无线局域网中RADIUS协议原理与实现朱恺曹秀英（东南大学移动通信国家重点实验室，南京，210096）摘要RADIUS协议是一个被广泛应用于网络认证、授权和计费的协议。本文在介绍了RADIUS协议原理的基础上，对RADIUS协议的实现做了分析与设计。关键词无线局域网RADIUSAAA认证PrincipleandImplementationofRADIUSProtocolinWLANZhuKaiCaoXiuying(NationalMobileCommunicationResearchLaboratory,SoutheastUniversity,Nanjing,210096)AbstractRADIUSisanauthentication,authorizationandaccountingprotocol,beingwidelyusedinnetworks.Thispaperintroducesit’sprincipleandgivesananalysisanddesignforit’implementation.KeywordsWLANRADIUSAAAauthentication1引言远程认证拨号用户服务协议（RemoteAuthenticationDialInUserService,RADIUS）最初是由Livingston公司提出的一个为拨号用户提供认证和计费的协议。后经多次改进，逐渐成为一项通用的网络认证、计费协议，并定义于IETF提交的RFC2865和RFC2866文件中。RADIUS协议以Client/Server方式工作，客户端为网络接入服务器（NAS），它向RADIUS服务器提交认证、计费等信息，RADIUS服务器处理信息并将结果返回给NAS。RADIUS协议的应用范围很广，在移动、数据、智能网等业务的认证、计费系统中都有所应用。无线局域网的802.1X认证框架中，在认证端也建议使用RADIUS协议。本文将论述RADIUS协议的原理，并探讨它在WLAN中的应用及实现方案。2RADIUS协议2.1WLAN网络模型实际商用的无线局域网，可以用局域网交换机来实现802.1X认证协议中的端口控制功能。为保证网络的安全性，在无线局域网的出口和认证端应加上防火墙。RADIUS服务器和数据库还可以采取主、备结构，以保证网络的健壮性。网络模型如下图所示：图1无线局域网网络模型无线局域网的认证端由RADIUS服务器、网络接入服务器（NAS）和数据库组成。其中：1NAS：作为RADIUS服务器的客户端，向RADIUS服务器转交用户的认证信息。并在用户通过认证之后，向RADIUS服务器发送计费信息。RADIUS服务器：作为认证系统的中心服务器，它与NAS、数据库相连，它接受来自NAS提交的信息，对数据库进行相应的操作，并把处理结果返回给NAS。数据库：用于保存所有的用户信息、计费信息和其他信息。用户信息由网络管理员添加至数据库中；计费信息来自于RADIUS服务器；其他信息包括日志信息等。2.2RADIUS的数据包结构RADIUS是应用层的协议，在传输层它的报文被封装在UDP的报文中，进而封装进IP包。RADIUS认证使用1812端口，计费使用1813端口。以太网上的RADIUS封装后的包结构：以太帧头IP包头UDP包头RADIUS数据包以太网FCSRADIUS数据包的格式如下：0-1-2-3-4-5-6-7-8-9-0-1-2-3-4-5-6-7-8-9-0-1-2-3-4-5-6-7-8-9-0-10CodeIdentifierLength12Authenticator345Attributes...RADIUS数据包分为5个部分：（1）Code:1个字节，用于区分RADIUS包的类型：常用类型有：接入请求（Access-Request），Code=1；接入应答（Access-Accept），Code=2；接入拒绝（Access-Reject），Code=3；计费请求（Accounting-Request），Code=4等。（2）Identifier:一个字节，用于请求和应答包的匹配。（3）Length:两个字节，表示RADIUS数据区（包括Code,Identifier,Length,Authenticator,Attributes）的长度，单位是字节，最小为20，最大为4096。（4）Authenticator:16个字节，用于验证服务器端的应答，另外还用于用户口令的加密。RADIUS服务器和NAS的共享密钥(SharedSecret)与请求认证码(RequestAuthent