【参考文档】RADIUS拨入用户的远程验证服务.docVIP

RADIUS——拨入用户的远程验证服务 系统结构概述： 拨号用户向网络访问服务器（NAS）申请网络服务（比如SLIP、Telnet、PPP、rlogin等），网络访问服务器能否为该用户提供服务，取决于该用户能否通过验证，这个验证机制往往是由远程的共享验证服务器（及相应的用户资料数据库）来提供的。验证流程概括起来应该是：用户与网络访问服务器建立连接，并向其提供自己的用户名、口令字等信息，网络访问服务器根据这些初始身份信息打包，将验证申请包发往某一个远程的共享验证服务器，该验证服务器从相应数据库中取出与申请用户相应的记录信息，进行验证之后，将验证结果打包发回送来验证包的网络访问服务器，网络访问服务器根据这个结果向拨号用户提供网络服务。 运行过程： 拨号用户与网络访问服务器之间的交互： 拨号用户应该向网络访问服务器提供自身的身份信息，如用户名、口令字等等。此外，一个合法的用户往往配有特定的硬件（如智能卡）或软件设备，这些设备按照确定的方式进行密码的解码和编码。在验证过程中，验证服务器可能不是单凭用户初次输入的用户名和口令字就完成验证过程，而是需要进行进一步的审查（Challenge）：即通过网络访问服务器向申请用户发出某个密码字（Challenge），用户凭籍自身的硬件或软件设备对此密码字作出回应（Challenge-Response），这个回应又通过网络访问服务器传送到验证服务器，进行第二轮验证。第二轮验证完成之后，可能还需要进行更多轮的验证。 拨号用户向网络访问服务器提供身份信息及验证回应（Challenge-Response）的方法，可以是由网络访问服务器向用户进行提示（prompt）而等待用户输入，也可以是采用一种“link framing”协议（如点到点协议PPP）的方式，由协议本身提供包结构用以传送用户的输入信息。 NAS与RADIUS之间的交互： NAS收到用户的申请即有关的身份信息之后，向RADIUS发送Access-Request包，一段时间收不到回应，则将该Access-Request包重发几次，如果多次尝试仍然得不到RADIUS的回应，（或者根据一种循环（round-robin）的策略），NAS可以转向其它RADIUS服务器申请验证服务。 某个RADIUS可以为NAS提供验证服务的前提是，两者之间设有约定的密码（secret），RADIUS收到NAS发来的信息包，首先（根据包中的NAS的IP地址或ID号）判断是否拥有该NAS的密码，如果有，表明该NAS是其有效客户，可以对它发来的包进行处理。 RADIUS从NAS发来的包中取出（申请网络服务的）拨入用户名，从相应数据库中查找有关该用户的记录，如果查找成功，取出该记录，其信息内容应该包括该拨入用户的口令、用户有权拨入的NAS以及在相应NAS上的物理端口号等等；如果找不到有关该用户的记录，RADIUS还可以向其他RADIUS进行进一步查询；如果最终仍然找不到，RADIUS必须向发来申请的NAS返回拒绝包。 RADIUS对NAS发来的请求包的验证结果可能有三种：拒绝、允许和进一步审查。NAS送来的请求包中，如果有任一项与数据库中的用户资料记录不相符合，或者找不到有关拨入用户的记录，RADIUS必须返回拒绝包；如果所有各项都符合，则可能返回允许包，也可能返回要求进一步审查的信息包。 NAS收到RADIUS的允许包，则按照此包中的配置信息（如服务类型、主机地址等），为拨入用户提供服务；NAS收到进一步审查包，则将审查密码字（Challenge）提供给原拨入用户，该用户通过自己的软件、硬件解码、编码设备对得到的密码字进行答复（Challenge-Response），答复信息送给NAS，NASRADIUS，对此答复值进行验证，如果用户的答复不正确，则RADIUS向NAS发送拒绝包，反之，则发送允许包，或者再进行进一步审查。 关于验证过程的补充说明： 在拨入用户与NAS之间采用PAP或CHAP（Challenge Hand-Shake Authentication Protocol）协议的情况下的验证过程是： 拨入用户与NAS之间采用PAP协议时，NAS将PAP ID作为用户名，将PAP口令字作为用户口令，在向RADIUS发包时，可以附加信息（Attribute），申明希望优先选用的服务类型为Framed-User，协议类型为PPP，但不一定要求RADIUS实现这些附加暗示。 拨入用户与NAS之间采用CHAP时，在用户与NAS之间本身就设有审查（Challenge）和回复机制：NAS向用户发送一个随机审查数，用户向NAS返回对这个CHAP审查数的回复以及CHAP ID、CHAP用户名等信息。NAS把CHAP用户名作为RADIUS验证的用户名，把CHAP ID和对CHAP审查数的