RADIUS是什么
(資料圖片)
RADIUS:Remote Authentication Dial In User Service,遠程用戶撥號認證系統由RFC2865,RFC2866定義,是目前應用最廣泛的AAA協議。
RADIUS是一種C/S結構的協議,它的客戶端最初就是NAS(Net Access Server)服務器,現在任何運行RADIUS客戶端軟件的計算機都可以成為RADIUS的客戶端。RADIUS協議認證機制靈活,可以采用PAP、 CHAP或者Unix登錄認證等多種方式。RADIUS是一種可擴展的協議,它進行的全部工作都是基于Attribute-Length-Value的向量進行的。RADIUS也支持廠商擴充廠家專有屬性。
由于RADIUS協議簡單明確,可擴充,因此得到了廣泛應用,包括普通電話上網、ADSL上網、小區寬帶上網、IP電話、VPDN(Virtual Private Dialup Networks,基于撥號用戶的虛擬專用撥號網業務)、移動電話預付費等業務。最近IEEE提出了802.1x標準,這是一種基于端口的標準,用于對無線網絡的接入認證,在認證時也采用RADIUS協議。
基本工作原理
用戶接入NAS,NAS向RADIUS服務器使用Access-Require數據包提交用戶信息,包括用戶名、密碼等相關信息,其中用戶密碼是經過MD5加密的,雙方使用共享密鑰,這個密鑰不經過網絡傳播;RADIUS服務器對用戶名和密碼的合法性進行檢驗,必要時可以提出一個Challenge,要求進一步對用戶認證,也可以對NAS進行類似的認證;如果合法,給NAS返回Access-Accept數據包,允許用戶進行下一步工作,否則返回Access-Reject數據包,拒絕用戶訪問;如果允許訪問,NAS向RADIUS服務器提出計費請求Account- Require,RADIUS服務器響應Account-Accept,對用戶的計費開始,同時用戶可以進行自己的相關操作。
RADIUS還支持代理和漫游功能。簡單地說,代理就是一臺服務器,可以作為其他RADIUS服務器的代理,負責轉發RADIUS認證和計費數據包。所謂漫游功能,就是代理的一個具體實現,這樣可以讓用戶通過本來和其無關的RADIUS服務器進行認證,用戶到非歸屬運營商所在地也可以得到服務,也可以實現虛擬運營。
RADIUS服務器和NAS服務器通過UDP協議進行通信,RADIUS服務器的1812端口負責認證,1813端口負責計費工作。采用UDP的基本考慮是因為NAS和RADIUS服務器大多在同一個局域網中,使用UDP更加快捷方便,而且UDP是無連接的,會減輕RADIUS的壓力,也更安全。
RADIUS協議還規定了重傳機制。如果NAS向某個RADIUS服務器提交請求沒有收到返回信息,那么可以要求備份RADIUS服務器重傳。由于有多個備份RADIUS服務器,因此NAS進行重傳的時候,可以采用輪詢的方法。如果備份RADIUS服務器的密鑰和以前RADIUS服務器的密鑰不同,則需要重新進行認證。
基本消息交互流程
RADIUS 服務器對用戶的認證過程通常需要利用nas 等設備的代理認證功能,RADIUS 客戶端和RADIUS 服務器之間通過共享密鑰認證相互間交互的消息,用戶密碼采用密文方式在網絡上傳輸,增強了安全性。RADIUS 協議合并了認證和授權過程,即響應報文中攜帶了授權信息。
基本交互步驟如下:
(1) 用戶輸入用戶名和口令;
(2) RADIUS 客戶端根據獲取的用戶名和口令,向RADIUS 服務器發送認證請求包(access-request)。
(3) RADIUS 服務器將該用戶信息與users 數據庫信息進行對比分析,如果認證成功,則將用戶的權限信息以認證響應包(access-accept)發送給RADIUS 客戶端;如果認證失敗,則返回access-reject 響應包。
(4) RADIUS 客戶端根據接收到的認證結果接入/拒絕用戶。如果可以接入用戶,則RADIUS 客戶端向RADIUS 服務器發送計費開始請求包(accounting-request),status-type 取值為start;
(5) RADIUS 服務器返回計費開始響應包(accounting-response);
(6) RADIUS 客戶端向RADIUS 服務器發送計費停止請求包(accounting-request),status-type 取值為stop;
(7) RADIUS 服務器返回計費結束響應包(accounting-response)。
