官方数据：半径认证过程

RADIUS（远程用户拨入认证系统）是“远程认证拨入用户服务”的缩写。它是许多Internet服务提供商（ISP）所采用的身份验证和计费系统。

当您拨入ISP时，必须提供您的用户名和密码。此信息将传输到RADIUS服务器，如果检查通过，您将被授权访问ISP系统。

尽管它不是官方标准，但RADIUS已由IETF工作组维护。

参考文件：

RADIUS

开放分类：协议，RFC，UDP

RADIUS：远程身份验证拨入用户服务，远程用户拨入验证系统

由RFC2865和RFC2866定义，它是目前使用最广泛的AAA协议。

RADIUS协议最初由Livingston提出。最初的目的是对拨号用户进行身份验证和收费。经过许多改进，形成了通用的身份验证和收费协议。

Merit Network，Inc.成立于1966年，是密歇根大学的一家非营利性公司。它的业务是运营和维护学校的网络互连MichNet。 1987年，Merit赢得了美国NSF（国家科学基金会）的招标，并赢得了NSFnet（互联网的前身）的运营合同。由于NSFnet是基于IP的网络，而MichNet是基于专有网络协议的，因此Merit面临着如何将MichNet的专有网络协议发展为IP协议的问题，同时，它还必须转换大量的拨号网络。在MichNet及其相关专有协议上的服务。迁移到IP网络。

1991年，Merit决定竞标拨号服务器供应商。几个月后，一家名为Livingston的公司提出了一项名为RADIUS的提案，并赢得了这份合同。

1992年秋天，成立了IETF NASREQ工作组，并提交了RADIUS作为草案。很快，RADIUS成为事实上的网络访问标准，几乎所有的网络访问服务器供应商都实现了该协议。

1997年发布了RADIUS RFC2039，其次是RFC2138，最新的RADIUS RFC2865于2000年6月发布。

RADIUS是C / S结构的协议。它的客户端最初是一台NAS（Net Access服务器）服务器。现在，任何运行RADIUS客户端软件的计算机都可以成为RADIUS客户端。 RADIUS协议身份验证机制很灵活，可以使用多种方法，例如PAP，CHAP或Unix登录身份验证。 RADIUS是一个可扩展的协议，其所有工作均基于Attribute-Length-Value向量。 RADIUS还支持供应商扩展供应商特定的属性。

RADIUS的基本工作原理。用户访问NAS，NAS使用Access-Require数据包将用户信息（包括用户名，密码和其他相关信息）提交给RADIUS服务器。用户密码是MD5加密的，并且双方使用共享密钥，该共享密钥不会在网络上传播； RADIUS服务器检查用户名和密码的有效性。如有必要，可以提出质询以请求进一步的用户身份验证或对NAS的类似身份验证；如果合法，它将向NAS返回一个Access-Accept数据包，以允许用户继续操作。下一步是工作，否则它将返回Access-Reject数据包并拒绝用户访问。如果允许访问，NAS将向RADIUS服务器发出记帐请求Account-Require，并且RADIUS服务器将以Account-Accept响应，用户可以开始记帐。自己进行相关操作。

RADIUS还支持代理和漫游功能。简而言之，代理服务器是可以充当其他RADIUS服务器的代理的服务器，并负责转发RADIUS身份验证和记帐数据包。所谓的漫游功能是代理的一种特定实现，它使用户可以通过最初与它不相关的RADIUS服务器进行身份验证。用户还可以在非本地运营商的位置获得服务，也可以实现虚拟操作。

RADIUS服务器和NAS服务器通过UDP协议进行通信。 RADIUS服务器的1812端口负责身份验证，而1813端口则负责计费。使用UDP的基本注意事项是NAS和RADIUS服务器大多位于同一局域网中，并且使用UDP更快，更方便。

RADIUS协议还指定了一种重传机制。如果NAS在未收到返回信息的情况下向RADIUS服务器提交请求，则可以请求备用RADIUS服务器重新传输。由于有多个备用RADIUS服务器，因此NAS在重新传输时可以使用轮询方法。如果备用RADIUS服务器的密钥与以前的RADIUS服务器的密钥不同，则需要重新认证。

由于RADIUS协议简单，清晰和可扩展，因此已被广泛使用，包括普通电话Internet访问，ADSL Internet访问，住宅宽带Internet访问，IP电话，VPDN（虚拟专用拨号网络，虚拟专用拨号网络服务） （基于拨号用户），手机预付款等服务。 IEEE最近提出了802.1x标准，该标准是基于端口的标准，用于认证无线网络访问。 RADIUS协议也用于身份验证。

★协议结构

--------------------------------------------------- -

8位| 16位| 32位

--------------------------------------------------- -

代码|标识符|长度

--------------------------------------------------- -

身份验证器（16个字节）

---------------------------------------------------

代码―信息类型如下：

1、访问请求；

2、访问接受；

3、拒绝访问；

4、帐户请求；

5、Accounting-Response;

1 1、访问挑战；

1 2、服务器状态（状态-服务器-实验）；

1 3、状态-客户-实验；

255、已保留（已保留）

标识符-与请求和响应匹配的标识符。

长度-邮件的大小，包括标题。

Authenticator ―此字段用于标识RADIUS服务器中的答复和隐藏密码算法。

2.半径基本消息交互过程

radius服务器对用户的身份验证过程通常需要使用nas等设备的代理身份验证功能。 Radius客户端和Radius服务器通过共享密钥对彼此的消息进行身份验证，并且用户密码以密文形式在网络上传输。 ，增强了安全性。 radius协议结合了认证和授权过程，即响应消息中携带了授权信息。

基本的交互步骤如下：

（[1)用户输入用户名和密码；

（[2)radius]客户端根据获取的用户名和密码，向Radius服务器发送认证请求包（访问请求）。

（3)radius服务器将用户信息与用户信息进行比较并进行分析。如果身份验证成功，则将用户的权限信息以身份验证响应数据包（访问接受）的形式发送给radius客户端；验证失败，然后返回访问拒绝响应数据包。

（[4)radius客户端根据收到的身份验证结果访问/拒绝用户。如果可以访问用户，则radius客户端会向radius服务器发送计费开始请求包

（accounting-request），status-type的值为start;

（[5)半径服务器返回计费响应包（accounting-response）；

（[6)radius客户端发送一个计费请求包到radius服务器，status-type的值为stop;

（7)半径服务器返回计费响应包（accounting-response）。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/tongxingongju/article-334630-1.html