AAA(網路安全系統)

AAA(網路安全系統)

AAA是認證(Authentication)、授權(Authorization)和計費(Accounting)的簡稱,是網路安全中進行訪問控制的一種安全管理機制,提供認證、授權和計費三種安全服務。

基本介紹

  • 中文名:認證授權計費
  • 外文名:AAA (Authentication, Authorization, Accounting)
  • 依據:認證結果開放網路服務給用戶
  • 驗證:用戶的身份與可使用的網路服務
基本概念,套用實例,常用協定,套用模式,認證模式,授權模式,計費模式,

基本概念

AAA提供的安全服務具體是指:
  • 認證(Authentication):是對用戶的身份進行驗證,判斷其是否為合法用戶。
  • 授權(Authorization):是對通過認證的用戶,授權其可以使用哪些服務。
  • 計費(Accounting):是記錄用戶使用網路服務的資源情況,這些信息將作為計費的依據。
首先,認證部分提供了對用戶的認證。整個認證通常是採用用戶輸入用戶名與密碼來進行許可權審核。認證的原理是每個用戶都有一個唯一的許可權獲得標準。由AAA伺服器將用戶的標準同資料庫中每個用戶的標準一一核對。如果符合,那么對用戶認證通過。如果不符合,則拒絕提供網路連線。
其次,用戶要通過授權來獲得操作相應任務的許可權。比如,登錄系統後,用戶可能會執行一些命令來進行操作。這時,授權過程會檢測用戶是否擁有執行這些命令的許可權。簡單而言,授權過程是一系列強迫策略的組合,包括:確定活動的種類或質量、資源或者用戶被允許的服務有哪些。授權過程發生在認證上下文中,一旦用戶通過了認證,他們也就被授予了相應的許可權。
最後,計費這一過程將會計算用戶在連線過程中消耗的資源數目。這些資源包括連線時間或者用戶在連線過程中的收發流量等等。可以根據連線過程的統計日誌、用戶信息、授權控制、賬單、趨勢分析、資源利用以及容量計畫活動來執行計費過程。

套用實例

AAA一般採用C/S(客戶端/伺服器)模式,這種模式結構簡單、擴展性好,且便於集中管理用戶信息,如圖所示。
AAA
AAA客戶端運行於NAS(Network Access Server,網路接入伺服器)上,AAA伺服器用於集中管理用戶信息。
  • 遠程接入用戶通過網路(如ISDNPSTN等)與NAS建立連線,從而獲得訪問其它網路(如Internet)的權利或取得網路資源。
  • NAS負責把用戶的認證、授權、計費信息透傳給AAA伺服器。
  • AAA伺服器負責接收用戶的連線請求,並對用戶身份進行驗證,返回用戶配置信息給NAS。
  • NAS根據伺服器的返回信息進行配置並告知用戶結果。

常用協定

在AAA伺服器上實現認證、授權、計費套用的協定主要包括RADIUSTACACS+協定(華為稱HWTACACS),Diameter協定作為新的標準也在逐步推廣使用。
RADIUS協定內容參見RFC 2865,RFC 2866。
TACACS+在TACACS協定(RFC 1492)基礎上進行了功能增強。TACACS+是Cisco(思科)私有協定,HWTACACS是華為協定。
Diameter協定內容參見RFC 3588,RFC4006。

套用模式

認證模式

AAA支持本地認證、不認證、RADIUS認證和TACACS+認證模式,並允許組合使用,組合認證模式是有先後順序的。
認證模式預設使用本地認證。

授權模式

AAA支持本地授權、不授權和TACACS+授權模式,並允許組合使用,組合授權模式有先後順序。
授權模式預設使用本地授權。
RADIUS的認證和授權是綁定在一起的,所以不存在RADIUS授權模式。

計費模式

AAA支持不計費、RADIUS計費、TACACS+計費模式。

相關詞條

熱門詞條

聯絡我們