AAA基本介绍

郑全

AAA是Authentication（认证）、Authorization（授权）和Accounting（计费）的简称，是网络安全的一种管理机制，提供了认证、授权、计费3种安全功能。同时提供本地认证/授权方式、RADIUS服务器认证/授权和计费方式、HWTACACS服务器认证/授权和计费三种AAA方案。后两种可视为“委托认证/授权/计费”方式，因为这两种方式中的认证/授权/计费功能的实现不是由本地设备完成的，而是所配置的远程RADIUS服务器或HWTACACS服务器完成的。



AAA采用基于用户（可以是所有用户，也可以是特定用户组中的用户）进行认证、授权和计费的方案。

AAA基础

AAA是Authentication（认证）、Authorization（授权）和Accounting（计费）的简称，提供了认证、授权、计费3种安全功能。其中“认证”是用来验证用户是否可以获得网络访问权；“授权”是授权通过认证的用户可以使用哪些服务；“计费”是记录通过认证的用户使用网络资源的情况。在实际网络应用中，可以只使用AAA提供的一种或两种安全服务。

一、AAA的基本构架

AAA是采用“客户端/服务器”（C/S）结构，其中AAA客户端（也称网络接入服务器——NAS）就是使能了AAA功能的网络设备（可以是网络中任意一台设备，不一定是接入设备，而且可以在网络中多个设备上使能），而AAA服务器就是专门用来认证、授权和计费的服务器（可以由服务器主机配置，也可以由提供了对应服务器功能的网络设备上配置）

在设备上使能了AAA功能后，当用户要通过AAA客户端访问某个网络前，需要先从AAA服务器中获得访问该网络的权限。但这个任务通常不是由担当AAA客户端的设备自己来完成的，而是通过设备把用户的认证、授权、计费信息发送给AAA服务器来完成的。当然，如果在担当AAA客户端的设备上同时配置了相应的AAA服务器功能，则此时客户端和服务器端就为一体了，这时实现的是AAA本地认证和授权（本地方式不提供计费功能）了。

1、AAA认证

华为的AAA功能支持以下认证方式：

（1）不认证：对用户非常信任，不对其进行合法检查，一般情况下不采用这种方式。

（2）本地认证：将用户信息配置在本地设备上。本地认证的优点是速度快，可以为运营商降低成本，缺点是存储信息量受设备硬件条件限制。

（3）远程认证：将用户信息配置在AAA认证服务器上。支持通过RADIUS（Remote Authentication Dial In User Service，远程认证拨入用户服务）协议或HWTACACS（HuaWei Terminal Access Controller Access Control System，华为终端访问控制系统）协议进行远程认证。


2、AAA授权

华为的AAA功能支持3种授权方式：

（1）不授权：不对用户进行授权处理。

（2）本地授权：根据本地设备为本地用户账号配置的相关属性（如允许使用的接入服务类型和FTP访问目录等）进行授权。

（3）远程授权：由HWTACACS、RADIUS等服务器对用户进行远程授权。


3、计费

华为的AAA功能支持2种计费方式（不支持本地计费方式）：

（1）不计费：不对用户计费。

（2）计费：设备将计费报文送往HWTACACS、RADIUS服务器，由HWTACACS、RADIUS服务器完成对用户的计费。


二、AAA基于域的用户管理



华为交换机通过域来进行AAA用户管理，每个域下可以应用不同的认证、授权和计费方案，以及RADIUS或者HWTACACS服务器模板，相当于对用户进行分类管理。属于域中的用户通过在该域中应用的认证、授权和计费方案进行认证、授权和计费。所以后面的AAA方案配置中，一定要在对应的域下被绑定、应用才能对具体用户生效。



缺省情况下，设备存在配置名为default和default_admin两个域，全局缺省普通域为default，全局缺省管理域为default_admin。两个域均不能删除，只能修改。当无法确认接入用户的域时使用缺省域，default域为接入用户的缺省域，缺省为本地认证；default_admin域为管理员账户（如http、SSH、telnet、terminal和ftp用户）的缺省域，缺省为本地认证。



用户所属的域是由域分隔符后的字符串来决定的。域分隔符可以是为“@”、“|”、“%”等符号，如user@huawei就表示属于huawei域。如果用户名中没有带@，就属于系统缺省的default域。



自定义的域可以同时被配置成全局缺省普通域和全局缺省管理域。但域下配置的授权信息较AAA服务器的授权信息优先级低，即优先使用AAA服务器下发的授权属性，在AAA服务器无该项授权或不支持该项授权时域的授权属性才生效。当然通常是两者配置的授权属性一致。



三、RADIUS协议



RADIUS最初仅是针对拨号用户的AAA协议，后来随着用户接入方式的多样性，RADIUS也适应多种用户接入方式，如以太网接入，ADSL接入。它通过认证授权来提供接入服务，通过计费来收集、记录用户对网络资源的使用。该协议定义了基于UDP的RADIUS帧格式及其消息传输机制，并规定UDP端口1812、1813分别作为认证（包括授权）、计费端口。



1、RADIUS服务器



RADIUS服务器程序一般运行在中心计算机或工作站上，维护相关的用户认证和网络服务访问信息，负责接收用户连接请求并认证用户，然后给客户端返回所有需要的信息（如接受/拒绝认证请求）。RADIUS服务器通常要维护以下3个数据库：



（1）Users：用于存储用户信息（如用户名、口令以及使用的协议、IP地址等配置信息）。



（2）Clients：用于存储RADIUS客户端的信息（如接入设备的共享秘钥、IP地址等）。



（3）Dictionary：用于存储RADIUS协议中的属性和属性值含义的信息。



2、RADIUS客户端



RADIUS客户端程序一般位于网络接入服务器NAS（Network Access Server）设备上，可以遍布整个网络，负责传输各个接入网络用户信息到指定的RADIUS服务器，然后根据从RADIUS服务器返回的信息进行相应处理（如接受/拒绝用户接入）。



3、安全机制



RADIUS客户端和RADIUS服务器之间认证消息的交互是通过共享秘钥来对传输数据加密的，但共享秘钥不通过网络来传输，增强了信息交互的安全性。



4、认证和计费消息流程



RADIUS客户端与服务器间的信息交互流程如下图：







（1）用户访问RADIUS客户端设备时，会按照提示输入用户名和密码，发送给客户设备。



（2）客户端设备在收到用户发来的用户名和密码信息向RADIUS服务器发送认证请求。



（3）RADIUS服务器接收到合法的请求后，完成认证，并把所需的用户授权信息返回给接入设备；对于非法的请求，RADIUS服务器返回认证失败的信息给客户端设备。



RADIUS计费的信息交互流程和认证/授权的信息交互流程类似。



四、HWTACACS协议



HWTACACS是在TACACS（RFC1492）基础上进行了功能增强的安全协议。该协议与RADIUS协议类似，也是采用C/S模式实现NAS与HWTACACS服务器之间的通信。



HWTACACS协议主要用于点对点协议PPP和VPDN（VirtualPrivate Dial-up Network，虚拟私有拨号网络）接入用户及终端用户的认证、授权和计费。其典型应用是对需要登录到设备上进行操作的终端用户进行认证、授权和计费。同样，这时的设备是作为HWTACACS的客户端，负责将用户名和密码发给HWTACACS服务器进行验证。



HWTACACS协议与RADIUS协议都实现了认证、授权、计费功能，它们有很多相似点：结构上都采用C/S模式，都使用公共秘钥对传输的用户信息进行加密。与RADIUS相比，HWTACACS具有更加可靠的传输和加密特性，更加适合于安全控制。