CISSP的成长之路（二十三）：逻辑访问控制方案

　　何谓AAA？AAA是：

　　验证（Authentication）：确认用户的身份以及用户是否允许访问网络资源

　　授权（Authorization）：决定用户可以进行什么操作

　　审计（Accounting）：跟踪用户做了什么以及完成的结果，审计常用于检查用户是否进行了违规操作或进行网络使用时间/资源的计费。

　　我们可以从下图中形象的了解到一个基础的AAA服务是如何为远程用户对网络的访问提供服务的，图中包括三个对象，从左往右分别为：远程用户、网络访问服务器（防火墙、VPN服务器等）、用户验证服务器。

　　图1、AAA服务的过程示意图

　　远程用户访问网络资源的AAA过程如下：

　　1、远程用户给网络访问服务器（NAS）发送自己的用户名和密码

　　2、NAS接收用户提供的用户名和密码信息

　　3、NAS将用户的用户名和密码信息转交给验证服务器

　　4、验证服务器通过用户的身份验证后，将用户可用的网络连接参数（带宽、可用时长等）、用户授权和协议信息返回给NAS

　　5、NAS确认并向用户提供连接服务，并将此次连接写入验证服务器的日志中。

　　因此，我们可以很清晰的了解到，AAA服务的安全程度，直接关系到网络资源是否能够得到妥善的保护，并防止来自网络外部和内部的各种非法用户的访问。针对各种基于网络的安全远程访问的AAA需求，互联网工程任务小组（IETF）专门组建了一个AAA工作小组。继 完成Radius、TACACS协议之后，当前这个工作小组的主要工作目标就是创建一个支持多种不同网络访问模型（如拨号网络、移动IP和漫游操作等）的标准的基础协议，能够满足以下的几点需求：