AAA یا همان authentication authorization accounting چیست؟

توسط

19 خرداد 1399

2653

AAA یا همان authentication authorization accounting چیست؟

AAA (بخوانید تریپل A) یک معماری امنیتی برای کنترل دسترسی به منابع شبکه است. این معماری براساس سه المان authentication (احراز هویت) و authorization (مجوز) و accounting (حسابرسی) کار میکند. این پردازش‌های ترکیبی برای مدیریت شبکه و امنیت آن کاملاً ضروری هستند.

احراز هویت

در اولین مرحله، یکی از روش های احرازهویت (مانند نام کاربری و کلمه عبور، بحث های biometrical (از جمله اثر انگشت، تشخیص چهره و …) و …) برای شناسایی کاربری که می خواهد در یک شبکه کار کند اتفاق می افتد. در این مرحله، کاربر پارامترهای احرازهویت خود را برای سرور ارسال کرده و سرور آنرا بررسی میکند. روش های احرازهویت به دو صورت LOCAL و متمرکز امکان پذیر است.

اعطای مجوز

مرحله ی پس از اعتبار سنجی و یا همان احراز هویت، مشخص شدن میزان دسترسی به منابع میباشد که به آن authorization می گویند. به این ترتیب، تمام حساب های کاربری ایی که احراز هویت شده و تعیین سطح دسترسی خواهند شد. پردازش Authorization مشخص می‌کند که آیا کاربر اجازه اجرای آن دستورات خاص را دارد یا خیر. به بیان ساده‌تر Authorization پردازشی است برای کاربر که سیاست‌هایی خاص را در رابطه با نوع فعالیت، کیفیت، منابع و سرویس‌ها برقرار می‌کند. معمولاً Authorization همراه با Authentication صورت می‌گیرد.

حسابرسی

قسمت آخر چهارچوب AAA ،Accounting می‌باشد که میزان استفاده کاربر را در طول دسترسی مشخص می‌کند. Accounting مشخص می‌کند که کاربر مجوز استفاده از چه مدت و به چه مقدار اطلاعات در طول برقراری یک Session را دارد.

AAA Server درخواست ایستگاه کاری را مبنی بر استفاده از منابع شبکه دریافت می‌کند و سعی در Authenticate کاربر می‌نماید سپس حدود دسترسی کاربر را به ایستگاه کاری ارسال می‌نماید. AAA Server ممکن است به‌صورت محلی Authentication را انجام دهد و یا اینکه مانند یک Proxy عمل کرده و درخواست را به AAA Server دیگری انتقال دهد. پس از Forward کردن درخواست این سرور انتقال اطلاعات را بین سرور دسترسی شبکه و AAA Server ادامه می‌دهد. در انتها میزان دسترسی کاربر با توجه به تنظیمات قبلی لحاظ می‌شود.

پروتکل‌های AAA

AAA برای ارتباط خود با AAA Server از دو نوع پروتکل Radius و TACACS+ استفاده میکند.

Radius یک پروتکل عمومی که فقط پسورد را رمز است . ارتباط آن از نوع UDP بوده و از شماره پورت‌های ۱۶۴۵ و ۱۸۱۲ برای Authentication و Authorization و از شماره پورت‌های ۱۸۱۳ و ۱۶۴۶ برای Accounting استفاده می‌کند. Authentication و Authorization را به‌عنوان یک سرویس در هم ادغام میکند و فقط جهت کنترل دسترسی کاربران مورداستفاده قرار می‌گیرد.

TACACS توسط شرکت سیسکو ارائه‌ شده و به‌عنوان یک استاندارد عمومی انتشار یافته است. ارتباط آن از نوع TCP بوده و از شماره پورت ۴۹ استفاده می‌کند. این پروتکل کل بسته را رمزنگاری می‌کند. سه بخش AAA را به‌صورت جداگانه انجام می‌دهد و همچنین می‌توان برای کنترل دستورات در تجهیزات از آن استفاده کرد.