2024年6月11日发(作者:)

RADIUS远程用户拨号认证系统

RADIUS:Remote Authentication Dial In User Service,远程用户拨号认证系统由RFC2865,

RFC2866定义,是目前应用最广泛的AAA协议(AAA是Authentication(认证)、Authorization

(授权)和Accounting(计费)的简称)

基本概念

AAA Authentication、Authorization、Accounting

验证、授权、记费

PAP Password Authentication Protocol

口令验证协议

CHAP Challenge-Handshake Authentication Protocol

盘问握手验证协议

NAS Network Access Server

网络接入服务器

RADIUS Remote Authentication Dial In User Service

远程验证拨入用户服务(拨入用户的远程验证服务)

TCP Transmission Control Protocol

传输控制协议

UDP User Datagram Protocol

用户数据报协议

AAA实现途径

1. 在网络接入服务器NAS端: 在NAS端进行认证、授权和计费;

2. 通过协议进行远程的认证、授权和记帐。实现AAA的协议有

RADIUS

RADIUS 是Remote Authentication Dial In User Service 的简称,MA5200、ISN8850和MD5500

上目前使用RADIUS完成对PPP用户的认证、授权和计费。

当用户想要通过某个网络(如电话网)与 NAS建立连接从而获得访问其他网络的权

利时,NAS可以选择在NAS上进行本地认证计费,或把用户信息传递给RADIUS服务器,由

Radius进行认证计费;RADIUS 协议规定了NAS与RADIUS 服务器之间如何传递用户信息和

记账信息;RADIUS服务器负责接收用户的连接请求,完成验证,并把传递服务给用户所需

的配置信息返回给NAS。

本地(NAS)验证——PAP方式

PAP(Password Authentication Protocol)是密码验证协议的简称,是认证协议的一种。

用户以明文的形式把用户名和他的密码传递给NAS,NAS根据用户名在NAS端查

找本地数据库,如果存在相同的用户名和密码表明验证通过,否则表明验证未通过。

本地(NAS)验证——CHAP方式

CHAP(Challenge Handshake Authentication Protocol)是查询握手验证协议的简称,是我们使

用的另一种认证协议。Secret Password = MD5(Chap ID + Password + challenge)

相比PAP,CHAP密码使用的是MD5加密验证的一种方式。

当用户请求上网时,服务器产生一个16字节的随机码(challenge)给用户(同时还有一个

ID号,本地路由器的 host name)。用户端得到这个包后使用自己独用的设备或软件对传来

的各域进行加密,生成一个Secret Password传给NAS。NAS根据用户名查找自己本地的数据

库,得到和用户端进行加密所用的一样的密码,然后根据原来的16字节的随机码进行加密,

将其结果与Secret Password作比较,如果相同表明验证通过,如果不相同表明验证失败。