基本概念
AAA提供的安全服務具體是指:
• 認證(Authentication):是對用戶的身份進行驗證,判斷其是否為合法用戶。
• 授權(Authorization):是對通過認證的用戶,授權其可以使用哪些服務。
• 計費(Accounting):是記錄用戶使用網路服務的資源情況,這些信息將作為計費的依據。
首先,認證部分提供了對用戶的認證。整個認證通常是採用用戶輸入用戶名與密碼來進行許可權審核。認證的原理是每個用戶都有一個唯一的許可權獲得標準。由AAA伺服器將用戶的標準同資料庫中每個用戶的標準一一核對。如果符合,那么對用戶認證通過。如果不符合,則拒絕提供網路連線。
其次,用戶要通過授權來獲得操作相應任務的許可權。比如,登錄系統後,用戶可能會執行一些命令來進行操作。這時,授權過程會檢測用戶是否擁有執行這些命令的許可權。簡單而言,授權過程是一系列強迫策略的組合,包括:確定活動的種類或質量、資源或者用戶被允許的服務有哪些。授權過程發生在認證上下文中,一旦用戶通過了認證,他們也就被授予了相應的許可權。
最後,計費這一過程將會計算用戶在連線過程中消耗的資源數目。這些資源包括連線時間或者用戶在連線過程中的收發流量等等。可以根據連線過程的統計日誌、用戶信息、授權控制、賬單、趨勢分析、資源利用以及容量計畫活動來執行計費過程。
套用實例
AAA一般採用C/S(客戶端/伺服器)模式,這種模式結構簡單、擴展性好,且便於集中管理用戶信息,如圖所示。
AAA客戶端運行於NAS(Network Access Server,網路接入伺服器)上,AAA伺服器用於集中管理用戶信息。
• 遠程接入用戶通過網路(如ISDN、PSTN等)與NAS建立連線,從而獲得訪問其它網路(如Internet)的權利或取得網路資源。
• NAS負責把用戶的認證、授權、計費信息透傳給AAA伺服器。
• AAA伺服器負責接收用戶的連線請求,並對用戶身份進行驗證,返回用戶配置信息給NAS。
• NAS根據伺服器的返回信息進行配置並告知用戶結果。
常用協定
在AAA伺服器上實現認證、授權、計費套用的協定主要包括RADIUS和TACACS+協定(華為稱HWTACACS),Diameter協定作為新的標準也在逐步推廣使用。
RADIUS協定內容參見RFC 2865,RFC 2866。
TACACS+在TACACS協定(RFC 1492)基礎上進行了功能增強。TACACS+是Cisco(思科)私有協定,HWTACACS是華為協定。
Diameter協定內容參見RFC 3588,RFC4006。
套用模式
認證模式
AAA支持本地認證、不認證、RADIUS認證和TACACS+認證模式,並允許組合使用,組合認證模式是有先後順序的。
認證模式預設使用本地認證。
授權模式
AAA支持本地授權、不授權和TACACS+授權模式,並允許組合使用,組合授權模式有先後順序。
授權模式預設使用本地授權。
RADIUS的認證和授權是綁定在一起的,所以不存在RADIUS授權模式。
計費模式
AAA支持不計費、RADIUS計費、TACACS+計費模式。