什么是AAA？

第一个A：认证

认证用来识别访问网络的用户的身份，判断访问者是否为合法的用户。

认证

AAA服务器将用户的身份验证凭据与存储在数据库中的用户凭据进行比较。如果凭据匹配，则身份认证成功，并且授予用户访问网络的权限。如果凭据不匹配，则身份认证失败，并且网络访问将被拒绝。用户的身份认证凭据通常使用：

• 密码
• 用户名和密码
• 数字证书

第二个A：授权

授权是指对不同用户赋予不同的权限，限制用户可以使用的服务。

授权

用户身份认证成功之后，通过授权来确定：

• 用户能够使用的命令
• 用户能够访问的资源
• 用户能够获取的信息

授权的基本原则是最小特权原则，即仅授予用户执行其所需功能时必须的权限，以此来防范任何轻率的授权可能导致的意外或恶意的网络行为。

第三个A：计费

计费用来记录用户使用网络服务过程中的相关操作，简单说就是：什么人、什么时间、做了什么事。

计费

记录的内容包括使用的服务类型、起始时间、数据流量等，用于收集和记录用户对网络资源的使用情况，并可以实现针对时间、流量的计费需求，也对网络起到监控作用。

RADIUS

远程身份验证拨号用户服务RADIUS（Remote Authentication Dial-In User Service）是标准协议，基本所有主流设备厂商都支持，所以在实际网络中应用最多。

RADIUS协议可分为认证协议和计费协议，分别通过IETF RFC 2865和RFC 2866定义。由于定义RADIUS协议的时间早于AAA框架模型，所以RADIUS协议并没有将认证和授权分开，而是将认证和授权在同一个流程中进行处理。因此，使用RADIUS协议实现AAA时，用户可能无法知道被拒绝访问的原因是由于密码错误还是因为没有权限。

TACACS、TACACS+和HWTACACS

终端访问控制器控制系统TACACS（Terminal Access Controller Access-Control System），是一种起源于二十世纪八十年代的AAA协议。在之后的发展中，各厂商在TACACS协议的基础上进行了扩展，例如思科公司开发的TACACS+和华为公司开发的HWTACACS。TACACS+和HWTACACS均为私有协议，在发展过程中逐步替代了原来的TACACS协议，并且不再兼容TACACS协议。

HWTACACS协议可以兼容TACACS+协议，HWTACACS协议与TACACS+协议定义的报文结构和报文类型一致，主要区别在于授权和计费报文中携带的属性含义或类型不完全相同。

与RADIUS协议相比，HWTACACS或TACACS+更加适用于登录用户（例如STelnet用户）的身份认证场景。这是由于它在数据传输、加密上安全性更高，同时能够提供命令行鉴权、事件记录等优势功能。

LDAP和AD

轻量级目录存取协议LDAP（Lightweight Directory Access Protocol）是一种基于TCP/IP的目录访问协议。LDAP可以理解为一个数据库，该数据库中可以存储有层次的、有结构、有关联的各种类型的数据，比如：电子邮件地址、人力资源数据、联系人列表等等。LDAP通过绑定和查询操作可以实现认证和授权功能，常用于单点登录场景，例如企业用户只需要在电脑上登录一次，就可以访问多个相互信任的应用系统。

AD（Active Directory）是LDAP的一个应用实例，是Windows操作系统上提供目录服务的组件，用来保存操作系统的用户信息。与LDAP相比，AD将Kerberos协议集成到LDAP认证过程中，利用Kerberos协议的对称密钥体制来提高密码传输的安全性，防止在LDAP认证过程中泄露用户的密码。

Diameter

Diameter是IETF定义的新一代AAA协议，由RADIUS协议演进而来。Diameter协议克服了RADIUS的许多缺点，例如Diameter协议支持移动IP、多接口和移动代理的认证、授权和计费等。随着Diameter协议及其应用的不断成熟和标准化，它对未来移动通信系统和宽带接入系统的发展将起到巨大的推动作用 。