小编通信行业搬砖工介绍数通常用技术系列,专家介绍了以太网自协商相关方面9的文章。
本期通信行业搬砖工会继续介绍以太网常用通信技术专题二:3A认证技术。
通信术语AAA背景知识介绍
在通信术语中,AAA认证是指**Authentication(认证)、Authorization(授权)和Accounting(计费)**的简称。
认证环节主要确认访问网络的用户的身份,判断访问者是否为合法的网络用户;授权环节则是依据认证结果,对不同用户赋予不同的权限,限制他们可以使用的服务;计费环节则记录用户使用网络服务过程中的所有操作,包括使用的服务类型、起始时间、数据流量等,用于收集和记录用户对网络资源的使用情况,并可以实现针对时间、流量的计费需求,对网络起到监视作用。
AAA认证在运营商网络中的应用十分广泛,特别是在移动通信网络和互联网接入服务中。通过AAA服务器对用户进行身份认证和授权管理,运营商可以有效地控制用户的访问行为,避免因用户滥用网络资源而导致的网络拥堵和安全问题。同时,AAA认证还可以精确计费,为用户提供个性化的资费套餐和服务,提升用户满意度。
AAA认证采用客户端/服务器结构,客户端运行于NAS(Network Access Server,网络接入服务器)上,负责验证用户身份与管理用户接入,服务器上则集中管理用户信息。当用户想要通过NAS获得访问其它网络的权利或取得某些网络资源的权利时,首先需要通过AAA认证,而NAS就起到了验证用户的作用。
1. AAA认证的三要素介绍
第一个A:认证(Authentication)
认证是AAA的第一个环节,用于验证访问网络的用户的身份,判断其是否为合法的用户。AAA服务器将用户的身份验证凭据(如密码、用户名和密码组合、数字证书等)与数据库中存储的用户凭据进行比较。如果两者匹配,则认证成功,用户将获得访问网络的权限;如果不匹配,则认证失败,网络访问将被拒绝。
应用举例:
AAA服务器将用户的身份验证凭据与存储在数据库中的用户凭据进行比较。如果凭据匹配,则身份认证成功,并且授予用户访问网络的权限。如果凭据不匹配,则身份认证失败,并且网络访问将被拒绝。用户的身份认证凭据通常使用:
第二个A:授权(Authorization)
授权是AAA的第二个环节,用于确定经过身份认证的用户可以访问哪些网络资源或执行哪些操作。授权过程根据用户的角色、权限和策略,来限制用户能够使用的命令、能够访问的资源以及能够获取的信息。授权遵循最小特权原则,即只授予用户执行必要任务所需的最低权限,以减少潜在的安全风险。
应用举例:
用户身份认证成功之后,通过授权来确定:
授权的基本原则是最小特权原则,即仅授予用户执行其所需功能时必须的权限,以此来防范任何轻率的授权可能导致的意外或恶意的网络行为。
第三个A:计费(Accounting)
计费是AAA的第三个环节,用于记录和收集用户对网络资源的使用情况。这包括用户使用的服务类型、起始时间、数据流量等信息。计费不仅用于实现针对时间和流量的计费需求,还可以对网络进行监控,确保网络资源的合理使用和安全性。通过计费,运营商可以了解用户的网络行为,为优化网络资源和提供个性化服务提供依据。
应用举例:
记录的内容包括使用的服务类型、起始时间、数据流量等,用于收集和记录用户对网络资源的使用情况,并可以实现针对时间、流量的计费需求,也对网络起到监控作用。
2.AAA工作原理介绍
AAA认证的工作流程基于客户端/服务器结构,确保用户访问网络的安全性和合规性。这种结构简单、扩展性好,且便于集中管理用户信息。
如上图所示,AAA的基本实现流程如下:
在整个过程中,AAA客户端和服务器之间的通信通常基于特定的协议,如RADIUS(Remote Authentication Dial-In User Service)或TACACS+(Terminal Access Controller Access Control System Plus)。这些协议定义了客户端和服务器之间传递的信息格式和流程,确保了AAA认证的安全性和可靠性。
3. AAA认证协议介绍
AAA可以通过多种协议实现认证、授权和计费。RADIUS远程身份验证拨号用户服务RADIUS(Remote Authentication Dial-In User Service)是标准协议,基本所有主流设备厂商都支持,所以在实际网络中应用最多。
RADIUS协议可分为认证协议和计费协议,分别通过IETF RFC 2865和RFC 2866定义。由于定义RADIUS协议的时间早于AAA框架模型,所以RADIUS协议并没有将认证和授权分开,而是将认证和授权在同一个流程中进行处理。因此,使用RADIUS协议实现AAA时,用户可能无法知道被拒绝访问的原因是由于密码错误还是因为没有权限。
TACACS、TACACS+和HWTACACS
终端访问控制器控制系统TACACS(Terminal Access Controller Access-Control System),是一种起源于二十世纪八十年代的AAA协议。在之后的发展中,各厂商在TACACS协议的基础上进行了扩展,例如思科公司开发的TACACS+和华为公司开发的HWTACACS。TACACS+和HWTACACS均为私有协议,在发展过程中逐步替代了原来的TACACS协议,并且不再兼容TACACS协议。
HWTACACS协议可以兼容TACACS+协议,HWTACACS协议与TACACS+协议定义的报文结构和报文类型一致,主要区别在于授权和计费报文中携带的属性含义或类型不完全相同。
与RADIUS协议相比,HWTACACS或TACACS+更加适用于登录用户(例如STelnet用户)的身份认证场景。这是由于它在数据传输、加密上安全性更高,同时能够提供命令行鉴权、事件记录等优势功能。
LDAP和AD
轻量级目录存取协议LDAP(Lightweight Directory Access Protocol)是一种基于TCP/IP的目录访问协议。LDAP可以理解为一个数据库,该数据库中可以存储有层次的、有结构、有关联的各种类型的数据,比如:电子邮件地址、人力资源数据、联
系人列表等等。LDAP通过绑定和查询操作可以实现认证和授权功能,常用于单点登录场景,例如企业用户只需要在电脑上登录一次,就可以访问多个相互信任的应用系统。
AD(Active Directory)是LDAP的一个应用实例,是Windows操作系统上提供目录服务的组件,用来保存操作系统的用户信息。与LDAP相比,AD将Kerberos协议集成到LDAP认证过程中,利用Kerberos协议的对称密钥体制来提高密码传输的安全性,防止在LDAP认证过程中泄露用户的密码。
Diameter
Diameter是IETF定义的新一代AAA协议,由RADIUS协议演进而来。Diameter协议克服了RADIUS的许多缺点,例如Diameter协议支持移动IP、多接口和移动代理的认
证、授权和计费等。随着Diameter协议及其应用的不断成熟和标准化,它对未来移动通信系统和宽带接入系统的发展将起到巨大的推动作用 。
4. AAA认证应用场景介绍
根据用户接入的方式不同,AAA在网络中可以划分为以下几种应用:
场景一:登录用户管理
登录用户指的是直接登录设备进行操作的用户,例如Console口登录、Stelnet登录等。此类用户对安全性的要求较高,通过AAA可以限制哪些用户可以登录到设备,登录到设备后能执行哪些命令或者记录用户执行的操作等。
场景二:NAC 用户接入控制
NAC用户指的是通过802.1X、MAC、Portal方式接入网络的用户。这些用户可以是有线用户、也可以是无线用户,可能是接入企业园区网络、教育网络、医疗网络或商超网络等等。此类用户存在类型复杂、变动频繁、权限级别要求不统一等问题。AAA结合NAC,可以有效保证接入用户的安全性。
作者简介
作者:通信行业搬砖工 云网络高级软件工程师
近14年数通领域行业经验
原华为3Com软件部交换机产品线
现云网络行业从业者
(正文完)
下期预告:网络之路专题三:ARP技术介绍
END
转载与投稿
文章转载需注明:文章来源公众号:通信行业搬砖工,并且附上链接