?

一 AAA服務器概述：

　　隨著物聯(lián)網(wǎng)的興起，2G/3G無線接入技術在金融、保險、稅務、彩票、交通、環(huán)保、地震、電力、安防等重要行業(yè)的應用越來越廣泛，無線接入系統(tǒng)的安全性也是不容忽視的重要課題，針對此需要，我公司研發(fā)推出了針對無線接入系統(tǒng)的安全AAA認證服務器HT-3000，HT-3000可以確保只有身份合法的用戶名、合法的用戶密碼、全球唯一的IMSI號、指定的IP地址、指定的ID編號各項都正確，才可以接入客戶無線系統(tǒng)。HT-3000服務器杜絕了系統(tǒng)被非法入侵的可能，為無線接入系統(tǒng)的安全保駕護航。

????

圖1 無線接入的典型案例

　　在移動通信系統(tǒng)中，用戶要訪問網(wǎng)絡資源，首先要進行用戶的入網(wǎng)認證，這樣用戶才能保護網(wǎng)絡資源。鑒別的過程就是驗證用戶身份的合法性；鑒別完成后，才能對用戶訪問網(wǎng)絡資源進行授權，并對用戶訪問網(wǎng)絡資源進行計費管理。一般來講，鑒別過程由三個實體來完成的。用戶（Client）、認證器（Authenticator）、AAA服務器（Authentication、Authorization和Accounting Server）。在第三代移動通信系統(tǒng)的早期版本中，用戶也稱為MN（移動節(jié)點），Authenticator在NAS（Network Access Server）中實現(xiàn)，它們之間采用PPP協(xié)議，認證器和AAA服務器之間采用AAA協(xié)議（以前的方式采用遠程訪問撥號用戶服務RADIUS（RemoteAccess Dial up User Service）；Raduis（遠程訪問撥號接入用戶服務）英文原意為半徑，原先的目的是為撥號用戶進行鑒別和計費。后來經(jīng)過多次改進，形成了一項通用的鑒別計費協(xié)議）。

AAA

　　AAA是驗證、授權和記賬（Authentication、Authorization、Accounting ）三個英文單詞的簡稱。其主要目的是管理哪些用戶可以訪問網(wǎng)絡服務器，具有訪問權的用戶可以得到哪些服務，如何對正在使用網(wǎng)絡資源的用戶進行記賬。具體為：

1、 驗證(Authentication): 驗證用戶是否可以獲得訪問權限；

??、

??圖2  AAA服務器銀行ATM機無線接入方案??

????2、授權(Authorization) : 授權用戶可以使用哪些服務；??

3、記賬(Accounting) : 記錄用戶使用網(wǎng)絡資源的情況。??

AAA服務器

　　AAA服務器（AAA server）是一個能夠處理用戶訪問請求的服務器程序。提供驗證授權以及帳戶服務。AAA服務器通常同網(wǎng)絡訪問控制、網(wǎng)關服務器、數(shù)據(jù)庫以及用戶信息目錄等協(xié)同工作。同AAA服務器協(xié)作的網(wǎng)絡連接服務器接口是“遠程身份驗證撥入用戶服務(RADIUS)”。

RADIUS協(xié)議

協(xié)議概述

　　RADIUS（Remote Authentication Dial In User Service）協(xié)議是在IETF的RFC 2865和2866中定義的。RADIUS 是基于 UDP 的一種客戶機/服務器協(xié)議。RADIUS客戶機是網(wǎng)絡訪問服務器，它通常是一個路由器、交換機或無線訪問點。RADIUS服務器通常是在UNIX或Windows2000服務器上運行的一個監(jiān)護程序。RADIUS 協(xié)議的認證端口是1812 ，計費端口是1813。

RADIUS協(xié)議的主要特點

概括的來說，RADIUS 的主要特點如下：

1、客戶/服務模式(Client/Server)

RADIUS是一種C/S結構的協(xié)議，它的客戶端最初就是網(wǎng)絡接入服務器NAS（Network Access Server），現(xiàn)在運行在任何硬件上的RADIUS客戶端軟件都可以成為RADIUS的客戶端?？蛻舳说娜蝿帐前延脩粜畔ⅲㄓ脩裘?，口令等）傳遞給指定的RADIUS服務器，并負責執(zhí)行返回的響應。

2、RADIUS服務器負責接收用戶的連接請求，對用戶身份進行認證，并為客戶端返回所有為用戶提供服務所必須的配置信息。

　　一個RADIUS服務器可以為其他的RADIUS Server或其他種類認證服務器擔當代理。

　　客戶端和RADIUS服務器之間的交互經(jīng)過了共享保密字的認證。另外，為了避免某些人在不安全的網(wǎng)絡上監(jiān)聽獲取用戶密碼的可能性，在客戶端和RADIUS服務器之間的任何用戶密碼都是被加密后傳輸?shù)摹?/p>

3、靈活的認證機制

　　RADIUS服務器可以采用多種方式來鑒別用戶的合法性。當用戶提供了用戶名和密碼后，RADIUS服務器可以支持點對點的PAP認證（PPPPAP）、點對點的CHAP認證（PPP CHAP）、UNIX的登錄操作（UNIX Login）和其他認證機制。

4．擴展協(xié)議

　　所有的交互都包括可變長度的屬性字段。為滿足實際需要，用戶可以加入新的屬性值。新屬性的值可以在不中斷已存在協(xié)議執(zhí)行的前提下自行定義新的屬性。

RADIUS的工作過程

RADIUS協(xié)議旨在簡化認證流程。其典型認證授權工作過程是：

1、用戶輸入用戶名、密碼等信息到客戶端或連接到NAS；

2、客戶端或NAS產(chǎn)生一個“接入請求（Access-Request）”報文到RADIUS服務器，其中包括用戶名、口令、客戶端（NAS）ID 和用戶訪問端口的ID?？诹罱?jīng)過MD5算法進行加密。

3、RADIUS服務器對用戶進行認證；

4、若認證成功，RADIUS服務器向客戶端或NAS發(fā)送允許接入包（Access-Accept），否則發(fā)送拒絕加接入包（Access-Reject）；

　　5、若客戶端或NAS接收到允許接入包，則為用戶建立連接，對用戶進行授權和提供服務，并轉入6；若接收到拒絕接入包，則拒絕用戶的連接請求，結束協(xié)商過程；

6、客戶端或NAS發(fā)送計費請求包給RADIUS服務器；

7、RADIUS服務器接收到計費請求包后開始計費，并向客戶端或NAS回送開始計費響應包；

8、用戶斷開連接，客戶端或NAS發(fā)送停止計費包給RADIUS服務器；

9、RADIUS服務器接收到停止計費包后停止計費，并向客戶端或NAS回送停止計費響應包，完成該用戶的一次計費，記錄計費信息，目前的2G/3G無線接入應用基本采用包月或者包流量的方式，還沒有使用的計費功能

二、進行AAA認證的必要性：??

1、系統(tǒng)運行更安全。由于無線接入具有一定的移動性，所以設備一旦丟失或被搬離監(jiān)控區(qū)域，由于無線設備已經(jīng)配置了接入用戶名和口令，任意電腦終端通過無線設備完全可以接入用戶系統(tǒng)進行相關交易等工作，這是目前無線接入系統(tǒng)的安全性死穴。有了AAA認證服務器之后，客戶可以第一時間將丟失的設備ID號、隨同設備的SIM卡號設置為非法，此設備再次發(fā)出接入請求時將被拒絕，系統(tǒng)可以最大限度的降低入侵危險。

2、設備管理更方便。CISICO路由器等設備也可以通過配置用戶名和口令完成部分AAA認證的功能，但不能完全適應無線接入的實際需要，不能對換了手機卡的EMSI號、設備ID號等進行認證，安全性就會降低；另外CISICO命令行的配置方式使用起來不是很方便，HT-3000采用WEB方式進行配置，管理方便，對于用戶數(shù)量巨大的用戶，添加用戶更為方便，免除了命令行的繁雜方式。

3、遠程維護更簡單。無線設備接入系統(tǒng)后，所有前端設備的工作信息、IP地址、上下線時間、工作日志等都在AAA服務器上有記錄，可以隨時通過遠程登陸的方式對前段設備進行管理和維護。

三．HT3000 AAA服務器基本功能

支持中國電信CDMA /中國聯(lián)通WCDMA/中國移動GPRS虛擬專用撥號數(shù)據(jù)網(wǎng)（VPDN） 支持用戶名+域名設置 支持自動獲得/指定PPP上線IP地址

支持UIM卡、用戶名、密碼、分配固定IP四綁定功能 支持PAP、CHAP、MS-CHAP多種PPP 驗證機制 支持 IMSI （國際移動用戶識別碼）驗證及綁定 支持 500 用戶（可擴展至5000用戶） 支持雙機熱備份，保證系統(tǒng)穩(wěn)定可靠工作

四．HT3000 AAA服務器功能特點

HT3000采用1U標準機架式設計，占用空間小，安裝靈活，移動方便。

HT3000采用嵌入式無硬盤設計，故障率低，功耗小，環(huán)境適應性強，安全穩(wěn)定。

HT3000 核心軟件針對中國電信VPDN網(wǎng)絡應用定制設計，配置簡單，容易維護。

HT3000 配置管理界面采用WEB方式，無需安裝客戶端軟件，部署管理靈活。

HT3000 系統(tǒng)配置文件和用戶列表文件可通過管理界面下載及上傳，方便備份與恢復。

HT3000 嵌入式操作系統(tǒng)，無慮盜版軟件和病毒侵襲。

HT3000支持實時雙機熱備份，確保數(shù)據(jù)同步。

五．HT3000 AAA服務器應用方案及網(wǎng)絡拓撲說明

如圖3所示：cisco7200 與 HT3000的內網(wǎng)口(eth0) 分配同一子網(wǎng)的兩個地址 9.43.192.102 和 9.43.192.1，可直接通信用以承載Radius協(xié)議報文。

撥號建立過程：

1.無線路由器HT-1A的PPP建立請求，通過CDMA承載網(wǎng)絡發(fā)至中國電信。

2.中國電信核心交換網(wǎng)與HT-1A通信，驗證IMSI號及用戶域名。

3.電信通過驗證后，電信LAC側將二次請求包通過專線轉發(fā)至分行中心的cisco7200。

4.cisco7200收到PPP通信請求包，根據(jù)Radius配置，將驗證、授權部分交給HT3000。

5.HT3000驗證用戶名+域名，口令及IMSI成功后，將驗證成功及上線IP地址等信息反饋給cisco7200。

6.cisco7200接受到HT3000的驗證及授權信息后，與HT-1A建立PPP連接。

7 在工作過程中，如果AAA服務器主機出現(xiàn)異常斷電等故障、備機自動切換提供認證服務等全部功能。

六．HT3000 硬件參數(shù)

處理器：Intel 酷睿雙核處理器

主  頻：1.66GHZ         電 源：220V/3.0A RJ45網(wǎng)口 ：6 個 千兆網(wǎng)口

USB接口： 2 個

console接口：1 個

尺   寸： 426x44x320MM