YDT1615-2007 公众IP网络安全要求--基于远端接入用户验证服务协议(RADIUS)的访问

本标准是“公众 IP 网络安全”系列标准之一。该系列标准预计的结构及名称如下： 1.公众IP 网络安全要求——安全框架； 2.公众IP 网络安全要求——基于数字证书的访问控制； 3.公众IP 网络安全要求——基于远端接入用户验证服务协议（RADIUS）的访问控制； 4，公众IP网络安全要求--基于Diameter的访问控制。 本标准在制定过程中参考了IETF RFC 2865、RFC2866、RFC2689、RFC3162等。 本标准由中国标准化协会提出并归口。 范围 本标准规定了基于RADIUS协议的访问控制要求，包括RADIUS服务器的结构、作用及在网络中的位置，RADIUS认证与计费消息的格式与属性，以及RADIUS认证计费过程、RADIUS的安全机制。 本标准适用于公众IP网络的接入系统。 2规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准。然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。 YD/T 1466-2006YD/T 1614-2007 IP 安全协议（IPSec）技术要求 公众IP网络安全要求--基于数字证书的访问控制 3定义和縮略语 3.1定义 下列定义适用于本标准。 计费 收集资源使用信息的动作，以用于能力规划、审核、营业额或成本分配。 计费记录 一条计费记录表述了一个用户在整个会话过程中资源消费的总结。计费服务器可以通过处理中间计费事件或从若干为同一用户服务的设备上收集的计费事件来完成计费记录的创建。 认证 核实某个实体（客体）身份的动作。 授权 决定一个提出请求的实体（客体）是否被允许访问资源（主体）的动作。 代理 除了转发请求和响应，代理还制定与资源使用和配置相关的策略决定。该工作通常通过跟踪接入服务器设备的状态来完成。代理在收到服务器响应之前一般不会响应客户请求。当策略被违反时，它可以生成拒绝（Reject）消息。因此，代理必须理解通过它们的消息的语义，而且不一定支持所有的应用。 中间计费 中间计费消息提供一个用户会话过程中资源使用的快照。如果因设备重启动或者其他网络故障，使得会话总结消息或会话记录无法被接收的情况下，它通常用于用户会话的分段记账。 多会话（Multi-session） 一个多会话表现为若干会话的一个逻辑链接。多会话通过使用Acct-Multi-Session-Id来辨讲。多会话的一个举例可以是一个多链路PPP束。该PPP束的每一个分支都是一个会话，而整个PPP束则是一个多会话。 网络接入标识符 网络接入标识符或NAI，在Diameter协议中用来摘录某个用户的身份和域（realm）的信息。身份用来在认证和/或授权过程中标识该用户，而城（reaim）则用于消息的路由。 域 NAI中紧躁在"@"字符后面的字符中。NAI域名必须是惟一的，并且遵从DNS命名空间的管理。在RADIUS中，城名不必遵从DNS命名方式，可以独立。 会话状态 通过跟踪所有经过授权的活动会话，状态代理保留会话状态信息。每个经过授权的会话都与某特殊的业务绑定，其状态为活动，一直到被通知改变为其他状态或到期。 子会话 子会话表示一个提供给已有会话的独特的业务（例如Qos或数据特性）。这些业务可以同时（例如在同一-会话过程中同时传送语音和数据）或连续发生。会话中的这些改变通过Accounting-Sub-Session-ld来表征。 RADIUS服务器 RADIUS服务器指支持RADIUS协议，对用户进行计费与认证的服务器，通常由运营商提供与维护。 RADIUS客户端 RADIUS客户端指支持RADIUS协议，对于用户进行接入，并把用户的认证信息转发至RADIUS服务器，对用户身份进行认证的设备。 32缩略语 下列缩略语适用于本标准。 AAA Authentication，Authorization and Accounting认证授权和计费 ADSL Asymmetrical Digital Subscriber Loop非对称式数据用户线 AVP Attribute Value Pairs属性值对CHAP Challenge Handshack Authentication Protocol握手认证协议 CMS Cryptographic Message Syntax EAP Extensible Authentication Protocol密码消息语法 可扩展认证协议 EAPOL EAP over LAN，局域网上传送EAP协议 HDLC High-Level Data Link Control高层数据链路控制 HΤΤP Hyper Text Transmission Protocol超文本传输协议 IP Internet Protocol互联网协议 LAN Local Area Network局域网 4 RADIUS服务器结构作用及在网络中的位置 4.1 RADIUS 服务器的结构 RADIUS服务器应可以对用户进行认证、处理与用户及应用相关的授权并收集计费信息。RADIUS服务器应与一特定的应用模块有接口，这个应用模块用于管理授权过程所需的资源。RADIUS 系统的组成部分可能会分布在不同的管理城中。 4.1.1 RADIUS 服务器体系中的组成部分 授权规则的评估：授权过程的第一个步骤是为用户或代表用户利益的实体产生一个请求并发向RADIUS 服务器。RADIUS 服务器有一套规则来检验这些请求，并做出相应的授权决定。RADIUS 服务器应有一套基于规则的引擎，它可以理解请求中的一般信息，不过它不会知道任何具体的应用信息，除非这些信息是可以用布尔值或数值来表述的。 应用专用模块：RADIUS服务器最终会与应用专用模块进行交互。对于业务提供者，业务专用模块用于管理资源并配置服务设备来提供授权服务。它可能也参与授权的决策，因为它具有针对业务的信息。业务专用模块是RADIUS服务器一个分离的体系组成部分，它必须是可被寻址的，因此应在全球命名空间中。 授权事件记录：为了审计，RADIUS服务器必须具有某种形式的数据库，用来存储有时间戳的事件。 这个数据库可以说明曾颁发的授权。 策略库：这是一个包含可用的服务与资源数据库，授权的决策就对根据这些进行的，另外进行决策所需的各种策略也应在此数据库中。在此，对于服务与资源的命名空间也非常重要，它们必须是从别的RADIUS 服务器上可以寻址的。