2.3.6 認(rèn)證、授權(quán)和計費

隨著網(wǎng)絡(luò)的興起，網(wǎng)絡(luò)服務(wù)提供者多采用認(rèn)證、授權(quán)和計費(Authentication、 Authorization、AccoUnting，AAA)進行遠(yuǎn)程集中訪問控制。其中，認(rèn)證是指網(wǎng)絡(luò)服務(wù)提供者在用戶申請使用網(wǎng)絡(luò)資源時鑒別該用戶的身份；授權(quán)是指網(wǎng)絡(luò)服務(wù)提供者允許用戶接人，并以特定的方式使用其資源；計費是網(wǎng)絡(luò)系統(tǒng)收集、記錄用戶對網(wǎng)絡(luò)資源的使用情況，向用戶收取資源使用費，同時也用手用戶行為的審計。AAA-般采用客戶／服務(wù)器結(jié)構(gòu)，客戶端運行于被管理一方，服務(wù)器統(tǒng)一管理用戶信息。

1.RADIUS

遠(yuǎn)程用戶撥號認(rèn)證服務(wù)( Remote Authentication Dial In User Service，RADIUS)最初由Livingston公司提出，用來為撥號用戶進行認(rèn)證和計費，經(jīng)多次改進，形成了一項通用的認(rèn)證協(xié)議，可用于多種用戶接人方式，如以太網(wǎng)接人、ADSL接人等。該協(xié)議運行于UDP之上， 1812為認(rèn)證端口，1813為計費端口。

用戶登錄路由器或接人服務(wù)器等網(wǎng)絡(luò)設(shè)備時，首先將用戶名和口令發(fā)送給網(wǎng)絡(luò)設(shè)備。 網(wǎng)絡(luò)設(shè)備中的RADIUS客戶端根據(jù)獲取的用戶名和口令，向P,ADIUS服務(wù)器發(fā)送認(rèn)證請求。服務(wù)器接收到用戶信息后，將該用戶信息與用戶數(shù)據(jù)庫中的信息進行對比分析。在傳輸過程中，所有用戶密碼均加密傳送。如果認(rèn)證成功，則將用戶的權(quán)限信息以認(rèn)證響應(yīng)包發(fā)送給RADIUS客戶端；如果認(rèn)證失敗，則返回拒絕響應(yīng)包。客戶端根據(jù)接收到的認(rèn)證結(jié)果接人付巨絕用戶。如果可以接人用戶，則RADIUS客戶端向RADIUS服務(wù)器發(fā)送計費開始請求包，服務(wù)器返回計費開始響應(yīng)包。訪問結(jié)束，RADIUS客戶端向服務(wù)器發(fā)送計費停止請求包，服務(wù)器返回計費結(jié)束響應(yīng)包。

RADIUS協(xié)議實現(xiàn)簡單，傳輸簡捷高效，能支持多種認(rèn)證方式，得到廣泛的應(yīng)用。 RADIUS協(xié)議僅對傳輸過程中的密碼本身進行加密，而其他部分都以明文傳輸，對敏感信息不能進行有效地保護，安全性不高。