RADIUS與TACACS+淺談

一 、前言

RADIUS（Remote Authentication Dial-In User Service）和TACACS+（Terminal Access Controller Access Control System Plus）都是實現(xiàn)AAA具體協(xié)議。

1、 在網(wǎng)絡安全領域，AAA代表了一種必備的要求。AAA代表了

Authentication，Authorization and Accouting（認證、授權和記賬），允許管理員為一組用戶或者用戶快速設置安全參數(shù)。這些參數(shù)會影響用戶的認證、用戶能訪問的授權區(qū)域以及記錄的維護，記錄的信息可以顯示用戶訪問了哪些網(wǎng)絡資源以及訪問了多長時間

2、 認證：用戶的合法性的確定。授權：合法用戶的權限。記賬：記錄用戶的活動。

二 、RADIUS的原理

圖一 RADIUS網(wǎng)絡模型

1、 RADIUS的數(shù)據(jù)包結構

RADIUS是應用層的協(xié)議，在傳輸層它的報文被封裝在UDP的報文中，進而封裝進IP包，認證使用1812端口，計費使用1813端口，在以太網(wǎng)封裝后的包結構：

2、RADIUS的認證、計費過程

如圖1網(wǎng)絡模型所示：

（1）申請者登錄網(wǎng)絡時，NAS會有一個客戶定義的Login提示符要求申請者輸入用戶信息（用戶名和口令），申請者輸入相關的認證信息后，等待認證結果。

（2）NAS在得到用戶信息后，將根據(jù)RADIUS的數(shù)據(jù)包格式，向RADIUS服務器發(fā)出“接入請求”（Access-Request）包。

（3）當RADIUS服務器收到“接入請求”包后，首先驗證NAS的共享密碼與RADIUS服務器中預先設定的是否一致，以確認是所屬的RADIUS客戶端。在查驗了包的正確性之后，RADIUS服務器會依據(jù)包中的用戶名在用戶數(shù)據(jù)庫中查詢是否有此用戶記錄。如果用戶信息不符合，就向NAS發(fā)出“接入拒絕”（Access-Reject）包。NAS在收到拒絕包后，會立即停止用戶連接端口的服務要求，用戶被強制退出。

三 、RADIUS與TACACS+的區(qū)別

1、 UDP和TCP：

RADIUS運行于UDP之上，而TACACS+運行于TCP之上。因TCP與UDP協(xié)議之間有本質(zhì)的差別，故RADIUS和TACACS+協(xié)議之間也有很大的差別，與UDP相比TCP可以提供更多的好處，包括：

a） 由于TCP具有TCP（RST）重置和TCP保持激活機制，因而當服務器宕機時可以提供指示；而對于UDP來說要實現(xiàn)該功能，需要額外的擴展程序；

b） 與UDP相比，TCP更具擴張性，適合于大型的網(wǎng)絡，特別是融合型網(wǎng)絡

c） TCP允許與多臺服務器同時建立連接，但僅自動向當前活動服務器發(fā)送數(shù)據(jù)；而對UDP來說，則需要額外的程序才能實現(xiàn)。

2、 數(shù)據(jù)包加密

RADIUS在僅加密訪問請求（Access-Reqire）數(shù)據(jù)包中的密碼。信息包的剩下的事末加密。其他信息，例如用戶名，核準的服務和認為，能由第三方捕獲。

TACACS+加密信息包但分支的整個機體一個標準的TACACS+頭。在頭之內(nèi)指示的字段機 體不論是否被加密。為調(diào)試目的，它是有用的有信息包的機 體末加密。然而，在正常運行期間，信息包的機體為安全通信充分地被加密。

3、 認證和授權

RADIUS認證和授權未分離。RADIUS服務器發(fā)送的訪問接受信息包到客戶端包含授權信息。這使它難分離認證和授權。

TACACS+使用AAA體系結構，分離驗證、授權和記帳。這允許能為授權和記帳仍然使用 TACACS+的獨立的身份驗證解決方案。例如，帶有TACACS+， 使用Kerberos認證和TACACS+ 授權和記帳是可能的。在NAS在 Kerberos 服務器之后驗證，請求授權信息從TACACS+服務器沒有必 須重新鑒別。NAS通知TACACS+服務器在Kerberos服務器成功驗證，并且服務器然后提供授權信息。在會話期間，如果另外特許檢查是需要的，接入服務 器檢查以TACACS+服務器確定是否同意用戶權限使用一個特定命令。這提供對在接入服務器可以被執(zhí)行當分離從認證機制時的命令的更加巨大的控制。

四 、總結

AAA協(xié)議有Radius，TACACS+兩種，就其相比，有各自的優(yōu)、缺點，隨著客戶數(shù)的不斷增加，AAA對于ISP來說是很有必要的，以通過此協(xié)議來對客戶收取相應的費用，能簡單記錄一些用戶的行動，是網(wǎng)絡安全必不可少的部分。

參考文獻：

[1]Brian Morgan， Neil Lovering.《CCNP ISCW 認證考試指南》.人民郵電出版社，2008(6)

[2]一葉知秋.《TACACS +和RADIUS比較》.51CTO論壇 2010(4)

[3]John F.Roland.《CCSP自學指南：安全Cisco從IOS網(wǎng)絡》.人民郵電出版社，2005(2）