收起
我们可以从下图中形象的了解到一个基础的AAA服务是如何为远程用户对网络的访问提供服务的,图中包括三个对象,从左往右分别为:远程用户、网络访问服务器(防火墙、VPN服务器等)、用户验证服务器。
远程用户访问网络资源的AAA过程如下:
1、远程用户给网络访问服务器(NAS)发送自己的用户名和密码。
2、NAS接收用户提供的用户名和密码信息。
3、NAS将用户的用户名和密码信息转交给验证服务器。
4、验证服务器通过用户的身份验证后,将用户可用的网络连接参数(带宽、可用时长等)、用户授权和协议信息返回给NAS。
5、NAS确认并向用户提供连接服务,并将此次连接写入验证服务器的日志中。
因此,我们可以很清晰的了解到,AAA服务的安全程度,直接关系到网络资源是否能够得到妥善的保护,并防止来自网络外部和内部的各种非法用户的访问。针对各种基于网络的安全远程访问的AAA需求,互联网工程任务小组(IETF)专门组建了一个AAA工作小组。
继完成Radius、TACACS协议之后,当前这个工作小组的主要工作目标就是创建一个支持多种不同网络访问模型(如拨号网络、移动IP和漫游操作等)的标准的基础协议,能够满足以下的几点需求:
分布式的安全模型(服务器-客户端结构),分布式的安全模型能够将用户身份验证过程与通讯过程分离,从而使用户的身份信息能够保存到一个中央的数据库中。
验证过程:客户端和服务器之间的通讯应在验证后才能进行,以此来保证通讯双方的真实性和通讯内容的完整性。通讯中的敏感信息还应该事先进行加密,防止密码或其他的验证信息被拦截或泄漏。
灵活的验证手段:AAA服务器应该能够支持多种验证手段,如密码验证协议(PAP)、挑战-握手验证协议(CHAP)、标准Unix登录流程,或者Microsoft的Active Directory等,这样AAA服务器才能适应复杂的应用环境。为了增强拨号连接的访问安全性,AAA服务器也应该对呼叫号码识别(CLID)和回拨功能提供支持。
使用可扩展的协议:AAA服务器通常还应设计成能支持可扩展的协议,即使技术进步使新的协议进入市场,AAA服务器也可以在不影响现有协议的情况下对新协议提供支持。