远程身份认证数字用户服务(radius )协议最初由Livingston公司提出,其最初目的是对拨号用户进行认证和计费。 此后,多次改进,形成了通用的认证计费协议。 RADIUS认证使用基于“挑战/响应”(Challenge/Response )的认证方法。
RADIUS是一个C/S结构协议,其客户端最初是网络访问服务器(nas )服务器。 当前运行RADIUS客户端软件的所有计算机都将成为RADIUS客户端。 RADIUS协议认证机制灵活,可以采用PAP、CHAP或Unix登录认证等各种方式。 RADIUS是一个可扩展协议,所有任务都基于属性长度值向量完成。
RADIUS的基本工作原理是用户访问NAS,NAS使用访问请求包向RADIUS服务器提交用户名、密码等用户信息。 其中,用户密码用MD5加密,双方使用共享密钥。 此密钥不会通过网络传递。 RADIUS服务验证用户名和密码的有效性,并在必要时提交Challenge,以向NAS返回访问-访问数据包(如果可以进一步请求用户认证或对NAS执行类似认证的合法) 否则,返回访问- reject包并拒绝用户访问。 如果允许访问,NAS向RADIUS服务器发出计费请求Account-Require,RADIUS服务器响应Account-Accept,开始对用户计费,同时用户可以执行自己的相关操作
RADIUS服务器和NAS服务器通过UDP协议通信,RADIUS服务器的1812端口负责认证,1813端口负责计费。 采用UDP的基本考虑因素是,NAS和RADIUS服务大多位于同一局域网上,使用UDP更快、更方便。
RADIUS协议还规定了重发机制。 如果NAS向RADIUS服务发送请求但未收到回复信息,则可以请求重新发送备份RADIUS服务。 由于有多个备份RADIUS服务,因此在NAS进行重发时可以采用轮询方法。 如果备份RADIUS服务的密钥与以前的RADIUS服务的密钥不同,则必须重新进行认证。
RADIUS协议广泛应用于一般电话、互联网服务费用等,通过支持VPN,每个拨打服务器的用户都可以拥有不同的权限。
越来越多的软件开始内置RADIUS协议,以方便地与各种业务系统(如ERP、OA和VPN )对接。 随着对这些软件安全要求的提高,一些硬件和软件现在通过双因素身份验证。 静态密码以动态密码(动态令牌/SMS密码)的形式支持RADIUS协议的ERP、OA和VPN不需要在客户端进行
[ img ] 3358 www.nd key.com.cn/images/dkey _ sign.gif [/img ]