新一代的AAA协议

《新一代的AAA协议》由会员分享，可在线阅读，更多相关《新一代的AAA协议（6页珍藏版）》请在装配图网上搜索。

1、新一代的AAA协议Diameter 文章导读 在 Diameter 协议的 MIP 应用中一个用户终端如何完成一次完整的认证。最后指 出在未来移动通信网逐渐向全IP过渡的情况下，Diameter协议必将得到广泛的 应用。摘 要 本文首先介绍了鉴别，授权，计费协议的概念，并指出其在移动通信系统 中的地位和作用。接着分析了目前最常用的认证计费协议RADIUS，分析了该 协议的优点和缺陷。针对RADIUS的不足之处，本文引入了它的升级版本 Diame ter协议。在全面介绍Diame ter协议的基础上，重点描述了在Diame ter 协议的MIP应用中一个用户终端如何完成一次完整的认证。最后指出在

2、未来移动 通信网逐渐向全IP过渡的情况下，Diameter协议必将得到广泛的应用。关键词 鉴别 授权 计费 移动通信 Radius Diameter 移动 IP1 AAA 简介AAA 扌旨的是 Authentication（鉴别），Authorization（授权），Accounting（计 费）。自网络诞生以来，认证、授权以及计费体制（AAA）就成为其运营的基础。网 络中各类资源的使用，需要由认证、授权和计费进行管理。而AAA的发展与变迁 自始至终都吸引着营运商的目光。对于一个商业系统来说，鉴别是至关重要的， 只有确认了用户的身份，才能知道所提供的服务应该向谁收费，同时也能防止非 法用户（黑

3、客）对网络进行破坏。在确认用户身份后，根据用户开户时所申请的服 务类别，系统可以授予客户相应的权限。最后，在用户使用系统资源时，需要有 相应的设备来统计用户所对资源的占用情况，据此向客户收取相应的费用。其中，鉴别（Authentication）指用户在使用网络系统中的资源时对用户身份 的确认。这一过程，通过与用户的交互获得身份信息（诸如用户名口令组合、 生物特征获得等），然后提交给认证服务器；后者对身份信息与存储在数据库里 的用户信息进行核对处理，然后根据处理结果确认用户身份是否正确。例如，GSM 移动通信系统能够识别其网络内网络终端设备的标志和用户标志。授权 （Authorization）网

4、络系统授权用户以特定的方式使用其资源，这一过程指定了 被认证的用户在接入网络后能够使用的业务和拥有的权限，如授予的IP地址等。 仍以GSM移动通信系统为例，认证通过的合法用户，其业务权限（是否开通国际 电话主叫业务等）则是用户和运营商在事前已经协议确立的。计费（Accounting） 网络系统收集、记录用户对网络资源的使用，以便向用户收取资源使用费用，或 者用于审计等目的。以互联网接入业务供应商ISP为例，用户的网络接入使用情 况可以按流量或者时间被准确记录下来。认证、授权和计费一起实现了网络系统对特定用户的网络资源使用情况的准 确记录。这样既在一定程度上有效地保障了合法用户的权益，又能有效地

5、保障网 络系统安全可靠地运行。考虑到不同网络融合以及互联网本身的发展，迫切需要 新一代的基于 IP 的 AAA 技术。因此出现了 Diameter 协议。2 AAA 在移动通信系统中的应用在移动通信系统中，用户要访问网络资源，首先要进行用户的入网认证，这 样用户才能访问网络资源。鉴别的过程就是验证用户身份的合法性；鉴别完成后， 才能对用户访问网络资源进行授权，并对用户访问网络资源进行计费管理。一般 来讲，鉴别过程由三个实体来完成的。用户(Client)、认证器(Authenticator)、 AAA 服务器(Authentication、Authorization 和 Accounting S

6、erver)。在第三 代移动通信系统的早期版本中，用户也称为MN(移动节点)，Authenticator在 NAS(Network Access Server)中实现，它们之间采用PPP协议，认证器和AAA 服务器之间采用AAA协议(以前的方式采用远程访问拨号用户服务 RADIUS(Remote Access Dial up User Service)；Raduis 英文原意为半径，原 先的目的是为拨号用户进行鉴别和计费。后来经过多次改进，形成了一项通用的 鉴别计费协议)。RADIUS是一种C/S结构的协议,它的客户端最初就是NAS(Net Access Server) 服务器，现在任何运行R

7、ADIUS客户端软件的计算机都可以成为RADIUS的客户端。 RADIUS协议认证机制灵活，可以采用PAP、CHAP或者Un登录认证等多种方式。 RADIUS是一种可扩展的协议，它进行的全部工作都是基于 Attribute-Length-Value的向量进行的。RADIUS的基本工作原理是:用户接入 NAS，NAS向RADIUS服务器使用Access-Require数据包提交用户信息，包括用 户名、密码等相关信息，其中用户密码是经过MD5加密的，双方使用共享密钥， 这个密钥不经过网络传播；RADIUS服务器对用户名和密码的合法性进行检验， 必要时可以提出一个Challenge，要求进一步对用户

8、认证，也可以对NAS进行类 似的认证；如果合法，给 NAS 返回 Access-Accept 数据包，允许用户进行下一步 工作，否则返回Access-Reject数据包，拒绝用户访问；如果允许访问，NAS向 RADIUS服务器提出计费请求Account-Require，RADIUS服务器响应 Accoun t-Accep t，对用户的计费开始，同时用户可以进行自己的相关操作。RADIUS是目前最常用的认证计费协议之一，它简单安全，易于管理，扩展 性好，所以得到广泛应用。但是由于协议本身的缺陷，比如基于UDP的传输、简 单的丢包机制、没有关于重传的规定和集中式计费服务，都使得它不太适应当前 网络

9、的发展，需要进一步改进。随着新的接入技术的引入(如无线接入、DSL、移动IP和以太网)和接入网络 的快速扩容，越来越复杂的路餾和接入服务器大量投入使用，对AAA协议提出 了新的要求，使得传统的RADIUS结构的缺点日益明显。目前,3G网络正逐步向 全IP网络演进，不仅在核心网络使用支持IP的网络实体，在接入网络也使用基 于IP的技术，而且移动终端也成为可激活的IP客户端。如在WCDMA当前规划的 R6版本就新增以下特性：UTRAN和CN传输增强；无线接口增强；多媒体广播和 多播(MBMS)；数字权限管理(DRM)； WLAN-UMTS互通；优先业务；通用用户信息 (GUP)；网络共享；不同网络

10、间的互通等。在这样的网络中，移动IP将被广泛使 用。支持移动IP的终端可以在注册的家乡网络中移动，或漫游到其他运营商的 网络。当终端要接入到网络，并使用运营商提供的各项业务时，就需要严格的 AAA过程。AAA服务器要对移动终端进行认证，授权允许用户使用的业务，并收 集用户使用资源的情况，以产生计费信息。这就需要采用新一代的 AAA 协议 Diameter。此外，在IEEE的无线局域网协议802.16e的建议草案中，网络 参考模型里也包含了鉴别和授权服务器ASA Server，以支持移动台在不同基站 之间的切换。可见，在未来移动通信系统中， AAA 服务器占据了很重要的位置。经过讨论， IETF

11、 的 AAA 工作组同意将 Diameter 协议作为下一代的 AAA 协议 标准。Diameter（为直径，意为着Diameter协议是RADIUS协议的升级版本）协议 包括基本协议，NAS（网络接入服务）协议，EAP（可扩展鉴别）协议，MIP（移动IP） 协议，CMS（密码消息语法）协议等。Diameter协议支持移动IP、NAS请求和移动 代理的认证、授权和计费工作，协议的实现和RADIUS类似，也是采用AVP，属 性值对（采用 Attribute-Length-Value 三元组形式） 来实现，但是其中详细规定 了错误处理, failover 机制,采用 TCP 协议，支持分布式计费，

12、克服了 RADIUS 的许多缺点，是最适合未来移动通信系统的 AAA 协议。3新一代的AAA协议DiameterDiameter应用协议族和其他网络协议的关系如图1所示：（1）Diameter 的基础协议（Base protocol）Diameter基本协议为移动IP（Mobile IP）、网络接入服务（NAS）等应用提供 最基本的服务，例如用户会话、计费等，具有能力协商、差错通知等功能。协 议元素由众多命令和AVP（属性值对）构成，可以在客户机、代理、服务器之间传 递鉴别、授权和计费信息。但是不管客户机、代理还是服务器，都可以主动发出 会话请求，对方给予应答，所以也叫对等实体之间的协议。命令

13、代码、 AVP 值和 种类都可以按应用需要和规则进行扩展。（2）Diameter 的 NAS 协议Diame ter的NAS协议既是Net work Access Service（网络接入服务）协议。 由NAS客户机处理用户MN的接入请求（RegReq），将收到的客户认证信息转送给 NAS服务器；服务器对客户进行鉴别，将结果（Success/Fail）发给客户机；客户 机通过RegReply将结果发回给MN，并根据结果对MN进行相应处理。NAS 作为网络接入服务器，在其用户端口接收到呼叫或服务请求时便开始与 AAA 服务器之间进行消息交换，有关呼叫的信息、用户身份和用户鉴别信息被打 包成一种

14、AAA 消息发给 AAA 服务器。实际上，移动 IP 中的 FA 可以看成是通过空 中的 MPPP 链路接收移动终端 MN 的服务连接请求的 NAS 服务器，它作为 AAA 服务 器的客户机，在两者之间交换 NAS 消息请求和应答。(3) Diameter 的 EAP 协议Diameter EAP （Extensible Authentication Protocol 可扩展鉴别协 议）协议提供了一个支持各种鉴别方法的标准机制。EAP其实是一种框架，一种 帧格式，可以容纳各种鉴别信息。 EAP 所提供的多回合鉴别是 PAP 和 CHAP 所不 具备的。EAP协议描述用户、NAS（AAA客户机）

15、和AAA服务器之间有关EAP鉴别消息的 请求和应答的关系，完成一次对鉴别请求的应答，中间可能需要多次消息交换过 程。在移动终端MN移动的环境下，MN与FA之间的鉴别扩展采用EAP，即把FA 看做是一个NAS，它作为Diameter AAA的客户机，Diameter AAA服务器作为EAP 的后端服务器，两者之间载送 EAP 分组。端到端的 EAP 鉴别发生在用户和它的 H-AAA 之间。（4）Diameter 的 CMS 协议Diameter CMS（Cryptographic Message Syntax 密码消息语法） 协议实 现了协议数据的Peer-to-Peer（端到端）加密。由于Di

16、ameter网络中存在不可信 的Relay（中继）和Proxy（代理），而IPSec和TLS又只能实现跳到跳的安全，所 以 IETF 定义了 Diameter CMS 应用协议来保证数据安全。（5）Diameter的MIP协议由于未来移动通信网络正逐步向全IP网络演进， 这就不可避免碰到用户移动到外部域的问题。Diameter MIP应用协议允许用户 漫游到外部域，并在经过鉴权后接受外部域Server（服务器）和Agent （代理）提供 的服务。在未来移动通信中，这种情况将十分常见，因此 MIP 协议对于移动通信 系统来说至关重要. 当用户移动到外部域的时候，需要进行一系列的消息交换才 能安全

17、地接入外部网络，接受其提供的服务。 MIP 协议的实现环境中 MN 和 HA 都 可以在家乡域或在外地域，其中比较典型的一种情况是 MN 在外地域而 HA 在家乡 域。其接入过程如下节所示。（6）采用 Diameter MIP 的一次典型的 MN 注册过程如图 2 所示（仅给出 MN 在 外地域而 HA 在家乡域的情况） ：i. 开机注册前， MN 只有 NAI 以及和 AAAH 的安全关联的信息，没有 home address。ii. 开机后， MN 向 FA 发出注册请求，其中包含的 homeaddress=0.0.0.0 ， home agent address=255.255.255.

18、255iii. FA接到注册请求后，根据其中的信息生成AMR发给AAAF，其中 MIP-Feature-Vector AVP 中 Set Home-Agent-Request=1,Home-Address- Allocatable-Only-in-Home-Realm=1iv. AAAF 接到 AMR 后转发给 AAAH。v. AAAH收到AMR后，为MN分配HA,分配MN-HA、MN-FA之间的密钥材料， 和FA-HA之间的密钥，向HA发出HAR,其中MIP-Reg-Request AVP包含Mobile IP 注册请求信息。vi. HA 接到 HAR，分配 home address 给 M

19、N,处理 MIP-Reg-Request AVP， 生成 MIP-Reg-Reply AVP，包含在 HAA 中返回 AAAH。vii. AAAH 收到 HAA 后生成 AMA,包含 MIP-Home-Agent-Address, MIP-Mobile-Node-Address AVPs，发给 AAAF。viii. AAAF 将 AMA 转发给 FA。ix. FA接到AMA后保留FA-HA密钥，将FA-MN、HA-MN之间的密钥材料通过 注册应答Registrat ion-Reply发送给MN。其中涉及到的名词有：HA : Home Agent ， 家乡代理FA : Foreign Agent

20、 ，外部代理MN : Mobile Node ， 移动节点AAAH : AAA Home server ， AAA 家乡域服务器AAAF： AAA Foreign server ， AAA 外地域服务器AMR : AAA-Mob il e-Node- Request ， AAA 移动节点请求消息AMA : AAA-Mob il e-Node- Answer ， AAA 移动节点答复消息 HAR : Home-Agent-MIP-Request，家乡代理 MIP 请求消息HAA : Home-Agen t-MIP-Answer ，家乡代理 MIP 答复消息HA和MN在外地域或家乡域的其他组合的情

21、况与此类似，再此就不一一列举。4 未来展望现在的互联网协议IPv4支持的地址空间十分有限，而全球移动用户却不断 高速增长，达到如此庞大的规模，这就给目前使用的IP协议IPv4在未来移 动通信全IP网络中的应用带来如此沉重的压力。为了解决地址严重不足的 问题，人们提出了新版本的IP协议IPv6。IPv6能够支持的3.4X10E38个惟 一的128位地址，令IPv4望尘莫及。由于全球数十亿个设备和用户都需要各自 惟一的IP地址，因此这种巨大的编址容量将是实现“始终在线”通信的关键因 素。尽管人们主要关注的是IPv6的寻址能力，但它还拥有其它许多重要优点， 如改进和简化的路由。IPv6还引进了新的安

22、全等级并改善了对移动业务包 括基于WCDMA技术的网络的支持，这将随着中国等人口众多的国家采用3G而日 益重要。因此未来移动通信网络中的AAA协议一定是基于移动IPv6的支持分布 式处理的协议。不过，业界需要考虑和解决的问题仍然有许多。 IPv4 可能是一 种成熟而逐渐过时的协议，但它仍然可以做出重要贡献，并可能在未来一段时间 内与 IPv6 共存和互通。 Diameter 作为瞄准未来网络同时又兼容当前网络的 AAA 协议，提供了对这两种版本 MIP 的支持（当然目前主要是对 MIPv4 的支持）。相信随着未来移动通信系统中全IP网络的部署实施，支持移动IP（包括v4 和v6）的Diameter协议必将会广泛地使用到需要对移动终端进行认证、授权和 计费的场合之中。