AAA

網路安全系統

AAA是認證(Authentication)、授權(Authorization)和計費(Accounting)的簡稱,是網路安全中進行訪問控制的一種安全管理機制,提供認證、授權和計費三種安全服務。

基本概念


AAA提供的安全服務具體是指:
• 認證(Authentication):是對用戶的身份進行驗證,判斷其是否為合法用戶。
• 授權(Authorization):是對通過認證的用戶,授權其可以使用哪些服務。
• 計費(Accounting):是記錄用戶使用網路服務的資源情況,這些信息將作為計費的依據。
首先,認證部分提供了對用戶的認證。整個認證通常是採用用戶輸入用戶名與密碼來進行許可權審核。認證的原理是每個用戶都有一個唯一的許可權獲得標準。由AAA伺服器將用戶的標準同資料庫中每個用戶的標準一一核對。如果符合,那麼對用戶認證通過。如果不符合,則拒絕提供網路連接。
其次,用戶要通過授權來獲得操作相應任務的許可權。比如,登錄系統后,用戶可能會執行一些命令來進行操作。這時,授權過程會檢測用戶是否擁有執行這些命令的許可權。簡單而言,授權過程是一系列強迫策略的組合,包括:確定活動的種類或質量、資源或者用戶被允許的服務有哪些。授權過程發生在認證上下文中,一旦用戶通過了認證,他們也就被授予了相應的許可權。
最後,計費這一過程將會計算用戶在連接過程中消耗的資源數目。這些資源包括連接時間或者用戶在連接過程中的收發流量等等。可以根據連接過程的統計日誌、用戶信息、授權控制、賬單、趨勢分析、資源利用以及容量計劃活動來執行計費過程。

應用實例


AAA[網路安全系統]
AAA[網路安全系統]
AAA一般採用C/S(客戶端/伺服器)模式,這種模式結構簡單、擴展性好,且便於集中管理用戶信息,如圖所示。
AAA客戶端運行於NAS(Network Access Server,網路接入伺服器)上,AAA伺服器用於集中管理用戶信息。
• 遠程接入用戶通過網路(如ISDN、PSTN等)與NAS建立連接,從而獲得訪問其它網路(如Internet)的權利或取得網路資源。
• NAS負責把用戶的認證、授權、計費信息透傳給AAA伺服器。
• AAA伺服器負責接收用戶的連接請求,並對用戶身份進行驗證,返回用戶配置信息給NAS。
• NAS根據伺服器的返回信息進行配置並告知用戶結果。

常用協議


在AAA伺服器上實現認證、授權、計費應用的協議主要包括RADIUS和TACACS+協議(華為稱HWTACACS),Diameter協議作為新的標準也在逐步推廣使用。
RADIUS協議內容參見RFC 2865,RFC 2866。
TACACS+在TACACS協議(RFC 1492)基礎上進行了功能增強。TACACS+是Cisco(思科)私有協議,HWTACACS是華為協議。
Diameter協議內容參見RFC 3588,RFC4006。

應用模式


認證模式

AAA支持本地認證、不認證、RADIUS認證和TACACS+認證模式,並允許組合使用,組合認證模式是有先後順序的。
認證模式預設使用本地認證。

授權模式

AAA支持本地授權、不授權和TACACS+授權模式,並允許組合使用,組合授權模式有先後順序。
授權模式預設使用本地授權。
RADIUS的認證和授權是綁定在一起的,所以不存在RADIUS授權模式。

計費模式

AAA支持不計費、RADIUS計費、TACACS+計費模式。