一、什么是AN-AAA
1、表示 Access Network-Authentication, Authorization, Accounting Server
接入网鉴权、授权以及计费服务器
2、目前一般采用RADIUS服务器方式实现。
3、AN-AAA 对EV-DO用户进行鉴权认证,完成 EV-DO用户终端身份合法性的鉴权功能,同时AN-AAA完成EV-DO用户终端的开户管理功能。
4、AN与AN-AAA之间采用3GPP2定义的扩展RADIUS协议,这个接口称为A12接口,用于AN-Level认证。
5、EV-DO用户终端接入网络时,AN把用户的CHAP认证信息通过Access-Request消息传递给AN-AAA,AN-AAA判断用户终端的合法性,
具备接入EV-DO网络的权限,返回Access-Accept,否则返回Access-Reject,支持Mobile IP的PDSN间的切换。
二、RADIUS
1、表示 Remote Authentication Dial-In User Service
2、是一种在网络接入服务器和共享认证服务器间传输认证、授权和配置信息的协议。
3、使用UDP作为其传输协议,此外,RADIUS也负责传送网络接入服务器和共享计费服务器间的计费信息。
4、主要特征如下:
C/S模式:网络接入服务器作为RADIUS的客户端,负责将用户信息传递给指定的RADIUS服务器,然后根据返回信息进行操作。
RADIUS服务器负责接收用户连接请求,认证用户后,返回所有必要的配置信息以便客户端为用户提供服务。
RADIUS服务器可以作为其他RADIUS服务器或认证服务器的代理。
网络安全:RADIUS服务器支持多种用户认证方法,当用户提供了用户名和原始口令后,RADIUS服务器可支持PPP PAP或CHAP,
UNIX登录和其他认证机制。
协议的可扩充性:所有的事物都是由不同长度的“属性-长度-值”的三元组构成。新的属性值的加入不会影响到原有协议的执行。
类似于TLV改造。
5、基本工作原理
用户接入NAS,NAS想RADIUS服务器使用Access-Require数据表提交用户信息,包括用户名、密码等相关信息,其中用户密码是经 过MD5加密的,双方使用共享密钥,这个密钥不经过网络传播;RADIUS服务器对用户名和密码的合法性进行检验,必要时可以提出一 个Challenge,要求进一步对用户认证,也可以对NAS进行类似的认证;如果合法,给NAS返回Access-Accept数据包,允许用户进行 下一步工作,否则返回Access-Reject数据包,拒绝用户访问;如果允许访问,NAS向RADIUS服务器提出计费请求Account- Require,RADIUS服务器响应Account-Accept,对用户的计费开始,同时用户可以进行自己的相关操作。
RADIUS还支持代理和漫游功能。简单地说,代理就是一台服务器,可以作为其他RADIUS服务器的代理,负责转发RADIUS认证和计费 数据包。所谓漫游功能,就是代理的一个具体实现,这样可以让用户通过本来和其无关的RADIUS服务器进行认证,用户到非归属运营 商所在地也可以得到服务,也可以实现虚拟运营。
RADIUS服务器和NAS服务器通过UDP协议进行通信,RADIUS服务器的1812端口负责认证,1813端口负责计费工作。采用UDP的基 本考虑是因为NAS和RADIUS服务器大多在同一个局域网中,使用UDP更加快捷方便,而且UDP是无连接的,会减轻RADIUS的压力, 也更安全。
RADIUS协议还规定了重传机制。如果NAS向某个RADIUS服务器提交请求没有收到返回信息,那么可以要求备份RADIUS服务器重 传。由于有多个备份RADIUS服务器,因此NAS进行重传的时候,可以采用轮询的方法。如果备份RADIUS服务器的密钥和以前 RADIUS服务器的密钥不同,则需要重新进行认证。
三、LDAP
1、表示 Lightweight Directory Access Protocal
2、目录是一组具有类似属性,以一定逻辑和层次组合的信息,常见的例子是电话簿。
3、LDAP目录的条目有属性的一个聚集组成,并由一个唯一性的名字引用。
4、LDAP目录与普通数据库的主要不同之处在于数据的组织方式,它是一种有层次的,树形结构。
5、所有条目的属性的定义式对象类Object class的组成部分,并组成在一起构成 schema。
6、LDAP是目录服务在TCP/IP上的实现,它是对X500的目录协议的移植,但是简化了实现方法,所以称为轻量级。
7、在LDAP中,目录是按树形结构组织,目录由条目构成,条目相当于关系数据库中的表的记录。
8、LDAP的优势:
跨平台
访问速度快
安装简单,容易维护和优化
四、RADIUS和LDAP的整合
数据通过LDAP服务器来存储,然后RADIUS服务器访问LDAP来获取数据并进行操作。