RADIUS数据包分为5个部分：

　　（1） Code:1个字节，用于区分RADIUS包的类型：常用类型有：

　　接入请求（Access-Request），Code=1；接入应答（Access-Accept），Code=2；接入拒绝（Access- Reject），Code=3；计费请求（Accounting-Request），Code=4等。

　　（2）Identifier:一个字节，用于请求和应答包的匹配。

　　（3）Length:两个字节，表示RADIUS数据区（包括Code, Identifier, Length, Authenticator, Attributes）的长度，单位是字节，最小为20，最大为4096。

　　（4）Authenticator:16个字节，用于验证服务器端的应答，另外还用于用户口令的加密。RADIUS服务器和NAS的共享密钥 (Shared Secret)与请求认证码(Request Authenticator)和应答认证码(Response Authenticator)，共同支持发、收报文的完整性和认证。另外，用户密码不能在NAS和RADIUS 服务器之间用明文传输，而一般使用共享密钥(Shared Secret)和认证码(Authenticator)通过MD5加密算法进行加密隐藏。

　　（5）Attributes:不定长度，最小可为0个字节，描述RADIUS协议的属性，如用户名、口令、IP地址等信息都是存放在本数据段。

　　2.3 RADIUS的认证、计费过程

　　如图1网络模型所示：

　　（1）申请者登录网络时，NAS会有一个客户定义的Login提示符要求申请者输入用户信息（用户名和口令），申请者输入相关的认证信息后，等待认证结果。

　　（2）NAS在得到用户信息后，将根据RADIUS的数据包格式，向RADIUS服务器发出“接入请求”（Access-Request）包。包中一般包括以下RADIUS属性值：用户名、用户口令、访问服务器的ID、访问端口的ID。

　　（3）当RADIUS服务器收到“接入请求”包后，首先验证NAS的共享密码与RADIUS服务器中预先设定的是否一致，以确认是所属的 RADIUS客户端。在查验了包的正确性之后，RADIUS服务器会依据包中的用户名在用户数据库中查询是否有此用户记录。如果用户信息不符合，就向 NAS发出“接入拒绝”（Access-Reject）包。NAS在收到拒绝包后，会立即停止用户连接端口的服务要求，用户被强制退出。

　　（4）如果用户信息全部符合，服务器向NAS发出“接入质询”包（Access-Challenge），对用户的登录请求作进一步的验证。其中包括：用户口令、用户登录访问服务器的IP、用户登录的物理端口号等。NAS收到“接入质询”包后，将消息显示给用户，要求用户进一步确认登录请求。用户再次确认后，RADIUS服务器将比较两次的请求信息，决定如何响应用户（发送Access-Accept、Access-Reject或再一次的 Access-Challenge）。

　　（5）当所有的验证条件和握手会话均通过后，RADIUS服务器会将数据库中的用户配置信息放在“接入接受”（Access-Accept）包中返回给NAS，后者会根据包中的配置信息限定用户的具体网络访问能力。包括服务类型：SLIP、PPP、Login User、Rlogin、Framed、Callback等等。还包括与服务类型相关的配置信息：IP地址、时间限制等等。

　　（6）在所有的验证、授权完成后，局域网交换机的控制端口被打开。用户可以通过交换机进入网络。同时，NAS向RADIUS服务器发送 “计费请求开始”包（Accounting-Request Start），通知RADIUS服务器开始计费。当用户下网时，NAS向RADIUS服务器发送“计费请求结束”包（Accounting- Request Stop），RADIUS服务器根据计费包的信息计算用户使用网络的费用。

　　3  WLAN模型中RADIUS认证系统的设计与实现

　　3.1  WLAN网络模型的简化

　　在实验室的模拟环境下，由于网络用户少，可以采用中、小型的数据库来存放所需信息，并可以将RADIUS服务器与数据库在同一主机上实现。局域网交换机可以实现端口控制功能。网络结构可简化如下：

图2  实验室环境下WLAN网络模型