【正文】 31 / 31?！　?4) radius 客戶端根據(jù)接收到的認(rèn)證結(jié)果接入/拒絕用戶?！　』窘换ゲ襟E如下：　　(1) 用戶輸入用戶名和口令；　　(2) radius 客戶端根據(jù)獲取的用戶名和口令，向radius 服務(wù)器發(fā)送認(rèn)證請求包（accessrequest）。 [編輯本段]基本消息交互流程　　radius 服務(wù)器對用戶的認(rèn)證過程通常需要利用nas 等設(shè)備的代理認(rèn)證功能，radius 客戶端和radius 服務(wù)器之間通過共享密鑰認(rèn)證相互間交互的消息，用戶密碼采用密文方式在網(wǎng)絡(luò)上傳輸，增強(qiáng)了安全性。 　　Length ― 信息大小，包括頭部。如果備份RADIUS服務(wù)器的密鑰和以前RADIUS服務(wù)器的密鑰不同，則需要重新進(jìn)行認(rèn)證。如果NAS向某個RADIUS服務(wù)器提交請求沒有收到返回信息，那么可以要求備份RADIUS服務(wù)器重傳。采用UDP的基本考慮是因為NAS和RADIUS服務(wù)器大多在同一個局域網(wǎng)中，使用UDP更加快捷方便。所謂漫游功能，就是代理的一個具體實現(xiàn)，這樣可以讓用戶通過本來和其無關(guān)的RADIUS服務(wù)器進(jìn)行認(rèn)證，用戶到非歸屬運(yùn)營商所在地也可以得到服務(wù)，也可以實現(xiàn)虛擬運(yùn)營?！　ADIUS還支持代理和漫游功能?！　?997年，RADIUS RFC2039發(fā)表，隨后是RFC2138，最新的RADIUS RFC2865發(fā)表于2000年6月?！　?992年秋天，IETF的NASREQ工作組成立,隨之提交了RADIUS作為草案。因為NSFnet是基于IP的網(wǎng)絡(luò)，而MichNet卻基于專有網(wǎng)絡(luò)協(xié)議，Merit面對著如何將MichNet的專有網(wǎng)絡(luò)協(xié)議演變?yōu)镮P協(xié)議，同時也要把MichNet上的大量撥號業(yè)務(wù)以及其相關(guān)專有協(xié)議移植到IP網(wǎng)絡(luò)上來?！　?chuàng)立于1966年Merit Network, ，其業(yè)務(wù)是運(yùn)行維護(hù)該校的網(wǎng)絡(luò)互聯(lián)MichNet。 [編輯本段]歷史　　RADIUS協(xié)議最初是由Livingston公司提出的，原先的目的是為撥號用戶進(jìn)行認(rèn)證和計費(fèi)?！　∮捎赗ADIUS協(xié)議簡單明確，可擴(kuò)充，因此得到了廣泛應(yīng)用，包括普通電話上網(wǎng)、ADSL上網(wǎng)、小區(qū)寬帶上網(wǎng)、IP電話、VPDN（Virtual Private Dialup Networks，基于撥號用戶的虛擬專用撥號網(wǎng)業(yè)務(wù)）、移動電話預(yù)付費(fèi)等業(yè)務(wù)。RADIUS是一種可擴(kuò)展的協(xié)議，它進(jìn)行的全部工作都是基于AttributeLengthValue的向量進(jìn)行的?！　ADIUS是一種C/S結(jié)構(gòu)的協(xié)議，它的客戶端最初就是NAS（Net Access Server）服務(wù)器，現(xiàn)在任何運(yùn)行RADIUS客戶端軟件的計算機(jī)都可以成為RADIUS的客戶端。我們可以理解為CCM模式結(jié)合了計數(shù)模式與CBC模式兩者各自的優(yōu)點(diǎn)。另外，CCM模式還具有同步性（Synchronization）和一定程度的并行性（Parallelizability）——在加密過程具有并行性而在鑒別過程則沒有。CCM（Counter with Cipher Block ChainingMessage Authentication Code）模式是一種同時提供加密和鑒別服務(wù)的全新操作模式。此外，“Square”攻擊是針對Square算法提出的一種攻擊方法，同樣適用于Rijndael算法，7－輪以上的Rijndael算法對“Square”攻擊是免疫的。 Rijndael算法的安全性非常良好。每一輪變換由三層組成：線性混合層，用于在多輪變換上的高度擴(kuò)散；非線性層，由16個S盒并置而成，起混淆的作用；密鑰加層，子密鑰簡單的異或到中間狀態(tài)。該標(biāo)準(zhǔn)采用Rijndael算法的設(shè)計策略是寬軌跡策略（Wide Trail Strategy）, 寬軌跡策略是針對差分分析和線性分析提出的，它的最大優(yōu)點(diǎn)是可以給出算法的最佳差分特征的概率及最佳線性逼近的偏差的界，由此可以分析算法抵抗差分密碼分析及線性密碼分析的能力。數(shù)字證明機(jī)制提供利用公開密鑰進(jìn)行驗證的方法。這對于網(wǎng)絡(luò)數(shù)據(jù)傳輸 ， 特別是電子商務(wù)是極其重要的，一般要采用一種稱為摘要的技術(shù)，摘要技術(shù)主要是采用 HASH 函數(shù)（ HASH( 哈希 ) 函數(shù)提供了這樣一種計算過程：輸入一個長度不固定的字符串，返回一串定長度的字符串，又稱 HASH 值 ） 將一段長的報文通過函數(shù)變換，轉(zhuǎn)換為一段定長的報文，即摘要?！　∩矸菡J(rèn)證技術(shù)主要包括數(shù)字簽名、身份驗證和數(shù)字證明?！　∥磥?，身份認(rèn)證技術(shù)將朝著更加安全、易用，多種技術(shù)手段相結(jié)合的方向發(fā)展?！　∫粋€典型的用戶認(rèn)證過程如下： 　　(1)用戶接通客戶服務(wù)器，等候認(rèn)證提示； 　　(2)運(yùn)行客戶端，輸入顯示的結(jié)果作為此時的登錄口令； 　　(3)客戶服務(wù)器前端接受認(rèn)證口令，調(diào)用認(rèn)證代理軟件包與認(rèn)證服務(wù)器進(jìn)行通信并等待認(rèn)證結(jié)果； 　　(4)認(rèn)證服務(wù)器根據(jù)由用戶身份確定的秘密數(shù)據(jù)計算出認(rèn)證口令，與用戶輸入口令比較，并返回認(rèn)證結(jié)果。 　　客戶端 是購買的一個專用硬件或是下載并安裝在用戶移動通訊終端上的應(yīng)用程序，用戶在登錄時通過這個客戶端獲取動態(tài)一次性口令。通過管理工作站，網(wǎng)絡(luò)管理員可以進(jìn)行網(wǎng)絡(luò)配置、發(fā)放客戶端、刪除、用戶信息修改、服務(wù)統(tǒng)計和用戶查詢等操作。認(rèn)證服務(wù)器有五個功能模塊組成：用戶管理、實時運(yùn)算、認(rèn)證管理、數(shù)據(jù)庫、加密算法軟件。 　　認(rèn)證服務(wù)器 是系統(tǒng)的核心部分，安裝在網(wǎng)絡(luò)服務(wù)商的機(jī)房內(nèi)，與業(yè)務(wù)系統(tǒng)服務(wù)器通過局域網(wǎng)相連接，控制所有上網(wǎng)用戶對網(wǎng)絡(luò)的訪問，提供動態(tài)口令身份認(rèn)證，根據(jù)業(yè)務(wù)系統(tǒng)的授權(quán)，訪問系統(tǒng)資源。 下面以PASSPOD系統(tǒng)為例，說明使用動態(tài)口令進(jìn)行身份認(rèn)證的過程。而用戶每次使用的密碼都不相同，即使黑客截獲了一次密碼，也無法利用這個密碼來仿冒合法用戶的身份。用戶使用時只需要將動態(tài)令牌上顯示的當(dāng)前密碼輸入客戶端計算機(jī)，即可實現(xiàn)身份的確認(rèn)。它采用一種稱之為動態(tài)令牌的專用硬件，內(nèi)置電源、密碼生成芯片和顯示屏，密碼生成芯片運(yùn)行專門的密碼算法，根據(jù)當(dāng)前時間或使用次數(shù)生成當(dāng)前密碼并顯示在顯示屏上?；赨SB Key身份認(rèn)證系統(tǒng)主要有兩種應(yīng)用模式：一是基于沖擊/相應(yīng)的認(rèn)證模式，二是基于PKI體系的認(rèn)證模式。 　　 USB Key認(rèn)證　　基于USB Key的身份認(rèn)證方式是近幾年發(fā)展起來的一種方便、安全、經(jīng)濟(jì)的身份認(rèn)證技術(shù)，它采用軟硬件相結(jié)合一次一密的強(qiáng)雙因子認(rèn)證模式，很好地解決了安全性與易用性之間的矛盾。首先，生物特征識別的準(zhǔn)確性和穩(wěn)定性還有待提高，特別是如果用戶身體受到傷病或污漬的影響，往往導(dǎo)致無法正常識別，造成合法用戶無法登錄的情況。從理論上說，生物特征認(rèn)證是最可靠的身份認(rèn)證方式，因為它直接使用人的物理特征來表示每一個人的數(shù)字身份，不同的人具有相同生物特征的可能性可以忽略不計，因此幾乎不可能被仿冒?！　?生物特征認(rèn)證　　生物特征認(rèn)證是指采用每個人獨(dú)一無二的生物特征來驗證用戶身份的技術(shù)。然而由于每次從IC卡中讀取的數(shù)據(jù)還是靜態(tài)的，通過內(nèi)存掃描或網(wǎng)絡(luò)監(jiān)聽等技術(shù)還是很容易截取到用戶的身份驗證信息。IC卡由合法用戶隨身攜帶，登錄時必須將IC卡插入專用的讀卡器讀取其中的信息，以驗證用戶的身份。可以說基本上沒有任何安全性可言。即使能保證用戶密碼不被泄漏，由于密碼是靜態(tài)的數(shù)據(jù)，并且在驗證過程中需要在計算機(jī)內(nèi)存中和網(wǎng)絡(luò)中傳輸，而每次驗證過程使用的驗證信息都是相同的，很容易駐留在計算機(jī)內(nèi)存中的木馬程序或網(wǎng)絡(luò)中的監(jiān)聽設(shè)備截獲。每個用戶的密碼是由這個用戶自己設(shè)定的，只有他自己才知道，