移动设备管理(MDM)与OMA(OTA)DM协议向导(三)——AAA服务器

移动设备管理(MDM)与OMA(OTA)DM协议向导(三)——AAA服务器

1.为什么需要AAA
认证（Authentication）、授权（Authorization）、计费（Accounting）简称AAA，是Internet中常见的三项基本功能，是网络运营商对数据、用户进行控制和管理的重要环节，随着数据业务的不断增加移动通信为了加强数据传输过程的安全性也将AAA概念引入到了移动数据传输的框架中。

2.AAA工作组
在因特网工程任务组（IETF）下，设有一个负责制订通用的AAA结构规范和研究制订相应应用协议的工作组，这个工作组的简称就是“AAA”。

3.什么是AAA服务器
AAA服务器是指那些装有能够提供AAA相关服务的应用程序的服务器，通常是在UNIX或Windows服务器上运行的一个监护程序，它能够处理用户对网络资源的访问请求并同时提供验证、授权和计费（即AAA）服务。

4.AAA服务器的主要功能
AAA服务器主要完成以下工作：
验证：验证用户是否可以获得访问权限；
授权：授权用户可以使用哪些服务；
计费：记录用户实际使用网络资源的情况。

5.AAA客户端、AAA服务器、AAA协议
那些需要通过AAA服务器进行认证求的设备统称为AAA客户端，通常是路由器、交换机或无线访问点，即网络接入服务器NAS（Network Access Server），AAA工作组制定了一套专门用于AAA客户端与AAA服务器之间进行数据交互的AAA协议，即RADIUS协议（Remote Access Dial up User Service），中文名：远程访问拨号用户服务，因此AAA客户端和服务器也可以称为RADIUS客户端与RADIUS服务器。

6.什么是RADIUS协议
目前RADIUS（Remote Authentication Dial In User Service）协议是唯一的AAA标准，在IETF的RFC 2865和2866中定义，RADIUS 是基于 UDP 的一种客户机/服务器(C/S)协议。
凡是运行有RADIUS客户端软件的任何硬件都可以成为RADIUS客户端，RADIUS客户端的任务是把用户信息（用户名，口令等）传递给指定的RADIUS服务器，并负责执行返回的响应。RADIUS服务器负责接收用户的连接请求，对用户身份进行认证，并为客户端返回为用户提供服务所必须的配置信息。
一个RADIUS服务器可以为其他的RADIUS Server或其他种类认证服务器担当代理。
　 RADIUS是目前最常用的认证计费协议之一，它简单安全，易于管理，扩展性好，所以得到广泛应用。但是由于协议本身的缺陷，比如基于UDP的传输、简单的丢包机制、没有关于重传的规定和集中式计费服务，都使得它不太适应当前网络的发展，需要进一步改进。

7.下一代AAA协议——Diameter协议
为了解决RADIUS协议存在的问题，IETF的AAA工作组将Diameter协议作为下一代的AAA协议标准。Diameter意为直径，是RADIUS协议的升级版本，Raduis英文原意为半径。有一个值得考虑的问题几乎所有协议都是从简单到复杂不断发展的这不仅仅是简单的功能增加，也体现了带宽的不断提高，硬件的进步推动了软件的发展，所以我们在考虑使用何种软件技术时必须首先弄清硬件环境。

8.AAA服务器与数字证书
我们可以把数字证书简单的理解为包含有客户端身份信息的一组Base64编码，比如我们使用HTTP的Base和Digest摘要认证时就是将Http客户端的用户名和密码（digest认证包含nonce值）进行Base64编码（Digest摘要认证还要做MD5加密）后传输到服务器的，其实这个Base64编码就是一张证书，只不过这不是一张规范的数字证书。
AAA实体间的相互认证是建立在基于数字证书认证机制基础上的。因此AAA服务器可以作为可信任的第三方，而成为证书管理中心，负责签发证书、认证证书、管理已颁发证书。因此AAA客户端可以通过
AAA服务器获取用于认证的数字证书。

9.RADIUS协议数据传输框架
用户开机或者请求某种业务时，向AAA服务器发送认证请求。AAA服务器收到请求后，向用户发送证书请求，要求用户出示数字证书。然后用户将自己的数字证书发送给AAA服务器。当认证完成后，AAA服务器向SMS（Subscriber Management System，用户管理系统）发送用户通过认证，并请求该用户的业务信息。SMS收到请求后，查找该用户的业务信息，并发送给AAA服务器。AAA服务器据此对该用户授权、计费.传输过程如图所示。

AAA服务器收到证书后，有三件事情需要证明：
(1)该数字证书是规定的数字证书服务器所颁发；
(2)该数字证书未被篡改过(数字签名)；
(3)该证书确实为出示证书者所有。

10.AAA服务器与3G
目前,3G网络正逐步向全IP网络演进，不仅在核心网络使用支持IP的网络实体，在接入网络也使用基于IP技术，而且移动终端也成为可激活的IP客户端。当终端要接入到网络，并使用运营商提供的各项业务时，就需要严格的AAA过程。AAA服务器要对移动终端进行认证，授权允许用户使用的业务，并收集用户使用资源的情况，以产生计费信息。AAA服务器在WCDMA（UMTS）中是可选的，在CDMA2000中是必要的组成部分，对于CDMA2000来说AAA将发展成为整个网络无线用户管理、无线资源管理以及各种业务开展的中心。

11.AAA服务器与WiMAX
AAA服务器是WiMAX网络的必要组成部分，WiMAX移动组网包含两种模式，一种模式是使用单纯的宽带城域网，这时使用WiMAX网络中的AAA服务器；另一种模式是与3G移动蜂窝网共同组网的模式，在采用这种模式时，WiMAX网络存在两种不同的AAA服务器使用方式：
1.在两个网络间外挂一个附加的网络，AAA在附加网络中实现，完成鉴权和计费的功能;
2.WiMAX作为3G移动蜂窝网络互补网络，其认证和计费需要用移动蜂窝网络的AAA服务器。

12.如何在Windows中模拟AAA服务器 需要英文版Windows2000或Windows2003，在里面安装Cisco ACS即可，ACS是Cisco的AAA认证软件。