Radius工作原理與Radius認(rèn)證服務(wù).doc

Radius工作原理與Radius認(rèn)證服務(wù)Radius工作原理 RADIUS原先的目的是為撥號用戶進(jìn)行認(rèn)證和計費。后來經(jīng)過多次改進(jìn)，形成了一項通用的認(rèn)證計費協(xié)議。 RADIUS是一種C/S結(jié)構(gòu)的協(xié)議，它的客戶端最初就是NAS服務(wù)器，現(xiàn)在任何運行RADIUS客戶端軟件的計算機(jī)都可以成為RADIUS的客戶端。 RADIUS的基本工作原理：用戶接入NAS，NAS向RADIUS服務(wù)器使用Access-Require數(shù)據(jù)包提交用戶信息，包括用戶名、密碼等相關(guān)信息，其中用戶密碼是經(jīng)過MD5加密的，雙方使用共享密鑰，這個密鑰不經(jīng)過網(wǎng)絡(luò)傳播；RADIUS服務(wù)器對用戶名和密碼的合法性進(jìn)行檢驗，必要時可以提出一個Challenge，要求進(jìn)一步對用戶認(rèn)證，也可以對NAS進(jìn)行類似的認(rèn)證；如果合法，給NAS返回Access-Accept數(shù)據(jù)包，允許用戶進(jìn)行下一步工作，否則返回Access-Reject數(shù)據(jù)包，拒絕用戶訪問；如果允許訪問，NAS向RADIUS服務(wù)器提出計費請求Account-Require，RADIUS服務(wù)器響應(yīng)Account-Accept，對用戶的計費開始，同時用戶可以進(jìn)行自己的相關(guān)操作。 RADIUS還支持代理和漫游功能。簡單地說，代理就是一臺服務(wù)器，可以作為其他RADIUS服務(wù)器的代理，負(fù)責(zé)轉(zhuǎn)發(fā)RADIUS認(rèn)證和計費數(shù)據(jù)包。所謂漫游功能，就是代理的一個具體實現(xiàn)，這樣可以讓用戶通過本來和其無關(guān)的RADIUS服務(wù)器進(jìn)行認(rèn)證。 RADIUS服務(wù)器和NAS服務(wù)器通過UDP協(xié)議進(jìn)行通信，RADIUS服務(wù)器的1812端口負(fù)責(zé)認(rèn)證，1813端口負(fù)責(zé)計費工作。采用UDP的基本考慮是因為NAS和RADIUS服務(wù)器大多在同一個局域網(wǎng)中，使用UDP更加快捷方便。 RADIUS協(xié)議還規(guī)定了重傳機(jī)制。如果NAS向某個RADIUS服務(wù)器提交請求沒有收到返回信息，那么可以要求備份RADIUS服務(wù)器重傳。由于有多個備份RADIUS服務(wù)器，因此NAS進(jìn)行重傳的時候，可以采用輪詢的方法。如果備份RADIUS服務(wù)器的密鑰和以前RADIUS服務(wù)器的密鑰不同，則需要重新進(jìn)行認(rèn)證=Radius認(rèn)證服務(wù)RADIUS是一種分布的，客戶端/服務(wù)器系統(tǒng)，實現(xiàn)安全網(wǎng)絡(luò)，反對未經(jīng)驗證的訪問。在cisco實施中，RADIUS客戶端運行在cisco路由器上上，發(fā)送認(rèn)證請求到中心RADIUS服務(wù)器，服務(wù)器上包含了所有用戶認(rèn)證和網(wǎng)絡(luò)服務(wù)訪問的信息。RADIUS是一種完全開放的協(xié)議，分布源碼格式，這樣，任何安全系統(tǒng)和廠商都可以用。cisco支持在其AAA安全范例中支持RADIUS。 RADIUS可以和在其 它AAA 安全協(xié)議共用，如TACACS+，Kerberos，以及本地用戶名查找。CISCO所有的平臺都支持RADIUS，但是RADIUS支持的特性只能運行在cisco指定的平臺上。RADIUS協(xié)議已經(jīng)被廣泛實施在各種各樣的需要高級別安全且需要網(wǎng)絡(luò)遠(yuǎn)程訪問的網(wǎng)絡(luò)環(huán)境。在以下安全訪問環(huán)境需要使用RADIUS：+當(dāng)多廠商訪問服務(wù)器網(wǎng)絡(luò)，都支持RADIUS。例如，幾個不同廠家的訪問服務(wù)器只使用基于RADIUS的安全數(shù)據(jù)庫，在基于ip的網(wǎng)絡(luò)有多個廠商的訪問服務(wù)器，通過RADIUS服務(wù)器來驗證撥號用戶，進(jìn)而定制使用kerberos安全系統(tǒng)。+當(dāng)某應(yīng)用程序支持RADIUS協(xié)議守護(hù)網(wǎng)絡(luò)安全環(huán)境，就像在一個使用smart card門禁控制系統(tǒng)的那樣的訪問環(huán)境。某個案例中，RADIUS被用在Enigma安全卡來驗證用戶和準(zhǔn)予網(wǎng)絡(luò)資源使用權(quán)限。+當(dāng)網(wǎng)絡(luò)已經(jīng)使用了RADIUS。你可以添加具有RADIUS支持的cisco路由器到你的網(wǎng)絡(luò)中，這個可以成為你想過渡到TACACS+服務(wù)器的第一步。+當(dāng)網(wǎng)絡(luò)中一個用戶僅能訪問一種服務(wù)。使用RADIUS，你可以控制用戶訪問單個主機(jī)，進(jìn)行單個服務(wù)，如telnet，或者單個協(xié)議，如ppp。例如當(dāng)一個用戶登錄進(jìn)來，RADIUS授權(quán)這個用戶只能以10.2.3.4這個地址運行ppp，而且還得和ACL相匹配。+ 當(dāng)網(wǎng)絡(luò)需要資源記賬。你可以使用RADIUS記賬，獨立于RADIUS認(rèn)證和授權(quán)，RADIUS記賬功能允許數(shù)據(jù)服務(wù)始與終，記錄會話之中所使用的標(biāo)志資源(如，時間，包，字節(jié)，等等)。ISP可能使用免費版本的基于RADIUS訪問控制和記賬軟件來進(jìn)行特定安全和金額統(tǒng)計。+當(dāng)網(wǎng)絡(luò)希望支持預(yù)認(rèn)證。在你的網(wǎng)絡(luò)中使用RADIUS服務(wù)，你可以配置AAA預(yù)認(rèn)證和設(shè)定預(yù)認(rèn)證profiles。預(yù)認(rèn)證服務(wù)的開啟提供更好的管理端口來使用它們已經(jīng)存在的RADIUS解決方案，更優(yōu)化的管理使用、共享資源，進(jìn)而提供不懂服務(wù)級別的協(xié)定。RADIUS不適合以下網(wǎng)絡(luò)安全情形：多協(xié)議訪問環(huán)境，Radius不支持以下協(xié)議:*AppleTalk Remote Access (ARA)蘋果遠(yuǎn)程訪問。*NetBIOS Frame Control Protocol (NBFCP)網(wǎng)絡(luò)基本輸出輸入系統(tǒng)偵控制協(xié)議。*NetWare Asynchronous Services Interface (NASI)網(wǎng)件異步服務(wù)接口。*X.25 PAD connectionsX.25 PAD連接。路由器到路由器情形.Radius不提供雙向認(rèn)證.Radius能使用在要認(rèn)證從一個路由器到非cisco路由器,當(dāng)這個非cisco路由器需要認(rèn)證的時候.網(wǎng)絡(luò)使用各種各樣的服務(wù)的時候.Radius大體上約束一個用戶使用一個服務(wù)模型.Radius操作:當(dāng)一個用戶試圖登錄并驗證到一個使用了Radius的訪問服務(wù)器,發(fā)生了以下步驟:1.這個用戶被允許輸入用戶名和密碼.2.用戶名和加密的密碼被發(fā)送到網(wǎng)絡(luò)中的Radius服務(wù)器.a.ACCEPT-該用戶通過了認(rèn)證.b.REJECT-該用戶沒有被認(rèn)證,被允許重新輸入用戶名和密碼,或者訪問被拒絕了.c.CHALLENGE-Radius服務(wù)器發(fā)出挑戰(zhàn).這個挑戰(zhàn)收集這個用戶附加信息.d.CHANGE PASSWORD-這個請求時RADIUS服務(wù)器發(fā)出的,告訴用戶換一個新的密碼.ACCEPT或者REJECT回應(yīng)包括了用來執(zhí)行或者網(wǎng)絡(luò)認(rèn)證的附加數(shù)據(jù),你必須首先完成Radius認(rèn)證才能使用Radius授權(quán).帶有ACCEPT或者REJECT附加數(shù)據(jù)的包有以下組成:+用戶能訪問的服務(wù),包括telnet,rlogin,或者本地區(qū)域傳輸(lat)連接,以及ppp,SLIP,或者EXEC服務(wù).+連接參數(shù),包括主機(jī)或者ip地址,訪問列表,和用戶超時.配置舉例aaa new-model /開啟aaaradius-server host 123.45.1.2 /指定Radius服務(wù)器radius-server key myRaDiUSpassWoRd /定義訪問服務(wù)器和Radius共享秘文username root password ALongPassword /用戶名,密碼.aaa authentication ppp dialins group radius local /定義了認(rèn)證方式列表dialins,這個東西指定了radius認(rèn)證.然后,(如果radius服務(wù)器沒有響應(yīng)),本地username將會被用來驗證ppp.aaa authorization network default group radius local/用來給Radius用戶綁定一個地址和其它網(wǎng)絡(luò)參數(shù)aaa accounting network default start-stop group radius/用來跟蹤ppp用法.aaa authentication login admins local/給登錄認(rèn)證定義了另一個方式列表,admins,aaa authorization exec default localline 1 16autoselect ppp