RADIUS:Remote Authentication Dial In User Service,遠程用戶撥號認證系統由RFC2865,RFC2866定義,是目前套用最廣泛的AAA協定。AAA是一種管理框架,因此,它可以用多種協定來實現。在實踐中,人們最常使用遠程訪問撥號用戶服務(Remote Authentication Dial In User Service,RADIUS)來實現AAA。
RADIUS是一種C/S結構的協定,它的客戶端最初就是NAS(Net Access Server)伺服器,任何運行RADIUS客戶端軟體的計算機都可以成為RADIUS的客戶端。RADIUS協定認證機制靈活,可以採用PAP、CHAP或者Unix登錄認證等多種方式。RADIUS是一種可擴展的協定,它進行的全部工作都是基於Attribute-Length-Value的向量進行的。RADIUS也支持廠商擴充廠家專有屬性。
由於RADIUS協定簡單明確,可擴充,因此得到了廣泛套用,包括普通電話上網、ADSL上網、小區寬頻上網、IP電話、VPDN(Virtual Private Dialup Networks,基於撥號用戶的虛擬專用撥號網業務)、行動電話預付費等業務。IEEE提出了802.1x標準,這是一種基於連線埠的標準,用於對無線網路的接入認證,在認證時也採用RADIUS協定。
基本介紹
- 中文名:遠程用戶撥號認證服務
- 外文名:Remote Authentication Dial In User Service
- 簡稱:RADIUS
- 套用學科:網路通信
- 屬性:AAA認證協定
- 行業標準:RFC2865 RFC2866 IEEE802.1x
歷史,功能描述,組網套用,工作原理,優勢特點,協定結構,訊息互動,
歷史
RADIUS協定最初是由Livingston公司提出的,原先的目的是為撥號用戶進行認證和計費。後來經過多次改進,形成了一項通用的認證計費協定。
創立於1966年的Merit Network, Inc.是密執安大學的一家非營利公司,其業務是運行維護該校的網路互聯MichNet。1987年,Merit在美國NSF(國家科學基金會)的招標中勝出,贏得了NSFnet(即Internet前身)的運營契約。因為NSFnet是基於IP的網路,而MichNet卻基於專有網路協定,Merit面對著如何將MichNet的專有網路協定演變為IP協定,同時也要把MichNet上的大量撥號業務以及其相關專有協定移植到IP網路上來。
1991年,Merit決定招標撥號伺服器供應商,幾個月後,一家叫Livingston的公司提出了建議,冠名為RADIUS,並為此獲得了契約。
1997年,RADIUS RFC2058發表,隨後是RFC2138,最新的RADIUS RFC2865發表於2000年6月。
功能描述
組網套用
常見的AAA組網示意如圖所示,其中RADIUS套用在AAA伺服器上對用戶進行認證、授權和計費服務。
圖中NAS(網路接入伺服器)作為RADIUS客戶端,向遠程接入用戶提供接入及與RADIUS伺服器互動的服務。RADIUS伺服器上則存儲用戶的身份信息、授權信息以及訪問記錄,對用戶進行認證、授權和計費服務。
工作原理
用戶接入NAS,NAS使用Access-Require數據包向RADIUS伺服器提交用戶信息,包括用戶名、密碼等相關信息,其中用戶密碼是經過MD5加密的,雙方使用共享密鑰,這個密鑰不經過網路傳播;RADIUS伺服器對用戶名和密碼的合法性進行檢驗,必要時可以提出一個Challenge,要求進一步對用戶認證,也可以對NAS進行類似的認證;如果合法,給NAS返回Access-Accept數據包,允許用戶進行下一步工作,否則返回Access-Reject數據包,拒絕用戶訪問;如果允許訪問,NAS向RADIUS伺服器提出計費請求Account- Require,RADIUS伺服器回響Account-Accept,對用戶的計費開始,同時用戶可以進行自己的相關操作。
RADIUS還支持代理和漫遊功能。簡單地說,代理就是一台伺服器,可以作為其他RADIUS伺服器的代理,負責轉發RADIUS認證和計費數據包。所謂漫遊功能,就是代理的一個具體實現,這樣可以讓用戶通過本來和其無關的RADIUS伺服器進行認證,用戶到非歸屬運營商所在地也可以得到服務,也可以實現虛擬運營。
RADIUS伺服器和NAS伺服器通過UDP協定進行通信,RADIUS伺服器的1812連線埠負責認證,1813連線埠負責計費工作。採用UDP的基本考慮是因為NAS和RADIUS伺服器大多在同一個區域網路中,使用UDP更加快捷方便,而且UDP是無連線的,會減輕RADIUS的壓力,也更安全。
RADIUS協定還規定了重傳機制。如果NAS向某個RADIUS伺服器提交請求沒有收到返回信息,那么可以要求備份RADIUS伺服器重傳。由於有多個備份RADIUS伺服器,因此NAS進行重傳的時候,可以採用輪詢的方法。如果備份RADIUS伺服器的密鑰和以前RADIUS伺服器的密鑰不同,則需要重新進行認證。
優勢特點
RADIUS協定承載於UDP之上,官方指定連線埠號為認證授權連線埠1812、計費連線埠1813。RADIUS協定簡單明確、擴展性好,因此得到了廣泛套用,具有以下特點:
- 採用通用的客戶端/伺服器結構組網
NAS作為RADIUS的客戶端負責將用戶信息傳遞給指定的RADIUS伺服器,然後處理RADIUS伺服器的返回結果。RADIUS伺服器負責接收用戶的連線請求,對用戶進行認證,給客戶端返回用戶配置信息。
- 採用共享密鑰保證網路傳輸安全性
客戶端與RADIUS伺服器之間的互動是通過共享密鑰來進行相互認證的,以減少在不安全的網路中用戶密碼被偵聽到的可能性。
- 具有良好的可擴展性
RADIUS是一種可擴展的協定,所有的互動報文由多個不同長度的ALV(Attribute-Length-Value)三元組組成,新增加屬性和屬性值不會破壞到協定的原有實現。因此RADIUS協定也支持設備廠商擴充廠家專有屬性。
- 協定認證機制靈活
RADIUS協定認證機制靈活,支持多種認證用戶的方式。如果用戶提供了用戶名和用戶密碼的明文,RADIUS協定能夠支持PAP、CHAP、UNIX login等多種認證方式。
RADIUS協定簡單明確、擴展性強,因此得到了廣泛套用。在普通電話撥接、ADSL撥接、社區寬頻上網、VPDN業務、行動電話預付費等業務中都能見到RADIUS的身影。
協定結構
Code域長度為1個位元組,用於標明RADIUS報文的類型,如果Code域中的內容是無效值,報文將被丟棄,有效值如下:
1、請求訪問(Access-Request);
2、接收訪問(Access-Accept);
3、拒絕訪問(Access-Reject);
4、計費請求(Accounting-Request);
5、計費回響(Accounting-Response);
11、挑戰訪問(Access-Challenge);
12、伺服器狀況(Status-Server — Experimental);
13、客戶機狀況(Status-Client — Experimental);
255、預留(Reserved)
Identifier― 匹配請求和回響的標識符。
Length― 信息大小,包括頭部。
Authenticator域占用16個位元組,用於Radius Client 和Server之間訊息認證的有效性,和密碼隱藏算法。訪問請求Access-Request報文中的認證字的值是16位元組隨機數,認證字的值要不能被預測並且在一個共享密鑰的生命期內唯一。
1.訪問請求認證字
在Access-Request包中認證字的值是16位元組隨機數,認證字的值要不能被預測,並且在一個共享密鑰的生命期內唯一;
2.訪問回應認證字
Access-Accept Access-Reject 和Access-Challenge包中的認證字稱為訪問回應認證字,訪問回應認證字的值定義為MD5(Code+ID+Length+RequestAuth+Attributes+Secret);
3.計費請求認證字
在計費請求包中的認證字域稱為計費請求認證字,它是一個16位元組的MD5校驗和,計費請求認證字的值定義為MD5(Code + Identifier + Length + 16 zero octets + request attributes +shared secret);
4.計費回應認證字
在計費回應報文中的認證字域稱為計費回應認證字,它的值定義為MD5(Accounting-Response Code + Identifier + Length + the RequestAuthenticator field from the Accounting-Request packet being replied to +the response attributes + shared secret);
訊息互動
radius伺服器對用戶的認證過程通常需要利用nas等設備的代理認證功能,radius客戶端和radius 伺服器之間通過共享密鑰認證相互間互動的訊息,用戶密碼採用密文方式在網路上傳輸,增強了安全性。radius 協定合併了認證和授權過程,即回響報文中攜帶了授權信息。
基本互動步驟如下:
(1) 用戶輸入用戶名和口令;
