1、概述

AAA指的是Authentication（鑒別），Authorization（授權(quán)），Accounting（計(jì)費(fèi)）。自網(wǎng)絡(luò)誕生以來，認(rèn)證、授權(quán)以及計(jì)費(fèi)體制（AAA）就成為其運(yùn)營的基礎(chǔ)。網(wǎng)絡(luò)中各類資源的使用，需要由認(rèn)證、授權(quán)和計(jì)費(fèi)進(jìn)行管理。而AAA的發(fā)展與變遷自始至終都吸引著營運(yùn)商的目光。對(duì)于一個(gè)商業(yè)系統(tǒng)來說，鑒別是至關(guān)重要的，只有確認(rèn)了用戶的身份，才能知道所提供的服務(wù)應(yīng)該向誰收費(fèi)，同時(shí)也能防止非法用戶（黑客）對(duì)網(wǎng)絡(luò)進(jìn)行破壞。在確認(rèn)用戶身份后，根據(jù)用戶開戶時(shí)所申請(qǐng)的服務(wù)類別，系統(tǒng)可以授予客戶相應(yīng)的權(quán)限。最后，在用戶使用系統(tǒng)資源時(shí)，需要有相應(yīng)的設(shè)備來統(tǒng)計(jì)用戶所對(duì)資源的占用情況，據(jù)此向客戶收取相應(yīng)的費(fèi)用。

其中，鑒別（Authentication）指用戶在使用網(wǎng)絡(luò)系統(tǒng)中的資源時(shí)對(duì)用戶身份的確認(rèn)。這一過程，通過與用戶的交互獲得身份信息（諸如用戶名—口令組合、生物特征獲得等），然后提交給認(rèn)證服務(wù)器；后者對(duì)身份信息與存儲(chǔ)在數(shù)據(jù)庫里的用戶信息進(jìn)行核對(duì)處理，然后根據(jù)處理結(jié)果確認(rèn)用戶身份是否正確。例如，GSM移動(dòng)通信系統(tǒng)能夠識(shí)別其網(wǎng)絡(luò)內(nèi)網(wǎng)絡(luò)終端設(shè)備的標(biāo)志和用戶標(biāo)志。授權(quán)（Authorization）網(wǎng)絡(luò)系統(tǒng)授權(quán)用戶以特定的方式使用其資源，這一過程指定了被認(rèn)證的用戶在接入網(wǎng)絡(luò)后能夠使用的業(yè)務(wù)和擁有的權(quán)限，如授予的IP地址等。仍以GSM移動(dòng)通信系統(tǒng)為例，認(rèn)證通過的合法用戶，其業(yè)務(wù)權(quán)限（是否開通國際電話主叫業(yè)務(wù)等）則是用戶和運(yùn)營商在事前已經(jīng)協(xié)議確立的。計(jì)費(fèi)（Accounting）網(wǎng)絡(luò)系統(tǒng)收集、記錄用戶對(duì)網(wǎng)絡(luò)資源的使用，以便向用戶收取資源使用費(fèi)用，或者用于審計(jì)等目的。以互聯(lián)網(wǎng)接入業(yè)務(wù)供應(yīng)商ISP為例，用戶的網(wǎng)絡(luò)接入使用情況可以按流量或者時(shí)間被準(zhǔn)確記錄下來。

認(rèn)證、授權(quán)和計(jì)費(fèi)一起實(shí)現(xiàn)了網(wǎng)絡(luò)系統(tǒng)對(duì)特定用戶的網(wǎng)絡(luò)資源使用情況的準(zhǔn)確記錄。這樣既在一定程度上有效地保障了合法用戶的權(quán)益，又能有效地保障網(wǎng)絡(luò)系統(tǒng)安全可靠地運(yùn)行。考慮到不同網(wǎng)絡(luò)融合以及互聯(lián)網(wǎng)本身的發(fā)展，迫切需要新一代的基于IP的AAA技術(shù)。因此出現(xiàn)了Diameter協(xié)議。

2、AAA在移動(dòng)通信系統(tǒng)中的應(yīng)用

在移動(dòng)通信系統(tǒng)中，用戶要訪問網(wǎng)絡(luò)資源，首先要進(jìn)行用戶的入網(wǎng)認(rèn)證，這樣用戶才能訪問網(wǎng)絡(luò)資源。鑒別的過程就是驗(yàn)證用戶身份的合法性；鑒別完成后，才能對(duì)用戶訪問網(wǎng)絡(luò)資源進(jìn)行授權(quán)，并對(duì)用戶訪問網(wǎng)絡(luò)資源進(jìn)行計(jì)費(fèi)管理。一般來講，鑒別過程由三個(gè)實(shí)體來完成的。用戶（Client）、認(rèn)證器（Authenticator）、AAA服務(wù)器（Authentication 、Authorization和Accounting Server）。在第三代移動(dòng)通信系統(tǒng)的早期版本中，用戶也稱為MN（移動(dòng)節(jié)點(diǎn)），Authenticator在NAS（Network Access Server）中實(shí)現(xiàn)，它們之間采用PPP協(xié)議，認(rèn)證器和AAA服務(wù)器之間采用AAA協(xié)議（以前的方式采用遠(yuǎn)程訪問撥號(hào)用戶服務(wù)RADIUS（Remote Access Dial up User Service）；Raduis英文原意為半徑，原先的目的是為撥號(hào)用戶進(jìn)行鑒別和計(jì)費(fèi)。后來經(jīng)過多次改進(jìn)，形成了一項(xiàng)通用的鑒別計(jì)費(fèi)協(xié)議）。

RADIUS是一種C/S結(jié)構(gòu)的協(xié)議，它的客戶端最初就是NAS（Net Access Server）服務(wù)器，現(xiàn)在任何運(yùn)行RADIUS客戶端軟件的計(jì)算機(jī)都可以成為RADIUS的客戶端。RADIUS協(xié)議認(rèn)證機(jī)制靈活，可以采用PAP、CHAP或者Unix登錄認(rèn)證等多種方式。RADIUS是一種可擴(kuò)展的協(xié)議，它進(jìn)行的全部工作都是基于Attribute-Length-Value的向量進(jìn)行的。RADIUS的基本工作原理是:用戶接入NAS，NAS向RADIUS服務(wù)器使用Access-Require數(shù)據(jù)包提交用戶信息，包括用戶名、密碼等相關(guān)信息，其中用戶密碼是經(jīng)過MD5加密的，雙方使用共享密鑰，這個(gè)密鑰不經(jīng)過網(wǎng)絡(luò)傳播；RADIUS服務(wù)器對(duì)用戶名和密碼的合法性進(jìn)行檢驗(yàn)，必要時(shí)可以提出一個(gè)Challenge，要求進(jìn)一步對(duì)用戶認(rèn)證，也可以對(duì)NAS進(jìn)行類似的認(rèn)證；如果合法，給NAS返回Access-Accept數(shù)據(jù)包，允許用戶進(jìn)行下一步工作，否則返回Access-Reject數(shù)據(jù)包，拒絕用戶訪問；如果允許訪問，NAS向RADIUS服務(wù)器提出計(jì)費(fèi)請(qǐng)求Account-Require，RADIUS服務(wù)器響應(yīng)Account-Accept，對(duì)用戶的計(jì)費(fèi)開始，同時(shí)用戶可以進(jìn)行自己的相關(guān)操作。

RADIUS是目前最常用的認(rèn)證計(jì)費(fèi)協(xié)議之一，它簡單安全，易于管理，擴(kuò)展性好，所以得到廣泛應(yīng)用。但是由于協(xié)議本身的缺陷，比如基于UDP的傳輸、簡單的丟包機(jī)制、沒有關(guān)于重傳的規(guī)定和集中式計(jì)費(fèi)服務(wù)，都使得它不太適應(yīng)當(dāng)前網(wǎng)絡(luò)的發(fā)展，需要進(jìn)一步改進(jìn)。

隨著新的接入技術(shù)的引入（如無線接入、DSL、移動(dòng)IP和以太網(wǎng)）和接入網(wǎng)絡(luò)的快速擴(kuò)容，越來越復(fù)雜的路由器和接入服務(wù)器大量投入使用，對(duì)AAA協(xié)議提出了新的要求，使得傳統(tǒng)的RADIUS結(jié)構(gòu)的缺點(diǎn)日益明顯。目前,3G網(wǎng)絡(luò)正逐步向全IP網(wǎng)絡(luò)演進(jìn)，不僅在核心網(wǎng)絡(luò)使用支持IP的網(wǎng)絡(luò)實(shí)體，在接入網(wǎng)絡(luò)也使用基于IP的技術(shù)，而且移動(dòng)終端也成為可激活的IP客戶端。如在WCDMA當(dāng)前規(guī)劃的R6版本就新增以下特性：UTRAN和CN傳輸增強(qiáng)；無線接口增強(qiáng)；多媒體廣播和多播（MBMS）；數(shù)字權(quán)限管理（DRM）；WLAN-UMTS互通；優(yōu)先業(yè)務(wù)；通用用戶信息（GUP）；網(wǎng)絡(luò)共享；不同網(wǎng)絡(luò)間的互通等。在這樣的網(wǎng)絡(luò)中，移動(dòng)IP將被廣泛使用。支持移動(dòng)IP的終端可以在注冊(cè)的家鄉(xiāng)網(wǎng)絡(luò)中移動(dòng)，或漫游到其他運(yùn)營商的網(wǎng)絡(luò)。當(dāng)終端要接入到網(wǎng)絡(luò)，并使用運(yùn)營商提供的各項(xiàng)業(yè)務(wù)時(shí)，就需要嚴(yán)格的AAA過程。AAA服務(wù)器要對(duì)移動(dòng)終端進(jìn)行認(rèn)證，授權(quán)允許用戶使用的業(yè)務(wù)，并收集用戶使用資源的情況，以產(chǎn)生計(jì)費(fèi)信息。這就需要采用新一代的AAA協(xié)議——Diameter。此外，在IEEE的無線局域網(wǎng)協(xié)議802.16e的建議草案中，網(wǎng)絡(luò)參考模型里也包含了鑒別和授權(quán)服務(wù)器ASA Server，以支持移動(dòng)臺(tái)在不同基站之間的切換。可見，在未來移動(dòng)通信系統(tǒng)中，AAA服務(wù)器占據(jù)了很重要的位置。 

經(jīng)過討論，IETF的AAA工作組同意將Diameter協(xié)議作為下一代的AAA協(xié)議標(biāo)準(zhǔn)。Diameter（為直徑，意為著Diameter協(xié)議是RADIUS協(xié)議的升級(jí)版本）協(xié)議包括基本協(xié)議，NAS（網(wǎng)絡(luò)接入服務(wù)）協(xié)議，EAP（可擴(kuò)展鑒別）協(xié)議，MIP（移動(dòng)IP）協(xié)議，CMS（密碼消息語法）協(xié)議等。Diameter協(xié)議支持移動(dòng)IP、NAS請(qǐng)求和移動(dòng)代理的認(rèn)證、授權(quán)和計(jì)費(fèi)工作，協(xié)議的實(shí)現(xiàn)和RADIUS類似，也是采用AVP，屬性值對(duì)（采用Attribute-Length-Value三元組形式）來實(shí)現(xiàn)，但是其中詳細(xì)規(guī)定了錯(cuò)誤處理, failover機(jī)制,采用TCP協(xié)議，支持分布式計(jì)費(fèi)，克服了RADIUS的許多缺點(diǎn)，是最適合未來移動(dòng)通信系統(tǒng)的AAA協(xié)議。