3A認證,即AAA認證 AAA:分別為Authentication、Authorization、Accounting 認證(Authentication):驗證用戶的身份與可使用的網絡服務; 授權(Authorization):依據認證結果開放網絡服務給用戶; 計帳(Accounting):記錄用戶對各種網絡服務的用量,並提供給計費系統。
詳解
AAA ,認證(Authentication):驗證用戶的身份與可使用的網絡服務;授權(Authorization):依據認證結果開放網絡服務給用戶;計帳(Accounting):記錄用戶對各種網絡服務的用量,並提供給計費系統。整個系統在網絡管理與安全問題中十分有效。 首先,認證部分提供了對用戶的認證。整個認證通常是采用用戶輸入用戶名與密碼來進行權限審核。認證的原理是每個用戶都有壹個唯壹的權限獲得標準。由AAA服務器將用戶的標準同數據庫中每個用戶的標準壹壹核對。如果符合,那麽對用戶認證通過。如果不符合,則拒絕提供網絡連接。 接下來,用戶還要通過授權來獲得操作相應任務的權限。比如,登陸系統後,用戶可能會執行壹些命令來進行操作,這時,授權過程會檢測用戶是否擁有執行這些命令的權限。簡單而言,授權過程是壹系列強迫策略的組合,包括:確定活動的種類或質量、資源或者用戶被允許的服務有哪些。授權過程發生在認證上下文中。壹旦用戶通過了認證,他們也就被授予了相應的權限。 最後壹步是帳戶,這壹過程將會計算用戶在連接過程中消耗的資源數目。這些資源包括連接時間或者用戶在連接過程中的收發流量等等。可以根據連接過程的統計日誌以及用戶信息,還有授權控制、賬單、趨勢分析、資源利用以及容量計劃活動來執行帳戶過程。 驗證授權和帳戶由AAA服務器來提供。AAA服務器是壹個能夠提供這三項服務的程序。當前同AAA服務器協作的網絡連接服務器接口是“遠程身份驗證撥入用戶服務 (RADIUS)”。 目前最新的發展是Diameter協議。 AAA是Cisco開發的壹個提供網絡安全的系統。 常用的AAA協議是Radius,參見RFC 2865,RFC 2866。 另外還有 HWTACACS協議(Huawei Terminal Access Controller Access Control System)協議。HWTACACS是華為對TACACS進行了擴展的協議 HWTACACS是在TACACS(RFC1492)基礎上進行了功能增強的壹種安全協議。該協議與RADIUS協議類似,主要是通過“客戶端—服務器”模式與HWTACACS服務器通信來實現多種用戶的AAA功能。HWTACACS與RADIUS的不同在於:l RADIUS基於UDP協議,而HWTACACS基於TCP協議。l RADIUS的認證和授權綁定在壹起,而HWTACACS的認證和授權是獨立的。l RADIUS只對用戶的密碼進行加密,HWTACACS可以對整個報文進行加密。