Radius工作原理與Radius認(rèn)證服務(wù).doc

Radius工作原理與Radius認(rèn)證服務(wù)Radius工作原理 RADIUS原先的目的是為撥號(hào)用戶進(jìn)行認(rèn)證和計(jì)費(fèi)。后來(lái)經(jīng)過(guò)多次改進(jìn)，形成了一項(xiàng)通用的認(rèn)證計(jì)費(fèi)協(xié)議。 RADIUS是一種C/S結(jié)構(gòu)的協(xié)議，它的客戶端最初就是NAS服務(wù)器，現(xiàn)在任何運(yùn)行RADIUS客戶端軟件的計(jì)算機(jī)都可以成為RADIUS的客戶端。 RADIUS的基本工作原理：用戶接入NAS，NAS向RADIUS服務(wù)器使用Access-Require數(shù)據(jù)包提交用戶信息，包括用戶名、密碼等相關(guān)信息，其中用戶密碼是經(jīng)過(guò)MD5加密的，雙方使用共享密鑰，這個(gè)密鑰不經(jīng)過(guò)網(wǎng)絡(luò)傳播；RADIUS服務(wù)器對(duì)用戶名和密碼的合法性進(jìn)行檢驗(yàn)，必要時(shí)可以提出一個(gè)Challenge，要求進(jìn)一步對(duì)用戶認(rèn)證，也可以對(duì)NAS進(jìn)行類似的認(rèn)證；如果合法，給NAS返回Access-Accept數(shù)據(jù)包，允許用戶進(jìn)行下一步工作，否則返回Access-Reject數(shù)據(jù)包，拒絕用戶訪問(wèn)；如果允許訪問(wèn)，NAS向RADIUS服務(wù)器提出計(jì)費(fèi)請(qǐng)求Account-Require，RADIUS服務(wù)器響應(yīng)Account-Accept，對(duì)用戶的計(jì)費(fèi)開(kāi)始，同時(shí)用戶可以進(jìn)行自己的相關(guān)操作。 RADIUS還支持代理和漫游功能。簡(jiǎn)單地說(shuō)，代理就是一臺(tái)服務(wù)器，可以作為其他RADIUS服務(wù)器的代理，負(fù)責(zé)轉(zhuǎn)發(fā)RADIUS認(rèn)證和計(jì)費(fèi)數(shù)據(jù)包。所謂漫游功能，就是代理的一個(gè)具體實(shí)現(xiàn)，這樣可以讓用戶通過(guò)本來(lái)和其無(wú)關(guān)的RADIUS服務(wù)器進(jìn)行認(rèn)證。 RADIUS服務(wù)器和NAS服務(wù)器通過(guò)UDP協(xié)議進(jìn)行通信，RADIUS服務(wù)器的1812端口負(fù)責(zé)認(rèn)證，1813端口負(fù)責(zé)計(jì)費(fèi)工作。采用UDP的基本考慮是因?yàn)镹AS和RADIUS服務(wù)器大多在同一個(gè)局域網(wǎng)中，使用UDP更加快捷方便。 RADIUS協(xié)議還規(guī)定了重傳機(jī)制。如果NAS向某個(gè)RADIUS服務(wù)器提交請(qǐng)求沒(méi)有收到返回信息，那么可以要求備份RADIUS服務(wù)器重傳。由于有多個(gè)備份RADIUS服務(wù)器，因此NAS進(jìn)行重傳的時(shí)候，可以采用輪詢的方法。如果備份RADIUS服務(wù)器的密鑰和以前RADIUS服務(wù)器的密鑰不同，則需要重新進(jìn)行認(rèn)證=Radius認(rèn)證服務(wù)RADIUS是一種分布的，客戶端/服務(wù)器系統(tǒng)，實(shí)現(xiàn)安全網(wǎng)絡(luò)，反對(duì)未經(jīng)驗(yàn)證的訪問(wèn)。在cisco實(shí)施中，RADIUS客戶端運(yùn)行在cisco路由器上上，發(fā)送認(rèn)證請(qǐng)求到中心RADIUS服務(wù)器，服務(wù)器上包含了所有用戶認(rèn)證和網(wǎng)絡(luò)服務(wù)訪問(wèn)的信息。RADIUS是一種完全開(kāi)放的協(xié)議，分布源碼格式，這樣，任何安全系統(tǒng)和廠商都可以用。cisco支持在其AAA安全范例中支持RADIUS。 RADIUS可以和在其 它AAA 安全協(xié)議共用，如TACACS+，Kerberos，以及本地用戶名查找。CISCO所有的平臺(tái)都支持RADIUS，但是RADIUS支持的特性只能運(yùn)行在cisco指定的平臺(tái)上。RADIUS協(xié)議已經(jīng)被廣泛實(shí)施在各種各樣的需要高級(jí)別安全且需要網(wǎng)絡(luò)遠(yuǎn)程訪問(wèn)的網(wǎng)絡(luò)環(huán)境。在以下安全訪問(wèn)環(huán)境需要使用RADIUS：+當(dāng)多廠商訪問(wèn)服務(wù)器網(wǎng)絡(luò)，都支持RADIUS。例如，幾個(gè)不同廠家的訪問(wèn)服務(wù)器只使用基于RADIUS的安全數(shù)據(jù)庫(kù)，在基于ip的網(wǎng)絡(luò)有多個(gè)廠商的訪問(wèn)服務(wù)器，通過(guò)RADIUS服務(wù)器來(lái)驗(yàn)證撥號(hào)用戶，進(jìn)而定制使用kerberos安全系統(tǒng)。+當(dāng)某應(yīng)用程序支持RADIUS協(xié)議守護(hù)網(wǎng)絡(luò)安全環(huán)境，就像在一個(gè)使用smart card門禁控制系統(tǒng)的那樣的訪問(wèn)環(huán)境。某個(gè)案例中，RADIUS被用在Enigma安全卡來(lái)驗(yàn)證用戶和準(zhǔn)予網(wǎng)絡(luò)資源使用權(quán)限。+當(dāng)網(wǎng)絡(luò)已經(jīng)使用了RADIUS。你可以添加具有RADIUS支持的cisco路由器到你的網(wǎng)絡(luò)中，這個(gè)可以成為你想過(guò)渡到TACACS+服務(wù)器的第一步。+當(dāng)網(wǎng)絡(luò)中一個(gè)用戶僅能訪問(wèn)一種服務(wù)。使用RADIUS，你可以控制用戶訪問(wèn)單個(gè)主機(jī)，進(jìn)行單個(gè)服務(wù)，如telnet，或者單個(gè)協(xié)議，如ppp。例如當(dāng)一個(gè)用戶登錄進(jìn)來(lái)，RADIUS授權(quán)這個(gè)用戶只能以10.2.3.4這個(gè)地址運(yùn)行ppp，而且還得和ACL相匹配。+ 當(dāng)網(wǎng)絡(luò)需要資源記賬。你可以使用RADIUS記賬，獨(dú)立于RADIUS認(rèn)證和授權(quán)，RADIUS記賬功能允許數(shù)據(jù)服務(wù)始與終，記錄會(huì)話之中所使用的標(biāo)志資源(如，時(shí)間，包，字節(jié)，等等)。ISP可能使用免費(fèi)版本的基于RADIUS訪問(wèn)控制和記賬軟件來(lái)進(jìn)行特定安全和金額統(tǒng)計(jì)。+當(dāng)網(wǎng)絡(luò)希望支持預(yù)認(rèn)證。在你的網(wǎng)絡(luò)中使用RADIUS服務(wù)，你可以配置AAA預(yù)認(rèn)證和設(shè)定預(yù)認(rèn)證profiles。預(yù)認(rèn)證服務(wù)的開(kāi)啟提供更好的管理端口來(lái)使用它們已經(jīng)存在的RADIUS解決方案，更優(yōu)化的管理使用、共享資源，進(jìn)而提供不懂服務(wù)級(jí)別的協(xié)定。RADIUS不適合以下網(wǎng)絡(luò)安全情形：多協(xié)議訪問(wèn)環(huán)境，Radius不支持以下協(xié)議:*AppleTalk Remote Access (ARA)蘋果遠(yuǎn)程訪問(wèn)。*NetBIOS Frame Control Protocol (NBFCP)網(wǎng)絡(luò)基本輸出輸入系統(tǒng)偵控制協(xié)議。*NetWare Asynchronous Services Interface (NASI)網(wǎng)件異步服務(wù)接口。*X.25 PAD connectionsX.25 PAD連接。路由器到路由器情形.Radius不提供雙向認(rèn)證.Radius能使用在要認(rèn)證從一個(gè)路由器到非cisco路由器,當(dāng)這個(gè)非cisco路由器需要認(rèn)證的時(shí)候.網(wǎng)絡(luò)使用各種各樣的服務(wù)的時(shí)候.Radius大體上約束一個(gè)用戶使用一個(gè)服務(wù)模型.Radius操作:當(dāng)一個(gè)用戶試圖登錄并驗(yàn)證到一個(gè)使用了Radius的訪問(wèn)服務(wù)器,發(fā)生了以下步驟:1.這個(gè)用戶被允許輸入用戶名和密碼.2.用戶名和加密的密碼被發(fā)送到網(wǎng)絡(luò)中的Radius服務(wù)器.a.ACCEPT-該用戶通過(guò)了認(rèn)證.b.REJECT-該用戶沒(méi)有被認(rèn)證,被允許重新輸入用戶名和密碼,或者訪問(wèn)被拒絕了.c.CHALLENGE-Radius服務(wù)器發(fā)出挑戰(zhàn).這個(gè)挑戰(zhàn)收集這個(gè)用戶附加信息.d.CHANGE PASSWORD-這個(gè)請(qǐng)求時(shí)RADIUS服務(wù)器發(fā)出的,告訴用戶換一個(gè)新的密碼.ACCEPT或者REJECT回應(yīng)包括了用來(lái)執(zhí)行或者網(wǎng)絡(luò)認(rèn)證的附加數(shù)據(jù),你必須首先完成Radius認(rèn)證才能使用Radius授權(quán).帶有ACCEPT或者REJECT附加數(shù)據(jù)的包有以下組成:+用戶能訪問(wèn)的服務(wù),包括telnet,rlogin,或者本地區(qū)域傳輸(lat)連接,以及ppp,SLIP,或者EXEC服務(wù).+連接參數(shù),包括主機(jī)或者ip地址,訪問(wèn)列表,和用戶超時(shí).配置舉例aaa new-model /開(kāi)啟aaaradius-server host 123.45.1.2 /指定Radius服務(wù)器radius-server key myRaDiUSpassWoRd /定義訪問(wèn)服務(wù)器和Radius共享秘文username root password ALongPassword /用戶名,密碼.aaa authentication ppp dialins group radius local /定義了認(rèn)證方式列表dialins,這個(gè)東西指定了radius認(rèn)證.然后,(如果radius服務(wù)器沒(méi)有響應(yīng)),本地username將會(huì)被用來(lái)驗(yàn)證ppp.aaa authorization network default group radius local/用來(lái)給Radius用戶綁定一個(gè)地址和其它網(wǎng)絡(luò)參數(shù)aaa accounting network default start-stop group radius/用來(lái)跟蹤ppp用法.aaa authentication login admins local/給登錄認(rèn)證定義了另一個(gè)方式列表,admins,aaa authorization exec default localline 1 16autoselect ppp