RADIUS協(xié)議原理及其在校園網(wǎng)中的應(yīng)用

吳秋兵 (安徽財(cái)經(jīng)大學(xué)現(xiàn)代教育技術(shù)中心,安徽蚌埠233041)

隨著校園網(wǎng)絡(luò)的發(fā)展,其安全問(wèn)題也日益突出,如何讓校園網(wǎng)絡(luò)正常高效的運(yùn)行,充分發(fā)揮其教學(xué)、管理和服務(wù)等功能,已成為不可忽視的問(wèn)題。目前在校園網(wǎng)絡(luò)建設(shè)中,首要問(wèn)題就是如何對(duì)用戶(hù)進(jìn)行安全、高效的認(rèn)證和訪問(wèn)控制。在傳統(tǒng)認(rèn)證方式中,如PPPOE和Web/Portal認(rèn)證方式,對(duì)于校園網(wǎng)絡(luò)中的用戶(hù)數(shù)據(jù)包進(jìn)行了繁瑣的處理,從而造成了網(wǎng)絡(luò)傳輸瓶頸;而通過(guò)增加其他網(wǎng)絡(luò)設(shè)備來(lái)解決傳輸瓶頸,勢(shì)必造成網(wǎng)絡(luò)成本的提升,因此無(wú)法滿(mǎn)足用戶(hù)對(duì)網(wǎng)絡(luò)安全性、高效性和低成本的要求。RADIUS是一種撥號(hào)入網(wǎng)用戶(hù)認(rèn)證協(xié)議標(biāo)準(zhǔn),采用分布式的Client/Server結(jié)構(gòu)完成密碼的集中管理和其他身份認(rèn)證功能,能夠支持多種認(rèn)證方式。RADIUS由于具有良好的安全性和可擴(kuò)充性,廣泛應(yīng)用在各種需要認(rèn)證的場(chǎng)合。為此,筆者對(duì)RADIUS協(xié)議原理及其在校園網(wǎng)中應(yīng)用加以論述。

1 RADIUS協(xié)議

RADIUS協(xié)議分為認(rèn)證和計(jì)費(fèi)兩部分,RADIUS是一種client/server模式的集中式系統(tǒng),其將接入服務(wù)器 (NAS)作為客戶(hù)端,將RADIUS軟件運(yùn)行的機(jī)器作為服務(wù)器,服務(wù)器上集中存放所有用戶(hù)的資料 (如帳號(hào)名、口令等),因而無(wú)論用戶(hù)連接到任何一個(gè)NAS都可以正常地認(rèn)證計(jì)費(fèi)[1]。NAS上要指定RADIUS服務(wù)器的IP地址,以找到相應(yīng)的服務(wù)器;客戶(hù)端與服務(wù)器之間通過(guò)設(shè)置相同的公用密鑰來(lái)確保雙方的相互信任關(guān)系,如果有未經(jīng)RADIUS確認(rèn)NAS將認(rèn)證/計(jì)費(fèi)數(shù)據(jù)包發(fā)送過(guò)來(lái),RADIUS會(huì)將其丟棄掉。

用戶(hù)將用戶(hù)名、口令等信息發(fā)送給 NAS之后,NAS與 RADIUS之間通過(guò) Access-Request、Access-Accept、Access-Reject三個(gè)數(shù)據(jù)包來(lái)完成認(rèn)證與授權(quán)的工作。認(rèn)證數(shù)據(jù)包中Attrbutes字段使用屬性如表1所示。

用戶(hù)通過(guò)認(rèn)證后,從RADIUS服務(wù)器或DHCPSERVER取得IP地址,可以連接進(jìn)入internet。NAS在收到 Access-Accept后,向RADIUS服務(wù)器發(fā)出Accounting-Request請(qǐng)求開(kāi)始計(jì)費(fèi),RADIUS服務(wù)器收到后記錄在本地,并返回一個(gè)Accounting-Reply進(jìn)行確認(rèn)。在NAS發(fā)出的Accounting-Request包中包含用戶(hù)名、IP地址、流量等信息,RADIUS服務(wù)器通過(guò)處理本地的記錄,可以計(jì)算出用戶(hù)的使用費(fèi)用。

表1 RADIUS認(rèn)證協(xié)議屬性列表

2 基于RADIUS構(gòu)建校園網(wǎng)認(rèn)證計(jì)費(fèi)系統(tǒng)

2.1 認(rèn)證計(jì)費(fèi)現(xiàn)狀

1)PPPOE[2]PPPOE是一種成熟的認(rèn)證技術(shù),具有完整的技術(shù)標(biāo)準(zhǔn),不論在ADSL還是LAN接入環(huán)境中都得到了廣泛應(yīng)用。PPPOE具有良好的用戶(hù)管理能力,不但能完成用戶(hù)認(rèn)證,還能夠?qū)崿F(xiàn)地址分配管理,并可實(shí)現(xiàn)MAC和VLAN等2層信息的用戶(hù)綁定,安全性能較高,比較適合于大用戶(hù)量的電信級(jí)運(yùn)營(yíng)管理模式。PPPOE認(rèn)證方式的缺點(diǎn)是需要專(zhuān)門(mén)的客戶(hù)端或系統(tǒng)自帶的撥號(hào)器來(lái)進(jìn)行撥號(hào),使用組播等應(yīng)用受到一定的限制。不能跨越3層網(wǎng)絡(luò)設(shè)備,不太適合于校園網(wǎng)的組網(wǎng)環(huán)境。

2)WEB認(rèn)證方式 WEB認(rèn)證方式可直接應(yīng)用瀏覽器作為認(rèn)證客戶(hù)端,是一種新興的認(rèn)證技術(shù)。WEB認(rèn)證不需要安裝任何客戶(hù)端軟件,并且可以跨越3層使用,因此具有較好的靈活性。但相對(duì)于PPPOE認(rèn)證方式,WEB認(rèn)證對(duì)用戶(hù)的控制能力和安全性都比較差,容易遭受針對(duì)WEB服務(wù)的攻擊,跨3層使用使得寬帶接入服務(wù)器無(wú)法獲得用戶(hù)的2層信息進(jìn)行綁定管理,經(jīng)常出現(xiàn)IP地址沖突情況。

3)802.1x認(rèn)證方式 802.1x協(xié)議是基于端口的訪問(wèn)控制協(xié)議,為2層協(xié)議,不需要達(dá)到3層,對(duì)設(shè)備的整體性能要求不高,可以降低建網(wǎng)成本。業(yè)務(wù)報(bào)文直接承載在2層報(bào)文之上,用戶(hù)通過(guò)認(rèn)證后,業(yè)務(wù)流和認(rèn)證流實(shí)現(xiàn)分離,對(duì)后續(xù)的數(shù)據(jù)包處理沒(méi)有特殊要求,對(duì)組播業(yè)務(wù)支持性好,對(duì)視頻業(yè)務(wù)開(kāi)展有很大的支持,在認(rèn)證過(guò)程中,802.1x用封裝幀到以太網(wǎng)中,效率相對(duì)較高。

2.2 基于RADIUS認(rèn)證計(jì)費(fèi)系統(tǒng)的構(gòu)建

基于RADIUS認(rèn)證協(xié)議的校園網(wǎng)寬帶認(rèn)證計(jì)費(fèi)系統(tǒng)的體系結(jié)構(gòu)一般由客戶(hù)端、認(rèn)證系統(tǒng)、認(rèn)證服務(wù)器3部分組成。另外,可以架構(gòu)一臺(tái)DHCP服務(wù)器用于為通過(guò)認(rèn)證的用戶(hù)動(dòng)態(tài)分配IP地址[3]。RADIUS認(rèn)證、計(jì)費(fèi)系統(tǒng)主要有認(rèn)證、用戶(hù)管理、計(jì)費(fèi)3大功能模塊。

1)認(rèn)證 認(rèn)證部分是核心功能,NAS服務(wù)器向RADIUS服務(wù)器提交賬號(hào)和密碼,RADIUS服務(wù)器在后臺(tái)數(shù)據(jù)庫(kù)中查找,如果用戶(hù)名和密碼正確,則認(rèn)證成功。

2)用戶(hù)管理 該部分主要是對(duì)上網(wǎng)用戶(hù)各種信息進(jìn)行存儲(chǔ),并且提供一個(gè)WEB界面給上網(wǎng)用戶(hù)修改密碼和信息查詢(xún)。

3)計(jì)費(fèi) 針對(duì)學(xué)校的特殊情況,對(duì)部分用戶(hù)實(shí)施包月計(jì)費(fèi),上網(wǎng)用戶(hù)交費(fèi)后,管理員直接轉(zhuǎn)換用戶(hù)的狀態(tài)。

2.3 數(shù)據(jù)庫(kù)平臺(tái)的設(shè)計(jì)

在windows2000server系統(tǒng)平臺(tái)的基礎(chǔ)上架設(shè)SQLSERVER2000數(shù)據(jù)庫(kù)服務(wù)器。數(shù)據(jù)庫(kù)中建立了大量數(shù)據(jù)表用來(lái)記錄、保存用戶(hù)的詳細(xì)信息以及用戶(hù)使用和費(fèi)用情況。數(shù)據(jù)庫(kù)中有接入控制表、帳務(wù)流水表、上網(wǎng)記錄及費(fèi)用、賬號(hào)模塊表、接入控制屬性表、賬號(hào)相關(guān)聯(lián)服務(wù)表、用戶(hù)卡批次信息表、充值卡信息表、充值卡表、充值卡收入登帳表、充值卡批次信息表 、系統(tǒng)配置表、黑名單、管理員表、接入交換機(jī)表、用戶(hù)在線(xiàn)表、繳費(fèi)提示條件表、用戶(hù)繳費(fèi)記錄表、操作權(quán)限列表、計(jì)費(fèi)冊(cè)列表、注冊(cè)用戶(hù)表、用戶(hù)表、接入控制屬性列表、服務(wù)屬性列表。以表T_ACCTRECORD(上網(wǎng)紀(jì)錄及費(fèi)用表)為例,該表詳細(xì)記錄用戶(hù)上網(wǎng)記錄信息,如表3所示。

表3 數(shù)據(jù)庫(kù)T_ACCTRECORD表字段概況

2.4 NAS客戶(hù)端配置實(shí)現(xiàn)

同時(shí),在接入層必須選擇支持802.1x設(shè)備作為認(rèn)證計(jì)費(fèi)系統(tǒng)的客戶(hù)端 (NAS),并在NAS做如下配置:

3 RADIUS認(rèn)證計(jì)費(fèi)過(guò)程分析

3.1 數(shù)據(jù)包格式分析

認(rèn)證過(guò)程中客戶(hù)端和認(rèn)證服務(wù)器之間傳送的信息均為以太網(wǎng)幀格式,每一幀均包含如下頭信息:01 80C2000003AABBCCDDEEFF888E01010000…… ,前6個(gè)字節(jié)為目標(biāo)地址,之后6個(gè)字節(jié)是源地址,這里假定為AABBCCDDEEFF;第13、14個(gè)字節(jié)是協(xié)議類(lèi)型,802.1x對(duì)應(yīng)的值為88 8E;第15個(gè)字節(jié)是協(xié)議版本號(hào);16字節(jié)是幀類(lèi)型;第17、18字節(jié)為幀的長(zhǎng)度,是指頭信息之后 (從第19字節(jié)開(kāi)始)的有效數(shù)據(jù)的長(zhǎng)度。

3.2 認(rèn)證過(guò)程

用戶(hù)開(kāi)機(jī)后,通過(guò)客戶(hù)端軟件發(fā)起請(qǐng)求。如果某臺(tái)驗(yàn)證設(shè)備能處理數(shù)據(jù)包,就會(huì)向客戶(hù)端發(fā)送響應(yīng)包并要求用戶(hù)提供合法的身份標(biāo)識(shí),如用戶(hù)名、密碼。客戶(hù)端收到驗(yàn)證設(shè)備的響應(yīng)后,會(huì)提供身份標(biāo)識(shí)給驗(yàn)證設(shè)備。驗(yàn)證設(shè)備把認(rèn)證流轉(zhuǎn)發(fā)給RADIUS服務(wù)器進(jìn)行認(rèn)證。如果認(rèn)證通過(guò),驗(yàn)證系統(tǒng)的受控邏輯端口將被打開(kāi)?？蛻?hù)端軟件發(fā)起DHCP請(qǐng)求,經(jīng)驗(yàn)證設(shè)備轉(zhuǎn)發(fā)給DHCPSERVER。DHCPSERVER為用戶(hù)分配IP地址。DHCPSERVER分配的地址信息返回給認(rèn)證系統(tǒng),認(rèn)證系統(tǒng)記錄用戶(hù)的相關(guān)信息,如MAC、IP地址等信息,并建立訪問(wèn)策略,以限制用戶(hù)的訪問(wèn)權(quán)限。并向認(rèn)證服務(wù)器發(fā)送計(jì)費(fèi)信息,開(kāi)始對(duì)用戶(hù)計(jì)費(fèi)。如果用戶(hù)要下網(wǎng),可以通過(guò)客戶(hù)端軟件發(fā)起LogOff過(guò)程,認(rèn)證設(shè)備檢測(cè)到該數(shù)據(jù)包后,會(huì)通知RADIUS服務(wù)器停止計(jì)費(fèi),并刪除用戶(hù)的相關(guān)信息,關(guān)閉受控邏輯端口。

4 結(jié) 語(yǔ)

通過(guò)分析RADIUS協(xié)議的基本原理,闡述了基于RADIUS協(xié)議認(rèn)證的全過(guò)程。802.1x認(rèn)證技術(shù)能夠比較好地解決現(xiàn)階段所面臨的用戶(hù)身份認(rèn)證和應(yīng)用終端的安全性問(wèn)題,增強(qiáng)了網(wǎng)絡(luò)安全性。但該系統(tǒng)本身的很多功能有待擴(kuò)展和加強(qiáng),有必要進(jìn)一步與其他先進(jìn)的網(wǎng)絡(luò)安全技術(shù)融合,才能發(fā)揮更大作用。

[1]王志毅,劉俊芳.基于RADIUS協(xié)議的校園網(wǎng)計(jì)費(fèi)系統(tǒng)設(shè)計(jì) [J].高等函授學(xué)報(bào) (自然科學(xué)版),2003,(5):51～54.

[2]徐霖洲,丘海明.PPPOE原理、應(yīng)用及改進(jìn)建議 [J].中山大學(xué)學(xué)報(bào) (自然科學(xué)版),2002,(6):111～113.

[3]王軍號(hào),陸奎.RADIUS在AAA系統(tǒng)中的應(yīng)用研究 [J].計(jì)算機(jī)技術(shù)與發(fā)展,2009,(7):199～201