aaa是什么意思啊？

AAA服务器

AAA是验证、授权和记账（Authentication、Authorization、Accounting ）三个英文单词的简称。其主要目的是管理哪些用户可以访问网络服务器，具有访问权的用户可以得到哪些服务，如何对正在使用网络资源的用户进行记账。具体为：

1、 验证(Authentication): 验证用户是否可以获得访问权限；

2、 授权(Authorization) : 授权用户可以使用哪些服务；

3、 记账(Accounting) : 记录用户使用网络资源的情况。

目前RADIUS（Remote Authentication Dial In User Service）协议是唯一的AAA标准，在IETF的RFC 2865和2866中定义的。RADIUS 是基于 UDP 的一种客户机/服务器协议。RADIUS客户机是网络访问服务器，它通常是一个路由器、交换机或无线访问点。RADIUS服务器通常是在UNIX或Windows 2000服务器上运行的一个监护程序。RADIUS 协议的认证端口是1812 ，计费端口是1813。

RADIUS协议的主要特点

概括的来说，RADIUS 的主要特点如下：

1、 客户/服务模式(Client/Server)

RADIUS是一种C/S结构的协议，它的客户端最初就是网络接入服务器NAS（Network Access Server），现在运行在任何硬件上的RADIUS客户端软件都可以成为RADIUS的客户端。客户端的任务是把用户信息（用户名，口令等）传递给指定的RADIUS服务器，并负责执行返回的响应。

RADIUS服务器负责接收用户的连接请求，对用户身份进行认证，并为客户端返回所有为用户提供服务所必须的配置信息。

一个RADIUS服务器可以为其他的RADIUS Server或其他种类认证服务器担当代理。

2、 网络安全

客户端和RADIUS服务器之间的交互经过了共享保密字的认证。另外，为了避免某些人在不安全的网络上监听获取用户密码的可能性，在客户端和RADIUS服务器之间的任何用户密码都是被加密后传输的。

3、 灵活的认证机制

RADIUS服务器可以采用多种方式来鉴别用户的合法性。当用户提供了用户名和密码后，RADIUS服务器可以支持点对点的PAP认证（PPP PAP）、点对点的CHAP认证（PPP CHAP）、UNIX的登录操作（UNIX Login）和其他认证机制。

4． 扩展协议

所有的交互都包括可变长度的属性字段。为满足实际需要，用户可以加入新的属性值。新属性的值可以在不中断已存在协议执行的前提下自行定义新的属性。

RADIUS的工作过程

RADIUS协议旨在简化认证流程。其典型认证授权工作过程是：

1、用户输入用户名、密码等信息到客户端或连接到NAS；

2、客户端或NAS产生一个“接入请求（Access-Request）”报文到RADIUS服务器，其中包括用户名、口

令、客户端（NAS）ID 和用户访问端口的ID。口令经过MD5算法进行加密。

3、RADIUS服务器对用户进行认证；

4、若认证成功，RADIUS服务器向客户端或NAS发送允许接入包（Access-Accept），否则发送拒绝加接

入包（Access-Reject）；

5、若客户端或NAS接收到允许接入包，则为用户建立连接，对用户进行授权和提供服务，并转入6；若

接收到拒绝接入包，则拒绝用户的连接请求，结束协商过程；

6、客户端或NAS发送计费请求包给RADIUS服务器；

7、RADIUS服务器接收到计费请求包后开始计费，并向客户端或NAS回送开始计费响应包；

8、用户断开连接，客户端或NAS发送停止计费包给RADIUS服务器；

9、RADIUS服务器接收到停止计费包后停止计费，并向客户端或NAS回送停止计费响应包，完成该用户的

一次计费，记录计费信息。

流媒体中的AAA系统

AAA服务器是本流媒体系统中非常重要的一个部分，它完成接入认证、授权以及计费的功能。目前，由于RADIUS协议仍然是唯一的AAA协议标准，因此我们的系统中AAA服务器的实现仍采用RADIUS协议，实现RADIUS协议中提供的AAA服务功能。同时系统提供用户和计费信息的存储与管理等功能。

我们的AAA系统主要包括认证、计费服务器外，还包括用户和计费信息的存储、用户和计费策略管理等。在整个AAA系统中，RADIUS服务器之间以及RADIUS认证服务器与客户端通讯遵循RADIUS协议标准；用户信息和计费信息保存在 MySQL 数据库中。

1、 用户认证

用户在申请享受服务时，需要得到用户信息的认证。在本系统中，客户端发送AAA认证数据包给服务器，数据包包含用户ID和password，服务器对数据包进行验证给出结果。验证过程加密传输。

2、 用户服务授权

在本系统中，不同的用户可以享受不同的服务。AAA服务器在通过用户的认证请求后，按照该用户的权限来决定用户是否可以享受申请的服务内容。

3、 服务计费

系统提供基本的计费信息和计费算法，支持一定的计费策略，并保存计费过程产生的中间数据。系统达到实时计费的要求。计费的最小单位为分，并且能够保证用户不会透支费用。

4、 用户信息管理

主要功能包括用户注册、费用管理查询、权限设置等。管理平台可以对用户信息数据库和计费信息数据库进行管理。一般用户只能查询本帐号的基本情况，如用户基本信息和帐户余额，可修改本人的基本信息；管理员能查询和修改用户的基本信息、为用户充值、查询用户余额、完成计费策略的编辑、访问和修改。

AAA一般是用来给网络设备认证用的，可以提供设备的安全性。

下面是百度copy下来的详细解释，可供参考！

　AAA系统的简称： 认证(Authentication)：验证用户的身份与可使用的网络服务； 授权(Authorization)：依据认证结果开放网络服务给用户； 计帐(Accounting)：记录用户对各种网络服务的用量，并提供给计费系统。 AAA-----身份验证 (Authentication)、授权 (Authorization)和统计 (Accounting)Cisco开发的一个提供网络安全的系统。奏见authentication。authorization和accounting 常用的AAA协议是Radius，参见RFC 2865，RFC 2866。 另外还有 HWTACACS协议（Huawei Terminal Access Controller Access Control System）协议。HWTACACS是华为对TACACS进行了扩展的协议 HWTACACS是在TACACS（RFC1492）基础上进行了功能增强的一种安全协议。该协议与RADIUS协议类似，主要是通过“客户端－服务器”模式与HWTACACS服务器通信来实现多种用户的AAA功能。 HWTACACS与RADIUS的不同在于： l RADIUS基于UDP协议，而HWTACACS基于TCP协议。 l RADIUS的认证和授权绑定在一起，而HWTACACS的认证和授权是独立的。 l RADIUS只对用户的密码进行加密，HWTACACS可以对整个报文进行加密。 认证方案与认证模式 AAA支持本地认证、不认证、RADIUS认证和HWTACACS认证四种认证模式，并允许组合使用。 组合认证模式是有先后顺序的。例如，authentication-mode radius local表示先使用RADIUS认证，RADIUS认证没有响应再使用本地认证。 当组合认证模式使用不认证时，不认证（none）必须放在最后。例如：authentication-mode radius local none。 认证模式在认证方案视图下配置。当新建一个认证方案时，缺省使用本地认证。 授权方案与授权模式 AAA支持本地授权、直接授权、if-authenticated授权和HWTACACS授权四种授权模式，并允许组合使用。 组合授权模式有先后顺序。例如,authorization-mode hwtacacs local表示先使用HWTACACS授权，HWTACACS授权没有响应再使用本地授权。 当组合授权模式使用直接授权的时候，直接授权必须在最后。例如：authorization-mode hwtacacs local none 授权模式在授权方案视图下配置。当新建一个授权方案时，缺省使用本地授权。 RADIUS的认证和授权是绑定在一起的，所以不存在RADIUS授权模式。 计费方案与计费模式 AAA支持六种计费模式：本地计费、不计费、RADIUS计费、HWTACACS计费、同时RADIUS、本地计费以及同时HWTACACS、本地计费。 ---------------------------------------------------------------------- AAA ，认证(Authentication)：验证用户的身份与可使用的网络服务授权(Authorization)：依据认证结果开放网络服务给用户计帐(Accounting)：记录用户对各种网络服务的用量，并提供给计费系统。整个系统在网络管理与安全问题中十分有效。 首先，认证部分提供了对用户的认证。整个认证通常是采用用户输入用户名与密码来进行权限审核。认证的原理是每个用户都有一个唯一的权限获得标准。由AAA服务器将用户的标准同数据库中每个用户的标准一一核对。如果符合，那么对用户认证通过。如果不符合，则拒绝提供网络连接。 接下来，用户还要通过授权来获得操作相应任务的权限。比如，登陆系统后，用户可能会执行一些命令来进行操作，这时，授权过程会检测用户是否拥有执行这些命令的权限。简单而言，授权过程是一系列强迫策略的组合，包括：确定活动的种类或质量、资源或者用户被允许的服务有哪些。授权过程发生在认证上下文中。一旦用户通过了认证，他们也就被授予了相应的权限。　最后一步是帐户，这一过程将会计算用户在连接过程中消耗的资源数目。这些资源包括连接时间或者用户在连接过程中的收发流量等等。可以根据连接过程的统计日志以及用户信息，还有授权控制、账单、趋势分析、资源利用以及容量计划活动来执行帐户过程。 验证授权和帐户由AAA服务器来提供。AAA服务器是一个能够提供这三项服务的程序。当前同AAA服务器协作的网络连接服务器接口是“远程身份验证拨入用户服务 (RADIUS)”。 目前最新的发展是Diameter协议

---