【伙伴快讯】Merit：网络接入服务器的AAA协议

由RFC2865和RFC2866定义，它是目前使用最广泛的AAA协议。

RADIUS协议最初由Livingston提出。最初的目的是对拨号用户进行身份验证和收费。经过许多改进，形成了通用的身份验证和收费协议。

Merit Network，Inc.成立于1966年，是密歇根大学的一家非营利性公司。它的业务是运营和维护学校的网络互连MichNet。 1987年，Merit赢得了美国NSF（国家科学基金会）的招标，并赢得了NSFnet（互联网的前身）的运营合同。由于NSFnet是基于IP的网络，而MichNet是基于专有网络协议的，因此Merit面临着如何将MichNet的专有网络协议发展为IP协议的问题，同时，它还必须转换大量的拨号网络。在MichNet及其相关专有协议上的服务。迁移到IP网络。

1991年，Merit决定竞标拨号服务器供应商。几个月后，一家名为Livingston的公司提出了一项名为RADIUS的提案，并赢得了这份合同。

1992年秋天，成立了IETF NASREQ工作组，并提交了RADIUS作为草案。很快，RADIUS成为事实上的网络访问标准，几乎所有的网络访问服务器供应商都实现了该协议。

1997年发布了RADIUS RFC2039，其次是RFC2138，最新的RADIUS RFC2865于2000年6月发布。

RADIUS是C / S结构的协议。它的客户端最初是一台NAS（Net Access服务器）服务器。现在，任何运行RADIUS客户端软件的计算机都可以成为RADIUS客户端。 RADIUS协议身份验证机制很灵活，可以使用多种方法，例如PAP，CHAP或Unix登录身份验证。 RADIUS是一个可扩展的协议，其所有工作均基于Attribute-Length-Value的向量。 RADIUS还支持供应商扩展供应商特定的属性。

RADIUS的基本工作原理。用户访问NAS，NAS使用Access-Require数据包向RADIUS服务器提交用户信息，包括用户名，密码和其他相关信息。用户密码是MD5加密的，并且双方使用共享密钥，该共享密钥不会在网络上传播； RADIUS服务器检查用户名和密码的有效性。如有必要，可以提出质询以请求进一步的用户身份验证或对NAS的类似身份验证；如果合法，它将向NAS返回一个Access-Accept数据包，以允许用户继续操作。下一步是工作，否则它将返回Access-Reject数据包并拒绝用户访问。如果允许访问，NAS将向RADIUS服务器发出记帐请求Account-Require，并且RADIUS服务器将以Account-Accept响应，用户可以开始记帐。自己进行相关操作。

RADIUS还支持代理和漫游功能。简而言之，代理服务器是可以充当其他RADIUS服务器的代理的服务器，并负责转发RADIUS身份验证和记帐数据包。所谓的漫游功能是代理的一种特定实现，它允许用户通过最初与其不相关的RADIUS服务器进行身份验证。用户还可以在非本地运营商的位置获得服务，还可以实现虚拟操作。

RADIUS服务器和NAS服务器通过UDP协议进行通信。 RADIUS服务器的1812端口负责身份验证，而1813端口则负责计费。使用UDP的基本考虑是NAS和RADIUS服务器大多位于同一局域网中，并且使用UDP更快，更方便。

RADIUS协议还指定了一种重传机制。如果NAS在未收到返回信息的情况下向RADIUS服务器提交请求，则可以请求备用RADIUS服务器重新传输。由于有多个备用RADIUS服务器，因此NAS在重新传输时可以使用轮询方法。如果备用RADIUS服务器的密钥与以前的RADIUS服务器的密钥不同，则需要重新认证。

由于RADIUS协议简单，清晰和可扩展，因此已被广泛使用，包括普通电话Internet访问，ADSL Internet访问，社区宽带Internet访问，IP电话，VPDN（虚拟专用拨号网络，虚拟专用拨号网络服务） （基于拨号用户），手机预付款等服务。 IEEE最近提出了80 2. 1x标准，该标准是基于端口的标准，用于认证无线网络访问。 RADIUS协议也用于身份验证。

================================================

BAS / BRAS / RADIUS简介

BAS的基本功能是实现宽带用户管理功能和业务启动功能，包括用户识别，身份验证，计费，IP地址管理，安全管理等；

宽带远程访问服务器（简称BRAS）是一种用于宽带网络应用程序的新型访问网关。它位于骨干网络的边缘层，可以完成对用户带宽的IP / ATM网络的数据访问（当前访问方法主要基于xDSL /电缆调制解调器/高速以太网技术（LAN）/无线宽带）数据访问（WLAN）等），以实现商业建筑物和居民的宽带Internet访问以及基于IPSec（IP安全协议）的IP VPN服务，构建企业内部的Intranet，支持ISP向用户和其他应用程序的批发业务。宽带访问服务器（BRAS）主要完成两个功能。一个是网络承载功能：它负责终止用户的PPPoE（以太网上的点对点Potocol，一种在以太网上传输PPP会话的方式）以连接和聚合用户。流量功能；二是控制实现功能：与认证系统，计费系统，客户管理系统和服务策略控制系统配合，实现用户访问的认证，计费和管理功能；

RADIUS（远程身份验证拨入用户服务）协议最初是由Livingston提出的。最初的目的是对拨号用户进行身份验证和收费。经过许多改进，形成了通用的身份验证和收费协议。

RADIUS是C / S结构的协议。它的客户端最初是一台NAS（Net Access服务器）服务器。现在，任何运行RADIUS客户端软件的计算机都可以成为RADIUS客户端。 RADIUS协议身份验证机制很灵活，可以使用多种方法，例如PAP，CHAP或Unix登录身份验证。 RADIUS是一种可扩展的协议，其所有工作都基于Attribute-Length-Value的向量。

RADIUS的基本工作原理。用户访问NAS，NAS使用Access-Require数据包向RADIUS服务器提交用户信息，包括用户名，密码和其他相关信息。用户密码是MD5加密的，并且双方使用共享密钥，该共享密钥不会在网络上传播； RADIUS服务器检查用户名和密码的有效性。如有必要，可以提出质询以请求进一步的用户身份验证或对NAS的类似身份验证；如果合法，它将向NAS返回一个Access-Accept数据包，以允许用户继续操作。下一步是工作，否则它将返回Access-Reject数据包并拒绝用户访问。如果允许访问，NAS将向RADIUS服务器发出记帐请求Account-Require，并且RADIUS服务器将以Account-Accept响应，用户可以开始记帐，并且用户可以进行自己的相关操作。

RADIUS还支持代理和漫游功能。简而言之，代理服务器是可以充当其他RADIUS服务器的代理的服务器，并负责转发RADIUS身份验证和记帐数据包。所谓漫游功能是代理的具体实现，因此可以通过与它无关的RADIUS服务器对用户进行身份验证。

RADIUS服务器和NAS服务器通过UDP协议进行通信。 RADIUS服务器的1812端口负责身份验证，而1813端口则负责计费。使用UDP的基本考虑是NAS和RADIUS服务器大多位于同一局域网中，并且使用UDP更快，更方便。

RADIUS协议还指定了一种重传机制。如果NAS在未收到返回信息的情况下向RADIUS服务器提交请求，则可以请求备用RADIUS服务器重新传输。由于有多个备用RADIUS服务器，因此NAS在重新传输时可以使用轮询方法。如果备用RADIUS服务器的密钥与以前的RADIUS服务器的密钥不同，则需要重新认证。

RADIUS协议具有广泛的应用，包括普通电话和Internet服务的计费。对VPN的支持使不同拨入服务器的用户具有不同的权限。 IEEE最近提出了80 2. 1x标准，该标准是基于端口的标准，用于认证无线网络访问。 RADIUS协议也用于身份验证。

本文来自本站，转载请注明本文网址：
http://www.pc-fly.com/a/tongxingongju/article-360760-1.html