下载安卓APP箭头
箭头给我发消息

客服QQ:3315713922

浅谈Radius工作原理以及特点

作者:课课家教育     来源: http://www.kokojia.com点击数:2403发布时间: 2018-01-10 09:30:34

标签: 安全服务器数据库

软考,您想通过吗?一次通过才是硬道理

  企业要求只有授权的用户才能访问自己的内部网络,教育网采取根据流量计费的策略,VOD系统根据点播的时间收费等等。这些最常见的网络应用却面临着一个同样的问题:如何对用户进行认证继而计费?
  一种常见的认证计费方法--Radius协议会帮助我们解决这些问题。Radius是目前最常用的认证计费协议之一,它简单安全,易于管理,扩展性好,所以等到广泛应用。
  Radius(Romote Authentication Dial In User Service)是远程认证拨号用户服务的简称,是一种C/S结构的协议。Radius原先设计的目的是为拨号用户进行认证和计费。后来经过多次改进,形成了一项通用的认证计费协议,与AAA配合主要完成在网络接入设备合认证服务器之间承载认证、授权、计费和配置信息。
  Authentication,Authorization,and Accounting三种安全功能,简称AAA。
  Authentication认证,用于判定用户是否可以获得访问权,限制非法用户;
  Authorization授权,授权用户可以使用那些服务,控制合法用户的权限;
  Accounting计帐,记录用户可以使用网络资源的情况,为收费提供依据;
  Radius协议具有以下特点:
  客户端/服务器结构;
  采用共享密钥保证网络传输安全性;
  良好的可扩展性;
  认证机制灵活;
  AAA的工作过程可以分为如下几步:
  1.终端用户(客户端系统)向NAS设备发出网络连接请求;
  2.NAS收集用户输入的用户名和口令,并转发给AAA;
  3.AAA服务器按照一定算法和自身数据库信息匹配,然后将结果返回非NAS设备,可能是接受、拒绝或者其他(如challenge);
  4.NAS设备根据返回的结果决定接通或者断开终端用户;
  5.如果认证通过继续一下步骤;
  6.服务器对用户进行授权,NAS设备会根据授权结果对用户上网环境进行配置;
  7.如需计费,NAS设备将在用户上下线及上网期间内收集用户网络资源使用情况,将数据送交记账服务器;
  Radius协议在报文中的位置
  浅谈Radius工作原理以及特点_安全_服务器_数据库_课课家教育
  Radius协议报文格式如下图所示,各域内容按照从左到右传送
  服务器_安全_口令
  Radius协议具有灵活、安全、可扩展好的特点,具体包括:通过网络传输的认证信息都经过加密,安全性高;认证方式灵活,支持unix Passwd、CHAP、挑战回答认证等多种认证方式,还支持认证转接(Authentication Forwarding);协议扩展性好,通过变长的属性串(Attribute Pair)能够进一步扩展Radius的认证过程如下图所示:
  Unix_协议_服务器
  如上图所示,NAS(Network Access Server,网络访问服务器)被看成Radius的客户端,用户登录到NAS时,客户端将用户提供的认证信息(如用户名和口令)发送给指定的Radius Server,并根据Server的回应作出相应的“允许/不允许登录”的决定。Radius Server 负责接收认证请求并进行认证,然后将认证结果(包括连 接协议、端口信息、 ACL 等授权信息)发送回Radius Client,Client根据 授权信息限制用户对资源的访问。 一个Radius Server可以作为另一个Radius Server的客户端要求认证(即认证转接),以提供灵活的认证方式。Radius Server和Client之间传递的认证信息用一个事先设置的口令进行加密,防止敏感信息泄露。当用户成功的登录后,NAS会向Radius Server发送一个连接开始的记账信 息包,其中包括用户使用的连接种类、协议和其他自定义信息;当用户断开连接后,NAS会向Radius Server发送一个连接结束的记账信息包,Radius Server根据设置为用户记账。
  Radius登录过程
  下面是一个典型的Radius登录过程:
  远程用户登录NAS;
  NAS发送“Radius Access-Request”到Radius Server,其中包括用户名、密码等信息;如果该用户使用“挑战-回答”认证,Radius Server 将发送包含挑战信息的“Radius Access-Challenge”消息,NAS将挑战信息显示给用户;
  用户将回答提交给NAS,NAS将发送第二个“Radius Access-Request”,Server 将根据此信息进行认证,这个过程类似于前面介绍过得CHAP认证方式;
  Radius Server 将根据事先设置的认证方式(CHAP、用户名口令、挑战应答等)认证该用户,并发回“Radius Access-Accept”;或拒绝该用户,并发回“RADIUS Access-Reject”消息;
  NAS通知Server开始Accounting,用户访问进程开始,当用户结束进程时,NAS通知Server结束Accounting进程。
  基于Radius协议的认证方式由于其安全、灵活、可扩展性等特点被广泛应用,其认证机制的实现包括了用户名+口令、基于对称加密、基于非对称加密等多种方式,可以根据实际的安全需求具体实施。
  Radius协议就介绍到这啦,希望对大家的学习有所帮助,阅读更多的内容,欢迎登陆课课家教育吧,感谢大家的支持。

赞(15)
踩(0)
分享到:
推荐查看
华为认证网络工程师 HCIE直播课视频教程