5.6 例题分析－例题14

例题14（2006年5月试题62）
正确地描述了RADIUS协议的是  （62）  。
（62）A．如果需要对用户的访问请求进行提问（Challenge），则网络访问服务器（NAS）对用户密码进行加密，并发送给RADIUS认证服务器
B．网络访问服务器（NAS）与RADIUS认证服务器之间通过UDP数据报交换请求/响应信息
C．在这种C/S协议中，服务器端是网络访问服务器（NAS），客户端是RADIUS认证服务器
D．通过RADIUS协议可以识别非法的用户，并记录闯入者的日期和时间
例题14分析
RADIUS是针对远程用户的协议，它采用分布式的客户机/服务器结构完成密码的集中管理和其他身份认证功能。网络用户通过NAS访问网络，NAS同时作为RADIUS结构的客户端，AAA功能通过NAS和安全服务器或RADIUS服务器之间的RADIUS协议过程完成，而用户的控制功能在NAS实现。这种结构具有开放性、可伸缩性强等优点，很适合与其他第三方产品协同工作。一个基本的RADIUS服务器的实施主要与两个配置文件相关，分别是客户机配置文件和用户文件。客户机配置文件包含客户机的地址和用于认证事务的共享秘密，用户文件包含用户的识别和认证信息以及连接和授权参数。客户机和服务器之间传递的各种参数利用一个简单的具有5个字段的格式封装在一个UDP包中。
RADIUS有8种标准的事务类型，分别是访问请求、访问接受、访问拒绝、记账请求、记账响应、访问询问、状态服务器和状态客户机。RADIUS认证的过程为：服务器将NAS访问请求包解密，然后认证NAS源，将用户文件中的访问请求参数变为有效，最后服务器将返回3种认证响应中的一种（访问接受、访问拒绝或访问询问），其中访问询问是一种对附加认证信息的要求。
在RADIUS协议中，授权不是一个独立的功能而是认证响应的一部分。若RADIUS服务器批准了访问请求，就将用户文件中所有具体的连接属性返回给NAS客户机。此过程通常包括数据连接和网络规范，还包括特定的授权参数信息。在RADIUS中，记账是一个独立的功能，并不是所有的客户机都能够执行此功能。如果NAS客户机配置成具有记账功能，在用户得到认证后，它将产生一个记账开始的包，用户断开连接时产生一个记账结束的包。记账开始包描述了NAS所传送服务的类型、使用的端口以及所服务的用户，记账结束包复制了开始包的信息并添加了会话信息，例如使用的时间、输入输出字节数以及断开连接的原因等。
RADIUS是为远程访问认证所设计，因而不适合于主机以及应用系统的认证。RADIUS只提供了基本的记账功能和监视系统事件的功能。RADIUS的连接参数是基于用户而不是基于设备的，这也是RADIUS的另一个主要局限性。当一个RADIUS服务器管理多种类型的NAS设备时，用户的管理复杂度大大增加。对于检查用户是否是组成员，通过日期和时间来限制访问以及在指定的日期终止用户的账户等功能，标准的RADIUS认证并不具备。为了实现这些功能，RADIUS服务器必须同其他的认证服务相结合。
例题14答案
（62）B