AAA服务器需求分析和选择策略简介
2009-07-23 中国IT实验室
AAA(认证/授权/计费)服务器是网络中非常重要的设施,是网络运营商对数据、用户进行控制和管理的重要环节。目前,随着网络技术的发展和网络服务业务种类的增加,对AAA服务器的功能需求越来越多。
网络对AAA需求
网络的AAA是在窄带接入服务成功的基础上发展起来,如大多数宽带接入服务和PDSN/GGSN都采用和RADIUS服务器接口。但随着用户对业务要求越来越细致,比如VPN、按流量计费等方式的加入,AAA也需要综合考虑诸种业务,做到更科学的控制和管理。AAA功能一是认证(Authentication),也就是辨别用户;二是授权(Authorization),也就是控制访问、提供业务;三是计费(Accounting),就是跟踪用户所使用网络资源,提供计费记录。
在认证方面,仍然可以沿用RADIUS服务器,但过去的CHAP和PAP方式都不是非常安全的方式,现在需要更复杂的认证算法,如移动IP所要求的HMAC-MD5算法。此外,在移动用户越来越普及的情况下,认证支持漫游也是必选。
授权功能决定用户需要何种业务,包括连接种类和QoS参数等。这里,扩展的可能性非常丰富:例如需要考虑新增的漫游功能,以及根据QoS参数和现有网络资源状况,决定是否有足够资源向用户提供所需连接。细分的业务控制能力在此处实现,如根据时间段、地点、会话数目等参数对连接进行控制等。
计费记录也要根据细致的要求提供详细的计费信息,如根据时长的计费、根据流量的计费、根据业务种类的计费等等。AAA服务器不仅能应付现有的需要,更重要的是能根据新的需要进行扩充。另一个重要的功能是,计费功能要完成尽可能多的工作,减少下游子系统如计费网关的负担。
在实现上,AAA也不一定要沿用旧有方式。在宽带接入服务情况下,如以太网接入,用户需要的仅仅是一个IP地址,运营商需要的资源访问记录可在交换机和路由器中完成,这样,从理论上讲,就可以不使用接入服务器,也没有必要使用RADIUS服务器(如使用改造后的DHCP服务器),只是对交换机路由器等网络的设备有一定要求,如Cisco路由器的Netflow功能。
根据网络发展和现有的水平,可以预见的对AAA的需求有以下几个方面:一是对漫游给予不同程度的支持;二是对不同业务给予支持;三是对企业用户等重要客户的支持,对VPN的支持;四是对动态会话的支持;五是细粒度接入控制,基于时间、地点、用户策略和网络状况等;六是根据不同的会话和计费策略进行细粒度生成良好易用的计费记录。
选择AAA策略
因此,用户在选择AAA服务器产品时,需要考虑以下方面:一是是否包含一个策略引擎,策略是否综合考虑了网络、业务和用户以及足够细致的粒度(如根据域、组和单个用户)。二是数据库是否支持整个网络,以保证扩展性和漫游。三是与尽可能多的产品和标准兼容。四是能否针对单个会话进行实时控制。五是能否紧凑无缝地与现有运营子系统,如OSS、业务提供子系统进行融合。六是在保证集中控制的同时支持上百万的用户。七是不仅支持IETF和TIA的标准,也针对不同厂家的产品进行了扩展,尤其是对新的标准框架DIAMETER给予支持。
目前,多数AAA产品仍仅实现了基本的RADIUS功能,只提供根据时长的计费功能,这也是目前广大用户所使用的功能。但随着移动数据网的崛起和业务种类的多样化和收费业务的增多,提供完善功能的AAA服务,不仅使用户能享受到更加合理的服务,也能为运营商创造更多利润。
动配置。保护端口80是安全人员面临的最重大也是最重要的挑战之一。所幸的是,如今已出现了解决这一问题的创新方案,而且在不断完善。如果在分层安全基础设施里面集成了能够封阻16类应用漏洞的应用防火墙,你就可以解决应用安全这一难题。