通信工程師互聯(lián)網(wǎng)技術(shù)考試AAA技術(shù)概述

　在線輔導(dǎo)　面授招生　考試大綱　指定教材　報名時間

5.3 AAA技術(shù)
5.3.1 AAA技術(shù)概述
伴隨網(wǎng)絡(luò)的誕生，認(rèn)證（Authentication)、授權(quán)（Authorization)以及計費（Accounting)體制（AAA)就成為其運背的基礎(chǔ)。網(wǎng)絡(luò)中各類資源的使用，需要由認(rèn)證、授權(quán)和計費進行管理。
認(rèn)證：用戶在使用網(wǎng)絡(luò)系統(tǒng)中的資源時對用戶身份的確認(rèn)。這一過程，通過與用戶交互獲得身份信息（如用戶名一密碼組合、生物特征等)，然后提交給認(rèn)證服務(wù)器：后者將身份信息與存儲在數(shù)據(jù)庫里的用戶信息進行核對處理，然后根據(jù)處理結(jié)果確認(rèn)用戶身份是否合法。廣義的認(rèn)證可分為身份認(rèn)證和消息認(rèn)證。身份認(rèn)證是對網(wǎng)絡(luò)實體（用戶）的身份是否屬實進行判別，主要采用口令、密碼箅法、證書等認(rèn)證協(xié)議，用于網(wǎng)絡(luò)接入和使用網(wǎng)絡(luò)服務(wù)等場合。消息認(rèn)證則是對接收到的消息來源和真實性進行認(rèn)證，在各種安全協(xié)議中都要涉及，主要采用數(shù)字簽名、消息摘要等密碼學(xué)方法。另外，認(rèn)證并不是單獨的過程，通常還伴隨者安全關(guān)聯(lián)的協(xié)商和密鑰的分配問題等。
授權(quán)：確定允許用戶做什么。例如確定用戶登錄以后哪些資源可以被該用戶訪問。授權(quán)不僅僅是提供“是”或“否”的答案，它還芾要為用戶配置服務(wù)。舉個簡單的例子說明授權(quán)和認(rèn)證的區(qū)別，某同學(xué)的上網(wǎng)賬號沒有余額，他可以通過網(wǎng)關(guān)的認(rèn)證，是合法用戶，但因沒有得到使用網(wǎng)絡(luò)的授權(quán)而不能上網(wǎng)。
計費：統(tǒng)計用戶使用了多少資源。例如計算用戶使用了多少時間或發(fā)送和接收了多少數(shù)據(jù)，有時計費還包含審計的功能。
RFC2903定義了一個通用的AAA結(jié)構(gòu)，“通用”意味著AAA服務(wù)器不依賴某一具體的認(rèn)證方法。這個結(jié)構(gòu)由如下兒部分組成。
ASM：應(yīng)用特定模塊。AAA應(yīng)用指網(wǎng)絡(luò)管理實體借助AAA結(jié)構(gòu)提供的服務(wù)或功能。ASM模塊可以處理復(fù)雜的認(rèn)證授權(quán)請求。它和通用AAA服務(wù)器交互，AAA服務(wù)器知道將請求發(fā)到哪個ASM并接收認(rèn)證結(jié)果，定義ASM這個模塊，就可以定義AAA服務(wù)器和任意類型網(wǎng)絡(luò)管理實體的通用接口，AAA服務(wù)器不用知道這種應(yīng)用的細(xì)節(jié)。ASM的一個例子就是移動IP協(xié)議中的移動代理。
SE：服務(wù)設(shè)備。為用戶提供某種服務(wù)，例如Internet接入服務(wù)。
策略、事件倉庫：這個模塊存儲各個用戶對應(yīng)的認(rèn)證授權(quán)策略和事件，通用AAA結(jié)構(gòu)的交互如圖5-5所示，請求可能來自用戶或者AAA服務(wù)器，箭頭1和箭頭5采用AAA協(xié)議，箭頭2、箭頭3、箭頭4采用其他協(xié)議。

RFC2903是實驗性RFC而非標(biāo)準(zhǔn)，只是為AAA協(xié)議的設(shè)計提供指導(dǎo)性的結(jié)構(gòu)，具體的協(xié)議則有RADIUS協(xié)議和Diameter協(xié)議。
RADIUS協(xié)議使用非常廣泛，但它并不是基于這個結(jié)構(gòu)設(shè)計的<RADIUS服務(wù)器采用C/S模式，沒有詳細(xì)定義對代理的支持，不適合大規(guī)模用到漫游環(huán)境中，不能很好支持移動性。IETF定義的RADIUS并不支持移動IP的功能，有關(guān)用戶移動性的工作都以RADIUS漫游應(yīng)用的名義幵展，IETF中負(fù)賁這方面工作的小組為ROAMOPSWEB，簡稱ROAMOPS(RoamingOperations)o這個小組通過在外地網(wǎng)絡(luò)接入服務(wù)器（NetworkAccessServer,NAS)與家鄉(xiāng)AAA服務(wù)器之間定義一個Proxy鏈來支持用戶漫游。Proxy既可作為客戶端也可作為服務(wù)器，Proxy通過用戶標(biāo)識中的服務(wù)域是否是本地域來判斷用戶是否漫游，并將漫游用戶的請求轉(zhuǎn)發(fā)到家鄉(xiāng)AAA服務(wù)器。
Diameter協(xié)議在設(shè)計時，克服了現(xiàn)有AAA技術(shù)的許多不足，并保持了與廣為使用的RADIUS協(xié)議的兼容，而且它被設(shè)計得非常靈活，容易進行新應(yīng)用的擴展，以滿足新的需求，所以它不僅被互聯(lián)網(wǎng)采用，更被下一代移動通信網(wǎng)采用。
Diameter協(xié)議包括基礎(chǔ)協(xié)議和各種應(yīng)用協(xié)議。Diameter基礎(chǔ)協(xié)議為像網(wǎng)絡(luò)訪問和移動IP這樣的應(yīng)用提供一個AAA的框架。它可以用于本地和漫游環(huán)境下的AAA，應(yīng)用協(xié)議則充分利用基礎(chǔ)協(xié)議提供的消息傳送機制，規(guī)范相關(guān)節(jié)點的功能以及其特有的消息內(nèi)容，來實現(xiàn)應(yīng)用業(yè)務(wù)的AAA。

返回目錄： 通信工程師考試移動互聯(lián)網(wǎng)安全技術(shù)匯總

編輯特別推薦：

中級通信專業(yè)實務(wù) 互聯(lián)網(wǎng)技術(shù)教程匯總

中級通信專業(yè)實務(wù)傳輸與接入教程匯總

通信專業(yè)實務(wù)考試設(shè)備與環(huán)境教程匯總

通信專業(yè)實務(wù)考試交換技術(shù)教程匯總