1、什么是半徑？

2、RADIUS:遠(yuǎn)程認(rèn)證撥入用戶服務(wù)，由RFC2865和RFC2866定義，是目前應(yīng)用最廣泛的AAA協(xié)議。

3、RADIUS是一個C/S結(jié)構(gòu)的協(xié)議。它的客戶端最初是一個NAS(網(wǎng)絡(luò)訪問服務(wù)器)服務(wù)器?，F(xiàn)在，任何運行RADIUS客戶端軟件的計算機(jī)都可以成為RADIUS客戶端。RADIUS協(xié)議認(rèn)證機(jī)制靈活，可以采用PAP、CHAP或Unix登錄認(rèn)證。RADIUS是一個可擴(kuò)展的協(xié)議，它的所有工作都是基于屬性-長度-值的向量。RADIUS還支持供應(yīng)商擴(kuò)展特定于供應(yīng)商的屬性。

(資料圖片)

4、RADIUS協(xié)議簡單、清晰、可擴(kuò)展，因此得到了廣泛的應(yīng)用，包括普通電話互聯(lián)網(wǎng)接入、ADSL互聯(lián)網(wǎng)接入、住宅寬帶互聯(lián)網(wǎng)接入、IP電話、VPDN(基于撥號用戶的虛擬專用撥號網(wǎng)絡(luò))、手機(jī)預(yù)付費業(yè)務(wù)等。最近，IEEE提出了802.1x標(biāo)準(zhǔn)，這是一種基于端口的無線網(wǎng)絡(luò)接入認(rèn)證標(biāo)準(zhǔn)。RADIUS協(xié)議也用于身份驗證。

5、基本工作原理

6、用戶訪問NAS，NAS使用Access-Require包向RADIUS服務(wù)器提交用戶信息，包括用戶名、密碼等相關(guān)信息，其中用戶密碼采用MD5加密，雙方使用共享密鑰，不通過網(wǎng)絡(luò)傳播；RADIUS服務(wù)器檢查用戶名和密碼的合法性，并且如果必要，它可以提出質(zhì)詢以進(jìn)一步認(rèn)證用戶，或者它可以類似地認(rèn)證NAS如果合法，它將訪問接受包返回給NAS，允許用戶進(jìn)行下一步工作；否則，它返回訪問拒絕包，拒絕用戶訪問；如果允許訪問，NAS向RADIUS服務(wù)器提出計費請求Account- Require，RADIUS服務(wù)器響應(yīng)Account-Accept，用戶計費開始，用戶可以進(jìn)行自己的相關(guān)操作。

7、RADIUS也支持代理和漫游功能。簡而言之，代理是可以充當(dāng)其他RADIUS服務(wù)器的代理的服務(wù)器，負(fù)責(zé)轉(zhuǎn)發(fā)RADIUS身份驗證和記帳數(shù)據(jù)包。漫游功能是代理的具體實現(xiàn)，允許用戶通過與其無關(guān)的RADIUS服務(wù)器進(jìn)行認(rèn)證。用戶還可以在非歸屬地運營商所在地獲得服務(wù)，也可以實現(xiàn)虛擬運營。

8、RADIUS服務(wù)器和NAS服務(wù)器通過UDP協(xié)議進(jìn)行通信。RADIUS服務(wù)器的端口1812負(fù)責(zé)身份驗證，端口1813負(fù)責(zé)記帳。采用UDP的基本考慮是NAS和RADIUS服務(wù)器大多在同一個局域網(wǎng)內(nèi)，使用UDP更快更方便，而且UDP是無連接的，會減輕RADIUS的壓力，更安全。

9、RADIUS協(xié)議也提供了重傳機(jī)制。如果NAS向RADIUS服務(wù)器提交請求，但沒有收到返回信息，它可以要求備份RADIUS服務(wù)器重新傳輸該請求。由于有多個備份RADIUS服務(wù)器，當(dāng)NAS重新傳輸時，可以使用輪詢方法。如果備份RADIUS服務(wù)器的密鑰不同于以前RADIUS服務(wù)器的密鑰，您需要重新進(jìn)行身份驗證。

10、基本消息交互過程

11、RADIUS服務(wù)器對用戶的認(rèn)證過程通常需要使用nas等設(shè)備的代理認(rèn)證功能。RADIUS客戶端和RADIUS服務(wù)器通過共享密鑰對彼此的交互消息進(jìn)行認(rèn)證，用戶的密碼以密文的形式在網(wǎng)絡(luò)上傳輸，增強(qiáng)了安全性。RADIUS協(xié)議結(jié)合了認(rèn)證和授權(quán)過程，即響應(yīng)消息攜帶授權(quán)信息。

12、基本的交互步驟如下：

13、(1)用戶輸入用戶名和密碼；

14、(2)RADIUS客戶端根據(jù)獲取的用戶名和密碼向RADIUS服務(wù)器發(fā)送訪問請求。

15、(3)RADIUS服務(wù)器將用戶信息與用戶數(shù)據(jù)庫信息進(jìn)行比較和分析，如果認(rèn)證成功，則在認(rèn)證響應(yīng)包(access-accept)中將用戶的權(quán)限信息發(fā)送給RADIUS客戶端；如果認(rèn)證失敗，則返回訪問拒絕響應(yīng)分組。

16、(RADIUS客戶端根據(jù)接收到的認(rèn)證結(jié)果接入/拒絕用戶。如果用戶可以訪問，RADIUS客戶端向RADIUS服務(wù)器發(fā)送計費請求包，狀態(tài)類型值為start

17、(RADIUS服務(wù)器返回計費響應(yīng)包；

18、(6)RADIUS客戶端向RADIUS服務(wù)器發(fā)送計費請求包，狀態(tài)類型值為停止；

19、(RADIUS服務(wù)器返回一個記帳響應(yīng)數(shù)據(jù)包。

本文到此結(jié)束，希望對大家有所幫助。

關(guān)鍵詞：