Authentication, Authorization en Accounting
Authentication, Authorization en Accounting zijn Engelse termen en worden ook wel AAA of triple-A genoemd. Een AAA wordt gebruikt in elektronische systemen en netwerken om de toegang te controleren, gedefinieerde regels te hanteren en het gebruik te auditeren.
- Authenticatie
- Proces waarbij wordt nagegaan wat de identiteit is van diegene die gebruik wil maken van een bepaalde dienst. In dit proces worden gegevens uitgewisseld om de identiteit van de gebruiker te kunnen verifiëren (bijvoorbeeld: wachtwoorden, gebruikersnaam, telefoonnummers, digitale certificaten enzovoort).
- Autorisatie
- Proces waarin wordt beslist of een gebruiker rechten krijgt om de door hem aangevraagde dienst te mogen gebruiken. Hierbij wordt de vastgestelde identiteit (zie authenticatie) gebruikt om te bepalen welke rechten deze gebruiker heeft (bijvoorbeeld aan de hand van afgesloten abonnement, banksaldo, tijdstip, geografische locatie enzovoort). Bij het toewijzen van de rechten kunnen ook andere gegevens worden vastgelegd. Voorbeelden hiervan zijn: toewijzing IP-adres, IP filtering, kwaliteit (QoS), bandbreedte, tijdslimiteringen enzovoort.
- Accounting (Engels)
- Proces waarin wordt bijgehouden ('accounting' (Engels) betekent boekhouden) hoe de gebruiker het netwerk gebruikt. Deze informatie kan worden gebruikt voor het management, de planning, de rekening of andere doeleinden. Typische informatie die wordt verzameld, is de identiteit van de gebruikers, welke dienst gebruikt is, vanaf wanneer en tot wanneer.
De AAA is een functionaliteit die met verschillende protocollen gerealiseerd kan worden.
Inhoud |
[bewerken] Standaardisatie
De AAA is gestandaardiseerd door de IETF. Hieronder een lijst van AAA gerelateerde RFC documenten.
- RFC 2194 Reviews van roaming implementaties
- RFC 2477 Criteria voor de evaluatie van de roaming protocollen
- RFC 2881 Eisen voor de volgende generatie 'Network Access Server'
- RFC 2903 Algemene AAA architectuur
- RFC 2904 AAA autorisatie framework
- RFC 2905 Voorbeelden van AAA autorisatie applicaties
- RFC 2906 Eisen voor de AAA autorisatie
- RFC 3169 Criteria voor de evaluatie van de 'Network Access Server'protocollen
- RFC 3539 AAA transport profiel
- RFC 3588 Diameter Base Protocol
[bewerken] Lijst van AAA protocollen
Voor de realisering van de AAA functionaliteit zijn er verschillende protocollen ontworpen:
- RADIUS
- DIAMETER
- TACACS
- TACACS+
Voor de AAA functie worden in de praktijk meestal RADIUS en DIAMETER gebruikt. De beperkte mogelijkheden van RADIUS hebben mede tot de ontwikkelingen van DIAMETER geleid. Andere protocollen die in combinatie met bovenstaande kunnen worden gebruikt, zijn:
- PPP
- PAP
- Challenge-Handshake Authentication Protocol (CHAP)
- EAP
- Protected Extensible Authentication Protocol (PEAP)
- LDAP
[bewerken] Toepassingen
In de praktijk krijgen de AAA-systemen, naast de standaard functionaliteit, steeds meer toepassingen.
Een AAA systeem houdt intern bij welke gebruikers online zijn. Het AAA systeem heeft de klanten geauthoriseerd en een IP adres toegewezen. Tijdens de duur van de sessie wordt zulke informatie opgeslagen in een interne sessie databank.
Deze sessie-informatie kan worden gebruikt voor andere externe systemen. Een e-mail of proxy server kan bijvoorbeeld de klantengegevens bij een AAA opvragen die bij een bepaald (online) IP adres horen. Een website kan opvragen met welke bandbreedte en kwaliteit een specifieke gebruiker met een netwerk verbonden is en kan met deze informatie de diensten dynamisch aanpassen (de mogelijkheden voor een ADSL2+ klant zijn immers anders dan een GPRS klant). Om toegang tot de AAA sessie databank te krijgen, worden veel leverancier-specifieke protocollen gebruikt maar ook SOAP, LDAP en DNS.
De AAA systemen worden vaak specifiek aangepast naar wens van een klant. Zo kan de authenticatie in mobiele netwerken bijvoorbeeld verlopen gebaseerd op de SIM kaarten. Een bestaande sessie kan ook dynamisch worden gestuurd.
