AAA是认证(Authentication)、授权(Authorization)和计费(Accounting)的简称,是网路安全中进行访问控制的一种安全管理机制,提供认证、授权和计费三种安全服务。
基本介绍
- 中文名:认证授权计费
- 外文名:AAA (Authentication, Authorization, Accounting)
- 依据:认证结果开放网路服务给用户
- 验证:用户的身份与可使用的网路服务;
基本概念
AAA提供的安全服务具体是指:
- 认证(Authentication):是对用户的身份进行验证,判断其是否为合法用户。
- 授权(Authorization):是对通过认证的用户,授权其可以使用哪些服务。
- 计费(Accounting):是记录用户使用网路服务的资源情况,这些信息将作为计费的依据。
首先,认证部分提供了对用户的认证。整个认证通常是採用用户输入用户名与密码来进行许可权审核。认证的原理是每个用户都有一个唯一的许可权获得标準。由AAA伺服器将用户的标準同资料库中每个用户的标準一一核对。如果符合,那幺对用户认证通过。如果不符合,则拒绝提供网路连线。
其次,用户要通过授权来获得操作相应任务的许可权。比如,登录系统后,用户可能会执行一些命令来进行操作。这时,授权过程会检测用户是否拥有执行这些命令的许可权。简单而言,授权过程是一系列强迫策略的组合,包括:确定活动的种类或质量、资源或者用户被允许的服务有哪些。授权过程发生在认证上下文中,一旦用户通过了认证,他们也就被授予了相应的许可权。
最后,计费这一过程将会计算用户在连线过程中消耗的资源数目。这些资源包括连线时间或者用户在连线过程中的收发流量等等。可以根据连线过程的统计日誌、用户信息、授权控制、账单、趋势分析、资源利用以及容量计画活动来执行计费过程。
套用实例
AAA一般採用C/S(客户端/伺服器)模式,这种模式结构简单、扩展性好,且便于集中管理用户信息,如图所示。
AAA客户端运行于NAS(Network Access Server,网路接入伺服器)上,AAA伺服器用于集中管理用户信息。
- 远程接入用户通过网路(如ISDN、PSTN等)与NAS建立连线,从而获得访问其它网路(如Internet)的权利或取得网路资源。
- NAS负责把用户的认证、授权、计费信息透传给AAA伺服器。
- AAA伺服器负责接收用户的连线请求,并对用户身份进行验证,返回用户配置信息给NAS。
- NAS根据伺服器的返回信息进行配置并告知用户结果。
常用协定
在AAA伺服器上实现认证、授权、计费套用的协定主要包括RADIUS和TACACS+协定(华为称HWTACACS),Diameter协定作为新的标準也在逐步推广使用。
RADIUS协定内容参见RFC 2865,RFC 2866。
TACACS+在TACACS协定(RFC 1492)基础上进行了功能增强。TACACS+是Cisco(思科)私有协定,HWTACACS是华为协定。
Diameter协定内容参见RFC 3588,RFC4006。
套用模式
认证模式
AAA支持本地认证、不认证、RADIUS认证和TACACS+认证模式,并允许组合使用,组合认证模式是有先后顺序的。
认证模式预设使用本地认证。
授权模式
AAA支持本地授权、不授权和TACACS+授权模式,并允许组合使用,组合授权模式有先后顺序。
授权模式预设使用本地授权。
RADIUS的认证和授权是绑定在一起的,所以不存在RADIUS授权模式。
计费模式
AAA支持不计费、RADIUS计费、TACACS+计费模式。
