|
1 AAA簡介
AAA指的是Authentication(鑑別),Authorization(授權),Accounting(計費)。自網絡誕生以來,認證、授權以及計費體制(AAA)就成爲其運營的基礎。網絡中各類資源的使用,需要由認證、授權和計費進行管理。而AAA的發展與變遷自始至終都吸引着營運商的目光。對於一個商業系統來說,鑑別是至關重要的,只有確認了用戶的身份,才能知道所提供的服務應該向誰收費,同時也能防止非法用戶(黑客)對網絡進行破壞。在確認用戶身份後,根據用戶開戶時所申請的服務類別,系統可以授予客戶相應的權限。最後,在用戶使用系統資源時,需要有相應的設備來統計用戶所對資源的佔用情況,據此向客戶收取相應的費用。
其中,鑑別(Authentication)指用戶在使用網絡系統中的資源時對用戶身份的確認。這一過程,通過與用戶的交互獲得身份信息(諸如用戶名—口令組合、生物特徵獲得等),然後提交給認證服務器;後者對身份信息與存儲在數據庫裏的用戶信息進行覈對處理,然後根據處理結果確認用戶身份是否正確。例如,GSM移動通信系統能夠識別其網絡內網絡終端設備的標誌和用戶標誌。授權(Authorization)網絡系統授權用戶以特定的方式使用其資源,這一過程指定了被認證的用戶在接入網絡後能夠使用的業務和擁有的權限,如授予的IP地址等。仍以GSM移動通信系統爲例,認證通過的合法用戶,其業務權限(是否開通國際電話主叫業務等)則是用戶和運營商在事前已經協議確立的。計費(Accounting)網絡系統收集、記錄用戶對網絡資源的使用,以便向用戶收取資源使用費用,或者用於審計等目的。以互聯網接入業務供應商ISP爲例,用戶的網絡接入使用情況可以按流量或者時間被準確記錄下來。
認證、授權和計費一起實現了網絡系統對特定用戶的網絡資源使用情況的準確記錄。這樣既在一定程度上有效地保障了合法用戶的權益,又能有效地保障網絡系統安全可靠地運行。考慮到不同網絡融合以及互聯網本身的發展,迫切需要新一代的基於IP的AAA技術。因此出現了Diameter協議。
2 AAA在移動通信系統中的應用
在移動通信系統中,用戶要訪問網絡資源,首先要進行用戶的入網認證,這樣用戶才能訪問網絡資源。鑑別的過程就是驗證用戶身份的合法性;鑑別完成後,才能對用戶訪問網絡資源進行授權,並對用戶訪問網絡資源進行計費管理。一般來講,鑑別過程由三個實體來完成的。用戶(Client)、認證器(Authenticator)、AAA服務器(Authentication 、Authorization和Accounting Server)。在第三代移動通信系統的早期版本中,用戶也稱爲MN(移動節點),Authenticator在NAS(Network Access Server)中實現,它們之間採用PPP協議,認證器和AAA服務器之間採用AAA協議(以前的方式採用遠程訪問撥號用戶服務RADIUS(Remote Access Dial up User Service);Raduis英文原意爲半徑,原先的目的是爲撥號用戶進行鑑別和計費。後來經過多次改進,形成了一項通用的鑑別計費協議)。
RADIUS是一種C/S結構的協議,它的客戶端最初就是NAS(Net Access Server)服務器,現在任何運行RADIUS客戶端軟件的計算機都可以成爲RADIUS的客戶端。RADIUS協議認證機制靈活,可以採用PAP、CHAP或者Unix登錄認證等多種方式。RADIUS是一種可擴展的協議,它進行的全部工作都是基於Attribute-Length-Value的向量進行的。RADIUS的基本工作原理是:用戶接入NAS,NAS向RADIUS服務器使用Access-Require數據包提交用戶信息,包括用戶名、密碼等相關信息,其中用戶密碼是經過MD5加密的,雙方使用共享密鑰,這個密鑰不經過網絡傳播;RADIUS服務器對用戶名和密碼的合法性進行檢驗,必要時可以提出一個Challenge,要求進一步對用戶認證,也可以對NAS進行類似的認證;如果合法,給NAS返回Access-Accept數據包,允許用戶進行下一步工作,否則返回Access-Reject數據包,拒絕用戶訪問;如果允許訪問,NAS向RADIUS服務器提出計費請求Account-Require,RADIUS服務器響應Account-Accept,對用戶的計費開始,同時用戶可以進行自己的相關操作。
RADIUS是目前最常用的認證計費協議之一,它簡單安全,易於管理,擴展性好,所以得到廣泛應用。但是由於協議本身的缺陷,比如基於UDP的傳輸、簡單的丟包機制、沒有關於重傳的規定和集中式計費服務,都使得它不太適應當前網絡的發展,需要進一步改進。
隨着新的接入技術的引入(如無線接入、DSL、移動IP和以太網)和接入網絡的快速擴容,越來越複雜的路由器和接入服務器大量投入使用,對AAA協議提出了新的要求,使得傳統的RADIUS結構的缺點日益明顯。目前,3G網絡正逐步向全IP網絡演進,不僅在覈心網絡使用支持IP的網絡實體,在接入網絡也使用基於IP的技術,而且移動終端也成爲可激活的IP客戶端。如在WCDMA當前規劃的R6版本就新增以下特性:UTRAN和CN傳輸增強;無線接口增強;多媒體廣播和多播(MBMS);數字權限管理(DRM);WLAN-UMTS互通;優先業務;通用用戶信息(GUP);網絡共享;不同網絡間的互通等。在這樣的網絡中,移動IP將被廣泛使用。支持移動IP的終端可以在註冊的家鄉網絡中移動,或漫遊到其他運營商的網絡。當終端要接入到網絡,並使用運營商提供的各項業務時,就需要嚴格的AAA過程。AAA服務器要對移動終端進行認證,授權允許用戶使用的業務,並收集用戶使用資源的情況,以產生計費信息。這就需要採用新一代的AAA協議——Diameter。此外,在IEEE的無線局域網協議802.16e的建議草案中,網絡參考模型裏也包含了鑑別和授權服務器ASA Server,以支持移動臺在不同基站之間的切換。可見,在未來移動通信系統中,AAA服務器佔據了很重要的位置。
經過討論,IETF的AAA工作組同意將Diameter協議作爲下一代的AAA協議標準。Diameter(爲直徑,意爲着Diameter協議是RADIUS協議的升級版本)協議包括基本協議,NAS(網絡接入服務)協議,EAP(可擴展鑑別)協議,MIP(移動IP)協議,CMS(密碼消息語法)協議等。Diameter協議支持移動IP、NAS請求和移動代理的認證、授權和計費工作,協議的實現和RADIUS類似,也是採用AVP,屬性值對(採用Attribute-Length-Value三元組形式)來實現,但是其中詳細規定了錯誤處理, failover機制,採用TCP協議,支持分佈式計費,克服了RADIUS的許多缺點,是最適合未來移動通信系統的AAA協議。
3 新一代的AAA協議——Diameter
Diameter應用協議族和其他網絡協議的關係如圖1所示:
(1) Diameter的基礎協議(Base protocol)
Diameter基本協議爲移動IP(Mobile IP)、網絡接入服務(NAS)等應用提供最基本的服務,例如用戶會話、計費等,具有能力協商、差錯通知等功能。協議元素由衆多命令和AVP(屬性值對)構成,可以在客戶機、代理、服務器之間傳遞鑑別、授權和計費信息。但是不管客戶機、代理還是服務器,都可以主動發出會話請求,對方給予應答,所以也叫對等實體之間的協議。命令代碼、AVP值和種類都可以按應用需要和規則進行擴展。
(2)Diameter的NAS協議
Diameter的NAS協議既是Network Access Service(網絡接入服務)協議。由NAS客戶機處理用戶MN的接入請求(RegReq),將收到的客戶認證信息轉送給NAS服務器;服務器對客戶進行鑑別,將結果(Success/Fail)發給客戶機;客戶機通過RegReply將結果發回給MN,並根據結果對MN進行相應處理。
NAS作爲網絡接入服務器,在其用戶端口接收到呼叫或服務請求時便開始與AAA服務器之間進行消息交換,有關呼叫的信息、用戶身份和用戶鑑別信息被打包成一種AAA消息發給AAA服務器。實際上,移動IP中的FA可以看成是通過空中的MPPP鏈路接收移動終端MN的服務連接請求的NAS服務器,它作爲AAA服務器的客戶機,在兩者之間交換NAS消息請求和應答。
(3)Diameter的EAP協議
Diameter EAP (Extensible Authentication Protocol ——可擴展鑑別協議)協議提供了一個支持各種鑑別方法的標準機制。EAP其實是一種框架,一種幀格式,可以容納各種鑑別信息。EAP所提供的多回合鑑別是PAP和CHAP所不具備的。
EAP協議描述用戶、NAS(AAA客戶機)和AAA服務器之間有關EAP鑑別消息的請求和應答的關係,完成一次對鑑別請求的應答,中間可能需要多次消息交換過程。在移動終端MN移動的環境下,MN與FA之間的鑑別擴展采用EAP,即把FA看做是一個NAS,它作爲Diameter AAA的客戶機,Diameter AAA服務器作爲EAP的後端服務器,兩者之間載送EAP分組。端到端的EAP鑑別發生在用戶和它的H-AAA之間。
(4)Diameter的CMS協議
Diameter CMS(Cryptographic Message Syntax ——密碼消息語法)協議實現了協議數據的Peer-to-Peer(端到端)加密。由於Diameter網絡中存在不可信的Relay(中繼)和Proxy(代理),而IPSec和TLS又只能實現跳到跳的安全,所以IETF定義了Diameter CMS應用協議來保證數據安全。
(5)Diameter的MIP協議由於未來移動通信網絡正逐步向全IP網絡演進,這就不可避免碰到用戶移動到外部域的問題。 Diameter MIP應用協議允許用戶漫遊到外部域,並在經過鑑權後接受外部域Server(服務器)和Agent(代理)提供的服務。在未來移動通信中,這種情況將十分常見,因此MIP協議對於移動通信系統來說至關重要. 當用戶移動到外部域的時候,需要進行一系列的消息交換才能安全地接入外部網絡,接受其提供的服務。MIP協議的實現環境中MN和HA都可以在家鄉域或在外地域,其中比較典型的一種情況是MN在外地域而HA在家鄉域。其接入過程如下節所示。
(6)採用Diameter MIP的一次典型的MN註冊過程如圖2所示(僅給出MN在外地域而HA在家鄉域的情況):
i. 開機註冊前,MN只有NAI以及和AAAH的安全關聯的信息,沒有home address。
|
