1 AAA簡介
網路中各類資源的使用,需要由認證、授權和計費進行管理。而AAA的發展與變遷自始至終都吸引著營運商的目光。對於一個商業系統來說,鑑別是至關重要的,只有確認了用戶的身份,才能知道所提供的服務應該向誰收費,同時也能防止非法用戶(黑客)對網路進行破壞。在確認用戶身份後,根據用戶開戶時所申請的服務類別,系統可以授予客戶相應的許可權。最後,在用戶使用系統資源時,需要有相應的設備來統計用戶所對資源的占用情況,據此向客戶收取相應的費用。其中,鑑別(Authentication)指用戶在使用網路系統中的資源時對用戶身份的確認。這一過程,通過與用戶的互動獲得身份信息(諸如用戶名—口令組合、生物特徵獲得等),然後提交給認證伺服器;後者對身份信息與存儲在資料庫里的用戶信息進行核對處理,然後根據處理結果確認用戶身份是否正確。例如,GSM移動通信系統能夠識別其網路區域網路絡終端設備的標誌和用戶標誌。授權(Authorization)網路系統授權用戶以特定的方式使用其資源,這一過程指定了被認證的用戶在接入網路後能夠使用的業務和擁有的許可權,如授予的IP位址等。仍以GSM移動通信系統為例,認證通過的合法用戶,其業務許可權(是否開通國際電話主叫業務等)則是用戶和運營商在事前已經協定確立的。計費(Accounting)網路系統收集、記錄用戶對網路資源的使用,以便向用戶收取資源使用費用,或者用於審計等目的。以網際網路接入業務供應商ISP為例,用戶的網路接入使用情況可以按流量或者時間被準確記錄下來。
認證、授權和計費一起實現了網路系統對特定用戶的網路資源使用情況的準確記錄。這樣既在一定程度上有效地保障了合法用戶的權益,又能有效地保障網路系統安全可靠地運行。考慮到不同網路融合以及網際網路本身的發展,迫切需要新一代的基於IP的AAA技術。因此出現了Diameter協定。
2 AAA在移動通信系統中的套用
在移動通信系統中,用戶要訪問網路資源,首先要進行用戶的入網認證,這樣用戶才能訪問網路資源。鑑別的過程就是驗證用戶身份的合法性;鑑別完成後,才能對用戶訪問網路資源進行授權,並對用戶訪問網路資源進行計費管理。一般來講,鑑別過程由三個實體來完成的。用戶(Client)、認證器(Authenticator)、AAA伺服器(Authentication 、Authorization和Accounting Server)。在第三代移動通信系統的早期版本中,用戶也稱為MN(移動節點),Authenticator在NAS(Network Access server)中實現,它們之間採用PPP協定,認證器和AAA伺服器之間採用AAA協定(以前的方式採用遠程訪問撥號用戶服務RADIUS(Remote Access Dial up User Service);Raduis英文原意為半徑,原先的目的是為撥號用戶進行鑑別和計費。後來經過多次改進,形成了一項通用的鑑別計費協定)。RADIUS是一種C/S結構的協定,它的客戶端最初就是NAS(Net Access Server)伺服器,現在任何運行RADIUS客戶端軟體的計算機都可以成為RADIUS的客戶端。RADIUS協定認證機制靈活,可以採用PAP、CHAP或者Unix登錄認證等多種方式。RADIUS是一種可擴展的協定,它進行的全部工作都是基於Attribute-Length-Value的向量進行的。RADIUS的基本工作原理是:用戶接入NAS,NAS向RADIUS伺服器使用Access-Require數據包提交用戶信息,包括用戶名、密碼等相關信息,其中用戶密碼是經過MD5加密的,雙方使用共享密鑰,這個密鑰不經過網路傳播;RADIUS伺服器對用戶名和密碼的合法性進行檢驗,必要時可以提出一個Challenge,要求進一步對用戶認證,也可以對NAS進行類似的認證;如果合法,給NAS返回Access-Accept數據包,允許用戶進行下一步工作,否則返回Access-Reject數據包,拒絕用戶訪問;如果允許訪問,NAS向RADIUS伺服器提出計費請求Account-Require,RADIUS伺服器回響Account-Accept,對用戶的計費開始,同時用戶可以進行自己的相關操作。
RADIUS是目前最常用的認證計費協定之一,它簡單安全,易於管理,擴展性好,所以得到廣泛套用。但是由於協定本身的缺陷,比如基於UDP的傳輸、簡單的丟包機制、沒有關於重傳的規定和集中式計費服務,都使得它不太適應當前網路的發展,需要進一步改進。
隨著新的接入技術的引入(如無線接入、DSL、移動IP和乙太網)和接入網路的快速擴容,越來越複雜的路由器和接入伺服器大量投入使用,對AAA協定提出了新的要求,使得傳統的RADIUS結構的缺點日益明顯。目前,3G網路正逐步向全IP網路演進,不僅在核心網路使用支持IP的網路實體,在接入網路也使用基於IP的技術,而且移動終端也成為可激活的IP客戶端。如在WCDMA當前規劃的R6版本就新增以下特性:UTRAN和CN傳輸增強;無線接口增強;多媒體廣播和多播(MBMS);數字許可權管理(DRM);WLAN-UMTS互通;優先業務;通用用戶信息(GUP);網路共享;不同網路間的互通等。在這樣的網路中,移動IP將被廣泛使用。支持移動IP的終端可以在註冊的家鄉網路中移動,或漫遊到其他運營商的網路。當終端要接入到網路,並使用運營商提供的各項業務時,就需要嚴格的AAA過程。AAA伺服器要對移動終端進行認證,授權允許用戶使用的業務,並收集用戶使用資源的情況,以產生計費信息。這就需要採用新一代的AAA協定——Diameter。此外,在IEEE的無線區域網路協定802.16e的建議草案中,網路參考模型里也包含了鑑別和授權伺服器ASA Server,以支持移動台在不同基站之間的切換。可見,在未來移動通信系統中,AAA伺服器占據了很重要的位置。
經過討論,IETF的AAA工作組同意將Diameter協定作為下一代的AAA協定標準。Diameter(為直徑,意為著Diameter協定是RADIUS協定的升級版本)協定包括基本協定,NAS(網路接入服務)協定,EAP(可擴展鑑別)協定,MIP(移動IP)協定,CMS(密碼訊息語法)協定等。Diameter協定支持移動IP、NAS請求和移動代理的認證、授權和計費工作,協定的實現和RADIUS類似,也是採用AVP,屬性值對(採用Attribute-Length-Value三元組形式)來實現,但是其中詳細規定了錯誤處理, failover機制,採用TCP協定,支持分散式計費,克服了RADIUS的許多缺點,是最適合未來移動通信系統的AAA協定。
3 新一代的AAA協定——Diameter
Diameter套用協定族和其他網路協定的關係:
(1) Diameter的基礎協定(Base protocol)
Diameter基本協定為移動IP(Mobile IP)、網路接入服務(NAS)等套用提供最基本的服務,例如用戶會話、計費等,具有能力協商、差錯通知等功能。協定元素由眾多命令和AVP(屬性值對)構成,可以在客戶機、代理、伺服器之間傳遞鑑別、授權和計費信息。但是不管客戶機、代理還是伺服器,都可以主動發出會話請求,對方給予應答,所以也叫對等實體之間的協定。命令代碼、AVP值和種類都可以按套用需要和規則進行擴展。
(2)Diameter的NAS協定
Diameter的NAS協定既是Network Access Service(網路接入服務)協定。由NAS客戶機處理用戶MN的接入請求(RegReq),將收到的客戶認證信息轉送給NAS伺服器;伺服器對客戶進行鑑別,將結果(Success/Fail)發給客戶機;客戶機通過RegReply將結果發回給MN,並根據結果對MN進行相應處理。
NAS作為網路接入伺服器,在其用戶連線埠接收到呼叫或服務請求時便開始與AAA伺服器之間進行訊息交換,有關呼叫的信息、用戶身份和用戶鑑別信息被打包成一種AAA訊息發給AAA伺服器。實際上,移動IP中的FA可以看成是通過空中的MPPP鏈路接收移動終端MN的服務連線請求的NAS伺服器,它作為AAA伺服器的客戶機,在兩者之間交換NAS訊息請求和應答。
(3)Diameter的EAP協定
Diameter EAP (Extensible Authentication Protocol ——可擴展鑑別協定)協定提供了一個支持各種鑑別方法的標準機制。EAP其實是一種框架,一種幀格式,可以容納各種鑑別信息。EAP所提供的多回合鑑別是PAP和CHAP所不具備的。
EAP協定描述用戶、NAS(AAA客戶機)和AAA伺服器之間有關EAP鑑別訊息的請求和應答的關係,完成一次對鑑別請求的應答,中間可能需要多次訊息交換過程。在移動終端MN移動的環境下,MN與FA之間的鑑別擴展採用EAP,即把FA看做是一個NAS,它作為Diameter AAA的客戶機,Diameter AAA伺服器作為EAP的後端伺服器,兩者之間載送EAP分組。端到端的EAP鑑別發生在用戶和它的H-AAA之間。
(4)Diameter的CMS協定
Diameter CMS(Cryptographic Message Syntax ——密碼訊息語法)協定實現了協定數據的Peer-to-Peer(端到端)加密。由於Diameter網路中存在不可信的Relay(中繼)和Proxy(代理),而IPSec和TLS又只能實現跳到跳的安全,所以IETF定義了Diameter CMS套用協定來保證數據安全。
(5)Diameter的MIP協定由於未來移動通信網路正逐步向全IP網路演進,這就不可避免碰到用戶移動到外部域的問題。 Diameter MIP套用協定允許用戶漫遊到外部域,並在經過鑒權後接受外部域Server(伺服器)和Agent(代理)提供的服務。在未來移動通信中,這種情況將十分常見,因此MIP協定對於移動通信系統來說至關重要. 當用戶移動到外部域的時候,需要進行一系列的訊息交換才能安全地接入外部網路,接受其提供的服務。MIP協定的實現環境中MN和HA都可以在家鄉域或在外地域,其中比較典型的一種情況是MN在外地域而HA在家鄉域。其接入過程如下節所示。
(6)採用Diameter MIP的一次典型的MN註冊過程如圖2所示(僅給出MN在外地域而HA在家鄉域的情況):
i. 開機註冊前,MN只有NAI以及和AAAH的安全關聯的信息,沒有home address。
ii. 開機後,MN向FA發出註冊請求,其中包含的home address=0.0.0.0 ,home agent address=255.255.255.255
iii. FA接到註冊請求後,根據其中的信息生成AMR發給AAAF,其中MIP-Feature-Vector AVP中Set Home-Agent-Request=1,Home-Address- Allocatable-Only-in-Home-Realm=1
iv. AAAF接到AMR後轉發給AAAH。
v. AAAH收到AMR後,為MN分配HA,分配MN-HA、MN-FA之間的密鑰材料,和FA-HA之間的密鑰,向HA發出HAR,其中MIP-Reg-Request AVP包含Mobile IP 註冊請求信息。
vi. HA接到HAR,分配home address給MN,處理MIP-Reg-Request AVP,生成MIP-Reg-Reply AVP,包含在HAA中返回AAAH。
vii. AAAH收到HAA後生成AMA,包含MIP-Home-Agent-Address, MIP-Mobile-Node-Address AVPs,發給AAAF。
viii. AAAF將AMA轉發給FA。
ix. FA接到AMA後保留FA-HA密鑰,將FA-MN、HA-MN之間的密鑰材料通過註冊應答Registration-Reply傳送給MN。
其中涉及到的名詞有:
·HA : Home Agent , 家鄉代理
·FA :Foreign Agent , 外部代理
·MN : Mobile Node , 移動節點
·AAAH : AAA Home server , AAA家鄉域伺服器
·AAAF:AAA Foreign server , AAA外地域伺服器
·AMR :AAA-Mobile-Node- Request ,AAA移動節點請求訊息
·AMA : AAA-Mobile-Node- Answer ,AAA移動節點答覆訊息
·HAR : Home-Agent-MIP-Request , 家鄉代理MIP請求訊息
·HAA : Home-Agent-MIP-Answer , 家鄉代理MIP答覆訊息
HA和MN在外地域或家鄉域的其他組合的情況與此類似,再此就不一一列舉。
