RADIUS協議原理及其在校園網中的應用

吳秋兵 (安徽財經大學現代教育技術中心,安徽蚌埠233041)

隨著校園網絡的發展,其安全問題也日益突出,如何讓校園網絡正常高效的運行,充分發揮其教學、管理和服務等功能,已成為不可忽視的問題。目前在校園網絡建設中,首要問題就是如何對用戶進行安全、高效的認證和訪問控制。在傳統認證方式中,如PPPOE和Web/Portal認證方式,對于校園網絡中的用戶數據包進行了繁瑣的處理,從而造成了網絡傳輸瓶頸;而通過增加其他網絡設備來解決傳輸瓶頸,勢必造成網絡成本的提升,因此無法滿足用戶對網絡安全性、高效性和低成本的要求。RADIUS是一種撥號入網用戶認證協議標準,采用分布式的Client/Server結構完成密碼的集中管理和其他身份認證功能,能夠支持多種認證方式。RADIUS由于具有良好的安全性和可擴充性,廣泛應用在各種需要認證的場合。為此,筆者對RADIUS協議原理及其在校園網中應用加以論述。

1 RADIUS協議

RADIUS協議分為認證和計費兩部分,RADIUS是一種client/server模式的集中式系統,其將接入服務器 (NAS)作為客戶端,將RADIUS軟件運行的機器作為服務器,服務器上集中存放所有用戶的資料 (如帳號名、口令等),因而無論用戶連接到任何一個NAS都可以正常地認證計費[1]。NAS上要指定RADIUS服務器的IP地址,以找到相應的服務器;客戶端與服務器之間通過設置相同的公用密鑰來確保雙方的相互信任關系,如果有未經RADIUS確認NAS將認證/計費數據包發送過來,RADIUS會將其丟棄掉。

用戶將用戶名、口令等信息發送給 NAS之后,NAS與 RADIUS之間通過 Access-Request、Access-Accept、Access-Reject三個數據包來完成認證與授權的工作。認證數據包中Attrbutes字段使用屬性如表1所示。

用戶通過認證后,從RADIUS服務器或DHCPSERVER取得IP地址,可以連接進入internet。NAS在收到 Access-Accept后,向RADIUS服務器發出Accounting-Request請求開始計費,RADIUS服務器收到后記錄在本地,并返回一個Accounting-Reply進行確認。在NAS發出的Accounting-Request包中包含用戶名、IP地址、流量等信息,RADIUS服務器通過處理本地的記錄,可以計算出用戶的使用費用。

表1 RADIUS認證協議屬性列表

2 基于RADIUS構建校園網認證計費系統

2.1 認證計費現狀

1)PPPOE[2]PPPOE是一種成熟的認證技術,具有完整的技術標準,不論在ADSL還是LAN接入環境中都得到了廣泛應用。PPPOE具有良好的用戶管理能力,不但能完成用戶認證,還能夠實現地址分配管理,并可實現MAC和VLAN等2層信息的用戶綁定,安全性能較高,比較適合于大用戶量的電信級運營管理模式。PPPOE認證方式的缺點是需要專門的客戶端或系統自帶的撥號器來進行撥號,使用組播等應用受到一定的限制。不能跨越3層網絡設備,不太適合于校園網的組網環境。

2)WEB認證方式 WEB認證方式可直接應用瀏覽器作為認證客戶端,是一種新興的認證技術。WEB認證不需要安裝任何客戶端軟件,并且可以跨越3層使用,因此具有較好的靈活性。但相對于PPPOE認證方式,WEB認證對用戶的控制能力和安全性都比較差,容易遭受針對WEB服務的攻擊,跨3層使用使得寬帶接入服務器無法獲得用戶的2層信息進行綁定管理,經常出現IP地址沖突情況。

3)802.1x認證方式 802.1x協議是基于端口的訪問控制協議,為2層協議,不需要達到3層,對設備的整體性能要求不高,可以降低建網成本。業務報文直接承載在2層報文之上,用戶通過認證后,業務流和認證流實現分離,對后續的數據包處理沒有特殊要求,對組播業務支持性好,對視頻業務開展有很大的支持,在認證過程中,802.1x用封裝幀到以太網中,效率相對較高。

2.2 基于RADIUS認證計費系統的構建

基于RADIUS認證協議的校園網寬帶認證計費系統的體系結構一般由客戶端、認證系統、認證服務器3部分組成。另外,可以架構一臺DHCP服務器用于為通過認證的用戶動態分配IP地址[3]。RADIUS認證、計費系統主要有認證、用戶管理、計費3大功能模塊。

1)認證 認證部分是核心功能,NAS服務器向RADIUS服務器提交賬號和密碼,RADIUS服務器在后臺數據庫中查找,如果用戶名和密碼正確,則認證成功。

2)用戶管理 該部分主要是對上網用戶各種信息進行存儲,并且提供一個WEB界面給上網用戶修改密碼和信息查詢。

3)計費 針對學校的特殊情況,對部分用戶實施包月計費,上網用戶交費后,管理員直接轉換用戶的狀態。

2.3 數據庫平臺的設計

在windows2000server系統平臺的基礎上架設SQLSERVER2000數據庫服務器。數據庫中建立了大量數據表用來記錄、保存用戶的詳細信息以及用戶使用和費用情況。數據庫中有接入控制表、帳務流水表、上網記錄及費用、賬號模塊表、接入控制屬性表、賬號相關聯服務表、用戶卡批次信息表、充值卡信息表、充值卡表、充值卡收入登帳表、充值卡批次信息表 、系統配置表、黑名單、管理員表、接入交換機表、用戶在線表、繳費提示條件表、用戶繳費記錄表、操作權限列表、計費冊列表、注冊用戶表、用戶表、接入控制屬性列表、服務屬性列表。以表T_ACCTRECORD(上網紀錄及費用表)為例,該表詳細記錄用戶上網記錄信息,如表3所示。

表3 數據庫T_ACCTRECORD表字段概況

2.4 NAS客戶端配置實現

同時,在接入層必須選擇支持802.1x設備作為認證計費系統的客戶端 (NAS),并在NAS做如下配置:

3 RADIUS認證計費過程分析

3.1 數據包格式分析

認證過程中客戶端和認證服務器之間傳送的信息均為以太網幀格式,每一幀均包含如下頭信息:01 80C2000003AABBCCDDEEFF888E01010000…… ,前6個字節為目標地址,之后6個字節是源地址,這里假定為AABBCCDDEEFF;第13、14個字節是協議類型,802.1x對應的值為88 8E;第15個字節是協議版本號;16字節是幀類型;第17、18字節為幀的長度,是指頭信息之后 (從第19字節開始)的有效數據的長度。

3.2 認證過程

用戶開機后,通過客戶端軟件發起請求。如果某臺驗證設備能處理數據包,就會向客戶端發送響應包并要求用戶提供合法的身份標識,如用戶名、密碼。客戶端收到驗證設備的響應后,會提供身份標識給驗證設備。驗證設備把認證流轉發給RADIUS服務器進行認證。如果認證通過,驗證系統的受控邏輯端口將被打開。客戶端軟件發起DHCP請求,經驗證設備轉發給DHCPSERVER。DHCPSERVER為用戶分配IP地址。DHCPSERVER分配的地址信息返回給認證系統,認證系統記錄用戶的相關信息,如MAC、IP地址等信息,并建立訪問策略,以限制用戶的訪問權限。并向認證服務器發送計費信息,開始對用戶計費。如果用戶要下網,可以通過客戶端軟件發起LogOff過程,認證設備檢測到該數據包后,會通知RADIUS服務器停止計費,并刪除用戶的相關信息,關閉受控邏輯端口。

4 結 語

通過分析RADIUS協議的基本原理,闡述了基于RADIUS協議認證的全過程。802.1x認證技術能夠比較好地解決現階段所面臨的用戶身份認證和應用終端的安全性問題,增強了網絡安全性。但該系統本身的很多功能有待擴展和加強,有必要進一步與其他先進的網絡安全技術融合,才能發揮更大作用。

[1]王志毅,劉俊芳.基于RADIUS協議的校園網計費系統設計 [J].高等函授學報 (自然科學版),2003,(5):51～54.

[2]徐霖洲,丘海明.PPPOE原理、應用及改進建議 [J].中山大學學報 (自然科學版),2002,(6):111～113.

[3]王軍號,陸奎.RADIUS在AAA系統中的應用研究 [J].計算機技術與發展,2009,(7):199～201