[发明专利]一种多主机网络的AAA架构及认证方法

说明书

技术领域

本发明涉及移动通信技术，特别涉及宽带无线接入技术，具体的讲是一种多主机网络的AAA系统及认证方法。 

背景技术

AAA是指认证(Authentication)，授权(Authorization)，计费(Accounting)。运营商通过AAA系统对认证用户身份后，根据用户开户时申请的服务类别授予相应的权限。当用户使用网络资源时，AAA系统中的相应的设备统计用户占用的资源，并收取相应的费用。 

图1为基于移动站(MS：Mobile Station)的WiMAX网络系统，MS通过R1参考点与接入服务网络(ASN，ccess Service Network)中的BS(Base Station，图中未示)连接，以连接到ASN，R1采用802.16e无线传送技术。ASN与拜访地网络服务提供商(V-NSP，Visited-Network Service Provider)的连接服务网络(CSN，Connectivity Service Network)间通过R3参考点连接，V-NSP的CSN与归属地网络服务提供商(H-NSP，Home-Network Service Provider)的CSN间通过R5参考点连接。 

RFC2094AAA授权框架提供了三种配置AAA框架模型，包括：代理顺序/模型、拉顺序/模型、推顺序/模型。三种模型的主要区别在于：①请求方与认证服务器间的通信方式②密钥和策略等控制消息如何配置到承载面设备。WiMAX论坛建议采用拉顺序/模型，定义图1中所示的WiMAX系统的AAA系统，如图2-5所示： 

图2为不兼容传统CSN的非漫游AAA系统。运营商(NSP，Network ServiceProvider)分割为接入服务网络(ASN)和连接服务网络(CSN)，ASN的业务设备 (Service Equipment)则成为一个网络接入服务器(NAS，Network Access Server)。CSN包括一个或多个AAA Server(服务器)(图2未示)。AAA服务器支持三方认证机制-“申请者(Supplicant)”，“认证者(Authenticator)”和“认证服务器(Authentication Server)”。三方认证机制可支持多种基于EAP协议的认证方法，如：EAP-TLS，EAP-TTLS，PEAP，EAP-SIM，EAP-AKA等，可以支持强壮的密钥推导方法。 

在图2的AAA系统中，MS为申请者；NAS的业务设备用于实现认证者；AAA服务器为认证服务器。其中，ASN包括一个或多个网络接入服务器，即，ASN可以包括一个或多个的多个认证者/AAA客户(client)。NAS与AAA服务器间采用AAA协议，AAA协议包括了：Dimeter和RADIUS。 

当移动用户站连接NAS发出接入网络请求，NAS收集移动用户站发出的接入认证请求，将接入认证请求传送给CSN的AAA服务器。AAA服务器经过认证后向NAS出允许或者拒绝信息，若认证成功，则允许信息中还包含授权信息，同时启动相关的计费功能。NAS收到AAA服务器送来的响应后，通知移动用户站允许接入或者拒绝接入。 

图3为兼容传统CSN的非漫游AAA系统中，由于运营商的连接服务网络属于传统的NSP，认证和授权后端不兼容AAA协议。因此NAS传送给CSN的认证请求需要通过CSN中增加的互联网关(IWG：Interwork Gateway)，将AAA协议和属性映射到传统运营商的特定协议和属性后，执行认证、授权。运营商的允许和拒绝消息再通过IWG映射为AAA协议，传送给NAS。 

图4与图5分别为不兼容CSN和兼容CSN的漫游AAA系统，在图4与图5中，V-NSP中AAA服务器充当AAA代理器(AAA Proxy)，将NAS发送的认证请求传递到H-NSP的AAA服务器。当V-NSP的AAAProxy接收到来自H-NSP的CSN的允许或拒绝消息时，将其发送给传送给NAS。在漫游情况下，NAS和AAA服务器之间可能存在一个或多个AAA经理和AAA代理。但是，AAA会话总存在于NAS和AAA服务器之间，而提供基于NAI域路由管道的AAA经理是可选的。