RADIUS技术在远程接入VPN中的应用

VPN通过在Internet上构建企业自己的专用网络，使得无论从Internet的任何地方访问企业信息资源都是可行的和安全的。VPN大致可分为三类：Intranet VPN、Extranet VPN和远程访问VPN。其中远程访问VPN由于其移动性强，建设投资少，运行费用低，可通过PSTN|0">PSTN、xDSL|0">xDSL、Cable Modem|0">Cable Modem等方式接入，应用极为广泛。

作为有效的管理VPN系统，网络管理人员应当能够随时跟踪和掌握以下情况：系统的使用者，连接数目，异常活动，出错情况等。日志记录和实时信息对记费、审计和报警或其它错误提示具有很大帮助。例如，网络管理人员为了编制账单数据需要知道何人在使用系统以及使用了多长时间。异常活动可能预示着存在对系统的不正确使用或系统资源出现不足。RADIUS是一种基于UDP协议的超轻便（lightweight）协议，它能够提供对用户的认证和计费，目前RADIUS支持以下几种认证方式：①基于用户名和密码的认证；②PAP认证；③ CHAP认证。

RADIUS由客户端和服务器两部分组成，客户端向服务器发送认证和计费请求，服务器向客户端回送接受或否定消息，客户和服务器之间的通讯用于共享密钥加密。

亿阳安全VPN系统支持标准的IPSEC和IKE协议，在此基础上作了一定的扩展，使用RADIUS对远程访问用户进行认证和记账。在认证和记账过程中，本系统不仅实现了基于用户名/密码以及PAP认证，还支持基于证书的强认证方式，具有如下特点：

1． 对RADIUS认证服务器根据其框架对认证进行扩展，在厂商属性中扩展亿阳自己的厂商属性；

2． 采用活动目录技术存储远程访问用户和访问策略；

3． 实现了内部IP地址池，为远程用户分配企业网的内部地址，从而使得远程访问用户可以方便地访问企业内部的信息资源；

4． 实现了对远程访问用户的计费管理；

5． 实现了对远程访问用户的安全审计，并可以实时监控和阻断；

6． 与RADIUS的通信使用异步方式，保证多个IKE协商可以同时进行；

7． 增加IKE配置交换，为远程访问用户协商配置企业内部网络的地址。

随着技术的发展，新的认证方法将会出现，使得对用户的管理更方便，访问更安全。