admin 管理员组

文章数量: 887021


2024年3月9日发(作者:mysql float数据类型)

RADIUS简介

1. AAA和RADIUS概述

AAA是验证,授权和记账(Authentication,Authorization,and Accounting)的简称。它 是运行于NAS上的客户端程序。它提供了一个用来对验证,授权和记账这三种安全功能进行配置的一致的框架。AAA的配置实际上是对网络安全的一种管理。这里的网络安全主要指访问控制。包括哪些用户可以访问网络服务器?具有访问权的用户可以得到哪些服务?如何对正在使用网络资源的用户进行记账?下面简单介绍一下验证, 授权,记账的作用。

验证(Authentication): 验证用户是否可以获得访问权。可以选择使用RADIUS协议。

授权(Authorization) : 授权用户可以使用哪些服务。

记账(Accounting) : 记录用户使用网络资源的情况。

AAA的实现可采用 RADIUS 协议。 RADIUS 是Remote Authentication Dial In User Service 的简称。原来的初衷是用来管理使用串口和调制解调器的大量分散用户,现在已经远不止这些应用了。

应用介绍

RADIUS组网示意图如下:

用户 lqz, lst 要求得到某些服务(如SLIP, PPP,telnet, rlogin)。但必须

通过NAS, 由 NAS依据某种顺序与所连服务器通信从而进行验证。

注:lst 通过拨号进入NAS, 然后NAS按配置好的验证方式(如 PPP PAP, CHAP等)求lst输入用户名, 密码等信息。 lst 端出现提示,用户按提示输入。通过与NAS 的连接, NAS得到这些信息。而后,NAS把

这些信息传递给相应验证或记账的服务器,并根据服务器 的响应来决定用户是否可以获得他所要求的服务。

如上图所示:一个网络允许外部用户通过公用网对其进行访问。于是用户在地理上可以极为分散。大量分散用户从不同的地方可以对这个网络进行随机的访问,由于存在内外的双向数据流动,网络安全就成为很重要的问题了。安全管理的内容有:哪些用户是否可以获得访问权,获得访问权的用户可以允许使用哪些服务,如何对使用网络资源的用户进行记费。 RADIUS很好的完成了这三项任务。

RADIUS业务复合典型的client/server模型:

路由器(或NAS)上运行的AAA程序对用户来讲为服务器端,对RADIUS服务器来讲是作为客户端。 RADIUS通过建立一个唯一的用户数据库,存储用户名,用户的密码来进行验证; 存储传递给用户的服务类型以及相应的配置信息来完成授权。 当用户上网时,路由器决定对用户采用何那种验证方法。下面介绍两种用户与路由器之间(本地验证)的验证方法CHAP和PAP。

PAP ( Password Authentication Protocol )。用户以明文的形式把用户名和他的密码传递给路由器。 NAS根据用户名在NAS端查找本地数据库,如果存在相同的用户名和密码表明验证通过,否则表明验证未通过。

CHAP(Challenge Handshake Authentication Protocol)。当用户请求上网时,路由器产生一个16字节的随机码给用户。用户端得到这个包后使用自己独用的设备或软件对传来的各域进行加密,生成一个response传给NAS。NAS根据用户名在NAS端查找本地数据库,得到和用户端进行加密所用的一样的密码,然后根据原来的16字节的随机码进行加密,将其结果与Response作比较,如果相同表明验证通过,如果不相同表明验证失败。

如果用户配置了RADIUS验证而不是上面所采用的本地验证,过程略有不同。

在端口上采用PAP验证 用户以明文的形式把用户名和他的密码传递给路由器。路由器把用户名和加密过的密码放到验证请求包的相应属性中传递给RADIUS服务器。根据RADIUS服务器的返回结果来决定是否允许用户上网。

在端口上采用CHAP验证 当用户请求上网时,路由器产生一个16字节的随机码给用户。用户端得到这个包后使用自己独有的设备或软件对传来的各域进行加密,生成一个response传给NAS。NAS把传回来的CHAP

ID和Response分别作为用户名和密码,并把原来的16字节随机码传给RADIUS服务器。RADIU根据用户名在NAS端查找数据库,得到和用户端进行加密所用的一样的密码,然后根据传来的16字节的随机码进行加密,将其结果与传来的Password作比较,如果相同表明验证通过,如果不相同表明验证失败。

协议简介

RADIUS 协议的认证端口1812、计费端口1813。

图3 路由器协议栈结构

由于TCP是必须成功建立连接后才能进行数据传输的,这种方式在有大量用户使用的情况下实时性不好。RADIUS承载在UDP上, 所以 RADIUS要有重传机制和备用服务器机制。

Radiu报文的格式如下:

4.华为RADIUS解决方案

华为公司作为国内IP网络设备的主要供应商之一,在其全线数通产品全面支持RADIUS协议。华为公司的A8010系列接入服务器,Quidway系列低中高端路由器,以及华为宽带接入服务器等产品均可支持完备的AAA解决方案。


本文标签: 用户 验证 进行 使用