摘 要：RADIUS是一個英文縮寫，其具體含義是Remote Authentication Dial In User Service，中文意思是“遠(yuǎn)端用戶撥入驗證服務(wù)”，是一個AAA協(xié)議，即集authentication（認(rèn)證）、authorization（授權(quán)）、accounting（計費）三種服務(wù)于一體的一種網(wǎng)絡(luò)傳輸協(xié)議。文章將從Radius服務(wù)器的功能原理及交互過程對其進(jìn)行介紹。

關(guān)鍵詞：協(xié)議；UDP；NAS；客戶端

Radius是一種C/S結(jié)構(gòu)的可擴(kuò)展協(xié)議，它是以Attribute-Length-Value向量進(jìn)行工作的，其協(xié)議認(rèn)證機(jī)制也非常靈活，當(dāng)用戶提供用戶名和原始密碼時，Radius可支持點對點協(xié)議PPP、密碼認(rèn)證協(xié)議PAP、提問握手認(rèn)證協(xié)議CHAP及其他認(rèn)證機(jī)制。NAS設(shè)備可以是它的客戶端，任何運行該軟件的計算機(jī)都可以成為Radius的客戶端。目前，該服務(wù)器應(yīng)用于各類寬帶上網(wǎng)業(yè)務(wù)。

1 Radius服務(wù)器的功能原理

（1）寬帶用戶撥號上網(wǎng)時接入NAS，NAS設(shè)備使用“訪問請求”數(shù)據(jù)包向Radius服務(wù)器提交用戶的請求信息，該信息包括用戶名、密碼等。用戶的密碼會經(jīng)過MD5加密，雙方會使用不會通過網(wǎng)絡(luò)進(jìn)行傳播的“共享密鑰”。同時，Radius服務(wù)器會對用戶名和密碼的合法性進(jìn)行檢驗，提出質(zhì)疑時，就會要求進(jìn)一步對用戶、對NAS設(shè)備進(jìn)行驗證。如果驗證不通過，就會返回“拒絕訪問”的數(shù)據(jù)包，以此來拒絕用戶的訪問；驗證合法，就會給NAS設(shè)備返回“接受訪問”的數(shù)據(jù)包，即用戶通過了認(rèn)證。允許訪問時，NAS設(shè)備會向Radius服務(wù)器提出“計費請求”，Radius服務(wù)器響應(yīng)“接受計費”的請求，開始對用戶計費，用戶從此刻開始了上網(wǎng)。

（2）“重傳機(jī)制”是Radius協(xié)議的特色功能之一。一般情況下，Radius服務(wù)器分為主備用設(shè)備，這項功能是為NAS設(shè)備向主用Radius服務(wù)器提交請求卻沒有收到返回信息時而準(zhǔn)備的，備用的Radius服務(wù)器會進(jìn)行重傳，如果備用Radius服務(wù)器的密鑰和主用Radius服務(wù)器的密鑰不相同時，是需要重新進(jìn)行認(rèn)證的。NAS設(shè)備進(jìn)行重傳的時候，對于有多個備用Radius服務(wù)器的網(wǎng)絡(luò)，一般采用輪詢的方法。

（3）NAS設(shè)備和Radius服務(wù)器之間的通信協(xié)議是“UDP協(xié)議”，Radius服務(wù)器有1812和1813端口，其中1812端口是認(rèn)證端口，1813端口是計費端口。因為NAS設(shè)備和Radius服務(wù)器大多數(shù)是在同一個局域網(wǎng)中，采用UDP協(xié)議進(jìn)行通信則更加快捷方便，而且無連接的UDP協(xié)議會減輕Radius服務(wù)器的壓力，增加安全性。

（4）漫游和代理也是Radius服務(wù)器的功能之一?！奥巍惫δ苁谴淼囊粋€具體實現(xiàn)，作為Radius服務(wù)器的代理，負(fù)責(zé)轉(zhuǎn)發(fā)Radius認(rèn)證和計費的數(shù)據(jù)包，這樣用戶可以通過本來和其無關(guān)的Radius服務(wù)器進(jìn)行認(rèn)證，即用戶可以在非歸屬運營商的所在地得到服務(wù)，實現(xiàn)了漫游功能。

2 Radius服務(wù)器的交互過程

2.1 NAS等設(shè)備的代理認(rèn)證功能

該功能是用于實現(xiàn)Radius服務(wù)器對用戶的認(rèn)證過程的，因為響應(yīng)的報文中攜帶了授權(quán)信息，所以Radius協(xié)議合并了認(rèn)證和授權(quán)過程。Radius客戶端和Radius服務(wù)器之間是通過共享密鑰認(rèn)證相互之間交互的消息的，為了增強(qiáng)安全性，用戶密碼是采用密文方式在網(wǎng)絡(luò)上進(jìn)行傳輸?shù)摹?/p>

2.2 撥號認(rèn)證交互信息及過程

（1）用戶通過撥號軟件輸入用戶名和密碼。

（2）收到這些信息后，Radius客戶端會向Radius服務(wù)器發(fā)送“訪問請求”包。

（3）因為用戶數(shù)據(jù)庫中保存著已增加認(rèn)證的用戶名、密碼等信息，Radius服務(wù)器會將收到的用戶信息與用戶數(shù)據(jù)庫中的信息進(jìn)行比對，如果收到的用戶信息在數(shù)據(jù)庫中不存在，就會返回“拒絕訪問”響應(yīng)包，即認(rèn)證失敗；如果收到的用戶信息在數(shù)據(jù)庫中存在且比對后正確，就會將用戶的權(quán)限信息以“接受訪問”響應(yīng)包的形式發(fā)送給Radius客戶端，即認(rèn)證成功。

（4）根據(jù)接收到的認(rèn)證結(jié)果，Radius客戶端會判斷拒絕或者接受該用戶。如果Radius客戶端向Radius服務(wù)器發(fā)送計費開始請求包，則表示可以接入該用戶。

（5）Radius服務(wù)器收到計費請求后返回計費開始響應(yīng)包。

（6）用戶下線時Radius客戶端會收到該請求，同時向Radius服務(wù)器發(fā)送計費停止請求包。

（7）Radius服務(wù)器收到請求后返回計費結(jié)束響應(yīng)包，此時計費停止，過程結(jié)束。

3 結(jié)束語

通過以上分析，我們看出Radius服務(wù)器是配置網(wǎng)絡(luò)結(jié)構(gòu)中不可或缺的重要環(huán)節(jié)，該環(huán)節(jié)實現(xiàn)了認(rèn)證、授權(quán)、計費三個功能于一體，了解掌握Radius服務(wù)器的功能原理及交互過程對日常的系統(tǒng)維護(hù)及故障處理意義重大，不但能減少故障的發(fā)生，更重要的是在故障發(fā)生時，可以盡量縮短故障時間，提高用戶感知度及滿意度。

作者簡介：朱玲，天津大學(xué)，本科，工作單位：天津聯(lián)通設(shè)備維護(hù)中心。