本站点使用Cookies,继续浏览表示您同意我们使用Cookies。 Cookies和隐私政策>

首页 信息速查 百科 在线课堂 智能问答

什么是AAA?

AAA是网络访问控制的一种安全管理框架,它决定哪些的用户能够访问网络,以及用户能够访问哪些资源或者得到哪些服务。本文从AAA的三要素、工作原理、使用的协议和应用这几个方面展开介绍。

AAA的三个要素

第一个A:认证

认证用来识别访问网络的用户的身份,判断访问者是否为合法的用户。

认证
认证

AAA服务器将用户的身份验证凭据与存储在数据库中的用户凭据进行比较。如果凭据匹配,则身份认证成功,并且授予用户访问网络的权限。如果凭据不匹配,则身份认证失败,并且网络访问将被拒绝。用户的身份认证凭据通常使用:

  • 密码
  • 用户名和密码
  • 数字证书

第二个A:授权

授权是指对不同用户赋予不同的权限,限制用户可以使用的服务。

授权
授权

用户身份认证成功之后,通过授权来确定:

  • 用户能够使用的命令
  • 用户能够访问的资源
  • 用户能够获取的信息

授权的基本原则是最小特权原则,即仅授予用户执行其所需功能时必须的权限,以此来防范任何轻率的授权可能导致的意外或恶意的网络行为。

第三个A:计费

计费用来记录用户使用网络服务过程中的相关操作,简单说就是:什么人、什么时间、做了什么事。

计费
计费

记录的内容包括使用的服务类型、起始时间、数据流量等,用于收集和记录用户对网络资源的使用情况,并可以实现针对时间、流量的计费需求,也对网络起到监控作用。

AAA是如何工作的?

AAA采用客户端/服务器结构,这种结构简单、扩展性好,且便于集中管理用户信息。

AAA基本框架
AAA基本框架

如上图所示,AAA的基本实现流程如下:

  1. 用户访问网络前,首先与AAA客户端建立连接。
  2. AAA客户端负责把用户验证凭据传递给AAA服务器。
  3. AAA服务器根据用户认证凭据进行认证和授权,并将认证和授权结果返回给AAA客户端。
  4. AAA客户端根据服务器的返回结果判断是否允许用户接入。
其中:
  • AAA客户端运行在NAS设备(网络接入服务器)上,NAS设备可以是路由器、交换机等为用户提供入网服务的设备。
  • AAA服务器是认证服务器、授权服务器和计费服务器的统称,负责集中管理用户信息。根据AAA使用的通信协议的不同,AAA服务器可以分为RADIUS服务器、TACACS服务器等。

AAA协议有哪些?

AAA可以通过多种协议实现认证、授权和计费。

RADIUS

远程身份验证拨号用户服务RADIUS(Remote Authentication Dial-In User Service)是标准协议,基本所有主流设备厂商都支持,所以在实际网络中应用最多。

RADIUS协议可分为认证协议和计费协议,分别通过IETF RFC 2865和RFC 2866定义。由于定义RADIUS协议的时间早于AAA框架模型,所以RADIUS协议并没有将认证和授权分开,而是将认证和授权在同一个流程中进行处理。因此,使用RADIUS协议实现AAA时,用户可能无法知道被拒绝访问的原因是由于密码错误还是因为没有权限。

TACACS、TACACS+和HWTACACS

终端访问控制器控制系统TACACS(Terminal Access Controller Access-Control System),是一种起源于二十世纪八十年代的AAA协议。在之后的发展中,各厂商在TACACS协议的基础上进行了扩展,例如思科公司开发的TACACS+和华为公司开发的HWTACACS。TACACS+和HWTACACS均为私有协议,在发展过程中逐步替代了原来的TACACS协议,并且不再兼容TACACS协议。

HWTACACS协议可以兼容TACACS+协议,HWTACACS协议与TACACS+协议定义的报文结构和报文类型一致,主要区别在于授权和计费报文中携带的属性含义或类型不完全相同。

与RADIUS协议相比,HWTACACS或TACACS+更加适用于登录用户(例如STelnet用户)的身份认证场景。这是由于它在数据传输、加密上安全性更高,同时能够提供命令行鉴权、事件记录等优势功能。

LDAP和AD

轻量级目录存取协议LDAP(Lightweight Directory Access Protocol)是一种基于TCP/IP的目录访问协议。LDAP可以理解为一个数据库,该数据库中可以存储有层次的、有结构、有关联的各种类型的数据,比如:电子邮件地址、人力资源数据、联系人列表等等。LDAP通过绑定和查询操作可以实现认证和授权功能,常用于单点登录场景,例如企业用户只需要在电脑上登录一次,就可以访问多个相互信任的应用系统。

AD(Active Directory)是LDAP的一个应用实例,是Windows操作系统上提供目录服务的组件,用来保存操作系统的用户信息。与LDAP相比,AD将Kerberos协议集成到LDAP认证过程中,利用Kerberos协议的对称密钥体制来提高密码传输的安全性,防止在LDAP认证过程中泄露用户的密码。

Diameter

Diameter是IETF定义的新一代AAA协议,由RADIUS协议演进而来。Diameter协议克服了RADIUS的许多缺点,例如Diameter协议支持移动IP、多接口和移动代理的认证、授权和计费等。随着Diameter协议及其应用的不断成熟和标准化,它对未来移动通信系统和宽带接入系统的发展将起到巨大的推动作用 。

AAA有哪些应用?

根据用户接入的方式不同,AAA在网络中可以划分为以下几种应用:

  • 登录用户管理

    登录用户指的是直接登录设备进行操作的用户,例如Console口登录、Stelnet登录等。此类用户对安全性的要求较高,通过AAA可以限制哪些用户可以登录到设备,登录到设备后能执行哪些命令或者记录用户执行的操作等。

  • NAC用户接入控制

    NAC用户指的是通过802.1X、MAC、Portal方式接入网络的用户。这些用户可以是有线用户、也可以是无线用户,可能是接入企业园区网络、教育网络、医疗网络或商超网络等等。此类用户存在类型复杂、变动频繁、权限级别要求不统一等问题。AAA结合NAC,可以有效保证接入用户的安全性。

词条统计
  • 作者: 豆翠翠
  • 最近更新: 2021-10-09
  • 浏览次数: 3421
  • 平均得分: