Akagi201
7/14/2014 - 6:07 PM
RADIUS.md
RADIUS是一个协议提供远程用户的Authorization, Authentication 和 Accounting.
RADIUS通常使用在更广的wifi网络用于认证, 取代简单的共享密钥的方法.
RADIUS是在Tcp/Ip网络上提供AAA认证的协议, 是Remote Access Dial In User Service的缩写, 意思 是远程访问拨号用户服务的意思, RADIUS是Merit Network在1991年AAA解决方案, Merit Network是一家非营利性的网络服务提供商, Merit Network需要一种可靠的方式来管理拨号接入各点的网络访问.
RADIUS协议是client/server协议, 运行在应用层, 使用UDP通信, 是一个非常轻量级的网络协议.
The Remote Access Server, the Virtual Private Network server, the Network switch with port-based authentication, and the Network Access Server (NAS), are all gateways that control access to the network, and all have a RADIUS client component that communicates with the RADIUS server.
Remote Access Server, Virtual Private Network server, 带有基于端口的authentication的网络交换机, 和NAS(Network Access Server)都是网关设备, 控制访问网络的权限, 并且都有一个RADIUS client组件来跟RADIUS服务器通信.
RADIUS通常也是802.1x authentication的备选协议.
RADIUS server通常以一个后台进程运行.
AAA
AAA 就是Authentication, Authorization and Accounting 的简写, 表示认证, 授权, 计费. AAA就是一个用于认证, 授权, 计费的协议框架.
用户通过各种设备访问网络资源, 通过wifi, vpn server, 以太网交换机等等, 需要控制这些设备的访问权限, 例如Wi-Fi使用WPA2, 以太网交换机使用802.1x(EAP), 这些被称作Network Access Server(NAS).
所有这些设备都需要某种形式的控制权行使, 以确保适当的安全和使用. 因此, 通常需要身份认证, 授权和计费(AAA). AAA有时也被称为"三重框架". AAA是一种高层次的体系结构模型, 该模型可用于特定的实现. 通用AAA协议架构已经在RFC 2903规定.
Authentication
认证主要是用于验证用户是否有获取网络的访问权限, 主要工作就是用户请求访问网络时验证用户提交的凭证是否通过, 是常用的方法比如用户名和密码, 还有一次性的token, PIN号等.
验证成功后, 会话(session)初始化.
Authorization
授权是指用户对资源的访问规则, 当用户A认证通过之后, 用户A会有特殊的限制或者特权, 比如, 限制下用户A会话数目, 给他固定的ip地址, 限制用户A的访问流量.
Accounting
计费主要用于统计用户使用资源量, ISP可以跟踪统计用户对资源的使用情况, 比如使用了多少时间, 用了多少流量, 获取用户使用数据可以让ISP计算成本, 还可用于容量规划, 趋势分析和活动监测.
wireshark 解析
Radius Types
RADIUS RFCs
- RFC 2865 Remote Authentication Dial In User Service (RADIUS)
- RFC 2866 RADIUS Accounting
- RFC 2867 RADIUS Accounting Modifications for Tunnel Protocol Support
- RFC 2868 RADIUS Attributes for Tunnel Protocol Support
- RFC 2869 RADIUS Extensions