Tính chất của RADIUS

Một phần của tài liệu Bảo mật mạng WLAN với chứng thực RADIUS (Trang 30 - 31)

RADIUS thực ra là một giao dịch được xây dựng trên giao thức có các tính chất chính như sau:

Nếu như yêu cầu (request) gởi tới máy chủ xác nhận quyền sơ cấp (primary authentication server) thất bại, thì yêu cầu này phải được gửi tới máy chủ sơ cấp (secondary server). Để thực hiện yêu cầu này, một bản sao yêu cầu phải được lưu trên lớp transport để cho phép việc truyền luân phiên. Điều này có nghĩa là phải có timers cho việc truyền lại (retransmission).

Các đòi hỏi về thời gian của RADIUS rất khác biệt so với TCP. Một mặt, RADIUS không yêu cầu “câu trả lời” (responsive) về việc dò tìm dữ liệu bị mất. User

sẵn sang chờ trong nhiều giây để cho việc xác nhận quyền được hoàn thành. Việc truyền lại thường xảy ra đối với các TCP dựa trên thời gian truyền nhận trung bình không cần thiết nữa, kể cả thời gian hao tổn cho việc nhận biết phản hồi về. Mặt khác, user không thể chờ đợi quá lâu trong nhiều phút cho việc xác nhận quyền. Việc phải chờ đợi quá lâu là không hữu ích. Việc sử dụng luân phiên nhanh chóng các server sẽ cho phép user truy cập được vào mạng trước khi họ bỏ cuộc.

Trạng thái rất tự do của RADIUS đã đơn giản hóa việc sử dụng UDP. Các client và server có thể đăng ký vào hoặc ra khỏi mạng. Hệ thống bị khởi động lại vì một lý do nào đó, như: Nguồn điện bị mất…Các sự kiện bất thường này nói chung sẽ không gây nguy hiểm nếu như có những timeout tốt và xác định được các cầu nối TCP đã bị đứt. Tuy nhiên UDP hoàn toàn bỏ qua các sự cố đặt biệt này; Các client và server có thể một “ chuyến vận chuyển dữ liệu” UDP ngay lập tức và để nó tự nhiên truyền trên mạng với các sự kiện có thể có.

UDP đơn giản hóa việc thực hiện server. Ở những phiên bản trước, server được thực hiện đơn luồng (single thread), có nghĩa là mỗi lúc chỉ có một yêu cầu được nhận, xử lí và trả về. Điều này không thể quản lý được trong môi trường kỹ thuật an toàn quay vòng (back-end security mechanism) dùng thời gian thực (real-time). Hàng đợi yêu cầu của server sẽ bị đầy, và trong một môi trường có hàng trăm người được yêu cầu xác nhận quyền trong mỗi phút, thời gian quay vòng của yêu cầu sẽ lớn hơn rất nhiều so với thời gian mà user chờ đợi. Do vậy, giải pháp được chọn là thực hiện server chế độ đa luồng (multu-thread) với UDP. Những quá trình xử lý độc lập sẽ được sinh ra trên server tương ứng với mỗi yêu cầu và những quá trình này sẽ trả lời trực tiếp với các NAS khách hàng bằng gói UDP tới lớp truyền dẫn chính của client.

Một phần của tài liệu Bảo mật mạng WLAN với chứng thực RADIUS (Trang 30 - 31)

Tải bản đầy đủ (DOC)

(63 trang)
w