分组域-AAA技术原理与部署.ppt

移动互联网业务维护技能竞赛办公室编制,1,分组域系列教材之 ——AAA技术原理与部署,中国电信2009年度移动互联网业务维护技能竞赛专用教材,移动互联网业务维护技能竞赛办公室编制,2,CDMA分组核心网产品主要包括PDSN和AAA设备，本文档将对AAA进行详细说明介绍前 言,移动互联网业务维护技能竞赛办公室编制,3,学习完此课程，您将会： 掌握AAA基本概念与功能 掌握RADIUS协议 了解AAA/ANAAA的业务流程 了解AAA的计费方案与模式,目 标,移动互联网业务维护技能竞赛办公室编制,4,内容介绍,第1章 RADIUS协议简单介绍 第2章 AAA功能与应用 第3章计费方案与模式 第4章 ANAAA功能与应用 第5章 现网部署情况 第6章 名词解释,移动互联网业务维护技能竞赛办公室编制,5,内容介绍,第1章 RADIUS协议简单介绍 第1节 RADIUS 基础 第2节 RADIUS 认证 第3节 RADIUS 计费 第4节 RADIUS 漫游,移动互联网业务维护技能竞赛办公室编制,6,RADIUS 基础,RADIUS 协议是为用户提供接入的设备（RADIUS客户端）与存放用户认证信息的设备（RADIUS服务器端）之间交换信息的一个标准方法。

一般由三个部件构成：接入客户端，网络接入服务器，RADIUS服务器基于RADIUS的远端接入环境,移动互联网业务维护技能竞赛办公室编制,7,RADIUS 基础,为配置AAA系统，需要了解关于RADIUS包的如下重要信息： RADIUS包携带RADIUS客户端和RADIUS服务器之间的交流的信息 RADIUS包遵循请求/响应的机制：客户端发送一个请求给服务器，并期待服务器返回一个响应，如果客户端没有接到响应，那么客户端能够周期性的重发这个请求 每一个包都有特定的目的：认证或计费 一个包可以包含多个值，这些值称为属性 每个包可包含的属性受到报的类型（认证或计费）以及发送这个包的设备（如NAS的厂家和型号）的限制 如果要了解RADIUS包的类型和内容的详细信息，可以查阅RFC 2865中的表格这个手册也提供了一些常用属性以及它们的可能取值，要了解计费包的属性可查阅文档RFC 2866移动互联网业务维护技能竞赛办公室编制,8,RADIUS数据包格式与结构,RADIUS客户端和RADIUS服务器通过RADIUS包来进行信息交换 RADIUS使用UDP/IP作为传输协议： 端口号为：1645/1646（旧）或1812/1813（新） 认证包(Authentication)端口为：1645或1812 计费包(Accounting)端口为：1646或1813 RADIUS数据包的格式为：RADIUS数据包结构如下：,Code标识这是一个什么类型的包，1：Access-Request，2：Access-Accept，3：Access-Reject，4：Accounting-Request，5：Accounting-Response,移动互联网业务维护技能竞赛办公室编制,9,内容介绍,第1章 RADIUS协议简单介绍 第1节 RADIUS 基础 第2节 RADIUS 认证 第3节 RADIUS 计费 第4节 RADIUS 漫游,移动互联网业务维护技能竞赛办公室编制,10,RADIUS 认证,为了理解认证过程，我们需要对认证消息有个大概的了解，下表给出了产生RADIUS消息的条件以及在相应条件下消息中可以包含的属性，以及这些属性的作用。

移动互联网业务维护技能竞赛办公室编制,11,RADIUS 认证,认证方式：PAP：在PAP（Password Authentication Protocol）协议中，用户与NAS通过明文方式进行协商，也就是说，用户在发送密码信息给NAS时不使用加密CHAP：CHAP （Challenge Handshake Authentication Protocol）协议可以避免密码信息在任何网段上以明文形式传输移动互联网业务维护技能竞赛办公室编制,12,内容介绍,第1章 RADIUS协议简单介绍 第1节 RADIUS 基础 第2节 RADIUS 认证 第3节 RADIUS 计费 第4节 RADIUS 漫游,移动互联网业务维护技能竞赛办公室编制,13,RADIUS 计费,移动互联网业务维护技能竞赛办公室编制,14,RADIUS 计费,移动互联网业务维护技能竞赛办公室编制,15,内容介绍,第1章 RADIUS协议简单介绍 第1节 RADIUS 基础 第2节 RADIUS 认证 第3节 RADIUS 计费 第4节 RADIUS 漫游,移动互联网业务维护技能竞赛办公室编制,16,RADIUS 漫游,代理（Proxy）认证 RADIUS认证消息代理转发过程如下： RADIUS服务器接收到一个Access-Request消息； 第一个服务器（代理RADIUS服务器）转发这个请求消息到第二个服务器（目标RADIUS服务器）； 目标服务器执行请求的认证服务，并返回一个响应给代理服务器； 代理服务器中继发送响应给最初的RADIUS客户端。

移动互联网业务维护技能竞赛办公室编制,17,RADIUS 漫游,代理（Proxy）计费 RADIUS计费消息代理转发过程如下： RADIUS服务器接收到一个Accounting-Request消息； 服务器上代理计费参数的配置将决定对这个请求消息如何动作，动作可以为： a)转发这个计费请求到目标服务器；或 b)在代理服务器本地记录下计费请求中的计费数据；或 c)a和b都做 如果代理服务器没有收到转发的计费请求包的回复，它会按自己的重发策略来周期性的重发这个计费请求移动互联网业务维护技能竞赛办公室编制,18,RADIUS 漫游,漫游（Proxy）域漫游域是指使用一个RADIUS服务器池来作为目标服务器，代理服务器可以转发请求到这个RADIUS服务器池通过配置漫游域，可以实现负载均衡，目标服务器冗余等功能，还可配置使代理服务器把认证和计费请求包发送到不同的服务器移动互联网业务维护技能竞赛办公室编制,19,内容介绍,第1章 RADIUS协议简单介绍 第2章 AAA功能与应用 第3章计费方案与模式 第4章 ANAAA功能与应用 第5章 现网部署情况 第6章 名词解释,移动互联网业务维护技能竞赛办公室编制,20,内容介绍,第2章 AAA功能与应用 第1节 AAA基本概念 第2节 CARD 业务流程 第3节 WAP 业务流程 第4节 VPDN 业务流程 第5节 用户授权,移动互联网业务维护技能竞赛办公室编制,21,AAA基本定义,AAA（Authentication、Authorization、Accouting），即认证、授权与计费服务器 认证（Authentication）指用户在使用网络系统中的资源时对用户身份的确认。

这一过程，通过与用户的交互获得身份信息（诸如用户名、口令组合等），AAA服务器对身份信息与存储在数据库里的用户信息进行核对处理，然后根据处理结果确认用户身份是否正确 授权（Authorization）指网络系统授权用户以特定的方式使用其资源这一过程指定了被认证的用户在接入网络后能够使用的业务和拥有的权限，如授予的IP地址 计费（Accouting）指网络系统收集、记录用户对网络资源的使用情况，以便向用户收取资源使用费用，或者用于性能统计等目的如记录用户数据传送的时间和流量移动互联网业务维护技能竞赛办公室编制,22,内容介绍,第2章 AAA功能与应用 第1节 AAA基本概念 第2节 CARD 业务流程 第3节 WAP 业务流程 第4节 VPDN 业务流程 第5节 用户授权,移动互联网业务维护技能竞赛办公室编制,23,CARD 业务流程,,,,,移动终端,PDSN,FAAA,HAAA,,,,,,,,,,,1,2,3,4,5,6,7,8,9,10,,CDMA 1X分组网用户认证、计费过程： 1、用户向PDSN发送Username/Password 2、PDSN向FAAA发送Access-Request（包含Username/Password，PDSN地址，移动终端号码等）， FAAA检查PDSN地址是否合法，然后检查Username，确定是本地用户还是漫游用户 3、如果是漫游用户，向HAAA转发Access-Request，HAAA在数据库中查找用户的Profile，检查Username和Password是否相符，是否要返回特定的属性等 4、HAAA向FAAA发送认证的结果：Access-Accept（包含要返回的特定属性）或Access-Reject 5、FAAA向PDSN转发认证的结果，Access-Accept或Access-Reject 6、PDSN通知用户认证的结果，是否允许访问网络 7、如果认证通过，PDSN向FAAA发送Accounting-Start，包含3GPP2规定的属性及一些厂商专有属性 8、FAAA向HAAA转发Accounting-Start，可以设置本地是否保存一份计费包副本 9、HAAA向FAAA发送Accounting-Response，确认计费包已经收到* 10、FAAA向PDSN转发计费确认包，认证、计费过程结束 *HAAA保存这些计费原始数据(UDR)，并进行必要的处理，通过AAA-营帐系统接口传送给营帐系统,移动互联网业务维护技能竞赛办公室编制,24,内容介绍,第2章 AAA功能与应用 第1节 AAA基本概念 第2节 CARD 业务流程 第3节 WAP 业务流程 第4节 VPDN 业务流程 第5节 用户授权,移动互联网业务维护技能竞赛办公室编制,25,WAP 业务流程,移动互联网业务维护技能竞赛办公室编制,26,WAP 业务流程,WAP业务流程如下： 用户向PDSN发送Username/Password PDSN向FAAA发送Access-Request（包含Username/Password，PDSN地址，移动终端号码等），FAAA检查PDSN地址是否合法，然后检查Username，确定是本地用户还是漫游用户。

如果是漫游用户，向HAAA转发Access-Request，HAAA在数据库中查找用户的Profile，检查Username和Password是否相符，是否要返回特定的属性等 HAAA向FAAA发送认证的结果：Access-Accept（包含要返回的特定属性）或Access-Reject FAAA向PDSN转发认证的结果，Access-Accept或Access-Reject PDSN通知用户认证的结果，是否允许访问网络 如果认证通过，PDSN向FAAA发送Accounting-Start，包含3GPP2规定的属性及一些厂商专有属性 FAAA向HAAA转发Accounting-Start，可以设置本地是否保存一份计费包副本 FAAA向WAPGW转发Accounting-Start，可以设置本地是否保存一份计费包副本 WAPGW向FAAA发送Accounting-Response，确认计费包已经收到 HAAA向FAAA发送Accounting-Response，确认计费包已经收到 FAAA向PDSN转发计费确认包，认证、计费过程结束HAAA保存这些计费原始数据(UDR)，并进行必要的处理，通过AAA-营帐系统接口传送给营帐系统,移动互联网业务维护技能竞赛办公室编制,27,内容介绍,第2章 AAA功能与应用 第1节 AAA基本概念 第2节 CARD 业务流程 第3节 WAP 业务流程 第4节 VPDN 业务流程 第5节 用户授权,移动互联网业务维护技能竞赛办公室编制,28,VPDN业务流程,,移动互联网业务维护技能竞赛办公室编制,29,VPDN业务流程,VPDN业务流程如下： 终端用户与PDSN进入PPP LCP阶段，同时PDSN与终端用户建立认证方式PAP/CHAP。

首先PDSN根据所设置的优选认证方式CHAP（或者PAP）向终端用户发出协商，如终端支持PDSN的优选认证方式CHAP，则终端使用CHAP认证方式与AAA进行认证如终端不支持PDSN的优选方式CHAP，则使用PDSN的次选方式PAP与AAA进行认证 终端用户使用用户名（XXX@域名）拨号，通过无线接入网设备BSC/PCF与PDSN发出连接请求 终端用户向PDSN发出VPDN认证请求 PDSN向拜访地AAA转发接入请求 拜访地AAA根据用户IMSI转向归属地AAA进行认证，归属地AAA根据用户域名判断该用户是否VPDN用户，是否具有接入权限如用户在归属地进行VPDN拨号由归属地局端AAA认证后进入（8）) 归属地AAA通过用户VPDN认证后，向拜访地AAA返回此VPDN用户的相关信息。