複製鏈接
請複製以下鏈接發送給好友

AAA

(網絡安全系統)

編輯 鎖定
AAA是認證(Authentication)、授權(Authorization)和計費(Accounting)的簡稱,是網絡安全中進行訪問控制的一種安全管理機制,提供認證、授權和計費三種安全服務。
中文名
認證授權計費
外文名
AAA (Authentication, Authorization, Accounting)
依    據
認證結果開放網絡服務給用户
驗    證
用户的身份與可使用的網絡服務

AAA基本概念

編輯
AAA提供的安全服務具體是指:
  • 認證(Authentication):是對用户的身份進行驗證,判斷其是否為合法用户。
  • 授權(Authorization):是對通過認證的用户,授權其可以使用哪些服務。
  • 計費(Accounting):是記錄用户使用網絡服務的資源情況,這些信息將作為計費的依據。
首先,認證部分提供了對用户的認證。整個認證通常是採用用户輸入用户名與密碼來進行權限審核。認證的原理是每個用户都有一個唯一的權限獲得標準。由AAA服務器將用户的標準同數據庫中每個用户的標準一一核對。如果符合,那麼對用户認證通過。如果不符合,則拒絕提供網絡連接。
其次,用户要通過授權來獲得操作相應任務的權限。比如,登錄系統後,用户可能會執行一些命令來進行操作。這時,授權過程會檢測用户是否擁有執行這些命令的權限。簡單而言,授權過程是一系列強迫策略的組合,包括:確定活動的種類或質量、資源或者用户被允許的服務有哪些。授權過程發生在認證上下文中,一旦用户通過了認證,他們也就被授予了相應的權限。
最後,計費這一過程將會計算用户在連接過程中消耗的資源數目。這些資源包括連接時間或者用户在連接過程中的收發流量等等。可以根據連接過程的統計日誌、用户信息、授權控制、賬單、趨勢分析、資源利用以及容量計劃活動來執行計費過程。

AAA應用實例

編輯
AAA一般採用C/S(客户端/服務器)模式,這種模式結構簡單、擴展性好,且便於集中管理用户信息,如圖所示。
AAA客户端運行於NAS(Network Access Server,網絡接入服務器)上,AAA服務器用於集中管理用户信息。
  • 遠程接入用户通過網絡(如ISDNPSTN等)與NAS建立連接,從而獲得訪問其它網絡(如Internet)的權利或取得網絡資源。
  • NAS負責把用户的認證、授權、計費信息透傳給AAA服務器。
  • AAA服務器負責接收用户的連接請求,並對用户身份進行驗證,返回用户配置信息給NAS。
  • NAS根據服務器的返回信息進行配置並告知用户結果。

AAA常用協議

編輯
在AAA服務器上實現認證、授權、計費應用的協議主要包括RADIUSTACACS+協議(華為稱HWTACACS),Diameter協議作為新的標準也在逐步推廣使用。
RADIUS協議內容參見RFC 2865,RFC 2866。
TACACS+在TACACS協議(RFC 1492)基礎上進行了功能增強。TACACS+是Cisco(思科)私有協議,HWTACACS是華為協議。
Diameter協議內容參見RFC 3588,RFC4006。

AAA應用模式

編輯

AAA認證模式

AAA支持本地認證、不認證、RADIUS認證和TACACS+認證模式,並允許組合使用,組合認證模式是有先後順序的。
認證模式缺省使用本地認證。

AAA授權模式

AAA支持本地授權、不授權和TACACS+授權模式,並允許組合使用,組合授權模式有先後順序。
授權模式缺省使用本地授權。
RADIUS的認證和授權是綁定在一起的,所以不存在RADIUS授權模式。

AAA計費模式

AAA支持不計費、RADIUS計費、TACACS+計費模式。