基于STK方式的移動(dòng)銀行系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)

1、 PAGE15 / NUMPAGES15第一章引言研究背景和方向近幾年來，隨著Internet 的迅猛發(fā)展，用戶接入網(wǎng)絡(luò)數(shù)不斷增加，ISP（InternetService Provider 服務(wù)提供商）對用戶接入和計(jì)費(fèi)管理變得日益重要。在其它領(lǐng)域，如IP 運(yùn)營商、大規(guī)模防火墻等，對用戶接入認(rèn)證的要求也越來越高，原有的簡單認(rèn)證方式已經(jīng)不滿足當(dāng)前需要，迫切需要一種能夠完成實(shí)時(shí)用戶接入認(rèn)證、實(shí)時(shí)記賬、全局漫游、多種計(jì)費(fèi)方式、支持多種認(rèn)證安全方式、跨越多平臺的用戶接入認(rèn)證系統(tǒng)。RADIUS（Remote Authentication Dial-In User Service 用戶遠(yuǎn)程撥號驗(yàn)證服務(wù)）協(xié)議

2、1作為IETF（Internet Engine Tasks Force 互聯(lián)網(wǎng)工程任務(wù)組）定義的標(biāo)準(zhǔn)協(xié)議已經(jīng)越來越被大多數(shù)ISP、ITSP 和安全系統(tǒng)所認(rèn)可。RADIUS 協(xié)議中所規(guī)定的接入認(rèn)證（Authentication）、用戶授權(quán)（Authorization）、記賬（Accounting）2、漫游（Roaming）和屬性（Attribute）擴(kuò)展方式等解決了眾多ISP 所面臨的問題，成為今后流行的趨勢。這樣，開發(fā)符合RADIUS 協(xié)議的用戶接入認(rèn)證、授權(quán)和記賬的軟件成為構(gòu)筑ISP、電信運(yùn)營商、安全網(wǎng)絡(luò)系統(tǒng)中的必要部分?，F(xiàn)行的RADIUS 開發(fā)雖然部分滿足了用戶的需求，但存在幾個(gè)關(guān)鍵問題，

3、如開發(fā)者不能利用已有存在的系統(tǒng)，重復(fù)勞動(dòng)，開發(fā)周期長；各種系統(tǒng)實(shí)現(xiàn)方式差異很大，不利于維護(hù)擴(kuò)充；軟件特定平臺，不能跨越平臺使用；對協(xié)議包理解方式不同，不能互通漫游等，這樣就需要一種全新的開發(fā)方法和框架。我們分析了國際上流行的各種RADIUS 系統(tǒng)實(shí)現(xiàn)，依照最新的協(xié)議與討論草案，結(jié)合其它系統(tǒng)的先進(jìn)優(yōu)點(diǎn)，設(shè)計(jì)并實(shí)現(xiàn)了一個(gè)可擴(kuò)充的AAA 協(xié)議棧軟件包。根據(jù)這個(gè)軟件包，用戶可以在協(xié)議棧的基礎(chǔ)之上，選擇自己所需要的運(yùn)行模塊和連接方式，編寫符合自己需要的用戶回調(diào)函數(shù)和全局設(shè)置接口，就可以完成一個(gè)標(biāo)準(zhǔn)的RADIUS系統(tǒng)。用戶使用本協(xié)議棧開發(fā)RADIUS 系統(tǒng)時(shí)，可以脫離編寫協(xié)議時(shí)的各種繁瑣過程，無需考慮協(xié)議

4、的語法和數(shù)據(jù)包的結(jié)構(gòu)，并且使系統(tǒng)所覆蓋的協(xié)議最多。采用這種方法開發(fā)的RADIUS 系統(tǒng)具有符合國際標(biāo)準(zhǔn)協(xié)議、使用簡便、開發(fā)周期短、系統(tǒng)靈活性高、易于擴(kuò)充和與系統(tǒng)間可互通漫游的特點(diǎn)。我們采用這種方法已被開發(fā)者實(shí)際利用，產(chǎn)生極大的利用價(jià)值，具有很好的發(fā)展前景。在本文中，首先介紹RADIUS 協(xié)議與其特性，然后給出所設(shè)計(jì)協(xié)議棧的框架原理與其實(shí)現(xiàn)，協(xié)議棧所支持的功能和應(yīng)用方法，最后給出結(jié)論和進(jìn)一步需要完成的工一個(gè)可擴(kuò)展的AAA 協(xié)議棧2作。相關(guān)工作國際上有一個(gè)組織和我們工作類似，項(xiàng)目名稱為“Stacks of InternetTelephony”3，開始時(shí)間大約為2000 年6 月。以下是我們所開發(fā)的

5、RADIUS 協(xié)議棧和這個(gè)項(xiàng)目中的關(guān)于RADIUS 的棧的比較：系統(tǒng)實(shí)現(xiàn)和功能本協(xié)議棧 Vovida 項(xiàng)目組繼承系統(tǒng) Livingston RADIUS Merit AAA系統(tǒng)框架進(jìn)程池單請求派生進(jìn)程驗(yàn)證方式 PAP、CHAP、MS-CHAP PAP、CHAP、MS-CHAP網(wǎng)管接口函數(shù)支持不支持用戶數(shù)據(jù)本地文件、數(shù)據(jù)庫只支持本地文件配置管理本地文件、數(shù)據(jù)庫只支持本地文件日志按時(shí)間遞進(jìn)、數(shù)據(jù)庫簡單文本其它部分提供客戶端和測試程序無客戶端和測試程序第二章 RADIUS 相關(guān)協(xié)議與其特性RADIUS 系統(tǒng)框架遠(yuǎn)程撥號用戶鑒別服務(wù)RADIUS 是朗訊網(wǎng)際互連系統(tǒng)中的一個(gè)基于客戶端/服務(wù)員的安全協(xié)議。

6、在RFC21384和RFC21395中被IETF 定義為標(biāo)準(zhǔn)協(xié)議。用戶相關(guān)信息存儲于一個(gè)中心位置，被稱為RADIUS 服務(wù)員。RADIUS 客戶端與RADIUS 服務(wù)員通過通信來驗(yàn)證用戶。服務(wù)員返回給客戶端關(guān)于驗(yàn)證用戶的操作權(quán)限。雖然RADIUS 這個(gè)名詞用來說明客戶端與服務(wù)員進(jìn)行通信的網(wǎng)絡(luò)協(xié)議，但它經(jīng)常被用來說明整個(gè)客戶端/服務(wù)員系統(tǒng)。如圖2-1 所示。一個(gè)可擴(kuò)展的AAA 協(xié)議棧3RADIUS客戶端RADIUS服務(wù)員認(rèn)證記賬請求認(rèn)證記賬響應(yīng)圖2-1：一個(gè)簡單的RADIUS 客戶端/服務(wù)員系統(tǒng)框架基于RADIUS 的遠(yuǎn)程接入環(huán)境共包括三個(gè)部分：用戶、遠(yuǎn)程接入服務(wù)員和RADIUS 服務(wù)員。每個(gè)用

7、戶是RAS 的一個(gè)客戶，而每個(gè)RAS 是用戶的服務(wù)員和RADIUS 服務(wù)員的客戶。結(jié)構(gòu)如圖2-2。數(shù)據(jù)庫本地RADIUS服務(wù)員遠(yuǎn)端RADIUS服務(wù)員RASISDNRASMODEMSRASFIREWALLRAS需認(rèn)證端網(wǎng)絡(luò)計(jì)算機(jī)移動(dòng)用戶Internet用戶請求接入者本地認(rèn)證方法UNIX passwordWinNT DomainText圖2-2：一個(gè)RADIUS 服務(wù)員結(jié)構(gòu)說明RAS 設(shè)備將不同連接用戶的請求轉(zhuǎn)換為RADIUS 認(rèn)證請求或記賬請求。RADIUS 服務(wù)員可以接收來自不同RAS 設(shè)備上的請求信息，并選擇預(yù)先設(shè)定的認(rèn)證方法來完成請求，并發(fā)送響應(yīng)給RAS。處于不同位置的RADIUS 服務(wù)員

8、還可以連接在一起，組成一個(gè)RADIUS 認(rèn)證環(huán)境。每個(gè)RADIUS 可以將發(fā)給自己的請求轉(zhuǎn)發(fā)給其它RADIUS 服務(wù)員來處理。結(jié)構(gòu)如圖2-3。一個(gè)可擴(kuò)展的AAA 協(xié)議棧4RADIUS服務(wù)員負(fù)責(zé)區(qū)域A用戶RADIUS服務(wù)員負(fù)責(zé)區(qū)域B用戶RADIUS服務(wù)員負(fù)責(zé)區(qū)域C用戶區(qū)域CRADIUS客戶端圖2-3：多個(gè)RADIUS 服務(wù)員的認(rèn)證框架這樣就可以組成一個(gè)跨越不同地理位置的分布式認(rèn)證環(huán)境，無論從認(rèn)證用戶數(shù)量上，還是在用戶分布上都可以實(shí)現(xiàn)透明的集中式管理。RADIUS 基本功能RADIUS 是一個(gè)在用戶網(wǎng)絡(luò)接入設(shè)備（例如撥號服務(wù)器）和用戶信息存放設(shè)備之間交換信息的標(biāo)準(zhǔn)方法。它有三個(gè)基本功能。驗(yàn)證（Au

9、thentication）：RADIUS 判別一個(gè)用戶請求服務(wù)是否合法。用戶鑒別信息可以存放在本地users 文件，本地?cái)?shù)據(jù)庫、外部數(shù)據(jù)庫中；也可以通過其它驗(yàn)證方式進(jìn)行鑒別如UNIX 口令文件、Windows NT 域數(shù)據(jù)庫等。一個(gè)簡單的典型例子如下：一個(gè)撥號用戶通過RADIUS 協(xié)議試圖接入網(wǎng)絡(luò)的過程如下：1、用戶撥號進(jìn)入一個(gè)遠(yuǎn)程接入服務(wù)員（MODEM池）并開始一個(gè)PPP 會(huì)話；2、遠(yuǎn)程接入服務(wù)員把從PPP 會(huì)話中得到的用戶驗(yàn)證信息經(jīng)過處理，打成RADIUS 協(xié)議請求包，傳送給RADIUS 服務(wù)員；3、如果RADIUS 服務(wù)員通過了這個(gè)驗(yàn)證，它將發(fā)送接受響應(yīng)給RAS，并附加上其它信息包括用戶

10、建立連接所需要的IP 地址、最接時(shí)間等等；如果RADIUS 不能驗(yàn)證這個(gè)請求或驗(yàn)證沒有通過，它將發(fā)送拒絕響應(yīng)給RAS 以與錯(cuò)誤的原因；4、使用這些信息，RAS 如果受到接受響應(yīng)包，則它允許用戶開始操作網(wǎng)絡(luò)，如果拒絕則斷掉連接并給出錯(cuò)誤信息。授權(quán)（Authorization）：RADIUS 協(xié)議可以控制用戶會(huì)話中使用特定的網(wǎng)絡(luò)設(shè)備服務(wù)。在RAS 發(fā)送的驗(yàn)證請求信息中，除基本信息外，還可以有用戶期望連接類型等，RADIUS 服務(wù)員可以根據(jù)請求完成驗(yàn)證。RADIUS 服務(wù)員可以將驗(yàn)證通過的其它參數(shù)發(fā)送給RAS 以規(guī)定用戶連接。所有的屬性交換由用戶配置文件控制。配置文件中包括兩種屬性：檢查屬性和返回屬

11、性。檢查屬性定義了一些連接所需請求。RAS在向RADIUS 服務(wù)員發(fā)送驗(yàn)證請求時(shí)必須具備這些屬性，否則驗(yàn)證不會(huì)成功。返回一個(gè)可擴(kuò)展的AAA 協(xié)議棧5屬性為驗(yàn)證成功后RADIUS 服務(wù)員發(fā)送給RAS 的附加信息，例如定義連接的一些參數(shù)。一旦用戶通過認(rèn)證，RADIUS 服務(wù)員根據(jù)系統(tǒng)預(yù)先設(shè)置的用戶配置文件，附加用戶可以使用的資源能力，如IP 地址、連接協(xié)議、連接速率等。通過這種方式，可以集中管理用戶的不同訪問能力，比如用戶普通撥號接入網(wǎng)絡(luò)時(shí)應(yīng)該獲取的速率和連接方式和通過ISDN 撥入網(wǎng)絡(luò)的速率和連接方式，以與兩種方式的口令可以是不同的。記賬（Accounting）：RADIUS 協(xié)議可以記錄會(huì)話開

12、始記錄、會(huì)話結(jié)束記錄。包括本次連接的用戶名、開始連接時(shí)間、結(jié)束連接時(shí)間、用戶使用協(xié)議、用戶使用帶寬、傳輸數(shù)據(jù)量、連接斷開原因和出錯(cuò)信息等。RADIUS 客戶端在連接開始的時(shí)候向RADIUS 服務(wù)員發(fā)送會(huì)話開始記錄，在連接結(jié)束的時(shí)候發(fā)送會(huì)話結(jié)束記錄。通常情況下RADIUS 服務(wù)員只記錄會(huì)話結(jié)束記錄；對于會(huì)話開始記錄一般用于用戶超時(shí)監(jiān)測和切斷控制。RADIUS 擴(kuò)充功能RADIUS 協(xié)議除了基本功能以外，為了適應(yīng)Internet 的不斷擴(kuò)大，增強(qiáng)了幾個(gè)功能：代理（漫游）：為了能夠使用戶能在異地通過認(rèn)證使用服務(wù)，RADIUS 協(xié)議支持服務(wù)員之間轉(zhuǎn)發(fā)代理請求和響應(yīng)。請求和響應(yīng)的轉(zhuǎn)發(fā)根據(jù)RADIUS 服

13、務(wù)員存放在本地的proxy 文件或數(shù)據(jù)庫中存放的外部RADIUS 服務(wù)員信息進(jìn)行。如圖2-3，當(dāng)一個(gè)用戶在C 地要求使用服務(wù)時(shí)，C 地RADIUS 服務(wù)員首先判斷該用戶是否是本地用戶，如果不是，根據(jù)用戶特征查找代理表，看是否和用戶開戶地RADIUS A 有代理關(guān)系，如果有那么就轉(zhuǎn)發(fā)該請求到A地RADIUS 服務(wù)員，A地RADIUS 服務(wù)員完成驗(yàn)證后，將響應(yīng)結(jié)果發(fā)回C 地RADIUS 服務(wù)員，C 地RADIUS 再將結(jié)果發(fā)回給用戶。記賬簽名和時(shí)間戳：記賬請求/響應(yīng)包必須簽名。根據(jù)包的容，使用客戶端與服務(wù)員之間的共享密鑰，通過MD5 算法計(jì)算包的摘要，這樣保證了記賬包不被竊聽者篡改。時(shí)間戳也保證了

14、記賬記錄的唯一性，保證記錄的準(zhǔn)確性，防止竊聽者破環(huán)。用戶自定義屬性：RADIUS 協(xié)議除了規(guī)定的屬性外，用戶可以自行添加所需要的屬性。在添加用戶自定義屬性時(shí)，需要注明用戶ID 等標(biāo)志。這樣不同運(yùn)營商之間除了協(xié)議規(guī)定的屬性外，還可以互通其它屬性，交換信息。地址綁定：RADIUS 協(xié)議規(guī)定可以將RADIUS 服務(wù)員與指定的IP 地址綁定，這樣可以在多宿主主機(jī)上使用RADIUS。RADIUS 配置RADIUS 配置主要在RADIUS 服務(wù)員部分，通過各種配置文件進(jìn)行。RADIUS 服務(wù)一個(gè)可擴(kuò)展的AAA 協(xié)議棧6員所需要的配置文件全部放在名為 raddb 的目錄下。它的組織形式如下：圖2-4 RAD

15、IUS 目錄結(jié)構(gòu)字典文件 dictionary：RADIUS 服務(wù)員使用字典文件來建立檢查屬性列表和返回屬性列表。字典文件包括可能用到的屬性名稱、屬性號、屬性值等。用戶文件users：存儲用戶的配置信息，包括鑒別和授權(quán)信息?？蛻粑募lients：存儲RADIUS 所有的本服務(wù)員對應(yīng)的客戶端地址與共享密鑰。代理文件proxy：存儲所有遠(yuǎn)程RADIUS 服務(wù)員的地址和共享密鑰等。菜單文件menus：存儲各種用戶通過認(rèn)證后可以選擇的服務(wù)類型。RADIUS 特性基于RADIUS 協(xié)議的接入認(rèn)證/計(jì)費(fèi)系統(tǒng)提供以下特性：客戶機(jī)/服務(wù)員模式：要求對用戶進(jìn)行認(rèn)證的設(shè)備被稱為客戶端，要求RADIUS服務(wù)員進(jìn)行

16、服務(wù)，而一個(gè)RADIUS 服務(wù)員也可以是其它服務(wù)員的客戶端。安全：在大型網(wǎng)絡(luò)中，安全信息分散于網(wǎng)絡(luò)不同設(shè)備上。RADIUS 協(xié)議可以允許用戶信息保存于一臺主機(jī)之上，最小化安全漏洞的危險(xiǎn)。RADIUS 服務(wù)員管理所有鑒別和接入網(wǎng)絡(luò)服務(wù)的功能。RADIUS 服務(wù)員與客戶端之間使用共享密鑰進(jìn)行通信?？蛇m應(yīng)性：RADIUS 軟件可以安裝在任何通信環(huán)境之中。也可以和其它安全系統(tǒng)和協(xié)議融合為一體。對用戶可以使用多種驗(yàn)證方法?？蓴U(kuò)展性：所有傳輸?shù)男畔⒈唤M織為稱為三元組（屬性、長度、值）中，新的屬性可以隨時(shí)添加。管理簡便：RADIUS 服務(wù)員將安全信息存儲于中心位置，只需要維護(hù)這一處信息即可。對不同廠商的遠(yuǎn)程

17、接入設(shè)備可以按統(tǒng)一的安全模式維護(hù)和管理。廣泛的審計(jì)能力：RADIUS 提供一種審計(jì)跟蹤能力，稱為RADIUS 記賬。收集來的信息可以用來分析安全效果和計(jì)費(fèi)。一個(gè)可擴(kuò)展的AAA 協(xié)議棧7第三章協(xié)議棧框架協(xié)議棧包含協(xié)議框架本協(xié)議棧所覆蓋的協(xié)議主要有以下幾個(gè)。1、 RADIUS 協(xié)議：定義于RFC2138 中，是RADIUS 體系的主要部分，主要對驗(yàn)證和授權(quán)、包格式、語法和漫游等進(jìn)行了規(guī)定。2、 RADIUS Accouting 協(xié)議：定義于RFC2139 中，主要對記賬、記賬包格式等進(jìn)行了規(guī)定。3、 RADIUS Authentication Client MIB：定義于RFC26186中，主要定

18、義了用戶在RADIUS 認(rèn)證客戶端中SNMP 代理需要的管理信息庫。4、 RADIUS Authentication Server MIB：定義于RFC26197中，主要定義了用戶在RADIUS 認(rèn)證服務(wù)員中SNMP 代理需要的管理信息庫。5、 RADIUS Accounting Client MIB：定義于RFC26208中，主要定義了用戶在RADIUS 記賬客戶端中SNMP 代理需要的管理信息庫。6、 RADIUS Accounting Server MIB：定義于RFC26219中_，主要定義了用戶在RADIUS 記賬服務(wù)員中SNMP 代理需要的管理信息庫。本協(xié)議棧以TCP/IP 協(xié)議為

19、基礎(chǔ)，使用UDP 為主要傳輸手段。協(xié)議棧的核心為RFC2138 和RFC2139 組成的RADIUS 主要系統(tǒng)。RFC2618-RFC2621 主要實(shí)現(xiàn)協(xié)議棧具有網(wǎng)絡(luò)管理功能，示意圖如下。協(xié)議棧系統(tǒng)軟件包RFC2618 RFC2619 RFC2620 RFC2621RFC2138 Authentication RFC2139 AccountingUDPIP框圖3-1 協(xié)議棧包含的協(xié)議協(xié)議棧功能框架本協(xié)議棧的功能框架如圖3-2 所示。一個(gè)可擴(kuò)展的AAA 協(xié)議棧8AAA協(xié)議棧包處理回調(diào)函數(shù)、用戶全局設(shè)置、接口函數(shù)網(wǎng)管模塊端口綁定監(jiān)聽數(shù)據(jù)庫訪問模塊多種驗(yàn)證方式包加密解密包接收發(fā)送漫游代理配置管理圖3

20、-2 RADIUS 協(xié)議棧功能框架各部分主要功能如下：配置管理：負(fù)責(zé)從本地配置文件或數(shù)據(jù)庫中讀取系統(tǒng)的參數(shù)設(shè)置，包括地址、端口號、認(rèn)證協(xié)議、超時(shí)控制時(shí)間等。多種驗(yàn)證方式：負(fù)責(zé)根據(jù)預(yù)先配置的方式對請求進(jìn)行認(rèn)證，包括PAP、CHAP、MS-CHAP 方式等。包加密解密：對認(rèn)證請求包的口令字段進(jìn)行加密和解密，生成所需的請求和響應(yīng)驗(yàn)證字。包接收發(fā)送：接收請求包，并將其組織成結(jié)構(gòu)體形式；把結(jié)構(gòu)體形式的數(shù)據(jù)結(jié)構(gòu)打成二進(jìn)制包。漫游代理：根據(jù)請求包容，應(yīng)用設(shè)置條件，判斷其是否需要代理。如果需要代理，則處理后轉(zhuǎn)發(fā)出去。接收代理響應(yīng)，并轉(zhuǎn)發(fā)給RADIUS 客戶端。端口綁定監(jiān)聽：根據(jù)配置主機(jī)和端口信息，申請sock

21、et 并綁定于指定端口。監(jiān)聽來自客戶端以與其它RADIUS 服務(wù)員的請求和響應(yīng)。網(wǎng)管模塊：對RADIUS 系統(tǒng)的各個(gè)狀態(tài)和參數(shù)進(jìn)行監(jiān)控，并在SNMP 代理調(diào)用時(shí)將這些參數(shù)返回給調(diào)用者。數(shù)據(jù)庫訪問模塊：在對用戶認(rèn)證和記賬時(shí)訪問用戶數(shù)據(jù)，訪問方式可以支持多種數(shù)據(jù)庫形式。包處理回調(diào)函數(shù)、用戶全局設(shè)置、接口函數(shù)：是用戶使用本協(xié)議棧時(shí)需要編寫的代碼部分，具體使用方法見第五章。第四章協(xié)議棧實(shí)現(xiàn)開發(fā)環(huán)境與工具一個(gè)可擴(kuò)展的AAA 協(xié)議棧9本協(xié)議棧的開發(fā)環(huán)境有多種，可以是 WinNT，Linux，HP-UX，Solaris 等UNIX操作系統(tǒng)。如果使用專用數(shù)據(jù)庫的話，還需要在所用操作系統(tǒng)上安裝ORACLE 等數(shù)

22、據(jù)庫服務(wù)器與客戶端。工具是UNIX 上的C 編譯系統(tǒng)或者是WINDOWS 上的VC 編譯系統(tǒng)。本協(xié)議棧采用標(biāo)準(zhǔn)ANSI C 語言編寫，因?yàn)镃 語言執(zhí)行速度快，兼容性和跨平臺性好。系統(tǒng)邏輯流程使用本協(xié)議棧開發(fā)的RADIUS 服務(wù)員系統(tǒng)在處理請求包時(shí)采用的算法如圖4-1所示。打開預(yù)先定義端口或知名端口，申請網(wǎng)絡(luò)數(shù)據(jù)報(bào)套接字綁定到端口上，便于以后主動(dòng)監(jiān)聽。預(yù)先創(chuàng)建若干RADIUS子進(jìn)程，并建立父子間通信的全雙工管道等待處理主進(jìn)程發(fā)送給它們的處理請求。主進(jìn)程讀取RADIUS代理表和RADIUS客戶端表，以后檢驗(yàn)客戶端合法性和查找遠(yuǎn)端代理地址。將網(wǎng)絡(luò)套接字和管道描述符全部放入一個(gè)SELECT描述字段中，

23、該字段中的項(xiàng)對應(yīng)可以進(jìn)行I/O的描述符。通過監(jiān)控這個(gè)字段可以獲知那個(gè)I/O端口上有數(shù)據(jù)達(dá)到。求出包括網(wǎng)絡(luò)套接字和父子進(jìn)程間管道描述字的最大值。SELECT監(jiān)聽I/O。一旦數(shù)據(jù)到達(dá)，進(jìn)行一下處理如果表中網(wǎng)絡(luò)套接字有數(shù)據(jù)發(fā)到，則調(diào)用處理子程序，該子程序首先判斷該請求的源是否合法，是否需要漫游處理，然后選擇預(yù)先分配的一個(gè)空閑進(jìn)程處理請求。如果管道描述字有數(shù)據(jù)發(fā)到，則表示對應(yīng)子進(jìn)程處理請求完畢，子程序恢復(fù)空閑狀態(tài)。圖4-1 系統(tǒng)網(wǎng)絡(luò)通信算法一個(gè)可擴(kuò)展的AAA 協(xié)議棧10使用本協(xié)議棧開發(fā)的RADIUS 服務(wù)員系統(tǒng)的系統(tǒng)邏輯流程如下。初始化配置（是否派生子進(jìn)程、字典文件和日志文件路徑、終端參數(shù)）登記各種信

24、號處理例程s i g n a l ( )讀取配置文件r a d c o n f i g _ i n i t ( ) ，讀入主機(jī)地址、端口號、最大請求個(gè)數(shù)、代理服務(wù)超時(shí)時(shí)間、最大請求超時(shí)時(shí)間）讀取字典文件d i c t _ i n i t ( ) ，將字典容放入存組織成為鏈表，以后使用派生后臺進(jìn)程f o r k ( ) ，退出當(dāng)前會(huì)話，這樣脫離命令行關(guān)閉終端c l o s e ( ) ，顯示軟件版本打開知名端口o p e n _ u d p s o c k ( ) 綁定端口清空所有網(wǎng)絡(luò)套接字端口F D _ C L E A R ( ) ，準(zhǔn)備監(jiān)聽派生指定個(gè)數(shù)的子進(jìn)程c h i l d _ m a

25、k e ( ) ，并監(jiān)控父子進(jìn)程間通信的讀寫管道申請表空間，調(diào)用T U X E D O ，讀取客戶端列表和代理服務(wù)員列表放入存表中u p d a t e _ c l i e n t s ( ) u p d a t e _ p r o x y ( )將監(jiān)控描述符字段清零并置位F D _ Z E R O ( )循環(huán)非阻塞監(jiān)控以上端口S E L E C T ( ) ，根據(jù)情況分別執(zhí)行以下子程序F D _ I S S E T ( )認(rèn)證記賬端口請求，調(diào)用認(rèn)證處理r a d _ r e q u e s t ( ) 代理認(rèn)證記賬端口請求，調(diào)用代理處理R a d _ p r o x y ( ) 子進(jìn)程發(fā)送信

26、號，處理子進(jìn)程完畢。子進(jìn)程空閑置位。圖4-2 系統(tǒng)邏輯流程一個(gè)可擴(kuò)展的AAA 協(xié)議棧11RADIUS 服務(wù)員中采用基于數(shù)據(jù)報(bào)的并發(fā)無連接網(wǎng)絡(luò)通信算法、進(jìn)程處理采用主進(jìn)程循環(huán)處理，子進(jìn)程順序處理算法。并且為提高效率，采用進(jìn)程預(yù)分配的方法。系統(tǒng)運(yùn)行時(shí)，由空閑子進(jìn)程組成一個(gè)空閑進(jìn)程池，當(dāng)有請求時(shí)，主進(jìn)程順序選擇一個(gè)空閑子進(jìn)程完成請求。子進(jìn)程完成請求后通知父進(jìn)程。示意見圖4-3。RADIUS主進(jìn)程子進(jìn)程池空閑子進(jìn)程接收新請求的子進(jìn)程正在處理請求的子進(jìn)程完成子進(jìn)程通知父親圖4-3 系統(tǒng)運(yùn)行時(shí)進(jìn)程關(guān)系圖包處理邏輯流程協(xié)議棧中的主進(jìn)程在處理請求包時(shí)所作處理如圖4-4 所示。接收數(shù)據(jù)包到緩沖區(qū) r e c v

27、 f r o m ( )判斷包源客戶端的合法性如果是認(rèn)證包系列用f i n d _ c l i e n t ( )如果是記賬包系列用c a l c _ a c c t r e q ( )將緩沖區(qū)打成請求頭結(jié)構(gòu)r a d r e c v ( )判斷是否需要代理h a n d l e _ p r o x y ( )需要代理，調(diào)用代理模塊保存漫游狀態(tài)p u s h _ p r o x y ( )發(fā)送到遠(yuǎn)端s e n d p r o x y 2 s e r v e r ( )不需要代理，判斷是否是重包查找空閑子進(jìn)程登記包特性到子進(jìn)程結(jié)構(gòu)中將請求包放入緩沖區(qū)通過F I F O 發(fā)送給子進(jìn)程圖4-4 主進(jìn)

28、程處理請求包流程一個(gè)可擴(kuò)展的AAA 協(xié)議棧12協(xié)議棧中對于代理漫游包的處理如圖4-5 所示。接收數(shù)據(jù)包到緩沖區(qū)recvfrom()判斷包源服務(wù)員的合法性find_server()將緩沖區(qū)打成請求頭結(jié)構(gòu)radrecv()找出包對應(yīng)的描述符查找發(fā)送時(shí)記的請求頭pop_proxy()轉(zhuǎn)發(fā)響應(yīng)給最初的客戶端sendproxy2client()圖4-5 漫游請求包流程協(xié)議棧中子進(jìn)程處理請求包的流程圖如圖4-6 所示。循環(huán)等待父進(jìn)程發(fā)送處理消息read()將接收到的緩沖區(qū)打成請求頭結(jié)構(gòu)radrecv()根據(jù)不同請求包類型，調(diào)用用戶自定義回調(diào)函數(shù)響應(yīng)模塊如認(rèn)證處理rad_authenticate()等處理完

29、畢，返回繼續(xù)等待下一個(gè)請求圖4-6 子進(jìn)程處理請求包流程從圖中可以看出，協(xié)議棧的用戶只需要編寫用戶處理請求包的回調(diào)函數(shù)，對于其它過程則可以不用關(guān)心。測試環(huán)境和方法一個(gè)可擴(kuò)展的AAA 協(xié)議棧13本協(xié)議棧的測試環(huán)境可以象開發(fā)環(huán)境一樣，有多種組合。下面選取其中一種，以協(xié)議棧為基礎(chǔ)的RADIUS 系統(tǒng)，如圖4-7 所示。本地RADIUS服務(wù)員ORACLE數(shù)據(jù)庫遠(yuǎn)端RADIUS服務(wù)員RADIUS客戶端測試程序圖4-7 協(xié)議棧測試環(huán)境其中本地 RADIUS 服務(wù)員接收發(fā)自RADIUS 客戶端的請求，ORACLE 數(shù)據(jù)庫作為存儲用戶數(shù)據(jù)和配置信息的服務(wù)器。遠(yuǎn)程RADIUS 服務(wù)員接收漫游用戶的認(rèn)證請求。測試

30、程序負(fù)責(zé)產(chǎn)生測試呼叫。測試分為兩個(gè)部分：功能測試和性能測試。功能測試包括對RADIUS 服務(wù)員中是否滿足RFC2138 和RFC2139 中規(guī)定功能的測試；性能測試包括在大并發(fā)用戶量下系統(tǒng)的響應(yīng)時(shí)間和正確率。需要編寫一個(gè)能完成測試要求的測試程序。此測試程序運(yùn)行于RADIUS 客戶端，通過進(jìn)程間通信模仿調(diào)用方程序。測試前還要編寫一個(gè)模擬數(shù)據(jù)生成程序，它負(fù)責(zé)從數(shù)據(jù)庫中抽取數(shù)據(jù)，模仿呼叫數(shù)據(jù)。接口回調(diào)函數(shù)開發(fā)者通過回調(diào)函數(shù)來使用本協(xié)議棧，在請求包處理回調(diào)函數(shù)中，開發(fā)者可以使用協(xié)議棧提供的各種實(shí)用函數(shù)，包括屬性提取函數(shù)、加密解密函數(shù)、包發(fā)送接收函數(shù)、打包函數(shù)和訪問數(shù)據(jù)庫函數(shù)。一個(gè)典型的回調(diào)函數(shù)例子的流

31、程圖如下。一個(gè)可擴(kuò)展的AAA 協(xié)議棧14判斷用戶名長度是否合法判斷是否有屬性getattribute()抽取SESSION_INDEX屬性放入響應(yīng)鏈表中抽取相應(yīng)請求屬性getattribute()應(yīng)用客戶端口令解密請求口令decrypt_password()調(diào)TUXEDO訪問數(shù)據(jù)庫取口令get_password()判斷為正確，并發(fā)送響應(yīng)send_accept()判斷為錯(cuò)誤，并發(fā)送響應(yīng)send_reject()圖4-8 典型回調(diào)函數(shù)流程圖第五章協(xié)議棧功能特點(diǎn)協(xié)議實(shí)現(xiàn)全、互通性較高：本協(xié)議?；救繉?shí)現(xiàn)了IETF 中關(guān)于RADIUS 的相關(guān)協(xié)議。由于本協(xié)議棧完全遵守IEFT 的關(guān)于RADIUS 的

32、各個(gè)協(xié)議，所以在以本協(xié)議棧為基礎(chǔ)開發(fā)的RADIUS 系統(tǒng)可以完全實(shí)現(xiàn)互通，在和其它標(biāo)準(zhǔn)RADIUS 系統(tǒng)也可以實(shí)現(xiàn)較大程度上的互通。多種驗(yàn)證類型：在驗(yàn)證過程中，RAS 和RADIUS 服務(wù)員傳送口令信息，這個(gè)口令信息通過RAS 和RADIUS 服務(wù)員之間的共享密鑰加密?？诹钚畔⒃从谟脩糨斎?，根據(jù)用戶選擇可以有以下三種：1、PAP（Password Authentication Protocol 口令驗(yàn)證協(xié)議）非常簡單，用戶發(fā)送口令給RADIUS 服務(wù)員，RADIUS 服務(wù)員通過數(shù)據(jù)庫或操作系統(tǒng)來驗(yàn)證。用戶發(fā)送口令給RAS 的過程中，口令以明文方式傳送。RAS 傳送口令給RADIUS 的過程中，

33、使用共享密鑰加密。最后RADIUS 服務(wù)員以口令明文的方式進(jìn)行驗(yàn)證。2、CHAP（Challenge Handshake Authentication Protocol 挑戰(zhàn)握手驗(yàn)證協(xié)議）避免在任何通信連接中使用口令明文。在CHAP 中，RAS 首先生成一個(gè)隨機(jī)數(shù)（稱為挑戰(zhàn)）并發(fā)送給用戶，用戶的PPP 端生成一個(gè)由口令和挑戰(zhàn)組成的單向摘要并發(fā)送給RAS，由于摘要是單向加密，RADIUS 服務(wù)員不能從摘要中恢復(fù)口令，所以它使用本地?cái)?shù)據(jù)庫中存儲的用戶口令用同樣方法計(jì)算出摘要和接收的摘要比較，如果一樣則驗(yàn)證通過。3、MS-CHAP (Microsoft Challenge Handshake一個(gè)可擴(kuò)

34、展的AAA 協(xié)議棧15Authentication Protocol 微軟挑戰(zhàn)握手驗(yàn)證協(xié)議)是微軟提出的類似于CHAP 而整合入微軟操作系統(tǒng)中的驗(yàn)證方法，它可以在操作系統(tǒng)之上采用不同級別：本地用戶、域用戶、域組、主機(jī)用戶、主機(jī)組合外部數(shù)據(jù)庫等來驗(yàn)證用戶。二次開發(fā)工作量少，容易擴(kuò)充：由于協(xié)議棧已經(jīng)完成了開發(fā)RADIUS 系統(tǒng)所需的大部分工作，用戶只需要開發(fā)少量的回調(diào)函數(shù)，完成自己的特定需要，所以可以快速開發(fā)。由于協(xié)議棧的實(shí)現(xiàn)是基于協(xié)議的包處理過程，所以用戶可以根據(jù)協(xié)議的變化和需求的變更，不斷改進(jìn)實(shí)現(xiàn)，而不需要太多工作量。運(yùn)行穩(wěn)定：由于協(xié)議棧采用進(jìn)程池的方式實(shí)現(xiàn)，所占用的存一定，系統(tǒng)開銷最小。所以

35、不會(huì)大量占用系統(tǒng)資源（CPU 處理時(shí)間和存），不會(huì)出現(xiàn)因請求數(shù)量變化而使系統(tǒng)資源的占用發(fā)生顛簸。更不會(huì)出現(xiàn)存泄漏等錯(cuò)誤。性能：由于我們對協(xié)議棧的實(shí)現(xiàn)做到精益求精，采用高效的實(shí)現(xiàn)方法，優(yōu)化代碼的設(shè)計(jì)，所以使用本協(xié)議棧開發(fā)的RADIUS 系統(tǒng)在同檔次的服務(wù)器上運(yùn)行效率比其它系統(tǒng)要高。一般來說，在主頻為300MHz 的主機(jī)上，其它系統(tǒng)可以實(shí)現(xiàn)500 個(gè)/秒的認(rèn)證速度，而使用本協(xié)議棧開發(fā)的RADIUS 系統(tǒng)可以實(shí)現(xiàn)1000 個(gè)每秒。多種用戶驗(yàn)證手段：本協(xié)議棧有多個(gè)模塊支持多種數(shù)據(jù)庫訪問方式，用戶數(shù)據(jù)可以存放在以下幾個(gè)形式中，文本文件、UNIX DBM、MYSQL、ORACLE、MS-SQL 等。多種日

36、志方法：詳細(xì)錯(cuò)誤信息輸出到本地日志、系統(tǒng)日志、數(shù)據(jù)庫中。可以幫助管理員和開發(fā)人員迅速找到錯(cuò)誤原因，實(shí)時(shí)掌握系統(tǒng)狀態(tài)?？缙脚_運(yùn)行：本協(xié)議?？梢赃\(yùn)行在多個(gè)平臺之上。由于是基于進(jìn)程實(shí)現(xiàn)，所以不會(huì)因?yàn)楦鱾€(gè)操作系統(tǒng)對線程實(shí)現(xiàn)不同而引發(fā)差異。本協(xié)議棧在 HP-UX 1 1.00、IBMRS6000 AIX 4.2、Redhat Linux 5.2、Slackware Linux 2.0.30、Solaris 2.7.1、Solaris x86 2.7.1、SunOS 4.1.3、WindowsNT/2000 上測試成功。第六章協(xié)議棧應(yīng)用方法本協(xié)議棧的應(yīng)用可以分為以下幾個(gè)步驟：1、了解RADIUS 協(xié)議概況

37、：開發(fā)者必須對RFC2138、RFC2139 有所了解，雖然不用了解包的發(fā)送和接收、加密解密細(xì)節(jié)，但對協(xié)議的使用步驟和包的格式定義必須了解。2、了解協(xié)議棧和實(shí)用函數(shù)：開發(fā)者必須掌握本協(xié)議棧的邏輯流程，了解函數(shù)的定義和調(diào)用的順序。3、編寫用戶回調(diào)接口函數(shù)：根據(jù)自定義的不同需要，對每個(gè)類型的請求進(jìn)行處理。4、連接編譯整個(gè)協(xié)議棧：選擇不同運(yùn)行模塊，包括不同的驗(yàn)證方式、訪問數(shù)據(jù)庫的類型等，在操作系統(tǒng)上運(yùn)行編譯器。一個(gè)可擴(kuò)展的AAA 協(xié)議棧165、配置RADIUS 系統(tǒng)：在系統(tǒng)運(yùn)行之前，需要根據(jù)不同的系統(tǒng)組成部分，選擇適當(dāng)方式來配置系統(tǒng)，例如：主機(jī)地址、端口、代理員的列表、客戶端的列表等。在使用本協(xié)議棧

38、時(shí)應(yīng)注意以下幾個(gè)問題：1、字典文件和屬性的定義：由于不同廠商對屬性和屬性值的定義值不同，所以應(yīng)注意區(qū)別，防止屬性數(shù)據(jù)類型不匹配。2、確定操作系統(tǒng)參數(shù)如最大打開文件數(shù)、信號燈數(shù)等符合需要。3、盡量在用戶回調(diào)函數(shù)中使用靜態(tài)存，防止動(dòng)態(tài)存使用不慎而引起的存泄漏和系統(tǒng)崩潰。4、根據(jù)不同需要，連接不同模塊，防止占用系統(tǒng)過多。5、減少用戶處理執(zhí)行時(shí)間，以利于系統(tǒng)整體的運(yùn)行性能。第七章結(jié)論協(xié)議棧實(shí)現(xiàn)系統(tǒng)與相關(guān)系統(tǒng)比較采用本協(xié)議棧編寫的AAA 系統(tǒng)與其它典型RADIUS 實(shí)現(xiàn)系統(tǒng)比較如下表：系統(tǒng)本實(shí)現(xiàn) Livingston1 Merit10 Ascend11 Freeradius12協(xié)議實(shí)現(xiàn)全部全部全部全部全

39、部認(rèn)證方式一般一般一般一般多功能多一般一般一般多兼容性一般好一般一般一般性能好一般一般一般好擴(kuò)展性好一般一般一般好測試工具全面簡單簡單簡單簡單結(jié)論由于Internet 不斷發(fā)展，用戶的接入越來越為人們關(guān)注。而防火墻和VPN 中的不斷使用，使RADIUS 協(xié)議也日益成為工業(yè)事實(shí)標(biāo)準(zhǔn)。隨著網(wǎng)絡(luò)協(xié)議不斷增多，使用協(xié)議棧來開發(fā)網(wǎng)絡(luò)通信程序是近年來流行的趨勢。開發(fā)一個(gè)可供快速組建RADIUS 系統(tǒng)的協(xié)議棧是一個(gè)必不可少的基礎(chǔ)工具。一個(gè)可擴(kuò)展的AAA 協(xié)議棧17本文通過集成關(guān)于 RADIUS 的若干協(xié)議，實(shí)現(xiàn)一個(gè)AAA 協(xié)議棧，使得開發(fā)基于RADIUS 協(xié)議的安全認(rèn)證系統(tǒng)變得更加容易。通過測試，本協(xié)議棧在

40、同等環(huán)境條件下，系統(tǒng)的功能和性能達(dá)到相近系統(tǒng)的前列。不足之處和進(jìn)一步的工作雖然我們做了大量工作，但在以下幾個(gè)方面還存在著不足：1、對不同系統(tǒng)的各種屬性的處理還不夠全面。2、認(rèn)證中的驗(yàn)證類型還需擴(kuò)充。3、與其它安全認(rèn)證系統(tǒng)的互通性有待提高。今后進(jìn)一步的工作是：1、實(shí)現(xiàn)最新的RADIUS 協(xié)議RFC286513、RFC286614。2、改進(jìn)協(xié)議棧，使之能運(yùn)行于集群之上，提高系統(tǒng)性能。3、對數(shù)據(jù)庫的訪問中增加LDAP（輕型目錄訪問協(xié)議）的支持。4、加入負(fù)載平衡算法，使系統(tǒng)不同進(jìn)程能發(fā)揮更大效率。5、增強(qiáng)與其它RADIUS 系統(tǒng)的互通性。6、支持TACACS+協(xié)議15，TACACS 終端訪問控制器接入

41、控制系統(tǒng)協(xié)議。定義于RFC1492 中。TACACS+增強(qiáng)型。類似于RADIUS 的AAA 協(xié)議，與RADIUS 不同之處在于：傳輸協(xié)議使用TCP 而不是UDP。RADIUS 只加密口令字段，而TACACS+加密整個(gè)包凈荷。TACACS+允許驗(yàn)證和授權(quán)分離，而RADIUS 中驗(yàn)證和授權(quán)是集成的。7、支持Diameter 協(xié)議16。IETF 著眼的下一代AAA 協(xié)議。一個(gè)全新輕量級的，基于端點(diǎn)的。提供可擴(kuò)展的基礎(chǔ)來引進(jìn)新策略和AAA 服務(wù)。繼承RADIUS 的機(jī)能。突破RADIUS 協(xié)議限制，允許服務(wù)員向客戶端發(fā)送統(tǒng)一消息。使用重傳和失敗恢復(fù)算法。提供端到端的安全機(jī)制。支持漫游和移動(dòng)IP 網(wǎng)絡(luò)。

42、參考文獻(xiàn)1.Lucent, “Remote Authentication Dial-In User Service”,.livingston./marketing/whitepapers/radius_paper.html,一個(gè)可擴(kuò)展的AAA 協(xié)議棧1819922.Internet Engineering Task Force (IETF) Authentication, Authorization,and Accounting (AAA) Working Group Charter; available at./html.charters/aaa-charter.html.3.“Stacks

43、 of Internet Telephony”, ., 20004.C. Rigney, A. Rubens, W. Simpson, and S. Willens, “Remote AuthenticationDial In User Service”, IETF Network Working Group, April 1997.RFC2138.5.C. Rigney, “RADIUS Accounting”, IETF Network Working Group, April 1997.RFC2139.6.B. Aboba, G. Zorn “RADIUS Authentication

44、Client MIB”, IETF NetworkWorking Group, June 1999. RFC2618.7.B. Aboba, G. Zorn “RADIUS Authentication Server MIB”, IETF NetworkWorking Group, June 1999. RFC2619.8.B. Aboba, G. Zorn “RADIUS Accounting Client MIB”, IETF Network WorkingGroup, June 1999. RFC2620.9.B. Aboba, G. Zorn “RADIUS Accounting Se

45、rver MIB”, IETF Network WorkingGroup, June 1999. RFC2621.10. University of Michigan and Merit Network, Inc. “Merit AAA Server”,199211. Ascend Communications, Inc. “Ascend RADIUS”, 199612. “Free RADIUS Project”, ., 200013. C. Rigney, A. Rubens, W. Simpson, and S. Willens, “RemoteAuthentication Dial I

46、n User Service”, IETF Network Working Group, June2000. RFC2865.14. C. Rigney, “RADIUS Accounting”, IETF Network Working Group, June2000. RFC2866.15. C. Finseth, An Access Control Protocol, Sometimes Called TACACS,IETF RFC 1492, July 1993; available at/in-notes/rfc1492.txt.16. P.R. Calhoun, A.C. Rube

47、ns, and H. Akhtar, Diameter Base Protocol,IETF AAA Working Group, Internet draft, Oct. 1999, work in progress.一個(gè)可擴(kuò)展的AAA 協(xié)議棧19致在此，首先向我的導(dǎo)師鞠九濱教授表示深深的意！從本科論文開始，鞠九濱教授以他嚴(yán)謹(jǐn)?shù)闹螌W(xué)態(tài)度、淵博的學(xué)識、敏銳的思維和孜孜不倦的工作作風(fēng)對我進(jìn)行了悉心的教誨，使我受益終生。同時(shí)還要向春陽高級工程師表示感，老師一絲不茍的工作作風(fēng)非常值得我的學(xué)習(xí)。向師兄鈳、猛表示衷心的感。他們在科研上幫我攻克難關(guān)，給了我許多無私的關(guān)心和幫助。感研究小組成員靜、廣艷、于海

48、超，是他們使我在團(tuán)結(jié)協(xié)作中不斷成長。特別感于秀峰老師、胡成全老師、胡亮老師和房至一老師對我的幫助。一個(gè)可擴(kuò)展的AAA 協(xié)議棧20論文摘要認(rèn)證（Authentication）、授權(quán)（Authorization）、記賬（Accounting）是網(wǎng)絡(luò)接入的三個(gè)重要需求。滿足這些要求的RADIUS（Remote Authentication Dial-In UserService 用戶遠(yuǎn)程撥號驗(yàn)證服務(wù)）協(xié)議作為IETF（Internet Engine Tasks Force互聯(lián)網(wǎng)工程任務(wù)組）定義的標(biāo)準(zhǔn)協(xié)議已經(jīng)越來越被大多數(shù)ISP、ITSP 和安全系統(tǒng)所認(rèn)可。這樣，開發(fā)符合RADIUS 協(xié)議的用戶接入認(rèn)

49、證、授權(quán)和記賬的軟件成為構(gòu)筑ISP、電信運(yùn)營商、安全網(wǎng)絡(luò)系統(tǒng)中的必要部分。現(xiàn)行的RADIUS 開發(fā)雖然部分滿足了用戶的需求，但存在幾個(gè)關(guān)鍵問題，如開發(fā)者不能利用已有存在的系統(tǒng)，重復(fù)勞動(dòng)，開發(fā)周期長；各種系統(tǒng)實(shí)現(xiàn)方式差異很大，不利于維護(hù)擴(kuò)充；軟件特定平臺，不能跨越平臺使用；對協(xié)議包理解方式不同，不能互通漫游。作為一個(gè)可擴(kuò)充的AAA 協(xié)議棧軟件包，用戶可以在AAA 協(xié)議棧的基礎(chǔ)之上，選擇自己所需要的運(yùn)行模塊和連接方式，編寫符合自己需要的用戶回調(diào)函數(shù)和全局設(shè)置接口，就可以完成一個(gè)標(biāo)準(zhǔn)的RADIUS 系統(tǒng)。用戶使用本協(xié)議棧開發(fā)AAA 系統(tǒng)時(shí)，可以脫離編寫協(xié)議時(shí)的各種繁瑣過程，無需考慮協(xié)議的語法和數(shù)據(jù)包的結(jié)構(gòu)，并且使系統(tǒng)所覆蓋的協(xié)議最多。采用這種方法開發(fā)的RADIUS 系統(tǒng)具有符合國際標(biāo)準(zhǔn)協(xié)議、使用簡便、開發(fā)周期短、系統(tǒng)靈活性高、易于擴(kuò)充和與系統(tǒng)間可互通漫游的特點(diǎn)。一個(gè)可擴(kuò)展的AAA 協(xié)議棧21AbstractAuthentication, Authorization and Accounting are three crucial requirementsfor network access. To