RADIUS:遠程用戶撥號認證系統
(RADIUS:Remote Authentication Dial In User Service)
RADIUS 是一種在網絡接入服務器(Network Access Server)和共享認證服務器間傳輸認證、授權和配置信息的協議。 RADIUS 使用 UDP 作為其傳輸協議。此外 RADIUS 也負責傳送網絡接入服務器和共享計費服務器間的計費信息。
RADIUS 主要特征如下:
客戶 / 服務器模式:網絡接入服務器作為 RADIUS 的客戶端,負責將用戶信息傳遞給指定的 RADIUS 服務器,然后根據返回信息進行操作。 RADIUS 服務器負責接收用戶連接請求,認證用戶后,返回所有必要的配置信息以便客戶端為用戶提供服務。 RADIUS 服務器可以作為其他 RADIUS 服務器或認證服務器的代理。
網絡安全:客戶端與 RADIUS 記帳服務器之間的通信是通過共享密鑰的使用來鑒別的,這個共享密鑰不會通過網絡傳送。此外,任何用戶口令在客戶機和 RADIUS 服務器間發送時都需要進行加密過程,以避免有人通過嗅探非安全網絡可得到用戶密碼。
靈活認證機制: RADIUS 服務器支持多種用戶認證方法。當用戶提供了用戶名和原始口令后, RADIUS 服務器可支持 PPP PAP 或 CHAP, UNIX 登錄和其它認證機制。
協議的可擴充性:所有的事務都是由不同長度的“屬性-長度-值”的三元組構成的。新的屬性值的加入不會影響到原有協議的執行。
協議結構
Kerberos 信息:
客戶機/服務器認證交換
信息方向 | 信息類型 |
客戶機向 Kerberos | KRB_AS_REQ |
Kerberos 向客戶機 | KRB_AS_REP或KRB_ERROR |
客戶機/服務器認證交換 |
信息方向 | 信息類型 |
客戶機向應用服務器 | KRB_AP_REQ |
[可選項] 應用服務器向客戶機 | KRB_AP_REP或 KRB_ERRORR |
票證授予服務(TGS)交換 |
信息方向 | 信息類型 |
客戶機向 Kerberos | KRB_TGS_REQ |
Kerberos 向客戶機 | KRB_TGS_REP或KRB_ERROR |
KRB_SAFE 交換 KRB_PRIV 交換 KRB_CRED 交換 |