什么是RADIUS服务器?

  服务器我们经常都会讲到，但是这个神秘的RADIUS服务器大家知道是什么吗?它是怎么工作的呢?主要的特征有哪些呢?接下来就跟着小编一起来揭开RADIUS服务器的这层什么的面纱吧。

　　RADIUS是一种用于在需要认证其链接的网络访问服务器(NAS)和共享认证服务器之间进行认证、授权和记帐信息的文档协议。过去RADIUS更多地用在远程拨号接入这样的领域，但是在未来的企业网络中，RADIUS将更多被使用在以太网接入、无线局域网接入等领域。选择好的RADIUS将变得更重要。

　　RADIUS主要特征

　　1.客户机/服务器(C/S)模式

　　一个网络接入服务器(以下简称NAS)作为RADIUS的客户机，它负责将用户信息传入C#编程RADIUS服务器，然后按照RADIUS服务器的不同的响应来采取相应动作。另外，RADIUS服务器还可以充当别的RADIUS服务器或者其他种类认证服务器的C#程序员代理客户。

　　2.网络安全(Network Security)

　　NAS和RADIUS服务器之间的事务信息交流由两者共享的密钥进行加密，并且这些信息不会在两者之间泄漏出去。

　　3.灵活认证机制(Flexible Authentication Mechanisms)

　　RADIUS服务器支持多种认证机制。它可以验证来自PPP、PAP、CHAP和UNIX系统登录的用户信息的有效性。

　　4.协议可扩展性(Extensible Protocol)

　　所有的认证协议都是基于“属性-长度-属性值”3元素而组成的。所以协议是扩展起来非常方便。在目前很多比较高版本的Linux中，它们都把 RADIUS的安装程序包含在系统源码中。这样使得我们可以很容易地通过免费的Linux系统学习RADIUS授权、认证的原理和应用。

　　RADIUS工作原理

　　RADIUS原先的目的是为拨号用户进行认证和计费。后来经过多次改进，形成了一项通用的C#开发认证计费协议。

　　RADIUS是一种C/S结构的协议，它的客户端最初就是NAS服务器，现在任何运行RADIUS客户端软件的计算机都可以成为RADIUS的客户端。RADIUS服务器不仅支持Microsoft Active Directory和RSA Security SecureID，而且还可以连接多种客户机，即NAS(网络接入服务器)设备，如拨号服务器、VPN集中器、WLAN接入点和防火墙。

　　RADIUS的基本工作原理

　　用户接入NAS，NAS向RADIUS服务器使用Access-Require数据包提交用户信息，包括用户名、密码等相关信息，其中用户密码是经过MD5加密的，双方使用共享密钥，这个密钥不经过网络传播;RADIUS服务器对用户名和密码的合法性进行检验，必要时可以提出一个Challenge，要求进一步对用户认证，也可以对NAS进行类似的认证;如果合法，给NAS返回Access-Accept数据包，允许用户进行下一步工作，否则返回Access-Reject数据包，拒绝用户访问;如果允许访问，NAS向RADIUS服务器提出计费请求Account-Require，RADIUS服务器响应Account-Accept，对用户的计费开始，同时用户可以进行自己的相关操作。

　　RADIUS还支持代理和漫游功能。简单地说，代理就是一台服务器，可以作为其他RADIUS服务器的代理，负责转发RADIUS认证和计费数据包。所谓漫游功能，就是代理的一个具体实现，这样可以让用户通过本来和其无关的RADIUS服务器进行认证。

　　RADIUS服务器和NAS服务器通过UDP协议进行通信，RADIUS服务器的1812端口负责认证，1813端口负责计费工作。采用C#语言UDP的基本考虑是因为NAS和RADIUS服务器大多在同一个局域网中，使用UDP更加快捷方便。

　　RADIUS协议还规定了重传机制。如果NAS向某个RADIUS服务器提交请求没有收到返回信息，那么可以要求备份RADIUS服务器重传。由于有多个备份RADIUS服务器，因此NAS进行重传的时候，可以采用轮询的方法。如果备份RADIUS服务器的密钥和以前RADIUS服务器的密钥不同，则需要重新进行认证。

　　如何保障RADIUS服务器的安全?

　　RADIUS服务器控制着对网络的访问，是WLAN部署整个运作的关键，而且还要提供AP(访问点)和无线客户端所使用的密钥来加密特定工作站的数据通信。但是其自身的安全性却往往被忽略，那么如果想要保障RADIUS服务器的安全，我们该采取哪些措施呢?

　　首先你要保证用作RADIUS服务器的系统的安全。有各种各样的技术可以实现这一点，不过在最基本的层次上，你应该找一台独立的服务器来完成这个任务。这限制了RADIUS服务器的暴露程度，并保证运行在系统上的其它服务中的弱点不会传向RADIUS服务器。允许登录到服务器的账户也应被限制。

　　其次要限制与你的RADIUS服务器通信的内容。为此，RADIUS服务器需要与你的后端加密(例如, 一个 LDAP 或 SQL服务器)和你的每一个网络访问服务器(NAS，即无线网络中的访问点)通信。依据这个想法，防火墙规则应该增强这种需要，并保证其它的系统不能与你的RADIUS服务器通信。

　　此外，你会想到保护RADIUS服务器、后端身份验证和加密访问点之间的通信，对于你的RADIUS服务器和后端身份验证的连接来说，这可能意味着SSL或IPsec。例如，如果你正使用一个LDAP目录来存储验证信息，你可以轻易地使用SSL来加密数据通信。同样地，你也应该对访问点和IPsec之间的数据通信进行加密。

　　最后的但并非最不重要的一点，是你的RADIUS共享的保密，这被RADIUS服务器和NAS设备用来保证它们之间数据通信的安全。如果你能在服务器和访问点之间使用IPsec，那么这仅仅算是防御系统的额外一层。如果你不能做到这一点，那么，为每一个访问点选择唯一的共享保密并确保使用包含字母、数字和符号的强口令是至关重要的。此外，你还应该使用你的RADIUS服务器和访问点所允许的最大长度的口令。

　　使用上面提到的任意一个方法都可以使你的RADIUS服务器安全性更好一些;通过扩展你的无线网络的部署，将其集成Python面向对象起来作为一种分层的方法，它们就会显示出更强大的力量。

　　RADIUS服务器的神秘面纱已经揭开了，大家是否也看清了呢?希望在本篇文章的内容能给大家带来帮助，感谢各位的支持。课课家教育有各种类型的IT网络课程提供给大家学习哦，有兴趣的米娜可以来看看哦。