2.3.6 認(rèn)證、授權(quán)和計(jì)費(fèi)

隨著網(wǎng)絡(luò)的興起，網(wǎng)絡(luò)服務(wù)提供者多采用認(rèn)證、授權(quán)和計(jì)費(fèi)(Authentication、 Authorization、AccoUnting，AAA)進(jìn)行遠(yuǎn)程集中訪問控制。其中，認(rèn)證是指網(wǎng)絡(luò)服務(wù)提供者在用戶申請(qǐng)使用網(wǎng)絡(luò)資源時(shí)鑒別該用戶的身份；授權(quán)是指網(wǎng)絡(luò)服務(wù)提供者允許用戶接人，并以特定的方式使用其資源；計(jì)費(fèi)是網(wǎng)絡(luò)系統(tǒng)收集、記錄用戶對(duì)網(wǎng)絡(luò)資源的使用情況，向用戶收取資源使用費(fèi)，同時(shí)也用手用戶行為的審計(jì)。AAA-般采用客戶／服務(wù)器結(jié)構(gòu)，客戶端運(yùn)行于被管理一方，服務(wù)器統(tǒng)一管理用戶信息。

1.RADIUS

遠(yuǎn)程用戶撥號(hào)認(rèn)證服務(wù)( Remote Authentication Dial In User Service，RADIUS)最初由Livingston公司提出，用來為撥號(hào)用戶進(jìn)行認(rèn)證和計(jì)費(fèi)，經(jīng)多次改進(jìn)，形成了一項(xiàng)通用的認(rèn)證協(xié)議，可用于多種用戶接人方式，如以太網(wǎng)接人、ADSL接人等。該協(xié)議運(yùn)行于UDP之上， 1812為認(rèn)證端口，1813為計(jì)費(fèi)端口。

用戶登錄路由器或接人服務(wù)器等網(wǎng)絡(luò)設(shè)備時(shí)，首先將用戶名和口令發(fā)送給網(wǎng)絡(luò)設(shè)備。 網(wǎng)絡(luò)設(shè)備中的RADIUS客戶端根據(jù)獲取的用戶名和口令，向P,ADIUS服務(wù)器發(fā)送認(rèn)證請(qǐng)求。服務(wù)器接收到用戶信息后，將該用戶信息與用戶數(shù)據(jù)庫(kù)中的信息進(jìn)行對(duì)比分析。在傳輸過程中，所有用戶密碼均加密傳送。如果認(rèn)證成功，則將用戶的權(quán)限信息以認(rèn)證響應(yīng)包發(fā)送給RADIUS客戶端；如果認(rèn)證失敗，則返回拒絕響應(yīng)包?？蛻舳烁鶕?jù)接收到的認(rèn)證結(jié)果接人付巨絕用戶。如果可以接人用戶，則RADIUS客戶端向RADIUS服務(wù)器發(fā)送計(jì)費(fèi)開始請(qǐng)求包，服務(wù)器返回計(jì)費(fèi)開始響應(yīng)包。訪問結(jié)束，RADIUS客戶端向服務(wù)器發(fā)送計(jì)費(fèi)停止請(qǐng)求包，服務(wù)器返回計(jì)費(fèi)結(jié)束響應(yīng)包。

RADIUS協(xié)議實(shí)現(xiàn)簡(jiǎn)單，傳輸簡(jiǎn)捷高效，能支持多種認(rèn)證方式，得到廣泛的應(yīng)用。 RADIUS協(xié)議僅對(duì)傳輸過程中的密碼本身進(jìn)行加密，而其他部分都以明文傳輸，對(duì)敏感信息不能進(jìn)行有效地保護(hù)，安全性不高。