Diameter

AAA

AAA signifie "Authentication Authorization Accounting". Un protocole AAA est basé sur des échanges de messages entre un client et un serveur.

Authentication

Authentication signifie Authentification. Ce processus permet à une entité du réseau informatique de prouver son identité. Pour un utilisateur, on distingue trois catégories d'authentification :

• “ Quelque chose que l’on est ”
Il s'agit de la catégorie la plus sophistiquée et la plus sûre. Elle implique des techniques d'authentification biométriques telles que la prise d'empreintes digitales, l'analyse rétinienne ou l'empreinte vocale.


• " Quelque chose que l’on a "
Cette catégorie implique l'utilisation de quelque chose que l'on est seul à avoir, c'est à dire non copiable ou du moins, difficilement. Il peut s'agir par exemple d'une carte à puce ou d'un code basé sur le temps.


• “ Quelque chose que l’on sait ”
Il s'agit de l'utilisation d'un mot de passe ou d'une passphrase. Cette catégorie est la moins sécurisée. L'utilisation d'un simple keyloger permet de récupérer le mot de passe.

Authorization

L'autorisation permet de déterminer ce que l'entité a le droit de faire. C'est à dire les services et les ressources auxquelles elle peut accéder. L'autorisation peut être accompagnée de restrictions telles que la localisation ou l'heure du jour.

Accounting

Authentication signifie Traçabilité. Cela consiste à collecter les informations sur l'utilisation des services et des ressources du réseau. Il peut s'agir entre autre du temps passé sur le réseau par une entité ou de la bande passante utilisée. Ainsi, Il devient possible de générer des rapports, d'effectuer des audit ou de facturer un utilisateur selon sa consommation de ressources.

Exemple d'architecture AAA

Ci-dessous, le schéma de principe d'une architecture AAA :

L'équipement terminal ou l'utilisateur s'authentifie auprès du client AAA appelé NAS (Network Access Server). N'étant pas en mesure d'authentifier l'entité, le NAS envoie une requête à un serveur AAA. Cette requête est composée des informations d'authentification du client sous la forme de paires attribut-valeur. Le serveur consulte sa base de données et répond au NAS en autorisant ou non la connection de l'entité. Pour finir, le client AAA ouvre ou bloque le port auquel est connectée l'entité.