淺談RADIUS協(xié)議在中小型企業(yè)AAA系統(tǒng)中的應(yīng)用

摘 要：在中小型企業(yè)中，隨著用戶的急劇增加和對(duì)業(yè)務(wù)多樣性要求的提高，如何對(duì)員工進(jìn)行網(wǎng)絡(luò)安全訪問(wèn)控制和管理等問(wèn)題日益突出。本課題擬采用GNS3、WinRadius和Windows Server 2003操作系統(tǒng)，搭建基于802.1X接入標(biāo)準(zhǔn)和RADIUS服務(wù)器的中小型企業(yè)AAA系統(tǒng)實(shí)驗(yàn)環(huán)境。通過(guò)該實(shí)驗(yàn)環(huán)境，模擬解決企業(yè)員工接入企業(yè)內(nèi)部網(wǎng)絡(luò)的認(rèn)證過(guò)程。

關(guān)鍵詞：Radius；AAA；中小型企業(yè)

中圖分類號(hào)：TN915.09

1 課題背景

隨著計(jì)算機(jī)網(wǎng)絡(luò)的快速發(fā)展，網(wǎng)絡(luò)運(yùn)營(yíng)商建立起龐大的網(wǎng)絡(luò)脈絡(luò)，為用戶提供各種網(wǎng)絡(luò)資源和網(wǎng)絡(luò)服務(wù)。網(wǎng)絡(luò)運(yùn)營(yíng)商在提供網(wǎng)絡(luò)資源的過(guò)程中，不僅要保障自己的經(jīng)濟(jì)利益，還要解決會(huì)出現(xiàn)的網(wǎng)絡(luò)安全問(wèn)題。如何解決對(duì)眾多用戶網(wǎng)絡(luò)安全訪問(wèn)控制？如何對(duì)接入用戶行為進(jìn)行授權(quán)和審計(jì)？這些問(wèn)題的出現(xiàn)便給網(wǎng)絡(luò)運(yùn)營(yíng)商提出了嚴(yán)峻的挑戰(zhàn)。

為了解決這些出現(xiàn)的問(wèn)題，網(wǎng)絡(luò)運(yùn)營(yíng)商便開(kāi)發(fā)出一個(gè)提供網(wǎng)絡(luò)安全的AAA系統(tǒng)，AAA提供了認(rèn)證、授權(quán)、計(jì)費(fèi)三種安全功能的系統(tǒng)框架，是網(wǎng)絡(luò)安全的一種管理機(jī)制。目前，業(yè)內(nèi)廣泛使用RADIUS作為實(shí)現(xiàn)AAA功能的協(xié)議。

2 AAA和Radius協(xié)議簡(jiǎn)介

AAA（Authentication、Authorization、Accounting）是認(rèn)證、授權(quán)、計(jì)費(fèi)系統(tǒng)的簡(jiǎn)稱，用來(lái)完成對(duì)用戶合法性的鑒別、權(quán)限的分配、話單的采集、費(fèi)用的結(jié)算等功能。AAA系統(tǒng)以其大容量、高可靠性、支持大型數(shù)據(jù)庫(kù)，支持多種設(shè)備、可以運(yùn)行在多種操作系統(tǒng)平臺(tái)之上，這些特點(diǎn)迅速使其成為多種業(yè)務(wù)的認(rèn)證授權(quán)計(jì)費(fèi)系統(tǒng)。

AAA系統(tǒng)管理通常采用集中式的管理結(jié)構(gòu)，由一個(gè)AAA服務(wù)器統(tǒng)一管理接入網(wǎng)中的所有用戶。其可以通過(guò)多種協(xié)議（如RADIUS協(xié)議、TACACS+協(xié)議）來(lái)實(shí)現(xiàn)。目前在實(shí)際應(yīng)用中設(shè)備支持主要基于RADIUS協(xié)議來(lái)實(shí)現(xiàn)AAA，其核心模塊RADIUS服務(wù)器與網(wǎng)絡(luò)接入服務(wù)器之間的通信采用RADIUS協(xié)議。

RADIUS（Remote Authentication Dial-In User Service）遠(yuǎn)程認(rèn)證撥號(hào)用戶服務(wù)，是AAA系統(tǒng)應(yīng)用中的重要協(xié)議之一，能保護(hù)網(wǎng)絡(luò)不受未授權(quán)訪問(wèn)的干擾，是一種在網(wǎng)絡(luò)接入設(shè)備和認(rèn)證服務(wù)器之間承載認(rèn)證、授權(quán)、計(jì)費(fèi)和配置信息的協(xié)議。RADIUS協(xié)議中定義了三層管理模型：用戶到NAS，NAS到RADIUS服務(wù)器，構(gòu)成了一個(gè)以RADIUS為中心的認(rèn)證管理體制。

3 RADIUS協(xié)議在中小型企業(yè)AAA系統(tǒng)的應(yīng)用

3.1 中小型企業(yè)網(wǎng)中存在的認(rèn)證問(wèn)題

（1）隨著企業(yè)用戶數(shù)量的急劇增加和對(duì)業(yè)務(wù)多樣性要求的提高，如何對(duì)員工進(jìn)行網(wǎng)絡(luò)安全訪問(wèn)控制和管理，已經(jīng)成為突出的網(wǎng)絡(luò)安全問(wèn)題。

（2）由于傳統(tǒng)企業(yè)的認(rèn)證方式對(duì)網(wǎng)絡(luò)中的用戶數(shù)據(jù)包繁瑣的處理造成了網(wǎng)絡(luò)傳輸瓶頸，而通過(guò)增加其他網(wǎng)絡(luò)設(shè)備來(lái)解決傳輸瓶頸又會(huì)帶來(lái)網(wǎng)絡(luò)成本的提升，因此無(wú)法滿足用戶對(duì)網(wǎng)絡(luò)安全性、高效性和低成本的要求。

3.2 解決方案

4 結(jié)束語(yǔ)

本課題通過(guò)搭建基于802.1X接入標(biāo)準(zhǔn)和RADIUS服務(wù)器的中小型企業(yè)AAA系統(tǒng)實(shí)驗(yàn)環(huán)境，在員工客戶端采用IEEE802.1X標(biāo)準(zhǔn)作為接入認(rèn)證客戶端，采用RADIUS服務(wù)器來(lái)實(shí)現(xiàn)認(rèn)證、授權(quán)和審計(jì)功能。利用RADIUS協(xié)議在NAS和RADIUS服務(wù)器之間作為承載認(rèn)證、授權(quán)和計(jì)費(fèi)，以及配置信息。通過(guò)802.1X接入標(biāo)準(zhǔn)和RADIUS協(xié)議組建中小型企業(yè)AAA系統(tǒng)，實(shí)現(xiàn)中小型企業(yè)客戶端接入企業(yè)內(nèi)部網(wǎng)絡(luò)的安全管理。

參考文獻(xiàn)：

[1]王軍號(hào)，陸奎.RADIUS協(xié)議在AAA系統(tǒng)中的應(yīng)用研究[J].計(jì)算機(jī)技術(shù)與發(fā)展，2007（01）：14-35.

[2]孟敏.基于RADIUS協(xié)議的校園網(wǎng)AAA系統(tǒng)研究[J].計(jì)算機(jī)技術(shù)與發(fā)展，2009.

[3]李斌祥.采用RADIUS協(xié)議的AAA系統(tǒng)的研究[J].重慶郵電學(xué)院學(xué)報(bào)（自然科學(xué)版），2006.

[4]隆曉波.RADIUS服務(wù)器的實(shí)現(xiàn)[J].重慶郵電學(xué)院學(xué)報(bào)（自然科學(xué)版），2008.

[5]韋乃文.基于RADIUS協(xié)議的寬帶接入認(rèn)證技術(shù)研究[J].鹽城工學(xué)院學(xué)報(bào)（自然科學(xué)版），2003.

作者簡(jiǎn)介：黃新華（1985.08-），男，福建泉州人，助教，本科，從事計(jì)算機(jī)網(wǎng)絡(luò)方面研究。

作者單位：福建工程學(xué)院軟件學(xué)院，福州 350003