什么是 AAA(身份验证、授权和记帐)?
身份验证、授权和记帐 (AAA)是一种架构框架,用于访问计算机资源、执行策略、审核使用情况,以提供对服务计费和其他网络管理和安全所必需的过程所需的基本信息。此过程主要用于使某些特定且合法的用户可以访问网络和软件应用程序资源。 AAA 概念广泛用于网络协议 RADIUS。
第一步:认证
身份验证是识别用户的方法。借助用户的身份验证凭据,它通过检查用户的凭据是否与存储在网络数据库中的凭据匹配来检查用户是否合法或用户是否可以访问网络。认证通过后,用户可以访问网络的内部资源。
授权
用户要执行某些任务或向网络发出命令,他必须获得授权。它决定了对网络的访问范围以及经过身份验证的用户可以访问哪些类型的服务和资源。授权是执行策略的方法。
会计
在这个阶段,衡量用户对系统资源的使用情况:登录时间、发送数据、接收数据和注销时间。计费过程是通过注销会话统计和使用信息来进行的,用于授权控制、计费、资源利用。
优点
- AAA 框架增加了网络的可扩展性:可扩展性是系统通过向系统添加资源来处理越来越多的工作的属性。
- 它提高了网络的灵活性和更好的控制。
- 它有助于维护网络中的标准协议。
- RADIUS 允许为每个用户提供唯一的凭据。
- IT 管理员将拥有一个用于用户和系统身份验证的中心点。
缺点
- 在 RADIUS 服务器上,配置和初始设置可能既复杂又耗时。
- 确定哪个是最适合您的组织的 RADIUS 服务器软件和实施模型是一个非常困难的选择。
- 对于本地硬件,维护可能既困难又耗时。
参考:
- https://en.wikipedia.org/wiki/AAA_(computer_security)