RADIUS（远程身份验证拨入用户服务）协议

在相当长的一段时间里，典型的密码和SSID是将用户加入公司网络的最流行方式。在这一点上，在为有需要的个人提供临时VPN接入的同时，保持这一点比大多数组织预期的要多得多。当大部分员工每天都亲自出现在工作场所时，这更有意义，但即使在那时，这仍然很难管理。

这种方法不仅耗时且不可靠，还使网络容易受到攻击。幸运的是，RADIUS协议使消费者更容易进入网络，并减少了IT管理网络连接所需的工作量。本文对RADIUS的特性、功能、优点和缺点进行了深入的解释。

什么是远程身份验证拨入用户服务（RADIUS）？

RADIUS是一种协议或协议——一套指导方针，用于管理事物如何与外部世界交互或发挥作用。通过它，用户可以在使用外部网络之前获得授权和验证。它负责身份验证（authenticating）、验（validating）证和执行记账（bookkeeping ）服务，以便链接工作站。

由于RADIUS可以阻止未经授权的用户和入侵者访问您的系统，因此它是web访问管理的重要工具。

验证协议需要RADIUS身份验证服务器和NAS（这两个服务器将在本文中进行解释）。它完成了许多与LDAP相同的任务，并通过为用户保留登录信息的当前数据库来提供本地识别功能。TCP在安全性方面无法与之竞争。RADIUS在端口1813和1812上努力工作。

RADIUS的3个主要组件

NAS

个人和联网设备之间的连接点称为网络访问服务器【network access server】（NAS）。
 

客户/恳求者（Client/Supplicant）

请求网络连接的机器或人员。

RADIUS服务器

一种验证服务器，用于确保个人具有进入网络的适当授权级别。此外，该服务器还可以提供记账、计时和连接/设备信息的记账服务。

历史

利文斯顿Portmaster（Livingston Portmaster,）是最早为企业建立的拨号服务器配置之一，它于1991年首次亮相，开创了RADIUS服务器时代。为了与之互动并为拨号客户提供集中验证、许可和管理服务，Livingston Enterprises，股份有限公司制定了《自动识别拨号客户服务指南》。

IETF于1995年发布的RFC 2138正式化了RADIUS协议。此后，ISP和网络硬件制造商在很大程度上接受了RADIUS标准。

RADIUS服务器是目前许多基于技术的解决方案的关键组成部分，可以为各种产品和设备提供AAA支持。例如，它们可以作为无线网络、VPN服务器设施和VoIP解决方案的门户。

‍

RADIUS服务器

在后台工作的基于UDP的软件通常由在Windows或UNIX终端上执行RADIUS协议的服务器使用。在回复之前，客户端或NAS——一种类似于无线通信接入点或VPN的设备或系统——等待网络服务器发出请求。

RADIUS服务器出于识别原因收集每个用户的登录数据。它在接收到该信息后对客户端的消息进行响应。这就是RADIUS端口从客户端获取互连请求的方式，验证每个用户的凭据，然后将正确的设置数据返回给服务器，以便服务器为用户提供所需的服务。

客户端可以从具有可扩展系统的服务器中获益，该系统易于适应不同的安全协议，同时将您的交互和安全操作分开。

‍

RADIUS是如何工作的？

RADIUS使用客户端/服务器框架来发挥作用。NAS是RADIUS客户端，它接收用户登录凭据。然后，NAS使用RADIUS验证网络来验证用户的信息。IP、用户/登录名和加密密码等更多详细信息可以包含在连接元数据中。

在物理复杂或分散的系统中，RADIUS网关客户端可以用于将身份验证要求转发到其他RADIUS服务器。

各种类型的服务器验证通用连接，包括：

• 用户可以向加密的虚拟专用网络服务器提交查询，从而实现与加密网络的安全链接。
• 无线接入点通过接受来自移动客户端的查询来连接到系统。
• 用于使用802.1x验证入口协议的受控网络的交换机。

控制RADIUS的web服务器是在评估后检查个人批准程度的组件。这保证了授权人员只能查看属于某个组织的信息。RADIUS可以用于定位客户并提供关于在特定会话期间使用的工具的细节，以便开具发票。

合格的资源管理有利于获得许可的服务供应商。在接受登录请求后，网站的计算机通常会根据加密的客户注册表检查个人的真实身份，或将详细信息传输给单独的身份贡献者。

服务器端会检查用户提供的登录凭据，如果设置按预期运行，则会向NAS发送“访问接受”信号。如果无法创建链接，则会向用户发出访问拒绝响应。

交换后，NAS将财务信息发送到平台的RADIUS服务器，以促进运营数据的长期保存或运输，并作为产品交易的存储库。

使用RADIUS的示例

当选择互联网连接并尝试第一次登录时，会填写用户名和密码（稍后会重新收集，因此不需要每次尝试都输入）。

接入请求由WAP（通常称为无线接入点或后端）传递到NAS。此数据从NAS移动到RADIUS认可的服务器。RADIUS门户提供了维护个人和密码的选项，或者服务器可以检查基于web的数据库或目录。

如果您提供的信息是准确的，RADIUS服务器会通知NAS您在特定系统上可能完成的任务或功能的任何限制或约束，并返回Access Accept响应。

‍

RADIUS机制

让我们检查RADIUS协议的内部工作方式，以确定这是如何可能的。

创建连接

对于公司最熟悉的场景，PPP是最常用的方法：使用个人登录凭据在网络上验证个人。RADIUS服务器可以通过许多过程支持个人，包括Telnet、rLogin、PPP和SLIP。PPP，又称点对点协议，是一种允许两个节点（如请求方和NAS）之间直接连接的结构。

涉及NAS和RADIUS服务器之间互连的每一次交换都会使用商定的秘密进行文档记录。协同秘密是一种在RADIUS和NAS服务器之间无需终端用户知情的情况下悄悄传播的识别码。

数据传输

客户端-服务器通信模式包括一种称为传输层的东西。包含数据的各种片段放在一起。这些通信包括诸如登录信息和其他请求类型的信息。UDP和TCP方法都具有促进传输的能力。这个缩写词你可能很熟悉，因为TCP/IP是互联网上使用最广泛的通信方法之一。RADIUS本质上使用UDP，这是一种独特的传输类型。

TCP和UDP之间的差异导致了UDP的选择。

简单地说，TCP周期性地确认所提供的信息实际上已经被检索到。如果发生这种情况，就会发出警报。因此，行政费用将增加。系统中的延迟是廉价带宽系统最初几年的一个大问题，它是由许多移动组件造成的。

相反，UDP提供了一个不那么明显的连接开销。此外，它确保在收到数据后立即快速传输数据。然而，它不能保证成功传递信息/数据包。

在RADIUS的情况下，保证通信成功是RADIUS服务器系统的责任，而不是规则的发送方。从本质上讲，每当最终用户将数据输入计算机的网络环境时，就会发生一系列操作。

‍

RADIUS身份验证是如何工作的？

该协议检查用户的身份，并检查在授权期间应用于个人的网络安全策略。

简单地说，您必须按照预先确定的方式提交所需的数据。如果正确，您将从RADIUS服务器获得访问接受信号（这表示最终用户设备能够进入网络的资源）。

PAP和CHAP是20世纪90年代末RADIUS部署的两种可能的点对点协议兼容技术。第一种验证方法需要更新，但了解当代RADIUS如何正确运行需要知识。

PAP

PAP在消费者方面的各个方面都以直观的方式运作。例如：用户首先输入用户名和密码。客户将信息提供给客户端，然后将其从NAS传输到RADIUS网关。

由于PAP以简单的文本传输用户名和密码，因此它很容易受到攻击，因为任何有能力监视NAS和RADIUS服务器之间消息的人都可能有能力快速计算出凭据。

CHAP

CHAP，或基于质询的握手身份验证协议，是PAP的替代方案。尽管它比明显的文本密码交互更容易获得信任，但它是一种比PAP更受保护的身份验证技术。CHAP不以明文形式传输凭据，而是对正在交换的数据进行加密，以避免被窥探。

它的工作方式

在个人输入密码后，请求者将用户的凭证与障碍物配对，障碍物是从NAS中随机生成的数字序列。然后将MD5散列算法应用于用户名、密码和随机字符串组合。这两者混淆在一起，结果变得语无伦次。它被称为反应。

‍

RADIUS的优点和缺点

优点

加密VPN验证
当对比RADIUS和VPN时，RADIUS验证允许安全访问WiFi网络并支持VPN。这种适应性使任何人都可以轻松安全地与互联网连接进行交互。

‍增加了安全优势
由于RADIUS允许用户创建登录信息，因此攻击者入侵系统（如WiFi）的风险较小，因为没有一个密码可供许多用户共享。

弱点

‍最初设置非托管RADIUS连接
实施和集成这一点对IT管理员来说可能是一项挑战，尤其是如果该公司目前提供过时的系统，如本地Active Directory。

‍多种配置备选方案

由于各种各样的协议和兼容性挑战，RADIUS服务器的配置和初始配置可能既困难又复杂。即使是经验丰富的IT管理员也必须在具有挑战性的配置过程中游刃有余。

RADIUS安全

如果个人提供的凭据与RADIUS服务器数据库结构中的凭据不同，则他们无法建立链接，因此RADIUS可以阻止机密数据泄露给未经授权的方。

RADIUS可以用于广泛的连接，因此它是一个经济的选择。此外，随着更多交互的增加，它可能是多余的。此外，它还与大多数安全协议相结合，如PPP、UNIX登录和PAP。

RADIUS区分交互和安全程序。组织从中受益，因为高管可以在不改变互动渠道的情况下修改隐私机制。

‍

结论

如果有人想通过使用控制器内部数据库结构中的数据来验证用户，他们必须添加这些用户的登录凭据和密码。如果有人想为用户授权实现RADIUS服务器，他们必须在物理控制器上设置RADIUS服务器。

工具书类

• RADIUS protocol - Github

• Teaching Old Dogs New Tricks - Infosecurity Magazine