AAARADIUS/HWTACACS協議簡介

?

?????AAA簡介AAAAuthenticationAuthorization?and?Accounting(認證、授權和計費)的簡稱,它提供了一個對認證、授權和計費這三種安全功能進行配置的一致性框架,實際上是對網絡安全的一種管理。

ecmp協議?

這里的網絡安全主要是指訪問控制,包括:?

??哪些用戶可以訪問網絡服務器。?

??具有訪問權的用戶可以得到哪些服務。?

??如何對正在使用網絡資源的用戶進行計費。?

hwtacacs協議。

針對以上問題,AAA必須提供認證功能、授權功能和計費功能。

1.?認證功能

AAA支持以下認證方式:?

??不認證:對用戶非常信任,不對其進行合法檢查。一般情況下不采用這種方式。

AAA協議、

??本地認證:將用戶信息(包括本地用戶的用戶名、密碼和各種屬性)配置在設備上。本地認證的優點是速度快,可以降低運營成本;缺點是存儲信息量受設備硬件條件限制。

??遠端認證:支持通過RADIUS協議或HWTACACS協議進行遠端認證,設備(如Quidway系列交換機)作為客戶端,與RADIUS服務器或TACACS服務器通信。對于RADIUS協議,可以采用標準或擴展的RADIUS協議。

2.?授權功能

AAA支持以下授權方式:?

sip協議的功能,

??直接授權:對用戶非常信任,直接授權通過。?

??本地授權:根據設備上為本地用戶帳號配置的相關屬性進行授權。?

??RADIUS認證成功后授權:RADIUS協議的認證和授權是綁定在一起的,不能單獨使用RADIUS進行授權。

??HWTACACS授權:由TACACS服務器對用戶進行授權。

AMBA總線協議。

?

?3.?計費功能

AAA支持以下計費方式:?

rip協議、

???不計費:不對用戶計費。?

???遠端計費:支持通過RADIUS服務器或TACACS服務器進行遠端計費。

AAA一般采用客戶端/服務器結構:客戶端運行于被管理的資源側,服務器上集中存放用戶信息。因此,AAA框架具有良好的可擴展性,并且容易實現用戶信息的集中管理。

1.1.2?ISP域簡介

radius協議是哪一層協議。

ISP域即ISP用戶群,一個ISP域是由屬于同一個ISP的用戶構成的用戶群。

userid@isp-name形式的用戶名中,@后的isp-name即為ISP域的域名。接入設備將userid作為用于身份認證的用戶名,將isp-name作為域名。

在多ISP的應用環境中,同一個接入設備接入的有可能是不同ISP的用戶。由于各ISP用戶的用戶屬性(例如用戶名及密碼構成、服務類型/權限等)有可能各不相同,因此有必要通過設置ISP域的方法把它們區別開。

ISP域視圖下,可以為每個ISP域配置包括使用的AAA策略(使用的RADIUS方案等)在內的一整套單獨的ISP域屬性。

gtp協議簡介、

1.1.3?RADIUS協議簡介

AAA是一種管理框架,因此,它可以用多種協議來實現。在實踐中,人們最常使用RADIUS協議來實現AAA

1.?什么是RADIUS?

Radius協議、

RADIUSRemote?Authentication?Dial-In?User?Service,遠程認證撥號用戶服務)是一種分布式的、客戶端/服務器結構的信息交互協議,能保護網絡不受未授權訪問的干擾,常被應用在既要求較高安全性,又要求維持遠程用戶訪問的各種網絡環境中。

??????RADIUS服務包括三個組成部分:

?協議:RFC?2865RFC?2866基于UDP/IP層定義了RADIUS幀格式及其消息傳輸機制,并定義了1812作為認證端口,1813作為計費端口。

aodv路由協議?

?服務器:RADIUS服務器運行在中心計算機或工作站上,包含了相關的用戶認證和網絡服務訪問信息。

?客戶端:位于撥號訪問服務器設備側,可以遍布整個網絡。

RADIUS基于客戶端/服務器模型。交換機作為RADIUS客戶端,負責傳輸用戶信息到指定的RADIUS服務器,然后根據從服務器返回的信息對用戶進行相應處理(如接入/掛斷用戶)。RADIUS服務器負責接收用戶連接請求,認證用戶,然后給交換機返回所有需要的信息。

aurora協議詳解,

??????RADIUS服務器通常要維護三個數據庫?,如圖1-1所示.

??第一個數據庫Users用于存儲用戶信息(如用戶名、口令以及使用的協議、IP地址等配置)。

??第二個數據庫Clients用于存儲RADIUS客戶端的信息(如共享密鑰)。

??第三個數據庫Dictionary存儲的信息用于解釋RADIUS協議中的屬性和屬性值的含義。

?????????????????

????????????????????1-1?RADIUS服務器的組成

另外,RADIUS服務器還能夠作為其他AAA服務器的客戶端進行代理認證或計費。

2.?RADIUS的基本消息交互流程

RADIUS客戶端(交換機)和RADIUS服務器之間通過共享密鑰來認證交互的消息,增強了安全性。RADIUS協議合并了認證和授權過程,即響應報文中攜帶了授權信息。用戶、交換機、RADIUS服務器之間的交互流程如圖1-2所示。

???????

?

?1-2?RADIUS的基本消息交互流程

基本交互步驟如下:?

(1)?用戶輸入用戶名和口令。

(2)?RADIUS客戶端根據獲取的用戶名和口令,向RADIUS服務器發送認證請求包(Access-Request)。

(3)?RADIUS服務器將該用戶信息與Users數據庫信息進行對比分析,如果認證成功,則將用戶的權限信息以認證響應包(Access-Accept)發送給RADIUS客戶端;如果認證失敗,則返回Access-Reject響應包。

(4)?RADIUS客戶端根據接收到的認證結果接入/拒絕用戶。如果可以接入用戶,則RADIUS客戶端向RADIUS服務器發送計費開始請求包(Accounting-Request),Status-Type取值為start

(5)?RADIUS服務器返回計費開始響應包(Accounting-Response)。

(6)?用戶開始訪問資源。

(7)?RADIUS客戶端向RADIUS服務器發送計費停止請求包(Accounting-Request),Status-Type取值為stop

(8)?RADIUS服務器返回計費結束響應包(Accounting-Response)。

(9)?用戶訪問資源結束。

?

3.?RADIUS協議的報文結構

RADIUS協議采用UDP報文來承載數據,通過定時器管理機制、重傳機制、備用服務器機制,確保RADIUS服務器和客戶端之間交互消息正確收發。RADIUS報文結構如圖1-3所示。

???????

?1-3?RADIUS報文結構

??????????????(1)?Code域(1字節)決定RADIUS報文的類型,如表1-1所示。

?????????

(2)?Identifier域(1字節)用于匹配請求包和響應包,隨著Attribute域改變、接收到有效響應包而不斷變化,而在重傳時保持不變化。

(3)?Length域(2字節)指明整個包的長度,內容包括CodeIdentifierLengthAuthenticatorAttribute。超過長度域的字節被視為填充,在接收時應被忽略;如果包比長度域所指示的短時,則應被丟棄。

(4)?Authenticator域(16字節)用于驗證RADIUS服務器傳輸回來的報文,并且還用于密碼隱藏算法中,分為Request?AuthenticatorResponse?Authenticator

(5)?Attribute域攜帶專門的認證、授權和計費信息,提供請求和響應報文的配置細節,該域采用(TypeLengthValue)三元組的形式提供。

??類型(Type)域1個字節,取值為1255,用于指明屬性的類型。表1-2列出了RADIUS授權、認證常用的屬性。

??長度(Length)域1個字節,指明此屬性的長度,單位為字節,包括類型字段、長度字段和屬性值字段。

??屬性值(Value)域包括該屬性的信息,其格式和內容由類型域和長度域決定,最大長度為253字節。

1-2?RADIUS屬性

??????????????

RADIUS協議具有良好的可擴展性,協議中定義的26號屬性(Vendor-Specific)用于設備廠商對RADIUS進行擴展,以實現標準RADIUS沒有定義的功能。如圖1-4所示的報文結構,Vendor-ID域占4字節,表示廠商代號,最高字節為0,其余3字節的編碼見RFC1700。廠商可以封裝多個自己定義的Type,LengthValue子屬性,從而在應用中得以擴展。

?

1.1.4?HWTACACS協議簡介

1.?HWTACACS特性

HWTACACSHUAWEI?Terminal?Access?Controller?Access?Control?System)是在TACACSRFC?1492)基礎上進行了功能增強的安全協議。該協議與RADIUS協議類似,主要是通過Client-Server模式與TACACS服務器通信來實現多種用戶的AAA功能,可用于PPPVPDN接入用戶及終端用戶的認證、授權和計費。

?

?

HWTACACS的典型應用是撥號用戶或終端用戶需要登錄到設備上進行操作。交換機作為HWTACACS的客戶端,將用戶名和密碼發給TACACS服務器進行驗證,驗證通過并得到授權之后可以登錄到交換機上進行操作。如圖1-5所示。

?2.?HWTACACS的基本消息交互流程

Telnet用戶為例,說明使用HWTACACS對用戶進行認證、授權和計費.基本消息交互流程圖如圖1-6所示。

在整個過程中的基本消息交互流程如下:?

(1)?用戶請求登錄交換機,TACACS客戶端收到請求之后,向TACACS服務器發送認證開始報文。

(2)?TACACS服務器發送認證回應報文,請求用戶名;TACACS客戶端收到回應報文后,向用戶詢問用戶名。

(3)?TACACS客戶端收到用戶名后,向TACACS服務器發送認證持續報文,其中包括了用戶名。

(4)?TACACS服務器發送認證回應報文,請求登錄密碼;TACACS客戶端收到回應報文,向用戶詢問登錄密碼。

(5)?TACACS客戶端收到登錄密碼后,向TACACS服務器發送認證持續報文,其中包括了登錄密碼。

?

(7)?TACACS客戶端向TACACS服務器發送授權請求報文。

(8)?TACACS服務器發送授權回應報文,指示用戶通過授權。

(9)?TACACS客戶端收到授權回應成功報文,向用戶輸出交換機的配置界面。

(10)?TACACS客戶端向TACACS服務器發送計費開始報文。

(11)?TACACS服務器發送計費回應報文,指示計費開始報文已經收到。

(12)?用戶退出,TACACS客戶端向TACACS服務器發送計費結束報文。

(13)?TACACS服務器發送計費回應報文,指示計費結束報文已經收到。

?

?1.1.5 二者的區別

?

? 與RADIUS相比,HWTACACS具有更加可靠的傳輸和加密特性,更加適合于安全控制。HWTACACS協議與RADIUS協議的主要區別如表1-3所示。

?

?