AAA的概念
AAA是Authentication(认证)、Authorization(授权)和Accounting(计费)的简称。它提供对用户进行认证、授权和计费三种安全功能。具体如下:
b、授权(Authorization):授权用户可以使用哪些服务。
Radius 是Remote Authentication Dial-in User Service(远程认证拨号用户服务)的简称,作为一种分布式的客户机/服务器系统,能提供aaa 功能。RADIUS原来的初衷是用来管理使用串口和调制解调器的大量分散用户。radius 技术可以保护网络不受未授权访问的干扰,常被用在既要求较高安全性、又要求维持远程用户访问的各种网络环境中。
第一个数据库“users”用于存储用户信息(如用户名、口令以及使用的协议、ip 地址等配置);
第二个数据库“clients”用于存储radius 客户端的信息(如共享密钥);
第三个数据库“dictionary”存储的信息用于解释radius 协议中的属性和属性值的含义。
radius基本工作原理:
当RADIUS系统启动后,如果用户想要通过与NAS(PSTN环境下的拨号接入服务器或以太网环境下带接入功能的以太网交换机)建立连接从而获得访问其它网络的权利或取得使用某些网络资源的权利时,NAS,也就是RADIUS客户端将把用户的认证、授权和计费请求传递给RADIUS服务器。
RADIUS服务器上有一个用户数据库,其中包含了所有的用户认证和网络服务访问信息。RADIUS服务器将在接收到NAS传来的用户请求后,通过对用户数据库的查找、更新,完成相应的认证、授权和计费工作,并把用户所需的配置信息和计费统计数据返回给NAS——在这里,NAS起到了控制接入用户及对应连接的作用,而RADIUS协议则规定了NAS与RADIUS服务器之间如何传递用户配置信息和计费信息。
由于RADIUS协议简单明确,可扩充,因此得到了广泛应用,包括普通电话上网、ADSL上网、小区宽带上网、IP电话、VPDN(Virtual Private Dialup Networks,基于拨号用户的虚拟专用拨号网业务)、移动电话预付费等业务。