1.摘要

目前，電信運(yùn)營(yíng)商和服務(wù)提供商采用的認(rèn)證方式主要包括本地認(rèn)證，RADIUS認(rèn)證和不認(rèn)證。計(jì)費(fèi)策略更加豐富多彩，常見的包括非計(jì)費(fèi)（按月訂閱）和基于時(shí)間的費(fèi)用，按流量計(jì)費(fèi)，按端口計(jì)費(fèi)等。在所有這些身份驗(yàn)證和計(jì)費(fèi)方法中，使用RADIUS服務(wù)器集中式身份驗(yàn)證和計(jì)費(fèi)應(yīng)用程序是最流行和廣泛使用的。

AAA是“身份驗(yàn)證，授權(quán)和計(jì)費(fèi)”的縮寫。它是網(wǎng)絡(luò)安全管理的基本框架。 RADIUS（遠(yuǎn)程身份驗(yàn)證撥號(hào)用戶服務(wù)）是遠(yuǎn)程身份驗(yàn)證撥入用戶服務(wù)，它是一種分布式的客戶端/服務(wù)器結(jié)構(gòu)化信息交換協(xié)議，可以保護(hù)網(wǎng)絡(luò)免受未經(jīng)授權(quán)的訪問。兩者的結(jié)合可以實(shí)現(xiàn)對(duì)遠(yuǎn)程訪問用戶身份，權(quán)限和流量的嚴(yán)格控制。 RADIUS為服務(wù)提供商和公司提供了靈活而通用的協(xié)議，以完成集中的用戶身份驗(yàn)證，密碼加密，服務(wù)選擇，過濾和帳戶檢查。當(dāng)建立PAP / CHAP連接或連接到第三方身份驗(yàn)證服務(wù)器時(shí)，單個(gè)RADIUS服務(wù)器可以同時(shí)管理多個(gè)復(fù)雜網(wǎng)絡(luò)上的多個(gè)安全系統(tǒng)，并且可以用來維護(hù)數(shù)千個(gè)用戶的信息安全。

RADIUS不僅是指服務(wù)器上運(yùn)行的軟件，還包括網(wǎng)絡(luò)訪問服務(wù)器與RADIUS服務(wù)器之間的交互操作協(xié)議。

以下是RADIUS協(xié)議的原理和特定應(yīng)用的詳細(xì)介紹。

2.AAA簡(jiǎn)介2.1 AAA概述

AAA是Authentication，Authorization and Accounting的縮寫，它是在NAS（網(wǎng)絡(luò)訪問服務(wù)器）上運(yùn)行的客戶端程序。提供一個(gè)一致的框架，用于配置身份驗(yàn)證，授權(quán)和計(jì)費(fèi)這三個(gè)安全功能，這實(shí)際上是對(duì)網(wǎng)絡(luò)安全的管理。這里的網(wǎng)絡(luò)安全主要是指訪問控制。包括哪些用戶可以訪問網(wǎng)絡(luò)服務(wù)器；具有訪問權(quán)限的用戶可以獲得哪些服務(wù)；以及如何向使用網(wǎng)絡(luò)資源的用戶收費(fèi)。

2.2 AAA的實(shí)現(xiàn)

AAA框架圖

?本地身份驗(yàn)證-即身份驗(yàn)證，授權(quán)和記帳在NAS端執(zhí)行，

?遠(yuǎn)程身份驗(yàn)證-通過協(xié)議進(jìn)行遠(yuǎn)程身份驗(yàn)證，授權(quán)和計(jì)費(fèi)。

AAA的實(shí)現(xiàn)可以使用RADIUS協(xié)議。 RADIUS用于使用串行端口和調(diào)制解調(diào)器來管理大量分散的用戶。

網(wǎng)絡(luò)訪問服務(wù)器稱為NAS。當(dāng)用戶想要通過某個(gè)網(wǎng)絡(luò)（例如電話網(wǎng)絡(luò)）與NAS建立連接以訪問其他網(wǎng)絡(luò)時(shí)，NAS可以選擇在NAS上執(zhí)行本地身份驗(yàn)證和記帳，或?qū)⒂脩粜畔�傳遞給NAS。 RADIUS服務(wù)器，由RADIUS身份驗(yàn)證和記帳執(zhí)行； RADIUS協(xié)議規(guī)定了NAS與RADIUS服務(wù)器之間如何傳遞用戶信息和計(jì)費(fèi)信息，即兩者之間的通信規(guī)則。 RADIUS服務(wù)器負(fù)責(zé)接收用戶的連接請(qǐng)求，完成身份驗(yàn)證并傳輸所需的配置信息。配置信息返回給NAS。授權(quán)用戶后，RADIUS服務(wù)器還可以完成正常的聯(lián)機(jī)，聯(lián)機(jī)和脫機(jī)過程中的用戶帳戶計(jì)費(fèi)功能。

3.RADIUS協(xié)議概述3.1簡(jiǎn)介

RADIUS遠(yuǎn)程身份驗(yàn)證撥入用戶服務(wù)是用于NAS和AAA服務(wù)器之間通信的協(xié)議。 RADIUS支持AAA的所有三個(gè)組成部分：身份驗(yàn)證，授權(quán)和記帳。

網(wǎng)絡(luò)允許外部用戶通過公共網(wǎng)絡(luò)訪問它，并且其用戶將在地理位置上極為分散。用戶可以將自己的信息傳遞到該網(wǎng)絡(luò)，也可以從該網(wǎng)絡(luò)獲得他們想要的信息。由于內(nèi)部和外部的雙向數(shù)據(jù)流，網(wǎng)絡(luò)安全尤為重要。該網(wǎng)絡(luò)管理的內(nèi)容包括：哪些用戶可以獲得訪問權(quán)限；具有訪問權(quán)限的用戶可以使用哪些服務(wù)；如何向使用網(wǎng)絡(luò)資源的用戶收費(fèi)。 AAA很好地完成了這三個(gè)任務(wù)。

RADIUS通過建立唯一的用戶，存儲(chǔ)用戶名和用戶密碼來執(zhí)行身份驗(yàn)證；存儲(chǔ)交付給用戶以完成授權(quán)的服務(wù)類型和相應(yīng)的配置信息。

3.2 RADIUS密鑰功能

?客戶端/服務(wù)器模式（客戶端/服務(wù)器）

NAS作為RADIUS客戶端運(yùn)行。該客戶端負(fù)責(zé)將用戶信息傳遞到指定的RADIUS服務(wù)器并執(zhí)行返回的響應(yīng)。 RADIUS服務(wù)器負(fù)責(zé)接收用戶的連接請(qǐng)求，對(duì)用戶進(jìn)行身份驗(yàn)證，并返回用戶向客戶端提供服務(wù)所需的所有配置信息。 RADIUS服務(wù)器可以充當(dāng)其他RADIUS服務(wù)器或其他類型的身份驗(yàn)證服務(wù)器的代理。

?網(wǎng)絡(luò)安全（網(wǎng)絡(luò)安全）

使用永不通過Internet傳輸?shù)墓蚕砻荑�機(jī)制對(duì)客戶端和RADIUS服務(wù)器之間的事務(wù)進(jìn)行身份驗(yàn)證。另外，客戶端和RADIUS服務(wù)器之間的所有用戶密碼都將被加密和傳輸。這是為了避免在不安全的網(wǎng)絡(luò)上監(jiān)視和獲取用戶密碼的可能性。

?靈活的身份驗(yàn)證機(jī)制（靈活的身份驗(yàn)證機(jī)制）

RADIUS服務(wù)器可以支持多種驗(yàn)證用戶的方法。包括點(diǎn)對(duì)點(diǎn)PAP身份驗(yàn)證（PPP PAP），點(diǎn)對(duì)點(diǎn)CHAP身份驗(yàn)證（PPP CHAP），UNIX登錄操作（UNIX登錄）和其他身份驗(yàn)證機(jī)制。

?可擴(kuò)展協(xié)議?

RADIUS協(xié)議具有良好的可伸縮性。 RADIUS報(bào)文由報(bào)文頭和一定數(shù)量的屬性組成。可以添加新屬性，而不會(huì)中斷現(xiàn)有協(xié)議的執(zhí)行。

3.3 C / S結(jié)構(gòu)

用戶，NAS，RADIUS服務(wù)器之間的關(guān)系

RADIUS使用典型的客戶端/服務(wù)器結(jié)構(gòu)。它的客戶最初是NAS。現(xiàn)在，任何運(yùn)行RADIUS客戶端軟件的計(jì)算機(jī)都可以成為RADIUS客戶端。 NAS上運(yùn)行的AAA程序是用戶的服務(wù)器和RADIUS服務(wù)器的客戶端。負(fù)責(zé)將用戶信息傳輸?shù)街付ǖ腞ADIUS服務(wù)器，然后根據(jù)從服務(wù)器返回的信息執(zhí)行相應(yīng)的處理（例如訪問/掛斷用戶）。 RADIUS服務(wù)器負(fù)責(zé)接收用戶連接請(qǐng)求，對(duì)用戶進(jìn)行身份驗(yàn)證，然后將所有必需的信息返回給NAS。

1、RADIUS客戶端通常在訪問服務(wù)器（NAS）上運(yùn)行。 RADIUS服務(wù)器通常在工作站上運(yùn)行。 RADIUS服務(wù)器可以同時(shí)支持多個(gè)RADIUS客戶端（NAS）。

2、大量信息存儲(chǔ)在RADIUS服務(wù)器上，并且訪問服務(wù)器（NAS）不需要存儲(chǔ)此信息，而是通過RADIUS協(xié)議訪問該信息。這些信息的集中統(tǒng)一存儲(chǔ)使管理更加方便和安全。

3、RADIUS服務(wù)器可以用作代理，與其他RADIUS服務(wù)器或其他類型的身份驗(yàn)證服務(wù)器作為客戶端進(jìn)行通信。用戶漫游通常是通過RADIUS代理實(shí)現(xiàn)的。簡(jiǎn)而言之，代理服務(wù)器是可以充當(dāng)其他RADIUS服務(wù)器的代理的服務(wù)器，并負(fù)責(zé)轉(zhuǎn)發(fā)RADIUS身份驗(yàn)證和記帳數(shù)據(jù)包。所謂漫游功能是代理的具體實(shí)現(xiàn)，因此可以通過與它無關(guān)的RADIUS服務(wù)器對(duì)用戶進(jìn)行身份驗(yàn)證。

3.4 RADIUS在協(xié)議棧中的位置

RADIUS是一種流行的AAA協(xié)議，使用UDP協(xié)議進(jìn)行傳輸，它在協(xié)議棧中的位置如下：

RADIUS在協(xié)議棧中的位置

RADIUS使用UDP而不是TCP的原因如下：

1、NAS和RADIUS服務(wù)器之間傳輸?shù)臄?shù)據(jù)長(zhǎng)度通常為幾十到幾百個(gè)字節(jié)，并且用戶可以忍受幾秒鐘到十秒鐘的等待時(shí)間來進(jìn)行身份驗(yàn)證。服務(wù)器在處理大量用戶時(shí)采用多線程，而UDP簡(jiǎn)化了服務(wù)器的實(shí)現(xiàn)過程。

2、 TCP必須成功建立連接，然后才能進(jìn)行數(shù)據(jù)傳輸。當(dāng)大量用戶使用時(shí)，此方法不是實(shí)時(shí)的。

3、當(dāng)對(duì)主服務(wù)器的請(qǐng)求失敗時(shí)，必須將請(qǐng)求發(fā)送到備用服務(wù)器。因此，RADIUS必須具有重傳機(jī)制和備份服務(wù)器機(jī)制。 TCP無法滿足其使用的計(jì)時(shí)機(jī)制。

RADIUS協(xié)議使用UDP協(xié)議。數(shù)據(jù)包可能會(huì)在網(wǎng)絡(luò)上丟失。如果客戶端未收到響應(yīng)，則可以重新發(fā)送請(qǐng)求數(shù)據(jù)包。如果多次傳輸后仍未收到響應(yīng)，則RADIUS客戶端可以將請(qǐng)求數(shù)據(jù)包發(fā)送到備用RADIUS服務(wù)器。

3.5 RADIUS網(wǎng)絡(luò)安全性

使用MD5加密算法對(duì)RADIUS協(xié)議進(jìn)行加密。密鑰保存在RADIUS客戶端（NAS）和服務(wù)器（RADIUS服務(wù)器）上。 RADIUS協(xié)議使用此密鑰來使用MD5算法對(duì)RADIUS進(jìn)行加密。密鑰將不會(huì)在網(wǎng)絡(luò)上傳輸。

RADIUS的加密主要體現(xiàn)在以下兩個(gè)方面：

3.5.1個(gè)數(shù)據(jù)包加密

在RADIUS數(shù)據(jù)包中，有一個(gè)16字節(jié)的驗(yàn)證器（authenticator）用于對(duì)數(shù)據(jù)包進(jìn)行簽名。接收RADIUS數(shù)據(jù)包的一方應(yīng)檢查簽名的正確性。如果包裹的簽名不正確，包裹將被丟棄。還使用MD5算法（使用密鑰）對(duì)包裹進(jìn)行簽名，沒有密鑰的人無法構(gòu)造簽名。

3.5.2密碼加密

在對(duì)用戶進(jìn)行身份驗(yàn)證時(shí)，不會(huì)在NAS和RADIUS服務(wù)器之間以明文形式傳輸用戶的密碼，而是使用MD5算法對(duì)密碼進(jìn)行加密。沒有密鑰的人無法正確加密密碼，也無法正確解密加密的密碼。

3.5.3密碼加密和密碼驗(yàn)證過程

用戶上線時(shí)，NAS將決定要為用戶使用哪種身份驗(yàn)證方法。下面介紹使用RADIUS身份驗(yàn)證時(shí)PPP用戶和NAS之間的PAP和CHAP身份驗(yàn)證過程。

RADIUS服務(wù)器可以使用H3C的iMC服務(wù)器，CISCO的ACS服務(wù)器或其他第三方服務(wù)器。

?PAP驗(yàn)證：

Radius Server PAP認(rèn)證

用戶以純文本格式將用戶名和密碼傳遞給NAS，NAS將用戶名和加密密碼放入身份驗(yàn)證請(qǐng)求數(shù)據(jù)包的相應(yīng)屬性中，并將其傳遞給RADIUS服務(wù)器。 RADIUS服務(wù)器根據(jù)NAS上傳的帳戶進(jìn)行驗(yàn)證，以確定是否允許用戶訪問Internet并返回結(jié)果。 NAS可以包含服務(wù)類型屬性Attribute Service-Type = Framed-User和Framed-Protoco?= PPP，以提示告訴RADIUS服務(wù)器PPP是所需的服務(wù)。

秘密密碼= Password XOR MD5（挑戰(zhàn)+密鑰）

（挑戰(zhàn)是RADIUS消息中的身份驗(yàn)證者）

?CHAP驗(yàn)證：

對(duì)于CHAP（挑戰(zhàn)握手身份驗(yàn)證協(xié)議），它提供了一種加密用戶密碼的機(jī)制。

RADIUS服務(wù)器CHAP身份驗(yàn)證

當(dāng)用戶請(qǐng)求瀏覽Internet時(shí)，NAS會(huì)為該用戶生成一個(gè)16字節(jié)的隨機(jī)代碼（以及ID號(hào)碼，即本地路由器的主機(jī)名）。客戶端獲取此軟件包后，請(qǐng)使用其自己的唯一設(shè)備或軟件客戶端通過MD5算法對(duì)CHAP ID和用戶密碼（密碼）進(jìn)行加密，以生成秘密密碼，該密碼將與用戶名一起發(fā)送至NAS。

NAS分別使用返回的用戶名和密碼作為用戶名和密碼，并將原始的16字節(jié)隨機(jī)碼和CHAP ID發(fā)送到RADIUS服務(wù)器。 RADIUS根據(jù)用戶名在服務(wù)器端搜索，并在用戶端獲取用于加密的密鑰。它使用MD5算法對(duì)發(fā)送的CHAP ID，密鑰和16字節(jié)隨機(jī)碼進(jìn)行加密，并將結(jié)果傳輸給它。比較傳入的密碼，如果匹配，則服務(wù)器發(fā)送回訪問許可數(shù)據(jù)包，否則發(fā)送回訪問拒絕數(shù)據(jù)包。

4.RADIUS體系結(jié)構(gòu)

當(dāng)用戶的PC通過某個(gè)網(wǎng)絡(luò)（例如電話網(wǎng)絡(luò)）與NAS建立連接以訪問其他網(wǎng)絡(luò)時(shí)，NAS可以選擇在NAS上執(zhí)行本地身份驗(yàn)證和記帳，或傳遞用戶信息到RADIUS服務(wù)器。 RADIUS執(zhí)行身份驗(yàn)證和記帳； RADIUS協(xié)議規(guī)定了如何在NAS和RADIUS服務(wù)器之間傳輸用戶信息和計(jì)費(fèi)信息。 RADIUS服務(wù)器負(fù)責(zé)接收用戶的連接請(qǐng)求，完成身份驗(yàn)證并返回將服務(wù)交付給用戶所需的配置信息。 NAS。

通常，RADIUS協(xié)議的認(rèn)證服務(wù)端口號(hào)是1645（早期實(shí)現(xiàn)）或1812，計(jì)費(fèi)服務(wù)端口號(hào)是1646（早期實(shí)現(xiàn)）或1813。當(dāng)我們將NAS設(shè)備和RADIUS服務(wù)器連接時(shí)，由于制造商可能不同，并且相應(yīng)的服務(wù)器端口號(hào)也不同，則需要調(diào)整服務(wù)器端口號(hào)。例如，與其他制造商的radius協(xié)議的默認(rèn)端口號(hào)是1645和1646。他們協(xié)商并調(diào)整為相同的端口號(hào)，以便連接成功。

4.1 RADIUS消息交互過程

RADIUS服務(wù)器對(duì)用戶的身份驗(yàn)證過程通常需要使用NAS和其他設(shè)備的代理身份驗(yàn)證功能。 RADIUS客戶端和RADIUS服務(wù)器通過共享密鑰對(duì)彼此的消息進(jìn)行身份驗(yàn)證，并且用戶密碼在網(wǎng)絡(luò)上以密文形式傳輸，從而增強(qiáng)了安全性。 RADIUS協(xié)議結(jié)合了認(rèn)證和授權(quán)過程，即響應(yīng)消息中攜帶授權(quán)信息。操作流程圖和步驟如下：

RADIUS的典型實(shí)現(xiàn)過程

將客戶端設(shè)置為使用RADIUS協(xié)議后，使用該終端的任何用戶都需要向該客戶端提供身份驗(yàn)證信息。該信息可能顯示為自定義的提示，用戶需要輸入其用戶名和密碼。或者他們也可以選擇例如點(diǎn)對(duì)點(diǎn)傳輸協(xié)議（Point-to-Point Protoco?），并通過身份驗(yàn)證包信息傳遞此身份驗(yàn)證。

基本的交互過程如下：

1)用戶輸入用戶名和密碼；

2)RADIUS客戶端根據(jù)獲取的用戶名和密碼向RADIUS服務(wù)器發(fā)送認(rèn)證請(qǐng)求報(bào)文（Access-Request）。

3)RADIUS服務(wù)器將用戶信息與用戶信息進(jìn)行比較和分析。如果認(rèn)證成功，則通過認(rèn)證響應(yīng)報(bào)文（Access-Accept）將用戶的權(quán)限信息發(fā)送給RADIUS客戶端。如果驗(yàn)證失敗，則返回Access-Reject響應(yīng)數(shù)據(jù)包。

4)RADIUS客戶端根據(jù)收到的身份驗(yàn)證結(jié)果訪問/拒絕用戶。如果可以訪問該用戶，則RADIUS客戶端向RADIUS服務(wù)器發(fā)送計(jì)費(fèi)請(qǐng)求報(bào)文，并且Status-Type的值為start;

本文來自本站，轉(zhuǎn)載請(qǐng)注明本文網(wǎng)址：
http://www.pc-fly.com/a/tongxingongju/article-334627-1.html