基于802.1X和DFW的网络安全研究及NAC系统的设计与(17)

基于802.1X和DFW的网络安全研究及NAC系统的设计与实现

性值而不会对协议有任何影响。

标准的RADIUS数据包的结构包括Code, ID, Length. Authenticator和Attributes几部分，如表2-1所示：

表2-1 RADIUS包格式 第一字节 第二字节 第三字节 第四字节

Authenticator

Authenticator

Authenticator

Authenticator

Attributes......

1）Code:代码域，长度为一个字节，用来区分RADIUS包的类型，如果收到包 含有无效的Code值，则将该包丢弃。常见的Code值见表2-2。其中，1,2,3用于用户认证，而4,5则是统计流量用，12, 13用于试验阶段，255作为保留。

表2-2 Code域代表的主要类型 Code值

1

2

3

4

5 代表类型 Access-Request Access-Accept Access-Reject Accounting-Response

2）Identifier:标识符域，1个字节，用于区分不同的请求以便给予相应的应答。

3) Length:长度域，2个字节，(20<Length<4096)，用来表示整个RADIUS包的总长度，包括Code, Identifier, Length, Authenticator和Attributes五个数据域的长度总和。其中Code, Identifier, Length, Authenticator为定长，Attributes为变长，超出范围的数据将视为附加数据(Padding)或直接忽略。

4) Authenticator：认证标识符域，16个字节，分为请求认证标识符(Request

Authenticator)和响应认证标识符(Response Authenticator)。

①请求认证标识符

在接入请求数据包中，Authenticator是一个十六字节的随机数，称为请求认

证标识符。这个值是不可预测的，并且它在NAS和RADIUS服务器之间通过共享密钥传输数据的整个生命周期中是唯一的。因为同一个共享密钥的请求值若重复，黑客就有