radius

“Radius”（Remote Authentication Dial In User Service）是一種客戶端/服務(wù)器架構(gòu)的網(wǎng)絡(luò)認證協(xié)議，它用于在網(wǎng)絡(luò)上進行認證、授權(quán)和計費管理。Radius可以為用戶提供安全訪問，并且可以在客戶端和服務(wù)器之間實現(xiàn)雙向認證。 Radius是一種網(wǎng)絡(luò)認證協(xié)議，它可以為客戶端提供安全訪問，并且可以在客戶端和服務(wù)器之間實現(xiàn)雙向認證。Radius的主要功能是提供認證、授權(quán)和計費管理。它可以讓網(wǎng)絡(luò)管理員控制網(wǎng)絡(luò)訪問，防止未經(jīng)授權(quán)的用戶訪問網(wǎng)絡(luò)，以及控制用戶的網(wǎng)絡(luò)使用。 Radius的應(yīng)用非常廣泛，它可以用于支持網(wǎng)絡(luò)接入、虛擬專用網(wǎng)（VPN）、無線網(wǎng)絡(luò)接入、網(wǎng)絡(luò)認證和計費等。它可以用于支持以太網(wǎng)、無線局域網(wǎng)（WLAN）、虛擬專用網(wǎng)（VPN）、計費系統(tǒng)等。 Radius的另一個重要功能是提供安全性。它可以使用加密算法，如MD5和SHA-1，來保護傳輸?shù)臄?shù)據(jù)。它還可以使用TLS（傳輸層安全）協(xié)議來保護傳輸?shù)臄?shù)據(jù)，以防止未經(jīng)授權(quán)的訪問。 Radius還可以支持多種認證機制，如基于用戶名/密碼的認證、基于證書的認證、基于多因素認證等。這些認證機制可以有效地保護網(wǎng)絡(luò)安全，防止未經(jīng)授權(quán)的訪問。 總之，Radius是一種客戶端/服務(wù)器架構(gòu)的網(wǎng)絡(luò)認證協(xié)議，它可以為用戶提供安全訪問，并且可以在客戶端和服務(wù)器之間實現(xiàn)雙向認證。它可以用于支持網(wǎng)絡(luò)接入、虛擬專用網(wǎng)（VPN）、無線網(wǎng)絡(luò)接入、網(wǎng)絡(luò)認證和計費等，并且可以提供安全性和多種認證機制，以防止未經(jīng)授權(quán)的訪問。

---


   

   RADIUS:Remote Authentication Dial In User Service，遠程用戶撥號認證系統(tǒng)
由RFC2865，RFC2866定義，是目前應(yīng)用最廣泛的AAA協(xié)議。

RADIUS協(xié)議最初是由Livingston公司提出的，原先的目的是為撥號用戶進行認證和計費。后來經(jīng)過多次改進，形成了一項通用的認證計費協(xié)議。

創(chuàng)立于1966年Merit Network, Inc.是密執(zhí)安大學(xué)的一家非營利公司，其業(yè)務(wù)是運行維護該校的網(wǎng)絡(luò)互聯(lián)MichNet。1987年，Merit在美國NSF（國家科學(xué)基金會）的招標(biāo)中勝出，贏得了NSFnet（即Internet前身）的運營合同。因為NSFnet是基于IP的網(wǎng)絡(luò)，而MichNet卻基于專有網(wǎng)絡(luò)協(xié)議，Merit面對著如何將MichNet的專有網(wǎng)絡(luò)協(xié)議演變?yōu)镮P協(xié)議，同時也要把MichNet上的大量撥號業(yè)務(wù)以及其相關(guān)專有協(xié)議移植到IP網(wǎng)絡(luò)上來。

1991年，Merit決定招標(biāo)撥號服務(wù)器供應(yīng)商，幾個月后，一家叫Livingston的公司提出了建議，冠名為RADIUS，并為此獲得了合同。

1992年秋天，IETF的NASREQ工作組成立,隨之提交了RADIUS作為草案。很快，RADIUS成為事實上的網(wǎng)絡(luò)接入標(biāo)準，幾乎所有的網(wǎng)絡(luò)接入服務(wù)器廠商均實現(xiàn)了該協(xié)議。

1997年，RADIUS RFC2039發(fā)表，隨后是RFC2138，最新的RADIUS RFC2865發(fā)表于2000年6月。

RADIUS是一種C/S結(jié)構(gòu)的協(xié)議，它的客戶端最初就是NAS（Net Access Server）服務(wù)器，現(xiàn)在任何運行RADIUS客戶端軟件的計算機都可以成為RADIUS的客戶端。RADIUS協(xié)議認證機制靈活，可以采用PAP、 CHAP或者Unix登錄認證等多種方式。RADIUS是一種可擴展的協(xié)議，它進行的全部工作都是基于Attribute-Length-Value的向量進行的。RADIUS也支持廠商擴充廠家專有屬性。

RADIUS的基本工作原理。用戶接入NAS，NAS向RADIUS服務(wù)器使用Access-Require數(shù)據(jù)包提交用戶信息，包括用戶名、密碼等相關(guān)信息，其中用戶密碼是經(jīng)過MD5加密的，雙方使用共享密鑰，這個密鑰不經(jīng)過網(wǎng)絡(luò)傳播；RADIUS服務(wù)器對用戶名和密碼的合法性進行檢驗，必要時可以提出一個Challenge，要求進一步對用戶認證，也可以對NAS進行類似的認證；如果合法，給NAS返回Access-Accept數(shù)據(jù)包，允許用戶進行下一步工作，否則返回Access-Reject數(shù)據(jù)包，拒絕用戶訪問；如果允許訪問，NAS向RADIUS服務(wù)器提出計費請求Account- Require，RADIUS服務(wù)器響應(yīng)Account-Accept，對用戶的計費開始，同時用戶可以進行自己的相關(guān)操作。

RADIUS還支持代理和漫游功能。簡單地說，代理就是一臺服務(wù)器，可以作為其他RADIUS服務(wù)器的代理，負責(zé)轉(zhuǎn)發(fā)RADIUS認證和計費數(shù)據(jù)包。所謂漫游功能，就是代理的一個具體實現(xiàn)，這樣可以讓用戶通過本來和其無關(guān)的RADIUS服務(wù)器進行認證，用戶到非歸屬運營商所在地也可以得到服務(wù)，也可以實現(xiàn)虛擬運營。

RADIUS服務(wù)器和NAS服務(wù)器通過UDP協(xié)議進行通信，RADIUS服務(wù)器的1812端口負責(zé)認證，1813端口負責(zé)計費工作。采用UDP的基本考慮是因為NAS和RADIUS服務(wù)器大多在同一個局域網(wǎng)中，使用UDP更加快捷方便。

RADIUS協(xié)議還規(guī)定了重傳機制。如果NAS向某個RADIUS服務(wù)器提交請求沒有收到返回信息，那么可以要求備份RADIUS服務(wù)器重傳。由于有多個備份RADIUS服務(wù)器，因此NAS進行重傳的時候，可以采用輪詢的方法。如果備份RADIUS服務(wù)器的密鑰和以前RADIUS服務(wù)器的密鑰不同，則需要重新進行認證。

由于RADIUS協(xié)議簡單明確，可擴充，因此得到了廣泛應(yīng)用，包括普通電話上網(wǎng)、ADSL上網(wǎng)、小區(qū)寬帶上網(wǎng)、IP電話、VPDN（Virtual Private Dialup Networks，基于撥號用戶的虛擬專用撥號網(wǎng)業(yè)務(wù)）、移動電話預(yù)付費等業(yè)務(wù)。最近IEEE提出了802.1x標(biāo)準，這是一種基于端口的標(biāo)準，用于對無線網(wǎng)絡(luò)的接入認證，在認證時也采用RADIUS協(xié)議。


★協(xié)議結(jié)構(gòu)
-------------------------------------------------
          8 bit|          16  bit |       32 bit
-------------------------------------------------
          Code |      Identifier  |        Length
-------------------------------------------------
              Authenticator （16 bytes）
-----------------------------------------------

Code ― 信息類型如下所述：
1、請求訪問（Access-Request）；
2、接收訪問（Access-Accept）；
3、拒絕訪問（Access-Reject）；
4、計費請求（Accounting-Request）；
5、計費響應(yīng)（Accounting-Response）；
11、挑戰(zhàn)訪問（Access-Challenge）；
12、服務(wù)器狀況（Status-Server — Experimental）；
13、客戶機狀況（Status-Client — Experimental）；
255、預(yù)留（Reserved）

Identifier ― 匹配請求和響應(yīng)的標(biāo)識符。

Length ― 信息大小，包括頭部。

Authenticator ― 該字段用來識別 RADIUS 服務(wù)器和隱藏口令算法中的答復(fù)。  
2. radius 的基本消息交互流程
    radius 服務(wù)器對用戶的認證過程通常需要利用nas 等設(shè)備的代理認證功能，radius 客戶端和radius 服務(wù)器之間通過共享密鑰認證相互間交互的消息，用戶密碼采用密文方式在網(wǎng)絡(luò)上傳輸，增強了安全性。radius 協(xié)議合并了認證和授權(quán)過程，即響應(yīng)報文中攜帶了授權(quán)信息。
   
    基本交互步驟如下：
    (1) 用戶輸入用戶名和口令；
    (2) radius 客戶端根據(jù)獲取的用戶名和口令，向radius 服務(wù)器發(fā)送認證請求包（access-request）。
    (3) radius 服務(wù)器將該用戶信息與users 數(shù)據(jù)庫信息進行對比分析，如果認證成功，則將用戶的權(quán)限信息以認證響應(yīng)包（access-accept）發(fā)送給radius 客戶端；如果認證失敗，則返回access-reject 響應(yīng)包。
    (4) radius 客戶端根據(jù)接收到的認證結(jié)果接入/拒絕用戶。如果可以接入用戶，則radius 客戶端向radius 服務(wù)器發(fā)送計費開始請求包
    （accounting-request），status-type 取值為start；
    (5) radius 服務(wù)器返回計費開始響應(yīng)包（accounting-response）；
    (6) radius 客戶端向radius 服務(wù)器發(fā)送計費停止請求包（accounting-request），status-type 取值為stop；
    (7) radius 服務(wù)器返回計費結(jié)束響應(yīng)包（accounting-response）。




   

Remote Authentication Dial In User Service，撥號用戶遠程認證服 務(wù)。 一種鑒別和授權(quán)撥號用戶的安全服務(wù)，并且是一種集中式訪問的控制 機制。作為一種分布式的客戶機/服務(wù)器系統(tǒng)，能提供 AAA 功能。

抱歉，此頁面的內(nèi)容受版權(quán)保護，復(fù)制需扣除次數(shù)，次數(shù)不足時需付費購買。

如需下載請點擊：點擊此處下載

關(guān)閉

掃碼付費即可復(fù)制
X

• 更多詳細解釋內(nèi)容
• 在通信搜索中檢索“radius”

• WLAN的幾個重要概念求區(qū)別：portal，radius，bras，bas
• cdma2000核心分組域中的RADIUS服務(wù)器
• 中興RADIUS（小區(qū)半徑）如何換算成公里
• 更多 radius 相關(guān)討論貼

• 在MapInfo中計算方位角的公式為：nlong=Long+Radius*COS(Pi()*Azimuth/180)；nLat=Lat+Radius*(S
• Cell Radius”或“RS SINR->Cell Radius”。---請問什么是“RSRP和RS SINR”，謝謝
• GPRS中GGSN中配置的RADIUS和AAA服務(wù)器的具體作用
• CIScO radius認證配置的一些問題
• 更多 radius 相關(guān)問答

• 基于RADIUS協(xié)議的寬帶接入認證技術(shù)研究
• Radius協(xié)議原理專題-20040223-B
• Radius原理與應(yīng)用培訓(xùn)教材
• AAA RADIUS HWTACACS配置.pdf
• Radius+/Portal協(xié)議與業(yè)務(wù)流程
• RADIUS協(xié)議
• 更多 radius 相關(guān)技術(shù)資料下載

分集接收 | 泰克 | 安捷倫 | ANT | zte | 中國網(wǎng)通 | 中國鐵通 | 中國電信 | 中國聯(lián)通 | 中國移動 | 微波 | 電磁波 |