准备软考高级时碰到的一个概念,于是搜集网络资源整理得出此文。
概述
AAA是Authentication、Authorization、Accounting的缩写简称,即认证、授权、记帐。Cisco开发的一个提供网络安全的系统。AAA协议决定哪些用户能够访问服务,以及用户能够访问哪些资源或使用哪些服务。AAA服务器,能够处理用户访问请求的服务器程序,提供验证、授权及帐户服务。
包括3个概念模块:
认证:证明访问用户是合法用户(一般而言是数据库用户)
授权:检查此合法用户拥有的权限
记帐:记录用户使用网络服务过程中的相关操作,即:什么人在什么时间做了什么事。
模式
支持本地认证、不认证、RADIUS认证和HWTACACS认证四种认证模式,并允许组合使用。组合认证模式是有先后顺序的。如,authentication-mode radius local表示先使用RADIUS认证,RADIUS认证没有响应再使用本地认证。当组合认证模式使用不认证时,不认证(none)必须放在最后。
支持本地授权、直接授权、if-authenticated授权和HWTACACS授权四种授权模式,并允许组合使用。组合授权模式有先后顺序。例如,authorization-mode hwtacacs local表示先使用HWTACACS授权,HWTACACS授权没有响应再使用本地授权。当组合授权模式使用直接授权时,直接授权必须在最后,如:authorization-mode hwtacacs local none。RADIUS的认证和授权是绑定在一起的,所以不存在RADIUS授权模式。
支持六种计费模式:本地计费、不计费、RADIUS计费、HWTACACS计费、RADIUS+本地计费、HWTACACS+本地计费。
框架
AAA采用客户端/服务器结构,这种结构简单、扩展性好,且便于集中管理用户信息。
AAA的基本实现流程如下:
用户访问网络前,首先与AAA客户端建立连接
AAA客户端负责把用户验证凭据传递给AAA服务器
AAA服务器根据用户认证凭据进行认证和授权,并将认证和授权结果返回给AAA客户端
AAA客户端根据服务器的返回结果判断是否允许用户接入
其中:
AAA客户端运行在NAS设备(Network Access Server,网络接入服务器)上,NAS设备可以是路由器、交换机等为用户提供入网服务的设备
AAA服务器是认证服务器、授权服务器和计费服务器的统称,负责集中管理用户信息。
根据AAA使用的通信协议的不同,AAA服务器可以分为RADIUS服务器、TACACS服务器等。
应用
根据用户接入方式的不同,在网络中有以下几种应用:
登录用户管理:登录用户指的是直接登录设备进行操作的用户,例如Console口登录、Stelnet登录等。此类用户对安全性的要求较高,通过AAA可以限制哪些用户可以登录到设备,登录到设备后能执行哪些命令或者记录用户执行的操作等
NAC用户接入控制:NAC用户指的是通过802.1X、MAC、Portal方式接入网络的用户。这些用户可以是有线用户、也可以是无线用户,可能是接入企业园区网络、教育网络、医疗网络或商超网络等。此类用户存在类型复杂、变动频繁、权限级别要求不统一等问题。AAA结合NAC,可以有效保证接入用户的安全性。
实现
RADIUS
Remote Authentication Dial-In User Service,远程身份验证拨号用户服务。朗讯公司提出,能在拨号网络中提供注册、验证功能。
基本所有主流设备厂商都支持,在实际网络中应用最多。
RADIUS协议可分为认证协议和计费协议,分别通过IETF RFC 2865和RFC 2866定义。由于定义RADIUS协议的时间早于AAA框架模型,所以并没有将认证和授权分开,而是将认证和授权在同一个流程中进行处理。因此,使用RADIUS协议实现AAA时,用户可能无法知道被拒绝访问的原因是由于密码错误还是因为没有权限。
RADIUS协议,一般把拨号和认证这两种功能放在两个分离的服务器,是一种基于UDP的一种客户机/服务器协议:
NAS:网络接入服务器,RADIUS客户机。通常是一个路由器、交换机或无线访问点
RADIUS服务器:后台认证服务器上。在RADIUS服务器上存放有用户名和它们相应的认证信息的一个大数据库,来提供认证用户名和密码及向用户发送配置服务的详细信息等。通常是在UNIX或Windows服务器上运行的一个监护程序。
特点:
RADIUS协议使用UDP进行传输,使用1812号端口进行认证及认证通过后对用户授权,使用1813号端口对用户计费
灵活的认证机制:支持多种认证方法,如点对点的PAP认证(PPP PAP)、点对点的CHAP认证(PPP CHAP)、UNIX的登录操作(UNIX Login)和其他认证机制
支持认证转接(Authentication Forwarding),一个RADIUS服务器可以作为另一个RADIUS服务器的客户端向它要求认证,即认证转接
扩展性好:所有的交互都包括可变长度的属性字段。为满足实际需要,用户可以加入新的属性值。新属性的值可以在不中断已存在协议执行的前提下自行定义新的属性
安全:认证信息都加密传输,安全性高。RADIUS服务器和接入服务器之间传递的认证信息用一个事先设置的口令进行加密,防止敏感信息泄露
RADIUS认证授权工作过程:
用户输入用户名、密码等信息到客户端或连接到NAS
客户端或NAS产生一个接入请求(Access-Request)报文到RADIUS服务器,其中包括用户名、口令、客户端(NAS) ID和用户访问端口的ID。口令经过MD5算法进行加密
RADIUS服务器对用户进行认证
若认证成功,RADIUS服务器向客户端或NAS发送允许接入包(Access-Accept),否则发送拒绝加接入包(Access-Reject)
若客户端或NAS接收到允许接入包,则为用户建立连接,对用户进行授权和提供服务,并转入6;若接收到拒绝接入包,则拒绝用户的连接请求,结束协商过程
客户端或NAS发送计费请求包给RADIUS服务器
RADIUS服务器接收到计费请求包后开始计费,并向客户端或NAS回送开始计费响应包
用户断开连接,客户端或NAS发送停止计费包给RADIUS服务器
RADIUS服务器接收到停止计费包后停止计费,并向客户端或NAS回送停止计费响应包,完成该用户一次计费,记录计费信息
TACACS、TACACS+、HWTACACS
TACACS,Terminal Access Controller Access-Control System,终端访问控制器控制系统,起源于1980s的AAA协议。在之后的发展中,各厂商在TACACS协议基础上进行扩展,如思科研发的TACACS+,华为研发的HWTACACS。两者均为私有协议,在发展过程中逐步替代TACACS协议,且不再兼容TACACS协议。HWTACACS基于TCP协议。RADIUS的认证和授权绑定在一起,而HWTACACS的认证和授权是独立的。RADIUS只对用户的密码进行加密,HWTACACS可以对整个报文进行加密。
HWTACACS协议可兼容TACACS+协议,HWTACACS协议与TACACS+协议定义的报文结构和报文类型一致,主要区别在于授权和计费报文中携带的属性含义或类型不完全相同。
与RADIUS协议相比,HWTACACS或TACACS+更加适用于登录用户(如STelnet用户)的身份认证场景。这是由于它在数据传输、加密上安全性更高,同时能够提供命令行鉴权、事件记录等优势功能。
Diameter
Diameter是IETF定义的新一代AAA协议,由RADIUS协议演进而来。Diameter协议克服RADIUS的许多缺点,如支持移动IP、多接口和移动代理认证、授权和计费等。随着Diameter协议及其应用的不断成熟和标准化,它对未来移动通信系统和宽带接入系统的发展将起到巨大的推动作用。
Diameter基本协议为移动IP(Mobile IP)、网络接入服务(NAS)等应用提供最基本的服务,如用户会话、计费等,具有能力协商、差错通知等功能。协议元素由众多命令和AVP(属性值对)构成,可以在客户机、代理、服务器之间传递鉴别、授权和计费信息。但不管客户机、代理还是服务器,都可以主动发出会话请求,对方给予应答,所以也叫对等实体之间的协议。命令代码、AVP值和种类都可以按应用需要和规则进行扩展。
Diameter NAS
Diameter的NAS协议即是Network Access Service(网络接入服务)协议。由NAS客户机处理用户MN的接入请求(RegReq),将收到的客户认证信息转送给NAS服务器;服务器对客户进行鉴别,将结果(Success/Fail)发给客户机;客户机通过RegReply将结果发回给MN,并根据结果对MN进行相应处理。
NAS作为网络接入服务器,在其用户端口接收到呼叫或服务请求时便开始与AAA服务器之间进行消息交换,有关呼叫的信息、用户身份和用户鉴别信息被打包成一种AAA消息发给AAA服务器。实际上,移动IP中的FA可以看成是通过空中的MPPP链路接收移动终端MN的服务连接请求的NAS服务器,它作为AAA服务器的客户机,在两者之间交换NAS消息请求和应答。
Diameter EAP
Diameter EAP,Extensible Authentication Protocol,可扩展鉴别协议,提供一个支持各种鉴别方法的标准机制。EAP其实是一种框架,一种帧格式,可以容纳各种鉴别信息。EAP所提供的多回合鉴别是PAP和CHAP所不具备的。
EAP协议描述用户、NAS(AAA客户机)和AAA服务器之间有关EAP鉴别消息的请求和应答的关系,完成一次对鉴别请求的应答,中间可能需要多次消息交换过程。在移动终端MN移动的环境下,MN与FA之间的鉴别扩展采用EAP,即把FA看做是一个NAS,它作为Diameter AAA的客户机,Diameter AAA服务器作为EAP的后端服务器,两者之间载送EAP分组。端到端的EAP鉴别发生在用户和它的H-AAA之间。
Diameter CMS
Diameter CMS,Cryptographic Message Syntax,密码消息语法协议,实现协议数据的Peer-to-Peer(端到端)加密。由于Diameter网络中存在不可信的Relay(中继)和Proxy,而IPSec和TLS又只能实现跳到跳的安全,所以IETF定义Diameter CMS应用协议来保证数据安全。
Diameter MIP
由于未来移动通信网络正逐步向全IP网络演进,这就不可避免碰到用户移动到外部域的问题。Diameter MIP应用协议允许用户漫游到外部域,并在经过鉴权后接受外部域Server和Agent提供的服务。在未来移动通信中,这种情况将十分常见,因此MIP协议对于移动通信系统来说至关重要。当用户移动到外部域的时候,需要进行一系列的消息交换才能安全地接入外部网络,接受其提供的服务。MIP协议的实现环境中MN和HA都可以在家乡域或在外地域,其中比较典型的一种情况是MN在外地域而HA在家乡域。
参考
系统架构设计师教程-第4版
百度百科