关于AAA认证Authentication理解

逻辑上：当路由器，交换机等通过3A方式进行安全管理是，如果没有连接RADIUS服务器，则必然有个路由器本地服务器在运行。也就是说，我们通常简单配置路由器或其他网络设备是，启用AAA认证就应该是启动3A本地服务器。  

了解AAA认证（相关内容摘自百度百科）

        关于AAA认证， 是认证Authentication或称为验证用户的身份与可使用的网络服务；授权(Authorization)：依据认证结果开放网络服务给用户；计帐(Accounting)：记录用户对各种网络服务的用量，并提供给计费系统。以AAA认证体系构建的安全机制，在网络安全管理中十分有效。

AAA认证即3A认证

AAA为三个单词的首字母：分别为Authentication、Authorization、Accounting

认证(Authentication)：验证用户的身份与可使用的网络服务；

授权(Authorization)：依据认证结果开放网络服务给用户；

计帐(Accounting)：记录用户对各种网络服务的用量，并提供给计费系统

 

        首先，认证部分提供了对用户的认证。整个认证通常是采用用户输入用户名与密码来进行权限审核。认证的原理是每个用户都有一个唯一的权限获得标准。由AAA服务器将用户的标准同数据库中每个用户的标准一一核对。如果符合，那么对用户认证通过。如果不符合，则拒绝提供网络连接。

        接下来，用户还要通过授权来获得操作相应任务的权限。比如，登陆系统后，用户可能会执行一些命令来进行操作，这时，授权过程会检测用户是否拥有执行这些命令的权限。简单而言，授权过程是一系列强迫策略的组合，包括：确定活动的种类或质量、资源或者用户被允许的服务有哪些。授权过程发生在认证上下文中。一旦用户通过了认证，他们也就被授予了相应的权限。　最后一步是帐户，这一过程将会计算用户在连接过程中消耗的资源数目。这些资源包括连接时间或者用户在连接过程中的收发流量等等。可以根据连接过程的统计日志以及用户信息，还有授权控制、账单、趋势分析、资源利用以及容量计划活动来执行帐户过程。

       验证授权和帐户由AAA服务器来提供。AAA服务器是一个能够提供这三项服务的程序。当前同AAA服务器协作的网络连接服务器接口是“远程身份验证拨入用户服务 (RADIUS)”。

               后来有了Diameter协议。

AAA是Cisco开发的一个提供网络安全的系统。

       常用的AAA协议是Radius，参见RFC 2865，RFC 2866。

       另外还有 HWTACACS协议（Huawei Terminal Access Controller Access Control System）协议。HWTACACS是华为对TACACS进行了扩展的协议

       HWTACACS是在TACACS（RFC1492）基础上进行了功能增强的一种安全协议。该协议与RADIUS协议类似，主要是通过“客户端—服务器”模式与HWTACACS服务器通信来实现多种用户的AAA功能。HWTACACS与RADIUS的不同在于：l RADIUS基于UDP协议，而HWTACACS基于TCP协议。l RADIUS的认证和授权绑定在一起，而HWTACACS的认证和授权是独立的。RADIUS只对用户的密码进行加密，HWTACACS可以对整个报文进行加密。