YD/T 1615-2007
基本信息
标准号: YD/T 1615-2007
中文名称:公众 IP 网络安全要求 —— 基于远端接入用户验证服务协议(RADIUS)的访问控制
标准类别:通信行业标准(YD)
标准状态:现行
出版语种:简体中文
下载格式:.zip .pdf
下载大小:1592194
相关标签: 公众 网络安全 基于 远端 接入 用户 验证 服务 协议 访问控制
标准分类号
关联标准
出版信息
相关单位信息
标准简介
YD/T 1615-2007.Security Requirements for Public IP Based Network - RADIUS Protocol for Access Control.
1范围
YD/T 1615规定了基于RADIUS协议的访问控制要求,包括RADIUS服务器的结构、作用及在网络中的位置, RADIUS认证与计费消息的格式与属性,以及RADIUS认证计费过程、RADIUS的安全机制。
YD/T 1615适用于公众IP网络的接人系统。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注8期的引用文件,其最新版本适用于本标准。
YD/T 1466-2006 IP安全协议(IPSec)技术要求
YD/T 1614-2007 公众IP网络安全要求一基于数字证书的访问控制
3定义 和缩略语
3.1定义
下列定义适用于本标准。
●计费
收集资源使用信息的动作,以用于能力规划、审核、营业额或成本分配。
●计费记录
一条计费记录表述了一个用户在整个会话过程中资源消费的总结。计费服务器可以通过处理中间计费事件或从若于为同一用户服务的设备上收集的计费事件来完成计费记录的创建。
●认证
核实某个实体(客体)身份的动作。
1范围
YD/T 1615规定了基于RADIUS协议的访问控制要求,包括RADIUS服务器的结构、作用及在网络中的位置, RADIUS认证与计费消息的格式与属性,以及RADIUS认证计费过程、RADIUS的安全机制。
YD/T 1615适用于公众IP网络的接人系统。
2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注8期的引用文件,其最新版本适用于本标准。
YD/T 1466-2006 IP安全协议(IPSec)技术要求
YD/T 1614-2007 公众IP网络安全要求一基于数字证书的访问控制
3定义 和缩略语
3.1定义
下列定义适用于本标准。
●计费
收集资源使用信息的动作,以用于能力规划、审核、营业额或成本分配。
●计费记录
一条计费记录表述了一个用户在整个会话过程中资源消费的总结。计费服务器可以通过处理中间计费事件或从若于为同一用户服务的设备上收集的计费事件来完成计费记录的创建。
●认证
核实某个实体(客体)身份的动作。
标准图片预览
标准内容
ICS3304040
中华人民共和国通信行业标准
YD/T 1615-2007
公众IP网络安全要求
-基于远端接入用户验证服务协议(RADIUS)的访问控制
Security Requirements for Public IP Based Network-RADlUSProtocolforAccessControl200704-16 发布
2007-10-01实施
中华人民共和国信息产业部发布前言
范围·
2规范性引用文件
3定义和缩略语
3.1定义·
3.2缩略语
4:RADIUS服务器结构作用及在网络中的位置4.1RADIUS 服务器的结构.:
4.2RADIUS服务器的作用
4.3RADIUS 服务器在树络中的位置5消息的格式与属性
5.1认证消息的格式与属性
5.2让费消息的格式与属性.
6RADIUS 认证、计费过程·
6.1用户的认证:
6.2计费过程
6.3接入服务器与RADIUS服务器间的信息流程7RADIUS的安全机制
7.1对等端问密钥的管理
IPSec 的使用-
KAOIKAa
YD/T 1615-2007
YD/T1615-2007
本标准是“公众卫网络安全”系列标准之-。该系列标准预让的结构及名称如下:1、公众卫网络安全要求一
安全架;
2.公众IP网络安全要求—基于数学证书的访问控制:3.公众IP网络安全要求一基于远端接人用户验证服务协议(RADIUS)的访间控制;4、公众IP网络安全要求—基于Diameter的访问控制。本标准在制定过程中参考了ETFRFC2865、RFC2866。RFC2689、RFC3162等。本标准由中国标推化协会提出并归口。本标雅起草单位:信息产业部电信研究院中国电信集团公司
本标准主要起草人:刘述唐永丽彭俊魏亮毕立波武静陈通张雄I1
1范围
公众P网络安全要求
YD/T1615-2007
基于远端接入用户验证服务协议(RADIUS)的访问控制本标准规定了基下RADIUS协议的访问控制要求,包括RADIUS服务器的结构、作用及在网络中的位置,RADIUS认证与计费消息的格式与属性,以及RADIUS认证计费过程、RADIUS的安全机制。本标雅适用于公众卫网络的接人系统。2
规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的可用文件,其最新版本适用于本标准。YD/T1466-2006
YD/T 1614-2007
3定义和缩略语
3.1定义
下列定义适用丁本标准。
·计费
IP安全协议(IPSec)技术要求
公众IP网络安全要求一基于数字证书的访问控制收集资源使用信息的动作,以用于能力规划、中核、营业额或成本分配。·计费记录
一条计费记录表述了一个用户在整个会话过程中资源消费的总结。计费服务器可以通过处理中间计费事件或从若干为间一用户服务的设备上收集的计费事件来完成计费记录的创建。认证
核实某个实体(客体)身份的动作:·授权
决定一个提出请求的实体(客体)是否被允许访问资源(主体)的动作。争代理
除了转发请求利响应,代理还制定与资源使用和配置相关的策略决定。该工作通常通过跟踪接人服务器设备的状态来完成。代理在收到服务器响应之前一般不会响应客户请求。,当策略被违反时,它可以生成拒绝(Reject)消息。因此,代理必须理解通过它们的消息的语义,而且不一定支持所有的应用。·中间计费
中间计费消息提供一个用户会话过程中资源使用的快照。如果因设备重启动或者其他网络故障,使得会话总结消息或会话记录无法被接收的情况下,它通常用于用户会话的分段记账。●多会话(Multi-session)
KAONIKAa
YD/T 1615-2007
-个多会活表现为若干会话的一个逻辑链接。多会话通过使用Acct-Multi-Session-Id来辨识。多会话的一个举例可以是一个多链路PPP束,该PPP束的每一个分支都是一个会话,而整个PPP束则是一个多会话。
网络接入标识符
网络接入标识符或NAI,在Diameter协议中用来摘录某个用广的身份和域(realm)的信息,身份用来在认证和/或授权过程中标识该用户,而域(réalm)则用于消息的路山。·域
NAI中紧跟在“@”字符后面的字符串。NAI域名必须是惟一的,并且遵从DNS命名空问的管理。在RADIUS中,域名不必遵从DNS命名方式,可以独立。·会话状态
通过跟踪所有经过授权的活动会话,状态代理保留会话状态信息。每个经过授权的会话都与某特殊的业务绑定,其状态为活动,一直到被通知改变为其他状态或到期。子会话
子会话表示一个提供给已有会话的独特的业务(例如Qos或数据特性)。这些业务可以同时(例如在同--会话过程中同时传送语音和数据)或连续发生。会话中的这些改变通过Accounting-Sub-Session-Id来表征。
·RADIUS服务器
RADIUS服务器指支持RADIUS协议,对用户进行计费与认证的服务器,通常由运营商提供与维护。、RADIUS客端
RADIUS客户端指支持RADIUS协议,对于用户进行接人,并把用户的认证信息转发至RADIUS服务器,对用户身份进行认证的设备。3.2缩略语
下列缩略语适用于本标准。
Authentication,AuthorizationandAccountingAsymmetrical Digital Subscriber LoopAttribute Value Pairs
Challenge Handshack Authentication ProtocolCryptagraphic Message SyntarExtensibleAuthenticationProtocolEAP over LAN,
High-Levcl Data Link Contol
Hyper Text Transmission ProtocolInternet Protecol
Local Area Network
Local Area Transport
Link Control Protocul
认证授权和计费
非对称式数据用户线
属性值对
握手认证协议
密码消息语法
可扩展认证协议
局域网上传送EAP协议
高层数据链路控制
超文本传输协议
互联网协议
局域网
局域传送协议
链路控制协议
Maxinum Transmission Unit
Network Access Identifier
Network Access Server
One Time Password
Password Authentication ProtocolPoint to Point Protocol
RADJUS
RemoteAuthentication Dial-In UserServiceRAS
TACACS
Registration, Admissin and StatusStrea Control Transmission ProtocolSerial Line IF
Structure of Managemient InformationSimpleNetwork ManagementProtocolTerminal Access Controller Access Control SystemTransmission Control ProtocolTransport Layer Security
User Datagram Protocol
RADIUS 服务器结构作用及在网络中的位置4.1FADIUS服务器的结构
最大传输单元
网络接入标识
网络接人服务器
一次性码
密码认证协议
点对点协议
Y0/T1615-2007
远端拨人用户验证服务
注册允许和状态协议
流控制传输协议
申行P
管理信息结构
简单网管协议
终端接人控制者接人控制系统协议传输控制协议
传输层安全
用户数据报协议
RADIUS服务器应可以对用进行认证、处理与用户及应用相关的授权并收集计费信息。RADIUS服务器应与一特定的应用模块有接口,这个应用模块用于管授权过程所需的资源。RADIUS系统的组成部分可能会分布在不同的管理域中。4.1.1RADIUS 服务器体系中的组成部分授权规则的评估:授权过程的第一个步骤足为用户或代表用户利益的实体产生一个请求并发向RADIUS服务器。RADIUS服务帮有一套规测来检验这些请求,并做出相应的授权决定。RADIUS服务器应有一套基于规则的引擎,它可以理解请求中的一般信息,不过它不会知道任何具体的应用信息,除非这些信息是可以用布尔值或数值来表述的。应用专用模块:RADIUS服务器最终会与应用专用模块进行交互。对于业务提供者,业务专用模块用于臂理资源并配置服务设备来提供授权服务。它可能也参与投权的决策,因为它具有针对业务的信息。业务专用模块是RADIUS服务器一个分离的体系组成部分,它必须是可被寻址的,因此应在全球命名空间中。
授权事件记录:为了审计,RADIUJS服务器必须具有某种形式的数据库,用来存储有时间戳的事件。这个数据库可以说明曾颁发的授权。策略库:这是一个包含可用的服务与资源数据库,授权的决策就对根据这些进行的,另外进行决策所需的各种策略也应在此数据库。在此,对于服务与资源的命名空问也非常重要,它们必须是从别的RADIUS 服务器上可以寻址的。
请求前转:RADIUS可分布多个管理域的本质,便RADIUS服务器间必须有一种机制,使消息可以3
KAOIKA
YD/T 1615-2007
进行前转。两RADIUS服务器向的通信协议应为端到端的。4.1.2RADIUS服务器的模型
RADIUS服务器应可以处理AAA请求,对其中的内容进行检查,判断应授予什么样的权限,从库中检索策略规则,运行各种本地的功能,并从下列可选项中择其一进行进一步地处理AAA请求的每一个成份:
(1)让连接的应用专用模块对某一成分进行评估;(2)在授权事件记录或策略库中查找回应的结果:(3)把成份前转到其他AAA服务器上进行评估。用户
策略与事件库
RADEUS限务器
戏于规则的引举
鹿用专用模块
图 1AADIUS服务服与其相关部分的关系其他RADILIS服务器
图I显示了连接各个体系组部分的RADIUS服务器,在这个模型里,用户5其他AAA服务与RADIUS服务器发送请求以获得授权,请求消息采用RADIUS协议,RADIUS服务器与应用专用模块及策略库、事作记录库相连接,它们之间的协议不在本标准的范围内。4.2RADIUS服务器的作用
基于RADIUS的AAA服务器,目前泛用丁通带用工AAA服务器应能够对网络接人客户进行认证,处理与用户及应用相关的授权并收集计费信息。一个AAA服务器通常会为一个或多个网络接人设备提供AAA服务。
认证(Authentication)
认证过程是执行AAA任务的第一步,用来判别正在接入的用户的身份;基于RADIUS协议的AAA服务器能够支持多种认证机制,例如PAP和CHAP。授权(Authorization)
授权过程用来授予已经通过认证的用户可以拥有的网络及业务使用权限(例如,分配一个IP地址给用户)。
计费(Accounting)
计费过程对于商用正网络是非常亚要的,它可以实现对允许接人业务的用户记录各种与业务使用费用相关的信息,包括业务使用起心时间,数据流量、该用户使用的网络资源等,除了以上三个基本功能外,基于RADIUS的AAA服务器还应具有以下功能:支持采用加密等技术手段保证客端与服务器之间的信安全,基RADIUJS协议的情况下,仅需要保证逐跳(hop-by-hap)安全。支持简单网管协议(SNMP),可选。4
4.3RADIUS服务器在网络中的位置YD/T1615-2007
RADIUS服务器从所处的网络位置以及承担的功能从逻辑上可以分为代理服务器和普通服务器。AAA系统的组成部分可能会分布在不同的管理域。通常情况下,基于RADIUS的AAA客户端一般会安装在用户接人设备,通过网络与基于RADIUS的AAA服务解通信。同时,基于RADIUS的AAA股务器还可以作为另一个基于RADIUS的AAA服务器或其他认证服务器的代理客户端,这时该AAA服务器被称作代理AAA服务器。
4.3.1本地域用户完成AAA过程的网络配置图2给出了使用基于RADIUS协议的AAA服务器进行用户接人认证和授权的一个典型配置。此时申请接人服务的用户属于本地域,因此可以直接通过本地所属的AAA服务器完成AAA过程。用户数库
ADIUS服务器
接人设备
终碳用户
(RADIUS客户编)
图2本地域用户完成AAA过程的网络配查电网路
察端用户接人一个支持RADIUS客户端服务的接人设备。接人设备从终端用户得到所需的接入认证用户信息(用户名/案码、主叫号码等)接入设备随后使用UDP/IP转发加密过的接人请求给基于RADIUS的AAA服务器。消息4可能还包含类似接入设备端口号D以及IP地址:类的属性。基于RADIUS的AAA服务器随检查用户认证信息的属性是否与自已数据库中存储的信息匹配。如果不匹配,服务器则返担绝接人的消息给接人设备,该消息中可以可选携带指明失败原因的文本信息。接人设备则会通知终端用户认证失败。如果匹配,服务器则返回允许接入的消息给接人设备,该消息中将附带完成连接所需要的任何附加配置信息,例如一个分配给终端用户的P地址或者一个限制待定协议类型的过滤器,如Telnet或HTTP。4.3.2漫游到外地的用户完成AAA过程的网络配置在IP商用网络中,RADIUS系统通常会根据网络本身的结构以及运营商的运营策略进行配置,可能有存在多种不网的情况,例如,全网采用统一的RADIUS服务器进行用户访问控制;或者网内各域拥有自已的RADIUS服务器负责本域内的用广认证计费。如果IP商用网络采用了RADIUS服务器分布式设置的方式,并且执行用户归属地认证的运营策略,则错要服务器支持代理的功能。图3给出了漫游用户通过RADIUS系统进行归属地认证的网络配置。这时,漫游地的RADIUS服务器承担代理服务器的角色。漫游用户接入当地支持客户端服务的接入设备。接入设备从终端用户得到所需的接人认证用户信息(用户名/密码、主叫号码等),随后使用UDP/IP转发加密过的接人请求给设游地RADIUS服务器。消息中可能还包含类似接人设备端口号D以及IP地址一类的属性。KAOIKA
YD/T1615-2007
减用户受据度
RADIU消息
入设备
楚蹭用户
(RADIUS客户响)
侯人地RADIUS
服务器(PROXY)
AAA清岛
P网络A域
扫属池RADIUS
服务器
图3漫游用户完成AAA过程的网络配置B城用户数据库
P网络B款
漫游地的RADIUS服务器根据用户的接人信息应能够判断该用户是否为游用户,如果是,则本地RADIUS服务器向该用户归属地的RADIUS服务器发送接人请求。归属地RADIUS服务器接收到该请求后,检查用户认证信息的候性是否与自己数据库中存储的信息匹配。如果不匹配,服务器则返回拒绝接入的消息给漫游地RADIUS服务器,该消息中以携带可选的指明失败原因的文本信息。如果匹配,服务器则返回允许接入的消息给接人设备,该消息中将附带完成连接所需要的任何附加配暨信息,例如一个分配给终端用户的P地址或者一个限制特定协议类型的过滤器,如Tenet或HTTP。归属地RADIUS服务器接收到认证请求的响应(成功/失败),均会向接人投备发送相应的应答,接人设备应根据应答,通知终端用户是否可以接人。
消息的格式与属性
5.1认证消息的格式与属性
5.1.1认证消息的格式
将RADIUS数据包封装到UDP数据字段,此时UDP耳的端口字段应该是1812(十进制)。生成应箸消意的时候,调换源和目的端口。RADIUS数据格式如下图所示。这些字段按照从左到右的顺序传输。心
0123456 7 890 1 2 34
[属性
较验码
5789012345678901
编码(code)字段:编码字段是一个字节,说明了RADIUS数据包的类型。如果接收到的数据包的编码字段无效,就真接丢弃。
RADIUS编码(十进制)的分配如下所示:6
Access-Reguest
Access-Accept
Access-Rcject
Accounting-Request
Accounting-Response
Access-Challenge(接人口令)Status-Seryer(试验性)
Status-Client(试验性)
保留的
编码12和13留作米来可能的使用情况,在本标准没有过多讨论。YD/T1615-2007bzxZ.net
标识符(Identifier)字段:标识符字段是一个字节,用于匹配中请和应答。RADIUS服务器可以检测到较短时间内具有相同的客户源IP地址,源UDP端口以及标识符的重复巾请。长度字段:长度字段足2个字节,它说明了包括编码、标识符、长度、校验码以及属性字段在内的数据包长度。接收端必须把超出了长度字段范国的字节看作是填充字节并忽略它们。如果数据包比长度字段声明的长度短,则丢弃该数据包。数据包的最短长度是20字节,最长是4096字节。校验码(Authenricator)字段
校验码字段:校验码字段是16节。首先发送最高有效位。这个值用米验证来自RADIUS服务器的应答,它用在口令的隐藏算法中。请求消息的校验字段:在接人请求消息中,校验字段值是请求校验的16字节的随机数字。在口令(在客户和RADIUS服务器之间共享的口令)存在的时间内这个值应该不可预知而且惟一的,因为一个重复的申请值和同样的口令会让人侵者用在前面截取的应答消息来应答。因为希望通过相同的口令来验证在不同地域的服务器,因此请消息校验字段应该其有全局以及暂时惟值。Acces-Request消息包的请求消息校验值应该是不可预测的,以免攻击者欺骗服务器来应答一个预知的未来的请求,然后用这个应答伪装成未来接人请求的服务器。员然RADIUS等协议不能通过实时的方式来保护经过认证的会话不受窃听的攻击,但是生成一个惟的不可预测的请求可以随止大量的击通过认证。接人服务器利IRADIUS服务器共享一个密钥。这个密钥后跟者请求消息校验字段,经过一个单向的MD5计算巾形成一个数字摘要,然后这个值和用户输人的口令进行异或操作,异或的结果放置到Access-Request消息包的用户口令属性字段小。详细的描述请参见属性-.-节中有关用口令的部分。应答消息的校验字段:将接入请求、接人拒绝和Access-Challenge数据包中的Authenticator字段值称作应答Authenticator,该值包括一个通过一组宁节计算出求单向MD5杂散,这些字节包括RADIUS数据包,这个数据包以编码字节开始,包括标识符、长度,以及来白接人请求的请求校验字段,然后就是应答属性,以及共享的口令。也就是说,ResponseAuch=MD5(Code+D+Length+RequestAuth+Attributes+Secret),此处+号标识连接在一起。
如果采用转发代理,在数据包通过的时候,代理必须能够改变数据包一一当代理转发请求的时候,代理可以在请求上加人一个代理状态属性,如果它在请求上加人了代理状态属性,在它转发应答的时候它必须去掉这个属性。代理状态通常加入去掉在其他任何代理状态的后面,但是并没有规定它们在属性KAIKAa
YD/T 1615-2007
列表中的位置。因为是在整个数据包内容的基础上对接人接受以及接入拒绝进行验证,去掉代理状态属性会导致数据包中的签名无效,因此代理必须重新签署该属性。5.1.2认证消息类型
RADIUS数据包类型由数据包的第一个字节中的缩码字段来决定,5.1.2.1Accept-Request
Access-Request消息包发送给RADIUS服务器,它用来携带决定一个用户是否可以接人一个特定的接入服务器的信息以及来自用户的任何特别的业务请求。在从一个有效的客户接收到接人请求的时候,必须发送一个适当的应答消息。接入请求应该包含用户名学属性。它必须包含接人服务器P地址属性或者接入服务器标识符属性(或者两者都包括)。
接入请求必须包含用户口令或者CHAP口令或者状态(STATE】。接人请求不能同时包含用户口令和CHAP口令,如果将来的扩展版本允许传送其他形式的认证信息,在接人请求中可以包含用于这些认证信息的属性而无需包含用户口令或者CHAP口令。接入请求应该包含接人服务器端口或者接人服务器端口类型属性或者两者都包括,除非请求的接人类型不包括端口或者接人服务器不区分端口信息。接人请求还可以包含附加的属性,作为给服务器的一个指示,但是不要求服务器接受这个指示。当出现用户口令的时候,口令采用一种基于RSA消息摘要算法MD5的算法来隐藏它。接人请求格式的如下图所示,这些字段按照从左到有的方向传输。0
0123 456789 012 345670123 45 6 901编鸭
「属性.
编码:接人请求的编码值为I。
标识符
请求校验码
标识符:当属性学段的内容发生变化而且接收到了一个对前一个请求的有效应答的时候,必须改变标识符字段。为了重传的需要,标识符必须保持不变。请求校验码:当采用新的标识符的时候,必须改变请求校验值。属性:属性字段长度是可变的,包含了业务类型需要的属性列表,以及何需要的可选的膚性。5.1.2.2Access-Accept
RADIUS服务器发送Access-Accept消息,这些数据包提供了为用户传送业务所需要的特定的配置信息。如果接人请求中所有的属性值都是可接受的,那么RADIUS必须传送编码值为2的数据包(接人接受)。8
YD/T1615-2007
一H接收到了access-accept,标识符字段与待处理的接人请求匹配。应答校验值字段必须包含对待处理的接人请求的证确应答。丢弃无效的数据包。Access-Accept消息格式如下图所示。这些字段按照从左到右的顺序传送。o
01234567890123456789012345678901缩码
减性·
编码:Access-Accept的编码值是2。标识符
底答较验码
标识符:标识符字段复制了引起Access-Accepl的接入请求的标识符字段。应答校验码:应答校验值是从前面描述过的接人请求值计算出来的。属性;属性字段的长度是可变的,而且包含了0个或者多个属性的一个列表。5.1.2.3Access-Reject
如果任何接收到的属性值都不可接受,那么RADIUS服务器必须发送一个编码字段为3的数据包(access-reject)。它可能包括--个或者多个应答消息属性,在该属性中有一个接人服务器可能显示给用产的文本消意。
Access-Reier数摄包的格式如下图所示。这些字段接照从左到右的顺序发送。0
012456790123456890123456901蕴码
编码:Access-Rejeet的编码值是3。标识特
响应校验码
标识符:标识符字段复制了引起Access-rejeci的接入请求的标识符字段。应答校验符:应答校验符值和前面描述的一样,通过对接人请求值的计而得到。属性:该属性字段的长度可变,它包含了0个或者多个属性的个列表。KAONIKAa
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国通信行业标准
YD/T 1615-2007
公众IP网络安全要求
-基于远端接入用户验证服务协议(RADIUS)的访问控制
Security Requirements for Public IP Based Network-RADlUSProtocolforAccessControl200704-16 发布
2007-10-01实施
中华人民共和国信息产业部发布前言
范围·
2规范性引用文件
3定义和缩略语
3.1定义·
3.2缩略语
4:RADIUS服务器结构作用及在网络中的位置4.1RADIUS 服务器的结构.:
4.2RADIUS服务器的作用
4.3RADIUS 服务器在树络中的位置5消息的格式与属性
5.1认证消息的格式与属性
5.2让费消息的格式与属性.
6RADIUS 认证、计费过程·
6.1用户的认证:
6.2计费过程
6.3接入服务器与RADIUS服务器间的信息流程7RADIUS的安全机制
7.1对等端问密钥的管理
IPSec 的使用-
KAOIKAa
YD/T 1615-2007
YD/T1615-2007
本标准是“公众卫网络安全”系列标准之-。该系列标准预让的结构及名称如下:1、公众卫网络安全要求一
安全架;
2.公众IP网络安全要求—基于数学证书的访问控制:3.公众IP网络安全要求一基于远端接人用户验证服务协议(RADIUS)的访间控制;4、公众IP网络安全要求—基于Diameter的访问控制。本标准在制定过程中参考了ETFRFC2865、RFC2866。RFC2689、RFC3162等。本标准由中国标推化协会提出并归口。本标雅起草单位:信息产业部电信研究院中国电信集团公司
本标准主要起草人:刘述唐永丽彭俊魏亮毕立波武静陈通张雄I1
1范围
公众P网络安全要求
YD/T1615-2007
基于远端接入用户验证服务协议(RADIUS)的访问控制本标准规定了基下RADIUS协议的访问控制要求,包括RADIUS服务器的结构、作用及在网络中的位置,RADIUS认证与计费消息的格式与属性,以及RADIUS认证计费过程、RADIUS的安全机制。本标雅适用于公众卫网络的接人系统。2
规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准。然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的可用文件,其最新版本适用于本标准。YD/T1466-2006
YD/T 1614-2007
3定义和缩略语
3.1定义
下列定义适用丁本标准。
·计费
IP安全协议(IPSec)技术要求
公众IP网络安全要求一基于数字证书的访问控制收集资源使用信息的动作,以用于能力规划、中核、营业额或成本分配。·计费记录
一条计费记录表述了一个用户在整个会话过程中资源消费的总结。计费服务器可以通过处理中间计费事件或从若干为间一用户服务的设备上收集的计费事件来完成计费记录的创建。认证
核实某个实体(客体)身份的动作:·授权
决定一个提出请求的实体(客体)是否被允许访问资源(主体)的动作。争代理
除了转发请求利响应,代理还制定与资源使用和配置相关的策略决定。该工作通常通过跟踪接人服务器设备的状态来完成。代理在收到服务器响应之前一般不会响应客户请求。,当策略被违反时,它可以生成拒绝(Reject)消息。因此,代理必须理解通过它们的消息的语义,而且不一定支持所有的应用。·中间计费
中间计费消息提供一个用户会话过程中资源使用的快照。如果因设备重启动或者其他网络故障,使得会话总结消息或会话记录无法被接收的情况下,它通常用于用户会话的分段记账。●多会话(Multi-session)
KAONIKAa
YD/T 1615-2007
-个多会活表现为若干会话的一个逻辑链接。多会话通过使用Acct-Multi-Session-Id来辨识。多会话的一个举例可以是一个多链路PPP束,该PPP束的每一个分支都是一个会话,而整个PPP束则是一个多会话。
网络接入标识符
网络接入标识符或NAI,在Diameter协议中用来摘录某个用广的身份和域(realm)的信息,身份用来在认证和/或授权过程中标识该用户,而域(réalm)则用于消息的路山。·域
NAI中紧跟在“@”字符后面的字符串。NAI域名必须是惟一的,并且遵从DNS命名空问的管理。在RADIUS中,域名不必遵从DNS命名方式,可以独立。·会话状态
通过跟踪所有经过授权的活动会话,状态代理保留会话状态信息。每个经过授权的会话都与某特殊的业务绑定,其状态为活动,一直到被通知改变为其他状态或到期。子会话
子会话表示一个提供给已有会话的独特的业务(例如Qos或数据特性)。这些业务可以同时(例如在同--会话过程中同时传送语音和数据)或连续发生。会话中的这些改变通过Accounting-Sub-Session-Id来表征。
·RADIUS服务器
RADIUS服务器指支持RADIUS协议,对用户进行计费与认证的服务器,通常由运营商提供与维护。、RADIUS客端
RADIUS客户端指支持RADIUS协议,对于用户进行接人,并把用户的认证信息转发至RADIUS服务器,对用户身份进行认证的设备。3.2缩略语
下列缩略语适用于本标准。
Authentication,AuthorizationandAccountingAsymmetrical Digital Subscriber LoopAttribute Value Pairs
Challenge Handshack Authentication ProtocolCryptagraphic Message SyntarExtensibleAuthenticationProtocolEAP over LAN,
High-Levcl Data Link Contol
Hyper Text Transmission ProtocolInternet Protecol
Local Area Network
Local Area Transport
Link Control Protocul
认证授权和计费
非对称式数据用户线
属性值对
握手认证协议
密码消息语法
可扩展认证协议
局域网上传送EAP协议
高层数据链路控制
超文本传输协议
互联网协议
局域网
局域传送协议
链路控制协议
Maxinum Transmission Unit
Network Access Identifier
Network Access Server
One Time Password
Password Authentication ProtocolPoint to Point Protocol
RADJUS
RemoteAuthentication Dial-In UserServiceRAS
TACACS
Registration, Admissin and StatusStrea Control Transmission ProtocolSerial Line IF
Structure of Managemient InformationSimpleNetwork ManagementProtocolTerminal Access Controller Access Control SystemTransmission Control ProtocolTransport Layer Security
User Datagram Protocol
RADIUS 服务器结构作用及在网络中的位置4.1FADIUS服务器的结构
最大传输单元
网络接入标识
网络接人服务器
一次性码
密码认证协议
点对点协议
Y0/T1615-2007
远端拨人用户验证服务
注册允许和状态协议
流控制传输协议
申行P
管理信息结构
简单网管协议
终端接人控制者接人控制系统协议传输控制协议
传输层安全
用户数据报协议
RADIUS服务器应可以对用进行认证、处理与用户及应用相关的授权并收集计费信息。RADIUS服务器应与一特定的应用模块有接口,这个应用模块用于管授权过程所需的资源。RADIUS系统的组成部分可能会分布在不同的管理域中。4.1.1RADIUS 服务器体系中的组成部分授权规则的评估:授权过程的第一个步骤足为用户或代表用户利益的实体产生一个请求并发向RADIUS服务器。RADIUS服务帮有一套规测来检验这些请求,并做出相应的授权决定。RADIUS服务器应有一套基于规则的引擎,它可以理解请求中的一般信息,不过它不会知道任何具体的应用信息,除非这些信息是可以用布尔值或数值来表述的。应用专用模块:RADIUS服务器最终会与应用专用模块进行交互。对于业务提供者,业务专用模块用于臂理资源并配置服务设备来提供授权服务。它可能也参与投权的决策,因为它具有针对业务的信息。业务专用模块是RADIUS服务器一个分离的体系组成部分,它必须是可被寻址的,因此应在全球命名空间中。
授权事件记录:为了审计,RADIUJS服务器必须具有某种形式的数据库,用来存储有时间戳的事件。这个数据库可以说明曾颁发的授权。策略库:这是一个包含可用的服务与资源数据库,授权的决策就对根据这些进行的,另外进行决策所需的各种策略也应在此数据库。在此,对于服务与资源的命名空问也非常重要,它们必须是从别的RADIUS 服务器上可以寻址的。
请求前转:RADIUS可分布多个管理域的本质,便RADIUS服务器间必须有一种机制,使消息可以3
KAOIKA
YD/T 1615-2007
进行前转。两RADIUS服务器向的通信协议应为端到端的。4.1.2RADIUS服务器的模型
RADIUS服务器应可以处理AAA请求,对其中的内容进行检查,判断应授予什么样的权限,从库中检索策略规则,运行各种本地的功能,并从下列可选项中择其一进行进一步地处理AAA请求的每一个成份:
(1)让连接的应用专用模块对某一成分进行评估;(2)在授权事件记录或策略库中查找回应的结果:(3)把成份前转到其他AAA服务器上进行评估。用户
策略与事件库
RADEUS限务器
戏于规则的引举
鹿用专用模块
图 1AADIUS服务服与其相关部分的关系其他RADILIS服务器
图I显示了连接各个体系组部分的RADIUS服务器,在这个模型里,用户5其他AAA服务与RADIUS服务器发送请求以获得授权,请求消息采用RADIUS协议,RADIUS服务器与应用专用模块及策略库、事作记录库相连接,它们之间的协议不在本标准的范围内。4.2RADIUS服务器的作用
基于RADIUS的AAA服务器,目前泛用丁通带用工AAA服务器应能够对网络接人客户进行认证,处理与用户及应用相关的授权并收集计费信息。一个AAA服务器通常会为一个或多个网络接人设备提供AAA服务。
认证(Authentication)
认证过程是执行AAA任务的第一步,用来判别正在接入的用户的身份;基于RADIUS协议的AAA服务器能够支持多种认证机制,例如PAP和CHAP。授权(Authorization)
授权过程用来授予已经通过认证的用户可以拥有的网络及业务使用权限(例如,分配一个IP地址给用户)。
计费(Accounting)
计费过程对于商用正网络是非常亚要的,它可以实现对允许接人业务的用户记录各种与业务使用费用相关的信息,包括业务使用起心时间,数据流量、该用户使用的网络资源等,除了以上三个基本功能外,基于RADIUS的AAA服务器还应具有以下功能:支持采用加密等技术手段保证客端与服务器之间的信安全,基RADIUJS协议的情况下,仅需要保证逐跳(hop-by-hap)安全。支持简单网管协议(SNMP),可选。4
4.3RADIUS服务器在网络中的位置YD/T1615-2007
RADIUS服务器从所处的网络位置以及承担的功能从逻辑上可以分为代理服务器和普通服务器。AAA系统的组成部分可能会分布在不同的管理域。通常情况下,基于RADIUS的AAA客户端一般会安装在用户接人设备,通过网络与基于RADIUS的AAA服务解通信。同时,基于RADIUS的AAA股务器还可以作为另一个基于RADIUS的AAA服务器或其他认证服务器的代理客户端,这时该AAA服务器被称作代理AAA服务器。
4.3.1本地域用户完成AAA过程的网络配置图2给出了使用基于RADIUS协议的AAA服务器进行用户接人认证和授权的一个典型配置。此时申请接人服务的用户属于本地域,因此可以直接通过本地所属的AAA服务器完成AAA过程。用户数库
ADIUS服务器
接人设备
终碳用户
(RADIUS客户编)
图2本地域用户完成AAA过程的网络配查电网路
察端用户接人一个支持RADIUS客户端服务的接人设备。接人设备从终端用户得到所需的接入认证用户信息(用户名/案码、主叫号码等)接入设备随后使用UDP/IP转发加密过的接人请求给基于RADIUS的AAA服务器。消息4可能还包含类似接入设备端口号D以及IP地址:类的属性。基于RADIUS的AAA服务器随检查用户认证信息的属性是否与自已数据库中存储的信息匹配。如果不匹配,服务器则返担绝接人的消息给接人设备,该消息中可以可选携带指明失败原因的文本信息。接人设备则会通知终端用户认证失败。如果匹配,服务器则返回允许接入的消息给接人设备,该消息中将附带完成连接所需要的任何附加配置信息,例如一个分配给终端用户的P地址或者一个限制待定协议类型的过滤器,如Telnet或HTTP。4.3.2漫游到外地的用户完成AAA过程的网络配置在IP商用网络中,RADIUS系统通常会根据网络本身的结构以及运营商的运营策略进行配置,可能有存在多种不网的情况,例如,全网采用统一的RADIUS服务器进行用户访问控制;或者网内各域拥有自已的RADIUS服务器负责本域内的用广认证计费。如果IP商用网络采用了RADIUS服务器分布式设置的方式,并且执行用户归属地认证的运营策略,则错要服务器支持代理的功能。图3给出了漫游用户通过RADIUS系统进行归属地认证的网络配置。这时,漫游地的RADIUS服务器承担代理服务器的角色。漫游用户接入当地支持客户端服务的接入设备。接入设备从终端用户得到所需的接人认证用户信息(用户名/密码、主叫号码等),随后使用UDP/IP转发加密过的接人请求给设游地RADIUS服务器。消息中可能还包含类似接人设备端口号D以及IP地址一类的属性。KAOIKA
YD/T1615-2007
减用户受据度
RADIU消息
入设备
楚蹭用户
(RADIUS客户响)
侯人地RADIUS
服务器(PROXY)
AAA清岛
P网络A域
扫属池RADIUS
服务器
图3漫游用户完成AAA过程的网络配置B城用户数据库
P网络B款
漫游地的RADIUS服务器根据用户的接人信息应能够判断该用户是否为游用户,如果是,则本地RADIUS服务器向该用户归属地的RADIUS服务器发送接人请求。归属地RADIUS服务器接收到该请求后,检查用户认证信息的候性是否与自己数据库中存储的信息匹配。如果不匹配,服务器则返回拒绝接入的消息给漫游地RADIUS服务器,该消息中以携带可选的指明失败原因的文本信息。如果匹配,服务器则返回允许接入的消息给接人设备,该消息中将附带完成连接所需要的任何附加配暨信息,例如一个分配给终端用户的P地址或者一个限制特定协议类型的过滤器,如Tenet或HTTP。归属地RADIUS服务器接收到认证请求的响应(成功/失败),均会向接人投备发送相应的应答,接人设备应根据应答,通知终端用户是否可以接人。
消息的格式与属性
5.1认证消息的格式与属性
5.1.1认证消息的格式
将RADIUS数据包封装到UDP数据字段,此时UDP耳的端口字段应该是1812(十进制)。生成应箸消意的时候,调换源和目的端口。RADIUS数据格式如下图所示。这些字段按照从左到右的顺序传输。心
0123456 7 890 1 2 34
[属性
较验码
5789012345678901
编码(code)字段:编码字段是一个字节,说明了RADIUS数据包的类型。如果接收到的数据包的编码字段无效,就真接丢弃。
RADIUS编码(十进制)的分配如下所示:6
Access-Reguest
Access-Accept
Access-Rcject
Accounting-Request
Accounting-Response
Access-Challenge(接人口令)Status-Seryer(试验性)
Status-Client(试验性)
保留的
编码12和13留作米来可能的使用情况,在本标准没有过多讨论。YD/T1615-2007bzxZ.net
标识符(Identifier)字段:标识符字段是一个字节,用于匹配中请和应答。RADIUS服务器可以检测到较短时间内具有相同的客户源IP地址,源UDP端口以及标识符的重复巾请。长度字段:长度字段足2个字节,它说明了包括编码、标识符、长度、校验码以及属性字段在内的数据包长度。接收端必须把超出了长度字段范国的字节看作是填充字节并忽略它们。如果数据包比长度字段声明的长度短,则丢弃该数据包。数据包的最短长度是20字节,最长是4096字节。校验码(Authenricator)字段
校验码字段:校验码字段是16节。首先发送最高有效位。这个值用米验证来自RADIUS服务器的应答,它用在口令的隐藏算法中。请求消息的校验字段:在接人请求消息中,校验字段值是请求校验的16字节的随机数字。在口令(在客户和RADIUS服务器之间共享的口令)存在的时间内这个值应该不可预知而且惟一的,因为一个重复的申请值和同样的口令会让人侵者用在前面截取的应答消息来应答。因为希望通过相同的口令来验证在不同地域的服务器,因此请消息校验字段应该其有全局以及暂时惟值。Acces-Request消息包的请求消息校验值应该是不可预测的,以免攻击者欺骗服务器来应答一个预知的未来的请求,然后用这个应答伪装成未来接人请求的服务器。员然RADIUS等协议不能通过实时的方式来保护经过认证的会话不受窃听的攻击,但是生成一个惟的不可预测的请求可以随止大量的击通过认证。接人服务器利IRADIUS服务器共享一个密钥。这个密钥后跟者请求消息校验字段,经过一个单向的MD5计算巾形成一个数字摘要,然后这个值和用户输人的口令进行异或操作,异或的结果放置到Access-Request消息包的用户口令属性字段小。详细的描述请参见属性-.-节中有关用口令的部分。应答消息的校验字段:将接入请求、接人拒绝和Access-Challenge数据包中的Authenticator字段值称作应答Authenticator,该值包括一个通过一组宁节计算出求单向MD5杂散,这些字节包括RADIUS数据包,这个数据包以编码字节开始,包括标识符、长度,以及来白接人请求的请求校验字段,然后就是应答属性,以及共享的口令。也就是说,ResponseAuch=MD5(Code+D+Length+RequestAuth+Attributes+Secret),此处+号标识连接在一起。
如果采用转发代理,在数据包通过的时候,代理必须能够改变数据包一一当代理转发请求的时候,代理可以在请求上加人一个代理状态属性,如果它在请求上加人了代理状态属性,在它转发应答的时候它必须去掉这个属性。代理状态通常加入去掉在其他任何代理状态的后面,但是并没有规定它们在属性KAIKAa
YD/T 1615-2007
列表中的位置。因为是在整个数据包内容的基础上对接人接受以及接入拒绝进行验证,去掉代理状态属性会导致数据包中的签名无效,因此代理必须重新签署该属性。5.1.2认证消息类型
RADIUS数据包类型由数据包的第一个字节中的缩码字段来决定,5.1.2.1Accept-Request
Access-Request消息包发送给RADIUS服务器,它用来携带决定一个用户是否可以接人一个特定的接入服务器的信息以及来自用户的任何特别的业务请求。在从一个有效的客户接收到接人请求的时候,必须发送一个适当的应答消息。接入请求应该包含用户名学属性。它必须包含接人服务器P地址属性或者接入服务器标识符属性(或者两者都包括)。
接入请求必须包含用户口令或者CHAP口令或者状态(STATE】。接人请求不能同时包含用户口令和CHAP口令,如果将来的扩展版本允许传送其他形式的认证信息,在接人请求中可以包含用于这些认证信息的属性而无需包含用户口令或者CHAP口令。接入请求应该包含接人服务器端口或者接人服务器端口类型属性或者两者都包括,除非请求的接人类型不包括端口或者接人服务器不区分端口信息。接人请求还可以包含附加的属性,作为给服务器的一个指示,但是不要求服务器接受这个指示。当出现用户口令的时候,口令采用一种基于RSA消息摘要算法MD5的算法来隐藏它。接人请求格式的如下图所示,这些字段按照从左到有的方向传输。0
0123 456789 012 345670123 45 6 901编鸭
「属性.
编码:接人请求的编码值为I。
标识符
请求校验码
标识符:当属性学段的内容发生变化而且接收到了一个对前一个请求的有效应答的时候,必须改变标识符字段。为了重传的需要,标识符必须保持不变。请求校验码:当采用新的标识符的时候,必须改变请求校验值。属性:属性字段长度是可变的,包含了业务类型需要的属性列表,以及何需要的可选的膚性。5.1.2.2Access-Accept
RADIUS服务器发送Access-Accept消息,这些数据包提供了为用户传送业务所需要的特定的配置信息。如果接人请求中所有的属性值都是可接受的,那么RADIUS必须传送编码值为2的数据包(接人接受)。8
YD/T1615-2007
一H接收到了access-accept,标识符字段与待处理的接人请求匹配。应答校验值字段必须包含对待处理的接人请求的证确应答。丢弃无效的数据包。Access-Accept消息格式如下图所示。这些字段按照从左到右的顺序传送。o
01234567890123456789012345678901缩码
减性·
编码:Access-Accept的编码值是2。标识符
底答较验码
标识符:标识符字段复制了引起Access-Accepl的接入请求的标识符字段。应答校验码:应答校验值是从前面描述过的接人请求值计算出来的。属性;属性字段的长度是可变的,而且包含了0个或者多个属性的一个列表。5.1.2.3Access-Reject
如果任何接收到的属性值都不可接受,那么RADIUS服务器必须发送一个编码字段为3的数据包(access-reject)。它可能包括--个或者多个应答消息属性,在该属性中有一个接人服务器可能显示给用产的文本消意。
Access-Reier数摄包的格式如下图所示。这些字段接照从左到右的顺序发送。0
012456790123456890123456901蕴码
编码:Access-Rejeet的编码值是3。标识特
响应校验码
标识符:标识符字段复制了引起Access-rejeci的接入请求的标识符字段。应答校验符:应答校验符值和前面描述的一样,通过对接人请求值的计而得到。属性:该属性字段的长度可变,它包含了0个或者多个属性的个列表。KAONIKAa
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。