AAA是Authentication(認證)、Authorization(授權(quán))和Accounting(計費)的簡稱,是網(wǎng)絡安全的一種管理機制,提供了認證、授權(quán)、計費3種安全功能。同時提供本地認證/授權(quán)方式、RADIUS服務器認證/授權(quán)和計費方式、HWTACACS服務器認證/授權(quán)和計費三種AAA方案。后兩種可視為“委托認證/授權(quán)/計費”方式,因為這兩種方式中的認證/授權(quán)/計費功能的實現(xiàn)不是由本地設備完成的,而是所配置的遠程RADIUS服務器或HWTACACS服務器完成的。
AAA采用基于用戶(可以是所有用戶,也可以是特定用戶組中的用戶)進行認證、授權(quán)和計費的方案。
AAA基礎
AAA是Authentication(認證)、Authorization(授權(quán))和Accounting(計費)的簡稱,提供了認證、授權(quán)、計費3種安全功能。其中“認證”是用來驗證用戶是否可以獲得網(wǎng)絡訪問權(quán);“授權(quán)”是授權(quán)通過認證的用戶可以使用哪些服務;“計費”是記錄通過認證的用戶使用網(wǎng)絡資源的情況。在實際網(wǎng)絡應用中,可以只使用AAA提供的一種或兩種安全服務。
一、AAA的基本構(gòu)架
AAA是采用“客戶端/服務器”(C/S)結(jié)構(gòu),其中AAA客戶端(也稱網(wǎng)絡接入服務器——NAS)就是使能了AAA功能的網(wǎng)絡設備(可以是網(wǎng)絡中任意一臺設備,不一定是接入設備,而且可以在網(wǎng)絡中多個設備上使能),而AAA服務器就是專門用來認證、授權(quán)和計費的服務器(可以由服務器主機配置,也可以由提供了對應服務器功能的網(wǎng)絡設備上配置)
在設備上使能了AAA功能后,當用戶要通過AAA客戶端訪問某個網(wǎng)絡前,需要先從AAA服務器中獲得訪問該網(wǎng)絡的權(quán)限。但這個任務通常不是由擔當AAA客戶端的設備自己來完成的,而是通過設備把用戶的認證、授權(quán)、計費信息發(fā)送給AAA服務器來完成的。當然,如果在擔當AAA客戶端的設備上同時配置了相應的AAA服務器功能,則此時客戶端和服務器端就為一體了,這時實現(xiàn)的是AAA本地認證和授權(quán)(本地方式不提供計費功能)了。
1、AAA認證
華為的AAA功能支持以下認證方式:
(1)不認證:對用戶非常信任,不對其進行合法檢查,一般情況下不采用這種方式。
(2)本地認證:將用戶信息配置在本地設備上。本地認證的優(yōu)點是速度快,可以為運營商降低成本,缺點是存儲信息量受設備硬件條件限制。
(3)遠程認證:將用戶信息配置在AAA認證服務器上。支持通過RADIUS(Remote Authentication Dial In User Service,遠程認證撥入用戶服務)協(xié)議或HWTACACS(HuaWei Terminal Access Controller Access Control System,華為終端訪問控制系統(tǒng))協(xié)議進行遠程認證。
2、AAA授權(quán)
華為的AAA功能支持3種授權(quán)方式:
(1)不授權(quán):不對用戶進行授權(quán)處理。
(2)本地授權(quán):根據(jù)本地設備為本地用戶賬號配置的相關(guān)屬性(如允許使用的接入服務類型和FTP訪問目錄等)進行授權(quán)。
(3)遠程授權(quán):由HWTACACS、RADIUS等服務器對用戶進行遠程授權(quán)。
3、計費
華為的AAA功能支持2種計費方式(不支持本地計費方式):
(1)不計費:不對用戶計費。
(2)計費:設備將計費報文送往HWTACACS、RADIUS服務器,由HWTACACS、RADIUS服務器完成對用戶的計費。
二、AAA基于域的用戶管理
華為交換機通過域來進行AAA用戶管理,每個域下可以應用不同的認證、授權(quán)和計費方案,以及RADIUS或者HWTACACS服務器模板,相當于對用戶進行分類管理。屬于域中的用戶通過在該域中應用的認證、授權(quán)和計費方案進行認證、授權(quán)和計費。所以后面的AAA方案配置中,一定要在對應的域下被綁定、應用才能對具體用戶生效。
缺省情況下,設備存在配置名為default和default_admin兩個域,全局缺省普通域為default,全局缺省管理域為default_admin。兩個域均不能刪除,只能修改。當無法確認接入用戶的域時使用缺省域,default域為接入用戶的缺省域,缺省為本地認證;default_admin域為管理員賬戶(如http、SSH、telnet、terminal和ftp用戶)的缺省域,缺省為本地認證。
用戶所屬的域是由域分隔符后的字符串來決定的。域分隔符可以是為“@”、“|”、“%”等符號,如user@huawei就表示屬于huawei域。如果用戶名中沒有帶@,就屬于系統(tǒng)缺省的default域。
自定義的域可以同時被配置成全局缺省普通域和全局缺省管理域。但域下配置的授權(quán)信息較AAA服務器的授權(quán)信息優(yōu)先級低,即優(yōu)先使用AAA服務器下發(fā)的授權(quán)屬性,在AAA服務器無該項授權(quán)或不支持該項授權(quán)時域的授權(quán)屬性才生效。當然通常是兩者配置的授權(quán)屬性一致。
三、RADIUS協(xié)議
RADIUS最初僅是針對撥號用戶的AAA協(xié)議,后來隨著用戶接入方式的多樣性,RADIUS也適應多種用戶接入方式,如以太網(wǎng)接入,ADSL接入。它通過認證授權(quán)來提供接入服務,通過計費來收集、記錄用戶對網(wǎng)絡資源的使用。該協(xié)議定義了基于UDP的RADIUS幀格式及其消息傳輸機制,并規(guī)定UDP端口1812、1813分別作為認證(包括授權(quán))、計費端口。
1、RADIUS服務器
RADIUS服務器程序一般運行在中心計算機或工作站上,維護相關(guān)的用戶認證和網(wǎng)絡服務訪問信息,負責接收用戶連接請求并認證用戶,然后給客戶端返回所有需要的信息(如接受/拒絕認證請求)。RADIUS服務器通常要維護以下3個數(shù)據(jù)庫:
(1)Users:用于存儲用戶信息(如用戶名、口令以及使用的協(xié)議、IP地址等配置信息)。
(2)Clients:用于存儲RADIUS客戶端的信息(如接入設備的共享秘鑰、IP地址等)。
(3)Dictionary:用于存儲RADIUS協(xié)議中的屬性和屬性值含義的信息。
2、RADIUS客戶端
RADIUS客戶端程序一般位于網(wǎng)絡接入服務器NAS(Network Access Server)設備上,可以遍布整個網(wǎng)絡,負責傳輸各個接入網(wǎng)絡用戶信息到指定的RADIUS服務器,然后根據(jù)從RADIUS服務器返回的信息進行相應處理(如接受/拒絕用戶接入)。
3、安全機制
RADIUS客戶端和RADIUS服務器之間認證消息的交互是通過共享秘鑰來對傳輸數(shù)據(jù)加密的,但共享秘鑰不通過網(wǎng)絡來傳輸,增強了信息交互的安全性。
4、認證和計費消息流程
RADIUS客戶端與服務器間的信息交互流程如下圖:
(1)用戶訪問RADIUS客戶端設備時,會按照提示輸入用戶名和密碼,發(fā)送給客戶設備。
(2)客戶端設備在收到用戶發(fā)來的用戶名和密碼信息向RADIUS服務器發(fā)送認證請求。
(3)RADIUS服務器接收到合法的請求后,完成認證,并把所需的用戶授權(quán)信息返回給接入設備;對于非法的請求,RADIUS服務器返回認證失敗的信息給客戶端設備。
RADIUS計費的信息交互流程和認證/授權(quán)的信息交互流程類似。
四、HWTACACS協(xié)議
HWTACACS是在TACACS(RFC1492)基礎上進行了功能增強的安全協(xié)議。該協(xié)議與RADIUS協(xié)議類似,也是采用C/S模式實現(xiàn)NAS與HWTACACS服務器之間的通信。
HWTACACS協(xié)議主要用于點對點協(xié)議PPP和VPDN(VirtualPrivate Dial-up Network,虛擬私有撥號網(wǎng)絡)接入用戶及終端用戶的認證、授權(quán)和計費。其典型應用是對需要登錄到設備上進行操作的終端用戶進行認證、授權(quán)和計費。同樣,這時的設備是作為HWTACACS的客戶端,負責將用戶名和密碼發(fā)給HWTACACS服務器進行驗證。
HWTACACS協(xié)議與RADIUS協(xié)議都實現(xiàn)了認證、授權(quán)、計費功能,它們有很多相似點:結(jié)構(gòu)上都采用C/S模式,都使用公共秘鑰對傳輸?shù)挠脩粜畔⑦M行加密。與RADIUS相比,HWTACACS具有更加可靠的傳輸和加密特性,更加適合于安全控制。
如何辦理AAA重合同守信用企業(yè)什么條件如何辦理AAA重合同守信用企業(yè)什么條件我們的優(yōu)勢:1.我們保證證書真實有效,在發(fā)證單位網(wǎng)站上可查詢?!?p>
如何申請重合同守信用企業(yè)認證什么條件如何申請重合同守信用企業(yè)認證什么條件辦理公司榮譽證書的作用:1.促進中小公司健康發(fā)展,培育、扶……
辦理信用等級AAA企業(yè)要多少錢辦理信用等級AAA企業(yè)要多少錢企業(yè)信用等級劃分及有效期1、中小企業(yè)信用等級劃分為A、B、C三等九級; 2、評價結(jié)……
怎么申請質(zhì)量服務誠信AAA企業(yè)怎么申請質(zhì)量服務誠信AAA企業(yè) 幫助企業(yè)辦理基本的認證、證書、榮譽獎項的、辦理的均可真是有效,網(wǎng)上可驗證可……
中企認證咨詢網(wǎng)積累了豐富的國際質(zhì)量認證工作經(jīng)驗,各項業(yè)務均成果卓著。始終以服務國家經(jīng)濟社會發(fā)展和提升人民生活品質(zhì)為己任,依托產(chǎn)品認證(包括服務認證、自愿性認證)、管理體系認證和認證培訓業(yè)務,著力開展節(jié)能。在積極促進國際貿(mào)易,調(diào)整經(jīng)濟結(jié)構(gòu),保護消費者安全健康,構(gòu)建社會誠信體系,參與"兩型"社會建設等方面做出了積極貢獻。同時,自身獲得了跨越式發(fā)展,已成為業(yè)務門類全、服務網(wǎng)絡廣、工作手段新、技術(shù)力量強、人員素質(zhì)高的一流認證機構(gòu),可以方便快捷地為世界各地的客戶提供高效、優(yōu)質(zhì)的"一站式"服務。中企認證咨詢網(wǎng)秉承"和諧、進取、責任"的理念,正在朝著建立社會公信力高,有較強創(chuàng)新能力、市場競爭能力和可持續(xù)發(fā)展能力,向業(yè)界有較高知名度的國際型認證機構(gòu)的目標努力前行,優(yōu)質(zhì)的服務、雄厚的技術(shù)力量、先進的管理水平保障了中企認證咨詢網(wǎng)業(yè)務的順利開展,為順利實現(xiàn)中企認證咨詢網(wǎng)的質(zhì)量目標、為認證機構(gòu)的品牌提供了有力保障。
中企認證咨詢網(wǎng)專業(yè)從事ISO9001、ISO14001、OHSAS18001、IATF16949、ISO27001、ISO13485、ISO22000、HACCP、ISO20000、ISO45001、QC080000、GB/T50430、GB/T27922售后服務體系認證、GB/T29490知識產(chǎn)權(quán)管理體系、ISO37001、ISO50001、ISO22163、兩化融合體系、系統(tǒng)集成資質(zhì)、十環(huán)認證、SMETA、SEDEX、BSCI、SA8000、FSC、ICTI、GSV、C-TPAT、WRAP、EICC、GMP、GMPC、ETI、BRC、驗廠咨詢、商務部信用等級、誠信信用等級、ISO體系、CE、3C、AAA等認證咨詢服務。認證價格實惠,證書真實有效,認監(jiān)委可查,如有疑問,可點擊www.969111.cn了解詳情,竭誠為您服務!
本文內(nèi)容整合網(wǎng)站:百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局、國家認證認可監(jiān)督管理委員會、質(zhì)量認證中心
本文標題:aaa認證支持哪三種認證方式
本文地址:http://www.969111.cn/isos/202311/zs_8325.html