无线局域网中radius协议原理与实现.doc

无线局域网中RADIUS协议原理与实现
摘要 RADIUS协议是一个被广泛应用于网络认证、授权和计费的协议。本文在介绍了RADIUS协议原理的基础上,对RADIUS协议的实现做了分析与设计。
1 引言
远程认证拨号用户服务协议(Remote Authentication Dial In User Service, RADIUS)最初是由Livingston公司提出的一个为拨号用户提供认证和计费的协议。后经多次改进,逐渐成为一项通用的网络认证、计费协议,并定义于IETF提交的RFC2865和RFC2866文件中。RADIUS协议以Client/Server方式工作,客户端为网络接入服务器(NAS),它向RADIUS服务器提交认证、计费等信息,RADIUS服务器处理信息并将结果返回给NAS。
RADIUS协议的应用范围很广,在移动、数据、智能网等业务的认证、计费系统中都有所应用。,在认证端也建议使用RADIUS协议。
本文将论述RADIUS协议的原理,并探讨它在WLAN中的应用及实现方案。
2 RADIUS协议
WLAN网络模型
实际商用的无线局域网,。为保证网络的安全性,在无线局域网的出口和认证端应加上防火墙。RADIUS服务器和数据库还可以采取主、备结构,以保证网络的健壮性。
网络模型如下图所示:
图1 无线局域网网络模型
无线局域网的认证端由RADIUS服务器、网络接入服务器(NAS)和数据库组成。其中:
NAS:作为RADIUS服务器的客户端,向RADIUS服务器转交用户的认证信息。并在用户通过认证之后,向RADIUS服务器发送计费信息。
RADIUS服务器:作为认证系统的中心服务器,它与NAS、数据库相连,它接受来自NAS提交的信息,对数据库进行相应的操作,并把处理结果返回给NAS。
数据库:用于保存所有的用户信息、计费信息和其他信息。用户信息由网络管理员添加至数据库中;计费信息来自于RADIUS服务器;其他信息包括日志信息等。
RADIUS的数据包结构
RADIUS是应用层的协议,在传输层它的报文被封装在UDP的报文中,进而封装进IP包。RADIUS认证使用1812端口,计费使用1813端口。
以太网上的RADIUS封装后的包结构:
RADIUS数据包分为5个部分:
(1) Code:1个字节,用于区分RADIUS包的类型:常用类型有:
接入请求(Access-Request),Code=1;接入应答(Access-Accept),Code=2;接入拒绝(Access-Reject),Code=3;计费请求(Accounting-Request),Code=4等。
(2)Identifier:一个字节,用于请求和应答包的匹配。
(3)Length:两个字节,表示RADIUS数据区(包括Code, Identifier, Length, Authenticator, Attributes)的长度,单位是字节,最小为20,最大为4096。
(4)Authenticator:16个字节,用于验证服务器端的应答,另外还用于用户口令的加密。RADIUS服务器和NAS的共享密钥(Shared