通信工程師互聯(lián)網(wǎng)技術(shù)考試AAA技術(shù)概述

　在線輔導(dǎo)　面授招生　考試大綱　指定教材　報(bào)名時(shí)間

5.3 AAA技術(shù)
5.3.1 AAA技術(shù)概述
伴隨網(wǎng)絡(luò)的誕生，認(rèn)證（Authentication)、授權(quán)（Authorization)以及計(jì)費(fèi)（Accounting)體制（AAA)就成為其運(yùn)背的基礎(chǔ)。網(wǎng)絡(luò)中各類資源的使用，需要由認(rèn)證、授權(quán)和計(jì)費(fèi)進(jìn)行管理。
認(rèn)證：用戶在使用網(wǎng)絡(luò)系統(tǒng)中的資源時(shí)對(duì)用戶身份的確認(rèn)。這一過(guò)程，通過(guò)與用戶交互獲得身份信息（如用戶名一密碼組合、生物特征等)，然后提交給認(rèn)證服務(wù)器：后者將身份信息與存儲(chǔ)在數(shù)據(jù)庫(kù)里的用戶信息進(jìn)行核對(duì)處理，然后根據(jù)處理結(jié)果確認(rèn)用戶身份是否合法。廣義的認(rèn)證可分為身份認(rèn)證和消息認(rèn)證。身份認(rèn)證是對(duì)網(wǎng)絡(luò)實(shí)體（用戶）的身份是否屬實(shí)進(jìn)行判別，主要采用口令、密碼箅法、證書等認(rèn)證協(xié)議，用于網(wǎng)絡(luò)接入和使用網(wǎng)絡(luò)服務(wù)等場(chǎng)合。消息認(rèn)證則是對(duì)接收到的消息來(lái)源和真實(shí)性進(jìn)行認(rèn)證，在各種安全協(xié)議中都要涉及，主要采用數(shù)字簽名、消息摘要等密碼學(xué)方法。另外，認(rèn)證并不是單獨(dú)的過(guò)程，通常還伴隨者安全關(guān)聯(lián)的協(xié)商和密鑰的分配問(wèn)題等。
授權(quán)：確定允許用戶做什么。例如確定用戶登錄以后哪些資源可以被該用戶訪問(wèn)。授權(quán)不僅僅是提供“是”或“否”的答案，它還芾要為用戶配置服務(wù)。舉個(gè)簡(jiǎn)單的例子說(shuō)明授權(quán)和認(rèn)證的區(qū)別，某同學(xué)的上網(wǎng)賬號(hào)沒有余額，他可以通過(guò)網(wǎng)關(guān)的認(rèn)證，是合法用戶，但因沒有得到使用網(wǎng)絡(luò)的授權(quán)而不能上網(wǎng)。
計(jì)費(fèi)：統(tǒng)計(jì)用戶使用了多少資源。例如計(jì)算用戶使用了多少時(shí)間或發(fā)送和接收了多少數(shù)據(jù)，有時(shí)計(jì)費(fèi)還包含審計(jì)的功能。
RFC2903定義了一個(gè)通用的AAA結(jié)構(gòu)，“通用”意味著AAA服務(wù)器不依賴某一具體的認(rèn)證方法。這個(gè)結(jié)構(gòu)由如下兒部分組成。
ASM：應(yīng)用特定模塊。AAA應(yīng)用指網(wǎng)絡(luò)管理實(shí)體借助AAA結(jié)構(gòu)提供的服務(wù)或功能。ASM模塊可以處理復(fù)雜的認(rèn)證授權(quán)請(qǐng)求。它和通用AAA服務(wù)器交互，AAA服務(wù)器知道將請(qǐng)求發(fā)到哪個(gè)ASM并接收認(rèn)證結(jié)果，定義ASM這個(gè)模塊，就可以定義AAA服務(wù)器和任意類型網(wǎng)絡(luò)管理實(shí)體的通用接口，AAA服務(wù)器不用知道這種應(yīng)用的細(xì)節(jié)。ASM的一個(gè)例子就是移動(dòng)IP協(xié)議中的移動(dòng)代理。
SE：服務(wù)設(shè)備。為用戶提供某種服務(wù)，例如Internet接入服務(wù)。
策略、事件倉(cāng)庫(kù)：這個(gè)模塊存儲(chǔ)各個(gè)用戶對(duì)應(yīng)的認(rèn)證授權(quán)策略和事件，通用AAA結(jié)構(gòu)的交互如圖5-5所示，請(qǐng)求可能來(lái)自用戶或者AAA服務(wù)器，箭頭1和箭頭5采用AAA協(xié)議，箭頭2、箭頭3、箭頭4采用其他協(xié)議。

RFC2903是實(shí)驗(yàn)性RFC而非標(biāo)準(zhǔn)，只是為AAA協(xié)議的設(shè)計(jì)提供指導(dǎo)性的結(jié)構(gòu)，具體的協(xié)議則有RADIUS協(xié)議和Diameter協(xié)議。
RADIUS協(xié)議使用非常廣泛，但它并不是基于這個(gè)結(jié)構(gòu)設(shè)計(jì)的<RADIUS服務(wù)器采用C/S模式，沒有詳細(xì)定義對(duì)代理的支持，不適合大規(guī)模用到漫游環(huán)境中，不能很好支持移動(dòng)性。IETF定義的RADIUS并不支持移動(dòng)IP的功能，有關(guān)用戶移動(dòng)性的工作都以RADIUS漫游應(yīng)用的名義幵展，IETF中負(fù)賁這方面工作的小組為ROAMOPSWEB，簡(jiǎn)稱ROAMOPS(RoamingOperations)o這個(gè)小組通過(guò)在外地網(wǎng)絡(luò)接入服務(wù)器（NetworkAccessServer,NAS)與家鄉(xiāng)AAA服務(wù)器之間定義一個(gè)Proxy鏈來(lái)支持用戶漫游。Proxy既可作為客戶端也可作為服務(wù)器，Proxy通過(guò)用戶標(biāo)識(shí)中的服務(wù)域是否是本地域來(lái)判斷用戶是否漫游，并將漫游用戶的請(qǐng)求轉(zhuǎn)發(fā)到家鄉(xiāng)AAA服務(wù)器。
Diameter協(xié)議在設(shè)計(jì)時(shí)，克服了現(xiàn)有AAA技術(shù)的許多不足，并保持了與廣為使用的RADIUS協(xié)議的兼容，而且它被設(shè)計(jì)得非常靈活，容易進(jìn)行新應(yīng)用的擴(kuò)展，以滿足新的需求，所以它不僅被互聯(lián)網(wǎng)采用，更被下一代移動(dòng)通信網(wǎng)采用。
Diameter協(xié)議包括基礎(chǔ)協(xié)議和各種應(yīng)用協(xié)議。Diameter基礎(chǔ)協(xié)議為像網(wǎng)絡(luò)訪問(wèn)和移動(dòng)IP這樣的應(yīng)用提供一個(gè)AAA的框架。它可以用于本地和漫游環(huán)境下的AAA，應(yīng)用協(xié)議則充分利用基礎(chǔ)協(xié)議提供的消息傳送機(jī)制，規(guī)范相關(guān)節(jié)點(diǎn)的功能以及其特有的消息內(nèi)容，來(lái)實(shí)現(xiàn)應(yīng)用業(yè)務(wù)的AAA。

返回目錄： 通信工程師考試移動(dòng)互聯(lián)網(wǎng)安全技術(shù)匯總

編輯特別推薦：

中級(jí)通信專業(yè)實(shí)務(wù) 互聯(lián)網(wǎng)技術(shù)教程匯總

中級(jí)通信專業(yè)實(shí)務(wù)傳輸與接入教程匯總

通信專業(yè)實(shí)務(wù)考試設(shè)備與環(huán)境教程匯總

通信專業(yè)實(shí)務(wù)考試交換技術(shù)教程匯總