-
3A認證
鎖定
- 中文名
- 3A認證
- 外文名
- Authentication
- 別 名
- AAA認證
- 用 途
- 驗證用户的身份
3A認證詳解
首先,認證部分提供了對用户的認證。整個認證通常是採用用户輸入用户名與密碼來進行權限審核。認證的原理是每個用户都有一個唯一的權限獲得標準。由AAA服務器將用户的標準同數據庫中每個用户的標準一一核對。如果符合,那麼對用户認證通過。如果不符合,則拒絕提供網絡連接。
接下來,用户還要通過授權來獲得操作相應任務的權限。比如,登陸系統後,用户可能會執行一些命令來進行操作,這時,授權過程會檢測用户是否擁有執行這些命令的權限。簡單而言,授權過程是一系列強迫策略的組合,包括:確定活動的種類或質量、資源或者用户被允許的服務有哪些。授權過程發生在認證上下文中。一旦用户通過了認證,他們也就被授予了相應的權限。 最後一步是帳户,這一過程將會計算用户在連接過程中消耗的資源數目。這些資源包括連接時間或者用户在連接過程中的收發流量等等。可以根據連接過程的統計日誌以及用户信息,還有授權控制、賬單、趨勢分析、資源利用以及容量計劃活動來執行帳户過程。
後來有了Diameter協議。
AAA是Cisco開發的一個提供網絡安全的系統。
常用的AAA協議是Radius,參見RFC 2865,RFC 2866。
另外還有 HWTACACS協議(Huawei Terminal Access Controller Access Control System)協議。HWTACACS是華為對TACACS進行了擴展的協議
HWTACACS是在TACACS(RFC1492)基礎上進行了功能增強的一種安全協議。該協議與RADIUS協議類似,主要是通過“客户端—服務器”模式與HWTACACS服務器通信來實現多種用户的AAA功能。HWTACACS與RADIUS的不同在於:l RADIUS基於UDP協議,而HWTACACS基於TCP協議。l RADIUS的認證和授權綁定在一起,而HWTACACS的認證和授權是獨立的。l RADIUS只對用户的密碼進行加密,HWTACACS可以對整個報文進行加密。
3A認證功能作用
認證方案與認證模式
AAA支持本地認證、不認證、RADIUS認證和HWTACACS認證四種認證模式,並允許組合使用。組合認證模式是有先後順序的。例如,authentication-mode radius local表示先使用RADIUS認證,RADIUS認證沒有響應再使用本地認證。當組合認證模式使用不認證時,不認證(none)必須放在最後。
授權方案與授權模式
AAA支持本地授權、直接授權、if-authenticated授權和HWTACACS授權四種授權模式,並允許組合使用。組合授權模式有先後順序。例如,authorization-mode hwtacacs local表示先使用HWTACACS授權,HWTACACS授權沒有響應再使用本地授權。當組合授權模式使用直接授權的時候,直接授權必須在最後。例如:authorization-mode hwtacacs local none。RADIUS的認證和授權是綁定在一起的,所以不存在RADIUS授權模式。
計費方案與計費模式
AAA支持六種計費模式:本地計費、不計費、RADIUS計費、HWTACACS計費、同時RADIUS、本地計費以及同時HWTACACS、本地計費。