RADIUS协议的原理及应用
RADIUS协议的原理及应用
目录
培训目标 (2)
前言 (2)
1 RADIUS协议介绍 (2)
2 RADIUS协议报文结构 (3)
2.1 Radius协议报文格式 (3)
2.2 Code域 (3)
2.3 Identifier域 (4)
2.4 Length域 (4)
2.5 Authenticator (4)
2.6 Attributes域 (5)
2.6.1 Type域 (5)
2.6.2 Length域 (5)
2.6.3 Value域 (6)
2.6.4常用属性类型列表 (6)
3 NAS设备RADIUS部分配置举例 (8)
4 RADIUS系统下用户认证过程 (9)
4.1 报文1:EAPOL-Start (9)
4.2 报文2:EAP-Request/Identity (10)
4.3 报文3:EAP-Response/Identity (10)
4.4 报文4:RADIUS Access-Request (11)
4.5 报文5:RADIUS Access-Challenge (12)
4.6 报文6:EAP-Request/MD5-Challenge (13)
4.7 报文7:EAP-Response/MD5-Challenge (14)
4.8 报文8:RADIUS Access-Request (14)
4.9 报文9:RADIUS Access-Accept (15)
4.10 报文10:EAP-Success (16)
4.11 报文11:RADIUS Accounting-Request (17)
4.12 报文12:RADIUS Accounting-Response (18)
4.13 报文13:EAPOL-Logoff (18)
4.14 报文14:RADIUS Accounting-Request (19)
4.15 报文15:RADIUS Accounting-Response (20)
4.16 报文16:EAP-Failure (21)
培训目标
●了解RADIUS协议基本概念;
●熟悉RADIUS协议报文结构;
●熟悉RADIUS协议工作原理;
前言
企业要求只有授权的用户才能访问自己的内部网络,教育网采取根据流量计费的策略,VOD系统根据点播的时间收费等等。这些最常见的网络应用却面临一个同样的问题:如何对用户进行认证和计费?一种常见的认证计费方法——RADIUS协议会帮助我们解决这些问题。RADIUS是目前最常用的认证计费协议之一,它简单安全,易于管理,扩展性好,所以得到广泛应用。
1 RADIUS协议简介
RADIUS ( Remote Authentication Dial In User Service )是远程认证拨号用户服务的简称。RADIUS 原先设计的目的是为拨号用户进行认证和计费。后来经过多次改进,形成了一项通用的认证计费协议,主要完成在网络接入设备和认证服务器之间承载认证、授权、计费和配置信息。RADIUS是一种C/S结构的协议,它的客户端最初就是NAS服务器,现在任何运行RADIUS客户端软件的计算机都可以成为RADIUS 的客户端。
RADIUS基本原理:用户接入NAS,NAS向RADIUS服务器使用Access-Request数据包提交用户信息,包括用户名、密码等相关信息,其中用户密码是经过MD5加密的,双方使用共享密钥,这个密钥不经过网络传播;RADIUS服务器对用户名和密码的合法性进行检验,必要时可以提出一个Challenge,要求进一步对用户认证,也可以对NAS进行类似的认证;如果合法,给NAS返回Access-Accept数据包,允许用户进行下一步工作,否则返回Access-Reject数据包,拒绝用户访问;如果允许访问,NAS向RADIUS 服务器提出计费请求Account-Request,RADIUS服务器响应Account-Accept,对用户开始计费,同时用户可以进行自己的相关操作。
RADIUS协议具有以下特点:
●客户端/服务器结构;
●采用共享密钥保证网络传输安全性;
●良好的可扩展性;
●认证机制灵活;
RADIUS 协议承载于UDP 之上,官方指定端口号为认证授权端口1812、计费端口1813。RADIUS协议在RFC2865、RFC2866 中定义。锐捷网络RG-SAM系统和NAS之间的通讯采用RADIUS协议。由于RADIUS协议的良好扩展性,很多厂家对RADIUS作了扩展,我们公司也对其进行了扩展。使用时我们应该注意不同公司对RADIUS协议扩展部分不能完全兼容。
2 RADIUS协议报文结构
2.1 Radius协议报文格式
RADIUS报文格式如下图所示,各域内容按照从左向右传送
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Code | Identifier | Length |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Authenticator |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Attributes ...
+-+-+-+-+-+-+-+-+-+-+-+-+-
2.2 Code域
Code域长度为1个字节,用于标明RADIUS报文的类型,如果Code域中的内容是无效值,报文将被丢弃RADIUS Code域的有效值如下:
Code=1 Access-Request
Code=2 Access-Accept
Code=3 Access-Reject
Code=4 Accounting-Request
Code=5 Accounting-Response
Code=11 Access-Challenge
Code=12 Status-Server (experimental)
Code=13 Status-Client (experimental)
Code=65 业务修改请求消息
Code=66 业务修改请求回应消息
Code=67 业务修改请求回应拒绝消息
Code=255 Reserved
其中12 13 255 为保留的Code值一般不会遇到,1 2 3 4 5 11比较常见,分别标明报文类型为认证请求、认证接受、认证拒绝、计费请求、计费回应、计费成功和访问质询。
2.3 Identifier域
Identifier域长度为1个字节,用于匹配请求的回应。如果在短时间内RADIUS服务器收到从相同的源IP,相同源端口,相同标识域的报文,则认为收到的是重复的请求。
2.4 Length域
Length域占两个字节,用于指明报文的有效长度,多出长度域的字节部分将被视为填充。在接收时被忽略。如果报文长度小于长度域中的值,整个报文将被丢弃。长度域的范围在20和4096之间。
2.5 Authenticator
认证字域占用16个字节,用于Radius Client 和Server之间消息认证的有效性,和密码隐藏算法。
访问请求Access-Request报文中的认证字的值是16字节随机数,认证字的值要不能被预测并且在一个共享密钥的生命期内唯一。
访问请求Access-Request认证字
在Access-Request包中认证字的值是16字节随机数,认证字的值要不能被预测,并且在一个共享密钥的生命期内唯一;
访问回应认证字
Access-Accept Access-Reject 和Access-Challenge包中的认证字称为访问回应认证字,访问回应认证字的值定义为MD5(Code+ID+Length+RequestAuth+Attributes+Secret);
计费请求Accounting-Request认证字
在计费请求包中的认证字域称为计费请求认证字,它是一个16字节的MD5校验和,计费请求认证字的值定义为MD5(Code + Identifier + Length + 16 zero octets + request attributes +shared secret);
计费回应Accounting-Response认证字
在计费回应报文中的认证字域称为计费回应认证字,它的值定义为MD5(Accounting-Response Code + Identifier + Length + the RequestAuthenticator field from the Accounting-Request packet being replied to +the response attributes + shared secret);
2.6 Attributes域
0 1 2
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-
| Type | Length | Value ...
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-
属性域的长度是可变的,它是一个由业务类型必需的属性和可选属性组成的属性链。一个属性包含如下三个部分:
2.6.1 Type域
类型域长度为一个字节,RADIUS服务器和客户端当遇到不可识别的属性时,可以将其忽略。常用的属性类型请参见RFC2865 RFC2866;
2.6.2 Length域
长度域长度为一个字节,指明了一个属性的类型、长度和值域的总长度。如果在认证请求报文中携带有属性长度非法的属性,则必须回应访问拒绝报文;如果在访问回应报文中存在非法的属性长度,这个报文必须被直接丢弃或被认为是访问拒绝报文。
2.6.3 Value域
值域由零或多个字节组成包,含详细的属性信息,它的格式由属性的长度和类型域决定。注意RADIUS 中没有一个类型的值域是以NULL(hex 00)结尾,的也就是说值域中是没有结束符的,服务器和客户端需要能够处理内嵌的NULL。
值域的数据类型是下列5 种类型之一。“text”类型是“string”类型的子集:
text 1-253 字节长
string 1-253 字节长可以包含二进制数据
address 4 字节高位在前
integer 4 字节无符号数高位在前
time 4 字节无符号数高位在前表示从1970 年1 月1 日零点零时零秒到现在的秒数
2.6.4常用属性类型列表
●Type=1 用户名 User-Name
●Type=2 用户密码 User-Password
●Type=3 CHAP密码 CHAP-Password
●Type=4 NAS IP地址 NAS-IP-Address
●Type=5 NAS端口 NAS-Port
●Type=6 服务类型 Service-Type
●Type=7 帧协议 Framed-Protocol
●Type=8 分帧IP地址配置 Framed-IP-Address
●Type=9 IP网络掩码配置 Framed-IP-Netmask
●Type=10 路由方法配置 Framed-Routing
●Type=11 筛选器标识 Filter-Id
●Type=12 最大传输单元配置 Framed-MTU
●Type=13 压缩协议配置 Framed-Compression
●Type=14 登录的主机IP 地址 Login-IP-Host
●Type=15 登录的服务 Login-Service
●Type=16 登录的TCP端口 Login-TCP-Port
●Type=17 未分配 (unassigned)
●Type=18 回复消息 Reply-Message
●Type=19 回叫电话号码 Callback-Number
●Type=20 回叫ID Callback-Id
●Type=21 未分配 (unassigned)
●Type=22 路由配置 Framed-Route
●Type=23 IPX网络数字配置 Framed-IPX-Network
●Type=24 状态 State
●Type=25 类别 Class
●Type=26 供应商细节 Vendor-Specific
●Type=27 会话时限 Session-Timeout
●Type=28 空闲时限 Idle-Timeout
●Type=29 终止动作 Termination-Action
●Type=30 用户拨打的电话号码 Called-Station-Id
●Type=31 用户打出的电话号码 Calling-Station-Id
●Type=32 网络接入服务器标识符 NAS-Identifier
●Type=33 代理状态 Proxy-State
●Type=34 登录的LAT服务 Login-LAT-Service
●Type=35 登录的LAT节点 Login-LAT-Node
●Type=36 登录的LAT组 Login-LAT-Group
●Type=37 AppleTalk链路配置 Framed-AppleTalk-Link
●Type=38 AppleTalk网络配置 Framed-AppleTalk-Network ●Type=39 AppleTalk区域配置 Framed-AppleTalk-Zone
●Type=40-59 为记账保留 (reserved for accounting) ●Type=60 CHAP盘问 CHAP-Challenge
●Type=61 网络接入服务器端口类型 NAS-Port-Type
●Type=62 端口数限制 Port-Limit
●Type=63 登录的LAT端口 Login-LAT-Port
3 NAS设备RADIUS部分配置举例
下面以锐捷网络START-S2126G交换机作为例,介绍NAS设备关于RADIUS部分配置:
test#show running-config
System software version : 1.68 Build Apr 25 2007 Release
Building configuration...
Current configuration : 586 bytes
!
version 1.0
!
hostname test
vlan 1
!
radius-server host 192.168.1.102 //指定radius-server的IP地址aaa authentication dot1x //交换机全局启动802.1x协议
aaa accounting server 192.168.1.102 //指定记帐服务器的IP地址
aaa accounting //交换机开启记帐功能
enable secret level 1 5 &Z{bcknA2Yzyglow5Uaeh`@IY'dfimLM
enable secret level 15 5 &ZS(\W&-2YX)sv'~5UY*T7+.YtZ[V/,|
!
interface fastEthernet 0/1
switchport access vlan 10
dot1x port-control auto //将此端口设置成受控端口
!
interface fastEthernet 0/24
switchport mode trunk
!
interface vlan 1
no shutdown
ip address 192.168.1.100 256.256.256.0
!
dot1x client-probe enable //打开交换机异常下线探测功能
radius-server key root //设置交换机和radius-server之间的密钥snmp-server community public rw //设置交换机snmp协议采用community
ip default-gateway 192.168.1.1
end
4 RADIUS系统下用户认证过程
SAM系统是锐捷网络自主研发的集安全、认证、计费和管理于为一体的网络管理平台,它是基于标准的RADIUS协议开发的,整个系统由以下三个部分组成:
●恳请者(SU,安装锐捷认证客户端软件的PC);
●认证者(NAS,接入层交换机);
●认证服务器(RADIUS SERVER,RG-SAM软件);
下面从恳请者发起认证――认证成功――退出认证的整个过程中,通过SNIFFER软件抓取到的报文作详细分析:
4.1 报文1:EAPOL-Start
首先由客户端发起一个带有组播目的MAC地址为“0180-C200-0003”的802.1X数据帧,其中802.1X 头部TYPE类型值为1,标明是EAPOL-Start报文,开始802.1X认证接入请求;
●DLC Destination=0180-C200-0003,表示组播目的MAC地址,因为SU不知到NAS设备在哪里;
●DLC Ethertype=888E,表示链路层帧内承载着802.1X报文;
●802.1X Version =1 表示当前的802.1X 协议版本是1;
●802.1X Packet Type =1 指定是EAPOL-Start报文;
4.2 报文2:EAP-Request/Identity
NAS设备收到SU的EAPOL-Start报文后,向SU发送EAP-Request/Identity报文,要求SU将用户名送上来;
●802.1X Packet Type =0,表示802.1X报文承载着EAP报文;
●EAP报文中的Code=1,表示是一个EAP-Request报文;
●EAP报文中的Identifier=1,表示这个EAP-Request报文的标识符1,这个值要和后面的
EAP-Response Identifier一致;
●EAP Data 中的Type=1,表示要求SU将用户名送上来;
4.3 报文3:EAP-Response/Identity
SU向NAS设备回应EAP-Response/Identity报文,其中包括用户名信息;
●EAP code=2,表示是EAP-Response报文;
●EAP Identifier=1,表示是上一个EAP-Request请求的响应,因为和上一个EAP-Request的
Identifier的值相同;
●EAP Type=1,表示EAP Date中包含用户名信息;
●EAP Message=“liufn”,表示用户名是“liufn”;
4.4 报文4:RADIUS Access-Request
NAS将SU送上来的“用户名”信息封装到RADIUS Access-Request报文中,发送给认证服务器,同时这个报文中携带着客户端IP、MAC、掩码、网关、NAS IP、NAS端口等信息;
●UDP Destination Port=1812,UDP的端口号是1812,代表是一个RADIUS的认证信息;
●RADIUS Code=1,说明这是一个Access-Request请求认证报文;
●RADIUS Identifier=1,表示Access-Request的标识,要和后面相同标识的Access-Response
成对使用;
●RADIUS User-Name=“liufn”,表示报文中携带用户名信息;
●RADIUS NAS-IP-Address=“192.168.0.1”,表示报文中携带NAS IP信息;
●………
4.5 报文5:RADIUS Access-Challenge
RADIUS服务器收到上一个报文后,在数据库中查找是否有此用户,同时根据服务器的策略设置,是否来匹配NAS IP、NAS端口、用户IP、用户MAC等信息,如果通过,RADIUS服务器随机产生一个加密字,用随机产生的加密字和数据库中用户的口令进行MD5加密运算,得出一个结果。同时将随机产生的加密字通过RADIUS Access-Challenge报文发送给NAS设备;
●RADIUS code=11:表示是Access-Challenge挑战报文;
●RADIUS Message-Authenticator=“xxxx”:表示RADIUS服务器随机产生的加密字;
4.6 报文6:EAP-Request/MD5-Challenge
NAS设备将收到RADIUS服务器的“随机加密字”,然后封装到EAP-Request/MD5-Challenge报文中发送给SU,要求SU进行认证;
●EAP Type=4:表示这是一个MD5挑战;
●EAP Value=“xxxx”:表示RADIUS随机产生的加密字;
4.7 报文7:EAP-Response/MD5-Challenge
客户端收到EAP-Request/MD5-Challenge报文后,将用户输入的密码和随机字做MD5运算,将结果通EAP-Response/MD5-Challenge回应给NAS设备;
●EAP Value=“yyyy”:表示加密后的口令;
4.8 报文8:RADIUS Access-Request
NAS设备通过Access-Challenge报文,将SU送上来的加密口令上传给RADIUS服务器;
●RADIUS Code=1:表示是一个Access-Request报文;
●RADIUS Message-Authenticator=“yyyy”:表示上传给RADIUS的加密口令;
4.9 报文9:RADIUS Access-Accept
RADIUS服务器将SU产生的加密字和自己运算的结果进行比较,看是否一致,判断用户是否合法。然后回应认证成功/失败报文到NAS设备;
RADIUS Code=2:表示是一个Access-Accept报文,通知NAS允许这个用户接入网络;
4.10 报文10:EAP-Success
NAS设备通过EAP-Success报文通知SU认证成功,可以接入网络;
EAP Code=3:NAS设备通知SU允许接入,是EAP-Success报文;
客户端认证通过后,NAS开始向RADIUS服务器发起计费请求报文,要求对这个用户进行计费处理;
●UDP Destination Port=1813:UDP的端口号为1813,说明这个一个RADIUS计费报文;
●RADIUS Code=4:说明这个一个计费请求Accounting-Request报文;
●RADIUS Acct-Status-Type=1:说明这是一个计费开始请求报文,习惯上称为Accounting-Start;
RADIUS服务器对该用户进行计费处理后,对NAS设备通过Accounting-Response报文响应;
●RADIUS Code=5:说明是一个Accounting-Response报文,通知NAS设备,RADIUS服务器已经对
这个用户进行了计费处理;
4.13 报文13:EAPOL-Logoff
客户端发出EAPOL-LOGOFF信息,请求下线;
●802.1X Packet Type=2:表示是EAPOL-Logoff报文,说明客户端主动请求下线;
4.14 报文14:RADIUS Accounting-Request
NAS设备收到SU请求下线的EAPOL-Logoff报文后,向RADIUS发出对该用户停止计费的请求信息;
●RADIUS Code=4:表示是一个Accounting-Request 报文,
●RADIUS Acct-Status-Type=2:表示是一个计费结束请求,一般成为Accounting-Stop报文;
4.15 报文15:RADIUS Accounting-Response
RADIUS服务器对结束计费发出响应,通知NAS设备已经结束了对该用户计费;
RADIUS Code=5:表示这是Accouning-Response报文;
标准Radius协议包结构
标准Radius协议包结构 图9 Radius包格式 Code:包类型;1字节;指示RADIUS包的类型。 1Access- request 认证请求 2 Access- accept 认证响应 3 Access- reject 认证拒绝 4 Accounting-request 计费请求 5 Accounting-response 计费响应 *11 Access-challenge 认证挑战 Identifier:包标识;1字节,取值范围为0 ~255;用于匹配请求包和响应包,同一组请求包和响应包的Identifier应相同。 Length:包长度;2字节;整个包中所有域的长度。Authenticator:16 字节长;用于验证RADIUS服务器传回来的请求以及密码隐藏算法上。 该验证字分为两种: 1、请求验证字---Request Authenticator 用在请求报文中,必须为全局唯一的随机值。 2、响应验证字---Response Authenticator 用在响应报文中,用于鉴别响应报文的合法性。 响应验证字=MD5(Code+ID+Length+请求验证字+Attributes+Key) Attributes:属性
图10 属性格式 Type 1 User-Name 2 User-Password 3 CHAP-Password 4 NAS-IP-Address 5 NAS-Port 6 Service-Type 7 Framed-Protocol 8 Framed-IP-Address 9 Framed-IP-Netmask 10 Framed-Routing 11 Filter-Id 12 Framed-MTU 13 Framed-Compression 14 Login-IP-Host 15 Login-Service 16 Login-TCP-Port 17 (unassigned) 18 Reply-Message 19 Callback-Number 20 Callback-Id 21 (unassigned) 22 Framed-Route 23 Framed-IPX-Network 24 State 25 Class 26 Vendor-Specific 27 Session-Timeout 28 Idle-Timeout 29 Termination-Action 30 Called-Station-Id 31 Calling-Station-Id
AAA和RADIUS HWTACACS协议
AAA和RADIUS/HWTACACS协议简介 1.1.1 aaa概述 aaa是authentication,authorization and accounting(认证、授权和计费)的简称,它提供了一个用来对认证、授权和计费这三种安全功能进行配置的一致性框架,实际上是对网络安全的一种管理。 这里的网络安全主要是指访问控制,包括: 哪些用户可以访问网络服务器? 具有访问权的用户可以得到哪些服务? 如何对正在使用网络资源的用户进行计费? 针对以上问题,aaa必须提供下列服务: 认证:验证用户是否可获得访问权。 授权:授权用户可使用哪些服务。 计费:记录用户使用网络资源的情况。 aaa一般采用客户/服务器结构:客户端运行于被管理的资源侧,服务器上集中存放用户信息。因此,aaa框架具有良好的可扩展性,并且容易实现用户信息的集中管理。 1.1.2 radius协议概述 如前所述,aaa是一种管理框架,因此,它可以用多种协议来实现。在实践中,人们最常使用radius协议来实现aaa。 1. 什么是radius radius是remote authentication dial-in user service(远程认证拨号用户服务)的简称,它是一种分布式的、客户机/服务器结构的信息交互协议,能保护网络不受未授权访问的干扰,常被应用在既要求较高安全性、又要求维持远程用户访问的各种网络环境中(例如,它常被应用在管理使用串口和调制解调器的大量分散拨号用户)。radius系统是nas(network access server)系统的重要辅助部分。 当radius系统启动后,如果用户想要通过与nas(pstn环境下的拨号接入服务器或以太网环境下带接入功能的以太网交换机)建立连接从而获得访问其它网络的权利或取得使用某些网络资源的权利时,nas,也就是radius客户端将把用户的认证、授权和计费请求传递给radius服务器。radius服务器上有一个用户数据库,其中包含了所有的用户认证和网络服务访问信息。radius服务器将在接收到nas传来的用户请求后,通过对用户数据库的查找、更
数据库原理和应用教程第4版习题与解析
习题参考答案 第1章习题参考答案 一、选择题 1. C 2. B 3. D 4. C 5. D 6. B 7. A 8. B 9. D 10. B 11. C 12. D 13. D 14. D 15. B 16. C 17. D 18. A 19. D 20. A 21. D 22. D 23. C 24. A 25. C 二、填空题 1. 数据库系统阶段 2. 关系 3. 物理独立性 4. 操作系统 5. 数据库管理系统(DBMS) 6. 一对多 7. 独立性 8. 完整性控制 9. 逻辑独立性 10. 关系模型 11. 概念结构(逻辑) 12. 树有向图二维表嵌套和递归 13. 宿主语言(或主语言) 14. 数据字典 15. 单用户结构主从式结构分布式结构客户/服务器结构浏览器/服务器结构 16. 现实世界信息世界计算机世界 三、简答题 1、简述数据库管理技术发展的三个阶段。各阶段的特点是什么? 答:数据库管理技术经历了人工管理阶段、文件系统阶段和数据库系统阶段。 (1)、人工管理数据的特点: A、数据不保存。 B、系统没有专用的软件对数据进行管理。 C、数据不共
享。D、数据不具有独立性。 (2)、文件系统阶段的特点: A、数据以文件的形式长期保存。 B、由文件系统管理数据。 C、程序与数据之间有一定的独立性。 D、文件的形式已经多样化 E、数据具有一定的共享性 (3)、数据库系统管理阶段特点: A、数据结构化。 B、数据共享性高、冗余度底。 C、数据独立性高。 D、有统一的数据控制功能。 2、从程序和数据之间的关系来分析文件系统和数据库系统之间的区别和联系 答:数据管理的规模日趋增大,数据量急剧增加,文件管理系统已不能适应要求,数据库管理技术为用户提供了更广泛的数据共享和更高的数据独立性,进一步减少了数据的余度,并为用户提供了方便的操作使用接口。数据库系统对数据的管理方式与文件管理系统不同,它把所有应用程序中使用的数据汇集起来,以记录为单位存储,在数据库管理系统的监督和管理下使用,因此数据库中的数据是集成的,每个用户享用其中的一部分。 3、简述数据库、数据库管理系统、数据库系统三个概念的含义和联系。 答:数据库是指存储在计算机内、有组织的、可共享的数据集合。 数据库管理系统是软件系统的一个重要组成部分,它通过借助操作系统完成对硬件的访问,并对数据库的数据进行存取、维护和管理。 数据库系统是指计算机系统中引入数据库后的系统构成。它主要由数据库、数据库用户、计算机硬件系统和计算机软件系统几部分组成。 三者的联系是:数据库系统包括数据库和数据库管理系统。数据库系统主要通过数据库管理系统对数据库进行管理的。 4、数据库系统包括哪几个主要组成部分?各部分的功能是什么?画出整个数据库系统的层次结构图。 答:数据库系统包括:数据库、数据库用户、软件系统和硬件系统。 数据库主要是来保存数据的。 数据库用户是对数据库进行使用的人,主要对数据库进行存储、维护和检索等操作。 软件系统主要完成对数据库的资源管理、完成各种操作请求。 硬件系统主要完成数据库的一些物理上的操作,如物理存储、输入输出等。
RADIUS协议属性
属性值属性名称意义 1 User-Name 用户名 2User-Password 用户密码 3Chap-Password Chap认证方式中的用户密码 4 Nas-IP-Address Nas的ip地址 5 Nas-Port 用户接入端口号 6 Service-Type 服务类型 7 Framed-Protocol协议类型 8 Framed-IP-Address 为用户提供的IP地址 9 Framed-IP-NetMask 地址掩码 10 Framed-Routing 为路由器用户设置的路由方式 11 Filter-Id 过滤表的名称 12 Framed-MTU 为用户配置的最大传输单元 13 Framed-Compression 该连接使用压缩协议 14 Login-IP-Host 对login用户提供的可连接主机的ip地址 15 Login-Service 对login用户可提供的服务 16 Login-TCP-Port TCP服务端口 18 Reply-Message 认证服务器返回用户的信息 24 State 认证服务器发送challenge包时传送的需在接下来的认证报文中回应的字符串(与Acess-Challenge相关的属性) 25 Class 认证通过时认证服务器返回的字符串信息,要求在该用户的计费报文中送给计费服务器 26 Vendor-Specific 可扩展属性 27 Session-Timeout 在认证通过报文或Challenge报文中,通知NAS该用户可用的会话时长(时长预付费) 28 Idle-Timeout 允许用户空闲在线的最大时长 32 NAS-Identifier 标识NAS的字符串 33 Proxy-State NAS通过代理服务器转发认证报文时服务器添加在报文中的属性 60 Chap-Challenge 可以代替认证字字段传送challenge的属性 61 Nas-Port-Type 接入端口的类型 62 Port-Limit 服务器限制NAS为用户开放的端口数 40 Acct-Status-Type 计费请求报文的类型 41 Acct-Delay-Time Radius客户端发送计费报文耗费的时间 42 Acct-Input-Octets 输入字节数 43 Acct-Output-Octets 输出字节数 44 Acct-Session-Id 计费会话标识 45 Acct-Authentic 在计费包中标识用户认证通过的方式 46 Acct-Session-Time 用户在线时长 47 Acct-Input-Packets 输入包数 48 Acct-Output-Packets 输出包数 49 Acct-Terminate-Case 用户下线原因 50 Acct-Multi_Session-Id 相关计费会话标识 51 Acct-Link-Count 生成计费记录时多连接会话的会话个数 ?
数据库原理及应用
数据库原理及应用 数据库技术简介 数据库技术产生于六十年代末,是数据管理的最新技术,是计算机科学的重要分支。 数据库技术是信息系统的核心和基础,它的出现极大地促进了计算机应用向各行各业的渗透。 数据库的建设规模、数据库信息量的大小和使用频度已成为衡量一个国家信息化程度的重要标志。 第一章绪论 1.1 数据库系统概述 1.1.1 四个基本概念 数据(Data) 数据库(Database)数据库管理系统(DBMS) 数据库系统(DBS) 一、数据 数据(Data)的定义 数据是信息的具体表现形式 描述事物的符号记录 数据的表现形式——数字文字图形图像声音等 各类数据必须数字化后才能加工处理。 数据与其语义是不可分的 例如:93是一个数据 语义1:学生某门课的成绩 语义2:某人的体重 语义3:计算机系2007级学生人数 例如:学生档案中的一条记录:(李明男1982 江苏计算机系2000) 二、数据库(续) 数据库的定义 数据库(Database,简称DB)是长期储存在计算机内、有组织的、可共享的大量数据的集合。 三、数据库管理系统 什么是DBMS 数据库管理系统(Database Management System,简称DBMS)是位于用户与操作系统之间的一层数据管理软件。 DBMS的用途 组织和存储好大量的数据,并提供方便、高效地检索数据和维护数据的手段。 DBMS的主要功能: 数据定义功能 数据组织 存储和管理 数据操纵功能 数据库的事务管理和运行管理 数据库的建立和维护功能 其它功能 四、数据库系统 什么是数据库系统
数据库系统(Database System,简称DBS)是指在计算机系统中引入数据库后的系统。 数据库系统的构成 数据库 数据库管理系统(及其开发工具) 应用系统 数据库管理员(DBA) 1.1.2 数据管理技术的产生和发展 数据管理:是指对数据的分类、组织、编码、存储、查询和维护等活动,是数据处理的中心环节。 数据处理:是指对数据进行收集、组织、存储、加工、抽取和传播等一系列活动的总和。其目的是从大量的、原始数据中抽取、推导出对人们有价值的信息。 数据管理技术的发展动力:应用需求的推动、计算机软/硬件的发展 数据管理技术的发展过程 人工管理阶段(40年代中--50年代中) 文件系统阶段(50年代末--60年代中) 数据库系统阶段(60年代末--现在) 一、人工管理 时期 40年代中--50年代中 产生的背景 应用需求科学计算 硬件水平纸带、卡片、磁带 软件水平没有操作系统 处理方式批处理 特点:数据不保存、数据由程序各自管理(逻辑结构、存储结构、存取方法、输入方式等) 数据不共享:一组数据只能对应一个程序 数据不具独立性:数据的结构发生变化后(物理或逻辑上),应用程序必须做相应的修改。 应用程序与数据的对应关系(人工管理阶段) .. 二、文件系统 时期
数据库原理与应用期末复习总结含试题及其答案
数据库原理综合习题答案 1.1名词解释 (1) DB:即数据库(Database),是统一管理的相关数据的集合。DB能为各种用户共享,具有最小冗余度,数据间联系密切,而又有较高的数据独立性。 (2) DBMS:即数据库管理系统(Database Management System),是位于用户与操作系统之间的一层数据管理软件,为用户或应用程序提供访问DB的方法,包括DB的建立、查询、更新及各种数据控制。DBMS总是基于某种数据模型,可以分为层次型、网状型、关系型、面向对象型DBMS。 (3) DBS:即数据库系统(Database System),是实现有组织地、动态地存储大量关联数据,方便多用户访问的计算机软件、硬件和数据资源组成的系统,即采用了数据库技术的计算机系统。 (4) 1:1联系:如果实体集E1中的每个实体最多只能和实体集E2中的一个实体有联系,反之亦然,那么实体集E1对E2的联系称为“一对一联系”,记为“1:1”。 (5) 1:N联系:如果实体集E1中每个实体与实体集E2中任意个(零个或多个)实体有联系,而E2中每个实体至多和E1中的一个实体有联系,那么E1对E2的联系是“一对多联系”,记为“1:N”。 (6) M:N联系:如果实体集E1中每个实体与实体集E2中任意个(零个或多个)实体有联系,反之亦然,那么E1对E2的联系是“多对多联系”,记为“M:N”。 (7) 数据模型:模型是对现实世界的抽象。在数据库技术中,表示实体类型及实体类型间联系的模型称为“数据模型”。它可分为两种类型:概念数据模型和结构数据模型。 (6) 概念数据模型:是独门于计算机系统的模型,完全不涉及信息在系统中的表示,只是用来描述某个特定组织所关心的信息结构。 (9) 结构数据模型:是直接面向数据库的逻辑结构,是现实世界的第二层抽象。这类模型涉及到计算机系统和数据库管理系统,所以称为“结构数据模型”。结构数据模型应包含:数据结构、数据操作、数据完整性约束三部分。它主要有:层次、网状、关系三种模型。 (10) 层次模型:用树型结构表示实体类型及实体间联系的数据模型。 (11) 网状模型:用有向图结构表示实体类型及实体间联系的数据模型。 (12) 关系模型:是目前最流行的数据库模型。其主要特征是用二维表格结构表达实体集,用外鍵表示实体间联系。关系模型是由若干个关系模式组成的集合。 (13) 概念模式:是数据库中全部数据的整体逻辑结构的描述。它由若干个概念记录类型组成。概念模式不仅要描述概念记录类型,还要描述记录间的联系、操作、数据的完整性、安全性等要求。 (14) 外模式:是用户与数据库系统的接口,是用户用到的那部分数据的描述。 (15) 内模式:是数据库在物理存储方面的描述,定义所有的内部记录类型、索引和文件的组成方式,以及数据控制方面的细节。 (16) 模式/内模式映象:这个映象存在于概念级和内部级之间,用于定义概念模式和内模式间的对应性,即概念记录和内部记录间的对应性。此映象一般在内模式中描述。 (17) 外模式/模式映象:这人映象存在于外部级和概念级之间,用于定义外模式和概念模式间的对应性,即外部记录和内部记录间的对应性。此映象都是在外模式中描述。 (18) 数据独立性:在数据库技术中,数据独立性是指应用程序和数据之间相互独立,不受影响。数据独立性分成物理数据独立性和逻辑数据独立性两级。 (19) 物理数据独立性:如果数据库的内模式要进行修改,即数据库的存储设备和存储方法有所变化,那么模式/内模式映象也要进行相应的修改,使概念模式尽可能保持不变。也就是对模式的修改尽量不影响概念模式。
数据库原理与应用(第四版)
数据库 一、选择题30’ 二、填空题20’涉及内容:C1,C2,C3,C7概念为主。其余章节少量涉及。 三、问答题20’(4*5’) 1.论述数据、数据库、数据库管理系统、数据库系统的概念; 数据:描述事物的符号记录。是数据库中存储的基本对象。 种类:文本、图形、图像、音频、视频、学生的档案记录、货物的运输情况等 特点:数据与其语义是不可分的 数据库:长期储存在计算机内、有组织的、可共享的大量数据的集合。 基本特征: ?数据按一定的数据模型组织、描述和储存 ?可为各种用户共享 ?冗余度较小 ?数据独立性较高 ?易扩展 数据库管理系统(DBMS):位于用户与操作系统之间的一层数据管理软件,是基础软件, 是一个大型复杂的软件系统。 用途:科学地组织和存储数据、高效地获取和维护数据 数据库系统:在计算机系统中引入数据库后的系统,一般由数据库、数据库管理系统(及其开发工具)、应用系统、数据库管理员构成。 2.数据库系统的特点 ?数据结构化 整体结构化 不再仅仅针对某一个应用,而是面向全组织 不仅数据内部结构化,整体是结构化的,数据之间具有联系 数据库中实现的是数据的真正结构化 数据的结构用数据模型描述,无需程序定义和解释 数据可以变长 数据的最小存取单位是数据项 ?数据的共享性高,冗余度低,易扩充 数据库系统从整体角度看待和描述数据,数据面向整个系统,可以被多个用户、多个应用共享使用。 数据共享的好处 减少数据冗余,节约存储空间 避免数据之间的不相容性与不一致性 使系统易于扩充 ?数据独立性高 物理独立性 指用户应用程序与存储在磁盘上的数据库中数据是相互独立的。 当数据的物理存储改变了,应用程序不用改变。
Radius协议
RADIUS主要用于对远程拨入的用户进行授权和认证。它可以仅使用单一的“数据库”对用户进行认证(效验用户名和口令)。它主要针对的远程登录类型有:SLIP、PPP、telnet和rlogin 等。 其主要特征有: 1.客户机/服务器(C/S)模式 一个网络接入服务器(以下简称NAS)作为RADIUS的客户机,它负责将用户信息传入RADIUS服务器,然后按照RADIUS服务器的不同的响应来采取相应动作。另外,RADIUS 服务器还可以充当别的RADIUS服务器或者其他种类认证服务器的代理客户。 2.网络安全(Network Security) NAS和RADIUS服务器之间的事务信息交流由两者共享的密钥进行加密,并且这些信息不会在两者之间泄漏出去。 3.灵活认证机制(Flexible Authentication Mechanisms) RADIUS服务器支持多种认证机制。它可以验证来自PPP、PAP、CHAP和UNIX系统登录的用户信息的有效性。 4.协议可扩展性(Extensible Protocol) 所有的认证协议都是基于“属性-长度-属性值”3元素而组成的。所以协议是扩展起来非常方便。在目前很多比较高版本的Linux中,它们都把RADIUS的安装程序包含在系统源码中。这样使得我们可以很容易地通过免费的Linux系统学习RADIUS授权、认证的原理和应用。 RADIUS协议原理 要弄清楚RADIUS协议为何能实现授权和认证,我们必须应该从四个方面去认识RADIUS 协议:协议基本原理、数据包结构、数据包类型、协议属性。下面我们就来详细地介绍这些内容。 协议基本原理 NAS提供给用户的服务可能有很多种。比如,使用telnet时,用户提供用户名和口令信息,而使用PPP时,则是用户发送带有认证信息的数据包。 NAS一旦得到这些信息,就制造并且发送一个“Access-Request”数据包给RADIUS服务器,其中就包含了用户名、口令(基于MD5加密)、NAS的ID号和用户访问的端口号。
数据库原理及其应用教程课后答案
第一章 1.2.从程序和数据之间的关系分析文件系统和数据库系统之间的区别和联系? (1)文件系统与数据库系统之间的区别 文件系统用文件将数据长期保存在外存上,数据库系统则用数据库统一存储数据;文件系统中程序和数据有一定的联系,二数据库系统中程序和数据分离;文件系统用操作系统中的存取方法对数据进行管理,数据库系统则用DBMS 统一管理和控制数据;文件系统实现以文件为单位的数据共享,二数据库系统实现以记录和字段为单位的数据共享。 (2)文件系统和数据库系统之间的联系 均为数据组织的管理技术;均由数据管理软件管理数据,程序与数据之间用存取方法进行转换;数据库系统是在文件系统的基础上发展起来的。 1.8.什么是数据库的数据独立性?它包含了哪些内容? 物理独立性? 所谓数据的独立性是指数据库中的数据与应用程序间相互独立,即数据的逻辑结构、存储结构以及存取方式的改变不影响应用程序。 数据独立性分两级:物理独立性和逻辑独立性 物理独立性是指当数据的物理结构改变时,通过修改映射,使数据库整体逻辑结构不受影响,进而用户的逻辑结构以及应用程序不用改变。 逻辑独立性是指当数据库的整体逻辑结构发生改变时,通过修改映射,使用户的逻辑结构以及应用程序不用改变。 1.11.解释实体、属性、实体键、实体集、实体型、实体联系类型、记录、数据项、字段、记录型、文件、实体模型、数据模型的含义。 实体:客观存在并且可以相互区别的“事物”称为实体。 属性:实体所具有的某一特性称为属性。 实体键:在实体型中,能唯一标识一个实体的属性或属性集称为实体的键。 实体集:同型实体的集合称为实体集。 实体型:具有相同属性的实体必然具有共同的特征,所以,用实体名及其属性名来抽象和描述同类实体,称为实体 型。 实体联系类型:一对一联系(1:1);一对多联系(1:n);多对多联系(m:n) 记录:(record)字段的有序集合称为记录。 数据项:标记实体属性的命名单位称为字段,也称为数据项。 字段:标记实体属性的命名单位称为字段,也称为数据项。 文件:同一类记录的集合称为文件。文件是用来描述实体集的。 数据模型:数据模型是数据库的框架,该框架描述了数据及其联系的组织方式、表达方式和存储路径,它是数据库
radius协议书范本
一、概述: RADIUS协议包括RADIUS AUTHENTICATION PROTOCOL 和RADIUS ACCOUNTING PROTOCOL 两部分。RADIUS AUTHENTICATION PROTOCOL 完成拨号用户的认证工作,而RADIUS ACCOUNTING PROTOCOL 则完成用户服务的计费任务。 事实上,为了更好地向分散的众多接入用户提供互联网服务,必须对接入服务提供有效的管理支持。它需要对安全,配置,计费等提供支持,这可以通过对一个用户数据库的管理来达到,这个数据库包括认证信息,及细化的服务配置信息和计费信息。通常这个数据库的维护管理,对用户信息的核实及配置有一个单独的实体完成,这个实体就是RADIUS server。由于这些管理信息的众多与繁杂,通常RADIUS server放在一个独立的计算机上,而为了向RADIUS server取得服务,必须首先构建一个RADIUS client,通常RADIUS client 位于Network Access Server(NAS,网络接入设备)上。 下图示例了这些实体之间的关系: 二、RADIUS认证协议格式: 1、RADIUS AUTHENTICATION PROTOCOL 包格式 下面是协议报文格式: CODE域可以包括如下一些值; 1Access-Request 2Access-Accept
3Access-Reject 4Accounting-Request 5Accounting-Response 11Access-Challenge 12Status-Server 13Status-Client 255Reserved 其中,CODE 1,2,3,11值为RADIUS AUTHENTICATION PROTOCOL使用,而CODE 4,5值为RADIUS ACCOUNTING PROTOCOL使用。其余未用或保留。CODE 占一个字节 IDENTIFIER占一个字节,用于匹配请求和应答。 LENGTH 占二个字节,是整个数据报的长度,包括CODE+IDENTIFIER+LENGTH +AUTHENTICATOR+A TTRIBUTES的所有长度。 AUTHENTICATOR 是16字节的随机数,高位在先,此域用于认证答复和加密口令字。 ATTRIBUTES是若干属性状态的集合,其长度是不确定的,不同的CODE值可以跟随不同的属性值。下表是一个总结:
《数据库原理与应用》课后习题参考答案
《数据库原理与应用》课后习题参考答案 第一章作业参考答案 1、单选题C C D B C 2、判断题对错错错对 3填空题网状模型用户商业智能数据挖掘系统设计 4简答题 1)数据模型就是指描述事物对象得数据组成、数据关系、数据约束得抽象结构及其说明。数据模型就是指描述事物对象得数据组成、数据关系、数据约束得抽 象结构及其说明。数据模型就是指描述事物对象得数据组成、数据关系、数据约束 得抽象结构及其说明。3)数据约束:用于描述数据结构中数据之间得语义联系、数据之间得制约与依存关系,以及数据动态变化得规则。主流数据库采用关系图模 型。数据库典型数据模型:层次数据模型网状数据模型关系数据模型其它数据模 型(如对象数据模型、键值对数据模型、列式数据模型。。。) 2)数据库——就是一种依照特定数据模型组织、存储与管理数据得文件,数据库文件一般存放在辅助存储器以便长久保存。数据库具有如下特点:数据不重复 存放;提供给多种应用程序访问;数据结构独立于使用它得应用程序;对数据 增、删、改、检索由统一软件进行管理与控制。 3)数据库(Database)就是一种依照特定模型组织、存储与管理数据得数据结构。在数据库中,不仅存放了数据,而且还存放了数据与数据之间得关系。数据库 内部元素:用户表:用户在数据库中创建得数据库表;系统表:数据库中系统自带 得数据库表;视图:数据库中用于对数据进行查询得虚拟表;索引:数据库中用于 加快数据查询得索引项;约束:数据库中对数据、数据关系施加得规则;存储过 程:数据库内部完成特定功能处理得程序;触发器:数据库内部因数据变化自动执 行得一类存储过程等等 4)数据库系统包括:用户、数据库应用程序、数据库管理系统与数据库四个组成要素。 5)数据库管理系统(Database Manage System,DBMS )——就是一种专门用来创建数据库、管理数据库、维护数据库,并提供对数据库访问得系统软件。数 据库管理系统(DBMS)主要功能:创建数据库与表; 创建支持结构,如索引等; 读取 数据库数据; 修改数据库数据; 维护数据库结构; 执行规则; 并发控制; 提供安全性; 执行备份与恢复等等 第二章作业参考答案 1 单选题C B D A A 2、判断题对对错对错 3填空题全外连接数据约束候选键用户定义完整性4简答题外码键 1)在关系模型中,使用“关系”来存储“实体”中得数据。关系(relation)——就是指存放实体数据得二维表。关系特征:行存储实体得个体数
radius协议详解
竭诚为您提供优质文档/双击可除 radius协议详解 篇一:Radius远程用户拨号认证系统详解 Radius远程用户拨号认证系统 Radius:Remoteauthenticationdialinuserservice,远程用户拨号认证系统由RFc2865,RFc2866定义,是目前应用最广泛的(aaa是authentication(认证)、authorization(授权)和accounting(计费)的简称)基本概念 aaaauthentication、authorization、accounting 验证、授权、记费 pappasswordauthenticationprotocol口令验证协议 chapchallenge-handshakeauthenticationprotocol盘问握手验证协议 nasnetworkaccessserver网络接入服务器 RadiusRemoteauthenticationdialinuserservice 远程验证拨入用户服务(拨入用户的远程验证服务) tcptransmissioncontrolprotocol传输控制协议 udpuserdatagramprotocol用户数据报协议
aaa实现途径 1.在网络接入服务器nas端:在nas端进行认证、授权和计费; 2.通过协议进行远程的认证、授权和记帐。实现aaa的协议有Radius Radius是Remoteauthenticationdialinuserservice的简称,ma5200、isn8850和md5500上目前使用Radius完成对ppp用户的认证、授权和计费。 当用户想要通过某个网络(如电话网)与nas建立连接从而获得访问其他网络的权利时,nas可以选择在nas上进行本地认证计费,或把用户信息传递给Radius服务器,由Radius进行认证计费;Radius协议规定了nas与Radius服务器之间如何传递用户信息和记账信息;Radius服务器负责接收用户的连接请求,完成验证,并把传递服务给用户所需的配置信息返回给nas。 本地(nas)验证——pap方式 pap(passwordauthenticationprotocol)是密码验证协议的简称,是认证协议的一种。用户以明文的形式把用户名和他的密码传递给nas,nas根据用户名在nas端查找本地数据库,如果存在相同的用户名和密码表明验证通过,否则表明验证未通过。 本地(nas)验证——chap方式
数据库原理与应用试题及答案
一、单选题(20分,每题1分) 1.关系数据模型的基本数据结构是()。 A. 树 B. 图 C. 索引 D. 关系 2.提供数据库定义、数据操纵、数据控制和数据库维护功能的软件称为()。 A. OS B. DS C. DBMS D. DBS 3.元数据是指()。 A. 数据结构的描述 B. 数据项的描述 C. 数据的来源 D. 基本数据 4.下面对关系中属性的描述,错误的是()。 A. 属性的次序可以任意交换 B. 允许多值属性 C.属性名唯一 D. 每个属性中所有数据来自同一属性域 5.超码、候选码和主码之间的关系是()。 A.超码?候选码?主码 B. 超码?主码?候选码 C. 主码?候选码?超码 D. 主码?超码?候选码 6.关系数据库实现数据之间联系的方法是()。 A. 主码 B. 外码 C. 候选码 D. 超码 7.如下所示关系R(A,B,C,D)中,可以作为主码的属性组是()。 A. AB B. BC C. CD D. AD或BD 8.设有如下所示关系R(A,B)和S(C,D,A),R的主码是A,S的主码是C、 外码是A(参照R.A),则能够插入关系S的元组是()。
A. (1,2,3) B. (3,2,1) C. (1,2,1) D. (4,5,6) 9. 将上题中的2个关系R 和S (未插入元组前)进行R*∞S 后的运算结果包含( ) 个元组。 A. 5 B. 6 C . 3 D. 2 10. 对第8题中的关系R 和S ,若将属性A 定义为S 的外码时使用了ON UPDA TE CASCADE 短语(级联更新),将R 中第一个元组的A 属性值更新为4时,S 中第一个元组A 属性的值( )。 A. 不变 B. 变为4 C . 变为NULL D. 拒绝更新,返回错误信息 11. 设有一个关系R (A ,B ),如果要找出B 属性的最后一个字母为A ,并且至少包 含2个字母的查询条件子句应写成WHERE B LIKE ( )。 A . ‘_A%’ B. ‘_A ’ C. ‘_% A ’ D. ‘%A ’ 12. SQL 中谓词EXIST 可用来测试一个集合是否( )。 A. 有重复元组 B. 有重复列名 C. 为非空集合 D. 有空值 13. 条件子句WHERE 工资>ALL (SELECT 工资 FROM 职工 WHERE 部门号=1) 的含义为( )。 A. 比1号部门中某个职工的工资高 B. 比1号部门中所有职工的工资都高 C. 比1号部门中所有职工的工资总和高 D. 无法比较,返回错误信息 14. 下列关于数据库系统中空值的描述错误的是( )。 A. 包含空值的算术表达式的运算结果为NULL B. COUNT (*)将统计包含空值的行
Radius协议原理与应用-20020404-C
资料编码产品名称宽带产品使用对象工程师/合作方工程师/用户产品版本所有版本编写部门固网宽带技术支持部资料版本V1.0 Radius协议原理与应用 拟制:尹启龙日期:2002-02-02 审核:陈锐日期:2005-03-07 审核:日期: 批准:任远日期:2005-03-07 华为技术有限公司 版权所有侵权必究
目录 第1章 AAA和RADIUS介绍 (1) 第2章 RADIUS协议 (3) 2.1 引论 (3) 2.2 客户服务器模式 (3) 2.3 用户<->NAS<->Radius业务流程说明 (4) 2.4 网络安全 (4) 2.4.1 包签名: (5) 2.4.2 口令加密: (5) 2.5 AAA在协议栈中的位置 (8) 2.6 良好的可扩展性 (8) 第3章标准RADIUS协议 (9) 3.1 标准Radius协议包结构 (9) 3.2 常用标准Radius属性说明 (12) 3.3 华为公司宽带产品Radius标准属性 (13) 第4章华为公司的Radius扩展协议——Radius+ v1.1 (16) 4.1 Radius+简介 (16) 4.1.1 扩展Radius+的目的 (16) 4.1.2 可靠性、安全性与Radius相同 (16) 4.2 Radius+报文 (16) 4.2.1 Radius+认证报文 (16) 4.2.2 Radius+计费报文 (21) 4.2.3 Radius+新增报文 (25) 第5章华为NAS设备与Radius Server对接应用实例 (29) 5.1 组网图 (29) 5.2 用户认证计费应用实例分析 (29) 5.2.1 合法用户 (29) 5.2.2 非法用户 (33)
数据库原理与应用
单选题 一个属性的值能从其他相关属性计算得到,该属性属于() A.复合属性 B.派生属性 C.多值属性 D.简单属性 正确答案:B 磁盘损坏可能导致 A.介质故障 B.事务故障 C.运行故障 D.系统故障 正确答案:A 并发操作若不加控制的话,可能带来数据不一致问题不包括 A.不可重复读 B.丢失修改 C.可重复读
正确答案:C 数据库管理系统是_____________ A.DBMS B.DB C.OS D.DBS 正确答案:A 下列哪个语句用于创建模糊查询 A.ORDER B.LIKE C.GROUP D.NULL 正确答案:B 合并分分E-R图时不可能出现的冲突有 A.语法冲突 B.命名冲突 C.结构冲突
正确答案:A 创建索引的语句是 A.create index B.create schema C.create table D.create view 正确答案:A SQL语言可以使用下列哪条语句来进行修改元组 A.update B.delete C.insert D.select 正确答案:A E-R模型向关系模型转换时,一个M:N联系转换为关系R,R的码是() A.M端和N端实体码的联合 B.N端实体的码
D.M端实体的码 正确答案:A 下面可以解决活锁的是 A.先来先服务 B.顺序封锁法 C.检测和解除策略 D.一次封锁法 正确答案:A 基本E-R图向关系模型转换是对多值属性如何处理 A.展平技术,忽略复合属性本身,直接使用其成分属性代替 B.以上都不对 C.为其创建一个新的关系模式 D.忽略 正确答案:C 二级封锁协议不可以保证 A.不读脏数据 B.丢失修改
什么是RADIUS协议
什么是RADIUS协议 RADIUS RADIUS:Remote Authentication Dial In User Service,远程用户拨号认证系统由RFC2865,RFC2866定义,是目前应用最广泛的AAA协议。 目录 编辑本
RADIUS是一种C/S结构的协议,它的客户端最初就是NAS(Net Access Server)服务器,现在任何运行RADIUS客户端软件的计算机都可以成为RADIUS的客户端。RADIUS协议认证机制灵活,可以采用PAP、CHAP或者Unix登录认证等多种方式。RADIUS是一种可扩展的协议,它进行的全部工作都是基于Attribute-Length-Value的向量进行的。RADIUS也支持厂商扩充厂家专有属性。 由于RADIUS协议简单明确,可扩充,因此得到了广泛应用,包括普通电话上网、ADSL上网、小区宽带上网、IP电话、VPDN(Virtual Private Dialup Networks,基于拨号用户的虚拟专用拨号网业务)、移动电话预付费等业务。最近IEEE提出了802.1x标准,这是一种基于端口的标准,用于对无线网络的接入认证,在认证时也采用RADIUS协议。 编辑本段历史 RADIUS协议最初是由Livingston公司提出的,原先的目的是为拨号用户进行认证和计费。后来经过多次改进,形成了一项通用的认证计费协议。 创立于1966年Merit Network, Inc.是密执安大学的一家非营利公司,其业务是运行维护该校的网络互联MichNet。1987年,Merit在美国NSF(国家科学基金会)的招标中胜出,赢得了NSFnet(即Internet前身)的运营合同。因为NSFnet是基于IP的网络,而MichNet却基于专有网络协议,Merit面对着如何将MichNet的专有网络协议演变为IP协议,同时也要把MichNet上的大量拨号业务以及其相关专有协议移植到IP网络上来。 1991年,Merit决定招标拨号服务器供应商,几个月后,一家叫Livingston的公司提出了建议,冠名为RADIUS,并为此获得了合同。 1992年秋天,IETF的NASREQ工作组成立,随之提交了RADIUS作为草案。很快,RADIUS成为事实上的网络接入标准,几乎所有的网络接入服务器厂商均实现了该协议。 1997年,RADIUS RFC2058发表,随后是RFC2138,最新的RADIUS RFC2865发表于2000年6月。 编辑本段基本工作原理 用户接入NAS,NAS向RADIUS服务器使用Access-Require数据包提交用户信息,包括用户名、密码等相关信息,其中用户密码是经过MD5加密的,双方使用共享密钥,这个密钥不经过网络传播;RADIUS服务器对用户名和密码的合法性进行检验,必要时可以提出一个Challenge,要求进一步对用户认证,也可以对NAS进行类似的认证;如果合法,给NAS返回Access-Accept数据包,允许用户进行下一步工作,否则返回Access-Reject 数据包,拒绝用户访问;如果允许访问,NAS向RADIUS服务器提出计费请
(1)RADIUS协议特点及登陆过程
(1)RADIUS协议特点及登陆过程 ADIUS协议特点 RADIUS协议具有灵活、安全、可扩展性好的特点,具体包括:通过网络传输的认证信息都经过加密,安全性高;认证方式灵活,支持Unix Passwd、CHAP、挑战-回答认证等多种认证方式,还支持认证转接(Authentication Forwarding);协议扩展性好,通过变长的属性串(Attribute Pair)能够进一步扩展RADIUS协议。RADIUS的认证过程如下图(图5-10所示):图5-10 RADIUS协议认证流程图如上图所示,NAS(Network Access Server,网络访问服务器)被看成RADIUS的客户端,当用户登录到NAS 时,客户端将用户提供的认证信息(如用户名和口令)发送给指定的RADIUS Server,并根据Server的回应作出相应的“允许/不允许登录”的决定。RADIUS Server 负责接收认证请求并进行认证,然后将认证结果(包括连接协议、端口信息、ACL 等授权信息)发送回RADIUS Client,Client根据授权信息限制用户对资源的访问。一个RADIUS Server可以作为另一个RADIUS Server的客户端要求认证(即认证转接),以提供灵活的认证方式。RADIUS Server和Client之间传递的认证信息用一个事先设置的口令进行加密,防止敏
感信息泄露。当用户成功的登录后,NAS会向RADIUS Server 发送一个连接开始的记账信息包,其中包括用户使用的连接种类、协议和其他自定义信息;当用户断开连接后,NAS 会向RADIUS Server发送一个连接结束的记账信息包,RADIUS Server根据设置为用户记账。 RADIUS登录过程 下面是一个典型的RADIUS登录过程: 远程用户登录NAS; NAS发送“RADIUS Access-Request”到RADIUS Server,其中包括用户名、密码等信息;如果该用户使用“挑战-回答”认证,RADIUS Server 将发送包含挑战信息的“RADIUS Access-Challenge”消息,NAS将挑战信息显示给用户; 用户将回答提交给NAS,NAS将发送第二个“RADIUS Access-Request”,Server 将根据此信息进行认证,这个过程类似于前面介绍过得CHAP认证方式; RADIUS Server 将根据事先设置的认证方式(CHAP、用户名口令、挑战应答等)认证该用户,并发回“RADIUS Access-Accept”;或拒绝该用户,并发回“RADIUS Access