在線輔導　面授招生　考試大綱　指定教材　報名時間

5.3 AAA技術
5.3.1 AAA技術概述
伴隨網絡的誕生，認證（Authentication)、授權（Authorization)以及計費（Accounting)體制（AAA)就成為其運背的基礎。網絡中各類資源的使用，需要由認證、授權和計費進行管理。
認證：用戶在使用網絡系統中的資源時對用戶身份的確認。這一過程，通過與用戶交互獲得身份信息（如用戶名一密碼組合、生物特征等)，然后提交給認證服務器：后者將身份信息與存儲在數據庫里的用戶信息進行核對處理，然后根據處理結果確認用戶身份是否合法。廣義的認證可分為身份認證和消息認證。身份認證是對網絡實體（用戶）的身份是否屬實進行判別，主要采用口令、密碼箅法、證書等認證協議，用于網絡接入和使用網絡服務等場合。消息認證則是對接收到的消息來源和真實性進行認證，在各種安全協議中都要涉及，主要采用數字簽名、消息摘要等密碼學方法。另外，認證并不是單獨的過程，通常還伴隨者安全關聯的協商和密鑰的分配問題等。
授權：確定允許用戶做什么。例如確定用戶登錄以后哪些資源可以被該用戶訪問。授權不僅僅是提供“是”或“否”的答案，它還芾要為用戶配置服務。舉個簡單的例子說明授權和認證的區別，某同學的上網賬號沒有余額，他可以通過網關的認證，是合法用戶，但因沒有得到使用網絡的授權而不能上網。
計費：統計用戶使用了多少資源。例如計算用戶使用了多少時間或發送和接收了多少數據，有時計費還包含審計的功能。
RFC2903定義了一個通用的AAA結構，“通用”意味著AAA服務器不依賴某一具體的認證方法。這個結構由如下兒部分組成。
ASM：應用特定模塊。AAA應用指網絡管理實體借助AAA結構提供的服務或功能。ASM模塊可以處理復雜的認證授權請求。它和通用AAA服務器交互，AAA服務器知道將請求發到哪個ASM并接收認證結果，定義ASM這個模塊，就可以定義AAA服務器和任意類型網絡管理實體的通用接口，AAA服務器不用知道這種應用的細節。ASM的一個例子就是移動IP協議中的移動代理。
SE：服務設備。為用戶提供某種服務，例如Internet接入服務。
策略、事件倉庫：這個模塊存儲各個用戶對應的認證授權策略和事件，通用AAA結構的交互如圖5-5所示，請求可能來自用戶或者AAA服務器，箭頭1和箭頭5采用AAA協議，箭頭2、箭頭3、箭頭4采用其他協議。

RFC2903是實驗性RFC而非標準，只是為AAA協議的設計提供指導性的結構，具體的協議則有RADIUS協議和Diameter協議。
RADIUS協議使用非常廣泛，但它并不是基于這個結構設計的<RADIUS服務器采用C/S模式，沒有詳細定義對代理的支持，不適合大規模用到漫游環境中，不能很好支持移動性。IETF定義的RADIUS并不支持移動IP的功能，有關用戶移動性的工作都以RADIUS漫游應用的名義幵展，IETF中負賁這方面工作的小組為ROAMOPSWEB，簡稱ROAMOPS(RoamingOperations)o這個小組通過在外地網絡接入服務器（NetworkAccessServer,NAS)與家鄉AAA服務器之間定義一個Proxy鏈來支持用戶漫游。Proxy既可作為客戶端也可作為服務器，Proxy通過用戶標識中的服務域是否是本地域來判斷用戶是否漫游，并將漫游用戶的請求轉發到家鄉AAA服務器。
Diameter協議在設計時，克服了現有AAA技術的許多不足，并保持了與廣為使用的RADIUS協議的兼容，而且它被設計得非常靈活，容易進行新應用的擴展，以滿足新的需求，所以它不僅被互聯網采用，更被下一代移動通信網采用。
Diameter協議包括基礎協議和各種應用協議。Diameter基礎協議為像網絡訪問和移動IP這樣的應用提供一個AAA的框架。它可以用于本地和漫游環境下的AAA，應用協議則充分利用基礎協議提供的消息傳送機制，規范相關節點的功能以及其特有的消息內容，來實現應用業務的AAA。

返回目錄： 通信工程師考試移動互聯網安全技術匯總

編輯特別推薦：

中級通信專業實務 互聯網技術教程匯總

中級通信專業實務傳輸與接入教程匯總

通信專業實務考試設備與環境教程匯總

通信專業實務考試交換技術教程匯總