【文章內(nèi)容簡介】 的相關(guān) 信息 ， 做 MD5算法 ， 判斷用戶是否合法 ， 然后 將 回應(yīng)認(rèn)證成功 ／ 失敗報(bào)文到接入設(shè)備 。 如果成功 ， 則 攜帶協(xié)商參數(shù) ， 以及用戶的相關(guān)業(yè)務(wù)屬性給用戶授權(quán) 。 如果認(rèn)證失敗 ，則流程到此結(jié)束 ； 10) 認(rèn)證通過 ， 則 用戶通過標(biāo)準(zhǔn)的 DHCP協(xié)議 （ 可以是 DHCP Relay， 通過所連的 接入設(shè)備 來獲取合法 的 IP地址 ； 11) 如果認(rèn)證通過 ， 接入設(shè)備 則 發(fā)起計(jì)費(fèi)開始請求給 RADIUS用戶認(rèn)證服務(wù)器 ； 12) 用戶認(rèn)證服務(wù)器 會 回應(yīng)計(jì)費(fèi)開始 的 請求報(bào)文 。 到 此 ， 用戶上線 認(rèn)證 完畢 ， 并 獲得授權(quán) ， 則 開始正常使用網(wǎng)絡(luò) 資原 。 基于 的高校校園網(wǎng) AAA 認(rèn)證設(shè)計(jì)與實(shí)現(xiàn) 8 第三章 AAA 的簡介 什么是 AAA AAA是 Authentication、 Authorization、 Accounting(認(rèn)證、授權(quán) 、計(jì)費(fèi) )的簡稱，是網(wǎng)絡(luò)安全的一種管理機(jī)制，它提供了認(rèn)證、授權(quán)、計(jì)費(fèi)三種安全功能。 AAA一般采用的模式是客戶機(jī) /服務(wù)器結(jié)構(gòu)，客戶端是運(yùn)行于 NAS（ Network Access Server 網(wǎng)絡(luò)接入服務(wù)器） 上 ， 服務(wù)器上則能集中管理用戶信息。 NAS對于用戶來說是服務(wù)器，可對服務(wù)器來說則是客戶端。 AAA的基本組網(wǎng)結(jié)構(gòu)如下圖 . 圖 AAA的基本組網(wǎng)結(jié)構(gòu)示意圖 在 用戶想要通過某網(wǎng)絡(luò)與 NAS 建立連接，從而獲得訪問其它網(wǎng)絡(luò)的權(quán)利或取得某些網(wǎng)絡(luò)資源的權(quán)利時(shí)， NAS 就 起到了驗(yàn)證用戶或?qū)?yīng)連接的作用。NAS 會 負(fù)責(zé)把用戶的認(rèn)證、授權(quán)、計(jì)費(fèi)信息透傳給服務(wù)器（ RADIU 服務(wù)器 ） ，RADIUS 協(xié)議 會 規(guī)定 NAS 與服務(wù)器之間 是 如何傳遞用戶信息。 圖 的 AAA 基本組網(wǎng)結(jié)構(gòu)中有兩臺服務(wù)器，用戶可以根據(jù)實(shí)際組網(wǎng)需求來決定認(rèn)證、授權(quán)、計(jì)費(fèi)功能 是分別由通過哪個 的服務(wù)器來實(shí)現(xiàn)。例 如，可以選擇 RADIUS server1 來 實(shí)現(xiàn)認(rèn)證和授權(quán)， 而 RADIUS server2 則用來 實(shí)現(xiàn)計(jì)費(fèi)。 XXXXXXX 學(xué)院 計(jì)算機(jī)網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計(jì) 9 AAA的三種服務(wù) 認(rèn)證： 是 確認(rèn)遠(yuǎn)端訪問用戶的身份，判斷訪問者是否為合法的網(wǎng)絡(luò)用戶； 授權(quán)： 則是 對不同用戶賦予不同的權(quán)限， 和 限制用戶可以使用的服務(wù)。例如用戶成功登錄服務(wù)器后，管理員 則可對授權(quán)用戶分配權(quán)限，即可對 服務(wù)器中的文件進(jìn)行訪問和打印 等 操作； 計(jì)費(fèi)： 則是 記錄用戶 在使用網(wǎng)絡(luò)服務(wù)中的所有操作，包括使用的服務(wù)類型、起始時(shí)間和數(shù)據(jù)流量等，它不僅是一種計(jì)費(fèi)手段，還能對網(wǎng)絡(luò)安全起一定的 監(jiān)視作用。 當(dāng)然，用戶可以只使用 AAA 提供的一種或兩種安全服務(wù)。例如，公司僅僅想讓員工在訪問某些特定資源的時(shí)候進(jìn)行身份認(rèn)證，那么網(wǎng)絡(luò)管理 員只 需要對其 配置認(rèn)證服務(wù)器 即可。但是如果希望對員工是否會訪問網(wǎng)絡(luò)資原 的情況進(jìn)行記錄，那么 則 還需要配置計(jì)費(fèi)服務(wù)器。 總結(jié)上述所說 ， AAA是一種管理框架，它 是 提供了授權(quán)部分實(shí)體去訪問特定 的 資源，同時(shí) 還 可以記錄這些實(shí)體操作行為的一種安全機(jī)制，因其具有良好的可擴(kuò)展性，并且容易實(shí)現(xiàn)用戶信息的集中管理 從 而被廣泛 的 使用。 AAA可以通過多種協(xié)議來實(shí)現(xiàn)，目前設(shè)備支持基于 RADIUS協(xié)議 來實(shí)現(xiàn) AAA，在實(shí)際應(yīng)用中，最常使用 RADIUS協(xié)議 AAA的優(yōu)點(diǎn) ? 靈活易控 ? 標(biāo)準(zhǔn)化的認(rèn)證方 式 ? 多重備用系統(tǒng) AAA認(rèn) 證 ? 對 enablef 進(jìn)行認(rèn)證：用戶從用戶狀態(tài)轉(zhuǎn)入到特權(quán)狀態(tài)時(shí)，網(wǎng)絡(luò)設(shè)備需要的一種安全論證方法 。 ? 對 login 進(jìn)行認(rèn)證：用戶從未登錄 狀態(tài) 到 用戶 登陸狀態(tài)進(jìn)行配置時(shí)需要進(jìn)行的 一種 操作。 ? 對 ppp 進(jìn)行認(rèn)證：鏈路建立階段進(jìn)行的認(rèn)證，驗(yàn)證成功之后才會進(jìn)入NCP（如 IPCP、 IPXCP、 BCP）的協(xié)商過程。包括 chap 和 pap 認(rèn)證， chap認(rèn)證是在整個通信過程進(jìn)行， pap 認(rèn)證則是在 PPP 建立連接時(shí)進(jìn)行。 基于 的高校校園網(wǎng) AAA 認(rèn)證設(shè)計(jì)與實(shí)現(xiàn) 10 第四章 RADIUS 協(xié)議 什么是 RADIUS協(xié)議 圖 radius的認(rèn)證過程 RADIUS： Remote Authentication Dial In User Service，遠(yuǎn)程用戶撥號認(rèn)證系統(tǒng)由 RFC2865， RFC2866 定義，是目前應(yīng)用最廣泛的 AAA 協(xié)議 。 RADIUS協(xié)議簡介 RADIUS（ Remote Authentication DialIn User Service，遠(yuǎn)程認(rèn)證撥號用戶服務(wù)）是一種分布式的、客戶端 /服務(wù)器結(jié)構(gòu)的信息交互協(xié)議，能保護(hù)網(wǎng)絡(luò)不受來自沒有 授權(quán) 的網(wǎng)絡(luò)用戶 訪問的干擾，常 常應(yīng)用在既要有 較高安全性、又允許 可以用戶 遠(yuǎn)程訪問的各種網(wǎng)絡(luò)環(huán)境中。該協(xié)議定義了基于 UDP的RADIUS幀格式及其消息傳輸機(jī)制，并規(guī)定 UDP端口 181 1813分別作為認(rèn)證、計(jì)費(fèi)端口。 RADIUS最初只是針對用戶拔號 的 AAA協(xié)議，后來隨著用戶接入方式的多樣化發(fā)展， RADIUS也適應(yīng)多種用戶接入 的上網(wǎng) 方式，如以太網(wǎng)接入、 ADSL接入。它 都 通過認(rèn)證授權(quán)來提供接入服務(wù)，通過 計(jì)費(fèi)來收集、記錄用戶對網(wǎng)絡(luò)資源的使用。 RADIUS的歷史 XXXXXXX 學(xué)院 計(jì)算機(jī)網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計(jì) 11 RADIUS 協(xié)議 是最初 由 Livingston 公司提出 來 的， 前期的 目的是為讓 撥號用戶進(jìn)行認(rèn)證和計(jì)費(fèi)。后來經(jīng)過多次改進(jìn)， 便 形成了一項(xiàng) 可以 通用的認(rèn)證計(jì)費(fèi)協(xié)議 軟件 。 密執(zhí)安大學(xué)創(chuàng)立于 1855 年，并且是 的一家非營利公司，其業(yè)務(wù)是運(yùn)行維護(hù)該校的 網(wǎng)絡(luò)互聯(lián) MichNet。 1987 年， Merit 在美國 NSF（國家科學(xué)基金會）的招標(biāo)中勝出，贏得了 NSF（即 Inter 前身）的運(yùn)營合同。因?yàn)?NSF 是基于 IP 的網(wǎng)絡(luò)，而 且又是 MichNet 卻基于專有的 網(wǎng)絡(luò)協(xié)議， 所以 Merit 面對著如何將 MichNet 的專有網(wǎng)絡(luò)協(xié)議演變?yōu)镮P 協(xié)議 的責(zé)任 ，同時(shí)也要把 MichNet 上的大量撥號業(yè)務(wù)以及其相關(guān)專有協(xié)議移植到 IP 網(wǎng)絡(luò) 上來。 1991 年， Merit 便 決定招標(biāo)撥號服務(wù)器供應(yīng)商，幾個月后，一家叫Livingston 的公司提出了建議，冠名為 RADIUS， 然后便 為此獲得了合同。 1992 年秋天， IETF 的 NASREQ 工作組 便正式 成立 了 ,隨之提交了RADIUS 并 作為 了 草案。很快， RADIUS 成為事實(shí)上的網(wǎng)絡(luò)接入標(biāo)準(zhǔn)，幾乎 同時(shí) 所有的網(wǎng)絡(luò) 接入服務(wù)器廠商均實(shí)現(xiàn)了該協(xié)議 運(yùn)行 。 1997 年， RADIUS RFC2058 發(fā)表，隨后是 RFC2138， 于是乎 最新的RADIUS RFC2865 發(fā)表于 2021 年 6 月。 RADIUS的 基本工作原理 由 用戶接入 NAS， NAS 向 RADIUS 服務(wù)器 使用 AccessRequire 數(shù)據(jù)包 提交用戶信息，包括用戶名、密碼等相關(guān)信息，其中用戶 的 密碼 都 是經(jīng)過 MD5 進(jìn)行 加密的， 并且 雙方 是 使用共享 密鑰 ， 但是 這個密鑰 是 不經(jīng)過網(wǎng)絡(luò)傳播； RADIUS 服務(wù)器 是 對用戶 的用戶 名和密碼 進(jìn)行 合法 性的 檢驗(yàn)， 而且在 必要時(shí) 還 可以提出一個 Challenge，要求 用戶 進(jìn)一步 進(jìn)行 用戶認(rèn)證，也可以對 NAS 進(jìn)行類似的認(rèn)證；如果 用戶 合法， 則 給 NAS 返回AccessAccept 數(shù)據(jù)包，允許用戶 可以 進(jìn)行下一步 的認(rèn)證 工作，否則返回 AccessReject 數(shù)據(jù)包，拒絕用戶 的 訪問；如果允許訪問， 則 NAS 向RADIUS 服務(wù)器提出計(jì)費(fèi)請求 Account Require， 如果 RADIUS 服務(wù)器響應(yīng) 了 AccountAccept， 就開始 對 這個 用戶的計(jì)費(fèi)，同時(shí)用戶 還 可以 對 自己 進(jìn)行有關(guān) 的 操作。 并且 RADIUS 還支持代理和漫游功能。簡單地說，代理就是一臺服務(wù)器，可以作為其他 RADIUS 服務(wù)器的代理，負(fù)責(zé)轉(zhuǎn)發(fā) RADIUS 的 認(rèn)證和計(jì)費(fèi)數(shù)據(jù)包。 而 所謂漫游功能， 則 就是代理的一個具體實(shí)現(xiàn)，這樣可以基于 的高校校園網(wǎng) AAA 認(rèn)證設(shè)計(jì)與實(shí)現(xiàn) 12 讓用戶 本身 通過 本來 和其無關(guān)的 RADIUS 服務(wù)器進(jìn)行認(rèn)證，用戶到非歸屬運(yùn)營商所在地也可以得到服務(wù)，也可以實(shí)現(xiàn)虛擬運(yùn)營。 RADIUS 服務(wù)器和 NAS 服務(wù)器通過 UDP 協(xié)議進(jìn)行通信， RADIUS 服務(wù)器的 1812 是 端口負(fù)責(zé)認(rèn)證， 而 1813 端口 則是 負(fù)責(zé)計(jì)費(fèi)工作。采用 UDP 的 基本考慮是因?yàn)?NAS 和 RADIUS 服務(wù)器大多在同一個 局域網(wǎng) 中， 而 UDP的 使用 也 更加快捷方便，而且 UDP 是無連接的，會減輕 RADIUS 的壓力，也 會 更安全。 RADIUS協(xié)議還規(guī)定了重傳機(jī)制。如果 NAS向某個 RADIUS服務(wù)器提交請求沒有收到返回信息，那么可以要求備份 RADIUS服務(wù)器重傳。由于有多個備份 的 RADIUS服務(wù)器，因此 NAS進(jìn)行重傳的時(shí)候，可以采用輪詢的方法。如果備份 的 RADIUS服務(wù)器的密鑰和以前 RADIUS服務(wù)器的密鑰不同，則需要重新進(jìn)行認(rèn)證。 RADIUS的 基本消息交互流程 RADIUS 服務(wù)器對用戶的認(rèn)證過程通常需要利用 NAS 等設(shè)備的代理認(rèn)證功能， RADIUS 客戶端和 RADIUS 服務(wù)器之間 是 通過共享密鑰認(rèn)證相互間交互的消息，用戶 的 密碼采用 了 密文方式在網(wǎng)絡(luò)上傳輸， 這樣便 增強(qiáng)了安全性。 RADIUS 協(xié)議合并了認(rèn)證和授權(quán)過程，即響應(yīng) 了 報(bào)文中攜帶的 授權(quán)信息。 基本交互步驟如下： 1. 用戶輸入用戶名和口令； 2. RADIUS 客戶端根據(jù)獲取的用戶名和口令，向 RADIUS 服務(wù)器發(fā)送認(rèn)證請求包（ accessrequest）。 3. RADIUS 服務(wù)器將該用 戶信息與 users 數(shù)據(jù)庫信息進(jìn)行對比分析，如果認(rèn)證成功，則將用戶的權(quán)限信息以認(rèn)證響應(yīng)包(accessaccept）發(fā)送給 RADIUS 客戶端；如果認(rèn)證失敗，則返回 accessreject 響應(yīng)包。 4. RADIUS 客戶端根據(jù)接收到的認(rèn)證結(jié)果接入 /拒絕用戶。如果可以接入用戶，則 RADIUS 客戶端向 RADIUS 服務(wù)器發(fā)送計(jì)費(fèi)開始請求包（ accountingrequest）， statustype 取值為 start； 5. RADIUS 服務(wù)器返回計(jì)費(fèi)開始響應(yīng)包（ accountingresponse）； 6. RADIUS 客戶端向 RADIUS 服務(wù)器發(fā)送計(jì)費(fèi)停止請求包（ accountingrequest）， statustype 取值為 stop； 7. RADIUS 服務(wù)器返回計(jì)費(fèi)結(jié)束響應(yīng)包（ accountingresponse）。 XXXXXXX 學(xué)院 計(jì)算機(jī)網(wǎng)絡(luò)專業(yè)畢業(yè)設(shè)計(jì) 13 客戶端 /服務(wù)器模式 客戶端： RADIUS客戶端一般位于 NAS設(shè)備上， 這樣便 可以遍布整個網(wǎng)絡(luò)，負(fù)責(zé)傳輸用戶信息到指定的 RADIUS服務(wù)器，然后根據(jù)從服務(wù)器 上 返回的信息進(jìn)行相應(yīng)處理（如接受 /拒絕用戶接入）。 服務(wù)器： RADIUS服務(wù)器運(yùn)行在中心計(jì)算機(jī)或工作站上，維護(hù)相關(guān)的用戶認(rèn)證 和網(wǎng)絡(luò)服務(wù)訪問信息，負(fù)責(zé)接收用戶連接請求并認(rèn)證用戶，然后給客戶端返回所有需要的信息（如接受 /拒絕認(rèn)證請求）。 RADIUS服務(wù)器通常要維護(hù)三個數(shù)據(jù)庫，如圖 圖 RADIUS服務(wù)器的組成 ? “ Users” :用于存儲用戶信息（如用戶名、口令以及使用的協(xié)議、IP地址等配置信息）。 ? “ Clients” :用于存儲 RADIUS客戶端的信息（如接入設(shè)備的共享密鑰、 IP地址等）。 ? “ Dictionary” :用于存儲 RADIUS協(xié)議中的屬性和屬性值含義的信息 基于 的高校校園網(wǎng) AAA 認(rèn)證設(shè)計(jì)與實(shí)現(xiàn) 14 第五章 實(shí)現(xiàn)基于 校園網(wǎng)的 AAA 認(rèn)證 圖 基于 的 AAA認(rèn)證拓?fù)鋱D 設(shè)備選型 實(shí)施中存在接入設(shè)備支持方面的問題 ， 使得在全校范圍內(nèi)推廣實(shí)施 。 表現(xiàn)在 ， 校園網(wǎng)早期購買交換機(jī)品牌較多 ，有的交換機(jī)支持 ,有的交換機(jī)不支持 ； 部分 ， 許多 。 不同廠家交換機(jī) 的 是 不一樣 的 ， 這樣便 給全校實(shí)施 帶來 了 困難 。 在實(shí)施工程中 ， 我們選用 了 同一家的產(chǎn)品 ， 對不同廠商的網(wǎng)絡(luò)設(shè)備需要進(jìn)行更換或改造 。 選擇 銳捷 的 RGS355024系列交換機(jī)作為匯聚 ，RGS2126系列交換機(jī)作為接入層設(shè)備 。 校園