Класс AAA
AAA (от англ. Authentication, Authorization, Accounting — аутентификация, авторизация, учёт) — это архитектурная модель и набор протоколов для управления доступом к сетевым ресурсам, обеспечивающие три ключевые функции: проверку подлинности пользователя (аутентификацию), определение его прав доступа (авторизацию) и сбор информации о потреблённых ресурсах (учёт). Модель AAA широко применяется в телекоммуникационных сетях, корпоративных информационных системах и интернет-сервисах для централизованного контроля доступа и биллинга.
История
Концепция AAA возникла в конце 1980-х годов в связи с развитием сетей с коммутацией пакетов и необходимостью удалённого доступа к ресурсам. Первым протоколом, реализующим элементы этой модели, стал TACACS (Terminal Access Controller Access-Control System), разработанный в 1984 году в компании BBN Technologies для сетей ARPANET. В 1992 году компания Livingston Enterprises (впоследствии вошедшая в состав Lucent Technologies) создала протокол RADIUS (Remote Authentication Dial-In User Service), который стал фактическим стандартом для провайдеров интернет-услуг. В 1998 году компания Cisco Systems разработала протокол TACACS+ как расширение оригинального TACACS, а в 2000 году Инженерный совет Интернета (IETF) опубликовал спецификацию Diameter (RFC 3588), призванную заменить RADIUS в современных сетях.
Основные функции
Модель AAA включает три взаимосвязанных процесса:
Аутентификация (Authentication)
Аутентификация — это процедура проверки подлинности субъекта доступа (пользователя, устройства или процесса). В рамках AAA аутентификация подтверждает, что субъект является тем, за кого себя выдаёт. Для этого используются различные методы:
- Парольная аутентификация — проверка по статическому паролю (например, PAP, CHAP).
- Сертификатная аутентификация — с использованием цифровых сертификатов X.509.
- Биометрическая аутентификация — по отпечаткам пальцев, радужной оболочке глаза или лицу.
- Многофакторная аутентификация — комбинация двух и более методов (например, пароль + одноразовый код).
Авторизация (Authorization)
Авторизация — это процесс определения набора прав и разрешений для аутентифицированного субъекта. На основе политик безопасности система AAA решает, какие ресурсы (файлы, сервисы, сетевые сегменты) и с какими ограничениями (время доступа, объём трафика) доступны пользователю. Авторизация может быть:
- Статической — права назначаются заранее на основе роли или группы пользователя.
- Динамической — права определяются в момент запроса на основе контекста (время суток, местоположение, тип устройства).
Учёт (Accounting)
Учёт — это сбор, регистрация и хранение информации о действиях пользователя и потреблённых ресурсах. Данные учёта включают:
- Время начала и окончания сеанса.
- Объём переданных и принятых данных.
- Использованные сервисы (например, объём трафика, длительность звонка).
- Действия, выполненные пользователем (запросы к базам данных, запуск приложений).
Учётные данные используются для биллинга (выставления счетов), аудита безопасности, анализа производительности и планирования ёмкости сети.
Протоколы AAA
На практике модель AAA реализуется через специализированные протоколы, работающие по схеме «клиент-сервер»:
RADIUS
RADIUS (Remote Authentication Dial-In User Service) — наиболее распространённый протокол AAA, определённый в RFC 2865 и RFC 2866. Работает поверх UDP (порты 1812 для аутентификации/авторизации и 1813 для учёта). Особенности:
- Клиент (обычно сетевой доступ-сервер, NAS) отправляет запрос на сервер RADIUS.
- Сервер проверяет учётные данные в базе (например, в Active Directory или LDAP) и возвращает ответ с разрешением или отказом.
- Передача пароля осуществляется в зашифрованном виде, остальные атрибуты — в открытом виде.
- Поддерживает проксирование запросов между серверами.
TACACS+
TACACS+ (Terminal Access Controller Access-Control System Plus) — протокол, разработанный Cisco Systems, описан в RFC 1492 (для оригинального TACACS) и в документации Cisco. Работает поверх TCP (порт 49). Отличия от RADIUS:
- Разделяет процессы аутентификации, авторизации и учёта на отдельные запросы.
- Шифрует весь пакет данных, включая тело запроса.
- Предоставляет более гибкие возможности для авторизации команд на сетевых устройствах.
Diameter
Diameter — протокол нового поколения, определённый в RFC 6733, пришедший на смену RADIUS. Работает поверх TCP или SCTP (порт 3868). Ключевые особенности:
- Поддержка расширений (приложений) для различных сценариев (например, для IP-мультимедийных подсистем IMS, для мобильных сетей LTE).
- Встроенная поддержка надёжной доставки сообщений, обнаружения ошибок и согласования возможностей.
- Использует модель «peer-to-peer» (равноправные узлы), а не строгую клиент-серверную.
Архитектура и компоненты
Типичная система AAA включает следующие компоненты:
- AAA-клиент — устройство или программное обеспечение, инициирующее запросы (например, точка доступа Wi-Fi, VPN-концентратор, коммутатор, RADIUS-клиент).
- AAA-сервер — центральный узел, обрабатывающий запросы аутентификации, авторизации и учёта. Примеры: FreeRADIUS, Microsoft NPS (Network Policy Server), Cisco ACS (Access Control Server).
- База данных учётных записей — хранилище информации о пользователях (логины, пароли, хеши, сертификаты, группы). Может быть реализована на основе LDAP (например, Active Directory), SQL-базы данных или файла (например, /etc/passwd).
- Политики доступа — набор правил, определяющих, кому, когда и при каких условиях разрешён доступ к ресурсам.
Применение
Модель AAA используется в различных областях:
Интернет-провайдеры (ISP)
Провайдеры применяют AAA для управления доступом к сети (Dial-up, DSL, PPPoE), биллинга (учёт трафика и времени) и ограничения скорости (QoS). RADIUS является стандартом для этой отрасли.
Корпоративные сети
В компаниях AAA используется для централизованного управления доступом к Wi-Fi, VPN, серверам и приложениям. Например, сотрудник вводит корпоративные учётные данные, а RADIUS-сервер проверяет их и предоставляет доступ к определённым ресурсам.
Мобильные сети (3G/4G/5G)
В сетях сотовой связи AAA (часто через Diameter) обеспечивает аутентификацию абонента (SIM-карта), авторизацию для доступа к услугам (голос, данные, SMS) и учёт трафика для биллинга.
Системы управления доступом (Access Control Systems)
AAA применяется в системах контроля доступа в здания (по картам, биометрии), где сервер AAA проверяет права доступа в конкретную зону и ведёт журнал событий.
Облачные сервисы
Провайдеры облачных услуг (например, Amazon Web Services, Microsoft Azure) используют AAA для управления доступом к API, виртуальным машинам и хранилищам данных, часто через протокол SAML или OAuth.
Критика и ограничения
Несмотря на широкое распространение, модель AAA имеет ряд недостатков:
- Централизация — единая точка отказа: при выходе из строя AAA-сервера доступ к ресурсам может быть полностью заблокирован.
- Задержки — каждый запрос требует обращения к серверу, что увеличивает время установления соединения.
- Сложность масштабирования — в крупных распределённых системах требуется синхронизация нескольких серверов AAA, что усложняет администрирование.
- Безопасность — протокол RADIUS не шифрует все атрибуты (например, имя пользователя), что делает его уязвимым для перехвата в незащищённых сетях.
См. также
- Аутентификация
- Авторизация
- Учёт
- RADIUS
- Diameter
- TACACS+
- LDAP
- OAuth
Источники
- RFC 2865 — Remote Authentication Dial In User Service (RADIUS).
- RFC 2866 — RADIUS Accounting.
- RFC 6733 — Diameter Base Protocol.
- Cisco Systems. TACACS+ Protocol Specification.
- Н. Олифер, В. Олифер. Компьютерные сети. Принципы, технологии, протоколы. — 5-е изд. — СПб.: Питер, 2016.
- С. Таненбаум, Д. Уэзеролл. Компьютерные сети. — 5-е изд. — СПб.: Питер, 2012.
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →