(1)RADIUS协议特点及登陆过程

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

(1)RADIUS协议特点及登陆过程

ADIUS协议特点

RADIUS协议具有灵活、安全、可扩展性好的特点,具体包括:通过网络传输的认证信息都经过加密,安全性高;认证方式灵活,支持Unix Passwd、CHAP、挑战-回答认证等多种认证方式,还支持认证转接(Authentication Forwarding);协议扩展性好,通过变长的属性串(Attribute Pair)能够进一步扩展RADIUS协议。RADIUS的认证过程如下图(图5-10所示):图5-10 RADIUS协议认证流程图如上图所示,NAS(Network Access Server,网络访问服务器)被看成RADIUS的客户端,当用户登录到NAS 时,客户端将用户提供的认证信息(如用户名和口令)发送给指定的RADIUS Server,并根据Server的回应作出相应的“允许/不允许登录”的决定。RADIUS Server 负责接收认证请求并进行认证,然后将认证结果(包括连接协议、端口信息、ACL 等授权信息)发送回RADIUS Client,Client根据授权信息限制用户对资源的访问。一个RADIUS Server可以作为另一个RADIUS Server的客户端要求认证(即认证转接),以提供灵活的认证方式。RADIUS Server和Client之间传递的认证信息用一个事先设置的口令进行加密,防止敏

感信息泄露。当用户成功的登录后,NAS会向RADIUS Server 发送一个连接开始的记账信息包,其中包括用户使用的连接种类、协议和其他自定义信息;当用户断开连接后,NAS 会向RADIUS Server发送一个连接结束的记账信息包,RADIUS Server根据设置为用户记账。

RADIUS登录过程

下面是一个典型的RADIUS登录过程:

远程用户登录NAS;

NAS发送“RADIUS Access-Request”到RADIUS Server,其中包括用户名、密码等信息;如果该用户使用“挑战-回答”认证,RADIUS Server 将发送包含挑战信息的“RADIUS Access-Challenge”消息,NAS将挑战信息显示给用户;

用户将回答提交给NAS,NAS将发送第二个“RADIUS Access-Request”,Server 将根据此信息进行认证,这个过程类似于前面介绍过得CHAP认证方式;

RADIUS Server 将根据事先设置的认证方式(CHAP、用户名口令、挑战应答等)认证该用户,并发回“RADIUS Access-Accept”;或拒绝该用户,并发回“RADIUS Access

-Reject”消息;

NAS通知Server开始Accounting,用户访问进程开始,当用户结束进程时,NAS通知Server结束Accounting进程。

基于RADIUS协议的认证方式由于其安全、灵活、可扩展性等特点被广泛应用,其认证机制的实现包括了用户名+口令、基于对称加密、基于非对称加密等多种方式,可以根据实际的安全需求具体实施

相关文档
最新文档