RADIUS
簡介
RADIUS:Remote Authentication Dial In User Service,遠程用戶撥號認證系統由RFC2865,RFC2866定義,是目前應用最廣泛的AAA協議。
RADIUS:Remote Authentication Dial In User Service,遠程用戶撥號認證系統由RFC2865,RFC2866定義,是目前應用最廣泛的AAA協議。
RADIUS是一種C/S結構的協議,它的客戶端最初就是NAS(Net Access Server)服務器,現在任何運行RADIUS客戶端軟件的計算機都可以成爲RADIUS的客戶端。RADIUS協議認證機制靈活,可以採用PAP、 CHAP或者Unix登錄認證等多種方式。RADIUS是一種可擴展的協議,它進行的全部工作都是基於Attribute-Length-Value的向量進行的。RADIUS也支持廠商擴充廠家專有屬性。
由於RADIUS協議簡單明確,可擴充,因此得到了廣泛應用,包括普通電話上網、ADSL上網、小區寬帶上網、IP電話、VPDN(Virtual Private Dialup Networks,基於撥號用戶的虛擬專用撥號網業務)、移動電話預付費等業務。最近IEEE提出了802.1x標準,這是一種基於端口的標準,用於對無線網絡的接入認證,在認證時也採用RADIUS協議。
歷史
RADIUS協議最初是由Livingston公司提出的,原先的目的是爲撥號用戶進行認證和計費。後來經過多次改進,形成了一項通用的認證計費協議。
創立於1966年Merit Network, Inc.是密執安大學的一家非營利公司,其業務是運行維護該校的網絡互聯MichNet。1987年,Merit在美國NSF(國家科學基金會)的招標中勝出,贏得了NSFnet(即Internet前身)的運營合同。因爲NSFnet是基於IP的網絡,而MichNet卻基於專有網絡協議,Merit面對着如何將MichNet的專有網絡協議演變爲IP協議,同時也要把MichNet上的大量撥號業務以及其相關專有協議移植到IP網絡上來。
1991年,Merit決定招標撥號服務器供應商,幾個月後,一家叫Livingston的公司提出了建議,冠名爲RADIUS,併爲此獲得了合同。
1992年秋天,IETF的NASREQ工作組成立,隨之提交了RADIUS作爲草案。很快,RADIUS成爲事實上的網絡接入標準,幾乎所有的網絡接入服務器廠商均實現了該協議。
1997年,RADIUS RFC2039發表,隨後是RFC2138,最新的RADIUS RFC2865發表於2000年6月。
基本工作原理
用戶接入NAS,NAS向RADIUS服務器使用Access-Require數據包提交用戶信息,包括用戶名、密碼等相關信息,其中用戶密碼是經過MD5加密的,雙方使用共享密鑰,這個密鑰不經過網絡傳播;RADIUS服務器對用戶名和密碼的合法性進行檢驗,必要時可以提出一個Challenge,要求進一步對用戶認證,也可以對NAS進行類似的認證;如果合法,給NAS返回Access-Accept數據包,允許用戶進行下一步工作,否則返回Access-Reject數據包,拒絕用戶訪問;如果允許訪問,NAS向RADIUS服務器提出計費請求Account- Require,RADIUS服務器響應Account-Accept,對用戶的計費開始,同時用戶可以進行自己的相關操作。
RADIUS還支持代理和漫遊功能。簡單地說,代理就是一臺服務器,可以作爲其他RADIUS服務器的代理,負責轉發RADIUS認證和計費數據包。所謂漫遊功能,就是代理的一個具體實現,這樣可以讓用戶通過本來和其無關的RADIUS服務器進行認證,用戶到非歸屬運營商所在地也可以得到服務,也可以實現虛擬運營。
RADIUS服務器和NAS服務器通過UDP協議進行通信,RADIUS服務器的1812端口負責認證,1813端口負責計費工作。採用UDP的基本考慮是因爲NAS和RADIUS服務器大多在同一個局域網中,使用UDP更加快捷方便。
RADIUS協議還規定了重傳機制。如果NAS向某個RADIUS服務器提交請求沒有收到返回信息,那麼可以要求備份RADIUS服務器重傳。由於有多個備份RADIUS服務器,因此NAS進行重傳的時候,可以採用輪詢的方法。如果備份RADIUS服務器的密鑰和以前RADIUS服務器的密鑰不同,則需要重新進行認證。
協議結構
-------------------------------------------------
1byte | 1byte | 2bytes
-------------------------------------------------
Code | Identifier | Length
-------------------------------------------------
Authenticator (16 bytes)
------------------------------------------------
Attributes ...
-------------------------------------------------
Code ― 信息類型如下所述:
1、請求訪問(Access-Request);
2、接收訪問(Access-Accept);
3、拒絕訪問(Access-Reject);
4、計費請求(Accounting-Request);
5、計費響應(Accounting-Response);
11、挑戰訪問(Access-Challenge);
12、服務器狀況(Status-Server — Experimental);
13、客戶機狀況(Status-Client — Experimental);
255、預留(Reserved)
Identifier ― 匹配請求和響應的標識符。
Length ― 信息大小,包括頭部。
Authenticator ― 該字段用來識別 RADIUS 服務器和隱藏口令算法中的答覆。
基本消息交互流程
radius 服務器對用戶的認證過程通常需要利用nas 等設備的代理認證功能,radius 客戶端和radius 服務器之間通過共享密鑰認證相互間交互的消息,用戶密碼採用密文方式在網絡上傳輸,增強了安全性。radius 協議合併了認證和授權過程,即響應報文中攜帶了授權信息。
基本交互步驟如下:
(1) 用戶輸入用戶名和口令;
(2) radius 客戶端根據獲取的用戶名和口令,向radius 服務器發送認證請求包(access-request)。
(3) radius 服務器將該用戶信息與users 數據庫信息進行對比分析,如果認證成功,則將用戶的權限信息以認證響應包(access-accept)發送給radius 客戶端;如果認證失敗,則返回access-reject 響應包。
(4) radius 客戶端根據接收到的認證結果接入/拒絕用戶。如果可以接入用戶,則radius 客戶端向radius 服務器發送計費開始請求包(accounting-request),status-type 取值爲start;
(5) radius 服務器返回計費開始響應包(accounting-response);
(6) radius 客戶端向radius 服務器發送計費停止請求包(accounting-request),status-type 取值爲stop;
(7) radius 服務器返回計費結束響應包(accounting-response)。
由於RADIUS協議簡單明確,可擴充,因此得到了廣泛應用,包括普通電話上網、ADSL上網、小區寬帶上網、IP電話、VPDN(Virtual Private Dialup Networks,基於撥號用戶的虛擬專用撥號網業務)、移動電話預付費等業務。最近IEEE提出了802.1x標準,這是一種基於端口的標準,用於對無線網絡的接入認證,在認證時也採用RADIUS協議。
歷史
RADIUS協議最初是由Livingston公司提出的,原先的目的是爲撥號用戶進行認證和計費。後來經過多次改進,形成了一項通用的認證計費協議。
創立於1966年Merit Network, Inc.是密執安大學的一家非營利公司,其業務是運行維護該校的網絡互聯MichNet。1987年,Merit在美國NSF(國家科學基金會)的招標中勝出,贏得了NSFnet(即Internet前身)的運營合同。因爲NSFnet是基於IP的網絡,而MichNet卻基於專有網絡協議,Merit面對着如何將MichNet的專有網絡協議演變爲IP協議,同時也要把MichNet上的大量撥號業務以及其相關專有協議移植到IP網絡上來。
1991年,Merit決定招標撥號服務器供應商,幾個月後,一家叫Livingston的公司提出了建議,冠名爲RADIUS,併爲此獲得了合同。
1992年秋天,IETF的NASREQ工作組成立,隨之提交了RADIUS作爲草案。很快,RADIUS成爲事實上的網絡接入標準,幾乎所有的網絡接入服務器廠商均實現了該協議。
1997年,RADIUS RFC2039發表,隨後是RFC2138,最新的RADIUS RFC2865發表於2000年6月。
基本工作原理
用戶接入NAS,NAS向RADIUS服務器使用Access-Require數據包提交用戶信息,包括用戶名、密碼等相關信息,其中用戶密碼是經過MD5加密的,雙方使用共享密鑰,這個密鑰不經過網絡傳播;RADIUS服務器對用戶名和密碼的合法性進行檢驗,必要時可以提出一個Challenge,要求進一步對用戶認證,也可以對NAS進行類似的認證;如果合法,給NAS返回Access-Accept數據包,允許用戶進行下一步工作,否則返回Access-Reject數據包,拒絕用戶訪問;如果允許訪問,NAS向RADIUS服務器提出計費請求Account- Require,RADIUS服務器響應Account-Accept,對用戶的計費開始,同時用戶可以進行自己的相關操作。
RADIUS還支持代理和漫遊功能。簡單地說,代理就是一臺服務器,可以作爲其他RADIUS服務器的代理,負責轉發RADIUS認證和計費數據包。所謂漫遊功能,就是代理的一個具體實現,這樣可以讓用戶通過本來和其無關的RADIUS服務器進行認證,用戶到非歸屬運營商所在地也可以得到服務,也可以實現虛擬運營。
RADIUS服務器和NAS服務器通過UDP協議進行通信,RADIUS服務器的1812端口負責認證,1813端口負責計費工作。採用UDP的基本考慮是因爲NAS和RADIUS服務器大多在同一個局域網中,使用UDP更加快捷方便。
RADIUS協議還規定了重傳機制。如果NAS向某個RADIUS服務器提交請求沒有收到返回信息,那麼可以要求備份RADIUS服務器重傳。由於有多個備份RADIUS服務器,因此NAS進行重傳的時候,可以採用輪詢的方法。如果備份RADIUS服務器的密鑰和以前RADIUS服務器的密鑰不同,則需要重新進行認證。
協議結構
-------------------------------------------------
1byte | 1byte | 2bytes
-------------------------------------------------
Code | Identifier | Length
-------------------------------------------------
Authenticator (16 bytes)
------------------------------------------------
Attributes ...
-------------------------------------------------
Code ― 信息類型如下所述:
1、請求訪問(Access-Request);
2、接收訪問(Access-Accept);
3、拒絕訪問(Access-Reject);
4、計費請求(Accounting-Request);
5、計費響應(Accounting-Response);
11、挑戰訪問(Access-Challenge);
12、服務器狀況(Status-Server — Experimental);
13、客戶機狀況(Status-Client — Experimental);
255、預留(Reserved)
Identifier ― 匹配請求和響應的標識符。
Length ― 信息大小,包括頭部。
Authenticator ― 該字段用來識別 RADIUS 服務器和隱藏口令算法中的答覆。
基本消息交互流程
radius 服務器對用戶的認證過程通常需要利用nas 等設備的代理認證功能,radius 客戶端和radius 服務器之間通過共享密鑰認證相互間交互的消息,用戶密碼採用密文方式在網絡上傳輸,增強了安全性。radius 協議合併了認證和授權過程,即響應報文中攜帶了授權信息。
基本交互步驟如下:
(1) 用戶輸入用戶名和口令;
(2) radius 客戶端根據獲取的用戶名和口令,向radius 服務器發送認證請求包(access-request)。
(3) radius 服務器將該用戶信息與users 數據庫信息進行對比分析,如果認證成功,則將用戶的權限信息以認證響應包(access-accept)發送給radius 客戶端;如果認證失敗,則返回access-reject 響應包。
(4) radius 客戶端根據接收到的認證結果接入/拒絕用戶。如果可以接入用戶,則radius 客戶端向radius 服務器發送計費開始請求包(accounting-request),status-type 取值爲start;
(5) radius 服務器返回計費開始響應包(accounting-response);
(6) radius 客戶端向radius 服務器發送計費停止請求包(accounting-request),status-type 取值爲stop;
(7) radius 服務器返回計費結束響應包(accounting-response)。
