WLAN中的應(yīng)用及實(shí)現(xiàn)方案。
2 RADIUS協(xié)議
2.1 WLAN網(wǎng)絡(luò)模型
實(shí)際商用的無(wú)線局域網(wǎng),可以用局域網(wǎng)交換機(jī)來(lái)實(shí)現(xiàn)802.1X認(rèn)證協(xié)議中的端口控制功能。為保證網(wǎng)絡(luò)的安全性,在無(wú)線局域網(wǎng)的出口和認(rèn)證端應(yīng)加上防火墻。RADIUS服務(wù)器和數(shù)據(jù)庫(kù)還可以采取主、備結(jié)構(gòu),以保證網(wǎng)絡(luò)的健壯性。
網(wǎng)絡(luò)模型如下圖所示:
圖1 無(wú)線局域網(wǎng)網(wǎng)絡(luò)模型
無(wú)線局域網(wǎng)的認(rèn)證端由RADIUS服務(wù)器、網(wǎng)絡(luò)接入服務(wù)器(NAS)和數(shù)據(jù)庫(kù)組成。其中:
NAS:作為RADIUS服務(wù)器的客戶端,向RADIUS服務(wù)器轉(zhuǎn)交用戶的認(rèn)證信息。并在用戶通過(guò)認(rèn)證之后,向RADIUS服務(wù)器發(fā)送計(jì)費(fèi)信息。
RADIUS服務(wù)器:作為認(rèn)證系統(tǒng)的中心服務(wù)器,它與NAS、數(shù)據(jù)庫(kù)相連,它接受來(lái)自NAS提交的信息,對(duì)數(shù)據(jù)庫(kù)進(jìn)行相應(yīng)的操作,并把處理結(jié)果返回給NAS。
數(shù)據(jù)庫(kù):用于保存所有的用戶信息、計(jì)費(fèi)信息和其他信息。用戶信息由網(wǎng)絡(luò)管理員添加至數(shù)據(jù)庫(kù)中;計(jì)費(fèi)信息來(lái)自于RADIUS服務(wù)器;其他信息包括日志信息等。
2.2 RADIUS的數(shù)據(jù)包結(jié)構(gòu)
RADIUS是應(yīng)用層的協(xié)議,在傳輸層它的報(bào)文被封裝在UDP的報(bào)文中,進(jìn)而封裝進(jìn)IP包。RADIUS認(rèn)證使用1812端口,計(jì)費(fèi)使用1813端口。
以太網(wǎng)上的RADIUS封裝后的包結(jié)構(gòu):
RADIUS數(shù)據(jù)包分為5個(gè)部分:
(1) Code:1個(gè)字節(jié),用于區(qū)分RADIUS包的類型:常用類型有:
接入請(qǐng)求(Access-Request),Code=1;接入應(yīng)答(Access-Accept),Code=2;接入拒絕(Access-Reject),Code=3;計(jì)費(fèi)請(qǐng)求(Accounting-Request),Code=4等。
(2)Identifier:一個(gè)字節(jié),用于請(qǐng)求和應(yīng)答包的匹配。
(3)Length:兩個(gè)字節(jié),表示RADIUS數(shù)據(jù)區(qū)(包括Code, Identifier, Length, Authenticator, Attributes)的長(zhǎng)度,單位是字節(jié),最小為20,最大為4096。
(4)Authenticator:16個(gè)字節(jié),用于驗(yàn)證服務(wù)器端的應(yīng)答,另外還用于用戶口令的加密。RADIUS服務(wù)器和NAS的共享密鑰(Shared Secret)與請(qǐng)求認(rèn)證碼(Request Authenticator)和應(yīng)答認(rèn)證碼(Response Authenticator),共同支持發(fā)、收?qǐng)?bào)文的完整性和認(rèn)證。另外,用戶密碼不能在NAS和RADIUS 服務(wù)器之間用明文傳輸,而一般使用共享密鑰(Shared Secret)和認(rèn)證碼(Authenticator)通過(guò)MD5加密算法進(jìn)行加密隱藏。
(5)Attributes:不定長(zhǎng)度,最小可為0個(gè)字節(jié),描述RADIUS協(xié)議的屬性,如用戶名、口令、IP地址等信息都是存放在本數(shù)據(jù)段。
2.3 RADIUS的認(rèn)證、計(jì)費(fèi)過(guò)程
如圖1網(wǎng)絡(luò)模型所示:
(1)申請(qǐng)者登錄網(wǎng)絡(luò)時(shí),NAS會(huì)有一個(gè)客戶定義的Login提示符要求申請(qǐng)者輸入用戶信息(用戶名和口令),申請(qǐng)者輸入相關(guān)的認(rèn)證信息后,等待認(rèn)證結(jié)果。
(2)NAS在得到用戶信息后,將根據(jù)RADIUS的數(shù)據(jù)包格式,向RADIUS服務(wù)器發(fā)出“接入請(qǐng)求”(Access-Request)包。包中一般包括以下RADIUS屬性值:用戶名、用戶口令、訪問(wèn)服務(wù)器的ID、訪問(wèn)端口的ID。
(3)當(dāng)RADIUS服務(wù)器收到“接入請(qǐng)求”包后,首先驗(yàn)證NAS的共享密碼與RADIUS服務(wù)器中預(yù)先設(shè)定的是否一致,以確認(rèn)是所屬的RADIUS客戶端。在查驗(yàn)了包的正確性之后,RADIUS服務(wù)器會(huì)依據(jù)包中的用戶名在用戶數(shù)據(jù)庫(kù)中查詢是否有此用戶記錄。如果用戶信息不符合,就向NAS發(fā)出“接入拒絕”(Access-Reject)包。NAS在收到拒絕包后,會(huì)立即停止用戶連接端口的服務(wù)要求,用戶被強(qiáng)制退出。
(4)如果用戶信息全部符合,服務(wù)器向NAS發(fā)出“接入質(zhì)詢”包(Access-Challenge),對(duì)用戶的登錄請(qǐng)求作進(jìn)一步的驗(yàn)證。其中包括:用戶口令、用戶登錄訪問(wèn)服務(wù)器的IP、用戶登錄的物理端口號(hào)等。NAS收到“接入質(zhì)詢”包后,將消息顯示給用戶,要求用戶進(jìn)一步確認(rèn)登錄請(qǐng)求。用戶再次確認(rèn)后,RADIUS服務(wù)器將比較兩次的請(qǐng)求信息,決定如何響應(yīng)用戶(發(fā)送Access-Accept、Access-Reject或再一次的Access-Challenge)。
(5)當(dāng)所有的驗(yàn)證條件和握手會(huì)話均通過(guò)后,RADIUS服務(wù)器會(huì)將數(shù)據(jù)庫(kù)中的用戶配置信息放在“接入接受”(Access-Accept)包中返回給NAS,后者會(huì)根據(jù)包中的配置信息限定用戶的具體網(wǎng)絡(luò)訪問(wèn)能力。包括服務(wù)類型:SLIP、PPP、Login User、Rlogin、Framed、Callback等等。還包括與服務(wù)類型相關(guān)的配置信息:IP地址、時(shí)間限制等等。
(6)在所有的驗(yàn)證、授權(quán)完成后,局域網(wǎng)交換機(jī)的控制端口被打開。用戶可以通過(guò)交換機(jī)進(jìn)入網(wǎng)絡(luò)。同時(shí),NAS向RADIUS服務(wù)器發(fā)送 “計(jì)費(fèi)請(qǐng)求開始”包(Accounting-Request Start),通知RADIUS服務(wù)器開始計(jì)費(fèi)。當(dāng)用戶下網(wǎng)時(shí),NAS向RADIUS服務(wù)器發(fā)送“計(jì)費(fèi)請(qǐng)求結(jié)束”包(Accounting-Request Stop),RADIUS服務(wù)器根據(jù)計(jì)費(fèi)包的信息計(jì)算用戶使用網(wǎng)絡(luò)的費(fèi)用。#p#
3 WLAN模型中RADIUS認(rèn)證系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)
3.1 WLAN網(wǎng)絡(luò)模型的簡(jiǎn)化
在實(shí)驗(yàn)室的模擬環(huán)境下,由于網(wǎng)絡(luò)用戶少,可以采用中、小型的數(shù)據(jù)庫(kù)來(lái)存放所需信息,并可以將RADIUS服務(wù)器與數(shù)據(jù)庫(kù)在同一主機(jī)上實(shí)現(xiàn)。局域網(wǎng)交換機(jī)可以實(shí)現(xiàn)端口控制功能。網(wǎng)絡(luò)結(jié)構(gòu)可簡(jiǎn)化如下:
圖2 實(shí)驗(yàn)室環(huán)境下WLAN網(wǎng)絡(luò)模型
3.2 NAS設(shè)計(jì)
(1)RADIUS客戶端處理程序:負(fù)責(zé)接收申請(qǐng)者的信息;向RADIUS服務(wù)器提交認(rèn)證、計(jì)費(fèi)、管理等數(shù)據(jù)包;向申請(qǐng)者返回相應(yīng)結(jié)果。
(2)服務(wù)器管理程序:為了方便網(wǎng)絡(luò)管理員對(duì)RADIUS服務(wù)器和數(shù)據(jù)庫(kù)的管理,在NAS主機(jī)上,還可以運(yùn)行服務(wù)器管理程序,管理程序的功能應(yīng)該包括有:管理員模塊(添加、刪除網(wǎng)絡(luò)管理員,設(shè)置管理員權(quán)限等);用戶信息模塊(實(shí)現(xiàn)用戶的查詢、添加、刪除等操作);計(jì)費(fèi)信息模塊(查詢用戶的計(jì)費(fèi)信息,創(chuàng)建、修改、刪除各種不同的計(jì)費(fèi)方式,);日志信息模塊等。
(3)用戶信息的提交:用戶需要向NAS提交用戶信息,有多種方法可以實(shí)現(xiàn),最簡(jiǎn)單的方法是采用Web方式提交。在NAS上建立一個(gè)Web服務(wù)器,這樣,用戶可以直接使用瀏覽器來(lái)和NAS交互,Web服務(wù)器接受到用戶提交的信息后,把這些信息傳給RADIUS的客戶端處理程序。后者把這些信息封裝成RADIUS的接入請(qǐng)求(Access-Request)包格式,通過(guò)認(rèn)證端口(1812)向RADIUS服務(wù)器提出認(rèn)證請(qǐng)求。
(4)計(jì)費(fèi)信息的提交:認(rèn)證通過(guò)之后,NAS客戶端程序通過(guò)認(rèn)證端口(1812)向RADIUS服務(wù)器發(fā)送包含有用戶名、用戶IP、上網(wǎng)起始時(shí)間等信息的“計(jì)費(fèi)請(qǐng)求開始”包(Accounting-Request Start),通知RADIUS服務(wù)器開始計(jì)費(fèi)。RADIUS服務(wù)器在數(shù)據(jù)庫(kù)中紀(jì)錄下相應(yīng)項(xiàng),并返回“計(jì)費(fèi)響應(yīng)”包(Accounting-Response)。當(dāng)用戶下網(wǎng)時(shí),NAS向RADIUS服務(wù)器發(fā)送包含有結(jié)束時(shí)間、數(shù)據(jù)流量等信息的“計(jì)費(fèi)請(qǐng)求結(jié)束”包(Accounting-Request Stop)。后者返回“計(jì)費(fèi)響應(yīng)”包(Accounting-Response)確認(rèn)。
(5)服務(wù)器管理程序的提交:也通過(guò)RADIUS客戶端處理程序來(lái)向RADIUS服務(wù)器提交。客戶端處理程序?qū)⒐芾沓绦虻恼?qǐng)求包裝成標(biāo)準(zhǔn)的RADIUS包格式,并通過(guò)為服務(wù)器管理程序定義一個(gè)端口號(hào)提交給RADIUS服務(wù)器。
3.3 RADIUS服務(wù)器設(shè)計(jì)
RADIUS服務(wù)器處理來(lái)自NAS的各項(xiàng)數(shù)據(jù)和實(shí)現(xiàn)對(duì)數(shù)據(jù)庫(kù)的操作,并返回相應(yīng)的結(jié)果。RADIUS客戶端和服務(wù)器端的協(xié)議通信采用Socket編程來(lái)實(shí)現(xiàn)。
(1)對(duì)數(shù)據(jù)庫(kù)的操作:RADIUS服務(wù)器通過(guò)數(shù)據(jù)庫(kù)接口與數(shù)據(jù)庫(kù)建立起連接。在RADIUS服務(wù)器中用SQL語(yǔ)句實(shí)現(xiàn)所需的數(shù)據(jù)庫(kù)操作模塊(如:用戶、計(jì)費(fèi)、管理員等信息的查詢、添加、修改等操作),當(dāng)RADIUS服務(wù)器需要對(duì)數(shù)據(jù)庫(kù)操作時(shí),就調(diào)用相應(yīng)的模塊。
(2)認(rèn)證包處理:通過(guò)*認(rèn)證端口(1812),來(lái)監(jiān)測(cè)NAS提交的認(rèn)證數(shù)據(jù)包,收到認(rèn)證包后,查詢數(shù)據(jù)庫(kù)驗(yàn)證用戶,并把結(jié)果以RADIUS數(shù)據(jù)包格式從1812端口返回。對(duì)于多個(gè)用戶申請(qǐng)并發(fā)的情況,使用多線程方式處理。
(3)計(jì)費(fèi)包的處理:當(dāng)用戶的認(rèn)證通過(guò)時(shí),查詢?cè)撚脩粲?jì)費(fèi)信息。確定其計(jì)費(fèi)類型、費(fèi)率等。當(dāng)*到NAS在計(jì)費(fèi)端口(1813)提交計(jì)費(fèi)包后,就向數(shù)據(jù)庫(kù)中添加“計(jì)費(fèi)請(qǐng)求開始”包中所提交的計(jì)費(fèi)信息(包括用戶名、上網(wǎng)起始時(shí)間等)。在收到用戶下網(wǎng)的“計(jì)費(fèi)請(qǐng)求結(jié)束”后,根據(jù)包中提交的用戶結(jié)束時(shí)間、數(shù)據(jù)流量等信息,計(jì)算用戶的上網(wǎng)時(shí)長(zhǎng)和數(shù)據(jù)流量,并根據(jù)用戶計(jì)費(fèi)類型來(lái)計(jì)算出用戶本次上網(wǎng)費(fèi)用,記錄入數(shù)據(jù)庫(kù)。
(4)服務(wù)器管理程序請(qǐng)求的處理:*管理程序請(qǐng)求的端口(自定義),收到后解包并執(zhí)行相應(yīng)的處理函數(shù)。
3.4 數(shù)據(jù)庫(kù)的設(shè)計(jì)
用于保存所有的用戶信息、計(jì)費(fèi)信息等。數(shù)據(jù)庫(kù)中包含的表項(xiàng)至少應(yīng)包括以下幾類:
(1) 用戶信息:包括用戶名、口令、認(rèn)證方式、訪問(wèn)權(quán)限、付費(fèi)方式等。
(2) 授權(quán)信息:服務(wù)器返回給用戶的授權(quán)等配置信息,如服務(wù)類型,會(huì)話時(shí)間等。
(3) 計(jì)費(fèi)信息:存放與計(jì)費(fèi)有關(guān)的各種統(tǒng)計(jì)信息。如:上網(wǎng)時(shí)間、計(jì)費(fèi)費(fèi)率、用戶
的歷次上網(wǎng)的數(shù)據(jù)流量和費(fèi)用、用戶帳戶余額等。
(4) 管理員信息:網(wǎng)絡(luò)管理員的ID號(hào)和口令、管理員的權(quán)限。
(5) NAS信息:RADIUS服務(wù)器所屬的各NAS紀(jì)錄。包括各NAS的ID號(hào)、與
RADIUS服務(wù)器的共享密碼等。
(6) 日志信息:保存用戶上網(wǎng)的歷史記錄、網(wǎng)絡(luò)管理員的登錄及操作紀(jì)錄。
3.5認(rèn)證端各部分的實(shí)現(xiàn):
操作系統(tǒng):RADIUS服務(wù)器和NAS均采用Linux(Red Hat 9.0,內(nèi)核Linux-2.4.20-8)作為操作系統(tǒng)。
(1) NAS:
用Apache和Tomcat構(gòu)建一個(gè)支持JSP的Web服務(wù)器,這樣申請(qǐng)者可以通過(guò)Web頁(yè)面來(lái)提交登錄信息。服務(wù)器管理程序主要是處理系統(tǒng)管理員的信息,用QT3.0完成用戶界面。RADIUS客戶端程序(C語(yǔ)言實(shí)現(xiàn))將用戶或系統(tǒng)管理員提交的消息封裝成RADIUS包,并通過(guò)相應(yīng)的端口轉(zhuǎn)發(fā)給RADIUS服務(wù)器。
(2) 數(shù)據(jù)庫(kù):
采用MySQL數(shù)據(jù)庫(kù)來(lái)實(shí)現(xiàn),MySQL是一個(gè)多用戶、多線程SQL數(shù)據(jù)庫(kù)服務(wù)器。它由一個(gè)服務(wù)器守護(hù)程序mysqld和很多不同的客戶程序和庫(kù)組成。Red Hat 9.0中自帶有MySQL服務(wù),將服務(wù)啟動(dòng)即可。我們可以將RADIUS服務(wù)器與SQL數(shù)據(jù)庫(kù)相連,建立用戶數(shù)據(jù)庫(kù)和計(jì)費(fèi)數(shù)據(jù)庫(kù),對(duì)用戶信息和計(jì)費(fèi)信息進(jìn)行有效的管理。
(3) RADIUS服務(wù)器 :
采用freeradius-0.9.0來(lái)搭建RADIUS服務(wù)器,實(shí)現(xiàn)RADIUS協(xié)議,并使用RADIUS服務(wù)器的EAP-Identity認(rèn)證方式(即:RADIUS服務(wù)器對(duì)申請(qǐng)者的用戶名和口令進(jìn)行認(rèn)證)。freeradius的代碼是開源的,可以在www.freeradius.org上下載。另外,實(shí)現(xiàn)時(shí),在freeradius的源碼中添加了數(shù)據(jù)庫(kù)處理模塊以及服務(wù)器管理程序處理模塊。
freeradius支持訪問(wèn)SQL數(shù)據(jù)庫(kù),首先需要建立RADIUS數(shù)據(jù)庫(kù)(以MySQL為例:mysql -uroot -prootpass radius < db_mysql.sql),建立后的數(shù)據(jù)庫(kù)會(huì)包含如下一些表項(xiàng):radcheck:用于指明用戶的認(rèn)證方式;radgroupcheck:將用戶分組進(jìn)行管理,指明各組的屬性,如限定有些用戶組默認(rèn)的認(rèn)證結(jié)果就是Accept或Reject;radgroupreply:對(duì)各用戶組設(shè)定回應(yīng)的屬性;usergroup:指明用戶與組的關(guān)系;radacct:存放與計(jì)費(fèi)有關(guān)的各種統(tǒng)計(jì)信息。我們還可以添加一些我們所需的其他表項(xiàng)。
4 結(jié)束語(yǔ)
RADIUS協(xié)議最初作為撥號(hào)網(wǎng)絡(luò)中協(xié)議,由于它易于管理、可擴(kuò)展性好等特點(diǎn),而逐漸被廣泛使用,成為多種網(wǎng)絡(luò)的認(rèn)證、授權(quán)和計(jì)費(fèi)的協(xié)議。但RADIUS協(xié)議仍然存在諸如:基于Response Authenticatior對(duì)共享密鑰的攻擊、基于User-Password屬性對(duì)用戶密碼的攻擊等安全缺陷。這些都有待于作進(jìn)一步的研究和完善。
