1、概述
AAA指的是Authentication(鑒別),Authorization(授權(quán)),Accounting(計費)。自網(wǎng)絡(luò)誕生以來,認證、授權(quán)以及計費體制(AAA)就成為其運營的基礎(chǔ)。網(wǎng)絡(luò)中各類資源的使用,需要由認證、授權(quán)和計費進行管理。而AAA的發(fā)展與變遷自始至終都吸引著營運商的目光。對于一個商業(yè)系統(tǒng)來說,鑒別是至關(guān)重要的,只有確認了用戶的身份,才能知道所提供的服務(wù)應(yīng)該向誰收費,同時也能防止非法用戶(黑客)對網(wǎng)絡(luò)進行破壞。在確認用戶身份后,根據(jù)用戶開戶時所申請的服務(wù)類別,系統(tǒng)可以授予客戶相應(yīng)的權(quán)限。最后,在用戶使用系統(tǒng)資源時,需要有相應(yīng)的設(shè)備來統(tǒng)計用戶所對資源的占用情況,據(jù)此向客戶收取相應(yīng)的費用。
其中,鑒別(Authentication)指用戶在使用網(wǎng)絡(luò)系統(tǒng)中的資源時對用戶身份的確認。這一過程,通過與用戶的交互獲得身份信息(諸如用戶名—口令組合、生物特征獲得等),然后提交給認證服務(wù)器;后者對身份信息與存儲在數(shù)據(jù)庫里的用戶信息進行核對處理,然后根據(jù)處理結(jié)果確認用戶身份是否正確。例如,GSM移動通信系統(tǒng)能夠識別其網(wǎng)絡(luò)內(nèi)網(wǎng)絡(luò)終端設(shè)備的標(biāo)志和用戶標(biāo)志。授權(quán)(Authorization)網(wǎng)絡(luò)系統(tǒng)授權(quán)用戶以特定的方式使用其資源,這一過程指定了被認證的用戶在接入網(wǎng)絡(luò)后能夠使用的業(yè)務(wù)和擁有的權(quán)限,如授予的IP地址等。仍以GSM移動通信系統(tǒng)為例,認證通過的合法用戶,其業(yè)務(wù)權(quán)限(是否開通國際電話主叫業(yè)務(wù)等)則是用戶和運營商在事前已經(jīng)協(xié)議確立的。計費(Accounting)網(wǎng)絡(luò)系統(tǒng)收集、記錄用戶對網(wǎng)絡(luò)資源的使用,以便向用戶收取資源使用費用,或者用于審計等目的。以互聯(lián)網(wǎng)接入業(yè)務(wù)供應(yīng)商ISP為例,用戶的網(wǎng)絡(luò)接入使用情況可以按流量或者時間被準(zhǔn)確記錄下來。
認證、授權(quán)和計費一起實現(xiàn)了網(wǎng)絡(luò)系統(tǒng)對特定用戶的網(wǎng)絡(luò)資源使用情況的準(zhǔn)確記錄。這樣既在一定程度上有效地保障了合法用戶的權(quán)益,又能有效地保障網(wǎng)絡(luò)系統(tǒng)安全可靠地運行。考慮到不同網(wǎng)絡(luò)融合以及互聯(lián)網(wǎng)本身的發(fā)展,迫切需要新一代的基于IP的AAA技術(shù)。因此出現(xiàn)了Diameter協(xié)議。
2、AAA在移動通信系統(tǒng)中的應(yīng)用
在移動通信系統(tǒng)中,用戶要訪問網(wǎng)絡(luò)資源,首先要進行用戶的入網(wǎng)認證,這樣用戶才能訪問網(wǎng)絡(luò)資源。鑒別的過程就是驗證用戶身份的合法性;鑒別完成后,才能對用戶訪問網(wǎng)絡(luò)資源進行授權(quán),并對用戶訪問網(wǎng)絡(luò)資源進行計費管理。一般來講,鑒別過程由三個實體來完成的。用戶(Client)、認證器(Authenticator)、AAA服務(wù)器(Authentication 、Authorization和Accounting Server)。在第三代移動通信系統(tǒng)的早期版本中,用戶也稱為MN(移動節(jié)點),Authenticator在NAS(Network Access Server)中實現(xiàn),它們之間采用PPP協(xié)議,認證器和AAA服務(wù)器之間采用AAA協(xié)議(以前的方式采用遠程訪問撥號用戶服務(wù)RADIUS(Remote Access Dial up User Service);Raduis英文原意為半徑,原先的目的是為撥號用戶進行鑒別和計費。后來經(jīng)過多次改進,形成了一項通用的鑒別計費協(xié)議)。
RADIUS是一種C/S結(jié)構(gòu)的協(xié)議,它的客戶端最初就是NAS(Net Access Server)服務(wù)器,現(xiàn)在任何運行RADIUS客戶端軟件的計算機都可以成為RADIUS的客戶端。RADIUS協(xié)議認證機制靈活,可以采用PAP、CHAP或者Unix登錄認證等多種方式。RADIUS是一種可擴展的協(xié)議,它進行的全部工作都是基于Attribute-Length-Value的向量進行的。RADIUS的基本工作原理是:用戶接入NAS,NAS向RADIUS服務(wù)器使用Access-Require數(shù)據(jù)包提交用戶信息,包括用戶名、密碼等相關(guān)信息,其中用戶密碼是經(jīng)過MD5加密的,雙方使用共享密鑰,這個密鑰不經(jīng)過網(wǎng)絡(luò)傳播;RADIUS服務(wù)器對用戶名和密碼的合法性進行檢驗,必要時可以提出一個Challenge,要求進一步對用戶認證,也可以對NAS進行類似的認證;如果合法,給NAS返回Access-Accept數(shù)據(jù)包,允許用戶進行下一步工作,否則返回Access-Reject數(shù)據(jù)包,拒絕用戶訪問;如果允許訪問,NAS向RADIUS服務(wù)器提出計費請求Account-Require,RADIUS服務(wù)器響應(yīng)Account-Accept,對用戶的計費開始,同時用戶可以進行自己的相關(guān)操作。
RADIUS是目前最常用的認證計費協(xié)議之一,它簡單安全,易于管理,擴展性好,所以得到廣泛應(yīng)用。但是由于協(xié)議本身的缺陷,比如基于UDP的傳輸、簡單的丟包機制、沒有關(guān)于重傳的規(guī)定和集中式計費服務(wù),都使得它不太適應(yīng)當(dāng)前網(wǎng)絡(luò)的發(fā)展,需要進一步改進。
隨著新的接入技術(shù)的引入(如無線接入、DSL、移動IP和以太網(wǎng))和接入網(wǎng)絡(luò)的快速擴容,越來越復(fù)雜的路由器和接入服務(wù)器大量投入使用,對AAA協(xié)議提出了新的要求,使得傳統(tǒng)的RADIUS結(jié)構(gòu)的缺點日益明顯。目前,3G網(wǎng)絡(luò)正逐步向全IP網(wǎng)絡(luò)演進,不僅在核心網(wǎng)絡(luò)使用支持IP的網(wǎng)絡(luò)實體,在接入網(wǎng)絡(luò)也使用基于IP的技術(shù),而且移動終端也成為可激活的IP客戶端。如在WCDMA當(dāng)前規(guī)劃的R6版本就新增以下特性:UTRAN和CN傳輸增強;無線接口增強;多媒體廣播和多播(MBMS);數(shù)字權(quán)限管理(DRM);WLAN-UMTS互通;優(yōu)先業(yè)務(wù);通用用戶信息(GUP);網(wǎng)絡(luò)共享;不同網(wǎng)絡(luò)間的互通等。在這樣的網(wǎng)絡(luò)中,移動IP將被廣泛使用。支持移動IP的終端可以在注冊的家鄉(xiāng)網(wǎng)絡(luò)中移動,或漫游到其他運營商的網(wǎng)絡(luò)。當(dāng)終端要接入到網(wǎng)絡(luò),并使用運營商提供的各項業(yè)務(wù)時,就需要嚴格的AAA過程。AAA服務(wù)器要對移動終端進行認證,授權(quán)允許用戶使用的業(yè)務(wù),并收集用戶使用資源的情況,以產(chǎn)生計費信息。這就需要采用新一代的AAA協(xié)議——Diameter。此外,在IEEE的無線局域網(wǎng)協(xié)議802.16e的建議草案中,網(wǎng)絡(luò)參考模型里也包含了鑒別和授權(quán)服務(wù)器ASA Server,以支持移動臺在不同基站之間的切換。可見,在未來移動通信系統(tǒng)中,AAA服務(wù)器占據(jù)了很重要的位置。
欲進一步了解Diameter的請進入。
經(jīng)過討論,IETF的AAA工作組同意將Diameter協(xié)議作為下一代的AAA協(xié)議標(biāo)準(zhǔn)。Diameter(為直徑,意為著Diameter協(xié)議是RADIUS協(xié)議的升級版本)協(xié)議包括基本協(xié)議,NAS(網(wǎng)絡(luò)接入服務(wù))協(xié)議,EAP(可擴展鑒別)協(xié)議,MIP(移動IP)協(xié)議,CMS(密碼消息語法)協(xié)議等。Diameter協(xié)議支持移動IP、NAS請求和移動代理的認證、授權(quán)和計費工作,協(xié)議的實現(xiàn)和RADIUS類似,也是采用AVP,屬性值對(采用Attribute-Length-Value三元組形式)來實現(xiàn),但是其中詳細規(guī)定了錯誤處理, failover機制,采用TCP協(xié)議,支持分布式計費,克服了RADIUS的許多缺點,是最適合未來移動通信系統(tǒng)的AAA協(xié)議。
