企業(yè)在選擇訪問控制方案的時(shí)候，往往會(huì)綜合考慮訪問控制方案的技術(shù)要求和部署使用成本，在安全要求不是很高的場合，企業(yè)往往會(huì)傾向于選擇不需要添置額外驗(yàn)證設(shè)備的邏輯訪問控制方案。因此，我們在日常工作中，接觸更多的是各種基于密碼驗(yàn)證的訪問控制系統(tǒng)，在接下去文章，介紹一下各種邏輯訪問控制方案，首先介紹集中式的訪問控制方案。

在網(wǎng)絡(luò)化應(yīng)用廣泛使用的今天，用戶對信息資源的訪問已經(jīng)從最開始的物理訪問為主，到現(xiàn)在的以遠(yuǎn)程訪問為主：企業(yè)總部與處在不同地區(qū)的分支機(jī)構(gòu)需要頻繁的交換信息、出差途中的員工需要從企業(yè)的相關(guān)部門獲取信息并分享業(yè)務(wù)資料、合作伙伴或外包廠商也需要從企業(yè)中獲取和進(jìn)行中的項(xiàng)目的信息。這些目的和技術(shù)實(shí)現(xiàn)都不相同的場景，一般都需要通過電話撥號(hào)、互聯(lián)網(wǎng)或VPN服務(wù)等方式進(jìn)入企業(yè)的內(nèi)部網(wǎng)絡(luò)。對企業(yè)來說，為用戶提供對網(wǎng)絡(luò)資源的遠(yuǎn)程訪問是一件相當(dāng)有安全挑戰(zhàn)的事情，企業(yè)在允許遠(yuǎn)程用戶訪問到自己的內(nèi)部網(wǎng)絡(luò)和信息資源之前，必須先對遠(yuǎn)程用戶的使用權(quán)進(jìn)行一定的限制，這就是用于確認(rèn)用戶身份的驗(yàn)證（Authentication）、分配用戶訪問權(quán)限的授權(quán)（Authorization）和檢測用戶是否進(jìn)行違反安全規(guī)定操作的審計(jì)（Accounting）操作，也就是我們經(jīng)常可以接觸到的AAA概念。

何謂AAA？AAA是：

驗(yàn)證（Authentication）：確認(rèn)用戶的身份以及用戶是否允許訪問網(wǎng)絡(luò)資源

授權(quán)（Authorization）：決定用戶可以進(jìn)行什么操作

審計(jì)（Accounting）：跟蹤用戶做了什么以及完成的結(jié)果，審計(jì)常用于檢查用戶是否進(jìn)行了違規(guī)操作或進(jìn)行網(wǎng)絡(luò)使用時(shí)間/資源的計(jì)費(fèi)。

我們可以從下圖中形象的了解到一個(gè)基礎(chǔ)的AAA服務(wù)是如何為遠(yuǎn)程用戶對網(wǎng)絡(luò)的訪問提供服務(wù)的，圖中包括三個(gè)對象，從左往右分別為：遠(yuǎn)程用戶、網(wǎng)絡(luò)訪問服務(wù)器（防火墻、VPN服務(wù)器等）、用戶驗(yàn)證服務(wù)器。

圖1、AAA服務(wù)的過程示意圖

遠(yuǎn)程用戶訪問網(wǎng)絡(luò)資源的AAA過程如下：

1、遠(yuǎn)程用戶給網(wǎng)絡(luò)訪問服務(wù)器（NAS）發(fā)送自己的用戶名和密碼
2、NAS接收用戶提供的用戶名和密碼信息
3、NAS將用戶的用戶名和密碼信息轉(zhuǎn)交給驗(yàn)證服務(wù)器
4、驗(yàn)證服務(wù)器通過用戶的身份驗(yàn)證后，將用戶可用的網(wǎng)絡(luò)連接參數(shù)（帶寬、可用時(shí)長等）、用戶授權(quán)和協(xié)議信息返回給NAS
5、NAS確認(rèn)并向用戶提供連接服務(wù)，并將此次連接寫入驗(yàn)證服務(wù)器的日志中。

因此，我們可以很清晰的了解到，AAA服務(wù)的安全程度，直接關(guān)系到網(wǎng)絡(luò)資源是否能夠得到妥善的保護(hù)，并防止來自網(wǎng)絡(luò)外部和內(nèi)部的各種非法用戶的訪問。針對各種基于網(wǎng)絡(luò)的安全遠(yuǎn)程訪問的AAA需求，互聯(lián)網(wǎng)工程任務(wù)小組（IETF）專門組建了一個(gè)AAA工作小組。繼 完成Radius、TACACS協(xié)議之后，當(dāng)前這個(gè)工作小組的主要工作目標(biāo)就是創(chuàng)建一個(gè)支持多種不同網(wǎng)絡(luò)訪問模型（如撥號(hào)網(wǎng)絡(luò)、移動(dòng)IP和漫游操作等）的標(biāo)準(zhǔn)的基礎(chǔ)協(xié)議，能夠滿足以下的幾點(diǎn)需求：

分布式的安全模型（服務(wù)器-客戶端結(jié)構(gòu)），分布式的安全模型能夠?qū)⒂脩羯矸蒡?yàn)證過程與通訊過程分離，從而使用戶的身份信息能夠保存到一個(gè)中央的數(shù)據(jù)庫中。

驗(yàn)證過程：客戶端和服務(wù)器之間的通訊應(yīng)在驗(yàn)證后才能進(jìn)行，以此來保證通訊雙方的真實(shí)性和通訊內(nèi)容的完整性。通訊中的敏感信息還應(yīng)該事先進(jìn)行加密，防止密碼或其他的驗(yàn)證信息被攔截或泄漏。

靈活的驗(yàn)證手段：AAA服務(wù)器應(yīng)該能夠支持多種驗(yàn)證手段，如密碼驗(yàn)證協(xié)議（PAP）、挑戰(zhàn)-握手驗(yàn)證協(xié)議（CHAP）、標(biāo)準(zhǔn)Unix登錄流程，或者M(jìn)icrosoft的Active Directory等，這樣AAA服務(wù)器才能適應(yīng)復(fù)雜的應(yīng)用環(huán)境。為了增強(qiáng)撥號(hào)連接的訪問安全性，AAA服務(wù)器也應(yīng)該對呼叫號(hào)碼識(shí)別（CLID）和回?fù)芄δ芴峁┲С帧?/p>

使用可擴(kuò)展的協(xié)議：AAA服務(wù)器通常還應(yīng)設(shè)計(jì)成能支持可擴(kuò)展的協(xié)議，即使技術(shù)進(jìn)步使新的協(xié)議進(jìn)入市場，AAA服務(wù)器也可以在不影響現(xiàn)有協(xié)議的情況下對新協(xié)議提供支持。

針對上述的AAA服務(wù)實(shí)現(xiàn)需求，IT業(yè)界開發(fā)出了多種不同的AAA方案。其中，Radius和TACACS是行業(yè)事實(shí)上的標(biāo)準(zhǔn)，常被用于互聯(lián)網(wǎng)連接提供商（ISP）的網(wǎng)絡(luò)服務(wù)驗(yàn)證及大型企業(yè)的遠(yuǎn)程訪問控制中，而它們的繼任者DIAMETER則是一個(gè)目前仍處在評估狀態(tài)的標(biāo)準(zhǔn)草案（RFC）。這三種方案都能在提供安全的遠(yuǎn)程訪問驗(yàn)證功能的同時(shí)，有效的減少企業(yè)的管理成本。接下來J0ker來簡單介紹一下這三種AAA方案：

Radius：Radius是遠(yuǎn)程撥號(hào)用戶驗(yàn)證服務(wù)的縮寫（Remote Authentication Dial In User Service），由Livingston 公司開發(fā)，是當(dāng)前最為流行的AAA服務(wù)協(xié)議，它應(yīng)用最為廣泛的領(lǐng)域是互聯(lián)網(wǎng)服務(wù)提供商（ISP）。Radius服務(wù)器和客戶端之間的通訊采用UDP協(xié)議，但因?yàn)镽adius協(xié)議本身并不要求加密，因此，為了提高在非安全網(wǎng)絡(luò)驗(yàn)證過程抵抗非法用戶監(jiān)聽的能力，Radius還支持使用一次性密碼。Radius服務(wù)的驗(yàn)證和授權(quán)功能是不分離的，而審計(jì)功能是一個(gè)獨(dú)立的功能模塊，因此，Radius服務(wù)可以使用單獨(dú)部署的審計(jì)服務(wù)。

TACACS：TACACS是終端訪問控制器訪問控制系統(tǒng)（Terminal Access Controller Access Control System）的縮寫，TACACS最先使用在互聯(lián)網(wǎng)的前身ARPAnet上，并由網(wǎng)絡(luò)廠商Cisco完善了它的第二版XTACACS和第三版TACACS+。和Radius為網(wǎng)絡(luò)服務(wù)的使用提供AAA服務(wù)不同，TACACS針對的是網(wǎng)絡(luò)資源訪問，另外，TACACS使用的通訊協(xié)議是TCP，這點(diǎn)也是和Radius不同的。TACACS服務(wù)集成了驗(yàn)證、授權(quán)和審計(jì)服務(wù)，它的驗(yàn)證功能支持CHAP、一次性密碼等不同的驗(yàn)證協(xié)議，授權(quán)功能主要使用訪問控制列表方式，而審計(jì)功能則可記錄系統(tǒng)或會(huì)話級(jí)的日志。

DIAMETER：針對Radius應(yīng)用面較窄、支持的設(shè)備和應(yīng)用較少的缺點(diǎn)，IT業(yè)界推出了DIAMETER協(xié)議，我們可以認(rèn)為DIAMETER協(xié)議是擴(kuò)展的Radius協(xié)議。DIAMETER協(xié)議的最大特點(diǎn)是，它是一種基于節(jié)點(diǎn)的AAA服務(wù)，除了能夠使用在傳統(tǒng)的撥號(hào)服務(wù)上之外，還能使用在無線鏈接、移動(dòng)電話或VPN等其他接入服務(wù)上。同時(shí)DIAMETER的驗(yàn)證、授權(quán)和審計(jì)功能都是獨(dú)立的，網(wǎng)絡(luò)廠商或企業(yè)可以根據(jù)自己的實(shí)際需要，使用DIAMETER標(biāo)準(zhǔn)的功能，或自己構(gòu)建適合應(yīng)用需要的功能支持。

【相關(guān)文章】

• 專題：訪問控制列表(ACL)介紹

• 擴(kuò)展訪問控制列表的兩個(gè)高級(jí)選項(xiàng)

• 輕松學(xué)習(xí)理解ACL訪問控制列表