CyberGlossary

身份与访问

AAA 框架

别称: 认证、授权与记账, 三 A 模型

定义

由认证 (Authentication)、授权 (Authorization)、记账 (Accounting) 三个串联功能构成的基础访问控制模型。

AAA 框架将访问控制分为三个有序环节:认证确认请求者身份,授权决定其可执行的操作,记账记录其实际所做的事情。该模型最初通过 RADIUS、TACACS+、Diameter 等协议在拨号、VPN 和无线网络中得到标准化,如今也广泛应用于云 API、SaaS 应用和零信任架构。将三种关注点分离,有助于建立集中式身份存储、一致的策略执行和跨异构系统的统一审计轨迹。AAA 通常结合多因素认证、基于角色的访问控制 (RBAC) 和 SIEM 关联分析,提供端到端的身份治理。

示例

  • 企业 Wi-Fi 通过 802.1X 与 RADIUS 服务器实现完整的 AAA 功能。
  • 网络设备通过 TACACS+ 记账记录每条 CLI 命令的执行情况。

相关术语