1簡(jiǎn)介

遠(yuǎn)程身份驗(yàn)證撥入用戶服務(wù)（RADIUS）最初由Livingston提出，旨在為撥號(hào)用戶提供身份驗(yàn)證和記帳。經(jīng)過許多改進(jìn)，它已逐漸成為一種通用的網(wǎng)絡(luò)身份驗(yàn)證和計(jì)費(fèi)協(xié)議，并在IETF提交的RFC2865和RFC2866文檔中進(jìn)行了定義。 RADIUS協(xié)議在客戶端/服務(wù)器模式下工作。客戶端是網(wǎng)絡(luò)訪問服務(wù)器（NAS）。它將身份驗(yàn)證和記帳信息提交到RADIUS服務(wù)器。 RADIUS服務(wù)器處理該信息，并將結(jié)果返回給NAS。

RADIUS協(xié)議具有廣泛的應(yīng)用范圍，并且用于身份驗(yàn)證和計(jì)費(fèi)系統(tǒng)中，以用于移動(dòng)，數(shù)據(jù)和智能網(wǎng)絡(luò)等服務(wù)。在無線局域網(wǎng)的80 2. 1X身份驗(yàn)證框架中，還建議在身份驗(yàn)證側(cè)使用RADIUS協(xié)議。

本文將討論RADIUS協(xié)議的原理，并討論其在WLAN中的應(yīng)用和實(shí)現(xiàn)。

2 RADIUS協(xié)議

2. 1 WLAN網(wǎng)絡(luò)模型

在實(shí)際的商用無線LAN中，可以使用LAN交換機(jī)來實(shí)現(xiàn)80 2. 1X身份驗(yàn)證協(xié)議中的端口控制功能。為了確保網(wǎng)絡(luò)的安全性，應(yīng)在無線LAN的出口和身份驗(yàn)證端添加防火墻。 RADIUS服務(wù)器和也可以采用主備結(jié)構(gòu)，以確保網(wǎng)絡(luò)的健壯性。

網(wǎng)絡(luò)模型如下所示：

圖1無線LAN網(wǎng)絡(luò)模型

無線LAN的身份驗(yàn)證端由RADIUS服務(wù)器，網(wǎng)絡(luò)訪問服務(wù)器（NAS）和組成。其中：

NAS：作為RADIUS服務(wù)器的客戶端，它將用戶的身份驗(yàn)證信息轉(zhuǎn)發(fā)到RADIUS服務(wù)器。并且在用戶通過身份驗(yàn)證后，它將記帳信息發(fā)送到RADIUS服務(wù)器。

RADIUS服務(wù)器：作為身份驗(yàn)證系統(tǒng)的中央服務(wù)器，它連接到NAS和。它接受從NAS提交的信息，對(duì)執(zhí)行相應(yīng)的操作，并將處理結(jié)果返回給NAS。

：用于存儲(chǔ)所有用戶信息，賬單信息和其他信息。用戶信息由網(wǎng)絡(luò)管理員添加到中；記帳信息來自RADIUS服務(wù)器；其他信息包括日志信息等。

2. 2 RADIUS數(shù)據(jù)包結(jié)構(gòu)

RADIUS是應(yīng)用程序?qū)訁f(xié)議。在傳輸層中，其消息封裝在UDP消息中，然后封裝在IP數(shù)據(jù)包中。 RADIUS身份驗(yàn)證使用端口1812，記帳使用端口1813。

RADIUS封裝在以太網(wǎng)上之后的數(shù)據(jù)包結(jié)構(gòu)：

RADIUS數(shù)據(jù)包分為5部分：

（1）代碼：1個(gè)字節(jié)，用于區(qū)分RADIUS數(shù)據(jù)包的類型：常見類型為：

訪問請(qǐng)求，代碼= 1；訪問接受，代碼= 2；訪問拒絕，代碼= 3；收費(fèi)請(qǐng)求（AccounTIng-Request），代碼= 4等

（[2） IdenTIfier：一個(gè)字節(jié)，用于匹配請(qǐng)求和響應(yīng)數(shù)據(jù)包。

（3） Length：兩個(gè)字節(jié)，代表RADIUS數(shù)據(jù)區(qū)域的長(zhǎng)度（包括代碼，標(biāo)識(shí)符，長(zhǎng)度，身份驗(yàn)證器，屬性），單位為字節(jié)，最小為20，最大為4096。

（4） Authenticator：16個(gè)字節(jié)，用于驗(yàn)證服務(wù)器的響應(yīng)，還用于加密用戶密碼。RADIUS服務(wù)器和NAS的共享機(jī)密以及請(qǐng)求驗(yàn)證碼（請(qǐng)求驗(yàn)證碼）和響應(yīng)身份驗(yàn)證器，支持發(fā)送和接收消息的完整性和身份驗(yàn)證；此外，用戶密碼無法在NAS和RADIUS服務(wù)器之間以明文形式傳輸，但通常使用共享機(jī)密，并且身份驗(yàn)證代碼（Authenticator）通過MD5加密進(jìn)行加密和隱藏算法。

（5）屬性：可變長(zhǎng)度，最小可以為0個(gè)字節(jié)，描述RADIUS協(xié)議的屬性，例如用戶名，密碼，IP地址和其他信息都存儲(chǔ)在此數(shù)據(jù)段中。

2. 3 RADIUS身份驗(yàn)證和記帳過程

如圖1的網(wǎng)絡(luò)模型所示：

（1）當(dāng)申請(qǐng)人登錄網(wǎng)絡(luò)時(shí)，NAS上將顯示一個(gè)客戶定義的登錄提示，要求申請(qǐng)人輸入用戶信息（用戶名和密碼）。在申請(qǐng)人輸入相關(guān)的身份驗(yàn)證信息后，將等待驗(yàn)證結(jié)果。

（2） NAS獲取用戶信息后，將根據(jù)RADIUS報(bào)文格式向RADIUS服務(wù)器發(fā)送“ Access-Request”報(bào)文，該報(bào)文一般包括以下RADIUS屬性值：用戶名，用戶名密碼，訪問服務(wù)器ID，訪問端口ID。

（3）當(dāng)RADIUS服務(wù)器收到“訪問請(qǐng)求”數(shù)據(jù)包時(shí)，它首先驗(yàn)證NAS的共享密碼是否與RADIUS服務(wù)器中的預(yù)設(shè)一致，以確認(rèn)它屬于RADIUS客戶端。報(bào)文檢查正確后，RADIUS服務(wù)器將根據(jù)包中的用戶名查詢用戶中的用戶記錄，如果用戶信息不匹配，將向NAS發(fā)送“ Access-Reject”包NAS正在接收當(dāng)拒絕包裹時(shí)，用戶連接端口的服務(wù)請(qǐng)求將立即停止，并迫使用戶注銷。

（4）如果所有用戶信息均匹配，則服務(wù)器向NAS發(fā)送“訪問挑戰(zhàn)”包以進(jìn)一步驗(yàn)證用戶的登錄請(qǐng)求。包括：用戶密碼，用戶對(duì)服務(wù)器IP的訪問權(quán)限，物理NAS收到“訪問挑戰(zhàn)”數(shù)據(jù)包后，將向用戶顯示一條消息，并要求用戶進(jìn)一步確認(rèn)登錄請(qǐng)求，用戶再次確認(rèn)后，RADIUS服務(wù)器將對(duì)兩者進(jìn)行比較。請(qǐng)求信息并決定如何響應(yīng)用戶（再次發(fā)送Access-Accept，Access-Reject或Access-Challenge）。

（5）當(dāng)所有身份驗(yàn)證條件和握手會(huì)話都通過后，RADIUS服務(wù)器會(huì)將用戶配置信息放入“ Access-Accept”數(shù)據(jù)包中，并將其返回給NAS，NAS會(huì)根據(jù)配置信息包中定義了用戶的特定網(wǎng)絡(luò)訪問功能，包括服務(wù)類型：SLIP，PPP，登錄用戶，Rlogin，成幀，回調(diào)等，還包括與服務(wù)類型有關(guān)的配置信息：IP地址，時(shí)間限制等..

（6）完成所有驗(yàn)證和授權(quán)后，將打開LAN交換機(jī)的控制端口。用戶可以通過該交換機(jī)進(jìn)入網(wǎng)絡(luò)。同時(shí)，NAS發(fā)送“ Accounting-Request Start”數(shù)據(jù)包通知RADIUS服務(wù)器開始計(jì)費(fèi)。當(dāng)用戶離開網(wǎng)絡(luò)時(shí)，NAS會(huì)向RADIUS服務(wù)器發(fā)送“ Accounting-Request Stop”數(shù)據(jù)包，然后RADIUS服務(wù)器會(huì)根據(jù)計(jì)費(fèi)包中的信息計(jì)算用戶的網(wǎng)絡(luò)使用費(fèi)。

本文來自本站，轉(zhuǎn)載請(qǐng)注明本文網(wǎng)址：
http://www.pc-fly.com/a/tongxingongju/article-360805-1.html