CISSP的成长之路（二十三）：逻辑访问控制方案

　　分布式的安全模型（服务器-客户端结构），分布式的安全模型能够将用户身份验证过程与通讯过程分离，从而使用户的身份信息能够保存到一个中央的数据库中。

　　验证过程：客户端和服务器之间的通讯应在验证后才能进行，以此来保证通讯双方的真实性和通讯内容的完整性。通讯中的敏感信息还应该事先进行加密，防止密码或其他的验证信息被拦截或泄漏。

　　灵活的验证手段：AAA服务器应该能够支持多种验证手段，如密码验证协议（PAP）、挑战-握手验证协议（CHAP）、标准Unix登录流程，或者Microsoft的Active Directory等，这样AAA服务器才能适应复杂的应用环境。为了增强拨号连接的访问安全性，AAA服务器也应该对呼叫号码识别（CLID）和回拨功能提供支持。

　　使用可扩展的协议：AAA服务器通常还应设计成能支持可扩展的协议，即使技术进步使新的协议进入市场，AAA服务器也可以在不影响现有协议的情况下对新协议提供支持。

　　针对上述的AAA服务实现需求，IT业界开发出了多种不同的AAA方案。其中，Radius和TACACS是行业事实上的标准，常被用于互联网连接提供商（ISP）的网络服务验证及大型企业的远程访问控制中，而它们的继任者DIAMETER则是一个目前仍处在评估状态的标准草案（RFC）。这三种方案都能在提供安全的远程访问验证功能的同时，有效的减少企业的管理成本。接下来J0ker来简单介绍一下这三种AAA方案：

　　Radius：Radius是远程拨号用户验证服务的缩写（Remote Authentication Dial In User Service），由Livingston 公司开发，是当前最为流行的AAA服务协议，它应用最为广泛的领域是互联网服务提供商（ISP）。Radius服务器和客户端之间的通讯采用UDP协议，但因为Radius协议本身并不要求加密，因此，为了提高在非安全网络验证过程抵抗非法用户监听的能力，Radius还支持使用一次性密码。Radius服务的验证和授权功能是不分离的，而审计功能是一个独立的功能模块，因此，Radius服务可以使用单独部署的审计服务。

　　TACACS：TACACS是终端访问控制器访问控制系统（Terminal Access Controller Access Control System）的缩写，TACACS最先使用在互联网的前身ARPAnet上，并由网络厂商Cisco完善了它的第二版XTACACS和第三版TACACS+。和Radius为网络服务的使用提供AAA服务不同，TACACS针对的是网络资源访问，另外，TACACS使用的通讯协议是TCP，这点也是和Radius不同的。TACACS服务集成了验证、授权和审计服务，它的验证功能支持CHAP、一次性密码等不同的验证协议，授权功能主要使用访问控制列表方式，而审计功能则可记录系统或会话级的日志。

　　DIAMETER：针对Radius应用面较窄、支持的设备和应用较少的缺点，IT业界推出了DIAMETER协议，我们可以认为DIAMETER协议是扩展的Radius协议。DIAMETER协议的最大特点是，它是一种基于节点的AAA服务，除了能够使用在传统的拨号服务上之外，还能使用在无线链接、移动电话或VPN等其他接入服务上。同时DIAMETER的验证、授权和审计功能都是独立的，网络厂商或企业可以根据自己的实际需要，使用DIAMETER标准的功能，或自己构建适合应用需要的功能支持。目前DIAMETER协议仍是一个RFC草案，有兴趣的朋友可以自行到 IETF的官方站点去查阅资料http://www.ietf.org/html.charters/aaa-charter.html.