AAA 服務器與 RADIUS 協議筆記

一、AAA 服務器概述

AAA 是認證（Authentication）、授權（Authorization）和計費（Accounting）?的簡稱，是網絡安全領域中實現訪問控制的核心安全管理機制，通過整合三種服務確保網絡資源的安全訪問。

認證（Authentication）：驗證用戶身份的合法性，確認 “你是誰”。
核心動作包括核對用戶名、密碼、數字證書等用戶憑證。
授權（Authorization）：在認證通過后，明確用戶可訪問的資源范圍，規定 “你能做什么”。
具體表現為下發用戶權限（如讀寫權限）、允許訪問的目錄 / 服務、用戶操作級別等規則。
計費（Accounting）：記錄用戶對網絡資源的使用情況，統計 “你用了多少”。
主要記錄內容包括上網流量、連接時長、資源訪問次數等數據，為計費結算或審計提供依據。

AAA 服務器通過精細化配置，可對多種網絡服務提供安全保障，支持的典型服務包括 FTP、TELNET、PPP（點到點協議）、端口接入（如交換機端口準入）等。

RADIUS（Remote Authentication Dial-In User Service，遠程認證撥號用戶服務）是基于 AAA 模型的分布式網絡協議，專為遠程用戶接入認證場景設計，是實現 AAA 機制的最常用協議之一。

用戶：遠程接入網絡的終端用戶（如撥號用戶、無線接入用戶等），需提供身份憑證（用戶名、密碼等）。
RADIUS 客戶端（網絡接入服務器，NAS）：直接接收用戶接入請求的設備（如路由器、交換機、無線 AP），負責將用戶憑證封裝為協議報文并轉發給 RADIUS 服務器。
RADIUS 服務器：核心處理節點，負責接收客戶端轉發的認證 / 授權請求，查詢后端用戶數據庫（如 AD、LDAP）驗證身份，執行授權規則，并記錄計費信息；通常對接策略管理系統實現動態規則配置。

用戶向 RADIUS 客戶端（如無線 AP）輸入用戶名和密碼等身份憑證；
RADIUS 客戶端將憑證封裝為Access-Request（認證請求）?報文，通過共享密鑰加密后發送給 RADIUS 服務器；
RADIUS 服務器從后端用戶數據庫查詢用戶信息，比對憑證合法性：
- 若認證通過，返回Access-Accept（認證通過）?報文，同時攜帶授權規則（如分配 IP 地址、會話超時時間）；
- 若認證失敗，返回Access-Reject（認證拒絕）?報文，拒絕用戶接入。

RADIUS 報文由固定頭部和可變屬性兩部分組成，結構如下：

Code（1 字節）：定義報文類型，核心類型包括：
1=Access-Request（認證請求）、2=Access-Accept（認證通過）、3=Access-Reject（認證拒絕）、4=Accounting-Request（計費請求）、5=Accounting-Response（計費響應）。
Identifier（1 字節）：報文標識，用于匹配請求與響應，防止報文重復或亂序。
Length（2 字節）：整個報文的總長度（字節數），范圍為 20~4096 字節。
Authenticator（16 字節）：認證字段，由共享密鑰和報文內容計算生成，用于驗證報文完整性、防止篡改及客戶端 / 服務器身份校驗。
Attributes（可變長度）：攜帶具體業務數據的屬性列表，每個屬性格式為 “類型（1 字節）+ 長度（1 字節）+ 值（可變長度）”。

屬性是 RADIUS 協議靈活性的核心，用于傳遞用戶信息、認證數據、授權規則等關鍵內容。常見核心屬性如下：

這些屬性可根據實際需求擴展，支持自定義業務規則（如帶寬限制、VLAN 分配等）。

本文來自互聯網用戶投稿，該文觀點僅代表作者本人，不代表本站立場。本站僅提供信息存儲空間服務，不擁有所有權，不承擔相關法律責任。
如若轉載，請注明出處：http://www.pswp.cn/web/94241.shtml
繁體地址，請注明出處：http://hk.pswp.cn/web/94241.shtml
英文地址，請注明出處：http://en.pswp.cn/web/94241.shtml

如若內容造成侵權/違法違規/事實不符，請聯系多彩編程網進行投訴反饋email:809451989@qq.com，一經查實，立即刪除！