AAA认证简介

1.1 AAA简介

AAAAuthenticationAuthorization and Accounting(认证、授权和计费)的简称,它是对网络安全的一种管理方式。提供了一个对认证、授权和计费这三种功能进行统一配置的框架。

l 认证:哪些用户可以访问网络服务器;

l 授权:具有访问权的用户可以得到哪些服务;

l 计费:如何对正在使用网络资源的用户进行计费。

AAA一般采用客户端/服务器结构:客户端运行于被管理的资源侧,服务器上集中存放用户信息。因此,AAA框架具有良好的可扩展性,并且容易实现用户信息的集中管理。

1.1.1 认证功能

AAA支持以下认证方式:

l 不认证:对用户非常信任,不对其进行合法性检查。一般情况下不建议用户采用这种方式。

l 本地认证:将用户信息(包括本地用户的用户名、密码和各种属性)配置在设备上。本地认证的优点是速度快,可以降低运营成本;缺点是存储信息量受设备硬件条件限制。

l 远端认证:支持通过RADIUS协议或HWTACACS协议进行远端认证,设备(如Quidway系列交换机)作为客户端,与RADIUS服务器或TACACS服务器通信。对于RADIUS协议,可以采用标准或扩展的RADIUS协议,与iTELLIN/CAMS等系统配合完成认证。远端认证的优点是便于集中管理,并且提供丰富的业务特性;缺点是必须提供服务器,并进行服务器端的正确配置。

1.1.2 授权功能

AAA支持以下授权方式:

l 直接授权:对用户非常信任,直接授权通过。

l 本地授权:根据设备上为本地用户帐号配置的相关属性进行授权。

l RADIUS认证成功后授权:RADIUS协议的认证和授权是绑定在一起的,不能单独使用RADIUS进行授权。

l HWTACACS授权:由TACACS服务器对用户进行授权。

1.1.3 计费功能

AAA支持以下计费方式:

l 不计费:不对用户计费。

l 远端计费:支持通过RADIUS服务器或TACACS服务器进行远端计费。

1.1.4 ISP域简介

ISP域即ISP用户群,一个ISP域是由属于同一个ISP的用户构成的用户群。

在“userid@isp-name”或者“userid.isp-name”形式的用户名中,“@ 或者“.”后的“isp-name”即为ISP域的域名。接入设备将“userid”作为用于身份认证的用户名,将“isp-name”作为域名。

在多个ISP的应用环境中,同一个接入设备接入的有可能是不同ISP的用户。由于各ISP用户的用户属性(例如用户名及密码构成、服务类型/权限等)有可能各不相同,因此有必要通过设置ISP域的方法把它们区别开。

ISP域视图下,可以为每个ISP域配置包括使用的AAA策略(使用的RADIUS方案等)在内的一整套单独的ISP域属性。

1.2 AAA服务简介

1.2.1 RADIUS服务简介

AAA是一种管理框架,因此,它可以用多种协议来实现。在实践中,人们最常使用RADIUS服务来实现AAA

1. 什么是RADIUS

RADIUSRemote Authentication Dial-In User Service,远程认证拨号用户服务)是一种分布式的、客户端/服务器结构的服务方式,能保护网络不受未授权访问的干扰,常被应用在既要求较高安全性、又要求控制远程用户访问权限的各种网络环境中。

RADIUS服务包括三个组成部分:

l 协议:RFC 2865RFC 2866基于UDP/IP层定义了RADIUS帧格式及其消息传输机制,并定义了1812作为认证端口,1813作为计费端口。

l 服务器:RADIUS服务器运行在中心计算机或工作站上,包含了相关的用户认证和网络服务访问信息。

l 客户端:位于网络接入服务器设备侧,可以遍布整个网络。

RADIUS采用客户端/服务器模型。

l 交换机作为RADIUS客户端,负责传输用户信息到指定的RADIUS服务器,然后根据从服务器返回的信息对用户进行相应处理(如接入/挂断用户)。

l RADIUS服务器负责接收用户连接请求,认证用户,然后给交换机返回所有需要的信息。

RADIUS服务器通常要维护三个数据库,如1-1所示。

l 数据库“Users”:用于存储用户信息(如用户名、口令以及使用的协议、IP地址等配置)。

l 数据库“Clients”:用于存储RADIUS客户端的信息(如共享密钥)。

l 数据库“Dictionary”:存储的信息用于解释RADIUS协议中的属性和属性值的含义。

图1-1 RADIUS服务器的组成

另外,RADIUS服务器还能够作为其他AAA服务器的客户端进行代理认证或计费。

2. RADIUS的基本消息交互流程

RADIUS客户端(交换机)和RADIUS服务器之间通过共享密钥来认证交互的消息,增强了安全性。RADIUS协议合并了认证和授权过程,即响应报文中携带了授权信息。用户、交换机、RADIUS服务器之间一种简要的交互流程如1-2所示。

图1-2 RADIUS的基本消息交互流程

基本交互步骤如下:

(1) 用户输入用户名和口令。

(2) RADIUS客户端根据获取的用户名和口令,向RADIUS服务器发送认证请求包(Access-Request)。

(3) RADIUS服务器将该用户信息与Users数据库信息进行对比分析,如果认证成功,则将用户的授权信息以认证响应包(Access-Accept)的形式发送给RADIUS客户端;如果认证失败,则返回Access-Reject响应包。

(4) RADIUS客户端根据接收到的认证结果接入/拒绝用户。如果可以接入用户,则RADIUS客户端向RADIUS服务器发送计费开始请求包(Accounting-Request),Status-Type取值为start

(5) RADIUS服务器返回计费开始响应包(Accounting-Response)。

(6) 用户开始访问资源。

(7) RADIUS客户端向RADIUS服务器发送计费停止请求包(Accounting-Request),Status-Type取值为stop

(8) RADIUS服务器返回计费结束响应包(Accounting-Response)。

(9) 用户访问资源结束。

3. RADIUS协议的报文结构

RADIUS协议采用UDP报文来承载数据,通过定时器管理机制、重传机制、备用服务器机制,确保RADIUS服务器和客户端之间交互消息正确收发。RADIUS报文结构如1-3所示。

图1-3 RADIUS报文结构

(1) Code域(1字节)决定RADIUS报文的类型,如1-1所示。

表1-1 Code域主要取值的说明

Code

报文类型

报文说明

1

Access-Request认证请求包

方向Client->ServerClient将用户信息传输到Server以判断是否接入该用户。该报文中必须包含User-Name属性,可选包含NAS-IP-AddressUser-PasswordNAS-Port等属性

2

Access-Accept认证接受包

方向Server->Client,如果Access-Request报文中所有Attribute值都可以接受(即认证通过),则传输该类型报文

3

Access-Reject认证拒绝包

方向Server->Client,如果Access-Request报文中存在任何Attribute值无法被接受(即认证失败),则传输该类型报文

4

Accounting-Request计费请求包

方向Client->ServerClient将用户信息传输到Server,请求Server开始计费,由该报文中的Acct-Status-Type属性区分计费开始请求和计费结束请求。该报文包含的属性和Access-Request报文大致相同

5

Accounting-Response计费响应包

方向Server->ClientServer通知Client侧已经收到Accounting-Request报文并且已经正确记录计费信息

 

(2) Identifier域(1字节)用于匹配请求包和响应包,随着Attribute域改变、接收到的有效响应包而不断变化,而在重传时保持不变。

(3) Length域(2字节)指明整个包的长度,内容包括CodeIdentifierLengthAuthenticatorAttribute。超过长度域的字节被视为填充,在接收时应被忽略;如果接收到的包短于Length域所指示长度,则会被丢弃。

(4) Authenticator域(16字节)用于验证RADIUS服务器传输回来的报文,并且还用于密码隐藏算法中,分为Request AuthenticatorResponse Authenticator

(5) Attribute域携带专门的认证、授权和计费信息,提供请求和响应报文的配置细节,该域采用(TypeLengthValue)三元组的形式提供。

l 类型(Type)域1个字节,取值为1255,用于指明属性的类型。1-2列出了RADIUS授权、认证常用的属性。

l 长度(Length)域1个字节,指明此属性的长度,单位为字节,包括类型字段、长度字段和属性值字段。

l 属性值(Value)域包括该属性的信息,其格式和内容由类型域和长度域决定,最大长度为253字节。

表1-2 RADIUS属性

Type

属性类型

Type

属性类型

1

User-Name

23

Framed-IPX-Network

2

User-Password

24

State

3

CHAP-Password

25

Class

4

NAS-IP-Address

26

Vendor-Specific

5

NAS-Port

27

Session-Timeout

6

Service-Type

28

Idle-Timeout

7

Framed-Protocol

29

Termination-Action

8

Framed-IP-Address

30

Called-Station-Id

9

Framed-IP-Netmask

31

Calling-Station-Id

10

Framed-Routing

32

NAS-Identifier

11

Filter-ID

33

Proxy-State

12

Framed-MTU

34

Login-LAT-Service

13

Framed-Compression

35

Login-LAT-Node

14

Login-IP-Host

36

Login-LAT-Group

15

Login-Service

37

Framed-AppleTalk-Link

16

Login-TCP-Port

38

Framed-AppleTalk-Network

17

(unassigned)

39

Framed-AppleTalk-Zone

18

Reply-Message

40-59

(reserved for accounting)

19

Callback-Number

60

CHAP-Challenge

20

Callback-ID

61

NAS-Port-Type

21

(unassigned)

62

Port-Limit

22

Framed-Route

63

Login-LAT-Port

 

RADIUS协议具有良好的可扩展性,协议中定义的26号属性(Vendor-Specific)用于设备厂商对RADIUS进行扩展,以实现标准RADIUS没有定义的功能。

1-4所示的报文结构,Vendor-ID域占4字节,表示厂商代号,最高字节为0,其余3字节的编码见RFC1700。厂商可以封装多个自己定义的“(TypeLengthValue)”子属性,从而在应用中得以扩展。

图1-4 包括扩展属性的RADIUS报文片断

1.2.2 HWTACACS简介

1. 什么是HWTACACS

HWTACACSHUAWEI Terminal Access Controller Access Control System)是在TACACSRFC 1492)基础上进行了功能增强的安全协议。该协议与RADIUS协议类似,主要是通过Client-Server模式与TACACS服务器通信来实现多种用户的AAA功能,可用于PPPVPDN接入用户及终端用户的认证、授权和计费。

RADIUS相比,HWTACACS具有更加可靠的传输和加密特性,更加适合于安全控制。HWTACACS协议与RADIUS协议的主要区别如1-3所示。

表1-3 HWTACACS协议和RADIUS协议区别

HWTACACS协议

RADIUS协议

使用TCP,网络传输更可靠

使用UDP

除了HWTACACS报文头,对报文主体全部进行加密。

只是对验证报文中的密码字段进行加密

认证和授权分离,例如,可以用一个TACACS服务器进行认证,另外一个TACACS服务器进行授权。

认证和授权一起处理

更适于进行安全控制

更适于进行计费

支持对设备的配置命令进行授权使用

不支持

 

HWTACACS的典型应用是终端用户需要登录到设备上进行操作。交换机作为HWTACACS的客户端,将用户名和密码发给TACACS服务器进行验证,验证通过并得到授权之后,用户可以登录到交换机上进行操作。如1-5所示。

图1-5 HWTACACS的典型应用组网图

2. HWTACACS的基本消息交互流程

Telnet用户为例,说明使用HWTACACS对用户进行认证、授权和计费。基本消息交互流程图如1-6所示。

图1-6 Telnet用户认证、授权和计费流程图

在整个过程中的基本消息交互流程如下:

(1) 用户请求登录交换机,TACACS客户端收到请求之后,向TACACS服务器发送认证开始报文。

(2) TACACS服务器发送认证回应报文,请求用户名;TACACS客户端收到回应报文后,向用户询问用户名。

(3) TACACS客户端收到用户名后,向TACACS服务器发送认证持续报文,其中包括了用户名。

(4) TACACS服务器发送认证回应报文,请求登录密码;TACACS客户端收到回应报文,向用户询问登录密码。

(5) TACACS客户端收到登录密码后,向TACACS服务器发送认证持续报文,其中包括了登录密码。

(6) TACACS服务器发送认证回应报文,指示用户通过认证。

(7) TACACS客户端向TACACS服务器发送授权请求报文。

(8) TACACS服务器发送授权回应报文,指示用户通过授权。

(9) TACACS客户端收到授权回应成功报文,向用户输出交换机的配置界面。

(10) TACACS客户端向TACACS服务器发送计费开始报文。

(11) TACACS服务器发送计费回应报文,指示计费开始报文已经收到。

(12) 用户退出,TACACS客户端向TACACS服务器发送计费结束报文。

(13) TACACS服务器发送计费回应报文,指示计费结束报文已经收到。