（计算机应用技术专业论文）radius桥模式网关的设计与实现.pdf

上壅匣堇盍堂 壁g d 也盘毽嚣圈羞的遮盐生塞驵 摘要 目前，在企业信息化建设迅速发展的同时，也随之带来了很多网络安全上 的问题，如病毒、黑客攻击等。面对这些问题，防火墙是大家首选的安全防护 方法。但是，防火墙在给企业局域网提供安全保护的同时，也带来了一些问题， 如视频会议被阻断，v p n 不能方便地部署等。还有就是，防火墙技术不能完全 地杜绝i p 地址盗用和m a c 地址欺骗等局域网环境下令人头痛的问题，不能监控 来自内部的攻击以及对内部用户的网络使用进行审计。 本文的研究是以解决上面所描述的问题为出发点，尝试研发一种适合中小企 业的、价格适中的新型安全网关系统，以解决目前该环境所面临的问题。它是以 网桥技术为基础，通过编程将r a d i u s 验证技术嵌入到该网关中，并且通过n e t f i l t e r 的包过滤技术与r a d i u s 有机结合起来，实现对内网进出外网的内部用户进行认 证、控制和审计。通过l i n u x 对网桥的支持，实现了透明网关，方便了视频设备、 v p n 设备的部署。同时利用n e t f i l t e r 内核的最新的功能模块，实现了连接监控和 日志记录，提高了审计能力。结合客户端登录程序，可以严格控制和管理客户终 端的网络连接，解决了局域网中碑地址盗用和m a c 地址欺骗所带来的网络管理 难题。 关键词：r a d i u s ，网桥，网关，n e t f i l t e r ，认证，网络安全，连接跟踪 d e s i g na n dr e a l i z a t i o n o f t h e g a t e w a y b a s e d c n r a d i u sa n d6 r i d g es h a n g h a i n o r m a ld n i v e r s i t y a b s t r a c t n o w a d a n s ，w i t h 铂er a p i dd e v e l o p m e n to fc o r p o r a ：i o ni n f o r m a t i o n - w o r k t h e p r o b l e m so fn e t w o r ks e c u r i t yc o m e ，s u c ha st h ea t t a c k sf r o mv i r u sa n dh a c k e r i n f a c eo ft h e s ep r o b l e m srf i r e w a ni st h ef i r s ta n df o r e m o s tc h o i c et op r o t e c tt h e n e t w o i k b u ta tt h es a m et i m el h ef i r e w a t la l s ob r i n g si n c o n v e n i e n c et ot h e mt h e f i r e w a l li n t e r d i c tt h ev i d e oc o n f e r e n c ea n d n t h ef i r e w a l lc a n l ta v o i dt h e p r o b l e m sf r o mm i s a p p r o p r i a t i n go fi pa d d r e s s a n dd e c e i v i n go fm a c a d d r e s s ，w h a t i st r o u b l e s o m ef o rt h en e t w o r km a n a g e nf u r t h e r m o r e ，t h ef i r e w a i l c a l l ta u d i to r c o n t r o lt h ea t t a c kf r o mt h ei n n e ru s e r s t h i sp a p e rf o c u s e so nt h ep r o b l e m sd e s c r i b e da b o v e ，a n da t t e m p t st os t u d yan e w s e c u r i t yg a t e w a yt o r e s o l v et h ef a c i n gp r o b l e m si nt h ee n v i r o n m e n tw h oi s p r i c e m o d e r a t ea n ds u i t a b l ef o rm e d i u ma n ds m a l l s c a l e de n t e r p r i s e s t h i sn e w g a t e w a ye m p l o y s ar a d i u sc l i e n tt h r o u g he f f e c t i v ep m g r a m m i n g t h e n ，i tc o m b i n e s t h en e f f i h e r p a c k e tf i l t e r i n gt e c h n o l n g ye m b e d d e dw i t h i nt h el i n u xk e r n e lw i t ht h i s r a d i n sc l i e n t s ot h ea u t h e n t i c a t i o n a u t h o r i z a t i o n ，a n da c c e s sc o n t r o l l i n gf o ri n n e r u s e r st or a 3 m ea n dg of r o mp f i v a ! en e t w o r k st o ! m t r a n e tm a yb er e a g z e db yt h e r a d i u sg a t e w a y s i n c ei i a u xh o l do u tb r i d g e a n dt h et r a n s l u c e n tg m e w a yi s r e a l i z e d d i s p o s i n go ft h ev i d e oa n dv p n i sc o n v e n i e n t b e c a u s eo fu s i n gt h en e w m o d u l e so fn e t f i l t e r , t h ec o n n e c t i o nt r a c k i n ga n dl o g g i n gi s r e a l i z e da n dt h e c a p a b i l i t yo fa u d i ti si m p r o v e d b yu s i n gt h el o g i ns o f t w a r eo n c l i e n t sw o r k s t a t i o a s ， w ec a ns t r i c t l yc o n t r o la n dm a n a g en e t w o r kc o n n e c t i o n so ft h ec l i e n t sa n dr e s o l v e t h ep r o b l e m sf r o mm i s a p p r o p r i a t i n go fi pa d d r e s sa n dd e c e i v i n go fm a c a d d r e s s k e yw o r d s ：r a d i u s ，b r i d g e ，g a t e w a y , n e t f i l t e ga u t h e n t i c a t i o n ，n e t w o r ks e c u f i t n c o n n e c t i o nt r a c k i n g 土星垃煎盔堂 壁g d i 坐捶摸基圆羞曲遮让当塞甄 第一章绪论 1 1 、引言 从1 9 9 5 年开始，i n t e r n e t 网络随着我国经济的腾飞，在国内得到了越来越快 的发展，家庭、学校、企业、政府甚至个人都开始接入并且享受互联网带来的便 利和乐趣。电子邮件、远程教育、远程医疗、电子商务、远程视频会议等让人们 真正体验到了高科技的无穷魅力。大家上网的互联网出、入口带宽从几十k b ， 一直扩展到现在的几兆、几十兆、几百兆甚至几g ，上网人数也从开始的几十万， 一直增加到现在的近亿，而且还有愈演愈烈的势头。随之而起，i n t e m e t 的应用也 从最初的科研，到现在己经深入到教育、商务、医疗和家庭等各个领域，成为了 一个世界范围共享的巨大的信息资源宝库，“网络”几乎已经成为了一个家喻户 晓的名词。 由于i n t e m e t 的开放性，网络安全就成为一个必须密切关注且急待解决的问 题，而且，网络安全防护的方式发生了根本变化，使得安全问题更为复杂。传统 的网络强调统一而集中的安全管理和控制，可采取加密、认证、访问控制、审计 以及日志等多种技术手段，且它们的实施可由通信双方共同完成。然而，由于 i n t e m e t 是一个开放的全球网络，其网络结构错综复杂，因此安全防护的方式截然 不同。i n t e m e t 的安全技术涉及传统的网络安全技术和分布式网络安全技术，主要 是用来解决如何利用i n t e m e t 进行安全通信，同时保护内部网络免受外部攻击。 防火墙是设置在被保护网络和外部网络之间的一道屏障，以防止发生不可 预测的、潜在破坏性的侵入。它是设置在不通网络( 如可信任的企业内部网和不 可信任的公共网) 或网络安全区域之间的由软件和硬件设备组合而成的装置，限 制因特网用户对内部网络的访问以及管理内部用户访问外界的权限，换言之，防 火墙在一个被认为是安全和可信的内部网和一个被认为是不那么安全和可信的 外部网络( 通常是因特网) 之间的一个工具【1 1 0 防火墙也是不同网络或网络安全 区域之间信息的唯一出入口，能根据企业的安全政策控制( 允许、拒绝、监测) 出入网络的信息流，且本身具有较强的抗攻击能力。因此，它是提供信息安全服 务、实现网络和信息安全的基础设施。在逻辑上，防火墙是一个分离器，一个限 制器，也是一个分析器，它有效地监控了内部网络和互联网之间的任何活动，保 证了内部网络的安全。 8 趔l 坐捶搓嚣匦羞鲍途让量塞班 土篷虹菹盍堂 但是，这还不是网络安全的全部，计算机安全是一个很广泛的话题，其中安 全网关技术就是实现计算机安全的一种非常重要的技术。 网关是网络安全的门户，它把企业内部网与外部公用网隔开，所以被称为 种边界控制机制。为了安全，把网络安全技术和网关结合任一起，大家都称为安 全网关。它们除了提供信息过滤的基本功能之外，还综合了企业对于安全要求的 大部分其它服务，包括访问控制、用户的认证和授权、病毒检测、内容过滤和封 锁服务等。 l i n u x 是一种免费的类u n i x 操作系统，从内核版本2 0 开始就自带了防火墙 功能。概括起来，l i n u x 系统中的防火墙技术主要经过了三个发展阶段。第一阶 段，2 0 内核中的防火墙i p f w a d m 是从f r e e b s d 的内核代码中移植过来的；第二阶 段，2 2 内核中的防火墙是i p c h a i n s ( 防火墙链1 ；第三阶段，2 4 2 6 内核中的防火墙 包括n e t f i l t e r 防火墙框架和i p t a b l e s 用户空间操作工具。n e t f i l t e r f l p t a b l e s 这 个组合比以前任何一版l i n u x 核的防火墙系统都要完善强大【“。 由此看来，l i n u x 是研究安全网关技术的一个很好的平台，在此基础上，融 合其它安全技术( 女l ：i r a d i u s 认证技术等1 设计出符合中小企业特定安全需要的安全 产品，将是一个不错的方案。本文就是以此作为出发点进行研究的。 1 2 、背景研究 r a d i u s 最初仅是针对拨号用户的a a a 协议。目前，国内大型i s p 大多采用l i n u x 实施用户认证与记帐，但只使用了r a d i u s 所提供的属性字段中有限的几个，如上 网时间、下网时间和字节数等，r a d i u s 字典文件中定义的绝大多数属性还没有被 利用，也就是说，r a d i u s 强大的功能还没有得到充分的开发和应用。国内大型i s p 对r a d i u s 的使用大多是在远程拨号方面【3 】，对于在局域网下使用r a d i u s 的应用还 很少。 目前，国内已经有了把r a d i u s 认证和网关结合起来，同时结合l i n u x 的防火墙 技术，对入网用户进行认证，实现了可认证的“r a d i u s 网关”【4 】t 或者是把r a d i u s 用于宽带计费巴也有一些商业网关防火墙实现了r a d i u s 认证，女n c h e c k p o i n t 6 l 等。但是，在局域网环境下，由于网关作为一个接入服务器，既要负责网络数据 包的传送，又要担负用户非正常掉线检测、日志记录等功能，目前国内外对这些 内容的研究还没有公认的好的解决方法。 土龌盟菹盍堂目堕d i 幽援撞式圆苤的退让量塞现 防火墙在开放和封闭的界面上构造了一个保护层，大多实现t n a t f n e t w o r k a d d r e s s t r a n s l a t o r s ) 地址转换功能，有效防止了来自外部的网络入侵，问时又对 内部用户对外访问进行了控制。由于n a t 使私网内的地址不可路由，因此私网内 的终端无法直接收到外部视频会议终端的呼叫。此外，h 3 2 3 协议川还要求动态 分配一些端口，用来接收呼叫控制信息和建立浯音、视频数据通道，这给n a t f w 下的穿越带来了困难，同时也给网络的物理布局带来了不便。另外，还有 v p n 拨入等，在n a t 结构下也要受到限制。 桥接可以很好地支持视频流、v p n 等服务，同时不影响接入的网络环境结构 和参数。l i n u x 4 0 以上版本已经可以支持桥，l i n u x 下的n e t f i l t e r 软件可以和网桥 结合在一起，同时实现桥接和过滤的功能。因此，充分利用l i n u x 开源和免费的 特点，可以设计一种适合中小企业的价格适中的网关系统。 既然r a d i u s 在用户认证、授权、记帐和管理方面功能强大、方便灵活并可扩 展，网关在保护内部网络安全中也充当了重要的角色，因此，我们可以尝试把 r a d i u s 应用到局域网，将它置入网关，结合l i n u x 下网桥的功能优势，实现对从 内网进出外网的内部用户进行认证、授权、记帐和管理，设计出一种“r a d i u s 桥 模式”网关系统。 1 3 、研究内容和目标 一、研究内容 1 、通过分析r a d i u s 各功能模块，了解协议全部内容及其认证机理和字典中 所包含的特定字段的实际意义，以及分析r a d i u s 软件的体系结构和实现技术，为 实现在网关中嵌入r a d i u s 提供依据。 2 、分析网桥的特点和功能，剖析l i n u x 下网桥的工作原理、特点和应用情况， 分析和比较它们在网络安全结构中的作用和要防范的侧重点，以及它们存在的不 足。 3 、分析l i n u x 下n e t f i l t e r 内核防火墙的功能及实现，充分了解n e t f i l t e r 完善的 可扩展的功能实现框架；利用n e t f i l t e r 的连接跟踪( c o n n e c t i o nt r a c k i n g ) 机制实现网 关的网络连接监控功能；利用n e t f i l t e r 的u l o g 模块实现一种高效实用的日志记 录方法。 4 、充分利用n e t f i l t e r 提供的用户空间开发接口将r a d i u s 的强大功能融合到 塞g d i 堂捶攫式圜差的递进皇实丑 上整| ! 巫整态堂 l i n u x 核防火墙之中，将l i n u x 防火墙技术和用户认证、授权等机制充分结合， 同时借鉴前人的研究成果，把网桥技术应用到网关中，设计出一种高效实用的网 关系统。 二、研究目标 本文的研究目标是在l i n u x 核的桥接年f l n e t f i l t e r 防火墙包过滤等技术基础 上，加入r a d i u s 的身份认证、授权、记帐和日志记录等机制，设计出一种新型网 关。它可以对内网进出外网、内网进出d m z 区的用户进行认证、授权、审计和 管理，可以达到r a d i u s 用户在拨号接入时所取得的效果；基于桥接技术，可以使 视频流和v p n 等特定的服务正常运行且易于部署，不需要改变现有的网络结构和 参数；基于网桥技术，可以实现非v l a n 环境下的i p 子网分割：同时优化局域网环 境下r a d i u s 拨号引起的非正常掉线检测功能和日志记录功能；根据 n e t 6 l t e “i p t a b l e s 下的连接跟踪( c o n n e c t i o nt r a c k i n g ) 机制，实现用户在线连接监 控。这就是本文要研究实现的“r a d i u s 桥模式网关”。 1 4 、本文组织 本文共有九章。第一章是绪论，本章主要介绍了目前面l 临的主要网络安全问 题，阐述了本课题的研究背景、研究内容和研究目标。 第二章是r a d i u s 协议分析。本章全面介绍了r a d i u s 的含义、由来、工作原理、 技术特点及应用，对f r e e r a d i u s 软件作了介绍，在此基础上还分析了r a d i u s 软件 的体系结构和技术实现思想。 第三章是网桥。本章介绍了网桥的在网络中的任务、网络互联模型、工作 原理以及网桥的功能特点。 第四章是l i n u x 内核的n e t f i l t e r 技术。本章阐述了l i n u x 系统的n e t f i l t e r 内核框架、i p t a b l e s 户空间操作工具，并且详细介绍了n e t f i l t e r i p t a b l e s 的状态检测机制。 第五章是l i n u x 下的网桥安全技术。本章论述t l i n u x 下网桥的以太帧过滤技 术、l i n u x 下网桥过滤的特点、l i n u x 下的网桥的两种模式以及l i n u x 下网桥的配 置方法。 第六章是r a d i u s 桥模式网关设计。本章阐述了如何结合r a d i u s 、l i n u x 核的 n e t f i l t e r 技术以及网桥技术，设计提出一种新型安全网关一- - r a d i u s 桥模式网关 4 上堑! 匝夔丕堂 b d i 坐插搓式囹差的逮让量塞强 系统。 第七章是网关的功能模块实现。本章主要阐述了 r a d i u s 桥模式网关的六个主 要功能模块的技术实现，即桥接、用户认证控制、策略分配、日志记录、在线监 控及客户端登录程序。 第八章是系统性能测试及评价。本章对r a d i u s 验证、日志记录、在线监控以 网关的吞吐量进行了测试，对网关的总体性能进行了评价。 第九章是总结。本章对论文的工作进行了总结，并指出了目前r a d i u s 桥模式 网关中一些有待完善和进一步探讨的问题。 基! i 坐叠堪基圆差的丝进皇塞强 篷堕蒸叁堂 第二章r a d i u s 协议分析 2 1 、r a d i u s 简介 r a d i u s ( r e m o t ea u t h e n t i c a t i o nd i a li nu s e rs e r v i c e ) 的全称是远程认证拨入 用户服务【s 】，最初仅是针对拨号用户的a a a 协议，随着用户接入方式的多样化发 展，r a d i u s 也发展为适应多种用户接入方式，如以太网接入，a d s l 接入等的通 用从a 协议。它通过认证授权来提供用户接入服务，通过记账来收集、记录用 户对网络资源的使用。r a d i u s j 报务器把用户的认证信息集中在服务器端，通过支 持r a d i u s 协议的客户端，例直n n a s ，把用户要求的认证信息( 用户名和口令) 送到 r a d i u s 月e 务器认证，只有和服务器中的用户数据信息一致时，力被允许进入网络。 认证信息以加密的形式在客户瑞和服务器问传送，同时r a d i u s 服务器也可通过记 账对用户的网络使用进行管理。 n a s ( n e t w o r ka c c e s ss e r v e r ) 又称网络接入服务器，作为一个r a d i u s 客户端， 它负责给特定的r a d i u s f l 艮务器传送用户信息，然后根据响应执行相应的操作。 1 9 9 7 年1 月，r a d i u s 协议问世，因其结构良好、实现简单和扩展灵活等特点 引起了人们的浓厚兴趣与关注。三个月后，r f c 2 1 3 8 2 1 3 9 草案产生。1 9 9 8 年1 2 月，i e t f ( n 际互联网工程特别工作组) 在第4 3 次会议上成立了a a a 工作组，着手 a a a 相关标准的研究，讨论关于认证、授权和记账的问题。2 0 0 0 年6 月， r f c 2 8 6 5 2 8 6 6 中对r a d i u s 协议进行了进一步的改进和完善，使r a d i u s 协议成为一 项通用的a a a 协议，在a d s l 接入、以太网接入、无线网络接入等领域中得到广 泛应用，成为目前最常用的a a a 协议之一。但是，该协议仍然有不少需要改进 之处，比如基于u d p 的传送、简单的丢包机制、没有关于重传的规定和集中式记 账服务，这些问题使得它不太适应当前网络的发展，需要进一步改进。2 0 0 0 年丌 始对r a d i u s 进行深入讨论，提出r f c 2 8 6 8 ( r a d i u sa t r i b u t e sf o rt u n n e lp r o t o c o l s u p p o r t ) e l r f c 2 8 6 7 ( r a d i u sa c c o u n t i n gm o d i f i c a t i o n sf o rt u n n e lp r o t o c o l s u p p o r t ) 。2 0 0 3 年，i e t f 的a a a 3 2 作组再次从根本上对a a a 体系结构进行了讨沦， 提出r f c 3 5 7 5 一i a n ac o n s i d e r a t i o n sf o rr a d i u s ) 。 2 ，2 、r a dio s 系统体系结构 2 21 、o s 模式 土盘衄菹盔堂 b 9 d i 坚篮撞式囝差的遮让生实现 r a d i u s 是一种c s 结构的协议，它的客户端最初就是n a s ，现在运行在任何 硬件上的r a d i u s 客户端软件都可以成为r a d i u s 的客户端。客户端的任务是把用户 信息( 用户名，口令等) 传给指定的r a d i u s 服务器，并接受服务器的响应。r a d i u s 服务器的任务主要是接受用户的连接请求、对用户身份进行认证以及返回用户接 入网络的所有配置信息。 r a d i u s 协议还规定了重传机制。如果r a d i u sc l i e n t l 自l 某个r a d i u s 服务器提交请 求没有收到返回信息，接入请求报文将被重传数次。经过数次重传失败后，r a d i u s c l i e n t 可以向备份r a d i u s j 艮务器重传。如果有多个备份r a d i u s h 务器，那么，客户 端进行重传的时候，可以采用轮询的方法。具体的重传和轮询算法目前尚属研究 范畴，r f c 2 8 6 5 中没有规定。如果备份r a d i u s j 匣务器的共享保密字和以前r a d i u s 服务器的共享保密字不同，则需要重新进行认证。 r a d i u s 服务器和客户端通过u d p 协议进行通信，采用u d p 的基本考虑是因为 n a s 和r a d i u s 服务器大多在同一个局域网中，使用u d p 更加快捷方便。r a d i u s 服 务器的1 8 1 2 端口负责认证，1 8 1 3 端口负责记账工作。 2 2 2 、分布式结构 r a d i u s 是一个分布式系统，r a d i u s 客户端，主r a d i u s g 务器和多个备r a d i u s 服务器通常分布在网络上。首先，多个n a s 分布在网络上。请求上网者可根据需 要选择接入到相应的n a s 上，所有n a s 将用户的信息，包括自己的信息集中送给 r a d i u s h 艮务器进行a a a 管理。其次，r a d i u s ) 艮务器也是分布式结构，r a d i u s 服务 器可以作为其他r a d i u s 服务器或异种认证服务器的代理客户，支持代理和漫游功 能。简单地说，代理就是一台服务器，负责转发r a d i u s 认证和记账分组，以此实 现让用户通过本来和其无关的r a d i u s j 匣务器进行认证。这样，无论接收拨入呼叫 的位置如何，都可以跨整个系统对呼叫进行认证。 2 3 、r a d iu s 包结构 r a d i u s 包协议主要由编号( c o d e ) 、标识符( i d e n t i f i e r ) 、长度( l e n g t h ) 、识别码 ( a u t h e n t i c a t o r ) 和属性f a t t r i b u t e ) 等几个字段组成，格式如下： b 鲴i 墅携拦式圈苤盥睦吐皇塞现土篷趣堕太堂 睡2 一li t a i ) t l j s 色协议格式 2 3 1 、编号( o o d e ) 编号域共8 个b i t ，用来标明r a d i u s 数据包的类型。若接收到的数据包的编号 域值无效，该数据包将被丢弃。r a d i u s 编号的值分配如下( 十进制) ： 1 ：a c c e s s r e q u e s t “登录一请求” 2 ：a c c e s s a c c e p t “登录一允许” 3 ：a c c e s s r e j e c t “登录一拒绝” 4 ：a c c o u n t i n g r e q u e s t “计费一请求” 5 ：a c c o u n t i n g r e s p o n s e “计费一拒绝” 7 ：p a s s w o r d r e q u e s t “修改口令请求” 8 ：p a s s w o r d - a c k n o w l e d g e1 “修改口令成功” 9 ：p a s s w o r d r e j e c t “修改口令拒绝” 1 1 ：a c c e s s c h a l l e n g e “登录一盘问” 1 2 ：s t a t u s s e r v e r ( e x p e r i m e n t a l ) “状态一服务器”( 实验中) 1 3 ：s t a t u s c l i e n t ( e x p e r i m e n t a l ) “状态一客户机”( 实验中) 2 5 5 ：r e s e r v e d 保留 编号1 2 ，1 3 是为其他可能的应用保留的。编号不在这些值中的数据包为非法 数据包，r a d i u s 服务器会将这些数据包丢掉。 登录请求( a c c e s s r e q u e s t ) 当代码字段的值为1 时，该包是登录请求包。 登录允许( a c c e s s a c c e p t ) 当代码字段的值是2 时，该包是登录允许包。 登录拒绝( a c c e s s r e j e c t ) 当代码字段的值为3 时，该包是登录拒绝包。 上堑娅煎盔堂一 b a j 丛墨援搓式圜羞鲍邋让皇塞现 计费请求( a c c o u n ti n g r e q u e s t ) 当代码字段的值为4 时，该包是计费请求包。 计费响应( a c c o u n t i n g r e s p o n s e ) 当代码字段的值为5 时，该包是计费响应包。 2 3 2 、标识符( i d e n t i f i e t ) 标识符域共8 个b i t ，因为一个认证请求和与之相应的回应有相同的标识符， 因此，标识符用来匹配请求数据包与应答数据包。 2 _ 3 3 、长度( l e n g t h ) 长度域共1 6 个b i t ，它表示整个数据包的长度。一个数据包中超过长度域规定 长度的部分将被忽略，若数据包长度小于长度域规定的长度，该数据包将被丢弃。 长度域最小值为2 0 ，最大值为4 0 9 6 ，记数单位为b y t e 2 3 4 、识别码( a u t h e n tic a t o r ) 识别码共1 2 8 个b i t 。在请求数据包中向量域是一个1 2 8b i t 的随机数，它在公 钥的整个生命周期中不会重复，这样处理是出于安全的考虑。在应答数据中向量 域是一系列数据加密后的结果。若以m d 5 0 表示加密算法，则在应答数据包中的 向量值= m d 5 ( 编码+ 标识符+ 长度+ 请求包中的向量+ 属性+ 公钥) ，其中“+ ”表示级 连。 n a s 与r a d i u s l 艮务器共享一个密钥。把请求向量与该共享的密钥一起经过加 密算法m d 5 后得到的结果与用户口令异或，将异或后的数据打入“登录请求” 数据包中u s e r p a s s w o r d 属性值，使得用户密码以暗文形式在网络中传输。 2 3 5 、属性( a t t rib u t e ) 属性域中所包含的属性有5 0 余种。属性域的长度也会因数据包的类型不同有 所不同。在个数据包中，一个属性可能有多个值，在传送数据和解析数据时， 必须保证同一个属性不同值传送的先后次序不发生变化。而且，不同属性的传送 次序不需要保证不变。 r a d i u s 中的属性包含认证过程中各数据包的信息细节，或者说属性是主要的 信息携带者。r a d i u s 数据包属性格式如下： 圈2 吨l t a d t l j s 数播包属性棒式 9 基a d i 坐擅撞式圜差的丝盐皇塞班 上篷蛭范太堂 2 3 5 1 、类型( t y p e ) 类型域共8 个b i t ，取值范围是1 2 5 5 ，其中值1 9 2 - - 2 2 3 保留作实验使用值， 2 2 4 2 4 0 保留作特殊使用，值2 4 1 - - 2 5 5 保留，不得使用。 2 _ 3 5 2 、长度( l e n g t h ) 属性的长度域共8 个b i t ，表示该属性的长度，以b y t e 为计数单位。如果r a d i u s 服务器收到“登录一请求”数据包的属性的长度与长度域中的数值不相同，则 r a d i u s 服务器就会向该要求登录的客户机( n a s ) 发回“登录一拒绝”数据包。如 果一台客户机( n a s ) 收到的“登录一允许、“登录一拒绝”或是“登录一盘问” 的数据包中的属性长度与属性长度域中的数值不相同，那么该数据包会被去掉或 被作为“登录一拒绝”数据包处理。 2 3 5 3 、值( v a i u e ) 值域可能没有，也可能是几个b y t e ，或是更长。它包含了属性的具体信息， 值域的长度、格式及内容会因属性类型的不同而有所不同。 2 4 、r a diu s 的网络安全 r a d i u s 协议的加密是使用m d 5 ( m e s s a g e d i g e s ta l g o r i t h m5 ) t 9 】加密算法进行 的， r a d i u s 的客户端( n a s ) 和服务器端( r a d i u ss e r v e r ) 通过一个保存在本地的 共享密钥( k e y ) 进行验证，这个密钥不会在网络上传送。另外，所有的用户口 令在客户端和服务器端之间是加密传输的，避免了不安全网络上的黑客探测到密 码。r a d i u s 的加密主要体现在两方面： 1 、在r a d i u s 包中，有1 6 字节的验证字( a u t h e n t i c a t o r ) 用于对包进行签名， 收至l j r a d i u s 包的一方要查看该签名的正确性。如果包的签名不正确，那么该包将 被丢弃，对包进行签名时使用的也是m d 5 算法( 利用密钥) ，没有密钥的人是不 能构造出该签名的，认证响应包的格式如下： r e s p o n s e a u t h = m d 5 ( c o d e + i d + l e n g t h + a u t h e n t i c a t o r + a t t r i b u t e s + k e y ) 2 、口令加密和验证方法 在认证用户时，用户的口令在n a s 和r a d i u s s e r v e r 之间不会以明文方式传 送，而是使用了m d 5 算法对口令进行加密。没有密钥的人是无法正确加密口令的， 也无法正确地对加密过的口令进行解密。 共享密钥称为k e v ，1 6 字节的认证请求验证字( a u t h e n t i c a t o r ) 为a u t h ：将 1 0 上星显洹叁堂 基g d i 坐插撞式回去的遘让皇塞理 口令( p a s s w o r d ) 分割成1 6 字节一段( 最后一段不足1 6 字节时用0 补齐) ，为p 1 、p 2 等， 加密后的口令块为c ( 1 ) 、c ( 2 ) 等。下面运算中b 1 、b 2 为中间值： b i = m d 5 ( k e y + a u t h ) c ( 1 ) = p lx o rb l b 2 = m d 5 ( k e y + c ( 1 ) ) c ( 2 ) = p 2 x o rb 2 b i = m d 5 ( k e y + c ( i 一1 ) ) c ( i ) = p ix o rb i 那么加密后的口令为：c ( 1 ) + c ( 2 ) + + c ( i ) 上面是协议规定的算法( 见附录a ) 。r a d i u ss e r v e r n t 。用多种方式对一个用户进 行验证，它支持p p pp a p 或者c h a p 、u n i xl o g i n 以及其他的验证机制，主要是 使用p a p 和c h a _ p 进行验证【1 0 j 。 p a p ( p a s s w o r da u t h e n t i c a t i o np r o t o c 0 1 ) n a s 把p a pi d 和口令放在 a c c e s s 。r e q u e s t 包内作为u s e r - n a m e 和u s e r - p a s s w o r d 传送，这时n a s 可以包含 属性s e r v i c e t y p e = f r a m e d u s e r 和f r a m e d p r o t o c o l = p p p 作为传送到r a d i u s s e r v e r 的下一跳。 c h a p ( c h a l l e n g eh a n d s h a k ea u t h e n t i c a t i o np r o t o c 0 1 ) n a s 产生一个1 6 字 节的随机码给用户，用户响应并且返回c h a pi d 和c h a p 用户名。n a s 向r a d i u s s e r v e r 发送一个a c c e s s r e q u e s t 包，这个包把c h a p 用户名作为u s e r - n a m e ，把 c h a pi da n dc h a p 响应作为一个c h a p p a s s w o r d 。r a d i u ss e r v e r 根据u s e r - n a m e 查找密码，使用m d 5 算法对c h a pi d ，密码，c h a pc h a l l e n g e j 拄行加密，把加密 后的结果和c h a p p a s s w o r d 属性值进行比较，如果匹配就回传“a c c e s s - a c c e p t ”， 否则就回传“a c c e s s r e j e c t ”。 2 5 、r a d i u s 服务器软件实现分析 一、f r e e r a d i u s 简介 f r e e r a d i u s 是一个高性能且容易配置的开放源代码的r a d i u s 服务器软件，也 是一个用于i n t e m e t 验证的后台程序。它按照r f c2 8 6 5 ( 以及其他的标准) 使用 r a d i u s 协议，允许n a s 对远程拨入的用户进行认证。它针对的客户端有w e b 服务 器、防火墙、u n i x 登录以及其他的验证。它还可以使一个网络进行集中的认证和 授权，从而使添加和删除一个用户的网络设置最小化【1 1 】。 二、f r e e r a d i u s 的功能 旦坦鲢d 耐墓鸯旦羞的遮盐皇塞现 土篷垣菹太堂 1 、认证。使用f r e e r a d i u s 的认证程序进行认证，在数据库中加入认证条件f 如 m a c 认证等) ，实现特色认证，并在认证成功后加入用户a e l ，使用户获得使用网 络的特定授权。 2 、记账。使用f r e e r a d i u s 的记账程序进行记账，用户在登录、退出以及使用 网络时，r a d i u s 服务器会对用户的网络使用进行记账。记账信息可以存储在数据 库中也可以存储到别的数据文件中。 三、f r e e r a d i u s 的特点 1 、完全符6 = r f c 2 8 6 5 2 8 6 6 草案标准，并且开放源代码，可扩展性强。 2 、支持l d a p 、m ：y s q l 、p o s t g r e s q l 、o r a c l e 等数据库。 3 、支持e a p 验证，包括e a p m d 5 、e a p s i m 、e a p t l s 、e a p t t l s 、 e a p p e a p 和c i s c ol e a p 子类型。 4 、支持r a d i u s 代理、错误恢复和负载平衡。 四、r a d i u s 认证和记账实现 本文后面的r a d i u s n 关实现部分需要编程实现r a d i u s 客户端，使其与r a d i u s 服务器进行通信，实现认证和记帐，所以必须充分了解r a d i u s 服务器端软件的实 现。下面仅分析认证和记帐两个部分的软件实现n 1 、认证部分的实现 认证部分实现的基本思路是监听认证端口( 1 8 1 2 ) ，当接收到n a s ( 即r a d i u s 客 户端) 认证请求后， r a d i u s $ ) d t 正服务器根据用户名在用户配置信息表中进行匹配 查找，找到后将密码的明文进行相等比较，相等则返回a c c e p t 消息和用户授权 等相关信息，否则返回r e j e c t 消息。详细实现细节流程详见图2 3 。 图2 - 3r a d t u s 服务器的认 芷潍扭结十句翻 逛哑菹太堂 b g d i 幽赞攫式圆羞酸遘让生塞丑 2 、记帐部分的实现 记帐部分实现的基本思路是监听记帐端h ( 1 8 1 3 ) ，当接收到n a s f 即r a d i u s 客 户端) 记帐请求后，服务唪 n a s 给出记帐响应( r e p o n s e ) ；当用户连接建立后， r a d i u s 记帐服务器就根据用户配置信息中记帐类型开始对该用户的进入流出的 流量进行记帐，若用户连接中断则记帐停止。详细实现细节流程见图2 8 。 i _ ，一- 。一一一一1 翻2 - 4r a d i u s 服务器的记帐流穗躺 墅g 地拯堪茧圆苤盟遮过董塞丑 垦连面堕厶一茎 第三章网桥 3 1 、网桥简介 在o s i 参考模型中，链路层处于第二层，任何一种嘲络结构中都包括链路 层，它是研究如何在两个节点之间可靠地传输数据，把二进制比特流有效地组 织成链路层协议数据单元d p d u 一帧，进行差错控制和流量控制；进行链路 管理，要负责对数据链路的建立、维持和释放，向网络层提供面向连接的服务。 所以，链路层的功能是在节点之间可靠地传输帧协议数据单元，链路层使物理 电路变成了一条无差错的电路 1 2 j 。 网桥提供了网络扩展或l a n 互联的能力，它在相对低的层上连接l a n ， 网桥优于其他连接设备的特点是连接速度可达3 0 0 0 0p p s ( 每秒包) 。 网桥工作在数据链路层，将两个局域网( l a n ) 连起来，根据m a c 地址 ( 物理地址) 来转发帧，可以看作一个“低层的路由器”( 路由器工作在网络层， 根据网络地址如i p 地址进行转发) 。它可以有效地联接两个l a n ，使本地通信 限制在本网段内，并转发相应的信号至另一网段，网桥通常用于联接数量不多 的、同一类型的网段。 3 2 、网桥在网络中的任务 1 、能维持l a n 上的通信，允许在被路由选择的l a n 间通信，通过只转送