AAA是Authentication、Authorization、Accounting(認證、授權、計費)的簡稱,是網絡安全的一種管理機制,提供瞭認證、授權、計費三種安全功能。AAA是一種管理框架,它提供瞭授權部分實體去訪問特定資源,同時可以記錄這些實體操作行為的一種安全機制,因其具有良好的可擴展性,並且容易實現用戶信息的集中管理而被廣泛使用。
AAA可以通過多種協議來實現,目前設備支持基於RADIUS協議、HWTACACS協議或LDAP協議來實現AAA,在實際應用中,最常使用RADIUS協議。
- LDAP(Lightweight Directory Access Protocol,輕量級目錄訪問協議)是一種基於TCP/IP的目錄訪問協議,用於提供跨平臺的、基於標準的目錄服務。它是在繼承瞭X.500協議優點的基礎上發展起來的,並對X.500在讀取、瀏覽和查詢操作方面進行瞭改進,適合於存儲那些不經常改變的數據。典型應用是用來保存系統的用戶信息,如Microsoft的Windows操作系統就使用瞭Activey Directory Server來保存操作系統的用戶、用戶組等信息,用於用戶登錄Windows時的認證和授權。
- HWTACACS(HW Terminal Access Controller Access Control System,HW終端訪問控制器控制系統協議)是在TACACS(RFC 1492)基礎上進行瞭功能增強的安全協議。該協議與RADIUS協議類似,采用客戶端/服務器模式實現NAS與HWTACACS服務器之間的通信。典型應用於PPP(Point-to-Point Protocol,點對點協議)和VPDN(Virtual Private Dial-up Network,虛擬私有撥號網絡)接入用戶及終端用戶的認證、授權和計費。其典型應用是對需要登錄到設備上進行操作的終端用戶進行認證、授權、計費。設備作為HWTACACS的客戶端,將用戶名和密碼發給HWTACACS服務器進行驗證。用戶驗證通過並得到授權之後可以登錄到設備上進行操作。
- RADIUS(Remote Authentication Dial-In User Service,遠程認證撥號用戶服務)是一種分佈式的、客戶端/服務器結構的信息交互協議,能保護網絡不受未授權訪問的幹擾,常應用在既要求較高安全性、又允許遠程用戶訪問的各種網絡環境中。該協議定義瞭基於UDP的RADIUS幀格式及其消息傳輸機制,並規定UDP端口1812、1813分別作為認證、計費端口。最初僅是針對撥號用戶的AAA協議,後來隨著用戶接入方式的多樣化發展,RADIUS也適應多種用戶接入方式,如以太網接入、ADSL接入等撥號接入。它通過認證授權來提供接入服務,通過計費來收集、記錄用戶對網絡資源的使用。
成都瑞科技術有限公司研發的AAA無線網絡身份認證安全產品—- R5000是基於RADIUS為基礎,支持PPOE/PPTP/L2TP接入。 主要解決現有4G和5G無線網絡在金融、政府等行業推廣應用的安全認證環節,是專業無線AAA認證服務器。
主要針對目前企業VPDN專網存在的缺陷:IP地址與4G/5G號碼綁定的局限性和不能限制非私有用戶撥入私有網絡,我們提供完整的解決方案彌補這些缺陷。我們提供從終端到企業端的端到端解決方案,完全滿足企業用戶各方面的需求。我們推薦企業采用基於二層的VPDN網絡,將確保企業內網的完全私有性。
針對L2TP VPDN的信令流程,我們在第⑧步和第⑩步加強瞭安全控制和地址管理,確保用戶安全需要和特有的管理需要。
- 實現IMSI和用戶名/密碼綁定
我們在企業端內部,新增一套安全分析系統,實現IMSI和用戶名/密碼的綁定,系統支持CHAP認證和PAP認證方式。
我們的系統能實現每個終端分配一個用戶名密碼,該用戶名密碼隻有該終端能使用,不同終端的用戶名密碼不能混用。
不是企業的私有用戶試圖撥入企業專網,系統將拒絕用戶撥入並記錄用戶撥入的信息包括:IMSI號碼、撥入時間、撥入的用戶名等。
企業內合法的私有用戶企圖使用企業內其它合法私有用戶的用戶名密碼,系統將拒絕用戶撥入並記錄用戶撥入的信息包括:IMSI號碼、撥入時間、撥入的用戶名等。
企業LNS無需配置任何有關用戶的認證信息,隻需要在企業管理員在認證系統配置即可,配置方便可靠。
- 實現終端和IP地址的綁定
針對企業要求對不同終端分配不同的固定IP地址,我們新增一套IP地址綁定系統,實現終端和IP地址綁定。
根據L2TP信令流程,在終端通過認證後將進行IPCP的協商。我們控制瞭IPCP協商階段,使其能針對終端分配不同固定IP地址。
用戶終端無需配置IP地址,企業LNS也無需配置地址池,所有終端的地址將由地址分配系統分配並記錄給用戶分配IP地址的情況。
企業管理員隻需要在地址分配系統配置相關數據即可,配置方便可靠。
我們建議企業分給各終端不同的用戶名和密碼,我們的系統將能實現IMSI-用戶名-密碼-IP四綁定。
我們的系統將“IMSI限定、地址綁定”兩功能集成在一臺專用RADIUS認證服務器產品上。
成都瑞科技術AAA認證服務器是全國唯一一傢嵌入式硬件設備,其他廠傢都是Pc+軟件Radius模式,目前全國金融系統的無線接入系統中涉及到的中心安全設備基本上全是我們的嵌入式硬件設備。至於管理界面和配置方式,我們就是要做到對於用戶管理者,管理所有無線網點越簡單越好,不需繁瑣的命令就能夠對所有無線網點的狀況瞭如指掌。
比較典型的案例就某銀行曾經出現第三方的數據庫出問題,數據庫修復並能成功啟動認證至少需要半天時間,那麼這半天時間在金融系統中應該作為事故,而我們的設備的數據庫開機就被調用到強大的內存中,所以數據庫出錯機率很小,並設備重啟時間短隻需3秒-4秒。
- 以下為嵌入式Radius和Pc+軟件Radius相比較的優勢:
- 嵌入式軟件的特點: 所謂“嵌入式”軟件指的是軟件可以嵌入到芯片中。這類軟件一般采用匯編或者C語言開發,具有穩定性高、運行速度快,針對硬件優化等特點。
- 嵌入式軟件的應用領域: 起初,這種軟件開發技術隻應用在航天、國防、工業控制等需要高可靠性的領域中。但在九十年代後期,這種技術在美國、德國和日本等發達國傢逐漸興起,在手機軟件、數碼相機軟件和MP3播放器軟件等消費類電子產品中得到瞭廣泛的應用。
- 嵌入式Radius和傳統PC Radius軟件相比較的優勢: