Triple-A-System - LinkFang.de





Triple-A-System


Triple-A-Systeme (oder AAA-Systeme, kurz AAA) werden in großem Umfang bei kabelgebundenen und mobilen Netzwerk-Betreibern sowie Internetdienstanbietern eingesetzt. Die drei A stehen dabei für Authentifizierung (engl. authentication), Autorisierung (engl. authorization) und Abrechnung (engl. accounting) des Netzwerkzugangs von Kunden (Endkunden).

Das Triple-A-System nimmt grundsätzlich nicht am Datenverkehr teil, den es steuert. Es benutzt die Protokollhierarchien des Internets und verwendet grundsätzlich die allgemein im Netzwerk verfügbare Uhrzeitinformation zur Generierung von authentischen Ereignismeldungen mit Ereignisdaten (paarweise kommt-Zeiten/geht-Zeiten).

Das Triple-A-System hat vorrangig die Aufgabe, Netzelemente im Transportnetz zu steuern und von diesen Netzelementen erfasste Nutzungsdaten zu sammeln oder Zugriffe darauf zu gewähren oder zu verwehren. Die Daten, die der authentifizierte Kunde überträgt, werden dagegen vom Transportnetz übertragen (zum Beispiel dem öffentlichen, globalen IP-Transportnetz, das „Internet“ genannt wird).

Serverfunktion

Eingehende Verbindungswünsche, Rufe, Anfragen nach IP-Adresszuweisungen und sonstige Dienstanfragen werden durch eine zentrale Serverfunktion für ein ganzes Netzwerk (beispielsweise Intranet oder VPN) oder ein Mobilfunknetz verarbeitet, beantwortet, abgelehnt und/oder weitergeleitet – oft viele hundert pro Sekunde oder mehr.

Beim zeitweiligen Internet-Zugang muss der Internet-Service-Provider seinen Kunden

  • identifizieren (Authentifizierung),
  • festlegen können, welche Dienste dem Kunden bereitgestellt werden (Autorisierung)
  • und letztlich feststellen, in welchem Umfang die Dienste genutzt wurden (Zurechnung, Accounting)

oder vereinfacht ausgedrückt die Fragen „wer“, „was“ und „wie viel“ beantworten. (Dabei liefert ein AAA-Server prinzipiell die Daten für die interne Zurechnung zu definierten Konten, jedoch mangels Preisschema und Steuerschema außer der Beweise keine Unterlage zur Abrechnung gegenüber Dritten.)

Die Einflussmöglichkeiten auf das Transportnetz umfassen unter anderem Zulassen/Verweigern einer Verbindung (Autorisierung: nur autorisierte Nutzer werden zugelassen), Freischaltung bestimmter Dienste (beispielsweise nur Zugriff auf bestimmte IP-Adressen) und Vergabe der IP-Adresse für den Endkunden.

Das Triple-A-System kann auf diese internen Datenstrukturen nun Zugriff gewähren und so externen Systemen wie einem E-Mail-Server oder Proxyserver zu einer IP-Adresse das zugehörige Kundenkonto bereitstellen.

Anwendung

Meist werden die Daten der Triple-A-Systeme genutzt von Zeiterfassungssystemen (Personalzeiterfassung), Abrechnungssystemen (Accounting, Billing) und aktualisiert von Kundenverwaltungssystemen (CRM Customer-Relationship-Management).

Identity Management Server verweisen auf die Kunden- und Vertragsdaten bzw. verwalten die kommerziellen Aspekte und Daten der Nutzer oder Endkunden.

Triple-A-Systeme werden in der Regel für jeden Anwendungsfall speziell zugeschnitten und bedienen oft noch spezifische Anforderungen: zum Beispiel aus der mobilen Datenkommunikation wie Authentifizierung über SIM-Karten, dynamische (hier: innerhalb einer bestehenden IP-Session beziehungsweise Verbindung) Steuerung von Inter/Intranet-Zugängen und ähnliches. Traditionelle RADIUS-Systeme sind hier oft nicht leistungsfähig oder flexibel genug. Im Rahmen solcher Maßanfertigungen ist auch die Anbindung an SS7-Netzwerke möglich.

Eine jüngere Anwendung von Triple-A-Systemen nutzt den Umstand, dass solch ein System in seinen internen Datenstrukturen Buch führt, welche Kunden gerade online sind. Das Triple-A-System hat ja den Kunden authentifiziert und ihm seine IP-Adresse zugewiesen. Diese Zuordnung (IP, Kunde) wird bis zum Ende der Online-Verbindung des Kunden gespeichert, bis nämlich das Netzelement am Ende der Verbindung die Nutzungsdaten übermittelt. Bei RADIUS ist eine Übermittlung der Nutzungsdaten während der Verbindung eher unüblich, da der ursprüngliche Standard nur eine Übermittlung am Verbindungsende vorsah.

Kontextsteuerung

In modernen Triple-A-Systemen werden die Identitäten mit komplexen Zugriffsrechten verknüpft (kontextbezogene Autorisierung).

Schutz und Sicherheit

Ein Triple-A-System ist das zentrale Element zur Durchsetzung der Ziele des Datenschutzes und der Datensicherheit aus der Sicht der Netzwerkbetreiber wie aus der Sicht von deren Vertragspartnern. Dabei erfüllen die Protokolle die Anforderungen zur Zertifizierung für die ITSEC-Sicherheit und die TCSEC-Sicherheit nach den geltenden Regeln der Technik, insbesondere nach der internationalen Norm ISO/IEC 15408 (Common Criteria for Information Technology Security Evaluation).

Geschichte

Eine frühe Anwendung war der neu aufgekommene Dienst „Dialup-Internet“, bei dem ein Computer nur zeitweise – für die Dauer einer Verbindung – Teil des Internets wird und daher nur auf Zeit eine IP-Adresse erhält. Diese zunächst als „exotisch“ angesehene Variante der Internet-Verbindung ist heute absolut üblich.

Standards

Als Standardprotokolle für den operativen Betrieb werden die von IETF herausgegebene RADIUS (Protokoll) und Diameter (Protokoll) verwendet. Die protokollimmanenten Einschränkungen von RADIUS (vor allem Verschlüsselung nur einer teilmenge der Inhalte) führten unter anderem zu der Entwicklung von Diameter. Allerdings ist RADIUS für lokale Netze überwiegend im Einsatz. Die andere bekannte Alternative TACACS+ ist ein proprietäres Protokoll von Cisco Systems, welches aus TACACS und XTACACS abgeleitet wurde und dem wesentliche Merkmale für mobile Dienste fehlen.

Zum Zugriff auf diese Daten und Funktionen eines Netzwerks werden meist proprietäre Protokolle aber auch SOAP, LDAP, DNS eingesetzt.

Literatur

Siehe auch

Einzelnachweise

  1. An Access Control Protocol, Sometimes Called TACACS
  2. TACACS+ and RADIUS Comparison
  3. TACACS User Identification Telnet Option

Kategorien: Rechnernetze

Quelle: Wikipedia - http://de.wikipedia.org/wiki/Triple-A-System (Vollständige Liste der Autoren des Textes [Versionsgeschichte])    Lizenz: CC-by-sa-3.0

Änderungen: Alle Bilder mit den meisten Bildunterschriften wurden entfernt. Ebenso alle zu nicht-existierenden Artikeln/Kategorien gehenden internen Wikipedia-Links (Bsp. Portal-Links, Redlinks, Bearbeiten-Links). Entfernung von Navigationsframes, Geo & Normdaten, Mediadateien, gesprochene Versionen, z.T. ID&Class-Namen, Style von Div-Containern, Metadaten, Vorlagen, wie lesenwerte Artikel. Ansonsten sind keine Inhaltsänderungen vorgenommen worden. Weiterhin kann es durch die maschinelle Bearbeitung des Inhalts zu Fehlern gerade in der Darstellung kommen. Darum würden wir jeden Besucher unserer Seite darum bitten uns diese Fehler über den Support mittels einer Nachricht mit Link zu melden. Vielen Dank!

Stand der Informationen: August 201& - Wichtiger Hinweis: Da die Inhalte maschinell von Wikipedia übernommen wurden, ist eine manuelle Überprüfung nicht möglich. Somit garantiert LinkFang.de nicht die Richtigkeit und Aktualität der übernommenen Inhalte. Sollten die Informationen mittlerweile fehlerhaft sein, bitten wir Sie darum uns per Support oder E-Mail zu kontaktieren. Wir werden uns dann innerhalb von spätestens 10 Tagen um Ihr Anliegen kümmern. Auch ohne Anliegen erfolgt mindestens alle drei Monate ein Update der gesamten Inhalte.