AAA (информационная безопасность)

AAA (от англ. Authentication, Authorization, Accounting) — общее название процессов, связанных с обеспечением защиты данных в информационных системах, включая обеспечение аутентификации, авторизации и аудита, но без обеспечения доступности данных (защиты от DOS-атак).

Authentication (аутентификация) — сопоставление персоны (запроса) существующей учётной записи в системе безопасности. Осуществляется по логину, паролю, сертификату, смарт-карте и т. д.
Authorization (авторизация, проверка полномочий, проверка уровня доступа) — сопоставление учётной записи в системе (и персоны, прошедшей аутентификацию) и определённых полномочий (или запрета на доступ). В общем случае авторизация может быть «негативной» (пользователю А запрещён доступ к серверам компании).
Accounting (учёт) — слежение за потреблением ресурсов (преимущественно сетевых) пользователем. В accounting включается также и запись фактов получения доступа к системе (англ. access logs).

RFC

RFC, связанные с AAA:

RFC 2194 Review of Roaming Implementations
RFC 2477 Criteria for Evaluating Roaming Protocols
RFC 2881 Network Access Server Requirements Next Generation (NASREQNG) NAS Model
RFC 2903 Generic AAA Architecture
RFC 2904 AAA Authorization Framework
RFC 2905 AAA Authorization Application Examples
RFC 2906 AAA Authorization Requirements
RFC 3169 Criteria for Evaluating Network Access Server Protocols
RFC 3539 AAA Transport Profile

Литература

Гольдштейн Б. С., Елагин В. С., Сенченко Ю. Л. Протоколы ААА: RADIUS и Diameter (Книга 9). — СПб.: БХВ – Санкт-Петербург, 2011. — (Телекоммуникационные протоколы).

Схемы URI
Официальные	aaa aaas about acap cap cid crid data dav dict dns fax file ftp geo go gopher h323 http https im imap iri ldap mailto mid news nfs nntp pop pres rtsp sip sips snmp tel telnet urn url view-source wais xmpp
Неофициальные	aim bolo btc bzr callto chrome cvs cs2d daap ed2k ed2kftp feed fish git gizmoproject iax2 irc ircs itms lastfm ldaps magnet mms msnim psyc rsync secondlife skype ssh svn sftp smb sms soldat steam tg webcal xfire ymsgr

Похожие исследовательские статьи

POP3 — стандартный интернет-протокол прикладного уровня, используемый клиентами электронной почты для получения почты с удалённого сервера по TCP-соединению.

SMTP — это широко используемый сетевой протокол, предназначенный для передачи электронной почты в сетях TCP/IP.

SSH — сетевой протокол прикладного уровня, позволяющий производить удалённое управление операционной системой и туннелирование TCP-соединений. Схож по функциональности с протоколами Telnet и rlogin, но, в отличие от них, шифрует весь трафик, включая и передаваемые пароли. SSH допускает выбор различных алгоритмов шифрования. SSH-клиенты и SSH-серверы доступны для большинства сетевых операционных систем.

Авториза́ция — предоставление определённому лицу или группе лиц прав на выполнение определённых действий; а также процесс проверки (подтверждения) данных прав при попытке выполнения этих действий. В том числе путем передачи таких прав другому лицу.

Аутентифика́ция — процедура проверки подлинности, например:

проверка подлинности пользователя путём сравнения введённого им пароля с паролем, сохранённым в базе данных пользовательских логинов;
подтверждение подлинности электронного письма путём проверки цифровой подписи письма по открытому ключу отправителя;
проверка контрольной суммы файла на соответствие сумме, заявленной автором этого файла.

Kerberos — сетевой протокол аутентификации, который предлагает механизм взаимной аутентификации клиента и сервера перед установлением связи между ними. Kerberos выполняет аутентификацию в качестве службы аутентификации доверенной третьей стороны, используя криптографический ключ, при условии, что пакеты, проходящие по незащищённой сети, могут быть перехвачены, модифицированы и использованы злоумышленником. Kerberos построен на криптографии симметричных ключей и требует наличия центра распределения ключей. Расширения Kerberos могут обеспечить использование криптографии с открытым ключом на определённых этапах аутентификации.

RADIUS — протокол для реализации аутентификации, авторизации и сбора сведений об использованных ресурсах, разработанный для передачи сведений между центральной платформой и оборудованием. Этот протокол применялся для системы тарификации использованных ресурсов конкретным пользователем/абонентом. Центральная платформа и оборудование Dial-Up доступа,

TACACS — сеансовый протокол, использовавшийся на серверах доступа ARPANET. Центральный сервер, который принимает решение, разрешить или не разрешить определённому пользователю подключиться к сети.

TACACS+ — сеансовый протокол, результат дальнейшего усовершенствования TACACS, предпринятого Cisco.

DIAMETER — сеансовый протокол, созданный, отчасти, для преодоления некоторых ограничений протокола RADIUS. Обеспечивает взаимодействие между клиентами в целях аутентификации, авторизации и учёта различных сервисов. Является основным протоколом архитектуры IMS.

Код состояния HTTP — часть первой строки ответа сервера при запросах по протоколу HTTP.

L2TP — в компьютерных сетях туннельный протокол, использующийся для поддержки виртуальных частных сетей. Главное достоинство L2TP состоит в том, что этот протокол позволяет создавать туннель не только в сетях IP, но и в таких, как ATM, X.25 и Frame Relay.

OAuth — стандарт (схема) авторизации, обеспечивающий предоставление третьей стороне ограниченного доступа к защищённым ресурсам пользователя без передачи ей логина и пароля.

EAP — фреймворк аутентификации, который часто используется в беспроводных сетях и соединениях точка-точка. Формат был впервые описан в RFC 3748 и обновлён в RFC 5247.

Radius:

RADIUS — протокол AAA, разработанный для передачи сведений между центральной платформой AAA и оборудованием Dial-Up доступа и системой биллинга
Radius (лат.) — луч.

Дайджест-аутентификация доступа — один из общепринятых методов, используемых веб-сервером для обработки учетных данных пользователя веб-браузера. Аналогичный метод используется в рамках VoIP-протокола SIP для аутентификации сервером обращения со стороны клиента, т.е. оконечного терминала. Данный метод отправляет по сети хеш-сумму логина, пароля, адреса сервера и случайных данных, и предоставляет больший уровень защиты, чем базовая аутентификация, при которой данные отправляются в открытом виде.

Сервис Аутентификации и Авторизации Java — реализация в языке программирования Java стандарта системы информационной безопасности PAM. JAAS была представлена как расширяемая библиотека к Java SE 1.3, и была интегрирована как обязательный пакет в версии 1.4

SecurID (также RSA SecurID) — технология, разработанная компанией RSA, для предоставления двухфакторной аутентификации между пользователем и сетевыми устройствами. Двухфакторная аутентификация RSA SecurID® основывается на том, что Вы знаете пароль и у Вас есть ключ, таким образом обеспечивается гораздо более надежный уровень проверки подлинности пользователя по сравнению с многократно используемыми паролями. Данное решение является единственным решением, которое автоматически изменяет пароль каждые 60 секунд. RSA предлагает предприятиям широкий спектр возможностей аутентификации пользователей, которые помогают уверенно определять пользователей прежде, чем они смогут взаимодействовать с критически важными данными и приложениями через различные сети и ресурсы.

SCRAM — механизм хранения данных и протокол аутентификации посредством пароля. SCRAM относится к механизмам SASL уровня, что делает возможным его использование вместе с некоторыми стандартными протоколами, использующими SASL: SMTP, LDAP, IMAP и POP. Также Scram является GSS-API механизмом. Поддерживает привязку канала и двухстороннюю аутентификацию. На момент написания статьи является наиболее совершенным и многофункциональным.

Облачные вычисления — это современная тенденция предоставления пользователю вычислительной мощности, хранилищ для БД, приложений и других ИТ‑ресурсов по требованию через Интернет с оплатой по факту использования.

Эта страница основана на статье Википедии.
Текст доступен на условиях лицензии CC BY-SA 4.0; могут применяться дополнительные условия.
Изображения, видео и звуки доступны по их собственным лицензиям.