radius
协议
离婚协议模板下载合伙人协议 下载渠道分销协议免费下载敬业协议下载授课协议下载
的扩展应用研究
RADIUS协议的扩展应用研究
RADIUS协议的扩展应用研究
摘 要 介绍了RADIUS协议的基本概念和原理,结合实际需求,指出了RADIUS协议在应用中的不足与缺陷,提出了实现扩展应用的设计
方案
气瓶 现场处置方案 .pdf气瓶 现场处置方案 .doc见习基地管理方案.doc关于群访事件的化解方案建筑工地扬尘治理专项方案下载
和具体实现
方法
快递客服问题件处理详细方法山木方法pdf计算方法pdf华与华方法下载八字理论方法下载
,以符合宽带环境下认证和计费的实际应用需求。 关键词 RADIUS;802.1x;AAA;扩展0 前言 RADIUS协议(Remote Access Dail-In User Service,远程认证拨号用户服务协议)由于其支持多种认证法方式、易于扩展、相对安全、易于实现等特点,已成为很流行的AAA协议。很多厂商推出了各种有关RADIUS的产品,例如RADIUS服务器,支持RADIUS的接入路由器、交换机等,目前RADIUS已经成为网络环境中一个事实上的AAA(Authentication 认证,Authorization授权,Accounting 计费)标准。但由于RADIUS协议本身没有解决好对用户上下行带宽的控制、用户上网时限的限制等问题,限制了其推广与广泛应用。本文利用RADIUS协议的可扩展性,通过扩展RADIUS协议的应用,在实现认证计费的同时可以对用户的认证进行有效控制。1 RADIUS协议简介 RADIUS主要提供三个基本功能:Authentication(认证)、Authorization(授权)、Accounting(计费),即AAA功能。该协议采用C/S结构,以UDP作为传输协议,具有强大的认证能力,是管理远程用户验证和授权的常用方法。RADIUS的客户端一般是NAS(Network Access Server,网络接入服务器)。同时RADIUS是一种可扩展的协议,它进行的全部工作都是基于Attribute-Length-Value的向量进行的。1.1 RADIUS数据包格式 RADIUS协议是TCP/IP的应用层协议,在传输层它的报文封装在UDP报文中,进而封装进IP包。Radius数据包格式如图1所示,各个域是自左向右传送的。
CodeIdentifierLengthAuthenticatorAttributes图1 Radius数据包格式 (1)Code:标识Radius包的类型; (2)Identifier:匹配请求和响应的标识符; (3)Length:
表
关于同志近三年现实表现材料材料类招标技术评分表图表与交易pdf视力表打印pdf用图表说话 pdf
明Code、Identifier、Length、Authenticator和Attributes的总长度; (4)Authenticator:该字段用来识别RADIUS服务器和隐藏口令算法中的答复。 (5)Attributes:属性可能包含多个实例,在这种情况下同
种类型的各个属性的排列应当保持一定的顺序。但是,不同类型的各个属性的排列顺序是任意的。1.2 Attribute数据格式 Attribute的数据格式有两种,一种是标准属性的数据格式图2所示;另一种是类型值为26的Vendor-Specific属性的数据格式图3所示,此属性允许厂商扩展不适合作通用用途的私有属性。TypeLengthValue1图 2 标准属性数据格式TypeLengthVendor-idValue2图 3
Vendor-Specific数据格式 (1)Type:指示了Attribute的类型; (2)Length:指明Attribute(包括Type,Length,Vendor-Id和Value域)的长度,如果某个Attribute是在Access-Request中收到的,但长度是无效的,这时应发一个Access-Reject。如果某个Attribute是从Access-Accept, Access-Reject或者Access-Challenge中收到的,并具有无效的长度,这个包必须被视为Access-Reject或者丢弃; (3)Value1有4种类型:String、Ipa-ddress、Integer、Time从00:00:00GMT,Jan-uary 1,1970到当前的总秒数); (4)Vendor-Id:是以网络字节顺序排列的私人企业代码(一般为常量); (5)Value2与Value1类型相同。此域应按如下顺序编码vendor type/vendor
length/ verdor value,其中verdor value域取决于厂商对这个属性的定义。2 RADIUS在应用中存在的问题 基于802.1x技术的RADIUS服务器的应用在一定程度上提高了网络性能,实现了大型局域网内外部的安全认证管理,但随着RADIUS的产品的广泛应用,协议本身存在的不足和局限渐渐暴露出来,给整个网络带来安全隐患。其不足与局限主要体现在以下几个方面:图4应用网络拓朴图 (1)如果网络中某一用户受到非法攻击,此用户可能占用过多的网络带宽,从而导致整个网络流量异常,更严重者可能阻塞整个网络带宽,导致网络瘫痪。如图4所示,假如PC1机子中毒了,那么他的上行和下行流量可能会出现异常,这就影响PC2使用网络,更有甚者会影响PC3,PC4使用网络。 (2)在RADIUS协议里面没有对上网时限进行控制的属性,如果PC1申请了一账号,那么这个账号将永久有效,而且用户通过认证后,可以不受时间限制的使用网络。在一些特定环境中,这就不实用了。比如在校园网内,无法对那些通宵上网的学生进行控制,也无法对那些即将毕业的用户设置有效期。 (3)利用802.1x的基
于二层的认证方式,本方案采用DHCP服务器分配IP地址,只有当用户PC1认证通过后,才能够分配到IP网络地址,这样提高了网络的安全性,但用户在认证时就不能绑定IP,同时PC2、PC3、PC4都可能使用PC1的账号上网,这就又给这个网络安全带来了隐患。3 RADIUS协议在实际应用中的扩展应用 如上所述,RADIUS协议在实际应用中存在的问题较多,要更好地实现RADIUS服务器对用户的控制管理就必须对其功能进行扩展,下面是具体的解决方法。3.1 限制用户上下行带宽 有效的限制用户使用网络带宽有时候是网络管理者追求网络可控的一个目标。大部分用户使用互联网都是下载的多,上传的少。因此我们可以设置用户的上行和下行带宽来更好的控制认证用户访问网络。在RADIUS标准里面并没有控制上行和下行带宽的属性,为了实现此功能,可以利用RADIUS协议的可扩展性扩展需要的私有属性。具体的限制用户上下行带宽可以这样实现: 扩展
Uplink-Bandwidth属性用以限制用户的上行带宽,同时扩展Downlink-Bandwidth属性用以分配用户的下行带宽。这两个属性存储了用户被允许的上行和下行带宽的描述,这些属性的值应设置为整形,长度不超过四个字节,单位一般可以设为kbps或者bps。对于预先没有配置上下行带宽的用户在上网过程中,系统探测到此用户流量出现异常,可以先强制其下线,然后在RADIUS server的用户属性中配置用户的上行和下行带宽。当用户再次发起认
浙公网安备 33021202002483