準(zhǔn)備軟考高級時碰到的一個概念，于是搜集網(wǎng)絡(luò)資源整理得出此文。

概述

AAA是Authentication、Authorization、Accounting的縮寫簡稱，即認(rèn)證、授權(quán)、記帳。Cisco開發(fā)的一個提供網(wǎng)絡(luò)安全的系統(tǒng)。AAA協(xié)議決定哪些用戶能夠訪問服務(wù)，以及用戶能夠訪問哪些資源或使用哪些服務(wù)。AAA服務(wù)器，能夠處理用戶訪問請求的服務(wù)器程序，提供驗證、授權(quán)及帳戶服務(wù)。

包括3個概念模塊：

• 認(rèn)證：證明訪問用戶是合法用戶（一般而言是數(shù)據(jù)庫用戶）
• 授權(quán)：檢查此合法用戶擁有的權(quán)限
• 記帳：記錄用戶使用網(wǎng)絡(luò)服務(wù)過程中的相關(guān)操作，即：什么人在什么時間做了什么事。

模式

支持本地認(rèn)證、不認(rèn)證、RADIUS認(rèn)證和HWTACACS認(rèn)證四種認(rèn)證模式，并允許組合使用。組合認(rèn)證模式是有先后順序的。如，authentication-mode radius local表示先使用RADIUS認(rèn)證，RADIUS認(rèn)證沒有響應(yīng)再使用本地認(rèn)證。當(dāng)組合認(rèn)證模式使用不認(rèn)證時，不認(rèn)證（none）必須放在最后。

支持本地授權(quán)、直接授權(quán)、if-authenticated授權(quán)和HWTACACS授權(quán)四種授權(quán)模式，并允許組合使用。組合授權(quán)模式有先后順序。例如，authorization-mode hwtacacs local表示先使用HWTACACS授權(quán)，HWTACACS授權(quán)沒有響應(yīng)再使用本地授權(quán)。當(dāng)組合授權(quán)模式使用直接授權(quán)時，直接授權(quán)必須在最后，如：authorization-mode hwtacacs local none。RADIUS的認(rèn)證和授權(quán)是綁定在一起的，所以不存在RADIUS授權(quán)模式。

支持六種計費模式：本地計費、不計費、RADIUS計費、HWTACACS計費、RADIUS+本地計費、HWTACACS+本地計費。

框架

AAA采用客戶端/服務(wù)器結(jié)構(gòu)，這種結(jié)構(gòu)簡單、擴展性好，且便于集中管理用戶信息。

AAA的基本實現(xiàn)流程如下：

• 用戶訪問網(wǎng)絡(luò)前，首先與AAA客戶端建立連接
• AAA客戶端負(fù)責(zé)把用戶驗證憑據(jù)傳遞給AAA服務(wù)器
• AAA服務(wù)器根據(jù)用戶認(rèn)證憑據(jù)進(jìn)行認(rèn)證和授權(quán)，并將認(rèn)證和授權(quán)結(jié)果返回給AAA客戶端
• AAA客戶端根據(jù)服務(wù)器的返回結(jié)果判斷是否允許用戶接入

其中：

• AAA客戶端運行在NAS設(shè)備（Network Access Server，網(wǎng)絡(luò)接入服務(wù)器）上，NAS設(shè)備可以是路由器、交換機等為用戶提供入網(wǎng)服務(wù)的設(shè)備
• AAA服務(wù)器是認(rèn)證服務(wù)器、授權(quán)服務(wù)器和計費服務(wù)器的統(tǒng)稱，負(fù)責(zé)集中管理用戶信息。

根據(jù)AAA使用的通信協(xié)議的不同，AAA服務(wù)器可以分為RADIUS服務(wù)器、TACACS服務(wù)器等。

應(yīng)用

根據(jù)用戶接入方式的不同，在網(wǎng)絡(luò)中有以下幾種應(yīng)用：

• 登錄用戶管理：登錄用戶指的是直接登錄設(shè)備進(jìn)行操作的用戶，例如Console口登錄、Stelnet登錄等。此類用戶對安全性的要求較高，通過AAA可以限制哪些用戶可以登錄到設(shè)備，登錄到設(shè)備后能執(zhí)行哪些命令或者記錄用戶執(zhí)行的操作等
• NAC用戶接入控制：NAC用戶指的是通過802.1X、MAC、Portal方式接入網(wǎng)絡(luò)的用戶。這些用戶可以是有線用戶、也可以是無線用戶，可能是接入企業(yè)園區(qū)網(wǎng)絡(luò)、教育網(wǎng)絡(luò)、醫(yī)療網(wǎng)絡(luò)或商超網(wǎng)絡(luò)等。此類用戶存在類型復(fù)雜、變動頻繁、權(quán)限級別要求不統(tǒng)一等問題。AAA結(jié)合NAC，可以有效保證接入用戶的安全性。

實現(xiàn)

RADIUS

Remote Authentication Dial-In User Service，遠(yuǎn)程身份驗證撥號用戶服務(wù)。朗訊公司提出，能在撥號網(wǎng)絡(luò)中提供注冊、驗證功能。

基本所有主流設(shè)備廠商都支持，在實際網(wǎng)絡(luò)中應(yīng)用最多。

RADIUS協(xié)議可分為認(rèn)證協(xié)議和計費協(xié)議，分別通過IETF RFC 2865和RFC 2866定義。由于定義RADIUS協(xié)議的時間早于AAA框架模型，所以并沒有將認(rèn)證和授權(quán)分開，而是將認(rèn)證和授權(quán)在同一個流程中進(jìn)行處理。因此，使用RADIUS協(xié)議實現(xiàn)AAA時，用戶可能無法知道被拒絕訪問的原因是由于密碼錯誤還是因為沒有權(quán)限。

RADIUS協(xié)議，一般把撥號和認(rèn)證這兩種功能放在兩個分離的服務(wù)器，是一種基于UDP的一種客戶機/服務(wù)器協(xié)議：

• NAS：網(wǎng)絡(luò)接入服務(wù)器，RADIUS客戶機。通常是一個路由器、交換機或無線訪問點
• RADIUS服務(wù)器：后臺認(rèn)證服務(wù)器上。在RADIUS服務(wù)器上存放有用戶名和它們相應(yīng)的認(rèn)證信息的一個大數(shù)據(jù)庫，來提供認(rèn)證用戶名和密碼及向用戶發(fā)送配置服務(wù)的詳細(xì)信息等。通常是在UNIX或Windows服務(wù)器上運行的一個監(jiān)護程序。

特點：

• RADIUS協(xié)議使用UDP進(jìn)行傳輸，使用1812號端口進(jìn)行認(rèn)證及認(rèn)證通過后對用戶授權(quán)，使用1813號端口對用戶計費
• 靈活的認(rèn)證機制：支持多種認(rèn)證方法，如點對點的PAP認(rèn)證(PPP PAP)、點對點的CHAP認(rèn)證(PPP CHAP)、UNIX的登錄操作(UNIX Login)和其他認(rèn)證機制
• 支持認(rèn)證轉(zhuǎn)接（Authentication Forwarding），一個RADIUS服務(wù)器可以作為另一個RADIUS服務(wù)器的客戶端向它要求認(rèn)證，即認(rèn)證轉(zhuǎn)接
• 擴展性好：所有的交互都包括可變長度的屬性字段。為滿足實際需要，用戶可以加入新的屬性值。新屬性的值可以在不中斷已存在協(xié)議執(zhí)行的前提下自行定義新的屬性
• 安全：認(rèn)證信息都加密傳輸，安全性高。RADIUS服務(wù)器和接入服務(wù)器之間傳遞的認(rèn)證信息用一個事先設(shè)置的口令進(jìn)行加密，防止敏感信息泄露

RADIUS認(rèn)證授權(quán)工作過程：

1. 用戶輸入用戶名、密碼等信息到客戶端或連接到NAS
2. 客戶端或NAS產(chǎn)生一個接入請求(Access-Request)報文到RADIUS服務(wù)器，其中包括用戶名、口令、客戶端(NAS) ID和用戶訪問端口的ID?？诹罱?jīng)過MD5算法進(jìn)行加密
3. RADIUS服務(wù)器對用戶進(jìn)行認(rèn)證
4. 若認(rèn)證成功，RADIUS服務(wù)器向客戶端或NAS發(fā)送允許接入包(Access-Accept)，否則發(fā)送拒絕加接入包(Access-Reject)
5. 若客戶端或NAS接收到允許接入包，則為用戶建立連接，對用戶進(jìn)行授權(quán)和提供服務(wù)，并轉(zhuǎn)入6；若接收到拒絕接入包，則拒絕用戶的連接請求，結(jié)束協(xié)商過程
6. 客戶端或NAS發(fā)送計費請求包給RADIUS服務(wù)器
7. RADIUS服務(wù)器接收到計費請求包后開始計費，并向客戶端或NAS回送開始計費響應(yīng)包
8. 用戶斷開連接，客戶端或NAS發(fā)送停止計費包給RADIUS服務(wù)器
9. RADIUS服務(wù)器接收到停止計費包后停止計費，并向客戶端或NAS回送停止計費響應(yīng)包，完成該用戶一次計費，記錄計費信息

TACACS、TACACS+、HWTACACS

TACACS，Terminal Access Controller Access-Control System，終端訪問控制器控制系統(tǒng)，起源于1980s的AAA協(xié)議。在之后的發(fā)展中，各廠商在TACACS協(xié)議基礎(chǔ)上進(jìn)行擴展，如思科研發(fā)的TACACS+，華為研發(fā)的HWTACACS。兩者均為私有協(xié)議，在發(fā)展過程中逐步替代TACACS協(xié)議，且不再兼容TACACS協(xié)議。HWTACACS基于TCP協(xié)議。RADIUS的認(rèn)證和授權(quán)綁定在一起，而HWTACACS的認(rèn)證和授權(quán)是獨立的。RADIUS只對用戶的密碼進(jìn)行加密，HWTACACS可以對整個報文進(jìn)行加密。

HWTACACS協(xié)議可兼容TACACS+協(xié)議，HWTACACS協(xié)議與TACACS+協(xié)議定義的報文結(jié)構(gòu)和報文類型一致，主要區(qū)別在于授權(quán)和計費報文中攜帶的屬性含義或類型不完全相同。

與RADIUS協(xié)議相比，HWTACACS或TACACS+更加適用于登錄用戶（如STelnet用戶）的身份認(rèn)證場景。這是由于它在數(shù)據(jù)傳輸、加密上安全性更高，同時能夠提供命令行鑒權(quán)、事件記錄等優(yōu)勢功能。

Diameter

Diameter是IETF定義的新一代AAA協(xié)議，由RADIUS協(xié)議演進(jìn)而來。Diameter協(xié)議克服RADIUS的許多缺點，如支持移動IP、多接口和移動代理認(rèn)證、授權(quán)和計費等。隨著Diameter協(xié)議及其應(yīng)用的不斷成熟和標(biāo)準(zhǔn)化，它對未來移動通信系統(tǒng)和寬帶接入系統(tǒng)的發(fā)展將起到巨大的推動作用。

Diameter基本協(xié)議為移動IP(Mobile IP)、網(wǎng)絡(luò)接入服務(wù)(NAS)等應(yīng)用提供最基本的服務(wù)，如用戶會話、計費等，具有能力協(xié)商、差錯通知等功能。協(xié)議元素由眾多命令和AVP（屬性值對）構(gòu)成，可以在客戶機、代理、服務(wù)器之間傳遞鑒別、授權(quán)和計費信息。但不管客戶機、代理還是服務(wù)器，都可以主動發(fā)出會話請求，對方給予應(yīng)答，所以也叫對等實體之間的協(xié)議。命令代碼、AVP值和種類都可以按應(yīng)用需要和規(guī)則進(jìn)行擴展。

Diameter NAS

Diameter的NAS協(xié)議即是Network Access Service（網(wǎng)絡(luò)接入服務(wù)）協(xié)議。由NAS客戶機處理用戶MN的接入請求（RegReq），將收到的客戶認(rèn)證信息轉(zhuǎn)送給NAS服務(wù)器；服務(wù)器對客戶進(jìn)行鑒別，將結(jié)果（Success/Fail）發(fā)給客戶機；客戶機通過RegReply將結(jié)果發(fā)回給MN，并根據(jù)結(jié)果對MN進(jìn)行相應(yīng)處理。

NAS作為網(wǎng)絡(luò)接入服務(wù)器，在其用戶端口接收到呼叫或服務(wù)請求時便開始與AAA服務(wù)器之間進(jìn)行消息交換，有關(guān)呼叫的信息、用戶身份和用戶鑒別信息被打包成一種AAA消息發(fā)給AAA服務(wù)器。實際上，移動IP中的FA可以看成是通過空中的MPPP鏈路接收移動終端MN的服務(wù)連接請求的NAS服務(wù)器，它作為AAA服務(wù)器的客戶機，在兩者之間交換NAS消息請求和應(yīng)答。

Diameter EAP

Diameter EAP，Extensible Authentication Protocol，可擴展鑒別協(xié)議，提供一個支持各種鑒別方法的標(biāo)準(zhǔn)機制。EAP其實是一種框架，一種幀格式，可以容納各種鑒別信息。EAP所提供的多回合鑒別是PAP和CHAP所不具備的。

EAP協(xié)議描述用戶、NAS（AAA客戶機）和AAA服務(wù)器之間有關(guān)EAP鑒別消息的請求和應(yīng)答的關(guān)系，完成一次對鑒別請求的應(yīng)答，中間可能需要多次消息交換過程。在移動終端MN移動的環(huán)境下，MN與FA之間的鑒別擴展采用EAP，即把FA看做是一個NAS，它作為Diameter AAA的客戶機，Diameter AAA服務(wù)器作為EAP的后端服務(wù)器，兩者之間載送EAP分組。端到端的EAP鑒別發(fā)生在用戶和它的H-AAA之間。

Diameter CMS

Diameter CMS，Cryptographic Message Syntax，密碼消息語法協(xié)議，實現(xiàn)協(xié)議數(shù)據(jù)的Peer-to-Peer（端到端）加密。由于Diameter網(wǎng)絡(luò)中存在不可信的Relay（中繼）和Proxy，而IPSec和TLS又只能實現(xiàn)跳到跳的安全，所以IETF定義Diameter CMS應(yīng)用協(xié)議來保證數(shù)據(jù)安全。

Diameter MIP

由于未來移動通信網(wǎng)絡(luò)正逐步向全I(xiàn)P網(wǎng)絡(luò)演進(jìn)，這就不可避免碰到用戶移動到外部域的問題。Diameter MIP應(yīng)用協(xié)議允許用戶漫游到外部域，并在經(jīng)過鑒權(quán)后接受外部域Server和Agent提供的服務(wù)。在未來移動通信中，這種情況將十分常見，因此MIP協(xié)議對于移動通信系統(tǒng)來說至關(guān)重要。當(dāng)用戶移動到外部域的時候，需要進(jìn)行一系列的消息交換才能安全地接入外部網(wǎng)絡(luò)，接受其提供的服務(wù)。MIP協(xié)議的實現(xiàn)環(huán)境中MN和HA都可以在家鄉(xiāng)域或在外地域，其中比較典型的一種情況是MN在外地域而HA在家鄉(xiāng)域。

參考

• 系統(tǒng)架構(gòu)設(shè)計師教程-第4版
• 百度百科