AAA是Authentication(認證)、Authorization(授權(quán))和Accounting(計費)的簡稱,是網(wǎng)絡(luò)安全的一種管理機制,提供了認證、授權(quán)、計費3種安全功能。同時提供本地認證/授權(quán)方式、RADIUS服務(wù)器認證/授權(quán)和計費方式、HWTACACS服務(wù)器認證/授權(quán)和計費三種AAA方案。后兩種可視為“委托認證/授權(quán)/計費”方式,因為這兩種方式中的認證/授權(quán)/計費功能的實現(xiàn)不是由本地設(shè)備完成的,而是所配置的遠程RADIUS服務(wù)器或HWTACACS服務(wù)器完成的。
AAA采用基于用戶(可以是所有用戶,也可以是特定用戶組中的用戶)進行認證、授權(quán)和計費的方案。
AAA基礎(chǔ)
AAA是Authentication(認證)、Authorization(授權(quán))和Accounting(計費)的簡稱,提供了認證、授權(quán)、計費3種安全功能。其中“認證”是用來驗證用戶是否可以獲得網(wǎng)絡(luò)訪問權(quán);“授權(quán)”是授權(quán)通過認證的用戶可以使用哪些服務(wù);“計費”是記錄通過認證的用戶使用網(wǎng)絡(luò)資源的情況。在實際網(wǎng)絡(luò)應(yīng)用中,可以只使用AAA提供的一種或兩種安全服務(wù)。
一、AAA的基本構(gòu)架
AAA是采用“客戶端/服務(wù)器”(C/S)結(jié)構(gòu),其中AAA客戶端(也稱網(wǎng)絡(luò)接入服務(wù)器——NAS)就是使能了AAA功能的網(wǎng)絡(luò)設(shè)備(可以是網(wǎng)絡(luò)中任意一臺設(shè)備,不一定是接入設(shè)備,而且可以在網(wǎng)絡(luò)中多個設(shè)備上使能),而AAA服務(wù)器就是專門用來認證、授權(quán)和計費的服務(wù)器(可以由服務(wù)器主機配置,也可以由提供了對應(yīng)服務(wù)器功能的網(wǎng)絡(luò)設(shè)備上配置)
在設(shè)備上使能了AAA功能后,當用戶要通過AAA客戶端訪問某個網(wǎng)絡(luò)前,需要先從AAA服務(wù)器中獲得訪問該網(wǎng)絡(luò)的權(quán)限。但這個任務(wù)通常不是由擔當AAA客戶端的設(shè)備自己來完成的,而是通過設(shè)備把用戶的認證、授權(quán)、計費信息發(fā)送給AAA服務(wù)器來完成的。當然,如果在擔當AAA客戶端的設(shè)備上同時配置了相應(yīng)的AAA服務(wù)器功能,則此時客戶端和服務(wù)器端就為一體了,這時實現(xiàn)的是AAA本地認證和授權(quán)(本地方式不提供計費功能)了。
1、AAA認證
華為的AAA功能支持以下認證方式:
(1)不認證:對用戶非常信任,不對其進行合法檢查,一般情況下不采用這種方式。
(2)本地認證:將用戶信息配置在本地設(shè)備上。本地認證的優(yōu)點是速度快,可以為運營商降低成本,缺點是存儲信息量受設(shè)備硬件條件限制。
(3)遠程認證:將用戶信息配置在AAA認證服務(wù)器上。支持通過RADIUS(Remote Authentication Dial In User Service,遠程認證撥入用戶服務(wù))協(xié)議或HWTACACS(HuaWei Terminal Access Controller Access Control System,華為終端訪問控制系統(tǒng))協(xié)議進行遠程認證。
2、AAA授權(quán)
華為的AAA功能支持3種授權(quán)方式:
(1)不授權(quán):不對用戶進行授權(quán)處理。
(2)本地授權(quán):根據(jù)本地設(shè)備為本地用戶賬號配置的相關(guān)屬性(如允許使用的接入服務(wù)類型和FTP訪問目錄等)進行授權(quán)。
(3)遠程授權(quán):由HWTACACS、RADIUS等服務(wù)器對用戶進行遠程授權(quán)。
3、計費
華為的AAA功能支持2種計費方式(不支持本地計費方式):
(1)不計費:不對用戶計費。
(2)計費:設(shè)備將計費報文送往HWTACACS、RADIUS服務(wù)器,由HWTACACS、RADIUS服務(wù)器完成對用戶的計費。
二、AAA基于域的用戶管理
華為交換機通過域來進行AAA用戶管理,每個域下可以應(yīng)用不同的認證、授權(quán)和計費方案,以及RADIUS或者HWTACACS服務(wù)器模板,相當于對用戶進行分類管理。屬于域中的用戶通過在該域中應(yīng)用的認證、授權(quán)和計費方案進行認證、授權(quán)和計費。所以后面的AAA方案配置中,一定要在對應(yīng)的域下被綁定、應(yīng)用才能對具體用戶生效。
缺省情況下,設(shè)備存在配置名為default和default_admin兩個域,全局缺省普通域為default,全局缺省管理域為default_admin。兩個域均不能刪除,只能修改。當無法確認接入用戶的域時使用缺省域,default域為接入用戶的缺省域,缺省為本地認證;default_admin域為管理員賬戶(如http、SSH、telnet、terminal和ftp用戶)的缺省域,缺省為本地認證。
用戶所屬的域是由域分隔符后的字符串來決定的。域分隔符可以是為“@”、“|”、“%”等符號,如user@huawei就表示屬于huawei域。如果用戶名中沒有帶@,就屬于系統(tǒng)缺省的default域。
自定義的域可以同時被配置成全局缺省普通域和全局缺省管理域。但域下配置的授權(quán)信息較AAA服務(wù)器的授權(quán)信息優(yōu)先級低,即優(yōu)先使用AAA服務(wù)器下發(fā)的授權(quán)屬性,在AAA服務(wù)器無該項授權(quán)或不支持該項授權(quán)時域的授權(quán)屬性才生效。當然通常是兩者配置的授權(quán)屬性一致。
三、RADIUS協(xié)議
RADIUS最初僅是針對撥號用戶的AAA協(xié)議,后來隨著用戶接入方式的多樣性,RADIUS也適應(yīng)多種用戶接入方式,如以太網(wǎng)接入,ADSL接入。它通過認證授權(quán)來提供接入服務(wù),通過計費來收集、記錄用戶對網(wǎng)絡(luò)資源的使用。該協(xié)議定義了基于UDP的RADIUS幀格式及其消息傳輸機制,并規(guī)定UDP端口1812、1813分別作為認證(包括授權(quán))、計費端口。
1、RADIUS服務(wù)器
RADIUS服務(wù)器程序一般運行在中心計算機或工作站上,維護相關(guān)的用戶認證和網(wǎng)絡(luò)服務(wù)訪問信息,負責接收用戶連接請求并認證用戶,然后給客戶端返回所有需要的信息(如接受/拒絕認證請求)。RADIUS服務(wù)器通常要維護以下3個數(shù)據(jù)庫:
(1)Users:用于存儲用戶信息(如用戶名、口令以及使用的協(xié)議、IP地址等配置信息)。
(2)Clients:用于存儲RADIUS客戶端的信息(如接入設(shè)備的共享秘鑰、IP地址等)。
(3)Dictionary:用于存儲RADIUS協(xié)議中的屬性和屬性值含義的信息。
2、RADIUS客戶端
RADIUS客戶端程序一般位于網(wǎng)絡(luò)接入服務(wù)器NAS(Network Access Server)設(shè)備上,可以遍布整個網(wǎng)絡(luò),負責傳輸各個接入網(wǎng)絡(luò)用戶信息到指定的RADIUS服務(wù)器,然后根據(jù)從RADIUS服務(wù)器返回的信息進行相應(yīng)處理(如接受/拒絕用戶接入)。
3、安全機制
RADIUS客戶端和RADIUS服務(wù)器之間認證消息的交互是通過共享秘鑰來對傳輸數(shù)據(jù)加密的,但共享秘鑰不通過網(wǎng)絡(luò)來傳輸,增強了信息交互的安全性。
4、認證和計費消息流程
RADIUS客戶端與服務(wù)器間的信息交互流程如下圖:
(1)用戶訪問RADIUS客戶端設(shè)備時,會按照提示輸入用戶名和密碼,發(fā)送給客戶設(shè)備。
(2)客戶端設(shè)備在收到用戶發(fā)來的用戶名和密碼信息向RADIUS服務(wù)器發(fā)送認證請求。
(3)RADIUS服務(wù)器接收到合法的請求后,完成認證,并把所需的用戶授權(quán)信息返回給接入設(shè)備;對于非法的請求,RADIUS服務(wù)器返回認證失敗的信息給客戶端設(shè)備。
RADIUS計費的信息交互流程和認證/授權(quán)的信息交互流程類似。
四、HWTACACS協(xié)議
HWTACACS是在TACACS(RFC1492)基礎(chǔ)上進行了功能增強的安全協(xié)議。該協(xié)議與RADIUS協(xié)議類似,也是采用C/S模式實現(xiàn)NAS與HWTACACS服務(wù)器之間的通信。
HWTACACS協(xié)議主要用于點對點協(xié)議PPP和VPDN(VirtualPrivate Dial-up Network,虛擬私有撥號網(wǎng)絡(luò))接入用戶及終端用戶的認證、授權(quán)和計費。其典型應(yīng)用是對需要登錄到設(shè)備上進行操作的終端用戶進行認證、授權(quán)和計費。同樣,這時的設(shè)備是作為HWTACACS的客戶端,負責將用戶名和密碼發(fā)給HWTACACS服務(wù)器進行驗證。
HWTACACS協(xié)議與RADIUS協(xié)議都實現(xiàn)了認證、授權(quán)、計費功能,它們有很多相似點:結(jié)構(gòu)上都采用C/S模式,都使用公共秘鑰對傳輸?shù)挠脩粜畔⑦M行加密。與RADIUS相比,HWTACACS具有更加可靠的傳輸和加密特性,更加適合于安全控制。
如何辦理AAA重合同守信用企業(yè)什么條件如何辦理AAA重合同守信用企業(yè)什么條件我們的優(yōu)勢:1.我們保證證書真實有效,在發(fā)證單位網(wǎng)站上可查詢?!?p>
如何申請重合同守信用企業(yè)認證什么條件如何申請重合同守信用企業(yè)認證什么條件辦理公司榮譽證書的作用:1.促進中小公司健康發(fā)展,培育、扶……
辦理信用等級AAA企業(yè)要多少錢辦理信用等級AAA企業(yè)要多少錢企業(yè)信用等級劃分及有效期1、中小企業(yè)信用等級劃分為A、B、C三等九級; 2、評價結(jié)……
怎么申請質(zhì)量服務(wù)誠信AAA企業(yè)怎么申請質(zhì)量服務(wù)誠信AAA企業(yè) 幫助企業(yè)辦理基本的認證、證書、榮譽獎項的、辦理的均可真是有效,網(wǎng)上可驗證可……
中企認證咨詢網(wǎng)積累了豐富的國際質(zhì)量認證工作經(jīng)驗,各項業(yè)務(wù)均成果卓著。始終以服務(wù)國家經(jīng)濟社會發(fā)展和提升人民生活品質(zhì)為己任,依托產(chǎn)品認證(包括服務(wù)認證、自愿性認證)、管理體系認證和認證培訓(xùn)業(yè)務(wù),著力開展節(jié)能。在積極促進國際貿(mào)易,調(diào)整經(jīng)濟結(jié)構(gòu),保護消費者安全健康,構(gòu)建社會誠信體系,參與"兩型"社會建設(shè)等方面做出了積極貢獻。同時,自身獲得了跨越式發(fā)展,已成為業(yè)務(wù)門類全、服務(wù)網(wǎng)絡(luò)廣、工作手段新、技術(shù)力量強、人員素質(zhì)高的一流認證機構(gòu),可以方便快捷地為世界各地的客戶提供高效、優(yōu)質(zhì)的"一站式"服務(wù)。中企認證咨詢網(wǎng)秉承"和諧、進取、責任"的理念,正在朝著建立社會公信力高,有較強創(chuàng)新能力、市場競爭能力和可持續(xù)發(fā)展能力,向業(yè)界有較高知名度的國際型認證機構(gòu)的目標努力前行,優(yōu)質(zhì)的服務(wù)、雄厚的技術(shù)力量、先進的管理水平保障了中企認證咨詢網(wǎng)業(yè)務(wù)的順利開展,為順利實現(xiàn)中企認證咨詢網(wǎng)的質(zhì)量目標、為認證機構(gòu)的品牌提供了有力保障。
中企認證咨詢網(wǎng)專業(yè)從事ISO9001、ISO14001、OHSAS18001、IATF16949、ISO27001、ISO13485、ISO22000、HACCP、ISO20000、ISO45001、QC080000、GB/T50430、GB/T27922售后服務(wù)體系認證、GB/T29490知識產(chǎn)權(quán)管理體系、ISO37001、ISO50001、ISO22163、兩化融合體系、系統(tǒng)集成資質(zhì)、十環(huán)認證、SMETA、SEDEX、BSCI、SA8000、FSC、ICTI、GSV、C-TPAT、WRAP、EICC、GMP、GMPC、ETI、BRC、驗廠咨詢、商務(wù)部信用等級、誠信信用等級、ISO體系、CE、3C、AAA等認證咨詢服務(wù)。認證價格實惠,證書真實有效,認監(jiān)委可查,如有疑問,可點擊kaotong66.com了解詳情,竭誠為您服務(wù)!
本文內(nèi)容整合網(wǎng)站:百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局、國家認證認可監(jiān)督管理委員會、質(zhì)量認證中心
本文標題:aaa認證支持哪三種認證方式
本文地址:http://kaotong66.com/isos/202311/zs_8325.html