安全與VPN-AAA技術(shù)介紹-D

1、，安全與VPN-AAA技術(shù)介紹技術(shù)介紹 安全和 VPN目 錄i目 錄 HYPERLINK l _bookmark0 AAA HYPERLINK l _bookmark0 1 HYPERLINK l _bookmark0 AAA簡介 HYPERLINK l _bookmark0 1 HYPERLINK l _bookmark1 RADIUS協(xié)議簡介 HYPERLINK l _bookmark1 2 HYPERLINK l _bookmark1 客戶端/服務(wù)器模式 HYPERLINK l _bookmark1 2 HYPERLINK l _bookmark1 安全和認(rèn)證機(jī)制 HYPERLINK l

2、 _bookmark1 2 HYPERLINK l _bookmark2 RADIUS的基本消息交互流程 HYPERLINK l _bookmark2 3 HYPERLINK l _bookmark2 RADIUS報(bào)文結(jié)構(gòu) HYPERLINK l _bookmark2 3 HYPERLINK l _bookmark5 RADIUS擴(kuò)展屬性 HYPERLINK l _bookmark5 6 HYPERLINK l _bookmark6 HWTACACS協(xié)議簡介 HYPERLINK l _bookmark6 7 HYPERLINK l _bookmark6 HWTACACS協(xié)議與RADIUS協(xié)議的

3、區(qū)別 HYPERLINK l _bookmark6 7 HYPERLINK l _bookmark6 HWTACACS的基本消息交互流程 HYPERLINK l _bookmark6 7 HYPERLINK l _bookmark8 LDAP協(xié)議簡介 HYPERLINK l _bookmark8 9 HYPERLINK l _bookmark8 LDAP目錄服務(wù) HYPERLINK l _bookmark8 9 HYPERLINK l _bookmark8 使用LDAP協(xié)議進(jìn)行認(rèn)證和授權(quán) HYPERLINK l _bookmark8 9 HYPERLINK l _bookmark9 LDAP的

4、基本消息交互流程 HYPERLINK l _bookmark9 10 HYPERLINK l _bookmark10 基于域的用戶管理 HYPERLINK l _bookmark10 11 HYPERLINK l _bookmark11 設(shè)備的RADIUS服務(wù)器功能 HYPERLINK l _bookmark11 12 HYPERLINK l _bookmark12 AAA支持多實(shí)例 HYPERLINK l _bookmark12 13技術(shù)介紹 安全和 VPNAAA PAGE 13AAAAAA 簡介AAA 是 Authentication、Authorization、Accounting（認(rèn)證

5、、授權(quán)、計(jì)費(fèi)）的簡稱，是網(wǎng)絡(luò)安全的一種管理機(jī)制，提供了認(rèn)證、授權(quán)、計(jì)費(fèi)三種安全功能。AAA一般采用客戶機(jī)/服務(wù)器結(jié)構(gòu)，客戶端運(yùn)行于NAS（Network Access Server，網(wǎng)絡(luò)接入服務(wù)器） 上，服務(wù)器上則集中管理用戶信息。NAS對于用戶來講是服務(wù)器端，對于服務(wù)器來說是客戶端。AAA 的基本組網(wǎng)結(jié)構(gòu)如 HYPERLINK l _bookmark0 圖 1。圖 1 AAA 基本組網(wǎng)結(jié)構(gòu)示意圖當(dāng)用戶想要通過某網(wǎng)絡(luò)與 NAS 建立連接，從而獲得訪問其它網(wǎng)絡(luò)的權(quán)利或取得某些網(wǎng)絡(luò)資源的權(quán)利時(shí)，NAS 起到了驗(yàn)證用戶或?qū)?yīng)連接的作用。NAS 負(fù)責(zé)把用戶的認(rèn)證、授權(quán)、計(jì)費(fèi)信息透傳給服務(wù)器（RADIU

6、S 服務(wù)器或 HWTACACS 服務(wù)器），RADIUS 協(xié)議或 HWTACACS 協(xié)議規(guī)定了 NAS 與服務(wù)器之間如何傳遞用戶信息。 HYPERLINK l _bookmark0 圖 1的AAA基本組網(wǎng)結(jié)構(gòu)中有兩臺(tái)服務(wù)器，用戶可以根據(jù)實(shí)際組網(wǎng)需求來決定認(rèn)證、授權(quán)、計(jì)費(fèi)功能分別由使用哪種協(xié)議類型的服務(wù)器來承擔(dān)。例如，可以選擇HWTACACS服務(wù)器實(shí)現(xiàn)認(rèn)證和授權(quán)， RADIUS服務(wù)器實(shí)現(xiàn)計(jì)費(fèi)。這三種安全服務(wù)功能的具體作用如下：認(rèn)證：確認(rèn)遠(yuǎn)端訪問用戶的身份，判斷訪問者是否為合法的網(wǎng)絡(luò)用戶；授權(quán)：對不同用戶賦予不同的權(quán)限，限制用戶可以使用的服務(wù)。例如用戶成功登錄服務(wù)器后， 管理員可以授權(quán)用戶對服務(wù)器中

7、的文件進(jìn)行訪問和打印操作；計(jì)費(fèi)：記錄用戶使用網(wǎng)絡(luò)服務(wù)中的所有操作，包括使用的服務(wù)類型、起始時(shí)間、數(shù)據(jù)流量等， 它不僅是一種計(jì)費(fèi)手段，也對網(wǎng)絡(luò)安全起到了監(jiān)視作用。當(dāng)然，用戶可以只使用 AAA 提供的一種或兩種安全服務(wù)。例如，公司僅僅想讓員工在訪問某些特定資源的時(shí)候進(jìn)行身份認(rèn)證，那么網(wǎng)絡(luò)管理員只要配置認(rèn)證服務(wù)器就可以了。但是若希望對員工使用網(wǎng)絡(luò)的情況進(jìn)行記錄，那么還需要配置計(jì)費(fèi)服務(wù)器。如上所述，AAA 是一種管理框架，它提供了授權(quán)部分實(shí)體去訪問特定資源，同時(shí)可以記錄這些實(shí)體操作行為的一種安全機(jī)制，因其具有良好的可擴(kuò)展性，并且容易實(shí)現(xiàn)用戶信息的集中管理而被廣泛使用。AAA 可以通過多種協(xié)議來實(shí)現(xiàn)，目

8、前設(shè)備支持基于 RADIUS 協(xié)議、HWTACACS 協(xié)議或 LDAP 協(xié)議來實(shí)現(xiàn) AAA，在實(shí)際應(yīng)用中，最常使用 RADIUS 協(xié)議。RADIUS 協(xié)議簡介RADIUS（Remote Authentication Dial-In User Service，遠(yuǎn)程認(rèn)證撥號(hào)用戶服務(wù)）是一種分布式的、客戶端/服務(wù)器結(jié)構(gòu)的信息交互協(xié)議，能保護(hù)網(wǎng)絡(luò)不受未授權(quán)訪問的干擾，常應(yīng)用在既要求較高安全性、又允許遠(yuǎn)程用戶訪問的各種網(wǎng)絡(luò)環(huán)境中。該協(xié)議定義了基于 UDP 的 RADIUS 幀格式及其消息傳輸機(jī)制，并規(guī)定 UDP 端口 1812、1813 分別作為認(rèn)證、計(jì)費(fèi)端口。RADIUS 最初僅是針對撥號(hào)用戶的 AA

9、A 協(xié)議，后來隨著用戶接入方式的多樣化發(fā)展，RADIUS 也適應(yīng)多種用戶接入方式，如以太網(wǎng)接入、ADSL 接入。它通過認(rèn)證授權(quán)來提供接入服務(wù)，通過計(jì)費(fèi)來收集、記錄用戶對網(wǎng)絡(luò)資源的使用?？蛻舳?服務(wù)器模式客戶端：RADIUS 客戶端一般位于 NAS 設(shè)備上，可以遍布整個(gè)網(wǎng)絡(luò)，負(fù)責(zé)傳輸用戶信息到指定的 RADIUS 服務(wù)器，然后根據(jù)從服務(wù)器返回的信息進(jìn)行相應(yīng)處理（如接受/拒絕用戶接入）。服務(wù)器：RADIUS 服務(wù)器一般運(yùn)行在中心計(jì)算機(jī)或工作站上，維護(hù)相關(guān)的用戶認(rèn)證和網(wǎng)絡(luò)服務(wù)訪問信息，負(fù)責(zé)接收用戶連接請求并認(rèn)證用戶，然后給客戶端返回所有需要的信息（如接受/拒絕認(rèn)證請求）。RADIUS服務(wù)器通常要維護(hù)

10、三個(gè)數(shù)據(jù)庫，如 HYPERLINK l _bookmark1 圖 2所示：圖 2 RADIUS 服務(wù)器的組成“Users”：用于存儲(chǔ)用戶信息（如用戶名、口令以及使用的協(xié)議、IP 地址等配置信息）?！癈lients”：用于存儲(chǔ) RADIUS 客戶端的信息（如接入設(shè)備的共享密鑰、IP 地址等）。“Dictionary”：用于存儲(chǔ) RADIUS 協(xié)議中的屬性和屬性值含義的信息。安全和認(rèn)證機(jī)制RADIUS 客戶端和 RADIUS 服務(wù)器之間認(rèn)證消息的交互是通過共享密鑰的參與來完成的，并且共享密鑰不能通過網(wǎng)絡(luò)來傳輸，增強(qiáng)了信息交互的安全性。另外，為防止用戶密碼在不安全的網(wǎng)絡(luò)上傳遞時(shí)被竊取，在傳輸過程中對

11、密碼進(jìn)行了加密。RADIUS 服務(wù)器支持多種方法來認(rèn)證用戶，如基于 PPP 的 PAP、CHAP 認(rèn)證。另外，RADIUS 服務(wù)器還可以為其它類型的認(rèn)證服務(wù)器提供代理客戶端的功能，向其提出認(rèn)證請求。RADIUS 的基本消息交互流程用戶、RADIUS客戶端和RADIUS服務(wù)器之間的交互流程如 HYPERLINK l _bookmark2 圖 3所示。圖 3 RADIUS 的基本消息交互流程HostRADIUS clientRADIUS server(1) 用戶輸入用戶名/密碼認(rèn)證請求包認(rèn)證接受/拒絕包計(jì)費(fèi)開始請求包計(jì)費(fèi)開始請求響應(yīng)包(6) 用戶訪問資源計(jì)費(fèi)結(jié)束請求包計(jì)費(fèi)結(jié)束請求響應(yīng)包(9) 通知

12、訪問結(jié)束消息交互流程如下：用戶發(fā)起連接請求，向 RADIUS 客戶端發(fā)送用戶名和密碼。RADIUS 客戶端根據(jù)獲取的用戶名和密碼，向 RADIUS 服務(wù)器發(fā)送認(rèn)證請求包 （Access-Request），其中的密碼在共享密鑰的參與下由 MD5 算法進(jìn)行加密處理。RADIUS 服務(wù)器對用戶名和密碼進(jìn)行認(rèn)證。如果認(rèn)證成功，RADIUS 服務(wù)器向 RADIUS 客戶端發(fā)送認(rèn)證接受包（Access-Accept）；如果認(rèn)證失敗，則返回認(rèn)證拒絕包（Access-Reject）。由于 RADIUS 協(xié)議合并了認(rèn)證和授權(quán)的過程，因此認(rèn)證接受包中也包含了用戶的授權(quán)信息。RADIUS 客戶端根據(jù)接收到的認(rèn)證結(jié)果

13、接入/拒絕用戶。如果允許用戶接入，則 RADIUS 客戶端向 RADIUS 服務(wù)器發(fā)送計(jì)費(fèi)開始請求包（Accounting-Request）。RADIUS 服務(wù)器返回計(jì)費(fèi)開始響應(yīng)包（Accounting-Response），并開始計(jì)費(fèi)。用戶開始訪問網(wǎng)絡(luò)資源；用戶請求 斷開連接 ， RADIUS 客戶端向 RADIUS 服 務(wù)器發(fā)送 計(jì)費(fèi)停止 請求包（Accounting-Request）。RADIUS 服務(wù)器返回計(jì)費(fèi)結(jié)束響應(yīng)包（Accounting-Response），并停止計(jì)費(fèi)。用戶結(jié)束訪問網(wǎng)絡(luò)資源。RADIUS 報(bào)文結(jié)構(gòu)RADIUS采用UDP報(bào)文來傳輸消息，通過定時(shí)器管理機(jī)制、重傳機(jī)制、備

14、用服務(wù)器機(jī)制，確保RADIUS服務(wù)器和客戶端之間交互消息的正確收發(fā)。RADIUS報(bào)文結(jié)構(gòu)如 HYPERLINK l _bookmark3 圖 4所示。圖 4 RADIUS 報(bào)文結(jié)構(gòu)各字段的解釋如下：Code 域長度為 1 個(gè)字節(jié)，用于說明RADIUS報(bào)文的類型，如 HYPERLINK l _bookmark3 表 1所示。表 1 Code 域的主要取值說明Code報(bào)文類型報(bào)文說明1Access-Request 認(rèn)證請求包方向 Client-Server，Client 將用戶信息傳輸?shù)?Server，由 Server 判斷是否接入該用戶。該報(bào)文中必須包含 User-Name 屬性，可選包含NAS

15、-IP-Address、User-Password、NAS-Port 等屬性2Access-Accept 認(rèn)證接受包方向 Server-Client，如果 Access-Request 報(bào)文中的所有 Attribute 值都可以接受（即認(rèn)證通過），則傳輸該類型報(bào)文3Access-Reject 認(rèn)證拒絕包方向 Server-Client，如果 Access-Request 報(bào)文中存在任何無法被接受的Attribute 值（即認(rèn)證失?。瑒t傳輸該類型報(bào)文4Accounting-Request計(jì)費(fèi)請求包方向 Client-Server，Client 將用戶信息傳輸?shù)?Server，請求 Server

16、 開始/ 停止計(jì)費(fèi)，由該報(bào)文中的Acct-Status-Type 屬性區(qū)分計(jì)費(fèi)開始請求和計(jì)費(fèi)結(jié)束請求5Accounting-Response計(jì)費(fèi)響應(yīng)包方向 Server-Client，Server 通知 Client 已經(jīng)收到 Accounting-Request 報(bào)文，并且已經(jīng)正確記錄計(jì)費(fèi)信息Identifier 域長度為 1 個(gè)字節(jié)，用于匹配請求包和響應(yīng)包，以及檢測在一段時(shí)間內(nèi)重發(fā)的請求包。類型一致的請求包和響應(yīng)包的 Identifier 值相同。Length 域長度為 2 個(gè)字節(jié)，表示 RADIUS 數(shù)據(jù)包（包括 Code、Identifier、Length、Authenticator

17、和Attribute） 的長度，范圍從 204096。超過 Length 域的字節(jié)將作為填充字符被忽略。如果接收到的包的實(shí)際長度小于 Length 域的值時(shí)，則包會(huì)被丟棄。Authenticator 域長度為 16 個(gè)字節(jié)，用于驗(yàn)證 RADIUS 服務(wù)器的應(yīng)答，另外還用于用戶密碼的加密。Authenticator 包括兩種類型：Request Authenticator 和 Response Authenticator。Attribute 域不定長度，用于攜帶專門的認(rèn)證、授權(quán)和計(jì)費(fèi)信息，提供請求和響應(yīng)報(bào)文的配置細(xì)節(jié)。Attribute 可包括多個(gè)屬性，每一個(gè)屬性都采用（Type、Length、

18、Value）三元組的結(jié)構(gòu)來表示。類型（Type），1 個(gè)字節(jié)，取值為 1255，用于表示屬性的類型， HYPERLINK l _bookmark4 表 2列出了RADIUS認(rèn)證、授權(quán)、計(jì)費(fèi)常用的屬性。長度（Length），表示該屬性（包括類型、長度和屬性）的長度，單位為字節(jié)。屬性值（Value），表示該屬性的信息，其格式和內(nèi)容由類型和長度決定，最大長度為 253 字節(jié)。表 2 RADIUS 屬性屬性編號(hào)屬性名稱屬性編號(hào)屬性名稱1User-Name45Acct-Authentic2User-Password46Acct-Session-Time3CHAP-Password47Acct-Input

19、-Packets4NAS-IP-Address48Acct-Output-Packets5NAS-Port49Acct-Terminate-Cause6Service-Type50Acct-Multi-Session-Id7Framed-Protocol51Acct-Link-Count8Framed-IP-Address52Acct-Input-Gigawords9Framed-IP-Netmask53Acct-Output-Gigawords10Framed-Routing54(unassigned)11Filter-ID55Event-Timestamp12Framed-MTU56-59

20、(unassigned)13Framed-Compression60CHAP-Challenge14Login-IP-Host61NAS-Port-Type15Login-Service62Port-Limit16Login-TCP-Port63Login-LAT-Port17(unassigned)64Tunnel-Type18Reply-Message65Tunnel-Medium-Type19Callback-Number66Tunnel-Client-Endpoint20Callback-ID67Tunnel-Server-Endpoint21(unassigned)68Acct-Tu

21、nnel-Connection22Framed-Route69Tunnel-Password23Framed-IPX-Network70ARAP-Password24State71ARAP-Features25Class72ARAP-Zone-Access26Vendor-Specific73ARAP-Security27Session-Timeout74ARAP-Security-Data28Idle-Timeout75Password-Retry29Termination-Action76Prompt屬性編號(hào)屬性名稱屬性編號(hào)屬性名稱30Called-Station-Id77Connect-

22、Info31Calling-Station-Id78Configuration-Token32NAS-Identifier79EAP-Message33Proxy-State80Message-Authenticator34Login-LAT-Service81Tunnel-Private-Group-id35Login-LAT-Node82Tunnel-Assignment-id36Login-LAT-Group83Tunnel-Preference37Framed-AppleTalk-Link84ARAP-Challenge-Response38Framed-AppleTalk-Netwo

23、rk85Acct-Interim-Interval39Framed-AppleTalk-Zone86Acct-Tunnel-Packets-Lost40Acct-Status-Type87NAS-Port-Id41Acct-Delay-Time88Framed-Pool42Acct-Input-Octets89(unassigned)43Acct-Output-Octets90Tunnel-Client-Auth-id44Acct-Session-Id91Tunnel-Server-Auth-idRADIUS 擴(kuò)展屬性RADIUS 協(xié)議具有良好的可擴(kuò)展性，協(xié)議（RFC 2865）中定義的 26

24、 號(hào)屬性（Vendor-Specific）用于設(shè)備廠商對 RADIUS 進(jìn)行擴(kuò)展，以實(shí)現(xiàn)標(biāo)準(zhǔn) RADIUS 沒有定義的功能。設(shè)備廠商可以封裝多個(gè)自定義的“（Type、Length、Value）”子屬性來擴(kuò)展RADIUS。如 HYPERLINK l _bookmark5 圖 5所示，26 號(hào)屬性報(bào)文內(nèi)封裝的子屬性包括以下四個(gè)部分：Vendor-ID 域占 4 字節(jié)，表示廠商代號(hào)，最高字節(jié)為 0，其余 3 字節(jié)的編碼見 RFC 1700。H3C公司的 Vendor-ID 是 2011。Vendor-Type，表示擴(kuò)展屬性的子屬性類型。Vendor-Length，表示該子屬性長度。Vendor-Da

25、ta，表示該子屬性的內(nèi)容。圖 5 包括擴(kuò)展屬性的 RADIUS 報(bào)文片斷HWTACACS 協(xié)議簡介HWTACACS（HW Terminal Access Controller Access Control System，HW 終端訪問控制器控制系統(tǒng)協(xié)議）是在 TACACS（RFC 1492）基礎(chǔ)上進(jìn)行了功能增強(qiáng)的安全協(xié)議。該協(xié)議與 RADIUS 協(xié)議類似，采用客戶端/服務(wù)器模式實(shí)現(xiàn) NAS 與 HWTACACS 服務(wù)器之間的通信。HWTACACS 協(xié)議主要用于 PPP（Point-to-Point Protocol，點(diǎn)對點(diǎn)協(xié)議）和 VPDN（Virtual Private Dial-up Ne

26、twork，虛擬私有撥號(hào)網(wǎng)絡(luò)）接入用戶及終端用戶的認(rèn)證、授權(quán)和計(jì)費(fèi)。其典型應(yīng)用是對需要登錄到設(shè)備上進(jìn)行操作的終端用戶進(jìn)行認(rèn)證、授權(quán)、計(jì)費(fèi)。設(shè)備作為 HWTACACS 的客戶端， 將用戶名和密碼發(fā)給 HWTACACS 服務(wù)器進(jìn)行驗(yàn)證。用戶驗(yàn)證通過并得到授權(quán)之后可以登錄到設(shè)備上進(jìn)行操作。HWTACACS 協(xié)議與 RADIUS 協(xié)議的區(qū)別HWTACACS協(xié)議與RADIUS協(xié)議都實(shí)現(xiàn)了認(rèn)證、授權(quán)、計(jì)費(fèi)的功能，它們有很多相似點(diǎn)：結(jié)構(gòu)上都采用客戶端/服務(wù)器模式；都使用公共密鑰對傳輸?shù)挠脩粜畔⑦M(jìn)行加密；都有較好的靈活性和可擴(kuò)展性。兩者之間存在的主要區(qū)別如 HYPERLINK l _bookmark6 表 3

27、所示。表 3 HWTACACS 協(xié)議和 RADIUS 協(xié)議區(qū)別HWTACACS 協(xié)議RADIUS 協(xié)議使用TCP，網(wǎng)絡(luò)傳輸更可靠使用 UDP，網(wǎng)絡(luò)傳輸效率更高除了 HWTACACS 報(bào)文頭，對報(bào)文主體全部進(jìn)行加密只對驗(yàn)證報(bào)文中的密碼字段進(jìn)行加密協(xié)議報(bào)文較為復(fù)雜，認(rèn)證和授權(quán)分離，使得認(rèn)證、授權(quán)服務(wù)可以分離在不同的安全服務(wù)器上實(shí)現(xiàn)。例如，可以用一個(gè) HWTACACS 服務(wù)器進(jìn)行認(rèn)證，另外一個(gè)HWTACACS 服務(wù)器進(jìn)行授權(quán)協(xié)議報(bào)文比較簡單，認(rèn)證和授權(quán)結(jié)合，難以分離支持對設(shè)備的配置命令進(jìn)行授權(quán)使用。用戶可使用的命令行受到用戶級(jí)別和 AAA 授權(quán)的雙重限制，某一級(jí)別的用戶輸入的每一條命令都需要通過 H

28、WTACACS 服務(wù)器授權(quán)，如果授權(quán)通過，命令就可以被執(zhí)行不支持對設(shè)備的配置命令進(jìn)行授權(quán)使用用戶登錄設(shè)備后可以使用的命令行由用戶級(jí)別決定，用戶只能使用缺省級(jí)別等于/低于用戶級(jí)別的命令行HWTACACS 的基本消息交互流程下面以Telnet用戶為例，說明使用HWTACACS對用戶進(jìn)行認(rèn)證、授權(quán)和計(jì)費(fèi)的過程。基本消息交互流程圖如 HYPERLINK l _bookmark7 圖 6所示。圖 6 Telnet 用戶認(rèn)證、授權(quán)和計(jì)費(fèi)流程圖用戶登錄認(rèn)證開始報(bào)文認(rèn)證回應(yīng)報(bào)文，請求用戶名向用戶申請用戶名用戶輸入用戶名認(rèn)證持續(xù)報(bào)文，向服務(wù)器端發(fā)用戶名認(rèn)證回應(yīng)報(bào)文，請求密碼向用戶申請密碼用戶輸入密碼認(rèn)證持續(xù)報(bào)文

29、，向服務(wù)器端發(fā)密碼認(rèn)證回應(yīng)報(bào)文，認(rèn)證通過授權(quán)請求報(bào)文授權(quán)回應(yīng)報(bào)文，授權(quán)通過用戶登錄成功計(jì)費(fèi)開始報(bào)文計(jì)費(fèi)開始報(bào)文回應(yīng)用戶退出計(jì)費(fèi)結(jié)束報(bào)文計(jì)費(fèi)結(jié)束報(bào)文回應(yīng)HostHWTACACS clientHWTACACS server在整個(gè)過程中的基本消息交互流程如下：Telnet 用戶請求登錄設(shè)備。HWTACACS 客戶端收到請求之后，向 HWTACACS 服務(wù)器發(fā)送認(rèn)證開始報(bào)文。HWTACACS 服務(wù)器發(fā)送認(rèn)證回應(yīng)報(bào)文，請求用戶名。HWTACACS 客戶端收到回應(yīng)報(bào)文后，向用戶詢問用戶名。用戶輸入用戶名。HWTACACS 客戶端收到用戶名后，向 HWTACACS 服務(wù)器發(fā)送認(rèn)證持續(xù)報(bào)文，其中包括了用戶名。

30、HWTACACS 服務(wù)器發(fā)送認(rèn)證回應(yīng)報(bào)文，請求登錄密碼。HWTACACS 客戶端收到回應(yīng)報(bào)文，向用戶詢問登錄密碼。用戶輸入密碼。HWTACACS 客戶端收到登錄密碼后，向 HWTACACS 服務(wù)器發(fā)送認(rèn)證持續(xù)報(bào)文，其中包括了登錄密碼。HWTACACS 服務(wù)器發(fā)送認(rèn)證回應(yīng)報(bào)文，指示用戶通過認(rèn)證。HWTACACS 客戶端向 HWTACACS 服務(wù)器發(fā)送授權(quán)請求報(bào)文。HWTACACS 服務(wù)器發(fā)送授權(quán)回應(yīng)報(bào)文，指示用戶通過授權(quán)。HWTACACS 客戶端收到授權(quán)回應(yīng)成功報(bào)文，向用戶輸出設(shè)備的配置界面。HWTACACS 客戶端向 HWTACACS 服務(wù)器發(fā)送計(jì)費(fèi)開始報(bào)文。HWTACACS 服務(wù)器發(fā)送計(jì)費(fèi)回

31、應(yīng)報(bào)文，指示計(jì)費(fèi)開始報(bào)文已經(jīng)收到。用戶請求斷開連接。HWTACACS 客戶端向 HWTACACS 服務(wù)器發(fā)送計(jì)費(fèi)結(jié)束報(bào)文。HWTACACS 服務(wù)器發(fā)送計(jì)費(fèi)結(jié)束報(bào)文，指示計(jì)費(fèi)結(jié)束報(bào)文已經(jīng)收到。LDAP 協(xié)議簡介LDAP（Lightweight Directory Access Protocol，輕量級(jí)目錄訪問協(xié)議）是一種基于 TCP/IP 的目錄訪問協(xié)議，用于提供跨平臺(tái)的、基于標(biāo)準(zhǔn)的目錄服務(wù)。它是在繼承了 X.500 協(xié)議優(yōu)點(diǎn)的基礎(chǔ)上發(fā)展起來的，并對 X.500 在讀取、瀏覽和查詢操作方面進(jìn)行了改進(jìn)，適合于存儲(chǔ)那些不經(jīng)常改變的數(shù)據(jù)。LDAP 協(xié)議的典型應(yīng)用是用來保存系統(tǒng)的用戶信息，如 Micro

32、soft 的 Windows 操作系統(tǒng)就使用了Activey Directory Server 來保存操作系統(tǒng)的用戶、用戶組等信息，用于用戶登錄 Windows 時(shí)的認(rèn)證和授權(quán)。LDAP 目錄服務(wù)在 LDAP 中，目錄代表了系統(tǒng)中的組織信息、人員信息以及資源信息，它是按照樹型結(jié)構(gòu)組織，由條目（Entry）組成的。條目是具有 DN（Distinguished Name，可區(qū)別名）的屬性（Attribute）集合。LDAP 的目錄服務(wù)功能建立在 Client/Server 的基礎(chǔ)之上，所有的目錄信息存儲(chǔ)在 LDAP 服務(wù)器上。LDAP 服務(wù)器就是一系列實(shí)現(xiàn)目錄協(xié)議并管理存儲(chǔ)目錄數(shù)據(jù)的數(shù)據(jù)庫程序。目

33、前，Microsoft 的Active Directory Server、IBM 的 Tivoli Directory Server 和 Sun 的 Sun ONE Directory Server 都是常用的LDAP 服務(wù)器軟件。使用 LDAP 協(xié)議進(jìn)行認(rèn)證和授權(quán)LDAP 協(xié)議中定義了多種操作來實(shí)現(xiàn) LDAP 的各種功能，用于認(rèn)證和授權(quán)的操作主要為綁定和查詢。綁定操作的作用有兩個(gè)：一是用于檢查用戶信息的合法性。如果綁定請求中的用戶 DN 在服務(wù)器指定根目錄下不存在或用戶 DN 密碼不正確，則綁定失敗，用戶不能訪問 LDAP 服務(wù)器； 二是獲取 LDAP 服務(wù)器的訪問權(quán)限。如果要對服務(wù)器指定目

34、錄下的信息進(jìn)行查詢操作，進(jìn)行綁定的用戶一定要有查詢該目錄的權(quán)限。查詢操作就是構(gòu)造查詢條件，并獲取 LDAP 服務(wù)器的目錄資源信息的過程。例如，獲取通用名 CN（Common Name）為 user-name 的用戶的 DN。使用 LDAP 協(xié)議進(jìn)行認(rèn)證時(shí)，其基本的工作流程如下：LDAP 客戶端使用具有足夠目錄資源訪問權(quán)限的用戶 DN（一般使用 LDAP 服務(wù)器管理員 DN） 與 LDAP 服務(wù)器進(jìn)行綁定，獲得查詢權(quán)限。LDAP 客戶端使用認(rèn)證信息中的用戶名構(gòu)造查詢條件，在 LDAP 服務(wù)器指定根目錄下查詢此用戶，得到用戶的 DN。最后，LDAP 客戶端使用用戶 DN 和用戶密碼與 LDAP 服

35、務(wù)器進(jìn)行綁定，檢查用戶密碼是否正確。使用 LDAP 協(xié)議進(jìn)行授權(quán)時(shí)，操作與認(rèn)證過程相似，只是在查詢用戶時(shí)，除獲得用戶 DN 外，還可以獲得用戶信息中的授權(quán)信息。如果只需要查詢用戶時(shí)獲得的授權(quán)信息，則可不再進(jìn)行后面的操作， 如果還需要其它授權(quán)信息可以在獲得相應(yīng)查詢權(quán)限后，繼續(xù)再對其它授權(quán)信息進(jìn)行查詢。LDAP 的基本消息交互流程下面以Telnet用戶登錄設(shè)備為例，說明如何使用LDAP來對用戶進(jìn)行的認(rèn)證和授權(quán)。基本消息交互流程如 HYPERLINK l _bookmark9 圖 7所示。圖 7 LDAP 認(rèn)證的基本消息交互流程在整個(gè)過程中的基本消息交互流程如下：用戶發(fā)起連接請求，向 LDAP 客戶

36、端發(fā)送用戶名和密碼。LDAP 客戶端收到請求之后，與 LDAP 服務(wù)器建立 TCP 連接。LDAP 客戶端以管理員 DN 和管理員 DN 密碼為參數(shù)向 LDAP 服務(wù)器發(fā)送管理員綁定請求報(bào)文（Administrator Bind Request）獲得查詢權(quán)限。LDAP 服務(wù)器進(jìn)行綁定請求報(bào)文的處理。如果綁定成功，則向 LDAP 客戶端發(fā)送綁定成功的回應(yīng)報(bào)文。LDAP 客戶端以輸入的用戶名為參數(shù)，向 LDAP 服務(wù)器發(fā)送用戶 DN 查詢請求報(bào)文（User DN Search Request）。LDAP 服務(wù)器收到查詢請求報(bào)文后，根據(jù)報(bào)文中的查詢起始地址、查詢范圍、以及過濾條件， 對用戶 DN 進(jìn)

37、行查找。如果查詢成功，則向 LDAP 客戶端發(fā)送查詢成功的回應(yīng)報(bào)文。查詢得到的用戶 DN 可以是一或多個(gè)。LDAP 客戶端以查詢得到的用戶 DN 和用戶輸入的密碼為參數(shù)，向 LDAP 服務(wù)器發(fā)送用戶 DN綁定請求報(bào)文（User DN Bind Request），檢查用戶密碼是否正確。LDAP 服務(wù)器進(jìn)行綁定請求報(bào)文的處理。如果綁定成功，則向 LDAP 客戶端發(fā)送綁定成功的回應(yīng)報(bào)文。如果綁定失敗，則向 LDAP 客戶端發(fā)送綁定失敗的回應(yīng)報(bào)文。LDAP 客戶端以下一個(gè)查詢到的用戶 DN（如果存在的話）為參數(shù)，繼續(xù)向服務(wù)器發(fā)送綁定請求，直至有一個(gè) DN 綁定成功， 或者所有 DN 均綁定失敗。如果所

38、有用戶 DN 都綁定失敗，則 LDAP 客戶端通知用戶登錄失敗并拒絕用戶接入。LDAP 客戶端與 LDAP 服務(wù)器進(jìn)行授權(quán)報(bào)文的交互。如果需要使用其它方案（如 HWTACACS等）繼續(xù)進(jìn)行授權(quán)，則與對應(yīng)服務(wù)器進(jìn)行授權(quán)報(bào)文的交互。授權(quán)成功之后，LDAP 客戶端通知用戶登錄成功。基于域的用戶管理一個(gè) ISP（Internet Service Provider，Internet 服務(wù)提供者）域是由屬于同一個(gè) ISP 的用戶構(gòu)成的群體。NAS設(shè)備對用戶的管理是基于ISP域的，每個(gè)接入用戶都屬于一個(gè)ISP域。用戶所屬的ISP域是由用戶登錄時(shí)提供的用戶名決定的，如 HYPERLINK l _bookmar

39、k10 圖 8所示。圖 8 用戶名決定域名用戶的認(rèn)證、授權(quán)、計(jì)費(fèi)都是在相應(yīng)的 ISP 域視圖下應(yīng)用預(yù)先配置的認(rèn)證、授權(quán)、計(jì)費(fèi)方案來實(shí)現(xiàn)的。AAA 有缺省的認(rèn)證、授權(quán)、計(jì)費(fèi)方案，分別為本地認(rèn)證、本地授權(quán)、本地計(jì)費(fèi)。如果用戶所屬的 ISP 域下未應(yīng)用任何認(rèn)證、授權(quán)、計(jì)費(fèi)方案，系統(tǒng)將使用缺省的認(rèn)證、授權(quán)、計(jì)費(fèi)方案。為便于對不同接入方式的用戶進(jìn)行區(qū)分管理，AAA 將用戶劃分為以下幾個(gè)類型：lan-access 用戶：LAN 接入用戶，如 802.1X 認(rèn)證、MAC 地址認(rèn)證用戶。login 用戶：登錄設(shè)備用戶，如 SSH、Telnet、Web、FTP、終端接入用戶。Portal 接入用戶。PPP 接入用戶。VoIP 接入用戶。SSL VPN 接入用戶。WAPI 接入用戶。用戶登錄設(shè)備后，AAA 還可以對其提供以下服務(wù)，用于提高用戶登錄后對設(shè)備操作的安全性：命令行授權(quán)：用戶執(zhí)行的每一條命令都需要接受授權(quán)服務(wù)器的檢查，只有授權(quán)成功的命令才被允許執(zhí)行