RADIUS和谈道理及利用

介绍RADIUS和谈道理和常见的利用场景

颁布功夫：2022-05-12
点击量：
点赞：

分享至

我想评论

1 RADIUS和谈道理及利用
1.1 RADIUS和谈概述
1987年，Merit Network, Inc.公司从美国科学基金会获得了NSFnet（Internet前身）的运营权。Merit必要将原先运行在专有网络和谈上的大量拨号业务移植到基于IP网络的NSFnet上。通过招标，一家名为Livingston的公司为Merit提供了一套规划，并将其定名为RADIUS（Remote Authentication Dial-In User Service，远程认证拨号用户服务）。RADIUS和谈最初用于拨号用户的认证和计费，在经过屡次批改之后，成为事实上的网络接入尺度。
RADIUS和谈是基于UDP的利用层和谈，其切合AAA尺度，同时拥有方便部署、网络传输安全、和谈易于扩大、支持多种认证机造蹬着点，在通常电话上网、ADSL上网、幼区宽带上网、IP电话等业务得到了宽泛利用。
1.2 RADIUS和谈与AAA
1.2.1 AAA介绍
AAA（Authentication Authorization and Accounting，认证、授权和记账）是一种治理网络安全的机造，可以为接入网络的用户提招认证、授权和记账（计费）三种根基服务，具体内容如下：
● 认证服务：在用户接见网络前对其身份进行鉴别，用于验证用户是否拥有接见权。
● 授权服务：对用户权限进行分类，为分歧用户提供分歧的接见权限。
● 记账服务：纪录用户使用网络资源的情况，统计的数据可用于进行分析、计费等。
图1-1 AAA根基网络结构图
金彩汇 - 首页

如上图所示：AAA根基网络结构由Host（用户）、NAS（Network Access Server，网络接入设备）和AAA server（远程服务器）组成。
(1)   用户向NAS提议AAA申请，NAS收到AAA申请后，将其发送给AAA server进行处置。
(2)   AAA server处置后将了局返回给NAS。NAS凭据处置了局为Host提供相应的AAA服务。
1.2.2 RADIUS与AAA的关系
AAA作为一种安全机造，能够通过分歧的和谈来实现。
RADIUS是一种基于UDP的利用层和谈，支持认证、授权和记账职能，和谈单一、矫捷、可拓展性强，是一种盛行的AAA实现规划。
图1-2   RADIUS和谈部署示意图
金彩汇 - 首页

如上图所示，在NAS上部署RADIUS client和谈，在AAA server上部署RADIUS server和谈，即可用RADIUS和谈实现AAA服务。
1.3 RADIUS和谈个性
1.    C/S模型
RADIUS和谈基于C/S（Client/Server）模式，分为RADIUS客户端和RADIUS服务端。
RADIUS客户端和谈部署在接入设备上，将用户的要求传递给RADIUS服务端，并对服务器端的处置了局作出响应。
RADIUS服务端和谈部署在服务器上，用于响应RADIUS客户端的要求。
2.    网络安全
RADIUS客户端和服务器之间传输的用户密码都经过加密，且用于加密的共享密钥不经过网络传输，预防用户密码在经过不安全的网络环境时被监听窃取。
3.    矫捷的认证机造
RADIUS服务器支持多种用户认证步骤。
用户提供用户名和用户密码后，RADIUS服务器支持使用PAP、CHAP、UNIX登录和其他认证机造。
4.    和谈可扩大
RADIUS拥有优良的扩大性。
RADIUS报文通过可变长度的Attributes字段来携带认证、授权和记账信息。Attributes字段中携带一连串的TLV（Type、Length、Value）三元组属性信息。
若要新增全新的属性，则直接在Attributes字段中增长TLV三元组即可，不会对原有的和谈造成滋扰。
1.4 RADIUS报文与和谈交互过程
1.4.1 RADIUS和谈报文
图1-3   RADIUS报文结构图
金彩汇 - 首页

**表1-1 RADIUS报文字段寓意**
字段	长度	寓意	注明
Code	1字节	标识报文类型	常用报文类型对应数值和寓意如下： 1：Access-Request，认证要求报文 2：Access-Accept，认证接受报文 3：Access-Reject，认证回绝报文 4：Accounting-Request，记账要求报文 5：Accounting-Response，记账应答报文 11：Access-Challenge，认证质询报文
Identifier	1字节	匹配要求和响应报文	统一类型的要求报文和响应报文的Identifier值一样
Length	2字节	RADIUS报文的长度	值为Code、Identifier、Length、Authenticator、Attributes五个字段长度之和若现实收到的报文长度大于Length值，则超过Length值的部门内容将被作为填充值忽略掉；若现实收到的报文长度幼于Length值，则抛弃该报文
Authenticator	16字节	验证报文和用户密码加解密	无
Attributes	变长	携带认证、授权和记账信息	通常蕴含多个属性，属性选取TLV（Type、Length、Value）三元组结构暗示

1.4.2 RADIUS和谈交互过程
图1-4 RADIUS认证、授权和记账流程图
金彩汇 - 首页

● RADIUS的认证和授权流程
a    用户输入用户名、密码等身份信息，并将其发送给RADIUS客户端。
b    RADIUS客户端接管用户的用户名、密码信息，并向RADIUS服务器发送认证要求报文。认证要求报文中的密码为加密大局。
c    RADIUS服务器收到认证要求后，验证用户名、密码信息是否合法。若合法令接受认证要求，并同时下发该用户的授权信息；若不合法，则回绝该认证要求。
● RADIUS的记账流程
d    若用户提议认证流程中，RADIUS服务器返回认证成功，则RADIUS客户端持续发送记账起头要求报文。
e    RADIUS服务器回应记账起头响应报文，起头记账。
f    若用户必要实现接见网络资源，则向RADIUS客户端申请断开衔接。
g    RADIUS客户端发送记账实现要求报文。
h    RADIUS服务器返回记账实现响应报文，并终场记账。
i    用户断开衔接，无法再接见网络资源。
1.5 RADIUS和谈典型利用场景
RADIUS和谈常见的一个场景是在办公网场景中结合802.1X认证为用户提招认证服务。
如果某公司存在几个办公区，员工在办公区内接见网络时必要受到权限管控。公司辅导但愿可能对分歧级此外员工配发分歧的权限，且统一员工在分歧办公区办公时，其权限等级是一致的。
图1-5   办公网802.1X认证场景
金彩汇 - 首页

如图2-5所示，在各个办公区的接入设备上配置802.1X认证，认证步骤指定为RADIUS服务器。同时在RADIUS服务器为分歧员工配置相应的账号和权限，即可治理员工的网络权限。
员工在接见网络时，接入设备会要求员工提供账号进行认证。账号的网络接见权限由RADIUS服务器配置指定。
使用RADIUS服务器认证有如下利益：
● 方便部署，账号统一治理，不易混乱。所有办公区的接入设备都能够指定统一个RADIUS服务器，接入设备不必要沉复配置员工的账号，只必要在服务器上配置好员工账号后，即可在所有办公区内生效。同时，若有新增办公区时，只必要在对应的接入设备上指定原有的RADIUS服务器进行认证即可。
● 安全性。RADIUS数据传输经过加密，预防账号信息在经过公用网络时被监听窃取。
● 支持备用RADIUS服务器。支持使用多组RADIUS服务器来提招认证服务器，在某台服务器宕机时，能够自动切换为备用服务器，预防影响正常办公。

有关标签：