RADIUS协议的扩展应用研究().docVIP

　　RADIUS协议的扩展应用研究(1)5700字 摘 要 介绍了RADIUS协议的基本概念和原理，结合实际需求，指出了RADIUS协议在应用中的不足与缺陷，提出了实现扩展应用的设计方案和具体实现方法，以符合宽带环境下认证和计费的实际应用需求。 关键词 RADIUS；802.1x；AAA；扩展 0 前言 RADIUS协议（Remote Access Dail-In User Service，远程认证拨号用户服务协议）由于其支持多种认证法方式、易于扩展、相对安全、易于实现等特点，已成为很流行的AAA协议。很多厂商推出了各种有关RADIUS的产品，例如RADIUS服务器，支持RADIUS的接入路由器、交换机等，目前RADIUS已经成为络环境中一个事实上的AAA（Authentication 认证，Authorization授权，Accounting 计费）标准。但由于RADIUS协议本身没有解决好对用户上下行带宽的控制、用户上时限的限制等问题，限制了其推广与广泛应用。本文利用RADIUS协议的可扩展性，通过扩展RADIUS协议的应用，在实现认证计费的同时可以对用户的认证进行有效控制。 1 RADIUS协议简介 RADIUS主要提供三个基本功能：Authentication（认证）、Authorization（授权）、Accounting（计费），即AAA功能。该协议采用C/S结构，以UDP作为传输协议，具有强大的认证能力，是管理远程用户验证和授权的常用方法。RADIUS的客户端一般是NAS（Nete从00:00:00GMT,Jan-uary 1,1970到当前的总秒数）； （4）Vendor-Id：是以络字节顺序排列的私人企业代码（一般为常量）； （5）Value2与Value1类型相同。此域应按如下顺序编码vendor type/vendor length/ verdor value，其中verdor value域取决于厂商对这个属性的定义。 2 RADIUS在应用中存在的问题 基于802.1x技术的RADIUS服务器的应用在一定程度上提高了络性能，实现了大型局域内外部的安全认证管理，但随着RADIUS的产品的广泛应用，协议本身存在的不足和局限渐渐暴露出来，给整个络带来安全隐患。其不足与局限主要体现在以下几个方面： 图4应用络拓朴图 （1）如果络中某一用户受到非法攻击，此用户可能占用过多的络带宽，从而导致整个络流量异常，更严重者可能阻塞整个络带宽，导致络瘫痪。如图4所示，假如PC1机子中毒了，那么他的上行和下行流量可能会出现异常，这就影响PC2使用络，更有甚者会影响PC3，PC4使用络。 （2）在RADIUS协议里面没有对上时限进行控制的属性，如果PC1申请了一账号，那么这个账号将永久有效，而且用户通过认证后，可以不受时间限制的使用络。在一些特定环境中，这就不实用了。比如在校园内，无法对那些通宵上的学生进行控制，也无法对那些即将毕业的用户设置有效期。 （3）利用802.1x的基于二层的认证方式，本方案采用DHCP服务器分配IP地址，只有当用户PC1认证通过后，才能够分配到IP络地址，这样提高了络的安全性，但用户在认证时就不能绑定IP，同时PC2、PC3、PC4都可能使用PC1的账号上，这就又给这个络安全带来了隐患。 3 RADIUS协议在实际应用中的扩展应用 如上所述，RADIUS协议在实际应用中存在的问题较多，要更好地实现RADIUS服务器对用户的控制管理就必须对其功能进行扩展，下面是具体的解决方法。 3.1 限制用户上下行带宽 有效的限制用户使用络带宽有时候是络管理者追求络可控的一个目标。大部分用户使用互联都是下载的多，上传的少。因此我们可以设置用户的上行和下行带宽来更好的控制认证用户访问络。在RADIUS标准里面并没有控制上行和下行带宽的属性，为了实现此功能，可以利用RADIUS协议的可扩展性扩展需要的私有属性。具体的限制用户上下行带宽可以这样实现： 扩展Uplink-Bandwidth属性用以限制用户的上行带宽，同时扩展Downlink-Bandwidth属性用以分配用户的下行带宽。这两个属性存储了用户被允许的上行和下行带宽的描述，这些属性的值应设置为整形，长度不超过四个字节，单位一般可以设为kbps或者bps。对于预先没有配置上下行带宽的用户在上过程中，系统探测到此用户流量出现异常，可以先强制其下线，然后在RADIUS server的用户属性中配置用户的上行和下行带宽。当用户再次发起认证并通过后，配置的带宽数据将被携带在Access-Accept报文里返回给NAS，由NAS认证系统设置认证端口的上行及下行的访问带宽，用户下线后，再由NAS认证系统取消该设置。 3.2 用户上时限的控制