哪个网站代做ppt便宜,字体设计logo免费,电子平台网站建设,百度seo排名优化价格准备软考高级时碰到的一个概念#xff0c;于是搜集网络资源整理得出此文。
概述
AAA是Authentication、Authorization、Accounting的缩写简称#xff0c;即认证、授权、记帐。Cisco开发的一个提供网络安全的系统。AAA协议决定哪些用户能够访问服务#xff0c;以及用户能够…准备软考高级时碰到的一个概念于是搜集网络资源整理得出此文。
概述
AAA是Authentication、Authorization、Accounting的缩写简称即认证、授权、记帐。Cisco开发的一个提供网络安全的系统。AAA协议决定哪些用户能够访问服务以及用户能够访问哪些资源或使用哪些服务。AAA服务器能够处理用户访问请求的服务器程序提供验证、授权及帐户服务。
包括3个概念模块
认证证明访问用户是合法用户一般而言是数据库用户授权检查此合法用户拥有的权限记帐记录用户使用网络服务过程中的相关操作即什么人在什么时间做了什么事。
模式
支持本地认证、不认证、RADIUS认证和HWTACACS认证四种认证模式并允许组合使用。组合认证模式是有先后顺序的。如authentication-mode radius local表示先使用RADIUS认证RADIUS认证没有响应再使用本地认证。当组合认证模式使用不认证时不认证none必须放在最后。
支持本地授权、直接授权、if-authenticated授权和HWTACACS授权四种授权模式并允许组合使用。组合授权模式有先后顺序。例如authorization-mode hwtacacs local表示先使用HWTACACS授权HWTACACS授权没有响应再使用本地授权。当组合授权模式使用直接授权时直接授权必须在最后如authorization-mode hwtacacs local none。RADIUS的认证和授权是绑定在一起的所以不存在RADIUS授权模式。
支持六种计费模式本地计费、不计费、RADIUS计费、HWTACACS计费、RADIUS本地计费、HWTACACS本地计费。
框架
AAA采用客户端/服务器结构这种结构简单、扩展性好且便于集中管理用户信息。 AAA的基本实现流程如下
用户访问网络前首先与AAA客户端建立连接AAA客户端负责把用户验证凭据传递给AAA服务器AAA服务器根据用户认证凭据进行认证和授权并将认证和授权结果返回给AAA客户端AAA客户端根据服务器的返回结果判断是否允许用户接入
其中
AAA客户端运行在NAS设备Network Access Server网络接入服务器上NAS设备可以是路由器、交换机等为用户提供入网服务的设备AAA服务器是认证服务器、授权服务器和计费服务器的统称负责集中管理用户信息。
根据AAA使用的通信协议的不同AAA服务器可以分为RADIUS服务器、TACACS服务器等。
应用
根据用户接入方式的不同在网络中有以下几种应用
登录用户管理登录用户指的是直接登录设备进行操作的用户例如Console口登录、Stelnet登录等。此类用户对安全性的要求较高通过AAA可以限制哪些用户可以登录到设备登录到设备后能执行哪些命令或者记录用户执行的操作等NAC用户接入控制NAC用户指的是通过802.1X、MAC、Portal方式接入网络的用户。这些用户可以是有线用户、也可以是无线用户可能是接入企业园区网络、教育网络、医疗网络或商超网络等。此类用户存在类型复杂、变动频繁、权限级别要求不统一等问题。AAA结合NAC可以有效保证接入用户的安全性。
实现
RADIUS
Remote Authentication Dial-In User Service远程身份验证拨号用户服务。朗讯公司提出能在拨号网络中提供注册、验证功能。
基本所有主流设备厂商都支持在实际网络中应用最多。
RADIUS协议可分为认证协议和计费协议分别通过IETF RFC 2865和RFC 2866定义。由于定义RADIUS协议的时间早于AAA框架模型所以并没有将认证和授权分开而是将认证和授权在同一个流程中进行处理。因此使用RADIUS协议实现AAA时用户可能无法知道被拒绝访问的原因是由于密码错误还是因为没有权限。
RADIUS协议一般把拨号和认证这两种功能放在两个分离的服务器是一种基于UDP的一种客户机/服务器协议
NAS网络接入服务器RADIUS客户机。通常是一个路由器、交换机或无线访问点RADIUS服务器后台认证服务器上。在RADIUS服务器上存放有用户名和它们相应的认证信息的一个大数据库来提供认证用户名和密码及向用户发送配置服务的详细信息等。通常是在UNIX或Windows服务器上运行的一个监护程序。
特点
RADIUS协议使用UDP进行传输使用1812号端口进行认证及认证通过后对用户授权使用1813号端口对用户计费灵活的认证机制支持多种认证方法如点对点的PAP认证(PPP PAP)、点对点的CHAP认证(PPP CHAP)、UNIX的登录操作(UNIX Login)和其他认证机制支持认证转接Authentication Forwarding一个RADIUS服务器可以作为另一个RADIUS服务器的客户端向它要求认证即认证转接扩展性好所有的交互都包括可变长度的属性字段。为满足实际需要用户可以加入新的属性值。新属性的值可以在不中断已存在协议执行的前提下自行定义新的属性安全认证信息都加密传输安全性高。RADIUS服务器和接入服务器之间传递的认证信息用一个事先设置的口令进行加密防止敏感信息泄露
RADIUS认证授权工作过程
用户输入用户名、密码等信息到客户端或连接到NAS客户端或NAS产生一个接入请求(Access-Request)报文到RADIUS服务器其中包括用户名、口令、客户端(NAS) ID和用户访问端口的ID。口令经过MD5算法进行加密RADIUS服务器对用户进行认证若认证成功RADIUS服务器向客户端或NAS发送允许接入包(Access-Accept)否则发送拒绝加接入包(Access-Reject)若客户端或NAS接收到允许接入包则为用户建立连接对用户进行授权和提供服务并转入6若接收到拒绝接入包则拒绝用户的连接请求结束协商过程客户端或NAS发送计费请求包给RADIUS服务器RADIUS服务器接收到计费请求包后开始计费并向客户端或NAS回送开始计费响应包用户断开连接客户端或NAS发送停止计费包给RADIUS服务器RADIUS服务器接收到停止计费包后停止计费并向客户端或NAS回送停止计费响应包完成该用户一次计费记录计费信息
TACACS、TACACS、HWTACACS
TACACSTerminal Access Controller Access-Control System终端访问控制器控制系统起源于1980s的AAA协议。在之后的发展中各厂商在TACACS协议基础上进行扩展如思科研发的TACACS华为研发的HWTACACS。两者均为私有协议在发展过程中逐步替代TACACS协议且不再兼容TACACS协议。HWTACACS基于TCP协议。RADIUS的认证和授权绑定在一起而HWTACACS的认证和授权是独立的。RADIUS只对用户的密码进行加密HWTACACS可以对整个报文进行加密。
HWTACACS协议可兼容TACACS协议HWTACACS协议与TACACS协议定义的报文结构和报文类型一致主要区别在于授权和计费报文中携带的属性含义或类型不完全相同。
与RADIUS协议相比HWTACACS或TACACS更加适用于登录用户如STelnet用户的身份认证场景。这是由于它在数据传输、加密上安全性更高同时能够提供命令行鉴权、事件记录等优势功能。
Diameter
Diameter是IETF定义的新一代AAA协议由RADIUS协议演进而来。Diameter协议克服RADIUS的许多缺点如支持移动IP、多接口和移动代理认证、授权和计费等。随着Diameter协议及其应用的不断成熟和标准化它对未来移动通信系统和宽带接入系统的发展将起到巨大的推动作用。
Diameter基本协议为移动IP(Mobile IP)、网络接入服务(NAS)等应用提供最基本的服务如用户会话、计费等具有能力协商、差错通知等功能。协议元素由众多命令和AVP属性值对构成可以在客户机、代理、服务器之间传递鉴别、授权和计费信息。但不管客户机、代理还是服务器都可以主动发出会话请求对方给予应答所以也叫对等实体之间的协议。命令代码、AVP值和种类都可以按应用需要和规则进行扩展。
Diameter NAS
Diameter的NAS协议即是Network Access Service网络接入服务协议。由NAS客户机处理用户MN的接入请求RegReq将收到的客户认证信息转送给NAS服务器服务器对客户进行鉴别将结果Success/Fail发给客户机客户机通过RegReply将结果发回给MN并根据结果对MN进行相应处理。
NAS作为网络接入服务器在其用户端口接收到呼叫或服务请求时便开始与AAA服务器之间进行消息交换有关呼叫的信息、用户身份和用户鉴别信息被打包成一种AAA消息发给AAA服务器。实际上移动IP中的FA可以看成是通过空中的MPPP链路接收移动终端MN的服务连接请求的NAS服务器它作为AAA服务器的客户机在两者之间交换NAS消息请求和应答。
Diameter EAP
Diameter EAPExtensible Authentication Protocol可扩展鉴别协议提供一个支持各种鉴别方法的标准机制。EAP其实是一种框架一种帧格式可以容纳各种鉴别信息。EAP所提供的多回合鉴别是PAP和CHAP所不具备的。
EAP协议描述用户、NASAAA客户机和AAA服务器之间有关EAP鉴别消息的请求和应答的关系完成一次对鉴别请求的应答中间可能需要多次消息交换过程。在移动终端MN移动的环境下MN与FA之间的鉴别扩展采用EAP即把FA看做是一个NAS它作为Diameter AAA的客户机Diameter AAA服务器作为EAP的后端服务器两者之间载送EAP分组。端到端的EAP鉴别发生在用户和它的H-AAA之间。
Diameter CMS
Diameter CMSCryptographic Message Syntax密码消息语法协议实现协议数据的Peer-to-Peer端到端加密。由于Diameter网络中存在不可信的Relay中继和Proxy而IPSec和TLS又只能实现跳到跳的安全所以IETF定义Diameter CMS应用协议来保证数据安全。
Diameter MIP
由于未来移动通信网络正逐步向全IP网络演进这就不可避免碰到用户移动到外部域的问题。Diameter MIP应用协议允许用户漫游到外部域并在经过鉴权后接受外部域Server和Agent提供的服务。在未来移动通信中这种情况将十分常见因此MIP协议对于移动通信系统来说至关重要。当用户移动到外部域的时候需要进行一系列的消息交换才能安全地接入外部网络接受其提供的服务。MIP协议的实现环境中MN和HA都可以在家乡域或在外地域其中比较典型的一种情况是MN在外地域而HA在家乡域。
参考
系统架构设计师教程-第4版百度百科
