网络安全接入技术

本地认证－CHAP（2）
Secret Password = MD5（Chap ID + Password + challenge）
当用户请求上网时，服务器产生一个16字节的随机码（challenge）给用户 （同时还有一个ID号，本地服务器的 host name）。用户端得到这个包后 使用自己独用的设备或软件对传来的各域进行加密 ，生成一个Secret Password传给NAS。NAS根据用户名查找自己本地的数据库，得到和用 户端进行加密所用的一样的密码，然后根据原来的16字节的随机码进行加 密，将其结果与Secret Password作比较，如果相同表明验证通过，如果 不相同表明验证失败。
NAS
用户
server/client
服务器
路由器或NAS 上运行的AAA程序对 用户来讲为服务器端 ，对 RADIUS服务器来讲是作为客户端，当用户上网时，路由器决定对 用户采用哪种验证方法。下面介绍两种用户与路由器之间（本地验 证、远端验证）的验证方法CHAP和PAP。
12
本地认证－PAP
本地（NAS）验证——PAP方式：
14 Login-IP-Host
对login用户提供的可连接主机的ip地址
15 Login-Service
对login用户可提供的服务
16 Login-TCP-Port
TCP服务端口
18 Reply-Message
认证服务器返回用户的信息
24 State
认证服务器发送challenge包时传送的需在接
PAP（Password Authentication Protocol）是密码验证协议的简 称，是认证协议的一种。
用户以明文的形式把用户名和他的密码传递给NAS，NAS根据用 户名在NAS端查找本地数据库，如果存在相同的用户名和密码表 明验证通过,否则表明验证未通过。
Username Password
响应验证字＝MD5(Code+ID+Length+请求验证字+Attributes+Key)
24
Radius协议包：Authenticator域
5）Attributes：属性
01 0a 62 65 6e 6c 61 64 65 6e
be n l a d e n
Attribute(1)属性 长度为10字节
17
Radius Server
Radius协议在协议栈中的位置
Radius是一种流行的AAA协议，同时其采用的是UDP协议传输 模式，AAA协议在协议栈中位置如下：
Radius协议
18
Radius协议包结构
Attributes:属性
19
Radius协议包各个域解释
各个域的解释： 1、Code：包类型；1字节；指示RADIUS包的类型。 2、Identifier：包标识；1字节；用于匹配请求包和响应包，同一
HWTACACS故障问题
2
课程内容
第一节：AAA介绍 第二节：RADIUS协议介绍 第三节：HWTACACS协议介绍 第四节：AAA基本配置 第五节：RADIUS基本配置 第六节：HWTACACS基本配置 第七节：配置举例及故障分析
3
AAA概述
验证（Authentication） 授权（Authorization） 计费（Accounting）
华为3Com网络学院第六学期
第3章 网络安全接入技术
ISSUE 1.0
华为3Com培训中心
华为3Com公司版权所有，未经授权不得使用与传播
课程目标
学习完本课程，您应该能够：
掌握AAA原理与基本配置 掌握RADIUS协议原理与基本配置
掌握HWTACACS协议原理与基本配置 学会分析处理基本的AAA、RADIUS、
9
RADIUS 服务器组成
RADIUS服务器
users
clients
Dictionary
10
RADIUS 服务器实现AAA流程
用户上网 授权并允许用户上网
用户下网
RADIUS服务器
验证请求 验证授权通过 计费开始请求 计费开始应答
计费结束请求 计费结束应答
11
RADIUS结构及基本原理
RADIUS协议采用客户机/服务器（Client/Server）结构，使用 UDP协议作为传输协议。
Secret Password = MD5（Chap ID + Password + challenge）
Challenge、主机名、CHAP ID
CHAP ID、Username、Secret password
我查...... 我算…… 我验……
用户 （PPP）
验证结果
14
NAS （Radius Client）
8
RADIUS概述
RADIUS（Remote Authentication Dial-in User Service）是当 前流行的安全服务器协议。
实 现 AAA （ 授 权 Authorization 、 验 证 Authentication 和 计 费 Accounting）功能。
RADIUS使用UDP作为传输协议，具有良好的实时性，同时也 支持重传机制和备用服务器机制，从而有较好的可靠性。
28
Idle-Timeout
32
NAS-Identifier
33
Proxy-State百度文库
60
Chap-Challenge
61
Nas-Port-Type
62
Port-Limit
意义
可扩展属性 在认证通过报文或Challenge报文中，通知 NAS该用户可用的会话时长 （时长预付费） 允许用户空闲在线的最大时长 标识NAS的字符串 NAS通过代理服务器转发认证报文时服务 器添加在报文中的属性 可以代替认证字字段传送challenge的属性 接入端口的类型 服务器限制NAS为用户开放的端口数
我查...... 我验……
用户 （PPP）
验证结果
NAS （Radius Client）
13
本地认证－CHAP（1）
本地（NAS）验证——CHAP方式：
CHAP（Challenge Handshake Authentication Protocol）是查询 握手验证协议的简称，是我们使用的另一种认证协议。
下来的认证报文中回应的字符串（与Acess-
Challenge相关的属性）
25 Class
认证通过时认证服务器返回的字符串信息，
要求在该用户的计费报文中送给计费服务器
33
Radius协议属性 （三）
认证报文的常用属性（3）：
属性值
26 27
属性名称
Vendor-Specific Session-Timeout
1 ---表示计费开始报文 2 ---表示计费结束报文 3 ---表示计费更新报文 7 ---表示Accounting-On 报文
31
Radius协议属性 （一）
认证报文的常用属性（1）：
属性值 1 2 3 4 5 6 7 8 9 10 11 12
属性名称 User-Name User-Password Chap-Password Nas-IP-Address Nas-Port Service-Type Framed-Protocol Framed-IP-Address Framed-IP-NetMask Framed-Routing Filter-Id Framed-MTU
28
Radius协议属性
4. Vendor-Specific 该属性用于携带各厂商自己扩展的属性
29
Radius协议属性
5. Session-Timeout 该属性指明允许用户使用的最大时长
30
Radius协议属性
6.Acct-Status-Type 该属性指明计费报文的类型 该属性出现在计费报文中不同的取值标志出不同的意义
25
Radius协议属性
1.User-Name 该属性指定了要进行认证的用户名
26
Radius协议属性
2.User-Password 该属性指定了要认证的用户的口令，用户口令加密后存放在该
属性中
27
Radius协议属性
3.NAS-IP-Address 该属性指明了发起认证请求的设备的IP 地址
Acct-Output-Octets 输出字节数
34
Radius协议属性 （四）
认证报文的常用属性（4）：
属性值
40 41 42 43 44 45 46 47 48 49 50 51
属性名称
意义
Acct-Status-Type 计费请求报文的类型
Acct-Delay-Time Radius客户端发送计费报文耗费的时间
Acct-Input-Octets 输入字节数
本地实现AAA
AAA 服务器
使用服务器实现AAA
4
AAA的认证功能
本地认证
AAA 服务器 远端认证
5
AAA的授权功能
本地授权
RADIUS 服务器 远端授权
6
AAA的计费功能
RADIUS 服务器/TACACS服务器 远端计费
7
课程内容
第一节：AAA介绍 第二节：RADIUS协议介绍 第三节：HWTACACS协议介绍 第四节：AAA基本配置 第五节：RADIUS基本配置 第六节：HWTACACS基本配置 第七节：配置举例及故障分析
我查...... 我算…… 我验……
Challenge、主机名、CHAP ID
CHAP ID、Username、Secret password
Username、Secret、Password、 Challenge、CHAP ID
用户 （PPP）
验证结果、授权
验证结果、授权 NAS （Radius Client）
组请求包和响应包的Identifier应相同。 3、Length：包长度；2字节；整个包的长度。 4、Authenticator：验证字；16字节；用于对包进行签名。
20
Radius协议包：code域
1）Code：包的类型 包类型占1个字节，定义如下： 1 Access-Request——请求认证过程 2 Access-Accept——认证响应过程 3 Access-Reject——认证拒绝过程 4 Accounting-Request——请求计费过程 5 Accounting-Response——计费响应过程
22
Radius协议包：Length域
3）Length：包长度 整个包长度,包括 Code，Identifier，Length，Authenticator，Attributes域的长度。
23
Radius协议包：Authenticator域
4）Authenticator：验证字 该验证字分为两种： 1、请求验证字——Request Authenticator 用在请求报文中，必须为全局唯一的随机值。 2、响应验证字——Response Authenticator 用在响应报文中，用于鉴别响应报文的合法性。
Challenge Username、Secret、Password Key
用户 验证结果
NAS
（PPP）
（Radius Client）
验证结果
16
Radius Server
远端认证－CHAP
远端（Radius）验证——CHAP方式：
Secret password = MD5（Chap ID + Password + challenge）
21
Radius协议包：Identifier域
2）Identifier：包标识 包标识，用以匹配请求包和响应包。 该字段的取值范围为0～255；
协议规定： 1 、 在 任 何 时 间 ， 发 给 同 一 个 RADIUS 服 务 器 的 不 同 包 的 Identifier域不能相同，如果出现相同的情况，RADIUS将认为 后一个包是前一个包的拷贝而不对其进行处理。 2、Radius针对某个请求包的响应包应与该请求包在Identifier上 相匹配（相同）。
15
远端认证－PAP
远端（Radius）验证——PAP方式：
Secret password =Password XOR MD5（Challenge ＋ Key） (Challenge就是Radius报文中的Authenticator)
我查......
我算……
我验……
Key Username、Password
意义 用户名 用户密码 Chap认证方式中的用户密码 Nas的ip地址 用户接入端口号 服务类型 协议类型 为用户提供的IP地址 地址掩码 为路由器用户设置的路由方式 过滤表的名称 为用户配置的最大传输单元
32
Radius协议属性 （二）
认证报文的常用属性（2）：
属性值 属性名称
意义
13
Framed-Compression 该连接使用压缩协议