认证、授权和计费

2.3.6 认证、授权和计费

随着网络的兴起，网络服务提供者多采用认证、授权和计费(Authentication、 Authorization、AccoUnting，AAA)进行远程集中访问控制。其中，认证是指网络服务提供者在用户申请使用网络资源时鉴别该用户的身份；授权是指网络服务提供者允许用户接人，并以特定的方式使用其资源；计费是网络系统收集、记录用户对网络资源的使用情况，向用户收取资源使用费，同时也用手用户行为的审计。AAA-般采用客户／服务器结构，客户端运行于被管理一方，服务器统一管理用户信息。

1.RADIUS

远程用户拨号认证服务( Remote Authentication Dial In User Service，RADIUS)最初由Livingston公司提出，用来为拨号用户进行认证和计费，经多次改进，形成了一项通用的认证协议，可用于多种用户接人方式，如以太网接人、ADSL接人等。该协议运行于UDP之上， 1812为认证端口，1813为计费端口。

用户登录路由器或接人服务器等网络设备时，首先将用户名和口令发送给网络设备。 网络设备中的RADIUS客户端根据获取的用户名和口令，向P,ADIUS服务器发送认证请求。服务器接收到用户信息后，将该用户信息与用户数据库中的信息进行对比分析。在传输过程中，所有用户密码均加密传送。如果认证成功，则将用户的权限信息以认证响应包发送给RADIUS客户端；如果认证失败，则返回拒绝响应包。客户端根据接收到的认证结果接人付巨绝用户。如果可以接人用户，则RADIUS客户端向RADIUS服务器发送计费开始请求包，服务器返回计费开始响应包。访问结束，RADIUS客户端向服务器发送计费停止请求包，服务器返回计费结束响应包。

RADIUS协议实现简单，传输简捷高效，能支持多种认证方式，得到广泛的应用。 RADIUS协议仅对传输过程中的密码本身进行加密，而其他部分都以明文传输，对敏感信息不能进行有效地保护，安全性不高。