身份认证——AAA与Radius协议讲解

这篇具有很好参考价值的文章主要介绍了身份认证——AAA与Radius协议讲解。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

目录

AAA介绍

AAA的基本架构

AAA的认证 授权 计费方式

AAA通过本地和远端实现的大致流程

Radius协议

Radius架构

Radius报文结构

Radius如何对用户进行认证

Radius协议报文交互过程


AAA介绍

AAA(Authentication Authorization and Accounting)又称为认证、授权和计费,是一种管理网络安全的机制(架构),主要为接入网络的用户提供认证、授权和计费三种基本服务,用于防止非法用户登陆设备

AAA可以通过多种协议来实现,在实际应用中,最常使用RADIUS协议,也有些会使用TACACS+协议

认证:对用户进行身份认证,验证用户是否具有访问网络/管理设备的权力

授权:对用户权限进行分类,提供不同的访问权限

记账:记录用户使用网络资源的情况,根据统计数据进行分析计费

AAA的基本架构

AAA通常采用客户端-服务器的结构,服务器集中管理用户信息

NAS客户端:网络接入设备(也可以作为本地AAA服务器管理用户信息)

AAA Server远端AAA服务器

radius和aaa,# 网络安全FW理论讲解,服务器,网络,运维

AAA的认证 授权 计费方式

AAA认证方式

不认证:

不对用户进行认证,一般不推荐

本地认证:

将用户信息配置在NAS设备,当接收到用户信息后直接本地认证,认证速度快,但是存储的信息量会受到设备硬件限制

远端认证:

将用户信息配置在专用的AAA服务器上(Radius服务器或HWTACACS服务器)

AAA授权方式

不授权:

不对用户进行授权处理

本地授权:

根据NAS设备上为本地用户账户配置的相关属性进行授权

远端授权:

有专用的AAA服务器进行授权(Radius服务器或HWTACACS服务器)

AAA计费方式

不计费:不进行计费

远端计费:通过Radius服务器或HWTACACS服务器进行计费

AAA通过本地和远端实现的大致流程

远端方式流程

用户向NAS发起AAA申请,NAS收到后将其发送给AAA Server处理

AAA Server将处理后的结果返回给NAS,NAS根据处理结果为Host提供相应的AAA服务

本地方式流程

用户向NAS发起AAA申请,NAS收到后直接处理,然后根据处理结果为Host提供相应的AAA服务


Radius协议

Radius基本概念

Radius(Remote Autnentication Dial-In User Service)远程认证拨号用户服务,是一种基于客户端-服务器模式的认证和会话管理协议(Radius的客户端一般是接入设备);用于在计算机网络中提供对用户进行身份认证、授权和账户管理的服务;通常用于远程访问服务器来验证用户身份并授权其访问网络资源(如 虚拟专用网络VPN或无线接入点)

注意:使用Radius服务器进行认证授权计费时,AAA的方式必须为远端方式

Radius端口号

Radius承载在UDP协议之上

进行远程认证的认证和计费端口号为1812和1813(或1645和1646 旧版本)

Radius服务器认证方式

一般使用PAP和CHAP对用户进行认证

不过Radius的认证和授权一体,即认证和授权统一进行,并且Radius不对配置命令进行授权

Radius协议应用场景

  1. 在办公网场景中结合802.1x认证为用户提供认证授权计费服务
  2. 可以作为Portal认证的认证服务器,为用户提供认证授权计费服务
  3. 作为MAC认证的认证服务器,为哑终端等提供认证服务
  4. 也可以直接使用Radius服务器进行远端认证,对用户进行认证授权计费服务

Radius协议和TACAAS+协议的区别

  Radius TACACS+
设计目的 主要用于认证和记录远程用户接入到网络 主要用于管理员接入到网络设备
端口号 UDP协议(认证授权1812、计费1813) TCP协议(认证、授权、计费都是49)
其它 认证授权不分离,不支持对配置命令授权 认证授权分离,并支持对配置命令进行授权

Radius和AAA的关系

AAA是一种基础架构,Radius是基于该架构实现用户认证计费授权的一种协议(如TACACS+也是基于AAA架构实现用户认证计费授权的一种协议)

Radius和AD域的区别

总的来说,AD和Radius都为为了实现集中管理而存在的(并且都支持分布式部署),只是两者的工作原理和使用场景有所不同

  • AD是一种目录服务:主要用于Windows网络环境的用户和资源管理(存储了用户账户信息、计算机和打印机等资源,并使用LDAP提供对这些信息的访问)
  • Radius是一种基于客户端-服务器模式的认证和会话管理协议,主要用于远程用户访问网络时的身份验证和会话管理

Radius架构

基于AAA的基本架构

radius和aaa,# 网络安全FW理论讲解,服务器,网络,运维

Radius客户端

一般位于网络接入设备,可以遍布整个网络

负责将用户的请求传递给Radius服务器,并对服务器的处理结果做出响应

Radius服务器

一般运行在中心计算机或工作站上,维护相关的用户信息,用于响应Radius客户端的请求

对用户进行认证授权和计费;Radius服务器只要维护以下三个数据库

radius和aaa,# 网络安全FW理论讲解,服务器,网络,运维

Users:用于存储用户信息(用户名、密码、IP地址等配置信息)

Clients:用于存储Radius客户端信息(IP地址等信息)

Dictionary:用于存储Radius协议中的属性和属性值含义等信息(进行Radius报文交互)

Radius报文结构

radius和aaa,# 网络安全FW理论讲解,服务器,网络,运维

radius和aaa,# 网络安全FW理论讲解,服务器,网络,运维

Code 包类型

指定Radius的报文类型

radius和aaa,# 网络安全FW理论讲解,服务器,网络,运维

Access-Challenge

主要用于EAP中继认证场景

Accounting-Rquest又细分为

 Accounting-Rquest(Start):计费开始请求报文

 Accounting-Rquest(Interim-update):实时计费请求报文

 Accounting-Rquest(Stop):计费结束请求报文

Accounting-Response又细分为

 Accounting-Response(Start):计费开始响应报文

 Accounting-Response(Interim-update):实时计费响应报文

 Accounting-Response(Stop):计费结束响应报文

Identifier 包标识

1、用来匹配请求和响应报文

Radius客户端发送请求报文后,Radius服务器返回的响应报文中的Identifier值与请求报文中的Identifier值相同,将相同Identifier值的请求和响应报文进行匹配

2、用来检测在一段时间内重发的请求报文

如果在一个很短的时间内收到相同的源IP地址、源UDP端口号以及Identifier值的请求报文,Radius服务器就认为是重复的请求报文

Length 包长度

指定Radius报文的长度(Code、Identifier、Length、Authenticator、Avps五个字段)

接收到的报文的实际长度大于Length的取值,超过的字节将作为填充字符而忽略

接收到的报文的实际长度小于Length的取值,该报文会被丢弃

Authenticator 包验证字(对用户进行认证授权)

1、用于和用户密钥做运算,以此验证用户的密钥(结合Radius如何给用户认证一起理解)

Request Authenticator 请求验证字

用在认证授权请求报文中,该值在密钥(NSA和服务器之间的共享密钥)的声明周期内是不可预测和唯一的,用来对用户的密码进行加密(不同的认证方式加密方法不同)

PAP方式

将共享密钥与Request Authenticator进行MD5运算,并将该值与用户输入的密码进行异或运算,将其结果存放在认证授权请求包的User-Password属性中

CHAP方式

将共享密钥与Request Authenticator和CHAP ID(认证方发给响应方的一个随机值)进行MD5运算,然后将此值与CHAP ID一起存放在认证授权请求包的Chap-Password属性中

2、用于验证来自服务端的响应的有效性

Response Authenticator 响应验证字

用在认证授权响应报文中,用于NAS验证响应报文的合法性

响应验证字=MD5(Code+Identifier+Length+请求验证字+Avps+共享密钥)

AVPs(Attributes Value Pairs)(Radius属性,可变字段)

携带认证、授权和记账信息(通过TLV结构表示)

radius和aaa,# 网络安全FW理论讲解,服务器,网络,运维

radius和aaa,# 网络安全FW理论讲解,服务器,网络,运维

TLV26厂商自定义属性(一个报文可以携带一个或多个私有属性,每个私有属性有一个或多个子属性)

TLV79用来承载EAP协议(当802.1x协议使用Radius服务器认证时使用)

radius和aaa,# 网络安全FW理论讲解,服务器,网络,运维

Radius如何对用户进行认证

PAP方式(参考Authenticator字段的讲解)

radius和aaa,# 网络安全FW理论讲解,服务器,网络,运维

CHAP方式

radius和aaa,# 网络安全FW理论讲解,服务器,网络,运维

Radius协议报文交互过程

radius和aaa,# 网络安全FW理论讲解,服务器,网络,运维文章来源地址https://www.toymoban.com/news/detail-783436.html

到了这里,关于身份认证——AAA与Radius协议讲解的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 搭建Radius认证服务器 安当加密

    搭建Radius认证服务器需要完成以下步骤: 安装Radius服务器软件。可以选择使用FreeRadius、Radiusd或WinRadius等开源软件,也可以选择使用商业软件如Cisco或 安当ASP 等。 配置认证数据库。在Radius服务器上配置认证数据库,用于存储用户信息和认证信息。可以选择使用常见的数据库

    2024年02月05日
    浏览(52)
  • Packet Tracer - 在思科路由器上配置 AAA 认证

    Packet Tracer - 在思科路由器上配置 AAA 认证 拓扑图 地址分配表 设备 接口 IP 地址 子网掩码 默认网关 交换机端口 R1 G0/1 192.168.1.1 255.255.255.0 不适用 S1 F0/1 S0/0/0 (DCE) 10.1.1.2 255.255.255.252 不适用 不适用 R2 G0/0 192.168.2.1 255.255.255.0 不适用 S2 F0/2 S0/0/0 10.1.1.1 255.255.255.252 不适用 不适用

    2024年02月09日
    浏览(39)
  • 【H3C】配置AAA认证和Telnet远程登陆,S5130 Series交换机

     AAA配置步骤为: 1.开启telent远程登陆服务 2.创建用户,设置用户名、密码、用户的服务类型 3.配置终端登录的数量 4.配置vlan-if的ip地址,用来远程登陆 5.允许对应的vlan通过 1.开启telent远程登陆服务 sys                                                # 进入系统视图 te

    2024年01月22日
    浏览(49)
  • 统一身份认证,构建数字时代的安全壁垒——统一身份认证介绍、原理和实现方法

    随着数字化时代的来临,个人和机构在互联网上的活动越来越频繁,对于身份认证的需求也愈发迫切。为了有效应对身份欺诈、数据泄露等问题,统一身份认证(Unified Identity Authentication)应运而生。 在本文博主将介绍统一身份认证的概念、原理以及其具体的实现方案。 统一

    2024年02月03日
    浏览(45)
  • 【认证绕过】NACOS身份认证绕过漏洞分析

    前言 工作中遇到一个nacos服务认证绕过的问题,在此总结一下漏洞原因。 官方文档描述: Nacos 致力于帮助您发现、配置和管理微服务。Nacos 提供了一组简单易用的特性集,帮助您快速实现动态服务发现、服务配置、服务元数据及流量管理。 Nacos 帮助您更敏捷和容易地构建、

    2023年04月13日
    浏览(52)
  • 常见的身份认证技术

    (1)   口令认证技术(用户名/密码) 这是最简单也是最传统的身份认证方法,通过口令来验证用户的合法有效性。 通过用户名  ID  和用户密码  PW  来认证用户。 只要能够正确验证密码,系统就判定操作者是合法用户。 口令认证主要适用于小型封闭型系统。 存在的问题

    2024年02月06日
    浏览(54)
  • NACOS身份认证绕过

    一、漏洞描述 Nacos是Alibaba的一个动态服务发现、配置和服务管理平台。攻击者通过添加Nacos-Server的User-Agent头部将可绕过(nacos.core.auth.enabled=true)鉴权认证,从而进行API操作。 二、漏洞利用 访问 http://xxxxx/nacos/v1/auth/users?username=testpassword=test ,并使用burpsuite进行抓包,将方法

    2024年02月16日
    浏览(46)
  • ES开启身份认证

    X-Pack是Elastic Stack扩展功能,提供安全性,警报,监视,报告,机器学习和许多其他功能。 X-Pack的发展演变: 1,5.X版本之前:没有x-pack,是独立的:security安全,watch查看,alert警告等独立单元。 2,5.X版本:对原本的安全,警告,监视,图形和报告做了一个封装,形成了x-pac

    2024年02月14日
    浏览(41)
  • Nodejs七、身份认证

    1、Web 开发模式 (1)目前主流的 Web 开发模式 基于 服务端渲染 的传统 Web 开发模式 基于 前后端分离 的新型 Web 开发模式 (2)服务端渲染的 Web 开发模式 服务器发送给客户端的 HTML 页面,是在服务器通过字符串的拼接,动态生成的。 客户端不需要使用 Ajax 这样的技术额外请

    2024年02月09日
    浏览(48)
  • Nacos身份认证漏洞

    公司Nacos版本有用的2.0.1和2.0.3的都复现了身份认证的漏洞,无需认证身份就可以查看用户列表以及注册新用户,并且注册上来的新用户可以查看所有public命名空间下的配置资源! 1、查看用户列表 URL: http://ip:8848/nacos/v1/auth/users?pageNo=1pageSize=1 方法类型:GET 返回结果: 如图示

    2023年04月10日
    浏览(45)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包