資源描述:
《AAA協(xié)議介紹.doc》由會員上傳分享,免費(fèi)在線閱讀,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫。
1、AAAAAA簡介AAA是Authentication、Authorization、Accounting(認(rèn)證、授權(quán)、計費(fèi))的簡稱,是網(wǎng)絡(luò)安全的一種管理機(jī)制,提供了認(rèn)證、授權(quán)、計費(fèi)三種安全功能。AAA一般采用客戶機(jī)/服務(wù)器結(jié)構(gòu),客戶端運(yùn)行于NAS(NetworkAccessServer,網(wǎng)絡(luò)接入服務(wù)器)上,服務(wù)器上則集中管理用戶信息。NAS對于用戶來講是服務(wù)器端,對于服務(wù)器來說是客戶端。AAA的基本組網(wǎng)結(jié)構(gòu)如圖1。圖1AAA基本組網(wǎng)結(jié)構(gòu)示意圖?當(dāng)用戶想要通過某網(wǎng)絡(luò)與NAS建立連接,從而獲得訪問其它網(wǎng)絡(luò)的權(quán)利或取得某些網(wǎng)絡(luò)資源的權(quán)
2、利時,NAS起到了驗證用戶或?qū)?yīng)連接的作用。NAS負(fù)責(zé)把用戶的認(rèn)證、授權(quán)、計費(fèi)信息透傳給服務(wù)器(RADIUS服務(wù)器或HWTACACS服務(wù)器),RADIUS協(xié)議或HWTACACS協(xié)議規(guī)定了NAS與服務(wù)器之間如何傳遞用戶信息。圖1-1的AAA基本組網(wǎng)結(jié)構(gòu)中有兩臺服務(wù)器,用戶可以根據(jù)實際組網(wǎng)需求來決定認(rèn)證、授權(quán)、計費(fèi)功能分別由使用哪種協(xié)議類型的服務(wù)器來承擔(dān)。例如,可以選擇HWTACACS服務(wù)器實現(xiàn)認(rèn)證和授權(quán),RADIUS服務(wù)器實現(xiàn)計費(fèi)。這三種安全服務(wù)功能的具體作用如下:l?????????????認(rèn)證:確認(rèn)遠(yuǎn)端訪問用戶的身份,判斷訪
3、問者是否為合法的網(wǎng)絡(luò)用戶;l?????????????授權(quán):對不同用戶賦予不同的權(quán)限,限制用戶可以使用的服務(wù)。例如用戶成功登錄服務(wù)器后,管理員可以授權(quán)用戶對服務(wù)器中的文件進(jìn)行訪問和打印操作;l?????????????計費(fèi):記錄用戶使用網(wǎng)絡(luò)服務(wù)中的所有操作,包括使用的服務(wù)類型、起始時間、數(shù)據(jù)流量等,它不僅是一種計費(fèi)手段,也對網(wǎng)絡(luò)安全起到了監(jiān)視作用。當(dāng)然,用戶可以只使用AAA提供的一種或兩種安全服務(wù)。例如,公司僅僅想讓員工在訪問某些特定資源的時候進(jìn)行身份認(rèn)證,那么網(wǎng)絡(luò)管理員只要配置認(rèn)證服務(wù)器就可以了。但是若希望對員工使用網(wǎng)絡(luò)的情
4、況進(jìn)行記錄,那么還需要配置計費(fèi)服務(wù)器。如上所述,AAA是一種管理框架,它提供了授權(quán)部分實體去訪問特定資源,同時可以記錄這些實體操作行為的一種安全機(jī)制,因其具有良好的可擴(kuò)展性,并且容易實現(xiàn)用戶信息的集中管理而被廣泛使用。AAA可以通過多種協(xié)議來實現(xiàn),目前設(shè)備支持基于RADIUS協(xié)議、HWTACACS協(xié)議或LDAP協(xié)議來實現(xiàn)AAA,在實際應(yīng)用中,最常使用RADIUS協(xié)議。RADIUS協(xié)議簡介RADIUS(RemoteAuthenticationDial-InUserService,遠(yuǎn)程認(rèn)證撥號用戶服務(wù))是一種分布式的、客戶端/服務(wù)
5、器結(jié)構(gòu)的信息交互協(xié)議,能保護(hù)網(wǎng)絡(luò)不受未授權(quán)訪問的干擾,常應(yīng)用在既要求較高安全性、又允許遠(yuǎn)程用戶訪問的各種網(wǎng)絡(luò)環(huán)境中。該協(xié)議定義了基于UDP的RADIUS幀格式及其消息傳輸機(jī)制,并規(guī)定UDP端口1812、1813分別作為認(rèn)證、計費(fèi)端口。RADIUS最初僅是針對撥號用戶的AAA協(xié)議,后來隨著用戶接入方式的多樣化發(fā)展,RADIUS也適應(yīng)多種用戶接入方式,如以太網(wǎng)接入、ADSL接入。它通過認(rèn)證授權(quán)來提供接入服務(wù),通過計費(fèi)來收集、記錄用戶對網(wǎng)絡(luò)資源的使用。客戶端/服務(wù)器模式l?????????????客戶端:RADIUS客戶端一般位于N
6、AS設(shè)備上,可以遍布整個網(wǎng)絡(luò),負(fù)責(zé)傳輸用戶信息到指定的RADIUS服務(wù)器,然后根據(jù)從服務(wù)器返回的信息進(jìn)行相應(yīng)處理(如接受/拒絕用戶接入)。l?????????????服務(wù)器:RADIUS服務(wù)器一般運(yùn)行在中心計算機(jī)或工作站上,維護(hù)相關(guān)的用戶認(rèn)證和網(wǎng)絡(luò)服務(wù)訪問信息,負(fù)責(zé)接收用戶連接請求并認(rèn)證用戶,然后給客戶端返回所有需要的信息(如接受/拒絕認(rèn)證請求)。RADIUS服務(wù)器通常要維護(hù)三個數(shù)據(jù)庫,如圖2所示:圖2RADIUS服務(wù)器的組成?l?????????????“Users”:用于存儲用戶信息(如用戶名、口令以及使用的協(xié)議、IP地址
7、等配置信息)。l?????????????“Clients”:用于存儲RADIUS客戶端的信息(如接入設(shè)備的共享密鑰、IP地址等)。l?????????????“Dictionary”:用于存儲RADIUS協(xié)議中的屬性和屬性值含義的信息。安全和認(rèn)證機(jī)制RADIUS客戶端和RADIUS服務(wù)器之間認(rèn)證消息的交互是通過共享密鑰的參與來完成的,并且共享密鑰不能通過網(wǎng)絡(luò)來傳輸,增強(qiáng)了信息交互的安全性。另外,為防止用戶密碼在不安全的網(wǎng)絡(luò)上傳遞時被竊取,在傳輸過程中對密碼進(jìn)行了加密。RADIUS服務(wù)器支持多種方法來認(rèn)證用戶,如基于PPP的P
8、AP、CHAP認(rèn)證。另外,RADIUS服務(wù)器還可以為其它類型的認(rèn)證服務(wù)器提供代理客戶端的功能,向其提出認(rèn)證請求。RADIUS的基本消息交互流程用戶、RADIUS客戶端和RADIUS服務(wù)器之間的交互流程如圖3所示。圖3RADIUS的基本消息交互流程?消息交互流程如下:(1)??