远端用户拨入验证服务

远端用户拨入验证服务络传输协议01客户端-服务器结构协议的概要RADIUS客户端的实例AAA目录03020405共有键IEEE802.1X代理软件目录070608基本信息远端用户拨入验证服务（RADIUS,RemoteAuthenticationDialInUserService）是一个AAA协议，意思就是同时兼顾验证（authentication）、授权（authorization）及计费（accounting）三种服务的一种络传输协议（protocol），通常用于络存取、或流动IP服务，适用于局域及漫游服务。客户端-服务器结构客户端-服务器结构RADIUS协议是一种基于主从式架构的协议。RADIUS协议中的客户端是对用户（人或者计算机）提供络连接服务的器材，对服务器提出验证和计费要求。服务器针对客户端的通过进行验证和计费给予应答。服务器只有针对客户端的请求进行应答，而无法反方向地对用户进行服务停止等的请求。

RADIUS客户端的实例RADIUS客户端的实例因特连接服务中，拨号呼叫装置和宽带接入服务器（BAS、BroadbandAccessServer）等接收装置（NAS、NetworkAccessServer）即为RADIUS客户端。（虽然名字含有“服务器”，但从RADIUS协议的角度来看是客户端）。无线LAN环境中的无线接取器和VLAN中的VLAN开关等都是。在内容提供的服务中，Web服务器起到RADIUS客户端的作用。

协议的概要协议的概要客户端对服务器提出“RADIUS请求包”，服务器对客户端发送“RADIUS应答包”。双方通信均由IP的UDP包进行。双方的数据包，头部分由20个8位元和“属性”组成。头部分包括类别码（Code）1个8位元、识别码（Identifier）1个8位元、数据包整体长度2个8位元、验证码（Authenticator）16个8位元。识别码根据客户端决定的需求而设定，服务器直接照抄到应答包里，因为客户端需要在收到的应答包与过去曾接收到的请求包对照。实际客户端一般只是进行累计数值编号，但没有规定必须是序列号。验证码是为了证明无发送者伪装和篡改。属性部分是将属性値对(AttributeValuePair)任意次重复。属性値对由属性编号1个8位元、长度1个8位元、属性値组成。对于値可以赋予4个8位元的整数値、4个8位元的IP、1-253个8位元的文字串等等。对于每个属性编号，每个属性値对里值的含义在RFC文件里均有规定，还可以通过给属性编号赋予新的定义来增加使用目的，RADIUS协议的灵活性所在也是其最大的特征。但是一般不推荐各个机器产商为各自目的独自给属性标号赋值。产商特有功能应做为属性编号26号(VendorSpecific)的值与产商编号一起加到数据里。属性编号26号的属性値对一般称为VSA(VendorSpecificAttribute)。厂家编号由IANA进行管理和赋予。协议通过属性値对里含有各种个样信息进行验证和计费。为实现验证，用户名和密码各有属性编号。拨号上使用PPP时针对PPP用的验证协议PAP、CHAP、EAP均备有各自的属性编号。AAAAAARADIUS协议是一种基于AAA的协议，但由于RADIUS协议本身创建于AAA模式之前，因此，RADIUS协议中并没有区分“验证”和“授权”，而是合为“验证”处理，因此RADIUS客户端在实际操作中无法知道被拒绝的原因是由于密码错误还是因为没有权限。

共有键共有键UDP与TCP不同，无法识别伪装送信者和数据篡改。因此仅靠通信对方的IP是不足以信任通信内容的。为了防止伪装和篡改，RADIUS客户端和服务器之间共享一个叫“共享密码”(Sharedsecret)的密钥字符串，将数据包的内容和共享密码得到的摘要信息配给验证符号和属性值。应该为每对RADIUS客户端和服务器准备一个共享密码。针对一个RADIUS服务器只用一个密码而与所有RADIUS客户端都共用会造成安全上的重大隐患。另外，从安全的角度来说，共享密码的内容若被第三方泄露也是一大问题。

代理代理自身作为RADIUS服务器，而把实际的验证和计费处理委托其他RADIUS服务器的情况即为“RADIUS代理服务器”。也就是说本身既是RADIUS服务器也是RADIUS客户端，将需求“转送”。可以通过判断用户名的字符串改变转送。比如用户名做成含有电子邮件“@”符号和域名的字符串，根据不同的域名部分字符串转送到其他RADIUS服务器上。这种技术广泛被利用于ISP（互联服务提供商）之间的漫游服务等。上述例子中用于判断转送目的类似域名的部分通常被称为Realm。

IEEE802.1XIEEE802.1XIEEE802.1X是以太中一个控制可否使用局域的一个协议。通过使用IEEE802.1X和RADIUS协议，可以对仅通过RADIUS服务器验证的用户允许局域服务。当然，为此需要配备IEEE802.1X以及RADIUS协议双方能使用的无线接入点或VLAN开关。另外“802.1x”中的X一般为大写，这是因为小写x易被人误解其像数学中{\displaystylex}一样可代表任意参数。IEEE802.1X和RADIUS协议均没有规定实际的验证步骤。实际的验证中通常使用EAP-TLS、PEAP、EAP-TTLS等EAP上的验证步骤进行。为实现EAP验证的数据交换，用户终端和接入点或开关之间的以太使用IEEE802.1X，接入点或开关与RADIUS服务器之间使用RADIUS协议进行中継。EAP-TLS对于基于TLS数字证书进行相互验证（为防止伪装服务提供者）这一点虽然很重要，但数字证书的管理和运用对于一般机构是一个很大的负担。PEAP和EAP-TTLS的验证步骤是在创建以TLS加密的通讯线路后再进行密码信息的交换。EAP-TLS与PEAP・EAP-TTLS的对比可以参照比较是通过页浏览器的TLS中利用数字证书进行相互验证还是SSL上的密