转载来源: http://blog.donews.com/zy Qin/archive/2008/09/01/1341486.aspx
RADIUS是远程身份验证服务的缩写,是许多互联网服务提供商(ISP )采用的一套身份验证和计费系统。
hldmb拨入ISP时,必须输入用户名和密码。 这些信息将发送到RADIUS服务器,通过检查后将被允许访问ISP系统。
虽然不是官方标准,但RADIUS由IETF工作组维护。
参考文档:
雷迪斯
开放分类:协议、RFC、UDP
radius :远程用户拨号认证系统
由RFC2865、RFC2866定义,是目前使用最广泛的AAA协议。
RADIUS协议最初由Livingston公司提出,其初衷是对拨号用户进行认证和计费。 此后,多次改进,形成了通用的认证计费协议。
Merit Network,Inc .成立于1966年,是密歇根大学的一家非营利性公司,业务是运营保持该校的互联网互联MichNet。 1987年,Merit赢得了美国国家科学基金会(NSF )的招标,获得了NSFnet (即互联网前身)的运营合同。 NSFnet是一个基于IP的网络,MichNet基于自己的网络协议,因此Merit面临着如何将MichNet自己的网络协议发展为IP协议,从而在MichNet上实现大量的拨号
1991年,Merit决定招标拨号服务器供应商。 几个月后,一家叫Livingston的公司提出了一个名字叫RADIUS的提案,并获得了合同。
1992年秋天,IETF的NASREQ工作组成立,RADIUS作为草案提出。 很快,RADIUS成为了事实上的网络访问标准,大多数网络访问服务器供应商都实现了这一协议。
1997年,RADIUS RFC2039发布,随后RFC2138发布,最新的RADIUS RFC2865于2000年6月发布。
RADIUS是一个C/S结构协议,其客户端最初是网络访问服务器(nas )服务器。 当前运行RADIUS客户端软件的所有计算机都将成为RADIUS客户端。 RADIUS协议认证机制灵活,可以采用PAP、CHAP或Unix登录认证等各种方式。 RADIUS是一个可扩展协议,所有任务都基于属性长度值向量完成。 RADIUS还支持制造商扩展制造商自己的属性。
RADIUS的基本工作原理。 用户访问NAS,NAS使用访问请求包向RADIUS服务器提交相关信息,如用户信息、用户名和密码。 在此,用户密码用MD5来加密,双方使用共享密钥,该密钥不通过网络传播。 如果RADIUS服务可以验证用户名和密码的有效性,并在必要时提交Challenge以进一步请求用户验证,或向NAS进行类似验证,则RADIUS服务会向NAS返回访问接受包否则,返回访问- reject包并拒绝用户访问。 如果允许访问,NAS向RADIUS服务器发出计费请求Account- Require,RADIUS服务器响应Account-Accept,开始对用户计费,同时用户可以执行自己的相关操作
RADIUS还支持代理和漫游功能。 简而言之,代理是作为其他RADIUS服务的代理,负责RADIUS认证和计费数据包传输的服务。 漫游功能是代理的一个具体实现,允许用户在与它无关的RADIUS服务器上进行认证,用户即使到非归属运营商的所在地也可以接受服务,实现虚拟的运营。
RADIUS服务器和NAS服务器通过UDP协议通信,RADIUS服务器的1812端口负责认证,1813端口负责计费。 采用UDP的基本考虑因素是,NAS和RADIUS服务大多位于同一局域网上,使用UDP更快、更方便。
RADIUS协议还规定了重发机制。 如果NAS向RADIUS服务发送请求但未收到回复信息,则可以请求重新发送备份RADIUS服务。 由于有多个备份RADIUS服务,因此在NAS进行重发时可以采用轮询方法。 如果备份RADIUS服务的密钥与以前的RADIUS服务的密钥不同,则必须重新进行认证。
由于RADIUS协议简单、明确且可扩展,因此通用电话互联网、ADSL互联网、小区宽带互联网、IP电话、虚拟专用数字用户网络(VPDN )、拨号最近IEEE提出了802.1x标准。 这是用于访问无线网络认证的基于端口的标准,认证时也采用了RADIUS协议。
协议结构
------------- -请参阅
8 bit| 16 bit | 32 bit
-------------------------------------------------
Code | Identifier | Length
-------------------------------------------------
Authenticator (16 bytes)
-----------------------------------------------
Code ― 信息类型如下所述:
1、请求访问(Access-Request);
2、接收访问(Access-Accept);
3、拒绝访问(Access-Reject);
4、计费请求(Accounting-Request);
5、计费响应(Accounting-Response);
11、挑战访问(Access-Challenge);
12、服务器状况(Status-Server — Experimental);
13、客户机状况(Status-Client — Experimental);
255、预留(Reserved)
Identifier ― 匹配请求和响应的标识符。
Length ― 信息大小,包括头部。
Authenticator ― 该字段用来识别 RADIUS 服务器和隐藏口令算法中的答复。
2. radius 的基本消息交互流程
radius 服务器对用户的认证过程通常需要利用nas 等设备的代理认证功能,radius 客户端和radius 服务器之间通过共享密钥认证相互间交互的消息,用户密码采用密文方式在网络上传输,增强了安全性。radius 协议合并了认证和授权过程,即响应报文中携带了授权信息。
基本交互步骤如下:
(1) 用户输入用户名和口令;
(2) radius 客户端根据获取的用户名和口令,向radius 服务器发送认证请求包(access-request)。
(3) radius 服务器将该用户信息与users 数据库信息进行对比分析,如果认证成功,则将用户的权限信息以认证响应包(access-accept)发送给radius 客户端;如果认证失败,则返回access-reject 响应包。
(4) radius 客户端根据接收到的认证结果接入/拒绝用户。如果可以接入用户,则radius 客户端向radius 服务器发送计费开始请求包
(accounting-request),status-type 取值为start;
(5) radius 服务器返回计费开始响应包(accounting-response);
(6) radius 客户端向radius 服务器发送计费停止请求包(accounting-request),status-type 取值为stop;
(7) radius 服务器返回计费结束响应包(accounting-response)。
转载于:https://blog.51cto.com/yanwang/394090