AAA是Authentication(認證)、Authorization(授權(quán))和Accounting(計費)的簡稱，是網(wǎng)絡(luò)安全的一種管理機制，提供了認證、授權(quán)、計費3種安全功能。同時提供本地認證/授權(quán)方式、RADIUS服務(wù)器認證/授權(quán)和計費方式、HWTACACS服務(wù)器認證/授權(quán)和計費三種AAA方案。后兩種可視為“委托認證/授權(quán)/計費”方式，因為這兩種方式中的認證/授權(quán)/計費功能的實現(xiàn)不是由本地設(shè)備完成的，而是所配置的遠程RADIUS服務(wù)器或HWTACACS服務(wù)器完成的。

AAA采用基于用戶(可以是所有用戶，也可以是特定用戶組中的用戶)進行認證、授權(quán)和計費的方案。

AAA基礎(chǔ)

AAA是Authentication(認證)、Authorization(授權(quán))和Accounting(計費)的簡稱，提供了認證、授權(quán)、計費3種安全功能。其中“認證”是用來驗證用戶是否可以獲得網(wǎng)絡(luò)訪問權(quán);“授權(quán)”是授權(quán)通過認證的用戶可以使用哪些服務(wù);“計費”是記錄通過認證的用戶使用網(wǎng)絡(luò)資源的情況。在實際網(wǎng)絡(luò)應(yīng)用中，可以只使用AAA提供的一種或兩種安全服務(wù)。

一、AAA的基本構(gòu)架

AAA是采用“客戶端/服務(wù)器”(C/S)結(jié)構(gòu)，其中AAA客戶端(也稱網(wǎng)絡(luò)接入服務(wù)器——NAS)就是使能了AAA功能的網(wǎng)絡(luò)設(shè)備(可以是網(wǎng)絡(luò)中任意一臺設(shè)備，不一定是接入設(shè)備，而且可以在網(wǎng)絡(luò)中多個設(shè)備上使能)，而AAA服務(wù)器就是專門用來認證、授權(quán)和計費的服務(wù)器(可以由服務(wù)器主機配置，也可以由提供了對應(yīng)服務(wù)器功能的網(wǎng)絡(luò)設(shè)備上配置)

在設(shè)備上使能了AAA功能后，當用戶要通過AAA客戶端訪問某個網(wǎng)絡(luò)前，需要先從AAA服務(wù)器中獲得訪問該網(wǎng)絡(luò)的權(quán)限。但這個任務(wù)通常不是由擔當AAA客戶端的設(shè)備自己來完成的，而是通過設(shè)備把用戶的認證、授權(quán)、計費信息發(fā)送給AAA服務(wù)器來完成的。當然，如果在擔當AAA客戶端的設(shè)備上同時配置了相應(yīng)的AAA服務(wù)器功能，則此時客戶端和服務(wù)器端就為一體了，這時實現(xiàn)的是AAA本地認證和授權(quán)(本地方式不提供計費功能)了。

1、AAA認證

華為的AAA功能支持以下認證方式：

(1)不認證：對用戶非常信任，不對其進行合法檢查，一般情況下不采用這種方式。

(2)本地認證：將用戶信息配置在本地設(shè)備上。本地認證的優(yōu)點是速度快，可以為運營商降低成本，缺點是存儲信息量受設(shè)備硬件條件限制。

(3)遠程認證：將用戶信息配置在AAA認證服務(wù)器上。支持通過RADIUS(Remote Authentication Dial In User Service，遠程認證撥入用戶服務(wù))協(xié)議或HWTACACS(HuaWei Terminal Access Controller Access Control System，華為終端訪問控制系統(tǒng))協(xié)議進行遠程認證。

2、AAA授權(quán)

華為的AAA功能支持3種授權(quán)方式：

(1)不授權(quán)：不對用戶進行授權(quán)處理。

(2)本地授權(quán)：根據(jù)本地設(shè)備為本地用戶賬號配置的相關(guān)屬性(如允許使用的接入服務(wù)類型和FTP訪問目錄等)進行授權(quán)。

(3)遠程授權(quán)：由HWTACACS、RADIUS等服務(wù)器對用戶進行遠程授權(quán)。

3、計費

華為的AAA功能支持2種計費方式(不支持本地計費方式)：

(1)不計費：不對用戶計費。

(2)計費：設(shè)備將計費報文送往HWTACACS、RADIUS服務(wù)器，由HWTACACS、RADIUS服務(wù)器完成對用戶的計費。

二、AAA基于域的用戶管理

華為交換機通過域來進行AAA用戶管理，每個域下可以應(yīng)用不同的認證、授權(quán)和計費方案，以及RADIUS或者HWTACACS服務(wù)器模板，相當于對用戶進行分類管理。屬于域中的用戶通過在該域中應(yīng)用的認證、授權(quán)和計費方案進行認證、授權(quán)和計費。所以后面的AAA方案配置中，一定要在對應(yīng)的域下被綁定、應(yīng)用才能對具體用戶生效。

缺省情況下，設(shè)備存在配置名為default和default_admin兩個域，全局缺省普通域為default，全局缺省管理域為default_admin。兩個域均不能刪除，只能修改。當無法確認接入用戶的域時使用缺省域，default域為接入用戶的缺省域，缺省為本地認證;default_admin域為管理員賬戶(如http、SSH、telnet、terminal和ftp用戶)的缺省域，缺省為本地認證。

用戶所屬的域是由域分隔符后的字符串來決定的。域分隔符可以是為“@”、“|”、“%”等符號，如user@huawei就表示屬于huawei域。如果用戶名中沒有帶@，就屬于系統(tǒng)缺省的default域。

自定義的域可以同時被配置成全局缺省普通域和全局缺省管理域。但域下配置的授權(quán)信息較AAA服務(wù)器的授權(quán)信息優(yōu)先級低，即優(yōu)先使用AAA服務(wù)器下發(fā)的授權(quán)屬性，在AAA服務(wù)器無該項授權(quán)或不支持該項授權(quán)時域的授權(quán)屬性才生效。當然通常是兩者配置的授權(quán)屬性一致。

三、RADIUS協(xié)議

RADIUS最初僅是針對撥號用戶的AAA協(xié)議，后來隨著用戶接入方式的多樣性，RADIUS也適應(yīng)多種用戶接入方式，如以太網(wǎng)接入，ADSL接入。它通過認證授權(quán)來提供接入服務(wù)，通過計費來收集、記錄用戶對網(wǎng)絡(luò)資源的使用。該協(xié)議定義了基于UDP的RADIUS幀格式及其消息傳輸機制，并規(guī)定UDP端口1812、1813分別作為認證(包括授權(quán))、計費端口。

1、RADIUS服務(wù)器

RADIUS服務(wù)器程序一般運行在中心計算機或工作站上，維護相關(guān)的用戶認證和網(wǎng)絡(luò)服務(wù)訪問信息，負責接收用戶連接請求并認證用戶，然后給客戶端返回所有需要的信息(如接受/拒絕認證請求)。RADIUS服務(wù)器通常要維護以下3個數(shù)據(jù)庫：

(1)Users：用于存儲用戶信息(如用戶名、口令以及使用的協(xié)議、IP地址等配置信息)。

(2)Clients：用于存儲RADIUS客戶端的信息(如接入設(shè)備的共享秘鑰、IP地址等)。

(3)Dictionary：用于存儲RADIUS協(xié)議中的屬性和屬性值含義的信息。

2、RADIUS客戶端

RADIUS客戶端程序一般位于網(wǎng)絡(luò)接入服務(wù)器NAS(Network Access Server)設(shè)備上，可以遍布整個網(wǎng)絡(luò)，負責傳輸各個接入網(wǎng)絡(luò)用戶信息到指定的RADIUS服務(wù)器，然后根據(jù)從RADIUS服務(wù)器返回的信息進行相應(yīng)處理(如接受/拒絕用戶接入)。

3、安全機制

RADIUS客戶端和RADIUS服務(wù)器之間認證消息的交互是通過共享秘鑰來對傳輸數(shù)據(jù)加密的，但共享秘鑰不通過網(wǎng)絡(luò)來傳輸，增強了信息交互的安全性。

4、認證和計費消息流程

RADIUS客戶端與服務(wù)器間的信息交互流程如下圖：

(1)用戶訪問RADIUS客戶端設(shè)備時，會按照提示輸入用戶名和密碼，發(fā)送給客戶設(shè)備。

(2)客戶端設(shè)備在收到用戶發(fā)來的用戶名和密碼信息向RADIUS服務(wù)器發(fā)送認證請求。

(3)RADIUS服務(wù)器接收到合法的請求后，完成認證，并把所需的用戶授權(quán)信息返回給接入設(shè)備;對于非法的請求，RADIUS服務(wù)器返回認證失敗的信息給客戶端設(shè)備。

RADIUS計費的信息交互流程和認證/授權(quán)的信息交互流程類似。

四、HWTACACS協(xié)議

HWTACACS是在TACACS(RFC1492)基礎(chǔ)上進行了功能增強的安全協(xié)議。該協(xié)議與RADIUS協(xié)議類似，也是采用C/S模式實現(xiàn)NAS與HWTACACS服務(wù)器之間的通信。

HWTACACS協(xié)議主要用于點對點協(xié)議PPP和VPDN(VirtualPrivate Dial-up Network，虛擬私有撥號網(wǎng)絡(luò))接入用戶及終端用戶的認證、授權(quán)和計費。其典型應(yīng)用是對需要登錄到設(shè)備上進行操作的終端用戶進行認證、授權(quán)和計費。同樣，這時的設(shè)備是作為HWTACACS的客戶端，負責將用戶名和密碼發(fā)給HWTACACS服務(wù)器進行驗證。

HWTACACS協(xié)議與RADIUS協(xié)議都實現(xiàn)了認證、授權(quán)、計費功能，它們有很多相似點：結(jié)構(gòu)上都采用C/S模式，都使用公共秘鑰對傳輸?shù)挠脩粜畔⑦M行加密。與RADIUS相比，HWTACACS具有更加可靠的傳輸和加密特性，更加適合于安全控制。

如何辦理AAA重合同守信用企業(yè)什么條件

如何辦理AAA重合同守信用企業(yè)什么條件如何辦理AAA重合同守信用企業(yè)什么條件我們的優(yōu)勢：1.我們保證證書真實有效，在發(fā)證單位網(wǎng)站上可查詢?！?p>

如何申請重合同守信用企業(yè)認證什么條件

如何申請重合同守信用企業(yè)認證什么條件如何申請重合同守信用企業(yè)認證什么條件辦理公司榮譽證書的作用：1．促進中小公司健康發(fā)展，培育、扶……

辦理信用等級AAA企業(yè)要多少錢

辦理信用等級AAA企業(yè)要多少錢辦理信用等級AAA企業(yè)要多少錢企業(yè)信用等級劃分及有效期1、中小企業(yè)信用等級劃分為A、B、C三等九級； 2、評價結(jié)……

怎么申請質(zhì)量服務(wù)誠信AAA企業(yè)

怎么申請質(zhì)量服務(wù)誠信AAA企業(yè)怎么申請質(zhì)量服務(wù)誠信AAA企業(yè) 幫助企業(yè)辦理基本的認證、證書、榮譽獎項的、辦理的均可真是有效，網(wǎng)上可驗證可……

中企認證咨詢網(wǎng)積累了豐富的國際質(zhì)量認證工作經(jīng)驗，各項業(yè)務(wù)均成果卓著。始終以服務(wù)國家經(jīng)濟社會發(fā)展和提升人民生活品質(zhì)為己任，依托產(chǎn)品認證(包括服務(wù)認證、自愿性認證)、管理體系認證和認證培訓(xùn)業(yè)務(wù)，著力開展節(jié)能。在積極促進國際貿(mào)易，調(diào)整經(jīng)濟結(jié)構(gòu)，保護消費者安全健康，構(gòu)建社會誠信體系，參與"兩型"社會建設(shè)等方面做出了積極貢獻。同時，自身獲得了跨越式發(fā)展，已成為業(yè)務(wù)門類全、服務(wù)網(wǎng)絡(luò)廣、工作手段新、技術(shù)力量強、人員素質(zhì)高的一流認證機構(gòu)，可以方便快捷地為世界各地的客戶提供高效、優(yōu)質(zhì)的"一站式"服務(wù)。中企認證咨詢網(wǎng)秉承"和諧、進取、責任"的理念，正在朝著建立社會公信力高，有較強創(chuàng)新能力、市場競爭能力和可持續(xù)發(fā)展能力，向業(yè)界有較高知名度的國際型認證機構(gòu)的目標努力前行，優(yōu)質(zhì)的服務(wù)、雄厚的技術(shù)力量、先進的管理水平保障了中企認證咨詢網(wǎng)業(yè)務(wù)的順利開展，為順利實現(xiàn)中企認證咨詢網(wǎng)的質(zhì)量目標、為認證機構(gòu)的品牌提供了有力保障。

中企認證咨詢網(wǎng)專業(yè)從事ISO9001、ISO14001、OHSAS18001、IATF16949、ISO27001、ISO13485、ISO22000、HACCP、ISO20000、ISO45001、QC080000、GB/T50430、GB/T27922售后服務(wù)體系認證、GB/T29490知識產(chǎn)權(quán)管理體系、ISO37001、ISO50001、ISO22163、兩化融合體系、系統(tǒng)集成資質(zhì)、十環(huán)認證、SMETA、SEDEX、BSCI、SA8000、FSC、ICTI、GSV、C-TPAT、WRAP、EICC、GMP、GMPC、ETI、BRC、驗廠咨詢、商務(wù)部信用等級、誠信信用等級、ISO體系、CE、3C、AAA等認證咨詢服務(wù)。認證價格實惠，證書真實有效，認監(jiān)委可查，如有疑問，可點擊garryr.com了解詳情，竭誠為您服務(wù)!