?

AAA是網(wǎng)絡(luò)訪問(wèn)控制的一種安全管理框架，它決定哪些的用戶能夠訪問(wèn)網(wǎng)絡(luò)，以及用戶能夠訪問(wèn)哪些資源或者得到哪些服務(wù)。本文從AAA的三要素、工作原理、使用的協(xié)議和應(yīng)用這幾個(gè)方面展開(kāi)介紹。

目錄

AAA的三個(gè)要素AAA是如何工作的？
AAA協(xié)議有哪些？
AAA有哪些應(yīng)用？

AAA的三個(gè)要素

第一個(gè)A：認(rèn)證

認(rèn)證用來(lái)識(shí)別訪問(wèn)網(wǎng)絡(luò)的用戶的身份，判斷訪問(wèn)者是否為合法的用戶。

 認(rèn)證 

AAA服務(wù)器將用戶的身份驗(yàn)證憑據(jù)與存儲(chǔ)在數(shù)據(jù)庫(kù)中的用戶憑據(jù)進(jìn)行比較。如果憑據(jù)匹配，則身份認(rèn)證成功，并且授予用戶訪問(wèn)網(wǎng)絡(luò)的權(quán)限。如果憑據(jù)不匹配，則身份認(rèn)證失敗，并且網(wǎng)絡(luò)訪問(wèn)將被拒絕。用戶的身份認(rèn)證憑據(jù)通常使用：

• 密碼
• 用戶名和密碼
• 數(shù)字證書(shū)

第二個(gè)A：授權(quán)

授權(quán)是指對(duì)不同用戶賦予不同的權(quán)限，限制用戶可以使用的服務(wù)。

授權(quán) 

用戶身份認(rèn)證成功之后，通過(guò)授權(quán)來(lái)確定：

• 用戶能夠使用的命令
• 用戶能夠訪問(wèn)的資源
• 用戶能夠獲取的信息

授權(quán)的基本原則是最小特權(quán)原則，即僅授予用戶執(zhí)行其所需功能時(shí)必須的權(quán)限，以此來(lái)防范任何輕率的授權(quán)可能導(dǎo)致的意外或惡意的網(wǎng)絡(luò)行為。(歡迎關(guān)注公眾號(hào)：網(wǎng)絡(luò)工程師阿龍）

第三個(gè)A：計(jì)費(fèi)

計(jì)費(fèi)用來(lái)記錄用戶使用網(wǎng)絡(luò)服務(wù)過(guò)程中的相關(guān)操作，簡(jiǎn)單說(shuō)就是：什么人、什么時(shí)間、做了什么事。

計(jì)費(fèi) 

記錄的內(nèi)容包括使用的服務(wù)類型、起始時(shí)間、數(shù)據(jù)流量等，用于收集和記錄用戶對(duì)網(wǎng)絡(luò)資源的使用情況，并可以實(shí)現(xiàn)針對(duì)時(shí)間、流量的計(jì)費(fèi)需求，也對(duì)網(wǎng)絡(luò)起到監(jiān)控作用。

AAA是如何工作的？

AAA采用客戶端/服務(wù)器結(jié)構(gòu)，這種結(jié)構(gòu)簡(jiǎn)單、擴(kuò)展性好，且便于集中管理用戶信息。

AAA基本框架 

如上圖所示，AAA的基本實(shí)現(xiàn)流程如下：

• 用戶訪問(wèn)網(wǎng)絡(luò)前，首先與AAA客戶端建立連接。
• AAA客戶端負(fù)責(zé)把用戶驗(yàn)證憑據(jù)傳遞給AAA服務(wù)器。
• AAA服務(wù)器根據(jù)用戶認(rèn)證憑據(jù)進(jìn)行認(rèn)證和授權(quán)，并將認(rèn)證和授權(quán)結(jié)果返回給AAA客戶端。
• AAA客戶端根據(jù)服務(wù)器的返回結(jié)果判斷是否允許用戶接入。其中：
• AAA客戶端運(yùn)行在NAS設(shè)備（網(wǎng)絡(luò)接入服務(wù)器）上，NAS設(shè)備可以是路由器、交換機(jī)等為用戶提供入網(wǎng)服務(wù)的設(shè)備。
• AAA服務(wù)器是認(rèn)證服務(wù)器、授權(quán)服務(wù)器和計(jì)費(fèi)服務(wù)器的統(tǒng)稱，負(fù)責(zé)集中管理用戶信息。根據(jù)AAA使用的通信協(xié)議的不同，AAA服務(wù)器可以分為RADIUS服務(wù)器、TACACS服務(wù)器等。

AAA協(xié)議有哪些？

AAA可以通過(guò)多種協(xié)議實(shí)現(xiàn)認(rèn)證、授權(quán)和計(jì)費(fèi)。

RADIUS

遠(yuǎn)程身份驗(yàn)證撥號(hào)用戶服務(wù)RADIUS（Remote Authentication Dial-In User Service）是標(biāo)準(zhǔn)協(xié)議，基本所有主流設(shè)備廠商都支持，所以在實(shí)際網(wǎng)絡(luò)中應(yīng)用最多。

RADIUS協(xié)議可分為認(rèn)證協(xié)議和計(jì)費(fèi)協(xié)議，分別通過(guò)IETF RFC 2865和RFC 2866定義。由于定義RADIUS協(xié)議的時(shí)間早于AAA框架模型，所以RADIUS協(xié)議并沒(méi)有將認(rèn)證和授權(quán)分開(kāi)，而是將認(rèn)證和授權(quán)在同一個(gè)流程中進(jìn)行處理。因此，使用RADIUS協(xié)議實(shí)現(xiàn)AAA時(shí)，用戶可能無(wú)法知道被拒絕訪問(wèn)的原因是由于密碼錯(cuò)誤還是因?yàn)闆](méi)有權(quán)限。

TACACS、TACACS 和HWTACACS

終端訪問(wèn)控制器控制系統(tǒng)TACACS（Terminal Access Controller Access-Control System），是一種起源于二十世紀(jì)八十年代的AAA協(xié)議。在之后的發(fā)展中，各廠商在TACACS協(xié)議的基礎(chǔ)上進(jìn)行了擴(kuò)展，例如思科公司開(kāi)發(fā)的TACACS 和華為公司開(kāi)發(fā)的HWTACACS。TACACS 和HWTACACS均為私有協(xié)議，在發(fā)展過(guò)程中逐步替代了原來(lái)的TACACS協(xié)議，并且不再兼容TACACS協(xié)議。

HWTACACS協(xié)議可以兼容TACACS 協(xié)議，HWTACACS協(xié)議與TACACS 協(xié)議定義的報(bào)文結(jié)構(gòu)和報(bào)文類型一致，主要區(qū)別在于授權(quán)和計(jì)費(fèi)報(bào)文中攜帶的屬性含義或類型不完全相同。

與RADIUS協(xié)議相比，HWTACACS或TACACS 更加適用于登錄用戶（例如STelnet用戶）的身份認(rèn)證場(chǎng)景。這是由于它在數(shù)據(jù)傳輸、加密上安全性更高，同時(shí)能夠提供命令行鑒權(quán)、事件記錄等優(yōu)勢(shì)功能。

LDAP和AD