AAA指的是Authentication、Authorization、Accounting,意思是认证、授权、记账,是网络安全的一种管理机制。
⚫ 认证是确认访问网络的远程用户的身份,判断访问者是否为合法的网络用户。
⚫ 授权是对不同用户赋予不同的权限,限制用户可以使用的服务。例如,管理员授权办公用户才能对服务器中的文件进行访问和打印操作,而其它临时访客不具备此权限。
⚫ 记账是记录用户使用网络服务过程中的所有操作,包括使用的服务类型、起始时间、数据流量等,用于收集和记录用户对网络资源的使用情况,并可以实现针对时间、流量的计费需求,也对网络起到监视作用。
随着全球大流行病的爆发,数字化转型和互联网技术获得了特别的动力,使我们的生活更加轻松,同时也带来了新的、更复杂的系统。物联网 (IoT) 是调节这种由移动系统的广泛使用和通过远程连接系统等新引入的远程工作形式引起的大量流量的领先技术之一。虽然它很容易响应客户需求物联网,特别是在银行、电信、金融和保险等行业,订阅交易可能会很密集,也需要管理、控制和记录这种密集的网络流量,以确保其安全。AAA(Authentication, Authorization, Accounting)为网络安全带来了新的保护层,可以在这里安全地访问,
什么是AAA?
AAA 由三个组件组成,使网络访问更加安全。这三个组件,身份验证、授权和记账(活动监控/计费),简称为 AAA。AAA 是一种有效的网络控制器,它使授权用户能够通过网络连接并提供访问计算机资源的凭据证明,确定他们被授权做什么,并跟踪和记录访问期间的所有活动。AAA 组件的作用可以总结如下:
验证: 定义为身份验证或身份验证。这是访问网络的第一步。在此阶段,通过在数据库中比较用户的凭据和密码来验证用户的凭据和密码,从而授权登录网络。每个企业都可以自由创建自己的系统来验证凭证和加密。例如,一家电信公司可能会在客户获取交易期间验证公司高管对网络的访问,而在银行交易中,可以验证远程 POS 设备。它通过使用哈希算法来证明个人或设备有权访问系统,从而使登录过程更加安全。身份验证可以采用两种形式,基于服务器或本地 AAA 验证。基于服务器的身份验证用于有很多路由器的情况,并且对于需要用户名和密码的登录过程,输入的信息将作为一个包发送到 AAA 处于活动状态的服务器。如果在比较过程中确认了信息,则包返回正数并且输入变为活动状态。而本地身份验证用于较小的网络。在这里,用户信息的认证是通过路由器的数据库来完成的。授权: 这意味着验证/确认登录尝试。访问系统后,授权阶段开始,定义用户可以访问的资源以及他/她可以执行的操作。例如,进行访客登录、会员登录、经理登录等业务特定的授权。用户根据这些授权进行分组。一个用户可以在多个授权组中。换句话说,具有多个授权的用户可以访问他/她已被授予访问权限的资源/系统。管理员可以随时更改用户权限。记账: 这是指定价、活动监控、会计交易或计算。这是跟踪和记录所有交易的阶段。可以实时监控连接到系统的用户,也可以通过访问日志记录进行监控。记录每个用户活动的日期和时间。例如,如果是远程工作系统,员工登录系统的次数,保持活跃的时间长短,所有的交易都被跟踪,计算出工作效率和工资。这些数据还用于获取统计数据、测量和评估,或在出现问题时验证方法。AAA 框架在网络安全中的重要性是什么?
特别是考虑到今天的远程工作系统和在线客户数量的增加,保持对网络上繁重的流量和复杂交易的控制变得更加困难。AAA 作为一种控制和调节机制来监控系统的登录/注销、谁可以访问复杂结构中的内容以及执行的所有事务。AAA 对网络和所用设备的访问进行监管。借助同步监控系统,它可以响应希望渗透到系统中的黑客以及错误的交易或恶意的内部行为者引起的网络安全潜在问题。通过 AAA,网络安全的重要步骤之一,企业资产、客户信息和其他数据都得到了保护。
AAA的优势是什么?
AAA Framework 能够在访问计算机资源时实现网络安全智能管理,其主要优点是:
它提高了网络的可扩展性并提供了灵活性。它有助于建立网络协议标准。对网络访问的监督简化了流程的管理。RADIUS 根据用户的凭据授权每个用户的访问。AAA 协议类型
RADIUS 和 TACACS+ 是使用最广泛的 AAA 协议。两者之间最大的区别是TACACS+分别执行认证和授权过程,而RADIUS提供了一种组合的方法。
RADIUS,Remote Authentication Dial-In User Service 的缩写,全称远程拨入用户认证服务。它是一种客户端/服务器协议,用于验证用户远程访问网络。密码始终在 RADIUS 协议中加密。它使用 UDP(用户数据报协议 1654 和 1812 连接)传输数据。客户端对运行在应用层和传输层的 RADIUS 服务器的请求以三种不同的方式得到响应。如果用户未进行身份验证,则会传输访问拒绝响应。当服务器向用户请求第二个密码时,它会向用户发送访问质询。当 RADIUS 服务器验证过程完成时,响应为“已接受访问”。
TACACS+(Terminal Access Controller Access-Control System Plus)提供远程访问网络、系统或设备的中央认证。它是思科开发的 AAA 协议。服务器传输不同的响应。如果收到接受响应,则确认访问。 Error 是指登录出错,需要重新登录,而 Reject 响应是在用户未通过身份验证或身份验证步骤失败时产生的。当请求第二个身份验证步骤时,答案 是继续。
使用 Marta AAA 使 AAA 流程更安全、更轻松
Marta AAA 可供电信行业、互联网服务提供商和金融行业使用,并通过其最先进的安全功能更动态、更轻松地管理 AAA 流程。使用 AAA RADIUS 协议,Marta AAA 凭借其强大且可持续的基础设施,能够在几秒钟内验证数百万用户的身份。具有可定制的AAA功能,可根据具体要求灵活使用各种电信、ISP和服务提供商。在后端,与有线和无线 802.1X 解决方案的兼容性是无缝的。 克朗 Marta AAA 支持灵活的身份验证方法,例如 AAA、PAP/CHAP、EAP、LDAP、RDBMS、基于 LENA NoSQL 的身份验证和 802.1x 端口身份验证。Marta AAA 在复杂的分析中提供高水平的性能,通过定制您企业的 AAA 流程使事情变得简单和安全。
来源:信息新安全