百度一下 藏锋者 就能快速找到本站! 每日资讯归档 下载藏锋者到桌面一键访问

当前位置:主页 > 网络安全 > RADIUS

RADIUS

所在栏目:网络安全 时间:06-12 10:45 分享:

在网络接入设备的初期阶段,用户的认证和授权主要是由接入设备自身来完成。这在用户数量较少时还能够很好地满足要求,但当用户数量达到一定规模后,接入设备间的用户认证数据共享就成为了很大的问题。因为不可能限制用户必须通过某台特定的接入设备接入(这会严重降低资源利用率),所以一个用户的信息必然存在于多个接入设备之上,这就给用户信息的维护带来了很大的麻烦。这时人们开始注意到,应该将用户信息集中存放在一个地方,由一个“权威机构”进行集中认证,于是就诞生了RADIUS协议,随后Cisco公司也推出了类似的集中认证协议TACACS(最近版本为TACACS+)。RADIUS和TACACS+协议为网络接入设备的集中认证(Authentication)、授权(Authorization)和记账(Accounting)提供了基础。

RADIUS是“RemoteAuthenticationDialInUserService”的简写,其第一版为RFC2058和2059,第二版为RFC2138和2139。2138主要规定集中认证和授权过程,2139则规定了记账过程。RADIUS规范使用UDP协议传输数据。

1)RADIUS主要特点

RADIUS具有以下特点:通过网络传输的认证信息都经过加密,安全性高;认证方式灵活,支持UnixPasswd,CHAP,挑战———回答认证等多种认证方式,还支持认证转接(AuthenticationForwarding);协议扩展性好,通过变长的属性串(AttributePair)能够进一步扩展RADIUS协议。值得一提的是,RADIUS本身并未规定如何进行授权操作,在实际应用中,授权是通过定义ACL(AccessControlList)属性串扩展RADIUS来实现的。

2)认证记录过程

RADIUS的认证过程如下:NAS被看成RADIUS的客户端,当用户登录到NAS时,客户端将用户提供的认证信息(如用户名和口令)发送给指定的RADIUSServer,并根据Server的回应作出相应的“允许不允许登录”的决定。

RADIUSServer负责接收认证请求并进行认证,然后将认证结果(包括连接协议、端口信息、ACL等授权信息)发送回RADIUSClient,Client根据授权信息限制用户对资源的访问。一个RADIUSServer可以作为另一个RADIUSServer的客户端要求认证(即认证转接),以提供灵活的认证方式。RADIUSServer和Client之间传递的认证信息用一个事先设置的口令进行加密,防止敏感信息泄露。

当用户成功的登录后,NAS会向RADIUSServer发送一个连接开始的记账信息包,其中包括用户使用的连接种类、协议和其他自定义信息;当用户断开连接后,NAS会向RADIUSServer发送一个连接结束的记账信息包,RADIUSServer根据设置为用户记录。

一个典型的登录过程如下所示:用户登录NAS;NAS发送“Access-Request”到RADIUSServer,其中包括用户名、密码等信息;如果该用户可以直接认证,RADIUSServer将根据设置认证该用户,并发回“Access-Accept”;或拒绝该用户,并发回“Access-Reject”消息;如果该用户使用挑战—回答认证,RADIUSServer将发送包含挑战信息的“Access—Challenge”消息,NAS将挑战信息显示给用户;用户将回答提交给NAS,NAS将发送第二个“Access—Request”,Server将根据此信息进行认证;如果该用户需要另一个RADIUSServer进行认证,该Server会利用认证转接功能进行认证。这个口令就由服务器和用户共享。

上面介绍的是几种常见的认证方式,除此之外,还有(1)SSH:加强TELNET,登录时的口令加密后传输。(2)SSL:SSL的基本机制本书已经在前面介绍过,SSL几乎可以和大多数互联网应用配合使用。最典型的应用是加强HTTP。

它使用公钥与私钥结合的方法,可以抵御重发(Replay)、人中介(Man-in-the-Middle)、穷举分析(Plain-Text)等攻击。但是在使用SSL保护时必须申请CA证书。(3)PGP:通用的公钥加密工具。可以用来加密电子邮件、机密文档等。安全性的关键在于私钥本身的安全性。PGP在互联网爱好者中非常流行,它适合于在有限范围内进行加密传输、认证。除此以外,还有前文介绍过的基于DCE环境的Kebores认证方式以及稍后我们将重点介绍的电子签名的认证方式等等。

当然,在互联网空间通过网络通信的双方是看不见彼此面容的,所以如果对机密信息不保持高度谨慎,那么伪造、盗用、篡改的危险总是存在。正是因为这些危险的存在,我们并不能确定口令、信用卡的号码等方式是安全的方法,而媒体也屡次报道过诸如信用卡号码和口令被盗或者滥用的事件。因而,如何把个人特征与上述认证方式结合起来就成为了另一个课题。

RADIUS 免费邮件订阅: 邮件订阅

图片推荐

热点排行榜

CopyRight? 2013 www.cangfengzhe.com All rights reserved