AAA服務器

如何對正在使用網絡資源的用户進行記賬？具體為：

1、 驗證(Authentication): 驗證用户是否可以獲得訪問權限。

2、 授權(Authorization) : 授權用户可以使用哪些服務。

3、 記賬(Accounting) : 記錄用户使用網絡資源的情況。

RADIUS（Remote Authentication Dial In User Service）協議是在IETF的RFC2865和2866中定義的。RADIUS 是基於 UDP 的一種客户機/服務器協議。RADIUS客户機是網絡訪問服務器，它通常是一個路由器、交換機或無線訪問點。RADIUS服務器通常是在UNIX或Windows 2000服務器上運行的一個監護程序。RADIUS 協議的認證端口是1812 ，計費端口是1813。

概括的來説，RADIUS 的主要特點如下：

1、 客户/服務模式(Client/Server)

RADIUS是一種C/S結構的協議，它的客户端最初就是網絡接入服務器NAS（Network Access Server），運行在任何硬件上的RADIUS客户端軟件都可以成為RADIUS的客户端。客户端的任務是把用户信息（用户名，口令等）傳遞給指定的RADIUS服務器，並負責執行返回的響應。

RADIUS服務器負責接收用户的連接請求，對用户身份進行認證，併為客户端返回所有為用户提供服務所必須的配置信息。

一個RADIUS服務器可以為其他的RADIUS Server或其他種類認證服務器擔當代理。2、網絡安全客户端和RADIUS服務器之間的交互經過了共享保密字的認證。另外，為了避免某些人在不安全的網絡上監聽獲取用户密碼的可能性，在客户端和RADIUS服務器之間的任何用户密碼都是被加密後傳輸的。

3、 靈活的認證機制

RADIUS服務器可以採用多種方式來鑑別用户的合法性。當用户提供了用户名和密碼後，RADIUS服務器可以支持點對點的PAP認證（PPP PAP）、點對點的CHAP認證（PPP CHAP）、UNIX的登錄操作（UNIX Login）和其他認證機制。

4． 擴展協議

所有的交互都包括可變長度的屬性字段。為滿足實際需要，用户可以加入新的屬性值。新屬性的值可以在不中斷已存在協議執行的前提下自行定義新的屬性。

RADIUS的工作過程

RADIUS協議旨在簡化認證流程。其典型認證授權工作過程是：

1、用户輸入用户名、密碼等信息到客户端或連接到NAS。

2、客户端或NAS產生一個“接入請求（Access-Request）”報文到RADIUS服務器，其中包括用户名、口令、客户端（NAS）ID 和用户訪問端口的ID。口令經過MD5算法進行加密。

3、RADIUS服務器對用户進行認證。

4、若認證成功，RADIUS服務器向客户端或NAS發送允許接入包（Access-Accept），否則發送拒絕加接入包（Access-Reject）。

5、若客户端或NAS接收到允許接入包，則為用户建立連接，對用户進行授權和提供服務，並轉入6；若接收到拒絕接入包，則拒絕用户的連接請求，結束協商過程。

6、客户端或NAS發送計費請求包給RADIUS服務器。

7、RADIUS服務器接收到計費請求包後開始計費，並向客户端或NAS回送開始計費響應包；

8、用户斷開連接，客户端或NAS發送停止計費包給RADIUS服務器。

9、RADIUS服務器接收到停止計費包後停止計費，並向客户端或NAS回送停止計費響應包，完成該用户一次計費，記錄計費信息。

Diameter基礎協議

Diameter基本協議為移動IP（Mobile IP）、網絡接入服務（NAS）等應用提供最基本的服務，例如用户會話、計費等，具有能力協商、差錯通知等功能。協議元素由眾多命令和AVP（屬性值對）構成，可以在客户機、代理、服務器之間傳遞鑑別、授權和計費信息。但是不管客户機、代理還是服務器，都可以主動發出會話請求，對方給予應答，所以也叫對等實體之間的協議。命令代碼、AVP值和種類都可以按應用需要和規則進行擴展。

Diameter的NAS協議即是Network Access Service（網絡接入服務）協議。由NAS客户機處理用户MN的接入請求（RegReq），將收到的客户認證信息轉送給NAS服務器；服務器對客户進行鑑別，將結果（Success/Fail）發給客户機；客户機通過RegReply將結果發回給MN，並根據結果對MN進行相應處理。

NAS作為網絡接入服務器，在其用户端口接收到呼叫或服務請求時便開始與AAA服務器之間進行消息交換，有關呼叫的信息、用户身份和用户鑑別信息被打包成一種AAA消息發給AAA服務器。實際上，移動IP中的FA可以看成是通過空中的MPPP鏈路接收移動終端MN的服務連接請求的NAS服務器，它作為AAA服務器的客户機，在兩者之間交換NAS消息請求和應答。

DiameterEAP協議

Diameter EAP （Extensible Authentication Protocol ——可擴展鑑別協議）協議提供了一個支持各種鑑別方法的標準機制。EAP其實是一種框架，一種幀格式，可以容納各種鑑別信息。EAP所提供的多回合鑑別是PAP和CHAP所不具備的。

EAP協議描述用户、NAS(AAA客户機)和AAA服務器之間有關EAP鑑別消息的請求和應答的關係，完成一次對鑑別請求的應答，中間可能需要多次消息交換過程。在移動終端MN移動的環境下，MN與FA之間的鑑別擴展采用EAP，即把FA看做是一個NAS，它作為Diameter AAA的客户機，Diameter AAA服務器作為EAP的後端服務器，兩者之間載送EAP分組。端到端的EAP鑑別發生在用户和它的H-AAA之間。

Diameter CMS（Cryptographic Message Syntax ——密碼消息語法）協議實現了協議數據的Peer-to-Peer（端到端）加密。由於Diameter網絡中存在不可信的Relay（中繼）和Proxy（代理），而IPSec和TLS又只能實現跳到跳的安全，所以IETF定義了Diameter CMS應用協議來保證數據安全。

DiameterMIP協議

由於未來移動通信網絡正逐步向全IP網絡演進，這就不可避免碰到用户移動到外部域的問題。 Diameter MIP應用協議允許用户漫遊到外部域，並在經過鑑權後接受外部域Server（服務器）和Agent（代理）提供的服務。在未來移動通信中，這種情況將十分常見，因此MIP協議對於移動通信系統來説至關重要. 當用户移動到外部域的時候，需要進行一系列的消息交換才能安全地接入外部網絡，接受其提供的服務。MIP協議的實現環境中MN和HA都可以在家鄉域或在外地域，其中比較典型的一種情況是MN在外地域而HA在家鄉域。 ^[1] 

在移動通信系統中，用户要訪問網絡資源，首先要進行用户的入網認證，這樣用户才能訪問網絡資源。鑑別的過程就是驗證用户身份的合法性；鑑別完成後，才能對用户訪問網絡資源進行授權，並對用户訪問網絡資源進行計費管理。一般來講，鑑別過程由三個實體來完成的。用户（Client）、認證器（Authenticator）、AAA服務器（Authentication 、Authorization和Accounting Server）。在第三代移動通信系統的早期版本中，用户也稱為MN（移動節點），Authenticator在NAS（Network Access Server）中實現，它們之間採用PPP協議，認證器和AAA服務器之間採用AAA協議（以前的方式採用遠程訪問撥號用户服務RADIUS（Remote Access Dial up User Service）；Radius（遠程訪問撥號接入用户服務）英文原意為半徑，原先的目的是為撥號用户進行鑑別和計費。後來經過多次改進，形成了一項通用的鑑別計費協議）。

RADIUS是一種C/S結構的協議，它的客户端最初就是NAS（Net Access Server）服務器，任何運行RADIUS客户端軟件的計算機都可以成為RADIUS的客户端。RADIUS協議認證機制靈活，可以採用PAP、CHAP或者Unix登錄認證等多種方式。RADIUS是一種可擴展的協議，它進行的全部工作都是基於Attribute-Length-Value的向量進行的。RADIUS的基本工作原理是:用户接入NAS，NAS向RADIUS服務器使用Access-Require數據包提交用户信息，包括用户名、密碼等相關信息，其中用户密碼是經過MD5加密的，雙方使用共享密鑰，這個密鑰不經過網絡傳播；RADIUS服務器對用户名和密碼的合法性進行檢驗，必要時可以提出一個Challenge，要求進一步對用户認證，也可以對NAS進行類似的認證。如果合法，給NAS返回Access-Accept數據包，允許用户進行下一步工作，否則返回Access-Reject數據包，拒絕用户訪問；如果允許訪問，NAS向RADIUS服務器提出計費請求Account-Require，RADIUS服務器響應Account-Accept，對用户的計費開始，同時用户可以進行自己的相關操作。

RADIUS是最常用的認證計費協議之一，它簡單安全，易於管理，擴展性好，所以得到廣泛應用。但是由於協議本身的缺陷，比如基於UDP的傳輸、簡單的丟包機制、沒有關於重傳的規定和集中式計費服務，都使得它不太適應當前網絡的發展，需要進一步改進。

隨着新的接入技術的引入（如無線接入、DSL、移動IP和以太網）和接入網絡的快速擴容，越來越複雜的路由器和接入服務器大量投入使用，對AAA協議提出了新的要求，使得傳統的RADIUS結構的缺點日益明顯。3G網絡正逐步向全IP網絡演進，不僅在核心網絡使用支持IP的網絡實體，在接入網絡也使用基於IP的技術，而且移動終端也成為可激活的IP客户端。如在WCDMA當前規劃的R6版本就新增以下特性：UTRAN和CN傳輸增強；無線接口增強；多媒體廣播和多播（MBMS）；數字權限管理（DRM）；WLAN-UMTS互通；優先業務；通用用户信息（GUP）；網絡共享；不同網絡間的互通等。在這樣的網絡中，移動IP將被廣泛使用。支持移動IP的終端可以在註冊的家鄉網絡中移動，或漫遊到其他運營商的網絡。當終端要接入到網絡，並使用運營商提供的各項業務時，就需要嚴格的AAA過程。AAA服務器要對移動終端進行認證，授權允許用户使用的業務，並收集用户使用資源的情況，以產生計費信息。這就需要採用新一代的AAA協議——Diameter。此外，在IEEE的無線局域網協議802.16e的建議草案中，網絡參考模型裏也包含了鑑別和授權服務器ASA Server；以支持移動台在不同基站之間的切換。可見，在未來移動通信系統中，AAA服務器佔據了很重要的位置。

經過討論，IETF的AAA工作組同意將Diameter協議作為下一代的AAA協議標準。Diameter（為直徑，意為着Diameter協議是RADIUS協議的升級版本）協議包括基本協議，NAS（網絡接入服務）協議，EAP（可擴展鑑別）協議，MIP（移動IP）協議，CMS（密碼消息語法）協議等。Diameter協議支持移動IP、NAS請求和移動代理的認證、授權和計費工作，協議的實現和RADIUS類似，也是採用AVP，屬性值對（採用Attribute-Length-Value三元組形式）來實現，但是其中詳細規定了錯誤處理, failover機制,採用TCP協議，支持分佈式計費，克服了RADIUS的許多缺點，是最適合未來移動通信系統的AAA協議。 ^[2]