1. AAA和Radius概述
AAA是认证、授权和会计的简称。 这是一个在NAS上运行的客户端程序,为配置身份验证、授权和计费三种安全功能提供了一致的框架。 AAA的配置实际上是对网络安全的管理,这里的网络安全主要是访问控制,包括哪些用户可以访问网络服务器,哪些用户有权访问网络服务器,以及哪些服务简要介绍验证、授权和记账的作用。
验证:用户是否可以选择使用RADIUS协议
“授权”:授权用户可用的服务
记录计费:用户使用网络资源的情况
可采用RADIUS协议实现AAA的RADIUS是remoteauthenticationdialinuserservice的简称,旨在管理大量使用串行端口和调制解调器的分布式用户。 现在不仅仅是这些APP应用程序
2.radius APP应用程序介绍
RADIUS业务复合的典型客户端/服务器模型。 在路由器或NAS上运行的AAA程序对用户来说是服务器端,对RADIUS服务器来说是客户端。 RADIUS通过创建唯一的用户数据库来验证用户名用户的密码,并存储传递给用户的服务类型和相应的配置信息,以便完成授权。 当用户连接到internet时,路由器决定用户采用什么样的身份验证方法。 以下是两种用户和路由器之间(本地验证)的验证方法CHAP和PAP。
密码认证协议(pap ) :用户以明文形式将用户名和密码传递给路由器,NAS根据用户名在NAS端搜索本地数据库,并使用相同的用户名和密码
chapchallengehandshakeauthenticationprotocol :当用户请求连接到internet时,路由器会为用户生成16字节的随机代码,用户在获得此包后可以选择自己专用的NAS根据用户名在NAS端搜索本地数据库,然后根据原始16字节的随机代码进行加密,并将结果与Response进行比较,如果相同,则表示验证通过,否则表示验证失败。
如果用户配置的是RADIUS身份验证而不是上述本地身份验证,则进程略有不同。 *端口的PAP认证
用户以明文形式将用户名和密码传递给路由器,路由器将用户名和加密密码放入认证请求包的相应属性中传递给RADIUS服务器,然后根据RADIUS服务器的响应结果允许用户连接互联网吗
*端口上的CHAP验证
当用户请求连接到互联网时,路由器将向用户生成16字节的随机代码,用户在得到此包后,用自己的设备或软件对每个传入的域进行加密,并生成响应以生成NAS NAS将发送来的CHAP ID和Response分别作为用户名和密码,并将原始的16字节随机代码发送到RADIUS服务器。 RADIU根据用户名在NAS端查找数据库,得到与用户端用于加密的相同密码,根据发送来的16字节随机码进行加密,与发送来的Password相比,相同的证明无法通过
3.Radius协议概述
RADIUS协议的认证端口1812计费端口1813。
由于TCP是一种必须建立连接才能传输数据的方法,因此在大量用户使用时,RADIUS需要重传机制和备用服务器机制,因为RADIUS的实时性较差,而且RADIUS位于UDP中。
RADIUS是一个C/S结构协议,其客户端最初是网络接入服务器(nas )服务器。 当前运行RADIUS客户端软件的所有计算机都将成为RADIUS客户端。 RADIUS协议认证机制灵活,可以采用PAP、CHAP或Unix登录认证等各种方式。 RADIUS是一个可扩展协议,所有任务都基于属性长度值向量完成。 RADIUS还支持制造商扩展制造商自己的属性。
RADIUS的基本工作原理。 用户访问NAS,NAS使用访问请求包向RADIUS服务器提交相关信息,如用户信息、用户名和密码。 在此,用户密码用MD5来加密,双方使用共享密钥,该密钥不通过网络传播。 RADIUS服务验证用户名和密码的有效性,并在必要时提交Challenge,以向NAS返回访问-访问数据包(如果可以进一步请求用户认证或对NAS执行类似认证的合法) 否则,返回访问- reject包并拒绝用户访问。 如果允许访问,NAS向RADIUS服务器发出计费请求Account- Require,RADIUS服务器响应Account-Accept,开始对用户计费,同时用户可以执行自己的相关操作
RADIUS还支持代理和漫游功能。 简而言之,代理是作为其他RADIUS服务的代理,负责RADIUS认证和计费数据包传输的服务。 漫游功能是代理的一个工具
体实现,这样可以让用户通过本来和其无关的RADIUS服务器进行认证,用户到非归属运营商所在地也可以得到服务,也可以实现虚拟运营。RADIUS服务器和NAS服务器通过UDP协议进行通信,RADIUS服务器的1812端口负责认证,1813端口负责计费工作。采用UDP的基本考虑是因为NAS和RADIUS服务器大多在同一个局域网中,使用UDP更加快捷方便。
RADIUS协议还规定了重传机制。如果NAS向某个RADIUS服务器提交请求没有收到返回信息,那么可以要求备份RADIUS服务器重传。由于有多个备份RADIUS服务器,因此NAS进行重传的时候,可以采用轮询的方法。如果备份RADIUS服务器的密钥和以前RADIUS服务器的密钥不同,则需要重新进行认证。
由于RADIUS协议简单明确,可扩充,因此得到了广泛应用,包括普通电话上网、ADSL上网、小区宽带上网、IP电话、 VPDN(Virtual Private Dialup Networks,基于拨号用户的虚拟专用拨号网业务)、移动电话预付费等业务。最近IEEE提出了802.1x标准,这是一种基于端口的标准,用于对无线网络的接入认证,在认证时也采用RADIUS协议。
★协议结构
-------------------------------------------------
8 bit| 16 bit | 32 bit
-------------------------------------------------
Code | Identifier | Length
-------------------------------------------------
Authenticator (16 bytes)
-----------------------------------------------
Code ― 信息类型如下所述:
1、请求访问(Access-Request);
2、接收访问(Access-Accept);
3、拒绝访问(Access-Reject);
4、计费请求(Accounting-Request);
5、计费响应(Accounting-Response);
11、挑战访问(Access-Challenge);
12、服务器状况(Status-Server — Experimental);
13、客户机状况(Status-Client — Experimental);
255、预留(Reserved)
Identifier ― 匹配请求和响应的标识符。
Length ― 信息大小,包括头部。
Authenticator ― 该字段用来识别 RADIUS 服务器和隐藏口令算法中的答复。
2. radius 的基本消息交互流程
radius 服务器对用户的认证过程通常需要利用nas 等设备的代理认证功能,radius 客户端和radius 服务器之间通过共享密钥认证相互间交互的消息,用户密码采用密文方式在网络上传输,增强了安全性。radius 协议合并了认证和授权过程,即响应报文中携带了授权信息。
基本交互步骤如下:
(1) 用户输入用户名和口令;
(2) radius 客户端根据获取的用户名和口令,向radius 服务器发送认证请求包(access-request)。
(3) radius 服务器将该用户信息与users 数据库信息进行对比分析,如果认证成功,则将用户的权限信息以认证响应包(access-accept)发送给radius 客户端;如果认证失败,则返回access-reject 响应包。
(4) radius 客户端根据接收到的认证结果接入/拒绝用户。如果可以接入用户,则radius 客户端向radius 服务器发送计费开始请求包
(accounting-request),status-type 取值为start;
(5) radius 服务器返回计费开始响应包(accounting-response);
(6) radius 客户端向radius 服务器发送计费停止请求包(accounting-request),status-type 取值为stop;
(7) radius 服务器返回计费结束响应包(accounting-response)。