五、Radius原理及其應(yīng)用

Radius是Remote Authentication Dial In User Service的簡稱，即遠(yuǎn)程驗(yàn)證撥入用戶服務(wù)。當(dāng)用戶想要通過某個網(wǎng)絡(luò)(如電話網(wǎng))與NAS(網(wǎng)絡(luò)接入服務(wù)器)建立連接從而獲得訪問其它網(wǎng)絡(luò)的權(quán)力時(shí)，NAS可以選擇在NAS上進(jìn)行本地認(rèn)證計(jì)費(fèi)，或把用戶信息傳遞給RADIUS服務(wù)器，由Radius進(jìn)行認(rèn)證計(jì)費(fèi)。RADIUS協(xié)議規(guī)定了NAS與RADIUS服務(wù)器之間如何傳遞用戶信息和記賬信息，RAD工US服務(wù)器負(fù)責(zé)接收用戶的連接請求，完成驗(yàn)證，并把傳遞服務(wù)給用戶所需的配置信息返回給NAS。

用戶要求得到某些服務(wù)(如SLIP， PPP， telnet)，必須通過NAS，由NAS依據(jù)某種順序與所連服務(wù)器通信從而進(jìn)行驗(yàn)證。用戶通過撥號進(jìn)入NAS，然后NAS按配置好的驗(yàn)證方式(如PPP PAP， CHAP等)要求輸入用戶名，密碼等信息，用戶端出現(xiàn)提示，用戶按提示輸入。通過與NAS的連接，NAS得到這些信息。而后，NAS把這些信息傳遞給響應(yīng)驗(yàn)證或記賬的服務(wù)器，并根據(jù)服務(wù)器的響應(yīng)來決定用戶是否可以獲得他所要求的服務(wù)。AAA是鑒別，授權(quán)和記賬(Authentication， Authorization， Accounting)的簡稱，它是運(yùn)行于NAS上的客戶端程序，提供了一個用來對鑒別，授權(quán)和記賬這三種安全功能進(jìn)行配置的一致的框架。AAA的配置實(shí)際上是對網(wǎng)絡(luò)安全的一種管理，這里的網(wǎng)絡(luò)安全主要指訪問控制，包括哪些用戶可以訪問網(wǎng)絡(luò)服務(wù)器，具有訪問權(quán)的用戶可以得到哪些服務(wù)，如何對正在使用網(wǎng)絡(luò)資源的用戶進(jìn)行記賬。下面簡單介紹一下鑒別，授權(quán)，記賬的作用。

鑒別(Authentication)：鑒別用戶是否可以獲得訪問權(quán)，可以選擇使用RADIUS協(xié)議。

授權(quán)(Authorization)：授權(quán)用戶可以使用哪些服務(wù)。

記賬(Accounting) ：記錄用戶使用網(wǎng)絡(luò)資源的情況。

AAA的實(shí)現(xiàn)可采用RADIUS協(xié)議。RADIUS是Remote Authentication Dial工n User Service的簡稱，用來管理使用串口和調(diào)制解調(diào)器的大量分散用戶。網(wǎng)絡(luò)接入服務(wù)器NAS(Network Access Server)，當(dāng)用戶想要通過某個網(wǎng)絡(luò)(如電話網(wǎng))與NAS建立連接從而獲得訪問其他網(wǎng)絡(luò)的權(quán)利(或取得使用某些網(wǎng)絡(luò)資源的權(quán)利)時(shí)，NAS起到了過問用戶(或這個連接)的作用。NAS負(fù)責(zé)把用戶的鑒別，授權(quán)，記賬信息傳遞給RAD工US服務(wù)器。RAD工US協(xié)議規(guī)定了NAS與RAD工US服務(wù)器之間如何傳遞用戶信息和記賬信息，即兩者之間的通信規(guī)則。RAD工US服務(wù)器負(fù)責(zé)接收用戶的連接請求，完成鑒別，并把傳遞服務(wù)給用戶所需的配置信息返回給NAS。用戶獲得授權(quán)后，在其正常上線、在線和下線過程中，Radius服務(wù)器完成對用戶賬號計(jì)費(fèi)的功能。

RADIUS協(xié)議的認(rèn)證端口號為1812或1645，計(jì)費(fèi)端口號為1813或1646a一個網(wǎng)絡(luò)允許外部用戶通過公用網(wǎng)對其進(jìn)行訪問，從而用戶在地理上可以極為分散。大量分散用戶通過Modem等設(shè)備從不同的地方可以對這個網(wǎng)絡(luò)進(jìn)行隨機(jī)訪問。用戶可以把自己的信息傳遞給這個網(wǎng)絡(luò)，也可以從這個網(wǎng)絡(luò)得到自己想要的信息。由于存在內(nèi)外的雙向數(shù)據(jù)流動，網(wǎng)絡(luò)安全就成為很重要的問題了。大量的modem形成了Modem pools。對modem pool的管理就成為網(wǎng)絡(luò)接入服務(wù)器或路由器的任務(wù)。管理的內(nèi)容有：哪些用戶可以獲得訪問權(quán)，獲得訪問權(quán)的用戶可以允許使用哪些服務(wù)，如何對使用網(wǎng)絡(luò)資源的用戶進(jìn)行記費(fèi)。AAA很好地完成了這三項(xiàng)任務(wù)。

RADIUS通過建立一個唯一的用戶數(shù)據(jù)庫，存儲用戶名，用戶的密碼來進(jìn)行鑒別、存儲傳遞給用戶的服務(wù)類型以及相應(yīng)的配置信息來完成授權(quán)。RADIUS采用客戶/服務(wù)器(Client/Server)結(jié)構(gòu)：NAS上運(yùn)行的AAA程序?qū)τ脩魜碇v為服務(wù)器端，對RADIUS服務(wù)器來講是作為客戶端。RADIUS的客戶端通常運(yùn)行于接入服務(wù)器(NAS)上，RADIUS服務(wù)器通常運(yùn)行于一臺工作站上，一個RADIUS服務(wù)器可以同時(shí)支持多個RADIUS客戶(NAS )。RADIUS的服務(wù)器上存放著大量的信息，接入服務(wù)器(NAS)無須保存這些信息，而是通過RADUIS協(xié)議對這些信息進(jìn)行訪問。這些信息的集中統(tǒng)一的保存，使得管理更加方便，而且更加安全。RADIUS服務(wù)器可以作為一個代理，以客戶的身份同其他的RADIUS服務(wù)器或者其他類型的鑒別服務(wù)器進(jìn)行通信。例如用戶的漫游通常就是通過RADIUS代理實(shí)現(xiàn)的CHAP鑒別：當(dāng)用戶請求上網(wǎng)時(shí)，NAS產(chǎn)生一個16字節(jié)的隨機(jī)碼給用戶(同時(shí)還有一個ID號，本地路由器的host name)，用戶端得到這個包后使用自己獨(dú)有的設(shè)備或軟件對傳來的各域進(jìn)行加密，生成一個Secret Password傳給NAS}NAS把傳回來的CHAP ID和Secret Password分別作為用戶名和密碼，并把原來的16字節(jié)隨機(jī)碼傳給RADIUS服務(wù)器，RADIUS根據(jù)用戶名在服務(wù)器端查找數(shù)據(jù)庫，得到和用戶端進(jìn)行加密所用的一樣的密碼，然后根據(jù)傳來的16字節(jié)的隨機(jī)碼進(jìn)行加密，將結(jié)果與傳來的Password作比較，如果相同表明驗(yàn)證通過，如果不相同表明驗(yàn)證失敗。如果驗(yàn)證成功，RADIUS服務(wù)器還可以生成一個16字節(jié)的隨機(jī)碼對用戶進(jìn)行挑戰(zhàn)詢問。

RADIUS采用UDPoNAS和RAD工US服務(wù)器之間傳遞的是一般幾十上百個字節(jié)長度的數(shù)據(jù)，并且RADIUS要求特別的定時(shí)器管理機(jī)制。用戶可以容忍幾十秒的驗(yàn)證等待時(shí)間。當(dāng)處理大量用戶時(shí)服務(wù)器端采用多線程，UDP簡化了服務(wù)器端的實(shí)現(xiàn)過程。TCP是必須成功建立連接后才能進(jìn)行數(shù)據(jù)傳輸?shù)模@種方式在有大量用戶使用的情況下實(shí)時(shí)性不好。RADIUS要有重傳機(jī)制和備用服務(wù)器機(jī)制，它所采用的定時(shí)，TCP不能很好的滿足。

RADIUS協(xié)議具有很好的擴(kuò)展性。RADIUS包是由包頭和一定數(shù)目的屬性(Attribute)構(gòu)成的。新屬性的增加不會影響到現(xiàn)有協(xié)議的實(shí)現(xiàn)。通常的NAS廠家在生產(chǎn)NAS時(shí)，還同時(shí)開發(fā)與之配套的RAD工US服務(wù)器。為了提供一些功能，常常要定義一些非標(biāo)準(zhǔn)的(RFC上沒有定義過的)屬性。