【正文】 采用這種方法開發(fā)的RADIUS 系統(tǒng)具有符合國際標準協(xié)議、使用簡便、開發(fā)周期短、系統(tǒng)靈活性高、易于擴充和與系統(tǒng)間可互通漫游的特點。作為一個可擴充的AAA 協(xié)議棧軟件包，用戶可以在AAA 協(xié)議棧的基礎之上，選擇自己所需要的運行模塊和連接方式，編寫符合自己需要的用戶回調函數和全局設置接口，就可以完成一個標準的RADIUS 系統(tǒng)。這樣，開發(fā)符合RADIUS 協(xié)議的用戶接入認證、授權和記賬的軟件成為構筑ISP、電信運營商、安全網絡系統(tǒng)中的必要部分。一個可擴展的AAA 協(xié)議棧20論文摘要認證（Authentication）、授權（Authorization）、記賬（Accounting）是網絡接入的三個重要需求。感謝研究小組成員劉靜、張廣艷、于海超，是他們使我在團結協(xié)作中不斷成長。向師兄張鈳、張猛表示衷心的感謝。 available atftp://[16]. . Calhoun, . Rubens, and H. Akhtar, Diameter Base Protocol,IETF AAA Working Group, Internet draft, Oct. 1999, work in progress.一個可擴展的AAA 協(xié)議棧19致謝在此，首先向我的導師鞠九濱教授表示深深的謝意！從本科論文開始，鞠九濱教授以他嚴謹的治學態(tài)度、淵博的學識、敏銳的思維和孜孜不倦的工作作風對我進行了悉心的教誨，使我受益終生。參考文獻[1].Lucent, “Remote Authentication DialIn User Service”,一個可擴展的AAA 協(xié)議棧181992[2].Internet Engineering Task Force (IETF) Authentication, Authorization,and Accounting (AAA) Working Group Charter。提供端到端的安全機制。突破RADIUS 協(xié)議限制，允許服務員向客戶端發(fā)送統(tǒng)一消息。提供可擴展的基礎來引進新策略和AAA 服務。IETF 著眼的下一代AAA 協(xié)議。TACACS+允許驗證和授權分離，而RADIUS 中驗證和授權是集成的。類似于RADIUS 的AAA 協(xié)議，與RADIUS 不同之處在于：傳輸協(xié)議使用TCP 而不是UDP。定義于RFC1492 中。 增強與其它RADIUS 系統(tǒng)的互通性。 對數據庫的訪問中增加LDAP（輕型目錄訪問協(xié)議）的支持。今后進一步的工作是： 實現最新的RADIUS 協(xié)議RFC2865[13]、RFC2866[14]。 認證中的驗證類型還需擴充。通過測試，本協(xié)議棧在同等環(huán)境條件下，系統(tǒng)的功能和性能達到相近系統(tǒng)的前列。開發(fā)一個可供快速組建RADIUS 系統(tǒng)的協(xié)議棧是一個必不可少的基礎工具。而防火墻和VPN 中的不斷使用，使RADIUS 協(xié)議也日益成為工業(yè)事實標準。減少用戶處理執(zhí)行時間，以利于系統(tǒng)整體的運行性能。盡量在用戶回調函數中使用靜態(tài)內存，防止動態(tài)內存使用不慎而引起的內存泄漏和系統(tǒng)崩潰。在使用本協(xié)議棧時應注意以下幾個問題：字典文件和屬性的定義：由于不同廠商對屬性和屬性值的定義值不同，所以應注意區(qū)別，防止屬性數據類型不匹配。 連接編譯整個協(xié)議棧：選擇不同運行模塊，包括不同的驗證方式、訪問數據庫的類型等，在操作系統(tǒng)上運行編譯器。 了解協(xié)議棧和實用函數：開發(fā)者必須掌握本協(xié)議棧的邏輯流程，了解函數的定義和調用的順序。本協(xié)議棧在 HPUX 1 、IBMRS6000 AIX 、Redhat Linux 、Slackware Linux 、Solaris 、Solaris x86 、SunOS 、WindowsNT/2000 上測試成功?？缙脚_運行：本協(xié)議棧可以運行在多個平臺之上。多種日志方法：詳細錯誤信息輸出到本地日志、系統(tǒng)日志、數據庫中。一般來說，在主頻為300MHz 的主機上，其它系統(tǒng)可以實現500 個/秒的認證速度，而使用本協(xié)議棧開發(fā)的RADIUS 系統(tǒng)可以實現1000 個每秒。更不會出現內存泄漏等錯誤。運行穩(wěn)定：由于協(xié)議棧采用進程池的方式實現，所占用的內存一定，系統(tǒng)開銷最小。二次開發(fā)工作量少，容易擴充：由于協(xié)議棧已經完成了開發(fā)RADIUS 系統(tǒng)所需的大部分工作，用戶只需要開發(fā)少量的回調函數，完成自己的特定需要，所以可以快速開發(fā)。在CHAP 中，RAS 首先生成一個隨機數（稱為挑戰(zhàn)）并發(fā)送給用戶，用戶的PPP 端生成一個由口令和挑戰(zhàn)組成的單向摘要并發(fā)送給RAS，由于摘要是單向加密，RADIUS 服務員不能從摘要中恢復口令，所以它使用本地數據庫中存儲的用戶口令用同樣方法計算出摘要和接收的摘要比較，如果相同則驗證通過。最后RADIUS 服務員以口令明文的方式進行驗證。用戶發(fā)送口令給RAS 的過程中，口令以明文方式傳送。多種驗證類型：在驗證過程中，RAS 和RADIUS 服務員傳送口令信息，這個口令信息通過RAS 和RADIUS 服務員之間的共享密鑰加密。一個可擴展的AAA 協(xié)議棧14判斷用戶名長度是否合法判斷是否有屬性getattribute()抽取SESSION_INDEX屬性放入響應鏈表中抽取相應請求屬性getattribute()應用客戶端口令解密請求口令decrypt_password()調TUXEDO訪問數據庫取口令get_password()判斷為正確，并發(fā)送響應send_accept()判斷為錯誤，并發(fā)送響應send_reject()圖 48 典型回調函數流程圖第五章協(xié)議棧功能特點協(xié)議實現全、互通性較高：本協(xié)議?；救繉崿F了IETF 中關于RADIUS 的相關協(xié)議。接口回調函數開發(fā)者通過回調函數來使用本協(xié)議棧，在請求包處理回調函數中，開發(fā)者可以使用協(xié)議棧提供的各種實用函數，包括屬性提取函數、加密解密函數、包發(fā)送接收函數、打包函數和訪問數據庫函數。此測試程序運行于RADIUS 客戶端，通過進程間通信模仿調用方程序。功能測試包括對RADIUS 服務員中是否滿足RFC2138 和RFC2139 中規(guī)定功能的測試；性能測試包括在大并發(fā)用戶量下系統(tǒng)的響應時間和正確率。測試程序負責產生測試呼叫。本地RADIUS服務員ORACLE數據庫遠端RADIUS服務員RADIUS客戶端測試程序圖 47 協(xié)議棧測試環(huán)境其中本地 RADIUS 服務員接收發(fā)自RADIUS 客戶端的請求，ORACLE 數據庫作為存儲用戶數據和配置信息的服務器。測試環(huán)境和方法一個可擴展的AAA 協(xié)議棧13本協(xié)議棧的測試環(huán)境可以象開發(fā)環(huán)境一樣，有多種組合。接收數據包到緩沖區(qū)recvfrom()判斷包源服務員的合法性find_server()將緩沖區(qū)打成請求頭結構radrecv()找出包對應的描述符查找發(fā)送時記的請求頭pop_proxy()轉發(fā)響應給最初的客戶端sendproxy2client()圖 45 漫游請求包流程協(xié)議棧中子進程處理請求包的流程圖如圖 46 所示。RADIUS主進程子進程池空閑子進程接收新請求的子進程正在處理請求的子進程完成子進程通知父親圖43 系統(tǒng)運行時進程關系圖包處理邏輯流程協(xié)議棧中的主進程在處理請求包時所作處理如圖44 所示。子進程完成請求后通知父進程。并且為提高效率，采用進程預分配的方法。子進程空閑置位。圖 41 系統(tǒng)網絡通信算法一個可擴展的AAA 協(xié)議棧10使用本協(xié)議棧開發(fā)的 RADIUS 服務員系統(tǒng)的系統(tǒng)邏輯流程如下。一旦數據到達，進行一下處理如果表中網絡套接字有數據發(fā)到，則調用處理子程序，該子程序首先判斷該請求的源是否合法，是否需要漫游處理，然后選擇預先分配的一個空閑進程處理請求。求出包括網絡套接字和父子進程間管道描述字的最大值。將網絡套接字和管道描述符全部放入一個SELECT描述字段中，該字段中的項對應可以進行I/O的描述符。預先創(chuàng)建若干RADIUS子進程，并建立父子間通信的全雙工管道等待處理主進程發(fā)送