分组域-AAA技术原理与部署资料.ppt

RADIUS 基础 RADIUS 基础 RADIUS数据包格式与结构 RADIUS 认证 RADIUS 认证 RADIUS 计费 RADIUS 计费 RADIUS 漫游 代理（Proxy）认证 RADIUS认证消息代理转发过程如下： RADIUS服务器接收到一个Access-Request消息； 第一个服务器（代理RADIUS服务器）转发这个请求消息到第二个服务器（目标RADIUS服务器）； 目标服务器执行请求的认证服务，并返回一个响应给代理服务器； 代理服务器中继发送响应给最初的RADIUS客户端。 RADIUS 漫游 代理（Proxy）计费 RADIUS计费消息代理转发过程如下： RADIUS服务器接收到一个Accounting-Request消息； 服务器上代理计费参数的配置将决定对这个请求消息如何动作，动作可以为： a)转发这个计费请求到目标服务器；或 b)在代理服务器本地记录下计费请求中的计费数据；或 c)a和b都做。 如果代理服务器没有收到转发的计费请求包的回复，它会按自己的重发策略来周期性的重发这个计费请求。 RADIUS 漫游 漫游（Proxy）域 漫游域是指使用一个RADIUS服务器池来作为目标服务器，代理服务器可以转发请求到这个RADIUS服务器池。 通过配置漫游域，可以实现负载均衡，目标服务器冗余等功能，还可配置使代理服务器把认证和计费请求包发送到不同的服务器。 AAA基本定义 AAA（Authentication、Authorization、Accouting），即认证、授权与计费服务器 认证（Authentication）指用户在使用网络系统中的资源时对用户身份的确认。这一过程，通过与用户的交互获得身份信息（诸如用户名、口令组合等），AAA服务器对身份信息与存储在数据库里的用户信息进行核对处理，然后根据处理结果确认用户身份是否正确。 授权（Authorization）指网络系统授权用户以特定的方式使用其资源。这一过程指定了被认证的用户在接入网络后能够使用的业务和拥有的权限，如授予的IP地址。 计费（Accouting）指网络系统收集、记录用户对网络资源的使用情况，以便向用户收取资源使用费用，或者用于性能统计等目的。如记录用户数据传送的时间和流量。 CARD 业务流程 WAP 业务流程 WAP 业务流程 WAP业务流程如下： 用户向PDSN发送Username/Password PDSN向FAAA发送Access-Request（包含Username/Password，PDSN地址，移动终端号码等），FAAA检查PDSN地址是否合法，然后检查Username，确定是本地用户还是漫游用户。 如果是漫游用户，向HAAA转发Access-Request，HAAA在数据库中查找用户的Profile，检查Username和Password是否相符，是否要返回特定的属性等 HAAA向FAAA发送认证的结果：Access-Accept（包含要返回的特定属性）或Access-Reject。 FAAA向PDSN转发认证的结果，Access-Accept或Access-Reject。 PDSN通知用户认证的结果，是否允许访问网络。 如果认证通过，PDSN向FAAA发送Accounting-Start，包含3GPP2规定的属性及一些厂商专有属性。 FAAA向HAAA转发Accounting-Start，可以设置本地是否保存一份计费包副本。 FAAA向WAPGW转发Accounting-Start，可以设置本地是否保存一份计费包副本。 WAPGW向FAAA发送Accounting-Response，确认计费包已经收到。 HAAA向FAAA发送Accounting-Response，确认计费包已经收到。 FAAA向PDSN转发计费确认包，认证、计费过程结束。 ? *HAAA保存这些计费原始数据(UDR)，并进行必要的处理，通过AAA-营帐系统接口传送给营帐系统 VPDN业务流程 VPDN业务流程 VPDN业务流程如下： 终端用户与PDSN进入PPP LCP阶段，同时PDSN与终端用户建立认证方式PAP/CHAP。首先PDSN根据所设置的优选认证方式CHAP（或者PAP）向终端用户发出协商，如终端支持PDSN的优选认证方式CHAP，则终端使用CHAP认证方式与AAA进行认证。如终端不支持PDSN的优选方式CHAP，则使用PDSN的次选方式PAP与AAA进行认证。 终端用户使用用户名（XXX@域名）拨号，通过无线接入网设备BSC/PCF与PDSN发出连接请求。 终端用户向PDSN发出VPDN认证请求。 PDSN向拜访地AAA转发接入请求。 拜访地AAA根据用户IMSI转向归属地AAA进行认证，归属地AAA