YD/T 1340.1-2005
标准分类号
关联标准
出版信息
相关单位信息
标准简介
YD/T 1340.1-2005.Technical requirements of Authentication Authorization Accounting (AAA) server interface part1: Network Access Server (NAS).
1范囿
YD/T 1340.1规定了为实现窄带网络接人服务器的认证和计费功能的AAA服务器接口的技术要求。
YD/T 1340.1适用于接人窄带网络接人服务器的AAA服务器设备。
为简便起见如无特殊说明,本部分中,网络接人服务器特指窄带网络接人服务器。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
YD/T 1045-2000网络接人服务器(NAS) 技术规范
RFC 2138 (1997)RADIUS协议
RFC 2139 (1997)RADIUS计费协议
RFC 2865 (2000)RADIUS协议(草案标准)
RFC 2866 (2000)RADIUS计费协议(报告)
RFC 2867 (2000)支持隧道协议的RADIUS计费协议(报告)
RFC 2868 (2000)支持隧道协议RADIUS (报告)
RFC 2869 (2000)RADIUS扩展(报告)
RFC 2903 (2000)通用AAA架构
3定义
下列术语和定义适用于本部分。
3.1
网络接入服务器Network Access Server
网络接人服务器(Network Access Server, NAS)是远程访问接人设备,它位于公用电话网/综合业务数字网/公用陆地移动网(PSTN/ISDN/PLMN) 与IP网之间,将拨号用户接人IP网,它可以完成远程接人、实现拨号虚拟专网(VPDN)、 构建企业内部Intranet等网络应用。
3.2
AAA服务器Service/Application Server
提供授权(Authorization)、 认证(Authentication) 和计费(Accounting) 功能的服务器。一般采用RADIUS协议。
标准内容
ICS33.040.40
中华人民共和国通信行业标准
YD/T 1340.1-2005
认证、授权、计费(AAA)服务器认证计费接口技术要求
第一部分:窄带网络接入服务器Technical requirements of Authentication Authorization Accounting (AAA)server interface partl: Network Access Server (NAS)2005-05-11发布
2005-11-01 实施
中华人民共和国信息产业部发布前
规帮性引用文件
缩略语
RADIUS报文格式
报文和属性定义
报文种类
报文局性定义
PADIUS报文内容
附录A(规范性附录
VPDN的业务流程
YD/T 1340.1-2005
YD/T 1340.1-2005
认证、授权、计费(AAA)服务器认证计费接口技术要求分3部分:1.《认证、授权、计费(AAA)服务器认证计费接口技术要求第一部分:窄带网络接人服务器)2.《认证、授权、计费(AAA)服务器认证计费接口技术要求第二部分:宽带网络接人服务器)3.认证、授权、计费【AAA)服务器认证计费接口技术要求第三部分:IP电话》本部分是第一部分。
本部分是以互联网工程任务组(IFTF)制定的RFC 2138、RFC2139等标推为基础,结合我国网络实际情况制定的。
本部分的附录A为规范性附录。
本部分由中国通信标推化协会提出并归口。本部分起草单位:华为技术有限公司信息产业部电信研究院
本部分主要起草人:郑志鹏杨昆方新唐小光1范围
认证、授权、计费(AAA)服务器认证计费接口技术要求
第一部分:窄带网络接入服务器YD/T 1340.1-2005
本部分规定了为实现窄带网络接人服务器的认证和计费功能的AAA服务器接口的技术要求。本部分适用于接人窄带网络接人服务器的AAA服务群设备。为简便起见如无待殊说明,本部分中,网络接人服务器特指窄带网络接入服务器。2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的够改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。YD/T 1045-2000
RFC 2138 (1997)
RFC 2139 (1997)
RFC 2865 (200)
RFC 2866 (2000)
RFC 2867 (2000)
RFC 2868 (2000)
RFC 2869 (2000)
RFC 2903 (2000)
3定义
下列术语和定义适用于本部分。3.1
网络接人服务器(NAS)技术规范RADIUS 协议
RADIUS 计费协议
RADIUS 协议(草案标准)
RADIUS计费协议(报告)
支持隧道协议的RADIUS计费协议(报告)支持隧道协议RADIUS(报告)
RADIUS扩(报告)
通用 AAA架构
网络捷入服务留NetworkAccessServer网络接人服务器(NetworkAccessServer,NAS)是远程访间接人设备,它位于公用电话网/综合业务数字网/公用陆地移动网(PSTN/ISDN/PLMN)与P网之间,将拨号用户接人IP网,它可以完成远程接人、实现拨号避拟专网(VPDN)、构建企业内部Intranet等网络应用。3.2
AAA服务器Service/ApplicationServer提供授权(Authorization)、认证(Authentication)和计费(Accounting)功能的服务器。一般采用RADIUS 协议。
RADIUS Remote Authentication Dial in User Server认证(Authenticution)和计费(Accounting)的标准协议。RADIUS协议采用客户/服务器(Client/Servar)结构,采用UDP作为传输协议。RADFUS的客户端通常运行在接人服务器上,客户端的任务是将1
KAOIKAa
YD/T 1340.1-2005
用户(User)的信息发送到指定的服务器,然后根据服务器的不同响应进行处理。RADIUS 服务器通常运行在一台工作站上,其任务是接收客户发来的请求,认证用户的权限,并返回客户问用户提供服务时所需的配置信息。RADIUS服务器的数据库中存放潜所有的安全信息。4缩略语
下列缩略语适用于本部分。
AuthentinationAuthorizationAccountingNetworkAcceServer
5RADIUS报文格式
(1)RADIUS协议报文的格式定义如图1所示。0
图1中:
Attibules
Code:编号,表示报文类型。
8901234
Identifier
认证。授权和计费
网络接入服务器
Leangh
Authenticator
图1RADIUS协放报文的格式定义
Identiier:标识符,用于匹配请求和响应,78901
Length:长度,包括 Code、Identifier,Length、Authenticataul、Attnibutee 的长度。Authenticator;认证字,作为加密随机数或者报文摘要。Attributes:属性。
(2)报文属性的格式定义如图2所示。0
012345678901234567890
Langth
报文离性的格式定文
图2中:
Type:属性类型。
Length:属性长度,包括 Type、Length 和 Value 的长度。Value:同性值。
6报文和属性定义
YD/T 1340.1-2005
NAS同AAA服务器通过RADIUS协议交互,完感对上两用户的认证,授权和计费。6.1 报文种类
使用以下几种类型的报文,见表1。表 1 报文神类
(Code)
Access-Requeat
Accesa-Accept
Acceas-Rejecl
Acct-Start-Hequest
Accl-Stun-Reeponse
Acxcl-Siap-Requeat
Accl-Stap-Response
Acct-On-Requel
Accl-On-Response
Acct-Of-Request
Acct-Dff-Reaponse
Accl- Update-Request
Acct-Updade-Reaponse
表1中“”表示必选项,“0”表示可选项。认证请求报文
对Acxs-Reqursi报文认证通过的回应报文对Ax编-Request报文认证失败的回应报文讨费开始报文
计费开始响应报文
计费结束报文
计贵结束响应报文
设各费起始报文
设备计费起始响应报文
设备计费整止银文
设备计费数止响应报文
中间计费实时报文
中间计费实时响应报文
Acct-On-Rrqueml在设备启动时发送,是针对设备而言的(Acut-Slart-Regueat是针对用户而言的);Acct-On-Reaponse是对应的响报文。
Acct-Ofr-Request在设备关闭时发送,是针对设备而言的(Accl-Stop-Regura是针对用户而言的);Acet-O-Repunse是对应的响应报文。
Acct-Update-Request在个会话中间(San与Stop之间)发送,实时上报用户的用量信息,可以减少由于网络或者服务器异常时的计费损尖。注意,在中间计费实时报文中的信息是累积的,仰报文中的发送分组数量足从会话开始的总的分组数量,而不是从上一个中间计费实时报文以后的分组数量。Ax-Uplale-Renponge是对应的响应报文。报文属性定义
报文属性义见表2。
表2报文具性定义
User-Name
User-Password
CHAP-Paasword
NAS-IP-Address
Seting
String
String
Address
用户名
PAP 击码
CHAP密码
NAS IP地址同 NAS-Idenlifier 两者必备其,3
YYKAONT KAa
YD/T 1340.1-2005
NAS-Port
Sarvice-Type
Fruned-Pratcol
Frarned-IP-Address
Filter-ID
Frared-MTU
Login-IP--Host
! Iogin-Service
Login-TCP-Port
Reply-Mesage
Cellback--Nuber
Cuilbuck-ID
Vendar-Specific
Sengion-Timedut
Idle-Tipeout
Called-Station-ID
Calling-Siation-ID
NAS-ldenitier
Proxy-Stale
Acel-Sntus-Type
Inleger
Jateger
Integer
Arlnesk
Suring
Integer
Iateger
Integcr
Integer
String
String
String
Suring
Integer
Integer
String
Suring
String
String
String
表2 (续)
户使用的NAS物理端口,非TCP或者UDP端口服务类型:
1-登录服务(Login);
2一慎服务(Framed)
4一回呼植服务(CallbeckFramad):5一外部访间服务(Chuithaund)赖协议:
1一点剂点协设(PPP):
2一串行IP 协议(SLIP)
用户的 IP 地址
CxFFFFFFFF表术用户可以良已定义IF地址 0x FFFFFFFE 表示 NAS 从本地地址池中为用户分配 IP 地址过海器名称
量大传输单元(Maximum Trangmisaion Unit)Login 主机 IP 地址
Lagin 协议类型:
0Telnel:
1--远程登录(Rlogin):
2--TCP 透传 (FCP Clear)
Laogin 使用的 TCP 端
回显信息
回呼电话号码
回呼的日
在Acceae-Aweept报文中山RADIUS Server返回,Client在以店的所有计费报文中使用该属性,并且不能修改该属性内容「商自定义属性
最大许可会话时间、以日为单位最大许可空闲时间,以为单位
接人号码
主叫号码
NAS 标记,同 NAS-IP-Addreas 两者必备其-代理状态
计费报文类别
1一计费开始(Start);
2一计费结束(Stop);
3一实时计费(Interim-Update )7—设备计资启动(Accounting-On):8—设备计费终止(Accounting-U)编号
Acct-Delay-Time
Acct-Inpul-(ctets
Acrt-Output-Octets
Acrt-Seggion-ID
Acci-Autlentic
Acct -Sesgion-Time
Acct-lnpul-Packeta
Arr:-Output-Packete
Aect-Terminate-Ceum
Bion-[D
Acct--Muli-Seg
Ac:t--Link-Cnunt
CHAP-Challenge
NAS-Porl--Type
Port-Limi
Intcger
Integer
Integer
Integer
Integer
Inieger免费标准bzxz.net
Integer
Inleger
Integer
String
Intrger
Integcr
Initeger
表2(铵)
报文卖际发送延退时间、以。为单位接妆字节数
发送字节数
会话标示
认证类型,在计费报文中提供:-RADIUS:
2—本地 (Lical):
3一远端(Remate)
以。为单位
接收数据包数
发送数据包数
1一用户请求(UscrReuesal);
2一载皱丢失 (Logl Cerier):
3—服务丢尖(Loat Bervice);4一空闲超时 (Idle Timrut);
5---会话超时(SeesionTimeoul);6-一管理员量置 (Admin Reset);一管理员重启(AdminReboort):8
一端口错误(Pori Error):
9-NAS销误(NASEmor)
10-NAS 销求 (NAS equest):
11--NAS 重启 (NAS Reboat);
12一端口不再需婴(Port Unneeded);13一够口彼抢占(PortPreempted);14一端口挂起(Port Suspended):13一服务不可用(Service Unavailable);16一回呼(Callbsck);
17—用广错误(UserEmor);
18—土机请求(HaatRequcal)
YD/T 1340.1-2005
在多个相关的连接中使用相间的Aeet-Multi-Seesinn-ID,用于P橱螂巾
通道的数同
CHAP质询
NAS 用户端口类型
D一异步(Async);
[一同步(Syne);
2—ISDN同步(ISDN yne);
3—ISDN异步V.120(ISDNARyHV.120):4-ISDN异步 V.110 (LSDN Asyne V.1I0)最大端口数日
YYKAONTKAa
YD/T 1340.1-2005
Tunnel-Type.
Tunnel-Medium-Type
Tunnel-Clienl-Endpoint
Tunael-Server-Eadpoint
Acct-Tunnel-Carnfelian
Tunncl-Password
6.3RADIUS 报文内容
Intoger
Inleger
String
String
String
String
表3~表17中,“M”表示必选项,6.3.1Acct-On-Request报文
Acct-On-Requesl 报文内容见表 3。表 2 ()
隧避协议:
1一点到点递道协议(PPIP):
3—层 2隧协议(L2TP)
隧道雄体种类:
1—IPv4 (1P version 4) :
2—[Pv6
隧道客户端地址
隧道服务器地址
随遗连接 ID
髓道铜 (密文)
“0”表示可选项。
表 3 Acct-On-Aequsst 择文内容编
6.3.2Acct-On-Response
NASIP-Addres
NAS-Identifier
Prox y-Stale
Acct-Statux-Type
Ac:l-Seaion-ID
Acct-On-Respanse 报文内容见表4,送
NASIP地址,同NAS-Identifier网者必备其NAS 标记,同 NAS-IP-Addre 两者必备其-代理状态
计费状态(T-Accounling-Cn)
会话标示
表 4 。 Acct-On-Response 报文内容号
6.3.3Acct-Off-Aequest报文
Proxy-Statr
Acct-Off-Request 报文内容见表5。值
代理状态
表 5 Acct-Off-Raquest报文内容号
NAS-IP-Address
NAS--Identitier
NASI地址,同NAS-Identifier两者必备共-NAS标记,同NAS-IF-Addreaa两者必备其一编丹
6.3.4Acct-Off-Response
Proxy-State
Acct-Saatus-Type
Acul-Scsaion-ID
Acct-Of-Responee报文内容见表6。表5 续]
代理状态
计费状态(8-Accouing-C)
会话标示
表6Acct-Off-Aesponse报文内客编号
Access-Request
Pruxy-Sialc
Access-Request报文内容见表7。值
尤理状态
表 7 Access-Roques1 报文内容编
6.3.6Access-Accept
Uses-Name
用户名
Ueer-Peagword
CHAP-Pansword
NAS-IP-Addreas
NAS-Poet
Service-Type
Called-StaLion-m
Calling Stalian-ID
NAS-Identiber
Prary-Sumle
CHAP-Challenge
NAS-Port-Type
Acexr-Acriept 报文内容见表8。描述
PAP密码,采用MD5加密
CHAP密码
YD/T 1340.1-2005
NAS IP 地址。 同 NAS-ldentifier 两者必备其-用户使用的 NAS 物理端口
此时返回用产的高正类型。
1—login;
2-Framed
接人号码
主叫号码
NAS 标记,同 NAS-IP-Address 网者必备H-代理状态
质询,在CHAP-Passwurd存在的条件下存在NAS用户端口类型
KAOIKAa
YD/T 1340.1-2005
Acoess-Accept握文内容
Urer-Name
ServiceType
Filter-ID
Framed-MTU
Reply-Mesaage
Seseion-Timeout
Idle-Tmeut
Pruxy-State
Pnrt-Linit
用户名
此时返回用户的真正类型。
1--login:
2--Framed
过陆器
最大传输单元
回显信息
在 Arcesu-Accept 报文中由 KA[DIUS Server 返回, Client在以后的所有于费报文中使用该属性,并直不能您改该属性内容
最大许可上网时间
许可空闲时间
代理状态
最大端口数目
在服务类型 Serrice-Type (属性6)为 Framed 时存在以下属性,见表 9,衰 9 Seryice- Type 为 Framed 时的具性编号
Framed-Protocol
Framed-IP-Addrese
Tunnel-Type
Tunnel-Medium-Type
Fuunel-Ser ver-Endpoin1
Tunel-Pa9word
Callback-Number
Callback-11)
畅协议
IF地址
L2TP 或 FPTP (VPDN 应用)
F前只支持类型,其他类型认为以证护绝(VF应用)(VPDN应用)
(VPDN应用)
同呼号码(夙呼啦用)
(回呼应用)
在服务类型 Service-Type(属性 6)为 login 时必须存在以下属性,见表 10,表 10 Servica-Type 为 login 时的属性号
Lagin-IP-Hut
Lagin-Service
Login-TCP-Por
Lagin Server 的 IP 地址
0Telnet,
I—Rlagin;
2—TCPClear
Login 增
6.3.7Access-Reject
Acce-Rejeet报文内容见表11。
6.3.8Acct-Start-Requast
Iser-Name
Access-Reject 报文内容
用户名
Reply-Message
FProxy-Stalc
Acct-Start-Request报文内容见表12。可显消息
代理状态
表 12 Acct-Start-Request 报文内容编
Acct-Start-Respanse
Jaer-Name
用户名
NAS-IP-Address
NAS-Port
Serrice-Type
Framol-Pmtocol
Framed-[P-Addrse
Called-Station-ID
Culing-Stalion-1I
NAS-IdentiGer
Froxy-State
Ar:I-Status-Type
Acc-Delay-Fine
Acet-Serasion-
Acct-Authentic
Aoct-Muli-Sesion-ID
Acct-Link-Count
NAS-Port-Tyre
Tunnel-Type
Aci:lL-Stan-Response 报文内容见表 13。描
YD/T 1340.1-2005
NAS IP地址,所 NAS-Identifier 两者必备其-NAS 酷口
服务类型
在 Serrice-Type=Framed 时存在在 Servine-Type=Framed 时存在类
接人号码
主叫号码
NAS标记,同NAS-IP-Addresa两者必备其一代理状态
计蛋状态(1-计费正始)
发送该报文的时延
会话标示
授权属性
MP标记(MP应用)
通消的数日(MP应用)
NAS用户端口类型
【VPN应用)
YYKAONT KAa
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。