淺談Radius服務器的功能原理及交互過程
2015-04-29 00:00:00朱玲
科技創新與應用 2015年27期
摘 要:RADIUS是一個英文縮寫,其具體含義是Remote Authentication Dial In User Service,中文意思是“遠端用戶撥入驗證服務”,是一個AAA協議,即集authentication(認證)、authorization(授權)、accounting(計費)三種服務于一體的一種網絡傳輸協議。文章將從Radius服務器的功能原理及交互過程對其進行介紹。
關鍵詞:協議;UDP;NAS;客戶端
Radius是一種C/S結構的可擴展協議,它是以Attribute-Length-Value向量進行工作的,其協議認證機制也非常靈活,當用戶提供用戶名和原始密碼時,Radius可支持點對點協議PPP、密碼認證協議PAP、提問握手認證協議CHAP及其他認證機制。NAS設備可以是它的客戶端,任何運行該軟件的計算機都可以成為Radius的客戶端。目前,該服務器應用于各類寬帶上網業務。
1 Radius服務器的功能原理
(1)寬帶用戶撥號上網時接入NAS,NAS設備使用“訪問請求”數據包向Radius服務器提交用戶的請求信息,該信息包括用戶名、密碼等。用戶的密碼會經過MD5加密,雙方會使用不會通過網絡進行傳播的“共享密鑰”。同時,Radius服務器會對用戶名和密碼的合法性進行檢驗,提出質疑時,就會要求進一步對用戶、對NAS設備進行驗證。如果驗證不通過,就會返回“拒絕訪問”的數據包,以此來拒絕用戶的訪問;驗證合法,就會給NAS設備返回“接受訪問”的數據包,即用戶通過了認證。允許訪問時,NAS設備會向Radius服務器提出“計費請求”,Radius服務器響應“接受計費”的請求,開始對用戶計費,用戶從此刻開始了上網。
(2)“重傳機制”是Radius協議的特色功能之一。一般情況下,Radius服務器分為主備用設備,這項功能是為NAS設備向主用Radius服務器提交請求卻沒有收到返回信息時而準備的,備用的Radius服務器會進行重傳,如果備用Radius服務器的密鑰和主用Radius服務器的密鑰不相同時,是需要重新進行認證的。NAS設備進行重傳的時候,對于有多個備用Radius服務器的網絡,一般采用輪詢的方法。
(3)NAS設備和Radius服務器之間的通信協議是“UDP協議”,Radius服務器有1812和1813端口,其中1812端口是認證端口,1813端口是計費端口。因為NAS設備和Radius服務器大多數是在同一個局域網中,采用UDP協議進行通信則更加快捷方便,而且無連接的UDP協議會減輕Radius服務器的壓力,增加安全性。
(4)漫游和代理也是Radius服務器的功能之一。“漫游”功能是代理的一個具體實現,作為Radius服務器的代理,負責轉發Radius認證和計費的數據包,這樣用戶可以通過本來和其無關的Radius服務器進行認證,即用戶可以在非歸屬運營商的所在地得到服務,實現了漫游功能。
2 Radius服務器的交互過程
2.1 NAS等設備的代理認證功能
該功能是用于實現Radius服務器對用戶的認證過程的,因為響應的報文中攜帶了授權信息,所以Radius協議合并了認證和授權過程。Radius客戶端和Radius服務器之間是通過共享密鑰認證相互之間交互的消息的,為了增強安全性,用戶密碼是采用密文方式在網絡上進行傳輸的。
2.2 撥號認證交互信息及過程
(1)用戶通過撥號軟件輸入用戶名和密碼。
(2)收到這些信息后,Radius客戶端會向Radius服務器發送“訪問請求”包。
(3)因為用戶數據庫中保存著已增加認證的用戶名、密碼等信息,Radius服務器會將收到的用戶信息與用戶數據庫中的信息進行比對,如果收到的用戶信息在數據庫中不存在,就會返回“拒絕訪問”響應包,即認證失敗;如果收到的用戶信息在數據庫中存在且比對后正確,就會將用戶的權限信息以“接受訪問”響應包的形式發送給Radius客戶端,即認證成功。
(4)根據接收到的認證結果,Radius客戶端會判斷拒絕或者接受該用戶。如果Radius客戶端向Radius服務器發送計費開始請求包,則表示可以接入該用戶。
(5)Radius服務器收到計費請求后返回計費開始響應包。
(6)用戶下線時Radius客戶端會收到該請求,同時向Radius服務器發送計費停止請求包。
(7)Radius服務器收到請求后返回計費結束響應包,此時計費停止,過程結束。
3 結束語
通過以上分析,我們看出Radius服務器是配置網絡結構中不可或缺的重要環節,該環節實現了認證、授權、計費三個功能于一體,了解掌握Radius服務器的功能原理及交互過程對日常的系統維護及故障處理意義重大,不但能減少故障的發生,更重要的是在故障發生時,可以盡量縮短故障時間,提高用戶感知度及滿意度。
作者簡介:朱玲,天津大學,本科,工作單位:天津聯通設備維護中心。
