http://www.paper.edu.cn AAA技术在移动IP中的应用研究 王燕，宋梅，宋俊德 北京邮电大学PCN&CAD中心，北京（100876） E-mail：wwyy821020@163.com 摘要：随着移动IP的广泛应用，为了保证网络的正常运营，必须考虑与之相关的认证、 授权和计费等网络管理与控制问题，也就是需要将AAA技术与移动IP结合起来。本文首先 介绍AAA模型的基本结构及其通用服务器模型，在此基础上提出移动IP对AAA的需求， 以及AAA技术与移动IP结合的一般模型和相应的信令流程。然后分析AAA实现协 议——RADIUS协议的主要内容。最后通过实例分析了在无线局域网WLAN中，AAA与移 动IP相结合的实现过程。 关键词：AAA（认证，授权和计费），AAA服务器，移动IP，RADIUS协议，无线局域网 （WLAN） 1.引言 随着各种移动设备的大量涌现以及通信技术的快速发展，人们需要在任何地方、任何时 间都能接入网络，获得Internet服务。为保证移动设备在不同网络之间漫游时通信的连续性， IETF下属的移动IP工作组在IP协议的基础上提出了移动IP解决方案。移动IP协议使得移 动终端在移动过程中能够连接到任何链路，满足了设备对移动性的要求。随着移动IP技术 的广泛应用，为了保证网络的正常运营，需要相应的认证、授权和计费的管理与之配合，也 就是对AAA技术提出需求，例如当移动终端离开本地域，漫游到外地网络，需要验证其身 份并对其消耗的资源进行计费等。如何将AAA技术应用到移动IP中，研究移动IP对AAA 技术的需求以及两者的结合模型具有重要意义。 2.AAA技术研究 2.1AAA模型的基本结构 所谓AAA技术，是认证、授权和计费三种技术的结合，是任何一个网络正常运营所必 需的部分。AAA结构一般包括AAA服务器和网络接入服务器（NAS）。AAA服务器附加 在网络上，作为存储、发布AAA信息的中心库。NAS是一种网络接入点设备，收集用户侧 的信息，它可以是一台路由器、终端服务器或者是另一台主机。AAA模型的基本结构如图 1所示。 ◆AAA模型处理请求的步骤： 当用户发出接入网络的请求时，网络接入服务器中的AAA客户端程序收集用户信息并 转发给AAA服务器进行认证。AAA服务器处理这些请求数据，若认证成功，则允许用户 接入网络，同时客户端程序向AAA服务器发出计费开始请求，启动计费进程；否则通过 NAS返回接入拒绝消息给用户，不允许用户接入网络。当用户接入结束时，再由客户端程 序向AAA服务器发出终止计费请求，停止计费。 网络接入服务器可以同时处理多个用户请求，而且AAA服务器也可以同时处理多个接 入请求。该结构采用了标准化的认证方法，有很强的灵活性，易于控制、容易实现，不影响 现有的网络结构。而且它只需要使用普通的计算机系统，设备简单，性价比较高。 -1- http://www.paper.edu.cn 图1AAA基本结构模型 2.2通用AAA服务器模型 IETF的AAA工作组提出一种通用AAA服务器模型，能够对用户进行认证，处理授权 请求，收集计费数据。对于服务提供者，AAA服务器与特定应用模块（ASM）建立接口， 用于管理授权需要的资源。通用AAA服务器模型结构如图2：[1] 图2通用AAA服务器模型 通用AAA服务器结构一般包括以下组成部分： ●授权规则评估，用于规范特定应用的信息，向AAA服务器提交符合规范的用户请求； ●ASM，包含特定应用的信息，负责管理、配置资源，用于提供服务； ●授权事件日志，记录发生在AAA服务器中的时间戳事件； ●策略库，包含可用的服务和资源，以及做出授权决定的策略规则； ●转发请求，在多管理域的情况下，AAA服务器之间转发消息的机制（端到端的协议）。 当AAA服务器收到请求时，首先检查请求的内容，确定需要对什么授权。然后与ASM 进行信息交互，对请求的服务进行评估；或者查询授权事件日志或策略库，寻找授权决定需 要的信息。在多域的情况下，多个AAA服务器之间可以转发消息，完成对接入用户的操作。 3.移动IP与AAA技术结合模型及分析 移动IP与AAA服务器结合的模型如图3：[2] -2- http://www.paper.edu.cn 图3移动IP代理和AAA服务器 在现有的移动IP网络中加入AAA，就是在家乡域的家乡代理和本地域的外地代理上分 别连接AAA服务器，使得移动节点在进行注册、发起接入请求时需要增加一些步骤，即通 过AAA服务器进行身份认证、并获得授权，然后由AAA服务器对用户使用的资源和服务 进行计费。 在模型中，相关实体之间有安全关联（SA），用于在传送数据之前，两个实体商定对 数据进行密码