AAA是Authentication(認(rèn)證)、Authorization(授權(quán))和Accounting(計(jì)費(fèi))的簡(jiǎn)稱(chēng),是網(wǎng)絡(luò)安全的一種管理機(jī)制,提供了認(rèn)證、授權(quán)、計(jì)費(fèi)3種安全功能。同時(shí)提供本地認(rèn)證/授權(quán)方式、RADIUS服務(wù)器認(rèn)證/授權(quán)和計(jì)費(fèi)方式、HWTACACS服務(wù)器認(rèn)證/授權(quán)和計(jì)費(fèi)三種AAA方案。后兩種可視為“委托認(rèn)證/授權(quán)/計(jì)費(fèi)”方式,因?yàn)檫@兩種方式中的認(rèn)證/授權(quán)/計(jì)費(fèi)功能的實(shí)現(xiàn)不是由本地設(shè)備完成的,而是所配置的遠(yuǎn)程RADIUS服務(wù)器或HWTACACS服務(wù)器完成的。
AAA采用基于用戶(hù)(可以是所有用戶(hù),也可以是特定用戶(hù)組中的用戶(hù))進(jìn)行認(rèn)證、授權(quán)和計(jì)費(fèi)的方案。
AAA基礎(chǔ)
AAA是Authentication(認(rèn)證)、Authorization(授權(quán))和Accounting(計(jì)費(fèi))的簡(jiǎn)稱(chēng),提供了認(rèn)證、授權(quán)、計(jì)費(fèi)3種安全功能。其中“認(rèn)證”是用來(lái)驗(yàn)證用戶(hù)是否可以獲得網(wǎng)絡(luò)訪(fǎng)問(wèn)權(quán);“授權(quán)”是授權(quán)通過(guò)認(rèn)證的用戶(hù)可以使用哪些服務(wù);“計(jì)費(fèi)”是記錄通過(guò)認(rèn)證的用戶(hù)使用網(wǎng)絡(luò)資源的情況。在實(shí)際網(wǎng)絡(luò)應(yīng)用中,可以只使用AAA提供的一種或兩種安全服務(wù)。
一、AAA的基本構(gòu)架
AAA是采用“客戶(hù)端/服務(wù)器”(C/S)結(jié)構(gòu),其中AAA客戶(hù)端(也稱(chēng)網(wǎng)絡(luò)接入服務(wù)器——NAS)就是使能了AAA功能的網(wǎng)絡(luò)設(shè)備(可以是網(wǎng)絡(luò)中任意一臺(tái)設(shè)備,不一定是接入設(shè)備,而且可以在網(wǎng)絡(luò)中多個(gè)設(shè)備上使能),而AAA服務(wù)器就是專(zhuān)門(mén)用來(lái)認(rèn)證、授權(quán)和計(jì)費(fèi)的服務(wù)器(可以由服務(wù)器主機(jī)配置,也可以由提供了對(duì)應(yīng)服務(wù)器功能的網(wǎng)絡(luò)設(shè)備上配置)
在設(shè)備上使能了AAA功能后,當(dāng)用戶(hù)要通過(guò)AAA客戶(hù)端訪(fǎng)問(wèn)某個(gè)網(wǎng)絡(luò)前,需要先從AAA服務(wù)器中獲得訪(fǎng)問(wèn)該網(wǎng)絡(luò)的權(quán)限。但這個(gè)任務(wù)通常不是由擔(dān)當(dāng)AAA客戶(hù)端的設(shè)備自己來(lái)完成的,而是通過(guò)設(shè)備把用戶(hù)的認(rèn)證、授權(quán)、計(jì)費(fèi)信息發(fā)送給AAA服務(wù)器來(lái)完成的。當(dāng)然,如果在擔(dān)當(dāng)AAA客戶(hù)端的設(shè)備上同時(shí)配置了相應(yīng)的AAA服務(wù)器功能,則此時(shí)客戶(hù)端和服務(wù)器端就為一體了,這時(shí)實(shí)現(xiàn)的是AAA本地認(rèn)證和授權(quán)(本地方式不提供計(jì)費(fèi)功能)了。
1、AAA認(rèn)證
華為的AAA功能支持以下認(rèn)證方式:
(1)不認(rèn)證:對(duì)用戶(hù)非常信任,不對(duì)其進(jìn)行合法檢查,一般情況下不采用這種方式。
(2)本地認(rèn)證:將用戶(hù)信息配置在本地設(shè)備上。本地認(rèn)證的優(yōu)點(diǎn)是速度快,可以為運(yùn)營(yíng)商降低成本,缺點(diǎn)是存儲(chǔ)信息量受設(shè)備硬件條件限制。
(3)遠(yuǎn)程認(rèn)證:將用戶(hù)信息配置在A(yíng)AA認(rèn)證服務(wù)器上。支持通過(guò)RADIUS(Remote Authentication Dial In User Service,遠(yuǎn)程認(rèn)證撥入用戶(hù)服務(wù))協(xié)議或HWTACACS(HuaWei Terminal Access Controller Access Control System,華為終端訪(fǎng)問(wèn)控制系統(tǒng))協(xié)議進(jìn)行遠(yuǎn)程認(rèn)證。
2、AAA授權(quán)
華為的AAA功能支持3種授權(quán)方式:
(1)不授權(quán):不對(duì)用戶(hù)進(jìn)行授權(quán)處理。
(2)本地授權(quán):根據(jù)本地設(shè)備為本地用戶(hù)賬號(hào)配置的相關(guān)屬性(如允許使用的接入服務(wù)類(lèi)型和FTP訪(fǎng)問(wèn)目錄等)進(jìn)行授權(quán)。
(3)遠(yuǎn)程授權(quán):由HWTACACS、RADIUS等服務(wù)器對(duì)用戶(hù)進(jìn)行遠(yuǎn)程授權(quán)。
3、計(jì)費(fèi)
華為的AAA功能支持2種計(jì)費(fèi)方式(不支持本地計(jì)費(fèi)方式):
(1)不計(jì)費(fèi):不對(duì)用戶(hù)計(jì)費(fèi)。
(2)計(jì)費(fèi):設(shè)備將計(jì)費(fèi)報(bào)文送往HWTACACS、RADIUS服務(wù)器,由HWTACACS、RADIUS服務(wù)器完成對(duì)用戶(hù)的計(jì)費(fèi)。
二、AAA基于域的用戶(hù)管理
華為交換機(jī)通過(guò)域來(lái)進(jìn)行AAA用戶(hù)管理,每個(gè)域下可以應(yīng)用不同的認(rèn)證、授權(quán)和計(jì)費(fèi)方案,以及RADIUS或者HWTACACS服務(wù)器模板,相當(dāng)于對(duì)用戶(hù)進(jìn)行分類(lèi)管理。屬于域中的用戶(hù)通過(guò)在該域中應(yīng)用的認(rèn)證、授權(quán)和計(jì)費(fèi)方案進(jìn)行認(rèn)證、授權(quán)和計(jì)費(fèi)。所以后面的AAA方案配置中,一定要在對(duì)應(yīng)的域下被綁定、應(yīng)用才能對(duì)具體用戶(hù)生效。
缺省情況下,設(shè)備存在配置名為default和default_admin兩個(gè)域,全局缺省普通域?yàn)閐efault,全局缺省管理域?yàn)閐efault_admin。兩個(gè)域均不能刪除,只能修改。當(dāng)無(wú)法確認(rèn)接入用戶(hù)的域時(shí)使用缺省域,default域?yàn)榻尤胗脩?hù)的缺省域,缺省為本地認(rèn)證;default_admin域?yàn)楣芾韱T賬戶(hù)(如http、SSH、telnet、terminal和ftp用戶(hù))的缺省域,缺省為本地認(rèn)證。
用戶(hù)所屬的域是由域分隔符后的字符串來(lái)決定的。域分隔符可以是為“@”、“|”、“%”等符號(hào),如user@huawei就表示屬于huawei域。如果用戶(hù)名中沒(méi)有帶@,就屬于系統(tǒng)缺省的default域。
自定義的域可以同時(shí)被配置成全局缺省普通域和全局缺省管理域。但域下配置的授權(quán)信息較AAA服務(wù)器的授權(quán)信息優(yōu)先級(jí)低,即優(yōu)先使用AAA服務(wù)器下發(fā)的授權(quán)屬性,在A(yíng)AA服務(wù)器無(wú)該項(xiàng)授權(quán)或不支持該項(xiàng)授權(quán)時(shí)域的授權(quán)屬性才生效。當(dāng)然通常是兩者配置的授權(quán)屬性一致。
三、RADIUS協(xié)議
RADIUS最初僅是針對(duì)撥號(hào)用戶(hù)的AAA協(xié)議,后來(lái)隨著用戶(hù)接入方式的多樣性,RADIUS也適應(yīng)多種用戶(hù)接入方式,如以太網(wǎng)接入,ADSL接入。它通過(guò)認(rèn)證授權(quán)來(lái)提供接入服務(wù),通過(guò)計(jì)費(fèi)來(lái)收集、記錄用戶(hù)對(duì)網(wǎng)絡(luò)資源的使用。該協(xié)議定義了基于UDP的RADIUS幀格式及其消息傳輸機(jī)制,并規(guī)定UDP端口1812、1813分別作為認(rèn)證(包括授權(quán))、計(jì)費(fèi)端口。
1、RADIUS服務(wù)器
RADIUS服務(wù)器程序一般運(yùn)行在中心計(jì)算機(jī)或工作站上,維護(hù)相關(guān)的用戶(hù)認(rèn)證和網(wǎng)絡(luò)服務(wù)訪(fǎng)問(wèn)信息,負(fù)責(zé)接收用戶(hù)連接請(qǐng)求并認(rèn)證用戶(hù),然后給客戶(hù)端返回所有需要的信息(如接受/拒絕認(rèn)證請(qǐng)求)。RADIUS服務(wù)器通常要維護(hù)以下3個(gè)數(shù)據(jù)庫(kù):
(1)Users:用于存儲(chǔ)用戶(hù)信息(如用戶(hù)名、口令以及使用的協(xié)議、IP地址等配置信息)。
(2)Clients:用于存儲(chǔ)RADIUS客戶(hù)端的信息(如接入設(shè)備的共享秘鑰、IP地址等)。
(3)Dictionary:用于存儲(chǔ)RADIUS協(xié)議中的屬性和屬性值含義的信息。
2、RADIUS客戶(hù)端
RADIUS客戶(hù)端程序一般位于網(wǎng)絡(luò)接入服務(wù)器NAS(Network Access Server)設(shè)備上,可以遍布整個(gè)網(wǎng)絡(luò),負(fù)責(zé)傳輸各個(gè)接入網(wǎng)絡(luò)用戶(hù)信息到指定的RADIUS服務(wù)器,然后根據(jù)從RADIUS服務(wù)器返回的信息進(jìn)行相應(yīng)處理(如接受/拒絕用戶(hù)接入)。
3、安全機(jī)制
RADIUS客戶(hù)端和RADIUS服務(wù)器之間認(rèn)證消息的交互是通過(guò)共享秘鑰來(lái)對(duì)傳輸數(shù)據(jù)加密的,但共享秘鑰不通過(guò)網(wǎng)絡(luò)來(lái)傳輸,增強(qiáng)了信息交互的安全性。
4、認(rèn)證和計(jì)費(fèi)消息流程
RADIUS客戶(hù)端與服務(wù)器間的信息交互流程如下圖:
(1)用戶(hù)訪(fǎng)問(wèn)RADIUS客戶(hù)端設(shè)備時(shí),會(huì)按照提示輸入用戶(hù)名和密碼,發(fā)送給客戶(hù)設(shè)備。
(2)客戶(hù)端設(shè)備在收到用戶(hù)發(fā)來(lái)的用戶(hù)名和密碼信息向RADIUS服務(wù)器發(fā)送認(rèn)證請(qǐng)求。
(3)RADIUS服務(wù)器接收到合法的請(qǐng)求后,完成認(rèn)證,并把所需的用戶(hù)授權(quán)信息返回給接入設(shè)備;對(duì)于非法的請(qǐng)求,RADIUS服務(wù)器返回認(rèn)證失敗的信息給客戶(hù)端設(shè)備。
RADIUS計(jì)費(fèi)的信息交互流程和認(rèn)證/授權(quán)的信息交互流程類(lèi)似。
四、HWTACACS協(xié)議
HWTACACS是在TACACS(RFC1492)基礎(chǔ)上進(jìn)行了功能增強(qiáng)的安全協(xié)議。該協(xié)議與RADIUS協(xié)議類(lèi)似,也是采用C/S模式實(shí)現(xiàn)NAS與HWTACACS服務(wù)器之間的通信。
HWTACACS協(xié)議主要用于點(diǎn)對(duì)點(diǎn)協(xié)議PPP和VPDN(VirtualPrivate Dial-up Network,虛擬私有撥號(hào)網(wǎng)絡(luò))接入用戶(hù)及終端用戶(hù)的認(rèn)證、授權(quán)和計(jì)費(fèi)。其典型應(yīng)用是對(duì)需要登錄到設(shè)備上進(jìn)行操作的終端用戶(hù)進(jìn)行認(rèn)證、授權(quán)和計(jì)費(fèi)。同樣,這時(shí)的設(shè)備是作為HWTACACS的客戶(hù)端,負(fù)責(zé)將用戶(hù)名和密碼發(fā)給HWTACACS服務(wù)器進(jìn)行驗(yàn)證。
HWTACACS協(xié)議與RADIUS協(xié)議都實(shí)現(xiàn)了認(rèn)證、授權(quán)、計(jì)費(fèi)功能,它們有很多相似點(diǎn):結(jié)構(gòu)上都采用C/S模式,都使用公共秘鑰對(duì)傳輸?shù)挠脩?hù)信息進(jìn)行加密。與RADIUS相比,HWTACACS具有更加可靠的傳輸和加密特性,更加適合于安全控制。
如何辦理AAA重合同守信用企業(yè)什么條件如何辦理AAA重合同守信用企業(yè)什么條件我們的優(yōu)勢(shì):1.我們保證證書(shū)真實(shí)有效,在發(fā)證單位網(wǎng)站上可查詢(xún)?!?p>
如何申請(qǐng)重合同守信用企業(yè)認(rèn)證什么條件
如何申請(qǐng)重合同守信用企業(yè)認(rèn)證什么條件如何申請(qǐng)重合同守信用企業(yè)認(rèn)證什么條件辦理公司榮譽(yù)證書(shū)的作用:1.促進(jìn)中小公司健康發(fā)展,培育、扶……
辦理信用等級(jí)AAA企業(yè)要多少錢(qián)辦理信用等級(jí)AAA企業(yè)要多少錢(qián)企業(yè)信用等級(jí)劃分及有效期1、中小企業(yè)信用等級(jí)劃分為A、B、C三等九級(jí); 2、評(píng)價(jià)結(jié)……
怎么申請(qǐng)質(zhì)量服務(wù)誠(chéng)信AAA企業(yè)
怎么申請(qǐng)質(zhì)量服務(wù)誠(chéng)信AAA企業(yè)怎么申請(qǐng)質(zhì)量服務(wù)誠(chéng)信AAA企業(yè) 幫助企業(yè)辦理基本的認(rèn)證、證書(shū)、榮譽(yù)獎(jiǎng)項(xiàng)的、辦理的均可真是有效,網(wǎng)上可驗(yàn)證可……
中企認(rèn)證咨詢(xún)網(wǎng)積累了豐富的國(guó)際質(zhì)量認(rèn)證工作經(jīng)驗(yàn),各項(xiàng)業(yè)務(wù)均成果卓著。始終以服務(wù)國(guó)家經(jīng)濟(jì)社會(huì)發(fā)展和提升人民生活品質(zhì)為己任,依托產(chǎn)品認(rèn)證(包括服務(wù)認(rèn)證、自愿性認(rèn)證)、管理體系認(rèn)證和認(rèn)證培訓(xùn)業(yè)務(wù),著力開(kāi)展節(jié)能。在積極促進(jìn)國(guó)際貿(mào)易,調(diào)整經(jīng)濟(jì)結(jié)構(gòu),保護(hù)消費(fèi)者安全健康,構(gòu)建社會(huì)誠(chéng)信體系,參與"兩型"社會(huì)建設(shè)等方面做出了積極貢獻(xiàn)。同時(shí),自身獲得了跨越式發(fā)展,已成為業(yè)務(wù)門(mén)類(lèi)全、服務(wù)網(wǎng)絡(luò)廣、工作手段新、技術(shù)力量強(qiáng)、人員素質(zhì)高的一流認(rèn)證機(jī)構(gòu),可以方便快捷地為世界各地的客戶(hù)提供高效、優(yōu)質(zhì)的"一站式"服務(wù)。中企認(rèn)證咨詢(xún)網(wǎng)秉承"和諧、進(jìn)取、責(zé)任"的理念,正在朝著建立社會(huì)公信力高,有較強(qiáng)創(chuàng)新能力、市場(chǎng)競(jìng)爭(zhēng)能力和可持續(xù)發(fā)展能力,向業(yè)界有較高知名度的國(guó)際型認(rèn)證機(jī)構(gòu)的目標(biāo)努力前行,優(yōu)質(zhì)的服務(wù)、雄厚的技術(shù)力量、先進(jìn)的管理水平保障了中企認(rèn)證咨詢(xún)網(wǎng)業(yè)務(wù)的順利開(kāi)展,為順利實(shí)現(xiàn)中企認(rèn)證咨詢(xún)網(wǎng)的質(zhì)量目標(biāo)、為認(rèn)證機(jī)構(gòu)的品牌提供了有力保障。
中企認(rèn)證咨詢(xún)網(wǎng)專(zhuān)業(yè)從事ISO9001、ISO14001、OHSAS18001、IATF16949、ISO27001、ISO13485、ISO22000、HACCP、ISO20000、ISO45001、QC080000、GB/T50430、GB/T27922售后服務(wù)體系認(rèn)證、GB/T29490知識(shí)產(chǎn)權(quán)管理體系、ISO37001、ISO50001、ISO22163、兩化融合體系、系統(tǒng)集成資質(zhì)、十環(huán)認(rèn)證、SMETA、SEDEX、BSCI、SA8000、FSC、ICTI、GSV、C-TPAT、WRAP、EICC、GMP、GMPC、ETI、BRC、驗(yàn)廠(chǎng)咨詢(xún)、商務(wù)部信用等級(jí)、誠(chéng)信信用等級(jí)、ISO體系、CE、3C、AAA等認(rèn)證咨詢(xún)服務(wù)。認(rèn)證價(jià)格實(shí)惠,證書(shū)真實(shí)有效,認(rèn)監(jiān)委可查,如有疑問(wèn),可點(diǎn)擊www.lrepl.cn了解詳情,竭誠(chéng)為您服務(wù)!
本文內(nèi)容整合網(wǎng)站:百度百科、搜狗百科、360百科、知乎、市場(chǎng)監(jiān)督總局、國(guó)家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)、質(zhì)量認(rèn)證中心
本文標(biāo)題:aaa認(rèn)證支持哪三種認(rèn)證方式
本文地址:http://www.lrepl.cn/isos/202311/zs_8325.html