RADIUS协议以及在铁路GSM―R网络中的应用

开篇：润墨网以专业的文秘视角，为您筛选了一篇RADIUS协议以及在铁路GSM―R网络中的应用范文，如需获取更多写作素材，在线客服老师一对一协助。欢迎您的阅读与分享！

摘 要 radius协议是一个被广泛应用于网络检查认证、授予权力和统计费用的协议，由于其简单、安全性高、便于管理、扩展性良好，在各个领域都得到了广泛应用。在中国GSM-R高速铁路的网络中，RADIUS也起到了重要作用。

关键词 认证；高速铁路；GSM-R；NAS；PDP激活

中图分类号TP39 文献标识码 A 文章编号 1674-6708（2015）134-0094-02

1 RADIUS协议的概括说明

RADIUS：Remote Authentication Dial in User Service，远程客户端拨号认证授权计费系统，是目前在各领域应用最为广泛的AAA协议【即-身份验证 （Authentication）、授权 （Authorization）和计费 （Accounting）】。

2 RADIUS协议的突出特性

简要的概括来说，RADIUS 的主要突出特性如下。

1）客户端/服务端模式（Client/Server）。

RADIUS是一种C/S架构的协议，客户端最一开始指网络接入服务器NAS设备，RADIUS系统客户端软件运行在任何硬件上的方式都可以作为RADIUS的客户端。客户端的职责是把用户相关信息（用户名，密码等）发送给指定的RADIUS服务器，并负责进行返回的响应。

RADIUS服务器的职责是处理用户的接入请求，对用户身份进行识别和认证操作，如果认证通过则反回所有为用户提供服务所必须的配置信息给客户端。

2）在网络的安全领域，客户端和RADIUS服务器之间的数据信息传送经过了共享加密字的认证。另一方面，为了消除非法人员在安全级别不高的网络上监听盗取用户密码的隐患，客户端和RADIUS服务器之间所使用的用户密码都是被加密后才进行传输的。

3）认证方式的多样性。

RADIUS服务器可以使用多种方式进行用户合法性的甄别。RADIUS收到客户端提供的用户名和密码后，可以支持的认证方式包括：

点到点的CHAP认证（PPP CHAP）、点到点的PAP认证（PPP PAP）、UNIX的登录命令（UNIX Login）等。

4）其他扩展相关协议。

RADIUS协议中的所有交互信息均包括可变长度的属性字段。为了满足实际的应用，用户可以根据要求加入新的属性值。新的属性值可以在不中断已存在协议执行的前提下，自行定义新的属性。

3 构成RADIUS协议接入环境的要素

以RADIUS协议为基础的接入环境通常由三个主要的部分组成：接入客户端（USER），网络接入服务器（Net Access Server），RADIUS 服务器。

接入客户端（USER）可以是利用拨号方式连接到一个提供服务的网络来访问其他的Internet 网站的一个用户（这是最通常的用户角色）。同理，接入客户端也可以是一个设备，比如是一个手持移动台、列车CIR操作台，在GSM-R高铁运营中，每台高铁列车的CIR台都通过RADIUS认证后获取一个独立的静态IP地址，实现与CTC中心的通信。

网络接入服务器（Network Access Server），其简称为NAS，它的职责是对来自网络“边缘”的连接请求进行识别和处理。“边缘”可以是一个ISDN 桥，或一个调制解调器池（modem pool），也可以是一个Wlan 的接入点，当一个用户将接入请求消息发送到NAS后，NAS 会与用户进行接入协商（协商方法如：EAP，SLIP或PPP），通过协商会得到一些用户的数据信息（如：用户名，密码，NAS设备地址，NAS接入端口号等），然后NAS会把这些数据发送给RADUS服务器，并请求RADIUS对这个用户进行认证。

RADIUS服务器（RADIUS server），主要职责是对客户端进行认证和授权。RADIUS服务器首先把从NAS 接入请求中获得的数据与本身数据库中存储的数据实施比对。如果找到了相匹配的信息，那么RADIUS服务器就会允许（Accept）这个用户接入，反之，这个用户就会被拒绝（Reject）。NAS会根据RADIUS服务器的响应来决定是否为这个用户建立连接。如果用户成功建立连接，NAS将发送一个计费数据到RADIUS服务器来记录这个事件；根据需要，RADIUS服务器可以记录下这个数据，同时也可以把这个数据发给指定的计费系统来为这次服务提供计费依据（话单等）。

RADIUS服务器和NAS之间的通信方式采用UDP协议，RADIUS服务器负责认证的端口号为1812，负责计费的端口号为1813。

之所以采用UDP协议进行通信，主要是因为NAS 和RADIUS服务器多存在于同一个局域网中，使用UDP 更加快捷方便。

4 RADIUS的工作流程

RADIUS协议旨在简化认证过程。通常的认证授权工作流程如下。

1）客户端系统向NAS设备发出网络连接请求。

2）NAS收集客户端的用户名和密码，并转发给RADIUS服务器。

3）RADIUS按照一定的加密算法将收到的认证信息和自身数据库信息比对，然后将结果反馈给NAS设备，可能是接受、拒绝或者其他。

4）NAS设备根据返回结果决定是否为这个用户建立连接。

5）如果认证通过，RADIUS服务器对用户进行授权，NAS设备根据授权结果配置用户的上网环境。

6）如果需要计费，NAS设备将收集用户上网期间的网络资源使用情况，并将数据送交计费服务器，产生话单以及费用等。

5 RADIUS协议的报文编码构成

RADIUS的报文结构，主要包括：Code字段、Identifier字段、Length字段、Authenticator字段等。

1）CODE部分定义了数据包的类型，编码信息如下：

1、请求接入（Access-Request）；

2、允许接入（Access-Accept）；

3、拒绝接入（Access-Reject）；

4、计费申请（Accounting-Request）；

5、计费回应（Accounting-Response）；

11、挑战访问（Access-Challenge）；

12、服务器状态（Status-Server ― Experimental）；

13、客户端状态（Status-Client ― Experimental）；

255、预留（Reserved）。

2）Identifier域长度为1个字节，指明匹配请求与响应。在很短的时间间隔里，如果一个请求存在重复的客户源IP地址、源UDP端口号以及标识符，RADIUS服务器会认为收到的是重复的请求。

3）Length域长度为2个字节，它指明了编码、标识符、长度、鉴别码和属性域在内的数据包的长度。多出长度域的字节将被视为填充，在接收时忽略它。如果包的长度比指定的短，则此包会被直接丢弃。

4）Authenticator域长度为16字节，为认证字域。用于RADIUS客户端和服务器之间信息认证的有效性和密码隐藏加密算法。

6 RADIUS在铁路gsm-R网络中的应用

6.1 主要功能

在GSM-R高速铁路网络中，RADIUS负责为全路高速列车提供认证服务，所有机车通过机车号和相应的密码进行认证，认证通过后由NAS设备（GGSN）进行固定IP地址的分配。所有机车做为CLIENT用户端成功获取IP地址后方可进行数据业务的使用：无线车次号校核、调度命令传送、进路预告传送等。

6.2 系统组成

铁路GSM-R网络中接入客户端（用户）即为列车；网络接入服务器设备（NAS）即为GGSN（GPRS网关节点）；RADIUS为认证服务器。

GGSN（GPRS网关节点）主要功能：GGSN内部配置了接入点（APN）的详细信息，包括：移动用户地址池、RADIUS配置信息、最大PDP激活数量等，并负责为列车分配静态IP地址。

RADIUS服务器在全路范围内共设置两套，地理位置在不同的铁路局，形成地理冗余机制，正常情况下一个铁路局的RADIUS为主用、另一个铁路局的RADIUS为备用，其功能为：RADIUS服务器内记录了全路所有G网区段列车的机车号信息以及认证密码信息，并将每个机车号与一个固定IP地址绑定，列车开始运行时将机车号、接入点、密码等信息通过网络送到RADIUS服务器认证，认证通过后即可获取对应IP地址，完成PDP激活请求。

6.3 认证流程

1）列车GGSN：列车发起PDP激活请求，请求信息中包括机车号信息、接入点信息等；

2）GGSNRADIUS：GGSN收到机车的PDP请求后向RADIUS认证中心发送Access-Request消息；

3）RADIUSGGSN：RADIUS认证中心收到GGSN发来的认证请求后对用户进行认证，如果为合法用户就将用户的静态IP以Access-Accept消息回送给GGSN；否则，用户为非法用户，则返回Access-Reject拒绝消息；

4）GGSN列车：列车用户认证成功后，GGSN从其接入点中的地址池中选出列车用户对应的IP地址并将IP地址以PDP激活响应消息送回给列车用户，此时用户成功获取IP地址，完成PDP激活；

5）GGSNRADIUS：用户合法且正常获取IP后，GGSN向RADIUS发送计费请求包Accounting-Request（start）；

6）RADIUSGGSN：RADIUS服务器收到并成功记录请求包后要给予相应Accounting-Response（start）；

7）GGSNRADIUS：当用户断开连接，结束PDP激活（也可以由GGSN断开），GGSN向RADIUS发送计费停止包Accounting-Request（stop）；

8）RADIUSGGSN：RADIUS服务器收到并成功记录停止包后要给予相应Accounting-Response（stop）；

9）GGSN列车：最后GGSN给用户发送结束PDP激活响应。

参考文献

[1]钟章队，等.铁路数字移动通信系统（GSM-R）应用基础理论[M].北京：清华大学出版社有限公司，2009.

[2]韩斌杰，等.GPRS原理及其网络优化[M].北京：机械工业出版社，2009.