-
AAA
(網絡安全系統)
鎖定
AAA是認證(Authentication)、授權(Authorization)和計費(Accounting)的簡稱,是網絡安全中進行訪問控制的一種安全管理機制,提供認證、授權和計費三種安全服務。
- 中文名
- 認證授權計費
- 外文名
- AAA (Authentication, Authorization, Accounting)
AAA基本概念
AAA提供的安全服務具體是指:
- 認證(Authentication):是對用户的身份進行驗證,判斷其是否為合法用户。
- 授權(Authorization):是對通過認證的用户,授權其可以使用哪些服務。
- 計費(Accounting):是記錄用户使用網絡服務的資源情況,這些信息將作為計費的依據。
首先,認證部分提供了對用户的認證。整個認證通常是採用用户輸入用户名與密碼來進行權限審核。認證的原理是每個用户都有一個唯一的權限獲得標準。由AAA服務器將用户的標準同數據庫中每個用户的標準一一核對。如果符合,那麼對用户認證通過。如果不符合,則拒絕提供網絡連接。
其次,用户要通過授權來獲得操作相應任務的權限。比如,登錄系統後,用户可能會執行一些命令來進行操作。這時,授權過程會檢測用户是否擁有執行這些命令的權限。簡單而言,授權過程是一系列強迫策略的組合,包括:確定活動的種類或質量、資源或者用户被允許的服務有哪些。授權過程發生在認證上下文中,一旦用户通過了認證,他們也就被授予了相應的權限。
最後,計費這一過程將會計算用户在連接過程中消耗的資源數目。這些資源包括連接時間或者用户在連接過程中的收發流量等等。可以根據連接過程的統計日誌、用户信息、授權控制、賬單、趨勢分析、資源利用以及容量計劃活動來執行計費過程。
AAA應用實例
AAA客户端運行於NAS(Network Access Server,網絡接入服務器)上,AAA服務器用於集中管理用户信息。
- NAS負責把用户的認證、授權、計費信息透傳給AAA服務器。
- AAA服務器負責接收用户的連接請求,並對用户身份進行驗證,返回用户配置信息給NAS。
- NAS根據服務器的返回信息進行配置並告知用户結果。
AAA常用協議
RADIUS協議內容參見RFC 2865,RFC 2866。
TACACS+在TACACS協議(RFC 1492)基礎上進行了功能增強。TACACS+是Cisco(思科)私有協議,HWTACACS是華為協議。
Diameter協議內容參見RFC 3588,RFC4006。
AAA應用模式
AAA認證模式
AAA支持本地認證、不認證、RADIUS認證和TACACS+認證模式,並允許組合使用,組合認證模式是有先後順序的。
認證模式缺省使用本地認證。
AAA授權模式
AAA支持本地授權、不授權和TACACS+授權模式,並允許組合使用,組合授權模式有先後順序。
授權模式缺省使用本地授權。
RADIUS的認證和授權是綁定在一起的,所以不存在RADIUS授權模式。
AAA計費模式
AAA支持不計費、RADIUS計費、TACACS+計費模式。