AAA原理(1)
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
消息条件 消息属性作用
当网络接入设备(NAS)从用户处 接到一个连接请求时,NAS将通过 发送一个Access-Request消息给 RADIUS服务器来认证这个用户请 求
认证用户 描述用户想要建立的连接的类型
允许NAS完成接入协商 当RADIUS服务器能够认证这个连 配 置 连 接 的 详 细 信 息 , 例 如 , 向 接 请 求 时 , 它 返 回 一 个 Access- NAS提供一个IP地址,这个IP地址 Accept消息给它的客户端(通常为 将分配给用户。 NAS) 为这个连接提供时间限制或别的服 务类别信息 当RADIUS服务器不能认证这个连 终止接入协商 10 接请求时,返回一个Access-Reject 给出认证失败原因
1.3 RADIUS 计费(2/2)
消息条件
消息属性作用
每次客户端设备上线(不管是因为当机,还是 由于正常关机导致的下线)时,都会发送一个 标示这个设备上线 Accounting-On消息给服务器
每次客户端设备正常关机,在关机之前会发送 标示这个设备下线 一个Accounting-Off消息给服务器 RADIUS 服 务 器 在 接 收 到 一 个 AccountingRequest 消 息 后 , 会 发 送 一 个 Accounting- 完成请求/响应循环 Response消息给客户端
18
目录 • • • • • • 第一章 第二章 第三章 第四章 第五章 第六章 RADIUS协议简单介绍 AAA功能与应用 计费方案与模式 ANAAA功能与应用 现网部署情况 名词解释
19
第2章 AAA功能与应用
第1节 AAA基本概念 第2节 CARD 业务流程 第3节 WAP 业务流程 第4节 VPDN 业务流程 第5节 用户授权
– 计费(Accouting)指网络系统收集、记录用户对网络资源的使用 情况,以便向用户收取资源使用费用,或者用于性能统计等目的。 如记录用户数据传送的时间和流量。
21
第2章 AAA功能与应用
第1节 AAA基本概念 第2节 CARD 业务流程 第3节 WAP 业务流程 第4节 VPDN 业务流程 第5节 用户授权
11
第1章 RADIUS协议简单介绍
第1节 RADIUS 基础 第2节 RADIUS 认证 第3节 RADIUS 计费 第4节 RADIUS 漫游
12
1.3 RADIUS 计费(1/2)
消息条件 消息属性作用
RADIUS客户端使用Accounting-Request消息发 送计费数据到服务器端,不同制造商制造的客 户端在不同的条件下会发送不同类型的 根据Acct-Status-Type属性的取值,计 Accounting-Request消息,这儿描述最典型的 费消息可以分为:Start,Stop, 情况。 Interim-Acct, Accounting-On和 保证RADIUS服务器接收到计费请求包是客户端 Accounting-Off几种。 的责任。多数客户端都采用长时间的周期性重 记录连接信息,包括:用户名,NAS标示, 发策略来保证服务器正确接收到计费请求包。 NAS端口标示,端口类型,连接开始时间 在接到RADIUS服务器发来的Access-Accept包之 等。 后,NAS就是完成与用户之间的接入协商,然后 NAS就会发送一个开始消息(Start)给服务器。 记录关于这次连接的统计信息。这个消 在连接终止后,NAS会发送一个结束消息(Stop) 息中包含NAS能够记录的统计属性的最终 给服务器 值。 记录关于这次连接统计信息的一个“快 大 约 每 隔 10 分 钟 , NAS 会 发 送 一 个 中 间 消 息 照”,这个消息中包含的是NAS能够记录 (Interim-Acct)给服务器 13 的统计属性的当前值
为配置AAA系统,需要了解关于RADIUS包的如下重要信息: • RADIUS包携带RADIUS客户端和RADIUS服务器之间的交流的信息。 • RADIUS包遵循请求/响应的机制:客户端发送一个请求给服务器,并 期待服务器返回一个响应,如果客户端没有接到响应,那么客户端能 够周期性的重发这个请求。 • 每一个包都有特定的目的:认证或计费。 • 一个包可以包含多个值,这些值称为属性。 • 每个包可包含的属性受到报的类型(认证或计费)以及发送这个包的 设备(如NAS的厂家和型号)的限制。 • 。
*HAAA保存这些计费原始数据(UDR),并进行必要的处理,通过AAA-营帐系统接口传送给营帐系统
23
第2章 AAA功能与应用
第1节 AAA基本概念 第2节 CARD 业务流程 第3节 WAP 业务流程 第4节 VPDN 业务流程 第5节 用户授权
24
2.3 WAP 业务流程(1/2)
1
2
6 5 7 9 10 12
4. 代理服务器中继发送响应给最初的RADIUS客户端。
16
1.4 RADIUS 漫游(2/3)
• 代理(Proxy)计费
RADIUS计费消息代理转发过程如下: 1. RADIUS服务器接收到一个Accounting-Request消息; 2. 服务器上代理计费参数的配置将决定对这个请求消息如何动作,动 作可以为: a)转发这个计费请求到目标服务器;或
14
第1章 RADIUS协议简单介绍
第1节 RADIUS 基础 第2节 RADIUS 认证 第3节 RADIUS 计费 第4节 RADIUS 漫游
15
1.4 RADIUS 漫游(1/3)
• 代理(Proxy)认证 RADIUS认证消息代理转发过程如下: 1. RADIUS服务器接收到一个Access-Request消息; 2. 第一个服务器(代理RADIUS服务器)转发这个请求消息到第二 个服务器(目标RADIUS服务器); 3. 目标服务器执行请求的认证服务,并返回一个响应给代理服务器;
7
1.1 RADIUS数据包格式ห้องสมุดไป่ตู้结构
• • • • • • RADIUS客户端和RADIUS服务器通过RADIUS包来进行信息交换。 RADIUS使用UDP/IP作为传输协议: 端口号为:1645/1646(旧)或1812/1813(新) 认证包(Authentication)端口为:1645或1812 计费包(Accounting)端口为:1646或1813 RADIUS数据包的格式为:
b)在代理服务器本地记录下计费请求中的计费数据;或
c)a和b都做。 3. 如果代理服务器没有收到转发的计费请求包的回复,它会按自己的 重发策略来周期性的重发这个计费请求。
17
1.4 RADIUS 漫游(3/3)
• 漫游(Proxy)域 漫游域是指使用一个RADIUS服务器池来作为目标服务器,代理服务 器可以转发请求到这个RADIUS服务器池。 通过配置漫游域,可以实现负载均衡,目标服务器冗余等功能,还可 配置使代理服务器把认证和计费请求包发送到不同的服务器。
6、PDSN通知用户认证的结果,是否允许访问网络
7、如果认证通过,PDSN向FAAA发送Accounting-Start,包含3GPP2规定的属性及一些厂商专有属性 8、FAAA向HAAA转发Accounting-Start,可以设置本地是否保存一份计费包副本 9、HAAA向FAAA发送Accounting-Response,确认计费包已经收到* 10、FAAA向PDSN转发计费确认包,认证、计费过程结束
22
2.2 CARD 业务流程
移动终端 1 6 PDSN 5 10
2
7 FAAA
4 9
3
8 HAAA
CDMA 1X分组网用户认证、计费过程:
1、用户向PDSN发送Username/Password 2、PDSN向FAAA发送Access-Request(包含Username/Password,PDSN地址,移动终端号码等), FAAA检查PDSN地址是否合法,然后检查Username,确定是本地用户还是漫游用户 3、如果是漫游用户,向HAAA转发Access-Request,HAAA在数据库中查找用户的Profile,检查 Username和Password是否相符,是否要返回特定的属性等 4、HAAA向FAAA发送认证的结果:Access-Accept(包含要返回的特定属性)或Access-Reject 5、FAAA向PDSN转发认证的结果,Access-Accept或Access-Reject
20
2.1 AAA基本定义
• AAA(Authentication、Authorization、Accouting),即认证、授权 与计费服务器 – 认证(Authentication)指用户在使用网络系统中的资源时对用户 身份的确认。这一过程,通过与用户的交互获得身份信息(诸如 用户名、口令组合等),AAA服务器对身份信息与存储在数据库 里的用户信息进行核对处理,然后根据处理结果确认用户身份是 否正确。 – 授权(Authorization)指网络系统授权用户以特定的方式使用其 资源。这一过程指定了被认证的用户在接入网络后能够使用的业 务和拥有的权限,如授予的IP地址。
3
目录 • • • • • • 第一章 第二章 第三章 第四章 第五章 第六章 RADIUS协议简单介绍 AAA功能与应用 计费方案与模式 ANAAA功能与应用 现网部署情况 名词解释
4
第1章 RADIUS协议简单介绍
第1节 RADIUS 基础 第2节 RADIUS 认证 第3节 RADIUS 计费 第4节 RADIUS 漫游
3 4 8
11
25
2.3 WAP 业务流程(2/2)
WAP业务流程如下: 1. 用户向PDSN发送Username/Password 2. PDSN向FAAA发送Access-Request(包含Username/Password,PDSN地址,移动终端号 码等),FAAA检查PDSN地址是否合法,然后检查Username,确定是本地用户还是漫游 用户。 3. 如果是漫游用户,向HAAA转发Access-Request,HAAA在数据库中查找用户的Profile,检 查Username和Password是否相符,是否要返回特定的属性等 4. HAAA向FAAA发送认证的结果:Access-Accept(包含要返回的特定属性)或AccessReject。 5. FAAA向PDSN转发认证的结果,Access-Accept或Access-Reject。 6. PDSN通知用户认证的结果,是否允许访问网络。 7. 如果认证通过,PDSN向FAAA发送Accounting-Start,包含3GPP2规定的属性及一些厂商 专有属性。 8. FAAA向HAAA转发Accounting-Start,可以设置本地是否保存一份计费包副本。 9. FAAA向WAPGW转发Accounting-Start,可以设置本地是否保存一份计费包副本。 10.WAPGW向FAAA发送Accounting-Response,确认计费包已经收到。 11.HAAA向FAAA发送Accounting-Response,确认计费包已经收到。 12.FAAA向PDSN转发计费确认包,认证、计费过程结束。 *HAAA保存这些计费原始数据(UDR),并进行必要的处理,通过AAA-营帐系统接口传送给营帐 26 系统
5
1.1 RADIUS 基础(1/2)
• RADIUS 协议是为用户提供接入的设备(RADIUS客户端)与存放用户 认证信息的设备(RADIUS服务器端)之间交换信息的一个标准方法。
• 一般由三个部件构成:接入客户端,网络接入服务器,RADIUS服务器。
基于RADIUS的远端接入环境
6
1.1 RADIUS 基础(2/2)
中国电信维护岗位认证教材
AAA/AN-AAA原理
中国电信维护岗位认证教材编写小组编制
1
CDMA 分 组 核 心 网 产 品 主 要 包 括 PDSN和AAA设备,本文档将对AAA 进行详细说明介绍。
2
学习完此课程,您将会:
– 掌握AAA基本概念与功能 – 掌握RADIUS协议 – 了解AAA/ANAAA的业务流程 – 了解AAA的计费方案与模式
1.2 RADIUS 认证(2/2)
认证方式:
• PAP:在PAP(Password Authentication Protocol)协议中,用户与 NAS通过明文方式进行协商,也就是说,用户在发送密码信息给NAS 时不使用加密。 • CHAP:CHAP (Challenge Handshake Authentication Protocol)协 议可以避免密码信息在任何网段上以明文形式传输。
2 3 4 C ode Id e n tifie r L e n g th A u th e n tic a to r A ttrib u te s 5 6 7 8 O c te ts 1 1 2 16 n
RADIUS数据包结构如下: 1
Code标识这是一个什么类型的包,1:Access-Request,2:AccessAccept,3:Access-Reject,4:Accounting-Request,5: Accounting-Response
8
第1章 RADIUS协议简单介绍
第1节 RADIUS 基础 第2节 RADIUS 认证 第3节 RADIUS 计费 第4节 RADIUS 漫游
9
1.2 RADIUS 认证(1/2)
• 为了理解认证过程,我们需要对认证消息有个大概的了解,下表给出 了产生RADIUS消息的条件以及在相应条件下消息中可以包含的属性, 以及这些属性的作用。
当网络接入设备(NAS)从用户处 接到一个连接请求时,NAS将通过 发送一个Access-Request消息给 RADIUS服务器来认证这个用户请 求
认证用户 描述用户想要建立的连接的类型
允许NAS完成接入协商 当RADIUS服务器能够认证这个连 配 置 连 接 的 详 细 信 息 , 例 如 , 向 接 请 求 时 , 它 返 回 一 个 Access- NAS提供一个IP地址,这个IP地址 Accept消息给它的客户端(通常为 将分配给用户。 NAS) 为这个连接提供时间限制或别的服 务类别信息 当RADIUS服务器不能认证这个连 终止接入协商 10 接请求时,返回一个Access-Reject 给出认证失败原因
1.3 RADIUS 计费(2/2)
消息条件
消息属性作用
每次客户端设备上线(不管是因为当机,还是 由于正常关机导致的下线)时,都会发送一个 标示这个设备上线 Accounting-On消息给服务器
每次客户端设备正常关机,在关机之前会发送 标示这个设备下线 一个Accounting-Off消息给服务器 RADIUS 服 务 器 在 接 收 到 一 个 AccountingRequest 消 息 后 , 会 发 送 一 个 Accounting- 完成请求/响应循环 Response消息给客户端
18
目录 • • • • • • 第一章 第二章 第三章 第四章 第五章 第六章 RADIUS协议简单介绍 AAA功能与应用 计费方案与模式 ANAAA功能与应用 现网部署情况 名词解释
19
第2章 AAA功能与应用
第1节 AAA基本概念 第2节 CARD 业务流程 第3节 WAP 业务流程 第4节 VPDN 业务流程 第5节 用户授权
– 计费(Accouting)指网络系统收集、记录用户对网络资源的使用 情况,以便向用户收取资源使用费用,或者用于性能统计等目的。 如记录用户数据传送的时间和流量。
21
第2章 AAA功能与应用
第1节 AAA基本概念 第2节 CARD 业务流程 第3节 WAP 业务流程 第4节 VPDN 业务流程 第5节 用户授权
11
第1章 RADIUS协议简单介绍
第1节 RADIUS 基础 第2节 RADIUS 认证 第3节 RADIUS 计费 第4节 RADIUS 漫游
12
1.3 RADIUS 计费(1/2)
消息条件 消息属性作用
RADIUS客户端使用Accounting-Request消息发 送计费数据到服务器端,不同制造商制造的客 户端在不同的条件下会发送不同类型的 根据Acct-Status-Type属性的取值,计 Accounting-Request消息,这儿描述最典型的 费消息可以分为:Start,Stop, 情况。 Interim-Acct, Accounting-On和 保证RADIUS服务器接收到计费请求包是客户端 Accounting-Off几种。 的责任。多数客户端都采用长时间的周期性重 记录连接信息,包括:用户名,NAS标示, 发策略来保证服务器正确接收到计费请求包。 NAS端口标示,端口类型,连接开始时间 在接到RADIUS服务器发来的Access-Accept包之 等。 后,NAS就是完成与用户之间的接入协商,然后 NAS就会发送一个开始消息(Start)给服务器。 记录关于这次连接的统计信息。这个消 在连接终止后,NAS会发送一个结束消息(Stop) 息中包含NAS能够记录的统计属性的最终 给服务器 值。 记录关于这次连接统计信息的一个“快 大 约 每 隔 10 分 钟 , NAS 会 发 送 一 个 中 间 消 息 照”,这个消息中包含的是NAS能够记录 (Interim-Acct)给服务器 13 的统计属性的当前值
为配置AAA系统,需要了解关于RADIUS包的如下重要信息: • RADIUS包携带RADIUS客户端和RADIUS服务器之间的交流的信息。 • RADIUS包遵循请求/响应的机制:客户端发送一个请求给服务器,并 期待服务器返回一个响应,如果客户端没有接到响应,那么客户端能 够周期性的重发这个请求。 • 每一个包都有特定的目的:认证或计费。 • 一个包可以包含多个值,这些值称为属性。 • 每个包可包含的属性受到报的类型(认证或计费)以及发送这个包的 设备(如NAS的厂家和型号)的限制。 • 。
*HAAA保存这些计费原始数据(UDR),并进行必要的处理,通过AAA-营帐系统接口传送给营帐系统
23
第2章 AAA功能与应用
第1节 AAA基本概念 第2节 CARD 业务流程 第3节 WAP 业务流程 第4节 VPDN 业务流程 第5节 用户授权
24
2.3 WAP 业务流程(1/2)
1
2
6 5 7 9 10 12
4. 代理服务器中继发送响应给最初的RADIUS客户端。
16
1.4 RADIUS 漫游(2/3)
• 代理(Proxy)计费
RADIUS计费消息代理转发过程如下: 1. RADIUS服务器接收到一个Accounting-Request消息; 2. 服务器上代理计费参数的配置将决定对这个请求消息如何动作,动 作可以为: a)转发这个计费请求到目标服务器;或
14
第1章 RADIUS协议简单介绍
第1节 RADIUS 基础 第2节 RADIUS 认证 第3节 RADIUS 计费 第4节 RADIUS 漫游
15
1.4 RADIUS 漫游(1/3)
• 代理(Proxy)认证 RADIUS认证消息代理转发过程如下: 1. RADIUS服务器接收到一个Access-Request消息; 2. 第一个服务器(代理RADIUS服务器)转发这个请求消息到第二 个服务器(目标RADIUS服务器); 3. 目标服务器执行请求的认证服务,并返回一个响应给代理服务器;
7
1.1 RADIUS数据包格式ห้องสมุดไป่ตู้结构
• • • • • • RADIUS客户端和RADIUS服务器通过RADIUS包来进行信息交换。 RADIUS使用UDP/IP作为传输协议: 端口号为:1645/1646(旧)或1812/1813(新) 认证包(Authentication)端口为:1645或1812 计费包(Accounting)端口为:1646或1813 RADIUS数据包的格式为:
b)在代理服务器本地记录下计费请求中的计费数据;或
c)a和b都做。 3. 如果代理服务器没有收到转发的计费请求包的回复,它会按自己的 重发策略来周期性的重发这个计费请求。
17
1.4 RADIUS 漫游(3/3)
• 漫游(Proxy)域 漫游域是指使用一个RADIUS服务器池来作为目标服务器,代理服务 器可以转发请求到这个RADIUS服务器池。 通过配置漫游域,可以实现负载均衡,目标服务器冗余等功能,还可 配置使代理服务器把认证和计费请求包发送到不同的服务器。
6、PDSN通知用户认证的结果,是否允许访问网络
7、如果认证通过,PDSN向FAAA发送Accounting-Start,包含3GPP2规定的属性及一些厂商专有属性 8、FAAA向HAAA转发Accounting-Start,可以设置本地是否保存一份计费包副本 9、HAAA向FAAA发送Accounting-Response,确认计费包已经收到* 10、FAAA向PDSN转发计费确认包,认证、计费过程结束
22
2.2 CARD 业务流程
移动终端 1 6 PDSN 5 10
2
7 FAAA
4 9
3
8 HAAA
CDMA 1X分组网用户认证、计费过程:
1、用户向PDSN发送Username/Password 2、PDSN向FAAA发送Access-Request(包含Username/Password,PDSN地址,移动终端号码等), FAAA检查PDSN地址是否合法,然后检查Username,确定是本地用户还是漫游用户 3、如果是漫游用户,向HAAA转发Access-Request,HAAA在数据库中查找用户的Profile,检查 Username和Password是否相符,是否要返回特定的属性等 4、HAAA向FAAA发送认证的结果:Access-Accept(包含要返回的特定属性)或Access-Reject 5、FAAA向PDSN转发认证的结果,Access-Accept或Access-Reject
20
2.1 AAA基本定义
• AAA(Authentication、Authorization、Accouting),即认证、授权 与计费服务器 – 认证(Authentication)指用户在使用网络系统中的资源时对用户 身份的确认。这一过程,通过与用户的交互获得身份信息(诸如 用户名、口令组合等),AAA服务器对身份信息与存储在数据库 里的用户信息进行核对处理,然后根据处理结果确认用户身份是 否正确。 – 授权(Authorization)指网络系统授权用户以特定的方式使用其 资源。这一过程指定了被认证的用户在接入网络后能够使用的业 务和拥有的权限,如授予的IP地址。
3
目录 • • • • • • 第一章 第二章 第三章 第四章 第五章 第六章 RADIUS协议简单介绍 AAA功能与应用 计费方案与模式 ANAAA功能与应用 现网部署情况 名词解释
4
第1章 RADIUS协议简单介绍
第1节 RADIUS 基础 第2节 RADIUS 认证 第3节 RADIUS 计费 第4节 RADIUS 漫游
3 4 8
11
25
2.3 WAP 业务流程(2/2)
WAP业务流程如下: 1. 用户向PDSN发送Username/Password 2. PDSN向FAAA发送Access-Request(包含Username/Password,PDSN地址,移动终端号 码等),FAAA检查PDSN地址是否合法,然后检查Username,确定是本地用户还是漫游 用户。 3. 如果是漫游用户,向HAAA转发Access-Request,HAAA在数据库中查找用户的Profile,检 查Username和Password是否相符,是否要返回特定的属性等 4. HAAA向FAAA发送认证的结果:Access-Accept(包含要返回的特定属性)或AccessReject。 5. FAAA向PDSN转发认证的结果,Access-Accept或Access-Reject。 6. PDSN通知用户认证的结果,是否允许访问网络。 7. 如果认证通过,PDSN向FAAA发送Accounting-Start,包含3GPP2规定的属性及一些厂商 专有属性。 8. FAAA向HAAA转发Accounting-Start,可以设置本地是否保存一份计费包副本。 9. FAAA向WAPGW转发Accounting-Start,可以设置本地是否保存一份计费包副本。 10.WAPGW向FAAA发送Accounting-Response,确认计费包已经收到。 11.HAAA向FAAA发送Accounting-Response,确认计费包已经收到。 12.FAAA向PDSN转发计费确认包,认证、计费过程结束。 *HAAA保存这些计费原始数据(UDR),并进行必要的处理,通过AAA-营帐系统接口传送给营帐 26 系统
5
1.1 RADIUS 基础(1/2)
• RADIUS 协议是为用户提供接入的设备(RADIUS客户端)与存放用户 认证信息的设备(RADIUS服务器端)之间交换信息的一个标准方法。
• 一般由三个部件构成:接入客户端,网络接入服务器,RADIUS服务器。
基于RADIUS的远端接入环境
6
1.1 RADIUS 基础(2/2)
中国电信维护岗位认证教材
AAA/AN-AAA原理
中国电信维护岗位认证教材编写小组编制
1
CDMA 分 组 核 心 网 产 品 主 要 包 括 PDSN和AAA设备,本文档将对AAA 进行详细说明介绍。
2
学习完此课程,您将会:
– 掌握AAA基本概念与功能 – 掌握RADIUS协议 – 了解AAA/ANAAA的业务流程 – 了解AAA的计费方案与模式
1.2 RADIUS 认证(2/2)
认证方式:
• PAP:在PAP(Password Authentication Protocol)协议中,用户与 NAS通过明文方式进行协商,也就是说,用户在发送密码信息给NAS 时不使用加密。 • CHAP:CHAP (Challenge Handshake Authentication Protocol)协 议可以避免密码信息在任何网段上以明文形式传输。
2 3 4 C ode Id e n tifie r L e n g th A u th e n tic a to r A ttrib u te s 5 6 7 8 O c te ts 1 1 2 16 n
RADIUS数据包结构如下: 1
Code标识这是一个什么类型的包,1:Access-Request,2:AccessAccept,3:Access-Reject,4:Accounting-Request,5: Accounting-Response
8
第1章 RADIUS协议简单介绍
第1节 RADIUS 基础 第2节 RADIUS 认证 第3节 RADIUS 计费 第4节 RADIUS 漫游
9
1.2 RADIUS 认证(1/2)
• 为了理解认证过程,我们需要对认证消息有个大概的了解,下表给出 了产生RADIUS消息的条件以及在相应条件下消息中可以包含的属性, 以及这些属性的作用。