1簡介

遠程身份驗證撥入用戶服務（RADIUS）最初由Livingston提出，旨在為撥號用戶提供身份驗證和記帳。經過許多改進，它已逐漸成為一種通用的網絡身份驗證和計費協議，并在IETF提交的RFC2865和RFC2866文檔中進行了定義。 RADIUS協議在客戶端/服務器模式下工作。客戶端是網絡訪問服務器（NAS）。它將身份驗證和記帳信息提交到RADIUS服務器。 RADIUS服務器處理該信息，并將結果返回給NAS。

RADIUS協議具有廣泛的應用范圍，并且用于身份驗證和計費系統中，以用于移動，數據和智能網絡等服務。在無線局域網的80 2. 1X身份驗證框架中，還建議在身份驗證側使用RADIUS協議。

本文將討論RADIUS協議的原理，并討論其在WLAN中的應用和實現。

2 RADIUS協議

2. 1 WLAN網絡模型

在實際的商用無線LAN中，可以使用LAN交換機來實現80 2. 1X身份驗證協議中的端口控制功能。為了確保網絡的安全性，應在無線LAN的出口和身份驗證端添加防火墻。 RADIUS服務器和也可以采用主備結構，以確保網絡的健壯性。

網絡模型如下所示：

圖1無線LAN網絡模型

無線LAN的身份驗證端由RADIUS服務器，網絡訪問服務器（NAS）和組成。其中：

NAS：作為RADIUS服務器的客戶端，它將用戶的身份驗證信息轉發到RADIUS服務器。并且在用戶通過身份驗證后，它將記帳信息發送到RADIUS服務器。

RADIUS服務器：作為身份驗證系統的中央服務器，它連接到NAS和。它接受從NAS提交的信息，對執行相應的操作，并將處理結果返回給NAS。

：用于存儲所有用戶信息，賬單信息和其他信息。用戶信息由網絡管理員添加到中；記帳信息來自RADIUS服務器；其他信息包括日志信息等。

2. 2 RADIUS數據包結構

RADIUS是應用程序層協議。在傳輸層中，其消息封裝在UDP消息中，然后封裝在IP數據包中。 RADIUS身份驗證使用端口1812，記帳使用端口1813。

RADIUS封裝在以太網上之后的數據包結構：

RADIUS數據包分為5部分：

（1）代碼：1個字節，用于區分RADIUS數據包的類型：常見類型為：

訪問請求，代碼= 1；訪問接受，代碼= 2；訪問拒絕，代碼= 3；收費請求（AccounTIng-Request），代碼= 4等

（[2） IdenTIfier：一個字節，用于匹配請求和響應數據包。

（3） Length：兩個字節，代表RADIUS數據區域的長度（包括代碼，標識符，長度，身份驗證器，屬性），單位為字節，最小為20，最大為4096。

（4） Authenticator：16個字節，用于驗證服務器的響應，還用于加密用戶密碼。RADIUS服務器和NAS的共享機密以及請求驗證碼（請求驗證碼）和響應身份驗證器，支持發送和接收消息的完整性和身份驗證；此外，用戶密碼無法在NAS和RADIUS服務器之間以明文形式傳輸，但通常使用共享機密，并且身份驗證代碼（Authenticator）通過MD5加密進行加密和隱藏算法。

（5）屬性：可變長度，最小可以為0個字節，描述RADIUS協議的屬性，例如用戶名，密碼，IP地址和其他信息都存儲在此數據段中。

2. 3 RADIUS身份驗證和記帳過程

如圖1的網絡模型所示：

（1）當申請人登錄網絡時，NAS上將顯示一個客戶定義的登錄提示，要求申請人輸入用戶信息（用戶名和密碼）。在申請人輸入相關的身份驗證信息后，將等待驗證結果。

（2） NAS獲取用戶信息后，將根據RADIUS報文格式向RADIUS服務器發送“ Access-Request”報文，該報文一般包括以下RADIUS屬性值：用戶名，用戶名密碼，訪問服務器ID，訪問端口ID。

（3）當RADIUS服務器收到“訪問請求”數據包時，它首先驗證NAS的共享密碼是否與RADIUS服務器中的預設一致，以確認它屬于RADIUS客戶端。報文檢查正確后，RADIUS服務器將根據包中的用戶名查詢用戶中的用戶記錄，如果用戶信息不匹配，將向NAS發送“ Access-Reject”包NAS正在接收當拒絕包裹時，用戶連接端口的服務請求將立即停止，并迫使用戶注銷。

（4）如果所有用戶信息均匹配，則服務器向NAS發送“訪問挑戰”包以進一步驗證用戶的登錄請求。包括：用戶密碼，用戶對服務器IP的訪問權限，物理NAS收到“訪問挑戰”數據包后，將向用戶顯示一條消息，并要求用戶進一步確認登錄請求，用戶再次確認后，RADIUS服務器將對兩者進行比較。請求信息并決定如何響應用戶（再次發送Access-Accept，Access-Reject或Access-Challenge）。

（5）當所有身份驗證條件和握手會話都通過后，RADIUS服務器會將用戶配置信息放入“ Access-Accept”數據包中，并將其返回給NAS，NAS會根據配置信息包中定義了用戶的特定網絡訪問功能，包括服務類型：SLIP，PPP，登錄用戶，Rlogin，成幀，回調等，還包括與服務類型有關的配置信息：IP地址，時間限制等..

（6）完成所有驗證和授權后，將打開LAN交換機的控制端口。用戶可以通過該交換機進入網絡。同時，NAS發送“ Accounting-Request Start”數據包通知RADIUS服務器開始計費。當用戶離開網絡時，NAS會向RADIUS服務器發送“ Accounting-Request Stop”數據包，然后RADIUS服務器會根據計費包中的信息計算用戶的網絡使用費。

本文來自本站，轉載請注明本文網址：
http://www.pc-fly.com/a/tongxingongju/article-360805-1.html