通信人家园

标题: AAA技术讲解  [查看完整版帖子] [打印本页]

时间:  2024-8-4 16:17
作者: 114domian888     标题: AAA技术讲解

AAA认证方式
不认证:对用户非常信任,不对其进行合法性检查,一般情况下不采用这种方式。
本地认证:将用户信息(包括本地用户的用户名、密码和各种属性)配置在设备上。本地认证的优点是速度快,可以降低运营成本;缺点是存储信息量受设备硬件条件限制。

远端认证:支持通过RADIUS协议或TACACS协议进行远端认证,由设备作为Client端,与RADIUS服务器或TACACS服务器通信。对于RADIUS协议,可以采用标准或扩展的RADIUS协议。

AAA计费方式
不计费(none):不对用户计费。
本地计费(local):本地计费是为了支持本地用户的连接数限制管理,实现了对用户接入数的统计功能,没有实际的费用统计功能。本地的接入数管理只对本地计费有效,对本地认证和授权没有作用。
远端计费:支持通过RADIUS服务器或TACACS服务器进行远端计费。


AAA授权方式
直接授权:对用户非常信任,直接授权通过,此时用户的权限为系统的默认权限。
本地授权:根据设备上为本地用户帐号配置的相关属性进行授权。
TACACS授权:由TACACS服务器对用户进行授权。  

RADIUS授权:RADIUS授权是特殊的流程。RADIUS的认证和授权是在同一个流程里完成的。RADIUS在完成认证的同时会将授权信息封装在RADIUS认证回应报文下发。


RADIUS
    RADIUS(Remote Authentication Dial-In User Service,远程认证拨号用户服务)是一种分布式的、客户端/服务器结构的信息交互协议,能保护网络不受未授权访问的干扰,常应用在既要求较高安全性、又允许远程用户访问的各种网络环境中。该协议定义了基于UDP 的RADIUS 帧格式及其消息传输机制,并规定UDP 端口1812、1813 分别作为认证、计费端口。
    RADIUS 最初仅是针对拨号用户的AAA 协议,后来随着用户接入方式的多样化发展,RADIUS 也适应多种用户通过认证授权来提供接入接入方式,如以太网接入、ADSL 接入。它服务,通过计费来收集、记录用户对网络资源的使用。

RADIUS的客户端/服务器模式
客户端:RADIUS 客户端一般位于NAS 设备上,可以遍布整个网络,负责传输用户信息到指定的RADIUS 服务器,然后根据从服务器返回的信息进行相应处理(如接受/拒绝用户接入)。
服务器:RADIUS 服务器一般运行在中心计算机或工作站上,维护相关的用户认证和网络服务访问信息,负责接收用户连接请求并认证用户,然后给客户端返回所有需要的信息(如接受/拒绝认证请求)。

RADIUS的安全和认证机制
RADIUS 客户端和RADIUS 服务器之间认证消息的交互是通过共享密钥的参与来完成的,并且共享密钥不能通过网络来传输,增强了信息交互的安全性。另外,为防止用户密码在不安全的网络上传递时被窃取,在传输过程中对密码进行了加密。
RADIUS 服务器支持多种方法来认证用户,如基于PPP 的PAP、CHAP 认证。另外,RADIUS 服务器还可以为其它类型的认证服务器提供代理客户端的功能,向其提出认证请求。

RADIUS基本消息交互流程
3.png

消息交互流程如下:
(1) 用户发起连接请求,向RADIUS 客户端发送用户名和密码。
(2) RADIUS 客户端根据获取的用户名和密码, 向RADIUS 服务器发送认证请求包Access-Request,其中的密码在共享密钥的参与下由MD5 算法进行加密处理。
(3) RADIUS 服务器对用户名和密码进行认证。如果认证成功,RADIUS 服务器向RADIUS 客户端发送认证接受包(Access-Accept);如果认证失败,则返回认证拒绝包(Access-Reject)。由于RADIUS 协议合并了认证和授权的过程,因此认证接受包中也包含了用户的授权信息。
(4) RADIUS 客户端根据接收到的认证结果接入/拒绝用户。如果允许用户接入,则RADIUS 客户端向RADIUS 服务器发送计费开始请求包(Accounting-Request)。
(5) RADIUS 服务器返回计费开始响应包(Accounting-Response),并开始计费。
(6) 用户开始访问网络资源;
(7) 用户请求断开连接, RADIUS 客户端向RADIUS 服务器发送计费停止请求包(Accounting-Request)。
(8) RADIUS 服务器返回计费结束响应包(Accounting-Response),并停止计费。
(9) 用户结束访问网络资源。


TACACS+
TACACS+(Terminal Access Controller Access Control System,终端访问控制器控制系统协议)是在TACACS(RFC 1492)基础上进行了功能增强的安全协议。该协议与RADIUS 协议类似,采用客户端/服务器模式实现NAS 与TACACS 服务器之间的通信TACACS 协议主要用于PPP(Point-to-Point Protocol,点对点协议)和VPDN(Virtual PrivateDial-up Network,虚拟私有拨号网络)接入用户及终端用户的认证、授权和计费。其典型应用是对需要登录到设备上进行操作的终端用户进行认证、授权、计费。设备作为TACACS 的客户端,将用户名和密码发给TACACS 服务器进行验证。用户验证通过并得到授权之后可以登录到设备上进行操作。





附件: 3.png (2024-8-4 16:11, 62.41 KB) / 下载次数 0
https://www.txrjy.com/forum.php?mod=attachment&aid=NjQ1MjczfDE2NTc1ODhhfDE3MzQ0ODYxOTZ8MHww
时间:  2024-8-5 07:05
作者: cnqq9999

感谢分享
时间:  2024-8-5 07:25
作者: 777888999






通信人家园 (https://www.txrjy.com/) Powered by C114