RADIUS协议的扩展应用研究_计算机论文.docVIP

RADIUS协议的扩展应用研究_计算机论文 RADIUS协议的扩展应用研究_计算机论文 摘 要 介绍了RADIUS协议的基本概念和原理，结合实际需求，指出了RADIUS协议在应用中的不足与缺陷，提出了实现扩展应用的设计方案和具体实现方法，以符合宽带环境下认证和计费的实际应用需求。 关键词 RADIUS；802.1x；AAA；扩展 0 前言 RADIUS协议（Remote Access Dail-In User Service，远程认证拨号用户服务协议）由于其支持多种认证法方式、易于扩展、相对安全、易于实现等特点，已成为很流行的AAA协议。很多厂商推出了各种有关RADIUS的产品，例如RADIUS服务器，支持RADIUS的接入路由器、交换机等，目前RADIUS已经成为网络环境中一个事实上的AAA（Authentication 认证，Authorization授权，Accounting 计费）标准。但由于RADIUS协议本身没有解决好对用户上下行带宽的控制、用户上网时限的限制等问题，限制了其推广与广泛应用。本文利用RADIUS协议的可扩展性，通过扩展RADIUS协议的应用，在实现认证计费的同时可以对用户的认证进行有效控制。 1 RADIUS协议简介 RADIUS主要提供三个基本功能：Authentication（认证）、Authorization（授权）、Accounting（计费），即AAA功能。该协议采用C/S结构，以UDP作为传输协议，具有强大的认证能力，是管理远程用户验证和授权的常用方法。RADIUS的客户端一般是NAS（Network Access Server，网络接入服务器）。同时RADIUS是一种可扩展的协议，它进行的全部工作都是基于Attribute-Length-Value的向量进行的。 1.1 RADIUS数据包格式 RADIUS协议是TCP/IP的应用层协议，在传输层它的报文封装在UDP报文中，进而封装进IP包。Radius数据包格式如图1所示，各个域是自左向右传送的。CodeIdentifierLength Authenticator Attributes 图1 Radius数据包格式 （1）Code：标识Radius包的类型； （2）Identifier：匹配请求和响应的标识符； （3）Length：表明Code、Identifier、Length、Authenticator和Attributes的总长度； （4）Authenticator：该字段用来识别RADIUS服务器和隐藏口令算法中的答复。 （5）Attributes：属性可能包含多个实例，在这种情况下同种类型的各个属性的排列应当保持一定的顺序。但是，不同类型的各个属性的排列顺序是任意的。 1.2 Attribute数据格式 Attribute的数据格式有两种，一种是标准属性的数据格式图2所示；另一种是类型值为26的Vendor-Specific属性的数据格式图3所示，此属性允许厂商扩展不适合作通用用途的私有属性。TypeLengthValue1 图 2 标准属性数据格式TypeLengthVendor-idValue2 图 3 Vendor-Specific数据格式 （1）Type：指示了Attribute的类型； （2）Length：指明Attribute（包括Type,Length,Vendor-Id和Value域）的长度，如果某个Attribute是在Access-Request中收到的，但长度是无效的，这时应发一个Access-Reject。如果某个Attribute是从Access-Accept, Access-Reject或者Access-Challenge中收到的，并具有无效的长度，这个包必须被视为Access-Reject或者丢弃； （3）Value1有4种类型：String、Ipa-ddress、Integer、Time从00:00:00GMT,Jan-uary 1,1970到当前的总秒数）； （4）Vendor-Id：是以网络字节顺序排列的私人企业代码（一般为常量）； （5）Value2与Value1类型相同。此域应按如下顺序编码vendor type/vendor length/ verdor value，其中verdor value域取决于厂商对这个属性的定义。 2 RADIUS在应用中存在的问题 基于802.1x技术的RADIUS服务器的应用在一定程度上提高了网络性能，实现了大型局域网内外部的安全认证管理，但随着RADIUS的产品的广泛应用，协议本身存在的不足和局限渐渐暴露出来，给整个网络带来安全隐患。其不足与局限主要体现在以下几个方面：图4应用网络拓朴图 （1）如果网络中某一用户受