RADIUS与TACACS+浅谈

来源 :大观周刊 | 被引量 : 0次 | 上传用户:woaibaobei123321
下载到本地 , 更方便阅读
声明 : 本文档内容版权归属内容提供方 , 如果您对本文有版权争议 , 可与客服联系进行内容授权或下架
论文部分内容阅读
   一 、前言
   RADIUS(Remote Authentication Dial-In User Service)和TACACS+(Terminal Access Controller Access Control System Plus)都是实现AAA具体协议。
  1、 在网络安全领域,AAA代表了一种必备的要求。AAA代表了
  Authentication,Authorization and Accouting(认证、授权和记账),允许管理员为一组用户或者用户快速设置安全参数。这些参数会影响用户的认证、用户能访问的授权区域以及记录的维护,记录的信息可以显示用户访问了哪些网络资源以及访问了多长时间
  2、 认证:用户的合法性的确定。授权:合法用户的权限。记账:记录用户的活动。
   二 、RADIUS的原理
  图一 RADIUS网络模型
  1、 RADIUS的数据包结构
   RADIUS是应用层的协议,在传输层它的报文被封装在UDP的报文中,进而封装进IP包,认证使用1812端口,计费使用1813端口,在以太网封装后的包结构:
  2、RADIUS的认证、计费过程
   如图1网络模型所示:
   (1)申请者登录网络时,NAS会有一个客户定义的Login提示符要求申请者输入用户信息(用户名和口令),申请者输入相关的认证信息后,等待认证结果。
   (2)NAS在得到用户信息后,将根据RADIUS的数据包格式,向RADIUS服务器发出“接入请求”(Access-Request)包。
   (3)当RADIUS服务器收到“接入请求”包后,首先验证NAS的共享密码与RADIUS服务器中预先设定的是否一致,以确认是所属的RADIUS客户端。在查验了包的正确性之后,RADIUS服务器会依据包中的用户名在用户数据库中查询是否有此用户记录。如果用户信息不符合,就向NAS发出“接入拒绝”(Access-Reject)包。NAS在收到拒绝包后,会立即停止用户连接端口的服务要求,用户被强制退出。
  三 、RADIUS与TACACS+的区别
  1、 UDP和TCP:
   RADIUS运行于UDP之上,而TACACS+运行于TCP之上。因TCP与UDP协议之间有本质的差别,故RADIUS和TACACS+协议之间也有很大的差别,与UDP相比TCP可以提供更多的好处,包括:
  a) 由于TCP具有TCP(RST)重置和TCP保持激活机制,因而当服务器宕机时可以提供指示;而对于UDP来说要实现该功能,需要额外的扩展程序;
  b) 与UDP相比,TCP更具扩张性,适合于大型的网络,特别是融合型网络
  c) TCP允许与多台服务器同时建立连接,但仅自动向当前活动服务器发送数据;而对UDP来说,则需要额外的程序才能实现。
  2、 数据包加密
  RADIUS在仅加密访问请求(Access-Reqire)数据包中的密码。信息包的剩下的事末加密。其他信息,例如用户名,核准的服务和认为,能由第三方捕获。
  TACACS+加密信息包但分支的整个机体一个标准的TACACS+头。在头之内指示的字段机 体不论是否被加密。为调试目的,它是有用的有信息包的机 体末加密。然而,在正常运行期间,信息包的机体为安全通信充分地被加密。
  3、 认证和授权
   RADIUS认证和授权未分离。RADIUS服务器发送的访问接受信息包到客户端包含授权信息。这使它难分离认证和授权。
  TACACS+使用AAA体系结构,分离验证、授权和记帐。这允许能为授权和记帐仍然使用 TACACS+的独立的身份验证解决方案。例如,带有TACACS+, 使用Kerberos认证和TACACS+ 授权和记帐是可能的。在NAS在 Kerberos 服务器之后验证,请求授权信息从TACACS+服务器没有必 须重新鉴别。NAS通知TACACS+服务器在Kerberos服务器成功验证,并且服务器然后提供授权信息。在会话期间,如果另外特许检查是需要的,接入服务 器检查以TACACS+服务器确定是否同意用户权限使用一个特定命令。这提供对在接入服务器可以被执行当分离从认证机制时的命令的更加巨大的控制。
  四 、总结
   AAA协议有Radius,TACACS+两种,就其相比,有各自的优、缺点,随着客户数的不断增加,AAA对于ISP来说是很有必要的,以通过此协议来对客户收取相应的费用,能简单记录一些用户的行动,是网络安全必不可少的部分。
  
  参考文献:
  [1]Brian Morgan, Neil Lovering.《CCNP ISCW 认证考试指南》.人民邮电出版社,2008(6)
  [2]一叶知秋.《TACACS +和RADIUS比较》.51CTO论坛 2010(4)
  [3]John F.Roland.《CCSP自学指南:安全Cisco从IOS网络》.人民邮电出版社,2005(2)
其他文献
混凝土裂缝的存在和发展通常会使内部的钢筋等材料产生腐蚀,降低钢筋混凝土材料的承载能力、耐久性及抗渗能力,影响建筑物的外观、使用寿命,严重的将威胁到人民的生命、财产。本
海底冲刷现象严重威胁着海底管线的安全运营.该文从海底管线冲刷机理入手,根据海底管线防冲刷技术的基本原理,提出了仿生防护措施——“人工草”固定法,并结合现有工程项目进
互联网+教育的高中语文教学,微课应用很重要。它既能满足不同学生个性化学习需求,也能挖掘学生个性化学习潜能,还能减轻教师教育教学的心理负担和压力,满足素质教育的要求,来
通过利用级配砂砾良好的水稳性、隔热性和透水性,采用在路面基层下设置砂砾垫层的方法,防止因路基毛细水作用使路面结构发生冻胀破坏。采用与路床同宽的全宽式施工工艺,有利
独立学院学生作为一个特殊层次的学生,要做好他们的思想政治工作。其实质就应是创新。要将创新寓于思想政治工作的实际当中,不断研究新情况,充实新内容,采用新方法,只有这样,才是丰
云计算这一技术在高校图书馆中广泛的应用,对于高校图书馆的发展而言,无疑似搭乘一辆高速列车,会极大地加快高校图书馆的发展速度,但是快速发展的过程中,也会出现很多挑战。本文就
我国作为吸引国际直接投资最多的发展中国家,近年来,出现一种现象,就是跨国公司在华子公司或分支机构一方面经营生产欣欣向荣,另一方面是财务数据长期“红灯”(亏损)高挂。出现这一
汽车底盘的保养往往被驾修人员视作可有可无的工作.远没有发动机和车身受到足够重视。其实汽车底盘保养是否得当,直接关系到汽车的安全性、操控性、舒适性和经济性等,丝毫不能掉
为了研究舰船敷设抗冲瓦后的阻力性能,采用RNG湍流模型和有限体积法求解RANS方程对船模三维粘性绕流进行了数值模拟,兴波阻力计算则采用基于格林定理的时域边界元法.开展了敷