BAS/BRAS/RADIUS簡介

標籤：改進   商業   ram   mic   伺服器   轉寄   int   tail   快捷   

標籤: java radius協議   linux radius證明伺服器   轉自: http://blog.csdn.net/sun93732/article/details/5999274

由RFC2865，RFC2866定義，是目前應用最廣泛的AAA協議。
　　RADIUS協議最初是由Livingston公司提出的，原先的目的是為撥號使用者進行認證和計費。後來經過多次改進，形成了一項通用的認證計費協議。
　　創立於1966年Merit Network, Inc.是密執安大學的一家非營利公司，其業務是運行維護該校的網路互聯MichNet。1987年，Merit在美國NSF（國家科學基金會）的招標中勝出，贏得了NSFnet（即Internet前身）的運營合約。因為NSFnet是基於IP的網路，而MichNet卻基於專用網路協議，Merit面對著如何將MichNet的專用網路協議演變為IP協議，同時也要把MichNet上的大量撥號業務以及其相關專有協議移植到IP網路上來。
　　1991年，Merit決定招標撥號伺服器供應商，幾個月後，一家叫Livingston的公司提出了建議，冠名為RADIUS，並為此獲得了合約。
　　1992年秋天，IETF的NASREQ工作群組成立,隨之提交了RADIUS作為草案。很快，RADIUS成為事實上的網路接入標準，幾乎所有的網路接入伺服器廠商均實現了該協議。
　　1997年，RADIUS RFC2039發表，隨後是RFC2138，最新的RADIUS RFC2865發表於2000年6月。 
　　RADIUS是一種C/S結構的協議，它的用戶端最初就是NAS（Net Access Server）伺服器，現在任何運行RADIUS用戶端軟體的電腦都可以成為RADIUS的用戶端。RADIUS協議認證機制靈活，可以採用PAP、 CHAP或者Unix登入認證等多種方式。RADIUS是一種可擴充的協議，它進行的全部工作都是基於Attribute-Length-Value的向量進行的。RADIUS也支援廠商擴充廠家專有屬性。
　　RADIUS的基本工作原理。使用者接入NAS，NAS向RADIUS伺服器使用Access-Require資料包提交使用者資訊，包括使用者名稱、密碼等相關資訊，其中使用者密碼是經過MD5加密的，雙方使用共用密鑰，這個密鑰不經過網路傳播；RADIUS伺服器對使用者名稱和密碼的合法性進行檢驗，必要時可以提出一個Challenge，要求進一步對使用者認證，也可以對NAS進行類似的認證；如果合法，給NAS返回Access-Accept資料包，允許使用者進行下一步工作，否則返回Access-Reject資料包，拒絕使用者訪問；如果允許訪問，NAS向RADIUS伺服器提出計費請求Account- Require，RADIUS伺服器響應Account-Accept，對使用者的計費開始，同時使用者可以進行自己的相關操作。
　　RADIUS還支援代理和漫遊功能。簡單地說，代理就是一台伺服器，可以作為其他RADIUS伺服器的代理，負責轉寄RADIUS認證和計費資料包。所謂漫遊功能，就是代理的一個具體實現，這樣可以讓使用者通過本來和其無關的RADIUS伺服器進行認證，使用者到非歸屬電訊廠商所在地也可以得到服務，也可以實現虛擬運營。
　　RADIUS伺服器和NAS伺服器通過UDP協議進行通訊，RADIUS伺服器的1812連接埠負責認證，1813連接埠負責計費工作。採用UDP的基本考慮是因為NAS和RADIUS伺服器大多在同一個區域網路中，使用UDP更加快捷方便。
　　RADIUS協議還規定了重傳機制。如果NAS向某個RADIUS伺服器提交請求沒有收到返回資訊，那麼可以要求備份RADIUS伺服器重傳。由於有多個備份RADIUS伺服器，因此NAS進行重傳的時候，可以採用輪詢的方法。如果備份RADIUS伺服器的密鑰和以前RADIUS伺服器的密鑰不同，則需要重新進行認證。
　　由於RADIUS協議簡單明確，可擴充，因此得到了廣泛應用，包括普通電話上網、ADSL上網、小區寬頻上網、IP電話、VPDN（Virtual Private Dialup Networks，基於撥號使用者的虛擬專用撥號網業務）、行動電話預付費等業務。最近IEEE提出了802.1x標準，這是一種基於連接埠的標準，用於對無線網路的接入認證，在認證時也採用RADIUS協議。

===============================================

BAS/BRAS/RADIUS簡介

BAS的準系統是實現寬頻使用者的管理特性和業務發起功能，包括使用者識別、認證、計費、IP地址管理、安全性管理等內容；
寬頻接入伺服器（Broadband Remote Access Server,簡稱BRAS）是面向寬頻網路應用的新型接入網關，它位於骨幹網的邊緣層，可以完成使用者頻寬的IP/ATM網的資料接入（目前接入手段主要基於xDSL/Cable Modem/高速乙太網路技術（LAN）/無線寬頻資料接入(WLAN)等），實現商業樓宇及小區住戶的寬頻上網、基於IPSec（IP Security Protocol）的IP VPN服務、構建企業內部Intranet、支援ISP向使用者批發業務等應用。寬頻接入伺服器（BRAS）主要完成兩方面功能，一是網路承載功能：負責終結使用者的PPPoE（Point-to-Point Potocol Over Ethernet,是一種乙太網路上傳送PPP會話的方式）串連、匯聚使用者的流量功能；二是控制實現功能：與認證系統、計費系統和客戶管理系統及服務策略控制系統相配合實現使用者接入的認證、計費和管理功能；

RADIUS（Remote Authentication Dial In User Service）協議最初是由Livingston公司提出的，原先的目的是為撥號使用者進行認證和計費。後來經過多次改進，形成了一項通用的認證計費協議。

RADIUS是一種C/S結構的協議，它的用戶端最初就是NAS（Net Access Server）伺服器，現在任何運行RADIUS用戶端軟體的電腦都可以成為RADIUS的用戶端。RADIUS協議認證機制靈活，可以採用PAP、CHAP或者Unix登入認證等多種方式。RADIUS是一種可擴充的協議，它進行的全部工作都是基於Attribute-Length-Value的向量進行的。

RADIUS的基本工作原理。使用者接入NAS，NAS向RADIUS伺服器使用Access-Require資料包提交使用者資訊，包括使用者名稱、密碼等相關資訊，其中使用者密碼是經過MD5加密的，雙方使用共用密鑰，這個密鑰不經過網路傳播；RADIUS伺服器對使用者名稱和密碼的合法性進行檢驗，必要時可以提出一個Challenge，要求進一步對使用者認證，也可以對NAS進行類似的認證；如果合法，給NAS返回Access-Accept資料包，允許使用者進行下一步工作，否則返回Access-Reject資料包，拒絕使用者訪問；如果允許訪問，NAS向RADIUS伺服器提出計費請求Account-Require，RADIUS伺服器響應Account-Accept，對使用者的計費開始，同時使用者可以進行自己的相關操作。

RADIUS還支援代理和漫遊功能。簡單地說，代理就是一台伺服器，可以作為其他RADIUS伺服器的代理，負責轉寄RADIUS認證和計費資料包。所謂漫遊功能，就是代理的一個具體實現，這樣可以讓使用者通過本來和其無關的RADIUS伺服器進行認證。

RADIUS伺服器和NAS伺服器通過UDP協議進行通訊，RADIUS伺服器的1812連接埠負責認證，1813連接埠負責計費工作。採用UDP的基本考慮是因為NAS和RADIUS伺服器大多在同一個區域網路中，使用UDP更加快捷方便。

RADIUS協議還規定了重傳機制。如果NAS向某個RADIUS伺服器提交請求沒有收到返回資訊，那麼可以要求備份RADIUS伺服器重傳。由於有多個備份RADIUS伺服器，因此NAS進行重傳的時候，可以採用輪詢的方法。如果備份RADIUS伺服器的密鑰和以前RADIUS伺服器的密鑰不同，則需要重新進行認證。

RADIUS協議應用範圍很廣，包括普通電話、上網業務計費，對VPN的支援可以使不同的撥入伺服器的使用者具有不同許可權。最近IEEE提出了802.1x標準，這是一種基於連接埠的標準，用於對無線網路的接入認證，在認證時也採用RADIUS協議。

BAS/BRAS/RADIUS簡介