AAA

AAA提供的安全服務具體是指：

• 認證（Authentication）：是對用戶的身份進行驗證，判斷其是否為合法用戶。

• 授權（Authorization）：是對通過認證的用戶，授權其可以使用哪些服務。

• 計費（Accounting）：是記錄用戶使用網路服務的資源情況，這些信息將作為計費的依據。

首先，認證部分提供了對用戶的認證。整個認證通常是採用用戶輸入用戶名與密碼來進行許可權審核。認證的原理是每個用戶都有一個唯一的許可權獲得標準。由AAA伺服器將用戶的標準同資料庫中每個用戶的標準一一核對。如果符合，那麼對用戶認證通過。如果不符合，則拒絕提供網路連接。

其次，用戶要通過授權來獲得操作相應任務的許可權。比如，登錄系統后，用戶可能會執行一些命令來進行操作。這時，授權過程會檢測用戶是否擁有執行這些命令的許可權。簡單而言，授權過程是一系列強迫策略的組合，包括：確定活動的種類或質量、資源或者用戶被允許的服務有哪些。授權過程發生在認證上下文中，一旦用戶通過了認證，他們也就被授予了相應的許可權。

最後，計費這一過程將會計算用戶在連接過程中消耗的資源數目。這些資源包括連接時間或者用戶在連接過程中的收發流量等等。可以根據連接過程的統計日誌、用戶信息、授權控制、賬單、趨勢分析、資源利用以及容量計劃活動來執行計費過程。

AAA一般採用C/S（客戶端/伺服器）模式，這種模式結構簡單、擴展性好，且便於集中管理用戶信息，如圖所示。

AAA客戶端運行於NAS（Network Access Server，網路接入伺服器）上，AAA伺服器用於集中管理用戶信息。

• 遠程接入用戶通過網路（如ISDN、PSTN等）與NAS建立連接，從而獲得訪問其它網路（如Internet）的權利或取得網路資源。

• NAS負責把用戶的認證、授權、計費信息透傳給AAA伺服器。

• AAA伺服器負責接收用戶的連接請求，並對用戶身份進行驗證，返回用戶配置信息給NAS。

• NAS根據伺服器的返回信息進行配置並告知用戶結果。

在AAA伺服器上實現認證、授權、計費應用的協議主要包括RADIUS和TACACS+協議（華為稱HWTACACS），Diameter協議作為新的標準也在逐步推廣使用。

RADIUS協議內容參見RFC 2865，RFC 2866。

TACACS+在TACACS協議（RFC 1492）基礎上進行了功能增強。TACACS+是Cisco（思科）私有協議，HWTACACS是華為協議。

Diameter協議內容參見RFC 3588，RFC4006。

AAA支持本地認證、不認證、RADIUS認證和TACACS+認證模式，並允許組合使用，組合認證模式是有先後順序的。

認證模式預設使用本地認證。

AAA支持本地授權、不授權和TACACS+授權模式，並允許組合使用，組合授權模式有先後順序。

授權模式預設使用本地授權。

RADIUS的認證和授權是綁定在一起的，所以不存在RADIUS授權模式。

AAA支持不計費、RADIUS計費、TACACS+計費模式。