论文部分内容阅读
一 、前言
RADIUS(Remote Authentication Dial-In User Service)和TACACS+(Terminal Access Controller Access Control System Plus)都是实现AAA具体协议。
1、 在网络安全领域,AAA代表了一种必备的要求。AAA代表了
Authentication,Authorization and Accouting(认证、授权和记账),允许管理员为一组用户或者用户快速设置安全参数。这些参数会影响用户的认证、用户能访问的授权区域以及记录的维护,记录的信息可以显示用户访问了哪些网络资源以及访问了多长时间
2、 认证:用户的合法性的确定。授权:合法用户的权限。记账:记录用户的活动。
二 、RADIUS的原理
图一 RADIUS网络模型
1、 RADIUS的数据包结构
RADIUS是应用层的协议,在传输层它的报文被封装在UDP的报文中,进而封装进IP包,认证使用1812端口,计费使用1813端口,在以太网封装后的包结构:
2、RADIUS的认证、计费过程
如图1网络模型所示:
(1)申请者登录网络时,NAS会有一个客户定义的Login提示符要求申请者输入用户信息(用户名和口令),申请者输入相关的认证信息后,等待认证结果。
(2)NAS在得到用户信息后,将根据RADIUS的数据包格式,向RADIUS服务器发出“接入请求”(Access-Request)包。
(3)当RADIUS服务器收到“接入请求”包后,首先验证NAS的共享密码与RADIUS服务器中预先设定的是否一致,以确认是所属的RADIUS客户端。在查验了包的正确性之后,RADIUS服务器会依据包中的用户名在用户数据库中查询是否有此用户记录。如果用户信息不符合,就向NAS发出“接入拒绝”(Access-Reject)包。NAS在收到拒绝包后,会立即停止用户连接端口的服务要求,用户被强制退出。
三 、RADIUS与TACACS+的区别
1、 UDP和TCP:
RADIUS运行于UDP之上,而TACACS+运行于TCP之上。因TCP与UDP协议之间有本质的差别,故RADIUS和TACACS+协议之间也有很大的差别,与UDP相比TCP可以提供更多的好处,包括:
a) 由于TCP具有TCP(RST)重置和TCP保持激活机制,因而当服务器宕机时可以提供指示;而对于UDP来说要实现该功能,需要额外的扩展程序;
b) 与UDP相比,TCP更具扩张性,适合于大型的网络,特别是融合型网络
c) TCP允许与多台服务器同时建立连接,但仅自动向当前活动服务器发送数据;而对UDP来说,则需要额外的程序才能实现。
2、 数据包加密
RADIUS在仅加密访问请求(Access-Reqire)数据包中的密码。信息包的剩下的事末加密。其他信息,例如用户名,核准的服务和认为,能由第三方捕获。
TACACS+加密信息包但分支的整个机体一个标准的TACACS+头。在头之内指示的字段机 体不论是否被加密。为调试目的,它是有用的有信息包的机 体末加密。然而,在正常运行期间,信息包的机体为安全通信充分地被加密。
3、 认证和授权
RADIUS认证和授权未分离。RADIUS服务器发送的访问接受信息包到客户端包含授权信息。这使它难分离认证和授权。
TACACS+使用AAA体系结构,分离验证、授权和记帐。这允许能为授权和记帐仍然使用 TACACS+的独立的身份验证解决方案。例如,带有TACACS+, 使用Kerberos认证和TACACS+ 授权和记帐是可能的。在NAS在 Kerberos 服务器之后验证,请求授权信息从TACACS+服务器没有必 须重新鉴别。NAS通知TACACS+服务器在Kerberos服务器成功验证,并且服务器然后提供授权信息。在会话期间,如果另外特许检查是需要的,接入服务 器检查以TACACS+服务器确定是否同意用户权限使用一个特定命令。这提供对在接入服务器可以被执行当分离从认证机制时的命令的更加巨大的控制。
四 、总结
AAA协议有Radius,TACACS+两种,就其相比,有各自的优、缺点,随着客户数的不断增加,AAA对于ISP来说是很有必要的,以通过此协议来对客户收取相应的费用,能简单记录一些用户的行动,是网络安全必不可少的部分。
参考文献:
[1]Brian Morgan, Neil Lovering.《CCNP ISCW 认证考试指南》.人民邮电出版社,2008(6)
[2]一叶知秋.《TACACS +和RADIUS比较》.51CTO论坛 2010(4)
[3]John F.Roland.《CCSP自学指南:安全Cisco从IOS网络》.人民邮电出版社,2005(2)
RADIUS(Remote Authentication Dial-In User Service)和TACACS+(Terminal Access Controller Access Control System Plus)都是实现AAA具体协议。
1、 在网络安全领域,AAA代表了一种必备的要求。AAA代表了
Authentication,Authorization and Accouting(认证、授权和记账),允许管理员为一组用户或者用户快速设置安全参数。这些参数会影响用户的认证、用户能访问的授权区域以及记录的维护,记录的信息可以显示用户访问了哪些网络资源以及访问了多长时间
2、 认证:用户的合法性的确定。授权:合法用户的权限。记账:记录用户的活动。
二 、RADIUS的原理
图一 RADIUS网络模型
1、 RADIUS的数据包结构
RADIUS是应用层的协议,在传输层它的报文被封装在UDP的报文中,进而封装进IP包,认证使用1812端口,计费使用1813端口,在以太网封装后的包结构:
2、RADIUS的认证、计费过程
如图1网络模型所示:
(1)申请者登录网络时,NAS会有一个客户定义的Login提示符要求申请者输入用户信息(用户名和口令),申请者输入相关的认证信息后,等待认证结果。
(2)NAS在得到用户信息后,将根据RADIUS的数据包格式,向RADIUS服务器发出“接入请求”(Access-Request)包。
(3)当RADIUS服务器收到“接入请求”包后,首先验证NAS的共享密码与RADIUS服务器中预先设定的是否一致,以确认是所属的RADIUS客户端。在查验了包的正确性之后,RADIUS服务器会依据包中的用户名在用户数据库中查询是否有此用户记录。如果用户信息不符合,就向NAS发出“接入拒绝”(Access-Reject)包。NAS在收到拒绝包后,会立即停止用户连接端口的服务要求,用户被强制退出。
三 、RADIUS与TACACS+的区别
1、 UDP和TCP:
RADIUS运行于UDP之上,而TACACS+运行于TCP之上。因TCP与UDP协议之间有本质的差别,故RADIUS和TACACS+协议之间也有很大的差别,与UDP相比TCP可以提供更多的好处,包括:
a) 由于TCP具有TCP(RST)重置和TCP保持激活机制,因而当服务器宕机时可以提供指示;而对于UDP来说要实现该功能,需要额外的扩展程序;
b) 与UDP相比,TCP更具扩张性,适合于大型的网络,特别是融合型网络
c) TCP允许与多台服务器同时建立连接,但仅自动向当前活动服务器发送数据;而对UDP来说,则需要额外的程序才能实现。
2、 数据包加密
RADIUS在仅加密访问请求(Access-Reqire)数据包中的密码。信息包的剩下的事末加密。其他信息,例如用户名,核准的服务和认为,能由第三方捕获。
TACACS+加密信息包但分支的整个机体一个标准的TACACS+头。在头之内指示的字段机 体不论是否被加密。为调试目的,它是有用的有信息包的机 体末加密。然而,在正常运行期间,信息包的机体为安全通信充分地被加密。
3、 认证和授权
RADIUS认证和授权未分离。RADIUS服务器发送的访问接受信息包到客户端包含授权信息。这使它难分离认证和授权。
TACACS+使用AAA体系结构,分离验证、授权和记帐。这允许能为授权和记帐仍然使用 TACACS+的独立的身份验证解决方案。例如,带有TACACS+, 使用Kerberos认证和TACACS+ 授权和记帐是可能的。在NAS在 Kerberos 服务器之后验证,请求授权信息从TACACS+服务器没有必 须重新鉴别。NAS通知TACACS+服务器在Kerberos服务器成功验证,并且服务器然后提供授权信息。在会话期间,如果另外特许检查是需要的,接入服务 器检查以TACACS+服务器确定是否同意用户权限使用一个特定命令。这提供对在接入服务器可以被执行当分离从认证机制时的命令的更加巨大的控制。
四 、总结
AAA协议有Radius,TACACS+两种,就其相比,有各自的优、缺点,随着客户数的不断增加,AAA对于ISP来说是很有必要的,以通过此协议来对客户收取相应的费用,能简单记录一些用户的行动,是网络安全必不可少的部分。
参考文献:
[1]Brian Morgan, Neil Lovering.《CCNP ISCW 认证考试指南》.人民邮电出版社,2008(6)
[2]一叶知秋.《TACACS +和RADIUS比较》.51CTO论坛 2010(4)
[3]John F.Roland.《CCSP自学指南:安全Cisco从IOS网络》.人民邮电出版社,2005(2)