AAA - Authentication Authorization Accounting
AAA steht für ein Sicherheitskonzept unter dem Authentication, Authorization und Accounting zusammengefasst sind. Es handelt sich dabei um die drei Hauptaufgaben von AAA.
Vereinfachte Darstellung der Funktionsweise von AAA
Ein Nutzer (Client) möchte einen Dienst in Anspruch nehmen. Ein Network Access Server (NAS) bietet diesen Dienst oder den Zugang zum Dienst (Server im LAN) an. Der Client greift auf den NAS zu. Der NAS befragt seinen AAA-Server, der Informationen über die Berechtigung zur Nutzung von Diensten bereitstellt und alles aufzeichnet. Der AAA-Server bestätigt die Freigabe oder lehnt sie ab. Aufgrund der Berechtigung gibt der NAS dem Client den Zugang frei oder lehnt ihn ab.
Authentifizierung / Authentication
Authentifizierung bedeutet, die Identität zu überprüfen. Zum Beispiel Benutzername und Passwort. Knackpunkt bei jeder Authentifizierung ist die Übertragung von Benutzername und Passwort. Erfolgt sie unverschlüsselt, dann ist es möglich, dass ein Angreifer beides ausspäht und für die eigene Authentifizierung missbraucht.
Die Bestandteile einer Authentifizierung sind der Supplicant (Antragsteller), der Authenticator (Beglaubigter) und ein Authentication Server, der den Antrag des Supplicant überprüft und seine Entscheidung dem Authenticator mitteilt.
Der Supplicant ist eine Client-seitige Komponente, die für alle gängigen Betriebssysteme existiert und in der die Verfahren für Schlüsselaustausch und Authentifizierung implementiert sind. Der Authenticator regelt den Zugang zum Netz. Solange ein Client nicht authentisiert ist, werden nur Pakete zur Authentifizierung akzeptiert. Erst im Erfolgsfall wird jeglicher Verkehr zugelassen.
Der Authentication Server bekommt vom Authenticator Anfragen weitergeleitet. Er ist die Instanz, die den Zugang zum Netzwerk erlaubt oder verweigert. Der Authentication Server wird in der Regel durch einen RADIUS-Server implementiert.
Autorisierung / Authorization
Bei der Autorisierung stellt man fest, ob ein bestimmter Benutzer einen bestimmten Dienst nutzen darf. Nur weil sich der Benutzer authentisiert hat bedeutet das nicht, dass er auch berechtigt ist einen bestimmten Dienst zu nutzen. Wenn hinter einer Authentifizierung mehrere Dienste angeboten werden, dann macht es Sinn auch die Berechtigungen zu prüfen, wenn nicht alles pauschal freigegeben sein soll.
Accounting
Beim Accounting geht es darum, die Nutzung eines Dienstes durch einen Benutzer festzuhalten und zu dokumentieren. Später kann die Nutzung zum Beispiel abgerechnet werden. Es ist aber auch denkbar, die Nutzungsabläufe des Benutzers für Service-Fälle fest zu halten, um Fehler aufzuspüren.
Anmerkung zum Schluss
In der deutschen Sprache gibt es einen Unterschied zwischen "authentifizieren" und "authentisieren". Im Duden steht dazu folgende Erläuterung:
au|then|ti|fi|zie|ren: die Echtheit bezeugen oder beglaubigen
au|then|ti|sie|ren: glaubwürdig oder rechtsgültig machen
"Authentifizieren" bzw. "Authentifizierung" würde demnach bedeuten, dass eine elektronische Unterschrift oder Identität beglaubigt bzw. dessen Echtheit bezeugt wird.
"Authentisieren" bzw. "Authentisierung" würde demnach bedeutet, dass der Nutzer oder Absender seine Identität glaubwürdig machen soll.
In der Praxis und im allgemeinen Sprachgebrauch wird zwischen beiden Formen jedoch nicht immer unterschieden. Im Allgemeinen spricht man auch dann von Authentifizierung, wenn die Authentisierung gemeint ist.