转自:http://blog.sina.com.cn/s/blog_4977166b010008ob.html
AAA
=============================================================
AAA - Authentication 鉴别 / Authorization 授权 / Accounting 计费
1) 鉴别(Authentication)指用户在使用网络系统中的资源时对用户身份的确认。这一过程,通过与用户的交互获得身份信息(诸如用户名—口令组合、生物特征获得等),然后提交给认证服务器;后者对身份信息与存储在数据库里的用户信息进行核对处理,然后根据处理结果确认用户身份是否正确。
2) 授权(Authorization)网络系统授权用户以特定的方式使用其资源,这一过程指定了被认证的用户在接入网络后能够使用的业务和拥有的权限,如授予的IP地址等。
3) 计费(Accounting)网络系统收集、记录用户对网络资源的使用,以便向用户收取资源使用费用,或者用于审计等目的。
======================================================================
Radius协议
一般来讲,鉴别过程由三个实体来完成的。用户(Client)、认证器(Authenticator)、AAA服务器。在3G的早期版本中,用户也称为MN(移动节点),Authenticator在NAS(Network Access Server)中实现,它们之间采用PPP协议,认证器和AAA服务器之间采用AAA协议(以前的方式采用远程访问拨号用户服务RADIUS - Remote Access Dial up User Service;Raduis原先的目的是为拨号用户进行鉴别和计费。后来经过多次改进,形成了一项通用的AAA协议)。
RADIUS的基本工作原理:
用户接入NAS,NAS向RADIUS服务器使用Access-Require数据包提交用户信息,包括用户名、密码等相关信息,其中用户密码是经过MD5加密的,双方使用共享密钥,这个密钥不经过网络传播;RADIUS服务器对用户名和密码的合法性进行检验;如果允许访问,NAS向RADIUS服务器提出计费请求Account-Require,RADIUS服务器响应Account-Accept,对用户的计费开始,同时用户可以进行自己的相关操作。
RADIUS是目前最常用的认证计费协议之一,它简单安全,易于管理,扩展性好,所以得到广泛应用。但是由于协议本身的缺陷,比如基于UDP的传输、简单的丢包机制、没有关于重传的规定和集中式计费服务,都使得它不太适应当前网络的发展,需要进一步改进。
Diameter协议
===========================================================
Diameter系列协议是新一代的AAA技术。在ITU,3GPP/3GPP2等国际标准组织中,都已经正式将DIAM-ETER协议作为NGN,WCDMA和CDMA2000等未来通信网络的首选AAA协议。
现在的AAA协议已经无法胜任目前以及今后IP网络,尤其是NGN时代对AAA服务日益增长的要求。因此IETF着手开发了下一代AAA协议-Diameter协议,以期解决现在AAA服务中存在的一些问题。
Diameter的设计目的是创建一个能够充分满足目前乃至今后IP网络(包括NGN以及3G等等)用户访问控制要求的AAA协议。其设计要求的具体内容包括:
(1)具有良好的网络适应性和可扩展性;
(2)统一且良好的失败控制和检测机制;
(3)完整的传送层安全保证(包括域内和域间);
(4)数据传输可靠性保证机制;
(5)支持各种类型的代理,包括Proxy代理、重定向代理以及中继代理等:
(6)支持服务器发起的消息,即允许服务器主动发送消息给其客户端;
(7)与现有网络协议的良好可互操作性;
(8)支持节点间的能力协商机制:
(9)支持动态对等端发现和配置机制;
(10)支持安全和可扩展的漫游。
Diameter协议(直径,意味着是RADIUS协议的升级)包含基础协议、传送协议、不同的应用扩展,如NASREQ和移动IP等。所有应用和服务共用的基本功能都在基础协议中实现,而应用特定的功能则会在不同的应用中实施。Diameter基础协议旨在提供一个AAA框架,以用于各种应用。基础协议还定义了所有Diameter应用使用的,并且所有Diameter设备都必须支持的消息格式、传输、差错报告和安全服务。