认证、授权、计费(AAA)技术和协议(Authentication, Authorization, Accounting (AAA) Technologies and Protocols)
认证、授权和计费(AAA)这种结构,是用来智能化地控制访问计算机网络资源,强制执行某些措施、审计使用情况以及向付费服务提供必要的信息。这些整合过程对于有效实现网络管理和安全方面是非常重要的。某些时候人们将AAA与审计(auditing)相结合,因此又称之为AAAA。
- 认证是指确认终端用户或设备(如主机、服务器、交换机、路由器等等)所宣称的身份的过程。认证是通过提供身份和凭证来完成的。此处凭证是各种各样的。诸如,密码、一次性令牌、数字证书及电话号码(呼叫方/被呼叫方)。
- 授权是指授予用户、用户群、系统或某一进程访问权限,它以用户各自的认证、请求的服务以及当前系统状态为前提。授权基于一定的限制,如白天限制、物理位置限制或反对相同用户多次登录的限制等。授权决定了授予用户服务的特征。如包括了各种服务,但又不仅限于:IP地址过滤、地址分配、路径分配、QoS/差分服务、带宽控制/流量管理、特定终点的强制隧道、以及加密术。
- 计费是指创建哪个用户或执行什么特定行为的方法,如跟踪用户链接、日志系统用户等。计费信息可能用于实现管理、规划、计量或其它目标。实时计费(Real-time accounting)是指计费信息与资源消耗并发传送的方式。分批计费(Batch accounting)是指计费信息在随后传送之后才被保存的方式在计费中。通常收集的信息包括:用户身份、提供服务的性质、服务开始和结束的时间。
- 审计是指对一个组织、系统、进程、项目或产品的评估。实施审计的主要是为了确定信息的有效性和可靠性,以及提供系统内部控制评估。
为实现在AAA(AAAA)结构中的目标,多种相关技术和协议已被定义。下面列出了其中的部分AAA技术和协议:
- CHAP:挑战握手认证协议;
- DIAMETER 协议:为替代RADIUS而制定的协议;
- EAP:扩展认证协议;
- Kerberos
- MS-CHAP (MD4)
- PAP:密码认证协议;
- PEAP:受保护的扩展认证协议;
- RADIUS:远程用户拨入认证系统
- TACACS/TACACS+:终端访问控制器访问控制系统
认证、授权、计费(AAA)结构
相关术语:AAA, AAAA, 认证(Authentication), 授权(Authorization), 计费(Accounting),审计(Auditing), RADIUS, DIAMETER, TACACS, TACACS+, EAP, MD4, MS-CHAP, CHAP, PAP, PEAP
![aaa](http://www.networkdictionary.cn/files/AAA.gif)