简述Rsdius协议

　　Rsdius（remote authentication dial in user service，远程用户拨号认证）由rfc2865，rfc2866定义，是目前最广泛的aaa协议。
　　Radius协议最初是由livingston公司提供的，原先的目的是为拨号用户进行认证和计费。后来经过多次改进，形成一项他通用的认证计费协议。
　　Radius协议是一种C/S结构的协议，它的客户端最初就是nas（net Access server，网络访问服务器）服务器，现在任何运行Radius客户端软件的计算机都可以成为radius客户端。Radius协议认证机制灵活，可以采用pap、 chap或者Unix登录认证等多种方式。Radius是一种可扩展的协议，它进行的全部工作都是基于attribute-length-value的向量进行的。Radius也支持厂商扩充厂家专有属性。
　　Radius的基本工作原理。用户接入nas，nas向Radius服务器使用access-require数据包提交用户信息，包括用户名、密码等相关信息，其中用户密码是经过md5加密的，双方使用共享密钥，这个密钥不经过网络传播；radius服务器对用户名和密码的合法性进行检验，必要时可以提出一个challenge，要求进一步对用户认证，也可以对nas进行类似的认证；如果合法，给nas返回access-accept数据包，允许用户进行下一步工作，否则返回access-reject数据包，拒绝用户访问；如果允许访问，nas向Radius服务器提出计费请求account- require，Radius服务器响应account-accept，对用户的计费开始，同时用户可以进行自己的相关操作。
　　Radius还支持代理和漫游功能。简单地说，代理就是一台服务器，可以作为其他Radius服务器的代理，负责转发radius认证和计费数据包。所谓漫游功能，就是代理的一个具体实现，这样可以让用户通过本来和其无关的Radius服务器进行认证，用户到非归属运营商所在地也可以得到服务，也可以实现虚拟运营。
　　Radius协议承载于UDP之上，官方指定端口号为认证授权端口1812、计费端口1813。Radius协议简单明确、扩展性好，因此得到了广泛应用，具有以下特点:
　　采用通用的客户端/服务器结构组网
　　nas作为Radius的客户端负责将用户信息传递给指定的Radius服务器，然后处理Radius服务器的返回结果。Radius服务器负责接收用户的连接请求，对用户进行认证，给客户端返回用户配置信息。
　　采用共享密钥保证网络传输安全性
　　客户端与Radius服务器之间的交互是通过共享密钥来进行相互认证的，以减少在不安全的网络中用户密码被侦听到的可能性。
　　具有良好的可扩展性
　　Radius是一种可扩展的协议，所有的交互报文由多个不同长度的ALV(Attribute-Length-Value)三元组组成，新增加属性和属性值不会破坏到协议的原有实现。因此Radius协议也支持设备厂商扩充厂家专有属性。
　　Radius协议认证机制灵活，支持多种认证用户的方式。如果用户提供了用户名和用户密码的明文，Radius协议能够支持PAP、CHAP、UNIX login等多种认证方式。
　　Radius协议简单明确、扩展性强，因此得到了广泛应用。在普通电话拨号上网、ADSL拨号上网、社区宽带上网、VPDN业务、移动电话预付费等业务中都能见到Radius的身影。
　　Radius协议灵活、安全、可扩展性好的特点，具体包括：通过网络传输的认证信息都经过加密，安全性高； 认证方式灵活，支持Unix Passwd、CHAP、挑战－回答认证等多种认证方式， 还支持认证转接（Authentication Forwarding）；协议扩展性好，通过变长 的属性串（Attribute Pair）能够进一步扩展Radius协议。Radius的认证过程如下图：
　　
　　如上图所示，nas被看成Radius的客户端，当用户登录到nas 时，客户端将用户提供的认证信息（如用户名和口令）发送给指定的Radius Server，并根据Server的回应作出相应的“允许/不允许登录”的决定。radius Server 负责接收认证请求并进行认证，然后将认证结果（包括连 接协议、端口信息、 ACL 等授权信息）发送回Radius Client，Client根据 授权信息限制用户对资源的访问。 一个Radius Server可以作为另一个Radius Server的客户端要求认证（即认证转接），以提供灵活的认证方式。Radius Server和Client之间传递的认证信息用一个事先设置的口令进行加密，防止敏感信息泄露。当用户成功的登录后，nas会向Radius Server发送一个连接开始的记账信 息包，其中包括用户使用的连接种类、协议和其他自定义信息；当用户断开连接后，nas会向Radius Server发送一个连接结束的记账信息包，Radius Server根据设置为用户记账。
　　下面是一个典型的Radius登录过程：
　　远程用户登录nas；nas发送“Radius Access－Request”到Radius Server，其中包括用户名、密码等信息；如果该用户使用“挑战－回答”认证，Radius Server 将发送包含挑战信息的“Radius Access－Challenge”消息，nas将挑战信息显示给用户；
　　用户将回答提交给nas，nas将发送第二个“Radius Access－Request”，Server 将根据此信息进行认证，这个过程类似于前面介绍过得CHAP认证方式；
　　Radius Server 将根据事先设置的认证方式（CHAP、用户名口令、挑战应答等）认证该用户，并发回“Radius Access－Accept”；或拒绝该用户，并发回“RADIUS Access－Reject”消息；
　　nas通知Server开始Accounting，用户访问进程开始，当用户结束进程时，nas通知Server结束Accounting进程。
　　基于Radius协议的认证方式由于其安全、灵活、可扩展性等特点被广泛应用，其认证机制的实现包括了用户名＋口令、基于对称加密、基于非对称加密等多种方式，可以根据实际的安全需求具体实施。