五、Radius原理及其應用

Radius是Remote Authentication Dial In User Service的簡稱，即遠程驗證撥入用戶服務。當用戶想要通過某個網絡(如電話網)與NAS(網絡接入服務器)建立連接從而獲得訪問其它網絡的權力時，NAS可以選擇在NAS上進行本地認證計費，或把用戶信息傳遞給RADIUS服務器，由Radius進行認證計費。RADIUS協議規定了NAS與RADIUS服務器之間如何傳遞用戶信息和記賬信息，RAD工US服務器負責接收用戶的連接請求，完成驗證，并把傳遞服務給用戶所需的配置信息返回給NAS。

用戶要求得到某些服務(如SLIP， PPP， telnet)，必須通過NAS，由NAS依據某種順序與所連服務器通信從而進行驗證。用戶通過撥號進入NAS，然后NAS按配置好的驗證方式(如PPP PAP， CHAP等)要求輸入用戶名，密碼等信息，用戶端出現提示，用戶按提示輸入。通過與NAS的連接，NAS得到這些信息。而后，NAS把這些信息傳遞給響應驗證或記賬的服務器，并根據服務器的響應來決定用戶是否可以獲得他所要求的服務。AAA是鑒別，授權和記賬(Authentication， Authorization， Accounting)的簡稱，它是運行于NAS上的客戶端程序，提供了一個用來對鑒別，授權和記賬這三種安全功能進行配置的一致的框架。AAA的配置實際上是對網絡安全的一種管理，這里的網絡安全主要指訪問控制，包括哪些用戶可以訪問網絡服務器，具有訪問權的用戶可以得到哪些服務，如何對正在使用網絡資源的用戶進行記賬。下面簡單介紹一下鑒別，授權，記賬的作用。

鑒別(Authentication)：鑒別用戶是否可以獲得訪問權，可以選擇使用RADIUS協議。

授權(Authorization)：授權用戶可以使用哪些服務。

記賬(Accounting) ：記錄用戶使用網絡資源的情況。

AAA的實現可采用RADIUS協議。RADIUS是Remote Authentication Dial工n User Service的簡稱，用來管理使用串口和調制解調器的大量分散用戶。網絡接入服務器NAS(Network Access Server)，當用戶想要通過某個網絡(如電話網)與NAS建立連接從而獲得訪問其他網絡的權利(或取得使用某些網絡資源的權利)時，NAS起到了過問用戶(或這個連接)的作用。NAS負責把用戶的鑒別，授權，記賬信息傳遞給RAD工US服務器。RAD工US協議規定了NAS與RAD工US服務器之間如何傳遞用戶信息和記賬信息，即兩者之間的通信規則。RAD工US服務器負責接收用戶的連接請求，完成鑒別，并把傳遞服務給用戶所需的配置信息返回給NAS。用戶獲得授權后，在其正常上線、在線和下線過程中，Radius服務器完成對用戶賬號計費的功能。

RADIUS協議的認證端口號為1812或1645，計費端口號為1813或1646a一個網絡允許外部用戶通過公用網對其進行訪問，從而用戶在地理上可以極為分散。大量分散用戶通過Modem等設備從不同的地方可以對這個網絡進行隨機訪問。用戶可以把自己的信息傳遞給這個網絡，也可以從這個網絡得到自己想要的信息。由于存在內外的雙向數據流動，網絡安全就成為很重要的問題了。大量的modem形成了Modem pools。對modem pool的管理就成為網絡接入服務器或路由器的任務。管理的內容有：哪些用戶可以獲得訪問權，獲得訪問權的用戶可以允許使用哪些服務，如何對使用網絡資源的用戶進行記費。AAA很好地完成了這三項任務。

RADIUS通過建立一個唯一的用戶數據庫，存儲用戶名，用戶的密碼來進行鑒別、存儲傳遞給用戶的服務類型以及相應的配置信息來完成授權。RADIUS采用客戶/服務器(Client/Server)結構：NAS上運行的AAA程序對用戶來講為服務器端，對RADIUS服務器來講是作為客戶端。RADIUS的客戶端通常運行于接入服務器(NAS)上，RADIUS服務器通常運行于一臺工作站上，一個RADIUS服務器可以同時支持多個RADIUS客戶(NAS )。RADIUS的服務器上存放著大量的信息，接入服務器(NAS)無須保存這些信息，而是通過RADUIS協議對這些信息進行訪問。這些信息的集中統一的保存，使得管理更加方便，而且更加安全。RADIUS服務器可以作為一個代理，以客戶的身份同其他的RADIUS服務器或者其他類型的鑒別服務器進行通信。例如用戶的漫游通常就是通過RADIUS代理實現的CHAP鑒別：當用戶請求上網時，NAS產生一個16字節的隨機碼給用戶(同時還有一個ID號，本地路由器的host name)，用戶端得到這個包后使用自己獨有的設備或軟件對傳來的各域進行加密，生成一個Secret Password傳給NAS}NAS把傳回來的CHAP ID和Secret Password分別作為用戶名和密碼，并把原來的16字節隨機碼傳給RADIUS服務器，RADIUS根據用戶名在服務器端查找數據庫，得到和用戶端進行加密所用的一樣的密碼，然后根據傳來的16字節的隨機碼進行加密，將結果與傳來的Password作比較，如果相同表明驗證通過，如果不相同表明驗證失敗。如果驗證成功，RADIUS服務器還可以生成一個16字節的隨機碼對用戶進行挑戰詢問。

RADIUS采用UDPoNAS和RAD工US服務器之間傳遞的是一般幾十上百個字節長度的數據，并且RADIUS要求特別的定時器管理機制。用戶可以容忍幾十秒的驗證等待時間。當處理大量用戶時服務器端采用多線程，UDP簡化了服務器端的實現過程。TCP是必須成功建立連接后才能進行數據傳輸的，這種方式在有大量用戶使用的情況下實時性不好。RADIUS要有重傳機制和備用服務器機制，它所采用的定時，TCP不能很好的滿足。

RADIUS協議具有很好的擴展性。RADIUS包是由包頭和一定數目的屬性(Attribute)構成的。新屬性的增加不會影響到現有協議的實現。通常的NAS廠家在生產NAS時，還同時開發與之配套的RAD工US服務器。為了提供一些功能，常常要定義一些非標準的(RFC上沒有定義過的)屬性。