第一個(gè)A：認(rèn)證

認(rèn)證用來識(shí)別訪問網(wǎng)絡(luò)的用戶的身份，判斷訪問者是否為合法的用戶。

認(rèn)證

AAA服務(wù)器將用戶的身份驗(yàn)證憑據(jù)與存儲(chǔ)在數(shù)據(jù)庫中的用戶憑據(jù)進(jìn)行比較。如果憑據(jù)匹配，則身份認(rèn)證成功，并且授予用戶訪問網(wǎng)絡(luò)的權(quán)限。如果憑據(jù)不匹配，則身份認(rèn)證失敗，并且網(wǎng)絡(luò)訪問將被拒絕。用戶的身份認(rèn)證憑據(jù)通常使用：

密碼

用戶名和密碼

數(shù)字證書

第二個(gè)A：授權(quán)

授權(quán)是指對(duì)不同用戶賦予不同的權(quán)限，限制用戶可以使用的服務(wù)。

授權(quán)

用戶身份認(rèn)證成功之后，通過授權(quán)來確定：

用戶能夠使用的命令

用戶能夠訪問的資源

用戶能夠獲取的信息

授權(quán)的基本原則是最小特權(quán)原則，即僅授予用戶執(zhí)行其所需功能時(shí)必須的權(quán)限，以此來防范任何輕率的授權(quán)可能導(dǎo)致的意外或惡意的網(wǎng)絡(luò)行為。

第三個(gè)A：計(jì)費(fèi)

計(jì)費(fèi)用來記錄用戶使用網(wǎng)絡(luò)服務(wù)過程中的相關(guān)操作，簡(jiǎn)單說就是：什么人、什么時(shí)間、做了什么事。

計(jì)費(fèi)

記錄的內(nèi)容包括使用的服務(wù)類型、起始時(shí)間、數(shù)據(jù)流量等，用于收集和記錄用戶對(duì)網(wǎng)絡(luò)資源的使用情況，并可以實(shí)現(xiàn)針對(duì)時(shí)間、流量的計(jì)費(fèi)需求，也對(duì)網(wǎng)絡(luò)起到監(jiān)控作用。

AAA是如何工作的？

AAA采用客戶端/服務(wù)器結(jié)構(gòu)，這種結(jié)構(gòu)簡(jiǎn)單、擴(kuò)展性好，且便于集中管理用戶信息。

AAA基本框架

如上圖所示，AAA的基本實(shí)現(xiàn)流程如下：

用戶訪問網(wǎng)絡(luò)前，首先與AAA客戶端建立連接。

AAA客戶端負(fù)責(zé)把用戶驗(yàn)證憑據(jù)傳遞給AAA服務(wù)器。

AAA服務(wù)器根據(jù)用戶認(rèn)證憑據(jù)進(jìn)行認(rèn)證和授權(quán)，并將認(rèn)證和授權(quán)結(jié)果返回給AAA客戶端。

AAA客戶端根據(jù)服務(wù)器的返回結(jié)果判斷是否允許用戶接入。

其中：

AAA客戶端運(yùn)行在NAS設(shè)備（網(wǎng)絡(luò)接入服務(wù)器）上，NAS設(shè)備可以是路由器、交換機(jī)等為用戶提供入網(wǎng)服務(wù)的設(shè)備。

AAA服務(wù)器是認(rèn)證服務(wù)器、授權(quán)服務(wù)器和計(jì)費(fèi)服務(wù)器的統(tǒng)稱，負(fù)責(zé)集中管理用戶信息。根據(jù)AAA使用的通信協(xié)議的不同，AAA服務(wù)器可以分為RADIUS服務(wù)器、TACACS服務(wù)器等。

AAA協(xié)議有哪些？

AAA可以通過多種協(xié)議實(shí)現(xiàn)認(rèn)證、授權(quán)和計(jì)費(fèi)。

RADIUS

遠(yuǎn)程身份驗(yàn)證撥號(hào)用戶服務(wù)RADIUS（Remote Authentication Dial-In User Service）是標(biāo)準(zhǔn)協(xié)議，基本所有主流設(shè)備廠商都支持，所以在實(shí)際網(wǎng)絡(luò)中應(yīng)用最多。

RADIUS協(xié)議可分為認(rèn)證協(xié)議和計(jì)費(fèi)協(xié)議，分別通過IETF RFC 2865和RFC 2866定義。由于定義RADIUS協(xié)議的時(shí)間早于AAA框架模型，所以RADIUS協(xié)議并沒有將認(rèn)證和授權(quán)分開，而是將認(rèn)證和授權(quán)在同一個(gè)流程中進(jìn)行處理。因此，使用RADIUS協(xié)議實(shí)現(xiàn)AAA時(shí)，用戶可能無法知道被拒絕訪問的原因是由于密碼錯(cuò)誤還是因?yàn)闆]有權(quán)限。

TACACS、TACACS+和HWTACACS

終端訪問控制器控制系統(tǒng)TACACS（Terminal Access Controller Access-Control System），是一種起源于二十世紀(jì)八十年代的AAA協(xié)議。在之后的發(fā)展中，各廠商在TACACS協(xié)議的基礎(chǔ)上進(jìn)行了擴(kuò)展，例如思科公司開發(fā)的TACACS+和華為公司開發(fā)的HWTACACS。TACACS+和HWTACACS均為私有協(xié)議，在發(fā)展過程中逐步替代了原來的TACACS協(xié)議，并且不再兼容TACACS協(xié)議。

HWTACACS協(xié)議可以兼容TACACS+協(xié)議，HWTACACS協(xié)議與TACACS+協(xié)議定義的報(bào)文結(jié)構(gòu)和報(bào)文類型一致，主要區(qū)別在于授權(quán)和計(jì)費(fèi)報(bào)文中攜帶的屬性含義或類型不完全相同。

與RADIUS協(xié)議相比，HWTACACS或TACACS+更加適用于登錄用戶（例如STelnet用戶）的身份認(rèn)證場(chǎng)景。這是由于它在數(shù)據(jù)傳輸、加密上安全性更高，同時(shí)能夠提供命令行鑒權(quán)、事件記錄等優(yōu)勢(shì)功能。

LDAP和AD

輕量級(jí)目錄存取協(xié)議LDAP（Lightweight Directory Access Protocol）是一種基于TCP/IP的目錄訪問協(xié)議。LDAP可以理解為一個(gè)數(shù)據(jù)庫，該數(shù)據(jù)庫中可以存儲(chǔ)有層次的、有結(jié)構(gòu)、有關(guān)聯(lián)的各種類型的數(shù)據(jù)，比如：電子郵件地址、人力資源數(shù)據(jù)、聯(lián)系人列表等等。LDAP通過綁定和查詢操作可以實(shí)現(xiàn)認(rèn)證和授權(quán)功能，常用于單點(diǎn)登錄場(chǎng)景，例如企業(yè)用戶只需要在電腦上登錄一次，就可以訪問多個(gè)相互信任的應(yīng)用系統(tǒng)。

AD（Active Directory）是LDAP的一個(gè)應(yīng)用實(shí)例，是Windows操作系統(tǒng)上提供目錄服務(wù)的組件，用來保存操作系統(tǒng)的用戶信息。與LDAP相比，AD將Kerberos協(xié)議集成到LDAP認(rèn)證過程中，利用Kerberos協(xié)議的對(duì)稱密鑰體制來提高密碼傳輸?shù)陌踩?，防止在LDAP認(rèn)證過程中泄露用戶的密碼。

Diameter

Diameter是IETF定義的新一代AAA協(xié)議，由RADIUS協(xié)議演進(jìn)而來。Diameter協(xié)議克服了RADIUS的許多缺點(diǎn)，例如Diameter協(xié)議支持移動(dòng)IP、多接口和移動(dòng)代理的認(rèn)證、授權(quán)和計(jì)費(fèi)等。隨著Diameter協(xié)議及其應(yīng)用的不斷成熟和標(biāo)準(zhǔn)化，它對(duì)未來移動(dòng)通信系統(tǒng)和寬帶接入系統(tǒng)的發(fā)展將起到巨大的推動(dòng)作用 。

AAA有哪些應(yīng)用？

根據(jù)用戶接入的方式不同，AAA在網(wǎng)絡(luò)中可以劃分為以下幾種應(yīng)用：

登錄用戶管理

登錄用戶指的是直接登錄設(shè)備進(jìn)行操作的用戶，例如Console口登錄、Stelnet登錄等。此類用戶對(duì)安全性的要求較高，通過AAA可以限制哪些用戶可以登錄到設(shè)備，登錄到設(shè)備后能執(zhí)行哪些命令或者記錄用戶執(zhí)行的操作等。

NAC用戶接入控制

NAC用戶指的是通過802.1X、MAC、Portal方式接入網(wǎng)絡(luò)的用戶。這些用戶可以是有線用戶、也可以是無線用戶，可能是接入企業(yè)園區(qū)網(wǎng)絡(luò)、教育網(wǎng)絡(luò)、醫(yī)療網(wǎng)絡(luò)或商超網(wǎng)絡(luò)等等。此類用戶存在類型復(fù)雜、變動(dòng)頻繁、權(quán)限級(jí)別要求不統(tǒng)一等問題。AAA結(jié)合NAC，可以有效保證接入用戶的安全性。