radius

詞語解釋 | 本詞語解釋貢獻(xiàn)者:wx_10274510

“Radius”（Remote Authentication Dial In User Service）是一種客戶端/服務(wù)器架構(gòu)的網(wǎng)絡(luò)認(rèn)證協(xié)議，它用于在網(wǎng)絡(luò)上進(jìn)行認(rèn)證、授權(quán)和計(jì)費(fèi)管理。Radius可以為用戶提供安全訪問，并且可以在客戶端和服務(wù)器之間實(shí)現(xiàn)雙向認(rèn)證。 Radius是一種網(wǎng)絡(luò)認(rèn)證協(xié)議，它可以為客戶端提供安全訪問，并且可以在客戶端和服務(wù)器之間實(shí)現(xiàn)雙向認(rèn)證。Radius的主要功能是提供認(rèn)證、授權(quán)和計(jì)費(fèi)管理。它可以讓網(wǎng)絡(luò)管理員控制網(wǎng)絡(luò)訪問，防止未經(jīng)授權(quán)的用戶訪問網(wǎng)絡(luò)，以及控制用戶的網(wǎng)絡(luò)使用。 Radius的應(yīng)用非常廣泛，它可以用于支持網(wǎng)絡(luò)接入、虛擬專用網(wǎng)（VPN）、無線網(wǎng)絡(luò)接入、網(wǎng)絡(luò)認(rèn)證和計(jì)費(fèi)等。它可以用于支持以太網(wǎng)、無線局域網(wǎng)（WLAN）、虛擬專用網(wǎng)（VPN）、計(jì)費(fèi)系統(tǒng)等。 Radius的另一個(gè)重要功能是提供安全性。它可以使用加密算法，如MD5和SHA-1，來保護(hù)傳輸?shù)臄?shù)據(jù)。它還可以使用TLS（傳輸層安全）協(xié)議來保護(hù)傳輸?shù)臄?shù)據(jù)，以防止未經(jīng)授權(quán)的訪問。 Radius還可以支持多種認(rèn)證機(jī)制，如基于用戶名/密碼的認(rèn)證、基于證書的認(rèn)證、基于多因素認(rèn)證等。這些認(rèn)證機(jī)制可以有效地保護(hù)網(wǎng)絡(luò)安全，防止未經(jīng)授權(quán)的訪問。總之，Radius是一種客戶端/服務(wù)器架構(gòu)的網(wǎng)絡(luò)認(rèn)證協(xié)議，它可以為用戶提供安全訪問，并且可以在客戶端和服務(wù)器之間實(shí)現(xiàn)雙向認(rèn)證。它可以用于支持網(wǎng)絡(luò)接入、虛擬專用網(wǎng)（VPN）、無線網(wǎng)絡(luò)接入、網(wǎng)絡(luò)認(rèn)證和計(jì)費(fèi)等，并且可以提供安全性和多種認(rèn)證機(jī)制，以防止未經(jīng)授權(quán)的訪問。

   RADIUS:Remote Authentication Dial In User Service，遠(yuǎn)程用戶撥號(hào)認(rèn)證系統(tǒng)
由RFC2865，RFC2866定義，是目前應(yīng)用最廣泛的AAA協(xié)議。

RADIUS協(xié)議最初是由Livingston公司提出的，原先的目的是為撥號(hào)用戶進(jìn)行認(rèn)證和計(jì)費(fèi)。后來經(jīng)過多次改進(jìn)，形成了一項(xiàng)通用的認(rèn)證計(jì)費(fèi)協(xié)議。

創(chuàng)立于1966年Merit Network, Inc.是密執(zhí)安大學(xué)的一家非營(yíng)利公司，其業(yè)務(wù)是運(yùn)行維護(hù)該校的網(wǎng)絡(luò)互聯(lián)MichNet。1987年，Merit在美國(guó)NSF（國(guó)家科學(xué)基金會(huì)）的招標(biāo)中勝出，贏得了NSFnet（即Internet前身）的運(yùn)營(yíng)合同。因?yàn)镹SFnet是基于IP的網(wǎng)絡(luò)，而MichNet卻基于專有網(wǎng)絡(luò)協(xié)議，Merit面對(duì)著如何將MichNet的專有網(wǎng)絡(luò)協(xié)議演變?yōu)镮P協(xié)議，同時(shí)也要把MichNet上的大量撥號(hào)業(yè)務(wù)以及其相關(guān)專有協(xié)議移植到IP網(wǎng)絡(luò)上來。

1991年，Merit決定招標(biāo)撥號(hào)服務(wù)器供應(yīng)商，幾個(gè)月后，一家叫Livingston的公司提出了建議，冠名為RADIUS，并為此獲得了合同。

1992年秋天，IETF的NASREQ工作組成立,隨之提交了RADIUS作為草案。很快，RADIUS成為事實(shí)上的網(wǎng)絡(luò)接入標(biāo)準(zhǔn)，幾乎所有的網(wǎng)絡(luò)接入服務(wù)器廠商均實(shí)現(xiàn)了該協(xié)議。

1997年，RADIUS RFC2039發(fā)表，隨后是RFC2138，最新的RADIUS RFC2865發(fā)表于2000年6月。

RADIUS是一種C/S結(jié)構(gòu)的協(xié)議，它的客戶端最初就是NAS（Net Access Server）服務(wù)器，現(xiàn)在任何運(yùn)行RADIUS客戶端軟件的計(jì)算機(jī)都可以成為RADIUS的客戶端。RADIUS協(xié)議認(rèn)證機(jī)制靈活，可以采用PAP、 CHAP或者Unix登錄認(rèn)證等多種方式。RADIUS是一種可擴(kuò)展的協(xié)議，它進(jìn)行的全部工作都是基于Attribute-Length-Value的向量進(jìn)行的。RADIUS也支持廠商擴(kuò)充廠家專有屬性。

RADIUS的基本工作原理。用戶接入NAS，NAS向RADIUS服務(wù)器使用Access-Require數(shù)據(jù)包提交用戶信息，包括用戶名、密碼等相關(guān)信息，其中用戶密碼是經(jīng)過MD5加密的，雙方使用共享密鑰，這個(gè)密鑰不經(jīng)過網(wǎng)絡(luò)傳播；RADIUS服務(wù)器對(duì)用戶名和密碼的合法性進(jìn)行檢驗(yàn)，必要時(shí)可以提出一個(gè)Challenge，要求進(jìn)一步對(duì)用戶認(rèn)證，也可以對(duì)NAS進(jìn)行類似的認(rèn)證；如果合法，給NAS返回Access-Accept數(shù)據(jù)包，允許用戶進(jìn)行下一步工作，否則返回Access-Reject數(shù)據(jù)包，拒絕用戶訪問；如果允許訪問，NAS向RADIUS服務(wù)器提出計(jì)費(fèi)請(qǐng)求Account- Require，RADIUS服務(wù)器響應(yīng)Account-Accept，對(duì)用戶的計(jì)費(fèi)開始，同時(shí)用戶可以進(jìn)行自己的相關(guān)操作。

RADIUS還支持代理和漫游功能。簡(jiǎn)單地說，代理就是一臺(tái)服務(wù)器，可以作為其他RADIUS服務(wù)器的代理，負(fù)責(zé)轉(zhuǎn)發(fā)RADIUS認(rèn)證和計(jì)費(fèi)數(shù)據(jù)包。所謂漫游功能，就是代理的一個(gè)具體實(shí)現(xiàn)，這樣可以讓用戶通過本來和其無關(guān)的RADIUS服務(wù)器進(jìn)行認(rèn)證，用戶到非歸屬運(yùn)營(yíng)商所在地也可以得到服務(wù)，也可以實(shí)現(xiàn)虛擬運(yùn)營(yíng)。

RADIUS服務(wù)器和NAS服務(wù)器通過UDP協(xié)議進(jìn)行通信，RADIUS服務(wù)器的1812端口負(fù)責(zé)認(rèn)證，1813端口負(fù)責(zé)計(jì)費(fèi)工作。采用UDP的基本考慮是因?yàn)镹AS和RADIUS服務(wù)器大多在同一個(gè)局域網(wǎng)中，使用UDP更加快捷方便。

RADIUS協(xié)議還規(guī)定了重傳機(jī)制。如果NAS向某個(gè)RADIUS服務(wù)器提交請(qǐng)求沒有收到返回信息，那么可以要求備份RADIUS服務(wù)器重傳。由于有多個(gè)備份RADIUS服務(wù)器，因此NAS進(jìn)行重傳的時(shí)候，可以采用輪詢的方法。如果備份RADIUS服務(wù)器的密鑰和以前RADIUS服務(wù)器的密鑰不同，則需要重新進(jìn)行認(rèn)證。

由于RADIUS協(xié)議簡(jiǎn)單明確，可擴(kuò)充，因此得到了廣泛應(yīng)用，包括普通電話上網(wǎng)、ADSL上網(wǎng)、小區(qū)寬帶上網(wǎng)、IP電話、VPDN（Virtual Private Dialup Networks，基于撥號(hào)用戶的虛擬專用撥號(hào)網(wǎng)業(yè)務(wù)）、移動(dòng)電話預(yù)付費(fèi)等業(yè)務(wù)。最近IEEE提出了802.1x標(biāo)準(zhǔn)，這是一種基于端口的標(biāo)準(zhǔn)，用于對(duì)無線網(wǎng)絡(luò)的接入認(rèn)證，在認(rèn)證時(shí)也采用RADIUS協(xié)議。

★協(xié)議結(jié)構(gòu)
-------------------------------------------------
      8 bit|       16  bit |    32 bit
-------------------------------------------------
      Code |    Identifier  |       Length
-------------------------------------------------
            Authenticator （16 bytes）
-----------------------------------------------

Code ― 信息類型如下所述：
1、請(qǐng)求訪問（Access-Request）；
2、接收訪問（Access-Accept）；
3、拒絕訪問（Access-Reject）；
4、計(jì)費(fèi)請(qǐng)求（Accounting-Request）；
5、計(jì)費(fèi)響應(yīng)（Accounting-Response）；
11、挑戰(zhàn)訪問（Access-Challenge）；
12、服務(wù)器狀況（Status-Server — Experimental）；
13、客戶機(jī)狀況（Status-Client — Experimental）；
255、預(yù)留（Reserved）

Identifier ― 匹配請(qǐng)求和響應(yīng)的標(biāo)識(shí)符。

Length ― 信息大小，包括頭部。

Authenticator ― 該字段用來識(shí)別 RADIUS 服務(wù)器和隱藏口令算法中的答復(fù)。
2. radius 的基本消息交互流程
radius 服務(wù)器對(duì)用戶的認(rèn)證過程通常需要利用nas 等設(shè)備的代理認(rèn)證功能，radius 客戶端和radius 服務(wù)器之間通過共享密鑰認(rèn)證相互間交互的消息，用戶密碼采用密文方式在網(wǎng)絡(luò)上傳輸，增強(qiáng)了安全性。radius 協(xié)議合并了認(rèn)證和授權(quán)過程，即響應(yīng)報(bào)文中攜帶了授權(quán)信息。

基本交互步驟如下：
(1) 用戶輸入用戶名和口令；
(2) radius 客戶端根據(jù)獲取的用戶名和口令，向radius 服務(wù)器發(fā)送認(rèn)證請(qǐng)求包（access-request）。
(3) radius 服務(wù)器將該用戶信息與users 數(shù)據(jù)庫信息進(jìn)行對(duì)比分析，如果認(rèn)證成功，則將用戶的權(quán)限信息以認(rèn)證響應(yīng)包（access-accept）發(fā)送給radius 客戶端；如果認(rèn)證失敗，則返回access-reject 響應(yīng)包。
(4) radius 客戶端根據(jù)接收到的認(rèn)證結(jié)果接入/拒絕用戶。如果可以接入用戶，則radius 客戶端向radius 服務(wù)器發(fā)送計(jì)費(fèi)開始請(qǐng)求包
（accounting-request），status-type 取值為start；
(5) radius 服務(wù)器返回計(jì)費(fèi)開始響應(yīng)包（accounting-response）；
(6) radius 客戶端向radius 服務(wù)器發(fā)送計(jì)費(fèi)停止請(qǐng)求包（accounting-request），status-type 取值為stop；
(7) radius 服務(wù)器返回計(jì)費(fèi)結(jié)束響應(yīng)包（accounting-response）。



Remote Authentication Dial In User Service，撥號(hào)用戶遠(yuǎn)程認(rèn)證服務(wù)。一種鑒別和授權(quán)撥號(hào)用戶的安全服務(wù)，并且是一種集中式訪問的控制機(jī)制。作為一種分布式的客戶機(jī)/服務(wù)器系統(tǒng)，能提供 AAA 功能。

掃碼付費(fèi)即可復(fù)制

radius

radius

相關(guān)討論貼

相關(guān)技術(shù)問答

相關(guān)資料下載

隨機(jī)推薦詞語