Các loại gói tin

Một phần của tài liệu Tìm hiểu mikrotik router và xây dựng demo hệ thống hotspot gateway cho dịch vụ internet lan wifi có chứng thực (Trang 26 - 30)

CHƢƠNG 2 : TÌM HIỂU VỀ GIAO THỨC RADIUS

2.7.Các loại gói tin

2.7.1. Access-Request

Các gói tin Access-Request đƣợc dùng để gửi tới RADIUS server để yêu cầu truy cập tài nguyên mạng. Sau khi nhận đƣợc một Access-Requet hợp lệ từ client, một trả lời thích hợp sẽ đƣợc truyền đi từ server. Một Access-Request bắt buộc phải có NAS- IP Address hoặc NAS-ID hoặc cả hai.

Một Access-Request phải chứa thuộc tính User-password, hoặc CHAP-password hoặc CHAP-State. Một Access-Request khơng thể chứa cả 2 user-password và CHAP- password.

Một Access-Request nên chứa một NAS-Port hoặc NAS-Port-Type hoặc cả 2. Một Access-Request có thể chứa các thuộc tính bổ sung nhƣ một gợi ý cho máy chủ (máy chủ khơng u cầu các thuộc tính này.). Nếu trong Access-Request có thuộc tính User-password thì nó sẽ đƣợc ẩn đi theo thuật tốn MD5.

ên dƣới là định dạng gói tin Access-Request. Các trƣờng đƣợc truyền đi theo thứ tự từ trái qua phải.

H nh 2-6: Định dạng gói tin Access-Request - Trường Code: có giá trị 1 cho loại gói tin Access-Request.

- Trường Identifier: trƣờng này sẽ thay đổi giá trị khi giá trị của các thuộc tính

khác thay đổi hoặc bất cứ khi nào có một sự phản hồi hợp lệ từ một yêu cầu trƣớc đó ngƣợc lại trƣờng này không thay đổi giá trị

- Trường Request Authenticator: trƣờng này phải đƣợc thay đổi mỗi khi trƣờng

Tiểu luận chuyên ngành 27 - Trường Attributes: trƣờng này có thể thay đổi độ dài và danh sách các thuộc

tính đƣợc yêu cầu cho các loại dịch vụ khác nhau.

2.7.2. Access-Accept

Gói tin này đƣợc gửi từ máy chủ RADIUS tới Client, và cung cấp các thơng tin cấu hình cụ thể cần thiết để ngƣời dùng bắt đầu sử dụng dịch vụ.Code sẽ có giá trị 2 để xác định loại gói tín Access-Accept. Khi nhận một Access-accept trƣờng Identifier của Access-Request sẽ phải đúng với trƣờng Identifier Access-Accept. Các gói tin không hợp lệ sẽ bị bỏ.

Định dạng gói tin Access-Request. Các trƣờng đƣợc truyền đi theo thứ tự từ trái qua phải.

H nh 2-7: Định dạng gói tin ccess-Request - Trường Code: có giá trị là 2 cho loại gói tin Access-Accept.

- Trường Identifier: đƣợc lấy từ Identifier trong gói tin Access-Request.

- Trường Response Authenticator: Trƣờng này chứa: Code, Identifier, Length và trƣờng Request Authenticator có đƣợc từ gói tin Accounting-Request, thuộc tính Response (nếu có). Tất cả đƣợc mã hóa bằng thuật tốn MD5 (mã hóa một chiều) và lƣu vào trƣờng Authenticator của gói tin Accounting-Response.

- Trường Attributes: có thể thay đổi chiều dài, và có chứa một danh sách các thuộc tính.

2.7.3. Access-Reject

Nếu máy chủ AAA sau khi kiểm tra các thông tin của ngƣời dùng hoàn toàn thỏa mãn sẽ cho phép sử dụng dịch vụ, nó sẽ trả về một message dạng RADIUS Access-

Tiểu luận chuyên ngành 28

Accept. Nếu không thỏa mãn máy chủ AAA sẽ trả về một tin RADIUS Access-Reject và NAS sẽ ngắt kết nối với user.

Cấu trúc gói tin Access-Reject:

H nh 2-8:Cấu trúc gói tin Access-Reject - Trường Code: có giá trị 3 cho loại gói tin Access-Reject.

- Trường Identifier: copy từ Identifier của gói tin Access-Request.

- Trường Response Authenticator: Trƣờng này chứa: Code, Identifier, Length và trƣờng Request Authenticator có đƣợc từ gói tin Accounting-Request, thuộc tính Response (nếu có). Tất cả đƣợc mã hóa bằng thuật tốn MD5(mã hóa một chiều) và lƣu vào trƣờng Authenticator của gói tin Accounting-Response.

- Trường Attributes: có thế có hoặc khơng các thuộc tính.

2.7.4. Access-Chanllenge

Nếu máy chủ RADIUS muốn ngƣời dùng cung cấp thêm thơng tin xác thực nó sẽ gửi một gói tin Access-Challenge để trải lời cho gói tin Access-Request.

Các trƣờng có thể có một hoặc nhiều Reply-Message và có thể có 1 thuộc tính State duy nhất hoặc khơng. Vendor-Specific, Idle-Timeout, Session-Timeout and Proxy-State là những thuộc tính cũng có thể đƣợc thêm vào trong gói tin này. Những gói tin nào có Identifier khác so với Identifier của gói Access-Request sẽ bị xố bỏ.

Nếu NAS không hỗ trợ challenge/response thì nó sẽ xử lý Access-chanllenge giống nhƣ xử lý Access-Reject. Nếu NAS hỗ trợ challenge/response . khi đó NAS sẽ hiển thị các tin nhắn (nếu có) cho ngƣời dùng từ server và yêu cầu ngƣời dùng trả lời.NAS sẽ gửi một Access-Request với ID mới với User-Password đƣợc thay thế (adsbygoogle = window.adsbygoogle || []).push({});

Tiểu luận chuyên ngành 29

bằng User s response (mã hố). Và có thể thêm vào thuộc tính State từ gói tin Access- Challenge nếu có.

Cấu trúc gói tin Access-Chanllenge:

H nh 2-9:Cấu trúc gói tin Access-Chanllenge - Trường Code:có giá trị 11 cho loại gói tin Access-Challenge. - Trường Identifier: đƣợc sao chép từ Identifier của Access-Request.

- Trường Response Authenticator: Trƣờng này chứa: Code, Identifier, Length và

trƣờng Request Authenticator có đƣợc từ gói tin Access-Request, thuộc tính

Response (nếu có). Tất cả đƣợc mã hóa bằng thuật tốn MD5(mã hóa một chiều).

Tiểu luận chuyên ngành 30

Một phần của tài liệu Tìm hiểu mikrotik router và xây dựng demo hệ thống hotspot gateway cho dịch vụ internet lan wifi có chứng thực (Trang 26 - 30)

(89 trang)