HuaWei ❀ Radius协议概述

Radius协议概述

远程认证拨号用户服务Radius是一种分布式的、客户端/服务器结构的信息交互协议，能够保护网络不受未授权访问的干扰，常应用在既要求较高安全性、又允许远程用户访问的各种网络环境中，该协议定义了基于UDP的Radius帧格式及其消息传输机制，并规定了UDP端口1812、1813分别做认证、计费端口；
Radius最初是针对拨号用户的AAA协议，后来随着用户接入方式的多样化发展，Radius也适应多种用户接入方式，它通过认证授权来提供接入服务，通过计费来收集、记录用户对网络资源的使用情况；

1、Radius服务器
Radius服务器一般运行在中心计算机或者工作站上，维护相关的用户认证和网络服务访问信息，负责接收用户连接请求并认证用户，然后给客户端返回所有需要的信息；
Radius服务器通常要维护三个数据库：
（1）Users：用于存储用户信息（如用户名、口令以及使用的协议、IP地址等配置信息）
（2）Clients：用于存储Radius客户端的信息（如接入设备的共享秘钥、IP地址等）
（3）Dictionary：用于存储Radius协议中的属性和属性值含义的信息；

2、Radius客户端
Radius客户端一般位于网络接入服务器NAS（Network Access Server）设备上，可以遍布整个网络，负责传输用户信息到指定的Radius服务器，然后根据从服务器返回的信息进行相应处理；
网络接入服务器作为Radius协议的客户端，实现以下几种功能：
（1）标准Radius协议及扩充属性，包括RFC 2865、RFC 2866；
（2）华为扩展的私有属性；
（3）对Radius服务器状态的主动探测功能；
（4）计费结束报文的本地缓存重传功能；
（5）Radius服务器的自动切换功能；

3、安全机制
Radius客户端和Radius服务器之间认证消息的交互是通过共享秘钥的参与来完成的，并且共享秘钥不能通过网络来传输，增强了信息交互的安全性，另外为了防止用户密码在不安全的网络上传输时被窃取，在传输过程中对密码进行了加密处理；

4、认证和计费消息流程
Radius客户端与服务器间的消息流程如下图所示：

（1）用户登录网络接入服务器时，会将用户名和密码发送给该网络接入服务器；
（2）该网络接入服务器中的Radius客户端接收用户名和密码，并向Radius服务器发送认证请求；
（3）Radius服务器接收到合法的请求后，完成认证，并把所需的用户授权信息返回给客户端，对于非法的请求，Radius服务器返回认证失败的信息给客户端；