通信工程師互聯(lián)網(wǎng)技術(shù)跨域的AAA模型

　在線輔導(dǎo)　面授招生　考試大綱　指定教材　報(bào)名時(shí)間

5.3.2 跨域的AAA模型
在Internet里，屬于一個(gè)管理域（家鄉(xiāng)域）的用戶箝要使用另外一個(gè)矜理域（外地域）提供的資源，這種情況被稱為漫游。外地域中的代理接受用戶的請(qǐng)求，稱該代理為接入點(diǎn)，一般是網(wǎng)絡(luò)接入服務(wù)器（NAS，由AAA客戶瑞和具有接入控制功能的增強(qiáng)點(diǎn)EP構(gòu)成），在允許用戶使用資源之前，代理通常要求用戶提供可以認(rèn)證的一些證書*外地域也許能夠認(rèn)證這些證書，但是，多數(shù)情況下，證書是由家鄉(xiāng)域頒發(fā)的，并且只有家鄉(xiāng)域能夠進(jìn)行認(rèn)證。
圖5-6描述了跨域的AAA服務(wù)器體系結(jié)構(gòu)。當(dāng)用戶位于一個(gè)外地域并且需要使用該域的資源時(shí)，首先需要內(nèi)接入點(diǎn)出示相關(guān)的證書。接入點(diǎn)通常不能獨(dú)立完成相應(yīng)的認(rèn)證工作，因而會(huì)請(qǐng)求外地AAA服務(wù)器（AAAF)來完成該認(rèn)證工作。AAAF本身可能沒有在本地存儲(chǔ)足夠的信息來驗(yàn)證用戶的證書，俏是，AAAF能夠和家鄉(xiāng)AAA服務(wù)器（AAAH)協(xié)同來完成驗(yàn)證工作。AAAF和AAAH如果建立了足夠的安全關(guān)聯(lián)（SA)和存取控制，那么無需其他AAA代理，就能夠互相協(xié)定，對(duì)用戶進(jìn)行認(rèn)證和授權(quán)：否則需要在網(wǎng)絡(luò)中選擇一個(gè)外地域和家鄉(xiāng)域都信任的第三方充當(dāng)兩個(gè)域的AAA代理服務(wù)器（AAABh在許多典型的案例中，授權(quán)只依賴于用戶證書的安全認(rèn)證。一旦從AAAF獲得授權(quán)，并且AAAF己經(jīng)將授權(quán)決定通知了接入點(diǎn)，接入點(diǎn)就可以向用戶提供相應(yīng)的服務(wù)。

返回目錄： 通信工程師考試移動(dòng)互聯(lián)網(wǎng)安全技術(shù)匯總

編輯特別推薦：

中級(jí)通信專業(yè)實(shí)務(wù) 互聯(lián)網(wǎng)技術(shù)教程匯總

中級(jí)通信專業(yè)實(shí)務(wù)傳輸與接入教程匯總

通信專業(yè)實(shí)務(wù)考試設(shè)備與環(huán)境教程匯總

通信專業(yè)實(shí)務(wù)考試交換技術(shù)教程匯總