RADIUS协议原理及其在校园网中的应用.pdf

长江大学学报 (自然科学版) 2010年6月第7卷第2期：理工 JournalofYangtzeUniversity(NatSciEdit) Jun．2010．Vo1．7No．2：sci＆Eng RADIUS协议原理及其在校园网中的应用 吴秋兵 (安徽财经大学现代教育技术中心，安徽蚌埠233041) [摘要]介绍了RADIUS数据包结构，讨论其认证的工作过程，并基于校 园网硬件平台架构RADIUS认 证计费系统，解决了校园网用户管理中存在的问题。 [关键词]RADIUS~认证；计费 [中图分类号]G47 [文献标识码]A [文章编号]1673—1409 (2010)02一N287—03 随着校园网络的发展，其安全问题也 日益突出，如何让校园网络正常高效的运行，充分发挥其教 学、管理和服务等功能，已成为不可忽视的问题 。目前在校园网络建设中，首要问题就是如何对用户进 行安全、高效的认证和访问控制。在传统认证方式中，如PPPOE和Web／Portal认证方式 ，对于校园网 络中的用户数据包进行了繁琐的处理，从而造成了网络传输瓶颈；而通过增加其他网络设备来解决传输 瓶颈，势必造成网络成本的提升，因此无法满足用户对网络安全性、高效性和低成本的要求。RADIUS 是一种拨号入网用户认证协议标准，采用分布式的Client／Server结构完成密码的集中管理和其他身份 认证功能，能够支持多种认证方式。RADIUS由于具有 良好的安全性和可扩充性，广泛应用在各种需 要认证的场合。为此 ，笔者对 RADIUS协议原理及其在校园网中应用加以论述。 1 RADIUS协议 RADIUS协议分为认证和计费两部分，RADIUS是一种 client／server模式的集 中式系统，其将接 人服务器 (NAS)作为客户端 ，将 RADIUS软件运行的机器作为服务器 ，服务器上集中存放所有用户 的资料 (如帐号名、口令等)，因而无论用户连接到任何一个 NAS都可以正常地认证计费u]。NAS上 要指定 RADIUS服务器的IP地址 ，以找到相应的服务器；客户端与服务器之间通过设置相同的公用密 钥来确保双方的相互信任关系，如果有未经 RADIUS确认 NAS将认证 ／计费数据包发送过来 ，RADIUS 会将其丢弃掉 。 用户将用户名、 口令等信息发送给 NAS之后 ，NAS与 RADIUS之 间通过 Access—Request、 Access—Accept、Access—Reject三个数据包来完成认证与授权 的工作。认证数据包 中Attrbutes字段使用 属性如表 1所示 。 用户通过认证后 ，从 RADIUS服务器或 表 1 RADIUS认证协议属性列表 DHCPSERVER取得 IP地址 ，可以连接进入 类型代码 。名 称 类型代码 名 称 internet。NAS在收到 Access—Accept后 ，向 1 禺户韬 11 筛选器标识 RADIUS服务器发出Accounting—Request请 2 密码 12 最大传输单元配置 求开始计费，RADIUS服务器收到后记录在 3 CHA密码 13 压缩协议配置 4 NASIP地址 14 登录主机 IP地址 本地 ，并返 回一个 Accounting—Reply进行确 5 NAS端 口 15 登录的服务 认。在NAS发出的Accounting—Request包 中 6 服务类型 16 登录的TCP端 口 7 帧协议 22 路 由配置 包含用户名、IP地址、流量等信息，RADIUS 8 分配 IP地址配置 33 代理状态 服务器通过处理本地的记录，可以计算出用户