Открыть сервис

Класс AAA

AAA (от англ. Authentication, Authorization, Accounting — аутентификация, авторизация, учёт) — это архитектурная модель и набор протоколов для управления доступом к сетевым ресурсам, обеспечивающие три ключевые функции: проверку подлинности пользователя (аутентификацию), определение его прав доступа (авторизацию) и сбор информации о потреблённых ресурсах (учёт). Модель AAA широко применяется в телекоммуникационных сетях, корпоративных информационных системах и интернет-сервисах для централизованного контроля доступа и биллинга.

История

Концепция AAA возникла в конце 1980-х годов в связи с развитием сетей с коммутацией пакетов и необходимостью удалённого доступа к ресурсам. Первым протоколом, реализующим элементы этой модели, стал TACACS (Terminal Access Controller Access-Control System), разработанный в 1984 году в компании BBN Technologies для сетей ARPANET. В 1992 году компания Livingston Enterprises (впоследствии вошедшая в состав Lucent Technologies) создала протокол RADIUS (Remote Authentication Dial-In User Service), который стал фактическим стандартом для провайдеров интернет-услуг. В 1998 году компания Cisco Systems разработала протокол TACACS+ как расширение оригинального TACACS, а в 2000 году Инженерный совет Интернета (IETF) опубликовал спецификацию Diameter (RFC 3588), призванную заменить RADIUS в современных сетях.

Основные функции

Модель AAA включает три взаимосвязанных процесса:

Аутентификация (Authentication)

Аутентификация — это процедура проверки подлинности субъекта доступа (пользователя, устройства или процесса). В рамках AAA аутентификация подтверждает, что субъект является тем, за кого себя выдаёт. Для этого используются различные методы:

Авторизация (Authorization)

Авторизация — это процесс определения набора прав и разрешений для аутентифицированного субъекта. На основе политик безопасности система AAA решает, какие ресурсы (файлы, сервисы, сетевые сегменты) и с какими ограничениями (время доступа, объём трафика) доступны пользователю. Авторизация может быть:

  • Статической — права назначаются заранее на основе роли или группы пользователя.
  • Динамической — права определяются в момент запроса на основе контекста (время суток, местоположение, тип устройства).

Учёт (Accounting)

Учёт — это сбор, регистрация и хранение информации о действиях пользователя и потреблённых ресурсах. Данные учёта включают:

  • Время начала и окончания сеанса.
  • Объём переданных и принятых данных.
  • Использованные сервисы (например, объём трафика, длительность звонка).
  • Действия, выполненные пользователем (запросы к базам данных, запуск приложений).

Учётные данные используются для биллинга (выставления счетов), аудита безопасности, анализа производительности и планирования ёмкости сети.

Протоколы AAA

На практике модель AAA реализуется через специализированные протоколы, работающие по схеме «клиент-сервер»:

RADIUS

RADIUS (Remote Authentication Dial-In User Service) — наиболее распространённый протокол AAA, определённый в RFC 2865 и RFC 2866. Работает поверх UDP (порты 1812 для аутентификации/авторизации и 1813 для учёта). Особенности:

  • Клиент (обычно сетевой доступ-сервер, NAS) отправляет запрос на сервер RADIUS.
  • Сервер проверяет учётные данные в базе (например, в Active Directory или LDAP) и возвращает ответ с разрешением или отказом.
  • Передача пароля осуществляется в зашифрованном виде, остальные атрибуты — в открытом виде.
  • Поддерживает проксирование запросов между серверами.

TACACS+

TACACS+ (Terminal Access Controller Access-Control System Plus) — протокол, разработанный Cisco Systems, описан в RFC 1492 (для оригинального TACACS) и в документации Cisco. Работает поверх TCP (порт 49). Отличия от RADIUS:

  • Разделяет процессы аутентификации, авторизации и учёта на отдельные запросы.
  • Шифрует весь пакет данных, включая тело запроса.
  • Предоставляет более гибкие возможности для авторизации команд на сетевых устройствах.

Diameter

Diameter — протокол нового поколения, определённый в RFC 6733, пришедший на смену RADIUS. Работает поверх TCP или SCTP (порт 3868). Ключевые особенности:

  • Поддержка расширений (приложений) для различных сценариев (например, для IP-мультимедийных подсистем IMS, для мобильных сетей LTE).
  • Встроенная поддержка надёжной доставки сообщений, обнаружения ошибок и согласования возможностей.
  • Использует модель «peer-to-peer» (равноправные узлы), а не строгую клиент-серверную.

Архитектура и компоненты

Типичная система AAA включает следующие компоненты:

  • AAA-клиент — устройство или программное обеспечение, инициирующее запросы (например, точка доступа Wi-Fi, VPN-концентратор, коммутатор, RADIUS-клиент).
  • AAA-сервер — центральный узел, обрабатывающий запросы аутентификации, авторизации и учёта. Примеры: FreeRADIUS, Microsoft NPS (Network Policy Server), Cisco ACS (Access Control Server).
  • База данных учётных записей — хранилище информации о пользователях (логины, пароли, хеши, сертификаты, группы). Может быть реализована на основе LDAP (например, Active Directory), SQL-базы данных или файла (например, /etc/passwd).
  • Политики доступа — набор правил, определяющих, кому, когда и при каких условиях разрешён доступ к ресурсам.

Применение

Модель AAA используется в различных областях:

Интернет-провайдеры (ISP)

Провайдеры применяют AAA для управления доступом к сети (Dial-up, DSL, PPPoE), биллинга (учёт трафика и времени) и ограничения скорости (QoS). RADIUS является стандартом для этой отрасли.

Корпоративные сети

В компаниях AAA используется для централизованного управления доступом к Wi-Fi, VPN, серверам и приложениям. Например, сотрудник вводит корпоративные учётные данные, а RADIUS-сервер проверяет их и предоставляет доступ к определённым ресурсам.

Мобильные сети (3G/4G/5G)

В сетях сотовой связи AAA (часто через Diameter) обеспечивает аутентификацию абонента (SIM-карта), авторизацию для доступа к услугам (голос, данные, SMS) и учёт трафика для биллинга.

Системы управления доступом (Access Control Systems)

AAA применяется в системах контроля доступа в здания (по картам, биометрии), где сервер AAA проверяет права доступа в конкретную зону и ведёт журнал событий.

Облачные сервисы

Провайдеры облачных услуг (например, Amazon Web Services, Microsoft Azure) используют AAA для управления доступом к API, виртуальным машинам и хранилищам данных, часто через протокол SAML или OAuth.

Критика и ограничения

Несмотря на широкое распространение, модель AAA имеет ряд недостатков:

  • Централизация — единая точка отказа: при выходе из строя AAA-сервера доступ к ресурсам может быть полностью заблокирован.
  • Задержки — каждый запрос требует обращения к серверу, что увеличивает время установления соединения.
  • Сложность масштабирования — в крупных распределённых системах требуется синхронизация нескольких серверов AAA, что усложняет администрирование.
  • Безопасность — протокол RADIUS не шифрует все атрибуты (например, имя пользователя), что делает его уязвимым для перехвата в незащищённых сетях.

См. также

  • Аутентификация
  • Авторизация
  • Учёт
  • RADIUS
  • Diameter
  • TACACS+
  • LDAP
  • OAuth

Источники

  1. RFC 2865 — Remote Authentication Dial In User Service (RADIUS).
  2. RFC 2866 — RADIUS Accounting.
  3. RFC 6733 — Diameter Base Protocol.
  4. Cisco Systems. TACACS+ Protocol Specification.
  5. Н. Олифер, В. Олифер. Компьютерные сети. Принципы, технологии, протоколы. — 5-е изд. — СПб.: Питер, 2016.
  6. С. Таненбаум, Д. Уэзеролл. Компьютерные сети. — 5-е изд. — СПб.: Питер, 2012.

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →