认证,用于证实某事是否真实或有效的过程。认证一般由标识(ldentification)和鉴别(Authentication)两部分组成。
身份认证:口令认证、生物特征识别
报文认证:报文源的认证、报文宿的认证、报文内容的认证
授权,在主体身份得到认证后,赋予该用户进行文件和数据等操作的权限,如读、写、执行及从属权等。
AAA是认证(Authentication)、授权 (Authorization)和计费(Accounting)的简称,是网络安全中进行访问控制的一种安全管理机制,提供认证、授权和计费三种安全服务。
认证:确认访问网络的用户身份,判断访问者是否为合法的网络用户
授权:对不同用户赋予不同的权限,限制用户可以使用的服务。
计费:记录用户使用网络服务时的所有操作,包括使用的服务类型、起始时间、数据流量等,作为对用户使用网络的行为进行监控和计费的依据。
AAA通过对服务器的详细配置,可以对多中国服务提供安全保证;
支持FTP、TELNET、PPP、端口接入等
在AAA服务器上实现认证、授权、计费应用的协议主要包括RADIUS和TACACS+协议(华为称HWTACACS),Diameter协议作为新的标准也在逐步推广使用。
认证模式:AAA支持本地认证、不认证、RADIUS认证和TACACS+认证模式,并允许组合使用,组合认证模式是有先后顺序的。认证模式缺省使用本地认证。
授权模式:AAA支持本地授权、不授权和TACACS+授权模式,并允许组合使用,组合授权模式有先后顺序。授权模式缺省使用本地授权。RADIUS的认证和授权是绑定在一起的,所以不存在RADIUS授权模式。
计费模式:AAA支持不计费、RADIUS计费、TACACS+计费模式
RADIUS (Remote Authentication Dial-In User Service,远程认证拨号用户服务)是一种分布式的、客户端/服务器结构的信息交互协议,能保护网络不受未授权访问的干扰,常应用在既要求较高安全性、又允许远程用户访问的各种网络环境中。该协议定义了RADIUS的报文格式及其消息传输机制,并规定使用UDP作为封装RADIUS报文的传输层协议(UDP端口1812、1813分别作为认证、计费端口)。
客户端:RADIUS客户端一般位于NAS上,可以遍布整个网络,负责传输用户信息到指定的RADIUS服务器,然后根据从服务器返回的信息进行相应处理(如接受/拒绝用户接入)。
服务器:RADIUS服务器一般运行在中心计算机或工作站上,维护相关的用户认证和网络服务访问信息,负责接收用户连接请求并认证用户,然后给客户端返回所有需要的信息(如接受/拒绝认证请求)
RADIUS客户端和RADIUS服务器之间认证消息的交互是通过共享密钥的参与来完成的,并且共享密钥不能通过网络来传输,增强了信息交互的安全性。另外,为防止用户密码在不安全的网络上传递时被窃取,在传输过程中对密码进行了加密。
RADIUS服务器支持多种方法来认证用户,如基于PPP的PAP、CHAP认证
RADIUS采用UDP报文来传输消息,通过定时器管理机制、重传机制、备用服务器机制,确保RADIUS服务器和客户端之间交互消息的正确收发。
RADIUS协议具有良好的可扩展性,协议 (RFC2865)中定义的26号属性(Vendor-Specific)用于设备厂商对RADIUS进行扩展,以实现标准RADIUS没有定义的功能
TACACS+ (Terminal Access Controller Access Control System,终端访问控制器控制系统协议)是在TACACS协议的基础上进行了功能增强的安全协议。该协议与RADIUS协议的功能类似,采用客户端/服务器模式实现NAS与TACACS+服务器之间的通信。
所有的TACACS+数据包都使用12字节长的包头,结构如下
TACACS+共有7种类型的消息
认证:
1、Authentication_START
2、Authentication_CONTIUNE
3、Authentication_REPLY
授权
4、Authorization_REQUEST
5、Authorization_RESPONSE
计费:
6、Accounting_REQUEST
7、Accounting_RESPONSE
RADIUS协议 |
|
TACACS+协议 |
|