在《J0ker的CISSP之路》系列的上一篇文章裏,J0ker給大家介紹了訪問控制憑證的最後一個分類:用戶的生物特徵,以及一些應用比較廣泛的生物驗證手段。以生物特徵爲驗證憑證的訪問控制方案能夠提供比使用其他兩種憑證的同類產品高得多的安全性,但生物特徵的訪問控制方案的部署和維護成本也最高,而且用戶的接受程度也不是很好。企業在選擇訪問控制方案的時候,往往會綜合考慮訪問控制方案的技術要求和部署使用成本,在安全要求不是很高的場合,企業往往會傾向於選擇不需要添置額外驗證設備的邏輯訪問控制方案。因此,我們在日常工作中,接觸更多的是各種基於密碼驗證的訪問控制系統,在接下去的幾個文章裏,J0ker就打算介紹一下各種邏輯訪問控制方案,首先J0ker將介紹集中式的訪問控制方案。
在網絡化應用廣泛使用的今天,用戶對信息資源的訪問已經從最開始的物理訪問爲主,到現在的以遠程訪問爲主:企業總部與處在不同地區的分支機構需要頻繁的交換信息、出差途中的員工需要從企業的相關部門獲取信息並分享業務資料、合作伙伴或外包廠商也需要從企業中獲取和進行中的項目的信息。這些目的和技術實現都不相同的場景,一般都需要通過電話撥號、互聯網或×××服務等方式進入企業的內部網絡。對企業來說,爲用戶提供對網絡資源的遠程訪問是一件相當有安全挑戰的事情,企業在允許遠程用戶訪問到自己的內部網絡和信息資源之前,必須先對遠程用戶的使用權進行一定的限制,這就是用於確認用戶身份的驗證(Authentication)、分配用戶訪問權限的授權(Authorization)和檢測用戶是否進行違反安全規定操作的審計(Accounting)操作,也就是我們經常可以接觸到的AAA概念。
何謂AAA?AAA是:
驗證(Authentication):確認用戶的身份以及用戶是否允許訪問網絡資源
授權(Authorization):決定用戶可以進行什麼操作
審計(Accounting):跟蹤用戶做了什麼以及完成的結果,審計常用於檢查用戶是否進行了違規操作或進行網絡使用時間/資源的計費。
我們可以從下圖中形象的瞭解到一個基礎的AAA服務是如何爲遠程用戶對網絡的訪問提供服務的,圖中包括三個對象,從左往右分別爲:遠程用戶、網絡訪問服務器(防火牆、×××服務器等)、用戶驗證服務器。
 |
| 圖1、AAA服務的過程示意圖 |
遠程用戶訪問網絡資源的AAA過程如下:
1、遠程用戶給網絡訪問服務器(NAS)發送自己的用戶名和密碼
2、NAS接收用戶提供的用戶名和密碼信息
3、NAS將用戶的用戶名和密碼信息轉交給驗證服務器
4、驗證服務器通過用戶的身份驗證後,將用戶可用的網絡連接參數(帶寬、可用時長等)、用戶授權和協議信息返回給NAS
5、NAS確認並向用戶提供連接服務,並將此次連接寫入驗證服務器的日誌中。
2、NAS接收用戶提供的用戶名和密碼信息
3、NAS將用戶的用戶名和密碼信息轉交給驗證服務器
4、驗證服務器通過用戶的身份驗證後,將用戶可用的網絡連接參數(帶寬、可用時長等)、用戶授權和協議信息返回給NAS
5、NAS確認並向用戶提供連接服務,並將此次連接寫入驗證服務器的日誌中。
因此,我們可以很清晰的瞭解到,AAA服務的安全程度,直接關係到網絡資源是否能夠得到妥善的保護,並防止來自網絡外部和內部的各種非法用戶的訪問。針對各種基於網絡的安全遠程訪問的AAA需求,互聯網工程任務小組(IETF)專門組建了一個AAA工作小組。繼 完成Radius、TACACS協議之後,當前這個工作小組的主要工作目標就是創建一個支持多種不同網絡訪問模型(如撥號網絡、移動IP和漫遊操作等)的標準的基礎協議,能夠滿足以下的幾點需求:
分佈式的安全模型(服務器-客戶端結構),分佈式的安全模型能夠將用戶身份驗證過程與通訊過程分離,從而使用戶的身份信息能夠保存到一箇中央的數據庫中。
驗證過程:客戶端和服務器之間的通訊應在驗證後才能進行,以此來保證通訊雙方的真實性和通訊內容的完整性。通訊中的敏感信息還應該事先進行加密,防止密碼或其他的驗證信息被攔截或泄漏。
靈活的驗證手段:AAA服務器應該能夠支持多種驗證手段,如密碼驗證協議(PAP)、挑戰-握手驗證協議(CHAP)、標準Unix登錄流程,或者Microsoft的Active Directory等,這樣AAA服務器才能適應複雜的應用環境。爲了增強撥號連接的訪問安全性,AAA服務器也應該對呼叫號碼識別(CLID)和回撥功能提供支持。
使用可擴展的協議:AAA服務器通常還應設計成能支持可擴展的協議,即使技術進步使新的協議進入市場,AAA服務器也可以在不影響現有協議的情況下對新協議提供支持。
針對上述的AAA服務實現需求,IT業界開發出了多種不同的AAA方案。其中,Radius和TACACS是行業事實上的標準,常被用於互聯網連接提供商(ISP)的網絡服務驗證及大型企業的遠程訪問控制中,而它們的繼任者DIAMETER則是一個目前仍處在評估狀態的標準草案(RFC)。這三種方案都能在提供安全的遠程訪問驗證功能的同時,有效的減少企業的管理成本。接下來J0ker來簡單介紹一下這三種AAA方案:
Radius:Radius是遠程撥號用戶驗證服務的縮寫(Remote Authentication Dial In User Service),由Livingston 公司開發,是當前最爲流行的AAA服務協議,它應用最爲廣泛的領域是互聯網服務提供商(ISP)。Radius服務器和客戶端之間的通訊採用UDP協議,但因爲Radius協議本身並不要求加密,因此,爲了提高在非安全網絡驗證過程抵抗非法用戶監聽的能力,Radius還支持使用一次性密碼。Radius服務的驗證和授權功能是不分離的,而審計功能是一個獨立的功能模塊,因此,Radius服務可以使用單獨部署的審計服務。
TACACS:TACACS是終端訪問控制器訪問控制系統(Terminal Access Controller Access Control System)的縮寫,TACACS最先使用在互聯網的前身ARPAnet上,並由網絡廠商Cisco完善了它的第二版XTACACS和第三版TACACS+。和Radius爲網絡服務的使用提供AAA服務不同,TACACS針對的是網絡資源訪問,另外,TACACS使用的通訊協議是TCP,這點也是和Radius不同的。TACACS服務集成了驗證、授權和審計服務,它的驗證功能支持CHAP、一次性密碼等不同的驗證協議,授權功能主要使用訪問控制列表方式,而審計功能則可記錄系統或會話級的日誌。
DIAMETER:針對Radius應用面較窄、支持的設備和應用較少的缺點,IT業界推出了DIAMETER協議,我們可以認爲DIAMETER協議是擴展的Radius協議。DIAMETER協議的最大特點是,它是一種基於節點的AAA服務,除了能夠使用在傳統的撥號服務上之外,還能使用在無線鏈接、移動電話或×××等其他接入服務上。同時DIAMETER的驗證、授權和審計功能都是獨立的,網絡廠商或企業可以根據自己的實際需要,使用DIAMETER標準的功能,或自己構建適合應用需要的功能支持。目前DIAMETER協議仍是一個RFC草案,有興趣的朋友可以自行到 IETF的官方站點去查閱資料[url]http://www.ietf.org/html.charters/aaa-charter.html[/url].