第十章安全通信协议及交易协议介绍.ppt

RADIUS概述 RADIUS (Remote Authentication Dial-in User Service)是当前流行的安全服务器协议 实现AAA（授权Authorization、验证Authentication和计费Accounting）功能 RADIUS结构及基本原理 RADIUS协议采用客户机/服务器（Client/Server）结构，使用UDP协议作为传输协议 RADIUS使用MD5加密算法对数据包进行数字签名，以及对口令进行加密 RADIUS包机构灵活，扩展性好，采用UDP发送 Code identifier length Authenticator Attributes 0 1 2 3 4 5 0 8 16 24 1）为什么使用UDP？ 1.NAS和RADIUS服务器之间传递的一般是几十至上百个字节长度的数据，用户可以容忍几秒到十几秒的验证等待时间。当处理大量用户时服务器端采用多线程，UDP简化了服务器端的实现过程。 2.TCP是必须成功建立连接后才能进行数据传输的，这种方式在有大量用户使用的情况下实时性不好。 3.当向主用服务器发送请求失败后，还要必须向备用的服务器发送请求。于是RADIUS要有重传机制和备用服务器机制，它所采用的定时，TCP不能很好的满足。 2）Client/Server结构 RADIUS采用客户/服务器（Client/Server）结构： 1.RADIUS的客户端通常运行于接入服务器（NAS）上，RADIUS服务器通常运行于一台工作站上，一个RADIUS服务器可以同时支持多个RADIUS客户（NAS）。 2.RADIUS的服务器上存放着大量的信息，接入服务器（NAS）无须保存这些信息，而是通过ADUIS协议对这些信息进行访问。这些信息的集中统一的保存，使得管理更加方便，而且更加安 全。 3.RADIUS服务器可以作为一个代理，以客户的身份同其他的RADIUS服务器或者其他类型的验证服务器进行通信。用户的漫游通常就是通过RADIUS代理实现的。 RADIUS工作过程(I) Radius服务器S RT2 RT1 用户 RT1 RADIUS工作过程(II) 在RT1上需要配置（示意）如下信息： 在和用户相连的接口上配置利用PPP CHAP验证对方； 使能AAA，并且配置AAA验证、计费协议使用Radius； 配置Radius验证、计费服务器为S，并且配置它们和RT1之间的互相验证密钥为abc。 在Radius服务器S上需要配置（示意）如下信息： 配置一个名称为RT1的Radius客户端，共享密钥为abc； 在用户数据库中配置新的一行（用户名：user1 密码：123 IP地址： 缺省网关：）。 RADIUS实现AAA的流程 用户上网 验证请求 验证授权通过 计费开始请求 计费开始应答 计费结束请求 计费结束应答 授权并允许用户上网 用户下网 Quidway Series Router AAA Server RADIUS验证与授权 验证、授权过程如下： 路由器将得到的用户信息打包向RADIUS服务器发送 RADIUS服务器对用户进行验证： 合法用户——返回访问接受包（用户授权信息） 非法用户——返回访问拒绝包 路由器接受服务器的响应包： 访问接受包——允许上网，使用其授权信息对用户进行处理 访问拒绝包——拒绝用户上网请求 RADIUS计费 每次计费过程包括计费请求、计费应答 对一个用户的计费过程有： 计费信息： 计费失败处理 计费开始 实时计费 计费结束 会话时长 输入字节数 输出字节数 输入包数 输出包数 人有了知识，就会具备各种分析能力， 明辨是非的能力。 所以我们要勤恳读书，广泛阅读， 古人说“书中自有黄金屋。 ”通过阅读科技书籍，我们能丰富知识， 培养逻辑思维能力； 通过阅读文学作品，我们能提高文学鉴赏水平， 培养文学情趣； 通过阅读报刊，我们能增长见识，扩大自己的知识面。 有许多书籍还能培养我们的道德情操， 给我们巨大的精神力量， 鼓舞我们前进。 * IPSec基础－IPSec服务 IPSec 协议不是一个单独的协议，它给出了应用于IP层上网络数据安全的一整套体系结构，包括网络认证协议 Authentication Header（AH）、封装安全载荷协议Encapsulating Security Payload（ESP）、密钥管理协议Internet Key Exchange （IKE）和用于网络认证及加密的一些算法等。IPSec 规定了如何在对等层之间选择安全协议、确定安全算法和密钥交换，向上提供了访问控制、数据源认证、数据加密等网络安全服务。 　　一、安全特性 　　IPSec的安全特性主要有： 　　 ·不可否认性 不可否认性可以证实消息发送方是唯一可