AAA是认证(Authentication)、授权(Authorization)和计费(Accounting)的简称,是网络安全中进行访问控制的一种安全管理机制,提供认证、授权和计费三种安全服务。提供给安全设备来授权用户接入设备或者临近网络的一个架构。授权特性用来在用户被认证之后限制用户的权限。统计用来维持设备活动,以及网络或者网络设备中行为的日志。
AAA可以在单个用户或者单个服务的基础上执行它的功能。也就是说,可以用来认证
和授权单个用户或者服务,AAA设置在路由器或者PIX或者任何其他这样的设备上,,这些
设备都需要AAA对接入设备本身或者与设备相连的网络的用户进行限制。路由器可以使用本地数据库获取用于AAA的数据,比如用户名或者口令或者每个用户的访问控制列表;它也可以通过诸如RADIUS或者TACACS+这样的协议来请求一个认证服务器.
AAA的三个基本组件:
认证(Authentication):是对用户的身份进行验证,判断其是否为合法用户。简单来讲就是判断你是谁?拥有什么?你的用户名密码是什么?认证通常是采用用户输入用户名与密码来进行权限审核。AAA服务器将用户的标准同数据库中每个用户的核对。
授权(Authorization):是对通过认证的用户,授权其可以使用哪些服务。授权,阐明了通过认证的用户,能够拥有多大权限,能干什么,能访问哪些数据和信息。授权过程是一系列强迫策略的组合,包括:确定活动的种类或质量、资源或者用户被允许的服务有哪些。
审计(Accounting):是记录用户使用网络服务的资源情况,这些信息将作为计费的依据。审计很好的记录了网络中哪些人,哪个人,在什么时间做了什么。可以根据连接过程的统计日志、用户信息、授权控制、账单、趋势分析、资源利用以及容量计划活动来执行审计过程。
