RADIUS协议原理及应用

先容RADIUS协议原理和常见的应用场景

宣布时间：2022-05-12
点击量：
点赞：

分享至

我想谈论

1 RADIUS协议原理及应用
1.1 RADIUS协议概述
1987年，Merit Network, Inc.公司从美国科学基金会获得了NSFnet（Internet前身）的运营权。Merit需要将原先运行在专有网络协议上的大宗拨号营业移植到基于IP网络的NSFnet上。通过招标，一家名为Livingston的公司为Merit提供了一套计划，并将其命名为RADIUS（Remote Authentication Dial-In User Service，远程认证拨号用户服务）。RADIUS协议最初用于拨号用户的认证和计费，在经由多次修改之后，成为事实上的网络接入标准。
RADIUS协议是基于UDP的应用层协议，其切合AAA标准，同时具有利便安排、网络传输清静、协议易于扩展、支持多种认证机制等优点，在通俗电话上网、ADSL上网、小区宽带上网、IP电话等营业获得了普遍应用。
1.2 RADIUS协议与AAA
1.2.1 AAA先容
AAA（Authentication Authorization and Accounting，认证、授权和记账）是一种管理网络清静的机制，可以为接入网络的用户提招供证、授权和记账（计费）三种基本服务，详细内容如下：
● 认证服务：在用户会见网络前对其身份举行识别，用于验证用户是否具有会见权。
● 授权服务：对用户权限举行分类，为差别用户提供差别的会见权限。
● 记账服务：纪任命户使用网络资源的情形，统计的数据可用于举行剖析、计费等。
图1-1 AAA基本网络结构图
97国际·(中国区)集团官方网站

如上图所示：AAA基本网络结构由Host（用户）、NAS（Network Access Server，网络接入装备）和AAA server（远程服务器）组成。
(1)   用户向NAS提倡AAA申请，NAS收到AAA申请后，将其发送给AAA server举行处置惩罚。
(2)   AAA server处置惩罚后将效果返回给NAS。NAS凭证处置惩罚效果为Host提供响应的AAA服务。
1.2.2 RADIUS与AAA的关系
AAA作为一种清静机制，可以通过差别的协议来实现。
RADIUS是一种基于UDP的应用层协议，支持认证、授权和记账功效，协议简朴、无邪、可拓展性强，是一种盛行的AAA实现计划。
图1-2   RADIUS协议安排示意图
97国际·(中国区)集团官方网站

如上图所示，在NAS上安排RADIUS client协议，在AAA server上安排RADIUS server协议，即可用RADIUS协议实现AAA服务。
1.3 RADIUS协议特征
1.    C/S模子
RADIUS协议基于C/S（Client/Server）模式，分为RADIUS客户端和RADIUS服务端。
RADIUS客户端协议安排在接入装备上，将用户的请求转达给RADIUS服务端，并对服务器端的处置惩罚效果作出响应。
RADIUS服务端协议安排在服务器上，用于响应RADIUS客户端的请求。
2.    网络清静
RADIUS客户端和服务器之间传输的用户密码都经由加密，且用于加密的共享密钥不经由网络传输，阻止用户密码在经由不清静的网络情形时被监听窃取。
3.    无邪的认证机制
RADIUS服务器支持多种用户认证要领。
用户提供用户名和用户密码后，RADIUS服务器支持使用PAP、CHAP、UNIX登录和其他认证机制。
4.    协议可扩展
RADIUS具有优异的扩展性。
RADIUS报文通过可变长度的Attributes字段来携带认证、授权和记账信息。Attributes字段中携带一连串的TLV（Type、Length、Value）三元组属性信息。
若要新增全新的属性，则直接在Attributes字段中增添TLV三元组即可，不会对原有的协议造成滋扰。
1.4 RADIUS报文与协议交互历程
1.4.1 RADIUS协议报文
图1-3   RADIUS报文结构图
97国际·(中国区)集团官方网站

**表1-1 RADIUS报文字段寄义**
字段	长度	寄义	说明
Code	1字节	标识报文类型	常用报文类型对应数值和寄义如下： 1：Access-Request，认证请求报文 2：Access-Accept，认证接受报文 3：Access-Reject，认证拒绝报文 4：Accounting-Request，记账请求报文 5：Accounting-Response，记账应答报文 11：Access-Challenge，认证质询报文
Identifier	1字节	匹配请求和响应报文	统一类型的请求报文和响应报文的Identifier值相同
Length	2字节	RADIUS报文的长度	值为Code、Identifier、Length、Authenticator、Attributes五个字段长度之和若现实收到的报文长度大于Length值，则凌驾Length值的部分内容将被作为填充值忽略掉；若现实收到的报文长度小于Length值，则扬弃该报文
Authenticator	16字节	验证报文和用户密码加解密	无
Attributes	变长	携带认证、授权和记账信息	通常包括多个属性，属性接纳TLV（Type、Length、Value）三元组结构体现

1.4.2 RADIUS协议交互历程
图1-4 RADIUS认证、授权和记账流程图
97国际·(中国区)集团官方网站

● RADIUS的认证和授权流程
a    用户输入用户名、密码等身份信息，并将其发送给RADIUS客户端。
b    RADIUS客户端吸收用户的用户名、密码信息，并向RADIUS服务器发送认证请求报文。认证请求报文中的密码为加密形式。
c    RADIUS服务器收到认证请求后，验证用户名、密码信息是否正当。若合规则接受认证请求，并同时下发该用户的授权信息；若不正当，则拒绝该认证请求。
● RADIUS的记账流程
d    若用户提倡认证流程中，RADIUS服务器返回认证乐成，则RADIUS客户端继续发送记账最先请求报文。
e    RADIUS服务器回应记账最先响应报文，最先记账。
f    若用户需要竣事会见网络资源，则向RADIUS客户端申请断开毗连。
g    RADIUS客户端发送记账竣事请求报文。
h    RADIUS服务器返回记账竣事响应报文，并阻止记账。
i    用户断开毗连，无法再见见网络资源。
1.5 RADIUS协议典范应用场景
RADIUS协议常见的一个场景是在办公网场景中团结802.1X认证为用户提招供证服务。
假设某公司保存几个办公区，员工在办公区内会见网络时需要受到权限管控。公司向导希望能够对差别级别的员工配发差别的权限，且统一员工在差别办公区办公时，其权限品级是一致的。
图1-5   办公网802.1X认证场景
97国际·(中国区)集团官方网站

如图2-5所示，在各个办公区的接入装备上设置802.1X认证，认证要领指定为RADIUS服务器。同时在RADIUS服务器为差别员工设置响应的账号和权限，即可管理员工的网络权限。
员工在会见网络时，接入装备会要求员工提供账号举行认证。账号的网络会见权限由RADIUS服务器设置指定。
使用RADIUS服务器认证有如下优点：
● 利便安排，账号统一管理，不易杂乱。所有办公区的接入装备都可以指定统一个RADIUS服务器，接入装备不需要重复设置员工的账号，只需要在服务器上设置好员工账号后，即可在所有办公区内生效。同时，若有新增办公区时，只需要在对应的接入装备上指定原有的RADIUS服务器举行认证即可。
● 清静性。RADIUS数据传输经由加密，避免账号信息在经由公用网络时被监听窃取。
● 支持备用RADIUS服务器。支持使用多组RADIUS服务器来提招供证服务器，在某台服务器宕机时，可以自动切换为备用服务器，阻止影响正常办公。