RADIUS伺服器的演變過程

導讀	市場上RADIUS解決方案的數量也可能是壓倒性的，選擇正確的RADIUS伺服器可能是一項乏味的工作，包括評估組織的需求並比較潛在的解決方案，以找到最適合的解決方案。

RADIUS全稱為遠端身份驗證撥入使用者服務（Remote Authentication Dial-In User Service），是一種用於驗證和授權使用者訪問的網路協議，訪問範圍既包括遠端也包括本地。

RADIUS伺服器負責接收使用者的連線請求、認證使用者，然後返回客戶機所有必要的配置資訊以將服務傳送到使用者。

關於RADIUS協議的故事始於1987年，當時美國國家科學基金會與Merit Network Inc.簽訂了合同，以擴充套件NSFnet（現代網際網路的前身）。

Merit Network Inc.是一家位於密歇根大學的非營利性公司，一直致力於開發專有的網路認證協議，對接密歇根州的所有高校網路。當時，大多數網路專有協議都具有排他性。在此背景下，美國國家科學基金會為了將網際網路向公共開放而簽署了擴充套件NSFnet的合同。

然而，要開放網際網路，Merit公司的專有網路必須轉換為基於IP的NSFnet網路。於是，Merit決定開發一種基於IP網路，而且支援公司撥號身份驗證的網路協議，並且徵求了供應商的建議。其中一家名為Livingston Enterprises的公司給出的提案基本上包含了現在所用的RADIUS協議的描述。最終，Merit在1991年接受了該公司的提議，RADIUS協議由此誕生。

RADIUS基於客戶機/伺服器模型。使用者連線RADIUS客戶端，即NAS(network access server)。然後，NAS透過RADIUS認證伺服器驗證使用者的資訊。連線資訊可以包括使用者名稱、密碼和IP地址等詳細資訊。

在複雜或地理位置分散的網路中，可以使用RADIUS代理客戶端將認證請求轉發給其他RADIUS伺服器。

遠端使用者接入認證伺服器有以下幾種型別：

• 虛擬專用網路伺服器：這些伺服器接受使用者的請求，並促進到專用網路的安全連線。
• 無線接入點：無線接入點接收來自無線客戶端的請求，方便接入網路。
• 管理網路接入交換機：這些交換機實現802.1x認證接入協議。

認證完成後，RADIUS伺服器還會驗證使用者的訪問級別。這確保了只有經過授權的人才可以訪問公司的資料。除了身份驗證之外，RADIUS還可以報告會話期間使用的資源量，這對於計費很有用。資源利用率對於託管服務提供者(MSPs)很有價值。

RADIUS身份驗證方法有哪些？

在使用者提供登入憑證後，RADIUS伺服器使用以下一種認證方法:

• PAP (Password Authentication Protocol)：它依賴於RADIUS客戶端將使用者ID和密碼轉發給RADIUS認證伺服器。如果憑證被證明是正確的，客戶機就允許遠端使用者的連線。
• Challenge Handshake Authentication Protocol (CHAP)：此協議依賴於客戶機和伺服器之間共享加密的秘密。
• 可擴充套件身份驗證協議(EAP)：這通常用於無線網路和點對點連線。
如何使用RADIUS？

RADIUS通常用於遠端工作者需要訪問公司的網路和資料中心的情況。它確保只授予經過身份驗證的授權使用者訪問許可權，而對員工工作效率的干擾最小。

此外，RADIUS是零信任安全框架的重要組成部分，在該框架中，所有使用者都被假定為威脅。RADIUS是一致地驗證使用者身份和許可權的認證和授權元素的基礎。

RADIUS有哪些優勢？

RADIUS為使用者和系統身份驗證提供了一箇中心平臺，這使得管理使用者訪問變得更加容易。RADIUS的集中化特性也使得多個IT管理員可以很容易地管理同一個網路。

另外，由於每個使用者在RADIUS環境中都有惟一的憑證，因此不需要例行的密碼更新。這將最大限度地減少與傳統密碼安全相關的漏洞。

也許最重要的是，RADIUS可以防止攻擊者成功地攔截有效使用者的網路連線。網路管理員可以驗證每個連線的使用者是他們所說的那個人，並且有正確的訪問許可權來完成他們的工作。

RADIUS有哪些挑戰？

RADIUS通常是在前提內實現的，這使得設定和維護變得困難和耗時。然而，有一些基於雲的選項可以使操作和維護更容易。

此外，有許多不同的配置選項可能會使設定新的RADIUS伺服器並將其整合到現有環境變得困難，這些障礙會阻礙效率和生產力。

市場上RADIUS解決方案的數量也可能是壓倒性的，選擇正確的RADIUS伺服器可能是一項乏味的工作，包括評估組織的需求並比較潛在的解決方案，以找到最適合的解決方案。

原文來自：