遠程認證服務管控問答

■江蘇 陳滬娟

編者按：Radius是一種應用廣泛的遠程認證服務協議，對保護網絡安全起到非常重要的作用，本文列舉了Radius服務使用中的一些問題，希望有所幫助。

Radius服務指的是什么？該服務的主要作用是什么？

答：Radius服務的英文全稱為Remote Authentication Dial In User Service，中文意思為遠程認證撥號用戶服務協議，它是目前應用范圍十分廣泛的AAA協議。該網絡服務認證機制相當靈活，可以通過PAP、 CHAP或者Unix登錄認證等多種方式，確保特定網絡系統不受未授權訪問的影響，在對無線網絡的安全認證時，也可以使用Radius服務控制無線接入安全。

Radius服務中實現EAP認證的方式主要有哪些？

答：在設備端與Radius服務器之間，可以使用兩種方式來交換數據信息，一種是EAP協議報文使用EAPOR封裝格式承載于Radius協議中，另一種是設備端終結EAP協議報文，采用包含PAP或CHAP屬性的報文與Radius服務器進行認證。這樣，在認證過程中就存在兩種認證方式，一種是EAP中繼方式，另外一種是EAP終結方式。

Radius服務的主要特點有哪些？

答：Radius服務使用C/S模型，也就是客戶端服務器模型，其中網絡訪問服務系統作為Radius服務的客戶端，Radius服務負責獲取用戶連接請求，驗證用戶，然后返回所有必要的配置信息，用于客戶端提交服務給用戶。Radius協議通過挑戰-握手認證協議、點對點協議、密碼認證協議以及簡單的UNIX登錄，來實現鑒權目的。

Radius協議在客戶端和服務之間的傳輸通過使用共享密鑰認證，該密鑰從來不發送到網絡上。Radius協議支持無狀態協議，使用UDP協議，工作在網絡端口1812上，因為UDP協議更加快捷方便，能夠減輕Radius服務器的壓力，也更安全。Radius協議是可擴展的，不少Radius硬件和軟件實現廠商有它們自己的方言。

能否詳細介紹一下Radius服務的工作原理？

答：當Radius系統啟動運行后，如果用戶想連接網絡訪問系統（NAS），來得到特定資源的訪問權限或獲取其他網絡資源的使用權利時，網絡訪問系統需要將用戶的請求信息包，包括授權、認證、計費等信息包，提交給Radius服務器，Radius服務器通過本地用戶數據庫所包含的網絡服務訪問信息和用戶認證信息，對接入用戶的登錄賬號合法性進行檢驗，這包括登錄用戶名、密碼等信息，其中登錄密碼是經過MD5加密的，雙方使用共享密鑰，這個密鑰不經過網絡傳播，要是認證合法的話，該服務器會將相關的計費統計數據和網絡配置信息返回給NAS，并允許接入用戶開展下一步工作。

倘若認證沒有通過，Radius服務器也會給NAS返回訪問拒絕數據包，這時需要用戶重新輸入登錄賬號，不然的話嚴格禁止用戶的接入訪問。

在認證用戶合法性的時候，Radius服務器與NAS服務器之間的信息交互，必須使用UDP數據報文來完成，在這個過程中，為了改善交互通信的安全性，雙方使用共享密鑰方式傳輸數據報文，來保證重要的配置信息只有被成功加密后，才可以在網絡中正常傳輸，從而避免這些信息被非法用戶竊聽或盜取。

Radius協議一般工作于客戶/服務器結構，在以太網環境下，那些支持網絡接入功能的交換機作為Radius的客戶端，主要負責將相關請求數據包信息傳遞給局域網特定的Radius服務器，接著根據Radius服務器返回的數據包信息，對接入用戶進行掛斷或接入操作。Radius服務器通常工作在特定網絡的中心計算機系統中，該系統必須含用全部用戶認證和網絡服務訪問信息。在客戶端與服務器通信時，Radius協議規定了它們如何傳遞計費統計信息和用戶配置信息。

當登錄者的驗證條件和握手會話全部通過后，網絡訪問系統會從RADIUS服務器那里獲得一個用戶配置信息包，請問該信息包中主要包含哪些信息？

答：主要包括服務類型 ：SLIP、PPP、Login User、Rlogin、Framed、Callback 等等。還包括與服務類型相關的配置信息IP地址、時間限制等等。

眾所周知，Radius服務器在實際工作的時候，往往是通過UDP報文方式來傳輸數據的。請問為什么在配置參數的時候，需要將該類型的報文傳輸次數配置成多次？

答：這是因為UDP報文方式的傳輸性能常常很不穩定，倘若Radius服務器在規定時間內，沒有及時響應客戶端系統的相關請求，那么客戶端系統會有必要自動向Radius服務器重新發送相關數據報文。

當然，總的傳送次數要是超過最大限值，而Radius服務器對數據報文仍舊沒有正常響應時，那么客戶端系統將會認為其與指定的Radius服務器之間的連接已經斷開，這時它會自動將相關數據報文發送給其他的Radius服務器去處理。所以，為了既能保證數據報文穩定傳輸，又能保證Radius服務器及時響應，配置好合適的數據報文傳送次數是相當重要的。

請問在成功配置好Radius服務器組的屬性參數后，怎么查看具體的地址和網絡端口是否配置正確？

答 ：在 Quidway S8500品牌路由交換機后臺系統中，使用“display radius XYZ”命令，就能清楚地查看到名稱為“XYZ”的Radius服務器組所有配置信息了，包括服務器使用的地址和網絡端口信息。

在同時存在主服務器、備份服務器的情況下，要是終端計算機系統與主Radius服務器之間的通信發生故障時，終端系統與主、備份服務器之間是如何繼續通信的？

答：終端計算機系統會自動地嘗試與備份服務建立通信，同時進行交互傳輸數據報文。當主Radius服務器的工作狀態被恢復為正常后，終端計算機系統不會立即與之重新建立通信，而是仍然與備份服務器保持連接，直到備份服務器也發生故障后，才會重新與主Radius服務器恢復連接，同時正常進行交互通信。

Radius服務器為什么會用到UDP協議？

答：主要有下面幾個因素：一是NAS服務器和Radius服務器大多位于同一個局域網中，使用UDP協議更加快捷方便。二是簡化了服務端的實現。事實證明，采用UDP協議可行，Radius服務器有自己的機制，來解決UDP協議丟包特點。

Radius服務的重傳機制指的是什么？

答：如果NAS服務器向某個Radius服務器提交請求沒有收到返回信息，那么可以要求備份Radius服務器重傳。由于有多個備份Radius服務器，因此NAS進行重傳的時候，可以采用輪詢的方法。如果備份Radius服務器的密鑰和以前Radius服務器的密鑰不同，則需要重新進行認證。

Radius服務數據包由幾部分組成？各個部分作用分別是什么？

答：Radius服務數據包分為五個部分。第一個部分長1個字節，用于區分Radius服務包的類型；第二個部分長一個字節，用于請求和應答包的匹配；第三個部分長兩個字節，表示Radius服務數據區；第四個部分長16個字節，用于驗證服務器端的應答，另外還用于用戶口令的加密；第五個部分不定長度，最小可為0個字節，描述Radius服務的屬性，如用戶名、口令、IP地址等信息都是存放在本數據段。

在Quidway S8500型號的路由交換機后臺系統中，如何詳細配置好Radius服務器的運行狀態？

答：在配置Radius服務器工作狀態時，先以管理員權限登錄交換機后臺系統，使用“System-view”字符串命令，切換到交換機后臺全局視圖模式，在該模式狀態下輸入字符串命令“radius scheme ABC”，進入 名稱為“ABC”的Radius服務器組視圖狀態，接著執行字符串命令“state primary authentication active” 或“state primary authentication block”，就能將主授權/認證Radius服務器的運行狀態指定為“active”狀態或“block”狀態了。要是輸入字符串命令“state secondary authentication active”或“state secondary authentication block”，就能輕松將備份授權/認證Radius服務器的運行狀態指定為“active”狀態或“block”狀態了。

要想將主計費Radius服務器的工作狀態設置為“active”狀態或“block”狀態時，只要輸入命令“state primary accounting active” 或“state primary accounting block”即可。要是輸入“state secondary accounting active”或“state secondary accounting block”命令，能夠將備份計費Radius服務器的工作狀態設置為“active”或“block”。默認狀態下，所有類型的Radius服務器工作狀態均為“active”狀態。

在日常管理維護網絡的時候，Radius服務器的屬性參數配置，有哪些規律能夠遵循的？

答：沒有固定的規律可以遵循，一切要根據具體情況來配置。比方說，可以配置四組相同的IP地址和端口參數，讓對應的Radius服務器組既作為局域網的計費服務器，又作為認證/授權服務器，同時將它們既作為主服務器，又作為備份服務器。也能夠配置其中兩臺服務器既作為主計費服務器，又作為備份認證/授權服務器，配置其他兩臺服務器既作為備份計費服務器，又作為主認證/授權服務器。當然，甚至能配置四組不同的數據，來對應四臺不同的Radius服務器。

由于Radius服務器在收發計費報文和認證/授權報文時，會使用不同的UDP端口，因此在指定服務器工作端口號碼時，必須要確保計費端口號碼和認證/授權端口號碼不能相同。默認狀態下，計費服務使用的端口號碼應該設置為1813，認證/授權服務端口號碼應該設置為1812，而不管哪一種類型的服務器，缺省使用的IP地址都為0.0.0.0。

Radius服務器組指的是什么？創建Radius服務器組時應該注意哪些事項？

答：Radius服務器組既能是一臺相對獨立的Radius服務器主機，也能是兩臺主、備服務器形成的一個組合，不過這兩臺服務器必須是配置參數相同，僅IP地址不同。所以在實際創建并配置Radius服務器組屬性參數時，需要特別注意兩點：一是要指定好主服務器的IP地址和備份服務器的IP地址，二是要設置好Radius服務器的類型以及共享密鑰等參數。

網絡訪問系統（NAS）在收到用戶登錄連接網絡請求信息后，將按照特定的數據包格式，向RADIUS服務器發出“接入請求”包，請問這個數據包中包含RADIUS協議的哪些屬性值？

答：主要包括登錄網絡系統的用戶名、用戶口令、訪問服務器的ID、訪問端口的ID等信息。

Radius服務主要有哪些安全隱患？

答：首先表現在加密方面，該服務雖然對用戶密碼進行了加密，但是其他的數據報文內容都沒有進行加密，無法很好地滿足機密性的要求。對用戶密碼是采用流密碼保護，要是服務器端對同一用戶的認證失敗次數沒有限制，那么惡意用戶或許會通過窮舉搜索來獲得正確的用戶口令。

該協議使用認證碼進行安全檢查，不過其接入請求數據包中的請求認證碼只是一個隨機數，因此Radius服務器并不能對接入請求包的報文進行鑒別。盡管要求接入請求數據包的請求鑒別碼，在特定時間內不能重復，不過Radius服務器并沒有對它的重復使用進行檢查。

其次表現在數據傳輸方面，Radius服務采用的UDP傳輸協議，能夠確保對用戶鑒別在很短的時間內完成，不過因為UDP協議沒有出錯重發機制，鑒別的可靠性就在一定程度上受到影響。

同時，Radius服務也沒有采用任何措施對重播(replay)的避免提供支持。Radius服務支持代理功能，允許Radius服務器把一個請求轉發給另一個Radius服務器。

但每一個代理Radius服務器都有權對用戶的認證計費信息進行修改，端到端的安全無法得到有效保障。另外，該協議還存在一個用戶可以以多種方式登錄、用戶密碼及共享密鑰過短、多個RADIUS客戶端和服務器端使用同一個共享密鑰等問題。

請問怎樣在Quidway S8500型號的路由交換機中，創建或刪除特定的Radius服務器組？

答：首先以系統管理員權限登錄進入路由交換機后臺系統，使用“System-view”命令，進入系統全局視圖模式狀態，在該狀態下執行字符串命令“radius scheme ABC”（這 里的“ABC”為特定Radius服務器組名稱），就能成功創建好一臺名稱為“ABC”的Radius服務器組了。在缺省狀態下，交換機后臺系統會將Radius服務器組的名稱取為“system”，并且將其相關屬性參數都定義為默認數值。

如果要創建本地Radius服務器組時，只要在交換機后臺系統全局視圖狀態下，執行字符串命令“local-server nas-ip ABC key DEF”即可，這里的“ABC”為本地Radius服務器組的IP地址，“DEF”為登錄服務器組的密碼內容。在缺省狀態下，成功創建好的本地Radius服務器組IP地址為“127.0.0.1”，缺省使用“huawei”這樣的密碼內容登錄服務器組。

日后，如果管理員不需要某個特定的Radius服務器組時，也能夠在交換機后臺系統全局視圖模式下，輸入“undo radius scheme ABC”命令，將名稱為“ABC”的特定Radius服務器組從后臺系統直接刪除掉。

請問不同的ISP域能否引用相同的一臺Radius服務器組？

答：答案是肯定的！對于Quidway系列路由交換機來說，每個遠程接入用戶都屬于一個ISP域，用戶最多能創建16個ISP域，要是某個用戶在登錄Radius服務器組時，沒有提交ISP域名，那么交換機后臺系統會自動將它歸類為默認的ISP域，而用戶最多可以同時創建16個Radius服務器組。

如果想查看所有或指定ISP域的配置信息時，只要在交換機后臺系統的任意視圖模式下，執行“display domain”命令，從返回的結果界面中，就能輕松查看到特定ISP域的所有配置信息了。

正常情況下，我們應該怎樣正確配置Radius服務器的響應超時時間呢？

答：一般來說，該參數既不能配置得太長，也不能配置得太短，配置得太長將無法保證用戶及時獲得Radius服務器提供的相關服務，配置得太短會造成數據報文傳輸不穩定。

在配置這種參數時，同樣先進入特定名稱的Radius服務器組視圖狀態，之后執行“timer X”命 令 設 置 好超時時間，其中“X”為響應超時定時器數值，該數值默認為3秒鐘。當成功配置好Radius報文的相關參數后，可以執行“display radius statistics”命令，從返回的結果界面中，就能判斷出配置是否正確了。

將Radius服務器組成功創建好后，一定要正確配置好它的IP地址以及端口號碼，由于每種服務器都有主從之分，所以最大可以配置四組IP地址以及端口號碼。請問如何詳細配置Radius服務器的地址和端口？

答：這樣的配置操作其實很簡單。只要先以系統管理員權限登錄交換機后臺系統，使 用“System-view”命令進入到后臺系統全局視圖模式狀態，執行字符串命令“radius scheme ABC”，切 換到名稱為“ABC”的Radius服務器組視圖狀態下，在該狀態下，輸入字符串命令“primary authentication IP n”命令，這里的“IP”為Radius服務器組需要用到的IP地址，“n”為服務器使用到的UDP端口號碼，單擊回車鍵后就能配置好主Radius認證/授權服務器組的IP地址和端口號碼了。

使用“primary accounting IP n”命令，可以配置好主Radius計費服務器組的IP地址以及端口號碼。要是使用字符串命令“secondary authentication IP n”， 能夠指定備份Radius認證/授權服務器組的IP地址和端口號碼，使用字符串命令“secondary accounting IP n”命令，能夠指定好備份Radius計費服務器組的IP地址和端口號碼。

默認狀態下，Radius服務器限定UDP數據請求報文的最大傳輸次數為3次，如果管理員想自行調整該參數時，該怎么操作？

答：只要先以管理員身份登錄進入交換機后臺全局視圖模式，在該模式狀態下輸入“radius scheme ABC”命令，單擊回車鍵后切換到名稱為“ABC”的Radius服務器組視圖狀態，繼續執行“retry X”字符串命令，這里的“X”為新設定的最大傳送次數，這樣就能配置好Radius服務器相關報文的最大傳送次數了。要想將該數值還原為缺省設置時，可以執行“undo retry”字符串命令。

Radius服務器收到客戶端系統接入請求包后，它是怎樣對用戶請求信息進行認證的？

答：首先查驗網絡訪問服務器的共享密碼與Radius服務器中事先配置的是否一致，以判斷是所屬的Radius客戶端。在判斷了數據包的正確性之后，Radius服務器會依據數據包中的用戶名，在用戶數據庫中搜索是否有此用戶記錄。要是用戶信息不符合，就向網絡訪問服務器發出接入拒絕包。網絡訪問服務器在收到拒絕包后，會立即停止用戶連接端口的服務要求，用戶被強制退出。倘若用戶信息全部符合，Radius服務器向網絡訪問服務器發出接入質詢數據包，對用戶的登錄請求作進一步的認證。

當主Radius服務器的工作狀態恢復正常后，怎樣才能讓終端計算機系統立即與其重新建立連接并通信，而不是繼續與備份服務器建立通信連接呢？

答：很簡單，管理員只需要采取手工配置措施，強行將主Radius服務器的運行狀態設置為“active”狀態。一旦主服務器處于“active”工作狀態，那么Radius備份服務器不管處于“active”運行狀態，還是“block”運行狀態，終端計算機系統都會自動將Radius數據報文發送給主Radius服務器去處理。

請問Radius服務器支持哪幾種安全認證機制？

答：Radius服務器可支持密碼認證協議（PAP）、點對點協議（PPP）、提問握手認證協議（CHAP）以及其它認證機制。

普通計算機系統與Radius服務器組在進行交互通信時，怎樣才能確保數據交互的安全性？

答：一定要采取MD5加密算法，來對Radius數據報文進行加密傳輸，防止重要配置信息被惡意用戶偷竊或盜取。只有在加密內容一致的情況下，普通計算機系統與Radius服務器組之間，才能正常傳輸數據報文。