authentication, authorization, and accounting (AAA) 这三个词要怎么区分理解?

---

简单说，authentication就是确认你是谁，authorization就是确认你能使用什么服务/功能，accounting就是对你使用的所有服务/功能计费。
除此3A之外，还有一个Auditing，就是事后检查你有没有利用你的权限干一些不好的事。

---

Radius协议里的概念:

RADIUS

RADIUS是在Tcp/Ip网络上提供AAA认证的协议，是Remote Access Dial In User Service的缩写，意思 是远程访问拨号用户服务的意思，RADIUS是Merit Network在1991年AAA解决方案，Merit Network是一家非营利性的网络服务提供商，Merit Network需要一种可靠的方式来管理拨号接入各点的网络访问。

RADIUS 协议是client/server协议，使用UDP通信，是一个非常轻量级的网络协议。

AAA

Authentication， Authorization and Accounting

AAA 就是Authentication， Authorization and Accounting 的简写，表示 认证，授权，计费。AAA就是一个用于认证，授权，计费的协议框架。

用户通过各种设备访问网络资源，通过wifi， vpn server，以太网交换机等等，需要控制这些设备的访问权限，例如Wi-Fi 使用 WPA2， 以太网交换机使用 802.1x (EAP) ，这些被称作Network Access Server(NAS)

所有这些设备都需要某种形式的控制权行使，以确保适当的安全和使用。因此，通常需要身份认证，授权和计费(AAA)。 AAA有时也被称为“三重框架。 AAA是一种高层次的体系结构模型，该模型可用于特定的实现。通用AAA协议架构已经在RFC 2903规定。

Authentication

认证主要是用于验证用户是否有获取网络的访问权限，主要工作就是用户请求访问网络时验证用户提交的凭证是否通过， 是常用的方法比如用户名和密码，还有一次性的token，PIN 号等。

验证成功后，会话(session)初始化。

Authorization

授权是指用户对资源的访问规则，当用户A认证通过之后，用户A会有特殊的限制或者特权，比如

限制下用户A 会话数目，给他固定的ip地址，限制用户A的访问流量。

Accounting

计费主要用于统计用户使用资源量，ISP可以跟踪统计用户对资源的使用情况，比如使用了多少时间，用了多少流量， 获取用户使用数据可以让ISP计算成本，还可用于容量规划，趋势分析和活动监测。