RADIUS概述

AAA可以通过多种协议来实现，在实际应用中，最常使用RADIUS协议。

远程身份验证拨号用户服务RADIUS（Remote Authentication Dial-In User Service）是一种分布式的、客户端/服务器结构的信息交互协议，能保护网络不受未授权访问的干扰，常应用在既要求较高安全性、又允许远程用户访问的各种网络环境中。该协议定义了基于UDP（User Datagram Protocol）的RADIUS报文格式及其传输机制，并规定UDP端口1812、1813分别作为默认的认证、计费端口。

RADIUS最初仅是针对拨号用户的AAA协议，后来随着用户接入方式的多样化发展，RADIUS也适应多种用户接入方式，如以太网接入等。它通过认证授权来提供接入服务，通过计费来收集、记录用户对网络资源的使用。

RADIUS协议的主要特征如下：

• 客户端/服务器结构

• 安全的消息交互机制

• 良好的扩展性

  

  • RADIUS协议只支持使用MD5算法计算验证字，会存在安全风险。

  • 为了避免设备和RADIUS服务器之间的安全传输风险，建议设备和服务器之间的通信网络部署在一个安全域中。

客户端/服务器结构

RADIUS客户端

一般位于NAS设备上，可以遍布整个网络，负责传输用户信息到指定的RADIUS服务器，然后根据从服务器返回的信息进行相应处理（如接受/拒绝用户接入）。

设备作为RADIUS协议的客户端，实现以下功能：

• 支持标准RADIUS协议及扩充属性，包括RFC2865、RFC2866。

• 支持华为RADIUS扩展属性。

• 对RADIUS服务器状态探测功能。

• 计费结束请求报文的本地缓存重传功能。

• RADIUS服务器主备或负载分担功能。

RADIUS服务器

一般运行在中心计算机或工作站上，维护相关的用户认证和网络服务访问信息，负责接收用户连接请求并认证用户，然后给客户端返回所有需要的信息（如接受/拒绝认证请求）。RADIUS服务器通常要维护三个数据库，如图2-6所示。

图2-6 RADIUS服务器的组成

• Users：用于存储用户信息（如用户名、密码以及使用的协议、IP地址等配置信息）。

• Clients：用于存储RADIUS客户端的信息（如共享密钥、IP地址等）。

• Dictionary：用于存储RADIUS协议中的属性和属性值含义的信息。

安全的消息交互机制

RADIUS客户端和RADIUS服务器之间认证消息的交互是通过共享密钥的参与来完成的。共享密钥是一个带外传输的、客户端和服务器都知道的字符串，不需要单独进行网络传输。RADIUS报文中有一个16字节的验证字字段，它包含了对整个报文的数字签名数据，该签名数据是在共享密钥的参与下利用MD5算法计算得出。收到RADIUS报文的一方要验证该签名的正确性，如果报文的签名不正确，则丢弃它。通过这种机制，保证了RADIUS客户端和RADIUS服务器之间信息交互的安全性。另外，为防止用户密码在不安全的网络上传递时被窃取，在RADIUS报文传输过程中还利用共享密钥对用户密码进行了加密。

良好的扩展性

RADIUS报文是由报文头和一定数目的属性（Attribute）构成，新属性的加入不会破坏协议的原有实现