[WiFi] WiFi 網路的認證: RADIUS 架構

對於使用公眾 WiFi 的使用者,
連上網路之後第一件事應該就是被導到一個登入的網頁,
輸入帳密之後, 才能開始進行一般的上網瀏覽,
而此處的登入與認證程序, 通常使用 RADIUS 作為認證機制.

RADIUS 全稱為: Remote Authentication Dial-In User Service,
初始定義於 RFC 2865: https://tools.ietf.org/html/rfc2865
是一個基於 UDP 協定的通訊架構 (因此應用層要自行處理連線保證),
負責處理客戶端 (稱為NAP, Network Access Server) 的認證需求, 如下圖所示:


在上述的應用情境中, NAS 扮演的定義為: Initial Entry Point to a Network,
換句話說, 扮演類似 router 的角色, 做為對外網路的代理,
RADIUS Server (Proxy) 的功能則是對應一分散式網路框架,
當 NAS 分屬不同地區的區域網路 router 時, 可以透過 proxy 的代理,
將各地區域網路的認證導向統一的 RADIUS Server.

事實上, 在一開始敘述的應用環境中, 使用者裝置一共認證兩次:
第一次, 連上 WiFi 網路, RADIUS 會先給予此 MAC 位址准入權限,
並將通訊導向設定的網頁伺服器,
第二次, 透過網頁伺服器送出使用者名稱與密碼 (或其他認證手段),
此時使用者才真正擁有上網的權限, 如下圖所示:


RADIUS 伺服器的功能不止於此,
還可以包含使用者登入後的計費, 登入時間控管等,
甚至也可以和 VLAN 結合, 動態賦予流量不同的安全設定.
同時, 為了進一步增強 RADIUS 的安全性,
RADIUS 也加入了和 EAP (Extensible Authentication Protocol) 偕同之機制,
補強原先建立在 UDP 連線上的缺陷.

留言

熱門文章

LTE筆記: RSRP, RSSI and RSRQ

[WiFi] WiFi 網路的識別: BSS, ESS, SSID, ESSID, BSSID

LTE筆記: 5G NR Measurement Events