1. AAA和Radius概述
AAA是验证授权和记账Authentication,Authorization,and Accounting 的简称。它是运行于NAS上的客户端程序,它提供了一个用来对验证、授权和记账这三种安全功能进行配置的一致的框架。AAA的配置实际上是对网络安全的一种管理,这里的网络安全主要指访问控制,包括哪些用户可以访问网络服务器,具有访问权的用户可以得到哪些服务,如何对正在使用网络资源的用户进行记账。下面简单介绍一下验证, 授权,记账的作用。
· 验证(Authentication): 验证用户是否可以获得访问权可以选择使用RADIUS协议
· 授权(Authorization) : 授权用户可以使用哪些服务
· 记账(Accounting) : 记录用户使用网络资源的情况
· AAA的实现可采用RADIUS 协议RADIUS 是Remote Authentication Dial In User Service 的简称原来的初衷是用来管理使用串口和调制解调器的大量分散用户。现在已经远不止这些应用了
2.Radius应用介绍
RADIUS业务复合典型的client/server模型。路由器或NAS 上运行的AAA程序对用户来讲为服务器端,对RADIUS服务器来讲是作为客户端。RADIUS通过建立一个唯一的用户数据库存储用户名用户的密码来进行验证; 存储传递给用户的服务类型以及相应的配置信息来完成授权。当用户上网时路由器决定对用户采用何那种验证方法。下面介绍两种用户与路由器之间(本地验证)的验证方法CHAP和PAP。
PAP ( Password Authentication Protocol ): 用户以明文的形式把用户名和他的密码传递给路由器,NAS根据用户名在NAS端查找本地数据库,如果存在相同的用户名和密码表明验证通过,否则表明验证未通过
CHAP Challenge Handshake Authentication Protocol:当用户请求上网时,路由器产生一个16字节的随机码给用户,用户端得到这个包后使用自己独用的设备或软件对传来的各域进行加密,生成一个response传给NAS, NAS根据用户名在NAS端查找本地数据库,得到和用户端进行加密所用的一样的密码。然后根据原来的16字节的随机码进行加密,将其结果与Response作比较,如果相同表明验证通过,如果不相同表明验证失败。
如果用户配置了RADIUS验证,而不是上面所采用的本地验证,过程略有不同。 * 在端口上采用PAP验证
用户以明文的形式把用户名和他的密码传递给路由器,路由器把用户名和加密过的密码放到验证请求包的相应属性中,传递给RADIUS服务器,根据RADIUS服务器的返回结果来决定是否允许用户上网。
* 在端口上采用CHAP验证
当用户请求上网时,路由器产生一个16字节的随机码给用户,用户端得到这个包后使用自己独有的设备或软件对传来的各域进行加密,生成一个response传给NAS。 NAS把传回来的CHAP ID和Response分别作为用户名和密码,并把原来的16字节随机码传给RADIUS服务器,RADIU根据用户名在NAS端查找数据库,得到和用户端进行加密所用的一样的密码,然后根据传来的16字节的随机码进行加密,将其结果与传来的Password作比较,如果相同表明验证通过,如果不相同,表明验证失败
3.Radius协议简介
RADIUS 协议的认证端口1812 计费端口1813。
由于TCP是必须成功建立连接后才能进行数据传输的这种方式在有大量用户使用的情况下实时性不好RADIUS承载在UDP上所以RADIUS要有重传机制和备用服务器机制。
AAA是验证授权和记账Authentication,Authorization,and Accounting 的简称。它是运行于NAS上的客户端程序,它提供了一个用来对验证、授权和记账这三种安全功能进行配置的一致的框架。AAA的配置实际上是对网络安全的一种管理,这里的网络安全主要指访问控制,包括哪些用户可以访问网络服务器,具有访问权的用户可以得到哪些服务,如何对正在使用网络资源的用户进行记账。下面简单介绍一下验证, 授权,记账的作用。
· 验证(Authentication): 验证用户是否可以获得访问权可以选择使用RADIUS协议
· 授权(Authorization) : 授权用户可以使用哪些服务
· 记账(Accounting) : 记录用户使用网络资源的情况
· AAA的实现可采用RADIUS 协议RADIUS 是Remote Authentication Dial In User Service 的简称原来的初衷是用来管理使用串口和调制解调器的大量分散用户。现在已经远不止这些应用了
2.Radius应用介绍
RADIUS业务复合典型的client/server模型。路由器或NAS 上运行的AAA程序对用户来讲为服务器端,对RADIUS服务器来讲是作为客户端。RADIUS通过建立一个唯一的用户数据库存储用户名用户的密码来进行验证; 存储传递给用户的服务类型以及相应的配置信息来完成授权。当用户上网时路由器决定对用户采用何那种验证方法。下面介绍两种用户与路由器之间(本地验证)的验证方法CHAP和PAP。
PAP ( Password Authentication Protocol ): 用户以明文的形式把用户名和他的密码传递给路由器,NAS根据用户名在NAS端查找本地数据库,如果存在相同的用户名和密码表明验证通过,否则表明验证未通过
CHAP Challenge Handshake Authentication Protocol:当用户请求上网时,路由器产生一个16字节的随机码给用户,用户端得到这个包后使用自己独用的设备或软件对传来的各域进行加密,生成一个response传给NAS, NAS根据用户名在NAS端查找本地数据库,得到和用户端进行加密所用的一样的密码。然后根据原来的16字节的随机码进行加密,将其结果与Response作比较,如果相同表明验证通过,如果不相同表明验证失败。
如果用户配置了RADIUS验证,而不是上面所采用的本地验证,过程略有不同。 * 在端口上采用PAP验证
用户以明文的形式把用户名和他的密码传递给路由器,路由器把用户名和加密过的密码放到验证请求包的相应属性中,传递给RADIUS服务器,根据RADIUS服务器的返回结果来决定是否允许用户上网。
* 在端口上采用CHAP验证
当用户请求上网时,路由器产生一个16字节的随机码给用户,用户端得到这个包后使用自己独有的设备或软件对传来的各域进行加密,生成一个response传给NAS。 NAS把传回来的CHAP ID和Response分别作为用户名和密码,并把原来的16字节随机码传给RADIUS服务器,RADIU根据用户名在NAS端查找数据库,得到和用户端进行加密所用的一样的密码,然后根据传来的16字节的随机码进行加密,将其结果与传来的Password作比较,如果相同表明验证通过,如果不相同,表明验证失败
3.Radius协议简介
RADIUS 协议的认证端口1812 计费端口1813。
由于TCP是必须成功建立连接后才能进行数据传输的这种方式在有大量用户使用的情况下实时性不好RADIUS承载在UDP上所以RADIUS要有重传机制和备用服务器机制。
扫一扫
5362
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
