【次基础上Radius的网络接入认证的设计与实现9600字（论文）】

#次基础上Radius的网络接入认证的设计与实现摘要21世纪以来全球互联网正处于迅猛增长的状态，近几年中小型网络的发展速度超乎了我们的想象。跟着这些发展趋势，人们相应的在带宽及网速等方面会提出更高的指标和要求，已不再仅仅满足于常用的带宽，网络带宽已渐渐融入人们的日常生活中。安装中小型的网络认证授权系统较为简单，人们可以选择自己安装这类的系统，而且升级比较简便，也可以随时对其进行升级操作，因此，设计一套简洁干净方便的网络认证授权系统是我们可以选择为中小型网络做的。AAA一种网络安全管理机制，它具备三重安全功能即认证、授权和计费，认证即用户身份的远程访问网站和确定访问者是否合法使用网络。授权许可证意味着不同的用户可以通过不同的服务来限制不同的使用授权。如用户设备管理成功的登录后，它可以吧不同的操作分配给不同的用户，在很长一段时间内实现不同的功能，包括起始结束时间、数据流等等，它是不仅限于作为计费工具，还监视网络安全。Radius远程认证拨号用户服务)这是信息式交换协议（分散的客户结构和服务器）。此外，网络不会受到未经授权方的干扰，网络在非常安全的网络环境中受到保护。本文在次基础上的以上需求，然后对网络认证授权系统的设计进行了大致规划，对认证授权等模块进行了设计，最后，对网络识别系统进行测试和使用，并从识别和识别的角度对WLAN服务器的设计和使用进行描述。去创建这样一个实用、安全及稳定性的网络认证授权系统是对各个行业而言是至关重要的。关键词：Radius；认证；计费；授权目录TOC\o"1-3"\h\u4887摘要 III32043第一章RADIUS现状及意义分析 6180371.1本课题研究意义 6136201.2国内外研究现状 79619 823892.1AAA系统简介 816223①认证 814714②授权 830191③计费 84992.2Radius协议简介 952962.3Radius协议原理 1018662.4IEEE802.1X接入认证 123762.4.1IEEE802.1X体系结构 12260312.5RADIUS和IEEE802.1X的关系 139911第三章总体设计 13104373.1系统设计 13267773.2 14222303.3 1417373第四章在次基础上的radius的AAA系统设计 14211844.1系统网络拓扑结构 1427810 1512812 1513448 1520761第五章在次基础上的radius的AAA系统设计 1631433第六章实验结果 2332063 24RADIUS现状及意义分析1.1本课题研究意义据调查显示，到2020年12月，中国网民人数即将接近989百万人，移动网络用户数为986百万人次，互联网传播广度为70%，40岁以下的占了将近一半的人次，21.0%的网民是青少年。我国互联网用户每周上网26.2小时，30岁到39岁的人占比最高，互联网用户的年龄达50年以上，16%提升到26.3%。互联网的渗透还渐渐增加到老年人。随着网络的快速发展，用户对网络的带宽和速度也提出了更高的要求。同时，普通网络的带宽无法适用于人们日常的需求，由此网络路由器快速进入人们的日常。在这种情况下，网络安全问题变得越来越紧迫。如何保证用户访问安全已成为网络安全的一项根本措施。通信网络的发展将使通过PSTN公共使用的电话网路线和互联网的经验成为可能，即保证计算机网络有效安全的让用户使用，以及用户和网络资源的合法权益，这些问题是由网络服务行业提供商去面对研究解决的。包括AAA管理在内的授权、认证和记账，是认证授权管理的核心，即在用户要求访问互联网时，用户需要进一步进行身份认证和授权，接下来用户的计费行为通过AAA系统进行管理。中央化管理结构是AAA服务器的一大特点，这种结构可以管理所有用户的状态。所有用户的数据储存，以及所有设备的访问记录，并用户的接入服务授权都是由集中的管理设备负责。现在随着计算机网络的迅速崛起，网络操作系统变得越来越复杂，从而使软件认证系统成为可能。以Radius为基础的用户管理实时上是一个集中化管理，是一个经典AAA过程，，内涵是“远程认证拨入用户服务”。随着认证接入网络技术迅速发展，PPPOE系统认证技术、Web系统认证技术和802.1X是三种最具有权威性的认证技术。目前，将Radius技术与这些认证技术的融合应用成为了接入宽带的主流设计方案。往昔，因为计算机的性能差，功能少，没有如今发达的网络系统，所以导致操作系统的脆弱和不足，这使得估算计算机网络设备的成本是成本估算的唯一出路。中小型因特网服务提供者的迅速发展对于传统通信用户访问管理系统的网络服务提供者来说似乎非常昂贵庞杂。中小企业也需要有一个有效的系统，用户管理和网络会计也要求中小企业的许多因特网服务提供者无需收费系统。各个部门有迅速灵活地使用这些网络的能力，是对中小型网络用户的管理者的需求，而且还要做到准确、稳定和安全，因此就需要设计一个灵活的系统来达到上述要求。1.2国内外研究现状依据中国网络信息中心2020年12月第47次中国网络发展统计报告，到2020年12月，中国网民将达到989百万人次，移动网络用户数为986百万人次，互联网传播广度为70%，40岁以下的占了将近一半的人次，21.0%的网民是青少年。我国互联网用户每周上网26.2小时，30岁到39岁的人占比最高，互联网用户的年龄达50年以上，16%提升到26.3%。互联网的渗透还渐渐增加到老年人。随着网络的快速发展，用户对网络的带宽和速度也提出了更高的要求。同时，普通网络的带宽无法适用于人们日常的需求，由此网络路由器快速进入人们的日常。AAA系统主要用于控制合法用户及其对网络的访问。认证，许可和费用准备服务。实施用户认证，许可证和收费是网络构筑和运用的关键性部分。目前AAA系统的钻研体系越来越自成一体，小型网络的管理规划和开发有很多商业化的体系。参考导入执行AAA系统的计划。终端准入控制器访问控制系统目录服务访问协议等。在AAA系统中，有两种关键最重要的用户认证管理模式，分别是分布式认证管理域集中式认证管理。分布式认证管理表示所有认证管理功能都已从底层连接设备中消耗掉包括用户证书，授权，费用等，而集中式认证管理是指所有用户的认证管理，数据集中存储在一个主交换机中，该交换机具有主交换机的审批管理功能，这是主要的方法。为了让更多的用户应用这项服务，形成更加健全稳定的网络认证系统，则需要进行基础基地底层的网络建设和规划。在Radius协定中，采用的是集中式AAA认证系统，管理认证操作由IEEE802.1X认证系统来完成，完成用户进出操作控制即提供用户认证和授权服务。虽然IEEE802.1X认证领域的技术和商业发展将改善传统认证领域的网络瓶颈，但对大规模恢复来说也是如此。统一认证制度是一个多样化的网络，仍然缺乏灵活性和多样性。AAA系统简介认证，授权和计费系统，因特网连接设备中的提供认证，授权和支付费用三个一致性框架，它有着强大功能，能进行网络访问控制。这种安全可调整流程其实是一种针对网络安全的管理机制。站在用户的立场，访问网络服务器，获得的网络服务，使用网络资源的合法用户计费等都是它来完成的。认证这一功能首先是验证网络用户者的身份，验证是否可以进行访问，并查看他们是否是合法用户。AAA系统支持3个认证方法：1、若对于请求访问网络的用户有很大不确定性，无法辨别是否可以信任的情况下，不进行任何检查；2、通过把用户的信息（包括用户名，密码和属性）放入网络认证连接通信设备的本地服务器来进行本地认证；3、远程认证通过远程服务器，支持通过Radius或TACACS协议进行远程认证。授权不同的用户被授予不同级别的权限，从而限制了对网络的访问。服务范围。AAA支持四种授权方式第一，直接授权高度信任互联网用户。经用户认证后直接授权通过；第二，本地许可证网络接入服务器，供本地使用授权帐户配置属性帐户；三个是hwtacaccs授权由tacaccs服务器。用户的授权；第四，由于Radius协议规定批准和授权会受到一定程度的限制，所以Radius在成功批准授权后，是不能单独使用Radius来进行授权操作的。计费记录用户在访问时使用的所有网络服务，包括用户开始访问的时间和人数记录用户在访问网络时使用网络资源的情况，按流量和使用类型分列。制作网络数据，以完成服务器用户的入场费和用户的网络使用通信服务的监管作用。该AAA系统支持两种成本计算方法第一种不计算；第二个是远程计算支持Radius或Tacaccs服务器计费。AAA系统采用用户/服务器结构，该结构在网络接入设备中运行，并负责其使用。在次基础上的该结构，此功能前提是能在服务器上集中管理和识别用户信息以及用户访问信息。当用户需要上网进行一些远程交流时，为进入网络获得某些网络资源服务的授权，首先第一步需要先通过AAA系统的认证。为了取得关于用户进行验证，授权和收费的资料，这些设备从能自动下载、指定的因特网连接设备中。用户身份需要被审核落实，并授予用户相应的权限是为了互联网连接设备的安全可靠，以及数据库中的相关信息安全。由网络连接设备依据服务器返回的最终结果决定了用户是否能访问外部网络以及取得网络资源。为了支持通信功能，AAA系统协议通过了若干相关协定，这些协议规定了网络连接设备的相关服务以及关联设备间信息传送运送传输的规则和标准。目前的大部分的主流网络设备都支持电话用户的远程认证服务。Radius，WhuaCyuz，HWTaCacs，HWTaCacs等等协议在日常实践中通常都使用到了Radius协议。Radius协议简介Radius是一种快捷简便的远程拨号用户服务协议，用于身份验证授权、收费的。在经历数次修改，逐渐演变为了网络中一种最通用的认证协议。在因特网上，在多个文件中都定义了网络授权认证和收费的协议并由组织提供和支持的Radius服务器机制定义。采用多用户线程验证信息的方式来进一步验证PP，PAP，CHAP和UNIX系统的有效性。现在被广泛应用于认证系统的过程移动，数据，智能网，计费系统。在次基础上的客户端/服务器的模式架构是Radius协议应用到的，到现在为止Radius客户端可以是每一个运行在Radius客户端的电脑，但是一开始连接接入网络的客户端仅仅是NAS这一种。基本过程是这样的：客户端进行访问网络操作，传送运送传输用户资料给Radius服务器。接收到的认证信息、费用后，Radius服务器依据这些信息进行信息处理，并将所有结果与信息退回给到NAS，依据不同RADIUS服务器的响应结果，然后NAS进行相应的处理操作。在次基础上的UDP协议传送运送传输过程的RADIUS协议，两个UDP端口通信是1812(认证端口）和1813(计费端口），是传送运送传输层的一类针对于无连接协议。UDP被称为用户数据报协议，它的缺点是不能确保保证报文的可靠性，但有很多优点，诸如传送运送传输效率高、开销不大，而RADIUS协议采用UDP协议进行传送运送传输的原因是它可以避免用户干等的时间过长，平常一般是成千上百字节长度的数据运送传输在NAS和RADIUS服务器之间，或许用户可以忍受几秒到十几秒的等到，但是在处理大基数多线程的用户服务器的情况下，相比较而TCP必须在成功建立连接后才能进行数据运送传输，UDP明显对服务器的实现过做出来简化，更简单高效。此外，RADIUS服务器可以冒名顶替，成为所有别的品种的服务器的代理，在服务器之间运送传输信息的时候，并与上了密码的NAS服务器互相分享密钥。因此为了方便进行扩展,Radius服务器可以接受多重身份验证协议。Radius服务器的工作流程如图2-7所示。网络用户访问网络时，直接输入用户名和密码于服务器上;（2）Radius客户机向对应服务器传送一组包括用户名和用户密码的访问请求包，依据所获取的用户名和密码（3）Radius服务器接收认证请求信息并分析。依据软件包中涵盖的用户信息，与其在数据库中的数据进行比较是否合法。如果认证成功，Radius客户端就会接收到用户的Access-Reject权限信息，反之，返回Access-Reject相应包。（4）Radius客户依据收到的验证结果访问或拒绝用户。在允许接入的情况下，Radius服务器接受来自RADIUS客户端的计时请求包，然后RADIUS服务器返回Acconting-Response；（6）Radius客户向Radius服务器发送Ackonting-Recist组（请求停止收费）。（7）Radius服务器返回Acconting-Response组。Radius协议原理RADIUS协议报文格式准确地说，Radius报文被覆盖在UDP报的数据字段中，其UDO目标端口号是1812。当有回复时，源端口和目的端口切换。以前的Radius协议使用UDP端口1645，因为它与著名的“Datametris”服务不一致。Radius协议的1812标志被重新分发。给出了Radius消息表单的图2-1。每个域的数据从左向右移动。图2-1RADIUS报文格式每个字段的含义如下：Code:包类型，空间字段是1字节，作用指定RADIUD包的类型。当收到消息的编码域不合法时，数据包将被丢弃。RADIUS计费报文（十进制）的分布情况如下：RADIUS计费报文（十进制）的分布情况1接入请求报文2接入成功回应报文3接入拒绝回应报文4计费请求报文5计费回应报文11接入挑战报文12服务器状态报文（测试）13客户端状态报文（测试）255保留表3.1Code域主要取值的说明Code报文类型报文说明1Access-Request认证请求包方向Client->Server，Client将用户信息传送运送传输到Server以判断是

否接入该用户。该报文中必须包含User-Name属性，可选包含

NAS-IP-Address、User-Password、NAS-Port等属性。2Access-Accept认方向Server->Client，如果Access-Request报文中所有Attribute证接受包值都是可以接受（即认证通过），则传送运送传输该类型报文。3Access-Reject认方向Server->Client，如果Access-Request报文中存在任何证拒绝包Attribute值无法被接受（即认证失败），则传送运送传输该类型报文。Identifier:包标识符，占一个字节，取值0~255，用来配对相应的请求消息和响应消息，并且同一个小组中，双方的Identifier是一致的。时间仓促的情况下，Radius服务器认定为重复请求，不能顺利允许来自相同ip地址，相同UDP端口号标识符以及来自相同标识符域的标识符的请求，而拒绝相应。Length：包长度空间为2字节。整个包中所有域的长度即分组长度。长度范围外的字节是另外附加的。这种方法的缺点是地址浪费，它要求在用户启动后将IP地址分配给用户，无论该IP地址是否通过Web站点验证，如果不使用，这将导致ip地址资源的浪费。Authenticator:有4个主要内容：1：访问请求Access-Request认证字；2：访问回应认证字（MD5(Code+ID+Length+RequestAuth+Attributes+Secret)）；3：计费请求Accounting-Request认证字；4：计费回应Accounting-Response认证字；另外它的域是16个字节，用于RadiusClient和Server之间消息认证的有效性和算法。Attributes:属性字段，身份验证授权，进行消息请求和配置。Radius协议的关键部分是执行身份验证、授权和计费等功能。属性包括公共和私人的隐私，这是在RFC协议的具体特点，必须遵守；依据他们的产品定义的是私有属性，并在一般的公共属性的基础上进行更详细的定义，它提供了三元组的形式，如类型，长度和价值，如下的图3-3所示:012

012345678901234567S90| Type |Length |Value...图2-2属性域在数据报中的格式Type:属性号(AttributeNumber)，描述数据的属性类型和范围。这是服务器和客户端上未识别的定义属性的省略。Value(值）：表明其身份和特点。即使此字段为null，则必须在该字段属性中显示，有6个属性，文本，IP地址，文本字符串，举例，整数，日期。字符串RFC协议中定义的标准如表3-4所示:TypeLengthVendor-IDVendor-IDtypelength

(specified)(specified)specifiedattributevalue 图2-3自定义属性格式Radius协议有很好的可扩展性，在协议中定义的特点26号3.4显示。结构用于扩展支持同一供应商本身定义的属性，是指不合适用于普通使用性能的扩展。从客户端发送来的供应商特殊信息的时候，若服务器不能解释，服务器必须忽略可用的进程。被注册为客户也尝试这样做，如果他们没有收到关于供应商身份的预期信息，也会开始操作。DHCP第二次分配:在申请分配地址时，因特网协议用户将获得该网站的认证，但这是一个私人内部地址，通过acl限制了外联网的接入。在通过portal验证用户身份后，用户用户请求IP地址时，用户自动更新IP地址。在这种方法中采用WEB的好处是提供了一个IP地址。它更适合大型运营商解决这一问题，因为大型运营商对IP地址的规划和分配问题很敏感，而且需要不将IP地址分配给经授权的用户。IEEE802.1X接入认证IEEE 802.1X是基于网络接入端口802.1X的网络访问控制协议。关于用户的认证和授权，这通常是与radius协议，并与TACACS协议合作，。radius和tacacs基本相似，都是基于AAA的认证。不同是radius的认证和授权是分开的，且tacacs可以对整个报文进行加密，而radius只能对密码进行加密，tacacs是基于tcp协议，radius是基于udp协议。为使该系统更加方便，IEEE802.1X可与各种用户证书认证协议合并2.4.1IEEE802.1X体系结构IEEE802.1X采用客户/服务器服务系统结构，由三个主要组成部分组成：客户端计算机系统，认证系统，和认证服务器系统，图2.1显示了各方之间的关系和图像。在通信线路之间。客户端系统：一般情况下作为用户的终端系统，安装客户软件，用户通过开启客户软件开始发起IEEE802.1X协议的认证进程。认证系统：网络接入系统，一种网络设备,接受IEEE802.1X的交换机或路由器的。在IEEE802.1X认证的启动中，一个受控端口和一个不受控端口是设备中的每个物理端口对应于两个逻辑点。不受控制的端口用于EAPOL的传送运送传输，会一直处于双向连接中，确定客户始终收到发送的认证信息，而受控端口仅通过信用认证成功后开启，作用于传送运送传输其他操作的数据信息帧。以适应各种网络应用环境变化，控制端口可以有双向控制和单向控制两种方式进行配置。对端口实行双向控制，停止发送和收到数据帧的操作；在单向控制的情况下，网关被禁止从其客户机接收数据帧，但端口允许发送数据帧给客户。认证服务器系统：是一种服务器，是用于认证RADIUS或TACACS所支持协议，用于记录用户相关认证、授权、费用设置等，如用户的VLAN，用户收费战略等的操作命令。认证服务器系统要确定客户端的身份提供认证，授权和收费服务，认证是指客户身份测试，以确定客户是否有权通过身份核查获得该系统提供的网络服务。当在用户获得认证后，认证服务器系统将与用户有关的信息传送到网络通信接入设备，该网络通信设备在通信设备底层建立一个动态网络接入控制表，并督察用户的后续流量。2.5RADIUS和IEEE802.1X的关系IEEE802.1X用户与认证服务器之间的互动，redius界定了互动式网络访问服务器与认证计算机之间的通信，从而与两个连通设备一起记录和控制访问。在批准过程中，IEEE802.1X协议中使用的EAP包装入“Radius”包中，该信息可以发送给“Radius”服务器。IEEE802.1X可以是对不同的接入服务的用户提供认证，和Radius相结合是目前与使用最多的方案；还可实现其他认证方式的报文之间的交互作用，例如MAC地址、Portal认证等。第三章总体设计3.1系统设计小型AAA系统将中央核心设备集中进行使用，者被称作集中式网络模式。这是在网站上以及在网络上较低的交换台上安装高级别转换器可靠性系统，并在中央认证系统上载和处理关于交换设备可靠性文件的详细资料。这种分组办法的优点是集中管理，减少了管理和维护费用。在此基础上的端口安全的AAA系统由用户终端、接入层交换机、核心层交换机、认证授权计费服务器组成。1、用户终端：在网络中使用网络资源的用户设备，比如个人计算机、印刷机等。2、接入层交换机：通过配置不同的协议操作调控用户连接网络。3、核心层交换机：通过建立各种协议监测工作组和用户网络。中央交换机式网络的一个关键部分，旨在通过快速通信运输实现优化可靠的基本部分必须可靠和可操作。3.2在处理主要交换机的安全出入端口时，用户终端端口网络必须通过IEEE802.1X或mac认证。(MAC)触发事件是未知来源，用户终端和连接密钥之间的包文往来可要求核实用户地址，而无需安装用户验证请求。IEEE802.1X报文发布的事件即EAP报文事件，是需要通过IEEE802.1X连接到正在重新连接的网络通信设备(NAS)的。再和Radius服务器连接，以验证用户的身份和密码，身份验证成功后的允许网络的访问。IEEE802.1X可以自己安装，也可以选择系统自带的WindowsXP或Windows7中的IEEE802.1X。3.3认证，授权由Radius服务模块负责，其实现过程有如下说明。认证部分通过分析用户信息和分析所获得信息的内容来实现。成功后，则要求用户需要发送用户的身份信息进行验证处理，与服务器进行交互，在相关的数据库表格中查找用户信息，并与用户提供的信息进行核对。所有核对都通过认证就获得批准，反之就会失败。这些网络的主要控制器是根据用户的需求和安排以及服务系统用户的不同特点，如自上而下带宽、因特网协议地址等。radius采用了模块设计，并在最高级别使用了不同的数据验证，以支持文件所载信息的可读性、系统用户认证和数据库验证。基于radius的AAA系统设计4.1系统网络拓扑结构如图所示，RADIUS用于访问服务器的网络结构，服务器用路由器来配置，配置了多个local-user。开始增加进入设备的数量:将服务器与switch组织连接起来。其次增添一些服务：把用户进行认证授权的各种方案的集中整合。然后添加接入用户的数量：涵盖802.1X用户的用户名、密码等个人隐私信息。最后添加设备管理用户：Telnet用户的用户名、密码等隐私信息。从创建本地用户开始，用户名为guest，密码为123456。其次配置RADIUS方案radius1，具体说明RADIUS认证/授权服务器的IP分别为;；并且Switch与认证RADIUS服务器交互报文时的共享密钥设置为expert。然后创建ISP域test，并在该域下配置所有802.1X用户登录时采用的RADIUS认证方案“radius1”，所有Login用户登录时采用本地认证。最后开启全局和端口GE1/0/1下的802.1X功能。第五章基于radius的AAA系统实现RADIUSserver以iMC为举例（iMC版本：iMCPLAT3.20-R2602、iMCUAM3.60-E6102），说明RADIUSserver的基本配置。iMC服务器上的配置主要包含如下四步：步骤操作第一步增加接入设备：建立iMC服务器和接入设备之间的联动关系。第二步增加服务：这里的“服务”是指对用户进行认证授权的各种策略的集合。第三步增加接入用户：添加802.1X用户的帐号名、密码等信息。第四步增加设备管理用户：添加Telnet用户的用户名和密码，用户设备的IP地址（或IP地址范围），并选择服务类型等。具体配置如下：（1）增加接入设备。在iMC管理平台进行登录进入，选择“业务”页签，单击导航中的菜单项，接着进入“接入设备配置”页面，在该页面中单击“增加”按钮，进入增加接入设备页面。然后设置与Switch交互报文时的认证、计费共享密钥为expert；其次设置认证及计费的端口号分别为1812和1813；分别选择业务类型为设备管理业务和LAN接入业务；选择接入设备类型为H3C；最后选择或手工增加接入设备，添加IP地址为的接入设备。图5-1增加接入设备－LAN接入业务图5-2增加接入设备－设备管理业务[接入业务/服务配置管理]在该页面中单击“增加”按钮，进入增加服务配置页面。1、输入服务名“service1”(可以任意命名)，服务后缀“test”；2、其它参数采用缺省值；3点击<确定>按钮。增加接入用户。选择“用户”页签，单击导航树中的[接入用户视图/所有接入用户]菜单项，进入“所有接入用户”列表页面，在该页面中单击<增加>按钮，进入增加接入用户页面。1、单击<增加用户>按钮，添加用户信息；guest（802.1X用户接入网络时使用的标识），123456；3、勾选接入服务“service1”；4、点击<确定>按钮。增加设备管理用户。选择“用户”页签，单击导航树中的[接入用户视图/设备管理用户]菜单项，进入设备管理用户列表页面，在该页面中单击<增加>按钮，进入增加设备管理页面。1、添加用户名“telnet@test”和密码“123456”；Telnet；IP地址，IP地址范围为“～27”。图1-11增加设备管理用户Switch1、配置各接口的IP地址2、开启Telnet服务器功能。<Switch>system-view[Switch]telnetserverenable配置Telnet用户登录采用AAA认证方式