RADIUS协议略解

          RADIUS （ RemoteAuthenticationDialIn User Service ）协议最初是由 Livingston 公司提出的，原先的目的是为拨号用户进行认证和计费。后来经过多次改进，形成了一项通用的认证计费协议。 RADIUS 是一种 C/S 结构的协议，它的客户端最初就是 NAS （ Net Access Server ）服务器，现在任何运行 RADIUS 客户端软件的计算机都可以成为 RADIUS 的客户端。 RADIUS 协议认证机制灵活，可以采用P AP 、 CHAP 或者 Unix 登录认证等多种方式。 RADIUS 是一种可扩展的协议，它进行的全部工作都是基于 Attribute-Length-Value 的向量进行的。
　　 RADIUS 的基本工作原理，用户接入 NAS ， NAS 向 RADIUS 服务器发送 Access-Require 数据包提交用户信息，包括用户名、密码等相关信息，其中用户密码是经过 MD5 加密的，双方使用共享密钥，这个密钥不经过网络传播； RADIUS 服务器对用户名和密码的合法性进行检验，必要时可以提出一个 Challenge ，要求进一步对用户认证，也可以对 NAS 进行类似的认证；如果合法，给 NAS 返回 Access-Accept 数据包，允许用户进行下一步工作，否则返回 Access-Reject 数据包，拒绝用户访问；如果允许访问， NAS 向 RADIUS 服务器提出计费请求 Account-Require ， RADIUS 服务器响应 Account-Accept ，对用户的计费开始，同时用户可以进行自己的相关操作。
　　路由器或 NAS 上运行的 AAA 程序对用户来讲为服务器端，对 RADIUS 服务器来讲是作为客户端，当用户上网时路由器决定对用户采用何那种验证方法。下面是两种用户与路由器之间 ( 本地验证 ) 的验证方法 CHAP 和 PAP ，都使用 MD5 加密。