认证、授权、计费（AAA）技术和协议

认证、授权、计费（AAA）技术和协议(Authentication, Authorization, Accounting (AAA) Technologies and Protocols)

认证、授权和计费（AAA）这种结构，是用来智能化地控制访问计算机网络资源，强制执行某些措施、审计使用情况以及向付费服务提供必要的信息。这些整合过程对于有效实现网络管理和安全方面是非常重要的。某些时候人们将AAA与审计（auditing）相结合，因此又称之为AAAA。

• 认证是指确认终端用户或设备（如主机、服务器、交换机、路由器等等）所宣称的身份的过程。认证是通过提供身份和凭证来完成的。此处凭证是各种各样的。诸如，密码、一次性令牌、数字证书及电话号码（呼叫方/被呼叫方）。
• 授权是指授予用户、用户群、系统或某一进程访问权限，它以用户各自的认证、请求的服务以及当前系统状态为前提。授权基于一定的限制，如白天限制、物理位置限制或反对相同用户多次登录的限制等。授权决定了授予用户服务的特征。如包括了各种服务，但又不仅限于：IP地址过滤、地址分配、路径分配、QoS/差分服务、带宽控制/流量管理、特定终点的强制隧道、以及加密术。
• 计费是指创建哪个用户或执行什么特定行为的方法，如跟踪用户链接、日志系统用户等。计费信息可能用于实现管理、规划、计量或其它目标。实时计费（Real-time accounting）是指计费信息与资源消耗并发传送的方式。分批计费（Batch accounting）是指计费信息在随后传送之后才被保存的方式在计费中。通常收集的信息包括：用户身份、提供服务的性质、服务开始和结束的时间。
• 审计是指对一个组织、系统、进程、项目或产品的评估。实施审计的主要是为了确定信息的有效性和可靠性，以及提供系统内部控制评估。

  为实现在AAA（AAAA）结构中的目标，多种相关技术和协议已被定义。下面列出了其中的部分AAA技术和协议：

• CHAP：挑战握手认证协议；
• DIAMETER 协议：为替代RADIUS而制定的协议；
• EAP：扩展认证协议；
• Kerberos
• MS-CHAP (MD4)
• PAP：密码认证协议；
• PEAP：受保护的扩展认证协议；
• RADIUS：远程用户拨入认证系统
• TACACS/TACACS+：终端访问控制器访问控制系统

•  

认证、授权、计费（AAA）结构

 

 

相关术语：AAA, AAAA, 认证（Authentication）, 授权（Authorization）, 计费（Accounting）,审计（Auditing）, RADIUS, DIAMETER, TACACS, TACACS+, EAP, MD4, MS-CHAP, CHAP, PAP, PEAP