1)RADIUS协议主要工作过程
(1)远程用户通过PSTN网络连接到接入服务器,并将登入信息发送到其服务器;
(2)RADIUS服务器根据用户输入的账户和密码对用户进行身份认证,并判断是否允许用户接入。请求批准后,其服务器还要对用户进行相应的鉴权;
(3)鉴权完成后,服务器将响应信息传递给网络接入服务器和计费服务器,网络接入服务器根据当前配置来决定针对用户的相应策略。
RADIUS协议的认证端口号为1812或1645,计费端口号为1813或1646。RADIUS通过统一的用户数据库存储用户信息进行验证与授权工作。
2)RADIUS的加密方法
对于重要的数据包和用户口令,RADIUS协议可使用MD5算法对其进行加密,在其客户端(NAS)和服务器端(RADIUS Server)分别存储一个密钥,利用此密钥对数据进行算法加密处理,密钥不宜在网络上传送。
3)RADIUS的重传机制
RADIUS协议规定了重传机制。如果NAS向某个RADIUS服务器提交请求没有收到返回信息,则可要求备份服务器重传。由于有多个备份服务器,因此NAS进行重传时,可采用轮询方法。如果备份服务器的密钥与以前密钥不同,则需重新进行认证。
终端访问控制系统
终端访问控制(Terminal Access Controller Access Control System,TACACS)的功能是通过一个或几个中心服务器为网络设备提供访问控制服务。与上述RADIUS区别是,TACACS是Cisco专用的协议,具有独立的身份认证、鉴权和审计等功能。
综上,IT33可以根据用户的实际需求定制高、中、低不同级别的访问控制解决方案,供用户选择,如果您有任何需求和想法请致电IT33。
|