TACACS+和RADIUS這兩種協(xié)議間的差異

   其實(shí)理解TACACS+和RADIUS這兩種協(xié)議間的差異非常重要。TACACS+的關(guān)鍵因素包括不兼容TACACS和KTACACS認(rèn)證和權(quán)分離加密所有通信使用TCP端端口49RADIUS的關(guān)鍵因素包括:使用RADIUS代理服務(wù)器提供可擴(kuò)展性將RADIUS認(rèn)證和授權(quán)結(jié)合成一個過程只加密密碼;使用UD支持遠(yuǎn)程訪問技術(shù)、802.1X和SIP。
   TACACS+是Cisco對原始TACACS協(xié)議的增強(qiáng)。事實(shí)上,TACACS+是一個全新的協(xié)議,不兼容之前的任何TACACS版本。TACACS+得到CiCo路由器和接入服務(wù)器系列產(chǎn)品的支持。TACACS+提供單獨(dú)的AA服務(wù)。
    將AAA服務(wù)分離出來提供了實(shí)現(xiàn)時的靈活性,因?yàn)檫@樣就有可能在使用TACACS+進(jìn)行授權(quán)和記賬,同日時使用另一種方法進(jìn)行認(rèn)證。對TACACS+協(xié)議的擴(kuò)展提供了比原始TACACS規(guī)范更多的認(rèn)證請求類型和響應(yīng)碼。
    TACACS+提供多協(xié)議支持,例如P和Appletalk。正常的TACACS+操作加密整個數(shù)據(jù)包以提供更安全的通信,并使用TCP端口49LivingstonEnterprises開發(fā)的RADIUS是一項(xiàng)開放的IETF標(biāo)準(zhǔn)AAA協(xié)議,用于網(wǎng)絡(luò)接入或P移動性等應(yīng)用。

RADIUS可以在本地和漫游狀態(tài)下工作,通常用于記賬目的。RADIUS目前在RFC28652866、2867和2868中定義。RADIUS協(xié)議使用一個相當(dāng)復(fù)雜的操作(涉及消息摘要5MD5放列和一個共享密鑰)在傳輸過程中隱藏口令,甚至使用口令認(rèn)證協(xié)議(PasswordAuthenticationProtocol,PAP),但數(shù)據(jù)包的其余部分以明文形式發(fā)送。RADIUS將認(rèn)證和授權(quán)結(jié)合為一個過程。
當(dāng)一個用戶被認(rèn)證時,該用戶也就被授權(quán)。RADIUS使用UDP端口1645或1812認(rèn)證,使用UDP端口1646或1813記賬。RADIUS被VoIP服務(wù)提供商廣泛使用。它將一個會話發(fā)起協(xié)議(SessionInitiationProtocol,SIP)的端點(diǎn)(例如一個寬帶電話)的登錄證書使用摘要認(rèn)證發(fā)給一個SIP注冊器,然后使用RADIUS發(fā)給個RADIUS服務(wù)器。RADIUS也是8021X安全標(biāo)準(zhǔn)所使用的一種通用認(rèn)證協(xié)議。
其實(shí)，我們應(yīng)該知道的是Diameter協(xié)議被計(jì)劃用來替代RADIUS。Diameter使用一種名為流控傳輸協(xié)議的新傳輸協(xié)議,并且使用TCP而非UDP封裝。