浅析 RADIUS 协议的网络认证技术
张克新 曹 琳 长沙师范学院电子与信息工程系 湖南长沙 410100
本文受湖南省教育厅基金项目
(13C1067)资助
【文章摘要】
RADIUS协议是被广泛用于网络认证。计费等系统的协议。文中以RADIUS协议为研究视角,介绍了RADIUS协议的工作原理、认证流程和及RADIUS服务器地址及分析情况。
【关键词】
RADIUS协议 ;网络 ;认证技术
0 引言
随着网络技术的快速发展,网络运营商创建的网络系统越来越庞大,更多的企业、学校建立高速的局域网,他们可以为用户提供最佳的网络服务。网络安全问题成为重点关注的问题。运用RADIUS技术在局域网设置访问认证管理系统,从而实现管理局域网用户访问网络资源的目的。文中以RADIUS协议为研究视角,对RADIUS协议的工作原理进行深入分析,介绍了 RADIUS 协议认证流程及 RADIUS服务器地址。
1 简述 RADIUS协议工作原理
RADIUS协议是远程服务协议的简称形式,这一协议是 Livingston 公司研发的主要用于拨号用户认证和计费的协议。经过长时间的发展创新,发展成为广泛应用于各地的网络认证和计费协议。RADIUS服务器可以支持不同的认证机制,可以对PPP、CHAP、 PAP 系统登陆信息的有效性。目前,RADIUS协议可以应用辅导移动、智能网等不同业务的认证、计费系统中,应用范围非常广泛。RADIUS通过客户端C/S架构软件发出认证请求,认证网向RADIUS服务器发出数据包提供的用户信息,包含用户的名称、密码、IP地址等相关资料,同时所发送的用户密码必须使用MD5进行加密操作。双方使用共享密码钥匙,RADIUS服务器进一步检验用户名和密码是否合法。必要时会给出一个Challenge对用户进行进一步验证。若验证合法,会把认证网管返回到Access-ACCEPT数据包,允许用户进一步访问,否则会拒绝用户深入访问。
2 RADIUS协议认证流程
当打开集成网络认证系统的C/S客户浅析 RADIUS 协议的网络认证技术 张克新 曹 琳 长沙师范学院电子与信息工程系 湖南长沙 410100端后,用户依次把用户信息和对应的密码输入其中,把所有已经输入的资料与采集获取的IP地址发送给认证网关。Windows LAS服务器把输入的密码进行加密设置后,合理配置发出请求信号的用户账户、密码与数据库内部的信息,如果所有的信息顺利通过验证,可以说输入的信息为合法信息。若信息不合法或并没有所输入的用户信息,可以配置寻域控制器,对输入的用户信息和密码实施验证,根据验证结果判断信息是否合法。如果属于合法域账户信息,用户的信息就能顺利通过验证,同时把输入用户的账户与经过加密设置的密码存储在本地数据库内;如果检验所输入的信息不合法则不允许该用户访问。顺利通过合法验证之后,还应该再次验证IP-MAC,根据验证情况判断匹配情况。若相互匹配,就可以说用户运用的IP地址是经过合理注册的,不存在篡改IP地址的情况,可以在安全的状态下实施相应的网上操作。如果不匹配,系统会自动拒绝用户发出的认证请求。Windows LAS 就会把验证获取的结果输送给网关,若信息可以顺利通过验证,网关不会限制用户开展的任何操作。同时,网关会把获取的验证信息输送至认证计算机的C/S客户端。通过一次认证之后,认证请求采用 Keep-Alive 存活机制确保网络通道的畅通,直至用户下线为止。
3 设置 RADIUS服务器地址及分析
3.1 设置 RADIUS服务器地址
认证网关共设置三个端口,一个设置为上行端口,一个是介入端口,网管端口不用专一进行配置。RADIUS服务器配备2个网络端口,一个是认证服务器的接口,地址是 10.76.35.43,另外一个端口用来连接数据服务器,地址设为194.168.0.3,设置使用的加密操作为amtium,也支持本地网络的认证操作。
3.2 网关认证及分析
Port enetl ethernet 10.78.256.78
257.257.257.249 // 设置接入端口地址及
子网掩码
Port enetl bridge enet0 // 设置 enetl 把
其端口连接至 enet0
Port bridge-out 10.76.256.76[00:of:e2:3
1:6b:a5] //设定桥接操作报文输送地址为
radius auth ip 10.76.35.43
key amtium // 系统发出认证信息后
约10秒回收到应答,如果10秒没有接收
应答信息则再次发送报文,系统自行设定
的时间是 5 秒。
Radius auth port 1813 // 配置认证服
务的认证端口是 1813
Radius auth enable // 配置使用
radius 认证
Radius mon-primary on radius mon-
intervar 30 // 把 Radius 工作监控打开,
主要作用是若Radius服务器出现异常网关会依照 radius mon-intervar 30 命令设定时间定期对 radius 服务器工作状态进行检测。
Radius mon-down off // 去除默认的免认证开关,如果配置是on,当网关检测到没有一个 radius 服务器处在正常工作状态,有5个认证用户无法打开免认证开关。若有pass-out参数代表用户访问外网不需要实施验证,携带 inrate 和 outrate 吧认证的类型设定为pap对这一ip子网的用户实施限制。
Auth pap //定义认证类型是
pap.
4 结束语
总之,RADIUS协议通过长时间的改进和优化认证方式,可好的解决传统认证方式上出现的问题,可以有效节省建网成本。本文从RADIUS协议的工作原理入手,介绍了RADIUS协议的认证流程及服务器地址。
【参考文献】
[1] 班勇 , 吕盛槐 . 基于 802.1x 协议的网络认证技术研究[J].中国科技纵横 ,2013,(7):18.
[2]李健,知俊民,王晓明等.一个安全宽带接入系统的建立[J].计算机工程 ,2012,38(6):126-128.D
[3] 单康康 , 张兴明 .RADIUS 协议在ACR中的研究[J].广西大学学报(自然科学版),2011,36(z1):65-68.
[4] 祝 彦 峰 . 浅 谈 802.1x 标 准和Radius协议的扩展应用问题[J].计算机光盘软件与应
用 ,2011,(13):170-170.
[5]胡汝荣,雒江涛,向程超等 .CDMA2000 1x EV-DO 网 络RADIUS协议解码方法的研究与实现[J].南京邮电大学学报(自然科学版),2014,34(3):80-84.
【作者简介】
张克新(1971—),男,硕士,副教授,长沙师范学院电子与信息工程系,曾在华中科技大学做青年骨干教师国内访问学者,研究方向为系统分析与集成。