新一代的AAA协议——Diameter

新一代的AAA协议——Diameter 

[文章导读]
在Diameter协议的MIP利用中一个用户终端如何完成一次完整的认证。最后指出在未来移动通信网逐渐向全IP过渡的情况下，Diameter协议必将得到广泛的利用。
 
[正文] 
 
　　摘 要 本文首先介绍了分辨，授权，计费协议的概念，并指出其在移动通信系统中的地位和作用。接着分析了目前最常用的认证计费协议——RADIUS，分析了该协议的优点和毛病。针对RADIUS的不足之处，本文引入了它的升级版本——Diameter协议。在全面介绍Diameter协议的基础上，重点描写了在Diameter协议的MIP利用中一个用户终端如何完成一次完整的认证。最后指出在未来移动通信网逐渐向全IP过渡的情况下，Diameter协议必将得到广泛的利用。

　　要害词 分辨 授权 计费 移动通信 Radius Diameter 移动IP

　　1 AAA简介

　　AAA指的是Authentication(分辨)，Authorization(授权)，Accounting(计费)。自网络出身以来，认证、授权以及计费体制(AAA)就成为其运营的基础。网络中各类资源的利用，需要由认证、授权和计费进行管理。而AAA的发展与变迁自始至终都吸引着营运商的眼力。对于一个商业系统来说，分辨是至关重要的，只有确认了用户的身份，才干知道所供给的服务应当向谁收费，同时也能防止非法用户(黑客)对网络进行损坏。在确认用户身份后，根据用户开户时所申请的服务类别，系统可以授予客户相应的权限。最后，在用户利用系统资源时，需要有相应的设备来统计用户所对资源的占用情况，据此向客户收取相应的费用。

　　其中，分辨(Authentication)指用户在利用网络系统中的资源时对用户身份的确认。这一过程，通过与用户的交互获得身份信息(诸如用户名—口令组合、生物特点获得等)，然后提交给认证服务器；后者对身份信息与存储在数据库里的用户信息进行核对处理，然后根据处理成果确认用户身份是否正确。例如，GSM移动通信系统能够辨认其网络内网络终端设备的标记和用户标记。授权(Authorization)网络系统授权用户以特定的方法利用其资源，这一过程指定了被认证的用户在接入网络后能够利用的业务和拥有的权限，如授予的IP地址等。仍以GSM移动通信系统为例，认证通过的合法用户，其业务权限(是否开通国际电话主叫业务等)则是用户和运营商在事前已经协议确立的。计费(Accounting)网络系统收集、记载用户对网络资源的利用，以便向用户收取资源利用费用，或者用于审计等目标。以互联网接入业务供给商ISP为例，用户的网络接入利用情况可以按流量或者时间被正确记载下来。

　　认证、授权和计费一起实现了网络系统对特定用户的网络资源利用情况的正确记载。这样既在必定程度上有效地保障了合法用户的权益，又能有效地保障网络系统安全可靠地运行。考虑到不同网络融合以及互联网本身的发展，急切需要新一代的基于IP的AAA技术。因此涌现了Diameter协议。

　　2 AAA在移动通信系统中的利用

　　在移动通信系统中，用户要访问网络资源，首先要进行用户的入网认证，这样用户才干访问网络资源。分辨的过程就是验证用户身份的合法性；分辨完成后，才干对用户访问网络资源进行授权，并对用户访问网络资源进行计费管理。一般来讲，分辨过程由三个实体来完成的。用户(Client)、认证器(Authenticator)、AAA服务器(Authentication 、Authorization和Accounting Server)。在第三代移动通信系统的早期版本中，用户也称为MN(移动节点)，Authenticator在NAS(Network Access Server)中实现，它们之间采用PPP协议，认证器和AAA服务器之间采用AAA协议(以前的方法采用远程访问拨号用户服务RADIUS(Remote Access Dial up User Service)；Raduis英文原意为半径，本来的目标是为拨号用户进行分辨和计费。后来经过多次改良，形成了一项通用的分辨计费协议)。

　　RADIUS是一种C/S结构的协议，它的客户端最初就是NAS(Net Access Server)服务器，现在任何运行RADIUS客户端软件的电脑都可以成为RADIUS的客户端。RADIUS协议认证机制机动，可以采用PAP、CHAP或者Unix登录认证等多种方法。RADIUS是一种可扩大的协议，它进行的全部工作都是基于Attribute-Length-Value的向量进行的。RADIUS的基础工作原理是:用户接入NAS，NAS向RADIUS服务器利用Access-Require数据包提交用户信息，包含用户名、密码等相干信息，其中用户密码是经过MD5加密的，双方利用共享密钥，这个密钥不经过网络流传；RADIUS服务器对用户名和密码的合法性进行检验，必要时可以提出一个Challenge，恳求进一步对用户认证，也可以对NAS进行类似的认证；如果合法，给NAS返回Access-Accept数据包，容许用户进行下一步工作，否则返回Access-Reject数据包，拒绝用户访问；如果容许访问，NAS向RADIUS服务器提出计费恳求Account-Require，RADIUS服务器响应Account-Accept，对用户的计费开始，同时用户可以进行自己的相干操作。

　　RADIUS是目前最常用的认证计费协议之一，它简略安全，易于管理，扩大性好，所以得到广泛利用。但是由于协议本身的毛病，比如基于UDP的传输、简略的丢包机制、没有关于重传的规定和集中式计费服务，都使得它不太适应当前网络的发展，需要进一步改良。

　　随着新的接入技术的引入(如无线接入、DSL、移动IP和以太网)和接入网络的快速扩容，越来越复杂的路由器和接入服务器大批投入利用，对AAA协议提出了新的恳求，使得传统的RADIUS结构的弊病日益明显。目前,3G网络正逐步向全IP网络演进，不仅在核心网络利用支撑IP的网络实体，在接入网络也利用基于IP的技术，而且移动终端也成为可激活的IP客户端。如在WCDMA当前方案的R6版本就新增以下特点：UTRAN和CN传输加强；无线接口加强；多媒体广播和多播(MBMS)；数字权限管理(DRM)；WLAN-UMTS互通；优先业务；通用用户信息(GUP)；网络共享；不同网络间的互通等。在这样的网络中，移动IP将被广泛利用。支撑移动IP的终端可以在注册的故乡网络中移动，或漫游到其他运营商的网络。当终端要接入到网络，并利用运营商供给的各项业务时，就需要严格的AAA过程。AAA服务器要对移动终端进行认证，授权容许用户利用的业务，并收集用户利用资源的情况，以产生计费信息。这就需要采用新一代的AAA协议——Diameter。此外，在IEEE的无线局域网协议802.16e的建议草案中，网络参考模型里也包含了分辨和授权服务器ASA Server，以支撑移动台在不同基站之间的切换。可见，在未来移动通信系统中，AAA服务器盘踞了很重要的地位。

　　经过讨论，IETF的AAA工作组批准将Diameter协议作为下一代的AAA协议标准。Diameter(为直径，意为着Diameter协议是RADIUS协议的升级版本)协议包含基础协议，NAS(网络接入服务)协议，EAP(可扩大分辨)协议，MIP(移动IP)协议，CMS(密码消息语法)协议等。Diameter协议支撑移动IP、NAS恳求和移动代理的认证、授权和计费工作，协议的实现和RADIUS类似，也是采用AVP，属性值对(采用Attribute-Length-Value三元组情势)来实现，但是其中详细规定了弊病处理, failover机制,采用TCP协议，支撑散布式计费，克服了RADIUS的许多弊病，是最合适未来移动通信系统的AAA协议。
 

本消息共2页,当前在第1页  1  2