由RFC2865和RFC2866定義，它是目前使用最廣泛的AAA協(xié)議。

RADIUS協(xié)議最初由Livingston提出。最初的目的是對撥號用戶進(jìn)行身份驗證和收費(fèi)。經(jīng)過許多改進(jìn)，形成了通用的身份驗證和收費(fèi)協(xié)議。

Merit Network，Inc.成立于1966年，是密歇根大學(xué)的一家非營利性公司。它的業(yè)務(wù)是運(yùn)營和維護(hù)學(xué)校的網(wǎng)絡(luò)互連MichNet。 1987年，Merit贏得了美國NSF（國家科學(xué)基金會）的招標(biāo)，并贏得了NSFnet（互聯(lián)網(wǎng)的前身）的運(yùn)營合同。由于NSFnet是基于IP的網(wǎng)絡(luò)，而MichNet是基于專有網(wǎng)絡(luò)協(xié)議的，因此Merit面臨著如何將MichNet的專有網(wǎng)絡(luò)協(xié)議發(fā)展為IP協(xié)議的問題，同時，它還必須轉(zhuǎn)換大量的撥號網(wǎng)絡(luò)。在MichNet及其相關(guān)專有協(xié)議上的服務(wù)。遷移到IP網(wǎng)絡(luò)。

1991年，Merit決定競標(biāo)撥號服務(wù)器供應(yīng)商。幾個月后，一家名為Livingston的公司提出了一項名為RADIUS的提案，并贏得了這份合同。

1992年秋天，成立了IETF NASREQ工作組，并提交了RADIUS作為草案。很快，RADIUS成為事實上的網(wǎng)絡(luò)訪問標(biāo)準(zhǔn)，幾乎所有的網(wǎng)絡(luò)訪問服務(wù)器供應(yīng)商都實現(xiàn)了該協(xié)議。

1997年發(fā)布了RADIUS RFC2039，其次是RFC2138，最新的RADIUS RFC2865于2000年6月發(fā)布。

RADIUS是C / S結(jié)構(gòu)的協(xié)議。它的客戶端最初是一臺NAS（Net Access服務(wù)器）服務(wù)器。現(xiàn)在，任何運(yùn)行RADIUS客戶端軟件的計算機(jī)都可以成為RADIUS客戶端。 RADIUS協(xié)議身份驗證機(jī)制很靈活，可以使用多種方法，例如PAP，CHAP或Unix登錄身份驗證。 RADIUS是一個可擴(kuò)展的協(xié)議，其所有工作均基于Attribute-Length-Value的向量。 RADIUS還支持供應(yīng)商擴(kuò)展供應(yīng)商特定的屬性。

RADIUS的基本工作原理。用戶訪問NAS，NAS使用Access-Require數(shù)據(jù)包向RADIUS服務(wù)器提交用戶信息，包括用戶名，密碼和其他相關(guān)信息。用戶密碼是MD5加密的，并且雙方使用共享密鑰，該共享密鑰不會在網(wǎng)絡(luò)上傳播； RADIUS服務(wù)器檢查用戶名和密碼的有效性。如有必要，可以提出質(zhì)詢以請求進(jìn)一步的用戶身份驗證或?qū)�NAS的類似身份驗證；如果合法，它將向NAS返回一個Access-Accept數(shù)據(jù)包，以允許用戶繼續(xù)操作。下一步是工作，否則它將返回Access-Reject數(shù)據(jù)包并拒絕用戶訪問。如果允許訪問，NAS將向RADIUS服務(wù)器發(fā)出記帳請求Account-Require，并且RADIUS服務(wù)器將以Account-Accept響應(yīng)，用戶可以開始記帳。自己進(jìn)行相關(guān)操作。

RADIUS還支持代理和漫游功能。簡而言之，代理服務(wù)器是可以充當(dāng)其他RADIUS服務(wù)器的代理的服務(wù)器，并負(fù)責(zé)轉(zhuǎn)發(fā)RADIUS身份驗證和記帳數(shù)據(jù)包。所謂的漫游功能是代理的一種特定實現(xiàn)，它允許用戶通過最初與其不相關(guān)的RADIUS服務(wù)器進(jìn)行身份驗證。用戶還可以在非本地運(yùn)營商的位置獲得服務(wù)，還可以實現(xiàn)虛擬操作。

RADIUS服務(wù)器和NAS服務(wù)器通過UDP協(xié)議進(jìn)行通信。 RADIUS服務(wù)器的1812端口負(fù)責(zé)身份驗證，而1813端口則負(fù)責(zé)計費(fèi)。使用UDP的基本考慮是NAS和RADIUS服務(wù)器大多位于同一局域網(wǎng)中，并且使用UDP更快，更方便。

RADIUS協(xié)議還指定了一種重傳機(jī)制。如果NAS在未收到返回信息的情況下向RADIUS服務(wù)器提交請求，則可以請求備用RADIUS服務(wù)器重新傳輸。由于有多個備用RADIUS服務(wù)器，因此NAS在重新傳輸時可以使用輪詢方法。如果備用RADIUS服務(wù)器的密鑰與以前的RADIUS服務(wù)器的密鑰不同，則需要重新認(rèn)證。

由于RADIUS協(xié)議簡單，清晰和可擴(kuò)展，因此已被廣泛使用，包括普通電話Internet訪問，ADSL Internet訪問，社區(qū)寬帶Internet訪問，IP電話，VPDN（虛擬專用撥號網(wǎng)絡(luò)，虛擬專用撥號網(wǎng)絡(luò)服務(wù)） （基于撥號用戶），手機(jī)預(yù)付款等服務(wù)。 IEEE最近提出了80 2. 1x標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)是基于端口的標(biāo)準(zhǔn)，用于認(rèn)證無線網(wǎng)絡(luò)訪問。 RADIUS協(xié)議也用于身份驗證。

================================================

BAS / BRAS / RADIUS簡介

BAS的基本功能是實現(xiàn)寬帶用戶管理功能和業(yè)務(wù)啟動功能，包括用戶識別，身份驗證，計費(fèi)，IP地址管理，安全管理等；

寬帶遠(yuǎn)程訪問服務(wù)器（簡稱BRAS）是一種用于寬帶網(wǎng)絡(luò)應(yīng)用程序的新型訪問網(wǎng)關(guān)。它位于骨干網(wǎng)絡(luò)的邊緣層，可以完成對用戶帶寬的IP / ATM網(wǎng)絡(luò)的數(shù)據(jù)訪問（當(dāng)前訪問方法主要基于xDSL /電纜調(diào)制解調(diào)器/高速以太網(wǎng)技術(shù)（LAN）/無線寬帶）數(shù)據(jù)訪問（WLAN）等），以實現(xiàn)商業(yè)建筑物和居民的寬帶Internet訪問以及基于IPSec（IP安全協(xié)議）的IP VPN服務(wù)，構(gòu)建企業(yè)內(nèi)部的Intranet，支持ISP向用戶和其他應(yīng)用程序的批發(fā)業(yè)務(wù)。寬帶訪問服務(wù)器（BRAS）主要完成兩個功能。一個是網(wǎng)絡(luò)承載功能：它負(fù)責(zé)終止用戶的PPPoE（以太網(wǎng)上的點對點Potocol，一種在以太網(wǎng)上傳輸PPP會話的方式）以連接和聚合用戶。流量功能；二是控制實現(xiàn)功能：與認(rèn)證系統(tǒng)，計費(fèi)系統(tǒng)，客戶管理系統(tǒng)和服務(wù)策略控制系統(tǒng)配合，實現(xiàn)用戶訪問的認(rèn)證，計費(fèi)和管理功能；

RADIUS（遠(yuǎn)程身份驗證撥入用戶服務(wù)）協(xié)議最初是由Livingston提出的。最初的目的是對撥號用戶進(jìn)行身份驗證和收費(fèi)。經(jīng)過許多改進(jìn)，形成了通用的身份驗證和收費(fèi)協(xié)議。

RADIUS是C / S結(jié)構(gòu)的協(xié)議。它的客戶端最初是一臺NAS（Net Access服務(wù)器）服務(wù)器。現(xiàn)在，任何運(yùn)行RADIUS客戶端軟件的計算機(jī)都可以成為RADIUS客戶端。 RADIUS協(xié)議身份驗證機(jī)制很靈活，可以使用多種方法，例如PAP，CHAP或Unix登錄身份驗證。 RADIUS是一種可擴(kuò)展的協(xié)議，其所有工作都基于Attribute-Length-Value的向量。

RADIUS的基本工作原理。用戶訪問NAS，NAS使用Access-Require數(shù)據(jù)包向RADIUS服務(wù)器提交用戶信息，包括用戶名，密碼和其他相關(guān)信息。用戶密碼是MD5加密的，并且雙方使用共享密鑰，該共享密鑰不會在網(wǎng)絡(luò)上傳播； RADIUS服務(wù)器檢查用戶名和密碼的有效性。如有必要，可以提出質(zhì)詢以請求進(jìn)一步的用戶身份驗證或?qū)�NAS的類似身份驗證；如果合法，它將向NAS返回一個Access-Accept數(shù)據(jù)包，以允許用戶繼續(xù)操作。下一步是工作，否則它將返回Access-Reject數(shù)據(jù)包并拒絕用戶訪問。如果允許訪問，NAS將向RADIUS服務(wù)器發(fā)出記帳請求Account-Require，并且RADIUS服務(wù)器將以Account-Accept響應(yīng)，用戶可以開始記帳，并且用戶可以進(jìn)行自己的相關(guān)操作。

RADIUS還支持代理和漫游功能。簡而言之，代理服務(wù)器是可以充當(dāng)其他RADIUS服務(wù)器的代理的服務(wù)器，并負(fù)責(zé)轉(zhuǎn)發(fā)RADIUS身份驗證和記帳數(shù)據(jù)包。所謂漫游功能是代理的具體實現(xiàn)，因此可以通過與它無關(guān)的RADIUS服務(wù)器對用戶進(jìn)行身份驗證。

RADIUS服務(wù)器和NAS服務(wù)器通過UDP協(xié)議進(jìn)行通信。 RADIUS服務(wù)器的1812端口負(fù)責(zé)身份驗證，而1813端口則負(fù)責(zé)計費(fèi)。使用UDP的基本考慮是NAS和RADIUS服務(wù)器大多位于同一局域網(wǎng)中，并且使用UDP更快，更方便。

RADIUS協(xié)議還指定了一種重傳機(jī)制。如果NAS在未收到返回信息的情況下向RADIUS服務(wù)器提交請求，則可以請求備用RADIUS服務(wù)器重新傳輸。由于有多個備用RADIUS服務(wù)器，因此NAS在重新傳輸時可以使用輪詢方法。如果備用RADIUS服務(wù)器的密鑰與以前的RADIUS服務(wù)器的密鑰不同，則需要重新認(rèn)證。

RADIUS協(xié)議具有廣泛的應(yīng)用，包括普通電話和Internet服務(wù)的計費(fèi)。對VPN的支持使不同撥入服務(wù)器的用戶具有不同的權(quán)限。 IEEE最近提出了80 2. 1x標(biāo)準(zhǔn)，該標(biāo)準(zhǔn)是基于端口的標(biāo)準(zhǔn)，用于認(rèn)證無線網(wǎng)絡(luò)訪問。 RADIUS協(xié)議也用于身份驗證。

本文來自本站，轉(zhuǎn)載請注明本文網(wǎng)址：
http://www.pc-fly.com/a/tongxingongju/article-360760-1.html