(2)是由朗訊公司提出的C/S安全協議,已成為Internet的正式協議標準,是當前流行的AAA(認證Authentication、授權Authorization、計費Accounting)協議。
(3)是網絡接入服務器(NAS)和後臺服務器(RADIUS服務器,有DB)之間的壹個常見協議,使得撥號和認證放在兩個分離網絡設備上。
RADIUS的特點
(1) RADIUS協議使用UDP作為傳輸協議。使用兩個UDP端口分別用於認證(以及認證通過後對用戶的授權)和計費。1812號是認證端口,1813號是計費端口。
(2) RADIUS服務器能支持多種認證方法。當用戶提交用戶名和密碼時,RADIUS服務器能支持PPP PAP(口令認證協議)或者CHAP(質詢握手協議)、UNIX Login和其他認證方法。
RADIUS的認證過程
(1)接入服務器從用戶那裏獲取用戶名和口令(PAP口令或CHAP加密口令),將其同用戶的壹些其他信息(如主叫號碼、接入號碼、占用的端口等)打成RADIUS數據包向RADIUS服務器發送,通常稱為認證請求包。
(2)RADIUS服務器收到認證請求包後,首先查看接入服務器是否已經登記,然後根據包中用戶名、口令等信息驗證用戶是否合法。如果用戶非法,則向接入服務器發送訪問拒絕包;如果用戶合法,那麽RADIUS服務器會將用戶的配置信息(如用戶類型、IP地址等)打包發送到接入服務器,該包被稱為訪問接受包。
(3)接入服務器收到訪問接受/拒絕包時,首先要判斷包中的簽名是否正確,如果不正確將認為收到壹個非法的包。如果簽名正確,那麽接入服務器會接受用戶的上網請求,並用收到的信息對用戶進行配置、授權(收到了訪問接受包);或者是拒絕該用戶的上網請求(收到了訪問拒絕包)。