無(wú)線局域網(wǎng)的發(fā)展已經(jīng)日漸成熟了，但是對(duì)于無(wú)線網(wǎng)絡(luò)技術(shù)中的RADIUS協(xié)議，我們很多人并不了解它的工作原理，這里就為我們介紹一下。

1 引言

遠(yuǎn)程認(rèn)證撥號(hào)用戶服務(wù)協(xié)議（Remote Authentication Dial In User Service, RADIUS）最初是由Livingston公司提出的一個(gè)為撥號(hào)用戶提供認(rèn)證和計(jì)費(fèi)的協(xié)議。后經(jīng)多次改進(jìn)，逐漸成為一項(xiàng)通用的網(wǎng)絡(luò)認(rèn)證、計(jì)費(fèi)協(xié)議，并定義于IETF提交的RFC2865和RFC2866文件中。RADIUS協(xié)議以Client/Server方式工作，客戶端為網(wǎng)絡(luò)接入服務(wù)器（NAS），它向RADIUS服務(wù)器提交認(rèn)證、計(jì)費(fèi)等信息，RADIUS服務(wù)器處理信息并將結(jié)果返回給 NAS。

RADIUS協(xié)議的應(yīng)用范圍很廣，在移動(dòng)、數(shù)據(jù)、智能網(wǎng)等業(yè)務(wù)的認(rèn)證、計(jì)費(fèi)系統(tǒng)中都有所應(yīng)用。無(wú)線局域網(wǎng)的802.1X認(rèn)證框架中，在認(rèn)證端也建議使用RADIUS協(xié)議。

本文將論述RADIUS協(xié)議的原理，并探討它在WLAN中的應(yīng)用及實(shí)現(xiàn)方案。

2 RADIUS協(xié)議

2.1  WLAN網(wǎng)絡(luò)模型

實(shí)際商用的無(wú)線局域網(wǎng)，可以用局域網(wǎng)交換機(jī)來(lái)實(shí)現(xiàn)802.1X認(rèn)證協(xié)議中的端口控制功能。為保證網(wǎng)絡(luò)的安全性，在無(wú)線局域網(wǎng)的出口和認(rèn)證端應(yīng)加上防火墻。RADIUS服務(wù)器和數(shù)據(jù)庫(kù)還可以采取主、備結(jié)構(gòu)，以保證網(wǎng)絡(luò)的健壯性。

網(wǎng)絡(luò)模型如下圖所示：

圖1  無(wú)線局域網(wǎng)網(wǎng)絡(luò)模型

無(wú)線局域網(wǎng)的認(rèn)證端由RADIUS服務(wù)器、網(wǎng)絡(luò)接入服務(wù)器（NAS）和數(shù)據(jù)庫(kù)組成。其中：

NAS：作為RADIUS服務(wù)器的客戶端，向RADIUS服務(wù)器轉(zhuǎn)交用戶的認(rèn)證信息。并在用戶通過(guò)認(rèn)證之后，向RADIUS服務(wù)器發(fā)送計(jì)費(fèi)信息。

RADIUS服務(wù)器：作為認(rèn)證系統(tǒng)的中心服務(wù)器，它與NAS、數(shù)據(jù)庫(kù)相連，它接受來(lái)自NAS提交的信息，對(duì)數(shù)據(jù)庫(kù)進(jìn)行相應(yīng)的操作，并把處理結(jié)果返回給NAS。

數(shù)據(jù)庫(kù)：用于保存所有的用戶信息、計(jì)費(fèi)信息和其他信息。用戶信息由網(wǎng)絡(luò)管理員添加至數(shù)據(jù)庫(kù)中；計(jì)費(fèi)信息來(lái)自于RADIUS服務(wù)器；其他信息包括日志信息等。

2.2  RADIUS的數(shù)據(jù)包結(jié)構(gòu)

RADIUS是應(yīng)用層的協(xié)議，在傳輸層它的報(bào)文被封裝在UDP的報(bào)文中，進(jìn)而封裝進(jìn)IP包。 RADIUS認(rèn)證使用1812端口，計(jì)費(fèi)使用1813端口。

以太網(wǎng)上的RADIUS封裝后的包結(jié)構(gòu)：

RADIUS數(shù)據(jù)包分為5個(gè)部分：

（1） Code:1個(gè)字節(jié)，用于區(qū)分RADIUS包的類型：常用類型有：

接入請(qǐng)求（Access-Request），Code=1；接入應(yīng)答（Access-Accept），Code=2；接入拒絕（Access- Reject），Code=3；計(jì)費(fèi)請(qǐng)求（Accounting-Request），Code=4等。

（2）Identifier:一個(gè)字節(jié)，用于請(qǐng)求和應(yīng)答包的匹配。

（3）Length:兩個(gè)字節(jié)，表示RADIUS數(shù)據(jù)區(qū)（包括Code, Identifier, Length, Authenticator, Attributes）的長(zhǎng)度，單位是字節(jié)，最小為20，***為4096。

（4）Authenticator:16個(gè)字節(jié)，用于驗(yàn)證服務(wù)器端的應(yīng)答，另外還用于用戶口令的加密。RADIUS服務(wù)器和NAS的共享密鑰(Shared Secret)與請(qǐng)求認(rèn)證碼(Request Authenticator)和應(yīng)答認(rèn)證碼(Response Authenticator)，共同支持發(fā)、收?qǐng)?bào)文的完整性和認(rèn)證。另外，用戶密碼不能在NAS和RADIUS 服務(wù)器之間用明文傳輸，而一般使用共享密鑰(Shared Secret)和認(rèn)證碼(Authenticator)通過(guò)MD5加密算法進(jìn)行加密隱藏。

（***ttributes:不定長(zhǎng)度，最小可為0個(gè)字節(jié)，描述RADIUS協(xié)議的屬性，如用戶名、口令、IP地址等信息都是存放在本數(shù)據(jù)段。

2.3 RADIUS的認(rèn)證、計(jì)費(fèi)過(guò)程

如圖1網(wǎng)絡(luò)模型所示：

（1）申請(qǐng)者登錄網(wǎng)絡(luò)時(shí)，NAS會(huì)有一個(gè)客戶定義的Login提示符要求申請(qǐng)者輸入用戶信息（用戶名和口令），申請(qǐng)者輸入相關(guān)的認(rèn)證信息后，等待認(rèn)證結(jié)果。

（2）NAS在得到用戶信息后，將根據(jù)RADIUS的數(shù)據(jù)包格式，向RADIUS服務(wù)器發(fā)出“接入請(qǐng)求”（Access-Request）包。包中一般包括以下RADIUS屬性值：用戶名、用戶口令、訪問(wèn)服務(wù)器的ID、訪問(wèn)端口的ID。

（3）當(dāng)RADIUS服務(wù)器收到“接入請(qǐng)求”包后，首先驗(yàn)證NAS的共享密碼與RADIUS服務(wù)器中預(yù)先設(shè)定的是否一致，以確認(rèn)是所屬的 RADIUS客戶端。在查驗(yàn)了包的正確性之后，RADIUS服務(wù)器會(huì)依據(jù)包中的用戶名在用戶數(shù)據(jù)庫(kù)中查詢是否有此用戶記錄。如果用戶信息不符合，就向 NAS發(fā)出“接入拒絕”（Access-Reject）包。NAS在收到拒絕包后，會(huì)立即停止用戶連接端口的服務(wù)要求，用戶被強(qiáng)制退出。