RFC2865在用户服务中的远程身份验证拨号(RADIUS)(3)

RFC2865 NetWare/IP Domain Name and Information 远程拨入用户认证服务

和密码。或许也可以选择一种配置连接协议，比如像点对点的传输协议（Point-to-Point Protocol）,通过认证包来传递这种认证信息。

一旦客户端收到此类信息，它会选择使用RADIUS协议进行认证。之后，客户端创建一个“接入请求”数据包，此包包含了诸如像用户名、用户密码、客户机ID、用户正在访问的端口编号。当密码出现时，有一种基于RSA实验室的信息分类算法（Message Digest Algorithm）MD5[3]的方法对其加密。

“接入请求”是通过网络提交给RADIUS服务器。如果在一定长度的时间里，服务器没有返回响应信息，请求会被重复传输许多次。在主服务器故障或不能连接到的情况下，客户端也可以继续向一个或多个后备服务器发出请求。后备服务器在多次尝试连接主服务器失败后，或在一轮循环方式结束后被选择连接。重试和回退算法是当前研究的课题，本文不对它做详细说明。

一旦RADIUS服务器收到请求信息，它会对传输信息的客户端进行验证。一个来自没有和RADIUS服务器具有共享机密的客户端请求，该数据包会被简单的丢弃。如果客户端是合法的，RADIUS服务器会查询用户数据库找到这个用户，把查询到的用户名同请求中的进行比较。数据库中的用户记录包含了一组对用户来说必须满足的用户接入条件，它不只是包含用户的密码验证信息，而且也可以指定允许接入的客户端和端口号。

在为了满足某个请求时，RADIUS服务器也可以作为客户端，向其他服务器传输请求。 如果任何“代理状态（Proxy-State）”属性出现在接入请求数据包中，它们都必须在不做任何更改和保持原顺序的前提下拷贝到响应数据包中。其他属性可以放到“代理状态（Proxy-State）”属性的前面、后面甚至是中间。

如果有任何条件没有得到满足，RADIUS服务器会发出一个“接入拒绝（Access-Reject）”响应，表示该用户请求是无效的。如果要求的话，RADIUS服务器可以在接入拒绝响应中包含文本消息，此文本消息可以通过客户端显示给用户。除了代理状态（Proxy-State）属性外没有任何其他属性允许存在于接入拒绝（Access-Reject）响应中。

如果所有的条件被满足而且服务器会传输一个用户必须响应的盘问，因此RADIUS服务器会传输一个“接入盘问（Access Challenge）”响应。它或许会包含一个文本信息，可以在用户端向用户显示的响应提示，并可以包含一种状态属性。

如果客户端收到接入盘问而且支持“盘问／响应（challenge/respond）”,如果有的话，它会向用户显示文本信息，并提示用户做出响应。然后，客户端再次提交一个包含新请求号的源接入请求，并用加密响应代替用户密码属性，如果有的话，还包括来自接入盘问的状态属性。状态属性应该仅有0或1两个常数出现在一个请求中。服务器可以用“接入接受（Access-Accept）”、“接入拒绝(Access-Reject)”或“接入盘问（Access-Challenge）”对这个新接入请求进行响应。

如果所有的条件都被满足，用户的配置值表被置于接入允许响应中。这些值包含了服务类型(如：串行线路接口协议(SLIP)，点对点传输协议(PPP)，登录用户（Login User）)和交付要求服务的所有必须值。对串行线路接口协议（SLIP）和点对点传输协议（PPP）来说，这些值也许包括诸如IP地址、子网掩码、最大传输单元（MTU），要求压缩率和指定的包过滤标志。对字符模式的用户，这些值或许还包括请求的协议和主机。

2.1盘问／响应

在盘问响应认证过程中，用户被给予一个不可预知的数字，并要求对此数字加密后返回

6

RFC2865 NetWare/IP Domain Name and Information 远程拨入用户认证服务

结果。已授权用户装备有特殊的设备，如智能卡或软件，它们能不费力的计算出正确响应结果。没有授权的用户仅仅只能对响应进行猜测，因为他们缺少适当的设备或软件和必需的密钥知识来模拟此种设备或软件。

接入盘问报文典型地包含一个回复信息，此信息中包括一个可以显示给用户的盘问，例如一个不可能被重复的数值。典型的情况是来自扩展服务器，扩展服务器是知道那一类鉴别码对应这个已经被授权的用户，因此能选择一个适当基数和长度的随机的或不重复的伪随机数。

用户然后把这个盘问（不重复的数值）输入到他的设备或软件中，并计算出一个响应值，用户将此值输入到客户端，由客户端通过第二个接入请求数据包把它提交给RADIUS服务器。如果响应报文是与RADIUS服务器预期的响应报文匹配，则服务器会回送一个接入允许数据包，否则是回送接入拒绝数据包。

例如，网络接入服务器传输一个接入请求数据包给RADIUS服务器，包中包含网络接入服务器的标识，网络接入服务器的端口号，用户名，用户密码（此密码或许是一个像“challenge”似的固定字符串，或者是被忽略的）。服务器送回一个具有状态和回复消息的接入盘问数据包，其中回复消息包含有 “challenge 12345678，在提示处输入你的响应值”信息，这几行信息可由接入服务器显示给用户。网络接入服务器（NAS）为这个响应提供提示信息，传输一个新的接入请求给服务器（用新的包编号），包括NAS标识、NAS端口号、用户名、用户密码（刚才由用户输入的响应值，现在已经加密），和来自服务器端接入盘问中相同的状态属性。根据判断响应值是否与要求的值匹配，服务器送回一个接入允许或接入拒绝数据包，或者甚至会传输另一个接入盘问数据包。 …… 此处隐藏：774字，全部文档内容请下载后查看。喜欢就下载吧 ……