1、什么是半徑？

2、RADIUS:遠(yuǎn)程認(rèn)證撥入用戶服務(wù)，由RFC2865和RFC2866定義，是目前應(yīng)用最廣泛的AAA協(xié)議。

3、RADIUS是一個(gè)C/S結(jié)構(gòu)的協(xié)議。它的客戶端最初是一個(gè)NAS(網(wǎng)絡(luò)訪問(wèn)服務(wù)器)服務(wù)器。現(xiàn)在，任何運(yùn)行RADIUS客戶端軟件的計(jì)算機(jī)都可以成為RADIUS客戶端。RADIUS協(xié)議認(rèn)證機(jī)制靈活，可以采用PAP、CHAP或Unix登錄認(rèn)證。RADIUS是一個(gè)可擴(kuò)展的協(xié)議，它的所有工作都是基于屬性-長(zhǎng)度-值的向量。RADIUS還支持供應(yīng)商擴(kuò)展特定于供應(yīng)商的屬性。

(資料圖片)

4、RADIUS協(xié)議簡(jiǎn)單、清晰、可擴(kuò)展，因此得到了廣泛的應(yīng)用，包括普通電話互聯(lián)網(wǎng)接入、ADSL互聯(lián)網(wǎng)接入、住宅寬帶互聯(lián)網(wǎng)接入、IP電話、VPDN(基于撥號(hào)用戶的虛擬專用撥號(hào)網(wǎng)絡(luò))、手機(jī)預(yù)付費(fèi)業(yè)務(wù)等。最近，IEEE提出了802.1x標(biāo)準(zhǔn)，這是一種基于端口的無(wú)線網(wǎng)絡(luò)接入認(rèn)證標(biāo)準(zhǔn)。RADIUS協(xié)議也用于身份驗(yàn)證。

5、基本工作原理

6、用戶訪問(wèn)NAS，NAS使用Access-Require包向RADIUS服務(wù)器提交用戶信息，包括用戶名、密碼等相關(guān)信息，其中用戶密碼采用MD5加密，雙方使用共享密鑰，不通過(guò)網(wǎng)絡(luò)傳播；RADIUS服務(wù)器檢查用戶名和密碼的合法性，并且如果必要，它可以提出質(zhì)詢以進(jìn)一步認(rèn)證用戶，或者它可以類似地認(rèn)證NAS如果合法，它將訪問(wèn)接受包返回給NAS，允許用戶進(jìn)行下一步工作；否則，它返回訪問(wèn)拒絕包，拒絕用戶訪問(wèn)；如果允許訪問(wèn)，NAS向RADIUS服務(wù)器提出計(jì)費(fèi)請(qǐng)求Account- Require，RADIUS服務(wù)器響應(yīng)Account-Accept，用戶計(jì)費(fèi)開(kāi)始，用戶可以進(jìn)行自己的相關(guān)操作。

7、RADIUS也支持代理和漫游功能。簡(jiǎn)而言之，代理是可以充當(dāng)其他RADIUS服務(wù)器的代理的服務(wù)器，負(fù)責(zé)轉(zhuǎn)發(fā)RADIUS身份驗(yàn)證和記帳數(shù)據(jù)包。漫游功能是代理的具體實(shí)現(xiàn)，允許用戶通過(guò)與其無(wú)關(guān)的RADIUS服務(wù)器進(jìn)行認(rèn)證。用戶還可以在非歸屬地運(yùn)營(yíng)商所在地獲得服務(wù)，也可以實(shí)現(xiàn)虛擬運(yùn)營(yíng)。

8、RADIUS服務(wù)器和NAS服務(wù)器通過(guò)UDP協(xié)議進(jìn)行通信。RADIUS服務(wù)器的端口1812負(fù)責(zé)身份驗(yàn)證，端口1813負(fù)責(zé)記帳。采用UDP的基本考慮是NAS和RADIUS服務(wù)器大多在同一個(gè)局域網(wǎng)內(nèi)，使用UDP更快更方便，而且UDP是無(wú)連接的，會(huì)減輕RADIUS的壓力，更安全。

9、RADIUS協(xié)議也提供了重傳機(jī)制。如果NAS向RADIUS服務(wù)器提交請(qǐng)求，但沒(méi)有收到返回信息，它可以要求備份RADIUS服務(wù)器重新傳輸該請(qǐng)求。由于有多個(gè)備份RADIUS服務(wù)器，當(dāng)NAS重新傳輸時(shí)，可以使用輪詢方法。如果備份RADIUS服務(wù)器的密鑰不同于以前RADIUS服務(wù)器的密鑰，您需要重新進(jìn)行身份驗(yàn)證。

10、基本消息交互過(guò)程

11、RADIUS服務(wù)器對(duì)用戶的認(rèn)證過(guò)程通常需要使用nas等設(shè)備的代理認(rèn)證功能。RADIUS客戶端和RADIUS服務(wù)器通過(guò)共享密鑰對(duì)彼此的交互消息進(jìn)行認(rèn)證，用戶的密碼以密文的形式在網(wǎng)絡(luò)上傳輸，增強(qiáng)了安全性。RADIUS協(xié)議結(jié)合了認(rèn)證和授權(quán)過(guò)程，即響應(yīng)消息攜帶授權(quán)信息。

12、基本的交互步驟如下：

13、(1)用戶輸入用戶名和密碼；

14、(2)RADIUS客戶端根據(jù)獲取的用戶名和密碼向RADIUS服務(wù)器發(fā)送訪問(wèn)請(qǐng)求。

15、(3)RADIUS服務(wù)器將用戶信息與用戶數(shù)據(jù)庫(kù)信息進(jìn)行比較和分析，如果認(rèn)證成功，則在認(rèn)證響應(yīng)包(access-accept)中將用戶的權(quán)限信息發(fā)送給RADIUS客戶端；如果認(rèn)證失敗，則返回訪問(wèn)拒絕響應(yīng)分組。

16、(RADIUS客戶端根據(jù)接收到的認(rèn)證結(jié)果接入/拒絕用戶。如果用戶可以訪問(wèn)，RADIUS客戶端向RADIUS服務(wù)器發(fā)送計(jì)費(fèi)請(qǐng)求包，狀態(tài)類型值為start

17、(RADIUS服務(wù)器返回計(jì)費(fèi)響應(yīng)包；

18、(6)RADIUS客戶端向RADIUS服務(wù)器發(fā)送計(jì)費(fèi)請(qǐng)求包，狀態(tài)類型值為停止；

19、(RADIUS服務(wù)器返回一個(gè)記帳響應(yīng)數(shù)據(jù)包。

本文到此結(jié)束，希望對(duì)大家有所幫助。

關(guān)鍵詞：