网络之路专题二：AAA认证技术介绍

通信行业搬砖工

发布于 2024-06-13 20:30:54

690

发布于 2024-06-13 20:30:54

文章被收录于专栏：网络虚拟化网络虚拟化

小编通信行业搬砖工介绍数通常用技术系列，专家介绍了以太网自协商相关方面9的文章。

本期通信行业搬砖工会继续介绍以太网常用通信技术专题二：3A认证技术。

通信术语AAA背景知识介绍

在通信术语中，AAA认证是指**Authentication（认证）、Authorization（授权）和Accounting（计费）**的简称。

认证环节主要确认访问网络的用户的身份，判断访问者是否为合法的网络用户；授权环节则是依据认证结果，对不同用户赋予不同的权限，限制他们可以使用的服务；计费环节则记录用户使用网络服务过程中的所有操作，包括使用的服务类型、起始时间、数据流量等，用于收集和记录用户对网络资源的使用情况，并可以实现针对时间、流量的计费需求，对网络起到监视作用。

AAA认证在运营商网络中的应用十分广泛，特别是在移动通信网络和互联网接入服务中。通过AAA服务器对用户进行身份认证和授权管理，运营商可以有效地控制用户的访问行为，避免因用户滥用网络资源而导致的网络拥堵和安全问题。同时，AAA认证还可以精确计费，为用户提供个性化的资费套餐和服务，提升用户满意度。

AAA认证采用客户端/服务器结构，客户端运行于NAS（Network Access Server，网络接入服务器）上，负责验证用户身份与管理用户接入，服务器上则集中管理用户信息。当用户想要通过NAS获得访问其它网络的权利或取得某些网络资源的权利时，首先需要通过AAA认证，而NAS就起到了验证用户的作用。

1. AAA认证的三要素介绍

第一个A：认证（Authentication）

认证是AAA的第一个环节，用于验证访问网络的用户的身份，判断其是否为合法的用户。AAA服务器将用户的身份验证凭据（如密码、用户名和密码组合、数字证书等）与数据库中存储的用户凭据进行比较。如果两者匹配，则认证成功，用户将获得访问网络的权限；如果不匹配，则认证失败，网络访问将被拒绝。

应用举例：

AAA服务器将用户的身份验证凭据与存储在数据库中的用户凭据进行比较。如果凭据匹配，则身份认证成功，并且授予用户访问网络的权限。如果凭据不匹配，则身份认证失败，并且网络访问将被拒绝。用户的身份认证凭据通常使用：

密码
用户名和密码
数字证书

第二个A：授权（Authorization）

授权是AAA的第二个环节，用于确定经过身份认证的用户可以访问哪些网络资源或执行哪些操作。授权过程根据用户的角色、权限和策略，来限制用户能够使用的命令、能够访问的资源以及能够获取的信息。授权遵循最小特权原则，即只授予用户执行必要任务所需的最低权限，以减少潜在的安全风险。

应用举例：

用户身份认证成功之后，通过授权来确定：

用户能够使用的命令
用户能够访问的资源
用户能够获取的信息

授权的基本原则是最小特权原则，即仅授予用户执行其所需功能时必须的权限，以此来防范任何轻率的授权可能导致的意外或恶意的网络行为。

第三个A：计费（Accounting）

计费是AAA的第三个环节，用于记录和收集用户对网络资源的使用情况。这包括用户使用的服务类型、起始时间、数据流量等信息。计费不仅用于实现针对时间和流量的计费需求，还可以对网络进行监控，确保网络资源的合理使用和安全性。通过计费，运营商可以了解用户的网络行为，为优化网络资源和提供个性化服务提供依据。

应用举例：

记录的内容包括使用的服务类型、起始时间、数据流量等，用于收集和记录用户对网络资源的使用情况，并可以实现针对时间、流量的计费需求，也对网络起到监控作用。

2.AAA工作原理介绍

AAA认证的工作流程基于客户端/服务器结构，确保用户访问网络的安全性和合规性。这种结构简单、扩展性好，且便于集中管理用户信息。

如上图所示，AAA的基本实现流程如下：

用户请求接入：用户想要访问网络资源时，首先会与AAA客户端（通常运行在NAS设备，如路由器、交换机等）建立连接，并发送接入请求。
传递验证凭据： AAA客户端接收到用户的接入请求后，会收集用户的验证凭据（如用户名、密码等），并将其传递给AAA服务器。
认证处理： AAA服务器接收到用户的验证凭据后，会进行认证处理。认证过程通常包括核对用户的凭据与服务器中存储的用户信息进行比对。如果凭据匹配，则认证成功；否则，认证失败。
授权处理：认证成功后，AAA服务器会进行授权处理。授权过程会检查用户是否有权访问所请求的网络资源或服务。这通常基于用户的角色、权限以及策略来确定。
返回结果给AAA客户端： AAA服务器将认证和授权的结果返回给AAA客户端。这些结果可能包括用户是否认证成功、可以访问哪些资源等。
接入决策： AAA客户端根据服务器返回的结果，决定是否允许用户接入网络。如果认证和授权都成功，用户将被允许访问所请求的资源；否则，用户将被拒绝接入。
计费处理（可选）：如果AAA流程包含计费环节，服务器还会记录用户使用网络资源的相关信息，如使用时间、流量等，用于后续的计费处理。

在整个过程中，AAA客户端和服务器之间的通信通常基于特定的协议，如RADIUS（Remote Authentication Dial-In User Service）或TACACS+（Terminal Access Controller Access Control System Plus）。这些协议定义了客户端和服务器之间传递的信息格式和流程，确保了AAA认证的安全性和可靠性。

3. AAA认证协议介绍

AAA可以通过多种协议实现认证、授权和计费。RADIUS远程身份验证拨号用户服务RADIUS（Remote Authentication Dial-In User Service）是标准协议，基本所有主流设备厂商都支持，所以在实际网络中应用最多。

RADIUS协议可分为认证协议和计费协议，分别通过IETF RFC 2865和RFC 2866定义。由于定义RADIUS协议的时间早于AAA框架模型，所以RADIUS协议并没有将认证和授权分开，而是将认证和授权在同一个流程中进行处理。因此，使用RADIUS协议实现AAA时，用户可能无法知道被拒绝访问的原因是由于密码错误还是因为没有权限。

TACACS、TACACS+和HWTACACS

终端访问控制器控制系统TACACS（Terminal Access Controller Access-Control System），是一种起源于二十世纪八十年代的AAA协议。在之后的发展中，各厂商在TACACS协议的基础上进行了扩展，例如思科公司开发的TACACS+和华为公司开发的HWTACACS。TACACS+和HWTACACS均为私有协议，在发展过程中逐步替代了原来的TACACS协议，并且不再兼容TACACS协议。

HWTACACS协议可以兼容TACACS+协议，HWTACACS协议与TACACS+协议定义的报文结构和报文类型一致，主要区别在于授权和计费报文中携带的属性含义或类型不完全相同。

与RADIUS协议相比，HWTACACS或TACACS+更加适用于登录用户（例如STelnet用户）的身份认证场景。这是由于它在数据传输、加密上安全性更高，同时能够提供命令行鉴权、事件记录等优势功能。

LDAP和AD

轻量级目录存取协议LDAP（Lightweight Directory Access Protocol）是一种基于TCP/IP的目录访问协议。LDAP可以理解为一个数据库，该数据库中可以存储有层次的、有结构、有关联的各种类型的数据，比如：电子邮件地址、人力资源数据、联

系人列表等等。LDAP通过绑定和查询操作可以实现认证和授权功能，常用于单点登录场景，例如企业用户只需要在电脑上登录一次，就可以访问多个相互信任的应用系统。

AD（Active Directory）是LDAP的一个应用实例，是Windows操作系统上提供目录服务的组件，用来保存操作系统的用户信息。与LDAP相比，AD将Kerberos协议集成到LDAP认证过程中，利用Kerberos协议的对称密钥体制来提高密码传输的安全性，防止在LDAP认证过程中泄露用户的密码。

Diameter

Diameter是IETF定义的新一代AAA协议，由RADIUS协议演进而来。Diameter协议克服了RADIUS的许多缺点，例如Diameter协议支持移动IP、多接口和移动代理的认