HWTACACS接入技術應用研究

摘 要:AAA是認證、授權、計費系統的簡稱，用來完成對用戶身份合法性的鑒別、權限的分配、話單的采集、費用的結算等功能，其核心模塊Radius服務器與網絡接入服務器之間的通信協議一般采用RADIUS協議。通過對HWTACACS協議層次結構、軟件結構特點、工作原理及認證計費流程的詳細分析，驗證了AAA系統采用HWTACACS協議的可行性，并通過實例介紹了HWTACACS的應用方法。

關鍵詞:接入網; AAA; HWTACACS; RADIUS協議

中圖分類號:TN915 文獻標識碼:A

文章編號:1004-373X(2010)09-0095-03

Research and Application of HWTACACS Access Technology

FAN Xin-long， ZHANG Hua， WANG Chao， XUE Qing-na

(Xi’an Railway Vocational Technical Institute， Xi’an 710014， China)

Abstract: AAA is the short form of authentication， authorization and accounting system， used for the completion of the identification of user identity legitimacy， authority distribution， CDR collection， the cost clearing and other functions. The RADIUS protocol is generally adopted for the communication protocol between the core modules the Radius server and NAS. The detailed analysis of HWTACACS protocol structure， software structure characteristics， operating principles and accounting process certifies the feasibility which AAA adopts HWTACACS. The HWTACACS application method is presented with examples.

Keywords: access network; AAA; HWTACACS; RADIUS protocol

0 引 言

華為終端訪問控制器控制系統協議(HUAWEI Terminal Access Controller Access Control System，HWTACACS)是在TACACS(RFC 1492)[1]基礎上進行了功能增強的安全協議。該協議與RADIUS協議類似，采用客戶端/服務器模式實現NAS與HWTACACS服務器之間的通信。

HWTACACS協議主要用于點對點協議(Point to Point Protocol，PPP)[2]和虛擬私有撥號網絡(Virtual Private Dialup Network，VPDN)[3]接入用戶及終端用戶的認證、授權和計費。其典型應用是對需要登錄到設備上進行操作的終端用戶進行認證、授權、計費。設備作為HWTACACS的客戶端，將用戶名和密碼發給HWTACACS服務器進行驗證。用戶驗證通過并得到授權之后可以登錄到設備上進行操作。

本文將結合AAA(Authentication，Authorization and Accounting，認證、授權和計費)的概念對華為的HWTACACS接入技術的應用進行探討。

1 AAA技術

認證、授權和計費是對網絡安全的一種管理方式，提供了一個對認證、授權和計費這三種功能進行統一配置的框架[4]。

認證:哪些用戶可以訪問網絡服務器;

授權:具有訪問權的用戶可以得到哪些服務;

計費:如何對正在使用網絡資源的用戶進行計費。

AAA一般采用客戶端/服務器結構[5]:客戶端運行于被管理的資源側，服務器上集中存放用戶信息。因此，AAA框架具有良好的可擴展性，并且容易實現用戶信息的集中管理。

1.1 認證功能

AAA支持以下認證方式:

不認證:對用戶非常信任，不對其進行合法性檢查。一般情況下不建議用戶采用這種方式。

本地認證:將用戶信息(包括本地用戶的用戶名、密碼和各種屬性)配置在設備上。本地認證的優點是速度快，可以降低運營成本;缺點是存儲信息量受設備硬件條件限制[6]。

遠端認證:支持通過RADIUS協議或HWTACACS協議進行遠端認證，設備作為客戶端，與RADIUS服務器或TACACS服務器通信，實驗采用了H3C的交換機作為遠端認證的設備。遠端認證的優點是便于集中管理，并且提供豐富的業務特性;缺點是必須提供服務器，并進行服務器端的正確配置。

1.2 授權功能

AAA支持以下授權方式:

直接授權:對用戶非常信任，直接授權通過。

本地授權:根據設備上為本地用戶賬號配置的相關屬性進行授權。

RADIUS認證成功后授權:RADIUS協議的認證和授權是綁定在一起的，不能單獨使用RADIUS進行授權，開發過程中主要對該方式進行研究。

HWTACACS授權:由HWTACACS服務器對用戶進行授權，這是華為開發的一種認證方式，本試驗使用這種授權方式。

1.3 計費功能

AAA支持以下計費方式:

不計費:不對用戶計費。

遠端計費:支持通過RADIUS服務器或TACACS服務器進行遠端計費。

1.4 RADIUS技術

RADIUS客戶端(交換機)和RADIUS服務器之間通過共享密鑰來認證交互的消息，增強了安全性。RADIUS協議合并了認證和授權過程，即響應報文中攜帶了授權信息。用戶、交換機、RADIUS服務器之間的交互流程如圖1所示[7]。

圖1 用戶、交換機、RADIVS服務器之間的交互流程

RADIUS(Remote Authentication Dial In User Service，遠程用戶撥號認證系統)是目前應用最廣泛的AAA協議。RADIUS是一種C/S結構的協議，它的客戶端最初就是NAS(Net Access Server)服務器，現在任何運行RADIUS客戶端軟件的計算機都可以成為RADIUS的客戶端，比如XP系統自帶的寬帶連接。由于RADIUS協議認證機制靈活，可以采用PAP，CHAP或者Unix登錄認證等多種方式且協議簡單明確，可擴充，因此得到了廣泛應用，包括普通電話上網、ADSL上網、小區寬帶上網、IP電話、VPDN(Virtual Private Dialup Networks，基于撥號用戶的虛擬專用撥號網業務)、移動電話預付費等業務[8]。

2 HWTACACS流程

2.1 HWTACACS與RADIUS主要區別

HWTACACS通過Client-Server模式與HWTACACS服務器通信來實現AAA功能及終端用戶的認證、授權和計費。與RADIUS相比，HWTACACS具有更加可靠的傳輸和加密特性，更加適合于安全控制。HWTACACS協議與RADIUS協議的主要區別如表1所示[9]。

表1 HWTACACS協議和RADIUS協議區別

HWTACACS協議RADIUS協議

使用TCP，網絡傳輸更可靠使用UDP

除了HWTACACS報文頭，對報文主體全部進行加密。只是對驗證報文中的密碼字段進行加密

認證和授權分離，例如，可以用一個TACACS服務器進行認證，另外一個TACACS服務器進行授權。認證和授權一起處理

更適于進行安全控制更適于進行計費

支持對設備的配置命令進行授權使用不支持

HWTACACS的典型應用是終端用戶需要登錄到設備上進行操作。交換機作為HWTACACS的客戶端，將用戶名和密碼發給HWTACACS服務器進行驗證，驗證通過并得到授權之后可以登錄到交換機上進行操作。如圖2所示。

圖2 HWTACACS的典型應用組網圖

2.2 HWTACACS的基本消息交互流程

下面以Telnet用戶為例，說明使用HWTACACS對用戶進行認證、授權和計費。在整個過程中的基本消息交互流程如圖3所示[10]。

(1) 用戶請求登錄交換機，HWTACACS客戶端收到請求之后，向HWTACACS服務器發送認證開始報文。

(2) HWTACACS服務器發送認證回應報文，請求用戶名;HWTACACS客戶端收到回應報文后，向用戶詢問用戶名。

(3) HWTACACS客戶端收到用戶名后，向HWTACACS服務器發送認證持續報文，其中包括了用戶名。

(4) HWTACACS服務器發送認證回應報文，請求登錄密碼;HWTACACS客戶端收到回應報文，向用戶詢問登錄密碼。

(5) HWTACACS客戶端收到登錄密碼后，向HWTACACS服務器發送認證持續報文，其中包括了登錄密碼。

(6) HWTACACS服務器發送認證回應報文，指示用戶通過認證。

(7) HWTACACS客戶端向HWTACACS服務器發送授權請求報文。

(8) HWTACACS服務器發送授權回應報文，指示用戶通過授權。

(9) HWTACACS客戶端收到授權回應成功報文，向用戶輸出交換機的配置界面。

(10) HWTACACS客戶端向HWTACACS服務器發送計費開始報文。

(11) HWTACACS服務器發送計費回應報文，指示計費開始報文已經收到。

(12) 用戶退出，HWTACACS客戶端向HWTACACS服務器發送計費結束報文。

(13) HWTACACS服務器發送計費回應報文，指示計費結束報文已經收到。

從這個過程也能看出，HWTACACS基本使用了TACACS協議的連接過程，可以完成認證和計費的功能，它只是在用法上進行了一些改進，下面的應用將對此進行更進一步的描述。

圖3 HWTACACS的消息流程

3 HWTACACS的應用

通過對交換機的配置實現HWTACACS服務器對登錄交換機的Telnet用戶的遠端認證。

為實現一臺HWTACACS服務器(其擔當認證、授權、計費服務器的職責)與交換機相連，服務器IP地址為10.48.1.8，設置交換機與認證、授權、計費HWTACACS服務器交互報文時的共享密鑰均為“RenZheng”，設置交換機除去用戶名中的域名后再將之傳給HWTACACS服務器;在HWTACACS服務器上設置與交換機交互報文時的共享密鑰為“RenZheng”。

3.1 拓撲結構

拓撲結構如圖4所示。

圖4 HWTACACS的典型應用實例圖

3.2 配置交換機

(1) 配置Telnet用戶采用遠端認證方式，即Scheme方式

[S7500E]user-interface vty 0 4

[S7500E-ui-vty0-4]authentication-mode scheme

(2) 配置Domain

[S7500E] domain hwtacacs

(3) 配置HWTACACS認證、授權、計費服務器IP地址

[S7500E] hwtacacs scheme tacacs

[S7500E -hwtacacs-tacacs] primary authentication 10.48.1.8

[S7500E-hwtacacs-tacacs] primary authorization 10.48.1.8

[S7500E-hwtacacs-tacacs] primary accounting 10.48.1.8

(4) 配置認證、授權、計費的加密key

[S7500E-hwtacacs-tacacs] key authentication RenZheng

[S7500E-hwtacacs-tacacs] key authorization RenZheng

[S7500E-hwtacacs-tacacs] key accounting RenZheng

(5) 指示系統從用戶名中去除用戶域名后再將之傳給TACACS服務器

[S7500E-hwtacacs-tacacs] user-name-format without-domain

(6) 配置Domain和HWTACACS的關聯

[S7500E] domain hwtacacs

[S7500E-isp-hwtacacs] scheme hwtacacs-scheme tacacs

4 結 語

經過反復試驗和驗證，證明HWTACACS是一種較為方便可靠的接入網用戶身份認證及授權協議，由于大多數華為可網管交換機都支持HWTACACS協議，它也成為一種相對便宜的接入及認證方式。

參考文獻

[1][美]哈伯勒肯.計算機網絡[M].李子木，高勇，張慧，譯.3版.北京:人民郵電出版社，2002.

[2]袁善鵬，楊波.基于Linux的LDAP應用環境研究與目錄服務實現[J].信息技術與信息化，2006(5):83-85.

[3]陽富民，劉軍平.統一認證技術研究與實現[J].計算機工程與科學，2007，29(2):124-126.

[4]李倩.AAA認證協議的分析[J].北京工商大學學報:自然科學版，2006，24(4):4547，51.

[5]付云俠，薛田良.身份認證中基于LDAP的統一目錄服務的研究與實現[J].福建電腦，2008(3):128129.

[6]王軍號，陸奎.RADIUS協議在AAA系統中的應用研究[J].計算機技術與發展，2009，19(7):199202.

[7]李成大.操作系統Linux篇[M].北京:人民郵電出版社，2005.

[8]付云俠，薛田良，任小燕，等.網絡安全中實現身份認證的單點登錄[J].計算機與數字工程，2008，36(2):8587，136.

[9]岳焱.利用LDAP和RADIUS實現商業企業局域網統一認證系統[J].商場現代化，2008(26):18.

[10]華為3Com技術有限公司.華為網絡學院教材(一、二學期)[M].深圳:華為技術有限公司，2007.