РадСек

RadSec — это протокол для передачи датаграмм RADIUS по протоколам TCP и TLS .

Протокол RADIUS является широко распространенным протоколом аутентификации и авторизации . Дополнительная спецификация учета RADIUS ^[1] также предоставляет механизмы учета, тем самым предоставляя полное решение протокола AAA . Однако у RADIUS есть два существенных недостатка. По сути, все данные отправляются «в открытом виде», что имеет последствия для конфиденциальности. MAC-адреса и имена пользователей могут быть раскрыты, а пользователи потенциально могут быть геолокализованы. Запутанные данные защищены с помощью «ad hoc» конструкций, которые используют алгоритм MD5 , который, как было доказано, небезопасен. Вся аутентификация пакетов также основана на MD5 .

Для решения этих проблем конфиденциальности и безопасности рабочая группа «RADIUS Extensions» ^[2] Инженерной группы Интернета ( IETF) определила транспорт TLS для RADIUS как RADIUS/TLS в RFC  6614.

Использование RadSec восходит к предварительным реализациям поставщиков. Стандартное название для RADIUS через TLS, как определено в RFC  6614, — RADIUS/TLS. Существует также RADIUS/DTLS, который был определен в RFC  7360.

Основное внимание RADIUS/TLS уделяется предоставлению средств для защиты связи между пирами RADIUS на транспортном уровне . Наиболее важным применением RADIUS/TLS являются среды роуминга, где пакеты RADIUS необходимо передавать через различные административные домены и ненадежные, потенциально враждебные сети. Примером всемирной среды роуминга, которая использует RADIUS/TLS для защиты связи, является eduroam . ^[3]