AAA是Authentication(認(rèn)證)、Authorization(授權(quán))和Accounting(計(jì)費(fèi))的簡(jiǎn)稱，是網(wǎng)絡(luò)安全的一種管理機(jī)制，提供了認(rèn)證、授權(quán)、計(jì)費(fèi)3種安全功能。同時(shí)提供本地認(rèn)證/授權(quán)方式、RADIUS服務(wù)器認(rèn)證/授權(quán)和計(jì)費(fèi)方式、HWTACACS服務(wù)器認(rèn)證/授權(quán)和計(jì)費(fèi)三種AAA方案。后兩種可視為“委托認(rèn)證/授權(quán)/計(jì)費(fèi)”方式，因?yàn)檫@兩種方式中的認(rèn)證/授權(quán)/計(jì)費(fèi)功能的實(shí)現(xiàn)不是由本地設(shè)備完成的，而是所配置的遠(yuǎn)程RADIUS服務(wù)器或HWTACACS服務(wù)器完成的。

AAA采用基于用戶(可以是所有用戶，也可以是特定用戶組中的用戶)進(jìn)行認(rèn)證、授權(quán)和計(jì)費(fèi)的方案。

AAA基礎(chǔ)

AAA是Authentication(認(rèn)證)、Authorization(授權(quán))和Accounting(計(jì)費(fèi))的簡(jiǎn)稱，提供了認(rèn)證、授權(quán)、計(jì)費(fèi)3種安全功能。其中“認(rèn)證”是用來(lái)驗(yàn)證用戶是否可以獲得網(wǎng)絡(luò)訪問(wèn)權(quán);“授權(quán)”是授權(quán)通過(guò)認(rèn)證的用戶可以使用哪些服務(wù);“計(jì)費(fèi)”是記錄通過(guò)認(rèn)證的用戶使用網(wǎng)絡(luò)資源的情況。在實(shí)際網(wǎng)絡(luò)應(yīng)用中，可以只使用AAA提供的一種或兩種安全服務(wù)。

一、AAA的基本構(gòu)架

AAA是采用“客戶端/服務(wù)器”(C/S)結(jié)構(gòu)，其中AAA客戶端(也稱網(wǎng)絡(luò)接入服務(wù)器——NAS)就是使能了AAA功能的網(wǎng)絡(luò)設(shè)備(可以是網(wǎng)絡(luò)中任意一臺(tái)設(shè)備，不一定是接入設(shè)備，而且可以在網(wǎng)絡(luò)中多個(gè)設(shè)備上使能)，而AAA服務(wù)器就是專門用來(lái)認(rèn)證、授權(quán)和計(jì)費(fèi)的服務(wù)器(可以由服務(wù)器主機(jī)配置，也可以由提供了對(duì)應(yīng)服務(wù)器功能的網(wǎng)絡(luò)設(shè)備上配置)

在設(shè)備上使能了AAA功能后，當(dāng)用戶要通過(guò)AAA客戶端訪問(wèn)某個(gè)網(wǎng)絡(luò)前，需要先從AAA服務(wù)器中獲得訪問(wèn)該網(wǎng)絡(luò)的權(quán)限。但這個(gè)任務(wù)通常不是由擔(dān)當(dāng)AAA客戶端的設(shè)備自己來(lái)完成的，而是通過(guò)設(shè)備把用戶的認(rèn)證、授權(quán)、計(jì)費(fèi)信息發(fā)送給AAA服務(wù)器來(lái)完成的。當(dāng)然，如果在擔(dān)當(dāng)AAA客戶端的設(shè)備上同時(shí)配置了相應(yīng)的AAA服務(wù)器功能，則此時(shí)客戶端和服務(wù)器端就為一體了，這時(shí)實(shí)現(xiàn)的是AAA本地認(rèn)證和授權(quán)(本地方式不提供計(jì)費(fèi)功能)了。

1、AAA認(rèn)證

華為的AAA功能支持以下認(rèn)證方式：

(1)不認(rèn)證：對(duì)用戶非常信任，不對(duì)其進(jìn)行合法檢查，一般情況下不采用這種方式。

(2)本地認(rèn)證：將用戶信息配置在本地設(shè)備上。本地認(rèn)證的優(yōu)點(diǎn)是速度快，可以為運(yùn)營(yíng)商降低成本，缺點(diǎn)是存儲(chǔ)信息量受設(shè)備硬件條件限制。

(3)遠(yuǎn)程認(rèn)證：將用戶信息配置在AAA認(rèn)證服務(wù)器上。支持通過(guò)RADIUS(Remote Authentication Dial In User Service，遠(yuǎn)程認(rèn)證撥入用戶服務(wù))協(xié)議或HWTACACS(HuaWei Terminal Access Controller Access Control System，華為終端訪問(wèn)控制系統(tǒng))協(xié)議進(jìn)行遠(yuǎn)程認(rèn)證。

2、AAA授權(quán)

華為的AAA功能支持3種授權(quán)方式：

(1)不授權(quán)：不對(duì)用戶進(jìn)行授權(quán)處理。

(2)本地授權(quán)：根據(jù)本地設(shè)備為本地用戶賬號(hào)配置的相關(guān)屬性(如允許使用的接入服務(wù)類型和FTP訪問(wèn)目錄等)進(jìn)行授權(quán)。

(3)遠(yuǎn)程授權(quán)：由HWTACACS、RADIUS等服務(wù)器對(duì)用戶進(jìn)行遠(yuǎn)程授權(quán)。

3、計(jì)費(fèi)

華為的AAA功能支持2種計(jì)費(fèi)方式(不支持本地計(jì)費(fèi)方式)：

(1)不計(jì)費(fèi)：不對(duì)用戶計(jì)費(fèi)。

(2)計(jì)費(fèi)：設(shè)備將計(jì)費(fèi)報(bào)文送往HWTACACS、RADIUS服務(wù)器，由HWTACACS、RADIUS服務(wù)器完成對(duì)用戶的計(jì)費(fèi)。

二、AAA基于域的用戶管理

華為交換機(jī)通過(guò)域來(lái)進(jìn)行AAA用戶管理，每個(gè)域下可以應(yīng)用不同的認(rèn)證、授權(quán)和計(jì)費(fèi)方案，以及RADIUS或者HWTACACS服務(wù)器模板，相當(dāng)于對(duì)用戶進(jìn)行分類管理。屬于域中的用戶通過(guò)在該域中應(yīng)用的認(rèn)證、授權(quán)和計(jì)費(fèi)方案進(jìn)行認(rèn)證、授權(quán)和計(jì)費(fèi)。所以后面的AAA方案配置中，一定要在對(duì)應(yīng)的域下被綁定、應(yīng)用才能對(duì)具體用戶生效。

缺省情況下，設(shè)備存在配置名為default和default_admin兩個(gè)域，全局缺省普通域?yàn)閐efault，全局缺省管理域?yàn)閐efault_admin。兩個(gè)域均不能刪除，只能修改。當(dāng)無(wú)法確認(rèn)接入用戶的域時(shí)使用缺省域，default域?yàn)榻尤胗脩舻娜笔∮颍笔楸镜卣J(rèn)證;default_admin域?yàn)楣芾韱T賬戶(如http、SSH、telnet、terminal和ftp用戶)的缺省域，缺省為本地認(rèn)證。

用戶所屬的域是由域分隔符后的字符串來(lái)決定的。域分隔符可以是為“@”、“|”、“%”等符號(hào)，如user@huawei就表示屬于huawei域。如果用戶名中沒(méi)有帶@，就屬于系統(tǒng)缺省的default域。

自定義的域可以同時(shí)被配置成全局缺省普通域和全局缺省管理域。但域下配置的授權(quán)信息較AAA服務(wù)器的授權(quán)信息優(yōu)先級(jí)低，即優(yōu)先使用AAA服務(wù)器下發(fā)的授權(quán)屬性，在AAA服務(wù)器無(wú)該項(xiàng)授權(quán)或不支持該項(xiàng)授權(quán)時(shí)域的授權(quán)屬性才生效。當(dāng)然通常是兩者配置的授權(quán)屬性一致。

三、RADIUS協(xié)議

RADIUS最初僅是針對(duì)撥號(hào)用戶的AAA協(xié)議，后來(lái)隨著用戶接入方式的多樣性，RADIUS也適應(yīng)多種用戶接入方式，如以太網(wǎng)接入，ADSL接入。它通過(guò)認(rèn)證授權(quán)來(lái)提供接入服務(wù)，通過(guò)計(jì)費(fèi)來(lái)收集、記錄用戶對(duì)網(wǎng)絡(luò)資源的使用。該協(xié)議定義了基于UDP的RADIUS幀格式及其消息傳輸機(jī)制，并規(guī)定UDP端口1812、1813分別作為認(rèn)證(包括授權(quán))、計(jì)費(fèi)端口。

1、RADIUS服務(wù)器

RADIUS服務(wù)器程序一般運(yùn)行在中心計(jì)算機(jī)或工作站上，維護(hù)相關(guān)的用戶認(rèn)證和網(wǎng)絡(luò)服務(wù)訪問(wèn)信息，負(fù)責(zé)接收用戶連接請(qǐng)求并認(rèn)證用戶，然后給客戶端返回所有需要的信息(如接受/拒絕認(rèn)證請(qǐng)求)。RADIUS服務(wù)器通常要維護(hù)以下3個(gè)數(shù)據(jù)庫(kù)：

(1)Users：用于存儲(chǔ)用戶信息(如用戶名、口令以及使用的協(xié)議、IP地址等配置信息)。

(2)Clients：用于存儲(chǔ)RADIUS客戶端的信息(如接入設(shè)備的共享秘鑰、IP地址等)。

(3)Dictionary：用于存儲(chǔ)RADIUS協(xié)議中的屬性和屬性值含義的信息。

2、RADIUS客戶端

RADIUS客戶端程序一般位于網(wǎng)絡(luò)接入服務(wù)器NAS(Network Access Server)設(shè)備上，可以遍布整個(gè)網(wǎng)絡(luò)，負(fù)責(zé)傳輸各個(gè)接入網(wǎng)絡(luò)用戶信息到指定的RADIUS服務(wù)器，然后根據(jù)從RADIUS服務(wù)器返回的信息進(jìn)行相應(yīng)處理(如接受/拒絕用戶接入)。

3、安全機(jī)制

RADIUS客戶端和RADIUS服務(wù)器之間認(rèn)證消息的交互是通過(guò)共享秘鑰來(lái)對(duì)傳輸數(shù)據(jù)加密的，但共享秘鑰不通過(guò)網(wǎng)絡(luò)來(lái)傳輸，增強(qiáng)了信息交互的安全性。

4、認(rèn)證和計(jì)費(fèi)消息流程

RADIUS客戶端與服務(wù)器間的信息交互流程如下圖：

(1)用戶訪問(wèn)RADIUS客戶端設(shè)備時(shí)，會(huì)按照提示輸入用戶名和密碼，發(fā)送給客戶設(shè)備。

(2)客戶端設(shè)備在收到用戶發(fā)來(lái)的用戶名和密碼信息向RADIUS服務(wù)器發(fā)送認(rèn)證請(qǐng)求。

(3)RADIUS服務(wù)器接收到合法的請(qǐng)求后，完成認(rèn)證，并把所需的用戶授權(quán)信息返回給接入設(shè)備;對(duì)于非法的請(qǐng)求，RADIUS服務(wù)器返回認(rèn)證失敗的信息給客戶端設(shè)備。

RADIUS計(jì)費(fèi)的信息交互流程和認(rèn)證/授權(quán)的信息交互流程類似。

四、HWTACACS協(xié)議

HWTACACS是在TACACS(RFC1492)基礎(chǔ)上進(jìn)行了功能增強(qiáng)的安全協(xié)議。該協(xié)議與RADIUS協(xié)議類似，也是采用C/S模式實(shí)現(xiàn)NAS與HWTACACS服務(wù)器之間的通信。

HWTACACS協(xié)議主要用于點(diǎn)對(duì)點(diǎn)協(xié)議PPP和VPDN(VirtualPrivate Dial-up Network，虛擬私有撥號(hào)網(wǎng)絡(luò))接入用戶及終端用戶的認(rèn)證、授權(quán)和計(jì)費(fèi)。其典型應(yīng)用是對(duì)需要登錄到設(shè)備上進(jìn)行操作的終端用戶進(jìn)行認(rèn)證、授權(quán)和計(jì)費(fèi)。同樣，這時(shí)的設(shè)備是作為HWTACACS的客戶端，負(fù)責(zé)將用戶名和密碼發(fā)給HWTACACS服務(wù)器進(jìn)行驗(yàn)證。

HWTACACS協(xié)議與RADIUS協(xié)議都實(shí)現(xiàn)了認(rèn)證、授權(quán)、計(jì)費(fèi)功能，它們有很多相似點(diǎn)：結(jié)構(gòu)上都采用C/S模式，都使用公共秘鑰對(duì)傳輸?shù)挠脩粜畔⑦M(jìn)行加密。與RADIUS相比，HWTACACS具有更加可靠的傳輸和加密特性，更加適合于安全控制。

如何辦理AAA重合同守信用企業(yè)什么條件

如何辦理AAA重合同守信用企業(yè)什么條件如何辦理AAA重合同守信用企業(yè)什么條件我們的優(yōu)勢(shì)：1.我們保證證書真實(shí)有效，在發(fā)證單位網(wǎng)站上可查詢?！?p>

如何申請(qǐng)重合同守信用企業(yè)認(rèn)證什么條件

如何申請(qǐng)重合同守信用企業(yè)認(rèn)證什么條件如何申請(qǐng)重合同守信用企業(yè)認(rèn)證什么條件辦理公司榮譽(yù)證書的作用：1．促進(jìn)中小公司健康發(fā)展，培育、扶……

辦理信用等級(jí)AAA企業(yè)要多少錢

辦理信用等級(jí)AAA企業(yè)要多少錢辦理信用等級(jí)AAA企業(yè)要多少錢企業(yè)信用等級(jí)劃分及有效期1、中小企業(yè)信用等級(jí)劃分為A、B、C三等九級(jí)； 2、評(píng)價(jià)結(jié)……

怎么申請(qǐng)質(zhì)量服務(wù)誠(chéng)信AAA企業(yè)

怎么申請(qǐng)質(zhì)量服務(wù)誠(chéng)信AAA企業(yè)怎么申請(qǐng)質(zhì)量服務(wù)誠(chéng)信AAA企業(yè) 幫助企業(yè)辦理基本的認(rèn)證、證書、榮譽(yù)獎(jiǎng)項(xiàng)的、辦理的均可真是有效，網(wǎng)上可驗(yàn)證可……

中企認(rèn)證咨詢網(wǎng)積累了豐富的國(guó)際質(zhì)量認(rèn)證工作經(jīng)驗(yàn)，各項(xiàng)業(yè)務(wù)均成果卓著。始終以服務(wù)國(guó)家經(jīng)濟(jì)社會(huì)發(fā)展和提升人民生活品質(zhì)為己任，依托產(chǎn)品認(rèn)證(包括服務(wù)認(rèn)證、自愿性認(rèn)證)、管理體系認(rèn)證和認(rèn)證培訓(xùn)業(yè)務(wù)，著力開(kāi)展節(jié)能。在積極促進(jìn)國(guó)際貿(mào)易，調(diào)整經(jīng)濟(jì)結(jié)構(gòu)，保護(hù)消費(fèi)者安全健康，構(gòu)建社會(huì)誠(chéng)信體系，參與"兩型"社會(huì)建設(shè)等方面做出了積極貢獻(xiàn)。同時(shí)，自身獲得了跨越式發(fā)展，已成為業(yè)務(wù)門類全、服務(wù)網(wǎng)絡(luò)廣、工作手段新、技術(shù)力量強(qiáng)、人員素質(zhì)高的一流認(rèn)證機(jī)構(gòu)，可以方便快捷地為世界各地的客戶提供高效、優(yōu)質(zhì)的"一站式"服務(wù)。中企認(rèn)證咨詢網(wǎng)秉承"和諧、進(jìn)取、責(zé)任"的理念，正在朝著建立社會(huì)公信力高，有較強(qiáng)創(chuàng)新能力、市場(chǎng)競(jìng)爭(zhēng)能力和可持續(xù)發(fā)展能力，向業(yè)界有較高知名度的國(guó)際型認(rèn)證機(jī)構(gòu)的目標(biāo)努力前行，優(yōu)質(zhì)的服務(wù)、雄厚的技術(shù)力量、先進(jìn)的管理水平保障了中企認(rèn)證咨詢網(wǎng)業(yè)務(wù)的順利開(kāi)展，為順利實(shí)現(xiàn)中企認(rèn)證咨詢網(wǎng)的質(zhì)量目標(biāo)、為認(rèn)證機(jī)構(gòu)的品牌提供了有力保障。

中企認(rèn)證咨詢網(wǎng)專業(yè)從事ISO9001、ISO14001、OHSAS18001、IATF16949、ISO27001、ISO13485、ISO22000、HACCP、ISO20000、ISO45001、QC080000、GB/T50430、GB/T27922售后服務(wù)體系認(rèn)證、GB/T29490知識(shí)產(chǎn)權(quán)管理體系、ISO37001、ISO50001、ISO22163、兩化融合體系、系統(tǒng)集成資質(zhì)、十環(huán)認(rèn)證、SMETA、SEDEX、BSCI、SA8000、FSC、ICTI、GSV、C-TPAT、WRAP、EICC、GMP、GMPC、ETI、BRC、驗(yàn)廠咨詢、商務(wù)部信用等級(jí)、誠(chéng)信信用等級(jí)、ISO體系、CE、3C、AAA等認(rèn)證咨詢服務(wù)。認(rèn)證價(jià)格實(shí)惠，證書真實(shí)有效，認(rèn)監(jiān)委可查，如有疑問(wèn)，可點(diǎn)擊www.969111.cn了解詳情，竭誠(chéng)為您服務(wù)!